信息系統(tǒng)安全等級測評報告模版

附件：報告編號：XXXXXXXXXXX-XXXXX-XX-XXXX-XX信息系統(tǒng)安全等級測評報告模版（2015年版）系統(tǒng)名稱：委托單位：測評單位：報告時間： 年 月 日說明：一、每個備案信息系統(tǒng)單獨出具測評報告。二、測評報告編號為四組數(shù)據(jù)。各組含義和編碼規(guī)則如下：第一組為信息系統(tǒng)備案表編號，由 2段16位數(shù)字組成，可以從公安機關(guān)頒發(fā)的信息系統(tǒng)備案證明（或備案回執(zhí)）上獲得。第 1段即備案證明編號的前 11位（前6位為受理備案公安機關(guān)代碼，后 5位為受理備案的公安機關(guān)給出的備案單位的順序編號）；第 2段即備案證明編號的后5位（系統(tǒng)編號）。第二組為年份，由 2位數(shù)字組成。例如 09代表2009年。第三組為測評機構(gòu)代碼，由四位數(shù)字組成。前兩位為省級行政區(qū)劃數(shù)字代碼的前兩位或行業(yè)主管部門編號：00為公安部，11為北京，12為天津，13為河北，14為山西，15為內(nèi)蒙古，21為遼寧，22為吉林，23為黑龍江，31為上海，32為江蘇，33為浙江，34為安徽，35為福建，36為江西，37為山東，41為河南，42為湖北，43為湖南，44為廣東，45為廣西，46為海南，50為重慶，51為四川，52為貴州，53為云南，54為西藏，61為陜西，62為甘肅，63為青海，64為寧夏，65為新疆，66為新疆兵團。90為國防科工局，91為電監(jiān)會，92為教育部。后兩位為公安機關(guān)或行業(yè)主管部門推薦的測評機構(gòu)順序號。第四組為本年度信息系統(tǒng)測評次數(shù)，由兩位構(gòu)成。例如 02表示該信息系統(tǒng)本年度測評 2次。信息系統(tǒng)等級測評基本信息表信息系統(tǒng)系統(tǒng)名稱安全保護等級備案證明編號測評結(jié)論被測單位單位名稱單位地址郵政編碼姓名職務(wù)/職稱聯(lián)系人所屬部門辦公電話移動電話電子郵件測評單位單位名稱單位代碼通信地址郵政編碼姓名職務(wù)/職稱聯(lián)系人所屬部門辦公電話移動電話電子郵件編制人(簽名)編制日期審核批準審核人(簽名)審核日期批準人(簽名)批準日期注：單位代碼由受理測評機構(gòu)備案的公安機關(guān)給出。聲明（聲明是測評機構(gòu)對測評報告的有效性前提、測評結(jié)論的適用范圍以及使用方式等有關(guān)事項的陳述。針對特殊情況下的測評工作，測評機構(gòu)可在以下建議內(nèi)容的基礎(chǔ)上增加特殊聲明。）本報告是xxx信息系統(tǒng)的等級測評報告。本報告測評結(jié)論的有效性建立在被測評單位提供相關(guān)證據(jù)的真實性基礎(chǔ)之上。本報告中給出的測評結(jié)論僅對被測信息系統(tǒng)當時的安全狀態(tài)有效。當測評工作完成后，由于信息系統(tǒng)發(fā)生變更而涉及到的系統(tǒng)構(gòu)成組件（或子系統(tǒng)）都應(yīng)重新進行等級測評，本報告不再適用。本報告中給出的測評結(jié)論不能作為對信息系統(tǒng)內(nèi)部署的相關(guān)系統(tǒng)構(gòu)成組件（或產(chǎn)品）的測評結(jié)論。在任何情況下，若需引用本報告中的測評結(jié)果或結(jié)論都應(yīng)保持其原有的意義，不得對相關(guān)內(nèi)容擅自進行增加、修改和偽造或掩蓋事實。單位名稱（加蓋單位公章）年 月等級測評結(jié)論測評結(jié)論與綜合得分系統(tǒng)名稱 保護等級（簡要描述被測信息系統(tǒng)承載的業(yè)務(wù)功能等基本情況。建議不超過400字）系統(tǒng)簡介（簡要描述測評范圍和主要內(nèi)容。建議不超過 200字。）測評過程簡介測評結(jié)論 綜合得分總體評價根據(jù)被測系統(tǒng)測評結(jié)果和測評過程中了解的相關(guān)信息，從用戶角度對被測信息系統(tǒng)的安全保護狀況進行評價。例如可以從安全責任制、管理制度體系、基礎(chǔ)設(shè)施與網(wǎng)絡(luò)環(huán)境、安全控制措施、數(shù)據(jù)保護、系統(tǒng)規(guī)劃與建設(shè)、系統(tǒng)運維管理、應(yīng)急保障等方面分別評價描述信息系統(tǒng)安全保護狀況。綜合上述評價結(jié)果，對信息系統(tǒng)的安全保護狀況給出總括性結(jié)論。例如：信息系統(tǒng)總體安全保護狀況較好。主要安全問題描述被測信息系統(tǒng)存在的主要安全問題及其可能導致的后果。問題處置建議針對系統(tǒng)存在的主要安全問題提出處置建議。目錄等級測評結(jié)論 .......................................................................總體評價 ...........................................................................主要安全問題 .......................................................................問題處置建議 .......................................................................測評項目概述...................................................................測評目的....................................................................測評依據(jù)....................................................................測評過程....................................................................報告分發(fā)范圍................................................................被測信息系統(tǒng)情況...............................................................承載的業(yè)務(wù)情況..............................................................網(wǎng)絡(luò)結(jié)構(gòu)....................................................................系統(tǒng)資產(chǎn)....................................................................機房....................................................................網(wǎng)絡(luò)設(shè)備................................................................安全設(shè)備................................................................服務(wù)器/存儲設(shè)備.........................................................終端....................................................................業(yè)務(wù)應(yīng)用軟件............................................................關(guān)鍵數(shù)據(jù)類別............................................................安全相關(guān)人員............................................................安全管理文檔............................................................安全服務(wù)....................................................................安全環(huán)境威脅評估 ............................................................前次測評情況 ................................................................3 等級測評范圍與方法 .............................................................測評指標 ....................................................................基本指標................................................................不適用指標..............................................................特殊指標................................................................測評對象 ....................................................................測評對象選擇方法 ........................................................測評對象選擇結(jié)果 ........................................................測評方法 ....................................................................單元測評.......................................................................物理安全....................................................................結(jié)果匯總................................................................結(jié)果分析................................................................網(wǎng)絡(luò)安全....................................................................結(jié)果匯總................................................................結(jié)果分析................................................................主機安全....................................................................結(jié)果匯總................................................................結(jié)果分析................................................................應(yīng)用安全....................................................................結(jié)果匯總................................................................結(jié)果分析................................................................數(shù)據(jù)安全及備份恢復..........................................................結(jié)果匯總................................................................結(jié)果分析................................................................安全管理制度 ................................................................結(jié)果匯總................................................................結(jié)果分析................................................................安全管理機構(gòu) ................................................................結(jié)果匯總................................................................結(jié)果分析................................................................人員安全管理 ................................................................