網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0時(shí)代,于2019年12月1日正式開(kāi)始。
各企業(yè)需透徹了解等保合規(guī)要求,在等保標(biāo)準(zhǔn)的基礎(chǔ)上構(gòu)建覆蓋技術(shù)和管理的綜合防御體系,提升網(wǎng)絡(luò)安全風(fēng)險(xiǎn)治理意識(shí),做好安全防護(hù)基礎(chǔ)工作,加強(qiáng)網(wǎng)絡(luò)安全防御和檢測(cè)能力,爭(zhēng)取順利通過(guò)等保2.0的測(cè)評(píng)“大考”。
和大家聊聊安全管理部分的高風(fēng)險(xiǎn)項(xiàng)。所謂高風(fēng)險(xiǎn)項(xiàng),指等保測(cè)評(píng)師可以一票否決的整改項(xiàng),如果不改,無(wú)論你多少分都會(huì)被定為不合格。
今年的7月14日相關(guān)部門(mén)發(fā)布了《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引》,是依據(jù)GB/T 22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》有關(guān)條款,對(duì)測(cè)評(píng)過(guò)程中所發(fā)現(xiàn)的安全性問(wèn)題進(jìn)行風(fēng)險(xiǎn)判斷的指引性文件。指引內(nèi)容包括對(duì)應(yīng)要求、判例內(nèi)容、適用范圍、補(bǔ)償措施、整改建議等要素。
PS:需要指出的是,本指引無(wú)法涵蓋所有高風(fēng)險(xiǎn)案例,測(cè)評(píng)機(jī)構(gòu)須根據(jù)安全問(wèn)題所實(shí)際面臨的風(fēng)險(xiǎn)做出客觀判斷。本指引適用于網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)活動(dòng)、安全檢查等工作。信息系統(tǒng)建設(shè)單位亦可參考本指引描述的案例編制系統(tǒng)安全需求。
9、安全管理制度
9.1 管理制度
9.1.1 管理制度建設(shè):
對(duì)應(yīng)要求:應(yīng)對(duì)安全管理活動(dòng)中的各類(lèi)管理內(nèi)容建立安全管理制度。
判例內(nèi)容:未建立任何與安全管理活動(dòng)相關(guān)的管理制度或相關(guān)管理制度無(wú)法適用于當(dāng)前被測(cè)系統(tǒng)的,可判定為高風(fēng)險(xiǎn)。
適用范圍:所有系統(tǒng)。
滿足條件(任意條件):
1、未建立任何與安全管理活動(dòng)相關(guān)的管理制度。
2、相關(guān)管理制度無(wú)法適用于當(dāng)前被測(cè)系統(tǒng)。
補(bǔ)償措施:無(wú)。
整改建議:建議按照等級(jí)保護(hù)的相關(guān)要求,建立包括總體方針、安全策略在內(nèi)的各類(lèi)與安全管理活動(dòng)相關(guān)的管理制度。
10、安全管理機(jī)構(gòu)
10.1 崗位設(shè)置
10.1.1 網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組建立:
對(duì)應(yīng)要求:應(yīng)成立指導(dǎo)和管理網(wǎng)絡(luò)安全工作的委員會(huì)或領(lǐng)導(dǎo)小組,其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)擔(dān)任或授權(quán)。
判例內(nèi)容:未成立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組,或其最高領(lǐng)導(dǎo)不是由單位主管領(lǐng)導(dǎo)委任或授權(quán),可判定為高風(fēng)險(xiǎn)。
適用范圍:3級(jí)及以上系統(tǒng)。
滿足條件(同時(shí)):
1、3級(jí)及以上系統(tǒng);
