【正文】 評估資產(chǎn)：評估指標： n 1）應指定或授權專門的部門或人員負責安全管理制度的制定；n 2）應組織相關人員對制定的安全管理制度進行論證和審定；n 3）應將安全管理制度以某種方式發(fā)布到相關人員手中。評估方式： 專家訪談,文檔審核評估對象： 安全主管,制度制定和發(fā)布要求管理文檔,評審記錄,安全管理制度。評估方法：a) 訪談安全主管，詢問是否有專門的部門或人員負責制定安全管理制度； b) 訪談安全管理制度制、修訂人員，詢問安全管理制度的制定程序和發(fā)布方式，是否對制定的 安全管理制度進行論證和審定，論證和評審方式如何； c) 檢查管理制度評審記錄，查看是否有相關人員的評審意見。判定標準：如以上 a）c）均為肯定，則信息系統(tǒng)符合本單元評估指標要求，否則，信息系統(tǒng)不符合 或部分符合本單元評估指標要求。 測試結果：（根據(jù)評估方法，應寫明每種評估方法的評估結果，最后根據(jù)判定標準寫明本評估項是否符合，如果有多個評估指標，每個指標都應當說明是否符合。如果根據(jù)信息系統(tǒng)實際情況，相關評估指標不適用，請注明“不適用”并說明原因。）評估項編號：評估項目： 評審和修訂評估資產(chǎn)：評估指標： 定期對安全管理制度進行評審和修訂,對存在不足或需要改進的安全管理制 度進行修訂。評估方式： 專家訪談,文檔審核評估對象： 安全主管,安全管理制度列表,評審記錄。評估方法：a) 訪談安全主管，詢問是否定期對安全管理制度進行評審，評審周期多長，發(fā)現(xiàn)存在不足或需要改進的是否進行修訂； b) 檢查安全管理制度評審記錄，查看記錄的日期間隔與評審周期是否一致；如果對制度做過修訂，檢查是否有修訂版本的安全管理制度。判定標準：上述 a）和 b）均為肯定，則信息系統(tǒng)符合本單元評估指標要求，否則，信息系統(tǒng)不符合或部分符合本單元評估指標要求。測試結果：（根據(jù)評估方法，應寫明每種評估方法的評估結果，最后根據(jù)判定標準寫明本評估項是否符合，如果有多個評估指標，每個指標都應當說明是否符合。如果根據(jù)信息系統(tǒng)實際情況，相關評估指標不適用，請注明“不適用”并說明原因。）l 安全管理機構評估項編號：評估項目：崗位設置評估資產(chǎn)：評估指標： 1）應設立安全主管、安全管理各個方面的負責人崗位，并定義各負責人的職責； 2）設立系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等崗位，并定義各個工作崗位的職責。 評估方式： 專家訪談,文檔審核評估對象： 安全主管、安全管理方面的負責人、崗位職責文檔評估方法：a) 訪談安全主管，詢問設置了哪些工作崗位，各個崗位的職責分工是否明確；詢問是否設立安全管理各個方面的負責人； b) 應訪談安全主管、安全管理某方面的負責人，詢問其崗位職責包括哪些內容； c)應檢查崗位職責文檔，查看文檔是否明確設置安全主管、安全管理各個方面的負責人、機房 、管理員、系統(tǒng)管理員、網(wǎng)絡管理員和安全管理員等各個崗位，各個崗位的職責范圍是否清晰、 明確。 判定標準：上述如果 a）c）均為肯定，則信息系統(tǒng)符合本單元評估指標要求，否則，信息系統(tǒng)不符合 或部分符合本單元評估指標要求。 測試結果：（根據(jù)評估方法，應寫明每種評估方法的評估結果，最后根據(jù)判定標準寫明本評估項是否符合，如果有多個評估指標，每個指標都應當說明是否符合。如果根據(jù)信息系統(tǒng)實際情況，相關評估指標不適用，請注明“不適用”并說明原因。）