1、遇国ICS 35.040 L 80 和国国家标准11: -、中华人民G/T 28453-2012 信息安全技术信息系统安全管理评估要求Information security technology一Information system security management assessment requirements 2012-10-01实施2012-06-29发布发布中华人民共和国国家质量监督检验检茂总局中国国家标准化管理委员会融制节。IF/吟与酬JrqdvfE飞fF -GB/T 28453一2012目次田引言.N I 范围-2 规范性引用文件.3 术语和定义.4 评估原则和模式24.
2、1 管理评估的原则4.2 管理评估的工作模式25 评估组织和活动.5. 1 评估组织35. 1. 1 评估实施团队5. 1. 2 评估管理机构.5. 1. 3 被评估方相关人员45.2 评估目标范围和依据45.2.1 评估目标45.2.2 评估范围5.2.3 评估依据.5. 3 评估活动内容5.3. 1 评估准备及启动5.3.2 确定信息系统资产及安全需求-5.3.3 确定信息系统安全管理现状.5.3.4 确定信息系统安全管理评估结论125.3.5 评估结束及后续安排.6 安全管理评估的方法、工具和实施M6. 1 评估方法M6. 1. 1 访谈调查146. 1. 2 符合性检查.6. 1. 3
3、 有效性验证166. 1. 4 技术检测176.2 评估工具.6.2. 1 调查表6.2.2 访谈问卷206.2.3 检查表216. 3 评估的实施n6.3. 1 评估实施控制226.3.2 评估结论判断GB/T 28453-2012 7 分等级管理评估.7.1 规划立项管理评估要求.7. 1. 1 本阶段评估范围257. 1. 2 第一级信息系统257. 1. 3 第二级信息系统277. 1. 4 第三级信息系统297. 1. 5 第四级信息系统307. 1. 6 第五级信息系统327.2 设计实施管理评估要求347.2. 1 本阶段评估范围347.2.2 第一级信息系统367.2.3 第二
4、级信息系统387.2.4 第三级信息系统.7.2.5 第四级信息系统u7.2.6 第五级信息系统477.3 运行维护管理评估要求四7.3.1 本阶段评估范围507.3.2 第一级信息系统527.3.3 第二级信息系统547.3.4 第三级信息系统567.3.5 第四级信息系统597.3.6 第五级信息系统627.4 终止处置管理评估要求.7.4.1 本阶段评估范围.7.4.2 第一级信息系统7.4.3 第二级信息系统7.4.4 第二级信息系统.7.4.5 第四级信息系统7.4.6 第五级信息系统附录A(资料性附录)信息系统安全管理评估参照表.参考文献189H G/T 28453-2012 目。
5、昌本标准按照GB/T1. 1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会CSAC/TC260)提出并归口。本标准起草单位:北京江南天安科技有限公司。本标准主要起草人:陈冠直、吉增瑞、陈硕、景乾元、王志强。旧旧GBjT 28453一2012I 本标准依据国家有关信息安全等级保护的政策法规,提出了用于规范信息系统安全管理评估的要求。主要包括信息系统安全管理评估的原则和模式、组织和活动、方法工具和实施等要求,以及在信息系统生存周期各个阶段,针对第一级到第五级信息系统安全管理评估的要求。信息系统安全管理评估
6、的主体包括信息系统的主管领导部门、信息安全监管机构、信息系统的管理者、第三方评估机构等,对应的评估可以是检查评估、自评估或第三方评估。本标准中对三种评估模式提出共同要求时统称评估。信息系统安全管理评估以信息安全管理体系为主线进行评估,必要时采集信息安全技术测评结果进行综合分析。信息系统安全管理评估可以是独立的评估,也可以与信息安全技术测评联合进行综合评估。信息系统安全管理评估贯穿于信息系统的整个生存周期,各阶段管理评估的原则和方法是一致的,各阶段安全管理的内容、对象、安全需求存在一定不间,使得安全管理评估的目的、要求等各方面也有所不同。信息系统安全管理评估针对信息安全保护各个等级的信息系统,安
