- 1、本文档共13页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
第14章 信息系统安全等级保护检查
信息系统的检查工作时信息系统等级保护工作的重要组成部分之一。系统的检查涉及系统管理和技术的方方面面,是对信息系统安全保障措施能否切实保障系统安全的检查和确认。本章中将详细叙述检查重要性、分类和实施方式。
14.1.1 概述
信息系统检查是保障信息系统安全性的重要任务之一,通过对建立的信息系统进行安全性检查,能够发现系统的不足,并及时补救和改进。所以,各国为了解决信息系统的安全性问题,对系统的检查都提出了相应的要求,并且建立了相关的法律、法规、标准和规范等来保障安全检查的正常运行。
14.1.2 检查的工作形势
检查的工作形式,可以分为自检查、监督检查和委托检查。
自检查:指信息系统所有者或运营、使用单位发起的对本单位信息系统的安全状态进行的检查。若系统所有者的自检查有周期性,则不必每次都执行完整的检查流程,而只是自检查系统变化的部分和重要部位。
监督检查:指信息系统的上级管理部门组织的,或由国家相关部门依法开展的检查。监督检查一般需要执行完整的检查流程,但特殊情况下,也可在自检查的基础上,只执行关键部门的检查。
委托检查:受检单位或监督检查的组织部门不具备检查能力的,可委托经相关主管部门认可的机构来检查。
14.1.3 检查的分类
信息系统的安全性检查按照起因和组织形式可分为常规检查、专项检查、事件检查、安全检查和自查五类;按照内容划分可分为管理类检查和技术类检查两类。本章将从内容划分进行描述。
管理类检查:针对信息系统的管理过程施行的检查称为管理类检查,主要分为组织安全检查、人员安全检查、系统建设检查和系统运维检查等几个部分。
技术类检查:针对支持和保障信息系统安全运行使用的技术和操作施行的检查称为技术类检查,主要包括物理安全检查、网络安全检查、主机安全检查和应用安全检查等几个部分。
14.2 检查的目标和内容
14.2.1 检查目标
信息系统的检查,无论是自检还是监督检查,实质上都是一种持续性的风险评估和风险规避过程。美国《联邦信息安全管理法案》中明确要求了联邦各机构需要对每一个系统实施“定期的有效性测试与评估”,考察信息安全的策略、流程和措施“。维持这样一个风险评估和风险规避过程,能够有效地将系统的安全风险控制在可接受的范围之内,这也就是信息系统安全性检查和目标。
为了更清楚地说明检查的目标,这里给出信息系统安全等级保护检查目标的定义;通过对信息系统安全性检查,将信息系统的安全风险控制在可接受的范围,并且保障系统在相应的系统保护等级上达到相应的等级保护标准和规范。
14.2.2 检查内容
通过细化信息系统安全性检查目标,可以很容易地得到系统检查相应的检查内容,如表14-1所示。
表14-1 系统检查内容
项 目
检 查 内 容
管
理
类
组织安全
检查安全机构的组织情况
人员安全
检查系统管理人员行为等
系统建设
检查系统建设的相关管理制度和人员行为
系统运维
检查运维管理制度和人员行为
技
术
类
物理安全
检查物理环境安全,检查系统运行安全
网络安全
检查网络设施和网络环境安全
主机安全
检查主机设备和操作规程安全
应用安全
检查应用系统各方面安全
系统检查内容
14.3 检查的实施
14.3.1 管理类检查
组织安全检查
检查对象:信息安全组织机构相关文档和管理制度。
检查条目和结果判定可参照组织安全管理检查表,如表14-2所示。
表14-2 组织机构安全管理检查
检 查 条 目
结 果 判 定
安全组织机构建立
安全组织机构成立的相关文件齐全,架构完整,有专门的的信息安全领导小组进行安全工作
安全组织机构运行
信息安全机构定期开展信息安全工作的部署和考核等工作,并有明确的记录
安全管理制度制定和实施
信息安全制度按照流程指定,并且制度实施情况良好
人员安全检查
检查对象:人员管理的制度和记录。
检查条目和结果判定可参照人员安全管理检查表,如表14-3所示。
表14-3 人员安全管理检查表
检 查 条 目
结 果 判 定
人员录用安全管理
人员管理制度对录用人员技术和安全管理知识进行规定,关键岗位和重要岗位要签订安全协议书和安全必威体育官网网址协议
离岗离职人员安全管理
人员管理制度对离岗人员信息安全管理进行规定,人员离岗时应进行登记
在职人员安全考核管理
人员管理制度对在职人员审查进行规定,对考核结果进行记录并保存
人员安全教育和培训
人员管理制度对安全意识和技术进行培训和规定,并对安全教育和培训情况和结果进行记录并存档保存
外部人员访问
人员管理制度中具有针对外部人员访问重要区域的管理规定,且对外部人员访问历史进行记录并保存
系统建设检查
检查对象:系统顶级管理中的制度、记录文档和相关的合同及文档等。
检查条目和结果判定参照系统建设管理检查表,如表14-4所示。
表14-4 系统建设管
文档评论(0)