还剩19页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
区门户网站系统管理平台信息安全管理制度-信息安全审计制度文件编号使用部门初版日期修订日期信息安全信息安全管理检查内容具体检查方法周期管理制度检查域制度响应和事后处理率,如果频率过高说明事件计戈IJ没有能够及时处理和处理方法不得当现场让维护人员“预演”模・拟二级或二级以上的安全事故的响应和事后处理■每半年一安全管理日常安全《日常维护操各系统安全日常■查看信息系统管理员的日常・・工作次作管理规安全工作的执行工作日报、周报、月报等,定》情况检查安全工作是否做过各系统安全策略■对信息系统管理员日常的安・在运行中的情况全工作内容进行抽样检查,各系统安全日志检查工作报告和实际工作情・的检查报告记录况是否符合分析情况■对所有管理进行问卷调查,各管理员在安全检查管理员是否能够马上回・日常工作中的工答出日常安全工作内容作情况每次设备入网设备入网情况■《新系统上线■设备入网流程■对入网设备进行安全性检安全管理规■设备入网安全检查、检查安全设备是否达到定》查人员的工作情相应的安全标准况■设备入网安全标准的执行情况■设备入网加固情况■设备入网的记录信息安全信息安全管理检查内容具体检查方法周期管理制度检查域制度情况信息资产分级和管■《信息资产分■信息安全分类标■抽查信息设备是否有安全分每年一次理制度类标准》识的执行情况类标识和安全分类标识的准■信息安全分类管确性和完整性理执行情况■查看信息设备清单■查看信息设备安全分类清单■和专管人员进行“面谈”,确定其对信息安全分类控制管理制度的熟悉程度■抽查信息设备处理(作废、重新利用)记录■对区门户网站系统平台电子邮件、电子文档的安全加密情况进行抽查■对区门户网站系统平台有密级文件(硬拷贝或电子拷贝)复印、备份、复制记录进行抽查.每年一次查看外包服务协议中附带的第三方人员管理《第三方人员.第三方信息服务的・安全管理保密协定或有关保密章管理制度和执行-Hj制度》查看服务合同(服务级别和■情况・服务期限)第三方信息现场服・查看外来信息服务人员的务人员的管理制・登记记录和临时出入证(工作度和执行情况证)的管理记录第三方信息服务服・务/维护合同信息安全信息安全管理检查内容具体检查方法周期管理制度检查域制度■抽查有关软件/硬件的维护记录抽查外包信息服务项目的有・关项目文件计算机安全使用管每半年一《终端使用安一般计算机安全・查看有关使用监控日志・・■理次全管理规定》使用规定执行情・文件和系统安全配置文件况・对人员进行规定笔试或机计算机保密规定试测验,考核其对规定的熟■的执行情况悉和理解程度个人电脑和终端■安全使用规定的执行情况计算机周边设备■安全使用规定的执行情况电子邮件、浏览■器、BBS、新闻组、防入侵以及防病毒软件安全规定的执行情况用户帐号和密码安每季度一■《账号管理办用户帐号和权限抽查用户帐号创建的相关・・・全管理次法(试行)》分配书面文档并和计算机用户密码的安全设置帐号日志文件进行比对・和强度抽查用户权限分配情况(尤・用户帐号和密码其是特权用户)・的管理规定的执查看系统密码的安全配置・行情况情况信息安全信息安全管理检查内容具体检查方法周期管理制度检查域制度.关键服务器、小型使用工具软件对一些用户密・机、数据库的管理码进行“强行”破解,以检员和超级管理员验用户密码的强度帐号和密码■检查系统是否拒绝创建不符合安全要求的用户帐号和密码■查看用户帐号登录和注销日志文件■查看用户帐号密码变更、禁止和删除的日志文件每季度一・计算机技术文档管《文档管理办技术文档编制规定查看技术文档清单和技术文・・・理次法》的执行情况档使用记录■技术文档的安全查看技术文档的版本控制记・管理的执行情况录检查技术文档的存放和保管・地点抽查关键计算机设备或系统・的整套技术文档,并仔细查看其内容每年一次・计算机业务连续性《业务连续性■业务风险(信息系查看业务风险分析文档(风・・和灾难恢复管理流程》统有关)分析险等级)《应急响应计■业务连续性计划查看关键设备和系统清单・・划框架》的