一般情況下,一套全面的安全管理制度體系最常見的為四層架構,即由網路安全工作的總體方針策略、各種安全管操作規程和安全配置規範、各類記錄表單構成。
一級檔案:安全策略:闡明使命和意願,明確安全總體目標,範圍、原則和安全框架等,建立工作執行模式等。
二級檔案: 管理制度:對資訊系統的建設、開發、運維公升級和改造各個階段和環節應遵循的行為加以規範。
**檔案: 操作規範:對各項的具體操作步驟和方法,可以是乙個手冊、乙個流程圖、或者是乙個實施方法。
四級檔案: 記錄表單:日常運維記錄、審批記錄、會議紀要等文件。
以等保**為例,通常情況下所需的制度、文件清單如下:
檔案級別
分類
檔案內容
一級檔案
安全策略
安全策略總綱
二級檔案
管理制度
管理制度制定、發布、維護方面的管理制度
安全管理機構
安全組織及崗位職責管理制度
授權審批類制度
安全審核和檢查制度
安全管理人員
人員錄用、離崗、考核等方面的管理制度
人員安全教育和培訓方面的管理制度
外部人員管理制度
安全建設管理
工程實施過程管理方面的管理制度
產品選型、採購方面的管理制度
測試、驗收、交付方面的管理制度
軟體開發管理制度
**編寫安全規範
外包軟體開發管理制度
安全運維管理
辦公環境管理制度
機房安全管理制度
資產安全管理制度
介質安全管理制度
裝置安全管理制度
網路系統安全管理制度
惡意**防範管理制度
密碼管理制度
配置管理制度
變更管理制度
備份與恢復管理制度
安全事件管理制度
應急預案管理制度(包括各類專項應急預案)
**檔案
配置規範
網路/安全裝置、作業系統、資料庫等的配置基線
操作手冊
應用軟體設計程式檔案
軟體使用指南
源**說明文件
操作運維手冊(流程表單/圖、實施方法)
四級檔案
記錄、表單類
制度制定、修改記錄
各類審批記錄
培訓記錄
會議記錄
安全檢查表、安全檢查報告等
安全管理崗位人員資訊表
網路安全外聯單位溝通合作聯絡表
保密協議
關鍵崗位安全協議
人員錄用、離職記錄
程式資源庫的修改、更新、發布進行授權審批記錄
工程實施方案
測試驗收方案、記錄等
安全測試報告
交付清單
服務**商合同、協議等
對服務**商的安全考核記錄
外部人員訪問登記登記審批表
外部人員訪問登記記錄表
外部人員保密協議
採購申請審批單
資產清單
等級保護物件資產報廢申請表
裝置出門條
裝置維護記錄表
網路安全事件報告表
系統異常事件處理記錄
應急處置審批表
漏洞掃瞄、風險評估報告
惡意**檢查記錄、病毒處置記錄
資料備份、恢復測試等記錄
日常運維表單、記錄
系統變更方案、審批記錄
應急演練、培訓記錄
企業可以根據自身情況進行選擇調整,比如:沒有自己的開發團隊,那麼軟體開發管理制度、**編寫安全規範,就可以沒有;軟體定製開發交由外包團隊開發實現,則需要外包開發管理制度。
IT 專案管理制度
為提高xx公司 以下簡稱 公司 專案建設管理水平,規範專案建設管理行為,提高專案質量,保證專案進度,控制專案成本,防範商業賄賂等舞弊行為,根據有關法律法規和證監會等五部委 企業內部控制基本規範 及其配套指引,結合專案和公司的實際情況制定本制度。一 專案管理基本制度 專案管理是把各種系統 方法和人員結...
機房管理制度
1目的 中心機房作為公司網路資訊的核心管理場所,運維人員必須保證其安全 穩定 高效的執行,為此資訊化管理部制定該制度。2範圍 該制度適用於所有進入華羿微電中心機房的人員。3引用檔案無 4術語和定義無 5職責 保證機房裝置正常執行 6裝置 材料及工具 無7流程說明 7.1檢視機房濕度 溫度 氣體濃度等...
管理制度與做人之道
2006年02月25日 20 46 00 現在已經離開台資企業了.突然感覺有些不適應 在台資企業工作時,感覺其比較 扣 工資比較低 管理制度方面比較 嚴格 比如說遲到一分鐘也要扣工資 胸上的牌子偶爾忘了帶會扣一百塊錢 那時我們經常還持報怨的態度,甚至還在月會時跟老闆講道理.現在回想起來,感覺思想感觸...