S3A3G3管理组需要查看的文档和记录列表修订版_第1页
S3A3G3管理组需要查看的文档和记录列表修订版_第2页
S3A3G3管理组需要查看的文档和记录列表修订版_第3页
S3A3G3管理组需要查看的文档和记录列表修订版_第4页
S3A3G3管理组需要查看的文档和记录列表修订版_第5页
已阅读5页,还剩1页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、物理安全相关安全管理文档列表1. 机房出入方面的管理制度,应说明机房出入方面的规定;2. 机房出入口专人值守记录;3. 机房出入口进出机房的人员登记记录;4. 来访人员进入机房的审批记录,审批记录应说明来访人员的访问范围;5. 重要区域电子门禁系统的验收文档或产品安全认证资质;6. 电子门禁系统运行和维护记录;7. 电子门禁系统记录(能够鉴别和记录进入人员的身份);8. 机房防盗报警设施的运行和报警记录;9. 机房摄像、传感等报警系统的运行记录、监控记录和报警记录;10. 机房防盗报警设施和监控报警设施的安全资质材料、安装测试和验收报告;11. 机房消防的管理制度和消防预案,对相关人员的消防培

2、训记录;12. 自动消防系统的运行记录、报警记录、定期检查和维修记录;13. 机房内湿度监测记录;14. 防水防潮处理记录和除湿装置运行记录;15. 水敏感检测仪表或元件的运行记录;16. 机房管理制度中对温湿度控制的规定条款;17. 温湿度自动调节设施的温湿度记录、运行记录和维护记录;18. 稳压器、过电压防护设备、短期备用电源设备以及备用供电系统等电源设备的检查和维护记录;19. 冗余或并行的店里电缆线路的切换记录;20. 备用供电系统运行记录;21. 计算机系统供电的运行记录。22.安全管理制度相关安全管理文档列表1. 信息安全管理制度体系的总体方针、安全策略文件(明确机构安全工作的总体

3、目标、范围、原则和安全框架等);2. 安全管理制度文件(覆盖物理、网络、主机系统、数据、应用、建设和管理等层面的各类管理内容);3. 日常管理操作的操作规程(如系统维护手册和用户操作规程等)4. 制度制定和发布要求管理文档(说明安全管理制度的制定和发布程序、格式要求及版本编号等内容);5. 安全管理制度的收发登记记录(通过正式、有效的方式收发,并注明发布范围);6. 安全管理制度体系的评审记录;7. 安全管理制度的检查或评审记录(相关人员的评审意见);8. 如果对制度做过修订,提供修订版本的安全管理制度。安全管理机构相关安全管理文档列表1. 部门、岗位职责文件(1.明确安全管理机构的职责,是否

4、明确安全主管、安全管理各个方面负责人的职责;2. 明确系统管理员、网络管理员、安全管理员等各个岗位职责;3. 明确机构内各部门的职责和分工;4. 明确各个岗位人员应具有的技能要求)2. 信息安全管理委员会或领导小组最高领导的委任授权书;3. 信息安全管理委员会或领导小组职责文件(明确管理委员会或领导小组职责和其最高领导岗位的职责);4. 安全管理各部门和信息安全管理委员会或领导小组的日常管理工作执行情况的文件或工作记录;5. 人员配备要求管理文档(说明配备的安全管理人员岗位,明确关键事务岗位的人员配备);6. 安全管理各岗位人员信息表;7. 审批管理制度文档(1.审批事项、审批部门、需逐级审批

5、的事项、批准人、审批程序等;2.明确系统变更、重要操作、物理访问和系统接入等事项的审批流程;4. 明确需定期审查、更新审批的项目、审批部门、批准人和审查周期等);8. 经逐级审批的文档记录;9. 关键活动的审批过程记录;10. 组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录(会议内容、会议时间、参加人员和会议结果等)11. 信息安全领导小组或者管理委员会定期例会会议文件或会议记录(会议内容、会议时间、参加人员、会议结果等)12. 组织机构内部人员联系表;13. 外联单位联系列表(1.包含公安关、电信公司、兄弟单位等;2.包含供应商、业界专家、专业的安全公司和安全组织等;3

6、. 说明外联单位的名称、合作内容、联系人和联系方式等内容);14. 安全顾问名单或者聘请安全顾问的证明文件;15. 安全顾问指导信息安全建设、参与安全规划和安全评审的相关文档或记录;16. 安全检查管理制度文档(1.安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;2. 规定定期进行全面安全检查;3.规定检查内容、检查程序和检查周期等,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等);17. 全面安全检查报告(1.安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;2. 检查内容、检查人员、检查数据汇

