等保2.0--安全管理制度和安全管理机构

应制定网络安全工作的总体方针和安全策略，阐明机构安全工作的总体目标、范围、原则和安全框架等

应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系

应定期对安全管理制度的合理性和适用性进行论证和审定，对存在不足或需要改进的安全管理制度进行修订。

这三条要求中，等保 2.0 标准均有所变化，尤其最后一条，要对合理性和适用性进行论证，那些模板的东西已经没用了。

那么怎么来改呢？方针和策略一般公司都会有，如果没有的话，尽快制定 2020 的 IT 和安全规划，目标和策略其实可以很简单，好比阿里的三句话策略。但是要贴合实际，不要胡扯。

那么策略、制度、规程、表单（ISO 27001 的四级文档）就会配套进行修订，形成一套体系，如果已通过 ISO 27001 认证的，可以以此来证明自己已有安全管理制度体系。没有的，要尽快建立一套贴合业务和 IT 现状的制度，可以简单点，只要能落地就好。

最后，关于合理性和适用性，一般是对于制度和流程的落地试点情况。体系比较完善的企业，在制度发布或修订时会进行内部评审，通过后才可正式发布。没有相关流程的企业，可以将此作为缺失的环节，在后续制度体系中增加或完善相应管理。

应成立指导和管理网络安全工作的委员会或领导小组，其最高领导由单位主管领导担任或授权。

这点很多公司都没做好，主要体现在两个方面。一是，领导小组架构和职责很明确，但是岗位责任人是职位（如总经理、安全部总监）而不是人名，这样就无法做到责任落实，不符合领导小组的初衷；二是，组长的任命是空口说的，没有正式的任命函或董事会级别的正式通知。这两点如果都能做好，基本就没太大问题了。

应针对系统变更、重要操作、物理访问和系统接入等事项执行审批过程，对重要活动建立逐级审批制度

老生常谈的事情，凡是和安全相关的过程记录都要留存（纸质或电子记录均可），这种东西一般不太好凭空去造，所以还是建议踏踏实实的去建流程，落实制度。流程可以不够全面，但是一定要能落地，能运行起来。

应定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。

等保 2.0 标准强制要求，定期进行全面安全检查，不只是技术层面，也包括制度层面。通管局、工信部的安全检查是监管，不属于要求中提到的检查，要各企业自行组织开展，并形成报告、对发现的问题整改、复测整改情况等。今年没做，明年要至少进行一次检查工作，类似银保监的安全自查评估。

应制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报

结合前一项要求，除了自评估安全检查，还要制定检查表，检查过程的现状调研和检查结果记录表单也要汇总保留。有点类似于风险评估，包括资产、威胁、脆弱性。这里提一句，某些厂商坑爹的评估也称为风险评估，希望各位多去看看 GB/T 20984，好好了解下什么叫风评，不要随便测测出个报告就叫风评。