《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求第5部分：工業(yè)控制系統(tǒng)安全擴(kuò)展要求》

GB/TXXXXX—XXXX

信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求

第5部分：工業(yè)控制系統(tǒng)安全擴(kuò)展要求

1范圍

本部分規(guī)定了工控控制不同等級(jí)保護(hù)對(duì)象的安全擴(kuò)展要求，包括對(duì)第一級(jí)工控系統(tǒng)、第二級(jí)工控系

統(tǒng)、第三級(jí)工控系統(tǒng)和第四級(jí)工控系統(tǒng)進(jìn)行安全擴(kuò)展測(cè)評(píng)的單項(xiàng)測(cè)評(píng)要求和工控系統(tǒng)整體測(cè)評(píng)要求。本

標(biāo)準(zhǔn)略去對(duì)第五級(jí)工控系統(tǒng)進(jìn)行單項(xiàng)測(cè)評(píng)的具體內(nèi)容要求。

本部分適用于信息安全測(cè)評(píng)服務(wù)機(jī)構(gòu)、等級(jí)保護(hù)對(duì)象的主管部門(mén)及運(yùn)營(yíng)使用單位對(duì)等級(jí)保護(hù)對(duì)象安

全等級(jí)保護(hù)狀況進(jìn)行的安全測(cè)試評(píng)估。信息安全監(jiān)管職能部門(mén)依法進(jìn)行的網(wǎng)絡(luò)安全等級(jí)保護(hù)監(jiān)督檢查可

以參考使用。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T25069-2010信息安全技術(shù)術(shù)語(yǔ)

GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則

GB/T28449-20XX信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南

GB/T22239.5-20XX信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第5部分：工控控制安全擴(kuò)展要

求

GB/T25070.5-20XX信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求第5部分：工控控制安

全擴(kuò)展要求

3術(shù)語(yǔ)和定義

GB/T25069-2010和GB/T22239.5-20XX界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

訪談interview

訪談是指測(cè)評(píng)人員通過(guò)引導(dǎo)等級(jí)保護(hù)對(duì)象相關(guān)人員進(jìn)行有目的的（有針對(duì)性的）交流以幫助測(cè)評(píng)人

員理解、澄清或取得證據(jù)的過(guò)程。

3.2

核查examination

核查是指測(cè)評(píng)人員通過(guò)對(duì)測(cè)評(píng)對(duì)象（如制度文檔、各類(lèi)設(shè)備、安全配置等）進(jìn)行觀察、查驗(yàn)、分析

以幫助測(cè)評(píng)人員理解、澄清或取得證據(jù)的過(guò)程。

3.3

1

GB/TXXXXX—XXXX

測(cè)試testing

測(cè)試是指測(cè)評(píng)人員使用預(yù)定的方法/工具使測(cè)評(píng)對(duì)象（各類(lèi)設(shè)備或安全配置）產(chǎn)生特定的結(jié)果，將

運(yùn)行結(jié)果與預(yù)期的結(jié)果進(jìn)行比對(duì)的過(guò)程。

3.4

安全等級(jí)保護(hù)測(cè)評(píng)evaluationforsecurityclassifiedprotection

安全等級(jí)保護(hù)測(cè)評(píng)（以下簡(jiǎn)稱“等級(jí)測(cè)評(píng)”）是指測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定，

按照有關(guān)管理規(guī)范和計(jì)算標(biāo)準(zhǔn)，對(duì)未涉及國(guó)家秘密的等級(jí)保護(hù)對(duì)象進(jìn)行安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估

的活動(dòng)。等級(jí)測(cè)評(píng)是標(biāo)準(zhǔn)符合性評(píng)判活動(dòng)，即依據(jù)信息安全等級(jí)保護(hù)的國(guó)家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)，按照特定

方法對(duì)等級(jí)保護(hù)對(duì)象的安全保護(hù)能力進(jìn)行科學(xué)公正的綜合評(píng)判過(guò)程。

4安全等級(jí)保護(hù)測(cè)評(píng)概述

4.1安全等級(jí)保護(hù)測(cè)評(píng)方法

等級(jí)測(cè)評(píng)實(shí)施的基本方法是針對(duì)特定的測(cè)評(píng)對(duì)象，采用相關(guān)的測(cè)評(píng)手段，遵從一定的測(cè)評(píng)規(guī)程，獲

取需要的證據(jù)數(shù)據(jù)，給出是否達(dá)到特定級(jí)別安全保護(hù)能力的評(píng)判。等級(jí)測(cè)評(píng)實(shí)施的詳細(xì)流程和方法參見(jiàn)

GB/T28449-20XX。

本部分中針對(duì)每一個(gè)要求項(xiàng)的測(cè)評(píng)就構(gòu)成一個(gè)單項(xiàng)測(cè)評(píng)，單項(xiàng)測(cè)評(píng)中的每一個(gè)具體測(cè)評(píng)實(shí)施要求項(xiàng)

（以下簡(jiǎn)稱“測(cè)評(píng)要求項(xiàng)”）是與安全控制點(diǎn)下面所包括的要求項(xiàng)（測(cè)評(píng)指標(biāo)）相對(duì)應(yīng)的。在對(duì)每一要

求項(xiàng)進(jìn)行測(cè)評(píng)時(shí)，可能用到訪談、核查和測(cè)試三種測(cè)試方法，也可能用到其中一種或兩種。測(cè)評(píng)實(shí)施的

內(nèi)容完全覆蓋了GB/T22239.5-20XX及GB/T25070.5-20XX（具體參見(jiàn)附錄C）中所有要求項(xiàng)的測(cè)評(píng)要求，

使用時(shí)應(yīng)當(dāng)從單項(xiàng)測(cè)評(píng)的測(cè)評(píng)實(shí)施中抽取出對(duì)于GB/T22239.5-20XX中每一個(gè)要求項(xiàng)的測(cè)評(píng)要求，并按

照這些測(cè)評(píng)要求開(kāi)發(fā)測(cè)評(píng)指導(dǎo)書(shū)，以規(guī)范和指導(dǎo)等級(jí)測(cè)評(píng)活動(dòng)。

等級(jí)測(cè)評(píng)活動(dòng)中涉及測(cè)評(píng)力度，包括測(cè)評(píng)廣度（覆蓋面）和測(cè)評(píng)深度（強(qiáng)弱度）。測(cè)評(píng)廣度和測(cè)評(píng)

深度特性影響著訪談、核查和測(cè)試的具體手段，也影響著證據(jù)數(shù)據(jù)的可信度，關(guān)于測(cè)評(píng)力度的具體描述

參見(jiàn)附錄A。

4.2單項(xiàng)測(cè)評(píng)和整體測(cè)評(píng)

安全等級(jí)保護(hù)測(cè)評(píng)分為單項(xiàng)測(cè)評(píng)和整體測(cè)評(píng)。

單項(xiàng)測(cè)評(píng)是針對(duì)各安全要求項(xiàng)的測(cè)評(píng)，支持測(cè)評(píng)結(jié)果的可重復(fù)性和可再現(xiàn)性。本部分中單項(xiàng)測(cè)評(píng)由

測(cè)評(píng)指標(biāo)、測(cè)評(píng)對(duì)象、測(cè)評(píng)實(shí)施和單項(xiàng)測(cè)評(píng)結(jié)果判定構(gòu)成。

整體測(cè)評(píng)是在單項(xiàng)測(cè)評(píng)基礎(chǔ)上，對(duì)等級(jí)保護(hù)對(duì)象整體安全保護(hù)能力的判斷。整體安全保護(hù)能力從縱

深防護(hù)和措施互補(bǔ)二個(gè)角度評(píng)判。

5總體要求單項(xiàng)測(cè)評(píng)

5.1總體技術(shù)能力測(cè)評(píng)

5.1.1測(cè)評(píng)單元

a)測(cè)評(píng)指標(biāo)

工控控制系統(tǒng)與企業(yè)管理系統(tǒng)之間原則上應(yīng)劃分為兩個(gè)區(qū)域，區(qū)域間應(yīng)采用有效的隔離技術(shù)手段；

禁止任何穿越區(qū)域邊界的E-Mail、Web、Telnet、Rlogin、FTP等通用網(wǎng)絡(luò)服務(wù)。（新增）

b)測(cè)評(píng)對(duì)象

2

GB/TXXXXX—XXXX

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)閘、路由器、交換機(jī)和防火墻等網(wǎng)絡(luò)通信類(lèi)設(shè)備。

c)測(cè)評(píng)實(shí)施

1)應(yīng)確認(rèn)工控控制系統(tǒng)的網(wǎng)絡(luò)邊界位置，并核查在網(wǎng)絡(luò)邊界處是否采用的有效的隔離措施實(shí)

