DB11T 1344-2016 信息安全等級保護(hù)檢查規(guī)范

DB11北京市質(zhì)量技術(shù)監(jiān)督局發(fā)布 楊瀟、石浩、王佳、趙勇、羅錚、袁靜、于東升、霍珊珊、劉健、張益信息安全等級保護(hù)檢查規(guī)范檢查人員使用預(yù)定的方法/工具使被檢查對象（各類設(shè)備或安全配置）產(chǎn)生特定的結(jié)果，將運行結(jié)——制定檢查組工作計劃，計劃內(nèi)容應(yīng)包括檢查對象、檢查針對被檢查單位信息系統(tǒng)安全保護(hù)能力出具書面結(jié)若機房出入口沒有進(jìn)出機房的人員登記記錄，則檢查結(jié)果b)查驗機房是否配備符合要求的滅火設(shè)備，滅火設(shè)備擺放是否合理，有效期是b)若機房內(nèi)沒有配備符合要求的滅火設(shè)備，滅火設(shè)備擺放不合理或已c)若機房內(nèi)沒有配備溫濕度自動調(diào)節(jié)設(shè)施，或當(dāng)前溫若網(wǎng)絡(luò)拓?fù)鋱D中無法定位核心交換機、核心服務(wù)器、邊界防火墻等關(guān)鍵b)若沒有部署入侵檢測設(shè)備或入侵檢測設(shè)備的特征庫未及時更新，則查驗主要網(wǎng)絡(luò)設(shè)備、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應(yīng)用系統(tǒng)的身份鑒別查驗主要服務(wù)器操作系統(tǒng)和重要數(shù)據(jù)庫管理系統(tǒng)是否已禁用或者限制匿名/默認(rèn)賬戶的訪a)操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)默認(rèn)賬戶名未重命名，默認(rèn)口令），若缺乏主要網(wǎng)絡(luò)設(shè)備、主要數(shù)據(jù)庫管理系統(tǒng)和主要應(yīng)用系統(tǒng)的重要信息的備份介質(zhì)，則查驗系統(tǒng)、網(wǎng)絡(luò)、安全方面的管理規(guī)定，記錄系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、安若信息安全管理制度（網(wǎng)絡(luò)、主機、密碼、審計等制度）中沒有明確角色和職責(zé)定義，沒有若沒有制定日常信息安全管理制度，如機房管a)查驗關(guān)鍵崗位人員的勞動合同，記錄負(fù)責(zé)人員錄用的b)查驗離崗人員辦理過的調(diào)離手續(xù)記錄，記錄離崗員工被終止的訪問應(yīng)檢查系統(tǒng)設(shè)計、系統(tǒng)實施、系統(tǒng)驗收、系統(tǒng)運維等生命周期各階段的安全管理制度和相應(yīng)a)查驗定級報告，記錄定級報告名稱和蓋b)查驗安全設(shè)計方案，記錄安全設(shè)計h)查驗設(shè)備管理的部門名稱或人員姓名，記錄部門名稱或人員姓名，查驗設(shè)a)若無法提供系統(tǒng)定級報告書，無單位信息安全領(lǐng)導(dǎo)（小組h)若無法提供設(shè)備管理的部門名稱或人員姓名及設(shè)備維護(hù)記錄，則查驗機房所在樓宇的驗收報告是否明確機房所在建筑的防震、防風(fēng)和若無法提供機房所在建筑物樓宇的驗收報告，或未采取防風(fēng)和防雨等措a)查驗機房所有出入口是否有值守記錄以及進(jìn)出機b)查驗是否有來訪人員進(jìn)入機房的審批記錄，正常工作，查看是否有運行記錄、報警記錄、定期d)訪談物理安全負(fù)責(zé)人，詢問機房主要設(shè)備是正常工作，運行記錄、報警記錄、定期檢查和維修記錄缺失，則6a)查驗防火墻等邊界安全設(shè)備是否配置網(wǎng)b)查驗網(wǎng)絡(luò)邊界設(shè)備是否采取技術(shù)手段防d)查驗邊界完整性檢查設(shè)備是否設(shè)置了對非法連接到外網(wǎng)的行為進(jìn)c)若沒有部署入侵檢測設(shè)備或入侵檢測設(shè)備的特征庫b)查驗操作系統(tǒng)、應(yīng)用系統(tǒng)是否具備登錄失敗賬戶a)查驗主要服務(wù)器操作系統(tǒng)和重要數(shù)據(jù)庫管理系統(tǒng)是否已禁用或a)操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)默認(rèn)賬戶名未重），a)查驗網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)是否具備了審計日志;a)不具備網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)a)查驗網(wǎng)絡(luò)設(shè)備的配置文件中用戶