等级保护三级管理测评
等级保护安全管理中心三级通用测评项要求解读
安全管理中心按照“一个中心,三重防御”的纵深防御思想,安全管理中心就是纵深防御体系的大脑,即通过安全管理中心实现技术层面的系统管理、审计管理和安全管理,同时对高级别的等级保护对象进行集中管控。
这里的安全管理中心既不是一个机构,也不是一个产品,而是一个技术管控枢纽,通过管理区域实现管理,并通过技术工具实现一定程度上的集中管理。
安全管理中心针对整个系统提出了安全管理方面的技术控制要求,通过技术手段实现集中管理,涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控。
1系统管理系统管理是由系统管理员实施的。
系统管理可以对每个设备单独进行管理,也可以通过统一的管理平台集中管理。
系统管理主要关注是否对系统管理员进行身份鉴别、是否只允许系统管理员通过特定的命令或操作界面进行系统管理操作、是否对系统管理操作进行审计。
系统管理的主要目的是确保系统管理操作的安全性。
1.1应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计应对系统管理员进行身份认证并严格限制系统管理员账户的管理权限,仅允许系统管理员通过特定的方式进行系统管理操作,并对所有操作进行详细的审计。
1.2应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等系统管理操作应由系统管理员完成,其管理和操作内容应有别于审计管理员和安全管理员。
2审计管理审计管理是由审计管理员实施的。
审计管理可以对每个设备单独进行管理,也可以通过统一的日志审计平台集中管理。
审计管理主要关注是否对审计管理员进行身份鉴别、是否只允许审计管理员通过特定的命令或操作界面进行审计管理操作、是否对审计管理操作进行审计。
审计管理的主要目的是确保审计管理操作的安全性。
2.1应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计应对审计管理员进行身份认证并严格限制审计管理员账户的管理权限,仅允许审计管理员通过特定的方式进行审计管理操作,并对所有操作进行详细的审计。
安全等保三级测评 流程
安全等保三级测评流程一、引言随着信息技术的快速发展,信息安全问题日益突出。
为了保障信息系统的安全稳定运行,我国实施了信息安全等级保护制度。
安全等保三级是国家信息安全等级保护体系中的较高级别,适用于涉及国家安全、社会秩序、公共利益的重要信息系统。
本文将详细介绍安全等保三级测评的流程。
二、测评准备1.确定测评对象:明确需要测评的信息系统及其所属的安全保护等级。
2.选择测评机构:选择具有相应资质和经验的测评机构进行测评。
3.签订测评合同:与测评机构签订正式的测评合同,明确双方的权利和义务。
三、测评实施1.初步调查:测评机构对测评对象进行初步调查,了解其基本情况、业务功能、系统架构、安全措施等。
2.制定测评方案:根据初步调查结果,制定详细的测评方案,包括测评范围、测评方法、测评工具等。
3.现场测评:按照测评方案,对测评对象进行现场测评,包括技术和管理两个方面的检查。
技术方面主要检查信息系统的物理安全、网络安全、数据安全等;管理方面主要检查安全管理制度、安全管理机构、人员安全管理等。
4.分析测评结果:对现场测评收集的数据进行分析,评估测评对象的安全保护能力是否符合安全等保三级的要求。
5.编写测评报告:根据分析结果,编写详细的测评报告,包括测评概述、测评结果、风险分析、改进建议等。
四、结果反馈与整改1.结果反馈:将测评报告提交给信息系统的所有者或管理者,并对其进行解读和说明。
2.整改建议:根据测评报告中发现的问题和不足,提出具体的整改建议和措施。
3.整改实施:信息系统的所有者或管理者按照整改建议进行整改,提高信息系统的安全保护能力。
4.复查验收:在整改完成后,测评机构对整改结果进行复查验收,确保问题得到有效解决。
五、总结与展望安全等保三级测评流程是保障重要信息系统安全稳定运行的关键环节。
通过本文所介绍的流程,可以对信息系统进行全面、深入的安全检查,及时发现并解决潜在的安全风险和问题。
在未来的工作中,我们应继续加强对安全等保三级测评流程的研究和实践,不断完善和优化流程,提高测评效率和准确性,为保障我国重要信息系统的安全稳定运行贡献力量。
等级保护三级管理系统测评
应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。
网络安全管理
70.
