了正确完善的管理,才有可能降低人为错误、盗窃、诈骗和误用设备的风险,从而减小了信息系统遭受人员错误造成损失的概率。
对人员安全的管理,主要涉及两方面:对内部人员的安全管理和对外部人员的安全管理。具体包括:人员录用、人员离岗、人员考核、安全意识教育和培训和外部人员访问管理等五个控制点。
不同等级的基本要求在人员安全管理方面所体现的不同如3.1节和3.2节所描述的一样,在三个方面都有所体现。
一级人员安全管理要求:对人员在机构的工作周期(即,录用、日常培训、离岗)的活动提出基本的管理要求。同时,对外部人员访问要求得到授权和审批。
二级人员安全管理要求:在控制点上增加了人员考核,对人员的录用和离岗要求进一步增强,过程性要求增加,安全教育培训更正规化,对外部人员的访问活动约束其访问行为。
三级人员安全管理要求:在二级要求的基础上,增强了对关键岗位人员的录用、离岗和考核要求,对人员的培训教育更具有针对性,外部人员访问要求更具体。
四级人员安全管理要求:在三级要求的基础上,提出了保密要求和关键区域禁止外部人员访问的要求。
下表表明了人员安全管理在控制点上逐级变化的特点:
表58 人员安全管理控制点的逐级变化
控制点 人员录用 人员离岗 人员考核 安全意识教育和培训 外部人员访问管理 合计 一级 * * * * 4 二级 * * * * * 5 三级 * * * * * 5 四级 * * * * * 5 另外两个特点(要求项增加和要求项强度增强)将在以下控制点描述时具体展开。 1. 人员录用
对人员的安全管理,首先在人员录用时便应进行条件符合性筛选。录用时应考虑的方面包括:人员技术水平、身份背景、专业资格等方面。通过对这几方面的审查,判断录用与否。对于从事重要区域或部位的安全管理人员的聘用要求则应更高,一般应从内部人员中选用那些实践证明精干、忠实、可靠、认真负责、保守秘密的人员。
该控制点在不同级别主要表现为:
一级:要求负责部门或人员对录用人员身份、专业等进行基本的审查。
二级:在一级要求的基础上,增加了对录用人员技能的考核,并与关键岗位人员签署保密协议的形式约束其职责。
46
三级:在二级要求的基础上,增加了对从事关键岗位人员更加严格的录用要求,并与全部员工签署保密协议。
四级:与三级要求相同。 具体见下表59: 要求项 项目 合计 一级 a)-b) 2 二级 a)b)*-c) 3+ 三级 a)b)*-d) 4+ 四级 a)-d) 4 其中,二级中b)增加了审查内容并要求考核;三级中b)更加规范了录用过程。 2. 人员离岗
由于人员在离开本岗位或本机构前,具有一定的访问权限,并知晓其中部分信息,因此对人员离岗的管理要求,同样非常重要。在离岗时,主要从硬件归还(设备、设施)和权限撤销两方面考虑要求。
该控制点在不同级别主要表现为:
一级:要求对离岗人员进行设备归还和权限中止。 二级:在一级要求的基础上,增加了规范离岗过程的要求。 三级:与二级要求的基础上,增加了关键岗位人员离岗的要求。 四级:在三级要求的基础上,增加了制度化规范的要求。 具体见下表60: 要求项 项目 合计 一级 a)-b) 2 二级 a)*-c) 3+ 三级 a)*-c)* 3+ 四级 a)*-c) 3+ 其中,二级a)增加了规范离岗过程的要求;三级中a)严格规范离岗过程,c)增加了关键岗位人员离岗的要求;四级中,a)增加了制定管理制度的要求。 3. 人员考核
对人员的考核,主要是为了保持各个岗位人员能时时满足该岗位的技术能力需求,同时也是机构对所有人员技能的阶段性全面了解。其中,重点关注对关键岗位人员的审查和考核。
该控制点在不同级别主要表现为: 一级:无此要求。
二级:要求对人员定期进行技能考核。
三级:在二级要求的基础上,增加考核结果处理和对关键岗位的考核要求。 四级:在三级要求的基础上,增加保密制度和保密检查要求。 具体见下表61: 要求项 一级 二级 三级 四级 47
项目 合计 N/A 0 a) 1 a)-c) 3 a)-d) 4 4. 安全意识教育和培训 保证信息系统的安全,要注重对安全管理人员的培养,提高其安全防范意识,最终做到安全有效的防范。而当前绝大多数漏洞存在的原因在于管理员对系统进行了错误的配置,或者没有及时升级系统软件。为确保员工在日常工作过程中,能时刻意识到信息安全的威胁和利害关系,并支持机构的信息安全方针,应根据安全教育和培训计划对所有员工进行培训,使其认识到自身的责任,提高自身技能。培训的内容包括单位的信息安全方针、信息安全方面的基础知识、安全技术、安全标准、岗位操作规程、最新的工作流程、相关的安全责任要求、法律责任和惩戒措施等。
该控制点在不同级别主要表现为:
一级:对人员进行基本的安全意识和责任教育。
二级:除一级要求外,增强了对安全教育培训的正规化管理。
