等保培训.06.安全管理和物理测评-JieYingAI捷鹰AI

文章目录

背景知识安全管理的定义

“三分技术，七分管理”

安全管理是指在信息系统中对需要人员来参与的活动采取必要的管理控制措施，对信息系统的生命周期全过程实施科学管理。

技术和管理的区别

安全技术主要通过在信息系统中合理部署软硬件并正确配置其安全功能实现。

安全管理主要通过控制与信息系统相关各类人员的活动，采取文档化管理体系，从政策、制度、规范、流程以及记录等方面做出规定实现。

技术和管理的联系

两者之间既互相独立，又互相关联；

确保信息系统安全不可分割的两个部分。

测评依据和内容测评依据

信息系统安全等级保护基本要求GB/T22239-2019

信息系统安全等级保护测评要求

信息系统安全等级保护测评过程指南

标准中管理要求形成思路

测评内容

本节内容：

安全管理（37）

■安全管理制度（3）

■安全管理机构（5）

■人员安全管理（5）

■系统建设管理（11）

■系统运维管理（13）

物理安全（10）

例如：

其中的要求项就是我们测评的内容。

测评方法和流程主要测评工具

安全管理测评作业指导书

物理安全测评作业指导书

测评方式访谈

访谈----测评人员通过与信息系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据表明信息系统安全保护措施是否落实的一种方法。在访谈的范围上，应基本覆盖所有的安全相关人员类型，在数量上可以抽样。

■访谈内容：

问题——开放式——非开放式（是非题）

■访谈技巧：

基于作业指导书开展

访谈对象的选择，覆盖适当的层次和职能

访谈应在正常工作时间和工作地点

说明访谈和做记录的原因

访谈可从请对方描述其工作开始

尽量避免提出有倾向性答案的问题

感谢对方的配合

■访谈对象

安全主管：要针对一些机构信息安全方面的上层、顶层问题进行广泛式提问，包括机构安全管理制度体系的构成、部门的设置等；主要集中在：安全管理制度、安全管理机构。

系统建设负责人

人事负责人

系统运维负责人

物理安全负责人

以上各方面负责人（物理安全、人事、系统建设、系统运维）：主要针对机构信息安全各个具体方面的问题进行总体式提问；主要集中在：人员安全管理、系统建设管理、系统运维管理、物理安全

系统管理员、网络管理员、安全管理员、机房值班人员、资产管理员等：主要针对具体的信息安全问题进行针对式提问，深入了解系统在某特定方面的具体安全措施如何落实。

■访谈作用

作用一：了解相关管理方面的情况，作为下一步测评工作的基础；

作用二：访谈结果作为判断与其他儿种测评方式所得到证据是否一致；

作用三：作为相关管理方面实现要求与否的直接证据；

作用三例子：

要求“应根据系统的安全级别选择基本安全措施，依据风险分析的结果补充和调整安全措施；”

