安全資訊

本篇開(kāi)始進(jìn)入管理部分的介紹，文中內容都是個(gè)人觀(guān)點(diǎn)，如有不對的地方歡迎糾正。文章以等保三級系統為基礎，從合規角度解讀要求。本部分為人員安全和安全管理機構部分。

正文

寫(xiě)在前邊的幾句話(huà)，本來(lái)是打算技術(shù)部分寫(xiě)完就結束的，但有人評論回復說(shuō)希望能更新管理部分，所以就繼續更新了后邊的內容。由于管理層面的東西偏向于宏觀(guān)，很多東西不像技術(shù)指標，無(wú)法度量，各人有各自的理解，所以大家只當做一個(gè)參考就好，很多要求描述也不同于技術(shù)層面，比較容易理解，所以可能會(huì )結合一些IT治理和資質(zhì)體系上的東西稍微展開(kāi)一點(diǎn)。沒(méi)有寫(xiě)安全管理機構，是因為已經(jīng)有人寫(xiě)過(guò)，而且說(shuō)得也比較細，大家可以去看一下。

PS：看完27001、27002、COBIT5之后發(fā)現，等保和它們很像，但沒(méi)它們細，估計彼此都有借鑒之處。

| 7.2.1 **安全管理制度 || — || 7.2.1.1 管理制度（G3）a) 應制定信息安全工作的總體方針和安全策略，說(shuō)明機構安全工作的總體目標、范圍、原則和安全框架等；b) 應對安全管理活動(dòng)中的各類(lèi)管理內容建立安全管理制度；c) 應對要求管理人員或操作人員執行的日常管理操作建立操作規程；d) **應形成由安全策略、管理制度、操作規程等構成的全面的信息安全管理制度體系。 |

安全制度部分的要求其實(shí)不難理解，但做起來(lái)挺費事費力也費腦的，尤其對于剛開(kāi)始搞安全建設的企業(yè)，有好多工作需要開(kāi)展。

a）俗話(huà)說(shuō)“人無(wú)頭不走鳥(niǎo)無(wú)頭不飛”，不論國內外，凡事都要有個(gè)目標或目的，要有個(gè)合理的原有才能去做。這也是為什么國內外所有體系和標準在管理上，都要把方針和策略放在第一位來(lái)說(shuō)，27001、27001的第一個(gè)控制域A5就是信息安全策略、CISSP、CISM第一章就是安全治理、CGEIT的第一章是企業(yè)IT治理框架、COBIT5的第一個(gè)動(dòng)力是原則、政策和框架而第一個(gè)流程就是確保治理框架的設定和維護。所以說(shuō)這點(diǎn)是安全建設的根本，大家不要覺(jué)得都是扯淡，沒(méi)什么卵用。如果是有經(jīng)驗的CIO或CISO是非常重視IT治理目標的。這個(gè)目標簡(jiǎn)單概括就是要保證幾點(diǎn)：首先必需要符合企業(yè)戰略目標，不能有沖突；其次IT要稱(chēng)為推動(dòng)企業(yè)發(fā)展的動(dòng)力而非阻力；最后IT必要能為企業(yè)創(chuàng )造價(jià)值。這是宏觀(guān)層面的要求，也可以簡(jiǎn)單點(diǎn)，目標就是保證企業(yè)本年度的宕機時(shí)間保證在多少小時(shí)內，或是本年度重大級別安全事件發(fā)生不多于幾次（簡(jiǎn)單例子，便于理解）。當然，企業(yè)越大目標會(huì )越細。

b）這部分是總體性要求，就是說(shuō)對于安全相關(guān)的各類(lèi)活動(dòng)都要有相應制度規范（機房管理、保密制度、系統上線(xiàn)管理、供應商管理等），從檢查角度出發(fā)，不一定要多細，但是要有東西。從安全建設角度來(lái)看，提倡盡可能細化，但不代表啰嗦，廢話(huà)不要寫(xiě)，制度要挑干貨，可以作為指導手冊來(lái)引導員工完成日常工作。

