等級保護物件的資產包括各種硬體裝置(如網路裝置、安全裝置、伺服器裝置、操作終端、儲存裝置和儲存介質,以及供電和通訊用線纜等)、各種軟體(如作業系統、資料庫管理系統、應用系統等)各種資料(如配置資料、業務資料、備份資料等)和各種檔案等。由於等級保護物件資產種類較多,必須對所有資產實施有效的管理,確保資產可被識別,並依據其重要程度得到有效的保護。
10.2.1 應編制並儲存與保護物件相關的資產清單,包括資產責任部門、重要程度和所處位置等內容
等級保護物件資產種類較多,如保護物件的資產管理比較混亂,容易導致等級保護物件發生安全問題或不利於發生安全問題時有效應急。
【測評方法】
1)核查資產清單。
2)資產清單內容是否包括了資產範圍(含裝置設施、軟體、文件等)、資產責任部門、重要程度和所處位置等。
【預期結果】
1)具有資產清單。
2)資產清單內容包括了資產範圍(含裝置設施、軟體、文件等)、資產責任部門、重要程度和所處位置等。
【權重】0.7
10.2.2應根據資產的重要程度對資產進行標識管理,根據資產的價值選擇相應的管理措施。
資訊資產的重要程度不同,在系統中所起的作用也不盡相同,應綜合考慮資產的價值、在系統中的地位、作用等因素,按照重要程度高低對資產進行分類、分級管理,分類的原則應在相關文件中進行明確,且需明確重要資產和非重要資產在資產管理環節(如入庫、維修、出庫)的不同要求。
【測評方法】
1)核查資產管理制度。
2)制度內容是否包括了資產的標識方法以及不同資產的管理措施要求。
3)核查資產清單中的裝置是否具有相應的標識。
4)核查資產清單中的裝置上的標識方法是否符合相關要求。
【預期結果或主要證據】
1)具有資產管理制度。
2)制度內容包括了資產的標識方法以及不同資產的管理措施要求。
3)資產清單中的裝置具有相應的標識。
4)資產清單中的裝置上的標識方法符合相關要求。
【權重】1
10.2.3 應對資訊分類與標識方法作出規定,並對資訊的使用、傳輸和儲存等進行規範化管理
資訊作為資產的一種,可根據其所屬的類別不同,重要程度不同進行資訊的梳理分類(一般可分為:敏感、內部公開、對外公開等不同類別),不同類別的資訊在使用、傳輸和儲存等方面管理要求也應不同。
【測評方法】
1)核查安全管理制度中是否明確了對資訊進行分類與標識的原則和方法。
2)核查安全管理制度中是否明確了對不同類資訊的使用、傳輸和儲存等操作的要求。
【預期結果】
1)安全管理制度中具有對資訊進行分類與標識的原則和方法。
2)安全管理制度中具有對不同類資訊的使用、傳輸和儲存等操作的要求。
【權重】1
10 安全運維管理 10 10變更管理
等級保護物件在執行過程中會面臨各種各樣的變更操作。如果變更過程缺乏管理和控制,會給等級保護物件帶來重大的安全風險。因此,需要對變更操作實施全程管控,做到各項變更內容有章可循有案可查,遇到問題有路可退,確保變更操作不給系統造成安全風險。10.10.1應明確變更需求,變更前根據變更需求制定變更方案,變更...
10 安全運維管理 10 13應急預案管理
為有效處理等級保護物件執行過程中可能發生的重大安全事件,需要在統一框架下制定針對不同安全事件的應急預案,就應急預案內容向涉及的人員開展培訓 演練,並根據等級保護物件的變化情況和安全策略的調整結果開展應急預案的評估 修訂與完善。10.13.1應規定統一的應急預案框架,包括啟動預案的條件 應急組織構成 ...
10 安全運維管理 10 5漏洞和風險管理
漏洞和隱患會給等級保護物件造成安全風險,需要採取必要的措施進行識別和評估,針對發現的漏洞和隱患需要及時修補,確保等級保護物件安全 穩定地執行。10.5.1 應採取必要的措施識別安全漏洞和隱患,對發現的安全漏洞和隱患及時進行修補或評估可能的影響後進行修補。安全漏洞和隱患是引起安全問題的主要根源,採取有...