层面控制点测评项重要性级别系统a)应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等。重要G2G3a)应建立日常管理活动中常用的安全管理制度重要G1b)应对安全管理活动中的各类管理内容建立安全管理制度。G2G3c)应对要求管理人员或操作人员执行的日常(重要)管理操作建立操作规程。重要G2(重要)G3(日常)d)应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。G3a)应指定或授权专门的部门或人员负责安全管理制度的制定。重要G1(人员)G2(部门或人员)G3(部门或人员)b)安全管理制度应具有统一的格式,并进行版本控制。G3c)应组织相关人员对制定的安全管理制度进行论证和审定。重要G2G3d)安全管理制度应通过正式、有效的方式发布。(G3)d)应将安全管理制度以某种方式发布到相关人员手中(G1、G2)G1G2G3e)安全管 理 制度 应注 明发 布范围,并对收发文进行登记。G3管理制度(G1、G2、G3)制定和发布(G1、G2、G3)安全管理制度(G3)a)信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。重要G3b)应定期或不定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。重要G2(定期)G3(定期或不定期)a)应设立信息安全管理工作的职能部门,设立安全主管人、安全管理各个方面的负责人岗位,定义各负责人的职责。重要G2(无黑体字部分)G3b)应设立系统管理人员、网络管理人员、安全管理人员岗位,定义各个工作岗位的职责。重要G1G2G3c)应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权。G3d)应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。重要G3评审和修订(G2、G3)岗位设置(G1、G2、G3)a)应配备一定数量的系统管理员、网络管理员、安全管理员等。 重要G1G2G3b)应配备专职安全管理员,不可兼任。(G3)b)安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。(G2)G2G3c)关键事务岗位应配备多人共同管理。G3a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。(G3)a)应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行网络系统接入和重要资源的访问等关键活动进行审重要G1G2G3b)应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建...
