3安全管理测评指导书-三级S3A3G3-10版精编版[37页].docx
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_05.gif)
《3安全管理测评指导书-三级S3A3G3-10版精编版[37页].docx》由会员分享,可在线阅读,更多相关《3安全管理测评指导书-三级S3A3G3-10版精编版[37页].docx(37页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、最新资料推荐1、 安全管理制度序号类别测评项测评实施预期结果说明1管理制度a)应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等。1)应检查信息安全工作的总体方针和安全策略,查看文件是否明确机构安全工作的总体目标、范围、原则和安全框架等。1)具有信息安全工作的总体方针和安全策略。2)总体方针和安全策略里明确了机构安全工作的总体目标、范围、原则和安全框架等。b)应对安全管理活动中的各类管理内容建立安全管理制度。 1)应检查各项安全管理制度,查看是否覆盖安全管理活动中的各类管理内容(制度管理、机构管理、人员管理、系统建设管理和运维管理等方面)。1)建立了安全
2、管理制度。2)安全管理制度覆盖了机构管理、制度管理、人员管理、系统建设和运维等层面的管理内容。c)应对安全管理人员或操作人员执行的日常管理操作建立操作规程。1)应检查是否具有对重要管理操作的操作规程,如系统维护手册和用户操作规程等。1)具有日常管理操作的操作规程。2)操作规程覆盖了物理、网络、主机、应用等层面的重要操作规程(如系统维护手册和用户操作规程等)。d)应形成由安全政策、管理制度、操作规程等构成的全面的信息安全管理制度体系。1)应访谈安全主管,询问机构是否形成全面的信息安全管理制度体系,制度体系是否由安全政策、管理制度、操作规程等构成。1)具有各项管理制度。2)内容覆盖全面,由总体方针
3、、安全策略、管理制度、操作规程等构成,形成了全面的信息安全管理制度体系。2制定和发布a)应指定或授权专门的部门或人员负责安全管理制度的制定。1)应访谈安全主管,询问由何部门或人员负责安全管理制度的制定,参与制定人员有哪些。1)具有人员职责或岗位设置等相关文件。2)文件明确了由专门的部门或人员负责安全管理制度的制定工作。2)应检查人员职责、岗位设置等相关管理制度文件,查看是否明确由专门的部门或人员负责安全管理制度的制定工作。b)安全管理制度应具有统一的格式,并进行版本控制。1)应检查安全管理制度制定和发布要求管理文档,查看文档是否说明安全管理制度的格式要求、版本编号。1)具有关于管理制度的格式和
4、版本控制的相关文档。2)相关管理文档内容覆盖了包括管理制度的格式标准或要求以及版本控制等内容。3)各项安全管理制度具有统一的格式并进行了版本控制。2)应检查安全管理制度文档,查看是否具有版本标识,查看各项制度文档格式是否统一。c)应组织相关人员对制定的安全管理进行论证和审定。1)应访谈安全主管,询问安全管理制度的制定程序,是否对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等)。1)具有管理制度评审记录,有评审意见。2)应检查管理制度评审记录,查看是否具有相关人员的评审意见。d)安全管理制度应通过正式、有效的方式发布。1)应检查安全管理制度制定和发布要求管理
5、文档,查看文档是否说明安全管理制度的制定、发布程序和发布范围等各项要求。1)具有制度制定和发布要求的管理文档。2)文档内容覆盖安全管理制度制定和发布程序。3)各项安全管理制度文档都是通过正式、有效的方式发布的,如具有版本标识和管理层的签字或单位盖章。e)安全管理制度应注明发布范围,并对收发文进行登记。1)应检查安全管理制度的收发登记记录,查看收发是否通过正式、有效的方式(如正式发文、领导签署和单位盖章等),是否注明管理制度的发布范围。1)具有安全管理制度的收发登记记录。2)注明了安全制度发布范围。若以电子形式发布的管理制度,关注版本控制和发布范围3评审和修订a)信息安全领导小组应负责定期组织相
6、关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。1)应访谈安全主管,询问是否由信息安全领导小组负责定期对安全管理制度体系的合理性和适用性进行审定,审定周期多长。1)具有安全管理制度体系的评审记录。2)评审内容符合要求。3)评审周期符合要求。2)应检查是否具有安全管理制度体系的评审记录,查看实际评审周期是否符合要求,是否记录了相关人员的评审意见。b)应定期或不定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。1)应访谈安全主管,询问是否对管理制度定期修订,修订周期多长。询问系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时是否对安
7、全管理制度进行检查,对需要改进的制度进行修订。1)具有安全管理制度的检查或评审记录。2)如果有修订版本,具有修订版本的安全管理制度。2)应检查是否具有安全管理制度修订记录。2、 安全管理机构序号类别测评项测评实施预期结果说明1岗位设置a)应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责。 1)应访谈安全主管,询问是否设立安全管理机构(即信息安全管理工作的职能部门)。机构内部门设置情况如何,是否设立安全主管及安全管理各个方面的负责人,是否明确各部门和各负责人的职责。1)具有部门、岗位职责文件。2)文件中明确了职能部门、安全主管、负责人等相关职责。
