信息安全审计制度-信息安全等级保护管理制度.docx
《信息安全审计制度-信息安全等级保护管理制度.docx》由会员分享,可在线阅读,更多相关《信息安全审计制度-信息安全等级保护管理制度.docx(19页珍藏版)》请在冰点文库上搜索。
区门户网站系统
管理平台
信息安全管理制度-信息安全审计制度
文件编号
使用部门
初版日期
修订日期
目录
第一章 总则 3
第二章人员及职责 3
第三章日志审计的步骤 4
第四章日志审计的目标和内容 5
第五章管理制度和技术规范的检查步骤 7
第七章管理制度和技术规范的检查内容 8
第八章检查表 8
第九章相关记录 9
第十章相关文件 9
第十一章附则 9
附件一:
体系管理制度和技术规范控制点重点检查的内容及方法 9
附件二:
体系管理制度和技术规范检查范围及对应负责人 20
第一章总则
第一条目的:
为加强区门户网站系统平台的内部审计工作,建立健全内部审计制度,明确内部审计职责,通过对人工收集到的大量审计行为记录进行检查,以监督不当使用和非法行为,并对发生的非法操作行为进行责任追查。
同时根据区门户网站系统平台各种与信息安全的相关的制度和技术手段进行检查,确保区门户网站的所有设备正常运行;
第二条适用范围:
包括对各系统日志的审计和安全管理制度及技术规范符合性检查。
第二章人员及职责
第三条本制度指定xxxxx作为区门户网站管理部的信息安全审计组织,负责实施区门户网站内部审核或对外审核,协助外部第二方/第三方审核;审核组的工作应该直接向信息安全领导小组汇报;实施独立审核,确保信息安全管理系统各项控制及组成部分按照策略要求运行良好,确保信息安全管理体系的完整性、符合性和有效性;
第四条与审计制度相关的人员分为审计人和被审计人。
审计人除了xxxxx安全审计员外,还需设立xxx指导和配合安全审计员的工作。
被审计人及系统为区门户网站管理部的信息安全执行组人员,包括综合网管系统、数据网管系统、运维审计系统、机房视频监控系统和其相关的管理、维护和使用人员等;
第五条xxxx的审计相关人员根据信息委规划战略、年度工作目标,以及上级的部署,拟订审计工作计划,报经区门户网站管理部领导批准后实施审计工作。
除年度审计计划外,也可根据工作需要或区门户网站管理部领导的要求配合上级部进行非定期的专项审计、后续审计等其他审计事项;
第六条信息安全审计员的角色和职责
本着安全管理权限分离的原则,信息安全审计员岗位要独立于其他角色管理员和各类系统使用人员。
信息安全审计员和本制度相关职责如下:
Ø负责区门户网站系统平台安全审计制度的建设与完善工作;
Ø信息安全审计员要对人工收集到的大量审计行为记录进行检查,以监督对区门户网站系统平台的相关信息系统的不当使用和非法行为;
Ø定期执行安全审计检查,对系统的安全状况进行分析评估,向上级主管提供系统安全状况审计报告和改进措施等。
第七条xxx信息安全主管和本制度相关职责是:
Ø负责指导和协助xxx建立安全审计制度并协调相关工作,以确保安全审计工作的顺利进行;
Ø对发生的非法操作行为进行责任追查;
Ø审查信息安全审计员的审计报告并汇报上级部门领导。
第八条信息安全执行组人员,包括各系统(网络设备,安全产品,主机,数据库和应用系统)的管理维护人员负责维护各自系统正常运行的同时必须向审计人员提供审计所需的各种信息(如各系统的日志,系统升级、备份、加固、权限及配置变更等各种操作记录)以配合审计人员完成审计工作;
第九条其他与审计相关的人员的职责参见xxxxx(岗位安全职责描述的相关文件)。
第三章日志审计的步骤
第十条日志收集
Ø目的
全面收集入侵者,内部恶意用户或合法用户误操作的相关信息,以便进一步的查看和分析。
防止重要的日志信息收集的遗漏。
Ø具体要求
需要根据各种系统的安全设置方法设定重要事件的日志审计(详细参见《日志管理规范》),如对安全设备的登入事件、用户增减事件、用户权限及属性修改事件、访问规则修改事件、系统开启或关闭事件、系统配置修改事件、安全告警事件,系统版本更新升级等事件的日志审计,包括所有系统特权命令的使用都必须被全面的记录;
第十一条对日志查看与分析
Ø目的
分析存在安全威胁的原因,以便制定相应的对策。
