安全管理测评指导书三级SAG版.docxVIP

1、安全管理制度 序号 类别 测评项 测评实施 预期结果 说明 1 管理 制度 a）应制定信息安全工作的总体方针 和安全策略，说明机构安全工作的总 体目标、范围、原则和安全框架等。 1）应检查信息安全工作的总体方针和安 全策略，查看文件是否明确机构安全工作 的总体目标、范围、原则和安全框架等。 1）具有信息安全工作的总体方针和安全 策略。 2）总体方针和安全策略里明确了机构安 全工作的总体目标、范围、原则和安全 框架等。 b）应对安全管理活动中的各类管理 内容建立安全管理制度。 1）应检查各项安全管理制度，查看是否 覆盖安全管理活动中的各类管理内容 （制 度管理、机构管理、人员管理、系统建设 管理和运维管理等方面）。 1）建立了安全管理制度。 2）安全管理制度覆盖了机构管理、制度 管理、人员管理、系统建设和运维等层 面的管理内容。 c）应对安全管理人员或操作人员执 行的日常管理操作建立操作规程。 1）应检查是否具有对重要管理操作的操 作规程，如系统维护手册和用户操作规程 等。 1）具有日常管理操作的操作规程。 2）操作规程覆盖了物理、网络、主机、 应用等层面的重要操作规程（如系统维 护手册和用户操作规程等）。 d）应形成由安全政策、管理制度、 1）应访谈安全主管，询问机构是否形成 1）具有各项管理制度。  序号 类别 测评项 测评实施 预期结果 说明 操作规程等构成的全面的信息安全 管理制度体系。 全面的信息安全管理制度体系， 制度体系 是否由安全政策、管理制度、操作规程等 构成。 2）内容覆盖全面，由总体方针、安全策 略、管理制度、操作规程等构成，形成 了全面的信息安全管理制度体系。 a）应指定或授权专门的部门或人员 1）应访谈安全主管，询问由何部门或人 员负责安全管理制度的制定， 参与制定人 员有哪些。 1 ）具有人员职责或岗位设置等相关文 件。 制定 负责安全管理制度的制定。 2）应检查人员职责、岗位设置等相关管 理制度文件，查看是否明确由专门的部门 或人员负责安全管理制度的制定工作。 2）文件明确了由专门的部门或人员负责 安全管理制度的制定工作。 2 和发 布 b）安全管理制度应具有统一的格式， 并进行版本控制。 1）应检查安全管理制度制定和发布要求 管理文档，查看文档是否说明安全管理制 度的格式要求、版本编号。 1）具有美于管理制度的格式和版本控制 的相关文档。 2）相关管理文档内容覆盖了包括管理制 2）应检查安全管理制度文档，查看是否 具有版本标识，查看各项制度文档格式是 否统一。 度的格式标准或要求以及版本控制等内 容。 3）各项安全管理制度具有统一的格式并 进行了版本控制。  序号 类别 测评项 测评实施 预期结果 说明 c）应组织相关人员对制定的安全管 理进行论证和审定。 1）应访谈安全主管，询问安全管理制度 的制定程序，是否对制定的安全管理制度 进行论证和审定，论证和审定方式如何 （如召开评审会、函审、内部审核等）。 1）具有管理制度评审记录，有评审意见。 2）应检查管理制度评审记录，查看是否 具有相关人员的评审意见。 d）安全管理制度应通过正式、有效 的方式发布。 1）应检查安全管理制度制定和发布要求 管理文档，查看文档是否说明安全管理制 度的制定、发布程序和发布范围等各项要 求。 1）具有制度制定和发布要求的管理文 档。 2）文档内容覆盖安全管理制度制定和发 布程序。 3）各项安全管理制度文档都是通过正 式、有效的方式发布的，如具有版本标 识和管理层的签字或单位盖章。 e）安全管理制度应注明发布范围， 并对收发文进行登记。 1）应检查安全管理制度的收发登记记录， 查看收发是否通过正式、有效的方式（如 正式发文、领导签署和单位盖章等），是 1）具有安全管理制度的收发登记记录。 2）注明了安全制度发布范围。 若以电子形 式发布的管 理制度，关  序号 类别 测评项 测评实施 预期结果 说明 否注明管理制度的发布范围。 注版本控制 和发布范围 a）信息安全领导小组应负责定期组 织相关部门和相关人员对安全管理 制度体系的合理性和适用性进行审 a￡o 1）应访谈安全主管，询问是否由信息安 全领导小组负责定期对安全管理制度体 系的合理性和适用性进行审定， 审定周期 多长。 1）具有安全管理制度体系的评审记录。 2）评审内容符合要求。 3 评审 和修 2）应检查是否具有安全管理制度体系的 评审记录，查看实际评审周期是否符合要 求，是否记录了相关人员的评审意见。 3）评审周期符合要求。 订 b）应定期或/、定期对安全管理制度 进行检查和审7E,对存在不足或需要 改进的安全管理制度进行修订。 1）应访谈安全主管，询问是否对管理制 度定期修订，修订周期多长。询问系统发 生重大安全事故、 出现新的安全漏洞以及 技术基础