制定和实施情查看业务风险控制计划和相・况应的解决方案■信息系统灾难恢查看灾难恢复计划和相应的・复计划和具体实解决方案信息安全信息安全管理检查内容具体检查方法周期管理制度检查域制度施情况每半年一计算机机房物理环・《机房和环境物理访问控制情查看防火/防水系统的达标・・・境安全次安全管理规况和维护文档或记录定》防火和防水情况检查UPS和备用发电机是否・・电源供应情况能正常运行・综合布线情况使用仪器检查建筑内的温・・物理环境情况度、湿度、静电、灰尘、通・报警系统情况风、照明是否符合要求・人员进出控制情检查报警系统的达标和维护・・况文档或记录文件/磁介质保险抽查人员进出记录・・柜检查建筑的防火等级・建筑(门、窗、地・检查保险柜的防火/防磁/防・板)盗等级实时监控和入侵・检查通讯和网络线路的物理・检测设备布置和接口位置,以及对明线的物理防护要求检查机房内物理入侵检测设・备(红外线移动探头等)和物理访问控制设备(读卡机)是否正常工作《网X全管■网络的划分查看网络物理连接图每季度一・・・网X全■网络间通讯的流理规定》查看网络逻辑连接图(IP次・程和控制分配)■网络链路的备份使用网络侦测工具进行IP・信息安全信息安全管理检查内容具体检查方法周期管理制度检查域制度网X全的设计・(网络服务)扫描■网络服务查看网X全设计和实施方案・测试备份网络链路・测试网络路由情况・测试网络负载情况・.《网X全管■防火墙■网络设备安全■查看防火墙安全日志文件理规定》■入侵检测■查看入侵检测安全日志文件■路由器■检查防火墙安全配置■交换机■查看入侵检测安全配置■网关/网关代理■查看路由器路由和其他网络配置■查看交换机VLAN、端口映射、数据流控制等配置■查看网关/网关代理配置■查看网关/网关代理访问日志文件■使用漏洞扫描工具对防火墙、路由器、交换机、网关/网关代理进区门户网站系统平台内部和外部“刺穿性”扫描(必须保证扫描不会影响系统和网络性能)使用DoS攻击模拟工具测试信息安全信息安全管理检查内容具体检查方法周期管理制度检查域制度防火墙、路由器、交换机、网关/网关代理对DoS攻击的防御程度(严禁对在线的生产系统进行DoS测试)■每季度一加密设备安全.《密钥管理办■加密设备物理保-对加密设备物理访问控制进次法》护行现场检查■加密设备密钥管查看密钥生成、传递、备份、・理制度和执行情存储和使用记录况■查看加密设备管理员操作记■加密设备操作制录和有关系统日志文件度和执行情况每季度一・电子邮件安全■《终端使用安■电子邮件系统性■查看电子邮件系统的负载情次全管理规能况(电子邮件队列日志文件)定》■电子邮件系统安■测试电子邮件系统是否具有全设置防“垃圾”邮件、严格身份■电子邮件系统的验证、防邮件病毒、加密传备份输等安全防护功能,并查看■电子邮件系统的有关配置文件管理制度和执行■查看电子邮件系统管理员操情况作日志文件和系统安全日志文件■查看电子邮件备份和恢复日志文件■对电子邮件备份和恢复进行测试(邮件系统恢复、信息安全信息安全管理检查内容具体检查方法周期管理制度检查域制度单个邮箱恢复、单个邮件恢复等)■每季度一计算机病毒防治■《防病毒系统防病毒系统的安■抽查计算机用户的PC机是■次日常维护管装情况否安装了区门户网站系统理制度》防病毒系统运行平台统一规定防病毒程序,■情况并检查程序的内部设定系统病毒数据库■查看防病毒系统的运行日■更新情况志文件用户病毒数据库■■检查防病毒系统的病毒数更新情况据库的版本■抽查计算机用户PC机上的病毒数据库版本■随机测试防病毒系统功能每季度一数据备份和恢复《信息备份管.数据备份和恢复计查看备份应用程序的运行・・・次理规定》划和执行情况日志文件■备份应用程序查看备份介质记录・■备份介质管理制查看备份介质管理记录・度和执行情况查看备份和恢复操作记录・■备份和恢复操作热机备份测试・制度和执行情况RAID磁盘备份测试・备用机测试・进行系统、应用程序、数据・等不同程度恢复测试查看离线备份管理记录・离线备份介质可用性测试・离线备份系统可用性测试・信息安全信息安全管理检查内容具体检查方法周期管理制度检查域制度■备份系统和生产系统切换测试备份介质存放地点检查・业务主机安全性・应用系统安全《日常维护操・查看业务主机安全日志文件.