等保测评之安全物理环境、安全管理

农民 · 2024-12-2 03:44:57

测评方法

测评工具

安全管理测评引导书
安全物理环境测评作业引导书

作业引导书开辟根本步骤

第一步：从《根本要求中》选择‘控制点’（测评指标）和要求项（测评项）
第二步：从《测评要求》中选择”测评方法“
第三步：结合信息体系实际环境调解”测评方法“
第四步最终形成作业引导书

测评方式

访谈
核查

核查与访谈的关系

通过访谈获得肯定的答案，通过核查验证访谈效果。

访谈技巧

基于作业引导书开展
访谈对象的选择，覆盖适当的层次和职能；
访谈应在正常的工作时间和工作地点
阐明访谈和做记录的缘故原由
访谈可以从请对方描述工作开始
尽量制止有倾向性答案的问题
感谢对方共同

问题

开放式和非开放式

核查

是指测评人员通过对测评对象举行观察、查验、分析等活动，获取证据以证明其安全掩护步调是否有用的一种方法

核查对象

各类文件-制度文档
操作规程-执行记录
物理环境-底子础办法

网络安全发展路线图

这个方向初期比力轻易入门一些，掌握一些根本技术，拿起各种现成的工具就可以开黑了。不过，要想从脚本小子酿成hei客大神，这个方向越往后，需要学习和掌握的东西就会越来越多，以下是学习网络安全需要走的方向：

# 网络安全学习方法

复制代码

上面介绍了技术分类和学习路线，这里来谈一下学习方法：
无论你是去B站或者是油管上面都有很多网络安全的相关视频可以学习，当然如果你还不知道选择那套学习，我这里也整理了一套和上述发展路线图挂钩的视频教程，需要的可以在文章末尾领取。
安全管理测评流程

根本活动

核查是否存在有关的规定、制度或规程文档；
核查文档的描述细节是否计划相关的内容；
核查是否存在有关执行过程的记录文件或阐明文件（证据）
核查文件的记录内容是否与规定、制度或规程要求一致；
访谈相关人员，要求其对描述不理解或者记录不理解内容的解释或阐明
访谈相关人员，要求其对管理过程或执行过程解释和阐明。

测评流程

第一步，根据现场共同人员名单，进一步明白协调人员、访谈人员及时间
第二步，根据检查文档列表，获得制度、记录、规程等各类文档，并填写文档交代单；
第三步，审阅各类文档，并在现场测评作业引导书的相关项中举行效果记录
第四步，针对不确定项访谈相关人员或获得额外证据并记录；
第五步，整理作业引导书的效果记录，并确认签字
第六步，归还所有文档，并在文档交代单中签字。

安全物理环境测评流程

根本活动

实地察看园地条件、环境条件是否符合要求
实地察看装备、办法是否工作正常
实地查看是否存在有关装备、办法、标签、标识等；
核查装备、办法的检查陈诉或维护日记、核查机房计划验收文档
访谈相关人员，要求对不理解之处举行解释阐明；
访谈相关人员，要求对管理过程或执行过程增补解释和阐明

测评流程

第一步，针对安全物理环境的测评项访谈相关人员
第二步，实地查看园地、环境条件以及装备、办法运行状态；
第三步，实地查看存在的有关装备、办法运行状态；
第四步，检查检测陈诉或维护日记、检查机房计划验收文档（可在进机房前完成）；
第五步，针对不确定项访谈相关人员；
第六步，整理作业引导书，整理效果记录并确认签字

测评要点

机房、建筑的各类计划/验收文档（机房位置选择阐明、机房建筑承受本领、机房建筑防雷、机房综合布线及接地、自动消防体系、机房防火和新风体系、电力供应和电磁防护等）；
机房配备电子门禁体系、分区管理、登录记录、专人陪同；
装备和线路贴不易去除标识；
设置专人值守的视频监控体系或机房报警体系；
电源线和信号线上的防雷步调（光纤接入除外）
自动消防报警体系运行状态、手提式或便携式灭火器的摆放位置及有用期、消防演习记录
机房天花板及墙壁是否存在防潮及结露征象，机房屋顶或活动办下面是否有水管、对为开放窗户的防雨步调；
机房空调温度显示、机房日常巡检温度记录；
双路师电接入、ups满负荷时最大负载、备用供电体系，电力供应应急演练记录。

测评难点

机房防盗报警体系
机房区域防火隔离
双路市电供电或备用供电体系。

安全物理环境测评注意事项

事项一：现场查看机房底子办法建设环境时，办法的有无并不能反映落实与否，关键查看办法是否有用的、正常运行；
事项二：当机房根据用途不同分为多个房间，处于不同位置时，各个机房应按相关的物理要求分别检查。

