测评指导书二级.docx
- 文档编号:9434607
- 上传时间:2023-05-19
- 格式:DOCX
- 页数:208
- 大小:64.67KB
测评指导书二级.docx
《测评指导书二级.docx》由会员分享,可在线阅读,更多相关《测评指导书二级.docx(208页珍藏版)》请在冰点文库上搜索。
测评指导书二级
XXXXXX公司
XXXXXX等级测评项目
测评指导书
XXXXXX信息安全测评技术中心
2009年10月
DocumentControl
文档名称
文档类型
文档编号
密级
日期
版本
编写者
描述
审核人员
第1章安全管理测评指导书
安全管理机构测评
序号
测评指标
测评项
检测方法
预期结果
1
岗位设置(G2)
a)设定管理部,定义各个方面的负责人岗位和职责
访谈
安全主管,管理机构,部门和各负责人职责;
检查
核查各岗位职责范围和技能要求;
制度类文档要求
《部门设置、岗位设置及工作职责定义方面的管理制度》
证据类文档要求
《机构安全管理人员岗位名单》
b)定义各个岗位和职责(系统、网络、安全管理)
访谈
安全主管,岗位分工及相关职责;
c)制定文件明确分工
检查
安全管理委员会职责文件。
2
人员配备
(G2)
a)配备系统、网络、安全管理员
访谈
安全主管,岗位人员配备情况;
检查
安全管理人员名单;
人员配备要求文档;
制度类文档要求
《安全保障人事管理制度》
b)安全管理员是专职的
检查
安全管理人员名单;
人员配备要求文档。
3
授权和审批(G2)
a)对关键活动授权审批部门及批准人
访谈
安全主管,关键活动的审批部门,批准人是否得到授权,更新审批项目,审查周期;
检查
授权管理文件包括事项列表(审批、事项、程序),更新审批项目,审查周期;
制度类文档要求
《授权和审批流程》
记录类文档要求
《各项审批和批准执行记录(来访人员进入机房审批、介质/设备外带审批、系统外联审批等)》(外联接入、服务访问、配置变更、采购、外来人员访问和管理)
b)列表说明须审批的事项、部门和可批准人
访谈
关键活动的批准人,审批范围,审查程序;
审批文档、签字和盖章。
4
沟通和合作(G2)
a)内部沟通,定期召开会议
访谈
安全主管,与外单位和其他部门合作内容,沟通、合作方式有哪些;
安全主管,部门间协调会议,安全管理机构内部会议,信息安全领导小组例会;
安全管理人员,与外单位和其他部门人员主要沟通内容;
检查
部门间协调会议文件;
记录类文档要求
《各类会议纪要或记录(部门内、部门间协调会、领导小组)》
证据类文档要求
《外联单位联系列表》
b)职能部门召开会议协调安全工作实施
检查
安全工作会议文件;
c)加强公安,电信的合作与沟通
检查
外联单位说明文档;
5
审核和检查(G2)
a)定期安全检查
访谈
安全主管,检查周期,定期分析、评审异常行为;
安全员,安全检查包含内容、人员、程序策略和要求,通报形式、范围;
检查
安全检查内容、检查程序和检查结果等。
制度类文档要求
《安全审批和安全检查方面的管制制度》
安全管理制度测评
序号
测评指标
测评项
检测方法
预期结果
1
管理制度
(G2)
a)制定总体方针、政策性文件和安全策略
访谈
安全主管,制度体系是否有安全政策、安全策略;
检查
明确总体目标、范围、方针、原则、责任,安全策略;
制度类文档要求
《总体安全方针》《信息安全工作管理制度》
证据类文档要求
《总体安全策略专家论证文档》
b)建立安全管理制度
检查
覆盖物理、网络、主机系统、数据、应用和管理等层面;
c)建立操作规程
检查
重要管理操作的操作规程,如维护手册和操作规程;
2
制定和发布
(G2)
a)信息安全职能部门,组织相关人员制定
访谈
安全主管,是否在信息安全领导小组或委员会负责下统一制定;
制度类文档要求
