信息系統(tǒng)安全等級保護(hù)等保測評安全管理測評.ppt
《信息系統(tǒng)安全等級保護(hù)等保測評安全管理測評.ppt》由會員分享,可在線閱讀,更多相關(guān)《信息系統(tǒng)安全等級保護(hù)等保測評安全管理測評.ppt(85頁珍藏版)》請在裝配圖網(wǎng)上搜索。
信息系統(tǒng)安全等級保護(hù) 安全管理測評,武漢安域信息安全技術(shù)有限公司 余少波 博士 地址:湖北武漢東湖開發(fā)區(qū)武大園路6號 電話:13281151232 電郵:caminopro,內(nèi)容,1、背景知識,安全管理的定義,“三分技術(shù),七分管理” 安全管理是指在信息系統(tǒng)中對需要人員來參與的活動采取必要的管理控制措施,對信息系統(tǒng)的生命周期全過程實施科學(xué)管理。,技術(shù)和管理的區(qū)別,安全技術(shù)主要通過在信息系統(tǒng)中合理部署軟硬件并正確配置其安全功能實現(xiàn)。 安全管理主要通過控制與信息系統(tǒng)相關(guān)各類人員的活動,采取文檔化管理體系,從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定實現(xiàn)。,技術(shù)和管理的聯(lián)系,兩者之間既互相獨立,又互相關(guān)聯(lián); 確保信息系統(tǒng)安全不可分割的兩個部分。,1、背景知識,安全管理結(jié)構(gòu)是指明確領(lǐng)導(dǎo)機(jī)構(gòu)和責(zé)任部門。設(shè)立或明確信息安全領(lǐng)導(dǎo)機(jī)構(gòu),明確主管領(lǐng)導(dǎo),落實責(zé)任部門,建立崗位和人員管理制度,根據(jù)職責(zé)分工,分別設(shè)置安全管理機(jī)構(gòu)和崗位,明確每個崗位的職責(zé)與任務(wù),落實安全管理責(zé)任制,1、背景知識,1、背景知識,安全管理制度是指確定安全管理策略,制定安全管理制度。確定安全管理目標(biāo)和安全策略,針對信息系統(tǒng)的各類管理活動,制定人員安全管理制度、系統(tǒng)建設(shè)管理制度、系統(tǒng)運維管理制度、定期檢查制度等,規(guī)范安全管理人員或操作人員的操作規(guī)程等,形成安全管理體系,1、背景知識,1、背景知識,人員安全管理是指加強(qiáng)人員的安全管理。規(guī)范人員錄用、離崗過程,關(guān)鍵崗位簽署保密協(xié)議,對各類人員進(jìn)行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn),對關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核。對外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等進(jìn)行控制,1、背景知識,1、背景知識,人員安全管理是指加強(qiáng)人員的安全管理。規(guī)范人員錄用、離崗過程,關(guān)鍵崗位簽署保密協(xié)議,對各類人員進(jìn)行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn),對關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核。對外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等進(jìn)行控制,1、背景知識,1、背景知識,系統(tǒng)建設(shè)管理是指加強(qiáng)系統(tǒng)建設(shè)過程的管理。制定系統(tǒng)建設(shè)相關(guān)的管理制度,明確系統(tǒng)定級備案、方案設(shè)計、產(chǎn)品采購使用、軟件開發(fā)、工程實施、驗收交付、等級測評、安全服務(wù)等內(nèi)容的管理責(zé)任部門、具體管理內(nèi)容和控制方法,并按照管理制度落實各項管理措施,1、背景知識,1、背景知識,系統(tǒng)運維管理是指加強(qiáng)系統(tǒng)運維過程的管理。