每季度一次・■业务主机备份和作管理规・查看业务主机管理员操作日恢复定》志文件・查看文件访问记录・进行主机漏洞扫描・查看数据备份记录・检查所有用户的权限分配情况・进行不同等级(全系统恢复、应用程序数据恢复、单个数据或文件恢复)的恢复测试■操作系统安全性每季度一・系统安全■《日常维护操查看操作系统安全日志文件・次作管理规查看管理员操作日志文件・定》查看文件访问记录・对用户权限分配情况进行抽・查进行系统漏洞扫描・查看数据库安全日志文件每季度一・・数据库安全《日常维护操数据库用户设定和・・查看数据库性能日志文件次作管理规权限分配・查看数据库用户和用户组定》■数据库访问身份・信息安全信息安全管理检查内容具体检查方法周期管理制度检查域制度验证设定以及相应的权限设定■数据库完整性■运行数据库“健康”测试工数据库访问性能具,检查数据库内数据和数・据关系的完整性软件开发安全《软件系统开・软件开发环境查看软件开发规范随软件项目・・发安全管・软件测试规定和查看软件开发环境设计和实进度和开放・理规定》■执行情况施方案计划定・软件开发文档管抽查软件开发项目文档和有・理规定和执行情关技术文档况抽查软件测试记录・・测试系统的升级查看软件开发系统的备份记・・测试系统的备份录查看测试系统升级(升级到・生产系统)计划和有关实施文档网络监控和入侵检每季度一・.《日常维护操.监控系统的运作情■查看监控系统和入侵检测系测次作管理规况统的策略配置文件定》入侵检测运行情况■查看监控系统和入侵检测系・统的日志文件■测试监控系统和入侵检测系统的报警机制能否正常运作■测试关键的监控和入侵检测功能(运行非正常操作,测试系统能否捕获和报警)第一章总则3第二章人员及职责3第三章日志审计的步骤4第四章日志审计的目标和内容5第五章管理制度和技术规范的检查步骤7第七章管理制度和技术规范的检查内容8第八章检查表8第九章相关记录9第十章相关文件9第十一章附则9附件一体系管理制度和技术规范控制点重点检查的内容及方法9附件二体系管理制度和技术规范检查范围及对应负责人错误!未定义书签第一章总则第一条目的为加强区门户网站系统平台的内部审计工作,建立健全内部审计制度,明确内部审计职责,通过对人工收集到的大量审计行为记录进行检查,以监督不当使用和非法行为,并对发生的非法操作行为进行责任追查同时根据区门户网站系统平台各种与信息安全的相关的制度和技术手段进行检查,确保区门户网站的所有设备正常运行;第二条适用范围包括对各系统日志的审计和安全管理制度及技术规范符合性检查第二章人员及职责第三条本制度指定作为区门户网站管理部的信息安全审计组织,负责实施区门户网站XXXXX内部审核或对外审核,协助外部第二方/第三方审核;审核组的工作应该直接向信息安全领导小组汇报;实施独立审核,确保信息安全管理系统各项控制及组成部分按照策略要求运行良好,确保信息安全管理体系的完整性、符合性和有效性;第四条与审计制度相关的人员分为审计人和被审计人审计人除了安全审计员外,还XXXXX需设立指导和配合安全审计员的工作被审计人及系统为区门户网站管理部的XXX信息安全执行组人员,包括综合网管系统、数据网管系统、运维审计系统、机房视频监控系统和其相关的管理、维护和使用人员等;第五条的审计相关人员根据信息委规划战略、年度工作目标,以及上级的部署,拟订审XXXX计工作计划,报经区门户网站管理部领导批准后实施审计工作除年度审计计划外,也可根据工作需要或区门户网站管理部领导的要求配合上级部进行非定期的专项审计、后续审计等其他审计事项;第六条信息安全审计员的角色和职责本着安全管理权限分离的原则,信息安全审计员岗位要独立于其他角色管理员和各类系统使用人员信息安全审计员和本制度相关职责如下>负责区门户网站系统平台安全审计制度的建设与完善工作;>信息安全审计员要对人工收集到的大量审计行为记录进行检查,以监督对区门户网站系统平台的相关信息系统的不当使用和非法行为;>定期执行安全审计检查,