哈喽!EVERYBODY !
围绕等保2.0的通用要求,对审计实践案例做的逐步介绍,今天是最后一期啦!本期,小编带给大家的是:安全管理人员、安全建设管理和安全运维管理,三部分的内容,请各位小主查收!
安全管理人员
安全管理人员审计要点和注意事项
人员录用
调研访谈:专门的部门或人员负责人员的录用工作,人员录用条件和审查内容;
查文件:查部门/人员工作职责文件,人员录用要求管理文档,相关审查及考核记录,查保密协议;查保密协议签署记录。
人员离岗
调研访谈:离岗人员控制方法,调离手续,关键岗位人员调离时承诺相关保密协议;
查文件:查人员离岗的管理文档,对离岗人员的安全处理记录,调离手续记录,查保密承诺文档,调离人员记录。
安全意识教育和培训
调研访谈:制定培训计划及实施情况,对违反安全策略和规定的人员进行惩戒;
查文件:查安全意识教育和培训规程文件,安全责任和惩戒措施管理文档,安全教育和培训计划文档,教育和培训记录。
外部人员访问管理
调研访谈:对外部人员访问重要区域管理措施、规程或制度等情况;
查文件:查外部人员访问管理规程文档和访问重要区域批准文档,外部人员访问重要区域的登记记录。
安全管理人员审计高风险判定示例
1、未指定或授权专门的部门或人员负责人员的录用工作。
2、人员安全管理文档未说明录用人员应具备的条件(如学历、学位要求,技术人员应具备的专业技术水平,管理人员应具备的安全管理知识等)。
3、人员录用时,未记录对录用人身份、安全背景、专业资格或资质等(审查内容和审查结果)进行审查等。
4、人员录用时的技能考核文档或记录未记录考核内容和考核结果。
5、保密协议未有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容。
安全建设管理
安全建设管理审计要点和注意事项
定级和备案
调研访谈:系统定级过程、方法和理由,定级结果论证和审定,定级结果批准,专门部门管理和使用定级材料,报主管部门和公安机关进行备案;
查文件:查系统定级文档,文档说明定级方法和理由,论证和审定意见,批准盖章,主管部门和公安机关备案的记录或备案文档等。
安全方案设计
调研访谈:专人负责安全建设规划,安全设计方案,专家论证和审定,定期修订配套文件;
查文件:安全措施文档、风险分析表,总体规划文件和工作计划,专家论证文档,文档修订记录。
产品采购和使用
调研访谈:安全、密码产品使用,指定部门负责采购,审定和更新候选产品名单;
查文件:采购文件中涉及产品指标和候选范围,密码产品使用规定,产品选型测试记录等。
自行软件开发
调研访谈:开发环境与测试环境分开,编码安全规范,专人保管设计文档和使用指南,授权审批;
查文件:查软件开发管理制度,明确软件开发生命周期管理,编码规范,设计文档等管理。
外部软件开发
调研访谈:检测软件质量,恶意代码检测,开发商提供设计文档、使用指南和源代码等;
查文件:外包软件验收测试报告,恶意代码检测报告,设计文件和使用指南,源代码审查记录等。
工程实施
调研访谈:专人负责管理实施过程,制定实施方案,制定工程实施方面的安全管理制度;
查文件:工程实施方的责任、任务和质量要求,工程实施方案,阶段性报告,工程实施管理制度。
测试验收
调研访谈:第三方安全测试,制定测试验收方案和报告,专人负责验收工作,测试验收报告审定;
查文件:第三方测试文档,测试验收方案,测试验收管理文档,测试验收记录和测试验收报告。
系统交付
调研访谈:根据交付清单对设备、文档、软件等进行清点,新系统培训,专人负责系统交接工作;
查文件:详细系统交付清单,新系统培训记录,系统运维文档,系统交付管理文档等。
等级测评
