安全运维管理

指标总览

指标详情

环境管理

指标内容如图：

指标理解：

a）明确责任人或责任部门，相关制度文件中明确指定具体部门或人员负责机房安全，对进出机房管理，定期对机房设施维护管理。

b）有相关制度文件中明确对物理访问、物品带进出和环境安全等方面的管理要求。如机房可进出的时间范围、机房进出审批及登记、进入机房需要相关人员陪同、机房巡检及问题反馈等。

c）有相关制度文件中明确对重要区域的管理要求，如进入办公区需要授权及人员陪同、敏感信息的文档不允许随意摆放、人员离开要求电脑锁屏等。

资产管理

指标内容如图：

指标理解：

a）有资产清单文档，记录资产责任部门、重要程度等信息。

b）制度文件中对不同资产有不同的管理措施要求。

c）制度文件中对信息分类与标识及管理有具体要求。

介质管理

指标内容如图：

指标理解：

a）有相关制度文档明确介质存放的要求，并指定专人管理和定期盘点。

b）有相关制度文档明确在物理传输过程中的相关要求。

设备维护管理

指标内容如图：

指标理解：

a）有相关制度文档，明确有专人或部门管理设备、线路定期维护。

b）有相关设备维护的管理制度，明确责任、审批和监督机制。

c）有相关制度明确对于设备带离机房或办公地点的处理，以及敏感数据的加密要求。

d）有相关制度明确对于报废和重用的信息清除操作要求。

漏洞和风险管理

指标内容如图：

指标理解：

和技术措施中的漏洞检测机制有所关联。

a）从管理制度上要求有漏洞检测及修复的机制。

b）从管理制度上要求开展定期的安全评测。

网络和系统安全管理

指标内容如图：

指标理解：

a）管理制度明确三权分立要求，在相关设备上系统管理员、审计管理员、安全管理员、数据库管理员等角色。

b）制度授权专人或部门账号管理权限。

c）管理制度中明确指标中的要求。相关设备则按照制度要求落实具体的技术措施。

d）相关设备有配套的配置手册、操作手册。

e）对日常巡检工作、运行维护记录、参数等信息的记录。这个是不同于技术措施中的日志记录，测评时检查相关记录文档。

f）有审计员定期审计操作记录，及时发现可能的违规行为。

g）对变更操作有审批流程，并且记录变更操作日志。

h）对运维工具的使用有审批流程，并且记录运维操作，结束后删除敏感信息。

i）对远程运维有审批流程，并且记录运维操作，结束后关闭远程通道。

j）对外联行为有审批流程，定期检查违规外联。

恶意代码防范管理

指标内容如图：

指标理解：

a）通过定期的安全意识培训或定期的内部安全意识宣贯等方式，提高员工防恶意代码意识。相关制度要求对外来计算机或存储设备的恶意代码检测操作。

b）相关制度要求定期检查防病毒软件等相关产品的有效性。如许可有效性、病毒库更新情况等。

配置管理

指标内容如图：

指标理解：

a）有相关文档记录指标要求的基本配置信息。

b）基本配置信息的变更有管理措施。

密码管理

指标内容如图：

指标理解：

a）如GB/T39786，即密评的标准。

b）如具有商用密码认证证书的产品，以及商用密码产品名录的技术和产品。

变更管理

指标内容如图：

指标理解：

a）管理制度中有具体的变更管理流程。

b）变更管理有控制程序，基于变更管理流程执行变更过程，并记录变更过程。通过纸质书面的方式记录也可以。

c）相关制度有变更恢复控制措施，及恢复演练过程。

备份与恢复管理

指标内容如图：

指标理解：

a）针对重要业务数据、系统数据、软件进行备份。

b）制度明确规定备份方式、频率、介质、保存期等。

c）有相关制度文件有备份恢复策略、备份恢复程序的说明。

安全事件处置

指标内容如图：

指标理解：

a）相关制度明确及时反馈安全弱点和可疑事件。

b）建立反馈和处置的制度流程。

c）建立追踪溯源和复盘总结机制。

d）业务中断和信息泄露有不同于常规的响应处置制度流程。

应急预案管理

指标内容如图：

指标理解：

a）不同的应急预案采用相同的应急预案框架。

b）对重要事件建立应急预案。

c）应急预案相关人员开展培训和演练。

d）定期做应急预案评估，并不断完善。

外包运维管理

指标内容如图：

指标理解：

a）在相关制度文件中明确对外部服务商有合规要求，如合法、无严重违规行为等。

b）和外部服务商有合同约束，合同明确范围、工作内容等。

c）合同中有相关约束，参考资质证书如DJJS，历史案例证明应该也可以。

d）在合同中明确和被测系统相关安全要求。