1、安全管理制度 序号类别 测评项 测评实施 预期结果 说明 1管 理 制度a）应制定信息安全工作的总体方 针和安全策略，说明机构安全工作 的总体目标、范围、原则和安全框 架等。1）应检查信息安全工作的总体方针和安 全策略，查看文件是否明确机构安全工 作的总体目标、范围、原则和安全框架 等。1）具有信息安全工作的总体方针和安 全策略。 2）总体方针和安全策略里明确了机构 安全工作的总体目标、范围、原则和安 全框架等。 b）应对安全管理活动中的各类管 理内容建立安全管理制度。 1）应检查各项安全管理制度，查看是否 覆盖安全管理活动中的各类管理内容 （制度管理、机构管理、人员管理、系 统建设管理和运维管理等方面）。1）建立了安全管理制度。 2）安全管理制度覆盖了 机构管理、制 度管理、人员管理、系统建设和运维 等 层面的管理内容。 c）应对安全管理人员或操作人员 执行的日常管理操作建立操作规 程。1）应检查是否具有对重要管理操作的操 作规程，如系统维护手册和用户操作规 程等。1）具有日常管理操作的操作规程。 2）操作规程覆盖了物理、网络、主 机、应用等层面的重要操作规程（如系 统维护手册和用户操作规程等）。 2制 定 和 发 布a）应指定或授权专门的部门或人 员负责安全管理制度的制定。1）应访谈安全主管，询问由何部门或人 员负责安全管理制度的制定，参与制定 人员有哪些。1）具有人员职责或岗位设置等相关文 件。 2）文件明确了由专门的部门或人员负 责安全管理制度的制定工作。2）应检查人员职责、岗位设置等相关管 理制度文件，查看是否明确由专门的部 门或人员负责安全管理制度的制定工 作。 b）应组织相关人员对制定的安全 管理进行论证和审定。1）应访谈安全主管，询问安全管理制度 的制定程序，是否对制定的安全管理制 度进行论证和审定，论证和审定方式如 何（如召开评审会、函审、内部审核 等）。1）具有管理制度评审记录，有评审意 见。 第 1 页 共 28 页序号类别 测评项 测评实施 预期结果 说明 2）应检查管理制度评审记录，查看是否 具有相关人员的评审意见。 c）应将安全管理制度以某种方式 发布到相关人员手中。1）应检查安全管理制度制定和发布要求 管理文档，查看文档是否说明安全管理 制度的制定、发布程序和发布范围等各 项要求。1）具有制度制定和发布要求的管理文 档。 2）文档内容覆盖安全管理制度制定和 发布程序。 3）各项安全管理制度文档都是通过正 式、有效的方式发布的，如具有版本标 识和管理层的签字或单位盖章。 3评 审 和 修 订a）应定期或不定期对安全管理制 度进行检查和审定，对存在不足或 需要改进的安全管理制度进行修 订。1）应访谈安全主管，询问是否对管理制 度定期修订，修订周期多长。询问系统 发生重大安全事故、出现新的安全漏洞 以及技术基础结构和组织结构等发生变 更时是否对安全管理制度进行检查，对 需要改进的制度进行修订。1）具有安全管理制度的检查或评审记 录。 2）如果有修订版本，具有修订版本的 安全管理制度。 2）应检查是否具有安全管理制度修订记 录。 第 2 页 共 28 页2、安全管理机构 序号类别 测评项 测评实施 预期结果 说明 1岗 位 设置a）应设立信息安全管理工作的职 能部门，设立安全主管、安全管理 各个方面的负责人岗位，并定义各 负责人的职责。 1）应访谈安全主管，询问是否设立安全 管理机构（即信息安全管理工作的职能 部门）。机构内部门设置情况如何，是 否设立安全主管及安全管理各个方面的 负责人，是否明确各部门和各负责人的 职责。1）具有部门、岗位职责文件。 2）文件中明确了职能部门、安全主 管、负责人等相关职责。2）应检查部门、岗位职责文件，查看文 件是否明确安全管理机构的职责，是否 明确机构内各部门和各负责人的职责和 分工。 b）应设立系统管理员、网络管理 员、安全管理员等岗位，并定义各 个工作岗位的职责。 1）应访谈安全主管，询问设置了哪些工 作岗位（如安全主管、安全管理各个方 面的负责人、机房管理员、系统管理 员、网络管理员、安全管理员等重要岗 位），是否明确各个岗位的职责分工。1）具有部门、岗位职责文件。 2）文件中明确了系统管理员等相关岗 位的工作职责。2）应检查文件是否明确设置安全主管、 安全管理各个方面的负责人、机房管理 员、系统管理员、网络管理员、安全管 理员等各个岗位，各个岗位的职责范围 是否清晰、明确。 2人 员 配备a）应配备一定数量的系统管理 员、网络管理员、安全管理员等。1）应访谈安全主管，询问各个安全管理 岗位人员（如机房管理员、系统管理 员、网络管理员、安全管理员等重要岗 位人员）配备情况。1）具有岗位与人员对应关系表。 2）表中每个岗位都有对应的人员。 