测评实施：

应访谈系统建设负责人，询问系统选择基本安全措施的依据，是否依据安全保护等级选择，是否依据风险分析的结果补充和调整安全措施，做过哪些调整。

检查

检查——不同于行政执法意义上的监督检查，是指测评人员通过对测评对象进行观察、查验、分析等活动，获取证据以证明信息系统安全保护措施是否有效的一种方法。

■检查方式

文档查看

现场察看

■检查对象

各类文件

制度文档

操作规程

执行记录

物理环境

基础设施等

检查与访谈关系

“一对一”：通过访谈获得肯定答案，通过检查验证访谈结果。

“多对一”：访谈内容总体性，多个检查操作验证。

“一对无”：直接访谈或检查，单一结果。

层层递进、共同体现、综合分析、把握核心。

测评工作前期准备

现场检查文档列表

■制度类文档

机房安全管理制度

网路安全管理制度

介质安全管理制度

人员离岗管理文档

现场配合人员名单

几点说明

根据角色分工，明确其熟知的安全控制点，确定访谈配合人员

以配合人员为主，根据对其访谈内容的多少，估算大约占用对方的时间，以便其明确具体时间安排

文档交接单

根据各单位内部管理程序自行设计

明确的基本信息包括：

■交接文档名称

■文档密级：

■川还日期、接收日期

■提交接收人签名、归还接收人签名

■等等

现场测评工具准备

■安全管理测评作业指导书开发

测评项安全管理要求项

测评方式

检查和访谈

测评对象

人员、文档

测评实施

测评方式+对象+活动/操作

采用一定的“测评方式”通过执行一些活动，了解”测评对象”对要求项/测评项的实现情况，从而构成了测评实施方法

《信息系统安全等级保护测评要求》的管理部分

（示例）安全管理机构：

■作业指导书开发基本步骤

第一步：从《基本要求》中选择“控制点”（测评指标）和“要求项”（测评项）；

第二步：从《测评要求》中选择“测评方法”：

第三步：结合信息系统实际情况调整“测评方法”；

第四步：形成最终作业指导书。

物理安全测评作业指导书开发（与上面的不同在于：测评对象和测评方式）

现场测评流程安全管理测评流程

■基本活动

检查是否存在有关的规定、制度或规程文档：

检查文档的描述细节是否涉及相关的内容；

检查是否存在有关执行过程的记求文或说明文件（证据）：

检查文件的记求内容是否与规定、制度或规程的要求致；

访谈和关人员，要求其对描述不理解或记录不理解内容的解释或说明：

访谈相关人员，要求其对管理过程或执行过程解释和说明。

■测评流程

第一步，根据现场配合人员名单，进步明确协调人员、访谈人员及时间：

第二步，根据检查文档列表，获得制度、记录、规程等各类文档，并填写文档交接单

第三步，审阅各类文档，并在现场测评作业指导书的相关项中进行结果记录

第四步，针对不确定项访谈相关人员或医得额外证据并记录

第五步，整理作业指导书的结果记录，并确认签字

第六步，归还所有文档，并在文档交接单中签字

物理安全测评流程

■基本活动

实地察看场地条件、环境条件是否符合要求：

实地察看设备、设施是否工.作正常：

实地察行是否存在有关设备、设施、标签、标识等：

检查设备、设施的检测报告或维护日志、检查机房设计验收文档：

访谈相关人员，要求对不理解之处进行解释或说明：

访谈相关人员，要求对管理过程或执行过程补充解释和说明。

■测评流程

第一步，实地察看场地条件、环境条件；

第二步，实地察看设备，设施运行状态；

第三步；实地察看存在的有关设备、设施、标签、标识等；

第四步，检查检测报告或维护日志，检查机房设计验收文档；（可在进机房前完成）；

第五步；针对不确定项访谈相关人员；

第六步，整理作业指导书，整理结果记录并确认签字。

安全管理现场测评实施测评内容及要点说明安全管理制度（3）

测评流程

■落实要点

总体方针政策文件、各类管理制度、各种操作规程三类文档

三类文档之间的连贯性，管理制度的覆盖面

侧重上管理制度的有无，不必检查具体规定的细节（例如密码管理，这里我们只检查有没有，具体里面的规定在检查相应的要求项的时候在具体看是否满足。）

管理制度文件的格式、版本、修订记录、各种评审记录以及发放登记记录

制定和修订方面的文字具体要求，修订计划，修订流程安

全管理制度制、修订的责任人，具体制定、发布流程

■落实难点：

安全方针、管理制度、操作规程三层文件形成管理制度文件体系

管理制度定期的评审、修订、完善

安全管理机构（5）

■落实要点

查看岗位职员文件了解：安全管理组织构成情况，信息安全领导小组-信息安全管理工作的职能部门（三层结构）-具体岗位，具体职责分工情况；

机构人员及岗位人员名单，了解各管理员岗位人员配备情况（如安全管理员、系统管理员、网络管理员、文档管理员）；

对关键岗位的定义；

根据岗位人员配备名单了解安全管理员是否是专职人员，其他岗位人员配备情况，关键岗位是否配备两人或两人以上。

审批事项、审批部门、批准人及审批程序等（制度），审批过程实际执行记录，了解授权和审批情况；

各类会议纪要、外协单位联系档案，了解部门内外沟通和合作情况；

安全检查周期、内容、程序等（制度），各类安全检查表格、以往安全检查记录或总结了解对信息系统的安全检查情况。

■落实难点

安不领导小组或安全管理委员会

专职安全管理员

关键岗位配备多人

聘请信息安全专家作为常年的安全顾问

关键活动的双重审批制度

定期的全面安全检查

人员安全管理（5）

