5SGISLOP-SA910系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書三級(jí)

控制編號(hào)：SGISL/OP-SA92-10信息安全等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書系統(tǒng)建設(shè)管理（三級(jí)）版號(hào)： 第2版修改次數(shù)： 第0次生效日期： 2010年01月06日中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室

中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第1頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日修改頁(yè)修訂號(hào)控制編號(hào)版號(hào)/章節(jié)號(hào)修改人修訂原因批準(zhǔn)人批準(zhǔn)日期備注1SGISL/OP-SA92-10李煥按公安部要求修訂詹雄2010.3.8

中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第2頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日一、系統(tǒng)定級(jí)1.信息系統(tǒng)邊界和安全保護(hù)等級(jí)測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-01-A對(duì)應(yīng)要求應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)測(cè)評(píng)項(xiàng)名稱信息系統(tǒng)邊界和安全保護(hù)等級(jí)測(cè)評(píng)分項(xiàng)1：檢查系統(tǒng)邊界和安全保護(hù)等級(jí)。操作步驟訪談管理員，詢問是否明確了信息系統(tǒng)的邊界范圍，是否明確系統(tǒng)安全保護(hù)等級(jí)。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果信息系統(tǒng)邊界范圍明確，確定了系統(tǒng)安全保護(hù)等級(jí)，判定結(jié)果為符合；如果信息系統(tǒng)邊界范圍不明確，或未確定系統(tǒng)安全保護(hù)等級(jí)，判定結(jié)果為不符合。備注2.信息系統(tǒng)定級(jí)方法和理由測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-01-B對(duì)應(yīng)要求應(yīng)以書面的形式說明確定信息系統(tǒng)為某個(gè)安全保護(hù)等級(jí)的方法和理由測(cè)評(píng)項(xiàng)名稱信息系統(tǒng)定級(jí)方法和理由

中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第3頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日測(cè)評(píng)分項(xiàng)1:檢查系統(tǒng)定級(jí)情況。操作步驟訪談管理員，詢問系統(tǒng)定級(jí)是否參照定級(jí)指南的指導(dǎo)，是否對(duì)其進(jìn)行明確描述，說明確定系統(tǒng)為某個(gè)安全保護(hù)等級(jí)的方法和理由，是否有書面說明。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果系統(tǒng)定級(jí)參照定級(jí)指南的指導(dǎo)，有書面相關(guān)的說明，說明確定系統(tǒng)為某個(gè)安全保護(hù)等級(jí)的方法和理由，判定結(jié)果為符合；如果系統(tǒng)定級(jí)未參照定級(jí)指南的指導(dǎo)，或無(wú)書面相關(guān)的說明，未能說明確定系統(tǒng)為某個(gè)安全保護(hù)等級(jí)的方法和理由，判定結(jié)果為不符合。備注3.定級(jí)結(jié)果論證和審定測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-01-C對(duì)應(yīng)要求應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)信息系統(tǒng)定級(jí)結(jié)果的合理性和正確性進(jìn)行論證和審定測(cè)評(píng)項(xiàng)名稱定級(jí)結(jié)果論證和審定測(cè)評(píng)分項(xiàng)1：檢查系統(tǒng)定級(jí)的審定情況。操作步驟訪談管理員，詢問系統(tǒng)定級(jí)是否組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)定級(jí)結(jié)果進(jìn)行論證和審定，檢查論證和審定記錄。

中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第4頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)定級(jí)結(jié)果進(jìn)行論證和審定，相關(guān)的論證和審定記錄，判定結(jié)果為符合；如果未組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)定級(jí)結(jié)果進(jìn)行論證和審定，相關(guān)的論證和審定記錄，判定結(jié)果為不符合。備注4.定級(jí)結(jié)果經(jīng)過相關(guān)部門批準(zhǔn)測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-01-D對(duì)應(yīng)要求應(yīng)確保信息系統(tǒng)的定級(jí)結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)測(cè)評(píng)項(xiàng)名稱定級(jí)結(jié)果經(jīng)過相關(guān)部門批準(zhǔn)測(cè)評(píng)分項(xiàng)1：檢查系統(tǒng)定級(jí)的審定情況。操作步驟訪談管理員，詢問系統(tǒng)定級(jí)記錄是否經(jīng)過相關(guān)部門（如上級(jí)主管部門）的批準(zhǔn)。查看相關(guān)的文件。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果系統(tǒng)定級(jí)結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)蓋章，判定結(jié)果為符合；如果系統(tǒng)定級(jí)結(jié)果未經(jīng)過相關(guān)部門的批準(zhǔn)蓋章，判定結(jié)果為不符合。中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第5頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日備注二、安全方案設(shè)計(jì).選擇基本安全措施及補(bǔ)充調(diào)整測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-02-A對(duì)應(yīng)要求應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇基本安全措施，依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施測(cè)評(píng)項(xiàng)名稱選擇基本安全措施及補(bǔ)充調(diào)整測(cè)評(píng)分項(xiàng)1：檢查安全方案設(shè)計(jì)。操作步驟訪談管理員，詢問是否根據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇基本安全措施，是否依據(jù)風(fēng)險(xiǎn)分析的結(jié)果來(lái)補(bǔ)充和調(diào)整安全措施。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果根據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇基本安全措施，依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施，判定結(jié)果為符合；如果未根據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇基本安全措施，或未依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施，判定結(jié)果為不符合。備注.安全建設(shè)總體規(guī)劃

