1. 目的和范圍
確保本公司制定的信息安全策略和規(guī)定能夠定期評(píng)審和正確執(zhí)行。
2. 術(shù)語和定義
ISO/IEC27001:2005《信息技術(shù)-安全技術(shù)-信息安全管理體系要求》
ISO/IEC27002:2005《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則》規(guī)定的術(shù)語適用于本標(biāo)準(zhǔn)。
3. 引用文件
下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn),然而,鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件,其最新版本適用于本標(biāo)準(zhǔn)。
ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求
ISO/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則
合規(guī)性管理程序
補(bǔ)丁管理規(guī)定
4. 職責(zé)和權(quán)限
(1) 制定信息系統(tǒng)安全審核策略
(2) 對(duì)信息系統(tǒng)進(jìn)行定期審核
5. 活動(dòng)描述
(1) 技術(shù)部根據(jù)公司情況,制定出公司在用戶管理、權(quán)限管理、漏洞掃描、滲透測(cè)試等方面的審核策略,必要時(shí)填寫《信息系統(tǒng)定期評(píng)審策略明細(xì)表》
(2) 管理人員應(yīng)確保在其職責(zé)范圍內(nèi)的所有安全程序被正確地執(zhí)行,以確保符合安全策略及標(biāo)準(zhǔn)。
(3) 管理人員應(yīng)對(duì)自己職責(zé)范圍內(nèi)的信息處理是否符合合適的安全策略、標(biāo)準(zhǔn)和任何其它安全要求進(jìn)行定期評(píng)審。
(4) 信息系統(tǒng)應(yīng)被定期檢查是否符合安全實(shí)施標(biāo)準(zhǔn)。
(5) 任何技術(shù)符合性檢查應(yīng)僅由有能力的、已授權(quán)的人員來完成,或在他們的監(jiān)督下完成。
(6) 涉及對(duì)運(yùn)行系統(tǒng)檢查的審核要求和活動(dòng),應(yīng)謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn),以便最小化造成業(yè)務(wù)過程中斷的風(fēng)險(xiǎn)。
(7) 漏洞掃描管理:
1) 管理員應(yīng)定期進(jìn)行漏洞掃描,客戶端和服務(wù)器可考慮使用奇虎360工具進(jìn)行漏洞掃描。
2) 根據(jù)漏洞掃描結(jié)果,管理員應(yīng)及時(shí)根據(jù)《補(bǔ)丁管理規(guī)定》及時(shí)修補(bǔ)系統(tǒng)漏洞。
3) 滲透測(cè)試管理:
4) 技術(shù)符合性檢查應(yīng)由有經(jīng)驗(yàn)的系統(tǒng)工程師手動(dòng)執(zhí)行(如需要,利用合適的軟件工具支持),或者由技術(shù)專家用自動(dòng)工具來執(zhí)行,此工具可生成供后續(xù)解釋的技術(shù)報(bào)告。
5) 如果使用滲透測(cè)試或脆弱性評(píng)估,則應(yīng)格外小心,因?yàn)檫@些活動(dòng)可能導(dǎo)致系統(tǒng)安全的損害。這樣的測(cè)試應(yīng)預(yù)先計(jì)劃,形成文件,且重復(fù)執(zhí)行。
6. 審核注意事項(xiàng):
(1) 應(yīng)與合適的管理者商定審核要求;
(2) 應(yīng)商定和控制檢查范圍;
(3) 檢查應(yīng)限于對(duì)軟件和數(shù)據(jù)的只讀訪問;
(4) 非只讀的訪問應(yīng)僅用于對(duì)系統(tǒng)文件的單獨(dú)拷貝,當(dāng)審核完成時(shí),應(yīng)擦除這些拷貝,或者按照審核文件要求,具有保留這些文件的義務(wù),則要給予適當(dāng)?shù)谋Wo(hù);
(5) 應(yīng)明確地識(shí)別和提供執(zhí)行檢查所需的資源;
(6) 應(yīng)識(shí)別和商定特定的或另外的處理要求;
(7) 應(yīng)監(jiān)視和記錄所有訪問,以產(chǎn)生參照蹤跡;對(duì)關(guān)鍵數(shù)據(jù)或系統(tǒng),應(yīng)考慮使用時(shí)間戳參照蹤跡;
(8) 應(yīng)將所有的程序、要求和職責(zé)形成文件;
(9) 執(zhí)行審核的人員應(yīng)獨(dú)立于審核活動(dòng)。
相關(guān)記錄
表1-1 信息系統(tǒng)定期評(píng)審表
序號(hào) | 記錄編號(hào) | 報(bào)告/記錄名稱 | 保管場(chǎng)所 | 期限 | 保存形式 | 備注 |
A.1 | ISMS-3020-01 | 信息系統(tǒng)定期評(píng)審明細(xì)表 | 技術(shù)部 | 3年 | 電子文檔 |