7、总表、检查结果等的描述);18. 安全管理员定期实施安全检查的报告(系统日常运行、系统漏洞和数据备份等情况);19. 执行安全检查时的安全检查表、安全检查记录和结果通告记录;人员安全管理相关安全管理文档列表1. 人员录用要求管理文档(说明录用人员应具备的条件,如学历、学位要求,技术人员应具备的专业技术水平,管理人员应具备的安全管理知识等);2. 人员录用时对录用人身份、背景、专业资格和资质等进行审查的相关文档或记录(审查内容和审查结果等);3. 技能考核文档或记录(记录考核内容和考核结果等);4. 保密协议(保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容);5. 岗位安全协议

8、(岗位安全责任定义、协议的有效期限和责任人签字等内容);6. 离岗管理文档(1.人员离岗要求;2. 调离手续);7. 离岗后,交还身份证件和设备等的安全处理记录;8. 按照离岗程序办理调离手续的记录;9. 保密承诺文档,查看调离人员的签字;10. 考核记录(1.考核人员各个岗位的人员;2.考核内容安全知识、安全技能等);11. 人员安全审查记录(包括各个岗位人员);12. 关键岗位人员特殊的安全审查内容记录;13. 安全责任和惩戒措施管理文档(具体的安全责任和惩戒措施);14. 信息安全教育和培训计划文档(1.不同岗位的培训计划;2.明确了培训方式、培训对象、培训内容、培训时间和地点等;3.培

9、训内容信息安全基础知识、岗位操作规程等);15. 安全教育和培训的结果记录(1.培训人员、培训内容、培训结果等的描述;2.记录与培训计划须一致);16. 外部人员访问管理文档(明确允许外部人员访问的范围(区域、系统、设备、信息等内容),外部人员进入的条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制措施(由专人全程陪同或监督等)等);17. 外部人员访问重要区域的书面申请文档(批准人允许访问的批准签字等);18. 外部人员访问重要区域的登记记录(记录外部人员访问重要区域的进入时间、离开时间、访问区域及陪同人等)。系统建设管理相关安全管理文档列表1. 系统定级文档(

10、1.明确信息系统的边界和信息系统的安全保护等级;2. 定级的方法和理由;3. 相关部门或主管领导的盖章或签名,或相关部门对定级结果的批复文件);2. 定级结果的专家论证文档(有关安全技术专家对定级结果的论证意见);3. 系统安全建设的工作计划文件(明确了系统的近期安全建设计划和远期安全建设计划);4. 系统总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等配套文件,及机构管理层对这些文件的批准意见;5. 配套文件的论证论证意见(相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的论证意见);6. 总体安全策略、安全

11、技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本;7. 产品采购管理文档(明确需要的产品性能指标,产品的候选范围,明确需经招投标等方式确定采购产品,采购过程中的人员行为准则);8. 安全产品和密码产品的相关凭证(销售许可等)(抽样);9. 产品选型测试结果文档、候选产品名单审定记录或更新的候选产品名单;10. 软件开发管理制度(明确软件设计、开发、测试、验收过程的控制方法和人员行为准则);11. 代码编写安全规范(明确代码编写规则);12. 软件设计的相关文档(软件需求分析、设计文档、测试文档等)13. 检查对程序资源库的修改、更新、发布进行授权和审批的文档

12、或记录(批准人的签字);14. 外包软件:软件需求分析说明书、软件设计说明书、软件操作手册、软件源代码文档等软件开发文档和使用指南;15. 外包软件:源代码(1.软件源代码审查记录;2.可能存在后门的审查结果);16. 工程实施方案(工程时间限制、进度控制和质量控制等方面内容);17. 按照工程实施形成的阶段性工程报告等文档;18. 工程实施管理制度(包括工程实施过程的控制方法、实施参与人员的行为准则等方面内容);19. 工程测试验收方案(明确说明参与测试的部门、人员、测试验收内容、现场操作过程等);20. 系统测试验收记录(详细记录了测试时间、人员、操作过程、测试结果等);21. 系统安全性

