ISO27000及等保三級(jí)管理要求控制點(diǎn)對(duì)照表

等保三級(jí)及ISO27000控制點(diǎn)對(duì)照表,,,,,,,,

,,,,,,,,,

項(xiàng)目分類(lèi),等保分類(lèi),等保三級(jí)控制點(diǎn),等保控制目標(biāo),ISO270000分類(lèi),ISO27000控制點(diǎn),ISO27000控制目標(biāo),調(diào)查方式,調(diào)查結(jié)果

7.2.1安全管理制度,7.2.1.1管理制度（G3）,a)應(yīng)制定信息安全工作的總體方針和安全策略，說(shuō)明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等；,"a)應(yīng)訪談安全主管，詢(xún)問(wèn)機(jī)構(gòu)的制度體系是否由安全政策、安全策略、管理制度、操作規(guī)程等構(gòu)成，是否定期對(duì)安全管理制度體系進(jìn)行評(píng)審，評(píng)審周期多長(zhǎng)；

b)應(yīng)檢查信息安全工作的總體方針、政策性文件和安全策略文件，查看文件是否明確機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、方針、原則、責(zé)任等，是否明確信息系統(tǒng)的安全策略；

c)應(yīng)檢查安全管理制度清單，查看是否覆蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、管理等層面；

d)應(yīng)檢查是否具有重要管理操作的操作規(guī)程，如系統(tǒng)維護(hù)手冊(cè)和用戶(hù)操作規(guī)程等；

e)應(yīng)檢查是否具有安全管理制度體系的評(píng)審記錄，查看記錄日期與評(píng)審周期是否一致，是否記錄了相關(guān)人員的評(píng)審意見(jiàn)。",A.5.1信息安全政策,A.5.1.1信息安全政策文件,信息安全政策文件應(yīng)由管理階層核準(zhǔn)，并公布與傳達(dá)給所有聘雇人員與相關(guān)外部團(tuán)體。,"訪談，檢查。

安全主管，總體方針、政策性文件和安全策略文件，安全管理制度清單，操作規(guī)程，評(píng)審記錄。",

,,b)應(yīng)對(duì)安全管理活動(dòng)中的各類(lèi)管理內(nèi)容建立安全管理制度；,,,,,,

,,c)應(yīng)對(duì)要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程；,,,,,,

,,d)應(yīng)形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系。,,,,,,

,7.2.1.2制定和發(fā)布（G3）,a)應(yīng)指定或授權(quán)專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)安全管理制度的制定；,"a)應(yīng)訪談安全主管，詢(xún)問(wèn)安全管理制度是否在信息安全領(lǐng)導(dǎo)小組或委員會(huì)的總體負(fù)責(zé)下統(tǒng)一制定，參與制定人員有哪些；

b)應(yīng)訪談安全主管，詢(xún)問(wèn)安全管理制度的制定程序，是否對(duì)制定的安全管理制度進(jìn)行論證和審定，論證和評(píng)審方式如何（如召開(kāi)評(píng)審會(huì)、函審、內(nèi)部審核等），是否按照統(tǒng)一的格式標(biāo)準(zhǔn)或要求制定；

c)應(yīng)檢查制度制定和發(fā)布要求管理文檔，查看文檔是否說(shuō)明安全管理制度的制定和發(fā)布程序、格式要求及版本編號(hào)等相關(guān)內(nèi)容；

d)應(yīng)檢查管理制度評(píng)審記錄，查看是否有相關(guān)人員的評(píng)審意見(jiàn)；

e)應(yīng)檢查安全管理制度文檔，查看是否注明適用和發(fā)布范圍，是否有版本標(biāo)識(shí)，是否有管理層的簽字或蓋章；查看各項(xiàng)制度文檔格式是否統(tǒng)一；

f)應(yīng)檢查安全管理制度的收發(fā)登記記錄，查看收發(fā)是否符合規(guī)定程序和發(fā)布范圍要求。",,,,"訪談，檢查。

安全主管，制度制定和發(fā)布要求管理文檔，評(píng)審記錄，安全管理制度，收發(fā)登記記錄。",

,,b)安全管理制度應(yīng)具有統(tǒng)一的格式，并進(jìn)行版本控制；,,,,,,

,,c)應(yīng)組織相關(guān)人員對(duì)制定的安全管理制度進(jìn)行論證和審定；,,,,,,

,,d)安全管理制度應(yīng)通過(guò)正式、有效的方式發(fā)布；,,,,,,

,,e)安全管理制度應(yīng)注明發(fā)布范圍，并對(duì)收發(fā)文進(jìn)行登記。,,,,,,

,7.2.1.3評(píng)審和修訂（G3）,a)信息安全領(lǐng)導(dǎo)小組應(yīng)負(fù)責(zé)定期組織相關(guān)部門(mén)和相關(guān)人員對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定；,"a)應(yīng)訪談安全主管，詢(xún)問(wèn)是否定期對(duì)安全管理制度進(jìn)行評(píng)審，由何部門(mén)/何人負(fù)責(zé)；

b)應(yīng)訪談管理人員（負(fù)責(zé)定期評(píng)審、修訂和日常維護(hù)的人員），詢(xún)問(wèn)定期對(duì)安全管理制度的評(píng)審、修訂情況和日常維護(hù)情況，評(píng)審周期多長(zhǎng)，評(píng)審、修訂程序如何，維護(hù)措施如何；

c)應(yīng)訪談管理人員（負(fù)責(zé)人員），詢(xún)問(wèn)系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時(shí)是否對(duì)安全管理制度進(jìn)行審定，對(duì)需要改進(jìn)的制度是否進(jìn)行修訂；

d)應(yīng)檢查安全管理制度評(píng)審記錄，查看記錄日期與評(píng)審周期是否一致；如果對(duì)制度做過(guò)修訂，檢查是否有修訂版本的安全管理制度；

e)應(yīng)檢查是否具有系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時(shí)對(duì)安全管理制度進(jìn)行審定的記錄；

f)應(yīng)檢查是否具有需要定期修訂的安全管理制度列表，查看列表是否注明評(píng)審周期；

g)應(yīng)檢查是否具有所有安全管理制度對(duì)應(yīng)相應(yīng)負(fù)責(zé)人或者負(fù)責(zé)部門(mén)的清單。",,A.5.1.2審查信息安全政策,信息安全政策應(yīng)在規(guī)劃期間內(nèi)或有重大變更發(fā)生時(shí)加以審查，以確保其持續(xù)的適用性、適切性及有效性。,"訪談，檢查。

安全主管，管理人員，安全管理制度列表，評(píng)審記錄，安全管理制度對(duì)應(yīng)負(fù)責(zé)人或負(fù)責(zé)部門(mén)的清單。",

,,b)應(yīng)定期或不定期對(duì)安全管理制度進(jìn)行檢查和審定，對(duì)存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。,,,,,,

7.2.2安全管理機(jī)構(gòu),7.2.2.1崗位設(shè)置（G3）,a)應(yīng)設(shè)立信息安全管理工作的職能部門(mén)，設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)；,"a)應(yīng)訪談安全主管，詢(xún)問(wèn)是否設(shè)立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任；

b)應(yīng)訪談安全主管，詢(xún)問(wèn)是否設(shè)立專(zhuān)職的安全管理機(jī)構(gòu)（即信息安全管理工作的職能部門(mén)）；機(jī)構(gòu)內(nèi)部門(mén)設(shè)置情況如何，是否明確各部門(mén)職責(zé)分工；

c)應(yīng)訪談安全主管，詢(xún)問(wèn)是否設(shè)立安全管理各個(gè)方面的負(fù)責(zé)人，設(shè)置了哪些工作崗位（如安全主管、安全管理各個(gè)方面的負(fù)責(zé)人、機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全員等重要崗位），是否明確各個(gè)崗位的職責(zé)分工；

d)應(yīng)訪談安全主管、安全管理某方面的負(fù)責(zé)人、信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組日常管理工作的負(fù)責(zé)人、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和安全員，詢(xún)問(wèn)其崗位職責(zé)包括哪些內(nèi)容；

e)應(yīng)檢查部門(mén)、崗位職責(zé)文件，查看文件是否明確安全管理機(jī)構(gòu)的職責(zé)，是否明確機(jī)構(gòu)內(nèi)各部門(mén)的職責(zé)和分工，部門(mén)職責(zé)是否涵蓋物理、網(wǎng)絡(luò)和系統(tǒng)等各個(gè)方面；查看文件是否明確設(shè)置安全主管、安全管理各個(gè)方面的負(fù)責(zé)人、機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全員等各個(gè)崗位，各個(gè)崗位的職責(zé)范圍是否清晰、明確；查看文件是否明確各個(gè)崗位人員應(yīng)具有的技能要求；

f)應(yīng)檢查信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組是否具有單位主管領(lǐng)導(dǎo)對(duì)其最高領(lǐng)導(dǎo)的委任授權(quán)書(shū)；

g)應(yīng)檢查信息安全管理委員會(huì)職責(zé)文件，查看是否明確描述委員會(huì)的職責(zé)和其最高領(lǐng)導(dǎo)崗位的職責(zé)；

h)應(yīng)檢查安全管理各部門(mén)和信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組是否具有日常管理工作執(zhí)行情況的文件或工作記錄（如會(huì)議記錄/紀(jì)要和信息安全工作決策文檔等）。",A.6信息安全組織,A.6.1.3信息安全職責(zé)的分派,,"訪談，檢查。