第 3 页 共 28 页序号类别 测评项 测评实施 预期结果 说明 2）应检查管理人员名单，查看其是否明 确机房管理员、系统管理员、网络管理 员、安全管理员等重要岗位人员的信 息。 b）应配备专职安全管理员，不可 兼任。1）应访谈安全主管，询问安全管理员的 配备情况，是否是专职。1）具有岗位与人员对应关系表。 2）确认表中的安全管理员是专职人 员。安 全 管 理 员 不 得 兼 任 同 一 系 统 的 系 统 管理员 2）应检查管理人员名单，确认安全管理 员是否是专职人员。 3授 权 和 审 批a）应根据各个部门和岗位的职责 明确授权审批事项、审批部门和批 准人等。1）应访谈安全主管，询问对哪些信息系 统活动进行审批，审批部门是何部门， 审批人是何人。1）明确了各项审批事项的审批部门和 审批人。 b）应针对系统变更、重要操作、 物理访问和系统接入等事项建立审 批程序，按照审批程序执行审批过 程，对重要活动建立逐级审批制 度。1）应访谈安全主管，询问其对重要活动 的审批范围（如系统变更、重要操作、 物理访问和系统接入、重要管理制度的 制定和发布、人员的配备和培训、产品 的采购、外部人员的访问等），审批程 序如何，其中是否需要需要逐级审批。1）与审批活动相关的制度（如变更管 理、产品采购、机房管理等）中明确了 审批程序以及重要活动的逐级审批流 程。 2）具有经过逐级审批的文档。2）应检查各类管理制度文档，查看文档 中是否明确事项的审批程序（如列表说 明哪些事项应经过信息安全领导小组审 批，哪些事项应经过安全管理机构审批 等），是否明确对重要活动进行逐级审 批，由哪些部门/人员逐级审批。 3）应检查经逐级审批的文档，查看是否 第 4 页 共 28 页序号类别 测评项 测评实施 预期结果 说明 具有各级批准人的签字和审批部门的盖 章。 c）应定期审查审批事项，及时更 新需授权和审批的项目、审批部门 和审批人等信息。1）应检查审批事项的审查记录，查看是 否对审批事项、审批部门、审批人的变 更进行评审。1）具有审查记录。 2）记录与文件要求一致。 d）应记录审批过程并保存审批文 档。1）应检查关键活动的审批过程记录，查 看记录的审批程序与文件要求是否一 致。1）具有各项活动的审批过程记录。 2）记录与文件要求一致。 4沟 通 和 合 作 a）应加强各类管理人员 之间、组 织内部机构 之间以及信息安全职能 部门内部的合作与沟通，定期或不 定期召开 协调会议，共同协作处理 信息安全问 题。 1）应访谈安全主管，询问与其 它部门之 间及内部各部门管理人员 之间的沟通、 合作机制。部门间、，安全管理职能部 门内部以及信息安全领导小组或 者安全 管理委员会是否定期召开会 议。 1）具有会 议文件或会 议记录。 2）文件或记录中有会 议内容等描述。2）应检查组织内部机构 之间以及信息安 全职能部门内部的安全工作会 议文件或 会议记录，查看是否具有会 议内容、会 议时间、参加人员和会 议结果等描述。 3）应检查是否具有信息安全管理 委员会 或领导小组安全管理工作执行情况的文 件或工作记录（如会 议记录/纪要，信息 安全工作 决策文档等）。 b）应加强与 兄弟单位、公安机 关、电信公司的合作与沟通。1）应访谈安全主管，询问是否建立与 公 安机关、 电信公司和兄弟单位等的沟 通、合作机制。1）与兄弟单位等建立了某种方式的沟 通合作机制。 2）具有外 联单位联系列表。 3）列表说明外 联单位包含公安机关 等。2）应检查外 联单位联系列表，查看外 联 单位是否 包含公安机关、 电信公司、兄 弟公司等，是否说明外 联单位的名 称、 第 5 页 共 28 页序号类别 测评项 测评实施 预期结果 说明 联系人、合作内容和 联系方式等内容。 5审 核 和 检 查a）安全管理员应负责定期进行安 全检查，检查内容 包括系统日常运 行、系统漏洞和数据备 份等情况。1）应访谈安全主管，询问是否组织人员 定期对信息系统进行安全检查 查看检查 内容是否 包括系统日常运行、系统漏洞 和数据备 份等情况。1）定期实施安全检查。 第 6 页 共 28 页3、人员安全管理 序号类别 测评项 测评实施 预期结果 说明 1人 员 录用a）应指定或授权专门的部门或人员 负责人员录用。1）应访谈安全主管，询问由何部门 /何人 负责安全管理和技术人员的录用工作。1）指定或授权专门的部门或人员负责 录用工作。 b）应严格规范人员录用过程，对 被 录用人的 身份、背景、专业资格和 资质等进行审查，对其 所具有的技 术技能进行 考核。1）应访谈人事负责人，询问在人员录用 时是否对 被录用人的 身份、背景、专业 资格和资质进行审查，对技术人员的技 术技能进行 考核。 1）文档中有人员录用的要求，说明录 用人员应具备的 条件。