国标版等级保护--安全管理制度

安全管理员
《信息安全管理制度发布 信息安全管理制度具备相关 安全管理员 授权登记》 的授权与审批流程。 《信息安全管理制度发布 安全管理制度发布范围与实 《信息安全管理制度发布 安全管理员 际接收人员相符。发布与接 与接受登记表》 收记录登记在案 具有《信息安全密级文件管 《信息安全密级文件管理 安全管理员 理办法》，明确文件密级的 办法》 定义与划分。
《信息安全管理制度评审 定期对安全管理制度进行评 安全管理员 登记表》 审与修订，评审与修订记录 《信息安全管理制度》 登记在案。
评审和修 订（G）
G3/G4
a) 信息安全领导小组应负 责定期组织相关部门和相 关人员对安全管理制度体 系的合理性和适用性进行 审定；
评审和修 订（G） b) 应定期或不定期对安全 管理制度进行检查和审 定，对存在不足或需要改 进的安全管理制度进行修 订。 c) 应明确需要定期修订的 安全管理制度，并指定负 责人或负责部门负责制度 d) 应根据安全管理制度的 相应密级确定评审和修订 的操作范围。
G2 管理制度 （G） G3/G4
G2
G3/G4
G3/G4
G1
a) 应指定或授权专门的部 G2/G3/G4 门或人员负责安全管理制 度的制定； G1 b) 应将安全管理制度以某 种方式发布到相关人员手 中。
安全管理制度安全要求 1=紫 2=红 3=黄 4=蓝 测评方法 自我测评方法 配合对象 访谈 访谈 安全管理员，是否具有日 安全管理员，是否具 安全管理员 常管理活动中的安全管理 有日常管理活动中的 访谈 访谈 安全管理员，制度体系是 安全管理员，制度体 否有安全政策、安全策 系是否有安全政策、 安全管理员 略； 安全策略； 检查 检查 明确总体目标、范围、方 明确总体目标、范围 检查 检查 覆盖重要管理等层面的管 覆盖重要管理等层面 安全管理员 理制度，重要级别可参考 的管理制度，重要级 被评估单位集合业务定 别可参考被评估单位 检查 检查 覆盖物理、网络、主机系 覆盖物理、网络、主 安全管理员 统、数据、应用和管理等 机系统、数据、应用 检查 检查 安全管理员 重要管理操作的操作规 重要管理操作的操作 程，如维护手册和操作规 规程，如维护手册和 检查 检查 管理操作的操作规程，如 管理操作的操作规 安全管理员 维护手册和操作规程； 程，如维护手册和操 访谈 访谈 制度体系是否由安全政策 制度体系是否由安全 安全管理员 、安全策略、管理制度、 政策、安全策略、管 操作规程等构成，评审及 理制度、操作规程等 访谈 访谈 安全管理员，是否授权专 安全管理员，是否授 安全管理员 门的人员负责下统一制 权专门的人员负责下 访谈 访谈 安全管理员，是否在信息 安全管理员，是否在 安全管理员 安全领导小组或委员会负 信息安全领导小组或 责下统一制定； 委员会负责下统一制 访谈： 访谈： 安全管理员,安全管理制度 安全管理员,安全管理 安全管理员 发布方式。 制度发布方式。
Βιβλιοθήκη Baidu
信息安全领导小组定期组织 相关部门和相关人员对安全 《信息安全管理制度评审 安全管理员 管理制度体系的合理性和适 登记表》 用性进行审定，审定记录登 记在案
安全管理员
定期对安全管理制度进行评 《信息安全管理制度修订 审与修订，评审与修订记录 登记表》 登记在案。
《信息安全管理制度》 安全管理员 《信息安全职责管理矩阵 》 《信息安全密级文件管理 办法》 安全管理员 《密级管理制度修订等级 表》
访谈 安全管理员，对安全 管理体系的合理性与 适用性的评审由何部 门、何人负责； 检查 评审记录，日期与评 审周期是否一致，修 访谈 管理人员，对安全管 理制度的审定和修 订； 检查 评审记录，日期与评 审周期是否一致，修 检查 安全制度修订的对应 相应负责人清单。 检查 安全制度是否进行密 级标示与密级制度评 审修订的范围确定。
《信息安全管理制度》 《信息安全管理操作流程 》 《信息安全管理维护手册 《信息安全管理操作流程 》 《信息安全管理维护手册 《信息安全管理体系文件 》 方针与策略--制度--流程 --表格与手册 《信息安全管理制度》 《信息安全职责管理矩阵 》
《信息安全管理制度》 信息安全制度制定授权到具 《信息安全职责管理矩阵 体人员或部门，相关工作职 》 责明确 信息安全管理制度发布范围 《信息安全制度发布与接 与实际接收人员相符。发布 受登记表》 与接收记录登记在案
G2