結(jié)果匯總................................................................結(jié)果分析................................................................系統(tǒng)建設(shè)管理 ................................................................結(jié)果匯總................................................................結(jié)果分析................................................................系統(tǒng)運維管理 ..............................................................結(jié)果匯總..............................................................結(jié)果分析..............................................................××××（特殊指標） ........................................................結(jié)果匯總..............................................................結(jié)果分析..............................................................單元測評小結(jié) ..............................................................控制點符合情況匯總 ....................................................安全問題匯總..........................................................整體測評.......................................................................安全控制間安全測評..........................................................層面間安全測評..............................................................區(qū)域間安全測評..............................................................驗證測試....................................................................整體測評結(jié)果匯總............................................................6總體安全狀況分析...............................................................系統(tǒng)安全保障評估............................................................安全問題風險評估............................................................等級測評結(jié)論................................................................7問題處置建議...................................................................附錄A等級測評結(jié)果記錄 .............................................................物理安全 ..........................................................................網(wǎng)絡(luò)安全 ..........................................................................主機安全..........................................................................應(yīng)用安全..........................................................................數(shù)據(jù)安全及備份恢復 ................................................................安全管理制度 ......................................................................安全管理機構(gòu) ......................................................................人員安全管理 ......................................................................系統(tǒng)建設(shè)管理 ......................................................................系統(tǒng)運維管理 ......................................................................××××（特殊指標安全層面） ......................................................驗證測試 ..........................................................................測評項目概述1.1測評目的1.2測評依據(jù)列出開展測評活動所依據(jù)的文件、標準和合同等。如果有行業(yè)標準的，行業(yè)標準的指標作為基本指標。報告中的特殊指標屬于用戶自愿增加的要求項。1.3測評過程描述等級測評工作流程，包括測評工作流程圖、各階段完成的關(guān)鍵任務(wù)和工作的時間節(jié)點等內(nèi)容。1.4報告分發(fā)范圍說明等級測評報告正本的份數(shù)與分發(fā)范圍。被測信息系統(tǒng)情況參照備案信息簡要描述信息系統(tǒng)。2.1承載的業(yè)務(wù)情況描述信息系統(tǒng)承載的業(yè)務(wù)、應(yīng)用等情況。2.2網(wǎng)絡(luò)結(jié)構(gòu)給出被測信息系統(tǒng)的拓撲結(jié)構(gòu)示意圖，并基于示意圖說明被測信息系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)基本情況，包括功能/安全區(qū)域劃分、隔離與防護情況、關(guān)鍵網(wǎng)絡(luò)和主機設(shè)備的部署情況和功能簡介、與其他信息系統(tǒng)的互聯(lián)情況和邊界設(shè)備以及本地備份和災備中心的情況。2.3系統(tǒng)資產(chǎn)系統(tǒng)資產(chǎn)包括被測信息系統(tǒng)相關(guān)的所有軟硬件、人員、數(shù)據(jù)及文檔等。2.3.1以列表形式給出被測信息系統(tǒng)的部署機房。2.3.2以列表形式給出被測信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備。/2.3.3以列表形式給出被測信息系統(tǒng)中的安全設(shè)備。/數(shù)量序 設(shè)備名 重要操作系統(tǒng) 品牌 型號 用途 （臺/號 稱 程度套）2.3.4 服務(wù)器/存儲設(shè)備以列表形式給出被測信息系統(tǒng)中的服務(wù)器和存儲設(shè)備，描述服務(wù)器和存儲設(shè)備的項目包括設(shè)備名稱、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)以及承載的業(yè)務(wù)應(yīng)用軟件系統(tǒng)。重操作系統(tǒng)數(shù)量序設(shè)備名業(yè)務(wù)應(yīng)用軟要稱1/數(shù)據(jù)庫管理版本（臺/號件程系統(tǒng)套）度2.3.5 終端以列表形式給出被測信息系統(tǒng)中的終端，包括業(yè)務(wù)管理終端、業(yè)務(wù)終端和運維終端等。序數(shù)量（臺/號設(shè)備名稱操作系統(tǒng)用途套）重要程度1設(shè)備名稱在本報告中應(yīng)唯一，如 xx業(yè)務(wù)主數(shù)據(jù)庫服務(wù)器或 xx-svr-db-1 。序 數(shù)量（臺/設(shè)備名稱 操作系統(tǒng) 用途 重要程度號 套）2.3.6 業(yè)務(wù)應(yīng)用軟件以列表的形式給出被測信息系統(tǒng)中的業(yè)務(wù)應(yīng)用軟件（包括含中間件等應(yīng)用平臺軟件），描述項目包括軟件名稱、主要功能簡介。序軟件名稱 主要功能 開發(fā)廠商 重要程度號2.3.7關(guān)鍵數(shù)據(jù)類別以列表形式描述具有相近業(yè)務(wù)屬性和安全需求的數(shù)據(jù)集合。序數(shù)據(jù)類別1所屬業(yè)務(wù)應(yīng)用安全防護需求2重要程度號1如鑒別數(shù)據(jù)、管理信息和業(yè)務(wù)數(shù)據(jù)等，而業(yè)務(wù)數(shù)據(jù)可從安全防護需求（保密、完整等）的角度進一步細分。2保密性，完整性等。2.3.8以列表形式給出與被測信息系統(tǒng)安全相關(guān)的人員情況。相關(guān)人員包括（但不限于）安全主管、系統(tǒng)建設(shè)負責人、系統(tǒng)運維負責人、網(wǎng)絡(luò)（安全）管理員、主機（安全）管理員、數(shù)據(jù)庫（安全）管理員、應(yīng)用（安全）管理員、機房管理人員、資產(chǎn)管理員、業(yè)務(wù)操作員、安全審計人員等。 /2.3.9以列表形式給出與信息系統(tǒng)安全相關(guān)的文檔，包括管理類文檔、記錄類文檔和其他文檔。2.4安全服務(wù) 11安全服務(wù)包括系統(tǒng)集成、安全集成、安全運維、安全測評、應(yīng)急響應(yīng)、安全監(jiān)測等所有相關(guān)安全服務(wù)。序號 安全服務(wù)名稱1 安全服務(wù)商2.5 安全環(huán)境威脅評估描述被測信息系統(tǒng)的運行環(huán)境中與安全相關(guān)的部分，并以列表形式給出被測信息系統(tǒng)的威脅列表。序號 威脅分(子)類 描述2.6前次測評情況簡要描述前次等級測評發(fā)現(xiàn)的主要問題和測評結(jié)論。等級測評范圍與方法3.1測評指標測評指標包括基本指標和特殊指標兩部分。3.1.1 基本指標依據(jù)信息系統(tǒng)確定的業(yè)務(wù)信息安全保護等級和系統(tǒng)服務(wù)安全保護等級， 選擇《基本要求》中對應(yīng)級別的安全要求作為等級測評的基本指標，以表格形式在表3-1中列出。表3-1基本指標安全層面1 安全控制點2 測評項數(shù)3.1.2 不適用指標鑒于信息系統(tǒng)的復雜性和特殊性，《基本要求》的某些要求項可能不適用于整個信息系統(tǒng)，對于這些不適用項應(yīng)在表后給出不適用原因。表3-2 不適用指標安全層面 安全控制點 不適用項 原因說明3.1.3 特殊指標結(jié)合被測評單位要求、被測信息系統(tǒng)的實際安全需求以及安全最佳實踐經(jīng)驗，以列表形式給出《基本要求》（或行業(yè)標準）未覆蓋或者高于《基本要求》（或行業(yè)標準）的安全要求。安全層面 安全控制點 特殊要求描述 測評項數(shù)安全層面對應(yīng)基本要求中的物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全與備份恢復、安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等 10個安全要求類別。2安全控制點是對安全層面的進一步細化，在《基本要求》目錄級別中對應(yīng)安全層面的下一級目錄。3.2測評對象3.2.1 測評對象選擇方法依據(jù)GB/T28449-2012信息系統(tǒng)安全等級保護測評過程指南的測評對象確定原則和方法，結(jié)合資產(chǎn)重要程度賦值結(jié)果，描述本報告中測評對象的選擇規(guī)則和方法。3.2.2 測評對象選擇結(jié)果1）機房序號 機房名稱 物理位置 重要程度2）網(wǎng)絡(luò)設(shè)備序號 設(shè)備名稱 操作系統(tǒng) 用途 重要程度3）安全設(shè)備序號 設(shè)備名稱 操作系統(tǒng) 用途 重要程度4）服務(wù)器/存儲設(shè)備操作系統(tǒng)序號 設(shè)備名稱1 業(yè)務(wù)應(yīng)用軟件 重要程度數(shù)據(jù)庫管理系統(tǒng)1設(shè)備名稱在本報告中應(yīng)唯一，如 xx業(yè)務(wù)主數(shù)據(jù)庫服務(wù)器或 xx-svr-db-1 。操作系統(tǒng)序號 設(shè)備名稱1 業(yè)務(wù)應(yīng)用軟件 重要程度數(shù)據(jù)庫管理系統(tǒng)5）終端序號 設(shè)備名稱 操作系統(tǒng) 用途 重要程度6）數(shù)據(jù)庫管理系統(tǒng)序數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)庫管理系統(tǒng)所在設(shè)備重要程度號名稱類型名稱7）業(yè)務(wù)應(yīng)用軟件序號 軟件名稱 主要功能 開發(fā)廠商 重要程度8）訪談人員序號 姓名 崗位/職責9）安全管理文檔序號

