信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。
安全管理机构(ORS)
岗位设置
L3-ORS1-01
应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权
1)访谈信息/网络安全主管是否成立了指导和管理网络安全工作的委员会或领导小组
2)核查部门职责文档是否明确网络安全工作委员会或领导小组构成情况和相关职责
3)核查相关委任授权文件是否明确其最高领导由单位主管领导委任或授权
1、机构成立了网络安全工作委员会或领导小组,且由明确的文件明确其组成机构及工作职责
2、具有由单位主管领导委任或授权的相关文件
L3-ORS1-02
应设立网络安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责
1)访谈信息或网络安全主管,是否设立了网络安全管理职能部门和各方面负责人(如机构负责人、系统运维负责人、系统建设负责人等)
2)核查部门职责文档是否明确网络安全管理工作的职能部门和各负责人职责
1、机构设立了网络安全管理职能部门并指定了各部门负责人
2、具有明确的职能文件明确部门和负责人的工作职责