評估項編號：評估項目：人員配備評估資產(chǎn)：評估指標： 1）應配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等； 2）安全管理員不能兼任網(wǎng)絡管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等。 評估方式： 專家訪談,文檔審核評估對象： 安全主管、安全管理各崗位人員信息表評估方法：a)訪談安全主管，詢問各個安全管理崗位人員的配備情況，包括數(shù)量、專職還是兼職等；b)應檢查安全管理各崗位人員信息表，查看其是否明確機房管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡管理員、安全管理員等重要崗位人員的信息，確認安全管理員是否沒有兼任網(wǎng)絡管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等崗位。判定標準： 如果上述a)和b）均為肯定，則信息系統(tǒng)符合本單元評估指標要求，否則，信息系統(tǒng)不符合或部分符合本單元評估指標要求。 測試結果：（根據(jù)評估方法，應寫明每種評估方法的評估結果，最后根據(jù)判定標準寫明本評估項是否符合，如果有多個評估指標，每個指標都應當說明是否符合。如果根據(jù)信息系統(tǒng)實際情況，相關評估指標不適用，請注明“不適用”并說明原因。）評估項編號：評估項目： 授權和審批評估資產(chǎn)：評估指標： l 應根據(jù)各個部門和崗位的職責明確授權審批部門及批準人，對系統(tǒng)投入運行、網(wǎng)絡系統(tǒng)接入和重要資源的訪問等關鍵活動進行審批；l 應針對關鍵活動建立審批流程，并由批準人簽字確認。評估方式： 專家訪談,文檔審核評估對象： 安全主管, 管理制度文檔。評估方法：a)應訪談安全主管，詢問其是否對信息系統(tǒng)中的關鍵活動進行審批，審批部門是何部門，批準人是何人，他們的審批活動是否得到授權； b)應訪談安全主管，詢問其對關鍵活動的審批范圍包括哪些，審批程序如何； c)應檢查審批管理制度文檔，查看文檔中是否明確對系統(tǒng)投入運行、網(wǎng)絡系統(tǒng)接入和重要資源的訪問等關鍵活動進行審批的審批部門和批準人，是否明確審批程序； d)應檢查經(jīng)審批的文檔，查看審批程序與文件要求是否一致，是否有批準人的簽字和審批部門的蓋章。判定標準：如果a)d)均為肯定，則信息系統(tǒng)符合本單元評估指標要求，否則，信息系統(tǒng)不符合或部分符合本單元評估指標要求測試結果：（根據(jù)評估方法，應寫明每種評估方法的評估結果，最后根據(jù)判定標準寫明本評估項是否符合，如果有多個評估指標，每個指標都應當說明是否符合。如果根據(jù)信息系統(tǒng)實際情況，相關評估指標不適用，請注明“不適用”并說明原因。）評估項編號：評估項目：溝通和合作評估資產(chǎn)：評估指標： 1）應加強各類管理人員之間、組織內部機構之間以及信息安全職能部門內部的合作與溝通；l 應加強與兄弟單位、公安機關、電信公司的合作與溝通。評估方式： 專家訪談,文檔審核評估對象： 安全主管, 組織機構內部人員聯(lián)系表，外聯(lián)單位說明文檔。評估方法：a)訪談安全主管，詢問是否經(jīng)常與公安機關、電信公司和兄弟單位聯(lián)系，聯(lián)系和合作方式有哪些，與組織機構內其他部門之間通過哪些方式進行交流和溝通，信息安全職能部門內部各類管理人員之間通過哪些方式進行交流和溝通； b)檢查部門間和部門內部溝通和合作的相關文檔，查看是否包括工作內容、參加人員等的描述； c)檢查是否有組織機構內部人員聯(lián)系表； d)檢查外聯(lián)單位說明文檔，查看外聯(lián)單位是否包含公安機關、電信公司及兄弟單位等。