二級(jí)-06安全管理測(cè)評(píng)記錄V20

1、文件編號(hào)CDJX-DJCP- -006文件版本V2.0編寫錢平校對(duì)胥滔審核朱光劍修訂次數(shù)V2.0打印份數(shù)控制狀態(tài)是否裝訂歸檔部門信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)附件6 安全管理測(cè)評(píng)記錄（S2A2G2級(jí)）單位名稱: 系統(tǒng)名稱: 測(cè)試時(shí)間 年 月 日- 月 日目 錄一、安全管理測(cè)評(píng)判定表21.1安全管理制度21.2 安全管理機(jī)構(gòu)21.3 人員安全管理21.4 系統(tǒng)建設(shè)管理21.5系統(tǒng)運(yùn)維管理2安全管理測(cè)評(píng)工作任務(wù)書及測(cè)評(píng)記錄 版本號(hào)：V2.0一、安全管理測(cè)評(píng)判定表1.1安全管理制度類別序號(hào)測(cè)評(píng)項(xiàng)測(cè)評(píng)實(shí)施結(jié)果記錄符合情況結(jié)果情況記錄符合不符合管理制度（G）1a) 應(yīng)制定信息安全工作的總體方針和安全策略，說(shuō)明

2、機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等；a) 應(yīng)檢查信息安全工作的總體方針和安全策略文件，查看文件是否明確機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等； b) 應(yīng)檢查各項(xiàng)安全管理制度，查看是否覆蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、建設(shè)和管理等層面的重要管理內(nèi)容； c) 應(yīng)檢查是否具有重要管理操作的操作規(guī)程（如系統(tǒng)維護(hù)手冊(cè)和用戶操作規(guī)程等）。 如果a）-c）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求通 過(guò)：不通過(guò)：不適用：*b) 應(yīng)對(duì)安全管理活動(dòng)中重要的管理內(nèi)容建立安全管理制度；通 過(guò)：不通過(guò)：不適用：*c) 應(yīng)對(duì)安全管理人員或操作人員

3、執(zhí)行的重要管理操作建立操作規(guī)程通 過(guò)：不通過(guò)：不適用：*制定和發(fā)布（G）2a) 應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定；a) 應(yīng)訪談安全主管，詢問(wèn)是否有專門的部門或人員負(fù)責(zé)制定安全管理制度； b) 應(yīng)訪談安全管理制度制、修訂人員，詢問(wèn)安全管理制度的制定程序和發(fā)布方式，是否對(duì)制定的安全管理制度進(jìn)行論證和審定，論證和評(píng)審方式如何； c) 應(yīng)檢查管理制度評(píng)審記錄，查看是否有相關(guān)人員的評(píng)審意見(jiàn)。 如果a）-c）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。 通 過(guò)：不通過(guò)：不適用：*b) 應(yīng)組織相關(guān)人員對(duì)制定的安全管理制度進(jìn)行論證和審定；通

4、過(guò)：不通過(guò)：不適用：*c) 應(yīng)將安全管理制度以某種方式發(fā)布到相關(guān)人員手中通 過(guò)：不通過(guò)：不適用：*評(píng)審和修訂（G）3a) 應(yīng)定期對(duì)安全管理制度進(jìn)行評(píng)審，對(duì)存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂a) 應(yīng)訪談安全主管，詢問(wèn)是否定期對(duì)安全管理制度進(jìn)行評(píng)審，評(píng)審周期多長(zhǎng)，發(fā)現(xiàn)存在不足或需要改進(jìn)的是否進(jìn)行修訂； b) 應(yīng)檢查安全管理制度評(píng)審記錄，查看記錄的日期間隔與評(píng)審周期是否一致；如果對(duì)制度做過(guò)修訂，檢查是否有修訂版本的安全管理制度。 如果a）和 b）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。 通 過(guò)：不通過(guò)：不適用：*測(cè)評(píng)人員（簽字）： 結(jié)果確認(rèn)

5、（簽字）： 測(cè)評(píng)日期： 1.2 安全管理機(jī)構(gòu)類別序號(hào)測(cè)評(píng)項(xiàng)測(cè)評(píng)實(shí)施結(jié)果記錄符合情況結(jié)果情況記錄符合不符合崗位設(shè)置（G）1a) 應(yīng)設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)；a) 應(yīng)訪談安全主管，詢問(wèn)設(shè)置了哪些工作崗位，各個(gè)崗位的職責(zé)分工是否明確；詢問(wèn)是否設(shè)立安全管理各個(gè)方面的負(fù)責(zé)人； b) 應(yīng)訪談安全主管、安全管理某方面的負(fù)責(zé)人，詢問(wèn)其崗位職責(zé)包括哪些內(nèi)容； c) 應(yīng)檢查崗位職責(zé)文檔，查看文檔是否明確設(shè)置安全主管、安全管理各個(gè)方面的負(fù)責(zé)人、機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和安全管理員等各個(gè)崗位，各個(gè)崗位的職責(zé)范圍是否清晰、明確。 如果a）-c）均為肯定，則信息系統(tǒng)符合本

6、單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。 通 過(guò)：不通過(guò)：不適用：*b) 應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個(gè)工作崗位的職責(zé)通 過(guò)：不通過(guò)：不適用：*人員配備（G）2a) 應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等；a) 應(yīng)訪談安全主管，詢問(wèn)各個(gè)安全管理崗位人員的配備情況，包括數(shù)量、專職還是兼職等； b) 應(yīng)檢查安全管理各崗位人員信息表，查看其是否明確機(jī)房管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位人員的信息，確認(rèn)安全管理員是否沒(méi)有兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員等崗位。 如果a)和b）均為肯定，則信息系

