领导要求对基层单位去进行安全检查，主要查些什么？

dzskyhgy

原帖由 "天下第二" 发表：
带个扫描器，先来个内网扫描。
首先应该查查安全设备是否到位，是否做好了正确的配置。
然后问问他的网管，自己的安全设备怎么设置和维护？懂不懂？日志信息会不会看？
最后把扫描报告给他讲讲，提出几点建议，然..........

也发点资料给我吧，谢谢，我的邮箱：skyhgy@dzcc.com

天下第二

晕，你们找错人了吧？我没说我有资料啊？怎么都管我要

dzskyhgy

扫描器是什么？给个提示或建议啊，谢了

abel

這個問題最重要的就是制度化...
或可您可考慮 BS7799 的作法,或許 7799 對一般單位來說太過復雜
但您可取其中對您有用的
http://www.ringline.com.tw/epaper/11%E6%9C%88%E8%B6%A8%E5%8B%A21.asp

十個 Domain:
資訊安全政策
資訊安全組織
資產分類管理
人員安全
實體環境安全
通信與操作管理
存取控制
系統開發與維護
業務持續運行管理
符合性
其他太細的就不列了,例如我們單位,就 資產分類管理 項下,可能有這些文件及作業辨法(機密文件名稱我就不列):

1. 
   
2. 資產分類管理        01政策        文件一覽表                        文件控管程序書                                       
   
3. 資產分類管理        02程序        風險評鑑暨管理程序書                資訊安全政策                                       
   
4. 資產分類管理        02程序        資訊資產分類與控管程序書        資訊安全政策                                       
   
5. 資產分類管理        04表單        風險控管對應表                        風險評鑑暨管理程序書                                       
   
6. 資產分類管理        04表單        風險處理計劃書                        風險評鑑暨管理程序書                                       
   
7. 資產分類管理        04表單        風險評估與控管表                風險評鑑暨管理程序書                                       
   
8. 資產分類管理        04表單        風險評鑑報告                        風險評鑑暨管理程序書                                       
   
9. 資產分類管理        04表單        資訊資產風險評估權值對照表        風險評鑑暨管理程序書                                       
   
10. 資產分類管理        04表單        資訊資產報廢申請單                資訊資產報廢作業說明書                                       
    
11. 資產分類管理        04表單        資訊資產鑑別清單                風險評鑑暨管理程序書                                       
    
12. 資產分類管理        04表單        適用聲明書                        風險評鑑暨管理程序書                                       
    
13. 資產分類管理        04表單        機密資訊使用申請表                資訊資產分類與控管程序書                                       
    
14. 資產分類管理        04表單        機密資訊登記表                        資訊資產報廢作業說明書                                       
    
15. 資產分類管理        03工作指導書及辦法        資訊資產報廢作業說明書        資訊資產分類與控管程序書
    

复制代码

每個文件或辨法或表單,每個同仁都要知道,自己相關的業務如何進行,
有什麼標準化作業,以達到適度控管之目的.

就我來看,您不見得要採用 BS7799 那一套東西,但可以看看其 "制度化"
要如何進行,最重要的是文件要清楚並可行...

就您狀況來說,當屬內部稽核,有些事情不要因人情考量而放鬆才是重點
不然,當有外部稽核發生時,馬上就知道你的內稽做的不好,有太多問題

lurchin

[quote]原帖由 "dzskyhgy"]扫描器是什么？给个提示或建议啊，谢了[/quote 发表：

在网上下个X-Scan用一下,就有个感性认识了

bbzy

[quote]原帖由 "xueguolangzi"]我发到你邮箱了[/quote 发表：


我们正想加强安全方面的投入，
除了扫描器外，还有别的安全设备和方法吗？

我想试用一下扫描器，不知哪里有？

bbzy

原帖由 "hlsg" 发表：
照你们这样的查法，领导一定不满意（太专业了领导不懂能满意吗？）。我告诉你怎么查吧，记好了：
首先看有否专人值班和交接班制度，要做到专人负责，交接班要做到“手拉手、口对口，你不来我不走”（领导最害怕出问..........

谢谢，管理方面的检查确实很好
不过技术上用些什么办法呢？
请多指教！

bbzy

原帖由 "abel" 发表：
每個文件或辨法或表單,每個同仁都要知道,自己相關的業務如何進行,
有什麼標準化作業,以達到適度控管之目的.

就我來看,您不見得要採用 BS7799 那一套東西,但可以看看其 "制度化"
要如何進行,最重要的是文件要清?.........

谢谢！

cisp

原帖由 "hlsg" 发表：
照你们这样的查法，领导一定不满意（太专业了领导不懂能满意吗？）。我告诉你怎么查吧，记好了：
首先看有否专人值班和交接班制度，要做到专人负责，交接班要做到“手拉手、口对口，你不来我不走”（领导最害怕出问..........

hlsg说的不错，政府部门检查基本上是在检查制度制定与落实情况，下去不会涉及技术细节太多，最多也就是技术安全措施落实没有的Y/N回答，呵呵。除非你们领导很懂，或者很谦虚能让你“出风头”。或许你可以提前制个Y/N表让他们填报，然后远程扫扫看看密码、WIN补丁的情况怎样，有没乱建HTTP服务器之类，好下去提提建议（可以让领导提），对了财务和涉密计算机不允许连网的（包括内网、互联网），除非是涉密计算机之间的加密连接；尤其要注意处理办公材料的计算机。
大概就是就这样了。

bbzy

原帖由 "cisp" 发表：

hlsg说的不错，政府部门检查基本上是在检查制度制定与落实情况，下去不会涉及技术细节太多，最多也就是技术安全措施落实没有的Y/N回答，呵呵。除非你们领导很懂，或者很谦虚能让你“出风头”。或许你可以提前制个Y/..........

还有吗？