信息系統(tǒng)安全等級(jí)保護(hù)等保測(cè)評(píng)安全管理測(cè)評(píng).ppt

《信息系統(tǒng)安全等級(jí)保護(hù)等保測(cè)評(píng)安全管理測(cè)評(píng).ppt》由會(huì)員分享，可在線閱讀，更多相關(guān)《信息系統(tǒng)安全等級(jí)保護(hù)等保測(cè)評(píng)安全管理測(cè)評(píng).ppt（85頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

信息系統(tǒng)安全等級(jí)保護(hù) 安全管理測(cè)評(píng),武漢安域信息安全技術(shù)有限公司 余少波 博士 地址：湖北武漢東湖開發(fā)區(qū)武大園路6號(hào) 電話：13281151232 電郵：caminopro@,內(nèi)容,1、背景知識(shí),安全管理的定義,“三分技術(shù)，七分管理” 安全管理是指在信息系統(tǒng)中對(duì)需要人員來參與的活動(dòng)采取必要的管理控制措施，對(duì)信息系統(tǒng)的生命周期全過程實(shí)施科學(xué)管理。,技術(shù)和管理的區(qū)別,安全技術(shù)主要通過在信息系統(tǒng)中合理部署軟硬件并正確配置其安全功能實(shí)現(xiàn)。 安全管理主要通過控制與信息系統(tǒng)相關(guān)各類人員的活動(dòng)，采取文檔化管理體系，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定實(shí)現(xiàn)。,技術(shù)和管理的聯(lián)系,兩者之間既互相獨(dú)立，又互相關(guān)聯(lián)； 確保信息系統(tǒng)安全不可分割的兩個(gè)部分。,1、背景知識(shí),安全管理結(jié)構(gòu)是指明確領(lǐng)導(dǎo)機(jī)構(gòu)和責(zé)任部門。設(shè)立或明確信息安全領(lǐng)導(dǎo)機(jī)構(gòu)，明確主管領(lǐng)導(dǎo)，落實(shí)責(zé)任部門，建立崗位和人員管理制度，根據(jù)職責(zé)分工，分別設(shè)置安全管理機(jī)構(gòu)和崗位，明確每個(gè)崗位的職責(zé)與任務(wù)，落實(shí)安全管理責(zé)任制,1、背景知識(shí),1、背景知識(shí),安全管理制度是指確定安全管理策略，制定安全管理制度。確定安全管理目標(biāo)和安全策略，針對(duì)信息系統(tǒng)的各類管理活動(dòng)，制定人員安全管理制度、系統(tǒng)建設(shè)管理制度、系統(tǒng)運(yùn)維管理制度、定期檢查制度等，規(guī)范安全管理人員或操作人員的操作規(guī)程等，形成安全管理體系,1、背景知識(shí),1、背景知識(shí),人員安全管理是指加強(qiáng)人員的安全管理。規(guī)范人員錄用、離崗過程，關(guān)鍵崗位簽署保密協(xié)議，對(duì)各類人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)，對(duì)關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核。對(duì)外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等進(jìn)行控制,1、背景知識(shí),1、背景知識(shí),人員安全管理是指加強(qiáng)人員的安全管理。規(guī)范人員錄用、離崗過程，關(guān)鍵崗位簽署保密協(xié)議，對(duì)各類人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)，對(duì)關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核。對(duì)外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等進(jìn)行控制,1、背景知識(shí),1、背景知識(shí),系統(tǒng)建設(shè)管理是指加強(qiáng)系統(tǒng)建設(shè)過程的管理。制定系統(tǒng)建設(shè)相關(guān)的管理制度，明確系統(tǒng)定級(jí)備案、方案設(shè)計(jì)、產(chǎn)品采購(gòu)使用、軟件開發(fā)、工程實(shí)施、驗(yàn)收交付、等級(jí)測(cè)評(píng)、安全服務(wù)等內(nèi)容的管理責(zé)任部門、具體管理內(nèi)容和控制方法，并按照管理制度落實(shí)各項(xiàng)管理措施,1、背景知識(shí),1、背景知識(shí),系統(tǒng)運(yùn)維管理是指加強(qiáng)系統(tǒng)運(yùn)維過程的管理。制定系統(tǒng)運(yùn)維相關(guān)的管理制度，明確環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等內(nèi)容的管理責(zé)任部門、具體管理內(nèi)容和控制方法，并按照管理制度落實(shí)各項(xiàng)管理措施,1、背景知識(shí),1、背景知識(shí),不同級(jí)別之間的區(qū)別,管理活動(dòng)控制點(diǎn)的增加 每個(gè)控制點(diǎn)具體管理要求的增多 管理活動(dòng)的能力逐步加強(qiáng) 借鑒能力成熟度模型（CMM） 一級(jí) 非正式執(zhí)行 二級(jí) 計(jì)劃和跟蹤 三級(jí) 良好定義 四級(jí) 持續(xù)改進(jìn),1、背景知識(shí),內(nèi)容,2、測(cè)評(píng)依據(jù)和內(nèi)容,測(cè)評(píng)依據(jù),? 信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T22239-2008 ? 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求（報(bào)批稿） ? 