判定標準：如果上述 a）d）均為肯定，則信息系統(tǒng)符合本單元評估指標要求，否則，信息系統(tǒng)不符合或基本符合本單元評估指標要求。測試結果：（根據(jù)評估方法，應寫明每種評估方法的評估結果，最后根據(jù)判定標準寫明本評估項是否符合，如果有多個評估指標，每個指標都應當說明是否符合。如果根據(jù)信息系統(tǒng)實際情況，相關評估指標不適用，請注明“不適用”并說明原因。）評估項編號：評估項目：審核和檢查評估資產(chǎn)：評估指標： 安全管理員應負責定期進行安全檢查，檢查內容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。評估方式： 專家訪談，檢查的文檔。評估對象：安全管理員，實施安全檢查的文檔或記錄評估方法：a)訪談安全管理員，詢問是否定期檢查系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況，檢查周期多長； b)檢查安全管理員定期實施安全檢查的文檔或記錄，查看記錄的時間間隔與檢查周期是否一致，檢查內容是否包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。判定標準：如果上述a）和b）均為肯定，則信息系統(tǒng)符合本單元評估指標要求，否則，信息系統(tǒng)不符合或基本符合本單元評估指標要求。測試結果：（根據(jù)評估方法，應寫明每種評估方法的評估結果，最后根據(jù)判定標準寫明本評估項是否符合，如果有多個評估指標，每個指標都應當說明是否符合。如果根據(jù)信息系統(tǒng)實際情況，相關評估指標不適用，請注明“不適用”并說明原因。）l 人員安全管理評估項編號：評估項目： 人員錄用評估資產(chǎn)：評估指標： 1)指定或授權專門的部門或人員負責人員錄用； 2)規(guī)范人員錄用過程，對被錄用人員的身份、背景和專業(yè)資格等進行審查，對其所具有的技術技能進行考核； l 與從事關鍵崗位的人員簽署保密協(xié)議。 評估方式： 專家訪談,文檔審核評估對象： 安全主管, 人事管理相關人員，人員錄用要求等管理文檔。評估方法：a)訪談安全主管，詢問是否有專門的部門或人員負責人員的錄用工作，由何部門/何人負責；b)訪談人事管理相關人員，詢問在人員錄用時對人員條件有哪些要求，是否對被錄用人的身份、背景和專業(yè)資格進行審查，對技術人員的技術技能進行考核，錄用后是否與從事關鍵崗位的人員簽署保密協(xié)議； c)檢查人員錄用要求管理文檔，查看是否說明錄用人員應具備的條件（如學歷、學位要求，技術人員應具備的專業(yè)技術水平，管理人員應具備的安全管理知識等）； d)檢查是否具有人員錄用時對錄用人身份、背景和專業(yè)資格等進行審查的相關文檔或記錄，查看是否記錄審查內容和審查結果等； e)檢查人員錄用時的技能考核文檔或記錄，查看是否記錄考核內容和考核結果等； f)檢查保密協(xié)議，查看是否有保密范圍、保密責任、違約責任、協(xié)議的有效期限和責任人簽 字等內容。判定標準： 上述如果a）f）均為肯定，則信息系統(tǒng)符合本單元評估指標要求，否則，信息系統(tǒng)不符合或基本符合本單元評估指標要求。 測試結果：（根據(jù)評估方法，應寫明每種評估方法的評估結果，最后根據(jù)判定標準寫明本評估項是否符合，如果有多個評估指標，每個指標都應當說明是否符合。如果根據(jù)信息系統(tǒng)實際情況，相關評估指標不適用，請注明“不適用”并說明原因。）評估項編號：評估項目：人員離崗評估資產(chǎn)：評估指標： 1)應規(guī)范人員離崗過程，及時終止離崗員工的所有訪問權限； 2）應取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備； 3）應辦理嚴格的調離手續(xù)。 