中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第6頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-02-B對(duì)應(yīng)要求應(yīng)指定和授權(quán)專門的部門對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃測(cè)評(píng)項(xiàng)名稱安全建設(shè)總體規(guī)劃測(cè)評(píng)分項(xiàng)1：檢查安全方案設(shè)計(jì)。操作步驟訪談管理員，詢問是否指定和授權(quán)專門的部門對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃，查看工作計(jì)劃。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果有專門的部門對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，有安全建設(shè)工作計(jì)劃，判定結(jié)果為符合；如果無(wú)專門的部門對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，無(wú)安全建設(shè)工作計(jì)劃，判定結(jié)果為不符合。備注3.細(xì)化系統(tǒng)安全方案測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-02-C對(duì)應(yīng)要求應(yīng)根據(jù)信息系統(tǒng)的等級(jí)劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案，并形成配套文件

中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第7頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日測(cè)評(píng)項(xiàng)名稱細(xì)化系統(tǒng)安全方案測(cè)評(píng)分項(xiàng)1：檢查安全方案設(shè)計(jì)。操作步驟訪談管理員，詢問是否根據(jù)信息系統(tǒng)的等級(jí)劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案，并形成配套文件，查看相關(guān)的詳細(xì)設(shè)計(jì)方案。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果有總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案，判定結(jié)果為符合；如果無(wú)總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案，判定結(jié)果為不符合。備注4.安全技術(shù)專家論證和審定測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-02-D對(duì)應(yīng)要求應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)總體安全的策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過批準(zhǔn)后，才能正式實(shí)施測(cè)評(píng)項(xiàng)名稱安全技術(shù)專家論證和審定測(cè)評(píng)分項(xiàng)1：檢查安全方案設(shè)計(jì)。

中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第8頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日操作步驟訪談管理員，詢問安全建設(shè)方案是否經(jīng)過專家的詳細(xì)周全的論證和討論，批準(zhǔn)后才開始實(shí)施。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果安全建設(shè)方案經(jīng)過專家的詳細(xì)周全的論證和討論，判定結(jié)果為符合；如果安全建設(shè)方案未經(jīng)過專家的詳細(xì)周全的論證和討論，判定結(jié)果為不符合。備注5.安全方案調(diào)整和修訂測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-02-E對(duì)應(yīng)要求應(yīng)根據(jù)等級(jí)測(cè)評(píng)、安全評(píng)估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件測(cè)評(píng)項(xiàng)名稱安全方案調(diào)整和修訂測(cè)評(píng)分項(xiàng)1：檢查安全方案的調(diào)整和修訂。操作步驟訪談管理員，詢問是否根據(jù)等級(jí)測(cè)評(píng)、安全評(píng)估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件；詢問調(diào)整和修訂的周期，檢查相應(yīng)的調(diào)整和修訂記錄。

中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第9頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果定期根據(jù)等級(jí)測(cè)評(píng)、安全評(píng)估的結(jié)果調(diào)整安全方案，判定結(jié)果為符合；如果未定期根據(jù)等級(jí)測(cè)評(píng)、安全評(píng)估的結(jié)果調(diào)整安全方案，判定結(jié)果為不符合。備注三、產(chǎn)品采購(gòu)和使用1.安全產(chǎn)品采購(gòu)和使用符合國(guó)家有關(guān)規(guī)定測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-03-A對(duì)應(yīng)要求應(yīng)確保安全產(chǎn)品采購(gòu)和使用符合國(guó)家有關(guān)規(guī)定測(cè)評(píng)項(xiàng)名稱安全產(chǎn)品采購(gòu)和使用符合國(guó)家有關(guān)規(guī)定測(cè)評(píng)分項(xiàng)1：檢查安全產(chǎn)品采購(gòu)和使用是否符合國(guó)家有關(guān)安全產(chǎn)品的規(guī)定。操作步驟訪談管理員，詢問系統(tǒng)采購(gòu)和使用的安全產(chǎn)品是否符合國(guó)家有關(guān)規(guī)定，得到國(guó)家相關(guān)部門的認(rèn)證。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果系統(tǒng)采購(gòu)和使用的安全產(chǎn)品符合國(guó)家有關(guān)規(guī)定，得到國(guó)家相關(guān)部門的認(rèn)證，判定結(jié)果為符合；

