安全管理机构-(五)审核和检查
安全管理机构
控制点5.
审核和检查为保证网络安全方针、制度贯彻执行,及时发现现有安全措施的漏洞和系统脆弱性问题,机构应制定安全审核和检查制度,并定期组织实施。安全审核和检查的方面包括现有安全措施的有效性、安全配置与安全策略的一致性、安全管理制度的落实情况、用户账号情况、系统漏洞情况等方面。检查范围包括日常检查和机构定期全面检查。对安全检查的结果应进行汇总,并形成检查报告,交给主管领导及相关负责人。
a)
安全要求(一般):应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
要求解读:常规的安全检查不同于日常的安全巡检,常规的安全检查一般是半年、一年或每个季度开展,汇总一段时间的系统状态。
测评方法
1.访谈信息/网络安全主管,了解是否定期进行常规网络安全核查。
2.核查常规安全检查记录是否包括了系统日常运行、系统漏洞和数据备份等情况。
期望结果
1.定期(如每季度)进行安全检查,检查内容涵盖系统日常运行状态、数据备份、漏洞检查等内容。
2.具有相关的检查记录。
b)
安全要求(关键):应定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。
要求解读:全面的安全检查可由单位自行组织或通过第三方机构进行,无论哪种方式,检查内容均应涵盖技术和管理各方面安全措施的落实情况。
在单位内部进行的全面安全检查,相当于对等级保护对象安全的自我评估。定期检查可以是半年一次也可以是一年一次。
测评方法
1.访谈信息/网络安全主管,是否定期进行了全面安全核查,以及全面安全检查内容都有哪些。
2.核查全面安全检查记录类文档,是否包括了现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。
期望结果
1.定期开展全面安全检查,检查内容覆盖技术有效性和管理措施落地执行情况等。
2.具有全面安全检查记录。
c)
安全要求(重要):应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。
要求解读:无论是日常检查还是定期全面的安全检查,都需要制定安全检查表格,记录安全检查结果,并形成安全检查报告,同时也要求将安全检查结果通知给相关人员,尤其是运营层的各岗位管理员。
检查方法
1.访谈安全管理员,了解是否定制了安全检查表格以实施安全检查,以及是否对检查结果进行通报。
2.核查安全检查表格、安全检查记录、安全检查报告等文档,是否具有安全检查表格、安全检查记录、安全检查报告、安全检查结果通报记录。
3..核查安全检查报告,查看报告日期与检查周期是否一致,报告中是否具有检查内容、检查时间、检查人员、检查数据汇总表、检查结果等的描述。
期望结果
1.具有安全检查表格、安全检查记录、安全检查报告和通报记录等。
2.安全检查报告的日期与检查周期一致,报告中具有检查内容、检查时间、检查人员、检查数据汇总表、检查结果等的描述。