信息系统审计调查问卷

  • 时间:
  • 浏览:1
  • 来源:pk10赛车9码计划倍投_pk10赛车长龙技巧_北京pk10赛车公式

信息系统审计调查问卷下载

信息系统调查问卷(应用软件/系统开发)
项目大类:4.1主机安全、4.2应用安全、4.3 系统建设管理、4.4 系统开发(变更)管理
项目大类 项目明细 项目级别 基本要求 测评具体实施方法 形式 部门 01:管网GIS系统及移动应用(二级)
自查情况 异常情况说明 检查结果 检查情况说明 资料
4.1应用基本情况 应用建设 对应用软件/系统的建设情况进行了解 了解应用软件/系统建设的时间及购置成本 访谈 IT
系统简述 对应用软件/系统的功能进行了解 了解系统拥有的功能及目前使用的模块,了解哪部分模块尚未使用,是何原因? 访谈 IT
4.2主机安全 身份鉴别 S1 应对登录操作系统和数据库系统的用户进行身份标识和鉴别 检查重要服务器操作系统和重要数据库管理系统的身份鉴别策略,查看是否提供了身份鉴别措施(S1) 检查 IT
S2 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换 检查重要服务器操作系统和重要数据库管理系统的身份鉴别策略,查看其身份鉴别信息是否具有不易被冒用的特点,如对用户登录口令的最小长度、复杂度和更换周期进行要求和限制(S2) 检查 IT
应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施 检查重要服务器操作系统和重要数据库管理系统的身份鉴别策略,查看是否配置了登录失败处理功能,设置了非法登录次数的限制值;查看是否设置了网络登录连接超时,并自动退出(S2) 检查 IT
当对服务器进行远程管理时, 应采取必要措施,防止鉴别信息在网络传输过程中被窃听 访谈系统管理员和数据库管理员,询问是否对操作系统和数据库管理系统采用了远程管理方式,如采用远程管理方式,查看是否具有防止鉴别信息在网络传输过程中被窃听的措施(S2) 访谈 IT
应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性 检查重要服务器操作系统和重要数据库管理系统账户列表,查看管理员用户名或UT分配是否唯一 (S2) 检查 IT
访问控制 S1 a.应启用访问控制功能, 依据安全策略控制用户对资源的访问; 检查重要服务器操作系统的访问控制策略,查看是否对重要文件的访问权限进行了限制,对系统不需要的服务、共享路径等进行了禁用或删除(S1) 检查 IT
b.应限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令; 检查重要服务器操作系统和重要数据库管理系统的访问控制策略,查看是否已禁用或者限制匿名/默认账户的访问权限,是否重命名系统默认账户、修改这些账户的默认口令(S1) 检查 IT
c.应及时删除多余的、过期的帐户,避免共享帐户的存在。 检查重要服务器操作系统和重要数据库管理系统的访问控制策略,是否删除了系统中多余的、过期的以及共享的账户(S1) 检查 IT
检查重要服务器操作系统和重要数据库管理系统的权限设置情况,查看是否依据安全策略对用户权限进行了限制(S1) 检查 IT
S2 应实现操作系统和数据库系统特权用户的权限分离 检查重要数据库管理系统的特权用户和重要操作系统的特权用户,查看不同管理员系统账户权限是否不同,且不由同一人担任(S2) 检查 IT
安全审计 S2 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户 检查重要服务器操作系统和重要数据库管理系统的安全审计策略,查看安全审计配置是否包括系统内重要用户行为、系统资源的异常和重要系统命令的使用等重要的安全相关事件(S2) 检查 IT
审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件 检查重要服务器操作系统和重要数据库管理系统的安全审计策略,查看审计记录信息是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等内容(S2) 检查 IT
审计记录应包括事件的日期、 时间、类型、主体标识、客体标识和结果等 检查重要服务器操作系统和重要数据库管理系统的安全审计策略,查看是否通过日志覆盖周期、存储方式、日志文件/空间大小、日志文件操作权限等设置,实现了对审计记录的保护,使其避免受到未预期的删除、修改或覆盖(S2) 检查 IT
应保护审计记录, 避免受到未预期的删除、修改或覆盖等 检查 IT
入侵防范 G1 操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并保持系统补丁及时得到更新。 访谈系统管理员,询问重要服务器操作系统和重要数据库管理系统中所安装的系统组件和用程序是否都是必须的,补丁是否得到了及时更新(G1) 访谈 IT
G2 操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新 检查是否设置了专门的升级服务器实现对重要服务器操作系统补丁的升级(G2) 检查 IT
恶意代码防范 G1 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库。 检查重要服务器的恶意代码防范策略,查看是否安装了实时检测与查杀恶意代码的软件产品,并且及时更新了软件版本和恶意代码库(G1) 检查 IT
G2 应支持防恶意代码软件的统一管理。 检查防恶意代码软件是否实现了统一管理(G2) 检查 IT
资源控制 A2 应通过设定终端接入方式、网络地址范围等条件限制终端登录 检查重要服务器操作系统和重要数据库管理系统的资源控制策略,查看是否设定终端接入方式、网络地址范围等条件限制终端登录(A2) 检查 IT
应根据安全策略设置登录终端的操作超时锁定; 检查访问重要服务器的终端是否都设置了操作超时锁定的配置;(A2) 检查 IT
