1、网络安全管理测评前言 根据基本要求(GB/T222392008),各个级别信息系统安全管理需要落实的内容包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理共五个方面。本章将分别介绍着五个方面内容的具体评测方法。目录12345人员安全管理系统建设管理系统运维管理安全管理制度安全管理机构章节1安全管理制度管理制度评审和修订安全管理制度安全管理制度制定和发布1.1 管理制度信息安全方针策略各种安全管理活动的 管理制度安全操作规程“金字塔”式的安全管理制度文件体系最高层的安全文件以上一层为指导具体活动步骤和方法,必须体现上二层的策略和原则论证评审发布1.2 制定和发布起草在相关部
2、门管的负责和指导下,严格按照制度制定的有关程序和方法 安全管理制度体系制定并实施后,需要对体系中的相关文件进行评审和修订,以适应实际环境和情况的变化,保证安全管理制度体系文件的适用性1.3 评审和修订章节2安全管理机构安全管理机构 安全管理的重要实施条件就是建立一个统一指挥、协调有序、组织有力的安全管理机构。岗位设置人员配备审核检查授权审批沟通协调章节3人员安全管理 人是信息系统中最关键的因素,信息系统整个生命周期都需要有人来参与,只有对信息系统相关人员实施科学、完善的管理。才有可能降低认为操作失误所带来的风险,根据基本要求,三级系统对以下几项提出要求:人员安全管理01人员录用0203人员离岗
3、人员考核人员安全管理0405安全意识教育和培训外部人员访问管理章节4系统建设管理安全方案设计产品采购自行软件开发安全服务商选择等级测评系统备案其中系统备案中:已建信息系统在确定安全保护等级30日内,第二级以上信息系统必须到系统主管部门和相应公安备案。系统建设管理外包软件开发系统定级系统交付测试验收工程实施章节5系统运维管理环境管理根据资产的重要性标识;根据资产的价值选择管理措施;专门人员定期设备维护管理;制定设备管理制度;制定重要设备的操作规程;规定介质的存放、使用、传输、维护、销毁;根据重要程度分类标识;介质的加密存储、异地存储;确保机房运行环境良好和安全;办公环境的严格管理和控制;系统运维
4、管理网络安全管理划分系统管理员角色,分析日志和审计;建立系统安全管理制度;对重要日常工作建立操作规程;专人检测恶意代码及时处理,保存记录;建立防病毒制度,规定用户的防病毒行为、软件的授权使用、恶意代码库升级、定期汇报等;采用工具进行检测和报警;定期对记录进行分析,出分析报告;建立安全管理中心集中管理;制定专门人员对网络进行管理;建立网络安全管理制度;对重要日常工作建立操作规程;系统运维管理建立变更管理制度,规定变更类型、变更申报和审批、变更过程、变更前评估和变更失败后恢复等在同一的应急预案框架下制定不同安全事件的应急预案;针对应急预案进行培训和演练,及时修订不适用的内容。划分安全事件等级,规定安全件的现场处理、事件报告和后期回顾;规定不同安全事件报告和响应处理程序建立密码使用管理制度,规定秘钥的产生、分发、存储、更换、使用和废止系统运维管理密码管理备份与恢复管理识别需要备份的业务信息、系统数据及软件系统等;规定备份信息的备份方式、备份频度、存储介质、备份和恢复流程、有效性检查等安全事件处理应急预案管理变更管理感 谢 观 看
