如何對ISO 27000標(biāo)準(zhǔn)中的“安全審計(jì)”實(shí)施有效審核
發(fā)布時(shí)間:2025-06-26 點(diǎn)擊:18
隨著我國互聯(lián)網(wǎng)技術(shù)的不斷普及和快速發(fā)展,互聯(lián)網(wǎng)已徹底改變了人們的生活方式和思維方式,互聯(lián)網(wǎng)發(fā)展給人們帶來便利的同時(shí),也產(chǎn)生了一定的新型網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。針對互聯(lián)網(wǎng)犯罪,我國采取了很多互聯(lián)網(wǎng)環(huán)境的治理措施。2023年1月17日,中央政法工作會(huì)議決定:2023年將以防控新型網(wǎng)絡(luò)安全風(fēng)險(xiǎn)為牽引,提升網(wǎng)絡(luò)社會(huì)綜合治理能力,要把防控新型網(wǎng)絡(luò)安全風(fēng)險(xiǎn)擺在突出位置來抓,不斷健全網(wǎng)絡(luò)社會(huì)綜合防控體系。
為了配合以后可能發(fā)生的司法取證工作,在信息系統(tǒng)設(shè)計(jì)開發(fā)階段要重視“安全審計(jì)”功能的實(shí)現(xiàn)。審核員要審核與認(rèn)證范圍相關(guān)的信息系統(tǒng)的“安全審計(jì)”功能是否滿足該信息系統(tǒng)的業(yè)務(wù)風(fēng)險(xiǎn)等級要求。
本文根據(jù)《ISO/IEC 27002:2013信息技術(shù) 安全技術(shù) 信息安全控制實(shí)踐指南》(以下簡稱《ISO/IEC 27002:2013》)的英文版,對《GB/T 22081-2016/ ISO/IEC 27002:2013信息技術(shù) 安全技術(shù) 信息安全控制實(shí)踐指南》標(biāo)準(zhǔn)(以下簡稱《GB/T 22081-2016》)部分條款的描述進(jìn)行了優(yōu)化,方便讀者對標(biāo)準(zhǔn)的理解,優(yōu)化內(nèi)容體現(xiàn)在對條款的解析上。
下文對“安全審計(jì)”相關(guān)條款在《ISO/IEC 27002:2013》中的要求及解析進(jìn)行具體闡述。
“12.4.1 事態(tài)日志”條款
該條款中“控制”的描述是:“宜產(chǎn)生、保持并定期評審記錄用戶活動(dòng)、異常、錯(cuò)誤和信息安全事態(tài)的事態(tài)日志”。其中,這里的“產(chǎn)生、保持”是軟件設(shè)計(jì)開發(fā)崗工作內(nèi)容,“保持并定期評審”是運(yùn)行維護(hù)服務(wù)崗的工作內(nèi)容,分別介紹如下:
1. 軟件設(shè)計(jì)開發(fā)崗(對應(yīng)條款:全部條款)
條款解析:在進(jìn)行安全審計(jì)的設(shè)計(jì)開發(fā)工作時(shí),事態(tài)日志內(nèi)容宜包含相關(guān)的a)-n)內(nèi)容,如下:
a)用戶ID;
b)系統(tǒng)活動(dòng);
c)關(guān)鍵事態(tài)的日期,時(shí)間和詳細(xì)信息,例如登錄和退出(見“9.4.2 安全登錄規(guī)程”的f)、h));
d)設(shè)備標(biāo)識(shí)或位置(如果可能),以及系統(tǒng)標(biāo)識(shí)符;
e)成功的和被拒絕的對系統(tǒng)訪問嘗試的記錄(見“9.4.2 安全登錄規(guī)程”的f));
f)成功的和被拒絕的對數(shù)據(jù)以及其他資源訪問嘗試的記錄;
g)更改系統(tǒng)配置;
h)特權(quán)的使用;
i)系統(tǒng)實(shí)用程序和應(yīng)用程序的使用;
j)被訪問的文件和訪問類型;
k)網(wǎng)絡(luò)地址和協(xié)議;
l)由訪問控制系統(tǒng)發(fā)出的告警(見“9.4.2 安全登錄規(guī)程”的g));
m)啟動(dòng)和停用保護(hù)系統(tǒng),例如防病毒系統(tǒng)和入侵檢測系統(tǒng);
n)用戶在應(yīng)用程序中執(zhí)行的交易記錄。
當(dāng)開發(fā)人員要對自動(dòng)監(jiān)視系統(tǒng)進(jìn)行設(shè)計(jì)開發(fā)時(shí),要做好事態(tài)日志記錄的保密性、完整性、可用性、真實(shí)性、可核查性等工作,因?yàn)槭聭B(tài)日志記錄是自動(dòng)監(jiān)視系統(tǒng)的基礎(chǔ)。開發(fā)人員設(shè)計(jì)開發(fā)出來的自動(dòng)監(jiān)視系統(tǒng)要能夠生成關(guān)于系統(tǒng)安全性的綜合報(bào)告和警報(bào)。
