03-三级等保需要的文档

三级等保需要的文档物理安全层面1、机房进出登记表（记录人员进出机房的情况，包含姓名、身份证号、进出的日期时间、携带的设备、事由、陪同人员等）2、机房进出申请审批表（带有申请审批记录的机房出入授权表）3、机房安全验收报告（针对自建机房）/机房环境租用协议（针对服务器托管在第三方机房）4、机房环境巡检记录网络安全层面5、网络拓扑图（绘制与当前运行情况相符的网络拓扑结构图）应用安全层面6、应用系统的详细设计说明书7、应用系统操作说明书8、应用系统的安全验收报告安全管理制度层面9、信息安全总体方针和安全策略文档（说明机构安全工作的总体目标、范围、原则和安全框架等）10、信息系统重要操作规范（比如：备份安全操作规范、系统变更操作规范、系统升级操作规范、数据迁移操作规范等）安全管理机构层面11、安全管理职能部门的岗位职责、分工和技能要求（描述与信息安全管理相关的各岗位职责、分工和胜任这份工作的所要求的具备的技能）12、授权管理清单（根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等）13、对被测系统相关重要事项建立审批程序，并符合逐级审批要求（对系统变更、重要操作、物理访问和系统接入等事项建立审批程序）14、重要事项申请审批表15、外联单位联系列表（包括外联单位名称、合作内容、联系人和联系方式等信息）16、安全检查表（检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等）17、安全审核和安全检查制度（比如规定检查周期、检查责任、检查对象、检查内容、检查后问题处置等）人员安全管理层面18、人员录用过程管理规范（描述人员录用流程、考查资格/资质、背景调查以及技能考核等要求）19、信息安全保密协议（与全体人员签订保密协议）20、岗位安全协议（与重要岗位人员签订岗位安全协议）21、人员离职离岗管理规范（规范离职/离岗流程、注销相关系统账户、取回公司物品、离职后的保密要求等）22、信息安全考核计划/考核表/考核记录（针对各岗位的人员进行的信息安全考核）23、信息安全教育培训计划/培训课件/培训记录（对各岗位进行的信息安全意识、安全技能方面的培训、定期培训计划、培训记录等）24、安全惩戒措施规范25、外部人员访问安全管理规范（描述允许外部人员访问的区域/对象、访问接待规范、访问过程管理规范等）系统建设管理层面26、系统定级报告27、系统安全建设总体规划方案（描述近期和远期的安全建设工作计划）28、信息安全设计方案（包括安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案）29、信息安全设计方案的论证审批记录（通过单位领导、专家的论证证明信息安全设计方案的合理性、科学性、可行性等）30、目前所使用的信息安全产品的安全资质证书（如销售许可证、产品型号证书、3C认证证书等）31、目前所使用的密码产品的安全资质证书（如商用密码销售许可证等）32、软件开发安全管理制度（明确说明开发过程的控制方法和人员行为准则）33、代码编写安全规范（要求开发人员参照规范编写代码）34、程序资源库访问授权审批表（证明对程序资源库的修改、更新、发布进行授权和批准）35、外包软件开发安全承诺书或安全测试报告36、信息系统集成工程实施方案37、信息系统工程实施方面的管理制度38、信息系统测试验收过程管理规定（对系统测试验收的控制方法和人员行为准则进行书面规定）39、信息系统测试验收方案和测试验收报告（要有相关部门的盖章确认）40、项目验收交付清单41、信息系统建设过程中的文档和指导用户进行系统运行维护的文档（类似于4、5、6，但范围大于应用软件）42、信息系统交付过程管理规定（对系统交付的控制方法和人员行为准则进行书面规定）43、系统备案证明44、与安全服务商的合作协议（判定选择的安全服务商是否符合国家要求，且是否进行安全责任的约束）系统运维管理层面45、机房安全管理制度（对有关机房物理访问，物品带进、带出机房和机房环境安全等方面作出规定）46、办公环境管理规定（规范办公环境人员行为，包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等）47、信息系统相关资产清单（包括资产责任部门、重要程度和所处位置等内容）48、信息系统资产安全管理制度（规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行为）49、信息分类与标识规范（规定信息分类与标识的原则和方法，并对信息的使用、存储和传输等进行规范化管理。）50、介质安全管理制度（对介质的存放环境、使用、维护和销毁等方面作出规定）51、设备安全管理制度（基于申报、审批和专人负责的管理办法，对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理）52、基础设施设备软硬件维护管理制度（对其维护进行有效的管理，包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等）53、网络安全管理制度（对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定）54、建立系统安全管理制度（对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定）55、建立防病毒方面的管理制度56、建立密码使用管理制度（此项是针对密码产品的，而不是一般的口令，若没有使用密码产品可忽略）57、信息系统变更管理制度（要求系统发生变更前，向主管领导申请，变更和变更方案经过评审、审批后方可实施变更，并在实施后将变更情况向相关人员通告）58、变更控制的申报和审批文件化程序（对变更影响进行分析并文档化，记录变更实施过程，并妥善保存所有文档和记录）59、中止变更或失败变更处理程序（明确过程控制方法和人员职责，必要时对恢复过程进行演练。）60、备份与恢复管理相关的安全管理制度（对备份信息的备份方式、备份频度、存储介质和保存期等进行规范）61、控制数据备份和恢复过程的程序（对备份过程进行记录，所有文件和记录应妥善保存）62、制定安全事件报告和处置管理制度（明确安全事件的类型，规定安全事件的现场处理、事件报告和后期恢复的管理职责；确定事件的报告流程，响应和处置的范围、程度，以及处理方法等）63、制定不同事件的应急预案（应急预案框架应包括启动预案的条件、应急处理流程、系统恢复流程和事后教育和培训等内容）