金融行业三级管理制度测评指导书.docx

金融行业三级管理制度测评指导书.docx

《金融行业三级管理制度测评指导书.docx》由会员分享，可在线阅读，更多相关《金融行业三级管理制度测评指导书.docx（95页珍藏版）》请在冰豆网上搜索。

金融行业三级管理制度测评指导书

密级：

机密

信息安全等级保护测评指导书

安全管理制度测评指导书

黑龙江安衡讯信息安全测评技术服务有限公司

2013.05

保密申明

本安全方案包含了来自安衡讯可靠、权威的信息，此信息仅供安衡讯的信息安全等级保护测评项目使用，接受本指导书即表示同意对其内容保密，并且未经安衡讯书面请求和书面认可，不得向外界复制，泄露或散布此方案。

如果你不是有意接受者，请注意对本方案内容的任何形式的泄露、复制或散布都是被禁止的。

1、安全管理制度

序号

类别

测评项

测评实施

说明

1

管理制度

a）应制定信息安全工作的总体方针和安全策略，说明安全工作的总体目标、范围、原则和安全框架等，并编制形成信息安全方针制度文件。

1）应检查信息安全工作的总体方针和安全策略，查看文件是否明确机构安全工作的总体目标、范围、原则和安全框架等。

b）应对安全管理活动中的各类管理内容建立安全管理制度；

1）应检查各项安全管理制度，查看是否覆盖安全管理活动中的各类管理内容（制度管理、机构管理、人员管理、系统建设管理和运维管理等方面）。

c）应对要求管理人员或操作人员执行的日常管理操作建立操作规程；

1）应检查是否具有对重要管理操作的操作规程，如系统维护手册和用户操作规程等。

d）应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。

1）应访谈安全主管，询问机构是否形成全面的信息安全管理制度体系，制度体系是否由安全政策、管理制度、操作规程等构成。

2

制定和发布

a）由金融机构总部科技部门负责制定适用全机构范围的安全管理制度，各分支机构的科技部门负责制定适用辖内的安全管理制度。

（F3）

1）应访谈安全主管，询问由何部门或人员负责安全管理制度的制定，参与制定人员有哪些。

2）应检查人员职责、岗位设置等相关管理制度文件，查看是否明确由专门的部门或人员负责安全管理制度的制定工作。

b）安全管理制度应具有统一的格式，并进行版本控制；

1）应检查安全管理制度制定和发布要求管理文档，查看文档是否说明安全管理制度的格式要求、版本编号。

2）应检查安全管理制度文档，查看是否具有版本标识，查看各项制度文档格式是否统一。

c）应组织相关人员对制定的安全管理制度进行论证和审定；

1）应访谈安全主管，询问安全管理制度的制定程序，是否对制定的安全管理制度进行论证和审定，论证和审定方式如何（如召开评审会、函审、内部审核等）。

2）应检查管理制度评审记录，查看是否具有相关人员的评审意见。

d）安全管理制度应通过正式、有效的方式发布；

1）应检查安全管理制度制定和发布要求管理文档，查看文档是否说明安全管理制度的制定、发布程序和发布范围等各项要求。

e）安全管理制度应注明发布范围，并对收发文进行登记；

1）应检查安全管理制度的收发登记记录，查看收发是否通过正式、有效的方式（如正式发文、领导签署和单位盖章等），是否注明管理制度的发布范围。

3

评审和修订

a）信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。

1）应访谈安全主管，询问是否由信息安全领导小组负责定期对安全管理制度体系的合理性和适用性进行审定，审定周期多长。

2）应检查是否具有安全管理制度体系的评审记录，查看实际评审周期是否符合要求，是否记录了相关人员的评审意见。

b）应该建立对门户网站内容发布的审核、管理和监控机制。

（F3）

本次不适用

c）应定期或不定期对安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度进行修订。

1）应访谈安全主管，询问是否对管理制度定期修订，修订周期多长。

询问系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时是否对安全管理制度进行检查，对需要改进的制度进行修订。

