官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
本文由 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
前言
笔者在《浅谈关键信息基础设施运营者专门安全管理机构的组建》一文中,介绍了运营者的专门安全管理机构的组建。今天,笔者与各位读者分享运营者应如何制修订安全管理制度,以满足关键信息基础设施安全保护工作的需要。
一、制修订安全管理制度的必要性
安全管理制度在关键信息基础设施保护工作中起约束和控制作用,安全制度不健全,或者不能贯穿关键信息基础设施保护的各环节、各阶段,特别是“老制度管新技术”,缺乏动态的、持续的管理制度,加之内部制约机制不完善、检查督导不到位,可能会导致网络安全风险隐患无法得到及时识别、快速解决。
业内老生常谈的一句话“三分技术,七分管理”,各位读者一定不感到陌生。但是在实践中,我们常常看到的是大量的经费投入在网络安全产品/系统的采购、开发方面,而安全管理制度经常无人问津,或在执行层面力度偏弱。一个普遍的现象是对安全管理制度的重视远不及安全技术。
安全管理制度指导、规范和约束各类网络安全活动,在我们常态化的安全运营实践中,其实无处不在。例如:在开展安全漏洞扫描时,我们通常要避开业务高峰期;业务系统上线或更新时,通常需要在测试环境先进行安全测试,然后才允许在正式环境上线……这一系列操作规程其实都是先有安全管理制度,然后加以执行,才形成了一系列网络安全活动的操作规程。可以说,一类规范的网络安全活动的开展,必定也是安全管理制度执行的过程。而规范的开展网络安全活动,也可以尽可能的杜绝和规避潜在的安全风险和不合规事件的发生。
因此,开展安全管理制度的制修订,并不断保持其适用性,是运营者开展关键信息基础设施安全保护工作的基石。
二、制修订安全管理制度的外在要求
现阶段,我国相关政策、法律法规、标准规范都对运营者提出了开展安全管理制度制修订的要求。如下表所示:
法律法规/标准规范 | 相关规定 |
《网络安全法》 | 第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改: (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任; |
《中华人民共和国密码法》 | 第十五条 从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构(以下统称密码工作机构)应当按照法律、行政法规、国家有关规定以及核心密码、普通密码标准的要求,建立健全安全管理制度,采取严格的保密措施和保密责任制,确保核心密码、普通密码的安全。 |
《中华人民共和国数据安全法》 | 第二十七条开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。 |
《关键信息基础设施安全保护条例》 | 第十三条运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。 第十五条 专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责: (一)建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划; (二)组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估; (三)按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件; (四)认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议; (五)组织网络安全教育、培训; (六)履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度; |
