14_等保系列之安全管理体系建设思路

请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具和内容均来自网络，仅做学习和记录使用，安全性自测，如有侵权请联系删除。

目录

安全管理体系建设思路

意义

总体

安全管理制度

安全管理机构

安全管理人员

安全建设管理

安全运维管理

总结

安全管理体系建设思路

在实际项目中，很多单位都太不重视等保的安全管理方面，也有很多单位比较重视，但是又不知从何入手，因此介绍下安全管理体系的建设思路。

意义

1. 运维管理方面:某单位买了一台堡垒机，要求所有服务器、网络设备和安全设备都需要从堡垒机登录，但是在服务器、网络设备、安全设备上未作登录地址限制仅允许堡垒机的地址，这样就可能存在绕过堡垒机直接登录服务器

   1. 降低人为错误:标准化流程和自动化工具可减少操作失误。

   2. 提高响应效率:自动化运维能够快速响应和处理系统问题。

   3. 加强监控与审计:便于及时发现异常行为并进行追溯。

2. 数据备份恢复方面:关键的防火墙配置未及时备份，结果一场停电或者设备恢复出厂导致无法登录，更换新防火墙又没有最新的配置文件

   1. 保障数据安全:在数据丢失或损坏时能够迅速恢复。

   2. 业务连续性:确保关键业务不受数据问题影响。

3. 管理方面:某单位没有落实数据库系统、操作系统的管理权限分离原则，导致业务数据库无法登录，就只能依靠第三方厂商解决，并且一旦出现数据丢失或误删除或者迁移之类，得花一笔服务费，而且数据也可能早就被泄露出去了。

   1. 建立安全文化:通过管理层的支持和员工参与，形成组织的安全文化。

   2. 合规性:确保组织满足相关法律法规的要求。

   3. 风险管理:有效识别、评估和控制安全风险。

总体

在等保2.0中，安全管理体系文件主要分为管理制度、操作规程、过程记录三大类。

• 管理制度这个比较好理解，主要就是各类管理办法规定、各类通知等

• 操作规程主要是各类设备操作指南，用于指导人员对日常设备的操作维护

• 过程记录则是所有管理措施的文档，包括批记录、修订记录、巡检记录、变更记录、分析记录等

也可以理解为管理制度代表有没有、操作规程代表怎么做、过程记录代表做了没。

安全管理制度

主要有安全策略、管理制度、制定和发布、评审和修订4个要求，实践中不一定按照这个顺序，因为安全管理体系建立必须先建立组织架构才能开展后面的安全策略、管理制度等工作。

1. 建立组织架构:该层面是安全管理体系建设的第一步，即建立安全管理组织架构、安全方针、安全策略和管理制度制定修订。每个单位的业务不同，组织结构也不同，因此，安全管理架构、安全方针和安全策略也不同，因此，根据自己业务类型建立自己的组织架构。

2. 确定安全方针:根据企业战略制定的，比如有的企业安全方针就是"1坚持以人为本;2提高人员信息安全风险意识;3确保本单位信息系统安全运行"。

3. 制定安全管理策略:根据安全方针，在网络、机房、数据、应用系统、开发、实施、验收、人员等各个方面确定安全管理目标，并以管理制度、操作规程、过程记录形式确定下来，这个是企业安全管理最重要的一个环节。在安全策略制定方面，一定要结合实际情况制定。

4. 发布、修订和评审:这个重点是确保发布出去能到达每个基层人员手中，包括系统操作人员;还有就是定期检查是否存在漏洞或者不适用自己单位业务流程的地方，需要进行修订。

安全管理机构

1. 岗位设置方面:建立指导和管理网络安全工作的委员会或领导小组和网络安全管理部门，还需要设立系统管理员、审计管理员和安全管理员等岗位，并定义部门及各个工作岗位的职责。

2. 人员管理方面:安全管理员、审计管理员和系统管理员主要是岗位角色，不是单个设备的账户，职责上要相互牵制。还有就是安全管理员不能兼职，审计管理员和系统管理员可以兼职。

