等保测评（四）：安全管理制度与人员管理实践指南

一、安全管理制度：从“纸面合规”到“实战落地”

等保测评中，安全管理制度是保障系统安全的基础框架，其核心在于通过制度化、流程化的管理，将安全要求转化为可执行的规范。根据《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019），安全管理制度需覆盖制度制定与发布、评审与修订、人员与岗位管理三大维度。

1. 制度制定与发布：明确“谁来做、做什么、如何做”

安全管理制度需结合企业业务特点，明确各部门、岗位的安全职责。例如，某金融企业制定的《数据安全管理制度》中，详细规定了：

• 数据分类分级标准：将数据分为公开、内部、机密、绝密四级，每级对应不同的访问权限和加密要求；
• 操作流程规范：如数据备份需采用“3-2-1”原则（3份副本、2种介质、1份异地存储），并记录备份时间、操作人；
• 审批机制：涉及数据出境、系统变更等高风险操作时，需通过“申请人→部门负责人→安全管理员→分管领导”四级审批。

实践建议：制度需避免“大而全”，应聚焦关键风险点。例如，初创企业可优先制定《密码管理规范》《访问控制策略》，再逐步完善其他制度。

2. 制度评审与修订：动态适应安全威胁

安全威胁具有动态性，制度需定期评审（至少每年一次）并修订。评审要点包括：

• 合规性检查：对照最新等保要求、行业法规（如《数据安全法》）更新内容；
• 有效性验证：通过渗透测试、审计日志分析，评估制度执行效果；
• 修订流程：修订需记录变更原因、内容、审批人，确保可追溯。

案例：某电商平台在2023年修订《网络安全应急预案》时，新增“AI攻击响应流程”，针对生成式AI伪造的钓鱼邮件，明确“自动拦截+人工复核+用户告警”三步处置方案。

二、人员安全管理：从“准入控制”到“持续教育”

人员是安全管理的核心变量，等保测评要求企业通过岗位安全责任、人员录用与离岗、安全意识教育等措施，降低人为风险。

1. 岗位安全责任：明确“安全第一责任人”

企业需为关键岗位（如系统管理员、安全审计员）制定安全职责清单。例如：

• 系统管理员：负责系统配置、漏洞修复，需定期提交《系统安全基线检查报告》；
• 安全审计员：独立于运维团队，每月出具《安全审计报告》，覆盖日志分析、权限复核等。

工具推荐：使用RBAC（基于角色的访问控制）模型，通过自动化工具（如Ansible、Puppet）强制实施权限分配，避免“超权限授权”。

2. 人员录用与离岗：严控“入口”与“出口”

• 录用环节：背景调查需覆盖犯罪记录、信用记录，关键岗位需签署《保密协议》，明确违约责任；
• 离岗环节：立即注销账号、回收权限，并开展“离岗审计”，确认无数据泄露风险。

代码示例：离岗时通过脚本自动禁用账号（以Linux为例）：

# 禁用用户账号并备份家目录
sudo usermod -L username  # 锁定账号
sudo cp -r /home/username /backup/disabled_users/  # 备份数据
sudo rm -rf /home/username  # 清理家目录（可选）

3. 安全意识教育：从“被动培训”到“主动防御”

传统年度培训效果有限，企业需构建“常态化+场景化”的教育体系：

• 常态化：每月发送《安全简报》，包含最新漏洞、攻击案例；
• 场景化：模拟钓鱼攻击（如发送伪造邮件），对点击链接的员工进行强化培训；
• 考核机制：将安全意识纳入绩效考核，未通过测试者需重新培训。

数据支持：某制造企业实施“每周一题”安全问答后，员工点击钓鱼邮件的比例从12%降至3%。

三、常见问题与解决方案

1. 问题：制度与实际脱节

表现：制度写明“每日备份”，但实际因存储空间不足未执行。
解决方案：引入自动化工具（如Veeam Backup）强制执行备份，并通过监控告警（如Prometheus）实时反馈执行情况。

2. 问题：人员安全意识薄弱

表现：员工使用弱密码（如“123456”），导致账号被暴力破解。
解决方案：部署密码管理工具（如Bitwarden），强制要求密码长度≥12位、包含大小写字母和数字，并每90天更换一次。

3. 问题：离岗审计不彻底

表现：员工离职后仍能通过VPN访问系统。
解决方案：集成IAM（身份与访问管理）系统，自动触发“离职流程”，同步注销账号、回收权限，并生成审计报告。

四、总结与展望

安全管理制度与人员管理是等保测评的“软实力”，需通过“制度+技术+教育”三管齐下，实现从“合规驱动”到“风险驱动”的转变。未来，随着零信任架构、AI安全运营的普及，企业需持续优化管理制度，例如将AI用于异常行为检测、自动化策略生成，以应对更复杂的安全挑战。

行动清单：

1. 本周内完成《安全管理制度》关键条款修订；
2. 下月开展全员安全意识培训，覆盖钓鱼攻击防御；
3. 季度末进行一次离岗审计演练，验证流程有效性。

通过系统化的管理与实践，企业不仅能通过等保测评，更能构建可持续的安全防护体系。