7、統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。 通 過(guò)：不通過(guò)：不適用：*b) 安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員等通 過(guò)：不通過(guò)：不適用：*授權(quán)和審批（G）3a) 應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批部門及批準(zhǔn)人，對(duì)系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問(wèn)等關(guān)鍵活動(dòng)進(jìn)行審批； a) 應(yīng)訪談安全主管，詢問(wèn)其是否對(duì)信息系統(tǒng)中的關(guān)鍵活動(dòng)進(jìn)行審批，審批部門是何部門，批準(zhǔn)人是何人，他們的審批活動(dòng)是否得到授權(quán)； b) 應(yīng)訪談安全主管，詢問(wèn)其對(duì)關(guān)鍵活動(dòng)的審批范圍包括哪些，審批程序如何； c) 應(yīng)檢查審批管理制度文檔，查看文檔中是否明確對(duì)系統(tǒng)投入運(yùn)行、網(wǎng)

8、絡(luò)系統(tǒng)接入和重要資源的訪問(wèn)等關(guān)鍵活動(dòng)進(jìn)行審批的審批部門和批準(zhǔn)人，是否明確審批程序； d) 應(yīng)檢查經(jīng)審批的文檔，查看審批程序與文件要求是否一致，是否有批準(zhǔn)人的簽字和審批部門的蓋章。 如果a）-d）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求通 過(guò)：不通過(guò)：不適用：*b) 應(yīng)針對(duì)關(guān)鍵活動(dòng)建立審批流程，并由批準(zhǔn)人簽字確認(rèn)通 過(guò)：不通過(guò)：不適用：*溝通和合作（G）4a) 應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通；a) 應(yīng)訪談安全主管，詢問(wèn)是否經(jīng)常與公安機(jī)關(guān)、電信公司和兄弟單位聯(lián)系，聯(lián)系和合作方式有哪些，與組織機(jī)構(gòu)內(nèi)其他

9、部門之間通過(guò)哪些方式進(jìn)行交流和溝通，信息安全職能部門內(nèi)部各類管理人員之間通過(guò)哪些方式進(jìn)行交流和溝通； b) 應(yīng)檢查部門間和部門內(nèi)部溝通和合作的相關(guān)文檔，查看是否包括工作內(nèi)容、參加人員等的描述； c) 應(yīng)檢查是否有組織機(jī)構(gòu)內(nèi)部人員聯(lián)系表； d) 應(yīng)檢查外聯(lián)單位說(shuō)明文檔，查看外聯(lián)單位是否包含公安機(jī)關(guān)、電信公司及兄弟單位等。 如果a）-d）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。 通 過(guò)：不通過(guò)：不適用：*b) 應(yīng)加強(qiáng)與兄弟單位、公安機(jī)關(guān)、電信公司的合作與溝通通 過(guò)：不通過(guò)：不適用：*審核和檢查（G）5a) 安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，檢查

10、內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況a) 應(yīng)訪談安全管理員，詢問(wèn)是否定期檢查系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況，檢查周期多長(zhǎng)； b) 應(yīng)檢查安全管理員定期實(shí)施安全檢查的文檔或記錄，查看記錄的時(shí)間間隔與檢查周期是否一致，檢查內(nèi)容是否包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。 如果a）和b）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。 通 過(guò)：不通過(guò)：不適用：*測(cè)評(píng)人員（簽字）： 結(jié)果確認(rèn)（簽字）： 測(cè)評(píng)日期： 1.3 人員安全管理類別序號(hào)測(cè)評(píng)項(xiàng)測(cè)評(píng)實(shí)施結(jié)果記錄符合情況結(jié)果情況記錄符合不符合人員錄用（G）1a) 應(yīng)指定或授權(quán)專門的部

11、門或人員負(fù)責(zé)人員錄用；a) 應(yīng)訪談安全主管，詢問(wèn)是否有專門的部門或人員負(fù)責(zé)人員的錄用工作，由何部門/何人負(fù)責(zé)； b) 應(yīng)訪談人事管理相關(guān)人員，詢問(wèn)在人員錄用時(shí)對(duì)人員條件有哪些要求，是否對(duì)被錄用人的身份、背景和專業(yè)資格進(jìn)行審查，對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核，錄用后是否與從事關(guān)鍵崗位的人員簽署保密協(xié)議； c) 應(yīng)檢查人員錄用要求管理文檔，查看是否說(shuō)明錄用人員應(yīng)具備的條件（如學(xué)歷、學(xué)位要求，技術(shù)人員應(yīng)具備的專業(yè)技術(shù)水平，管理人員應(yīng)具備的安全管理知識(shí)等）； d) 應(yīng)檢查是否具有人員錄用時(shí)對(duì)錄用人身份、背景和專業(yè)資格等進(jìn)行審查的相關(guān)文檔或記錄，查看是否記錄審查內(nèi)容和審查結(jié)果等； e) 應(yīng)檢查人員錄用時(shí)的

12、技能考核文檔或記錄，查看是否記錄考核內(nèi)容和考核結(jié)果等； f) 應(yīng)檢查保密協(xié)議，查看是否有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人簽字等內(nèi)容。 如果a）-f）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求通 過(guò)：不通過(guò)：不適用：*b) 應(yīng)規(guī)范人員錄用過(guò)程，對(duì)被錄用人員的身份、背景和專業(yè)資格等進(jìn)行審查，對(duì)其所具有的技術(shù)技能進(jìn)行考核；通 過(guò)：不通過(guò)：不適用：*c) 應(yīng)與從事關(guān)鍵崗位的人員簽署保密協(xié)議通 過(guò)：不通過(guò)：不適用：*人員離崗（G）2a) 應(yīng)規(guī)范人員離崗過(guò)程，及時(shí)終止離崗員工的所有訪問(wèn)權(quán)限；a) 應(yīng)訪談安全主管，詢問(wèn)對(duì)即將離崗人員有哪些

