4SGISLOP-SA810安全管理制度等级保护测评作业指导书二级

控制编号：SGISL/OP-SA82-10信息安全等级保护测评作业指导书安全管理制度（二级）#:痴联次日改效版修生版次月

#:痴联次日改效版修生版次月

2001

第第年中国电力科学研究院信息安全实验室中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA82-10第1页共6页安全管理制度等级保护测评作业指导书（二级）第2版第0次修订发布日期：2010年01月06日修改页修订号控制编号版号/章节号修改人修订原因批准人批准日期备注1SGISLOP-SA82-10吕晓东按公安部要求修订詹雄2010.3.8

中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA82-10第2页共6页安全管理制度等级保护测评作业指导书（二级）第2版第0次修订发布日期：2010年01月06日一、安全管理制度1.管理制度测评项编号ADT-AQGL—01-a对应要求应制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架等；测评项名称管理制度测评分项1:1信息安全方专的总体目标，行模式等。险查安全方针和策略的制定情况。•政策是最高层的安全文件，阐明安全工作的使命和意愿，定义信息安全规定信息安全管理的责任机构及其职责，以及建立的适用的安全工作运操作步骤访谈安全主管，询问是否制定信息安全工作的总体方针和安全策略，是否制定安全管理制度规范日常管理活动；检查总体方针、政策性文件和安全策略文件，查看文件是否明确机构安全工作的总体目标、范围、原则和安全框架等；适用版本任何版本实施风险无符合性判定有总体方针或安全策略，且包括了信息安全的目标、范围、原则、框架，则此项符合，否则为不符合。备注测评项编号ADT-AQGL—01-b对应要求应对安全管理活动中的各类管理内容建立安全管理制度；测评项名称管理制度测评分项1:）安全管理制度级和改造等有检查安全管理制度的制定情况。£是以安全方针政策性文件为指导，对信息系统的建设、开发、运维、升r个阶段和环节所应当遵循的行为加以规范。操作步骤检查安全管理制度清单，查看是否覆盖物理、网络、主机系统、数据、应用和管理等层面；

中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA82-10第3页共6页安全管理制度等级保护测评作业指导书（二级）第2版第0次修订发布日期：2010年01月06日适用版本任何版本实施风险无符合性判定管理制度清单包括物理、网络、主机、数据、应用、管理层等内容，则此项符合，否则为不符合。备注测评项编号ADT-AQGL—01-C对应要求应对要求管理人员或操作人员执行的日常管理操作建立操作规程；测评项名称管理制度测评分项1:检查安全操作规程的制定情况。操作步骤检查是否具有日常管理操作的操作规程，如系统维护手册和用户操作规程等；适用版本任何版本实施风险无符合性判定具有日常管理的操作规程则本项符合，否则为不符合。备注2.制定和发布测评项编号ADT-AQGL—02-a对应要求应指定或授权专门的部门或人员负责安全管理制度的制定；

中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA82-10第4页共6页安全管理制度等级保护测评作业指导书（二级）第2版第0次修订发布日期：2010年01月06日测评项名称制定和发布测评分项1:检查安全管理制度负责部门。操作步骤访谈安全主管，询问是否有专门的部门或人员负责制订安全管理制度，是什么部门或负责人是何人；查看文档：查看是否有“负责安全管理制度制定的部门或人员的授权书适用版本任何版本实施风险无符合性判定格式统一、具有版本标示和密级，则此项符合，否则为不符合。备注测评项编号ADT-AQGL—02-c对应要求应组织相关人员对制定的安全管理制度进行论证和审定；测评项名称制定和发布测评分项1:检查安全管理制度的论证情况。操作步骤访谈管理人员（负责制定管理制度的人员），询问安全管理制度的制定程序，是否对制定的安全管理制度进行论证和审定，论证和审定方式如何（如召开评审会、函审、内部审核等），是否按照统一的格式标准或要求制定，对有密级的管理制度如何控制使用，是否采取相应措施有效管理；发布方式有哪些；检查管理制度评审记录，查看是否具有相关人员的评审意见；适用版本任何版本

中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA82-10第5页共6页安全管理制度等级保护测评作业指导书（二级）第2版第0次修订发布日期：2010年01月06日实施风险 无符合性判定定期召开评审会，有评审记录，则此项符合，否则为不符合。备注测评项编号ADT-AQGL—02-c对应要求应将安全管理制度以某种方式发布到相关人员手中；测评项名称制定和发布测评分项1:检查安全管理制度的发布情况。操作步骤访谈管理人员（负责制定管理制度的人员），询问安全管理制度的制定程序，是否对制定的安全管理制度进行论证和审定，论证和审定方式如何（如召开评审会、函审、内部审核等），是否按照统一的格式标准或要求制定，对有密级的管理制度如何控制使用，是否采取相应措施有效管理；发布方式有哪些、；适用版本任何版本实施风险无符合性判定具有发布程序、明确发布范围、发布的文档有领导签章，则此项符合，否则为不符合。备注

中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA82-10第6页共6页安全管理制度等级保护测评作业指导书（二级）第2版第0次修订发布日期：2010年01月06日评审和修订测评项编号ADT-AQGL—03-b对应要求应定期对安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度进行修订；测评项名称评审和修订测评分项1:检查安全管理制度的评审和修订情况。操作步骤访谈安全主管，询问是否在管理制度审定结果为不适用时，对需要改进的制度是否进行修订，由何部门/何人负责；访谈负责评审、修订和维护的人员：是否对管理制度进行评审，定期或不定期？是够对现有管理制度进行过修订？检查安全管理制度评审记录，查看记录日期与评审周期是否一致；如果对制度做过修订