序号测评指标控制项检查对象检查方法安全通用要求1安全策略2管理制度345制定和发布67评审和修订a)应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、 原则和安全框架等; 总体方针策略类文档应核查网络安全工作的总体方针和安全策略文件是否明确机构安全工作的总体目 标、范围、原则和各类安全策略; a)应对安全管理活动中的各类管理内容建立安全管理制度; 安全管理制度类文档应核查各项安全管理制度是否覆盖物理、网络、主机系统、数据、应用、建设和运 维等管理内容; b)应对管理人员或操作人员执行的日常管理操作建立操作规程; 操作规程类文档应核查是否具有日常管理操作的操作规程,如系统维护手册和用户操作规程等; c)应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度 体系; 总体方针策略类文档、管理制度类文档、操作规程类文档和记录表单类文档应核查总体方针策略文件、管理制度和操作规程、记录表单是否全面且具有关联性 和一致性a)应指定或授权专门的部门或人员负责安全管理制度的制定; 部门/人员职责文件等应核查否由专门的部门或人员负责制定安全管理制度;b)安全管理制度应通过正式、有效的方式发布,并进行版本控制;管理制度类文档和记录表单类文档1) 应核查制度制定和发布要求管理文档是否说明安全管理制度的制定和发布程序、格式要求 及版本编号等相关内容; 2) 应核查安全管理制度的收发登记记录是否通过正式、有效的方式收发,如正式发文、领导 签署和单位盖章等。 a)应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进 的安全管理制度进行修订; 信息/网络安全主管和记录表单类文档1) 应访谈信息/网络安全主管是否定期对安全管理制度的合理性和适用性进行审定; 2) 应核查是否具有安全管理制度的审定或论证记录,如果对制度做过修订,核查是否有修订 版本的安全管理制度。 推荐值判断标准安全通用要求