7、全管理评估的要求随着保护等级的提高而增强。本标准第4章阐述管理评估的原则和模式;第5章阐述管理评估的组织、评估目标范围和依据、管理活动的内容;第6章阐述管理评估方法、管理评估工具、管理评估实施,给出了各个安全保护等级的安全管理评估需要执行的共同要求和评估方法;第7章分等级评估,以GBjT20269-2006规定的信息系统安全管理要求为基本依据,从信息系统生存周期的规划立项阶段、设计实施阶段、运行维护阶段、终止处置阶段,对五个安全保护等级的安全管理评估要求分别进行描述。附录A中提供的信息系统安全管理评估参照表,描述了本标准中有关各等级信息系统安全管理评估要求的具体评估内容要点。本标准仍沿用GBj
8、T20269-2006中的称谓,对于信息系统的所有者可包括国家机关、事业单位、厂矿企业、公司、集团等各种类型和不同规模的组织机构,统称为组织机构。目GB/T 28453-2012 信息安全技术信息系统安全管理评估要求1 范围本标准依据GB/T20269一2006规定的信息系统分等级安全管理要求,从信息系统生存周期的不同阶段,规定了对信息系统进行安全管理评估的原则和模式、组织和活动、方法和实施,提出了信息安全等级保护第一级到第五级的信息系统安全管理评估的要求。本标准适用于相关组织机构(部门)对信息系统实施安全等级保护所进行的安全管理评估与自评估,以及评估者和被评估者对评估的管理。2 规范性引用文
9、件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 20269-2006 信息安全技术信息系统安全管理要求GB/T 20282-2006 信息安全技术信息系统安全工程管理要求GB/T 25070-2010 信息安全技术信息系统等级保护安全设计技术要求3 术语和定义GB 17859-1999、GB/T202692006中界定的以及下列术语和定义适用于本文件。3. 1 安全评估security assessment 依照国
10、家有关法规与标准,对信息系统的安全保障程度进行评估的活动,包括安全技术评估和安全管理评估。本标准所述评估是指信息系统安全管理评估。3.2 自评估self嗣assessment由信息系统所有者自身发起,组成组织机构内部的评估机构,依据国家有关法规与标准,对信息系统安全管理进行的评估活动。3.3 检查评估inspection assessment 由被评估信息系统所有者的上级主管部门、业务主管部门或国家相关监管部门发起的,依据国家有关法规与标准,对信息系统安全管理进行的评估活动。3.4 第三方评估third party assessment 由信息系统所有者委托商业评估机构或其他评估机构,依据国家
11、有关法规与标准,对信息系统安全管理进行的评估活动。GB/T 28453-2012 一是指由信息系统所有者委托商业评估机构或其他评估机构,依据国家有关法规与标准,对信息系统安全管理进行的评估活动;适用于组织机构委托商业评估机构或其他评估机构,对自身所拥有、运营或使用的信息系统安全管理进行的评估活动。5 评估组织和活动5. 1 评估组织5. 1. 1 评估实施团队第二方评估实施团队组成的要求如?干=二十一-一a) 第三方评估实施团队由受委托的安全评估服务技术支持方委派;b) 受委托的安全评估服务技术支持方相关部门或项目主管任评估实施团队负责人;c) 第三方评估实施团队由熟悉信息技术、信息安全技术、
12、信息安全管理,熟悉委托方业务,具有相关资质的人员组成;d) 对信息安全等级第三级及以上的信息系统进行评估的第三方评估实施团队,应符合国家职能部门有关评估机构选择的规定,可参见附录A的A.4. 3。5.1.2 评估管理机构应针对不同模式的信息安全管理评估组建评估管理机构:a) 评估工作组:检查评估时,接受检查的组织机构应组建由主管领导和相关部门负责人参加的评估工作组,配合检查评估团队的工作;3 GBjT 28453-2012 b) 自评估工作领导小组:组织机构信息安全主管领导或信息安全领导小组主管自评估工作,应组建由主管领导和相关部门负责人参加的自评估工作领导小组,指导和监督自评估团队的工作;c
