精品資料（2021-2022年收藏的）電子政務(wù)電子認(rèn)證服務(wù)質(zhì)量評估表

1、附錄 電子政務(wù)電子認(rèn)證服務(wù)質(zhì)量評估表評估領(lǐng)域評估項評估子項評估方法考核記錄備 注是 否基本要求認(rèn)證機(jī)構(gòu)事業(yè)法人或者取得電子認(rèn)證服務(wù)許可的企業(yè)法人檢查認(rèn)證機(jī)構(gòu)是否屬于事業(yè)法人或者取得電子認(rèn)證服務(wù)許可的企業(yè)法人 面向企事業(yè)單位、社會團(tuán)體等社會公眾提供服務(wù)的電子認(rèn)證服務(wù)機(jī)構(gòu)，應(yīng)具有國務(wù)院信息產(chǎn)業(yè)主管部門頒發(fā)的電子認(rèn)證服務(wù)許可證。檢查認(rèn)證機(jī)構(gòu)是否屬于面向企事業(yè)單位、社會團(tuán)體等社會公眾提供服務(wù)的電子認(rèn)證服務(wù)機(jī)構(gòu)，是否具有國務(wù)院信息產(chǎn)業(yè)主管部門頒發(fā)的電子認(rèn)證服務(wù)許可證。 具有與提供電子認(rèn)證服務(wù)相適應(yīng)的資金保障和經(jīng)營場所檢查認(rèn)證機(jī)構(gòu)是否具有與提供電子認(rèn)證服務(wù)相適應(yīng)的資金保障和經(jīng)營場所 具有與提供電子認(rèn)證服務(wù)

2、相適應(yīng)的專業(yè)技術(shù)人員和管理人員檢查認(rèn)證機(jī)構(gòu)是否具有與提供電子認(rèn)證服務(wù)相適應(yīng)的專業(yè)技術(shù)人員和管理人員 具有符合國家密碼管理要求的電子認(rèn)證服務(wù)基礎(chǔ)設(shè)施檢查認(rèn)證機(jī)構(gòu)是否具有符合國家密碼管理要求的電子認(rèn)證服務(wù)基礎(chǔ)設(shè)施 具有符合國家相關(guān)規(guī)范要求的電子政務(wù)電子認(rèn)證服務(wù)業(yè)務(wù)規(guī)則檢查認(rèn)證機(jī)構(gòu)是否按照電子政務(wù)電子認(rèn)證服務(wù)業(yè)務(wù)規(guī)則規(guī)范制定本機(jī)構(gòu)電子政務(wù)電子認(rèn)證服務(wù)業(yè)務(wù)規(guī)則 具有健全的安全管理制度檢查認(rèn)證機(jī)構(gòu)是否具有健全的安全管理制度 基礎(chǔ)設(shè)施由具有商用密碼產(chǎn)品生產(chǎn)和密碼服務(wù)能力的單位承建檢查基礎(chǔ)設(shè)施是否由具有商用密碼產(chǎn)品生產(chǎn)和密碼服務(wù)能力的單位承建 采用國家密碼管理局認(rèn)定的商用密碼產(chǎn)品檢查基礎(chǔ)設(shè)施是否采用國家密碼

3、管理局認(rèn)定的商用密碼產(chǎn)品 符合國家密碼管理相關(guān)標(biāo)準(zhǔn)規(guī)范檢查基礎(chǔ)設(shè)施是否符合國家密碼管理相關(guān)標(biāo)準(zhǔn)規(guī)范 采用國家密碼管理局規(guī)劃建設(shè)的密鑰管理基礎(chǔ)設(shè)施提供密鑰管理服務(wù)檢查基礎(chǔ)設(shè)施是否采用國家密碼管理局規(guī)劃建設(shè)的密鑰管理基礎(chǔ)設(shè)施提供密鑰管理服務(wù) 通過國家密碼管理局安全性審查通過國家密碼管理局安全性審查 電子認(rèn)證業(yè)務(wù)規(guī)則管理電子認(rèn)證業(yè)務(wù)規(guī)則管理建立CPS的管理制度檢查是否有固定的CPS管理制度或者流程 具有明確CPS管理組織隨機(jī)抽查一個該管理組織人員進(jìn)行確認(rèn)是否有明確的CPS管理組織 定期評估CPS的適用性提供本年度CPS評估記錄 及時發(fā)布更新CPS檢查最新的CPS發(fā)布記錄是否一致 具有CPS備案記錄檢

4、查最新的CPS備案記錄 驗證CPS的符合性定期檢查驗證CPS的符合性 數(shù)字證書服務(wù)注冊機(jī)構(gòu)管理具有注冊機(jī)構(gòu)管理制度查看是否有清晰規(guī)范的RA/LRA管理制度，包括：運(yùn)營業(yè)務(wù)管理規(guī)范、證書業(yè)務(wù)辦理流程、身份鑒別、驗證管理流程、用戶檔案管理規(guī)范等。 認(rèn)證機(jī)構(gòu)應(yīng)建立RA/LRA權(quán)限分配機(jī)制查看最新RA/LRA權(quán)限分配表 對代理機(jī)構(gòu)的管理規(guī)范及相關(guān)記錄檢查對代理機(jī)構(gòu)的管理規(guī)范及相關(guān)記錄 注冊系統(tǒng)和證書受理操作的相關(guān)授權(quán)記錄及管理記錄檢查注冊系統(tǒng)和證書受理操作的相關(guān)授權(quán)記錄及管理記錄 對注冊機(jī)構(gòu)的審計記錄抽查審計記錄 業(yè)務(wù)流程建立并公布證書業(yè)務(wù)咨詢流程檢查是否有證書業(yè)務(wù)咨詢流程 建立并公布證書受理流程檢查

