安全管理制度山西省信息化和信息安全评测中心被测系统详细信息系统名称重要等级主要用途负责人评估人员评估日期签字确认IP地址安全管理制度山西省信息化和信息安全评测中心被测系统详细信息控制点测评项测评对象层面得分7.1.6.1 安全策略应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。 总体方针策略类文档7.1.6.2 管理制度a) 应对安全管理活动中的各类管理内容建立安全管理制度; 安全管理制度类文档b) 应对管理人员或操作人员执行的日常管理操作建立操作规程。操作规程类文档7.1.6.3 制定和发布a) 应指定或授权专门的部门或人员负责安全管理制度的制定; 部门/人员职责文件等b) 安全管理制度应通过正式、有效的方式发布,并进行版本控制。 管理制度类文档和记录表单类文档7.1.6.4 评审和修订应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。 信息/网络安全主管和记录表单类文档测评方法及步骤应核查网络安全工作的总体方针和安全策略文件是否明确机构安全工作的总体目标、范围、原则和各类安全策略。应核实各项安全管理制度是否覆盖物理、网络、主机系统、数据、应用、建设和运维等管理内容。应核查是否具有日常管理操作的操作规程,如系统维护手册和用户操作规程等。应核查是否由专门的部门或人员负责制定安全管理制度。1、应核查制度制定和发布要求管理文档是否说明安全管理制度的制定和发布程序、格式要求及版本编号等相关内容;2、应核查安全管理制度的收发登记记录是否通过正式、有效的方式收发,如正式发文、领导签署和单位盖章等。1、应访谈信息/网络安全主管是否定期对安全管理制度的合理性和适用性进行审定;2、应核查是否具有安全管理制度的审定或论证记录,如果对制度做过修订,核查是否有修订版本的安全管理制度。检查结果符合程度结果判断测评权重5符合15符合15符合15符合15符合15符合15.00 得分整改建议555555
