系統(tǒng)運(yùn)維管理安全測評指導(dǎo)書

1、系統(tǒng)運(yùn)維管理安全測評指導(dǎo)書序號測評指標(biāo)測評項(xiàng)檢查方法預(yù)期結(jié)果1環(huán)境管理a）訪談物理 安全負(fù)責(zé) 人，檢查機(jī) 房安全管理 制度，機(jī)房 進(jìn)出登記表訪談：1 ）運(yùn)維負(fù)責(zé)人， 何部門何人負(fù)責(zé)機(jī)房 定期維護(hù)、周期；2） 運(yùn)維負(fù)責(zé)人，何部門何 人負(fù)責(zé)機(jī)房管理。檢 查：機(jī)房維護(hù)記錄。1）指定專門部門或?qū)?門人員負(fù)責(zé)機(jī)房定期 維護(hù)；2）指定專門部 門或?qū)ｉT人員負(fù)責(zé)機(jī) 房管理；3 ）具備機(jī)房 維護(hù)記錄。b）訪談物理 安全負(fù)責(zé) 人，檢查機(jī) 房安全管理 制度，機(jī)房 進(jìn)出登記表訪談：運(yùn)維負(fù)責(zé)人， 何部門何人負(fù)責(zé)機(jī)房 安全管理。指定專門部門或?qū)ｉT 人員負(fù)責(zé)機(jī)房管理。c）訪談物理 安全負(fù)責(zé) 人，檢查機(jī) 房安全管理 制度，機(jī)

2、房 進(jìn)出登記表檢查：機(jī)房安全管理 制度，覆蓋機(jī)房物理訪 問、物品帶進(jìn)和帶出機(jī) 房、機(jī)房環(huán)境安全。具備機(jī)房安全管理制 度，覆蓋機(jī)房物理訪 問、物品帶進(jìn)和帶出機(jī) 房、機(jī)房環(huán)境安全。d）訪談物理 安全負(fù)責(zé) 人，檢查機(jī) 房安全管理 制度，機(jī)房 進(jìn)出登記表訪談：安全主管，保 證辦公環(huán)境的保密性 采取了的控制措施。檢杳：辦公環(huán)境管理 文檔，包括員工日常工 作規(guī)范。制定了辦公環(huán)境管理 文檔，內(nèi)容包括規(guī)范辦 公環(huán)境人員行為，包括 工作人員調(diào)離辦公室 應(yīng)立即交還該辦公室 鑰匙、不在辦公區(qū)接待 來訪人員、工作人員離 開座位應(yīng)確保終端計(jì) 算機(jī)退出登錄狀態(tài)和 桌面上沒有包含敏感 信息的紙檔文件等。2資產(chǎn)管理a）訪談安

3、全 主管，資產(chǎn) 管理員，檢 查資產(chǎn)清 單，資產(chǎn)安 全管理制 度。訪談：安全主管，何 部門何人負(fù)責(zé)資產(chǎn)管 理。檢查：資產(chǎn)清單， 覆蓋資產(chǎn)責(zé)任部門、責(zé) 任人、所處位置和重要 程度。1）指定專門的部門或 人員負(fù)責(zé)資產(chǎn)管理；2）具備資產(chǎn)清單，資 產(chǎn)清單的內(nèi)容覆蓋資 產(chǎn)責(zé)任部門、責(zé)任人、 所處位置和重要程度 等。b）訪談安全檢查：資產(chǎn)安全管理建立了資產(chǎn)安全管理主管，資產(chǎn) 管理員，檢 查資產(chǎn)清 單，資產(chǎn)安 全管理制 度。制度，資產(chǎn)管理的責(zé)任 部門、責(zé)任人，內(nèi)容覆 蓋資產(chǎn)使用、傳輸、存 儲、維護(hù)。制度，規(guī)定信息系統(tǒng)資 產(chǎn)管理的責(zé)任人員或 責(zé)任部門，并規(guī)范資產(chǎn) 管理和使用的行為。C）訪談安全 主管，資產(chǎn) 管理