2）应检查是否具有安全管理制度修订记录。

2、

安全管理机构

序号

类别

测评项

测评实施

说明

1

岗位设置

a）金融机构信息安全管理工作实行统一领导、分级管理，总部统一领导分支机构的信息安全管理，各机构负责本单位和辖内的信息安全管理。

（F3）

1）应访谈安全主管，询问是否设立安全管理机构（即信息安全管理工作的职能部门）。

机构内部门设置情况如何，是否设立安全主管及安全管理各个方面的负责人，是否明确各部门和各负责人的职责。

2）应检查部门、岗位职责文件，查看文件是否明确安全管理机构的职责，是否明确机构内各部门和各负责人的职责和分工。

b）应设立由本机构领导、业务与技术相关部门主要负责人组成的信息安全领导小组，负责协调本机构及辖内信息安全管理工作，决策本机构及辖内信息安全重大事宜。

1）应访谈安全主管，询问设置了哪些工作岗位（如安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等重要岗位），是否明确各个岗位的职责分工。

2）应检查文件是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等各个岗位，各个岗位的职责范围是否清晰、明确。

c）应设立专门的信息科技风险审计岗位，负责信息科技审计制度和流程的实施，制订和执行信息科技审计计划，对信息科技整个生命周期和重大事件等进行审计。

（F3）

1）应访谈安全主管，询问是否设立指导和管理信息安全工作的委员会或领导小组，其最高领导是否由单位主管领导委任或授权的人员担任。

2）应检查信息安全工作委员会或领导小组的成立文件，查看最高领导是否由单位主管领导委任或授权。

3）应检查部门、岗位职责文件，查看是否明确信息安全管理委员会或领导小组的职责。

d）应设立信息安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责。

1）应访谈安全主管，询问是否设立指导和管理信息安全工作的委员会或领导小组，其最高领导是否由单位主管领导委任或授权的人员担任

e）应设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责。

1）应检查部门、岗位职责文件，查看文件是否明确委员会的职责和安全管理机构的职责。

是否明确机构内各部门的职责和分工。

是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等各个岗位的职责范围。

查看文件是否明确各个岗位人员应具有的技能要求。

f）金融机构的主要负责人为本单位计算机信息系统安全保护工作的第一责任人。

金融机构的计算机信息系统安全保护领导小组、专职部门和专（兼）职安全管理人员以及其他有关人员应当协助第一责任人组织落实有关规定。

（F3）

1）应检查部门、岗位职责文件，查看文件是否明确委员会的职责和安全管理机构的职责。

是否明确机构内各部门的职责和分工。

是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等各个岗位的职责范围。

查看文件是否明确各个岗位人员应具有的技能要求。

g）应坚持三分离原则，实现前后台分离、开发与操作分离、技术与业务分离，信息技术人员任职要专岗专责，不得由业务人员兼任，也不得兼任业务职务。

（F3）

1）应检查部门、岗位职责文件，查看文件是否明确委员会的职责和安全管理机构的职责。

是否明确机构内各部门的职责和分工。

是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等各个岗位的职责范围。

查看文件是否明确各个岗位人员应具有的技能要求。

h）除科技部门外，其他部门均应指定至少一名部门计算机安全员，具体负责本部门的信息安全管理工作，协同科技部门开展信息安全管理工作。

（F3）

1）应检查部门、岗位职责文件，查看文件是否明确委员会的职责和安全管理机构的职责。

是否明确机构内各部门的职责和分工。

是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等各个岗位的职责范围。

查看文件是否明确各个岗位人员应具有的技能要求。

2

人员配备

a）应配备一定数量的系统管理员、网络管理员、安全管理员等。

1）应访谈安全主管，询问各个安全管理岗位人员（如机房管理员、系统管理员、网络管理员、安全管理员等重要岗位人员）配备情况。

2）应检查管理人员名单，查看其是否明确机房管理员、系统管理员、网络管理员、安全管理员等重要岗位人员的信息。

b）应配备专职安全管理员，实行A、B岗制度，不可兼任。

1）应访谈安全主管，询问安全管理员的配备情况，是否是专职。

2）应检查管理人员名单，确认安全管理员是否是专职人员。

c）关键事务岗位应配备多人共同管理。

1）应访谈安全主管，询问哪些关键事物需要配备2人或2人以上共同管理，人员具体配备情况如何。

2）应检查管理人员名单，查看关键岗位是否配备多人。

。

3

授权和审批

a）应根据各部门和岗位的的职责

明确授权审批事项、审批部门和批

准人等

1）应访谈安全主管，询问对哪些信息系统活动进行审批，审批部门是何部门，审批人是何人。

b）应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度。

1）应访谈安全主管，询问其对重要活动的审批范围（如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等），审批程序如何，其中是否需要需要逐级审批。

