新版等级保护三级管理测评.pdf
新版等级保护分级保护.pdf
新版等级保护分级保护.pdf等级保护/分级保护目录1等级保护FAQ (3)1.1什么是等级保护、有什么用? (3)1.2信息安全等级保护制度的意义与作用? (3)1.3等级保护与分级保护各分为几个等级,对应关系是什么? (3)1.4等级保护的重要信息系统(8+2)有哪些? (4)1.5等级保护的主管部门是谁? (4)1.6国家密码管理部门在等级保护/分级保护工作中的职责是什么?(4)1.7等级保护的政策依据是哪个文件? (4)1.8公安机关对等级保护的管理模式是什么,等级保护定级到哪里备案? (5)1.9等级保护是否是强制性的,可以不做吗? (5)1.10等级保护的主要标准有哪些,是否已发布为正式的国家标准?(5)1.11哪些单位可以做等级保护的测评? (6)1.12做了等级测评之后,是否会给发合格证书? (6)1.13是否只是在政府行业实行?企业是否也在等级保护和分级保护范畴之内? (6)1.14等级保护检查的责任单位是谁? (7)2分级保护FAQ (7)2.1分级保护是什么? (7)2.2分级保护的主管部门是谁? (7)2.3分级保护定级到哪里备案? (7)2.4分级保护的政策依据是哪个文件? (7)2.5分级保护与等级保护的适用对象分别是什么? (7)2.6分级保护有关信息安全的标准相互关系是什么? (8)2.7分级保护与等级保护的定级依据有何区别? (8)2.8分级保护的建设依据、方案设计、测评分别依据哪些标准? (8)2.9分级保护设计方案是否需要经过评审和审批,谁来评审和审批?(8)2.10涉密信息系统投入使用前,是否需要经过审批,由谁来审批?(8)2.11分级保护系统测评的作用是什么,是否必须做? (9)2.12哪些单位可以做分级保护的测评,有什么资质要求? (9)2.13分级保护对涉密系统中使用的安全保密产品有哪些要求? (9)2.14涉密系统分级保护多长时间需进行一次安全保密检查? (9)2.15各级保密局与各单位保密办的关系是什么? (10)2.16分级保护的系统集成对厂商的资质有什么要求? (10)2.17分级保护的安全建设是否必须监理,对监理资质有什么要求?(10)2.18分级保护的哪些具体工作对厂商有单项资质的要求? (10)3综合问题 (11)3.1等保与分保的本质区别是什么? (11)3.2等保与分保各有几种级别? (11)3.3等级保护/分级保护什么区别哪些部门在管理,怎么做? (11)3.4企业出现泄密事件上报那些单位? (11)3.5等保定级备案是依据单位还是系统? (12)3.6风险评估和等级保护的关系? (12)3.7方案设计阶段及实施前是否需要报批? (12)3.8对于等保中产品使用及密码产品是否有要求? (12)等级保护/分级保护FAQ1等级保护FAQ1.1什么是等级保护、有什么用?【解释】是我国实施信息安全管理的一项法定制度,1994年147号令、2003年27号文件、2004年66号文件都有明确规定,信息系统安全实施等级化保护和等级化管理。
等级保护安全管理中心三级通用测评项要求解读
安全管理中心按照“一个中心,三重防御”的纵深防御思想,安全管理中心就是纵深防御体系的大脑,即通过安全管理中心实现技术层面的系统管理、审计管理和安全管理,同时对高级别的等级保护对象进行集中管控。
这里的安全管理中心既不是一个机构,也不是一个产品,而是一个技术管控枢纽,通过管理区域实现管理,并通过技术工具实现一定程度上的集中管理。
安全管理中心针对整个系统提出了安全管理方面的技术控制要求,通过技术手段实现集中管理,涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控。
1系统管理系统管理是由系统管理员实施的。
系统管理可以对每个设备单独进行管理,也可以通过统一的管理平台集中管理。
系统管理主要关注是否对系统管理员进行身份鉴别、是否只允许系统管理员通过特定的命令或操作界面进行系统管理操作、是否对系统管理操作进行审计。
系统管理的主要目的是确保系统管理操作的安全性。
1.1应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计应对系统管理员进行身份认证并严格限制系统管理员账户的管理权限,仅允许系统管理员通过特定的方式进行系统管理操作,并对所有操作进行详细的审计。