13、控制方法，是否及時(shí)終止離崗人員的所有訪問(wèn)權(quán)限，是否取回各種身份證件、鑰匙、徽章以及機(jī)構(gòu)提供的軟硬件設(shè)備等； b) 應(yīng)訪談人事管理相關(guān)人員，詢問(wèn)調(diào)離手續(xù)包括哪些； c) 應(yīng)檢查是否具有對(duì)離崗人員的安全處理記錄（如交還身份證件、設(shè)備等的登記記錄）； d) 應(yīng)檢查是否具有按照離職程序辦理調(diào)離手續(xù)的記錄。 如果a）-d）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。 通 過(guò)：不通過(guò)：不適用：*b) 應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備；通 過(guò)：不通過(guò)：不適用：*c) 應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)通 過(guò)：不通過(guò)：不適用：*人員考核（G）3a)

14、應(yīng)定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核a) 應(yīng)訪談安全主管，詢問(wèn)是否有人負(fù)責(zé)定期對(duì)各個(gè)崗位人員進(jìn)行安全技能及安全知識(shí)的考核，考核周期多長(zhǎng)； b) 應(yīng)檢查考核文檔，查看考核人員是否包括各個(gè)崗位的人員，考核日期與考核周期是否一致。 如果a)和b）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。 通 過(guò)：不通過(guò)：不適用：*安全意識(shí)教育和培訓(xùn)（G）4a) 應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)；a) 應(yīng)訪談安全主管，詢問(wèn)是否制定培訓(xùn)計(jì)劃并按計(jì)劃對(duì)各個(gè)崗位人員進(jìn)行安全教育和培訓(xùn)，具體的培訓(xùn)方式有哪些；是否對(duì)違反安全策略和規(guī)定

15、的人員進(jìn)行懲戒，如何懲戒； b) 應(yīng)訪談安全管理員、系統(tǒng)管理員和網(wǎng)絡(luò)管理員，考查其對(duì)工作相關(guān)的信息安全基礎(chǔ)知識(shí)、安全責(zé)任和懲戒措施等的理解程度； c) 應(yīng)檢查安全教育和培訓(xùn)計(jì)劃文檔，查看計(jì)劃是否明確了培訓(xùn)方式、培訓(xùn)對(duì)象、培訓(xùn)內(nèi)容、培訓(xùn)時(shí)間和地點(diǎn)等，培訓(xùn)內(nèi)容是否包含信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等； d) 應(yīng)檢查是否具有安全教育和培訓(xùn)記錄，查看記錄是否有培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等的描述； 如果a）-d）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。 通 過(guò)：不通過(guò)：不適用：*b) 應(yīng)告知人員相關(guān)的安全責(zé)任和懲戒措施，并對(duì)違反違背安全策略和規(guī)定的

16、人員進(jìn)行懲戒；通 過(guò)：不通過(guò)：不適用：*c) 應(yīng)制定安全教育和培訓(xùn)計(jì)劃，對(duì)信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn)通 過(guò)：不通過(guò)：不適用：*外部人員訪問(wèn)管理（G）5a) 應(yīng)確保在外部人員訪問(wèn)受控區(qū)域前得到授權(quán)或?qū)徟?，批?zhǔn)后由專人全程陪同或監(jiān)督，并登記備案a) 應(yīng)訪談安全管理員，詢問(wèn)對(duì)外部人員訪問(wèn)重要區(qū)域（如訪問(wèn)機(jī)房、重要服務(wù)器或設(shè)備區(qū)等）采取了哪些安全措施，是否經(jīng)有關(guān)部門或負(fù)責(zé)人批準(zhǔn)才能訪問(wèn)，是否由專人全程陪同或監(jiān)督，是否進(jìn)行記錄并備案管理； b) 應(yīng)檢查外部人員訪問(wèn)管理文檔，查看是否有對(duì)外部人員訪問(wèn)機(jī)房等重要區(qū)域應(yīng)經(jīng)過(guò)相關(guān)部門或負(fù)責(zé)人批準(zhǔn)的內(nèi)容； c) 應(yīng)檢查外部人員訪問(wèn)重要區(qū)域的登記記錄，

17、查看是否記錄了外部人員訪問(wèn)重要區(qū)域的進(jìn)入時(shí)間、離開時(shí)間、訪問(wèn)區(qū)域及陪同人等信息。 如果a）-c）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。 通 過(guò)：不通過(guò)：不適用：*測(cè)評(píng)人員（簽字）： 結(jié)果確認(rèn)（簽字）： 測(cè)評(píng)日期： 1.4 系統(tǒng)建設(shè)管理類別序號(hào)測(cè)評(píng)指標(biāo)測(cè)評(píng)實(shí)施結(jié)果記錄符合情況結(jié)果情況記錄符合不符合系統(tǒng)定級(jí)（G）1a) 應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)； a) 應(yīng)訪談安全主管，詢問(wèn)確定信息系統(tǒng)安全保護(hù)等級(jí)的方法是否參照定級(jí)指南的指導(dǎo)，定級(jí)過(guò)程是否有書面描述，定級(jí)結(jié)果是否獲得了相關(guān)部門的批準(zhǔn)； b) 應(yīng)檢查系統(tǒng)定級(jí)文檔，查看文檔是否明確信息系

