1、信息系统安全等级保护信息系统安全等级保护安全管理测评安全管理测评背景知识背景知识1测评依据和内容测评依据和内容2测评方法和流程测评方法和流程3安全管理现场测评实施安全管理现场测评实施4内容内容1 1、背景知识、背景知识安全管理的定义安全管理的定义“三分技术,七分管理三分技术,七分管理”安全管理是指在信息系统中对需要人员来参与的活动采取必要安全管理是指在信息系统中对需要人员来参与的活动采取必要的管理控制措施,对信息系统的生命周期全过程实施科学管理。的管理控制措施,对信息系统的生命周期全过程实施科学管理。技术和管理的区别技术和管理的区别安全技术主要通过在信息系统中合理部署软硬件并正确配置其安安全技
2、术主要通过在信息系统中合理部署软硬件并正确配置其安全功能实现。全功能实现。安全管理主要通过控制与信息系统相关各类人员的活动,采取文安全管理主要通过控制与信息系统相关各类人员的活动,采取文档化管理体系,从政策、制度、规范、流程以及记录等方面做出档化管理体系,从政策、制度、规范、流程以及记录等方面做出规定实现。规定实现。技术和管理的联系技术和管理的联系两者之间既互相独立,又互相关联;两者之间既互相独立,又互相关联;确保信息系统安全不可分割的两个部分。确保信息系统安全不可分割的两个部分。1 1、背景知识、背景知识安全管理结构是指安全管理结构是指明确领导机构和责任部门明确领导机构和责任部门。设立或明确
3、信息安全领导机构,明确主管领导,设立或明确信息安全领导机构,明确主管领导,落实责任部门,建立岗位和人员管理制度,根落实责任部门,建立岗位和人员管理制度,根据职责分工,分别设置安全管理机构和岗位,据职责分工,分别设置安全管理机构和岗位,明确每个岗位的职责与任务,落实安全管理责明确每个岗位的职责与任务,落实安全管理责任制任制1 1、背景知识、背景知识序号安全关注点一级二级三级四级1岗位设置12442人员配备12333授权和审批12444沟通和合作12555审核和检查0144合计4920201 1、背景知识、背景知识安全管理制度是指安全管理制度是指确定安全管理策略,制定安确定安全管理策略,制定安全管
4、理制度全管理制度。确定安全管理目标和安全策略,。确定安全管理目标和安全策略,针对信息系统的各类管理活动,制定人员安全针对信息系统的各类管理活动,制定人员安全管理制度、系统建设管理制度、系统运维管理管理制度、系统建设管理制度、系统运维管理制度、定期检查制度等,规范安全管理人员或制度、定期检查制度等,规范安全管理人员或操作人员的操作规程等,形成安全管理体系操作人员的操作规程等,形成安全管理体系1 1、背景知识、背景知识序号安全关注点一级二级三级四级1管理制度13442制定和发布23563评审和修订0124合计3711141 1、背景知识、背景知识人员安全管理是指人员安全管理是指加强人员的安全管理加
5、强人员的安全管理。规范人。规范人员录用、离岗过程,关键岗位签署保密协议,对员录用、离岗过程,关键岗位签署保密协议,对各类人员进行安全意识教育、岗位技能培训和相各类人员进行安全意识教育、岗位技能培训和相关安全技术培训,对关键岗位的人员进行全面、关安全技术培训,对关键岗位的人员进行全面、严格的安全审查和技能考核。对外部人员允许访严格的安全审查和技能考核。对外部人员允许访问的区域、系统、设备、信息等进行控制问的区域、系统、设备、信息等进行控制1 1、背景知识、背景知识序号安全关注点一级二级三级四级1人员录用23+4+42人员离岗233+3+3人员考核01344安全意识教育和培训23+445外部人员访
6、问管理1123合计71116181 1、背景知识、背景知识人员安全管理是指人员安全管理是指加强人员的安全管理加强人员的安全管理。规范人。规范人员录用、离岗过程,关键岗位签署保密协议,对员录用、离岗过程,关键岗位签署保密协议,对各类人员进行安全意识教育、岗位技能培训和相各类人员进行安全意识教育、岗位技能培训和相关安全技术培训,对关键岗位的人员进行全面、关安全技术培训,对关键岗位的人员进行全面、严格的安全审查和技能考核。对外部人员允许访严格的安全审查和技能考核。对外部人员允许访问的区域、系统、设备、信息等进行控制问的区域、系统、设备、信息等进行控制1 1、背景知识、背景知识序号安全关注点一级二级三
