41-SGISLOP-SA82-10 安全管理制度等级保护测评作业指导书(二级)
- 格式:doc
- 大小:111.00 KB
- 文档页数:8
任何版本
实施风险
无
符合性判定
定期召开评审会,有评审记录,则此项符合,否则为不符合。
备注
测评项编号
ADT-AQGL—02-c
对应要求
应将安全管理制度以某种方式发布到相关人员手中;
测评项名称
制定和发布
测评分项1:检查安全管理制度的发布情况。
操作步骤
访谈管理人员(负责制定管理制度的人员),询问安全管理制度的制定程序,是否对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等),是否按照统一的格式标准或要求制定,对有密级的管理制度如何控制使用,是否采取相应措施有效管理;发布方式有哪些、;
查看文档:查看是否有“负责安全管理制度制定的部门或人员的授权书”。
适用版本
任何版本
实施风险
无
符合性判定
格式统一、具有版本标示和密级,则此项符合,否则为不符合。
备注
测评项编号
ADT-AQGL—02-c
对应要求
应组织相关人员对制定的安全管理制度进行论证和审定;
测评项名称
制定和发布
测评分项1:检查安全管理制度的论证情况。
信息安全等级保护测评作业指导书
安全管理制度(二级)
版号:
第2版
修改次数:
第0次
生效日期:
2010年01月06日
中国电力科学研究院信息安全实验室
修改页
修订号
控制编号
版号/
章节号
修改人
修订原因
批准人
批准日期
备注
1
SGISL/OP-SA82-10
吕晓东
按公安部要求修订
詹雄
2010.3.8
一、安全管理制度
1.管理制度
适用版本
任何版本
实施风险
无
符合性判定
管理制度清单包括物理、网络、主机、数据、应用、管理层等内容,则此项符合,否则为不符合。
备注
测评项编号
ADT-AQGL—01-c
对应要求
应对要求管理人员或操作人员执行的日常管理操作建立操作规程;
测评项名称
管理制度
测评分项1:检查安全操作规程的制定情况。
操作步骤
检查是否具有日常管理操作的操作规程,如系统维护手册和用户操作规程等;
操作步骤
访谈管理人员(负责制定管理制度的人员),询问安全管理制度的制定程序,是否对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等),是否按照统一的格式标准或要求制定,对有密级的管理制度如何控制使用,是否采取相应措施有效管理;发布方式有哪些;
检查管理制度评审记录,查看是否具有相关人员的评审意见;
适用版本
任何版本
实施风险
无
符合性判定
具有发布程序、明确发布范围、发布的文档有领导签章,则此项符合,否则为不符合。
备注
3.评审和修订
测评项编号
ADT-AQGL—03-b
对应要求
应定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订;
测评项名称
评审和修订
测评分项1:检查安全管理制度的评审和修订情况。
检查是否具有系统发生重大安全事故、出现新的安全漏洞以及技术基础结构等发生变更时对安全管理制度进行审定和修改的记录;
适用版本
任何版本
实施风险
无
符合性判定
有修订制度,修订部门,评审周期一致,且有对重大事故、变更后的评审,则此项符合。
备注
测评项编号
ADT-AQGL—01-a
对应要求
应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等;
测评项名称
管理制度
测评分项1:检查安全方针和策略的制定情况。
信息安全方针政策是最高层的安全文件,阐明安全工作的使命和意愿,定义信息安全的总体目标,规定信息安全管理的责任机构及其职责,以及建立的适用的安全工作运行模式等。
操作步骤
访谈安全主管,询问是否制定信息安全工作的总体方针和安全策略,是否制定安全管理制度规范日常管理活动;
检查总体方针、政策性文件和安全策略文件,查看文件是否明确机构安全工作的总体目标、范围、原则和安全框架等;
适用版本
任何版本
实施风险
无
符合性判定
有总体方针或安全策略,且包括了信息安全的目标、范围、原则、框架,则此项符合,否则为不符合。
适用版本
任何版本
实施风险
无
符合性判定
具有日常管理的操作规程则本项符合,否则为不符合。
备注
2.制定和发布
测评项编号
ADT-AQGL—02-a
对应要求
应指定或授权专门的部门或人员负责安全管理制度的制定;
测评项名称
制定和发布
测评分项1:检查安全管理制度负责部门。
操作步骤
访谈安全主管,询问是否有专门的部门或人员负责制订安全管理制度,是什么部门或负责人是何人;
操作步骤
访谈安全主管,询问是否在管理制度审定结果为不适用时,对需要改进的制度是否进行修订,由何部门/何人负责;
访谈负责评审、修订和维护的人员:是否对管理制度进行评审,定期或不定期?是够对现有管理制度进行过修订?
检查安全管理制度评审记录,查看记录日期与评审周期是否一致;如果对制度做过修订,检查是否有修订版本的安全管理制度;
备注
测评项编号
ADT-AQGL—01-b
对应要求
应对安全管理活动中的各类管理内容建立安全管理制度;
测评项名称
管理制度
测评分项1:检查安全管理制度的制定情况。
安全管理制度是以安全方针政策性文件为指导,对信息系统的建设、开发、运维、升级和改造等各个阶段和环节所应当遵循的行为加以规范。
操作步骤
检查安全管理制度清单,查看是否覆盖物理、网络、主机系统、数据、应用和管理等层面;