金融行业三级管理制度测评指导书.docxVIP

密 级：机密 信息安全等级保护测评指导书 安全管理制度测评指导书 黑龙江安衡讯信息安全测评技术服务有限公司 2013.05 保密申明 保密申明 本安全方案包含了来自安衡讯可靠、权威的信息，此信息仅供安衡讯的信息安全等级保护测评项目使用，接受本指导书即表示同意对其内容保密，并且未经安衡讯书面请求和书面认可，不得向外界复制，泄露或散布此方案。如果你不是有意接受者，请注意对本方案内容的任何形式的泄露、复制或散布都是被禁止的。 安全管理制度 序号 类别 测评项 测评实施 说明 1 管理制度 a)应制定信息安全工作的总体方针和安全策略，说明安全工作的总体目标、范围、原则和安全框架等，并编制形成信息安全方针制度文件。 1）应检查信息安全工作的总体方针和安全策略，查看文件是否明确机构安全工作的总体目标、范围、原则和安全框架等。 b)应对安全管理活动中的各类管理内容建立安全管理制度； 1）应检查各项安全管理制度，查看是否覆盖安全管理活动中的各类管理内容（制度管理、机构管理、人员管理、系统建设管理和运维管理等方面）。 c)应对要求管理人员或操作人员执行的日常管理操作建立操作规程； 1）应检查是否具有对重要管理操作的操作规程，如系统维护手册和用户操作规程等。 d）应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。 1）应访谈安全主管，询问机构是否形成全面的信息安全管理制度体系，制度体系是否由安全政策、管理制度、操作规程等构成。 2 制定和发布 a）由金融机构总部科技部门负责制定适用全机构范围的安全管理制度，各分支机构的科技部门负责制定适用辖内的安全管理制度。(F3) 1）应访谈安全主管，询问由何部门或人员负责安全管理制度的制定，参与制定人员有哪些。 2）应检查人员职责、岗位设置等相关管理制度文件，查看是否明确由专门的部门或人员负责安全管理制度的制定工作。 b)安全管理制度应具有统一的格式，并进行版本控制； 1）应检查安全管理制度制定和发布要求管理文档，查看文档是否说明安全管理制度的格式要求、版本编号。 2）应检查安全管理制度文档，查看是否具有版本标识，查看各项制度文档格式是否统一。 c)应组织相关人员对制定的安全管理制度进行论证和审定； 1）应访谈安全主管，询问安全管理制度的制定程序，是否对制定的安全管理制度进行论证和审定，论证和审定方式如何（如召开评审会、函审、内部审核等）。 2）应检查管理制度评审记录，查看是否具有相关人员的评审意见。 d)安全管理制度应通过正式、有效的方式发布； 1）应检查安全管理制度制定和发布要求管理文档，查看文档是否说明安全管理制度的制定、发布程序和发布范围等各项要求。 e)安全管理制度应注明发布范围，并对收发文进行登记； 1）应检查安全管理制度的收发登记记录，查看收发是否通过正式、有效的方式（如正式发文、领导签署和单位盖章等），是否注明管理制度的发布范围。 3 评审和修订 a）信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。 1）应访谈安全主管，询问是否由信息安全领导小组负责定期对安全管理制度体系的合理性和适用性进行审定，审定周期多长。 2）应检查是否具有安全管理制度体系的评审记录，查看实际评审周期是否符合要求，是否记录了相关人员的评审意见。 b）应该建立对门户网站内容发布的审核、管理和监控机制。（F3） 本次不适用 c）应定期或不定期对安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度进行修订。 1）应访谈安全主管，询问是否对管理制度定期修订，修订周期多长。询问系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时是否对安全管理制度进行检查，对需要改进的制度进行修订。 2）应检查是否具有安全管理制度修订记录。 安全管理机构 序号 类别 测评项 测评实施 说明 1 岗位设置 a) 金融机构信息安全管理工作实行统一领导、分级管理，总部统一领导分支机构的信息安全管理，各机构负责本单位和辖内的信息安全管理。(F3) 1）应访谈安全主管，询问是否设立安全管理机构（即信息安全管理工作的职能部门）。机构内部门设置情况如何，是否设立安全主管及安全管理各个方面的负责人，是否明确各部门和各负责人的职责。 2）应检查部门、岗位职责文件，查看文件是否明确安全管理机构的职责，是否明确机构内各部门和各负责人的职责和分工。 b) 应设立由本机构领导、业务与技术相关部门主要负责人组成的信息安全领导小组，负责协调本机构及辖内信息安全管理工作，决策本机构及辖内信息安全重大事宜。 1）应访谈安全主管，询问设置了哪些工作岗位（如安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等重要岗位），是否明确各个岗位的职