安全管理制度

测评要点

总体方针政策文件、各类管理制度、各种操作规范及记录表单四类文档；

四类文档间的连贯性、完备性以及管理制度的覆盖面
管理制度文件格式、版本、装订记录、各种评审记录以及发放品级记录；
订定和修订方面的文字详细要求，修订计划，修订流程；
安全管理制度、修订的责任人、详细订定、发布流程。

管理制度文件体系

第一层安全方针政策信息啊暖方针政策，总体安全，阐明机构安全工作的总体目标、范围、原则和安全框架等
第二层安全管理制度对安全管理活动中的各类管理建立安全制度管理，束缚管理行为。
第三层技术标准、规范安全管理制度的详细技术实现细节，对管理人员或者操作人员的日常管理操作建立操作规程
第四层流程、表单、记录安全制度、规范实施所需推行的流程，及需填写的表单，用于记录数据、监控实施。

测评难点

安全方针、管理制度、操作规程以及记录表单四类文件形成管理制度文件体系；
管理制度定期的评审、修订、完善。

安全管理机构

测评要点

查看岗位职责文件了解：安全管理构造构成环境，信息安全向导小组-信息安全管理工作的职能部门-详细岗位，详细职责分工环境；
机构人员及岗位人员配备环境(如安全管理员、体系管理员、网络管理员、审计员）；
根据岗位人员配备名单了解安全管理员是否时专职人员，别的岗位人员配备环境。
审批事项、审批部门、答应人及审批程序等（制度），审批过程实际执行记录，了解授权和审批环境；
沟通和合作环境，了解部门表里沟通和合作环境，各类集会纪要、外协单位接洽档案等；
安全检查周期、内容、程序等，各类安全检查表格、以往安全检查记录或总结了解对信息体系的安全检查环境。

测试难点

网络安全向导小组或网络安全管理委员会的发布文件或授权文件；
专职安全管理员
对紧张活动的逐级审批制度
定期的全面安全检查

安全管理人员

测评要点

录用、离岗、安全意识教育和培训方面的管理要求；
安全保密协议和关键岗位的安全协议；
离岗交代记录；
安全技能稽核记录
培训计划和培训记录
外部人员访问方面的管控步调

测评难点

关键岗位人员的社会配景查察，关键岗位安全协议
安全技能和安全认知的稽核
对外部人员答应访问的区域、体系、装备、信息等内容的详细书面规定。

安全建设管理

测评要点

测评对象的定级陈诉、存案证书；
测评对象的安全掩护品级与别的级别掩护对象关系的整体规划方案；
安全计划方案、工程实施方案
软件开辟、产品采购、工程实施、测试验收、体系交付等方面的管控步调；
过程控制记录、各个阶段产品评审记录、测试验收陈诉；与服务供应商签订的保密协议或安全责任书。

测评难点

对主要的活动均需要遵循制度要求，规范化地执行各种活动，留有记录文件；
外包开辟软件安装前的恶意代码检测和后门程序查察。

安全运维管理

环境管理

指定专门的部门或者人员负责机房安全
机房安全管理制度，机房底子办法定期维护记录、机房进出登记记录；
紧张的区域安全管理

资产管理

体例与掩护对象相关事故资产清单；
根据资产清单以及紧张程度，经行标识和选择相应的管理步调；
对信息分类标识的原则和方法举行阐明的文档

介质管理

介质当地、异地存储环境条件，分类和标识；
介质物理传输过程举行控制，并对查询和归档举行品级。

装备维护管理

指定装备万里负责人或负责部门
建立配套办法、软硬件维护方面的管理制度
装备带离机房或者办公环境的管控步调
含有存储介质的装备在报废或重用前，应举行完全的清除或被安全覆盖。

漏洞和风险管理

采取必要的步调识别安全漏洞和隐患，采取相应的控制手段和步调；
应定期开展安全测评，采取步调应对测评发现的安全问题。

网络和体系安全管理

应划分不同的管理员角色举行网络和体系的运维管理
应建立网络和体系方面的安全管理制度、操作手册、规程；
日常工作，包括当地用户和远程用户的访问管理、网络接入管理、网络装备管理、漏洞扫描、网络状态监控、检测和报警、账户管理、角色权限管理、补丁管理、日记或审计信息分析、日常维护等；
应严格控制变更性运维（运维工具、运程运维的开通）

