一文读懂 | 等保2.0安全通用要求审计实践案例(第3期)

哈喽！EVERYBODY !之前提到的，小编将围绕等保2.0的通用要求对审计实践案例做逐步介绍，内容包含：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心；安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理的审计要点和注意事项。上一期介绍的内容是：通用要求的安全物理环境和安全通信网络。那么本期，小编带给大家的是：安全管理中心、安全管理制度和安全管理机构，三部分的内容，请各位小主查收！安全管理中心安全管理中心审计要点和注意事项 系统管理核查：是否对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计；是否通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份、资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。审计管理核查：是否对审计管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作，并对这些操作进行审计；是否通过审计管理员对审计记录进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等。 安全管理核查：是否对安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全管理操作，并对这些操作进行审计；是否通过安全管理员对系统中的安全策略进行配置，包括安全参数的设置，主体、客体进行统一安全标记，对主体进行授权，配置可信验证策略等。集中管控核查：是否划分出单独的网络区域用于部署安全设备或安全组件，是否采用安全方式（如SSH、HTTPS、IPSec VPN等）对安全设备或安全组件进行管理，是否部署具备运行状态监测功能的系统或设备，能够对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测；各个设备是否配置并启用相关策略，将审计数据发送到独立于设备自身的外部集中安全审计系统中,是否部署统一的集中安全审计系统，统一收集和存储设备日志，并根据需要进行集中审计分析,审计记录的留存时间是否至少为6个月。测试验证：运行状态监测系统是否根据网络链路、安全设备、网络设备和服务器等的工作状态、依据设定的阀值（或默认阀值）实时报警安全管理中心审计高风险判定示例对可用性要求较高的系统，若没有任何监测措施，发生故障时难以及时对故障进行定位和处理。《网络安全法》要求“采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月”；因此，如相关设备日志留存不满足法律法规相关要求。安全管理制度安全管理制度审计要点和注意事项 安全策略调研访谈：单位负责人，制定网络安全工作的总体方针和安全策略；查文件：总体方针策略类文档，明确机构安全工作的总体目标、范围、原则和各类安全策略。管理制度调研访谈：单位负责人，制定网络安全管理制度和操作规程；查文件：查安全管理制度类文档，覆盖物理、网络、主机系统、数据、应用、建设和运维等管理内容；查各类操作规程类文档，日常管理操作；形成安全管理制度体系。制定和发布调研访谈：专人负责制定安全管理制度，统一格式和版本，并进行论证和审定，通过有效形式进行发布，注明发布范围；查文件：查指定部门和人员的工作职责，信息安全管理制度的文件模板或格式规定，论证和审定记录和文件发布、登记记录。 评审和修订调研访谈：安全管理制度评审主持部门，定期对制度文件的合理性和适用性进行审定；查文件：查对安全管理制度体系进行评审的管理文件，修订的安全管理制度修订或评审记录。安全管理制度审计高风险判定示例未建立任何与安全管理活动相关的管理制度或相关管理制度无法适用于当前被测系统的。安全管理机构安全管理机构审计要点和注意事项 岗位设置调研访谈：信息安全管理工作的职能部门，设立岗位和职责，建立信息安全领导小组；查文件：查部门、岗位职责文件，领导小组岗位职责文件，安全管理机构各部门和岗位职责、分工、技能要求文件。人员配备调研访谈：安全管理岗位人员的配备情况；查文件：查安全管理各岗位人员信息表，关键岗位管理人员配备2人或2人以上共同管理。 授权和审批调研访谈：对重要活动进行审批，审批部门是何部门，批准人是何人，审批范围包括哪些，定期审查审批；查文件：查各部门和岗位的职责文档，逐级审批制度及审批记录，查审查审批制度。 沟通和合作调研访谈：内部沟通机制，兄弟单位合作沟通机制，供应商合作沟通机制，聘请安全专家；查文件：查内部沟通、合作机制程序或规程，查外联单位联系列表，查安全顾问名单、证明文件，相关文档或记录。审核和检查调研访谈：定期安全检查的程序、实施情况及检查周期，对信息系统全面安全检查；查文件：安全检查的程序文件和记录，全面安全检查记录，安全检查表，安全检查报告和结果通告记录，全面安全检查报告等。安全管理机构审计高风险判定示例未成立指导和管理信息安全工作的委员会或领导小组，或其最高领导不是由单位主管领导委任或授权。大家都在看 一文读懂丨等保2.0之网络架构管理实践一文读懂|等保2.0安全通用要求审计实践案例(第1期)一文读懂|等保2.0安全通用要求审计实践案例(第2期) 原文始发于微信公众号（e安在线）：一文读懂 | 等保2.0安全通用要求审计实践案例(第3期)