1、 安全管理测评作业指导书编制: 校对: 审核: 批准: 2009 发布 2009 实施修订页更改状态序号对应的章、节、条号修订内容更改人批准人批准日期 1 目的安全管理贯穿于信息系统的整个生命周期,在保障信息系统的安全中发挥了重要作用,与安全技术占据同等重要的地位。安全管理通常是指在信息系统中对需要人来参与的活动采取必要的管理控制措施,通过文档化的管理体系,为保障系统正常运行所涉及的人员活动做出明确规定。本手册的编写目的是为了指导管理测评实施人员的实际工作,根据实际工作的深入开展,会及时对本作业指导书进行更新,以保证指导书的高指导性。2 适用范围本手册适用于在现场测评实施中负责安全管理测评检查
2、的测评人员。3 职责3.1 测评师1)测评师应在客观、公正的情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方式和解释,实施测评活动;2)测评师应正确理解测评项,并具有良好的判断;3)测评师应注意测评记录和证据的接收、处理、存储和销毁,保护其在测评期间免遭改变和遗失,并保守秘密;4)测评师应遵循正确的测评方法进行现场测评和结果判定,以确保满足相关标准的要求。4 相关文件4.1 依据标准GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求4.2 参考标准信息系统安全等级保护测评要求(送审稿)信息系统安全等级保护测评过程指南(送审稿)上述文件中的条款通过本手册的引用而
3、成为本手册的内容。凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本手册。凡是不注明日期的引用文件,其最新版本适用于本手册。5 测评方法人员访谈测评师通过与被检查人员进行交流,对测评检查项进行细化。所获得测评所需数据,进行查验、分析等活动,获取证据以证明信息系统安全等级保护措施是否有效。文档检查测评师通过文档检查验证用户的现有文档与测评要求的符合程度,获取证据以证明信息系统安全等级保护措施是否有效。6 操作步骤6.1 测评前准备确定安全管理检查的测评内容。根据信息系统安全等级保护基本要求中的管理要求,安全管理测评包括五个部分,分别为安全管理制度、安全管理机构、人
4、员安全管理、系统建设管理、系统运维管理。确定安全管理检查的测评对象。安全管理检查分为管理访谈与管理文档检查两个部分。管理访谈在进入现场实施访谈工作之前,需要与被测方进行沟通,确认对方被访谈对象的名单,确认其中是否存在同一被访谈对象对应多个访谈岗位的状况,在与被测方就“岗位人员”对应关系取得一致性意见后,编写访谈工作实施计划,并提交被测方,确认访谈工作开展的时间、地点、被访谈对象的先后顺序。同时进入现场之前,需确认所有安全管理访谈检查表已准备妥当,并熟悉列表中的内容。管理文档检查在进入现场实施检查工作之前,需要与被测方进行沟通,确认配合文档检查的人员等。同时进入现场之前,需确认所有文档检查表已准
5、备妥当,并熟悉列表中的内容。6.2 现场测评进入现场测评阶段后,首先应确定检查对象进行访谈、检查,并在检查的过程中分别填写对应的管理访谈表与文档检查表。完成检查后,测评师与检查对象分别对现场检查表上的内容确认无误后签字确认。安全管理测评现场实施流程图如下:图1 安全管理测评现场实施流程6.3 异常处理若检查对象对测评项存在疑问,测评师应向其进行解释或举例说明,以保证测评工作能够顺利进行。若检查对象拒绝或不配合进行测评实施,测评师应报测评项目经理获知,经测评项目经理确认后,双方签字确认。6.4 现场的清理现场测评工作结束时,双方对被测系统的运行情况进行验证并签字确认。测评师应对所有检查表的完整性
6、进行确认,内容包括:检查列表的表头、结果记录、日期等均填写完整无误,所有检查表无缺页。确认工作完成后,报测评项目经理,测评现场实施完成。6.5 注意事项应遵循最小影响原则。现场测评尽量避开被测系统的业务高峰期进行实施。应遵循安全原则。对于存在安全风险的测评实施,测评师必须向被检查对象明示,在取得对方授权后方可进行;若对方拒绝授权,应报测评项目经理获知,由测评项目经理与对方进行协商,若仍不能获得授权,则可不进行该测评实施,但应在记录表中说明。7 记录7.1 二级系统安全管理测评检查表包括不同参数的组合用表。7.2 三级系统安全管理测评检查表包括不同参数的组合用表。7.3 四级系统安全管理测评检查
