1、安全管理制度安全測評指導書序號測評指標測評項檢查方法預期結果1管理制度a)訪談安全主管，檢查安全總體方針、政策性文件和安全策略文件，安全管理制度體系清單，操作規程。檢查: 是否明確安全工作的目標、范圍、原則、安全框架。1）具備信息安全工作的總體方針或安全策略； 2）安全總體方針包括安全工作的總體目標、范圍、原則和安全框架。b)訪談安全主管，檢查安全總體方針、政策性文件和安全策略文件，安全管理制度體系清單，操作規程。檢查: 管理制度是否覆蓋物理、網絡、主機系統、數據、應用、建設和管理等層面。管理制度覆蓋到物理、網絡、主機系統、數據、應用、建設和管理等層面。c)訪談安全主管，檢查安全總體方針、政策

2、性文件和安全策略文件，安全管理制度體系清單，操作規程。檢查: 是否針對各項日常管理操作建立了操作規程。針對日常的每項操作均建立了操作規程。d)訪談安全主管，檢查安全總體方針、政策性文件和安全策略文件，安全管理制度體系清單，操作規程。訪談: 1）安全主管，是否具備安全管理體系； 2）安全管理體系是否由方針、安全策略、管理制度、操作規程等構成。1）具備安全管理體系； 2）安全管理體系由方針、安全策略、管理制度、操作規程等構成。2制定和發布a)訪談安全主管，檢查制度制定和發布要求管理文檔，評審記錄，安全管理制度。訪談: 安全主管，制定安全管理制度的部門或人員。安全管理制度的制定由專門的部門或人員負責

3、。b)訪談安全主管，檢查制度制定和發布要求管理文檔，評審記錄，安全管理制度。訪談: 安全主管，是否按照統一的格式標準或要求制定； 檢查: 各項制度文檔格式是否統一。1)各項安全管理制度由統一的格式或標準進行制定； 2)各項安全管理制度格式統一。c)訪談安全主管，檢查制度制定和發布要求管理文檔，評審記錄，安全管理制度。訪談： 安全主管，是否對安全管理制度進行論證和審定。 檢查: 檢查論證的相關材料。1)各項安全管理制度進行論證和審定； 2)具備安全管理制度的審定記錄。d)訪談安全主管，檢查制度制定和發布要求管理文檔，評審記錄，安全管理制度。訪談： 安全主管，安全管理制度以何種方式進行發布。 檢查

4、 發布文檔是否有管理層簽字或者蓋章。1）安全管理制度以電子或者紙質形式發布； 2）以紙質形式發布的安全管理制度需有管理層的簽字或者蓋章。e)訪談安全主管，檢查制度制定和發布要求管理文檔，評審記錄，安全管理制度。檢查: 1）安全管理制度是否注明發布范圍； 2）安全管理制度收發登記記錄。1）各項安全管理制度注明了發布范圍； 2）具備安全管理制度的收發登記記錄。3評審與修訂a)訪談安全主管，檢查安全管理制度列表，評審記錄。訪談: 1）安全主管，是否定期對安全管理制度進行檢查和審定，周期為多久； 2）安全主管，是否在信息發生重大變更時對安全管理制度進行修訂； 3）安全管理制度的評審由何部門、何人負責。1）定期對安全管理制度進行檢查和審定； 2）發生重大變更時對安全管理制度進行修訂； 3）指定專門的部門或者人員對安全管理制度進行評審。b)訪談安全主管，檢查安全管理制度列表，評審記錄。訪談: 安全主管，是否定期對安全管理制度的合理性、適用性進行審定，周期為多久。 檢查: