3安全管理测评指导书三级S3A3G310.docx
- 文档编号:1039185
- 上传时间:2023-04-30
- 格式:DOCX
- 页数:37
- 大小:70.76KB
3安全管理测评指导书三级S3A3G310.docx
《3安全管理测评指导书三级S3A3G310.docx》由会员分享,可在线阅读,更多相关《3安全管理测评指导书三级S3A3G310.docx(37页珍藏版)》请在冰点文库上搜索。
公安部信息安全等级保护评估中心
1、安全管理制度
序号
类别
测评项
测评实施
预期结果
说明
1
管理制度
a)应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等。
1)应检查信息安全工作的总体方针和安全策略,查看文件是否明确机构安全工作的总体目标、范围、原则和安全框架等。
1)具有信息安全工作的总体方针和安全策略。
2)总体方针和安全策略里明确了机构安全工作的总体目标、范围、原则和安全框架等。
b)应对安全管理活动中的各类管理内容建立安全管理制度。
1)应检查各项安全管理制度,查看是否覆盖安全管理活动中的各类管理内容(制度管理、机构管理、人员管理、系统建设管理和运维管理等方面)。
1)建立了安全管理制度。
2)安全管理制度覆盖了机构管理、制度管理、人员管理、系统建设和运维等层面的管理内容。
c)应对安全管理人员或操作人员执行的日常管理操作建立操作规程。
1)应检查是否具有对重要管理操作的操作规程,如系统维护手册和用户操作规程等。
1)具有日常管理操作的操作规程。
2)操作规程覆盖了物理、网络、主机、应用等层面的重要操作规程(如系统维护手册和用户操作规程等)。
d)应形成由安全政策、管理制度、操作规程等构成的全面的信息安全管理制度体系。
1)应访谈安全主管,询问机构是否形成全面的信息安全管理制度体系,制度体系是否由安全政策、管理制度、操作规程等构成。
1)具有各项管理制度。
2)内容覆盖全面,由总体方针、安全策略、管理制度、操作规程等构成,形成了全面的信息安全管理制度体系。
2
制定和发布
a)应指定或授权专门的部门或人员负责安全管理制度的制定。
1)应访谈安全主管,询问由何部门或人员负责安全管理制度的制定,参与制定人员有哪些。
1)具有人员职责或岗位设置等相关文件。
2)文件明确了由专门的部门或人员负责安全管理制度的制定工作。
2)应检查人员职责、岗位设置等相关管理制度文件,查看是否明确由专门的部门或人员负责安全管理制度的制定工作。
b)安全管理制度应具有统一的格式,并进行版本控制。
1)应检查安全管理制度制定和发布要求管理文档,查看文档是否说明安全管理制度的格式要求、版本编号。
1)具有关于管理制度的格式和版本控制的相关文档。
2)相关管理文档内容覆盖了包括管理制度的格式标准或要求以及版本控制等内容。
3)各项安全管理制度具有统一的格式并进行了版本控制。
2)应检查安全管理制度文档,查看是否具有版本标识,查看各项制度文档格式是否统一。
c)应组织相关人员对制定的安全管理进行论证和审定。
1)应访谈安全主管,询问安全管理制度的制定程序,是否对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等)。
1)具有管理制度评审记录,有评审意见。
2)应检查管理制度评审记录,查看是否具有相关人员的评审意见。
d)安全管理制度应通过正式、有效的方式发布。
1)应检查安全管理制度制定和发布要求管理文档,查看文档是否说明安全管理制度的制定、发布程序和发布范围等各项要求。
1)具有制度制定和发布要求的管理文档。
2)文档内容覆盖安全管理制度制定和发布程序。
3)各项安全管理制度文档都是通过正式、有效的方式发布的,如具有版本标识和管理层的签字或单位盖章。
e)安全管理制度应注明发布范围,并对收发文进行登记。
1)应检查安全管理制度的收发登记记录,查看收发是否通过正式、有效的方式(如正式发文、领导签署和单位盖章等),是否注明管理制度的发布范围。
1)具有安全管理制度的收发登记记录。
2)注明了安全制度发布范围。
若以电子形式发布的管理制度,关注版本控制和发布范围
3
评审和修订
a)信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。
1)应访谈安全主管,询问是否由信息安全领导小组负责定期对安全管理制度体系的合理性和适用性进行审定,审定周期多长。
1)具有安全管理制度体系的评审记录。
2)评审内容符合要求。
3)评审周期符合要求。
2)应检查是否具有安全管理制度体系的评审记录,查看实际评审周期是否符合要求,是否记录了相关人员的评审意见。
b)应定期或不定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。
1)应访谈安全主管,询问是否对管理制度定期修订,修订周期多长。