文檔名稱

主要內(nèi)容3.3測評方法描述等級測評工作中采用的訪談、檢查、測試和風險分析等方法。單元測評單元測評內(nèi)容包括“3.1.1基本指標”以及“特殊指標”中涉及的安全層面，內(nèi)容由問題分析和結(jié)果匯總等兩個部分構(gòu)成，詳細結(jié)果記錄及符合程度參見報告附錄A。4.1物理安全4.1.1 結(jié)果匯總針對不同安全控制點對單個測評對象在物理安全層面的單項測評結(jié)果進行匯總和統(tǒng)計。表4-1物理安全-單元測評結(jié)果匯總表安全控制點序測評符合物理位物理防盜竊防防水防靜溫濕電力電磁號對象情況防置的選訪問和防破雷和防電度控供應(yīng)屏蔽火擇控制壞擊潮制符合1對象1部分符合安全控制點序測評符合物理位物理防盜竊防防水防靜溫濕電力電磁號對象情況防置的選訪問和防破雷和防電度控供應(yīng)屏蔽火擇控制壞擊潮制不符合不適用4.1.2針對物理安全測評結(jié)果中存在的符合項加以分析說明，形成被測系統(tǒng)具備的安全保護措施描述。針對物理安全測評結(jié)果中存在的部分符合項或不符合項加以匯總和分析，形成安全問題描述。4.2網(wǎng)絡(luò)安全4.2.1針對不同安全控制點對單個測評對象在網(wǎng)絡(luò)安全層面的單項測評結(jié)果進行匯總和統(tǒng)計。主機安全4.3.1針對不同安全控制點對單個測評對象在主機安全層面的單項測評結(jié)果進行匯總和統(tǒng)計。應(yīng)用安全4.4.1 結(jié)果匯總4.4.2 結(jié)果分析4.5數(shù)據(jù)安全及備份恢復4.5.1 結(jié)果匯總4.5.2 結(jié)果分析4.6安全管理制度4.6.1 結(jié)果匯總4.6.2 結(jié)果分析4.7安全管理機構(gòu)4.7.1 結(jié)果匯總4.7.2 結(jié)果分析4.8人員安全管理4.8.1 結(jié)果匯總4.8.2 結(jié)果分析4.9系統(tǒng)建設(shè)管理4.9.1 結(jié)果匯總4.9.2 結(jié)果分析4.10 系統(tǒng)運維管理4.10.1 結(jié)果匯總4.10.2 結(jié)果分析4.11 ××××（特殊指標）4.11.1 結(jié)果匯總4.11.2 結(jié)果分析4.12 單元測評小結(jié)4.12.1 控制點符合情況匯總根據(jù)附錄A中測評項的符合程度得分，以算術(shù)平均法合并多個測評對象在同一測評項的得分，得到各測評項的多對象平均分。根據(jù)測評項權(quán)重（參見附件《測評項權(quán)重賦值表》，其他情況的權(quán)重賦值另行發(fā)布），以加權(quán)平均合并同一安全控制點下的所有測評項的符合程度得分，并按照控制點得分計算公式得到各安全控制點的5分制得分。??∑??=1測評項的多對象平均分×測評項權(quán)重控制點得分=??，n為同一控制點下的測評項數(shù)，∑ 測評項權(quán)重??=1不含不適用的控制點和測評項。以表格形式匯總測評結(jié)果，表格以不同顏色對測評結(jié)果進行區(qū)分， 部分符合（安全控制點得分在 0分和5分之間，不等于0分或5分）的安全控制點采用黃色標識，不符合（安全控制點得分為 0分）的安全控制點采用紅色標識。表4-*單元測評結(jié)果分類統(tǒng)計表序安全安全控制符合情況號安全控制點點得分層面符合部分符合不符合不適用序 安全號 層面1234物理安全78910統(tǒng)計

安全控制點安全控制符合情況點得分符合部分符合不符合不適用物理位置的選擇物理訪問控制防盜竊和防破壞防雷擊防火防水和防潮防靜電溫濕度控制電力供應(yīng)電磁防護4.12.2 安全問題匯總針對單元測評結(jié)果中存在的部分符合項或不符合項加以匯總，形成安全問題列表并計算其嚴重程度值。依其嚴重程度取值為 1~5，最嚴重的取值為5。安全問題嚴重程度值是基于對應(yīng)的測評項權(quán)重并結(jié)合附錄 A中對應(yīng)測評項的符合程度進行的。具體計算公式如下：安全問題嚴重程度值=（5-測評項符合程度得分）×測評項權(quán)重。表4-4安全問題匯總表問安全 測評題 安全 測評 問題嚴重安全問題 測評對象 控制 項權(quán)編 層面 項 程度值點 重號整體測評從安全控制間、層面間、區(qū)域間和驗證測試等方面對單元測評的結(jié)果進行驗證、分析和整體評價。具體內(nèi)容參見《GB/T28448信息安全技術(shù)信息系統(tǒng)安全等級保護測評要求》。5.1安全控制間安全測評5.2層面間安全測評5.3區(qū)域間安全測評5.4驗證測試驗證測試包括漏洞掃描，滲透測試等，驗證測試發(fā)現(xiàn)的安全問題對應(yīng)到相應(yīng)的測評項的結(jié)果記錄中。詳細驗證測試報告見報告附錄 A。若由于用戶原因無法開展驗證測試，應(yīng)將用戶簽章的“自愿放棄驗證測試聲明”作為報告附件。5.5整體測評結(jié)果匯總根據(jù)整體測評結(jié)果，修改安全問題匯總表中的問題嚴重程度值及對應(yīng)的修正后測評項符合程度得分，并形成修改后的安全問題匯總表（僅包括有所修正的安全問題）?？筛鶕?jù)整體測評安全控制措施對安全問題的彌補程度將修正因子設(shè)為 ~。修正后問題嚴重程度值1=修正前的問題嚴重程度值×修正因子。修正后測評項符合程度=5-修正后問題嚴重程度值/測評項權(quán)重表5-1修正后的安全問題匯總表2修修正后修正后測評序問題安全問題整體測正問題嚴測評項號編號3項描述評描述因重程度符合程權(quán)重子值度總體安全狀況分析6.1系統(tǒng)安全保障評估以表格形式匯總被測信息系統(tǒng)已采取的安全保護措施情況，并綜合附錄 A中的測評項符合程度得分以及章節(jié)中的修正后測評項符合程度得分（有修正的測評項以章節(jié)中的修正后測評項符合程度得分帶入計算），以算術(shù)平均法合并多個測評對象在同一測評項的得分，得到各測評項的多對象平均分。1問題嚴重程度值最高為 5。2該處僅列出問題嚴重程度有所修正的安全問題。3該處編號與 4.12.2 安全問題匯總表中的問題編號一一對應(yīng)。根據(jù)測評項權(quán)重（見附件《測評項權(quán)重賦值表》，其他情況的權(quán)重賦值另行發(fā)布），以加權(quán)平均合并同一安全控制點下的所有測評項的符合程度得分，并按照控制點得分計算公式得到各安全控制點的 5分制得分。計算公式為：??∑測評項的多對象平均分×測評項權(quán)重控制點得分=??=1，n為同一控制點下的測評項數(shù)，??∑測評項權(quán)重??=1不含不適用的控制點和測評項。以算術(shù)平均合并同一安全層面下的所有安全控制點得分，并轉(zhuǎn)換為安全層面的百分制得分。根據(jù)表格內(nèi)容描述被測信息系統(tǒng)已采取的有效保護措施和存在的主要安全問題情況。序號 安全層面1234物理安全78910網(wǎng)絡(luò)安全