7、表包括不同参数的组合用表。8 关键测评要点说明8.1 二级系统关键测评要点说明以下先就对安全管理测评中可能涉及到的内容进行说明:情况一、若被访谈对象的实际工作职责对应于访谈岗位中的多个,可以根据被访谈对象的表述,同时填写多份访谈记录表,避免出现就同一问题多次访谈同一对象的状况;情况二、需检查的文档中关于人员安全管理部分,有些单位此部分文档可能不在测评工作实地,为避免拖延工作进度需提前协调;情况三、根据行业特征的不同,可能不存在关键岗位定期轮岗,需要根据实际情况具体分析;情况四、需验证文档周期性时,可通过调用相邻两份实际记录,查看其间隔的时间进行验证; 情况五、安全管理测评的内容可以根据现场实际
8、情况稍作调整。8.1.1 安全管理制度8.1.1.1 管理制度a)应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等。【描述】信息安全方针政策是最高层的安全文件,阐明安全工作的使命和意愿,定义信息安全的总体目标,规定信息安全管理的责任机构及其职责,以及建立的适用的安全工作运行模式等。【检查方法】 应检查信息安全工作的总体方针和安全策略文件,查看文件是否明确机构安全工作的总体目标、范围、原则和安全框架等。b)应对安全管理活动中重要的管理内容建立安全管理制度。【描述】安全管理制度是以安全方针政策性文件为指导,对信息系统的建设、开发、运维、升级和改造等各个阶段
9、和环节所应当遵循的行为加以规范。【检查方法】应检查各项安全管理制度,查看是否覆盖物理、网络、主机系统、数据、应用、建设和管理等层面的重要管理内容。c)应对安全管理人员或操作人员执行的重要管理操作建立操作规程。【描述】安全操作规程是各项具体活动的实施步骤或方法,是信息安全政策从抽象到具体,从宏观管理层落实到具体执行层的重要一环。【检查方法】 应检查是否具有重要管理操作的操作规程(如系统维护手册和用户操作规程等)。8.1.1.2 制定和发布a)应指定或授权专门的部门或人员负责安全管理制度的制定。【描述】信息安全管理制度的制定和发布,应授权专门的部门和人员负责。【检查方法】应访谈安全主管,询问是否有
10、专门的部门或人员负责制定安全管理制度。应访谈安全管理制度制、修订人员,询问安全管理制度的制定程序。b)应组织相关人员对制定的安全管理制度进行论证和审定。【描述】安全管理制度制定后,应组织相关人员对其可行性进行论证和审定。【检查方法】 应访谈安全管理制度制、修订人员,询问是否对制定的安全管理制度进行论证和审定,论证和评审方式如何。应检查管理制度评审记录,查看是否有相关人员的评审意见。c)应将安全管理制度以某种方式发布到相关人员手中。【描述】应对重要文件进行控制,发布安全管理制度时应注明发布范围,并对收发的安全管理制度做好登记。【检查方法】 应访谈安全管理制度制、修订人员,询问安全管理制度的发布方
11、式。8.1.1.3 评审和修订a)应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订。【描述】应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订。【检查方法】 应访谈安全主管,询问是否定期对安全管理制度进行评审,评审周期多长,发现存在不足或需要改进的是否进行修订。应检查安全管理制度评审记录,查看记录的日期间隔与评审周期是否一致;如果对制度做过修订,检查是否有修订版本的安全管理制度。8.1.2 安全管理机构8.1.2.1 岗位设置 a)应设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责。【描述】为保证安全管理工作的有效实施,应设立安全主
12、管、安全管理各个方面的负责人岗位,并明确各岗位的职责。【检查方法】 应访谈安全主管,询问是否设立安全管理各个方面的负责人。应访谈安全主管、安全管理某方面的负责人,询问其岗位职责包括哪些内容。应检查岗位职责文档,查看文档是否明确设置安全主管、安全管理各个方面的负责人,各个岗位的职责范围是否清晰、明确。b)应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。【描述】设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。【检查方法】 应访谈安全主管,询问设置了哪些工作岗位,各个岗位的职责分工是否明确。应检查岗位职责文档,查看文档是否明确设置机房管理员、系统管理