制定系統(tǒng)運維相關(guān)的管理制度,明確環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等內(nèi)容的管理責(zé)任部門、具體管理內(nèi)容和控制方法,并按照管理制度落實各項管理措施,1、背景知識,1、背景知識,不同級別之間的區(qū)別,管理活動控制點的增加 每個控制點具體管理要求的增多 管理活動的能力逐步加強(qiáng) 借鑒能力成熟度模型(CMM) 一級 非正式執(zhí)行 二級 計劃和跟蹤 三級 良好定義 四級 持續(xù)改進(jìn),1、背景知識,內(nèi)容,2、測評依據(jù)和內(nèi)容,測評依據(jù), 信息系統(tǒng)安全等級保護(hù)基本要求GB/T22239-2008 信息系統(tǒng)安全等級保護(hù)測評要求(報批稿) 信息系統(tǒng)安全等級保護(hù)測評過程指南(報批稿),2、測評依據(jù)和內(nèi)容,標(biāo)準(zhǔn)中管理要求形成思路,政策和制度,機(jī)構(gòu)和人員,信息系統(tǒng)規(guī)劃管理,信息系統(tǒng)設(shè)計管理,信息系統(tǒng)實施管理,信息系統(tǒng)運維管理,信息系統(tǒng)廢棄管理,信 息 系 統(tǒng) 整 個 生 命 周 期,檢 查 和 監(jiān) 督 管 理,限制,指導(dǎo),執(zhí)行,監(jiān)督,2、測評依據(jù)和內(nèi)容,標(biāo)準(zhǔn)中管理要求覆蓋范圍,信息系統(tǒng)的生命周期,系統(tǒng)規(guī)劃(定級規(guī)劃等),系統(tǒng)設(shè)計(設(shè)計開發(fā)采購等),系統(tǒng)實施(安裝配置測試等),系統(tǒng)運維,系統(tǒng)廢棄,管理人員,管理制度,組織的使命目標(biāo)戰(zhàn)略政策,系統(tǒng)變更,管理機(jī)構(gòu),2、測評依據(jù)和內(nèi)容,測評內(nèi)容- GB/T 22239-2008,某級系統(tǒng),物理安全,技術(shù)要求,管理要求,等級保護(hù)要求,網(wǎng)絡(luò)安全,主機(jī)安全,應(yīng)用安全,數(shù)據(jù)安全,安全管理機(jī)構(gòu),安全管理制度,人員安全管理,系統(tǒng)建設(shè)管理,系統(tǒng)運維管理,2、測評依據(jù)和內(nèi)容,測評內(nèi)容- GB/T 22239-2008,安全管理(37) 安全管理制度(3) 安全管理機(jī)構(gòu)(5) 人員安全管理(5) 系統(tǒng)建設(shè)管理(11) 系統(tǒng)運維管理(13) 物理安全(10),2、測評依據(jù)和內(nèi)容,測評內(nèi)容- GB/T 22239-2008,類1,控制點1,控制點2,要 求 項 1,要 求 項 2,要 求 項 n,要 求 項 1,要 求 項 2,要 求 項 n,2、測評依據(jù)和內(nèi)容,測評內(nèi)容-GB/T 22239-2008,人員安全管理 人員錄用 a) 應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用; b) 人員離崗 人員考核 安全意識教育和培訓(xùn) 外部人員訪問管理,類,控制點,要求項,內(nèi)容,3、評測方法和流程,主要測評工具, 安全管理測評作業(yè)指導(dǎo)書 物理安全測評作業(yè)指導(dǎo)書,3、評測方法和流程,測評方式, 訪談 檢查,3、評測方法和流程,訪談測評人員通過與信息系統(tǒng)有關(guān)人員(個人/群體)進(jìn)行交流、討論等活動,獲取相關(guān)證據(jù)表明信息系統(tǒng)安全保護(hù)措施是否落實的一種方法。在訪談的范圍上,應(yīng)基本覆蓋所有的安全相關(guān)人員類型,在數(shù)量上可以抽樣。, 訪談內(nèi)容 訪談技巧 訪談對象 訪談作用,測評方式-訪談,3、評測方法和流程,問題開放式非開放式,如何管理和控制 軟件開發(fā)文檔?,是否成立 信息安全領(lǐng)導(dǎo)小組?,測評方式-訪談-訪談內(nèi)容,3、評測方法和流程, 基于作業(yè)指導(dǎo)書開展 訪談對象的選擇,覆蓋適當(dāng)?shù)膶哟魏吐毮?訪談應(yīng)在正常工作時間和工作地點 說明訪談和做記錄的原因 訪談可從請對方描述其工作開始 盡量避免提出有傾向性答案的問題 感謝對方的配合,測評方式-訪談-訪談技巧,3、評測方法和流程,安全主管 系統(tǒng)建設(shè)負(fù)責(zé)人 人事負(fù)責(zé)人 系統(tǒng)運維負(fù)責(zé)人 物理安全負(fù)責(zé)人 系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員、機(jī)房值班人員、資產(chǎn)管理員等,測評方式-訪談-訪談對象,3、評測方法和流程,安全主管 主要針對一些機(jī)構(gòu)信息安全方面的上層、頂層問題進(jìn)行廣泛式提問,包括機(jī)構(gòu)安全管理制度體系的構(gòu)成、部門的設(shè)置等; 主要集中在:安全管理制度、安全管理機(jī)構(gòu)。