管理要求
安全管理制度
1.1 管理制度(G3)
- 制定信息安全总体方针与策略,明确机构信息安全的目标、覆盖范围、基本原则及安全框架。
- 针对安全管理活动中的各项内容建立统一的制度体系。
- 针对日常管理操作制定具体的规程,确保人员按规定执行。
- 构建以总体策略、制度与规程为核心的完整治理体系。
1.2 制定和发布(G3)
- 指定或授权专门部门或人员负责安全管理制度的制定。
- 采用统一格式并实施版本管理对制度进行发布。
- 组织相关人员对拟定制度进行论证与评审。
- 通过正式、有效的方式发布制度,并明确适用范围与文档流转登记。
1.3 评审和修订(G3)
- 信息安全领导小组定期组织相关部门对制度体系的合理性与适用性进行论证与审定。
- 定期或按需要对安全管理制度进行检查与修订。
2.1 岗位设置(G3)
- 建立信息安全管理职能机构,设立安全主管及各职能负责人岗位并明确职责。
- 配置系统管理员、网络管理员、安全管理员等岗位并界定岗位职责。
- 组建信息安全领导小组或委员会,由主管单位任命领导。
- 以书面形式明确各部门和岗位的职责、分工与能力要求。
2.2 人员配备(G3)
- 配备必要数量的系统、网络与安全管理员等专业人员。
- 设立专职安全管理员,避免兼职。
- 对关键岗位实行多人共同管理或轮岗机制。
2.3 授权和审批(G3)
- 根据岗位职责明确授权和审批事项、审批部门和批准人。
- 针对系统变更、重要操作、物理访问与系统接入等建立正式审批流程,实行逐级审批。
- 定期评估并更新授权信息、审批人与审批部门。
- 记录并保存全部审批过程与相关文档。
2.4 沟通和合作(G3)
- 强化各级管理人员、内部机构及信息安全职能之间的沟通与协作,定期召开协调会议共同解决问题。
- 加强与同级单位、公安、通信等外部机构的协同与沟通。
- 建立与供应商、行业专家和安全机构的长期合作机制。
- 建立对外联系清单,包含单位名称、合作内容、联系人和联系方式等信息。
- 邀请信息安全专家作为常年顾问,参与安全规划与评审。
2.5 审核和检查(G3)
- 安全管理员负责定期检查系统日常运行、漏洞与数据备份等情况。
- 内部或上级单位定期开展全面安全检查,评估安全措施、配置与制度执行情况。
- 制定检查表、汇总数据并形成检查报告,及时通报结果。
- 制定并执行安全审核与检查制度,按规定程序开展相关工作。
3.1 人员录用(G3)
- 指定或授权专门部门负责招聘流程,严格核验应聘者身份、背景、资质与专业技能。
- 签署保密协议。
- 从内部选拔关键岗位人员并签署岗位安全协议。
3.2 人员离岗(G3)
- 严格执行离岗管理,及时收回访问权限。
- 取回证件、钥匙、徽章及机构提供的软硬件设备。
- 完成规范的离职手续,关键岗位人员须签署交接与保密承诺。
3.3 人员考核(G3)
- 定期对各岗位人员进行安全技能与认知水平考核。
- 对关键岗位人员进行全面、严格的考核与评估。
- 将考核结果记录并留存。
3.4 安全意识教育和培训(G3)
- 开展安全意识、岗位技能与相关安全技术培训。
- 以书面形式明确安全责任与惩戒规定,并告知相关人员,违规者将受处理。
- 制定年度培训计划,分岗位开展差异化培训,覆盖信息安全基础与岗位规程等内容。
- 将培训情况与结果归档备案。
3.5 外部人员访问管理(G3)
- 外部人员进入受控区域须事前提交书面申请,获批后由专人全程陪同并登记备案。
- 对外部人员可访问的区域、系统、设备与信息等作出书面规定并执行。
4.1 系统定级(G3)
- 明确信息系统的边界与安全等级。
- 以书面形式说明定级方法与依据。
- 组织相关部门与安全技术专家对定级结论的合理性与正确性进行论证与审定。
- 确保定级结果经相关部门批准。
4.2 安全方案设计(G3)
- 基于等级选择基本安全措施,并结合风险分析进行补充与调整。
- 指定专门单位对信息系统安全建设进行总体规划,制定短期与长期计划。
