等級(jí)保護(hù)測(cè)評(píng):制度與人員安全
本篇開始進(jìn)入管理部分的介紹,文中內(nèi)容都是個(gè)人觀點(diǎn),如有不對(duì)的地方歡迎糾正。文章以等保三級(jí)系統(tǒng)為基礎(chǔ),從合規(guī)角度解讀要求。本部分為人員安全和安全管理機(jī)構(gòu)部分。
正文
寫在前邊的幾句話,本來是打算技術(shù)部分寫完就結(jié)束的,但有人評(píng)論回復(fù)說希望能更新管理部分,所以就繼續(xù)更新了后邊的內(nèi)容。由于管理層面的東西偏向于宏觀,很多東西不像技術(shù)指標(biāo),無法度量,各人有各自的理解,所以大家只當(dāng)做一個(gè)參考就好,很多要求描述也不同于技術(shù)層面,比較容易理解,所以可能會(huì)結(jié)合一些IT治理和資質(zhì)體系上的東西稍微展開一點(diǎn)。沒有寫安全管理機(jī)構(gòu),是因?yàn)橐呀?jīng)有人寫過,而且說得也比較細(xì),大家可以去看一下。
PS:看完27001、27002、COBIT5之后發(fā)現(xiàn),等保和它們很像,但沒它們細(xì),估計(jì)彼此都有借鑒之處。
| 7.2.1 **安全管理制度 || — || 7.2.1.1 管理制度(G3)a) 應(yīng)制定信息安全工作的總體方針和安全策略,說明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等;b) 應(yīng)對(duì)安全管理活動(dòng)中的各類管理內(nèi)容建立安全管理制度;c) 應(yīng)對(duì)要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程;d) **應(yīng)形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系。 |
安全制度部分的要求其實(shí)不難理解,但做起來挺費(fèi)事費(fèi)力也費(fèi)腦的,尤其對(duì)于剛開始搞安全建設(shè)的企業(yè),有好多工作需要開展。
a)俗話說“人無頭不走鳥無頭不飛”,不論國內(nèi)外,凡事都要有個(gè)目標(biāo)或目的,要有個(gè)合理的原有才能去做。這也是為什么國內(nèi)外所有體系和標(biāo)準(zhǔn)在管理上,都要把方針和策略放在第一位來說,27001、27001的第一個(gè)控制域A5就是信息安全策略、CISSP、CISM第一章就是安全治理、CGEIT的第一章是企業(yè)IT治理框架、COBIT5的第一個(gè)動(dòng)力是原則、政策和框架而第一個(gè)流程就是確保治理框架的設(shè)定和維護(hù)。所以說這點(diǎn)是安全建設(shè)的根本,大家不要覺得都是扯淡,沒什么卵用。如果是有經(jīng)驗(yàn)的CIO或CISO是非常重視IT治理目標(biāo)的。這個(gè)目標(biāo)簡(jiǎn)單概括就是要保證幾點(diǎn):首先必需要符合企業(yè)戰(zhàn)略目標(biāo),不能有沖突;其次IT要稱為推動(dòng)企業(yè)發(fā)展的動(dòng)力而非阻力;最后IT必要能為企業(yè)創(chuàng)造價(jià)值。這是宏觀層面的要求,也可以簡(jiǎn)單點(diǎn),目標(biāo)就是保證企業(yè)本年度的宕機(jī)時(shí)間保證在多少小時(shí)內(nèi),或是本年度重大級(jí)別安全事件發(fā)生不多于幾次(簡(jiǎn)單例子,便于理解)。當(dāng)然,企業(yè)越大目標(biāo)會(huì)越細(xì)。
b)這部分是總體性要求,就是說對(duì)于安全相關(guān)的各類活動(dòng)都要有相應(yīng)制度規(guī)范(機(jī)房管理、保密制度、系統(tǒng)上線管理、供應(yīng)商管理等),從檢查角度出發(fā),不一定要多細(xì),但是要有東西。從安全建設(shè)角度來看,提倡盡可能細(xì)化,但不代表啰嗦,廢話不要寫,制度要挑干貨,可以作為指導(dǎo)手冊(cè)來引導(dǎo)員工完成日常工作。