Ø日志查看和分析具体要求
l日志可以作为证据,提供安全事故调查;
l信息安全主管需要定期查看各系统的安全管理员是否根据其职责进行安全的维护,包括日常的运维操作记录和日志;
l信息安全审计员需要在信息安全主管的配合下对所有日志事件进行分类,划分不同的安全事件等级,并分析存在威胁的原因;
l信息安全审计员整理并编写安全分析报告,定期向上级汇报日志报表中存在的安全威胁其中包括:
ü安全威胁的统计;
ü新威胁的列表;
ü威胁同比增长率;
ü安全威胁的防范。
l审计人员与使用人员沟通
将重点审计对象的访问特点反馈给这些对象的使用者,尤其是各自的管理员;对于发现存在异常信息的审计对象,将这些信息告知相关管理员和操作者,并要求他们给出合理的解释。
第十二条审计月报
以审计数据作为基础抽样对象,汇总成为审计月报,经相关领导审核、批准后,向全公司人员公布。
审计月报的内容:
Ø必须明确安全审计的范围;
Ø必须明确安全审计的标准或原则;
Ø必须明确安全审计的检查清单;
Ø必须列举所有安全问题和安全隐患,并按照严重程度进行划分;
Ø必须列举所有安全问题和安全隐患的有关责任人员或责任部。
第十三条审计后续追踪
所有在日志审计过程中发现的各种违规行为,一旦经xxx部门确认后,由xx部门负责人通报给有关责任部门,并要求在规定时间内有关责任部提出解决方案和处理报告,xxx负责监督各违规行为是否纠正,并做相关的记录。
信息安全审计员,负责检查信息安全主管的相关记录以确保纠正措施都得到了实施。
xxx部门将在一个月之内再次对相关的违规行为进行检查。
第四章日志审计的目标和内容
第十四条审计的目标、分类
日志审计的目标主要是对访问操作的审计,对访问控制的审计,对敏感数据的审计和对应用数据的审计。
按《日志管理规范》中的分类方法,日志也可以分类为主机系统,安全产品,网络设备,数据库和应用系统的审计。
第十五条安全产品、网络设备的日志审核
对安全产品、网络设备的日志的审核工作具体要求如下:
Ø责任人应明确审核频率、定义安全事件判断规则、规定安全事件通报流程,用以审核日志,发现并确定安全事件。
Ø重大安全事件必须被记录在案,例如:
l多次失败登录;
l异常时间的接入或者异常地点的接入;
l信息流量的突然增加;
l针对系统资源的异常和/或饱和性尝试;
l重大网络与信息系统事件(比如配置更新以及系统崩溃等等);
l安全属性变化
第十六条应用系统日志审核
Ø对各应用系统的日志的要求:
由于对应用系统日志的审核工作比较复杂,在实施审计之前先要对各应用系统的生成的日志提出统一的要求(详细的日志要求参见《日志管理制度》);
Ø对应用系统日志审计至少要包括以下内容:
l应用系统日志产生是否正常,包括日志产生的时间、格式;
l日志功能是否被关闭过;
l日志中是否有被人为篡改的痕迹,(包括日志文件被编辑或删除,记录的消息类型被修改等);
l日志中是否存在多次登陆失败的情况,如果超过一定的阀值,应当考虑为攻击事件;
l日志文件存储媒介是否用尽,防止造成无法记录事件或自行覆盖以前的日志文件;
l是否定期打印重要的操作清单;
l针对各业务系统维护人员通过系统界面对业务数据进行的增、删、改操作进行日志审查;
l对清单查询操作进行日志审查;
l对用户权限变更操作进行日志审查。
第十七条主机日志审计
对主机日志的审核内容,至少要包括以下内容:
Ø审计未经授权的,对数据库的非法连接;
Ø系统错误及所采取的纠正措施;
Ø系统的配置文件被修改;
Ø用户帐号变更;
Ø根用户或者用户被修改。
第十八条数据库日志审计
Ø审计未经授权的,直接连接数据库后的变更(增加,删除,修改)所有操作日志;
Ø系统错误及所采取的纠正措施;
Ø数据库服务的启动和关闭的日志信息;
Ø数据库系统核心配置文件被修改;
Ø数据库的日志是否定期备份。
第五章管理制度和技术规范的检查步骤
第十九条检查信息的收集
安全管理制度和技术规范执行情况的抽查,分为初步调查、详细调查和问题询问三个步骤进行:
Ø初步调查:
初步调查的目的是使安全检查人员了解检查对象的背景情况、基本运作流程、具体管理人员和操作人员的人员配备等大致的情况,以便快速熟悉检查对象,并制定相应的检查策略和工作清单。
Ø详细调查:
在初步调查的基础上,安全检查人员对检查对象进行深入了解,同时调整、修改并最终决定检查策略和工作清单。
Ø问题询问:
安全检查人员就检查的细节问题向具体管理人员和操作人员提出询问,进行检查报告编写前的最后准备工作。
第二十条检查报告的编写
安全检查人员对收集的资料进行分析整理,并完成安全检查报告的编写工作。
安全检查报告内容要求:
Ø必须明确安全检查的范围;
Ø必须明确安全检查的标准;
Ø必须明确安全检查的检查清单;
Ø必须列举所有安全问题和安全隐患,并按照严重程度进行划分;
Ø必须列举所有安全问题和安全隐患的有关责任人员或责任部;
Ø必须对检查单位有安全检查的整体评估。
第二十一条检查报告的汇报
由区门户网站管理部信息安全检查员对各单位的检查情况汇总整理后,提交给区门户网站管理部领导xxx进行审阅。
第二十二条确认检查中发现的安全问题和后续措施的实行
所有在检查过程中发现的安全问题和安全隐患,一旦经区门户网站管理部xxx确认后,由区门户网站管理部xxx通报给有关责任部门,并要求在规定时间内有关责任部提出解决方案和处理报告,同时负责监督各违规行为是否纠正并作相关的记录。
第二十三条检查工作总结
区门户网站管理部xxx对整个检查工作进行总结,并呈报区门户网站管理部上级部门。
第七章管理制度和技术规范的检查内容
第二十四条安全检查控制点
信息安全的检查可以根据国家信息安全等级保护标准,分五层面进行检查。
本制度所涉及的检查范围和检查内容见附件一;
第二十五条检查内容
检查信息安全管理系统策略文档是否由各文档负责人按该文档要求或者在业务系统发生重大变化后得到及时变更或更新,保证策略的有效性和可用性。
详细文档及对应负责人见附件二。
第八章检查表
第二十六条本制度的执行情况检查表
任务编号
检查点
检查内容
检查方法
检查周期
1
各系统日志审计报告
各系统生成日志是否符合相关要求
查阅日志记录
每周
2
安全策略和技术规范检查报告
从管理制度和技术规范检查报告是否符合本制度相关检查项目
查阅检查报告
每年
第九章相关记录
第二十七条执行本制度产生如下记录:
Ø各系统生成的日志记录。
Ø系统操作审计报告
Ø各系统管理员日常操作记录。
Ø信息安全管理制度和技术规范控制点检查结果。
第十章相关文件
第二十八条本制度参考了如下文件:
Ø《日志管理制度》
Ø《信息安全管理办法》
第十一章附则
第二十九条本制度自发布之日起开始实施;
第三十条本管理规定的解释和修改权属于区门户网站管理部;
第三十一条区门户网站管理部每年统一检查和评估本管理规定,并做出适当更新。
在业务环境和安全需求发生重大变化时,也将对本规定进行检查和更新。
附件一:
体系管理制度和技术规范控制点重点检查的内容及方法
信息安全
管理制度检查域
信息安全
管理制度
检查内容
具体检查方法
周期
安全事件响应和处理
n《信息安全事件管理》
n计算机安全事故检测措施
n计算机安全事故响应和事后处理计划
n审核《安全事件响应和处理报告》
n检查某一种事故出现的频率,如果频率过高说明事件没有能够及时处理和处理方法不得当
n现场让维护人员“预演”模拟二级或二级以上的安全事故的响应和事后处理
n每个月一次
安全管理日常安全工作
n《日常维护操作管理规定》
n各系统安全日常安全工作的执行情况
n各系统安全策略在运行中的情况
n各系统安全日志的检查报告记录分析情况
n各管理员在安全日常工作中的工作情况
n查看信息系统管理员的日常工作日报、周报、月报等,检查安全工作是否做过
n对信息系统管理员日常的安全工作内容进行抽样检查,检查工作报告和实际工作情况是否符合
n对所有管理进行问卷调查,检查管理员是否能够马上回答出日常安全工作内容
n每半年一次
设备入网情况
n《新系统上线安全管理规定》
n设备入网流程
n设备入网安全检查人员的工作情况
n设备入网安全标准的执行情况
n设备入网加固情况
n设备入网的记录情况
n对入网设备进行安全性检查、检查安全设备是否达到相应的安全标准
每次设备入网
信息资产分级和管理制度
n《信息资产分类标准》
n信息安全分类标识的执行情况
n信息安全分类管理执行情况
n抽查信息设备是否有安全分类标识和安全分类标识的准确性和完整性