表6-1系統(tǒng)安全保障情況得分表安全控制點 安全控制點得分 安全層面得分物理位置的選擇物理訪問控制防盜竊和防破壞防雷擊防火防水和防潮防靜電溫濕度控制電力供應(yīng)電磁防護結(jié)構(gòu)安全訪問控制序號1314151617181920212223242526272829303132

安全層面主機安全應(yīng)用安全

安全控制點 安全控制點得分 安全層面得分安全審計邊界完整性檢查入侵防范惡意代碼防范網(wǎng)絡(luò)設(shè)備防護身份鑒別安全標記訪問控制可信路徑安全審計剩余信息保護入侵防范惡意代碼防范資源控制身份鑒別安全標記訪問控制可信路徑安全審計剩余信息保護序號安全層面333435363738數(shù)據(jù)39恢安全復及40備份41安全42管理制43度4445安全46管理機47構(gòu)4849人員安全管理52

安全控制點 安全控制點得分 安全層面得分通信完整性通信保密性抗抵賴軟件容錯資源控制數(shù)據(jù)完整性數(shù)據(jù)保密性備份和恢復管理制度制定和發(fā)布評審和修訂崗位設(shè)置人員配備授權(quán)和審批溝通和合作審核和檢查人員錄用人員離崗人員考核安全意識教育和培訓序號53545556575859606162636465666768697071

安全層面系統(tǒng)建設(shè)管理系統(tǒng)運維管理

安全控制點 安全控制點得分 安全層面得分外部人員訪問管理系統(tǒng)定級安全方案設(shè)計產(chǎn)品采購和使用自行軟件開發(fā)外包軟件開發(fā)工程實施測試驗收系統(tǒng)交付系統(tǒng)備案等級測評安全服務(wù)商選擇環(huán)境管理資產(chǎn)管理介質(zhì)管理設(shè)備管理監(jiān)控管理和安全管理中心網(wǎng)絡(luò)安全管理系統(tǒng)安全管理序號 安全層面 安全控制點 安全控制點得分 安全層面得分72 惡意代碼防范管理73 密碼管理74 變更管理75 備份與恢復管理76 安全事件處置77 應(yīng)急預案管理6.2 安全問題風險評估依據(jù)信息安全標準規(guī)范，采用風險分析的方法進行危害分析和風險等級判定。針對等級測評結(jié)果中存在的所有安全問題， 結(jié)合關(guān)聯(lián)資產(chǎn)和威脅分別分析安全危害，找出可能對信息系統(tǒng)、單位、社會及國家造成的最大安全危害（損失），并根據(jù)最大安全危害嚴重程度進一步確定信息系統(tǒng)面臨的風險等級，結(jié)果為“高”、“中”或“低”。并以列表形式給出等級測評發(fā)現(xiàn)安全問題以及風險分析和評價情況，參見表6-2。其中，最大安全危害（損失）結(jié)果應(yīng)結(jié)合安全問題所影響業(yè)務(wù)的重要程度、相關(guān)系統(tǒng)組件的重要程度、安全問題嚴重程度以及安全事件影響范圍等進行綜合分析。表6-2信息系統(tǒng)安全問題風險分析表問題關(guān)聯(lián)資產(chǎn)1關(guān)聯(lián)威脅2危害分析安全層面問題描述風險等級編號結(jié)果如風險值和評價相同，可填寫多個關(guān)聯(lián)資產(chǎn)。2對于多個威脅關(guān)聯(lián)同一個問題的情況，應(yīng)分別填寫。6.3 等級測評結(jié)論綜合上述幾章節(jié)的測評與風險分析結(jié)果，根據(jù)符合性判別依據(jù)給出等級測評結(jié)論，并計算信息系統(tǒng)的綜合得分。等級測評結(jié)論應(yīng)表述為“ 符合”、“基本符合”或者“不符合”。結(jié)論判定及綜合得分計算方式見下表：測評結(jié)論 符合性判別依據(jù)信息系統(tǒng)中未發(fā)現(xiàn)安全問題，等級測評結(jié)果符合中所有測評項得分均為5分。信息系統(tǒng)中存在安全問題，但不會導致信息基本符合系統(tǒng)面臨高等級安全風險。信息系統(tǒng)中存在安全問題，而且會導致信息不符合系統(tǒng)面臨高等級安全風險。