中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第10頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日如果系統(tǒng)采購(gòu)和使用的安全產(chǎn)品不符合國(guó)家有關(guān)規(guī)定，或未得到國(guó)家相關(guān)部門的認(rèn)證，判定結(jié)果為不符合。備注2.保密碼產(chǎn)品采購(gòu)和使用符合國(guó)家密碼主管部門要求測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-03-B對(duì)應(yīng)要求應(yīng)確保密碼產(chǎn)品采購(gòu)和使用符合國(guó)家密碼主管部門的要求測(cè)評(píng)項(xiàng)名稱保密碼產(chǎn)品采購(gòu)和使用符合國(guó)家密碼主管部門要求測(cè)評(píng)分項(xiàng)1：檢查密碼產(chǎn)品采購(gòu)和使用是否符合國(guó)家密碼主管部門的規(guī)定。操作步驟訪談管理員，詢問系統(tǒng)采購(gòu)和使用的密碼產(chǎn)品是否符合國(guó)家密碼主管部門的規(guī)定，得到國(guó)家相關(guān)部門的認(rèn)證。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果系統(tǒng)采購(gòu)和使用的密碼產(chǎn)品符合國(guó)家有關(guān)規(guī)定，得到國(guó)家相關(guān)部門的認(rèn)證，判定結(jié)果為符合；如果系統(tǒng)采購(gòu)和使用的密碼產(chǎn)品不符合國(guó)家有關(guān)規(guī)定，或未得到國(guó)家相關(guān)部門的認(rèn)證，判定結(jié)果為不符合。備注3.專門部門負(fù)責(zé)產(chǎn)品采購(gòu)

中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第11頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-03-C對(duì)應(yīng)要求應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購(gòu)測(cè)評(píng)項(xiàng)名稱專門部門負(fù)責(zé)產(chǎn)品采購(gòu)測(cè)評(píng)分項(xiàng)1：檢查產(chǎn)品的采購(gòu)。操作步驟訪談管理員，詢問是否有專門的部門負(fù)責(zé)產(chǎn)品的采購(gòu)。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果有專門的部門負(fù)責(zé)產(chǎn)品的采購(gòu)，判定結(jié)果為符合；如果無(wú)專門的部門負(fù)責(zé)產(chǎn)品的采購(gòu)，判定結(jié)果為不符合。備注4.預(yù)先產(chǎn)品選型測(cè)試測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-03-D對(duì)應(yīng)要求應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單測(cè)評(píng)項(xiàng)名稱預(yù)先產(chǎn)品選型測(cè)試測(cè)評(píng)分項(xiàng)1：檢查采購(gòu)產(chǎn)品的選型。操作步驟訪談管理員，詢問制定采購(gòu)過程的控制策略，米貝勾前對(duì)產(chǎn)品做選型測(cè)試，對(duì)重要部位的產(chǎn)品是否委托專業(yè)的測(cè)評(píng)單位進(jìn)行專項(xiàng)測(cè)試，確定產(chǎn)品的候選范圍，通過招投標(biāo)方式確定采購(gòu)產(chǎn)品，是否定期審定和更新候選產(chǎn)

中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第12頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日品名單。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果有采購(gòu)控制策略，采購(gòu)前對(duì)產(chǎn)品做選型測(cè)試，確定產(chǎn)品的候選范圍，通過招投標(biāo)方式確定要采購(gòu)的產(chǎn)品，定期審定和更新候選產(chǎn)品名單，判定結(jié)果為符合；如果無(wú)采購(gòu)控制策略，采購(gòu)前未對(duì)產(chǎn)品做選型測(cè)試，確定產(chǎn)品的候選范圍，或未通過招投標(biāo)方式確定要采購(gòu)的產(chǎn)品，定期審定和更新候選產(chǎn)品名單，判定結(jié)果為不符合。備注四、自行軟件開發(fā)1.開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開，測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-04-A對(duì)應(yīng)要求應(yīng)確保開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開，測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制測(cè)評(píng)項(xiàng)名稱開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開，測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制測(cè)評(píng)分項(xiàng)1：檢查開發(fā)環(huán)境。操作步驟需訪談管理員是否自主開發(fā)軟件，查看開發(fā)環(huán)境，開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理上是否分開；查看軟件開發(fā)是否有控制措施，對(duì)測(cè)試數(shù)據(jù)和測(cè)試結(jié)果進(jìn)行管理。

中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第13頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理上分開，制定軟件開發(fā)的控制措施，能對(duì)測(cè)試數(shù)據(jù)和測(cè)試結(jié)果進(jìn)行有效控制，判定結(jié)果為符合；如果開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理上未分開，未制定軟件開發(fā)的控制措施，對(duì)測(cè)試數(shù)據(jù)和測(cè)試結(jié)果進(jìn)行有效控制，判定結(jié)果為不符合。備注2.軟件開發(fā)管理制度測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-04-B對(duì)應(yīng)要求應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則測(cè)評(píng)項(xiàng)名稱軟件開發(fā)管理制度測(cè)評(píng)分項(xiàng)1：檢查軟件開發(fā)管理制度。操作步驟訪談管理員，檢查軟件開發(fā)管理制度，查看文件是否明確軟件設(shè)計(jì)、開發(fā)、測(cè)試、驗(yàn)收過程的控制方法和人員行為準(zhǔn)則，是否明確哪些開發(fā)活動(dòng)應(yīng)經(jīng)過授權(quán)、審批，是否明確軟件開發(fā)相關(guān)文檔的管理等。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果有軟件開發(fā)管理制度，對(duì)軟件的開發(fā)過程和人員進(jìn)行管理，判定結(jié)果為符合；

