1、安全管理制度 序号类别 测评项 测评实施 预期结果 说明 1管 理 制度a)应制定信息安全工作的总体方 针和安全策略,说明机构安全工作 的总体目标、范围、原则和安全框 架等。1)应检查信息安全工作的总体方针和安 全策略,查看文件是否明确机构安全工 作的总体目标、范围、原则和安全框架 等。1)具有信息安全工作的总体方针和安 全策略。 2)总体方针和安全策略里明确了机构 安全工作的总体目标、范围、原则和安 全框架等。 b)应对安全管理活动中的各类管 理内容建立安全管理制度。 1)应检查各项安全管理制度,查看是否 覆盖安全管理活动中的各类管理内容 (制度管理、机构管理、人员管理、系 统建设管理和运维管理等方面)。1)建立了安全管理制度。 2)安全管理制度覆盖了 机构管理、制 度管理、人员管理、系统建设和运维 等 层面的管理内容。 c)应对安全管理人员或操作人员 执行的日常管理操作建立操作规 程。1)应检查是否具有对重要管理操作的操 作规程,如系统维护手册和用户操作规 程等。1)具有日常管理操作的操作规程。 2)操作规程覆盖了物理、网络、主 机、应用等层面的重要操作规程(如系 统维护手册和用户操作规程等)。 d)应形成由安全政策、管理制 度、操作规程等构成的全面的信息 安全管理制度体系。1)应访谈安全主管,询问机构是否形成 全面的信息安全管理制度体系,制度体 系是否由安全政策、管理制度、操作规 程等构成。1)具有各项管理制度。 2)内容覆盖全面,由总体方针、安全 策略、管理制度、操作规程等构成,形 成了全面的信息安全管理制度体系。 2制 定 和 发 布a)应指定或授权专门的部门或人 员负责安全管理制度的制定。1)应访谈安全主管,询问由何部门或人 员负责安全管理制度的制定,参与制定 人员有哪些。1)具有人员职责或岗位设置等相关文 件。 2)文件明确了由专门的部门或人员负 责安全管理制度的制定工作。2)应检查人员职责、岗位设置等相关管 理制度文件,查看是否明确由专门的部 门或人员负责安全管理制度的制定工 作。 b)安全管理制度应具有统一的格 1)应检查安全管理制度制定和发布要求 1)具有关于管理制度的格式和版本控 第 1 页 共 39 页序号类别 测评项 测评实施 预期结果 说明 式,并进行版本控制。管理文档,查看文档是否说明安全管理 制度的格式要求、版本编号。制的相关文档。 2)相关管理文档内容覆盖了包括管理 制度的格式标准或要求以及版本控制等 内容。 3)各项安全管理制度具有统一的格式 并进行了版本控制。2)应检查安全管理制度文档,查看是否 具有版本标识,查看各项制度文档格式 是否统一。 c)应组织相关人员对制定的安全 管理进行论证和审定。1)应访谈安全主管,询问安全管理制度 的制定程序,是否对制定的安全管理制 度进行论证和审定,论证和审定方式如 何(如召开评审会、函审、内部审核 等)。1)具有管理制度评审记录,有评审意 见。 2)应检查管理制度评审记录,查看是否 具有相关人员的评审意见。 d)安全管理制度应通过正式、有 效的方式发布。1)应检查安全管理制度制定和发布要求 管理文档,查看文档是否说明安全管理 制度的制定、发布程序和发布范围等各 项要求。1)具有制度制定和发布要求的管理文 档。 2)文档内容覆盖安全管理制度制定和 发布程序。 3)各项安全管理制度文档都是通过正 式、有效的方式发布的,如具有版本标 识和管理层的签字或单位盖章。 e)安全管理制度应注明发布范 围,并对收发文进行登记。1)应检查安全管理制度的收发登记记 录,查看收发是否通过正式、有效的方 式(如正式发文、领导签署和单位盖章 等),是否注明管理制度的发布范围。1)具有安全管理制度的收发登记记 录。 2)注明了安全制度发布范围。若 以 电 子 形 式 发 布 的 管 理 制 度 , 关 注 版 本 控 制 和 发 布 范 围 第 2 页 共 39 页序号类别 测评项 测评实施 预期结果 说明 3评 审 和 修 订a)信息安全领导小组应负责定期 组织相关部门和相关人员对安全管 理制度体系的合理性和适用性进行 审定。1)应访谈安全主管,询问是否由信息安 全领导小组负责定期对安全管理制度体 系的合理性和适用性进行审定,审定周 期多长。1)具有安全管理制度体系的评审记 录。 2)评审内容符合要求。 3)评审周期符合要求。2)应检查是否具有安全管理制度体系的 评审记录,查看实际评审周期是否符合 要求,是否记录了相关人员的评审意 见。 b)应定期或不定期对安全管理制 度进行检查和审定,对存在不足或 需要改进的安全管理制度进行修 订。1)应访谈安全主管,询问是否对管理制 度定期修订,修订周期多长。询问系统 发生重大安全事故、出现新的安全漏洞 以及技术基础结构和组织结构等发生变 更时是否对安全管理制度进行检查,对 需要改进的制度进行修订。1)具有安全管理制度的检查或评审记 录。 2)如果有修订版本,具有修订版本的 安全管理制度。 2)应检查是否具有安全管理制度修订记 录。 第 3 页 共 39 页2、安全管理机构 序号类别 测评项 测评实施 预期结果 说明 1岗 位 设置a)应设立信息安全管理工作的职 能部门,设立安全主管、安全管理 各个方面的负责人岗位,并定义各 负责人的职责。 