《网络安全等级保护条例》(征求意见稿) | 第六条网络运营者应当依法开展网络定级备案、安全建设整改、等级测评和自查等工作,采取管理和技术措施,保障网络基础设施安全、网络运行安全、数据安全和信息安全,有效应对网络安全事件,防范网络违法犯罪活动。 第二十条网络运营者应当依法履行下列安全保护义务,保障网络和信息安全: (一)确定网络安全等级保护工作责任人,建立网络安全等级保护工作责任制,落实责任追究制度; (二)建立安全管理和技术保护制度,建立人员管理、教育培训、系统安全建设、系统安全运维等制度; |
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019) | 以等级保护三级为例 8. 1.6. 1 安全策略 应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。 8.1.6.2 管理制度 本项要求包括: a) 应对安全管理活动中的各类管理内容建立安全管理制度; b) 应对管理人员或操作人员执行的日常管理操作建立操作规程; c) 应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。 8.1.6.3 制定和发布 本项要求包括: a) 应指定或授权专门的部门或人员负责安全管理制度的制定; b) 安全管理制度应通过正式、有效的方式发布,并进行版本控制。 8.1.6.4 评审和修订 应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。 |
《信息安全技术 关键信息基础设施安全保护要求》(送审稿) | 6.2 安全管理制度 运营者应: a) 建立适合本组织的网络安全保护计划,结合关键业务链的安全风险报告,明确关键信息基础设施安全保护工作的目标、安全策略、组织架构、管理制度、技术措施等内容,加强机构、编制、人员、经费、装备、工程等资源保障,支撑关键信息基础设施安全保护工作。网络安全保护计划应形成文档并经审批后发布至相关人员。网络安全保护计划应至少每年修订一次,或发生重大变化时进行修订。 注1:安全策略包括但不限于:安全互联策略、安全审计策略、身份管理策略、入侵防范策略、数据安全防护策略、自动化机制策略(配置、漏洞、补丁、病毒库等)、供应链安全管理策略、安全运维策略等。 注2:管理制度包括但不限于:风险管理制度、网络安全考核及监督问责制度、网络安全教育培训制度、人员管理制度、业务连续性管理及容灾备份制度、三同步制度(安全措施同步规划、同步建设和同步使用)、供应链安全管理制度等。 b) 基于关键业务链、供应链等安全需求建立或完善安全策略和制度,并根据关键信息基础设施面临的安全风险和威胁的变化相应调整。 |
注1:《网络安全等级保护条例》(征求意见稿)、《信息安全技术 关键信息基础设施安全保护要求》(送审稿)在正式发布后,运营者应按照最新的要求梳理相关安全管理制度。
注2:《中华人民共和国数据安全法》以及《关键信息基础设施安全保护条例》正式施行后,运营者应依法制修订相关安全管理制度。
三、制修订安全管理制度的主要工作要求
运营者在组建专门安全管理机构时,应明确其主要工作要求。其主要工作要求包括:
(1)运营者制修订安全管理制度,应符合国家以及所在行业和领域的相关政策、法律法规、标准规范的要求和满足自身关键信息基础设施保护的实际需要;
(2)运营者制修订安全管理制度时,应按照“同步规划、同步建设、同步使用”的“三同步”原则,同步规划、编制和执行安全管理制度。
(3)运营者应对安全管理活动中的各类管理内容建立安全管理制度。
(4)运营者应对管理人员或操作人员执行的日常管理操作建立操作规程。
(5)运营者应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系。
(6)安全管理制度应至少每年修订一次或在发生重大变化时及时修订。