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南（報(bào)批稿）,2、測(cè)評(píng)依據(jù)和內(nèi)容,標(biāo)準(zhǔn)中管理要求形成思路,政策和制度,機(jī)構(gòu)和人員,信息系統(tǒng)規(guī)劃管理,信息系統(tǒng)設(shè)計(jì)管理,信息系統(tǒng)實(shí)施管理,信息系統(tǒng)運(yùn)維管理,信息系統(tǒng)廢棄管理,信 息 系 統(tǒng) 整 個(gè) 生 命 周 期,檢 查 和 監(jiān) 督 管 理,,,,限制,指導(dǎo),執(zhí)行,監(jiān)督,2、測(cè)評(píng)依據(jù)和內(nèi)容,標(biāo)準(zhǔn)中管理要求覆蓋范圍,信息系統(tǒng)的生命周期,系統(tǒng)規(guī)劃(定級(jí)\規(guī)劃等),系統(tǒng)設(shè)計(jì)(設(shè)計(jì)\開發(fā)\采購(gòu)等),系統(tǒng)實(shí)施(安裝\配置\測(cè)試等),系統(tǒng)運(yùn)維,系統(tǒng)廢棄,管理人員,,,,,管理制度,組織的使命\目標(biāo)\戰(zhàn)略\政策,,,,,,,系統(tǒng)變更,管理機(jī)構(gòu),2、測(cè)評(píng)依據(jù)和內(nèi)容,測(cè)評(píng)內(nèi)容- GB/T 22239-2008,某級(jí)系統(tǒng),物理安全,技術(shù)要求,管理要求,等級(jí)保護(hù)要求,網(wǎng)絡(luò)安全,主機(jī)安全,應(yīng)用安全,數(shù)據(jù)安全,安全管理機(jī)構(gòu),安全管理制度,人員安全管理,系統(tǒng)建設(shè)管理,系統(tǒng)運(yùn)維管理,2、測(cè)評(píng)依據(jù)和內(nèi)容,測(cè)評(píng)內(nèi)容- GB/T 22239-2008,安全管理（37） ? 安全管理制度（3） ? 安全管理機(jī)構(gòu)（5） ? 人員安全管理（5） ? 系統(tǒng)建設(shè)管理（11） ? 系統(tǒng)運(yùn)維管理（13） 物理安全（10）,2、測(cè)評(píng)依據(jù)和內(nèi)容,測(cè)評(píng)內(nèi)容- GB/T 22239-2008,類1,控制點(diǎn)1,控制點(diǎn)2,……,要 求 項(xiàng) 1,,,,,,,,,,……,……,……,要 求 項(xiàng) 2,要 求 項(xiàng) n,要 求 項(xiàng) 1,要 求 項(xiàng) 2,要 求 項(xiàng) n,2、測(cè)評(píng)依據(jù)和內(nèi)容,測(cè)評(píng)內(nèi)容-GB/T 22239-2008,人員安全管理 ? 人員錄用 a) 應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用； b) …… ? 人員離崗 ? 人員考核 ? 安全意識(shí)教育和培訓(xùn) ? 外部人員訪問管理,類,控制點(diǎn),要求項(xiàng),,,,內(nèi)容,3、評(píng)測(cè)方法和流程,主要測(cè)評(píng)工具,? 安全管理測(cè)評(píng)作業(yè)指導(dǎo)書 ? 物理安全測(cè)評(píng)作業(yè)指導(dǎo)書,3、評(píng)測(cè)方法和流程,測(cè)評(píng)方式,? 訪談 ? 檢查,3、評(píng)測(cè)方法和流程,訪談——測(cè)評(píng)人員通過與信息系統(tǒng)有關(guān)人員（個(gè)人/群體）進(jìn)行交流、討論等活動(dòng)，獲取相關(guān)證據(jù)表明信息系統(tǒng)安全保護(hù)措施是否落實(shí)的一種方法。在訪談的范圍上，應(yīng)基本覆蓋所有的安全相關(guān)人員類型，在數(shù)量上可以抽樣。,? 訪談內(nèi)容 ? 訪談技巧 ? 訪談對(duì)象 ? 訪談作用,測(cè)評(píng)方式-訪談,3、評(píng)測(cè)方法和流程,問題——開放式——非開放式,如何管理和控制 軟件開發(fā)文檔？,是否成立 信息安全領(lǐng)導(dǎo)小組？,,,測(cè)評(píng)方式-訪談-訪談內(nèi)容,3、評(píng)測(cè)方法和流程,? 基于作業(yè)指導(dǎo)書開展 ? 訪談對(duì)象的選擇，覆蓋適當(dāng)?shù)膶哟魏吐毮?? 訪談應(yīng)在正常工作時(shí)間和工作地點(diǎn) ? 說明訪談和做記錄的原因 ? 訪談可從請(qǐng)對(duì)方描述其工作開始 ? 盡量避免提出有傾向性答案的問題 ? 感謝對(duì)方的配合,測(cè)評(píng)方式-訪談-訪談技巧,3、評(píng)測(cè)方法和流程,安全主管 系統(tǒng)建設(shè)負(fù)責(zé)人 人事負(fù)責(zé)人 系統(tǒng)運(yùn)維負(fù)責(zé)人 物理安全負(fù)責(zé)人 系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員、機(jī)房值班人員、資產(chǎn)管理員等,測(cè)評(píng)方式-訪談-訪談對(duì)象,3、評(píng)測(cè)方法和流程,安全主管 主要針對(duì)一些機(jī)構(gòu)信息安全方面的上層、頂層問題進(jìn)行廣泛式提問，包括機(jī)構(gòu)安全管理制度體系的構(gòu)成、部門的設(shè)置等； 主要集中在：安全管理制度、安全管理機(jī)構(gòu)。