《安全管理制度改收发规范》
记录类文档要求
《安全管理制度的收发登记记录》
b)统一的格式和版本
访谈
安全主管,是否按照统一的格式标准或要求制定、论证和审定;
检查
管理文档说明制定和发布程序、格式要求及版本;
c)论证和审定
检查
评审记录,评审意见;
d)签发后按照一定的程序以文件形式发布
检查
管理层的签字或盖章,格式统一;
3
评审与修订
(G2)
a)对存在不足或需要改进的安全管理制度进行修订
访谈
安全主管,对安全管理制度的评审由何部门、何人负责;
管理人员,对安全管理制度的评审、修订程序,维护措施;
检查
列表注明评审周期;
评审记录,日期与评审周期是否一致,修订记录和版本。
制度类文档要求
《授权审批、审批流程等方面的管理制度》
记录类文档要求
《各类评审和修订记录》
人员安全管理测评
序号
测评指标
测评项
检测方法
预期结果
1
人员录用
(G2)
a)具备专业技术水平和安全管理知识
访谈
人事负责人,录用人员要求与其职责相对应;
检查
人事工作人员,人员录用要求管理文档;
制度类文档要求
《人员录用、离岗、考核等方面的管理制度》
记录类文档要求
《人员考核、审查、培训记录(人员录用、人员定期考核)、离岗手续》
证据类文档要求
《人员保密协议》
《关键岗位安全协议》
《离岗人员保密协议书》
b)身份、背景、专业资格和资质等进行审查
访谈
审查身份、背景、专业资格和资质,签署保密协议,说明工作职责;
审查文档,记录审查内容和审查结果;
c)技能进行考核
检查
考核内容和结果;
d)说明其角色和职责
访谈
人事负责人,录用人员要求与其职责相对应;
检查
人事工作人员,人员录用要求管理文档;
e)签署保密协议
检查
保密范围、保密责任、违约责任、协议的有效期限和责任人签字;
2
人员离岗
(G2)
a)终止所有访问权限
访谈
安全主管,及时终止离岗人员所有访问权限,取回物资;
b)物资收回
核查
检查安全处理记;
c)离岗须承诺调离后的保密义务
访谈
人事工作人员,调离手续;
检查
保密承诺文档,有调离人员的签字;
3
人员考核
(G2)
a)技能及认知的考核
访谈
安全主管,专人负责定期考核;
b)安全审查
访谈
人事工作人员,考核情况,考核周期、考核内容、审查情况和内容如如操作行为、社会关系、社交活动;
c)违背安全策略和规定的人员进行惩戒
访谈
人事工作人员,惩戒措施;
4
安全意识教育和培训(G2)
a)安全意识教育
访谈
安全主管,以何形式制定安全教育和培训计划,效果如何;
制度类文档要求
《人员安全教育和培训方面的管理制度》
b)告知责任和惩戒措施
访谈
安全员,系统管理员,网络管理员,数据库管理员,各岗位人员对安全知识、责任和惩戒措施等的理解程度;
c)制定安全教育和培训计划
检查
安全教育、培训计划和不同岗位培训计划,明确目的、方式、对象、内容、时间和地点,内容包含信息安全基础知识、岗位操作规程;
d)记录并归档保存
检查
记录包括人员、内容、结果的描述,记录与培训计划一致。
5
第三人员
访问管理
(G2)
a)应在访问前与机构签署安全责任合同书或保密协议
访谈
安全主管,管理措施,访问前签署安全责任合同书或保密协议;
检查
全责任合同书或保密协议有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字;
制度类文档要求
《外部人员访问控制方面的管理制度》
记录类文档要求
《各项审批和批准执行记录(来访人员进入机房审批、介质/设备外带审批、系统外联审批等)》
b)重要区域的访问负责人的批准,专人陪同或监督,并记录备案
访谈
安全管理人员,访问重要区域采取措施,有负责人批准,专人陪同记录并备案管理;
检查
书面申请,批准人允许访问的签字;
系统建设管理测评
序号
测评指标