施訪問(wèn)控制；

2)應(yīng)核查設(shè)備安全策略，是否禁止E-Mail、Web、Telnet、Rlogin、FTP等通用網(wǎng)絡(luò)服務(wù)穿

越邊界。

d)單項(xiàng)判定

如果1）-2）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

5.1.2測(cè)評(píng)單元

a)測(cè)評(píng)指標(biāo)

在工控控制系統(tǒng)內(nèi)從生產(chǎn)管理層到現(xiàn)場(chǎng)設(shè)備層使用廣域網(wǎng)的縱向交接處應(yīng)采用加密認(rèn)證技術(shù)手段

實(shí)現(xiàn)身份認(rèn)證、訪問(wèn)控制和數(shù)據(jù)加密傳輸。（新增）

b)測(cè)評(píng)對(duì)象

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、加密認(rèn)證設(shè)備、網(wǎng)閘、路由器、交換機(jī)和防火墻等網(wǎng)絡(luò)通信類(lèi)設(shè)備。

c)測(cè)評(píng)實(shí)施

應(yīng)確認(rèn)工控控制系統(tǒng)的網(wǎng)絡(luò)邊界位置，并核查在網(wǎng)絡(luò)邊界處是否采用的有效的認(rèn)證、加密、訪問(wèn)控

制等技術(shù)措施實(shí)施數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)。

d)單項(xiàng)判定

如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不

符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

5.1.3測(cè)評(píng)單元

a)測(cè)評(píng)指標(biāo)

涉及實(shí)時(shí)傳輸數(shù)據(jù)要求的工控控制系統(tǒng)，應(yīng)使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實(shí)現(xiàn)與其它數(shù)

據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。（新增）

b)測(cè)評(píng)對(duì)象

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)閘、路由器、交換機(jī)和防火墻等網(wǎng)絡(luò)通信類(lèi)設(shè)備。

c)測(cè)評(píng)實(shí)施

應(yīng)確認(rèn)工控控制系統(tǒng)關(guān)鍵部位的傳輸數(shù)據(jù)要求，涉及實(shí)時(shí)傳輸數(shù)據(jù)的，核查是否采用物理隔離措施

實(shí)現(xiàn)關(guān)鍵部位安全防護(hù)。

d)單項(xiàng)判定

如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不

符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

5.1.4測(cè)評(píng)單元

a)測(cè)評(píng)指標(biāo)

工控控制系統(tǒng)內(nèi)二級(jí)子系統(tǒng)統(tǒng)一成域，三級(jí)及以上子系統(tǒng)可單獨(dú)成域；并采用VLAN或防火墻等技

術(shù)手段實(shí)現(xiàn)各域之間的訪問(wèn)控制功能。（新增）

b)測(cè)評(píng)對(duì)象

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、路由器、交換機(jī)和防火墻等網(wǎng)絡(luò)通信類(lèi)設(shè)備。

3

GB/TXXXXX—XXXX

c)測(cè)評(píng)實(shí)施

應(yīng)確認(rèn)工控控制系統(tǒng)內(nèi)各子系統(tǒng)安全級(jí)別，并核查二、三、四級(jí)系統(tǒng)之間交換機(jī)、防火墻配置是否

實(shí)現(xiàn)各域之間的訪問(wèn)控制功能。

d)單項(xiàng)判定

如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不

符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

5.1.5測(cè)評(píng)單元

a)測(cè)評(píng)指標(biāo)

工控控制系統(tǒng)應(yīng)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)設(shè)備安全日志、操作系統(tǒng)訪問(wèn)日志、數(shù)據(jù)庫(kù)訪問(wèn)

日志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、安全設(shè)施告警日志、控制設(shè)備運(yùn)行日志等的集中收集、自動(dòng)分析功

能。（新增）

b)測(cè)評(píng)對(duì)象

安全監(jiān)控系統(tǒng)、安全審計(jì)系統(tǒng)、預(yù)警分析平臺(tái)等審計(jì)類(lèi)設(shè)備。

c)測(cè)評(píng)實(shí)施

1)應(yīng)核查是否在系統(tǒng)中部署具備流量、日志監(jiān)控功能的集中安全監(jiān)控系統(tǒng)，對(duì)網(wǎng)絡(luò)鏈路、安

全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的安全運(yùn)行狀況進(jìn)行集中監(jiān)測(cè)；

2)應(yīng)核查監(jiān)測(cè)系統(tǒng)能否根據(jù)流量或日志的關(guān)聯(lián)分析，形成預(yù)設(shè)值的（或默認(rèn)閥值）實(shí)時(shí)報(bào)警。

d)單項(xiàng)判定

如果1）-2）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

5.2總體管理能力測(cè)評(píng)

5.2.1測(cè)評(píng)單元

a)測(cè)評(píng)指標(biāo)

工控系統(tǒng)所屬單位中出現(xiàn)多等級(jí)工控系統(tǒng)時(shí)，通用管理要求統(tǒng)一采用定級(jí)最高的工控系統(tǒng)執(zhí)行。（新

增）

b)測(cè)評(píng)對(duì)象

定級(jí)文檔。

c)測(cè)評(píng)實(shí)施

應(yīng)核查各工控系統(tǒng)定級(jí)報(bào)告，查看管理要求是否采用“就高原則”執(zhí)行。

d)單項(xiàng)判定

如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不

符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6第一級(jí)單項(xiàng)測(cè)評(píng)

6.1安全技術(shù)測(cè)評(píng)

6.1.1物理和環(huán)境安全

物理訪問(wèn)控制

.1測(cè)評(píng)單元（L1-PES1-01）

4

GB/TXXXXX—XXXX

a)測(cè)評(píng)指標(biāo)

機(jī)房出入口應(yīng)安排專人值守或配置電子門(mén)禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。（本條款引用自

GB/T22239.1-20XX）

b)測(cè)評(píng)對(duì)象

機(jī)房管理員和數(shù)據(jù)中心機(jī)房、場(chǎng)站機(jī)房。

c)測(cè)評(píng)實(shí)施

1)應(yīng)核查是否安排專人值守或配置電子門(mén)禁系統(tǒng)；

2)應(yīng)核查相關(guān)記錄是否能夠控制、鑒別和記錄進(jìn)入的人員。

d)單項(xiàng)判定

如果1）-2）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

防盜竊和防破壞

.1測(cè)評(píng)單元（L1-PES1-02）

a)測(cè)評(píng)指標(biāo)

應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記。（本條款引用自GB/T22239.1-20XX

）

b)測(cè)評(píng)對(duì)象

數(shù)據(jù)中心機(jī)房、場(chǎng)站機(jī)房、現(xiàn)地機(jī)房。

c)測(cè)評(píng)實(shí)施

1)應(yīng)核查機(jī)房?jī)?nèi)設(shè)備或主要部件是否固定；

2)應(yīng)核查機(jī)房?jī)?nèi)設(shè)備或主要部件上是否設(shè)置了明顯且不易除去的標(biāo)記。

d)單項(xiàng)判定

如果1）-2）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

防雷擊

.1測(cè)評(píng)單元（L1-PES1-03）

a)測(cè)評(píng)指標(biāo)

應(yīng)將各類(lèi)機(jī)柜、設(shè)施和設(shè)備等通過(guò)接地系統(tǒng)安全接地。（本條款引用自GB/T22239.1-20XX）

b)測(cè)評(píng)對(duì)象

數(shù)據(jù)中心機(jī)房、場(chǎng)站機(jī)房、現(xiàn)地機(jī)房。

c)測(cè)評(píng)實(shí)施

應(yīng)核查機(jī)房?jī)?nèi)機(jī)柜、設(shè)施和設(shè)備等是否進(jìn)行接地處理。

d)單項(xiàng)判定

如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不

符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

防火

.1測(cè)評(píng)單元（L1-PES1-04）

a)測(cè)評(píng)指標(biāo)

