《XXXX安全管理制度汇编》安全现状评估管理办法
目录
编制说明 (3)
第一章总则 (4)
第二章安全现状评估的要求 (4)
第三章安全现状评估内容和标准 (5)
第四章附则 (6)
第一节文挡信息 (6)
第二节版本控制 (6)
第三节其他信息 (6)
编制说明
为进一步贯彻党中央和国务院批准的《国家信息化领导小组关于加强信息安全保障工作的意见》及其“重点保护基础信息网络和重要信息系统安全”的思想、贯彻信息产业部“积极预防、及时发现、快速反应、确保恢复”的方针和“同步规划、同步建设、同步运行”的要求，特制定本制度。

本制度依据我国信息安全的有关法律法规，结合XXXX的自身业务特点、并参考国际有关信息安全标准制定的。

《XXXX安全管理制度汇编安全现状评估管理办法》是风险管理趋专业化的体现，其中包含了资产管理、威胁管理和弱点管理等。

第一章总则
第一条制度目标：为了加强信息安全保障能力，建立健全的安全管理体系，提高整体的网络与信息安全水平，保证网络通信畅通和业务系统的正常运营，提高网络服务质量，在安全体系框架下，本制度规范安全体系实施的监督、检查机制；是安全体系制度的建设及检查制度。

第二条适用范围：本制度适用于信息安全管理小组，信息安全实施组，部门安全管理组织及系统管理员。

第三条制度相关性：本制度为《XXXX安全管理制度汇编安全体系管理办法》提供支撑，同时与《XXXX安全管理制度汇编检查及考核管理办法》及《XXXX安全管理制度汇编安全监控及审计管理办法》相关。

第二章安全现状评估的要求
第四条信息安全管理小组应每个季度对整体信息安全现状进行评估，整理评估结果，提交信息安全工作组，评估结果应能反映的整体安全状况。

第五条各部门应每个季度对本部门的系统进行安全现状评估，整理评估结果，提交信息安全管理小组进行备案。

第六条安全现状评估过程中各部门要对资产管理进行安全评估，根据“某信息安全管理系统”中的资产管理安全要求进行核实，具体内容详见《XXXX安全管理制度汇编信息资产管理办法》中的规定。

第七条安全现状评估过程中各部门要对各业务系统中的设备弱点进行安全评估。

第八条安全现状评估过程中各部门要对各业务系统进行安全事件审计，记录安全事件审计结果，并提交信息安全管理小组，通过网络与信息安全管理系统进行备案。

第九条各部门安全现状评估应由各部门信息安全组织负责完成，评估结果提交信息安全工作组进行备案。

第三章安全现状评估内容和标准
第十条安全现状评估的标准是根据各系统在安全体系中选定的安全目标和安全要求而定，应严格按照已确定的安全要求进行评估。

第十一条安全现状评估可以根据是否按照安全要求进行执行来判断，如果按安全要求严格执行，则判定“完成”；如果按安全要求执行一部分，则判定“部分完成”，并说明完成情况；如果没有按安全要求执行，则判定“未完成”，并说明未完成原因。

第十二条安全现状评估可以通过网络与信息安全管理系统的安全体系模块进行实现，首次评估应根据《安全体系运作流程》中的相关内容进行确认和审批，通过后可以进行安全评估。

第十三条通过网络与信息安全管理系统进行安全现状评估后，系统会自动显示评估结果，与安全目标和安全要求之间的差距，此项信息作为后续安全工作的指南。

第十四条安全现状评估的具体内容包括以下几个方面的内容：
（一）安全制度；
（二）安全组织；
（三）安全运作流程；
（四）网络及网络设备；
（五）主机系统；
（六）数据库系统；
（七）生产终端系统；
（八）应用系统。

第十五条会对安全现状评估结果进行审计，并把审计成果公布在网络与信息安全管理系统主页面上。

第十六条安全现状评估成果会作为各部门、系统安全考核的指标之一。

第四章附则
第一节文挡信息
第十七条本制度由业务科技处制定，并负责解释和修订。

由信息安全工作组讨论通过，发布执行。

第十八条本制度自发布之日起执行。

第二节版本控制
第十九条对本制度所有修改及审批、发布都按时间顺序记录在此。

第三节其他信息
第二十条本制度中所称的人员角色职责由各部门人员分别担任，可能现有岗位的职工在不同时期所担任的角色不同，甚至身兼多种角色，这种情况下该职工应该履行所兼每种角色的安全职责。

第二十一条《XXXX安全管理制度汇编》定义了信息安全体系的整体结构、安全组织及各角色岗位的职责、以及覆盖各项安全内容的安全管理制度。

所有职工均应把《XXXX安全管理制度汇编》的规定作为信息安全工作的基本要求，其内容一经颁布将在一定时间内长期有效，其涉及的所有部门或个人均需对其负责。