測評項權(quán)重賦值表二級

1、第二級信息系統(tǒng)測評項權(quán)重賦值表 （此表可不提供被測評單位） F 表給出第二級（S2A2G2 信息系統(tǒng)安全等級保護基本要求對應(yīng)的測評項權(quán) 骨口. 序號 層面 控制點 要求項 測評項 權(quán)重 1 物理安全 物理位置的選擇 （G2 a）機房和辦公場地應(yīng)選擇在具有防 震、防風和防雨等能力的建筑內(nèi)； 0.5 2 物理安全 物理訪問控制 （G2 a） 機房出入口應(yīng)安排專人值守， 控制、 鑒別和記錄進入的人員。 1 3 物理安全 物理訪問控制 （G2 b）需進入機房的來訪人員應(yīng)經(jīng)過申請 和審批流程，并限制和監(jiān)控其活動范 圍。 0.5 4 物理安全 防盜竊和防破壞 （G2 a）應(yīng)將主要設(shè)備放置在機房內(nèi)。 0.5

2、 5 物理安全 防盜竊和防破壞 （G2 b）應(yīng)將設(shè)備或主要部件進行固疋，并 設(shè)置明顯的不易除去的標記。 0.2 6 物理安全 防盜竊和防破壞 （G2 c）應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪 設(shè)在地下或管道中。 0.2 7 物理安全 防盜竊和防破壞 （G2 d）應(yīng)對介質(zhì)分類標識，存儲在介質(zhì)庫 或檔案室中。 0.2 8 物理安全 防盜竊和防破壞 （G2 e）主機房應(yīng)安裝必要的防盜報警設(shè) 施。 0.5 9 物理安全 防雷擊（G2） a ）機房建筑應(yīng)設(shè)置避雷裝置。 0.2 10 物理安全 防雷擊（G2） b）機房應(yīng)設(shè)置交流電源地線。 0.5 11 物理安全 防火（G2 機房應(yīng)設(shè)置滅火設(shè)備和火災(zāi)自動報警 系

3、統(tǒng)。 0.5 12 物理安全 防水和防潮（G2） a ）水管安裝，不得穿過機房屋頂和活 動地板下。 0.2 13 物理安全 防水和防潮（G2） b）應(yīng)采取措施防止雨水通過機房窗 戶、屋頂和墻壁滲透。 0.2 14 物理安全 防水和防潮（G2） c）應(yīng)采取措施防止機房內(nèi)水蒸氣結(jié)露 和地下積水的轉(zhuǎn)移與滲透。 0.5 15 物理安全 防靜電（G2） a ） 關(guān)鍵設(shè)備應(yīng)采用必要的接地防靜電 措施。 0.2 16 物理安全 溫濕度控制（G2） a ）機房應(yīng)設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施， 使機房溫、濕度的變化在設(shè)備運行所 允許的范圍之內(nèi)。 0.2 17 物理安全 電力供應(yīng)（A2） a）應(yīng)在機房供電線路上配置穩(wěn)

4、壓器和 過電壓防護設(shè)備。 0.5 18 物理安全 電力供應(yīng)（A2） b）應(yīng)提供短期的備用電力供應(yīng)， 至少 滿足關(guān)鍵設(shè)備在斷電情況下的正常運 行要求。 1 19 物理安全 電磁防護（S2） a）電源線和通信線纜應(yīng)隔離鋪設(shè)， 避 0.5 20 網(wǎng)絡(luò)安全 結(jié)構(gòu)安全（G2 a）應(yīng)保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能 力具備冗余空間，滿足業(yè)務(wù)高峰期需 要； 1 21 網(wǎng)絡(luò)安全 結(jié)構(gòu)安全（G2 b）應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬 滿足業(yè)務(wù)高峰期需要； 0.5 22 網(wǎng)絡(luò)安全 結(jié)構(gòu)安全（G2 c）應(yīng)繪制與當前運行情況相符的網(wǎng)絡(luò) 拓撲結(jié)構(gòu)圖； 0.5 23 網(wǎng)絡(luò)安全 結(jié)構(gòu)安全（G2 d）應(yīng)根據(jù)各部門的工作職能、 重要

5、性 和所涉及信息的重要程度等因素，劃 分不同的子網(wǎng)或網(wǎng)段，并按照方便管 理和控制的原則為各子網(wǎng)、網(wǎng)段分配 地址段； 1 24 網(wǎng)絡(luò)安全 訪問控制（G2 a）應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備， 啟用訪問控制功能； 1 25 網(wǎng)絡(luò)安全 訪問控制（G2 b）應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提 供明確的允許/拒絕訪問的能力，控制 粒度為網(wǎng)段級； 1 26 網(wǎng)絡(luò)安全 訪問控制（G2 c）應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī) 貝V,決定允許或拒絕用戶對受控系統(tǒng) 進行資源訪問，控制粒度為單個用戶； 0.5 27 網(wǎng)絡(luò)安全 訪問控制（G2 d）應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù) 量。 0.5 28 網(wǎng)絡(luò)安全 安全審計（G2 a

6、 ）應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀 況、網(wǎng)絡(luò)流量、用戶行為等進行日志 記錄； 1 29 網(wǎng)絡(luò)安全 安全審計（G2 b）審計記錄應(yīng)包括事件的日期和時 間、用戶、事件類型、事件是否成功 及其他與審計相關(guān)的信息； 0.5 30 網(wǎng)絡(luò)安全 邊界完整性檢查 （S2） 應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶 未通過準許私自聯(lián)到外部網(wǎng)絡(luò)的行為 進行檢杳。 1 31 網(wǎng)絡(luò)安全 入侵防范（G2 應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為： 端口掃描、強力攻擊、木馬后門攻擊、 拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、 IP 碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。 1 32 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)設(shè)備防護 （G2 a ） 應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份 鑒別；

7、0.5 33 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)設(shè)備防護 （G2 b）應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進 行限制； 0.5 34 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)設(shè)備防護 （G2 c）網(wǎng)絡(luò)設(shè)備用戶的標識應(yīng)唯一； 0.5 35 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)設(shè)備防護 （G2 d）身份鑒別信息應(yīng)具有不易被冒用的 特點，口令應(yīng)有復雜度要求并定期更 換； 1 36 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)設(shè)備防護 （G2 e）應(yīng)具有登錄失敗處理功能，可采取 結(jié)束會話、限制非法登錄次數(shù)和當網(wǎng) 絡(luò)登錄連接超時自動退出等措施； 0.5 37 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)設(shè)備防護 （G2 f）當對網(wǎng)絡(luò)設(shè)備進行遠程管理時， 應(yīng) 1 38 主機安全 身份鑒別（S2） a ） 應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的 用

8、戶進行身份標識和鑒別； 0.5 39 主機安全 身份鑒別（S2） b）操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身 份鑒別信息應(yīng)具有不易被冒用的特 點，口令應(yīng)有復雜度要求并定期更換； 1 40 主機安全 身份鑒別（S2） C）應(yīng)啟用登錄失敗處理功能，可采取 結(jié)束會話、限制非法登錄次數(shù)和自動 退出等措施； 0.5 41 主機安全 身份鑒別（S2） d）當對服務(wù)器進行遠程管理時，應(yīng)采 取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳 輸過程中被竊聽； 1 42 主機安全 身份鑒別（S2） e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不 同用戶分配不同的用戶名，確保用戶 名具有唯一性； 0.5 43 主機安全 訪問控制（S2） a）應(yīng)啟用訪冋

9、控制功能，依據(jù)安全策 略控制用戶對資源的訪問； 0.5 44 主機安全 訪問控制（S2） b）應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特 權(quán)用戶的權(quán)限分離； 1 45 主機安全 訪問控制（S2） C） 應(yīng)限制默認賬戶的訪問權(quán)限， 重命 名系統(tǒng)默認賬戶，修改這些賬戶的默 認口令； 0.5 46 主機安全 訪問控制（S2） d）應(yīng)及時刪除多余的、過期的賬戶， 避免共享賬戶的存在； 0.5 47 主機安全 安全審計（G2） a）審計范圍應(yīng)覆蓋到服務(wù)器上的每 個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶； 1 48 主機安全 安全審計（G2） b）審計內(nèi)容應(yīng)包括重要用戶行為、 系 統(tǒng)資源的異常使用和重要系統(tǒng)命令的 使用等系統(tǒng)內(nèi)重要的

10、安全相關(guān)事件； 1 49 主機安全 安全審計（G2） c）審計記錄應(yīng)包括事件的日期、時 間、類型、主體標識、客體標識和結(jié) 果等； 0.5 50 主機安全 安全審計（G2 d）應(yīng)保護審計記錄，避免受到未預期 的刪除、修改或覆蓋等。 0.5 51 主機安全 入侵防范（G2） 操作系統(tǒng)遵循最小安裝的原則，僅安 裝需要的組件和應(yīng)用程序，并通過設(shè) 置升級服務(wù)器等方式保持系統(tǒng)補丁及 時得到更新。 1 52 主機安全 惡意代碼防范 （G2） a）應(yīng)安裝防惡意代碼軟件，并及時更 新防惡意代碼軟件版本和惡意代碼 庫； 1 53 主機安全 惡意代碼防范 （G2 b）應(yīng)支持惡意代碼防范的統(tǒng)一管理。 0.5 54 主

11、機安全 資源控制（A2） a）應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地 址范圍等條件限制終端登錄； 0.5 55 主機安全 資源控制（A2） b）應(yīng)根據(jù)安全策略設(shè)置登錄終端的 操作超時鎖定； 0.5 56 主機安全 資源控制（A2） C）應(yīng)限制單個用戶對系統(tǒng)資源的最 大或最小使用限度； 0.2 57 應(yīng)用安全 身份鑒別（S2） a）應(yīng)提供專用的登錄控制模塊對登 錄用戶進行身份標識和鑒別； 0.5 58 應(yīng)用安全 身份鑒別（S2） b）應(yīng)提供用戶身份標識唯一和鑒別 信息復雜度檢查功能，保證應(yīng)用系統(tǒng) 中不存在重復用戶身份標識，身份鑒 別信息不易被冒用； 1 59 應(yīng)用安全 身份鑒別（S2） C）應(yīng)提供登錄失

12、敗處理功能，可采取 結(jié)束會話、限制非法登錄次數(shù)和自動 退出等措施； 0.5 60 應(yīng)用安全 身份鑒別（S2） d）應(yīng)啟用身份鑒別、用戶身份標識唯 一性檢查、用戶身份鑒別信息復雜度 檢查以及登錄失敗處理功能，并根據(jù) 安全策略配置相關(guān)參數(shù)。 0.5 61 應(yīng)用安全 訪問控制（S2） a）應(yīng)提供訪冋控制功能，依據(jù)安全策 略控制用戶對文件、數(shù)據(jù)庫表等客體 的訪問； 0.5 62 應(yīng)用安全 訪問控制（S2） b）訪冋控制的覆蓋范圍應(yīng)包括與資 源訪問相關(guān)的主體、客體及它們之間 的操作； 0.5 63 應(yīng)用安全 訪問控制（S2） C）應(yīng)由授權(quán)主體配置訪問控制策略， 并嚴格限制默認帳戶的訪問權(quán)限； 1 64

13、應(yīng)用安全 訪問控制（S2） d）應(yīng)授予不同帳戶為完成各自承擔 任務(wù)所需的最小權(quán)限，并在它們之間 形成相互制約的關(guān)系。 1 65 應(yīng)用安全 安全審計（G2 a）應(yīng)提供覆蓋到每個用戶的安全審 計功能，對應(yīng)用系統(tǒng)重要安全事件進 行審計； 1 66 應(yīng)用安全 安全審計（G2） b）應(yīng)保證無法刪除、修改或覆蓋審計 記錄； 0.5 67 應(yīng)用安全 安全審計（G2） C）審計記錄的內(nèi)容至少應(yīng)包括事件 的日期、時間、發(fā)起者信息、類型、 描述和結(jié)果等； 0.5 68 應(yīng)用安全 通信完整性（S2） a）應(yīng)米用校驗碼技術(shù)保證通信過程 中數(shù)據(jù)的完整性。 0.2 69 應(yīng)用安全 通信保密性（S2） a）在通信雙方建立連

14、接之前， 應(yīng)用系 統(tǒng)應(yīng)利用密碼技術(shù)進行會話初始化驗 證； 0.5 70 應(yīng)用安全 通信保密性（S2） b）應(yīng)對通信過程中的敏感信息字段 進行加密。 1 71 應(yīng)用安全 軟件容錯（A2） a）應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證 通過人機接口輸入或通過通信接口輸 入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要 求； 1 72 應(yīng)用安全 軟件容錯（A2） b）在故障發(fā)生時，應(yīng)用系統(tǒng)應(yīng)能夠繼 續(xù)提供一部分功能，確保能夠?qū)嵤┍?要的措施。 0.5 73 應(yīng)用安全 資源控制（A2） a）當應(yīng)用系統(tǒng)的通信雙方中的一方 在一段時間內(nèi)未作任何響應(yīng)，另一方 應(yīng)能夠自動結(jié)束會話； 0.5 74 應(yīng)用安全 資源控制（A2） b）應(yīng)能夠

15、對應(yīng)用系統(tǒng)的最大并發(fā)會 話連接數(shù)進行限制； 0.5 75 應(yīng)用安全 資源控制（A2） C） 應(yīng)能夠?qū)蝹€帳戶的多重并發(fā)會 話進行限制； 0.2 76 數(shù)據(jù)安全 及備份恢 復 數(shù)據(jù)完整性（S2） a）應(yīng)能夠檢測到鑒別信息和重要業(yè) 務(wù)數(shù)據(jù)在傳輸過程中完整性受到破 壞； 0.2 77 數(shù)據(jù)安全 及備份恢 復 數(shù)據(jù)保密性（S2） b）應(yīng)米用加密或其他保護措施實現(xiàn) 鑒別信息的存儲保密性。 1 78 數(shù)據(jù)安全 及備份恢 復 備份和恢復（A2） a）應(yīng)能夠?qū)χ匾畔⑦M行備份和恢 復； 0.5 79 數(shù)據(jù)安全 及備份恢 復 備份和恢復（A2） b）應(yīng)提供關(guān)鍵網(wǎng)絡(luò)設(shè)備、通信線路和 數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系

16、統(tǒng) 的可用性。 1 80 安全管理 制度 管理制度（G2 a ） 應(yīng)制定信息安全工作的總體方針和 安全策略，說明機構(gòu)安全工作的總體 目標、范圍、原則和安全框架等。 0.5 81 安全管理 制度 管理制度（G2 b）應(yīng)對安全管理活動中重要的管理內(nèi) 容建立安全管理制度。 1 82 安全管理 制度 管理制度（G2 c）應(yīng)對安全管理人員或操作人員執(zhí)行 的重要管理操作建立操作規(guī)程。 0.5 83 安全管理 制度 制定和發(fā)布（G2） a）應(yīng)指定或授權(quán)專門的部門或人員負 責安全管理制度的制定。 0.5 84 安全管理 制度 制定和發(fā)布（G2） b）應(yīng)組織相關(guān)人員對制定的安全管理 制度進行論證和審定。 0.5

17、 85 安全管理 制度 制定和發(fā)布（G2） c）應(yīng)將安全管理制度以某種方式發(fā)布 到相關(guān)人員手中。 0.5 86 安全管理 制度 評審和修訂（G2） 應(yīng)定期對安全管理制度進行評審，對 存在不足或需要改進的安全管理制度 進行修訂。 0.5 87 安全管理 機構(gòu) 崗位設(shè)置（G2） a）應(yīng)設(shè)立安全主管、安全管理各個方 面的負責人崗位，并定義各負責人的 職責。 1 88 安全管理 機構(gòu) 崗位設(shè)置（G2） b）應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、 安全管理員等崗位，并定義各個工作 崗位的職責。 0.5 89 安全管理 機構(gòu) 人員配備（G2） a）應(yīng)配備一定數(shù)量的系統(tǒng)管理員、 網(wǎng) 絡(luò)管理員、安全管理員等。 1 9