13、员、网络管理员和安全管理员等各个岗位,各个岗位的职责范围是否清晰、明确。8.1.2.2 人员配备 a)应配备一定数量的系统管理员、网络管理员、安全管理员等。【描述】应配备系统管理员、数据库管理员、网络管理员、安全管理员、机房管理员等重要岗位人员。【检查方法】 应访谈安全主管,询问各个安全管理岗位人员的配备情况,包括数量。应检查安全管理各岗位人员信息表,查看其是否明确机房管理员、系统管理员、数据库管理员、网络管理员、安全管理员等重要岗位人员的信息。b)安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。【描述】安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。【检查方法】 应访谈安
14、全主管,询问各个安全管理岗位人员的配备情况,包括专职还是兼职等。应检查安全管理各岗位人员信息表,确认安全管理员是否没有兼任网络管理员、系统管理员、数据库管理员等岗位。8.1.2.3 授权和审批 a)应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批。【描述】根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批。【检查方法】 应访谈安全主管,询问其是否对信息系统中的关键活动进行审批,审批部门是何部门,批准人是何人,他们的审批活动是否得到授权。应访谈安全主管,询问其对关键活动
15、的审批范围包括哪些。应检查审批管理制度文档,查看文档中是否明确对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批的审批部门和批准人。b)应针对关键活动建立审批流程,并由批准人签字确认。【描述】针对关键活动建立审批流程,并由批准人签字确认。【检查方法】 应访谈安全主管,询问其对关键活动的审批程序如何。应检查审批管理制度文档,查看文档中是否明确审批程序。应检查经审批的文档,查看审批程序与文件要求是否一致,是否有批准人的签字和审批部门的盖章。8.1.2.4 沟通和合作 a)应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通。【描述】加强各类管理人员之间、组织内部
16、机构之间以及信息安全职能部门内部的合作与沟通。【检查方法】 应访谈安全主管,询问是否经常与组织机构内其他部门之间通过哪些方式进行交流和沟通,信息安全职能部门内部各类管理人员之间通过哪些方式进行交流和沟通。应检查部门间和部门内部沟通和合作的相关文档,查看是否包括工作内容、参加人员等的描述。应检查是否有组织机构内部人员联系表。b)应加强与兄弟单位、公安机关、电信公司的合作与沟通。【描述】加强与兄弟单位、公安机关、电信公司的合作与沟通。【检查方法】 应访谈安全主管,询问是否经常与公安机关、电信公司和兄弟单位联系,联系/合作方式有哪些。应检查外联单位说明文档,查看外联单位是否包含公安机关、电信公司及兄
17、弟单位等。8.1.2.5 审核和检查 a)安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。【描述】安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。【检查方法】 应访谈安全管理员,询问是否定期检查系统日常运行、系统漏洞和数据备份等情况,检查周期多长。应检查安全管理员定期实施安全检查的文档或记录,查看记录的时间间隔与检查周期是否一致,检查内容是否包括系统日常运行、系统漏洞和数据备份等情况。8.1.3 人员安全管理8.1.3.1 人员录用 a)应指定或授权专门的部门或人员负责人员录用。【描述】指定或授权专门的部门或人员负责人