,各方面負(fù)責(zé)人（物理安全、人事、系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維） 主要針對(duì)機(jī)構(gòu)信息安全各個(gè)具體方面的問題進(jìn)行總體式提問 主要集中在：人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理、物理安全,測(cè)評(píng)方式-訪談-訪談對(duì)象,各類管理人員（系統(tǒng)安全管理員、網(wǎng)絡(luò)安全管理員等） 主要針對(duì)具體的信息安全問題進(jìn)行針對(duì)式提問，深入了解系統(tǒng)在某一特定方面的具體安全措施如何落實(shí)。,3、評(píng)測(cè)方法和流程,在安全管理測(cè)評(píng)中： 作用一：了解相關(guān)管理方面的情況，作為下一步測(cè)評(píng)工作的基礎(chǔ)； 作用二：訪談結(jié)果作為判斷與其他幾種測(cè)評(píng)方式所得到證據(jù)是否一致； 作用三：作為相關(guān)管理方面實(shí)現(xiàn)要求與否的直接證據(jù)；,測(cè)評(píng)方式-訪談-訪談作用,3、評(píng)測(cè)方法和流程,作用三例： 要求“應(yīng)根據(jù)系統(tǒng)的安全級(jí)別選擇基本安全措施，依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施；” 測(cè)評(píng)實(shí)施： 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問系統(tǒng)選擇基本安全措施的依據(jù)，是否依據(jù)安全保護(hù)等級(jí)選擇，是否依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施，做過哪些調(diào)整。,測(cè)評(píng)方式-訪談-訪談作用,3、評(píng)測(cè)方法和流程,檢查——不同于行政執(zhí)法意義上的監(jiān)督檢查，是指測(cè)評(píng)人員通過對(duì)測(cè)評(píng)對(duì)象進(jìn)行觀察、查驗(yàn)、分析等活動(dòng)，獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否有效的一種方法。,測(cè)評(píng)方式-檢查,3、評(píng)測(cè)方法和流程,? 文檔查看 ? 現(xiàn)場(chǎng)察看,測(cè)評(píng)方式-檢查-檢查方式,3、評(píng)測(cè)方法和流程,? 各類文件 ? 制度文檔 ? 操作規(guī)程 ? 執(zhí)行記錄 ? 物理環(huán)境 ? 基礎(chǔ)設(shè)施等,測(cè)評(píng)方式-檢查-檢查對(duì)象,3、評(píng)測(cè)方法和流程,“一對(duì)一”：通過訪談獲得肯定答案，通過檢查驗(yàn)證訪談結(jié)果。 “多對(duì)一”：訪談內(nèi)容總體性，多個(gè)檢查操作驗(yàn)證。 “一對(duì)無”：直接訪談或檢查，單一結(jié)果。 層層遞進(jìn)、共同體現(xiàn)、綜合分析、把握核心。,測(cè)評(píng)方式-檢查-檢查與訪談關(guān)系,3、評(píng)測(cè)方法和流程,測(cè)評(píng)工作前期準(zhǔn)備-現(xiàn)場(chǎng)檢查文檔列表,制度類文檔 ?機(jī)房安全管理制度 ?網(wǎng)路安全管理制度 ?介質(zhì)安全管理制度 ?人員離崗管理文檔 ?……,記錄和證據(jù)類文檔 ?進(jìn)出機(jī)房的登記記錄 ?存儲(chǔ)介質(zhì)歸檔、查詢記錄 ?安全事件處置過程記錄 ?應(yīng)急預(yù)案演練記錄 ?人員保密協(xié)議 ?消防檢測(cè)報(bào)告 ……,3、評(píng)測(cè)方法和流程,測(cè)評(píng)工作前期準(zhǔn)備-現(xiàn)場(chǎng)檢查文檔列表,3、評(píng)測(cè)方法和流程,測(cè)評(píng)工作前期準(zhǔn)備-現(xiàn)場(chǎng)配合人員名單,? 幾點(diǎn)說明 ?根據(jù)角色分工，明確其熟知的安全控制點(diǎn)，確定訪談配合人員 ?以配合人員為主，根據(jù)對(duì)其訪談內(nèi)容的多少，估算大約占用對(duì)方的時(shí)間，以便其明確具體時(shí)間安排,3、評(píng)測(cè)方法和流程,測(cè)評(píng)工作前期準(zhǔn)備-文檔交接單,根據(jù)各單位內(nèi)部管理程序自行設(shè)計(jì) 明確的基本信息包括： ? 交接文檔名稱 ? 文檔密級(jí) ? 歸還日期、接收日期 ? 提交接收人簽名、歸還接收人簽名 ? 等等,3、評(píng)測(cè)方法和流程,采用一定的“測(cè)評(píng)方式”通過執(zhí)行一些活動(dòng)，了解“測(cè)評(píng)對(duì)象”對(duì)要求項(xiàng)/測(cè)評(píng)項(xiàng)的實(shí)現(xiàn)情況，從而構(gòu)成了測(cè)評(píng)實(shí)施方法 《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》的管理部分,測(cè)評(píng)項(xiàng),測(cè)評(píng)方式,測(cè)評(píng)對(duì)象,測(cè)評(píng)實(shí)施,安全管理要求項(xiàng),檢查和訪談,人員、文檔,測(cè)評(píng)方式+對(duì)象+活動(dòng)/操作,,,,,現(xiàn)場(chǎng)測(cè)評(píng)工具準(zhǔn)備-安全管理測(cè)評(píng)作業(yè)指導(dǎo)書開發(fā),3、評(píng)測(cè)方法和流程,? （示例）安全管理機(jī)構(gòu),現(xiàn)場(chǎng)測(cè)評(píng)工具準(zhǔn)備-安全管理測(cè)評(píng)作業(yè)指導(dǎo)書開發(fā),3、評(píng)測(cè)方法和流程,作業(yè)指導(dǎo)書開發(fā)基本步驟 ? 第一步：從《基本要求》中選擇“控制點(diǎn)”（測(cè)評(píng)指標(biāo)）和“要求項(xiàng)”（測(cè)評(píng)項(xiàng)）； ? 