GB/T 28453-2012 信息安全技术 信息系统安全管理评估要求

　　ICS 35. 040 L 80

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 28453—2012

　　信息安全技术

　　信息系统安全管理评估要求

　　Information securitytechnology—

　　Information system security managementassessmentrequirements

　　2012-06-29发布 2012-10-01实施

　　中华人民共和国国家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会

　　

　　发

　　

　　布

　　GB/T 28453—2012

　　目 次

　　前言 Ⅲ

　　引言 Ⅳ

　　1 范围 1

　　2 规范性引用文件 1

　　3 术语和定义 1

　　4 评估原则和模式 2

　　4. 1 管理评估的原则 2

　　4. 2 管理评估的工作模式 2

　　5 评估组织和活动 3

　　5. 1 评估组织 3

　　5. 1. 1 评估实施团队 3

　　5. 1. 2 评估管理机构 3

　　5. 1. 3 被评估方相关人员 4

　　5. 2 评估目标范围和依据 4

　　5. 2. 1 评估目标 4

　　5. 2. 2 评估范围 5

　　5. 2. 3 评估依据 5

　　5. 3 评估活动内容 5

　　5. 3. 1 评估准备及启动 5

　　5. 3. 2 确定信息系统资产及安全需求 6

　　5. 3. 3 确定信息系统安全管理现状 8

　　5. 3. 4 确定信息系统安全管理评估结论 12

　　5. 3. 5 评估结束及后续安排 13

　　6 安全管理评估的方法 、工具和实施 14

　　6. 1 评估方法 14

　　6. 1. 1 访谈调查 14

　　6. 1. 2 符合性检查 15

　　6. 1. 3 有效性验证 16

　　6. 1. 4 技术检测 17

　　6. 2 评估工具 19

　　6. 2. 1 调查表 19

　　6. 2. 2 访谈问卷 20

　　6. 2. 3 检查表 21

　　6. 3 评估的实施 22

　　6. 3. 1 评估实施控制 22

　　6. 3. 2 评估结论判断 23

　　Ⅰ

　　GB/T 28453—2012

　　7 分等级管理评估 25

　　7. 1 规划立项管理评估要求 25

　　7. 1. 1 本阶段评估范围 25

　　7. 1. 2 第一级信息系统 25

　　7. 1. 3 第二级信息系统 27

　　7. 1. 4 第三级信息系统 29

　　7. 1. 5 第四级信息系统 30

　　7. 1. 6 第五级信息系统 32

　　7. 2 设计实施管理评估要求 34

　　7. 2. 1 本阶段评估范围 34

　　7. 2. 2 第一级信息系统 36

　　7. 2. 3 第二级信息系统 38

　　7. 2. 4 第三级信息系统 41

　　7. 2. 5 第四级信息系统 44

　　7. 2. 6 第五级信息系统 47

　　7. 3 运行维护管理评估要求 50

　　7. 3. 1 本阶段评估范围 50

　　7. 3. 2 第一级信息系统 52

　　7. 3. 3 第二级信息系统 54

　　7. 3. 4 第三级信息系统 56

　　7. 3. 5 第四级信息系统 59

　　7. 3. 6 第五级信息系统 62

　　7. 4 终止处置管理评估要求 65

　　7. 4. 1 本阶段评估范围 65

　　7. 4. 2 第一级信息系统 66

　　7. 4. 3 第二级信息系统 67

　　7. 4. 4 第三级信息系统 69

　　7. 4. 5 第四级信息系统 71

　　7. 4. 6 第五级信息系统 73

　　附录 A (资料性附录) 信息系统安全管理评估参照表 76

　　参考文献 189

　　Ⅱ

　　GB/T 28453—2012

　　前 言

　　本标准按照 GB/T 1. 1—2009给出的规则起草 。

　　请注意本文件的某些内容可能涉及专利 。本文件的发布机构不承担识别这些专利的责任 。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归 口 。

　　本标准起草单位 :北京江南天安科技有限公司 。

　　本标准主要起草人 : 陈冠直 、吉增瑞 、陈硕 、景乾元 、王志强 。

　　Ⅲ

　　GB/T 28453—2012

　　引 言

　　本标准依据国家有关信息安全等级保护的政策法规 ,提出了用于规范信息系统安全管理评估的要求 。 主要包括信息系统安全管理评估的原则和模式 、组织和活动 、方法工具和实施等要求 , 以及在信息系统生存周期各个阶段 ,针对第一级到第五级信息系统安全管理评估的要求 。

