系统运维管理测评指导书v01.docx
《系统运维管理测评指导书v01.docx》由会员分享,可在线阅读,更多相关《系统运维管理测评指导书v01.docx(28页珍藏版)》请在冰豆网上搜索。
系统运维管理测评指导书v01
项目编号:
系统运维管理测评指导书
秦皇岛燕大正洋电子有限公司
年月
版本控制
版本
日期
参与人员
更新说明
0.1
2011/5/20
罗凯,张阳
初稿建立
序号
测评指标
测评项
操作步骤
预期结果
1
环境管理(G3)
a)应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理;
a)访谈物理安全负责人,询问是否指定专人或部门对机房基本设施(如空调、供配电设备等)进行定期维护,由何部门/何人负责,维护周期多长。
指定专人或部门对机房基本设施(如空调、供配电设备等)进行定期维护,明确负责人、维护周期。
b)应指定部门负责机房安全,并配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理;
a)访谈物理安全负责人,询问是否指定部门负责机房安全管理工作,对机房进出管理是否要求制度化和文档化;
指定部门负责机房安全管理工作,对机房进出管理要求制度化和文档化;
b)访谈机房值守人员,询问对外来人员进出机房是否采用人工记录和电子记录双重控制;
机房值守人员对外来人员进出机房采用人工记录和电子记录双重控制;
c)检查机房基础设施维护记录,查看是否记录维护日期、维护人、维护设备、故障原因、维护结果等方面内容。
机房基础设施维护记录中明确记录维护日期、维护人、维护设备、故障原因、维护结果等方面内容。
c)应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面做出规定;
a)检查机房安全管理制度,查看其内容是否覆盖机房物理访问、物品带进、带出机房、机房环境安全等方面。
机房安全管理制度,内容覆盖机房物理访问、物品带进、带出机房、机房环境安全等方面。
d)应加强对办公环境的保密性管理,规范办公环境人员行为,包括如工作人员调离办公室应立即交还该办公室钥匙和不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等。
a)访谈工作人员,询问对办公环境的保密性要求事项;
有相关保密要求;
b)检查办公环境管理文档,查看其内容是否对工作人员离开座位后的保密行为(如清理桌面文件和屏幕锁定等)、人员调离办公室后的行为等方面进行规定。
办公环境管理文档,内容对工作人员离开座位后的保密行为(如清理桌面文件和屏幕锁定等)、人员调离办公室后的行为等方面进行规定。
2
资产管理(G3)
a)应编制并保存与信息系统相关的资料清单,包括资产责任部门、重要程度和所处位置等内容;
a)访谈资产管理员,询问是否编制和保存信息系统相关的资产清单,其包括资产责任部门、重要程度和所处位置等内容。
编制和保存信息系统相关的资产清单,其包括资产责任部门、重要程度和所处位置等内容。
b)应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规定资产管理和使用的行为;
a)访谈安全主管,询问是否指定资产管理的责任人员或部门,由何部门/何人负责;
明确资产管理的责任部门与责任人;
b)访谈物理安全负责人,询问是否对资产管理要求文档化和制度化;
对资产管理要求文档化和制度化;
c)检查资产安全管理制度,查看其内容是否覆盖资产使用、借用、维护等方面。
资产安全管理制度,其内容覆盖资产使用、借用、维护等方面。
c)应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施;
a)访谈资产管理员,询问是否依据资产的重要程度对资产进行赋值和标识管理,不同类别的资产是否采取不同的管理措施;
依据资产的重要程度对资产进行赋值和标识管理,不同类别的资产采取不同的管理措施;
b)检查资产清单,查看其内容是否覆盖资产责任人、所属级别、所处位置、所属部门等方面。
资产清单,其内容覆盖资产责任人、所属级别、所处位置、所属部门等方面。
d)应对信息分类与标识方法做出规定,并对信息的使用、传输和存储等进行规范化管理。
a)检查信息分类管理文档,查看其内容是否规定了分类标识的原则和方法(如根据信息的重要程度、敏感程度或用途不同进行分类),对信息的使用、传输和存储做出规范。
信息分类管理文档,其内容规定了分类标识的原则和方法(如根据信息的重要程度、敏感程度或用途不同进行分类),对信息的使用、传输和存储做出规范。
3
介质管理(G3)
a)应建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面做出规定;
a)访谈资产管理员,询问介质的存放环境是否有保护措施,防止其被盗、被毁、被未授权修改以及信息的非法泄漏,是否有专人管理。
介质的存放环境有保护措施,防止其被盗、被毁、被未授权修改以及信息的非法泄漏,有专人管理。
b)应确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理;
a)检查介质管理制度,查看其内容是否覆盖介质的存放环境、使用、维护和销毁等方面;
介质管理制度,其内容覆盖介质的存放环境、使用、维护和销毁等方面;
b)检查介质,查看是否按照介质管理制度要求进行存放。
检查介质,按照介质管理制度要求进行存放。
c)应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,对介质归档和查询等进行登记记录,并根据存档介质的目录清单定期盘点;
a)访谈资产管理员,询问对介质的物理传输过程是否要求选择可靠传输人员、严格介质的打包(如采用防拆包装置)、选择安全的物理传输途径、双方在场交付等环节的控制;
对介质的物理传输过程选择可靠传输人员、严格介质的打包(如采用防拆包装置)、选择安全的物理传输途径、双方在场交付等环节的控制;
b)检查介质管理记录,查看其是否记录介质的存储、归档、借用等情况。
