【文章內容簡介】 其最高領導由單位主管領導委任或授權； d) 應制定文件明確安全管理機構各個部門和崗位的職責、分工和技能要求。 2 人員配備（ G3） a) 應配備一定數量的系統管理員、網絡管理員、安全管理員等； b) 應配備專職安全管理員，不可兼任； c) 關鍵事務崗位應配備多人共同管理。 3 授權和審批（ G3） a) 應根據各個部門和崗位的職責明確 授權審批事項 、審批部門和批準人等； b) 應針對系統變更、重要操作、物理訪問和系統接入等事項建立審批程序，按照審批程序執(zhí)行審批過程，對重要活動建立逐級審批制度； c) 應定期審查審批事項，及時更新需授權和審批的項目、審批部門和審批人等信息； d) 應記錄審批過程并保存審批文檔。 5 溝通和合作（ G3） a) 應加強各類管理人員之間、組織內部機構之間以及信息安全職能部門內部的合作與溝通， 定期或不定期召開協調會議，共同協作處理信息安全問題； 20 序號 類別 測評要求 結果記錄 符合情況 b) 應加強與兄弟單位、公安機關、電信公司的合作與溝通； c) 應加強與供應商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通； d) 應建立外聯單位聯系列表，包括外聯單位名稱、合作內容、聯系人和聯系方式等信息； e) 應聘請信息安全專家作為常年的安全顧問，指導信息安全建設，參與安全規(guī)劃和安全評審等。 5 審核和檢查（ G3） a) 安全管理員應負責定期進行安全檢查，檢查內容包括系統日常運行、系統漏洞和數據備份等情況； b) 應由內部人員或上級單位定期進行全面安全檢查，檢查內容包括現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等； c) 應制定安全檢查表格實施安全檢查，匯總安全檢查數據，形成安全檢查報告，并對安全檢查結果進行通報； d) 應制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作，定期按照程序進行安全審核和安全檢查活動。 序號 類別 測評要求 結果記錄 符合情況 1 崗位設置（ G2） a) 應設立安全主管、安全管理各個方面的負責人崗位，并定義各負責人的職責； b) 應設立系統管理員、網絡管理員、安全管理員等崗位，并定義各個工作崗位的職責。 2 人員配備（ G2） a) 應配備一定數量的系統管理員、網絡管理員、安全管理員等； 21 序號 類別 測評要求 結果記錄 符合情況 b) 安全管理員不能兼任網絡管理員、系統管理員、數據庫管理員等。 3 授權和審批（ G2） a) 應根據各個部門和崗位的職責明確授權審批部門及批準人，對系統投入運行、網絡系統接入和重要資源的訪問等關鍵活動進行審批； b) 應針對關鍵活動建立審批流程，并由批準人簽字確認。 4 溝通和合作（ G2） a) 應加強各類管理人員之間、組織內部機構之間以及信息安全職能部門內部的合作與溝通； b) 應加強與兄弟單位、公安機關、電信公司的合作與溝通。 5 審核和檢查（ G2） 安全管理員應負責定期進行安全檢查，檢查內容包括系統日常運行、系統漏洞和數據備份等情況。 配合需求 配合項目 需求說明 訪談 訪談安全主管 查看材料 提供相關審批文件、記錄等 人員安全管理 測評方案和內容 序號 類別 測評要求 結果記錄 符合情況 1 人員錄用（ G3） a) 應指定或授權專門的部門或人員負責人員錄用； b) 應 嚴格 規(guī)范人員錄用過程，對被錄用人的身份、背景、專業(yè)資格和 資質 等進行審查，對其所具有的技術技能進行考 22 序號 類別 測評要求 結果記錄 符合情況 核； c) 應簽署保密協議； d) 應從內部人員中選拔從事關鍵崗位的人員，并簽署崗位安全協議。 2 人員離崗（ G3） a) 應 嚴格 規(guī)范人員離崗過程，及時終止離崗員工的所有訪問權限； b) 應取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備； c) 應辦理嚴格的調離手續(xù)，關鍵崗位人員離崗須承諾調離后的保密義務后方可離開。 