18、0 安全管理 機構(gòu) 人員配備（G2） b）安全管理員不能兼任網(wǎng)絡(luò)管理員、 系統(tǒng)管理員、數(shù)據(jù)庫管理員等。 0.5 91 安全管理 機構(gòu) 授權(quán)和審批（G2） a）應(yīng)根據(jù)各個部門和崗位的職責明確 授權(quán)審批部門級批準人，對系統(tǒng)投入 運行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪 冋等關(guān)鍵活動進行審批。 0.5 92 安全管理 機構(gòu) 授權(quán)和審批（G2） b）應(yīng)針對關(guān)鍵活動建立審批流程，并 由批準人簽字確認。 0.2 93 安全管理 機構(gòu) 溝通和合作（G2） a）應(yīng)加強各類管理人員之間、 組織內(nèi) 部機構(gòu)之間以及信息安全職能部門內(nèi) 部的合作與溝通 0.5 94 安全管理 機構(gòu) 溝通和合作（G2） b）應(yīng)加強與兄弟單位、公

19、安機關(guān)、電 信公司的合作與溝通。 0.2 95 安全管理 機構(gòu) 審核和檢查（G2） 安全管理員應(yīng)負責定期進行安全檢 查，檢查內(nèi)谷包括系統(tǒng)日常運行、系 統(tǒng)漏洞和數(shù)據(jù)備份等情況。 1 96 人員安全 管理 人員錄用（G2） a ） 應(yīng)指定或授權(quán)專門的部門或人員負 責人員錄用。 0.5 97 人員安全 管理 人員錄用（G2） b）應(yīng)規(guī)范人員錄用過程，對被錄用人 的身份、背景和專業(yè)資格等進行審查， 對其所具有的技術(shù)技能進行考核。 1 98 人員安全 管理 人員錄用（G2） c）應(yīng)與從事關(guān)鍵崗位的人員簽署保密 協(xié)議。 1 99 人員安全 管理 人員離崗（G2） a ）應(yīng)規(guī)范人員離崗過程，及時終止離 崗員

20、工的所有訪問權(quán)限。 0.5 100 人員安全 管理 人員離崗（G2 b）應(yīng)取回各種身份證件、鑰匙、徽章 等以及機構(gòu)提供的軟硬件設(shè)備。 0.5 101 人員安全 管理 人員離崗（G2） c）應(yīng)辦理嚴格的調(diào)離手續(xù)。 0.2 102 人員安全 管理 人員考核（G2） a ） 應(yīng)定期對各個崗位的人員進行安全 技能及安全認知的考核。 0.5 103 人員安全 管理 安全意識教育和 培訓（G2） a）應(yīng)對各類人員進行安全意識教育、 崗位技能培訓和相關(guān)安全技術(shù)培訓。 1 104 人員安全 管理 安全意識教育和 培訓（G2） b）應(yīng)告知人員相關(guān)的安全責任和懲戒 措施，并對違反違背安全策略和規(guī)定 的人員進行懲戒

21、。 0.5 105 人員安全 管理 安全意識教育和 培訓（G2） c）應(yīng)制定安全教育和培訓計劃，對信 息安全基礎(chǔ)知識、崗位操作規(guī)程等進 行培訓。 1 106 人員安全 管理 外部人員訪問管 理（G2） a ） 應(yīng)確保在外部人員訪問受控區(qū)域前 得到授權(quán)或?qū)徟鷾屎笥蓪Ｈ巳?陪同或監(jiān)督，并登記備案。 0.5 107 系統(tǒng)建設(shè) 管理 系統(tǒng)定級（G2） a ） 應(yīng)明確信息系統(tǒng)的邊界和安全保護 等級。 0.5 108 系統(tǒng)建設(shè) 管理 系統(tǒng)定級（G2） b）應(yīng)以書面的形式說明信息系統(tǒng)確定 為某個安全保護等級的方法和理由。 0.2 109 系統(tǒng)建設(shè) 管理 系統(tǒng)定級（G2） c）應(yīng)確保信息系統(tǒng)的定級結(jié)果經(jīng)

