等保三级安全管理系统建设管理文档格式.docx
《等保三级安全管理系统建设管理文档格式.docx》由会员分享,可在线阅读,更多相关《等保三级安全管理系统建设管理文档格式.docx(17页珍藏版)》请在冰豆网上搜索。
测评结果
1
系统定级
□符合□部分符合□不符合
2
安全方案设计
3
产品采购
4
自行软件开发
5
外包软件开发
6
工程实施
7
测试验收
8
系统交付
9
系统备案
10
安全服务商选择
测试类别
等级测评(三级)
测试对象
安全管理
测试类
系统建设管理
测试项
系统定级
测试要求:
1.应明确信息系统划分的方法;
2.应确定信息系统的安全保护等级;
3.应以书面的形式定义确定了安全保护等级的信息系统的属性,包括使命、业务、网络、硬件、软件、数据、边界、人员等;
4.应以书面的形式说明确定一个信息系统为某个安全保护等级的方法和理由;
5.应组织相关部门和有关安全技术专家对信息系统的定级结果的合理性和正确性进行论证和审定;
6.应确保信息系统的定级结果经过相关部门的批准。
测试记录:
1.划分信息系统的方法和确定信息系统安全保护等级的方法是否参照定级指南的指导?
否□
是□〇是否对其进行明确描述?
否□是□
〇是否组织相关部门和有关安全技术专家对定级结果进行论证和审定?
否□是□
〇定级结果是否获得了相关部门(如上级主管部门)的批准?
2.系统划分文档是否明确描述信息系统划分的方法和理由?
否□是□
3.系统定级文档:
〇是否给出信息系统的安全保护等级?
否□是□
〇是否明确描述确定信息系统为某个安全保护等级的方法和理由?
〇是否给出安全等级保护措施组成SxAyGz值?
(安全措施包括S(信息安全类)、A(服务保证类)、G(通用安全保护类)三类,xyz代表级别,即1-5级)
〇定级结果是否有相关部门的批准盖章?
4.专家论证文档是否有专家对定级结果的论证意见?
5.系统属性说明文档是否明确了系统使命、业务、网络、硬件、软件、数据、边界、人员等?
否□是□
测试结果:
□符合□部分符合□不符合
备注:
1、测试记录1中没有上级主管部门的,如果有安全主管的批准,则该项为肯定;
2、测试记录2-5项全部符合即视为符合.
1.应根据系统的安全级别选择基本安全措施,依据风险分析的结果补充和调整安全措施;
2.应指定和授权专门的部门对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划;
3.应根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件;
4.应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定;
5.应确保总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等文件必须经过批准,才能正式实施;
6.应根据安全测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。
1.访谈安全主管,询问是否授权专门的部门对信息系统的安全建设进行总体规划?
是□〇由何部门/何人负责?
2.是否制定近期和远期的安全建设工作计划?
是□〇是否根据系统的安全级别选择基本安全措施?
〇是否依据风险分析的结果补充和调整安全措施,
否□
是□〇做过哪些调整?
3.是否根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案等?
4.是否组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定?
是□〇是否经过管理部门的批准?
5.是否根据安全测试、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件?
是□〇维护周期多长?
6.检查系统的安全建设工作计划,查看是否明确了系统的近期安全建设计划和远期安全建设计划?
7.系统总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等配套文件是否有机构管理层的批准?
8.检查专家论证文档,查看是否有相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的论证意见?
9.是否具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本?
是□〇查看记录日期与维护周期是否一致?
测试记录1-9项全部符合即视为符合
1.应确保安全产品的使用符合国家的有关规定;
2.应确保密码产品的使用符合国家密码主管部门的要求;
3.应指定或授权专门的部门负责产品的采购;
4.应制定产品采购方面的管理制度明确说明采购过程的控制方法和人员行为准则;
5.应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单;
1.是否有专门的部门负责产品的采购?
是□〇由何部门负责?
2.系统信息安全产品的采购情况:
〇采购产品前是否预先对产品进行选型测试确定产品的候选范围?
〇是否有产品采购清单指导产品采购?
〇采购过程如何控制?