5、是否有證書受理流程，如存在在線受理，應(yīng)說明在線受理的流程。 建立并公布證書簽發(fā)流程檢查是否證書簽發(fā)流程 建立并公布證書更新流程檢查是否有證書更新流程 建立并公布加密密鑰恢復(fù)流程檢查是否有加密密鑰的恢復(fù)流程 建立并公布證書撤銷流程檢查是否有證書撤銷流程 業(yè)務(wù)咨詢業(yè)務(wù)咨詢內(nèi)容應(yīng)包括證書應(yīng)用、證書安全保管、存儲介質(zhì)使用、政策法規(guī)、技術(shù)服務(wù)、投訴處理、收費(fèi)等方面內(nèi)容按照咨詢流程隨機(jī)抽取進(jìn)行驗證，驗證內(nèi)容可包括證書應(yīng)用、證書安全保管、存儲介質(zhì)使用、政策法規(guī)、技術(shù)服務(wù)、投訴處理、收費(fèi)等方面內(nèi)容。 應(yīng)明確告知證書業(yè)務(wù)相應(yīng)的服務(wù)流程提供明確告知證書業(yè)務(wù)相應(yīng)的服務(wù)流程的相關(guān)證明 業(yè)務(wù)咨詢受理應(yīng)有相關(guān)記錄提供業(yè)務(wù)

6、咨詢受理相關(guān)記錄樣本 證書申請與受理認(rèn)證機(jī)構(gòu)應(yīng)提供多種證書申請受理方式提供證書受理相關(guān)方式的證明，必要時檢查多種證書受理方式。 受理申請時應(yīng)告知證書用戶相應(yīng)的責(zé)任和權(quán)利提供明確告知證書申請者和電子政務(wù)電子認(rèn)證服務(wù)提供者的責(zé)任與義務(wù)的相關(guān)證明，比如協(xié)議等資料，或者在線同意的相關(guān)記錄。 認(rèn)證機(jī)構(gòu)應(yīng)驗證證書申請者的授權(quán)有效性及證書持有者身份的真實性提供驗證證書申請者的授權(quán)有效性及證書持有者身份的證明材料認(rèn)證機(jī)構(gòu)應(yīng)保留對最終實體身份的證明和確認(rèn)信息提供相關(guān)信息的證明資料，隨機(jī)進(jìn)行抽查 認(rèn)證機(jī)構(gòu)應(yīng)保證證書申請者和持有者信息不被篡改、隱私信息不被泄漏提供相關(guān)管理機(jī)制或者安全措施等證明資料 注冊過程必須保證

7、所有證書申請者明確同意相關(guān)的證書申請協(xié)議提供相關(guān)證明資料，比如抽查相關(guān)協(xié)議、視頻等相關(guān)資料。 認(rèn)證機(jī)構(gòu)、注冊機(jī)構(gòu)應(yīng)在鑒別的基礎(chǔ)上，批準(zhǔn)或拒絕申請。如果拒絕申請，應(yīng)通過適當(dāng)?shù)姆绞健⒃?個工作日內(nèi)通知證書申請者；如果批準(zhǔn)申請，應(yīng)為證書申請者辦理證書簽發(fā)服務(wù)。抽查相關(guān)記錄，從用戶提交申請起檢查相關(guān)批準(zhǔn)記錄。 認(rèn)證機(jī)構(gòu)處理證書請求的最長響應(yīng)時間應(yīng)不超過2個工作日抽查相關(guān)記錄，從用戶提交申請起檢查相關(guān)批準(zhǔn)記錄。 證書簽發(fā)用戶證書應(yīng)當(dāng)是基于SM2密碼算法的簽名證書和加密證書隨機(jī)抽查通過實例檢查證書是否是基于SM2密碼算法的簽名證書和加密證書 證書格式應(yīng)符合GM/T 0015的要求隨機(jī)抽查通過實例檢查證書密

8、鑰對用法是否正確，隨機(jī)抽查通過實例檢查證書證書的基本限制、密鑰用法域是否是關(guān)鍵擴(kuò)展等。 證書持有者的簽名密鑰對由證書持有者的密碼設(shè)備（如智能密碼鑰匙或智能IC卡）或在符合GM/T 0028的密碼模塊中生成檢查證書存儲介質(zhì)是否有相關(guān)型號證書 認(rèn)證機(jī)構(gòu)應(yīng)提供安全可靠的證書接受方式提供能證明證書接受方式為安全可靠的證明材料，如采用快遞方式，設(shè)備與密碼應(yīng)分開發(fā)送等。 對于證書申請者明確表示拒絕發(fā)布證書信息的，認(rèn)證機(jī)構(gòu)應(yīng)不發(fā)布該證書申請者證書信息。沒有明確表示拒絕的，認(rèn)證機(jī)構(gòu)可將證書信息發(fā)布到目錄系統(tǒng)。提供要求不發(fā)布的相關(guān)證明，并抽查證書發(fā)布的實際情況。 證書更新及密鑰更新密鑰更新前應(yīng)對原證書、申請的簽

