《信息安全技术信息系统安全管理评估要求(GB-T 28453-2012).pdf》由会员分享,可在线阅读,更多相关《信息安全技术信息系统安全管理评估要求(GB-T 28453-2012).pdf(159页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ICS 35.040L80中中 华华 人人 民民 共共 和和 国国 国国 家家 标标 准准GB/T XXXXXXXXX信息安全技术 信息系统安全管理评估要求Information security technology-Information system security management assessment requirements(报批稿)2011-01-XX-XX 发布XXXX-XX-XX 实施GB/T XXXXXXXXXI目次前言.III引言.IV1范围.12规范性引用文件.13术语和定义.14评估原则和模式.24.1管理评估的原则.24.2管理评估的工作模式.25评估组织和活
2、动.35.1评估组织.35.1.1评估实施团队.35.1.2评估管理机构.35.1.3被评估方相关人员.45.2评估目标范围和依据.45.2.1评估目标.45.2.2评估范围.55.2.3评估依据.55.3评估活动内容.55.3.1评估准备及启动.55.3.2确定信息系统资产及安全需求.65.3.3确定信息系统安全管理现状.85.3.4确定信息系统安全管理评估结论.125.3.5评估结束及后续安排.136安全管理评估的方法、工具和实施.146.1评估方法.146.1.1访谈调查.146.1.2符合性检查.156.1.3有效性验证.166.1.4技术检测.176.2评估工具.196.2.1调查表
3、.196.2.2访谈问卷.216.2.3检查表.216.3评估的实施.226.3.1评估实施控制.22GB/T XXXXXXXXXII6.3.2评估结论判断.237分等级管理评估.257.1规划立项管理评估要求.257.1.1本阶段评估范围.257.1.2第一级信息系统.267.1.3第二级信息系统.277.1.4第三级信息系统.297.1.5第四级信息系统.317.1.6第五级信息系统.327.2设计实施管理评估要求.347.2.1本阶段评估范围.347.2.2第一级信息系统.367.2.3第二级信息系统.387.2.4第三级信息系统.417.2.5第四级信息系统.447.2.6第五级信息系
4、统.477.3运行维护管理评估要求.507.3.1本阶段评估范围.507.3.2第一级信息系统.527.3.3第二级信息系统.547.3.4第三级信息系统.567.3.5第四级信息系统.597.3.6第五级信息系统.627.4终止处置管理评估要求.657.4.1本阶段评估范围.657.4.2第一级信息系统.657.4.3第二级信息系统.677.4.4第三级信息系统.697.4.5第四级信息系统.717.4.6第五级信息系统.73附录 A(资料性附录)信息系统安全管理评估参照表.76参考文献.153GB/T XXXXXXXXXIII前言本标准依据GB/T 1.1-2009给出的规则起草。请注意本
5、文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口;本标准起草单位:北京江南天安科技有限公司本标准主要起草人:陈冠直吉增瑞陈硕景乾元王志强。GB/T XXXXXXXXXIV引言本标准依据国家有关信息安全等级保护的政策法规,提出了用于规范信息系统安全管理评估的要求。主要包括信息系统安全管理评估的原则和模式、组织和活动、方法工具和实施等要求,以及在信息系统生存周期各个阶段,针对第一级到第五级信息系统安全管理评估的要求。信息系统安全管理评估的主体包括信息系统的主管领导部门、信息安全监管机构、信息系统的管理者、第三
6、方评估机构等,对应的评估可以是检查评估、自评估或第三方评估。本标准中对三种评估模式提出共同要求时统称评估。信息系统安全管理评估以信息安全管理体系为主线进行评估,必要时采集信息安全技术测评结果进行综合分析。信息系统安全管理评估可以是独立的评估,也可以与信息安全技术测评联合进行综合评估。信息系统安全管理评估贯穿于信息系统的整个生存周期,各阶段管理评估的原则和方法是一致的,各阶段安全管理的内容、对象、安全需求存在一定不同,使得安全管理评估的目的、要求等各方面也有所不同。信息系统安全管理评估针对信息安全保护各个等级的信息系统,安全管理评估的要求随着保护等级的提高而增强。本标准第4章阐述管理评估的原则和
