指标总览
指标详情
安全策略
指标内容如图:
指标理解:
制定网络安全方针及安全策略相关制度文件,高层级的、总体性的描述网络安全工作的目标、范围、原则及框架等信息,内容上通常不需要很复杂。
管理制度
指标内容如图:
指标理解:
在测评工程中会基于制度、机构、人员、建设、运维等维度判断管理制度制定是否完整。安全策略、管理制度、操作规程、记录表单是有递进关系的四级文档机构,和ISO 27001相似可以复用的。安全策略指导安全方向,管理制度明确安全流程,操作规程是流程中人员具体操作规范及要求,记录表单记录过程中关键信息。
制定和发布
指标内容如图:
指标理解:
以上的安全策略及管理制定企业内应有专门的部门或人员复制制定,如IT部门或安全部门。
安全管理制度需要通过正式、有效的方式在公司内发布,要确保能够通知到每一位员工,如企业正式邮件。对制定文件的格式及版本要有控制措施。
评审和修订
指标内容如图:
指标理解:
要求安全策略及管理制度需要贴合企业实际情况,能够落地实施。定期对合理性、适用性开展评审,不断修订改进。简单来讲,以往的模板性的制度文件将不再可行,要考虑落地;企业业务和企业架构可能随着市场需要再变化,相关的安全策略和制度也需要随着更新。