13、测试验收报告(第三方测试机构的签字或盖章);22. 系统测试验收报告;23. 相关部门和人员对系统测试验收报告进行审定的意见(相关部门或人员的签字或盖章);24. 系统测试验收管理文档(说明系统测试验收的过程控制方法、参与人员的行为规范等);25. 系统交付清单(说明系统交付的各类设备、软件、文档等);26. 系统交付技术培训记录(括培训内容、培训时间和参与人员等);27. 系统交付提交的文档(系统建设过程中的文档(如系统设计方案等)、指导用户进行系统运维的文档(如用户操作手册等)等);28. 系统交付管理文档(系统交付的控制方法和对交付参与人员的行为限制等方面内容);29. 系统等级及相关材

14、料报主管部门备案的记录或备案文档;30. 系统等级及相关备案材料报相应公安机关备案的记录或证明;31. 自系统运行至今(信息系统等级保护政策全面施行以来)的每年的等级测评报告;32. 系统定级相关材料的使用控制记录;33. 与安全服务商签订的安全责任合同书或保密协议等文档(保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等);34. 与安全服务商签订的服务合同或安全责任合同书(服务内容、服务期限、双方签字盖章)。系统运维管理相关安全管理文档列表1. 机房安全管理制度(覆盖机房物理访问、物品带进带出、机房环境安全等方面);2. 办公环境管理文档(包括工作人员离开座位时退出登陆状态、桌面

15、没有敏感信息文件、人员调离办公室时立即收回钥匙、不在办公区接待来访人员等);3. 机房基础设施维护记录;4. 资产清单(覆盖资产责任部门、责任人、所处位置和重要程度等方面);5. 资产安全管理方面的制度(1.明确信息资产管理的责任部门、责任人;2.查看其内容是否覆盖资产使用、借用、维护等方面);6. 信息分类文档(明确信息分类标识的原则和方法);7. 介质安全管理制度(介质的存放环境、使用、维护和销毁等方面的规定);8. 介质使用管理记录(记录介质存储、归档、查询和使用等情况);9. 设备安全管理制度(1. 规定各种软硬件设备的选型、采购、发放和领用等;2. 对涉外维修和服务的审批、维修过程的

16、监督控制管理等要求);10. 配套设施、软硬件维护方面的管理制度(明确维护人员责任、涉外维修和服务的审批、维修过程的监督控制管理等);11. 设备使用管理文档(终端计算机、便携机和网络设备等使用、操作原则、注意事项等方面);12. 主要设备(包括备份和冗余设备)的操作规程设备启动、停止、加电/断电等操作的操作规程);13. 设备维护记录和主要设备的操作日志;14. 监测记录,记录监控对象、监控内容、监控的异常现象处理等方面;15. 监测分析报告(包括监测的异常现象、处理措施等);16. 网络安全管理制度(1.覆盖网络安全配置、安全策略、升级与打补丁、授权访问、日志保存时间、口令更新周期等方面内

17、容;2. 明确了允许或者拒绝便携式和移动式设备网络接入的规定);17. 网络漏洞扫描报告(扫描时间间隔与扫描周期一致);18. 网络设备配置文件的离线备份文件;19. 网络审计日志;20. 内部网络外联的授权批准书;21. 系统安全管理制度(覆盖系统安全策略、安全配置、日志管理和日常操作流程等);22. 详细操作记录(重要的日常操作、运行维护记录、参数的设置和修改等内容);23. 系统运行日志和审计数据的分析报告;24. 系统漏洞扫描报告;25. 恶意代码防范方面的管理文档(覆盖防恶意代码软件的授权使用、恶意代码库升级、定期汇报等);26. 恶意代码检测记录、恶意代码库升级记录(升级时间、升级

18、版本等)和分析报告(描述恶意代码的特征、修补措施等);27. 密码使用方面的管理制度28. 系统变更方案(覆盖变更类型、变更原因、变更过程、变更前评估、变更失败恢复程序等方面内容);29. 重要系统的变更申请书;30. 变更管理制度(覆盖变更前审批、变更过程记录、变更后通报等方面内容);31. 变更控制的申报、审批程序(规定需申报的变更类型、申报流程、审批部门、批准人等方面内容);32. 变更失败恢复程序说明文件(规定变更失败后的恢复流程);33. 变更方案评审记录和变更过程记录文档;34. 备份与恢复方面的管理制度(明确了备份方式、备份频度、存储介质和保存期等);35. 数据备份与恢复策略文档(指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法等);36. 备份和恢复记录(备份内容、备份操作、备份介质存放等);37. 安全事件报告和处置管理制度(明确安全事件的类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责及流程);38. 安全事件定级文档(安全事件的定义、等级划分原则、等级描述等内容);39. 安全事件处理记录分析文档(1.记录引发安全事件的原因;2.记录事件处理过程;3

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论