信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。
安全管理人员(HRS)
人员录用
L3-HRS1-01
应指定或授权专门的部门或人员负责人员录用
访谈信息/网络安全主管是否由专门的部门或人员负责人员录用工作
1、具有相关的职能部门专门负责人员录用工作
2、具有明确规定负责人员录用工作的部门或人员的制度
L3-HRS1-02
应对被录用人员的身份、安全背景、专业资格或资质等进行审查,对其所具有的技术技能进行考核
1)核查人员安全管理文档是否说明录用人员应具备的条件(如学历、学位要求,技术人员应具备的专业技术水平,管理人员应具备的安全管理知识等)
2)核查是否具有人员录用时对录用人身份、北京、专业资格或资质等进行审查的相关文档或记录是否记录审查内容和审查结果等
3)核查人员录用时的技能考核文档或记录,是否记录考核内容和考核结果等。
1、人员录用管理文档说明了不同岗位录用人员的条件
2、具有人员录用的审查记录
3、具有人员录用的技能考核记录
L3-HRS1-03
应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议
1)核查保密协议,所有录用人员是否签署保密协议明确保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容
2)核查岗位安全协议文档,关键岗位是否部署岗位安全协议,明确岗位安全责任、协议的有效期限和责任人签字等内容
1、具有相关人员签字的保密协议,明确保密范围、保密责任、违约责任、协议的有效期限和责任人签字等内容
2、具有关键岗位人员签字的岗位责任协议,明确岗位安全责任、协议有效期限和责任人签字等内容
人员离岗
L3-HRS1-04
应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备
1)访谈人事负责人,询问是否及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备
2)核查人员离岗记录文档,是否具有离岗人员终止其访问权限,交还身份证件、软硬件设备等的登录记录
具有离岗人员交还各类资产的登记记录
L3-HRS1-05
应办理严格的调离手续,并承诺调离后的保密义务后方可离开
1)核查人员离岗的管理文档是否规定了人员调离手续和离岗要求
2)核查是否具有安装离岗程序办理调离手续的记录
3)核查保密承诺文档是否具有调离人员的签字
1、具有相关规范人员调离手续要求的管理文档
2、具有相关人员调离手续的记录
3、具有调离人员签字的保密承诺文档
安全意识教育和培训
L3-HRS1-06
应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施
1)访谈安全主管,询问是否对各类人员进行安全教育、岗位技能和安全技术培训
2)核查网络安全教育和技能培训文档,是否明确培训周期、培训方式、培训内容和考核方式等相关内容
3)核查安全责任和惩戒措施管理文档是否包含具体的安全责任和惩戒措施
1、具有相关文档明确要求对人员进行安全意识教育和岗位技能培训
2、具有网络安全教育的技能培训文档,明确培训周期、培训方式、培训内容和考核方式等相关内容
3、具有相关文档明确安全责任和惩戒措施
L3-HRS1-07
应针对不同岗位制定不同的培训计划,对安全基础知识、岗位操作流程等进行培训
1)访谈安全主管,询问是否针对不同岗位制定不同的培训计划,并按照计划针对各个岗位人员进行安全教育和培训
2)核查安全教育和培训管理文档,查看是否明确规定应进行安全教育和培训
3)核查是否具有不同岗位的培训计划,查看培训内容是否包含网络安全基础知识、岗位操作规程等
4)核查安全教育和培训记录是否由培训人员、培训内容、培训结果等的描述
1、具有安全教育和培训管理文档,明确规定应进行安全教育和培训
2、具有针对不同岗位人员的培训计划
3、具有相关培训记录
L3-HRS1-08
应定期对不同岗位的人员进行技能考核
1)访谈安全主管,询问是否针对不同岗位制定不同的培训计划,并按照计划对各个岗位人员进行安全教育和培训
2)核查安全教育和培训管理文档,查看是否明确规定应进行安全教育和培训
3)核查是否具有不同的岗位培训计划,查看培训内容是否包含网络安全基础知识、岗位操作规程等
4)核查安全教育和培训记录是否有培训人员、培训内容、培训结果等的描述
具有定期的各岗位人员技能考核记录。记录的考核人员包括各个岗位的人员,考核内容包含安全知识、安全技能等,记录日期与考核周期一致。
外部人员访问管理
L3-HRS1-09
应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同
1)核查外部人员访问管理文档,是否明确允许外部人员访问的范围、外部人员进入的条件、外部人员进入的访问控制措施等
2)核查外部人员访问重要区域的书面申请文档是否具有批准人允许访问的批准签字等
3)核查外部人员访问重要区域的登记记录是否记录了外部人员访问重要区域的进入时间、离开时间、访问区域及陪同人等
1、相关管理文档明确了外部人员物理访问受控区域的要求
2、具有相关申请并批准进入的记录
3、具有外部人员访问受控区域的相关记录
L3-HRS1-10
应在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限,并登记备案
1)核查外部人员访问管理文档是否明确外部人员接入 受控网络前的申请审批流程
2)核查外部人员访问系统的书面申请文档是否明确外部人员的访问权限,是否具有允许访问的批准签字等
3)核查外部人员访问系统的登记记录是否记录了外部人员访问权限、时限、账户等
1、相关管理文档明确了外部人员逻辑访问受控网络系统的审批要求
2、具有相关申请并批准接入网络的记录
3、具有外部人员逻辑访问受控区域的相关登记记录
L3-HRS1-11
外部人员离场后应及时清除其所有的访问权限
1)核查外部人员访问管理文档是否明确外部人员离开后及时清除其所有访问权限
2)核查外部人员访问系统的登记记录是否记录了访问权限清除时间
1、具有相关管理文档明确外部人员离场后清除其权限的要求
2、具有相关清除访问权限的记录
L3-HRS1-12
获得系统访问授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄露任何敏感信息
核查外部人员访问保密协议或记录表单类文档,是否明确人员的保密义务(如不得进行非授权操作,不得复制信息等)
具有相关外部人员签字的保密协议,明确其保密义务