2、未成立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組,或領(lǐng)導(dǎo)小組最高領(lǐng)導(dǎo)不是由單位主管領(lǐng)導(dǎo)委任或授權(quán)。
補(bǔ)償措施:無(wú)。
整改建議:建議成立指導(dǎo)和管理網(wǎng)絡(luò)安全工作的委員會(huì)或領(lǐng)導(dǎo)小組,其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)擔(dān)任或授權(quán)。
11、安全建設(shè)管理
11.1 產(chǎn)品采購(gòu)和使用
11.1.1 網(wǎng)絡(luò)安全產(chǎn)品采購(gòu)和使用:
對(duì)應(yīng)要求:應(yīng)確保網(wǎng)絡(luò)安全產(chǎn)品采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定。
判例內(nèi)容:網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品的使用違反國(guó)家有關(guān)規(guī)定,可判定為高風(fēng)險(xiǎn)。
適用范圍:所有系統(tǒng)。
滿足條件:網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品的使用違反國(guó)家有關(guān)規(guī)定。
補(bǔ)償措施:無(wú)。
整改建議:建議依據(jù)國(guó)家有關(guān)規(guī)定,采購(gòu)和使用網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品。(《網(wǎng)絡(luò)安全法》第二十三條規(guī)定網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品應(yīng)當(dāng)按照相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求,由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測(cè)符合要求后,方可銷(xiāo)售或者提供。國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品目錄,并推動(dòng)安全認(rèn)證和安全檢測(cè)結(jié)果互認(rèn),避免重復(fù)認(rèn)證、檢測(cè))。
11.1.2 密碼產(chǎn)品與服務(wù)采購(gòu)和使用:
對(duì)應(yīng)要求:應(yīng)確保密碼產(chǎn)品與服務(wù)的采購(gòu)和使用符合國(guó)家密碼管理主管部門(mén)的要求。
判例內(nèi)容:密碼產(chǎn)品與服務(wù)的使用違反國(guó)家密碼管理主管部門(mén)的要求,可判定為高風(fēng)險(xiǎn)。
適用范圍:所有系統(tǒng)。
滿足條件:密碼產(chǎn)品與服務(wù)的使用違反國(guó)家密碼管理主管部門(mén)的要求。
補(bǔ)償措施:無(wú)。
整改建議:建議依據(jù)國(guó)家密碼管理主管部門(mén)的要求,使用密碼產(chǎn)品與服務(wù)。(如《商用密碼產(chǎn)品使用管理規(guī)定》等)。
11.2 外包軟件開(kāi)發(fā)
11.2.1 外包開(kāi)發(fā)代碼審計(jì):
對(duì)應(yīng)要求:應(yīng)保證開(kāi)發(fā)單位提供軟件源代碼,并審查軟件中可能存在的后門(mén)和隱蔽信道。
判例內(nèi)容:對(duì)于涉及金融、民生、基礎(chǔ)設(shè)施等重要行業(yè)的業(yè)務(wù)核心系統(tǒng)由外包公司開(kāi)發(fā),上線前未對(duì)外包公司開(kāi)發(fā)的系統(tǒng)進(jìn)行源代碼審查,外包商也無(wú)法提供相關(guān)安全檢測(cè)證明,可判定為高風(fēng)險(xiǎn)。
適用范圍:涉及金融、民生、基礎(chǔ)設(shè)施等重要核心領(lǐng)域的3級(jí)及以上系統(tǒng)。
滿足條件(同時(shí)):
1、3級(jí)及以上系統(tǒng);
