自学内容网 自学内容网

GB/T 43206—2023信息安全技术信息系统密码应用测评要求(三)

文章目录

七、管理测评要求

7.1管理制度

7.1.1 密码应用安全管理制度
7.1.1.1 测评指标

应具备密码应用安全管理制度 ,包括密码人员管理 、密钥管理 、建设运行 、应急处置 、密码软硬件及 介质管理等制度(适用于第一级到第四级) 。

7.1.1.2 测评对象

密码应用安全管理制度类文档 。

7.1.1.3 测评实施

核查各项安全管理制度是否包括密码人员管理 、密钥管理 、建设运行 、应急处置 、密码软硬件及介质 管理等制度 。

7.1.1.4 结果判定

如果 7. 1. 1. 3 测评实施内容均为是 ,则本单元的测评结果为符合 ; 如果 7. 1. 1. 3 测评实施内容均为 否 ,则本单元的测评结果为不符合 ;否则 ,本单元的测评结果为部分符合 。

7.1.2 密钥管理规则
7.1.2.1 测评指标

应根据密码应用方案建立相应密钥管理规则(适用于第一级到第四级) 。

7.1.2.2 测评对象

密码应用方案 、密钥管理制度及策略类文档 。

7.1.2.3 测评实施

核查是否有通过评估的密码应用方案 ,并核查是否根据密码应用方案建立相应密钥管理规则(例 如 ,密钥管理制度及策略类文档中的密钥全生存周期的安全性保护相关内容) 且对密钥管理规则进行评 审 , 以及核查信息系统中密钥是否按照密钥管理规则进行生存周期的管理 。

7.1.2.4 结果判定

如果 7. 1. 2. 3 测评实施内容均为是 ,则本单元的测评结果为符合 ; 如果 7. 1. 2. 3 测评实施内容均为 否 ,则本单元的测评结果为不符合 ;否则 ,本单元的测评结果为部分符合 。

7.1.3 操作规程
7.1.3.1 测评指标

应对管理人员或操作人员执行的 日常管理操作建立操作规程(适用于第二级到第四级) 。

7.1.3.2 测评对象

操作规程类文档 。

7.1.3.3 测评实施

核查是否对密码相关管理人员或操作人员的 日常管理操作建立操作规程 。

7.1.3.4 结果判定

如果 7. 1. 3. 3 测评实施内容均为是 ,则本单元的测评结果为符合 ; 如果 7. 1. 3. 3 测评实施内容均为 否 ,则本单元的测评结果为不符合 ;否则 ,本单元的测评结果为部分符合 。

7.1.4 安全管理制度
7.1.4.1 测评指标

应定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定 ,对存在不足或需 要改进之处进行修订(适用于第三级到第四级) 。

7.1.4.2 测评对象

密码应用安全管理制度类文档 、操作规程类文档 、记录表单类文档 。

7.1.4.3 测评实施

核查是否定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定 ;对经论证 和审定后存在不足或需要改进的密码应用安全管理制度和操作规程 ,核查是否具有修订记录 。

7.1.4.4 结果判定

如果 7. 1. 4. 3 测评实施内容均为是 ,则本单元的测评结果为符合 ; 如果 7. 1. 4. 3 测评实施内容均为 否 ,则本单元的测评结果为不符合 ;否则 ,本单元的测评结果为部分符合 。

7.1.5 管理制度发布流程
7.1.5.1 测评指标

应明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制(适用于第三级到第四 级) 。

7.1.5.2 测评对象

密码应用安全管理制度类文档 、操作规程类文档 、记录表单类文档 。

7.1.5.3 测评实施

核查相关密码应用安全管理制度和操作规程是否具有相应明确的发布流程和版本控制 。

7.1.5.4 结果判定

如果 7. 1. 5. 3 测评实施内容均为是 ,则本单元的测评结果为符合 ; 如果 7. 1. 5. 3 测评实施内容均为 否 ,则本单元的测评结果为不符合 ;否则 ,本单元的测评结果为部分符合 。