綜合得分計算公式分??∑測評項的多對象平均分×測評項權(quán)重??=1??×20，p為總測評項∑ 測評項權(quán)重??=1數(shù)，不含不適用的控制點和測評項，有修正的測評項以章節(jié)中的修正后測評項符合程度得分帶入計算?！??修正后問題嚴重程度值60-??=1??×12，為安全問題數(shù)，p為∑測評項權(quán)重l??=1總測評項數(shù)，不含不適用的控制點和測評項。注：修正后問題嚴重程度賦值結(jié)果取多對象中針對同一測評項的最大值。也可根據(jù)特殊指標重要程度為其賦予權(quán)重，并參照上述方法和綜合得分計算公式，得出綜合基本指標與特殊指標測評結(jié)果的綜合得分。問題處置建議針對系統(tǒng)存在的安全問題提出處置建議。附錄A等級測評結(jié)果記錄物理安全以表格形式給出物理安全的現(xiàn)場測評結(jié)果。 符合程度根據(jù)被測信息系統(tǒng)實際保護狀況進行賦值，完全符合項賦值為 5，其他情況根據(jù)被測系統(tǒng)在該測評指標的符合程度賦值為 0~4（取整數(shù)值）。網(wǎng)絡(luò)安全主機安全應(yīng)用安全數(shù)據(jù)安全及備份恢復安全管理制度安全管理機構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理××××（特殊指標安全層面）驗證測試附件第三級信息系統(tǒng)測評項權(quán)重賦值表（此表可不提供被測評單位）下表給出第三級（S3A3G3）信息系統(tǒng)安全等級保護基本要求對應(yīng)的測評項權(quán)重，其他等級信息系統(tǒng)測評項權(quán)重賦值表另行發(fā)布。序?qū)用婵刂泣c要求項測評項號權(quán)重1物理安全物理位置的選擇a）機房和辦公場地應(yīng)選擇在具有防震、防風和防雨等能力的建筑內(nèi)；2物理安全物理位置的選擇b）機房場地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。3物理安全物理訪問控制a）機房出入口應(yīng)有專人值守，控制、鑒別和記錄進入的人員。4物理安全物理訪問控制b）需進入機房的來訪人員應(yīng)經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍。c）應(yīng)對機房劃分區(qū)域進行管理，區(qū)域和5物理安全物理訪問控制區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域。6物理安全物理訪問控制d）重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員。17物理安全防盜竊和防破壞a）應(yīng)將主要設(shè)備放置在機房內(nèi)。8物理安全防盜竊和防破壞b）應(yīng)將設(shè)備或主要部件進行固定，并設(shè)置明顯的不易除去的標記。9物理安全防盜竊和防破壞c）應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中。10物理安全防盜竊和防破壞d）應(yīng)對介質(zhì)分類標識，存儲在介質(zhì)庫或檔案室中。11物理安全防盜竊和防破壞e）應(yīng)利用光、電等技術(shù)設(shè)置機房的防盜報警系統(tǒng)。12物理安全防盜竊和防破壞f）應(yīng)對機房設(shè)置監(jiān)控報警系統(tǒng)。13物理安全防雷擊a）機房建筑應(yīng)設(shè)置避雷裝置。14物理安全防雷擊b）應(yīng)設(shè)置防雷保安器，防止感應(yīng)雷。15物理安全防雷擊c）機房應(yīng)設(shè)置交流電源地線。序?qū)用婵刂泣c要求項測評項號權(quán)重16物理安全防火a）機房應(yīng)設(shè)置火災自動消防系統(tǒng)，自動檢測火情、自動報警，并自動滅火。17物理安全防火b）機房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級的建筑材料。18物理安全防火c）機房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開。19物理安全防水和防潮a）水管安裝，不得穿過機房屋頂和活動地板下。20物理安全防水和防潮b）應(yīng)采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透。21物理安全防水和防潮c）應(yīng)采取措施防止機房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。22物理安全防水和防潮d）應(yīng)安裝對水敏感的檢測儀表或元件，對機房進行防水檢測和報警。23物理安全防靜電a）主要設(shè)備應(yīng)采用必要的接地防靜電措施。24物理安全防靜電b）機房應(yīng)采用防靜電地板。a）機房應(yīng)設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施，25物理安全溫濕度控制使機房溫、濕度的變化在設(shè)備運行所允許的范圍之內(nèi)。26物理安全電力供應(yīng)a）應(yīng)在機房供電線路上設(shè)置穩(wěn)壓器和過電壓防護設(shè)備。b）應(yīng)提供短期的備用電力供應(yīng)，至少滿27物理安全電力供應(yīng)足主要設(shè)備在斷電情況下的正常運行要求。28物理安全電力供應(yīng)c）應(yīng)設(shè)置冗余或并行的電力電纜線路為1計算機系統(tǒng)供電。29物理安全電力供應(yīng)d）應(yīng)建立備用供電系統(tǒng)。130物理安全電磁防護a）應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾。31物理安全電磁防護b）電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾。32物理安全電磁防護c）應(yīng)對關(guān)鍵設(shè)備和磁介質(zhì)實施電磁屏蔽。133網(wǎng)絡(luò)安全結(jié)構(gòu)安全a)應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力1具備冗余空間，滿足業(yè)務(wù)高峰期需要；34網(wǎng)絡(luò)安全結(jié)構(gòu)安全b)應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要；35網(wǎng)絡(luò)安全結(jié)構(gòu)安全c)應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進行1路由控制建立安全的訪問路徑；序?qū)用婵刂泣c要求項測評項號權(quán)重36網(wǎng)絡(luò)安全結(jié)構(gòu)安全d)應(yīng)繪制與當前運行情況相符的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖；e)應(yīng)根據(jù)各部門的工作職能、重要性和37網(wǎng)絡(luò)安全結(jié)構(gòu)安全所涉及信息的重要程度等因素，劃分不同1的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；f)應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處38網(wǎng)絡(luò)安全結(jié)構(gòu)安全且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；g)應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定39網(wǎng)絡(luò)安全結(jié)構(gòu)安全帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要主機。40網(wǎng)絡(luò)安全訪問控制a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；b)應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供41網(wǎng)絡(luò)安全訪問控制明確的允許/拒絕訪問的能力，控制粒度1為端口級；c)應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，42網(wǎng)絡(luò)安全訪問控制實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、1POP3等協(xié)議命令級的控制；43網(wǎng)絡(luò)安全訪問控制d)應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接；44網(wǎng)絡(luò)安全訪問控制e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；45網(wǎng)絡(luò)安全訪問控制f)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；g)應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)46網(wǎng)絡(luò)安全訪問控制則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶；47網(wǎng)絡(luò)安全訪問控制h)應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量。48網(wǎng)絡(luò)安全安全審計a)應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀1況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄；b)審計記錄應(yīng)包括：事件的日期和時間、49網(wǎng)絡(luò)安全安全審計用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；50網(wǎng)絡(luò)安全安全審計c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生1成審計報表；51網(wǎng)絡(luò)安全安全審計d)應(yīng)對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。序?qū)用婵刂泣c要求項測評項號權(quán)重a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)52網(wǎng)絡(luò)安全邊界完整性檢查絡(luò)的行為進行檢查，準確定出位置，并對1其進行有效阻斷；b)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部53網(wǎng)絡(luò)安全邊界完整性檢查網(wǎng)絡(luò)的行為進行檢查，準確定出位置，并1對其進行有效阻斷。a)應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：54網(wǎng)絡(luò)安全入侵防范端口掃描、強力攻擊、木馬后門攻擊、拒1絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；當檢測到攻擊行為時，記錄攻擊源55 網(wǎng)絡(luò)安全 入侵防范 IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應(yīng)提供報警。56網(wǎng)絡(luò)安全惡意代碼防范a)應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測1和清除；57網(wǎng)絡(luò)安全惡意代碼防范b)應(yīng)維護惡意代碼庫的升級和檢測系統(tǒng)的更新。58網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護a)應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別；59網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護b)應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制；60網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護c)網(wǎng)絡(luò)設(shè)備用戶的標識應(yīng)唯一；d)主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種61網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護或兩種以上組合的鑒別技術(shù)來進行身份1鑒別；62網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護e)身份鑒別信息應(yīng)具有不易被冒用的特1點，口令應(yīng)有復雜度要求并定期更換；f)應(yīng)具有登錄失敗處理功能，可采取結(jié)63網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護束會話、限制非法登錄次數(shù)和當網(wǎng)絡(luò)登錄連接超時自動退出等措施；g)當對網(wǎng)絡(luò)設(shè)備進行遠程管理時，應(yīng)采64網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；65網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護h)應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。66主機安全身份鑒別a)應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別；b)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份67主機安全身份鑒別鑒別信息應(yīng)具有不易被冒用的特點，口令1應(yīng)有復雜度要求并定期更換；序?qū)用婵刂泣c要求項測評項號權(quán)重c)應(yīng)啟用登錄失敗處理功能，可采取結(jié)68主機安全身份鑒別束會話、限制非法登錄次數(shù)和自動退出等措施；d)當對服務(wù)器進行遠程管理時，應(yīng)采取69主機安全身份鑒別必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程1中被竊聽；70主機安全身份鑒別e)為操作系統(tǒng)和數(shù)據(jù)庫的不同用戶分配不同的用戶名，確保用戶名具有唯一性；71主機安全身份鑒別f）應(yīng)采用兩種或兩種以上組合的鑒別技1術(shù)對管理用戶進行身份鑒別。72主機安全訪問控制a)應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；b)應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實73主機安全訪問控制現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；74主機安全訪問控制c)應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用1戶的權(quán)限分離；d)應(yīng)嚴格限制默認賬戶的訪問權(quán)限，重75主機安全訪問控制命名系統(tǒng)默認賬戶，并修改這些賬戶的默認口令；76主機安全訪問控制e)應(yīng)及時刪除多余的、過期的賬戶，避免共享賬戶的存在；77主機安全訪問控制f）應(yīng)對重要信息資源設(shè)置敏感標記；178主機安全訪問控制g）應(yīng)依據(jù)安全策略嚴格控制用戶對有敏1感標記重要信息資源的操作。79主機安全安全審計a)安全審計應(yīng)覆蓋到服務(wù)器和重要客戶1端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；b)審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)80主機安全安全審計資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；81主機安全安全審計c)審計記錄應(yīng)包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等；82主機安全安全審計d）應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生1成審計報表；83主機安全安全審計e）應(yīng)保護審計進程，避免受到未預期的中斷；84主機安全安全審計f）應(yīng)保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。序?qū)用?控制點號85 主機安全 入侵防范86 主機安全 入侵防范87 主機安全 入侵防范88主機安全惡意代碼防范89主機安全惡意代碼防范90主機安全惡意代碼防范91 主機安全 剩余信息保護92主機安全剩余信息保護93主機安全資源控制94主機安全資源控制95主機安全資源控制96主機安全資源控制97主機安全資源控制98應(yīng)用安全身份鑒別99應(yīng)用安全身份鑒別