9、名信息、身份信息進(jìn)行驗證和鑒別檢查密鑰更新前是否對原證書、申請的簽名信息、身份信息進(jìn)行了驗證和鑒別 應(yīng)明確通知證書持有者新證書簽發(fā)的方式及時間抽查是否明確通知證書持有者新證書簽發(fā)的方式及時間 應(yīng)明確構(gòu)成接受密鑰更新的行為檢查構(gòu)成接受密鑰更新的行為是否明確 應(yīng)明確對密鑰更新的發(fā)布條件、方式及途徑檢查對密鑰更新的發(fā)布條件、方式及途徑是否明確 應(yīng)明確密鑰更新后是否需要通知其他實體檢查是否明確密鑰更新后通知其他實體 證書撤銷認(rèn)證機(jī)構(gòu)、注冊機(jī)構(gòu)在接到證書持有者的撤銷請求后，應(yīng)對其身份進(jìn)行鑒別并確認(rèn)其為證書持有者本人或得到了證書持有者的授權(quán)。提供證書撤銷相關(guān)證據(jù)，驗證證書撤銷請求確為證書持有者本人或得到了

10、證書持有者的授權(quán)。 認(rèn)證機(jī)構(gòu)、注冊機(jī)構(gòu)應(yīng)在24小時內(nèi)，撤銷符合條件的證書并發(fā)布到證書撤銷列表。抽查系統(tǒng)執(zhí)行證書撤銷操作（從決定吊銷到發(fā)布）是否在24小時內(nèi) 證書撤銷后，應(yīng)通過有效方式及時告知證書持有者或依賴方證書撤銷結(jié)果。檢查證書撤銷后是否通過有效方式及時告知證書持有者或依賴方證書撤銷結(jié)果 證書撤銷信息發(fā)布有效檢查是否發(fā)布了證書撤銷信息以及信息是否有效 密鑰恢復(fù)認(rèn)證機(jī)構(gòu)在接到證書持有者的加密密鑰恢復(fù)請求后，應(yīng)對其身份進(jìn)行鑒別并確認(rèn)其為證書持有者本人或得到了證書持有者的授權(quán)。提供加密密鑰恢復(fù)的證據(jù)，驗證加密密鑰恢復(fù)請求是否由證書持有者本人或得到了證書持有者的授權(quán)的人發(fā)起。應(yīng)明確構(gòu)成接受密鑰恢復(fù)的

11、行為檢查對于接受密鑰恢復(fù)的行為是否有明確規(guī)定應(yīng)用集成服務(wù)證書應(yīng)用接口程序證書應(yīng)用接口應(yīng)符合GM/T 0020的要求使用任意一張證書進(jìn)行簽名驗證是否符合標(biāo)準(zhǔn)規(guī)范 具有并提供證書應(yīng)用接口說明文檔檢查接口說明文檔提交記錄 證書應(yīng)用方案支持有適應(yīng)應(yīng)用集成服務(wù)的專業(yè)人員抽查訪談對應(yīng)崗位的專業(yè)人員 有證書應(yīng)用集成支持方案，包括集成方案、服務(wù)支持方案等。抽查證書應(yīng)用集成支持方案是否包括集成方案、服務(wù)支持方案等 實施集成服務(wù)具有實施集成服務(wù)規(guī)范，包含實施人員調(diào)度、實施操作規(guī)范、實施確認(rèn)等。抽查實施集成服務(wù)規(guī)范是否滿足需求 具有實施項目配套資源協(xié)調(diào)能力，為集成所需產(chǎn)品選型提供支持。檢查認(rèn)證機(jī)構(gòu)是否具有實施項目配

12、套資源協(xié)調(diào)能力 對于已提供服務(wù)的認(rèn)證機(jī)構(gòu)，可提供本年度集成項目合同提供本年度集成項目合同 提供客戶對集成服務(wù)的評價通過抽查任意一個項目客戶驗收報告評價客戶對集成服務(wù)的認(rèn)可度，查看驗收報告。 信息服務(wù)業(yè)務(wù)信息的發(fā)布發(fā)布政務(wù)CPS、證書鏈、技術(shù)服務(wù)手冊、業(yè)務(wù)辦理流程、聯(lián)系方式、業(yè)務(wù)開展相關(guān)資質(zhì)、投訴電話等信息檢查官方網(wǎng)站是否存在所考察的內(nèi)容 發(fā)布的信息具有有效性檢查證書鏈、聯(lián)系方式、投訴電話等是否有效 CRL更新周期和備份周期不應(yīng)超過24小時，備份保存時間至少10年。檢查CRL更新周期和備份周期是否超了24小時，檢查1年前的CRL備份是否存在。 提供任何一種證書狀態(tài)查詢服務(wù)，且公布證書狀態(tài)查詢方式