   1. 安全管理员负责所有设备、数据库、应用系统、操作系统的账户权限分配。

   2. 审计管理员只负责所有所有设备、数据库、应用系统、操作系统的日志功能。

   3. 系统管理员负责安全管理员和审计管理员外其它事务。

3. 授权和审批方面:这个主要是根据各个部门和岗位确定日常的授权和审批流程，比如网络设备配置变更方面，哪些人审批、是纸质的审批单还是电子的钉钉，通过这个可以梳理日常工作流程。

4. 沟通和合作:这个主要是针对内的部门间、上下级间如何定期协调沟通网络安全问题，可以建立简单的机制，比如每月开个短会，由网络安全部门汇总本月的主要安全事件，并提出处理建议，临时性突发事件可以通过电话会议、QQ、远程会议等方式协调沟通;对外则需要和一些业务主管部门、供应商、开发商、电信运营商、电力部门、消防部门、公安机关、通管局等单位进行定期沟通;最终形成一个沟通管理制度和联系清单。

5. 审核和检查:制定检查管理制度，定期对系统日常运行、系统漏洞和数据备份、安全保护措施有效性、策略有效性等开展安全检查，并形成安全检查报告，对于严重违反安全策略的情况可以进行通报。

安全管理人员

1. 人员录用方面:制定每个岗位的岗位要求和人员录用管理部门，然后制定人员招聘、笔试、技能考核、背景审查、合同签订、保密协议签订等流程。如果在个人征信方面存在较大消费贷款未偿还、受过网络安全犯罪刑罚的、具有外国国籍的等情形是不宜录用的。

2. 人员离岗方面:需要在管理制度中明确离岗交接流程，注销相关账户权限、收回U盘、电脑等重要资产，建议可以在离职审批单中加入。此外，还需要在离职证明或者保密协议上承诺离职后不得泄露企业重要机密信息。

3. 安全意识教育和培训方面:

   1. 根据不同岗位人员建立不同的培训计划。

   2. 需要在管理制度方面明确惩罚措施。

   3. 则是需要对岗位人员开展技能考核，确保满足人员录用中的相关条件。

4. 外部人员访问管理方面:

   1. 重要区域比如机房等重要区域必须先申请后审批并承诺保密义务后，由专人陪同。

   2. 外来人员如果要接入网络中，需要提出书面申请和审批。

   3. 外来人员离开时需要清除各类网络权限和账户权限。

安全建设管理

在安全建设管理中，一共有定级和备案、安全方案设计、产品采购和使用、自研开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择要求。

1. 定级备案:如果是大型企业并且信息系统比较多，可以单独制定一个关于内部定级指南。信息系统不是很多的中小型企业可以省略。

2. 安全方案设计:在信息系统设计阶段需要将安全保护需求纳入，实现同步设计、同步开发、同步验收，且该安全方案需要由业务部门、开发部门、安全部门同时评审，评审完后才可进入下一阶段。

3. 产品采购和使用:安全产品必须要有安全产品销售许可证，密码产品必须有商用密码产品认证证书，并加上查询的网站，便于日常查询。对于常用产品还需要制定产品选购目录，定期更新，要求企业内部的日常采购原则上应该从产品目录选购。

4. 自研:制定至少应该包含开发环境和正式环境隔离、制定安全开发规范、开发文档版本控制、开发控制流程(包括变更、提交、测试等)、安全测试和后门扫描流程等内容。

5. 外包:重点主要在软件后门检测、病毒检测和开发文档提交三个方面，避免交付的软件本身带毒或者无维护文档，对后期的二次开发和升级迁移造成困难。

6. 工程实施:通过制定《项目管理》章节明确信息化项目的项目管理流程。

7. 测试验收:要制定测试验收方案，测试方案中主要包括功能测试、安全测试、密码测试等，然后通过《验收单》确定验收时间、地点、参加人员、验收过程、验收结论等。

8. 系统交付:明确交付清单、操作培训和使用维护文档等3个方面的内容。

9. 等级测评:制定系统重新测评或备案的条件即可。

10. 服务供应商选择要求:可以通过制定《服务供应商管理》制度，主要规定服务供应商的资质要求，还要与服务供应商签订协议还需要明确保密义务，最后，还要定期跟踪、监督服务履行情况。