2）应检查各类管理制度文档，查看文档中是否明确事项的审批程序（如列表说明哪些事项应经过信息安全领导小组审批，哪些事项应经过安全管理机构审批等），是否明确对重要活动进行逐级审批，由哪些部门/人员逐级审批。

3）应检查经逐级审批的文档，查看是否具有各级批准人的签字和审批部门的盖章。

c）应定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息。

1）应检查审批事项的审查记录，查看是否对审批事项、审批部门、审批人的变更进行评审。

d）应记录审批过程并保存审批文档。

1）应检查关键活动的审批过程记录，查看记录的审批程序与文件要求是否一致。

e）用户应被授予完成所承担任务所需的最小权限，重要岗位的员工之间应形成相互制约的关系。

权限变更应执行相关审批流程，并有完整的变更记录。

（F3）

1）应访谈安全主管，询问对哪些信息系统活动进行审批，审批部门是何部门，审批人是何人。

f）应建立系统用户及权限清单，定期对员工权限进行检查核对，发现越权用户要查明原因并及时调整，同时清理过期用户权限，做好记录归档。

（F3）

1）应访谈安全主管，询问对哪些信息系统活动进行审批，审批部门是何部门，审批人是何人。

4

沟通和合作

a）应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通，定期或不定期召开协调会议，共同协作处理信息安全问题，并形成会议纪要。

1）应访谈安全主管，询问与其它部门之间及内部各部门管理人员之间的沟通、合作机制。

部门间、，安全管理职能部门内部以及信息安全领导小组或者安全管理委员会是否定期召开会议。

2）应检查组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录，查看是否具有会议内容、会议时间、参加人员和会议结果等描述。

3）应检查是否具有信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录（如会议记录/纪要，信息安全工作决策文档等）。

b）应加强与兄弟单位、公安机关电信公司的合作与沟通；

1）应访谈安全主管，询问是否建立与公安机关、电信公司和兄弟单位等的沟通、合作机制。

2）应检查外联单位联系列表，查看外联单位是否包含公安机关、电信公司、兄弟公司等，是否说明外联单位的名称、联系人、合作内容和联系方式等内容。

c）应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通；

1）应访谈安全主管，询问是否与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。

2）应检查外联单位联系列表，查看外联单位是否包含供应商、业界专家、专业的安全公司和安全组织等，是否说明外联单位的名称、联系人、合作内容和联系方式等内容。

d）应建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息；

1）应检查外联单位联系列表，查看外联单位是否包含公安机关、电信公司、兄弟公司、供应商、业界专家、专业的安全公司和安全组织等，是否说明外联单位的名称、联系人、合作内容和联系方式等内容。

e）应聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等。

1）应访谈安全主管，询问是否聘请信息安全专家作为常年的安全顾问。

2）应检查是否具有安全顾问名单或者聘请安全顾问的证明文件。

3）应检查是否具有安全顾问指导信息安全建设、参与安全规划和安全评审的相关文档或记录。

5

审核和检查

a）应制定安全审核和安全检查制度规范安全审核和安全检查工作，按要求定期开展安全审核和安全检查活动。

1）应访谈安全主管，询问是否组织人员定期对信息系统进行安全检查查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况。

b）安全管理员应负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。

1）应访谈安全管理员，询问是否定期进行全面安全检查，安全检查是否包含现行技术措施有效性和管理制度执行情况等方面。

2）应检查安全检查制度，查看是否明确检查内容包括技术措施有效性和安全管理制度执行情况等方面。

c）应由内部人员或上级机构定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。

1）应访谈安全管理员，询问是否制定安全检查表格实施安全检查，是否对检查结果进行通报。

2）应检查是否具有安全检查表格。

3）应检查安全检查报告，查看报告日期与检查周期是否一致，报告中是否具有检查内容、检查时间、检查人员、检查数据汇总表、检查结果等的描述。

）应制定安全检查表格，实施安全检查，汇总安全检查数据，形成安全检查报告，要求限期整改的需要对相关整改情况进行后续跟踪，并将每次安全检查报告和整改落实情况整理汇总后，报上一级机构科技部门备案。