8、2)应检查部门、岗位职责文件,查看文件是否明确安全管理机构的职责,是否明确机构内各部门和各负责人的职责和分工。b)应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。 1)应访谈安全主管,询问设置了哪些工作岗位(如安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等重要岗位),是否明确各个岗位的职责分工。1)具有部门、岗位职责文件。2)文件中明确了系统管理员等相关岗位的工作职责。2)应检查文件是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等各个岗位,各个岗位的职责范围是否清晰、明确。c)应成立
9、指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权。1)应访谈安全主管,询问是否设立指导和管理信息安全工作的委员会或领导小组,其最高领导是否由单位主管领导委任或授权的人员担任。1)具有成立信息安全工作委员会或领导小组的正式文件。2)具有委员会或领导小组职责文件。3)文件中明确了领导小组职责和最高领导岗位职责。2)应检查信息安全工作委员会或领导小组的成立文件,查看最高领导是否由单位主管领导委任或授权。3)应检查部门、岗位职责文件,查看是否明确信息安全管理委员会或领导小组的职责。d)应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。1)应检查部门、岗位职责文
10、件,查看文件是否明确委员会的职责和安全管理机构的职责。是否明确机构内各部门的职责和分工。是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等各个岗位的职责范围。查看文件是否明确各个岗位人员应具有的技能要求。1)具有部门、岗位职责的正式文件。2)文件中包含管理机构内各部门和岗位职责,包含各个岗位人员的技能要求。2人员配备a)应配备一定数量的系统管理员、网络管理员、安全管理员等。1)应访谈安全主管,询问各个安全管理岗位人员(如机房管理员、系统管理员、网络管理员、安全管理员等重要岗位人员)配备情况。1)具有岗位与人员对应关系表。2)表中每个岗位都有对应的人
11、员。2)应检查管理人员名单,查看其是否明确机房管理员、系统管理员、网络管理员、安全管理员等重要岗位人员的信息。b)应配备专职安全管理员,不可兼任。1)应访谈安全主管,询问安全管理员的配备情况,是否是专职。1)具有岗位与人员对应关系表。2)确认表中的安全管理员是专职人员。安全管理员不得兼任同一系统的系统管理员2)应检查管理人员名单,确认安全管理员是否是专职人员。c)关键事务岗位应配备多人共同管理。1)应访谈安全主管,询问哪些关键事物需要配备2人或2人以上共同管理,人员具体配备情况如何。1)具有岗位与人员对应关系表。2)确认表中关键岗位配备多人。2)应检查管理人员名单,查看关键岗位是否配备多人。3
12、授权和审批a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。1)应访谈安全主管,询问对哪些信息系统活动进行审批,审批部门是何部门,审批人是何人。1)明确了各项审批事项的审批部门和审批人。b)应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度。1)应访谈安全主管,询问其对重要活动的审批范围(如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等),审批程序如何,其中是否需要需要逐级审批。1)与审批活动相关的制度(如变更管理、产品采购、机房管理等)中明确了
13、审批程序以及重要活动的逐级审批流程。2)具有经过逐级审批的文档。2)应检查各类管理制度文档,查看文档中是否明确事项的审批程序(如列表说明哪些事项应经过信息安全领导小组审批,哪些事项应经过安全管理机构审批等),是否明确对重要活动进行逐级审批,由哪些部门/人员逐级审批。3)应检查经逐级审批的文档,查看是否具有各级批准人的签字和审批部门的盖章。c)应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息。1)应检查审批事项的审查记录,查看是否对审批事项、审批部门、审批人的变更进行评审。1)具有审查记录。2)记录与文件要求一致。d)应记录审批过程并保存审批文档。1)应检查关键活动的审批过
14、程记录,查看记录的审批程序与文件要求是否一致。1)具有各项活动的审批过程记录。2)记录与文件要求一致。4沟通和合作a)应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,定期或不定期召开协调会议,共同协作处理信息安全问题。 1)应访谈安全主管,询问与其它部门之间及内部各部门管理人员之间的沟通、合作机制。部门间、,安全管理职能部门内部以及信息安全领导小组或者安全管理委员会是否定期召开会议。1)具有会议文件或会议记录。2)文件或记录中有会议内容等描述。2)应检查组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,查看是否具有会议内容、会议时间、参加人员和
15、会议结果等描述。3)应检查是否具有信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录(如会议记录/纪要,信息安全工作决策文档等)。b)应加强与兄弟单位、公安机关、电信公司的合作与沟通。1)应访谈安全主管,询问是否建立与公安机关、电信公司和兄弟单位等的沟通、合作机制。1)与兄弟单位等建立了某种方式的沟通合作机制。2)具有外联单位联系列表。3)列表说明外联单位包含公安机关等。2)应检查外联单位联系列表,查看外联单位是否包含公安机关、电信公司、兄弟公司等,是否说明外联单位的名称、联系人、合作内容和联系方式等内容。c)应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。1)应
