安全管理测评作业指导书.docx
《安全管理测评作业指导书.docx》由会员分享,可在线阅读,更多相关《安全管理测评作业指导书.docx(182页珍藏版)》请在咨信网上搜索。
1、 安全管理测评作业指导书编制: 校对: 审核: 批准: 2009 发布 2009 实施修订页更改状态序号对应的章、节、条号修订内容更改人批准人批准日期 1 目的安全管理贯穿于信息系统的整个生命周期,在保障信息系统的安全中发挥了重要作用,与安全技术占据同等重要的地位。安全管理通常是指在信息系统中对需要人来参与的活动采取必要的管理控制措施,通过文档化的管理体系,为保障系统正常运行所涉及的人员活动做出明确规定。本手册的编写目的是为了指导管理测评实施人员的实际工作,根据实际工作的深入开展,会及时对本作业指导书进行更新,以保证指导书的高指导性。2 适用范围本手册适用于在现场测评实施中负责安全管理测评检查
2、的测评人员。3 职责3.1 测评师1)测评师应在客观、公正的情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方式和解释,实施测评活动;2)测评师应正确理解测评项,并具有良好的判断;3)测评师应注意测评记录和证据的接收、处理、存储和销毁,保护其在测评期间免遭改变和遗失,并保守秘密;4)测评师应遵循正确的测评方法进行现场测评和结果判定,以确保满足相关标准的要求。4 相关文件4.1 依据标准GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求4.2 参考标准信息系统安全等级保护测评要求(送审稿)信息系统安全等级保护测评过程指南(送审稿)上述文件中的条款通过本手册的引用而
3、成为本手册的内容。凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本手册。凡是不注明日期的引用文件,其最新版本适用于本手册。5 测评方法人员访谈测评师通过与被检查人员进行交流,对测评检查项进行细化。所获得测评所需数据,进行查验、分析等活动,获取证据以证明信息系统安全等级保护措施是否有效。文档检查测评师通过文档检查验证用户的现有文档与测评要求的符合程度,获取证据以证明信息系统安全等级保护措施是否有效。6 操作步骤6.1 测评前准备确定安全管理检查的测评内容。根据信息系统安全等级保护基本要求中的管理要求,安全管理测评包括五个部分,分别为安全管理制度、安全管理机构、人
4、员安全管理、系统建设管理、系统运维管理。确定安全管理检查的测评对象。安全管理检查分为管理访谈与管理文档检查两个部分。管理访谈在进入现场实施访谈工作之前,需要与被测方进行沟通,确认对方被访谈对象的名单,确认其中是否存在同一被访谈对象对应多个访谈岗位的状况,在与被测方就“岗位人员”对应关系取得一致性意见后,编写访谈工作实施计划,并提交被测方,确认访谈工作开展的时间、地点、被访谈对象的先后顺序。同时进入现场之前,需确认所有安全管理访谈检查表已准备妥当,并熟悉列表中的内容。管理文档检查在进入现场实施检查工作之前,需要与被测方进行沟通,确认配合文档检查的人员等。同时进入现场之前,需确认所有文档检查表已准
5、备妥当,并熟悉列表中的内容。6.2 现场测评进入现场测评阶段后,首先应确定检查对象进行访谈、检查,并在检查的过程中分别填写对应的管理访谈表与文档检查表。完成检查后,测评师与检查对象分别对现场检查表上的内容确认无误后签字确认。安全管理测评现场实施流程图如下:图1 安全管理测评现场实施流程6.3 异常处理若检查对象对测评项存在疑问,测评师应向其进行解释或举例说明,以保证测评工作能够顺利进行。若检查对象拒绝或不配合进行测评实施,测评师应报测评项目经理获知,经测评项目经理确认后,双方签字确认。6.4 现场的清理现场测评工作结束时,双方对被测系统的运行情况进行验证并签字确认。测评师应对所有检查表的完整性
6、进行确认,内容包括:检查列表的表头、结果记录、日期等均填写完整无误,所有检查表无缺页。确认工作完成后,报测评项目经理,测评现场实施完成。6.5 注意事项应遵循最小影响原则。现场测评尽量避开被测系统的业务高峰期进行实施。应遵循安全原则。对于存在安全风险的测评实施,测评师必须向被检查对象明示,在取得对方授权后方可进行;若对方拒绝授权,应报测评项目经理获知,由测评项目经理与对方进行协商,若仍不能获得授权,则可不进行该测评实施,但应在记录表中说明。7 记录7.1 二级系统安全管理测评检查表包括不同参数的组合用表。7.2 三级系统安全管理测评检查表包括不同参数的组合用表。7.3 四级系统安全管理测评检查
