43-SGISLOP-SA83-10 安全管理制度等级保护测评作业指导书(四级)

信息安全等级保护测评作业指导书安全管理制度版号：第2版修改次数：第0次生效日期：2010年01月06日中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA83-10中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA83-10第1页共8页安全管理制度等级保护测评作业指导书（三级）第2版第0次修订发布日期：2010年01月06日修改页修订号控制编号版号/章节号修改人修订原因批准人批准日期备注1SGISL/OP-SA83-10吕晓东按公安部要求修订詹雄2010.3.8中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA83-10第2页共8页安全管理制度等级保护测评作业指导书（三级）第2版第0次修订发布日期：2010年01月06日一、安全管理制度1．管理制度测评项编号ADT-AQGL—01-a对应要求应制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架等；测评项名称管理制度测评分项1：检查安全方针和策略的制定情况。信息安全方针政策是最高层的安全文件，阐明安全工作的使命和意愿，定义信息安全的总体目标，规定信息安全管理的责任机构及其职责，以及建立的适用的安全工作运行模式等。操作步骤访谈安全主管，询问是否制定信息安全工作的总体方针和安全策略，是否制定安全管理制度规范日常管理活动；检查总体方针、政策性文件和安全策略文件，查看文件是否明确机构安全工作的总体目标、范围、原则和安全框架等；适用版本任何版本实施风险无符合性判定有总体方针或安全策略，且包括了信息安全的目标、范围、原则、框架，则此项符合，否则为不符合。备注测评项编号ADT-AQGL—01-b对应要求应对安全管理活动中的各类管理内容建立安全管理制度；测评项名称管理制度测评分项1：检查安全管理制度的制定情况。安全管理制度是以安全方针政策性文件为指导，对信息系统的建设、开发、运维、升级和改造等各个阶段和环节所应当遵循的行为加以规范。操作步骤检查安全管理制度清单，查看是否覆盖物理、网络、主机系统、数据、应用和管理等层面；中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA83-10第3页共8页安全管理制度等级保护测评作业指导书（三级）第2版第0次修订发布日期：2010年01月06日适用版本任何版本实施风险无符合性判定管理制度清单包括物理、网络、主机、数据、应用、管理层等内容，则此项符合，否则为不符合。备注测评项编号ADT-AQGL—01-c对应要求应对要求管理人员或操作人员执行的日常管理操作建立操作规程；测评项名称管理制度测评分项1：检查安全操作规程的制定情况。操作步骤检查是否具有日常管理操作的操作规程，如系统维护手册和用户操作规程等；适用版本任何版本实施风险无符合性判定具有日常管理的操作规程则本项符合，否则为不符合。备注测评项编号ADT-AQGL—01-d对应要求应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系；测评项名称管理制度中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA83-10第4页共8页安全管理制度等级保护测评作业指导书（三级）第2版第0次修订发布日期：2010年01月06日测评分项1：检查安全管理制度体系建设情况。操作步骤访谈安全主管，询问机构的制度体系是否由安全策略、管理制度、操作规程等构成。适用版本任何版本实施风险无符合性判定管理制度体系包括安全策略、管理制度、操作规程则本项符合，否则为不符合。备注2．制定和发布测评项编号ADT-AQGL—02-a对应要求应指定或授权专门的部门或人员负责安全管理制度的制定；测评项名称制定和发布测评分项1：检查安全管理制度负责部门。操作步骤访谈安全主管，询问是否有专门的部门或人员负责制订安全管理制度，是什么部门或负责人是何人；查看文档：查看是否有“负责安全管理制度制定的部门或人员的授权书”。适用版本任何版本实施风险无符合性判定格式统一、具有版本标示和密级，则此项符合，否则为不符合。备注中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA83-10第5页共8页安全管理制度等级保护测评作业指导书（三级）第2版第0次修订发布日期：2010年01月06日测评项编号ADT-AQGL—02-b对应要求安全管理制度应具有统一的格式，并进行版本控制；测评项名称制定和发布测评分项1：检查安全管理制度的格式和版本控制。