新版等级保护三级管理测评.pdf

相关主题

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

三级管理要求(S3A3G3)

等级保护三级管理类测评控制点(S3A3G3)

类别序号测评内容测评方法结果记录符合情况

Y N O

安全管理机构岗位

设置

应设立信息安全管理工作的职能部门，设立安全主管

人、安全管理各个方面的负责人岗位，定义各负责人的

职责。

访谈，检查。安全主管，安全管理某方

面的负责人，部门、岗位职责文件。

应设立系统管理人员、网络管理人员、安全管理人员岗

位，定义各个工作岗位的职责。

应成立指导和管理信息安全工作的委员会或领导小

组，其最高领导由单位主管领导委任或授权。

应制定文件明确安全管理机构各个部门和岗位的职

责、分工和技能要求。

人员

配备

应配备一定数量的系统管理员、网络管理员、安全管

理员等。访谈，检查。安全主管，人员配备要求

的相关文档，管理人员名单。

6.应配备专职安全管理员，不可兼任。

7.关键事务岗位应配备多人共同管理。

授权

和审

批

应根据各个部门和岗位的职责明确授权审批事项、审

批部门和批准人等。

访谈，检查。安全主管，关键活动的批

准人，审批事项列表，审批文档。

应针对系统变更、重要操作、物理访问和系统接入等

事项建立审批程序，按照审批程序执行审批过程，对

重要活动建立逐级审批制度。

10.应定期审查审批事项，及时更新需授权和审批的项目、

等级保护三级管理类测评控制点(S3A3G3)

类别序号测评内容测评方法结果记录符合情况

Y N O

审批部门和审批人等信息。

11.应记录审批过程并保存审批文档。

沟通和合作12.

应加强各类管理人员之间、组织内部机构之间以及信

息安全职能部门内部的合作与沟通，定期或不定期召

开协调会议，共同协作处理信息安全问题。

访谈，检查。安全主管，安全管理人员，

会议文件，会议记录，外联单位说明文

档。

` 13.

应加强与兄弟单位、公安机关、电信公司的合作与沟

通。

14.

应加强与供应商、业界专家、专业的安全公司、安全

组织的合作与沟通。

15.

应建立外联单位联系列表，包括外联单位名称、合作

内容、联系人和联系方式等信息。

16.

应聘请信息安全专家作为常年的安全顾问，指导信息

安全建设，参与安全规划和安全评审等。

审核和检查17.

安全管理员应负责定期进行安全检查，检查内容包括

系统日常运行、系统漏洞和数据备份等情况。

访谈，检查。安全主管，安全员，安全

检查记录。

18.

应由内部人员或上级单位定期进行全面安全检查，检

查内容包括现有安全技术措施的有效性、安全配置与

安全策略的一致性、安全管理制度的执行情况等。

19.

应制定安全检查表格实施安全检查，汇总安全检查数

据，形成安全检查报告，并对安全检查结果进行通报。

等级保护三级管理类测评控制点(S3A3G3)

类别序号测评内容测评方法结果记录符合情况

Y N O

20.应制定安全审核和安全检查制度规范安全审核和安全检查工作，定期按照程序进行安全审核和安全检查活动。

安全管理制度管理

制度

21.

应制定信息安全工作的总体方针和安全策略，说明机

构安全工作的总体目标、范围、原则和安全框架等。

访谈，检查。安全主管，总体方针、政

策性文件和安全策略文件，安全管理制

度清单，操作规程。

22.

应对安全管理活动中的各类管理内容建立安全管理制

度。

23.

应对要求管理人员或操作人员执行的日常管理操作建

立操作规程。

24.

应形成由安全策略、管理制度、操作规程等构成的全

面的信息安全管理制度体系。

制定

和发

布

25.

应指定或授权专门的部门或人员负责安全管理制度的

制定。

访谈，检查。安全主管，制度制定和发

布要求管理文档，评审记录，安全管理

制度。

26.安全管理制度应具有统一的格式，并进行版本控制。

27.

应组织相关人员对制定的安全管理制度进行论证和审

定。

28.安全管理制度应通过正式、有效的方式发布。

29.安全管理制度应注明发布范围，并对收发文进行登记。

评审

和修

订

30.

信息安全领导小组应负责定期组织相关部门和相关人

员对安全管理制度体系的合理性和适用性进行审定。访谈，检查。安全主管，安全管理制度

列表，评审记录。

31.应定期或不定期对安全管理制度进行检查和审定，对

等级保护三级管理类测评控制点(S3A3G3)

类别序号测评内容测评方法结果记录符合情况

Y N O

存在不足或需要改进的安全管理制度进行修订。

人员安全管理人员

录用

32.应指定或授权专门的部门或人员负责人员录用。

访谈，检查。人事负责人，人事工作人

员，人员录用要求管理文档，人员审查

文档或记录，考核文档或记录，保密

协议。

33.

应严格规范人员录用过程，对被录用人的身份、背景、

专业资格和资质等进行审查，对其所具有的技术技能

进行考核。

34.应签署保密协议。

35.

应从内部人员中选拔从事关键岗位的人员，并签署岗

位安全协议。

人员

离岗

36.

应严格规范人员离岗过程，及时终止离岗员工的所有

访问权限。

访谈，检查。安全主管，人事工作人员，

安全处理记录，保密承诺文档。

37.

应取回各种身份证件、钥匙、徽章等以及机构提供的

软硬件设备。

38.

应办理严格的调离手续，关键岗位人员离岗须承诺调

离后的保密义务后方可离开。

人员

考核

39.

应定期对各个岗位的人员进行安全技能及安全认知的

考核。

访谈。安全主管，人事工作人员。

40.

应对关键岗位的人员进行全面、严格的安全审查和技

能考核。

41.应对考核结果进行记录并保存。

安全

意识

42.

应对各类人员进行安全意识教育、岗位技能培训和相

关安全技术培训。

访谈，检查。安全主管，安全员，系统

管理员，网络管理员，培训计划，培训