前面四个是内部人员，后面一个是外部人员

■落实要点

录用、离岗、考核、安全意识教育和培训方面的规定

安全保密协议和关键岗位的安全协议

离岗交接记录

安全技术考核记录

培训计划和培训记录

外部人员访问方面的规定（制度）

■落实难点

关键岗位人员的社会背景审查，关键岗位安全协议：

安全技能和安个认知的考核；

对外部人员允许访问的区域、系统、设备、信息等内容的详细书面规定。

系统建设管理（11）

■落实要点

信息系统定级报告

未来几年的安全建设规划

安全设计方案、工程实施方案

软件开发、工程实施、测试验收、系统交付等方面规定

产品采购的候选产品名单

系统集成建设工程实施过程控制记录、各个阶段产品评审记录

测试验收报告、安全性测试报告

■落实要点

系统备案证书

等级测评报告

安全产品销售许可证复印件

与安全服务商签订的保密协议或安全责任书

对主要的活动均需要制度来指导和约束，规范化地执行各种活动，留有记录文件

外包开发软件安装前的恶意代码检测和后门程序审查

系统正式投入运行前独立第三方进行的安全性测试

每年一次的等级测评

系统运维管理（13）

■环境管理

机房安全管理制度

机房基础设施定期维护记录、机房进出登记记录

指定机房基础设施维护负责人

办公环境的安全管理

■资产管理

资产安全管理制度

资产清单，资产重要程度标识

对信息分类标识的原则和方法进行说明的文档（看设备上是否贴有标识）

■介质管理

介质安全管理制度

介质本地、是地在储环境条件，分类和标识

介质归档、查询的登记记录

重要介质送出维修或销毁前的审批记求

重要介质中数据或软件的加密存储的说明文档

■设备管理

设备安全管理制度

指定设备管理的责任人或责任部门

重要网络设备或服务器的操作规程

设备带离机房或办公环境的审批记录

■监控管理和安全管理中心

主机监控系统、网络监控系统、业务应用监控系统及相应责任人

监控和报警记录的分析报告

对设备状态、恶意代码、补丁升级、安全审计的集中管理

■网络安全管理

网络安全管理制度及负责人员

网络安全管理的日常工作。包括本地用户和远程用户的访问管理、网络接入管理、网络设备管理、漏洞扫描、网络状态监控等

日常管理工作的记录、重要事项的审批记录

■系统安个管理

系统（主机）安全管理制度及负责人员

系统（主机）安全管理的日常工作。包括帐户管理、角色权限管理（操作管理员、数据库管理员、审计管理员工作岗位的权限管理，是否兼职。这里要和主机上的权限管理分清，是不一样的。）、补丁管理、漏洞打描、日志或审计信息分析、日常维护等

日常管理工作的记录、重要操作的审批文档

■恶意代码防范管理

恶意代码防范管理制度及负责人员

恶意代码防范的日常工作，包括恶意代码检测、病毒库更新、恶意代码信息分析、恶意代码防范意识教育等

恶意代码的集中分析结果记录或报告

日常管理工作的记录

■密码管理（不是口令管理，是指加密的方法、设备的管理）

密码使用管理制度

密码设备具有证书，密码算法符合国家相关规定

■变更管理

变更管理制度

变更方案（操作系统的升级、更换）

变更的审批记录

变更后机关管理制度和操作规程的变化

失败变更的恢复文件化程序及恢复过程的演练记录

■备份和恢复管理

备份和恢复管理制度

备份和恢复的策略文档及操作规程

备份过程记录文档

系统启动或切换的操作规程

数据恢复或系统切换的操作记录

备份介质的有效性检查记录

■安全事件处置管理

安全事件报告和处置管理制度，包括安全事件定义、定级（有国家标准）、报告流程、不同事件的响应和处置流程（要形成闭环管理）

安全事件处置过程的记录

■应急预案管理

应急预案总体框架

各类主要事件的具体应急预案（电力、网络故障、受到攻击）

应急预案涉及人员、设备等的满足情况（人员是否离职）

应急预案的培训记录、演练记录

应急预案文档的更新、维护

■落实难点

系统运行日志和审计数据的分析

系统角色权限的划分和管理

定期的主机和网络恶意代码检测、病毒库升级

变更失败的文件化恢复程序，变更失败恢复演练

变更后对相关制度和操作规程的修i订

数据恢复或系统切换的操作记录，备份介质的有效性检查

信息安全事件的分类、分级处置流程

具体信息安全事件的应急预案，应急预案培训和演练

应急预案文档的维护和更新

测评注意事项

■事项一：系统某一控制点或某条要求不适用该级别的基本要求（如外包软件开发、自行软件开发）

例：人员考核第一条”应定期对各个岗位人员进行安全技能及安全认知的考核”，通过访谈获知委托测评方从未进行过安全技能及安全认知的考核，那么该控制点对考核结果记录要求的要求项可以为不适用吗？

答：应该是不符合，另外下一条要求是要对考核结果进行记录，连考核都没有，当然就不会有考核记录，因此这两条都应该是不符合。（不能判断为不适用）

也就是说：只能由不适用推导到不适用，而不能由不符合推导为不适用。

■事项二：当访谈结果与检查结果不一致时，应综合分析，不能片面的采信任何一方。

例如：成立信息安全领导小组，访谈说有，但是文件没有，则要看是否有会议纪要，指导工作的记录等。

■事项三：访谈以具体对象展开，而不以控制点或要求展开。

■事项四：访谈是获得证据不可或缺的手段，但往往访谈回答信息的客观性、准确性，依被访谈角色对相关内容了解程度、以及双方的有效沟通而定，因此需要测评人员正确引导和判断。（选对人，问对问题）