n查看信息设备清单
n查看信息设备安全分类清单
n和专管人员进行“面谈”,确定其对信息安全分类控制管理制度的熟悉程度
n抽查信息设备处理(作废、重新利用)记录
n对区门户网站系统平台电子邮件、电子文档的安全加密情况进行抽查
n对区门户网站系统平台有密级文件(硬拷贝或电子拷贝)复印、备份、复制记录进行抽查
每年一次
第三方人员管理
《第三方人员安全管理制度》
n
n第三方信息服务的管理制度和执行情况
n第三方信息现场服务人员的管理制度和执行情况
n第三方信息服务服务/维护合同
n查看外包服务协议中附带的保密协定或有关保密章节
n查看服务合同(服务级别和服务期限)
n查看外来信息服务人员的登记记录和临时出入证(工作证)的管理记录
n抽查有关软件/硬件的维护记录
n抽查外包信息服务项目的有关项目文件
n每年一次
计算机安全使用管理
n《终端使用安全管理规定》
n一般计算机安全使用规定执行情况
n计算机保密规定的执行情况
n个人电脑和终端安全使用规定的执行情况
n计算机周边设备安全使用规定的执行情况
n电子邮件、浏览器、BBS、新闻组、防入侵以及防病毒软件安全规定的执行情况
n查看有关使用监控日志
n文件和系统安全配置文件
n对人员进行规定笔试或机试测验,考核其对规定的熟悉和理解程度
n每半年一次
用户帐号和密码安全管理
n《账号管理办法(试行)》
n用户帐号和权限分配
n密码的安全设置和强度
n用户帐号和密码的管理规定的执行情况
n关键服务器、小型机、数据库的管理员和超级管理员帐号和密码
n抽查用户帐号创建的相关书面文档并和计算机用户帐号日志文件进行比对
n抽查用户权限分配情况(尤其是特权用户)
n查看系统密码的安全配置情况
n使用工具软件对一些用户密码进行“强行”破解,以检验用户密码的强度
n检查系统是否拒绝创建不符合安全要求的用户帐号和密码
n查看用户帐号登录和注销日志文件
n查看用户帐号密码变更、禁止和删除的日志文件
n每季度一次
计算机技术文档管理
n《文档管理办法》
n技术文档编制规定的执行情况
n技术文档的安全管理的执行情况
n查看技术文档清单和技术文档使用记录
n查看技术文档的版本控制记录
n检查技术文档的存放和保管地点
n抽查关键计算机设备或系统的整套技术文档,并仔细查看其内容
n每季度一次
计算机业务连续性和灾难恢复
n《业务连续性管理流程》
n《应急响应计划框架》
n业务风险(信息系统有关)分析
n业务连续性计划的制定和实施情况
n信息系统灾难恢复计划和具体实施情况
n查看业务风险分析文档(风险等级)
n查看关键设备和系统清单
n查看业务风险控制计划和相应的解决方案
n查看灾难恢复计划和相应的解决方案
n每年一次
计算机机房物理环境安全
n《机房和环境安全管理规定》
n物理访问控制情况
n防火和防水情况
n电源供应情况
n综合布线情况
n物理环境情况
n报警系统情况
n人员进出控制情况
n文件/磁介质保险柜
n建筑(门、窗、地板)
n实时监控和入侵检测设备
n查看防火/防水系统的达标和维护文档或记录
n检查UPS和备用发电机是否能正常运行
n使用仪器检查建筑内的温度、湿度、静电、灰尘、通风、照明是否符合要求
n检查报警系统的达标和维护文档或记录
n抽查人员进出记录
n检查建筑的防火等级
n检查保险柜的防火/防磁/防盗等级
n检查通讯和网络线路的物理布置和接口位置,以及对明线的物理防护要求
n检查机房内物理入侵检测设备(红外线移动探头等)和物理访问控制设备(读卡机)是否正常工作
n每半年一次
网X全
n《网X全管理规定》
n网络的划分
n网络间通讯的流程和控制
n网络链路的备份
n网X全的设计
n网络服务
n查看网络物理连接图
n查看网络逻辑连接图(IP分配)
n使用网络侦测工具进行IP(网络服务)扫描
n查看网X全设计和实施方案
n测试备份网络链路
n测试网络路由情况
n测试网络负载情况
n每季度一次
网络设备安全
n《网X全管理规定》
n防火墙
n入侵检测
n路由器
n交换机
n网关/网关代理
n查看防火墙安全日志文件
n查看入侵检测安全日志文件
n检查防火墙安全配置
n查看入侵检测安全配置
n查看路由器路由和其他网络配置
n查看交换机VLAN、端口映射、数据流控制等配置
