精选文章 等保测评--管理人员安全测评

等保测评--管理人员安全测评

作者:江南落花雨 时间: 2020-08-05 06:05:31
江南落花雨 2020-08-05 06:05:31

信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。


安全管理人员(HRS)

人员录用

L3-HRS1-01

L3-HRS1-02

L3-HRS1-03

人员离岗

L3-HRS1-04

L3-HRS1-05

安全意识教育和培训

L3-HRS1-06

L3-HRS1-07

L3-HRS1-08

外部人员访问管理

L3-HRS1-09

L3-HRS1-10

L3-HRS1-11

L3-HRS1-12


安全管理人员(HRS)

人员录用

L3-HRS1-01

应指定或授权专门的部门或人员负责人员录用

访谈信息/网络安全主管是否由专门的部门或人员负责人员录用工作

1、具有相关的职能部门专门负责人员录用工作

2、具有明确规定负责人员录用工作的部门或人员的制度

L3-HRS1-02

应对被录用人员的身份、安全背景、专业资格或资质等进行审查,对其所具有的技术技能进行考核

1)核查人员安全管理文档是否说明录用人员应具备的条件(如学历、学位要求,技术人员应具备的专业技术水平,管理人员应具备的安全管理知识等)

2)核查是否具有人员录用时对录用人身份、北京、专业资格或资质等进行审查的相关文档或记录是否记录审查内容和审查结果等

3)核查人员录用时的技能考核文档或记录,是否记录考核内容和考核结果等。

1、人员录用管理文档说明了不同岗位录用人员的条件

2、具有人员录用的审查记录

3、具有人员录用的技能考核记录

L3-HRS1-03

应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议

1)核查保密协议,所有录用人员是否签署保密协议明确保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容

2)核查岗位安全协议文档,关键岗位是否部署岗位安全协议,明确岗位安全责任、协议的有效期限和责任人签字等内容

1、具有相关人员签字的保密协议,明确保密范围、保密责任、违约责任、协议的有效期限和责任人签字等内容

2、具有关键岗位人员签字的岗位责任协议,明确岗位安全责任、协议有效期限和责任人签字等内容

人员离岗

L3-HRS1-04

应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备

1)访谈人事负责人,询问是否及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备

2)核查人员离岗记录文档,是否具有离岗人员终止其访问权限,交还身份证件、软硬件设备等的登录记录

具有离岗人员交还各类资产的登记记录

L3-HRS1-05

应办理严格的调离手续,并承诺调离后的保密义务后方可离开

1)核查人员离岗的管理文档是否规定了人员调离手续和离岗要求

2)核查是否具有安装离岗程序办理调离手续的记录

3)核查保密承诺文档是否具有调离人员的签字

1、具有相关规范人员调离手续要求的管理文档

2、具有相关人员调离手续的记录

3、具有调离人员签字的保密承诺文档

安全意识教育和培训

L3-HRS1-06

应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施

1)访谈安全主管,询问是否对各类人员进行安全教育、岗位技能和安全技术培训

2)核查网络安全教育和技能培训文档,是否明确培训周期、培训方式、培训内容和考核方式等相关内容

3)核查安全责任和惩戒措施管理文档是否包含具体的安全责任和惩戒措施

1、具有相关文档明确要求对人员进行安全意识教育和岗位技能培训

2、具有网络安全教育的技能培训文档,明确培训周期、培训方式、培训内容和考核方式等相关内容

3、具有相关文档明确安全责任和惩戒措施

L3-HRS1-07

应针对不同岗位制定不同的培训计划,对安全基础知识、岗位操作流程等进行培训

1)访谈安全主管,询问是否针对不同岗位制定不同的培训计划,并按照计划针对各个岗位人员进行安全教育和培训

2)核查安全教育和培训管理文档,查看是否明确规定应进行安全教育和培训

3)核查是否具有不同岗位的培训计划,查看培训内容是否包含网络安全基础知识、岗位操作规程等

4)核查安全教育和培训记录是否由培训人员、培训内容、培训结果等的描述

1、具有安全教育和培训管理文档,明确规定应进行安全教育和培训

2、具有针对不同岗位人员的培训计划

3、具有相关培训记录

L3-HRS1-08

应定期对不同岗位的人员进行技能考核

1)访谈安全主管,询问是否针对不同岗位制定不同的培训计划,并按照计划对各个岗位人员进行安全教育和培训

2)核查安全教育和培训管理文档,查看是否明确规定应进行安全教育和培训

3)核查是否具有不同的岗位培训计划,查看培训内容是否包含网络安全基础知识、岗位操作规程等

4)核查安全教育和培训记录是否有培训人员、培训内容、培训结果等的描述

具有定期的各岗位人员技能考核记录。记录的考核人员包括各个岗位的人员,考核内容包含安全知识、安全技能等,记录日期与考核周期一致。

外部人员访问管理

L3-HRS1-09

应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同

1)核查外部人员访问管理文档,是否明确允许外部人员访问的范围、外部人员进入的条件、外部人员进入的访问控制措施等

2)核查外部人员访问重要区域的书面申请文档是否具有批准人允许访问的批准签字等

3)核查外部人员访问重要区域的登记记录是否记录了外部人员访问重要区域的进入时间、离开时间、访问区域及陪同人等

1、相关管理文档明确了外部人员物理访问受控区域的要求

2、具有相关申请并批准进入的记录

3、具有外部人员访问受控区域的相关记录

L3-HRS1-10

应在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限,并登记备案

1)核查外部人员访问管理文档是否明确外部人员接入 受控网络前的申请审批流程

2)核查外部人员访问系统的书面申请文档是否明确外部人员的访问权限,是否具有允许访问的批准签字等

3)核查外部人员访问系统的登记记录是否记录了外部人员访问权限、时限、账户等

1、相关管理文档明确了外部人员逻辑访问受控网络系统的审批要求

2、具有相关申请并批准接入网络的记录

3、具有外部人员逻辑访问受控区域的相关登记记录

L3-HRS1-11

外部人员离场后应及时清除其所有的访问权限

1)核查外部人员访问管理文档是否明确外部人员离开后及时清除其所有访问权限

2)核查外部人员访问系统的登记记录是否记录了访问权限清除时间

1、具有相关管理文档明确外部人员离场后清除其权限的要求

2、具有相关清除访问权限的记录

L3-HRS1-12

获得系统访问授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄露任何敏感信息

核查外部人员访问保密协议或记录表单类文档,是否明确人员的保密义务(如不得进行非授权操作,不得复制信息等)

