系统运维测评指导书

序号 测评对象 测评指标 控制项 检查内容 检查方法 推荐值 判断标准 备注
1 系统运维管理 环境管理 a)应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理; a)应访谈物理安全负责人,询问是够指定专人或部门对机房基本设施(如空调、配电设备等)进行定期维护,由部门/何人负责,维护周期多长;
b)应检查机房基础设施维护记录,查看是否记录维护日期、维护人、维护设备、故障原因、维护结果等方面内容。
访谈、检查。 有人定期负责维护机房基本设施;有日常维护记录(包括:健康检查记录)及设备故障记录。 符合:专门的部门/人员管理并留有记录;
不符合:机房无人做维护管理。
2 b)应指定部门负责机房安全,并配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理; a)应访谈物理安全负责人,询问是够指定人员负责机房安全管理工作,对机房的出入管理是否要求进行制度化和文档化;
b)应检查机房进出登记表,查看其是否记录外来人员进出时间、人员姓名和访问原因等当面内容。
访谈、检查。 员工出入机房经过书面授权或者门禁权限的审批,其他人员(包括第三方人员)出入机房有申请审批制度;应设有机房进出登记表;
工作人员对服务器的开关等操作相关的操作手册说明。
符合:有机房安全管理员,有机房出入登记;
不符合:无机房安全管理员。
3 c)应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定; a)应检查机房安全管理制度,查看其内容是否覆盖机房物理访问、物品带进、带出机房、机房环境安全等方面。 访谈、检查。 有机房管理制度,文件内容需包括机房的物理访问、物品的带进带出、机房环境安全等方面。 符合:有机房安全管理制度,且其内容符合要求描述;
不符合:无机房安全管理制度。
4 d)应加强对办公环境的保密性管理,规范办公环境人员行为,包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等。 a)应访谈工作人员,询问对办公环境的保密性要求事项;
b)应检查办公环境管理文档,查看其内容是否对工作人员离开座位后的保密行为(如清理桌面文件和屏幕锁定等)、人员调离办公室后的行为等方面进行规定。
访谈、检查。 办公区域应有妥当的进入控制保护,以确保只有授权的人员才能进入;当人员变动时,考虑收回或变更其物理访问权限,如:收回钥匙、门禁卡等;有专门接待来访人员的区域;有清除桌面、清除屏幕的相关策略。 符合:单位对办公环境保密工作有要求或措施;
不符合:单位对办公环境保密工作无任何作为。
5 资产管理 a)应编制并保存与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容; a)应访谈安全主管,询问是够指定资产管理的责任人员,由何部门/何人负责;
b)应检查资产清单,查看其内容是否覆盖资产责任人、所属级别、所处位置、所属部门等方面;
c)应检查资产清单中的设备,查看其是否具有相应标识。
访谈、检查。 每个信息系统的重要资产都建有资产清单;
资产清单需注明资产的所处位置,所属部门,明确资产的责任人。
符合:有信息资产清单/列表,其属性包括资产责任部门、重要程度和所处位置等内容;
不符合:无信息资产清单/列表。
6 b)应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为; a)应检查资产安全管理制度,询问是够明确资产管理的责任部门、责任人等方面要求,规范资产管理和使用; 访谈、检查。 建有资产管理的制度文件,明确资产管理的责任部门、责任人等方面要求; 符合:具备资产安全管理制度,其内容符合要求相关描述;
不符合:无资产安全管理制度。
7 c)应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施; a)应访谈资产管理员,询问是否依据资产的重要程度对资产进行赋值和标识管理,不同类别的资产是否采取不同的管理措施。 访谈、检查。 依据资产的重要程度对资产进行赋值和标识管理,不同类别的资产采取不同的管理措施。 符合:资产的标识信息中包含资产清单/列表中已定义的资产重要程度信息,且在资产安全管理制度中对不同标识资产有对应的管理措施;
不符合:资产无标识信息或标识信息不符合要求。
8 d)应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。 a)应检查信息分类文档,查看其内容是够规定了分类标识的原则和方法(如根据信息的重要程度、敏感程度或用途不同进行分类)。 访谈、检查。 建有信息分类文档,查看其内容是否规定了分类标识的原则和方法。 符合:在文档中对信息分类与标识的方法作出说明;且在实际工作中对所有重要信息的管理活动,用户单位均表现出一套规范的管理方法、行为;