2、涉及金融、民生、基礎(chǔ)設(shè)施等重要行業(yè)的業(yè)務(wù)核心系統(tǒng);
3、被測(cè)單位為對(duì)外包公司開(kāi)發(fā)的系統(tǒng)進(jìn)行源代碼安全審查;
4、外包公司也無(wú)法提供第三方安全檢測(cè)證明。
補(bǔ)償措施:
1、開(kāi)發(fā)公司可提供國(guó)家認(rèn)可的第三方機(jī)構(gòu)出具的源代碼安全審查報(bào)告/證明,可視為等效措施,判符合。
2、可根據(jù)系統(tǒng)的用途以及外包開(kāi)發(fā)公司的開(kāi)發(fā)功能的重要性,根據(jù)實(shí)際情況,酌情提高/減低風(fēng)險(xiǎn)等級(jí)。
3、如第三方可提供軟件安全性測(cè)試證明(非源碼審核),可視實(shí)際情況,酌情減低風(fēng)險(xiǎn)等級(jí)。
4、如被測(cè)方通過(guò)合同等方式與外包開(kāi)發(fā)公司明確安全責(zé)任或采取相關(guān)技術(shù)手段進(jìn)行防控的,可視實(shí)際情況,酌情降低風(fēng)險(xiǎn)等級(jí)。
5、如被測(cè)系統(tǒng)建成時(shí)間較長(zhǎng),但定期對(duì)系統(tǒng)進(jìn)行安全檢測(cè),當(dāng)前管理制度中明確規(guī)定外包開(kāi)發(fā)代碼審計(jì)的,可根據(jù)實(shí)際情況,酌情減低風(fēng)險(xiǎn)等級(jí)。
整改建議:建議對(duì)外包公司開(kāi)發(fā)的核心系統(tǒng)進(jìn)行源代碼審查,檢查是否存在后門(mén)和隱蔽信道。如沒(méi)有技術(shù)手段進(jìn)行源碼審查的,可聘請(qǐng)第三方專(zhuān)業(yè)機(jī)構(gòu)對(duì)相關(guān)代碼進(jìn)行安全檢測(cè)。
11.3 測(cè)試驗(yàn)收
11.3.1 上線前安全測(cè)試:
對(duì)應(yīng)要求:應(yīng)進(jìn)行上線前的安全性測(cè)試,并出具安全測(cè)試報(bào)告,安全測(cè)試報(bào)告應(yīng)包含密碼應(yīng)用安全性測(cè)試相關(guān)內(nèi)容。
判例內(nèi)容:系統(tǒng)上線前未通過(guò)安全性測(cè)試,或未對(duì)相關(guān)高風(fēng)險(xiǎn)問(wèn)題進(jìn)行安全評(píng)估仍舊“帶病”上線的,可判定為高風(fēng)險(xiǎn)。安全檢查內(nèi)容可以包括但不限于掃描滲透測(cè)試、安全功能驗(yàn)證、源代碼安全審核。
適用范圍:3級(jí)及以上系統(tǒng)。
滿足條件(同時(shí)):
1、3級(jí)及以上系統(tǒng);
2、系統(tǒng)上線前未進(jìn)行任何安全性測(cè)試,或未對(duì)相關(guān)高風(fēng)險(xiǎn)問(wèn)題進(jìn)行安全評(píng)估仍舊“帶病”上線。
補(bǔ)償措施:
1、如被測(cè)系統(tǒng)建成時(shí)間較長(zhǎng),定期對(duì)系統(tǒng)進(jìn)行安全檢測(cè),管理制度中相關(guān)的上線前安全測(cè)試要求,可根據(jù)實(shí)際情況,酌情減低風(fēng)險(xiǎn)等級(jí)。
2、如系統(tǒng)安全性方面是按照技術(shù)協(xié)議中的約定在開(kāi)發(fā)過(guò)程中進(jìn)行控制,并能提供相關(guān)控制的證明,可根據(jù)實(shí)際情況,酌情減低風(fēng)險(xiǎn)等級(jí)。
3、可視系統(tǒng)的重要程度,被測(cè)單位的技術(shù)實(shí)力,根據(jù)自檢和第三方檢測(cè)的情況,酌情提高/減低風(fēng)險(xiǎn)等級(jí)。
整改建議:建議在新系統(tǒng)上線前,對(duì)系統(tǒng)進(jìn)行安全性評(píng)估,及時(shí)修補(bǔ)評(píng)估過(guò)程中發(fā)現(xiàn)的問(wèn)題,確保系統(tǒng)不“帶病”上線。
12、安全運(yùn)維管理
12.1 漏洞和風(fēng)險(xiǎn)管理
12.1.1 安全漏洞和隱患的識(shí)別與修補(bǔ):
