《金融行业三级管理制度测评指导书》由会员分享,可在线阅读,更多相关《金融行业三级管理制度测评指导书(55页珍藏版)》请在金锄头文库上搜索。
1、密 级:机密 信息安全等级保护测评指导书安全管理制度测评指导书黑龙江安衡讯信息安全测评技术服务有限公司2013.05保密申明 本安全方案包含了来自安衡讯可靠、权威的信息,此信息仅供安衡讯的信息安全等级保护测评项目使用,接受本指导书即表示同意对其内容保密,并且未经安衡讯书面请求和书面认可,不得向外界复制,泄露或散布此方案。如果你不是有意接受者,请注意对本方案内容的任何形式的泄露、复制或散布都是被禁止的。1、 安全管理制度序号类别测评项测评实施说明1管理制度a)应制定信息安全工作的总体方针和安全策略,说明安全工作的总体目标、范围、原则和安全框架等,并编制形成信息安全方针制度文件。1)应检查信息安全
2、工作的总体方针和安全策略,查看文件是否明确机构安全工作的总体目标、范围、原则和安全框架等。b)应对安全管理活动中的各类管理内容建立安全管理制度;1)应检查各项安全管理制度,查看是否覆盖安全管理活动中的各类管理内容(制度管理、机构管理、人员管理、系统建设管理和运维管理等方面)。c)应对要求管理人员或操作人员执行的日常管理操作建立操作规程;1)应检查是否具有对重要管理操作的操作规程,如系统维护手册和用户操作规程等。d)应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。1)应访谈安全主管,询问机构是否形成全面的信息安全管理制度体系,制度体系是否由安全政策、管理制度、操作规程等构
3、成。2制定和发布a)由金融机构总部科技部门负责制定适用全机构范围的安全管理制度,各分支机构的科技部门负责制定适用辖内的安全管理制度。(F3)1)应访谈安全主管,询问由何部门或人员负责安全管理制度的制定,参与制定人员有哪些。2)应检查人员职责、岗位设置等相关管理制度文件,查看是否明确由专门的部门或人员负责安全管理制度的制定工作。b)安全管理制度应具有统一的格式,并进行版本控制;1)应检查安全管理制度制定和发布要求管理文档,查看文档是否说明安全管理制度的格式要求、版本编号。2)应检查安全管理制度文档,查看是否具有版本标识,查看各项制度文档格式是否统一。c)应组织相关人员对制定的安全管理制度进行论证
4、和审定;1)应访谈安全主管,询问安全管理制度的制定程序,是否对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等)。2)应检查管理制度评审记录,查看是否具有相关人员的评审意见。d)安全管理制度应通过正式、有效的方式发布;1)应检查安全管理制度制定和发布要求管理文档,查看文档是否说明安全管理制度的制定、发布程序和发布范围等各项要求。e)安全管理制度应注明发布范围,并对收发文进行登记;1)应检查安全管理制度的收发登记记录,查看收发是否通过正式、有效的方式(如正式发文、领导签署和单位盖章等),是否注明管理制度的发布范围。3评审和修订a)信息安全领导小组应负责定期组织
5、相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。1)应访谈安全主管,询问是否由信息安全领导小组负责定期对安全管理制度体系的合理性和适用性进行审定,审定周期多长。2)应检查是否具有安全管理制度体系的评审记录,查看实际评审周期是否符合要求,是否记录了相关人员的评审意见。b)应该建立对门户网站内容发布的审核、管理和监控机制。(F3)本次不适用c)应定期或不定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。1)应访谈安全主管,询问是否对管理制度定期修订,修订周期多长。询问系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时是否对安全管理
6、制度进行检查,对需要改进的制度进行修订。2)应检查是否具有安全管理制度修订记录。2、 安全管理机构序号类别测评项测评实施说明1岗位设置a) 金融机构信息安全管理工作实行统一领导、分级管理,总部统一领导分支机构的信息安全管理,各机构负责本单位和辖内的信息安全管理。(F3)1)应访谈安全主管,询问是否设立安全管理机构(即信息安全管理工作的职能部门)。机构内部门设置情况如何,是否设立安全主管及安全管理各个方面的负责人,是否明确各部门和各负责人的职责。2)应检查部门、岗位职责文件,查看文件是否明确安全管理机构的职责,是否明确机构内各部门和各负责人的职责和分工。b) 应设立由本机构领导、业务与技术相关部
7、门主要负责人组成的信息安全领导小组,负责协调本机构及辖内信息安全管理工作,决策本机构及辖内信息安全重大事宜。1)应访谈安全主管,询问设置了哪些工作岗位(如安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等重要岗位),是否明确各个岗位的职责分工。2)应检查文件是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等各个岗位,各个岗位的职责范围是否清晰、明确。c)应设立专门的信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等进行审计。(F3)1)应访谈安全主
8、管,询问是否设立指导和管理信息安全工作的委员会或领导小组,其最高领导是否由单位主管领导委任或授权的人员担任。2)应检查信息安全工作委员会或领导小组的成立文件,查看最高领导是否由单位主管领导委任或授权。3)应检查部门、岗位职责文件,查看是否明确信息安全管理委员会或领导小组的职责。d)应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责。1)应访谈安全主管,询问是否设立指导和管理信息安全工作的委员会或领导小组,其最高领导是否由单位主管领导委任或授权的人员担任e)应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。1)应检查部门、岗
