45-SGISLOP-SA86-10 安全管理机构等级保护测评作业指导书(三级)

信息安全等级保护测评作业指导书安全管理机构（三级）版号：第2版修改次数：第0次生效日期：2010年01月06日中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA86-10中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA86-10第1页共15页安全管理机构等级保护测评作业指导书（三级）第2版第0次修订发布日期：2010年01月06日修改页修订号控制编号版号/章节号修改人修订原因批准人批准日期备注1SGISL/OP-SA86-10吕晓东按公安部要求修订詹雄2010.3.8中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA86-10第2页共15页安全管理机构等级保护测评作业指导书（三级）第2版第0次修订发布日期：2010年01月06日一、安全管理机构1．岗位设置测评项编号ADT-GLJG-01-a对应要求应设立信息安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，定义各负责人的职责；测评项名称岗位设置测评分项1：检查信息安全管理工作的职能部门。操作步骤访谈安全主管，询问是否设立安全管理机构（即信息安全管理工作的职能部门，可以由其它部门兼职）；机构内部门设置情况如何；是否明确机构内各部门的职责分工（G3、G4）；适用版本任何版本实施风险无符合性判定具有信息安全领导小组、责任人，并且具有职能部门，设立了安全各岗位责任人，则本项符合。备注测评项编号ADT-GLJG-01-b对应要求应设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责；测评项名称岗位设置测评分项1：检查信息安全管理机构的岗位设置情况。操作步骤访谈安全主管，询问是否设立安全管理各个方面的负责人，设置了哪些工作岗位（如安全主管、安全管理各个方面的负责人、系统管理员、网络管理员和安全管理员等重要岗位），是否明确各个岗位的职责分工；中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA86-10第3页共15页安全管理机构等级保护测评作业指导书（三级）第2版第0次修订发布日期：2010年01月06日适用版本任何版本实施风险无符合性判定设立了系统管理员、网络管理员、安全管理员等岗位，则本项符合，否则为不符合。测评分项2：询问各安全岗位职责包括哪些内容操作步骤访谈安全主管、安全管理某方面的负责人、信息安全管理委员会或领导小组日常管理工作的负责人、系统管理员、网络管理员和安全管理员，询问其岗位职责包括哪些内容；适用版本任何版本实施风险无符合性判定定义了系统管理员、网络管理员、安全管理员等岗位职责，则本项符合，否则为不符合。备注测评项编号ADT-GLJG-01-c对应要求应成立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领导委任或授权；测评项名称岗位设置测评分项1：检查信息安全管理机构的岗位设置情况。操作步骤访谈安全主管，询问是否设立指导和管理信息安全工作的委员会或领导小组，其最高领导是否由单位主管领导委任或授权的人员担任（G3、G4）；中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA86-10第4页共15页安全管理机构等级保护测评作业指导书（三级）第2版第0次修订发布日期：2010年01月06日适用版本任何版本实施风险无符合性判定有信息安全领导小组、最高领导由主管领导或授权人担任则此项符合，缺一项即为不符合，判定结果为不符合。测评分项2：检查信息安全管理机构的文件具备情况。操作步骤检查信息安全管理委员会或领导小组是否具有单位主管领导对其最高领导的委任授权书；检查信息安全管理委员会职责文件，查看是否明确描述委员会的职责和其最高领导岗位的职责；检查安全管理各部门和信息安全管理委员会或领导小组是否具有日常管理工作执行情况的文件或工作记录（如会议记录/纪要和信息安全工作决策文档等）；适用版本任何版本实施风险无符合性判定有授权文件、有职责文件、安全会议文件记录等，则此项符合，缺一项即为不符合，判定结果为不符合。备注中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA86-10第5页共15页安全管理机构等级保护测评作业指导书（三级）第2版第0次修订发布日期：2010年01月06日测评项编号ADT-GLJG-01-d对应要求应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求；测评项名称岗位设置测评分项1：检查信息安全管理机构的岗位设置情况。操作步骤检查部门、岗位职责文件，查看文件是否明确安全管理机构的职责，是否明确机构内各部门的职责和分工，部门职责是否涵盖物理、网络和系统等各个方面；查看文件是否明确设置安全主管、安全管理各个方面的负责人、系统管理员、网络管理员和安全管理员等各个岗位，各个岗位的职责范围是否清晰、明确；查看文件是否明确各个岗位人员应具有的技能要求；适用版本任何版本实施风险无符合性判定具有相关文件，规定安全管理机构的职责和岗位分工、技能要求等，则此项符合，否则为不符合。备注2．人员配置测评项编号ADT-GLJG-02-a对应要求应配备一定数量的系统管理员、网络管理员和安全管理员等；测评项名称人员配置测评分项1：检查信息安全管理机构的人员配置情况。操作步骤访谈安全主管，询问各个安全管理岗位人员配备情况（按照岗位职责文件询问，包括系统管理员、网络管理员、数据库管理员和安全管理员等重要岗位人员），包括数量、专职还是兼职等；适用版本任何版本中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA86-10第6页共15页安全管理机构等级保护测评作业指导书（三级）第2版第0次修订发布日期：2010年01月06日实施风险无符合性判定具有信息安全领导小组、责任人，并且有职能部门，设立了安全各岗位责任人，则本项符合。备注测评项编号ADT-GLJG-02-b对应要求应配备专职安全管理员，不可兼任；测评项名称人员配置测评分项1：检查信息安全管理机构的人员配置情况。