1）应检查安全检查制度文档，查看文档是否规定检查内容、检查程序和检查周期等，检查内容是否包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。

e）应制定违反和拒不执行安全管理措施规定的处罚细则。

（F3）

1）应访谈安全主管，询问是否组织人员定期对信息系统进行安全检查查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况。

3、人员安全管理

序号

类别

测评项

测评实施

说明

1

人员录用

a）应指定或授权专门的部门或人员负责人员录用；

1）应访谈安全主管，询问由何部门/何人负责安全管理和技术人员的录用工作。

b）应严格规范人员录用过程，对被录用人员的身份、背景、专业资格和资质等进行审查，对其所具有的技术技能进行考核；

1）应访谈人事负责人，询问在人员录用时是否对被录用人的身份、背景、专业资格和资质进行审查，对技术人员的技术技能进行考核。

2）应检查人员录用要求管理文档，查看是否说明录用人员应具备的条件，如学历、学位要求，技术人员应具备的专业技术水平，管理人员应具备的安全管理知识等。

3）应检查技能考核文档或记录，查看是否记录考核内容和考核结果等。

c）应签署保密协议。

1）应访谈人事负责人，询问是否与录用后的技术人员签署保密协议。

2）应检查保密协议，查看是否具有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容。

d）应从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议。

1）应访谈人事负责人，询问是否设定关键岗位，对从事关键岗位的人员是否从内部人员中选拔，是否要求其签署岗位安全协议。

2）应检查岗位安全协议，查看是否具有岗位安全责任、违约责任、协议的有效期限和责任人签字等内容。

e）对信息安全管理人员应实行备案管理。

信息安全管理人员的配备和变更情况，应及时报上一级科技部门备案，金融机构总部信息管理人员在总部科技部门备案。

（F3）

1）应访谈安全主管，询问由何部门/何人负责安全管理和技术人员的录用工作。

f）凡是因违反国家法律法规和金融机构有关规定受到过处罚或处分的人员，不得从事信息安全管理工作。

（F3）

1）应访谈安全主管，询问由何部门/何人负责安全管理和技术人员的录用工作。

2

人员离岗

a）应严格规范人员离岗过程，及时终止离岗员工的所有访问权限。

1）应访谈人事负责人，询问是否及时终止离岗人员的所有访问权限。

2）应检查人员离岗管理文档，查看是否规范人员离岗过程，并明确终止离岗人员的访问权限。

b）应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。

1）应访谈人事负责人，询问是否及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等。

2）应检查是否具有交还身份证件和设备等的登记记录。

c）应办理严格的调离手续，关键岗位人员离岗须承诺调离后的保密义务后方可离开，并保证离岗人员负责的信息技术系统的口令必须立即更换。

1）应访谈人事负责人，询问人员离岗是否办理调离手续，是否要求关键岗位调离人员承诺相关保密义务后方可离开。

2）应检查人员离岗管理文档，查看是否规定了调离手续和离岗要求等。

3）应检查保密承诺文档，查看是否具有调离人员签字。

3

人员考核

a）应定期对各个岗位的人员进行安全技能及安全认知的考核；

1）应访谈安全主管，询问对各个岗位人员是否定期进行安全技能考核。

2）应检查考核记录，查看记录的考核人员是否包括各个岗位的人员，考核内容是否包含安全知识、安全技能等。

查看记录日期与考核周期是否一致。

b）应对关键岗位的人员进行全面、严格的安全审查和技能考核；

1）应访谈人员录用负责人员，询问对关键岗位人员的安全审查和考核与一般岗位人员有何不同，审查内容是否包括操作行为和社会关系等。

c）应对考核结果进行记录并保存。

1）应检查是否具有各岗位人员考核记录，查看考核内容是否包含安全知识、安全技能等。

查看记录日期与考核周期是否一致。

2）应检查是否具有关键岗位人员的安全审查和考核记录，查看审查和考核内容是否包含安全知识、安全技能、操作行为和社会关系等。

查看记录日期与考核周期是否一致。

4

安全意识教育和培训

a）应对定期安全教育和培训进行书面规定，针对不同岗位制定不同的培训计划。

1）应访谈安全主管，询问是否对各类人员（普通用户、运维人员、单位领导等）进行安全教育、岗位技能和安全技术培训。

b）应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训，普及信息安全基础知识、规范岗位操作、提高安全技能。

