编程那点事编程那点事

专注编程入门及提高
探究程序员职业规划之道!

信息安全等级保护之管理要求→系统建设管理→工程实施

一、要求内容 

a)应指定或授权专门的部门或人员负责工程实施过程的管理; 

b)应制定详细的工程实施方案控制实施过程,并要求工程实施单位能正式地执行安全工程过程; 

c)应制定工程实施方面的管理制度明确说明实施过程的控制方法和人员行为准则; 

d)应通过第三方工程监理控制项目的实施过程。 

二、实施建议 

建立工程实施的安全要求规定,内容应当至少包括:管理安全、评估工程风险、威胁、脆弱性、协调安全、监视安全态势、验证安全性等内容;由专门的项目经理或项目管理部门负责或聘请第三方监理公司协助。 

三、常见问题 

很多公司没有转么的项目经理或项目管理部门。 

四、实施难点 

若聘请第三方项目监理公司同样会引入新的项目管理风险,对于这种风险的控制应当考虑并事先进行评估。 

五、测评方法 

形式 访谈,检查。 对象 系统建设负责人,工程实施方案,工程实施管理制度,工程监理报告。 

实施 

a) 应访谈系统建设负责人,询问是否指定专门人员或部门负责工程实施管理,是否由第三方工程监理单位按照系统建设文档的要求对工程实施过程进行进度和质量控制,是否将控制方法和工程人员行为规范制度化,是否要求工程实施单位提供其能够安全实施系统建设的资质证明和能力保证; 

b) 应检查工程实施方案,查看其是否规定工程时间限制、进度控制、质量控制等方面内容; 

c) 应检查工程实施管理制度,查看其是否规定实施过程的控制方法(如内部阶段性控制或外部监理单位控制)、实施参与人员的各种行为等方面内容,是否做过改进; 

d) 应检查第三方工程监理实施过程是否形成各种文档,如阶段性工程监理报告。 

六、参考资料 

《信息系统安全等级保护工程管理要求》中对工程实施的要求: 

7 工程实施要求 

7.1 管理安全控制 

7.1.1 概要 应保证系统在运行状态下达到设计预期的安全特性,安全控制措施被配置且能正常使用。 

7.1.2 建立安全职责 

7.1.2.1 建立安全控制措施的职责和责任并通知到组织中的每一个人。

7.1.2.2 本项目应该保证承担相应安全责任的人员是负责的,并获得相应的授权;应该保证采用的所有安全控制措施是明确的,并被广泛和一致地应用。 

7.1.3 管理安全措施的配置 

7.1.3.1 所有设备的安全配置都需要管理。 

7.1.3.2 管理系统安全控制措施的配置。 

7.1.4 管理安全意识、培训和教育大纲 

7.1.4.1 组织和管理对所有员工进行安全意识的培训和教育。 

7.1.4.2 管理所有的用户和管理员的安全意识、培训和教育大纲。 

7.1.5 管理安全服务及控制机制 

7.1.5.1 安全服务及控制机制的一般管理类似于其它服务及机制的管理,包括保护它们避免损伤、偶然事故和人为故障,并根据法律和政策要求进行整理并归档。 

7.1.5.2 对安全服务及控制机制进行定期的维护和管理。 …………..(7.2-7.10) 

7.11 验证和确认安全性 

7.11.1 概要 确保解决安全问题的办法已经被验证与证实。通过观察、示范、分析和测试,依照安全需求、体系结构和设计确认解决办法;依照用户的运行安全需求证实解决办法;解决办法应满足用户安全需求与运行安全要求。 

7.11.2 确定验证和确认的目标 确定验证和确认的目标;确定验证和确认的解决办法。 

7.11.3 定义验证和确认方法 7.11.3.1 应定义验证和确认每种解决方案的方法和严格等级; 

7.11.3.2 严密等级应表明验证和确认的审查到底应有多严格;该要求项要受到7.6“建立保证论据”中保证策略输出的影响。 

7.11.4 执行验证 

7.11.4.1 应通过显示解决办法实现与上一抽象层相关的要求,包括确定的保证需求正是作为7.6“建立保证论据”的结果所标识的保证需要;所用的方法在7.11.3“定义验证和确认方法”中有标识;个人需求和整个系统都要受到检测。 

7.11.4.2 验证解决办法实现了与上一抽象层相关的要求。 

7.11.5 执行证实 

7.11.5.1 通过显示能满足与上一抽象层相关的要求,最终满足用户的运行安全要求,实现对解决办法的证实。 

7.11.5.2 证实解决办法满足与上一抽象层关联的需要;所使用的方法应在7.11.3“定义验证和确认方法”中确定。 

7.11.6 提供验证和确认的结果 为其它工程组收集并提供验证和确认的结果;验证和确认的结果应以某种易被理解和使用的方式所提供;所有结果应被跟踪。

未经允许不得转载: 技术文章 » 信息安全 » 信息安全等级保护之管理要求→系统建设管理→工程实施

专注编程入门及提高,探究程序员职业规划之道!