22、過相 關(guān)部門的批準。 0.2 110 系統(tǒng)建設(shè) 管理 安全方案設(shè)計 （G2） a ） 應(yīng)根據(jù)系統(tǒng)的安全保護等級選擇基 本安全措施，依據(jù)風險分析結(jié)果補充 和調(diào)整安全措施。 0.5 111 系統(tǒng)建設(shè) 管理 安全方案設(shè)計 （G2 b）應(yīng)以書面形式描述對系統(tǒng)的安全保 護要求、策略和措施等內(nèi)容，形成系 統(tǒng)的安全方案； 1 112 系統(tǒng)建設(shè) 管理 安全方案設(shè)計 （G2 c）應(yīng)對安全方案進行細化， 形成能指 導安全系統(tǒng)建設(shè)和安全產(chǎn)品采購和使 用的詳細設(shè)計方案； 1 113 系統(tǒng)建設(shè) 管理 安全方案設(shè)計 （G2 d）應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專 家對安全設(shè)計方案的合理性和正確性 進行論證和審定，并且經(jīng)過批準

23、后， 才能正式實施。 0.5 114 系統(tǒng)建設(shè) 管理 產(chǎn)品采購和使用 （G2 a ） 應(yīng)確保安全產(chǎn)品采購和使用符合國 豕的有關(guān)規(guī)疋。 0.2 115 系統(tǒng)建設(shè) 管理 產(chǎn)品米購和使用 （G2 b）應(yīng)確保密碼產(chǎn)品米購和使用符合國 家密碼主管部門的要求。 0.2 116 系統(tǒng)建設(shè) 管理 產(chǎn)品采購和使用 （G2 c）應(yīng)指疋或授權(quán)專門的部門負責產(chǎn)品 的采購。 0.2 117 系統(tǒng)建設(shè) 管理 自行軟件開發(fā) （G2 a）應(yīng)確保開發(fā)環(huán)境與實際運行環(huán)境物 理分開； 1 118 系統(tǒng)建設(shè) 管理 自行軟件開發(fā) （G2 b）應(yīng)制定軟件開發(fā)管理制度，明確說 明開發(fā)過程的控制方法和人員行為準 貝聽 0.5 119 系統(tǒng)建

24、設(shè) 管理 自行軟件開發(fā) （G2 c）應(yīng)確保提供軟件設(shè)計的相關(guān)文檔和 使用指南，并由專人負責保管。 0.5 120 系統(tǒng)建設(shè) 管理 外包軟件開發(fā) （G2 a）應(yīng)根據(jù)開發(fā)要求檢測軟件質(zhì)量。 1 121 系統(tǒng)建設(shè) 管理 外包軟件開發(fā) （G2 b）應(yīng)確保提供軟件設(shè)計的相關(guān)文檔和 使用指南； 0.5 122 系統(tǒng)建設(shè) 管理 外包軟件開發(fā) （G2 c）應(yīng)在軟件安裝之前檢測軟件包中可 能存在的惡意代碼。 1 123 系統(tǒng)建設(shè) 管理 外包軟件開發(fā) （G2 d）應(yīng)要求開發(fā)單位提供軟件源代碼， 并審查軟件中可能存在的后門。 0.5 124 系統(tǒng)建設(shè) 管理 工程實施（G2 a ） 應(yīng)指定或授權(quán)專門的部門或人員負 責

25、工程實施過程的管理。 0.2 125 系統(tǒng)建設(shè) 管理 工程實施（G2 b）應(yīng)制定詳細的工程實施方案， 控制 工程實施過程。 0.5 126 系統(tǒng)建設(shè) 管理 測試驗收（G2 a）應(yīng)對系統(tǒng)進行安全性測試驗收。 0.5 127 系統(tǒng)建設(shè) 管理 測試驗收（G2 b）在測試驗收前應(yīng)根據(jù)設(shè)計方案或合 同要求等制訂測試驗收方案，測試驗 收過程中應(yīng)詳細記錄測試驗收結(jié)果， 形成測試驗收報告。 0.2 128 系統(tǒng)建設(shè) 管理 測試驗收（G2 c）應(yīng)組織相關(guān)部門和相關(guān)人員對系統(tǒng) 測試驗收報告進行審定，并簽字確認。 0.2 129 系統(tǒng)建設(shè) 管理 系統(tǒng)交付（G2 a ）應(yīng)制定系統(tǒng)交付清單，并根據(jù)交付 清單對所交接的設(shè)

