信息系统安全等级保护检查.docx
- 文档编号:234161
- 上传时间:2022-10-07
- 格式:DOCX
- 页数:13
- 大小:33.93KB
信息系统安全等级保护检查.docx
《信息系统安全等级保护检查.docx》由会员分享,可在线阅读,更多相关《信息系统安全等级保护检查.docx(13页珍藏版)》请在冰豆网上搜索。
第14章信息系统安全等级保护检查
信息系统的检查工作时信息系统等级保护工作的重要组成部分之一。
系统的检查涉及系统管理和技术的方方面面,是对信息系统安全保障措施能否切实保障系统安全的检查和确认。
本章中将详细叙述检查重要性、分类和实施方式。
14.1.1概述
信息系统检查是保障信息系统安全性的重要任务之一,通过对建立的信息系统进行安全性检查,能够发现系统的不足,并及时补救和改进。
所以,各国为了解决信息系统的安全性问题,对系统的检查都提出了相应的要求,并且建立了相关的法律、法规、标准和规范等来保障安全检查的正常运行。
14.1.2检查的工作形势
检查的工作形式,可以分为自检查、监督检查和委托检查。
(1)自检查:
指信息系统所有者或运营、使用单位发起的对本单位信息系统的安全状态进行的检查。
若系统所有者的自检查有周期性,则不必每次都执行完整的检查流程,而只是自检查系统变化的部分和重要部位。
(2)监督检查:
指信息系统的上级管理部门组织的,或由国家相关部门依法开展的检查。
监督检查一般需要执行完整的检查流程,但特殊情况下,也可在自检查的基础上,只执行关键部门的检查。
(3)委托检查:
受检单位或监督检查的组织部门不具备检查能力的,可委托经相关主管部门认可的机构来检查。
14.1.3检查的分类
信息系统的安全性检查按照起因和组织形式可分为常规检查、专项检查、事件检查、安全检查和自查五类;按照内容划分可分为管理类检查和技术类检查两类。
本章将从内容划分进行描述。
(1)管理类检查:
针对信息系统的管理过程施行的检查称为管理类检查,主要分为组织安全检查、人员安全检查、系统建设检查和系统运维检查等几个部分。
(2)技术类检查:
针对支持和保障信息系统安全运行使用的技术和操作施行的检查称为技术类检查,主要包括物理安全检查、网络安全检查、主机安全检查和应用安全检查等几个部分。
14.2检查的目标和内容
14.2.1检查目标
信息系统的检查,无论是自检还是监督检查,实质上都是一种持续性的风险评估和风险规避过程。
美国《联邦信息安全管理法案》中明确要求了联邦各机构需要对每一个系统实施“定期的有效性测试与评估”,考察信息安全的策略、流程和措施“。
维持这样一个风险评估和风险规避过程,能够有效地将系统的安全风险控制在可接受的范围之内,这也就是信息系统安全性检查和目标。
为了更清楚地说明检查的目标,这里给出信息系统安全等级保护检查目标的定义;通过对信息系统安全性检查,将信息系统的安全风险控制在可接受的范围,并且保障系统在相应的系统保护等级上达到相应的等级保护标准和规范。
14.2.2检查内容
通过细化信息系统安全性检查目标,可以很容易地得到系统检查相应的检查内容,如表14-1所示。
表14-1系统检查内容
项目
检查内容
管
理
类
组织安全
检查安全机构的组织情况
人员安全
检查系统管理人员行为等
系统建设
检查系统建设的相关管理制度和人员行为
系统运维
检查运维管理制度和人员行为
技
术
类
物理安全
检查物理环境安全,检查系统运行安全
网络安全
检查网络设施和网络环境安全
主机安全
检查主机设备和操作规程安全
应用安全
检查应用系统各方面安全
系统检查内容
14.3检查的实施
14.3.1管理类检查
1.组织安全检查
检查对象:
信息安全组织机构相关文档和管理制度。
检查条目和结果判定可参照组织安全管理检查表,如表14-2所示。
