4安全管理机构-岗位设置.docVIP

标准编号

7.2.2.1

测评项

管理要求-安全管理机构-岗位设置

测评对象

安全管理机构

测评方式

■访谈□检查□测试□其他

测评方法

操作步骤

测评记录

a)应访谈安全主管，询问是否设立指导和管理信息安全工作的委员会或领导小组，其最高领导是否由单位主管领导委任或授权的人员担任；

a)是否设立指导和管理信息安全工作的委员会或领导小组

□是□否

其最高领导是否由单位主管领导委任或授权的人员担任

□是□否

b)应访谈安全主管，询问是否设立专职的安全管理机构（即信息安全管理工作的职能部门）；机构内部门设置情况如何，是否明确各部门的职责分工；

b)是否设立专职的安全管理机构（即信息安全管理工作的职能部门）

□是□否

机构内部门设置情况如何，是否明确各部门的职责分工

□是□否

c)应访谈安全主管，询问信息系统设置了哪些工作岗位，各个岗位的职责分工是否明确；询问是否设立安全管理各个方面的负责人；

c)信息系统设置各个岗位的职责分工是否明确

□是□否

是否设立安全管理各个方面的负责人

□是□否

系统的开发测试、运行维护人员是否在岗位上分离

□是□否

d)应访谈安全主管、安全管理各个方面的负责人、系统管理员、网络管理员和安全管理员，询问其岗位职责包括哪些内容；

d)安全管理员的岗位职责列举：

说明：

客户确认：

日期：

标准编号

7.2.2.1

测评项

管理要求-安全管理机构-岗位设置

测评对象

安全管理机构

测评方式

□访谈■检查□测试□其他

测评方法

操作步骤

测评记录

e)应检查部门、岗位职责文件，查看文件是否明确安全管理机构的职责，是否明确机构内各部门的职责和分工，部门职责是否涵盖物理、网络和系统安全等各个方面；查看文件是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等各个岗位，各个岗位的职责范围是否清晰、明确；查看文件是否明确各个岗位人员应具有的技能要求；

e)是否具有部门、岗位职责文件

□是□否

文件是否涵盖全面、职责范围清晰、明确

□是□否

是否明确各个岗位人员应具有的技能要求

□是□否

f)应检查信息安全管理委员会或领导小组最高领导是否具有委任授权书，查看授权书中是否有本单位主管领导的授权签字；

f)信息安全管理委员会或领导小组最高领导是否具有委任授权书

□是□否

授权书中是否有本单位主管领导的授权签字

□是□否

g)应检查信息安全管理委员会职责文件，查看是否明确委员会职责和其最高领导岗位的职责；

g)信息安全管理部门职责文件，查看是否明确各部门职责和其最高领导岗位的职责

□是□否

h)应检查安全管理各部门和信息安全管理委员会或领导小组是否具有日常管理工作执行情况的文件或工作记录。

h)是否具有安全管理各部门日常管理工作执行情况的文件或工作记录

□是□否

说明：需要检查资料有部门、岗位职责文件。

客户确认：

日期：