07-物理安全和安全管理测评-初级管理

信息安全等级测评师培训信息安全等级测评师培训安全管理测评、物理安全测评主讲人：陈雪秀讲陈秀1授课目的授课目的通过本次授课，使学员熟悉并掌握现场通过本次授课，使学员熟悉并掌握现场测评（安全管理、物理安全）的测评操作内容及测评注意事项，使之能够独立而正确的开展现场测评工作，从而达到初级测评师的安全管理测评能力。2授课内容授课内容背景知识背景知识测评依据和内容测评方法和流程安全管理现场测评实施物理安全现场测评实施3背景知识背景知识安全管理的定义安全管理的定义技术和管理的区别技术和管理的联系4背景知识背景知识--安全管理的定义安全管理的定义“三分技术，七分管理”安全管理是指在信息系统中对需要人员来参与的活动采取必要的管理控制措施，对信息系统的生命周期全过程实施科学管理的生命周期全过程实施科学管理。5背景知识背景知识--技术和管理的区别技术和管理的区别安全技术主要通过在信息系统中合理部署安全技术主要通过在信息系统中合理部署软硬件并正确配置其安全功能实现。安全管理主要通过控制与信息系统相关各类人员的活动，采取文档化管理体系，从政策、制度、规范、流程以及记录等方面做出规定实现做出规定实现。6背景知识背景知识--技术和管理的联系技术和管理的联系两者之间既互相独立，又互相关联；两者之间既互相独立，又互相关联；确保信息系统安全不可分割的两个部分。7授课内容授课内容背景知识背景知识测评依据和内容测评方法和流程安全管理现场测评实施物理安全现场测评实施8测评依据测评依据信息系统安全等级保护基本要求GB/T信息系统安全等级保护基本要求/22239-2008信息系统安全等级保护测评要求（报批稿）稿）信息系统安全等级保护测评过程指南信息系统安全等级保护测评过程指南（报批稿）9（报批稿）测评依据测评依据--标准中管理要求形成思路标准中管理要求形成思路指导限制政策和制度指导执行监督机构和人员信息系统规划管理信息系统设计管理检查和监信息系统信息系统实施管理监督管理统整个生信息系统运维管理信息系统废弃管理理生命周期10信息系统废弃管理测评内容测评内容--GB/T22239GB/T22239--20082008某等级信息系统等级保护要求安全技术安全管理物网应安全安全人员系统系统数主物理安全网络安全应用安全全管理机全管理制员安全管统建设管统运维管数据安全主机安全11全全全机构制度管理管理管理全全测评内容测评内容--GB/T22239GB/T22239--20082008--续续安全管理（37）安全管理制度（3）安全管理机构（5）安全管理机构（5）人员安全管理（5）系统建设管理（11）系统运维管理（13）系统运维管理（13）物理安全（10）12测评内容测评内容--GB/T22239GB/T22239--20082008--续续类1控制点2控制点1…………要求项要求项要求项要求项要求项要求项………………项1项2项2项1项n项n13测评内容测评内容--GB/T22239GB/T22239--20082008--续续人员安全管理类人员录用a)应指定或授权专门的部门或人员负责人员录用；控制点要求项a)应指定或授权专门的部门或人员负责人员录用；b)……人员离岗要求项人员离岗人员考核安全意识教育和培训外部人员访问管理14外部人员访问管理授课内容授课内容背景知识背景知识测评依据和内容测评方法和流程安全管理现场测评实施物理安全现场测评实施15测评方法和流程测评方法和流程主要测评工具主要测评工具测评方式测评工作前期准备现场测评流程16测评方法和流程测评方法和流程--主要测评工具主要测评工具安全管理测评作业指导书安全管理测评作业指导书物理安全测评作业指导书17测评方法和流程测评方法和流程--测评方式测评方式访谈访谈检查18测评方式测评方式--访谈访谈访谈——测评人员通过与信息系统有关人访谈测评人员通过与信息系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据表明信息系统安全保护措施是否落实的种方法在访谈的范围上是否落实的一种方法。