對(duì)應(yīng)要求:應(yīng)采取必要的措施識(shí)別安全漏洞和隱患,對(duì)發(fā)現(xiàn)的安全漏洞和隱患及時(shí)進(jìn)行修補(bǔ)或評(píng)估可能的影響后進(jìn)行修補(bǔ)。
判例內(nèi)容:未對(duì)發(fā)現(xiàn)的安全漏洞和隱患及時(shí)修補(bǔ),會(huì)導(dǎo)致系統(tǒng)存在較大的安全隱患,黑客有可能利用安全漏洞對(duì)系統(tǒng)實(shí)施惡意攻擊,如果安全漏洞和隱患能夠構(gòu)成高危風(fēng)險(xiǎn),可判定為高風(fēng)險(xiǎn)。
適用范圍:3級(jí)及以上系統(tǒng)。
滿足條件(同時(shí)):
1、3級(jí)及以上系統(tǒng);
2、通過(guò)漏洞掃描,發(fā)現(xiàn)存在可被利用的高風(fēng)險(xiǎn)漏洞;
3、未對(duì)相關(guān)漏洞進(jìn)行評(píng)估或修補(bǔ),對(duì)系統(tǒng)安全構(gòu)成重大隱患。
補(bǔ)償措施:如果安全漏洞修補(bǔ)可能會(huì)對(duì)系統(tǒng)的正常運(yùn)行造成沖突,應(yīng)對(duì)發(fā)現(xiàn)的安全漏洞和隱患進(jìn)行評(píng)估,分析被利用的可能性,判斷安全風(fēng)險(xiǎn)的等級(jí),在可接受的范圍內(nèi)進(jìn)行殘余風(fēng)險(xiǎn)評(píng)估,明確風(fēng)險(xiǎn)等級(jí),若無(wú)高危風(fēng)險(xiǎn),可酌情降低風(fēng)險(xiǎn)。
整改建議:建議對(duì)發(fā)現(xiàn)的安全漏洞和隱患進(jìn)行及時(shí)修補(bǔ)評(píng)估,對(duì)必須修補(bǔ)的安全漏洞和隱患進(jìn)行加固測(cè)試,測(cè)試無(wú)誤后,備份系統(tǒng)數(shù)據(jù),再?gòu)纳a(chǎn)環(huán)境進(jìn)行修補(bǔ),對(duì)于剩余安全漏洞和隱患進(jìn)行殘余風(fēng)險(xiǎn)分析,明確安全風(fēng)險(xiǎn)整改原則。
12.2 網(wǎng)絡(luò)和系統(tǒng)安全管理
12.2.1 重要運(yùn)維操作變更管理:
對(duì)應(yīng)要求:應(yīng)嚴(yán)格控制變更性運(yùn)維,經(jīng)過(guò)審批后才可改變連接、安裝系統(tǒng)組件或調(diào)整配置參數(shù),操作過(guò)程中應(yīng)保留不可更改的審計(jì)日志,操作結(jié)束后應(yīng)同步更新配置信息庫(kù)。
判例內(nèi)容:未對(duì)運(yùn)維過(guò)程中改變連接、安裝系統(tǒng)組件或調(diào)整配置參數(shù)進(jìn)行變更審批,且未進(jìn)行變更性測(cè)試,一旦安裝系統(tǒng)組件或調(diào)整配置參數(shù)對(duì)系統(tǒng)造成影響,有可能導(dǎo)致系統(tǒng)無(wú)法正常訪問(wèn),出現(xiàn)異常,可判定為高風(fēng)險(xiǎn)。
適用范圍:3級(jí)及以上系統(tǒng)。
滿足條件(同時(shí)):
1、3級(jí)及以上系統(tǒng);
2、未建立變更管理制度,對(duì)于重大變更性運(yùn)維過(guò)程無(wú)審批流程;
3、變更過(guò)程未保留相關(guān)操作日志及備份措施,出現(xiàn)問(wèn)題不發(fā)進(jìn)行恢復(fù)還原。
補(bǔ)償措施:無(wú)。
整改建議:建議對(duì)需要作出變更性運(yùn)維的動(dòng)作進(jìn)行審批,并對(duì)變更內(nèi)容進(jìn)行測(cè)試,在測(cè)試無(wú)誤后,備份系統(tǒng)數(shù)據(jù)和參數(shù)配置,再?gòu)纳a(chǎn)環(huán)境進(jìn)行變更,并明確變更流程以及回退方案,變更完成后進(jìn)行配置信息庫(kù)更新。
12.2.2 運(yùn)維工具的管控:
對(duì)應(yīng)要求:應(yīng)嚴(yán)格控制運(yùn)維工具的使用,經(jīng)過(guò)審批后才可接入進(jìn)行操作,操作過(guò)程中應(yīng)保留不可更改的審計(jì)日志,操作結(jié)束后應(yīng)刪除工具中的敏感數(shù)據(jù)。
判例內(nèi)容:未對(duì)各類(lèi)運(yùn)維工具(特別是未商業(yè)化的運(yùn)維工具)進(jìn)行有效性檢查,未對(duì)運(yùn)維工具的接入進(jìn)行嚴(yán)格的控制和審批,運(yùn)維工具中可能存在漏洞或后門(mén),一旦被黑客利用有可能造成數(shù)據(jù)泄漏,可判定為高風(fēng)險(xiǎn)。
適用范圍:3級(jí)及以上系統(tǒng)。
滿足條件(同時(shí)):
1、3級(jí)及以上系統(tǒng);
2、未對(duì)各類(lèi)運(yùn)維工具(特別是未商業(yè)化的運(yùn)維工具)進(jìn)行有效性檢查,如病毒、漏洞掃描等;對(duì)運(yùn)維工具的接入也未進(jìn)行嚴(yán)格的控制和審批;操作結(jié)束后也未要求刪除可能臨時(shí)存放的敏感數(shù)據(jù)。
補(bǔ)償措施:
1、如使用官方正版商用化工具,或自行開(kāi)發(fā)的,安全可供的運(yùn)維工具,可根據(jù)實(shí)際情況,酌情降低風(fēng)險(xiǎn)等級(jí)。
2、如對(duì)于運(yùn)維工具的接入有嚴(yán)格的控制措施,且有審計(jì)系統(tǒng)對(duì)相關(guān)運(yùn)維操作進(jìn)行審計(jì),可根據(jù)實(shí)際情況,酌情降低風(fēng)險(xiǎn)等級(jí)。
整改建議:如果必須使用運(yùn)維工具,建議使用商業(yè)化的運(yùn)維工具,嚴(yán)禁運(yùn)維人員私自下載第三方未商業(yè)化的運(yùn)維工具。
12.2.3 運(yùn)維外聯(lián)的管控:
對(duì)應(yīng)要求:應(yīng)保證所有與外部的連接均得到授權(quán)和批準(zhǔn),應(yīng)定期檢查違反規(guī)定無(wú)線上網(wǎng)及其他違反網(wǎng)絡(luò)安全策略的行為。
判例內(nèi)容:制度上服務(wù)器及終端與外部連接的授權(quán)和批準(zhǔn)制度,也未定期對(duì)相關(guān)違反網(wǎng)絡(luò)安全策略的行為進(jìn)行檢查,存在違規(guī)外聯(lián)的安全隱患,一旦內(nèi)網(wǎng)服務(wù)器或終端違規(guī)外聯(lián),可能造成涉密信息(商密信息)的泄露,同時(shí)增加了感染病毒的可能性,可判定為高風(fēng)險(xiǎn)。
適用范圍:3級(jí)及以上系統(tǒng)。
滿足條件(同時(shí)):
1、3級(jí)及以上系統(tǒng);
2、管理制度上無(wú)關(guān)于外部連接的授權(quán)和審批流程,也未定期進(jìn)行相關(guān)的巡檢;
3、無(wú)技術(shù)手段檢查違規(guī)上網(wǎng)及其他網(wǎng)絡(luò)安全策略的行為。
補(bǔ)償措施:在網(wǎng)絡(luò)部署了相關(guān)的準(zhǔn)入控制設(shè)備,可有效控制、檢查、阻斷違規(guī)無(wú)線上網(wǎng)及其他違反網(wǎng)絡(luò)安全策略行為的情況下,如未建立相關(guān)制度,未定期進(jìn)行巡檢,可酌情降低風(fēng)險(xiǎn)等級(jí)。
整改建議:建議制度上明確所有與外部連接的授權(quán)和批準(zhǔn)制度,并定期對(duì)相關(guān)違反行為進(jìn)行檢查,可采取終端管理系統(tǒng)實(shí)現(xiàn)違規(guī)外聯(lián)和違規(guī)接入,設(shè)置合理的安全策略,在出現(xiàn)違規(guī)外聯(lián)和違規(guī)接入時(shí)能第一時(shí)間進(jìn)行檢測(cè)和阻斷。
12.3 惡意代碼防范管理
12.3.1 外來(lái)接入設(shè)備惡意代碼檢查:
對(duì)應(yīng)要求:應(yīng)提高所有用戶的防惡意代碼意識(shí),對(duì)外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接入系統(tǒng)前進(jìn)行惡意代碼檢查等。
