今日頭條
官方微信
官方抖音
資訊頻道安全建設(shè)管理風(fēng)險(xiǎn)主要來(lái)源于信息安全管理體系的不健全,以及因相關(guān)控制措施的缺失而導(dǎo)致的信息系統(tǒng)及信息工程規(guī)劃設(shè)計(jì)、軟件開(kāi)發(fā)、工程實(shí)施、測(cè)試驗(yàn)收及系統(tǒng)交付等階段工作內(nèi)容和工作流程的不全面、不規(guī)范問(wèn)題,進(jìn)而有可能導(dǎo)致信息系統(tǒng)或信息工程在安全功能和相關(guān)控制措施方面的缺陷,為合規(guī)性和信息系統(tǒng)運(yùn)維埋下隱患。
通過(guò)建立信息系統(tǒng)及信息工程規(guī)劃設(shè)計(jì)、軟件開(kāi)發(fā)、工程實(shí)施、測(cè)試驗(yàn)收及交付等階段的控制措施,將這些控制措施和流程落實(shí)到管理制度文檔,并進(jìn)行合理的發(fā)布和實(shí)施。確保信息系統(tǒng)在規(guī)劃、開(kāi)發(fā)、實(shí)施、測(cè)試驗(yàn)收和交付階段工作內(nèi)容和工作流程的全面、規(guī)范、符合項(xiàng)目管理的要求。
1、安全建設(shè)管理要求
(1)定級(jí)和備案要求
1)應(yīng)以書(shū)面的形式說(shuō)明保護(hù)對(duì)象的邊界、安全保護(hù)等級(jí)及確定等級(jí)的方法和理由。
2)應(yīng)組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專(zhuān)家對(duì)定級(jí)結(jié)果的合理性和正確性進(jìn)行論證和審定。
3)應(yīng)確保定級(jí)結(jié)果經(jīng)過(guò)相關(guān)部門(mén)的批準(zhǔn)。
4)應(yīng)將備案材料報(bào)主管部門(mén)和相應(yīng)公安機(jī)關(guān)備案。
(2)安全方案設(shè)計(jì)要求
1)應(yīng)根據(jù)安全保護(hù)等級(jí)選擇基本安全措施,依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施。
2)應(yīng)根據(jù)保護(hù)對(duì)象的安全保護(hù)等級(jí)及與其他級(jí)別保護(hù)對(duì)象的關(guān)系進(jìn)行安全整體規(guī)劃和安全方案設(shè)計(jì),并形成配套文件。
3)應(yīng)組織相關(guān)部門(mén)和有關(guān)安全專(zhuān)家對(duì)安全整體規(guī)劃及其配套文件的合理性和正確性進(jìn)行論證和審定,經(jīng)過(guò)批準(zhǔn)后才能正式實(shí)施。
(3)產(chǎn)品采購(gòu)和使用要求
1)應(yīng)確保信息安全產(chǎn)品采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定。
2)應(yīng)確保密碼產(chǎn)品采購(gòu)和使用符合國(guó)家密碼主管部門(mén)的要求。
3)應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試,確定產(chǎn)品的候選范圍,并定期審定和更新候選產(chǎn)品名單。
(4)自行軟件開(kāi)發(fā)要求
1)應(yīng)確保開(kāi)發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開(kāi),測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制。
2)應(yīng)制定軟件開(kāi)發(fā)管理制度,明確說(shuō)明開(kāi)發(fā)過(guò)程的控制方法和人員行為準(zhǔn)則。
3)應(yīng)制定代碼編寫(xiě)安全規(guī)范,要求開(kāi)發(fā)人員參照規(guī)范編寫(xiě)代碼。
4)應(yīng)確保具備軟件設(shè)計(jì)的相關(guān)文檔和使用指南,并對(duì)文檔使用進(jìn)行控制。
5)應(yīng)確保在軟件開(kāi)發(fā)過(guò)程中對(duì)安全性進(jìn)行測(cè)試,在軟件安裝前對(duì)可能存在的惡意代碼進(jìn)行檢測(cè)。