询问系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时是否对安全管理制度进行检查,对需要改进的制度进行修订。
1)具有安全管理制度的检查或评审记录。
2)如果有修订版本,具有修订版本的安全管理制度。
2)应检查是否具有安全管理制度修订记录。
2、安全管理机构
序号
类别
测评项
测评实施
预期结果
说明
1
岗位设置
a)应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责。
1)应访谈安全主管,询问是否设立安全管理机构(即信息安全管理工作的职能部门)。
机构内部门设置情况如何,是否设立安全主管及安全管理各个方面的负责人,是否明确各部门和各负责人的职责。
1)具有部门、岗位职责文件。
2)文件中明确了职能部门、安全主管、负责人等相关职责。
2)应检查部门、岗位职责文件,查看文件是否明确安全管理机构的职责,是否明确机构内各部门和各负责人的职责和分工。
b)应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。
1)应访谈安全主管,询问设置了哪些工作岗位(如安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等重要岗位),是否明确各个岗位的职责分工。
1)具有部门、岗位职责文件。
2)文件中明确了系统管理员等相关岗位的工作职责。
2)应检查文件是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等各个岗位,各个岗位的职责范围是否清晰、明确。
c)应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权。
1)应访谈安全主管,询问是否设立指导和管理信息安全工作的委员会或领导小组,其最高领导是否由单位主管领导委任或授权的人员担任。
1)具有成立信息安全工作委员会或领导小组的正式文件。
2)具有委员会或领导小组职责文件。
3)文件中明确了领导小组职责和最高领导岗位职责。
2)应检查信息安全工作委员会或领导小组的成立文件,查看最高领导是否由单位主管领导委任或授权。
3)应检查部门、岗位职责文件,查看是否明确信息安全管理委员会或领导小组的职责。
d)应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
1)应检查部门、岗位职责文件,查看文件是否明确委员会的职责和安全管理机构的职责。
是否明确机构内各部门的职责和分工。
是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等各个岗位的职责范围。
查看文件是否明确各个岗位人员应具有的技能要求。
1)具有部门、岗位职责的正式文件。
2)文件中包含管理机构内各部门和岗位职责,包含各个岗位人员的技能要求。
2
人员配备
a)应配备一定数量的系统管理员、网络管理员、安全管理员等。
1)应访谈安全主管,询问各个安全管理岗位人员(如机房管理员、系统管理员、网络管理员、安全管理员等重要岗位人员)配备情况。
1)具有岗位与人员对应关系表。
2)表中每个岗位都有对应的人员。
2)应检查管理人员名单,查看其是否明确机房管理员、系统管理员、网络管理员、安全管理员等重要岗位人员的信息。
b)应配备专职安全管理员,不可兼任。
1)应访谈安全主管,询问安全管理员的配备情况,是否是专职。
1)具有岗位与人员对应关系表。
2)确认表中的安全管理员是专职人员。
安全管理员不得兼任同一系统的系统管理员
2)应检查管理人员名单,确认安全管理员是否是专职人员。
c)关键事务岗位应配备多人共同管理。
1)应访谈安全主管,询问哪些关键事物需要配备2人或2人以上共同管理,人员具体配备情况如何。
1)具有岗位与人员对应关系表。
2)确认表中关键岗位配备多人。
2)应检查管理人员名单,查看关键岗位是否配备多人。
。
3
授权和审批
a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。
1)应访谈安全主管,询问对哪些信息系统活动进行审批,审批部门是何部门,审批人是何人。
1)明确了各项审批事项的审批部门和审批人。
b)应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度。
1)应访谈安全主管,询问其对重要活动的审批范围(如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等),审批程序如何,其中是否需要需要逐级审批。
1)与审批活动相关的制度(如变更管理、产品采购、机房管理等)中明确了审批程序以及重要活动的逐级审批流程。
2)具有经过逐级审批的文档。
