| A.12 运行安全 | ||
| A.12.1 运行规程和责任 | ||
| 目标:确保正确、安全的运行信息处理设施。 | ||
| A.12.1.1 | 文件化的操作规程 | 控制 操作规程应形成文件,并对所需用户可用。 |
| A.12.1.2 | 变更管理 | 控制 应控制影响信息安全的变更,包括组织、业务过程、信息处理设施和系统变更。 |
| A.12.1.3 | 容量管理 | 控制 应对资源的使用进行监视,调整和预测未来的容量需求,以确保所需的系统性能。 |
| A.12.1.4 | 开发、测试和运行环境的分离 | 控制 应分离开发、测试和运行环境,以降低对运行环境未授权访问或变更的风险。 |
控制解析:
- “A.12 运行安全”是有关信息处理设施(如信息系统、服务器、办公电脑、打印机等)运维和使用的安全控制要求。实施”A.12 运行安全”,需要形成书面的《信息处理设施运维与使用安全管理规范》,该规范涵盖”A.12 运行安全”全部要求。
- 所有的信息处理设施,必须有书面的运维和使用指南。如应用系统OA,需要有《OA系统运维指南》和《OA系统用户使用指南》;打印机,需要有《打印机使用安全指南》等。
- 与信息安全有关的变更(如信息安全组织与职责变更、信息安全流程变更、信息处理设施变更等),必须经过变更策划、评审和批准后,方可进行变更,这些要求需要形成书面的文件,相关内容可以在《信息处理设施运维与使用安全管理规范》中,也可以单独形成《信息安全变更管理规范》。
- 应对关键设施(如核心交换、防火墙、服务器等)的容量进行预测需求,并对这些设施的容量进行实时监控,如对服务器的硬盘空间、CPU等进行实时监测。
- 信息系统开发环境、测试环境和正式运行环境应在不同的网络(利用逻辑隔离或物理隔离)。
实施本控制应输出的文档:
- 《信息处理设施运维与使用安全管理规范》和《信息安全变更管理规范》(可选)。
- 重要信息处理设施的运维和使用指南,如《OA系统运维指南》和《OA系统用户使用指南》。
- 变更策划、评审、批准记录。
- 容量预测和容量监控记录。
本控制审核要点:
- 检查《信息处理设施运维与使用安全管理规范》是否该函”A.12 运行安全”全部要求。
- 抽查重要信息处理设施是否有相关运维和使用指南。
- 询问服务器硬盘是否有更换,如有更换,是否按照变更流程操作,能否提供变更策划、评审和批准等记录。
- 检查是否对服务器的硬盘空间、CPU等进行实时监测。
- 检查信息系统开发环境、测试环境和正式运行环境的网络是否有进行隔离。