安全运维管理

1. 环境管理:主要对象是机房，制定《机房管理制度》，确定巡检时间、频率、巡检人员、消防、UPS、防雷、设备等方面。

2. 资产管理:主要制定《资产清单》和《资产管理制度》。包括资产标签、资产使用登记、报废记录、维修流程等内容，还需要针对不同重要性的资产制定不同的管理办法，比如可以将服务器作为1类重要资产，PC作为2类重要资产，1类资产维护必须原厂厂家维护，2类资产维护IT部门自行即可。

3. 介质管理:主要针对的是备份数据硬盘或者磁带。

4. 设备维护管理:明确各类设备维护责任人;明确维护审批、维修审批、销毁审批等。

5. 漏洞和风险管理:明确漏洞监测的措施，可以选择有关注国家或安全网站的漏洞库，也可以由第三方测评机构、开发单位、公安、网信等部门定期预警。

6. 网络和系统安全管理:是运维管理的核心，可以分别制定网络安全管理制度、系统管理制度和应用软件管理制度三大部分，每个部分明确职责和权限范围。在日常操作上，还要求针对每个设备制定相应的操作规程。在日常运维上，需要针对运维操作采取记录运维日志，并定期由审计管理员进行分析。

7. 恶意代码防范管理:需要通过管理制度要求所有PC和服务器必须安装杀毒软件。

8. 配置管理:建议可以搜集每个设备的系统编号、配置文件和期限，定期检查是否需要变更即可。9.密码管理:如果企业使用了VPN、智能钥匙等涉及密码技术的产品，这些产品需要满足密码管理局的要求，比如取得产品型号证书。

9. 密码管理:如果企业使用了VPN、智能钥匙等涉及密码技术的产品，这些产品需要满足密码管理局的要求，比如取得产品型号证书。

10. 变更管理:可以制定《变更管理制度》，明确变更流程，然后在审批通过后实施，过程中填写变更记录表。

11. 备份与恢复管理:主要对象是重要业务信息、系统数据及软件系统等。制定《数据备份与恢复管理制度》，确定备份方式、备份频度、存储介质、保存期限等内容，还需要针对不同重要性的数据制定不同的备份策略，比如可以将核心业务数据作为1类重要数据，每日全量备份并异地存放；一般业务数据作为2类重要数据，每周全量备份本地存放即可。

12. 安全事件处置:主要制定《安全事件报告和处置管理制度》。包括安全事件分级、报告流程、现场处置、原因分析、证据收集、经验总结等内容，还需要针对不同等级的安全事件制定不同的处理程序，比如可以将造成系统中断和信息泄漏的重大安全事件作为1类事件，必须立即上报并启动应急预案；一般安全弱点和可疑事件作为2类事件，按常规流程处置记录即可。

13. 应急预案管理:主要制定《应急预案管理制度》和各类专项应急预案。包括应急组织构成、启动条件、资源保障、处理流程、系统恢复、培训演练等内容，还需要针对不同场景制定不同的应急预案，比如可以将机房火灾、网络攻击作为1类重要事件，每半年至少演练一次；一般设备故障作为2类事件，每年演练一次即可。

14. 外包运维管理:主要对象是外包运维服务商。制定《外包服务商安全管理制度》，确定服务商选择标准、安全协议签订、人员资质审核、权限范围界定、操作审计监控等内容，还需要针对不同重要性的外包服务制定不同的管理要求，比如可以将涉及敏感信息访问的核心系统外包作为1类重要外包，服务商必须具备等保测评资质并全程审计；一般设备维护外包作为2类外包，签订基本保密协议即可。

总结

√意义

√总体

√安全管理制度

√ 安全管理机构

√安全管理人员

√ 安全建设管理

√ 安全运维管理