对系统的安全状况进行分析评估,向上级主管提供系统安全状况审计报告和改进措施等第七条信息安全主管和本制度相关职责是XXX>负责指导和协助建立安全审计制度并协调相关工作,以确保安全审计工作的XXX顺利进行;>对发生的非法操作行为进行责任追查;>审查信息安全审计员的审计报告并汇报上级部门领导第八条信息安全执行组人员,包括各系统(网络设备,安全产品,主机,数据库和应用系统)的管理维护人员负责维护各自系统正常运行的同时必须向审计人员提供审计所需的各种信息(如各系统的日志,系统升级、备份、加固、权限及配置变更等各种操作记录)以配合审计人员完成审计工作;第九条其他与审计相关的人员的职责参见(岗位安全职责描述的相关文件)XXXXX第三章日志审计的步骤第十条日志收集>目的全面收集入侵者,内部恶意用户或合法用户误操作的相关信息,以便进一步的查看和分析防止重要的日志信息收集的遗漏>具体要求需要根据各种系统的安全设置方法设定重要事件的日志审计(详细参见《日志管理规范》),如对安全设备的登入事件、用户增减事件、用户权限及属性修改事件、访问规则修改事件、系统开启或关闭事件、系统配置修改事件、安全告警事件,系统版本更新升级等事件的日志审计,包括所有系统特权命令的使用都必须被全面的记录;第十一条对日志查看与分析>目的分析存在安全威胁的原因,以便制定相应的对策>日志查看和分析具体要求•日志可以作为证据,提供安全事故调查;•信息安全主管需要定期查看各系统的安全管理员是否根据其职责进行安全的维护,包括日常的运维操作记录和日志;•信息安全审计员需要在信息安全主管的配合下对所有日志事件进行分类,划分不同的安全事件等级,并分析存在威胁的原因;•信息安全审计员整理并编写安全分析报告,定期向上级汇报日志报表中存在的安全威胁其中包括/安全威胁的统计;/新威胁的列表;/威胁同比增长率;/安全威胁的防范•审计人员与使用人员沟通将重点审计对象的访问特点反馈给这些对象的使用者,尤其是各自的管理员;对于发现存在异常信息的审计对象,将这些信息告知相关管理员和操作者,并要求他们给出合理的解释第十二条审计月报以审计数据作为基础抽样对象,汇总成为审计月报,经相关领导审核、批准后,向全公司人员公布审计月报的内容>必须明确安全审计的范围;>必须明确安全审计的标准或原则;>必须明确安全审计的检查清单;>必须列举所有安全问题和安全隐患,并按照严重程度进行划分;>必须列举所有安全问题和安全隐患的有关责任人员或责任部第十三条审计后续追踪所有在日志审计过程中发现的各种违规行为,一旦经部门确认后,由部门负XXX XX责人通报给有关责任部门,并要求在规定时间内有关责任部提出解决方案和处理报告,XXX负责监督各违规行为是否纠正,并做相关的记录信息安全审计员,负责检查信息安全主管的相关记录以确保纠正措施都得到了实施部门将在一个月之内再次对相关的违规行为进行检查XXX第十四条审计的目标、分类第四章日志审计的目标和内容日志审计的目标主要是对访问操作的审计,对访问控制的审计,对敏感数据的审计和对应用数据的审计按《日志管理规范》中的分类方法,日志也可以分类为主机系统,安全产品,网络设备,数据库和应用系统的审计第十五条安全产品、网络设备的日志审核对安全产品、网络设备的日志的审核工作具体要求如下>责任人应明确审核频率、定义安全事件判断规则、规定安全事件通报流程,用以审核日志,发现并确定安全事件>重大安全事件必须被记录在案,例如•多次失败登录;•异常时间的接入或者异常地点的接入;•信息流量的突然增加;•针对系统资源的异常和/或饱和性尝试;•重大网络与信息系统事件(比如配置更新以及系统崩溃等等);•安全属性变化第十六条应用系统日志审核>对各应用系统的日志的要求由于对应用系统日志的审核工作比较复杂,在实施审计之前先要对各应用系统的生成的日志提出统一的要求(详细的日志要求参见《日志管理制度》);>对应用系统日志审计至少要包括以下内容•应用系统日志产生是否正常,包括日志产生的时间、格式;•日志功能是否被关闭过;•日志中是否有被人为篡改的痕迹,(包括日志文件被编辑或删除,记录的