c)工作指導(dǎo)手冊(cè),一般企業(yè)是做不到這么細(xì)的,所以檢查中這項(xiàng)基本為扣分項(xiàng)。結(jié)合上一條所說的內(nèi)容,這里比如一位運(yùn)維的同學(xué),每天主要工作就是查看設(shè)備日志和配置信息以及備份,那么可以編寫一本日常運(yùn)維管理操作手冊(cè),里邊圖文方式知道管理員的操作步驟以及注意事項(xiàng),這樣對(duì)于新人或臨時(shí)人員替換有很大幫助,從流程上來說也便于實(shí)現(xiàn)標(biāo)準(zhǔn)化管理。(當(dāng)然現(xiàn)在的自動(dòng)化運(yùn)維也可以實(shí)現(xiàn)這類工作,而且也是趨勢(shì))
d) 公司管理體系或制度的一個(gè)總綱索引,類似于27001的一級(jí)文檔,描述了信息安全體系背景,目標(biāo),適用范圍以及包括哪些方面的管理規(guī)范(當(dāng)然下邊的各部分管理制度要有,不能光拿一個(gè)總綱當(dāng)做企業(yè)的安全體系,這是自欺欺人)。
| 7.2.1 **安全管理制度 || — || 7.2.1.2 制定和發(fā)布(G3)a) 應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定;b) 安全管理制度應(yīng)具有統(tǒng)一的格式,并進(jìn)行版本控制;c) 應(yīng)組織相關(guān)人員對(duì)制定的安全管理制度進(jìn)行論證和審定;d) 安全管理制度應(yīng)通過正式、有效的方式發(fā)布;e) 安全管理制度應(yīng)注明發(fā)布范圍,并對(duì)收發(fā)文進(jìn)行登記。7.2.1.3 評(píng)審和修訂(G3)a) 信息安全領(lǐng)導(dǎo)小組應(yīng)負(fù)責(zé)定期組織相關(guān)部門和相關(guān)人員對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定;b) **應(yīng)定期或不定期對(duì)安全管理制度進(jìn)行檢查和審定,對(duì)存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。 |
這部分的內(nèi)容比較好理解了,其實(shí)屬于文檔規(guī)范的要求,企業(yè)應(yīng)該關(guān)注的幾個(gè)重點(diǎn)就是,文檔要有專門負(fù)責(zé)的人或部門,每個(gè)版本都要有留存(因?yàn)闄z查的時(shí)候要用,此外內(nèi)外審的時(shí)候也有用),每年要至少對(duì)現(xiàn)有制度評(píng)審和修訂1次,偷懶點(diǎn)說,哪怕你只改個(gè)版本號(hào),改下描述也可以,不過倒不建議大家這么來做安全建設(shè)(=__,=)。再就是流程的事了,制度更新一定要在OA或者內(nèi)部正式發(fā)布并通知到所有相關(guān)部門(比如機(jī)房管理制度,就沒必要通知研發(fā)部門)。
其中還提到了一點(diǎn),對(duì)合理性和適用性進(jìn)行審定,普通企業(yè)一般做不到這點(diǎn),要具備一定建設(shè)規(guī)模后才可能有經(jīng)歷去做這些持續(xù)改進(jìn)的事情,不是強(qiáng)制要求的,但建議去做,因?yàn)槌掷m(xù)改進(jìn)在國外體系中是重點(diǎn)。
| 7.2.3 **人員安全管理 || — || 7.2.3.1 人員錄用(G3)a) 應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用;b) 應(yīng)嚴(yán)格規(guī)范人員錄用過程,對(duì)被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查,對(duì)其所具有的技術(shù)技能進(jìn)行考核;c) 應(yīng)簽署保密協(xié)議;d) **應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員,并簽署崗位安全協(xié)議。 |
這塊其實(shí)大部分是人力的事,不過既然標(biāo)準(zhǔn)中提到了,那么我們作為中層或基層的也要明白該做些什么。人員管理每家公司都會(huì)有自己的管理制度,其他的可以缺,這塊一般都不會(huì)缺。錄用前要對(duì)錄用人進(jìn)行背景調(diào)查,不是詢問本人那種,要真的去做一下調(diào)查,之前公司的回訪、社保情況調(diào)查、家庭背景簡(jiǎn)單調(diào)查都要做一下,這里不是為了檢查,主要是為了不要預(yù)留隱患。