7.1.6 制度执行过程记录
7.1.6.1 测评指标

应具有密码应用操作规程的相关执行记录并妥善保存(适用于第三级到第四级) 。

7.1.6.2 测评对象

密码应用安全管理制度类文档 、记录表单类文档 。

7.1.6.3 测评实施

核查是否具有密码应用操作规程执行过程中留存的相关执行记录文件 。

7.1.6.4 结果判定

如果 7. 1. 6. 3 测评实施内容均为是 ,则本单元的测评结果为符合 ; 如果 7. 1. 6. 3 测评实施内容均为 否 ,则本单元的测评结果为不符合 ;否则 ,本单元的测评结果为部分符合 。

7.2 人员管理

7.2. 1 密码相关法律法规和密码管理制度
7.2.1.1 测评指标

相关人员应了解并遵守密码相关法律法规 、密码应用安全管理制度(适用于第一级到第四级) 。

7.2.1.2 测评对象

信息系统相关人员(包括系统负责人 、安全主管 、密钥管理员 、密码安全审计员 、密码操作员等) 。

7.2.1.3 测评实施

核查信息系统相关人员是否熟悉并遵守密码相关法律法规和密码应用安全管理制度 。

7.2.1.4 结果判定

如果 7. 2. 1. 3 测评实施内容均为是 ,则本单元的测评结果为符合 ; 如果 7. 2. 1. 3 测评实施内容均为 否 ,则本单元的测评结果为不符合 ;否则 ,本单元的测评结果为部分符合 。

7.2.2 密码应用岗位责任制度
7.2.2.1 测评指标

本单元测评指标如下 。
a) 应建立密码应用岗位责任制度 , 明确各岗位在安全系统中的职责和权限(适用于第二级) 。
b) 应建立密码应用岗位责任制度 , 明确各岗位在安全系统中的职责和权限(适用于第三级) :

1)    根据密码应用 的 实 际 情 况 ,设 置 密 钥 管 理 员 、密 码 安 全 审 计 员 、密 码 操 作 员 等 关 键 安 全 岗位 ;
2)    对关键岗位建立多人共管机制 ;
3)    密钥管理 、密码安全审计 、密码操作人员职责互相制约互相监督 ,其中密码安全审计员岗 位不应与密钥管理员 、密码操作员兼任 ;
4)    相关设备与系统的管理和使用账号不应多人共用 。

c) 应建立密码应用岗位责任制度 , 明确各岗位在安全系统中的职责和权限(适用于第四级) :

4)    根据密码应用 的 实 际 情 况 ,设 置 密 钥 管 理 员 、密 码 安 全 审 计 员 、密 码 操 作 员 等 关 键 安 全 岗位 ;
5)    对关键岗位建立多人共管机制 ;
6)    密钥管理 、密码安全审计 、密码操作人员职责互相制约互相监督 ,其中密码安全审计员岗 位不应与密钥管理员 、密码操作员兼任 ;
7)    相关设备与系统的管理和使用账号不应多人共用 ;
8)    密钥管理员 、密码安全审计员 、密码操作员应由本机构的内部员工担任 ,并应在任前对其 进行背景调查 。
7.2.2.2 测评对象

密码应用安全管理制度类文档 、系统相关人员(包括系统负责人 、安全主管 、密钥管理员 、密码安全 审计员 、密码操作员等) 。

7.2.2.3 测评实施

本单元测评实施如下 。
a) 对于第二级的信息系统 ,核查是否建立了密码应用岗位责任制度 ,安全管理制度中是否明确了 各岗位在安全系统中的职责和权限 。
b) 对于第三级的信息系统 ,核查安全管理制度类文档是否根据密码应用的实际情况 ,设置密钥管 理员 、密码安全审计员 、密码操作员等关键安全岗位并定义岗位职责 ; 核查是否对关键岗位建 立多人共管机制 ,并确认密码安全审计员岗位人员是否不兼任密钥管理员 、密码操作员等关键 安全岗位 ;核查相关设备与系统的管理和使用账号是否有多人共用情况 ;离职人员及时删除其 账号 。
c) 对于第四级的信息系统 ,核查安全管理制度类文档是否根据密码应用的实际情况 ,设置密钥管 理员 、密码安全审计员 、密码操作员等关键安全岗位并定义岗位职责 ; 核查是否对关键岗位建 立多人共管机制 ,并确认密码安全审计员岗位人员是否不兼任密钥管理员 、密码操作员等关键 安全岗位 ;核查相关设备与系统的管理和使用账号是否有多人共用情况 ;离职人员及时删除其 账号 ;核查密钥管理员 、密码安全审计员和密码操作员是否由本机构的内部员工担任 ,是否具 有人员录用时对录用人身份 、背景 、专业资格和资质等进行审查的相关文档或记录等 。