“其他信息”解析:在進(jìn)行安全審計(jì)的設(shè)計(jì)開發(fā)工作時(shí),因?yàn)槭聭B(tài)日志可能包含敏感數(shù)據(jù)和個(gè)人可識(shí)別信息,所以要采取適當(dāng)?shù)碾[私保護(hù)措施(見18.1.4)。
可能時(shí),安全審計(jì)程序設(shè)計(jì)要具有“系統(tǒng)管理員不能刪除或停用其自身活動(dòng)日志的權(quán)限”的功能(見12.4.3)。
2. 運(yùn)行維護(hù)服務(wù)崗、項(xiàng)目實(shí)施崗(對應(yīng)條款:其他信息)
在進(jìn)行運(yùn)維服務(wù)、項(xiàng)目實(shí)施時(shí),要做好以下工作:
(1)對事態(tài)日志進(jìn)行保持、監(jiān)視、定期評審,并對發(fā)現(xiàn)的用戶異常活動(dòng)、錯(cuò)誤和信息安全事態(tài)及時(shí)進(jìn)行響應(yīng)。
(2)對接觸到的“敏感數(shù)據(jù)和個(gè)人可識(shí)別信息”進(jìn)行保密和保護(hù)。
(3)不刪除或停用自身活動(dòng)日志(見12.4.3)。
“12.4.2 日志信息的保護(hù)”條款
本條款對各崗位的要求如下:
1. 軟件設(shè)計(jì)開發(fā)崗(對應(yīng)條款:全部條款)
在對安全審計(jì)程序設(shè)計(jì)開發(fā)中,要防止日志信息的未授權(quán)更改和保證日志設(shè)施的正常運(yùn)行。
a)、b)條款解析:在對安全審計(jì)程序設(shè)計(jì)開發(fā)中,要對“對記錄的消息類型的更改”“日志文件被編輯或被刪除”的活動(dòng)具有審計(jì)功能。
c)條款解析:軟件設(shè)計(jì)開發(fā)人員要對日志文件的容量進(jìn)行估算,在其編寫的《系統(tǒng)安裝手冊》中給予運(yùn)維人員、項(xiàng)目實(shí)施人員以正確的環(huán)境部署容量指導(dǎo),防止不能記錄事態(tài)或覆蓋過去記錄事態(tài)的事件發(fā)生。
軟件設(shè)計(jì)開發(fā)人員在對審計(jì)日志進(jìn)行存檔保留時(shí),要考慮合同、國家法律法規(guī)的要求,進(jìn)行收集和保留證據(jù)(即“司法取證”工作),這是記錄保留策略的一部分內(nèi)容(見16.1.7)。
“其他信息”解析:系統(tǒng)日志通常包含大量信息,其中許多與信息安全監(jiān)視無關(guān)。為幫助識(shí)別出對信息安全監(jiān)視目的有重要意義的事態(tài),在對安全審計(jì)程序設(shè)計(jì)中宜考慮將相應(yīng)的消息類型自動(dòng)地拷貝到第二份日志,或編寫適當(dāng)?shù)南到y(tǒng)實(shí)用程序或?qū)徲?jì)工具來執(zhí)行文件查詢及規(guī)范化。
為了防止“系統(tǒng)日志中的數(shù)據(jù)被修改或刪除,可能導(dǎo)致一個(gè)錯(cuò)誤的安全判斷”的事件發(fā)生,在對安全審計(jì)程序設(shè)計(jì)中可以將日志實(shí)時(shí)復(fù)制到系統(tǒng)管理員或操作員控制之外的系統(tǒng)來保護(hù)日志。
2.運(yùn)行維護(hù)服務(wù)崗、項(xiàng)目實(shí)施崗(對應(yīng)條款:全部條款)
在進(jìn)行運(yùn)維服務(wù)、項(xiàng)目實(shí)施時(shí),要防止日志信息的未授權(quán)更改,并保證日志設(shè)施的正常運(yùn)行,要做好以下工作:
a)、b)條款解析:不對記錄的消息類型進(jìn)行更改,不對日志文件進(jìn)行編輯或刪除操作。
c)條款解析:對日志文件存儲(chǔ)介質(zhì)的容量進(jìn)行監(jiān)視,發(fā)現(xiàn)存儲(chǔ)滿了,及時(shí)進(jìn)行拷貝、刪除工作,保證不發(fā)生“不能記錄事態(tài)或覆蓋過去記錄事態(tài)”的事件。
考慮合同、國家法律法規(guī)的要求,對日志信息進(jìn)行保護(hù),便于收集和保留證據(jù)(見16.1.7)。
“其他信息”解析:系統(tǒng)日志通常包含大量信息,其中許多與信息安全監(jiān)視無關(guān)。為幫助識(shí)別出對信息安全監(jiān)視目的有重要意義的事態(tài),運(yùn)維人員宜考慮將相應(yīng)的消息類型自動(dòng)拷貝到第二份日志,或使用適當(dāng)?shù)南到y(tǒng)實(shí)用程序或?qū)徲?jì)工具來執(zhí)行文件查詢及規(guī)范化。