应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作。
访谈,检查。
安全主管,安全管理员,网络管理员,网络漏洞扫描报告,网络安全管理制度,系统外联授权书,网络设备备份配置文件,网络审计日志。
三级管理要求(S3A3G3)
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
岗位设置
1.
应设立信息安全管理工作的职能部门,设立安全主管人、安全管理各个方面的负责人岗位,定义各负责人的职责。
访谈,检查。安全主管,安全管理某方面的负责人,部门、岗位职责文件。
2.
应设立系统管理人员、网络管理人员、安全管理人员岗位,定义各个工作岗位的职责。
3.
应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权。
4.
应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
人员配备
5.
应配备一定数量的系统管理员、网络管理员、安全管理员等。
访谈,检查。安全主管,人员配备要求的相关文档,管理人员名单。
79.
应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补。
80.
应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装。
81.
应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定。
等级保护安全管理机构三级通用测评项要求解读
安全管理机构安全管理的重要实施条件就是有一个统一指挥、协调有序、组织有力的安全管理机构,这是网络安全管理得以实施、推广的基础。
通过构建从单位最高管理层到执行层及具体业务运营层的组织体系,可以明确各个岗位的安全职责,为安全管理提供组织上的保证。
安全管理机构针对整个管理组织架构提出了安全控制要求,涉及的安全控制点包括岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。
1岗位设置为保证安全管理工作的有效实施,应设立指导和管理网络安全工作的委员会或领导小组及负责网络安全管理工作的职能部门,并以文件的形式明确安全管理机构各个部门和岗位的职责、分工和技能要求。
其中,设置的岗位应包括安全主管、安全管理各方面的负责人、与系统安全管理有关的角色等,例如安全管理员、系统管理员、网络管理员等。
1.1应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权为保证安全管理工作的有效实施,应成立指导和管理网络安全工作的委员会或领导小组。
指导和管理网络安全工作的委员会或领导小组负责单位网络安全管理的全局工作,是单位网络安全组织的最高管理层。
在一般情况下,一个机构成立了指导和管理网络安全工作的委员会或领导小组,均需正式发文通告。
通常应在单位内部结构的基础上建立一整套从单位最高管理层(网络安全领导小组并由单位最高领导委任或授权)到执行管理层(网络安全管理职能部门及安全主管)及系统日常运营层(系统管理员、网络管理员、安全管理员等)的三层及金字塔式管理结构来约束和保证各项安全管理措施的执行。
网络安全领导小组的主要职责包括对安全管理制度体系合理性和适用性的审定、对单位内关键网络安全工作进行授权和审批等,最重要的是负责单位网络安全管理的全局工作。
网络安全管理职能部门的主要职责包括单位内重要网络安全管理工作的授权和审批、相关业务部门和安全管理部门之间的沟通协调、与外部单位的合作、定期对系统的安全措施落实情况进行检查,以便发现问题并进行改进。
2023等保三级测评标准
2023等保三级测评标准简介2023年等级保护测评标准(以下简称“等保三级标准”)是根据国家网络安全等级保护的要求,为评估和测定网络安全保护能力而制定的标准。
等保三级标准是我国网络安全行业的重要参考依据,对于提升网络安全保护水平和防范网络安全威胁具有重要意义。
标准要求等保三级标准包括六个方面的要求,分别为:物理安全、主机安全、网络安全、应用安全、数据安全和管理安全。
物理安全物理安全是指防止物理设备和资源遭受不恰当访问、破坏和干扰的措施。
等保三级标准要求加强物理安全管理,包括安全围墙、门禁系统、监控设备等控制措施的建设和运维。
主机安全主机安全是指保护主机资源免受未经授权的访问和破坏的控制措施。
等保三级标准要求加强主机安全管理,包括操作系统安全、软件安全更新、远程登录管理等方面的要求。
网络安全网络安全是指保护网络免受未经授权的访问和攻击的控制措施。
等保三级标准要求加强网络安全管理,包括网络边界防护、入侵检测与防御系统、虚拟专用网络等方面的要求。
应用安全应用安全是指保护应用程序免受未经授权的访问和攻击的控制措施。
等保三级标准要求加强应用安全管理,包括代码审查、访问控制、漏洞扫描等方面的要求。
数据安全数据安全是指保护重要数据免受泄露、篡改和毁坏的控制措施。
等保三级标准要求加强数据安全管理,包括数据备份与恢复、加密传输、权限管理等方面的要求。
管理安全管理安全是指保护信息系统运营过程中的管理活动不被未经授权的个人或实体干扰和破坏的控制措施。
等保三级标准要求加强管理安全管理,包括安全培训、安全策略与规程、事件响应等方面的要求。
实施步骤根据等保三级标准,组织需要按照以下步骤进行测评实施: 1. 准备工作:明确测评的目标,组织相关人员和资源,制定测试计划和时间表。
2. 测评准备:完成测评相关的文档准备、设备配置和网络环境准备。
3. 测评执行:根据标准要求,依次对物理安全、主机安全、网络安全、应用安全、数据安全和管理安全进行测评。
等保三级测评内容详解
等保三级测评内容详解标题:等保三级测评内容详解简介:等保三级测评是指对信息系统等级保护实施的一种评价和测试,是在信息系统等级保护评估的基础上,对实施等级保护的信息系统进行综合评估和测试。