6)應(yīng)確保對(duì)程序資源庫(kù)的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn),并嚴(yán)格進(jìn)行版本控制。
7)應(yīng)確保開(kāi)發(fā)人員為專(zhuān)職人員,開(kāi)發(fā)人員的開(kāi)發(fā)活動(dòng)受到控制、監(jiān)視和審查。
(5)外包軟件開(kāi)發(fā)要求
1)應(yīng)在軟件交付前檢測(cè)軟件質(zhì)量和其中可能存在的惡意代碼。
2)應(yīng)要求開(kāi)發(fā)單位提供軟件設(shè)計(jì)文檔和使用指南。
3)應(yīng)要求開(kāi)發(fā)單位提供軟件源代碼,并審查軟件中可能存在的后門(mén)和隱蔽信道。
(6)工程實(shí)施要求
1)應(yīng)指定或授權(quán)專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)工程實(shí)施過(guò)程的管理。
2)應(yīng)制訂工程實(shí)施方案控制安全工程實(shí)施過(guò)程。
3)應(yīng)通過(guò)第三方工程監(jiān)理控制項(xiàng)目的實(shí)施過(guò)程。
(7)測(cè)試驗(yàn)收要求
1)制訂測(cè)試驗(yàn)收方案,并依據(jù)測(cè)試驗(yàn)收方案實(shí)施測(cè)試驗(yàn)收,形成測(cè)試驗(yàn)收?qǐng)?bào)告。
2)應(yīng)進(jìn)行上線前的安全性測(cè)試,并出具安全測(cè)試報(bào)告。
(8)系統(tǒng)交付要求
1)應(yīng)制定交付清單,并根據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)。
2)應(yīng)對(duì)負(fù)責(zé)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)。
3)應(yīng)確保提供建設(shè)過(guò)程中的文檔和指導(dǎo)用戶進(jìn)行運(yùn)行維護(hù)的文檔。
(9)等級(jí)測(cè)評(píng)要求
1)應(yīng)定期進(jìn)行等級(jí)測(cè)評(píng),發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改。
2)應(yīng)在發(fā)生重大變更或級(jí)別發(fā)生變化時(shí)進(jìn)行等級(jí)測(cè)評(píng)。
3)應(yīng)選擇具有國(guó)家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測(cè)評(píng)單位進(jìn)行等級(jí)測(cè)評(píng)。
(10)服務(wù)供應(yīng)商選擇要求
1)應(yīng)確保服務(wù)供應(yīng)商的選擇符合國(guó)家的有關(guān)規(guī)定。
2)應(yīng)與選定的服務(wù)供應(yīng)商簽訂相關(guān)協(xié)議,明確整個(gè)服務(wù)供應(yīng)鏈各方需履行的信息安全相關(guān)義務(wù)。
3)應(yīng)定期監(jiān)視、評(píng)審和審核服務(wù)供應(yīng)商提供的服務(wù),并對(duì)其變更服務(wù)內(nèi)容加以控制。
2、安全建設(shè)管理措施
(1)定級(jí)和備案
等級(jí)保護(hù)制度是我國(guó)保證信息系統(tǒng)安全的重要手段,是在合規(guī)性管理的重要工作內(nèi)容。信息系統(tǒng)定級(jí)和備案是開(kāi)展等級(jí)保護(hù)工作的重要內(nèi)容,也是最先開(kāi)展的環(huán)節(jié),定級(jí)的準(zhǔn)確性決定了信息系統(tǒng)在后續(xù)規(guī)劃、設(shè)計(jì)和項(xiàng)目建設(shè)階段是否全面、準(zhǔn)確。因此,必須建立與等級(jí)保護(hù)相關(guān)的管理制度,要求信息系統(tǒng)的規(guī)劃和建設(shè)者必須參照國(guó)家相關(guān)標(biāo)準(zhǔn),以書(shū)面的形式準(zhǔn)確地描述保護(hù)對(duì)象,包括其安全邊界、信息資產(chǎn)、業(yè)務(wù)功能、安全保護(hù)等級(jí),以及等級(jí)確定的方法和依據(jù),并填寫(xiě)公安機(jī)關(guān)要求的其他備案材料。