等保測評 安全建設管理(二)

2021-10-09 01:24:57 字數 2139 閱讀 9367

資訊保安等級保護,是對資訊和資訊載體按照重要性等級分級別進行保護的一種工作,在中國、美國等很多國家都存在的一種資訊保安領域的工作。在中國,資訊保安等級保護廣義上為涉及到該工作的標準、產品、系統、資訊等均依據等級保護思想的安全工作;狹義上一般指資訊系統安全等級保護。

安全建設管理cms

工程實施

測試驗收

系統交付

等級測評

服務**商選擇

應指定或授權專門的部門或人員負責工程實施過程的管理

1 訪談建設負責人,工程實施是否指定專門的部門或人員進行工程實施過程的管控

2 核查部門或崗位職責文件

指定了專門部門或人員對工程實施過程進行進度和質量控制

應制定安全工程實施方案控制工程實施工程

1 訪談建設負責人是否有工程實施方案

2 核查工程實施方面的管理制度以及控制方法

具有工程實施方案,內容包括工程時間限制,進度控制和質量控制等方面的內容

應通過第三方監理控制專案的實施過程

1 訪談建設負責人測評系統是否為外包專案

2 核查是否聘請了第三方監理

3 核查監理報告以及主要控制措施

有第三方監理,工程監理報告明確了工程進展、時間計畫、控制措施等方面的內容

應制定測試驗收方案,並依據測試驗收方案實施測試驗收,形成測試驗收報告

1 訪談建設負責人是否對測試驗收進行管控

2 核查是否有測試驗收方案和測試驗收報告

1 具有工程測試驗收方案,方案中明確說明了參與測試的部門、人員、測試驗收內容,現場操作工程等內容

2 測試驗收報告具有相關部門和人員對測試驗收報告進行審定的意見

1 訪談建設負責人在系統上線前是否開展安全性測試

2 安全性測試是否包括密碼應用方面的內容

應制定交付清單,並依據交付清單對所交接的裝置、軟體和文件等進行清點

1 訪談建設負責人是否對系統交付建立管控流程及交付清單

2 核查培訓記錄相關記錄文件

具有交付清單,且對交付的各類裝置、軟體、文件等有明確的說明

應對負責執行維護的技術人員進行相應的技能培訓

1 訪談建設負責人是否對執行維護人員進行技能培訓

2 核查培訓記錄相關記錄文件

具有交付技術培訓相關文件,內容包括培訓內容、培訓時間和參與人員等方面的資訊

應提供建設過程文件和執行維護文件

1 訪談建設負責人建設過程的管控措施

2 核查建設過程文件和執行維護文件

在系統交付的文件中包括指導使用者進行運維的文件等,且符合管理規定的相關要求

應定期進行等級測評,發現不符合相應等級保護標準要求的及時整改

1 訪談等級測評負責人是否每年定期開展安全等級測評

2 核查等級測評報告和整改記錄

1 定期開展測評工作、且非首次,以往進行過幾次測評,並根據測評結果及進行相應的安全整改

2 具有以往等級測評報告和安全整改方案

應在發生重大變更或級別發生變化時進行等級測評

1 訪談測評系統是否發生過重大變更或公升級

2 核查重大公升級變更或改造的檔案

1 有過重大變化或級別發生過變化,若有,及時開展了等級測評。

2 具有相應情況下的等級測評報告

應確保測評機構的選擇符合國家有關規定

1 訪談測評負責人是否選擇了具有測評資質的測評機構

2 到www.djbh.net上核查該機構是否符合要求

等級測評的測評單位具有國家相關等級測評資質。

應確定服務**商的選擇符合國家的有關規定

1 訪談建設負責人如何選擇服務商

2 核查服務商資質檔案

選擇的安全服務商符合國家有關規定

應與選定的服務**商簽訂相關協議,明確整個服務**鏈各方面需履行的網路安全相關義務

1 核查建設負責人對服務**商的管控措施

2 核查服務**商的服務內容和協議

應定期監督、評審和審核服務**商提供的服務,並對其變更服務內容加以控制。

1 訪談建設負責人是否對服務**商進行定期監督、評審和審核

2 核查對服務**商的管理規定或要求

3 核查服務**商服務報告或服務審核報告

1 具有安全服務商定期提交的安全服務報告

2 定期審核評價安全服務**商所提供的服務,具有服務審核報告

3 具有安全服務商評價審核管理制度,明確了針對服務商的評價指標和考核內容等

等保測評 建設管理安全CMS(一)

資訊保安等級保護,是對資訊和資訊載體按照重要性等級分級別進行保護的一種工作,在中國 美國等很多國家都存在的一種資訊保安領域的工作。在中國,資訊保安等級保護廣義上為涉及到該工作的標準 產品 系統 資訊等均依據等級保護思想的安全工作 狹義上一般指資訊系統安全等級保護。安全建設管理cms 定級和備案 l3...

等保測評之安全運維管理

a 應指定專門的部門或人員負責機房安全,對機房出入進行管理,定期對機房供配電 空調 溫濕度控制 消防等設施進行維護管理 b 應建立機房安全管理制度,對有關物理訪問 物品進出和環境安全等方面的管理作出規定 c 應不在重要區域接待來訪人員,不隨意放置含有敏感資訊的紙檔檔案和移動介質等。a 應編制並儲存與...

等保03 等保測評

差分整改 重點 等級測評 等保專案交付存在的問題 等級保護工作角色分工 等級保護整體流程介紹 各個階段產出的文件 定級備案過程及工作內容 依據定級指南確定目標系統的安全保護等級,同時也是對安全保護等級確定過程的說明。1.目標業務系統描述 系統的基本功能 系統的責任部門 系統的網路結構及部署情況 採取...