3安全管理测评指导书三级S3A3G310_精品文档Word格式文档下载.docx
《3安全管理测评指导书三级S3A3G310_精品文档Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《3安全管理测评指导书三级S3A3G310_精品文档Word格式文档下载.docx(37页珍藏版)》请在冰豆网上搜索。
b)应对安全管理活动中的各类管理内容建立安全管理制度。
1)应检查各项安全管理制度,查看是否覆盖安全管理活动中的各类管理内容(制度管理、机构管理、人员管理、系统建设管理和运维管理等方面)。
1)建立了安全管理制度。
2)安全管理制度覆盖了机构管理、制度管理、人员管理、系统建设和运维等层面的管理内容。
c)应对安全管理人员或操作人员执行的日常管理操作建立操作规程。
1)应检查是否具有对重要管理操作的操作规程,如系统维护手册和用户操作规程等。
1)具有日常管理操作的操作规程。
2)操作规程覆盖了物理、网络、主机、应用等层面的重要操作规程(如系统维护手册和用户操作规程等)。
d)应形成由安全政策、管理制度、操作规程等构成的全面的信息安全管理制度体系。
1)应访谈安全主管,询问机构是否形成全面的信息安全管理制度体系,制度体系是否由安全政策、管理制度、操作规程等构成。
1)具有各项管理制度。
2)内容覆盖全面,由总体方针、安全策略、管理制度、操作规程等构成,形成了全面的信息安全管理制度体系。
2
制定和发布
a)应指定或授权专门的部门或人员负责安全管理制度的制定。
1)应访谈安全主管,询问由何部门或人员负责安全管理制度的制定,参与制定人员有哪些。
1)具有人员职责或岗位设置等相关文件。
2)文件明确了由专门的部门或人员负责安全管理制度的制定工作。
2)应检查人员职责、岗位设置等相关管理制度文件,查看是否明确由专门的部门或人员负责安全管理制度的制定工作。
b)安全管理制度应具有统一的格式,并进行版本控制。
1)应检查安全管理制度制定和发布要求管理文档,查看文档是否说明安全管理制度的格式要求、版本编号。
1)具有关于管理制度的格式和版本控制的相关文档。
2)相关管理文档内容覆盖了包括管理制度的格式标准或要求以及版本控制等内容。
3)各项安全管理制度具有统一的格式并进行了版本控制。
2)应检查安全管理制度文档,查看是否具有版本标识,查看各项制度文档格式是否统一。
c)应组织相关人员对制定的安全管理进行论证和审定。
1)应访谈安全主管,询问安全管理制度的制定程序,是否对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等)。
1)具有管理制度评审记录,有评审意见。
2)应检查管理制度评审记录,查看是否具有相关人员的评审意见。
d)安全管理制度应通过正式、有效的方式发布。
1)应检查安全管理制度制定和发布要求管理文档,查看文档是否说明安全管理制度的制定、发布程序和发布范围等各项要求。
1)具有制度制定和发布要求的管理文档。
2)文档内容覆盖安全管理制度制定和发布程序。
3)各项安全管理制度文档都是通过正式、有效的方式发布的,如具有版本标识和管理层的签字或单位盖章。
e)安全管理制度应注明发布范围,并对收发文进行登记。
1)应检查安全管理制度的收发登记记录,查看收发是否通过正式、有效的方式(如正式发文、领导签署和单位盖章等),是否注明管理制度的发布范围。
1)具有安全管理制度的收发登记记录。
2)注明了安全制度发布范围。
若以电子形式发布的管理制度,关注版本控制和发布范围
3
评审和修订
a)信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。
1)应访谈安全主管,询问是否由信息安全领导小组负责定期对安全管理制度体系的合理性和适用性进行审定,审定周期多长。
1)具有安全管理制度体系的评审记录。
2)评审内容符合要求。
3)评审周期符合要求。
2)应检查是否具有安全管理制度体系的评审记录,查看实际评审周期是否符合要求,是否记录了相关人员的评审意见。
b)应定期或不定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。
1)应访谈安全主管,询问是否对管理制度定期修订,修订周期多长。
询问系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时是否对安全管理制度进行检查,对需要改进的制度进行修订。
1)具有安全管理制度的检查或评审记录。
2)如果有修订版本,具有修订版本的安全管理制度。
2)应检查是否具有安全管理制度修订记录。
2、安全管理机构
岗位设置
a)应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责。
1)应访谈安全主管,询问是否设立安全管理机构(即信息安全管理工作的职能部门)。
机构内部门设置情况如何,是否设立安全主管及安全管理各个方面的负责人,是否明确各部门和各负责人的职责。
1)具有部门、岗位职责文件。
2)文件中明确了职能部门、安全主管、负责人等相关职责。
2)应检查部门、岗位职责文件,查看文件是否明确安全管理机构的职责,是否明确机构内各部门和各负责人的职责和分工。
b)应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。
1)应访谈安全主管,询问设置了哪些工作岗位(如安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等重要岗位),是否明确各个岗位的职责分工。
2)文件中明确了系统管理员等相关岗位的工作职责。
2)应检查文件是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等各个岗位,各个岗位的职责范围是否清晰、明确。
