久久久亚洲精品成人,色五月丁香六月欧美综合,午夜影视啪啪免费体验区,噜噜综合亚洲AV中文无码

安全資訊

等級保護測評:系統(tǒng)建設(shè)管理

本篇為管理要求中系統(tǒng)建設(shè)管理的部分,文中內(nèi)容都是個人觀點,如有不對的地方歡迎糾正。文章以等保三級系統(tǒng)為基礎(chǔ),從合規(guī)角度解讀要求。本部分為人員安全和安全管理機構(gòu)部分。

正文

不多說了,直接進(jìn)入正題。最后兩個部分,內(nèi)容比較多,分別進(jìn)行解讀。

7.2.4 系統(tǒng)建設(shè)管理
7.2.4.1**系統(tǒng)定級(G3)**

a) **應(yīng)明確信息系統(tǒng)的邊界和安全保護等級;b) **應(yīng)以書面的形式說明確定信息系統(tǒng)為某個安全保護等級的方法和理由;c) **應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對信息系統(tǒng)定級結(jié)果的合理性和正確性進(jìn)行論證和審定;d) **應(yīng)確保信息系統(tǒng)的定級結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)。 |

系統(tǒng)定級在以前并非強制,一般都是政府部門、事業(yè)單位會被要求必須定級。但是2017年6月《網(wǎng)安法》出臺后,要求所有系統(tǒng)原則上都必須定級備案,這樣一來,政府、國企、事業(yè)、大中型私企都要定級,只有部分很小的系統(tǒng),對社會影響可以忽略不計的那種可以不去做,不過如果后期業(yè)務(wù)發(fā)展,要與大公司或政府合作,那還是要備案,所以基本就是說只要你有運行的系統(tǒng)就要定級備案。

對于如何定級可以參考GB/T-22240-2008,里邊寫的比較詳細(xì),在后邊備案和測評章節(jié)會簡單解釋一下,因為內(nèi)容比較多,五個級別,各級別的定義,三個客體,影響程度,定級矩陣,標(biāo)準(zhǔn)里都有提到。

a) 說得是邊界的界定,定級以系統(tǒng)為單位,要明確邊界,不能無限延伸,一般來說按照老的標(biāo)準(zhǔn),從邊界防火墻到核心,再到系統(tǒng)所在的服務(wù)器區(qū)間,以及下邊可以訪問該系統(tǒng)的PC或移動端,這一整套網(wǎng)絡(luò)都屬于該系統(tǒng),那么邊界就是從防火墻到用戶終端這么一個圈;

b) 一般定級都會先提交系統(tǒng)相關(guān)的詳細(xì)資料,之后會填下定級報告;國家提倡自主定級,就是企業(yè)自己組織專家組或聘請第三方專家來為系統(tǒng)定級,主要依據(jù)還是系統(tǒng)對社會影響的程度,系統(tǒng)的量級(參考GB/T-22240),一般來說大多系統(tǒng)會定為二級,一部分為三級,四級系統(tǒng)一般會有國家級機構(gòu)來定,五級系統(tǒng)就不是我們操心的了。各省級測評機構(gòu)最多有權(quán)測評三級系統(tǒng)。

c) 這塊其實感覺有些多余,一般來說自定級和專家評審之后,會把定級結(jié)果送交到公安,如果合理會走后續(xù)流程,如果不合適會通知重新定級;所以這個正確性與否其實讓公安來把控就好了,不過一般來說大多不會定錯級,除非有些企業(yè)為了投機故意低報級別。

d) 去公安申報,先申請備案,按正常流程走就可以,這是外部流程。企業(yè)內(nèi)部要對系統(tǒng)定級,要先向上級申請,提出某系統(tǒng)要進(jìn)行定級備案,經(jīng)高層審批通過后,開始執(zhí)行外部流程。注意不要只考慮外部流程,忘了內(nèi)部審批流程。

