信息系统安全等级保护检查
信息安全等级保护自查报告
信息安全等级保护自查报告信息安全等级保护自查报告XX县烟草专卖局(分公司)的信息*安全建设在上级部门的关心指导下,近年取得了快速的进步和发展,实效性强,*安全防控能力大大增强。
为进一步贯彻落实行业*与信息安全各项管理规定,严格规范信息安全等级保护,提高企业对信息*安全的防控能力,保障企业信息*安全,保证公司各项办公自动化工作的正常进行,促进企业效益的稳步提升,按照《XX县人民*办公室关于开展信息*信息安全等级保护安全检查工作的通知》要求,我司组织相关人员对系统内信息*安全等级保护工作认真细致的自检自查,现将自查情况报告如下。
曲烟专司字[2004]35号《曲靖市烟草专卖局(公司)关于建设*安全系统的通知》、《曲靖烟草专卖局(公司)党政工作部关于举办*信息安全培训的通知》,市公司云曲烟办字[2004]98号《曲靖市烟草专卖局(公司)关于建设地面专网的通知》等。
第二类是各项*信息安全建设规范、技术标准及方案等,主要包括有:《云南省烟草行业信息*信息系统技术规范》两部分,《云南省烟草行业信息*系统计算机*系统建设技术规范》、《云南省烟草行业计算机*与信息安全系统建设方案》。
第三类是各类管理制度或规定,主要包括有:《云南省烟草行业信息*管理规范》、《云南省烟草行业计算机*与信息安全管理制度》、《信息化工作管理规定》的*与信息安全管理,《*建设及信息维护按理规定》、《计算机设备管理规定》、《计算机机房管理规定》及《突发信息*事件应急预案》等。
七、定期自查情况根据《永胜县人民*办公室关于开展*信息系统安全检查的通知》(永政办发〔2010〕56号)文件精神,结合我社实际,认真组织开展了信息系统的安全自查工作。
现将相关情况报告如下:一、信息系统安全检查基本情况(一)信息安全组织机构落实情况为规范信息公开工作,落实好信息安全的相关规定,我社成立了信息安全工作领导小组,落实了管理机构,由联社办公室负责信息安全的日常管理工作,明确了信息安全的主管领导、分管领导和具体管理人员。
信息安全技术 信息系统安全等级保护测评要求
信息安全技术信息系统安全等级保护测评要求一、概述信息安全技术作为当前社会中不可或缺的一部分,对于信息系统的安全等级保护测评要求也变得愈发重要。
信息系统安全等级保护测评是指为了评估信息系统的安全性,保障信息系统的功能和安全性,根据《信息安全技术信息系统安全等级保护测评要求》,对信息系统进行等级保护测评,明确信息系统安全等级。
二、等级划分根据我国《信息安全技术信息系统安全等级保护测评要求》,信息系统安全等级分为四个等级,分别是一级、二级、三级和四级。
每个等级都有相应的技术和管理要求,以及安全保护的措施。
在信息系统安全等级保护测评中,根据信息系统的安全等级,采用不同的测评方法和技术手段,对信息系统进行全面的评估和测试。
三、技术要求在信息系统安全等级保护测评中,技术要求是至关重要的一环。
根据《信息安全技术信息系统安全等级保护测评要求》,信息系统的技术要求包括但不限于以下几个方面:1. 安全功能要求信息系统在进行测评时,需要满足一定的安全功能要求。
对于不同等级的信息系统,需要有相应的访问控制、身份认证、加密通信等安全功能,以确保系统的安全性。
2. 安全性能要求信息系统的安全性能也是非常重要的。
在信息系统安全等级保护测评中,需要对系统的安全性能进行评估,包括系统的稳定性、可靠性、容错性等方面。
3. 鉴别技术要求鉴别技术是信息系统安全等级保护测评中的关键环节。
通过鉴别技术对信息系统进行鉴别,以确定系统的真实性和完整性,防止系统被篡改和伪造。
4. 安全风险评估要求在信息系统安全等级保护测评中,需要进行全面的安全风险评估,包括对系统可能存在的安全威胁和漏洞进行评估,以及制定相应的安全保护措施和应急预案。
四、管理要求除了技术要求之外,信息系统安全等级保护测评还需要满足一定的管理要求。
管理要求主要包括以下几个方面:1. 安全管理体系要求信息系统安全等级保护测评需要建立健全的安全管理体系,包括安全管理策略、安全管理制度、安全管理流程等,以确保信息系统的安全性。
信息系统安全等级保护三级评测内容
信息系统安全等级保护三级评测内容信息系统安全等级保护二级评测内容等级保护自上而下分别为:类、控制点和项。
其中,类表示《信息系统安全等级保护基本要求》在整体上大的分类,其中技术部分分为:物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类,管理部分分为: 安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类,一共分为10大类。
控制点表示每个大类下的关键控制点,如物理安全大类中的“物理访问控制”作为一个控制点。
而项则是控制点下的具体要求项,如“机房出入应安排专人负责,控制、鉴别和记录进入的人员。
”根据等级保护第二级的基本要求,在物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复、安全管理等几方面目前的安全现状进行分析检测。
物理安全对象主要为中心机房、重要设备存放物理位置等。
指标及检测内容:网络安全对象包括:网络结构、交换机、防火墙。
指标及检测内容:主机系统安全对象包括:服务器、数据库管理系统。
指标及检测内容:信息系统安全等级保护基本要求-主机安全应用安全对象:网络内运行的信息系统。
指标及检测内容信息系统安全等级保护基本要求-应用安全信息系统安全等级保护基本要求-应用安全信息系统安全等级保护基本要求-应用安全发会话连接数进行限制;C)应能够对单个帐户的多重并发会话进行限制。
数据安全及备份恢复对象包括信息系统以及安全设备、网络设备等指标及检查表:安全管理制度安全管理机构信息系统安全等级保护基本要求-安全管理机构人员安全管理系统建设管理系统运维管理2.5.3 介质管理(G2 )2.5.4 设备管理(G2a)应对信息系统相关的各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理;b)应建立基于申报、审批和专人负责的设备安全管理制度,对信2.5.5 网络全理G2日常维护和报警信息分析和处理息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理;C)应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现主要设备(包括备份和冗余设备)的启动/停止、加电/ 断电等操作;d)应确保信息处理设备必须经过审批才能带离机房或办公地点。
信息安全等级保护自查报告
篇⼀:信息安全等级保护⾃查报告 XX县烟草专卖局(分公司)的信息络安全建设在上级部门的关⼼指导下,近年取得了快速的进步和发展,实效性强,络安全防控能⼒⼤⼤增强。