口令是否加密存儲；b)查驗應(yīng)用系統(tǒng)存儲用戶信息的數(shù)據(jù)表中用戶口令字段是否加密存儲；息安全管理崗位人員名單，未設(shè)置專職的信息安全管理員，或安全管理員存在兼任現(xiàn)象，則應(yīng)檢查信息安全工作的總體方針和安全策略制定、發(fā)布方式和定期評審修評審人員和評審結(jié)論，修訂記錄是否至少包b)若安全管理制度沒有采用文件、郵件或辦公網(wǎng)等密范圍、保密責(zé)任、違約責(zé)任、協(xié)議有效期和責(zé)姓名、調(diào)離崗位、調(diào)離時間、收回權(quán)限及物品、核對人簽字、批準(zhǔn)人地點等，查驗培訓(xùn)記錄是否至少包括培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果應(yīng)檢查系統(tǒng)設(shè)計、系統(tǒng)開發(fā)、系統(tǒng)實施、系統(tǒng)測評、系統(tǒng)驗收、系統(tǒng)交付、系統(tǒng)運維等生命若為外包軟件開發(fā)，請被檢查機構(gòu)的配合人員提供軟件的惡意代碼檢測記錄和用的管理規(guī)定；查驗信息處理設(shè)備帶離機房或辦公地點的統(tǒng)漏洞掃描報告，掃描時間間隔與掃描周期是否一致；查驗系統(tǒng)安全管理制度，內(nèi)容是否覆變更申報、審批程序，是否規(guī)定需要申報的變更類型、申報流程、審批部門、批準(zhǔn)人等方面a)若無法提供系統(tǒng)定級報告書，無單位信o)若無法提供變更管理制度，或內(nèi)容未覆蓋系統(tǒng)上線變更、配置變更和其他重要變更等，則a)若無法提供業(yè)務(wù)中斷影響分析報告，內(nèi)容未包括業(yè)務(wù)中斷的可能性和造成的影響分析，則c)若無法提供備份與恢復(fù)管理相關(guān)的安全管理制度，未明確系統(tǒng)和數(shù)據(jù)備份頻率和方式，則a)查驗機房所在樓宇的驗收報告是否明確a)若無法提供機房所在建筑物樓宇的驗收b)查驗是否有來訪人員進(jìn)入機房的審批記錄，查驗審批記錄是否包d)查驗電子門禁系統(tǒng)是否能正常工作；是否正常工作，是否有運行記錄、報警記錄、定期檢b)若機房內(nèi)沒有設(shè)置對水敏感的檢測儀表或元件對），絕服務(wù)攻擊等，查看其規(guī)則庫是否為最新，并對發(fā)現(xiàn)的入侵e)查驗邊界完整性檢查設(shè)備是否設(shè)置了對非法連接到外網(wǎng)和非法連接到內(nèi)網(wǎng)的行為進(jìn)行監(jiān)控并應(yīng)檢查網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應(yīng)用系統(tǒng)的身份鑒別措施、口令策略和強化默認(rèn)口令、空口令，設(shè)置少于8位且僅由數(shù)字或字母組成的口令，則7.2.3.2a）檢查結(jié)果為a)查驗主要服務(wù)器操作系統(tǒng)和重要數(shù)據(jù)庫管理系統(tǒng)是否已禁用或a)操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)默認(rèn)賬戶名未重），），權(quán)書名稱；通過訪談了解是否成立信息安全管理工作的職能部門，并檢查安全主管的職責(zé)范錄和報告，核對記錄是否至少包括檢查時間、檢查人員、檢查對象、檢查結(jié)果，核對報告是安全工作的總體方針、抽查的安全策略文檔名稱、抽查的管理制度名稱、抽查的操作規(guī)程名評審人員和評審結(jié)論，修訂記錄是否至少包），應(yīng)檢查重要崗位人員勞動合同、保密協(xié)議、人員培訓(xùn)、考核記錄、人員離崗管理制度和離崗姓名、調(diào)離崗位、調(diào)離時間、收回權(quán)限及物品、承諾的保密義務(wù)、核對人簽字、批準(zhǔn)人簽字記錄是否至少包括考核時間、考核對象、考核內(nèi)容、考核和培訓(xùn)記錄，核對培訓(xùn)記錄是否至少包括培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)應(yīng)檢查系統(tǒng)設(shè)計、系統(tǒng)開發(fā)、系統(tǒng)實施、系統(tǒng)測評、系統(tǒng)驗收、系統(tǒng)交付、系統(tǒng)運維等生命等級保護(hù)備案表》、系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明、系統(tǒng)安全組織機構(gòu)和管理制度、系統(tǒng)安全保護(hù)設(shè)施設(shè)計實施方案或者改建實施方案、系