c）工作指導手冊，一般企業(yè)是做不到這么細的，所以檢查中這項基本為扣分項。結合上一條所說(shuō)的內容，這里比如一位運維的同學(xué)，每天主要工作就是查看設備日志和配置信息以及備份，那么可以編寫(xiě)一本日常運維管理操作手冊，里邊圖文方式知道管理員的操作步驟以及注意事項，這樣對于新人或臨時(shí)人員替換有很大幫助，從流程上來(lái)說(shuō)也便于實(shí)現標準化管理。（當然現在的自動(dòng)化運維也可以實(shí)現這類(lèi)工作，而且也是趨勢）

d） 公司管理體系或制度的一個(gè)總綱索引，類(lèi)似于27001的一級文檔，描述了信息安全體系背景，目標，適用范圍以及包括哪些方面的管理規范（當然下邊的各部分管理制度要有，不能光拿一個(gè)總綱當做企業(yè)的安全體系，這是自欺欺人）。

| 7.2.1 **安全管理制度 || — || 7.2.1.2 制定和發(fā)布（G3）a) 應指定或授權專(zhuān)門(mén)的部門(mén)或人員負責安全管理制度的制定；b) 安全管理制度應具有統一的格式，并進(jìn)行版本控制；c) 應組織相關(guān)人員對制定的安全管理制度進(jìn)行論證和審定；d) 安全管理制度應通過(guò)正式、有效的方式發(fā)布；e) 安全管理制度應注明發(fā)布范圍，并對收發(fā)文進(jìn)行登記。7.2.1.3 評審和修訂（G3）a) 信息安全領(lǐng)導小組應負責定期組織相關(guān)部門(mén)和相關(guān)人員對安全管理制度體系的合理性和適用性進(jìn)行審定；b) **應定期或不定期對安全管理制度進(jìn)行檢查和審定，對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。 |

這部分的內容比較好理解了，其實(shí)屬于文檔規范的要求，企業(yè)應該關(guān)注的幾個(gè)重點(diǎn)就是，文檔要有專(zhuān)門(mén)負責的人或部門(mén)，每個(gè)版本都要有留存（因為檢查的時(shí)候要用，此外內外審的時(shí)候也有用），每年要至少對現有制度評審和修訂1次，偷懶點(diǎn)說(shuō)，哪怕你只改個(gè)版本號，改下描述也可以，不過(guò)倒不建議大家這么來(lái)做安全建設（=__,=）。再就是流程的事了，制度更新一定要在OA或者內部正式發(fā)布并通知到所有相關(guān)部門(mén)（比如機房管理制度，就沒(méi)必要通知研發(fā)部門(mén)）。

其中還提到了一點(diǎn)，對合理性和適用性進(jìn)行審定，普通企業(yè)一般做不到這點(diǎn)，要具備一定建設規模后才可能有經(jīng)歷去做這些持續改進(jìn)的事情，不是強制要求的，但建議去做，因為持續改進(jìn)在國外體系中是重點(diǎn)。

| 7.2.3 **人員安全管理 || — || 7.2.3.1 人員錄用（G3）a) 應指定或授權專(zhuān)門(mén)的部門(mén)或人員負責人員錄用；b) 應嚴格規范人員錄用過(guò)程，對被錄用人的身份、背景、專(zhuān)業(yè)資格和資質(zhì)等進(jìn)行審查，對其所具有的技術(shù)技能進(jìn)行考核；c) 應簽署保密協(xié)議；d) **應從內部人員中選拔從事關(guān)鍵崗位的人員，并簽署崗位安全協(xié)議。 |

這塊其實(shí)大部分是人力的事，不過(guò)既然標準中提到了，那么我們作為中層或基層的也要明白該做些什么。人員管理每家公司都會(huì )有自己的管理制度，其他的可以缺，這塊一般都不會(huì )缺。錄用前要對錄用人進(jìn)行背景調查，不是詢(xún)問(wèn)本人那種，要真的去做一下調查，之前公司的回訪(fǎng)、社保情況調查、家庭背景簡(jiǎn)單調查都要做一下，這里不是為了檢查，主要是為了不要預留隱患。