如果其中的數(shù)據(jù)被修改或刪除,可能導(dǎo)致一個(gè)錯(cuò)誤的安全判斷。為了保護(hù)系統(tǒng)日志的需要,項(xiàng)目實(shí)施人員在項(xiàng)目實(shí)施時(shí),可以將日志實(shí)時(shí)復(fù)制到運(yùn)維人員(系統(tǒng)管理員)或操作員控制之外的系統(tǒng)來保護(hù)日志。
“12.4.3 管理員和操作員日志”條款
本條款的控制:“系統(tǒng)管理員和系統(tǒng)操作員活動(dòng)宜記入日志,并對日志進(jìn)行保護(hù)和定期評審”,其中“記入日志并對日志進(jìn)行保護(hù)”是軟件設(shè)計(jì)開發(fā)崗的工作內(nèi)容,“對日志進(jìn)行保護(hù)和定期評審”是運(yùn)行維護(hù)服務(wù)崗、項(xiàng)目實(shí)施崗的工作內(nèi)容,如下:
1. 軟件設(shè)計(jì)開發(fā)崗(對應(yīng)條款:全部條款)
在對安全審計(jì)程序設(shè)計(jì)中,要具有對“操作信息處理設(shè)施上的日志”活動(dòng)的審計(jì)功能,以便于對特權(quán)用戶進(jìn)行追責(zé)。
可以建議用戶使用不受系統(tǒng)和網(wǎng)絡(luò)管理員控制的入侵檢測系統(tǒng),該入侵檢測系統(tǒng)可用于監(jiān)視系統(tǒng)和網(wǎng)絡(luò)管理活動(dòng)的合規(guī)性。
2. 運(yùn)行維護(hù)服務(wù)崗、項(xiàng)目實(shí)施崗(對應(yīng)條款:全部條款)
在進(jìn)行運(yùn)維服務(wù)、項(xiàng)目實(shí)施時(shí),要做好以下工作:對其直接控制下操作信息處理設(shè)施上的系統(tǒng)管理員、系統(tǒng)操作員的操作日志進(jìn)行必要保護(hù),并評審日志,便于進(jìn)行追責(zé);可以建議用戶使用不受系統(tǒng)和網(wǎng)絡(luò)管理員控制的入侵檢測系統(tǒng),該入侵檢測系統(tǒng)可用于監(jiān)視系統(tǒng)和網(wǎng)絡(luò)管理活動(dòng)的合規(guī)性。
“12.4.4 時(shí)鐘同步”條款
本條款對各崗位的要求如下:
1. 軟件設(shè)計(jì)開發(fā)崗(對應(yīng)條款:全部條款)
在軟件設(shè)計(jì)開發(fā)時(shí),要根據(jù)法律、法規(guī)、合同、符合的標(biāo)準(zhǔn)或內(nèi)部監(jiān)控的要求,考慮內(nèi)部和外部的時(shí)間顯示、同步和準(zhǔn)確性的要求,考慮系統(tǒng)時(shí)間的取值工作,要使用標(biāo)準(zhǔn)基準(zhǔn)時(shí)間。當(dāng)需要從外部源獲得基準(zhǔn)時(shí)間時(shí),要科學(xué)考慮時(shí)間獲取的途徑以及如何同步內(nèi)部時(shí)鐘。
在軟件設(shè)計(jì)開發(fā)工作中,正確設(shè)置計(jì)算機(jī)時(shí)鐘對確保審計(jì)記錄的準(zhǔn)確性是重要的,因?yàn)閷徲?jì)日志可用于調(diào)查或作為法律、紀(jì)律處理的證據(jù)。不準(zhǔn)確的審計(jì)日志可能妨礙調(diào)查,并損害這種證據(jù)的可信性。可使用鏈接到源于國家原子鐘的無線電廣播時(shí)間,作為日志生成系統(tǒng)的主時(shí)鐘。可使用網(wǎng)絡(luò)時(shí)間協(xié)議來保持所有服務(wù)器與主時(shí)鐘完全同步。
視頻監(jiān)控系統(tǒng)就是用于法律證據(jù)的信息系統(tǒng),該信息系統(tǒng)的軟硬件廠家對監(jiān)控設(shè)備的時(shí)鐘同步有相應(yīng)的模塊進(jìn)行控制。這是滿足本條款要求的一個(gè)案例。
2. 運(yùn)行維護(hù)服務(wù)崗、項(xiàng)目實(shí)施崗(對應(yīng)條款:全部條款)
項(xiàng)目實(shí)施崗在進(jìn)行系統(tǒng)初次安裝時(shí),要對系統(tǒng)時(shí)間進(jìn)行正確設(shè)置。如果安裝實(shí)施的軟件系統(tǒng)還有其他的時(shí)間設(shè)置要求,要按照廠家的安裝說明進(jìn)行好相應(yīng)的配置工作。如對視頻監(jiān)控系統(tǒng)的每個(gè)智能攝像頭的時(shí)鐘同步配置工作。
