6安全管理制度测评表R(二级).doc

测评项编号：R1测评项目：管理制度(G2)测评资产：（写明被测评资产的信息，机房应写明机房名称，设备应写明设备编号，应用系统应写明系统名称，对外服务系统应写明域名及IP地址）基本要求：a)应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等; b)应对安全管理活动中重要的管理内容建立安全管理制度;c)应对安全管理人员或操作人员执行的重要管理操作建立操作规程。测评方式：文档审核测评对象：信息安全工作总体方针、安全策略文件、各项安全管理制度、重要管理操作规程（如系统维护手册和用户操作规程）测评实施方法：a)应检查信息安全工作的总体方针和安全策略文件,查看文件是否明确机构安全工作的总体目标、范围、原则和安全框架等;b)应检查各项安全管理制度,查看是否覆盖物理、网络、主机系统、数据、应用、建设和管理等层面的重要管理内容;c)应检查是否具有重要管理操作的操作规程(如系统维护手册和用户操作规程等)。结果判定：如果a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。测试结果：（根据测评方法，应写明每种测评方法的测评结果，最后根据判定标准写明本测评项是否符合，如果有多个测评指标，每个指标都应当说明是否符合。如果根据信息系统实际情况，相关测评指标不适用，请注明“不适用”并说明原因。）测评项编号：R2测评项目： 制定和发布测评资产：（写明被测评资产的信息，机房应写明机房名称，设备应写明设备编号，应用系统应写明系统名称，对外服务系统应写明域名及IP地址）测评指标： 1）应指定或授权专门的部门或人员负责安全管理制度的制定； 2）应组织相关人员对制定的安全管理制度进行论证和审定； 3）应将安全管理制度以某种方式发布到相关人员手中。 测评方式： 专家访谈,文档审核测评对象： 安全主管,制度制定和发布要求管理文档,评审记录,安全管理制度。测评方法：a) 访谈安全主管，询问是否有专门的部门或人员负责制定安全管理制度； b) 访谈安全管理制度制、修订人员，询问安全管理制度的制定程序和发布方式，是否对制定的 安全管理制度进行论证和审定，论证和评审方式如何； c) 检查管理制度评审记录，查看是否有相关人员的评审意见。判定标准： 如以上 a）-c）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合 或部分符合本单元测评指标要求。 测试结果：（根据测评方法，应写明每种测评方法的测评结果，最后根据判定标准写明本测评项是否符合，如果有多个测评指标，每个指标都应当说明是否符合。如果根据信息系统实际情况，相关测评指标不适用，请注明“不适用”并说明原因。）测评项编号：R3测评项目： 评审和修订测评资产：（写明被测评资产的信息，机房应写明机房名称，设备应写明设备编号，应用系统应写明系统名称，对外服务系统应写明域名及IP地址）测评指标： 定期对安全管理制度进行评审和修订,对存在不足或需要改进的安全管理制 度进行修订。测评方式： 专家访谈,文档审核测评对象： 安全主管,安全管理制度列表,评审记录。测评方法：a) 访谈安全主管，询问是否定期对安全管理制度进行评审，评审周期多长，发现存在不足或需要改进的是否进行修订； b) 检查安全管理制度评审记录，查看记录的日期间隔与评审周期是否一致；如果对制度做过修订，检查是否有修订版本的安全管理制度。判定标准： 上述 a）和 b）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合本单元测评指标要求。测试结果：（根据测评方法，应写明每种测评方法的测评结果，最后