第二步: 從《測(cè)評(píng)要求》中選擇“測(cè)評(píng)方法”； ? 第三步: 結(jié)合信息系統(tǒng)實(shí)際情況調(diào)整“測(cè)評(píng)方法”； ? 第四步: 形成最終作業(yè)指導(dǎo)書。,現(xiàn)場(chǎng)測(cè)評(píng)工具準(zhǔn)備-安全管理測(cè)評(píng)作業(yè)指導(dǎo)書開發(fā),3、評(píng)測(cè)方法和流程,測(cè)評(píng)對(duì)象,測(cè)評(píng)方式,現(xiàn)場(chǎng)測(cè)評(píng)工具準(zhǔn)備-物理安全測(cè)評(píng)作業(yè)指導(dǎo)書開發(fā),3、評(píng)測(cè)方法和流程,具體開發(fā)方法和步驟可以參考“安全管理測(cè)評(píng)作業(yè)指導(dǎo)書開發(fā)”,現(xiàn)場(chǎng)測(cè)評(píng)工具準(zhǔn)備-物理安全測(cè)評(píng)作業(yè)指導(dǎo)書開發(fā),3、評(píng)測(cè)方法和流程,基本活動(dòng) ? 檢查是否存在有關(guān)的規(guī)定、制度或規(guī)程文檔； ? 檢查文檔的描述細(xì)節(jié)是否涉及相關(guān)的內(nèi)容； ? 檢查是否存在有關(guān)執(zhí)行過程的記錄文件或說明文件（證據(jù)）； ? 檢查文件的記錄內(nèi)容是否與規(guī)定、制度或規(guī)程的要求一致； ? 訪談相關(guān)人員，要求其對(duì)描述不理解或記錄不理解內(nèi)容的解釋或說明； ? 訪談相關(guān)人員，要求其對(duì)管理過程或執(zhí)行過程解釋和說明。,測(cè)評(píng)流程-安全管理測(cè)評(píng)流程,3、評(píng)測(cè)方法和流程,測(cè)評(píng)流程 ? 第一步，根據(jù)現(xiàn)場(chǎng)配合人員名單，進(jìn)一步明確協(xié)調(diào)人員、訪談人員及時(shí)間 ? 第二步，根據(jù)檢查文檔列表，獲得制度、記錄、規(guī)程等各類文檔，并填寫文檔交接單 ? 第三步，審閱各類文檔，并在現(xiàn)場(chǎng)測(cè)評(píng)作業(yè)指導(dǎo)書的相關(guān)項(xiàng)中進(jìn)行結(jié)果記錄 ? 第四步，針對(duì)不確定項(xiàng)訪談相關(guān)人員或獲得額外證據(jù)并記錄 ? 第五步，整理作業(yè)指導(dǎo)書的結(jié)果記錄，并確認(rèn)簽字 ? 第六步歸還所有文檔并在文檔交接單中簽字,測(cè)評(píng)流程-安全管理測(cè)評(píng)流程,3、評(píng)測(cè)方法和流程,基本活動(dòng) ? 實(shí)地察看場(chǎng)地條件、環(huán)境條件是否符合要求； ? 實(shí)地察看設(shè)備、設(shè)施是否工作正常； ? 實(shí)地察看是否存在有關(guān)設(shè)備、設(shè)施、標(biāo)簽、標(biāo)識(shí)等； ? 檢查設(shè)備、設(shè)施的檢測(cè)報(bào)告或維護(hù)日志、檢查機(jī)房設(shè)計(jì)驗(yàn)收文檔； ? 訪談相關(guān)人員，要求對(duì)不理解之處進(jìn)行解釋或說明； ? 訪談相關(guān)人員，要求對(duì)管理過程或執(zhí)行過程補(bǔ)充解釋和說明,測(cè)評(píng)流程-物理安全測(cè)評(píng)流程,3、評(píng)測(cè)方法和流程,測(cè)評(píng)流程 ? 第一步，實(shí)地察看場(chǎng)地條件、環(huán)境條件； ? 第二步，實(shí)地察看設(shè)備、設(shè)施運(yùn)行狀態(tài)； ? 第三步，實(shí)地察看存在的有關(guān)設(shè)備、設(shè)施、標(biāo)簽、標(biāo)識(shí)等； ? 第四步，檢查檢測(cè)報(bào)告或維護(hù)日志、檢查機(jī)房設(shè)計(jì)驗(yàn)收文檔；（可在進(jìn)機(jī)房前完成） ? 第五步，針對(duì)不確定項(xiàng)訪談相關(guān)人員； ? 第六步，整理作業(yè)指導(dǎo)書，整理結(jié)果記錄并確認(rèn)簽字,測(cè)評(píng)流程-物理安全測(cè)評(píng)流程,內(nèi)容,4、安全管理現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,測(cè)評(píng)內(nèi)容及要點(diǎn)說明,? 安全管理制度（3） ? 安全管理機(jī)構(gòu)（5） ? 人員安全管理（5） ? 系統(tǒng)建設(shè)管理（11） ? 系統(tǒng)運(yùn)維管理（13）,4、安全管理現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,測(cè)評(píng)內(nèi)容及要點(diǎn)說明-安全管理制度,安全管理制度（三級(jí)）,管理制度,制訂和發(fā)布,評(píng)審和修改,,,,4、安全管理現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,落實(shí)要點(diǎn) ? 總體方針政策文件、各類管理制度、各種操作規(guī)程三類文檔 ? 三類文檔之間的連貫性，管理制度的覆蓋面 ? 管理制度文件的格式、版本、修訂記錄、各種評(píng)審記錄以及發(fā)放登記記錄 ? 制定和修訂方面的文字具體要求，修訂計(jì)劃，修訂流程 ? 安全管理制度制、修訂的責(zé)任人，具體制定、發(fā)布流程,落實(shí)難點(diǎn)： ? 安全方針、管理制度、操作規(guī)程三層文件形成管理制度文件體系 ? 