《安全管理checklist》由会员分享,可在线阅读,更多相关《安全管理checklist(11页珍藏版)》请在金锄头文库上搜索。
1、安全管理评估检查表(评估人员内部使用)说明:1.核查活动:检查:主要看有无。审查或核查:需要看内容及执行情况。2.等级:高:迫切需要近期内解决,如:1年以内。中:需要解决,但时间可以宽限,如:2-3年内。低:看情况解决,没有时间限制或时间可以较长,如:4年以上。编P检查对象问题核查活动等级结果1安全策略与安全计划1.1安全策略1.1.1策略建立是否建立组织的安全策略体系?包括总 体安全策略、问题相关安全策略。检查安全策 略高1.1.2策略支持安全策略是否经过管理高层的批准?高1.1.3策略内容是否在策略中指定了安全管理组织、职 责、安全管理方法等?策略文档审查高1.1.4策略公布员工是否了解组
2、织的安全策略?询问单个员工低1.1.5策略维护是否指定了专门机构维护策略?包括策 略内容,文档管理。维护记录检查中是否定义策略审查或维护时机?如:出 现安全事故、组织及系统变更等。策略变更记录检查中是否具有策略维护流程?维护流程文档检查中1.2安全计划1.2.1计划建立是否建立组织的安全计划或规划?检查安全计划高安全计划是否符合安全策略?安全计划文档宙查高1.2.2计划执行安全计划或规划是否得到执仃?检查执行记录或安全方案或实施计划等等高1.2.3计划实施回顾是否对实施结果与计划的一致性进行审查?检查变更记 录低2组织和人员安全2.1安全组织2.1.1安全管理机构建立是否建立信息安全管理机构,
3、统一负责 组织的信息安全管理工作?检查组织机构表高2.1.2安全管理机构组成机构成员是否来自相关各方?如:业务 部门、IT部门。低安全管理机构是否包括安全专业人士 ?检查人员简历或资质低是否聘请外部专业人士?低2.1.3管理职责管理机构内是否有明确的分工?核查组织机构表高2.1.4管理流程是否有相应的管理授权流程来处理安全 规划、安全规划实施。检查流程文 档高是否有相应的安全事件上报流程?检查流程文档高是否具有安全弱点上报流程?检查流程文 档高2.1.5行业合作是否与相关行业或组织机构,如:低CNCERT、电信、公安等有联系?定期 获取相关信息。2.1.6角色分离安全管理工作是否设置不问角色?
4、检查岗位表低2.2个人安全2.2.1员工安全手册是否具有员工安全手册?检查员工安全手册高2.2.2个人职责个人对安全管理的责任是否明确?如: 个人不能在PC上散播病毒?核查员工安全手册高2.2.3员工安全使用原则是否对员工的资格进行限定与审核? 如:品德、学历、工作经历?低是否与员工签署保密协议?低2.2.4员工培训是否对员工进行内部或外部安全培训?培训实施计划高2.2.5岗位轮转是否在一定范围内进行岗位轮转?低2.2.6奖惩机制是否建立安全事故奖惩机制?低3安全评估3.1安全评估3.1.1安全评估方法是否建立安全评估方法论?检查安全评估手册低3.1.2评估实施是否定期或不定期进行风险评估?评
5、估 时机?检查评估记录或方案高3.1.3第二方评估是否聘请第三方评估?中4第二方组织与外包安全4.1第三方组织安全4.1.1第三方访问的风险评估是否具有第三方访问评估措施或活动? 例如:标识哪些组织是可以访问的,标 识是组织受限的,标识组织是不能访问 的?中4.1.2控制流程是否建立第三方访问控制流程?检查第三方 访问策略或 流程或记录高4.1.3第三方访问控制措施是否对第三方的访1可进行控制?如:特 殊标识、访问记录等?高4.1.4第三方合同是否签定保密协议?中4.1.5与第三方的是否签定保密协议?中信息及软件 交换4.2外包安全4.2.1外包合同是否在合问中明确组织的安全需求? 如:保密要
6、求、开发环境的安全要求、 技术支持的要求、对代码质量的明确要 求中5信息资产分类、分级5.1信息资产分类5.1.1信息资产登记是否对所有重要的信息资产进行了登 记?包括设备、介质、信息系统、信息 等。检查登记表高5.1.2信息资产归 类是否对信息资产进行了归类以进行不同 的管理?低5.1.3信息资产责任人是否对信息资产指定了责任人?低5.1.4信息资产清查是否定期或不定期清查信息资产?低5.2信息资产分级5.2.1等级保护政 策是否了解等级保护相关政策?低5.2.2信息及系统分级指南是否制定信息及信息系统分级指南?检查等级划 分指南高5.2.3信息分级是否对信息进行安全保护分级?检查分级报 告
