所謂的安全通用項,就是等保測評過程中必須測評的項,說得再直白一點就是等保1.0中的測評項,隨著社會的進步和科學技術的飛速發展,一些新技術和新應用逐漸進入到人們的生活、工作和生產之中,例如:雲計算、移動互聯、物聯網、工業控制及大資料等,等保1.0中的測評項已經無法跟上科技進步的步伐,無法覆蓋到新技術所涉及的安全方面的要求,等保2.0的推出,可以說是緊跟科技進步的步伐,為我們的生活、工作和生產保駕護航,然而等保1.0中的基礎和經驗不能隨便丟棄,這不它就化身為等保2.0中的安全通用項,繼續為我們的網路安全事業夯實基礎。
下面我們就講解等保2.0安全通用項中關於安全建設管理方面有哪些測評項。
一、定級和備案
a) 應以書面的形式說明保護物件的安全保護等級及確定等級的方法和理由;
一般的需要等保測試的資訊系統都會進行定級和備案的,大多數單位都會委託第三方單位協助進行的,完成後會形成類似《資訊系統安全等級保護定級報告》的書面檔案,裡邊會有確定等級的方法和理由,無非就是對照定級標準,如下所示:
第一級(自主保護級)
資訊系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級(指導保護級)
資訊系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級(監督保護級)
資訊系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級(強制保護級)
資訊系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級(專控保護級)
資訊系統受到破壞後,會對國家安全造成特別嚴重的損害。
確定資訊系統屬於哪個級別。
b) 應組織相關部門和有關安全技術專家對定級結果的合理性和正確性進行論證和審定;
這一項基本所有單位都不會做,如果有,根據其他評審會的經驗,最後會形成一個專家組的評審意見表,檢視這個表並做記錄就可以了。
c) 應保證定級結果經過相關部門的批准;
這個相關部門,一般是該單位的上級主管部門,就是把定級評定的結果上報主管部門,得到上級主管部門的認可及批准,這個需要檢視相關部門的批准檔案。
d) 應將備案材料報主管部門和相應公安機關備案。
對於確定了等級的資訊系統,應該準備好備案材料報主管部門特別是公安機關備案,一般是所在地的市級及以上公安機關,公安機關對於符合要求的定級系統會發放等級保護備案證明,我們測評時檢視這個證明就可以了。
二、安全方案設計
a) 應根據安全保護等級選擇基本安全措施,依據風險分析的結果補充和調整安全措施;
檢視資訊系統在方案設計中有沒有根據保護等級,設計基本的安全措施,形成的書面檔案,有沒有對安全方案進行風險分析,檢視產生的書面分析結果,對分析結果中的風險項有沒有進行改正,形成補充和調整報告。
安全方案設計
b) 應根據保護物件的安全保護等級及與其他級別保護物件的關係進行安全整體規劃和安全方案設計,設計內容應包含密碼技術相關內容,並形成配套檔案;
當被測試系統單位有不止一套資訊系統,且系統之間有業務往來,且各系統的安全保護等級不同,就需要對這幾個系統的安全保護做一個整體的安全規劃,主要是不同系統間的資料交換,最起碼要進行加密之後才可以傳輸,檢視相關書面檔案,並重點檢視是否有加密技術相關的內容。
c) 應組織相關部門和有關安全專家對安全整體規劃及其配套檔案的合理性和正確性進行論證和審定,經過批准後才能正式實施。
檢視相關部門和有關安全專家對安全整體規劃及其配套檔案的合理性和正確性進行和審定後,形成的評審意見書,通過後還要檢視上級主管部門的批准實施檔案。
三、產品採購和使用
a) 應確保網路安全產品採購和使用符合國家的有關規定;
應該檢視所採購網路安全產品的銷售許可證,採購過程符合相關規定,檢視採購過程中所形成的書面檔案,包括:招標檔案、中標檔案、公示檔案及採購合同等。
產品採購和使用
b) 應確保密碼產品與服務的採購和使用符合國家密碼管理主管部門的要求;
應檢視密碼產品的商用密碼產品認證證書,採購過程符合相關規定,檢視採購過程中所形成的書面檔案,包括:招標檔案、中標檔案、公示檔案及採購合同等。
c) 應預先對產品進行選型測試,確定產品的候選範圍,並定期審定和更新候選產品名單。
對於常用產品還需要制定產品選購目錄,定期更新,要求企業內部的日常採購原則上應該從產品目錄選購。
四、自行軟體開發
a) 應將開發環境與實際執行環境物理分開,測試資料和測試結果受到控制;
