45SGISLOPSA8610安全管理机构等级保护测评作业指导书三级.docx
- 文档编号:11953252
- 上传时间:2023-06-03
- 格式:DOCX
- 页数:19
- 大小:20.85KB
45SGISLOPSA8610安全管理机构等级保护测评作业指导书三级.docx
《45SGISLOPSA8610安全管理机构等级保护测评作业指导书三级.docx》由会员分享,可在线阅读,更多相关《45SGISLOPSA8610安全管理机构等级保护测评作业指导书三级.docx(19页珍藏版)》请在冰点文库上搜索。
45SGISLOPSA8610安全管理机构等级保护测评作业指导书三级
控制编号:
SGISL/OP-SA86-10
信息安全等级保护测评作业指导书
安全管理机构(三级)
版
号:
第2版
修改
次数:
第0次
生效
日期:
2010年01月06日
中国电力科学研究院信息安全实验室
中国电力科学研究院信息安全实验室
控制编号:
SGISL/OP-SA86-10
第1页共15页
安全管理机构等级保护测评作业指导书(三级)
第2版第0次修订
发布日期:
2010年01月06日
修改页
修订号
控制编号
版号/章节号
修改人
修订原因
批准人
批准日期
备注
1
SGISL/OP-
SA86-10
吕晓东
按公安部要求修订
詹雄
2010.3.8
中国电力科学研究院信息安全实验室
控制编号:
SGISL/OP-SA86-10
第2页共15页
安全管理机构等级保护测评作业指导书(三级)
第2版第0次修订
发布日期:
2010年01月06日
、安全管理机构
1.岗位设置
测评项编号
ADT-GLJG-0
1-a
对应要求
应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,定义各负责人的职责;
测评项名称
岗位设置
测评分项1:
检查信息安全管理工作的职能部门。
操作步骤
访谈安全主管,询问是否设立安全管理机构(即信息安全管理工作的职能部门,可以由其它部门兼职);
机构内部门设置情况如何;
是否明确机构内各部门的职责分工(G3、G4);
适用版本
任何版本
实施风险
无
符合性判定
具有信息安全领导小组、责任人,并且具有职能部门,设立了安全各岗位责任人,则本项符合。
备注
测评项编号
ADT-GLJG-0
1-b
对应要求
应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责;
测评项名称
岗位设置
测评分项1:
检查信息安全管理机构的岗位设置情况。
操作步骤
访谈安全主管,询问是否设立安全管理各个方面的负责人,设置了哪些工作岗位(如安全主管、安全管理各个方面的负责人、系统管理员、网络管理员和安全管理员等重要岗位),是否明确各个岗位的职责分工;
中国电力科学研究院信息安全实验室
控制编号:
SGISL/OP-SA86-10
第3页共15页
安全管理机构等级保护测评作业指导书(三级)
第2版第0次修订
发布日期:
2010年01月06日
适用版本
任何版本
实施风险
无
符合性判定
设立了系统管理员、网络管理员、安全管理员等岗位,则本项符合,否则为不符合。
测评分项2:
询问各安全岗位职责包括哪些内容
操作步骤
访谈安全主管、安全管理某方面的负责人、信息安全管理委员会或领导小组日常管理工作的负责人、系统管理员、网络管理员和安全管理员,询问其岗位职责包括哪些内容;
适用版本
任何版本
实施风险
无
符合性判定
定义了系统管理员、网络管理员、安全管理员等岗位职责,则本项符合,否则为不符合。
备注
测评项编号
ADT-GLJG-01-c
对应要求
应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权;
测评项名称
岗位设置
测评分项1:
检查信息安全管理机构的岗位设置情况。
操作步骤
访谈安全主管,询问是否设立指导和管理信息安全工作的委员会或领导小组,其最高领导是否由单位主管领导委任或授权的人员担任(G3、G4);
中国电力科学研究院信息安全实验室
控制编号:
SGISL/OP-SA86-10
第4页共15页