7.2.2.4 结果判定

如果 7. 2. 2. 3相应等级的测评实施内容均为是 ,则本单元的测评结果为符合 ;如果 7. 2. 2. 3 相应等级 的测评实施内容均为否 ,则本单元的测评结果为不符合 ;否则 ,本单元的测评结果为部分符合 。

7.2.3 上岗人员培训制度
7.2.3.1 测评指标

应建立上岗人员培训制度 ,对于涉及密码的操作和管理的人员进行专门培训 ,确保其具备岗位所需 专业技能(适用于第二级到第四级) 。

7.2.3.2 测评对象

密码应用安全管理制度类文档和记录表单类文档 、系统相关人员(包括系统负责人 、安全主管 、密钥管理员 、密码安全审计员 、密码操作员等) 。

7.2.3.3 测评实施

核查安全教育和培训计划文档是否具有针对涉及密码的操作和管理的人员的培训计划 ;核查安全 教育和培训记录是否有密码培训人员 、密码培训内容 、密码培训结果等的描述 。

7.2.3.4 结果判定

如果 7. 2. 3. 3 的测评实施内容均为是 ,则本单元的测评结果为符合 ;如果 7. 2. 3. 3 测评实施内容均为 否 ,则本单元的测评结果为不符合 ;否则 ,本单元的测评结果为部分符合 。

7.2.4 安全岗位考核
7.2.4.1 测评指标

应定期对密码应用安全岗位人员进行考核(适用于第三级到第四级) 。

7.2.4.2 测评对象

密码应用安全管理制度类文档和记录表单类文档 、系统相关人员(包括系统负责人 、安全主管 、密钥 管理员 、密码安全审计员 、密码操作员等) 。

7.2.4.3 测评实施

核查安全管理制度文档是否包含具体的人员考核制度和惩戒措施 ;核查人员考核记录内容是否包 括安全意识 、密码操 作 管 理 技 能 及 相 关 法 律 法 规 ; 核 查 记 录 表 单 类 文 档 确 认 是 否 定 期 进 行 岗 位 人 员 考核 。

7.2.4.4 结果判定

如果 7. 2. 4. 3 测评实施内容均为是 ,则本单元的测评结果为符合 ; 如果 7. 2. 4. 3 测评实施内容均为 否 ,则本单元的测评结果为不符合 ;否则 ,本单元的测评结果为部分符合 。

7.2.5 关键岗位人员保密制度
7.2.5.1 测评指标

本单元测评指标如下 :
— 应及时终止离岗人员的所有密码应用相关的访问权限 、操作权限(适用于第一级) ;
— 应建立关键人员保密 制 度 和 调 离 制 度 , 签 订 保 密 合 同 , 承 担 保 密 义 务(适 用 于 第 二 级 到 第 四 级) 。

7.2.5.2 测评对象

密码应用安全管理制度类文档和记录表单类文档 、系统相关人员(包括系统负责人 、安全主管 、密钥 管理员 、密码安全审计员 、密码操作员等) 。

7.2.5.3 测评实施

本单元测评实施如下 :
a) 对于第一级的信息系统 ,核查人员离岗时是否具有及时终止其所有密码应用相关的访问权限 、操作权限的记录 ;
b) 对于第二级到第四级的信息系统 ,核查人员离岗的管理文档是否规定了关键岗位人员保密制 度和调离制度等 ;核查保密协议是否有保密范围 、保密责任 、违约责任 、协议的有效期限和责任 人的签字等内容 。

7.2.5.4 结果判定

如果 7. 2. 5. 3相应等级的测评实施内容均为是 ,则本单元的测评结果为符合 ;如果 7. 2. 5. 3 相应等级 的测评实施内容均为否 ,则本单元的测评结果为不符合 ;否则 ,本单元的测评结果为部分符合 。

7.3 建设运行

7.3. 1 密码应用方案

7.3.1.1 测评指标
应根据信息系统密码应用需求和依据密码相关标准 ,制定密码应用方案(适用于第一级到第四级) 。

7.3.1.2 测评对象

密码应用方案 。

7.3.1.3 测评实施

核查在信息系统规 划 阶 段 , 是 否 依 据 信 息 系 统 密 码 应 用 需 求 和 密 码 相 关 标 准 , 制 定 密 码 应 用 方 案 ,并核查方案是否通过评估 。

