信息安全等级保护之管理要求→安全管理制度→审核和检查

一、要求内容 

a)安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况; 

b)应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等; 

c)应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报; 

d)应制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。 

二、实施建议 

首先要建立审核规定,明确审核的周期和时间,每次审核前需要制定审核的计划和内容,针对技术和管理两大方面的具体要求,制定审核项目的检查列表,方便审核工作的开展,每次审核结束后要生成审核报告。 

三、常见问题 

规模较小的单位大多缺少定期的内部审核和检查的机制。 

四、实施难点 

信息安全审核需要公司领导的支持,应当和财务审核一样重视,否则在审核过程中会受到被审核部门的阻力。 

五、测评方法 

形式 访谈,检查。 对象 安全主管,安全管理员,安全检查制度,安全检查报告,安全检查过程记录,安全检查表格。 

实施 

a)应访谈安全主管,询问是否组织人员定期对信息系统进行安全检查,检查周期多长,检查内容是否包括系统日常运行、系统漏洞和数据备份等情况; 

b)应访谈安全管理员,询问是否定期进行全面安全检查,检查周期多长,安全检查包含哪些内容,检查人员有哪些,检查程序是否按照系统相关策略和要求进行,是否制定安全检查表格实施安全检查,检查结果如何,是否对检查结果进行通报,通报形式、范围如何; 

c)应检查安全检查制度文档,查看文档是否规定检查内容、检查程序和检查周期等,检查内容是否包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等,内容是否包括系统日常运行、系统漏洞和数据备份等情况; 

d)应检查安全检查报告,查看报告日期与检查周期是否一致,报告中是否有检查内容、检查人员、检查数据汇总表、检查结果等的描述; 

e)应检查安全检查过程记录,查看记录的检查程序与文件要求是否一致; 

f)应检查审计分析报告,查看报告日期与检查周期是否一致,报告中是否有分析人员、异常问题和分析结果等的描述,是否对发现的问题提出相应的措施; 

g)应检查是否具有安全检查表格。 六、参考资料 ISO17799中对信息安全体系内部独立审核给出了指导建议: 

6.1.8 信息安全的独立评审 

控制: 

应按计划的时间间隔或当发生重大的信息安全变化时,对组织的信息安全管理方法及其实施情况(如,信息安全控制目标、控制措施、策略、过程和程序)进行独立评审。 

实施指南: 

独立评审应由管理者发起。这种独立评审对确保组织管理信息安全方法的持续适宜性、充分性和有效性是必须的。评审应包括评价安全方法改进的机会和变更的需要,包括策略和控制目标。 这样的评审应由独立于被评审区域的个人执行,例如内部审核部门、独立的管理者或专门做这种评审的第三方组织。从事这些评审的个人应具备适当的技能和经验。 独立评审的结果应被记录并报告给启动评审的管理者。这些记录应加以保持。 如果独立评审识别出组织管理信息安全的方法和实施不充分或不符合信息安全策略文件(见5.1.1)中声明的信息安全的方向,管理者应考虑纠正措施。

如若转载,请注明出处:http://www.codingwhy.com/view/267.html

联系我们

在线咨询: 点击这里给我发消息

邮件:731000228@qq.com