等级保护（等保）之—安全管理

信息安全等级保护，是从信息系统安全相关的管理层面和技术层面，对信息和信息系统实施分等级的安全保护。

管理层面贯穿于技术层面之中，是技术层面实施分等级安全保的保证。

组织管理层应按照信息系统自我保需求和国家监管部门要求，本着主要领导负责和全员参与的原则，制定组织信息安全策略，为信息系统安全管理制定行动方针、路线、工作方式、指导原则和程序，并根据安全策略和业务需求制定发布信息系统安全管理规程和制度。

对于安全管理制度一可能会问，安全管理制度为什么未发挥应有的作用，这是因为安全管理制度应下发到企业的每一位员工，同时保证安全管理制度得到切实的执行需要有完善的安全策略检查手段。

建立安全管理机构在管理层成立信息系统安全管理委员会和信息系统安全领导小组明确信息安全活动各岗位职责对覆盖全国和跨地区的组织机构应在总部和下级单位建立各级信息系统安全领导小组，在基层，至少要有一位专职的安全管理人员负责信息系统安全工作。

如果岗位职责定义不明晰，互相推诿怎么办，

岗位职责定系要明确到具体责任人，权限过于集中会加大安全管理风险

这个风险如何规避，要将管理员操作员安全员三者的全险分离

组织应建立人员安全管理制度，严格规范人员录用过程，进行专业资格审查和必要的身份背景调查，并签署保密协议；

关键岗位人员应从内部选拔并签署安全协议；

离岗或调岗人员应遵从严格的规范流程，及时终止访问权限并回收所有员岗位资源；

定期对各岗位人员进行安全审查、考核和安全意识教育培训，规范第三方人员的安全责任并签署合同书和协议，其对受控区域的访问应做到全面安全可控。

组织根据信息系统的重要程度进行系统定级，并报请上级主管部门批准（如果有），

明确系统边界和安全级别，并依据相应级别的基本要求进行安全方案设计。

安全产品的采购使用，应符合国家有关规定并进行必要的测试；

严格规范软件开发过程控制,对于外包开发的软件，安装前要进行质量的检测，确保不存在恶意代码和后门

交付后的系统应首先报当地公安机关进行等级备案，而后开展等级测评等后续工作。

系统安全建设的过程是在信息系统之上，根据等级保控制点要求实现安全防护的过程，交付前需要进行多次的测试、整改直至基本满足对应等级的基本要求。