安全管理机构等级保护测评作业指导书(三级)
第2版第0次修订
发布日期:
2010年01月06日
适用版本
任何版本
实施风险
无
符合性判定
有信息安全领导小组、最高领导由主管领导或授权人担任则此项符合,
缺一项即为不符合,判定结果为不符合。
测评分项2:
检查信息安全管理机构的文件具备情况。
操作步骤
检查信息安全管理委员会或领导小组是否具有单位主管领导对其最高领导的委任授权书;
检查信息安全管理委员会职责文件,查看是否明确描述委员会的职责和其最高领导岗位的职责;检查安全管理各部门和信息安全管理委员会或领导小组是否具有日常管理工作执行情况的文件或工作记录(如会议记录/纪要和信息安全工作决策文档等);
适用版本
任何版本
实施风险
无
符合性判定
有授权文件、有职责文件、安全会议文件记录等,则此项符合,缺一项即为不符合,判定结果为不符合。
备注
中国电力科学研究院信息安全实验室
控制编号:
SGISL/OP-SA86-10
第5页共15页
安全管理机构等级保护测评作业指导书(三级)
第2版第0次修订
发布日期:
2010年01月06日
测评项编号
ADT-GLJG-0
1-d
对应要求
应制定文件明确安全管理机构各个部门
和岗位的职责、分工和技能要求;
测评项名称
岗位设置
测评分项1:
检查信息安全管理机构的岗位设置情况。
操作步骤
检查部门、岗位职责文件,查看文件是否明确安全管理机构的职责,是否明确机构内各部门的职责和分工,部门职责是否涵盖物理、网络和系统等各个方面;查看文件是否明确设置安全主管、安全管理各个方面的负责人、系统管理员、网络管理员和安全管理员等各个岗位,各个岗位的职责范围是否清晰、明确;查看文件是否明确各个岗位人员应具有的技能要求;
适用版本
任何版本
实施风险
无
符合性判定
具有相关文件,规定安全管理机构的职责和岗位分工、技能要求等,则此项符合,否则为不符合。
备注
2.人员配置
测评项编号
ADT-GLJG-02-a
对应要求
应配备一定数量的系统管理员、网络管理员和安全管理员等;
测评项名称
人员配置
测评分项1:
检查信息安全管理机构的人员配置情况。
操作步骤
访谈安全主管,询问各个安全管理岗位人员配备情况(按照岗位职责文件询问,包括系统管理员、网络管理员、数据库管理员和安全管理员等重要岗位人员),包括数量、专职还是兼职等;
适用版本
任何版本
中国电力科学研究院信息安全实验室
控制编号:
SGISL/OP-SA86-10
第6页共15页
安全管理机构等级保护测评作业指导书(三级)
第2版第0次修订
发布日期:
2010年01月06日
实施风险
无
符合性判定
具有信息安全领导小组、责任人,并且有职能部门,设立了安全各岗位责任人,则本项符合。
备注
测评项编号
ADT-GLJG-02-b
对应要求
应配备专职安全管理员,不可兼任;
测评项名称
人员配置
测评分项1:
检查信息安全管理机构的人员配置情况。
操作步骤
检查人员配备要求的相关文档,查看是否明确应配备哪些安全管理人员,是否包括系统管理员、数据库管理员、网络管理员、安全管理员等重要岗位人员并明确应配备专职的安全管理员;查看是否明确对哪些关键事务岗位(应有列表)的管理人员应配备2人或2人以上共同管理;检查安全管理人员名单,查看其是否明确系统管理员、网络管理员、数据库管理员和安全管理员等重要岗位人员的信息,确认安全管理员是否没有兼任网络管理员、系统管理员、数据库管理员等,并确认安全员是否是专职人员。
适用版本
任何版本
实施风险
无
符合性判定
安全管理员为专职人员,未兼任,则本项符合,兼任即为不符合。
备注
中国电力科学研究院信息安全实验室
控制编号:
SGISL/OP-SA86-10
第7页共15页
安全管理机构等级保护测评作业指导书(三级)
第2版第0次修订
发布日期:
2010年01月06日
测评项编号
ADT-GLJG-02-c
对应要求
关键事务岗位应配备多人共同管理;
测评项名称
人员配置
测评分项1:
检查信息安全管理机构的人员配置情况。
操作步骤
访谈安全主管,询问其对关键事务岗位是否配备2人或2人以上共同管理,相互监督和制约;
适用版本
任何版本
实施风险
无