表14-2组织机构安全管理检查
检查条目
结果判定
安全组织机构建立
安全组织机构成立的相关文件齐全,架构完整,有专门的的信息安全领导小组进行安全工作
安全组织机构运行
信息安全机构定期开展信息安全工作的部署和考核等工作,并有明确的记录
安全管理制度制定和实施
信息安全制度按照流程指定,并且制度实施情况良好
2.人员安全检查
检查对象:
人员管理的制度和记录。
检查条目和结果判定可参照人员安全管理检查表,如表14-3所示。
表14-3人员安全管理检查表
检查条目
结果判定
人员录用安全管理
人员管理制度对录用人员技术和安全管理知识进行规定,关键岗位和重要岗位要签订安全协议书和安全保密协议
离岗离职人员安全管理
人员管理制度对离岗人员信息安全管理进行规定,人员离岗时应进行登记
在职人员安全考核管理
人员管理制度对在职人员审查进行规定,对考核结果进行记录并保存
人员安全教育和培训
人员管理制度对安全意识和技术进行培训和规定,并对安全教育和培训情况和结果进行记录并存档保存
外部人员访问
人员管理制度中具有针对外部人员访问重要区域的管理规定,且对外部人员访问历史进行记录并保存
3.系统建设检查
检查对象:
系统顶级管理中的制度、记录文档和相关的合同及文档等。
检查条目和结果判定参照系统建设管理检查表,如表14-4所示。
表14-4系统建设管理检查表
控制点
检查条目
结果判定
系统
定级
定级文档
文档明确边界和等级且说明定级方法和理由
定级结果批准
结果经过审批
定级结果论证和审定
正确性和合理性经过论证
安全方案
设计
安全措施及其补充、调整
根据定级结果调整措施,并记有记录
安全设计方案文件
统一考虑安全保障体系,形成配套文件
安全设计方案的论证
方案正确性和合理性进行论证
安全方案配套文件的维护(三级以上)
配套文件定期维护
安全总体规划(三级以上)
设立专门部门或专人进行进行总体规划和设计
安全建设计划(三级以上)
设立专门部门或专人制定中、长期安全计划
产品采购和使用
安全产品凭证
安全产品采购和使用需要符合国家相关部门规定
产品采购控制
制定专门部门或专人根据采购清单负责采购产品
产品选型测试
进行选型测试,根据测试结果选择产品
自行软件
开发
开发环境和运行环境要分开
开发环境和运行环境需要隔离
开发人员和测试人员分离
开发人员和测试人员需要分离
软件开发管理制度和文档管理
要有专门的软件设计文档,并由专人管理
代码规范
制定代码规范,要求按规范编码
程序资源库
建立资源库,并保证其修改、更新和发布
外部软件
开发
软件质量检测
根据需求检测软件质量
恶意代码检测
制定代码规范,按要求规范编码
软件设计文档、使用指南
提供软件的设计文档
软件后门检测
提供源代码进行后门检测
工程
实施
工程实施管理部门
制定或授权专门的部门或人员进行工程实施管理
工程实施控制
指定详细方案控制工程实施
工程实施管理制度
建立管理制度,明确实施方法,说明人员准则
测试
验收
安全性测试
委托第三方进行安全性测试,并出具测试报告
测试验收报告及其审定
记录测试结果,形成报告并审定
测试部门和制度
建立管理制度,制定专门部门进行测试验收管理
系统
交付
系统交付清单
制定交付清单、根据清单清点设备
运维人员培训
组织人员进行培训,并进行记录
系统建设过程中和运维文档
确保接收系统建设过程相关文档和运维指导文档
系统交付管理部门和制度
建立专门部门和制度管理交付、规范人员行为
系统
备案
材料管理
指定专门部门或人员进行备案材料整理
备案
须将材料交到主管部门或公安机关备案
等级
测评
等级测评周期
至少每年一次,并进行整改
测评单位选择
应选择有测评资质的公司进行测评
测评部门
指定或授权专门部门进行测评
安全服务商选择
安全服务商选择规定
选择符合国家相关规定的服务商
安全服务协议
