1、 信息系統信息安全等級保護-管理部分2015年12月14日注：以下所提供的材料包括制度、文檔和記錄清單。目 錄1安全管理制度31.1安全管理31.2制定和發布31.3評審和修訂32安全管理機構42.1崗位職責文件42.2人員配備42.3授權和審批42.4溝通和合作52.5安全檢查53人員安全管理53.1人員錄用53.2人員離崗63.3人員考核63.4安全意識教育和培訓73.5外部人員訪問管理74系統建設管理74.1系統定級74.2安全方案設計84.3產品采購和使用84.4自行軟件開發84.5外包軟件開發94.6工程實施94.7測試驗收94.8系統交付104.9安全服務商選擇105系統運維管理1

2、15.1環境管理115.2資產管理115.3介質管理125.4設備管理125.5網絡安全管理135.6系統安全管理135.7惡意代碼防范管理145.8變更管理145.9備份與恢復管理145.10安全事件處置155.11應急預案管理151 安全管理制度1.1 安全管理一、 制度1) 安全工作的總體方針、政策性文件和安全策略文件l 內容包括機構安全工作的總體目標、范圍、方針、原則和安全框架等。2) 安全管理制度l 內容包括物理、網絡、主機系統、數據、應用、建設和管理等層面各類管理內容。3) 制度體系l 包括由總體方針、安全策略、管理制度、操作規程等構成。二、 文檔1) 日常管理操作的操作規程l 內

3、容包括如系統維護手冊和用戶操作規程等1.2 制定和發布一、 制度1) 制度制定和發布要求管理文檔l 內容包括安全管理制度的制定和發布程序、格式要求及版本編號等2) 安全管理制度文檔l 內容包括文檔的正式發布時間，適用和發布范圍，版本標識，管理層的簽字或單位蓋章；各項制度的文檔格式等等；二、 記錄1) 管理制度評審記錄l 內容包括相關人員的評審意見。2) 安全管理制度的收發登記記錄l 內容包括收發通過正式、有效的方式（如正式發文、領導簽署和單位蓋章等），發布范圍要求。1.3 評審和修訂一、 制度1) 修訂過的安全管理制度二、 記錄1) 安全管理制度評審記錄（修訂時）l 內容包括相關人員的評審意見

4、，評審周期。2) 安全管理制度的檢查/評審記錄l 安全管理制度的修訂版本3) 全管理制度體系的評審記錄l 內容包括相關人員的評審意見，評審周期2 安全管理機構2.1 崗位職責文件一、 制度1) 部門、崗位職責文件l 內容包括安全管理機構的職責，機構內各部門的職責和分工，部門職責涵蓋物理、網絡和系統安全等各個方面；l 安全主管、安全管理各個方面的負責人、機房管理員、系統管理員、網絡管理員、安全管理員等各個崗位l 各個崗位的職責范圍清晰、明確；l 各個崗位人員應具有的技能要求；2) 信息安全管理委員會職責文件l 內容包括委員會職責和其最高領導崗位的職責；二、 記錄1) 安全管理委員會或領導小組最高

5、領導委任授權書l 內容包括本單位主管領導的授權簽字2) 日常管理工作執行情況的工作記錄l 內容包括安全管理各部門和信息安全管理委員會或領導小組日常工作的執行情況的記錄2.2 人員配備一、 制度1) 人員配備要求管理文檔l 內容包括應配備的一些安全管理人員，包括機房管理員、系統管理員、數據庫管理員、網絡管理員、安全管理員等重要崗位l 配備專職的安全管理員；l 對一些關鍵事務的管理人員應配備2人或2人以上共同管理，配備人員的具體要求；二、 記錄1) 安全管理各崗位人員信息表l 內容包括機房管理員、系統管理員、數據庫管理員、網絡管理員、安全管理員等重要崗位人員的信息；l 安全員要專職的（不能網絡管理

6、員、系統管理員、數據庫管理員等崗位）；l 數據庫管理員和系統管理員要由不同人擔任。2.3 授權和審批一、 制度1) 審批管理制度文檔l 內容包括審批事項、需逐級審批的事項、審批部門、批準人及審批程序等，l 系統變更、重要操作、物理訪問和系統接入等事項的審批流程；l 定期審查、更新審批的項目、審批部門、批準人和審查周期等；二、 文檔1) 逐級審批的文檔l 系統變更、重要操作、物理訪問和系統接入等關鍵活動的審批記錄需要有批準人的簽字和審批部門的蓋章。2) 關鍵活動的審批過程記錄2.4 溝通和合作一、 記錄1) 外聯單位聯系列表l 內容包括包含公安機關、電信公司、兄弟公司、供應商，業界專家、專業的安

7、全公司和安全組織等外聯單位；l 說明外聯單位的名稱、聯系人、合作內容和聯系方式等內容。2) 組織機構內部人員聯系表3) 組織內部機構間/信息安全職能部門內部的安全工作會議文件/記錄l 內容包括會議內容、會議時間、參加人員和會議結果等4) 信息安全領導小組/安全管理委員會定期例會會議文件/記錄l 內容包括會議內容、會議時間、參加人員、會議結果等5) 安全顧問名單及安全顧問的證明文件l 內容包括安全顧問指導信息安全建設、參與安全規劃和安全評審等記錄2.5 安全檢查一、 制度1) 安全檢查管理制度文檔l 內容包括定期進行全面安全檢查，檢查內容、檢查程序和檢查周期等l 檢查內容包括現有安全技術措施的有

8、效性、安全配置與安全策略的一致性、安全管理制度的執行情況等；二、 記錄1) 安全管理員定期實施安全檢查的文檔或記錄l 內容包括包括系統日常運行、系統漏洞和數據備份等情況的檢查記錄；l 系統日常運行、系統漏洞和數據備份等情況檢查周期。2) 全面安全檢查報告l 內容包括報告日期間隔，檢查周期，檢查內容、檢查人員、檢查數據匯總表、檢查結果等的描述l 檢查內容包括現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等；3) 安全檢查時的安全檢查表l 內容包括安全檢查記錄和結果通告記錄，查看安全檢查記錄中記錄的檢查程序3 人員安全管理3.1 人員錄用一、 制度1) 人員錄用要求管

9、理文檔l 內容包括錄用人員應具備的條件，如學歷、學位要求，技術人員應具備的專業技術水平，管理人員應具備的安全管理知識等。二、 記錄1) 有人員錄用時對錄用人身份、背景和專業資格和資質等進行審查的相關文檔或記錄l 文檔或記錄中有審查內容和審查結果。2) 人員錄用時的技能考核文檔或記錄l 內容包括筆試和面試的記錄；l 記錄考核內容和考核結果等。3) 保密協議l 內容包括與技術人員簽署保密協議；l 協議具有保密范圍、保密責任、違約責任、協議的有效期限和責任人的簽字等內容。4) 崗位安全協議l 內容包括崗位安全責任、違約責任、協議的有效期限和責任人簽字等。3.2 人員離崗一、 制度1) 人員離崗的管理

10、文檔l 內容包括人員調離手續和離崗要求等二、 記錄1) 對離崗人員的安全處理記錄l 離崗人員交還身份證件、設備等的登記記錄；l 交還內容包括各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備等。2) 按照離職程序辦理調離手續的記錄l 內容包括調離手續、調離流程；l 按照離職程序辦理調離手續的記錄。3) 保密承諾文檔l 內容包括保密的內容，期限，調離人員的簽字等。3.3 人員考核一、 文檔1) 考核文檔l 內容包括考核的對象、考核的周期；l 考核內容要求包含安全知識、安全技能等。l 關鍵崗位人員特殊的考核內容二、 記錄1) 人員安全審查記錄l 內容包括審查人員包括各個崗位的人員，對關鍵崗位人員特

