本篇開(kāi)始進(jìn)入管理部分的介紹，文中內(nèi)容都是個(gè)人觀點(diǎn)，如有不對(duì)的地方歡迎糾正。文章以等保三級(jí)系統(tǒng)為基礎(chǔ)，從合規(guī)角度解讀要求。本部分為人員安全和安全管理機(jī)構(gòu)部分。

正文

寫(xiě)在前邊的幾句話，本來(lái)是打算技術(shù)部分寫(xiě)完就結(jié)束的，但有人評(píng)論回復(fù)說(shuō)希望能更新管理部分，所以就繼續(xù)更新了后邊的內(nèi)容。由于管理層面的東西偏向于宏觀，很多東西不像技術(shù)指標(biāo)，無(wú)法度量，各人有各自的理解，所以大家只當(dāng)做一個(gè)參考就好，很多要求描述也不同于技術(shù)層面，比較容易理解，所以可能會(huì)結(jié)合一些IT治理和資質(zhì)體系上的東西稍微展開(kāi)一點(diǎn)。沒(méi)有寫(xiě)安全管理機(jī)構(gòu)，是因?yàn)橐呀?jīng)有人寫(xiě)過(guò)，而且說(shuō)得也比較細(xì)，大家可以去看一下。

PS：看完27001、27002、COBIT5之后發(fā)現(xiàn)，等保和它們很像，但沒(méi)它們細(xì)，估計(jì)彼此都有借鑒之處。

| 7.2.1 **安全管理制度 || — || 7.2.1.1 管理制度（G3）a) 應(yīng)制定信息安全工作的總體方針和安全策略，說(shuō)明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等；b) 應(yīng)對(duì)安全管理活動(dòng)中的各類(lèi)管理內(nèi)容建立安全管理制度；c) 應(yīng)對(duì)要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程；d) **應(yīng)形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系。 |

安全制度部分的要求其實(shí)不難理解，但做起來(lái)挺費(fèi)事費(fèi)力也費(fèi)腦的，尤其對(duì)于剛開(kāi)始搞安全建設(shè)的企業(yè)，有好多工作需要開(kāi)展。

a）俗話說(shuō)“人無(wú)頭不走鳥(niǎo)無(wú)頭不飛”，不論國(guó)內(nèi)外，凡事都要有個(gè)目標(biāo)或目的，要有個(gè)合理的原有才能去做。這也是為什么國(guó)內(nèi)外所有體系和標(biāo)準(zhǔn)在管理上，都要把方針和策略放在第一位來(lái)說(shuō)，27001、27001的第一個(gè)控制域A5就是信息安全策略、CISSP、CISM第一章就是安全治理、CGEIT的第一章是企業(yè)IT治理框架、COBIT5的第一個(gè)動(dòng)力是原則、政策和框架而第一個(gè)流程就是確保治理框架的設(shè)定和維護(hù)。所以說(shuō)這點(diǎn)是安全建設(shè)的根本，大家不要覺(jué)得都是扯淡，沒(méi)什么卵用。如果是有經(jīng)驗(yàn)的CIO或CISO是非常重視IT治理目標(biāo)的。這個(gè)目標(biāo)簡(jiǎn)單概括就是要保證幾點(diǎn)：首先必需要符合企業(yè)戰(zhàn)略目標(biāo)，不能有沖突；其次IT要稱為推動(dòng)企業(yè)發(fā)展的動(dòng)力而非阻力；最后IT必要能為企業(yè)創(chuàng)造價(jià)值。這是宏觀層面的要求，也可以簡(jiǎn)單點(diǎn)，目標(biāo)就是保證企業(yè)本年度的宕機(jī)時(shí)間保證在多少小時(shí)內(nèi)，或是本年度重大級(jí)別安全事件發(fā)生不多于幾次（簡(jiǎn)單例子，便于理解）。當(dāng)然，企業(yè)越大目標(biāo)會(huì)越細(xì)。

b）這部分是總體性要求，就是說(shuō)對(duì)于安全相關(guān)的各類(lèi)活動(dòng)都要有相應(yīng)制度規(guī)范（機(jī)房管理、保密制度、系統(tǒng)上線管理、供應(yīng)商管理等），從檢查角度出發(fā)，不一定要多細(xì)，但是要有東西。從安全建設(shè)角度來(lái)看，提倡盡可能細(xì)化，但不代表啰嗦，廢話不要寫(xiě)，制度要挑干貨，可以作為指導(dǎo)手冊(cè)來(lái)引導(dǎo)員工完成日常工作。