在完成材料準(zhǔn)備后,應(yīng)組織相關(guān)業(yè)務(wù)部門(mén)和外部安全技術(shù)專(zhuān)家對(duì)定級(jí)結(jié)果的合理性和準(zhǔn)確性進(jìn)行審定,如果有上級(jí)主管部門(mén),還應(yīng)當(dāng)通過(guò)上級(jí)主管部門(mén)的審核,在按照專(zhuān)家和主管部門(mén)的審定意見(jiàn)完成備案材料的修訂后,應(yīng)將修改后的材料報(bào)主管部門(mén)和公安機(jī)關(guān)審查,完成備案。
(2)安全方案設(shè)計(jì)
確定信息系統(tǒng)的安全等級(jí)保護(hù)級(jí)別后,就唯一確定了一組針對(duì)該等級(jí)的控制措施,應(yīng)該根據(jù)信息系統(tǒng)面臨的風(fēng)險(xiǎn)和相應(yīng)的安全措施,進(jìn)行安全整體規(guī)劃和安全方案的設(shè)計(jì),并組織業(yè)務(wù)部門(mén)、上級(jí)部門(mén)和外部安全專(zhuān)家對(duì)設(shè)計(jì)方案進(jìn)行評(píng)價(jià)審定。
(3)產(chǎn)品采購(gòu)和使用
信息安全產(chǎn)品是落實(shí)控制措施的重要手段之一,如何采購(gòu)到符合組織需要的、符合國(guó)家相關(guān)部門(mén)標(biāo)準(zhǔn)的產(chǎn)品是非常重要的,一旦購(gòu)買(mǎi)的產(chǎn)品不能滿足信息安全保護(hù)的要求,可能會(huì)給相關(guān)業(yè)務(wù)系統(tǒng)帶來(lái)嚴(yán)重?fù)p失。因此,必須按照項(xiàng)目管理的采購(gòu)知識(shí)領(lǐng)域的要求,建立產(chǎn)品采購(gòu)相關(guān)的制度,控制產(chǎn)品采購(gòu)的過(guò)程。建議制定不同類(lèi)型產(chǎn)品必須滿足的資質(zhì)級(jí)別要求,特別是商用密碼產(chǎn)品必須滿足國(guó)家密碼主管部門(mén)的相關(guān)要求。在開(kāi)始采購(gòu)產(chǎn)品之前預(yù)先對(duì)產(chǎn)品的性能和功能進(jìn)行測(cè)試,確保產(chǎn)品不存在性能虛標(biāo),可以滿足項(xiàng)目建設(shè)的功能要求,產(chǎn)品本身的安全防護(hù)能力可以達(dá)到信息系統(tǒng)相同等級(jí)保護(hù)級(jí)別的要求;而產(chǎn)品的測(cè)試結(jié)果形成組織候選產(chǎn)品清單,并根據(jù)國(guó)家相關(guān)部門(mén)要求的變化及組織業(yè)務(wù)的需要定期審定和更新該產(chǎn)品清單。產(chǎn)品采購(gòu)階段應(yīng)考慮:
1)為了滿足用戶身份鑒別要求,需要確認(rèn)廠商所宣稱(chēng)身份的信任級(jí)別。
2)無(wú)論是業(yè)務(wù)用戶、特權(quán)用戶,他們的訪問(wèn)資源調(diào)配與授權(quán)過(guò)程應(yīng)該是相同的。
3)用戶和操作員的權(quán)限及職責(zé)。
4)資產(chǎn)需要達(dá)到的保護(hù)要求,包括但不限于可用性、保密性和完整性等。
5)源自業(yè)務(wù)過(guò)程的要求,例如交易記錄、監(jiān)視和抗抵賴(lài)等。
6)其他安全控制強(qiáng)制的要求,例如日志記錄和監(jiān)視或數(shù)據(jù)泄露檢測(cè)系統(tǒng)之間的接口。
如果購(gòu)買(mǎi)產(chǎn)品,則需要遵循一個(gè)正式的測(cè)試和獲取過(guò)程。與供應(yīng)商簽訂的合同需要給出已確定的安全要求,如果推薦的產(chǎn)品的安全功能不能滿足要求,在購(gòu)買(mǎi)產(chǎn)品之前需要重新考慮引入的風(fēng)險(xiǎn)和相關(guān)控制措施。
(4)自行軟件開(kāi)發(fā)管理措施
