7.4　管理措施的實現

7.4　管理措施的實現

7.4.1　安全管理制度的建設和修訂

活動目標：
本活動的目標是依據國家網絡安全相關政策、標準、規范，制定、修訂并落實與等級保護對象安全管理相配套的、包括等級保護對象的建設、開發、運行、維護、升級和改造等各個階段和環節所應當遵循的行為規范和操作規程。
參與角色：運營、使用單位，網絡安全服務機構。
活動輸入：安全詳細設計方案。
活動描述：
本活動主要包括以下子活動內容：
a) 應用范圍明確
管理制度建立首先要明確制度的應用范圍，如機房管理、賬戶管理、遠程訪問管理、特殊權限管理、設備管理、變更管理、資源管理等方面。
b) 行為規范規定
管理制度是通過制度化、規范化的流程和行為約束，來保證各項管理工作的規范性。
c) 評估與完善
制度在發布、執行過程中，要定期進行評估，保留評估或評審記錄。根據實際環境和情況的變化，對制度進行修改和完善，規范總體安全方針、安全管理制度、安全操作規程、安全運維記錄和表單四層體系文件的一致性，必要時考慮管理制度的重新制定，并保留版本修訂記錄。

7.4.2　安全管理機構和人員的設置

活動目標：
本活動的目標是建立配套的安全管理職能部門，通過管理機構的崗位設置、人員的分工和崗位培訓以及各種資源的配備，保證人員具有與其崗位職責相適應的技術能力和管理能力，為等級保護對象的安全管理提供組織上的保障。
參與角色：運營、使用單位，等級保護對象管理人員，網絡安全服務機構。
活動輸入：安全詳細設計方案，安全成員及角色說明書，各項管理制度和操作規范。
活動描述：
本活動主要包括以下子活動內容：
a) 安全組織確定
識別與網絡安全管理有關的組織成員及其角色，例如：操作人員、文檔管理員、系統管理員、安全管理員等，形成安全組織結構表。
b) 角色說明
以書面的形式詳細描述每個角色與職責，明確相關崗位人員的責任和權限范圍，并要征求相關人員的意見，要保證責任明確，確保所有的風險都有人負責應對。
c) 人員安全管理
針對普通員工、管理員、開發人員、主管人員以及安全人員開展特定技能培訓和安全意識培訓，培訓后進行考核，合格者頒發上崗資格證書等。

7.4.3　安全實施過程管理

活動目標：
本活動的目標是在等級保護對象定級、規劃設計、實施過程中，對工程的質量、進度、文檔和變更等方面的工作進行監督控制和科學管理。
參與角色：運營、使用單位，網絡安全服務機構，網絡安全產品供應商。
活動輸入：安全設計與實施階段參與各方相關進度控制和質量監督要求文檔。
活動描述：
本活動主要包括以下子活動內容：
a) 整體管理
整體管理需要在等級保護對象建設的整個生命周期內，圍繞等級保護對象安全級別的確定、整體計劃制定、執行和控制，通過資源的整合將等級保護對象建設過程中所有的組成要素在恰當的時間、正確的地方、合適的人物結合在一起，在相互影響的具體目標和方案中權衡和選擇，盡可能地消除各單項管理的局限性，保證各要素（進度、成本、質量和資源等）相互協調。
b) 質量管理
在創建等級保護對象的過程中，要建立一個不斷測試和改進質量的過程，在整個等級保護對象的生命周期中，通過測量、分析和修正活動，保證所完成目標和過程的質量。
c) 風險管理
為了識別、評估和減低風險，以保證工程活動和全部技術工作項目均得到成功實施。在整個等級保護對象建設過程中，風險管理要貫穿始終。
d) 變更管理
在等級保護對象建設的過程中，由于各種條件的變化，會導致變更的出現，變更發生在工程的范圍、進度、質量、成本、人力資源、溝通和合同等多方面。每一次的變更處理，必須遵循同樣的程序，即相同的文字報告、相同的管理辦法、相同的監控過程。必須確定每一次變更對系統成本、進度、風險和技術要求的影響。一旦批準變更，必須設定一個程序來執行變更。
e) 進度管理
等級保護對象建設的實施必須要有一組明確的可交付成果，同時也要求有結束的日期。因此在建設等級保護對象的過程中，必須制訂項目進度計劃，繪制進度網絡圖，將系統分解為不同的子任務，并進行時間控制確保項目的如期完成。
f) 文檔管理
文檔是記錄項目整個過程的書面資料，在等級保護對象建設的過程中，針對每個環節都有大量的文檔輸出，文檔管理涉及等級保護對象建設的各個環節，主要包括：系統定級、規劃設計、方案設計、安全實施、系統驗收、人員培訓等方面。