为进⼀步贯彻落实⾏业络与信息安全各项管理规定,严格规范信息安全等级保护,提⾼企业对信息络安全的防控能⼒,保障企业信息络安全,保证公司各项办公⾃动化⼯作的正常进⾏,促进企业效益的稳步提升,按照《XX县⼈民政府办公室关于开展信息络信息安全等级保护安全检查⼯作的通知》要求,我司组织相关⼈员对系统内信息络安全等级保护⼯作认真细致的⾃检⾃查,现将⾃查情况报告如下。
⼀、等级保护⼯作部署和组织实施情况 XX县烟草公司企业信息化建设在市局(公司)的统⼀领导下,按照“统⼀络、统⼀平台、统⼀数据库”的要求,以打造“数字烟草”为战略⽬标,以“系统集成、资源整合、信息共享”为⼯作⽅针,取得了快速的发展,在积极推进企业信息化建设的过程中,更加重视络信息的安全建设⼯作。
从省公司到市公司、县公司,领导⾼度重视,统⼀规划,统⼀标准,同步实施。
⾸先是逐级成⽴了领导⼩组和职能部门,XX分公司按照上级部门要求,2000年11⽉成⽴了信息化领导⼩组,下设信息办在公司办公室,并设置了计算机系统管理员岗位,明确了各⾃的职责。
由于络推⼴应⽤迅速,2005年重新更设了计算机络信息中⼼,旨在强化对企业的络建设和络安全管理。
在历次的机构设置中,都明确了分公司主要领导分管信息⼯作,把络信息安全的建设与管理摆到了企业各项⼯作的重要位置中来,表明了企业对信息化建设、络安全管理的⾼度重视和决⼼。
其次是对⾏业的络安全建设⾼瞻远瞩、统⼀标准、规范运作、务求实效。
先后省公司下发了《云南省烟草专卖局关于建设云南省⾏业计算机络与信息安全系统的通知》,对全⾏业的络信息安全建设作了明确、细致的规定,制定了⾼效规范的《云南省烟草⾏业计算机络与信息安全系统建设⽅案》,统⼀在全系统范围内实施。
随后市局公司⼜下发了《曲靖市烟草专卖局(公司)关于建设络安全系统的通知》,对各分公司的络安全建设作了具体的安排部署。
公安机关信息安全等级保护检查工作规范(试行)
公安机关信息安全等级保护检查工作规范(试行)第一条为规范公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作,根据《信息安全等级保护管理办法》(以下简称《管理办法》),制定本规范。
第二条公安机关信息安全等级保护检查工作是指公安机关依据有关规定,会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查,督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。
第三条信息安全等级保护检查工作由市(地)级以上公安机关公共信息网络安全监察部门负责实施。
每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次,每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。
第四条公安机关开展检查工作,应当按照“严格依法,热情服务”的原则,遵守检查纪律,规范检查程序,主动、热情地为运营使用单位提供服务和指导。
第五条信息安全等级保护检查工作采取询问情况,查阅、核对材料,调看记录、资料,现场查验等方式进行。
第六条检查的主要内容:(一)等级保护工作组织开展、实施情况。
安全责任落实情况,信息系统安全岗位和安全管理人员设置情况;(二)按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况;(三)信息系统定级备案情况,信息系统变化及定级备案变动情况;(四)信息安全设施建设情况和信息安全整改情况;(五)信息安全管理制度建设和落实情况;(六)信息安全保护技术措施建设和落实情况;(七)选择使用信息安全产品情况;(八)聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况;(九)自行定期开展自查情况;(十)开展信息安全知识和技能培训情况。
第七条检查项目:(一)等级保护工作部署和组织实施情况1.下发开展信息安全等级保护工作的文件,出台有关工作意见或方案,组织开展信息安全等级保护工作情况。
2.建立或明确安全管理机构,落实信息安全责任,落实安全管理岗位和人员。
信息系统安全等级保护测评要求
信息系统安全等级保护测评要求
一、简介
信息系统安全、个人隐私保护和网络安全问题一直是个热点和特殊的研究课题,也是
信息技术世界范围内备受关注的热点。
信息系统安全等级保护(Information System Security Level Protection, ISSLP)测评是一项用来评估信息系统安全水平的评估方法,目的是为信息系统提供安全、可靠保护,防止网络安全攻击和信息泄露。
本文结合安全自
评和安装者评价两个方面,系统总结以下ISSLP测评要求。
二、ISSLP测评要求
1)安全自评:
(1)组织安全管理体系:包括安全系统结构、人员应聘、培训和定期评审、安全管
理架构和流程、安全风险管理体系和安全配置管理。
(2)数据安全性:需要检查系统数据存储、采集和处理能力以及安全加密算法等。
(3)网络安全性:需要检查系统的防火墙、虚拟隔离、网络监控、日志分析等。
2)安全第三方评价:
(1)程序测试:包括对系统程序行为的测试和检查,监督操作,及时发现系统、应
用程序和数据库中可能存在的安全问题。
(2)静态测试:针对需要安全和可靠性测试的技术安全策略,进行程序漏洞分析,
安全漏洞识别,安全破坏分析,保护系统安全等测试。
(3)动态测评:用来评估系统应付攻击环境下的实际可靠性,系统能否充分实现安
全要求,避免恶意行为攻击对安全造成损害。
三、结论
ISSLP测评为了防止安全攻击和信息系统的安全威胁,提出了许多有用的安全措施。
系统架构,数据安全性,网络安全配置,程序测试,静态测试,动态验证等都需要定期检
查和测评,以确保信息系统的安全和可靠性。
信息系统安全等级保护第一级检查-管理要求+技术要求
应用系统的输入域设有长度限制; 应用系统的日期型输入域设有限制,输入非日期数值进行过滤。 应用系统的数值型输入域设有限制,对输入字符或字母进行过滤; 应用系统不存在SQL注入漏洞(如未过滤单引号等); 应用系统对可上传的文件类型具有限制,不能上传.asp、.jsp、.php和webshell脚本等文件; 应用系统是否采取身份标识和鉴别措施? 应用系统已对管理员权限或者用户权限进行区分控制; 具有对重要信息的备份与恢复策略。
网络安全
软件容错 应用安全
软件容错 应用安全 身份鉴别 访问控制 备份和恢复
数据安全及备份恢复
a 检查项 检查是否建立日常管理活动中常用的安全管理制度。 检查是否配备一定数量的系统管理员、网络管理员、安全管理员。
检查是否由专门的部门或人员负责对信息系统建设运维相关的人员进行录用。 检查是否对外部人员访问受控区域前进行授权或审批,查验审批记录。
