3安全管理测评指导书-三级S3A3G3-10版.pdf

公安部信息安全等级保护评估中心 1、安全管理制度 序号 类别 测评项 测评实施 预期结果 说明 1）具有信息安全工作的总体方针和安全 a）应制定信息安全工作的总体方针 1）应检查信息安全工作的总体方针和安 策略。 和安全策略，说明机构安全工作的总 全策略，查看文件是否明确机构安全工作 2）总体方针和安全策略里明确了机构安 体目标、范围、原则和安全框架等。 的总体目标、范围、原则和安全框架等。 全工作的总体目标、范围、原则和安全 框架等。 1）应检查各项安全管理制度，查看是否 1）建立了安全管理制度。 b）应对安全管理活动中的各类管理 覆盖安全管理活动中的各类管理内容 （制 2）安全管理制度覆盖了机构管理、制度 内容建立安全管理制度。 度管理、机构管理、人员管理、系统建设 管理、人员管理、系统建设和运维等层 管 理 1 管理和运维管理等方面）。 面的管理内容。 制度 1）具有日常管理操作的操作规程。 1）应检查是否具有对重要管理操作的操 c）应对安全管理人员或操作人员执 2）操作规程覆盖了物理、网络、主机、 作规程，如系统维护手册和用户操作规程 行的日常管理操作建立操作规程。 应用等层面的重要操作规程 （如系统维 等。 护手册和用户操作规程等）。 1）应访谈安全主管，询问机构是否形成 1）具有各项管理制度。 d）应形成由安全政策、管理制度、 全面的信息安全管理制度体系，制度体系 2）内容覆盖全面，由总体方针、安全策 操作规程等构成的全面的信息安全 是否由安全政策、管理制度、操作规程等 略、管理制度、操作规程等构成，形成 管理制度体系。 构成。 了全面的信息安全管理制度体系。 1）应访谈安全主管，询问由何部门或人 员负责安全管理制度的制定，参与制定人 1）具有人员职责或岗位设置等相关文 a）应指定或授权专门的部门或人员 员有哪些。 件。 制 定 负责安全管理制度的制定。 2）应检查人员职责、岗位设置等相关管 2）文件明确了由专门的部门或人员负责 2 和 发 理制度文件，查看是否明确由专门的部门 安全管理制度的制定工作。 布 或人员负责安全管理制度的制定工作。 1）应检查安全管理制度制定和发布要求 1）具有关于管理制度的格式和版本控制 b）安全管理制度应具有统一的格式，