金融行业安全管理机构安全等级保护测评实施指导书(三级)

2.1版第0次修订金融行业安全管理机构等级保护测评实施指导书（三级）
2.1版第0次修订
计划，对信息科技整个生命
周期和重大事件等进行审
计；
d)应设立信息安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责；应访谈安全主管，询问是否设立专职的安全管理机构（即信息安全管理工
作的职能部门）；机构内部门设置情况如何，是否明确各部门的职责分工；
询问是否设立安全管理各个方面的负责人，并定义了各负责人的职责
符合：已明确信息安全管理工作的只能
部门，已设立安全主管，统一协调管理
工作，已设立系统主管、网络主管、安
全主管等。

有些单位规模小，没有设立各方面的负
责人，但在日常工作中明确了系统，网
络，安全等方面的工作职责，也判定为
符合。

不符合：未设立信息安全管理工作的职
能部门，并且未明确各个方面的工作职
责。

e)应设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责应访谈安全主管，询问单位设置了哪些工作岗位（如安全主管，安全管理
各个方面的负责人，机房管理员，系统管理员，网络管理员和安全员等重
要岗位），是否明确各个岗位的职责分工
符合：已设置系统管理员，网络管理员，
安全管理员等岗位，并明确了各岗位的
职责。

如果没有按照系统管理员，网络管理员，
安全管理员划分，比如按专员，科员，
但在日常工作中明确了系统管理，网络
维护，安全审查等方面的工作职责
2.1版第0次修订
2.1版第0次修订
2.1版第0次修订
2.1版第0次修订
2.1版第0次修订
等信息
不符合：未建立联系列表
e)应聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等
应聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等
符合：已聘请信息安全专家（组织内，外部的专家都算）
不符合：没有聘请信息安全专家
5
审核和检查
a）应制定安全审核和按检查制度规范安全审核和安全检查工作，按要求定期开展安全审核和安全检查活动
应检查是否有安全检查制度，查看文档是否规定检查内容，检查程序和检查周期等，检查内容，检查程序和检查周期等，检查内容是否包括现有安全技术措施的有效性，安全配置与安全策略的一致性，安全管理制度的执行情况等，是否包括用户账号情况，系统漏洞情况，系统审计情况等。

符合：已建立安全检查制度，内容包括检查内容\方法\周期等
部分符合：已建立检查制度，内容不全面
不符合：未建立安全检查制度
b)安全管理员应负责定期
进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况
1、应访谈安全主管，询问安全员是否定期对信息系统进行安全检查，检查周期多长，是否明确检查内容
2、应访谈安全员，询问安全检查包括哪些内容，检查人员有哪些，检查程序是否按照系统相关策略和要求进行，检查结果如何
3、应检查安全检查记录，查看记录时间与检查周期是否一致，文档中是否有检查内容，检查人员，检查结果等的描述
符合：安全管理员定期检查，检查内容需要覆盖系统运行相关的管理活动部分符合：未定期进行检查不符合：未开展安全检查。

系统维护人员进行系统安全检查，判定为不符合
c)应由内部人员或上级单位定期进行全面安全检查，应访谈安全员，询问是否有定期的全面安全检查，安全检查包括哪些内容，检查人员有哪些，检查程序是否按照系统相关策略和要求进行，是否制定
符合：内部或上级单位定期全面检查。

行业主管部门委托单第三方进行的安全
2.1版第0次修订
注：加底色为非国标，不判分。