项 目指 标 要 求测 评 实 施a) 检 查 信 息 安 全 工 作 的 总 体 方 针 和 安 全 策略 文 件 ,查 看 文 件 是 否 明 确 机 构 安 全 工 作 的 总体 目 标 、范围、原则和 安 全 框架等;b) 检 查 各项安 全 管理制度,查 看 是 否 覆盖物理、网络、主机 系统、数据、应用、建设和管理等层面的 重要管理内容;c) 应检 查 是 否 具有重要管理操作 的 操作 规程(如系统维护手册和 用户操作 规程等) 。a) 应访谈安 全 主管,询问是 否 有专门的 部门或人员负责制定安 全 管理制度;b) 应访谈安 全 管理制度制、修订人员,询问安 全 管理制度的 制定程序和 发布方 式,是 否对制定的 安 全 管理制度进行论证和 审定,论证和 评审方 式如何;c) 检 查 管理制度评审记录,查 看 是 否 有相关人员的 评审意见。a) 访谈安 全 主管,询问是 否 定期对安 全 管理制度进行评审,评审周期多长,发现存在不足或需要改进的 是 否 进行修订;b) 检 查 安 全 管理制度评审记录,查 看 记录的 日期间隔与评审周期是 否 一致;如果对制度做过修订,检 查 是 否 有修订版本的 安 全 管理制度。1、管理制度(G2)a) 应制定信 息 安 全 工 作 的 总 体方 针 和 安 全 策 略 ,说明 机 构 安 全工 作 的 总 体 目 标 、范围、原则和安 全 框架等;b) 应对安 全 管理活动中重要的管理内容建立安 全 管理制度;c) 应对要求管理人员或操作 人员执行的 重要管理操作 建立操作规程。2、制定和 发布(G2)a) 应指定或授权专门的 部门或人员负责安 全 管理制度的 制定;b) 应组织相关人员对制定的 安全 管理进行论证和 审定;c) 应将安 全 管理制度以某种方式发布到相关人员手中。信息系统安全等级保护二级管理要 求一、安全管理制度二、安全管理机构3、评审和 修订(G2)a) 应定期对安 全 管理制度进行评审,对存在不足或需要改进的安 全 管理制度进行修订。项 目指 标 要 求测 评 实施a) 访 谈 安 全 主 管 , 询 问 设 置 了 哪 些 工 作 岗位 , 各 岗 位 的 职 责 分 工 是 否 明 确 ; 询 问 是 否设 立 安 全 管 理 各 个 方 面 的 负 责 人 ;b) 访 谈 安 全 主 管 、安 全 管 理 某...