c)应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权。
1)应访谈安全主管,询问是否设立指导和管理信息安全工作的委员会或领导小组,其最高领导是否由单位主管领导委任或授权的人员担任。
1)具有成立信息安全工作委员会或领导小组的正式文件。
2)具有委员会或领导小组职责文件。
3)文件中明确了领导小组职责和最高领导岗位职责。
2)应检查信息安全工作委员会或领导小组的成立文件,查看最高领导是否由单位主管领导委任或授权。
3)应检查部门、岗位职责文件,查看是否明确信息安全管理委员会或领导小组的职责。
d)应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
1)应检查部门、岗位职责文件,查看文件是否明确委员会的职责和安全管理机构的职责。
是否明确机构内各部门的职责和分工。
是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等各个岗位的职责范围。
查看文件是否明确各个岗位人员应具有的技能要求。
1)具有部门、岗位职责的正式文件。
2)文件中包含管理机构内各部门和岗位职责,包含各个岗位人员的技能要求。
人员配备
a)应配备一定数量的系统管理员、网络管理员、安全管理员等。
1)应访谈安全主管,询问各个安全管理岗位人员(如机房管理员、系统管理员、网络管理员、安全管理员等重要岗位人员)配备情况。
1)具有岗位与人员对应关系表。
2)表中每个岗位都有对应的人员。
2)应检查管理人员名单,查看其是否明确机房管理员、系统管理员、网络管理员、安全管理员等重要岗位人员的信息。
b)应配备专职安全管理员,不可兼任。
1)应访谈安全主管,询问安全管理员的配备情况,是否是专职。
2)确认表中的安全管理员是专职人员。
安全管理员不得兼任同一系统的系统管理员
2)应检查管理人员名单,确认安全管理员是否是专职人员。
c)关键事务岗位应配备多人共同管理。
1)应访谈安全主管,询问哪些关键事物需要配备2人或2人以上共同管理,人员具体配备情况如何。
2)确认表中关键岗位配备多人。
2)应检查管理人员名单,查看关键岗位是否配备多人。
。
授权和审批
a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。
1)应访谈安全主管,询问对哪些信息系统活动进行审批,审批部门是何部门,审批人是何人。
1)明确了各项审批事项的审批部门和审批人。
b)应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度。
1)应访谈安全主管,询问其对重要活动的审批范围(如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等),审批程序如何,其中是否需要需要逐级审批。
1)与审批活动相关的制度(如变更管理、产品采购、机房管理等)中明确了审批程序以及重要活动的逐级审批流程。
2)具有经过逐级审批的文档。
2)应检查各类管理制度文档,查看文档中是否明确事项的审批程序(如列表说明哪些事项应经过信息安全领导小组审批,哪些事项应经过安全管理机构审批等),是否明确对重要活动进行逐级审批,由哪些部门/人员逐级审批。
3)应检查经逐级审批的文档,查看是否具有各级批准人的签字和审批部门的盖章。
c)应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息。
1)应检查审批事项的审查记录,查看是否对审批事项、审批部门、审批人的变更进行评审。
1)具有审查记录。
2)记录与文件要求一致。
d)应记录审批过程并保存审批文档。
1)应检查关键活动的审批过程记录,查看记录的审批程序与文件要求是否一致。
1)具有各项活动的审批过程记录。
4
沟通和合作
a)应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,定期或不定期召开协调会议,共同协作处理信息安全问题。
1)应访谈安全主管,询问与其它部门之间及内部各部门管理人员之间的沟通、合作机制。
部门间、,安全管理职能部门内部以及信息安全领导小组或者安全管理委员会是否定期召开会议。
1)具有会议文件或会议记录。
2)文件或记录中有会议内容等描述。
2)应检查组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,查看是否具有会议内容、会议时间、参加人员和会议结果等描述。
3)应检查是否具有信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录(如会议记录/纪要,信息安全工作决策文档等)。
b)应加强与兄弟单位、公安机关、电信公司的合作与沟通。
1)应访谈安全主管,询问是否建立与公安机关、电信公司和兄弟单位等的沟通、合作机制。
1)与兄弟单位等建立了某种方式的沟通合作机制。
2)具有外联单位联系列表。
3)列表说明外联单位包含公安机关等。
2)应检查外联单位联系列表,查看外联单位是否包含公安机关、电信公司、兄弟公司等,是否说明外联单位的名称、联系人、合作内容和联系方式等内容。
c)应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。
1)应访谈安全主管,询问是否与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。
1)与供应商等建立了某种方式的沟通合作机制。
2)外联单位联系列表说明外联单位包含供应商等。
2)应检查外联单位联系列表,查看外
升级会员 