等級保護(hù)現(xiàn)場測評記錄表(二級)_第1頁
等級保護(hù)現(xiàn)場測評記錄表(二級)_第2頁
等級保護(hù)現(xiàn)場測評記錄表(二級)_第3頁
等級保護(hù)現(xiàn)場測評記錄表(二級)_第4頁
等級保護(hù)現(xiàn)場測評記錄表(二級)_第5頁
已閱讀5頁,還剩55頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

信息系統(tǒng)安全等級保護(hù)二級管理要求,,,

項(xiàng)目,指標(biāo)要求,測評實(shí)施,結(jié)果記錄

一、安全管理制度,,,

1、管理制度(G2),"a)應(yīng)制定信息安全工作的總體方針和安全策略,說明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等;

b)應(yīng)對安全管理活動中重要的管理內(nèi)容建立安全管理制度;

c)應(yīng)對要求管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程。

","a)檢查信息安全工作的總體方針和安全策略文件,查看文件是否明確機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等;",

,,"b)檢查各項(xiàng)安全管理制度,查看是否覆蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、建設(shè)和管理等層面的重要管理內(nèi)容;",

,,c)應(yīng)檢查是否具有重要管理操作的操作規(guī)程(如系統(tǒng)維護(hù)手冊和用戶操作規(guī)程等)。,

2、制定和發(fā)布(G2),"a)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定;

b)應(yīng)組織相關(guān)人員對制定的安全管理進(jìn)行論證和審定;

c)應(yīng)將安全管理制度以某種方式發(fā)布到相關(guān)人員手中。

",a)應(yīng)訪談安全主管,詢問是否有專門的部門或人員負(fù)責(zé)制定安全管理制度;,

,,"b)應(yīng)訪談安全管理制度制、修訂人員,詢問安全管理制度的制定程序和發(fā)布方式,是否對制定的安全管理制度進(jìn)行論證和審定,論證和評審方式如何;",

,,c)檢查管理制度評審記錄,查看是否有相關(guān)人員的評審意見。,

3、評審和修訂(G2),a)應(yīng)定期對安全管理制度進(jìn)行評審,對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。,"a)訪談安全主管,詢問是否定期對安全管理制度進(jìn)行評審,評審周期多長,發(fā)現(xiàn)存在不足或需要改進(jìn)的是否進(jìn)行修訂;",

,,b)檢查安全管理制度評審記錄,查看記錄的日期間隔與評審周期是否一致;如果對制度做過修訂,檢查是否有修訂版本的安全管理制度。,

二、安全管理機(jī)構(gòu),,,

1、崗位設(shè)置(G2),"a)應(yīng)安全主管、安全管理的各個(gè)方面負(fù)責(zé)人的崗位,并定義各負(fù)責(zé)人的職責(zé);

b)應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位,并定義各個(gè)工作崗位的職責(zé)。",a)訪談安全主管,詢問設(shè)置了哪些工作崗位,各崗位的職責(zé)分工是否明確;詢問是否設(shè)立安全管理各個(gè)方面的負(fù)責(zé)人;,

,,b)訪談安全主管、安全管理某方面的負(fù)責(zé)人,詢問其崗位職責(zé)包括哪些內(nèi)容;,

,,c)檢查崗位職責(zé)文檔,查看文檔是否明確設(shè)置安全主管、安全管理各個(gè)方面的負(fù)責(zé)人、機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和安全管理員等各個(gè)崗位,各個(gè)崗位的職責(zé)范圍是否清晰、明確。,

2、人員配備(G2),"a)應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等;

b)安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等。

",a)訪談安全主管,詢問各個(gè)安全管理崗位人員的配備情況,包括數(shù)量、專職還是兼職等;,

,,b)檢查安全管理各崗位人員信息表,查看其是否明確機(jī)房管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位人員的信息,確認(rèn)安全管理員是否沒有兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等崗位。,

3、授權(quán)和審批(G2),"a)應(yīng)根據(jù)各個(gè)部門的崗位和職責(zé)明確授權(quán)審批部門及批準(zhǔn)人,對系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問等關(guān)鍵活動進(jìn)行審批;

b)應(yīng)針對關(guān)鍵流程建立審批流程,并由批準(zhǔn)人簽字確認(rèn)。

",a)訪談安全主管,詢問其是否對信息系統(tǒng)中的關(guān)鍵活動進(jìn)行審批,審批部門是何部門,批準(zhǔn)人是何人,他們的審批活動是否得到授權(quán);,