1.2应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等系统管理操作应由系统管理员完成,其管理和操作内容应有别于审计管理员和安全管理员。
2审计管理审计管理是由审计管理员实施的。
审计管理可以对每个设备单独进行管理,也可以通过统一的日志审计平台集中管理。
审计管理主要关注是否对审计管理员进行身份鉴别、是否只允许审计管理员通过特定的命令或操作界面进行审计管理操作、是否对审计管理操作进行审计。
审计管理的主要目的是确保审计管理操作的安全性。
2.1应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计应对审计管理员进行身份认证并严格限制审计管理员账户的管理权限,仅允许审计管理员通过特定的方式进行审计管理操作,并对所有操作进行详细的审计。
等级保护2.0 三级 概述
等级保护2.0 三级概述等级保护2.0(等保2.0)是我国信息安全保障的基本制度,其三级标准是在法律法规的基础上,对信息系统安全、物理和环境安全、网络通信安全、设备和计算安全、应用和数据安全、安全管理、评估与审计、应急响应等方面提出的具体要求。
1. 法律法规基础:等保2.0三级依据国家法律法规和标准,对信息系统的合规性进行严格要求,确保信息系统符合法律法规的要求。
2. 信息系统安全:等保2.0三级对信息系统的安全性提出更高要求,包括信息的保密性、完整性和可用性等。
3. 物理和环境安全:等保2.0三级强调物理和环境安全,对物理访问控制、物理安全监测等提出具体要求。
4. 网络通信安全:等保2.0三级在网络通信安全方面要求建立完善的网络安全体系,包括网络隔离、入侵检测、漏洞扫描等。
5. 设备和计算安全:等保2.0三级对设备和计算安全提出要求,包括防病毒、身份认证、访问控制等。
6. 应用和数据安全:等保2.0三级要求应用和数据安全得到保障,包括数据加密、数据备份等。
7. 安全管理:等保2.0三级强调安全管理,要求建立完善的安全管理体系,包括安全组织、安全策略、安全制度等。
8. 评估与审计:等保2.0三级要求对信息系统进行定期的评估和审计,确保信息系统的安全性。
9. 应急响应:等保2.0三级要求建立完善的应急响应机制,包括应急预案、应急演练等。
10. 技术要求符合性验证:等保2.0三级还要求对各项安全技术要求进行符合性验证,确保各项安全措施的有效性。
11. 人员安全:等保2.0三级强调人员安全的重要性,包括对员工的安全培训、岗位管理以及权限管理等方面提出了具体要求。
12. 供应链安全:等保2.0三级要求对供应链安全进行管理,包括对供应商的评估、管理以及控制等方面提出了具体要求。
通过满足等级保护2.0三级的要求,组织可以有效地提高信息系统的安全防护能力,减少安全风险,保障业务的正常运行。
等级保护三级管理系统测评
应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。
网络安全管理
70.
应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作。
访谈,检查。
安全主管,安全管理员,网络管理员,网络漏洞扫描报告,网络安全管理制度,系统外联授权书,网络设备备份配置文件,网络审计日志。
三级管理要求(S3A3G3)
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
岗位设置
1.
应设立信息安全管理工作的职能部门,设立安全主管人、安全管理各个方面的负责人岗位,定义各负责人的职责。
访谈,检查。安全主管,安全管理某方面的负责人,部门、岗位职责文件。
2.
应设立系统管理人员、网络管理人员、安全管理人员岗位,定义各个工作岗位的职责。
3.
应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权。
4.
应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
人员配备
5.
应配备一定数量的系统管理员、网络管理员、安全管理员等。
访谈,检查。安全主管,人员配备要求的相关文档,管理人员名单。
79.
应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补。
80.
应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装。
81.
