网络安全等级保护安全管理制度建设

网络安全等级保护安全管理制度建设
① 开展安全管理制度建设的依据

按照《管理办法》、《信息系统安全等级保护基本要求》，参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求，建立健全并落实符合相应等级要求的安全管理制度。

② 开展安全管理制度建设的内容

一是落实责任制。成立工作领导机构，明确工作的主管领导。成立专门的管理部门或落实责任部门，确定安全岗位，落实专职人员兼职人员。明确落实领导机构、责任部门和有关人员的责任。

二是落实人员安全管理制度。制定人员录用、离岗、考核、教育培训等管理制度，落实管理的具体措施。对安全岗位人员要进行安全审查，定期进行培训、考核和安全保密教育，提高安全岗位人员的专业水平，逐步实现安全岗位人员持证上岗。

三是落实系统建设管理制度。建立信息系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理制度，明确工作内容、工作方法、工作流程和工作要求。

四是落实系统运维管理制度。建立机房环境安全、存储介质安全、设备设施安全、安全监控、、系统安全、恶意代码防范、保护、备份与恢复、事件处置等管理制度，制定应急预案并定期开展演练，采取相应的管理技术措施和手段，确保系统运维管理制度的有效落实。

③ 开展安全管理制度建设的要求

在具体实施过程中，可逐项建立管理制度，也可以进行整合，形成完善的安全管理体系。要根据具体情况，结合系统管理实际，不断健全完善管理制度。同时，将管理制度与管理技术措施有机结合，确保安全管理制度得到有效落实。

建立并落实监督检查机制。备案单位定期对各项制度的落实情况进行自查，行业主管部门组织开展督导检查，公安机关会同主管部门开展监督检查。

开展网络安全等级保护安全技术措施建设

① 开展安全技术措施建设的依据

按照《管理办法》、《基本要求》，参照《实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》、《安全设计技术要求》等标准规范要求，建设信息系统安全保护技术措施。

② 开展安全技术措施建设的内容

结合行业特点和安全需求，制定符合相应等级要求的信息系统安全技术建设整改方案，开展技术措施建设，落实相应的物理安全、、主机安全、应用安全和等安全保护技术措施。在信息系统安全技术建设整改中，可以采取“一个中心、三维防护”（即一个安全管理中心和计算环境安全、区域边界安全和通信）的防护策略，实现相应级别信息系统的安全保护技术要求，建立并完善信息系统综合防护体系，提高信息系统的能力和水平。

③ 开展安全技术措施建设的要求

备案单位要开展信息系统安全保护现状分析，确定信息系统安全技术建设整改需求，制定信息系统安全技术建设整改方案，组织实施信息系统安全建设整改工程，开展安全自查和等级测评，及时发现信息系统中存在的安全隐患和威胁，进一步开展安全建设整改工作。