,,b)訪談安全主管,詢問其對關(guān)鍵活動的審批范圍包括哪些,審批程序如何;,

,,"c)檢查審批管理制度文檔,查看文檔中是否明確對系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問等關(guān)鍵活動進(jìn)行審批的審批部門和批準(zhǔn)人,是否明確審批程序;",

,,d)檢查經(jīng)審批的文檔,查看審批程序與文件要求是否一致,是否有批準(zhǔn)人的簽字和審批部門的蓋章。,

4、溝通和合作(G2),"a)應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通;

b)應(yīng)加強(qiáng)與兄弟單位、公安機(jī)關(guān)、電信公司的合作與溝通。

",a)訪談安全主管,詢問是否經(jīng)常與公安機(jī)關(guān)、電信公司和兄弟單位聯(lián)系,聯(lián)系和合作方式有哪些,與組織機(jī)構(gòu)內(nèi)其他部門之間通過哪些方式進(jìn)行交流和溝通,信息安全職能部門內(nèi)部各類管理人員之間通過哪些方式進(jìn)行交流和溝通;,

,,b)檢查部門間和部門內(nèi)部溝通和合作的相關(guān)文檔,查看是否包括工作內(nèi)容、參加人員等的描述;,

,,c)檢查是否有組織機(jī)構(gòu)內(nèi)部人員聯(lián)系表;,

,,"d)檢查外聯(lián)單位說明文檔,查看外聯(lián)單位是否包含公安機(jī)關(guān)、電信公司及兄弟單位等。

",

5、審核和檢查(G2),"a)安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查,檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。",a)訪談安全管理員,詢問是否定期檢查系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況,檢查周期多長;,

,,b)檢查安全管理員定期實(shí)施安全檢查的文檔或記錄,查看記錄的時(shí)間間隔與檢查周期是否一致,檢查內(nèi)容是否包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。,

三、人員安全管理,,,

1、人員錄用(G2),"a)應(yīng)指定或授權(quán)專門部門或人員負(fù)責(zé)人員錄用;

b)應(yīng)規(guī)范人員錄用過程,對被錄用人員的身份、背景、專業(yè)資格等進(jìn)行審查,對其所具有的技術(shù)技能進(jìn)行考核;

d)應(yīng)與從事關(guān)鍵崗位的人員簽署保密協(xié)議。

",a)訪談安全主管,詢問是否有專門的部門或人員負(fù)責(zé)人員的錄用工作,由何部門/何人負(fù)責(zé);,

,,b)訪談人事管理相關(guān)人員,詢問在人員錄用時(shí)對人員條件有哪些要求,是否對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查,對技術(shù)人員的技術(shù)技能進(jìn)行考核,錄用后是否與從事關(guān)鍵崗位的人員簽署保密協(xié)議;,

,,c)檢查人員錄用要求管理文檔,查看是否說明錄用人員應(yīng)具備的條件(如學(xué)歷、學(xué)位要求,技術(shù)人員應(yīng)具備的專業(yè)技術(shù)水平,管理人員應(yīng)具備的安全管理知識等);,

,,d)檢查是否具有人員錄用時(shí)對錄用人身份、背景、專業(yè)資格等進(jìn)行審查的相關(guān)文檔或記錄,查看是否記錄審查內(nèi)容和審查結(jié)果等;,

,,e)檢查人員錄用時(shí)的技能考核文檔或記錄,查看是否記錄考核內(nèi)容和考核結(jié)果等;,

,,f)檢查保密協(xié)議,查看是否有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人簽字等內(nèi)容。,

2、人員離崗(G2),"a)應(yīng)規(guī)范人員離崗過程,及時(shí)終止離崗的員工的所有訪問權(quán)限;

b)應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備;

c)應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)。

",a)訪談安全主管,詢問對即將離崗人員有哪些控制方法,是否及時(shí)終止離崗人員的所有訪問權(quán)限,是否取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備等;,

,,b)訪談人事管理相關(guān)人員,詢問調(diào)離手續(xù)包括哪些;,

,,c)檢查是否具有對離崗人員的安全處理記錄(如交還身份證件、設(shè)備等的登記記錄);,

,,d)檢查是否具有按照離職程序辦理調(diào)離手續(xù)的記錄。,

3、人員考核(G2),"a)應(yīng)定期對各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核;

