等保测评--管理人员安全测评
信息安全分级管理方案是一种将信息及其载体按照重要程度划分为不同级别的防护机制,在全球范围内广泛实施的网络安全防护措施。这种防护策略不仅在中国得到推广,在美国及众多其他国家也同样被应用与信息安全领域的工作实践中。在中国的具体实施中,“广义上的信息安全分级管理”主要涉及相关标准体系制定与更新、产品认证流程优化以及系统安全架构设计等多个方面,并涵盖相关信息资料的安全保障工作;而狭义意义上的“信息系统安全分级保护”则特指针对计算机信息系统本身的安全防护策略设计与实施。
安全管理人员(HRS)
人员录用
L3-HRS1-01
L3-HRS1-02
L3-HRS1-03
人员离岗
L3-HRS1-04
L3-HRS1-05
安全意识教育和培训
L3-HRS1-06
L3-HRS1-07
L3-HRS1-08
外部人员访问管理
L3-HRS1-09
L3-HRS1-10
L3-HRS1-11
L3-HRS1-12
安全管理人员(HRS)
人员录用
L3-HRS1-01
应指定或授权专门的部门或人员负责人员录用
访谈信息/网络安全主管是否由专门的部门或人员负责人员录用工作
1、具有相关的职能部门专门负责人员录用工作
2、具有明确规定负责人员录用工作的部门或人员的制度
L3-HRS1-02
审查被录用人员的身份、安全背景以及专业资格或资质等,并对其具备的技术技能进行考核
核查人员的安全管理文档是否明确了录用人员所需的基本条件(包括教育背景要求、专业技术人员的技术能力水平以及管理人员所需的安全管理知识等)。
审核在人员录用过程中对录用人身份、北京、专业资格或资质等事项进行审查的相关文件或档案是否存在以及这些文件或档案中是否包含审查记录的内容。
核查人员在录用过程中所采用的技能考核文档或相关记录材料是否存在用于记载考核内容及评估结果的情况
1、人员录用管理文档说明了不同岗位录用人员的条件
2、具有人员录用的审查记录
3、具有人员录用的技能考核记录
L3-HRS1-03
应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议
核对招聘录用人员的保密协议签署情况,需确保所有应聘者均已仔细阅读并明确了解以下内容:涉及公司机密的信息,其保密义务,潜在违反义务及其违约责任,协议的有效期以及应聘者签名或盖章等要素
审核岗位安全协议文件,并确认关键岗位配备了岗位安全协议,请明确岗位安全管理责任及具体要求,并记录相关责任人签字确认内容。
由相关方签署的保密协议将明确规定保密范围、保密义务、违约条款以及有效期限和签署人相关信息等内容
由重要岗位的关键人员签署的岗位责任协议明确了岗位的安全责任、协议的有效期限以及责任人签名的具体条款
人员离岗
L3-HRS1-04
当需立即取消离岗人员使用机构资源时,请收回各类证件(如身份证、工作证等)、钥匙、象征标志(如徽章)等以及机构配置的软硬件设施。
约谈人事负责人以核实其是否妥善终止了离岗人员的所有访问权限,并已取回其所有身份证件、钥匙及徽章等软硬件设备。
请核实负责人员是否存在离职登记,并根据离职人员的信息对其访问权限予以取消;同时归还身份证及软硬件设备,并妥善处理相应的登录信息
具有离岗人员交还各类资产的登记记录
L3-HRS1-05
应办理严格的调离手续,并承诺调离后的保密义务后方可离开
1)核查人员离岗的管理文档是否规定了人员调离手续和离岗要求
2)核查是否具有安装离岗程序办理调离手续的记录
3)核查保密承诺文档是否具有调离人员的签字
1、具有相关规范人员调离手续要求的管理文档
2、具有相关人员调离手续的记录
3、具有调离人员签字的保密承诺文档
安全意识教育和培训
L3-HRS1-06
开展针对不同群体的安全意识教育与技能培训工作,并明确相应的安全职责与处罚措施
请与安全主管交流,了解各类人员的安全知识普及、工作技能提升以及专业技能培训的情况。
审查网络安全教育和技能培训文档是否详细说明了培训周期设置、采用的教学方法、涵盖的知识点以及考核评估标准等关键信息
核查安全责任和惩戒措施管理文档中是否存在详细的安全责任和惩戒措施描述
1、具有相关文档明确要求对人员进行安全意识教育和岗位技能培训
这份网络安全教育的技能培训文档应包含详细的培训计划安排,并对具体的课程设置进行系统规划。
3、具有相关文档明确安全责任和惩戒措施
L3-HRS1-07
应根据不同岗位需求编制专项培训方案,并对安全知识、操作规范等进行系统性训练
访谈安全主管,请确认贵方是否依据专项方案对各职岗人员开展系统性安全教育与技能培训?