測評項要求項權(quán)重應(yīng)能夠檢測到對重要服務(wù)器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警；b）應(yīng)能夠?qū)χ匾绦蛲暾赃M行檢測，并在檢測到完整性受到破壞后具有恢復1的措施；操作系統(tǒng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補丁及時得到更新。應(yīng)安裝防惡意代碼軟件，并及時更新1防惡意代碼軟件版本和惡意代碼庫；主機防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫；應(yīng)支持惡意代碼防范的統(tǒng)一管理。a）應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；b）應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定；c）應(yīng)對重要服務(wù)器進行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度；e）應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預先規(guī)定的最小值進行檢測和報警。應(yīng)提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別；應(yīng)對同一用戶采用兩種或兩種以上組1合的鑒別技術(shù)實現(xiàn)用戶身份鑒別；序控制點要求項層面號應(yīng)用安全身份鑒別c)應(yīng)提供用戶身份標識唯一和鑒別信息100復雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復用戶身份標識，身份鑒別信息不易被冒用；應(yīng)用安全身份鑒別d)應(yīng)提供登錄失敗處理功能，可采取結(jié)101束會話、限制非法登錄次數(shù)和自動退出等措施；應(yīng)用安全身份鑒別e)應(yīng)啟用身份鑒別、用戶身份標識唯一102性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。應(yīng)用安全訪問控制a)應(yīng)提供訪問控制功能，依據(jù)安全策略103控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；應(yīng)用安全訪問控制b)訪問控制的覆蓋范圍應(yīng)包括與資源訪104問相關(guān)的主體、客體及它們之間的操作；應(yīng)用安全訪問控制c)應(yīng)由授權(quán)主體配置訪問控制策略，并105嚴格限制默認帳戶的訪問權(quán)限；應(yīng)用安全訪問控制d)應(yīng)授予不同帳戶為完成各自承擔任務(wù)106所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。應(yīng)用安全訪問控制e)應(yīng)具有對重要信息資源設(shè)置敏感標記107的功能；應(yīng)用安全訪問控制f)應(yīng)依據(jù)安全策略嚴格控制用戶對有敏108感標記重要信息資源的操作；應(yīng)用安全安全審計a)應(yīng)提供覆蓋到每個用戶的安全審計功109能，對應(yīng)用系統(tǒng)重要安全事件進行審計；應(yīng)用安全安全審計b)應(yīng)保證無法單獨中斷審計進程，無法110刪除、修改或覆蓋審計記錄；應(yīng)用安全安全審計c)審計記錄的內(nèi)容至少應(yīng)包括事件的日111期、時間、發(fā)起者信息、類型、描述和結(jié)果等；應(yīng)用安全安全審計d)應(yīng)提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查112詢、分析及生成審計報表的功能。應(yīng)用安全剩余信息保護a)應(yīng)保證用戶鑒別信息所在的存儲空間113被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；

測評項權(quán)重111111序控制點層面號應(yīng)用安全剩余信息保護114應(yīng)用安全通信完整性115應(yīng)用安全通信保密性116應(yīng)用安全通信保密性117應(yīng)用安全抗抵賴118應(yīng)用安全抗抵賴119應(yīng)用安全軟件容錯120應(yīng)用安全軟件容錯121應(yīng)用安全資源控制122應(yīng)用安全資源控制123應(yīng)用安全資源控制124應(yīng)用安全資源控制125應(yīng)用安全資源控制126應(yīng)用安全資源控制127應(yīng)用安全資源控制128數(shù)據(jù)安全及備數(shù)據(jù)完整性份恢復129

測評項要求項權(quán)重應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進行會話初始化驗證；應(yīng)對通信過程中的整個報文或會話過1程進行加密。應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的1數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求；應(yīng)提供自動保護功能，當故障發(fā)生時自動保護當前所有狀態(tài)，保證系統(tǒng)能夠進行恢復。當應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話；應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進行限制；應(yīng)能夠?qū)蝹€帳戶的多重并發(fā)會話進行限制；應(yīng)能夠?qū)σ粋€時間段內(nèi)可能的并發(fā)會話連接數(shù)進行限制；應(yīng)能夠?qū)σ粋€訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額；應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預先規(guī)定的最小值進行檢測和報警；應(yīng)提供服務(wù)優(yōu)先級設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問帳戶或請求進程的優(yōu)先級，根據(jù)優(yōu)先級分配系統(tǒng)資源。應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施；序控制點層面號數(shù)據(jù)安全及備數(shù)據(jù)完整性份恢復130數(shù)據(jù)安全及備 數(shù)據(jù)保密性份恢復數(shù)據(jù)安全及備 數(shù)據(jù)保密性份恢復數(shù)據(jù)安全及備 備份和恢復份恢復數(shù)據(jù)安全及備 備份和恢復份恢復數(shù)據(jù)安全及備 備份和恢復135份恢復數(shù)據(jù)安全及備 備份和恢復份恢復安全管理制度管理制度安全管理制度管理制度安全管理制度管理制度安全管理制度管理制度安全管理制度制定和發(fā)布安全管理制度制定和發(fā)布安全管理制度制定和發(fā)布安全管理制度制定和發(fā)布安全管理制度制定和發(fā)布