　　信息系统安全管理评估的主体包括信息系统的主管领导部门 、信息安全监管机构 、信息系统的管理者 、第三方评估机构等 ,对应的评估可以是检查评估 、自评估或第三方评估 。本标准中对三种评估模式提出共同要求时统称评估 。信息系统安全管理评估以信息安全管理体系为主线进行评估 ,必要时采集信息安全技术测评结果进行综合分析 。信息系统安全管理评估可以是独立的评估 ,也可以与信息安全技术测评联合进行综合评估 。信息系统安全管理评估贯穿于信息系统的整个生存周期 ,各阶段管理评估的原则和方法是一致的 ,各阶段安全管理的内容 、对象 、安全需求存在一定不同 ,使得安全管理评估的目的 、要求等各方面也有所不同 。信息系统安全管理评估针对信息安全保护各个等级的信息系统 ,安全管理评估的要求随着保护等级的提高而增强 。

　　本标准第 4章阐述管理评估的原则和模式 ;第 5 章阐述管理评估的组织 、评估目标范围和依据 、管理活动的内容 ;第 6章阐述管理评估方法 、管理评估工具 、管理评估实施 ,给出了各个安全保护等级的安全管理评估需要执行的共同要求和评估方法 ;第 7章分等级评估 , 以 GB/T 20269—2006规定的信息系统安全管理要求为基本依据 ,从信息系统生存周期的规划立项阶段 、设计实施阶段 、运行维护阶段 、终止处置阶段 ,对五个安全保护等级的安全管理评估要求分别进行描述 。 附录 A 中提供的信息系统安全管理评估参照表 ,描述了本标准中有关各等级信息系统安全管理评估要求的具体评估内容要点 。

　　本标准仍沿用 GB/T 20269—2006 中的称谓 ,对于信息系统的所有者可包括国家机关 、事业单位 、厂矿企业 、公司 、集团等各种类型和不同规模的组织机构 ,统称为 “组织机构 ”。

　　Ⅳ

　　GB/T 28453—2012

　　信息安全技术

　　信息系统安全管理评估要求

　　1 范围

　　本标准依据 GB/T 20269—2006规定的信息系统分等级安全管理要求 ,从信息系统生存周期的不同阶段 ,规定了对信息系统进行安全管理评估的原则和模式 、组织和活动 、方法和实施 ,提出了信息安全等级保护第一级到第五级的信息系统安全管理评估的要求 。

　　本标准适用于相关组织机构(部门) 对信息系统实施安全等级保护所进行的安全管理评估与 自评估 , 以及评估者和被评估者对评估的管理 。

　　2 规范性引用文件

　　下列文件对于本文件的应用是必不可少的 。凡是注 日期的引用文件 ,仅注 日期的版本适用于本文件 。凡是不注日期的引用文件 ,其最新版本(包括所有的修改单)适用于本文件 。

　　GB 17859—1999 计算机信息系统 安全保护等级划分准则

　　GB/T 20269—2006 信息安全技术 信息系统安全管理要求

　　GB/T 20282—2006 信息安全技术 信息系统安全工程管理要求

　　GB/T 25070—2010 信息安全技术 信息系统等级保护安全设计技术要求

　　3 术语和定义

　　GB 17859—1999、GB/T 20269—2006中界定的以及下列术语和定义适用于本文件 。 3. 1

　　安全评估 security assessment

　　依照国家有关法规与标准 ,对信息系统的安全保障程度进行评估的活动 ,包括安全技术评估和安全管理评估 。本标准所述评估是指信息系统安全管理评估 。

　　3. 2

　　自评估 self-assessment

　　由信息系统所有者自身发起 ,组成组织机构内部的评估机构 ,依据国家有关法规与标准 ,对信息系统安全管理进行的评估活动 。

　　3. 3

　　检查评估 inspection assessment

　　由被评估信息系统所有者的上级主管部门 、业务主管部门或国家相关监管部门发起的 ,依据国家有关法规与标准 ,对信息系统安全管理进行的评估活动 。

　　3. 4

　　第三方评估 third party assessment

　　由信息系统所有者委托商业评估机构或其他评估机构 ,依据国家有关法规与标准 ,对信息系统安全管理进行的评估活动 。

　　1

　　GB/T 28453—2012

　　3. 5

　　安全审计 security audit

　　对信息系统的各种安全 相 关 事 件 的 行 为 , 按 规 定 进 行 信 息 收 集 、记 录 和 分 析 , 并 采 取 相 应 动 作 的过程 。

　　3. 6

　　验证 verification

　　通过客观证据 ,对事务是否达到规定要求进行认定的过程 ,包括真实性验证和有效性验证 。客观证据是指支持事务的真实性 、有效性的数据 ,可通过观察 、测量 、试验或其他手段获得 。