運(yùn)行維護(hù)服務(wù)人員要按照本條款的要求,對被運(yùn)維系統(tǒng)的時(shí)間進(jìn)行監(jiān)視、維護(hù)。當(dāng)發(fā)現(xiàn)部署在內(nèi)網(wǎng)的服務(wù)器的時(shí)間和國家標(biāo)準(zhǔn)時(shí)間不同時(shí),要根據(jù)業(yè)務(wù)的實(shí)際情況,決定是否進(jìn)行校準(zhǔn)。如果需要校準(zhǔn),要做好校準(zhǔn)的策劃工作,盡量在非工作時(shí)間進(jìn)行校準(zhǔn),校準(zhǔn)前做好數(shù)據(jù)備份工作,當(dāng)內(nèi)網(wǎng)服務(wù)器時(shí)間在國家標(biāo)準(zhǔn)時(shí)間之前,直接修改內(nèi)網(wǎng)服務(wù)器的時(shí)間即可。但如果內(nèi)網(wǎng)服務(wù)器時(shí)間在國家標(biāo)準(zhǔn)時(shí)間之后,則需要等過了這二者的時(shí)間差這段時(shí)間后,再修改內(nèi)網(wǎng)服務(wù)器的時(shí)間,否則會(huì)引起數(shù)據(jù)庫數(shù)據(jù)的時(shí)間混亂。同時(shí),要對時(shí)間校準(zhǔn)工作過程形成相應(yīng)的記錄,以備后期的核查。
運(yùn)維服務(wù)人員、項(xiàng)目實(shí)施人員正確設(shè)置計(jì)算機(jī)時(shí)鐘對確保審計(jì)記錄的準(zhǔn)確性很重要,因?yàn)閷徲?jì)日志可用于調(diào)查或作為法律、紀(jì)律處理的證據(jù)。
對于視頻監(jiān)控系統(tǒng)的審核,ISMS體系審核員如果發(fā)現(xiàn)在同一時(shí)間、不同攝像頭監(jiān)控畫面上顯示的時(shí)間不一樣,審核員應(yīng)對該審核發(fā)現(xiàn)判該條款的不符合。
《ISO/IEC 27001:2013》的“A.14.1.2 公共網(wǎng)絡(luò)上應(yīng)用服務(wù)的安全保護(hù)”條款對在互聯(lián)網(wǎng)上開展服務(wù)進(jìn)行了要求,“A.14.1.3 應(yīng)用服務(wù)事務(wù)的保護(hù)”條款對在互聯(lián)網(wǎng)上進(jìn)行應(yīng)用服務(wù)交易活動(dòng)進(jìn)行了要求。這2個(gè)條款的服務(wù)活動(dòng)是在互聯(lián)網(wǎng)上開展,業(yè)務(wù)風(fēng)險(xiǎn)大,服務(wù)所用的信息系統(tǒng)的身份鑒別、安全審計(jì)這2項(xiàng)安全技術(shù)要格外注意加強(qiáng)。
《GB/T 18336.2-2008 /ISO/IEC 15408-2:2005信息技術(shù) 安全技術(shù) 信息技術(shù)安全評估準(zhǔn)則 第2部分:安全功能要求》對軟件開發(fā)的安全技術(shù)要求進(jìn)行了詳細(xì)的描述,包括對“身份鑒別”“安全審計(jì)”“通信”“密碼支持”“用戶數(shù)據(jù)保護(hù)”“標(biāo)識(shí)和鑒別”“安全管理”“隱私”等安全功能要求。該標(biāo)準(zhǔn)的“7 FAU 類:安全審計(jì)”“附錄C (規(guī)范性附錄) FAU 類:安全審計(jì)”對“安全審計(jì)”設(shè)計(jì)開發(fā)進(jìn)行了詳細(xì)的描述,該標(biāo)準(zhǔn)的每個(gè)組件都有對審計(jì)的要求。因此,該標(biāo)準(zhǔn)也是將信息系統(tǒng)安全功能設(shè)計(jì)工作徹底掌握的必選標(biāo)準(zhǔn)。
在國家加強(qiáng)對網(wǎng)絡(luò)社會(huì)綜合治理工作的大環(huán)境下,審核員在開展審核工作時(shí),要重視與認(rèn)證范圍有關(guān)的信息系統(tǒng)的安全功能滿足其業(yè)務(wù)風(fēng)險(xiǎn)情況的審核取證工作,尤其要重視“安全審計(jì)”的審核取證工作,為以后可能發(fā)生的司法取證工作做好準(zhǔn)備,為凈化互聯(lián)網(wǎng)生態(tài)環(huán)境貢獻(xiàn)自己的力量。
申報(bào)辦理中國馳名品牌需要多少錢
揭陽ISO9001質(zhì)量體系認(rèn)證多少錢
湖北iso9001質(zhì)量體系認(rèn)證辦理流程
驗(yàn)廠服務(wù)-驗(yàn)廠術(shù)語知多少
g7色彩管理體系認(rèn)證專家
商品售后服務(wù)認(rèn)證范圍有多廣泛?認(rèn)證對服務(wù)業(yè)的重要性
TM商標(biāo)注冊標(biāo)識(shí)如何正確使用?