不符合:未对信息分类标识的方法作出说明,且用户单位在信息的使用、传输和存储等活动中表现出重大失误。
9 介质管理 a)应建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定; a)应访谈资产管理员,询问是否对介质的使用管理要求制度化和文档化;
b)应检查介质管理制度,查看其内容是否覆盖介质的存放环境、使用、维护和销毁等方面。
访谈、检查。 建有介质安全管理制度;其内容须覆盖介质的存放环境、使用、维护和销毁等方面。 符合:建立介质安全管理制度,其内容符合要求描述;
不符合:无介质安全管理制度。
10 介质管理 b)应确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理; a)应访谈资产管理员,询问介质的存放环境是否有保护措施,防止其被盗、被毁、被未授权修改以及信息的非法泄露,是否有专人管理。 访谈、检查。 介质的存放和保护必须得到控制;介质的存储环境有专人管理。 符合:介质放置于受控的机房等环境中,并由专人管理;
不符合:介质放置的场地不受控或可能存在火灾等隐患的场所。
11 c)应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,对介质归档和查询等进行登记记录,并根据存档介质的目录清单定期盘点; a)询问对介质的物理传输过程是否要求选择可靠传输人员、杨哥介质的打包(如采用防拆包装置)、选择安全的物理传输途径、双方在场交付等环节的控制;是否根据介质的目录清单对介质的使用现状进行定期检查;
b)应检查介质管理记录,查看其是否记录介质的存储、归档、借用等情况。
访谈、检查。 对介质的物理传输过程的各环节进行控制;
记录并保存介质归档和查询等过程;
并根据存档介质的目录清单定期盘点。
符合:若存储重要信息的介质存在物理传输过程,则具备严格的环节控制,无重大环节疏漏;对介质的归档和查询均具备记录;对已归档的介质进行定期的清点;
不符合:
1、存储重要信息的介质在物理传输过程中不具备严格的环节控制、或存在重大环节疏漏;
2、对介质的归档和查询不具备记录;
3、对已归档的介质不做定期的清点。
12 d)应对存储介质的使用过程、送出维修以及销毁等进行严格的管理,对带出工作环境的存储介质进行内容加密和监控管理,对送出维修或销毁的介质应首先清除介质中的敏感数据,对保密性较高的存储介质未经批准不得自行销毁; a)应访谈资产管理员,询问对介质带出工作环境(如送出维修或销毁)和重要介质中的数据和软件是否进行保密性处理;对保密性较高的介质销毁前是否有领导批准,对送出维修或销毁的介质是否对数据进行净化处理。 访谈、检查。 介质带出工作环境(如送出维修或销毁)重要介质中的数据和软件是否进行保密性处理;
保密性较高的介质销毁前有领导批准;
送出维修或销毁的介质,首先要清除其中的敏感数据。
符合:
1、用户单位对重要存储介质的使用过程、送出维修以及销毁等进行严格的管理;
2、对带出单位的重要存储介质进行加密和监控处理;
不符合:
1、用户单位对重要存户介质的使用过程、送出维修以及销毁等任何管理;x2、对带出单位的重要存储介质未进行加密和监控处理。
13 e)应根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同; a)应访谈资产管理员,询问是否对某些重要介质实行异地存储,异地存储环境是否与本地环境相同;
b)应检查介质本地存放地的实际环境条件是否安全,异地存放地的环境要求和管理要求是否与本地相同,是否有专人对存放地进行管理。
访谈、检查。 数据需要异地存储备份的,存储地的环境要求和管理方法应与本地相同。 符合:确定需要做异地存储的介质已实施异地存储,且异地存储环境条件和管理要求不低于本地存储;
不符合:确定需要做异地存储的介质未实施异地存储。
14 f)应对重要介质中的数据和软件采取加密存储,并根据所承载数据和软件的重要程度对介质进行分类和标识管理。 a)应访谈资产管理员,是否根据所承载数据和软件的重要性对介质进行分类和标识管理;
b)应检查介质,查看是否对其进行了分类,并具有不同标识。
访谈、检查。 介质进行分类和标识管理;对重要介质中的数据和软件采取加密存储。 符合:
1、介质种类和使用数量庞大前提下,根据所承载数据和软件的额重要程度对介质进行分类和标识;2、介质种类单一或数量极少情况下(如少于10件),可不做分类处理,但应有必要属性的标识;
3、在涉及敏感信息的存储介质中,对相关敏感信息做出了加密处理;
不符合:介质无任何属性标识且敏感信息未作加密处理。
