信息系统安全等级保护培训-管理安全

信息安全等级保护培训信息安全管理中国金融电子化公司测评中心2013.108:561主要内容1.背景知识介绍2.测评依据、内容及指标3.测评方法和流程4.测评实施5.测评注意事项08:562“三分技术，七分管理”信息安全管理是指在信息系统中对需要人员来参与的活动采取必要的管理控制措施（Control），对信息系统的生命周期全过程实施科学管理（Management）。信息安全管理的定义08:563信息安全技术主要通过在信息系统中合理部署软硬件并正确配置其安全功能实现。信息安全管理主要通过控制与信息系统相关各类人员的活动，采取文档化管理体系，从政策、制度、规范、流程以及记录等方面做出规定实现。技术与管理的区别08:564两者之间既互相独立，又互相关联；确保信息系统安全不可分割的两个部分。技术与管理的联系08:565政策和制度机构和人员信息系统规划管理信息系统设计管理信息系统实施管理信息系统运维管理信息系统废弃管理指导限制监督执行信息系统整个生命周期检查和监督管理管理思路08:566主要内容1.背景知识介绍2.测评依据、内容及指标3.测评方法和流程4.测评实施5.测评注意事项08:567金融行业信息系统信息安全等级保护实施指引(JR/T0071-2012)金融行业信息系统信息安全等级保护测评指南(JR/T0072-2012)测评依据08:568测评内容信息系统金融行业（F）类增强项GB/T22239-2008基本要求修改项GB/T22239-2008基本要求安全技术安全管理安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理物理安全网络安全主机安全应用安全数据安全08:569安全分类安全子类测评项安全管理制度3项7项F类增强项+基本要求修改项基本要求管理制度1项制定和发布4项评审和修订2项汇总安全分类安全子类测评项安全管理制度2项6项安全分类安全子类测评项安全管理制度3项13项测评内容-测评项分布管理制度5项制定和发布1项08:5610安全分类安全子类测评项安全管理机构5项9项安全分类安全子类测评项安全管理机构5项12项F类增强项+基本要求修改项基本要求审核和检测1项岗位设置0项人员配备1项授权和审批3项沟通和合作4项安全分类安全子类测评项安全管理机构共5项共21项汇总审核和检测3项岗位设置5项人员配备2项授权和审批1项沟通和合作1项测评内容-测评项分布08:5611安全分类安全子类测评项人员安全管理5项13项安全分类安全子类测评项人员安全管理3项8项F类增强项+基本要求修改项基本要求人员录用4项人员离岗3项人员考核3项安全意识教育和培训3项安全分类安全子类测评项人员安全管理共5项共21项汇总外部人员访问管理3项人员录用2项安全意识教育和培训3项测评内容-测评项分布08:5612安全分类安全子类测评项系统建设管理11项32项安全分类安全子类测评项系统建设管理8项21项F类增强项+基本要求修改项基本要求安全分类安全子类测评项系统建设管理共11项共53项汇总系统定级4项安全方案设计4项产品采购和使用4项自行软件开发2项外包软件开发4项工程实施2项测试验收1项系统支付3项系统备案3项等级测评4项安全服务商选择1项安全方案设计1项产品采购和使用6项自行软件开发2项外包软件开发1项工程实施1项测试验收4项系统支付3项安全服务商选择3项测评内容-测评项分布08:5613安全分类安全子类测评项系统运维管理11项31项安全分类安全子类测评项系统运维管理11项65项F类增强项+基本要求修改项基本要求安全分类安全子类测评项系统建设管理共13项共96项汇总资产管理4项介质管理5项设备管理4项监控管理和安全管理中心1项网络安全管理2项恶意代码防范管理4项变更管理4项应急预案管理1项环境管理2项环境管理5项介质管理7项设备管理4项网络安全管理14项监控管理和安全管理中心4项备份与恢复管理2项系统安全管理1项系统安全管理8项恶意代码防范管理1项密码管理8项安全事件处置3项安全事件处置4项应急预案管理8项测评内容-测评项分布14主要内容1.