,各方面負(fù)責(zé)人(物理安全、人事、系統(tǒng)建設(shè)、系統(tǒng)運維) 主要針對機(jī)構(gòu)信息安全各個具體方面的問題進(jìn)行總體式提問 主要集中在:人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理、物理安全,測評方式-訪談-訪談對象,各類管理人員(系統(tǒng)安全管理員、網(wǎng)絡(luò)安全管理員等) 主要針對具體的信息安全問題進(jìn)行針對式提問,深入了解系統(tǒng)在某一特定方面的具體安全措施如何落實。,3、評測方法和流程,在安全管理測評中: 作用一:了解相關(guān)管理方面的情況,作為下一步測評工作的基礎(chǔ); 作用二:訪談結(jié)果作為判斷與其他幾種測評方式所得到證據(jù)是否一致; 作用三:作為相關(guān)管理方面實現(xiàn)要求與否的直接證據(jù);,測評方式-訪談-訪談作用,3、評測方法和流程,作用三例: 要求“應(yīng)根據(jù)系統(tǒng)的安全級別選擇基本安全措施,依據(jù)風(fēng)險分析的結(jié)果補(bǔ)充和調(diào)整安全措施;” 測評實施: 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問系統(tǒng)選擇基本安全措施的依據(jù),是否依據(jù)安全保護(hù)等級選擇,是否依據(jù)風(fēng)險分析的結(jié)果補(bǔ)充和調(diào)整安全措施,做過哪些調(diào)整。,測評方式-訪談-訪談作用,3、評測方法和流程,檢查不同于行政執(zhí)法意義上的監(jiān)督檢查,是指測評人員通過對測評對象進(jìn)行觀察、查驗、分析等活動,獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否有效的一種方法。,測評方式-檢查,3、評測方法和流程, 文檔查看 現(xiàn)場察看,測評方式-檢查-檢查方式,3、評測方法和流程, 各類文件 制度文檔 操作規(guī)程 執(zhí)行記錄 物理環(huán)境 基礎(chǔ)設(shè)施等,測評方式-檢查-檢查對象,3、評測方法和流程,“一對一”:通過訪談獲得肯定答案,通過檢查驗證訪談結(jié)果。 “多對一”:訪談內(nèi)容總體性,多個檢查操作驗證。 “一對無”:直接訪談或檢查,單一結(jié)果。 層層遞進(jìn)、共同體現(xiàn)、綜合分析、把握核心。,測評方式-檢查-檢查與訪談關(guān)系,3、評測方法和流程,測評工作前期準(zhǔn)備-現(xiàn)場檢查文檔列表,制度類文檔 機(jī)房安全管理制度 網(wǎng)路安全管理制度 介質(zhì)安全管理制度 人員離崗管理文檔 ,記錄和證據(jù)類文檔 進(jìn)出機(jī)房的登記記錄 存儲介質(zhì)歸檔、查詢記錄 安全事件處置過程記錄 應(yīng)急預(yù)案演練記錄 人員保密協(xié)議 消防檢測報告 ,3、評測方法和流程,測評工作前期準(zhǔn)備-現(xiàn)場檢查文檔列表,3、評測方法和流程,測評工作前期準(zhǔn)備-現(xiàn)場配合人員名單, 幾點說明 根據(jù)角色分工,明確其熟知的安全控制點,確定訪談配合人員 以配合人員為主,根據(jù)對其訪談內(nèi)容的多少,估算大約占用對方的時間,以便其明確具體時間安排,3、評測方法和流程,測評工作前期準(zhǔn)備-文檔交接單,根據(jù)各單位內(nèi)部管理程序自行設(shè)計 明確的基本信息包括: 交接文檔名稱 文檔密級 歸還日期、接收日期 提交接收人簽名、歸還接收人簽名 等等,3、評測方法和流程,采用一定的“測評方式”通過執(zhí)行一些活動,了解“測評對象”對要求項/測評項的實現(xiàn)情況,從而構(gòu)成了測評實施方法 信息系統(tǒng)安全等級保護(hù)測評要求的管理部分,測評項,測評方式,測評對象,測評實施,安全管理要求項,檢查和訪談,人員、文檔,測評方式+對象+活動/操作,現(xiàn)場測評工具準(zhǔn)備-安全管理測評作業(yè)指導(dǎo)書開發(fā),3、評測方法和流程, (示例)安全管理機(jī)構(gòu),現(xiàn)場測評工具準(zhǔn)備-安全管理測評作業(yè)指導(dǎo)書開發(fā),3、評測方法和流程,作業(yè)指導(dǎo)書開發(fā)基本步驟 第一步:從基本要求中選擇“控制點”(測評指標(biāo))和“要求項”(測評項); 第二步: 從測評要求中選擇“測評方法”; 第三步: 結(jié)合信息系統(tǒng)實際情況調(diào)整“測評方法”; 第四步: 形成最終作業(yè)指導(dǎo)書。