13、。能提供任意一種證書狀態(tài)查詢服務(wù)，且公布了證書狀態(tài)查詢方式。 證書查詢服務(wù)可用公布的證書狀態(tài)查詢服務(wù)可以訪問 應(yīng)提供CRL、OCSP等方式的證書狀態(tài)查詢接口通過檢查認(rèn)證中心的相關(guān)資料驗證是否提供證書狀態(tài)查詢接口 其他相關(guān)控制對司法程序需要的信息訪問，應(yīng)嚴(yán)格審核司法人員身份及授權(quán)文件，確認(rèn)后方可提供信息訪問。查看是否有司法訪問相關(guān)制度或流程 對監(jiān)管部門需要的信息訪問，應(yīng)按照相關(guān)的管理規(guī)定和調(diào)取程序，為其提供信息訪問。查看是否存在信息訪問控制流程 具有訪問操作記錄查看是否具有訪問操作記錄 使用支持服務(wù)熱線服務(wù)建立完善的坐席服務(wù)制度及流程檢查是否有相關(guān)制度及流程 至少提供5×8小時熱線服務(wù)

14、，自助及人工總體接聽率不低于90%。檢查坐席服務(wù)和接通率是否按照要求設(shè)置并達(dá)標(biāo) 具有坐席人員培訓(xùn)記錄檢查本年度坐席人員培訓(xùn)記錄 具有熱線處理問題記錄檢查熱線處理問題記錄 在線服務(wù)建立完善的在線服務(wù)規(guī)范檢查是否建立完善的在線服務(wù)規(guī)范 提供包括Email、遠(yuǎn)程協(xié)助、即時通訊等網(wǎng)絡(luò)服務(wù)任意一種形式的在線服務(wù)抽查考察項的任何一項 提供在線服務(wù)的相關(guān)記錄，包括投訴記錄抽查記錄是否存在 現(xiàn)場服務(wù)根據(jù)項目服務(wù)特點(diǎn)，制定有現(xiàn)場應(yīng)急服務(wù)方案抽查現(xiàn)場服務(wù)是否根據(jù)不同的緊急程度，制定相應(yīng)的應(yīng)急服務(wù)機(jī)制。 具有可提供現(xiàn)場服務(wù)的技術(shù)人員抽查現(xiàn)場服務(wù)的技術(shù)人員名單 具有現(xiàn)場人員服務(wù)規(guī)范及相關(guān)記錄檢查是否存在現(xiàn)場服務(wù)相關(guān)規(guī)

15、范和記錄 投訴處理具有投訴處理機(jī)制，且對外公布投訴受理方式檢查是否存在投訴處理相關(guān)制度 投訴處理應(yīng)有相應(yīng)記錄提供投訴處理應(yīng)有相應(yīng)記錄 證書使用培訓(xùn)服務(wù)具有證書使用相關(guān)文檔、演示教程等檢查相關(guān)文檔 具有培訓(xùn)記錄、培訓(xùn)計劃檢查培訓(xùn)計劃及培訓(xùn)記錄 服務(wù)改進(jìn)監(jiān)督措施具有內(nèi)部監(jiān)督和顧客滿意度評價機(jī)制檢查是否有內(nèi)部監(jiān)督和顧客滿意度評價機(jī)制 具有顧客滿意度調(diào)查記錄、服務(wù)報告記錄檢查是否存在滿意度調(diào)查記錄 安全管理安全管理組織結(jié)構(gòu)具有清晰的安全管理組織結(jié)構(gòu)核查是否具有安全組織結(jié)構(gòu)，記錄了負(fù)責(zé)安全管理的組織的相關(guān)職責(zé)描述。 具有清晰的部門職責(zé)核查部門職責(zé) 具有信息安全的人員職責(zé)說明檢查崗位職責(zé)是否對執(zhí)行信息安全

16、管理活動的相關(guān)部門人員職責(zé)進(jìn)行了清晰的定義 具有關(guān)鍵崗位的人員授權(quán)與記錄抽查關(guān)鍵崗位的人員授權(quán)與記錄 安全運(yùn)營管理制度建立安全運(yùn)營管理制度審批與監(jiān)督評估機(jī)制檢查是否建立安全運(yùn)營管理制度審批與監(jiān)督評估機(jī)制 具有安全運(yùn)營管理制度的審批流程檢查是否有安全運(yùn)營管理制度的審批流程 具有安全運(yùn)營管理制度的審批、發(fā)布記錄抽查本年度安全管理制度的審批、發(fā)布記錄 具有安全運(yùn)營管理制度落實情況的監(jiān)督檢查機(jī)制與監(jiān)督檢查記錄抽查安全運(yùn)營管理制度落實情況的監(jiān)督檢查機(jī)制與監(jiān)督檢查記錄 具有安全運(yùn)營管理制度定期評估機(jī)制與評估記錄抽查安全運(yùn)營管理制度定期評估機(jī)制與評估記錄 具有機(jī)房運(yùn)維管理制度與規(guī)范檢查機(jī)房運(yùn)維管理制度與規(guī)范

