一文读懂 | 等保2.0安全通用要求审计实践案例(第4期)

admin 2022年8月22日00:52:44制度法规评论6 views3022字阅读10分4秒阅读模式


哈喽!EVERYBODY !

围绕等保2.0的通用要求,对审计实践案例做的逐步介绍,今天是最后一期啦!本期,小编带给大家的是:安全管理人员、安全建设管理安全运维管理,三部分的内容,请各位小主查收!





安全管理人员



安全管理人员审计要点和注意事项


人员录用

调研访谈:专门的部门或人员负责人员的录用工作,人员录用条件和审查内容;

查文件:查部门/人员工作职责文件,人员录用要求管理文档,相关审查及考核记录,查保密协议;查保密协议签署记录。


人员离岗

调研访谈:离岗人员控制方法,调离手续,关键岗位人员调离时承诺相关保密协议;

查文件:查人员离岗的管理文档,对离岗人员的安全处理记录,调离手续记录,查保密承诺文档,调离人员记录。


安全意识教育和培训

调研访谈:制定培训计划及实施情况,对违反安全策略和规定的人员进行惩戒;

查文件:查安全意识教育和培训规程文件,安全责任和惩戒措施管理文档,安全教育和培训计划文档,教育和培训记录。


外部人员访问管理

调研访谈:对外部人员访问重要区域管理措施、规程或制度等情况;

查文件:查外部人员访问管理规程文档和访问重要区域批准文档,外部人员访问重要区域的登记记录。

安全管理人员审计高风险判定示例

1、未指定或授权专门的部门或人员负责人员的录用工作。

2、人员安全管理文档未说明录用人员应具备的条件(如学历、学位要求,技术人员应具备的专业技术水平,管理人员应具备的安全管理知识等)。

3、人员录用时,未记录对录用人身份、安全背景、专业资格或资质等(审查内容和审查结果)进行审查等。

4、人员录用时的技能考核文档或记录未记录考核内容和考核结果。

5、保密协议未有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容。



安全建设管理



安全建设管理审计要点和注意事项


定级和备案

调研访谈:系统定级过程、方法和理由,定级结果论证和审定,定级结果批准,专门部门管理和使用定级材料,报主管部门和公安机关进行备案;

查文件:查系统定级文档,文档说明定级方法和理由,论证和审定意见,批准盖章,主管部门和公安机关备案的记录或备案文档等。


安全方案设计

调研访谈:专人负责安全建设规划,安全设计方案,专家论证和审定,定期修订配套文件;

查文件:安全措施文档、风险分析表,总体规划文件和工作计划,专家论证文档,文档修订记录。


产品采购和使用

调研访谈:安全、密码产品使用,指定部门负责采购,审定和更新候选产品名单;

查文件:采购文件中涉及产品指标和候选范围,密码产品使用规定,产品选型测试记录等。


自行软件开发

调研访谈:开发环境与测试环境分开,编码安全规范,专人保管设计文档和使用指南,授权审批;

查文件:查软件开发管理制度,明确软件开发生命周期管理,编码规范,设计文档等管理。


外部软件开发

调研访谈:检测软件质量,恶意代码检测,开发商提供设计文档、使用指南和源代码等;

查文件:外包软件验收测试报告,恶意代码检测报告,设计文件和使用指南,源代码审查记录等。


工程实施

调研访谈:专人负责管理实施过程,制定实施方案,制定工程实施方面的安全管理制度

查文件:工程实施方的责任、任务和质量要求,工程实施方案,阶段性报告,工程实施管理制度。


测试验收

调研访谈:第三方安全测试,制定测试验收方案和报告,专人负责验收工作,测试验收报告审定;

查文件:第三方测试文档,测试验收方案,测试验收管理文档,测试验收记录和测试验收报告。


系统交付

调研访谈:根据交付清单对设备、文档、软件等进行清点,新系统培训,专人负责系统交接工作;

查文件:详细系统交付清单,新系统培训记录,系统运维文档,系统交付管理文档等。


等级测评

调研访谈:等保测评管理文件,系统变更后的等级测评,如何选择测评机构,专人负责等保测评;