本文将深入探讨等保三级测评的内容,包括测评目标、评估要求、测评方法和总结回顾,以帮助您更全面、深刻地理解等保三级测评。
一、测评目标等保三级测评的目标是评价和测试信息系统在等级保护实施过程中的安全性、稳定性和合规性,以发现系统存在的安全漏洞和隐患,为进一步提升系统等级保护水平提供科学数据支持。
二、评估要求等保三级测评的评估要求主要包括以下几个方面:1. 安全管理要求:评估信息系统是否建立了完备的安全管理机制,包括安全策略、安全组织、安全人员、安全培训等。
2. 安全技术要求:评估信息系统是否采用了先进的安全技术手段,包括身份认证、访问控制、加密技术、漏洞管理等。
3. 安全保障要求:评估信息系统是否实施了全面的安全保障措施,包括物理环境保护、应急响应、安全审计、风险管理等。
三、测评方法等保三级测评的方法主要包括以下几个步骤:1. 需求分析:根据等级保护要求,确定测评对象和测评范围。
2. 数据收集:收集与测评对象相关的信息和数据,包括系统配置信息、安全策略文件、日志记录等。
3. 风险评估:通过风险评估方法,对系统风险进行评估和分类。
4. 安全测试:根据评估要求,进行系统漏洞扫描、渗透测试、密码破解等安全测试活动。
5. 安全评估:评估系统的安全性、稳定性和合规性,分析系统中存在的安全漏洞和隐患。
6. 结果报告:撰写测评结果报告,包括系统安全现状、存在的问题和建议的改进建议。
总结回顾:通过等保三级测评,可以全面评估信息系统的安全性、稳定性和合规性,为进一步提升系统等级保护水平提供科学数据支持。
在评估过程中,需要关注安全管理要求、安全技术要求和安全保障要求,并运用需求分析、数据收集、风险评估、安全测试和安全评估等方法。
通过测评结果报告,可以了解系统的安全现状、存在的问题和改进方案,为系统的持续改进提供指导。
等保测评3级-技术测评要求
技术测评要求(S3A3G3) 等级保护三级技术类测评控制点(S3A3G3)类别序号测评内容测评方法结果记录符合情况Y N物理安全物理位置的选择1.机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
(G2)访谈,检查。
物理安全负责人,机房,办公场地,机房场地设计/验收文档。
2.机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
(G3)物理访问控制3.机房出入口应安排专人值守,控制、鉴别和记录进入的人员。
(G2)访谈,检查。
物理安全负责人,机房值守人员,机房,机房安全管理制度,值守记录,进入机房的登记记录,来访人员进入机房的审批记录。
4.需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
(G2)5.应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域。
(G3)6.重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
(G3)防盗窃和防破坏7.应将主要设备放置在机房内。
(G2)访谈,检查。
物理安全负责人,机房维护人员,资产管理员,机房设施,设备管理制度文档,通信线路布线文档,报警设施的安装测试/验收报告。
8.应将设备或主要部件进行固定,并设置明显的不易除去的标记。
(G2)9.应将通信线缆铺设在隐蔽处,可铺设在地下或管道中。
(G2)10.应对介质分类标识,存储在介质库或档案室中。
(G2)11.应利用光、电等技术设置机房防盗报警系统。
1 / 13等级保护三级技术类测评控制点(S3A3G3)类别序号测评内容测评方法结果记录符合情况Y N(G3)12.应对机房设置监控报警系统。
(G3)防雷击13.机房建筑应设置避雷装置。
(G2)访谈,检查。
物理安全负责人,机房维护人员,机房设施(避雷装置,交流电源地线),建筑防雷设计/验收文档。
14.应设置防雷保安器,防止感应雷。
(G3)15.机房应设置交流电源地线。
(G2)防火16.机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。
等保2.0管理测评文档清单(三级)
包括备份和冗余设备
明确维护人员的责任、维修和服务的审批、维修过程 的监督控制管理等
设备带离机房或办公地点的申报材料或审批记录
描述存在的漏洞、严重级别、原因分析和改进意见等 方面
具有安全整改应对措施文档
明确要求对网络和系统管理员用户进行分类,并定义 各个角色的责任和权限(比如:划分不同的管理角 色,系统管理权限与安全审计权限分离等)
需主管领导的批准签字
此处可举一个重要系统变更的案例
规定变更失败后的恢复流程
具有定期备份的重要业务信息、系统数据、软件系统 的列表或清单
备份方式、备份频度、存储介质和保存期等方面内容
覆盖数据的存放场所、文件命名规则、介质替换频率 、数据离站传输方法等方面 系统已发生的和需要防止发生的安全事件类型,明确 安全事件的现场处理、事件报告和后期恢复的管理职 责 记录引发安全事件的系统弱点、不同安全事件发生的 原因、处置过程、经验教训总结、补救措施等内容; 根据不同安全事件制定不同的处理和报告程序,明确 具体报告方式、报告内容、报告人等方面内容 覆盖启动应急预案的条件、应急处理流程、系统恢复 流程、事后教育和培训等方面 根据应急预案框架制定重要事件的应急预案(如针对 机房、系统、网络等各个层面)
11
外联单位联系列表
12
日常安全检查记录
审核和检查
13
审核和检查 全面安全检查记录
14
安全检查时的安全检查表、安全检查记录 和结果通告记录
15
人员安全管理文档
16
人员录用审查记录
17
人员录用
人员录用时的技能考核文档或记录
18
保密协议
19
岗位安全协议
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