调研访谈:等保测评管理文件,系统变更后的等级测评,如何选择测评机构,专人负责等保测评;
查文件:测评报告、建议报告和整改方案,测评机构资质。
安全服务商选择
调研访谈:安全服务器选择,签订服务协议,服务商提供技术培训和服务培训;
查文件:服务招标文件,签订的服务合同和保密协议等文档,服务合同中包含服务内容和期限等。
安全建设管理审计高风险判定示例
1、网络关键设备和网络安全专用产品的使用违反国家有关规定。
2、密码产品与服务的使用违反国家密码管理主管部门的要求。
3、对于涉及金融、民生、基础设施等重要行业的业务核心系统由外包公司开发,上线前未对外包公司开发的系统进行源代码审查,外包商也无法提供相关安全检测证明。
4、系统上线前未通过安全性测试,或未对相关高风险问题进行安全评估仍旧“带病”上线的,安全检查内容可以包括但不限于扫描渗透测试、安全功能验证、源代码安全审核。
安全运维管理
安全运维管理审计要点和注意事项
环境管理
调研访谈:指定部门或人员对机房维护、机房安全,建立机房制度,办公环境保密性管理;
查文件:机房维护管理制度和维护记录,查机房管理制度,物理访问、环境安全等,办公环境管理文档。
资产管理
调研访谈:建立资产登记管理及资产清单,依据重要资产进行分类和标识管理;
查文件:查资产清单,资产安全管理制度,依据资产重要程度的管理措施,信息分类文档和资产标识原则和方法。
介质管理
调研访谈:介质安全管理制度,介质的存放,介质传输控制,介质销毁,介质异地存储,介质分类标识管理;
查文件:查介质安全管理制度,介质管理记录,介质目录清单,异地存储环境,查看介质标识。
设备维护管理
调研访谈:专人负责设备管理,建立设备安全管理制度,建立配套设施、软硬件维护方面的管理制度;
查文件:设备和线路维护记录,查设备安全管理制度,设备维护记录和操作日志,设备带离申报材料和报告。
漏洞和风险管理
调研访谈:安全管理员,定期开展安全测评;
查文件:查识别安全漏洞和隐患的安全报告或记录(如漏洞扫描报告、渗透测试报告和安全通报等) ,安全整改应对措施文档。
网络和系统安全管理
调研访谈:专人网络管理,建立网络安全管理制度,更新网络软件信息,进行漏扫,外链授权,移动设备准入,访问控制策略,定期漏扫,补丁更新,建立系统管理制度,权限分配,制定操作手册,日志分析;
查文件:查网络安全制度,网络设备升级记录,漏扫报告,外链授权文件,内部网络外联的授权批准书;查访问控制策略,系统漏扫报告,补丁记录,查系统安全管理制度,岗位职责定义,日志分析报告。
安全运维管理审计高风险判定示例
1、未对发现的安全漏洞和隐患及时修补,会导致系统存在较大的安全隐患,黑客有可能利用安全漏洞对系统实施恶意攻击,如果安全漏洞和隐患能够构成高危风险。
2、未对运维过程中改变连接、安装系统组件或调整配置参数进行变更审批,且未进行变更性测试,一旦安装系统组件或调整配置参数对系统造成影响,有可能导致系统无法正常访问,出现异常。
3、未对各类运维工具(特别是未商业化的运维工具)进行有效性检查,未对运维工具的接入进行严格的控制和审批,运维工具中可能存在漏洞或后门,一旦被黑客利用有可能造成数据泄漏。
4、制度上服务器及终端与外部连接的授权和批准制度,也未定期对相关违反网络安全策略的行为进行检查,存在违规外联的安全隐患,一旦内网服务器或终端违规外联,可能造成涉密信息(商密信息)的泄露,同时增加感染病毒的可能性。
往期 · 推荐
EAN online
原文始发于微信公众号(e安在线):一文读懂 | 等保2.0安全通用要求审计实践案例(第4期)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论