等级保护三级安全管理机构对象选择及实施要点.pdf

安全管理机构

1岗位设置

1.1应成立指导和管理网络安全工作的委员会或领导小组，其最高领导由单

位主管领导担任或授权

1.1.1对象选择

信息/网络安全主管、管理制度类文件和记录表单类文件。

1.1.2实施要点

1）应了解是否成立了指导和管理网络安全工作的委员会或领导小组。

2）通过核查成立网络安全工作的委员会或领导小组的文件，确认是否明确了指导和管理网络安

全工作的委员会或领导小组的构成情况和相关职责，以及确认指导和管理网络安全工作的委员会或领

导小组的最高领导是否由单位主管领导担任，或是否有授权给其他人员的证明文件。

3）一般情况下，一个机构成立了指导和管理网络安全工作的委员会或领导小组均需要有正式的

发文。

1.2应设立网络安全管理工作的职能部门，设立安全主管、安全管理各个方

面的负责人岗位，并定义各负责人的职责

1.2.1对象选择

信息/网络安全主管和管理制度类文件。

1.2.2实施要点

1）应了解是否设立了安全管理工作的职能部门和安全主管、安全管理等岗位。一般情况下，安

全管理部门负责网络安全管理工作的开展、业务部门和安全管理部门的沟通协调，定期对系统的安全

措施落实情况进行检查、系统安全运行维护管理工作等。

2）应了解安全管理部门和安全主管、安全管理员等岗位的职责范围。其中安全主管是一个单位

安全管理工作的主要负责人，全面负责等级保护安全规划、建设、运行维护等管理工作。安全管理的

负责人应当包括物理安全责任人（负责机房环境和办公环境的管理工作）、系统建设责任人（负责等

级保护规划、建设整改、工程实施工作）和系统运维责任人（等级保护系统的日常运行和巡检等正常

维护工作）等。

3）应核查明确安全主管、安全管理各个方面的负责人岗位的文件，以及明确各岗位负责人职责

的文件。

1.3应设立系统管理员、审计管理员和安全管理员等岗位，并定义部门及各

个工作岗位的职责

1.3.1对象选择

信息/网络安全主管和管理制度类文件。

1.3.2实施要点

1）应了解是否设立系统管理员、审计管理员和安全管理员等岗位。系统管理员、审计管理员和

安全管理员是具体落实各项网络安全等级保护工作具体要求的执行人员，负责日常具体的安全维护工

作。

2）应了解系统管理员、审计管理员和安全管理员等岗位和各部门的职责范围。通常系统管理员

负责系统的运行维护，包含策略配置等操作。一般情况下，审计管理员负责各类日志的查看，通过日

志发现可能存在的攻击或不规范操作情况。安全管理员负责对网络用户访问权限进行严格的控制，维

护网络确保其安全正常运行。

3）应核查明确系统管理员、审计管理员和安全管理员等岗位的文件，以及明确各部门、岗位负

责人职责的文件。

1.3.3人员配备

1.4应配备一定数量的系统管理员、审计管理员和安全管理员等

1.4.1对象选择

信息/网络安全主管和管理制度类文件。

1.4.2实施要点

1）应了解是否设立系统管理员、审计管理员和安全管理员等岗位。

2）应核查相关文件，确认是否明确了系统管理员、审计管理员和安全管理员等岗位人员的信息。

3）将访谈信息、核查信息与现场核查进行核对，确认各岗位人员是否与名单一致

1.5应配备专职安全管理员，不可兼任

1.5.1对象选择

信息/网络安全主管和记录类表单文件。

1.5.2实施要点

1）应了解是否设立了安全管理员岗位。

2）应核查相关文档，确认安全管理员是否为专职，是否承担其他管理员岗位。

2授权和审批

2.1应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等

2.1.1对象选择

信息/网络安全主管、管理制度类文件和记录类表单文件

2.1.2实施要点

1）应了解现有的组织架构，以及各部门、各岗位的职责范围。

2）应结合各个部门和岗位的职责，核查相关管理规定（如审批管理制度、变更管理制度、机房

安全管理制度、网络安全管理制度等）确认是否明确授权审批事项、审批部门和批准人等相关审批信

息。

3）应核查相关审批记录文件（如系统变更、物理访问和系统接入等），确认现有的授权审批事项、

审批部门和批准人节点是否合理有效。

2.2应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，

按照审批程序执行审批过程，对重要活动建立逐级审批制度

2.2.1对象选择

管理制度类文件