等級保護物件在執行過程中會面臨各種各樣的變更操作。如果變更過程缺乏管理和控制,會給等級保護物件帶來重大的安全風險。因此,需要對變更操作實施全程管控,做到各項變更內容有章可循有案可查,遇到問題有路可退,確保變更操作不給系統造成安全風險。
10.10.1應明確變更需求,變更前根據變更需求制定變更方案,變更方案經過評審、審批後方可實施。
變更管理受控是降低系統由變更帶來安全問題的有效手段,因此要對變更策略進行明確的規定,並對變更流程進行全程管控。
【測評方法】
1)核查變更方案,方案內容是否包括了變更型別、變更原因、變更過程、變更前評估等內容。
2)核查變更方案評審記錄,記錄內容是否包括了評審時間、參與人員、評審結果等。
3)核查變更過程記錄,記錄內容是否包括了變更執行人、執行時間、操作內容、變更結果等。
【預期結果】
1)具有相應的變更方案,主要內容包括變更型別、變更原因、變更過程、變更前評估等。
2)具有***變更方案評審記錄和變更過程記錄文件。
3)對於新建或未執行過變更操作的被測系統,此條可不適用。
【權重】0.7
【風險等級】高
需求變更管理
判例內容:未明確變更管理流程,未對需要變更的內容進行分析與論證,未制定詳細的變更方案,無法明確變更的需求與必要性;變更的同時也伴隨著可能導致系統無法正常訪問的風險,可判定為高風險。
適用範圍:3級及以上系統。
滿足條件(同時):
1、3級及以上系統;
10.10.2 應建立變更的申報和審批控制程式,依據程式控制所有的變更,記錄變更實施過程。
執行變更操作要遵循變更管控的相關控制程式,約束變更過程,並有效記錄。
【測評方法】
1)核查變要控制的申報、審批程式。
2)核查變更實施過程的記錄。
3)記錄內容是否包括了申報的變更型別、申報流程、審批部門、批准人等。
【預期結果】
1)不同變更型別具有相應的變更管控策略,如變更型別、變更原因、變更影響分析等。
2)具有***變更實施過程的記錄文件。
3)對於新建或未執行過變更操作的被測系統,可沒有相關記錄。
【權重】1
10.10.3 應建立中止變更並從失敗變更中恢復的程式,明確過程控制方法和人員職責,必要時對恢復過程進行演練。
變更失敗恢復程式一般會在變更方案中予以明確,變更方案除了描述變更過程操作外,重要的是明確變更失敗後的恢復操作。
【測評方法】
1)核查變更失敗後的恢復程式、工作方法和相關人員職責。
2)核查恢復過程演練記錄。
【預期結果或主要證據】
1)對變更失敗後的恢復程式、工作方法和職責進行了檔案化的規定和要求,具有變更失敗後的恢復程式。
2)具有***變更恢復演練記錄和恢復流程。
3)對於新建或未執行過變更操作的被測系統,可沒有相關記錄。
【權重】1
10 安全運維管理 10 2資產管理
等級保護物件的資產包括各種硬體裝置 如網路裝置 安全裝置 伺服器裝置 操作終端 儲存裝置和儲存介質,以及供電和通訊用線纜等 各種軟體 如作業系統 資料庫管理系統 應用系統等 各種資料 如配置資料 業務資料 備份資料等 和各種檔案等。由於等級保護物件資產種類較多,必須對所有資產實施有效的管理,確保資產...
10 安全運維管理 10 13應急預案管理
為有效處理等級保護物件執行過程中可能發生的重大安全事件,需要在統一框架下制定針對不同安全事件的應急預案,就應急預案內容向涉及的人員開展培訓 演練,並根據等級保護物件的變化情況和安全策略的調整結果開展應急預案的評估 修訂與完善。10.13.1應規定統一的應急預案框架,包括啟動預案的條件 應急組織構成 ...
10 安全運維管理 10 5漏洞和風險管理
漏洞和隱患會給等級保護物件造成安全風險,需要採取必要的措施進行識別和評估,針對發現的漏洞和隱患需要及時修補,確保等級保護物件安全 穩定地執行。10.5.1 應採取必要的措施識別安全漏洞和隱患,對發現的安全漏洞和隱患及時進行修補或評估可能的影響後進行修補。安全漏洞和隱患是引起安全問題的主要根源,採取有...