13、) 评估工作领导小组:第三方评估时,应组建由评估方、被评估方领导及相关部门负责人参加的安全评估工作领导小组,指导和控制第三方评估团队的工作;安全评估工作领导小组中被评估方领导应负责监督或指派有关部门负责人监督第二方评估团队的工作。5. 1. 3 被评估方相关人员被评估方相关人员应包括:a) 高级管理层:组织机构的领导、信息化主管领导、信息安全主管领导等;b) 执行管理层:信息部门负责人、信息安全部门负责人、业务部门负责人、人事部门负责人等;c) 信息技术和信息安全相关人员,包括:十一系统建设主管及系统设计、软件开发、系统集成人员;一一运行维护主管及网络系统、操作系统、数据库系统、应用系统、硬件
14、设备等系统管理及运维人员;信息安全主管及安全管理、审计管理人员、文档介质管理人员;一一一物理安全主管及资产管理、机房值守、机房维护人员;一一外包服务方主管及外包方运行、维护人员;d) 业务应用人员,包括业务部门主管、业务应用系统管理人员1)、业务应用系统开发人员和操作人员。5.2 评估目标范围和依据5.2.1 评估目标5. 2. 1. 1 具体评估目标信息系统安全管理评估的一般目标是,识别信息系统安全管理存在的信息安全风险,并确定其大小,为制定信息安全方针,选择适当的控制目标与控制方式提供决策依据。每一次评估的具体目标可能会存在一定差异,应明确每一次评估的具体目标,可以是:4 a) 针对规划立
15、项阶段的安全管理评估,主要从策略和制度管理、机构和人员管理、风险管理、监督和检查管理、规划和立项管理等方面,评价信息系统的系统分析和安全定级、信息系统安全需求分析、信息系统总体安全规划、信息系统安全项目立项等关键环节的安全管理状况;b) 针对信息系统设计实施阶段的安全管理评估,主要从策略和制度管理、机构和人员管理、风险管理、环境和资源管理、安全机制保障管理、业务连续性管理、监督和检查管理、建设过程管理等方面,评价信息系统的系统安全设计、系统采购控制、系统开发控制、管理措施制定、集成及配置管理、测试及验收管理等关键环节的安全管理状况;c) 针对信息系统运行维护阶段的安全管理评估,主要从策略和制度
16、管理、机构和人员管理、风险管理、环境和资源管理、日常运维管理、业务连续性管理、监督和检查管理等方面,评价信息系统的运行操作、系统维护、安全监控、业务连续性、变更控制、外包、安全检查、持续改进等关键环节的安全管理状况;d) 针对信息系统终止处置阶段的安全管理评估,主要从策略和制度管理、机构和人员管理、风险1) 应用系统管理人员主要负责应用系统用户账户、权限管理,以及应用系统只他日常运行维护;与-般信息技术人员不同,应用系统管理人员应熟悉应用系统所支持的业务流程和业务f.f哩。GB/T 28453-2012 管理、环境和资源管理、监督和检查管理、终止处置过程管理等方面,评价信息系统的系统终止审批、
17、信息转移及清除、设备迁移或废弃、存储介质清除或销毁等关键环节的安全管理状况。也可以是针对系统故障或安全事件的评估、针对组织机构变动或系统变更的评估,或定期进行的信息系统安全管理评估。5.2. 1. 2 具体评估目标的提出不同评估工作模式的具体评估目标的提出,要求如下:a) 检查评估的具体评估目标,由被评估信息系统所有者的上级主管部门、业务主管部门或国家相关监管部门(评估发起部门)提出;b) 自评估的具体评估目标,由信息系统所属组织机构领导提出,可昕取自评估实施团队的意见;c) 第二方评估的具体评估目标,由信息系统所属单位(委托方)领导提出,受委托的第三方评估机构的实施团队应充分理解委托方提出的
