文档介绍：信息系统安全等级保护检查
信息系统的检查工作时信息系统等级保护工作的重要组成部分之一。系统的检查涉及系统管理和技术的方方面面,是对信息系统安全保障措施能否切实保障系统安全的检查和确认。本章中将详细叙述检查重要性、分类和实施方式。
概述
信息系统检查是保障信息系统安全性的重要任务之一,通过对建立的信息系统进行安全性检查,能够发现系统的不足,并及时补救和改进。所以,各国为了解决信息系统的安全性问题,对系统的检查都提出了相应的要求,并且建立了相关的法律、法规、标准和规范等来保障安全检查的正常运行。
检查的工作形势
检查的工作形式,可以分为自检查、监督检查和委托检查。
(1) 自检查:指信息系统所有者或运营、使用单位发起的对本单位信息系统的安全
状态进行的检查。若系统所有者的自检查有周期性,则不必每次都执行完整的检查流程,而只是自检查系统变化的部分和重要部位。
(2) 监督检查:指信息系统的上级管理部门组织的,或由国家相关部门依法开展的
检查。监督检查一般需要执行完整的检查流程,但特殊情况下,也可在自检查的基础上,只执行关键部门的检查。
(3) 委托检查:受检单位或监督检查的组织部门不具备检查能力的,可委托经相关
主管部门认可的机构来检查。
检查的分类
信息系统的安全性检查按照起因和组织形式可分为常规检查、专项检查、事件检查、安全检查和自查五类;按照内容划分可分为管理类检查和技术类检查两类。本章将从内容划分进行描述。
(1) 管理类检查:针对信息系统的管理过程施行的检查称为管理类检查,主要分为组织
安全检查、人员安全检查、系统建设检查和系统运维检查等几个部分。
(2) 技术类检查:针对支持和保障信息系统安全运行使用的技术和操作施行的检查称为
技术类检查,主要包括物理安全检查、网络安全检查、主机安全检查和应用安全检查等几个部分。
检查的目标和内容
检查目标
信息系统的检查,无论是自检还是监督检查,实质上都是一种持续性的风险评估和风险规避过程。美国《联邦信息安全管理法案》中明确要求了联邦各机构需要对每一个系统实施“定期的有效性测试与评估”,考察信息安全的策略、流程和措施“。维持这样一个风险评估和风险规避过程,能够有效地将系统的安全风险控制在可接受的范围之内,这也就是信息系统安全性检查和目标。
检查内容
通过细化信息系统安全性检查目标,可以很容易地得到系统检查相应的检查内容,如表14-1所示。
表14-1 系统检查内容 检查的实施
管理类检查
1. 组织安全检查
检查对象:信息安全组织机构相关文档和管理制度。
检查条目和结果判定可参照组织安全管理检查表,如表14-2所示。
表14-2 组织机构安全管理检查
2. 人员安全检查
检查对象:人员管理的制度和记录。
检查条目和结果判定可参照人员安全管理检查表,如表14-3所示。
表14-3 人员安全管理检查表
3. 系统建设检查
检查对象:系统顶级管理中的制度、记录文档和相关的合同及文档等。
检查条目和结果判定参照系统建设管理检查表,如表14-4所示。
表14-4 系统建设管理