4、員，檢 查資產(chǎn)清 單，資產(chǎn)安 全管理制 度。訪談：1 ）資產(chǎn)管理員， 是否依據(jù)資產(chǎn)的重要 程度對資產(chǎn)進(jìn)行分類 和標(biāo)識管理；2 ）資產(chǎn) 管理員，不同測評指標(biāo) 的資產(chǎn)是否米取不同 的管理措施。1）依據(jù)資產(chǎn)的重要程 度對資產(chǎn)進(jìn)行分類和 標(biāo)識管理；2 ）針對不 同主要程度的資產(chǎn)米 取不同的管理措施。d）訪談安全 主管，資產(chǎn) 管理員，檢 查資產(chǎn)清 單，資產(chǎn)安 全管理制 度。檢查：信息分類文檔， 信息分類標(biāo)識的原則 和方法。具備信息分類文檔，說 明分類與標(biāo)識的原則 和方法（如根據(jù)信息的 重要程度、敏感程度或 用途不同進(jìn)行分類）。3介質(zhì)管理a）訪談資產(chǎn) 管理員，檢 查介質(zhì)管理 記錄，包括 各類介質(zhì)。訪談：安

5、全主管，何 部門何人負(fù)責(zé)介質(zhì)管 理。檢杳：介質(zhì)管理 制度，內(nèi)容否覆蓋介質(zhì) 的存放環(huán)境、使用、維 護(hù)和銷毀等方面。1）指定或授權(quán)專門的 部門負(fù)責(zé)介質(zhì)管理；2）具備介質(zhì)管理制度， 內(nèi)容包括介質(zhì)的存放 環(huán)境、使用、維護(hù)和銷 毀等方面。b）訪談資產(chǎn) 管理員，檢 查介質(zhì)管理 記錄，包括 各類介質(zhì)。訪談：資產(chǎn)管理員， 詢問介質(zhì)的存放環(huán)境 是否有保護(hù)措施，防止 其被盜、被毀、被未授 權(quán)修改以及信息的非 法泄漏，是否有專人管 理。介質(zhì)的存放環(huán)境具備 保護(hù)措施，防止其被 盜、被毀、被未授權(quán)修 改以及信息的非法泄 漏，指定專人進(jìn)行管 理。c）訪談資產(chǎn) 管理員，檢 查介質(zhì)管理 記錄，包括 各類介質(zhì)。訪談：1 ）介質(zhì)

6、管理員， 詢問對介質(zhì)帶出工作 環(huán)境（如送出維修或銷 毀）和重要介質(zhì)中的數(shù) 據(jù)和軟件是否進(jìn)行保 密性處理；2）詢問對 介質(zhì)的物理傳輸過程 是否要求選擇可靠傳1）對介質(zhì)帶出工作環(huán) 境和重要介質(zhì)中的數(shù) 據(jù)和軟件進(jìn)行保密性 處理；2）對介質(zhì)的物 理傳輸過程進(jìn)行控制， 選擇可靠傳輸人員、嚴(yán) 格介質(zhì)的打包（如采用 防拆包裝置）、選擇安輸人員、嚴(yán)格介質(zhì)的打 包（如采用防拆包裝 置）、選擇安全的物理 傳輸途徑、雙方在場交 付等環(huán)節(jié)的控制。全的物理傳輸途徑、雙 方在場交付等。d）訪談資產(chǎn) 管理員，檢 查介質(zhì)管理 記錄，包括 各類介質(zhì)。訪談：介質(zhì)管理員， 對保密性較咼的介質(zhì) 銷毀前是否有領(lǐng)導(dǎo)批 準(zhǔn)，對送出維修或銷

7、毀 的介質(zhì)是否對數(shù)據(jù)進(jìn) 行凈化處理。對保密性較咼的介質(zhì) 銷毀經(jīng)過領(lǐng)導(dǎo)批準(zhǔn)，對 送出維修或銷毀的介 質(zhì)對數(shù)據(jù)進(jìn)行凈化處 理。e）訪談資產(chǎn) 管理員，檢 查介質(zhì)管理 記錄，包括 各類介質(zhì)。訪談：資產(chǎn)管理員， 詢問是否對某些重要 介質(zhì)實(shí)行異地存儲，異 地存儲環(huán)境是否與本 地環(huán)境相同。針對重要介質(zhì)實(shí)行異 地存儲，且異地存儲環(huán) 境與本地環(huán)境相同。f）訪談資產(chǎn) 管理員，檢 查介質(zhì)管理 記錄，包括 各類介質(zhì)。訪談：資產(chǎn)管理員， 依據(jù)資產(chǎn)的重要程度 對資產(chǎn)進(jìn)行分類和標(biāo) 識管理，不同測評指標(biāo) 的資產(chǎn)是否采用不同 的管理措施。依據(jù)資產(chǎn)的重要程度 對資產(chǎn)進(jìn)行分類和標(biāo) 識管理，不同測評指標(biāo) 的資產(chǎn)米用不同的管 理措施。

