深圳等級保護三級測評要求 深圳等級保護測評怎么整改
深圳等級保護三級測評要求有哪些?深圳等級保護測評怎么整改?雖然等保分為五個級別,但實現(xiàn)項目落地的都是二、三和四級,最低的一級單位作為建議,也是可以自行備案,但是作用不大,下面就和公司寶一起來看看等保測評的相關內(nèi)容。
深圳等級保護三級測評要求以及怎么整改:
1、崗位設置
a:應設立信息安全管理工作的職能部門,設立安全主管、安全管理各個方面的負責人崗位,并定義各負責人的職責。
測評經(jīng)驗: 此條測評項主要是檢查客戶有沒有設立安全管理部門來具體負責信息安全工作,一般來說,政府單位會設立信息中心負責,并且會設置信息中心主任(一般就默認為安全主管),而在測評過程中發(fā)現(xiàn),企業(yè)在這方面做的工作就不夠,很多企業(yè)就只是有個兼職的部門來做這個事,而且沒有相應的安全主管或安全負責人。我們在對這項進行測評的時候,要詢問并記錄安全管理責任部門、責任人、安全主管的具體名稱,并要查看具體的崗位職責文件(有可能在任命文件中會提到)。
b:應設立系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等崗位,并定義各個工作崗位的職責。
測評經(jīng)驗 :這條就比較容易測評了,就訪談客戶看看有沒有設立安全管理員、網(wǎng)絡管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、機房管理員等職位,并且應提供專門的任職職責文件。一般來說,既然標準都著重提出安全、系統(tǒng)、網(wǎng)絡這三個管理員,所以我們也要著重看。值得注意的是,一是安全管理員必須是專職的,不能由任何其他管理員兼任;二是系統(tǒng)管理員和數(shù)據(jù)庫管理員不能為同一自然人,這兩點要特別注意。但在很多真實環(huán)境中,客戶方往往都沒有專門設立相應的管理員,特別是安全管理員,并且根本不會出什么文件來明確各管理員的職責,本人遇到過的一個單位,整個安全部門就兩個人,這種情況就是需要整改了。
c:應成立指導和管理信息安全工作的委員會或領導小組,其最高領導由單位主管領導委任或授權。
測評經(jīng)驗 :在這一條測評項中,我們要詢問客戶方是否成立了信息安全委員會或者領導小組,不能客戶說成立了就成立了,我們應該要查看領導小組成立的正式文件,要查看這個文件中的組長和組員,要求文件中應有每個人的聯(lián)系方式以及工作職責。值得注意的是:領導小組的組長應由企業(yè)一把手擔任,雖然標準中沒說必須,但在我國國情下(自行腦補國家信息安全領導小組組長),都應該由一把手來擔任。
可以分享個真實的案例,我們當?shù)氐囊患腋咝iT戶網(wǎng)站被入侵,首頁發(fā)布了一些影響較大的言論,造成了一些影響,這種情況下,一把手當時是首當其沖的,所以我們測評過程中都是要求客戶要由一把手來負責安全工作。
d:應制定文件明確安全管理機構各個部門和崗位的職責、分工和技能要求。
測評經(jīng)驗:這一條中,我們要檢查部門、崗位職責文件,查看部門職責是否覆蓋物理、網(wǎng)絡、系統(tǒng)安全等各個方面。崗位職責文件其實也可以查看招聘要求,招聘的時候一般就會說明此崗位的職責和需要的技能要求。一般我建議客戶的整改方案是制作一份部門的職責的文件,里面全面描述部門職責、人員劃分及職責的情況。
2、人員配備
a:應配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等。
測評經(jīng)驗: 這一條的測評方法就是詢問客戶系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員的配備數(shù)量,要求是至少1人及以上。但很多客戶是達不到這種要求的,而我的建議整改是用兼職來代替,但兼職的注意事項就要參考b來實施了。
b:應配備專職安全管理員,不可兼任。