测评项
检测方法
预期结果
1
系统定级
(G2)
a)明确系统划分方法
访谈
划分系统方法,确定等级方法参照定级指南的指导,定级结果得到批准;
检查
给出等保SxAyGz值,定级结果有批准盖章;
证据类文档要求
《信息系统定级报告或定级建议书》
b)确定信安全等级
访谈
系统划分方法和理由;
c书面确定系统属性
检查
明确系统属性:
使命、业务、网络、硬件、软件、数据、边界、人员;
d)定级结果经过批准
访谈
划分系统方法,确定等级方法参照定级指南的指导,定级结果得到批准;
检查
给出等保SxAyGz值,定级结果有批准盖章;
专家对定级结果的论证意见。
2
安全方案
设计(G2)
a)依据等保和风险分析选择和调整安全措施
访谈
系统建设负责人,根据系统的安全级别选择基本安全措施,依据风险分析的结果补充和调整安全措施,做过哪些调整;
证据类文档要求
《近期和远期安全建设工作计划、总体建设规划书》
《详细设计方案》
《前一次测评报告》
b)书面描述对系统的安全保护要求和策略、措施等内容,形成系统的安全方案
访谈
安全主管,授权专人负责制定总体安全方案;
检查
系统安全方案,要求、策略和措施;
c)考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件
访谈
系统建设负责人,根据信息系统等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案等;
d)安全保障体系的配套文件经过专家论证和审定
访谈
系统建设负责人,安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定,并经过管理部门的批准;
检查
核查相关论证意见;
e)安全保障体系的配套文件经批准后,才能正式实施
检查
各方案管理层的批准;
3
产品采购
(G2)
a)采购符合国家规定
访谈
系统建设负责人,密码产品的使用是否符合国家密码主管部门的要求;
检查
安全产品(边界安全设备、重要服务器操作系统、数据库等)是否符合国家的规定;
制度类文档要求
《产品选型、采购方面的管理制度》
记录类文档要求
《产品的选型测试结果记录》
证据类文档要求
《候选产品名单》
b)密码产品符合国密要求
检查
商用密码产品和保密专用产品采购符合《商用密码管理条例》和《计算机信息系统保密工作暂行规定》;
c)专人负责采购
访谈
安全主管,何部门何人负责产品采购。
4
自行软件开发(G2)
a)开发与运行,与测试环境要独立
访谈
系统建设负责人,程序的修改、更新、发布进行授权和批准,控制措施,开发人员不能做测试人员(即二者分离),独立的模拟环境中编写、调试和完成;
检查
开发环境与运行环境物理分开;
制度类文档要求
《软件外包开发或自我开发方面的管理制度》
证据类文档要求
《软件开发协议》
《与安全服务商或外包开发商签订的服务合同和安全协议》
《软件开发设计和用户指南等相关文档(目录体系框架或交换原形系统)、软件测试报告》
e)提供文档指南
检查
软件设计的相关文档(应用软件设计程序文件、源代码文档等)和软件使用指南或操作手册和维护手册等;
b)文档由专人保管,控制使用
检查
开发相关文档(软件设计和开发程序文件、测试数据、测试结果、维护手册等)的使用控制记录。
5
外包软件
开发(G2)
a)签订协议,明确知识产权的归属和安全方面的要求
访谈
外包前书面文档形式规范软件开发单位的责任、安全行为、开发环境要求、软件质量、开发后的服务承诺;
检查
软件开发协议,知识产权归属、安全行为等内容;
b)检测软件质量
检查
软件开发协议,知识产权归属、安全行为等内容;
c)安装之前检测软件包中可能存在的恶意代码
访谈