7、级四级1人员录用23+4+42人员离岗233+3+3人员考核01344安全意识教育和培训23+445外部人员访问管理1123合计71116181 1、背景知识、背景知识系统建设管理是指系统建设管理是指加强系统建设过程的管理加强系统建设过程的管理。制定系统建设相关的管理制度,明确系统定级制定系统建设相关的管理制度,明确系统定级备案、方案设计、产品采购使用、软件开发、备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等工程实施、验收交付、等级测评、安全服务等内容的管理责任部门、具体管理内容和控制方内容的管理责任部门、具体管理内容和控制方法,并按照管理制度落实各项管理措施
8、法,并按照管理制度落实各项管理措施1 1、背景知识、背景知识序号安全关注点一级二级三级四级1系统定级33442安全方案设计34553产品采购13454自行软件开发23565外包软件开发34446工程实施123+47测试验收234+48系统交付23559系统备案003310安全测评0044+11安全服务商选择2333合计202845481 1、背景知识、背景知识系统运维管理是指系统运维管理是指加强系统运维过程的管理加强系统运维过程的管理。制定。制定系统运维相关的管理制度,明确环境管理、资产管系统运维相关的管理制度,明确环境管理、资产管理、介质管理、设备管理、监控管理、网络安全管理、介质管理、设备
9、管理、监控管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急变更管理、备份与恢复管理、安全事件处置、应急预案管理等内容的管理责任部门、具体管理内容和预案管理等内容的管理责任部门、具体管理内容和控制方法,并按照管理制度落实各项管理措施控制方法,并按照管理制度落实各项管理措施1 1、背景知识、背景知识序号安全关注点一级二级三级四级1环境管理34452资产管理12443介质管理246+6+4设备管理24555安全管理中心00336网络安全管理26897系统安全管理36788恶意代码防范13449密码
10、管理011+110变更管理024511备份与恢复管理235612安全事件处置246813应急预案管理0256合计184162701 1、背景知识、背景知识 管理活动控制点的增加 每个控制点具体管理要求的增多 管理活动的能力逐步加强借鉴能力成熟度模型(CMM) 一级 非正式执行 二级 计划和跟踪 三级 良好定义 四级 持续改进1 1、背景知识、背景知识背景知识背景知识1测评依据和内容测评依据和内容2测评方法和流程测评方法和流程3安全管理现场测评实施安全管理现场测评实施4内容内容2 2、测评依据和内容、测评依据和内容测评依据测评依据 信息系统安全等级保护基本要求信息系统安全等级保护基本要求GB/T
11、22239-2008 信息系统安全等级保护测评要求(报批稿)信息系统安全等级保护测评要求(报批稿) 信息系统安全等级保护测评过程指南(报批稿)信息系统安全等级保护测评过程指南(报批稿)2 2、测评依据和内容、测评依据和内容标准中管理要求形成思路标准中管理要求形成思路政策和制度机构和人员信息系统规划管理信息系统设计管理信息系统实施管理信息系统运维管理信息系统废弃管理信息系统整个生命周期检查和监督管理限制指导执行监督2 2、测评依据和内容、测评依据和内容标准中管理要求覆盖范围标准中管理要求覆盖范围信息系统的生命周期系统规划(定级规划等)系统设计(设计开发采购等)系统实施(安装配置测试等)系统运维系
12、统废弃管理人员管理制度组织的使命目标战略政策系统变更管理机构2 2、测评依据和内容、测评依据和内容测评内容测评内容- GB/T 22239-2008某级系统物理安全技术要求管理要求等级保护要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理2 2、测评依据和内容、测评依据和内容测评内容测评内容- GB/T 22239-2008安全管理(安全管理(37) 安全管理制度(3) 安全管理机构(5) 人员安全管理(5) 系统建设管理(11) 系统运维管理(13)物理安全(物理安全(10)2 2、测评依据和内容、测评依据和内容测评内容测评内容- GB/T 22
13、239-2008类1控制点1控制点2要求项1要求项2要求项n要求项1要求项2要求项n2 2、测评依据和内容、测评依据和内容测评内容测评内容-GB/T 22239-2008人员安全管理人员安全管理 人员录用 a) 应指定或授权专门的部门或人员负责人员录用;应指定或授权专门的部门或人员负责人员录用; b) 人员离岗 人员考核 安全意识教育和培训 外部人员访问管理类类控制点控制点要求项要求项背景知识背景知识1测评依据和内容测评依据和内容2测评方法和流程测评方法和流程3安全管理现场测评实施安全管理现场测评实施4内容内容3 3、评测方法和流程、评测方法和流程主要测评工具主要测评工具 安全管理测评作业指导