检查范围 安全管理制度 安全管理机构
检查内容 管理制度 人员配备 人员录用
人员安全管理
外部人员访问管理 系统定级 安全方案设计 产品采购和使用 工程实施 测试验收 环境管理 资产管理 设备管理
系统建设管理
网络安全管理 系统运维管理 系统安全管理 恶意代码防范管理
安全事பைடு நூலகம்处置
物理访问控制 物理安全 温湿度控制 结构安全 访问控制 网络设备防护 恶意代码防范 主机安全 身份鉴别 访问控制
指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理。 检查是否编制与信息系统相关的资产清单。
否对信息系统相关的各种设备、线路等指定专门的部门或人员定期进行维护管理。
人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作。
公安机关信息安全等级保护检查工作规范标准
公安机关信息安全等级保护检查工作规范(试行)第一条为规范公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作,根据《信息安全等级保护管理办法》(以下简称《管理办法》),制定本规范。
第二条公安机关信息安全等级保护检查工作是指公安机关依据有关规定,会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查,督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。
第三条信息安全等级保护检查工作由市(地)级以上公安机关公共信息网络安全监察部门负责实施。
每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次,每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。
第四条公安机关开展检查工作,应当按照“严格依法,热情服务”的原则,遵守检查纪律,规范检查程序,主动、热情地为运营使用单位提供服务和指导。
第五条信息安全等级保护检查工作采取询问情况,查阅、核对材料,调看记录、资料,现场查验等方式进行。
第六条检查的主要内容:(一)等级保护工作组织开展、实施情况。
安全责任落实情况,信息系统安全岗位和安全管理人员设置情况;(二)按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况;(三)信息系统定级备案情况,信息系统变化及定级备案变动情况;(四)信息安全设施建设情况和信息安全整改情况;(五)信息安全管理制度建设和落实情况;(六)信息安全保护技术措施建设和落实情况;(七)选择使用信息安全产品情况;(八)聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况;(九)自行定期开展自查情况;(十)开展信息安全知识和技能培训情况。
第七条检查项目:(一)等级保护工作部署和组织实施情况1.下发开展信息安全等级保护工作的文件,出台有关工作意见或方案,组织开展信息安全等级保护工作情况。
2.建立或明确安全管理机构,落实信息安全责任,落实安全管理岗位和人员。
信息系统安全等级保护测评报告
技术发展趋势:云计算、大数据、物联网等技术的发展对信息安全等级保护提出了新的挑战和 机遇。
政策法规完善:随着信息安全等级保护工作的深入,政策法规将不断完善,为信息安全等级保 护工作提供更加明确的指导。
企业投入加大:企业对信息安全的重视程度不断提高,投入也将加大,为信息安全等级保护工 作提供更加充足的资源。
信息系统安全等级 保护建议与展望
加强信息系统安全管理制度建设,完善 安全管理体系
定期进行信息系统安全等级测评,及时 发现和解决问题
加强信息系统安全技术防护,提高系统 安全性
加强信息系统安全培训和教育,提高员 工安全意识
加强与相关部门的沟通和协作,共同维 护信息系统安全
建立完善的信息系统安全应急预案,确 保在突发事件中能够及时响应和处理
测评结论:系统在安全 防护、数据保护、系统 管理等方面均符合安全 等级保护的要求
建议:加强系统安全 管理,提高系统安全 防护能力,确保系统 安全稳定运行
结论:系统安全等级保 护测评结果符合要求, 建议加强安全管理,提 高系统安全防护能力。
信息系统安全等级保护测评发现的问题 整改建议 具体问题描述及原因分析 整改措施及效果评估
测评结果:根据测评结果,给出安全等 级保护建议和整改措施
审查目的:检查信 息系统的安全等级 保护文档是否齐全、 合规
审查内容:包括但 不限于安全策略、 安全制度、安全技 术措施等
审查方法:查阅文 档、访谈相关人员 、实地考察等
审查结果:对文档 审查结果进行汇总 和分析,提出改进 建议和措施
测评结果汇总: 对测评过程中发 现的安全问题进 行汇总,包括漏 洞、风险、威胁 等
信息系统安全等级保 护测评报告
汇报人:
信息系统安全等级保护第四级检查-管理要求+技术要求
应选择两种或两种以上组合的鉴别技术来进行身份鉴别,身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
应选择两种或两种以上组合的鉴别技术来进行身份鉴别,身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并措施防止鉴别信息在网络传输过程中被窃听。
安全审计
抗抵赖
身份鉴别
访问控制
通信完整性 通信保密性
数据安全及备份恢复
备份和恢复
第四级检查-管理要求+技术要求 检查项
系统管理+系
查网络安全管理体系是否由总体方针、安全策略、管理制度、操作规程等构成。
安全管理制度是否具有统一的格式进行版本控制,并通过正式、有效的方式发布。
检查是否定期对安全管理制度进行评审和修订。
用软件的运行状态、网络流量、用户行为、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理,并对监测和报警记录进行分析。
络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定;是否定期对网络系统进行漏洞扫描
络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定;是否定期对网络系统进行漏洞扫描
提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;
应具有对重要信息资源设置敏感标记的功能。 应禁止默认帐户的访问。 应采用密码技术保证通信过程中数据的完整性。 应对通信过程中的整个报文或会话过程进行加密。 应基于硬件化的设备对重要通信过程进行加解密运算和密钥管理。
,备份介质场外存放;应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。
