本期關鍵字:
等級保護 等級測評 安全管理制度
所謂“技術和管理并重”,安全管理制度在網絡安全中,往往不被重視,總認為是虛的東西。這種認知,在絕大多數機關都或多或少的存在,而随着我們對網絡安全了解的不斷加深,部分機關也逐漸重視起來,特别是諸如金融領域、電信領域,在制度體系方面是比較靠前的,其他行業則或多或少存在滞後的現象。可以說,網絡安全技術是骨,管理是筋;技術是肉體,管理則是靈魂。是以,缺少了行之有效的管理制度,如同缺少了靈魂,缺了根筋。
安全政策和安全管理制度的正确制定與有效實施對等級保護對象的安全管理起着非常重要的作用,不僅促使全體員工參與到保障網絡安全的行動中來,而且能有效地降低由于人為操作失誤所造成的安全損害。安全管理制度是對等級保護對象建設、開發、運維、更新和改造等各個階段和環節所應當遵循的行為規範,覆寫等級保護對象生命周期中的重要活動,是以任何一個組織機構應該有自己的安全管理制度體系。
安全通用要求的安全管理制度部分針對整個管理制度體系提出安全控制要求,涉及的安全控制點包括安全政策、管理制度、制定和釋出、評審和修訂等。
安全管理制度控制點/要求項的逐級變化
| 序号 | 控制點 | 一級 | 二級 | 三級 | 四級 |
| 1 | 安全政策 | 1 | 1 | 1 | |
| 2 | 管理制度 | 1 | 2 | 3 | 3 |
| 3 | 制定和釋出 | 2 | 2 | 2 | |
| 4 | 評審和修訂 | 1 | 1 | 1 |
| 安全管理制度 | 安全管理制度 | 安全管理制度 | 安全管理制度 |
| 安全政策 | 安全政策 | 安全政策 | 安全政策 |
| — | 應制定網絡安全工作的總體方針和安全政策,闡明機構安全工作的總體目标、範圍、原則和安全架構等。 | 應制定網絡安全工作的總體方針和安全政策,闡明機構安全工作的總體目标、範圍、原則和安全架構等。 | 應制定網絡安全工作的總體方針和安全政策,闡明機構安全工作的總體目标、範圍、原則和安全架構等。 |
| 管理制度 | 管理制度 | 管理制度 | 管理制度 |
| 本項要求包括: | 本項要求包括: | 本項要求包括: | 本項要求包括: |
| 應建立日常管理活動中常用的安全管理制度。 | a) 應對安全管理活動中的主要管理内容建立安全管理制度; | a)應對安全管理活動中的各類管理内容建立安全管理制度; | a)應對安全管理活動中的各類管理内容建立安全管理制度; |
| — | b) 應對管理人員或操作人員執行的日常管理操作建立操作規程。 | b)應對管理人員或操作人員執行的日常管理操作建立操作規程; | b)應對管理人員或操作人員執行的日常管理操作建立操作規程; |
| — | — | c)應形成由安全政策、管理制度、操作規程、記錄表單等構成的全面的安全管理制度體系。 | c)應形成由安全政策、管理制度、操作規程、記錄表單等構成的全面的安全管理制度體系。 |
| 制定和釋出 | 制定和釋出 | 制定和釋出 | 制定和釋出 |
| 本項要求包括: | 本項要求包括: | 本項要求包括: | 本項要求包括: |
| — | a) 應指定或授權專門的部門或人員負責安全管理制度的制定; | a)應指定或授權專門的部門或人員負責安全管理制度的制定; | a)應指定或授權專門的部門或人員負責安全管理制度的制定; |
| — | b) 安全管理制度應通過正式、有效的方式釋出,并進行版本控制。 | b)安全管理制度應通過正式、有效的方式釋出,并進行版本控制。 | b)安全管理制度應通過正式、有效的方式釋出,并進行版本控制。 |
| 評審和修訂 | 評審和修訂 | 評審和修訂 | 評審和修訂 |
| — | 應定期對安全管理制度的合理性和适用性進行論證和審定,對存在不足或需要改進的安全管理制度進行修訂。 | 應定期對安全管理制度的合理性和适用性進行論證和審定,對存在不足或需要改進的安全管理制度進行修訂。 | 應定期對安全管理制度的合理性和适用性進行論證和審定,對存在不足或需要改進的安全管理制度進行修訂。 |