在访谈的范围上，应基本覆盖所有的安全相关人员类型在应基本覆盖所有的安全相关人员类型，在数量上可以抽样。19数可以抽样。测评方式测评方式--访谈访谈访谈内容访谈内容访谈技巧访谈对象访谈作用20测评方式测评方式--访谈访谈--访谈内容访谈内容问题——开放式——非开放式问题开放式非开放式如何管理和控制是否成立软件开发文档？信息安全领导小组？21测评方式测评方式--访谈访谈--访谈技巧访谈技巧基于作业指导书开展访谈对象的选择，覆盖适当的层次和职能访谈应在正常工作时间和工作地点访谈应在正常工作时间和工作地点说明访谈和做记录的原因说明访谈和做记录的原因访谈可从请对方描述其工作开始尽量避免提出有倾向性答案的问题感谢对方的配合22感谢对方的配合测评方式测评方式--访谈访谈--访谈对象访谈对象访谈对象：安全主管系统建设负责人系统建设负责人人事负责人系统运维负责人物理安全负责人物理安全负责人系统管理员、网络管理员、安全管理员、机房值班23人员、资产管理员等测评方式测评方式--访谈访谈--访谈对象访谈对象安全主管安全主管主要针对一些机构信息安全方面的上层、顶层问题进行广泛式提问，包括机构安全管理制度体系的构成部门的设置等制度体系的构成、部门的设置等；主要集中在：安全管理制度、安全管理机构。主要集中在：安全管理制度、安全管理机构。24测评方式测评方式--访谈访谈--访谈对象访谈对象各方面负责人（物理安全、人事、系统各方面负责人（物理安全、人事、系统建设、系统运维）主要针对机构信息安全各个具体方面的问题进行总体式提问主要集中在：人员安全管理系统建设管理主要集中在：人员安全管理、系统建设管理、系统运维管理、物理安全25测评方式测评方式--访谈访谈--访谈对象访谈对象各类管理人员（系统安全管理员、网络各类管理人员（系统安全管理员、网络安全管理员等）主要针对具体的信息安全问题进行针对式提问，深入了解系统在某一特定方面的具体安全措施如何落实全措施如何落实。26测评方式测评方式--访谈访谈--访谈作用访谈作用在安全管理测评中：在安全管理测评中作用一：了解相关管理方面的情况，作为下一步测评工作的基础；作用二：访谈结果作为判断与其他几种测评作用二：访谈结果作为判断与其他几种测评方式所得到证据是否一致；作用三：作为相关管理方面实现要求与否的直接证据；27直接证据；测评方式测评方式--访谈访谈--访谈作用访谈作用作用三例：作用例要求要求““应根据系统的安全级别选择基本安全措施，依据风险分析的结果补充和调整安全措施””风险分析的结果补充和调整安全措施；；””测评实施：应访谈系统建设负责人，询问系统选择基本安全措施的依据，是否依据安全保护等级选择，是否依据施的依据，是否依据安全保护等级选择，是否依据风险分析的结果补充和调整安全措施，做过哪些调整28整。测评方式测评方式访谈访谈检查29测评方式测评方式--检查检查检查——不同于行政执法意义上的监督检查不同于行政执法意义上的监督检查，是指测评人员通过对测评对象进行观察、查验、分析等活动，获取证据以证明信息系统安全保护措施是否有效的一种方法。30测评方式测评方式--检查检查检查方式检查方式检查对象检查与访谈的关系31测评方式测评方式--检查检查--检查方式检查方式文档查看文档查看现场察看32测评方式测评方式--检查检查--检查对象检查对象各类文件各类文件制度文档操作规程执行记录执行记录物理环境物理环境基础设施等33础设施等测评方式测评方式--检查检查--检查与访谈关系检查与访谈关系“一对一”：通过访谈获得肯定答案，通过检查验证访谈结果。“多对一”：访谈内容总体性，多个检查操作验证。“一对无”：直接访谈或检查，单一结果。