管理制度定期的評(píng)審、修訂、完善,測(cè)評(píng)內(nèi)容及要點(diǎn)說明-安全管理制度,4、安全管理現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,測(cè)評(píng)內(nèi)容及要點(diǎn)說明-安全管理機(jī)構(gòu),4、安全管理現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,落實(shí)要點(diǎn) ? 查看崗位職責(zé)文件了解：安全管理組織構(gòu)成情況，信息安全領(lǐng)導(dǎo)小組-信息安全管理工作的職能部門-具體崗位，具體職責(zé)分工情況； ? 機(jī)構(gòu)人員及崗位人員名單，了解各管理員崗位人員配備情況（如安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、文檔管理員）； 對(duì)關(guān)鍵崗位的定義； ? 根據(jù)崗位人員配備名單了解安全管理員是否是專職人員，其他崗 位人員配備情況關(guān)鍵崗位是否配備兩人或兩人以上 ? 審批事項(xiàng)、審批部門、批準(zhǔn)人及審批程序等（制度），審批過程實(shí)際執(zhí)行記錄，了解授權(quán)和審批情況 ? 各類會(huì)議紀(jì)要、外協(xié)單位聯(lián)系檔案，了解部門內(nèi)外溝通和合作情況 ? 安全檢查周期、內(nèi)容、程序等（制度），各類安全檢查表格、以往安全檢查記錄或總結(jié)了解對(duì)信息系統(tǒng)的安全檢查情況,測(cè)評(píng)內(nèi)容及要點(diǎn)說明-安全管理機(jī)構(gòu),4、安全管理現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,落實(shí)難點(diǎn) ? 安全領(lǐng)導(dǎo)小組或安全管理委員會(huì) ? 專職安全管理員 ? 關(guān)鍵崗位配備多人 ? 聘請(qǐng)信息安全專家作為常年的安全顧問 ? 關(guān)鍵活動(dòng)的雙重審批制度 ? 定期的全面安全檢查,測(cè)評(píng)內(nèi)容及要點(diǎn)說明-安全管理機(jī)構(gòu),4、安全管理現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,測(cè)評(píng)內(nèi)容及要點(diǎn)說明-人員安全管理,4、安全管理現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,落實(shí)要點(diǎn) ? 錄用、離崗、考核、安全意識(shí)教育和培訓(xùn)方面的規(guī)定 ? 安全保密協(xié)議和關(guān)鍵崗位的安全協(xié)議 ? 離崗交接記錄 ? 安全技術(shù)考核記錄 ? 培訓(xùn)計(jì)劃和培訓(xùn)記錄 ? 外部人員訪問方面的規(guī)定（制度）,落實(shí)難點(diǎn) ? 關(guān)鍵崗位人員的社會(huì)背景審查，關(guān)鍵崗位安全協(xié)議； ? 安全技能和安全認(rèn)知的考核； ? 對(duì)外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容的詳細(xì)書面規(guī)定。,測(cè)評(píng)內(nèi)容及要點(diǎn)說明-人員安全管理,4、安全管理現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,測(cè)評(píng)內(nèi)容及要點(diǎn)說明-系統(tǒng)建設(shè)管理,4、安全管理現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,落實(shí)要點(diǎn) ? 信息系統(tǒng)定級(jí)報(bào)告 ? 未來幾年的安全建設(shè)規(guī)劃 ? 安全設(shè)計(jì)方案、工程實(shí)施方案 ? 軟件開發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付等方面規(guī)定 ? 產(chǎn)品采購(gòu)的候選產(chǎn)品名單 ? 系統(tǒng)集成建設(shè)工程實(shí)施過程控制記錄、各個(gè)階段產(chǎn)品評(píng)審記錄 ? 測(cè)試驗(yàn)收?qǐng)?bào)告、安全性測(cè)試報(bào)告 ? 系統(tǒng)備案證書 ? 等級(jí)測(cè)評(píng)報(bào)告 ? 安全產(chǎn)品銷售許可證復(fù)印件 ? 與安全服務(wù)商簽訂的保密協(xié)議或安全責(zé)任書,測(cè)評(píng)內(nèi)容及要點(diǎn)說明-系統(tǒng)建設(shè)管理,4、安全管理現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,落實(shí)難點(diǎn) ? 對(duì)主要的活動(dòng)均需要制度來指導(dǎo)和約束，規(guī)范化地執(zhí)行各種活 動(dòng)，留有記錄文件 ? 外包開發(fā)軟件安裝前的惡意代碼檢測(cè)和后門程序?qū)彶?? 系統(tǒng)正式投入運(yùn)行前獨(dú)立第三方進(jìn)行的安全性測(cè)試 ? 每年一次的等級(jí)測(cè)評(píng),測(cè)評(píng)內(nèi)容及要點(diǎn)說明-系統(tǒng)建設(shè)管理,4、安全管理現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,測(cè)評(píng)內(nèi)容及要點(diǎn)說明-系統(tǒng)運(yùn)維管理,4、安全管理現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,環(huán)境管理 ? 機(jī)房安全管理制度 ? 機(jī)房基礎(chǔ)設(shè)施定期維護(hù)記錄、機(jī)房進(jìn)出登記記錄 ? 指定機(jī)房基礎(chǔ)設(shè)施維護(hù)負(fù)責(zé)人 ? 辦公環(huán)境的安全管理 資產(chǎn)管理 ? 資產(chǎn)安全管理制度 ? 