17、 具有系統(tǒng)網(wǎng)絡(luò)備份策略及管理辦法檢查是否具有備份策略及管理辦法 具有系統(tǒng)網(wǎng)絡(luò)應(yīng)急處理及應(yīng)急預(yù)案檢查是否具有應(yīng)急處理及應(yīng)急預(yù)案 具有安全審計監(jiān)測管理制度檢查是否具有安全審計監(jiān)測管理制度 具有財務(wù)安全管理制度檢查是否具有財務(wù)安全管理制度 具有人員安全管理制度檢查是否具有人員安全管理制度 具有客戶資料安全管理制度檢查是否具有客戶資料安全管理制度，并定期評價客戶隱私保護(hù)措施。 具有風(fēng)險評估管理制度檢查是否具有風(fēng)險評估管理制度 對外包服務(wù)方的安全管理對外包服務(wù)方權(quán)限的管理檢查對外包服務(wù)方權(quán)限管理的相關(guān)制度 對外包服務(wù)方的合同管理檢查與外包服務(wù)方合同簽署情況 具有外包服務(wù)方管理制度抽查一次本年度外包管理記

18、錄 人力資源管理關(guān)鍵崗位或角色認(rèn)證機(jī)構(gòu)應(yīng)配備與從事電子認(rèn)證業(yè)務(wù)相適應(yīng)的崗位或者角色，至少包括：操作系統(tǒng)管理員、數(shù)據(jù)庫管理員、應(yīng)用系統(tǒng)管理員、網(wǎng)絡(luò)管理員、機(jī)房管理員、密鑰管理員、審計員。其中數(shù)據(jù)庫管理員與應(yīng)用系統(tǒng)管理員和操作系統(tǒng)管理員不可互相兼任、操作員與審計員不可互相兼任、RA業(yè)務(wù)操作員的錄入員和審核員不可兼任。提供能夠體現(xiàn)關(guān)鍵崗位或者角色的相關(guān)證明或者記錄，檢查是否進(jìn)行了職責(zé)分離。 人力資源政策具有人力資源管理制度，考核關(guān)鍵崗位人員招聘及離職流程。抽查不同崗位人員入職記錄各1份；抽查可信人員離職記錄不同崗位各1份，按照本公司的管理制度查看記錄是否完整。 具有可信人員清單，并對可信人員進(jìn)行背景

19、調(diào)查（可信人員的背景調(diào)查應(yīng)包括人員簡歷、教育水平、從業(yè)經(jīng)歷、征信證明、有無犯罪記錄等）。抽查不同崗位可信人員背景調(diào)查記錄 簽署保密協(xié)議根據(jù)可信人員清單，隨機(jī)抽查1份保密協(xié)議查看 人員培訓(xùn)、考核和檔案管理具有培訓(xùn)管理制度、培訓(xùn)計劃、培訓(xùn)考核各崗位隨機(jī)抽查1人的培訓(xùn)記錄 具有考核相關(guān)管理制度、考核記錄各崗位隨機(jī)抽查1人的考核記錄 具有人員檔案管理制度和清晰的員工檔案管理記錄檢查是否有員工檔案臺賬記錄 資產(chǎn)管理資產(chǎn)管理制度具有資產(chǎn)分類管理制度檢查是否有相關(guān)制度描述了對資產(chǎn)的分類管理 具有密碼設(shè)備管理制度檢查是否有對密碼設(shè)備的管理制度 具有技術(shù)資料管理制度檢查是否有相關(guān)文檔或制度描述了技術(shù)資料的管理要

20、求 具有客戶資料管理制度檢查是否有相關(guān)管理制度描述了對客戶信息、客戶資料的相關(guān)管理措施 具有固定資產(chǎn)采購管理制度檢查是否有采購管理制度 資產(chǎn)管理記錄提供電子認(rèn)證服務(wù)的計算機(jī)軟、硬件設(shè)備清單檢查是否存在這樣的清單，隨機(jī)抽查2-3臺清單設(shè)備是否賬實相符。 具有密碼設(shè)備清單核查是否存在密碼設(shè)備清單，設(shè)備與清單列表要賬實相符 具有技術(shù)資料記錄核查是否存在技術(shù)資料記錄 具有客戶資料記錄核查是否存在客戶資料記錄 具有采購相關(guān)管理記錄檢查本年度采購管理相關(guān)記錄 具有資產(chǎn)報廢記錄檢查本年度資產(chǎn)報廢相關(guān)記錄 物理及環(huán)境安全物理區(qū)域劃分及控制根據(jù)不同職能劃分辦公區(qū)域。機(jī)房應(yīng)有相關(guān)安全控制措施，比如訪客登記、門禁控

21、制等。檢查機(jī)房環(huán)境安全控制，抽取訪客登記、工作人員進(jìn)出登記與門禁記錄保持一致。 對CA的分層訪問：公共區(qū)、服務(wù)區(qū)、管理區(qū)、核心區(qū)，具有不同區(qū)域訪問控制措施抽查各區(qū)域不同時間段的進(jìn)出登記記錄與門禁記錄保持一致 安全監(jiān)控室是安全管理人員值班的地方，只有安全管理人員使用身份識別卡和人體特征鑒別才能進(jìn)入，刷卡離開。檢查門禁系統(tǒng)的合規(guī)性，抽查不同時間段的進(jìn)出登記與門禁記錄保持一致。 配電室是放置所有供電設(shè)備的房間，只有相應(yīng)授權(quán)人員使用身份識別卡和人體特征鑒別才能進(jìn)入，刷卡離開。檢查門禁系統(tǒng)的合規(guī)性，抽查不同時間段的進(jìn)出登記與門禁記錄保持一致。 機(jī)房管理和環(huán)境控制建立外來人員進(jìn)出機(jī)房管理制度，制度中應(yīng)明確