安全主管，安全管理某方面的負(fù)責(zé)人，領(lǐng)導(dǎo)小組日常管理工作的負(fù)責(zé)人，系統(tǒng)管理員，網(wǎng)絡(luò)管理員，安全員，部門(mén)、崗位職責(zé)文件，委任授權(quán)書(shū)，工作記錄。",

,,b)應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個(gè)工作崗位的職責(zé)；,,,,,,

,,c)應(yīng)成立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán)；,,,A.6.1.1管理階層對(duì)信息安全的承諾,管理階層應(yīng)在組織內(nèi)藉由清楚的指示、展現(xiàn)的承諾、明確的分派以及確認(rèn)信息安全職責(zé)，積極地支持安全。,,

,,d)應(yīng)制定文件明確安全管理機(jī)構(gòu)各個(gè)部門(mén)和崗位的職責(zé)、分工和技能要求。,,,A.6.1.2信息安全協(xié)調(diào)合作,信息安全活動(dòng)應(yīng)由組織內(nèi)具有相關(guān)角色與工作功能之不同部門(mén)的代表協(xié)調(diào)合作。,,

,7.2.2.2人員配備（G3）,a)應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等；,"a)應(yīng)訪談安全主管，詢(xún)問(wèn)各個(gè)安全管理崗位人員（按照崗位職責(zé)文件詢(xún)問(wèn)，包括機(jī)房管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員、安全員等重要崗位人員）配備情況，包括數(shù)量、專(zhuān)職還是兼職等；

b)應(yīng)訪談安全主管，詢(xún)問(wèn)對(duì)哪些關(guān)鍵崗位實(shí)行定期輪崗，定期輪崗情況如何，輪崗周期多長(zhǎng)，輪崗手續(xù)如何；

c)應(yīng)檢查人員配備要求管理文檔，查看是否明確應(yīng)配備哪些安全管理人員，是否包括機(jī)房管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員、安全員等重要崗位人員并明確應(yīng)配備專(zhuān)職的安全員；查看是否明確對(duì)哪些關(guān)鍵崗位（應(yīng)有列表）實(shí)行定期輪崗并明確輪崗周期、輪崗手續(xù)等相關(guān)內(nèi)容；

d)應(yīng)檢查管理人員名單，查看其是否明確機(jī)房管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員、安全員等重要崗位人員的信息，確認(rèn)安全員是否是專(zhuān)職人員。",,,,"訪談，檢查。

安全主管，人員配備要求管理文檔，管理人員名單。",

,,b)應(yīng)配備專(zhuān)職安全管理員，不可兼任；,,,,,,

,,c)關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理。,,,,,,

,7.2.2.3授權(quán)和審批（G3）,a)應(yīng)根據(jù)各個(gè)部門(mén)和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審批部門(mén)和批準(zhǔn)人等；,"a)應(yīng)訪談安全主管，詢(xún)問(wèn)其是否規(guī)定對(duì)信息系統(tǒng)中的關(guān)鍵活動(dòng)進(jìn)行審批，審批部門(mén)是何部門(mén)，批準(zhǔn)人是何人，他們的審批活動(dòng)是否得到授權(quán)；詢(xún)問(wèn)是否定期審查、更新審批項(xiàng)目，審查周期多長(zhǎng)；

b)應(yīng)訪談關(guān)鍵活動(dòng)的批準(zhǔn)人，詢(xún)問(wèn)其對(duì)關(guān)鍵活動(dòng)的審批范圍包括哪些（如網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、重要服務(wù)器和設(shè)備等重要資源的訪問(wèn)，重要管理制度的制定和發(fā)布，人員的配備、培訓(xùn)，產(chǎn)品的采購(gòu)，第三方人員的訪問(wèn)、管理，與合作單位的合作項(xiàng)目等），審批程序如何；

c)應(yīng)檢查授權(quán)管理文件，查看文件是否包含需審批事項(xiàng)列表，列表是否明確審批事項(xiàng)和雙重審批事項(xiàng)、審批部門(mén)、批準(zhǔn)人及審批程序等（如列表說(shuō)明哪些事項(xiàng)應(yīng)經(jīng)過(guò)信息安全領(lǐng)導(dǎo)小組審批，哪些事項(xiàng)應(yīng)經(jīng)過(guò)安全管理機(jī)構(gòu)審批，哪些關(guān)鍵活動(dòng)應(yīng)經(jīng)過(guò)哪些部門(mén)雙重審批等），文件是否說(shuō)明應(yīng)定期審查、更新需審批的項(xiàng)目和審查周期等；

d)應(yīng)檢查經(jīng)雙重審批的文檔，查看是否具有雙重批準(zhǔn)人的簽字和審批部門(mén)的蓋章；

e)應(yīng)檢查關(guān)鍵活動(dòng)的審批過(guò)程記錄，查看記錄的審批程序與文件要求是否一致；

f)應(yīng)檢查審查記錄，查看記錄日期是否與審查周期一致；

g)應(yīng)檢查是否具有對(duì)不再適用的權(quán)限及時(shí)取消授權(quán)的記錄。",,,,"訪談，檢查。

安全主管，關(guān)鍵活動(dòng)的批準(zhǔn)人，授權(quán)管理文件，審批文檔，審批記錄，審查記錄，消除授權(quán)記錄。",

,,b)應(yīng)針對(duì)系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接入等事項(xiàng)建立審批程序，按照審批程序執(zhí)行審批過(guò)程，對(duì)重要活動(dòng)建立逐級(jí)審批制度；,,,A.6.1.4信息處理設(shè)施的授權(quán)過(guò)程,新信息處理設(shè)施的管理階層授權(quán)過(guò)程應(yīng)被界定與實(shí)施。,,

,,,,,A.6.1.5保密協(xié)議,應(yīng)鑒別與定期審查反映組織對(duì)信息保護(hù)需求的機(jī)密性或不可公開(kāi)協(xié)議的各項(xiàng)要求。,,

,,c)應(yīng)定期審查審批事項(xiàng)，及時(shí)更新需授權(quán)和審批的項(xiàng)目、審批部門(mén)和審批人等信息；,,,,,,

,,d)應(yīng)記錄審批過(guò)程并保存審批文檔。,,,,,,

,7.2.2.4溝通和合作（G3）,a)應(yīng)加強(qiáng)各類(lèi)管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門(mén)內(nèi)部的合作與溝通，定期或不定期召開(kāi)協(xié)調(diào)會(huì)議，共同協(xié)作處理信息安全問(wèn)題；,"a)應(yīng)訪談安全主管，詢(xún)問(wèn)是否建立與外單位（公安機(jī)關(guān)、電信公司、兄弟單位、供應(yīng)商、業(yè)界專(zhuān)家、專(zhuān)業(yè)的安全公司、安全組織等），與組織機(jī)構(gòu)內(nèi)其它部門(mén)之間及內(nèi)部各部門(mén)管理人員之間的溝通、合作機(jī)制，與外單位和其他部門(mén)有哪些合作內(nèi)容，溝通、合作方式有哪些；

b)應(yīng)訪談安全主管，詢(xún)問(wèn)是否召開(kāi)過(guò)部門(mén)間協(xié)調(diào)會(huì)議，組織其它部門(mén)人員共同協(xié)助處理信息系統(tǒng)安全有關(guān)問(wèn)題，安全管理機(jī)構(gòu)內(nèi)部是否召開(kāi)過(guò)安全工作會(huì)議部署安全工作的實(shí)施，參加會(huì)議的部門(mén)和人員有哪些，會(huì)議結(jié)果如何；信息安全領(lǐng)導(dǎo)小組或者安全管理委員會(huì)是否定期召開(kāi)例會(huì)；

c)應(yīng)訪談安全主管，詢(xún)問(wèn)是否聘請(qǐng)信息安全專(zhuān)家作為常年的安全顧問(wèn)，指導(dǎo)信息安全建設(shè)，參與安全規(guī)劃和安全評(píng)審等；