18、员录用。【检查方法】 应访谈安全主管,询问是否有专门的部门或人员负责人员的录用工作,由何部门/何人负责。b)应规范人员录用过程,对被录用人员的身份、背景和专业资格等进行审查,对其所具有的技术技能进行考核。【描述】规范人员录用过程,对被录用人员的身份、背景和专业资格等进行审查,对其所具有的技术技能进行考核。人员雇佣的验证核查:包括获得令人满意的品质资料;申请人履历的核查(针对完整性和准确性);声称的学术、专业资质的证实;独立的身份核查(身份证或护照或相似的文件);更多细节的检查,例如信用卡检查或犯罪记录检查等。【检查方法】 应访谈人事管理相关人员,询问在人员录用时对人员条件有哪些要求,是否对被录
19、用人的身份、背景和专业资格进行审查,对技术人员的技术技能进行考核。应检查人员录用要求管理文档,查看是否说明录用人员应具备的条件(如学历、学位要求,技术人员应具备的专业技术水平,管理人员应具备的安全管理知识等)。应检查是否具有人员录用时对录用人身份、背景和专业资格等进行审查的相关文档或记录,查看是否记录审查内容和审查结果等。应检查人员录用时的技能考核文档或记录,查看是否记录考核内容和考核结果等。c)应与从事关键岗位的人员签署保密协议。【描述】与从事关键岗位的人员诸如人员录用负责人、安全主管、网络管理员、系统管理员等签署保密协议。【检查方法】 应访谈人事管理相关人员,询问录用后是否与从事关键岗位的
20、人员签署保密协议。应检查保密协议,查看是否有保密范围、保密责任、违约责任、协议的有效期限和责任人签字等内容。8.1.3.2 人员离岗 a)应规范人员离岗过程,及时终止离岗员工的所有访问权限。【描述】应规范人员离岗过程,及时终止离岗员工的所有访问权限,以免出现信息泄露等安全事件。【检查方法】应访谈安全主管,询问对即将离岗人员有哪些控制方法,是否及时终止离岗人员的所有访问权限。b)应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。【描述】员工离岗后应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。【检查方法】 应访谈安全主管,询问对即将离岗人员是否取回各种身份证件、钥匙、徽章以及机
21、构提供的软硬件设备等。应检查是否具有对离岗人员的安全处理记录(如交还身份证件、设备等的登记记录)。c)应办理严格的调离手续。【描述】员工离岗后,应办理严格的调离手续。【检查方法】 应访谈人事管理相关人员,询问调离手续包括哪些。应检查是否具有按照离职程序办理调离手续的记录。8.1.3.3 人员考核 a)应定期对各个岗位的人员进行安全技能及安全认知的考核。【描述】定期对各个岗位的人员进行安全技能及安全认知的考核,以提高员工安全意识教育。安全技能及安全知识的定期考核可以是通过绩效考核实现,通过考核某岗位人员的绩效,以评判该人员在一段时间内,是否有效的完成其本职工作,从而判断该人员是否具有满足其岗位职
22、责需求的技能能力。【检查方法】 应访谈安全主管,询问是否有人负责定期对各个岗位人员进行安全技能及安全知识的考核,考核周期多长。应检查考核文档,查看考核人员是否包括各个岗位的人员,考核日期与考核周期是否一致。8.1.3.4 安全意识教育和培训 a)应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。【描述】对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。安全意识和教育应是适当的并关联于员工的角色、职责和技能,并应包括关于已知威胁的信息、向谁咨询进一步的安全建议和合适的报告信息安全事故的渠道,可以包括信息安全风险与控制、法律责任、业务相关控制、信息处理设施的使用等。【检查方法
23、】 应访谈安全管理员、系统管理员和网络管理员,考查其对工作相关的信息安全基础知识的理解程度。应检查是否具有安全教育和培训记录,查看记录是否有培训人员、培训内容、培训结果等的描述。b)应告知人员相关的安全责任和惩戒措施,并对违反违背安全策略和规定的人员进行惩戒。【描述】告知人员相关的安全责任和惩戒措施,并对违反违背安全策略和规定的人员进行惩戒。【检查方法】 应访谈安全主管,询问是否对违反安全策略和规定的人员进行惩戒,如何惩戒。应访谈安全管理员、系统管理员和网络管理员,考查其对安全责任和惩戒措施等的理解程度。c)应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训。【描述】制定安全
