漏洞和隱患會給等級保護物件造成安全風險,需要採取必要的措施進行識別和評估,針對發現的漏洞和隱患需要及時修補,確保等級保護物件安全、穩定地執行。
10.5.1 應採取必要的措施識別安全漏洞和隱患,對發現的安全漏洞和隱患及時進行修補或評估可能的影響後進行修補。
安全漏洞和隱患是引起安全問題的主要根源,採取有效的措施來及時識別系統漏洞和隱患,並對識別出來的漏洞和隱患根據評估的情況進行修補。
【測評方法】
1)核查用來發現安全漏洞和隱患的措施。
2)核查相關安全措施執行後的報告或記錄。
3)核查修復漏洞或消除隱患的操作記錄。
【預期結果】
1)定期進行漏洞掃瞄,對發現的漏洞及時進行修補或評估可能的影響。
2)具有漏洞掃瞄報告,報告描述了存在的漏洞、嚴重級別、原因分析和改進意見等方面。
3)漏洞報告的時間跟定期掃瞄的要求相符。
【權重】1
【風險等級】高
判例內容:未對發現的安全漏洞和隱患及時修補,會導致系統存在較大的安全隱患,黑客有可能利用安全漏洞對系統實施惡意攻擊,如果安全漏洞和隱患能夠構成高危風險,可判定為高風險。
適用範圍:3級及以上系統。
滿足條件(同時):
1、3級及以上系統;
2、通過漏洞掃瞄,發現存在可被利用的高風險漏洞;
3、未對相關漏洞進行評估或修補,對系統安全構成重大隱患。
10.5.2 應定期開展安全測評,形成安全測評報告,採取措施應對發現的安全問題。
定期開展安全測評有利於及時發現系統潛在的安全問題,安全測評的形式不侷限於風險評估、等級測評,只要是通過對系統的全面測試評估方法。
【測評方法】
1)核查以往開展安全測評所獲得的測評報告,確認測評工作是否定期開展。
2)核查安全整改工作相關的文件,如整改方案、整改報告、工作總結等。
【預期結果】
1)具有安全測評報告。
2)安全測評定期開展。
3)具有安全整改措施相關文件,如整改方案、整改報告、工作總結等。
【權重】1
10 安全運維管理 10 10變更管理
等級保護物件在執行過程中會面臨各種各樣的變更操作。如果變更過程缺乏管理和控制,會給等級保護物件帶來重大的安全風險。因此,需要對變更操作實施全程管控,做到各項變更內容有章可循有案可查,遇到問題有路可退,確保變更操作不給系統造成安全風險。10.10.1應明確變更需求,變更前根據變更需求制定變更方案,變更...
10 安全運維管理 10 2資產管理
等級保護物件的資產包括各種硬體裝置 如網路裝置 安全裝置 伺服器裝置 操作終端 儲存裝置和儲存介質,以及供電和通訊用線纜等 各種軟體 如作業系統 資料庫管理系統 應用系統等 各種資料 如配置資料 業務資料 備份資料等 和各種檔案等。由於等級保護物件資產種類較多,必須對所有資產實施有效的管理,確保資產...
10 安全運維管理 10 13應急預案管理
為有效處理等級保護物件執行過程中可能發生的重大安全事件,需要在統一框架下制定針對不同安全事件的應急預案,就應急預案內容向涉及的人員開展培訓 演練,並根據等級保護物件的變化情況和安全策略的調整結果開展應急預案的評估 修訂與完善。10.13.1應規定統一的應急預案框架,包括啟動預案的條件 應急組織構成 ...