安全管理制度-(四)评审和修订
安全管理制度
控制点
4.
评审和修订安全管理制度体系制定并实施后,需要由网络安全领导小组或委员会对其适用性定期进行评审和修订,尤其当发生重大安全事故、出现新的漏洞以及技术基础结构发生变更时,需要对部分制度进行评审修订,以适应外界环境和情况的变化。
安全要求(重要):应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。
要求解读:安全管理制度的定期评审和修订主要考虑制度体系整体性是否合理、体系各要素(如安全策略、管理制度或操作规程等)是否合理。
安全管理制度体系涉及从上层方针到管理制度再到操作规程等整个单位等级保护对象安全相关的所有文件,这里的定期一般可以为一年,具体可根据组织的情况进行约定;一旦发生可能引起安全管理制度不适用的事件时应该主动对安全管理制度进行检查和审定,发现不足应及时修订。
一般情况下,一个正式发布的文档修订记录包括:日期、版本、描述、作者、审批人、审批日期。
测评方法
1.访谈信息/网络安全主管。了解是否定期对安全管理制度体系的合理性和适用性进行审定。
2.核查是否具有安全管理制度的审定或论证记录,如果对制度做过修订,核查是否有修订版本的安全管理制度。
期望结果
1.具有安全管理制度的核查或评审记录。
2.如果对安全管理制度进行了修订,则有修订版本的安全管理制度,且修订内容与评审记录保持一致。