变更履历修改日期版本号修改说明审核人批准人10/11/2019V1.0初稿拟定李劲雄何志鹏何志鹏文件编号:AMQ/TI-58文件名称:网络安全等级保护测评2.0作业指导书(安全管理人员)版本号:V1.0控制状态:受控编制:李劲雄 审核:何志鹏 批准:何志鹏 发布日期:2019/10/12作者/修改人序号测评指标控制项检查对象安全通用要求1人员录用23记录表单类文档4人员离岗记录表单类文档56管理制度类文档7记录表单类文档8记录表单类文档910a)应指定或授权专门的部门或人员负责人员录用;信息/网络安全主管b)应对被录用人员的身份、安全背景、专业资格或资质等进行审查,对其所具有的技 术技能进行考核;管理制度类文档和记录表单类文档c) 应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议。 a) 应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;b) 应办理严格的调离手续,并承诺调离后的保密义务后方可离开。 管理制度类文档和记录表单类文档安全意识教育和培训a) 应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施; b) 应针对不同岗位制定不同的培训计划,对安全基础知识、岗位操作规程等进行培训; c) 应定期对不同岗位的人员进行技能考核。 外部人员访问管理a) 应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案;管理制度类文档和记录表单类文档b) 应在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限, 并登记备案;管理制度类文档和记录表单类文档1112记录表单类文档外部人员访问管理c) 外部人员离场后应及时清除其所有的访问权限;管理制度类文档和记录表单类文档d) 获得系统访问授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄露任何 敏感信息。 检查方法推荐值安全通用要求指定或授权专门的部门或人员。有审查内容和审查结果。及时收回信息资产,有记录。有针对不同岗位的培训计划,并且文件化。应核查是否具有针对各岗位人员的技能考核记录; 有定期安全技能和知识的考核,有考核记录。应访谈信息/网络安全主管是否由专门的部门或人员负责人员的录用工作; 1) 应核查人员安全管理文档是否说明录用人员应具备的条件(如学历、学位要求,技术人员 应具备的专业技术水平,管理人员应具备的安全管理知识等); 2) 应核查是否具有人员录用时对录用人身份、安全背景、专业资格或资质等进行审查的相关 文档或记录,是否记录审查内容和审查结果等; 3) 应核查人员录用时的技能考核文档或记录是否记录考核内容和考核结果等。 1) 应核查保密协议是否有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字 等内容; 2) 应核查岗位安全协议是否有岗位安全责任定义、协议的有效期限和责任人签字等内容。 1) 有保密协议,内容清晰完整; 2) 有安全责任协议,内容清晰完整。 应核查是否具有离岗人员终止其访问权限、交还身份证件、软硬件设备等的登记记录; 1) 应核查人员离岗的管理文档是否规定了人员调离手续和离岗要求等; 2) 应核查是否具有按照离岗程序办理调离手续的记录; 3) 应核查保密承诺文档是否有调离人员的签字。 有调离手续,关键岗位离岗有签署离岗保密协议书。1) 应核查安全意识教育及岗位技能培训文档是否明确培训周期、培训方式、培训内容和考核 方式等相关内容; 2) 应核查安全责任和惩戒措施管理文档或培训文档是否包含具体的安全责任和惩戒措施。 有制度规范奖惩措施,并且文件化,并按照策略和规定进行奖惩。1) 应核查安全教育和培训计划文档是否具有不同岗位的培训计划; 2) 应核查培训内容是否包含安全基础知识、岗位操作规程等; 3) 应核查安全教育和培训记录是否有培训人员、培训内容、培训结果等描述。 1) 应核查外部人员访问管理文档是否明确允许外部人员访问的范围、外部人员进入的条件、 外部人员进入的访问控制措施等; 2) 应核查外部人员访问重要区域的书面申请文档是否具有批准人允许访问的批准签字等; 3) 应核查...