应限制单个用户对系统资源的最大或最小使用限度。 检查重要服务器操作系统和重要数据库管理系统的资源控制策略,查看是否设置了单个用户或用对系统资源的最大或最小使用限度(A2) 检查 IT
4.3应用安全 身份鉴别 S1 a.应提供专用的登录控制模块对登录用户进行身份标识和鉴别; 检查关键用系统,查看是否提供身份标识和鉴别功能(S1) 检查 应用部门/IT
b.应提供登录失败处理功能, 可采取结束会话、限制非法登录次数和自动退出等措施; 检查关键用系统,查看是否采用了措施保证身份标识具有唯一性,是否对登录用户的口令最小长度、复杂度和更换周期等进行了要求和限制,保证身份鉴别信息不易被冒用(S2) 检查 应用部门/IT
c.应启用身份鉴别和登录失败处理功能,并根据安全策略配置相关参数。 检查关键用系统,查看其提供的登录失败处理功能,是否根据安全策略设置了登录失败次数等参数(S1) 检查 应用部门/IT
S2 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识, 身份鉴别信息不易被冒用; 测试关键用系统,可通过试图以合法和非法用户分别登录系统,查看是否成功,验证身份标识和鉴别功能是否有效(S2) 检查 应用部门/IT
应启用身份鉴别、 用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数 测试关键用系统,可通过多次输入错误的密码,查看系统的处理方式,验证登录失败处理功能是否有效(S2) 检查 应用部门/IT
访问控制 S1 a.应提供访问控制功能控制用户组/用户对系统功能和用户数据的访问 检查关键用系统,查看系统是否提供访问控制功能控制用户对客体的访问,是否针对不同的用户设定不同的访问权限(S1) 检查 应用部门/IT
b.应由授权主体配置访问控制策略,并严格限制默认用户的访问权限 检查关键用系统,查看是否限制了默认账户的访问权限,是否修改了账户的默认口令,是否删除了多余的,过期的用户 检查 应用部门/IT
S2 应提供访问控制功能, 依据安全策略控制用户对文件、数据库表等客体的访问; 检查关键用系统,查看是否有由授权用户设置其他用户访问系统功能和用户数据的权限的功能(S2),是否限制默认用户的访问权限,是否修改了这些账户的默认口令(S1) 检查 应用部门/IT
访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作; 检查关键用系统,查看是否删除多余的、过期的账户(S1) 检查 应用部门/IT
应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。 检查关键用系统用户角色或权限的分配情况,查看是否授予不同账户为完成各自承担任务所需的最小权限,特权用户的权限是否分离,权限之间是否相互制约(S2) 检查 应用部门/IT
测试关键用系统,可通过以不同权限的用户登录系统,查看其拥有的权限是否与系统赋予的权限一致。验证用系统访问控制功能是否有效(S2) 检查 应用部门/IT
安全审计 S2 应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计 检查关键用系统,查看审计否覆盖到每个用户,审计策略是否覆盖系统内重要的安全相关事件,例如,用户标识与鉴别、访问控制的所有操作记录、重要用户行为、系统资源的异常使用、重要系统命令的使用等(S2) 检查 应用部门/IT
应保证无法删除、修改或覆盖审计记录; 检查关键用系统的审计记录,查看是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、身份鉴别事件中请求的来源、事件的结果等内容(S2) 检查 应用部门/IT
审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。 测试重要用系统,在用系统上试图产生一些生要的安全相关事件(如用户登录、修改用户权限等,查看用系统是否对其进行了审计,验证用系统安全审计的覆盖情况是否覆盖到每个用户;如果进行了审计则查看审计记录内容是否包含事件的日期、时间、发起者信息、类型、描述和结果等;(S2) 检查 应用部门/IT
测试重要用系统,试图非授权删除、修改或覆盖审计记录,验证安全保护情况是否无法非授权删除、修改或覆盖审计记录。(S2) 检查 应用部门/IT
软件容错 A1 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求 检查设计或验收文档,查看是否有对人机接口输入或通信接口输入的数据进行有效性检验(A1),在故障发生时继续提供一部分功能确保实施必要的措施的描述(A2) 检查 应用部门/IT
A2 在故障发生时,应用系统应能够继续提供一部分功能,确保能够实施必要的措施。 测试关键用系统,查看用系统是否能明确拒绝不符合格式要求的数据(A1) 检查 应用部门/IT
测试关键用系统,验证在故障发生时是否继续提供一部分功能,确保能够实施必要的措施。(A2) 检查 应用部门/IT
资源控制 A2 当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话 检查关键用系统的配置参数,查看是否提供对最大并发会话连接数进行限制(A2) 检查 应用部门/IT
应能够对应用系统的最大并发会话连接数进行限制 测试关键用系统,查看能否对单个账户的多重并发会话进行限制(A2) 检查 应用部门/IT
应能够对单个帐户的多重并发会话进行限制 测试关键用系统,当通信双方中的一方在一段时间内未作任何响,查看另一方是否能够自动结束会话。(A2) 检查 应用部门/IT
用户权限管理 应用系统帐号及权限的申请、变更及撤销是否经过有效的审批或授权, 检查账号及权限的申请、变更及撤销是否有相关审批文件,是否存在由同一人实施的情况 检查 应用部门/IT
信息系统审计调查问卷下载

猜你喜欢

信息系统审计调查问卷

信息系统审计调查问卷下载信息系统调查问卷(应用软件/系统开发)项目大类:4.1主机安全、4.2应用安全、4.3系统建设管理、4.4系统开发(变更)管理项目大类项目明细项目级别基

2019-09-16