18、統(tǒng)的邊界和信息系統(tǒng)的安全保護(hù)等級(jí)，是否說(shuō)明定級(jí)的方法和理由，查看定級(jí)結(jié)果是否有相關(guān)部門的批準(zhǔn)蓋章。 如果a）沒(méi)有上級(jí)主管部門的，如果有本單位信息安全主管領(lǐng)導(dǎo)的批準(zhǔn)，則該項(xiàng)為肯定； 如果a）和b）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。 通 過(guò)：不通過(guò)：不適用：*b) 應(yīng)以書面的形式說(shuō)明信息系統(tǒng)確定為某個(gè)安全保護(hù)等級(jí)的方法和理由；通 過(guò)：不通過(guò)：不適用：*c) 應(yīng)確保信息系統(tǒng)的定級(jí)結(jié)果經(jīng)過(guò)相關(guān)部門的批準(zhǔn)通 過(guò)：不通過(guò)：不適用：*安全方案設(shè)計(jì)（G）2a) 應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇基本安全措施，依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施；a) 應(yīng)訪

19、談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)是否根據(jù)系統(tǒng)的安全級(jí)別選擇基本安全措施，是否依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施，具體做過(guò)哪些調(diào)整； b) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)安全設(shè)計(jì)方案是否經(jīng)過(guò)論證和審定，是否經(jīng)過(guò)審批； c) 應(yīng)檢查系統(tǒng)的安全方案，查看方案是否描述系統(tǒng)的安全保護(hù)要求，是否詳細(xì)描述了系統(tǒng)的安全策略，是否詳細(xì)描述了系統(tǒng)采取的安全措施等內(nèi)容； d) 應(yīng)檢查系統(tǒng)的詳細(xì)設(shè)計(jì)方案，查看詳細(xì)設(shè)計(jì)方案是否對(duì)應(yīng)安全方案進(jìn)行細(xì)化，是否有安全建設(shè)方案和安全產(chǎn)品采購(gòu)方案，查看方案是否有經(jīng)過(guò)安全主管領(lǐng)導(dǎo)或管理部門的批準(zhǔn)蓋章； e) 應(yīng)檢查專家論證文檔，查看是否有相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)安全設(shè)計(jì)方案的評(píng)審意見(jiàn)。 如果

20、a）-e）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。 通 過(guò)：不通過(guò)：不適用：*b) 應(yīng)以書面的形式描述對(duì)系統(tǒng)的安全保護(hù)要求和策略、安全措施等內(nèi)容，形成系統(tǒng)的安全方案；通 過(guò)：不通過(guò)：不適用：*c) 應(yīng)對(duì)安全方案進(jìn)行細(xì)化，形成能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采購(gòu)和使用的詳細(xì)設(shè)計(jì)方案通 過(guò)：不通過(guò)：不適用：*d) 應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)安全設(shè)計(jì)方案的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過(guò)批準(zhǔn)后，才能正式實(shí)施通 過(guò)：不通過(guò)：不適用：*產(chǎn)品采購(gòu)和使用（G）3a) 應(yīng)確保安全產(chǎn)品采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定a) 應(yīng)訪談安全主管，詢問(wèn)是否有專門

21、的部門負(fù)責(zé)產(chǎn)品的采購(gòu)，由何部門負(fù)責(zé)； b) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)信息安全產(chǎn)品的采購(gòu)情況，是否有產(chǎn)品采購(gòu)清單指導(dǎo)產(chǎn)品采購(gòu)，采購(gòu)過(guò)程如何控制； c) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)系統(tǒng)是否采用了密碼產(chǎn)品，密碼產(chǎn)品的采購(gòu)和使用是否符合國(guó)家密碼主管部門的要求； d) 應(yīng)檢查系統(tǒng)使用的有關(guān)信息安全產(chǎn)品是否符合國(guó)家的有關(guān)規(guī)定； e) 應(yīng)檢查密碼產(chǎn)品的使用情況是否符合密碼產(chǎn)品使用、管理的相關(guān)規(guī)定。 如果a）-e）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。 通 過(guò)：不通過(guò)：不適用：*b) 應(yīng)確保密碼產(chǎn)品采購(gòu)和使用符合國(guó)家密碼主管部門的要求；通 過(guò)：不通過(guò)：

22、不適用：*c) 應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購(gòu)?fù)?過(guò)：不通過(guò)：不適用：*自行軟件開發(fā)（G）4a) 應(yīng)確保開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開；a) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)是否進(jìn)行自主開發(fā)軟件，自主開發(fā)軟件是否在獨(dú)立的模擬環(huán)境中編寫、調(diào)試和完成； b) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)軟件設(shè)計(jì)相關(guān)文檔和使用指南是否由專人負(fù)責(zé)保管，負(fù)責(zé)人是何人； c) 應(yīng)檢查軟件開發(fā)管理制度，查看文件是否明確軟件設(shè)計(jì)、開發(fā)、測(cè)試、驗(yàn)收過(guò)程的控制方法和人員行為準(zhǔn)則，是否明確哪些開發(fā)活動(dòng)應(yīng)經(jīng)過(guò)授權(quán)、審批，是否明確軟件開發(fā)相關(guān)文檔的管理等； d) 應(yīng)檢查是否具有軟件設(shè)計(jì)的相關(guān)文檔（應(yīng)用軟件設(shè)計(jì)程序文件、源代碼文檔等）、軟