軟件源代碼、測(cè)試數(shù)據(jù)和測(cè)試結(jié)果作為組織的重要資產(chǎn),一旦泄露會(huì)導(dǎo)致非常嚴(yán)重的后果,因此必須建立軟件開(kāi)發(fā)相關(guān)的管理制度,明確開(kāi)發(fā)環(huán)境的安全性要求,例如開(kāi)發(fā)和測(cè)試環(huán)境要和生產(chǎn)環(huán)境物理隔離,從生產(chǎn)環(huán)境抽取的測(cè)試數(shù)據(jù)必須進(jìn)行必要的脫敏工作;明確開(kāi)發(fā)過(guò)程安全,例如開(kāi)發(fā)過(guò)程中由誰(shuí)負(fù)責(zé)代碼的審核、由誰(shuí)負(fù)責(zé)代碼的安全性測(cè)試,并注意權(quán)限職責(zé)的分離;應(yīng)明確編碼安全規(guī)范,至少包含變量的命名、數(shù)據(jù)庫(kù)連接等臨界資源的獲取和釋放、輸入數(shù)據(jù)的過(guò)濾和數(shù)據(jù)流的控制、程序異常的處理等內(nèi)容,必要時(shí),對(duì)開(kāi)發(fā)人員進(jìn)行安全開(kāi)發(fā)方面的培訓(xùn);明確文檔管理和代碼版本控制,對(duì)開(kāi)發(fā)過(guò)程中產(chǎn)生的設(shè)計(jì)文檔、測(cè)試文檔、使用文檔等進(jìn)行合理的分類(lèi)分級(jí),確定不同類(lèi)型和級(jí)別的文檔的閱讀人員和訪問(wèn)權(quán)限,并注意這些文檔和代碼的更新等;明確開(kāi)發(fā)人員的行為準(zhǔn)則,包括職業(yè)道德、保密要求、BYOD工作中個(gè)人設(shè)備的保護(hù)要求等。
安全開(kāi)發(fā)是建立安全服務(wù)、安全架構(gòu)、安全軟件和系統(tǒng)的必然要求。基于一個(gè)安全開(kāi)發(fā)策略,以下方面需要充分考慮:
1)開(kāi)發(fā)環(huán)境安全。
2)軟件開(kāi)發(fā)方法的安全。
3)所使用編程語(yǔ)言的安全編碼指南。
4)設(shè)計(jì)階段的安全要求。
5)項(xiàng)目里程碑中的安全核查點(diǎn)。
6)安全知識(shí)庫(kù)。
7)安全版本控制。
8)所要求的應(yīng)用安全知識(shí)。
9)開(kāi)發(fā)人員避免、發(fā)現(xiàn)和修復(fù)軟件脆弱性的能力。
考慮制定安全編碼標(biāo)準(zhǔn)并且強(qiáng)制使用,對(duì)開(kāi)發(fā)人員進(jìn)行代碼開(kāi)發(fā)、測(cè)試或評(píng)審標(biāo)準(zhǔn)的培訓(xùn),并對(duì)標(biāo)準(zhǔn)落實(shí)情況進(jìn)行控制和驗(yàn)證。
(5)外包軟件開(kāi)發(fā)管理措施
外包軟件的開(kāi)發(fā)過(guò)程不在組織的掌控之下,因此必須對(duì)軟件質(zhì)量和文檔提出相關(guān)要求。例如要求開(kāi)發(fā)商提供軟件的源代碼,進(jìn)行代碼安全審計(jì),發(fā)現(xiàn)代碼存在的方法誤用、授權(quán)驗(yàn)證、數(shù)據(jù)驗(yàn)證、異常處理、密碼加密等方面的代碼問(wèn)題,以及可能存在的軟件后門(mén)。
外包軟件開(kāi)發(fā)時(shí),在組織的整個(gè)外部供應(yīng)鏈中,需要考慮下列要點(diǎn):
1)有關(guān)外包內(nèi)容的許可證安排、代碼所有權(quán)和知識(shí)產(chǎn)權(quán)。
2)安全設(shè)計(jì)、編碼和測(cè)試實(shí)踐的合同要求。
3)為外部開(kāi)發(fā)者提供被認(rèn)可的威脅模型。
4)交付物質(zhì)量和準(zhǔn)確性的驗(yàn)收測(cè)試。
5)用于建立安全和隱私質(zhì)量最小化可接受級(jí)別(閾值)的證據(jù)的條款。
6)已應(yīng)用足夠的測(cè)試來(lái)防止交付過(guò)程中有意或無(wú)意的惡意內(nèi)容的證據(jù)的條款。
7)已應(yīng)用足夠的測(cè)試來(lái)防止存在已知脆弱性的證據(jù)的條款。
8)當(dāng)開(kāi)發(fā)出現(xiàn)重大問(wèn)題時(shí)的處理措施,例如,如果源代碼不可用時(shí)。
9)審核開(kāi)發(fā)過(guò)程和控制措施的合同權(quán)利。
10)創(chuàng)建可交付使用的有效文檔。