三级:在二级要求的基础上,侧重于不同岗位的安全教育培训和制度化要求。 四级:与三级要求相同。 具体见下表62: 要求项 项目 合计 一级 a)-b) 2 二级 a)*b)*-c) 3+ 三级 a)b)*c)*-d) 4+ 四级 a)-d) 4 其中,二级a)增加了培训内容要求,b)增加了惩戒要求;三级中,b)增加了安全责任和惩戒的制度化要求,c)增加了培训的制度化要求和对不同岗位制定不同的培训计划要求。 5. 外部人员访问管理
外部人员包括:向机构提供服务的服务人员,如软硬件维护和支持人员、贸易伙伴或合资伙伴、清洁人员、送餐人员、保安和其他的外包支持人员等。若安全管理不到位,外部人员的访问将给信息系统带来风险。因此,在业务上有与外部人员接触的需要时,应当对其适当的进行临时管理,对于信息系统的核心部分应不允许外部人员的访问,以确保其安全性。
该控制点在不同级别主要表现为: 一级:对外部人员访问要得到授权和审批。
二级:除一级要求外,增加了对外部人员的访问的监督、备案等过程管理要求。 三级:在二级要求的基础上,增加了访问书面申请,访问制度等,更加严格外部人员访问管理。
四级:除三级要求外,要求外部人员禁止访问关键区域。 具体见下表63:
48
要求项 项目 合计 一级 a) 1 二级 a)* 1+ 三级 a)*-b) 2+ 四级 a)-c) 3 其中,二级中,a) 增加了对外部人员的访问的监督、备案等过程管理要求。三级中,a) 增加了访问书面申请,增加了访问书面申请。
4.2.4 系统建设管理
信息系统的安全管理贯穿系统的整个生命周期,系统建设管理主要关注的是生命周期中的前三个阶段(即,初始、采购、实施)中各项安全管理活动。
系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑,具体包括:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择等十一个控制点。
不同等级的基本要求在系统建设管理方面所体现的不同如3.1节和3.2节所描述的一样,在三个方面都有所体现。
一级系统建设管理要求:对系统建设整体过程所涉及的各项活动进行基本的规范,如,先定级,方案准备、安全产品按要求采购,软件开发(自行、外包)的基本安全,实施的基本管理,建设后的安全性验收、交付等都进行要求。
二级系统建设管理要求:增加了某些活动的文档化要求,如软件开发管理制度,工程实施应有实施方案要求等。同时,对安全方案、验收报告等增加了审定要求,产品的采购增加了密码产品的采购要求等。
三级系统建设管理要求:在控制点上增加了系统备案和安全测评,同时对建设过程的各项活动都要求进行制度化规范,按照制度要求进行活动的开展。对建设前的安全方案设计提出体系化要求,并加强了对其的论证工作。
四级系统建设管理要求:主要对软件开发活动进一步加强了要求,以保证软件开发的安全性。对工程实施过程提出了监理要求。
下表表明了系统建设管理在控制点上逐级变化的特点:
表64 系统建设管理控制点的逐级变化
控制点 系统定级 安全方案设计 产品采购和使用 自行软件开发 外包软件开发 工程实施 一级 * * * * * * 二级 * * * * * * 三级 * * * * * * 四级 * * * * * * 49
测试验收 系统交付 系统备案 等级测评 安全服务商选择 合计 * * * 9 * * * 9 * * * * * 11 * * * * * 11 另外两个特点(要求项增加和要求项强度增强)将在以下控制点描述时具体展开。 1. 系统定级
确定信息系统的安全保护等级,是建设符合安全等级保护要求的信息系统、实施信息安全等级保护的基础。机构应根据系统实际情况,确定系统的安全保护等级。
该控制点在不同级别主要表现为:
一级:要求确定系统边界和等级,并得到相关部门的批准,并对定级过程做了文档化要求。
二级:与一级要求相同。
三级:在二级要求的基础上,增加对定级结果的论证。 四级:与三级要求相同。 具体见下表65: 要求项 项目 合计 2. 安全方案设计 一套完整的安全设计方案是整个系统安全的有力保障,应结合信息系统实际的运行状况,指定和授权专门的部门对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划,从人力、物力、财力各方面做好部署与配置。安全设计方案的内容可能包括:系统的安全隐患与对策分析、系统的体系结构及拓扑设计、系统的业务流程实现过程、系统的安全体系与其他平台的关系、系统在物理、网络、主机系统、应用、数据以及管理层面的不同设计要求、设计目标、性能要求、接口要求、资源如何分配等。
该控制点在不同级别主要表现为:
一级:要求形成书面的安全方案和详细设计方案。
二级:在一级要求的基础上,增加了对设计方案的论证和批准。
三级:在二级要求的基础上,提出了系统建设的总体规划,安全保障体系,并加强了体系的论证和修订。
四级:与三级要求相同。 具体见下表66:
50
一级 a)-c) 3 二级 a)-c) 3 三级 a)-d) 4 四级 a)-d) 4