应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定。
2023等保三级测评标准
2023等保三级测评标准简介2023年等级保护测评标准(以下简称“等保三级标准”)是根据国家网络安全等级保护的要求,为评估和测定网络安全保护能力而制定的标准。
等保三级标准是我国网络安全行业的重要参考依据,对于提升网络安全保护水平和防范网络安全威胁具有重要意义。
标准要求等保三级标准包括六个方面的要求,分别为:物理安全、主机安全、网络安全、应用安全、数据安全和管理安全。
物理安全物理安全是指防止物理设备和资源遭受不恰当访问、破坏和干扰的措施。
等保三级标准要求加强物理安全管理,包括安全围墙、门禁系统、监控设备等控制措施的建设和运维。
主机安全主机安全是指保护主机资源免受未经授权的访问和破坏的控制措施。
等保三级标准要求加强主机安全管理,包括操作系统安全、软件安全更新、远程登录管理等方面的要求。
网络安全网络安全是指保护网络免受未经授权的访问和攻击的控制措施。
等保三级标准要求加强网络安全管理,包括网络边界防护、入侵检测与防御系统、虚拟专用网络等方面的要求。
应用安全应用安全是指保护应用程序免受未经授权的访问和攻击的控制措施。
等保三级标准要求加强应用安全管理,包括代码审查、访问控制、漏洞扫描等方面的要求。
数据安全数据安全是指保护重要数据免受泄露、篡改和毁坏的控制措施。
等保三级标准要求加强数据安全管理,包括数据备份与恢复、加密传输、权限管理等方面的要求。
管理安全管理安全是指保护信息系统运营过程中的管理活动不被未经授权的个人或实体干扰和破坏的控制措施。
等保三级标准要求加强管理安全管理,包括安全培训、安全策略与规程、事件响应等方面的要求。
实施步骤根据等保三级标准,组织需要按照以下步骤进行测评实施: 1. 准备工作:明确测评的目标,组织相关人员和资源,制定测试计划和时间表。
2. 测评准备:完成测评相关的文档准备、设备配置和网络环境准备。
3. 测评执行:根据标准要求,依次对物理安全、主机安全、网络安全、应用安全、数据安全和管理安全进行测评。
信息安全系统等级保护三级测评控制点概要
重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
防盗窃和防破坏
7.
应将主要设备放置在机房内。
访谈,检查。
物理安全负责人,机房维护人员,资产管理员,机房设施,设备管理制度文档,通信线路布线文档,报警设施的安装测试/验收报告。
8.
应将设备或主要部件进行固定,并设置明显的不易除去的标记。
9.
应将通信线缆铺设在隐蔽处,可铺设在地下或管道中。
审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。
访谈,检查,测试。
安全审计员,服务器操作系统、数据库和重要终端操作系统。
80.
审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。
81.
审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。
22.
应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
防静电
23.
主要设备应采用必要的接地防静电措施。
访谈,检查。
物理安全负责人,机房维护人员,机房设施,防静电设计/验收文档。
24.
机房应采用防静电地板。
温湿度控制
25.
应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
应用系统管理员,应用系统,设计/验收文档,操作规程。
99.
应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。
100.
应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用。
101.
应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。
管理制度等保三级测评中的测评实施要点
管理制度等保三级测评中的测评实施要点(实用版2篇)篇1 目录一、引言二、管理制度等保三级测评的概述三、测评实施要点的具体内容四、实施要点在测评过程中的重要性五、结论篇1正文一、引言随着信息技术的迅速发展,信息安全问题日益突出。
管理制度等保三级测评作为一种有效的信息安全保障措施,越来越受到各企业和组织的重视。
本文将对管理制度等保三级测评中的测评实施要点进行探讨,以期为我国的信息安全建设提供参考。
二、管理制度等保三级测评的概述管理制度等保三级测评,即信息安全等级保护三级测评,是我国信息安全等级保护制度的重要组成部分。
该测评主要针对企业的信息安全管理制度、技术措施、应急响应等方面进行全面评估,以确保企业信息系统的安全稳定运行。
三、测评实施要点的具体内容测评实施要点主要包括以下几个方面:1.组织与管理:评估企业信息安全工作的组织架构、管理制度、人员配备等方面的情况,以确保企业有足够的人力、物力、财力来支持信息安全工作。
2.资产管理:评估企业对信息资产的管理情况,包括信息资产的识别、分类、评估、监控等环节,以确保企业对信息资产的安全保护。
3.访问控制:评估企业对信息系统的访问控制措施,包括身份认证、权限管理、访问审计等环节,以确保信息系统的访问安全。
4.物理安全:评估企业的物理安全措施,包括机房环境、设备安全、介质安全等环节,以确保信息系统的物理安全。
5.技术安全:评估企业信息系统的技术安全措施,包括网络安全、主机安全、数据安全等环节,以确保信息系统的技术安全。
6.应急响应:评估企业的应急响应能力,包括应急预案、应急演练、应急处置等环节,以确保企业在发生信息安全事件时能够及时、有效地进行应对。
四、实施要点在测评过程中的重要性在管理制度等保三级测评过程中,各个实施要点都具有举足轻重的地位。
只有各个要点都得到了充分的重视和落实,企业的信息安全防护体系才能更加完善,有效降低信息安全风险。
五、结论管理制度等保三级测评是保障企业信息安全的重要手段。
等保2.0管理测评文档清单(三级)
包括备份和冗余设备
明确维护人员的责任、维修和服务的审批、维修过程 的监督控制管理等
设备带离机房或办公地点的申报材料或审批记录
描述存在的漏洞、严重级别、原因分析和改进意见等 方面
具有安全整改应对措施文档
明确要求对网络和系统管理员用户进行分类,并定义 各个角色的责任和权限(比如:划分不同的管理角 色,系统管理权限与安全审计权限分离等)
需主管领导的批准签字