15 设备管理 a)应对信息系统相关的各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理; a)应访谈资产管理员,询问是否对各类设施,设备制定专人或专门部门进行定期维护,由何部门/何人维护,维护周期多长。 访谈、检查。 有专人或专门的部门对设备定期维护管理。 符合:有专门的部门/人员定期管理维护设备并留有记录;
不符合:设备(特别是机房内重要设备)管理方面无负责人员或无作为。
16 设备管理 b)应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理; a)应访谈资产管理员,询问是否对设备选用的各个环节(如选型、采购、发放等)进行审批控制,是否对设备带离机构进行审批控制设备的操作和使用是否要求规范化管理;
b)应检查设备审批、发放管理文档,查看其是否对设备选型、采购、发放以及带离机构等环节的申报和审批作出规定;查看是否具有设备的选型、采购、发放等过程的申报材料和审批报告。
访谈、检查。 有设备的管理制度文件;
对设备的选型、采购、发放和领用等过程进行控制。
符合:具备设备安全管理制度,其内容符合要求描述;
不符合:无设备安全管理制度。
17 c)应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等; a)应访谈系统管理员,询问其是否对软硬件维护进行制度化管理;
b)应检查软硬件维护制度,查看其是否覆盖维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等方面。
访谈、检查。 建有配套设施、软硬件维护方面的管理制度;其内容需覆盖维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等方面。 符合:建立配套设施、软硬件维护方面的管理制度,其内容符合要求的描述;
不符合:未建立配套设施、软硬件维护方面的管理制度。
18 d)应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现主要设备(包括备份和冗余设备)的启动/停止、加电/断电等操作; a)应访谈系统管理员,询问是否对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理;
b)应检查设备使用管理文档,查看其内容是否覆盖终端计算机、便携机和网络设备等使用、操作原则、注意事项等方面内容。
C)应检查服务器操作规程,查看其内容是否覆盖服务器如何启动、停止、加电、断电等操作。
访谈、检查。 有关于终端计算机、工作站、便携机、系统和网络等设备的操作手册和使用规范。 符合:具备关键设备的操作指南或技术白皮书;
不符合:无任何关键设备操作的指导类文档。
19 e)应确保信息处理设备必须经过审批才能带离机房或办公地点。 应访谈资产管理员,是否对设备带离机构进行审批控制。 访谈、检查。 信息处理设备必须经过审批才能带离机房或办公场地。 符合:1、信息处理设备不允许出机房。2、移出机房或单位区域的设备有上报和审批流程。
不符合:重要设备出机房/单位区域无任何约束。
20 监控管理和安全管理中心 a)应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,形成记录并妥善保存; a)应访谈系统运维负责人,询问其是否监控通信线路、主要服务器的各项资源指标(如CPU、内存、进行和磁盘等)使用情况、网络设备和应用软件的运行状况;
b)应检查监控记录,查看是否记录监控对象、监控内容、监控的异常现象处理等方面。
访谈、检查。 对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行检测和报警、形成记录并保存。 符合:通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等具备技术手段予以监控和告警,并留有记录;
不符合:通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等无任何监控行为。
21 监控管理和安全管理中心 b)应组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要的应对措施; a)应访谈系统运维负责人,询问是否对检测和报警记录进行分析、评审,发现可以行为,形成分析报告,采取应对措施。 访谈、检查。 定期对检测和报警记录进行分析、评审,并形成分析报告。 符合:对检测和告警记录有定期的分析报告和应对措施;
不符合:对检测和告警记录未作出任何分析报告。
22 c)应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。 a)应访谈系统运维负责人,是否副各类安全事项进行集中管理,建立安全管理中心。 访谈、检查。 有安全管理中心,对各类安全事项进行集中管理。 符合:建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理;
