GB-T 28453-2012 信息安全技术 信息系统安全管理评估要求.pdf
《GB-T 28453-2012 信息安全技术 信息系统安全管理评估要求.pdf》由会员分享,可在线阅读,更多相关《GB-T 28453-2012 信息安全技术 信息系统安全管理评估要求.pdf(196页珍藏版)》请在冰点文库上搜索。
ICS35.040L80中华人民共和国国家标准GB/T284532012信息安全技术信息系统安全管理评估要求InformationsecuritytechnologyInformationsystemsecuritymanagementassessmentrequirements2012-06-29发布2012-10-01实施中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布目次前言引言1范围12规范性引用文件13术语和定义14评估原则和模式24.1管理评估的原则24.2管理评估的工作模式25评估组织和活动35.1评估组织35.1.1评估实施团队35.1.2评估管理机构35.1.3被评估方相关人员45.2评估目标范围和依据45.2.1评估目标45.2.2评估范围55.2.3评估依据55.3评估活动内容55.3.1评估准备及启动55.3.2确定信息系统资产及安全需求65.3.3确定信息系统安全管理现状85.3.4确定信息系统安全管理评估结论125.3.5评估结束及后续安排136安全管理评估的方法、工具和实施146.1评估方法146.1.1访谈调查146.1.2符合性检查156.1.3有效性验证166.1.4技术检测176.2评估工具196.2.1调查表196.2.2访谈问卷206.2.3检查表216.3评估的实施226.3.1评估实施控制226.3.2评估结论判断23GB/T2845320127分等级管理评估257.1规划立项管理评估要求257.1.1本阶段评估范围257.1.2第一级信息系统257.1.3第二级信息系统277.1.4第三级信息系统297.1.5第四级信息系统307.1.6第五级信息系统327.2设计实施管理评估要求347.2.1本阶段评估范围347.2.2第一级信息系统367.2.3第二级信息系统387.2.4第三级信息系统417.2.5第四级信息系统447.2.6第五级信息系统477.3运行维护管理评估要求507.3.1本阶段评估范围507.3.2第一级信息系统527.3.3第二级信息系统547.3.4第三级信息系统567.3.5第四级信息系统597.3.6第五级信息系统627.4终止处置管理评估要求657.4.1本阶段评估范围657.4.2第一级信息系统667.4.3第二级信息系统677.4.4第三级信息系统697.4.5第四级信息系统717.4.6第五级信息系统73附录A(资料性附录)信息系统安全管理评估参照表76参考文献189GB/T284532012前言本标准按照GB/T1.12009给出的规则起草。
请注意本文件的某些内容可能涉及专利。
本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:
北京江南天安科技有限公司。
本标准主要起草人:
陈冠直、吉增瑞、陈硕、景乾元、王志强。
GB/T284532012引言本标准依据国家有关信息安全等级保护的政策法规,提出了用于规范信息系统安全管理评估的要求。
主要包括信息系统安全管理评估的原则和模式、组织和活动、方法工具和实施等要求,以及在信息系统生存周期各个阶段,针对第一级到第五级信息系统安全管理评估的要求。
信息系统安全管理评估的主体包括信息系统的主管领导部门、信息安全监管机构、信息系统的管理者、第三方评估机构等,对应的评估可以是检查评估、自评估或第三方评估。
本标准中对三种评估模式提出共同要求时统称评估。
信息系统安全管理评估以信息安全管理体系为主线进行评估,必要时采集信息安全技术测评结果进行综合分析。
信息系统安全管理评估可以是独立的评估,也可以与信息安全技术测评联合进行综合评估。
信息系统安全管理评估贯穿于信息系统的整个生存周期,各阶段管理评估的原则和方法是一致的,各阶段安全管理的内容、对象、安全需求存在一定不同,使得安全管理评估的目的、要求等各方面也有所不同。
信息系统安全管理评估针对信息安全保护各个等级的信息系统,安全管理评估的要求随着保护等级的提高而增强。