(7)运营者应建立安全管理制度的制修订、评审、发布、执行、检查和变更等机制。
(8)网络安全服务机构参与安全管理制修订工作的,运营者应与其签订保密协议。
四、安全管理制度体系框架
运营者对安全管理活动中的各类管理内容建立安全管理制度,对安全管理人员或操作人员执行的日常管理操作进行规范,建立标准化、规范化、流程化的操作规程。
安全策略、安全管理制度、操作规程和记录表单等构成全面的安全管理制度体系。安全管理制度体系框架如下图所示:
安全管理制度体系框架分为四层:
第一层:安全策略。阐明运营者安全工作的总体目标、范围、原则和安全框架等。
第二层:安全管理制度。通过对网络安全活动中的各类内容建立管理制度,约束网络安全相关行为。
第三层:操作规程。通过对安全管理人员或操作人员执行的日常活动建立操作规程,是规范安全管理制度的具体技术实现细节。
第四层:记录、表单。安全管理制度、操作规程实施时需记录和填写的表单、操作记录等。
五、安全管理制度体系内容设计
5.1 安全管理制度体系内容的组成
运营者应有指导、规范和约束关键信息基础设施保护的相关网络安全行为活动的全套安全管理制度。
关键信息基础设施的完整安全管理制度体系由网络安全合规体系和网络安全框架的安全管理制度体系内容组成。
5.2 安全管理制度体系的梳理方法
一般而言,运营者可从以下八个维度着手对完整的安全管理制度体系内容进行梳理,如下表所示:
序号 | 梳理维度 | 安全管理制度内容说明 |
1 | 网络安全合规体系要求 | 运营者根据网络安全合规体系要求,并结合本单位实际情况,建立健全相关的安全管理制度体系,包括安全策略、安全管理制度、操作规程、记录表单等。 |
2 | 我国关键信息基础设施保护的若干政策、法律法规要求 | 运营者根据我国现阶段提出的关键信息基础设施保护相关的若干政策、法律法规提出的要求,并结合本单位实际情况,建立健全相应的安全管理制度。 |
3 | 保护工作部门的关键信息基础设施保护的监督管理要求 | 运营者根据所在行业和领域的保护工作部门提出的关键信息基础设施保护的若干监督管理要求,并结合本单位实际情况,建立健全相应的安全管理制度。 |
4 | 关键信息基础设施保护各阶段、各环节的相关网络安全活动 | 运营者结合关键信息基础设施保护的规划设计、开发建设、运行维护、退役废弃各阶段以及分析识别、安全防护、检测评估、监测预警、技术对抗、事件处置各环节涉及的各类管理内容、日常操作等相关网络安全活动,建立健全相应的安全管理制度。 |
5 | 关键信息基础设施的风险管理 | 根据《条例》相关要求以及关键信息基础设施“以风险管理为导向的动态防护”的基本原则,为指导、规范和约束网络安全风险管理活动,建立健全网络安全风险管理的相关制度。 |
6 | 特定应用场景 | 根据在云计算、大数据、工业控制、物联网、移动互联等特定应用场景下保护关键信息基础设施的实际需要,结合相关政策、法律法规、标准规范等,建立健全安全管理制度。 |
7 | 自身特殊安全管理需求 | 为指导、规范和约束自身某一类特殊的网络安全活动,建立健全相关安全管理制度 |
8 | 其他 | 为指导、规范和约束的其他网络安全活动而建立健全相关安全管理制度 |
需要说明的是,运营者参考以上八个维度制定或改进安全管理制度内容时,可能会出现重复的现象。运营者做好相关安全管理制度的剔除、筛选工作即可。
5.3 安全管理制度列举
笔者根据我国关键信息基础设施保护相关的政策、法律法规、标准规范,结合实践,梳理了运营者应具备的安全管理制度。运营者可参考下表,结合本单位实际情况,梳理安全管理制度。
序号 | 制度名称 | 主要内容 | 配套文档 |
1. | 网络安全管理章程 | 描述网络安全战略、方针、总体目标、安全框架等方面的规定 | 相关制度、操作规程、记录表单 |
2. | 网络安全保护计划 | 描述关键信息基础设施网络安全保护工作的目标、安全策略、组织架构、管理制度、技术措施、实施细则及资源保障等 | 相关制度、操作规程、记录表单 |