c）工作指導(dǎo)手冊(cè)，一般企業(yè)是做不到這么細(xì)的，所以檢查中這項(xiàng)基本為扣分項(xiàng)。結(jié)合上一條所說(shuō)的內(nèi)容，這里比如一位運(yùn)維的同學(xué)，每天主要工作就是查看設(shè)備日志和配置信息以及備份，那么可以編寫(xiě)一本日常運(yùn)維管理操作手冊(cè)，里邊圖文方式知道管理員的操作步驟以及注意事項(xiàng)，這樣對(duì)于新人或臨時(shí)人員替換有很大幫助，從流程上來(lái)說(shuō)也便于實(shí)現(xiàn)標(biāo)準(zhǔn)化管理。（當(dāng)然現(xiàn)在的自動(dòng)化運(yùn)維也可以實(shí)現(xiàn)這類(lèi)工作，而且也是趨勢(shì)）

d） 公司管理體系或制度的一個(gè)總綱索引，類(lèi)似于27001的一級(jí)文檔，描述了信息安全體系背景，目標(biāo)，適用范圍以及包括哪些方面的管理規(guī)范（當(dāng)然下邊的各部分管理制度要有，不能光拿一個(gè)總綱當(dāng)做企業(yè)的安全體系，這是自欺欺人）。

| 7.2.1 **安全管理制度 || — || 7.2.1.2 制定和發(fā)布（G3）a) 應(yīng)指定或授權(quán)專門(mén)的部門(mén)或人員負(fù)責(zé)安全管理制度的制定；b) 安全管理制度應(yīng)具有統(tǒng)一的格式，并進(jìn)行版本控制；c) 應(yīng)組織相關(guān)人員對(duì)制定的安全管理制度進(jìn)行論證和審定；d) 安全管理制度應(yīng)通過(guò)正式、有效的方式發(fā)布；e) 安全管理制度應(yīng)注明發(fā)布范圍，并對(duì)收發(fā)文進(jìn)行登記。7.2.1.3 評(píng)審和修訂（G3）a) 信息安全領(lǐng)導(dǎo)小組應(yīng)負(fù)責(zé)定期組織相關(guān)部門(mén)和相關(guān)人員對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定；b) **應(yīng)定期或不定期對(duì)安全管理制度進(jìn)行檢查和審定，對(duì)存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。 |

這部分的內(nèi)容比較好理解了，其實(shí)屬于文檔規(guī)范的要求，企業(yè)應(yīng)該關(guān)注的幾個(gè)重點(diǎn)就是，文檔要有專門(mén)負(fù)責(zé)的人或部門(mén)，每個(gè)版本都要有留存（因?yàn)闄z查的時(shí)候要用，此外內(nèi)外審的時(shí)候也有用），每年要至少對(duì)現(xiàn)有制度評(píng)審和修訂1次，偷懶點(diǎn)說(shuō)，哪怕你只改個(gè)版本號(hào)，改下描述也可以，不過(guò)倒不建議大家這么來(lái)做安全建設(shè)（=__,=）。再就是流程的事了，制度更新一定要在OA或者內(nèi)部正式發(fā)布并通知到所有相關(guān)部門(mén)（比如機(jī)房管理制度，就沒(méi)必要通知研發(fā)部門(mén)）。

其中還提到了一點(diǎn)，對(duì)合理性和適用性進(jìn)行審定，普通企業(yè)一般做不到這點(diǎn)，要具備一定建設(shè)規(guī)模后才可能有經(jīng)歷去做這些持續(xù)改進(jìn)的事情，不是強(qiáng)制要求的，但建議去做，因?yàn)槌掷m(xù)改進(jìn)在國(guó)外體系中是重點(diǎn)。

| 7.2.3 **人員安全管理 || — || 7.2.3.1 人員錄用（G3）a) 應(yīng)指定或授權(quán)專門(mén)的部門(mén)或人員負(fù)責(zé)人員錄用；b) 應(yīng)嚴(yán)格規(guī)范人員錄用過(guò)程，對(duì)被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查，對(duì)其所具有的技術(shù)技能進(jìn)行考核；c) 應(yīng)簽署保密協(xié)議；d) **應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員，并簽署崗位安全協(xié)議。 |

這塊其實(shí)大部分是人力的事，不過(guò)既然標(biāo)準(zhǔn)中提到了，那么我們作為中層或基層的也要明白該做些什么。人員管理每家公司都會(huì)有自己的管理制度，其他的可以缺，這塊一般都不會(huì)缺。錄用前要對(duì)錄用人進(jìn)行背景調(diào)查，不是詢問(wèn)本人那種，要真的去做一下調(diào)查，之前公司的回訪、社保情況調(diào)查、家庭背景簡(jiǎn)單調(diào)查都要做一下，這里不是為了檢查，主要是為了不要預(yù)留隱患。