11)組織應(yīng)確保自身可以實(shí)現(xiàn)驗(yàn)證控制措施有效的職責(zé)。
(6)工程實(shí)施管理措施
組織應(yīng)建立工程實(shí)施相關(guān)的管理制度,明確工程實(shí)施管理的目的、要點(diǎn)和責(zé)任部門(mén),包括安全建設(shè)工程實(shí)施的組織管理工作以及落實(shí)安全建設(shè)的責(zé)任部門(mén)和人員,保證建設(shè)資金足額到位,選擇符合要求的安全建設(shè)整改服務(wù)商,采購(gòu)符合要求的信息安全產(chǎn)品,管理和控制安全功能開(kāi)發(fā)、集成過(guò)程的質(zhì)量等方面。并且為保證建設(shè)工程的安全和質(zhì)量,信息系統(tǒng)安全建設(shè)工程可以實(shí)施監(jiān)理。監(jiān)理內(nèi)容包括對(duì)工程實(shí)施前期安全性、采購(gòu)?fù)獍踩浴⒐こ虒?shí)施過(guò)程安全性、系統(tǒng)環(huán)境安全性等方面的核查。
工程實(shí)施階段的主要目的是將所有的模塊(軟硬件)集成為完整的系統(tǒng),并且檢查確認(rèn)集成以后的系統(tǒng)符合要求。
本階段應(yīng)完成以下具體信息安全工作:
由授權(quán)或指定專(zhuān)職人員代表組織負(fù)責(zé)工程實(shí)施過(guò)程的管理;由工程實(shí)施單位根據(jù)具體項(xiàng)目情況制定詳細(xì)的工程實(shí)施方案來(lái)控制實(shí)施過(guò)程,并監(jiān)督工程實(shí)施單位認(rèn)真執(zhí)行安全工程過(guò)程;找出并描述實(shí)現(xiàn)安全方案后系統(tǒng)和模塊的安全要求和限制,以及相關(guān)的系統(tǒng)驗(yàn)證機(jī)制及檢查方法;完善系統(tǒng)的運(yùn)行程序和全生命周期的安全計(jì)劃,如密鑰的分發(fā)等;對(duì)項(xiàng)目參與人員進(jìn)行信息安全意識(shí)培訓(xùn);對(duì)參加項(xiàng)目建設(shè)的安全管理和技術(shù)人員的安全職責(zé)落實(shí)情況進(jìn)行檢查。
安全建設(shè)整改工程實(shí)施的組織管理工作包括保證落實(shí)安全建設(shè)整改的責(zé)任部門(mén)和人員,保證建設(shè)資金足額到位,選擇符合要求的安全建設(shè)整改服務(wù)商,采購(gòu)符合要求的信息安全產(chǎn)品,管理和控制安全功能開(kāi)發(fā)、集成過(guò)程的質(zhì)量等方面。
(7)測(cè)試驗(yàn)收管理措施
組織應(yīng)建立工程測(cè)試驗(yàn)收相關(guān)的管理制度,明確要求在測(cè)試驗(yàn)收前制定針對(duì)本次工程的測(cè)試驗(yàn)收方案,工程驗(yàn)收的內(nèi)容包括全面檢驗(yàn)工程項(xiàng)目所實(shí)現(xiàn)的安全功能,設(shè)備部署、安全配置等是否滿足設(shè)計(jì)要求和安全規(guī)范,工程施工質(zhì)量是否達(dá)到預(yù)期指標(biāo),工程檔案資料是否齊全等方面,并形成測(cè)試驗(yàn)收?qǐng)?bào)告和安全測(cè)試報(bào)告。在通過(guò)安全測(cè)評(píng)和試運(yùn)行的基礎(chǔ)上,組織業(yè)務(wù)、技術(shù)人員以及安全專(zhuān)家進(jìn)行工程驗(yàn)收。
一般項(xiàng)目可按照以下三步驟進(jìn)行項(xiàng)目測(cè)試驗(yàn)收工作。
1)安全測(cè)試
安全測(cè)試階段應(yīng)制定測(cè)試大綱,在項(xiàng)目實(shí)施完成后,由組織和項(xiàng)目承接單位共同組織測(cè)試。對(duì)于第三級(jí)以上的應(yīng)用系統(tǒng)整改建設(shè),由組織委托第三方測(cè)試單位對(duì)系統(tǒng)進(jìn)行安全性測(cè)試,并獨(dú)立不受干擾地出具安全性測(cè)試報(bào)告。在測(cè)試大綱中應(yīng)至少包括以下安全性測(cè)試和評(píng)估內(nèi)容:
配置管理:系統(tǒng)開(kāi)發(fā)單位應(yīng)使用配置管理系統(tǒng),并提供配置管理文檔。
