安全通用要求之十安全运维管理

目录

[1 环境管理](#1 环境管理)

[2 资产管理](#2 资产管理)

[3 介质管理](#3 介质管理)

[4 设备维护管理](#4 设备维护管理)

[5 漏洞和风险管理](#5 漏洞和风险管理)

[6 网络和系统安全管理](#6 网络和系统安全管理)

[7 恶意代码防范管理](#7 恶意代码防范管理)

[8 配置管理](#8 配置管理)

[9 密码管理](#9 密码管理)

[10 变更管理](#10 变更管理)

[11 备份与恢复管理](#11 备份与恢复管理)

[12 安全事件处置](#12 安全事件处置)

[13 应急预案管理](#13 应急预案管理)

[14 外包运维管理](#14 外包运维管理)

---

1 环境管理

a)应指定专门的部门或人员负责机房安全，对机房出入进行管理，定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理。

测评方法：

1)应访谈物理安全负责人是否指定部门和人员负责机房安全管理工作，对机房的出入进行管理、对基础设施（如空调、供配电设备、灭火设备等)进行定期维护；

2)应核查部门或人员岗位职责文档是否明确机房安全的责任部门及人员；

3)应核查机房的出入登记记录是否记录来访人员、来访时间、离开时间、携带物品等信息；

4)应核查机房的基础设施的维护记录是否记录维护日期、维护人、维护设备、故障原因、维护结果等方面内容。

b)应建立机房安全管理制度，对有关物理访问、物品进出和环境安全等方面的管理作出规定。

测评方法：

1)应核查机房安全管理制度是否覆盖物理访问、物品进出和环境安全等方面内容；

2)应核查物理访问、物品进出和环境安全等相关记录是否与制度相符。

c)应不在重要区域接待来访人员，不随意放置含有敏感信息的纸档文件和移动介质等。

测评方法：

1)应核查机房安全管理制度是否明确来访人员的接待区域；

2)应核查办公桌面上等位置是否未随意放置了含有敏感信息的纸档文件和移动介质等。

2 资产管理

a)应编制并保存与保护对象相关的资产清单，包括资产责任部门、重要程度和所处位置等内容。

测评方法：

应核查资产清单是否包括资产类别（含设备设施、软件、文档等)、资产责任部门、重要程度和所处位置等内容。

b)应根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施。

测评方法：

1)应访谈资产管理员是否依据资产的重要程度对资产进行标识，不同类别的资产在管理措施的选取上是否不同；

2)应核查资产管理制度是否明确资产的标识方法以及不同资产的管理措施要求；

3)应核查资产清单中的设备是否具有相应标识，标识方法是否符合2)相关要求。

c)应对信息分类与标识方法作出规定，并对信息的使用、传输和存储等进行规范化管理。

测评方法：

1)应核查信息分类文档是否规定了分类标识的原则和方法（如根据信息的重要程度、敏感程度或用途不同进行分类)；

2)应核查信息资产管理办法是否规定了不同类信息的使用、传输和存储等要求。

3 介质管理

a)应将介质存放在安全的环境中，对各类介质进行控制和保护，实行存储介质专人管理，并根据存档介质的目录清单定期盘点。

测评方法：

1)应访谈资产管理员介质存放环境是否安全，存放环境是否由专人管理；

2)应核查介质管理记录是否记录介质归档、使用和定期盘点等情况。

b)应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制，并对介质的归档和查询等进行登记记录。

测评方法：

1)应访谈资产管理员介质在物理传输过程中的人员选择、打包、交付等情况是否进行控制；

2)核查是否对介质的归档和查询等进行登记记录。

4 设备维护管理

a)应对各种设备（包括备份和元余设备入、线路等指定专门的部门或人员定期进行维护

测评方法：

1)应访谈设备管理员是否对各类设备、线路指定专人或专门部门进行定期维护；

2)应核查部门或人员岗位职责文档是否明确设备维护管理的责任部门

b)应建立配套设施软硬件维护方面的管理制度，对其维护进行有效管理，包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等。