不符合:未建立安全管理中心。
23 网络安全管理 a)应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作; a)应访谈安全主管,询问是否指定专人负责维护网络运行日志、监控记录和分析处理报警信息等网络安全管理工作。 访谈、检查。 有专人对网络进行管理;包括维护网络运行日志、监控记录和分析处理报警信息等网络安全管理工作。 符合:专门的部门/人员管理并留有记录;
不符合:无人关注网络日志和监控记录的审计工作。
24 网络安全管理 b)应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定; a)应检查网络安全管理制度,查看其是否覆盖网络设备的安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志内容、日志保存时间等方面内容。 访谈、检查。 建有方面作出规定。网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等。 符合:有网络安全管理制度,其内容符合要求描述;
不符合:无网络安全管理制度。
25 c)应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份; a)应访谈网络管理员,询问是否根据厂家提供的软件升级版本对网络设备进行过升级,目前的版本号为多少,升级前是否对重要文件(帐户数据和配置数据等)进行备份,采取什么方式进行。 访谈、检查。 及时暗转最新的软件版本,在安装前需备份重要信息数据。 符合:对网络设备有更新行为(由设备维护方在研讨对认为必要后发起),更新前有配置备份;
不符合:对网络设备的IOS升级从不予考虑,或升级前不做配置备份。
26 d)应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补; a)应访谈网络管理员,询问是否对网络设备进行漏洞扫描,对扫描出的漏洞是否及时修补;
b)应检查网络漏洞扫描报告,查看其那内容是否覆盖网络存在的漏洞、严重级别、原因分析和改进意见等方面。
访谈、检查。 对网络设备要定期进行漏洞扫描,对漏洞及时修补。 符合:定期的网络设备扫描,并由扫描报告和整改结果;
不符合:不做网络设备的漏洞扫描。
27 e)应实现设备的最小服务配置,并对配置文件进行定期离线备份; a)应检查网络设备,是否对设备实现最小服务配置。 访谈、检查。 实现设备的最小服务配置,并对配置文件定期进行备份。 符合:应对设备实现最小服务配置,具备的定期或更改后的配置备份;
不符合:1、更改配置前不做配置备份。2、目前技术核查的备份配置与设备目前配置不相符。
28 f)应保证所有与外部系统的连接均得到授权和批准; a)应访谈安全员,询问网络的外联种类有哪些(互联网、合作伙伴企业网、上级部门网络等),是否都得到授权和批准,由何部门/何人批准;是否定期检查违规联网的行为;
b)应检查是否具有内部网络所有外联的授权批准书。
访谈、检查。 与外部系统的连接需得到主管领导的授权和批准。 符合:系统外连具备审批环节;
不符合:1、系统外连无审批流程。2、系统目前外连状态在技术方面经核查有重大漏洞的。
29 g)应依据安全策略允许或者拒绝便携式和移动式设备的网络接入; a)应访谈安全员,询问是否有安全策略,对便携式和移动式设备的网络接入进行控制。 访谈、检查。 有关于便携式和移动式设备网络接入的相关策略,并依据策略进行控制。 符合:用户单位网络对便携/移动主机的接入具备允许、拒绝的能力;
不符合:用户单位网络对便携/移动主机的接入不具备允许、拒绝的能力,且无任何告警提示。
30 h)应定期检查违反规定拨号上网或其他违反网络安全策略的行为。 a)应访问安全员,询问是否定期检查违反规定拨号上网或其他违反网络安全策略的行为。 访谈、检查。 定期检查违反规定拨号上网或其他违反网络安全策略的行为。 符合:用户单位定期检查违反规定拨号上网或其他违反网络安全策略的行为。
不符合:用户单位未定期检查违反规定拨号上网或其他违反网络安全策略的行为。
31 系统安全管理 a)应根据业务需求和系统安全分析确定系统的访问控制策略; a)应访谈安全主管,询问是够指定专人负责系统安全管理;
b)应访谈安全员,询问是否根据业务需求和系统安全分析确定系统访问控制策略。
访谈、检查。 具有系统访问控制策略;
有专人负责系统安全管理。
符合:1、单位制定了主机层面的访问控制策略文档。2、技术核查在主机层面未发现明显/重大的访问控制问题。
不符合:技术核查在主机层面发现明显/重大的访问控制问题。
32 系统安全管理 b)应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补; a)应访谈安全员,是否对系统进行漏洞扫描,发现漏洞是否及时修补。 访谈、检查。 定期扫描系统漏洞,及时安装安全补丁,及时进行漏洞修补。 符合:定期的主机设备扫描,并有扫描报告和更改结果;