签订服务协议,明确责任
安全服务商合同
必要时签订合同,保障技术支持和培训的实现
4.系统运维检查
控制点
检查条目
判定结果
环境
基本环境
指定专门人员进行环境管理,包括空调和配电等
机房环境
指定专门部门,,并制定机房管理制度
办公室环境
加强办公室保密性管理,规范人员行为
资产
资产清单
具有资产清单
资产管理制度
建立资产管理制度,规范资产管理和使用行为
资产分类和标记
根据资产的重要程度进行分类和规范化管理
介质
介质管理制度
实行专人化管理,制定介质存放环境
介质异地存储
根据数据备份需要,对某些介质进行异地存储
介质数据加密
介质中的重要数据要进行加密
设备
设备维护制度
指定专人对设备进行维护
设备管理制度
建立申报、审批和专人负责的管理制度
密码
密码管理制度
建立密码管理制度,使用符合国家标准的产品
密码安全管理机制
建立基于密码的安全机制管理制度
变更
变更方案制定
确认变更并制定方案,根据方案实施变更
变更管理制度
建立变更管理制度,管理变更审批等流程
表更申报与审批
变更前要进行变更申请,得到审批后才可以变更
变更中止与恢复
建立变更中止和恢复文件程序
网络
安全
安全管理制度
制度安全管理制度,规范人员行为
更新和漏洞扫描
定期进行漏洞扫描,并及时打补丁
设备最小化服务配置
实现设备最小化服务配置,对配置文件离线备份
连接授权与设备进入控制
所有与外联系统连接均进行审批、并记录
违规行为检查
定期检查违规行为
系统
安全
安全管理制度
制定安全管理制度,规范人员行为
系统访问控制策略
根据业务需求和安全分析确定访问控制策略
漏洞扫描和补丁更新
定期进行漏洞扫描,并及时更新补丁
系统操作管理
及时安装系统补丁,安装前应进行测试
日志审计和日志记录
应定期进行日志审计和日志记录
恶意代码法防护
防病毒知识培训
定期进行防病毒培训,提高防毒意识
恶意代码检测和分析
指定专人进行恶意代码检测,并保留记录
恶意代码防范管理制度
建立管理制度,规定软件的使用和代码库升级
安全事件处理
安全弱点和可疑事件报告
报告所有可疑事件,并且不尝试验证弱点
管理制度
制度安全事件报告和处理管理制度
事件等级划分
根据相关部门的划分方法和威胁性划分事件
安全事件响应、处理程序
建立事件报告的划分方法和威胁划分事件
应急预案管理
应急预案的的制定、培训和演练
制定应急预案、并定期进行演练
应急预案资源保障
确保应急预案资源充足
应急预案定期审查和更新
定期审定和更新应急预案
备份恢复
备份制度和备份策略
建立相关制度、建立备份和恢复程序,定期进行测试
监控和管理中心
各类监控记录
对通信线路、主机和网络等进行监控,并保留记录
14.3.2技术类检查
1.物理安全检查
检查对象:
机房环境安全、设备安全、系统安全保障措施实施情况和检测验收报告。
检查条目:
1)物理环境安全
(1)检查机房安全环境,包括机房布线、防静电和防盗防毁措施的实施情况;
(2)检查机房防水、防火和温湿度调节等保障措施和设备是否完全符合标准,以及其运行维护情况;
(3)检查机房管理制度和相关的记录文件;
(4)检查机房的门禁机监控系统运行情况和相关记录文件;
(5)检查屏幕和办公桌面。
2)设备物理安全
(1)检查物理设备的防电磁干扰和泄露措施;
(2)检查物理设备的维护情况和相关记录文档。
3)介质物理安全
(1)检查物理介质存放、管理措施和相关文档记录文件;
(2)检查物理介质信息消除措施的实施情况和相关记录;
(3)检查介质信息加密措施实施情况。
检查条目和结果判定可参照物理安全检查表,如表14-6所示。
检查条目
条目
编号
检查实施
结果判定
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统安全 等级 保护 检查