　　3. 7

　　有效性 effectiveness

　　完成策划的活动并得到相应结果的程度的表征 。

　　3. 8

　　质量控制 quality assurance

　　质量管理的一部分 ,致力于满足质量要求 。本标准中的质量控制是指对信息安全管理过程的各种行为质量的控制 。

　　4 评估原则和模式

　　4. 1 管理评估的原则

　　对信息系统安全管理的评估应坚持以下原则 :

　　a) 科学性原则 :按照科学的评估方法和过程 , 以严谨的科学态度 ,全面 、准确 、客观地开展评估工作 ,做出科学的评估结论 ;

　　b) 公正性原则 :评估机构是中立权威的 , 自评估团队是相对独立的 ,检查评估机构是符合法规和组织原则的 , 同时要防止被评估对象的影响 ,并排除外界因素的干扰 ,从而确保评估结果是客观公正的 ;

　　c) 针对性原则 :针对性地选用评估方法和评估工具 ;针对被评估信息系统安全管理的实际情况和特征 ,收集有关资料对系统进行全面地分析 ;针对主要管理环节及主要部位进行重点评估 ;

　　d) 实用性原则 :系统分析和评价方法要适合被评估信息系统的实际情况 ,操作简单 ,结论明确 ,成效显著 。

　　4. 2 管理评估的工作模式

　　从评估主体的角度 ,信息系统安全管理评估可分为检查评估 、自评估和第三方评估等工作模式 ,其适用范围包括 :

　　a) 检查评估 :

　　— 是指由被评估信息系统所有者的上级主管部门 、业务主管部门或国家相关监管部门发起的 ,依据国家有关法规与标准 ,对信息系统安全管理进行的评估活动 ;

　　— 适用于上级主管机关 、业务主管部门或国家相关监管部门 ,对其下属或监管范围内组织机构信息系统安全管理进行的检查性的评估活动 ;

　　b) 自评估 :

　　— 是指由信息系统所有者自身发起 ,组成组织机构内部的评估机构 ,依据国家有关法规与标准 ,对信息系统安全管理进行的评估活动 ;

　　— 适用于组织机构对自身所拥有 、运营或使用的信息系统安全管理进行的评估活动 ;

　　c) 第三方评估 :

　　2

　　GB/T 28453—2012

　　— 是指由信息系统所有者委托商业评估机构或其他评估机构 ,依据国家有关法规与标准 ,对信息系统安全管理进行的评估活动 ;

　　— 适用于组织机构委托商业评估机构或其他评估机构 ,对自身所拥有 、运营或使用的信息系统安全管理进行的评估活动 。

　　5 评估组织和活动

　　5. 1 评估组织

　　5. 1. 1 评估实施团队

　　5. 1. 1. 1 检查评估实施团队

　　检查评估实施团队组成的要求如下 :

　　a) 检查评估实施团队由信息系统上级管理部门或国家有关职能部门委派 ;

　　b) 派出机构有关领导和相关部门负责人作为检查评估实施团队的领导 ;

　　c) 派出机构相关部门的信息技术 、信息安全以及相关业务有经验的技术和管理人员参加 ;

　　d) 必要时 ,检查评估实施团队可聘请相关专业的技术专家和技术骨干组成专家小组 。

　　5. 1. 1. 2 自评估实施团队

　　组织机构对自身所拥有 、运营或使用的信息系统安全管理进行的评估 , 自评估实施团队组成的要求如下 :

　　a) 组织机构信息安全主管领导或信息安全领导小组应指派信息部门或业务部门负责人任自评估实施团队负责人 ;

　　b) 自评估实施团队 负 责 人 根 据 参 与 评 估 的 范 围 确 定 评 估 组 成 员 的 数 量 , 为 自 评 估 团 队 选 择 成员 ,并报请主管领导批准 ;

　　c) 自评估实施团队应由管理层 、相关业务骨干 、信息技术和信息安全人员 、信息安全人员等组成 ,主要来自信息部门和业务部门 ,核心成员为 3~ 5人 ;

　　d) 在评估过程中 , 自评估实施团队与被评估方应是相对独立地进行评估工作 , 被评估方不应干涉或干扰评估结论 ;

　　e) 必要时 ,可聘请相关专业的技术专家和技术骨干组成专家小组 。

　　5. 1. 1. 3 第三方评估实施团队

　　第三方评估实施团队组成的要求如下 :

　　a) 第三方评估实施团队由受委托的安全评估服务技术支持方委派 ;

　　b) 受委托的安全评估服务技术支持方相关部门或项目主管任评估实施团队负责人 ;

　　c) 第三方评估实施团队由熟悉信息技术 、信息安全技术 、信息安全管理,熟悉委托方业务 ,具有相关资质的人员组成 ;

　　d) 对信息安全等级第三级及以上的信息系统进行评估的第三方评估实施团队 ,应符合国家职能部门有关评估机构选择的规定 ,可参见附录 A 的 A. 4. 3。

　　5. 1. 2 评估管理机构

　　应针对不同模式的信息安全管理评估组建评估管理机构 :

　　a) 评估工作组 :检查评估时 ,接受检查的组织机构应组建由主管领导和相关部门负责人参加的评估工作组 ,配合检查评估团队的工作 ;