14、书安全管理测评作业指导书 物理安全测评作业指导书物理安全测评作业指导书3 3、评测方法和流程、评测方法和流程测评方式测评方式 访谈 检查3 3、评测方法和流程、评测方法和流程访谈访谈测评人员通过与信息系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据表明信息系统安全保护措施是否落实的一种方法。在访谈的范围上,应基本覆盖所有的安全相关人员类型,在数量上可以抽样。 访谈内容 访谈技巧 访谈对象 访谈作用测评方式测评方式-访谈访谈3 3、评测方法和流程、评测方法和流程问题问题开放式开放式非开放式非开放式如何管理和控制如何管理和控制软件开发文档?软件开发文档?是否成立是否成立信息安全领导小组
15、?信息安全领导小组?测评方式测评方式-访谈访谈-访谈内容访谈内容3 3、评测方法和流程、评测方法和流程 基于作业指导书开展 访谈对象的选择,覆盖适当的层次和职能 访谈应在正常工作时间和工作地点 说明访谈和做记录的原因 访谈可从请对方描述其工作开始 尽量避免提出有倾向性答案的问题 感谢对方的配合测评方式测评方式-访谈访谈-访谈技巧访谈技巧3 3、评测方法和流程、评测方法和流程安全主管系统建设负责人人事负责人系统运维负责人物理安全负责人系统管理员、网络管理员、安全管理员、机房值班人员、资产管理员等测评方式测评方式-访谈访谈-访谈对象访谈对象3 3、评测方法和流程、评测方法和流程安全主管安全主管主要
16、针对一些机构信息安全方面的上层、顶层问题进行广泛广泛式式提问,包括机构安全管理制度体系的构成、部门的设置等;主要集中在:安全管理制度、安全管理机构。各方面负责人(物理安全、人事、系统建设、系统运维)各方面负责人(物理安全、人事、系统建设、系统运维)主要针对机构信息安全各个具体方面的问题进行总体式提问主要集中在:人员安全管理、系统建设管理、系统运维管理、物理安全测评方式测评方式-访谈访谈-访谈对象访谈对象各类管理人员(系统安全管理员、网络安全管理员等)各类管理人员(系统安全管理员、网络安全管理员等)主要针对具体的信息安全问题进行针对式提问,深入了解系统在某一特定方面的具体安全措施如何落实。3 3
17、、评测方法和流程、评测方法和流程在安全管理测评中:作用一:作用一:了解相关管理方面的情况,作为下一步测评工作的基础;作用二:作用二:访谈结果作为判断与其他几种测评方式所得到证据是否一致;作用三:作用三:作为相关管理方面实现要求与否的直接证据;测评方式测评方式-访谈访谈-访谈作用访谈作用3 3、评测方法和流程、评测方法和流程作用三例:作用三例:要求“应根据系统的安全级别选择基本安全措施,依据风险分析的结果补充和调整安全措施;”测评实施:测评实施:应访谈系统建设负责人,询问系统选择基本安全措施的依据,是否依据安全保护等级选择,是否依据风险分析的结果补充和调整安全措施,做过哪些调整。测评方式测评方式
18、-访谈访谈-访谈作用访谈作用3 3、评测方法和流程、评测方法和流程检查检查不同于行政执法意义上的监督检查,是指测评人员通不同于行政执法意义上的监督检查,是指测评人员通过对测评对象进行观察、查验、分析等活动,获取证据以证明过对测评对象进行观察、查验、分析等活动,获取证据以证明信息系统安全保护措施是否有效的一种方法。信息系统安全保护措施是否有效的一种方法。测评方式测评方式-检查检查3 3、评测方法和流程、评测方法和流程 文档查看 现场察看测评方式测评方式-检查检查-检查方式检查方式3 3、评测方法和流程、评测方法和流程 各类文件各类文件 制度文档制度文档 操作规程操作规程 执行记录执行记录 物理环
19、境物理环境 基础设施等基础设施等测评方式测评方式-检查检查-检查对象检查对象3 3、评测方法和流程、评测方法和流程 “一对一”:通过访谈获得肯定答案,通过检查验证访谈结果。 “多对一”:访谈内容总体性,多个检查操作验证。 “一对无”:直接访谈或检查,单一结果。层层递进、共同体现、综合分析、把握核心。测评方式测评方式-检查检查-检查与访谈关系检查与访谈关系3 3、评测方法和流程、评测方法和流程测评工作前期准备测评工作前期准备-现场检查文档列表现场检查文档列表制度类文档制度类文档机房安全管理制度网路安全管理制度介质安全管理制度人员离岗管理文档记录和证据类文档记录和证据类文档进出机房的登记记录存储介