制定和发 布（G）
G3/G4
G2
G3/G4
G3/G4
G3/G4
G4
G2
访谈： 访谈： b) 应组织相关人员对制定 安全管理员，安全管理制 安全管理员，安全管 的安全管理制度进行论证 度进行论证与评审参与人 理制度进行论证与评 和审定； 员。 审参与人员。 检查 检查 访谈 访谈 安全管理员，是否按照统 安全管理员，是否按 b) 安全管理制度应具有统 一的格式标准或要求制定 照统一的格式标准或 一的格式，并进行版本控 、论证和审定； 要求制定、论证和审 制； 检查 定； 管理文档说明制定和发布 检查 程序、格式要求及版本； 管理文档说明制定和 c) 应将安全管理制度以某 访谈： 访谈： 种方式发布到相关人员手 安全管理员,安全管理制度 安全管理员,安全管理 中。 发布方式。 制度发布方式。 访谈： 访谈： c) 应组织相关人员对制定 安全管理员，安全管理制 安全管理员，安全管 的安全管理制度进行论证 度进行论证与评审参与人 理制度进行论证与评 和审定； 员。 审参与人员。 检查 检查 检查 检查 d) 安全管理制度应通过正 管理层的签字或盖章,格式 管理层的签字或盖章, 式、有效的方式发布； 统一； 格式统一； e) 安全管理制度应注明发 检查 检查 布范围，并对收发文进行 收发登记记录，符合规定 收发登记记录，符合 登记。 程序和发布范围要求。 规定程序和发布范围 f) 有密级的安全管理制 检查 检查 度，应注明安全管理制度 安全制度是否进行密级标 安全制度是否进行密 密级，并进行密级管理。 示与密级管理制度的管理 级标示与密级管理制 访谈 访谈 管理人员，对安全管理制 管理人员，对安全管 a）应定期对安全管理制度 度的审定和修订； 理制度的审定和修 进行评审，对存在不足或 检查 订； 需要改进的安全管理制度 评审记录，日期与评审周 检查 进行修订。 期是否一致，修订记录； 评审记录，日期与评 审计记录； 审周期是否一致，修
G3/G4
G4
G4
访谈 安全管理员，对安全管理 体系的合理性与适用性的 评审由何部门、何人负 责； 检查 评审记录，日期与评审周 期是否一致，修订记录； 访谈 管理人员，对安全管理制 度的审定和修订； 检查 评审记录，日期与评审周 期是否一致，修订记录； 审计记录； 检查 安全制度修订的对应相应 负责人清单。 检查 安全制度是否进行密级标 示与密级制度评审修订的 范围确定。
提交物
预计结果
《日常安全管理制度清单 具有日常管理活动中的安全 》 管理制度 信息安全管理方针与目标明 《信息安全总体安全方针 确。包含总体目标、范围、 》 方针、原则、责任，安全策 《信息安全管理制度》 略；
《信息安全管理制度》
信息安全工作过程中有相关 制度依据 信息安全工作过程中有相关 制度依据 重要信息安全工作过程中有 相关流程与表格 日常信息安全工作过程中有 相关流程与表格 信息安全管理形成具备方针 与策略--制度--流程--表格 与手册整套体系文件 信息安全制度制定授权到具 体人员，相关工作职责明确
制定相关安全负责人或部门 定期对安全管理制度进行修 订与日常维护。修订日志登 具有《信息安全密级文件管 理办法》，明确文件密级的 定义与划分。具备密级管理 人员对密级制度进行修订与
安全管理员
定期组织对安全管理制度进 《信息安全管理制度评审 行论证和审定，评论与审定 登记表》 记录在案
安全管理员 《信息安全管理制度》
信息安全管理制度格式统 一，具有修订记录。
安全管理员
信息安全管理制度发布范围 《信息安全管理制度发布 与实际接收人员相符。发布 与接受登记表》 与接收记录登记在案 定期组织对安全管理制度进 《信息安全管理制度评审 行论证和审定，评论与审定 登记表》 记录在案
要求类别 测评等级 G1
基本要求 a）应建立日常管理活动中 常用的安全管理制度。
a) 应制定信息安全工作的 总体方针和安全策略，说 G2/G3/G4 明机构安全工作的总体目 标、范围、原则和安全框 架等； b) 应对安全管理活动中重 要的管理内容建立安全管 理制度； b) 应对安全管理活动中的 各类管理内容建立安全管 理制度； c) 应对安全管理人员或操 作人员执行的重要管理操 作建立操作规程。 c) 应对要求管理人员或操 作人员执行的日常管理操 作建立操作规程； d) 应形成由安全策略、管 理制度、操作规程等构成 的全面的信息安全管理制 度体系。 a) 应指定或授权专门的人 员负责安全管理制度的制 定；