《安全管理测评作业指导书(DOC 122页)》由会员分享,可在线阅读,更多相关《安全管理测评作业指导书(DOC 122页)(131页珍藏版)》请在金锄头文库上搜索。
1、安全管理测评作业指导书管理体系文件 安全管理测评作业指导书编制: 校对: 审核: 批准: 2009 发布 2009 实施修订页更改状态序号对应的章、节、条号修订内容更改人批准人批准日期 1 目的安全管理贯穿于信息系统的整个生命周期,在保障信息系统的安全中发挥了重要作用,与安全技术占据同等重要的地位。安全管理通常是指在信息系统中对需要人来参与的活动采取必要的管理控制措施,通过文档化的管理体系,为保障系统正常运行所涉及的人员活动做出明确规定。本手册的编写目的是为了指导管理测评实施人员的实际工作,根据实际工作的深入开展,会及时对本作业指导书进行更新,以保证指导书的高指导性。2 适用范围本手册适用于在
2、现场测评实施中负责安全管理测评检查的测评人员。3 职责3.1 测评师1)测评师应在客观、公正的情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方式和解释,实施测评活动;2)测评师应正确理解测评项,并具有良好的判断;3)测评师应注意测评记录和证据的接收、处理、存储和销毁,保护其在测评期间免遭改变和遗失,并保守秘密;4)测评师应遵循正确的测评方法进行现场测评和结果判定,以确保满足相关标准的要求。4 相关文件4。1 依据标准GB/T 222392008信息安全技术 信息系统安全等级保护基本要求4。2 参考标准信息系统安全等级保护测评要求(送审稿)信息系统安全等级保护测评过程指南(送审稿)上
3、述文件中的条款通过本手册的引用而成为本手册的内容。凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本手册。凡是不注明日期的引用文件,其最新版本适用于本手册。5 测评方法人员访谈测评师通过与被检查人员进行交流,对测评检查项进行细化。所获得测评所需数据,进行查验、分析等活动,获取证据以证明信息系统安全等级保护措施是否有效。文档检查测评师通过文档检查验证用户的现有文档与测评要求的符合程度,获取证据以证明信息系统安全等级保护措施是否有效.6 操作步骤6。1 测评前准备确定安全管理检查的测评内容。根据信息系统安全等级保护基本要求中的管理要求,安全管理测评包括五个部分,分别
4、为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。确定安全管理检查的测评对象。安全管理检查分为管理访谈与管理文档检查两个部分。管理访谈在进入现场实施访谈工作之前,需要与被测方进行沟通,确认对方被访谈对象的名单,确认其中是否存在同一被访谈对象对应多个访谈岗位的状况,在与被测方就“岗位人员”对应关系取得一致性意见后,编写访谈工作实施计划,并提交被测方,确认访谈工作开展的时间、地点、被访谈对象的先后顺序。同时进入现场之前,需确认所有安全管理访谈检查表已准备妥当,并熟悉列表中的内容。管理文档检查在进入现场实施检查工作之前,需要与被测方进行沟通,确认配合文档检查的人员等。同时进入现
5、场之前,需确认所有文档检查表已准备妥当,并熟悉列表中的内容。6。2 现场测评进入现场测评阶段后,首先应确定检查对象进行访谈、检查,并在检查的过程中分别填写对应的管理访谈表与文档检查表.完成检查后,测评师与检查对象分别对现场检查表上的内容确认无误后签字确认.安全管理测评现场实施流程图如下:图1 安全管理测评现场实施流程6。3 异常处理若检查对象对测评项存在疑问,测评师应向其进行解释或举例说明,以保证测评工作能够顺利进行.若检查对象拒绝或不配合进行测评实施,测评师应报测评项目经理获知,经测评项目经理确认后,双方签字确认。6.4 现场的清理现场测评工作结束时,双方对被测系统的运行情况进行验证并签字确
6、认。测评师应对所有检查表的完整性进行确认,内容包括:检查列表的表头、结果记录、日期等均填写完整无误,所有检查表无缺页.确认工作完成后,报测评项目经理,测评现场实施完成。6。5 注意事项应遵循最小影响原则。现场测评尽量避开被测系统的业务高峰期进行实施.应遵循安全原则。对于存在安全风险的测评实施,测评师必须向被检查对象明示,在取得对方授权后方可进行;若对方拒绝授权,应报测评项目经理获知,由测评项目经理与对方进行协商,若仍不能获得授权,则可不进行该测评实施,但应在记录表中说明。7 记录7。1 二级系统安全管理测评检查表包括不同参数的组合用表。7。2 三级系统安全管理测评检查表包括不同参数的组合用表。
7、7。3 四级系统安全管理测评检查表包括不同参数的组合用表。8 关键测评要点说明8.1 二级系统关键测评要点说明以下先就对安全管理测评中可能涉及到的内容进行说明:情况一、若被访谈对象的实际工作职责对应于访谈岗位中的多个,可以根据被访谈对象的表述,同时填写多份访谈记录表,避免出现就同一问题多次访谈同一对象的状况;情况二、需检查的文档中关于人员安全管理部分,有些单位此部分文档可能不在测评工作实地,为避免拖延工作进度需提前协调;情况三、根据行业特征的不同,可能不存在关键岗位定期轮岗,需要根据实际情况具体分析;情况四、需验证文档周期性时,可通过调用相邻两份实际记录,查看其间隔的时间进行验证; 情况五、安