20、质归档、查询记录安全事件处置过程记录应急预案演练记录人员保密协议消防检测报告3 3、评测方法和流程、评测方法和流程测评工作前期准备测评工作前期准备-现场检查文档列表现场检查文档列表文档类别文档类别文档要求文档要求文档名称文档名称备注备注制度类机房安全管理制度人员离岗要求管理文档记录和证据类文档机房出入登记记录安全事件处置过程记录3 3、评测方法和流程、评测方法和流程测评工作前期准备测评工作前期准备-现场配合人员名单现场配合人员名单 几点说明几点说明根据角色分工,明确其熟知的安全控制点,确定访谈配合人员以配合人员为主,根据对其访谈内容的多少,估算大约占用对方的时间,以便其明确具体时间安排主要角色
21、配合人员访谈/配合事项时间安排备注物理安全负责人机房物理位置选择、防雷、防火、综合布线、防水和防潮、温湿度控制防尘电力供应、防静电、电磁防护安全主管安全管理制度体系、制度制修订、岗位设置和人员配备、沟通和合作、授权和审批、审核和检查.3 3、评测方法和流程、评测方法和流程测评工作前期准备-文档交接单根据各单位内部管理程序自行设计根据各单位内部管理程序自行设计明确的基本信息包括:明确的基本信息包括: 交接文档名称 文档密级 归还日期、接收日期 提交接收人签名、归还接收人签名 等等3 3、评测方法和流程、评测方法和流程采用一定的采用一定的“测评方式测评方式”通过执行一些活动,了解通过执行一些活动,
22、了解“测评对象测评对象”对对要求项要求项/测评项的实现情况,从而构成了测评实施方法测评项的实现情况,从而构成了测评实施方法信息系统安全等级保护测评要求信息系统安全等级保护测评要求的管理部分的管理部分测评项测评方式测评对象测评实施安全管理要求项检查和访谈人员、文档测评方式+对象+活动/操作现场测评工具准备现场测评工具准备-安全管理测评作业指导书开发安全管理测评作业指导书开发3 3、评测方法和流程、评测方法和流程 (示例)安全管理机构(示例)安全管理机构现场测评工具准备现场测评工具准备-安全管理测评作业指导书开发安全管理测评作业指导书开发序号序号测评指标测评指标测评项测评项测评方法测评方法备注备注
23、1岗位设置应设置安全主管、安全管理各方面的负责人岗位,定义各负责人职责;访谈相关负责人询问是否设置安全主管,及安全管理各方面负责人岗位,具体岗位有哪些?检查岗位职责文件,查看是否明确安全主管及安全管理各方面负责人的岗位,是否明确具体职责。测评项2测评项32测评指标2测评项13 3、评测方法和流程、评测方法和流程作业指导书开发基本步骤作业指导书开发基本步骤 第一步:从第一步:从基本要求基本要求中选择中选择“控制点控制点”(测评指标)和(测评指标)和“要求项要求项”(测评项);(测评项); 第二步第二步: 从从测评要求测评要求中选择中选择“测评方法测评方法”; 第三步第三步: 结合信息系统实际情况
24、调整结合信息系统实际情况调整“测评方法测评方法”; 第四步第四步: 形成最终作业指导书。形成最终作业指导书。现场测评工具准备现场测评工具准备-安全管理测评作业指导书开发安全管理测评作业指导书开发3 3、评测方法和流程、评测方法和流程物理安全所有的测试指标机房1机房2访谈检查现场查看测评对象测评方式现场测评工具准备现场测评工具准备-物理安全测评作业指导书开发物理安全测评作业指导书开发3 3、评测方法和流程、评测方法和流程具体开发方法和步骤可以参考具体开发方法和步骤可以参考“安全管理测评作业指导书开发安全管理测评作业指导书开发”现场测评工具准备现场测评工具准备-物理安全测评作业指导书开发物理安全测
25、评作业指导书开发3 3、评测方法和流程、评测方法和流程基本活动基本活动 检查是否存在有关的规定、制度或规程文档;检查是否存在有关的规定、制度或规程文档; 检查文档的描述细节是否涉及相关的内容;检查文档的描述细节是否涉及相关的内容; 检查是否存在有关执行过程的记录文件或说明文件(证据);检查是否存在有关执行过程的记录文件或说明文件(证据); 检查文件的记录内容是否与规定、制度或规程的要求一致;检查文件的记录内容是否与规定、制度或规程的要求一致; 访谈相关人员,要求其对描述不理解或记录不理解内容的解释或说明;访谈相关人员,要求其对描述不理解或记录不理解内容的解释或说明; 访谈相关人员,要求其对管理