7.2.4 系統(tǒng)建設(shè)管理
7.2.4.2**安全方案設(shè)計(G3)**

a)**應(yīng)根據(jù)系統(tǒng)的安全保護等級選擇基本安全措施,并依據(jù)風(fēng)險分析的結(jié)果補充和調(diào)整安全措施;b)**應(yīng)指定和授權(quán)專門的部門對信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃,制定近期和遠(yuǎn)期的安全建設(shè)工作計劃;c)**應(yīng)根據(jù)信息系統(tǒng)的等級劃分情況,統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計方案,并形成配套文件;d)**應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定,并且經(jīng)過批準(zhǔn)后,才能正式實施;e)**應(yīng)根據(jù)等級測評、安全評估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計方案 等相關(guān)配套文件。** |

a) 本項在1.0本中解釋起來有點麻煩,不過按照最近的“三同步”解釋,大家都明白了,在系統(tǒng)設(shè)計初期就要考慮安全性的問題,如果還不太了解,可以參考SDL中安全設(shè)計階段,一個是對軟件,一個是對系統(tǒng),目的相同。

b) 類似于要啟動項目就要建立一個項目組團隊,系統(tǒng)定級備案也是一樣,不是一個人就能搞定的事(包括系統(tǒng)設(shè)計和建設(shè)),然后要有項目計劃,這點不難理解。

c) 這里說的是提前規(guī)劃的情況,目前大多數(shù)還是先有系統(tǒng)后做定級,這種三同步的規(guī)劃沒多少企業(yè)會真正落實,規(guī)劃周期長,設(shè)計復(fù)雜,而且當(dāng)年沒有強制性要求,沒人關(guān)心定級的事;本項要看的就是系統(tǒng)當(dāng)初設(shè)計時的設(shè)計文檔,各階段的記錄和報告,類似于SDLC。

d) 本項是c的后續(xù)流程,按照正常流程,設(shè)計方案要內(nèi)部評審,通過后才可正式實施,不過做到這么細(xì)的國內(nèi)公司還是少數(shù),而且中間的記錄文檔也不全,檢查的時候很多東西都是臨時偽造,補充出來的,其實這部分主要強調(diào)的還是流程管理的東西,檢查時能拿出系統(tǒng)設(shè)計方案內(nèi)部評審報告和記錄就OK.

e) 按照要求二級系統(tǒng)2年一次復(fù)測,三級系統(tǒng)1年一次復(fù)測,這期間系統(tǒng)多少會有功能上的變更(如果有大變化就要重新定級),這樣一來,系統(tǒng)相關(guān)的文檔肯定會有變化,本項檢查的就是不同版本變化中的過程文檔和記錄。

7.2.4 系統(tǒng)建設(shè)管理
7.2.4.3**產(chǎn)品采購和使用(G3)**

a)**應(yīng)確保安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定;b)**應(yīng)確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求;c)**應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購;d)**應(yīng)預(yù)先對產(chǎn)品進(jìn)行選型測試,確定產(chǎn)品的候選范圍,并定期審定和更新候選產(chǎn)品名單。 |

本節(jié)內(nèi)容沒什么可細(xì)講的,都是按照相關(guān)標(biāo)準(zhǔn)采購設(shè)備和產(chǎn)品,采購部門基本會按照這些要求來選擇供應(yīng)商。這里額外會要求一點:政府、國企、央企和國資背景企業(yè)的關(guān)鍵系統(tǒng)不能使用國外網(wǎng)絡(luò)產(chǎn)品(Ciso、Juniper這類),私營企業(yè)沒有這方面的要求。如果有可能,盡量采購國產(chǎn)產(chǎn)品和軟件。