8、4設(shè)備管理a）訪談資產(chǎn) 管理員，系 統(tǒng)管理員， 審計(jì)員，檢 查服務(wù)器操 作規(guī)程，設(shè) 備審批、發(fā) 放管理文 檔，設(shè)備使 用管理文 檔，服務(wù)器 操作日志。訪談：資產(chǎn)管理員， 何部門何人對設(shè)備和 線路進(jìn)行定期維護(hù)，周 期。1）指定或授權(quán)專門的 部門或人員負(fù)責(zé)設(shè)備 和線路的維護(hù)；2 ）定 期對設(shè)備進(jìn)行維護(hù)管 理。b）訪談資產(chǎn) 管理員，系 統(tǒng)管理員， 審計(jì)員，檢 查服務(wù)器操 作規(guī)程，設(shè) 備審批、發(fā)訪談：資產(chǎn)管理員， 詢問是否對設(shè)備選用 的各個環(huán)節(jié)進(jìn)行審批 控制。對設(shè)備選用的各個環(huán) 節(jié)（如選型、采購、發(fā) 放等）進(jìn)行審批控制， 對設(shè)備帶離機(jī)構(gòu)進(jìn)行 審批控制，設(shè)備的操作 和使用進(jìn)行規(guī)范化管 理。放管理文 檔，

9、設(shè)備使 用管理文 檔，服務(wù)器 操作日志。c）訪談資產(chǎn) 管理員，系 統(tǒng)管理員， 審計(jì)員，檢 查服務(wù)器操 作規(guī)程，設(shè) 備審批、發(fā) 放管理文 檔，設(shè)備使 用管理文 檔，服務(wù)器 操作日志。訪談：安全審計(jì)員， 主要設(shè)備操作是否建 立日志，日志文件如何 管理，是否定期檢查管 理情況。檢查：維護(hù) 管理制度，配套設(shè)施、 軟硬件維護(hù)進(jìn)行有效 的管理，明確維護(hù)人員 的責(zé)任、涉外維修和服 務(wù)的審批、維修過程的 監(jiān)督控制管理等。針對軟硬件維護(hù)方面 指定了管理制度，包括 明確維護(hù)人員的責(zé)任、 涉外維修和服務(wù)的審 批、維修過程的監(jiān)督控 制等。d）訪談資產(chǎn) 管理員，系 統(tǒng)管理員， 審計(jì)員，檢 查服務(wù)器操 作規(guī)程，設(shè) 備審批

10、、發(fā) 放管理文 檔，設(shè)備使 用管理文 檔，服務(wù)器 操作日志。檢查：1）主要設(shè)備的 操作規(guī)程，內(nèi)容是否覆 蓋設(shè)備的啟停、加斷電 操作；2）是否具備設(shè) 備使用管理文檔，查看 其內(nèi)容是否覆蓋終端 計(jì)算機(jī)、便攜機(jī)和網(wǎng)絡(luò) 設(shè)備等使用、操作原 貝嘰注意事項(xiàng)等方面。1）具備設(shè)備使用管理 文檔，查看其內(nèi)容覆蓋 終端計(jì)算機(jī)、便攜機(jī)和 網(wǎng)絡(luò)設(shè)備等使用、操作 原則、注意事壩等方 面；2）具備設(shè)備的操 作規(guī)程，內(nèi)容覆蓋設(shè)備 的啟停、加斷電操作。e）訪談資產(chǎn) 管理員，系 統(tǒng)管理員， 審計(jì)員，檢 查服務(wù)器操 作規(guī)程，設(shè) 備審批、發(fā) 放管理文 檔，設(shè)備使 用管理文 檔，服務(wù)器 操作日志。檢查：檢查申報材料 和審批報告。具備

11、帶離機(jī)房或者辦 公地點(diǎn)的審批單。5監(jiān)控管理a）訪談系統(tǒng)訪談：系統(tǒng)運(yùn)維負(fù)責(zé)建立安全管理中心，對和安全管 理中心運(yùn)維負(fù)責(zé) 人，檢杳監(jiān) 測記錄文 檔，監(jiān)測分 析報告，安 全管理中 心。人，是否建立安全管理 中心，對網(wǎng)絡(luò)流量、安 全設(shè)備狀況實(shí)時監(jiān)控 并保留記錄。網(wǎng)絡(luò)流量、安全設(shè)備狀 況實(shí)時監(jiān)控并保留記 錄。b）訪談系統(tǒng) 運(yùn)維負(fù)責(zé) 人，檢杳監(jiān) 測記錄文 檔，監(jiān)測分 析報告，安 全管理中 心。訪談：系統(tǒng)運(yùn)維負(fù)責(zé) 人，定期對監(jiān)測記錄進(jìn) 行分析、評審，是否發(fā) 現(xiàn)可疑行為并對其采 取必要的措施，是否形 成分析報告。檢查： 監(jiān)測分析報告，查看是 否包括監(jiān)測的異常現(xiàn) 象、處理措施等。1）定級對檢測記錄進(jìn) 行分析，并

