安全管理機(jī)構(gòu)安全測評指導(dǎo)書

1、安全管理機(jī)構(gòu)安全測評指導(dǎo)書序號測評指標(biāo)測評項(xiàng)檢查方法預(yù)期結(jié)果1崗位設(shè)置a）訪談安全 主管，檢杳 安全管理某 方面的負(fù)責(zé) 人，部門、 崗位職責(zé)文 件。訪談：安全主管，何 部門為信息安全工作 的職能部門。檢查： 相關(guān)安全職能部門文 件。1）信息安全工作由專 門的職能部門負(fù)責(zé)開 展；2）具備相關(guān)的安 全職能文件。b）訪談安全 主管，檢杳 安全管理某 方面的負(fù)責(zé) 人，部門、 崗位職責(zé)文 件。訪談：1 ）安全主管， 是否設(shè)立了系統(tǒng)管理 員、網(wǎng)絡(luò)管理員、安全 管理員等崗位；2 ）安 全主管，各個崗位的安 全職責(zé)。1）設(shè)立了系統(tǒng)管理員、 網(wǎng)絡(luò)管理員、安全管理 員等崗位；2 ）定義了 各個崗位的安全職責(zé)。C）

2、訪談安全 主管，檢杳 安全管理某 方面的負(fù)責(zé) 人，部門、 崗位職責(zé)文 件。訪談：1 ）安全主管， 是否成立了安全委員 會或者領(lǐng)導(dǎo)小組；2 ） 安全主管，委員會或者 領(lǐng)導(dǎo)小組負(fù)責(zé)人是否 為本單位人員。 檢杳： 委員會或領(lǐng)導(dǎo)小組的 相關(guān)文件。1）成立了安全委員會 或者領(lǐng)導(dǎo)小組；2 ）委 員會或者領(lǐng)導(dǎo)小組負(fù) 責(zé)人為本單位人員；3）具備委員會或領(lǐng)導(dǎo) 小組相關(guān)文件。d）訪談安全 主管，檢杳 安全管理某 方面的負(fù)責(zé) 人，部門、 崗位職責(zé)文 件。檢查：崗位職責(zé)文件、 技能要求。1）具備安全責(zé)任人職 責(zé)文件；2 ）具備各崗 位職責(zé)文件及技能要 求與分工。2人員配備a）訪談安全 主管，檢杳 人員配備要 求的相關(guān)

3、文 檔，管理人 員名單。訪談：安全主管，崗 位人員配備情況。檢 查：安全管理人員名 單。1）配備了一定數(shù)量的 系統(tǒng)管理員、網(wǎng)絡(luò)管理 員、安全管理員；2 ） 具備安全管理人員名 單。b）訪談安全 主管，檢杳訪談：安全管理員是安全管理員為專職人人員配備要 求的相關(guān)文 檔，管理人 員名單。否為專職管理員。員。C）訪談安全 主管，檢杳 人員配備要 求的相關(guān)文 檔，管理人 員名單。訪談：安全主管，關(guān) 鍵崗位是否有2人或2 人以上管理。系統(tǒng)管理員、網(wǎng)絡(luò)管理 員、安全管理員由2人 或2人以上管理。3授權(quán)和審批a）訪談安全 主管，檢杳 關(guān)鍵活動的 批準(zhǔn)人，審 批事項(xiàng)表 單，審批文 檔等內(nèi)容。訪談：安全主管，關(guān)

4、 鍵活動是否具備審批 流程、審批哪些事項(xiàng)， 是否具備審批部門和 審批人。關(guān)鍵活動具備審批流 程、明確了審批事項(xiàng)、 明確了審批部門及批 準(zhǔn)人。b）訪談安全 主管，檢杳 關(guān)鍵活動的 批準(zhǔn)人，審 批事項(xiàng)表 單，審批文 檔等內(nèi)容。訪談：安全主管，是 否針對系統(tǒng)變更、重要 操作、物理訪問和系統(tǒng) 接入等事項(xiàng)建立審批 程序，重要活動是否建 立了逐級審批制度。1）針對系統(tǒng)變更、重 要操作、物理訪問和系 統(tǒng)接入等事項(xiàng)建立了 審批程序；2 ）針對重 要活動建立了逐級審 批制度。c）訪談安全 主管，檢杳 關(guān)鍵活動的 批準(zhǔn)人，審 批事項(xiàng)表 單，審批文 檔等內(nèi)容。訪談：安全主管，是 否結(jié)合實(shí)際情況更新 審批項(xiàng)目、審批部