2)应检查各类管理制度文档,查看文档中是否明确事项的审批程序(如列表说明哪些事项应经过信息安全领导小组审批,哪些事项应经过安全管理机构审批等),是否明确对重要活动进行逐级审批,由哪些部门/人员逐级审批。
3)应检查经逐级审批的文档,查看是否具有各级批准人的签字和审批部门的盖章。
c)应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息。
1)应检查审批事项的审查记录,查看是否对审批事项、审批部门、审批人的变更进行评审。
1)具有审查记录。
2)记录与文件要求一致。
d)应记录审批过程并保存审批文档。
1)应检查关键活动的审批过程记录,查看记录的审批程序与文件要求是否一致。
1)具有各项活动的审批过程记录。
2)记录与文件要求一致。
4
沟通和合作
a)应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,定期或不定期召开协调会议,共同协作处理信息安全问题。
1)应访谈安全主管,询问与其它部门之间及内部各部门管理人员之间的沟通、合作机制。
部门间、,安全管理职能部门内部以及信息安全领导小组或者安全管理委员会是否定期召开会议。
1)具有会议文件或会议记录。
2)文件或记录中有会议内容等描述。
2)应检查组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,查看是否具有会议内容、会议时间、参加人员和会议结果等描述。
3)应检查是否具有信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录(如会议记录/纪要,信息安全工作决策文档等)。
b)应加强与兄弟单位、公安机关、电信公司的合作与沟通。
1)应访谈安全主管,询问是否建立与公安机关、电信公司和兄弟单位等的沟通、合作机制。
1)与兄弟单位等建立了某种方式的沟通合作机制。
2)具有外联单位联系列表。
3)列表说明外联单位包含公安机关等。
2)应检查外联单位联系列表,查看外联单位是否包含公安机关、电信公司、兄弟公司等,是否说明外联单位的名称、联系人、合作内容和联系方式等内容。
c)应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。
1)应访谈安全主管,询问是否与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。
1)与供应商等建立了某种方式的沟通合作机制。
2)外联单位联系列表说明外联单位包含供应商等。
2)应检查外联单位联系列表,查看外联单位是否包含供应商、业界专家、专业的安全公司和安全组织等,是否说明外联单位的名称、联系人、合作内容和联系方式等内容。
d)应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息。
1)应检查外联单位联系列表,查看外联单位是否包含公安机关、电信公司、兄弟公司、供应商、业界专家、专业的安全公司和安全组织等,是否说明外联单位的名称、联系人、合作内容和联系方式等内容。
1)具有外联单位联系列表。
2)列表说明外联单位的名称等内容。
e)应聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等。
1)应访谈安全主管,询问是否聘请信息安全专家作为常年的安全顾问。
1)安全顾问名单或者聘请安全顾问的证明文件。
2)具有安全顾问参与评审的文档或记录。
2)应检查是否具有安全顾问名单或者聘请安全顾问的证明文件。
3)应检查是否具有安全顾问指导信息安全建设、参与安全规划和安全评审的相关文档或记录。
5
审核和检查
a)安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
1)应访谈安全主管,询问是否组织人员定期对信息系统进行安全检查查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况。
1)定期实施安全检查。
b)应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。
1)应访谈安全管理员,询问是否定期进行全面安全检查,安全检查是否包含现行技术措施有效性和管理制度执行情况等方面。
1)具有安全检查制度。
2)制度中明确了相关检查内容。
2)应检查安全检查制度,查看是否明确检查内容包括技术措施有效性和安全管理制度执行情况等方面。
c)应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。
1)应访谈安全管理员,询问是否制定安全检查表格实施安全检查,是否对检查结果进行通报。
1)具有安全检查表。
2)具有安全检查报告。
3)具有检查结果通告记录。
2)应检查是否具有安全检查表格。
3)应检查安全检查报告,查看报告日期与检查周期是否一致,报告中是否具有检查内容、检查时间、检查人员、检查数据汇总表、检查结果等的描述。