此处可举一个重要系统变更的案例
规定变更失败后的恢复流程
具有定期备份的重要业务信息、系统数据、软件系统 的列表或清单
备份方式、备份频度、存储介质和保存期等方面内容
覆盖数据的存放场所、文件命名规则、介质替换频率 、数据离站传输方法等方面 系统已发生的和需要防止发生的安全事件类型,明确 安全事件的现场处理、事件报告和后期恢复的管理职 责 记录引发安全事件的系统弱点、不同安全事件发生的 原因、处置过程、经验教训总结、补救措施等内容; 根据不同安全事件制定不同的处理和报告程序,明确 具体报告方式、报告内容、报告人等方面内容 覆盖启动应急预案的条件、应急处理流程、系统恢复 流程、事后教育和培训等方面 根据应急预案框架制定重要事件的应急预案(如针对 机房、系统、网络等各个层面)
11
外联单位联系列表
12
日常安全检查记录
审核和检查
13
审核和检查 全面安全检查记录
14
安全检查时的安全检查表、安全检查记录 和结果通告记录
15
人员安全管理文档
16
人员录用审查记录
17
人员录用
人员录用时的技能考核文档或记录
18
保密协议
19
岗位安全协议
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
三级管理要求(S3A3G3)等级保护三级管理类测评控制点(S3A3G3)类别序号测评内容测评方法结果记录符合情况Y N O安全管理机构岗位设置1.应设立信息安全管理工作的职能部门,设立安全主管人、安全管理各个方面的负责人岗位,定义各负责人的职责。
访谈,检查。
安全主管,安全管理某方面的负责人,部门、岗位职责文件。
2.应设立系统管理人员、网络管理人员、安全管理人员岗位,定义各个工作岗位的职责。
3.应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权。
4.应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
人员配备5.应配备一定数量的系统管理员、网络管理员、安全管理员等。
访谈,检查。
安全主管,人员配备要求的相关文档,管理人员名单。
6.应配备专职安全管理员,不可兼任。
7.关键事务岗位应配备多人共同管理。
授权和审批8.应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。
访谈,检查。
安全主管,关键活动的批准人,审批事项列表,审批文档。
9.应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度。
10.应定期审查审批事项,及时更新需授权和审批的项目、等级保护三级管理类测评控制点(S3A3G3)类别序号测评内容测评方法结果记录符合情况Y N O审批部门和审批人等信息。
11.应记录审批过程并保存审批文档。
沟通和合作12.应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,定期或不定期召开协调会议,共同协作处理信息安全问题。
访谈,检查。
安全主管,安全管理人员,会议文件,会议记录,外联单位说明文档。
` 13.应加强与兄弟单位、公安机关、电信公司的合作与沟通。
14.应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。
15.应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息。
16.应聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等。
审核和检查17.安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
访谈,检查。
安全主管,安全员,安全检查记录。
18.应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。
19.应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。
等级保护三级管理类测评控制点(S3A3G3)类别序号测评内容测评方法结果记录符合情况Y N O20.应制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。
安全管理制度管理制度21.应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等。
访谈,检查。
安全主管,总体方针、政策性文件和安全策略文件,安全管理制度清单,操作规程。
22.应对安全管理活动中的各类管理内容建立安全管理制度。
23.应对要求管理人员或操作人员执行的日常管理操作建立操作规程。
24.应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。
制定和发布25.应指定或授权专门的部门或人员负责安全管理制度的制定。
访谈,检查。
安全主管,制度制定和发布要求管理文档,评审记录,安全管理制度。
26.安全管理制度应具有统一的格式,并进行版本控制。
27.应组织相关人员对制定的安全管理制度进行论证和审定。
28.安全管理制度应通过正式、有效的方式发布。
29.安全管理制度应注明发布范围,并对收发文进行登记。
评审和修订30.信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。
访谈,检查。
安全主管,安全管理制度列表,评审记录。
31.应定期或不定期对安全管理制度进行检查和审定,对等级保护三级管理类测评控制点(S3A3G3)类别序号测评内容测评方法结果记录符合情况Y N O存在不足或需要改进的安全管理制度进行修订。
人员安全管理人员录用32.应指定或授权专门的部门或人员负责人员录用。
访谈,检查。
人事负责人,人事工作人员,人员录用要求管理文档,人员审查文档或记录,考核文档或记录,保密协议。
33.应严格规范人员录用过程,对被录用人的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核。
34.应签署保密协议。
35.应从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议。
人员离岗36.应严格规范人员离岗过程,及时终止离岗员工的所有访问权限。
访谈,检查。
安全主管,人事工作人员,安全处理记录,保密承诺文档。
37.应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。