,現(xiàn)場測評工具準(zhǔn)備-安全管理測評作業(yè)指導(dǎo)書開發(fā),3、評測方法和流程,測評對象,測評方式,現(xiàn)場測評工具準(zhǔn)備-物理安全測評作業(yè)指導(dǎo)書開發(fā),3、評測方法和流程,具體開發(fā)方法和步驟可以參考“安全管理測評作業(yè)指導(dǎo)書開發(fā)”,現(xiàn)場測評工具準(zhǔn)備-物理安全測評作業(yè)指導(dǎo)書開發(fā),3、評測方法和流程,基本活動 檢查是否存在有關(guān)的規(guī)定、制度或規(guī)程文檔; 檢查文檔的描述細(xì)節(jié)是否涉及相關(guān)的內(nèi)容; 檢查是否存在有關(guān)執(zhí)行過程的記錄文件或說明文件(證據(jù)); 檢查文件的記錄內(nèi)容是否與規(guī)定、制度或規(guī)程的要求一致; 訪談相關(guān)人員,要求其對描述不理解或記錄不理解內(nèi)容的解釋或說明; 訪談相關(guān)人員,要求其對管理過程或執(zhí)行過程解釋和說明。,測評流程-安全管理測評流程,3、評測方法和流程,測評流程 第一步,根據(jù)現(xiàn)場配合人員名單,進(jìn)一步明確協(xié)調(diào)人員、訪談人員及時間 第二步,根據(jù)檢查文檔列表,獲得制度、記錄、規(guī)程等各類文檔,并填寫文檔交接單 第三步,審閱各類文檔,并在現(xiàn)場測評作業(yè)指導(dǎo)書的相關(guān)項中進(jìn)行結(jié)果記錄 第四步,針對不確定項訪談相關(guān)人員或獲得額外證據(jù)并記錄 第五步,整理作業(yè)指導(dǎo)書的結(jié)果記錄,并確認(rèn)簽字 第六步歸還所有文檔并在文檔交接單中簽字,測評流程-安全管理測評流程,3、評測方法和流程,基本活動 實地察看場地條件、環(huán)境條件是否符合要求; 實地察看設(shè)備、設(shè)施是否工作正常; 實地察看是否存在有關(guān)設(shè)備、設(shè)施、標(biāo)簽、標(biāo)識等; 檢查設(shè)備、設(shè)施的檢測報告或維護(hù)日志、檢查機(jī)房設(shè)計驗收文檔; 訪談相關(guān)人員,要求對不理解之處進(jìn)行解釋或說明; 訪談相關(guān)人員,要求對管理過程或執(zhí)行過程補(bǔ)充解釋和說明,測評流程-物理安全測評流程,3、評測方法和流程,測評流程 第一步,實地察看場地條件、環(huán)境條件; 第二步,實地察看設(shè)備、設(shè)施運行狀態(tài); 第三步,實地察看存在的有關(guān)設(shè)備、設(shè)施、標(biāo)簽、標(biāo)識等; 第四步,檢查檢測報告或維護(hù)日志、檢查機(jī)房設(shè)計驗收文檔;(可在進(jìn)機(jī)房前完成) 第五步,針對不確定項訪談相關(guān)人員; 第六步,整理作業(yè)指導(dǎo)書,整理結(jié)果記錄并確認(rèn)簽字,測評流程-物理安全測評流程,內(nèi)容,4、安全管理現(xiàn)場測評實施,測評內(nèi)容及要點說明, 安全管理制度(3) 安全管理機(jī)構(gòu)(5) 人員安全管理(5) 系統(tǒng)建設(shè)管理(11) 系統(tǒng)運維管理(13),4、安全管理現(xiàn)場測評實施,測評內(nèi)容及要點說明-安全管理制度,安全管理制度(三級),管理制度,制訂和發(fā)布,評審和修改,4、安全管理現(xiàn)場測評實施,落實要點 總體方針政策文件、各類管理制度、各種操作規(guī)程三類文檔 三類文檔之間的連貫性,管理制度的覆蓋面 管理制度文件的格式、版本、修訂記錄、各種評審記錄以及發(fā)放登記記錄 制定和修訂方面的文字具體要求,修訂計劃,修訂流程 安全管理制度制、修訂的責(zé)任人,具體制定、發(fā)布流程,落實難點: 安全方針、管理制度、操作規(guī)程三層文件形成管理制度文件體系 管理制度定期的評審、修訂、完善,測評內(nèi)容及要點說明-安全管理制度,4、安全管理現(xiàn)場測評實施,測評內(nèi)容及要點說明-安全管理機(jī)構(gòu),4、安全管理現(xiàn)場測評實施,落實要點 