背景知识介绍2.测评依据、内容及指标3.测评方法和流程4.测评实施5.测评注意事项08:5615测评人员依据测评依据，对测评检测项通过观察、查验、分析等活动，自评判信息系统安全保护措施是否有效（符合、不符合和不适用）。测评方式-检查08:5616各类文件制度文档操作规程执行记录物理环境基础设施等检测对象08:5617机房安全管理制度网络安全管理制度介质安全管理制度人员离岗管理文档……检测文档列表制度类文档08:5618进出机房的登记记录存储介质归档、查询记录安全事件处置过程记录应急预案演练记录人员保密协议消防检测报告……检测文档列表记录证据类文档08:5619测评信息安全等级保护检测表-举例08:5620测评类测评项测评指标测评结果记录符合情况备注1）人员录用b)应严格规范人员录用过程，对被录用人的身份、背景、专业资格和资质等进行审查，对其所具有的技术技能进行考核；1）人员录用要求管理文档是否说明录用人员应具备的条件，如学历、学位要求等,具体文档名称是什么；若测评指标1）、2）、3）测评结果为是，则此测评项符合情况判定为符合。2）在录用前是否进行技能考核。d)应从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议；1）是否定义关键的岗位；若测评指标1）、2）、3）测评结果为是，则此测评项符合情况判定为符合。若测评指标1）测评结果为否，则此测评项符合情况判定为不适用。2）对从事关键岗位的人员是否从内部人员中选拔；3）是否要求关键岗位人员签署岗位安全协议，提供安全协议。e)对信息安全管理人员应实行备案管理，信息安全管理人员的配备和变更情况，应及时报上一级科技部门备案；1）信息安全管理人员是否实行备案管理；若测评指标1）、2）测评结果为是，则此测评项符合情况判定为符合。2）信息安全管理人员的配备和变更情况，是否及时报上一级科技部门备案。检查是否存在有关的规定、制度或规程文档；检查文档的描述细节是否涉及相关的内容；检查是否存在有关执行过程的记录文件或说明文件（证据）；检查文件的记录内容是否与规定、制度或规程的要求一致。安全管理测评流程基本活动08:5621主要内容1.背景知识介绍2.测评依据、内容及指标3.测评方法和流程4.测评实施5.测评注意事项08:5622测评实施-检测项分布安全管理制度（13）制度和发布5评审和修订2管理制度608:56231.总体方针政策文件、各类管理制度、各种操作规程三类文档；2.三类文档之间的连贯性，管理制度的覆盖；3.管理制度文件的格式、版本、修订记录、各种评审记录以及发放登记记录；4.制定和修订方面的文字具体要求，修订计划，修订流程；5.安全管理制度制定、修订的责任人，具体制定、发布流程；6.安全方针、管理制度、操作规程三层文件形成管理制度文件体系；7.管理制度定期的评审、修订、完善。08:5624测评实施-检测项内容概括实例一【管理制度（f）-基本要求项】测评项：“应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。”测评指标：1)本单位是否形成全面的信息安全管理制度体系；2)制度体系是否由安全政策、管理制度、操作规程等构成。08:5625测评实施-检测项举例实例二【制度和发布（c）-基本要求项】测评项：“应组织相关人员对制定的安全管理制度进行论证和审定。”测评指标：1)安全管理制度的制定程序，是否对制定的安全管理制度进行论证和审定；2)管理制度评审记录是否具有相关人员的评审意见。08:5626测评实施-检测项举例实例三【评审和修订（a）-基本要求项】测评项：“信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。”