[]3安全管理测评指导书-三级S3A3G3-10版.doc

公安部信息安全等级保护评估中心 PAGE  第  PAGE \* MERGEFORMAT 37 页 共  NUMPAGES 37 页 安全管理制度 序号类别测评项测评实施预期结果说明1管理制度a）应制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架等。1）应检查信息安全工作的总体方针和安全策略，查看文件是否明确机构安全工作的总体目标、范围、原则和安全框架等。1）具有信息安全工作的总体方针和安全策略。 2）总体方针和安全策略里明确了机构安全工作的总体目标、范围、原则和安全框架等。b）应对安全管理活动中的各类管理内容建立安全管理制度。 1）应检查各项安全管理制度，查看是否覆盖安全管理活动中的各类管理内容（制度管理、机构管理、人员管理、系统建设管理和运维管理等方面）。1）建立了安全管理制度。 2）安全管理制度覆盖了机构管理、制度管理、人员管理、系统建设和运维等层面的管理内容。c）应对安全管理人员或操作人员执行的日常管理操作建立操作规程。1）应检查是否具有对重要管理操作的操作规程，如系统维护手册和用户操作规程等。1）具有日常管理操作的操作规程。 2）操作规程覆盖了物理、网络、主机、应用等层面的重要操作规程（如系统维护手册和用户操作规程等）。d）应形成由安全政策、管理制度、操作规程等构成的全面的信息安全管理制度体系。1）应访谈安全主管，询问机构是否形成全面的信息安全管理制度体系，制度体系是否由安全政策、管理制度、操作规程等构成。1）具有各项管理制度。 2）内容覆盖全面，由总体方针、安全策略、管理制度、操作规程等构成，形成了全面的信息安全管理制度体系。2制定和发布a）应指定或授权专门的部门或人员负责安全管理制度的制定。1）应访谈安全主管，询问由何部门或人员负责安全管理制度的制定，参与制定人员有哪些。1）具有人员职责或岗位设置等相关文件。 2）文件明确了由专门的部门或人员负责安全管理制度的制定工作。2）应检查人员职责、岗位设置等相关管理制度文件，查看是否明确由专门的部门或人员负责安全管理制度的制定工作。b）安全管理制度应具有统一的格式，并进行版本控制。1）应检查安全管理制度制定和发布要求管理文档，查看文档是否说明安全管理制度的格式要求、版本编号。1）具有关于管理制度的格式和版本控制的相关文档。 2）相关管理文档内容覆盖了包括管理制度的格式标准或要求以及版本控制等内容。 3）各项安全管理制度具有统一的格式并进行了版本控制。2）应检查安全管理制度文档，查看是否具有版本标识，查看各项制度文档格式是否统一。c）应组织相关人员对制定的安全管理进行论证和审定。1）应访谈安全主管，询问安全管理制度的制定程序，是否对制定的安全管理制度进行论证和审定，论证和审定方式如何（如召开评审会、函审、内部审核等）。1）具有管理制度评审记录，有评审意见。2）应检查管理制度评审记录，查看是否具有相关人员的评审意见。d）安全管理制度应通过正式、有效的方式发布。1）应检查安全管理制度制定和发布要求管理文档，查看文档是否说明安全管理制度的制定、发布程序和发布范围等各项要求。1）具有制度制定和发布要求的管理文档。 2）文档内容覆盖安全管理制度制定和发布程序。 3）各项安全管理制度文档都是通过正式、有效的方式发布的，如具有版本标识和管理层的签字或单位盖章。e）安全管理制度应注明发布范围，并对收发文进行登记。1）应检查安全管理制度的收发登记记录，查看收发是否通过正式、有效的方式（如正式发文、领导签署和单位盖章等），是否注明管理制度的发布范围。1）具有安全管理制度的收发登记记录。 2）注明了安全制度发布范围。若以电子形式发布的管理制度，关注版本控制和发布范围3评审和修订a）信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。1）应访谈安全主管，询问是否由信息安全领导小组负责定期对安全管理制度体系的合理性和适用性进行审定，审定周期多长。1）具有安全管理制度体系的评审记录。 2）评审内容符合要求。 3）评审周期符合要求。2）应检查是否具有安全管理制度体系的评审记录，查看实际评审周期是否符合要求，是否记录了相关人员的评审意见。b）应定期或不定期对安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度进行修订。1）应访谈安全主管，询问是否对管理制度定期修订，修订周期多长。询问系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时是否对安全管理制度进行检查