中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第14頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日如果無(wú)軟件開發(fā)管理制度，對(duì)軟件的開發(fā)過程和人員進(jìn)行管理，判定結(jié)果為不符合。備注3.代碼編寫安全規(guī)范測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-04-C對(duì)應(yīng)要求應(yīng)制定代碼編寫安全規(guī)范，要求開發(fā)人員參照規(guī)范編寫代碼測(cè)評(píng)項(xiàng)名稱代碼編寫安全規(guī)范測(cè)評(píng)分項(xiàng)1：檢查代碼編寫規(guī)范。操作步驟訪談管理員，檢查是否有代碼編寫安全規(guī)范，開發(fā)人員參照規(guī)范編寫代碼。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果有代碼編寫安全規(guī)范，開發(fā)軟件參照規(guī)范編寫，判定結(jié)果為符合；如果無(wú)代碼編寫安全規(guī)范，開發(fā)軟件未參照規(guī)范編寫，判定結(jié)果為不符合。備注4.軟件設(shè)計(jì)相關(guān)文檔和使用指南

中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第15頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-04-D對(duì)應(yīng)要求應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保管測(cè)評(píng)項(xiàng)名稱軟件設(shè)計(jì)相關(guān)文檔和使用指南測(cè)評(píng)分項(xiàng)1：檢查軟件設(shè)計(jì)相關(guān)文檔的保管。操作步驟訪談管理員，詢問軟件設(shè)計(jì)相關(guān)文檔是否有專人負(fù)責(zé)保管。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果有專人負(fù)責(zé)保管軟件設(shè)計(jì)相關(guān)文檔，判定結(jié)果為符合；如果無(wú)專人負(fù)責(zé)保管軟件設(shè)計(jì)相關(guān)文檔，判定結(jié)果為不符合。備注5.程序資源庫(kù)修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-04-E對(duì)應(yīng)要求應(yīng)確保對(duì)程序資源庫(kù)的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)測(cè)評(píng)項(xiàng)名稱程序資源庫(kù)修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)測(cè)評(píng)分項(xiàng)1：檢查程序資源庫(kù)的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)。操作步驟訪談管理員，查看是否制定軟件開發(fā)管理制度，對(duì)程序資源庫(kù)的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)等方面進(jìn)行要求。適用版本任何版本

中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第16頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日實(shí)施風(fēng)險(xiǎn) 無(wú)符合性判定如果有軟件開發(fā)管理制度，對(duì)程序資源庫(kù)的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)等方面進(jìn)行要求，判定結(jié)果為符合；如果無(wú)軟件開發(fā)管理制度，對(duì)程序資源庫(kù)的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)等方面進(jìn)行要求，判定結(jié)果為不符合。備注五、外包軟件開發(fā)1.軟件質(zhì)量測(cè)試測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-05-A對(duì)應(yīng)要求應(yīng)根據(jù)開發(fā)要求測(cè)試軟件質(zhì)量測(cè)評(píng)項(xiàng)名稱軟件質(zhì)量測(cè)試測(cè)評(píng)分項(xiàng)1：檢查測(cè)試軟件質(zhì)量的要求。操作步驟訪談管理員，詢問是否根據(jù)要求測(cè)試軟件的質(zhì)量。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果軟件交付使用前，根據(jù)相關(guān)的要求測(cè)試軟件的質(zhì)量，判定結(jié)果為符合；如果軟件交付使用前，未根據(jù)相關(guān)的要求測(cè)試軟件的質(zhì)量，判定結(jié)果為不符合。中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第17頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日備注2.檢測(cè)軟件包惡意代碼測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-05-B對(duì)應(yīng)要求應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼測(cè)評(píng)項(xiàng)名稱檢測(cè)軟件包惡意代碼測(cè)評(píng)分項(xiàng)1：惡意代碼檢查。操作步驟訪談管理員，在軟件安裝使用前是否有惡意代碼檢測(cè)的規(guī)定，是否進(jìn)行了惡意代碼測(cè)試。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果在軟件安裝使用前有進(jìn)行惡意代碼檢測(cè)的規(guī)定，并進(jìn)行了惡意代碼測(cè)試，判定結(jié)果為符合；如果在軟件安裝使用前無(wú)進(jìn)行惡意代碼檢測(cè)的規(guī)定，未進(jìn)行了惡意代碼測(cè)試，判定結(jié)果為不符合。備注

中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第18頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日3.軟件設(shè)計(jì)相關(guān)文檔和使用指南測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-05-C對(duì)應(yīng)要求應(yīng)要求開發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南測(cè)評(píng)項(xiàng)名稱軟件設(shè)計(jì)相關(guān)文檔和使用指南測(cè)評(píng)分項(xiàng)1：檢查設(shè)計(jì)文檔使用指南操作步驟訪談管理員，是否要求開發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔、使用指南，檢查這些文檔。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果有軟件設(shè)計(jì)的相關(guān)文檔和使用指南，判定結(jié)果為符合；如果無(wú)軟件設(shè)計(jì)的相關(guān)文檔和使用指南，判定結(jié)果為不符合。備注4.軟件源代碼檢查測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-05-D對(duì)應(yīng)要求應(yīng)要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門測(cè)評(píng)項(xiàng)名稱軟件源代碼檢查測(cè)評(píng)分項(xiàng)1：軟件源代碼檢查。操作步驟訪談管理員，是否要求開發(fā)單位提供軟件源代碼，是否審查軟件中可能