ISO14001管理體系認(rèn)證審核過程
為了配合以后可能發(fā)生的司法取證工作,在信息系統(tǒng)設(shè)計(jì)開發(fā)階段要重視“安全審計(jì)”功能的實(shí)現(xiàn)。審核員要審核與認(rèn)證范圍相關(guān)的信息系統(tǒng)的“安全審計(jì)”功能是否滿足該信息系統(tǒng)的業(yè)務(wù)風(fēng)險(xiǎn)等級要求。
本文根據(jù)《ISO/IEC 27002:2013信息技術(shù) 安全技術(shù) 信息安全控制實(shí)踐指南》(以下簡稱《ISO/IEC 27002:2013》)的英文版,對《GB/T 22081-2016/ ISO/IEC 27002:2013信息技術(shù) 安全技術(shù) 信息安全控制實(shí)踐指南》標(biāo)準(zhǔn)(以下簡稱《GB/T 22081-2016》)部分條款的描述進(jìn)行了優(yōu)化,方便讀者對標(biāo)準(zhǔn)的理解,優(yōu)化內(nèi)容體現(xiàn)在對條款的解析上。
下文對“安全審計(jì)”相關(guān)條款在《ISO/IEC 27002:2013》中的要求及解析進(jìn)行具體闡述。
“12.4.1 事態(tài)日志”條款
該條款中“控制”的描述是:“宜產(chǎn)生、保持并定期評審記錄用戶活動(dòng)、異常、錯(cuò)誤和信息安全事態(tài)的事態(tài)日志”。其中,這里的“產(chǎn)生、保持”是軟件設(shè)計(jì)開發(fā)崗工作內(nèi)容,“保持并定期評審”是運(yùn)行維護(hù)服務(wù)崗的工作內(nèi)容,分別介紹如下:
1. 軟件設(shè)計(jì)開發(fā)崗(對應(yīng)條款:全部條款)
條款解析:在進(jìn)行安全審計(jì)的設(shè)計(jì)開發(fā)工作時(shí),事態(tài)日志內(nèi)容宜包含相關(guān)的a)-n)內(nèi)容,如下:
a)用戶ID;
b)系統(tǒng)活動(dòng);
c)關(guān)鍵事態(tài)的日期,時(shí)間和詳細(xì)信息,例如登錄和退出(見“9.4.2 安全登錄規(guī)程”的f)、h));
d)設(shè)備標(biāo)識(shí)或位置(如果可能),以及系統(tǒng)標(biāo)識(shí)符;
e)成功的和被拒絕的對系統(tǒng)訪問嘗試的記錄(見“9.4.2 安全登錄規(guī)程”的f));
f)成功的和被拒絕的對數(shù)據(jù)以及其他資源訪問嘗試的記錄;
g)更改系統(tǒng)配置;
h)特權(quán)的使用;
i)系統(tǒng)實(shí)用程序和應(yīng)用程序的使用;
j)被訪問的文件和訪問類型;
k)網(wǎng)絡(luò)地址和協(xié)議;
l)由訪問控制系統(tǒng)發(fā)出的告警(見“9.4.2 安全登錄規(guī)程”的g));
m)啟動(dòng)和停用保護(hù)系統(tǒng),例如防病毒系統(tǒng)和入侵檢測系統(tǒng);
n)用戶在應(yīng)用程序中執(zhí)行的交易記錄。
當(dāng)開發(fā)人員要對自動(dòng)監(jiān)視系統(tǒng)進(jìn)行設(shè)計(jì)開發(fā)時(shí),要做好事態(tài)日志記錄的保密性、完整性、可用性、真實(shí)性、可核查性等工作,因?yàn)槭聭B(tài)日志記錄是自動(dòng)監(jiān)視系統(tǒng)的基礎(chǔ)。開發(fā)人員設(shè)計(jì)開發(fā)出來的自動(dòng)監(jiān)視系統(tǒng)要能夠生成關(guān)于系統(tǒng)安全性的綜合報(bào)告和警報(bào)。
“其他信息”解析:在進(jìn)行安全審計(jì)的設(shè)計(jì)開發(fā)工作時(shí),因?yàn)槭聭B(tài)日志可能包含敏感數(shù)據(jù)和個(gè)人可識(shí)別信息,所以要采取適當(dāng)?shù)碾[私保護(hù)措施(見18.1.4)。
可能時(shí),安全審計(jì)程序設(shè)計(jì)要具有“系統(tǒng)管理員不能刪除或停用其自身活動(dòng)日志的權(quán)限”的功能(見12.4.3)。
2. 運(yùn)行維護(hù)服務(wù)崗、項(xiàng)目實(shí)施崗(對應(yīng)條款:其他信息)