交付前进行软件功能和性能验收检测,验收检测是否是由开发商和委托方共同参与,检测软件中的恶意代码,检测工具是否是第三方的商业产品;
d)提供软件设计的相关文档和使用指南
检查
应检查是否具有需求分析说明书、软件设计说明书和软件操作手册等开发文档以及用户培训计划、程序员培训手册等后期技术支持文档。
6
工程实施
(G2)
a)签订安全协议
访谈
系统建设负责人,以书面形式(如工程安全建设协议)约束工程实施方的工程实施行为;
检查
覆盖工程实施方的责任、任务要求和质量要求等方面内容,约束工程实施行为;
制度类文档要求
《工程实施过程管理方面的管理制度》
证据类文档要求
《工程实施方案》
b)专人负责
访谈
系统建设负责人,指定专人负责进度和质量控制,行为规范制度化,资质证明和能力保证;
c)制定施工方案
检查
覆盖工程时间限制、进度控制和质量控制等方面内容,工程实施过程是否按照实施方案形成各种文档,如阶段性工程报告;
7
测试验收
(G2)
a)安全性测试验收
访谈
系统正式运行前,根据设计方案或合同要求对信息系统进行独立的安全性测试;
制度类文档要求
《测试、验收方面的管理制度》
记录类文档要求
《系统验收测试记录、报告》
证据类文档要求
《系统验收测试方案》
b)制定测试验收报告
访谈
对测试过程(包括测试前、测试中和测试后)进行文档化要求和制度化要求;
应检查是否具有系统验收报告;
c)测试验收报告审定,双方签字
检查
应检查验收测试管理制度是否对系统验收测试的过程控制、参与人员的行为等进行规定。
8
系统交付
(G2)
a)明确交接手续
访谈
交接手续,交接清单是否满足合同的有关要求;
检查
系统交付清单具有系统建设文档、指导用户进行系统运维的文档以及系统培训手册;
证据类文档要求
《与安全服务商或外包开发商签订的服务合同和安全协议》
《系统交付清单》
b)技能培训
访谈
运行维护,培训,技术支持服务,维护的文档;
服务承诺书、培训记录;
c)提供运维文档
检查
系统交付清单具有系统建设文档、指导用户进行系统运维的文档以及系统培训手册;
d)服务承诺书,确保对系统运行维护的支持
访谈
服务承诺书、培训记录。
9
安全服务商选择(G2)
a)符合国家规定
访谈
信息系统进行安全规划、设计、实施、维护、测评等服务的安全服务单位是否符合国家有关规定。
证据类文档要求
《与安全服务商或外包开发商签订的服务合同和安全协议》
《备资质条件》
系统运维管理测评
序号
测评指标
测评项
检测方法
预期结果
1
环境管理
(G2)
a)对机房设施定期维护管理
访谈
物理安全负责人,机房基本设施(如空调、供配电设备等)进行定期维护,由何部门/何人负责,维护周期;
检查
设施维护记录;
制度类文档要求
《机房安全管理方面的管理制度》
《办公环境安全管理方面的管理制度》
记录类文档要求
《机房日常巡检记录》
《机房出入登记记录(包括第三方人员)》
《机房记录设备维护记录》
证据类文档要求
《机房安全设计和验收方面的文档》
b)指定部门负责机房安全
访谈
物理安全负责人,指定人员负责机房安全管理工作,对机房的出入管理是否要求进行制度化和文档化;
c)建立机房安全管理制度
检查
覆盖机房物理访问、物品带进、带出机房和机房环境安全等方面;
d)对机房来访人员进行登记和备案管理,限制来访人员的活动范围
检查
进出登记表;
d)办公环境的保密性管理
访谈
工作人员,保证办公环境的保密性要求事项;
检查
办公环境管理文档对工作人员离开座位的保密行为(如清理桌面文件和屏幕锁定等)、人员调离办公室后的行为行规定。
2
资产管理
(G2)
a)资产管理制度
访谈
安全主管,指定资产管理的责任人员或部门,由何部门/何人负责;
物理安全负责人,资产管理要求文档化;
覆盖资产使用、借用、维护等方面;
制度类文档要求
《资产、设备、介质安全管理方面的管理制度》