d)應(yīng)訪談安全管理人員（從系統(tǒng)管理員和安全員等人員中抽查），詢(xún)問(wèn)其與外單位人員，與組織機(jī)構(gòu)內(nèi)其他部門(mén)人員，與內(nèi)部各部門(mén)管理人員之間的溝通方式和主要溝通內(nèi)容有哪些；

e)應(yīng)檢查部門(mén)間協(xié)調(diào)會(huì)議文件或會(huì)議記錄，查看是否有會(huì)議內(nèi)容、會(huì)議時(shí)間、參加人員和結(jié)果等的描述；

f)應(yīng)檢查安全工作會(huì)議文件或會(huì)議記錄，查看是否有會(huì)議內(nèi)容、會(huì)議時(shí)間、參加人員和會(huì)議結(jié)果等的描述；

g)應(yīng)檢查信息安全領(lǐng)導(dǎo)小組或者安全管理委員會(huì)定期例會(huì)會(huì)議文件或會(huì)議記錄，查看是否有會(huì)議內(nèi)容、會(huì)議時(shí)間、參加人員、會(huì)議結(jié)果等的描述；

h)應(yīng)檢查外聯(lián)單位說(shuō)明文檔，查看外聯(lián)單位是否包含公安機(jī)關(guān)、電信公司、兄弟單位、供應(yīng)商、業(yè)界專(zhuān)家、專(zhuān)業(yè)的安全公司、安全組織等，是否說(shuō)明外聯(lián)單位的聯(lián)系人和聯(lián)系方式等內(nèi)容；

i)應(yīng)檢查是否具有安全顧問(wèn)名單或者聘請(qǐng)安全顧問(wèn)的證明文件，查看由安全顧問(wèn)指導(dǎo)信息安全建設(shè)、參與安全規(guī)劃和安全評(píng)審的相關(guān)文檔或記錄，是否具有由安全顧問(wèn)簽字的相關(guān)建議。",,,,"訪談，檢查。

安全主管，安全管理人員，會(huì)議文件，會(huì)議記錄，外聯(lián)單位說(shuō)明文檔，安全顧問(wèn)名單。",

,,b)應(yīng)加強(qiáng)與兄弟單位、公安機(jī)關(guān)、電信公司的合作與溝通；,,,,,,

,,c)應(yīng)加強(qiáng)與供應(yīng)商、業(yè)界專(zhuān)家、專(zhuān)業(yè)的安全公司、安全組織的合作與溝通；,,,A.6.2.3說(shuō)明第三方契約的安全要求,凡涉及存取、處理、通訊或管理組織的信息或信息處理設(shè)施，或在信息處理設(shè)施上附加產(chǎn)品或服務(wù)者，應(yīng)在與第三方之協(xié)議中涵蓋所有相關(guān)的安全要求。,,

,,d)應(yīng)建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱(chēng)、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息；,,,"A.6.1.6與主管機(jī)關(guān)的聯(lián)系

A.6.2.1鑒別與外部團(tuán)體有關(guān)的風(fēng)險(xiǎn)","a)應(yīng)與有關(guān)的主管機(jī)關(guān)維持適當(dāng)聯(lián)系。

B)組織營(yíng)運(yùn)過(guò)程中涉及外部團(tuán)體的組織信息與信息處理設(shè)施之風(fēng)險(xiǎn)，應(yīng)在核準(zhǔn)外部團(tuán)體存取前被加以鑒別，并實(shí)施適當(dāng)?shù)目刂拼胧?,,

,,e)應(yīng)聘請(qǐng)信息安全專(zhuān)家作為常年的安全顧問(wèn)，指導(dǎo)信息安全建設(shè)，參與安全規(guī)劃和安全評(píng)審等。,,,A.6.1.7與特殊利害團(tuán)體的聯(lián)系,應(yīng)與特殊利害團(tuán)體或其它安全論壇專(zhuān)家及專(zhuān)業(yè)協(xié)會(huì)維持適當(dāng)聯(lián)系。,,

,7.2.2.5審核和檢查（G3）,a)安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況；,"a)應(yīng)訪談安全主管，詢(xún)問(wèn)是否組織人員定期對(duì)信息系統(tǒng)進(jìn)行安全檢查，檢查周期多長(zhǎng)，是否定期分析、評(píng)審異常行為的審計(jì)記錄；

b)應(yīng)訪談安全員，詢(xún)問(wèn)安全檢查包含哪些內(nèi)容，檢查人員有哪些，檢查程序是否按照系統(tǒng)相關(guān)策略和要求進(jìn)行，是否制定安全檢查表格實(shí)施安全檢查，檢查結(jié)果如何，是否對(duì)檢查結(jié)果進(jìn)行通報(bào)，通報(bào)形式、范圍如何；

c)應(yīng)檢查安全檢查制度文檔，查看文檔是否規(guī)定檢查內(nèi)容、檢查程序和檢查周期等，檢查內(nèi)容是否包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等，是否包括用戶(hù)賬號(hào)情況、系統(tǒng)漏洞情況、系統(tǒng)審計(jì)情況等；

d)應(yīng)檢查安全檢查報(bào)告，查看報(bào)告日期與檢查周期是否一致，報(bào)告中是否有檢查內(nèi)容、檢查人員、檢查數(shù)據(jù)匯總表、檢查結(jié)果等的描述；

e)應(yīng)檢查安全檢查過(guò)程記錄，查看記錄的檢查程序與文件要求是否一致；

f)應(yīng)檢查審計(jì)分析報(bào)告，查看報(bào)告日期與檢查周期是否一致，報(bào)告中是否有分析人員、異常問(wèn)題和分析結(jié)果等的描述，是否對(duì)發(fā)現(xiàn)的問(wèn)題提出相應(yīng)的措施；

g)應(yīng)檢查是否具有安全檢查表格。",,A.6.1.8獨(dú)立的信息安全審查,應(yīng)在規(guī)劃的期間內(nèi)或發(fā)生安全實(shí)施上有重大變更時(shí)，獨(dú)立審查組織管理信息安全的方案與其實(shí)施（例如：信息安全的控制目標(biāo)、控制措施、政策、過(guò)程及程序）。,"訪談，檢查。

安全主管，安全員，安全檢查制度，安全檢查報(bào)告，審計(jì)分析報(bào)告，安全檢查過(guò)程記錄，安全檢查表格。",

,,b)應(yīng)由內(nèi)部人員或上級(jí)單位定期進(jìn)行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；,,,,,,

,,c)應(yīng)制定安全檢查表格實(shí)施安全檢查，匯總安全檢查數(shù)據(jù)，形成安全檢查報(bào)告，并對(duì)安全檢查結(jié)果進(jìn)行通報(bào)；,,,,,,

,,d)應(yīng)制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作，定期按照程序進(jìn)行安全審核和安全檢查活動(dòng)。,,,,,,

,,,,,A.6.2.2處理顧客事務(wù)的安全說(shuō)明,在給予客戶(hù)存取組織信息或資產(chǎn)前，所有已鑒別的安全要求應(yīng)被提出說(shuō)明,,

7.2.3人員安全管理,7.2.3.1人員錄用（G3）,a)應(yīng)指定或授權(quán)專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)人員錄用；,"a)應(yīng)訪談人事負(fù)責(zé)人，詢(xún)問(wèn)在人員錄用時(shí)對(duì)人員條件有哪些要求，目前錄用的安全管理和技術(shù)人員是否有能力完成與其職責(zé)相對(duì)應(yīng)的工作；

b)應(yīng)訪談人事工作人員，詢(xún)問(wèn)在人員錄用時(shí)是否對(duì)被錄用人的身份、背景、專(zhuān)業(yè)資格和資質(zhì)進(jìn)行審查，對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核，錄用后是否與其簽署保密協(xié)議，是否對(duì)其說(shuō)明工作職責(zé)；

c)應(yīng)訪談人事負(fù)責(zé)人，詢(xún)問(wèn)對(duì)從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全安全協(xié)議，是否定期對(duì)關(guān)鍵崗位人員進(jìn)行信用審查，審查周期多長(zhǎng)；

d)應(yīng)檢查人員錄用要求管理文檔，查看是否說(shuō)明錄用人員應(yīng)具備的條件，如學(xué)歷、學(xué)位要求，技術(shù)人員應(yīng)具備的專(zhuān)業(yè)技術(shù)水平，管理人員應(yīng)具備的安全管理知識(shí)等；

e)應(yīng)檢查是否具有人員錄用時(shí)對(duì)錄用人身份、背景、專(zhuān)業(yè)資格和資質(zhì)等進(jìn)行審查的相關(guān)文檔或記錄，查看是否記錄審查內(nèi)容和審查結(jié)果等；

f)應(yīng)檢查技能考核文檔或記錄，查看是否記錄考核內(nèi)容和考核結(jié)果等；

g)應(yīng)檢查保密協(xié)議，查看是否有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容；

h)應(yīng)檢查崗位安全協(xié)議，查看是否有崗位安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人簽字等內(nèi)容；

i)應(yīng)檢查信用審查記錄，查看是否記錄了審查內(nèi)容和審查結(jié)果等，查看審查時(shí)間與審查周期是否一致。","A.8

人力資源安全","A.8.1.1角色與職責(zé)