符合性判定
具有关键岗位列表,且配备两人以上共同管理,则本项符合,否则为不符合。
备注
3、授权和审批
测评项编号
ADT-GLJG-03-a
对应要求
应根据各个部门和岗位的职责明确授权
审批事项、审批部门和批准人等;
测评项名称
授权和审批
测评分项1:
检查信息安全管理制定中对于授权和审批的规定情况。
操作步骤
访谈安全主管,询问其是否需要对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批,审批部门是何部门,批准人是何人,他们的审批活动是否得到授权;询问是否定期审查、更新审批项目,审查周期多长;
应访谈重要活动的批准人,询问其对重要活动的审批范围包括哪些(如系统变更、重要操作、物理访问和系统接入,重要管理制度的制定和发布,人员的配备、培训,产品的采购,外部人员的访问、管理,与合作单位的合作项目等),审批程序如何;
适用版本
任何版本
中国电力科学研究院信息安全实验室
控制编号:
SGISL/OP-SA86-10
第8页共15页
安全管理机构等级保护测评作业指导书(三级)
第2版第0次修订
发布日期:
2010年01月06日
实施风险
无
符合性判定
有关键活动的审批、审批部门、批准人、授权人、有周期且记录周期相
同,则此项符合,
否则为不符合。
备注
测评项编号
ADT-GLJG-03-b
对应要求
应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度;
测评项名称
授权和审批
测评分项1:
检查信息安全管理制定中对于授权和审批的规定情况。
操作步骤
检查是否有相关文档根据各个部门和岗位的职责明确须审批事项、审批部门和批准人及审批程序等;
检查授权管理文件,查看文件是否包含需审批事项列表,列表是否明确审批事项和逐级审批事项、审批部门、批准人及审批程序等(如列表说明哪些事项应经过信息安全领导小组审批,哪些事项应经过安全管理机构审批,哪些关键活动应经过哪些部门逐级审批等)等(G3、G4);检查经逐级审批的文档,查看是否具有逐级批准人的签字和审批部门的盖章;
适用版本
任何版本
实施风险
无
符合性判定
有关键活动的审批、审批部门、批准人、授权人、有周期且记录周期相同,则此项符合,否则为不符合。
备注
中国电力科学研究院信息安全实验室
控制编号:
SGISL/OP-SA86-10
第9页共15页
安全管理机构等级保护测评作业指导书(三级)
第2版第0次修订
发布日期:
2010年01月06日
测评项编号
ADT-GLJG-03-c
对应要求
应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息;
测评项名称
授权和审批
测评分项1:
检查信息安全管理制定中对于授权和审批的规定情况。
操作步骤
检查授权管理文件,查看文件是否说明应定期审查、更新需审批的项目、审批部门、审批人和审查周期等;
检查审查记录,查看记录日期是否与审查周期一致;
适用版本
任何版本
实施风险
无
符合性判定
有授权管理文件,且包含审查内容,则此项符合,否则为不符合。
备注
测评项编号
ADT-GLJG-03-d
对应要求
应记录审批过程并保存审批文档;
测评项名称
授权和审批
测评分项1:
检查信息安全管理制定中对于授权和审批的规定情况。
操作步骤
检查经逐级审批的文档,查看是否具有逐级批准人的签字和审批部门的盖章;
检查关键活动的审批过程记录,查看记录的审批程序与文件要求是否一致;
检查审查记录,查看记录日期是否与审查周期一致;检查是否具有对不再适用的权限及时取消授权的记录。
适用版本
任何版本
实施风险
无
符合性判定
有经审批文档、审批记录、逐级审批记录等,且满足要求,则此项符合,否则为不符合。
中国电力科学研究院信息安全实验室
控制编号:
SGISL/OP-SA86-10
第10页共15页
安全管理机构等级保护测评作业指导书(三级)
第2版第0次修订
发布日期:
2010年01月06日
备注
4、沟通和合作
测评项编号
ADT-GLJG-04-a
对应要求
