安全管理制度
控制点
4.
评审和修订安全管理制度体系制定并实施后,需要由网络安全领导小组或委员会对其适用性定期进行评审和修订,尤其当发生重大安全事故、出现新的漏洞以及技术基础结构发生变更时,需要对部分制度进行评审修订,以适应外界环境和情况的变化。
安全要求(重要):应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。
要求解读:安全管理制度的定期评审和修订主要考虑制度体系整体性是否合理、体系各要素(如安全策略、管理制度或操作规程等)是否合理。
安全管理制度体系涉及从上层方针到管理制度再到操作规程等整个单位等级保护对象安全相关的所有文件,这里的定期一般可以为一年,具体可根据组织的情况进行约定;一旦发生可能引起安全管理制度不适用的事件时应该主动对安全管理制度进行检查和审定,发现不足应及时修订。
一般情况下,一个正式发布的文档修订记录包括:日期、版本、描述、作者、审批人、审批日期。
测评方法
1.访谈信息/网络安全主管。了解是否定期对安全管理制度体系的合理性和适用性进行审定。
2.核查是否具有安全管理制度的审定或论证记录,如果对制度做过修订,核查是否有修订版本的安全管理制度。
期望结果
1.具有安全管理制度的核查或评审记录。
2.如果对安全管理制度进行了修订,则有修订版本的安全管理制度,且修订内容与评审记录保持一致。
标签:管理制度,修订,评审,安全,定期,审定 来源: https://www.cnblogs.com/quqibinggan/p/16374259.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。