評估方式： 專家訪談,文檔審核評估對象：安全主管, 人事管理相關人員，離崗人員的安全處理記錄，調離手續(xù)。評估方法：a)訪談安全主管，詢問對即將離崗人員有哪些控制方法，是否及時終止離崗人員的所有訪問權限，是否取回各種身份證件、鑰匙、徽章以及機構提供的軟硬件設備等； b)訪談人事管理相關人員，詢問調離手續(xù)包括哪些； c)檢查是否具有對離崗人員的安全處理記錄（如交還身份證件、設備等的登記記錄）； d)檢查是否具有按照離職程序辦理調離手續(xù)的記錄。判定標準： 如果上述a）d）均為肯定，則信息系統(tǒng)符合本單元評估指標要求，否則，信息系統(tǒng)不符合或基本符合本單元評估指標要求。測試結果：（根據(jù)評估方法，應寫明每種評估方法的評估結果，最后根據(jù)判定標準寫明本評估項是否符合，如果有多個評估指標，每個指標都應當說明是否符合。如果根據(jù)信息系統(tǒng)實際情況，相關評估指標不適用，請注明“不適用”并說明原因。）評估項編號：評估項目：人員考核評估資產(chǎn)：評估指標： 應定期對各個崗位的人員進行安全技能及安全認知的考核。 評估方式： 專家訪談,文檔審核評估對象： 安全主管, 考核文檔。評估方法：a) 訪談安全主管，詢問是否有人負責定期對各個崗位人員進行安全技能及安全知識的考核，考核周期多長； b) 檢查考核文檔，查看考核人員是否包括各個崗位的人員，考核日期與考核周期是否一致。判定標準： 如果 上述 a)和 b）均為肯定，則信息系統(tǒng)符合本單元評估指標要求，否則，信息系統(tǒng)不符合或基本符合本單元評估指標要求。測試結果：（根據(jù)評估方法，應寫明每種評估方法的評估結果，最后根據(jù)判定標準寫明本評估項是否符合，如果有多個評估指標，每個指標都應當說明是否符合。如果根據(jù)信息系統(tǒng)實際情況，相關評估指標不適用，請注明“不適用”并說明原因。）評估項編號：評估項目： 安全意識教育和培訓評估資產(chǎn)：評估指標： 1）應對各類人員進行安全意識教育、崗位技能培訓和相關安全技術培訓； 2）應告知人員相關的安全責任和懲戒措施，并對違反違背安全策略和規(guī)定的人員進行懲戒； 3）應制定安全教育和培訓計劃，對信息安全基礎知識、崗位操作規(guī)程等進行培訓。評估方式： 專家訪談,文檔審核評估對象： 安全主管,安全管理人員, 教育和培訓相關文檔。評估方法：a)訪談安全主管，詢問是否制定培訓計劃并按計劃對各個崗位人員進行安全教育和培訓，具體的培訓方式有哪些；是否對違反安全策略和規(guī)定的人員進行懲戒，如何懲戒；b)訪談安全管理員、系統(tǒng)管理員和網(wǎng)絡管理員，考查其對工作相關的信息安全基礎知識、安全責任和懲戒措施等的理解程度； c)檢查安全教育和培訓計劃文檔，查看計劃是否明確了培訓方式、培訓對象、培訓內容、培訓時間和地點等，培訓內容是否包含信息安全基礎知識、崗位操作規(guī)程等； d)應檢查是否具有安全教育和培訓記錄，查看記錄是否有培訓人員、培訓內容、培訓結果等的描述。判定標準： 上述 a)d)均為肯定,則信息系統(tǒng)符合本單元評估項要求。超過半數(shù)為肯定, 則信息系統(tǒng)不符合或基本符合本單元評估項要求。測試結果：（根據(jù)評估方法，應寫明每種評估方法的評估結果，最后根據(jù)判定標準寫明本評估項是否符合，如果有多個評估指標，每個指標都應當說明是否符合。如果根據(jù)信息系統(tǒng)實際情況，相關評估指標不適用，請注明“不適用”并說明原因。）評估項編號：評估項目： 外部人員訪問管理評估資產(chǎn)：評估指標： 應確保在外部人員訪問受控區(qū)域前得到授權或審批，批準后由專人全程陪同或監(jiān)督，并登記備案。 評估方式： 專家訪談,文