A.8.2.1管理職責(zé)","聘雇人員、承包商及第三方使用者的安全角色與職責(zé)，應(yīng)依照組織的信息安全政策加以界定與文件化。

管理階層應(yīng)要求聘雇人員、承包商及第三方使用者，依照組織已制定的政策與程序應(yīng)用于安全事宜。","訪談，檢查。

人事負(fù)責(zé)人，人事工作人員，人員錄用要求管理文檔，人員審查文檔或記錄，考核文檔或記錄，保密協(xié)議，崗位安全協(xié)議，審查記錄。",

,,b)應(yīng)嚴(yán)格規(guī)范人員錄用過(guò)程，對(duì)被錄用人的身份、背景、專(zhuān)業(yè)資格和資質(zhì)等進(jìn)行審查，對(duì)其所具有的技術(shù)技能進(jìn)行考核；,,,A.8.1.2篩選,應(yīng)依照相關(guān)法律、法規(guī)及倫理，并兼顧營(yíng)運(yùn)要求之相稱(chēng)性、被存取信息的分類(lèi)及所理解的風(fēng)險(xiǎn)，對(duì)所有聘雇之應(yīng)征者、承包商及第三方使用者，進(jìn)行背景查證核對(duì),,

,,c)應(yīng)簽署保密協(xié)議；,,,A.8.1.3聘雇條款,身為契約義務(wù)的一方，聘雇人員、承包商及第三方使用者應(yīng)同意并簽署其聘雇契約的條款，該契約應(yīng)陳述其與組織對(duì)信息安全的職責(zé)。,,

,,d)應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員，并簽署崗位安全協(xié)議。,,,,,,

,7.2.3.2人員離崗（G3）,a)應(yīng)嚴(yán)格規(guī)范人員離崗過(guò)程，及時(shí)終止離崗員工的所有訪問(wèn)權(quán)限；,"a)應(yīng)訪談安全主管，詢(xún)問(wèn)是否及時(shí)終止離崗人員的所有訪問(wèn)權(quán)限，取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備等；

b)應(yīng)訪談人事工作人員，詢(xún)問(wèn)調(diào)離手續(xù)包括哪些，是否要求調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開(kāi)；

c)應(yīng)檢查人員離崗的管理文檔，查看是否規(guī)定了調(diào)離手續(xù)和離崗要求等；

d)應(yīng)檢查是否具有交還身份證件和設(shè)備等的記錄；

e)應(yīng)檢查保密承諾文檔，查看是否有調(diào)離人員的簽字。",,A.8.3.1終止職責(zé),執(zhí)行聘雇終止或變更的職責(zé)應(yīng)清楚的界定與指派。,"訪談，檢查。

安全主管，人事工作人員，人員離崗管理文檔，保密承諾文檔。",

,,b)應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備；,,,A.8.3.2資產(chǎn)的歸還,所有聘雇人員、承包商及第三方使用者在其聘雇、契約或協(xié)議終止時(shí)，應(yīng)歸還其擁有的所有組織資產(chǎn)。,,

,,c)應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)，關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務(wù)后方可離開(kāi)。,,,A.8.3.3存取權(quán)限的移除,所有聘雇人員、承包商及第三方使用者對(duì)信息與信息處理設(shè)施的存取權(quán)限，在其聘雇、契約或協(xié)議終止時(shí)，或因變更而調(diào)整時(shí)，均應(yīng)予以移除。,,

,7.2.3.3人員考核（G3）,a)應(yīng)定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核；,"a)應(yīng)訪談安全主管，詢(xún)問(wèn)是否有人負(fù)責(zé)定期對(duì)各個(gè)崗位人員進(jìn)行安全技能及安全知識(shí)的考核；

b)應(yīng)訪談人事工作人員，詢(xún)問(wèn)對(duì)各個(gè)崗位人員的考核情況，考核周期多長(zhǎng)，考核內(nèi)容有哪些；詢(xún)問(wèn)對(duì)人員的安全審查情況，審查人員是否包含所有崗位人員，審查內(nèi)容有哪些（如操作行為、社會(huì)關(guān)系、社交活動(dòng)等），是否全面；

c)應(yīng)訪談人事工作人員，詢(xún)問(wèn)對(duì)違背安全策略和規(guī)定的人員有哪些懲戒措施；

d)應(yīng)檢查考核記錄，查看記錄的考核人員是否包括各個(gè)崗位的人員，考核內(nèi)容是否包含安全知識(shí)、安全技能等；查看記錄日期與考核周期是否一致。",,A.8.2.2信息安全認(rèn)知、教育及訓(xùn)練,組織所有聘雇人員、相關(guān)的承包商及第三方使用者均應(yīng)接受與其工作功能相關(guān)之適切認(rèn)知訓(xùn)練，以及組織政策與程序定期更新的內(nèi)容。,"訪談，檢查。

安全主管，人事工作人員，人員考核記錄。","a)如果7.2.3.3.4b）被訪談人員表述審查內(nèi)容包含社會(huì)關(guān)系、社交活動(dòng)、操作行為等各個(gè)方面，則該項(xiàng)為肯定；

b)如果7.2.3.3.4c）被訪談人員表述與文件描述一致，則該項(xiàng)為肯定；

c)7.2.3.3.4a）-d）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)項(xiàng)要求。

"

,,b)應(yīng)對(duì)關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核；,,,,,,

,,c)應(yīng)對(duì)考核結(jié)果進(jìn)行記錄并保存。,,,,,,

,7.2.3.4安全意識(shí)教育和培訓(xùn)（G3）,a)應(yīng)對(duì)各類(lèi)人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)；,"a)應(yīng)訪談安全主管，詢(xún)問(wèn)是否制定安全教育和培訓(xùn)計(jì)劃并按計(jì)劃對(duì)各個(gè)崗位人員進(jìn)行安全教育和培訓(xùn)，以什么形式進(jìn)行，效果如何；

b)應(yīng)訪談安全員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和數(shù)據(jù)庫(kù)管理員，考查其對(duì)工作相關(guān)的信息安全基礎(chǔ)知識(shí)、安全責(zé)任和懲戒措施等的理解程度；

c)應(yīng)檢查安全教育和培訓(xùn)計(jì)劃文檔，查看是否具有不同崗位的培訓(xùn)計(jì)劃；查看計(jì)劃是否明確了培訓(xùn)目的、培訓(xùn)方式、培訓(xùn)對(duì)象、培訓(xùn)內(nèi)容、培訓(xùn)時(shí)間和地點(diǎn)等，培訓(xùn)內(nèi)容是否包含信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等；

d)應(yīng)檢查是否具有安全教育和培訓(xùn)記錄，查看記錄是否有培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等的描述；查看記錄與培訓(xùn)計(jì)劃是否一致。",,,,"訪談，檢查。

安全主管，安全員，系統(tǒng)管理員，網(wǎng)絡(luò)管理員，數(shù)據(jù)庫(kù)管理員，培訓(xùn)計(jì)劃，培訓(xùn)記錄。","a)如果7.2.3.4.4b）訪談人員能夠表述清楚詢(xún)問(wèn)內(nèi)容，且安全職責(zé)、懲戒措施和崗位操作規(guī)程表述與文件描述一致，則該項(xiàng)為肯定；

b)7.2.3.4.4a）-d）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)項(xiàng)要求。

"

,,b)應(yīng)對(duì)安全責(zé)任和懲戒措施進(jìn)行書(shū)面規(guī)定并告知相關(guān)人員，對(duì)違反違背安全策略和規(guī)定的人員進(jìn)行懲戒；,,,A.8.2.3懲罰過(guò)程,對(duì)違反安全的聘雇人員，應(yīng)有正式的懲罰過(guò)程。,,

,,c)應(yīng)對(duì)定期安全教育和培訓(xùn)進(jìn)行書(shū)面規(guī)定，針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃，對(duì)信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn)；,,,A.8.2.2,,,