7、高5.2.4信息系统分级是否对信息系统进行安全保护分级?检查分级报 告高5.2.5等级保护规划是否建立等级保护规划?高6物理及环境的安全6.1机房安全6.1.1机房安全手册是否制定机房安全手册?检查安全手jmW高6.1.2机房边界安全是否具有边界安全设施?如:围墙、保 安、接待员、闭路监控等。检查边界安全设施或访高问登记记录6.1.3配套设施是否按国家标准提供配电、照明、湿度、防水、防火、防雷及防盗等最基本的环 境条件?按国家标准审查各项设 施高6.1.4机房分区是否根据不问安全要求进行机房物理分区?审查执行情况高是否存在外来人员办公区?中6.1.5机房区域安全敏感区域入口是否有控制措施?敏感
8、区 域包括服务器区、控制室等。审查门禁系统状态高6.1.6人员活动控制是否对机房人员活动进行限制?如:吃 饭、抽烟、喝酒等。低6.1.7安全检查是否7E期或不7E期检查机房安全?中6.2设备安全6.2.1设备安全管理制度是否制定了设备安全管理制度?设备安 全制度包含设备采购、出入、安装、使 用、维护、废弃等方面的规定与流程。检查安全制度审查制度内容高6.2.2安全制度实 施是否从正规渠道采购设备?中是否对采购设备进行测试?高设备出入是否经过授权?审查执行记 录高设备是否放置在安全区域?设备使用是否经过授权?审查执行记 录高是否采取了掉电保护措施?如:UPS。中是否对处理敏感信息的设备进行电磁干
9、扰?低是否采取措施监控设备运行状况?如: 发热、掉电等。低是否对设备进行定期维护?低是否保存设备维护记录?审查维护记 录高6.2.3安全检查是否定期或不定期检查设备安全?低6.3介质安全6.3.1介质管理制 度是否制定了介质管理制度?介质管理制 度包含介质出入、使用、销毁等方面的 规定与流程。检查安全制 度高6.3.2制度实施是否对介质出入执行访问控制?介质包括纸介质、磁带、软盘、硬盘、U盘、磁卡、光盘等。审查执行记 录高是否对介质的访问进行授权?高介质废弃时,是否销毁了敏感信息?高7安全开发管理7.1开发过程7.1.1开发过程定义是否定义一个标准的开发过程支持软件或系统的开发?检查开发过程文
10、档高7.1.2变更管理是否建立变更流程?检查变更流 程高是否执行变更流程?检查变更记 录高7.1.3开发文档是否提供标准的开发文档模板?高7.2开发过程安全7.2.1安全开发管理制度是否建立安全开发管理制度?描述为控 制所开发软件或系统的安全而在组织、 技术、人员以及其它方面采取的安全控 制流程或措施?检查安全开发管理制度高7.2.2安全开发实施是否进行开发培训?高是否进行风险评估?高:是否进行设计宙查?高是否具有缺陷报告流程?高是否记录每次缺陷纠正?高是否进行软件代码审查?高是否进行软件或系统安全测试?高是否进行过程文档宙查?高是否对安全开发过程进行检查或审计?高7.3交付和运行7.3.1交
11、付流程是否具有软件/系统交付流程?中7.3.2交付描述文 档是否具有交付描述文档? 1内容包括:版 本、环境要求、模块等。检查交付文 档高7.3.3交付完整性是否米取措施保证交付软件或系统的不 被篡改?低7.3.4缺省设置改 变软件或系统在安装运行后是否修改了缺 省设置?高8运行管理8.1日常操作与维护管理8.1.1制度与流程是否建立日常运行操作制度与流程?包 括网络、主机、应用等方面的操作制度 与流程。检查各项制度、流程高8.1.2职责是否明确相关部门和人员的职责 ?如:网 络负责人、应用负责人。宙查制度高8.1.3网络管理网络是否划分安全域?如:VLAN。高是否使用专业网管软件 /硬件进行
12、网络 管理?包括日常管理、网络监控、故障 报警/排除等。中是否使用集中授权与管理平台管理网络设备?低是否在内网子域边界实施访问控制?高是否在内外网边界实施访问控制?高是否对远程接入进行接入控制?高生产网络与开发测试网络是否分离?高网络设备的接入与撤除是否经过授权?审查变更记 录高网络设备的软件是否定期或不定期打补丁或升级?高是否采取监控手段监控网络的性能?监 控内容包括:网络流量、网络设备利用 率等。高是否采取监控手段监控网络的安全? 如:定期扫描或实时监控?高是否记录管理及维护日志?检查维护日志高是否定期或不定期审查管理及维护日志?中8.1.4系统管理(含是否对系统帐号实行权限分离?高主机系统、重 要服务器系
