安全管理测评作业指导书.docx
- 文档编号:12114303
- 上传时间:2023-06-04
- 格式:DOCX
- 页数:241
- 大小:129.67KB
安全管理测评作业指导书.docx
《安全管理测评作业指导书.docx》由会员分享,可在线阅读,更多相关《安全管理测评作业指导书.docx(241页珍藏版)》请在冰点文库上搜索。
安全管理测评作业指导书
安全管理测评
作业指导书
编制:
校对:
审核:
批准:
2009--发布2009--实施
修订页
更改状态
序号
对应的章、节、条号
修订内容
更改人
批准人
批准日期
1目的
安全管理贯穿于信息系统的整个生命周期,在保障信息系统的安全中发挥了重要作用,与安全技术占据同等重要的地位。
安全管理通常是指在信息系统中对需要人来参与的活动采取必要的管理控制措施,通过文档化的管理体系,为保障系统正常运行所涉及的人员活动做出明确规定。
本手册的编写目的是为了指导管理测评实施人员的实际工作,根据实际工作的深入开展,会及时对本作业指导书进行更新,以保证指导书的高指导性。
2适用范围
本手册适用于在现场测评实施中负责安全管理测评检查的测评人员。
3职责
3.1测评师
1)测评师应在客观、公正的情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方式和解释,实施测评活动;
2)测评师应正确理解测评项,并具有良好的判断;
3)测评师应注意测评记录和证据的接收、处理、存储和销毁,保护其在测评期间免遭改变和遗失,并保守秘密;
4)测评师应遵循正确的测评方法进行现场测评和结果判定,以确保满足相关标准的要求。
4相关文件
4.1依据标准
GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》
4.2参考标准
《信息系统安全等级保护测评要求》(送审稿)
《信息系统安全等级保护测评过程指南》(送审稿)
上述文件中的条款通过本手册的引用而成为本手册的内容。
凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本手册。
凡是不注明日期的引用文件,其最新版本适用于本手册。
5测评方法
人员访谈
测评师通过与被检查人员进行交流,对测评检查项进行细化。
所获得测评所需数据,进行查验、分析等活动,获取证据以证明信息系统安全等级保护措施是否有效。
文档检查
测评师通过文档检查验证用户的现有文档与测评要求的符合程度,获取证据以证明信息系统安全等级保护措施是否有效。
6操作步骤
6.1测评前准备
确定安全管理检查的测评内容。
根据《信息系统安全等级保护基本要求》中的管理要求,安全管理测评包括五个部分,分别为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。
确定安全管理检查的测评对象。
安全管理检查分为管理访谈与管理文档检查两个部分。
管理访谈在进入现场实施访谈工作之前,需要与被测方进行沟通,确认对方被访谈对象的名单,确认其中是否存在同一被访谈对象对应多个访谈岗位的状况,在与被测方就“岗位——人员”对应关系取得一致性意见后,编写访谈工作实施计划,并提交被测方,确认访谈工作开展的时间、地点、被访谈对象的先后顺序。
同时进入现场之前,需确认所有安全管理访谈检查表已准备妥当,并熟悉列表中的内容。
管理文档检查在进入现场实施检查工作之前,需要与被测方进行沟通,确认配合文档检查的人员等。
同时进入现场之前,需确认所有文档检查表已准备妥当,并熟悉列表中的内容。
6.2现场测评
进入现场测评阶段后,首先应确定检查对象进行访谈、检查,并在检查的过程中分别填写对应的管理访谈表与文档检查表。
完成检查后,测评师与检查对象分别对现场检查表上的内容确认无误后签字确认。
安全管理测评现场实施流程图如下:
图1安全管理测评现场实施流程
6.3异常处理
若检查对象对测评项存在疑问,测评师应向其进行解释或举例说明,以保证测评工作能够顺利进行。
若检查对象拒绝或不配合进行测评实施,测评师应报测评项目经理获知,经测评项目经理确认后,双方签字确认。
6.4现场的清理
现场测评工作结束时,双方对被测系统的运行情况进行验证并签字确认。
测评师应对所有检查表的完整性进行确认,内容包括:
检查列表的表头、结果记录、日期等均填写完整无误,所有检查表无缺页。
确认工作完成后,报测评项目经理,测评现场实施完成。
6.5注意事项
应遵循最小影响原则。
现场测评尽量避开被测系统的业务高峰期进行实施。
应遵循安全原则。
对于存在安全风险的测评实施,测评师必须向被检查对象明示,在取得对方授权后方可进行;若对方拒绝授权,应报测评项目经理获知,由测评项目经理与对方进行协商,若仍不能获得授权,则可不进行该测评实施,但应在记录表中说明。