3 人員考核（ G3） a) 應定期對各個崗位的人員進行安全技能及安全認知的考核； b) 應對關鍵崗位的人員進行全面、嚴格的安全審查和技能考核； c) 應對考核結果進行記錄并保存。 4 安全意識教育和培訓（ G3） a) 應對各類人員進行安全意識教育、崗位技能培訓和相關安全技術培訓； b) 應對安全責任和懲戒措施進行書面規(guī)定 并告知相關人員，對違反違背安全策略和規(guī)定的人員進行懲戒； c) 應對定期安全教育和培訓進行書面規(guī)定，針對不同崗位制定不同的培訓計劃，對信息安全基礎知識、崗位操作規(guī)程等進行培訓； d) 應對安全教育和培訓的情況和結果進行記錄并歸檔保存。 23 序號 類別 測評要求 結果記錄 符合情況 5 外部人員訪問管理（ G3） a) 應確保在外部人員訪問受控區(qū)域 前先提出書面申請 ，批準后由專人全程陪同或監(jiān)督，并登記備案； b) 對外部人員允許訪問的區(qū)域、系統、設備、信息等內容應進行書面的規(guī)定，并按照規(guī)定執(zhí)行。 序號 類別 測評要求 結果記錄 符合情況 1 人員錄用（ G2） a) 應指定或授權專門的部門或人員負責人員錄用 ； b) 應規(guī)范人員錄用過程，對被錄用人員的身份、背景和 專業(yè) 資格等進行審查， 對其所具有的技術技能進行考核； c) 應與從事關鍵崗位的人員簽署保密協議。 2 人員離崗（ G2） a) 應規(guī)范人員離崗過程， 及時終止離崗員工的所有訪問權限； b) 應取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備； c) 應辦理嚴格的調離手續(xù)。 3 人員考核（ G2） 應定期對各個崗位的人員進行安全技能及安全認知的考核。 4 安全意識教育和培訓（ G2） a) 應對各類人員進行安全意識教育、崗位技能培訓和 相關安全技術培訓； b) 應告知人員相關的安全責任和懲戒措施，并對違反違背安全策略和規(guī)定的人員進行懲戒； c) 應制定安全教育和培訓計劃，對信息安全基礎知識、崗位操作規(guī)程等進行培訓。 5 外部人員訪問管理（ G2） 應確保在外部人員訪問受控區(qū)域前得到授權或審批， 批準后由專人全程陪同或監(jiān)督，并登記備案。 24 配合需求 配合項目 需求說明 訪談 訪談安全主管、人事負負責人 查看材料 提供相關人員資料、離崗調離手續(xù)、外部人員訪問記錄等 系統建設管理 測評方案和內容 序號 類別 測評要求 結果記錄 符合情況 1 系統定級（ G3） a) 應明確信息系統的邊界和安全保護等級； b) 應以書面的形式說明確定信息系統為某個安全保護等級的方法和理由； c) 應組織相關部門和有關安全技術專家對信息系統定級結果的合理性和正確性進行論證和審定； d) 應確保信息系統的定級結果經過相關部門的批準。 2 安全方案設計（ G3） a) 應根據系統的安全保護等級選擇基本安全措施，并依據風險分析的結果補充和調整安全措施； b) 應指定和授權專門的部門對信息系統的安全建設進行總體規(guī)劃，制定近期和遠期的安全建設工作計劃； c) 應根據信息系統的等級劃分情況，統一考慮安全保障體系的總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃和詳細設計方案，并形成配套文件； 25 序號 類別 測評要求 結果記錄 符合情況 d) 應組織相關部門和有關安全技術專家對 總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃、詳細設計方案等相關配套文件 的合理性和正確性進行論證和審定，并且經過批準后，才能正式實施； e) 應根據等級測評、安全評估的結果定期調整和修訂總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃、詳細設計方案等相關配套文件。 