3、和安全策略,说明机构安全工作的总体目标、围、原则和安全框架等; b) 应对安全管理活动中重要的管理容建立安全管理制度; c) 应对安全管理人员或操作人员执行的重要管理操作建立操作规程。4.2.1.2 制定和发布 a) 应指定或授权专门的部门或人员负责安全管理制度的制定;b) 应组织相关人员对制定的安全管理制度进行论证和审定; c) 应将安全管理制度以某种方式发布到相关人员手中。a...4.2.1.3 评审和修订 应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订。4.2.2 安全管理机构4.2.2.1 岗位设置 a)
4、 应设立安全主管、安全管理各个方面的负责人岗位,定义各负责人的职责; b) 应设立系统管理人员、网络管理人员、安全管理员岗位,定义各个工作岗位的职责。4.2.2.2 人员配备 应配备一定数量的系统管理人员、网络管理人员、安全管理员等。4.2.2.3 授权和审批 a) 应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批; b) 应针对关键活动建立审批流程,并由批准人签字确认。4.2.2.4 沟通和合作 a) 应加强各类管理人员之间、组织部机构之间以及网络安全职熊部门部的合作与沟通;
5、 b) 应加强与相关外部单位的合作与沟通。4.2.2.5 审核和检查 应由安全管理人员定期进行安全检查,检查容包括用户账号情况、系统漏洞情况、数据备份等情况。a...4.2.3 人员安全管理4.2.3.1 人员录用 a) 应指定或授权专门的部门或人员负责人员录用; b) 应规人员录用过程,对被录用人员的身份、背景和专业资格等进行审查,对其所具有的技术技能进行考核; c) 应与从事关键岗位的人员签署保密协议。4.2.3.2 人员离岗 a)应规人员离岗过程,及时终止离岗员工的所有访问权限; b)对于离岗人员,应取回各种身份证件、钥匙、徽章
6、等以及机构提供的软硬件设备; c)对于离岗人员,应办理严格的调离手续。4.2.3.3 人员考核 应定期对各个岗位的人员进行安全技能及安全认知的考核。4.2.3.4 安全意识教育和培训 a) 应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训; b) 应告知人员相关的安全责任和惩戒措施,并对违反违背安全策略和规定的人员进行惩戒; c) 应制定安全教育和培训计划,对网络安全基础知识、岗位操作规程等进行培训.4.2.3.5 外部人员访问管理a... 应确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案。
7、4.2.4 安全建设管理4.2.4.1 定级 a) 应明确网络的边界和安全保护等级 b) 应以书面的形式说明网络确定为某个安全等级的方法和理由; c) 应确保网络的定级结果经过相关部门的批准。4.2.4.2 安全方案设计 a) 应根据网络的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施; b) 应以书面形式描述对网络的安全保护要求、策略和措施等容,形成网络的安全方案; c) 应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案; d) 应组织相关部门和有关安全技术专家对安全设计方案的合理性