7记录
7.1二级系统安全管理测评检查表
包括不同参数的组合用表。
7.2三级系统安全管理测评检查表
包括不同参数的组合用表。
7.3四级系统安全管理测评检查表
包括不同参数的组合用表。
8关键测评要点说明
8.1二级系统关键测评要点说明
以下先就对安全管理测评中可能涉及到的内容进行说明:
情况一、若被访谈对象的实际工作职责对应于访谈岗位中的多个,可以根据被访谈对象的表述,同时填写多份访谈记录表,避免出现就同一问题多次访谈同一对象的状况;
情况二、需检查的文档中关于人员安全管理部分,有些单位此部分文档可能不在测评工作实地,为避免拖延工作进度需提前协调;
情况三、根据行业特征的不同,可能不存在关键岗位定期轮岗,需要根据实际情况具体分析;
情况四、需验证文档周期性时,可通过调用相邻两份实际记录,查看其间隔的时间进行验证;
情况五、安全管理测评的内容可以根据现场实际情况稍作调整。
8.1.1安全管理制度
8.1.1.1管理制度
a)应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等。
【描述】
信息安全方针政策是最高层的安全文件,阐明安全工作的使命和意愿,定义信息安全的总体目标,规定信息安全管理的责任机构及其职责,以及建立的适用的安全工作运行模式等。
【检查方法】
应检查信息安全工作的总体方针和安全策略文件,查看文件是否明确机构安全工作的总体目标、范围、原则和安全框架等。
b)应对安全管理活动中重要的管理内容建立安全管理制度。
【描述】
安全管理制度是以安全方针政策性文件为指导,对信息系统的建设、开发、运维、升级和改造等各个阶段和环节所应当遵循的行为加以规范。
【检查方法】
应检查各项安全管理制度,查看是否覆盖物理、网络、主机系统、数据、应用、建设和管理等层面的重要管理内容。
c)应对安全管理人员或操作人员执行的重要管理操作建立操作规程。
【描述】
安全操作规程是各项具体活动的实施步骤或方法,是信息安全政策从抽象到具体,从宏观管理层落实到具体执行层的重要一环。
【检查方法】
应检查是否具有重要管理操作的操作规程(如系统维护手册和用户操作规程等)。
8.1.1.2制定和发布
a)应指定或授权专门的部门或人员负责安全管理制度的制定。
【描述】
信息安全管理制度的制定和发布,应授权专门的部门和人员负责。
【检查方法】
应访谈安全主管,询问是否有专门的部门或人员负责制定安全管理制度。
应访谈安全管理制度制、修订人员,询问安全管理制度的制定程序。
b)应组织相关人员对制定的安全管理制度进行论证和审定。
【描述】
安全管理制度制定后,应组织相关人员对其可行性进行论证和审定。
【检查方法】
应访谈安全管理制度制、修订人员,询问是否对制定的安全管理制度进行论证和审定,论证和评审方式如何。
应检查管理制度评审记录,查看是否有相关人员的评审意见。
c)应将安全管理制度以某种方式发布到相关人员手中。
【描述】
应对重要文件进行控制,发布安全管理制度时应注明发布范围,并对收发的安全管理制度做好登记。
【检查方法】
应访谈安全管理制度制、修订人员,询问安全管理制度的发布方式。
8.1.1.3评审和修订
a)应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订。
【描述】
应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订。
【检查方法】
应访谈安全主管,询问是否定期对安全管理制度进行评审,评审周期多长,发现存在不足或需要改进的是否进行修订。
应检查安全管理制度评审记录,查看记录的日期间隔与评审周期是否一致;如果对制度做过修订,检查是否有修订版本的安全管理制度。
8.1.2安全管理机构
8.1.2.1岗位设置
a)应设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责。
【描述】
为保证安全管理工作的有效实施,应设立安全主管、安全管理各个方面的负责人岗位,并明确各岗位的职责。
【检查方法】
应访谈安全主管,询问是否设立安全管理各个方面的负责人。
应访谈安全主管、安全管理某方面的负责人,询问其岗位职责包括哪些内容。
应检查岗位职责文档,查看文档是否明确设置安全主管、安全管理各个方面的负责人,各个岗位的职责范围是否清晰、明确。
b)应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。
【描述】
设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。
【检查方法】