18、评估目标,必要时可提出建议。5.2.2 评估范围信息系统安全管理评估的一般评估范围,可以是与全部业务处理相关的信息系统,也可以是某个特定业务处理的信息系统。针对某一次评估,应根据具体评估目标,确定评估的具体范围,并形成相关文挡。不同评估工作模式的具体评估范围的确定,要求如下:a) 检查评估的具体评估范围,由被评估信息系统所有者的上级主管部门、业务主管部门或国家相关监管部门(评估发起单位)确定;b) 自评估的具体评估范围,由信息系统所属组织机构的领导确定,可听取自评估实施团队的意见;c) 第二方评估的具体评估范围,由信息系统所属组织机构(委托方)的领导确定,受委托的第三方评估机构的实施团队应充分
19、理解委托方确定的评估范围,确认具体评估毡围能够满足评估目标的要求,如不能满足应及时提出并与被评估方协商解决。对于涉及国家秘密的信息和信息系统安全管理的评估,应按照国家有关保密管理、密码管理规定和相关测评标准执行。5.2.3 评估侬据信息系统安全管理评估以GB/T20269-2006的安全管理要求为主要依据,并参考业务应用对信息系统安全运行的需求,确定相关的判断依据,如:a) 行业主管部门对信息系统的业务和安全要求;b) 信息系统互联单位的业务和安全要求;c) 信息系统本身的实时性或性能要求。5. 3 评估活动内容5.3. 1 评估准备及启动5.3.1.1 评估准备评估方应通过与被评估方评估管理
20、机构沟通从以下方面开展评估准备工作:a) 确定评估实施团队的成员及职责等;b) 对评估实施团队的成员进行培训1;c) 获得被评估方高级管理层对评估的支持;d) 确定评估的系统范围和管理界限;5 11 GB/T 2845J-20 12 e) 确定评估的具体判断依据(见5.2.3); f) 协商选择被评估方的参与人员;g) 协调解决评估所需的后勤保障工作;h) 协商确定评估工作计划和时间进度安排;i) 取得以下阶段性成果及文档:一一被评估方高级管理层对评估工作支持的决议,:ttt示或表态;评估实施团队成员名单;一一对评估实施团队的成员进行信息、安全评估方法的培训;5.3.2.1 对高级管理层的访谈
21、调查飞之三二三-6 对高级管理层有关信息系统资产及安全需求的访谈调查,要求做到:a) 确定高级管理层识别的信息系统基本情况,信息系统资产及其优先顺序,记录在资产调查表(见6.2. 1. 1) ; b) 确定高级管理层认识到信息系统面临的威胁,对信息系统安全的关注范围,记录在关注范围调查表(见6.2.1.2);c) 确定高级管理层认为最关键资产及其管理的安全需求,记录在安全需求调查表(见6.2.1.3); d) 应取得以下阶段性成果及文档:按优先级排列的高级管理层识别的资产;一一高级管理层关注的范围;一一一高级管理层认为最关键资产及其管理的安全需求;G/T 28453一2012一一高级管理层的访
22、谈记录。5.3.2.2 对执行管理层的访谈调查对执行管理层有关信息系统资产及安全需求的访谈调查,要求做到1a) 确定执行管理层识别的信息系统基本情况,信息系统资产及其优先顺序,记录在资产调查表;b) 确定执行管理层认识到信息系统面临的威胁,对信息系统安全的关注范围,记录在关注范围调查表;c) 确定执行管理层认为最关键资产及其管理的安全需求,记录在安全需求调查表;d) c) 确定业务应用人员认为最关键资产及其管理的安全需求,记录在安全需求调查表;d) 应取得以下阶段性成果及文档:一一按优先级排列的业务应用人员识别的资产;十业务应用人员关注的范围;十一一业务应用人员认为最关键资产及其管理的安全需求
23、;一一一业务应用人员的访谈记录。5.3.2.5 对信息系统资产及安全需求的确定对信息系统资产及安全需求的确定,要求做到:a) 汇总归纳访谈调查得到的信息系统的基本描述、资产调查表、关注范围调查表和安全需求调GB/T 28453-2012 查表;b) 按照支撑业务或岗位的重要程度为资产、安全需求、关注范围等分组;c) 选择并确定信息系统关键资产及其管理的安全需求;d) 标注信息系统资产表中的资产面临的威胁及关注范围;e) 应取得以下阶段性成果及文档:信息系统的基本描述;一一资产、安全需求、关注范围分类;一一关键资产及其管理的安全需求;-一一关键资产的关注范围。5.3.2.6 对关键环节和核心部位