,,d)應(yīng)對(duì)安全教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄并歸檔保存。,,,,,,

,7.2.3.5外部人員訪問(wèn)管理（G3）,a)應(yīng)確保在外部人員訪問(wèn)受控區(qū)域前先提出書(shū)面申請(qǐng)，批準(zhǔn)后由專(zhuān)人全程陪同或監(jiān)督，并登記備案；,"a)應(yīng)訪談安全主管，詢(xún)問(wèn)對(duì)第三方人員（如向系統(tǒng)提供服務(wù)的系統(tǒng)軟、硬件維護(hù)人員，業(yè)務(wù)合作伙伴、評(píng)估人員等）的訪問(wèn)采取哪些管理措施，是否要求第三方人員訪問(wèn)前與機(jī)構(gòu)簽署安全責(zé)任合同書(shū)或保密協(xié)議；

b)應(yīng)訪談安全管理人員，詢(xún)問(wèn)對(duì)第三方人員訪問(wèn)重要區(qū)域（如訪問(wèn)主機(jī)房、重要服務(wù)器或設(shè)備、保密文檔等）采取哪些措施，是否經(jīng)有關(guān)負(fù)責(zé)人書(shū)面批準(zhǔn)，是否由專(zhuān)人全程陪同或監(jiān)督，是否進(jìn)行記錄并備案管理；

c)應(yīng)檢查安全責(zé)任合同書(shū)或保密協(xié)議，查看是否有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等。

d)應(yīng)檢查第三方人員訪問(wèn)管理文檔，查看是否明確第三方人員包括哪些人員，允許第三方人員訪問(wèn)的范圍（區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容），第三方人員進(jìn)入條件（對(duì)哪些重要區(qū)域的訪問(wèn)須提出書(shū)面申請(qǐng)批準(zhǔn)后方可進(jìn)入），第三方人員進(jìn)入的訪問(wèn)控制（由專(zhuān)人全程陪同或監(jiān)督等）和第三方人員的離開(kāi)條件等；

e)應(yīng)檢查第三方人員訪問(wèn)重要區(qū)域批準(zhǔn)文檔，查看是否有第三方人員訪問(wèn)重要區(qū)域的書(shū)面申請(qǐng)，是否有批準(zhǔn)人允許訪問(wèn)的批準(zhǔn)簽字等；

f)應(yīng)檢查第三方人員訪問(wèn)重要區(qū)域的登記記錄，查看記錄是否描述了第三方人員訪問(wèn)重要區(qū)域的進(jìn)入時(shí)間、離開(kāi)時(shí)間、訪問(wèn)區(qū)域、訪問(wèn)設(shè)備或信息及陪同人等信息。",,A.10.2.1服務(wù)遞送,在第三方服務(wù)遞送協(xié)議內(nèi)所包含的安全控制措施、服務(wù)界定及遞送等級(jí)應(yīng)確保被第三方加以實(shí)施、操作及維持。,"訪談，檢查。

安全主管，安全管理人員，安全責(zé)任合同書(shū)或保密協(xié)議，第三方人員訪問(wèn)管理文檔，訪問(wèn)批準(zhǔn)文檔，登記記錄。",

,,b)對(duì)外部人員允許訪問(wèn)的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)進(jìn)行書(shū)面的規(guī)定，并按照規(guī)定執(zhí)行。,,,,,,

,,,,,A.10.2.2第三方服務(wù)的監(jiān)督與審查,應(yīng)定期監(jiān)督與審查由第三方所提供的服務(wù)、報(bào)告及紀(jì)錄，并應(yīng)定期執(zhí)行稽核。,,

,,,,,A.10.2.3第三方服務(wù)的變更管理,服務(wù)條款的變更，包括維持與改進(jìn)現(xiàn)有的信息安全政策、程序及控制措施均應(yīng)加以管理，并考慮所涉營(yíng)運(yùn)系統(tǒng)與過(guò)程的重要性以及風(fēng)險(xiǎn)的重新評(píng)鑒。,,

7.2.4系統(tǒng)建設(shè)管理,7.2.4.1系統(tǒng)定級(jí)（G3）,a)應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)；,"a)應(yīng)訪談安全主管，詢(xún)問(wèn)劃分信息系統(tǒng)的方法和確定信息系統(tǒng)安全保護(hù)等級(jí)的方法是否參照定級(jí)指南的指導(dǎo)，是否對(duì)其進(jìn)行明確描述；是否組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專(zhuān)家對(duì)定級(jí)結(jié)果進(jìn)行論證和審定，定級(jí)結(jié)果是否獲得了相關(guān)部門(mén)（如上級(jí)主管部門(mén)）的批準(zhǔn)；

b)應(yīng)檢查系統(tǒng)劃分文檔，查看文檔是否明確描述信息系統(tǒng)劃分的方法和理由；

c)應(yīng)檢查系統(tǒng)定級(jí)文檔，查看文檔是否給出信息系統(tǒng)的安全保護(hù)等級(jí)，是否明確描述確定信息系統(tǒng)為某個(gè)安全保護(hù)等級(jí)的方法和理由，是否給出安全等級(jí)保護(hù)措施組成SxAyGz值；查看定級(jí)結(jié)果是否有相關(guān)部門(mén)的批準(zhǔn)蓋章；

d)應(yīng)檢查專(zhuān)家論證文檔，查看是否有專(zhuān)家對(duì)定級(jí)結(jié)果的論證意見(jiàn)；

e)應(yīng)檢查系統(tǒng)屬性說(shuō)明文檔，查看文檔是否明確了系統(tǒng)使命、業(yè)務(wù)、網(wǎng)絡(luò)、硬件、軟件、數(shù)據(jù)、邊界、人員等。",,,,"訪談，檢查。

安全主管，系統(tǒng)劃分文檔，系統(tǒng)定級(jí)文檔，專(zhuān)家論證文檔，系統(tǒng)屬性說(shuō)明文檔。",a)7.2.4.1.4a）沒(méi)有上級(jí)主管部門(mén)的，如果有安全主管的批準(zhǔn)，則該項(xiàng)為肯定；

,,b)應(yīng)以書(shū)面的形式說(shuō)明確定信息系統(tǒng)為某個(gè)安全保護(hù)等級(jí)的方法和理由；,,,,,,

,,c)應(yīng)組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專(zhuān)家對(duì)信息系統(tǒng)定級(jí)結(jié)果的合理性和正確性進(jìn)行論證和審定；,,,,,,

,,d)應(yīng)確保信息系統(tǒng)的定級(jí)結(jié)果經(jīng)過(guò)相關(guān)部門(mén)的批準(zhǔn)。,,,,,,

,7.2.4.2安全方案設(shè)計(jì)（G3）,a)應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇基本安全措施，并依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施；,"a)應(yīng)訪談安全主管，詢(xún)問(wèn)是否授權(quán)專(zhuān)門(mén)的部門(mén)對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，由何部門(mén)/何人負(fù)責(zé)；

b)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢(xún)問(wèn)是否制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃，是否根據(jù)系統(tǒng)的安全級(jí)別選擇基本安全措施，是否依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施，做過(guò)哪些調(diào)整；

c)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢(xún)問(wèn)是否根據(jù)信息系統(tǒng)的等級(jí)劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案等；

d)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢(xún)問(wèn)是否組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專(zhuān)家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進(jìn)行論證和審定，并經(jīng)過(guò)管理部門(mén)的批準(zhǔn)；

e)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢(xún)問(wèn)是否根據(jù)安全測(cè)評(píng)、安全評(píng)估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件，維護(hù)周期多長(zhǎng)；

f)應(yīng)檢查系統(tǒng)的安全建設(shè)工作計(jì)劃，查看文件是否明確了系統(tǒng)的近期安全建設(shè)計(jì)劃和遠(yuǎn)期安全建設(shè)計(jì)劃；

g)應(yīng)檢查系統(tǒng)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等配套文件，查看各個(gè)文件是否有機(jī)構(gòu)管理層的批準(zhǔn)；

h)應(yīng)檢查專(zhuān)家論證文檔，查看是否有相關(guān)部門(mén)和有關(guān)安全技術(shù)專(zhuān)家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的論證意見(jiàn)；

i)應(yīng)檢查是否具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的維護(hù)記錄或修訂版本，查看記錄日期與維護(hù)周期是否一致。",,"A.12.1.1安全要求分析與規(guī)格

A.12.6技術(shù)脆弱性管理","a)對(duì)新信息系統(tǒng)之營(yíng)運(yùn)要求聲明，或?qū)ΜF(xiàn)有信息系統(tǒng)的提升，應(yīng)規(guī)定安全控制措施要求。