7、模式;第5章阐述管理评估的组织、评估目标范围和依据、管理活动的内容;第6章阐述管理评估方法、管理评估工具、管理评估实施,给出了各个安全保护等级的安全管理评估需要执行的共同要求和评估方法;第7章分等级评估,以GB/T 20269-2006规定的信息系统安全管理要求为基本依据,从信息系统生存周期的规划立项阶段、设计实施阶段、运行维护阶段、终止处置阶段,对五个安全保护等级的安全管理评估要求分别进行描述。附录A中提供的信息系统安全管理评估参照表,描述了本标准中有关各等级信息系统安全管理评估要求的具体评估内容要点。本标准仍沿用GB/T 20269-2006中的称谓,对于信息系统的所有者可包括国家机关、事
8、业单位、厂矿企业、公司、集团等各种类型和不同规模的组织机构,统称为“组织机构”。GB/T XXXXXXXXX1信息安全技术 信息系统安全管理评估要求1范围本标准依据GB/T 20269-2006规定的信息系统分等级安全管理要求,从信息系统生存周期的不同阶段,规定了对信息系统进行安全管理评估的原则和模式、组织和活动、方法和实施,提出了信息安全等级保护第一级到第五级的信息系统安全管理评估的要求。本标准适用于相关组织机构(部门)对信息系统实施安全等级保护所进行的安全管理评估与自评估,以及评估者和被评估者对评估的管理。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日
9、期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB 17859-1999计算机信息系统安全保护等级划分准则GB/T 20269-2006信息安全技术信息系统安全管理要求GB/T 20282-2006信息安全技术信息系统安全工程管理要求GB/T 25070-2010信息安全技术信息系统等级保护安全技术设计要求3术语和定义GB 17859-1999、GB/T 20269-2006中界定的以及下列术语和定义适用于本文件。3.1安全评估security assessment依照国家有关法规与标准,对信息系统的安全保障程度进行评估的活动,包括安全技术评估和安全
10、管理评估。本标准所述评估是指信息系统安全管理评估。3.2自评估self-assessment由信息系统所有者自身发起,组成组织机构内部的评估机构,依据国家有关法规与标准,对信息系统安全管理进行的评估活动。3.3检查评估inspection assessment由被评估信息系统所有者的上级主管部门、业务主管部门或国家相关监管部门发起的,依据国家有关法规与标准,对信息系统安全管理进行的评估活动。3.4第三方评估third party assessment由信息系统所有者委托商业评估机构或其他评估机构,依据国家有关法规与标准,对信息系统安全管理进行的评估活动。3.5GB/T XXXXXXXXX2安全
11、审计 security audit对信息系统的各种安全相关事件的行为,按规定进行信息收集、记录和分析,并采取相应动作的过程。3.6验证 verification通过客观证据,对事务是否达到规定要求进行认定的过程,包括真实性验证和有效性验证。客观证据是指支持事务的真实性、有效性的数据,可通过观察、测量、试验或其他手段获得。3.7有效性 effectiveness完成策划的活动并得到相应结果的程度的表征。3.8质量控制 quality assurance质量管理的一部分,致力于满足质量要求。本标准中的质量控制是指对信息安全管理过程的各种行为质量的控制。4评估原则和模式4.1管理评估的原则对信息系统
12、安全管理的评估应坚持以下原则:a)科学性原则:按照科学的评估方法和过程,以严谨的科学态度,全面、准确、客观地开展评估工作,做出科学的评估结论;b)公正性原则:评估机构是中立权威的,自评估团队是相对独立的,检查评估机构是符合法规和组织原则的,同时要防止被评估对象的影响,并排除外界因素的干扰,从而确保评估结果是客观公正的;c)针对性原则:针对性地选用评估方法和评估工具;针对被评估信息系统安全管理的实际情况和特征,收集有关资料对系统进行全面地分析;针对主要管理环节及主要部位进行重点评估;d)实用性原则:系统分析和评价方法要适合被评估信息系统的实际情况,操作简单,结论明确,成效显著。4.2管理评估的工