機(jī)房應(yīng)設(shè)置滅火設(shè)備。（本條款引用自GB/T22239.1-20XX）

5

GB/TXXXXX—XXXX

b)測(cè)評(píng)對(duì)象

數(shù)據(jù)中心機(jī)房、場(chǎng)站機(jī)房、現(xiàn)地機(jī)房。

c)測(cè)評(píng)實(shí)施

1)應(yīng)核查滅火設(shè)備位置擺放是否合理；

2)應(yīng)核查機(jī)房?jī)?nèi)是否配備滅火設(shè)備且在有效期內(nèi)；

3)應(yīng)訪談機(jī)房維護(hù)人員，詢問(wèn)是否對(duì)滅火設(shè)備定期進(jìn)行核查和維護(hù)。

d)單項(xiàng)判定

如果1）-3）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

防水和防潮

.1測(cè)評(píng)單元（L1-PES1-05）

a)測(cè)評(píng)指標(biāo)

應(yīng)采取措施防止雨水通過(guò)機(jī)房窗戶、屋頂和墻壁滲透。（本條款引用自GB/T22239.1-20XX）

b)測(cè)評(píng)對(duì)象

數(shù)據(jù)中心機(jī)房、場(chǎng)站機(jī)房、現(xiàn)地機(jī)房。

c)測(cè)評(píng)實(shí)施

1)應(yīng)核查機(jī)房的窗戶、屋頂和墻壁等是否未出現(xiàn)過(guò)漏水、滲透和返潮現(xiàn)象；如果出現(xiàn)漏水、

滲透和返潮現(xiàn)象，則查看是否能夠及時(shí)修復(fù)解決；

2)應(yīng)核查機(jī)房的窗戶、屋頂和墻壁是否采取了防雨水滲透的措施。

d)單項(xiàng)判定

如果1）-2）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

溫濕度控制

.1測(cè)評(píng)單元（L1-PES1-06）

a)測(cè)評(píng)指標(biāo)

機(jī)房應(yīng)設(shè)置必要的溫濕度控制設(shè)施，使機(jī)房溫濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。（本條款

引用自GB/T22239.1-20XX）

b)測(cè)評(píng)對(duì)象

數(shù)據(jù)中心機(jī)房、場(chǎng)站機(jī)房、現(xiàn)地機(jī)房。

c)測(cè)評(píng)實(shí)施

1)應(yīng)核查機(jī)房是否配備了專用空調(diào)，空調(diào)是否能夠正常運(yùn)行；

2)應(yīng)核查機(jī)房?jī)?nèi)溫濕度是否在設(shè)備運(yùn)行所允許的范圍之內(nèi)，是否滿足計(jì)算站場(chǎng)地的技術(shù)條件

要求。

d)單項(xiàng)判定

如果1）-2）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

電力供應(yīng)

.1測(cè)評(píng)單元（L1-PES1-07）

a)測(cè)評(píng)指標(biāo)

應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備。（本條款引用自GB/T22239.1-20XX）

6

GB/TXXXXX—XXXX

b)測(cè)評(píng)對(duì)象

數(shù)據(jù)中心機(jī)房、場(chǎng)站機(jī)房、現(xiàn)地機(jī)房。

c)測(cè)評(píng)實(shí)施

應(yīng)核查供電可線路上是否配置了穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備。

d)單項(xiàng)判定

如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不

符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

室外控制設(shè)備防護(hù)

.1測(cè)評(píng)單元（L4-PES1-24）

a)測(cè)評(píng)指標(biāo)

室外控制設(shè)備應(yīng)放置于采用鐵板或其他防火絕緣材料制作，具有透風(fēng)、散熱、防盜、防雨、防火能

力的箱體或裝置中；控制設(shè)備應(yīng)安裝在金屬或其他盡緣板上(非木質(zhì)板)，并緊固于箱體或裝置中。

b)測(cè)評(píng)對(duì)象

室外控制設(shè)備。

c)測(cè)評(píng)實(shí)施

應(yīng)核查室外控制設(shè)備是否放置于采用鐵板或其他防火盡緣材料制作，具有透風(fēng)、散熱、防盜、防雨、

防火能力的箱體或裝置中；控制設(shè)備是否安裝在金屬或其他盡緣板上(非木質(zhì)板)，并緊固于箱體或

裝置中。

d)單項(xiàng)判定

如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不

符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

.2測(cè)評(píng)單元（L4-PES1-24）

a)測(cè)評(píng)指標(biāo)

室外控制設(shè)備應(yīng)遠(yuǎn)離極端天氣環(huán)境，如無(wú)法避免，在遇到極端天氣時(shí)應(yīng)及時(shí)做好應(yīng)急處置及檢修確

保設(shè)備正常運(yùn)行。

b)測(cè)評(píng)對(duì)象

室外控制設(shè)備。

c)測(cè)評(píng)實(shí)施

1)應(yīng)核查室外控制設(shè)備是否遠(yuǎn)離極端天氣環(huán)境；

2)應(yīng)核查是否有極端天氣時(shí)的檢修維護(hù)記錄。

d)單項(xiàng)判定

如果1）-2）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

.3測(cè)評(píng)單元（L4-PES1-24）

a)測(cè)評(píng)指標(biāo)

室外控制設(shè)備放置應(yīng)遠(yuǎn)離強(qiáng)電磁干擾和熱源。

b)測(cè)評(píng)對(duì)象

室外控制設(shè)備。

c)測(cè)評(píng)實(shí)施

應(yīng)核查室外控制設(shè)備放置是否遠(yuǎn)離強(qiáng)電磁干擾和熱源。

d)單項(xiàng)判定

7

GB/TXXXXX—XXXX

如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不

符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.1.2網(wǎng)絡(luò)和通信安全

網(wǎng)絡(luò)架構(gòu)

.1測(cè)評(píng)單元（L1-NCS1-01）

a)測(cè)評(píng)指標(biāo)

應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足基本業(yè)務(wù)需要；（本條款引用自GB/T22239.1-20XX

a））

b)測(cè)評(píng)對(duì)象

路由器、交換機(jī)和防火墻等網(wǎng)絡(luò)通信類(lèi)設(shè)備。

c)測(cè)評(píng)實(shí)施

1)應(yīng)訪談網(wǎng)絡(luò)管理員了解系統(tǒng)的業(yè)務(wù)高峰時(shí)段，核查業(yè)務(wù)高峰時(shí)期一段時(shí)間內(nèi)主要網(wǎng)絡(luò)設(shè)備

的CPU使用率和內(nèi)存使用率；

2)網(wǎng)絡(luò)設(shè)備應(yīng)未出現(xiàn)過(guò)宕機(jī)情況。

d)單項(xiàng)判定

如果1）-2）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

.2測(cè)評(píng)單元（L1-NCS1-02）

a)測(cè)評(píng)指標(biāo)

應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬滿足基本業(yè)務(wù)需要。（本條款引用自GB/T22239.1-20XX

b））

b)測(cè)評(píng)對(duì)象

網(wǎng)絡(luò)管理員或綜合網(wǎng)管系統(tǒng)。

c)測(cè)評(píng)實(shí)施

應(yīng)訪談網(wǎng)絡(luò)管理員了解網(wǎng)絡(luò)高峰時(shí)段，核查各通信鏈路帶寬是否滿足高峰時(shí)段的業(yè)務(wù)流量。

d)單項(xiàng)判定

如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不

符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

通信傳輸

.1測(cè)評(píng)單元（L1-NCS1-03）

a)測(cè)評(píng)指標(biāo)

應(yīng)采用校驗(yàn)碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性。（本條款引用自GB/T22239.1-20XX）

b)測(cè)評(píng)對(duì)象

加解密設(shè)備或組件。

c)測(cè)評(píng)實(shí)施

應(yīng)訪談安全管理員，詢問(wèn)是否在數(shù)據(jù)傳輸過(guò)程中使用校驗(yàn)碼技術(shù)來(lái)保護(hù)其完整性。

d)單項(xiàng)判定

如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不

符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

8

GB/TXXXXX—XXXX

邊界防護(hù)

.1測(cè)評(píng)單元（L1-NCS1-04）

a)測(cè)評(píng)指標(biāo)

應(yīng)保證跨越邊界的訪問(wèn)和數(shù)據(jù)流通過(guò)邊界防護(hù)設(shè)備提供的受控接口進(jìn)行通信。（本條款引用自GB/T

22239.1-20XX）

b)測(cè)評(píng)對(duì)象

網(wǎng)閘、防火墻、路由器和交換機(jī)等訪問(wèn)控制類(lèi)設(shè)備。

c)測(cè)評(píng)實(shí)施

1)應(yīng)確認(rèn)等級(jí)保護(hù)對(duì)象的網(wǎng)絡(luò)邊界位置，并核查在網(wǎng)絡(luò)邊界處是否部署訪問(wèn)控制設(shè)備；

