本期关键字:
等级保护 等级测评 安全管理制度
所谓“技术和管理并重”,安全管理制度在网络安全中,往往不被重视,总认为是虚的东西。这种认知,在绝大多数单位都或多或少的存在,而随着我们对网络安全理解的不断加深,部分单位也逐渐重视起来,特别是诸如金融领域、电信领域,在制度体系方面是比较靠前的,其他行业则或多或少存在滞后的现象。可以说,网络安全技术是骨,管理是筋;技术是肉体,管理则是灵魂。所以,缺少了行之有效的管理制度,如同缺少了灵魂,缺了根筋。
安全策略和安全管理制度的正确制定与有效实施对等级保护对象的安全管理起着非常重要的作用,不仅促使全体员工参与到保障网络安全的行动中来,而且能有效地降低由于人为操作失误所造成的安全损害。安全管理制度是对等级保护对象建设、开发、运维、升级和改造等各个阶段和环节所应当遵循的行为规范,覆盖等级保护对象生命周期中的重要活动,因此任何一个组织机构应该有自己的安全管理制度体系。
安全通用要求的安全管理制度部分针对整个管理制度体系提出安全控制要求,涉及的安全控制点包括安全策略、管理制度、制定和发布、评审和修订等。
安全管理制度控制点/要求项的逐级变化
| 序号 | 控制点 | 一级 | 二级 | 三级 | 四级 |
| 1 | 安全策略 | 1 | 1 | 1 | |
| 2 | 管理制度 | 1 | 2 | 3 | 3 |
| 3 | 制定和发布 | 2 | 2 | 2 | |
| 4 | 评审和修订 | 1 | 1 | 1 |
| 安全管理制度 | 安全管理制度 | 安全管理制度 | 安全管理制度 |
| 安全策略 | 安全策略 | 安全策略 | 安全策略 |
| — | 应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。 | 应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。 | 应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。 |
| 管理制度 | 管理制度 | 管理制度 | 管理制度 |
| 本项要求包括: | 本项要求包括: | 本项要求包括: | 本项要求包括: |
| 应建立日常管理活动中常用的安全管理制度。 | a) 应对安全管理活动中的主要管理内容建立安全管理制度; | a)应对安全管理活动中的各类管理内容建立安全管理制度; | a)应对安全管理活动中的各类管理内容建立安全管理制度; |
| — | b) 应对管理人员或操作人员执行的日常管理操作建立操作规程。 | b)应对管理人员或操作人员执行的日常管理操作建立操作规程; | b)应对管理人员或操作人员执行的日常管理操作建立操作规程; |
| — | — | c)应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。 | c)应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。 |
| 制定和发布 | 制定和发布 | 制定和发布 | 制定和发布 |
| 本项要求包括: | 本项要求包括: | 本项要求包括: | 本项要求包括: |
| — | a) 应指定或授权专门的部门或人员负责安全管理制度的制定; | a)应指定或授权专门的部门或人员负责安全管理制度的制定; | a)应指定或授权专门的部门或人员负责安全管理制度的制定; |
| — | b) 安全管理制度应通过正式、有效的方式发布,并进行版本控制。 | b)安全管理制度应通过正式、有效的方式发布,并进行版本控制。 | b)安全管理制度应通过正式、有效的方式发布,并进行版本控制。 |
| 评审和修订 | 评审和修订 | 评审和修订 | 评审和修订 |
| — | 应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。 | 应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。 | 应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。 |