安裝、生成和啟動(dòng)程序:應(yīng)制定安裝、生成和啟動(dòng)程序,并保證最終產(chǎn)生了安全的配置。
安全功能測(cè)試:對(duì)系統(tǒng)的安全功能進(jìn)行測(cè)試,以保證其符合詳細(xì)設(shè)計(jì)并對(duì)詳細(xì)設(shè)計(jì)進(jìn)行檢查,保證其符合概要設(shè)計(jì)以及總體安全方案。
系統(tǒng)管理員指南:應(yīng)提供如何安全地管理系統(tǒng)和如何高效地利用系統(tǒng)安全功能和保護(hù)功能等詳細(xì)準(zhǔn)確的信息。
系統(tǒng)用戶指南:必須包含兩方面的內(nèi)容:首先,它必須解釋那些用戶可見(jiàn)的安全功能的用途以及如何使用它們,這樣用戶可以持續(xù)有效地保護(hù)他們的信息;其次,它必須解釋在維護(hù)系統(tǒng)安全時(shí)用戶所能起的作用。
安全功能強(qiáng)度評(píng)估:功能強(qiáng)度分析應(yīng)說(shuō)明以概率或排列機(jī)制(如,口令字或哈希函數(shù))實(shí)現(xiàn)的系統(tǒng)安全功能。例如,對(duì)口令機(jī)制的功能強(qiáng)度分析可以通過(guò)說(shuō)明口令空間是否足夠大來(lái)判斷口令字功能是否滿足強(qiáng)度要求。
脆弱性分析:應(yīng)分析所采取的安全對(duì)策的完備性(安全對(duì)策是否可以滿足所有的安全需求)以及安全對(duì)策之間的依賴(lài)關(guān)系。通常可以使用穿透性測(cè)試來(lái)評(píng)估上述內(nèi)容,以判斷它們?cè)趯?shí)際應(yīng)用中是否會(huì)被利用來(lái)削弱系統(tǒng)的安全。
測(cè)試完成后,項(xiàng)目測(cè)試小組應(yīng)提交安全測(cè)試報(bào)告,其中應(yīng)包括安全性測(cè)試和評(píng)估的結(jié)果。不能通過(guò)安全性測(cè)試評(píng)估的,由測(cè)試小組提出修改意見(jiàn),項(xiàng)目開(kāi)發(fā)承擔(dān)單位應(yīng)做進(jìn)一步修改。
2)安全試運(yùn)行
測(cè)試通過(guò)后,由項(xiàng)目應(yīng)用單位組織進(jìn)入試運(yùn)行階段,應(yīng)有一系列的安全措施來(lái)維護(hù)系統(tǒng)安全,它包括處理系統(tǒng)在現(xiàn)場(chǎng)運(yùn)行時(shí)的安全問(wèn)題和采取措施保證系統(tǒng)的安全水平在系統(tǒng)運(yùn)行期間不會(huì)下降。具體工作如下:
監(jiān)測(cè)系統(tǒng)的安全性能,包括事故報(bào)告;進(jìn)行用戶安全培訓(xùn),并對(duì)培訓(xùn)進(jìn)行總結(jié);監(jiān)視與安全有關(guān)的部件的變更或移除;監(jiān)測(cè)新發(fā)現(xiàn)的對(duì)系統(tǒng)安全的攻擊、系統(tǒng)所受威脅的變化以及其他與安全風(fēng)險(xiǎn)有關(guān)的因素;監(jiān)測(cè)安全部件的備份支持,開(kāi)展與系統(tǒng)安全有關(guān)的維護(hù)培訓(xùn);評(píng)估系統(tǒng)改動(dòng)對(duì)安全造成的影響;監(jiān)測(cè)系統(tǒng)物理和功能配置,包括運(yùn)行過(guò)程。在試運(yùn)行情況報(bào)告中應(yīng)對(duì)上述工作做總結(jié)性描述。
3)測(cè)試驗(yàn)收
系統(tǒng)安全試運(yùn)行過(guò)后,可以組織由項(xiàng)目開(kāi)發(fā)承擔(dān)單位和相關(guān)部門(mén)人員參加的項(xiàng)目驗(yàn)收組對(duì)項(xiàng)目進(jìn)行驗(yàn)收。驗(yàn)收應(yīng)增加以下安全內(nèi)容:
項(xiàng)目是否已達(dá)到項(xiàng)目任務(wù)書(shū)中制定的總體安全目標(biāo)和安全指標(biāo),實(shí)現(xiàn)全部安全功能;采用技術(shù)是否符合國(guó)家、行業(yè)有關(guān)安全技術(shù)標(biāo)準(zhǔn)及規(guī)范;是否實(shí)現(xiàn)驗(yàn)收測(cè)評(píng)的安全技術(shù)指標(biāo);項(xiàng)目建設(shè)過(guò)程中的各種文檔資料是否規(guī)范、齊全。