测评方法：

1)应核查设备维护管理制度是否明确维护人员的责任、维修和服务的审批、维修过程的监督控制等方面内容；

2)应核查是否留有维修和服务的审批、维修过程等记录，审批、记录内容是否与制度相符。

c)信息处理设备应经过审批才能带离机房或办公地点，含有存储介质的设备带出工作环境时其中重要数据应加密。

测评方法：

1)应访谈设备管理员含有重要数据的设备带出工作环境是否有加密措施；

2)应访谈设备管理员对带离机房的设备是否经过审批；

3)应核查是否具有设备带离机房或办公地点的审批记录。

d)含有存储介质的设备在报废或重用前，应进行完全清除或被安全覆盖，保证该设备上的敏感数据和授权软件无法被恢复重用。

测评方法：

应访谈设备管理员含有存储介质的设备在报废或重用前，是否采取措施进行完全清除或被安全覆盖。

5 漏洞和风险管理

a)应采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。

测评方法：

1)应核查是否有识别安全漏洞和隐患的安全报告或记录（如漏洞扫描报告、渗透测试报告和安全通报等)；

2)应核查相关记录是否对发现的漏洞及时进行修补或评估可能的影响后进行修补。

b)应定期开展安全测评，形成安全测评报告，采取措施应对发现的安全间题。

测评方法：

1)应访谈安全管理员是否定期开展安全测评；

2)应核查是否具有安全测评报告；

3)应核查是否具有安全整改应对措施文档。

6 网络和系统安全管理

a)应划分不同的管理员角色进行网络和系统的运维管理，明确各个角色的责任和权限。

测评方法：

应核查网络和系统安全管理文档，系统管理员是否划分了不同角色，并定义各个角色的责任和权限。

b)应指定专门的部门或人员进行账户管理，对申请账户、建立账户、删除账户等进行控制。

测评方法：

1)应访谈运维负责人是否指定专门的部门或人员进行账户管理；

2)应核查相关审批记录或流程是否对申请账户、建立账户、删除账户等进行控制。

c)应建立网络和系统安全管理制度，对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁口令更新周期等方面作出规定。

测评方法：

应核查网络和系统安全管理制度是否覆盖网络和系统的安全策略、账户管理(用户

责任、义务、风险、权限审批、权限分配、账户注销等)、配置文件的生成及备份、变更审批、授权访问、最小服务、升级与打补丁、审计日志管理、登录设备和系统的口令更新周期等方面。

