安全管理人员山西省信息化和信息安全评测中心系统名称重要等级主要用途负责人评估人员评估日期签字确认1.被测系统详细信息IP地址安全管理人员山西省信息化和信息安全评测中心控制点测评项测评对象层面得分7.1.8.1 人员录用a) 应指定或授权专门的部门或人员负责人员录用; 信息/网络安全主管b) 应对被录用人员的身份、安全背景、专业资格或资质等进行审查,对其所具有的技术技能进行考核。管理制度类文档和记录表单类文档7.1.8.2 人员离岗应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。记录表单类文档7.1.8.3 安全意识教育和培训应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。管理制度类文档7.1.8.4 外部人员访问管理a) 应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案; 管理制度类文档和记录表单类文档b) 应在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限, 并登记备案; 管理制度类文档和记录表单类文档c) 外部人员离场后应及时清除其所有的访问权限。管理制度类文档和记录表单类文档测评方法及步骤应访谈信息/网络安全主管是否由专门的部门或人员负责人员的录用工作。1、应核查人员安全管理文档是否说明录用人员应具备的条件(如学历、学位要求,技术人员应具备的专业技术水平,管理人员应具备的安全管理知识等);2、应核查是否具有人员录用时对录用人身份、安全背景、专业资格或资质等进行审查的相关文档或记录,是否记录审查内容和审查结果等);3、应核查人员录用时的能考核文档或记录是否记录考核内容和考核结果等。应核查是否具有离职人员终止其访问权限、交还身份证件、软硬件设备等的登录记录。1、应核查安全意识教育及岗位技能培训文档是否明确培训周期、培训方式、培训内容和考核方式等相关内容;2、应核查安全责任和惩戒措施管理文档或培训文档是否包含具体的安全职责和惩戒措施。1、应核查外部人员访问管理文档是否明确允许外部人员访问的范围、外部人员进入的条件、外部人员进入的访问控制措施等;2、应核查外部人员访问重要区域的书面申请文档是否具有批准人允许访问的批准签字等;3、应核查外部人员访问重要区域的登录记录是否记录了外部人员访问重要区域的进入时间、离开时间、访问区域及陪同人等;1、应核查外部人员访问管理文档是否明确外部人员接入受控网络前的申请审批流程;2、应核查外部人员访问系统的书面申请文档是否明确外部人员的访问权限、是否具有允许访问的批准签字等;3、应核查外部人员访问系统的登录记录是否记录了外部人员访问的权限、时限、账户等。1、应核查外部人员访问管理文档是否明确外部人员离开后及时清除其所有访问权限;2、应核查外部人员访问系统的登记记录是否记录了访问权限清除时间。检查结果符合程度结果判断测评权重5符合0.75符合15符合0.75符合0.75符合0.75符合15符合15.00 得分整改建议3.553.53.53.555