格限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令;
信息安全等级保护制度-信息安全检查管理规定
XXXX有限公司信息安全检查管理规定第一章总则第一条为了加强XXXX有限公司信息安全检查工作,及时发现管理和技术层面存在的薄弱环节和安全隐患,有效保障网络和信息系统的稳定可靠运行,减少或防止信息安全事件的发生,根据《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008),结合XXXX有限公司实际,制定本规定。
第二条本规定适用于XXXX有限公司内部或外部的信息安全检查活动。
第三条信息安全领导小组办公室负责为信息安全检查工作提供资源保证和授权;负责组织协调各部门配合信息安全检查工作。
第四条信息安全管理员负责编制信息系安全检查内容及评分表,对各部门信息安全要求的落实情况进行检查和评价,并负责外部信息安全检查的接待工作。
第五条被检查部门应全力配合安全检查,如实提供所需材料和信息,对发现的问题制定整改措施,并按计划实施整改。
第二章检查方式和程序第六条信息安全检查按照执行方式的不同可分为内部检查和外部检查。
第七条内部检查以信息安全领导小组办公室为主导,信息安全管理员牵头,检查内容应包括安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。
第八条外部检查主要以合规为驱动,检查内容主要包括信息系统等级保护测评、监管机构专项安全检查等。
第九条外部安全检查频率按照监管机构要求执行,内部安全检查频率每年不低于1次,如果发生下列情况,需及时进行安全检查:(一)发生重大安全事件;(二)公司组织架构变更;(三)公司业务发生重大变化;(四)信息技术发生重大变革。
第十条安全检查工作程序分为四个阶段:准备阶段、实施阶段、报告编制阶段和整改阶段。
第三章安全检查的准备第十一条信息安全管理员应建立信息安全检查机制,制订年度检查计划,检查计划应根据实际情况及时进行补充和调整。
第十二条在进行制度执行检查前,应根据检查时间、人员安排等实际情况,以信息安全检查提纲为主要依据(参考附件),及国内外其他信息安全法律法规和标准,最终确定本次信息安全检查指标内容。
公安机关信息安全等级保护检查工作规范
公安机关信息安全等级保护检查工作规范内部编号:(YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128)公安机关信息安全等级保护检查工作规范(试行)第一条为规范公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作,根据《信息安全等级保护管理办法》(以下简称《管理办法》),制定本规范。
第二条公安机关信息安全等级保护检查工作是指公安机关依据有关规定,会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查,督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。
第三条信息安全等级保护检查工作由市(地)级以上公安机关公共信息网络安全监察部门负责实施。
每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次,每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。
第四条公安机关开展检查工作,应当按照“严格依法,热情服务”的原则,遵守检查纪律,规范检查程序,主动、热情地为运营使用单位提供服务和指导。
第五条信息安全等级保护检查工作采取询问情况,查阅、核对材料,调看记录、资料,现场查验等方式进行。
第六条检查的主要内容:(一)等级保护工作组织开展、实施情况。
安全责任落实情况,信息系统安全岗位和安全管理人员设置情况;(二)按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况;(三)信息系统定级备案情况,信息系统变化及定级备案变动情况;(四)信息安全设施建设情况和信息安全整改情况;(五)信息安全管理制度建设和落实情况;(六)信息安全保护技术措施建设和落实情况;(七)选择使用信息安全产品情况;(八)聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况;(九)自行定期开展自查情况;(十)开展信息安全知识和技能培训情况。
第七条检查项目:(一)等级保护工作部署和组织实施情况1.下发开展信息安全等级保护工作的文件,出台有关工作意见或方案,组织开展信息安全等级保护工作情况。
信息系统安全等级保护等保测评网络安全测评
分为低风险、中等风险和高风险。低风险包括一般性漏 洞和潜在威胁;中等风险包括已知漏洞和已确认的威胁 ;高风险包括重大漏洞和重大威胁。
应对策略制定与实施
01 预防措施
采取一系列预防措施,如加强网络访问控制、定 期更新软件和补丁等,以降低风险发生的可能性 。
02 应急响应计划
制定应急响应计划,以便在发生网络安全事件时 能够快速响应,减少损失。
信息系统安全等级保护(简称“等保”)是指对 01 信息系统实施不同级别的安全保护,保障信息系
统的安全性和可靠性。
等保旨在确保信息系统免受未经授权的入侵、破 02 坏、恶意代码、数据泄露等威胁,保障业务的正
常运行和数据的完整性。
等保是信息安全领域的基本要求,也是国家对信 03 息化建设的重要规范和标准。
通过等保测评可以发现并解决存在的安全隐患和 问题,提高信息系统的安全性和可靠性。
02
等保测评的主要内容和方法
测评准备
确定测评目标
01
明确测评对象和测评目标,了解相关信息系统的基本
情况、业务需求和安全需求。
制定测评计划
02 根据测评目标,制定详细的测评计划,包括测评内容
、方法、时间安排和人员分工等。
准备测评工具
03
根据测评计划,准备相应的测评工具和设备,包括漏
洞扫描工具、渗透测试工具、安全审计工具等。
符合性测评
确定测评指标
根据相关标准和规范,确定测评指标和评分标 准。
进行符合性检查
通过检查信息系统的安全管理制度、技术措施 、安全配置等,评估其符合程度。
进行功能测试
对信息系统的特定功能进行测试,评估其实现和效果是否符合要求。
4. 对客户网络进行分级保护,根据不同 等级制定相应的安全策略和防护措施。
信息安全技术信息系统安全等级保护测评要求
信息安全技术信息系统安全等级保护测评要求在当今数字化的时代,信息系统已经成为了各个组织和企业运营的核心支撑。
从金融机构的交易系统到医疗机构的患者信息管理系统,从政府部门的政务服务平台到企业的生产管理系统,信息系统的广泛应用带来了巨大的便利和效率提升,但同时也伴随着日益严峻的安全挑战。