26、过程或执行过程解释和说明。访谈相关人员,要求其对管理过程或执行过程解释和说明。测评流程测评流程-安全管理测评流程安全管理测评流程3 3、评测方法和流程、评测方法和流程测评流程测评流程 第一步,根据现场配合人员名单,进一步明确协调人员、访谈人第一步,根据现场配合人员名单,进一步明确协调人员、访谈人员及时间员及时间 第二步,根据检查文档列表,获得制度、记录、规程等各类文档,第二步,根据检查文档列表,获得制度、记录、规程等各类文档,并填写文档交接单并填写文档交接单 第三步,审阅各类文档,并在现场测评作业指导书的相关项中进第三步,审阅各类文档,并在现场测评作业指导书的相关项中进行结果记录行结果记录 第
27、四步,针对不确定项访谈相关人员或获得额外证据并记录第四步,针对不确定项访谈相关人员或获得额外证据并记录 第五步,整理作业指导书的结果记录,并确认签字第五步,整理作业指导书的结果记录,并确认签字 第六步归还所有文档并在文档交接单中签字第六步归还所有文档并在文档交接单中签字测评流程测评流程-安全管理测评流程安全管理测评流程3 3、评测方法和流程、评测方法和流程基本活动基本活动 实地察看场地条件、环境条件是否符合要求; 实地察看设备、设施是否工作正常; 实地察看是否存在有关设备、设施、标签、标识等; 检查设备、设施的检测报告或维护日志、检查机房设计验收文档; 访谈相关人员,要求对不理解之处进行解释或
28、说明; 访谈相关人员,要求对管理过程或执行过程补充解释和说明测评流程测评流程-物理安全测评流程物理安全测评流程3 3、评测方法和流程、评测方法和流程测评流程测评流程 第一步,实地察看场地条件、环境条件;第一步,实地察看场地条件、环境条件; 第二步,实地察看设备、设施运行状态;第二步,实地察看设备、设施运行状态; 第三步,实地察看存在的有关设备、设施、标签、标识等;第三步,实地察看存在的有关设备、设施、标签、标识等; 第四步,检查检测报告或维护日志、检查机房设计验收文档;第四步,检查检测报告或维护日志、检查机房设计验收文档;(可在进机房前完成)(可在进机房前完成) 第五步,针对不确定项访谈相关人
29、员;第五步,针对不确定项访谈相关人员; 第六步,整理作业指导书,整理结果记录并确认签字第六步,整理作业指导书,整理结果记录并确认签字测评流程测评流程-物理安全测评流程物理安全测评流程背景知识背景知识1测评依据和内容测评依据和内容2测评方法和流程测评方法和流程3安全管理现场测评实施安全管理现场测评实施4内容内容4 4、安全管理现场测评实施、安全管理现场测评实施测评内容及要点说明测评内容及要点说明 安全管理制度(安全管理制度(3) 安全管理机构(安全管理机构(5) 人员安全管理(人员安全管理(5) 系统建设管理(系统建设管理(11) 系统运维管理(系统运维管理(13)4 4、安全管理现场测评实施、
30、安全管理现场测评实施测评内容及要点说明测评内容及要点说明-安全管理制度安全管理制度安全管理制度(三级)管理制度制订和发布评审和修改4 4、安全管理现场测评实施、安全管理现场测评实施落实要点落实要点 总体方针政策文件、各类管理制度、各种操作规程三类文档 三类文档之间的连贯性,管理制度的覆盖面 管理制度文件的格式、版本、修订记录、各种评审记录以及发放登记记录 制定和修订方面的文字具体要求,修订计划,修订流程 安全管理制度制、修订的责任人,具体制定、发布流程落实难点:落实难点: 安全方针、管理制度、操作规程三层文件形成管理制度文件体系 管理制度定期的评审、修订、完善测评内容及要点说明测评内容及要点说
31、明-安全管理制度安全管理制度4 4、安全管理现场测评实施、安全管理现场测评实施安全管理机构(三级)授权和审批沟通与合作审核和检查人员配备岗位设置测评内容及要点说明测评内容及要点说明-安全管理机构安全管理机构4 4、安全管理现场测评实施、安全管理现场测评实施落实要点落实要点 查看岗位职责文件了解:安全管理组织构成情况,信息安全领导小组-信息安全管理工作的职能部门-具体岗位,具体职责分工情况; 机构人员及岗位人员名单,了解各管理员岗位人员配备情况(如安全管理员、系统管理员、网络管理员、文档管理员); 对关键岗位的定义; 根据岗位人员配备名单了解安全管理员是否是专职人员,其他岗位人员配备情况关键岗位