13、作模式从评估主体的角度,信息系统安全管理评估可分为检查评估、自评估和第三方评估等工作模式,其适用范围包括:a)检查评估:是指由被评估信息系统所有者的上级主管部门、业务主管部门或国家相关监管部门发起的,依据国家有关法规与标准,对信息系统安全管理进行的评估活动;适用于上级主管机关、业务主管部门或国家相关监管部门,对其下属或监管范围内组织机构信息系统安全管理进行的检查性的评估活动;b)自评估:是指由信息系统所有者自身发起,组成组织机构内部的评估机构,依据国家有关法规与标准,对信息系统安全管理进行的评估活动;适用于组织机构对自身所拥有、运营或使用的信息系统安全管理进行的评估活动;c)第三方评估:GB/
14、T XXXXXXXXX3是指由信息系统所有者委托商业评估机构或其他评估机构,依据国家有关法规与标准,对信息系统安全管理进行的评估活动;适用于组织机构委托商业评估机构或其他评估机构,对自身所拥有、运营或使用的信息系统安全管理进行的评估活动。5评估组织和活动5.1评估组织5.1.1评估实施团队5.1.1.1检查评估实施团队检查评估实施团队组成的要求如下:a)检查评估实施团队由信息系统上级管理部门或国家有关职能部门委派;b)派出机构有关领导和相关部门负责人作为检查评估实施团队的领导;c)派出机构相关部门的信息技术、信息安全以及相关业务有经验的技术和管理人员参加;d)必要时,检查评估实施团队可聘请相关
15、专业的技术专家和技术骨干组成专家小组。5.1.1.2自评估实施团队组织机构对自身所拥有、运营或使用的信息系统安全管理进行的评估,自评估实施团队组成的要求如下:a)组织机构信息安全主管领导或信息安全领导小组应指派信息部门或业务部门负责人任自评估实施团队负责人;b)自评估实施团队负责人根据参与评估的范围确定评估组成员的数量,为自评估团队选择成员,并报请主管领导批准;c)自评估实施团队应由管理层、相关业务骨干、信息技术和信息安全人员、信息安全人员等组成,主要来自信息部门和业务部门,核心成员为 3 至 5 人;d)在评估过程中,自评估实施团队与被评估方应是相对独立地进行评估工作,被评估方不应干涉或干扰
16、评估结论;e)必要时,可聘请相关专业的技术专家和技术骨干组成专家小组。5.1.1.3第三方评估实施团队第三方评估实施团队组成的要求如下:a)第三方评估实施团队由受委托的安全评估服务技术支持方委派;b)受委托的安全评估服务技术支持方相关部门或项目主管任评估实施团队负责人;c)第三方评估实施团队由熟悉信息技术、信息安全技术、信息安全管理,熟悉委托方业务,具有相关资质的人员组成;d)对信息安全等级第三级及以上的信息系统进行评估的第三方评估实施团队,应符合国家职能部门有关评估机构选择的规定,可参见附录 A 的 A.4.3。5.1.2评估管理机构应针对不同模式的信息安全管理评估组建评估管理机构:GB/T
17、 XXXXXXXXX4a)评估工作组:检查评估时,接受检查的组织机构应组建由主管领导和相关部门负责人参加的评估工作组,配合检查评估团队的工作;b)自评估工作领导小组:组织机构信息安全主管领导或信息安全领导小组主管自评估工作,应组建由主管领导和相关部门负责人参加的自评估工作领导小组,指导和监督自评估团队的工作;c)评估工作领导小组:第三方评估时,应组建由评估方、被评估方领导及相关部门负责人参加的安全评估工作领导小组,指导和控制第三方评估团队的工作;安全评估工作领导小组中被评估方领导应负责监督或指派有关部门负责人监督第三方评估团队的工作。5.1.3被评估方相关人员被评估方相关人员应包括:a)高级管
18、理层:组织机构的领导、信息化主管领导,信息安全主管领导等;b)执行管理层:信息部门负责人、信息安全部门负责人,业务部门负责人,人事部门负责人等;c)信息技术和信息安全相关人员,包括:系统建设主管及系统设计、软件开发、系统集成人员;运行维护主管及网络系统、操作系统、数据库系统、应用系统、硬件设备等系统管理及运维人员;信息安全主管及安全管理、审计管理人员、文档介质管理人员;物理安全主管及资产管理、机房值守、机房维护人员;外包服务方主管及外包方运行、维护人员;d)业务应用人员,包括业务部门主管、业务应用系统管理人员1)、业务应用系统开发人员和操作人员。5.2评估目标范围和依据5.2.1评估目标5.2