恶意代码防范管理

提高所有用户的恶意代码防范意识，对外来盘算机或存储装备接入需举行检查
应定期验证防范恶意代码攻击的技术步调的有用性

配置管理

应记录和保存根本配置信息，如网络拓扑布局、各装备安装的软件组件、版本、配置参数等；
根本配置信息改变纳入变更范畴，实施对配置信息改变举行控制并及时更新。

暗码管理

应遵循暗码相关国家标准和行业标准
使用暗码主管部门认证核准的暗码技术产品。

变更管理

应明白变更控制计谋；
应建立变更的申报和审批控制程序
变更审批记录
变更后相关的管理制度和操作规程的变化
失败变更的恢复文件化程度及恢复过程的演练记录

备份和恢复管理

识别需要定期备份的紧张业务信息、数据、体系等
备份和恢复的计谋文档及操作规程，如备份方式、频度、介质、保存周期等；
数据的备份计谋和恢复计谋以及备份程序和恢复程序；
备份介质的有用性检查记录。

安全事故处理

应及时向安全管理部门陈诉所发现的安全缺点和可疑事故；
安全事故陈诉和处置管理制度，包括安全事故界说、定级、陈诉流程、不同事故的响应和处置流程；
安全事故处置过程的记录
应急预案管理
应急预案总体框架
各类主要事故的详细应急预案；
应急预案涉及人员、装备等的资源满足环境
应急预案的培训记录、演练记录。

外包运维管理

外包运维服务商的选择符合规定；
签订协议，明白外包运维范围、工作内容、明白相关安全要求；
在技术方面和管理方面均具有按照品级掩护要求开展运维工作本领。

测评难点

紧张区域的安全管理
信息分类标识的原则和方法；
紧张介质中数据或软件的加密存储；
安全审计的集中管理；
定期的网络和体系的漏洞扫描
对移动时、便携式装备接入网络安全管理
对违规联网行为的管理。
体系运行日记和审计数据分析
体系角色权限的划分和管理
变更失败的文件化恢复程序，变更失败的恢复演练
变更后对相关制度和操作规程修订
数据恢复或体系切换操作记录，备份介质的有用性检查；
信息安全事故的应急预案，应急预案培训和演练；
应急预案文档的维护和更新

安全管理测评注意事项

事项一：体系某控制点或某条要求不适合该级别的根本要求（如外包开辟、自行软件开辟）；一定不要滥用“不实用”若果某条没达到要求，由于下面一条要求预期是有关联关系，那么这条要求不能说不实用而是不符合。或者说只能由不是用推到到不实用，而不能由不符合推到为不实用
事项二、当访谈效果与检查效果不一致，应综合分析，不能单方面采信任一方。
事项三:访谈以详细对象展开，而不以控制点或要求展开;
事项四:访谈是获得证据不可或缺的手段，但往往访谈回答信息的客观性、准确性，依被访谈角色对相关内容了解程度、以及双方的有用沟通而定，因此需要测评人员正确引导和判定;
事项五:在检查文档时发现不同文档针对同一方面内容要求不一致，应分析缘故原由，结合其他测评方式所获证据来判定;事项六:所检查的文档应是机构现在已正式发布实施的有用文档;
事项七:制度文档的审阅一方面要检查制度文档的规范内容，别的应通过审阅记录文档检查制度文档的落实，若二者存在不致，应进一步寻找证据，最终确认是制度未得到有用落实还是制度文档需要修订有用落实还是制度文档需要修订;
事项八:其他测评项获取的证据，也大概会成为某一测评项判定的依据;
事项九:当由于某种缘故原由机构无法提供原有的所要求的证据时其他证据效力等同时，可采纳;
事项十:文档名称大概不同，需进一步确认文档详细内容。

学习计划安排

我一共划分了六个阶段，但并不是说你得学完全部才能上手工作，对于一些低级岗位，学到第三四个阶段就足矣~
这里我整合而且整理成了一份【282G】的网络安全从零底子入门到进阶资料包，需要的小同伴可以扫描下方CSDN官方合作二维码免费领取哦，无偿分享！！！
如果你对网络安全入门感爱好，
那么你需要的话可以点击这里网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！
①网络安全学习路线
②上百份排泄测试电子书
③安全攻防357页条记
④50份安全攻防面试指南
⑤安全红队排泄工具包
⑥HW护网行动履历总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

		自动登录	找回密码
密码			立即注册

等保测评之安全物理环境、安全管理

本帖子中包含更多资源

0 个回复

快速回复

楼主热帖

标签云