应访谈安全主管,询问设置了哪些工作岗位,各个岗位的职责分工是否明确。
应检查岗位职责文档,查看文档是否明确设置机房管理员、系统管理员、网络管理员和安全管理员等各个岗位,各个岗位的职责范围是否清晰、明确。
8.1.2.2人员配备
a)应配备一定数量的系统管理员、网络管理员、安全管理员等。
【描述】
应配备系统管理员、数据库管理员、网络管理员、安全管理员、机房管理员等重要岗位人员。
【检查方法】
应访谈安全主管,询问各个安全管理岗位人员的配备情况,包括数量。
应检查安全管理各岗位人员信息表,查看其是否明确机房管理员、系统管理员、数据库管理员、网络管理员、安全管理员等重要岗位人员的信息。
b)安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。
【描述】
安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。
【检查方法】
应访谈安全主管,询问各个安全管理岗位人员的配备情况,包括专职还是兼职等。
应检查安全管理各岗位人员信息表,确认安全管理员是否没有兼任网络管理员、系统管理员、数据库管理员等岗位。
8.1.2.3授权和审批
a)应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批。
【描述】
根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批。
【检查方法】
应访谈安全主管,询问其是否对信息系统中的关键活动进行审批,审批部门是何部门,批准人是何人,他们的审批活动是否得到授权。
应访谈安全主管,询问其对关键活动的审批范围包括哪些。
应检查审批管理制度文档,查看文档中是否明确对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批的审批部门和批准人。
b)应针对关键活动建立审批流程,并由批准人签字确认。
【描述】
针对关键活动建立审批流程,并由批准人签字确认。
【检查方法】
应访谈安全主管,询问其对关键活动的审批程序如何。
应检查审批管理制度文档,查看文档中是否明确审批程序。
应检查经审批的文档,查看审批程序与文件要求是否一致,是否有批准人的签字和审批部门的盖章。
8.1.2.4沟通和合作
a)应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通。
【描述】
加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通。
【检查方法】
应访谈安全主管,询问是否经常与组织机构内其他部门之间通过哪些方式进行交流和沟通,信息安全职能部门内部各类管理人员之间通过哪些方式进行交流和沟通。
应检查部门间和部门内部沟通和合作的相关文档,查看是否包括工作内容、参加人员等的描述。
应检查是否有组织机构内部人员联系表。
b)应加强与兄弟单位、公安机关、电信公司的合作与沟通。
【描述】
加强与兄弟单位、公安机关、电信公司的合作与沟通。
【检查方法】
应访谈安全主管,询问是否经常与公安机关、电信公司和兄弟单位联系,联系/合作方式有哪些。
应检查外联单位说明文档,查看外联单位是否包含公安机关、电信公司及兄弟单位等。
8.1.2.5审核和检查
a)安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
【描述】
安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
【检查方法】
应访谈安全管理员,询问是否定期检查系统日常运行、系统漏洞和数据备份等情况,检查周期多长。
应检查安全管理员定期实施安全检查的文档或记录,查看记录的时间间隔与检查周期是否一致,检查内容是否包括系统日常运行、系统漏洞和数据备份等情况。
8.1.3人员安全管理
8.1.3.1人员录用
a)应指定或授权专门的部门或人员负责人员录用。
【描述】
指定或授权专门的部门或人员负责人员录用。
【检查方法】
应访谈安全主管,询问是否有专门的部门或人员负责人员的录用工作,由何部门/何人负责。
b)应规范人员录用过程,对被录用人员的身份、背景和专业资格等进行审查,对其所具有的技术技能进行考核。
【描述】
规范人员录用过程,对被录用人员的身份、背景和专业资格等进行审查,对其所具有的技术技能进行考核。
人员雇佣的验证核查:
包括获得令人满意的品质资料;申请人履历的核查(针对完整性和准确性);声称的学术、专业资质的证实;独立的身份核查(身份证或护照或相似的文件);更多细节的检查,例如信用卡检查或犯罪记录检查等。
【检查方法】