測評項要求項權(quán)重應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施。a)應(yīng)采用加密或其他有效措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸1保密性；b)應(yīng)采用加密或其他保護措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲1保密性。應(yīng)提供本地數(shù)據(jù)備份與恢復功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場外存放；應(yīng)提供異地數(shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地；應(yīng)采用冗余技術(shù)設(shè)計網(wǎng)絡(luò)拓撲結(jié)構(gòu)，避免關(guān)鍵節(jié)點存在單點故障；1d)應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可1用性。a）應(yīng)制定信息安全工作的總體方針和安全策略，說明機構(gòu)安全工作的總體目標、范圍、原則和安全框架等。b）應(yīng)對安全管理活動中的各類管理內(nèi)容建立安全管理制度。c）應(yīng)對安全管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程。d）應(yīng)形成由安全政策、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度1體系。a）應(yīng)指定或授權(quán)專門的部門或人員負責安全管理制度的制定。b）安全管理制度應(yīng)具有統(tǒng)一的格式，并進行版本控制。c）應(yīng)組織相關(guān)人員對制定的安全管理進行論證和審定。d）安全管理制度應(yīng)通過正式、有效的方式發(fā)布。e）安全管理制度應(yīng)注明發(fā)布范圍，并對收發(fā)文進行登記。序?qū)用婵刂泣c要求項測評項號權(quán)重a）信息安全領(lǐng)導小組應(yīng)負責定期組織相146安全管理制度評審和修訂關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進行審定。b）應(yīng)定期或不定期對安全管理制度進行147安全管理制度評審和修訂檢查和審定，對存在不足或需要改進的安全管理制度進行修訂。a）應(yīng)設(shè)立信息安全管理工作的職能部門，148安全管理機構(gòu)崗位設(shè)置設(shè)立安全主管、安全管理各個方面的負責1人崗位，并定義各負責人的職責。b）應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安149安全管理機構(gòu)崗位設(shè)置全管理員等崗位，并定義各個工作崗位的職責。c）應(yīng)成立指導和管理信息安全工作的委150安全管理機構(gòu)崗位設(shè)置員會或領(lǐng)導小組，其最高領(lǐng)導由單位主管領(lǐng)導委任或授權(quán)。151安全管理機構(gòu)崗位設(shè)置d）應(yīng)制定文件明確安全管理機構(gòu)各個部門和崗位的職責、分工和技能要求。152安全管理機構(gòu)人員配備a）應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)1管理員、安全管理員等。153安全管理機構(gòu)人員配備b）應(yīng)配備專職安全管理員，不可兼任。154安全管理機構(gòu)人員配備c）關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理。155安全管理機構(gòu)授權(quán)和審批a）應(yīng)根據(jù)各個部門和崗位的職責明確授權(quán)審批事項、審批部門和批準人等。b）應(yīng)針對系統(tǒng)變更、重要操作、物理訪156安全管理機構(gòu)授權(quán)和審批問和系統(tǒng)接入等事項建立審批程序，按照審批程序執(zhí)行審批過程，對重要活動建立逐級審批制度。c）應(yīng)定期審查審批事項，及時更新需授157安全管理機構(gòu)授權(quán)和審批權(quán)和審批的項目、審批部門和審批人等信息。158安全管理機構(gòu)授權(quán)和審批d）應(yīng)記錄審批過程并保存審批文檔。a）應(yīng)加強各類管理人員之間、組織內(nèi)部159安全管理機構(gòu)溝通和合作機構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通，定期或不定期召開協(xié)調(diào)會議，共同協(xié)作處理信息安全問題。160安全管理機構(gòu)溝通和合作b）應(yīng)加強與兄弟單位、公安機關(guān)、電信公司的合作與溝通。序?qū)用婵刂泣c要求項測評項號權(quán)重161安全管理機構(gòu)溝通和合作c）應(yīng)加強與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通。d）應(yīng)建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)162安全管理機構(gòu)溝通和合作單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息。e）應(yīng)聘請信息安全專家作為常年的安全163安全管理機構(gòu)溝通和合作顧問，指導信息安全建設(shè)，參與安全規(guī)劃和安全評審等。a）安全管理員應(yīng)負責定期進行安全檢查，164安全管理機構(gòu)審核和檢查檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和1數(shù)據(jù)備份等情況。b）應(yīng)由內(nèi)部人員或上級單位定期進行全165安全管理機構(gòu)審核和檢查面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等。c）應(yīng)制定安全檢查表格實施安全檢查，166安全管理機構(gòu)審核和檢查匯總安全檢查數(shù)據(jù)，形成安全檢查報告，并對安全檢查結(jié)果進行通報。d）應(yīng)制定安全審核和安全檢查制度規(guī)范167安全管理機構(gòu)審核和檢查安全審核和安全檢查工作，定期按照程序進行安全審核和安全檢查活動。168人員安全管理人員錄用a）應(yīng)指定或授權(quán)專門的部門或人員負責人員錄用。b）應(yīng)嚴格規(guī)范人員錄用過程，對被錄用169人員安全管理人員錄用人的身份、背景、專業(yè)資格和資質(zhì)等進行1審查，對其所具有的技術(shù)技能進行考核。170人員安全管理人員錄用c）應(yīng)簽署保密協(xié)議。1171人員安全管理人員錄用d）應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員，并簽署崗位安全協(xié)議。172人員安全管理人員離崗a）應(yīng)嚴格規(guī)范人員離崗過程，及時終止即將離崗員工的所有訪問權(quán)限。173人員安全管理人員離崗b）應(yīng)取回各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設(shè)備。c）應(yīng)辦理嚴格的調(diào)離手續(xù)，關(guān)鍵崗位人174人員安全管理人員離崗員離崗須承諾調(diào)離后的保密義務(wù)后方可離開。175人員安全管理人員考核a）應(yīng)定期對各個崗位的人員進行安全技能及安全認知的考核。序?qū)用婵刂泣c要求項測評項號權(quán)重176人員安全管理人員考核b）應(yīng)對關(guān)鍵崗位的人員進行全面、嚴格1的安全審查和技能考核。177人員安全管理人員考核c）應(yīng)對考核結(jié)果進行記錄并保存。178人員安全管理安全意識教育和a）應(yīng)對各類人員進行安全意識教育、崗1培訓位技能培訓和相關(guān)安全技術(shù)培訓。安全意識教育和b）應(yīng)對安全責任和懲戒措施進行書面規(guī)179人員安全管理定并告知相關(guān)人員，對違反違背安全策略培訓和規(guī)定的人員進行懲戒。c）應(yīng)對安全教育和培訓進行書面規(guī)定，180人員安全管理安全意識教育和針對不同崗位制定不同的培訓計劃，對信1培訓息安全基礎(chǔ)知識、崗位操作規(guī)程等進行培訓。181人員安全管理安全意識教育和d）應(yīng)對安全教育和培訓的情況和結(jié)果進培訓行記錄并歸檔保存。外部人員訪問管a）應(yīng)確保在外部人員訪問機房等重要區(qū)182人員安全管理域前先提出書面申請，批準后由專人全程理陪同或監(jiān)督，并登記備案。外部人員訪問管b）對外部人員允許訪問的區(qū)域、系統(tǒng)、183人員安全管理設(shè)備、信息等內(nèi)容應(yīng)進行書面的規(guī)定，并理按照規(guī)定執(zhí)行。184系統(tǒng)建設(shè)管理系統(tǒng)定級a）應(yīng)明確信息系統(tǒng)的邊界和安全保護等級。185系統(tǒng)建設(shè)管理系統(tǒng)定級b）應(yīng)以書面的形式說明確定信息系統(tǒng)為某個安全保護等級的方法和理由。c）應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家186系統(tǒng)建設(shè)管理系統(tǒng)定級對信息系統(tǒng)定級結(jié)果的合理性和正確性進行論證和審定。187系統(tǒng)建設(shè)管理系統(tǒng)定級d）應(yīng)確保信息系統(tǒng)的定級結(jié)果經(jīng)過相關(guān)部門的批準。a）應(yīng)根據(jù)系統(tǒng)的安全級別選擇基本安全188系統(tǒng)建設(shè)管理安全方案設(shè)計措施，并依據(jù)風險分析的結(jié)果補充和調(diào)整安全措施。b）應(yīng)指定和授權(quán)專門的部門對信息系統(tǒng)189系統(tǒng)建設(shè)管理安全方案設(shè)計的安全建設(shè)進行總體規(guī)劃，制定近期和遠1期的安全建設(shè)工作計劃。c）應(yīng)根據(jù)信息系統(tǒng)的等級劃分情況，統(tǒng)190系統(tǒng)建設(shè)管理安全方案設(shè)計一考慮安全保障體系的總體安全策略、安1全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細設(shè)計方案，并形成配套文件。序?qū)用?控制點號191 系統(tǒng)建設(shè)管理 安全方案設(shè)計192 系統(tǒng)建設(shè)管理 安全方案設(shè)計193 系統(tǒng)建設(shè)管理 產(chǎn)品采購和使用194 系統(tǒng)建設(shè)管理 產(chǎn)品采購和使用195 系統(tǒng)建設(shè)管理 產(chǎn)品采購和使用196 系統(tǒng)建設(shè)管理 產(chǎn)品采購和使用197 系統(tǒng)建設(shè)管理 自行軟件開發(fā)198 系統(tǒng)建設(shè)管理 自行軟件開發(fā)199 系統(tǒng)建設(shè)管理 自行軟件開發(fā)200 系統(tǒng)建設(shè)管理 自行軟件開發(fā)201 系統(tǒng)建設(shè)管理 自行軟件開發(fā)202 系統(tǒng)建設(shè)管理 外包軟件開發(fā)203 系統(tǒng)建設(shè)管理 外包軟件開發(fā)204 系統(tǒng)建設(shè)管理 外包軟件開發(fā)205 系統(tǒng)建設(shè)管理 外包軟件開發(fā)206 系統(tǒng)建設(shè)管理 工程實施

