目录
[1 安全策略](#1 安全策略)
[2 管理制度](#2 管理制度)
[3 制定和发布](#3 制定和发布)
[4 评审和修订](#4 评审和修订)
1 安全策略
应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。
测评方法:
应核查网络安全工作的总体方针和安全策略文件是否明确机构安全工作的总体目标、范围、原则和各类安全策略。
2 管理制度
a)应对安全管理活动中的各类管理内容建立安全管理制度。
测评方法:
应核查各项安全管理制度是否覆盖物理、网络、主机系统、数据、应用、建设和运维等管理内容。
b)应对管理人员或操作人员执行的日常管理操作建立操作规程。
测评方法:
应核查是否具有日常管理操作的操作规程,如系统维护手册和用户操作规程等。
c)应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。
测评方法:
应核查总体方针策略文件、管理制度和操作规程、记录表单是否全面且具有关联性和一致性。
3 制定和发布
a)应指定或授权专门的部门或人员负责安全管理制度的制定。
测评方法:
应核查是否由专门的部门或人员负责制定安全管理制度。
b)安全管理制度应通过正式、有效的方式发布,并进行版本控制
测评方法:
1)应核查制度制定和发布要求管理文档是否说明安全管理制度的制定和发布程序、格式要求及版本编号等相关内容
2)应核查安全管理制度的收发登记记录是否通过正式、有效的方式收发,如正式发文、领导签署和单位盖章等
4 评审和修订
应定期对安全管理制度的合理性和适用性进行论证和审定对存在不足或需要改进的安全管理制度进行修订。
测评方法:
1)应访谈信息/网络安全主管是否定期对安全管理制度的合理性和适用性进行审定;
2)应核查是否具有安全管理制度的审定或论证记录,如果对制度做过修订,核查是否有修订版本的安全管理制度。