安全管理机构
控制点
4.
沟通和合作整个等级保护对象安全工作的顺利完成,需要各业务部门的共同参与和密切配合,以及与外联单位通畅的沟通与合作(以便及时获取网络安全的最新发展动态,避免网络安全事件的发生或在安全事件发生时能尽快得到支持与帮助,从而在第一时间采取有效措施,将损失降到最低)。其中,外联单位可能包括供应商、业界专家、专业的安全公司、安全组织、上级主管部门、兄弟单位、安全服务机构、电信运营部门、执法机关等。
a)
安全要求(重要):应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作和沟通,定期召开协调会议,共同协作处理网络安全问题。
要求解读:一个单位的等级保护对象运行可能涉及到多个业务部门,因此,为保障整个等级保护对象安全工作的顺利完成,需要各业务部门的共同参与和密切配合。此处的沟通方式要求,包括通过例会或不定期召开会议的形式对网络安全问题进行协商处理。
测评方法
1.访谈信息/网络安全主管,了解是否建立了各类管理人员之间、组织内部机构之间以及网络安全职能部门内部的合作与沟通机制。
2.核查相关会议记录是否涵盖与安全相关的内容。对组织内部机构之间以及网络安全职能部门内部的安全工作会议文件或会议记录,应查看是否包括会议内容、会议时间、参加人员和会议结果等。另外应核查是否有关于网络安全工作委员会或领导小组安全管理工作执行情况的文件或工作记录(如会议记录/纪要,网络安全工作决策文档等)。
期望结果
1.已在组织内部机构之间、网络安全职能部门内部建立了相关沟通交流机制。
2.具有定期召开会议的记录。
b)
安全要求(一般):应加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通。
要求解读:与外界各类单位、部门的沟通与合作机制可能有多种方式,例如,网络管理部门定期汇报、检查工作,定期与供应商商讨系统中的安全问题,组织业界专家进行安全评审咨询等。
测评方法
1.访谈信息/网络安全主管,了解是否建立了与网络安全管理部门、各类供应商、业界专家及安全组织的合作与沟通机制。
2..核查相关沟通合作记录,是否具有与网络安全管理部门、各类供应商、业界专家沟通交流的记录。
期望结果
1.已与网络安全管理部门、各类供应商、业界专家及安全组织建立起合作与沟通机制。
2.有日常沟通的记录和相关文件。
c)
安全要求(一般):应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息。
要求解读:与外联单位的联系应建立联系列表并根据实际情况维护更新列表信息,明确合作内容以及联系人等相关的信息。
测评方法
核查外联单位联系列表是否包含了单位名称、合作内容、联系人和联系方式等信息。
期望结果
具有外联单位联系列表,(包括外联单位名称、合作内容、联系人和联系方式等信息)。