3. | 网络安全管理办法 | 描述网络安全管理的总体要求 | 相关制度、操作规程、记录表单 |
4. | 文档管理规范 | 描述安全管理制度(含安全策略、管理制度、操作规程、记录表单等)的制修订、评审、发布、检查、废弃等活动规范 | 相关制度、操作规程、记录表单 |
5. | 文档评审管理规定 | 描述需求、方案、预算、制度等各类活动的评审要求、方式等内容 | 评审模板相关记录表单 |
6. | 合规性实施规范 | 描述网络安全合规体系设计、建设、运行、测评、持续改进等活动的规范要求 | 相关制度、操作规程、记录表单 |
7. | 网络安全风险管理计划 | 描述网络安全风险管理计划的内容、优先级、计划时间、保护措施、差距缩小或改进程度说明。 | 相关制度、操作规程、记录表单 |
8. | 安全管理机构组建办法 | 描述安全管理机构如何组建、关键岗位职责义务等 | 授权文件、工作记录等相关记录表单 |
9. | 安全从业人员管理规定 | 描述安全从业人员录用、审查、筛选、教育培训、离岗离职、职责分离等方面的规定 | 相关制度、记录表单 |
10. | 关键信息基础设施全生命周期安全管理办法 | 描述关键信息基础设施的规划设计、退役废弃、运行维护、退役废弃、检查评估各阶段的工作要求、主要内容、工作流程、工作方式、变更控制、风险规避等方面的规定 | 相关制度、操作规程、记录表单 |
11. | 关键信息基础设施识别认定指南 | 描述本单位的关键信息基础设施识别的要求、方法、步骤、程序、评审、信息登记、报送等方面的规定 | 相关制度、操作规程、记录表单 |
12. | 关键信息基础设施保护检查评估指南 | 描述本单位的关键信息基础设施保护检查评估的要求、形式、内容、整改、注意事项等方面的详细指引 | 相关制度、操作规程、记录表单 |
13. | 关键信息基础设施风险管理规定 | 描述关键信息基础设施的风险识别、风险分析、风险监控、风险转移方式等风险管理方面的规定 | 相关制度、操作规程、记录表单 |
14. | 关键信息基础设施安全保护要求和控制措施 | 描述关键信息基础设施的安全保护基本要求、防护策略、防护措施等方面的规定 | 相关制度、操作规程、记录表单 |
15. | 网络安全监测指南 | 描述网络安全监测要求、监测实施规范、监测措施、监测信息审核、上报/通报等方面的规定 | 相关制度、操作规程、记录表单 |
16. | 网络安全预警指南 | 描述预警分级、预警发布、响应处置、升级降级、解除等方面的规定 | 相关制度、操作规程、记录表单 |
17. | 信息通报、共享与发布管理规定 | 描述网络安全威胁信息发布的内容规范、发布流程、审批、备案、注意事项等方面的规定 | 相关制度、操作规程、记录表单 |
18. | 数据分类分级指南 | 具体描述如何进行数据分类分级,给出详细的分类分级指南 | 相关操作规程、记录表单 |
19. | 网络安全事件分类分级指南 | 描述网络安全事件的分类,事件的分级方式,分级判定依据等方面的内容。 | 相关制度、记录表单 |
20. | 业务连续性管理办法 | 描述关键业务连续性的稳定持续时间要求、受到破坏的恢复和补救时间、业务连续性支持措施等方面的内容。 | 相关制度、操作规程、记录表单 |
21. | 网络安全事件处置管理规定 | 描述针对不同的网络安全事件的处置程序、处置方法、处置要求、上报/通报、总结等方面的规定 | 相关制度、操作规程、记录表单 |
22. | 网络安全应急响应管理规定 | 描述在应急态下,网络安全应急响应要求、程序、方法、工具、资源、协同、上报/通报、总结等方面的规定 | 相关制度、操作规程、记录表单 |
23. | 网络安全应急预案管理规定 | 描述网络安全应急响应的规范,包括网络安全事件、预警信息分类分级依据,组织机构与职责,监测预警,应急处置,调查评估,预防工作,保障措施等方面的规定 | 相关制度、操作规程、记录表单 |