24、的确定根据信息系统资产及安全需求,对信息系统安全管理的关键环节和核心部位的确定,要求做到:a) 确定待审核的信息系统安全策略和管理制度文档;b) 确定待检查的信息系统物理环境和工作记录;c) 确定待检测的信息系统核心部位及关键组件;d) 确定待核查的信息系统安全管理关键环节;e) 应取得以下阶段性成果及文档:一一信息系统安全策略和管理制度文档的范围和审核方法;一一信息系统物理环境及工作记录的范围和检查方法;一一信息系统核心部位及关键组件的范围和测评结果收集方法;一一信息系统安全管理关键环节的范围和核查方法。5.3.3 确定信息系统安全管理现状5.3.3.1 对高级管理层的访谈调查使用相应的访谈
25、问卷(见6.2.2),对高级管理层有关信息系统安全管理现状的访谈调查,应做到:a) 确定高级管理层识别的信息系统安全策略及其优先顺序,与业务需求的一致性;b) 确定高级管理层认为已实施的信息系统安全保护措施和管理制度以及执行情况,记录在保护措施调查表(见6.2. 1. 4) ; c) 确定高级管理层认为信息系统安全管理机构和相关人员的职责要求以及执行情况;d) 确定高级管理层对现行安全策略和安全管理存在不足的了解程度,包括发生过的安全事件;e) 应取得以下阶段性成果及文档:按优先级排列的高级管理层认为的信息系统安全策略;一一高级管理层认为己实施的信息系统安全保护措施和管理制度以及执行情况;一一
26、一高级管理层认为信息系统安全管理机构和相关人员的职责要求以及执行情况;高级管理层对现行安全策略和安全管理存在不足的了解程度,以及与安全管理要求存在的差距,包括发生过的安全事件;一一高级管理层的访谈记录、保护措施调查表。5.3.3.2 对执行管理层的访谈调查使用相应的访谈问卷,对执行管理层有关信息系统安全管理现状的访谈调查,应做到:a) 确定执行管理层认为的信息系统安全策略及其优先顺序,与业务需求的一致性;b) 确定执行管理层认为已实施的信息系统安全保护措施和管理制度以及执行情况,记录在保护8 GB/T 28453-2012 措施调查表;c) 确定执行管理层认为信息系统安全管理机构和相关人员的职
27、责要求及其执行情况;d) 确定执行管理层对信息系统规划立项、设计实施、运行维护、终止处置的安全管理要求和实践措施;e) 确定执行管理层对现行安全策略和安全管理存在不足的了解程度,包括发生过的安全事件;f) 应取得以下阶段性成果及文档:按优先级排列的执行管理层识别的信息系统安全策略;一-执行管理层认为己实施的信息系统安全保护措施和管理制度以及执行情况;二一一执行管理层认为信息系统安全管理机构和相关人员的职责要求以及执行情况;-一执行管理层对信息系统规划立项、设计实施、运行维护、终止处置的安全管理要求和实践措施;一一执行管理层对现行安全策略和安全管理存在不足的了解程度,以及与安全管理要求存在的差距
28、,包括发生过的安全事件;一一执行管理层的访谈记录、保护措施调查表。5.3.3.3 对信息技术和信息安全人员的访谈调查使用相应的访谈问卷,对信息技术人员和信息安全人员有关信息系统安全管理现状的访谈调查,应做到:a) 确定信息技术和信息安全人员认为的信息系统安全策略及其优先顺序,与业务需求的一致性;b) 确定信息技术和信息安全人员认为已实施的信息系统安全保护措施和管理制度以及执行情况,记录在保护措施调查表;c) 确定信息技术和信息安全人员认为的信息系统安全管理机构和相关人员(包括被访谈人)的职责要求,以及执行情况;d) 确定信息技术和信息安全人员认为的信息系统规划立项、设计实施、运行维护、终止处置