24、教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训。安全意识教育的培训方式可以通过书面安全策略、员工签订协议遵守组织的安全政策与程序、员工签订的业务保密协议、利用各种媒体在公司内部宣传安全问题、安全规定的强制执行、鼓励员工报告可以事件、阶段性审计等手段,达到培训的目的。【检查方法】 应访谈安全主管,询问是否制定培训计划并按计划对各个岗位人员进行安全教育和培训,具体的培训方式有哪些。应检查安全教育和培训计划文档,查看计划是否明确了培训方式、培训对象、培训内容、培训时间和地点等,培训内容是否包含信息安全基础知识、岗位操作规程等。8.1.3.5 外部人员访问管理 a)应确保在外部人员访问受控
25、区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案。【描述】确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案。【检查方法】 应访谈安全管理员,询问对外部人员访问重要区域(如访问机房、重要服务器或设备区等)采取了哪些安全措施,是否经有关部门或负责人批准才能访问,是否由专人全程陪同或监督,是否进行记录并备案管理。应检查外部人员访问管理文档,查看是否有对外部人员访问机房等重要区域应经过相关部门或负责人批准的内容。应检查外部人员访问重要区域的登记记录,查看是否记录了外部人员访问重要区域的进入时间、离开时间、访问区域及陪同人等信息。8.1.4 系统建设管理8.
26、1.4.1 系统定级 a)应明确信息系统的边界和安全保护等级。 【描述】确定信息系统的安全保护等级,是建设符合安全等级保护要求的信息系统、实施信息安全等级保护的基础。【检查方法】 应检查系统定级文档,查看文档是否明确信息系统的边界和信息系统的安全保护等级。b)应以书面的形式说明信息系统确定为某个安全保护等级的方法和理由。【描述】针对信息系统为某个安全保护等级的方法和理由进行分档化要求。【检查方法】 应访谈安全主管,询问确定信息系统安全保护等级的方法是否参照定级指南的指导,定级过程是否有书面描述。应检查系统定级文档,查看文档是否说明定级的方法和理由。c)应确保信息系统的定级结果经过相关部门的批准
27、。【描述】应对测评信息系统的定级结果的合理性和正确性进行论证和审定,并且定级结果需要经过相关部门批准。【检查方法】 应访谈安全主管,询问定级结果是否获得了相关部门的批准。应检查系统定级文档,查看定级结果是否有相关部门的批准盖章。8.1.4.2 安全方案设计 a)应根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施。【描述】依据安全保护等级选择相应的基本安全措施,依据风险分析的结果补充和调整相应的安全措施。【检查方法】 应访谈系统建设负责人,询问是否根据系统的安全级别选择基本安全措施,是否依据风险分析的结果补充和调整安全措施,具体做过哪些调整。b)应以书面形式描述对系统
28、的安全保护要求、策略和措施等内容,形成系统的安全方案。【描述】对系统的安全保护要求、策略和措施等内容,应以书面形式形成系统的安全方案。【检查方法】 应检查系统的安全方案,查看方案是否描述系统的安全保护要求,是否详细描述了系统的安全策略,是否详细描述了系统采取的安全措施等内容。c)应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案。【描述】对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案。【检查方法】 应检查系统的详细设计方案,查看详细设计方案是否对应安全方案进行细化,是否有安全建设方案和安全产品采购方案。d)应组织相关部门和有关安全技术专