B)降低因所使用之已公布技術(shù)的脆弱性所導(dǎo)致的風(fēng)險(xiǎn)。","訪談，檢查。

安全主管，系統(tǒng)建設(shè)負(fù)責(zé)人，總體安全策略文檔，安全技術(shù)框架，安全管理策略文檔，總體建設(shè)規(guī)劃書(shū)，詳細(xì)設(shè)計(jì)方案，專(zhuān)家論證文檔，維護(hù)記錄。",

,,b)應(yīng)指定和授權(quán)專(zhuān)門(mén)的部門(mén)對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃；,,,,,,

,,c)應(yīng)根據(jù)信息系統(tǒng)的等級(jí)劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案，并形成配套文件；,,,,,,

,,d)應(yīng)組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專(zhuān)家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過(guò)批準(zhǔn)后，才能正式實(shí)施；,,,A.12.2應(yīng)用系統(tǒng)的正確處理,防止應(yīng)用系統(tǒng)內(nèi)信息的錯(cuò)誤、遺失、未授權(quán)修改或誤用。,,

,,e)應(yīng)根據(jù)等級(jí)測(cè)評(píng)、安全評(píng)估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件。,,,,,,

,7.2.4.3產(chǎn)品采購(gòu)和使用（G3）,a)應(yīng)確保安全產(chǎn)品采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定；,"a)應(yīng)訪談安全主管，詢(xún)問(wèn)是否有專(zhuān)門(mén)的部門(mén)負(fù)責(zé)產(chǎn)品的采購(gòu)，由何部門(mén)負(fù)責(zé)；

b)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢(xún)問(wèn)系統(tǒng)信息安全產(chǎn)品的采購(gòu)情況，采購(gòu)產(chǎn)品前是否預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試確定產(chǎn)品的候選范圍，是否有產(chǎn)品采購(gòu)清單指導(dǎo)產(chǎn)品采購(gòu)，采購(gòu)過(guò)程如何控制，是否定期審定和更新候選產(chǎn)品名單，審定周期多長(zhǎng)；

c)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢(xún)問(wèn)系統(tǒng)是否采用了密碼產(chǎn)品，密碼產(chǎn)品的使用是否符合國(guó)家密碼主管部門(mén)的要求；

d)應(yīng)檢查產(chǎn)品采購(gòu)管理制度，查看內(nèi)容是否明確采購(gòu)過(guò)程的控制方法（如采購(gòu)前對(duì)產(chǎn)品做選型測(cè)試，明確需要的產(chǎn)品性能指標(biāo)，確定產(chǎn)品的候選范圍，通過(guò)招投標(biāo)方式確定采購(gòu)產(chǎn)品等）和人員行為準(zhǔn)則等方面；

e)應(yīng)檢查系統(tǒng)使用的有關(guān)信息安全產(chǎn)品（邊界安全設(shè)備、重要服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)等）是否符合國(guó)家的有關(guān)規(guī)定；

f)應(yīng)檢查密碼產(chǎn)品的使用情況是否符合密碼產(chǎn)品使用、管理的相關(guān)規(guī)定，例如《商用密碼管理?xiàng)l例》規(guī)定任何單位只能使用經(jīng)過(guò)國(guó)家密碼管理機(jī)構(gòu)認(rèn)可的商用密碼產(chǎn)品，商用密碼產(chǎn)品發(fā)生故障，必須有國(guó)家密碼管理機(jī)構(gòu)指定的單位維修，報(bào)廢商用密碼產(chǎn)品應(yīng)向國(guó)家密碼管理機(jī)構(gòu)備案，《計(jì)算機(jī)信息系統(tǒng)保密工作暫行規(guī)定》規(guī)定涉密系統(tǒng)配置合格的保密專(zhuān)用設(shè)備，所采取的保密措施應(yīng)與所處理信息的密級(jí)要求相一致等；

g)應(yīng)檢查是否具有產(chǎn)品選型測(cè)試結(jié)果記錄、候選產(chǎn)品名單審定記錄或更新的候選產(chǎn)品名單。",,,,"訪談，檢查。

安全主管，系統(tǒng)建設(shè)負(fù)責(zé)人，產(chǎn)品采購(gòu)管理制度，產(chǎn)品選型測(cè)試結(jié)果記錄，候選產(chǎn)品名單審定記錄。",a)如果7.2.4.4.4c）訪談?wù)f明沒(méi)有采用密碼產(chǎn)品，則測(cè)評(píng)實(shí)施c）、f）為不適用；

,,b)應(yīng)確保密碼產(chǎn)品采購(gòu)和使用符合國(guó)家密碼主管部門(mén)的要求；,,,,,,

,,c)應(yīng)指定或授權(quán)專(zhuān)門(mén)的部門(mén)負(fù)責(zé)產(chǎn)品的采購(gòu)；,,,,,,

,,d)應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單。,,,,,,

,7.2.4.4自行軟件開(kāi)發(fā)（G3）,a)應(yīng)確保開(kāi)發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開(kāi)，開(kāi)發(fā)人員和測(cè)試人員分離，測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制；,"a)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢(xún)問(wèn)系統(tǒng)是否自主開(kāi)發(fā)軟件，是否對(duì)程序資源庫(kù)的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)，授權(quán)部門(mén)是何部門(mén)，批準(zhǔn)人是何人，軟件開(kāi)發(fā)是否有相應(yīng)的控制措施，是否要求開(kāi)發(fā)人員不能做測(cè)試人員（即二者分離），是否在獨(dú)立的模擬環(huán)境中編寫(xiě)、調(diào)試和完成；

b)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢(xún)問(wèn)系統(tǒng)開(kāi)發(fā)文檔是否由專(zhuān)人負(fù)責(zé)保管，負(fù)責(zé)人是何人，如何控制使用（如限制使用人員范圍并做使用登記等），測(cè)試數(shù)據(jù)和測(cè)試結(jié)果是否受到控制；

c)應(yīng)檢查是否具有軟件設(shè)計(jì)的相關(guān)文檔（應(yīng)用軟件設(shè)計(jì)程序文件、源代碼說(shuō)明文檔等）和軟件使用指南或操作手冊(cè)和維護(hù)手冊(cè)等；

d)應(yīng)檢查軟件開(kāi)發(fā)環(huán)境與系統(tǒng)運(yùn)行環(huán)境在物理上是否是分開(kāi)的；

e)應(yīng)檢查對(duì)程序資源庫(kù)的修改、更新、發(fā)布進(jìn)行授權(quán)和審批的文檔或記錄，查看是否有批準(zhǔn)人的簽字；

f)應(yīng)檢查是否具有系統(tǒng)軟件開(kāi)發(fā)相關(guān)文檔（軟件設(shè)計(jì)和開(kāi)發(fā)程序文件、測(cè)試數(shù)據(jù)、測(cè)試結(jié)果、維護(hù)手冊(cè)等）的使用控制記錄。",,A.10.1.4開(kāi)發(fā)、測(cè)試及操作設(shè)施的分隔,應(yīng)分隔開(kāi)發(fā)、測(cè)試及操作設(shè)施，以降低對(duì)操作系統(tǒng)未經(jīng)授權(quán)存取或變更的風(fēng)險(xiǎn)。,"訪談，檢查。

系統(tǒng)建設(shè)負(fù)責(zé)人，軟件設(shè)計(jì)相關(guān)文檔和使用指南，審批文檔或記錄，文檔使用控制記錄。",

,,b)應(yīng)制定軟件開(kāi)發(fā)管理制度，明確說(shuō)明開(kāi)發(fā)過(guò)程的控制方法和人員行為準(zhǔn)則；,,,,,,

,,c)應(yīng)制定代碼編寫(xiě)安全規(guī)范，要求開(kāi)發(fā)人員參照規(guī)范編寫(xiě)代碼；,,,,,,

,,d)應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南，并由專(zhuān)人負(fù)責(zé)保管；,,,,,,

,,e)應(yīng)確保對(duì)程序資源庫(kù)的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)。,,,,,,