2)應(yīng)核查設(shè)備配置信息，是否指定端口進(jìn)行跨越邊界的網(wǎng)絡(luò)通信，該端口配置并啟用了安全

策略；

3)應(yīng)訪談安全管理員或核查設(shè)備配置信息，是否不存在其他未受控端口進(jìn)行跨越邊界的網(wǎng)絡(luò)

通信。

d)單項(xiàng)判定

如果1）-3）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

訪問(wèn)控制

.1測(cè)評(píng)單元（L1-NCS1-05）

a)測(cè)評(píng)指標(biāo)

應(yīng)在網(wǎng)絡(luò)邊界根據(jù)訪問(wèn)控制策略設(shè)置訪問(wèn)控制規(guī)則，默認(rèn)情況下除允許通信外受控接口拒絕所有通

信；（本條款引用自GB/T22239.1-20XXa））

b)測(cè)評(píng)對(duì)象

網(wǎng)閘、防火墻、路由器和交換機(jī)等訪問(wèn)控制類(lèi)設(shè)備。

c)測(cè)評(píng)實(shí)施

1)應(yīng)核查在網(wǎng)絡(luò)邊界是否部署網(wǎng)絡(luò)訪問(wèn)控制設(shè)備，是否啟用訪問(wèn)控制策略；

2)應(yīng)核查設(shè)備的訪問(wèn)控制策略，確保手工配置或設(shè)備默認(rèn)的最后一條策略為禁止所有網(wǎng)絡(luò)通

信。

d)單項(xiàng)判定

如果1）-2）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

.2測(cè)評(píng)單元（L1-NCS1-06）

a)測(cè)評(píng)指標(biāo)

應(yīng)刪除多余或無(wú)效的訪問(wèn)控制規(guī)則，優(yōu)化訪問(wèn)控制列表，并保證訪問(wèn)控制規(guī)則數(shù)量最小化；（本條

款引用自GB/T22239.1-20XXb））

b)測(cè)評(píng)對(duì)象

網(wǎng)閘、防火墻、路由器和交換機(jī)等訪問(wèn)控制類(lèi)設(shè)備。

c)測(cè)評(píng)實(shí)施

1)應(yīng)核查設(shè)備訪問(wèn)控制策略，訪談安全管理員每一條策略的用途，查看是否不存在多余或無(wú)

效的訪問(wèn)控制策略；

2)應(yīng)核查安全策略邏輯關(guān)系及訪問(wèn)控制策略排列順序是否合理。

9

GB/TXXXXX—XXXX

d)單項(xiàng)判定

如果1）-2）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

.3測(cè)評(píng)單元（L1-NCS1-07）

a)測(cè)評(píng)指標(biāo)

應(yīng)對(duì)源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行核查，以允許/拒絕數(shù)據(jù)包進(jìn)出；（本條款

引用自GB/T22239.1-20XXc））

b)測(cè)評(píng)對(duì)象

網(wǎng)閘、防火墻、路由器和交換機(jī)等訪問(wèn)控制類(lèi)設(shè)備。

c)測(cè)評(píng)實(shí)施

應(yīng)核查訪問(wèn)控制設(shè)備，查看是否對(duì)源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行核查。

d)單項(xiàng)判定

如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不

符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.1.3設(shè)備和計(jì)算安全

身份鑒別

.1測(cè)評(píng)單元（L1-ECS1-01）

a)測(cè)評(píng)指標(biāo)

應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期

更換，用戶名和口令不得相同，禁止明文存儲(chǔ)口令。（增強(qiáng)）。（本條款引用自GB/T22239.1-20XX

a））

b)測(cè)評(píng)對(duì)象

終端和服務(wù)器等設(shè)備中的操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和中間件等系統(tǒng)軟件及網(wǎng)絡(luò)設(shè)備和安全設(shè)備。

c)測(cè)評(píng)實(shí)施

1)應(yīng)核查用戶在登錄時(shí)是否采用了身份鑒別措施；

2)應(yīng)核查用戶列表，查看所有用戶身份標(biāo)識(shí)是否具有唯一性；

3)應(yīng)核查用戶配置信息或訪談系統(tǒng)管理員，查看是否存在空密碼用戶；

4)應(yīng)核查用戶鑒別信息是否具有復(fù)雜度要求并定期更換。

d)單項(xiàng)判定

如果1）-4）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

.2測(cè)評(píng)單元（L1-ECS1-02）

a)測(cè)評(píng)指標(biāo)

應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出

等相關(guān)措施。（本條款引用自GB/T22239.1-20XXb））

b)測(cè)評(píng)對(duì)象

終端和服務(wù)器等設(shè)備中的操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和中間件等系統(tǒng)軟件及網(wǎng)絡(luò)設(shè)備和安全設(shè)備。

c)測(cè)評(píng)實(shí)施

1)應(yīng)核查是否配置并啟用了登錄失敗處理功能；

2)應(yīng)核查是否配置并啟用了限制非法登錄達(dá)到一定次數(shù)后實(shí)現(xiàn)賬戶鎖定功能；

3)應(yīng)核查是否配置并啟用了遠(yuǎn)程登錄連接超時(shí)并自動(dòng)退出功能。

10

GB/TXXXXX—XXXX

d)單項(xiàng)判定

如果1）-3）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

.3測(cè)評(píng)單元（L4-ECS1-36）

a)測(cè)評(píng)指標(biāo)

應(yīng)能夠?qū)Φ卿浛刂圃O(shè)備進(jìn)行密碼認(rèn)證。

b)測(cè)評(píng)對(duì)象

控制設(shè)備。

c)測(cè)評(píng)實(shí)施

核查控制設(shè)備訪問(wèn)時(shí)是否提供密碼認(rèn)證選項(xiàng)。

d)單項(xiàng)判定

如果以上內(nèi)容均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

訪問(wèn)控制

.1測(cè)評(píng)單元（L1-ECS1-03）

a)測(cè)評(píng)指標(biāo)

應(yīng)對(duì)登錄的用戶分配賬號(hào)和權(quán)限。（本條款引用自GB/T22239.1-20XXa））

b)測(cè)評(píng)對(duì)象

終端和服務(wù)器等設(shè)備中的操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和中間件等系統(tǒng)軟件及網(wǎng)絡(luò)設(shè)備和安全設(shè)備。

c)測(cè)評(píng)實(shí)施

1)應(yīng)核查或訪談?dòng)脩糍~戶和權(quán)限設(shè)置情況；

2)應(yīng)核查是否已禁用或限制匿名、默認(rèn)賬戶的訪問(wèn)權(quán)限。

d)單項(xiàng)判定

如果1）-2）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

.2測(cè)評(píng)單元（L1-ECS1-04）

a)測(cè)評(píng)指標(biāo)

應(yīng)重命名默認(rèn)賬號(hào)或修改默認(rèn)口令。（本條款引用自GB/T22239.1-20XXb））

b)測(cè)評(píng)對(duì)象

終端和服務(wù)器等設(shè)備中的操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和中間件等系統(tǒng)軟件及網(wǎng)絡(luò)設(shè)備和安全設(shè)備。

c)測(cè)評(píng)實(shí)施

1)應(yīng)核查是否不存在默認(rèn)賬號(hào)或默認(rèn)賬號(hào)已重命名；

2)應(yīng)核查是否已修改默認(rèn)賬號(hào)的默認(rèn)口令。

d)單項(xiàng)判定

如果1）或2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

.3測(cè)評(píng)單元（L1-ECS1-05）

a)測(cè)評(píng)指標(biāo)

應(yīng)及時(shí)刪除或停用多余的、過(guò)期的賬號(hào)，避免共享賬號(hào)的存在。（本條款引用自GB/T22239.1-20XX

c））

11

GB/TXXXXX—XXXX

b)測(cè)評(píng)對(duì)象

終端和服務(wù)器等設(shè)備中的操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和中間件等系統(tǒng)軟件及網(wǎng)絡(luò)設(shè)備和安全設(shè)備。

c)測(cè)評(píng)實(shí)施

1)應(yīng)核查是否不存在多余或過(guò)期賬號(hào)；

2)應(yīng)訪談了解是否不同用戶采用不同登錄賬號(hào)登錄系統(tǒng)。

d)單項(xiàng)判定

如果1）-2）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

入侵防范

.1測(cè)評(píng)單元（L1-ECS1-06）

a)測(cè)評(píng)指標(biāo)

