华道众合专业提供ISO20000认证、ISO27001认证、ISO27000认证、信息系统集成及服务资质(CCRC信息安全认证)、itss资质认证、CMMI认证、APP安全认证、商用密码产品认证在线咨询  |  公司简介  |  联系我们
10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构
24小时服务热线:
13681200268
4006-010-725
服务项目
最新动态
热点文章
HOME 首页 > 服务项目 > 商用密码产品认证 > 信息系统密码应用测评人员管理要求

密码认证:信息系统密码应用测评人员管理要求

文章录入:华道众合   文章来源:华道众合   添加时间:2021-1-25
1.了解并遵守密码相关法律法规和密码管理制度
具体测评单元如下:
a) 测评指标
相关人员了解并遵守密码相关法律法规、密码应用安全管理制度。(第一级到第四级)
b) 测评对象
系统相关人员(包括系统负责人、安全主管、密钥管理员、密码审计员、密码操作员等)。
c) 测评实施
核查系统相关人员是否了解并遵守密码相关法律法规和密码应用安全管理制度。
d) 结果判定
针对单个测评对象,如果以上测评实施内容为是,则该测评对象符合本单元的测评指标要求;否则,不符合或部分符合本单元的测评指标要求。针对本测评单元,对该单元涉及的所有测评对象的判定结果进行汇总,如果判定结果均为符合,则本单元的测评结果为符合;如果判定结果均为不符合,则本单元的测评结果为不符合;否则,本单元的测评结果为部分符合。
2.建立密码应用岗位责任制度
具体测评单元如下:
a) 测评指标  
·建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限。(第二级)  
·建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限:(第三级)
1) 根据密码应用的实际情况,设置密钥管理员、密码安全审计员、密码操作员等关键安全岗位;
2) 对关键岗位建立多人共管机制;
3) 密钥管理、密码安全审计、密码操作人员职责互相制约互相监督,其中密码安全审计员岗位不可与密钥管理员、密码操作员兼任;
4) 相关设备与系统的管理和使用账号不得多人共用。
·建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限:(第四级)
1) 根据密码应用的实际情况,设置密钥管理员、密码安全审计员、密码操作员等关键安全岗位;
2) 对关键岗位建立多人共管机制;
3) 密钥管理、密码安全审计、密码操作人员职责互相制约互相监督,其中密码安全审计员岗位不可与密钥管理员、密码操作员兼任;
4) 相关设备与系统的管理和使用账号不得多人共用;
5) 密钥管理员、密码安全审计员、密码操作员应由本机构的内部员工担任,并应在任前对其进行背景调查。
b) 测评对象
安全管理制度类文档、系统相关人员(包括系统负责人、安全主管、密钥管理员、密码审计员、密码操作员等)。
c) 测评实施
1) 第二级:
核查是否建立了密码应用岗位责任制度,安全管理制度中是否明确了各岗位在安全系统中的职责和权限。
2) 第三级:
核查安全管理制度类文档是否根据密码应用的实际情况,设置密钥管理员、密码审计员、密码操作员等关键安全岗位并定义岗位职责;核查是否对关键岗位建立多人共管机制,并确认密钥管理员岗位人员是否不兼任密码审计员、密码操作员等关键安全岗位;核查相关设备与系统的管理和使用账号是否有多人共用情况。
3) 第四级:
核查安全管理制度类文档是否根据密码应用的实际情况,设置密钥管理员、密码审计员、密码操作员等关键安全岗位并定义岗位职责;核查是否对关键岗位建立多人共管机制,并确认密钥管理员岗位人员是否不兼任密码审计员、密码操作员等关键安全岗位;核查相关设备与系统的管理和使用账号是否有多人共用情况;核查密钥管理员和密码操作员是否由本机构的正式人员担任,是否具有人员录用时对录用人身份、背景、专业资格和资质等进行审查的相关文档或记录等。
d) 结果判定
针对单个测评对象,如果以上相应等级的测评实施内容均为是,则该测评对象符合本单元的测评指标要求;否则,不符合或部分符合本单元的测评指标要求。针对本测评单元,对该单元涉及的所有测评对象的判定结果进行汇总,如果判定结果均为符合,则本单元的测评结果为符合;如果判定结果均为不符合,则本单元的测评结果为不符合;否则,本单元的测评结果为部分符合。
3.建立上岗人员培训制度
具体测评单元如下:
a) 测评指标
建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位所需专业技能。(第二级到第四级)
b) 测评对象
安全管理制度类文档和记录表单类文档、系统相关人员(包括系统负责人、安全主管、密钥管理员、密码审计员、密码操作员等)。
c) 测评实施
核查安全教育和培训计划文档是否具有针对涉及密码的操作和管理的人员的培训计划;核查安全教育和培训记录是否有密码培训人员、密码培训内容、密码培训结果等的描述。
d) 结果判定
针对单个测评对象,如果以上测评实施内容均为是,则该测评对象符合本单元的测评指标要求;否则,不符合或部分符合本单元的测评指标要求。针对本测评单元,对该单元涉及的所有测评对象的判定结果进行汇总,如果判定结果均为符合,则本单元的测评结果为符合;如果判定结果均为不符合,则本单元的测评结果为不符合;否则,本单元的测评结果为部分符合。
4.定期进行安全岗位人员考核
具体测评单元如下:
a) 测评指标
定期对密码应用安全岗位人员进行考核。(第三级到第四级)
b) 测评对象
安全管理制度类文档和记录表单类文档、系统相关人员(包括系统负责人、安全主管、密钥管理员、密码审计员、密码操作员等)。
c) 测评实施
核查安全管理制度文档是否包含具体的人员考核制度和惩戒措施;核查人员考核记录内容是否包括安全意识、密码操作管理技能及相关法律法规;核查记录表单类文档确认是否定期进行岗位人员考核。
d) 结果判定
针对单个测评对象,如果以上测评实施内容均为是,则该测评对象符合本单元的测评指标要求;否则,不符合或部分符合本单元的测评指标要求。针对本测评单元,对该单元涉及的所有测评对象的判定结果进行汇总,如果判定结果均为符合,则本单元的测评结果为符合;如果判定结果均为不符合,则本单元的测评结果为不符合;否则,本单元的测评结果为部分符合。
5.建立关键岗位人员保密制度和调离制度
具体测评单元如下:
a) 测评指标
·及时终止离岗人员的所有密码应用相关的访问权限、操作权限。(第一级)
·建立关键人员保密制度和调离制度,签订保密合同,承担保密义务。(第二级到第四级)
b) 测评对象
安全管理制度类文档和记录表单类文档、系统相关人员(包括系统负责人、安全主管、密钥管理员、密码审计员、密码操作员等)。
c) 测评实施
1) 第一级:
核查人员离岗时是否具有及时终止其所有密码应用相关的访问权限、操作权限的记录。
2) 第二级到第四级:
核查人员离岗的管理文档是否规定了关键岗位人员保密制度和调离制度等;核查保密协议是否有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容。
d) 结果判定
针对单个测评对象,如果以上相应等级的测评实施内容均为是,则该测评对象符合本单元的测评指标要求;否则,不符合或部分符合本单元的测评指标要求。针对本测评单元,对该单元涉及的所有测评对象的判定结果进行汇总,如果判定结果均为符合,则本单元的测评结果为符合;如果判定结果均为不符合,则本单元的测评结果为不符合;否则,本单元的测评结果为部分符合。
想了解更多的关于密码认证信息可以经常关注我们