本标准第4章阐述管理评估的原则和模式;第5章阐述管理评估的组织、评估目标范围和依据、管理活动的内容;第6章阐述管理评估方法、管理评估工具、管理评估实施,给出了各个安全保护等级的安全管理评估需要执行的共同要求和评估方法;第7章分等级评估,以GB/T202692006规定的信息系统安全管理要求为基本依据,从信息系统生存周期的规划立项阶段、设计实施阶段、运行维护阶段、终止处置阶段,对五个安全保护等级的安全管理评估要求分别进行描述。
附录A中提供的信息系统安全管理评估参照表,描述了本标准中有关各等级信息系统安全管理评估要求的具体评估内容要点。
本标准仍沿用GB/T202692006中的称谓,对于信息系统的所有者可包括国家机关、事业单位、厂矿企业、公司、集团等各种类型和不同规模的组织机构,统称为“组织机构”。
GB/T284532012信息安全技术信息系统安全管理评估要求1范围本标准依据GB/T202692006规定的信息系统分等级安全管理要求,从信息系统生存周期的不同阶段,规定了对信息系统进行安全管理评估的原则和模式、组织和活动、方法和实施,提出了信息安全等级保护第一级到第五级的信息系统安全管理评估的要求。
本标准适用于相关组织机构(部门)对信息系统实施安全等级保护所进行的安全管理评估与自评估,以及评估者和被评估者对评估的管理。
2规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB178591999计算机信息系统安全保护等级划分准则GB/T202692006信息安全技术信息系统安全管理要求GB/T202822006信息安全技术信息系统安全工程管理要求GB/T250702010信息安全技术信息系统等级保护安全设计技术要求3术语和定义GB178591999、GB/T202692006中界定的以及下列术语和定义适用于本文件。
3.1安全评估securityassessment依照国家有关法规与标准,对信息系统的安全保障程度进行评估的活动,包括安全技术评估和安全管理评估。
本标准所述评估是指信息系统安全管理评估。
3.2自评估self-assessment由信息系统所有者自身发起,组成组织机构内部的评估机构,依据国家有关法规与标准,对信息系统安全管理进行的评估活动。
3.3检查评估inspectionassessment由被评估信息系统所有者的上级主管部门、业务主管部门或国家相关监管部门发起的,依据国家有关法规与标准,对信息系统安全管理进行的评估活动。
3.4第三方评估thirdpartyassessment由信息系统所有者委托商业评估机构或其他评估机构,依据国家有关法规与标准,对信息系统安全管理进行的评估活动。
1GB/T2845320123.5安全审计securityaudit对信息系统的各种安全相关事件的行为,按规定进行信息收集、记录和分析,并采取相应动作的过程。
3.6验证verification通过客观证据,对事务是否达到规定要求进行认定的过程,包括真实性验证和有效性验证。
客观证据是指支持事务的真实性、有效性的数据,可通过观察、测量、试验或其他手段获得。
3.7有效性effectiveness完成策划的活动并得到相应结果的程度的表征。
3.8质量控制qualityassurance质量管理的一部分,致力于满足质量要求。
本标准中的质量控制是指对信息安全管理过程的各种行为质量的控制。
4评估原则和模式4.1管理评估的原则对信息系统安全管理的评估应坚持以下原则:
a)科学性原则:
按照科学的评估方法和过程,以严谨的科学态度,全面、准确、客观地开展评估工作,做出科学的评估结论;b)公正性原则:
评估机构是中立权威的,自评估团队是相对独立的,检查评估机构是符合法规和组织原则的,同时要防止被评估对象的影响,并排除外界因素的干扰,从而确保评估结果是客观公正的;c)针对性原则:
针对性地选用评估方法和评估工具;针对被评估信息系统安全管理的实际情况和特征,收集有关资料对系统进行全面地分析;针对主要管理环节及主要部位进行重点评估;d)实用性原则:
系统分析和评价方法要适合被评估信息系统的实际情况,操作简单,结论明确,成效显著。
4.2管理评估的工作模式从评估主体的角度,信息系统安全管理评估可分为检查评估、自评估和第三方评估等工作模式,其适用范围包括:
a)检查评估:
是指由被评估信息系统所有者的上级主管部门、业务主管部门或国家相关监管部门发起的,依据国家有关法规与标准,对信息系统安全管理进行的评估活动;适用于上级主管机关、业务主管部门或国家相关监管部门,对其下属或监管范围内组织机构信息系统安全管理进行的检查性的评估活动;b)自评估:
是指由信息系统所有者自身发起,组成组织机构内部的评估机构,依据国家有关法规与标准,对信息系统安全管理进行的评估活动;适用于组织机构对自身所拥有、运营或使用的信息系统安全管理进行的评估活动;c)第三方评估:
2GB/T284532012是指由信息系统所有者委托商业评估机构或其他评估机构,依据国家有关法规与标准,对信息系统安全管理进行的评估活动;适用于组织机构委托商业评估机构或其他评估机构,对自身所拥有、运营或使用的信息系统安全管理进行的评估活动。
5评估组织和活动5.1评估组织5.1.1评估实施团队5.1.1.1检查评估实施团队检查评估实施团队组成的要求如下:
a)检查评估实施团队由信息系统上级管理部门或国家有关职能部门委派;b)派出机构有关领导和相关部门负责人作为检查评估实施团队的领导;c)派出机构相关部门的信息技术、信息安全以及相关业务有经验的技术和管理人员参加;d)必要时,检查评估实施团队可聘请相关专业的技术专家和技术骨干组成专家小组。
5.1.1.2自评估实施团队组织机构对自身所拥有、运营或使用的信息系统安全管理进行的评估,自评估实施团队组成的要求如下:
a)组织机构信息安全主管领导或信息安全领导小组应指派信息部门或业务部门负责人任自评估实施团队负责人;b)自评估实施团队负责人根据参与评估的范围确定评估组成员的数量,为自评估团队选择成员,并报请主管领导批准;c)自评估实施团队应由管理层、相关业务骨干、信息技术和信息安全人员、信息安全人员等组成,主要来自信息部门和业务部门,核心成员为35人;d)在评估过程中,自评估实施团队与被评估方应是相对独立地进行评估工作,被评估方不应干涉或干扰评估结论;e)必要时,可聘请相关专业的技术专家和技术骨干组成专家小组。
5.1.1.3第三方评估实施团队第三方评估实施团队组成的要求如下:
a)第三方评估实施团队由受委托的安全评估服务技术支持方委派;b)受委托的安全评估服务技术支持方相关部门或项目主管任评估实施团队负责人;c)第三方评估实施团队由熟悉信息技术、信息安全技术、信息安全管理,熟悉委托方业务,具有相关资质的人员组成;d)对信息安全等级第三级及以上的信息系统进行评估的第三方评估实施团队,应符合国家职能部门有关评估机构选择的规定,可参见附录A的A.4.3。
5.1.2评估管理机构应针对不同模式的信息安全管理评估组建评估管理机构:
a)评估工作组:
检查评估时,接受检查的组织机构应组建由主管领导和相关部门负责人参加的评估工作组,配合检查评估团队的工作;3GB/T284532012b)自评估工作领导小组:
组织机构信息安全主管领导或信息安全领导小组主管自评估工作,应组建由主管领导和相关部门负责人参加的自评估工作领导小组,指导和监督自评估团队的工作;c)评估工作领导小组:
第三方评估时,应组建由评估方、被评估方领导及相关部门负责人参加的安全评估工作领导小组,指导和控制第三方评估团队的工作;安全评估工作领导小组中被评估方领导应负责监督或指派有关部门负责人监督第三方评估团队的工作。
5.1.3被评估方相关人员被评估方相关人员应包括:
a)高级管理层:
组织机构的领导、信息化主管领导、信息安全主管领导等;b)执行管理层:
信息部门负责人、信息安全部门负责人、业务部门负责人、人事部门负责人等;c)信息技术和信息安全相关人员,包括:
系统建设主管及系统设计、软件开发、系统集成人员;运行维护主管及网络系统、操作系统、数据库系统、应用系统、硬件设备等系统管理及运维人员;信息安全主管及安全管理、审计管理人员、文档介质管理人员;物理安全主管及资产管理、机房值守、机房维护人员;外包服务方主管及外包方运行、维护人员;d)业务应用人员,包括业务部门主管、业务应用系统管理人员1)、业务应用系统开发人员和操作人员。
1)应用系统管理人员主要负责应用系统用户账户、权限管理,以及应用系统其他日常运行维护;与一般信息技术人员不同,应用系统管理人员应熟悉应用系统所支持的业务流程和业务管理。
5.2评估目标范围和依据5.2.1评估目标5.2.1.1具体评估目标信息系统安全管理评估的一般目标是,识别信息系统安全管理存在的信息安全风险,并确定其大小,为制定信息安全方针,选择适当的控制目标与控制方式提供决策依据。
每一次评估的具体目标可能会存在一定差异,应明确每一次评估的具体目标,可以是:
a)针对规划立项阶段的安全管理评估,主要从策略和制度管理、机构和人员管理、风险管理、监督和检查管理、规划和立项管理等方面,评价信息系统的系统分析和安全定级、信息系统安全需求分析、信息系统总体安全规划、信息系统安全项目立项等关键环节的安全管理状况;b)针对信息系统设计实施阶段的安全管理评估,主要从策略和制度管理、机构和人员管理、风险管理、环境和资源管理、安全机制保障管理、业务连续性管理、监督和检查管理、建设过程管理等方面,评价信息系统的系统安全设计、系统采购控制、系统开发控制、管理措施制定、集成及配置管理、测试及验收管理等关键环节的安全管理状况;c)针对信息系统运行维护阶段的安全管理评估,主要从策略和制度管理、机构和人员管理、风险管理、环境和资源管理、日常运维管理、业务连续性管理、监督和检查管理等方面,评价信息系统的运行操作、系统维护、安全监控、业务连续性、变更控制、外包、安全检查、持续改进等关键环节的安全管理状况;d)针对信息系统终止处置阶段的安全管理评估,主要从策略和制度管理、机构和人员管理、风险4GB/T284532012管理、环境和资源管理、监督和检查管理、终止处置过程管理等方面,评价信息系统的系统终止审批、信息转移及清除、设备迁移或废弃、存储介质清除或销毁等关键环节的安全管理状况。
也可以是针对系统故障或安全事件的评估、针对组织机构变动或系统变更的评估,或定期进行的信息系统安全管理评估。
5.2.1.2具体评估目标的提出不同评估工作模式的具体评估目标的提出,要求如下:
a)检查评估的具体评估目标,由被评估信息系统所有者的上级主管部门、业务主管部门或国家相关监管部门(评估发起部门)提出;b)自评估的具体评估目标,由信息系统所属组织机构领导提出,可听取自评估实施团队的意见;c)第三方评估的具体评估目标,由信息系统所属单位(委托方)领导提出,受委托的第三方评估机构的实施团队应充分理解委托方提出的评估目标,必要时可提出建议。
5.2.2评估范围信息系统安全管理评估的一般评估范围,可以是与全部业务处理相关的信息系统,也可以是某个特定业务处理的信息系统。
针对某一次评估,应根据具体评估目标,确定评估的具体范围,并形成相关文档。
不同评估工作模式的具体评估范围的确定,要求如下:
a)检查评估的具体评估范围,由被评估信息系统所有者的上级主管部门、业务主管部门或国家相关监管部门(评估发起单位)确定;b)自评估的具体评估范围,由信息系统所属组织机构的领导确定,可听取自评估实施团队的意见;c)第三方评估的具体评估范围,由信息系统所属组织机构(委托方)的领导确定,受委托的第三方评估机构的实施团队应充分理解委托方确定的评估范围,确认具体评估范围能够满足评估目标的要求,如不能满足应及时提出并与被评估方协商解决。
对于涉及国家秘密的信息和信息系统安全管理的评估,应按照国家有关保密管理、密码管理规定和相关测评标准执行。
5.2.3评估依据信息系统安全管理评估以GB/T202692006的安全管理要求为主要依据,并参考业务应用对信息系统安全运行的需求,确定相关的判断依据,如:
a)行业主管部门对信息系统的业务和安全要求;b)信息系统互联单位的业务和安全要求;c)信息系统本身的实时性或性能要求。
5.3评估活动内容5.3.1评估准备及启动5.3.1.1评估准备评估方应通过与被评估方评估管理机构沟通从以下方面开展评估准备工作:
a)确定评估实施团队的成员及职责等;b)对评估实施团队的成员进行培训;c)获得被评估方高级管理层对评估的支持;d)确定评估的系统范围和管理界限;5GB/T284532012e)确定评估的具体判断依据(见5.2.3);f)协商选择被评估方的参与人员;g)协调解决评估所需的后勤保障工作;h)协商确定评估工作计划和时间进度安排;i)取得以下阶段性成果及文档:
被评估方高级管理层对评估工作支持的决议、批示或表态;评估实施团队成员名单;对评估实施团队的成员进行信息安全评估方法的培训;实施信息安全评估的工作范围;被评估方参与人员名单,包括涉及的高级管理层、执行管理层、信息技术和信息安全人员、业务应用人员等;评估的详细计划,包括工作内容、工作形式、工作成果等内容,以及实施的时间进度安排;参与人员应了解在评估工作中的岗位责任。
5.3.1.2评估工作需获得的支持通过评估准备应从以下方面获得对评估工作的支持:
a)评估工作应得到被评估方最高管理者的批准同意;b)评估实施团队应将评估的过程、存在的风险、花费的时间和人员的使用情况等告知被评估方主管评估的领导;c)从以下方面得到被评估方主管评估的领导的明确支持:
对评估工作持续支持的明确表示;明确激励员工参与的措施;完成所有评估工作需要的职责和授权;承诺提供评估所需的资源;参加评估结果和改进建议的审核。