24. | 网络安全应急演练管理制度 | 描述应急演练的目的、原则、形式、规划、参与部门及职责,实施过程规范,总结,审批、上报,保障措施等方面的规定 | 相关制度、操作规程、记录表单 |
25. | 个人信息保护和重要数据出境评估安全管理制度 | 描述保护的个人信息具体类型、保护措施、使用范围等,重要数据出境的类型、评估范围、上报评估的类型,评估要求,出境变更,奖惩措施等方面的规定 | 相关制度、操作规程、记录表单 |
26. | 重要信息系统上下线安全检测管理规定 | 描述重要信息系统上下线的安全检测要求、工作流程、漏洞/基线的整改、上报、审批等方面的规定 | 相关制度、操作规程、记录表单 |
27. | 网络安全变更管理规定 | 描述网络安全变更的情形、变更要求、变更控制措施、审批、注意事项等方面的规定 | 相关制度、操作规程、记录表单 |
28. | 外部人员访问管理规定 | 描述外部人员来访的相关规定 | 相关记录表单 |
29. | 外部接入安全管理规定 | 描述外部人员接入的安全要求、审批、注意事项等方面的内容 | 相关记录表单 |
30. | 网络安全事项审批管理规定 | 描述各类需要审批的网络安全活动,审批程序及审批活动的审批等规定 | 相关操作规程、记录表单 |
31. | 网络安全事项上报管理规定 | 描述需要上报的网络安全事项类型、审批程序、审批人、管理闭环等方面的规定 | 相关制度、操作规程、记录表单 |
32. | 网络安全交流控制管理规定 | 描述各类网络安全沟通合作的形式、内容、要求、机制及注意事项等规定 | 相关制度、操作规程、记录表单 |
33. | 网络安全检查评估管理办法 | 描述各类检查评估的形式、内部/外部安全检查的配合事项、检查评估内容、总结、通报等方面的规定 | 相关制度、操作规程、记录表单 |
34. | 网络安全保密制度 | 描述网络安全保密的要求、形式及内容等 | 相关记录表单 |
35. | 网络安全培训管理制度 | 描述网络安全培训的形式、内容、对象、要求等方面的规定 | 相关记录表单 |
36. | 网络安全奖惩管理条例 | 描述网络安全奖惩的要求、形式、内容以及适用情形等 | 相关记录表单 |
37. | 网络安全工作责任制落实考核办法 | 描述网络安全从业人员落实岗位职责义务的具体考核要求、指标以及奖惩措施等方面的规定 | 相关记录表单 |
38. | 网络安全产品和服务供应链管理规定 | 描述供应链管理要求、可能的风险、保护措施等方面的内容 | 相关制度、操作规程、记录表单 |
39. | 网络安全等级保护定级备案管理规定 | 描述关键信息基础设施等级保护定级备案的方法、流程、变更等方面的规定 | 相关制度、操作规程、记录表单 |
40. | 网络安全等级保护建设管理规定 | 描述网络安全等级保护设计、建设、实施等方面的规定 | 相关制度、操作规程、记录表单 |
41. | 网络安全等级保护测评管理规定 | 描述网络安全等级保护测评的要求、适用情形、配合事项、测评整改等方面的规定 | 相关制度、操作规程、记录表单 |
42. | 网络产品和服务采购管理规定 | 描述网络安全产品和服务的采购形式、要求、流程、审查等方面的规定 | 相关操作规程、记录表单 |
43. | 软件安全开发管理制度 | 描述自行开发、外包开发软件的控制方法、人员行为准则、软件设计指南、版本控制、监控、检测、审查等方面的规定,配套制度还包括代码编写安全规范、软件设计使用指南等 | 相关制度、操作规程、记录表单 |
44. | 工程验收交付管理规定 | 描述工程验收交付的要求、验收测试、交付清单等方面的规定 | 相关制度、操作规程、记录表单 |
45. | 网络安全服务机构管理规定 | 描述网络安全服务机构的选择,服务形式、内容,服务要求,服务审核,变更、奖惩措施、法律责任等方面的规定 | 相关制度、操作规程、记录表单 |