　　3

　　GB/T 28453—2012

　　b) 自评估工作领导小组 :组织机构信息安全主管领导或信息安全领导小组主管自评估工作 ,应组建由主管领导和相 关 部 门 负 责 人 参 加 的 自 评 估 工 作 领 导 小 组 , 指 导 和 监 督 自 评 估 团 队 的工作 ;

　　c) 评估工作领导小组 :第三方评估时 ,应组建由评估方 、被评估方领导及相关部门负责人参加的安全评估工作领导小组 ,指导和控制第三方评估团队的工作 ;安全评估工作领导小组中被评估方领导应负责监督或指派有关部门负责人监督第三方评估团队的工作 。

　　5. 1. 3 被评估方相关人员

　　被评估方相关人员应包括 :

　　a) 高级管理层 :组织机构的领导 、信息化主管领导 、信息安全主管领导等 ;

　　b) 执行管理层 :信息部门负责人 、信息安全部门负责人 、业务部门负责人 、人事部门负责人等 ;

　　c) 信息技术和信息安全相关人员 ,包括 :

　　— 系统建设主管及系统设计 、软件开发 、系统集成人员 ;

　　— 运行维护主管及网络系统 、操作系统 、数据库系统 、应用系统 、硬件设备等系统管理及运维人员 ;

　　— 信息安全主管及安全管理 、审计管理人员 、文档介质管理人员 ;

　　— 物理安全主管及资产管理 、机房值守 、机房维护人员 ;

　　— 外包服务方主管及外包方运行 、维护人员 ;

　　d) 业务应用人员 ,包括业务部门主管 、业务应用系统管理人员1) 、业务应用系统开发人员和操作人员 。

　　5. 2 评估目标范围和依据

　　5. 2. 1 评估目标

　　5. 2. 1. 1 具体评估目标

　　信息系统安全管理评估的一般目标是 ,识别信息系统安全管理存在的信息安全风险 ,并确定其大小 ,为制定信息安全方针 ,选择适当的控制目标与控制方式提供决策依据 。每一次评估的具体目标可能会存在一定差异 ,应明确每一次评估的具体目标 ,可以是 :

　　a) 针对规划立项阶段的安全管理评估 ,主要从策略和制度管理 、机构和人员管理 、风险管理 、监督和检查管理 、规划和立项管理等方面 ,评价信息系统的系统分析和安全定级 、信息系统安全需求分析 、信息系统总体安全规划 、信息系统安全项目立项等关键环节的安全管理状况 ;

　　b) 针对信息系统设计实施阶段的安全管理评估 , 主要从策略和制度管理 、机构和人员管理 、风险管理 、环境和资源管理 、安全机制保障管理 、业务连续性管理 、监督和检查管理 、建设过程管理等方面 ,评价信息系统的系统安全设计 、系统采购控制 、系统开发控制 、管理措施制定 、集成及配置管理 、测试及验收管理等关键环节的安全管理状况 ;

　　c) 针对信息系统运行维护阶段的安全管理评估 , 主要从策略和制度管理 、机构和人员管理 、风险管理 、环境和资源管理 、日常运维管理 、业务连续性管理 、监督和检查管理等方面 ,评价信息系统的运行操作 、系统维护 、安全监控 、业务连续性 、变更控制 、外包 、安全检查 、持续改进等关键环节的安全管理状况 ;

　　d) 针对信息系统终止处置阶段的安全管理评估 , 主要从策略和制度管理 、机构和人员管理 、风险

　　1) 应用系统管理人员主要负责应用系统用户账户 、权限管理 , 以及应用系统其他 日 常 运 行 维 护 ; 与 一 般 信 息 技 术人员不同 ,应用系统管理人员应熟悉应用系统所支持的业务流程和业务管理 。

　　4

　　GB/T 28453—2012

　　管理 、环境和资源管理 、监督和检查管理 、终止处置过程管理等方面 ,评价信息系统的系统终止审批 、信息转移及清除 、设备迁移或废弃 、存储介质清除或销毁等关键环节的安全管理状况 。

　　也可以是针对系统故障或安全事件的评估 、针对组织机构变动或系统变更的评估 ,或定期进行的信息系统安全管理评估 。

　　5. 2. 1. 2 具体评估目标的提出

　　不同评估工作模式的具体评估目标的提出 ,要求如下 :

　　a) 检查评估的具体评估目标 , 由被评估信息系统所有者的上级主管部门 、业务主管部门或国家相关监管部门(评估发起部门)提出 ;

　　b) 自评估的具体评估目标 , 由信息系统所属组织机构领导提出 ,可听取自评估实施团队的意见 ;

　　c) 第三方评估的具体评估目标 , 由信息系统所属单位(委托方)领导提出 ,受委托的第三方评估机构的实施团队应充分理解委托方提出的评估目标 ,必要时可提出建议 。

