信息安全等级测评管理部分测评课件

前言 根据 基本要求 GB T22239 2008 各个级别信息系统安全管理需要落实的内容包括安全管理制度 安全管理机构 人员安全管理 系统建设管理和系统运维管理共五个方面 本章将分别介绍着五个方面内容的具体评测方法 目录 1 2 3 4 5 人员安全管理 系统建设管理 系统运维管理 安全管理制度 安全管理机构 章节 1 安全管理制度 安全管理制度 1 1管理制度 信息安全方针策略 各种安全管理活动的管理制度 安全操作规程 金字塔 式的安全管理制度文件体系 最高层的安全文件 以上一层为指导 具体活动步骤和方法 必须体现上二层的策略和原则 1 2制定和发布 在相关部门管的负责和指导下 严格按照制度制定的有关程序和方法 安全管理制度体系制定并实施后 需要对体系中的相关文件进行评审和修订 以适应实际环境和情况的变化 保证安全管理制度体系文件的适用性 1 3评审和修订 章节 2 安全管理机构 安全管理机构 安全管理的重要实施条件就是建立一个统一指挥 协调有序 组织有力的安全管理机构 岗位设置 人员配备 审核检查 授权审批 沟通协调 章节 3 人员安全管理 人是信息系统中最关键的因素 信息系统整个生命周期都需要有人来参与 只有对信息系统相关人员实施科学 完善的管理 才有可能降低认为操作失误所带来的风险 根据 基本要求 三级系统对以下几项提出要求 人员安全管理 01 人员录用 02 03 人员离岗 人员考核 人员安全管理 04 05 安全意识教育和培训 外部人员访问管理 章节 4 系统建设管理 安全方案设计 产品采购 自行软件开发 安全服务商选择 等级测评 系统备案 其中系统备案中 已建信息系统在确定安全保护等级30日内 第二级以上信息系统必须到系统主管部门和相应公安备案 系统建设管理 外包软件开发 系统定级 系统交付 测试验收 工程实施 章节 5 系统运维管理 环境管理 资产管理 介质管理 设备管理 根据资产的重要性标识 根据资产的价值选择管理措施 专门人员定期设备维护管理 制定设备管理制度 制定重要设备的操作规程 规定介质的存放 使用 传输 维护 销毁 根据重要程度分类标识 介质的加密存储 异地存储 确保机房运行环境良好和安全 办公环境的严格管理和控制 系统运维管理 网络安全管理 系统安全管理 恶意代码防范管理 划分系统管理员角色 分析日志和审计 建立系统安全管理制度 对重要日常工作建立操作规程 专人检测恶意代码及时处理 保存记录 建立防病毒制度 规定用户的防病毒行为 软件的授权使用 恶意代码库升级 定期汇报等 采用工具进行检测和报警 定期对记录进行分析 出分析报告 建立安全管理中心集中管理 制定专门人员对网络进行管理 建立网络安全管理制度 对重要日常工作建立操作规程 系统运维管理 监控管理和安全管理中心 建立变更管理制度 规定变更类型 变更申报和审批 变更过程 变更前评估和变更失败后恢复等 在同一的应急预案框架下制定不同安全事件的应急预案 针对应急预案进行培训和演练 及时修订不适用的内容 划分安全事件等级 规定安全件的现场处理 事件报告和后期回顾 规定不同安全事件报告和响应处理程序 建立密码使用管理制度 规定秘钥的产生 分发 存储 更换 使用和废止 系统运维管理 密码管理 备份与恢复管理 识别需要备份的业务信息