密评快速提分技巧——管理制度

商用密码 > 测评技巧 商用密码测评 测评技巧
Created At :
Views 👀 :
  1. 1 管理制度层面
  2. 2 人员管理层面
  3. 3 建设运行
  4. 4 应急处置

管理制度是密评中相对容易得分的测评内容,可以按照以下进行相关准备:

1 管理制度层面

  • 具备密码应用安全管理制度: 制定人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理制度。
  • 密钥管理规则:
    • 准备密钥编制密码应用方案并通过评估。
    • 准备密钥管理规则相关文档(根据密码应用方案建立相应密钥管理规则),密钥管理制度及策略类文档内容包含密钥全生存周期的安全性保护相关内容,且对密钥管理规则需进行评审。
    • 信息系统重密钥按照密钥管理规则进行生存周期的管理。
  • 建立操作规程:
    • 准备密钥相关管理人员或操作人员的日常操作建立操作规程。
  • 定期修订安全管理制度:
    • 准备定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定记录。(对论证和审定后存在不足或需要改进的密钥应用安全管理制度和操作规程,提供修订记录)。
  • 明确管理制度发布流程:
    • 准备应用安全管理制度和操作规程内容具有相应明确的发布流程和版本控制。
  • 制度执行过程记录留存:
    • 准备密码应用操作规程执行过程中留存的相关执行记录文件。

判定准则:
测评单元准备材料都满足,该测评单元结果为符合,否则,为部分符合。
建议:
如果测评单元准备材料有一条不满足,则该测评单元无需再准备其他材料,材料多少不影响最终得分。

2 人员管理层面

  • 了解并遵守密码相关法律法规和密码管理制度:
    • 系统相关人员(负责人、安全主管、密钥管理员、密码安全审计员、密码操作员)了解并遵守密码相关法律法规和密码应用安全管理制度。
  • 建立密码应用岗位责任制度:
    • 准备密码应用岗位责任制度类文档,文档内容保护根据密码应用的实际情况,设置密钥管理员、密码安全审计员、密码操作人员等关键安全岗位并定义岗位职责;
    • 对关键岗位建立多人共管机制。
    • 禁止密码安全审计员岗位人员兼认密钥管理员、密码操作员等关键安全岗位;
    • 禁止相关设备与系统的管理与使用账号多人共用情况。
    • 密钥管理员、密码安全审计员、密码操作员应由本机构的内部员工担任,并应在任前对其进行背景调查(四级系统要求,提供证明文件)。
  • 建立上岗人员培训制度:
    • 准备安全教育和培训计划文档,内容具有针对涉及密码的操作和管理的人员的培训计划;
    • 准备安全教育和培训记录,内容包含有密码培训人员、密码培训内容、密码培训结果等的描述。
  • 定期进行安全岗位人员考核:
    • 准备安全管理制度文档,内容包含具体的人员考核制度和惩戒措施;
    • 准备人员考核记录,内容包含安全意识、密码操作管理技能及相关法律法规;
    • 准备记录表单类文档,需定期对岗位人员进行考核。
  • 建立关键岗位人员保密制度和调离制度:
    • 准备人员离岗的管理文档,内容包含关键岗位人员保密制度和调离制度等;
    • 准备保密协议文档,内容包括保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容。

判定准则:
测评单元准备材料都满足,该测评单元结果为符合,否则,为部分符合。
建议:
如果测评单元准备材料有一条不满足,则该测评单元无需再准备其他材料,材料多少不影响最终得分。

3 建设运行

  • 制定密码应用方案:
    • 准备通过评估密码应用方案(在信息系统规划阶段)。
  • 制定密钥安全管理策略:
    • 准备通过评估密码应用方案。
      • 已建成的系统,需要根据相关标准、密码应用需求以及前期密评的整改建议,制定密码应用改造方案可视为该系统的密码应用方案。
    • 准备密钥管理制度及策略类文档,内容包括确定系统设计的密钥种类、体系及生存周期环节。密钥管理制度及策略类文档需要和密码应用方案保持一致(若信息系统没有相应的密码应用方案,则核查密钥管理制度及策略类文档是否根据 GB/T 39786-2021)。
    • 准备相关密钥管理过程记录,记录需按照密钥管理制度及策略类文档完成密钥管理。
  • 制定实施方案:
    • 准备通过评估密码应用方案;
    • 准备密码实施方案文档,需要和密码应用方案保持一致。
  • 投入运行前进行密码应用安全性评估:
    • 准备系统投入运行前的密码应用安全性评估报告(要求信息系统投入运行前组织进行密码应用安全性评估,二级及以下系统可以不要求通过评估,三级及以上系统需要通过评估)。
  • 定期开展密码应用安全性评估及攻防对抗演习:
    • 准备信息系统投入运行后,定期进行的密码应用安全性评估报告及攻防对抗演戏报告。
    • 准备整改方案(如果未通过评估,需准备整改方案和记录文档),并进行相应整改。

判定准则:
测评单元准备材料都满足,该测评单元结果为符合,否则,为部分符合。
建议:
如果测评单元准备材料有一条不满足,则该测评单元无需再准备其他材料,材料多少不影响最终得分。

4 应急处置

  • 应急策略:
    • 准备密码应用应急策略,内容包含根据密码应用安全事件等级制定了相应的密码应用应急策略,密码应用安全事件发生时的应急处理流程及其他管理措施,并遵照执行。
    • 提供评审记录(对应急策略进行评审)。
    • 准备应急处置记录类文档(如发生过密码应用安全事件需提供),
  • 事件处置(若发生过密码应用安全事件):
    • 应用安全事件发生后,及时向信息系统主管部门进行报告(针对三级系统,提供证明材料)
    • 应用安全事件发生后,及时向信息系统主管部门及归属的密码管理部门进行报告(针对四级系统,提供证明材料)。
  • 向有关主管部门上报处置情况(若发生过密码应用安全事件):
    • 准备安全事件发生情况及处置情况报告(密码应用安全事件处置完成后,向信息系统主管部门及归属的密码管理部门报告事件发生情况及处置情况)。

判定准则:
测评单元准备材料都满足,该测评单元结果为符合,否则,为部分符合。
建议:
如果测评单元准备材料有一条不满足,则该测评单元无需再准备其他材料,材料多少不影响最终得分。

转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 dacker1993@gmail

💰

©2016-2020 suzi

Built with Hexo and 3-hexo theme

×

Help us with donation