不符合:不做主机设备的漏洞扫描。
33 c)应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装; a)应访谈系统管理员,询问是否定期对系统安装补丁程序,在安装系统补丁之前是否在测试环境中测试通过,在安装系统补丁前是否对重要文件(系统配置、系统用户数据等)进行备份。 访谈、检查。 安装最新的补丁程序,安装前需在测试环境中先行测试通过,同时安装前要备份重要信息数据。 符合:及时做补丁修补,且安装前补丁经过测试和系统已备份;
不符合:1、系统从未考虑做补丁修补。2、系统修补前不做补丁测试。3、系统修补前不做备份。
34 d)应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定; a)应访谈系统管理员,询问是否对系统安全进行制度化管理;
b)应检查系统安全管理制度,查看其内容是否覆盖系统安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志、系统帐户等方面做出具体要求。
访谈、检查。 建立系统安全管理制度,制度需对系统安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志、系统帐户等方面做出具体要求。 符合:有系统安全管理制度,其内容符合要求描述;
不符合:无系统安全管理制度。
35 e)应指定专人对系统进行管理,划分系统管理员角色,明确各个角色的权限、责任和风险,权限设定应当遵循最小授权原则; a)应访谈系统管理员,询问对不常用的系统缺省用户是否采取了一定的处理手段其继续使用(如删除或禁用);是否明确各个角色的权限、责任和风险;是否对系统帐户安全管理情况是够定期进行检查和分析,发现问题如何处理。 访谈、检查。 制定专人对系统进行管理,划分系统管理员角色,明确各角色的权限、职责。 符合:有专门的系统管理员,且需做权限分离的系统管理员已按照最小授权原则予以分配角色和权限;
不符合:未设置专门的系统给管理员,且需做权限分离的系统管理员未按照做小授权原则予以分配角色和权限。
36 f)应依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行未经授权的操作; a)应访谈系统管理员,询问是否有系统的操作手册;是否详细记录操作日志。 访谈、检查。 具有系统的操作手册;
详细记录操作日志。
符合:由授权部门/人员对主机做日常运维和事务操作,授权实体对主机的操作行为留下了记录供审阅;
不符合:1、对主机做日常运维未按照操作手册等文档。2、授权实体对主机的操作行为未留记录。
37 g)应定期对运行日志和审计数据进行分析,以便及时发现异常行为。 a)应访谈审计员,询问是否规定系统审计日志的保存时间,多长时间;是否对运行日志和审计数据进行分析;
b)应检查在规定的保存时间范围内是否存在系统审计日志。
访谈、检查。 定期对运行日志和审计数据进行分析。 符合:有授权实体对主机日志或监控数据定期做审计;
不符合:无授权实体做主机日志的审计工作。
38 恶意代码防范管理 a)应提高所有用户的防病毒意识,及时告知防病毒软件版本,在读取移动存储设备上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查; a)应访谈系统运维负责人,询问是否对员工进行基本恶意代码防范意识教育,如告知应及时升级软件版本,使用外来设备、网络设上接收文件和外来计算机或存储设备接入网络系统之前应进行病毒检查。 访谈、检查。 对所有用户进行防病毒意识和知识的培训。 符合:要求内容均已在用户单位进行了宣传贯彻;
不符合:要求内容在用户单位未作宣传贯彻,无人知晓,日常也不遵守。
39 恶意代码防范管理 b)应指定专人对网络和主机进行恶意代码检测并保存检测记录; a)应访谈系统运维负责人,询问是否指定专人对恶意代码进行检测,并保存记录;
b)应检查是否具有恶意代码检测记录。
访谈、检查。 有专人对网络和主机进行恶意代码检测,并保存检测记录。 符合:使用病毒防范系统,系统自动汇总了各节点的日志记录;
不符合:无病毒防范机制。
40 c)应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定; a)应检查恶意代码防范管理文档,查看其内容是否对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等方面作出规定。 访谈、检查。 有关于恶意代码防范管理的制度文件,文件需对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等方面作出规定。 符合:有恶意代码防范管理制度,其内容符合要求描述;
