• 10 安全运维管理 10.10变更管理


    等级保护对象在运行过程中会面临各种各样的变更操作。如果变更过程缺乏管理和控制,会给等级保护对象带来重大的安全风险。因此,需要对变更操作实施全程管控,做到各项变更内容有章可循有案可查,遇到问题有路可退,确保变更操作不给系统造成安全风险。

    10.10.1 应明确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方可实施。

    变更管理受控是降低系统由变更带来安全问题的有效手段,因此要对变更策略进行明确的规定,并对变更流程进行全程管控。

    【测评方法】

    1)核查变更方案,方案内容是否包括了变更类型、变更原因、变更过程、变更前评估等内容。

    2)核查变更方案评审记录,记录内容是否包括了评审时间、参与人员、评审结果等。

    3)核查变更过程记录,记录内容是否包括了变更执行人、执行时间、操作内容、变更结果等。

    【预期结果】

    1)具有相应的变更方案,主要内容包括变更类型、变更原因、变更过程、变更前评估等。

    2)具有XXX变更方案评审记录和变更过程记录文档。

    3)对于新建或未执行过变更操作的被测系统,此条可不适用。

    【权重】0.7

    【风险等级】高

    需求变更管理

    判例内容:未明确变更管理流程,未对需要变更的内容进行分析与论证,未制定详细的变更方案,无法明确变更的需求与必要性;变更的同时也伴随着可能导致系统无法正常访问的风险,可判定为高风险。

    适用范围:3级及以上系统。

    满足条件(同时):

    1、3级及以上系统;

    2、无变更管理制度,或变更管理制度中无变更管理流程、变更内容分析与论证、变更方案审批流程等相关内容。

    10.10.2 应建立变更的申报和审批控制程序,依据程序控制所有的变更,记录变更实施过程。

    执行变更操作要遵循变更管控的相关控制程序,约束变更过程,并有效记录。

    【测评方法】

    1)核查变要控制的申报、审批程序。

    2)核查变更实施过程的记录。

    3)记录内容是否包括了申报的变更类型、申报流程、审批部门、批准人等。

    【预期结果】

    1)不同变更类型具有相应的变更管控策略,如变更类型、变更原因、变更影响分析等。

    2)具有XXX变更实施过程的记录文档。

    3)对于新建或未执行过变更操作的被测系统,可没有相关记录。

    【权重】1

    10.10.3 应建立中止变更并从失败变更中恢复的程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练。

    变更失败恢复程序一般会在变更方案中予以明确,变更方案除了描述变更过程操作外,重要的是明确变更失败后的恢复操作。

    【测评方法】

    1)核查变更失败后的恢复程序、工作方法和相关人员职责。

    2)核查恢复过程演练记录。

    【预期结果或主要证据】

    1)对变更失败后的恢复程序、工作方法和职责进行了文件化的规定和要求,具有变更失败后的恢复程序。

    2)具有XXX变更恢复演练记录和恢复流程。

    3)对于新建或未执行过变更操作的被测系统,可没有相关记录。

    【权重】1

  • 相关阅读:
    使用kendynet构建异步redis访问服务
    使用kendynet编写网关服务
    作为前端,我为什么选择 Angular 2?
    你必须知道的Javascript 系列
    JS日期(Date)处理函数总结
    JS数组(Array)处理函数总结
    消息推送之APNS
    消息推送之GCM
    Linux常用命令大全
    Sequential Container
  • 原文地址:https://www.cnblogs.com/quqibinggan/p/15607236.html
Copyright © 2020-2023  润新知