中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第19頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日存在的后門。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果有開發(fā)單位提供軟件源代碼，在軟件安裝前對(duì)軟件中可能存在的后門進(jìn)行審查，判定結(jié)果為符合；如果無(wú)開發(fā)單位提供軟件源代碼，在軟件安裝前對(duì)軟件中可能存在的后門未進(jìn)行審查，判定結(jié)果為不符合。備注六、工程實(shí)施1.工程實(shí)施管理測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-06-A對(duì)應(yīng)要求應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實(shí)施過程的管理測(cè)評(píng)項(xiàng)名稱工程實(shí)施管理測(cè)評(píng)分項(xiàng)1：檢查工程實(shí)施管理。操作步驟訪談管理員，詢問是否指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實(shí)施過程的管理。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)

中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第20頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日符合性判定如果應(yīng)用專門的部門或人員負(fù)責(zé)工程實(shí)施和管理，判定結(jié)果為符合；如果未應(yīng)用專門的部門或人員負(fù)責(zé)工程實(shí)施和管理，判定結(jié)果為不符合。備注2.工程實(shí)施方案測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-06-B對(duì)應(yīng)要求應(yīng)制定詳細(xì)的工程實(shí)施方案控制實(shí)施過程，并要求工程實(shí)施單位能正式地執(zhí)行安全工程過程測(cè)評(píng)項(xiàng)名稱工程實(shí)施方案測(cè)評(píng)分項(xiàng)1：檢查工程實(shí)施方案。操作步驟訪談管理員，詢問是否制定詳細(xì)的工程實(shí)施方案，控制工程實(shí)施過程，是否要求工程實(shí)施單位能正式地執(zhí)行安全工程過程，查看工程實(shí)施方案。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果有工程實(shí)施方案，工程實(shí)施單位正式地執(zhí)行安全工程過程，判定結(jié)果為符合；如果無(wú)工程實(shí)施方案，工程實(shí)施單位未正式地執(zhí)行安全工程過程，判定結(jié)果為不符合。中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第21頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日備注3.工程實(shí)施管理制度測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-06-C對(duì)應(yīng)要求應(yīng)制定工程實(shí)施方面的管理制度明確說明實(shí)施過程的控制方法和人員行為準(zhǔn)則測(cè)評(píng)項(xiàng)名稱工程實(shí)施管理制度測(cè)評(píng)分項(xiàng)1：檢查工程實(shí)施管理制度。操作步驟訪談管理員，詢問是否制定了工程實(shí)施方面的管理制度，對(duì)工程實(shí)施的進(jìn)度、質(zhì)量、過程等方面進(jìn)行規(guī)范，是否將控制方法和工程人員行為規(guī)范制度化，否以書面形式（如工程安全建設(shè)協(xié)議）約束工程實(shí)施方的工程實(shí)施行為。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果有工程實(shí)施方面的管理制度，工程實(shí)施過程、控制方法、人員行為進(jìn)行規(guī)范，判定結(jié)果為符合；如果無(wú)工程實(shí)施方面的管理制度，工程實(shí)施過程、控制方法、人員行為進(jìn)行規(guī)范，判定結(jié)果為不符合。備注

中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第22頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日七、測(cè)試驗(yàn)收1.第三方安全性測(cè)試測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-07-A對(duì)應(yīng)要求應(yīng)委托工程的第二方測(cè)試單位對(duì)系統(tǒng)進(jìn)行安全性測(cè)試，并出具安全性測(cè)試報(bào)告測(cè)評(píng)項(xiàng)名稱第二方安全性測(cè)試測(cè)評(píng)分項(xiàng)1：檢查系統(tǒng)安全性測(cè)試驗(yàn)收。操作步驟訪談管理員，詢問在信息系統(tǒng)正式運(yùn)行前，是否委托第三方測(cè)試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試，并出具安全性測(cè)試報(bào)告。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果在信息系統(tǒng)正式運(yùn)行前，委托第三方測(cè)試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試，有安全性測(cè)試報(bào)告，判定結(jié)果為符合；如果在信息系統(tǒng)正式運(yùn)行前，未委托第三方測(cè)試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試，無(wú)安全性測(cè)試報(bào)告，判定結(jié)果為不符合。備注