■事项五：在检查文档时发现不同文档针对同一方面内容要求不一致，应分析原因，结合其他测评方式所获证据来判断。

■事项六：所检查的文档应是机构目前已正式发布实施的有效文档。

■事项七：制度文档的审阅一方面要检查制度文档的规范内容，另外应通过审阅记录文档检查制度文档的落实，若二者存在不一致，应进一步寻找证据，最终确认是制度未得到有效落实还是制度文档需要修订。

■事项八：其他测评项获取的证据，也可能会成为某一测评项判定的依据。

■事项九：当由于某种原因机构无法提供原有的所要求的证据时，其他证据效力等同时，可采纳。

■事项十：文档名称可能不同，需进一步确认文档具体内容。

■事项十一：在系统运维管理的测评中，一些测评要求涉及到技术方面的要求，二者之间存在不同的侧重点。

测评实例

■实例一

要求“应定期（这个基本都有说明）或不定期（应说明不定期修改的触发条件）对安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度进行修订；”

■实例二

要求1“关键事务岗位（这个没有在标准中具体说明，需要待测评机构自行指定）应配备多人共同管理。”

要求2“应从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议。”

■实例三

要求1“应确保安全产品的采购和使用符合国家的有关规定；”这个要跟国家规定实时更新

要求2“应确保密码产品的采购和使用符合国家密码管部门的要求；”同上

要求3“应确保安全服务商而选择符合国家的有关规定；”

■实例四

要求“应定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息；”这里是防止人员变动后有些制度没有更新，因此要弄一个列表，把经常可能因为人员变动而改变的制度列出来。

■实例五

要求“应制定安全事件报告和响应处理程序，确定事件的报告流程，响应和处置的范围、程度，以及处理方法等；”

■实例六

要求“应在统一的应急预案框架下制定不同事件的应急预案，应急预案框架应包括启动预案的条件、应急处理流程、系统恢复流程和事后教育和培训等内容：”

物理安全现场测评实施测评内容及要点说明

■落实要点

机房、建筑的各类设计/验收文档（机房位置选择说明、机房建筑承重能力、机房建筑防雷、机房统综合布线及接地、自动消防系统、机房防火、机房空调和新风系统、电力供应和电磁防护等）

机房专人值守、门禁系统、分区管理、登记记录、专人陪同

设备和信息线不易除去的标识、介质分类标识及存放环境

机房视频监控系统

机房防盗报警系统

电源线和信号线上的防雷保安器（光纤接入除外）

自动消防报警系统运行状态、手提式或便携式灭火器的摆放位置及有效期、消防演习记录

机房天花板及墙壁是否存在防潮及结露现象，机房屋顶或活动地板下是否有水管、对外开放窗户的防雨措施

机房空调温湿度显示、机房日常巡检温湿度记录

双路市电接入、UPS满负荷时最大负载、备用供电系统，电力供应应急演练记录

■落实难点

机房防盗报警系统

机房区域隔离防火措施

双路市电供电或备用供电系统

测评注意事项

事项一：现场查看机房基础设施建设情况时，设施的有无并不能反映落实与否，关键查看该设施是否是有效的、正常运行。

事项二：当机房根据用途不同分为多个房间，处于不同位置时，各个机房应按相关的物理安全要求分别检查。

测评实例

实例一

要求“机房出入口应有专人值守（有门禁也要有专人值守）并配置电子门禁系统，控制、鉴别和记录进入的人员；”

实例二

要求“应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过度区域；”

实例三

要求“应利用光、电等技术设置机房的防盗报警系统；”这个是起到及时发现的作用

实例四

要求“机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。”

问题补充说明

当对一个机构内多个不同信息系统同时进行测评时，需分析机构、系统与要求之间的关系。（不同级别一起测评就高）

结果判定：现场客观记录一后期主观分析、客观评判

版权声明 1 本网站名称：捷鹰AI导航
2 本站永久网址：www.jieyingai.com
3 本站原创内容转载请注明出处，付费内容未经本站授权禁止转载二次发布
4 本站所有内容禁止用于任何非法用途！部分文章、素材、资源软件来自网络，仅供大家学习与参考。如有侵权，请联系站长QQ:1392478547进行删除处理
5 本站投稿禁止发布任何违法内容，如发现将立即封号处理，欢迎举报监督
6 本站附件资源、教程等内容如因时效原因失效或不可用，请联系留言或联系站长及时更新

THE END