系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序。（本條款引用自GB/T22239.1-20XX

a））

b)測(cè)評(píng)對(duì)象

終端、控制設(shè)備和服務(wù)器等設(shè)備中的操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和中間件等系統(tǒng)軟件。

c)測(cè)評(píng)實(shí)施

1)應(yīng)訪談管理員是否遵循最小安裝原則；

2)應(yīng)確認(rèn)是否已經(jīng)關(guān)閉非必要的組件和應(yīng)用程序。

d)單項(xiàng)判定

如果1）-2）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

.2測(cè)評(píng)單元（L1-ECS1-07）

a)測(cè)評(píng)指標(biāo)

應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口。（本條款引用自GB/T22239.1-20XXb））

b)測(cè)評(píng)對(duì)象

終端、控制設(shè)備和服務(wù)器等設(shè)備中的操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和中間件等系統(tǒng)軟件。

c)測(cè)評(píng)實(shí)施

1)應(yīng)訪談管理員是否定期對(duì)系統(tǒng)服務(wù)進(jìn)行梳理，關(guān)閉了非必要的系統(tǒng)服務(wù)和默認(rèn)共享；

2)應(yīng)核查是否不存在非必要的高危端口。

d)單項(xiàng)判定

如果1）-2）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

.3測(cè)評(píng)單元（L4-ECS1-36）

a)測(cè)評(píng)指標(biāo)

應(yīng)使用專用設(shè)備或?qū)Ｓ密浖?duì)控制設(shè)備進(jìn)行更新。

b)測(cè)評(píng)對(duì)象

控制設(shè)備。

c)測(cè)評(píng)實(shí)施

應(yīng)核查控制設(shè)備更新設(shè)備是否為專用設(shè)備或?qū)Ｓ密浖?/p>

d)單項(xiàng)判定

如果以上內(nèi)容均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

12

GB/TXXXXX—XXXX

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

.4測(cè)評(píng)單元（L4-ECS1-30）

a)測(cè)評(píng)指標(biāo)

應(yīng)關(guān)閉控制設(shè)備中不必要的端口和服務(wù)。

b)測(cè)評(píng)對(duì)象

控制設(shè)備。

c)測(cè)評(píng)實(shí)施

1)應(yīng)訪談管理員是否關(guān)閉了非必要的服務(wù)和端口；

2)采用工控掃描設(shè)備對(duì)控制設(shè)備進(jìn)行掃描。

d)單項(xiàng)判定

如果1）-2）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

惡意代碼防范

.1測(cè)評(píng)單元（L2-ECS1-08）

a)測(cè)評(píng)指標(biāo)

應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)功能的軟件，并定期進(jìn)行升級(jí)和更新防惡意代碼庫(kù)。（本條

款引用自GB/T22239.1-20XX）

b)測(cè)評(píng)對(duì)象

終端和服務(wù)器等設(shè)備中的操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和中間件等系統(tǒng)軟件。

c)測(cè)評(píng)實(shí)施

應(yīng)查看防惡意代碼工具的安裝和使用情況，核查是否定期進(jìn)行升級(jí)和更新防惡意代碼庫(kù)。

d)單項(xiàng)判定

如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不

符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.1.4應(yīng)用和數(shù)據(jù)安全

身份鑒別

.1測(cè)評(píng)單元（L1-ADS1-01）

a)測(cè)評(píng)指標(biāo)

應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性，鑒別信息具有復(fù)雜度要求并定期更換；

（本條款引用自GB/T22239.1-20XXa））

b)測(cè)評(píng)對(duì)象

應(yīng)用系統(tǒng)管理員和業(yè)務(wù)應(yīng)用系統(tǒng)。

c)測(cè)評(píng)實(shí)施

1)應(yīng)核查用戶在登錄時(shí)是否采用了身份鑒別措施；

2)應(yīng)核查用戶登錄時(shí)是否使用唯一性身份標(biāo)識(shí)；

3)應(yīng)測(cè)試應(yīng)用系統(tǒng)對(duì)用戶身份標(biāo)識(shí)有效性是否進(jìn)行鑒別；

4)應(yīng)核查鑒別信息是否具有復(fù)雜度要求并定期更換；

5)應(yīng)核查用戶配置信息或訪談應(yīng)用系統(tǒng)管理員，查看是否不存在空密碼用戶。

d)單項(xiàng)判定

13

GB/TXXXXX—XXXX

如果1）-5）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

.2測(cè)評(píng)單元（L1-ADS1-02）

a)測(cè)評(píng)指標(biāo)

應(yīng)提供并啟用登錄失敗處理功能，多次登錄失敗后應(yīng)采取必要的保護(hù)措施；（本條款引用自GB/T

22239.1-20XXb））

b)測(cè)評(píng)對(duì)象

業(yè)務(wù)應(yīng)用系統(tǒng)。

c)測(cè)評(píng)實(shí)施

1)應(yīng)測(cè)試是否進(jìn)行用戶登錄失敗處理；

2)應(yīng)核查登錄失敗反饋信息是否進(jìn)行模糊處理；

3)應(yīng)測(cè)試用戶連續(xù)多次登錄失敗時(shí)應(yīng)用系統(tǒng)是否采取必要的保護(hù)措施。

d)單項(xiàng)判定

如果1）-3）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

訪問(wèn)控制

.1測(cè)評(píng)單元（L1-ADS1-03）

a)測(cè)評(píng)指標(biāo)

應(yīng)提供訪問(wèn)控制功能，對(duì)登錄的用戶分配帳號(hào)和權(quán)限；（本條款引用自GB/T22239.1-20XX

a））

b)測(cè)評(píng)對(duì)象

業(yè)務(wù)應(yīng)用系統(tǒng)。

c)測(cè)評(píng)實(shí)施

1)應(yīng)核查是否提供訪問(wèn)控制功能；

2)應(yīng)核查是否有管理用戶負(fù)責(zé)對(duì)系統(tǒng)用戶進(jìn)行賬戶分配和權(quán)限管理；

3)應(yīng)測(cè)試不同崗位用戶是否具有不同的權(quán)限。

d)單項(xiàng)判定

如果1）-3）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

.2測(cè)評(píng)單元（L1-ADS1-04）

a)測(cè)評(píng)指標(biāo)

應(yīng)重命名默認(rèn)賬戶或修改默認(rèn)口令；（本條款引用自GB/T22239.1-20XXb））

b)測(cè)評(píng)對(duì)象

業(yè)務(wù)應(yīng)用系統(tǒng)。

c)測(cè)評(píng)實(shí)施

1)應(yīng)核查是否不存在默認(rèn)賬戶或默認(rèn)賬戶已重命名；

2)應(yīng)核查是否已修改默認(rèn)賬戶的默認(rèn)口令。

d)單項(xiàng)判定

如果1）-2）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

.3測(cè)評(píng)單元（L1-ADS1-05）

14

GB/TXXXXX—XXXX

a)測(cè)評(píng)指標(biāo)

應(yīng)及時(shí)刪除或停用多余的、過(guò)期的帳戶，避免共享帳戶的存在；（本條款引用自GB/T22239.1-20XX

c））

b)測(cè)評(píng)對(duì)象

應(yīng)用系統(tǒng)管理員和業(yè)務(wù)應(yīng)用系統(tǒng)。

c)測(cè)評(píng)實(shí)施

1)應(yīng)核查是否不存在多余賬戶或過(guò)期賬戶；

2)應(yīng)訪談了解是否不同用戶采用不同登錄賬戶登錄應(yīng)用系統(tǒng)。

d)單項(xiàng)判定

如果1）-2）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

軟件容錯(cuò)

.1測(cè)評(píng)單元（L1-ADS1-06）

a)測(cè)評(píng)指標(biāo)

應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要

求；（本條款引用自GB/T22239.1-20XX）

b)測(cè)評(píng)對(duì)象

業(yè)務(wù)應(yīng)用系統(tǒng)和系統(tǒng)設(shè)計(jì)文檔等。

c)測(cè)評(píng)實(shí)施

1)應(yīng)核查系統(tǒng)設(shè)計(jì)文檔的內(nèi)容是否包括數(shù)據(jù)有效性檢驗(yàn)功能的內(nèi)容或模塊；

2)應(yīng)審核應(yīng)用系統(tǒng)的源代碼，在應(yīng)用系統(tǒng)在人機(jī)接口或通信接口處是否對(duì)輸入的數(shù)據(jù)進(jìn)行有

