56.网络安全等级保护测评2.0作业指导书（安全管理制度）v1.0.xlsxVIP

序号 测评指标 控制项 检查对象 检查方法 推荐值 判断标准

安全通用要求

1 安全策略 a）应制定网络安全工作的总体方针和安全策略，阐明机构安全工作的总体目标、范围、原则和安全框架等； 总体方针策略类文档 应核查网络安全工作的总体方针和安全策略文件是否明确机构安全工作的总体目标、范围、原则和各类安全策略；

2 管理制度 a）应对安全管理活动中的各类管理内容建立安全管理制度； 安全管理制度类文档 应核查各项安全管理制度是否覆盖物理、网络、主机系统、数据、应用、建设和运维等管理内容；

3 b）应对管理人员或操作人员执行的日常管理操作建立操作规程； 操作规程类文档 应核查是否具有日常管理操作的操作规程，如系统维护手册和用户操作规程等；

4 c）应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系； 总体方针策略类文档、管理制度类文档、操作规程类文档和记录表单类文档 应核查总体方针策略文件、管理制度和操作规程、记录表单是否全面且具有关联性和一致性

5 制定和发布 a）应指定或授权专门的部门或人员负责安全管理制度的制定； 部门/人员职责文件等 应核查否由专门的部门或人员负责制定安全管理制度；

6 b）安全管理制度应通过正式、有效的方式发布，并进行版本控制； 管理制度类文档和记录表单类文档 1)应核查制度制定和发布要求管理文档是否说明安全管理制度的制定和发布程序、格式要求及版本编号等相关内容；2)应核查安全管理制度的收发登记记录是否通过正式、有效的方式收发，如正式发文、领导签署和单位盖章等。

7 评审和修订 a）应定期对安全管理制度的合理性和适用性进行论证和审定，对存在不足或需要改进的安全管理制度进行修订； 信息/网络安全主管和记录表单类文档 1)应访谈信息/网络安全主管是否定期对安全管理制度的合理性和适用性进行审定；2)应核查是否具有安全管理制度的审定或论证记录，如果对制度做过修订，核查是否有修订版本的安全管理制度。