　　5. 2. 2 评估范围

　　信息系统安全管理评估的一般评估范围 ,可以是与全部业务处理相关的信息系统 ,也可以是某个特定业务处理的信息系统 。针对某一次评估 ,应根据具体评估目标 ,确定评估的具体范围 ,并形成相关文档 。不同评估工作模式的具体评估范围的确定 ,要求如下 :

　　a) 检查评估的具体评估范围 , 由被评估信息系统所有者的上级主管部门 、业务主管部门或国家相关监管部门(评估发起单位)确定 ;

　　b) 自评估的具 体 评 估 范 围 , 由 信 息 系 统 所 属 组 织 机 构 的 领 导 确 定 , 可 听 取 自 评 估 实 施 团 队 的意见 ;

　　c) 第三方评估的具体评估范围 , 由信息系统所属组织机构(委托方)的领导确定 ,受委托的第三方评估机构的实施团队应充分理解委托方确定的评估范围 ,确认具体评估范围能够满足评估 目标的要求 ,如不能满足应及时提出并与被评估方协商解决 。

　　对于涉及国家秘密的信息和信息系统安全管理的评估 ,应按照国家有关保密管理 、密码管理规定和相关测评标准执行 。

　　5. 2. 3 评估依据

　　信息系统安全管理评估以 GB/T 20269—2006 的安全管理要求为主要依据 ,并参考业务应用对信息系统安全运行的需求 ,确定相关的判断依据 ,如 :

　　a) 行业主管部门对信息系统的业务和安全要求 ;

　　b) 信息系统互联单位的业务和安全要求 ;

　　c) 信息系统本身的实时性或性能要求 。

　　5. 3 评估活动内容

　　5. 3. 1 评估准备及启动

　　5. 3. 1. 1 评估准备

　　评估方应通过与被评估方评估管理机构沟通从以下方面开展评估准备工作 :

　　a) 确定评估实施团队的成员及职责等 ;

　　b) 对评估实施团队的成员进行培训 ;

　　c) 获得被评估方高级管理层对评估的支持 ;

　　d) 确定评估的系统范围和管理界限 ;

　　5

　　GB/T 28453—2012

　　e) 确定评估的具体判断依据(见 5. 2. 3) ;

　　f) 协商选择被评估方的参与人员 ;

　　g) 协调解决评估所需的后勤保障工作 ;

　　h) 协商确定评估工作计划和时间进度安排 ;

　　i) 取得以下阶段性成果及文档 :

　　— 被评估方高级管理层对评估工作支持的决议 、批示或表态 ;

　　— 评估实施团队成员名单 ;

　　— 对评估实施团队的成员进行信息安全评估方法的培训 ;

　　— 实施信息安全评估的工作范围 ;

　　— 被评估方参与人员名单 ,包括涉及的高级管理层 、执行管理层 、信息技术和信息安全人员 、业务应用人员等 ;

　　— 评估的详细计划 ,包括工作内容 、工作形式 、工作成果等内容 , 以及实施的时间进度安排 ;

　　— 参与人员应了解在评估工作中的岗位责任 。

　　5. 3. 1. 2 评估工作需获得的支持

　　通过评估准备应从以下方面获得对评估工作的支持 :

　　a) 评估工作应得到被评估方最高管理者的批准同意 ;

　　b) 评估实施团队应将评估的过程 、存在的风险 、花费的时间和人员的使用情况等告知被评估方主管评估的领导 ;

　　c) 从以下方面得到被评估方主管评估的领导的明确支持 :

　　— 对评估工作持续支持的明确表示 ;

　　— 明确激励员工参与的措施 ;

　　— 完成所有评估工作需要的职责和授权 ;

　　— 承诺提供评估所需的资源 ;

　　— 参加评估结果和改进建议的审核 。

　　5. 3. 1. 3 评估启动

　　在评估准备工作完成的基础上 , 召开评估启动会 , 向与会被评估方领导及所有参与者进行工作简介 ,并宣布评估工作启动 。

　　5. 3. 2 确定信息系统资产及安全需求

　　5. 3. 2. 1 对高级管理层的访谈调查

　　对高级管理层有关信息系统资产及安全需求的访谈调查 ,要求做到 :

　　a) 确定高级管理层识别的信息系统基本情况 ,信息系统资产及其优先顺序 ,记录在资产调查表(见 6. 2. 1. 1) ;

　　b) 确定高级管理层认识到信息系统面临的威胁 ,对信息系统安全的关注范围 ,记录在关注范围调查表(见 6. 2. 1. 2) ;

　　c) 确定高级管理层认为最关键资产及其管理的安全需求 ,记录在安全需求调查表(见 6. 2. 1. 3) ;

　　d) 应取得以下阶段性成果及文档 :