三级管理要求(S3A3G3)等级保护三级管理类测评控制点(S3A3G3)类别序号测评内容测评方法结果记录符合情况Y N O安全管理机构岗位设置1.应设立信息安全管理工作的职能部门,设立安全主管人、安全管理各个方面的负责人岗位,定义各负责人的职责。
访谈,检查。
安全主管,安全管理某方面的负责人,部门、岗位职责文件。
2.应设立系统管理人员、网络管理人员、安全管理人员岗位,定义各个工作岗位的职责。
3.应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权。
4.应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
人员配备5.应配备一定数量的系统管理员、网络管理员、安全管理员等。
访谈,检查。
安全主管,人员配备要求的相关文档,管理人员名单。
6.应配备专职安全管理员,不可兼任。
7.关键事务岗位应配备多人共同管理。
授权和审批8.应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。
访谈,检查。
安全主管,关键活动的批准人,审批事项列表,审批文档。
9.应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度。
10.应定期审查审批事项,及时更新需授权和审批的项目、等级保护三级管理类测评控制点(S3A3G3)类别序号测评内容测评方法结果记录符合情况Y N O审批部门和审批人等信息。
11.应记录审批过程并保存审批文档。
沟通和合作12.应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,定期或不定期召开协调会议,共同协作处理信息安全问题。
访谈,检查。
安全主管,安全管理人员,会议文件,会议记录,外联单位说明文档。
` 13.应加强与兄弟单位、公安机关、电信公司的合作与沟通。
14.应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。
15.应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息。
16.应聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等。
审核和检查17.安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
访谈,检查。
安全主管,安全员,安全检查记录。
18.应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。
19.应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。
等级保护三级管理类测评控制点(S3A3G3)类别序号测评内容测评方法结果记录符合情况Y N O20.应制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。
安全管理制度管理制度21.应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等。
访谈,检查。
安全主管,总体方针、政策性文件和安全策略文件,安全管理制度清单,操作规程。
22.应对安全管理活动中的各类管理内容建立安全管理制度。
23.应对要求管理人员或操作人员执行的日常管理操作建立操作规程。
24.应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。
制定和发布25.应指定或授权专门的部门或人员负责安全管理制度的制定。
访谈,检查。
安全主管,制度制定和发布要求管理文档,评审记录,安全管理制度。
26.安全管理制度应具有统一的格式,并进行版本控制。
27.应组织相关人员对制定的安全管理制度进行论证和审定。
28.安全管理制度应通过正式、有效的方式发布。
29.安全管理制度应注明发布范围,并对收发文进行登记。
评审和修订30.信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。
访谈,检查。
安全主管,安全管理制度列表,评审记录。
31.应定期或不定期对安全管理制度进行检查和审定,对等级保护三级管理类测评控制点(S3A3G3)类别序号测评内容测评方法结果记录符合情况Y N O存在不足或需要改进的安全管理制度进行修订。
人员安全管理人员录用32.应指定或授权专门的部门或人员负责人员录用。
访谈,检查。
人事负责人,人事工作人员,人员录用要求管理文档,人员审查文档或记录,考核文档或记录,保密协议。
33.应严格规范人员录用过程,对被录用人的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核。
34.应签署保密协议。
35.应从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议。
人员离岗36.应严格规范人员离岗过程,及时终止离岗员工的所有访问权限。
访谈,检查。
安全主管,人事工作人员,安全处理记录,保密承诺文档。
37.应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。
38.应办理严格的调离手续,关键岗位人员离岗须承诺调离后的保密义务后方可离开。
人员考核39.应定期对各个岗位的人员进行安全技能及安全认知的考核。
访谈。
安全主管,人事工作人员。
40.应对关键岗位的人员进行全面、严格的安全审查和技能考核。
41.应对考核结果进行记录并保存。
安全意识42.应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。
访谈,检查。