29、家对安全设计方案的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施。【描述】安全设计方案的合理性和正确性应组织相关部门和有关安全技术专家进行论证和审定,并且经过批准后,才能正式实施。【检查方法】 应访谈系统建设负责人,询问安全设计方案是否经过论证和审定,是否经过审批。查看方案是否有经过安全主管领导或管理部门的批准盖章。应检查专家论证文档,查看是否有相关部门和有关安全技术专家对安全设计方案的评审意见。8.1.4.3 产品采购和使用 a)应确保安全产品采购和使用符合国家的有关规定。【描述】安全产品的采购和使用符合国家关于产品采购的相关规定。如由中国信息安全产品测评认证中心编制的信息安全产
30、品政府采购指南。【检查方法】 应检查系统使用的有关信息安全产品是否符合国家的有关规定。b)应确保密码产品采购和使用符合国家密码主管部门的要求。【描述】密码产品的采购和使用符合国家密码主管部门的要求,如由国家信息安全,国家密码局、科学技术部、公安部、国家安全部、财政部、信息产业部、商务部、国家保密局、国家信息化工作办公室联合制定的含有密码技术的信息产品政府采购规定。【检查方法】 应访谈系统建设负责人,询问系统是否采用了密码产品,密码产品的采购和使用是否符合国家密码主管部门的要求。应检查密码产品的使用情况是否符合密码产品使用、管理的相关规定。c)应指定或授权专门的部门负责产品的采购。【描述】应指定
31、或授权专门的部门负责产品的采购。【检查方法】 应访谈安全主管,询问是否有专门的部门负责产品的采购,由何部门负责。应访谈系统建设负责人,询问信息安全产品的采购情况,是否有产品采购清单指导产品采购,采购过程如何控制。8.1.4.4 自行软件开发 a)应确保开发环境与实际运行环境物理分开。【描述】为避免开发过程中对系统造成影响,要保证开发环境与实际运行环境物理分开。【检查方法】 应访谈系统建设负责人,询问是否进行自主开发软件,自主开发软件是否在独立的模拟环境中编写、调试和完成。b)应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则。【描述】为保证开发过程的安全性,要制定开发方面的管理制
32、度,规定开发过程的控制方法和人员行为准则。【检查方法】 应检查软件开发管理制度,查看文件是否明确软件设计、开发、测试、验收过程的控制方法和人员行为准则,是否明确哪些开发活动应经过授权、审批,是否明确软件开发相关文档的管理等。c)应确保提供软件设计的相关文档和使用指南,并由专人负责保管。【描述】应要求开发方提供软件设计的相关文档和使用指南,并由专人负责保管。【检查方法】 应访谈系统建设负责人,询问软件设计相关文档和使用指南是否由专人负责保管,负责人是何人。应检查是否具有软件设计的相关文档(应用软件设计程序文件、源代码文档等)、软件使用指南或操作手册和维护手册等。8.1.4.5 外包软件开发 a)
33、应根据开发要求检测软件质量。【描述】根据协议的要求检测软件的质量。【检查方法】 应访谈系统建设负责人,询问软件交付前是否依据开发要求的技术指标对软件功能和性能等进行验收测试。b)应确保提供软件设计的相关文档和使用指南。【描述】与外包商明确提供软件设计的相关文档和使用指南。【检查方法】 应检查是否具有需求分析说明书、软件设计说明书、软件操作手册、软件源代码文档等软件开发文档和使用指南。c)应在软件安装之前检测软件包中可能存在的恶意代码。【描述】在软件安装之前检测软件包中可能存在的恶意代码。【检查方法】 应访谈系统建设负责人,询问软件安装之前是否检测软件中的恶意代码。d)应要求开发单位提供软件源代
34、码,并审查软件中可能存在的后门。【描述】要求开发单位提供软件源代码的同时审查软件中是否存在可能出现的后门。【检查方法】 应访谈系统建设负责人,询问是否要求开发单位提供源代码,是否根据源代码对软件中可能存在的后门进行审查。应检查软件源代码审查记录,查看是否包括对可能存在后门的审查结果。8.1.4.6 工程实施 a)应指定或授权专门的部门或人员负责工程实施过程的管理。【描述】指定或授权专门的部门或人员负责工程实施过程的管理。【检查方法】 应访谈系统建设负责人,询问是否有专门部门或人员负责工程实施管理工作,由何部门/何人负责。b)应制定详细的工程实施方案,控制工程实施过程。【描述】工程实施阶段制定详
