信息安全管理制度框架-等保三級

信息安全管理制度框架等級保護三級的基本要求包括技術和管理兩大部分，其中管理方面包括安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理五個方面。在做等級保護方案及項目建設的時候，客戶方一般會要求提供管理方面的咨詢、建議等，因此結合以往的信息安全管理方面的經驗，根據等保2.0（三級）管理方面的要求，整理出來了以下內容，以供參考。一.安全管理制度1.1信息技術制度管理辦法總則組織機構與職責制度分類制度的文件格式制度的制定、發(fā)布、修改和廢止流程二.安全管理機構總體方針和政策總則組織機構與職責信息安全治理原則和目標信息系統(tǒng)架構信息安全隊伍建設與規(guī)劃信息系統(tǒng)建設規(guī)劃信息安全風險控制考核機制信息安全管理策略總則安全制度管理策略信息安全組織管理策略人員安全管理策略系統(tǒng)開發(fā)與維護管理策略物理與環(huán)境安全管理策略資產管理策略系統(tǒng)運行管理策略訪問控制管理策略信息安全事故管理策略應急處理策略合規(guī)性管理策略崗位職責文件總則組織機構與職責（每一個部門負責的工作內容）崗位職責崗位要求考核機制安全檢查管理辦法總則組織機構與職責信息安全檢查分類信息安全檢查內容信息安全檢查實施信息安全檢查報告三.人員安全管理人員錄用、離崗信息技術人員離崗手續(xù)記錄單培訓考核管理（安全責任）辦法總則組織機構與職責培訓的類別與要求培訓內容培訓安排培訓考核信息安全違章行為責任追究辦法總則組織機構與職責違章行為界定監(jiān)督和檢查處罰規(guī)定34外來人員安全訪問管理辦法總則組織機構與職責外來人員的分類基本安全管理賬戶管理計算機設備接入管理遠程訪問管理處罰規(guī)定四.系統(tǒng)建設管理信息系統(tǒng)項目建設管理辦法總則組織機構與職責電子化建設項目里程碑管理項目準備階段需求分析階段方案設計階段系統(tǒng)實現階段上線運行階段項目移交階段項目計劃與會議管理問題與風險管理變更管理自主軟件開發(fā)管理總則組織機構與職責軟件開發(fā)環(huán)境管理開發(fā)過程管理配置管理集成測試管理系統(tǒng)發(fā)布管理外包軟件開發(fā)管理總則組織機構與職責術語定義外包軟件開發(fā)人員管理外包軟件開發(fā)項目流程外包軟件開發(fā)項目現場實施管理測試驗收管理總則組織機構與職責驗收方法與標準驗收內容及程序驗收結論及后續(xù)管理相關責任系統(tǒng)交付管理辦法總則組織機構與職責部署方案系統(tǒng)部署上線運行與運維交接五.系統(tǒng)運維管理機房安全管理總則組織機構與職責機房值班管理機房環(huán)境管理機房維護管理機房及設備巡視機房出入管理機房設備管理機房空調、電源系統(tǒng)管理機房消防管理機房資料管理辦公環(huán)境安全管理總則組織機構與職責辦公室行為規(guī)范辦公室環(huán)境管理辦公室安全管理固定資產管理辦法總則組織機構與職責固定資產的計劃、審批和購置固定資產的驗收、登記、領用及投保固定資產的使用、維護、調撥等日常管理固定資產的折舊、盤點清查、閑置與報廢處理固定資產的實物臺賬管理固定資產管理員工作交接管理罰則存儲介質管理辦法總則組織機構與職責介質的檢查與維護介質的傳送介質的備份介質的移交重用介質的數據清理介質的銷毀設備安全管理辦法總則組織機構與職責設備的選型、采購設備的發(fā)放和領用設備的維護和維修設備的報廢信息資產的分類和標識管理辦法總則組織機構與職責信息資產分類的定義信息資產訪問控制權限信息資產的數據保護信息資產的管理與使用網絡安全管理辦法總則組織機構與職責網絡結構管理網絡安全管理網絡接入管理互聯網上網管理安全加固及補丁管理賬戶口令及日志審計管理網絡與信息安全風險評估管理網絡漏洞掃描管理系統(tǒng)安全管理辦法總則組織機構與職責系統(tǒng)賬戶管理操作系統(tǒng)管理數據庫管理應用軟件管理系統(tǒng)服務與端口管理訪問控制管理安全審計管理安全掃描加固管理升級與補丁管理計算機病毒防治管理辦法總則組織機構與職責計算機病毒防范管理措施計算機設備和網絡病毒防范管理計算機病毒疫情監(jiān)控、上報與處理計算機病毒防范工作的落實和檢查計算機病毒情況分析信息系統(tǒng)變更管理辦法總則組織機構與職責變更分類變更通知風險評估變更控制變更報告變更流程信息系統(tǒng)密碼管理辦法總則組織機構與職責信息系統(tǒng)密碼設置及控制措施信息系統(tǒng)用戶密碼使用管理備份和恢復方面的管理總則組織機構與職責數據備份數據恢復備份系統(tǒng)巡檢統(tǒng)計和考核安全事件報告和處置管理總則