保密協(xié)議不用多說,必須簽署,有的還會(huì)簽署競(jìng)爭(zhēng)保護(hù)協(xié)議(不過沒什么卵用,法律上也不承認(rèn))。對(duì)于關(guān)鍵核心類的崗位,一般會(huì)從內(nèi)部提拔(政府和國企都是這樣的,中高層很少社會(huì)招聘,一方面考慮安全問題,一方面你懂的)。對(duì)于企業(yè)可能目前國內(nèi)環(huán)境不太好做到這點(diǎn),畢竟人員流程性太大,你想提拔的人沒過多久就離職了。所以很多主管、CIO、CISO的職位都是挖來的,首先要花一段時(shí)間了解公司情況,業(yè)務(wù)以及現(xiàn)有體系,此外個(gè)部門以及下屬員工都要一一了解。最后提到的崗位安全協(xié)議,有點(diǎn)類似勞動(dòng)合同,不過規(guī)定的是甲方乙方的職責(zé)和義務(wù),以及處罰等條款。
這里貼一下國外系統(tǒng)對(duì)于人員管理的一些要求(摘選自CISSP OSG)
人員安全管理措施:招聘前的需求定義與分析,對(duì)應(yīng)聘者背景進(jìn)行調(diào)查,簽署雇傭合同和保密協(xié)議,加強(qiáng)在職人員的安全管理,嚴(yán)格控制員工離職程序。
背景調(diào)查的目的是防止因人員解雇而導(dǎo)致的法律訴訟、因雇傭疏忽而導(dǎo)致的第三方法律訴訟、雇傭不合格人員、丟失商業(yè)機(jī)密。PS:?jiǎn)T工從一般崗位轉(zhuǎn)入信息安全重要崗位,應(yīng)對(duì)其進(jìn)行檢查。
簽訂保密協(xié)議:NDA(NonDisclosure Agreement保密協(xié)議)和NCA(NonCompete Agreement競(jìng)業(yè)禁止協(xié)議)。協(xié)議上應(yīng)有員工簽名并由其保存一份副本,對(duì)于試用期員工,應(yīng)簽訂保密承諾。第三方用戶使用信息處理設(shè)施前,也要簽訂保密協(xié)議。
| 7.2.3 **人員安全管理 || — || 7.2.3.2 人員離崗(G3)a) 應(yīng)嚴(yán)格規(guī)范人員離崗過程,及時(shí)終止離崗員工的所有訪問權(quán)限;b) 應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備;c) **應(yīng)辦理嚴(yán)格的調(diào)離手續(xù),關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務(wù)后方可離開。 |
人員離職也是管理上的一個(gè)重點(diǎn),如果員工蓄意搞事情,真的是沒什么辦法,雖然可以付諸法律,但是給企業(yè)造成的麻煩和損失是很大的。
一般確定員工離職后,國內(nèi)最先要做的是權(quán)限收回,辦理交接;國外首先是強(qiáng)制假期,然后是收回權(quán)限,最后進(jìn)行交接。有些區(qū)別的。此外,這里強(qiáng)調(diào)人員離職前要人力部門再次確認(rèn)一次保密義務(wù),這點(diǎn)很多企業(yè)都沒有去落實(shí)。
其實(shí)對(duì)于人員管理,我比較推崇黨內(nèi)那套思想教育的方式(也可以叫洗腦=。=)。按實(shí)際來看確實(shí)很有用,可以提高凝聚力,又可以提高員工的意思和覺悟,有助于人員的穩(wěn)定和管理,現(xiàn)在大多企業(yè)團(tuán)隊(duì)帶的一盤散沙,說走就走,沒事就鬧矛盾,這樣的隊(duì)伍何談幫企業(yè)創(chuàng)造價(jià)值,能保證業(yè)務(wù)運(yùn)行已是不易。管理屬于新興學(xué)科,目前還在發(fā)展階段,好多沒聽過的理論,其實(shí)深究也是一門技術(shù)(在看《管理學(xué)中的偉大思想》,緩慢進(jìn)行中),我比較提倡人性格管理,因人施教,發(fā)揮個(gè)人的強(qiáng)項(xiàng),團(tuán)隊(duì)內(nèi)、團(tuán)隊(duì)間互補(bǔ),不要搞全能型、平衡化的管理和計(jì)劃,要什么人是招聘前要計(jì)劃好的,而不是招聘后去改變一個(gè)人。
