管理制度体系建设

一般情况下，一套全面的安全管理制度体系最常见的为四层架构，即由网络安全工作的总体方针策略、各种安全管操作规程和安全配置规范、各类记录表单构成。

一级文件： 安全策略：阐明使命和意愿，明确安全总体目标，范围、原则和安全框架等，建立工作运行模式等。

二级文件： 管理制度：对信息系统的建设、开发、运维升级和改造各个阶段和环节应遵循的行为加以规范。

三级文件： 操作规范：对各项的具体操作步骤和方法，可以是一个手册、一个流程图、或者是一个实施方法。

四级文件： 记录表单：日常运维记录、审批记录、会议纪要等文档。

以等保三级为例，通常情况下所需的制度、文档清单如下：

文件级别	分类	文件内容
一级文件	安全策略	安全策略总纲
二级文件	管理制度	管理制度制定、发布、维护方面的管理制度
	安全管理机构	安全组织及岗位职责管理制度
		授权审批类制度
		安全审核和检查制度
		....
	安全管理人员	人员录用、离岗、考核等方面的管理制度
		人员安全教育和培训方面的管理制度
		外部人员管理制度
		....
	安全建设管理	工程实施过程管理方面的管理制度
		产品选型、采购方面的管理制度
		测试、验收、交付方面的管理制度
		软件开发管理制度
		代码编写安全规范
		外包软件开发管理制度
		......
	安全运维管理	办公环境管理制度
		机房安全管理制度
		资产安全管理制度
		介质安全管理制度
		设备安全管理制度
		网络系统安全管理制度
		恶意代码防范管理制度
		密码管理制度
		配置管理制度
		变更管理制度
		备份与恢复管理制度
		安全事件管理制度
		应急预案管理制度（包括各类专项应急预案）
		......
三级文件	配置规范	网络/安全设备、操作系统、数据库等的配置基线
	操作手册	应用软件设计程序文件
		软件使用指南
		源代码说明文档
		操作运维手册（流程表单/图、实施方法）
		......
四级文件	记录、表单类	制度制定、修改记录
		各类审批记录
		培训记录
		会议记录
		安全检查表、安全检查报告等
		安全管理岗位人员信息表
		网络安全外联单位沟通合作联系表
		保密协议
		关键岗位安全协议
		人员录用、离职记录
		程序资源库的修改、更新、发布进行授权审批记录
		工程实施方案
		测试验收方案、记录等
		安全测试报告
		交付清单
		服务供应商合同、协议等
		对服务供应商的安全考核记录
		外部人员访问登记登记审批表
		外部人员访问登记记录表
		外部人员保密协议
		采购申请审批单
		资产清单
		等级保护对象资产报废申请表
		设备出门条
		设备维护记录表
		网络安全事件报告表
		系统异常事件处理记录
		应急处置审批表
		漏洞扫描、风险评估报告
		恶意代码检查记录、病毒处置记录
		数据备份、恢复测试等记录
		日常运维表单、记录
		系统变更方案、审批记录
		应急演练、培训记录
		......

企业可以根据自身情况进行选择调整，比如：没有自己的开发团队，那么软件开发管理制度、代码编写安全规范，就可以没有；软件定制开发交由外包团队开发实现，则需要外包开发管理制度。