",a)訪談安全主管,詢問是否有人負(fù)責(zé)定期對各個(gè)崗位人員進(jìn)行安全技能及安全知識的考核,考核周期多長;,

,,b)檢查考核文檔,查看考核人員是否包括各個(gè)崗位的人員,考核日期與考核周期是否一致。,

4、安全意識教育和培訓(xùn)(G2),"a)應(yīng)對各類人員進(jìn)行安全意識教育、崗位技能培訓(xùn)和相關(guān)知識培訓(xùn);

b)應(yīng)告知人員相關(guān)的安全責(zé)任和懲戒措施,并對違反違背安全策略和規(guī)定的人員進(jìn)行懲戒;

c)應(yīng)制定安全教育和培訓(xùn)計(jì)劃,對信息安全基礎(chǔ)知識、崗位操作規(guī)程等進(jìn)行培訓(xùn)。

",a)訪談安全主管,詢問是否制定培訓(xùn)計(jì)劃并按計(jì)劃對各個(gè)崗位人員進(jìn)行安全教育和培訓(xùn),具體的培訓(xùn)方式有哪些,是否對違反策略和規(guī)定的人員進(jìn)行懲罰,如何懲誡;,

,,b)訪談安全管理員、系統(tǒng)管理員和網(wǎng)絡(luò)管理員,考查其對工作相關(guān)的信息安全基礎(chǔ)知識、安全責(zé)任和懲戒措施等的理解程度;,

,,c)檢查安全教育和培訓(xùn)計(jì)劃文檔,查看計(jì)劃是否明確了培訓(xùn)方式、培訓(xùn)對象、培訓(xùn)內(nèi)容、培訓(xùn)時(shí)間和地點(diǎn)等,培訓(xùn)內(nèi)容是否包含信息安全基礎(chǔ)知識、崗位操作規(guī)程等;,

,,"d)檢查是否具有安全教育和培訓(xùn)記錄,查看記錄是否有培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等的描述。",

5、外部人員訪問管理(G2),"a)應(yīng)確保在外部人員訪問受控區(qū)域前得到授權(quán)或?qū)徟?批準(zhǔn)后由專人全程陪同或監(jiān)督,并登記備案。

",a)訪談安全管理員,詢問對外部人員訪問重要區(qū)域(如訪問機(jī)房、重要服務(wù)器或設(shè)備區(qū)等)采取了哪些管理措施,是否由專人全程陪同或監(jiān)督,是否進(jìn)行記錄并備案管理;,

,,b)檢查外部人員訪問管理文檔,查看是否有外部人員訪問機(jī)房等重要區(qū)域應(yīng)經(jīng)過相關(guān)部門或負(fù)責(zé)人批準(zhǔn)的內(nèi)容;,

,,c)檢查外部人員訪問重要區(qū)域的登記記錄,查看是否記錄了外部人員訪問重要區(qū)域的進(jìn)入時(shí)間、離開時(shí)間、訪問區(qū)間及陪同人等信息。,

四、系統(tǒng)建設(shè)管理,,,

1、系統(tǒng)定級(G2),"a)應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級;

b)應(yīng)以書面的形式定義確定為某個(gè)安全保護(hù)等級的方法和理由;

c)應(yīng)確保信息系統(tǒng)的定級結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)。",a)訪談安全主管,詢問確定信息系統(tǒng)安全保護(hù)等級的方法是否參照定級指南的指導(dǎo),定級過程是否有書面描述;定級結(jié)果是否獲得了相關(guān)部門的批準(zhǔn);,

,,b)檢查系統(tǒng)定級文檔,查看文檔是否明確信息系統(tǒng)的邊界和信息系統(tǒng)的安全保護(hù)等級,是否說明定級的方法和理由,查看定級結(jié)果是否有相關(guān)部門的批準(zhǔn)蓋章。,

2、安全方案設(shè)計(jì)(G2),"a)應(yīng)根據(jù)系統(tǒng)的安全級別選擇基本安全措施,依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施;

b)應(yīng)以書面的形式描述對系統(tǒng)的安全保護(hù)要求、策略和措施等內(nèi)容,形成系統(tǒng)的安全方案;

c)應(yīng)對安全方案進(jìn)行細(xì)化,形成能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采購和使用的詳細(xì)設(shè)計(jì)方案;

d)應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對安全設(shè)計(jì)方案的合理性和正確性進(jìn)行論證和審定,并且經(jīng)過批準(zhǔn),才能正式實(shí)施。

