公安部信息安全等级保护评估中心 第 1 页 共 37 页 1、 安全管理制度 序号 类别 测评项 测评实施 预期结果 说明 1 管理制度 a)应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等。 1)应检查信息安全工作的总体方针和安全策略,查看文件是否明确机构安全工作的总体目标、范围、原则和安全框架等。 1)具有信息安全工作的总体方针和安全策略。 2)总体方针和安全策略里明确了机构安全工作的总体目标、范围、原则和安全框架等。 b)应对安全管理活动中的各类管理内容建立安全管理制度。 1)应检查各项安全管理制度,查看是否覆盖安全管理活动中的各类管理内容(制度管理、机构管理、人员管理、系统建设管理和运维管理等方面)。 1)建立了安全管理制度。 2)安全管理制度覆盖了机构管理、制度管理、人员管理、系统建设和运维等层面的管理内容。 c)应对安全管理人员或操作人员执行的日常管理操作建立操作规程。 1)应检查是否具有对重要管理操作的操作规程,如系统维护手册和用户操作规程等。 1)具有日常管理操作的操作规程。 2)操作规程覆盖了物理、网络、主机、应用等层面的重要操作规程(如系统维护手册和用户操作规程等)。 d)应形成由安全政策、管理制度、操作规程等构成的全面的信息安全管理制度体系。 1)应访谈安全主管,询问机构是否形成全面的信息安全管理制度体系,制度体系是否由安全政策、管理制度、操作规程等构成。 1)具有各项管理制度。 2)内容覆盖全面,由总体方针、安全策略、管理制度、操作规程等构成,形成了全面的信息安全管理制度体系。 2 制定和发布 a)应指定或授权专门的部门或人员负责安全管理制度的制定。 1)应访谈安全主管,询问由何部门或人员负责安全管理制度的制定,参与制定人员有哪些。 1)具有人员职责或岗位设置等相关文件。 2)文件明确了由专门的部门或人员负责安全管理制度的制定工作。 2)应检查人员职责、岗位设置等相关管理制度文件,查看是否明确由专门的部门或人员负责安全管理制度的制定工作。 b)安全管理制度应具有统一的格式,并进行版本控制。 1)应检查安全管理制度制定和发布要求管理文档,查看文档是否说明安全管理制度的格式要求、版本编号。 1)具有关于管理制度的格式和版本控制的相关文档。 2)相关管理文档内容覆盖了包括管理制 公安部信息安全等级保护评估中心 第 2 页 共 37 页 ...