测评指标：1)是否具有安全管理制度体系的评审记录,具体文档名称是什么；2)是否记录了相关人员的评审意见；08:5627测评实施-检测项举例安全管理岗位（21）岗位设置5人员配备3授权和审批4沟通与合作5审核和检测408:5628测评实施-检测项分布1.查看岗位职责文件了解：安全管理组织构成情况，信息安全领导小组-信息安全管理工作的职能部门-具体岗位，具体职责分工情况；2.机构人员及岗位人员名单，了解各管理员岗位人员配备情况（如安全管理员、系统管理员、网络管理员、文档管理员）；3.对关键岗位的定义；4.根据岗位人员配备名单了解安全管理员是否是专职人员，其他岗位人员配备情况，关键岗位是否配备两人或两人以上；08:5629测评实施-检测项内容概括实例五【人员配备（a）-基本要求修改项】测评项：“应配备一定数量的系统管理员、网络管理员、安全管理员等，并参加相关培训。”测评指标：1)管理人员名单是否明确哪些人员是机房管理员、系统管理员、网络管理员、安全管理员等重要岗位人员的信息；2)各管理人员是否参加相关培训，提供相应培训记录。08:5632测评实施-检测项举例人员安全管理（21）人员录用6人员离岗3人员考核3安全意识教育和培训6外部人员访问管理308:5636测评实施-检测项分布1.录用、离岗、考核、安全意识教育和培训方面的规定；2.安全保密协议和关键岗位的安全协议；3.离岗交接记录；4.安全技术考核记录；5.培训计划和培训记录；6.外部人员访问方面的规定（制度）。08:5637测评实施-检测项内容概括实例十【人员离岗（c）-基本要求项】测评项：“应办理严格的调离手续，关键岗位人员离岗须承诺调离后的保密义务后方可离开。”测评指标：1)人员离岗管理文档中是否规定了调离手续和离岗要求等,查阅相关文档；2)关键岗位人员离岗是否签署承诺调离后的保密义务书，如有离岗人员，提供保密义务书。08:5639测评实施-检测项举例实例十一【人员考核（c）-基本要求项】测评项：“应办理严格的调离手续，关键岗位人员离岗须承诺调离后的保密义务后方可离开。”测评指标：1)是否具有各岗位人员考核记录；2)考核内容是否包含安全知识、安全技能等；查看记录日期与考核周期是否一致；3)记录日期与考核周期是否一致；08:5640测评实施-检测项举例实例十二【安全意识教育和培训（c）-F类增强项】测评项：“应建立系统管理员、网络管理员、软件开发人员和安全管理人员持证上岗制度。”测评指标：1）是否制定系统管理员、网络管理员、软件开发人员和安全管理人员持证上岗制度。08:5641测评实施-检测项举例实例十三【外部人员管理（a）-基本要求修改项】测评项：“各单位科技部门负责非涉密计算机系统和网络相关的外部人员访问授权审批，未经人民银行授权的任何外部人员访问均视为非法入侵行为。”测评指标：1)是否本单位科技部门负责非涉密计算机系统和网络相关的外部人员访问授权审批；2)未经人民银行授权的任何外部人员访问是否视为非法入侵行为。08:5642测评实施-检测项举例系统建设管理（53）安全方案设计5自行软件开发4工程实施3系统交付6等级测评4产品采购和使用10外包软件开发5测试验收5系统备案3安全服务商选择4系统定级408:5643测评实施-检测项分布1.信息系统定级报告；2.未来几年的安全建设规划；3.安全设计方案、工程实施方案；4.软件开发、工程实施、测试验收、系统交付等方面规定；5.产品采购的候选产品名单；6.系统集成建设工程实施过程控制记录、各个阶段产品评审记录；7.测试验收报告、安全性测试报告；08:5644测评实施-检测项内容概括8.系统备案证书；9.等级测评报告；10.安全产品销售许可证复印件；11.与安全服务商签订的保密协议或安全责任书。08:5645测评实施-检测项内容概括（续）实例十四【系统定级（a）-基本要求项】测评项：“应明确信息系统的边界和安全保护等级。”测评指标：1)是否具有定级备案文档。08:5646测评实施-检测项举例实例十五