等保到底是个啥(五):制度与人员安全部分

2019-04-09 63789人围观 ,发现 2 个不明物体 安全管理

*本文原创作者:宇宸@默安科技合规研究小组,本文属于FreeBuf原创奖励计划,未经许可禁止转载

本篇开始进入管理部分的介绍,文中内容都是个人观点,如有不对的地方欢迎纠正。文章以等保三级系统为基础,从合规角度解读要求。本部分为人员安全和安全管理机构部分。

往期内容请戳:

等保到底是个啥(一):物理安全部分

等保到底是个啥(二):网络安全部分

等保到底是个啥(三):主机安全部分

等保到底是个啥(四):应用与数据安全部分

插图.jpg

正文

写在前边的几句话,本来是打算技术部分写完就结束的,但有人评论回复说希望能更新管理部分,所以就继续更新了后边的内容。由于管理层面的东西偏向于宏观,很多东西不像技术指标,无法度量,各人有各自的理解,所以大家只当做一个参考就好,很多要求描述也不同于技术层面,比较容易理解,所以可能会结合一些IT治理和资质体系上的东西稍微展开一点。没有写安全管理机构,是因为已经有人写过,而且说得也比较细,大家可以去看一下。

信息安全等级保护三级要求,安全管理机构多年测评经验分享

PS:看完27001、27002、COBIT5之后发现,等保和它们很像,但没它们细,估计彼此都有借鉴之处。

7.2.1 安全管理制度
7.2.1.1 管理制度(G3)a) 应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等;b) 应对安全管理活动中的各类管理内容建立安全管理制度;c) 应对要求管理人员或操作人员执行的日常管理操作建立操作规程;d) 应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。

安全制度部分的要求其实不难理解,但做起来挺费事费力也费脑的,尤其对于刚开始搞安全建设的企业,有好多工作需要开展。

a)俗话说“人无头不走鸟无头不飞”,不论国内外,凡事都要有个目标或目的,要有个合理的原有才能去做。这也是为什么国内外所有体系和标准在管理上,都要把方针和策略放在第一位来说,27001、27001的第一个控制域A5就是信息安全策略、CISSP、CISM第一章就是安全治理、CGEIT的第一章是企业IT治理框架、COBIT5的第一个动力是原则、政策和框架而第一个流程就是确保治理框架的设定和维护。所以说这点是安全建设的根本,大家不要觉得都是扯淡,没什么卵用。如果是有经验的CIO或CISO是非常重视IT治理目标的。这个目标简单概括就是要保证几点:首先必需要符合企业战略目标,不能有冲突;其次IT要称为推动企业发展的动力而非阻力;最后IT必要能为企业创造价值。这是宏观层面的要求,也可以简单点,目标就是保证企业本年度的宕机时间保证在多少小时内,或是本年度重大级别安全事件发生不多于几次(简单例子,便于理解)。当然,企业越大目标会越细。

b)这部分是总体性要求,就是说对于安全相关的各类活动都要有相应制度规范(机房管理、保密制度、系统上线管理、供应商管理等),从检查角度出发,不一定要多细,但是要有东西。从安全建设角度来看,提倡尽可能细化,但不代表啰嗦,废话不要写,制度要挑干货,可以作为指导手册来引导员工完成日常工作。

c)工作指导手册,一般企业是做不到这么细的,所以检查中这项基本为扣分项。结合上一条所说的内容,这里比如一位运维的同学,每天主要工作就是查看设备日志和配置信息以及备份,那么可以编写一本日常运维管理操作手册,里边图文方式知道管理员的操作步骤以及注意事项,这样对于新人或临时人员替换有很大帮助,从流程上来说也便于实现标准化管理。(当然现在的自动化运维也可以实现这类工作,而且也是趋势)

d) 公司管理体系或制度的一个总纲索引,类似于27001的一级文档,描述了信息安全体系背景,目标,适用范围以及包括哪些方面的管理规范(当然下边的各部分管理制度要有,不能光拿一个总纲当做企业的安全体系,这是自欺欺人)。