操作步骤访谈管理人员（负责制定管理制度的人员），询问安全管理制度的制定程序，是否对制定的安全管理制度进行论证和审定，论证和审定方式如何（如召开评审会、函审、内部审核等），是否按照统一的格式标准或要求制定，对有密级的管理制度如何控制使用，是否采取相应措施有效管理；发布方式有哪些；检查制度制定和发布要求管理文档，查看文档是否说明安全管理制度的制定和发布程序、格式要求、版本编号和密级标注等相关内容；检查安全管理制度文档，查看是否注明适用和发布范围，是否有版本标识，是否有密级标注，是否有管理层的签字或盖章；查看其格式是否统一；适用版本任何版本实施风险无符合性判定格式统一、具有版本标示和密级，则此项符合，否则为不符合。备注测评项编号ADT-AQGL—02-c对应要求应组织相关人员对制定的安全管理制度进行论证和审定；测评项名称制定和发布测评分项1：检查安全管理制度的论证情况。操作步骤访谈管理人员（负责制定管理制度的人员），询问安全管理制度的制定程序，是否对制定的安全管理制度进行论证和审定，论证和审定方式如何（如召开评审会、函审、内部审核等），是否按照统一的格式标准中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA83-10第6页共8页安全管理制度等级保护测评作业指导书（三级）第2版第0次修订发布日期：2010年01月06日或要求制定，对有密级的管理制度如何控制使用，是否采取相应措施有效管理；发布方式有哪些；检查管理制度评审记录，查看是否具有相关人员的评审意见；适用版本任何版本实施风险无符合性判定定期召开评审会，有评审记录，则此项符合，否则为不符合。备注测评项编号ADT-AQGL—02-d对应要求安全管理制度应通过正式、有效的方式发布；测评项名称制定和发布测评分项1：检查安全管理制度的制定和发布情况。操作步骤访谈管理人员（负责制定管理制度的人员），询问安全管理制度的制定程序，是否对制定的安全管理制度进行论证和审定，论证和审定方式如何（如召开评审会、函审、内部审核等），是否按照统一的格式标准或要求制定，对有密级的管理制度如何控制使用，是否采取相应措施有效管理；发布方式有哪些；检查制度制定和发布要求管理文档，查看文档是否说明安全管理制度的制定和发布程序、格式要求、版本编号和密级标注等相关内容；检查安全管理制度文档，查看是否注明适用和发布范围，是否有版本标识，是否有密级标注，是否有管理层的签字或盖章；查看其格式是否统一；检查安全管理制度的收发登记记录，查看收发是否符合规定程序和发布范围要求；适用版本任何版本中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA83-10第7页共8页安全管理制度等级保护测评作业指导书（三级）第2版第0次修订发布日期：2010年01月06日实施风险无符合性判定具有发布程序、明确发布范围、发布的文档有领导签章，则此项符合，否则为不符合。测评项编号ADT-AQGL—02-e对应要求安全管理制度应注明发布范围，并对收发文进行登记；测评项名称制定和发布测评分项1：检查安全管理制度的制定和发布情况。操作步骤检查安全管理制度文档，查看是否注明适用和发布范围检查安全管理制度的收发登记记录，查看收发是否符合规定程序和发布范围要求；适用版本任何版本实施风险无符合性判定有明确发布范围、有收发登记，则此项符合，否则为不符合。备注3．评审和修订测评项编号ADT-AQGL—03-a对应要求信息安全领导小组负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定；测评项名称评审和修订测评分项1：检查安全管理制度的评审责任部门。操作步骤访谈安全主管，询问是否定期或不定期对安全管理制度进行评审，是否对其合理性和适用性进行审定（如系统发生重大安全事故、出现新的中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA83-10第8页共8页安全管理制度等级保护测评作业指导书（三级）第2版第0次修订发布日期：2010年01月06日安全漏洞以及技术基础结构和组织机构结构等发生变更时）；检查安全管理制度评审记录，查看记录日期与评审周期是否一致；适用版本任何版本实施风险无符合性判定如果定期或不定期评审，且符合周期，则此项符合，没有评审则此项不符合。备注测评项编号ADT-AQGL—03-b对应要求应定期或不定期对安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度进行修订；测评项名称评审和修订测评分项1：检查安全管理制度的评审和修订情况。操作步骤访谈安全主管，询问是否在管理制度审定结果为不适用时，对需要改进的制度是否进行修订，由何部门/何人负责；访谈负责评审、修订和维护的人员：是否对管理制度进行评审，定期或不定期。是够对现有管理制度进行过修订。检查安全管理制度评审记录，查看记录日期与评审周期是否一致；如果对制度做过修订，检查是否有修订版本的安全管理制度；检查是否具有系统发生重大安全事故、出现新的安全漏洞以及技术基础结构等发生变更时对安全管理制度进行审定和修改的记录；适用版本任何版本实施风险无符合性判定有修订制度，修订部门，评审周期一致，且有对重大事故、变更后的评审，则此项符合。备注