35、细的工程实施方案,控制工程实施过程。信息系统工程实施应当由具有资质的专业工程实施单位来完成,并与其签订安全建设协议,制定详细的工程实施方案,用来约束和控制工程实施方的行为。【检查方法】 应访谈系统建设负责人,询问是否按照工程实施方案的要求对工程实施过程进行进度和质量控制。应检查工程实施方案,查看其是否包括工程时间限制、进度控制和质量控制等方面内容。8.1.4.7 测试验收 a)应对系统进行安全性测试验收。【描述】验收被测系统时,应对该系统进行安全性测试验收。【检查方法】 应访谈系统建设负责人,询问在信息系统建设完成后是否对其进行安全性测试验收。b)在测试验收前应根据设计方案或合同要求等制订测试
36、验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告。【描述】在测试验收前应根据设计方案或合同要求等制订详细的测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告。【检查方法】 应检查工程测试验收方案,查看其是否明确说明参与测试的部门、人员、测试验收的内容、现场操作过程等内容。应检查测试验收记录是否详细记录了测试时间、人员、现场操作过程和测试验收结果等方面内容。应检查是否具有系统测试验收报告。c)应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认。【描述】组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认。【检查方法】 应访谈系统建设负
37、责人,询问是否根据设计方案或合同要求组织相关部门和人员对系统测试验收报告进行审定。应检查是否有对测试验收报告的审定文档,查看文档是否有相关人员的审定意见。8.1.4.8 系统交付 a)应制定系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点。【描述】系统在工程实施并验收完以后,需要根据协议有关要求,按照交付清单对设备、软件、文档进行交付。【检查方法】 应访谈系统建设负责人,询问系统交接工作是否根据交付清单对所交接的设备、文档、软件等进行清点。应检查是否具有系统交付清单说明系统交付的各类设备、软件、文档等。b)应对负责系统运行维护的技术人员进行相应的技能培训。【描述】对运行维护的技
38、术人员进行必要的技能培训。【检查方法】 应访谈系统建设负责人,询问目前的信息系统是否由内部人员独立运行维护,如果是,系统正式运行前是否对运行维护人员进行过培训,针对哪些方面进行过培训。应检查培训记录,查看是否包括培训内容、培训时间和参与人员等。c)应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档。【描述】要求开发商提供系统建设过程中的文档,以及指导用户进行系统运行维护的文档。【检查方法】 应检查是否具有系统建设文档、指导用户进行系统运维的文档、系统培训手册等。8.1.4.9 安全服务商选择 a)应确保安全服务商的选择符合国家的有关规定。【描述】信息系统建设过程涉及到安全咨询、监理
39、、培训、规划、设计、实施、测评等方面的安全服务,这些安全服务提供商所提供服务的质量,将直接影响到信息系统的安全,为了减少或者杜绝这些服务带来新的安全问题,在选择安全服务商的时候,应选择符合国家有关规定的、具有相应安全服务资质的机构。【检查方法】 应访谈系统建设负责人,询问信息系统选择的安全服务商有哪些,是否符合国家有关规定。b)应与选定的安全服务商签订与安全相关的协议,明确约定相关责任。【描述】与选定的安全服务商签订与安全相关的协议,并明确相关的责任。【检查方法】 应检查是否具有与安全服务商签订的安全责任合同书或保密协议等文档,查看其内容是否包含保密范围、安全责任、违约责任、协议的有效期限和责
40、任人的签字等。c)应确保选定的安全服务商提供技术支持和服务承诺,必要的与其签订服务合同。【描述】所选择的安全服务商应提供技术培训和服务承诺,并与其签订服务合同。【检查方法】 应检查是否具有与安全服务商签订的服务合同,查看是否包括服务内容、服务期限、双方签字或盖章等。8.1.5 系统运维管理8.1.5.1 环境管理 a)应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理。【描述】指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理。【检查方法】 应访谈系统运维负责人,询问是否有专门的部门或人员对机房基础设施进行定期维护,由何部门/何人负责,维护周期多长
