二级-06安全管理测评记录V2.0教材.doc

文件编号 CDJX-DJCP- -006 文件版本 V2.0 编写 钱平 校对 胥滔 审核 朱光剑 修订次数 V2.0 打印份数 控制状态 是否装订 归档部门 信息系统安全等级保护测评 附件6 安全管理测评记录（S2A2G2级） 单位名称: 系统名称: 测试时间 年 月 日- 月 日  目 录 一、安全管理测评判定表 2 1.1安全管理制度 2 1.2 安全管理机构 2 1.3 人员安全管理 2 1.4 系统建设管理 2 1.5系统运维管理 2 一、安全管理测评判定表 1.1安全管理制度 类别 序号 测评项 测评实施 结果记录 符合情况 结果 情况记录 符合 不符合 管理制度（G） 1 a) 应制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架等； a) 应检查信息安全工作的总体方针和安全策略文件，查看文件是否明确机构安全工作的总体目标、范围、原则和安全框架等； b) 应检查各项安全管理制度，查看是否覆盖物理、网络、主机系统、数据、应用、建设和管理等层面的重要管理内容； c) 应检查是否具有重要管理操作的操作规程（如系统维护手册和用户操作规程等）。 如果a）-c）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合本单元测评指标要求 通 过：□ 不通过：□ 不适用：□ ( ( b) 应对安全管理活动中重要的管理内容建立安全管理制度； 通 过：□ 不通过：□ 不适用：□ ( ( c) 应对安全管理人员或操作人员执行的重要管理操作建立操作规程 通 过：□ 不通过：□ 不适用：□ ( ( 制定和发布（G） 2 a) 应指定或授权专门的部门或人员负责安全管理制度的制定； a) 应访谈安全主管，询问是否有专门的部门或人员负责制定安全管理制度； b) 应访谈安全管理制度制、修订人员，询问安全管理制度的制定程序和发布方式，是否对制定的安全管理制度进行论证和审定，论证和评审方式如何； c) 应检查管理制度评审记录，查看是否有相关人员的评审意见。 如果a）-c）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合本单元测评指标要求。 通 过：□ 不通过：□ 不适用：□ ( ( b) 应组织相关人员对制定的安全管理制度进行论证和审定； 通 过：□ 不通过：□ 不适用：□ ( ( c) 应将安全管理制度以某种方式发布到相关人员手中 通 过：□ 不通过：□ 不适用：□ ( ( 评审和修订（G） 3 a) 应定期对安全管理制度进行评审，对存在不足或需要改进的安全管理制度进行修订 a) 应访谈安全主管，询问是否定期对安全管理制度进行评审，评审周期多长，发现存在不足或需要改进的是否进行修订； b) 应检查安全管理制度评审记录，查看记录的日期间隔与评审周期是否一致；如果对制度做过修订，检查是否有修订版本的安全管理制度。 如果a）和 b）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合本单元测评指标要求。 通 过：□ 不通过：□ 不适用：□ ( ( 测评人员（签字）： 结果确认（签字）： 测评日期： 1.2 安全管理机构 类别 序号 测评项 测评实施 结果记录 符合情况 结果 情况记录 符合 不符合 岗位设置（G） 1 a) 应设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责； a) 应访谈安全主管，询问设置了哪些工作岗位，各个岗位的职责分工是否明确；询问是否设立安全管理各个方面的负责人； b) 应访谈安全主管、安全管理某方面的负责人，询问其岗位职责包括哪些内容； c) 应检查岗位职责文档，查看文档是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员和安全管理员等各个岗位，各个岗位的职责范围是否清晰、明确。 如果a）-c）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合本单元测评指标要求。 通 过：□ 不通过：□ 不适用：□ ( ( b) 应设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责 通 过：□ 不通过：□ 不适用：□ ( ( 人员配备（G） 2 a) 应配备一定数量的系统管理员、网络管理员、安全管理员等； a) 应访谈安全主