19、.1.1具体评估目标信息系统安全管理评估的一般目标是,识别信息系统安全管理存在的信息安全风险,并确定其大小,为制定信息安全方针,选择适当的控制目标与控制方式提供决策依据。每一次评估的具体目标可能会存在一定差异,应明确每一次评估的具体目标,可以是:a)针对规划立项阶段的安全管理评估,主要从策略和制度管理、机构和人员管理、风险管理、监督和检查管理、规划和立项管理等方面,评价信息系统的系统分析和安全定级、信息系统安全需求分析、信息系统总体安全规划、信息系统安全项目立项等关键环节的安全管理状况;b)针对信息系统设计实施阶段的安全管理评估,主要从策略和制度管理、机构和人员管理、风险管理、环境和资源管理、
20、安全机制保障管理、业务连续性管理、监督和检查管理、建设过程管理等方面,评价信息系统的系统安全设计、系统采购控制、系统开发控制、管理措施制定、集成及配置管理、测试及验收管理等关键环节的安全管理状况;c)针对信息系统运行维护阶段的安全管理评估,主要从策略和制度管理、机构和人员管理、风险管理、环境和资源管理、日常运维管理、业务连续性管理、监督和检查管理等方面,评价信息系统的运行操作、系统维护、安全监控、业务连续性、变更控制、外包、安全检查、持续改进等关键环节的安全管理状况;1)应用系统管理人员主要负责应用系统用户账户、权限管理,以及应用系统其他日常运行维护;与一般信息技术人员不同,应用系统管理人员应
21、熟悉应用系统所支持的业务流程和业务管理。项目符号和编号设置格式MC SYSTEM:GB/T XXXXXXXXX5d)针对信息系统终止处置阶段的安全管理评估,主要从策略和制度管理、机构和人员管理、风险管理、环境和资源管理、监督和检查管理、终止处置过程管理等方面,评价信息系统的系统终止审批、信息转移及清除、设备迁移或废弃、存储介质清除或销毁等关键环节的安全管理状况。也可以是针对系统故障或安全事件的评估、针对组织机构变动或系统变更的评估,或定期进行的信息系统安全管理评估。5.2.1.2具体评估目标的提出不同评估工作模式的具体评估目标的提出,要求如下:a)检查评估的具体评估目标,由被评估信息系统所有者
22、的上级主管部门、业务主管部门或国家相关监管部门(评估发起部门)提出;b)自评估的具体评估目标,由信息系统所属组织机构领导提出,可听取自评估实施团队的意见;c)第三方评估的具体评估目标,由信息系统所属单位(委托方)领导提出,受委托的第三方评估机构的实施团队应充分理解委托方提出的评估目标,必要时可提出建议。5.2.2评估范围信息系统安全管理评估的一般评估范围,可以是与全部业务处理相关的信息系统,也可以是某个特定业务处理的信息系统。针对某一次评估,应根据具体评估目标,确定评估的具体范围,并形成相关文档。不同评估工作模式的具体评估范围的确定,要求如下:a)检查评估的具体评估范围,由被评估信息系统所有者
23、的上级主管部门、业务主管部门或国家相关监管部门(评估发起单位)确定;b)自评估的具体评估范围,由信息系统所属组织机构的领导确定,可听取自评估实施团队的意见;c)第三方评估的具体评估范围,由信息系统所属组织机构(委托方)的领导确定,受委托的第三方评估机构的实施团队应充分理解委托方确定的评估范围,确认具体评估范围能够满足评估目标的要求,如不能满足应及时提出并与被评估方协商解决。对于涉及国家秘密的信息和信息系统安全管理的评估,应按照国家有关保密管理、密码管理规定和相关测评标准执行。5.2.3评估依据信息系统安全管理评估以GB/T 20269-2006的安全管理要求为主要依据,并参考业务应用对信息系统
24、安全运行的需求,确定相关的判断依据,如:a)行业主管部门对信息系统的业务和安全要求;b)信息系统互联单位的业务和安全要求;c)信息系统本身的实时性或性能要求。5.3评估活动内容5.3.1评估准备及启动5.3.1.1评估准备评估方应通过与被评估方评估管理机构沟通从以下方面开展评估准备工作:a)确定评估实施团队的成员及职责等;b)对评估实施团队的成员进行培训;c)获得被评估方高级管理层对评估的支持;d)确定评估的系统范围和管理界限;GB/T XXXXXXXXX6e)确定评估的具体判断依据(见 5.2.3);f)协商选择被评估方的参与人员;g)协调解决评估所需的后勤保障工作;h)协商确定评估工作计划
25、和时间进度安排;i)取得以下阶段性成果及文档:被评估方高级管理层对评估工作支持的决议、批示或表态;评估实施团队成员名单;对评估实施团队的成员进行信息安全评估方法的培训;实施信息安全评估的工作范围;被评估方参与人员名单,包括涉及的高级管理层、执行管理层、信息技术和信息安全人员、业务应用人员等;评估的详细计划,包括工作内容、工作形式、工作成果等内容,以及实施的时间进度安排;参与人员应了解在评估工作中的岗位责任。5.3.1.2评估工作需获得的支持通过评估准备应从以下方面获得对评估工作的支持:a)评估工作应得到被评估方最高管理者的批准同意;b)评估实施团队应将评估的过程、存在的风险、花费的时间和人员的