",a)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問是否根據(jù)系統(tǒng)的安全級別選擇基本安全措施,是否依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施,具體做過哪些調(diào)整;,

,,b)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問安全設(shè)計(jì)方案是否經(jīng)過論證和審定,是否經(jīng)過審批;,

,,c)檢查系統(tǒng)的安全方案,查看方案是否描述系統(tǒng)的安全保護(hù)要求,是否詳細(xì)描述了系統(tǒng)的安全策略,是否詳細(xì)描述了系統(tǒng)采取的安全措施等內(nèi)容;,

,,d)檢查系統(tǒng)的詳細(xì)設(shè)計(jì)方案,查看詳細(xì)設(shè)計(jì)方案是否對應(yīng)安全方案進(jìn)行細(xì)化,是否有安全建設(shè)方案和安全產(chǎn)品采購方案;查看方案是否有經(jīng)過安全主管領(lǐng)導(dǎo)或管理部門的批準(zhǔn)蓋章;,

,,e)檢查專家論證文檔,查看是否有相關(guān)部門和有關(guān)安全技術(shù)專家對安全設(shè)計(jì)方案的評審意見。,

3、產(chǎn)品采購和使用(G2),"a)應(yīng)確保安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定;

b)應(yīng)確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求;

c)應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購。

",a)訪談安全主管,詢問是否有專門的部門負(fù)責(zé)產(chǎn)品的采購,由何部門負(fù)責(zé);,

,,b)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問系統(tǒng)信息安全產(chǎn)品的采購情況,是否有產(chǎn)品采購清單指導(dǎo)產(chǎn)品采購,采購過程如何控制;,

,,c)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問系統(tǒng)是否采用了密碼產(chǎn)品,密碼產(chǎn)品的采購和使用是否符合國家密碼主管部門的要求;,

,,d)檢查系統(tǒng)使用的有關(guān)信息安全產(chǎn)品是否符合國家的有關(guān)規(guī)定;,

,,e)檢查密碼產(chǎn)品的使用情況是否符合密碼產(chǎn)品使用、管理的相關(guān)規(guī)定。,

4、自行軟件開發(fā)(G2),"a)應(yīng)確保開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開;

b)應(yīng)制定軟件開發(fā)管理制度,明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則;

c)應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南,并由專人負(fù)責(zé)保管。

",a)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問是否進(jìn)行自主開發(fā)軟件,自主開發(fā)是否在獨(dú)立的模擬環(huán)境中編寫、調(diào)試和完成;,

,,b)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問軟件設(shè)計(jì)相關(guān)文檔和使用指南是否由專人負(fù)責(zé)保管,負(fù)責(zé)人是何人;,

,,c)檢查軟件開發(fā)管理制度,查看文件是否明確軟件設(shè)計(jì)、開發(fā)、測試、驗(yàn)收過程的控制方法和人員行為準(zhǔn)則,是否明確哪些開發(fā)活動應(yīng)經(jīng)過授權(quán)、審批,是否明確軟件開發(fā)相關(guān)文檔的管理等;,

,,d)檢查是否具有軟件設(shè)計(jì)的相關(guān)文檔(應(yīng)用軟件設(shè)計(jì)程序文件、源代碼文檔等)、軟件使用指南或操作手冊和維護(hù)手冊等。,

5、外包軟件開發(fā)(G2),"a)應(yīng)根據(jù)開發(fā)要求檢測軟件質(zhì)量;b)應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南;

c)應(yīng)在軟件安裝之前檢測軟件包中可能存在的惡意代碼;

d)應(yīng)要求開發(fā)單位提供軟件源代碼,并審核軟件中可能存在的后門。

",a)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問軟件交付前是否依據(jù)開發(fā)要求的技術(shù)指標(biāo)對軟件功能和性能等進(jìn)行驗(yàn)收測試,軟件安裝之前是否檢測軟件中的惡意代碼,是否要求開發(fā)單位提供源代碼,是否根據(jù)源代碼對軟件中可能存在的后門進(jìn)行審查;,

,,b)檢查是否具有需求分析說明書、軟件設(shè)計(jì)說明書、軟件操作手冊、軟件源代碼文檔等軟件開發(fā)文檔和使用指南;,

,,c)檢查軟件源代碼審查記錄,查看是否包括對可能存在的后門的審查結(jié)果。,

6、工程實(shí)施(G2),"a)應(yīng)指定或授權(quán)專門的人員或部門負(fù)責(zé)工程實(shí)施過程的管理;b)應(yīng)制定詳細(xì)的工程實(shí)施方案,控制工程實(shí)施過程。