,7.2.4.5外包軟件開(kāi)發(fā)（G3）,a)應(yīng)根據(jù)開(kāi)發(fā)需求檢測(cè)軟件質(zhì)量；,"a)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢(xún)問(wèn)在外包軟件前是否對(duì)軟件開(kāi)發(fā)單位以書(shū)面文檔形式（如軟件開(kāi)發(fā)安全協(xié)議）規(guī)范軟件開(kāi)發(fā)單位的責(zé)任、開(kāi)發(fā)過(guò)程中的安全行為、開(kāi)發(fā)環(huán)境要求、軟件質(zhì)量、開(kāi)發(fā)后的服務(wù)承諾等內(nèi)容；

b)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢(xún)問(wèn)是否具有獨(dú)立對(duì)軟件進(jìn)行日常維護(hù)和使用所需的文檔，開(kāi)發(fā)單位是否為軟件的正常運(yùn)行和維護(hù)提供過(guò)技術(shù)支持，以何種方式進(jìn)行；

c)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢(xún)問(wèn)軟件交付前是否依據(jù)開(kāi)發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測(cè)，驗(yàn)收檢測(cè)是否是由開(kāi)發(fā)商和委托方共同參與；軟件安裝之前是否檢測(cè)軟件中的惡意代碼，檢測(cè)工具是否是第三方的商業(yè)產(chǎn)品；

d)應(yīng)檢查軟件開(kāi)發(fā)協(xié)議，查看其是否規(guī)定知識(shí)產(chǎn)權(quán)歸屬、安全行為等內(nèi)容；

e)應(yīng)檢查是否具有需求分析說(shuō)明書(shū)、軟件設(shè)計(jì)說(shuō)明書(shū)、軟件操作手冊(cè)等開(kāi)發(fā)文檔以及用戶(hù)培訓(xùn)計(jì)劃、程序員培訓(xùn)手冊(cè)等后期技術(shù)支持文檔。",,,,"訪談，檢查。

系統(tǒng)建設(shè)負(fù)責(zé)人，軟件開(kāi)發(fā)安全協(xié)議，軟件開(kāi)發(fā)文檔，軟件培訓(xùn)文檔。",

,,b)應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼；,,,,,,

,,c)應(yīng)要求開(kāi)發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南；,,,,,,

,,d)應(yīng)要求開(kāi)發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門(mén)。,,,,,,

,7.2.4.6工程實(shí)施（G3）,a)應(yīng)指定或授權(quán)專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)工程實(shí)施過(guò)程的管理；,"a)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢(xún)問(wèn)是否以書(shū)面形式（如工程安全建設(shè)協(xié)議）約束工程實(shí)施方的工程實(shí)施行為；

b)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢(xún)問(wèn)是否指定專(zhuān)門(mén)人員或部門(mén)按照工程實(shí)施方案的要求對(duì)工程實(shí)施過(guò)程進(jìn)行進(jìn)度和質(zhì)量控制，是否將控制方法和工程人員行為規(guī)范制度化，是否要求工程實(shí)施單位提供其能夠安全實(shí)施系統(tǒng)建設(shè)的資質(zhì)證明和能力保證；

c)應(yīng)檢查工程安全建設(shè)協(xié)議，查看其是否規(guī)定工程實(shí)施方的責(zé)任、任務(wù)要求、質(zhì)量要求等方面內(nèi)容，約束工程實(shí)施行為；

d)應(yīng)檢查工程實(shí)施方案，查看其是否規(guī)定工程時(shí)間限制、進(jìn)度控制、質(zhì)量控制等方面內(nèi)容，工程實(shí)施過(guò)程是否按照實(shí)施方案形成各種文檔，如階段性工程報(bào)告；

e)應(yīng)檢查工程實(shí)施管理制度，查看其是否規(guī)定工程實(shí)施過(guò)程的控制方法（如內(nèi)部階段性控制或外部監(jiān)理單位控制）、實(shí)施參與人員的各種行為等方面內(nèi)容。",,,,"訪談，檢查。

系統(tǒng)建設(shè)負(fù)責(zé)人，工程安全建設(shè)協(xié)議，工程實(shí)施方案，工程實(shí)施管理制度。",

,,b)應(yīng)制定詳細(xì)的工程實(shí)施方案控制實(shí)施過(guò)程，并要求工程實(shí)施單位能正式地執(zhí)行安全工程過(guò)程；,,,,,,

,,c)應(yīng)制定工程實(shí)施方面的管理制度，明確說(shuō)明實(shí)施過(guò)程的控制方法和人員行為準(zhǔn)則。,,,,,,

,7.2.4.7規(guī)劃與驗(yàn)收（G3）,a)應(yīng)委托公正的第三方測(cè)試單位對(duì)系統(tǒng)進(jìn)行安全性測(cè)試，并出具安全性測(cè)試報(bào)告；,"a)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢(xún)問(wèn)在信息系統(tǒng)正式運(yùn)行前，是否委托第三方測(cè)試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試；

b)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢(xún)問(wèn)是否指定專(zhuān)門(mén)部門(mén)負(fù)責(zé)測(cè)試驗(yàn)收工作，由何部門(mén)負(fù)責(zé)，是否對(duì)測(cè)試過(guò)程（包括測(cè)試前、測(cè)試中和測(cè)試后）進(jìn)行文檔化要求和制度化要求；

c)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢(xún)問(wèn)是否根據(jù)設(shè)計(jì)方案或合同要求組織相關(guān)部門(mén)和人員對(duì)測(cè)試報(bào)告進(jìn)行符合性審定；

d)應(yīng)檢查工程測(cè)試方案，查看其是否對(duì)參與測(cè)試部門(mén)、人員、現(xiàn)場(chǎng)操作過(guò)程等進(jìn)行要求；查看測(cè)試記錄是否詳細(xì)記錄了測(cè)試時(shí)間、人員、操作過(guò)程、測(cè)試結(jié)果等方面內(nèi)容；查看測(cè)試報(bào)告是否提出存在問(wèn)題及改進(jìn)意見(jiàn)等；

e)應(yīng)檢查是否具有系統(tǒng)驗(yàn)收?qǐng)?bào)告；

f)應(yīng)檢查驗(yàn)收測(cè)試管理制度是否對(duì)系統(tǒng)驗(yàn)收測(cè)試的過(guò)程控制、參與人員的行為等進(jìn)行規(guī)定。

",,A.10.3.2系統(tǒng)驗(yàn)收,對(duì)新的信息系統(tǒng)、系統(tǒng)升級(jí)及新版本的驗(yàn)收準(zhǔn)則應(yīng)加以建立，并且在開(kāi)發(fā)期間與驗(yàn)收前應(yīng)完成適當(dāng)之系統(tǒng)測(cè)試。,"訪談，檢查。

系統(tǒng)建設(shè)負(fù)責(zé)人，測(cè)試方案，測(cè)試記錄，測(cè)試報(bào)告，驗(yàn)收?qǐng)?bào)告，驗(yàn)收測(cè)試管理制度。",

,,b)在測(cè)試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制訂測(cè)試驗(yàn)收方案，在測(cè)試驗(yàn)收過(guò)程中應(yīng)詳細(xì)記錄測(cè)試驗(yàn)收結(jié)果，并形成測(cè)試驗(yàn)收?qǐng)?bào)告；,,,,,,

,,c)應(yīng)對(duì)系統(tǒng)測(cè)試驗(yàn)收的控制方法和人員行為準(zhǔn)則進(jìn)行書(shū)面規(guī)定；,,,,,,

,,d)應(yīng)指定或授權(quán)專(zhuān)門(mén)的部門(mén)負(fù)責(zé)系統(tǒng)測(cè)試驗(yàn)收的管理，并按照管理規(guī)定的要求完成系統(tǒng)測(cè)試驗(yàn)收工作；,,,,,,

,,e)應(yīng)組織相關(guān)部門(mén)和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定，并簽字確認(rèn)。,,,,,,

,7.2.4.8系統(tǒng)交付（G3）,a)應(yīng)制定詳細(xì)的系統(tǒng)交付清單，并根據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)；,"a)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢(xún)問(wèn)交接手續(xù)是什么，系統(tǒng)交接工作是否由專(zhuān)門(mén)部門(mén)按照該手續(xù)辦理，是否根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)，交付清單是否滿(mǎn)足合同的有關(guān)要求；是否對(duì)交付工作進(jìn)行制度化要求；

b)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢(xún)問(wèn)目前的信息系統(tǒng)是否由內(nèi)部人員獨(dú)立運(yùn)行維護(hù)，如果是，系統(tǒng)建設(shè)實(shí)施方是否對(duì)運(yùn)維技術(shù)人員進(jìn)行過(guò)培訓(xùn)，針對(duì)哪些方面進(jìn)行過(guò)培訓(xùn)，是否以書(shū)面形式承諾對(duì)系統(tǒng)運(yùn)行維護(hù)提供一定的技術(shù)支持服務(wù)，是否按照服務(wù)承諾書(shū)的要求進(jìn)行過(guò)技術(shù)支持，以何形式進(jìn)行，系統(tǒng)是否具有支持其獨(dú)立運(yùn)行維護(hù)所需的文檔；

c)應(yīng)檢查系統(tǒng)交付清單，查看其是否具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶(hù)進(jìn)行系統(tǒng)運(yùn)維的文檔（如服務(wù)器操作規(guī)程書(shū)）以及系統(tǒng)培訓(xùn)手冊(cè)等文檔名稱(chēng)；

d)應(yīng)檢查是否具有系統(tǒng)建設(shè)方的服務(wù)承諾書(shū)和對(duì)系統(tǒng)進(jìn)行的培訓(xùn)記錄；

e)應(yīng)檢查系統(tǒng)交付管理制度，查看其是否規(guī)定了交付過(guò)程的控制方法和對(duì)交付參與人員的行為限制等方面內(nèi)容。",,,,"訪談，檢查。

