现场测评指导书(三级)日期: 2019.9.30现场测评指导书(三级)安全控制点控制项检查内容安全通用要求安全策略管理制度制定和发布评审和修订a)应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。应核查网络安全工作的总体方针和安全策略文件是否明确机构安全工作的总体目标、范围、原则和各类安全策略。a)应对安全管理活动中的各类管理内容建立安全管理制度;应核查各项安全管理制度是否覆盖物理、网络、主机系统、数据、应用、建设和运维等管理内容。b)应对管理人员或操作人员执行的日常管理操作建立操作规程;应核查是否具有日常管理操作的操作规程,如系统维护手册和用户操作规程等。c)应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。应核查总体方针策略文件、管理制度和操作规程、记录表单是否全面且具有关联性和一致性。a)应指定或授权专门的部门或人员负责安全管理制度的制定;应核查是否由专门的部门或人员负责制定安全管理制度。b)安全管理制度应通过正式、有效的方式发布,并进行版本控制。1) 应核查制度制定和发布要求管理文档是否说明安全管理制度的制定和发布程序、格式要求及版本编号等相关内容;2) 应核查安全管理制度的收发登记记录是否通过正式、有效的方式收发,如正式发文、领导签署和单位盖章等。a)应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。1) 应访谈信息/网络安全主管是否定期对安全管理制度的合理性和适用性进行审定;评审和修订a)应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。2) 应核查是否具有安全管理制度的审定或论证记录,如果对制度做过修订,核查是否有修订版本的安全管理制度。检查方法推荐值安全通用要求判断标准结果记录符合情况安全通用要求如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。如果 1) 和 2) 均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。如果 1) 和 2) 均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。如果 1) 和 2) 均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。备注权重安全通用要求110.710.70.70.70.7
