管理中心、安全管理制度、安全管理机构"/>
【等级保护测试】安全管理中心、安全管理制度、安全管理机构
文章目录
- 安全管理中心
- 系统管理
- 审计管理
- 安全管理
- 集中管控
- 安全管理制度
- 安全策略
- 管理制度
- 制定和发布
- 评审和修订
- 安全管理机构
- 岗位设置
- 人员配备
- 授权和审批
- 沟通和合作
- 审核和检查
- 安全管理中心
- 共计4个控制点,12个检测要求
- 安全管理制度
- 共计4个控制点,7个检测要求
- 安全管理机构
- 共计5个控制点,14个检测要求
安全管理中心
系统管理
1)应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计。
2)应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
审计管理
3)应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计。
4)应通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对宙计记录进行存储、管理和查询等。
安全管理
5)应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计。
6)应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。
集中管控
7)应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控。
8)应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理。
9)应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。
10)应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审治己录的留存时间符合法律法规要求。
11)应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。
12)应能对网络中发生的各类安全事件进行识别、报警和分析。
安全管理制度
安全策略
1)应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。
管理制度
2)应对安全管理活动中的各类管理内容建立安全管理制度。
3)应对管理人员或操作人员执行的日常管理操作建立操作规程。
4)应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。
制定和发布
5)应指定或授权专门的部门或人员负责安全管理制度的制定。
6)安全管理制度应通过正式、有效的方式发布,并进行版本控制。
评审和修订
7)应定期对安全管理制度的合理性和适用,性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。
安全管理机构
岗位设置
1)应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权。
2)应设立网络安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责。
3)应设立系统管理员、审计管理员和安全管理员等岗位,并定义部门及各个工作岗位的职责。
人员配备
4)应配备一定数量的系统管理员、审计管理员和安全管理员等。
5)应配备专职安全管理员,不可兼任。
授权和审批
6)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。
7)应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度。
8)应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息。
沟通和合作
9)应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通,定期召开协调会议,共同协作处理网络安全问题。
10)应加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通。
11)应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息。
审核和检查
12)应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
13)应定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。
14)应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。
安全管理中心
共计4个控制点,12个检测要求
安全管理制度
共计4个控制点,7个检测要求
安全管理机构
共计5个控制点,14个检测要求
更多推荐
【等级保护测试】安全管理中心、安全管理制度、安全管理机构
发布评论