CTG-MBOSS安全基线达标考评细则(60分制)分类项目及分值标准及要求标准分考评方式计(扣)分办法实得分小计分备注组织架构管理(10分)组织落实(4分)信息化安全领导小组由主管信息化的总经理或副总经理任组长,信息化部及其他主要相关业务部门经理组成,对整个省公司MBOSS系统的信息化安全的工作负责;信息化安全工作小组由企业信息化部牵头与其它部门构成,企业信息化部下成立的安全管理部门或岗位负责日常安全管理工作,安全工作小组负责起草并报批省公司MBOSS系统信息安全保障工作的规章和制度,协调专家顾问等各方面的资源,对领导小组颁发的信息安全指导方针做技术与标准的支持。4人员访谈、文档检查(1)未以文件或会议纪要等形式明确安全领导小组及成员名单,扣1分;(2)缺少安全领导小组工作职责,扣1分;(3)未以文件或会议纪要等形式明确安全工作小组及成员名单,扣1分;(4)缺少安全工作小组工作职责,扣1分。岗位设置(2分)信息化安全工作的执行层由MBOSS信息系统建设维护使用的各个参与主体构成,具体包括:信息安全负责人、安全管理员、安全审计员、IT系统安全责任人等,执行层主要工作是对安全领导小组、安全工作小组制定的关于信息安全建设的指导方针进行目标分解,结合本单位部门的业务发展需求及信息系统现状制定具体的信息安全建设策略、计划、流程,并进行信息系统安全建设与运维。省公司层面应设置信息安全负责人、安全管理员、安全审计员、IT系统安全责任人等岗位,本地网层面应设立安全管理员岗位,并明确每个岗位的岗位职责。2人员访谈、文档检查(1)信息安全负责人、安全管理员、安全审计员、系统管理员等岗位缺少一个扣0.25分,扣完1分为止;(2)未以文件形式明确信息安全负责人、安全管理员、安全审计员、系统管理员等的岗位职责缺少一个扣0.25分,扣完1分为止。人员配备(4分)信息化安全工作的执行要落实到具体责任人,省公司应建立信息化安全执行工作的人员配备要求管理文档和人员名单,要求4人员访谈、(1)安全管理员岗位的人员配备数量未达到1人,扣1分;在省公司层面应设置信息安全负责人1名(由信息化部总经理兼职)、安全管理员1名(建议专职)、安全审计员1名(建议专职)、IT系统安全责任人n名(n=系统个数,可兼职)等岗位,每个本地网层面应设立安全管理员岗位1名(可兼职),有条件的省份可增设AB角色。加分项:设立独立的信息化安全室加分项:设立专职的安全管理员岗位加分项:设立专职的安全审计员岗位文档检查(2)安全审计员岗位的人员配备数量未达到1人,扣1分;(3)IT系统安全责任人岗位的人员配备数量未达到n(n=系统个数)人,扣1分。(4)每个本地网安全管理员岗位的人员配备数量未达到1人,扣1分。人员安全管理(8分)人员上岗管理(1分)省公司建立了用户及其权限设置的管理流程,对MBOSS系统的用户创建和授权必须通过业务部门主管人员审批后,方可由相关的系统管理员在系统中创建用户账号。1文档检查(1)检查省公司对系统的用户创建、权限设置和授权的管理流程文档。缺少《省公司用户、权限设置创建管理流程文档》,扣0.5分;(2)抽查3个系统,检查用户创建和授权审批文档。缺少1个系统的《用户创建和授权审批文档》,扣0.2分,扣完0.5分为止;人员离岗管理(0.6分)在员工工作调动或离职等工作职能发生变化时,及时由人力资源部门或用户部门正式书面通知系统维护部门,由系统管理员更新或删除其在MBOSS系统中相应的访问权限。0.6文档检查检查人力资源部门或用户部门发出的人员访问权限修改或删除的书面通知。缺少人力资源部门或用户部门发出的《人员访问权限修改或删除的书面通知样本》,扣0.6分。操作系统管理账号授权(1分)MBOSS系统的操作系统管理账号仅限于经授权的系统管理员,其账号须经业务主管部门(如企业信息化部)或业务支撑中心(如IT中心)主管人员的书面授权审批。1文档检查(1)抽查3个系统,检查系统的操作系统的管理账号清单。缺少1个系统的《系统的操作系统管理员账号清单》,扣0.2分,扣完0.5分为止;(2)检查上述清单中某一操作系统管理账号的审批文件。缺少1个系统的《操作系统管理账号的审批文件样本》,扣0.2分,扣完...