消息类型被修改等);•日志中是否存在多次登陆失败的情况,如果超过一定的阀值,应当考虑为攻击事件;•日志文件存储媒介是否用尽,防止造成无法记录事件或自行覆盖以前的日志文件;•是否定期打印重要的操作清单;•针对各业务系统维护人员通过系统界面对业务数据进行的增、册!J、改操作进行日志审查;•对清单查询操作进行日志审查;•对用户权限变更操作进行日志审查第十七条主机日志审计对主机日志的审核内容,至少要包括以下内容>审计未经授权的,对数据库的非法连接;>系统错误及所采取的纠正措施;>系统的配置文件被修改;>用户帐号变更;>根用户或者用户被修改第十八条数据库日志审计>审计未经授权的,直接连接数据库后的变更(增加,删除,修改)所有操作日志;>系统错误及所采取的纠正措施;>数据库服务的启动和关闭的日志信息;>数据库系统核心配置文件被修改;>数据库的日志是否定期备份第五章管理制度和技术规范的检查步骤第十九条检查信息的收集安全管理制度和技术规范执行情况的抽查,分为初步调查、详细调查和问题询问三个步骤进行>初步调查初步调查的目的是使安全检查人员了解检查对象的背景情况、基本运作流程、具体管理人员和操作人员的人员配备等大致的情况,以便快速熟悉检查对象,并制定相应的检查策略和工作清单>详细调查在初步调查的基础上,安全检查人员对检查对象进行深入了解,同时调整、修改并最终决定检查策略和工作清单>问题询问安全检查人员就检查的细节问题向具体管理人员和操作人员提出询问,进行检查报告编写前的最后准备工作第二十条检查报告的编写安全检查人员对收集的资料进行分析整理,并完成安全检查报告的编写工作安全检查报告内容要求>必须明确安全检查的范围;>必须明确安全检查的标准;>必须明确安全检查的检查清单;>必须列举所有安全问题和安全隐患,并按照严重程度进行划分;>必须列举所有安全问题和安全隐患的有关责任人员或责任部;>必须对检查单位有安全检查的整体评估第二十一条检查报告的汇报由区门户网站管理部信息安全检查员对各单位的检查情况汇总整理后,提交给区门户网站管理部领导进行审阅XXX第二十二条确认检查中发现的安全问题和后续措施的实行所有在检查过程中发现的安全问题和安全隐患,一旦经区门户网站管理部确认后,由XXX区门户网站管理部通报给有关责任部门,并要求在规定时间内有关责任部提出解决方案和XXX处理报告,同时负责监督各违规行为是否纠正并作相关的记录第二十三条检查工作总结区门户网站管理部对整个检查工作进行总结,并呈报区门户网站管理部上级部门XXX第七章管理制度和技术规范的检查内容第二十四条安全检查控制点信息安全的检查可以根据国家信息安全等级保护标准,分五层面进行检查本制度所涉及的检查范围和检查内容见附件一;第二十五条检查内容检查信息安全管理系统策略文档是否由各文档负责人按该文档要求或者在业务系统发生重大变化后得到及时变更或更新,保证策略的有效性和可用性详细文档及对应负责人见附件二第八章检查表第二十六条本制度的执行情况检查表检查点检查方法任务编号检查内容检查周期各系统生成日志是各系统日志审计报告查阅日志记录每周1否符合相关要求从管理制度和技术安全策略和技术规范检规范检查报告是否查阅检查报告每年2查报告符合本制度相关检查项目第九章相关记录第二十七条执行本制度产生如下记录各系统生成的日志记录系统操作审计报告各系统管理员日常操作记录信息安全管理制度和技术规范控制点检查结果第十章相关文件第二十八条本制度参考了如下文件《日志管理制度》《信息安全管理办法》第十一章附则第二十九条本制度自发布之日起开始实施;第三十条本管理规定的解释和修改权属于区门户网站管理部;第三十一条区门户网站管理部每年统一检查和评估本管理规定,并做出适当更新在业务环境和安全需求发生重大变化时,也将对本规定进行检查和更新附件一体系管理制度和技术规范控制点重点检查的内容及方法信息安全信息安全管理检查内容具体检查方法周期管理制度检查域制度安全事件响应和处计算机安全事故每个月一・・《信息安全事审核《安全事件响应和处理・・理检测措施次件管理》报告》■计算机安全事故检查某一种事故出现的频・。