中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第23頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日2.安全性測(cè)試驗(yàn)收?qǐng)?bào)告測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-07-B對(duì)應(yīng)要求在測(cè)試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制定測(cè)試驗(yàn)收方案，在測(cè)試驗(yàn)收過程中應(yīng)詳細(xì)記錄測(cè)試驗(yàn)收結(jié)果，并形成測(cè)試驗(yàn)收?qǐng)?bào)告測(cè)評(píng)項(xiàng)名稱安全性測(cè)試驗(yàn)收?qǐng)?bào)告測(cè)評(píng)分項(xiàng)1：檢查系統(tǒng)安全性測(cè)試驗(yàn)收。操作步驟訪談管理員，詢問在信息系統(tǒng)正式運(yùn)行前，是否根據(jù)設(shè)計(jì)方案或合同要求制訂測(cè)試驗(yàn)收方案，對(duì)信息系統(tǒng)進(jìn)行測(cè)試，并詳細(xì)記錄測(cè)試結(jié)構(gòu)，查看形成測(cè)試驗(yàn)收?qǐng)?bào)告。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果在信息系統(tǒng)正式運(yùn)行前，制訂測(cè)試驗(yàn)收方案，對(duì)信息系統(tǒng)進(jìn)行測(cè)試，有測(cè)試驗(yàn)收?qǐng)?bào)告，判定結(jié)果為符合；如果在信息系統(tǒng)正式運(yùn)行前，未制訂測(cè)試驗(yàn)收方案，對(duì)信息系統(tǒng)進(jìn)行測(cè)試，或無(wú)測(cè)試驗(yàn)收?qǐng)?bào)告，判定結(jié)果為不符合。備注

中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第24頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日3.書面規(guī)定測(cè)試驗(yàn)收的控制方法和人員行為準(zhǔn)則測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-07-C對(duì)應(yīng)要求應(yīng)對(duì)系統(tǒng)測(cè)試驗(yàn)收的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定測(cè)評(píng)項(xiàng)名稱書面規(guī)定測(cè)試驗(yàn)收的控制方法和人員行為準(zhǔn)則測(cè)評(píng)分項(xiàng)1：檢查測(cè)試驗(yàn)收的控制方法和人員控制。操作步驟訪談管理員，詢問是否有測(cè)試管理制度，對(duì)系統(tǒng)測(cè)試驗(yàn)收的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果有測(cè)試管理制度，對(duì)系統(tǒng)測(cè)試驗(yàn)收的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定，判定結(jié)果為符合；如果無(wú)測(cè)試管理制度，未對(duì)系統(tǒng)測(cè)試驗(yàn)收的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定，判定結(jié)果為不符合。備注4.系統(tǒng)測(cè)試驗(yàn)收授權(quán)及完成測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-07-D對(duì)應(yīng)要求應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)測(cè)試驗(yàn)收的管理，并按照管理規(guī)定的要求完成系統(tǒng)測(cè)試的驗(yàn)收工作測(cè)評(píng)項(xiàng)名稱系統(tǒng)測(cè)試驗(yàn)收授權(quán)及完成中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第25頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日測(cè)評(píng)分項(xiàng)1：檢查測(cè)試驗(yàn)收管理。操作步驟訪談管理員，詢問是否指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)測(cè)試驗(yàn)收的管理，并按照管理規(guī)定的要求完成系統(tǒng)測(cè)試的驗(yàn)收工作。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果有專門的部門負(fù)責(zé)系統(tǒng)測(cè)試驗(yàn)收工作，判定結(jié)果為符合；如果無(wú)專門的部門負(fù)責(zé)系統(tǒng)測(cè)試驗(yàn)收工作，判定結(jié)果為不符合。備注5.測(cè)試驗(yàn)收?qǐng)?bào)告審定測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-07-E對(duì)應(yīng)要求應(yīng)組織相關(guān)部門和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定，并簽字確認(rèn)測(cè)評(píng)項(xiàng)名稱測(cè)試驗(yàn)收?qǐng)?bào)告審定測(cè)評(píng)分項(xiàng)1：檢查測(cè)試驗(yàn)收?qǐng)?bào)告審定。操作步驟訪談管理員，詢問是否組織相關(guān)部門和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定，查看測(cè)試報(bào)告是否提出存在問題及改進(jìn)意見等。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果組織了相關(guān)部門和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定，判定結(jié)中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第26頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日果為符合；如果未組織相關(guān)部門和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定，判定結(jié)果為不符合。備注八、系統(tǒng)交付1.系統(tǒng)交付清單測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-08-A對(duì)應(yīng)要求應(yīng)制定詳細(xì)的系統(tǒng)繳費(fèi)清單，并根據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)測(cè)評(píng)項(xiàng)名稱系統(tǒng)交付清單測(cè)評(píng)分項(xiàng)1：檢查交付清單。操作步驟訪談管理員，詢問是否有交接手續(xù)，是否制訂系統(tǒng)交付清單，交付清單是否滿足合同的有關(guān)要求，是否根據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果有交接手續(xù)，有系統(tǒng)交付清單，交付清單滿足合同的有關(guān)要求，判定結(jié)果為符合；如果無(wú)交接手續(xù)，有系統(tǒng)交付清單，交付清單不滿足合同的有關(guān)要求，判定結(jié)果為不符合。