应访谈人事管理相关人员,询问在人员录用时对人员条件有哪些要求,是否对被录用人的身份、背景和专业资格进行审查,对技术人员的技术技能进行考核。
应检查人员录用要求管理文档,查看是否说明录用人员应具备的条件(如学历、学位要求,技术人员应具备的专业技术水平,管理人员应具备的安全管理知识等)。
应检查是否具有人员录用时对录用人身份、背景和专业资格等进行审查的相关文档或记录,查看是否记录审查内容和审查结果等。
应检查人员录用时的技能考核文档或记录,查看是否记录考核内容和考核结果等。
c)应与从事关键岗位的人员签署保密协议。
【描述】
与从事关键岗位的人员诸如人员录用负责人、安全主管、网络管理员、系统管理员等签署保密协议。
【检查方法】
应访谈人事管理相关人员,询问录用后是否与从事关键岗位的人员签署保密协议。
应检查保密协议,查看是否有保密范围、保密责任、违约责任、协议的有效期限和责任人签字等内容。
8.1.3.2人员离岗
a)应规范人员离岗过程,及时终止离岗员工的所有访问权限。
【描述】
应规范人员离岗过程,及时终止离岗员工的所有访问权限,以免出现信息泄露等安全事件。
【检查方法】
应访谈安全主管,询问对即将离岗人员有哪些控制方法,是否及时终止离岗人员的所有访问权限。
b)应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。
【描述】
员工离岗后应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。
【检查方法】
应访谈安全主管,询问对即将离岗人员是否取回各种身份证件、钥匙、徽章以及机构提供的软硬件设备等。
应检查是否具有对离岗人员的安全处理记录(如交还身份证件、设备等的登记记录)。
c)应办理严格的调离手续。
【描述】
员工离岗后,应办理严格的调离手续。
【检查方法】
应访谈人事管理相关人员,询问调离手续包括哪些。
应检查是否具有按照离职程序办理调离手续的记录。
8.1.3.3人员考核
a)应定期对各个岗位的人员进行安全技能及安全认知的考核。
【描述】
定期对各个岗位的人员进行安全技能及安全认知的考核,以提高员工安全意识教育。
安全技能及安全知识的定期考核可以是通过绩效考核实现,通过考核某岗位人员的绩效,以评判该人员在一段时间内,是否有效的完成其本职工作,从而判断该人员是否具有满足其岗位职责需求的技能能力。
【检查方法】
应访谈安全主管,询问是否有人负责定期对各个岗位人员进行安全技能及安全知识的考核,考核周期多长。
应检查考核文档,查看考核人员是否包括各个岗位的人员,考核日期与考核周期是否一致。
8.1.3.4安全意识教育和培训
a)应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。
【描述】
对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。
安全意识和教育应是适当的并关联于员工的角色、职责和技能,并应包括关于已知威胁的信息、向谁咨询进一步的安全建议和合适的报告信息安全事故的渠道,可以包括信息安全风险与控制、法律责任、业务相关控制、信息处理设施的使用等。
【检查方法】
应访谈安全管理员、系统管理员和网络管理员,考查其对工作相关的信息安全基础知识的理解程度。
应检查是否具有安全教育和培训记录,查看记录是否有培训人员、培训内容、培训结果等的描述。
b)应告知人员相关的安全责任和惩戒措施,并对违反违背安全策略和规定的人员进行惩戒。
【描述】
告知人员相关的安全责任和惩戒措施,并对违反违背安全策略和规定的人员进行惩戒。
【检查方法】
应访谈安全主管,询问是否对违反安全策略和规定的人员进行惩戒,如何惩戒。
应访谈安全管理员、系统管理员和网络管理员,考查其对安全责任和惩戒措施等的理解程度。
c)应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训。
【描述】
制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训。
安全意识教育的培训方式可以通过书面安全策略、员工签订协议遵守组织的安全政策与程序、员工签订的业务保密协议、利用各种媒体在公司内部宣传安全问题、安全规定的强制执行、鼓励员工报告可以事件、阶段性审计等手段,达到培训的目的。
【检查方法】
应访谈安全主管,询问是否制定培训计划并按计划对各个岗位人员进行安全教育和培训,具体的培训方式有哪些。
应检查安全教育和培训计划文档,查看计划是否明确了培训方式、培训对象、培训内容、培训时间和地点等,培训内容是否包含信息安全基础知识、岗位操作规程等。
8.1.3.5外部人员访问管理