26、使用情况等告知被评估方主管评估的领导;c)从以下方面得到被评估方主管评估的领导的明确支持:对评估工作持续支持的明确表示;明确激励员工参与的措施;完成所有评估工作需要的职责和授权;承诺提供评估所需的资源;参加评估结果和改进建议的审核。5.3.1.3评估启动在评估准备工作完成的基础上,召开评估启动会,向与会被评估方领导及所有参与者进行工作简介,并宣布评估工作启动。5.3.2确定信息系统资产及安全需求5.3.2.1对高级管理层的访谈调查对高级管理层有关信息系统资产及安全需求的访谈调查,要求做到:a)确定高级管理层识别的信息系统基本情况,信息系统资产及其优先顺序,记录在资产调查表(见6.2.1.1);
27、b)确定高级管理层认识到信息系统面临的威胁,对信息系统安全的关注范围,记录在关注范围调查表(见 6.2.1.2);c)确定高级管理层认为最关键资产及其管理的安全需求,记录在安全需求调查表(见 6.2.1.3);d)应取得以下阶段性成果及文档:按优先级排列的高级管理层识别的资产;高级管理层关注的范围;项目符号和编号设置格式MC SYSTEM:项目符号和编号设置格式MC SYSTEM:项目符号和编号设置格式MC SYSTEM:GB/T XXXXXXXXX7高级管理层认为最关键资产及其管理的安全需求;高级管理层的访谈记录。5.3.2.2对执行管理层的访谈调查对执行管理层有关信息系统资产及安全需求的访
28、谈调查,要求做到:a)确定执行管理层识别的信息系统基本情况,信息系统资产及其优先顺序,记录在资产调查表;b)确定执行管理层认识到信息系统面临的威胁,对信息系统安全的关注范围,记录在关注范围调查表;c)确定执行管理层认为最关键资产及其管理的安全需求,记录在安全需求调查表;d)应取得以下阶段性成果及文档:按优先级排列的执行管理层识别的资产;执行管理层关注的范围;执行管理层认为最关键资产及其管理的安全需求;执行管理层的访谈记录。5.3.2.3对信息技术和信息安全人员的访谈调查对信息技术和信息安全人员有关信息系统资产及安全需求的访谈调查,要求做到:a)确定信息技术和信息安全人员识别的信息系统基本情况,
29、信息系统资产及其优先顺序,记录在资产调查表;b)确定信息技术和信息安全人员认识到信息系统面临的威胁,对信息系统安全的关注范围,记录在关注范围调查表;c)确定信息技术和信息安全人员认为最关键资产及其管理的安全需求,记录在安全需求调查表;d)应取得以下阶段性成果及文档:按优先级排列的信息技术和信息安全人员识别的资产;信息技术和信息安全人员关注的范围;信息技术和信息安全人员认为最关键资产及其管理的安全需求;信息技术和信息安全人员的访谈记录。5.3.2.4对业务应用人员的访谈调查对业务应用人员有关信息系统资产及安全需求的访谈调查,要求做到:a)确定业务应用人员识别的信息系统基本情况,信息系统资产及其优
30、先顺序,记录在资产调查表;b)确定业务应用人员认识到信息系统面临的威胁,对信息系统安全的关注范围,记录在关注范围调查表;c)确定业务应用人员认为最关键资产及其管理的安全需求,记录在安全需求调查表;d)应取得以下阶段性成果及文档:按优先级排列的业务应用人员识别的资产;业务应用人员关注的范围;业务应用人员认为最关键资产及其管理的安全需求;业务应用人员的访谈记录。5.3.2.5对信息系统资产及安全需求的确定对信息系统资产及安全需求的确定,要求做到:项目符号和编号设置格式MC SYSTEM:项目符号和编号设置格式MC SYSTEM:项目符号和编号设置格式MC SYSTEM:GB/T XXXXXXXXX
31、8a)汇总归纳访谈调查得到的信息系统的基本描述、资产调查表、关注范围调查表和安全需求调查表;b)按照支撑业务或岗位的重要程度为资产、安全需求、关注范围等分组;c)选择并确定信息系统关键资产及其管理的安全需求;d)标注信息系统资产表中的资产面临的威胁及关注范围;e)应取得以下阶段性成果及文档:信息系统的基本描述;资产、安全需求、关注范围分类;关键资产及其管理的安全需求;关键资产的关注范围。5.3.2.6对关键环节和核心部位的确定根据信息系统资产及安全需求,对信息系统安全管理的关键环节和核心部位的确定,要求做到:a)确定待审核的信息系统安全策略和管理制度文档;b)确定待检查的信息系统物理环境和工作