",a)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問是否有專門部門或人員負(fù)責(zé)工程實(shí)施管理工作,由何部門/何人負(fù)責(zé),是否按照工程實(shí)施方案的要求對工程實(shí)施過程進(jìn)行進(jìn)度和質(zhì)量控制;,

,,b)檢查工程實(shí)施方案,查看其是否包括工程時(shí)間限制、進(jìn)度控制和質(zhì)量控制等方面內(nèi)容。,

7、測試驗(yàn)收(G2),"a)應(yīng)對系統(tǒng)進(jìn)行安全性測試驗(yàn)收;

b)應(yīng)在測試驗(yàn)收前根據(jù)設(shè)計(jì)方案或合同要求等制訂測試驗(yàn)收方案,測試驗(yàn)收過程中詳細(xì)記錄測試驗(yàn)收結(jié)果,形成測試驗(yàn)收報(bào)告;

c)應(yīng)組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗(yàn)收報(bào)告進(jìn)行審定,并簽字確認(rèn)。

",a)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問在信息系統(tǒng)建設(shè)完成后是否對其進(jìn)行安全性測試驗(yàn)收,是否根據(jù)設(shè)計(jì)方案或合同要求組織相關(guān)部門和人員對系統(tǒng)測試驗(yàn)收報(bào)告進(jìn)行審定;,

,,b)檢查工程測試方案,查看其是否明確說明參與測試部門、人員、測試驗(yàn)收的內(nèi)容、現(xiàn)場操作過程等內(nèi)容;,

,,c)檢查測試驗(yàn)收記錄是否詳細(xì)記錄了測試時(shí)間、人員、現(xiàn)場操作過程和測試驗(yàn)收結(jié)果等方面內(nèi)容;,

,,d)檢查是否有系統(tǒng)測試驗(yàn)收報(bào)告,是否有對測試驗(yàn)收報(bào)告的審定文檔,查看文檔是否有相關(guān)人員的審定意見。,

8、系統(tǒng)交付(G2),"a)應(yīng)制定系統(tǒng)交付清單,并根據(jù)交付清單對所交接的設(shè)備、軟件、文檔等進(jìn)行清點(diǎn);

b)應(yīng)對負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn);

c)應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔。

",a)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問系統(tǒng)交接工作是否根據(jù)交付清單對所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn);,

,,b)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問目前的信息系統(tǒng)是否由內(nèi)部人員獨(dú)立運(yùn)行維護(hù),如果是,系統(tǒng)正式運(yùn)行前是否對運(yùn)行維護(hù)人員進(jìn)行培訓(xùn),針對哪些方面進(jìn)行培訓(xùn);,

,,c)檢查是否具有系統(tǒng)交付清單說明系統(tǒng)交付的各類設(shè)備、軟件、文檔等;,

,,d)查是否具有系統(tǒng)建設(shè)文檔、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔,系統(tǒng)培訓(xùn)手冊等;,

,,e)檢查培訓(xùn)記錄,查看是否包括培訓(xùn)內(nèi)容、培訓(xùn)時(shí)間和參與人員等。,

9、安全服務(wù)商選擇(G2),"a)應(yīng)確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定;b)應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議,明確約定相互責(zé)任;

c)應(yīng)確保確保選定的安全服務(wù)商提供技術(shù)支持和服務(wù)承諾,必要的與其簽訂服務(wù)合同。",a)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問信息系統(tǒng)選擇的安全服務(wù)商有哪些,是否符合國家有關(guān)規(guī)定;,

,,b)檢查是否具有與安全服務(wù)商簽訂的安全責(zé)任合同書或保密協(xié)議等文檔,查看其內(nèi)容是否包含保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等;,