34测评方式测评方式--检查检查--检查与访谈关系检查与访谈关系层层递进、共同体现、综合分析、把握核层层递进、共同体现、综合分析、把握核层层递进、共同体现、综合分析、把握核层层递进、共同体现、综合分析、把握核心。心。35测评方法和流程测评方法和流程主要测评工具主要测评工具测评方式测评工作前期准备测评流程36测评工作前期准备测评工作前期准备现场检查文档列表现场配合人员名单文档交接单现场测评工具准备现场测评工具准备37测评工作前期准备测评工作前期准备--现场检查文档列表现场检查文档列表制度类文档机房安全管理制度网路安全管理制度网路安全管理制度介质安全管理制度人员离岗管理文档……38测评工作前期准备测评工作前期准备--现场检查文档列表现场检查文档列表--续续记录和证据类文档进出机房的登记记录存储介质归档查询记录存储介质归档、查询记录安全事件处置过程记录应急预案演练记录人员保密协议消防检测报告39……测评工作前期准备测评工作前期准备--现场检查文档列表现场检查文档列表--续续文档类别文档要求文档名称备注别制度类机房安全管理制度人员离岗要求管理文档…….…….…….记录和证据类机房出入登记记录证据类文档安全事件处置过程记录40…….…….…….测评工作前期准备测评工作前期准备--现场配合人员名单现场配合人员名单主要角色配合人员访谈/配合事项时间安排备注角色人员安排物理安全负责机房物理位置选择、防雷、防火、综合布线、防水和防潮、温湿度控制防尘电力供应负责人温湿度控制、防尘、电力供应、防静电、电磁防护安全主管安全管理制度体系、制度制修订岗位人备沟主管订、岗位设置和人员配备、沟通和合作、授权和审批、审核和检查…….…….…….…….…….…….41续续几点说明根据角色分工，明确其熟知的安全控制点，确定访谈配合人员访谈配合人员以配合人员为主，根据对其访谈内容的多少，估算大约占用对方的时间，以便其明确具体时间安排排42测评工作前期准备测评工作前期准备--文档交接单文档交接单根据各单位内部管理程序自行设计明确的基本信息包括：交接文档名称文档密级文档密级归还日期、接收日期提交接收人签名归还接收人签名提交接收人签名、归还接收人签名等等43测评工作前期准备测评工作前期准备--现场测评工具准备现场测评工具准备安全管理测评作业指导书开发物理安全测评作业指导书开发44现场测评工具准备现场测评工具准备--安全管理测评作业指导书开发安全管理测评作业指导书开发测评项安全管理要求项测评方式检查和访谈测评对象人员文档测评对象人员、文档测评实施测评方式+对象+活动/操作采用一定的“测评方式”通过执行一些活动，了解“测评对象”对要求项/测评项的实现情况，从而构成了测评对象对要求项/测评项的实现情况，从而构成了测评实施方法45《信息系统安全等级保护测评要求》的管理部分续续（示例）安全管理机构序号测评指标测评项测评方法结果记录1岗位设置应设置安全访谈相关负责人询问是否设置安全主管1岗位设置应设置安全主管、安全管理各方面的负责人岗访谈相关负责人，询问是否设置安全主管及安全管理各方面负责人岗位，具体岗位有哪些？的负责人岗位，定义各负责人职责；检查岗位职责文件，查看是否明确安全主管及安全管理各方面负责人的岗位，是否明确具体职责。测评项2测评项3462测评指标2测评项1续续作业指导书开发基本步骤第一步：从《基本要求》中选择“控制点”（测评指标）和“要求项”（测评项）；标）和要求项（测评项）；第二步:从《测评要求》中选择“测评方法”；第三步:结合信息系统实际情况调整“测评方法”；第四步:形成最终作业指导书。第四步形成最终作业指导书。47测评工作前期准备测评工作前期准备--现场测评工具准备现场测评工具准备安全管理测评作业指导书开发物理安全测评作业指导书开发48现场测评工具准备现场测评工具准备--物理安全测评作业指导书开发物理安全