安全管理机构山西省信息化和信息安全评测中心被测系统详细信息系统名称重要等级主要用途负责人评估人员评估日期签字确认IP地址安全管理机构山西省信息化和信息安全评测中心被测系统详细信息控制点测评项测评对象8.1.7.1 岗位设置a) 应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权;信息/网络安全主管、管理制度类文档和记录表单类文档b) 应设立网络安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责; 信息/网络安全主管、管理制度类文档和记录表单类文档c) 应设立系统管理员、审计管理员和安全管理员等岗位,并定义部门及各个工作岗位的职责。信息/网络安全主管、管理制度类文档和记录表单类文档8.1.7.2 人员配备a) 应配备一定数量的系统管理员、审计管理员和安全管理员等; 信息/网络安全主管、管理制度类文档和记录表单类文档b) 应配备专职安全管理员,不可兼任。 记录表单类文档8.1.7.3 授权和审批a) 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等; 管理制度类文档和记录表单类文档b) 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度; 操作规程类文档和记录表单类文档c) 应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息。 信息/网络安全主管、管理制度类文档和记录表单类文档8.1.7.4 沟通和合作a) 应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通,定期召开协调会议,共同协作处理网络安全问题; 信息/网络安全主管、管理制度类文档和记录表单类文档层面得分8.1.7.4 沟通和合作b) 应加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通; 信息/网络安全主管、管理制度类文档和记录表单类文档c) 应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息。 记录表单类文档8.1.7.5 审核和检查a) 应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况; 信息/网络安全主管、管理制度类文档和记录表单类文档b) 应定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;信息/网络安全主管、管理制度类文档和记录表单类文档c) 应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。 记录表单类文档测评方法及步骤应核查人员配备文档是否配备了专职安全管理员。1、应访谈信息/网络安全主管是否成立了指导和管理网络安全工作的委员会或领导小组;2、应核查相关文档是否明确了网络安全工作委员会或领导小组构成情况和相关职责;3、应核查委员会或领导小组的最高领导是否由单位主管领导担任或由其进行了授权。1、应访谈信息/信息网络安全主管是否设立网络安全管理工作的只能部门;2、应核查部门职责文档是否明确网络安全管理工作的职能部门和各负责人职责;3、应核查岗位职责文档是否有岗位划分情况和岗位职责。1、应访谈信息/网络安全主管是否进行了安全管理岗位的划分;2、应核查岗位职责文档是否明确了各部门及岗位职责。1、应访谈信息/网络安全主管是否配备系统管理员、审计管理员和安全管理员;2、应核查人员配备文档是否明确各岗位人员配备情况。1、应核查部门职责文档是否明确各部门审批事项;2、应核查岗位职责文档是否明确各岗位审批事项。1、应核查系统变更、重要操作、物理访问和系统接入等事项的操作规范是否明确建立了逐级审批程序;2、应核查审批记录、操作记录,审批结果是否与相关制度一致。1、应访谈信息/网络安全主管是否对各类审批事项进行更新;2、应核查是否具有定期审查审批事项的记录。1、应访谈信息/网络安全主管是否建立了各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通机制;2、应核查会议记录是否明确各类管理员、组织内部机构和网络安全管理部门之间开展了合作与沟通。1、应访谈信息/网络安全主...
