6.安全管理制度
6.6.1管理制度缺失
本判例包括以下内容:
a)标准要求:应对安全管理活动中的各类管理内容建立安全管理制度。
b)适用范围:二级及以上系统。
c)判例场景:未建立任何与安全管理活动相关的管理制度或相关管理制度,无法适用于当前定级对象。
d)补偿因素:无。
建议按照等级保护的相关要求,建立包括总体方针、安全策略在内的各类与安全管理活动相关的管理制度
7/安全管理机构/岗位设置
6.6.2未建立网络安全领导小组
本判例包括以下内容:
a)标准要求:应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权。
b)适用范围:三级及以上系统。
c)判例场景:未成立指导和管理信息安全工作的委员会或领导小组,或其最高领导未由单位主管领导担任或授权。
d)补偿因素:无。
建议成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权
8/安全管理人员/安全意识教育和培训
6.7.1未开展安全意识和安全技能培训
本判例包括以下内容:
a)标准要求:应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。
b)适用范围:二级及以上系统。
c)判例场景:未定期组织开展与安全意识、安全技能相关的培训。
d)补偿因素:无。
建议制定与安全意识、安全技能相关的教育培训计划,并按计划开展相关培训,增强员工整体安全意识及安全技能,有效支撑业务系统的安全稳定运行
8/安全管理人员/外部人员访问管理
6.7.2外部人员接入网络管理措施缺失
本判例包括以下内容:
a)标准要求:应在外部人员接入受控网络访问系统前先提出书面申请,经批准后再由专人开设账户、分配权限,并登记备案。
b)适用范围:二级及以上系统。
c)判例场景(所有):
1)管理制度中未明确外部人员接入受控网络访问系统的申请、审批流程,以及相关安全控制要求;
2)无法提供外部人员接入受控网络访问系统的申请、审批等相关记录证据。
d)补偿因素:无。
建议在外部人员管理制度中明确接入受控网络访问系统的申请、审批流程,并对外部人员接入设备、可访问资源范围、账号回收、保密责任等内容做出明确规定,避免因管理缺失导致外部人员对受控网络、系统带来安全隐患。
本文始发于微信公众号(网络安全等保测评):高风险判定-6安全管理制度|7机构|8人员
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论