应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,定期或不定期召开协调会议,共同协助处理信息安全问题;
测评项名称
沟通和合作
测评分项1:
检查安全管理制度中对于沟通和合作的要求。
操作步骤
访谈安全主管,询问是否建立与,与组织机构内其它部门之间及内部各部门管理人员之间的沟通、合作机制,有哪些合作内容,沟通、合作方式有哪些;
访谈安全主管,询问是否召开过部门间协调会议,组织其它部门人员共同协助处理信息系统安全有关问题,安全管理机构内部是否召开过安全工作会议部署安全工作的实施,参加会议的部门和人员有哪些,会议结果如何;
访谈安全管理人员(从系统管理员和安全管理员等人员中抽查),询问其与外单位人员、与组织机构内其他部门人员,与内部其他管理人员之间的沟通方式和主要沟通内容有哪些;检查部门间协调会议文件或会议记录,查看是否有会议内容、会议时间、参加人员、会议结果等的描述;检查安全工作会议文件或会议记录,查看是否有会议内容、会议时间、参加人员、会议结果等的描述;
适用版本
任何版本
实施风险
无
符合性判定
具有合作机制,有协调会议、安全工作会议,记录完整,则此项符合,否则为不符合。
备注
中国电力科学研究院信息安全实验室
控制编号:
SGISL/OP-SA86-10
第11页共15页
安全管理机构等级保护测评作业指导书(三级)
第2版第0次修订
发布日期:
2010年01月06日
测评项编号
ADT-GLJG-04-b
对应要求
应加强与兄弟单位、公安机关、电信公司的合作与沟通;
测评项名称
沟通和合作
测评分项1:
检查安全管理制度中对于沟通和合作的要求。
操作步骤
访谈安全主管,询问是否建立与外单位(公安机关、电信公司、兄弟单位等),沟通、合作机制,有哪些合作内容,沟通、合作方式有哪些;
适用版本
任何版本
实施风险
无
符合性判定
具有合作机制,则此项符合,否则为不符合。
备注
测评项编号
ADT-GLJG-04-c
对应要求
应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通;
测评项名称
沟通和合作
测评分项1:
检查安全管理制度中对于沟通和合作的要求。
操作步骤
应访谈安全主管,询问是否建立与外单位(供应商、业界专家、专业的安全公司、安全组织等),的沟通、合作机制,有哪些合作内容,沟通、合作方式有哪些;
适用版本
任何版本
实施风险
无
符合性判定
具有合作机制,则此项符合,否则为不符合。
备注
中国电力科学研究院信息安全实验室
控制编号:
SGISL/OP-SA86-10
第12页共15页
安全管理机构等级保护测评作业指导书(三级)
第2版第0次修订
发布日期:
2010年01月06日
测评项编号
ADT-GLJG-04-d
对应要求
应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息;
测评项名称
沟通和合作
测评分项1:
检查安全管理制度中对于沟通和合作的要求。
操作步骤
检查外联单位说明文档,查看外联单位是否包含公安机关、电信公司、兄弟单位、供应商、业界专家、专业的安全公司、安全组织等,是否说明外联单位的联系人和联系方式等内容;
适用版本
任何版本
实施风险
无
符合性判定
外联单位名单,与前面合作单位一致,且记录了联系人和联系方式,则此项符合,否则不符合。
备注
测评项编号
ADT-GLJG-04-e
对应要求
应聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等。
测评项名称
沟通和合作
测评分项1:
检查安全管理制度中对于沟通和合作的要求。
操作步骤
访谈安全主管,询问是否聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等;
检查是否具有安全顾问名单或者聘请安全顾问的证明文件,查看由安全顾问指导信息安全建设、参与安全规划和安全评审的相关文档或记录,是否具有由安全顾问签字的相关建议。
适用版本
任何版本
实施风险
无
符合性判定
具有常年安全顾问,有证明文件,并有参与安全规划和评审的记录,则此项符合,否则为不符合。
中国电力科学研究院信息安全实验室
控制编号:
SGISL/OP-SA86-10
第13页共15页
安全管理机构等级保护测评作业指导书(三级)
第2版第0次修订
发布日期:
2010年01月06日
备注
5、审核和检查
测评项编号
ADT-GLJG-05-a
对应要求
安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况;
测评项名称
审核和检查
测评分项1:
检查安全管理制度中对于安全审核和检查的要求。
操作步骤
访谈安全主管,询问是否组织安全管理员定期对信息系统进行安全检查,检查周期多长,是否明确检查内容,是否定期分析、评审异常行为的审计记录;
访谈安全管理员,询问安全检查包含哪些内容,检查人员有哪些,检查程序是否按照系统相关策略和要求进行,是否制定安全检查表格实施安全检查,检查结果如何;
适用版本
任何版本
实施风险
无
符合性判定
制定或修改安全管理制度中对于安全审核和检查的要求,使其符合审计项要求。
备注
测评项编号
ADT-GLJG-05-b
对应要求
应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;
中国电力科学研究院信息安全实验室
控制编号:
SGISL/OP-SA86-10
第14页共15页
安全管理机构等级保护测评作业指导书(三级)
第2版第0次修订
发布日期:
2010年01月06日
测评项名称
审核和检查
测评分项1:
检查安全管理制度中对于安全审核和检查的要求。
操作步骤
访谈安全主管,询问是否组织安全管理员定期对信息系统进行安全检查;
检查安全检查制度文档,查看文档是否规定检查内容、检查程序和检查周期等,检查内容是否包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等,是否包括用户账号情况、系统漏洞情况、系统审计情况等;
适用版本
任何版本
实施风险
无
符合性判定
有人定期进行检查、内容包符合要求,则此项符合,否则不符合。
备注
测评项编号
ADT-GLJG-05-c
对应要求
应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报;
测评项名称
审核和检查
测评分项1:
检查安全管理制度中对于安全审核和检查的要求。
操作步骤
访谈安全管理员,是否对检查结果进行通报,通报形式、范围如何;应检查安全检查报告,查看报告日期与检查周期是否一致,报告中是否有检查内容、检查人员、检查数据汇总表、检查结果等的描述;应检查安全检查过程记录,查看记录的检查程序与文件要求是否一致;应检查审计分析报告,查看报告日期与检查周期是否一致,报告中是否有分析人员、异常问题和分析结果等的描述,是否对发现的问题提出相应的措施;应检查是否具有安全检查表格。
适用版本
任何版本
中国电力科学研究院信息安全实验室
控制编号:
SGISL/OP-SA86-10
第15页共15页
安全管理机构等级保护测评作业指导书(三级)
第2版第0次修订
发布日期:
2010年01月06日
实施风险
无
符合性判定
有对检查结果的通报、有安全检查表给、对安全检查报告且符合上述要求,
备注
测评项编号
ADT-GLJG-05-d
对应要求
应制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。
测评项名称
审核和检查
测评分项1:
检查安全管理制度中对于安全审核和检查的要求。
操作步骤
检查安全检查制度文档,查看文档是否规定检查内容、检查程序和检查周期等,检查内容是否包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等,是否包括用户账号情况、系统漏洞情况、系统审计情况等;
适用版本
任何版本
实施风险
无
符合性判定
安全制度具有以上几项内容,则此项符合,否则为不符合。
备注
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 45 SGISLOPSA8610 安全管理 机构 等级 保护 测评 作业 指导书 三级