46. | 机房安全管理制度 | 描述机房出入管理、机房专人负责、机房维护、注意事项等方面的规定 | 相关制度、操作规程、记录表单 |
47. | 资产管理制度 | 描述资产的梳理,登记,维护,变更,标识管理,信息分类与标识方法,信息的使用、传输和存储等方面的规定 | 相关制度、操作规程、记录表单 |
48. | 介质管理制度 | 描述介质的维护或销毁流程,介质物理传输过程中对人员选择、打包、交付等情况的控制,介质的使用过程、送出维修,带出工作环境的加密和监控管理,介质的分类标识等方面的规定 | 相关制度、操作规程、记录表单 |
49. | 安全运行维护管理规定 | 描述关键信息基础设施运行维护的要求、流程、内容、审批、变更、境外运维等方面的规定 | 相关制度、操作规程、记录表单 |
50. | 安全漏洞管理规定 | 描述安全漏洞的检测、修复、规避、例外、发布等方面的要求、流程、注意事项等方面的规定 | 相关操作规程、记录表单 |
51. | 恶意代码防范管理规定 | 描述恶意代码的种类、防范要求、防范措施、注意事项等方面的规定 | 相关制度、操作规程、记录表单 |
52. | 安全审计管理制度 | 描述内部安全审计的要求、形式、规范、内容、注意事项,外部审计的类型、配合事项、内容、注意事项等方面的规定 | 相关制度、操作规程、记录表单 |
53. | 密码管理规定 | 描述密码使用的场景、要求、密码技术和产品的选择、变更等方面的规定 | 相关制度、操作规程、记录表单 |
54. | 备份与恢复管理制度 | 描述备份的数据类型、备份方式、备份技术和产品的选择、备份频度、备份周期,恢复策略、恢复程序、恢复要求等方面的规定 | 相关制度、操作规程、记录表单 |
55. | 网络安全基线配置规范 | 描述网络设备、安全设备、主机、数据库、操作系统、应用系统等方面的安全配置基线要求 | 相关制度、操作规程、记录表单 |
56. | 安全域等级划分管理办法/规范 | 描述安全域划分的划分等级、方法、原则 | 相关制度、操作规程、记录表单 |
57. | 网络安全相关日志留存管理规定 | 描述网络安全相关日志的类型、留存时间、存储方式、技术支撑手段、注意事项等方面的规定 | 相关制度、操作规程、记录表单 |
58. | 知识库管理规定 | 描述知识库的建设、使用、维护、更新、授权范围等方面的规定 | 相关制度、操作规程、记录表单 |
59. | … … | … … | … … |
注1:制度名称并不是一定的,运营者在参考本表梳理安全管理制度时,应根据该文档的主要内容判断是否需要制修订该项安全管理制度及其配套的安全管理制度、操作规程、记录表单等;
注2:本表所列的安全管理制度也并非一定可以覆盖某个运营者的全部网络安全活动或符合全部的实际需要,运营者可根据本单位实际情况,进行增、删、改操作,重点是按照本章节所提出的安全管理制度体系内容设计的八个维度,结合本单位实际情况,梳理所需要建立的安全管理制度(集)。
六、安全管理制度体系的管理
运营者应设计安全管理制度的制修订、评审、发布、执行、检查与废弃的工作程序或机制,以指导和规范安全管理制度管理工作。
运营者应指定或授权专门的部门或人员负责安全管理制度的制修订,并设计明确规定的评审和修订程序对安全管理制度进行维护;通过正式、有效的方式发布,并进行版本控制;同时并通过一定的制度固化的方法保证安全管理制度的落实执行,定期检查安全管理制度的执行情况、内容的符合情况等。
一般而言,完整的安全管理制度体系的管理程序见下图。
6.1 安全管理制度的制修订
运营者应指定或授权专门的部门或人员负责安全管理制度的制修订,并进行版本控制。每个安全管理制度都应有相应责任人负责维护。
运营者应设计明确的安全管理制度制修订的工作程序或机制。其中:
(1)对于新建信息基础设施尚未有安全管理制度的,运营者应组织专项资源,集中制定一批能够约束关键信息基础设施保护相关网络安全活动的安全管理制度、操作规程、记录表单等;