7.3.1.4 结果判定

如果 7. 3. 1. 3 测评实施内容均为是 ,则本单元的测评结果为符合 ; 如果 7. 3. 1. 3 测评实施内容均为 否 ,则本单元的测评结果为不符合 ;否则 ,本单元的测评结果为部分符合 。

7.3.2 密钥安全管理策略
7.3.2.1 测评指标

应根据密码应用方案 ,确定系统涉及的密钥种类 、体系及其生存周期环节 ,各环节密钥管理检查要 点参照附录 A(适用于第一级到第四级) 。

7.3.2.2 测评对象

密码应用方案 、密钥管理制度及策略类文档 、密钥管理过程记录 。

7.3.2.3 测评实施

本单元测评实施如下 。
a) 核查是否有通过评估的密码应用方案 ;核查密钥管理制度及策略类文档是否确定系统设计的 密钥种类 、体系及其生存周期环节 ,是否与密码应用方案一致 ; 如信息系统没有相应的密码应 用方案 ,参照附录 A核查密钥管理制度及策略类文档 。
b) 核查相关密钥管理过程记录 ,核查是否按照密钥管理制度及策略类文档完成密钥管理 。

7.3.2.4 结果判定

如果 7. 3. 2. 3 测评实施内容均为是 ,则本单元的测评结果为符合 ; 如果 7. 3. 2. 3 测评实施内容均为 否 ,则本单元的测评结果为不符合 ;否则 ,本单元的测评结果为部分符合 。

7.3.3 实施方案
7.3.3.1 测评指标

应按照应用方案实施建设(适用于第一级到第四级) 。

7.3.3.2 测评对象

密码实施方案 。

7.3.3.3 测评实施

核查是否有通过评估的密码应用方案 ,并核查是否按照密码应用方案 ,制定密码实施方案 。

7.3.3.4 结果判定

如果 7. 3. 3. 3 测评实施内容均为是 ,则本单元的测评结果为符合 ; 如果 7. 3. 3. 3 测评实施内容均为 否 ,则本单元的测评结果为不符合 ;否则 ,本单元的测评结果为部分符合 。

7.3.4 投入运行前的密码应用安全性评估
7.3.4.1 测评指标

本单元测评指标如下 :
— 投入运行前可进行密码应用安全性评估(适用于第一级) ;

— 投入运行前宜进行密码应用安全性评估(适用于第二级) ;
— 投入运行前应进行密码应用安全性评估 ,评估通过后系统方可正式运行(适用于第三级到第四 级) 。

7.3.4.2 测评对象

密码应用安全性评估报告 。

7.3.4.3 测评实施

本单元测评实施如下 。
a) 对于第一级到第二级的信息系统 ,核查信息系统投入运行前 ,是否组织进行密码应用安全性评 估 ;核查是否具有系统投入运行前编制的密码应用安全性评估报告 。
b) 对于第三级到第四级的信息系统 ,核查信息系统投入运行前 ,是否组织进行密码应用安全性评 估 ;核查是否具有系统投入运行前编制的密码应用安全性评估报告且系统通过评估 。

7.3.4.4 结果判定

如果 7. 3. 4. 3相应等级的测评实施内容均为是 ,则本单元的测评结果为符合 ;如果 7. 3. 4. 3 相应等级 的测评实施内容均为否 ,则本单元的测评结果为不符合 ;否则 ,本单元的测评结果为部分符合 。

7.3.5 投入运行后的密码应用安全性评估
7.3.5.1 测评指标

在运行过程中 ,应严格执行既定的密码应用安全管理制度 ,应定期开展密码应用安全性评估及攻防 对抗演习 ,并根据评估结果进行整改(适用于第三级到第四级) 。

7.3.5.2 测评对象

密码应用安全管理制度 、密码应用安全性评估报告 、攻防对抗演习报告 、整改文档 。

7.3.5.3 测评实施

核查信息系统投入运行后 ,信息系统责任方是否严格执行既定的密码应用安全管理制度 ,定期开展 密码应用安全性评估及攻防对抗演习 ,并具有相应的密码应用安全性评估报告及攻防对抗演习报告 ;核 查是否根据评估结果制定整改方案 ,并进行相应整改 。

