#等保# #信息安全# #机房#

在我们之前的内容中，分享了等保定级检测对机房物理安全测评指标的规范要求。其实机房的物理安全是一方面，机房安全最重要的方面还是管理，那么今天我们就主要讲机房建设以后，关于等保定级检测对机房安全管理制度和安全管理机构要求的测评指标又有哪些内容呢？

1、机房安全管理制度要求

(1) 具体要求

a)应制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架等；

b)应对安全管理活动中重要的管理内容建立安全管理制度，以规范安全管理活动，约束人员的行为方式；

c)应对要求管理人员或操作人员执行的重要管理操作，建立操作规程，以规范操作行为，防止操作失误；

d)应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。

(2) 制定和发布

a) 应在信息安全职能部门的总体负责下，组织相关人员制定；

b)应具有统一的格式，并进行版本控制；

c)应组织相关人员对制定的安全管理进行论证和审定；

d)应通过正式、有效的方式发布；

e)应注明发布范围，并对收发文进行登记。

(3) 评审和修订

a)应由信息安全小组负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定；

b)应定期对安全管理制度进行评审和修订，对存在不足或需要改进的安全管理制度进行修订；

2、机房安全管理机构要求

(1) 岗位设置

a)应设立信息安全管理工作的职能部门，设立安全主管人、安全管理各个方面的负责人，定义各负责人的职责；

b)应设立系统管理人员、网络管理人员、安全管理人员岗位，定义各个工作岗位的职责；

c)应成立指导和管理信息安全工作委员会或领导小组，其最高领导由单位主管领导委任或授权；

d)应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求

(2) 人员配备

a)应配备一定数量的系统管理人员、网络管理人员、安全管理人员等；

b)应配备专职安全管理员，不可兼任；

c)应在关键事务岗位配备多人共同管理。

(3) 授权和审批

a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等；

b)应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度；

c)应定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息；

d)应记录审批过程并保存审批文档。

(4) 沟通与合作

a)应加强各类管理人员和组织内部机构之间的合作与沟通，定期或不定期召开协调会议，共同协助处理信息安全问题；

b)应加强与兄弟单位、公安机关、电信公司的合作与沟通，以便在发生安全事件时能够得到及时的支持；

c)应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通；

d)应建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息；

e)应聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等。

(5) 审核与检查

a)应由安全管理人员定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况；

b)应由内部人员或上级单位定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等；

c)应制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报；

d）应制定安全审核和安全检查制度规范安全审核和安全检查工作，定期按照程序进行安全审核和安全检查活动。

如果觉得我的头条内容对您有用，可点击右下角箭头分享转发！欢迎给我留言分享，点击右上关注“小强说弱电”，持续为您创作有价值的弱电行业内容！#管理# #弱电工程#

相关标签：