5.3.1.3评估启动在评估准备工作完成的基础上,召开评估启动会,向与会被评估方领导及所有参与者进行工作简介,并宣布评估工作启动。
5.3.2确定信息系统资产及安全需求5.3.2.1对高级管理层的访谈调查对高级管理层有关信息系统资产及安全需求的访谈调查,要求做到:
a)确定高级管理层识别的信息系统基本情况,信息系统资产及其优先顺序,记录在资产调查表(见6.2.1.1);b)确定高级管理层认识到信息系统面临的威胁,对信息系统安全的关注范围,记录在关注范围调查表(见6.2.1.2);c)确定高级管理层认为最关键资产及其管理的安全需求,记录在安全需求调查表(见6.2.1.3);d)应取得以下阶段性成果及文档:
按优先级排列的高级管理层识别的资产;高级管理层关注的范围;高级管理层认为最关键资产及其管理的安全需求;6GB/T284532012高级管理层的访谈记录。
5.3.2.2对执行管理层的访谈调查对执行管理层有关信息系统资产及安全需求的访谈调查,要求做到:
a)确定执行管理层识别的信息系统基本情况,信息系统资产及其优先顺序,记录在资产调查表;b)确定执行管理层认识到信息系统面临的威胁,对信息系统安全的关注范围,记录在关注范围调查表;c)确定执行管理层认为最关键资产及其管理的安全需求,记录在安全需求调查表;d)应取得以下阶段性成果及文档:
按优先级排列的执行管理层识别的资产;执行管理层关注的范围;执行管理层认为最关键资产及其管理的安全需求;执行管理层的访谈记录。
5.3.2.3对信息技术和信息安全人员的访谈调查对信息技术和信息安全人员有关信息系统资产及安全需求的访谈调查,要求做到:
a)确定信息技术和信息安全人员识别的信息系统基本情况,信息系统资产及其优先顺序,记录在资产调查表;b)确定信息技术和信息安全人员认识到信息系统面临的威胁,对信息系统安全的关注范围,记录在关注范围调查表;c)确定信息技术和信息安全人员认为最关键资产及其管理的安全需求,记录在安全需求调查表;d)应取得以下阶段性成果及文档:
按优先级排列的信息技术和信息安全人员识别的资产;信息技术和信息安全人员关注的范围;信息技术和信息安全人员认为最关键资产及其管理的安全需求;信息技术和信息安全人员的访谈记录。
5.3.2.4对业务应用人员的访谈调查对业务应用人员有关信息系统资产及安全需求的访谈调查,要求做到:
a)确定业务应用人员识别的信息系统基本情况,信息系统资产及其优先顺序,记录在资产调查表;b)确定业务应用人员认识到信息系统面临的威胁,对信息系统安全的关注范围,记录在关注范围调查表;c)确定业务应用人员认为最关键资产及其管理的安全需求,记录在安全需求调查表;d)应取得以下阶段性成果及文档:
按优先级排列的业务应用人员识别的资产;业务应用人员关注的范围;业务应用人员认为最关键资产及其管理的安全需求;业务应用人员的访谈记录。
5.3.2.5对信息系统资产及安全需求的确定对信息系统资产及安全需求的确定,要求做到:
a)汇总归纳访谈调查得到的信息系统的基本描述、资产调查表、关注范围调查表和安全需求调7GB/T284532012查表;b)按照支撑业务或岗位的重要程度为资产、安全需求、关注范围等分组;c)选择并确定信息系统关键资产及其管理的安全需求;d)标注信息系统资产表中的资产面临的威胁及关注范围;e)应取得以下阶段性成果及文档:
信息系统的基本描述;资产、安全需求、关注范围分类;关键资产及其管理的安全需求;关键资产的关注范围。
5.3.2.6对关键环节和核心部位的确定根据信息系统资产及安全需求,对信息系统安全管理的关键环节和核心部位的确定,要求做到:
a)确定待审核的信息系统安全策略和管理制度文档;b)确定待检查的信息系统物理环境和工作记录;c)确定待检测的信息系统核心部位及关键组件;d)确定待核查的信息系统安全管理关键环节;e)应取得以下阶段性成果及文档:
信息系统安全策略和管理制度文档的范围和审核方法;信息系统物理环境及工作记录的范围和检查方法;信息系统核心部位及关键组件的范围和测评结果收集方法;信息系统安全管理关键环节的范围和核查方法。
5.3.3确定信息系统安全管理现状5.3.3.1对高级管理层的访谈调查使用相应的访谈问卷(见6.2.2),对高级管理层有关信息系统安全管理现状的访谈调查,应做到:
a)确定高级管理层识别的信息系统安全策略及其优先顺序,与业务需求的一致性;b)确定高级管理层认为已实施的信息系统安全保护措施和管理制度以及执行情况,记录在保护措施调查表(见6.2.1.4);c)确定高级管理层认为信息系统安全管理机构和相关人员的职责要求以及执行
升级会员 