查看崗位職責(zé)文件了解:安全管理組織構(gòu)成情況,信息安全領(lǐng)導(dǎo)小組-信息安全管理工作的職能部門-具體崗位,具體職責(zé)分工情況; 機(jī)構(gòu)人員及崗位人員名單,了解各管理員崗位人員配備情況(如安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、文檔管理員); 對關(guān)鍵崗位的定義; 根據(jù)崗位人員配備名單了解安全管理員是否是專職人員,其他崗 位人員配備情況關(guān)鍵崗位是否配備兩人或兩人以上 審批事項、審批部門、批準(zhǔn)人及審批程序等(制度),審批過程實際執(zhí)行記錄,了解授權(quán)和審批情況 各類會議紀(jì)要、外協(xié)單位聯(lián)系檔案,了解部門內(nèi)外溝通和合作情況 安全檢查周期、內(nèi)容、程序等(制度),各類安全檢查表格、以往安全檢查記錄或總結(jié)了解對信息系統(tǒng)的安全檢查情況,測評內(nèi)容及要點說明-安全管理機(jī)構(gòu),4、安全管理現(xiàn)場測評實施,落實難點 安全領(lǐng)導(dǎo)小組或安全管理委員會 專職安全管理員 關(guān)鍵崗位配備多人 聘請信息安全專家作為常年的安全顧問 關(guān)鍵活動的雙重審批制度 定期的全面安全檢查,測評內(nèi)容及要點說明-安全管理機(jī)構(gòu),4、安全管理現(xiàn)場測評實施,測評內(nèi)容及要點說明-人員安全管理,4、安全管理現(xiàn)場測評實施,落實要點 錄用、離崗、考核、安全意識教育和培訓(xùn)方面的規(guī)定 安全保密協(xié)議和關(guān)鍵崗位的安全協(xié)議 離崗交接記錄 安全技術(shù)考核記錄 培訓(xùn)計劃和培訓(xùn)記錄 外部人員訪問方面的規(guī)定(制度),落實難點 關(guān)鍵崗位人員的社會背景審查,關(guān)鍵崗位安全協(xié)議; 安全技能和安全認(rèn)知的考核; 對外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容的詳細(xì)書面規(guī)定。,測評內(nèi)容及要點說明-人員安全管理,4、安全管理現(xiàn)場測評實施,測評內(nèi)容及要點說明-系統(tǒng)建設(shè)管理,4、安全管理現(xiàn)場測評實施,落實要點 信息系統(tǒng)定級報告 未來幾年的安全建設(shè)規(guī)劃 安全設(shè)計方案、工程實施方案 軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付等方面規(guī)定 產(chǎn)品采購的候選產(chǎn)品名單 系統(tǒng)集成建設(shè)工程實施過程控制記錄、各個階段產(chǎn)品評審記錄 測試驗收報告、安全性測試報告 系統(tǒng)備案證書 等級測評報告 安全產(chǎn)品銷售許可證復(fù)印件 與安全服務(wù)商簽訂的保密協(xié)議或安全責(zé)任書,測評內(nèi)容及要點說明-系統(tǒng)建設(shè)管理,4、安全管理現(xiàn)場測評實施,落實難點 對主要的活動均需要制度來指導(dǎo)和約束,規(guī)范化地執(zhí)行各種活 動,留有記錄文件 外包開發(fā)軟件安裝前的惡意代碼檢測和后門程序?qū)彶?系統(tǒng)正式投入運行前獨立第三方進(jìn)行的安全性測試 每年一次的等級測評,測評內(nèi)容及要點說明-系統(tǒng)建設(shè)管理,4、安全管理現(xiàn)場測評實施,測評內(nèi)容及要點說明-系統(tǒng)運維管理,4、安全管理現(xiàn)場測評實施,環(huán)境管理 機(jī)房安全管理制度 機(jī)房基礎(chǔ)設(shè)施定期維護(hù)記錄、機(jī)房進(jìn)出登記記錄 指定機(jī)房基礎(chǔ)設(shè)施維護(hù)負(fù)責(zé)人 辦公環(huán)境的安全管理 資產(chǎn)管理 資產(chǎn)安全管理制度 資產(chǎn)清單,資產(chǎn)重要程度標(biāo)識 對信息分類標(biāo)識的原則和方法進(jìn)行說明的文檔,測評內(nèi)容及要點說明-系統(tǒng)運維管理,4、安全管理現(xiàn)場測評實施,介質(zhì)管理 介質(zhì)安全管理制度 介質(zhì)本地、異地存儲環(huán)境條件,分類和標(biāo)識 介質(zhì)歸檔、查詢的登記記錄 重要介質(zhì)送出維修或銷毀前的審批記錄 