高风险判定-6安全管理制度|7机构|8人员

  • A+
所属分类:安全闲碎

6.安全管理制度

6.6.1管理制度缺失


本判例包括以下内容:

a)标准要求:应对安全管理活动中的各类管理内容建立安全管理制度。

b)适用范围:二级及以上系统。

c)判例场景:未建立任何与安全管理活动相关的管理制度或相关管理制度,无法适用于当前定级对象。

d)补偿因素:无。

建议按照等级保护的相关要求,建立包括总体方针、安全策略在内的各类与安全管理活动相关的管理制度


7/安全管理机构/岗位设置

6.6.2未建立网络安全领导小组

本判例包括以下内容:

a)标准要求:应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权。

b)适用范围:三级及以上系统。

c)判例场景:未成立指导和管理信息安全工作的委员会或领导小组,或其最高领导未由单位主管领导担任或授权。

d)补偿因素:无。

建议成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权

 

8/安全管理人员/安全意识教育和培训

6.7.1未开展安全意识和安全技能培训

本判例包括以下内容:

a)标准要求:应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。

b)适用范围:二级及以上系统。

c)判例场景:未定期组织开展与安全意识、安全技能相关的培训。

d)补偿因素:无。

建议制定与安全意识、安全技能相关的教育培训计划,并按计划开展相关培训,增强员工整体安全意识及安全技能,有效支撑业务系统的安全稳定运行

 

8/安全管理人员/外部人员访问管理

6.7.2外部人员接入网络管理措施缺失

本判例包括以下内容:

a)标准要求:应在外部人员接入受控网络访问系统前先提出书面申请,经批准后再由专人开设账户、分配权限,并登记备案。

b)适用范围:二级及以上系统。

c)判例场景(所有):

1)管理制度中未明确外部人员接入受控网络访问系统的申请、审批流程,以及相关安全控制要求;

2)无法提供外部人员接入受控网络访问系统的申请、审批等相关记录证据。

d)补偿因素:无。

建议在外部人员管理制度中明确接入受控网络访问系统的申请、审批流程,并对外部人员接入设备、可访问资源范围、账号回收、保密责任等内容做出明确规定,避免因管理缺失导致外部人员对受控网络、系统带来安全隐患。

本文始发于微信公众号(网络安全等保测评):高风险判定-6安全管理制度|7机构|8人员

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: