zoukankan      html  css  js  c++  java
  • 10 安全运维管理 10.10变更管理

    等级保护对象在运行过程中会面临各种各样的变更操作。如果变更过程缺乏管理和控制,会给等级保护对象带来重大的安全风险。因此,需要对变更操作实施全程管控,做到各项变更内容有章可循有案可查,遇到问题有路可退,确保变更操作不给系统造成安全风险。

    10.10.1 应明确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方可实施。

    变更管理受控是降低系统由变更带来安全问题的有效手段,因此要对变更策略进行明确的规定,并对变更流程进行全程管控。

    【测评方法】

    1)核查变更方案,方案内容是否包括了变更类型、变更原因、变更过程、变更前评估等内容。

    2)核查变更方案评审记录,记录内容是否包括了评审时间、参与人员、评审结果等。

    3)核查变更过程记录,记录内容是否包括了变更执行人、执行时间、操作内容、变更结果等。

    【预期结果】

    1)具有相应的变更方案,主要内容包括变更类型、变更原因、变更过程、变更前评估等。

    2)具有XXX变更方案评审记录和变更过程记录文档。

    3)对于新建或未执行过变更操作的被测系统,此条可不适用。

    【权重】0.7

    【风险等级】高

    需求变更管理

    判例内容:未明确变更管理流程,未对需要变更的内容进行分析与论证,未制定详细的变更方案,无法明确变更的需求与必要性;变更的同时也伴随着可能导致系统无法正常访问的风险,可判定为高风险。

    适用范围:3级及以上系统。

    满足条件(同时):

    1、3级及以上系统;

    2、无变更管理制度,或变更管理制度中无变更管理流程、变更内容分析与论证、变更方案审批流程等相关内容。

    10.10.2 应建立变更的申报和审批控制程序,依据程序控制所有的变更,记录变更实施过程。

    执行变更操作要遵循变更管控的相关控制程序,约束变更过程,并有效记录。

    【测评方法】

    1)核查变要控制的申报、审批程序。

    2)核查变更实施过程的记录。

    3)记录内容是否包括了申报的变更类型、申报流程、审批部门、批准人等。

    【预期结果】

    1)不同变更类型具有相应的变更管控策略,如变更类型、变更原因、变更影响分析等。

    2)具有XXX变更实施过程的记录文档。

    3)对于新建或未执行过变更操作的被测系统,可没有相关记录。

    【权重】1

    10.10.3 应建立中止变更并从失败变更中恢复的程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练。

    变更失败恢复程序一般会在变更方案中予以明确,变更方案除了描述变更过程操作外,重要的是明确变更失败后的恢复操作。

    【测评方法】

    1)核查变更失败后的恢复程序、工作方法和相关人员职责。

    2)核查恢复过程演练记录。

    【预期结果或主要证据】

    1)对变更失败后的恢复程序、工作方法和职责进行了文件化的规定和要求,具有变更失败后的恢复程序。

    2)具有XXX变更恢复演练记录和恢复流程。

    3)对于新建或未执行过变更操作的被测系统,可没有相关记录。

    【权重】1

  • 相关阅读:
    马云教会我一件事:拉出来的还可以再坐回去
    使用google MAP座標搜尋改善用戶體驗
    PHP树不需要递归
    PHP操作MongoDB技術總結
    10个你可能从未用过的PHP函数
    台企招聘一名PHP程序員
    002HC32F460(华大)+Air724UG(4G GPRS)基本控制篇(阿里云物联网平台)在阿里云物联网平台上一型一密动态注册设备(HC32F460+Air724UG)
    173华大单片机HC32F460系列flash存储方案
    001HC32F460(华大)+Air724UG(4G GPRS)基本控制篇(阿里云物联网平台)C#,网页,android,微信小程序,单片机等使用MQTT接入阿里云物联网平台
    003HC32F460(华大)+Air724UG(4G GPRS)基本控制篇(阿里云物联网平台)在阿里云物联网平台上一型一密动态注册设备(Android)
  • 原文地址:https://www.cnblogs.com/quqibinggan/p/15607236.html
Copyright © 2011-2022 走看看