,,c)檢查是否具有與安全服務(wù)商簽訂的服務(wù)合同,查看是否包括服務(wù)內(nèi)容、服務(wù)期限、雙方簽字或蓋章等。,

五、系統(tǒng)運(yùn)維管理,,,

1、環(huán)境管理(G2),"a)應(yīng)指定專門的部門或人員定期對機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施定期進(jìn)行維護(hù)管理;

b)應(yīng)配備機(jī)房安全管理人員,對機(jī)房的出入、服務(wù)器的開機(jī)或關(guān)機(jī)等工作進(jìn)行管理;

c)應(yīng)建立機(jī)房安全管理制度,對有關(guān)機(jī)房物理訪問,物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面作出規(guī)定;

d)應(yīng)加強(qiáng)對辦公環(huán)境的保密性管理,包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙和不在辦公區(qū)接待來訪人員等。",a)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人,詢問是否有專門的部門或人員對機(jī)房基礎(chǔ)設(shè)施進(jìn)行定期維護(hù),由何部門/何人負(fù)責(zé),維護(hù)周期多長,是否有機(jī)房管理員負(fù)責(zé)機(jī)房出入等環(huán)境安全管理工作;,

,,b)訪談安全主管,詢問為保證辦公環(huán)境的保密性采取了哪些控制措施,在哪個(gè)區(qū)域接待來訪人員,工作人員調(diào)離時(shí)是否收回辦公室鑰匙等;,

,,c)檢查機(jī)房安全管理制度,查看其內(nèi)容是否覆蓋機(jī)房物理訪問、物品帶進(jìn)/帶出機(jī)房和機(jī)房環(huán)境安全等方面;,

,,d)檢查是否具有機(jī)房基礎(chǔ)設(shè)施維護(hù)記錄。,

2、資產(chǎn)管理(G2),"a)應(yīng)編制與信息系統(tǒng)相關(guān)的資產(chǎn)清單,包括資產(chǎn)責(zé)任部門、重要程度、所處位置等內(nèi)容;

b)應(yīng)建立資產(chǎn)安全管理制度,規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門并,規(guī)范資產(chǎn)管理和使用的行為。

",a)訪談安全主管,詢問是否有資產(chǎn)管理的責(zé)任人員或部門,由何部門/何人負(fù)責(zé);,

,,b)檢查資產(chǎn)清單,查看其內(nèi)容是否覆蓋資產(chǎn)責(zé)任部門、責(zé)任人、所處位置和重要程度等方面;,

,,c)檢查資產(chǎn)安全管理制度,查看是否明確信息資產(chǎn)管理的責(zé)任部門、責(zé)任人,查看其內(nèi)容是否覆蓋資產(chǎn)的使用、借用、維護(hù)等方面。,

3、介質(zhì)管理(G2),"a)應(yīng)確保介質(zhì)存放在安全的環(huán)境中,對各類介質(zhì)進(jìn)行控制和保護(hù),并實(shí)行存儲環(huán)境專人管理;

b)應(yīng)對介質(zhì)歸檔和查詢等過程進(jìn)行記錄,并根據(jù)存檔介質(zhì)的目錄清單定期盤點(diǎn);

c)應(yīng)對需要送出維修或銷毀的介質(zhì),首先清除其中的敏感數(shù)據(jù),防止信息的非法泄漏;

d)應(yīng)根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進(jìn)行分類和標(biāo)識管理。

",a)訪談資產(chǎn)管理員,詢問介質(zhì)的存放環(huán)境是否采取保護(hù)措施防止介質(zhì)被盜、被毀、介質(zhì)內(nèi)存儲信息被未授權(quán)修改以及非法泄漏等,是否有專人管理;,

,,b)訪談資產(chǎn)管理員,詢問是否根據(jù)介質(zhì)的目錄清單對介質(zhì)的使用現(xiàn)狀進(jìn)行定期檢查,是否對介質(zhì)進(jìn)行分類和標(biāo)識管理;,

,,c)訪談資產(chǎn)管理員,詢問對送出維修或銷毀的介質(zhì)在送出之前是否對介質(zhì)內(nèi)存儲數(shù)據(jù)進(jìn)行凈化處理;,

,,d)檢查介質(zhì)管理記錄,查看其是否記錄介質(zhì)的歸檔、查詢和借用等情況;,

,,e)檢查介質(zhì),查看是否對其進(jìn)行了分類,并具有不同標(biāo)識。,

4、設(shè)備管理(G2),"a)應(yīng)對信息系統(tǒng)相關(guān)的各種設(shè)備(包括備份和冗余設(shè)備)、線路等指定專門的部門或人員定期進(jìn)行維護(hù)管理;

b)應(yīng)建立基于申報(bào)、審批和專人負(fù)責(zé)的設(shè)備安全管理制度,對信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購、發(fā)放和領(lǐng)用等過程進(jìn)行規(guī)范化管理;

c)應(yīng)對終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理,應(yīng)按操作規(guī)程實(shí)現(xiàn)關(guān)鍵設(shè)備(包括備份和冗余設(shè)備)的啟動/停止、加電/斷電等操作。d)應(yīng)確保信息處理設(shè)備必須經(jīng)過審批才能帶離機(jī)房或辦公地點(diǎn)。