d)应制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。
1)应检查安全检查制度文档,查看文档是否规定检查内容、检查程序和检查周期等,检查内容是否包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。
1)具有安全检查制度。
2)制度中明确了定期进行全面安全检查,明确了检查内容等。
3、人员安全管理
序号
类别
测评项
测评实施
预期结果
说明
1
人员录用
a)应指定或授权专门的部门或人员负责人员录用。
1)应访谈安全主管,询问由何部门/何人负责安全管理和技术人员的录用工作。
1)指定或授权专门的部门或人员负责录用工作。
b)应严格规范人员录用过程,对被录用人的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核。
1)应访谈人事负责人,询问在人员录用时是否对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核。
1)文档中有人员录用的要求,说明录用人员应具备的条件。
2)文档或记录中有审查内容和审查结果。
3)具有技能考核文档或记录。
2)应检查人员录用要求管理文档,查看是否说明录用人员应具备的条件,如学历、学位要求,技术人员应具备的专业技术水平,管理人员应具备的安全管理知识等。
3)应检查技能考核文档或记录,查看是否记录考核内容和考核结果等。
c)应签署保密协议。
1)应访谈人事负责人,询问是否与录用后的技术人员签署保密协议。
1)具有保密协议。
2)协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容。
2)应检查保密协议,查看是否具有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容。
d)应从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议。
1)应访谈人事负责人,询问是否设定关键岗位,对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全协议。
1)具有岗位安全协议。
2)协议中有安全责任定义、协议的有效期限和责任人签字等内容。
2)应检查岗位安全协议,查看是否具有岗位安全责任、违约责任、协议的有效期限和责任人签字等内容。
2
人员离岗
a)应严格规范人员离岗过程,及时终止即将离岗员工的所有访问权限。
1)应访谈人事负责人,询问是否及时终止离岗人员的所有访问权限。
1)文档有离岗管理的内容,规定了人员离岗要求。
2)具有离岗人员所有访问权限终止的记录。
2)应检查人员离岗管理文档,查看是否规范人员离岗过程,并明确终止离岗人员的访问权限。
b)应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。
1)应访谈人事负责人,询问是否及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等。
1)具有离岗人员交还身份证件、设备等的登记记录。
2)应检查是否具有交还身份证件和设备等的登记记录。
c)应办理严格的调离手续,关键岗位人员离岗须承诺调离后的保密义务后方可离开。
1)应访谈人事负责人,询问人员离岗是否办理调离手续,是否要求关键岗位调离人员承诺相关保密义务后方可离开。
1)管理文档中规定了人员调离手续。
2)具有按照离岗程序办理调离手续的记录。
3)具有保密承诺文档。
4)文档有调离人员的签字。
2)应检查人员离岗管理文档,查看是否规定了调离手续和离岗要求等。
3)应检查保密承诺文档,查看是否具有调离人员签字。
3
人员考核
a)应定期对各个岗位的人员进行安全技能及安全认知的考核。
1)应访谈安全主管,询问对各个岗位人员是否定期进行安全技能考核。
1)具有安全技能考核记录。
2)考核内容要求包含安全知识、安全技能等。
2)应检查考核记录,查看记录的考核人员是否包括各个岗位的人员,考核内容是否包含安全知识、安全技能等。
查看记录日期与考核周期是否一致。
b)应对关键岗位的人员进行全面、严格的安全审查和技能考核。
1)应访谈人员录用负责人员,询问对关键岗位人员的安全审查和考核与一般岗位人员有何不同,审查内容是否包括操作行为和社会关系等。
1)对关键岗位人员进行安全审查。
c)应对考核结果进行记录并保存。
1)应检查是否具有各岗位人员考核记录,查看考核内容是否包含安全知识、安全技能等。
查看记录日期与考核周期是否一致。
1)具有考核记录。
2)具有关键岗位的安全审查记录。
2)应检查是否具有关键岗位人员的安全审查和考核记录,查看审查和考核内容是否包含安全知识、安全技能、操作行为和社会关系等。
