中国电信CTGMBOSS安全基线达标考评细则.docx
《中国电信CTGMBOSS安全基线达标考评细则.docx》由会员分享,可在线阅读,更多相关《中国电信CTGMBOSS安全基线达标考评细则.docx(89页珍藏版)》请在冰豆网上搜索。
中国电信CTGMBOSS安全基线达标考评细则
CTG-MBOSS安全基线达标考评细则
(60分制)
分类
项目及分值
标准及要求
标准分
考评方式
计(扣)分办法
实得分
小计分
备注
组织架构管理(10分)
组织落实(4分)
信息化安全领导小组由主管信息化的总经理或副总经理任组长,信息化部及其他主要相关业务部门经理组成,对整个省公司MBOSS系统的信息化安全的工作负责;信息化安全工作小组由企业信息化部牵头与其它部门构成,企业信息化部下成立的安全管理部门或岗位负责日常安全管理工作,安全工作小组负责起草并报批省公司MBOSS系统信息安全保障工作的规章和制度,协调专家顾问等各方面的资源,对领导小组颁发的信息安全指导方针做技术与标准的支持。
4
人员访谈、文档检查
(1)未以文件或会议纪要等形式明确安全领导小组及成员名单,扣1分;
(2)缺少安全领导小组工作职责,扣1分;
(3)未以文件或会议纪要等形式明确安全工作小组及成员名单,扣1分;
(4)缺少安全工作小组工作职责,扣1分。
岗位设置(2分)
信息化安全工作的执行层由MBOSS信息系统建设维护使用的各个参与主体构成,具体包括:
信息安全负责人、安全管理员、安全审计员、IT系统安全责任人等,执行层主要工作是对安全领导小组、安全工作小组制定的关于信息安全建设的指导方针进行目标分解,结合本单位部门的业务发展需求及信息系统现状制定具体的信息安全建设策略、计划、流程,并进行信息系统安全建设与运维。
省公司层面应设置信息安全负责人、安全管理员、安全审计员、IT系统安全责任人等岗位,本地网层面应设立安全管理员岗位,并明确每个岗位的岗位职责。
2
人员访谈、文档检查
(1)信息安全负责人、安全管理员、安全审计员、系统管理员等岗位缺少一个扣0.25分,扣完1分为止;
(2)未以文件形式明确信息安全负责人、安全管理员、安全审计员、系统管理员等的岗位职责缺少一个扣0.25分,扣完1分为止。
人员配备(4分)
信息化安全工作的执行要落实到具体责任人,省公司应建立信息化安全执行工作的人员配备要求管理文档和人员名单,要求在省公司层面应设置信息安全负责人1名(由信息化部总经理兼职)、安全管理员1名(建议专职)、安全审计员1名(建议专职)、IT系统安全责任人n名(n=系统个数,可兼职)等岗位,每个本地网层面应设立安全管理员岗位1名(可兼职),有条件的省份可增设AB角色。
加分项:
设立独立的信息化安全室
加分项:
设立专职的安全管理员岗位
加分项:
设立专职的安全审计员岗位
4
人员访谈、文档检查
(1)安全管理员岗位的人员配备数量未达到1人,扣1分;
(2)安全审计员岗位的人员配备数量未达到1人,扣1分;
(3)IT系统安全责任人岗位的人员配备数量未达到n(n=系统个数)人,扣1分。
(4)每个本地网安全管理员岗位的人员配备数量未达到1人,扣1分。
人员安全管理(8分)
人员上岗管理(1分)
省公司建立了用户及其权限设置的管理流程,对MBOSS系统的用户创建和授权必须通过业务部门主管人员审批后,方可由相关的系统管理员在系统中创建用户账号。
1
文档检查
(1)检查省公司对系统的用户创建、权限设置和授权的管理流程文档。
缺少《省公司用户、权限设置创建管理流程文档》,扣0.5分;
(2)抽查3个系统,检查用户创建和授权审批文档。
缺少1个系统的《用户创建和授权审批文档》,扣0.2分,扣完0.5分为止;
人员离岗管理(0.6分)
在员工工作调动或离职等工作职能发生变化时,及时由人力资源部门或用户部门正式书面通知系统维护部门,由系统管理员更新或删除其在MBOSS系统中相应的访问权限。