在進(jìn)行運(yùn)維服務(wù)、項(xiàng)目實(shí)施時(shí),要做好以下工作:
(1)對事態(tài)日志進(jìn)行保持、監(jiān)視、定期評審,并對發(fā)現(xiàn)的用戶異常活動(dòng)、錯(cuò)誤和信息安全事態(tài)及時(shí)進(jìn)行響應(yīng)。
(2)對接觸到的“敏感數(shù)據(jù)和個(gè)人可識(shí)別信息”進(jìn)行保密和保護(hù)。
(3)不刪除或停用自身活動(dòng)日志(見12.4.3)。
“12.4.2 日志信息的保護(hù)”條款
本條款對各崗位的要求如下:
1. 軟件設(shè)計(jì)開發(fā)崗(對應(yīng)條款:全部條款)
在對安全審計(jì)程序設(shè)計(jì)開發(fā)中,要防止日志信息的未授權(quán)更改和保證日志設(shè)施的正常運(yùn)行。
a)、b)條款解析:在對安全審計(jì)程序設(shè)計(jì)開發(fā)中,要對“對記錄的消息類型的更改”“日志文件被編輯或被刪除”的活動(dòng)具有審計(jì)功能。
c)條款解析:軟件設(shè)計(jì)開發(fā)人員要對日志文件的容量進(jìn)行估算,在其編寫的《系統(tǒng)安裝手冊》中給予運(yùn)維人員、項(xiàng)目實(shí)施人員以正確的環(huán)境部署容量指導(dǎo),防止不能記錄事態(tài)或覆蓋過去記錄事態(tài)的事件發(fā)生。
軟件設(shè)計(jì)開發(fā)人員在對審計(jì)日志進(jìn)行存檔保留時(shí),要考慮合同、國家法律法規(guī)的要求,進(jìn)行收集和保留證據(jù)(即“司法取證”工作),這是記錄保留策略的一部分內(nèi)容(見16.1.7)。
“其他信息”解析:系統(tǒng)日志通常包含大量信息,其中許多與信息安全監(jiān)視無關(guān)。為幫助識(shí)別出對信息安全監(jiān)視目的有重要意義的事態(tài),在對安全審計(jì)程序設(shè)計(jì)中宜考慮將相應(yīng)的消息類型自動(dòng)地拷貝到第二份日志,或編寫適當(dāng)?shù)南到y(tǒng)實(shí)用程序或?qū)徲?jì)工具來執(zhí)行文件查詢及規(guī)范化。
為了防止“系統(tǒng)日志中的數(shù)據(jù)被修改或刪除,可能導(dǎo)致一個(gè)錯(cuò)誤的安全判斷”的事件發(fā)生,在對安全審計(jì)程序設(shè)計(jì)中可以將日志實(shí)時(shí)復(fù)制到系統(tǒng)管理員或操作員控制之外的系統(tǒng)來保護(hù)日志。
2.運(yùn)行維護(hù)服務(wù)崗、項(xiàng)目實(shí)施崗(對應(yīng)條款:全部條款)
在進(jìn)行運(yùn)維服務(wù)、項(xiàng)目實(shí)施時(shí),要防止日志信息的未授權(quán)更改,并保證日志設(shè)施的正常運(yùn)行,要做好以下工作:
a)、b)條款解析:不對記錄的消息類型進(jìn)行更改,不對日志文件進(jìn)行編輯或刪除操作。
c)條款解析:對日志文件存儲(chǔ)介質(zhì)的容量進(jìn)行監(jiān)視,發(fā)現(xiàn)存儲(chǔ)滿了,及時(shí)進(jìn)行拷貝、刪除工作,保證不發(fā)生“不能記錄事態(tài)或覆蓋過去記錄事態(tài)”的事件。
考慮合同、國家法律法規(guī)的要求,對日志信息進(jìn)行保護(hù),便于收集和保留證據(jù)(見16.1.7)。
“其他信息”解析:系統(tǒng)日志通常包含大量信息,其中許多與信息安全監(jiān)視無關(guān)。為幫助識(shí)別出對信息安全監(jiān)視目的有重要意義的事態(tài),運(yùn)維人員宜考慮將相應(yīng)的消息類型自動(dòng)拷貝到第二份日志,或使用適當(dāng)?shù)南到y(tǒng)實(shí)用程序或?qū)徲?jì)工具來執(zhí)行文件查詢及規(guī)范化。
如果其中的數(shù)據(jù)被修改或刪除,可能導(dǎo)致一個(gè)錯(cuò)誤的安全判斷。為了保護(hù)系統(tǒng)日志的需要,項(xiàng)目實(shí)施人員在項(xiàng)目實(shí)施時(shí),可以將日志實(shí)時(shí)復(fù)制到運(yùn)維人員(系統(tǒng)管理員)或操作員控制之外的系統(tǒng)來保護(hù)日志。
“12.4.3 管理員和操作員日志”條款