不符合:无恶意代码防范管理制度。
41 d)应定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录,对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,并形成书面的报表和总结汇报。 a)应访谈安全员,询问是否对恶意代码库的升级情况进行记录,对截获的危险病毒或恶意代码是否进行及时分析处理,并形成书面的报表和总结汇报。
b)应检查是否具有恶意代码检测记录、恶意代码库升级记录和分析报告,查看升级记录是否记录升级时间、升级版本等内容;查看分析报告是否描述恶意代码的特征、修补措施等内容。
访谈、检查。 定期检查信息系统内恶意代码库的升级情况,并进行记录;
对于系统中防病毒产品截获的危险病毒和恶意代码及时进行分析、汇总。
符合:对系统内恶意代码产品的升级情况予以定期检查和记录,并对安全日志进行定期分析并形成报告;
不符合:对系统内恶意代码防范产品的升级情况予以定期检查和记录,且未对其安全日志进行定期分析。
42 密码管理 a)应建立密码使用管理制度,使用符合国家密码管理规定的密码技术和产品。 a)应访谈安全员,询问密码算法和密钥的使用是否遵照国家棉麻管理规定;
b)应检查是否具有密码使用管理制度。
访谈、检查。 具有密码使用管理制度;
使用符合国家密码管理规定的密码技术和产品。
符合:建立密码使用管理制度,且密码产品在国家商用密码管理局有备案;
不符合:未建立密码使用管理制度,且密码产品在国家商用密码管理局未备案。
43 变更管理 a)应确认系统中要发生的变更,并制定变更方案; a)应访谈系统运维负责人,询问是否制定变更方案指导系统执行变更;
b)应检查系统变更方案,查看其是否对变更类型、变更原因、变更过程、变更前评估等方面进行说明。
访谈、检查。 有关于系统变更管理的制度文件;在执行变更前需制定变更方案,方案须对变更类型、变更原因、变更过程、变更前评估等方面进行说明。 符合:用户单位认定的重大变更均具备了变更前的方案制定;
不符合:用户单位认定的重大变更无变更方案。
44 b)应建立变更管理制度,系统发生变更前,向主管领导申请,变更和变更方案经过评审、审批后方可实施变更,并在实施后将变更情况向相关人员通告; a)应访谈系统运维负责人,询问重要系统变更前是否根据申报和审批程序得到有关领导的批准,由何人批准,对发生的变更情况是否通知了所有相关人员,以何种方式通知;变更方案是否经过评审;
b)应检查变更管理制度米查看其是否覆盖变更前审批、变更过程记录、变更后通报等当面内容;
c)应检查重要系统的变更申请书,查看其是否有主管领导的批准。
访谈、检查。 有关于系统变更管理的制度文件;文件需覆盖变更前审批、变更过程记录、变更后通报等方面内容;系统变更需通过主管领导的审批。 符合:制定了变更管理制度,规定了用户单位认定的重要变更均具备了变更前的申请批准流程,并由变更后的通告/知晓渠道,且用户单位对制度的执行准确无误;
不符合:用户单位未制定变更管理制度。
45 c)应建立变更控制的申报和审批文件化程序,对变更影响进行分析并文档化,记录变更实施过程,并妥善保存所有文档和记录; a)应访谈系统运维负责人,是否有变更控制的申报和审批的程序文件;是否对变更影响进行分析并文档化;是否记录变更实施的过程;
b)应检查变更控制的申报、审批程序,查看是否规定需要申报的变更类型、申报流程、审批部门、批准人等方面内容。
访谈、检查。 建立有变更控制的申报和审批程序文件,文件内容需覆盖变更控制的申报、审批程序,查看是否规定需要申报的变更类型、申报流程、审批部门、批准人等方面;
记录并保存变更实施过程。
符合:具备一整套变更使用相关文档,设计申请、审批、预案、现场记录等,并在过去的变更活动中规范的使用了这一系列文档;
不符合:未具备一整套变更使用的相关文档,或在以往变更活动中从未使用此类文档。
46 d)应建立中止变更并从失败变更中恢复的文件化程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练。 a)应访谈系统运维负责人,询问变更失败后的恢复程序、工作方法和人员职责是否文档化、恢复过程是否经过演练;
b)应检查变更失败恢复程序,查看是否规定变更失败后的恢复流程。
访谈、检查。 有变更失败后的恢复程序文件,文件内容需覆盖恢复流程、工作方法和人员职责;
恢复过程需经过演练。
符合:建立中止变更中恢复的文件化程序,并已实施过相关演练;
不符合:未建立中止变更中恢复的文件化程序,且未实施过相关恢复演练;
47 备份与恢复管理 a)应识别需要定期备份的重要业务信息、系统数据及软件系统等; a)应访谈系统管理员和数据库管理员,询问是否识别需要定期备份的业务信息、系统数据和软件系统,主要有哪些。 访谈、检查。 识别需要定期备份的数据信息。 符合;需要定期备份的重要数据已被用户方确认;