证据类文档要求
《资产清单》
b)编制资产清单
检查
覆盖资产责任人、所属级别、所处位置和所属部门等方面;
c)资产标识
访谈
资产管理员,对资产进行赋值和标识管理,不同类别的资产是否采取不同的管理措施;
检查
资产清单中的设备有相应标识;
3
介质管理
(G2)
a)介质存放环境安全
访谈
资产管理员,介质的存放环境的保护措施,防止其被盗、被毁、被未授权修改以及信息的非法泄漏,专人管理;
检查
应检查介质管理制度,查看其内容是否覆盖介质的存放环境、使用、维护和销毁等方面;
制度类文档要求
《信息分类、标识、发布、使用方面的管理制度》
记录类文档要求
《介质归档、查询等的登记记录》
b)介质归档和查询记录,定期盘点
访谈
资产管理员,对介质的使用管理要求文档化,是否根据介质的目录清单对介质的使用现状进行定期检查,是否对介质进行分类和标识管理;
检查
介质管理记录,记录介质的存储、归档和借用等情况;
c)介质使用、维修、销毁管理
访谈
资产管理员,进行保密性处理;对保密性较高的介质销毁前是否有领导批准,否对数据进行净化处理;询问对介质的物理传输过程是否要求选择可靠传输人员、严格介质的打包(如采用防拆包装置)、选择安全的物理传输途径、双方在场交付等环节的控制;
资产管理员,重要介质实行异地存储,异地存储环境是否与本地环境相同;
d)对介质进行分类和标识管理,专人管理
检查
应检查介质,查看是否对其进行了分类,并具有不同标识;
4
设备管理
(G2)
a)专人维护
访谈
资产管理员,设备指定专人或专门部门进行定期维护,周期;
制度类文档要求
《配套设备、软硬件维护方面的管理制度》
记录类文档要求
《主机系统、网络、安全设备等的操作日志和维护记录》
b)建立设备管理制度
访谈
系统管理员,软硬件维护进行制度化管理;
检查
应检查设备审批、发放管理文档,查看其内容是否对设备选型、采购和发放等环节的申报和审批作出规定;查看是否具有设备的选型、采购、发放等过程的申报材料和审批报告;
c)设备的操作和使用进行规范化管理
访谈
资产管理员,设备选用的各个环节(选型、采购、发放等)进行审批控制,对设备带离机构进行审批控制,设备的操作和使用是否要求规范化管理;
检查
应检查设备使用管理文档,查看其内容是否覆盖终端计算机、便携机和网络设备等使用、操作原则、注意事项等方面;
d)带离设备进行控制
检查
应检查设备使用管理文档,查看其内容是否覆盖终端计算机、便携机和网络设备等使用、操作原则、注意事项等方面;
e)监控检查管理
访谈
审计员,服务器的操作日志,日志文件管理,期检查管理;
检查
应检查服务器操作规程,查看其内容是否覆盖服务器如何启动、停止、加电、断电等操作。
5
监控管理
(G2)
a)信息系统监控和报警
访谈
系统运维负责人,查看主要服务器的各项资源指标,如CPU、内存、进程和磁盘等使用情况。
制度类文档要求
《系统监控、风险评估、漏洞扫描方面的管理制度》《采集操作手册》
《维护管理规范》
《维护汇总》
证据类文档要求
《主要设备漏洞扫描报告》
《系统异常行为审计分析报告》
6
网络安全
管理(G2)
a)专人管理
访谈
安全主管,指定专人负责维护网络运行日志、监控记录和分析处理报警信息等网络安全管理工作;
制度类文档要求
《网络监测与事件汇报制度》
记录类文档要求
《对主机、网络设备和应用软件等的监控记录和分析报告》
b)更新,备份
访谈
应访谈网络管理员,厂家提供的软件升级版本对网络设备进行过升级,目前的版本号为多少,升级前是否对重要文件(帐户数据、配置数据等)进行备份,采取什么方式进行备份;网络设备进行过漏洞扫描,对扫描出的漏洞是否及时修补;
c)进行网络系统漏洞扫描,及时修补
访谈