查看记录日期与考核周期是否一致。
4
安全意识教育和培训
a)应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。
1)应访谈安全主管,询问是否对各类人员(普通用户、运维人员、单位领导等)进行安全教育、岗位技能和安全技术培训。
1)对各岗位人员进行了安全技能和意识培训。
b)应对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进行惩戒。
1)应访谈安全管理员、系统管理员、网络管理员和数据库管理员,考查其是否了解与工作相关的安全责任和惩戒措施等。
1)具有安全责任和惩戒措施管理文档。
2)文档包含具体的安全责任和惩戒措施。
2)应检查安全责任和惩戒措施管理文档,查看包括哪些具体的安全责任和惩戒措施。
c)应对安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训。
1)应访谈安全主管,询问是否针对不同岗位制定不同的培训计划,并按照计划对各个岗位人员进行安全教育和培训。
1)具有安全教育和培训管理文档。
2)不同岗位的培训计划。
3)文档中明确了培训方式、培训对象、培训内容、培训时间和地点等,培训内容应包含信息安全基础知识、岗位操作规程等。
2)应检查安全教育和培训管理文档,查看是否明确规定应进行安全教育和培训。
3)应检查安全培训计划文档,查看是否具有不同岗位的培训计划。
查看计划是否明确了培训目的、培训方式、培训对象、培训内容、培训时间和地点等,培训内容是否包含信息安全基础知识、岗位操作规程等。
d)应对安全教育和培训的情况和结果进行记录并归档保存。
1)应检查是否具有安全教育和培训的结果记录,查看记录中是否具有培训人员、培训内容、培训结果等的描述。
查看记录与培训计划是否一致。
1)具有安全教育和培训的结果记录。
2)记录中有培训人员、培训内容、培训结果等的描述。
3)记录应与培训计划一致。
5
外部人员访问管理
a)应确保在外部人员访问机房等重要区域前先提出书面申请,批准后由专人全程陪同或监督,并登记备案。
1)应检查外部人员访问相关规定,查看是否明确外部人员包括哪些人员,外部人员进入条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制(由专人全程陪同或监督等)和外部人员的离开条件等。
1)具有外部人员访问管理文档。
2)文档中明确允许外部人员访问的范围,外部人员进入的条件,外部人员进入的访问控制措施等。
3)具有外部人员访问重要区域的书面申请文档。
4)文档中有批准人允许访问的批准签字等。
5)具有外部人员访问重要区域的登记记录。
6)记录中有外部人员访问重要区域的进入时间、离开时间、访问区域及陪同人等。
2)应检查外部人员访问重要区域批准文档,查看是否具有外部人员访问重要区域的书面申请,是否具有允许访问的批准签字等。
3)应检查外部人员访问重要区域的登记记录,查看记录是否描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等。
b)对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定,并按照规定执行。
1)应检查外部人员访问相关规定,查看是否对允许外部人员访问的区域、系统、设备和信息等进行明确规定。
1)具有外部人员访问相关规定。
2)规定中应对允许外部人员访问的区域、系统、设备和信息等进行明确规定。
4、系统建设管理
序号
类别
测评项
测评实施
预期结果
说明
1
系统定级
a)应明确信息系统的边界和安全保护等级。
1)应访谈安全主管,询问是否明确信息系统的边界和安全保护等级。
1)具有定级文档。
2)定级文档中明确了信息系统边界。
3)定级文档中明确了信息系统安全保护等级。
2)应检查系统边界说明文档,查看文档是否明确信息系统边界和确定边界的理由。
b)应以书面的形式说明确定信息系统为某个安全保护等级的方法和理由。
1)应检查系统定级文档,查看文档是否明确信息系统的安全保护等级确定的方法和理由。
1)具有定级文档。
2)定级文档中说明了确定信息系统安全保护等级的方法及理由。
c)应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定。
1)应访谈安全主管,询问是否组织相关部门和有关安全技术专家对定级结果进行论证和审定。
1)具有定级结果论证评审会议文档。
2)文档中包含有相关部门和有关安全技术专家对定级结果的论证意见。
2)应检查定级结果论证文档,查看是否具有相关部门和专家对定级结果的论证意见。
d)应确保信息系统的定级结果经过相关部
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全管理 测评 指导书 三级 S3A3G310