7.2.1 安全管理制度
7.2.1.2 制定和发布(G3)a) 应指定或授权专门的部门或人员负责安全管理制度的制定;b) 安全管理制度应具有统一的格式,并进行版本控制;c) 应组织相关人员对制定的安全管理制度进行论证和审定;d) 安全管理制度应通过正式、有效的方式发布;e) 安全管理制度应注明发布范围,并对收发文进行登记。7.2.1.3 评审和修订(G3)a) 信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定;b) 应定期或不定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。

这部分的内容比较好理解了,其实属于文档规范的要求,企业应该关注的几个重点就是,文档要有专门负责的人或部门,每个版本都要有留存(因为检查的时候要用,此外内外审的时候也有用),每年要至少对现有制度评审和修订1次,偷懒点说,哪怕你只改个版本号,改下描述也可以,不过倒不建议大家这么来做安全建设(=__,=)。再就是流程的事了,制度更新一定要在OA或者内部正式发布并通知到所有相关部门(比如机房管理制度,就没必要通知研发部门)。

其中还提到了一点,对合理性和适用性进行审定,普通企业一般做不到这点,要具备一定建设规模后才可能有经历去做这些持续改进的事情,不是强制要求的,但建议去做,因为持续改进在国外体系中是重点。

7.2.3 人员安全管理
7.2.3.1 人员录用(G3)a) 应指定或授权专门的部门或人员负责人员录用;b) 应严格规范人员录用过程,对被录用人的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核;c) 应签署保密协议;d) 应从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议。

这块其实大部分是人力的事,不过既然标准中提到了,那么我们作为中层或基层的也要明白该做些什么。人员管理每家公司都会有自己的管理制度,其他的可以缺,这块一般都不会缺。录用前要对录用人进行背景调查,不是询问本人那种,要真的去做一下调查,之前公司的回访、社保情况调查、家庭背景简单调查都要做一下,这里不是为了检查,主要是为了不要预留隐患。

保密协议不用多说,必须签署,有的还会签署竞争保护协议(不过没什么卵用,法律上也不承认)。对于关键核心类的岗位,一般会从内部提拔(政府和国企都是这样的,中高层很少社会招聘,一方面考虑安全问题,一方面你懂的)。对于企业可能目前国内环境不太好做到这点,毕竟人员流程性太大,你想提拔的人没过多久就离职了。所以很多主管、CIO、CISO的职位都是挖来的,首先要花一段时间了解公司情况,业务以及现有体系,此外个部门以及下属员工都要一一了解。最后提到的岗位安全协议,有点类似劳动合同,不过规定的是甲方乙方的职责和义务,以及处罚等条款。

这里贴一下国外系统对于人员管理的一些要求(摘选自CISSP OSG)

人员安全管理措施:招聘前的需求定义与分析,对应聘者背景进行调查,签署雇佣合同和保密协议,加强在职人员的安全管理,严格控制员工离职程序。

背景调查的目的是防止因人员解雇而导致的法律诉讼、因雇佣疏忽而导致的第三方法律诉讼、雇佣不合格人员、丢失商业机密。PS:员工从一般岗位转入信息安全重要岗位,应对其进行检查。

签订保密协议:NDA(NonDisclosure Agreement保密协议)和NCA(NonCompete Agreement竞业禁止协议)。协议上应有员工签名并由其保存一份副本,对于试用期员工,应签订保密承诺。第三方用户使用信息处理设施前,也要签订保密协议。

7.2.3 人员安全管理
7.2.3.2 人员离岗(G3)a) 应严格规范人员离岗过程,及时终止离岗员工的所有访问权限;b) 应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;c) 应办理严格的调离手续,关键岗位人员离岗须承诺调离后的保密义务后方可离开。

