您的位置:360文档中心› 等级保护三级管理测评.doc

等级保护三级管理测评.doc

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

三级管理要求 (S3A3G3)

等级保护三级管理类测评控制点(S3A3G3)

符合情况类别序号测评内容测评方法结果记录

Y N O 应设立信息安全管理工作的职能部门,设立安全主管

1. 人、安全管理各个方面的负责人岗位,定义各负责人的

职责。

应设立系统管理人员、网络管理人员、安全管理人员岗

岗位 2.

访谈,检查。安全主管,安全管理某方

位,定义各个工作岗位的职责。

安全

设置面的负责人,部门、岗位职责文件。

管理

3. 应成立指导和管理信息安全工作的委员会或领导小

机构组,其最高领导由单位主管领导委任或授权。

应制定文件明确安全管理机构各个部门和岗位的职

4.

责、分工和技能要求。

人员应配备一定数量的系统管理员、网络管理员、安全管访谈,检查。安全主管,人员配备要求

5.

配备理员等。的相关文档,管理人员名单。

等级保护三级管理类测评控制点(S3A3G3)

类别序号测评内容

符合情况

测评方法结果记录

Y N O

授权和审6.

7.

8.

9.

应配备专职安全管理员,不可兼任。

关键事务岗位应配备多人共同管理。

应根据各个部门和岗位的职责明确授权审批事项、审

批部门和批准人等。

应针对系统变更、重要操作、物理访问和系统接入等

事项建立审批程序,按照审批程序执行审批过程,对

重要活动建立逐级审批制度。

访谈,检查。安全主管,关键活动的批

准人,审批事项列表,审批文档。

应定期审查审批事项,及时更新需授权和审批的项目、

10.

审批部门和审批人等信息。

11.

应记录审批过程并保存审批文档。

沟通应加强各类管理人员之间、组织内部机构之间以及信和合12.息安全职能部门内部的合作与沟通,定期或不定期召作开协调会议,共同协作处理信息安全问题。访谈,检查。安全主管,安全管理人员,

会议文件,会议记录,外联单位说明文

` 档。

等级保护三级管理类测评控制点(S3A3G3)

符合情况

类别序号测评内容测评方法结果记录

Y N O 应加强与兄弟单位、公安机关、电信公司的合作与沟

13.

通。

应加强与供应商、业界专家、专业的安全公司、安全

14.

组织的合作与沟通。

应建立外联单位联系列表,包括外联单位名称、合作

15.

内容、联系人和联系方式等信息。

16.

应聘请信息安全专家作为常年的安全顾问,指导信息

安全建设,参与安全规划和安全评审等。

17.

安全管理员应负责定期进行安全检查,检查内容包括

审核系统日常运行、系统漏洞和数据备份等情况。

和检

应由内部人员或上级单位定期进行全面安全检查,检访谈,检查。安全主管,安全员,安全

18. 查内容包括现有安全技术措施的有效性、安全配置与检查记录。

安全策略的一致性、安全管理制度的执行情况等。

等级保护三级管理类测评控制点(S3A3G3)

类别

安全管理

管理

制度制度

序号测评内容

应制定安全检查表格实施安全检查,汇总安全检查数

19.

据,形成安全检查报告,并对安全检查结果进行通报。

应制定安全审核和安全检查制度规范安全审核和安全

20.检查工作,定期按照程序进行安全审核和安全检查活

动。

应制定信息安全工作的总体方针和安全策略,说明机

21.

构安全工作的总体目标、范围、原则和安全框架等。

应对安全管理活动中的各类管理内容建立安全管理制

22.

度。

应对要求管理人员或操作人员执行的日常管理操作建

23.

立操作规程。

应形成由安全策略、管理制度、操作规程等构成的全

24.

面的信息安全管理制度体系。

符合情况

测评方法结果记录

Y N O

访谈,检查。安全主管,总体方针、政

策性文件和安全策略文件,安全管理制

度清单,操作规程。

等级保护三级管理类测评控制点(S3A3G3) 类别序号测评内容

应指定或授权专门的部门或人员负责安全管理制度的

25.

制定。

制定26. 安全管理制度应具有统一的格式,并进行版本控制。

和发应组织相关人员对制定的安全管理制度进行论证和审

27.

布定。

28. 安全管理制度应通过正式、有效的方式发布。

29. 安全管理制度应注明发布范围,并对收发文进行登记。

评审

信息安全领导小组应负责定期组织相关部门和相关人30.

和修

员对安全管理制度体系的合理性和适用性进行审定。

订31.

应定期或不定期对安全管理制度进行检查和审定,对

存在不足或需要改进的安全管理制度进行修订。

人员人员32. 应指定或授权专门的部门或人员负责人员录用。

符合情况

测评方法结果记录

Y N O

访谈,检查。安全主管,制度制定和发

布要求管理文档,评审记录,安全管理

制度。

访谈,检查。安全主管,安全管理制度

列表,评审记录。

访谈,检查。人事负责人,人事工作人

相关文档
最新文档