信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求-安全測評通用要求之安全管理機(jī)構(gòu)(二)
7.安全管理機(jī)構(gòu)
3 授權(quán)和審批
3.1 測評單元(L2-ORS1-04)
該測評單元包括以下要求:
a)測評指標(biāo):應(yīng)根據(jù)各個部門和崗位的職責(zé)明確授權(quán)審批事項、審批部門和批準(zhǔn)人等。
b)測評對象:管理制度類文檔和記錄表單類文檔。
c)測評實施包括以下內(nèi)容:
1)應(yīng)核查部門職責(zé)文檔是否明確各部門審批事項;
2)應(yīng)核查崗位職責(zé)文檔是否明確各崗位審批事項。
d)單元判定:如果1)和2)均為肯定,則符合本測評單元指標(biāo)要求,否則不符合或部分符合本測評單元指標(biāo)要求。
3.2 測評單元(L2-ORS1-05)
該測評單元包括以下要求:
a)應(yīng)針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項執(zhí)行審批過程測評指標(biāo)。
b)測評對象:記錄表單類文檔。
c)測評實施:應(yīng)核查各類審批記錄是否針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項進(jìn)行審批。
d)單元判定:如果以上測評實施內(nèi)容,則符合本測評單元指標(biāo)要求,否則不符合本測評單元指標(biāo)要求。
4 溝通和合作
4.1 測評單元(L2-ORS1-06)
該測評單元包括以下要求:
a)測評指標(biāo):應(yīng)加強(qiáng)各類管理人員、組織內(nèi)部機(jī)構(gòu)和網(wǎng)絡(luò)安全管理部門之間的合作與溝通,定期召開協(xié)調(diào)會議,共同協(xié)作處理網(wǎng)絡(luò)安全問題。
b)測評對象:信息/網(wǎng)絡(luò)安全主管和記錄表單類文檔。
c)測評實施包括以下內(nèi)容:
1)應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否建立了各類管理人員,組織內(nèi)部機(jī)構(gòu)和網(wǎng)絡(luò)安全管理部門之間的合作與溝通機(jī)制。
2)應(yīng)核查會議記錄是否明確各類管理人員、組織內(nèi)部機(jī)構(gòu)和網(wǎng)絡(luò)安全管理部門之同開展了合作與溝通。
d)單元判定:如果1)和2)均為肯定,則符合本測評單元指標(biāo)要求,否則不符合或部分符合本測評單元指標(biāo)要求。
4.2 測評單元(L2-ORS1-07)
該測評單元包括以下要求:
a)測評指標(biāo):應(yīng)加強(qiáng)與網(wǎng)絡(luò)安全職能部門|、各類供應(yīng)商、業(yè)界專家及安全組織的合作與溝通。
b)測評對象:信息/網(wǎng)絡(luò)安全主管和記錄表單類文檔。
c)測評實施包括以下內(nèi)容:
1)應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否建立了與網(wǎng)絡(luò)安全職能部門、各類供應(yīng)商、業(yè)界專家及安全組織的合作與溝通機(jī)制。
2)應(yīng)核查會議記錄是否明確了與網(wǎng)絡(luò)安全職能部門、各類供應(yīng)商、業(yè)界專家及安全組織是否開展了合作與溝通。
d)單元判定:如果1)和2)均為肯定,則符合本測評單元指標(biāo)要求,否則不符合或部分符合本測評單元指標(biāo)要求。
4.3 測評單元(L2-ORS1-08)
該測評單元包括以下要求:
a)測評指標(biāo):應(yīng)建立外聯(lián)單位聯(lián)系列表,包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息.
b)測評對象:記錄表單類文檔。
c)測評實施:應(yīng)核查外聯(lián)單位聯(lián)系列表是否記錄了外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息。
d)單元判定:如果以上測評實施內(nèi)容,則符合本測評單元指標(biāo)要求,否則不符合本測評單元指標(biāo)要求。
5 審核和檢查
5.1 測評單元(L2-ORS1-09)
該測評單元包括以下要求:
a)測評指標(biāo):應(yīng)定期進(jìn)行常規(guī)安全檢查,檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。
b)測評對象:信息/網(wǎng)絡(luò)安全主管和記錄表單類文檔。
c)測評實施包括以下內(nèi)容:
1)應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否定期進(jìn)行了常規(guī)安全檢查;
2)應(yīng)核查常規(guī)安全核查記錄是否包括了系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù) 備份等情況。
d)單元判定:如果1)和2)均為肯定,則符合本測評單元指標(biāo)要求,否則不符合或部分符合本測評單元指標(biāo)要求。