　　— 按优先级排列的高级管理层识别的资产 ;

　　— 高级管理层关注的范围 ;

　　— 高级管理层认为最关键资产及其管理的安全需求 ;

　　6

　　GB/T 28453—2012

　　— 高级管理层的访谈记录 。

　　5. 3. 2. 2 对执行管理层的访谈调查

　　对执行管理层有关信息系统资产及安全需求的访谈调查 ,要求做到 :

　　a) 确定执行管理层识别的信息系统基本情况 ,信息系统资产及其优先顺序 ,记录在资产调查表 ;

　　b) 确定执行管理层认识到信息系统面临的威胁 ,对信息系统安全的关注范围 ,记录在关注范围调查表 ;

　　c) 确定执行管理层认为最关键资产及其管理的安全需求 ,记录在安全需求调查表 ;

　　d) 应取得以下阶段性成果及文档 :

　　— 按优先级排列的执行管理层识别的资产 ;

　　— 执行管理层关注的范围 ;

　　— 执行管理层认为最关键资产及其管理的安全需求 ;

　　— 执行管理层的访谈记录 。

　　5. 3. 2. 3 对信息技术和信息安全人员的访谈调查

　　对信息技术和信息安全人员有关信息系统资产及安全需求的访谈调查 ,要求做到 :

　　a) 确定信息技术和信息安全人员识别的信息系统基本情况 ,信息系统资产及其优先顺序 ,记录在资产调查表 ;

　　b) 确定信息技术和信息安全人员认识到信息系统面临的威胁 ,对信息系统安全的关注范围 ,记录在关注范围调查表 ;

　　c) 确定信息技术和信息安全人员认为最关键资产及其管理的安全需求 ,记录在安全需求调查表 ;

　　d) 应取得以下阶段性成果及文档 :

　　— 按优先级排列的信息技术和信息安全人员识别的资产 ;

　　— 信息技术和信息安全人员关注的范围 ;

　　— 信息技术和信息安全人员认为最关键资产及其管理的安全需求 ;

　　— 信息技术和信息安全人员的访谈记录 。

　　5. 3. 2. 4 对业务应用人员的访谈调查

　　对业务应用人员有关信息系统资产及安全需求的访谈调查 ,要求做到 :

　　a) 确定业务应 用 人 员 识 别 的 信 息 系 统 基 本 情 况 , 信 息 系 统 资 产 及 其 优 先 顺 序 , 记 录 在 资 产 调查表 ;

　　b) 确定业务应用人员认识到信息系统面临的威胁 ,对信息系统安全的关注范围 ,记录在关注范围调查表 ;

　　c) 确定业务应用人员认为最关键资产及其管理的安全需求 ,记录在安全需求调查表 ;

　　d) 应取得以下阶段性成果及文档 :

　　— 按优先级排列的业务应用人员识别的资产 ;

　　— 业务应用人员关注的范围 ;

　　— 业务应用人员认为最关键资产及其管理的安全需求 ;

　　— 业务应用人员的访谈记录 。

　　5. 3. 2. 5 对信息系统资产及安全需求的确定

　　对信息系统资产及安全需求的确定 ,要求做到 :

　　a) 汇总归纳访谈调查得到的信息系统的基本描述 、资产调查表 、关注范围调查表和安全需求调

　　7

　　GB/T 28453—2012

　　查表 ;

　　b) 按照支撑业务或岗位的重要程度为资产 、安全需求 、关注范围等分组 ;

　　c) 选择并确定信息系统关键资产及其管理的安全需求 ;

　　d) 标注信息系统资产表中的资产面临的威胁及关注范围 ;

　　e) 应取得以下阶段性成果及文档 :

　　— 信息系统的基本描述 ;

　　— 资产 、安全需求 、关注范围分类 ;

　　— 关键资产及其管理的安全需求 ;

　　— 关键资产的关注范围 。

　　5. 3. 2. 6 对关键环节和核心部位的确定

　　根据信息系统资产及安全需求 ,对信息系统安全管理的关键环节和核心部位的确定 ,要求做到 :

　　a) 确定待审核的信息系统安全策略和管理制度文档 ;

　　b) 确定待检查的信息系统物理环境和工作记录 ;

　　c) 确定待检测的信息系统核心部位及关键组件 ;

　　d) 确定待核查的信息系统安全管理关键环节 ;

　　e) 应取得以下阶段性成果及文档 :