中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第27頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日備注2.運(yùn)行維護(hù)技術(shù)人員技能培訓(xùn)測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-08-B對(duì)應(yīng)要求應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)測(cè)評(píng)項(xiàng)名稱運(yùn)行維護(hù)技術(shù)人員技能培訓(xùn)測(cè)評(píng)分項(xiàng)1：檢查培訓(xùn)工作。操作步驟訪談管理員，詢問目前的信息系統(tǒng)是否由內(nèi)部人員獨(dú)立運(yùn)行維護(hù)，如果是，系統(tǒng)建設(shè)實(shí)施方是否對(duì)運(yùn)維技術(shù)人員進(jìn)行過培訓(xùn)，針對(duì)哪些方面進(jìn)行過培訓(xùn)，是否以書面形式承諾對(duì)系統(tǒng)運(yùn)行維護(hù)提供一定的技術(shù)支持服務(wù)，是否按照服務(wù)承諾書的要求進(jìn)行過技術(shù)支持，以何形式進(jìn)行。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果系統(tǒng)由內(nèi)部人員獨(dú)立運(yùn)行維護(hù)，系統(tǒng)建設(shè)實(shí)施方應(yīng)對(duì)運(yùn)維技術(shù)人員進(jìn)行過培訓(xùn)，提供系統(tǒng)運(yùn)維的技術(shù)支持，判定結(jié)果為符合；如果系統(tǒng)由內(nèi)部人員獨(dú)立運(yùn)行維護(hù)，系統(tǒng)建設(shè)實(shí)施方應(yīng)對(duì)運(yùn)維技術(shù)人員未進(jìn)行過培訓(xùn)，未提供系統(tǒng)運(yùn)維的技術(shù)支持，判定結(jié)果為不符合。備注

中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第28頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日3.系統(tǒng)運(yùn)行維護(hù)文檔測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-08-C對(duì)應(yīng)要求應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔測(cè)評(píng)項(xiàng)名稱系統(tǒng)運(yùn)行維護(hù)文檔測(cè)評(píng)分項(xiàng)1：檢查提交的系統(tǒng)運(yùn)行維護(hù)的文檔。操作步驟訪談管理員，詢問系統(tǒng)建設(shè)實(shí)施方是否提供了建設(shè)過程中的使用的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果有系統(tǒng)建設(shè)實(shí)施方是否提供的建設(shè)過程中的使用的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔，判定結(jié)果為符合；如果無(wú)系統(tǒng)建設(shè)實(shí)施方是否提供的建設(shè)過程中的使用的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔，判定結(jié)果為不符合。備注4.書面規(guī)定系統(tǒng)交付的控制方法和人員行為準(zhǔn)則測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-08-D對(duì)應(yīng)要求應(yīng)對(duì)系統(tǒng)交付的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定測(cè)評(píng)項(xiàng)名稱書面規(guī)定系統(tǒng)交付的控制方法和人員行為準(zhǔn)則測(cè)評(píng)分項(xiàng)1：檢查系統(tǒng)交付的控制方法和人員控制。中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第29頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日操作步驟訪談管理員，詢問是否有交付管理制度，對(duì)系統(tǒng)交付的控制方法和人員彳亍為準(zhǔn)則進(jìn)行書面規(guī)定。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果有系統(tǒng)交付管理制度，對(duì)系統(tǒng)交付的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定，判定結(jié)果為符合；如果無(wú)系統(tǒng)交付管理制度，對(duì)系統(tǒng)交付的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定，判定結(jié)果為不符合。備注5.系統(tǒng)交付管理工作授權(quán)及完成測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-08-E對(duì)應(yīng)要求應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)交付的管理工作，并按照管理規(guī)定的要求完成系統(tǒng)交付工作測(cè)評(píng)項(xiàng)名稱系統(tǒng)交付管理工作授權(quán)及完成測(cè)評(píng)分項(xiàng)1：檢查系統(tǒng)交付管理。操作步驟訪談管理員，詢問是否指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)交付的管理，并按照系統(tǒng)交付規(guī)定的要求完成系統(tǒng)交付收工作。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第30頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日符合性判定如果有專門的部門負(fù)責(zé)系統(tǒng)交付工作，判定結(jié)果為符合；如果無(wú)專門的部門負(fù)責(zé)系統(tǒng)交付工作，判定結(jié)果為不符合。備注九、系統(tǒng)備案1.系統(tǒng)定級(jí)材料管理測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-09-A對(duì)應(yīng)要求應(yīng)指定專門的部門或人員負(fù)責(zé)管理系統(tǒng)定級(jí)的相關(guān)材料，并控制這些材料的使用測(cè)評(píng)項(xiàng)名稱系統(tǒng)定級(jí)材料管理測(cè)評(píng)分項(xiàng)1：檢查系統(tǒng)備案管理。操作步驟訪談管理員，詢問是否有專門的人員或部門負(fù)責(zé)管理系統(tǒng)定級(jí)、系統(tǒng)屬性等文檔的管理，對(duì)這些文檔的使用是否有控制措施。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果有專門的人員或部門負(fù)責(zé)管理系統(tǒng)定級(jí)、系統(tǒng)屬性等文檔的管理，對(duì)這些文檔的使用有控制措施，如限制使用范圍、使用登記記錄等，判定結(jié)果為符合；如果無(wú)專門的人員或部門負(fù)責(zé)管理系統(tǒng)定級(jí)、系統(tǒng)屬性等文檔的管理，對(duì)這些文檔的使用有控制措施，如限制使用范圍、使用登記記錄等，判定結(jié)果為不符合。備注