本條款的控制:“系統(tǒng)管理員和系統(tǒng)操作員活動(dòng)宜記入日志,并對日志進(jìn)行保護(hù)和定期評審”,其中“記入日志并對日志進(jìn)行保護(hù)”是軟件設(shè)計(jì)開發(fā)崗的工作內(nèi)容,“對日志進(jìn)行保護(hù)和定期評審”是運(yùn)行維護(hù)服務(wù)崗、項(xiàng)目實(shí)施崗的工作內(nèi)容,如下:
1. 軟件設(shè)計(jì)開發(fā)崗(對應(yīng)條款:全部條款)
在對安全審計(jì)程序設(shè)計(jì)中,要具有對“操作信息處理設(shè)施上的日志”活動(dòng)的審計(jì)功能,以便于對特權(quán)用戶進(jìn)行追責(zé)。
可以建議用戶使用不受系統(tǒng)和網(wǎng)絡(luò)管理員控制的入侵檢測系統(tǒng),該入侵檢測系統(tǒng)可用于監(jiān)視系統(tǒng)和網(wǎng)絡(luò)管理活動(dòng)的合規(guī)性。
2. 運(yùn)行維護(hù)服務(wù)崗、項(xiàng)目實(shí)施崗(對應(yīng)條款:全部條款)
在進(jìn)行運(yùn)維服務(wù)、項(xiàng)目實(shí)施時(shí),要做好以下工作:對其直接控制下操作信息處理設(shè)施上的系統(tǒng)管理員、系統(tǒng)操作員的操作日志進(jìn)行必要保護(hù),并評審日志,便于進(jìn)行追責(zé);可以建議用戶使用不受系統(tǒng)和網(wǎng)絡(luò)管理員控制的入侵檢測系統(tǒng),該入侵檢測系統(tǒng)可用于監(jiān)視系統(tǒng)和網(wǎng)絡(luò)管理活動(dòng)的合規(guī)性。
“12.4.4 時(shí)鐘同步”條款
本條款對各崗位的要求如下:
1. 軟件設(shè)計(jì)開發(fā)崗(對應(yīng)條款:全部條款)
在軟件設(shè)計(jì)開發(fā)時(shí),要根據(jù)法律、法規(guī)、合同、符合的標(biāo)準(zhǔn)或內(nèi)部監(jiān)控的要求,考慮內(nèi)部和外部的時(shí)間顯示、同步和準(zhǔn)確性的要求,考慮系統(tǒng)時(shí)間的取值工作,要使用標(biāo)準(zhǔn)基準(zhǔn)時(shí)間。當(dāng)需要從外部源獲得基準(zhǔn)時(shí)間時(shí),要科學(xué)考慮時(shí)間獲取的途徑以及如何同步內(nèi)部時(shí)鐘。
在軟件設(shè)計(jì)開發(fā)工作中,正確設(shè)置計(jì)算機(jī)時(shí)鐘對確保審計(jì)記錄的準(zhǔn)確性是重要的,因?yàn)閷徲?jì)日志可用于調(diào)查或作為法律、紀(jì)律處理的證據(jù)。不準(zhǔn)確的審計(jì)日志可能妨礙調(diào)查,并損害這種證據(jù)的可信性。可使用鏈接到源于國家原子鐘的無線電廣播時(shí)間,作為日志生成系統(tǒng)的主時(shí)鐘。可使用網(wǎng)絡(luò)時(shí)間協(xié)議來保持所有服務(wù)器與主時(shí)鐘完全同步。
視頻監(jiān)控系統(tǒng)就是用于法律證據(jù)的信息系統(tǒng),該信息系統(tǒng)的軟硬件廠家對監(jiān)控設(shè)備的時(shí)鐘同步有相應(yīng)的模塊進(jìn)行控制。這是滿足本條款要求的一個(gè)案例。
2. 運(yùn)行維護(hù)服務(wù)崗、項(xiàng)目實(shí)施崗(對應(yīng)條款:全部條款)
項(xiàng)目實(shí)施崗在進(jìn)行系統(tǒng)初次安裝時(shí),要對系統(tǒng)時(shí)間進(jìn)行正確設(shè)置。如果安裝實(shí)施的軟件系統(tǒng)還有其他的時(shí)間設(shè)置要求,要按照廠家的安裝說明進(jìn)行好相應(yīng)的配置工作。如對視頻監(jiān)控系統(tǒng)的每個(gè)智能攝像頭的時(shí)鐘同步配置工作。