測評經(jīng)驗: 這一條就是要求客戶的安全管理員是專崗專職的,不能由其他職位人員來兼任。如何驗證是專崗專職呢,就查看崗位人員情況表。
c:關鍵事務崗位應配備多人共同管理。
測評經(jīng)驗: 這一條的測評難點是在關鍵事務崗位的認定,很多客戶是根本不會想到還有關鍵事務崗位這個條件的,所以我一般會給客戶解釋哪些可以認定為關鍵事務崗位,一般就是安全管理員、系統(tǒng)管理員、網(wǎng)絡管理員、數(shù)據(jù)庫管理員、機房管理員等,也可以包含其他的崗位,比如處理金錢的職位(和分為出納與財務是一個道理)、前臺敏感操作權限的職位等。關鍵事務崗位就要求必須是2人及以上了,或者互設為AB角。
3、授權和審批
a:應根據(jù)各個部門和崗位的職責明確授權審批事項、審批部門和批準人等。
測評經(jīng)驗:這條測評項的測評方法就是訪談安全主管,詢問對哪些信息系統(tǒng)活動進行審批,審批的部門是何部門,審批人是何人。一般情況下客戶都會有這些東西,但是不會很全面,這個時候我一般就建議客戶先把一些重要的活動進行審批就行,包含但不限于物理訪問、遠程控制、權限授予與變更、系統(tǒng)接入、需求變更等。
b:應針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項建立審批程序,按照審批程序執(zhí)行審批過程,對重要活動建立逐級審批制度。
測評經(jīng)驗:這一條說的比較清楚了,測評過程中至少要查看四份審批單:系統(tǒng)變更(包括權限變更、結構變更等)、重要操作(數(shù)據(jù)刪除、權限變更、數(shù)據(jù)備份等)、物理訪問(訪問物理機房、訪問辦公環(huán)境中的敏感區(qū)域等)、系統(tǒng)接入(網(wǎng)絡接入、遠程控制、wifi接入等)。要查看這個審批流程中是否包含申請人、審核人、批準人,某些審批單也要查看授權的有效時間,因為遇到過授權日期已過,但授權賬號還存在的情況,這是需要特別注意的。
c:應定期審查審批事項,及時更新需授權和審批的項目、審批部門和審批人等信息。
測評經(jīng)驗:這條的測評方式是檢查審批事項的記錄,查看是否對審批事項、審批部門、審批人的變更進行評審;詢問安全主管是否定期審查、更新審批項目,審查周期多長。為什么會有這一項測評,因為在實際環(huán)境中,特別是在大型企業(yè)中,往往部門很多,人員復雜,業(yè)務流程復雜,審批流程涉及人員多。存在某一人員離崗后還在使用以前的審批流程,就會導致越權操作,所以要定期審查審批事項。
d: 應記錄審批過程并保存審批文檔。
測評經(jīng)驗:這條就不用說了,隨機抽查幾份審批文檔,看看是否與當時及當前的情況一致。
4、溝通和合作
a:應加強各類管理人員之間、組織內(nèi)部機構之間以及信息安全職能部門內(nèi)部的合作與溝通,定期或不定期召開協(xié)調(diào)會議,共同協(xié)作處理信息安全問題。
測評經(jīng)驗:這個測評比較簡單,就查看下內(nèi)部有沒有在一起開過會,有沒有一起處理過安全問題,這個只需要客戶提供會議紀要或者處理安全問題的過程表就行了,時間上面不需要特別的要求。
b:應加強與兄弟單位、公安機關、電信公司的合作與溝通。
測評經(jīng)驗:這一條就不多說,默認符合,原因不好說,就自行理解吧。
c:應加強與供應商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通。
測評經(jīng)驗:這條測評項其實也沒什么好說的,如何算是符合呢,只要客戶能提供與安全服務商簽訂的合作合同就行,像我們自身是測評單位,肯定也會與客戶簽訂關于等保測評的合同,所以這條默認符合。
d:應建立外聯(lián)單位聯(lián)系列表,包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息。
測評經(jīng)驗:這一條就查看客戶能否提供外聯(lián)單位的聯(lián)系列表,為什么會要求這項內(nèi)容呢,個人理解就是甲方人員變動的時候,方便下一位接手人員能夠更快的接手工作。