效性驗(yàn)證和處理；

3)應(yīng)測(cè)試是否對(duì)人機(jī)接口或通信接口輸入的內(nèi)容進(jìn)行有效性檢驗(yàn)。

d)單項(xiàng)判定

如果1）-3）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

數(shù)據(jù)完整性

.1測(cè)評(píng)單元（L1-ADS1-07）

a)測(cè)評(píng)指標(biāo)

應(yīng)采用校驗(yàn)碼技術(shù)保證重要數(shù)據(jù)在傳輸過(guò)程中的完整性；（本條款引用自GB/T22239.1-20XX

）

b)測(cè)評(píng)對(duì)象

系統(tǒng)設(shè)計(jì)文檔和業(yè)務(wù)應(yīng)用系統(tǒng)。

c)測(cè)評(píng)實(shí)施

1)應(yīng)核查系統(tǒng)設(shè)計(jì)文檔，重要管理數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中是否采用了校驗(yàn)碼技術(shù)

或加解密技術(shù)保證完整性；

2)應(yīng)測(cè)試在傳輸過(guò)程中對(duì)重要管理數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)進(jìn)行篡改，查看是否能夠檢測(cè)到數(shù)據(jù)

在傳輸過(guò)程中的完整性受到破壞并能夠及時(shí)恢復(fù)。

d)單項(xiàng)判定

如果1）-2）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

15

GB/TXXXXX—XXXX

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

數(shù)據(jù)備份恢復(fù)

.1測(cè)評(píng)單元（L1-ADS1-08）

a)測(cè)評(píng)指標(biāo)

應(yīng)提供重要數(shù)據(jù)的本地?cái)?shù)據(jù)備份與恢復(fù)功能；（本條款引用自GB/T22239.1-20XX）

b)測(cè)評(píng)對(duì)象

配置數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)。

c)測(cè)評(píng)實(shí)施

1)應(yīng)核查是否按照備份策略進(jìn)行本地備份；

2)應(yīng)核查備份策略設(shè)置是否合理、配置是否正確；

3)應(yīng)核查備份結(jié)果是否與備份策略一致；

4)應(yīng)核查近期恢復(fù)測(cè)試記錄，查看是否能夠進(jìn)行正常的數(shù)據(jù)恢復(fù)。

d)單項(xiàng)判定

如果1）-4）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.2安全管理測(cè)評(píng)

6.2.1安全策略和管理制度

管理制度

.1測(cè)評(píng)單元(L1-PSS1-01）

a)測(cè)評(píng)指標(biāo)

應(yīng)建立日常管理活動(dòng)中常用的安全管理制度。（本條款引用自GB/T22239.1-20XX）

b)測(cè)評(píng)對(duì)象

安全管理制度類(lèi)文檔。

c)測(cè)評(píng)實(shí)施

應(yīng)核查各項(xiàng)安全管理制度，查看是否覆蓋日常管理活動(dòng)中的管理內(nèi)容。

d)單項(xiàng)判定

如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不

符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

.2測(cè)評(píng)單元(L1-PSS1-02）

a)測(cè)評(píng)指標(biāo)

應(yīng)按照“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的原則，建立工控系統(tǒng)安全管理制度，制定信息安全工作

的總體方針和安全策略，說(shuō)明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等，并將工控系統(tǒng)

安全防護(hù)及其信息報(bào)送納入日常安全生產(chǎn)管理體系，負(fù)責(zé)所轄范圍內(nèi)計(jì)算機(jī)及數(shù)據(jù)網(wǎng)絡(luò)的安全管

理。（新增）

b)測(cè)評(píng)對(duì)象

安全管理制度類(lèi)文檔。

c)測(cè)評(píng)實(shí)施

應(yīng)核查工控系統(tǒng)安全管理制度，查看是否按照“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的原則，制定信息

安全工作的總體方針和安全策略，是否說(shuō)明了機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等，

16

GB/TXXXXX—XXXX

是否將工控系統(tǒng)安全防護(hù)及其信息報(bào)送納入日常安全生產(chǎn)管理體系，負(fù)責(zé)所轄范圍內(nèi)計(jì)算機(jī)及數(shù)據(jù)

網(wǎng)絡(luò)的安全管理。

d)單項(xiàng)判定

如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不

符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.2.2安全管理機(jī)構(gòu)和人員

崗位設(shè)置

.1測(cè)評(píng)單元（L1-ORS1-01）

a)測(cè)評(píng)指標(biāo)

應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義部門(mén)及各個(gè)工作崗位的職責(zé)。（本條

款引用自GB/T22239.1-20XX）

b)測(cè)評(píng)對(duì)象

信息安全主管和管理制度類(lèi)文檔。

c)測(cè)評(píng)實(shí)施

1)應(yīng)訪談信息安全主管，確認(rèn)是否進(jìn)行了信息安全管理崗位的劃分；

2)應(yīng)核查崗位職責(zé)文檔，查看是否明確了各崗位職責(zé)。

d)單項(xiàng)判定

如果1）-2）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

.2測(cè)評(píng)單元（L1-ORS1-02）

a)測(cè)評(píng)指標(biāo)

應(yīng)明確由主管安全生產(chǎn)的領(lǐng)導(dǎo)作為工控系統(tǒng)安全防護(hù)的主要責(zé)任人。（新增）

b)測(cè)評(píng)對(duì)象

信息安全主管和管理制度類(lèi)文檔。

c)測(cè)評(píng)實(shí)施

1)應(yīng)訪談信息安全主管，確認(rèn)是否由主管安全生產(chǎn)的領(lǐng)導(dǎo)作為工控系統(tǒng)安全防護(hù)的主要責(zé)任

人；

2)應(yīng)核查崗位職責(zé)文檔，查看是明確由主管安全生產(chǎn)的領(lǐng)導(dǎo)作為工控系統(tǒng)安全防護(hù)的主要責(zé)

任人。

d)單項(xiàng)判定

如果1）-2）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

資金保障

.1測(cè)評(píng)單元（L1-ORS1-01）

a)測(cè)評(píng)指標(biāo)

應(yīng)保障工控控制系統(tǒng)安全建設(shè)、運(yùn)維、核查、等級(jí)保護(hù)測(cè)評(píng)及其它信息安全資金。（新增）

b)測(cè)評(píng)對(duì)象

信息安全主管和管理制度類(lèi)文檔。

c)測(cè)評(píng)實(shí)施

17

GB/TXXXXX—XXXX

1)應(yīng)訪談信息安全主管，是否能夠保障工控控制系統(tǒng)安全建設(shè)、運(yùn)維、核查、等級(jí)保護(hù)測(cè)評(píng)

及其它信息安全資金；

2)應(yīng)核查安全管理制度中是否有保障工控控制系統(tǒng)安全建設(shè)、運(yùn)維、核查、等級(jí)保護(hù)測(cè)評(píng)及

其它信息安全資金的內(nèi)容。

d)單項(xiàng)判定

如果1）-2）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

人員配備

.1測(cè)評(píng)單元（L1-ORS1-02）

a)測(cè)評(píng)指標(biāo)

應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等。（本條款引用自GB/T

22239.1-20XX）

b)測(cè)評(píng)對(duì)象

信息安全主管和記錄表單類(lèi)文檔。

c)測(cè)評(píng)實(shí)施

1)應(yīng)訪談信息安全主管，確認(rèn)各崗位人員配備情況；

2)應(yīng)核查人員配備文檔，查看各崗位人員配備情況。

d)單項(xiàng)判定

如果1）-2）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

授權(quán)和審批

.1測(cè)評(píng)單元（L1-ORS1-03）

a)測(cè)評(píng)指標(biāo)

應(yīng)根據(jù)各個(gè)部門(mén)和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審批部門(mén)和批準(zhǔn)人等。（本條款引用自GB/T

22239.1-20X

X）

b)測(cè)評(píng)對(duì)象

管理制度類(lèi)文檔和記錄表單類(lèi)文檔。

c)測(cè)評(píng)實(shí)施

1)應(yīng)核查部門(mén)職責(zé)文檔，查看各部門(mén)的職責(zé)和授權(quán)范圍；

2)應(yīng)核查崗位職責(zé)文檔，查看各崗位的職責(zé)和授權(quán)范圍；

3)應(yīng)核查審批記錄，查看審批事項(xiàng)、審批部門(mén)和批準(zhǔn)人等內(nèi)容是否與相關(guān)制度一致。

d)單項(xiàng)判定

如果1）-3）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

人員錄用

.1測(cè)評(píng)單元（L1-ORS1-04）

a)測(cè)評(píng)指標(biāo)