操作步骤检查人员配备要求的相关文档，查看是否明确应配备哪些安全管理人员，是否包括系统管理员、数据库管理员、网络管理员、安全管理员等重要岗位人员并明确应配备专职的安全管理员；查看是否明确对哪些关键事务岗位（应有列表）的管理人员应配备2人或2人以上共同管理；检查安全管理人员名单，查看其是否明确系统管理员、网络管理员、数据库管理员和安全管理员等重要岗位人员的信息，确认安全管理员是否没有兼任网络管理员、系统管理员、数据库管理员等，并确认安全员是否是专职人员。适用版本任何版本实施风险无符合性判定安全管理员为专职人员，未兼任，则本项符合，兼任即为不符合。备注中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA86-10第7页共15页安全管理机构等级保护测评作业指导书（三级）第2版第0次修订发布日期：2010年01月06日测评项编号ADT-GLJG-02-c对应要求关键事务岗位应配备多人共同管理；测评项名称人员配置测评分项1：检查信息安全管理机构的人员配置情况。操作步骤访谈安全主管，询问其对关键事务岗位是否配备2人或2人以上共同管理，相互监督和制约；适用版本任何版本实施风险无符合性判定具有关键岗位列表，且配备两人以上共同管理，则本项符合，否则为不符合。备注3、授权和审批测评项编号ADT-GLJG-03-a对应要求应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等；测评项名称授权和审批测评分项1：检查信息安全管理制定中对于授权和审批的规定情况。操作步骤访谈安全主管，询问其是否需要对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批，审批部门是何部门，批准人是何人，他们的审批活动是否得到授权；询问是否定期审查、更新审批项目，审查周期多长；应访谈重要活动的批准人，询问其对重要活动的审批范围包括哪些（如系统变更、重要操作、物理访问和系统接入，重要管理制度的制定和发布，人员的配备、培训，产品的采购，外部人员的访问、管理，与合作单位的合作项目等），审批程序如何；适用版本任何版本中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA86-10第8页共15页安全管理机构等级保护测评作业指导书（三级）第2版第0次修订发布日期：2010年01月06日实施风险无符合性判定有关键活动的审批、审批部门、批准人、授权人、有周期且记录周期相同，则此项符合，否则为不符合。备注测评项编号ADT-GLJG-03-b对应要求应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度；测评项名称授权和审批测评分项1：检查信息安全管理制定中对于授权和审批的规定情况。操作步骤检查是否有相关文档根据各个部门和岗位的职责明确须审批事项、审批部门和批准人及审批程序等；检查授权管理文件，查看文件是否包含需审批事项列表，列表是否明确审批事项和逐级审批事项、审批部门、批准人及审批程序等（如列表说明哪些事项应经过信息安全领导小组审批，哪些事项应经过安全管理机构审批，哪些关键活动应经过哪些部门逐级审批等）等（G3、G4）；检查经逐级审批的文档，查看是否具有逐级批准人的签字和审批部门的盖章；适用版本任何版本实施风险无符合性判定有关键活动的审批、审批部门、批准人、授权人、有周期且记录周期相同，则此项符合，否则为不符合。备注中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA86-10第9页共15页安全管理机构等级保护测评作业指导书（三级）第2版第0次修订发布日期：2010年01月06日测评项编号ADT-GLJG-03-c对应要求应定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息；测评项名称授权和审批测评分项1：检查信息安全管理制定中对于授权和审批的规定情况。操作步骤检查授权管理文件，查看文件是否说明应定期审查、更新需审批的项目、审批部门、审批人和审查周期等；检查审查记录，查看记录日期是否与审查周期一致；适用版本任何版本实施风险无符合性判定有授权管理文件，且包含审查内容，则此项符合，否则为不符合。备注测评项编号ADT-GLJG-03-d对应要求应记录审批过程并保存审批文档；测评项名称授权和审批测评分项1：检查信息安全管理制定中对于授权和审批的规定情况。操作步骤检查经逐级审批的文档，查看是否具有逐级批准人的签字和审批部门的盖章；检查关键活动的审批过程记录，查看记录的审批程序与文件要求是否一致；检查审查记录，查看记录日期是否与审查周期一致；检查是否具有对不再适用的权限及时取消授权的记录。适用版本任何版本实施风险无符合性判定有经审批文档、审批记录、逐级审批记录等，且满足要求，则此项符合，否则为不符合。中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA86-10第10页共15页安全管理机构等级保护测评作业指导书（三级）第2版第0次修订发布日期：2010年01月06日备注4、沟通和合作测评项编号ADT-GLJG-04-a对应要求应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通，定期或不定期召开协调会议，共同协助处理信息安全问题；测评项名称沟通和合作测评分项1：检查安全管理制度中对于沟通和合作的要求。操作步骤访谈安全主管，询问是否建立与，与组织机构内其它部门之间及内部各部门管理人员之间的沟通、合作机制，有哪些合作内容，沟通、合作方式有哪些；访谈安全主管，询问是否召开过部门间协调会议，组织其它部门人员共同协助处理信息系统安全有关问题，安全管理机构内部是否召开过安全工作会议部署安全工作的实施，参加会议的部门和人员有哪些，会议结果如何；访谈安全管理人员（从系统管理员和安全管理员等人员中抽查），询问其与外单位人员、与组织机构内其他部门人员，与内部其他管理人员之间的沟通方式和主要沟通内容有哪些；检查部门间协调会议文件或会议记录，查看是否有会议内容、会议时间、参加人员、会议结果等的描述；检查安全工作会议文件或会议记录，查看是否有会议内容、会议时间、参加人员、会议结果等的描述；适用版本任何版本实施风险无符合性判定