安全管理测评作业指导书.docVIP

安全管理测评作业指导书 管理体系文件 安全管理测评 作业指导书 编制： 校对： 审核： 批准： 2009－ － 发布 2009－ － 实施 修订页 更改状态 序号 对应的章、节、条号 修订内容 更改人 批准人 批准日期 第 PAGE 180 页 共 181 页 1 目的 安全管理贯穿于信息系统的整个生命周期，在保障信息系统的安全中发挥了重要作用，与安全技术占据同等重要的地位。安全管理通常是指在信息系统中对需要人来参与的活动采取必要的管理控制措施，通过文档化的管理体系，为保障系统正常运行所涉及的人员活动做出明确规定。 本手册的编写目的是为了指导管理测评实施人员的实际工作，根据实际工作的深入开展，会及时对本作业指导书进行更新，以保证指导书的高指导性。 2 适用范围 本手册适用于在现场测评实施中负责安全管理测评检查的测评人员。 3 职责 3.1 测评师 1）测评师应在客观、公正的情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方式和解释，实施测评活动； 2）测评师应正确理解测评项，并具有良好的判断； 3）测评师应注意测评记录和证据的接收、处理、存储和销毁，保护其在测评期间免遭改变和遗失，并保守秘密； 4）测评师应遵循正确的测评方法进行现场测评和结果判定，以确保满足相关标准的要求。 4 相关文件 4.1 依据标准 GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》 4.2 参考标准 《信息系统安全等级保护测评要求》（送审稿） 《信息系统安全等级保护测评过程指南》（送审稿） 上述文件中的条款通过本手册的引用而成为本手册的内容。凡是注明日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本手册。凡是不注明日期的引用文件，其最新版本适用于本手册。 5 测评方法 人员访谈 测评师通过与被检查人员进行交流，对测评检查项进行细化。所获得测评所需数据，进行查验、分析等活动，获取证据以证明信息系统安全等级保护措施是否有效。 文档检查 测评师通过文档检查验证用户的现有文档与测评要求的符合程度，获取证据以证明信息系统安全等级保护措施是否有效。 6 操作步骤 6.1 测评前准备 确定安全管理检查的测评内容。根据《信息系统安全等级保护基本要求》中的管理要求，安全管理测评包括五个部分，分别为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。 确定安全管理检查的测评对象。安全管理检查分为管理访谈与管理文档检查两个部分。 管理访谈在进入现场实施访谈工作之前，需要与被测方进行沟通，确认对方被访谈对象的名单，确认其中是否存在同一被访谈对象对应多个访谈岗位的状况，在与被测方就“岗位——人员”对应关系取得一致性意见后，编写访谈工作实施计划，并提交被测方，确认访谈工作开展的时间、地点、被访谈对象的先后顺序。同时进入现场之前，需确认所有安全管理访谈检查表已准备妥当，并熟悉列表中的内容。 管理文档检查在进入现场实施检查工作之前，需要与被测方进行沟通，确认配合文档检查的人员等。同时进入现场之前，需确认所有文档检查表已准备妥当，并熟悉列表中的内容。 6.2 现场测评 进入现场测评阶段后，首先应确定检查对象进行访谈、检查，并在检查的过程中分别填写对应的管理访谈表与文档检查表。 完成检查后，测评师与检查对象分别对现场检查表上的内容确认无误后签字确认。 安全管理测评现场实施流程图如下： 图1 安全管理测评现场实施流程 6.3 异常处理 若检查对象对测评项存在疑问，测评师应向其进行解释或举例说明，以保证测评工作能够顺利进行。 若检查对象拒绝或不配合进行测评实施，测评师应报测评项目经理获知，经测评项目经理确认后，双方签字确认。 6.4 现场的清理 现场测评工作结束时，双方对被测系统的运行情况进行验证并签字确认。 测评师应对所有检查表的完整性进行确认，内容包括：检查列表的表头、结果记录、日期等均填写完整无误，所有检查表无缺页。确认工作完成后，报测评项目经理，测评现场实施完成。 6.5 注意事项 应遵循最小影响原则。现场测评尽量避开被测系统的业务高峰期进行实施。 应遵循安全原则。对于存在安全风险的测评实施，测评师必须向被检查对象明示，在取得对方授权后方可进行；若对方拒绝授权，应报测评项目经理获知，由测评项目经理与对方进行协商，若仍不能获得授权，则可不进行该测评实施，但应在记录表中说明。 7 记录 7.1 二