e:應聘請信息安全專家作為常年的安全顧問,指導信息安全建設,參與安全規(guī)劃和安全評審等。
測評經(jīng)驗:這一條就要看合同的內(nèi)容了,一般只要與安全公司簽訂安全服務合同,像什么安全運維的、應急的、評估的、規(guī)劃的內(nèi)容等等都是可以的。這一條主要測評是在理解“常年”二字,就是要查看合同的期限,一般來說有連續(xù)三年以上的才算符合。
5、審核和檢查
a:安全管理員應負責定期進行安全檢查,檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。
測評經(jīng)驗:這一條的測評主要是看“定期”與“檢查內(nèi)容”兩詞,要查看客戶有沒有提供安全檢查的報告。查看報告的時間就可以看出是不是定期的;查看檢查項就可以看出檢查了哪些方面。這一項的測評其實很大意義上來說是系統(tǒng)管理員的工作,但很多系統(tǒng)管理員對漏洞這塊內(nèi)容不太熟,所以如果是系統(tǒng)管理員和安全管理員一起執(zhí)行此項工作是很好的。一般來說,客戶不會做的細則,很多情況就是把相應的系統(tǒng)或者設備加到監(jiān)控系統(tǒng)里面去,比如Zabbix等,但系統(tǒng)漏洞這塊的內(nèi)容很多監(jiān)控系統(tǒng)就沒法完成,所以這一項很多都得不了滿分,給個3分算高的。
b:應由內(nèi)部人員或上級單位定期進行全面安全檢查,檢查內(nèi)容包括現(xiàn)有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等。
測評經(jīng)驗:這一項得滿分的就基本沒有了,首先要理解全面的安全檢查,僅這一塊,就很多客戶頭大了,因為根本不知道要檢查些什么。我到客戶現(xiàn)場的一般做法是就是先把客戶的各種權限授予單拿出來對比,一般就直接扣分了,再看安全管理制度的執(zhí)行情況,那就基本確認0分了。這一項其實很多客戶都是做了相應的工作的,只是沒有形成完善的流程體系,所以失分比較多,我會建議客戶在以后的安全工作都要做好記錄,凸顯工作量,也好給領導看。
c:應制定安全檢查表格實施安全檢查,匯總安全檢查數(shù)據(jù),形成安全檢查報告,并對安全檢查結果進行通報。
測評經(jīng)驗 :這項測評要求看起來字不多,但是要查看的資料其實是蠻多的,一是首先要有個安全檢查表,二是要實施了安全檢查工作,三是要匯總安全檢查的數(shù)據(jù),四是要查看是否有安全檢查報告,五是要進行結果通報。很多企業(yè)其實在第一點上面就直接OVER了,這種情況太多了。。同理,基本都是零分。一般給客戶建議的就是定期做個安全檢查,如果不會,就請第三方來做。
d:應制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作,定期按照程序進行安全審核和安全檢查活動。
測評經(jīng)驗:這一條測評項就是一個具體的制度了,客戶一般都沒有,這項的測評打分就看有沒有這個制度,只要有就得了4分,如果內(nèi)容也比較全的話,就可以得5分了(一般內(nèi)容都不全,4分算是比較合理的)。我一般就建議客戶在取制度名稱的時候就直接取“安全審核和安全檢查制度”。這個制度主要拿來規(guī)范和支持安全審核和安全檢查工作的,一般內(nèi)容包括但不限于規(guī)定檢查內(nèi)容、檢查程序、檢查周期、檢查人員資格、檢查對象、檢查方式、檢查工具、檢查結果處理等內(nèi)容。
以上就是公司寶給大家整理的“深圳等級保護三級測評要求”的相關內(nèi)容,進行等保測評辦理并不是一件簡單的事情,這其中涉及到很多流程,還有許多資料需要進行整理,想要辦理等保測評的企業(yè),可以直接掃描下方二維碼咨詢公司寶。
相關推薦:
成都網(wǎng)絡安全等級保護測評步驟 等保測評是法律規(guī)定的嗎
標簽: 深圳等級保護測評辦理 深圳三級等保測評 等級保護測評整改