23、件使用指南或操作手冊(cè)和維護(hù)手冊(cè)等。 如果a）-d）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。 通 過(guò)：不通過(guò)：不適用：*b) 應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保管通 過(guò)：不通過(guò)：不適用：*c) 應(yīng)制定軟件開發(fā)管理制度，明確說(shuō)明開發(fā)過(guò)程的控制方法和人員行為準(zhǔn)則；通 過(guò)：不通過(guò)：不適用：*外包軟件開發(fā)（G）5a) 應(yīng)根據(jù)開發(fā)要求檢測(cè)軟件質(zhì)量；a) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)軟件交付前是否依據(jù)開發(fā)要求的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收測(cè)試，軟件安裝之前是否檢測(cè)軟件中的惡意代碼，是否要求開發(fā)單位提供源代碼，是否根據(jù)源代碼對(duì)軟件中

24、可能存在的后門進(jìn)行審查； b) 應(yīng)檢查是否具有需求分析說(shuō)明書、軟件設(shè)計(jì)說(shuō)明書、軟件操作手冊(cè)、軟件源代碼文檔等軟件開發(fā)文檔和使用指南； c) 應(yīng)檢查軟件源代碼審查記錄，查看是否包括對(duì)可能存在后門的審查結(jié)果。 如果a）-c）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。 通 過(guò)：不通過(guò)：不適用：*b) 應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼；通 過(guò)：不通過(guò)：不適用：*c) 應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南通 過(guò)：不通過(guò)：不適用：*d) 應(yīng)要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門通 過(guò)：不通過(guò)：不適用：*工程實(shí)施（G）6a)

25、 應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實(shí)施過(guò)程的管理a) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)是否有專門部門或人員負(fù)責(zé)工程實(shí)施管理工作，由何部門/何人負(fù)責(zé)，是否按照工程實(shí)施方案的要求對(duì)工程實(shí)施過(guò)程進(jìn)行進(jìn)度和質(zhì)量控制； b) 應(yīng)檢查工程實(shí)施方案，查看其是否包括工程時(shí)間限制、進(jìn)度控制和質(zhì)量控制等方面內(nèi)容。 如果a）和b）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。 通 過(guò)：不通過(guò)：不適用：*b) 應(yīng)制定詳細(xì)的工程實(shí)施方案，控制工程實(shí)施過(guò)程通 過(guò)：不通過(guò)：不適用：*測(cè)試驗(yàn)收（G）7a) 應(yīng)對(duì)系統(tǒng)進(jìn)行安全性測(cè)試驗(yàn)收；a) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)在信息系統(tǒng)建設(shè)

26、完成后是否對(duì)其進(jìn)行安全性測(cè)試驗(yàn)收，是否根據(jù)設(shè)計(jì)方案或合同要求組織相關(guān)部門和人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定； b) 應(yīng)檢查工程測(cè)試驗(yàn)收方案，查看其是否明確說(shuō)明參與測(cè)試的部門、人員、測(cè)試驗(yàn)收的內(nèi)容、現(xiàn)場(chǎng)操作過(guò)程等內(nèi)容； c) 應(yīng)檢查測(cè)試驗(yàn)收記錄是否詳細(xì)記錄了測(cè)試時(shí)間、人員、現(xiàn)場(chǎng)操作過(guò)程和測(cè)試驗(yàn)收結(jié)果等方面內(nèi)容； d) 應(yīng)檢查是否具有系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告，是否有對(duì)測(cè)試驗(yàn)收?qǐng)?bào)告的審定文檔，查看文檔是否有相關(guān)人員的審定意見(jiàn)。 如果a）-d）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。 通 過(guò)：不通過(guò)：不適用：*b) 在測(cè)試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制訂

27、測(cè)試驗(yàn)收方案，在測(cè)試驗(yàn)收過(guò)程中應(yīng)詳細(xì)記錄測(cè)試驗(yàn)收結(jié)果，并形成測(cè)試驗(yàn)收?qǐng)?bào)告通 過(guò)：不通過(guò)：不適用：*c) 應(yīng)組織相關(guān)部門和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定，并簽字確認(rèn)通 過(guò)：不通過(guò)：不適用：*系統(tǒng)交付（G）8a) 應(yīng)制定系統(tǒng)交付清單，并根據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)； a) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)系統(tǒng)交接工作是否根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)； b) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)目前的信息系統(tǒng)是否由內(nèi)部人員獨(dú)立運(yùn)行維護(hù)，如果是，系統(tǒng)正式運(yùn)行前是否對(duì)運(yùn)行維護(hù)人員進(jìn)行過(guò)培訓(xùn)，針對(duì)哪些方面進(jìn)行過(guò)培訓(xùn)； c) 應(yīng)檢查是否具有系統(tǒng)交付清單說(shuō)明系統(tǒng)交付的各類設(shè)備、軟件

28、、文檔等； d) 應(yīng)檢查是否具有系統(tǒng)建設(shè)文檔、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔、系統(tǒng)培訓(xùn)手冊(cè)等； e) 應(yīng)檢查培訓(xùn)記錄，查看是否包括培訓(xùn)內(nèi)容、培訓(xùn)時(shí)間和參與人員等。 如果a）-e）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求通 過(guò)：不通過(guò)：不適用：*b) 應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)；通 過(guò)：不通過(guò)：不適用：*c) 應(yīng)確保提供系統(tǒng)建設(shè)過(guò)程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔通 過(guò)：不通過(guò)：不適用：*安全服務(wù)商選擇（G）9a) 應(yīng)確保安全服務(wù)商的選擇符合國(guó)家的有關(guān)規(guī)定；a) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)信息系統(tǒng)選擇的安全服務(wù)商有哪些