为了保障信息系统的安全可靠运行,保护公民、法人和其他组织的合法权益,我国推行了信息系统安全等级保护制度,而其中的测评要求则是确保这一制度有效实施的关键环节。
信息系统安全等级保护测评是指依据国家有关信息安全等级保护的标准规范,对信息系统的安全保护状况进行检测评估的活动。
其目的在于发现信息系统中存在的安全漏洞和风险,提出相应的整改建议,以提高信息系统的安全防护能力,使其达到相应的安全等级要求。
在进行信息系统安全等级保护测评时,首先需要明确测评的对象和范围。
信息系统包括了硬件、软件、数据、人员、环境等多个方面,测评应涵盖信息系统的全部组成部分。
同时,还需要根据信息系统的业务功能、服务范围、用户群体等因素,确定其安全等级。
我国的信息系统安全等级分为五级,从第一级到第五级,安全要求逐步提高。
测评的内容主要包括物理安全、网络安全、主机安全、应用安全、数据安全和安全管理等多个方面。
物理安全主要关注信息系统所在的物理环境,如机房的防火、防水、防盗,设备的供电、散热等。
网络安全则涉及网络拓扑结构、访问控制、网络设备的安全配置等。
主机安全包括操作系统、数据库系统的安全设置,以及服务器的漏洞扫描和加固。
应用安全侧重于应用软件的安全性,如身份认证、权限管理、数据加密等。
数据安全重点考察数据的备份恢复、数据的保密性和完整性。
安全管理则涵盖安全管理制度的制定和执行、人员的安全培训和意识教育等。
在测评过程中,需要遵循一系列的标准和规范。
这些标准和规范为测评工作提供了统一的方法和依据,确保测评结果的客观、准确和可比。
例如,《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)等。
中国石化信息系统安全等级保护评估和检查细则
中国石化集团信息系统安全等级保护评估和检查细则信息系统管理部编制××××-××-××发布××××-××-××实施目次目次 (1)1.范围 (4)2.规范性引用文件 (4)3.术语和定义 (4)3.1.工作单元 (4)3.2.评估和检查强度 (4)4.总则 (4)4.1.评估和检查原则 (4)4.2.评估和检查内容 (5)5.Ⅰ级安全评估和检查 (6)5.1.信息安全管理评估和检查 (6)5.1.1.安全管理机构 (6)5.1.2.安全管理制度 (6)5.1.3.人员安全管理 (7)5.1.4.系统建设管理 (8)5.1.5.系统运行维护管理 (10)5.2.信息安全技术评估和检查 (13)5.2.1.物理安全 (13)5.2.2.网络安全 (14)5.2.3.主机安全 (15)5.2.4.应用安全 (17)5.2.5.数据安全及备份恢复 (18)6.ⅡA级安全评估和检查 (20)6.1.信息安全管理评估和检查 (20)6.1.1.安全管理机构 (20)6.1.2.安全管理制度 (22)6.1.3.人员安全管理 (22)6.1.4.系统建设管理 (25)6.1.5.系统运行维护管理 (27)6.2.信息安全技术评估和检查 (32)6.2.1.物理安全 (32)6.2.2.网络安全 (36)6.2.3.主机安全 (39)6.2.4.应用安全 (42)6.2.5.数据安全及备份恢复 (45)7.ⅡB级安全评估和检查 (47)7.1.信息安全管理评估和检查 (47)7.1.1.安全管理机构 (47)7.1.2.安全管理制度 (50)7.1.3.人员安全管理 (50)7.1.4.系统建设管理 (53)7.1.5.系统运行维护管理 (55)7.2.信息安全技术评估和检查 (60)7.2.1.物理安全 (60)7.2.2.网络安全 (63)7.2.3.主机安全 (67)7.2.4.应用安全 (69)7.2.5.数据安全及备份恢复 (72)8.ⅢA级安全评估和检查 (75)8.1.信息安全管理评估和检查 (75)8.1.1.安全管理机构 (75)8.1.2.安全管理制度 (78)8.1.3.人员安全管理 (79)8.1.4.系统建设管理 (81)8.1.5.系统运行维护管理 (84)8.2.信息安全技术评估和检查 (91)8.2.1.物理安全 (91)8.2.2.网络安全 (95)8.2.3.主机安全 (98)8.2.4.应用安全 (102)8.2.5.数据安全及备份恢复 (107)9.ⅢB级安全评估和检查 (108)9.1.信息安全管理评估和检查 (108)9.1.1.安全管理机构 (108)9.1.2.安全管理制度 (112)9.1.3.人员安全管理 (113)9.1.4.系统建设管理 (116)9.1.5.系统运行维护管理 (120)9.2.信息安全技术评估和检查 (127)9.2.1.物理安全 (127)9.2.2.网络安全 (132)9.2.3.主机安全 (137)9.2.4.应用安全 (144)9.2.5.数据安全及备份恢复 (149)10.Ⅳ级安全评估和检查 (153)10.1.信息安全管理评估和检查 (153)10.1.1.安全管理机构 (153)10.1.2.安全管理制度 (157)10.1.3.人员安全管理 (158)10.1.4.系统建设管理 (162)10.1.5.系统运行维护管理 (168)10.2.信息安全技术评估和检查 (177)10.2.1.物理安全 (177)10.2.2.网络安全 (185)10.2.3.主机安全 (190)10.2.4.应用安全 (200)10.2.5.数据安全及备份恢复 (209)引言根据《中国石化集团信息系统安全等级保护基本要求》,为推动中国石化信息系统安全等级保护工作的开展,结合国家信息系统安全等级保护检查细则的相关要求,修订本细则。
等保测评的内容
等保测评的内容等保测评是指信息系统安全等级保护测评,是我国国家信息安全等级保护制度的核心内容之一。
它是对信息系统安全等级保护实施情况进行全面、系统和客观评估的工作,旨在确保信息系统的安全性和可信度,以保护国家重要信息基础设施的安全。
等保测评的内容主要包括以下几个方面:1. 等级划分:等保测评将信息系统划分为不同的安全等级,根据信息系统的重要性和风险等级进行分类。
等级划分是根据国家相关标准和规范进行的,包括信息系统的功能、数据、技术和管理等方面的要求。
2. 测评方法:等保测评采用一系列科学、客观、系统的方法和技术,对信息系统的安全性进行评估和测试。
测评方法包括安全检查、漏洞扫描、渗透测试、安全评估等,旨在发现系统中存在的安全风险和问题,并提供改进建议。
3. 测评指标:等保测评依据国家相关标准和规范,制定了一系列测评指标,用于评估信息系统的安全性。
测评指标包括物理安全、网络安全、系统安全、数据安全、应用安全、人员安全等多个方面,通过对这些指标的评估,可以全面了解信息系统的安全情况。
4. 测评结果:等保测评将根据测评指标对信息系统进行评估,得出测评结果。
测评结果通常以等级划分的形式呈现,包括安全等级和评估等级。