(2)对于已有关键信息基础设施保护相关制度的,运营者应定期或根据实际需要,检视有无不合时宜的或缺乏对某一类网络安全行为进行约束的制度、操作规程等,根据检视情况,投入与制修订工作相符的资源,进行安全管理制度的制修订;
(3)对评审后需要修订的安全管理制度文档,运营者应明确指定人员限期完成;对涉密的信息安全策略、规章制度和相关的操作规程文档的评审和修订应在相应范围内进行,必要时可请保密管理部门参加文档的修订,必要时征求国家相关部门的意见。
(4)安全管理制度的制修订工作完成后,记录网络安全责任人,并进行版本控制。
(5)安全管理制度制修订时应内容明确、术语规范、用词准确、表述简洁,安全管理制度应具有很强的操作性、统一性、稳定性、时效性,覆盖关键信息基础设施保护的各个层面。
安全管理制度名称一般冠以运营者单位名称或关键信息基础设施名称,以“办法”、“章程”、“规定”、“规范”、“要求”、“指南”、“制度”等结尾。例如:《XXX系统安全管理办法》、《XXX网络安全管理章程》、《XXX系统上线安全检测规定》、《XXX主机安全基线配置规范》、《XXX网络安全预警指南》、《XXX外部人员访问管理制度》等。
运营者对关键信息基础设施安全管理制度应至少每年修订一次,或发生重大变化时进行修订。
6.2 安全管理制度的评审
安全管理制度制修订工作完成后,运营者应组织专门安全管理机构、业务和使用部门、专家等共同对安全保护计划进行评审,做好评审记录,并按照评审意见对安全管理制度进行修改,并保留版本修订记录、必要时应对修订方案重新进行评审。
运营者应对安全管理制度的评审过程记录成文件的形式存档,作为评审结果的证据。
安全管理制度评审内容一般包括:
(1)评审安全管理制度是否存在缺陷;
(2)评审安全管理制度的合理性、适用性、适宜性和有效性等;
(3)评审是否覆盖关键信息基础设施保护的所有网络安全活动以及是否对每一项网络安全活动具有指导、规范和约束作用;
(4)评审安全管理制度的修订版本记录。
运营者应建立明确的评审程序,对安全管理制度的有效性进行程序化、周期性评审,并保留必要的评审记录和依据。
6.3 安全管理制度的发布
运营者应设计明确的发布程序。安全管理制度应经评审和审批后,通过正式、有效的方式发布。发布时应注明发布范围并有收发文登记。
运营者应设计安全管理制度存档机制。安全管理制度发布后,应指定专人保管;制定借阅规定,限定借阅范围,并经过相应级别负责人审批和登记。
6.4 安全管理制度的执行
运营者应建立明确的程序或机制,保证安全管理制度得以贯穿关键信息基础设施保护的各方面。如将安全管理制度规定的工作流程固化为电子化流程,或在网络安全活动建立操作规程,约束相关网络安全活动。
6.5 安全管理制度的检查
运营者应建立安全管理制度的检查程序或机制。安全管理制度发布并执行后,应定期或不定期对安全管理制度的执行情况,安全管理制度内容的合理性和适用性进行检查。其中:
(1)对于安全管理制度的执行情况,应检查相关审批流程记录、表单等过程性存档文件。对安全管理制度贯彻不力或不满足安全管理制度要求的,应提出整改意见并限期整改,并形成安全检查报告并通报。
(2)对于安全管理制度内容不合理或不合时宜的,应对存在的不足或需要改进的安全管理制度组织进行修订,对无用或过时的安全管理制度,应予以废弃。
运营者应对安全管理制度检查结果做好记录并存档备查。
6.6 安全管理制度的废弃
运营者应设计安全管理制度的废弃程序。经评审或者检查,认为该项安全管理制度无用或过时的,运营者可启动废弃程序,对该项制度予以废弃。
运营者应对废弃过程和结果做好记录并存档备查。
小结
笔者根据我国关键信息基础设施保护的相关政策、法律法规、标准规范,结合实践,阐述了安全管理制度的主要工作要求、体系框架、内容设计以及安全管理制度的管理过程等。本文仅代表笔者的自身想法,不见得成熟和一定能够满足某一运营者的实际需要,不足之处,敬请指正。
已在FreeBuf发表 0 篇文章
- 0 文章数
- 0 关注者