保密協(xié)議不用多說(shuō)，必須簽署，有的還會(huì )簽署競爭保護協(xié)議（不過(guò)沒(méi)什么卵用，法律上也不承認）。對于關(guān)鍵核心類(lèi)的崗位，一般會(huì )從內部提拔（政府和國企都是這樣的，中高層很少社會(huì )招聘，一方面考慮安全問(wèn)題，一方面你懂的）。對于企業(yè)可能目前國內環(huán)境不太好做到這點(diǎn)，畢竟人員流程性太大，你想提拔的人沒(méi)過(guò)多久就離職了。所以很多主管、CIO、CISO的職位都是挖來(lái)的，首先要花一段時(shí)間了解公司情況，業(yè)務(wù)以及現有體系，此外個(gè)部門(mén)以及下屬員工都要一一了解。最后提到的崗位安全協(xié)議，有點(diǎn)類(lèi)似勞動(dòng)合同，不過(guò)規定的是甲方乙方的職責和義務(wù)，以及處罰等條款。

這里貼一下國外系統對于人員管理的一些要求（摘選自CISSP OSG）

人員安全管理措施：招聘前的需求定義與分析，對應聘者背景進(jìn)行調查，簽署雇傭合同和保密協(xié)議，加強在職人員的安全管理，嚴格控制員工離職程序。

背景調查的目的是防止因人員解雇而導致的法律訴訟、因雇傭疏忽而導致的第三方法律訴訟、雇傭不合格人員、丟失商業(yè)機密。PS：?jiǎn)T工從一般崗位轉入信息安全重要崗位，應對其進(jìn)行檢查。

簽訂保密協(xié)議：NDA（NonDisclosure Agreement保密協(xié)議）和NCA（NonCompete Agreement競業(yè)禁止協(xié)議）。協(xié)議上應有員工簽名并由其保存一份副本，對于試用期員工，應簽訂保密承諾。第三方用戶(hù)使用信息處理設施前，也要簽訂保密協(xié)議。

| 7.2.3 **人員安全管理 || — || 7.2.3.2 人員離崗（G3）a) 應嚴格規范人員離崗過(guò)程，及時(shí)終止離崗員工的所有訪(fǎng)問(wèn)權限；b) 應取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備；c) **應辦理嚴格的調離手續，關(guān)鍵崗位人員離崗須承諾調離后的保密義務(wù)后方可離開(kāi)。 |

人員離職也是管理上的一個(gè)重點(diǎn)，如果員工蓄意搞事情，真的是沒(méi)什么辦法，雖然可以付諸法律，但是給企業(yè)造成的麻煩和損失是很大的。

一般確定員工離職后，國內最先要做的是權限收回，辦理交接；國外首先是強制假期，然后是收回權限，最后進(jìn)行交接。有些區別的。此外，這里強調人員離職前要人力部門(mén)再次確認一次保密義務(wù)，這點(diǎn)很多企業(yè)都沒(méi)有去落實(shí)。

其實(shí)對于人員管理，我比較推崇黨內那套思想教育的方式（也可以叫洗腦=。=）。按實(shí)際來(lái)看確實(shí)很有用，可以提高凝聚力，又可以提高員工的意思和覺(jué)悟，有助于人員的穩定和管理，現在大多企業(yè)團隊帶的一盤(pán)散沙，說(shuō)走就走，沒(méi)事就鬧矛盾，這樣的隊伍何談幫企業(yè)創(chuàng )造價(jià)值，能保證業(yè)務(wù)運行已是不易。管理屬于新興學(xué)科，目前還在發(fā)展階段，好多沒(méi)聽(tīng)過(guò)的理論，其實(shí)深究也是一門(mén)技術(shù)（在看《管理學(xué)中的偉大思想》，緩慢進(jìn)行中），我比較提倡人性格管理，因人施教，發(fā)揮個(gè)人的強項，團隊內、團隊間互補，不要搞全能型、平衡化的管理和計劃，要什么人是招聘前要計劃好的，而不是招聘后去改變一個(gè)人。