22、進(jìn)出人員審批、報備流程，記錄完備。核查制度是否建立，抽查不同日期的外來人員審批和登記記錄。 建立機(jī)房設(shè)備管理規(guī)范：1.對機(jī)房設(shè)備進(jìn)行生命周期管理，保存購買、使用、維修、報廢的記錄；2.具有機(jī)房設(shè)備分類清單，設(shè)備及廠商的相關(guān)資質(zhì)；3.具備對設(shè)備的巡檢記錄，明確巡檢的周期。1.核查有無機(jī)房設(shè)備管理規(guī)范，核查其機(jī)房設(shè)備的管理記錄；2.核查有無機(jī)房設(shè)備分類清單，安全設(shè)備軟件版本或特征庫是否為最新版本；3.核查有無設(shè)備巡檢記錄。 機(jī)房應(yīng)配備7×24小時視頻監(jiān)控，監(jiān)控記錄至少保存6個月抽查6個月以內(nèi)的監(jiān)控記錄是否存在，記錄是否完備。 建立業(yè)務(wù)實時監(jiān)控系統(tǒng)，能監(jiān)控到真實業(yè)務(wù)系統(tǒng)的可用性、有效性建立

23、了7×24小時業(yè)務(wù)實時監(jiān)控系統(tǒng)，并能有效監(jiān)控并及時處理監(jiān)控信息。 門禁系統(tǒng)應(yīng)有進(jìn)出時間記錄和超時報警，門禁日志完備。1）屏蔽機(jī)房應(yīng)安裝入侵檢測報警系統(tǒng)，進(jìn)入屏蔽機(jī)房應(yīng)具備雙人雙因素驗證；2）建立了門禁卡管理措施，門禁卡管理記錄完備。檢查門禁日志，測試是否有超時報警，核查門禁卡管理記錄。 配備UPS等備用電源，保證系統(tǒng)不間斷運(yùn)行，其中門禁和物理侵入報警系統(tǒng)應(yīng)自備有UPS，并應(yīng)提供至少8小時的供電。查看機(jī)房設(shè)備UPS供電情況、門禁和侵入報警提供至少8小時的供電。 建立消防管理制度，定期進(jìn)行消防演練、消防檢測，記錄完備；機(jī)房設(shè)置火災(zāi)自動報警和滅火系統(tǒng)，機(jī)房配備人員安全設(shè)備。核查制度是否建立

24、，記錄是否完備，核查是否定期進(jìn)行消防檢測，檢測報告是否通過，查看自動報警和滅火系統(tǒng)。 機(jī)房溫度和濕度控制符合國標(biāo)A級機(jī)房要求檢查溫濕度巡檢記錄 機(jī)房運(yùn)維采用7×24小時現(xiàn)場值班或遠(yuǎn)程實時監(jiān)控的方式檢查機(jī)房運(yùn)維是否采用7×24小時值班值守，查看排班記錄。 至少每五年進(jìn)行一次屏蔽室檢測，屏蔽效能應(yīng)達(dá)到處理涉密信息的電磁屏蔽室的技術(shù)要求和測試方法（BMB3-1999）的C級水平，檢測報告完備。定期進(jìn)行屏蔽室檢測，檢測報告在有效期之內(nèi)，或者提供5年以內(nèi)的檢測報告。 系統(tǒng)開發(fā)與維護(hù)開發(fā)環(huán)境開發(fā)環(huán)境、測試環(huán)境、生產(chǎn)環(huán)境分離提供三個環(huán)境物理或者邏輯分離的證據(jù)，包括：網(wǎng)絡(luò)拓?fù)鋱D和實際現(xiàn)場勘

25、查。 開發(fā)相關(guān)制度具備完善的系統(tǒng)開發(fā)相關(guān)制度和流程，實現(xiàn)開發(fā)過程的規(guī)范化及代碼、資料的安全管理，具有系統(tǒng)版本的過程記錄、產(chǎn)品測試通過標(biāo)準(zhǔn)及發(fā)布的相關(guān)流程。檢查是否具有開發(fā)相關(guān)的管理制度和流程，檢查相關(guān)記錄。 開發(fā)過程具有項目需求分析文檔抽查本年度開發(fā)工作的需求分析文檔 具有立項申請審批制度檢查本年度立項申請審批記錄 具有測試管理相關(guān)制度核查制度是否建立 系統(tǒng)上線管理制定上線審批制度或者流程核查相關(guān)流程是否建立 具有上線審批記錄核查最近一次上線審計記錄是否完備 具有上線執(zhí)行記錄核查最近1次執(zhí)行上線操作記錄 具有上線操作審計記錄最近一次上線操作審計記錄 運(yùn)維管理機(jī)房運(yùn)維管理制度具有機(jī)房運(yùn)維管理制度