38.应办理严格的调离手续,关键岗位人员离岗须承诺调离后的保密义务后方可离开。
人员考核39.应定期对各个岗位的人员进行安全技能及安全认知的考核。
访谈。
安全主管,人事工作人员。
40.应对关键岗位的人员进行全面、严格的安全审查和技能考核。
41.应对考核结果进行记录并保存。
安全意识42.应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。
访谈,检查。
安全主管,安全员,系统管理员,网络管理员,培训计划,培训等级保护三级管理类测评控制点(S3A3G3)类别序号测评内容测评方法结果记录符合情况Y N O教育和培训43.应对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进行惩戒。
记录.44.应对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训。
45.应对安全教育和培训的情况和结果进行记录并归档保存。
外部人员访问管理46.应确保在外部人员访问受控区域前先提出书面申请,批准后由专人全程陪同或监督,并登记备案。
访谈,检查。
安全主管,安全管理人员,安全责任合同书或保密协议,第三方人员访问管理文档,登记记录。
47.对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定,并按照规定执行。
系统运维管理环境管理48.应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理。
访谈,检查。
物理安全负责人,机房安全管理制度,机房进出登记表。
49.应指定部门负责机房安全,并配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理。
50.应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定。
51.应加强对办公环境的保密性管理,规范办公环境人员行为,包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏等级保护三级管理类测评控制点(S3A3G3)类别序号测评内容测评方法结果记录符合情况Y N O感信息的纸档文件等。
资产管理52.应编制并保存与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。
访谈,检查。
安全主管,资产管理员,资产清单,资产安全管理制度,设备。
53.应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为。
54.应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施。
55.应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。
介质管理56.应建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定。
访谈,检查。
资产管理员,介质管理记录,各类介质。
57.应确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理。
58.应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,对介质归档和查询等进行登记记录,并根据存档介质的目录清单定期盘点。
59.应对存储介质的使用过程、送出维修以及销毁等进行严格的管理,对带出工作环境的存储介质进行内容加密和监控管理,对送出维修或销毁的介质应首先清除介质中的敏感数据,对保密性较高的存储介质未经批准不得自行销毁。
等级保护三级管理类测评控制点(S3A3G3)类别序号测评内容测评方法结果记录符合情况Y N O60.应根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同。
61.应对重要介质中的数据和软件采取加密存储,并根据所承载数据和软件的重要程度对介质进行分类和标识管理。
设备管理62.应对信息系统相关的各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理访谈,检查。
资产管理员,系统管理员,审计员,服务器操作规程,设备审批、发放管理文档,设备使用管理文档,服务器操作日志。
63.应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理。
64.应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等。
65.应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现主要设备(包括备份和冗余设备)的启动/停止、加电/断电等操作。
66.应确保信息处理设备必须经过审批才能带离机房或办公地点。
监控管理67.应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,形成记访谈,检查。
系统运维负责人,监测记录文档,等级保护三级管理类测评控制点(S3A3G3)类别序号测评内容测评方法结果记录符合情况Y N O和安全管理中心(G3 )录并妥善保存。
监测分析报告,安全管理中心。
68.应组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要的应对措施。
69.应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。
网络安全管理70.应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作。
访谈,检查。
安全主管,安全管理员,网络管理员,网络漏洞扫描报告,网络安全管理制度,系统外联授权书,网络设备备份配置文件,网络审计日志。
71.应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定。
72.应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份。
73.应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补。
74.应实现设备的最小服务配置,并对配置文件进行定期离线备份。