安全等级用于表示信息系统的重要性和风险等级,评估等级用于表示信息系统的安全性和合规性。
5. 改进措施:等保测评结果将提供改进措施和建议,以帮助信息系统的管理者改善和加强系统的安全保护。
改进措施可以包括技术措施、管理措施和人员培训等方面,旨在提高信息系统的安全性和可信度。
总之,等保测评是对信息系统安全等级保护实施情况进行评估的工作,通过科学的方法和技术,评估信息系统的安全性,提供改进措施和建议,以保护国家重要信息基础设施的安全。
信息系统安全保护等级测评
信息系统安全保护等级测评是对信息系统安全等级保护状况进行检测评估的活动。
根据《信息安全等级保护管理办法》,信息系统安全等级测评工作一般包括以下步骤:
1. 系统定级:根据业务、资产、安全技术和安全管理进行调研,确定定级系统,准备定级报告,提供协助定级服务,辅助用户完成定级报告,组织专家评审。
2. 系统备案:持定级报告和备案表到所在地公安网监进行系统备案。
3. 建设整改:参照定级要求和标准,对信息系统整改加固,建设安全管理体系。
4. 等级测评:测评机构对信息系统等级测评,形成测评报告。
5. 合规监督检查:向所在地公安网监提交测评报告,公安机关监督检查进行等级保护工作。
在等级测评过程中,一般采用5个方式,循序渐进地进行测试流程。
具体包括:1. 系统定级:对业务、资产、安全技术和安全管理进行调研,确定定级系统,准备定级报告,提供协助定级服务,辅助用户完成定级报告,组织专家评审。
2. 系统备案:持定级报告和备案表到所在地公安网监进行系统备案。
3. 建设整改:参照定级要求和标准,对信息系统整改加固,建设安全管理体系。
4. 等级测评:测评机构对信息系统等级测评,形成测评报告。
5. 合规监督检查:向所在地公安网监提交测评报告,公安机关监督检查进行等级保护工作。
总之,信息系统安全保护等级测评是保障信息系统安全的重要手段之一,通过定期的测评和整改加固可以确保信息系统的安全性和稳定性。
公安机关信息安全等级保护检查工作规范
公安机关信息安全等级保护检查工作规范试行第一条为规范公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作,根据信息安全等级保护管理办法以下简称管理办法,制定本规范;第二条公安机关信息安全等级保护检查工作是指公安机关依据有关规定,会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查,督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员;第三条信息安全等级保护检查工作由市地级以上公安机关公共信息网络安全监察部门负责实施;每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次,每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次;第四条公安机关开展检查工作,应当按照“严格依法,热情服务”的原则,遵守检查纪律,规范检查程序,主动、热情地为运营使用单位提供服务和指导;第五条信息安全等级保护检查工作采取询问情况,查阅、核对材料,调看记录、资料,现场查验等方式进行;第六条检查的主要内容:(一)等级保护工作组织开展、实施情况;安全责任落实情况,信息系统安全岗位和安全管理人员设置情况;(二)按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况;(三)信息系统定级备案情况,信息系统变化及定级备案变动情况;(四)信息安全设施建设情况和信息安全整改情况;(五)信息安全管理制度建设和落实情况;(六)信息安全保护技术措施建设和落实情况;(七)选择使用信息安全产品情况;(八)聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况;(九)自行定期开展自查情况;(十)开展信息安全知识和技能培训情况;第七条检查项目:一等级保护工作部署和组织实施情况1.下发开展信息安全等级保护工作的文件,出台有关工作意见或方案,组织开展信息安全等级保护工作情况;2.建立或明确安全管理机构,落实信息安全责任,落实安全管理岗位和人员;3.依据国家信息安全法律法规、标准规范等要求制定具体信息安全工作规划或实施方案;4.制定本行业、本部门信息安全等级保护行业标准规范并组织实施;二信息系统安全等级保护定级备案情况1.了解未定级、备案信息系统情况以及第一级信息系统有关情况,对定级不准的提出调整建议;2.现场查看备案的信息系统,核对备案材料,备案单位提交的备案材料与实际情况相符合情况;3.补充提交信息系统安全等级保护备案登记表表四中有关备案材料;4.信息系统所承载的业务、服务范围、安全需求等发生变化情况,以及信息系统安全保护等级变更情况;5.新建信息系统在规划、设计阶段确定安全保护等级并备案情况;三信息安全设施建设情况和信息安全整改情况1.部署和组织开展信息安全建设整改工作;2.制定信息安全建设规划、信息系统安全建设整改方案;3.按照国家标准或行业标准建设安全设施,落实安全措施;四信息安全管理制度建立和落实情况1.建立基本安全管理制度,包括机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、备份与恢复、密码管理等制度;2.建立安全责任制,系统管理员、网络管理员、安全管理员、安全审计员是否与本单位签订信息安全责任书;3.建立安全审计管理制度、岗位和人员管理制度;4.建立技术测评管理制度,信息安全产品采购、使用管理制度;5.建立安全事件报告和处置管理制度,制定信息系统安全应急处置预案,定期组织开展应急处置演练;6.建立教育培训制度,定期开展信息安全知识和技能培训;五信息安全产品选择和使用情况1.按照管理办法要求的条件选择使用信息安全产品;2.要求产品研制、生产单位提供相关材料;包括营业执照,产品的版权或专利证书,提供的声明、证明材料,计算机信息系统安全专用产品销售许可证等;3.采用国外信息安全产品的,经主管部门批准,并请有关单位对产品进行专门技术检测;六聘请测评机构开展技术测评工作情况1.按照管理办法的要求部署开展技术测评工作;对第三级信息系统每年开展一次技术测评,对第四级信息系统每半年开展一次技术测评;2.按照管理办法规定的条件选择技术测评机构;3.要求技术测评机构提供相关材料;包括营业执照、声明、证明及资质材料等;4.与测评机构签订保密协议;5.要求测评机构制定技术检测方案;6.对技术检测过程进行监督,采取了哪些监督措施;7.出具技术检测报告,检测报告是否规范、完整,检查结果是否客观、公正;8.根据技术检测结果,对不符合安全标准要求的,进一步进行安全整改;七定期自查情况1.