26、檢查是否具有機(jī)房運(yùn)維管理相關(guān)制度 CA系統(tǒng)風(fēng)險評估具有風(fēng)險評估記錄，應(yīng)涵蓋物理環(huán)境、系統(tǒng)網(wǎng)絡(luò)等安全評估方面,涉及內(nèi)容包括漏洞掃描、基線掃描、滲透測試、源代碼審計等。提供風(fēng)險評估報告 CA系統(tǒng)穩(wěn)定性CA系統(tǒng)至少提供99.9%系統(tǒng)可用性（年故障時間小于525.6分鐘）。具有CA系統(tǒng)可用性監(jiān)控數(shù)據(jù)統(tǒng)計。具有系統(tǒng)可用性指標(biāo)及相關(guān)證明材料 防病毒管理1.建立病毒及惡意軟件防范制度，定期升級防病毒軟件病毒庫、IDS、防火墻及網(wǎng)絡(luò)設(shè)備固件等；2.對防病毒軟件應(yīng)啟動實時檢測病毒和定時全盤掃描病毒等設(shè)置。1.核查病毒及惡意軟件防范相關(guān)文檔，抽查升級防病毒軟件病毒庫、IDS、防火墻及網(wǎng)絡(luò)設(shè)備固件等記錄；2.抽查防

27、病毒軟件設(shè)置是否合規(guī)。 事件管理1、建立普通故障、應(yīng)急事件等的管理職責(zé)和規(guī)程，以確?？焖佟⒂行Ш陀行虻仨憫?yīng)；2、具有事件報告記錄。根據(jù)事件處理管理規(guī)定，檢查事件記錄 備份管理1.建立備份管理的相關(guān)管理制度和策略，包括操作系統(tǒng)、網(wǎng)絡(luò)防火墻規(guī)則、應(yīng)用程序、數(shù)據(jù)和硬件設(shè)備的備份策略；2.具有備份驗證記錄；3.建立備份介質(zhì)存儲管理制度，具備相應(yīng)的記錄。1.核查有無備份管理的相關(guān)管理制度和策略，包括包括操作系統(tǒng)、網(wǎng)絡(luò)防火墻規(guī)則、應(yīng)用程序、數(shù)據(jù)和硬件設(shè)備的備份策略；抽查相關(guān)記錄2.核查有無備份驗證記錄；3.核查有無備份介質(zhì)存儲管理制度及記錄。 用戶權(quán)限管理1.建立用戶權(quán)限管理制度，明確用戶帳號及權(quán)限變更的

28、申請審批權(quán)限；2.具備管理員及用戶權(quán)限分配情況的記錄；3.具備用戶權(quán)限操作管理的審計記錄4.口令參數(shù)的設(shè)置應(yīng)具有足夠的安全強(qiáng)度；5.運(yùn)維操作人員采用雙因素鑒別；6.具有網(wǎng)絡(luò)配置管理制度（申請、審批、配置執(zhí)行）； 7.人員變動帳號及權(quán)限管理方法。1.核查用戶權(quán)限管理制度，以及權(quán)限變更審批記錄；2.核查管理員及用戶權(quán)限分配記錄； 3.核查審計管理員的審計記錄； 4.核查密碼參數(shù)設(shè)置安全機(jī)制；5.核查運(yùn)維操作人員是否采用雙因素鑒別；6.抽查網(wǎng)絡(luò)配置審批記錄；7.核查最近1次人員變動帳號及權(quán)限管理處理記錄。 網(wǎng)絡(luò)管理1.具有網(wǎng)絡(luò)拓?fù)鋱D；2.具有服務(wù)器IP地址清單；3.具有網(wǎng)絡(luò)設(shè)備配置表（防火墻、路由器

29、、交換機(jī)、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)）；4.具有入侵檢測系統(tǒng)日志；5.具有網(wǎng)絡(luò)安全設(shè)備更新記錄；6.具有入侵檢測更新記錄。1.核查機(jī)房拓?fù)浣Y(jié)構(gòu)圖符合標(biāo)準(zhǔn)規(guī)范要求； 2.核查有無服務(wù)器IP地址清單；3.核查有無網(wǎng)絡(luò)設(shè)備配置表（防火墻、路由器、交換機(jī)、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)）； 4.核查入侵檢測系統(tǒng)日志是否最新； 5.核查網(wǎng)絡(luò)安全設(shè)備更新記錄 ； 6.查看入侵檢測更新記錄。 網(wǎng)絡(luò)鏈路及帶寬管理：1、具有不同運(yùn)營商的雙網(wǎng)絡(luò)鏈路接入；2、記錄網(wǎng)絡(luò)故障緊急聯(lián)系人方式。1、檢查網(wǎng)絡(luò)鏈路是否雙線路；2、是否有網(wǎng)絡(luò)故障緊急聯(lián)系人。 操作系統(tǒng)管理具有服務(wù)器操作系統(tǒng)安裝配置規(guī)范檢查是否有操作系統(tǒng)安裝配置相關(guān)規(guī)