",a)訪談資產(chǎn)管理員,詢問是否有專門的部門或人員對各類設(shè)備、線路進(jìn)行定期維護(hù),對各類測試工具進(jìn)行有效性檢查,由何部門/何人維護(hù),維護(hù)周期多長;,

,,b)訪談資產(chǎn)管理員,詢問是否對設(shè)備選用的各個(gè)環(huán)節(jié)(選型、采購、發(fā)放和領(lǐng)用及信息處理設(shè)備帶離機(jī)構(gòu)等)進(jìn)行審批控制;,

,,c)訪談審計(jì)員,詢問對關(guān)鍵設(shè)備(包括備份和冗余設(shè)備)的操作是否建立日志,日志文件如何管理,是否定期檢查管理情況;,

,,d)檢查設(shè)備安全管理制度,查看其內(nèi)容是否明確對各種軟硬件設(shè)備的選型、采購、發(fā)放和領(lǐng)用以及帶離機(jī)構(gòu)等環(huán)節(jié)進(jìn)行申報(bào)和審批;,

,,e)檢查設(shè)備使用管理文檔,查看其內(nèi)容是否覆蓋終端計(jì)算機(jī)、便攜機(jī)和網(wǎng)絡(luò)設(shè)備等使用、操作原則、注意事項(xiàng)等方面;,

,,f)檢查關(guān)鍵設(shè)備(包括備份和冗余)操作規(guī)程,查看其內(nèi)容是否覆蓋服務(wù)器如何啟動、停止、加電、斷電等操作。,

5、網(wǎng)絡(luò)安全管理(G2),"a)應(yīng)指定人員對網(wǎng)絡(luò)進(jìn)行管理,負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作;b)應(yīng)建立網(wǎng)絡(luò)安全管理制度,對網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級與補(bǔ)丁、口令周期等方面作出規(guī)定;

c)應(yīng)根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進(jìn)行更新,并在更新前對現(xiàn)有的重要文件進(jìn)行備份;

d)應(yīng)定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描,對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ);

e)應(yīng)對網(wǎng)絡(luò)設(shè)備的配置文件進(jìn)行定期備份;

f)應(yīng)保證所有對外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)。

",a)訪談安全主管,詢問是否指定專人負(fù)責(zé)維護(hù)網(wǎng)絡(luò)運(yùn)行日志、監(jiān)控記錄和分析處理報(bào)警信息等網(wǎng)絡(luò)安全管理工作,網(wǎng)絡(luò)的外聯(lián)種類有哪些,是否都得到授權(quán)與批準(zhǔn),由何部門或何人批準(zhǔn);,

,,b)訪談網(wǎng)絡(luò)管理員,詢問是否根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進(jìn)行過升級,目前的版本號為多少,升級前是否對重要文件進(jìn)行備份,采取什么方式進(jìn)行備份;,

,,c)訪談安全管理員,詢問是否定期對網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞掃描,掃描周期多長,發(fā)現(xiàn)漏洞是否及時(shí)修補(bǔ);,

,,d)檢查網(wǎng)絡(luò)漏洞掃描報(bào)告,查看其內(nèi)容是否包含網(wǎng)絡(luò)存在的漏洞、嚴(yán)重級別和結(jié)果處理等方面,檢查掃描時(shí)間間隔與掃描周期是否一致;,

,,e)檢查網(wǎng)絡(luò)安全管理制度,查看其是否覆蓋網(wǎng)絡(luò)設(shè)備的安全配置、安全策略、升級與打補(bǔ)丁、授權(quán)訪問、日志保存時(shí)間、口令更新周期等方面內(nèi)容;,