應(yīng)指定或授權(quán)專門(mén)的部門(mén)或人員負(fù)責(zé)人員錄用。本條款引用自（GB/T22239.1-20XX）

18

GB/TXXXXX—XXXX

b)測(cè)評(píng)對(duì)象

信息安全主管。

c)測(cè)評(píng)實(shí)施

應(yīng)訪談安全主管，詢問(wèn)是否由專門(mén)的部門(mén)或人員負(fù)責(zé)人員的錄用工作。

d)單項(xiàng)判定

如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不

符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

人員離崗

.1測(cè)評(píng)單元（L1-ORS1-05）

a)測(cè)評(píng)指標(biāo)

應(yīng)及時(shí)終止離崗員工的所有訪問(wèn)權(quán)限，取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)

備。本條款引用自（GB/T22239.1-20XX）

b)測(cè)評(píng)對(duì)象

記錄表單類(lèi)文檔。

c)測(cè)評(píng)實(shí)施

應(yīng)核查是否具有離崗人員交還身份證件、設(shè)備等的登記記錄。

d)單項(xiàng)判定

如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不

符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

安全意識(shí)教育和培訓(xùn)

.1測(cè)評(píng)單元（L1-ORS1-06）

a)測(cè)評(píng)指標(biāo)

應(yīng)對(duì)各類(lèi)人員進(jìn)行安全意識(shí)教育和崗位技能培訓(xùn)，并告知相關(guān)的安全責(zé)任和懲戒措施。本條款引用

自（GB/T22239.1-20XX）

b)測(cè)評(píng)對(duì)象

管理制度類(lèi)文檔。

c)測(cè)評(píng)實(shí)施

1)應(yīng)核查信息安全教育及技能培訓(xùn)文檔，查看是否明確培訓(xùn)周期、培訓(xùn)方式、培訓(xùn)內(nèi)容和考

核方式等相關(guān)內(nèi)容；

2)應(yīng)核查安全責(zé)任和懲戒措施管理文檔，查看是否包含具體的安全責(zé)任和懲戒措施。

d)單項(xiàng)判定

如果1）-2）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

外部人員訪問(wèn)管理

.1測(cè)評(píng)單元（L1-ORS1-07）

a)測(cè)評(píng)指標(biāo)

應(yīng)確保在外部人員訪問(wèn)受控區(qū)域前得到授權(quán)或?qū)徟?。本條款引用自（GB/T22239.1-20XX））

b)測(cè)評(píng)對(duì)象

管理制度類(lèi)文檔和記錄表單類(lèi)文檔。

19

GB/TXXXXX—XXXX

c)測(cè)評(píng)實(shí)施

1)應(yīng)核查外部人員訪問(wèn)管理文檔，查看是否明確允許外部人員訪問(wèn)的范圍（區(qū)域、系統(tǒng)、設(shè)

備、信息等內(nèi)容），外部人員進(jìn)入的條件（對(duì)哪些重要區(qū)域的訪問(wèn)須提出書(shū)面申請(qǐng)批準(zhǔn)后

方可進(jìn)入），外部人員進(jìn)入的訪問(wèn)控制措施（由專人全程陪同或監(jiān)督等）等；

2)應(yīng)核查外部人員訪問(wèn)重要區(qū)域的書(shū)面申請(qǐng)文檔，查看是否具有批準(zhǔn)人允許訪問(wèn)的批準(zhǔn)簽字

等。

d)單項(xiàng)判定

如果1）-2）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.2.3安全建設(shè)管理

定級(jí)

.1測(cè)評(píng)單元（L1-CMS1-01）

a)測(cè)評(píng)指標(biāo)

應(yīng)明確保護(hù)對(duì)象的邊界和安全保護(hù)等級(jí)。（本條款引用自GB/T22239.1-20XX）

b)測(cè)評(píng)對(duì)象

記錄表單類(lèi)文檔。

c)測(cè)評(píng)實(shí)施

應(yīng)核查定級(jí)文檔，查看文檔是否明確保護(hù)對(duì)象的邊界和安全保護(hù)等級(jí)，是否說(shuō)明定級(jí)的方法和理由。

d)單項(xiàng)判定

如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不

符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

安全方案設(shè)計(jì)

.1測(cè)評(píng)單元（L1-CMS1-02）

a)測(cè)評(píng)指標(biāo)

應(yīng)根據(jù)安全保護(hù)等級(jí)選擇基本安全措施，依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施。（本條款引用

自GB/T22239.1-20XX）

b)測(cè)評(píng)對(duì)象

安全規(guī)劃設(shè)計(jì)類(lèi)文檔。

c)測(cè)評(píng)實(shí)施

應(yīng)核查安全設(shè)計(jì)文檔，查看是否根據(jù)安全等級(jí)選擇安全措施，是否根據(jù)安全需求調(diào)整安全措施。

d)單項(xiàng)判定

如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不

符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

產(chǎn)品采購(gòu)和使用

.1測(cè)評(píng)單元（L1-CMS1-03）

a)測(cè)評(píng)指標(biāo)

應(yīng)確保信息安全產(chǎn)品采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定。（本條款引用自GB/T22239.1-20XX

）

b)測(cè)評(píng)對(duì)象

20

GB/TXXXXX—XXXX

建設(shè)負(fù)責(zé)人。

c)測(cè)評(píng)實(shí)施

應(yīng)訪談建設(shè)負(fù)責(zé)人，詢問(wèn)系統(tǒng)使用的有關(guān)信息安全產(chǎn)品是否符合國(guó)家的有關(guān)規(guī)定，如安全產(chǎn)品獲得

了銷(xiāo)售許可證等。

d)單項(xiàng)判定

如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不

符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

.2測(cè)評(píng)單元（L1-CMS1-03）

a)測(cè)評(píng)指標(biāo)

工控控制系統(tǒng)重要設(shè)備及專用信息安全產(chǎn)品應(yīng)通過(guò)國(guó)家及行業(yè)監(jiān)管部門(mén)認(rèn)可的專業(yè)機(jī)構(gòu)的安全性

及電磁兼容性檢測(cè)后方可采購(gòu)使用。（新增）

b)測(cè)評(píng)對(duì)象

建設(shè)負(fù)責(zé)人、檢測(cè)報(bào)告類(lèi)文檔。

c)測(cè)評(píng)實(shí)施

1)應(yīng)訪談建設(shè)負(fù)責(zé)人，詢問(wèn)系統(tǒng)使用的工控控制系統(tǒng)重要設(shè)備及專用信息安全產(chǎn)品是否通過(guò)

國(guó)家及行業(yè)監(jiān)管部門(mén)認(rèn)可的專業(yè)機(jī)構(gòu)的安全性及電磁兼容性檢測(cè)；

2)應(yīng)核查工控控制系統(tǒng)通過(guò)國(guó)家及行業(yè)監(jiān)管部門(mén)認(rèn)可的專業(yè)機(jī)構(gòu)的安全性及電磁兼容性檢

測(cè)的檢測(cè)報(bào)告。

d)單項(xiàng)判定

如果1）-2）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

工程實(shí)施

.1測(cè)評(píng)單元（L1-CMS1-04）

a)測(cè)評(píng)指標(biāo)

應(yīng)指定或授權(quán)專門(mén)的部門(mén)或人員負(fù)責(zé)工程實(shí)施過(guò)程的管理。（本條款引用自GB/T22239.1-20XX

）

b)測(cè)評(píng)對(duì)象

建設(shè)負(fù)責(zé)人。

c)測(cè)評(píng)實(shí)施

應(yīng)訪談建設(shè)負(fù)責(zé)人，詢問(wèn)是否指定專門(mén)部門(mén)或人員對(duì)工程實(shí)施過(guò)程進(jìn)行進(jìn)度和質(zhì)量控制，由何部門(mén)

/何人負(fù)責(zé)。

d)單項(xiàng)判定

如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不

符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

測(cè)試驗(yàn)收

.1測(cè)評(píng)單元（L1-CMS1-05）

a)測(cè)評(píng)指標(biāo)