判例內(nèi)容:外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備本身可能已被感染病毒或木馬,未對(duì)其接入系統(tǒng)前進(jìn)行惡意代碼檢查,可能導(dǎo)致系統(tǒng)感染病毒或木馬,對(duì)信息系統(tǒng)極大的危害,可判定為高風(fēng)險(xiǎn)。
適用范圍:所有系統(tǒng)。
滿足條件(同時(shí)):
1、未在管理制度或安全培訓(xùn)手冊(cè)中明確外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接入安全操作流程;
2、外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接入系統(tǒng)前未進(jìn)行惡意代碼檢查。
補(bǔ)償措施:無(wú)。
整改建議:建議制定外來(lái)接入設(shè)備檢查制度,對(duì)任何外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接入系統(tǒng)前必須經(jīng)過(guò)惡意代碼檢查,再檢查無(wú)誤后,經(jīng)過(guò)審批,設(shè)備方可接入系統(tǒng)。
12.4 變更管理
12.4.1需求變更管理:
對(duì)應(yīng)要求:應(yīng)明確變更需求,變更前根據(jù)變更需求制定變更方案,變更方案經(jīng)過(guò)評(píng)審、審批后方可實(shí)施。
判例內(nèi)容:未明確變更管理流程,未對(duì)需要變更的內(nèi)容進(jìn)行分析與論證,未制定詳細(xì)的變更方案,無(wú)法明確變更的需求與必要性;變更的同時(shí)也伴隨著可能導(dǎo)致系統(tǒng)無(wú)法正常訪問(wèn)的風(fēng)險(xiǎn),可判定為高風(fēng)險(xiǎn)。
適用范圍:3級(jí)及以上系統(tǒng)。
滿足條件(同時(shí)):
1、3級(jí)及以上系統(tǒng);
2、無(wú)變更管理制度,或變更管理制度中無(wú)變更管理流程、變更內(nèi)容分析與論證、變更方案審批流程等相關(guān)內(nèi)容。
補(bǔ)償措施:無(wú)。
整改建議:建議系統(tǒng)的任何變更均需要管理流程,必須組織相關(guān)人員(業(yè)務(wù)部門(mén)人員與系統(tǒng)運(yùn)維人員等)進(jìn)行分析與論證,在確定必須變更后,制定詳細(xì)的變更方案,在經(jīng)過(guò)審批后,先對(duì)系統(tǒng)進(jìn)行備份,然后在實(shí)施變更。
12.5 備份與恢復(fù)管理
12.5.1 數(shù)據(jù)備份策略:
對(duì)應(yīng)要求:應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對(duì)系統(tǒng)運(yùn)行的影響,制定數(shù)據(jù)的備份策略和恢復(fù)策略、備份程序和恢復(fù)程序等。
判例內(nèi)容:未明確數(shù)據(jù)備份策略和數(shù)據(jù)恢復(fù)策略,以及備份程序和恢復(fù)程序,無(wú)法實(shí)現(xiàn)重要數(shù)據(jù)的定期備份與恢復(fù)性測(cè)試,一旦系統(tǒng)出現(xiàn)故障,需要恢復(fù)數(shù)據(jù),存在無(wú)數(shù)據(jù)可恢復(fù)的情況,或者備份的數(shù)據(jù)未經(jīng)過(guò)恢復(fù)性測(cè)試,無(wú)法確保備份的數(shù)據(jù)可用,可判定為高危風(fēng)險(xiǎn)。此外,如有相關(guān)制度,但未實(shí)施,視為制度內(nèi)容未落實(shí),可判定為高風(fēng)險(xiǎn)。
適用范圍:3級(jí)及以上系統(tǒng)。
滿足條件(同時(shí)):
1、3級(jí)及以上系統(tǒng);
2、無(wú)備份與恢復(fù)等相關(guān)的安全管理制度,或未按照相關(guān)策略落實(shí)數(shù)據(jù)備份。
補(bǔ)償措施:
1、未建立相關(guān)數(shù)據(jù)備份制度,但若已實(shí)施數(shù)據(jù)備份措施,且備份機(jī)制符合業(yè)務(wù)需要,可酌情降低風(fēng)險(xiǎn)等級(jí)。
2、如系統(tǒng)還未正式上線,則可檢查是否制定了相關(guān)的管理制度,目前的技術(shù)措施(如環(huán)境、存儲(chǔ)等)是否可以滿足制度中規(guī)定的備份恢復(fù)策略要求,可根據(jù)實(shí)際情況判斷風(fēng)險(xiǎn)等級(jí)。
整改建議:建議制定備份與恢復(fù)相關(guān)的制度,明確數(shù)據(jù)備份策略和數(shù)據(jù)恢復(fù)策略,以及備份程序和恢復(fù)程序,實(shí)現(xiàn)重要數(shù)據(jù)的定期備份與恢復(fù)性測(cè)試,保證備份數(shù)據(jù)的高可用性與可恢復(fù)性。
12.6 應(yīng)急預(yù)案管理
12.6.1 應(yīng)急預(yù)案制定:
對(duì)應(yīng)要求:應(yīng)制定重要事件的應(yīng)急預(yù)案,包括應(yīng)急處理流程、系統(tǒng)恢復(fù)流程等內(nèi)容。
判例內(nèi)容:未制定重要事件的應(yīng)急預(yù)案,未明確重要事件的應(yīng)急處理流程、系統(tǒng)恢復(fù)流程等內(nèi)容,一旦出現(xiàn)應(yīng)急事件,無(wú)法合理有序的進(jìn)行應(yīng)急事件處置過(guò)程,造成應(yīng)急響應(yīng)時(shí)間增長(zhǎng),導(dǎo)致系統(tǒng)不能在最短的事件內(nèi)進(jìn)行恢復(fù),可判定為高風(fēng)險(xiǎn)。
適用范圍:所有系統(tǒng)。
滿足條件:未制定重要事件的應(yīng)急預(yù)案。
補(bǔ)償措施:如制定了應(yīng)急預(yù)演,但內(nèi)容不全,可根據(jù)實(shí)際情況,酌情降低風(fēng)險(xiǎn)等級(jí)。
整改建議:建議制定重要事件的應(yīng)急預(yù)案,明確重要事件的應(yīng)急處理流程、系統(tǒng)恢復(fù)流程等內(nèi)容,并對(duì)應(yīng)急預(yù)案進(jìn)行演練。
12.6.2 應(yīng)急預(yù)案培訓(xùn)演練:
對(duì)應(yīng)要求:應(yīng)定期對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn),并進(jìn)行應(yīng)急預(yù)案的演練。
判例內(nèi)容:未定期對(duì)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn),未根據(jù)不同的應(yīng)急預(yù)案進(jìn)行應(yīng)急演練,無(wú)法提供應(yīng)急預(yù)案培訓(xùn)和演練記錄,可判定為高風(fēng)險(xiǎn)。
適用范圍:3級(jí)及以上系統(tǒng)。
滿足條件:
1、3級(jí)及以上系統(tǒng);
2、未定期對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn);
3、未進(jìn)行過(guò)應(yīng)急預(yù)案的演練。
補(bǔ)償措施:如系統(tǒng)還未正式上線,可根據(jù)培訓(xùn)演練制度及相關(guān)培訓(xùn)計(jì)劃,根據(jù)實(shí)際情況判斷風(fēng)險(xiǎn)等級(jí)。
整改建議:建議定期對(duì)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)與演練,并保留應(yīng)急預(yù)案培訓(xùn)和演練記錄,使參與應(yīng)急的人員熟練掌握應(yīng)急的整個(gè)過(guò)程。
圖片來(lái)自e安教育文章,版權(quán)歸原作者
“三分技術(shù),七分管理”一直是網(wǎng)絡(luò)安全領(lǐng)域的至理名言。等級(jí)保護(hù)2.0標(biāo)準(zhǔn)中,以三級(jí)要求為例,技術(shù)部分要求共計(jì)84項(xiàng),管理部分要求共計(jì)127項(xiàng)(占比達(dá)60%),所以安全管理一定要重視起來(lái)!!!