7.3.5.4 结果判定

如果 7. 3. 5. 3 测评实施内容均为是 ,则本单元的测评结果为符合 ; 如果 7. 3. 5. 3 测评实施内容均为 否 ,则本单元的测评结果为不符合 ;否则 ,本单元的测评结果为部分符合 。

7.4 应急处置

7.4. 1 应急策略
7.4.1.1 测评指标

本单元测评指标如下 :
— 可根据密码产品提供的安全策略 , 由用户 自主处置密码应用安全事件(适用于第一级) ;
— 应制定密码应用应急策略 ,做好应急资源准备 , 当密码应用安全事件发生时 ,按照应急处置措 施结合实际情况及时处置(适用于第二级) ;
— 应制定密码应用应急策略 ,做好应急资源准备 , 当密码应用安全事件发生时 ,应立即启动应急 处置措施 ,结合实际情况及时处置(适用于第三级到第四级) 。

7.4.1.2 测评对象

密码应用应急策略 、应急处置记录类文档 。

7.4.1.3 测评实施

本单元测评实施如下 。
a) 对于第一级的信息系统 ,核查用户是否根据密码产品提供的安全策略处置密码应用安全事件 。
b) 对于第二级的信息系统 ,核查是否根据密码应用安全事件等级制定了相应的密码应用应急策 略并对应急策略进行评审 ,应急策略中是否明确了密码应用安全事件发生时的应急处理流程 及其他管理措施 ,并遵照执行 ;如发生过密码应用安全事件 ,核查是否具有相应的处置记录 。
c) 对于第三级到第四级的信息系统 ,核查是否根据密码应用安全事件等级制定了相应的密码应 用应急策略并对应急策略进行评审 ,应急策略中是否明确了密码应用安全事件发生时的应急 处理流程及其他管理措施 ,并遵照执行 ;如发生过密码应用安全事件 ,核查是否立即启动应急处置措施并具有相应的处置记录 。

7.4.1.4 结果判定

如果 7. 4. 1. 3相应等级的测评实施内容均为是 ,则本单元的测评结果为符合 ;如果 7. 4. 1. 3 相应等级 的测评实施内容均为否 ,则本单元的测评结果为不符合 ;否则 ,本单元的测评结果为部分符合 。

7.4.2 事件处置
7.4.2.1 测评指标

本单元测评指标如下 :
— 事件发生后 ,应及时向信息系统主管部门进行报告(适用于第三级) ;
— 事件发生后 ,应及时向信息系统主管部门及归属的密码管理部门进行报告(适用于第四级) 。

7.4.2.2 测评对象

密码应用应急策略类文档 、安全事件报告 。

7.4.2.3 测评实施

本单元测评实施如下 :
a) 对于第三级的信息系统 , 核查密码应用安全事件发生后 ,是否及时向信息系统主管部门进行 报告 ;
b) 对于第四级的信息系统 ,核查密码应用安全事件发生后 ,是否及时向信息系统主管部门及归属 的密码管理部门进行报告 。

7.4.2.4 结果判定

如果 7. 4. 2. 3相应等级的测评实施内容均为是 ,则本单元的测评结果为符合 ;如果 7. 4. 2. 3 相应等级 的测评实施内容均为否 ,则本单元的测评结果为不符合 ;否则 ,本单元的测评结果为部分符合 。

7.4.3 处置情况上报
7.4.3.1 测评指标

事件处置完成后 ,应及时向信息系统主管部门及归属的密码管理部门报告事件发生情况及处置情 况(适用于第三级到第四级) 。

7.4.3.2 测评对象

密码应用应急策略类文档 、安全事件发生情况及处置情况报告 。

7.4.3.3 测评实施

核查密码应用安全事件处置完成后 ,是否及时向信息系统主管部门及归属的密码管理部门报告事 件发生情况及处置情况 ,如事件处置完成后 , 向相关部门提交安全事件发生情况及处置情况报告 。

7.4.3.4 结果判定

如果 7. 4. 3. 3 测评实施内容均为是 ,则本单元的测评结果为符合 ; 如果 7. 4. 3. 3 测评实施内容均为 否 ,则本单元的测评结果为不符合 ;否则 ,本单元的测评结果为部分符合 。


原文地址:https://blog.csdn.net/qq_41901122/article/details/143664829

免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!