29、的安全管理要求和实践措施;e) 确定信息技术和信息安全人员对现行安全策略和安全管理存在不足的了解程度,包括发生过的安全事件;f) 应取得以下阶段性成果及文档:一-按优先级排列的信息技术和信息安全人员识别的信息系统安全策略;一-信息技术和信息安全人员认为已实施的信息系统安全保护措施和管理制度以及执行情况;二一信息技术和信息安全人员认为信息系统安全管理机构和相关人员的职责要求以及执行情况;信息技术和信息安全人员对信息系统规划立项、设计实施、运行维护、终止处置的安全管理要求和实践措施;信息技术和信息安全人员对现行安全策略和安全管理存在不足的了解程度,以及与安全管理要求存在的差距,包括发生过的安全事件
30、;一一一信息技术和信息安全人员的访谈记录、保护措施调查表。5.3.3.4 对业务应用人员的访谈调查使用相应的访谈问卷,对业务应用人员有关信息系统安全管理现状的访谈调查,应做到:a) 确定业务应用人员认为的信息系统安全策略及其优先顺序,与业务需求的一致性;b) 确定业务应用人员认为已实施的信息系统安全保护措施和管理制度以及执行情况,记录在保9 r GB/T 28453-2012 护措施调查表;c) 确定业务应用人员认为的信息系统安全管理机构和相关人员(包括被访谈人)的职责要求,以及执行情况;d) 确定业务应用人员认为的信息系统规划立项、设计实施、运行维护、终止处置的安全管理要求和实践措施;e)
31、确定业务应用人员对现行安全策略和安全管理存在不足的了解程度,包括发生过的安全事件;f) 应取得以下阶段性成果及文档:按优先级排列的业务应用人员识别的信息系统安全策略;业务应用人员认为己实施的信息系统安全保护措施和管理制度以及执行情况;结果调整检d) 、,hu 、,,d g) 10 GB/T 28453-2012 h) 应取得以下阶段性成果及文档:信息系统各种现场检查表记录;一一信息系统安全管理有效性验证结果文挡;信息系统安全管理有效性存在问题的描述;实施自评估时,应提供信息系统安全管理有效性存在问题的改进建议(概述)。5.3.3.7 收集被选组件的技术检测结果2)信息系统安全管理现状明细表Lg
32、) 信息系统安全管理现状明细表,包括以下信息:一评估要求的信息系统安全保护等级的说明;一评估要求的信息系统生存周期不同阶段的说明;一一一信息系统安全管理评估内容分类、评估项、评估内容条目;二一按照评估项及评估内容条目对安全管理现状的描述、差距分析意见、证据材料说明;二-实施自评估时,应针对单项的初步改进建议。2) 由于独立的信息系统安全管理评估一般不进行技术检测,故采用收集技术性检测结果的办法,对管理评估分析依据的来源进行补充,以丰富和完善管理评估结论的例证。11 GB/T 28453-2012 5.3.3.9 关键管理环节的安全核查在信息系统安全管理现状明细表的基础上,按照5.3.2.6确定
33、的信息系统安全管理关键环节范围进行安全核查,必要时可根据访谈调查结果调整关键环节范围,应做到:a) 对确定的信息系统安全管理环节使用安全管理核查表(见6.2.3.3)逐一进行核查;b) 对安全管理核查表的每一项均应给出符合、基本符合、不符合的结论;c) 对安全管理核查表的每一项结论,均应注明证据;d) 对确定安全管理核查表的每一项结论时,出现与安全管理现状明细表或其他材料不一致时,应进行必要的复查;e) 应取得以下阶段性成果及文档:一一信息系统安全管理核查表;信息系统安全管理核查依据和原始材料说明;一-实施自评估时,应提供信息系统安全管理基本符合、不符合项的改进建议(概述)。5.3.4 确定信
34、息系统安全管理评估结论5.3.4.1 安全管理评估结论要求信息系统安全管理评估结论,应做到:a) 以信息系统安全管理现状明细表、信息系统安全管理核查表结果材料为评估分析依据;b) 以信息系统安全管理评估中访谈调查、符合性检查、有效性验证、技术检测等结果材料为评估分析的原始证据;c) 确定信息系统安全管理关键环节、信息系统核心部位及关键组件对信息系统安全管理的影响的加权方法及条件(见6.3.2); d) 确定信息系统安全管理的各个评估项评价的度量方法及条件;e) 汇集各方面分析结果,进行综合评估,得出结论性意见;f) 应取得以下阶段性成果及文档:一一信息系统安全管理评估分析依据材料及清单;一一信