7.2.4 系統(tǒng)建設(shè)管理
7.2.4.4**自行軟件開發(fā)(G3)**

a) **應(yīng)確保開發(fā)環(huán)境與實際運行環(huán)境物理分開,開發(fā)人員和測試人員分離,測試數(shù)據(jù)和測試結(jié)果受到控制;b) 應(yīng)制定軟件開發(fā)管理制度,明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則;c) **應(yīng)制定代碼編寫安全規(guī)范,要求開發(fā)人員參照規(guī)范編寫代碼;d) **應(yīng)確保提供軟件設(shè)計的相關(guān)文檔和使用指南,并由專人負(fù)責(zé)保管;e) **應(yīng)確保對程序資源庫的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)。 |

有自己開發(fā)團隊的情況下:

a) 一般來說,測試環(huán)境基本都是封閉的,和外網(wǎng)、生產(chǎn)網(wǎng)、辦公網(wǎng)這些都沒有通信,這單還比較容易做到;開發(fā)人員和測試人員分離,一般可能做不到,畢竟經(jīng)常要在一起討論,所以實際檢查中,更多的是關(guān)注測試環(huán)境的隔離情況。

b) 檢查中會查看開發(fā)人員的行為規(guī)范和操作規(guī)范,開發(fā)部門管理制度等一系列文檔;

c) 編碼規(guī)范估計每家公司都會有,但不是有就可以,要看你有沒有去按照規(guī)范去做,一般就是日常的編碼規(guī)范和編碼安全培訓(xùn),以及在行為準(zhǔn)則中如何規(guī)定的。

d) 本點要求是系統(tǒng)要有開發(fā)各階段的文檔,以及系統(tǒng)的使用手冊/指南,往往都是各階段文檔齊備,但是缺少使用指南(文檔和指南都是便于交接工作,由于人員變動,時間久了很多東西根本不從查起,如果沒做好文檔和流程管理,就會造成新人接手系統(tǒng)一問三不知的情況)。由專人負(fù)責(zé)保管這項不是重點,因為臨時安排一個人來應(yīng)付檢查,也沒法查出來。

e) 還是流程的事,版本變更,功能上線,系統(tǒng)發(fā)布都要有過程記錄。

7.2.4 系統(tǒng)建設(shè)管理
7.2.4.5**外包軟件開發(fā)(G3)**

a)**應(yīng)根據(jù)開發(fā)需求檢測軟件質(zhì)量;b)**應(yīng)在軟件安裝之前檢測軟件包中可能存在的惡意代碼;c)**應(yīng)要求開發(fā)單位提供軟件設(shè)計的相關(guān)文檔和使用指南;d)**應(yīng)要求開發(fā)單位提供軟件源代碼,并審查軟件中可能存在的后門。 |

外包第三方開發(fā)團隊的情況:

a) 系統(tǒng)的功能測試,壓力測試等,要保留測試報告以備檢查;

b) 系統(tǒng)安全測試,白盒、黑盒、交互式等的測試,要有系統(tǒng)上線前的安全測試報告,并且對發(fā)現(xiàn)的漏洞已進(jìn)行整改(一般是針對中高危級別的漏洞);

c) 很多企業(yè)外包開發(fā),系統(tǒng)功能OK就可以了,需求文檔、設(shè)計文檔、設(shè)計方案、測試文檔全都沒有,檢查的時候,外包商又說之前的員工離職了,現(xiàn)在這個系統(tǒng)的具體信息我們也不太清楚,這種局面就很鬧心了;所以說,對外包商要求嚴(yán)一點,以后給自己找的麻煩就會少一點。

d) 和b有點重復(fù),類似于代碼審計工作,一般中小企業(yè)不太會花錢去做這塊,大多找個開源工具掃一下,挑幾個高危的修修了事。大型企業(yè)這塊做的比較好(接觸過的幾家),各種安全測試、代碼審計、滲透測試,能做的都會做,雖然不強制要求中小企業(yè)也這么去搞,但是希望在能力范圍能盡力去做好安全工作,不要為了應(yīng)付檢查做一下表面工作。