安全主管,安全员,系统管理员,网络管理员,培训计划,培训等级保护三级管理类测评控制点(S3A3G3)类别序号测评内容测评方法结果记录符合情况Y N O教育和培训43.应对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进行惩戒。
记录.44.应对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训。
45.应对安全教育和培训的情况和结果进行记录并归档保存。
外部人员访问管理46.应确保在外部人员访问受控区域前先提出书面申请,批准后由专人全程陪同或监督,并登记备案。
访谈,检查。
安全主管,安全管理人员,安全责任合同书或保密协议,第三方人员访问管理文档,登记记录。
47.对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定,并按照规定执行。
系统运维管理环境管理48.应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理。
访谈,检查。
物理安全负责人,机房安全管理制度,机房进出登记表。
49.应指定部门负责机房安全,并配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理。
50.应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定。
51.应加强对办公环境的保密性管理,规范办公环境人员行为,包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏等级保护三级管理类测评控制点(S3A3G3)类别序号测评内容测评方法结果记录符合情况Y N O感信息的纸档文件等。
资产管理52.应编制并保存与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。
访谈,检查。
安全主管,资产管理员,资产清单,资产安全管理制度,设备。
53.应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为。
54.应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施。
55.应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。
介质管理56.应建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定。
访谈,检查。
资产管理员,介质管理记录,各类介质。
57.应确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理。
58.应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,对介质归档和查询等进行登记记录,并根据存档介质的目录清单定期盘点。
59.应对存储介质的使用过程、送出维修以及销毁等进行严格的管理,对带出工作环境的存储介质进行内容加密和监控管理,对送出维修或销毁的介质应首先清除介质中的敏感数据,对保密性较高的存储介质未经批准不得自行销毁。
等级保护三级管理类测评控制点(S3A3G3)类别序号测评内容测评方法结果记录符合情况Y N O60.应根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同。
61.应对重要介质中的数据和软件采取加密存储,并根据所承载数据和软件的重要程度对介质进行分类和标识管理。
设备管理62.应对信息系统相关的各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理访谈,检查。
资产管理员,系统管理员,审计员,服务器操作规程,设备审批、发放管理文档,设备使用管理文档,服务器操作日志。
63.应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理。
64.应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等。
65.应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现主要设备(包括备份和冗余设备)的启动/停止、加电/断电等操作。
66.应确保信息处理设备必须经过审批才能带离机房或办公地点。
监控管理67.应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,形成记访谈,检查。
系统运维负责人,监测记录文档,等级保护三级管理类测评控制点(S3A3G3)类别序号测评内容测评方法结果记录符合情况Y N O和安全管理中心(G3 )录并妥善保存。
监测分析报告,安全管理中心。
68.应组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要的应对措施。
69.应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。
网络安全管理70.应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作。
访谈,检查。
安全主管,安全管理员,网络管理员,网络漏洞扫描报告,网络安全管理制度,系统外联授权书,网络设备备份配置文件,网络审计日志。
71.应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定。
72.应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份。
73.应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补。
74.应实现设备的最小服务配置,并对配置文件进行定期离线备份。