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明副本、信息系統(tǒng)安全保護(hù)等級專家評審意見、主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級的意有無代碼編寫安全規(guī)范；若為外包軟件開發(fā)，查驗軟件的惡意代碼檢測記錄和稱及數(shù)量、文檔名稱及數(shù)量等；查驗系統(tǒng)交付后的培訓(xùn)記錄，核對培訓(xùn)記錄是否至少包括培測評機構(gòu)是否是《全國等級保護(hù)測評機構(gòu)推薦目錄》查驗工作人員離開情況下終端計算機的狀態(tài)是否為鎖定狀態(tài)，桌面是否沒有包含敏感信息的少包括資產(chǎn)管理和使用的行為；核對是否對數(shù)據(jù)信息的分類與標(biāo)識方法作出規(guī)定，查閱信息用的管理規(guī)定；查驗信息處理設(shè)備帶離機房或辦公地點的審批記錄；查驗配套設(shè)施、軟硬件計等安全相關(guān)事項的集中監(jiān)控和管理；查驗監(jiān)測與報警記錄與分存時間、口令更新周期等方面內(nèi)容；通過訪談了解是否定期對網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞掃描，記錄嚴(yán)重級別和結(jié)果處理等方面，掃描時間間隔與掃描周期是統(tǒng)漏洞掃描報告，確認(rèn)掃描時間間隔與掃描周期是否一致；查驗系統(tǒng)安全管理制度，內(nèi)容是否覆蓋系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面；通過訪談詢問是否指定專門的部門或人員負(fù)責(zé)系統(tǒng)管理，詢問是否對系統(tǒng)管理員用戶進(jìn)行分類，明確各個角色的權(quán)的升級情況，對截獲的危險病毒或惡意代碼是否及時進(jìn)行分析處理，查驗書面的報表和總結(jié)匯報；查驗惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告，查驗升級記錄是否記錄升級時間、升級版本等內(nèi)容，查驗分析報告是否描述惡意代碼的特征、修補措施變更申報、審批程序，是否規(guī)定需要申報的變更類型、申報流程、審批部門、批準(zhǔn)人等方面b)若無法提供符合公安機關(guān)要求的定級備案材料，資料不完整，未獲得公安機關(guān)備案證明，則開發(fā)，無法提供軟件的惡意代碼掃描記錄和檢測收應(yīng)至少包含應(yīng)用安全，網(wǎng)絡(luò)環(huán)境驗收應(yīng)至少包含網(wǎng)絡(luò)安全等），或無測試報告結(jié)果的評審和分類方法、信息存儲和保存發(fā)放等；無法提供資產(chǎn)借出/收回記等安全相關(guān)事項的集中監(jiān)控和管理；未配置報警策略，未根據(jù)監(jiān)控和報警情況進(jìn)行匯報和處流程等方面；無法提供定期對服務(wù)器進(jìn)行漏洞掃描的報告，未指定專人負(fù)責(zé)系統(tǒng)的運維，則病毒庫不是最新；或?qū)阂獯a事件未及時變更流程，沒有變更審批、過程記錄和通報記據(jù)備份頻率和方式，或數(shù)據(jù)備份頻率和方式不能夠滿足RTO和RPO目標(biāo)值；未定期進(jìn)行數(shù)據(jù)恢應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容；或未定期開展應(yīng)急預(yù)案培訓(xùn)和演練a)查驗機房所在樓宇的驗收報告是否明確a)若無法提供機房所在建筑物樓宇的驗收是否正常工作，是否有運行記錄、報警記錄、定期檢過機房滅火設(shè)備的使用培訓(xùn)，是否能夠正確使用滅火設(shè)備和自動消防系統(tǒng)；是否能夠做到隨動消防系統(tǒng)的設(shè)計或驗收文檔，文檔是否與現(xiàn)有消防配置狀況一致；查驗是否有機房及相關(guān)或并行的電力電纜線路以及備用供電系統(tǒng)等要求；查驗與機房電力供應(yīng)實際情m)若機房內(nèi)沒有設(shè)置短期備用電源設(shè)備（如UPS）或備用供電系統(tǒng)，電力換時不能夠?qū)τ嬎銠C系統(tǒng)正常供電，或備用供電系統(tǒng)不能夠在規(guī)定時間內(nèi)正常啟動和正常供），絕服務(wù)攻擊等，查看其規(guī)則庫是否為最新，并對發(fā)現(xiàn)的入侵e)查驗邊界完整性檢查設(shè)備是否設(shè)置了對非法連接到外網(wǎng)和非法連接到內(nèi)網(wǎng)的行為進(jìn)行監(jiān)控并應(yīng)檢查網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應(yīng)用系統(tǒng)的身份鑒別措施、口令策略和強化默認(rèn)口令、空口令，設(shè)置少于8位且僅由數(shù)字或字母組成的口令，則8.2.3.2a）檢查結(jié)果為a)查驗主要服務(wù)器操作系統(tǒng)和重要數(shù)據(jù)庫管理系統(tǒng)是否已禁用或數(shù)據(jù)庫表、記錄和字段級；以不同權(quán)限的用戶登錄應(yīng)用系統(tǒng)，查看其擁有的權(quán)限是否與系統(tǒng)a)操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)默認(rèn)賬戶名未重），現(xiàn)了對審計記錄的保護(hù)，日志信息是否至少保），權(quán)書名稱；通過訪談了解是否成立信息安全管理工作的職能部門，并檢查安全主管的職責(zé)范和安全檢查報告，核對記錄是否至少包括檢查時間、檢查人員、檢查對象、檢查結(jié)果，核對安全工作的總體方針、抽查的安全策略文檔名稱、抽查的管理制度名稱、抽查的操作規(guī)程名本號；若制定了帶有密級的安全管理制度，詢問并記錄安全管理制評審人員和評審結(jié)論，修訂記錄是否至少包括修訂時間、修訂內(nèi)容、修訂人等信息；查驗不），應(yīng)檢查重要崗位人員勞動合同、保密協(xié)議、人員培訓(xùn)、考核記錄、人員離崗管理制度、離崗姓名、調(diào)離崗位、調(diào)離時間、收回權(quán)限及物品、承諾的保密義務(wù)、核對人簽字、批準(zhǔn)人簽字記錄是否至少包括考核時間、考核對象、考核內(nèi)容、考核結(jié)果等；檢查保密制度，記錄保密和培訓(xùn)記錄，核對培訓(xùn)記錄是否至少包括培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)應(yīng)檢查系統(tǒng)設(shè)計、系統(tǒng)開發(fā)、系統(tǒng)實施、系統(tǒng)測評、系統(tǒng)驗收、系統(tǒng)交付、系統(tǒng)運維等生命安全等級保護(hù)備案表》、系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明、系統(tǒng)安全組織機構(gòu)和管理制度、系統(tǒng)安全保護(hù)設(shè)施設(shè)計實施方案或者改建實施方案、系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明副本、信息系統(tǒng)安全保護(hù)等級專家評審意見、主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級的意見；查驗重要部位的產(chǎn)品是否委托專業(yè)測評單位進(jìn)行專項測試，抽查測試有無代碼編寫安全規(guī)范；查驗開發(fā)人員是否為專職，記錄開發(fā)活動受到控制、監(jiān)視和審查的措施；若為外包軟件開發(fā)，請被檢查機構(gòu)的配合人員提供軟件的惡意代碼檢測記錄稱及數(shù)量、文檔名稱及數(shù)量等；查驗系統(tǒng)交付后的培訓(xùn)記錄，核對培訓(xùn)記錄是否至少包括培測評機構(gòu)資質(zhì)是否是《全國等級保護(hù)測評機構(gòu)推薦目錄》查驗工作人員離開情況下終端計算機的狀態(tài)是否為鎖定狀態(tài)，桌面是否沒有包含敏感信息的少包括資產(chǎn)管理和使用的行為；核對是否對數(shù)據(jù)信息的分類與標(biāo)識方法作出規(guī)定，查閱信息用的管理規(guī)定；查驗信息處理設(shè)備帶離機房或辦公地點的審批記錄；查驗配套設(shè)施、軟硬件計等安全相關(guān)事項的集中監(jiān)控和管理；查驗監(jiān)測與報警記錄與分存時間、口令更新周期等方面內(nèi)容；通過訪談了解是否定期對網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞掃描，記錄嚴(yán)重級別和結(jié)果處理等方面，掃描時間間隔與掃描周期是否一致；查驗是否明確禁止便攜式統(tǒng)漏洞掃描報告，掃描時間間隔與掃描周期是否一致；查驗系統(tǒng)安全管理制度，內(nèi)容是否覆蓋系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面；通過訪談詢問是否指定專門的部門或人員負(fù)責(zé)系統(tǒng)管理，詢問是否對系統(tǒng)管理員用戶進(jìn)行分類，明確各個角色的權(quán)限、的升級情況，對截獲的危險病毒或惡意代碼是否及時進(jìn)行分析處理，查驗書面的報表和總結(jié)匯報；查驗惡意代碼檢測