成败得失其实都是人做的,是是非非对对错错都是人为的,所谓有人的地方就有江湖,江湖之中自然有其明争暗斗。人是安全中最关键的因素,等级保护对象整个生命周期都需要有人来参与,包括设计人员、实施人员、管理人员、维护人员和系统用户等。如果这些参与人员的安全意识和业务能力没有得到很好的解决,任何一个等级保护对象都不可能达到真正的安全。只有对等级保护对象相关人员实施科学、完善的管理,才有可能降低人为操作失误所带来的风险。
安全通用要求的安全管理人员部分针对整个人员管理模式提出安全控制要求,涉及的安全控制点包括人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。
安全管理人员在控制点和要求项上的逐级变化,如表所示。
控制点安全管理人员在控制点和要求项上的逐级变化
|
序号 |
控制点 |
一级 |
二级 |
三级 |
四级 |
|
1 |
人员录用 |
1 |
2 |
3 |
4 |
|
2 |
人员离岗 |
1 |
1 |
2 |
2 |
|
3 |
安全意识教育和培训 |
1 |
1 |
3 |
3 |
|
4 |
外部人员访问管理 |
1 |
3 |
4 |
5 |
安全管理机构的基本要求一至四级,详情见下表
|
安全管理人员 |
安全管理人员 |
安全管理人员 |
安全管理人员 |
|
人员录用 |
人员录用 |
人员录用 |
人员录用 |
|
本项要求包括: |
本项要求包括: |
本项要求包括: |
本项要求包括: |
|
应指定或授权专门的部门或人员负责人员录用。 |
a) 应指定或授权专门的部门或人员负责人员录用; |
a)应指定或授权专门的部门或人员负责人员录用; |
a)应指定或授权专门的部门或人员负责人员录用; |
|
— |
b) 应对被录用人员的身份、安全背景、专业资格或资质等进行审查。 |
b)应对被录用人员的身份、安全背景、专业资格或资质等进行审查,对其所具有的技术技能进行考核; |
b)应对被录用人员的身份、安全背景、专业资格或资质等进行审查,对其所具有的技术技能进行考核; |
|
— |
— |
c)应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议。 |
c)应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议; |
|
— |
— |
— |
d)应从内部人员中选拔从事关键岗位的人员。 |
|
人员离岗 |
人员离岗 |
人员离岗 |
人员离岗 |
|
本项要求包括: |
本项要求包括: |
本项要求包括: |
本项要求包括: |
|
应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。 |
应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。 |
a)应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备; |
a)应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备; |
|
— |
— |
b)应办理严格的调离手续,并承诺调离后的保密义务后方可离开。 |
b)应办理严格的调离手续,并承诺调离后的保密义务后方可离开。 |
|
安全意识教育和培训 |
安全意识教育和培训 |
安全意识教育和培训 |
安全意识教育和培训 |
|
本项要求包括: |
本项要求包括: |
本项要求包括: |
本项要求包括: |
|
应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。 |
应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。 |
a)应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施; |
a)应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施; |
|
— |
— |
b)应针对不同岗位制定不同的培训计划,对安全基础知识、岗位操作规程等进行培训; |
b)应针对不同岗位制定不同的培训计划,对安全基础知识、岗位操作规程等进行培训; |
|
— |
— |
c)应定期对不同岗位的人员进行技能考核。 |
c)应定期对不同岗位的人员进行技术技能考核。 |
|
外部人员访问管理 |
外部人员访问管理 |
外部人员访问管理 |
外部人员访问管理 |
|
本项要求包括: |
本项要求包括: |
本项要求包括: |
本项要求包括: |
|
应保证在外部人员访问受控区域前得到授权或审批。 |
a) 应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案; |
a)应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案; |
a)应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案; |
|
— |
b) 应在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限, 并登记备案; |
b)应在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限,并登记备案; |
b)应在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限,并登记备案; |
|
— |
c) 外部人员离场后应及时清除其所有的访问权限。 |
c)外部人员离场后应及时清除其所有的访问权限; |
c)外部人员离场后应及时清除其所有的访问权限; |
|
— |
— |
d)获得系统访问授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄露任何敏感信息。 |
d)获得系统访问授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄露任何敏感信息; |
|
— |
— |
e)对关键区域或关键系统不允许外部人员访问。 |
参考资料:网络安全等级测评师培训教程
网络安全等级保护基本要求
网络安全等级保护测评要求等