測評項要求項權(quán)重d）應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件的合理性和正確性進行論證和審定，并且經(jīng)過批準后，才能正式實施。e）應(yīng)根據(jù)等級測評、安全評估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件。a）應(yīng)確保安全產(chǎn)品的采購和使用符合國家的有關(guān)規(guī)定。b）應(yīng)確保密碼產(chǎn)品的采購和使用符合國家密碼主管部門的要求。c）應(yīng)指定或授權(quán)專門的部門負責產(chǎn)品的采購。d）應(yīng)預先對產(chǎn)品進行選型測試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單。a）應(yīng)確保開發(fā)環(huán)境與實際運行環(huán)境物理分開，開發(fā)人員和測試人員分離，測試數(shù)1據(jù)和測試結(jié)果受到控制。b）應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準則。c）應(yīng)制定代碼編寫安全規(guī)范，要求開發(fā)人員參照規(guī)范編寫代碼。d）應(yīng)確保提供軟件設(shè)計的相關(guān)文檔和使用指南，并由專人負責保管。e）應(yīng)確保對程序資源庫的修改、更新、1發(fā)布進行授權(quán)和批準。a）應(yīng)根據(jù)開發(fā)需求檢測軟件質(zhì)量。1b）應(yīng)在軟件安裝之前檢測軟件包中可能1存在的惡意代碼。c）應(yīng)要求開發(fā)單位提供軟件設(shè)計的相關(guān)文檔和使用指南。d）應(yīng)要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門。a）應(yīng)指定或授權(quán)專門的部門或人員負責工程實施過程的管理。序?qū)用婵刂泣c要求項測評項號權(quán)重b）應(yīng)制定詳細的工程實施方案控制實施207系統(tǒng)建設(shè)管理工程實施過程，并要求工程實施單位能正式地執(zhí)行安全工程過程。c）應(yīng)制定工程實施方面的管理制度，明208系統(tǒng)建設(shè)管理工程實施確說明實施過程的控制方法和人員行為準則。a）應(yīng)委托公正的第三方測試單位對系統(tǒng)209系統(tǒng)建設(shè)管理測試驗收進行安全性測試，并出具安全性測試報告。b）應(yīng)在測試驗收前根據(jù)設(shè)計方案或合同210系統(tǒng)建設(shè)管理測試驗收要求等制訂測試驗收方案，測試驗收過程中詳細記錄測試驗收結(jié)果，形成測試驗收報告。211系統(tǒng)建設(shè)管理測試驗收c）應(yīng)對系統(tǒng)測試驗收的控制方法和人員行為準則進行書面規(guī)定。d）應(yīng)指定或授權(quán)專門的部門負責系統(tǒng)測212系統(tǒng)建設(shè)管理測試驗收試驗收的管理，并按照管理制度的要求完成系統(tǒng)測試驗收工作。213系統(tǒng)建設(shè)管理測試驗收e）應(yīng)組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗收報告進行審定，并簽字確認。a）應(yīng)制定詳細的系統(tǒng)交付清單，并根據(jù)214系統(tǒng)建設(shè)管理系統(tǒng)交付交付清單對所交接的設(shè)備、軟件和文檔等進行清點。215系統(tǒng)建設(shè)管理系統(tǒng)交付b）應(yīng)對負責系統(tǒng)運行維護的技術(shù)人員進行相應(yīng)的技能培訓。216系統(tǒng)建設(shè)管理系統(tǒng)交付c）應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導用戶進行系統(tǒng)運行維護的文檔。217系統(tǒng)建設(shè)管理系統(tǒng)交付d）應(yīng)對系統(tǒng)交付的控制方法和人員行為準則進行書面規(guī)定。e）應(yīng)指定或授權(quán)專門的部門負責系統(tǒng)交218系統(tǒng)建設(shè)管理系統(tǒng)交付付的管理工作，并按照管理規(guī)定的要求完成系統(tǒng)交付工作。a）應(yīng)指定專門的部門或人員負責管理系219系統(tǒng)建設(shè)管理系統(tǒng)備案統(tǒng)定級的相關(guān)材料，并控制這些材料的使用。220系統(tǒng)建設(shè)管理系統(tǒng)備案b）應(yīng)將系統(tǒng)等級和系統(tǒng)屬性等資料報系統(tǒng)主管部門備案。221系統(tǒng)建設(shè)管理系統(tǒng)備案c）應(yīng)將系統(tǒng)等級及其他要求的備案材料報相應(yīng)公安機關(guān)備案。序?qū)用?控制點號222 系統(tǒng)建設(shè)管理 等級測評223 系統(tǒng)建設(shè)管理 等級測評224 系統(tǒng)建設(shè)管理 等級測評225 系統(tǒng)建設(shè)管理 等級測評226 系統(tǒng)建設(shè)管理 安全服務(wù)商選擇227 系統(tǒng)建設(shè)管理 安全服務(wù)商選擇228 系統(tǒng)建設(shè)管理 安全服務(wù)商選擇229 系統(tǒng)運維管理 環(huán)境管理230 系統(tǒng)運維管理 環(huán)境管理231 系統(tǒng)運維管理 環(huán)境管理232 系統(tǒng)運維管理 環(huán)境管理233 系統(tǒng)運維管理 資產(chǎn)管理234 系統(tǒng)運維管理 資產(chǎn)管理

測評項要求項權(quán)重a）在系統(tǒng)運行過程中，應(yīng)至少每年對系統(tǒng)進行一次等級測評， 發(fā)現(xiàn)不符合相應(yīng)等 1級保護標準要求的及時整改。b）應(yīng)在系統(tǒng)發(fā)生變更時及時對系統(tǒng)進行等級測評，發(fā)現(xiàn)級別發(fā)生變化的及時調(diào)整1級別并進行安全改造， 發(fā)現(xiàn)不符合相應(yīng)等級保護標準要求的及時整改。c）應(yīng)選擇具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測評單位進行等級測評。d）應(yīng)指定或授權(quán)專門的部門或人員負責等級測評的管理。a）應(yīng)確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定。b）應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責任。c）應(yīng)確保選定的安全服務(wù)商提供技術(shù)培訓和服務(wù)承諾，必要的與其簽訂服務(wù)合同。a）應(yīng)指定專門的部門或人員定期對機房供配電、空調(diào)、溫濕度控制等設(shè)施進行維護管理。b）應(yīng)指定部門負責機房安全，并配備機房安全管理人員， 對機房的出入、服務(wù)器的開機或關(guān)機等工作進行管理。c）應(yīng)建立機房安全管理制度，對有關(guān)機房物理訪問，物品帶進、帶出機房和機房環(huán)境安全等方面的管理作出規(guī)定。d）應(yīng)加強對辦公環(huán)境的保密性管理，規(guī)范辦公環(huán)境人員行為，包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙、不在辦公區(qū)接待來訪人員、工作人員離開座位應(yīng)確保終端計算機退出登錄狀態(tài)和桌面上沒有包含敏感信息的紙檔文件等。a）應(yīng)編制并保存與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責任部門、 重要程度和所處位置等內(nèi)容。b）應(yīng)建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責任人員或責任部門 ,并規(guī)范資產(chǎn)管理和使用的行為。序?qū)用婵刂泣c測評項號要求項權(quán)重c）應(yīng)根據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標235系統(tǒng)運維管理資產(chǎn)管理識管理，根據(jù)資產(chǎn)的價值選擇相應(yīng)的管理措施。d）應(yīng)對信息分類與標識方法作出規(guī)定，236系統(tǒng)運維管理資產(chǎn)管理并對信息的使用、傳輸和存儲等進行規(guī)范化管理。a）應(yīng)建立介質(zhì)安全管理制度，對介質(zhì)的237系統(tǒng)運維管理介質(zhì)管理存放環(huán)境、使用、維護和銷毀等方面作出規(guī)定。b）應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對238系統(tǒng)運維管理介質(zhì)管理各類介質(zhì)進行控制和保護，并實行存儲環(huán)境專人管理。c）應(yīng)對介質(zhì)在