32、是否配备两人或两人以上 审批事项、审批部门、批准人及审批程序等(制度),审批过程实际执行记录,了解授权和审批情况 各类会议纪要、外协单位联系档案,了解部门内外沟通和合作情况 安全检查周期、内容、程序等(制度),各类安全检查表格、以往安全检查记录或总结了解对信息系统的安全检查情况测评内容及要点说明测评内容及要点说明-安全管理机构安全管理机构4 4、安全管理现场测评实施、安全管理现场测评实施落实难点落实难点 安全领导小组或安全管理委员会 专职安全管理员 关键岗位配备多人 聘请信息安全专家作为常年的安全顾问 关键活动的双重审批制度 定期的全面安全检查测评内容及要点说明测评内容及要点说明-安全管理机构
33、安全管理机构4 4、安全管理现场测评实施、安全管理现场测评实施人员安全管理(三级)人员考核安全意识教育和培训外部人员访问管理人员离岗人员录用测评内容及要点说明测评内容及要点说明-人员安全管理人员安全管理4 4、安全管理现场测评实施、安全管理现场测评实施落实要点落实要点 录用、离岗、考核、安全意识教育和培训方面的规定 安全保密协议和关键岗位的安全协议 离岗交接记录 安全技术考核记录 培训计划和培训记录 外部人员访问方面的规定(制度)落实难点落实难点 关键岗位人员的社会背景审查,关键岗位安全协议; 安全技能和安全认知的考核; 对外部人员允许访问的区域、系统、设备、信息等内容的详细书面规定。测评内容
34、及要点说明测评内容及要点说明-人员安全管理人员安全管理4 4、安全管理现场测评实施、安全管理现场测评实施系统建设管理(三级)工程实施系统交付系统备案自行软件开发安全方案设计产品采购系统定级外包软件开发测试验收安全服务商选择等级测评测评内容及要点说明测评内容及要点说明-系统建设管理系统建设管理4 4、安全管理现场测评实施、安全管理现场测评实施落实要点落实要点 信息系统定级报告 未来几年的安全建设规划 安全设计方案、工程实施方案 软件开发、工程实施、测试验收、系统交付等方面规定 产品采购的候选产品名单 系统集成建设工程实施过程控制记录、各个阶段产品评审记录 测试验收报告、安全性测试报告 系统备案证
35、书 等级测评报告 安全产品销售许可证复印件 与安全服务商签订的保密协议或安全责任书测评内容及要点说明测评内容及要点说明-系统建设管理系统建设管理4 4、安全管理现场测评实施、安全管理现场测评实施落实难点落实难点 对主要的活动均需要制度来指导和约束,规范化地执行各种活动,留有记录文件 外包开发软件安装前的恶意代码检测和后门程序审查 系统正式投入运行前独立第三方进行的安全性测试 每年一次的等级测评测评内容及要点说明测评内容及要点说明-系统建设管理系统建设管理4 4、安全管理现场测评实施、安全管理现场测评实施系统运维管理(三级)系统安全管理变更管理备份与恢复管理监控管理和安全管理中心设备管理介质管理
36、资产管理网络安全管理恶意代码防范管理密码管理安全事件处置环境管理应急预案管理测评内容及要点说明测评内容及要点说明-系统运维管理系统运维管理4 4、安全管理现场测评实施、安全管理现场测评实施环境管理环境管理 机房安全管理制度 机房基础设施定期维护记录、机房进出登记记录 指定机房基础设施维护负责人 办公环境的安全管理资产管理资产管理 资产安全管理制度 资产清单,资产重要程度标识 对信息分类标识的原则和方法进行说明的文档测评内容及要点说明测评内容及要点说明-系统运维管理系统运维管理4 4、安全管理现场测评实施、安全管理现场测评实施介质管理介质管理 介质安全管理制度 介质本地、异地存储环境条件,分类和
37、标识 介质归档、查询的登记记录 重要介质送出维修或销毁前的审批记录 重要介质中数据或软件的加密存储的说明文档设备管理设备管理 设备安全管理制度 指定设备管理的责任人或责任部门 重要网络设备或服务器的操作规程 设备带离机房或办公环境的审批记测评内容及要点说明测评内容及要点说明-系统运维管理系统运维管理4 4、安全管理现场测评实施、安全管理现场测评实施监控管理和安全管理中心监控管理和安全管理中心 主机监控系统、网络监控系统、业务应用监控系统及相应责任人 监控和报警记录的分析报告 对设备状态、恶意代码、补丁升级、安全审计的集中管理网络安全管理网络安全管理 网络安全管理制度及负责人员 网络安全管理的日
38、常工作,包括本地用户和远程用户的访问管理、网络接入管理、网络设备管理、漏洞扫描、网络状态监控等 日常管理工作的记录、重要事项的审批记录测评内容及要点说明测评内容及要点说明-系统运维管理系统运维管理4 4、安全管理现场测评实施、安全管理现场测评实施系统安全管理系统安全管理 系统(主机)安全管理制度及负责人员 系统(主机)安全管理的日常工作,包括帐户管理、角色权限管理、补丁管理、漏洞扫描、日志或审计信息分析、日常维护等 日常管理工作的记录、重要操作的审批文档恶意代码防范管理恶意代码防范管理 恶意代码防范管理制度及负责人员 恶意代码防范的日常工作,包括恶意代码检测、病毒库更新、恶意代码信息分析、恶意