7.2.4 系統(tǒng)建設(shè)管理
7.2.4.6**工程實施(G3)**

a)**應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實施過程的管理;b)**應(yīng)制定詳細(xì)的工程實施方案控制實施過程, 并要求工程實施單位能正式地執(zhí)行安全工程過程;c) **應(yīng)制定工程實施方面的管理制度,明確說明實施過程的控制方法和人員行為準(zhǔn)則。** |

無論自研還是外包,肯定都會指定一個項目經(jīng)理,一般來說會是甲方的人,也可能叫負(fù)責(zé)人,乙方的叫項目經(jīng)理,主要就是負(fù)責(zé)把控項目進(jìn)度和質(zhì)量。實施部分要有詳細(xì)的實施方案,進(jìn)度計劃表,啟動會記錄,里程碑記錄,變更記錄,延期記錄(如果有的情況)。甲方對于項目實施會有一些管理制度,保密協(xié)議之類的,檢查的時候不會非常細(xì),但是會看各階段的文檔記錄,以證明項目是按照計劃和流程穩(wěn)步推進(jìn)的。

7.2.4 系統(tǒng)建設(shè)管理
7.2.4.7**測試驗收(G3)**

a)**應(yīng)委托公正的第三方測試單位對系統(tǒng)進(jìn)行安全性測試,并出具安全性測試報告;b)在測試驗收前應(yīng)根據(jù)設(shè)計方案或合同要求等制訂測試驗收方案,在測試驗收過程中應(yīng)詳細(xì)記錄測試驗收結(jié)果,并形成測試驗收報告;c)**應(yīng)對系統(tǒng)測試驗收的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定;d)**應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)測試驗收的管理,并按照管理規(guī)定的要求完成系統(tǒng)測試驗收工作;e)**應(yīng)組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗收報告進(jìn)行審定,并簽字確認(rèn)。 |

a) 一般開發(fā)團隊不會負(fù)責(zé)安全問題,所以會由安全團隊來做測試,大多是以第三方就是乙方來做安全測試(代碼審計、黑盒、滲透、基線等等);如果有自己的安全團隊也可以內(nèi)部來搞,但是不能水,要認(rèn)真測試。檢查時會看測試報告,包括代碼審計報告、滲透測試報告、漏掃報告等。

b) 這點要求的就是兩個文檔,一個是驗收方案(甲方會明確怎樣才算合格);另一個就是驗收報告,里邊約定驗收結(jié)果,并由甲乙方蓋章簽字。

c) 說實話這條我也沒詳細(xì)查過,一般都是略過去,所以無法解釋,有了解的可以留言補充一下;

d) 這點很好理解,制定專人或部門來管理驗收工作,臨時指定等項目結(jié)束再解聘也是可以的,不過要有文檔能證明此項工作;

e) 一般都會在項目驗收(報告會)同時進(jìn)行,高層領(lǐng)導(dǎo)、技術(shù)專家也會出席,同意后才會蓋章簽字,可以在項目驗收會的簽到表中體現(xiàn)。

7.2.4 系統(tǒng)建設(shè)管理
7.2.4.8**系統(tǒng)交付(G3)**

a)**應(yīng)制定詳細(xì)的系統(tǒng)交付清單,并根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進(jìn)行清點;b)**應(yīng)對負(fù)責(zé)系統(tǒng)運行維護的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn);c)**應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運行維護的文檔;d)**應(yīng)對系統(tǒng)交付的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定;e)**應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)交付的管理工作,并按照管理規(guī)定的要求完成系統(tǒng)交付工作。** |

交付部分很容易理解,不需要詳細(xì)解釋了吧。同驗收部分一樣,d項檢查的時候沒有特別要求客戶去做,所以這塊還是不太了解。其他部分類似的。

7.2.4 系統(tǒng)建設(shè)管理
7.2.4.9**系統(tǒng)備案(G3)**

a)**應(yīng)指定專門的部門或人員負(fù)責(zé)管理系統(tǒng)定級的相關(guān)材料,并控制這些材料的使用;b)**應(yīng)將系統(tǒng)等級及相關(guān)材料報系統(tǒng)主管部門備案;c)**應(yīng)將系統(tǒng)等級及其他要求的備案材料報相應(yīng)公安機關(guān)備案。**