不符合:用户方位考虑需要定期备份哪些重要数据。
48 备份与恢复管理 b)应建立备份与恢复管理相关的安全管理制度,对备份信息的备份方式、备份频度、存储介质和保存期等进行规范; a)对其备份工作是否以文档形式规范了备份方式、频度、介质和保存期等内容。
b)应检查备份管理文档,查看是否规定备份方式、频度、介质和保存期等方面内容。
C)应检查是否具有规定备份方式、频度、介质和保存期的文档。
访谈、检查。 有关于备份工作的制度文件;明确规范了备份方式、频度、介质和保存期等内容。 符合:有备份恢复管理制度,其内容涵盖要求描述;
不符合:无备份恢复管理制度。
49 c)应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略须指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法; a)应访谈系统管理员和数据库管理员,询问是否制定了数据的备份策略和恢复策略;
b)应检查数据备份和恢复策略文档,查看其内容是否覆盖数据的存放场所、文件命名规则、介质替换频率、数据离站传输方法等方面。
访谈、检查。 有信息数据的备份和恢复策略,并明确数据的存放场所、文件命名规则、介质替换频率、数据离站传输方法。 符合:技术核查结果在备份恢复方面无明显/重大的问题。且策略文档内容与技术核查结果不冲突;
不符合:1、技术核查结果在备份恢复方面存在明显/重大的问题。2、策略文档内容与技术核查结果有冲突。
50 d)应建立控制数据备份和恢复过程的程序,对备份过程进行记录,所有文件和记录应妥善保存; a)应访谈系统管理员和数据库管理员,询问是否制定了数据的备份和恢复过程的程序文件,是否对备份的过程进行记录并妥善保管;
b)应检查备份过程记录文档,查看其内容是否覆盖备份时间、备份操作、备份介质存放等内容。
访谈、检查。 有控制数据备份和恢复过程的程序文件,并对备份过程记录,所有文件和记录妥善保存。 符合:备份活动有记录且记录被妥善保管;
不符合;备份活动未作记录。
51 e)应定期执行恢复程序,检查和测试备份介质的有效性,确保可以在恢复程序规定的时间内完成备份的恢复。 a)应访谈系统管理员、数据库管理员和网络管理员,是否指定专人对备份设备的有效性定期维护和检查,多长时间检查一次;
b)应访谈系统管理员、数据库管理员和网络管理员,是否定期执行恢复程序,周期多长,系统是否按照恢复程序完成恢复,如有问题,是否针对问题改进恢复程序或调整其他因素。
访谈、检查。 定期测试备份介质的有效性;定期执行恢复程序;
确保在规定的时间内完成备份的恢复。
符合:定期自行恢复测试,且恢复测试结果符合安全策略的要求;
不符合:未定期执行恢复测试。
52 安全事件处置 a)应报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点; a)应访谈系统运维人,询问是否告知用户在发现安全弱点和可疑事件时应及时报告。 访谈、检查。 用户在发现弱点和可疑事件时应及时报告。 符合:要求内容均已在用户单位进行了宣传贯彻;
不符合:要求内容在用户单位未作宣传贯彻,无人知晓,日常也不遵守。
53 安全事件处置 b)应制定安全事件报告和处置管理制度,明确安全事件的类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责; a)应访谈系统运维负责人,询问是够对安全事件进行分类处置管理;询问是否制定了安全事件报告和处理管理制度文件;
b)应检查安全事件报告和处置管理制度,查看其是否明确与安全事件有关的工作职责,包括报告单位(人)、接报单位(人)和处置单位等职责。
访谈、检查。 对安全事件分类管理,明确安全事件类型;
有管理安全事件报告和处置管理制度,文件需明确与安全事件有关的工作职责,包括报告单位(人)、接报单位(人)和处置单位等职责。
符合:制定了安全事件报告和处置管理制度,其内容符合要求描述;
不符合:未制定安全事件报告和处置管理制度。
54 c)应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对本系统计算机安全事件进行等级划分; a)应访谈系统运维负责人,询问本系统已发生的和需要放置繁盛的安全事件主要有哪几类,对识别出的安全事件是否根据其对系统的影响程度划分不同等级,划分为几级;
b)应检查安全事件定级文档,查看其内容是否明确安全事件的定义、安全事件等级划分的原则、等级描述等方面内容。
访谈、检查。 有安全事件的定级文件;根据安全事件对系统的影响程度进行等级划分;对安全事件采用分类管理处理。 符合:有安全事件类型的定义及影响等级的划分;
不符合:只有笼统的报告流程,没有安全事件的等级划分。