　　— 信息系统安全策略和管理制度文档的范围和审核方法 ;

　　— 信息系统物理环境及工作记录的范围和检查方法 ;

　　— 信息系统核心部位及关键组件的范围和测评结果收集方法 ;

　　— 信息系统安全管理关键环节的范围和核查方法 。

　　5. 3. 3 确定信息系统安全管理现状

　　5. 3. 3. 1 对高级管理层的访谈调查

　　使用相应的访谈问卷(见 6. 2. 2) ,对高级管理层有关信息系统安全管理现状的访谈调查 ,应做到 :

　　a) 确定高级管理层识别的信息系统安全策略及其优先顺序 ,与业务需求的一致性 ;

　　b) 确定高级管理层认为已实施的信息系统安全保护措施和管理制度以及执行情况 ,记录在保护措施调查表(见 6. 2. 1. 4) ;

　　c) 确定高级管理层认为信息系统安全管理机构和相关人员的职责要求以及执行情况 ;

　　d) 确定高级管理层对现行安全策略和安全管理存在不足的了解程度 ,包括发生过的安全事件 ;

　　e) 应取得以下阶段性成果及文档 :

　　— 按优先级排列的高级管理层认为的信息系统安全策略 ;

　　— 高级管理层认为已实施的信息系统安全保护措施和管理制度以及执行情况 ;

　　— 高级管理层认为信息系统安全管理机构和相关人员的职责要求以及执行情况 ;

　　— 高级管理层对现行安全策略和安全管理存在不足的了解程度 , 以及与安全管理要求存在的差距 ,包括发生过的安全事件 ;

　　— 高级管理层的访谈记录 、保护措施调查表 。

　　5. 3. 3. 2 对执行管理层的访谈调查

　　使用相应的访谈问卷 ,对执行管理层有关信息系统安全管理现状的访谈调查 ,应做到 :

　　a) 确定执行管理层认为的信息系统安全策略及其优先顺序 ,与业务需求的一致性 ;

　　b) 确定执行管理层认为已实施的信息系统安全保护措施和管理制度以及执行情况 ,记录在保护

　　8

　　GB/T 28453—2012

　　措施调查表 ;

　　c) 确定执行管理层认为信息系统安全管理机构和相关人员的职责要求及其执行情况 ;

　　d) 确定执行管理层对信息系统规划立项 、设计实施 、运行维护 、终止处置的安全管理要求和实践措施 ;

　　e) 确定执行管理层对现行安全策略和安全管理存在不足的了解程度 ,包括发生过的安全事件 ;

　　f) 应取得以下阶段性成果及文档 :

　　— 按优先级排列的执行管理层识别的信息系统安全策略 ;

　　— 执行管理层认为已实施的信息系统安全保护措施和管理制度以及执行情况 ;

　　— 执行管理层认为信息系统安全管理机构和相关人员的职责要求以及执行情况 ;

　　— 执行管理层对信息系统规划立项 、设计实施 、运行维护 、终止处置的安全管理要求和实践措施 ;

　　— 执行管理层对现行安全策略和安全管理存在不足的了解程度 , 以及与安全管理要求存在的差距 ,包括发生过的安全事件 ;

　　— 执行管理层的访谈记录 、保护措施调查表 。

　　5. 3. 3. 3 对信息技术和信息安全人员的访谈调查

　　使用相应的访谈问卷 ,对信息技术人员和信息安全人员有关信息系统安全管理现状的访谈调查 ,应做到 :

　　a) 确定信息技术和信息安全人员认为的信息系统安全策略及其优先顺序 ,与业务需求的一致性 ;

　　b) 确定信息技术和信息安全人员认为已实施的信息系统安全保护措施和管理制度以及执行情况 ,记录在保护措施调查表 ;

　　c) 确定信息技术和信息安全人员认为的信息系统安全管理机构和相关人员(包括被访谈人)的职责要求 , 以及执行情况 ;

　　d) 确定信息技术和信息安全人员认为的信息系统规划立项 、设计实施 、运行维护 、终止处置的安全管理要求和实践措施 ;

　　e) 确定信息技术和信息安全人员对现行安全策略和安全管理存在不足的了解程度 ,包括发生过的安全事件 ;

　　f) 应取得以下阶段性成果及文档 :

　　— 按优先级排列的信息技术和信息安全人员识别的信息系统安全策略 ;

　　— 信 息 技 术 和 信 息 安 全 人 员 认 为 已 实 施 的 信 息 系 统 安 全 保 护 措 施 和 管 理 制 度 以 及 执 行情况 ;

　　— 信息技术和信息安全人员认为信息系统安全管理机构和相关人员的职责要求以及执行情况 ;