具有相关外部人员签字的保密协议,明确其保密义务

勿删,copyright占位
分享文章到微博
分享文章到朋友圈

上一篇:深度学习到底有哪些经典成果?道翰天琼认知智能机器人API平台接口为您揭秘。

下一篇:什么是十字链表?

您可能感兴趣

  • 工作流学习2(书本)

    1、流程引擎的创建。 1.1、ProcessEngineConfiguration的buildProcessEngine方法 使用ProcessEngineConfiguration的create方法可以得到ProcessEngineConfiguration的实例。ProcessEngineConfiguration中提供了一个buildProcessEngine方法,该方法返回一个Pro...

  • 物联网大数据平台有哪些功能特点

      大数据技术是指从各种各样海量类型的数据中,快速获得有价值信息的能力。适用于大数据的技术,包括大规模并行处理(MPP)数据库,数据挖掘电网,分布式文件系统,分布式数据库,云计算平台,互联网,和可扩展的存储系统。   一个物联网大数据平台需要具备哪些功能?与通用的大数据平台相比,它需要具备什么样的特征呢?我们来仔细分析一下。   1.高效分布式   必须是高效的分布式系统。物联网产生的数据量...

  • 我是如何失去团队掌控的?一个技术总监的反思

    我是一个不合格的技术总监,在过去的快三个月里。我带着从40多个人的研发团队(包含需求、开发、测试)里抽调出20多个人去为公司开疆拓土。在这快三个月中,我们一起奋战奋斗拼搏。在过程中,我通宵时间超过半个月,干到凌晨4/5点的日子数不胜数,干到凌晨1/2点日子更是习以为常。整个团队绝大多数人近乎两个月没有周末,辛苦异常,是实实在在的高峰体验。但是三个月后,我带着失败和一身的惨痛教训回到公司。 我...

  • 如何做好决策?

    最近刚看完《决策必读12篇》这本经典决策书籍,对于科学决策方法和如何有效决策算是有了一些新的认识。不得不说,读书虽不是万能的,但却是掌握一门新知识最原始最高效的做法。 决策的科学方法涉及到使用数据和逻辑分析,而不是单靠直觉或感觉。在笔者看过的所有与决策相关的书籍中,唯有这本《决策必读12篇》能够将数据的运用和逻辑分析讲解的鞭辟入里。 本文并非是要推荐书,而是想结合实际谈谈我个人对于科学决策及...

  • 优傲机器人探讨在经济不明朗的时期如何保持业务连续性

    作者:优傲机器人产品和应用管理副总裁Jim Lawton 要想在竞争激烈的制造业中生存下来,就必须能够适应不断变化的客户需求和日新月异的全球经济走势。现在制造业正面临着巨大的挑战,全球仍有城市处在强制性关闭工厂和地域性封锁的时期,制造商不得不停止运作。当然,有一些制造商逆势而上,部署或加强自动化流程,以保持业务连续性。 传统自动化成本高昂且缺乏灵活性,需要数月甚至数年的时间来设计、开发和部署...

  • Linux系统内存

    Linux 内存是后台开发人员,需要深入了解的计算机资源。合理的使用内存,有助于提升机器的性能和稳定性。本文主要介绍Linux 内存组织结构和页面布局,内存碎片产生原因和优化算法,Linux 内核几种内存管理的方法,内存使用场景以及内存使用的那些坑。 从内存的原理和结构,到内存的算法优化,再到使用场景,去探寻内存管理的机制和奥秘。 一、走进Linux 内存 1、内存是什么? 1)内存又称主存...

  • 高防弹性IP 金山云荣获“可信云技术最佳实践--网络安全”奖

    7月29-30日,由中国信息通信研究院、中国通信标准化协会主办的“ 2020可信云大会”在京举行。会上,金山云高防弹性IP(Kingsoft Cloud Advanced Defense for EIP)获得“可信云技术最佳实践--网络安全”认证,其安全能力再获国内权威认可。 可信云技术最佳实践--网络安全奖 可信云认证(TRUCS)是国内目前针对云服务的权威认证体系。近年来,随着云计算技术...

  • 美团数据库运维自动化系统构建之路

    本文整理自美团点评技术沙龙第10期:数据库技术架构与实践。 美团点评技术沙龙由美团点评技术团队主办,每月一期。每期沙龙邀请美团点评及其它互联网公司的技术专家分享来自一线的实践经验,覆盖各主要技术领域。 目前沙龙会分别在北京、上海和厦门等地举行,要参加下一次最新沙龙活动?赶快关注微信公众号“美团点评技术团队”。 本次沙龙主要围绕数据库相关的主题,内容包括美团数据库自动化运维系统构建、点评侧My...

华为云40多款云服务产品0元试用活动

免费套餐,马上领取!
CSDN

CSDN

中国开发者社区CSDN (Chinese Software Developer Network) 创立于1999年,致力为中国开发者提供知识传播、在线学习、职业发展等全生命周期服务。