【等级保护测试】安全管理中心、安全管理制度、安全管理机构-思维导图

安全管理中心

系统管理

1)应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计。

2)应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。

审计管理

3)应对审计管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作，并对这些操作进行审计。

4)应通过审计管理员对审计记录进行分析，并根据分析结果进行处理，包括根据安全审计策略对宙计记录进行存储、管理和查询等。

安全管理

5)应对安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全管理操作，并对这些操作进行审计。

6)应通过安全管理员对系统中的安全策略进行配置，包括安全参数的设置，主体、客体进行统一安全标记，对主体进行授权，配置可信验证策略等。

集中管控

7)应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控。

8)应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理。

9)应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。

10)应对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审治己录的留存时间符合法律法规要求。

11)应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。

12)应能对网络中发生的各类安全事件进行识别、报警和分析。

安全管理制度

安全策略

1)应制定网络安全工作的总体方针和安全策略，阐明机构安全工作的总体目标、范围、原则和安全框架等。

管理制度

2)应对安全管理活动中的各类管理内容建立安全管理制度。

3)应对管理人员或操作人员执行的日常管理操作建立操作规程。

4)应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。

制定和发布

5)应指定或授权专门的部门或人员负责安全管理制度的制定。

6)安全管理制度应通过正式、有效的方式发布，并进行版本控制。

评审和修订

7)应定期对安全管理制度的合理性和适用，性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。

安全管理机构

岗位设置

1)应成立指导和管理网络安全工作的委员会或领导小组，其最高领导由单位主管领导担任或授权。

2)应设立网络安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责。

3)应设立系统管理员、审计管理员和安全管理员等岗位，并定义部门及各个工作岗位的职责。

人员配备

4)应配备一定数量的系统管理员、审计管理员和安全管理员等。

5)应配备专职安全管理员，不可兼任。

授权和审批

6)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。

7)应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度。

8)应定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息。

沟通和合作

9)应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通，定期召开协调会议，共同协作处理网络安全问题。

10)应加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通。

11)应建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息。

审核和检查

12)应定期进行常规安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。

13)应定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。

14)应制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报。

安全管理中心

共计4个控制点，12个检测要求

安全管理制度

共计4个控制点，7个检测要求

安全管理机构

共计5个控制点，14个检测要求