该文档需审查其是否明确规定了开展安全教育及培训的要求
审查是否存在不同部门的培训课程安排,并核实课程内容是否涵盖了网络安全基础知识以及各岗位的操作规范等
4)核查安全教育和培训记录是否由培训人员、培训内容、培训结果等的描述
1、具有安全教育和培训管理文档,明确规定应进行安全教育和培训
2、具有针对不同岗位人员的培训计划
3、具有相关培训记录
L3-HRS1-08
应定期对不同岗位的人员进行技能考核
与安全主管交谈后,请了解其是否为不同岗位制定了分层次的培训方案,并依据预先制定的计划为各个岗位人员提供安全教育和培训。
审查安全教育和培训管理文档以确认其是否明确规定应当实施的安全教育和培训措施。
确认是否存在多种岗位的专业培训方案,并评估当前培训体系是否涵盖网络安全核心知识以及各项具体工作规范流程
4)核查安全教育和培训记录是否有培训人员、培训内容、培训结果等的描述
包含各岗位人员定期进行技能考核的记录。这些记录中的考核对象涵盖各个岗位的人,并且其主要内容涉及安全知识学习与相关技能评估。此外,所有记录均按照一定的时间周期进行更新,并确保日期与考核周期保持一致
外部人员访问管理
L3-HRS1-09
所有外部人员在访问受控区域之前必须提交一份书面申请,并在获得批准后将由专人全程陪同
审查外部人员访问管理文档是否详细规定了允许访问的范围以及相应的准入条件,并明确了相应的权限控制要求
审查外来人员对重要区域进行访问的相关书面申请材料是否具备经过审批人确认的授权签名等
审查进入/离开重要区域的时间区间以及相关细节是否完整记录在该登记记录中。
1、相关管理文档明确了外部人员物理访问受控区域的要求
2、具有相关申请并批准进入的记录
3、具有外部人员访问受控区域的相关记录
L3-HRS1-10
在外部人员接入受控网络访问系统之前提出书面申请。经授权后由指定人员创建账户并分配相应的权限,并完成相关登记和备案手续。
审查外部人员访问管理文档是否明确,并确保受控网络前的外部人员接入申请得到审批流程
审核外聘人员访问系统的书面申请文件, 以确认其外聘人员的使用权限是否明确, 并确保相关授权文件中的签名确认无误
审核存档资料以确认其是否完整地包含了外部人员访问权限、时间范围以及相关账户信息
1、相关管理文档明确了外部人员逻辑访问受控网络系统的审批要求
2、具有相关申请并批准接入网络的记录
3、具有外部人员逻辑访问受控区域的相关登记记录
L3-HRS1-11
外部人员离场后应及时清除其所有的访问权限
确保执行得当并及时清除其所有访问权限
2)核查外部人员访问系统的登记记录是否记录了访问权限清除时间
1、具有相关管理文档明确外部人员离场后清除其权限的要求
2、具有相关清除访问权限的记录
L3-HRS1-12
非内部人员必须签署保密协议。他们必须禁止非授权操作。他们必须避免复制或泄露任何敏感信息。
审查外部人员查阅机密文件或其他记录表格类的文档时,请确认是否明确指定了相关人员的保密责任(如禁止未经许可进行非授权操作或复制信息等)。
具有相关外部人员签字的保密协议,明确其保密义务