查文件:测评报告、建议报告和整改方案,测评机构资质。


 安全服务商选择

调研访谈:安全服务器选择,签订服务协议,服务商提供技术培训和服务培训;

查文件:服务招标文件,签订的服务合同和保密协议等文档,服务合同中包含服务内容和期限等。

安全建设管理审计高风险判定示例

1、网络关键设备和网络安全专用产品的使用违反国家有关规定。

2、密码产品与服务的使用违反国家密码管理主管部门的要求。

3、对于涉及金融、民生、基础设施等重要行业的业务核心系统由外包公司开发,上线前未对外包公司开发的系统进行源代码审查,外包商也无法提供相关安全检测证明。

4、系统上线前未通过安全性测试,或未对相关高风险问题进行安全评估仍旧“带病”上线的,安全检查内容可以包括但不限于扫描渗透测试、安全功能验证、源代码安全审核。



安全运维管理



安全运维管理审计要点和注意事项


环境管理

调研访谈:指定部门或人员对机房维护、机房安全,建立机房制度,办公环境保密性管理;

查文件:机房维护管理制度和维护记录,查机房管理制度,物理访问、环境安全等,办公环境管理文档。


资产管理

调研访谈:建立资产登记管理及资产清单,依据重要资产进行分类和标识管理;

查文件:查资产清单,资产安全管理制度,依据资产重要程度的管理措施,信息分类文档和资产标识原则和方法。


介质管理

调研访谈:介质安全管理制度,介质的存放,介质传输控制,介质销毁,介质异地存储,介质分类标识管理;

查文件:查介质安全管理制度,介质管理记录,介质目录清单,异地存储环境,查看介质标识。


设备维护管理

调研访谈:专人负责设备管理,建立设备安全管理制度,建立配套设施、软硬件维护方面的管理制度;

查文件:设备和线路维护记录,查设备安全管理制度,设备维护记录和操作日志,设备带离申报材料和报告。


漏洞和风险管理

调研访谈:安全管理员,定期开展安全测评;

查文件:查识别安全漏洞和隐患的安全报告或记录(如漏洞扫描报告、渗透测试报告和安全通报等) ,安全整改应对措施文档。


网络和系统安全管理

调研访谈:专人网络管理,建立网络安全管理制度,更新网络软件信息,进行漏扫,外链授权,移动设备准入,访问控制策略,定期漏扫,补丁更新,建立系统管理制度,权限分配,制定操作手册,日志分析;

查文件:查网络安全制度,网络设备升级记录,漏扫报告,外链授权文件,内部网络外联的授权批准书;查访问控制策略,系统漏扫报告,补丁记录,查系统安全管理制度,岗位职责定义,日志分析报告。

安全运维管理审计高风险判定示例

1、未对发现的安全漏洞和隐患及时修补,会导致系统存在较大的安全隐患,黑客有可能利用安全漏洞对系统实施恶意攻击,如果安全漏洞和隐患能够构成高危风险。

2、未对运维过程中改变连接、安装系统组件或调整配置参数进行变更审批,且未进行变更性测试,一旦安装系统组件或调整配置参数对系统造成影响,有可能导致系统无法正常访问,出现异常。

3、未对各类运维工具(特别是未商业化的运维工具)进行有效性检查,未对运维工具的接入进行严格的控制和审批,运维工具中可能存在漏洞或后门,一旦被黑客利用有可能造成数据泄漏。

4、制度上服务器及终端与外部连接的授权和批准制度,也未定期对相关违反网络安全策略的行为进行检查,存在违规外联的安全隐患,一旦内网服务器或终端违规外联,可能造成涉密信息(商密信息)的泄露,同时增加感染病毒的可能性。

往期 · 推荐




一文读懂|等保2.0安全通用要求审计实践案例(第1期)

一文读懂|等保2.0安全通用要求审计实践案例(第2期)

一文读懂 | 等保2.0安全通用要求审计实践案例(第3期)


 EAN online



一文读懂 | 等保2.0安全通用要求审计实践案例(第4期)

原文始发于微信公众号(e安在线):一文读懂 | 等保2.0安全通用要求审计实践案例(第4期)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月22日00:52:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  一文读懂 | 等保2.0安全通用要求审计实践案例(第4期) http://cn-sec.com/archives/698632.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: