16.安全管理测评指导书.docxVIP

受控状态：

文件编号：JSJL-CI-ZY-016

安全管理作业指导书

V1.0

编制：技术负责人/李云飞

审核：质量负责人/佘艳丽

批准：公司总经理/何伟

日期：2021年8月1日

江苏君立华域安全测评有限公司

内部资料版权所有未经允许不得抄印

1编写目的

本作业指导书是为了规范等保测评流程、指导等保测评工作，从而保证测评质量和公正性而编写的。测评人员应严格按照本指导书的说明和操作步骤执行，并如实上报最终实际测评结果。

2适用范围

本作业指导书的使用人员为测评项目组内人员，使用阶段为测评项目实施全过程。

3参考标准

《计算机信息系统安全保护等级划分准则》（GB17859-1999）

《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）

《信息安全技术网络安全等级保护测评要求》（GB/T28448-2019）

4测评方法

等级保护安全测评的方法主要由访谈、检查和测试三种：

访谈

访谈是测评人员通过与信息系统有关人员（个人/群体）进行交流、讨论等活动，获取证据以证明信息系统安全等级保护措施是否有效的一种方法。

检查

检查主要是指测评人员通过对测评对象进行观察、查验、分析等活动，获取证据以证明信息系统安全等级保护措施是否有效。

测试

测试是指测评人员通过对测评对象按照预定的方法/工具使其产生特定的响应等活动，查看、分析响应输出结果，获取证据以证明信息系统安全等级保护措施是否有效的一种方法。

5、测评指导书

5.6 安全管理制度

5.6.1安全策略

测评单元（L3-PSS1-01）

测评指标：应制定网络安全工作的总体方针和安全策略，阐明机构安全工作的总体目标、范围、原则和安全框架等。

测评对象选择：总体方针策略类文档。

测评实施要点：

1）应核查是否具有包含网络安全工作的总体方针和安全策略的文件。

2）应核查该文件中是否阐明机构安全工作的总体目标、范围、原则等，是否明确信息系统的安全策略。

3）策略文件应重点关注是否是安全管理体系框架顶层管理文件，是否是网络安全保障工作的出发点和核心，是否是网络安全保障管理实践和保障措施的指导性文件，是否是全体人员、设备供应商、服务提供商及其他相关人员必须遵守的网络安全准则。

4）一般来说，策略文件中可以明确网络安全管理活动的责任部门或人员，也可覆盖到等级保护对象生命周期中所有关键的安全管理活动。其中安全管理框架包括组织机构及岗位职责、人员安全管理、环境和资产安全管理、系统建设管理、系统安全运行管理、事件处置和应急响应等方面，明确各个方面的职责分工、需要关注的管理活动、管理活动的控制方法等。

测评实施样例：

1）通过访谈安全主管/安全管理员，确定是否制定了网络安全工作总体方针和安全策略。

2）查看策略文件，可从网络安全建设规划、网络安全总体策略、网络安全管理办法等文档进行核查。

3）在《网络安全总体策略》中明确了总体目标、范围、原则和安全框架。如网络安全总体目标是保护系统硬件、软件、业务信息和数据、通讯网络设备等资源的安全，有效防范各类安全事故或人为有意的破坏事件，确保基础网络和信息系统的安全稳定运行，防范重大信息安全事件的发生，在信息安全事件发生后，能及时响应、协同处置、有效恢复；策略文件适用范围为所有信息资产及各分支机构，全体员工的相关行为；工作原则为“谁主管、谁负责”等。

如有相关材料证明，该单位已制定网络安全工作的总体方针和安全策略且包含了安全工作的总体目标、范围、原则和安全框架等，则单元判定结果为符合；否则为不符合。

5.6.2管理制度

测评单元（L3-PSS1-02）

测评指标：应对安全管理活动中的各类管理内容建立安全管理制度。

测评对象选择：安全管理制度类文档。

测评实施要点：

1）应核查安全管理制度建立情况，具体的安全管理制度需在安全方针策略文件的基础上，根据实际情况建立，可由若干的制度构成，或若干分册构成。

2）检查过程中应重点关注安全管理制度覆盖范围是否全面，一般覆盖工作环境管理、计算机设备管理、网络运行管理、系统安全管理、安全事件管理、系统变更管理、介质管理、防病毒管理、资产管理、机房管理、备份和恢复管理等方面，并查看每个制度文档的适用范围是否覆盖了被测对象。

测评实施样例：

1）结合安全方针策略文件，确定根据各类管理内容建立了相应安全管理制度，并且安全管理制度覆盖范围全面，一般包含了物理和环境、机构和人员、建设和运维等层面，如在机房管理方面建立了《中心机房管理制度》；在人员管理方面建立了《人员岗位职责》；在系统建设管理方面建立了《工程实施管理规范》、《系统开发管理制度》；在系统运维管理方面建立了《网络运维管理制度》、《防病毒管理制度》、《资产管理制度》等。

2）以机房管理为示