　　— 信息技术和信息安全人员对信息系统规划立项 、设计实施 、运行维护 、终止处置的安全管理要求和实践措施 ;

　　— 信息技术和信息安全人员对现行安全策略和安全管理存在不足的了解程度 , 以及与安全管理要求存在的差距 ,包括发生过的安全事件 ;

　　— 信息技术和信息安全人员的访谈记录 、保护措施调查表 。

　　5. 3. 3. 4 对业务应用人员的访谈调查

　　使用相应的访谈问卷 ,对业务应用人员有关信息系统安全管理现状的访谈调查 ,应做到 :

　　a) 确定业务应用人员认为的信息系统安全策略及其优先顺序 ,与业务需求的一致性 ;

　　b) 确定业务应用人员认为已实施的信息系统安全保护措施和管理制度以及执行情况 ,记录在保

　　9

　　GB/T 28453—2012

　　护措施调查表 ;

　　c) 确定业务应用人员认为的信息系统安全管理机构和相关人员(包括被访谈人) 的职责要求 , 以及执行情况 ;

　　d) 确定业务应用人员认为的信息系统规划立项 、设计实施 、运行维护 、终止处置的安全管理要求和实践措施 ;

　　e) 确定业务应用人员对现行安全策略和安全管理存在不足的了解程度 ,包括发生过的安全事件 ;

　　f) 应取得以下阶段性成果及文档 :

　　— 按优先级排列的业务应用人员识别的信息系统安全策略 ;

　　— 业务应用人员认为已实施的信息系统安全保护措施和管理制度以及执行情况 ;

　　— 业务应用人员认为信息系统安全管理机构和相关人员的职责要求以及执行情况 ;

　　— 业务应用人员对信息系统规划立项 、设计实施 、运行维护 、终止处置的安全管理要求和实践措施 ;

　　— 业务应用人员对现行安全策略和安全管理存在不足的了解程度 , 以及与安全管理要求存在的差距 ,包括发生过的安全事件 ;

　　— 业务应用人员的访谈记录 、保护措施调查表 。

　　5. 3. 3. 5 对安全策略制度文档的符合性检查

　　按照 5. 3. 2. 6确定的安全策略制度文档范围进行符合性检查 ,必要时可根据访谈调查结果调整检查范围 ,应做到 :

　　a) 对确定的安全策略及管理制度文档 、操作规程等使用文档检查表(见 6. 2. 3. 1)逐一进行审查 ;

　　b) 对信息系统安全策略及管理制度文档体系框架的总体分析 ;

　　c) 对信息系统安全策略及制度文档的内容和结构进行逐一评价 ;

　　d) 应取得以下阶段性成果及文档 :

　　— 信息系统安全策略及制度文档审查原始材料 ;

　　— 信息系统安全策略及制度文档体系和内容结构存在问题的描述 ;

　　— 实施自评估时 ,应提供信息系统安全策略及制度文档体系和内容结构的改进建议(概述) 。

　　5. 3. 3. 6 对关键环节安全管理的有效性验证

　　按照 5. 3. 2. 6确定的信息系统物理环境和工作记录范围 , 以及访谈调查中确认已采取的安全保护措施进行有效性验证 ,必要时可根据访谈调查结果调整验证范围 ,应做到 :

　　a) 对信息系统设计中采取的安全机制 、贯彻总体安全策略 ,是否存在缺失或不当问题按照现场检查表(见 6. 2. 3. 2)进行检查 ;

　　b) 对信息系 统 的 物 理 环 境 (如 机 房 、办 公 场 地 、网 络 通 讯 线 路 、供 电 等) 按 照 现 场 检 查 表 进 行检查 ;

　　c) 对信息系统的工作记录(如运行日志 、安全配置记录 、数据备份记录 、变更记录 、用户及权限审批记录 、设备维修记录 、人员培训记录等)按照现场检查表进行检查 ;

　　d) 对信息系统发生的安全事件报告记录 、应急响应处置记录 、应急响应演练记录按照现场检查表进行检查 ;

　　e) 对信息系统运行 中 产 生 的 安 全 状 态 监 视 信 息 记 录 、安 全 审 计 信 息 记 录 按 照 现 场 检 查 表 进 行检查 ;

　　f) 对访谈调查中确认已采取的安全保护措施的执行情况按照现场检查表进行检查 ;

　　g) 对各类现场检查表进行汇总归纳 ,分析和评价信息系统安全策略 、管理制度 、保护措施的有效性 ,形成信息系统安全管理有效性验证结果文档 ;

　　10

　　GB/T 28453—2012

　　h) 应取得以下阶段性成果及文档 :

　　— 信息系统各种现场检查表记录 ;

　　— 信息系统安全管理有效性验证结果文档 ;

　　— 信息系统安全管理有效性存在问题的描述 ;