保密協(xié)議不用多說(shuō)，必須簽署，有的還會(huì)簽署競(jìng)爭(zhēng)保護(hù)協(xié)議（不過(guò)沒(méi)什么卵用，法律上也不承認(rèn)）。對(duì)于關(guān)鍵核心類(lèi)的崗位，一般會(huì)從內(nèi)部提拔（政府和國(guó)企都是這樣的，中高層很少社會(huì)招聘，一方面考慮安全問(wèn)題，一方面你懂的）。對(duì)于企業(yè)可能目前國(guó)內(nèi)環(huán)境不太好做到這點(diǎn)，畢竟人員流程性太大，你想提拔的人沒(méi)過(guò)多久就離職了。所以很多主管、CIO、CISO的職位都是挖來(lái)的，首先要花一段時(shí)間了解公司情況，業(yè)務(wù)以及現(xiàn)有體系，此外個(gè)部門(mén)以及下屬員工都要一一了解。最后提到的崗位安全協(xié)議，有點(diǎn)類(lèi)似勞動(dòng)合同，不過(guò)規(guī)定的是甲方乙方的職責(zé)和義務(wù)，以及處罰等條款。

這里貼一下國(guó)外系統(tǒng)對(duì)于人員管理的一些要求（摘選自CISSP OSG）

人員安全管理措施：招聘前的需求定義與分析，對(duì)應(yīng)聘者背景進(jìn)行調(diào)查，簽署雇傭合同和保密協(xié)議，加強(qiáng)在職人員的安全管理，嚴(yán)格控制員工離職程序。

背景調(diào)查的目的是防止因人員解雇而導(dǎo)致的法律訴訟、因雇傭疏忽而導(dǎo)致的第三方法律訴訟、雇傭不合格人員、丟失商業(yè)機(jī)密。PS：?jiǎn)T工從一般崗位轉(zhuǎn)入信息安全重要崗位，應(yīng)對(duì)其進(jìn)行檢查。

簽訂保密協(xié)議：NDA（NonDisclosure Agreement保密協(xié)議）和NCA（NonCompete Agreement競(jìng)業(yè)禁止協(xié)議）。協(xié)議上應(yīng)有員工簽名并由其保存一份副本，對(duì)于試用期員工，應(yīng)簽訂保密承諾。第三方用戶使用信息處理設(shè)施前，也要簽訂保密協(xié)議。

| 7.2.3 **人員安全管理 || — || 7.2.3.2 人員離崗（G3）a) 應(yīng)嚴(yán)格規(guī)范人員離崗過(guò)程，及時(shí)終止離崗員工的所有訪問(wèn)權(quán)限；b) 應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備；c) **應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)，關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務(wù)后方可離開(kāi)。 |

人員離職也是管理上的一個(gè)重點(diǎn)，如果員工蓄意搞事情，真的是沒(méi)什么辦法，雖然可以付諸法律，但是給企業(yè)造成的麻煩和損失是很大的。

一般確定員工離職后，國(guó)內(nèi)最先要做的是權(quán)限收回，辦理交接；國(guó)外首先是強(qiáng)制假期，然后是收回權(quán)限，最后進(jìn)行交接。有些區(qū)別的。此外，這里強(qiáng)調(diào)人員離職前要人力部門(mén)再次確認(rèn)一次保密義務(wù)，這點(diǎn)很多企業(yè)都沒(méi)有去落實(shí)。

其實(shí)對(duì)于人員管理，我比較推崇黨內(nèi)那套思想教育的方式（也可以叫洗腦=。=）。按實(shí)際來(lái)看確實(shí)很有用，可以提高凝聚力，又可以提高員工的意思和覺(jué)悟，有助于人員的穩(wěn)定和管理，現(xiàn)在大多企業(yè)團(tuán)隊(duì)帶的一盤(pán)散沙，說(shuō)走就走，沒(méi)事就鬧矛盾，這樣的隊(duì)伍何談幫企業(yè)創(chuàng)造價(jià)值，能保證業(yè)務(wù)運(yùn)行已是不易。管理屬于新興學(xué)科，目前還在發(fā)展階段，好多沒(méi)聽(tīng)過(guò)的理論，其實(shí)深究也是一門(mén)技術(shù)（在看《管理學(xué)中的偉大思想》，緩慢進(jìn)行中），我比較提倡人性格管理，因人施教，發(fā)揮個(gè)人的強(qiáng)項(xiàng)，團(tuán)隊(duì)內(nèi)、團(tuán)隊(duì)間互補(bǔ)，不要搞全能型、平衡化的管理和計(jì)劃，要什么人是招聘前要計(jì)劃好的，而不是招聘后去改變一個(gè)人。

| 7.2.3 **人員安全管理 || — || 7.2.3.3 人員考核（G3）a) 應(yīng)定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核；b) 應(yīng)對(duì)關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核；c) 應(yīng)對(duì)考核結(jié)果進(jìn)行記錄并保存。7.2.3.4 安全意識(shí)教育和培訓(xùn)（G3）a) 應(yīng)對(duì)各類(lèi)人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)；b) 應(yīng)對(duì)安全責(zé)任和懲戒措施進(jìn)行書(shū)面規(guī)定并告知相關(guān)人員，對(duì)違反違背安全策略和規(guī)定的人員進(jìn)行懲戒；c) 應(yīng)對(duì)定期安全教育和培訓(xùn)進(jìn)行書(shū)面規(guī)定，針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃，對(duì)信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn)；d) 應(yīng)對(duì)安全教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄并歸檔保存。** |