資產(chǎn)清單，資產(chǎn)重要程度標(biāo)識(shí) ? 對(duì)信息分類標(biāo)識(shí)的原則和方法進(jìn)行說明的文檔,測(cè)評(píng)內(nèi)容及要點(diǎn)說明-系統(tǒng)運(yùn)維管理,4、安全管理現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,介質(zhì)管理 ? 介質(zhì)安全管理制度 ? 介質(zhì)本地、異地存儲(chǔ)環(huán)境條件，分類和標(biāo)識(shí) ? 介質(zhì)歸檔、查詢的登記記錄 ? 重要介質(zhì)送出維修或銷毀前的審批記錄 ? 重要介質(zhì)中數(shù)據(jù)或軟件的加密存儲(chǔ)的說明文檔 設(shè)備管理 ? 設(shè)備安全管理制度 ? 指定設(shè)備管理的責(zé)任人或責(zé)任部門 ? 重要網(wǎng)絡(luò)設(shè)備或服務(wù)器的操作規(guī)程 ? 設(shè)備帶離機(jī)房或辦公環(huán)境的審批記,測(cè)評(píng)內(nèi)容及要點(diǎn)說明-系統(tǒng)運(yùn)維管理,4、安全管理現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,監(jiān)控管理和安全管理中心 ? 主機(jī)監(jiān)控系統(tǒng)、網(wǎng)絡(luò)監(jiān)控系統(tǒng)、業(yè)務(wù)應(yīng)用監(jiān)控系統(tǒng)及相應(yīng)責(zé)任人 ? 監(jiān)控和報(bào)警記錄的分析報(bào)告 ? 對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)的集中管理 網(wǎng)絡(luò)安全管理 ? 網(wǎng)絡(luò)安全管理制度及負(fù)責(zé)人員 ? 網(wǎng)絡(luò)安全管理的日常工作，包括本地用戶和遠(yuǎn)程用戶的訪問管理、網(wǎng)絡(luò)接入管理、網(wǎng)絡(luò)設(shè)備管理、漏洞掃描、網(wǎng)絡(luò)狀態(tài)監(jiān)控等 ? 日常管理工作的記錄、重要事項(xiàng)的審批記錄,測(cè)評(píng)內(nèi)容及要點(diǎn)說明-系統(tǒng)運(yùn)維管理,4、安全管理現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,系統(tǒng)安全管理 ? 系統(tǒng)（主機(jī)）安全管理制度及負(fù)責(zé)人員 ? 系統(tǒng)（主機(jī)）安全管理的日常工作，包括帳戶管理、角色權(quán)限管理、補(bǔ)丁管理、漏洞掃描、日志或?qū)徲?jì)信息分析、日常維護(hù)等 ? 日常管理工作的記錄、重要操作的審批文檔 惡意代碼防范管理 ? 惡意代碼防范管理制度及負(fù)責(zé)人員 ? 惡意代碼防范的日常工作，包括惡意代碼檢測(cè)、病毒庫(kù)更新、惡意代碼信息分析、惡意代碼防范意識(shí)教育等 ? 惡意代碼的集中分析結(jié)果記錄或報(bào)告 ? 日常管理工作的記錄,測(cè)評(píng)內(nèi)容及要點(diǎn)說明-系統(tǒng)運(yùn)維管理,4、安全管理現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,密碼管理 ? 密碼使用管理制度 ? 密碼設(shè)備具有證書，密碼算法符合國(guó)家相關(guān)規(guī)定 變更管理 ? 變更管理制度 ? 變更方案 ? 變更的審批記錄 ? 變更后相關(guān)管理制度和操作規(guī)程的變化 ? 失敗變更的恢復(fù)文件化程序及恢復(fù)過程的演練記錄,測(cè)評(píng)內(nèi)容及要點(diǎn)說明-系統(tǒng)運(yùn)維管理,4、安全管理現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,備份和恢復(fù)管理 ? 備份和恢復(fù)管理制度 ? 備份和恢復(fù)的策略文檔及操作規(guī)程 ? 備份過程記錄文檔 ? 系統(tǒng)啟動(dòng)或切換的操作規(guī)程 ? 數(shù)據(jù)恢復(fù)或系統(tǒng)切換的操作記錄 ? 備份介質(zhì)的有效性檢查記錄,測(cè)評(píng)內(nèi)容及要點(diǎn)說明-系統(tǒng)運(yùn)維管理,4、安全管理現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,安全事件處置管理 ? 安全事件報(bào)告和處置管理制度，包括安全事件定義、定級(jí)、報(bào)告流程、不同事件的響應(yīng)和處置流程 ? 安全事件處置過程的記錄 應(yīng)急預(yù)案管理 ? 應(yīng)急預(yù)案總體框架 ? 各類主要事件的具體應(yīng)急預(yù)案 ? 應(yīng)急預(yù)案涉及人員、設(shè)備等的滿足情況 ? 應(yīng)急預(yù)案的培訓(xùn)記錄、演練記錄 ? 應(yīng)急預(yù)案文檔的更新維護(hù),測(cè)評(píng)內(nèi)容及要點(diǎn)說明-系統(tǒng)運(yùn)維管理,4、安全管理現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,落實(shí)難點(diǎn) ? 辦公環(huán)境的安全管理 ? 信息分類標(biāo)識(shí)的原則和方法 ? 重要介質(zhì)中數(shù)據(jù)或軟件的加密存儲(chǔ) ? 安全審計(jì)的集中管理 ? 定期的網(wǎng)絡(luò)和系統(tǒng)漏洞掃描 ? 對(duì)移動(dòng)式、便攜式設(shè)備接入網(wǎng)絡(luò)的安全管理 ? 對(duì)違規(guī)聯(lián)網(wǎng)行為的管理 ? 系統(tǒng)運(yùn)行日志和審計(jì)數(shù)據(jù)的分析 ? 