信息安全等级保护之管理要求→系统建设管理→产品采购和使用

一、要求内容 

a)应确保安全产品采购和使用符合国家的有关规定; 

b)应确保密码产品采购和使用符合国家密码主管部门的要求; 

c)应指定或授权专门的部门负责产品的采购; 

 d)应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单; 

e)应对重要部位的产品委托专业测评单位进行专项测试,根据测试结果选用产品。 

二、实施建议 

应当制定产品采购和使用的要求和标准,对于有能力的公司应当组织对所有组织可能使用预选产品的功能、安全性和兼容性等内容进行测试,对与符合要求的产品纳入到产品采购可选列表中,公司其他部门在采购时只能在列表中规定的产品中进行选择。可以有效降低产品引入由于兼容性对企业当前系统造成的影响。 对于需要长期大量采购的产品可以和供应商进行洽谈获得更低的购买价格。 

三、常见问题 

由于需要对大量的产品进行各种符合性、安全性和兼容性测试,可选的产品将很难是当前市场上最新型的。 

四、实施难点 

进行产品测试需要搭建测试环境组建专门的测试团队,需要公司有非常大的资金投入。 

五、测评方法 

形式 访谈,检查。 对象 安全主管,系统建设负责人,信息安全产品,产品采购管理文档,产品选型测试结果记录,候选产品名单,审定记录。 

实施 

a)应访谈安全主管,询问是否有专门的部门负责产品的采购,由何部门负责; 

b)应访谈系统建设负责人,询问系统信息安全产品的采购情况,采购产品前是否预先对产品进行选型测试确定产品的候选范围,是否有产品采购清单指导产品采购,采购过程如何控制,是否定期审定和更新候选产品名单,审定周期多长; 

c)应访谈系统建设负责人,询问系统是否采用了密码产品,密码产品的使用是否符合国家密码主管部门的要求; 

d)应检查产品采购管理文档,查看内容是否明确对重要部位的产品委托专业测评单位进行专项测试,明确需要的产品性能指标,确定产品的候选范围,通过招投标方式确定采购产品等)和人员行为准则; 

e)应检查系统使用的有关信息安全产品(边界安全设备、重要服务器操作系统、数据库等)是否符合国家的有关规定; 

f)应检查密码产品的使用情况是否符合密码产品使用、管理的相关规定(如《商用密码管理条例》规定任何单位只能使用经过国家密码管理机构认可的商用密码产品,商用密码产品发生故障,必须有国家密码管理机构指定的单位维修,报废商用密码产品应向国家密码管理机构备案等;《计算机信息系统保密工作暂行规定》规定涉密系统配置合格的保密专用设备,所采取的保密措施应与所处理信息的密级要求相一致等; 

g)应检查是否具有产品选型测试结果记录(包括对重要部位的产品委托专业测评单位进行专项测试的结果记录)、候选产品名单审定记录或更新的候选产品名单。 

六、参考资料 

无。

如若转载,请注明出处:http://www.codingwhy.com/view/287.html

联系我们

在线咨询: 点击这里给我发消息

邮件:731000228@qq.com