30、程 對操作系統(tǒng)補(bǔ)丁管理查看是否有操作系統(tǒng)補(bǔ)丁管理相關(guān)規(guī)程，并檢查相關(guān)記錄。 應(yīng)用系統(tǒng)管理應(yīng)用系統(tǒng)資源和安全監(jiān)控檢查是否對應(yīng)用系統(tǒng)（CA、KM、RA、OCSP）等的進(jìn)程狀態(tài)、資源狀態(tài)、可訪問狀態(tài)進(jìn)行監(jiān)控。 應(yīng)用系統(tǒng)安全響應(yīng)檢查應(yīng)用系統(tǒng)宕機(jī)情況下的安全響應(yīng)機(jī)制及巡檢記錄 應(yīng)用系統(tǒng)安全預(yù)警檢查是否設(shè)置應(yīng)用系統(tǒng)的安全預(yù)警閾值 數(shù)據(jù)庫管理具有數(shù)據(jù)庫操作系統(tǒng)用戶權(quán)限配置核查數(shù)據(jù)庫操作系統(tǒng)用戶配置 具有數(shù)據(jù)庫用戶權(quán)限配置檢查數(shù)據(jù)庫用戶權(quán)限配置 機(jī)房資產(chǎn)管理具有機(jī)房資產(chǎn)管理制度檢查本年度機(jī)房資產(chǎn)變動記錄 密碼設(shè)備管理具有密碼設(shè)備生命周期管理制度及相關(guān)審批、操作記錄抽查兩次本年度密碼設(shè)備進(jìn)出記錄及配置、維修或報

31、廢記錄 系統(tǒng)變更管理建立系統(tǒng)變更相關(guān)制度規(guī)范和流程，保證系統(tǒng)變更風(fēng)險的可控性。檢查是否有變更相關(guān)制度 建立系統(tǒng)變更的申請審批流程，并按照流程審批完成后方可進(jìn)行系統(tǒng)變更。隨機(jī)抽查本年度變更審批記錄，檢查記錄完整性。 根據(jù)變更的內(nèi)容對系統(tǒng)進(jìn)行測試，測試完成后編寫測試報告。檢查系統(tǒng)變更的測試記錄 具有系統(tǒng)變更實施記錄核查系統(tǒng)變更的實施記錄，該記錄應(yīng)與審計記錄配對。 系統(tǒng)日志參數(shù)設(shè)置建立日志管理相關(guān)制度規(guī)定查看日志管理相關(guān)制度是否建立 對密鑰相關(guān)的操作進(jìn)行記錄查看系統(tǒng)配置是否記錄密鑰相關(guān)操作記錄 對證書相關(guān)的操作進(jìn)行記錄查看系統(tǒng)配置是否記錄證書相關(guān)操作記錄 對操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)日志、網(wǎng)絡(luò)設(shè)備和

32、服務(wù)器時間同步參數(shù)設(shè)置查看操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)日志、網(wǎng)絡(luò)設(shè)備和服務(wù)器時間同步參數(shù)配置 日志訪問權(quán)限設(shè)置日志的物理接觸權(quán)限檢查是否有物理訪問權(quán)限控制 設(shè)置日志的邏輯接觸權(quán)限檢查是否有邏輯訪問權(quán)限控制 日志備份與歸檔建立日志備份與歸檔的相關(guān)制度查看是否有日志備份及歸檔的相關(guān)制度 具有日志備份與歸檔的記錄隨機(jī)抽查1張CA系統(tǒng)建立后最早的政務(wù)部門證書的記錄，包括申請記錄、鑒別記錄、發(fā)放記錄、歸檔操作記錄。 具有日志備份與歸檔的定期審閱記錄查看本年度的審閱記錄，至少應(yīng)每半年一次。 歸檔日志具有防篡改機(jī)制檢查歸檔日志是否具有防篡改機(jī)制 應(yīng)與CPS內(nèi)容保持一致檢查實際情況與CPS的一致性 密鑰生命周期

33、管理CA密鑰管理制度密鑰生命周期管理建立了根密鑰管理制度,至少包括CA密鑰的生成控制、存放管理、使用管理、銷毀管理、歸檔管理等。查看制度是否建立 CA密鑰生成控制1.具有CA密鑰生成審批記錄；2.具有CA密鑰生成計劃及操作記錄；3.具有生成CA密鑰的密碼設(shè)備使用記錄；4.具有生成CA密鑰的密碼設(shè)備運(yùn)維記錄。查看CA密鑰的生成計劃文檔、CA密鑰生成的操作記錄、生成CA密鑰的密碼設(shè)備使用和運(yùn)維記錄。 CA密鑰存儲、備份和恢復(fù)控制1.建立CA密鑰的分割保存機(jī)制；2.具有CA密鑰的備份記錄；3.具有CA密鑰的恢復(fù)記錄；4.具有CA密鑰使用的審批記錄。1、CA密鑰分割保存（n,m）機(jī)制，檢查分管者清單；2、查看密鑰的備份記錄；3、查看本年度密鑰的恢復(fù)記錄（每年演練時應(yīng)有使用的需要）；4、查看本年度密鑰的使用審批記錄。 CA公鑰發(fā)布控制1.CA證書具有可下載性；2.CA證書具有合規(guī)性（密鑰長度、算法標(biāo)識、密鑰算法域?qū)傩缘确舷嚓P(guān)規(guī)定）；3.CA證書與國家根形成完整的證書鏈。查看CA證書是否可下載、CA證書內(nèi)容是否合規(guī)、抽查一張已發(fā)布的證書檢查是否可以和國家根形成證書鏈 CA密鑰使用控制1.具有申請審批記錄（激活