安全管理制度安全测评指导书.doc

安全管理制度安全测评指导书 序号 测评指标 测评项 检查方法 预期结果 1 管理制度 a)访谈安全主管，检查安全总体方针、政策性文件和安全策略文件，安全管理制度体系清单，操作规程。 检查: 是否明确安全工作的目标、范围、原则、安全框架。 1）具备信息安全工作的总体方针或安全策略； 2）安全总体方针包括安全工作的总体目标、范围、原则和安全框架。 b)访谈安全主管，检查安全总体方针、政策性文件和安全策略文件，安全管理制度体系清单，操作规程。 检查: 管理制度是否覆盖物理、网络、主机系统、数据、应用、建设和管理等层面。 管理制度覆盖到物理、网络、主机系统、数据、应用、建设和管理等层面。 c)访谈安全主管，检查安全总体方针、政策性文件和安全策略文件，安全管理制度体系清单，操作规程。 检查: 是否针对各项日常管理操作建立了操作规程。 针对日常的每项操作均建立了操作规程。 d)访谈安全主管，检查安全总体方针、政策性文件和安全策略文件，安全管理制度体系清单，操作规程。 访谈: 1）安全主管，是否具备安全管理体系； 2）安全管理体系是否由方针、安全策略、管理制度、操作规程等构成。 1）具备安全管理体系； 2）安全管理体系由方针、安全策略、管理制度、操作规程等构成。 2 制定和发布 a)访谈安全主管，检查制度制定和发布要求管理文档，评审记录，安全管理制度。 访谈: 安全主管，制定安全管理制度的部门或人员。 安全管理制度的制定由专门的部门或人员负责。 b)访谈安全主管，检查制度制定和发布要求管理文档，评审记录，安全管理制度。 访谈: 安全主管，是否按照统一的格式标准或要求制定； 检查: 各项制度文档格式是否统一。 1)各项安全管理制度由统一的格式或标准进行制定； 2)各项安全管理制度格式统一。 c)访谈安全主管，检查制度制定和发布要求管理文档，评审记录，安全管理制度。 访谈： 安全主管，是否对安全管理制度进行论证和审定。 检查: 检查论证的相关材料。 1)各项安全管理制度进行论证和审定； 2)具备安全管理制度的审定记录。 d)访谈安全主管，检查制度制定和发布要求管理文档，评审记录，安全管理制度。 访谈： 安全主管，安全管理制度以何种方式进行发布。 检查 发布文档是否有管理层签字或者盖章。 1）安全管理制度以电子或者纸质形式发布； 2）以纸质形式发布的安全管理制度需有管理层的签字或者盖章。 e)访谈安全主管，检查制度制定和发布要求管理文档，评审记录，安全管理制度。 检查: 1）安全管理制度是否注明发布范围； 2）安全管理制度收发登记记录。 1）各项安全管理制度注明了发布范围； 2）具备安全管理制度的收发登记记录。 3 评审与修订 a)访谈安全主管，检查安全管理制度列表，评审记录。 访谈: 1）安全主管，是否定期对安全管理制度进行检查和审定，周期为多久； 2）安全主管，是否在信息发生重大变更时对安全管理制度进行修订； 3）安全管理制度的评审由何部门、何人负责。 1）定期对安全管理制度进行检查和审定； 2）发生重大变更时对安全管理制度进行修订； 3）指定专门的部门或者人员对安全管理制度进行评审。 b)访谈安全主管，检查安全管理制度列表，评审记录。 访谈: 安全主管，是否定期对安全管理制度的合理性、适用性进行审定，周期为多久。 检查: 评审记录，日期与评审周期是否一致，修订记录。 1）定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定； 2）具备审定记录。