金融行业安全管理机构安全等级保护测评实施指导书(三级)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2.1版第0次修订金融行业安全管理机构等级保护测评实施指导书(三级)
2.1版第0次修订
计划,对信息科技整个生命
周期和重大事件等进行审
计;
d)应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;应访谈安全主管,询问是否设立专职的安全管理机构(即信息安全管理工
作的职能部门);机构内部门设置情况如何,是否明确各部门的职责分工;
询问是否设立安全管理各个方面的负责人,并定义了各负责人的职责
符合:已明确信息安全管理工作的只能
部门,已设立安全主管,统一协调管理
工作,已设立系统主管、网络主管、安
全主管等。
有些单位规模小,没有设立各方面的负
责人,但在日常工作中明确了系统,网
络,安全等方面的工作职责,也判定为
符合。
不符合:未设立信息安全管理工作的职
能部门,并且未明确各个方面的工作职
责。
e)应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责应访谈安全主管,询问单位设置了哪些工作岗位(如安全主管,安全管理
各个方面的负责人,机房管理员,系统管理员,网络管理员和安全员等重
要岗位),是否明确各个岗位的职责分工
符合:已设置系统管理员,网络管理员,
安全管理员等岗位,并明确了各岗位的
职责。
如果没有按照系统管理员,网络管理员,
安全管理员划分,比如按专员,科员,
但在日常工作中明确了系统管理,网络
维护,安全审查等方面的工作职责
2.1版第0次修订
2.1版第0次修订
2.1版第0次修订
2.1版第0次修订
2.1版第0次修订
等信息
不符合:未建立联系列表
e)应聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等
应聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等
符合:已聘请信息安全专家(组织内,外部的专家都算)
不符合:没有聘请信息安全专家
5
审核和检查
a)应制定安全审核和按检查制度规范安全审核和安全检查工作,按要求定期开展安全审核和安全检查活动
应检查是否有安全检查制度,查看文档是否规定检查内容,检查程序和检查周期等,检查内容,检查程序和检查周期等,检查内容是否包括现有安全技术措施的有效性,安全配置与安全策略的一致性,安全管理制度的执行情况等,是否包括用户账号情况,系统漏洞情况,系统审计情况等。
符合:已建立安全检查制度,内容包括检查内容\方法\周期等
部分符合:已建立检查制度,内容不全面
不符合:未建立安全检查制度
b)安全管理员应负责定期
进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况
1、应访谈安全主管,询问安全员是否定期对信息系统进行安全检查,检查周期多长,是否明确检查内容
2、应访谈安全员,询问安全检查包括哪些内容,检查人员有哪些,检查程序是否按照系统相关策略和要求进行,检查结果如何
3、应检查安全检查记录,查看记录时间与检查周期是否一致,文档中是否有检查内容,检查人员,检查结果等的描述
符合:安全管理员定期检查,检查内容需要覆盖系统运行相关的管理活动部分符合:未定期进行检查不符合:未开展安全检查。
系统维护人员进行系统安全检查,判定为不符合
c)应由内部人员或上级单位定期进行全面安全检查,应访谈安全员,询问是否有定期的全面安全检查,安全检查包括哪些内容,检查人员有哪些,检查程序是否按照系统相关策略和要求进行,是否制定
符合:内部或上级单位定期全面检查。
行业主管部门委托单第三方进行的安全
2.1版第0次修订
注:加底色为非国标,不判分。