7、表包括不同参数的组合用表。8 关键测评要点说明8.1 二级系统关键测评要点说明以下先就对安全管理测评中可能涉及到的内容进行说明:情况一、若被访谈对象的实际工作职责对应于访谈岗位中的多个,可以根据被访谈对象的表述,同时填写多份访谈记录表,避免出现就同一问题多次访谈同一对象的状况;情况二、需检查的文档中关于人员安全管理部分,有些单位此部分文档可能不在测评工作实地,为避免拖延工作进度需提前协调;情况三、根据行业特征的不同,可能不存在关键岗位定期轮岗,需要根据实际情况具体分析;情况四、需验证文档周期性时,可通过调用相邻两份实际记录,查看其间隔的时间进行验证; 情况五、安全管理测评的内容可以根据现场实际
8、情况稍作调整。8.1.1 安全管理制度8.1.1.1 管理制度a)应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等。【描述】信息安全方针政策是最高层的安全文件,阐明安全工作的使命和意愿,定义信息安全的总体目标,规定信息安全管理的责任机构及其职责,以及建立的适用的安全工作运行模式等。【检查方法】 应检查信息安全工作的总体方针和安全策略文件,查看文件是否明确机构安全工作的总体目标、范围、原则和安全框架等。b)应对安全管理活动中重要的管理内容建立安全管理制度。【描述】安全管理制度是以安全方针政策性文件为指导,对信息系统的建设、开发、运维、升级和改造等各个阶段
9、和环节所应当遵循的行为加以规范。【检查方法】应检查各项安全管理制度,查看是否覆盖物理、网络、主机系统、数据、应用、建设和管理等层面的重要管理内容。c)应对安全管理人员或操作人员执行的重要管理操作建立操作规程。【描述】安全操作规程是各项具体活动的实施步骤或方法,是信息安全政策从抽象到具体,从宏观管理层落实到具体执行层的重要一环。【检查方法】 应检查是否具有重要管理操作的操作规程(如系统维护手册和用户操作规程等)。8.1.1.2 制定和发布a)应指定或授权专门的部门或人员负责安全管理制度的制定。【描述】信息安全管理制度的制定和发布,应授权专门的部门和人员负责。【检查方法】应访谈安全主管,询问是否有
10、专门的部门或人员负责制定安全管理制度。应访谈安全管理制度制、修订人员,询问安全管理制度的制定程序。b)应组织相关人员对制定的安全管理制度进行论证和审定。【描述】安全管理制度制定后,应组织相关人员对其可行性进行论证和审定。【检查方法】 应访谈安全管理制度制、修订人员,询问是否对制定的安全管理制度进行论证和审定,论证和评审方式如何。应检查管理制度评审记录,查看是否有相关人员的评审意见。c)应将安全管理制度以某种方式发布到相关人员手中。【描述】应对重要文件进行控制,发布安全管理制度时应注明发布范围,并对收发的安全管理制度做好登记。【检查方法】 应访谈安全管理制度制、修订人员,询问安全管理制度的发布方
11、式。8.1.1.3 评审和修订a)应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订。【描述】应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订。【检查方法】 应访谈安全主管,询问是否定期对安全管理制度进行评审,评审周期多长,发现存在不足或需要改进的是否进行修订。应检查安全管理制度评审记录,查看记录的日期间隔与评审周期是否一致;如果对制度做过修订,检查是否有修订版本的安全管理制度。8.1.2 安全管理机构8.1.2.1 岗位设置 a)应设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责。【描述】为保证安全管理工作的有效实施,应设立安全主
