摘要:
安全运维管理 控制点 7.恶意代码防范管理 恶意代码对等级保护对象的危害极大,传播途径和方式众多,防范比较困难。因此,不仅需要通过安装专用工具进行恶意代码防范,还需要加强宣贯,提高用户的恶意代码防范意识,建立完善的恶意代码防范管理制度并进行有效的落实。 a) 安全要求(重要):应提高所有用户的防恶意 阅读全文
摘要:
安全运维管理 控制点 6.网络和系统安全管理 网络和系统的安全状况直接关系到等级保护对象能否正常运行。网络和系统安全管理涉及安全策略管理、操作账户管理、角色权限管理、配置参数管理、升级变更管理、日常操作管理、设备接入管理、运维日志管理等方面。 a) 安全要求(重要):应划分不同的管理员角色进行网络和 阅读全文
摘要:
安全运维管理 控制点 5.漏洞和风险管理 漏洞和隐患会给等级保护对象造成安全风险,因此,需要采取必要的措施进行识别和评估,及时修补发现的漏洞和隐患,确保等级保护对象安全、稳定运行。 a) 安全要求(重要):应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补,或评估可能的影响后进行 阅读全文
摘要:
安全运维管理 控制点 4.设备维护管理 等级保护对象使用的硬件设备包括网络设备、安全设备、服务器设备、存储设备和存储介质、供电和通信线缆等。系统的正常运行依赖于对这些设备的正确使用和维护。为保证这些设备的正常运行,操作人员必须严格按照操作规程进行使用和维护,并认真做好使用和维护记录。 a) 安全要求 阅读全文
摘要:
安全运维管理 控制点 3.介质管理 数据存储介质主要包括磁带、磁盘、光盘、(从设备内拆卸下来的)硬盘、移动硬盘、U盘、纸介质等。存储介质是用来存放与系统相关的数据的,如果不能妥善保存和管理,就可能造成数据的丢失与损坏。因此,要加强介质管理,对于介质的存放、使用、传输、维护、销毁等操作进行严格的控制。 阅读全文
摘要:
安全运维管理 控制点 2.资产管理 等级保护对象的资产包括各种硬件设备(例如网络设备、安全设备、服务器设备、操作终端、存储设备和存储介质、供电和通信用线缆等)、各种软件(例如操作系统、数据库管理系统、应用系统等)、各种数据(例如配置数据、业务数据、备份数据等)和各种文件等。由于等级保护对象的资产种类 阅读全文
摘要:
安全运维管理 安全运维管理是在等级保护对象建设完成投入运行之后,对系统实施的有效、完善的维护管理,是保证系统运行阶段安全的基础。 安全运维管理对安全运维过程提出了安全控制要求,涉及的控制点包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、 阅读全文
摘要:
安全建设管理 控制点 10.服务供应商选择 服务供应商可能包括产品提供商、系统集成商、系统咨询商、安全监理商、安全评估测评方等提供各类系统服务的第三方机构。 a) 安全要求(重要):应确保服务供应商的选择符合国家的有关规定。 要求解读:对各类供应商的选择均应符合国家对其的管理要求,例如相关资质管理要 阅读全文
摘要:
安全建设管理 控制点 9.等级测评 测评机构应依据国家网络安全等级保护制度,按照有关管理规范和技术规范,对未涉及国家秘密的等级保护对象的安全等级保护状况进行检测和评估。等级测评属于符合性评判活动,即依据网络安全等级保护的国家标准或者行业标准,按照特定的方法对等级保护对象的安全防护能力进行科学、公正的 阅读全文
摘要:
安全建设管理 控制点 8.系统交付 系统交付管理是指对机房建设、系统集成、网络改造中的外包工程项目的系统交付的管理,明确了交付工作的各个环节(各类工程、系统相关文档交接及设备清点等),使交付工作人员能够规范地完成交付工作。 a) 安全要求(一般):应制定交付清单,并根据交付清单对所交接的设备、软件和 阅读全文
摘要:
安全建设管理 控制点 7.测试验收 测试验收管理主要是指对机房建设、系统集成、网络改造中的外包工程项目的测试验收进行管理,需明确测试验收的操作步骤、人员要求等。 a) 安全要求(一般):应制定测试验收方案,并根据测试验收方案实施测试验收,形成测试验收报告。 要求解读:此项的测试验收,既包括外包单位项 阅读全文
摘要:
安全建设管理 控制点 6.工程实施 工程实施安全管理是指对机房建设、系统集成或网络改造建设等工程项目实施过程的安全管理。针对系统中的各类工程(机房建设、网络建设等),应明确工程实施人员的责任、实施方如何对工程过程进行控制(阶段性或季度性项目检查)等。 a) 安全要求(一般):应指定或授权专门的部门或 阅读全文
摘要:
安全建设管理 控制点 5.外包软件开发 外包软件开发指一个机构将软件项目中的全部或部分工作发包给提供外包服务的第三方来完成。在将软件外包给第三方开发时应签订协议,以明确知识产权的归属、有关软件的配套技术培训和服务的承诺、软件质量保证及其他安全方面的具体要求等。 a) 安全要求(重要):应在软件交付前 阅读全文
摘要:
安全建设管理 控制点 4.自行软件开发 为保证软件开发过程的安全性和规范性,应制定软件开发方面的管理制度,以规定开发过程的控制方法、明确人员行为准则。对整个开发过程,以及软件测试、开发文档的保管、使用及后续程序资源库的访问、维护,都应严格管理并加以限制。 a) 安全要求(重要):应将开发环境与实际运 阅读全文
摘要:
安全建设管理 控制点 3.产品采购和使用 产品采购管理是指对等级保护对象软硬件产品采购过程的管理,包括安全产品、网络产品、服务器、应用和系统软件、密码产品等。 a) 安全要求(关键):应确保网络安全产品采购和使用符合国家的有关规定。 要求解读:我国对网络安全产品的管理,在不同发展阶段可能存在不同的管 阅读全文
摘要:
安全建设管理 控制点 2.安全方案设计 合理的安全方案是保障等级保护对象安全建设和运行的基础。安全方案的设计应根据网络等级保护对象的定级情况、等级保护对象承载业务情况进行,通过分析明确等级保护对象的安全需求,设计出既满足自身需求又满足等级保护要求的合理的安全方案,包括总体安全方案和详细设计方案。 a 阅读全文
摘要:
安全建设管理 等级保护对象建设过包括系统定级和备案、安全方案设计、产品采购和使用、软件开发、工程实施、测试验收、系统交付等阶段,每个阶段都涉及多项活动。只有对这些活动实施科学、完善的管理,才能保证系统建设的进度、质量和安全。 安全建设管理对安全建设过程提出了安全控制要求,涉及的安全控制点包括定级和备 阅读全文
摘要:
安全管理人员 控制点 4.外部人员访问管理 外部人员包括向单位提供服务的外来人员,例如软硬件维护和支持人员、贸易伙伴或合作伙伴、清洁人员、送餐人员、保安、外包支持人员、学生、短期临时工作人员和安全顾问等。若安全管理不到位,则外部人员的访问将给等级保护对象带来安全风险。因此,应当根据可能的安全风险对外 阅读全文
摘要:
安全管理人员 控制点 3.安全意识教育和培训 安全意识教育和培训是提高员工安全技术和管理水平、增加员工安全知识、增强员工安全责任和安全意识的基础。 a) 安全要求(重要):应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。 要求解读:安全意识教育和培训是提高人员的安全意识、 阅读全文
摘要:
安全管理人员 控制点 2.人员离岗 对离岗或调离人员,特别是因不符合安全管理要求而离岗的人员,必须严格办理离岗手续,与其进行离岗谈话,重申其调离后的保密义务,要求其交回所有钥匙及证件,退还全部技术手册、软件及有关资料,同时更换系统口令和机要锁等。 a) 安全要求(重要):应及时终止离岗人员的所有访问 阅读全文
摘要:
安全管理人员 人是安全管理中最关键的因素。等级保护对象的整个生命周期都需要人的参与,包括设计人员、实施人员、管理人员、维护人员和系统用户等。如果参与人员的安全意识和业务能力没有保障,那么等级保护对象不可能实现真正的安全。只有对等级保护对象相关人员实施科学、完善的管理,才有可能降低人为操作失误所带来的 阅读全文