0.6
文档检查
检查人力资源部门或用户部门发出的人员访问权限修改或删除的书面通知。
缺少人力资源部门或用户部门发出的《人员访问权限修改或删除的书面通知样本》,扣0.6分。
操作系统管理账号授权(1分)
MBOSS系统的操作系统管理账号仅限于经授权的系统管理员,其账号须经业务主管部门(如企业信息化部)或业务支撑中心(如IT中心)主管人员的书面授权审批。
1
文档检查
(1)抽查3个系统,检查系统的操作系统的管理账号清单。
缺少1个系统的《系统的操作系统管理员账号清单》,扣0.2分,扣完0.5分为止;
(2)检查上述清单中某一操作系统管理账号的审批文件。
缺少1个系统的《操作系统管理账号的审批文件样本》,扣0.2分,扣完0.5分为止。
数据库管理账号授权(1分)
MBOSS系统数据库的管理账号仅限于经授权的数据库管理员,其账号须经业务主管部门(如企业信息化部)或业务支撑中心(如IT中心)主管人员的书面授权审批。
1
文档检查
(1)抽查3个系统,检查系统数据库管理员账号清单。
缺少1个系统的《系统数据库管理员账号清单》,扣0.2分,扣完0.5分为止;
(2)检查上述清单中某一数据库管理账号的审批文件。
缺少1个系统的《数据库管理账号的审批文件样本》,扣0.2分,扣完0.5分为止。
应用系统特权用户授权(1分)
MBOSS系统的特权用户(例如具有增加/变更/删除用户等权限)仅限于经授权的系统管理人员或业务人员,其账号须经业务主管部门(如企业信息化部)或业务支撑中心(如IT中心)主管人员的书面授权审批。
1
文档检查
(1)抽查3个系统,检查系统的管理员用户账号清单。
缺少1个系统的《应用系统管理员用户账号清单》,扣0.2分,扣完0.5分为止;
(2)检查上述清单中某一管理员用户账号的审批文件。
缺少1个系统的《应用系统管理员账号的审批文件样本》,扣0.2分,扣完0.5分为止。
管理账号安全管理(0.6分)
MBOSS系统的管理账号(包括操作系统、数据库和应用程序层面)如果由于系统限制存在共享,不能删除该账号,则该账号密码在其中任一管理员离职时需及时更改,以防止非法访问。
0.6
文档检查
抽查3个系统的管理员用户离职时的密码修改记录。
缺少1个系统的《管理员用户离职时的密码修改记录样本》,扣0.2分,扣完0.6分为止。
人员安全意识教育和培训(1分)
为了提高维护人员的安全技能,员工的安全意识,使员工充分了解既定的信息安全策略,安全工作小组应通过下发通知、下发电子文档、集中培训等培训方式,提高员工信息安全的意识,使操作人员知晓信息安全的重要性、企业安全规章制度的含义及其职责范围内需要注意的安全问题。
省公司层面的安全管理员、安全审核员、系统安全责任人和本地网层面的安全管理员必须接受安全培训,培训周期为1年至少1次;同时安全管理员必须每年通过各种培训方式对企业信息化部所辖员工进行安全宣贯,安全宣贯覆盖率超过50%。
1
人员访谈、文档检查
(1)检查培训记录,过去1年内安全教育和各类培训记录缺失,或未对安全岗位人员进行安全意识教育、岗位技能培训和相关安全技术培训,扣0.5分;
(2)检查宣贯记录,过去1年内未组织员工安全意识教育宣贯或者宣贯文档缺失的,或者宣贯对象不超过员工覆盖率50%的,扣0.5分。
(参与培训员工数目主要是统计省公司企业信息化部以及下辖所管范围内的电信员工)。
第三方人员安全管理(1.8分)
为了加强对第三方人员(第三方是指从事MBOSS系统相关工作的非局方人员)的安全管理,安全工作小组应对第三方人员建立相关安全管理制度,明文规定第三方人员的机房出入管理、网络接入管理以及陪同人员管理等方面的内容。
1.8
文档检查
(1)未制订第三方人员机房出入管理制度,扣0.6分