- 将总体安全策略、技术框架、管理策略、建设规划与详细设计等内容统一成套并形成配套文件。
- 组织相关部门和安全专家对配套文件的合理性进行论证与审定,经批准后方可实施。
4.3 产品采购与使用(G3)
- 安全产品的采购与使用须符合国家相关规定,密码类产品需符合密码主管部门要求。
- 指定专门部门负责采购,先行对候选产品进行测试并建立候选清单,定期评审更新。
4.4 自行软件开发(G3)
- 开发环境与实际运行环境物理分离,开发与测试分离,测试数据受控。
- 制定软件开发管理制度,明确过程控制与行为规范。
- 建立代码编写安全规范,开发人员遵循规范编码。
- 提供并妥善保管软件设计文档与使用指南,由专人负责管理。
- 对代码与资源库的修改、更新、发布实施授权与批准。
4.5 外包软件开发(G3)
- 根据开发需求对软件质量进行验收与检测。
- 上线前对软件包中的潜在恶意代码进行检测。
- 要求外包方提供软件设计文档与使用指南。
4.6 工程实施(G3)
- 指定专门单位负责实施过程管理。
- 制定详细实施方案并要求承办单位遵循安全工程流程。
- 建立实施过程管理制度,明确控制方法与人员行为准则。
4.7 测试验收(G3)
- 委托第三方进行独立安全性测试并出具测试报告。
- 实施前制定测试验收方案,测试过程要有详细记录并出具验收报告。
- 规定测试验收的控制方法与人员行为准则。
- 指定专门单位负责测试验收管理,按规定完成工作。
- 相关部门就验收报告进行审定并签字确认。
4.8 系统交付(G3)
- 制定详细的交付清单,对设备、软件、文档等逐项点验。
- 对运行维护人员进行必要技能培训。
- 提供系统建设过程中的文档及用户运行维护指南。
- 对交付过程的控制方法与人员行为准则作出书面规定。
- 指定专门单位负责系统交付管理,按规定完成交付。
4.9 系统备案(G3)
- 指定专门部门/人员管理定级材料及使用权限。
- 将系统等级及相关材料提交主管部门备案。
- 将等级及备案材料上报公安机关备案(如有要求)。
4.10 等级测评(G3)
- 系统运行期间至少每年进行一次等级测评,发现不符合要求时及时整改。
- 系统变更时及时重新评估等级并进行安全改造,发现不符时整改。
- 选择具备资质的测评机构进行等级测评。
- 指定专门部门/人员负责等级测评的管理。
4.11 安全服务商选择(G3)
- 选型符合国家规定,与安全服务商签订相关协议,明确责任。
- 确保服务商提供技术培训与服务承诺,必要时签署服务合同。
5.1 环境管理(G3)
- 指定专门单位定期对机房的供配电、空调、温湿度等设施进行维护。
- 设置机房安全管理岗位,负责出入、设备开关等管理。
- 制订机房物理安全制度,规定出入、物品进出及环境安全要求。
- 加强办公环境保密管理,规范人员行为,离开办公室时归还钥匙、不在办公区接待来访、离席时确保终端退出登录并清理屏幕上的敏感信息。
5.2 资产管理(G3)
- 编制并维护信息系统相关的资产清单,包含责任部门、重要性和位置等信息。
- 建立资产安全管理制度,明确责任人员或部门及资产使用规范。
- 对资产进行标识管理,依据重要性采取相应管理措施。
- 对信息设备及通信部件建立追踪与盘点机制。
5.3 介质管理(G3)
- 建立介质安全管理制度,覆盖存放、使用、维护与销毁等环节。
- 确保介质存放在安全环境中,由专人管理与监管。
- 控制介质在物理传输过程中的打包、交付、归档与查询登记,定期盘点。
- 对介质的使用、维修与销毁进行严格管理,涉密介质外带需先清除敏感数据,未经批准不得自行销毁高保密介质。
- 重要介质可进行异地备份,存储环境及管理要求与本地一致;对含有重要数据的介质实施加密与分类管理。
5.4 设备实施(G3)
- 对信息系统相关设备、备份与冗余设备、线路等由专门单位定期维护。
- 建立申报、审批与专人负责的设备管理制度,对选型、采购、发放及领用进行规范化管理。
