7.安全管理機(jī)構(gòu)

3 授權(quán)和審批

3.1 測(cè)評(píng)單元(L2-ORS1-04)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)根據(jù)各個(gè)部門(mén)和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審批部門(mén)和批準(zhǔn)人等。

b)測(cè)評(píng)對(duì)象:管理制度類(lèi)文檔和記錄表單類(lèi)文檔。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：

  1)應(yīng)核查部門(mén)職責(zé)文檔是否明確各部門(mén)審批事項(xiàng)；

  2)應(yīng)核查崗位職責(zé)文檔是否明確各崗位審批事項(xiàng)。

d)單元判定:如果1)和2)均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。

3.2 測(cè)評(píng)單元(L2-ORS1-05)

該測(cè)評(píng)單元包括以下要求:

a)應(yīng)針對(duì)系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接入等事項(xiàng)執(zhí)行審批過(guò)程測(cè)評(píng)指標(biāo)。

b)測(cè)評(píng)對(duì)象:記錄表單類(lèi)文檔。

c)測(cè)評(píng)實(shí)施:應(yīng)核查各類(lèi)審批記錄是否針對(duì)系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接入等事項(xiàng)進(jìn)行審批。

d)單元判定:如果以上測(cè)評(píng)實(shí)施內(nèi)容，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本測(cè)評(píng)單元指標(biāo)要求。

4 溝通和合作

4.1 測(cè)評(píng)單元(L2-ORS1-06)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)加強(qiáng)各類(lèi)管理人員、組織內(nèi)部機(jī)構(gòu)和網(wǎng)絡(luò)安全管理部門(mén)之間的合作與溝通，定期召開(kāi)協(xié)調(diào)會(huì)議，共同協(xié)作處理網(wǎng)絡(luò)安全問(wèn)題。

b)測(cè)評(píng)對(duì)象:信息/網(wǎng)絡(luò)安全主管和記錄表單類(lèi)文檔。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：

  1)應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否建立了各類(lèi)管理人員，組織內(nèi)部機(jī)構(gòu)和網(wǎng)絡(luò)安全管理部門(mén)之間的合作與溝通機(jī)制。

  2)應(yīng)核查會(huì)議記錄是否明確各類(lèi)管理人員、組織內(nèi)部機(jī)構(gòu)和網(wǎng)絡(luò)安全管理部門(mén)之同開(kāi)展了合作與溝通。

d)單元判定:如果1)和2)均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。

4.2 測(cè)評(píng)單元(L2-ORS1-07)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)加強(qiáng)與網(wǎng)絡(luò)安全職能部門(mén)|、各類(lèi)供應(yīng)商、業(yè)界專(zhuān)家及安全組織的合作與溝通。

b)測(cè)評(píng)對(duì)象:信息/網(wǎng)絡(luò)安全主管和記錄表單類(lèi)文檔。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：

  1)應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否建立了與網(wǎng)絡(luò)安全職能部門(mén)、各類(lèi)供應(yīng)商、業(yè)界專(zhuān)家及安全組織的合作與溝通機(jī)制。

  2)應(yīng)核查會(huì)議記錄是否明確了與網(wǎng)絡(luò)安全職能部門(mén)、各類(lèi)供應(yīng)商、業(yè)界專(zhuān)家及安全組織是否開(kāi)展了合作與溝通。

d)單元判定:如果1)和2)均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。

4.3 測(cè)評(píng)單元(L2-ORS1-08)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)建立外聯(lián)單位聯(lián)系列表,包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息.

b)測(cè)評(píng)對(duì)象:記錄表單類(lèi)文檔。

c)測(cè)評(píng)實(shí)施:應(yīng)核查外聯(lián)單位聯(lián)系列表是否記錄了外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息。

d)單元判定:如果以上測(cè)評(píng)實(shí)施內(nèi)容,則符合本測(cè)評(píng)單元指標(biāo)要求,否則不符合本測(cè)評(píng)單元指標(biāo)要求。

5 審核和檢查

5.1 測(cè)評(píng)單元(L2-ORS1-09)

該測(cè)評(píng)單元包括以下要求:

a)測(cè)評(píng)指標(biāo):應(yīng)定期進(jìn)行常規(guī)安全檢查,檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。

b)測(cè)評(píng)對(duì)象:信息/網(wǎng)絡(luò)安全主管和記錄表單類(lèi)文檔。

c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：

  1)應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否定期進(jìn)行了常規(guī)安全檢查;

  2)應(yīng)核查常規(guī)安全核查記錄是否包括了系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù) 備份等情況。

d)單元判定:如果1)和2)均為肯定,則符合本測(cè)評(píng)單元指標(biāo)要求,否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。