29、，是否符合國(guó)家有關(guān)規(guī)定； b) 應(yīng)檢查是否具有與安全服務(wù)商簽訂的安全責(zé)任合同書或保密協(xié)議等文檔，查看其內(nèi)容是否包含保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等； c) 應(yīng)檢查是否具有與安全服務(wù)商簽訂的服務(wù)合同，查看是否包括服務(wù)內(nèi)容、服務(wù)期限、雙方簽字或蓋章等。 如果a）-c）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。 通 過(guò)：不通過(guò)：不適用：*測(cè)評(píng)人員（簽字）： 結(jié)果確認(rèn)（簽字）： 測(cè)評(píng)日期： 1.5系統(tǒng)運(yùn)維管理類別序號(hào)測(cè)評(píng)項(xiàng)測(cè)評(píng)實(shí)施結(jié)果記錄符合情況結(jié)果情況記錄符合不符合環(huán)境管理（G）1a) 應(yīng)指定專門的部門或人員定期對(duì)機(jī)房供

30、配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理；a) 應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢問(wèn)是否有專門的部門或人員對(duì)機(jī)房基礎(chǔ)設(shè)施進(jìn)行定期維護(hù)，由何部門或何人負(fù)責(zé)，維護(hù)周期多長(zhǎng)，是否有機(jī)房管理員負(fù)責(zé)機(jī)房出入等環(huán)境安全管理工作； b) 應(yīng)訪談安全主管，詢問(wèn)為保證辦公環(huán)境的保密性采取了哪些控制措施，在哪個(gè)區(qū)域接待來(lái)訪人員，工作人員調(diào)離時(shí)是否收回辦公室鑰匙等； c) 應(yīng)檢查機(jī)房安全管理制度，查看其內(nèi)容是否覆蓋機(jī)房物理訪問(wèn)、物品帶進(jìn)和帶出機(jī)房和機(jī)房環(huán)境安全等方面； d) 應(yīng)檢查是否具有機(jī)房基礎(chǔ)設(shè)施維護(hù)記錄。 如果a）-d）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。 通

31、過(guò)：不通過(guò)：不適用：*b) 應(yīng)配備機(jī)房安全管理人員，對(duì)機(jī)房的出入、服務(wù)器的開機(jī)或關(guān)機(jī)等工作進(jìn)行管理；通 過(guò)：不通過(guò)：不適用：*c) 應(yīng)建立機(jī)房安全管理制度，對(duì)有關(guān)機(jī)房物理訪問(wèn)，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理作出規(guī)定通 過(guò)：不通過(guò)：不適用：*d) 應(yīng)加強(qiáng)對(duì)辦公環(huán)境的保密性管理，包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙和不在辦公區(qū)接待來(lái)訪人員等通 過(guò)：不通過(guò)：不適用：*資產(chǎn)管理（G）2a) 應(yīng)編制與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容a) 應(yīng)訪談安全主管，詢問(wèn)是否有資產(chǎn)管理的責(zé)任人員或部門，由何部門/何人負(fù)責(zé)； b) 應(yīng)檢查資產(chǎn)清單，查看其內(nèi)容是否覆

32、蓋資產(chǎn)責(zé)任部門、責(zé)任人、所處位置和重要程度等方面； c) 應(yīng)檢查資產(chǎn)安全管理制度，查看是否明確信息資產(chǎn)管理的責(zé)任部門、責(zé)任人，查看其內(nèi)容是否覆蓋資產(chǎn)使用、借用、維護(hù)等方面； 如果a）-c）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。 通 過(guò)：不通過(guò)：不適用：*b) 應(yīng)建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門，并規(guī)范資產(chǎn)管理和使用的行為通 過(guò)：不通過(guò)：不適用：*介質(zhì)管理（G）3a) 應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對(duì)各類介質(zhì)進(jìn)行控制和保護(hù)，并實(shí)行存儲(chǔ)環(huán)境專人管理；a) 應(yīng)訪談資產(chǎn)管理員，詢問(wèn)介質(zhì)的存放環(huán)境是否采取保護(hù)措施防止介

33、質(zhì)被盜、被毀、介質(zhì)內(nèi)存儲(chǔ)信息被未授權(quán)修改以及非法泄漏等，是否有專人管理； b) 應(yīng)訪談資產(chǎn)管理員，詢問(wèn)是否根據(jù)介質(zhì)的目錄清單對(duì)介質(zhì)的使用現(xiàn)狀進(jìn)行定期檢查，是否對(duì)介質(zhì)進(jìn)行分類和標(biāo)識(shí)管理； c) 應(yīng)訪談資產(chǎn)管理員，詢問(wèn)對(duì)送出維修或銷毀的介質(zhì)在送出之前是否對(duì)介質(zhì)內(nèi)存儲(chǔ)數(shù)據(jù)進(jìn)行凈化處理； d) 應(yīng)檢查介質(zhì)管理記錄，查看其是否記錄介質(zhì)的歸檔、查詢和借用等情況； e) 應(yīng)檢查介質(zhì)，查看是否對(duì)其進(jìn)行了分類，并具有不同標(biāo)識(shí)。 如果a）中在防火、防水、防盜等方面均有措施并有介質(zhì)管理員，則該項(xiàng)為肯定； 如果a）-e）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。 通

34、 過(guò)：不通過(guò)：不適用：*b) 應(yīng)對(duì)介質(zhì)歸檔和查詢等過(guò)程進(jìn)行記錄，并根據(jù)存檔介質(zhì)的目錄清單定期盤點(diǎn)通 過(guò)：不通過(guò)：不適用：*c) 應(yīng)對(duì)需要送出維修或銷毀的介質(zhì)，首先清除其中的敏感數(shù)據(jù)，防止信息的非法泄漏；通 過(guò)：不通過(guò)：不適用：*d) 應(yīng)根據(jù)所承載數(shù)據(jù)和軟件的重要程度對(duì)介質(zhì)進(jìn)行分類和標(biāo)識(shí)管理通 過(guò)：不通過(guò)：不適用：*設(shè)備管理（G）4a) 應(yīng)對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備（包括備份和冗余設(shè)備）、線路等指定專門的部門或人員定期進(jìn)行維護(hù)管理；a) 應(yīng)訪談資產(chǎn)管理員，詢問(wèn)是否有專門的部門或人員對(duì)各種設(shè)備、線路進(jìn)行定期維護(hù)，對(duì)各類測(cè)試工具進(jìn)行有效性檢查，由何部門/何人負(fù)責(zé)，維護(hù)周期多長(zhǎng)； b) 應(yīng)訪談資產(chǎn)管理員