檢視相關《軟體開發管理-自行開發》規定,查詢是否有類似的相關規定,有條件可以檢視一下測試環境和執行環境是否物理分開,測試資料和測試結果有沒有受到妥善的管理。
b) 應制定軟體開發管理制度,明確說明開發過程的控制方法和人員行為準則;
檢視相關《軟體開發管理-自行開發》規定,是否有相關的制度和準則。
c) 應制定程式碼編寫安全規範,要求開發人員參照規範編寫程式碼;
檢視是否有相關的編寫規範,並檢視開發過程中的那些流程記錄包括但不限於變更、提交、測試等流程記錄是否按照規範進行。
自行軟體開發
d) 應具備軟體設計的相關文件和使用指南,並對文件使用進行控制;
檢視軟體設計的相關文件,包括維護手冊和使用手冊等,對相關文件的使用進行控制,例如對發放數量進行控制,對發放人員進行記錄等。
e) 應保證在軟體開發過程中對安全性進行測試,在軟體安裝前對可能存在的惡意程式碼進行檢測;
檢視軟體在開發過程中進行的安全測試文件及軟體開發完成後進行的惡意程式碼檢測文件。
f) 應對程式資源庫的修改、更新、釋出進行授權和批准,並嚴格進行版本控制;
檢視軟體程式資源庫進行修改、更新、釋出時所取得的授權和批准記錄,對軟體及時更新新版本,對舊版本及時回收,避免失去控制。
g) 應保證開發人員為專職人員,開發人員的開發活動受到控制、監視和審查。
開發人員應該在規定的時間和環境下進行開發活動,開發過程可監控,必要時需要相關人員的陪同,並對開發活動進行隨機抽查。
五、外包軟體開發
a) 應在軟體交付前檢測其中可能存在的惡意程式碼;
檢視軟體惡意程式碼檢測報告或其他類似檢測文件,檢測日期必須是在交付軟體前。
b) 應保證開發單位提供軟體設計文件和使用指南;
檢視軟體設計的相關文件,包括維護手冊和使用手冊等。
外包軟體開發
c) 應保證開發單位提供軟體原始碼,並審查軟體中可能存在的後門和隱蔽通道。
檢視開發商提供的軟體原始碼和對原始碼進行的檢測報告,確保沒有後門和隱蔽通道。
六、工程實施
a) 應指定或授權專門的部門或人員負責工程實施過程的管理;
檢視授權某部門或者某人員負責工程實施過程的管理的授權檔案。
b) 應制定安全工程實施方案控制工程實施過程;
檢視相關工程實施方案。
c) 應透過第三方工程監理控制專案的實施過程。
檢視第三方工程監理對專案實施過程進行控制的文件記錄。
七、測試驗收
a) 應制訂測試驗收方案,並依據測試驗收方案實施測試驗收,形成測試驗收報告;
檢視測試驗收方案和測試驗收報告,並對照驗收報告是否按照驗收方案進行驗收的。
測試驗收
b) 應進行上線前的安全性測試,並出具安全測試報告,安全測試報告應包含密碼應用安全性測試相關內容。
檢視安全性測試報告,並檢視報告中有無密碼應用安全性測試相關內容。
八、系統交付
a) 應制定交付清單,並根據交付清單對所交接的裝置、軟體和文件等進行清點;
檢視交付清單,對交接單上的物品進行一一清點,檢視是否有交接人的確認簽字。
b) 應對負責執行維護的技術人員進行相應的技能培訓;
檢視技能培訓記錄。
c) 應提供建設過程文件和執行維護文件。
檢視建設過程文件和執行維護文件,至少應該明確交付清單、操作培訓和使用維護文件等3個方面的內容,其他文件如下圖:
建設過程文件
九、等級測評
a) 應定期進行等級測評,發現不符合相應等級保護標準要求的及時整改;
檢視等保測評報告,三級系統一年一次,並檢視測評報告中的不符合項是否按照要求及時整改。
b) 應在發生重大變更或級別發生變化時進行等級測評;
等保測級
檢視系統變更文件,以及等級變更文件,一般由低等級變為高等級,並對應時間檢視相應的等級測評報告,並檢視測評報告中的不符合項是否按照要求及時整改。
c) 應確保測評機構的選擇符合國家有關規定。
檢視等保測評機構的資質證書,是否能夠進行相應等級等保測試。
十、服務供應商選擇
a) 應確保服務供應商的選擇符合國家的有關規定;
檢視服務供應商的資質,
b) 應與選定的服務供應商簽訂相關協議,明確整個服務供應鏈各方需履行的網路安全相關義務;
檢視與服務供應商簽訂的保密義務協議,並跟蹤、檢查服務供應商是否遵守保密協議。
c) 應定期監督、評審和稽核服務供應商提供的服務,並對其變更服務內容加以控制。
檢視對服務供應商進行監督、評審和稽核時進行的記錄文件,檢視服務供應商的變更服務申請,並有對這些變更提出建議的記錄。
以上就是一項一項教你測等保2.0安全通用項——安全建設管理的所有內容,希望對大家有所幫助,之後會更新其餘安全通用的測評項,歡迎關注@科技興瞭解更多科技尤其是網路安全方面的資訊與知識。