26、備、軟件和文檔等 進行清點。 0.2 130 系統(tǒng)建設(shè) 管理 系統(tǒng)交付（G2 b）應(yīng)對負責系統(tǒng)運行維護的技術(shù)人員 進行相應(yīng)的技能培訓。 0.5 131 系統(tǒng)建設(shè) 管理 系統(tǒng)交付（G2 c）應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔 和指導用戶進行系統(tǒng)運行維護的文 檔。 0.2 132 系統(tǒng)建設(shè) 管理 安全服務(wù)商選擇 （G2 a ） 應(yīng)確保安全服務(wù)商的選擇符合國家 的有關(guān)規(guī)疋。 0.2 133 系統(tǒng)建設(shè) 管理 安全服務(wù)商選擇 （G2 b）應(yīng)與選定的安全服務(wù)商簽訂與安全 相關(guān)的協(xié)議，明確約定相關(guān)責任。 0.5 134 系統(tǒng)建設(shè) 管理 安全服務(wù)商選擇 （G2 c）應(yīng)確保選定的安全服務(wù)商提供技術(shù) 支持和服務(wù)承諾，

27、必要的與其簽訂服 務(wù)合同。 0.2 135 系統(tǒng)運維 管理 環(huán)境管理（G2） a ） 應(yīng)指定專門的部門或人員定期對機 房供配電、空調(diào)、溫濕度控制等設(shè)施 進行維護管理。 0.5 136 系統(tǒng)運維 管理 環(huán)境管理（G2） b）應(yīng)配備機房安全管理人員，對機房 的出入、服務(wù)器的開機或關(guān)機等工作 進行管理。 0.5 137 系統(tǒng)運維 管理 環(huán)境管理（G2） c）應(yīng)建立機房安全管理制度，對有關(guān) 機房物理訪冋，物品帶進、帶出機房 和機房環(huán)境安全等方面的管理作出規(guī) 定。 0.2 138 系統(tǒng)運維 管理 環(huán)境管理（G2） d）應(yīng)加強對辦公環(huán)境的保密性管理， 包括工作人員調(diào)離辦公室應(yīng)立即交還 該辦公室鑰匙和不在辦

28、公區(qū)接待來訪 人員等。 0.2 139 系統(tǒng)運維 管理 資產(chǎn)管理（G2） a）應(yīng)編制與信息系統(tǒng)相關(guān)的資產(chǎn)清 單，包括資產(chǎn)責任部門、重要程度和 所處位置等內(nèi)谷。 0.2 140 系統(tǒng)運維 管理 資產(chǎn)管理（G2） b）應(yīng)建立資產(chǎn)安全管理制度，規(guī)定信 息系統(tǒng)資產(chǎn)管理的責任人員或責任部 門,并規(guī)范資產(chǎn)管理和使用的行為。 0.5 141 系統(tǒng)運維 管理 介質(zhì)管理（G2） a）應(yīng)確保介質(zhì)存放在安全的環(huán)境中， 對各類介質(zhì)進行控制和保護，并實行 存儲環(huán)境專人管理。 0.2 142 系統(tǒng)運維 管理 介質(zhì)管理（G2） b）應(yīng)對介質(zhì)歸檔和查詢等過程進行記 錄，并根據(jù)存檔介質(zhì)的目錄清單定期 盤點。 0.2 143 系

29、統(tǒng)運維 管理 介質(zhì)管理（G2） c）應(yīng)對需要送出維修或銷毀的介質(zhì)， 首先清除介質(zhì)中的敏感數(shù)據(jù)，防止信 息的非法泄露。 0.5 144 系統(tǒng)運維 管理 介質(zhì)管理（G2） d）應(yīng)根據(jù)所承載數(shù)據(jù)和軟件的重要程 度對介質(zhì)進行分類和標識管理。 0.5 145 系統(tǒng)運維 管理 設(shè)備管理（G2） a）應(yīng)對信息系統(tǒng)相關(guān)的各種設(shè)備（包 括備份和冗余設(shè)備）、線路等指定專 門的部門或人員定期進行維護管理。 0.2 146 系統(tǒng)運維 管理 設(shè)備管理（G2） b）應(yīng)建立基于申報、審批和專人負責 的設(shè)備安全管理制度，對信息系統(tǒng)的 各種軟硬件設(shè)備的選型、采購、發(fā)放 和領(lǐng)用等過程進行規(guī)范化管理。 0.5 147 系統(tǒng)運維 管