人员离职也是管理上的一个重点,如果员工蓄意搞事情,真的是没什么办法,虽然可以付诸法律,但是给企业造成的麻烦和损失是很大的。

一般确定员工离职后,国内最先要做的是权限收回,办理交接;国外首先是强制假期,然后是收回权限,最后进行交接。有些区别的。此外,这里强调人员离职前要人力部门再次确认一次保密义务,这点很多企业都没有去落实。

其实对于人员管理,我比较推崇党内那套思想教育的方式(也可以叫洗脑=。=)。按实际来看确实很有用,可以提高凝聚力,又可以提高员工的意思和觉悟,有助于人员的稳定和管理,现在大多企业团队带的一盘散沙,说走就走,没事就闹矛盾,这样的队伍何谈帮企业创造价值,能保证业务运行已是不易。管理属于新兴学科,目前还在发展阶段,好多没听过的理论,其实深究也是一门技术(在看《管理学中的伟大思想》,缓慢进行中),我比较提倡人性格管理,因人施教,发挥个人的强项,团队内、团队间互补,不要搞全能型、平衡化的管理和计划,要什么人是招聘前要计划好的,而不是招聘后去改变一个人。

7.2.3 人员安全管理
7.2.3.3 人员考核(G3)a) 应定期对各个岗位的人员进行安全技能及安全认知的考核;b) 应对关键岗位的人员进行全面、严格的安全审查和技能考核;c) 应对考核结果进行记录并保存。7.2.3.4 安全意识教育和培训(G3)a) 应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;b) 应对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进行惩戒;c) 应对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训;d) 应对安全教育和培训的情况和结果进行记录并归档保存

培训和考核放在一起说,一般来说是一个先后的顺序。
先说培训,几个必要的培训是每年都要做的:包括安全意识、保密意识、技术技能等,其他方面可以根据自身情况来计划。这里安全意识建议每年2次(全员),保密培训每年2次(全员),技术培训(技术/关键岗位)根据实际情况来定。主要依据是国家安全服务资质里的要求,没有提到次数,但必须每年都要做的事。必须制定年度培训计划,培训要保留PPT、讲稿、签到表等资料,如果有视频更好(非硬性要求)。此外,标准提到安全责任和惩戒措施,这就是公司的员工手册,一般总公司会有一份,各部门内部可能也会有自己的手册,里面明确哪些可做、哪些不可做,怎样属于违反规定,如何奖励、如何惩罚这类的制度。要每年对安全相关人员进行告知,结合前边的安全岗位协议书要求,一起执行。如果有违规事件,要保留记录。

接着是考核,一般来说培训之后会进行考核,成绩作为KPI考核项。虽然员工都很反感这种东西,但是毕竟有些事有些人,不强迫是不行的。从管理者的角度来看,这也是一种处置方法。对于全员的安全意识,可以不做考核;对于安全人员或运维人员的技术培训,就要进行考核,并且考核结果作为记录保存。检查的时候,一般会查看培训的签到表、考试成绩单、试卷等文档。

7.2.3 人员安全管理
a) 应确保在外部人员访问受控区域前先提出书面申请,批准后由专人全程陪同或监督,并登记备案;b) 对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定,并按照规定执行。

这部分就比较容易理解了,外来人员来访登记,机房出入登记,外包服务人员签到都属于外部人员访问管理范畴,除了流程和登记过程外,还要有对外来人员的一些规定制度。这里贴一点之前给别人写的外部人员管理规范(非全篇,已脱敏,做个参考)。

制度01.png

制度02.png

结尾

 以上为管理要求在安全制度管理和人员安全管理部分的要求。这部分东西不敢展得太开,容易长篇大论,主要还是停留在等保的层面,助于大家理解,本人思路偏甲方思维,乙方的同学不要吐槽。最后欢迎各位纠正和讨论,欢迎提供各类意见。

*本文原创作者:宇宸@默安科技合规研究小组,本文属于FreeBuf原创奖励计划,未经许可禁止转载

发表评论

已有 2 条评论

取消
Loading...
css.php