A.12.5 运行软件控制
目标:确保运行系统的完整性。
A.12.5.1运行系统的软件安装控制
应实现运行系统软件安装控制规程。
A.12.6 技术方面的脆弱性管理
目标:防止对技术脆弱性的利用。
A.12.6.1技术方面脆弱性的管理控制
应及时获取在用的信息系统的技术方面的脆弱性信息,评价组织对这些脆弱性的暴露状况并采取适当的措施来应对相关风险。
A.12.6.2软件安装限制控制
应建立并实现控制用户安装软件的规则。
A.12.7 信息系统审计的考虑
目标:使审计活动对运行系统的影响最小化。
A.12.7.1信息系统审计的控制控制
涉及运行系统验证的审计要求和活动,应谨慎地加以规划并取得批准,以便最小化业务过程的中断。

控制解析:

  1. 理解“A.12.5 运行软件控制”的难点,是在于对“ 运行软件”的理解。这里面的运行软件,最常见的如正式环境中的服务器操作系统、应用系统等。
  2. 服务器操作系统和应用系统的补丁更新、版本升级等需要进行控制,并有相应的文件规范(《信息处理设施运维与使用安全管理规范》和《信息安全变更管理规范》),这些操作也属于变更,所以需要按照变更管理规范操作,要有变更策划、变更评审和授权,还需要回退方案,和进行变更前的测试。
  3. 应及时收集信息系统脆弱性信息并及时修复。可以通过外部(如供应商、国内外漏洞信息库等)获取漏洞信息和修复方式(最新补丁),也通过内部漏洞扫描、渗透测试、代码检测等发现漏洞。
  4. 用户安装软件需要有相关限制的要求,应明确哪些类型软件(如现有软件的升级和安全补丁)用户可以安装,哪些软件(微信、qq等)是禁止安装的,或需要授权通过IT人员安装。
  5. 运行系统的审计测试,应明确范围,并提前授权,审计测试仅限于对软件和数据的只读访问。

实施本控制应输出的文档:

  1. 《信息处理设施运维与使用安全管理规范》和《信息安全变更管理规范》。
  2. 外部漏洞收集信息、内部漏洞扫描、渗透测试、代码检测报告。
  3. 漏洞修复,补丁更新记录,以及变更记录等。
  4. 用户软件禁止安装/可安装清单。
  5. 审计测试授权记录。

本控制审核要点:

  1. 检查服务器操作系统和应用系统的补丁更新、版本升级操作,是否按照变更管理规范操作。
  2. 信息系统脆弱性信息收集方式和途径,外部漏洞收集信息、内部漏洞扫描、渗透测试、代码检测报告,以及漏洞修复情况。
  3. 抽查员工办公电脑软件安装情况:是否能自行安装软件;如果存在禁止安装的软件,是否有授权安装记录。
  4. 检查是否有审计测试授权记录。