变更履历修改日期版本号修改说明审核人批准人10/11/2019V1.0初稿拟定李劲雄何志鹏何志鹏文件编号:AMQ/TI-57文件名称:网络安全等级保护测评2.0作业指导书(安全管理机构)版本号:V1.0控制状态:受控编制:李劲雄 审核:何志鹏 批准:何志鹏 发布日期:2019/10/12作者/修改人序号测评指标控制项检查内容检查方法安全通用要求1岗位设置234人员配备5记录表单类文档6授权和审批a)应成立指导和网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权; 信息/网络安全主管、管理制度类文档和记录表单类文档1) 应访谈信息/网络安全主管是否成立了指导和管理网络安全工作的委员会或领导小组; 2) 应核查相关文档是否明确了网络安全工作委员会或领导小组构成情况和相关职责; 3) 应核查委员会或领导小组的最高领导是否由单位主管领导担任或由其进行了授权。 b)应设立网络安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人 岗位,并定义各负责人的职责;信息/网络安全主管和管理制度类文档1) 应访谈信息/网络安全主管是否设立网络安全管理工作的职能部门; 2) 应核查部门职责文档是否明确网络安全管理工作的职能部门和各负责人职责; 3) 应核查岗位职责文档是否有岗位划分情况和岗位职责。c)应设立系统管理员、审计管理员和安全管理员等岗位,并定义部门及各个工作岗位的职责; 信息/网络安全主管和管理制度类文档1) 应访谈信息/网络安全主管是否进行了安全管理岗位的划分; 2) 应核查岗位职责文档是否明确了各部门及各岗位职责。 a)应配备一定数量的系统管理员、审计管理员和安全管理员等; 信息/网络安全主管和记录表单类文档1) 应访谈信息/网络安全主管是否配备系统管理员、审计管理员和安全管理员; 2) 应核查人员配备文档是否明确各岗位人员配备情况。 b)应配备专职安全管理员,不可兼任;应核查人员配备文档是否配备了专职安全管理员a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等;管理制度类文档和记录表单类文档1) 应核查部门职责文档是否明确各部门审批事项; 2) 应核查岗位职责文档是否明确各岗位审批事项。7授权和审批89沟通和合作1011记录表单类文档12审核和检查1314记录表单类文档b)应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批 程序执行审批过程,对重要活动建立逐级审批制度;操作规程类文档和记录表单类文档1) 应核查系统变更、重要操作、物理访问和系统接入等事项的操作规范是否明确建立了逐级 审批程序; 2) 应核查审批记录、操作记录,审批结果是否与相关制度一致。c)应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息;信息/网络安全主管和记录表单类文档1) 应访谈信息/网络安全主管是否对各类审批事项进行更新; 2) 应核查是否具有定期审查审批事项的记录。 a)应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通,定期 召开协调会议,共同协作处理网络安全问题; 信息/网络安全主管和记录表单类文档1) 应访谈信息/网络安全主管是否建立了各类管理人员、组织内部机构和网络安全管理部门 之间的合作与沟通机制; 2) 应核查会议记录是否明确各类管理人员、组织内部机构和网络安全管理部门之间开展了合 作与沟通。 b)应加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通; 信息/网络安全主管和记录表单类文档1) 应访谈信息/网络安全主管是否建立了与网络安全职能部门、各类供应商、业界专家及安 全组织的合作与沟通机制; 2) 应核查会议记录是否与网络安全职能部门、各类供应商、业界专家及安全组织开展了合作 与沟通。 c)应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信 息; 应核查外联单位联系列表是否记录了外联单位名称、合作内容、联系人和联系方式 等信息; a)应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情 况; 信息/网络安全主管和记录表单类文档1) 应访谈信息/网络安全主管...
