信息安全等级保护第三级测评指导书v1-安全管理制度.docxVIP

安全管理制度G3A3G3

PAGE5

序号

控制点

测评指标

测评结论

1

管理制度

a)应制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架等；

测评方法

检查信息安全工作的总体方针和安全策略，查看文件是否明确机构安全工作的总体目标、范围、原则和安全框架等。

符合描述

暂时为空

存在问题

1．暂未制定信息安全工作的总体方针和安全策略或内容不完善。

2．（金标三级、金标四级）尚未编制形成信息安全方针制度文件。

危害分析

1．被威胁利用的可能性为低；

2．被威胁利用后，对信息系统安全造成的影响程度为低；

整改建议

制定并完善信息安全工作的总体方针和安全策略，明确机构安全工作的总体目标、范围、原则和安全框架等内容。

序号

控制点

测评指标

测评结论

2

管理制度

b)应对安全管理活动中的各类管理内容建立安全管理制度；

测评方法

检查各项安全管理制度，查看是否覆盖系统建设、改造、升级、运行维护等方面。

符合描述

暂时为空

存在问题

暂未对安全管理活动（金标四级为各类管理活动）中的各类（二级均为重要）管理内容制定各项安全管理制度或内容不完善。

危害分析

1．被威胁利用的可能性为低；

2．被威胁利用后，对信息系统安全造成的影响程度为低；

整改建议

制定并完善各项安全管理制度，覆盖系统建设、改造、升级、运行维护等方面内容。

序号

控制点

测评指标

测评结论

3

管理制度

c)应对要求管理人员或操作人员执行的日常管理操作建立操作规程；

测评方法

检查是否具有对重要管理操作的操作规程，如系统维护手册和用户操作规程等。

符合描述

暂时为空

存在问题

暂未对科技（二级均为安全）管理人员或操作人员执行的日常（二级均为重要）管理操作建立操作规程或内容不完善。

危害分析

1．被威胁利用的可能性为低；

2．被威胁利用后，对信息系统安全造成的影响程度为低；

整改建议

建立并完善对重要管理操作的操作规程，如系统维护手册和用户操作规程等。

序号

控制点

测评指标

测评结论

4

管理制度

d)应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。

测评方法

访谈安全主管，询问机构是否形成全面的信息安全管理制度体系，制度体系是否由安全政策、管理制度、操作规程等构成。

符合描述

暂时为空

存在问题

制度体系尚不完善。

危害分析

1．被威胁利用的可能性为低；

2．被威胁利用后，对信息系统安全造成的影响程度为低；

整改建议

形成全面的信息安全管理制度体系，应包含安全政策、管理制度、操作规程等内容。

序号

控制点

测评指标

测评结论

5

制定和发布

a)应指定或授权专门的部门或人员负责安全管理制度的制定；

测评方法

访谈安全主管，询问由何部门或人员负责安全管理制度的制定，参与制定人员有哪些。

符合描述

暂时为空

存在问题

暂未指定或授权专门的部门或人员负责安全管理制度的制定。

危害分析

1．被威胁利用的可能性为低；

2．被威胁利用后，对信息系统安全造成的影响程度为低；

整改建议

指定或授权专门的部门或人员负责安全管理制度的制定。

序号

控制点

测评指标

测评结论

6

制定和发布

b)安全管理制度应具有统一的格式，并进行版本控制；

测评方法

检查安全管理制度制定和发布要求管理文档，查看文档是否说明安全管理制度的格式要求、版本编号，并检查安全管理制度文档，查看是否具有版本标识，查看各项制度文档格式是否统一。

符合描述

暂时为空

存在问题

1．暂未制定安全管理制度制定和发布要求管理文档规定安全管理制度的格式要求、版本编号等内容。

2．检查安全管理制度文档，暂未按照安全管理制度制定和发布要求管理文档进行版本标识和格式统一的要求进行编写。

危害分析

1．被威胁利用的可能性为低；

2．被威胁利用后，对信息系统安全造成的影响程度为低；

整改建议

1．制定安全管理制度制定和发布要求管理文档，明确规定安全管理制度的格式要求、版本编号等内容。

2．按照安全管理制度制定和发布要求管理文档进行版本标识和格式统一等要求进行编写。

序号

控制点

测评指标

测评结论

7

制定和发布

c)应组织相关人员对制定的安全管理制度进行论证和审定；

测评方法

访谈安全主管，询问安全管理制度的制定程序，是否对制定的安全管理制度进行论证和审定；检查管理制度评审记录，查看是否具有相关人员的评审意见。

符合描述

暂时为空

存在问题

暂未组织相关人员对制定的安全管