返回
安全管理测评作业指导书

安全管理测评作业指导书

ID:16201547

大小:780.50 KB

页数:187页

时间:2018-08-08

安全管理测评作业指导书_第1页
安全管理测评作业指导书_第2页
安全管理测评作业指导书_第3页
安全管理测评作业指导书_第4页
安全管理测评作业指导书_第5页
资源描述:

《安全管理测评作业指导书》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、安全管理测评作业指导书管理体系文件安全管理测评作业指导书编制:校对:审核:批准:2009--发布2009--实施安全管理测评作业指导书管理体系文件修订页更改状态序号对应的章、节、条号修订内容更改人批准人批准日期安全管理测评作业指导书管理体系文件1目的安全管理贯穿于信息系统的整个生命周期,在保障信息系统的安全中发挥了重要作用,与安全技术占据同等重要的地位。安全管理通常是指在信息系统中对需要人来参与的活动采取必要的管理控制措施,通过文档化的管理体系,为保障系统正常运行所涉及的人员活动做出明确规定。本手册的编写目的是为了指导管理测评实施人员的实际工作,根据实际工作的深入开展,会

2、及时对本作业指导书进行更新,以保证指导书的高指导性。2适用范围本手册适用于在现场测评实施中负责安全管理测评检查的测评人员。3职责3.1测评师1)测评师应在客观、公正的情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方式和解释,实施测评活动;2)测评师应正确理解测评项,并具有良好的判断;3)测评师应注意测评记录和证据的接收、处理、存储和销毁,保护其在测评期间免遭改变和遗失,并保守秘密;4)测评师应遵循正确的测评方法进行现场测评和结果判定,以确保满足相关标准的要求。4相关文件4.1依据标准GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》4.2

3、参考标准《信息系统安全等级保护测评要求》(送审稿)第185页共181页安全管理测评作业指导书管理体系文件《信息系统安全等级保护测评过程指南》(送审稿)上述文件中的条款通过本手册的引用而成为本手册的内容。凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本手册。凡是不注明日期的引用文件,其最新版本适用于本手册。5测评方法人员访谈测评师通过与被检查人员进行交流,对测评检查项进行细化。所获得测评所需数据,进行查验、分析等活动,获取证据以证明信息系统安全等级保护措施是否有效。文档检查测评师通过文档检查验证用户的现有文档与测评要求的符合程度,获取证据以

4、证明信息系统安全等级保护措施是否有效。6操作步骤6.1测评前准备确定安全管理检查的测评内容。根据《信息系统安全等级保护基本要求》中的管理要求,安全管理测评包括五个部分,分别为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。确定安全管理检查的测评对象。安全管理检查分为管理访谈与管理文档检查两个部分。管理访谈在进入现场实施访谈工作之前,需要与被测方进行沟通,确认对方被访谈对象的名单,确认其中是否存在同一被访谈对象对应多个访谈岗位的状况,在与被测方就“岗位——人员”对应关系取得一致性意见后,编写访谈工作实施计划,并提交被测方,确认访谈工作开展的时间、地点、

5、被访谈对象的先后顺序。同时进入现场之前,需确认所有安全管理访谈检查表已准备妥当,并熟悉列表中的内容。管理文档检查在进入现场实施检查工作之前,需要与被测方进行沟通,确认配合文档检查的人员等。同时进入现场之前,需确认所有文档检查表第185页共181页安全管理测评作业指导书管理体系文件已准备妥当,并熟悉列表中的内容。6.2现场测评进入现场测评阶段后,首先应确定检查对象进行访谈、检查,并在检查的过程中分别填写对应的管理访谈表与文档检查表。完成检查后,测评师与检查对象分别对现场检查表上的内容确认无误后签字确认。安全管理测评现场实施流程图如下:图1安全管理测评现场实施流程6.3异常处

6、理若检查对象对测评项存在疑问,测评师应向其进行解释或举例说明,以保证测评工作能够顺利进行。若检查对象拒绝或不配合进行测评实施,测评师应报测评项目经理获知,经测评项目经理确认后,双方签字确认。6.4现场的清理现场测评工作结束时,双方对被测系统的运行情况进行验证并签字确认。第185页共181页安全管理测评作业指导书管理体系文件测评师应对所有检查表的完整性进行确认,内容包括:检查列表的表头、结果记录、日期等均填写完整无误,所有检查表无缺页。确认工作完成后,报测评项目经理,测评现场实施完成。6.5注意事项应遵循最小影响原则。现场测评尽量避开被测系统的业务高峰期进行实施。应遵循安全

7、原则。对于存在安全风险的测评实施,测评师必须向被检查对象明示,在取得对方授权后方可进行;若对方拒绝授权,应报测评项目经理获知,由测评项目经理与对方进行协商,若仍不能获得授权,则可不进行该测评实施,但应在记录表中说明。7记录7.1二级系统安全管理测评检查表包括不同参数的组合用表。7.2三级系统安全管理测评检查表包括不同参数的组合用表。7.3四级系统安全管理测评检查表包括不同参数的组合用表。8关键测评要点说明8.1二级系统关键测评要点说明以下先就对安全管理测评中可能涉及到的内容进行说明:情况一、若被访谈对象的实际工作职责对应于访谈

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。