d)应制定重要设备的配置和操作手册，依据手册对设备进行安全配置和优化配置等。

测评方法：

应核查重要设备或系统（如操作系统、数据库、网络设备、安全设备、应用和组件)的配置和操作手册是否明确操作步骤、参数配置等内容

e)应详细记录运维操作日志，包括日常巡检工作、运行维护记录、参数的设置和修改等内容。

测评方法：

应核查运维操作日志是否覆盖网络和系统的H常巡检、运行维护、参数的设置和修改等内容。

f)应指定专门的部门或人员对日志、监测和报警数据等进行分析、统计，及时发现可疑行为。

测评方法：

1)应访谈网络和系统相关人员是否指定专门部门或人员对日志、监测和报警数据等进行分析统计；

2)应核查是否具有对日志、监测和报警数据等进行分析统计的报告。

g)应严格控制变更性运维，经过审批后才可改变连接、安装系统组件或调整配置参数，操作过程中应保留不可更改的审计日志，操作结束后应同步更新配置信息库。

测评方法：

1)应访谈网络和系统相关人员调整配置参数结束后是否同步更新配置信息库，并核实配置信息库是否为最新版本；

2)应核查是否具有变更运维的审批记录，如系统连接、安装系统组件或调整配置参数等活动；

3)应核查是否具有变更运维的操作过程记录。

h)应严格控制运维工具的使用，经过审批后才可接入进行操作，操作过程中应保留不可更改的审计日志，操作结束后应删除工具中的敏感数据。

测评方法：

1)应访谈系统管理员使用运维工具结束后是否删除工具中的敏感数据；

2)应核查是否具有运维工具接入系统的审批记录；

3)应核查运维工具的审计日志记录，审计日志是否不可以更改。

i)应严格控制远程运维的开通，经过审批后才可开通远程运维接口或通道，操作过程中应保留不可更改的审计日志，操作结束后立即关闭接口或通道。

测评方法：

1)应访谈系统相关人员日常运维过程中是否存在远程运维，若存在，远程运维结束后是否立即关闭了接口或通道；

2)应核查开通远程运维的审批记录；

3)应核查针对远程运维的审计日志是否不可以更改。

j)保证所与外部的连接均得到授权和批准，应定期检查违反规定无线上网及其他违反网络安全策略的行为。

测评方法：

1)应访谈系统相关人员网络外联连接（如互联网、合作伙伴企业网上级部门网络等)是否都得到授权与批准：

2)应访谈网络管理员是否定期核查违规联网行为；

3)应核查是否具有外联授权的记录文件。

7 恶意代码防范管理

a)应提高所有用户的防恶意代码意识，对外来计算机或存储设备接人系统前进行恶意代码检查等

测评方法：

1)应访谈运维负责人是否采取培训和告知等方式提升员工的防恶意代码意识；

2)应核查恶意代码防范管理制度是否明确对外来计算机或存储设备接人系统前进行恶意代码检查。

b)应定期验证防范恶意代码攻击的技术措施的有效性。

测评方法：

1)若采用可信验证技术，应访谈安全管理员是否未发生过恶意代码攻击事件；

2)若采用防恶意代码产品，应访谈安全管理员是否定期对恶意代码库进行升级，且对升级情况进行记录，对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报，是否未出现过大规模的病毒事件；