3 產品采購和使用（ G3） a) 應確保安全產品采購和使用符合國家的有關規(guī)定； b) 應確保密碼產品采購和使用符合國家密碼主管部門的要求； c) 應指定或授權專門的部門負責產品的采購； d) 應預先對產品進行選型測試，確定產品的候選范圍，并定期審定和更新候選產品名單。 4 自行軟件開發(fā)（ G3） a) 應確保開發(fā)環(huán)境與實際運行環(huán)境物理分開，開發(fā)人員和測試人員分離，測試數據和測試結果受到控制； b) 應制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準則； c) 應制定代碼編寫安全規(guī)范，要求開發(fā)人員參照規(guī)范編寫代碼； d) 應確保提供軟件設計的相關文檔和使用指南，并由專人負責保管； 26 序號 類別 測評要求 結果記錄 符合情況 e) 應確保對程序資源庫的修改、更新、發(fā)布進行授權和批準。 5 外包軟件開發(fā)（ G3） a) 應根據開發(fā)需求檢測軟件質量； b) 應在軟件安裝之前檢測軟件包中可能存在的惡意代碼； c) 應要求開發(fā)單位提供軟件設計的相關文檔和使用指南； d) 應要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門。 6 工程實施（ G3） a) 應指定或授權專門的部門或人員負責工程實施過程的管理； b) 應制定詳細的工程實施方案控制實施過程， 并要求工程實施單位能正式地執(zhí)行安全工程過程； c) 應制定工程實施方面的管理制度，明確說明實施過程的控制方法和人員行為準則。 7 測試驗收（ G3） a) 應委托公正的第三方測試單位對系統進行安全性測試，并出具安全性測試報告； b) 在測試驗收前應根據設計方案或合同要求等制訂測試驗收方案，在測試驗收過程中應詳細記錄測試驗收結果，并形成測試驗收報告； 27 序號 類別 測評要求 結果記錄 符合情況 c) 應對系統測試驗收的控制方法和人員行為準則進行書面規(guī)定； d) 應指定或授權專門的部門負責系統測試驗收的管理，并按照管理規(guī)定的要求完成系統測試驗收工作； e) 應組織相關部門和相關人員對系統測試驗收報告進行審定，并簽字確認。 8 系統交付（ G3） a) 應制定 詳細的 系統交付清單，并根據交付清單對所交接的設備、軟件和文檔等進行清點 b) 應對負責系統運行維護的技術人員進行相應的技能培訓； c) 應確保提供系統建設過程中的文檔和指導用戶進行系統運行維護的文檔； d) 應對系統交付的控制方法和人員行為準則進行書面規(guī)定； e) 應指定或授權專門的部門負責系統交付的管理工作，并按照管理規(guī)定的要求完成系統交付工作。 9 系統備案（ G3） a) 應指定專門的部門或人員負責管理系統定級的相關材料，并控制這些材料的使用； b) 應將系統等級及相關材料報系統主管部門備案； c) 應將系統等級及其他要求的備案材料報相應公安機關備案。 28 序號 類別 測評要求 結果記錄 符合情況 10 等級測評（ G3） a) 在系統運行過程中，應至少每年對系統進行一次等級測評，發(fā)現不符合相應等級保護標準要求的及時整改； b) 應在系統發(fā)生變更時及時對系統進行等級測評，發(fā)現級別發(fā)生變化的及時調整級別并進行安全改造，發(fā)現不符合相應等級保護標準要求的及時整改； c) 應選擇具有國家相關技術資質和安全資質的測評單位進行等級測評； d) 應指定或授權專門的部門或人員負責等級測評的管理。 11 安全服務商選擇（ G3） a) 應確保安全服務商的選擇符合國家的有關規(guī)定； b) 應與選定的安全服務商簽訂與安全相關的協議，明確約定相關責任； c) 應確保選定的安全服務商提供技術培訓和服務承諾，必要的與其簽訂服務合同。 序號 類別 測評要求 結果記錄 符合情況 1 系統定級（ G2） a) 應明確信息系統的邊界和安全保護等級；