系统运维管理安全测评指导书.doc

系统运维管理安全测评指导书 序号 测评指标 测评项 检查方法 预期结果 1 环境管理 a)访谈物理安全负责人，检查机房安全管理制度，机房进出登记表 访谈： 1）运维负责人，何部门何人负责机房定期维护、周期； 2）运维负责人，何部门何人负责机房管理。 检查： 机房维护记录。 1）指定专门部门或专门人员负责机房定期维护； 2）指定专门部门或专门人员负责机房管理； 3）具备机房维护记录。 b)访谈物理安全负责人，检查机房安全管理制度，机房进出登记表 访谈： 运维负责人，何部门何人负责机房安全管理。 指定专门部门或专门人员负责机房管理。 c)访谈物理安全负责人，检查机房安全管理制度，机房进出登记表 检查： 机房安全管理制度，覆盖机房物理访问、物品带进和带出机房、机房环境安全。 具备机房安全管理制度，覆盖机房物理访问、物品带进和带出机房、机房环境安全。 d)访谈物理安全负责人，检查机房安全管理制度，机房进出登记表 访谈： 安全主管，保证办公环境的保密性采取了的控制措施。 检查： 办公环境管理文档，包括员工日常工作规范。 制定了办公环境管理文档，内容包括规范办公环境人员行为，包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等。 2 资产管理 a)访谈安全主管，资产管理员，检查资产清单，资产安全管理制度。 访谈： 安全主管，何部门何人负责资产管理。 检查： 资产清单，覆盖资产责任部门、责任人、所处位置和重要程度。 1）指定专门的部门或人员负责资产管理； 2）具备资产清单，资产清单的内容覆盖资产责任部门、责任人、所处位置和重要程度等。 b)访谈安全主管，资产管理员，检查资产清单，资产安全管理制度。 检查： 资产安全管理制度，资产管理的责任部门、责任人，内容覆盖资产使用、传输、存储、维护。 建立了资产安全管理制度，规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行为。 c)访谈安全主管，资产管理员，检查资产清单，资产安全管理制度。 访谈： 1）资产管理员，是否依据资产的重要程度对资产进行分类和标识管理； 2）资产管理员，不同测评指标的资产是否采取不同的管理措施。 1）依据资产的重要程度对资产进行分类和标识管理； 2）针对不同主要程度的资产采取不同的管理措施。 d)访谈安全主管，资产管理员，检查资产清单，资产安全管理制度。 检查： 信息分类文档，信息分类标识的原则和方法。 具备信息分类文档，说明分类与标识的原则和方法（如根据信息的重要程度、敏感程度或用途不同进行分类）。 3 介质管理 a)访谈资产管理员，检查介质管理记录，包括各类介质。 访谈： 安全主管，何部门何人负责介质管理。 检查： 介质管理制度，内容否覆盖介质的存放环境、使用、维护和销毁等方面。 1）指定或授权专门的部门负责介质管理； 2）具备介质管理制度，内容包括介质的存放环境、使用、维护和销毁等方面。 b)访谈资产管理员，检查介质管理记录，包括各类介质。 访谈： 资产管理员，询问介质的存放环境是否有保护措施，防止其被盗、被毁、被未授权修改以及信息的非法泄漏，是否有专人管理。 介质的存放环境具备保护措施，防止其被盗、被毁、被未授权修改以及信息的非法泄漏，指定专人进行管理。 c)访谈资产管理员，检查介质管理记录，包括各类介质。 访谈： 1）介质管理员，询问对介质带出工作环境（如送出维修或销毁）和重要介质中的数据和软件是否进行保密性处理； 2）询问对介质的物理传输过程是否要求选择可靠传输人员、严格介质的打包（如采用防拆包装置）、选择安全的物理传输途径、双方在场交付等环节的控制。 1）对介质带出工作环境和重要介质中的数据和软件进行保密性处理； 2）对介质的物理传输过程进行控制，选择可靠传输人员、严格介质的打包（如采用防拆包装置）、选择安全的物理传输途径、双方在场交付等。 d)访谈资产管理员，检查介质管理记录，包括各类介质。 访谈： 介质管理员，对保密性较高的介质销毁前是否有领导批准，对送出维修或销毁的介质是否对数据进行净化处理。 对保密性较高的介质销毁经过领导批准，对送出维修或销毁的介质对数据进行净化处理。 e)访谈资产管理员，检查介质管理记录，包括各类介质。 访谈： 资产管理员，询问是否对某些重要介质实行异地存储，异地存储环境是否与本地环境相同。 针对重要介质实行异地存储，且异地存储环境与本地环境相同。 f)访谈资产管理员，检查介质管理记录，包括各类介质。 访谈： 资产管理员，依据资产的重要程度对资产进行分类和标识管理，不同测评指标的资产是否采用不同的管理措施。 依据资产的重要程度对资产进行分类和标识管理，不同测评指标的资产采用不同的管理措施。 4 设备管理 a)访谈资产管理员