35、，詢問(wèn)是否對(duì)設(shè)備選用的各個(gè)環(huán)節(jié)（選型、采購(gòu)、發(fā)放和領(lǐng)用及信息處理設(shè)備帶離機(jī)構(gòu)等）進(jìn)行審批控制； c) 應(yīng)訪談安全審計(jì)員，詢問(wèn)對(duì)關(guān)鍵設(shè)備（包括備份和冗余設(shè)備）的操作是否建立日志，日志文件如何管理，是否定期檢查管理情況； d) 應(yīng)檢查設(shè)備安全管理制度，查看其內(nèi)容是否明確對(duì)各種軟硬件設(shè)備的選型、采購(gòu)、發(fā)放和領(lǐng)用以及帶離機(jī)構(gòu)等環(huán)節(jié)進(jìn)行申報(bào)和審批； e) 應(yīng)檢查設(shè)備使用管理文檔，查看其內(nèi)容是否覆蓋終端計(jì)算機(jī)、便攜機(jī)和網(wǎng)絡(luò)設(shè)備等使用、操作原則、注意事項(xiàng)等方面； f) 應(yīng)檢查關(guān)鍵設(shè)備（包括備份和冗余設(shè)備）的操作規(guī)程，查看其內(nèi)容是否覆蓋服務(wù)器如何啟動(dòng)、停止、加電、斷電等操作。 如果a）-f）均為肯定，則信息系

36、統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。 通 過(guò)：不通過(guò)：不適用：*b) 應(yīng)建立基于申報(bào)、審批和專人負(fù)責(zé)的設(shè)備安全管理制度，對(duì)信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購(gòu)、發(fā)放和領(lǐng)用等過(guò)程進(jìn)行規(guī)范化管理通 過(guò)：不通過(guò)：不適用：*c) 應(yīng)對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理，按操作規(guī)程實(shí)現(xiàn)關(guān)鍵設(shè)備（包括備份和冗余設(shè)備）的啟動(dòng)/停止、加電/斷電等操作；通 過(guò)：不通過(guò)：不適用：*d) 應(yīng)確保信息處理設(shè)備必須經(jīng)過(guò)審批才能帶離機(jī)房或辦公地點(diǎn)通 過(guò)：不通過(guò)：不適用：*網(wǎng)絡(luò)安全管理（G）5a) 應(yīng)指定人員對(duì)網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記

37、錄的日常維護(hù)和報(bào)警信息分析和處理工作；a) 應(yīng)訪談安全主管，詢問(wèn)是否指定人員負(fù)責(zé)維護(hù)網(wǎng)絡(luò)運(yùn)行日志、監(jiān)控記錄和分析處理報(bào)警信息等網(wǎng)絡(luò)安全管理工作，網(wǎng)絡(luò)的外聯(lián)種類有哪些，是否都得到授權(quán)與批準(zhǔn)，由何部門或何人批準(zhǔn)； b) 應(yīng)訪談網(wǎng)絡(luò)管理員，詢問(wèn)是否根據(jù)廠家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行過(guò)升級(jí)，目前的版本號(hào)為多少，升級(jí)前是否對(duì)重要文件進(jìn)行備份，采取什么方式備份； c) 應(yīng)訪談安全管理員，詢問(wèn)是否定期對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞掃描，掃描周期多長(zhǎng)，發(fā)現(xiàn)漏洞是否及時(shí)修補(bǔ)； d) 應(yīng)檢查網(wǎng)絡(luò)漏洞掃描報(bào)告，查看其內(nèi)容是否包含網(wǎng)絡(luò)存在的漏洞、嚴(yán)重級(jí)別和結(jié)果處理等方面，檢查掃描時(shí)間間隔與掃描周期是否一致； e) 應(yīng)檢查網(wǎng)

38、絡(luò)安全管理制度，查看其是否覆蓋網(wǎng)絡(luò)安全配置、安全策略、升級(jí)與打補(bǔ)丁、授權(quán)訪問(wèn)、日志保存時(shí)間、口令更新周期等方面內(nèi)容； f) 應(yīng)檢查是否具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書； g) 應(yīng)檢查是否具有網(wǎng)絡(luò)設(shè)備配置文件的備份文件； h) 應(yīng)檢查是否具有網(wǎng)絡(luò)審計(jì)日志，檢查日志是否在規(guī)定的保存時(shí)間范圍內(nèi)。 如果a）-h）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求通 過(guò)：不通過(guò)：不適用：*b) 應(yīng)建立網(wǎng)絡(luò)安全管理制度，對(duì)網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、口令更新周期等方面作出規(guī)定；通 過(guò)：不通過(guò)：不適用：*c) 應(yīng)根據(jù)廠家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)

