安全运维管理
安全运维管理是在等级保护对象建设完成投入运行之后,对系统实施的有效、完善的维护管理,这是保证系统运行阶段安全的基础。
安全运维管理对安全运维过程提出了安全控制要求,涉及的控制点包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理和外包运维管理等。以下将以三级等级保护对象为例,描述安全运维管理各个控制点的测评对象、检查方法和期望结果。
控制点
1.
环境管理包括对各机房和办公环境的管理。一般来说,等级保护对象所使用的硬件设备,如网络设备、安全设备、服务器设备、存储设备和存储介质,以及供电和通信用线缆等,都放置在机房,因此要确保机房运行环境的良好和安全。同时,工作人员办公时可能涉及到一些敏感信息或关键数据,所以还应对办公环境安全进行严格管理和控制。
a)*
安全要求:应指定专门的部门或人员负责机房安全,对机房出入进行管理,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理。
要求解读:机房是存放等级保护对象基础设施的重要场所,要落实机房环境的管理责任人,因此要确保机房的运行环境良好、安全,应对机房环境进行严格管理和控制。
检查方法
1.访谈物理安全负责人是否指定部门和人员负责机房安全管理工作,如对机房的出入进行管理、对基础设施(如空调供配电设备、灭火设备等)进行定期维护。
2.检查来访人员登记记录。
3.来访人员记录内容是否包括了来访人员、来访时间、离开时间、携带物品等。
4.检查设施维护记录。
5.设施维护记录内容是否包括了维护日期、维护人、维护设备、故障原因、维护结果等。
测评对象
1.物理安全负责人
2.记录表单文档、设施维护记录
期望结果
1.指定部门和人员负责机房安全管理工作,如对机房的出入进行管理,对基础设施(如空调、供配电设备,灭火设备等)进行定期维护。
2.具有来访人员登记记录。
3.来访人员记录内容包括了来访人员、来访时间、离开时间、携带物品等。
4.具有设施维护记录。
5.设施维护记录内容包括了维护日期、维护人、维护设备、故障原因、维护结果等。
b)*
安全要求:应建立机房安全管理制度,对有关物理访问、物品进出和环境安全等方面的管理作出规定。
要求解读:为保证系统有个良好、安全的运行环境,应针对机房制定相关的管理规定或要求。
检查方法
1.检查机房安全管理制度。
2.制度内容是否包括了机房物理访问,物品带进带出机房和机房环境安全等。
3.检查机房物理访问、物品带进带出机房和机房环境安全等相关记录。
测评对象
机房安全管理制度相关文档、记录表单类文档
期望结果
1.具有机房安全管理制度。
2.制度内容包括了机房物理访问,物品带进带出机房和机房环境安全等。
3.具有机房物理访问、物品带进带出机房和机房环境安全等相关记录。
c)
安全要求:应不在重要区域接待来访人员,不随意放置含有敏感信息的纸质文件和移动介质等。
要求解读:加强内部办公环境的管理是控制网络安全风险的措施之一,为保证内部办公环境的独立性、敏感性、应降低外部人员无意或有意访问内部区域的可能性,同时杜绝内部员工因无意行为而泄露敏感文档而导致网络安全事件的发生。
检查方法
1.检查办公环境的安全管理制度。
2.制度内容是否明确了来访人员的接待区域。
3.检查员工的办公桌面上是否含有敏感信息的纸质文件和移动介质等。
测评对象
1.办公环境安全管理制度相关文档
2.办公环境
期望结果
1.具有办公环境的安全管理制度。
2.制度内容明确了来访人员的接待区域。
3.员工的办公桌面上不含有敏感信息的纸质文件和移动介质等。