1）应访谈安全管理员、系统管理员、网络管理员和数据库管理员，考查其是否了解与工作相关的安全责任和惩戒措施等。

2）应检查安全责任和惩戒措施管理文档，查看包括哪些具体的安全责任和惩戒措施。

c）每年至少对信息安全管理人员进行一次信息安全培训。

（F3）

1）应访谈安全主管，询问是否针对不同岗位制定不同的培训计划，并按照计划对各个岗位人员进行安全教育和培训。

2）应检查安全教育和培训管理文档，查看是否明确规定应进行安全教育和培训。

3）应检查安全培训计划文档，查看是否具有不同岗位的培训计划。

查看计划是否明确了培训目的、培训方式、培训对象、培训内容、培训时间和地点等，培训内容是否包含信息安全基础知识、岗位操作规程等。

d）应对安全责任和惩戒措施进行书面规定并告知相关人员，对违反违背安全策略和规定的人员进行惩戒。

1）应检查是否具有安全教育和培训的结果记录，查看记录中是否具有培训人员、培训内容、培训结果等的描述。

查看记录与培训计划是否一致。

e）应对安全教育和培训的情况和结果进行记录并归档保存。

1）应检查是否具有安全教育和培训的结果记录，查看记录中是否具有培训人员、培训内容、培训结果等的描述。

查看记录与培训计划是否一致。

5

外部人员访问管理

a）各机构指定责任部门负责非涉密计算机系统和网络相关的外部人员访问授权审批，批准后由专人全程陪同或监督，并登记备案。

1）应检查外部人员访问相关规定，查看是否明确外部人员包括哪些人员，外部人员进入条件（对哪些重要区域的访问须提出书面申请批准后方可进入），外部人员进入的访问控制（由专人全程陪同或监督等）和外部人员的离开条件等。

2）应检查外部人员访问重要区域批准文档，查看是否具有外部人员访问重要区域的书面申请，是否具有允许访问的批准签字等。

3）应检查外部人员访问重要区域的登记记录，查看记录是否描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等。

b）允许被外部人员访问的金融行业计算机系统和网络资源应建立存取控制机制、认证机制，列明所有用户名单及其权限，其活动应受到监控。

1）应检查外部人员访问相关规定，查看是否对允许外部人员访问的区域、系统、设备和信息等进行明确规定。

c）获得外部人员访问授权的所有单位和个人应与金融机构签订安全保密协议，不得进行未授权的增加、删除、修改、查询数据操作，不得复制和泄漏金融机构的任何信息。

（F3）

1）应检查外部人员访问相关规定，查看是否对允许外部人员访问的区域、系统、设备和信息等进行明确规定。

4、系统建设管理

序号

类别

测评项

测评实施

说明

1

系统定级

a）应明确信息系统的边界和安全保护等级；

1）应访谈安全主管，询问是否明确信息系统的边界和安全保护等级。

2）应检查系统边界说明文档，查看文档是否明确信息系统边界和确定边界的理由。

b）应以书面的形式说明确定信息系统为某个安全保护等级的方法和理由；

1）应检查系统定级文档，查看文档是否明确信息系统的安全保护等级确定的方法和理由。

c）应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定；

1）应访谈安全主管，询问是否组织相关部门和有关安全技术专家对定级结果进行论证和审定。

2）应检查定级结果论证文档，查看是否具有相关部门和专家对定级结果的论证意见。

d）应确保信息系统的定级结果经过相关部门的批准。

1）应访谈安全主管，询问定级结果是否获得了相关部门（如上级主管部门）的批准。

2）应检查系统定级文档，查看定级结果是否具有相关部门的批准盖章。

2

安全方案设计

a）应指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作划。

1）应访谈系统建设负责人，询问系统选择基本安全措施的依据，是否依据安全保护等级选择，是否依据风险分析的结果补充和调整安全措施。

2）应检查系统建设/整改方案，是否根据系统的安全级别选择了基本安全措施。

3）应检查系统建设/整改方案，是否依据风险分析结果调整和补偿了安全措施。

b）应根据系统的安全级别选择基本安全措施，依据风险分析的结果补充和调整安全措施。

1）应访谈安全主管，询问是否授权专门的部门对信息系统的安全建设进行总体规划，由何部门/何人负责。

2）应检查系统的安全建设工作计划，查看文件是否明确了系统的近期安全建设计划和远期安全建设计划。

c）应根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安