介质管理记录中明确记录了介质的存储、归档、借用等情况。
d)应对存储介质的使用过程,送出维修以及维修销毁等进行严格的管理,对带出工作环境的存储介质进行内容加密和监控管理,对送出维修或销毁的介质应首先清除介质中的敏感数据,对保密性较高的存储介质未经批准不得自行销毁;
a)访谈资产管理员,询问对介质带出工作环境(如送出维修或销毁)和重要介质中的数据和软件是否进行保密性处理;对保密性较高的介质销毁前是否有领导批准,对送出维修或销毁的介质是否对数据进行净化处理。
对介质带出工作环境(如送出维修或销毁)和重要介质中的数据和软件进行保密性处理;对保密性较高的介质销毁前有领导批准,对送出维修或销毁的介质对数据进行净化处理。
e)应根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同;
a)检查介质本地存放地的实际环境条件是否安全,异地存放的环境要求和管理要求是否与本地相同,是否有专人对存放地进行管理。
介质本地存放地的实际环境条件安全,异地存放的环境要求和管理要求与本地相同,有专人对存放地进行管理。
f)应对重要介质中的数据和软件采取加密存储,并根据所承载数据和软件的重要程度对介质进行分类和标识管理。
a)访谈资产管理员,询问是否对重要介质中的数据和软件采取加密存储,是否根据重要程度对介质进行分类和标识管理。
对重要介质中的数据和软件采取加密存储,根据重要程度对介质进行分类和标识管理。
4
设备管理(G3)
a)应对信息系统相关的各种设备(包括备份和冗余设备)、线路等指定专人或专门的部门定期进行维护管理;
a)访谈资产管理员,询问是否对各类设施、设备指定专人或专门部门进行定期维护,由何部门/何人维护,维护周期多长;
b)访谈安全审计员,询问对主要设备(包括备份和冗余设备)的操作是否建立日志,日志文件如何管理,是否定期检查管理情况;
c)检查是否具有设备维护记录和主要设备的操作日志。
对各类设施、设备指定专人或专门部门进行定期维护,明确负责人与维护周期。
b)应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、采购、发放或领用等过程进行规范化管理;
a)访谈资产管理员,询问是否对设备选用的各个环节(如选型、采购、发放等)进行审批控制,是否对设备带离机构进行审批控制,设备的操作和使用是否要求规范化管理;
对设备选用的各个环节(如选型、采购、发放等)进行审批控制,对设备带离机构进行审批控制,设备的操作和使用要求规范化管理;
b)检查设备审批、发放管理文档,查看其是否对设备选型、采购、发放以及带离机构等环节的申报和审批做出规定;查看是否具有设备的选型、采购、发放等过程的申报材料和审批报告。
设备审批、发放管理文档,对设备选型、采购、发放以及带离机构等环节的申报和审批做出规定;具有设备的选型、采购、发放等过程的申报材料和审批报告。
c)应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效管理,包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等;
a)访谈系统管理员,询问其是否对软硬件维护进行制度化管理;
b)检查配套设施、软硬件维护方面的管理制度,查看其是否对配套设施、软硬件维护进行有效的管理,包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制管理等。
对软硬件维护进行制度化管理;
软硬件维护制度,覆盖维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等方面。
d)应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现主要设备(包括备份和冗余设备)的启动/停止、加电/断电等操作;
a)检查设备使用管理文档,查看其内容是否覆盖终端计算机、便携机和网络设备等使用、操作原则、注意事项等方面;
b)检查主要设备(包括备份和冗余设备)的操作规程,查看其内容是否覆盖服务器如何启动、停止、加电、断电等操作;
设备使用管理文档,内容覆盖终端计算机、便携机和网络设备等使用、操作原则、注意事项等方面。
e)应确保信息处理设备必须经过审批才能带离机房或办公地点;
a)访谈系统管理员,询问信息处理设备带出机房或办公地点需要怎样的审批,检查是否有设备带离机构的审批报告。
信息处理设备带出机房或办公地点需要审批,明确并具有审批手续。
f)应按操作规程实现主要设备(包括备份和冗余设备)的启动/停止、加电/断电等操作。
a)访谈系统管理员,询问其是否在统一安全策略下,对服务器进行正确配置,对服务器的操作是否按操作规程进行;
b)检查服务器操作规程,查看其内容是否覆盖服务器如何启动、停止、加电、断电等操作在统一安全策略下,对服务器进行正确配置,对服务器的操作是否按操作规程进行。
在统一安全策略下,对服务器进行正确配置,对服务器的操作按操作规程进行;
服务器操作规程,其内容覆盖服务器如何启动、停止、加电、断电等操作在统一安全策略下,对服务器进行正确配置,对服务器的操作按操作规程进行。
5
监控管理和安全管理中心(G3)
a)应对通信线缆、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,形成记录并妥善保存;
a)访谈系统运维负责人,询问是否建立安全管理中心,对通信线路、主机、网络设备和应用软件的运行状况,对设备状态、恶意代码、网络流量、补丁升级、安全审计等安全相关事项进行集中管理,是否形成监测记录文档,是否组织人员对监测记录进行整理并保管。
建立了安全管理中心,对通信线缆、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,形成记录并保存。
b)应组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要的应对措施;
a)访谈系统运维负责人,询问其是否组织人员
升级会员 