信息系统安全等级保护 等保测评 安全管理测评

信息系统安全等级保护安全管理测评武汉安域信息安全技术有限公司余少波博士地址：湖北武汉东湖开发区武大园路6号电话：13281151232电邮：caminopro@163.comsuansin@163.com背景知识1测评依据和内容2测评方法和流程3安全管理现场测评实施4内容suansin@163.com1、背景知识安全管理的定义“三分技术，七分管理”安全管理是指在信息系统中对需要人员来参与的活动采取必要的管理控制措施，对信息系统的生命周期全过程实施科学管理。技术和管理的区别安全技术主要通过在信息系统中合理部署软硬件并正确配置其安全功能实现。安全管理主要通过控制与信息系统相关各类人员的活动，采取文档化管理体系，从政策、制度、规范、流程以及记录等方面做出规定实现。技术和管理的联系两者之间既互相独立，又互相关联；确保信息系统安全不可分割的两个部分。suansin@163.com1、背景知识•安全管理结构是指明确领导机构和责任部门。设立或明确信息安全领导机构，明确主管领导，落实责任部门，建立岗位和人员管理制度，根据职责分工，分别设置安全管理机构和岗位，明确每个岗位的职责与任务，落实安全管理责任制suansin@163.com1、背景知识序号安全关注点一级二级三级四级1岗位设置12442人员配备12333授权和审批12444沟通和合作12555审核和检查0144合计492020suansin@163.com1、背景知识•安全管理制度是指确定安全管理策略，制定安全管理制度。确定安全管理目标和安全策略，针对信息系统的各类管理活动，制定人员安全管理制度、系统建设管理制度、系统运维管理制度、定期检查制度等，规范安全管理人员或操作人员的操作规程等，形成安全管理体系suansin@163.com1、背景知识序号安全关注点一级二级三级四级1管理制度13442制定和发布23563评审和修订0124合计371114suansin@163.com1、背景知识•人员安全管理是指加强人员的安全管理。规范人员录用、离岗过程，关键岗位签署保密协议，对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训，对关键岗位的人员进行全面、严格的安全审查和技能考核。对外部人员允许访问的区域、系统、设备、信息等进行控制suansin@163.com1、背景知识序号安全关注点一级二级三级四级1人员录用23+4+42人员离岗233+3+3人员考核01344安全意识教育和培训23+445外部人员访问管理1123合计7111618suansin@163.com1、背景知识•人员安全管理是指加强人员的安全管理。规范人员录用、离岗过程，关键岗位签署保密协议，对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训，对关键岗位的人员进行全面、严格的安全审查和技能考核。对外部人员允许访问的区域、系统、设备、信息等进行控制suansin@163.com1、背景知识序号安全关注点一级二级三级四级1人员录用23+4+42人员离岗233+3+3人员考核01344安全意识教育和培训23+445外部人员访问管理1123合计7111618suansin@163.com1、背景知识•系统建设管理是指加强系统建设过程的管理。制定系统建设相关的管理制度，明确系统定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等内容的管理责任部门、具体管理内容和控制方法，并按照管理制度落实各项管理措施suansin@163.com1、背景知识序号安全关注点一级二级三级四级1系统定级33442安全方案设计34553产品采购13454自行软件开发23565外包软件开发34446工程实施123+47测试验收234+48系统交付23559系统备案003310安全测评0044+11安全服务商选择2333合计20284548suansin@163.com1、背景知识•系统运维管理是指加强系统运维过程的管理。制定系统运维相关的管理制度，明确环境管理、资产管理、介质管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等内容的管理责任部门、具体管理内容和控制方法，并按照管理制度落实各项管理措施suansin@163.com1、背景知识序号安全关注点一级二级三级四级1环境管理34452资产管理12443介质管理246+6+4设备管理24555安全管理中心00336网络安全管理26897系统安全管理36788恶意代码防范13449密码管理011+110变更管理024511备份与恢复管理235612安全事件处置246813应急预案管理0256合计18416270suansin@163.com1、背景知识不同级别之间的区别•管理活动控制点的增加•每个控制点具体管理要求的增多•管理活动的能力逐步加强借鉴能力成熟度模型（CMM）•一级非正式执行•二级计划和跟踪•三级良好定义•四级持续改进suansin@163.com1、背景知识suansin@163.com背景知识1测评依据和内容2测评方法和流程3安全管理现场测评实施4内容suansin@163.com2、测评依据和内容测评依据信息系统安全等级保护基本要求GB/T22239-2008信息系统安全等级保护测评要求（报批稿）信息系统安全等级保护测评过程指南（报批稿）suansin@163.com2、测评依据和内容标准中管理要求形成思路政策和制度机构和人员信息系统规划管理信息系统设计管理信息系统实施管理信息系统运维管理信息系统废弃管理信息系统整个生命周期检查和监督管理限制指导执行监督suansin@163.com2、测评依据和内容标准中管理要求覆盖范围信息系统的生命周期系统规划(定级\规划等)系统设计(设计\开发\采购等)系统实施(安装\配置\测试等)系统运维系统废弃管理人员管理制度组织的使命\目标\战略\政策系统变更管理机构suansin@163.com2、测评依据和内容测评内容-GB/T22239-2008某级系统物理安全技术要求管理要求等级保护要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理suansin@163.com2、测评依据和内容测评内容-GB/T22239-2008安全管理（37）安全管理制度（3）安全管理机构（5）人员安全管理（5）系统建设管理（11）系统运维管理（13）物理安全（10）suansin@163.com2、测评依据和内容测评内容-GB/T22239-2008类1控制点1控制点2……要求项1………………要求项2要求项n要求项1要求项2要求项nsuansin@163.com2、测评依据和内容测评内容-GB/T22239-2008人员安全管理人员录用a)应指定或授权专门的部门或人员负责人员录用；b)……人员离岗人员考核安全意识教育和培训外部人员访问管理类控制点要求项suansin@163.com背景知识1测评依据和内容2测评方法和流程3安全管理现场测评实施4内容suansin@163.com3、评测方法和流程主要测评工具安全管理测评作业指导书物理安全测评作业指导书suansin@163.com3、评测方法和流程测评方式访谈检查suansin@163.com3、评测方法和流程访谈——测评人员通过与信息系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据表明信息系统安全保护措施是否落实的一种方法。在访谈的范围上，应基本覆盖所有的安全相关人员类型，在数量上可以抽样。访谈内容访谈技巧访谈对象访谈作用测评方式-访谈suansin@163.com3、评测方法和流程问题——开放式——非开放式如何管理和控制软件开发文档？是否成立信息安全领导小组？测评方式-访谈-访谈内容suansin@163.com3、评测方法和流程基于作业指导书开展访谈对象的选择，覆盖适当的层次和职能访谈应在正常工作时间和工作地点说明访谈和做记录的原因访谈可从请对方描述其工作开始尽量避免提出有倾向性答案的问题感谢对方的配合测评方式-访谈-访谈技巧suansin@163.com3、评测方法和流程安全主管系统建设负责人人事负责人系统运维负责人物理安全负责人系统管理员、网络管理员、安全管理员、机房值班人员、资产管理员等测评方式-访谈-访谈对象suansin@163.com3、评测方法和流程安全主管主要针对一些机构信息安全方面的上层、顶层问题进行广泛式提问，包括机构安全管理制度体系的构成、部门的设置等；主要集中在：安全管理制度、安全管理机构。各方面负责人（物理安全、人事、系统建设、系统运维）主要针对机构信息安全各个具体方面的问题进行总体式提问主要集中在：人员安全管理、系统建设管理、系统运维管理、物理安全测评方式-访谈-访谈对象各类管理人员（系统安全管理员、网络安全管理员等）主要针对具体的信息安全问题进行针对式提问，深入了解系统在某一特定方面的具体安全措施如何落实。suansin@163.com3、评测方法和流程在安全管理测评中：作用一：了解相关管理方面的情况，作为下一步测评工作的基础；作用二：访谈结果作为判断与其他几种测评方式所得到证据是否一致；作用三：作为相关管理方面实现要求与否的直接证据；测评方式-访谈-访谈作用suansin@163.com3、评测方法和流程作用三例：要求“应根据系统的安全级别选择基本安全措施，依据风险分析的结果补充和调整安全措施；”测评实施：应访谈系统建设负责人，询问系统选择基本安全措施的依据，是否依据安全保护等级选择，是否依据风险分析的结果补充和调整安全措施，做过哪些调整。测评方式-访谈-访谈作用suansin@163.com3、评测方法和流程检查——不同于行政执法意义上的监督检查，是指测评人员通过对测评对象进行观察、查验、分析等活动，获取证据以证明信息系统安全保护措施是否有效的一种方法。测评方式-检查suansin@163.com3、评测方法和流程文档查看现场察看测评方式-检查-检查方式suansin@163.com3、评测方法和流程各类文件制度文档操作规程执行记录物理环境基础设施等测评方式-检查-检查对象suansin@163.com3、评测方法和流程“一对一”：通过访谈获得肯定答案，通过检查验证访谈结果。“多对一”：访谈内容总体性，多个检查操作验证。“一对无”：直接访谈或检查，单一结果。层层递进、共同体现、综合分析、把握核心。测评方式-检查-检查与访谈关系suansin@163.com3、评测方法和流程测评工作前期准备-现场检查文档列表制度类文档机房安全管理制度网路安全管理制度介质安全管理制度人员离岗管理文档……记录和证据类文档进出机房的登记记录存储介质归档、查询记录安全事件处置过程记录应急预案演练记录人员保密协议消防检测报告……suansin@163.com3、评测方法和流程测评工作前期准备-现场检查文档列表文档类别文档要求文档名称备注制度类机房安全管理制度人员离岗要求管理文档………………记录和证据类文档机房出入登记记录安全事件处置过程记录………………suansin@163.com3、评测方法和流程测评工作前期准备-现场配合人员名单几点说明根据角色分工，明确其熟知的安全控制点，确定访谈配合人员以配合人员为主，根据对其访谈内容的多少，估算大约占用对方的时间，以便其明确具体时间安排主要角色配合人员访谈/配合事项时间安排备注物理安全负责人机房物理位置选择、防雷、防火、综合布线、防水和防潮、温湿度控制防尘电力供应、防静电、电磁防护安全主管安全管理制度体系、制度制修订、岗位设置和人员配备、沟通和合作、授权和审批、审核和检查…….…………………………suansin@163.com3、评测方法和流程测评工作前期准备-文档交接单根据各单位内部管理程序自行设计明确的基本信息包括：交接文档名称文档密级归还日期、接收日期提交接收人签名、归还接收人签名等等suansin@163.com3、评测方法和流程采用一定的“测评方式”通过执行一些活动，了