39、代码防范意识教育等 恶意代码的集中分析结果记录或报告 日常管理工作的记录测评内容及要点说明测评内容及要点说明-系统运维管理系统运维管理4 4、安全管理现场测评实施、安全管理现场测评实施密码管理密码管理 密码使用管理制度 密码设备具有证书,密码算法符合国家相关规定变更管理变更管理 变更管理制度 变更方案 变更的审批记录 变更后相关管理制度和操作规程的变化 失败变更的恢复文件化程序及恢复过程的演练记录测评内容及要点说明测评内容及要点说明-系统运维管理系统运维管理4 4、安全管理现场测评实施、安全管理现场测评实施备份和恢复管理备份和恢复管理 备份和恢复管理制度 备份和恢复的策略文档及操作规程 备份过
40、程记录文档 系统启动或切换的操作规程 数据恢复或系统切换的操作记录 备份介质的有效性检查记录测评内容及要点说明测评内容及要点说明-系统运维管理系统运维管理4 4、安全管理现场测评实施、安全管理现场测评实施安全事件处置管理安全事件处置管理 安全事件报告和处置管理制度,包括安全事件定义、定级、报告流程、不同事件的响应和处置流程 安全事件处置过程的记录应急预案管理应急预案管理 应急预案总体框架 各类主要事件的具体应急预案 应急预案涉及人员、设备等的满足情况 应急预案的培训记录、演练记录 应急预案文档的更新维护测评内容及要点说明测评内容及要点说明-系统运维管理系统运维管理4 4、安全管理现场测评实施、
41、安全管理现场测评实施落实难点落实难点 办公环境的安全管理 信息分类标识的原则和方法 重要介质中数据或软件的加密存储 安全审计的集中管理 定期的网络和系统漏洞扫描 对移动式、便携式设备接入网络的安全管理 对违规联网行为的管理 系统运行日志和审计数据的分析 系统角色权限的划分和管理 定期的主机和网络恶意代码检测、病毒库升级 变更失败的文件化恢复程序,变更失败恢复演练 变更后对相关制度和操作规程的修订 数据恢复或系统切换的操作记录,备份介质的有效性检查 信息安全事件的分类、分级处置流程 具体信息安全事件的应急预案,应急预案培训和演练 应急预案文档的维护和更新测评内容及要点说明测评内容及要点说明-系统
42、运维管理系统运维管理4 4、安全管理现场测评实施、安全管理现场测评实施事项一:系统某一控制点或某条要求不适用该级别的基本要事项一:系统某一控制点或某条要求不适用该级别的基本要求(如外包软件开发、自行软件开发)求(如外包软件开发、自行软件开发)例:人员考核第一条“应定期对各个岗位人员进行安全技能及安全认知的考核”,通过访谈获知委托测评方从未进行过安全技能及安全认知的考核,那么该控制点对考核结果记录要求的要求项可以为不适用吗?安全管理现场测评实施安全管理现场测评实施-测评注意事项测评注意事项一定不要滥用“不适用”如某条要求没有达到,由于下面一条要求与其有关联关系,那么这条要求不能说不适用,而是不符
43、合。或者说,只能由不适用推导到不适用,而不能由不符合推导为不适用。4 4、安全管理现场测评实施、安全管理现场测评实施事项二:当访谈结果与检查结果不一致时,应综合分析,不能片面的采信任何一方。安全管理现场测评实施安全管理现场测评实施-测评注意事项测评注意事项事项三:访谈以具体对象展开,而不以控制点或要求展开。事项四:访谈是获得证据不可或缺的手段,但往往访谈回答信息的客观性、准确性,依被访谈角色对相关内容了解程度、以及双方的有效沟通而定,因此需要测评人员正确引导和判断。事项五:在检查文档时发现不同文档针对同一方面内容要求不一致,应分析原因,结合其他测评方式所获证据来判断。事项六:所检查的文档应是机
44、构目前已正式发布实施的有效文档。4 4、安全管理现场测评实施、安全管理现场测评实施事项八:其他测评项获取的证据,也可能会成为某一测评项判定的依据。安全管理现场测评实施安全管理现场测评实施-测评注意事项测评注意事项事项七:制度文档的审阅一方面要检查制度文档的规范内容,另外事项七:制度文档的审阅一方面要检查制度文档的规范内容,另外应通过审阅记录文档检查制度文档的落实,若二者存在不一致,应应通过审阅记录文档检查制度文档的落实,若二者存在不一致,应进一步寻找证据,最终确认是制度未得到有效落实还是制度文档需进一步寻找证据,最终确认是制度未得到有效落实还是制度文档需要修订。要修订。事项九:当由于某种原因机