| 7.2.3 **人員安全管理 || — || 7.2.3.3 人員考核(G3)a) 應(yīng)定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核;b) 應(yīng)對(duì)關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核;c) 應(yīng)對(duì)考核結(jié)果進(jìn)行記錄并保存。7.2.3.4 安全意識(shí)教育和培訓(xùn)(G3)a) 應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn);b) 應(yīng)對(duì)安全責(zé)任和懲戒措施進(jìn)行書面規(guī)定并告知相關(guān)人員,對(duì)違反違背安全策略和規(guī)定的人員進(jìn)行懲戒;c) 應(yīng)對(duì)定期安全教育和培訓(xùn)進(jìn)行書面規(guī)定,針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃,對(duì)信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn);d) 應(yīng)對(duì)安全教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄并歸檔保存。** |
培訓(xùn)和考核放在一起說,一般來說是一個(gè)先后的順序。先說培訓(xùn),幾個(gè)必要的培訓(xùn)是每年都要做的:包括安全意識(shí)、保密意識(shí)、技術(shù)技能等,其他方面可以根據(jù)自身情況來計(jì)劃。這里安全意識(shí)建議每年2次(全員),保密培訓(xùn)每年2次(全員),技術(shù)培訓(xùn)(技術(shù)/關(guān)鍵崗位)根據(jù)實(shí)際情況來定。主要依據(jù)是國家安全服務(wù)資質(zhì)里的要求,沒有提到次數(shù),但必須每年都要做的事。必須制定年度培訓(xùn)計(jì)劃,培訓(xùn)要保留PPT、講稿、簽到表等資料,如果有視頻更好(非硬性要求)。此外,標(biāo)準(zhǔn)提到安全責(zé)任和懲戒措施,這就是公司的員工手冊(cè),一般總公司會(huì)有一份,各部門內(nèi)部可能也會(huì)有自己的手冊(cè),里面明確哪些可做、哪些不可做,怎樣屬于違反規(guī)定,如何獎(jiǎng)勵(lì)、如何懲罰這類的制度。要每年對(duì)安全相關(guān)人員進(jìn)行告知,結(jié)合前邊的安全崗位協(xié)議書要求,一起執(zhí)行。如果有違規(guī)事件,要保留記錄。
接著是考核,一般來說培訓(xùn)之后會(huì)進(jìn)行考核,成績(jī)作為KPI考核項(xiàng)。雖然員工都很反感這種東西,但是畢竟有些事有些人,不強(qiáng)迫是不行的。從管理者的角度來看,這也是一種處置方法。對(duì)于全員的安全意識(shí),可以不做考核;對(duì)于安全人員或運(yùn)維人員的技術(shù)培訓(xùn),就要進(jìn)行考核,并且考核結(jié)果作為記錄保存。檢查的時(shí)候,一般會(huì)查看培訓(xùn)的簽到表、考試成績(jī)單、試卷等文檔。
| 7.2.3 **人員安全管理 || — || a) 應(yīng)確保在外部人員訪問受控區(qū)域前先提出書面申請(qǐng),批準(zhǔn)后由專人全程陪同或監(jiān)督,并登記備案;b) **對(duì)外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)進(jìn)行書面的規(guī)定,并按照規(guī)定執(zhí)行。 |
這部分就比較容易理解了,外來人員來訪登記,機(jī)房出入登記,外包服務(wù)人員簽到都屬于外部人員訪問管理范疇,除了流程和登記過程外,還要有對(duì)外來人員的一些規(guī)定制度。這里貼一點(diǎn)之前給別人寫的外部人員管理規(guī)范
結(jié)尾
以上為管理要求在安全制度管理和人員安全管理部分的要求。這部分東西不敢展得太開,容易長(zhǎng)篇大論,主要還是停留在等保的層面,助于大家理解,本人思路偏甲方思維,乙方的同學(xué)不要吐槽。最后歡迎各位糾正和討論,歡迎提供各類意見。
等級(jí)保護(hù)測(cè)評(píng)系列介紹
等級(jí)保護(hù)測(cè)評(píng)(一):物理安全
等級(jí)保護(hù)測(cè)評(píng)(二):網(wǎng)絡(luò)安全
等級(jí)保護(hù)測(cè)評(píng)(三):主機(jī)安全
等級(jí)保護(hù)測(cè)評(píng)(四):應(yīng)用與數(shù)據(jù)安全
等級(jí)保護(hù)測(cè)評(píng)(五):制度與人員安全