- 建立配套设施与软硬件维护制度,明确维护职责、外部维修与服务审批、过程监督等。
- 对终端、工作站、便携设备、系统与网络等的操作进行规范化管理,按规程实现设备的启动/停止、供电等关键操作。
5.5 监控管理和安全管理中心(G3)
- 对通信线路、主机、网络设备和应用的运行状态、流量和用户行为进行监控与告警,形成记录并妥善保存。
- 定期分析监控与告警数据,发现异常并形成分析报告,采取必要的处置措施。
- 建立安全管理中心,集中管理设备状态、恶意代码、补丁升级与安全审计等事项。
5.6 网络安全管理(G3)
- 指定专人负责网络管理、运行日志与告警分析处理。
- 制定网络安全制度,覆盖配置、日志留存、策略、打补丁、口令更新等要求。
- 根据厂商升级对网络设备进行更新,更新前备份关键文件。
- 定期对网络系统进行漏洞扫描并及时修补。
- 实现最小化服务配置,定期对配置进行离线备份。
- 确保对外连接均经授权,管理便携设备接入权限,监控违规行为yy易游。
- 定期检查并纠正违规拨号上网等网络安全违规行为。
5.7 系统安全管理(G3)
- 根据业务需求与安全分析确定系统访问控制策略。
- 定期进行漏洞扫描,及时修补发现的问题。
- 安装最新补丁,先在测试环境验证并备份关键文件后再投入生产。
- 建立系统安全管理制度,覆盖安全策略、配置、日志和日常操作流程。
- 指定专人负责系统管理,明确系统管理员角色、权限与责任,遵循最小权限原则。
- 按操作手册进行维护,详细记录日志与维护记录,禁止未授权操作。
5.8 恶意代码防范管理(G3)
- 提升全员防病毒意识,读取外部设备或网络资料前先进行病毒检查,外部设备接入前同样需检查。
- 指定专人对网络与主机进行恶意代码检测并保存记录。
- 对防恶意代码软件的授权、病毒库升级与定期汇报制定明确规定。
- 定期检查各类病毒库更新情况,分析处理拦截的恶意代码并形成报表。
5.9 密码管理(G3)
- 建立密码使用管理制度,采用符合国家规定的安全密码技术与产品。
5.10 变更管理(G3)
- 确认将要发生的变更,制定变更方案;建立变更管理制度,变更需经主管领导审批后实施,并通知相关人员。
- 将变更过程进行文档化,分析影响并保存记录;如需中止变更,制定恢复流程并进行演练。
5.11 备份与恢复管理(G3)
- 识别需要定期备份的关键业务信息、数据与软件。
- 制定备份与恢复的安全管理制度,规定备份方式、频度、介质与保存期限。
- 根据数据重要性制定备份与恢复策略,指出数据存放位置、命名规则、介质更换频率及离线运输方式。
- 建立对备份与恢复过程的控制程序,记录并妥善保存所有文件。
- 定期执行恢复演练,检验备份介质有效性,确保可在规定时间内完成恢复。
5.12 安全事件处置(G3)
- 对发现的安全薄弱点与可疑事件进行上报,禁止用户自行验证弱点。
- 制定安全事件报告与处置制度,明确事件类型、现场处理、报告与后续恢复的职责。
- 根据国家规定的等级分类方法与事件影响,对事件进行分级。
- 制定事件响应流程,明确报告路径、处置范围及方法。
- 在处置过程中分析原因、收集证据、记录过程、总结经验并制定防范措施,相关文件与记录应妥善保存。
- 针对造成系统中断或信息泄露的事件,制定不同情景的应急方案。
5.13 应急预案管理
- 在统一框架下为不同事件编制应急预案,内容包括触发条件、处置流程、系统恢复与事后培训等。
- 确保人力、设备、技术与财务等资源充足,支撑应急行动的实施。
- 针对相关人员开展应急预案培训,培训至少 annually 一次。
- 定期演练应急预案,依据不同恢复内容设定演练周期。
- 对应急预案进行定期评估与更新,确保与实际情况相符并持续有效。
注释(简要说明)
网络等级保护相关要求以《信息系统等级保护基本要求》为基准,S 表示信息安全类、A 表示服务保障类、G 表示通用安全保护类;等级数字代表相应等级,S3、A3、G3 分别对应信息安全、服务保障和通用安全的三级要求。