12、形成分析報 告；2）具備監(jiān)控分析 報告。c）訪談系統(tǒng) 運(yùn)維負(fù)責(zé) 人，檢杳監(jiān) 測記錄文 檔，監(jiān)測分 析報告，安 全管理中 心。檢杳：安全管理中心 是否對設(shè)備狀態(tài)、惡意 代碼、補(bǔ)丁升級、安全 審計(jì)等安全相關(guān)事項(xiàng) 進(jìn)行集中管理。建立了安全管理中心 對設(shè)備狀態(tài)、惡意代 碼、補(bǔ)丁升級、安全審 計(jì)等安全相關(guān)事項(xiàng)進(jìn) 行集中管理。6網(wǎng)絡(luò)安全 管理a）訪談安全 主管，安全 管理員，網(wǎng) 絡(luò)管理員， 檢查網(wǎng)絡(luò)漏 洞掃描報 告，網(wǎng)絡(luò)安 全管理制 度，系統(tǒng)外 聯(lián)授權(quán)書， 網(wǎng)絡(luò)設(shè)備備 份配置文 件，網(wǎng)絡(luò)審 計(jì)日志。訪談：安全主管，指 定專人負(fù)責(zé)維護(hù)網(wǎng)絡(luò) 運(yùn)行日志、監(jiān)控記錄和 分析處理報警信息等 網(wǎng)絡(luò)安全管理工作。檢查：網(wǎng)

13、絡(luò)審計(jì)日志。指定專人對網(wǎng)絡(luò)進(jìn)行 管理，負(fù)責(zé)運(yùn)行日志、 網(wǎng)絡(luò)監(jiān)控記錄的日常 維護(hù)和報警信息分析 和處理工作。b）訪談安全 主管，安全 管理員，網(wǎng) 絡(luò)管理員，檢查：網(wǎng)絡(luò)安全管理 制度，是否覆蓋網(wǎng)絡(luò)安 全配置、安全策略、升 級與打補(bǔ)丁、最小服編制了網(wǎng)絡(luò)安全管理 制度，內(nèi)容覆蓋了覆蓋 網(wǎng)絡(luò)安全配置、安全策 略、升級與打補(bǔ)丁、最檢查網(wǎng)絡(luò)漏 洞掃描報 告，網(wǎng)絡(luò)安 全管理制 度，系統(tǒng)外 聯(lián)授權(quán)書， 網(wǎng)絡(luò)設(shè)備備 份配置文 件，網(wǎng)絡(luò)審 計(jì)日志。務(wù)、授權(quán)訪問、日志保 存時間、口令更新周 期、文件備份等方面內(nèi) 容。小服務(wù)、授權(quán)訪問、日 志保存時間、口令更新 周期、文件備份等方面 內(nèi)容。C）訪談安全 主管，安全 管理員，網(wǎng) 絡(luò)管理員， 檢查網(wǎng)絡(luò)漏 洞掃描報 告，網(wǎng)絡(luò)安 全管理制 度，系統(tǒng)外 聯(lián)授權(quán)書， 網(wǎng)絡(luò)設(shè)備備 份配置文 件，網(wǎng)絡(luò)審 計(jì)日志。訪談：網(wǎng)絡(luò)管理員， 網(wǎng)絡(luò)設(shè)備是否進(jìn)行過 升級，升級前是否備份 配置。網(wǎng)絡(luò)設(shè)備在咨詢過廠 商的情況下進(jìn)行過升 級，并且升級前進(jìn)行過 備份。d）訪談安全 主管，安全 管理員，網(wǎng) 絡(luò)管理員， 檢查網(wǎng)絡(luò)漏 洞掃描報 告，網(wǎng)絡(luò)安 全管理制 度，系統(tǒng)外 聯(lián)授權(quán)書， 網(wǎng)絡(luò)設(shè)備備 份配置文 件，網(wǎng)絡(luò)審 計(jì)日志。訪談：安全管理員， 問是否定期對網(wǎng)絡(luò)設(shè) 備進(jìn)行漏洞掃描，掃描 周期多長，發(fā)現(xiàn)漏洞是 否及時修補(bǔ)