運(yùn)行維護(hù)服務(wù)人員要按照本條款的要求,對被運(yùn)維系統(tǒng)的時(shí)間進(jìn)行監(jiān)視、維護(hù)。當(dāng)發(fā)現(xiàn)部署在內(nèi)網(wǎng)的服務(wù)器的時(shí)間和國家標(biāo)準(zhǔn)時(shí)間不同時(shí),要根據(jù)業(yè)務(wù)的實(shí)際情況,決定是否進(jìn)行校準(zhǔn)。如果需要校準(zhǔn),要做好校準(zhǔn)的策劃工作,盡量在非工作時(shí)間進(jìn)行校準(zhǔn),校準(zhǔn)前做好數(shù)據(jù)備份工作,當(dāng)內(nèi)網(wǎng)服務(wù)器時(shí)間在國家標(biāo)準(zhǔn)時(shí)間之前,直接修改內(nèi)網(wǎng)服務(wù)器的時(shí)間即可。但如果內(nèi)網(wǎng)服務(wù)器時(shí)間在國家標(biāo)準(zhǔn)時(shí)間之后,則需要等過了這二者的時(shí)間差這段時(shí)間后,再修改內(nèi)網(wǎng)服務(wù)器的時(shí)間,否則會(huì)引起數(shù)據(jù)庫數(shù)據(jù)的時(shí)間混亂。同時(shí),要對時(shí)間校準(zhǔn)工作過程形成相應(yīng)的記錄,以備后期的核查。
運(yùn)維服務(wù)人員、項(xiàng)目實(shí)施人員正確設(shè)置計(jì)算機(jī)時(shí)鐘對確保審計(jì)記錄的準(zhǔn)確性很重要,因?yàn)閷徲?jì)日志可用于調(diào)查或作為法律、紀(jì)律處理的證據(jù)。
對于視頻監(jiān)控系統(tǒng)的審核,ISMS體系審核員如果發(fā)現(xiàn)在同一時(shí)間、不同攝像頭監(jiān)控畫面上顯示的時(shí)間不一樣,審核員應(yīng)對該審核發(fā)現(xiàn)判該條款的不符合。
《ISO/IEC 27001:2013》的“A.14.1.2 公共網(wǎng)絡(luò)上應(yīng)用服務(wù)的安全保護(hù)”條款對在互聯(lián)網(wǎng)上開展服務(wù)進(jìn)行了要求,“A.14.1.3 應(yīng)用服務(wù)事務(wù)的保護(hù)”條款對在互聯(lián)網(wǎng)上進(jìn)行應(yīng)用服務(wù)交易活動(dòng)進(jìn)行了要求。這2個(gè)條款的服務(wù)活動(dòng)是在互聯(lián)網(wǎng)上開展,業(yè)務(wù)風(fēng)險(xiǎn)大,服務(wù)所用的信息系統(tǒng)的身份鑒別、安全審計(jì)這2項(xiàng)安全技術(shù)要格外注意加強(qiáng)。
《GB/T 18336.2-2008 /ISO/IEC 15408-2:2005信息技術(shù) 安全技術(shù) 信息技術(shù)安全評估準(zhǔn)則 第2部分:安全功能要求》對軟件開發(fā)的安全技術(shù)要求進(jìn)行了詳細(xì)的描述,包括對“身份鑒別”“安全審計(jì)”“通信”“密碼支持”“用戶數(shù)據(jù)保護(hù)”“標(biāo)識(shí)和鑒別”“安全管理”“隱私”等安全功能要求。該標(biāo)準(zhǔn)的“7 FAU 類:安全審計(jì)”“附錄C (規(guī)范性附錄) FAU 類:安全審計(jì)”對“安全審計(jì)”設(shè)計(jì)開發(fā)進(jìn)行了詳細(xì)的描述,該標(biāo)準(zhǔn)的每個(gè)組件都有對審計(jì)的要求。因此,該標(biāo)準(zhǔn)也是將信息系統(tǒng)安全功能設(shè)計(jì)工作徹底掌握的必選標(biāo)準(zhǔn)。
在國家加強(qiáng)對網(wǎng)絡(luò)社會(huì)綜合治理工作的大環(huán)境下,審核員在開展審核工作時(shí),要重視與認(rèn)證范圍有關(guān)的信息系統(tǒng)的安全功能滿足其業(yè)務(wù)風(fēng)險(xiǎn)情況的審核取證工作,尤其要重視“安全審計(jì)”的審核取證工作,為以后可能發(fā)生的司法取證工作做好準(zhǔn)備,為凈化互聯(lián)網(wǎng)生態(tài)環(huán)境貢獻(xiàn)自己的力量。
申報(bào)辦理中國馳名品牌需要多少錢
揭陽ISO9001質(zhì)量體系認(rèn)證多少錢
湖北iso9001質(zhì)量體系認(rèn)證辦理流程
驗(yàn)廠服務(wù)-驗(yàn)廠術(shù)語知多少
g7色彩管理體系認(rèn)證專家
商品售后服務(wù)認(rèn)證范圍有多廣泛?認(rèn)證對服務(wù)業(yè)的重要性
TM商標(biāo)注冊標(biāo)識(shí)如何正確使用?
ISO14001管理體系認(rèn)證審核過程