第三章  计算机网络安全技术



                   （2）网络安全管理制度
                   网络安全策略确定后，企业应对安全管理活动中的各类管理内容建立相应
               的安全管理制度，并对管理人员或操作人员执行的日常管理操作建立操作规程，

               形成由安全策略、管理制度、操作规程、记录表单等构成的安全管理制度体系。
               网络安全管理制度的制定应当结合本单位具体的业务情况和所需要的安全防护等
               级，覆盖范围应当全面。基本的管理制度应当包括机房管理、网络建设管理、信
               息系统建设管理、信息设备与存储设备管理、账号凭证管理、软件安装管理、计

               算机病毒防护、信息导入导出管理、信息系统运维管理等内容，企业可根据自身
               的业务情况进行调整，对安全管理过程中的各类管理内容做出明确规定，并确保
               制度的权威性与可执行性。
                   （3）网络安全操作规程

                   网络安全操作规程是本单位安全策略和制度的细化和补充，规定了企业在本
               单位网络安全策略和管理制度框架下实施安全管理操作的具体要求。操作规程的
               内容应当明确、具体且具备可操作性，不能背离本单位网络安全策略和管理制度。
               网络安全策略、管理制度、操作规程三者构成了企业网络安全制度体系，相关制

               度体系文件应由专门的部门通过正式途径发布并定期修订。企业在按照网络安全
               体系文件开展业务的同时，对于一定期限内产生的数据、流程表单等资料应当予
               以保存。

                   2. 安全管理机构
                   在等级保护 2.0 标准下，为了落实网络安全职责，推动网络安全管理体系的
               建立，企业需要建立决策、管理、执行、监督四级网络安全管理机构。
                   （1）决策机构
                   决策机构是指导和管理网络安全工作的委员会或领导小组，其最高领导由单

               位主管领导担任，成员由相关部门负责人担任，其主要职责包括但不限于以下几
               个方面：贯彻执行国家网络安全相关法律法规和标准，提出贯彻意见并监督实施；
               研究部署本单位网络安全工作，组织、协调、指导、监督本单位网络安全工作的
               开展；组织制定网络安全管理制度、工作流程和安全策略，确定各有关部门的工

               作职责；落实年度网络安全规划以及网络安全宣传、教育和培训等工作；与国家
               或地方相关业务主管部门建立联系渠道，及时沟通网络安全工作事宜。





                                                                                      119