35、息系统安全管理评估分析证据材料及清单;一一信息系统关键资产及其管理所受威胁的影响;信息系统安全管理评估分析有关加权方法、度量方法及条件的说明(见6.3.2); 一一信息系统安全管理评估的结论性意见。5.3.4.2 编制信息系统安全管理评估报告编制信息系统安全管理评估报告应做到:a) 编制信息系统安全管理评估报告文档;b) 确定需提交的评估成果文件清单;c) 整合需提交的评估成果文件;d) 应取得以下最终成果文件:12 一一信息系统安全管理评估报告;一一一评估成果文件清单,包括需提交的阶段性成果文档或材料;二二信息系统安全管理现状明细表、信息系统安全管理核查表;一一信息系统安全管理评估中访谈调查
36、、符合性检查、有效性验证、技术检测等结果材料;一一实施自评估时,应提供信息系统安全管理改进建议稿。GB/T 28453-2012 5.3.4.3 信息系统安全管理改进建议实施自评估时,信息系统安全管理改进建议稿应包括:a) 信息系统己有的安全管理措施和存在的差距;b) 信息系统安全管理现状明细表、信息系统安全管理核查表中针对单项的改进建议;c) 信息系统拥有、运营或使用单位应采取的信息安全管理改进建议,并作为阶段性成果文档提供信息系统的安全管理改进建议稿。5.3.5 评估结束及后续安排5.3.5.1 评估结束评估团队与被评估方配合,在评估结束时应完成以下工作:a) 评估方与被评估方关于评估成果
37、及报告的沟通和交换意见;b) 评估报告及评估验收会议,要求评估实施团队、评估管理机构及有关领导、被评估方的信息部门和业务部门代表参加,必要时可邀请有关专家参与评审;c) 对检查评估的总结,确认评估结果;d) 通过自评估的评审,确认评估结果和整改建议内容;e) 通过第三方评估的验收,确认评估结果,并依据评估发起时的委托要求确定是否需要确认整改建议内容;f) 提交评估结果文件及有关材料;g) 应取得以下工作成果及文档:一一评估报告及评估验收会议纪要;一一一经评估团队与被评估方签署的评估总结、评审或验收的结论性文件;一评估结果文件及有关材料,包括评估报告及全部文档资料;-一一实施自评估时,应包括信息
38、系统的安全整改建议及计划,及其形成的任务(项目)清单。5.3.5.2 后续安排在评估结束以后,被评估方的评估管理机构应依据评估报告,给出的信息系统安全保护策略以及风险缓解计划、整改建议措施清单(实施自评估时己提供),并以此形成的任务清单,考虑本次评估的后续安排,要求如下:a) 明确具体部门(如信息部门或信息安全部门)参与实施信息系统的安全风险缓解和整改建议计划,及其形成的任务(项目); b) 确定实施信息系统的安全风险缓解和整改建议计划的时间安排和任务分配,包括评估后一周内、一月内、一个季度内的具体安排;c) 对于近期内不能完成的任务,应采取应急措施避免造成损失;d) 确定对信息系统的安全风险
39、缓解和整改建议计划的实施情况进行监控的措施;巳)应注意及时发现在整改过程中产生新风险或已知风险发生的新变化,以及进行持续的评估和改进的计划;f) 应取得工作成果,要求如下:信息系统的安全管理改进建议计划实施的具体安排;一信息系统的安全管理改进建议计划实施的监督措施;一一对于近期内不能完成的任务所采取的应急措施;信息系统安全的持续评估和改进计划。13 GB/T 28453-2012 6 安全管理评估的方法、工具和实施6.1 评估方法6. 1. 1 访谈调查6. 1. 1. 1 访谈调查主要对象访谈调查的主要对象一般可包括:飞飞一访谈对象以执行管理层、信息技术和信息安全人员为主,必要时可选择业务应
40、用人员、高级管理层及其他相关人员;一一一进行重点访谈,内容应充分,对安全管理规范、安全管理机制以及安全管理工作相关的具体情况有较深入了解。c) 第三级信息系统访谈调查质量控制要求如下:一一访谈对象以执行管理层、信息技术和信息安全人员、业务应用人员为主,并选择高级管理层及其他相关人员;一一进行较全面访谈,内容应覆盖各方面;对安全管理规范、安全管理机制以及安全管理工作的具体情况有全面了解。d) 第四级信息系统访谈调查质量控制要求如下:一一访谈对象以执行管理层、信息技术和信息安全人员、业务应用人员为主,并选择高级管理14 GB/T 28453-2012 层及其他相关人员;进行全面访谈,内容应覆盖各方
