信息系統(tǒng)安全等級(jí)保護(hù)檢查

1、精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)第 14 章 信息系統(tǒng)安全等級(jí)保護(hù)檢查信息系統(tǒng)的檢查工作時(shí)信息系統(tǒng)等級(jí)保護(hù)工作的重要組成部分之一。系統(tǒng)的檢查涉及系統(tǒng)管理和技術(shù)的方方面面，是對(duì)信息系統(tǒng)安全保障措施能否切實(shí)保障系統(tǒng)安全的檢查和確認(rèn)。本章中將詳細(xì)敘述檢查重要性、分類和實(shí)施方式。14.1.1 概述信息系統(tǒng)檢查是保障信息系統(tǒng)安全性的重要任務(wù)之一，通過(guò)對(duì)建立的信息系統(tǒng)進(jìn)行安全性檢查，能夠發(fā)現(xiàn)系統(tǒng)的不足，并及時(shí)補(bǔ)救和改進(jìn)。所

2、以，各國(guó)為了解決信息系統(tǒng)的安全性問(wèn)題，對(duì)系統(tǒng)的檢查都提出了相應(yīng)的要求，并且建立了相關(guān)的法律、法規(guī)、標(biāo)準(zhǔn)和規(guī)范等來(lái)保障安全檢查的正常運(yùn)行。14.1.2 檢查的工作形勢(shì)檢查的工作形式，可以分為自檢查、監(jiān)督檢查和委托檢查。（1） 自檢查：指信息系統(tǒng)所有者或運(yùn)營(yíng)、使用單位發(fā)起的對(duì)本單位信息系統(tǒng)的安全狀態(tài)進(jìn)行的檢查。若系統(tǒng)所有者的自檢查有周期性，則不必每次都執(zhí)行完整的檢查流程，而只是自檢查系統(tǒng)變化的部分和重要部位。（2） 監(jiān)督檢查：指信息系統(tǒng)的上

3、級(jí)管理部門組織的，或由國(guó)家相關(guān)部門依法開展的檢查。監(jiān)督檢查一般需要執(zhí)行完整的檢查流程，但特殊情況下，也可在自檢查的基礎(chǔ)上，只執(zhí)行關(guān)鍵部門的檢查。（3） 委托檢查：受檢單位或監(jiān)督檢查的組織部門不具備檢查能力的，可委托經(jīng)相關(guān)主管部門認(rèn)可的機(jī)構(gòu)來(lái)檢查。14.1.3 檢查的分類信息系統(tǒng)的安全性檢查按照起因和組織形式可分為常規(guī)檢查、專項(xiàng)檢查、事件檢查、安全檢查和自查五類；按照內(nèi)容劃分可分為管理類檢查和技術(shù)類檢查兩類。本章將從內(nèi)容劃分進(jìn)行描述。（1

4、） 管理類檢查：針對(duì)信息系統(tǒng)的管理過(guò)程施行的檢查稱為管理類檢查，主要分為組織安全檢查、人員安全檢查、系統(tǒng)建設(shè)檢查和系統(tǒng)運(yùn)維檢查等幾個(gè)部分。（2） 技術(shù)類檢查：針對(duì)支持和保障信息系統(tǒng)安全運(yùn)行使用的技術(shù)和操作施行的檢查稱為技術(shù)類檢查，主要包括物理安全檢查、網(wǎng)絡(luò)安全檢查、主機(jī)安全檢查和應(yīng)用安全檢查等幾個(gè)部分。14.2 檢查的目標(biāo)和內(nèi)容精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)表 14-2 組織機(jī)構(gòu)安全管理檢查 組織機(jī)構(gòu)安全管理

5、檢查檢 查 條 目 結(jié) 果 判 定安全組織機(jī)構(gòu)建立 安全組織機(jī)構(gòu)成立的相關(guān)文件齊全，架構(gòu)完整，有專門的的 信息安全領(lǐng)導(dǎo)小組進(jìn)行安全工作安全組織機(jī)構(gòu)運(yùn)行 信息安全機(jī)構(gòu)定期開展信息安全工作的部署和考核等工作， 并有明確的記錄安全管理制度制定和實(shí)施 信息安全制度按照流程指定，并且制度實(shí)施情況良好2. 人員安全檢查檢查對(duì)象：人員管理的制度和記錄。檢查條目和結(jié)果判定可參照人員安全管理檢查表，如表 14-3 所示。表 14-3 人員安全管理檢查表

6、人員安全管理檢查表檢 查 條 目 結(jié) 果 判 定人員錄用安全管理 人員管理制度對(duì)錄用人員技術(shù)和安全管理知識(shí)進(jìn)行規(guī)定，關(guān) 鍵崗位和重要崗位要簽訂安全協(xié)議書和安全保密協(xié)議離崗離職人員安全管理 人員管理制度對(duì)離崗人員信息安全管理進(jìn)行規(guī)定，人員離崗 時(shí)應(yīng)進(jìn)行登記在職人員安全考核管理 人員管理制度對(duì)在職人員審查進(jìn)行規(guī)定，對(duì)考核結(jié)果進(jìn)行記 錄并保存人員安全教育和培訓(xùn) 人員管理制度對(duì)安全意識(shí)和技術(shù)進(jìn)行培訓(xùn)和規(guī)定，并對(duì)安全 教育和培訓(xùn)情況和結(jié)果進(jìn)行記錄

7、并存檔保存外部人員訪問(wèn) 人員管理制度中具有針對(duì)外部人員訪問(wèn)重要區(qū)域的管理規(guī) 定，且對(duì)外部人員訪問(wèn)歷史進(jìn)行記錄并保存3. 系統(tǒng)建設(shè)檢查檢查對(duì)象：系統(tǒng)頂級(jí)管理中的制度、記錄文檔和相關(guān)的合同及文檔等。檢查條目和結(jié)果判定參照系統(tǒng)建設(shè)管理檢查表，如表 14-4 所示。表 14-4 系統(tǒng)建設(shè)管理檢查表 系統(tǒng)建設(shè)管理檢查表控制點(diǎn) 檢查條目 結(jié)果判定定級(jí)文檔 文檔明確邊界和等級(jí)且說(shuō)明定級(jí)方法和理由定級(jí)結(jié)果批準(zhǔn) 結(jié)果經(jīng)過(guò)審批系統(tǒng) 定級(jí)定級(jí)結(jié)果論證和審定