(2)未制订第三方人员网络接入管理制度,扣0.6分;
(2)未制订第三方人员陪同人员管理制度,扣0.6分;
运维安全管理(15分)
系统上线安全管理(3分)
上线安全管理制度:
针对所有MBOSS系统新采购和新建设的系统,建立《新系统上线安全管理制度》,明确上线前的系统安全性保障、安全评估测试、代码安全评测和上线时新系统安全交付的相关流程和管理细则。
1
文档检查
检查新系统上线安全管理制度,缺少《新系统上线安全管理制度》,扣0.5分。
抽查3个系统,检查省公司/地市分公司新系统上线安全管理流程,并注意是否具有管理层审批记录。
缺少1个系统的省公司/地市分公司新系统上线安全管理流程文档(包括管理层审批记录)扣0.2分,扣完0.5分为止。
上线安全保障:
针对所有MBOSS系统新采购和建设的新系统,上线前要求各提供服务的厂商对新上线系统进行安全配置加固、补丁升级、漏洞扫描等基本保障。
1
文档检查
抽查3个系统,检查新入网业务系统是否具有安全加固、配置、补丁和安全测试的相关文档记录。
缺少1个系统的省公司/地市分公司系统上线安全测试等相关文档(包括管理层审批记录)扣0.4分,扣完1分为止。
上线交付流程:
针对所有MBOSS系统新采购和建设的新系统,加强上线交付环节管理,要求交付时清除测试、调试等临时程序和脚本,明确交付过程中提供的相关系统文档、维护手册、系统端口服务清单和应急措施等,明确交付时账号、密码的交付流程和确认记录。
1
文档检查
抽查3个系统,检查交付确认记录,是否包含临时文件清除、文档清单、系统端口服务清单、权限交接等记录,缺少1个系统的《上线交付确认记录样本》扣0.4分,扣完1分为止。
资产安全管理(1分)
为了方便、高效地管理各类信息资产(此处资产专指网络设备、主机设备、安全设备等硬件和应用系统软件资产),省公司要建立信息资产管理制度,要在信息资产管理清单或者管理系统中实时更新MBOSS系统的信息资产信息,如硬件设备的信息(设备重要性赋值、设备配置信息、版本信息、变更信息、资产领用信息、资产责任人信息等)和软件资产信息(如应用系统的软件版本号,上线日期等)信息资产内部属性。
加分项:
建立信息资产管理系统对信息资产进行管理
1
人员访谈、文档检查、现场检查
(1)未建立信息资产管理制度,扣0.5分;
(2)抽查3个系统,每个系统选取20台资产,当信息资产内部属性发生变更时,检查是否及时更新到信息资产管理清单中,发现1台不符合扣0.1分,扣完0.5分为止。
机房访问记录(0.5分)
安装MBOSS系统应用程序、操作系统和数据库的硬件设备应存放在安全的机房中,所有出入口均具备电子门禁系统或门锁的保护,人员进出机房应在机房门禁系统或机房进出日志中留下记录。
0.5
文档检查
抽查3个系统所在的主要机房(机房检查数目不超过3个,含3个),从门禁系统或机房进出登记日志中检查人员进出机房的记录。
缺少1个机房的《门禁系统或机房进出登记日志样本》,扣0.2分,扣完0.5分为止。
机房访问审批制度(0.5分)
只有经授权的人员可对存放MBOSS系统的计算机机房和设备进行物理访问,对机房的访问授权需经系统维护部门主管人员审批,非授权人员出入机房必须由机房工作人员陪同。
0.5
文档检查
抽查3个系统,检查某一授权人员的审批文件,确保已经得到审批。
缺少1个系统的《机房访问的审批文件样本》,扣0.2分,扣完0.5分为止。
内网与互联网连接防护(1分)
建立《互联网接入安全管理规定》,在规定中清晰定义哪些业务系统可以与互联网连接,对于不需要访问互联网的网络区域限制其访问互联网;梳理IT系统与互联网的连接,关闭不必要的互联网接口;对于特殊的业务需要访问互联网的设备,应当建立相应的申请、审批和报备流程,并对结果进行记录,形成互联网接口信息备案表,其表中可以包含设备名称、IP地址
升级会员 