安全管理机构安全测评指导书.docx

安全管理机构安全测评指导书 序号 测评指标 测评项 检查方法 预期结果 1 岗位设置 a）访谈安全 主管，检杳 安全管理某 方面的负责 人，部门、 岗位职责文 件。 访谈：安全主管，何 部门为信息安全工作 的职能部门。检查： 相关安全职能部门文 件。 1）信息安全工作由专 门的职能部门负责开 展；2）具备相关的安 全职能文件。 b）访谈安全 主管，检杳 安全管理某 方面的负责 人，部门、 岗位职责文 件。 访谈：1 ）安全主管， 是否设立了系统管理 员、网络管理员、安全 管理员等岗位；2 ）安 全主管，各个岗位的安 全职责。 1）设立了系统管理员、 网络管理员、安全管理 员等岗位；2 ）定义了 各个岗位的安全职责。 C）访谈安全 主管，检杳 安全管理某 方面的负责 人，部门、 岗位职责文 件。 访谈：1 ）安全主管， 是否成立了安全委员 会或者领导小组；2 ） 安全主管，委员会或者 领导小组负责人是否 为本单位人员。 检杳： 委员会或领导小组的 相关文件。 1）成立了安全委员会 或者领导小组；2 ）委 员会或者领导小组负 责人为本单位人员； 3）具备委员会或领导 小组相关文件。 d）访谈安全 主管，检杳 安全管理某 方面的负责 人，部门、 岗位职责文 件。 检查：岗位职责文件、 技能要求。 1）具备安全责任人职 责文件；2 ）具备各岗 位职责文件及技能要 求与分工。 2 人员配备 a）访谈安全 主管，检杳 人员配备要 求的相关文 档，管理人 员名单。 访谈：安全主管，岗 位人员配备情况。检 查：安全管理人员名 单。 1）配备了一定数量的 系统管理员、网络管理 员、安全管理员；2 ） 具备安全管理人员名 单。 b）访谈安全 主管，检杳 访谈：安全管理员是 安全管理员为专职人  人员配备要 求的相关文 档，管理人 员名单。 否为专职管理员。 员。 C）访谈安全 主管，检杳 人员配备要 求的相关文 档，管理人 员名单。 访谈：安全主管，关 键岗位是否有2人或2 人以上管理。 系统管理员、网络管理 员、安全管理员由2人 或2人以上管理。 3 授权和审 批 a）访谈安全 主管，检杳 关键活动的 批准人，审 批事项表 单，审批文 档等内容。 访谈：安全主管，关 键活动是否具备审批 流程、审批哪些事项， 是否具备审批部门和 审批人。 关键活动具备审批流 程、明确了审批事项、 明确了审批部门及批 准人。 b）访谈安全 主管，检杳 关键活动的 批准人，审 批事项表 单，审批文 档等内容。 访谈：安全主管，是 否针对系统变更、重要 操作、物理访问和系统 接入等事项建立审批 程序，重要活动是否建 立了逐级审批制度。 1）针对系统变更、重 要操作、物理访问和系 统接入等事项建立了 审批程序；2 ）针对重 要活动建立了逐级审 批制度。 c）访谈安全 主管，检杳 关键活动的 批准人，审 批事项表 单，审批文 档等内容。 访谈：安全主管，是 否结合实际情况更新 审批项目、审批部门和 审批人等信息。 结合实际情况更新审 批项目、审批部门和审 批人等信息。 d）访谈安全 主管，检杳 关键活动的 批准人，审 批事项表 单，审批文 档等内容。 检查：审批相关证据 文件。 具备审批过程文档。 4 沟通和合 a）访谈安全 主管与安全 访谈：1 ）安全主管， 信息部门与其他部门 1） 信息部门与其他部 门召开协调会；2 ）信  作 管理人员， 检查会议文 件，会议记 录，外联单 位说明文 档。 沟通情况，是否召开协 调会；2）负责信息安 全的部门是否召开内 部例会；检查：1） 协调会会议记录；2） 内部例会会议记录； 息部门召开内部例会； 3）具备各个会议的会 议记录。 b）访谈安全 主管与安全 管理人员， 检查会议文 件，会议记 录，外联单 位说明文 档。 访谈：安全主管，与 外单位的沟通、合作机 制。 与行业信息安全监管 部门、公安机关、通信 运营商、银仃及相关单 位和部门密切沟通。 C）访谈安全 主管与安全 管理人员， 检查会议文 件，会议记 录，外联单 位说明文 档。 访谈：安全主管，与 供应商、安全组织的沟 通、合作情况；检查： 联系表单。 1） 与供应商、安全组 织的进行沟通、合作； 2） 建立了联系表单。 d）访谈安全 主管与安全 管理人员， 检查会议文 件，会议记 录，外联单 位说明文 档。 检查：联系表单。 建立外联单位联系表 单。 e）访谈安全 主管与安全 管理人员， 检查会议文 件，会议记 录，外联单 位说明文 档。 访谈：安全主管，是 否聘请信息安全专家 参与安全规划和评审 工作。检查：1 ）信 息安全专家联系名单； 2）专家建议文档。 1）聘请了信息安全专 家参与安全规划和评 审工作；2 ）具备信息 安全专家联系名单； 3）具备信息安全专