7.2.4.10**等級測評(G3)a)**在系統(tǒng)運行過程中,應(yīng)至少每年對系統(tǒng)進(jìn)行一次等級測評 ,發(fā)現(xiàn)不符合相應(yīng)等級保護標(biāo)準(zhǔn)要求的及時整改;b)**應(yīng)在系統(tǒng)發(fā)生變更時及時對系統(tǒng)進(jìn)行等級測評,發(fā)現(xiàn)級別發(fā)生變化的及時調(diào)整級別并進(jìn)行安全改造,發(fā)現(xiàn)不符合相應(yīng)等級保護標(biāo)準(zhǔn)要求的及時整改;c)應(yīng)選擇具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測評單位進(jìn)行等級測評;d)**應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)等級測評的管理。 |

備案和測評這兩部分放在一起來說,是一個連續(xù)的過程。

定級前要知道的幾點,等級保護制度主要監(jiān)管方式公安部,分為五個級別,涉及三個客體,即:

a) 公民、法人和其他組織的合法權(quán)益;

b) 社會秩序、公共利益;

c) 國家安全。

對客體的危害程度分為三個級別:

a) 造成一般損害;

b) 造成嚴(yán)重?fù)p害;

c) 造成特別嚴(yán)重?fù)p害。

定級備案其實是一起的,要先到當(dāng)?shù)毓策M(jìn)行備案,然后會讓你提交一堆文檔,包括:備案表、工作自查表、基本情況調(diào)研表等等;此后要先自定級,提交定級報告;再之后聘請測評機構(gòu)對系統(tǒng)進(jìn)行測評—整改—復(fù)測—下發(fā)備案證明—每年監(jiān)督檢查。

如果定級備案后,系統(tǒng)有較大變更,比如新增一個模塊,需要聘請專業(yè)機構(gòu)進(jìn)行重新定級,上述流程要重新再來一次。如果這種情況不報,被年檢查出來,企業(yè)和負(fù)責(zé)人要接受警告或處罰。(詳細(xì)的可以參考22240)

7.2.4 系統(tǒng)建設(shè)管理
7.2.4.11**安全服務(wù)商選擇(G3)**

a)**應(yīng)確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定;b)**應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議,明確約定相關(guān)責(zé)任;c)**應(yīng)確保選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾,必要的與其簽訂服務(wù)合同。** |

屬于第三方管理制度范疇,這里說的比較簡單,至少要有供應(yīng)商管理制度、供應(yīng)商服務(wù)合同、服務(wù)詳細(xì)說明等文檔。推薦看一下ISO 27002中15 供應(yīng)商關(guān)系部分的細(xì)節(jié)(內(nèi)容較多,不進(jìn)行擴展了)。

結(jié)語

以上為管理要求在系統(tǒng)建設(shè)管理部分的要求。內(nèi)容比較多的一部分,更多的是強調(diào)流程和記錄。如果看過ISO27002或者C5(今年開始叫做COBIT2019了),那么理解起來就很容易了。

等級保護測評系列介紹

等級保護測評(一):物理安全

等級保護測評(二):網(wǎng)絡(luò)安全

等級保護測評(三):主機安全

等級保護測評(四):應(yīng)用與數(shù)據(jù)安全

等級保護測評(五):制度與人員安全

等級保護測評(六):系統(tǒng)建設(shè)管理

等級保護測評(七):系統(tǒng)運維管理

服務(wù)熱線

138-6598-3726

產(chǎn)品和特性

價格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò)公眾號

微信公眾號

新田县| 湘潭县| 海原县| 鄂尔多斯市| 新化县| 亳州市| 左权县| 怀远县| 泰州市| 治县。|