安全管理机构
控制点
2.
人员配备为保证各项管理工作顺利实施,应配备一定数量的安全管理人员,例如系统管理员、安全管理员、审计管理员等。
a)
安全要求(重要):应配备一定数量的系统管理员、审计管理员和安全管理员等。
要求解读:由于部分岗位人员拥有关键的操作权限,为避免人员失误或渎职现象的发生,应配备一定数量的安全管理人员,如系统管理员、网络管理员、安全管理员等。
测评方法
1.访谈信息/网络安全主管,了解各个安全管理岗位人员配备情况。
2.检查管理人员名单,查看其是否明确机房管理员、系统管理员、网络管理员、安全管理员等重要岗位人员的信息。
3.与技术核查结合,各个岗位是否根据管理人员名单予以授权,如主机核查时系统管理员是否和管理人员名单一致。
期望结果
1.人员配备文档中明确了各岗位人员的配备人员及数量。
2.管理人员名单中,明确机房管理员、系统管理员、网络管理员、安全管理员等重要岗位人员信息。
3.各个岗位根据管理人员名单任职。
b)
安全要求(重要):应配备专职安全管理员,不可兼任。
要求解读:安全管理员不能兼任其他与等级保护对象相关的管理岗位,如系统管理员、网络管理员等。
测评方法
1.访谈安全主管,了解安全管理员的配备情况及是否是专职。
2.检查管理人员名单,了解安全管理员是否是专职人员。
期望结果
人员配备文档表明安全管理员没有兼任系统管理员、网络管理员等。