信息安全管理制度框架-等保三级.docx

信息安全管理制度框架等级保护三级的基本要求包括技术和管理两大部分，其中管理方面包括安全 管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方 面。在做等级保护方案及项目建设的时候，客户方一般会要求提供管理方面的咨 询、建议等，因此结合以往的信息安全管理方面的经验，根据等保2.0 （三级） 管理方面的要求，整理出来了以下内容，以供参考。一.安全管理制度1.1信息技术制度管理办法总则组织机构与职责制度分类制度的文件格式制度的制定、发布、修改和废止流程二.安全管理机构2.1 总体方针和政策总则组织机构与职责信息安全治理原则和目标信息系统架构信息安全队伍建设与规划信息系统建设规划信息安全风险控制 考核机制2.2 信息安全管理策略总则安全制度管理策略信息安全组织管理策略人员安全管理策略系统开发与维护管理策略物理与环境安全管理策略资产管理策略系统运行管理策略访问控制管理策略信息安全事故管理策略应急处理策略合规性管理策略2.3 岗位职责文件总则组织机构与职责（每一个部门负责的工作内容）岗位职责岗位要求考核机制2.4 安全检查管理办法总则组织机构与职责信息安全检查分类信息安全检查内容信息安全检查实施信息安全检查报告三.人员安全管理3.1 人员录用、离岗3.1.1 信息技术人员离岗手续记录单3.2 培训考核管理（安全责任）办法总则组织机构与职责 培训的类别与要求 培训内容 培训安排 培训考核3.3 信息安全违章行为责任追究办法总则组织机构与职责 违章行为界定 监督和检查 处罚规定34外来人员安全访问管理办法总则组织机构与职责外来人员的分类 基本安全管理 账户管理计算机设备接入管理 远程访问管理 处罚规定四.系统建设管理4.1 信息系统项目建设管理办法总则组织机构与职责电子化建设项目里程碑管理项目准备阶段需求分析阶段方案设计阶段系统实现阶段上线运行阶段项目移交阶段项目计划与会议管理问题与风险管理变更管理4.2 自主软件开发管理总则组织机构与职责软件开发环境管理开发过程管理配置管理集成测试管理系统发布管理4.3 外包软件开发管理总则组织机构与职责术语定义外包软件开发人员管理外包软件开发项目流程外包软件开发项目现场实施管理4.4 测试验收管理总则组织机构与职责验收方法与标准验收内容及程序验收结论及后续管理相关责任4.5 系统交付管理办法总则组织机构与职责部署方案系统部署上线运行与运维交接五.系统运维管理5.1 机房安全管理总则组织机构与职责机房值班管理机房环境管理机房维护管理机房及设备巡视机房出入管理机房设备管理机房空调、电源系统管理机房消防管理机房资料管理5.2 办公环境安全管理总则组织机构与职责办公室行为规范办公室环境管理办公室安全管理5.3 固定资产管理办法总则组织机构与职责固定资产的计划、审批和购置固定资产的验收、登记、领用及投保固定资产的使用、维护、调拨等日常管理固定资产的折旧、盘点清查、闲置与报废处理固定资产的实物台账管理固定资产管理员工作交接管理罚则5.4 存储介质管理办法总则组织机构与职责介质的检查与维护介质的传送介质的备份介质的移交重用介质的数据清理介质的销毁5.5 设备安全管理办法总则组织机构与职责设备的选型、采购设备的发放和领用设备的维护和维修设备的报废5.6 信息资产的分类和标识管理办法总则组织机构与职责信息资产分类的定义信息资产访问控制权限信息资产的数据保护信息资产的管理与使用5.7 网络安全管理办法总则组织机构与职责网络结构管理网络安全管理网络接入管理互联网上网管理安全加固及补丁管理账户口令及日志审计管理 网络与信息安全风险评估管理 网络漏洞扫描管理5.8 系统安全管理办法总则组织机构与职责系统账户管理操作系统管理数据库管理应用软件管理系统服务与端口管理访问控制管理安全审计管理安全扫描加固管理升级与补丁管理5.9 计算机病毒防治管理办法总则组织机构与职责计算机病毒防范管理措施计算机设备和网络病毒防范管理计算机病毒疫情监控、上报与处理计算机病毒防范工作的落实和检查计算机病毒情况分析5.10 信息系统变更管理办法总则组织机构与职责变更分类变更通知风险评估变更控制变更报告变更流程5.11 信息系统密码管理办法总则组织机构与职责信息系统密码设置及控制措施 信息系统用户密码使用管理5.12 备份和恢复方面的管理总则组织机构与职责数据备份数据恢复备份系统巡检统计和考核5.13 安全事件报告和处置管理总则组织机构与职责安全事故分类及分级安全事故报告安全事件处理安全事件恢复事后培训和教育5.14 应急预案（制定不同事件的应急预案）总则组织机构与职责应急保障应急启动应急处理系统恢复应急培训应急演练