在測(cè)試驗(yàn)收?qǐng)?bào)告中也應(yīng)在以下條目中反映對(duì)系統(tǒng)安全性驗(yàn)收的情況:項(xiàng)目設(shè)計(jì)總體安全目標(biāo)及主要內(nèi)容;項(xiàng)目采用的關(guān)鍵安全技術(shù);驗(yàn)收專(zhuān)家組中的安全專(zhuān)家出具安全驗(yàn)收評(píng)價(jià)意見(jiàn)。
(8)系統(tǒng)交付管理措施
組織應(yīng)建立系統(tǒng)交付相關(guān)的管理制度,明確系統(tǒng)建設(shè)完成后,項(xiàng)目承建方要向組織交付的內(nèi)容,建議至少包括詳細(xì)的系統(tǒng)交付清單、制定項(xiàng)目培訓(xùn)計(jì)劃、系統(tǒng)建設(shè)的各類(lèi)過(guò)程文檔、系統(tǒng)運(yùn)行維護(hù)的操作手冊(cè)和幫助,并且系統(tǒng)交付過(guò)程文檔必須有項(xiàng)目承建和組織雙方項(xiàng)目負(fù)責(zé)人進(jìn)行簽字確認(rèn)。
系統(tǒng)建設(shè)完成后,項(xiàng)目承建方要依據(jù)項(xiàng)目合同的交付部分向組織進(jìn)行項(xiàng)目交付,交付的內(nèi)容至少包括:制定詳細(xì)的系統(tǒng)交付清單,對(duì)照系統(tǒng)交付清單,對(duì)交付的設(shè)備、軟件和文檔進(jìn)行清點(diǎn);制定項(xiàng)目培訓(xùn)計(jì)劃,對(duì)系統(tǒng)運(yùn)維人員進(jìn)行技能培訓(xùn),目標(biāo)是經(jīng)過(guò)培訓(xùn)的系統(tǒng)運(yùn)維人員能勝任日常的運(yùn)維工作;提供系統(tǒng)建設(shè)的各類(lèi)過(guò)程文檔,包括但不限于:實(shí)施方案、實(shí)施記錄等;提供系統(tǒng)運(yùn)行維護(hù)的幫助和操作手冊(cè);系統(tǒng)交付工作由組織、項(xiàng)目承建方共同參與,雙方簽字確認(rèn)后,交付物交由組織方管理。
(9)等級(jí)測(cè)評(píng)
應(yīng)結(jié)合等保的定級(jí)備案部分的要求建立相關(guān)等級(jí)保護(hù)測(cè)評(píng)的管理制度,明確信息系統(tǒng)按照國(guó)家相關(guān)部門(mén)的要求進(jìn)行等級(jí)保護(hù)測(cè)評(píng)工作,一旦系統(tǒng)發(fā)生重大變更或保護(hù)級(jí)別變化時(shí)要重新進(jìn)行測(cè)評(píng)工作。此外,還應(yīng)當(dāng)對(duì)備選的測(cè)評(píng)機(jī)構(gòu)進(jìn)行資質(zhì)審查,形成候選測(cè)評(píng)機(jī)構(gòu)清單,并根據(jù)國(guó)家相關(guān)部門(mén)要求的變化及組織業(yè)務(wù)的需要定期審定和更新該清單。
(10)服務(wù)供應(yīng)商選擇管理措施
組織應(yīng)建立服務(wù)供應(yīng)商選擇和管理相關(guān)的管理制度,明確系統(tǒng)集成商的資質(zhì)要求,產(chǎn)品、系統(tǒng)或服務(wù)提供單位的工商管理要求,安全服務(wù)商的資質(zhì)要求,人員的資質(zhì)要求,與這些供應(yīng)商需要簽訂安全責(zé)任合同書(shū)或保密協(xié)議等文檔的內(nèi)容。
為降低供應(yīng)商訪問(wèn)組織資產(chǎn)帶來(lái)的風(fēng)險(xiǎn),需要與供應(yīng)商協(xié)商并記錄相關(guān)信息安全要求。
組織需要確定和授權(quán)特定說(shuō)明的供應(yīng)商,允許其訪問(wèn)組織策略中的信息安全控制措施信息。這些控制措施需要說(shuō)明組織已實(shí)施的過(guò)程和規(guī)程,以及組織需要供應(yīng)商實(shí)施的過(guò)程和規(guī)程,包括:
1)確定和記錄允許訪問(wèn)組織信息的供應(yīng)商類(lèi)型,例如 IT 服務(wù)、物流服務(wù)、金融服務(wù)、IT基礎(chǔ)組件服務(wù)等。
