现场测评指导书(三级)日期: 2019.9.30现场测评指导书(三级)安全控制点控制项检查内容安全通用要求岗位设置人员配备授权和审批a)应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权;1) 应访谈信息/网络安全主管是否成立了指导和管理网络安全工作的委员会或领导小组;2) 应核查相关文档是否明确了网络安全工作委员会或领导小组构成情况和相关职责;3) 应核查委员会或领导小组的最高领导是否由单位主管领导担任或由其进行了授权。b)应设立网络安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;1) 应访谈信息/网络安全主管是否设立网络安全管理工作的职能部门;2) 应核查部门职责文档是否明确网络安全管理工作的职能部门和各负责人职责;3) 应核查岗位职责文档是否有岗位划分情况和岗位职责。c)应设立系统管理员、审计管理员和安全管理员等岗位,并定义部门及各个工作岗位的职责。1) 应访谈信息/网络安全主管是否进行了安全管理岗位的划分;2) 应核查岗位职责文档是否明确了各部门及各岗位职责。a)应配备一定数量的系统管理员、审计管理员和安全管理员等;1) 应访谈信息/网络安全主管是否配备系统管理员、审计管理员和安全管理员;2) 应核查人员配备文档是否明确各岗位人员配备情况。b)应配备专职安全管理员,不可兼任。应核查人员配备文档是否明确配备了专职安全管理员。a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等;1) 应核查部门职责文档是否明确各部门审批事项;授权和审批沟通和合作审核和检查a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等;2) 应核查岗位职责文档是否明确各岗位审批事项。b)应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度;1) 应核查系统变更、重要操作、物理访问和系统接入等事项的操作规范是否明确建立了逐级审批程序;2) 应核查审批记录、操作记录是否与相关制度 一致。c)应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息。1) 应访谈信息/网络安全主管是否对各类审批事项进行更新;2) 应核查是否具有定期审查审批事项的记录。a)应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通,定期召开协调会议,共同协作处理网络安全问题;1) 应访谈信息/网络安全主管是否建立了各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通机制;2) 应核查会议记录是否明确在各类管理人员、组织内部机构和网络安全管理部门之间开展了合作与沟通。b)应加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通;1) 应访谈信息/网络安全主管是否建立了与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通机制;2) 应核查会议记录是否与网络安全职能部门、各类供应商、业界专家及安全组织开展了合作与沟通。c)应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息。应核查外联单位联系列表是否记录了外联单位名称、合作内容、联系人和联系方式等信息。a)应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况;1) 应访谈信息/网络安全主管是否定期进行了常规安全检查;审核和检查a)应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况;2) 应核查常规安全检查记录是否包括了系统日常运行、系统漏洞和数据备份等情况。b)应定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;1) 应访谈信息/网络安全主管是否定期进行了全面安全检查;2) 应核查全面安全检查记录是否包括了现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。c)应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。应核查是否具有安全检...