39、備進(jìn)行更新，并在更新前對(duì)現(xiàn)有的重要文件進(jìn)行備份；通 過(guò)：不通過(guò)：不適用：*d) 應(yīng)定期進(jìn)行網(wǎng)絡(luò)系統(tǒng)漏洞掃描，對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ)通 過(guò)：不通過(guò)：不適用：*e) 應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的配置文件進(jìn)行定期備份；通 過(guò)：不通過(guò)：不適用：*f) 應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)通 過(guò)：不通過(guò)：不適用：*系統(tǒng)安全管理（G）6a) 應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問(wèn)控制策略；a) 應(yīng)訪談系統(tǒng)管理員，詢問(wèn)是否根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析制定系統(tǒng)的訪問(wèn)控制策略，控制分配信息系統(tǒng)、文件及服務(wù)的訪問(wèn)權(quán)限； b) 應(yīng)訪談系統(tǒng)管理員，詢問(wèn)是否定期對(duì)系統(tǒng)安裝安全補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前是否對(duì)重

40、要文件進(jìn)行備份，采取什么方式進(jìn)行，是否先在測(cè)試環(huán)境中測(cè)試通過(guò)再安裝； c) 應(yīng)訪談安全管理員，詢問(wèn)是否定期對(duì)系統(tǒng)進(jìn)行漏洞掃描，掃描周期多長(zhǎng)，發(fā)現(xiàn)漏洞是否及時(shí)修補(bǔ)； d) 應(yīng)檢查系統(tǒng)安全管理制度，查看其內(nèi)容是否覆蓋系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面； e) 應(yīng)檢查是否有詳細(xì)操作日志（包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容）； f) 應(yīng)檢查是否有定期對(duì)運(yùn)行日志和審計(jì)結(jié)果進(jìn)行分析的記錄； g) 應(yīng)檢查系統(tǒng)漏洞掃描報(bào)告，查看其內(nèi)容是否包含系統(tǒng)存在的漏洞、嚴(yán)重級(jí)別和結(jié)果處理等方面，檢查掃描時(shí)間間隔與掃描周期是否一致。 如果a）-g）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指

41、標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。 通 過(guò)：不通過(guò)：不適用：*b) 應(yīng)定期進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ)；通 過(guò)：不通過(guò)：不適用：*c) 應(yīng)安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，應(yīng)首先在測(cè)試環(huán)境中測(cè)試通過(guò)，并對(duì)重要文件進(jìn)行備份后，方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝； 通 過(guò)：不通過(guò)：不適用：*d) 應(yīng)建立系統(tǒng)安全管理制度，對(duì)系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出規(guī)定；通 過(guò)：不通過(guò)：不適用：*e) 應(yīng)依據(jù)操作手冊(cè)對(duì)系統(tǒng)進(jìn)行維護(hù)，詳細(xì)記錄操作日志，包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容，嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作；通 過(guò)：不通

42、過(guò)：不適用：*f) 應(yīng)定期對(duì)運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析，以便及時(shí)發(fā)現(xiàn)異常行為通 過(guò)：不通過(guò)：不適用：*惡意代碼防范管理（G）7a) 應(yīng)提高所有用戶的防病毒意識(shí)，告知及時(shí)升級(jí)防病毒軟件，在讀取移動(dòng)存儲(chǔ)設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前，先進(jìn)行病毒檢查，對(duì)外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)行病毒檢查a) 應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢問(wèn)是否對(duì)員工進(jìn)行基本惡意代碼防范意識(shí)的教育，是否告知應(yīng)及時(shí)升級(jí)軟件版本，使用外來(lái)設(shè)備、網(wǎng)絡(luò)上接收文件和外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前進(jìn)行病毒檢查等； b) 應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢問(wèn)是否指定專人對(duì)惡意代碼進(jìn)行檢測(cè)，發(fā)現(xiàn)病毒后是否及時(shí)處理； c) 應(yīng)檢查惡

43、意代碼防范管理文檔，查看其內(nèi)容是否覆蓋防惡意代碼軟件的授權(quán)使用、惡意代碼庫(kù)升級(jí)、定期匯報(bào)等方面； d) 應(yīng)檢查是否具有惡意代碼檢測(cè)記錄。 如果a）-d）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。 通 過(guò)：不通過(guò)：不適用：*b) 應(yīng)指定專人對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)并保存檢測(cè)記錄；通 過(guò)：不通過(guò)：不適用：*c) 應(yīng)對(duì)防惡意代碼軟件的授權(quán)使用、惡意代碼庫(kù)升級(jí)、定期匯報(bào)等作出明確規(guī)定通 過(guò)：不通過(guò)：不適用：*密碼管理（G）8a) 應(yīng)使用符合國(guó)家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品a)應(yīng)訪談安全管理員，詢問(wèn)密碼技術(shù)和產(chǎn)品的使用是否遵照國(guó)家密碼管理規(guī)定。 如

44、果a)為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。 通 過(guò)：不通過(guò)：不適用：*變更管理（G）9a) 應(yīng)確認(rèn)系統(tǒng)中要發(fā)生的重要變更，并制定相應(yīng)的變更方案；a) 應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢問(wèn)是否制定變更方案指導(dǎo)系統(tǒng)執(zhí)行變更； b) 應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢問(wèn)重要系統(tǒng)變更前是否得到有關(guān)領(lǐng)導(dǎo)的批準(zhǔn)，由何人批準(zhǔn)，對(duì)發(fā)生的變更情況是否通知了所有相關(guān)人員，以何種方式通知； c) 應(yīng)檢查系統(tǒng)變更方案，查看其是否覆蓋變更類型、變更原因、變更過(guò)程、變更前評(píng)估等方面內(nèi)容； d) 應(yīng)檢查重要系統(tǒng)的變更申請(qǐng)書，查看其是否有主管領(lǐng)導(dǎo)的批準(zhǔn)簽字。 如果a）-d）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求通 過(guò)：不通過(guò)