安全管理制度  3个控制点 11个控制项

管理制度：安全总体方针，相应系统安全的总体守则管理制度的基本要求。安全管理活动中的各类管理内容（技术方面的安全管理制度 如：机房安全管理手册，技术安全管理手册，各方面的安全管理策略）。定义人员的操作规范和范围（操作手册包括人，事物，要求，步骤，检测等）需要一套文件相呼应（网络的需要的安全等级所需的安全制度，承载网络上的应用安全手册对应的人员安全管理手册）。一套合规，集合的制度体系

制定和发布：对于制度发布人员是被授权的管理人员团队进行发布和修改，必须有相应的版本控制（记录版本修改时间，修改内容等）对修改的内容进行审核才能发布。以公司为整体而非个人，制度管理范围需要明确和定义

评审和修订：需要根据系统变化，业务变化所对应的安全进行变化，制度也需要变化。每年需要对所有安全管理制度进行评审回顾以确定是否满足现需，对不足的地方进行修正。