a)应确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案。
【描述】
确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案。
【检查方法】
应访谈安全管理员,询问对外部人员访问重要区域(如访问机房、重要服务器或设备区等)采取了哪些安全措施,是否经有关部门或负责人批准才能访问,是否由专人全程陪同或监督,是否进行记录并备案管理。
应检查外部人员访问管理文档,查看是否有对外部人员访问机房等重要区域应经过相关部门或负责人批准的内容。
应检查外部人员访问重要区域的登记记录,查看是否记录了外部人员访问重要区域的进入时间、离开时间、访问区域及陪同人等信息。
8.1.4系统建设管理
8.1.4.1系统定级
a)应明确信息系统的边界和安全保护等级。
【描述】
确定信息系统的安全保护等级,是建设符合安全等级保护要求的信息系统、实施信息安全等级保护的基础。
【检查方法】
应检查系统定级文档,查看文档是否明确信息系统的边界和信息系统的安全保护等级。
b)应以书面的形式说明信息系统确定为某个安全保护等级的方法和理由。
【描述】
针对信息系统为某个安全保护等级的方法和理由进行分档化要求。
【检查方法】
应访谈安全主管,询问确定信息系统安全保护等级的方法是否参照定级指南的指导,定级过程是否有书面描述。
应检查系统定级文档,查看文档是否说明定级的方法和理由。
c)应确保信息系统的定级结果经过相关部门的批准。
【描述】
应对测评信息系统的定级结果的合理性和正确性进行论证和审定,并且定级结果需要经过相关部门批准。
【检查方法】
应访谈安全主管,询问定级结果是否获得了相关部门的批准。
应检查系统定级文档,查看定级结果是否有相关部门的批准盖章。
8.1.4.2安全方案设计
a)应根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施。
【描述】
依据安全保护等级选择相应的基本安全措施,依据风险分析的结果补充和调整相应的安全措施。
【检查方法】
应访谈系统建设负责人,询问是否根据系统的安全级别选择基本安全措施,是否依据风险分析的结果补充和调整安全措施,具体做过哪些调整。
b)应以书面形式描述对系统的安全保护要求、策略和措施等内容,形成系统的安全方案。
【描述】
对系统的安全保护要求、策略和措施等内容,应以书面形式形成系统的安全方案。
【检查方法】
应检查系统的安全方案,查看方案是否描述系统的安全保护要求,是否详细描述了系统的安全策略,是否详细描述了系统采取的安全措施等内容。
c)应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案。
【描述】
对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案。
【检查方法】
应检查系统的详细设计方案,查看详细设计方案是否对应安全方案进行细化,是否有安全建设方案和安全产品采购方案。
d)应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施。
【描述】
安全设计方案的合理性和正确性应组织相关部门和有关安全技术专家进行论证和审定,并且经过批准后,才能正式实施。
【检查方法】
应访谈系统建设负责人,询问安全设计方案是否经过论证和审定,是否经过审批。
查看方案是否有经过安全主管领导或管理部门的批准盖章。
应检查专家论证文档,查看是否有相关部门和有关安全技术专家对安全设计方案的评审意见。
8.1.4.3产品采购和使用
a)应确保安全产品采购和使用符合国家的有关规定。
【描述】
安全产品的采购和使用符合国家关于产品采购的相关规定。
如由中国信息安全产品测评认证中心编制的《信息安全产品政府采购指南》。
【检查方法】
应检查系统使用的有关信息安全产品是否符合国家的有关规定。
b)应确保密码产品采购和使用符合国家密码主管部门的要求。
【描述】
密码产品的采购和使用符合国家密码主管部门的要求,如由国家信息安全,国家密码局、科学技术部、公安部、国家安全部、财政部、信息产业部、商务部、国家保密局、国家信息化工作办公室联合制定的《含有密码技术的信息产品政府采购规定》。
【检查方法】
应访谈系统建设负责人,询问系统是否采用了密码产品,密码产品的采购和使用是否符合国家密码主管部门的要求。
应检查密码产品的使用情况是否符合密码产品使用、管理的相关规定。
c)应指定或授权专门的部门负责产品的采购。
【描述】
应指定或授权专门的部门负责产品的采购。
【检查方法】
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全管理 测评 作业 指导书