系統(tǒng)角色權(quán)限的劃分和管理 ? 定期的主機(jī)和網(wǎng)絡(luò)惡意代碼檢測(cè)、病毒庫(kù)升級(jí) ? 變更失敗的文件化恢復(fù)程序，變更失敗恢復(fù)演練 ? 變更后對(duì)相關(guān)制度和操作規(guī)程的修訂 ? 數(shù)據(jù)恢復(fù)或系統(tǒng)切換的操作記錄，備份介質(zhì)的有效性檢查 ? 信息安全事件的分類、分級(jí)處置流程 ? 具體信息安全事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案培訓(xùn)和演練 ? 應(yīng)急預(yù)案文檔的維護(hù)和更新,測(cè)評(píng)內(nèi)容及要點(diǎn)說明-系統(tǒng)運(yùn)維管理,4、安全管理現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,事項(xiàng)一：系統(tǒng)某一控制點(diǎn)或某條要求不適用該級(jí)別的基本要求（如外包軟件開發(fā)、自行軟件開發(fā)）,例：人員考核第一條“應(yīng)定期對(duì)各個(gè)崗位人員進(jìn)行安全技能及安全認(rèn)知的考核”，通過訪談獲知委托測(cè)評(píng)方從未進(jìn)行過安全技能及安全認(rèn)知的考核，那么該控制點(diǎn)對(duì)考核結(jié)果記錄要求的要求項(xiàng)可以為不適用嗎？,安全管理現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施-測(cè)評(píng)注意事項(xiàng),一定不要濫用“不適用”如某條要求沒有達(dá)到，由于下面一條要求與其有關(guān)聯(lián)關(guān)系，那么這條要求不能說不適用，而是不符合。 或者說，只能由不適用推導(dǎo)到不適用，而不能由不符合推導(dǎo)為不適用。,4、安全管理現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,事項(xiàng)二：當(dāng)訪談結(jié)果與檢查結(jié)果不一致時(shí)，應(yīng)綜合分析，不能片面的采信任何一方。,安全管理現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施-測(cè)評(píng)注意事項(xiàng),事項(xiàng)三：訪談以具體對(duì)象展開，而不以控制點(diǎn)或要求展開。,事項(xiàng)四：訪談是獲得證據(jù)不可或缺的手段，但往往訪談回答信息的客觀性、準(zhǔn)確性，依被訪談角色對(duì)相關(guān)內(nèi)容了解程度、以及雙方的有效溝通而定，因此需要測(cè)評(píng)人員正確引導(dǎo)和判斷。,事項(xiàng)五：在檢查文檔時(shí)發(fā)現(xiàn)不同文檔針對(duì)同一方面內(nèi)容要求不一致，應(yīng)分析原因，結(jié)合其他測(cè)評(píng)方式所獲證據(jù)來判斷。,事項(xiàng)六：所檢查的文檔應(yīng)是機(jī)構(gòu)目前已正式發(fā)布實(shí)施的有效文檔。,4、安全管理現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,事項(xiàng)八：其他測(cè)評(píng)項(xiàng)獲取的證據(jù)，也可能會(huì)成為某一測(cè)評(píng)項(xiàng)判定的依據(jù)。,安全管理現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施-測(cè)評(píng)注意事項(xiàng),事項(xiàng)七：制度文檔的審閱一方面要檢查制度文檔的規(guī)范內(nèi)容，另外應(yīng)通過審閱記錄文檔檢查制度文檔的落實(shí)，若二者存在不一致，應(yīng)進(jìn)一步尋找證據(jù)，最終確認(rèn)是制度未得到有效落實(shí)還是制度文檔需要修訂。,事項(xiàng)九：當(dāng)由于某種原因機(jī)構(gòu)無法提供原有的所要求的證據(jù)時(shí)，其他證據(jù)效力等同時(shí)，可采納。,事項(xiàng)十：文檔名稱可能不同，需進(jìn)一步確認(rèn)文檔具體內(nèi)容。,事項(xiàng)十一：在系統(tǒng)運(yùn)維管理的測(cè)評(píng)中，一些測(cè)評(píng)要求涉及到技術(shù)方面的要求，二者之間存在不同的側(cè)重點(diǎn)。,4、安全管理現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,實(shí)例一 要求“應(yīng)定期或不定期對(duì)安全管理制度進(jìn)行檢查和審定，對(duì)存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂；”,安全管理現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施-測(cè)評(píng)實(shí)例,實(shí)例二 要求1“關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理。” 要求2“應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員，并簽署崗位安全協(xié)議?！?