培訓(xùn)和考核放在一起說(shuō)，一般來(lái)說(shuō)是一個(gè)先后的順序。先說(shuō)培訓(xùn)，幾個(gè)必要的培訓(xùn)是每年都要做的：包括安全意識(shí)、保密意識(shí)、技術(shù)技能等，其他方面可以根據(jù)自身情況來(lái)計(jì)劃。這里安全意識(shí)建議每年2次（全員），保密培訓(xùn)每年2次（全員），技術(shù)培訓(xùn)（技術(shù)/關(guān)鍵崗位）根據(jù)實(shí)際情況來(lái)定。主要依據(jù)是國(guó)家安全服務(wù)資質(zhì)里的要求，沒(méi)有提到次數(shù)，但必須每年都要做的事。必須制定年度培訓(xùn)計(jì)劃，培訓(xùn)要保留PPT、講稿、簽到表等資料，如果有視頻更好（非硬性要求）。此外，標(biāo)準(zhǔn)提到安全責(zé)任和懲戒措施，這就是公司的員工手冊(cè)，一般總公司會(huì)有一份，各部門(mén)內(nèi)部可能也會(huì)有自己的手冊(cè)，里面明確哪些可做、哪些不可做，怎樣屬于違反規(guī)定，如何獎(jiǎng)勵(lì)、如何懲罰這類(lèi)的制度。要每年對(duì)安全相關(guān)人員進(jìn)行告知，結(jié)合前邊的安全崗位協(xié)議書(shū)要求，一起執(zhí)行。如果有違規(guī)事件，要保留記錄。

接著是考核，一般來(lái)說(shuō)培訓(xùn)之后會(huì)進(jìn)行考核，成績(jī)作為KPI考核項(xiàng)。雖然員工都很反感這種東西，但是畢竟有些事有些人，不強(qiáng)迫是不行的。從管理者的角度來(lái)看，這也是一種處置方法。對(duì)于全員的安全意識(shí)，可以不做考核；對(duì)于安全人員或運(yùn)維人員的技術(shù)培訓(xùn)，就要進(jìn)行考核，并且考核結(jié)果作為記錄保存。檢查的時(shí)候，一般會(huì)查看培訓(xùn)的簽到表、考試成績(jī)單、試卷等文檔。

| 7.2.3 **人員安全管理 || — || a） 應(yīng)確保在外部人員訪問(wèn)受控區(qū)域前先提出書(shū)面申請(qǐng)，批準(zhǔn)后由專人全程陪同或監(jiān)督，并登記備案；b) **對(duì)外部人員允許訪問(wèn)的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)進(jìn)行書(shū)面的規(guī)定，并按照規(guī)定執(zhí)行。 |

這部分就比較容易理解了，外來(lái)人員來(lái)訪登記，機(jī)房出入登記，外包服務(wù)人員簽到都屬于外部人員訪問(wèn)管理范疇，除了流程和登記過(guò)程外，還要有對(duì)外來(lái)人員的一些規(guī)定制度。這里貼一點(diǎn)之前給別人寫(xiě)的外部人員管理規(guī)范

結(jié)尾

以上為管理要求在安全制度管理和人員安全管理部分的要求。這部分東西不敢展得太開(kāi)，容易長(zhǎng)篇大論，主要還是停留在等保的層面，助于大家理解，本人思路偏甲方思維，乙方的同學(xué)不要吐槽。最后歡迎各位糾正和討論，歡迎提供各類(lèi)意見(jiàn)。

等級(jí)保護(hù)測(cè)評(píng)系列介紹

等級(jí)保護(hù)測(cè)評(píng)（一）：物理安全

等級(jí)保護(hù)測(cè)評(píng)（二）：網(wǎng)絡(luò)安全

等級(jí)保護(hù)測(cè)評(píng)（三）：主機(jī)安全

等級(jí)保護(hù)測(cè)評(píng)（四）：應(yīng)用與數(shù)據(jù)安全

等級(jí)保護(hù)測(cè)評(píng)（五）：制度與人員安全

等級(jí)保護(hù)測(cè)評(píng)（六）：系統(tǒng)建設(shè)管理

等級(jí)保護(hù)測(cè)評(píng)（七）：系統(tǒng)運(yùn)維管理