重要介質(zhì)中數(shù)據(jù)或軟件的加密存儲的說明文檔 設(shè)備管理 設(shè)備安全管理制度 指定設(shè)備管理的責(zé)任人或責(zé)任部門 重要網(wǎng)絡(luò)設(shè)備或服務(wù)器的操作規(guī)程 設(shè)備帶離機(jī)房或辦公環(huán)境的審批記,測評內(nèi)容及要點說明-系統(tǒng)運維管理,4、安全管理現(xiàn)場測評實施,監(jiān)控管理和安全管理中心 主機(jī)監(jiān)控系統(tǒng)、網(wǎng)絡(luò)監(jiān)控系統(tǒng)、業(yè)務(wù)應(yīng)用監(jiān)控系統(tǒng)及相應(yīng)責(zé)任人 監(jiān)控和報警記錄的分析報告 對設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級、安全審計的集中管理 網(wǎng)絡(luò)安全管理 網(wǎng)絡(luò)安全管理制度及負(fù)責(zé)人員 網(wǎng)絡(luò)安全管理的日常工作,包括本地用戶和遠(yuǎn)程用戶的訪問管理、網(wǎng)絡(luò)接入管理、網(wǎng)絡(luò)設(shè)備管理、漏洞掃描、網(wǎng)絡(luò)狀態(tài)監(jiān)控等 日常管理工作的記錄、重要事項的審批記錄,測評內(nèi)容及要點說明-系統(tǒng)運維管理,4、安全管理現(xiàn)場測評實施,系統(tǒng)安全管理 系統(tǒng)(主機(jī))安全管理制度及負(fù)責(zé)人員 系統(tǒng)(主機(jī))安全管理的日常工作,包括帳戶管理、角色權(quán)限管理、補(bǔ)丁管理、漏洞掃描、日志或?qū)徲嬓畔⒎治?、日常維護(hù)等 日常管理工作的記錄、重要操作的審批文檔 惡意代碼防范管理 惡意代碼防范管理制度及負(fù)責(zé)人員 惡意代碼防范的日常工作,包括惡意代碼檢測、病毒庫更新、惡意代碼信息分析、惡意代碼防范意識教育等 惡意代碼的集中分析結(jié)果記錄或報告 日常管理工作的記錄,測評內(nèi)容及要點說明-系統(tǒng)運維管理,4、安全管理現(xiàn)場測評實施,密碼管理 密碼使用管理制度 密碼設(shè)備具有證書,密碼算法符合國家相關(guān)規(guī)定 變更管理 變更管理制度 變更方案 變更的審批記錄 變更后相關(guān)管理制度和操作規(guī)程的變化 失敗變更的恢復(fù)文件化程序及恢復(fù)過程的演練記錄,測評內(nèi)容及要點說明-系統(tǒng)運維管理,4、安全管理現(xiàn)場測評實施,備份和恢復(fù)管理 備份和恢復(fù)管理制度 備份和恢復(fù)的策略文檔及操作規(guī)程 備份過程記錄文檔 系統(tǒng)啟動或切換的操作規(guī)程 數(shù)據(jù)恢復(fù)或系統(tǒng)切換的操作記錄 備份介質(zhì)的有效性檢查記錄,測評內(nèi)容及要點說明-系統(tǒng)運維管理,4、安全管理現(xiàn)場測評實施,安全事件處置管理 安全事件報告和處置管理制度,包括安全事件定義、定級、報告流程、不同事件的響應(yīng)和處置流程 安全事件處置過程的記錄 應(yīng)急預(yù)案管理 應(yīng)急預(yù)案總體框架 各類主要事件的具體應(yīng)急預(yù)案 應(yīng)急預(yù)案涉及人員、設(shè)備等的滿足情況 應(yīng)急預(yù)案的培訓(xùn)記錄、演練記錄 應(yīng)急預(yù)案文檔的更新維護(hù),測評內(nèi)容及要點說明-系統(tǒng)運維管理,4、安全管理現(xiàn)場測評實施,落實難點 辦公環(huán)境的安全管理 信息分類標(biāo)識的原則和方法 重要介質(zhì)中數(shù)據(jù)或軟件的加密存儲 安全審計的集中管理 定期的網(wǎng)絡(luò)和系統(tǒng)漏洞掃描 對移動式、便攜式設(shè)備接入網(wǎng)絡(luò)的安全管理 對違規(guī)聯(lián)網(wǎng)行為的管理 系統(tǒng)運行日志和審計數(shù)據(jù)的分析 系統(tǒng)角色權(quán)限的劃分和管理 定期的主機(jī)和網(wǎng)絡(luò)惡意代碼檢測、病毒庫升級 變更失敗的文件化恢復(fù)程序,變更失敗恢復(fù)演練 變更后對相關(guān)制度和操作規(guī)程的修訂 數(shù)據(jù)恢復(fù)或系統(tǒng)切換的操作記錄,備份介質(zhì)的有效性檢查 信息安全事件的分類、分級處置流程 