實(shí)例三 要求1“應(yīng)確保安全產(chǎn)品的采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定；” 要求2“應(yīng)確保密碼產(chǎn)品的采購(gòu)和使用符合國(guó)家密碼主管部門的要求；” 要求3“應(yīng)確保安全服務(wù)商的選擇符合國(guó)家的有關(guān)規(guī)定； ”,4、安全管理現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,實(shí)例四 要求“應(yīng)定期審查審批事項(xiàng)，及時(shí)更新需授權(quán)和審批的項(xiàng)目、審批部門和審批人等信息；”,安全管理現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施-測(cè)評(píng)實(shí)例,實(shí)例五 要求“應(yīng)制定安全事件報(bào)告和響應(yīng)處理程序，確定事件的報(bào)告流程，響應(yīng)和處置的范圍、程度，以及處理方法等； ”,實(shí)例六 要求“應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程和事后教育和培訓(xùn)等內(nèi)容； ”,4、物理安全現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,物理安全現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施-測(cè)評(píng)內(nèi)容及要點(diǎn)說明,4、物理安全現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,落實(shí)要點(diǎn) ? 機(jī)房、建筑的各類設(shè)計(jì)/驗(yàn)收文檔（機(jī)房位置選擇說明、機(jī)房建筑承重能力、機(jī)房建筑防雷、機(jī)房綜合布線及接地、自動(dòng)消防系統(tǒng)、機(jī)房防火、機(jī)房空調(diào)和新風(fēng)系統(tǒng)、電力供應(yīng)和電磁防護(hù)等） ? 機(jī)房專人值守、門禁系統(tǒng)、分區(qū)管理、登記記錄、專人陪同 ? 設(shè)備和信息線不易除去的標(biāo)識(shí)、介質(zhì)分類標(biāo)識(shí)及存放環(huán)境 ? 機(jī)房視頻監(jiān)控系統(tǒng) ? 機(jī)房防盜報(bào)警系統(tǒng) ? 電源線和信號(hào)線上的防雷保安器（光纖接入除外） 自動(dòng)消防報(bào)警系統(tǒng)運(yùn)行狀態(tài)、手提式或便攜式滅火器的擺放位置及有效期、消防演習(xí)記錄 ? 機(jī)房天花板及墻壁是否存在防潮及結(jié)露現(xiàn)象，機(jī)房屋頂或活動(dòng)地板下是否有水管、對(duì)外開放窗戶的防雨措施 ? 機(jī)房空調(diào)溫濕度顯示、機(jī)房日常巡檢溫濕度記錄 ? 雙路市電接入、UPS滿負(fù)荷時(shí)最大負(fù)載、備用供電系統(tǒng)，電力供應(yīng)應(yīng)急演練記錄,物理安全現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施-測(cè)評(píng)內(nèi)容及要點(diǎn)說明,4、物理安全現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,落實(shí)難點(diǎn) ? 機(jī)房防盜報(bào)警系統(tǒng) ? 機(jī)房區(qū)域隔離防火措施 ? 雙路市電供電或備用供電系統(tǒng),物理安全現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施-測(cè)評(píng)內(nèi)容及要點(diǎn)說明,4、物理安全現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,事項(xiàng)一：現(xiàn)場(chǎng)查看機(jī)房基礎(chǔ)設(shè)施建設(shè)情況時(shí)，設(shè)施的有無并不能反映落實(shí)與否，關(guān)鍵查看該設(shè)施是否是有效的、正常運(yùn)行。,物理安全現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施-測(cè)評(píng)注意事項(xiàng),事項(xiàng)二：當(dāng)機(jī)房根據(jù)用途不同分為多個(gè)房間，處于不同位置時(shí)，各個(gè)機(jī)房應(yīng)按相關(guān)的物理安全要求分別檢查。,4、物理安全現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,實(shí)例一 要求“機(jī)房出入口應(yīng)有專人值守并配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員； ”,物理安全現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施-測(cè)評(píng)實(shí)例,實(shí)例二 要求“應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過度區(qū)域； ”,實(shí)例三 要求“應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房的防盜報(bào)警系統(tǒng)； ”,實(shí)例四 要求“機(jī)房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開?！?4、物理安全現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施,問題補(bǔ)充說明,當(dāng)對(duì)一個(gè)機(jī)構(gòu)內(nèi)多個(gè)不同信息系統(tǒng)同時(shí)進(jìn)行測(cè)評(píng)時(shí)，需分析機(jī)構(gòu)、系統(tǒng)與要求之間的關(guān)系。 結(jié)果判定：現(xiàn)場(chǎng)客觀記錄—后期主觀分析、客觀評(píng)判,睿智勤勉和諧,武漢安域信息安全技術(shù)有限公司 地址：湖北武漢東湖開發(fā)區(qū)武大園路6號(hào) 郵編：430079 電話：13281151232 電郵：caminopro@,