5、門和 審批人等信息。結(jié)合實(shí)際情況更新審 批項(xiàng)目、審批部門和審 批人等信息。d）訪談安全 主管，檢杳 關(guān)鍵活動的 批準(zhǔn)人，審 批事項(xiàng)表 單，審批文 檔等內(nèi)容。檢查：審批相關(guān)證據(jù) 文件。具備審批過程文檔。4溝通和合a）訪談安全 主管與安全訪談：1 ）安全主管， 信息部門與其他部門1） 信息部門與其他部 門召開協(xié)調(diào)會；2 ）信作管理人員， 檢查會議文 件，會議記 錄，外聯(lián)單 位說明文 檔。溝通情況，是否召開協(xié) 調(diào)會；2）負(fù)責(zé)信息安 全的部門是否召開內(nèi) 部例會；檢查：1） 協(xié)調(diào)會會議記錄；2） 內(nèi)部例會會議記錄；息部門召開內(nèi)部例會；3）具備各個會議的會 議記錄。b）訪談安全 主管與安全 管理人員， 檢

6、查會議文 件，會議記 錄，外聯(lián)單 位說明文 檔。訪談：安全主管，與 外單位的溝通、合作機(jī) 制。與行業(yè)信息安全監(jiān)管 部門、公安機(jī)關(guān)、通信 運(yùn)營商、銀仃及相關(guān)單 位和部門密切溝通。C）訪談安全 主管與安全 管理人員， 檢查會議文 件，會議記 錄，外聯(lián)單 位說明文 檔。訪談：安全主管，與 供應(yīng)商、安全組織的溝 通、合作情況；檢查： 聯(lián)系表單。1）與供應(yīng)商、安全組 織的進(jìn)行溝通、合作；2）建立了聯(lián)系表單。d）訪談安全 主管與安全 管理人員， 檢查會議文 件，會議記 錄，外聯(lián)單 位說明文 檔。檢查：聯(lián)系表單。建立外聯(lián)單位聯(lián)系表 單。e）訪談安全 主管與安全 管理人員， 檢查會議文 件，會議記 錄，外聯(lián)單

7、 位說明文 檔。訪談：安全主管，是 否聘請信息安全專家 參與安全規(guī)劃和評審 工作。檢查：1 ）信 息安全專家聯(lián)系名單； 2）專家建議文檔。1）聘請了信息安全專 家參與安全規(guī)劃和評 審工作；2 ）具備信息 安全專家聯(lián)系名單；3）具備信息安全專家 提供的建議文檔。5審核和檢 查a）訪談安全 主管與安全 管理人員，訪談：安全管理員， 是否定期安檢、日常巡 檢，檢查內(nèi)容是否包括1）有專人負(fù)責(zé)日常巡 檢、定期安檢；2 ）檢 查內(nèi)容包括系統(tǒng)日常檢查安全記 錄。系統(tǒng)日常運(yùn)行、系統(tǒng)漏 洞和數(shù)據(jù)備份等情況。運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù) 備份等情況。b）訪談安全 主管與安全 管理人員， 檢查安全記 錄。訪談：安全主管，定

8、 期全面安檢的內(nèi)容、程 序、周期。檢查： 安全檢查制度，內(nèi)容是 否包括現(xiàn)有安全技術(shù) 措施的有效性、安全配 置與安全策略的一致 性、安全管理制度的執(zhí) 行情況等。1）定期進(jìn)行全面的安 全檢查；2 ）具備安全 檢查制度，安全檢查制 度內(nèi)容包括現(xiàn)有安全 技術(shù)措施的有效性、安 全配置與安全策略的 一致性、安全管理制度 的執(zhí)行情況等。C）訪談安全 主管與安全 管理人員， 檢查安全記 錄。檢查：1）是否制定了 安全檢查表格；2 ）全 面安檢報告，查看報告 日期與檢查周期是否 一致，報告中是否有檢 查內(nèi)容、檢查人員、檢 查數(shù)據(jù)匯總表、檢查結(jié) 果等的描述。1）制定了安全檢查表；2）具備全面的安全檢 查報告，報告日期與檢