45、构无法提供原有的所要求的证据时,其事项九:当由于某种原因机构无法提供原有的所要求的证据时,其他证据效力等同时,可采纳。他证据效力等同时,可采纳。事项十:文档名称可能不同,需进一步确认文档具体内容。事项十:文档名称可能不同,需进一步确认文档具体内容。事项十一:在系统运维管理的测评中,一些测评要求涉及到技术方事项十一:在系统运维管理的测评中,一些测评要求涉及到技术方面的要求,二者之间存在不同的侧重点。面的要求,二者之间存在不同的侧重点。4 4、安全管理现场测评实施、安全管理现场测评实施实例一实例一要求“应定期或不定期定期或不定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修
46、订;”安全管理现场测评实施安全管理现场测评实施-测评实例测评实例实例二实例二要求1“关键事务岗位关键事务岗位应配备多人共同管理。”要求2“应从内部人员中选拔从事关键岗位关键岗位的人员,并签署岗位安全协议。”实例三实例三要求1“应确保安全产品的采购和使用符合国家的有关规定国家的有关规定;”要求2“应确保密码产品的采购和使用符合国家密码主管部门的要求国家密码主管部门的要求;”要求3“应确保安全服务商的选择符合国家的有关规定国家的有关规定; ”4 4、安全管理现场测评实施、安全管理现场测评实施实例四实例四要求“应定期审查审批事项审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息;”安全
47、管理现场测评实施安全管理现场测评实施-测评实例测评实例实例五实例五要求“应制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置的范围、程度,以及处理方法等; ”实例六实例六要求“应在统一的应急预案框架应急预案框架下制定不同事件的应急预案应急预案,应急预案框架应包括启动预案的条件、应急处理流程、系统恢复流程和事后教育和培训等内容; ”4 4、物理安全现场测评实施、物理安全现场测评实施物理安全(三级)防静电电力供应防雷击物理访问控制防盗窃和防破坏物理位置选择防火防水和防潮温湿度控制电磁防护物理安全现场测评实施物理安全现场测评实施-测评内容及要点说明测评内容及要点说明4 4、物理安全现场测
48、评实施、物理安全现场测评实施落实要点落实要点 机房、建筑的各类设计/验收文档(机房位置选择说明、机房建筑承重能力、机房建筑防雷、机房综合布线及接地、自动消防系统、机房防火、机房空调和新风系统、电力供应和电磁防护等) 机房专人值守、门禁系统、分区管理、登记记录、专人陪同 设备和信息线不易除去的标识、介质分类标识及存放环境 机房视频监控系统 机房防盗报警系统 电源线和信号线上的防雷保安器(光纤接入除外) 自动消防报警系统运行状态、手提式或便携式灭火器的摆放位置及有效期、消防演习记录 机房天花板及墙壁是否存在防潮及结露现象,机房屋顶或活动地板下是否有水管、对外开放窗户的防雨措施 机房空调温湿度显示、
49、机房日常巡检温湿度记录 双路市电接入、UPS满负荷时最大负载、备用供电系统,电力供应应急演练记录物理安全现场测评实施物理安全现场测评实施-测评内容及要点说明测评内容及要点说明4 4、物理安全现场测评实施、物理安全现场测评实施落实难点落实难点 机房防盗报警系统 机房区域隔离防火措施 双路市电供电或备用供电系统物理安全现场测评实施物理安全现场测评实施-测评内容及要点说明测评内容及要点说明4 4、物理安全现场测评实施、物理安全现场测评实施事项一:事项一:现场查看机房基础设施建设情况时,设施的有无并不能反映落实与否,关键查看该设施是否是有效的、正常运行。物理安全现场测评实施物理安全现场测评实施-测评注
50、意事项测评注意事项事项二:事项二:当机房根据用途不同分为多个房间,处于不同位置时,各个机房应按相关的物理安全要求分别检查。4 4、物理安全现场测评实施、物理安全现场测评实施实例一实例一要求“机房出入口应有专人值守并配置电子门禁系统并配置电子门禁系统,控制、鉴别和记录进入的人员; ”物理安全现场测评实施物理安全现场测评实施-测评实例测评实例实例二实例二要求“应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过度区域; ”实例三实例三要求“应利用光、电等技术设置机房的防盗报警系统; ”实例四实例四要求“机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。”4