安全管理机构
控制点
3.
授权和审批等级保护对象生命周期的每个阶段都涉及了许多重要的环节与活动。为保证这些环节与活动顺利实施且受控,应对这些环节与活动的实施进行授权和审批。这不仅是质量方面的要求,也能够避免因管理上的漏洞或工作失误而埋下安全隐患。
为保证安全问题可追溯,应以文件的形式明确授权与审批制度,以及授权审批部门、批准人、审批程序、审批范围等内容。
a)
安全要求(一般):应根据各个部门和岗位的职责明确授权和审批事项、审批部门和批准人等。
要求解读:通过对部门和岗位职责的描述应能明确指出部门或岗位可以进行审批的事项内容。
测评方法
1.访谈安全主管,询问其对哪些等级保护对象活动进行审批,审批部门是什么部门,审批人是什么岗位。
2.核查部门职责文档是否明确各部门的审批事项和审批岗位。
3.核查岗位职责文档是否明确各岗位的审批事项。
4.核查审批记录,是否与相关职责文件描述一致。
期望结果
1.部门和各岗位的职责文档中包含了相关事项的审批描述。
2.审批记录和相关职责文件描述一致。
b)
安全要求(重要):应针对系统变更、重要操作、物理访问和系统接入等事项,建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度。
要求解读:相关的管理制度文档中,一般会对系统变更(如变更管理制度)、物理访问(如机房管理制度)、系统接入(如网络管理制度)等重要活动明确审批流程,包括逐级审批流程。另外,应保存审批过程记录文档,并保证执行过程中的审批程序、审批部门及批准人与审批制度文档内容的一致性。
系统变更一般分为重大变更和普通变更,前者如系统运行业务改变或系统核心设备更换等,后者如主机系统或设备配置更改等;重要操作,如设备加电或断电等;物理访问主要指对机房或重要办公区域的访问;系统接入,一般指外部系统或网络接入等级保护对象。
逐级审批依审批活动的重要程度,可以是从执行管理层(安全主管、负责人)到日常运营层(管理员)的二级审批,也可以是从最高层(网络安全领导小组)到执行管理层再到运营层的三级审批。
测评方法
1.访谈安全主管,了解重要活动的审批范围(如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等),审批程序如何,哪些事项需要逐级审批。
2.核查系统变更、重要操作、物理访问和系统接入等事项的相关管理制度是否明确相关操作的逐级审批程序。
3.核查经逐级审批的记录,查看是否具有各级批准人的签字和审批部门的盖章,以及内容是否与相关制度一致。
期望结果
1.相关管理制度中明确了系统变更、物理访问和系统接入等重要操作的审批流程。
2.有相关事项的审批记录。
3.逐级审批的记录,具有各级批准人的签字和审批部门的盖章,内容与相关制度一致。
c)
安全要求(一般):应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息。
要求解读:审批事项可能会根据审批部门变更、审批人以及相关审批流程的变化而发生变更,因此需要根据实际情况变化进行审查,并更新相关内容。另外,需定期对相关审批事项进行审查,以更新相关信息。
应形成审批事项列表,在列表中,应明确审批事项、涉及的审批部门、批准人等,并定期对该列表进行更新维护。例如,若部门职责或岗位职责改变,则某一审批活动涉及的审批部门和批准人则会改变,再如,若活动的重要程度改变,则该活动的审批流程将会改变。
测评方法
1.访谈信息/网络安全主管,是否对各类审批事项进行更新。
2.核查是否具有对相关审批事项的定期审查记录和授权更新记录。
期望结果
具有定期审查审批事项的记录和授权更新记录。