11、殊的安全審查內容3.4 安全意識教育和培訓一、 文檔1) 安全教育和培訓計劃文檔l 不同崗位的培訓計劃l 內容包括培訓方式、培訓對象、培訓內容、培訓時間和地點等；l 培訓內容是否包含信息安全基礎知識、崗位操作規程等。2) 安全責任和懲戒措施管理文檔l 文檔包含具體的安全責任和懲戒措施。4) 信息安全教育及技能培訓和考核管理文檔l 包括培訓周期、培訓方式、培訓內容和考核方式等相關內容二、 記錄1) 具有安全教育和培訓記錄l 內容包括培訓人員、培訓內容、培訓結果等的描述。3.5 外部人員訪問管理一、 制度1) 外部人員訪問管理文檔l 內容包括允許外部人員訪問的范圍（區域、系統、設備、信息等內容）3

12、.6 外部人員進入的條件（對哪些重要區域的訪問須提出書面申請批準后方可進入）l 外部人員進入的訪問控制措施（由專人全程陪同或監督等）和外部人員離開的條件等；二、 記錄1) 外部人員訪問重要區域的登記記錄l 記錄了外部人員訪問重要區域的進入時間、離開時間、訪問區域、訪問設備或信息及陪同人等信息。2) 外部人員訪問重要區域的批準文檔l 內容包括外部人員訪問重要區域的書面申請，批準人允許訪問的批準簽字等；4 系統建設管理4.1 系統定級一、 文檔1) 系統定級文檔l 信息系統的定級報告、備案表；l 包括明確信息系統的邊界和信息系統的安全保護等級，確定為某個安全等級的方法和理由；l 有相關部門的批準蓋

13、章。2) 專家論證文檔l 專家對定級結果的論證意見。4.2 安全方案設計一、 文檔1) 系統的安全建設工作計劃l 包括系統的近期安全建設計劃和遠期安全建設計劃。2) 系統總體安全策略、安全技術框架、安全管理策略、總體建設規劃、詳細設計方案等配套文件l 內容包括主管領導批準。3) 系統的詳細設計方案l 根據安全方案細化形成的方案：如指導安全系統建設、安全產品采購和使用的詳細設計方案。4) 專家論證文檔l 內容包括相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略、總體建設規劃、詳細設計方案等相關配套文件的論證意見。5) 系統總體安全策略、安全技術框架、安全管理策略、總體建設規劃

14、、詳細設計方案等配套文件l 包括配套文件的修訂版本或記錄。4.3 產品采購和使用一、 文檔1) 系統使用的有關信息安全產品符合國家的有關規定l 采購的流程；l 安全產品；l 安全產品具有相關憑證。2) 密碼產品的使用情況l 采購的流程；l 安全產品；l 密碼產品具有相關憑證。3) 產品采購管理文檔l 包括需要的產品性能指標，確定產品的候選范圍，通過招投標等方式確定采購產品及人員行為準則等方面；二、 記錄1) 產品選型測試結果記錄、候選產品名單審定記錄或更新的候選產品名單。4.4 自行軟件開發一、 制度1) 軟件開發管理制度l 內容包括軟件設計、開發、測試、驗收過程的控制方法和人員行為準則，明確

15、哪些開發活動應經過授權、審批，明確軟件開發相關文檔的管理等。2) 代碼編寫規范l 包括代碼編寫規則等。二、 文檔1) 軟件設計的相關文檔（應用軟件設計程序文件、源代碼文檔等）、軟件使用指南或操作手冊和維護手冊l 軟件設計相關文檔；l 軟件使用指南或操作手冊等；l 專人負責文檔保管。三、 記錄1) 對程序資源庫的修改、更新、發布進行授權和審批的文檔或記錄l 包括批準人的簽字。4.5 外包軟件開發一、 文檔1) 需求分析說明書、軟件設計說明書、軟件操作手冊、軟件源代碼文檔等軟件開發文檔和使用指南二、 記錄1) 軟件源代碼審查記錄l 包括對可能存在后門的審查結果。2) 軟件安裝之前檢測軟件中的惡意代