9、位职责文件,查看文件是否明确委员会的职责和安全管理机构的职责。是否明确机构内各部门的职责和分工。是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等各个岗位的职责范围。查看文件是否明确各个岗位人员应具有的技能要求。f)金融机构的主要负责人为本单位计算机信息系统安全保护工作的第一责任人。金融机构的计算机信息系统安全保护领导小组、专职部门和专(兼)职安全管理人员以及其他有关人员应当协助第一责任人组织落实有关规定。(F3)1)应检查部门、岗位职责文件,查看文件是否明确委员会的职责和安全管理机构的职责。是否明确机构内各部门的职责和分工。是否明确设置安全主管、
10、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等各个岗位的职责范围。查看文件是否明确各个岗位人员应具有的技能要求。g)应坚持三分离原则,实现前后台分离、开发与操作分离、技术与业务分离,信息技术人员任职要专岗专责,不得由业务人员兼任,也不得兼任业务职务。(F3)1)应检查部门、岗位职责文件,查看文件是否明确委员会的职责和安全管理机构的职责。是否明确机构内各部门的职责和分工。是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等各个岗位的职责范围。查看文件是否明确各个岗位人员应具有的技能要求。h)除科技部门外,其他部门均应指定至少
11、一名部门计算机安全员,具体负责本部门的信息安全管理工作,协同科技部门开展信息安全管理工作。(F3)1)应检查部门、岗位职责文件,查看文件是否明确委员会的职责和安全管理机构的职责。是否明确机构内各部门的职责和分工。是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等各个岗位的职责范围。查看文件是否明确各个岗位人员应具有的技能要求。2人员配备a)应配备一定数量的系统管理员、网络管理员、安全管理员等。1)应访谈安全主管,询问各个安全管理岗位人员(如机房管理员、系统管理员、网络管理员、安全管理员等重要岗位人员)配备情况。2)应检查管理人员名单,查看其是否明确
12、机房管理员、系统管理员、网络管理员、安全管理员等重要岗位人员的信息。b)应配备专职安全管理员,实行A、B 岗制度,不可兼任。1)应访谈安全主管,询问安全管理员的配备情况,是否是专职。2)应检查管理人员名单,确认安全管理员是否是专职人员。c)关键事务岗位应配备多人共同管理。1)应访谈安全主管,询问哪些关键事物需要配备2人或2人以上共同管理,人员具体配备情况如何。2)应检查管理人员名单,查看关键岗位是否配备多人。3授权和审批a)应根据各部门和岗位的的职责明确授权审批事项、审批部门和批准人等1)应访谈安全主管,询问对哪些信息系统活动进行审批,审批部门是何部门,审批人是何人。b)应针对系统变更、重要操
13、作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度。1)应访谈安全主管,询问其对重要活动的审批范围(如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等),审批程序如何,其中是否需要需要逐级审批。2)应检查各类管理制度文档,查看文档中是否明确事项的审批程序(如列表说明哪些事项应经过信息安全领导小组审批,哪些事项应经过安全管理机构审批等),是否明确对重要活动进行逐级审批,由哪些部门/人员逐级审批。3)应检查经逐级审批的文档,查看是否具有各级批准人的签字和审批部门的盖章。c)应定期审查审批事项
14、,及时更新需授权和审批的项目、审批部门和审批人等信息。1)应检查审批事项的审查记录,查看是否对审批事项、审批部门、审批人的变更进行评审。d)应记录审批过程并保存审批文档。1)应检查关键活动的审批过程记录,查看记录的审批程序与文件要求是否一致。e)用户应被授予完成所承担任务所需的最小权限,重要岗位的员工之间应形成相互制约的关系。权限变更应执行相关审批流程,并有完整的变更记录。(F3)1)应访谈安全主管,询问对哪些信息系统活动进行审批,审批部门是何部门,审批人是何人。f)应建立系统用户及权限清单,定期对员工权限进行检查核对,发现越权用户要查明原因并及时调整,同时清理过期用户权限,做好记录归档。(F
15、3)1)应访谈安全主管,询问对哪些信息系统活动进行审批,审批部门是何部门,审批人是何人。4沟通和合作a)应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,定期或不定期召开协调会议,共同协作处理信息安全问题,并形成会议纪要。1)应访谈安全主管,询问与其它部门之间及内部各部门管理人员之间的沟通、合作机制。部门间、,安全管理职能部门内部以及信息安全领导小组或者安全管理委员会是否定期召开会议。2)应检查组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,查看是否具有会议内容、会议时间、参加人员和会议结果等描述。3)应检查是否具有信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录(如会议记录/纪要,信息安全工作决策文档等)。b)应加强与兄弟单位、公安机关电信公司的合作与沟通;1)应访谈安全主管,询问是否建立与公安机关、电信公司和兄弟单位等的沟通、合作机制。2)应检查外联单位联系列表,查看外联单位是否包含公安机关、电信公司、兄弟公司等,是否说明外联单位的名称、联系人、合作内容和联系方