n查看网关/网关代理配置
n查看网关/网关代理访问日志文件
n使用漏洞扫描工具对防火墙、路由器、交换机、网关/网关代理进区门户网站系统平台内部和外部“刺穿性”扫描(必须保证扫描不会影响系统和网络性能)
使用DoS攻击模拟工具测试防火墙、路由器、交换机、网关/网关代理对DoS攻击的防御程度(严禁对在线的生产系统进行DoS测试)
n
加密设备安全
n《密钥管理办法》
n加密设备物理保护
n加密设备密钥管理制度和执行情况
n加密设备操作制度和执行情况
n对加密设备物理访问控制进行现场检查
n查看密钥生成、传递、备份、存储和使用记录
n查看加密设备管理员操作记录和有关系统日志文件
n每季度一次
电子邮件安全
n《终端使用安全管理规定》
n电子邮件系统性能
n电子邮件系统安全设置
n电子邮件系统的备份
n电子邮件系统的管理制度和执行情况
n查看电子邮件系统的负载情况(电子邮件队列日志文件)
n测试电子邮件系统是否具有防“垃圾”邮件、严格身份验证、防邮件病毒、加密传输等安全防护功能,并查看有关配置文件
n查看电子邮件系统管理员操作日志文件和系统安全日志文件
n查看电子邮件备份和恢复日志文件
n对电子邮件备份和恢复进行测试(邮件系统恢复、单个邮箱恢复、单个邮件恢复等)
n每季度一次
计算机病毒防治
n《防病毒系统日常维护管理制度》
n防病毒系统的安装情况
n防病毒系统运行情况
n系统病毒数据库更新情况
n用户病毒数据库更新情况
n抽查计算机用户的PC机是否安装了区门户网站系统平台统一规定防病毒程序,并检查程序的内部设定
n查看防病毒系统的运行日志文件
n检查防病毒系统的病毒数据库的版本
n抽查计算机用户PC机上的病毒数据库版本
n随机测试防病毒系统功能
n每季度一次
数据备份和恢复
n《信息备份管理规定》
n数据备份和恢复计划和执行情况
n备份应用程序
n备份介质管理制度和执行情况
n备份和恢复操作制度和执行情况
n查看备份应用程序的运行日志文件
n查看备份介质记录
n查看备份介质管理记录
n查看备份和恢复操作记录
n热机备份测试
nRAID磁盘备份测试
n备用机测试
n进行系统、应用程序、数据等不同程度恢复测试
n查看离线备份管理记录
n离线备份介质可用性测试
n离线备份系统可用性测试
n备份系统和生产系统切换测试
n备份介质存放地点检查
n每季度一次
应用系统安全
n《日常维护操作管理规定》
n业务主机安全性
n业务主机备份和恢复
n查看业务主机安全日志文件
n查看业务主机管理员操作日志文件
n查看文件访问记录
n进行主机漏洞扫描
n查看数据备份记录
n检查所有用户的权限分配情况
n进行不同等级(全系统恢复、应用程序数据恢复、单个数据或文件恢复)的恢复测试
n每季度一次
系统安全
n《日常维护操作管理规定》
n操作系统安全性
n查看操作系统安全日志文件
n查看管理员操作日志文件
n查看文件访问记录
n对用户权限分配情况进行抽查
n进行系统漏洞扫描
n每季度一次
数据库安全
n《日常维护操作管理规定》
n数据库用户设定和权限分配
n数据库访问身份验证
n数据库完整性
n数据库访问性能
n查看数据库安全日志文件
n查看数据库性能日志文件
n查看数据库用户和用户组设定以及相应的权限设定
n运行数据库“健康”测试工具,检查数据库内数据和数据关系的完整性
n每季度一次
软件开发安全
《软件系统开发安全管理规定》
n
n软件开发环境
n软件测试规定和执行情况
n软件开发文档管理规定和执行情况
n测试系统的升级
n测试系统的备份
n查看软件开发规范
n查看软件开发环境设计和实施方案
n抽查软件开发项目文档和有关技术文档
n抽查软件测试记录
n查看软件开发系统的备份记录
n查看测试系统升级(升级到生产系统)计划和有关实施文档
n随软件项目进度和开放计划定
网络监控和入侵检测
n《日常维护操作管理规定》
n监控系统的运作情况
n入侵检测运行情况
n查看监控系统和入侵检测系统的策略配置文件
n查看监控系统和入侵检测系统的日志文件
n测试监控系统和入侵检测系统的报警机制能否正常运作
n测试关键的监控和入侵检测功能(运行非正常操作,测试系统能否捕获和报警)
n每季度一次
第19页
升级会员 