32、记录;c)确定待检测的信息系统核心部位及关键组件;d)确定待核查的信息系统安全管理关键环节;e)应取得以下阶段性成果及文档:信息系统安全策略和管理制度文档的范围和审核方法;信息系统物理环境及工作记录的范围和检查方法;信息系统核心部位及关键组件的范围和测评结果收集方法;信息系统安全管理关键环节的范围和核查方法。5.3.3确定信息系统安全管理现状5.3.3.1对高级管理层的访谈调查使用相应的访谈问卷(见6.2.2),对高级管理层有关信息系统安全管理现状的访谈调查,应做到:a)确定高级管理层识别的信息系统安全策略及其优先顺序,与业务需求的一致性;b)确定高级管理层认为已实施的信息系统安全保护措施和管
33、理制度以及执行情况,记录在保护措施调查表(见 6.2.1.4);c)确定高级管理层认为信息系统安全管理机构和相关人员的职责要求以及执行情况;d)确定高级管理层对现行安全策略和安全管理存在不足的了解程度,包括发生过的安全事件;e)应取得以下阶段性成果及文档:按优先级排列的高级管理层认为的信息系统安全策略;高级管理层认为已实施的信息系统安全保护措施和管理制度以及执行情况;高级管理层认为信息系统安全管理机构和相关人员的职责要求以及执行情况;高级管理层对现行安全策略和安全管理存在不足的了解程度,以及与安全管理要求存在的差距,包括发生过的安全事件;高级管理层的访谈记录、保护措施调查表。5.3.3.2对执
34、行管理层的访谈调查使用相应的访谈问卷,对执行管理层有关信息系统安全管理现状的访谈调查,应做到:a)确定执行管理层认为的信息系统安全策略及其优先顺序,与业务需求的一致性;项目符号和编号设置格式MC SYSTEM:项目符号和编号设置格式MC SYSTEM:GB/T XXXXXXXXX9b)确定执行管理层认为已实施的信息系统安全保护措施和管理制度以及执行情况,记录在保护措施调查表;c)确定执行管理层认为信息系统安全管理机构和相关人员的职责要求及其执行情况;d)确定执行管理层对信息系统规划立项、设计实施、运行维护、终止处置的安全管理要求和实践措施;e)确定执行管理层对现行安全策略和安全管理存在不足的了
35、解程度,包括发生过的安全事件;f)应取得以下阶段性成果及文档:按优先级排列的执行管理层识别的信息系统安全策略;执行管理层认为已实施的信息系统安全保护措施和管理制度以及执行情况;执行管理层认为信息系统安全管理机构和相关人员的职责要求以及执行情况;执行管理层对信息系统规划立项、设计实施、运行维护、终止处置的安全管理要求和实践措施;执行管理层对现行安全策略和安全管理存在不足的了解程度,以及与安全管理要求存在的差距,包括发生过的安全事件;执行管理层的访谈记录、保护措施调查表。5.3.3.3对信息技术和信息安全人员的访谈调查使用相应的访谈问卷,对信息技术人员和信息安全人员有关信息系统安全管理现状的访谈调
36、查,应做到:a)确定信息技术和信息安全人员认为的信息系统安全策略及其优先顺序,与业务需求的一致性;b)确定信息技术和信息安全人员认为已实施的信息系统安全保护措施和管理制度以及执行情况,记录在保护措施调查表;c)确定信息技术和信息安全人员认为的信息系统安全管理机构和相关人员(包括被访谈人)的职责要求,以及执行情况;d)确定信息技术和信息安全人员认为的信息系统规划立项、设计实施、运行维护、终止处置的安全管理要求和实践措施;e)确定信息技术和信息安全人员对现行安全策略和安全管理存在不足的了解程度,包括发生过的安全事件;f)应取得以下阶段性成果及文档:按优先级排列的信息技术和信息安全人员识别的信息系统
37、安全策略;信息技术和信息安全人员认为已实施的信息系统安全保护措施和管理制度以及执行情况;信息技术和信息安全人员认为信息系统安全管理机构和相关人员的职责要求以及执行情况;信息技术和信息安全人员对信息系统规划立项、设计实施、运行维护、终止处置的安全管理要求和实践措施;信息技术和信息安全人员对现行安全策略和安全管理存在不足的了解程度,以及与安全管理要求存在的差距,包括发生过的安全事件;信息技术和信息安全人员的访谈记录、保护措施调查表。5.3.3.4对业务应用人员的访谈调查使用相应的访谈问卷,对业务应用人员有关信息系统安全管理现状的访谈调查,应做到:a)确定业务应用人员认为的信息系统安全策略及其优先顺