中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第31頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日2.系統(tǒng)主管部門備案測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-09-B對(duì)應(yīng)要求應(yīng)將系統(tǒng)等級(jí)的相關(guān)材料報(bào)系統(tǒng)主管部門備案測(cè)評(píng)項(xiàng)名稱系統(tǒng)主管部門備案測(cè)評(píng)分項(xiàng)1：檢查系統(tǒng)備案管理。操作步驟訪談管理員，詢問是否將系統(tǒng)定級(jí)文檔和系統(tǒng)屬性說明文件等材料報(bào)主管部門備案，查看備案紀(jì)錄。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果將系統(tǒng)定級(jí)文檔和系統(tǒng)屬性說明文件等材料報(bào)主管部門備案，有備案記錄，判定結(jié)果為符合；如果未將系統(tǒng)定級(jí)文檔和系統(tǒng)屬性說明文件等材料報(bào)主管部門備案，或無(wú)備案記錄，判定結(jié)果為不符合。備注3.備案材料報(bào)送相應(yīng)公安機(jī)關(guān)備案測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-09-C對(duì)應(yīng)要求應(yīng)將系統(tǒng)等級(jí)及其他要求的備案材料報(bào)送相應(yīng)公安機(jī)關(guān)備案測(cè)評(píng)項(xiàng)名稱備案材料報(bào)送相應(yīng)公安機(jī)關(guān)備案

中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第32頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日測(cè)評(píng)分項(xiàng)1:檢查系統(tǒng)備案管理。操作步驟訪談管理員，詢問是否將系統(tǒng)定級(jí)文檔和系統(tǒng)屬性說明文件等材料報(bào)公安機(jī)關(guān)備案，查看備案記錄。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果將系統(tǒng)定級(jí)文檔和系統(tǒng)屬性說明文件等材料報(bào)公安機(jī)關(guān)備案，有備案記錄，判定結(jié)果為符合；如果未將系統(tǒng)定級(jí)文檔和系統(tǒng)屬性說明文件等材料報(bào)公安機(jī)關(guān)備案，無(wú)備案記錄，判定結(jié)果為不符合。備注十、等級(jí)測(cè)評(píng)1.每年一次等級(jí)測(cè)評(píng)及整改測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-10-A對(duì)應(yīng)要求在系統(tǒng)運(yùn)行過程中，應(yīng)至少每年對(duì)系統(tǒng)進(jìn)行一次等級(jí)測(cè)評(píng)，發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改測(cè)評(píng)項(xiàng)名稱每年一次等級(jí)測(cè)評(píng)及整改測(cè)評(píng)分項(xiàng)1：檢查等級(jí)測(cè)評(píng)管理。操作步驟訪談管理員，詢問在系統(tǒng)運(yùn)行過程中，多長(zhǎng)時(shí)間對(duì)系統(tǒng)進(jìn)行一次等級(jí)測(cè)評(píng)，對(duì)于發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求是否能及時(shí)整改。

中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第33頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年01月06日適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)符合性判定如果至少每年對(duì)系統(tǒng)進(jìn)行一次等級(jí)測(cè)評(píng)，對(duì)于發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求能夠及時(shí)整改，有整改記錄，判定結(jié)果為符合；如果未達(dá)到至少每年對(duì)系統(tǒng)進(jìn)行一次等級(jí)測(cè)評(píng)，對(duì)于發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求能夠及時(shí)整改，或無(wú)整改記錄，判定結(jié)果為不符合。備注2.系統(tǒng)變更進(jìn)行等級(jí)測(cè)評(píng)測(cè)評(píng)項(xiàng)編號(hào)ADT-JSGL-10-B對(duì)應(yīng)要求應(yīng)在系統(tǒng)發(fā)生變更時(shí)及時(shí)對(duì)系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)，發(fā)現(xiàn)級(jí)別發(fā)生變化的及時(shí)調(diào)整級(jí)別并進(jìn)行安全改造；發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改測(cè)評(píng)項(xiàng)名稱系統(tǒng)變更進(jìn)行等級(jí)測(cè)評(píng)測(cè)評(píng)分項(xiàng)1：檢查等級(jí)測(cè)評(píng)管理。操作步驟訪談管理員，詢問在系統(tǒng)發(fā)生變更時(shí)是否能及時(shí)對(duì)系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)，發(fā)現(xiàn)級(jí)別發(fā)生變化能否及時(shí)調(diào)整級(jí)別并進(jìn)行安全改造；發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求能否及時(shí)整改，查看調(diào)整記錄。適用版本任何版本實(shí)施風(fēng)險(xiǎn)無(wú)中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室控制編號(hào)：SGISL/OP-SA92-10第34頁(yè)共37頁(yè)系統(tǒng)建設(shè)管理等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書（三級(jí)）第2版第0次修訂發(fā)布日期：2010年0