En circunstancias normales, un sistema integral de gestión de seguridad suele ser una estructura de cuatro capas, que consta de la política y estrategia generales del trabajo de seguridad de la red, varios procedimientos operativos de gestión de seguridad y especificaciones de configuración de seguridad, y varios formularios de registro.
Documento de primer nivel : Estrategia de seguridad : aclarar la misión y la voluntad, aclarar los objetivos generales de seguridad, el alcance, los principios y el marco de seguridad, etc., establecer el modo de operación del trabajo, etc.
Documentos secundarios: Sistema de gestión: Estandariza los comportamientos que se deben seguir en cada etapa y eslabón de la construcción, desarrollo, operación, mantenimiento, actualización y transformación del sistema de información.
Documentos de nivel 3: Especificaciones operativas: Pasos y métodos operativos específicos para cada elemento, que pueden ser un manual, un diagrama de flujo o un método de implementación.
Documentos de nivel 4: Formularios de registro: registros diarios de operación y mantenimiento, registros de aprobación, actas de reuniones y otros documentos.
Tomando como ejemplo la Clase III Nivel 3, la lista de sistemas y documentos requeridos en circunstancias normales es la siguiente:
| nivel de archivo |
Clasificación |
contenido del documento |
| documento de primer nivel |
estrategia de seguridad |
Descripción general de la estrategia de seguridad |
| documentos secundarios |
Sistema de gestión |
Sistema de gestión para formulación, liberación y mantenimiento del sistema de gestión. |
| agencia de gestión de seguridad |
Sistema de gestión de la organización de la seguridad y la responsabilidad laboral. |
|
| Sistema de autorización y aprobación |
||
| Sistema de inspección y auditoría de seguridad. |
||
| .... |
||
| gerente de seguridad |
Sistemas de gestión de contratación, salida, evaluación de personal, etc. |
|
| Sistema de gestión para la educación y formación en seguridad del personal. |
||
| Sistema de gestión de personal externo. |
||
| .... |
||
| Gestión de seguridad de la construcción. |
Sistema de gestión para la gestión del proceso de implementación de proyectos. |
|
| Sistema de gestión para la selección y adquisición de productos. |
||
| Sistema de gestión de pruebas, aceptación y entrega. |
||
| Sistema de gestión de desarrollo de software. |
||
| Prácticas de seguridad de escritura de código |
||
| Sistema de gestión de desarrollo de software de subcontratación |
||
| ...... |
||
| Gestión de operación y mantenimiento de seguridad. |
Sistema de gestión del entorno de oficina. |
|
| Sistema de gestión de seguridad de salas de ordenadores. |
||
| Sistema de gestión de seguridad de activos. |
||
| Sistema de gestión de seguridad de medios. |
||
| Sistema de gestión de seguridad de equipos. |
||
| Sistema de gestión de seguridad del sistema de red. |
||
| Sistema de gestión de prevención de códigos maliciosos |
||
| Sistema de gestión de contraseñas |
||
| sistema de gestión de configuración |
||
| sistema de gestión de cambios |
||
| Sistema de gestión de copias de seguridad y recuperación. |
||
| Sistema de gestión de incidentes de seguridad. |
||
| Sistema de gestión de planes de emergencia (incluidos varios planes de emergencia especiales) |
||
| ...... |
||
| Documentos de nivel 3 |
Especificaciones de configuración |
Líneas base de configuración para dispositivos de red/seguridad, sistemas operativos, bases de datos, etc. |
| Operación manual |
Archivos de programa de diseño de software de aplicación |
|
| Guía del usuario del software |
||
| Documentación del código fuente |
||
| Manual de operación y mantenimiento (formulario/diagrama de proceso, método de implementación) |
||
| ...... |
||
| Documentos de nivel 4 |
Registros, formularios |
Registros de formulación y modificación del sistema. |
| Varios registros de aprobación. |
||
| record de entrenamiento |
||
| actas de la reunión |
||
| Lista de verificación de seguridad, informe de inspección de seguridad, etc. |
||
| Formulario de información del personal del puesto de gestión de seguridad |
||
| Formulario de contacto de comunicación y cooperación de la unidad de extensión de seguridad de la red |
||
| acuerdo de confidencialidad |
||
| Protocolo de seguridad de posición crítica |
||
| Registros de reclutamiento y renuncia de personal. |
||
| Registros de autorización y aprobación para modificación, actualización y publicación de la biblioteca de recursos del programa. |
||
| Plan de implementación del proyecto |
||
| Plan de aceptación de pruebas, registros, etc. |
||
| Informe de prueba de seguridad |
||
| Lista de entrega |
||
| Contratos, convenios, etc. de proveedores de servicios. |
||
| Registros de evaluación de seguridad de los proveedores de servicios. |
||
| Formulario de aprobación de registro de acceso de personal externo |
||
| Formulario de registro de acceso de persona externa |
||
| Acuerdo de confidencialidad para personas externas |
||
| Formulario de aprobación de solicitud de compra |
||
| Lista de activos |
||
| Modelo de solicitud de desguace de bienes sujetos a nivel de protección |
||
| Franja de salida de equipos |
||
| Hoja de registro de mantenimiento del equipo. |
||
| Formulario de notificación de incidentes de seguridad cibernética |
||
| Registros de manejo de eventos de excepción del sistema |
||
| Formulario de aprobación de respuesta de emergencia |
||
| Informes de análisis de vulnerabilidades y evaluación de riesgos |
||
| Registros de inspección de códigos maliciosos, registros de eliminación de virus |
||
| Copia de seguridad de datos, prueba de recuperación y otros registros. |
||
| Formularios y registros diarios de operación y mantenimiento. |
||
| Plan de cambio del sistema y registros de aprobación. |
||
| Simulacros de emergencia y registros de capacitación. |
||
| ...... |
Las empresas pueden tomar decisiones y realizar ajustes en función de sus propias circunstancias. Por ejemplo, si no tienen su propio equipo de desarrollo, no necesitan un sistema de gestión de desarrollo de software ni normas de seguridad para la redacción de códigos; si el desarrollo de software personalizado se confía a un equipo subcontratado , se requiere un sistema de gestión del desarrollo de subcontratación.