,,f)檢查是否具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書;,

,,g)檢查是否具有網(wǎng)絡(luò)設(shè)備配置文件的備份文件;,

,,h)檢查是否具有網(wǎng)絡(luò)審計(jì)日志,檢查日志是否在規(guī)定的保存時(shí)間范圍內(nèi)。,

6、系統(tǒng)安全管理(G2),"a)應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略;

b)應(yīng)定期進(jìn)行漏洞掃描,對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)進(jìn)行修補(bǔ);

c)應(yīng)安裝系統(tǒng)的最新補(bǔ)丁程序,在安裝系統(tǒng)補(bǔ)丁前,應(yīng)首先在測試環(huán)境中測試通過,并對重要文件進(jìn)行備份后,方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝;

d)應(yīng)建立系統(tǒng)安裝管理制度,對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出規(guī)定;

e)應(yīng)依據(jù)操作手冊對系統(tǒng)進(jìn)行維護(hù),詳細(xì)記錄操作日志,包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容,嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作;

f)應(yīng)定期對運(yùn)行數(shù)據(jù)和審計(jì)日志進(jìn)行分析,以便及時(shí)發(fā)現(xiàn)異常行為。

",a)訪談系統(tǒng)管理員,詢問是否根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析制定系統(tǒng)的訪問控制策略,控制分配信息、文件及服務(wù)的訪問權(quán)限;,

,,b)訪談系統(tǒng)管理員,詢問是否定期對系統(tǒng)安裝安全補(bǔ)丁程序,在安裝系統(tǒng)補(bǔ)丁前是否對重要文件進(jìn)行備份,采取什么方式進(jìn)行;是否先在測試環(huán)境中測試通過再安裝;,

,,c)訪談安全管理員,詢問是否定期對系統(tǒng)進(jìn)行漏洞掃描,掃描周期多長,發(fā)現(xiàn)漏洞是否及時(shí)修補(bǔ);,

,,d)檢查系統(tǒng)安全管理制度,查看其內(nèi)容是否覆蓋系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面;,

,,e)檢查是否有詳細(xì)操作日志(包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容);,

,,f)檢查是否有定期對運(yùn)行日志和審計(jì)結(jié)果進(jìn)行分析的記錄;,

,,g)檢查系統(tǒng)漏洞掃描報(bào)告,查看其內(nèi)容是否包含系統(tǒng)存在的漏洞、嚴(yán)重級別和結(jié)果處理等方面,檢查掃描時(shí)間間隔與掃描周期是否一致。,

7、惡意代碼防范管理(G2),"a)應(yīng)提高所有用戶的防病毒意識,告知及時(shí)升級防病毒軟件;

在讀取移動存儲設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前,先進(jìn)行病毒檢查,對外來計(jì)算機(jī)或存儲設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)行病毒檢查;

b)應(yīng)指定專人對網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測并保存檢測記錄;

c)應(yīng)對防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報(bào)等作出明確規(guī)定。

",a)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人,詢問是否對員工進(jìn)行基本惡意代碼防范意識的教育,是否告知應(yīng)及時(shí)升級軟件版本,使用外來設(shè)備、網(wǎng)絡(luò)上接收文件和外來計(jì)算機(jī)或存儲設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前進(jìn)行病毒檢查等;,

,,b)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人,詢問是否指定專人對惡意代碼進(jìn)行檢測,發(fā)現(xiàn)病毒后是否及時(shí)處理;,

,,c)檢查惡意代碼防范管理文檔,查看其內(nèi)容是否覆蓋防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報(bào)等方面;,

,,d)檢查是否具有惡意代碼檢測記錄。,

8、密碼管理(G2),a)應(yīng)使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。,a)訪談安全員管理員,詢問密碼技術(shù)和產(chǎn)品的使用是否遵照國家密碼管理規(guī)定。,

9、變更管理(G2),"a)應(yīng)確認(rèn)系統(tǒng)安中要發(fā)生的重要變更,并制定相應(yīng)變更方案;

b)系統(tǒng)發(fā)生重要變更前,應(yīng)向主管領(lǐng)導(dǎo)申請,審批后方可實(shí)施變更,并在實(shí)施后向相關(guān)人員通告。

",a)應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人,詢問是否制定變更方案指導(dǎo)系統(tǒng)執(zhí)行變更;,

,,b)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人,詢問重要系統(tǒng)變更前是否得到有關(guān)領(lǐng)導(dǎo)的批準(zhǔn),由何人批準(zhǔn),對發(fā)生的變更情況是否通知了所有相關(guān)人員,以何種方式通知;,

,,c)檢查系統(tǒng)變更方案,查看其是否覆蓋變更類型、變更原因、變更過程、變更前評估等方面內(nèi)容;,

,,d)檢查重要系統(tǒng)的變更申請書,查看其是否有主管領(lǐng)導(dǎo)的批準(zhǔn)簽字。,

10、備份

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論