如何整改安全管理制度

按照国家有关规定，依据《基本要求》，参照《信息系统安全管理要求》等标准规范要求，开展信息系统等级保护安全管理制度建设工作，

1、落实网络安全责任制

明确领导机构和责任部门，设立或明确领导机构，明确主管领导，落实责任部门。建立岗位和人员管理制度，根据职责分工，分别设置安全管理机构和岗位，明确每个岗位的职责与任务，落实安全管理责任制。建立安全教育和培训制度，对信息系统人员、管理人员、使用人员等定期进行培训和考核，提高相关人员的安全意识和操作水平。具体依据《基本要求》中的“安全管理机构”内容，同时可以参照《信息系统安全管理要求》等。

落实安全责任制的具体措施还应参照执行相关管理规定。

2、开展安全管理现状分析

在开展信息系统安全管理建设之前，通过开展信息系统安全管理现状分析，查找信息系统安全管理建设整改需要解决的问题，明确信息系统安全管理建设整改的需求。

可以采取对照检查、风险评估、等级测评等方法，分析判断目前所采取的安全管理措施与等级保护标准之间的差距，分析系统已发生的事故或事件，分析安全管理方面存在的问题，形成安全管理建设整改的需求并论证。

3、制定安全管理制度

根据安全管理需求，确定安全管理目标和安全策略，针对信息系统的各类管理活动，制定人员安全管理制度、系统建设管理制度、系统运维管理制度、定期检查制度等，规范安全管理人员或操作人员的操作规程等，形成安全管理体系。

在制定安全管理制度是，要按照《管理办法》、《基本要求》，参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求，建立健全并落实符合相应等级要求的安全管理制度。主要内容要求如下：制定责任制度，明确工作的主管领导、责任部门、人员及有关岗位的责任；制定人员安全管理制度，明确人员录用、离岗、考核、教育培训等管理内容；制定系统建设管理制度，明确系统定级备案、方案设计、产品采购使用、使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容；制定系统管理制度，明确机房环境安全、存储介质安全、设备设施安全、安全监控、、系统安全、恶意代码防范、保护、备份与恢复、事件处置、应急预案等管理内容。制定安全检查制度，明确检查的内容、方式、要求等，检查各项制度、措施的落实情况，并不断完善。

安全管理体系规划的核心思想是调整原有管理模式和管理策略，即从全局高度考虑整个信息系统制定安全管理目标和统一的安全管理策略，又要从每个定级系统的实际等级、实际需求出发，选择和调整安全管理措施，最后形成统一的系统整体安全管理体系。

4、落实安全管理措施

（1）人员安全管理

人员安全管理主要包括人员录用、离岗、考核、教育培训等内容。规范人员录用、离岗、过程，关键岗位签署保密协议，对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训，对关键岗位的人员进行全面、严格的安全审查和技能考核。对外部人员允许访问的区域、系统、设备、信息等进行控制。具体依据《基本要求》中的“人员安全管理”内容，同时可以参照《信息系统安全管理要求》等。

（2）系统运维管理

① 环境和资产安全管理

明确环境（包括主机房、辅机房、办公环境等）安全管理的责任部门或责任人，加强对人员出入、来访人员的控制，对有关物理访问、物品进出和环境安全等方面作出规定。对重要区域设置门禁控制手段，或使用视频监控等措施。明确资产（包括介质、设备、设施、数据和信息等）安全管理的责任部门或责任人，对资产进行分类、标识，编制与信息系统相关的软件资产、硬件资产等资产清单。具体依据《基本要求》中的“系统运维管理”内容，同时可以参照《信息系统安全管理要求》等。

② 设备和介质安全管理

明确配套设施、软硬件设备管理、维护的责任部门或责任人，对信息系统的各种软硬件设备采购、发放、领用、维护和维修等过程进行控制，对介质的存放、使用、维护和销毁等方面作出规定，加强对涉外维修、敏感数据销毁等过程的监督控制。具体依据《基本要求》中的“系统运维管理”内容，同时可以参照《信息系统安全管理要求》等。

③ 日常运行维护

明确网络、系统日常运行维护的责任部门或责任人，对运行管理中的日常操作、账号管理、安全配置、日志管理、补丁升级、口令更新等过程进行控制和管理，制订相应的管理制度和操作规程并落实执行。具体依据《基本要求》中的“系统运维管理”内容，同时可以参照《信息系统安全管理要求》等。

④ 集中安全管理

第三级（含）以上信息系统应按照统一的安全策略、安全管理要求，统一管理信息系统的安全运行，进行安全机制的配置与管理，对设备安全配置、恶意代码、补丁升级、安全审计等进行管理，对与安全有关的信息进行汇集与分析，对安全机制进行集中管理。具体依据《基本要求》中的“系统管理”内容，同时可以参照《安全设计技术要求》和《信息系统安全管理要求》等。

⑤ 事件处置与应急响应

按照国家有关标准规定，确定事件的等级。结合等级，制定事件分级应急处置预案，明确应急处置策略，落实应急指挥部门、执行部门和技术支撑部门，建立应急协调机制。落实安全事件报告制度，第三级（含）以上信息系统发生较大、重大、特别重大安全事件时，运营使用单位按照相应预案开展应急处置，并及时向受理备案的公安机关报告。组织应急技术支撑力量和专家队伍，按照应急预案定期组织开展应急演练。具体依据《基本要求》中的“系统管理”内容，同时可以参照《事件分类分级指南》和《事件管理指南》等。

⑥ 灾难备份

要对第三级（含）以上信息系统采取灾难备份措施，防止重大事故、事件发生。识别需要定期备份的重要业务信息、系统数据及软件系统等，制定数据的备份策略和恢复策略，建立备份与恢复管理相关的安全管理制度。具体依据《基本要求》中的“系统运维管理”内容和《信息系统灾难恢复规范》。

⑦ 安全监测

开展信息系统实时安全监测，实现对物理环境、通信线路、主机、网络设备、用户行为和业务应用等的监测和报警，及时发现设备故障、入侵、攻击、误用和误操作等安全事件，以便及时对安全事件进行响应与处置。具体依据《基本要求》中的“系统管理”。

⑧ 其他安全管理

对系统运行维护过程中的其他活动，如系统变更、密码使用等进行控制和管理。按国家密码管理部门的规定，对信息系统中密码和密钥的使用进行分级管理。

5、加强系统建设过程管理

制定系统建设相关的管理制度，明确系统定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等内容的管理责任部门、具体管理内容和控制方法，并按照管理制度落实各项管理措施。

具体依据《基本要求》中的“系统建设管理”内容。

6、定期组织安全自查

制定安全检查制度，明确检查的内容、方式、要求等，检查各项制度、措施的落实情况，并不断完善。定期对信息系统安全状况进行自查，第三级信息系统每年自查一次，第四级信息系统每半年自查一次。经自查，信息系统安全状况未达到安全保护等级要求的，应当进一步开展整改。具体依据《基本要求》中的“安全管理机构”内容，同时可以参照《信息系统安全管理要求》等。信息系统安全管理建设整改工作完成后，安全管理方面的等级测评与安全技术方面的测评工作一并进行。