〇是否定期审定和更新候选产品名单?
是□〇审定周期多长?
3.访谈系统建设负责人,询问系统是否采用了密码产品?
是□〇密码产品的使用是否符合国家密码主管部门的要求?
否□是□
4.检查产品采购管理制度,查看是否明确采购过程的控制方法(如采购前对产品做选型测试,明确需要的产品性能指标,确定产品的候选范围,通过招投标方式确定采购产品等)和人员行为准则等方面?
5.系统使用的有关信息安全产品(边界安全设备、重要服务器操作系统、数据库等)是否符合国家的有关规定?
6.密码产品的使用情况是否符合密码产品使用、管理的相关规定(例如《商用密码管理条例》规定任何单位只能使用经过国家密码管理机构认可的商用密码产品,商用密码产品发生故障,必须有国家密码管理机构指定的单位维修,报废商用密码产品应向国家密码管理机构备案,《计算机信息系统保密工作暂行规定》规定涉密系统配置合格的保密专用设备,所采取的保密措施应与所处理信息的密级要求相一致等)?
7.是否具有产品选型测试结果记录、候选产品名单审定记录或更新的候选产品名单?
1、如果测试记录3访谈说明没有采用密码产品,则测评实施3、4为不适用;
2、测试记录1-7项全部符合即视为符合
1.应确保开发环境与实际运行环境物理分开;
2.应确保系统开发文档由专人负责保管,系统开发文档的使用受到控制;
3.应制定开发方面的管理制度明确说明开发过程的控制方法和人员行为准则;
4.应确保开发人员和测试人员的分离,测试数据和测试结果受到控制;
5.应确保提供软件设计的相关文档和使用指南;
6.应确保对程序资源库的修改、更新、发布进行授权和批准;
1.系统是否自主开发软件?
否□
是□〇软件开发是否有相应的控制措施?
〇是否要求开发人员不能做测试人员(即二者分离)?
〇是否在独立的模拟环境中编写、调试和完成?
是否对程序资源库的修改、更新、发布进行授权和批准?
是□〇授权部门是何部门?
〇批准人是何人?
2.系统开发文档是否由专人负责保管?
是□〇负责人是何人?
〇如何控制使用(如限制使用人员范围并做使用登记等)?
〇测试数据和测试结果是否受到控制?
3.是否具有软件设计的相关文档(应用软件设计程序文件、源代码说明文档等)和软件使用指南或操作手册和维护手册等?
4.软件开发环境与系统运行环境在物理上是否是分开的?
5.应检查对程序资源库的修改、更新、发布进行授权和审批的文档或记录是否有批准人的签字?
6.是否具有系统软件开发相关文档(软件设计和开发程序文件、测试数据、测试结果、维护手册等)的使用控制记录?
测试记录1-6项全部符合即视为符合
1.应与软件开发单位签订协议,明确知识产权的归属和安全方面的要求;
2.应根据协议的要求检测软件质量;
3.应在软件安装之前检测软件包中可能存在的恶意代码;
4.应要求开发单位提供技术培训和服务承诺;
5.应要求开发单位提供软件设计的相关文档和使用指南。
1.访谈系统建设负责人,询问在外包软件前是否对软件开发单位以书面文档形式(如软件开发安全协议)规范软件开发单位的责任、开发过程中的安全行为、开发环境要求、软件质量、开发后的服务承诺等内容?
2.访谈系统建设负责人,询问是否具有独立对软件进行日常维护和使用所需的文档?
开发单位是否为软件的正常运行和维护提供过技术支持?
是□〇以何种方式进行?
3.软件交付前是否依据开发协议的技术指标对软件功能和性能等进行验收检测?
是□〇验收检测是否是由开发商和委托方共同参与?
〇软件安装之前是否检测软件中的恶意代码?
否□
是□〇检测工具是否是第三方的商业产品?
4.检查软件开发协议,查看软件开发协议是否规定知识产权归属、安全行为等内容?
5.是否具有需求分析说明书、软件设计说明书、软件操作手册等开发文档以及用户培训计划、程序员培训手册等后期技术支持文档?
测试记录1-