30、理 設(shè)備管理（G2） c） 應(yīng)對終端計算機、 工作站、 便攜機、 系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進行 規(guī)范化管理，按操作規(guī)程實現(xiàn)關(guān)鍵設(shè) 備（包括備份和冗余設(shè)備）的啟動 / 停止、加電/斷電等操作。 0.2 148 系統(tǒng)運維 管理 設(shè)備管理（G2） d）應(yīng)確保信息處理設(shè)備必須經(jīng)過審批 才能帶離機房或辦公地點。 0.2 149 系統(tǒng)運維 管理 網(wǎng)絡(luò)安全管理 （G2 a）應(yīng)指疋人貝對網(wǎng)絡(luò)進行管理，負責 運行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護 和報警信息分析和處理工作。 1 150 系統(tǒng)運維 管理 網(wǎng)絡(luò)安全管理 （G2 b）應(yīng)建立網(wǎng)絡(luò)安全管理制度， 對網(wǎng)絡(luò) 安全配置、日志保存時間、安全策略、 升級與打補丁、口

31、令更新周期等方面 作出規(guī)定。 0.5 151 系統(tǒng)運維 管理 網(wǎng)絡(luò)安全管理 （G2 c）應(yīng)根據(jù)廠家提供的軟件升級版本對 網(wǎng)絡(luò)設(shè)備進行更新，并在更新前對現(xiàn) 有的重要文件進行備份。 0.5 152 系統(tǒng)運維 管理 網(wǎng)絡(luò)安全管理 （G2 d）應(yīng)定期對網(wǎng)絡(luò)系統(tǒng)進行漏洞掃描， 對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進行及時 的修補。 1 153 系統(tǒng)運維 管理 網(wǎng)絡(luò)安全管理 （G2 e）應(yīng)對網(wǎng)絡(luò)設(shè)備的配置文件進行定期 備份。 0.5 154 系統(tǒng)運維 管理 網(wǎng)絡(luò)安全管理 （G2 f）應(yīng)保證所有與外部系統(tǒng)的連接均得 到授權(quán)和批準。 0.5 155 系統(tǒng)運維 管理 系統(tǒng)安全管理 （G2 a ） 應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分

32、析確 定系統(tǒng)的訪問控制策略。 1 156 系統(tǒng)運維 管理 系統(tǒng)安全管理 （G2 b）應(yīng)定期進行漏洞掃描，對發(fā)現(xiàn)的系 統(tǒng)安全漏洞及時進行修補。 1 157 系統(tǒng)運維 管理 系統(tǒng)安全管理 （G2 c）應(yīng)安裝系統(tǒng)的最新補丁程序，在安 裝系統(tǒng)補丁前，應(yīng)首先在測試環(huán)境中 測試通過，并對重要文件進行備份后， 方可實施系統(tǒng)補丁程序的安裝。 1 158 系統(tǒng)運維 管理 系統(tǒng)安全管理 （G2 d）應(yīng)建立系統(tǒng)安全管理制度，對系統(tǒng) 安全策略、安全配置、日志管理和日 常操作流程等方面作出具體規(guī)定。 0.5 159 系統(tǒng)運維 管理 系統(tǒng)安全管理 （G2 e）應(yīng)依據(jù)操作手冊對系統(tǒng)進行維護， 詳細記錄操作日志，包括重要的日常 操作、運行維護記錄、參數(shù)的設(shè)置和 修改等內(nèi)容，嚴禁進行未經(jīng)授權(quán)的操 作。 0.5 160 系統(tǒng)運維 管理 系統(tǒng)安全管理 （G2 f）應(yīng)定期對運行日志和審計數(shù)據(jù)進行 分析，以便及時發(fā)現(xiàn)異常行為。 0.5 161 系統(tǒng)運維 管理 惡意代碼防范管 理（G2） a）應(yīng)提高所有用戶的防病毒意識， 告 知及時升級防病毒軟件，在讀取移動 存儲設(shè)備上的數(shù)據(jù)