定期对信息系统安全状况、安全保护制度及安全技术措施的落实情况进行自查;第三级信息系统是否每年进行一次自查,第四级信息系统是否每半年进行一次自查;2.经自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位进一步进行安全建设整改;第八条各级公安机关按照“谁受理备案,谁负责检查”的原则开展检查工作;具体要求是:对跨省或者全国联网运行、跨市或者全省联网运行等跨地域的信息系统,由部、省、市级公安机关分别对所受理备案的信息系统进行检查;对辖区内独自运行的信息系统,由受理备案的公安机关独自进行检查;第九条对跨省或者全国联网运行的信息系统进行检查时,需要会同其主管部门;因故无法会同的,公安机关可以自行开展检查;第十条公安机关开展检查前,应当提前通知被检查单位,并发送信息安全等级保护监督检查通知书见附件1;第十一条检查时,检查民警不得少于两人,并应当向被检查单位负责人或其他有关人员出示工作证件;第十二条检查中应当填写信息系统安全等级保护监督检查记录以下简称监督检查记录,见附件2;检查完毕后,监督检查记录应当交被检查单位主管人员阅后签字;对记录有异议或者拒绝签名的,监督、检查人员应当注明情况;监督检查记录应当存档备查;第十三条检查时,发现不符合信息安全等级保护有关管理规范和技术标准要求,具有下列情形之一的,应当通知其运营使用单位限期整改,并发送信息系统安全等级保护限期整改通知书以下简称整改通知,见附件3;逾期不改正的,给予警告,并向其上级主管部门通报通报书见附件4:(一)未按照管理办法开展信息系统定级工作的;(二)信息系统安全保护等级定级不准确的;(三)未按管理办法规定备案的;四备案材料与备案单位、备案系统不符合的;五未按要求及时提交信息系统安全等级保护备案登记表表四的有关内容的;六系统发生变化,安全保护等级未及时进行调整并重新备案的;七未按管理办法规定落实安全管理制度、技术措施的;八未按管理办法规定开展安全建设整改和安全技术测评的;九未按管理办法规定选择使用信息安全产品和测评机构的;十未定期开展自查的;十一违反管理办法其他规定的;第十四条检查发现需要限期整改的,应当出具整改通知,自检查完毕之日起10个工作日内送达被检查单位;第十五条信息系统运营使用单位整改完成后,应当将整改情况报公安机关,公安机关应当对整改情况进行检查;第十六条公安机关实施信息安全等级保护监督检查的法律文书和记录,应当统一存档备查;第十七条受理备案的公安机关应该配备必要的警力,专门负责信息安全等级保护监督、检查和指导;第十八条公安机关进行安全检查时不得收取任何费用;第十九条本规范所称“以上”包含本数级;第二十条本规范自发布之日起实施;附件1存根一式两份,一份交被通知单位,一份附卷;附件2此记录由公安机关存档信息安全等级保护监督检查记录单此记录由公安机关存档公安机关印章年月日附件3被检查单位主管人员签名一式两份,一份交被检查单位,一份附卷;附件4一式两份,一份交被检查单位,一份附卷;。
安机关信息安全等级保护检查工作规范.doc
安机关信息安全等级保护检查工作规范1 安机关信息安全等级保护检查工作规范(一)开展信息系统安全等级测评,为信息系统安全提供保障。
选择由省级(含)以上信息安全等级保护工作协调小组办公室审核并备案的测评机构,对第三级(含)以上信息系统开展等级测评工作。
等级测评机构依据《信息系统安全等级保护测评要求》等标准对信息系统进行测评,对照相应等级安全保护要求进行差距分析,排查系统安全漏洞和隐患并分析其风险,提出改进建议,按照公安部制订的信息系统安全等级测评报告格式编制等级测评报告。
经测评未达到安全保护要求的,要根据测评报告中的改进建议,制定整改方案并进一步进行整改。
各部门要及时向受理备案的公安机关提交等级测评报告。
对于重要部门的第二级信息系统,可以参照上述要求开展等级测评工作。
(二)开展信息安全等级保护安全管理制度建设,提高信息系统安全管理水平。
按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求,建立健全并落实符合相应等级要求的安全管理制度:一是信息安全责任制,明确信息安全工作的主管领导、责任部门、人员及有关岗位的信息安全责任;二是人员安全管理制度,明确人员录用、离岗、考核、教育培训等管理内容;三是系统建设管理制度,明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容;四是系统运维管理制度,明确机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容。
建立并落实监督检查机制,定期对各项制度的落实情况进行自查和监督检查。
(三)开展信息安全等级保护安全技术措施建设,提高信息系统安全防护能力。
按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全等级保护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系统等级保护安全设计技术要求》等标准规范要求,结合行业特点和安全需求,制定符合相应等级要求的信息系统安全技术建设整改方案,开展信息安全等级保护安全技术措施建设,落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施,建立并完善信息系统综合防护体系,提高信息系统的安全防护能力和水平。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第14章信息系统安全等级保护检查
信息系统的检查工作时信息系统等级保护工作的重要组成部分之一。
系统的检查涉及系统管理和技术的方方面面,是对信息系统安全保障措施能否切实保障系统安全的检查和确认。
本章中将详细叙述检查重要性、分类和实施方式。
14.1.1 概述
信息系统检查是保障信息系统安全性的重要任务之一,通过对建立的信息系统进行安全性检查,能够发现系统的不足,并及时补救和改进。
所以,各国为了解决信息系统的安全性问题,对系统的检查都提出了相应的要求,并且建立了相关的法律、法规、标准和规范等来保障安全检查的正常运行。
14.1.2 检查的工作形势
检查的工作形式,可以分为自检查、监督检查和委托检查。
(1)自检查:指信息系统所有者或运营、使用单位发起的对本单位信息系统的安全状态进行的检查。
若系统所有者的自检查有周期性,则不必每次都执行完整的
检查流程,而只是自检查系统变化的部分和重要部位。
(2)监督检查:指信息系统的上级管理部门组织的,或由国家相关部门依法开展的检查。
监督检查一般需要执行完整的检查流程,但特殊情况下,也可在自检查
的基础上,只执行关键部门的检查。
(3)委托检查:受检单位或监督检查的组织部门不具备检查能力的,可委托经相关主管部门认可的机构来检查。
14.1.3 检查的分类