应访谈网络管理员,厂家提供的软件升级版本对网络设备进行过升级,目前的版本号为多少,升级前是否对重要文件(帐户数据、配置数据等)进行备份,采取什么方式进行备份;网络设备进行过漏洞扫描,对扫描出的漏洞是否及时修补;
检查
漏洞扫描报告,覆盖网络存在的漏洞、严重级别、原因分析和改进意见等方面;
d)与外部系统的连接均应得到授权和批准
访谈
安全员,外联种类有哪些(互联网、合作伙伴企业网、上级部门网络等),得到授权与批准,由何部门/何人批准;定期检查违规联网的行为;
检查
应检查是否具有内部网络外联的授权批准书;
e)建立网络安全管理制度
访谈
安全员,网络安全的管理工作(包括网络安全配置、网络用户、日志等方面)制度化;
检查
应检查网络安全管理制度,查看其是否覆盖网络设备的安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志内容、日志保存时间等方面内容;
f)网络安全策略、授权访问、最小服务、升级与补丁
访谈
安全员,网络安全的管理工作(包括网络安全配置、网络用户、日志等方面)制度化;
检查
应检查网络安全管理制度,查看其是否覆盖网络设备的安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志内容、日志保存时间等方面内容;
g)规定网络审计日志的保存时间
检查
应检查在规定的保存时间范围内是否存在网络审计日志。
7
系统安全
管理(G2)
a)指定专人对系统进行管理
访谈
安全主管,询问是否指定专人负责系统安全管理;
制度类文档要求
《系统安全管理(系统配置、账号管理等)方面的管理制度》
b)制定系统安全管理制度
访谈
安全员,将系统安全管理工作(包括系统安全配置、系统账户、审计日志等)制度化;
检查
覆盖系统安全配置(包括系统的安全策略、授权访问、最小服务、升级与补丁)、系统帐户(用户责任、义务、风险、权限审批、权限分配、账户注销等)、审计日志以及配置文件的生成、备份、变更审批、符合性检查等方面;
c)定期安装系统的最新补丁程序,前对现有的重要文件进行备份
访谈
应访谈系统管理员,定期安装安全补丁程序,在安装系统补丁前是否对重要文件(系统配置、系统用户数据等)进行备份,采取什么方式进行;是否对系统进行过漏洞扫描,发现漏洞是否及时修补;
d)确定系统的访问控制策略,控制分配信息系统、文件及服务的访问权限
访谈
系统管理员,对系统工具的使用(如脆弱性扫描工具)是否采取措施控制不同使用人员及数量;
检查
覆盖系统安全配置(包括系统的安全策略、授权访问、最小服务、升级与补丁)、系统帐户(用户责任、义务、风险、权限审批、权限分配、账户注销等)、审计日志以及配置文件的生成、备份、变更审批、符合性检查等方面。
e)遵循最小授权要求
f)对系统的安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志以及配置文件的生成、备份、变更审批、符合性检查等方面做出具体要求
g)规定系统审计日志的保存时间
访谈
审计员,规定系统审计日志的保存时间
检查
在规定的保存时间范围内是否存在系统审计日志;
h)对发现的系统安全漏洞进行及时的修补
检查
覆盖系统存在的漏洞、严重级别、原因分析和改进意见等方面;
8
恶意代码
防范管理
(G2)
a)提高防病毒意识及时升级防病毒软件
访谈
系统运维负责人,对员工进行基本恶意代码防范意识的教育,如告知应及时升级软件版本,使用外来设备、网络上接收文件和外来计算机或存储设备接入网络系统之前进行病毒检查;
工作人员,熟知恶意代码基本的防范手段,主要
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 测评 指导书 二级
![提示](https://static.bingdoc.com/images/bang_tan.gif)