41、面;对安全管理体系相关的具体方面进行研究性或探究性讨论,力求准确、全面掌握安全管理要求落实情况细节。e) 第五级信息系统访谈调查质量控制要求如下:访谈对象以执行管理层、信息技术和信息安全人员、业务应用人员为主,并选择高级管理层、保密部门及其他相关人员;进行全面深入访谈,内容应覆盖各方面,或设定专项内容;对安全管理体系的具体方面进行研究性或探究性讨论,应准确、全面掌握安全管理要求落实情况细节。6. 1. 2 符合性检查3)JF?五/6.1.2.3 符合性检查质量控制对符合性检查的质量,应从检查对象的广度和检查内容的深度进行控制。根据不同安全等级的不同要求,符合性检查的质量控制分为:a) 第一级信
42、息系统符合性检查质量控制要求如下:对符合性检查的对象的种类和数量上抽样,种类和数量都较少;一-进行一般检查,利用有限证据或文件对安全管理控制进行概要的高层次检查、观察或核查,这类检查通常是利用规范、机制或活动的功能层面描述进行的。b) 第二级信息系统符合性检查质量控制要求如T:3) 本标准中符合性检查主要用于相关文档的检查。15 -GB/T 28453-2012 对符合性检查的对象的种类和数量上抽样,种类和数量都较多;进行重点检查,利用大量证据或文件对安全管理控制进行详细分析检查,这类检查通常是利用规范、机制、活动的功能层面描述或者高层次设计信息进行的。c) 第二级信息系统符合性检查质量控制要
43、求如下:对符合性检查的对象的种类和数量上抽样,基本覆盖;进行较全面检查,在重点检查的基础上,对主要安全管理控制措施实施的相关信息进行检查。d) 第四级信息系统符合性检查质量控制要求如下:一一对符合性检查的对象应逐项进行检查;一一进行全面检查:在重点检查的基础上,对各项安全管理控制措施实施的相关信息进行检查。e) 第五级信息系统符合性检查质量控制要求如下:一一对符合性检查的对象应逐项检查,或设定专项内容。一一进行全面深入检查:在重点检查的基础上,对各项安全管理控制措施实施的相关信息进行检查,对设定专项内容进行专门检查。6. 1. 3 有效性验证4)6. 1. 3. 1 有效性验证主要对象有效性验
44、证的对象主要是安全管理机制,具体对象是:a) 针对信息系统总体安全策略,以及信息系统设计实施中采取的安全保护措施,信息系统运行维护中执行的安全管理措施,验证其是否充分必要;b) 针对信息系统物理环境,包括信息系统开发和运行的物理环境安全状况,物理访问控制的功能验证;c) 针对信息系统运行维护,日常各种工作记录中反映的实际管理状况,安全配置设定的功能验证,访问控制、身份鉴别等实际控制能力的验证;d) 针对信息系统业务连续性,包括安全事件和应急响应记录中反映的实际管理状况,事件响应和意外防范能力的验证,信息系统备份操作的功能验证;巳)针对信息系统监视和审计,包括系统状态监视及安全审计信息记录中反映
45、的实际管理状况,系统监视功能及安全审计能力的验证;f) 针对被评估方认为已有的信息系统安全保护措施,验证其实际落实、执行以及效果状况。6. 1. 3. 2 有效性验证方法针对被评估信息系统确立的安全管理目标,通过对管理活动的实际考查,检验证明安全管理机制的有效性。有效性验证方法及评价主要包括:a) 确定有效性验证的主要对象,并按照信息系统设计、物理环境、工作记录、安全事件应急响应、安全监视及审计、已有保护措施执行等方面分类列出清单;b) 编制用于本次评估的有效性验证的各类现场检查表(见6.Z. 3. Z) ,并填写各个有效性验证对象的相关安全要求及管理目标等科目;c) 依据现场检查表分别对有效性验证的各类主要对象进行检验,通过观察和判断,适当时结合测试等辅助于段所进行的综合性的评价,并填写现场检查表相关科目内容;的本标准中有效性验证,主要是指对信息系统安全