16、碼的記錄l 檢測工具是第三方的商業產品。4.6 工程實施一、 制度1) 工程實施管理制度l 是否包括工程實施過程的控制方法、實施參與人員的行為準則等方面內容。二、 文檔1) 工程實施方案l 包括工程時間限制、進度控制和質量控制等方面內容。三、 記錄1) 按照實施方案形成的階段性工程報告。4.7 測試驗收一、 制度1) 測試驗收管理文檔l 包括系統測試驗收的過程控制方法、參與人員的行為規范等內容。二、 文檔2) 測試報告l 系統安全性測試報告；l 系統測試驗收報告。3) 工程測試驗收方案l 內容包括參與測試的部門、人員、測試驗收的內容、現場操作過程等4) 測試驗收記錄5) 系統測試驗收報告l 內

17、容包括系統測試驗收的過程控制方法、參與人員的行為規范等。6) 系統安全性測試報告l 內容包括測試通過的結論（如果報告中提出了存在的問題，則檢查是否有針對這些問題的改進報告），是否有第三方測試機構的簽字或蓋章。7) 對測試驗收報告的審定文檔l 內容包括相關人員的審定意見。4.8 系統交付一、 文檔1) 系統交付管理文檔l 內容包括交付過程的控制方法和對交付參與人員的行為限制等。二、 記錄1) 系統交付清單l 內容包括包括所交接的設備、文檔、軟件等；2) 培訓記錄l 系統交付技術培訓記錄，包括培訓內容、培訓時間和參與人員等。4.9 系統備案一、 文檔1) 備案的記錄或備案文檔l 內容包括將系統等級

18、相關材料報主管部門備案的記錄或備案文檔；2) 公安機關備案的記錄或證明l 內容包括將系統等級相關備案材料報相應公安機關備案的記錄或證明；3) 系統定級相關材料的適用控制記錄4.10 安全服務商選擇一、 文檔1) 與安全服務商簽訂的安全責任合同書或保密協議等文檔l 對信息系統進行安全規劃、設計、實施、維護、測評等服務的安全服務單位；l 安全服務商的安全資質文件；l 內容包括與所有安全服務商簽訂的安全責任合同書或保密協議文檔，文檔中有保密范圍、安全責任、違約責任、協議的有效期限和責任人的簽字等。2) 與安全服務商簽訂的服務合同第14頁共22頁5 系統運維管理5.1 環境管理一、 制度1) 機房安全

19、管理制度l 內容覆蓋機房物理訪問、物品帶進、帶出機房和機房環境安全等方面。二、 文檔1) 機房消防管理制度和消防預案2) 辦公環境管理辦法l 規范辦公環境內人員的行為；l 工作人員離開座位確保終端計算機退出登錄狀態；l 桌面上沒有包含敏感信息的紙檔文件；l 工作人員調離辦公立即交還該辦公室鑰匙和不在辦公區接待來訪人員等。三、 記錄1) 機房基礎設施維護記錄l 內容包括記錄維護日期、維護人、維護設備、故障原因、維護結果等。2) 消防設施巡檢記錄表5.2 資產管理一、 制度1) 資產安全管理制度l 內容包括明確信息資產管理的責任部門、責任人等；l 其覆蓋資產使用、借用、維護等方面。l 內容包括依據

20、資產的重要程度對資產進行分類和標識管理，不同類別的資產是否采取不同的管理措施。2) 信息分類文檔l 內容是否明確了信息分類標識的原則和方法。二、 記錄1) 資產清單5.3 介質管理一、 制度1) 介質管理制度l 介質的維修或銷毀流程、維修或銷毀制度；l 內容包括在介質物理傳輸過程中對人員選擇、打包、交付等情況進行控制；l 內容包括對存儲介質的使用過程、送出維修以及銷毀等進行嚴格管理的方法和對帶出工作環境的存儲介質進行內容加密和監控管理的方法。l 介質的分類、標識。二、 記錄1) 介質管理記錄l 具有介質存放在安全的環境（防潮、防盜、防火、防磁，專用存儲空間）；l 內容包括對某些重要介質實行異地

21、存儲，異地存儲環境是否與本地環境相同；l 內容包括定期對其完整性（數據是否損壞或丟失）和可用性（介質是否受到物理破壞）進行檢查；l 介質的存檔、查詢、借用等記錄；l 根據介質的目錄清單對介質的使用現狀進行定期檢查的記錄。5.4 設備管理一、 制度1) 設備安全管理制度l 對各種軟硬件設備的選型、采購、發放和領用以及帶離機構等環節進行申報和審批。2) 配套設施、軟硬件維護方面的管理制度l 內容包括對配套設施、軟硬件維護進行有效的管理，包括明確維護人員的責任、涉外維修和服務的審批、維修過程的監督控制管理等。二、 文檔1) 設備使用管理文檔l 對終端計算機、工作站、便攜機、系統和網絡等設備的操作和使

