安全管理测评指导书

1、安全管理制度 序号序号类别类别测评项测评项 a）应制定信息安全工作的总体方针 和安全策略，说明机构安全工作的 总体目标、范围、原则和安全框架 等。 测评实施测评实施预期结果预期结果说明说明 1） 具有信息安全工作的总体方针和安全 1）应检查信息安全工作的总体方针和安策略。 全策略， 查看文件是否明确机构安全工作2） 总体方针和安全策略里明确了机构安 的总体目标、范围、原则和安全框架等。 全工作的总体目标、范围、原则和安全 框架等。 1）应检查各项安全管理制度，查看是否 覆盖安全管理活动中的各类管理内容 （制 度管理、机构管理、人员管理、系统建设 管理和运维管理等方面）。 1）应检查是否具有对重要管理操作的操 作规程， 如系统维护手册和用户操作规程 等。 1）建立了安全管理制度。 2） 安全管理制度覆盖了机构管理、 制度 管理、人员管理、系统建设和运维等层 面的管理内容。1 管理 制度 b）应对安全管理活动中的各类管理 内容建立安全管理制度。 c）应对安全管理人员或操作人员执 行的日常管理操作建立操作规程。 1）具有日常管理操作的操作规程。 2）操作规程覆盖了物理、网络、主机、 应用等层面的重要操作规程（如系统维 护手册和用户操作规程等）。 1）具有各项管理制度。 2）内容覆盖全面，由总体方针、安全策 略、管理制度、操作规程等构成，形成 了全面的信息安全管理制度体系。 1）应访谈安全主管，询问机构是否形成 d）应形成由安全政策、管理制度、 全面的信息安全管理制度体系， 制度体系 操作规程等构成的全面的信息安全 是否由安全政策、 管理制度、 操作规程等 管理制度体系。 构成。 2 制定 和发 布 a）应指定或授权专门的部门或人员 负责安全管理制度的制定。 1）应访谈安全主管，询问由何部门或人 员负责安全管理制度的制定， 参与制定人1）具有人员职责或岗位设置等相关文 员有哪些。件。 文件明确了由专门的部门或人员负责2）应检查人员职责、岗位设置等相关管2） 理制度文件， 查看是否明确由专门的部门安全管理制度的制定工作。 或人员负责安全管理制度的制定工作。 1）应检查安全管理制度制定和发布要求 管理文档， 查看文档是否说明安全管理制 度的格式要求、版本编号。 b）安全管理制度应具有统一的格 式，并进行版本控制。 1） 具有关于管理制度的格式和版本控制 的相关文档。 第 1 页 共 37 页 序号序号类别类别测评项测评项测评实施测评实施 2）应检查安全管理制度文档，查看是否 具有版本标识， 查看各项制度文档格式是 否统一。 预期结果预期结果 2） 相关管理文档内容覆盖了包括管理制 度的格式标准或要求以及版本控制等内 容。 3） 各项安全管理制度具有统一的格式并 进行了版本控制。 说明说明 c）应组织相关人员对制定的安全管 理进行论证和审定。 1）应访谈安全主管，询问安全管理制度 的制定程序， 是否对制定的安全管理制度 进行论证和审定，论证和审定方式如何 1） 具有管理制度评审记录， 有评审意见。 （如召开评审会、函审、内部审核等）。 2）应检查管理制度评审记录，查看是否 具有相关人员的评审意见。 1）具有制度制定和发布要求的管理文 档。 2） 文档内容覆盖安全管理制度制定和发 布程序。 3）各项安全管理制度文档都是通过正 式、有效的方式发布的，如具有版本标 识和管理层的签字或单位盖章。 d）安全管理制度应通过正式、有效 的方式发布。 1）应检查安全管理制度制定和发布要求 管理文档， 查看文档是否说明安全管理制 度的制定、 发布程序和发布范围等各项要 求。 若 以 电 子 1） 应检查安全管理制度的收发登记记录，形 式 发 布 e）安全管理制度应注明发布范围，查看收发是否通过正式、 有效的方式 （如1）具有安全管理制度的收发登记记录。 的 管 理 制 并对收发文进行登记。正式发文、领导签署和单位盖章等），是2）注明了安全制度发布范围。度，关注版 否注明管理制度的发布范围。本 控 制 和 发布范围 评审 和修 订 a）信息安全领导小组应负责定期组 织相关部门和相关人员对安全管理 制度体系的合理性和适用性进行审 定。 1）应访谈安全主管，询问是否由信息安 1）具有安全管理制度体系的评审记录。 全领导小组负责定期对安全管理制度体 2）评审内容符合要求。 系的合理性和适用性进行审定， 审定周期 3）评审周期符合要求。 多长。 第 2 页 共 37 页 3 序号序号类别类别测评项测评项测评实施测评实施 2）应检查是否具有安全管理制度体系的 评审记录， 查看实际评审周期是否符合要 求，是否记录了相关人员的评审意见。 1）应访谈安全主管，询问是否对管理制 度定期修订， 修订周期多长。 询问系统发 生重大安全事故、 出现新的安全漏洞以及 技术基础结构和组织结构等发生变更时 是否对安全管理制度进行检查， 对需要改 进的制度进行修订。 2）应检查是否具有安全管理制度修订记 录。 预期结果预期结果说明说明 b）应定期或不定期对安全管理制度 进行检查和审定，对存在不足或需 要改进的安全管理制度进行修订。 1）具有安全管理制度的检查或评审记 录。 2） 如果有修订版本， 具有修订版本的安 全管理制度。 第 3 页 共 37 页 2、安全管理机构 序号序号类别类别测评项测评项测评实施测评实施预期结果预期结果说明说明 1）应访谈安全主管，询问是否设立安全 管理机构 （即信息安全管理工作的职能部 门）。机构内部门设置情况如何， 是否设 立安全主管及安全管理各个方面的负责1）具有部门、岗位职责文件。 人，是否明确各部门和各负责人的职责。 2）文件中明确了职能部门、安全主管、 2）应检查部门、岗位职责文件，查看文负责人等相关职责。 件是否明确安全管理机构的职责， 是否明 确机构内各部门和各负责人的职责和分 工。 a）应设立信息安全管理工作的职能 部门， 设立安全主管、 安全管理各个 方面的负责人岗位，并定义各负责 人的职责。 1 岗位 设置 1）应访谈安全主管，询问设置了哪些工 作岗位 （如安全主管、 安全管理各个方面 的负责人、机房管理员、系统管理员、网 络管理员、安全管理员等重要岗位），是 b） 应设立系统管理员、 网络管理员、 否明确各个岗位的职责分工。 安全管理员等岗位，并定义各个工 2）应检查文件是否明确设置安全主管、 作岗位的职责。 安全管理各个方面的负责人、机房管理 员、系统管理员、网络管理员、安全管理 员等各个岗位， 各个岗位的职责范围是否 清晰、明确。 1）应访谈安全主管，询问是否设立指导 和管理信息安全工作的委员会或领导小 组， 其最高领导是否由单位主管领导委任 或授权的人员担任。 2）应检查信息安全工作委员会或领导小 组的成立文件， 查看最高领导是否由单位 主管领导委任或授权。 1）具有部门、岗位职责文件。 2） 文件中明确了系统管理员等相关岗位 的工作职责。 c）应成立指导和管理信息安全工作 的委员会或领导小组，其最高领导 由单位主管领导委任或授权。 1） 具有成立信息安全工作委员会或领导 小组的正式文件。 2）具有委员会或领导小组职责文件。 3） 文件中明确了领导小组职责和最高领 导岗位职责。 第 4 页