7.安全管理機(jī)構(gòu)

3 授權(quán)和審批

3.1 測評單元(L2-ORS1-04)

該測評單元包括以下要求:

a)測評指標(biāo):應(yīng)根據(jù)各個部門和崗位的職責(zé)明確授權(quán)審批事項、審批部門和批準(zhǔn)人等。

b)測評對象:管理制度類文檔和記錄表單類文檔。

c)測評實施包括以下內(nèi)容：

  1)應(yīng)核查部門職責(zé)文檔是否明確各部門審批事項；

  2)應(yīng)核查崗位職責(zé)文檔是否明確各崗位審批事項。

d)單元判定:如果1)和2)均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。

3.2 測評單元(L2-ORS1-05)

該測評單元包括以下要求:

a)應(yīng)針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項執(zhí)行審批過程測評指標(biāo)。

b)測評對象:記錄表單類文檔。

c)測評實施:應(yīng)核查各類審批記錄是否針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項進(jìn)行審批。

d)單元判定:如果以上測評實施內(nèi)容，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。

4 溝通和合作

4.1 測評單元(L2-ORS1-06)

該測評單元包括以下要求:

a)測評指標(biāo):應(yīng)加強(qiáng)各類管理人員、組織內(nèi)部機(jī)構(gòu)和網(wǎng)絡(luò)安全管理部門之間的合作與溝通，定期召開協(xié)調(diào)會議，共同協(xié)作處理網(wǎng)絡(luò)安全問題。

b)測評對象:信息/網(wǎng)絡(luò)安全主管和記錄表單類文檔。

c)測評實施包括以下內(nèi)容：

  1)應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否建立了各類管理人員，組織內(nèi)部機(jī)構(gòu)和網(wǎng)絡(luò)安全管理部門之間的合作與溝通機(jī)制。

  2)應(yīng)核查會議記錄是否明確各類管理人員、組織內(nèi)部機(jī)構(gòu)和網(wǎng)絡(luò)安全管理部門之同開展了合作與溝通。

d)單元判定:如果1)和2)均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。

4.2 測評單元(L2-ORS1-07)

該測評單元包括以下要求:

a)測評指標(biāo):應(yīng)加強(qiáng)與網(wǎng)絡(luò)安全職能部門|、各類供應(yīng)商、業(yè)界專家及安全組織的合作與溝通。

b)測評對象:信息/網(wǎng)絡(luò)安全主管和記錄表單類文檔。

c)測評實施包括以下內(nèi)容：

  1)應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否建立了與網(wǎng)絡(luò)安全職能部門、各類供應(yīng)商、業(yè)界專家及安全組織的合作與溝通機(jī)制。

  2)應(yīng)核查會議記錄是否明確了與網(wǎng)絡(luò)安全職能部門、各類供應(yīng)商、業(yè)界專家及安全組織是否開展了合作與溝通。

d)單元判定:如果1)和2)均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。

4.3 測評單元(L2-ORS1-08)

該測評單元包括以下要求:

a)測評指標(biāo):應(yīng)建立外聯(lián)單位聯(lián)系列表,包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息.

b)測評對象:記錄表單類文檔。

c)測評實施:應(yīng)核查外聯(lián)單位聯(lián)系列表是否記錄了外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息。

d)單元判定:如果以上測評實施內(nèi)容,則符合本測評單元指標(biāo)要求,否則不符合本測評單元指標(biāo)要求。

5 審核和檢查

5.1 測評單元(L2-ORS1-09)

該測評單元包括以下要求:

a)測評指標(biāo):應(yīng)定期進(jìn)行常規(guī)安全檢查,檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。

b)測評對象:信息/網(wǎng)絡(luò)安全主管和記錄表單類文檔。

c)測評實施包括以下內(nèi)容：

  1)應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否定期進(jìn)行了常規(guī)安全檢查;

  2)應(yīng)核查常規(guī)安全核查記錄是否包括了系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù) 備份等情況。

d)單元判定:如果1)和2)均為肯定,則符合本測評單元指標(biāo)要求,否則不符合或部分符合本測評單元指標(biāo)要求。