22、用進行管理。2) 關鍵設備（包括備份和冗余設備）的操作規程l 主要設備（包括備份和冗余設備）的啟動、停止、加電/斷電等操作的手冊或規程；l 定期對日志管理情況的檢查。對日志管理情況進行檢查的記錄l 內容具有設備維護記錄和主要設備的操作日志。3) 申報材料和審批報告l 內容具有設備的選型、采購、發放和領用以及帶離機構等申請報告。5.5 監控管理和安全管理中心一、 制度1) 安全管理中心l 對通信線路、主機、網絡設備和應用軟件的運行狀況，對設備狀態、惡意代碼、網絡流量、補丁升級、安全審計等安全相關事項進行集中管理。二、 文檔1) 監測記錄l 內容包括記錄監控對象、監控內容、監控的異常現象處理等方面

23、。2) 監測分析報告l 內容包括監測的異常現象、處理措施等。5.6 網絡安全管理一、 制度3) 網絡安全管理制度l 對網絡安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期、文件備份等方面作出規定，查看安全策略是否包括允許或者拒絕便攜式和移動式設備的網絡接入。 l 內容具有網絡設備配置文件的離線備份文件。二、 文檔1) 網絡漏洞掃描報告l 漏洞掃描的制度、漏洞掃描報告。2) 內部網絡外聯的授權批準書l 外聯的對象和授權批準書。3) 網絡設備配置文件的備份文件4) 網絡設備升級更新的工作記錄5) 網絡審計日志5.7 系統安全管理一、 制度1) 系統安全管理制度l 對系統安全策略、安全配

24、置、日志管理和日常操作流程等方面作出規定。2) 系統安全訪問控制策略說明文檔l 內容包括根據業務需求和系統安全分析制定系統的訪問控制策略，控制分配文件及服務的訪問權限。二、 文檔1) 補丁測試記錄和系統補丁安裝操作記錄2) 詳細操作日志（包括重要的日常操作、運行維護記錄、參數的設置和修改等內容）；l 內容包括重要的日常操作、運行維護記錄、參數的設置和修改等。3) 定期對運行日志和審計結果進行分析的記錄l 查看報告是否能夠記錄帳戶的連續多次登錄失敗、非工作時間的登錄、訪問受限系統或文件的失敗嘗試、系統錯誤等非正常事件。4) 系統漏洞掃描報告l 漏洞掃描制度和漏洞掃描報告。5.8 惡意代碼防范管理

25、一、 制度1) 惡意代碼防范管理文檔l 包括防惡意代碼軟件的授權使用、惡意代碼庫升級、定期匯報等方面。2) 對員工的惡意代碼防范教育的相關培訓文檔二、 記錄1) 惡意代碼檢測記錄l 指定專人對網絡和主機進行惡意代碼檢測的記錄。2) 惡意代碼庫升級記錄l 內容包括查看升級記錄是否記錄升級時間、升級版本等。3) 分析報告l 內容包括分析報告是否描述惡意代碼的特征、修補措施等。5.9 密碼管理一、 制度1) 密碼使用管理制度l 具有密碼使用管理制度5.10 變更管理一、 制度1) 變更管理制度l 內容覆蓋變更前審批、變更過程記錄、變更后通報等方面。l 內容包括變更控制的申報、審批程序，查看其是否規定需要申報的變更類型、申報流程、審批部門、批準人等方面。l 檢查變更失敗恢復程序，查看其是否規定變更失敗后的恢復流程。二、 文檔 2) 系統變更方案l 內容包括變更類型、變更原因、變更過程、變更前評估等方面進行規定。3) 重要系統的變更申請書4) 變更過程記錄文檔三、 記錄l 變更方案評審記錄5.11 備