| 7.2.3 **人員安全管理 || — || 7.2.3.3 人員考核（G3）a) 應定期對各個(gè)崗位的人員進(jìn)行安全技能及安全認知的考核；b) 應對關(guān)鍵崗位的人員進(jìn)行全面、嚴格的安全審查和技能考核；c) 應對考核結果進(jìn)行記錄并保存。7.2.3.4 安全意識教育和培訓（G3）a) 應對各類(lèi)人員進(jìn)行安全意識教育、崗位技能培訓和相關(guān)安全技術(shù)培訓；b) 應對安全責任和懲戒措施進(jìn)行書(shū)面規定并告知相關(guān)人員，對違反違背安全策略和規定的人員進(jìn)行懲戒；c) 應對定期安全教育和培訓進(jìn)行書(shū)面規定，針對不同崗位制定不同的培訓計劃，對信息安全基礎知識、崗位操作規程等進(jìn)行培訓；d) 應對安全教育和培訓的情況和結果進(jìn)行記錄并歸檔保存。** |

培訓和考核放在一起說(shuō)，一般來(lái)說(shuō)是一個(gè)先后的順序。先說(shuō)培訓，幾個(gè)必要的培訓是每年都要做的：包括安全意識、保密意識、技術(shù)技能等，其他方面可以根據自身情況來(lái)計劃。這里安全意識建議每年2次（全員），保密培訓每年2次（全員），技術(shù)培訓（技術(shù)/關(guān)鍵崗位）根據實(shí)際情況來(lái)定。主要依據是國家安全服務(wù)資質(zhì)里的要求，沒(méi)有提到次數，但必須每年都要做的事。必須制定年度培訓計劃，培訓要保留PPT、講稿、簽到表等資料，如果有視頻更好（非硬性要求）。此外，標準提到安全責任和懲戒措施，這就是公司的員工手冊，一般總公司會(huì )有一份，各部門(mén)內部可能也會(huì )有自己的手冊，里面明確哪些可做、哪些不可做，怎樣屬于違反規定，如何獎勵、如何懲罰這類(lèi)的制度。要每年對安全相關(guān)人員進(jìn)行告知，結合前邊的安全崗位協(xié)議書(shū)要求，一起執行。如果有違規事件，要保留記錄。

接著(zhù)是考核，一般來(lái)說(shuō)培訓之后會(huì )進(jìn)行考核，成績(jì)作為KPI考核項。雖然員工都很反感這種東西，但是畢竟有些事有些人，不強迫是不行的。從管理者的角度來(lái)看，這也是一種處置方法。對于全員的安全意識，可以不做考核；對于安全人員或運維人員的技術(shù)培訓，就要進(jìn)行考核，并且考核結果作為記錄保存。檢查的時(shí)候，一般會(huì )查看培訓的簽到表、考試成績(jì)單、試卷等文檔。

| 7.2.3 **人員安全管理 || — || a） 應確保在外部人員訪(fǎng)問(wèn)受控區域前先提出書(shū)面申請，批準后由專(zhuān)人全程陪同或監督，并登記備案；b) **對外部人員允許訪(fǎng)問(wèn)的區域、系統、設備、信息等內容應進(jìn)行書(shū)面的規定，并按照規定執行。 |

這部分就比較容易理解了，外來(lái)人員來(lái)訪(fǎng)登記，機房出入登記，外包服務(wù)人員簽到都屬于外部人員訪(fǎng)問(wèn)管理范疇，除了流程和登記過(guò)程外，還要有對外來(lái)人員的一些規定制度。這里貼一點(diǎn)之前給別人寫(xiě)的外部人員管理規范

結尾

以上為管理要求在安全制度管理和人員安全管理部分的要求。這部分東西不敢展得太開(kāi)，容易長(cháng)篇大論，主要還是停留在等保的層面，助于大家理解，本人思路偏甲方思維，乙方的同學(xué)不要吐槽。最后歡迎各位糾正和討論，歡迎提供各類(lèi)意見(jiàn)。

等級保護測評系列介紹

等級保護測評（一）：物理安全

等級保護測評（二）：網(wǎng)絡(luò )安全

等級保護測評（三）：主機安全

等級保護測評（四）：應用與數據安全

等級保護測評（五）：制度與人員安全

等級保護測評（六）：系統建設管理

等級保護測評（七）：系統運維管理