前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 评估原则和模式 2
4.1 管理评估的原则 2
4.2 管理评估的工作模式 2
5 评估组织和活动 3
5.1 评估组织 3
5.1.1 评估实施团队 3
5.1.2 评估管理机构 3
5.1.3 被评估方相关人员 4
5.2 评估目标范围和依据 4
5.2.1 评估目标 4
5.2.2 评估范围 5
5.2.3 评估依据 5
5.3 评估活动内容 5
5.3.1 评估准备及启动 5
5.3.2 确定信息系统资产及安全需求 6
5.3.3 确定信息系统安全管理现状 8
5.3.4 确定信息系统安全管理评估结论 12
5.3.5 评估结束及后续安排 13
6 安全管理评估的方法、工具和实施 14
6.1 评估方法 14
6.1.1 访谈调查 14
6.1.2 符合性检查 15
6.1.3 有效性验证 16
6.1.4 技术检测 17
6.2 评估工具 19
6.2.1 调查表 19
6.2.2 访谈问卷 20
6.2.3 检查表 21
6.3 评估的实施 22
6.3.1 评估实施控制 22
6.3.2 评估结论判断 23
7 分等级管理评估 25
7.1 规划立项管理评估要求 25
7.1.1 本阶段评估范围 25
7.1.2 第一级信息系统 25
7.1.3 第二级信息系统 27
7.1.4 第三级信息系统 29
7.1.5 第四级信息系统 30
7.1.6 第五级信息系统 32
7.2 设计实施管理评估要求 34
7.2.1 本阶段评估范围 34
7.2.2 第一级信息系统 36
7.2.3 第二级信息系统 38
7.2.4 第三级信息系统 41
7.2.5 第四级信息系统 44
7.2.6 第五级信息系统 47
7.3 运行维护管理评估要求50
7.3.1本阶段评估范围50
7.3.2第一级信息系统52
7.3.3第二级信息系统54
7.3.4第三级信息系统56
7.3.5第四级信息系统59
7.3.6第五级信息系统62
7.4终止处置管理评估要求65
7.4.1本阶段评估范围65
7.4.2第一级信息系统66
7.4.3第二级信息系统67
7.4.4第三级信息系统69
7.4.5第四级信息系统71
7.4.6第五级信息系统73
附录A(资料性附录)信息系统安全管理评估参照表76
参考文献189