16、访谈安全主管,询问是否与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。1)与供应商等建立了某种方式的沟通合作机制。2)外联单位联系列表说明外联单位包含供应商等。2)应检查外联单位联系列表,查看外联单位是否包含供应商、业界专家、专业的安全公司和安全组织等,是否说明外联单位的名称、联系人、合作内容和联系方式等内容。d)应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息。1)应检查外联单位联系列表,查看外联单位是否包含公安机关、电信公司、兄弟公司、供应商、业界专家、专业的安全公司和安全组织等,是否说明外联单位的名称、联系人、合作内容和联系方式等内容。1)具有
17、外联单位联系列表。2)列表说明外联单位的名称等内容。e)应聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等。1)应访谈安全主管,询问是否聘请信息安全专家作为常年的安全顾问。1)安全顾问名单或者聘请安全顾问的证明文件。2)具有安全顾问参与评审的文档或记录。2)应检查是否具有安全顾问名单或者聘请安全顾问的证明文件。3)应检查是否具有安全顾问指导信息安全建设、参与安全规划和安全评审的相关文档或记录。5审核和检查a)安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。1)应访谈安全主管,询问是否组织人员定期对信息系统进行安全检查 查看检查
18、内容是否包括系统日常运行、系统漏洞和数据备份等情况。1)定期实施安全检查。b)应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。1)应访谈安全管理员,询问是否定期进行全面安全检查,安全检查是否包含现行技术措施有效性和管理制度执行情况等方面。1)具有安全检查制度。2)制度中明确了相关检查内容。2)应检查安全检查制度,查看是否明确检查内容包括技术措施有效性和安全管理制度执行情况等方面。c)应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。1)应访谈安全管理员,询问是否制
19、定安全检查表格实施安全检查,是否对检查结果进行通报。1)具有安全检查表。2)具有安全检查报告。3)具有检查结果通告记录。2)应检查是否具有安全检查表格。3)应检查安全检查报告,查看报告日期与检查周期是否一致,报告中是否具有检查内容、检查时间、检查人员、检查数据汇总表、检查结果等的描述。d)应制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。1)应检查安全检查制度文档,查看文档是否规定检查内容、检查程序和检查周期等,检查内容是否包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。1)具有安全检查制度。2)制度中明确了定期
20、进行全面安全检查,明确了检查内容等。3、 人员安全管理序号类别测评项测评实施预期结果说明1人员录用a)应指定或授权专门的部门或人员负责人员录用。1)应访谈安全主管,询问由何部门/何人负责安全管理和技术人员的录用工作。1)指定或授权专门的部门或人员负责录用工作。b)应严格规范人员录用过程,对被录用人的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核。1)应访谈人事负责人,询问在人员录用时是否对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核。1)文档中有人员录用的要求,说明录用人员应具备的条件。2)文档或记录中有审查内容和审查结果。3)具有技能考核文档
21、或记录。2)应检查人员录用要求管理文档,查看是否说明录用人员应具备的条件,如学历、学位要求,技术人员应具备的专业技术水平,管理人员应具备的安全管理知识等。3)应检查技能考核文档或记录,查看是否记录考核内容和考核结果等。c)应签署保密协议。1)应访谈人事负责人,询问是否与录用后的技术人员签署保密协议。1)具有保密协议。2)协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容。2)应检查保密协议,查看是否具有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容。d)应从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议。1)应访谈人事负责人,询问是否设定关键岗位,
22、对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全协议。1)具有岗位安全协议。2)协议中有安全责任定义、协议的有效期限和责任人签字等内容。2)应检查岗位安全协议,查看是否具有岗位安全责任、违约责任、协议的有效期限和责任人签字等内容。2人员离岗a)应严格规范人员离岗过程,及时终止即将离岗员工的所有访问权限。1)应访谈人事负责人,询问是否及时终止离岗人员的所有访问权限。1)文档有离岗管理的内容,规定了人员离岗要求。2)具有离岗人员所有访问权限终止的记录。2) 应检查人员离岗管理文档,查看是否规范人员离岗过程,并明确终止离岗人员的访问权限。b)应取回各种身份证件、钥匙、徽章等以及机构提
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 37页 安全管理 测评 指导书 三级 S3A3G3 10 精编 37
![提示](https://www.taowenge.com/images/bang_tan.gif)
限制150内