等级保护三级管理测评要点.docVIP

三级管理要求(S3A3G3) 等级保护三级管理类测评控制点(S3A3G3) 类别 序号 测 评 内 容 测评方法 结果记录 符合情况 Y N O 安全 应设立信息安全管理工作的职能部门，设立安全主管人、安全管理各个方面的负责人岗位，定义各负责人的职责。 访谈，检查。安全主管，安全管理某方面的负责人，部门、岗位职责文件。 应设立系统管理人员、网络管理人员、安全管理人员岗位，定义各个工作岗位的职 责。 应成立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领导委任或授权。 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。 人员配备 应配备一定数量的系统管理员、网络管理员、安全管理员等。 访谈，检查。安全主管，人员配备要求的相关文档，管理人员名单。 应配备专职安全管理员，不可兼任。 关键事务岗位应配备多人共同管理。 授权和审批 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。 访谈，检查。安全主管，关键活动的批准人，审批事项列表，审批文档。 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度。 应定期审查审批事项