55 d)应制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置的范围、程度,以及处理方法等; a)应访谈工作人员,询问其不同安全事件的报告流程;
b)应检查安全事件报告和处理程序文档,查看其是否根据不同安全事件制定不同的处理和报告程序,是否明确具体报告方式、报告内容、报告人等方面内容。
访谈、检查。 有安全事件报告和响应、处理的程序文件,明确事件的报告流程,响应和处置的范围,程度,以及处理方法等;
不同安全事件有不同的处理和报告程序。
符合:记录并保存所有报告的安全弱点和可疑事件,并有后续的处理过程和处理结果;
不符合:以前报告的相关事件未作记录留存。
56 e)应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训,制定防止再次发生的补救措施,过程形成的所有文件和记录均应妥善保存; a)应检查安全事件记录分析文档,查看其是记录引发安全事件的原因,是否记录事件处理过程,不同安全事件是否采取不同措施避免其再次发生。 访谈、检查。 记录并保存引发安全事件的原因,是否记录事件处理过程,并对其分析和鉴定,制定防止再次发生的补救措施。 符合:具备对安全事件的分析、处理、总结、防范等的过程文档并妥善保存;
不符合:未具备对安全事件的分析、处理、总结、防范等的过程文档。
57 f)对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。 a) 应访谈系统运维负责人,询问是否对造成系统中断和造成信息泄密的安全时间采用不同的处理程序和报告程序。 访谈、检查。 对造成系统中断和造成信息泄密的安全事件采用不同的处理程序和报告程序。 符合:对造成系统中断和造成信息泄密的安全事件采用不同的处理程序和报告程序;
不符合:对造成系统中断和造成信息泄密的安全事件,未在处理程序和报告程序方面予以分类。
58 应急预案管理 a)应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容; a)应访谈系统运维负责人,询问是否制定不同事件的应急预案;
b)应检查应急响应预案文档,查看其内容是否覆盖启动预案的条件、应急处理流程、系统恢复流程和事后教育等内容。
访谈、检查。 具有不同事件的不同应急预案;
应急预案的内容需包括启动预案的条件、应急处理流程、系统恢复流程和事后教育等内容。
符合:有应急预案且其内容符合要求描述;
不符合:未制定应急预案。
59 应急预案管理 b)应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障; a)应访谈系统运维负责人,询问是否具有应急预案小组,应急预案的执行是否具备足够的资源保障,应急预案执行所需资金是否做过预算并能够落实。 访谈、检查。 有足够的资源支持应急预案的执行。 符合:用户单位从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障;
不符合:用户单位未从人力、设备、技术和财务等方面想应急预案的执行提供保障。
60 c)应对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次; a)应访谈系统运维负责人,是否对系统相关人员进行应急预案培训,培训内容是什么,多长时间举办一次;
b)应检查是否具有应急预案培训记录。
访谈、检查。 对系统相关人员进行应急预案的培训、培训至少每年举办一次,并保留其培训记录。 符合:至少每年一次应急培训或演练;
不符合:未实施应急培训或演练。
61 d)应定期对应急预案进行演练,根据不同的应急恢复内容,确定演练的周期; a)应访谈系统运维负责人,询问是否定期对应急预案进行演练,演练周期多长;
b)应检查是否具有应急预案演练记录。
访谈、检查。 定期对应急预案进行演练,并保留其演练记录。 符合:至少每年一次应急培训或演练,对于不同的应急恢复内容,有对应的演练周期;
不符合:未实施应急培训或演练。
62 e)应规定应急预案需要定期审查和根据实际情况更新的内容,并按照执行。 a)应访谈系统运维负责人,询问是否对应急预案定期进行审查并更新;
b)应检查是否具有应急预案审查记录。
访谈、检查。 对应急预案进行定期审查更新,并保留其审查记录。 符合:应急预案定期实施内容审查并视审查后结果确定是否做更新,每年至少一次;
不符合:外部因素有变化,而应急预案缺从不做更新。
About hackgoo 110 Articles
渗透测试人员,信息安全维护 主要技能web安全,linux运维 站在巨人的肩膀上,在学习中进步,在进步中学习,低调求生存 极客谷保留所有权利,转载请注明出处

Be the first to comment

Leave a Reply

Your email address will not be published.


*