指标总览
指标详情
环境管理
指标内容如图:
指标理解:
a)明确责任人或责任部门,相关制度文件中明确指定具体部门或人员负责机房安全,对进出机房管理,定期对机房设施维护管理。
b)有相关制度文件中明确对物理访问、物品带进出和环境安全等方面的管理要求。如机房可进出的时间范围、机房进出审批及登记、进入机房需要相关人员陪同、机房巡检及问题反馈等。
c)有相关制度文件中明确对重要区域的管理要求,如进入办公区需要授权及人员陪同、敏感信息的文档不允许随意摆放、人员离开要求电脑锁屏等。
资产管理
指标内容如图:
指标理解:
a)有资产清单文档,记录资产责任部门、重要程度等信息。
b)制度文件中对不同资产有不同的管理措施要求。
c)制度文件中对信息分类与标识及管理有具体要求。
介质管理
指标内容如图:
指标理解:
a)有相关制度文档明确介质存放的要求,并指定专人管理和定期盘点。
b)有相关制度文档明确在物理传输过程中的相关要求。
设备维护管理
指标内容如图:
指标理解:
a)有相关制度文档,明确有专人或部门管理设备、线路定期维护。
b)有相关设备维护的管理制度,明确责任、审批和监督机制。
c)有相关制度明确对于设备带离机房或办公地点的处理,以及敏感数据的加密要求。
d)有相关制度明确对于报废和重用的信息清除操作要求。
漏洞和风险管理
指标内容如图:
指标理解:
和技术措施中的漏洞检测机制有所关联。
a)从管理制度上要求有漏洞检测及修复的机制。
b)从管理制度上要求开展定期的安全评测。
网络和系统安全管理
指标内容如图:
指标理解:
a)管理制度明确三权分立要求,在相关设备上系统管理员、审计管理员、安全管理员、数据库管理员等角色。
b)制度授权专人或部门账号管理权限。
c)管理制度中明确指标中的要求。相关设备则按照制度要求落实具体的技术措施。
d)相关设备有配套的配置手册、操作手册。
e)对日常巡检工作、运行维护记录、参数等信息的记录。这个是不同于技术措施中的日志记录,测评时检查相关记录文档。
f)有审计员定期审计操作记录,及时发现可能的违规行为。
g)对变更操作有审批流程,并且记录变更操作日志。
h)对运维工具的使用有审批流程,并且记录运维操作,结束后删除敏感信息。
i)对远程运维有审批流程,并且记录运维操作,结束后关闭远程通道。
j)对外联行为有审批流程,定期检查违规外联。
恶意代码防范管理
指标内容如图:
指标理解:
a)通过定期的安全意识培训或定期的内部安全意识宣贯等方式,提高员工防恶意代码意识。相关制度要求对外来计算机或存储设备的恶意代码检测操作。
b)相关制度要求定期检查防病毒软件等相关产品的有效性。如许可有效性、病毒库更新情况等。
配置管理
指标内容如图:
指标理解:
a)有相关文档记录指标要求的基本配置信息。
b)基本配置信息的变更有管理措施。
密码管理
指标内容如图:
指标理解:
a)如GB/T39786,即密评的标准。
b)如具有商用密码认证证书的产品,以及商用密码产品名录的技术和产品。
变更管理
指标内容如图:
指标理解:
a)管理制度中有具体的变更管理流程。
b)变更管理有控制程序,基于变更管理流程执行变更过程,并记录变更过程。通过纸质书面的方式记录也可以。
c)相关制度有变更恢复控制措施,及恢复演练过程。
备份与恢复管理
指标内容如图:
指标理解:
a)针对重要业务数据、系统数据、软件进行备份。
b)制度明确规定备份方式、频率、介质、保存期等。
c)有相关制度文件有备份恢复策略、备份恢复程序的说明。
安全事件处置
指标内容如图:
指标理解:
a)相关制度明确及时反馈安全弱点和可疑事件。
b)建立反馈和处置的制度流程。
c)建立追踪溯源和复盘总结机制。
d)业务中断和信息泄露有不同于常规的响应处置制度流程。
应急预案管理
指标内容如图:
指标理解:
a)不同的应急预案采用相同的应急预案框架。
b)对重要事件建立应急预案。
c)应急预案相关人员开展培训和演练。
d)定期做应急预案评估,并不断完善。
外包运维管理
指标内容如图:
指标理解:
a)在相关制度文件中明确对外部服务商有合规要求,如合法、无严重违规行为等。
b)和外部服务商有合同约束,合同明确范围、工作内容等。
c)合同中有相关约束,参考资质证书如DJJS,历史案例证明应该也可以。
d)在合同中明确和被测系统相关安全要求。
