信息安全等级保护之管理要求→系统运维管理→设备管理

一、要求内容 

a)应对信息系统相关的各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理; 

b)应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理; 

c)应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等; 

d)应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现设备(包括备份和冗余设备)的启动/停止、加电/断电等操作; 

e)应确保信息处理设备必须经过审批才能带离机房或办公地点。 

二、实施建议 

建立或完善设备管理要求,内容应当至少满足以上等保规定的内容,同时要严格按照规定的内容执行,保存好设备使用的记录。 

三、常见问题 

有些公司对设备管理、使用的要求设计的不够完善,员工在执行的过程中不能严格按照要求操作,缺乏严格的监管和记录。 

四、实施难点 

严格的设备使用管理规定会使员工感觉影响工作效率,需要对员工进行培训说明管理的重要性和必要性,同时应当由主管领导声明管理要求的有效性。 

五、测评方法 

形式 访谈,检查。 对象 资产管理员,系统管理员,审计员,设备操作规程,设备安全管理制度,设备使用管理文档,设备维护记录,设备操作日志。 

实施 

a)应访谈资产管理员,询问是否对各类设备(包括备份和冗余设备)、线路等指定专人或专门部门进行定期维护,由何部门/何人维护,维护周期多长; 

b)应访谈资产管理员,询问是否对设备选用的各个环节(选型、采购、发放等)进行审批控制,是否对设备带离机构进行审批控制,设备的操作和使用是否要求规范化管理; 

c)应访谈系统管理员,询问其对设备(包括备份和冗余设备)的操作是否按操作规程进行; 

d)应访谈审计员,询问对设备(包括备份和冗余设备)的操作是否建立日志,日志文件如何管理,是否定期检查管理情况; 

e)应检查设备安全管理制度,查看其内容是否覆盖对设备选型、采购、发放、维护以及带离机构等环节的申报和审批规定;查看是否具有对设备的选型、采购、发放等过程的申报材料和审批报告;查看其是否覆盖维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等方面; 

f)应检查设备使用管理文档,查看其是否对终端计算机、便携机、网络设备等使用、操作原则、注意事项等方面作出规定; 

g)应检查设备(包括备份和冗余设备)操作规程,查看其内容是否覆盖服务器如何启动、停止、加电、断电等操作; 

h)应检查是否具有设备维护记录和设备操作日志。 

六、参考资料 

《信息安全等级保护信息系统安全管理要求》中对设备管理的要求; 

5.4.2.4 设备管理要求 对设备管理要求,不同安全等级应有选择地满足以下要求的一项: 

a)申报和审批要求:对于信息系统的各种软硬件设备的选型、采购、发放或领用,使用者应提出申请,报经相应领导审批,才可以实施;设备的选型、采购、使用和保管应明确责任人。 

b)系统化管理:在a)的基础上,要求设备有专人负责,实行分类管理;通过对资产清单(见5.4.2.1)的管理,记录资产的状况和资产使用、转移、废弃及其授权过程,保证设备的完好率。 

c)建立资产管理信息登记机制:在b)的基础上,对各种资产进行全面管理,提高资产安全性和使用效率;建立资产管理登记系统,提供资产分类标识、授权与访问控制、变更管理、系统安全审计等功能,为整个系统提供基础技术支撑。

如若转载,请注明出处:http://www.codingwhy.com/view/313.html

联系我们

在线咨询: 点击这里给我发消息

邮件:731000228@qq.com