12、管、安全管理各个方面的负责人岗位,并明确各岗位的职责。【检查方法】 应访谈安全主管,询问是否设立安全管理各个方面的负责人。应访谈安全主管、安全管理某方面的负责人,询问其岗位职责包括哪些内容。应检查岗位职责文档,查看文档是否明确设置安全主管、安全管理各个方面的负责人,各个岗位的职责范围是否清晰、明确。b)应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。【描述】设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。【检查方法】 应访谈安全主管,询问设置了哪些工作岗位,各个岗位的职责分工是否明确。应检查岗位职责文档,查看文档是否明确设置机房管理员、系统管理
13、员、网络管理员和安全管理员等各个岗位,各个岗位的职责范围是否清晰、明确。8.1.2.2 人员配备 a)应配备一定数量的系统管理员、网络管理员、安全管理员等。【描述】应配备系统管理员、数据库管理员、网络管理员、安全管理员、机房管理员等重要岗位人员。【检查方法】 应访谈安全主管,询问各个安全管理岗位人员的配备情况,包括数量。应检查安全管理各岗位人员信息表,查看其是否明确机房管理员、系统管理员、数据库管理员、网络管理员、安全管理员等重要岗位人员的信息。b)安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。【描述】安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。【检查方法】 应访谈安
14、全主管,询问各个安全管理岗位人员的配备情况,包括专职还是兼职等。应检查安全管理各岗位人员信息表,确认安全管理员是否没有兼任网络管理员、系统管理员、数据库管理员等岗位。8.1.2.3 授权和审批 a)应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批。【描述】根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批。【检查方法】 应访谈安全主管,询问其是否对信息系统中的关键活动进行审批,审批部门是何部门,批准人是何人,他们的审批活动是否得到授权。应访谈安全主管,询问其对关键活动
15、的审批范围包括哪些。应检查审批管理制度文档,查看文档中是否明确对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批的审批部门和批准人。b)应针对关键活动建立审批流程,并由批准人签字确认。【描述】针对关键活动建立审批流程,并由批准人签字确认。【检查方法】 应访谈安全主管,询问其对关键活动的审批程序如何。应检查审批管理制度文档,查看文档中是否明确审批程序。应检查经审批的文档,查看审批程序与文件要求是否一致,是否有批准人的签字和审批部门的盖章。8.1.2.4 沟通和合作 a)应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通。【描述】加强各类管理人员之间、组织内部
16、机构之间以及信息安全职能部门内部的合作与沟通。【检查方法】 应访谈安全主管,询问是否经常与组织机构内其他部门之间通过哪些方式进行交流和沟通,信息安全职能部门内部各类管理人员之间通过哪些方式进行交流和沟通。应检查部门间和部门内部沟通和合作的相关文档,查看是否包括工作内容、参加人员等的描述。应检查是否有组织机构内部人员联系表。b)应加强与兄弟单位、公安机关、电信公司的合作与沟通。【描述】加强与兄弟单位、公安机关、电信公司的合作与沟通。【检查方法】 应访谈安全主管,询问是否经常与公安机关、电信公司和兄弟单位联系,联系/合作方式有哪些。应检查外联单位说明文档,查看外联单位是否包含公安机关、电信公司及兄
17、弟单位等。8.1.2.5 审核和检查 a)安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。【描述】安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。【检查方法】 应访谈安全管理员,询问是否定期检查系统日常运行、系统漏洞和数据备份等情况,检查周期多长。应检查安全管理员定期实施安全检查的文档或记录,查看记录的时间间隔与检查周期是否一致,检查内容是否包括系统日常运行、系统漏洞和数据备份等情况。8.1.3 人员安全管理8.1.3.1 人员录用 a)应指定或授权专门的部门或人员负责人员录用。【描述】指定或授权专门的部门或人员负责人