信息系统的安全性检查按照起因和组织形式可分为常规检查、专项检查、事件检查、安全检查和自查五类;按照内容划分可分为管理类检查和技术类检查两类。
本章将从内容划分进行描述。
(1)管理类检查:针对信息系统的管理过程施行的检查称为管理类检查,主要分为组织安全检查、人员安全检查、系统建设检查和系统运维检查等几个部分。
(2)技术类检查:针对支持和保障信息系统安全运行使用的技术和操作施行的检查称为技术类检查,主要包括物理安全检查、网络安全检查、主机安全检查和应用安全检查等几个部分。
14.2 检查的目标和内容
14.2.1 检查目标
信息系统的检查,无论是自检还是监督检查,实质上都是一种持续性的风险评估和风险规避过程。
美国《联邦信息安全管理法案》中明确要求了联邦各机构需要对每一个系统实施“定期的有效性测试与评估”,考察信息安全的策略、流程和措施“。
维持这样一个风险评估和风险规避过程,能够有效地将系统的安全风险控制在可接受的范围之内,这也就是信息系统安全性检查和目标。
为了更清楚地说明检查的目标,这里给出信息系统安全等级保护检查目标的定义;通过对信息系统安全性检查,将信息系统的安全风险控制在可接受的范围,并且保障系统在相应的系统保护等级上达到相应的等级保护标准和规范。
14.2.2 检查内容
通过细化信息系统安全性检查目标,可以很容易地得到系统检查相应的检查内容,如表14-1所示。
表14-1 系统检查内容
14.3 检查的实施
14.3.1 管理类检查
1.组织安全检查
检查对象:信息安全组织机构相关文档和管理制度。
检查条目和结果判定可参照组织安全管理检查表,如表14-2所示。
表14-2 组织机构安全管理检查
2.人员安全检查
检查对象:人员管理的制度和记录。
检查条目和结果判定可参照人员安全管理检查表,如表14-3所示。
表14-3 人员安全管理检查表
3.系统建设检查
检查对象:系统顶级管理中的制度、记录文档和相关的合同及文档等。
检查条目和结果判定参照系统建设管理检查表,如表14-4所示。
表14-4 系统建设管理检查表
4.系统运维检查
14.3.2 技术类检查
1.物理安全检查
检查对象:机房环境安全、设备安全、系统安全保障措施实施情况和检测验收报告。
检查条目:
1)物理环境安全
(1)检查机房安全环境,包括机房布线、防静电和防盗防毁措施的实施情况;
(2)检查机房防水、防火和温湿度调节等保障措施和设备是否完全符合标准,以及其运行维护情况;
(3)检查机房管理制度和相关的记录文件;
(4)检查机房的门禁机监控系统运行情况和相关记录文件;
(5)检查屏幕和办公桌面。
2)设备物理安全
(1)检查物理设备的防电磁干扰和泄露措施;
(2)检查物理设备的维护情况和相关记录文档。
3)介质物理安全
(1)检查物理介质存放、管理措施和相关文档记录文件;
(2)检查物理介质信息消除措施的实施情况和相关记录;
(3)检查介质信息加密措施实施情况。
检查条目和结果判定可参照物理安全检查表,如表14-6所示。
2.网络安全措施
检查对象:网络拓扑、安全策略、设备和网络安全的各类保障措施。
如访问控制等的实施情况以及相关的记录和审计文件等。
检查条目:
1)结构安全
(1)网络拓扑结构图与当前网络系统结构的符合性;
(2)网络结构设计和区域划分的合理性;
(3)重要区域和网段、业务、职能部门的隔离性;
(4)重要业务系统的带宽优先级;
(5)路由控制;
(6)网络冗余性配置。
2)访问控制
(1)检查身份认证系统运行情况和相关记录文件;
(2)检查访问控制措施实施情况以及相关的监控和记录文件。
3)安全审计
(1)检查审计数据保护措施实施情况;
(2)检查审计数据的审查记录文件;
(3)检查审计工具使用情况。
4)边界检测
带宽控制、非授权连接行为检查和阻断。
5)入侵防范
(1)检查入侵检测技术实施情况以及相关监控和记录文件;(2)检查攻击情况和相关额攻击记录。
6)恶意代码防护
(1)恶意代码检测、清除措施实施情况和记录;
(2)恶意代码库升级情况。
7)网络设备防护
(1)用户身份鉴别;
(2)网络管理员登录地址限制;
(3)网络设备用户标识唯一性;
(4)登录失败处理功能;
(5)权限分离;
检查条目和结果判定参见网络安全检查表,如表14-7所示。
表14-7 网络安全检查表
3.主机安全检查
检查对象:主机安全中各类保护措施的实施情况,以及相关记录、日志和审计文件。
检查条目:
1)身份鉴别机制
(1)检查操作系统和数据库系统管理员用户的身份标识和鉴别;
(2)检查操作系统和数据库系统管理员用户标识唯一性和不可冒用性和口令的复杂性;(3)检查用户登录失败的处理机制;
(4)检查服务器远程管理功能及其保护措施;
(5)检查管理员身份鉴别组合技术及其实施情况。
2)访问控制机制
(1)检查访问控制机制的实施、审计情况和相关审计记录;
(2)检查管理员用户权限分配情况是否符合最小权限管理;
(3)检查操作系统和数据库管理系统管理员权限分离情况;
(4)检查其他默认账号的权限分配和管理情况;
(5)检查敏感资源标记情况,以及对敏感资源进行控制。
3)安全审计
(1)检查审计范围覆盖情况;
(2)检查审计内容覆盖情况;
(3)检查审计安全记录内容;
(4)检查审计报表生成和自动生成情况;
(5)检查审计进度保护情况;
(6)检查审计记录保护情况。
4)剩余信息保护
(1)检查操作系统和数据库系统用户鉴别信息所在的存储空间(内存和硬盘空间)移为他用时剩余信息和痕迹清除情况;
(2)检查系统文件、目录和数据库等资源文件存储空间,被释放或移为他用时剩余信息清理情况。
5)入侵防范
(1)检查主机入侵检测软件运行情况和入侵检测记录;
(2)检查重要程序完整性检查和恢复措施;
(3)检查操作系统安全是否符合最小安装原则,以及系统补丁的升级和更新情况。
6)恶意代码防护
(1)检查恶意代码软件的安装、运行和更新情况;
(2)检查主机恶意代码库和网络恶意代码库分离情况;
(3)检查恶意代码库的统一管理和升级。
7)资源控制
(1)检查终端登录限制情况;
(2)检查安全策略中终端登录超时情况;
(3)检查单个用户系统资源使用情况;
8)备份恢复
(1)检查关键网络设备、通信线路、关键设备的硬件冗余情况,保障系统的高可用性;检查条目和结果判定操作主机安全检查法,如表14-8所示。
4.应用安全检查
1)脆弱性检查
检查对象:重要业务系统和网站等重要应用系统。
检查条目:业务系统和网站等重要应用系统中、高风险安全漏洞情况。
2)应用措施防护
检查对象:业务系统和重要网站等应用系统。
检查条目:
(1)防篡改与恢复功能;
(2)WEB应用层防护功能。
3)门户网站监测
检查对象:门户网站系统。
检查条目:
(1)系统可用性监测;
(2)信息破坏事件监测;
(3)有害程序事件监测;
(4)信息内容安全监测。
检查条目和结果判定如表14-9所示。