安全管理机构

指标总览

指标详情

岗位设置

指标内容如图：

指标理解：

a）在相关制度文件中，要明确规定具体网络安全岗位责任人是谁，以及他的主要职责。通常网络安全领导小组或委员会，需要公司大领导作为组长，后续工作开展会更容易些（参考国家网络安全领导小组^^）。

b）公司组织架构中有安全部门，在相关制度文件中，要明确规定具体网络安全建设负责人、系统负责人、应用负责人等，并明确具体岗位职责。个人理解，在实际测评中，如果企业规模小，没有专门的安全职能部门，应该问题不大，但一定要有具体的责任人。

c）在相关制度文件中，明确系统管理员、审计管理员和安全管理员岗位及人员，并明确岗位责任。

人员配备

指标内容如图：

指标理解：

通过访谈，确定是否企业是否设立了专门的系统、网络、安全管理员，需要提供岗位任命的相关文件。安全管理员不可由其他岗位兼任，系统管理员和数据库管理员不可兼任。

授权和审批

指标内容如图：

指标理解：

a）通过访谈，询问安全主管是否对相关活动有审批，重点会关注物理访问、远程控制、权限授予与变更、系统接入、需求变更等活动。

b）对重要事件建立审批程序并按照程序执行审批过程，重要事项需要多级审批，过程需要留有记录，测评时需要提供审批记录。重点关注：系统变更（包括权限变更、结构变更等）、重要操作（数据删除、权限变更、数据备份等）、物理访问（访问物理机房、访问办公环境中的敏感区域等）、系统接入（网络接入、远程控制、wifi接入等）。

c）相关审批制度文件中，需要明确要求定期审查并及时更新，测评时需要提供审批记录。重点关注：审批人员是否变更，变更是否进行过审查；组织架构调整是否同步更新了审批流程。

沟通和合作

指标内容如图：

指标理解：

a）建立网络、系统、应用等管理人员和部门与安全部门定期沟通机制，定期沟通并形成会议记录，测评时需要提供会议记录。

b）建立与集团/分子公司、供应商、公安机关等外部单位的联系机制，定期沟通并形成沟通记录，测评时需要提供沟通记录。

c）对外联单位联系信息完善程度要求。

审核和检查

指标内容如图：

指标理解：

a）制定相关制度文件，要求定期开展安全检查，包括设备巡检、漏洞扫描、及数据备份等工作。

b）定期对技术部分相关技术措施的检查，以及定期检查管理措施的落实情况。

c）制定网络安全检查基线文件，基于基线开展定期检查，并通报检查结果。