應(yīng)進(jìn)行安全性測(cè)試驗(yàn)收。（本條款引用自GB/T22239.1-20XX）

b)測(cè)評(píng)對(duì)象

建設(shè)負(fù)責(zé)人。

21

GB/TXXXXX—XXXX

c)測(cè)評(píng)實(shí)施

應(yīng)訪談建設(shè)負(fù)責(zé)人，詢問(wèn)是否進(jìn)行了安全性測(cè)試驗(yàn)收。

d)單項(xiàng)判定

如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不

符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

系統(tǒng)交付

.1測(cè)評(píng)單元（L1-CMS1-06）

a)測(cè)評(píng)指標(biāo)

應(yīng)根據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)；（本條款引用自GB/T22239.1-20XX

a））

b)測(cè)評(píng)對(duì)象

記錄表單類(lèi)文檔。

c)測(cè)評(píng)實(shí)施

應(yīng)核查是否具有交付清單，查看交付清單是否說(shuō)明交付的各類(lèi)設(shè)備、軟件、文檔等。

d)單項(xiàng)判定

如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不

符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

.2測(cè)評(píng)單元（L1-CMS1-07）

a)測(cè)評(píng)指標(biāo)

應(yīng)對(duì)負(fù)責(zé)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)。（本條款引用自GB/T22239.1-20XX

b））

b)測(cè)評(píng)對(duì)象

記錄表單類(lèi)文檔。

c)測(cè)評(píng)實(shí)施

應(yīng)核查是否有交付技術(shù)培訓(xùn)記錄，查看是否包括培訓(xùn)內(nèi)容、培訓(xùn)時(shí)間和參與人員等。

d)單項(xiàng)判定

如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不

符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

服務(wù)供應(yīng)商管理

.1測(cè)評(píng)單元（L1-CMS1-08）

a)測(cè)評(píng)指標(biāo)

應(yīng)確保安全服務(wù)商的選擇符合國(guó)家的有關(guān)規(guī)定；（本條款引用自GB/T22239.1-20XXa））

b)測(cè)評(píng)對(duì)象

建設(shè)負(fù)責(zé)人。

c)測(cè)評(píng)實(shí)施

應(yīng)訪談建設(shè)負(fù)責(zé)人，詢問(wèn)等級(jí)保護(hù)對(duì)象選擇的安全服務(wù)商有哪些，是否符合國(guó)家有關(guān)規(guī)定。

d)單項(xiàng)判定

如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不

符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

.2測(cè)評(píng)單元（L1-CMS1-09）

22

GB/TXXXXX—XXXX

a)測(cè)評(píng)指標(biāo)

應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任。（本條款引用自GB/T

22239.1-20XXb））

b)測(cè)評(píng)對(duì)象

記錄表單類(lèi)文檔。

c)測(cè)評(píng)實(shí)施

應(yīng)核查是否具有與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書(shū)，查看是否明確了相關(guān)責(zé)任。

d)單項(xiàng)判定

如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不

符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

6.2.4安全運(yùn)維管理

環(huán)境管理

.1測(cè)評(píng)單元（L1-MMS1-01）

a)測(cè)評(píng)指標(biāo)

應(yīng)指定專門(mén)的部門(mén)或人員負(fù)責(zé)機(jī)房安全，對(duì)機(jī)房出入進(jìn)行管理，定期對(duì)機(jī)房供配電、空調(diào)、溫濕度

控制、消防等設(shè)施進(jìn)行維護(hù)管理。（本條款引用自GB/T22239.1-20XXa））

b)測(cè)評(píng)對(duì)象

物理安全負(fù)責(zé)人、記錄表單類(lèi)文檔。

c)測(cè)評(píng)實(shí)施

1)應(yīng)訪談物理安全負(fù)責(zé)人，詢問(wèn)是否指定部門(mén)和人員負(fù)責(zé)機(jī)房安全管理工作，對(duì)機(jī)房的出入

進(jìn)行管理、對(duì)基礎(chǔ)設(shè)施（如空調(diào)、供配電設(shè)備、滅火設(shè)備等）進(jìn)行定期維護(hù)，由何部門(mén)/

何人負(fù)責(zé)；

2)應(yīng)核查部門(mén)或人員崗位職責(zé)文檔，查看是否明確機(jī)房安全的責(zé)任部門(mén)及人員。

d)單項(xiàng)判定

如果1）-2）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

.2測(cè)評(píng)單元（L1-MMS1-02）

a)測(cè)評(píng)指標(biāo)

應(yīng)建立機(jī)房安全管理制度，對(duì)有關(guān)機(jī)房物理訪問(wèn)，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管

理作出規(guī)定。（本條款引用自GB/T22239.1-20XXb））

b)測(cè)評(píng)對(duì)象

管理制度類(lèi)文檔、記錄表單類(lèi)文檔。

c)測(cè)評(píng)實(shí)施

1)應(yīng)核查機(jī)房安全管理制度，查看制度內(nèi)容是否覆蓋機(jī)房物理訪問(wèn)、物品帶進(jìn)、帶出機(jī)房和

機(jī)房環(huán)境安全等方面內(nèi)容；

2)應(yīng)核查機(jī)房環(huán)境和物理訪問(wèn)、物品帶進(jìn)、帶出機(jī)房等的登記記錄，是否與制度相符。

d)單項(xiàng)判定

如果1）-2）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

.3測(cè)評(píng)單元（L4-PES1-24）

23

GB/TXXXXX—XXXX

a)測(cè)評(píng)指標(biāo)

室外控制設(shè)備應(yīng)明確專人負(fù)責(zé)，并定期進(jìn)行核查、維護(hù)和清潔工作。

b)測(cè)評(píng)對(duì)象

室外控制設(shè)備。

c)測(cè)評(píng)實(shí)施

1)應(yīng)詢問(wèn)管理員室外控制設(shè)備是否有專人負(fù)責(zé)；

2)應(yīng)核查相關(guān)記錄是否定期對(duì)室外控制設(shè)備進(jìn)行核查、維護(hù)和清潔工作的記錄。

d)單項(xiàng)判定

如果1）-2）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

介質(zhì)管理

.1測(cè)評(píng)單元（L1-MMS1-03）

a)測(cè)評(píng)指標(biāo)

應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對(duì)各類(lèi)介質(zhì)進(jìn)行控制和保護(hù)，實(shí)行存儲(chǔ)環(huán)境專人管理，并根據(jù)存

檔介質(zhì)的目錄清單定期盤(pán)點(diǎn)。（本條款引用自GB/T22239.1-20XX）

b)測(cè)評(píng)對(duì)象

資產(chǎn)管理員、記錄表單類(lèi)文檔。

c)測(cè)評(píng)實(shí)施

1)應(yīng)訪談資產(chǎn)管理員，詢問(wèn)介質(zhì)存放于何種環(huán)境中，是否對(duì)存放環(huán)境實(shí)施專人管理；

2)應(yīng)核查介質(zhì)使用管理記錄，查看其是否記錄介質(zhì)歸檔和使用等情況。

d)單項(xiàng)判定

如果1）-2）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或

部分符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求。

.2測(cè)評(píng)單元（L1-MMS1-03）

a)測(cè)評(píng)指標(biāo)

應(yīng)建立隔離區(qū)域移動(dòng)存儲(chǔ)介質(zhì)安全管理制度，對(duì)移動(dòng)存儲(chǔ)介質(zhì)的使用進(jìn)行限制。（新增）

b)測(cè)評(píng)對(duì)象

資產(chǎn)管理員、管理制度類(lèi)文檔、記錄表單類(lèi)文檔。

c)測(cè)評(píng)實(shí)施

1)應(yīng)訪談資產(chǎn)管理員，詢問(wèn)是否建立隔離區(qū)域移動(dòng)存儲(chǔ)介質(zhì)安全管理制度，是否對(duì)移動(dòng)存儲(chǔ)

介質(zhì)的使用進(jìn)行限制；

2)應(yīng)查看是否有隔離區(qū)域移動(dòng)存儲(chǔ)介質(zhì)安全管理制度是否有限制移動(dòng)存儲(chǔ)介質(zhì)使用的內(nèi)容；

3)應(yīng)核查隔離區(qū)與移動(dòng)介質(zhì)使用管理記錄，查看其是否記錄隔離區(qū)域移動(dòng)存儲(chǔ)介質(zhì)歸檔和使

用等情況。

d)單項(xiàng)判定

如果1）-3）均為肯定，則等級(jí)保護(hù)對(duì)象符合本單項(xiàng)測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不