41、。应检查是否具有机房基础设施维护记录。b)应配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理。【描述】一般来说,信息系统主机和网络设备都放置在机房,因此要确保机房的运行环境良好、安全,应指定专门的部门负责机房安全,并配备机房安全管理人员对机房的出入、服务器的开关机等工作进行管理。【检查方法】访谈系统运维负责人,询问是否有机房管理员负责机房出入等环境安全管理工作。c)应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理做出规定。【描述】针对机房物理访问,物品带进、带出机房和机房环境安全等方面制定相应机房安全管理制度。【检查方法】 应检查机房
42、安全管理制度,查看其内容是否覆盖机房物理访问、物品带进/带出机房和机房环境安全等方面。d)应加强对办公环境的保密性管理,包括工作人员调离办公室应立即交还该办公室钥匙和不在办公区接待来访人员等。【描述】工作人员办公时可能涉及到一些敏感或涉密信息,因此应对办公环境安全进行严格管理和控制,规范办公环境人员行为,其中包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员。【检查方法】 应访谈安全主管,询问为保证办公环境的保密性采取了哪些控制措施,在哪个区域接待来访人员,工作人员调离时是否收回办公室钥匙等。8.1.5.2 资产管理 a)应编制与信息系统相关的资产清单,包括资产责任部门、重要
43、程度和所处位置等内容。【描述】信息系统的资产包括信息、各种客户端、服务器、网络设备、软件、存储介质以及各种相关设施等。由于信息系统资产种类较多,因此编制并保存与信息系统相关的包括资产责任部门、重要程度和所处位置等内容在内的资产清单。资产是指任何对于组织具有价值的事物。资产类型包括信息资产、软件资产、物理资产、服务、人员、无形资产。【检查方法】 应检查资产清单,查看其内容是否覆盖资产责任部门、责任人、所处位置和重要程度等方面。b)应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为。【描述】建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并
44、规范资产管理和使用的行为。【检查方法】 应访谈安全主管,询问是否有资产管理的责任人员或部门,由何部门/何人负责。应检查资产安全管理制度,查看是否明确信息资产管理的责任部门、责任人,查看其内容是否覆盖资产使用、借用、维护等方面。8.1.5.3 介质管理 a)应确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理。【描述】数据存储介质主要包括移动硬盘、磁带、光盘、纸介质等,由于存储介质是用来存放系统相关数据的,因此,介质管理工作非常重要,如果管理不善,可能会造成数据的丢失或损坏。应确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理。【检查方法】 应
45、访谈资产管理员,询问介质的存放环境是否采取保护措施防止介质被盗、被毁、介质内存储信息被未授权修改以及非法泄漏等,是否有专人管理。b)应对介质归档和查询等过程进行记录,并根据存档介质的目录清单定期盘点。【描述】应对介质归档和查询等过程进行记录,并根据存档介质的目录清单定期盘点。【检查方法】 应访谈资产管理员,询问是否根据介质的目录清单对介质的使用现状进行定期检查。应检查介质管理记录,查看其是否记录介质的归档、查询和借用等情况。c)应对需要送出维修或销毁的介质,首先清除其中的敏感数据,防止信息的非法泄漏。【描述】应对需要送出维修或销毁的介质,首先清除其中的敏感数据,防止信息的非法泄漏。【检查方法】 应访谈资产管理员,询问对送出维修或销毁的介质在送出之前是否对介质内存储数据进行净化处理。d)应根据所承载数据和软件的重要程度对介质进行分类和标识管理。【描述】应根据所承载数据和软件的重要程度对介质进行分类和标识管理。【检查