首先我们要知道等保2.0中安全通用要求的十个方面包括物理环境、通信网络、区域边界、计算环境、管理中心、管理制度、管理机构、管理人员、建设管理、运维管理。这章我们来了解一下第一级别的安全管理机构的三个控制点岗位设置 、人员配备、授权和审批。第一点什么是“安全管理机构”是等保2.0十个安全层面之一属于管理类要求。它的核心作用是从组织架构上保证安全工作“有人管、有人干、有人批”。控制点一岗位设置要求是应设立系统管理员等岗位并定义各个工作岗位的职责。简单的说就是你要明确告诉所有人谁是管系统的、他负责什么。不能“谁有空谁管”更不能“没人管”。这是解决有人管。具体的话第一级别的“岗位设置”就是“有人就行”。一个人可以身兼多职系统管理员兼安全管理员但在职责描述里要写清楚他分别管什么。比如说指定一个人哪怕是兼职负责系统管理且书面写清楚他/她要干什么比如“张三负责服务器日常维护和账号管理”。与更高级别的对比级别岗位设置要求第一级设立系统管理员等岗位定义职责第二级同上 设立安全主管、安全管理各负责人岗位第三级成立领导小组最高领导主管 设立系统管理员、审计管理员、安全管理员三个岗位不可兼任第四级同三级 关键岗位多人共同管理接下来是控制点二人员配备要求是应配备一定数量的系统管理员。简单的说就是你说了有系统管理员这个岗位就得真有人坐这个位置。不能只是一个岗位名称实际没人干活。且第一级别要求很低至少有一个系统管理员可以是兼职但这个人必须存在。一个容易被误解的点标准原文说“一定数量”——在第一级的语境下“一定数量”≥1。只要有一个人管着就符合要求。这是解决了有人干。与更高级别的对比级别人员配备要求第一级配备一定数量的系统管理员≥1人第二级配备一定数量的系统管理员、审计管理员、安全管理员第三级同上 安全管理员专职不可兼任第四级同三级 关键岗位多人共同管理最后第一级别的第三控制点授权和审批要求是应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。简单说就是谁可以批什么操作要有明文规定。比如系统配置变更需要谁批准、账号开通需要谁批准。不能谁想改就改。为什么会这样规定“授权和审批”是安全管理机构的核心控制点之一它的本质是建立权力制衡——操作的人不能自己批准自己这是内部风险控制的基本逻辑。第一级的场景举例小公司只有一个人管系统张三是系统管理员按第一级要求可以规定“系统日常维护由张三执行重大变更需经李四部门负责人批准”这就能满足“授权和审批”的要求。与更高级别的对比级别授权和审批要求第一级明确授权审批事项、审批部门和批准人第二级同上 针对系统变更、重要操作、物理访问和系统接入等事项执行审批第三级同二级 对重要活动建立逐级审批制度 定期审查审批事项第四级同三级还有安全管理机构还有两个控制点但是第一级别不要求。控制点第一级第二级第三/四级岗位设置设立系统管理员岗位定义职责设立安全主管、安全管理各负责人成立领导小组 岗位分工更细人员配备配备系统管理员≥1人配备系统管理员、审计管理员、安全管理员安全管理员专职不可兼任授权和审批明确审批事项、审批部门和批准人执行审批过程建立逐级审批定期审查沟通和合作❌ 无此控制点✅ 有✅ 有审核和检查❌ 无此控制点✅ 有✅ 有对比上面表格可以看到第一级“安全管理机构”缺失两个控制点控制点第一级第二级及以上主要内容沟通和合作❌ 无✅ 有加强与职能部门、供应商、业界专家等的合作与沟通审核和检查❌ 无✅ 有定期进行常规安全检查为什么第一级没有沟通和合作这是针对有一定规模的组织需要与外部公安网安、供应商、行业组织建立联系渠道。第一级系统通常规模小可以由一个人直接对接不需要建立正式的合作机制。审核和检查这是要求组织定期自我检查安全工作的落实情况。第一级系统的管理要求很低只要制度有、岗位有人、审批有流程就基本满足不需要强制要求“定期检查并形成报告”。这在等保的级别设计中是一致的规律第一级只要求“有骨架”第二级及以上才要求“骨架能动起来”沟通、检查。小结第一级“安全管理机构”的核心定位有人管、有人干、有人批。三个“有人”就够了。