8、全管理测评的内容可以根据现场实际情况稍作调整.8。1.1 安全管理制度8。1.1。1 管理制度a)应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等。【描述】信息安全方针政策是最高层的安全文件,阐明安全工作的使命和意愿,定义信息安全的总体目标,规定信息安全管理的责任机构及其职责,以及建立的适用的安全工作运行模式等。【检查方法】 应检查信息安全工作的总体方针和安全策略文件,查看文件是否明确机构安全工作的总体目标、范围、原则和安全框架等。b)应对安全管理活动中重要的管理内容建立安全管理制度.【描述】安全管理制度是以安全方针政策性文件为指导,对信息系统的建设、
9、开发、运维、升级和改造等各个阶段和环节所应当遵循的行为加以规范。【检查方法】应检查各项安全管理制度,查看是否覆盖物理、网络、主机系统、数据、应用、建设和管理等层面的重要管理内容。c)应对安全管理人员或操作人员执行的重要管理操作建立操作规程.【描述】安全操作规程是各项具体活动的实施步骤或方法,是信息安全政策从抽象到具体,从宏观管理层落实到具体执行层的重要一环.【检查方法】 应检查是否具有重要管理操作的操作规程(如系统维护手册和用户操作规程等)。8.1.1.2 制定和发布a)应指定或授权专门的部门或人员负责安全管理制度的制定。【描述】信息安全管理制度的制定和发布,应授权专门的部门和人员负责。【检查
10、方法】应访谈安全主管,询问是否有专门的部门或人员负责制定安全管理制度。应访谈安全管理制度制、修订人员,询问安全管理制度的制定程序.b)应组织相关人员对制定的安全管理制度进行论证和审定。【描述】安全管理制度制定后,应组织相关人员对其可行性进行论证和审定。【检查方法】 应访谈安全管理制度制、修订人员,询问是否对制定的安全管理制度进行论证和审定,论证和评审方式如何.应检查管理制度评审记录,查看是否有相关人员的评审意见.c)应将安全管理制度以某种方式发布到相关人员手中.【描述】应对重要文件进行控制,发布安全管理制度时应注明发布范围,并对收发的安全管理制度做好登记。【检查方法】 应访谈安全管理制度制、修
11、订人员,询问安全管理制度的发布方式。8。1。1.3 评审和修订a)应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订。【描述】应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订.【检查方法】 应访谈安全主管,询问是否定期对安全管理制度进行评审,评审周期多长,发现存在不足或需要改进的是否进行修订。应检查安全管理制度评审记录,查看记录的日期间隔与评审周期是否一致;如果对制度做过修订,检查是否有修订版本的安全管理制度。8.1。2 安全管理机构8。1。2.1 岗位设置 a)应设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责。【描述】为保证安全
12、管理工作的有效实施,应设立安全主管、安全管理各个方面的负责人岗位,并明确各岗位的职责.【检查方法】 应访谈安全主管,询问是否设立安全管理各个方面的负责人。应访谈安全主管、安全管理某方面的负责人,询问其岗位职责包括哪些内容.应检查岗位职责文档,查看文档是否明确设置安全主管、安全管理各个方面的负责人,各个岗位的职责范围是否清晰、明确.b)应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。【描述】设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责.【检查方法】 应访谈安全主管,询问设置了哪些工作岗位,各个岗位的职责分工是否明确。应检查岗位职责文档,查看文档
13、是否明确设置机房管理员、系统管理员、网络管理员和安全管理员等各个岗位,各个岗位的职责范围是否清晰、明确。8。1.2.2 人员配备 a)应配备一定数量的系统管理员、网络管理员、安全管理员等。【描述】应配备系统管理员、数据库管理员、网络管理员、安全管理员、机房管理员等重要岗位人员。【检查方法】 应访谈安全主管,询问各个安全管理岗位人员的配备情况,包括数量。应检查安全管理各岗位人员信息表,查看其是否明确机房管理员、系统管理员、数据库管理员、网络管理员、安全管理员等重要岗位人员的信息.b)安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。【描述】安全管理员不能兼任网络管理员、系统管理员、数据库
14、管理员等。【检查方法】 应访谈安全主管,询问各个安全管理岗位人员的配备情况,包括专职还是兼职等.应检查安全管理各岗位人员信息表,确认安全管理员是否没有兼任网络管理员、系统管理员、数据库管理员等岗位.8.1。2.3 授权和审批 a)应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批.【描述】根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批。【检查方法】 应访谈安全主管,询问其是否对信息系统中的关键活动进行审批,审批部门是何部门,批准人是何人,他们的审批活动是否得到授权.应访谈安全主管,询问其对关键活动的审批范围包括哪些.应检查审批管理制度文档,查看文档中是否