3)应核查是否具有恶意代码检测记录、恶意代码库升级记录和分析报告。

8 配置管理

a)应记录和保存基本配置信息，包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等。

测评方法：

应访谈系统管理员是否对基本配置信息进行记录和保存。

b)应将基本配置信息改变纳入变更范畴，实施对配置信息改变的控制，并及时更新基本配置信息库。

测评方法：

1)应访谈配置管理人员基本配置信息改变后是否及时更新基本配置信息库；

2)应核查配置信息的变更流程是否具有相应的申报审批程序。

9 密码管理

a)应遵循密码相关的国家标准和行业标准。

测评方法：

应访谈安全管理员密码管理过程中是否遵循密码相关的国家标准和行业标准要求。

b)应使用国家密码管理主管部门认证核准的密码技术和产品。

测评方法：

应核查相关产品是否获得有效的国家密码管理主管部门规定的检测报告或密码产品型号证书。

10 变更管理

a)应明确变更需求，变更前根据变更需求制定变更方案，变更方案经过评审、审批后方可实施。

测评方法：

1)应核查变更方案是否包含变更类型、变更原因、变更过程、变更前评估等内容；

2)应核查是否具有变更方案评审记录和变更过程记录文档。

b)应建立变更的申报和审批控制程序，依据程序控制所有的变更，记录变更实施过程。

测评方法：

1)应核查变更控制的中报、审批程序其是否规定需要申报的变更类型、申报流程、审批部门、批准人等方面内容。

2)应核查是否具有变更实施过程的记录文档。

c)应建立中止变更并从失败变更中恢复的程序，明确过程控制方法和人员职责，必要时对恢复过程进行演练。

测评方法：

1)应访谈运维负责人变更中止或失败后的恢复程序、工作方法和职责是否文档化，恢复过程是否经过演练；

2)应核查是否具有变更恢复演练记录；

3)应核查变更恢复程序是否规定变更中止或失败后的恢复流程。

11 备份与恢复管理

a)应识别需要定期备份的重要业务信息、系统数据及软件系统等。

测评方法：

1)应访谈系统管理员有哪些需定期备份的业务信息、系统数据及软件系统；

2)应核查是否具有定期备份的重要业务信息、系统数据、软件系统的列表或清单。

b)应规定备份信息的备份方式、备份频度、存储介质、保存期等。

测评方法：

应核查备份与恢复管理制度是否明确备份方式、频度、介质、保存期等内容。

c)应根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略、备份程序和恢复程序等。

测评方法：

应核查备份和恢复的策略文档是否根据数据的重要程度制定相应备份恢复策略和程序等。

12 安全事件处置

a)应及时向安全管理部门报告所发现的安全弱点和可疑事件。

测评方法：

1)应访谈运维负责人是否告知用户在发现安全弱点和可疑事件时及时向安全管理部门报告；

2)应核查在发现安全弱点和可疑事件后是否具备对应的报告或相关文档。

b)应制定安全事件报告和处置管理制度，明确不同安全事件的报告、处置和响应流程，规定安全事件的现场处理、事件报告和后期恢复的管理职责等。

测评方法：

应核查安全事件报告和处置管理制度是否明确了与安全事件有关的工作职责、不同安全事件的报告、处置和响应流程等。

c)应在安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训

测评方法：

应核查安全事件报告和响应处置记录是否记录引发安全事件的原因、证据、处置过程、经验教训、补救措施等内容。

d)对造成系统中断和造成信息泄漏的重大安全事件应采用不同的处理程序和报告程序

测评方法：

1)应访谈运维负责人不同安全事件的报告流程；

2)应核查针对重大安全事件是否制定不同安全事件报告和处理流程，是否明确具体报告方式、报告内容、报告人等方面内容

13 应急预案管理

a)应规定统一的应急预案框架，包括启动预案的条件、应急组织构成、应急资源保障、事后教育和培训等内容。

测评方法：

应核查应急预案框架是否覆盖启动应急预案的条件、应急组织构成、应急资源保障、事后教育和培训等方面。

b)应制定重要事件的应急预案，包括应急处理流程、系统恢复流程等内容。

测评方法：

应核查是否具有重要事件的应急预案（如针对机房、系统、网络等各个方面)。

c)应定期对系统相关的人员进行应急预案培训，并进行应急预案的演练。

测评方法：

1)应访谈运维负责人是否定期对相关人员进行应急预案培训和演练；

2)应核查应急预案培训记录是否明确培训对象、培训内容、培训结果等；

3)应核查应急预案演练记录是否记录演练时间、主要操作内容、演练结果等。

d)应定期对原有的应急预案重新评估，修订完善。

测评方法：

应核查应急预案修订记录是否定期评估并修订完善等。

14 外包运维管理

a)应确保外包运维服务商的选择符合国家的有关规定。

测评方法：

1)应访谈运维负责人是否有外包运维服务情况；

2)应访谈运维负责人外包运维服务单位是否符合国家有关规定。

b)应与选定的外包运维服务商签订相关的协议，明确约定外包运维的范围、工作内容。

测评方法：

应核查外包运维服务协议是否明确约定外包运维的范围和工作内容。

c)应保证选择的外包运维服务商在技术和管理方面均应具有按照等级保护要求开展安全运维工作的能力，并将能力要求在签订的协议中明确。

测评方法：

应核查与外包运维服务商签订的协议中是否明确其具有等级保护要求的服务能力。

d)应在与外包运维服务商签订的协议中明确所有相关的安全要求，如可能涉及对敏感信息的访问、处理、存储要求，对IT基础设施中断服务的应急保障要求等。

测评方法：

应核查外包运维服务协议是否包含可能涉及对敏感信息的访问、处理、存储要求，对IT基础设施中断服务的应急保障要求等内容。