38、序,与业务需求的一致性;项目符号和编号设置格式MC SYSTEM:项目符号和编号设置格式MC SYSTEM:项目符号和编号设置格式MC SYSTEM:项目符号和编号设置格式MC SYSTEM:GB/T XXXXXXXXX10b)确定业务应用人员认为已实施的信息系统安全保护措施和管理制度以及执行情况,记录在保护措施调查表;c)确定业务应用人员认为的信息系统安全管理机构和相关人员(包括被访谈人)的职责要求,以及执行情况;d)确定业务应用人员认为的信息系统规划立项、设计实施、运行维护、终止处置的安全管理要求和实践措施;e)确定业务应用人员对现行安全策略和安全管理存在不足的了解程度,包括发生过的安全事
39、件;f)应取得以下阶段性成果及文档:按优先级排列的业务应用人员识别的信息系统安全策略;业务应用人员认为已实施的信息系统安全保护措施和管理制度以及执行情况;业务应用人员认为信息系统安全管理机构和相关人员的职责要求以及执行情况;业务应用人员对信息系统规划立项、设计实施、运行维护、终止处置的安全管理要求和实践措施;业务应用人员对现行安全策略和安全管理存在不足的了解程度,以及与安全管理要求存在的差距,包括发生过的安全事件;业务应用人员的访谈记录、保护措施调查表。5.3.3.5对安全策略制度文档的符合性检查按照5.3.2.6确定的安全策略制度文档范围进行符合性检查,必要时可根据访谈调查结果调整检查范围,
40、应做到:a)对确定的安全策略及管理制度文档、操作规程等使用文档检查表(见 6.2.3.1)逐一进行审查;b)对信息系统安全策略及管理制度文档体系框架的总体分析;c)对信息系统安全策略及制度文档的内容和结构进行逐一评价;d)应取得以下阶段性成果及文档:信息系统安全策略及制度文档审查原始材料;信息系统安全策略及制度文档体系和内容结构存在问题的描述;实施自评估时,应提供信息系统安全策略及制度文档体系和内容结构的改进建议(概述)。5.3.3.6对关键环节安全管理的有效性验证按照5.3.2.6确定的信息系统物理环境和工作记录范围,以及访谈调查中确认已采取的安全保护措施进行有效性验证,必要时可根据访谈调查
41、结果调整验证范围,应做到:a)对信息系统设计中采取的安全机制、贯彻总体安全策略,是否存在缺失或不当问题按照现场检查表(见 6.2.3.2)进行检查;b)对信息系统的物理环境(如机房、办公场地、网络通讯线路、供电等)按照现场检查表进行检查;c)对信息系统的工作记录(如运行日志、安全配置记录、数据备份记录、变更记录、用户及权限审批记录、设备维修记录、人员培训记录等)按照现场检查表进行检查;d)对信息系统发生的安全事件报告记录、应急响应处置记录、应急响应演练记录按照现场检查表进行检查;e)对信息系统运行中产生的安全状态监视信息记录、安全审计信息记录按照现场检查表进行检查;f)对访谈调查中确认已采取的
42、安全保护措施的执行情况按照现场检查表进行检查;项目符号和编号设置格式MC SYSTEM:项目符号和编号设置格式MC SYSTEM:项目符号和编号设置格式MC SYSTEM:GB/T XXXXXXXXX11g)对各类现场检查表进行汇总归纳,分析和评价信息系统安全策略、管理制度、保护措施的有效性,形成信息系统安全管理有效性验证结果文档;h)应取得以下阶段性成果及文档:信息系统各种现场检查表记录;信息系统安全管理有效性验证结果文档;信息系统安全管理有效性存在问题的描述;实施自评估时,应提供信息系统安全管理有效性存在问题的改进建议(概述)。5.3.3.7收集被选组件的技术检测结果2)按照5.3.2.6
43、确定待检测的核心部位及关键组件的范围,收集技术检测结果,必要时可根据访谈调查结果调整收集范围,应做到:a)收集近期的信息系统技术性检测结果中有关被选关键组件的脆弱性评估材料;b)收集信息系统安全技术保障总体结构设计及现状材料;c)对信息系统技术脆弱性和总体结构进行审核;d)对于无法收集且直接影响评估结论的技术检测结果,必要时可进行相应的技术检测,否则应在产生评估结论时予以说明;e)应取得以下阶段性成果及文档:信息系统技术脆弱性测试原始材料;信息系统技术脆弱性问题的描述;实施自评估时,应提供信息系统安全技术脆弱性问题的改进建议(概述)。5.3.3.8编制信息系统安全管理现状明细表编制信息系统安全
44、管理现状明细表,应做到:a)按照信息系统规划立项、设计实施、运行维护、终止处置不同阶段分别归纳安全管理现状;b)按照信息系统的政策和制度、机构和人员管理、风险管理、环境和资源管理、规划和立项管理、建设过程管理、运行和维护管理、系统终止管理、业务连续性管理、监督和检查管理等方面对安全管理现状进行描述;c)按照信息系统安全管理要求逐一对现状描述,给出与安全管理要求之间的差距分析意见,并提供相应的证据材料及来源;d)按照信息系统安全管理要求逐一对现状描述时,应吸收对应的访谈调查、符合性检查、有效性验证和技术检测结果并作为证据材料,进一步给出差距分析意见;e)实施自评估时,应根据与安全管理要求之间的差