1)应访谈安全主管,询问是否设立安全 管理机构(即信息安全管理工作的职能 部门)。机构内部门设置情况如何,是 否设立安全主管及安全管理各个方面的 负责人,是否明确各部门和各负责人的 职责。1)具有部门、岗位职责文件。 2)文件中明确了职能部门、安全主 管、负责人等相关职责。2)应检查部门、岗位职责文件,查看文 件是否明确安全管理机构的职责,是否 明确机构内各部门和各负责人的职责和 分工。 b)应设立系统管理员、网络管理 员、安全管理员等岗位,并定义各 个工作岗位的职责。 1)应访谈安全主管,询问设置了哪些工 作岗位(如安全主管、安全管理各个方 面的负责人、机房管理员、系统管理 员、网络管理员、安全管理员等重要岗 位),是否明确各个岗位的职责分工。1)具有部门、岗位职责文件。 2)文件中明确了系统管理员等相关岗 位的工作职责。2)应检查文件是否明确设置安全主管、 安全管理各个方面的负责人、机房管理 员、系统管理员、网络管理员、安全管 理员等各个岗位,各个岗位的职责范围 是否清晰、明确。 c)应成立指导和管理信息安全工 作的委员会或领导小组,其最高领 导由单位主管领导委任或授权。1)应访谈安全主管,询问是否设立指导 和管理信息安全工作的委员会或领导小 组,其最高领导是否由单位主管领导委 任或授权的人员担任。1)具有成立信息安全工作委员会或领 导小组的正式文件。 2)具有委员会或领导小组职责文件。 3)文件中明确了领导小组职责和最高 领导岗位职责。 2)应检查信息安全工作委员会或领导小 第 4 页 共 39 页序号类别 测评项 测评实施 预期结果 说明 组的成立文件,查看最高领导是否由单 位主管领导委任或授权。 3)应检查部门、岗位职责文件,查看是 否明确信息安全管理委员会或领导小组 的职责。 d)应制定文件明确安全管理机构 各个部门和岗位的职责、分工和技 能要求。1)应检查部门、岗位职责文件,查看文 件是否明确委员会的职责和安全管理机 构的职责。是否明确机构内各部门的职 责和分工。是否明确设置安全主管、安 全管理各个方面的负责人、机房管理 员、系统管理员、网络管理员、安全管 理员等各个岗位的职责范围。查看文件 是否明确各个岗位人员应具有的技能要 求。1)具有部门、岗位职责的正式文件。 2)文件中包含管理机构内各部门和岗 位职责,包含各个岗位人员的技能要 求。 2人 员 配备 a)应配备一定数量的系统管理 员、网络管理员、安全管理员等。1)应访谈安全主管,询问各个安全管理 岗位人员(如机房管理员、系统管理 员、网络管理员、安全管理员等重要岗 位人员)配备情况。 1)具有岗位与人员对应关系表。 2)表中每个岗位都有对应的人员。 2)应检查管理人员名单,查看其是否明 确机房管理员、系统管理员、网络管理 员、安全管理员等重要岗位人员的信 息。 b)应配备专职安全管理员,不可 兼任。1)应访谈安全主管,询问安全管理员的 配备情况,是否是专职。1)具有岗位与人员对应关系表。 2)确认表中的安全管理员是专职人 员。安 全 管 理 员 不 得 兼 任 同 一 系 统 的 系 统 管理员 第 5 页 共 39 页序号类别 测评项 测评实施 预期结果 说明 2)应检查管理人员名单,确认安全管理 员是否是专职人员。 c)关键事务岗位应配备多人共同 管理。1)应访谈安全主管,询问哪些关键事物 需要配备2人或2人以上共同管理,人 员具体配备情况如何。1)具有岗位与人员对应关系表。 2)确认表中关键岗位配备多人。2)应检查管理人员名单,查看关键岗位 是否配备多人。。 3授 权 和 审 批a)应根据各个部门和岗位的职责 明确授权审批事项、审批部门和批 准人等。1)应访谈安全主管,询问对哪些信息系 统活动进行审批,审批部门是何部门, 审批人是何人。1)明确了各项审批事项的审批部门和 审批人。 b)应针对系统变更、重要操作、 物理访问和系统 接入等事项建立审 批程序, 按照审批程序执行审批过 程,对重要活动建立 逐级审批制 度。1)应访谈安全主管,询问其对重要活动 的审批范围(如系统变更、重要操作、 物理访问和系统 接入、重要管理制度的 制定和发布、人员的配备和 培训、产品 的采购、外部人员的访问等),审批程 序如何,其中是否需要需要 逐级审批。1)与审批活

pdf文档 安全管理测评指导书-三级S3A3G3-1.0版

文档预览
中文文档 39 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共39页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
安全管理测评指导书-三级S3A3G3-1.0版 第 1 页 安全管理测评指导书-三级S3A3G3-1.0版 第 2 页 安全管理测评指导书-三级S3A3G3-1.0版 第 3 页
下载文档到电脑,方便使用
本文档由 思安2023-06-03 14:19:16上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。