18、员录用。【检查方法】 应访谈安全主管,询问是否有专门的部门或人员负责人员的录用工作,由何部门/何人负责。b)应规范人员录用过程,对被录用人员的身份、背景和专业资格等进行审查,对其所具有的技术技能进行考核。【描述】规范人员录用过程,对被录用人员的身份、背景和专业资格等进行审查,对其所具有的技术技能进行考核。人员雇佣的验证核查:包括获得令人满意的品质资料;申请人履历的核查(针对完整性和准确性);声称的学术、专业资质的证实;独立的身份核查(身份证或护照或相似的文件);更多细节的检查,例如信用卡检查或犯罪记录检查等。【检查方法】 应访谈人事管理相关人员,询问在人员录用时对人员条件有哪些要求,是否对被录
19、用人的身份、背景和专业资格进行审查,对技术人员的技术技能进行考核。应检查人员录用要求管理文档,查看是否说明录用人员应具备的条件(如学历、学位要求,技术人员应具备的专业技术水平,管理人员应具备的安全管理知识等)。应检查是否具有人员录用时对录用人身份、背景和专业资格等进行审查的相关文档或记录,查看是否记录审查内容和审查结果等。应检查人员录用时的技能考核文档或记录,查看是否记录考核内容和考核结果等。c)应与从事关键岗位的人员签署保密协议。【描述】与从事关键岗位的人员诸如人员录用负责人、安全主管、网络管理员、系统管理员等签署保密协议。【检查方法】 应访谈人事管理相关人员,询问录用后是否与从事关键岗位的
20、人员签署保密协议。应检查保密协议,查看是否有保密范围、保密责任、违约责任、协议的有效期限和责任人签字等内容。8.1.3.2 人员离岗 a)应规范人员离岗过程,及时终止离岗员工的所有访问权限。【描述】应规范人员离岗过程,及时终止离岗员工的所有访问权限,以免出现信息泄露等安全事件。【检查方法】应访谈安全主管,询问对即将离岗人员有哪些控制方法,是否及时终止离岗人员的所有访问权限。b)应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。【描述】员工离岗后应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。【检查方法】 应访谈安全主管,询问对即将离岗人员是否取回各种身份证件、钥匙、徽章以及机
21、构提供的软硬件设备等。应检查是否具有对离岗人员的安全处理记录(如交还身份证件、设备等的登记记录)。c)应办理严格的调离手续。【描述】员工离岗后,应办理严格的调离手续。【检查方法】 应访谈人事管理相关人员,询问调离手续包括哪些。应检查是否具有按照离职程序办理调离手续的记录。8.1.3.3 人员考核 a)应定期对各个岗位的人员进行安全技能及安全认知的考核。【描述】定期对各个岗位的人员进行安全技能及安全认知的考核,以提高员工安全意识教育。安全技能及安全知识的定期考核可以是通过绩效考核实现,通过考核某岗位人员的绩效,以评判该人员在一段时间内,是否有效的完成其本职工作,从而判断该人员是否具有满足其岗位职
22、责需求的技能能力。【检查方法】 应访谈安全主管,询问是否有人负责定期对各个岗位人员进行安全技能及安全知识的考核,考核周期多长。应检查考核文档,查看考核人员是否包括各个岗位的人员,考核日期与考核周期是否一致。8.1.3.4 安全意识教育和培训 a)应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。【描述】对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。安全意识和教育应是适当的并关联于员工的角色、职责和技能,并应包括关于已知威胁的信息、向谁咨询进一步的安全建议和合适的报告信息安全事故的渠道,可以包括信息安全风险与控制、法律责任、业务相关控制、信息处理设施的使用等。【检查方法
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全管理 测评 作业 指导书
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【可****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【可****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。