安全管理機構安全測評指導書

1、安全管理機構安全測評指導書序號測評指標測評項檢查方法預期結果1崗位設置a）訪談安全 主管，檢杳 安全管理某 方面的負責 人，部門、 崗位職責文 件。訪談：安全主管，何 部門為信息安全工作 的職能部門。檢查： 相關安全職能部門文 件。1）信息安全工作由專 門的職能部門負責開 展；2）具備相關的安 全職能文件。b）訪談安全 主管，檢杳 安全管理某 方面的負責 人，部門、 崗位職責文 件。訪談：1 ）安全主管， 是否設立了系統(tǒng)管理 員、網絡管理員、安全 管理員等崗位；2 ）安 全主管，各個崗位的安 全職責。1）設立了系統(tǒng)管理員、 網絡管理員、安全管理 員等崗位；2 ）定義了 各個崗位的安全職責。C）

2、訪談安全 主管，檢杳 安全管理某 方面的負責 人，部門、 崗位職責文 件。訪談：1 ）安全主管， 是否成立了安全委員 會或者領導小組；2 ） 安全主管，委員會或者 領導小組負責人是否 為本單位人員。 檢杳： 委員會或領導小組的 相關文件。1）成立了安全委員會 或者領導小組；2 ）委 員會或者領導小組負 責人為本單位人員；3）具備委員會或領導 小組相關文件。d）訪談安全 主管，檢杳 安全管理某 方面的負責 人，部門、 崗位職責文 件。檢查：崗位職責文件、 技能要求。1）具備安全責任人職 責文件；2 ）具備各崗 位職責文件及技能要 求與分工。2人員配備a）訪談安全 主管，檢杳 人員配備要 求的相關

3、文 檔，管理人 員名單。訪談：安全主管，崗 位人員配備情況。檢 查：安全管理人員名 單。1）配備了一定數量的 系統(tǒng)管理員、網絡管理 員、安全管理員；2 ） 具備安全管理人員名 單。b）訪談安全 主管，檢杳訪談：安全管理員是安全管理員為專職人人員配備要 求的相關文 檔，管理人 員名單。否為專職管理員。員。C）訪談安全 主管，檢杳 人員配備要 求的相關文 檔，管理人 員名單。訪談：安全主管，關 鍵崗位是否有2人或2 人以上管理。系統(tǒng)管理員、網絡管理 員、安全管理員由2人 或2人以上管理。3授權和審批a）訪談安全 主管，檢杳 關鍵活動的 批準人，審 批事項表 單，審批文 檔等內容。訪談：安全主管，關

4、 鍵活動是否具備審批 流程、審批哪些事項， 是否具備審批部門和 審批人。關鍵活動具備審批流 程、明確了審批事項、 明確了審批部門及批 準人。b）訪談安全 主管，檢杳 關鍵活動的 批準人，審 批事項表 單，審批文 檔等內容。訪談：安全主管，是 否針對系統(tǒng)變更、重要 操作、物理訪問和系統(tǒng) 接入等事項建立審批 程序，重要活動是否建 立了逐級審批制度。1）針對系統(tǒng)變更、重 要操作、物理訪問和系 統(tǒng)接入等事項建立了 審批程序；2 ）針對重 要活動建立了逐級審 批制度。c）訪談安全 主管，檢杳 關鍵活動的 批準人，審 批事項表 單，審批文 檔等內容。訪談：安全主管，是 否結合實際情況更新 審批項目、審批部

5、門和 審批人等信息。結合實際情況更新審 批項目、審批部門和審 批人等信息。d）訪談安全 主管，檢杳 關鍵活動的 批準人，審 批事項表 單，審批文 檔等內容。檢查：審批相關證據 文件。具備審批過程文檔。4溝通和合a）訪談安全 主管與安全訪談：1 ）安全主管， 信息部門與其他部門1） 信息部門與其他部 門召開協(xié)調會；2 ）信作管理人員， 檢查會議文 件，會議記 錄，外聯(lián)單 位說明文 檔。溝通情況，是否召開協(xié) 調會；2）負責信息安 全的部門是否召開內 部例會；檢查：1） 協(xié)調會會議記錄；2） 內部例會會議記錄；息部門召開內部例會；3）具備各個會議的會 議記錄。b）訪談安全 主管與安全 管理人員， 檢

6、查會議文 件，會議記 錄，外聯(lián)單 位說明文 檔。訪談：安全主管，與 外單位的溝通、合作機 制。與行業(yè)信息安全監(jiān)管 部門、公安機關、通信 運營商、銀仃及相關單 位和部門密切溝通。C）訪談安全 主管與安全 管理人員， 檢查會議文 件，會議記 錄，外聯(lián)單 位說明文 檔。訪談：安全主管，與 供應商、安全組織的溝 通、合作情況；檢查： 聯(lián)系表單。1）與供應商、安全組 織的進行溝通、合作；2）建立了聯(lián)系表單。d）訪談安全 主管與安全 管理人員， 檢查會議文 件，會議記 錄，外聯(lián)單 位說明文 檔。檢查：聯(lián)系表單。建立外聯(lián)單位聯(lián)系表 單。e）訪談安全 主管與安全 管理人員， 檢查會議文 件，會議記 錄，外聯(lián)單

7、 位說明文 檔。訪談：安全主管，是 否聘請信息安全專家 參與安全規(guī)劃和評審 工作。檢查：1 ）信 息安全專家聯(lián)系名單； 2）專家建議文檔。1）聘請了信息安全專 家參與安全規(guī)劃和評 審工作；2 ）具備信息 安全專家聯(lián)系名單；3）具備信息安全專家 提供的建議文檔。5審核和檢 查a）訪談安全 主管與安全 管理人員，訪談：安全管理員， 是否定期安檢、日常巡 檢，檢查內容是否包括1）有專人負責日常巡 檢、定期安檢；2 ）檢 查內容包括系統(tǒng)日常檢查安全記 錄。系統(tǒng)日常運行、系統(tǒng)漏 洞和數據備份等情況。運行、系統(tǒng)漏洞和數據 備份等情況。b）訪談安全 主管與安全 管理人員， 檢查安全記 錄。訪談：安全主管，定

8、 期全面安檢的內容、程 序、周期。檢查： 安全檢查制度，內容是 否包括現(xiàn)有安全技術 措施的有效性、安全配 置與安全策略的一致 性、安全管理制度的執(zhí) 行情況等。1）定期進行全面的安 全檢查；2 ）具備安全 檢查制度，安全檢查制 度內容包括現(xiàn)有安全 技術措施的有效性、安 全配置與安全策略的 一致性、安全管理制度 的執(zhí)行情況等。C）訪談安全 主管與安全 管理人員， 檢查安全記 錄。檢查：1）是否制定了 安全檢查表格；2 ）全 面安檢報告，查看報告 日期與檢查周期是否 一致，報告中是否有檢 查內容、檢查人員、檢 查數據匯總表、檢查結 果等的描述。1）制定了安全檢查表；2）具備全面的安全檢 查報告，報告日期與檢