安全管理机构安全测评指导书

1、安全管理机构安全测评指导书序号测评指标测评项检查方法预期结果1岗位设置a)访谈安全主管，检查安全管理某方面的负责人，部门、岗位职责文件。访谈： 安全主管，何部门为信息安全工作的职能部门。 检查： 相关安全职能部门文件。1）信息安全工作由专门的职能部门负责开展； 2）具备相关的安全职能文件。b)访谈安全主管，检查安全管理某方面的负责人，部门、岗位职责文件。访谈： 1）安全主管，是否设立了系统管理员、网络管理员、安全管理员等岗位； 2）安全主管，各个岗位的安全职责。1）设立了系统管理员、网络管理员、安全管理员等岗位； 2）定义了各个岗位的安全职责。c)访谈安全主管，检查安全管理某方面的负责人，部门

2、、岗位职责文件。访谈： 1）安全主管，是否成立了安全委员会或者领导小组； 2）安全主管，委员会或者领导小组负责人是否为本单位人员。 检查： 委员会或领导小组的相关文件。1）成立了安全委员会或者领导小组； 2）委员会或者领导小组负责人为本单位人员； 3）具备委员会或领导小组相关文件。d)访谈安全主管，检查安全管理某方面的负责人，部门、岗位职责文件。检查： 岗位职责文件、技能要求。1）具备安全责任人职责文件； 2）具备各岗位职责文件及技能要求与分工。2人员配备a)访谈安全主管，检查人员配备要求的相关文档，管理人员名单。访谈： 安全主管，岗位人员配备情况。 检查： 安全管理人员名单。1）配备了一定数

3、量的系统管理员、网络管理员、安全管理员； 2）具备安全管理人员名单。b)访谈安全主管，检查人员配备要求的相关文档，管理人员名单。访谈： 安全管理员是否为专职管理员。安全管理员为专职人员。c)访谈安全主管，检查人员配备要求的相关文档，管理人员名单。访谈： 安全主管，关键岗位是否有2人或2人以上管理。系统管理员、网络管理员、安全管理员由2人或2人以上管理。3授权和审批a)访谈安全主管，检查关键活动的批准人，审批事项表单，审批文档等内容。访谈： 安全主管，关键活动是否具备审批流程、审批哪些事项，是否具备审批部门和审批人。关键活动具备审批流程、明确了审批事项、明确了审批部门及批准人。b)访谈安全主管，

4、检查关键活动的批准人，审批事项表单，审批文档等内容。访谈： 安全主管，是否针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，重要活动是否建立了逐级审批制度。1）针对系统变更、重要操作、物理访问和系统接入等事项建立了审批程序； 2）针对重要活动建立了逐级审批制度。c)访谈安全主管，检查关键活动的批准人，审批事项表单，审批文档等内容。访谈： 安全主管，是否结合实际情况更新审批项目、审批部门和审批人等信息。结合实际情况更新审批项目、审批部门和审批人等信息。d)访谈安全主管，检查关键活动的批准人，审批事项表单，审批文档等内容。检查： 审批相关证据文件。具备审批过程文档。4沟通和合作a)访谈

5、安全主管与安全管理人员，检查会议文件，会议记录，外联单位说明文档。访谈： 1）安全主管，信息部门与其他部门沟通情况，是否召开协调会； 2）负责信息安全的部门是否召开内部例会； 检查： 1）协调会会议记录； 2）内部例会会议记录；1）信息部门与其他部门召开协调会； 2）信息部门召开内部例会； 3）具备各个会议的会议记录。b)访谈安全主管与安全管理人员，检查会议文件，会议记录，外联单位说明文档。访谈： 安全主管，与外单位的沟通、合作机制。与行业信息安全监管部门、公安机关、通信运营商、银行及相关单位和部门密切沟通。c)访谈安全主管与安全管理人员，检查会议文件，会议记录，外联单位说明文档。访谈： 安全

6、主管，与供应商、安全组织的沟通、合作情况； 检查： 联系表单。1）与供应商、安全组织的进行沟通、合作； 2）建立了联系表单。d)访谈安全主管与安全管理人员，检查会议文件，会议记录，外联单位说明文档。检查： 联系表单。建立外联单位联系表单。e)访谈安全主管与安全管理人员，检查会议文件，会议记录，外联单位说明文档。访谈： 安全主管，是否聘请信息安全专家参与安全规划和评审工作。 检查： 1）信息安全专家联系名单； 2）专家建议文档。1）聘请了信息安全专家参与安全规划和评审工作； 2）具备信息安全专家联系名单； 3）具备信息安全专家提供的建议文档。5审核和检查a)访谈安全主管与安全管理人员，检查安全记

7、录。访谈： 安全管理员，是否定期安检、日常巡检，检查内容是否包括系统日常运行、系统漏洞和数据备份等情况。1）有专人负责日常巡检、定期安检； 2）检查内容包括系统日常运行、系统漏洞和数据备份等情况。b)访谈安全主管与安全管理人员，检查安全记录。访谈： 安全主管，定期全面安检的内容、程序、周期。 检查： 安全检查制度，内容是否包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。1）定期进行全面的安全检查； 2）具备安全检查制度，安全检查制度内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。c)访谈安全主管与安全管理人员，检查安全记录。检查： 1）是否制定了安全检查表格； 2）全面安检报告，查看报告日期与检查周期是否一致，报告中是否有检查内容、检查人员、检查数据汇总表、检查结果等的描述。1）制定了安全检查表； 2）具备全面的安全检查报告，报告日期与