45、距分析,提出针对单项的初步改进意见;f)应取得以下阶段性成果及文档:所有访谈调查材料的汇编及说明;信息系统安全管理现状明细表。g)信息系统安全管理现状明细表,包括以下信息:评估要求的信息系统安全保护等级的说明;评估要求的信息系统生存周期不同阶段的说明;信息系统安全管理评估内容分类、评估项、评估内容条目;按照评估项及评估内容条目对安全管理现状的描述、差距分析意见、证据材料说明;2)由于独立的信息系统安全管理评估一般不进行技术检测,故采用“收集”技术性检测结果的办法,对管理评估分析依据的来源进行补充,以丰富和完善管理评估结论的例证。项目符号和编号设置格式MC SYSTEM:项目符号和编号设置格式M
46、C SYSTEM:项目符号和编号设置格式MC SYSTEM:项目符号和编号设置格式MC SYSTEM:GB/T XXXXXXXXX12实施自评估时,应针对单项的初步改进建议。5.3.3.9关键管理环节的安全核查在信息系统安全管理现状明细表的基础上,按照5.3.2.6确定的信息系统安全管理关键环节范围进行安全核查,必要时可根据访谈调查结果调整关键环节范围,应做到:a)对确定的信息系统安全管理环节使用安全管理核查表(见 6.2.3.3)逐一进行核查;b)对安全管理核查表的每一项均应给出符合、基本符合、不符合的结论;c)对安全管理核查表的每一项结论,均应注明证据;d)对确定安全管理核查表的每一项结论
47、时,出现与安全管理现状明细表或其他材料不一致时,应进行必要的复查;e)应取得以下阶段性成果及文档:信息系统安全管理核查表;信息系统安全管理核查依据和原始材料说明;实施自评估时,应提供信息系统安全管理基本符合、不符合项的改进建议(概述)。5.3.4确定信息系统安全管理评估结论5.3.4.1安全管理评估结论要求信息系统安全管理评估结论,应做到:a)以信息系统安全管理现状明细表、信息系统安全管理核查表结果材料为评估分析依据;b)以信息系统安全管理评估中访谈调查、符合性检查、有效性验证、技术检测等结果材料为评估分析的原始证据;c)确定信息系统安全管理关键环节、信息系统核心部位及关键组件对信息系统安全管
48、理的影响的加权方法及条件(见 6.3.2);d)确定信息系统安全管理的各个评估项评价的度量方法及条件;e)汇集各方面分析结果,进行综合评估,得出结论性意见;f)应取得以下阶段性成果及文档:信息系统安全管理评估分析依据材料及清单;信息系统安全管理评估分析证据材料及清单;信息系统关键资产及其管理所受威胁的影响;信息系统安全管理评估分析有关加权方法、度量方法及条件的说明(见 6.3.2);信息系统安全管理评估的结论性意见。5.3.4.2编制信息系统安全管理评估报告编制信息系统安全管理评估报告应做到:a)编制信息系统安全管理评估报告文档;b)确定需提交的评估成果文件清单;c)整合需提交的评估成果文件;
49、d)应取得以下最终成果文件:信息系统安全管理评估报告;评估成果文件清单,包括需提交的阶段性成果文档或材料;信息系统安全管理现状明细表、信息系统安全管理核查表;信息系统安全管理评估中访谈调查、符合性检查、有效性验证、技术检测等结果材料;项目符号和编号设置格式MC SYSTEM:项目符号和编号设置格式MC SYSTEM:项目符号和编号设置格式MC SYSTEM:GB/T XXXXXXXXX13实施自评估时,应提供信息系统安全管理改进建议稿。5.3.4.3信息系统安全管理改进建议实施自评估时,信息系统安全管理改进建议稿应包括:a)信息系统已有的安全管理措施和存在的差距;b)信息系统安全管理现状明细表
50、、信息系统安全管理核查表中针对单项的改进建议;c)信息系统拥有、运营或使用单位应采取的信息安全管理改进建议,并作为阶段性成果文档提供信息系统的安全管理改进建议稿。5.3.5评估结束及后续安排5.3.5.1评估结束评估团队与被评估方配合,在评估结束时应完成以下工作:a)评估方与被评估方关于评估成果及报告的沟通和交换意见;b)评估报告及评估验收会议,要求评估实施团队、评估管理机构及有关领导、被评估方的信息部门和业务部门代表参加,必要时可邀请有关专家参与评审;c)对检查评估的总结,确认评估结果;d)通过自评估的评审,确认评估结果和整改建议内容;e)通过第三方评估的验收,确认评估结果,并依据评估发起时