具體信息安全事件的應(yīng)急預(yù)案,應(yīng)急預(yù)案培訓(xùn)和演練 應(yīng)急預(yù)案文檔的維護(hù)和更新,測評內(nèi)容及要點說明-系統(tǒng)運維管理,4、安全管理現(xiàn)場測評實施,事項一:系統(tǒng)某一控制點或某條要求不適用該級別的基本要求(如外包軟件開發(fā)、自行軟件開發(fā)),例:人員考核第一條“應(yīng)定期對各個崗位人員進(jìn)行安全技能及安全認(rèn)知的考核”,通過訪談獲知委托測評方從未進(jìn)行過安全技能及安全認(rèn)知的考核,那么該控制點對考核結(jié)果記錄要求的要求項可以為不適用嗎?,安全管理現(xiàn)場測評實施-測評注意事項,一定不要濫用“不適用”如某條要求沒有達(dá)到,由于下面一條要求與其有關(guān)聯(lián)關(guān)系,那么這條要求不能說不適用,而是不符合。 或者說,只能由不適用推導(dǎo)到不適用,而不能由不符合推導(dǎo)為不適用。,4、安全管理現(xiàn)場測評實施,事項二:當(dāng)訪談結(jié)果與檢查結(jié)果不一致時,應(yīng)綜合分析,不能片面的采信任何一方。,安全管理現(xiàn)場測評實施-測評注意事項,事項三:訪談以具體對象展開,而不以控制點或要求展開。,事項四:訪談是獲得證據(jù)不可或缺的手段,但往往訪談回答信息的客觀性、準(zhǔn)確性,依被訪談角色對相關(guān)內(nèi)容了解程度、以及雙方的有效溝通而定,因此需要測評人員正確引導(dǎo)和判斷。,事項五:在檢查文檔時發(fā)現(xiàn)不同文檔針對同一方面內(nèi)容要求不一致,應(yīng)分析原因,結(jié)合其他測評方式所獲證據(jù)來判斷。,事項六:所檢查的文檔應(yīng)是機(jī)構(gòu)目前已正式發(fā)布實施的有效文檔。,4、安全管理現(xiàn)場測評實施,事項八:其他測評項獲取的證據(jù),也可能會成為某一測評項判定的依據(jù)。,安全管理現(xiàn)場測評實施-測評注意事項,事項七:制度文檔的審閱一方面要檢查制度文檔的規(guī)范內(nèi)容,另外應(yīng)通過審閱記錄文檔檢查制度文檔的落實,若二者存在不一致,應(yīng)進(jìn)一步尋找證據(jù),最終確認(rèn)是制度未得到有效落實還是制度文檔需要修訂。,事項九:當(dāng)由于某種原因機(jī)構(gòu)無法提供原有的所要求的證據(jù)時,其他證據(jù)效力等同時,可采納。,事項十:文檔名稱可能不同,需進(jìn)一步確認(rèn)文檔具體內(nèi)容。,事項十一:在系統(tǒng)運維管理的測評中,一些測評要求涉及到技術(shù)方面的要求,二者之間存在不同的側(cè)重點。,4、安全管理現(xiàn)場測評實施,實例一 要求“應(yīng)定期或不定期對安全管理制度進(jìn)行檢查和審定,對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂;”,安全管理現(xiàn)場測評實施-測評實例,實例二 要求1“關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理?!?要求2“應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員,并簽署崗位安全協(xié)議。”,實例三 要求1“應(yīng)確保安全產(chǎn)品的采購和使用符合國家的有關(guān)規(guī)定;” 要求2“應(yīng)確保密碼產(chǎn)品的采購和使用符合國家密碼主管部門的要求;” 要求3“應(yīng)確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定; ”,4、安全管理現(xiàn)場測評實施,實例四 要求“應(yīng)定期審查審批事項,及時更新需授權(quán)和審批的項目、審批部門和審批人等信息;”,安全管理現(xiàn)場測評實施-測評實例,實例五 要求“應(yīng)制定安全事件報告和響應(yīng)處理程序,確定事件的報告流程,響應(yīng)和處置的范圍、程度,以及處理方法等; ”,實例六 要求“應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案,應(yīng)急預(yù)案框架應(yīng)包括啟動預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程和事后教育和培訓(xùn)等內(nèi)容; ”,4、物理安全現(xiàn)場測評實施,物理安全現(xiàn)場測評實施-測評內(nèi)容及要點說明,4、物理安全現(xiàn)場測評實施,落實要點 