2)管理供應(yīng)商關(guān)系的標(biāo)準(zhǔn)化過(guò)程和生命周期。
3)定義允許不同類(lèi)型供應(yīng)商訪問(wèn)信息的類(lèi)型,監(jiān)視和控制訪問(wèn)。
4)每種類(lèi)型信息和訪問(wèn)的最小化安全要求作為單個(gè)供應(yīng)商協(xié)議的基礎(chǔ),最小化信息安全要求基于組織的業(yè)務(wù)需求及其風(fēng)險(xiǎn)輪廓確定。
5)監(jiān)視的過(guò)程和規(guī)程遵從為每種類(lèi)型供應(yīng)商及訪問(wèn)建立的信息安全要求,包括第三方評(píng)審和產(chǎn)品驗(yàn)證。
6)準(zhǔn)確性和完整性控制以確保信息或由任何一方所提供信息處理的完整性。
7)為了保護(hù)組織信息,適用于供應(yīng)商的業(yè)務(wù)類(lèi)型。
8)處理供應(yīng)商訪問(wèn)相關(guān)的事件或突發(fā)事件,涉及組織和供應(yīng)商的職責(zé)。
9)如果必要,實(shí)施復(fù)原、恢復(fù)和應(yīng)急計(jì)劃確保任何一方所提供信息處理的可用性。
10)針對(duì)與供應(yīng)商人員交互的組織人員開(kāi)展意識(shí)培訓(xùn),培訓(xùn)內(nèi)容涉及基于供應(yīng)商類(lèi)型和供應(yīng)商訪問(wèn)組織系統(tǒng)及信息級(jí)別的規(guī)則和行為。
11)在一定條件下,將信息安全要求和控制措施記錄在雙方簽訂的協(xié)議中。
12)為管理信息、信息處理設(shè)施及其他還需刪除的信息設(shè)立必要過(guò)渡期,確保整個(gè)過(guò)渡期的信息安全。
需要建立供應(yīng)商協(xié)議并文件化,以確保在組織和供應(yīng)商之間關(guān)于雙方要履行的信息安全相關(guān)義務(wù)不存在誤解。
為滿足識(shí)別的信息安全要求,需要考慮將下列條款包含在協(xié)議中:
1)被提供和訪問(wèn)信息的描述以及提供和訪問(wèn)信息的方法。
2)根據(jù)組織的分類(lèi)方案進(jìn)行信息分類(lèi),如果需要,則要將組織自身的分類(lèi)方案和供應(yīng)商的分類(lèi)方案進(jìn)行映射。
3)包括數(shù)據(jù)保護(hù)、知識(shí)產(chǎn)權(quán)和版權(quán)的法律、法規(guī)要求,并描述如何確保這些要求得到滿足。
4)每個(gè)合同的合約方有義務(wù)執(zhí)行一套已商定的控制措施,包括訪問(wèn)控制、性能評(píng)審、監(jiān)視、報(bào)告和審核。
5)信息可接受的使用規(guī)則,如果需要也包括不可接受的使用規(guī)則。
6)授權(quán)訪問(wèn)或接收組織信息和規(guī)程的供應(yīng)商人員列表及授權(quán)和撤銷(xiāo)供應(yīng)商人員訪問(wèn)或接收組織信息的條件。
7)合同具體約定的相關(guān)信息安全策略。
8)事件管理要求和規(guī)程(特別是故障修復(fù)期間的通告和合作)。
9)具體規(guī)程和信息安全要求的培訓(xùn)和意識(shí)要求,例如事件響應(yīng)、授權(quán)規(guī)程等。
10)分包的相關(guān)規(guī)則,包括需要實(shí)施的控制措施。
11)相關(guān)協(xié)議方,包括處理信息安全問(wèn)題的聯(lián)系人。
12)如有對(duì)供應(yīng)商人員的審查要求,包括實(shí)施審查的職責(zé)、審查未完成或?qū)彶榻Y(jié)果引起疑問(wèn)或關(guān)注的通知規(guī)程。
13)審核供應(yīng)商協(xié)議相關(guān)過(guò)程和控制措施的權(quán)力。
14)缺陷和沖突的解決過(guò)程。
15)供應(yīng)商有義務(wù)定期遞交一份關(guān)于控制措施有效性的獨(dú)立報(bào)告,并且同意及時(shí)糾正報(bào)告中提及的問(wèn)題。
16)供應(yīng)商有義務(wù)遵從組織安全要求。
來(lái)源:計(jì)算機(jī)與網(wǎng)絡(luò)安全
北京市公安局海淀分局備案號(hào):11010802023656號(hào)