機(jī)房、建筑的各類設(shè)計/驗收文檔(機(jī)房位置選擇說明、機(jī)房建筑承重能力、機(jī)房建筑防雷、機(jī)房綜合布線及接地、自動消防系統(tǒng)、機(jī)房防火、機(jī)房空調(diào)和新風(fēng)系統(tǒng)、電力供應(yīng)和電磁防護(hù)等) 機(jī)房專人值守、門禁系統(tǒng)、分區(qū)管理、登記記錄、專人陪同 設(shè)備和信息線不易除去的標(biāo)識、介質(zhì)分類標(biāo)識及存放環(huán)境 機(jī)房視頻監(jiān)控系統(tǒng) 機(jī)房防盜報警系統(tǒng) 電源線和信號線上的防雷保安器(光纖接入除外) 自動消防報警系統(tǒng)運行狀態(tài)、手提式或便攜式滅火器的擺放位置及有效期、消防演習(xí)記錄 機(jī)房天花板及墻壁是否存在防潮及結(jié)露現(xiàn)象,機(jī)房屋頂或活動地板下是否有水管、對外開放窗戶的防雨措施 機(jī)房空調(diào)溫濕度顯示、機(jī)房日常巡檢溫濕度記錄 雙路市電接入、UPS滿負(fù)荷時最大負(fù)載、備用供電系統(tǒng),電力供應(yīng)應(yīng)急演練記錄,物理安全現(xiàn)場測評實施-測評內(nèi)容及要點說明,4、物理安全現(xiàn)場測評實施,落實難點 機(jī)房防盜報警系統(tǒng) 機(jī)房區(qū)域隔離防火措施 雙路市電供電或備用供電系統(tǒng),物理安全現(xiàn)場測評實施-測評內(nèi)容及要點說明,4、物理安全現(xiàn)場測評實施,事項一:現(xiàn)場查看機(jī)房基礎(chǔ)設(shè)施建設(shè)情況時,設(shè)施的有無并不能反映落實與否,關(guān)鍵查看該設(shè)施是否是有效的、正常運行。,物理安全現(xiàn)場測評實施-測評注意事項,事項二:當(dāng)機(jī)房根據(jù)用途不同分為多個房間,處于不同位置時,各個機(jī)房應(yīng)按相關(guān)的物理安全要求分別檢查。,4、物理安全現(xiàn)場測評實施,實例一 要求“機(jī)房出入口應(yīng)有專人值守并配置電子門禁系統(tǒng),控制、鑒別和記錄進(jìn)入的人員; ”,物理安全現(xiàn)場測評實施-測評實例,實例二 要求“應(yīng)對機(jī)房劃分區(qū)域進(jìn)行管理,區(qū)域和區(qū)域之間設(shè)置物理隔離裝置,在重要區(qū)域前設(shè)置交付或安裝等過度區(qū)域; ”,實例三 要求“應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房的防盜報警系統(tǒng); ”,實例四 要求“機(jī)房應(yīng)采取區(qū)域隔離防火措施,將重要設(shè)備與其他設(shè)備隔離開?!?4、物理安全現(xiàn)場測評實施,問題補(bǔ)充說明,當(dāng)對一個機(jī)構(gòu)內(nèi)多個不同信息系統(tǒng)同時進(jìn)行測評時,需分析機(jī)構(gòu)、系統(tǒng)與要求之間的關(guān)系。 結(jié)果判定:現(xiàn)場客觀記錄后期主觀分析、客觀評判,睿智勤勉和諧,武漢安域信息安全技術(shù)有限公司 地址:湖北武漢東湖開發(fā)區(qū)武大園路6號 郵編:430079 電話:13281151232 電郵:caminopro,- 1.請仔細(xì)閱讀文檔,確保文檔完整性,對于不預(yù)覽、不比對內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請點此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
14.9 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標(biāo),表示該PPT已包含配套word講稿。雙擊word圖標(biāo)可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計者僅對作品中獨創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 信息系統(tǒng)安全 等級 保護(hù) 測評 安全管理
鏈接地址:http://m.italysoccerbets.com/p-2480700.html