系統(tǒng)建設(shè)負(fù)責(zé)人，系統(tǒng)交付清單，服務(wù)承諾書(shū)，系統(tǒng)培訓(xùn)記錄，系統(tǒng)交付管理制度。",

,,b)應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)；,,,,,,

,,c)應(yīng)確保提供系統(tǒng)建設(shè)過(guò)程中的文檔和指導(dǎo)用戶(hù)進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔；,,,A.12.4系統(tǒng)檔案的安全,確保系統(tǒng)檔案的安全。,,

,,d)應(yīng)對(duì)系統(tǒng)交付的控制方法和人員行為準(zhǔn)則進(jìn)行書(shū)面規(guī)定；,,,,,,

,,e)應(yīng)指定或授權(quán)專(zhuān)門(mén)的部門(mén)負(fù)責(zé)系統(tǒng)交付的管理工作，并按照管理規(guī)定的要求完成系統(tǒng)交付工作。,,,,,,

,7.2.4.9系統(tǒng)備案（G3）,a)應(yīng)指定專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)管理系統(tǒng)定級(jí)的相關(guān)材料，并控制這些材料的使用；,"a)應(yīng)訪談安全主管，詢(xún)問(wèn)是否有專(zhuān)門(mén)的人員或部門(mén)負(fù)責(zé)管理系統(tǒng)定級(jí)、系統(tǒng)屬性等文檔，由何部門(mén)/何人負(fù)責(zé)；

b)應(yīng)訪談文檔管理員，詢(xún)問(wèn)對(duì)系統(tǒng)定級(jí)、系統(tǒng)屬性等文檔采取哪些控制措施（如限制使用范圍、使用登記記錄等）；

c)應(yīng)檢查是否具有將系統(tǒng)定級(jí)文檔和系統(tǒng)屬性說(shuō)明文件等材料報(bào)主管部門(mén)備案的記錄或備案文檔；

d)應(yīng)檢查是否具有將系統(tǒng)等級(jí)、系統(tǒng)屬性和等級(jí)劃分理由等備案材料報(bào)相應(yīng)公安機(jī)關(guān)備案的記錄或證明；

e)應(yīng)檢查是否具有系統(tǒng)定級(jí)文檔和系統(tǒng)屬性說(shuō)明文件等相關(guān)材料的使用控制記錄。",,,,"訪談，檢查。

安全主管，文檔管理員，備案記錄。",

,,b)應(yīng)將系統(tǒng)等級(jí)及相關(guān)材料報(bào)系統(tǒng)主管部門(mén)備案；,,,,,,

,,c)應(yīng)將系統(tǒng)等級(jí)及其他要求的備案材料報(bào)相應(yīng)公安機(jī)關(guān)備案。,,,,,,

,7.2.4.10等級(jí)測(cè)評(píng)（G3）,a)在系統(tǒng)運(yùn)行過(guò)程中，應(yīng)至少每年對(duì)系統(tǒng)進(jìn)行一次等級(jí)測(cè)評(píng)，發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改；,/,,,,/,

,,b)應(yīng)在系統(tǒng)發(fā)生變更時(shí)及時(shí)對(duì)系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)，發(fā)現(xiàn)級(jí)別發(fā)生變化的及時(shí)調(diào)整級(jí)別并進(jìn)行安全改造，發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改；,,,,,,

,,c)應(yīng)選擇具有國(guó)家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測(cè)評(píng)單位進(jìn)行等級(jí)測(cè)評(píng)；,,,,,,

,,d)應(yīng)指定或授權(quán)專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)等級(jí)測(cè)評(píng)的管理。,,,,,,

,7.2.4.11安全服務(wù)商選擇（G3）,a)應(yīng)確保安全服務(wù)商的選擇符合國(guó)家的有關(guān)規(guī)定；,a)應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢(xún)問(wèn)對(duì)信息系統(tǒng)進(jìn)行安全規(guī)劃、設(shè)計(jì)、實(shí)施、維護(hù)、測(cè)評(píng)等服務(wù)的安全服務(wù)單位是否符合國(guó)家有關(guān)規(guī)定。,,,,"訪談。

系統(tǒng)建設(shè)負(fù)責(zé)人。",

,,b)應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任；,,,,,,

,,c)應(yīng)確保選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾，必要的與其簽訂服務(wù)合同。,,,,,,

7.2.5系統(tǒng)運(yùn)維管理,7.2.5.1環(huán)境管理（G3）,a)應(yīng)指定專(zhuān)門(mén)的部門(mén)或人員定期對(duì)機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理；,"a)應(yīng)訪談物理安全負(fù)責(zé)人，詢(xún)問(wèn)是否指定專(zhuān)人或部門(mén)對(duì)機(jī)房基本設(shè)施（如空調(diào)、供配電設(shè)備等）進(jìn)行定期維護(hù)，由何部門(mén)/何人負(fù)責(zé)，維護(hù)周期多長(zhǎng)；

b)應(yīng)訪談物理安全負(fù)責(zé)人，詢(xún)問(wèn)是否指定人員負(fù)責(zé)機(jī)房安全管理工作，對(duì)機(jī)房進(jìn)出管理是否要求制度化和文檔化；

c)應(yīng)訪談機(jī)房值守人員，詢(xún)問(wèn)對(duì)外來(lái)人員進(jìn)出機(jī)房是否采用人工記錄和電子記錄雙重控制；

d)應(yīng)訪談工作人員，詢(xún)問(wèn)對(duì)辦公環(huán)境的保密性要求事項(xiàng)；

e)應(yīng)檢查機(jī)房安全管理制度，查看其內(nèi)容是否覆蓋機(jī)房物理訪問(wèn)、物品帶進(jìn)、帶出機(jī)房、機(jī)房環(huán)境安全等方面；

f)應(yīng)檢查辦公環(huán)境管理文檔，查看其內(nèi)容是否對(duì)工作人員離開(kāi)座位后的保密行為（如清理桌面文件和屏幕鎖定等）、人員調(diào)離辦公室后的行為等方面進(jìn)行規(guī)定；

g)應(yīng)檢查機(jī)房進(jìn)出登記表，查看是否記錄外來(lái)人員進(jìn)出時(shí)間、人員姓名、訪問(wèn)原因等內(nèi)容；查看是否具有電子門(mén)禁系統(tǒng)，電子記錄文檔是否有時(shí)間、人員等信息；

h)應(yīng)檢查機(jī)房基礎(chǔ)設(shè)施維護(hù)記錄，查看是否記錄維護(hù)日期、維護(hù)人、維護(hù)設(shè)備、故障原因、維護(hù)結(jié)果等方面內(nèi)容。",A9.1物理與環(huán)境安全,"A.9.1.1實(shí)體安全周界

A.9.1.4對(duì)外部與環(huán)境威脅的保護(hù)","應(yīng)使用安全周界（例如墻、卡片控制的進(jìn)入信道或人工駐守的柜臺(tái)等屏障），以保護(hù)含有信息與信息處理設(shè)施的區(qū)域。

應(yīng)設(shè)計(jì)與運(yùn)用實(shí)體保護(hù)，以避免遭受火災(zāi)、洪水、地震、爆炸、民眾暴動(dòng)及其它天然或人為災(zāi)難的損害","訪談，檢查。

物理安全負(fù)責(zé)人，機(jī)房值守人員，機(jī)房工作人員，機(jī)房安全管理制度，辦公環(huán)境管理文檔，設(shè)備維護(hù)記錄，機(jī)房進(jìn)出登記表，機(jī)房電子門(mén)禁系統(tǒng)及其電子記錄。",

,,b)應(yīng)指定部門(mén)負(fù)責(zé)機(jī)房安全，并配備機(jī)房安全管理人員，對(duì)機(jī)房的出入、服務(wù)器的開(kāi)機(jī)或關(guān)機(jī)等工作進(jìn)行管理；,,,A.9.1.2實(shí)體進(jìn)入控制措施,安全區(qū)域應(yīng)藉由適當(dāng)?shù)倪M(jìn)入控制措施加以保護(hù)，以確保只有授權(quán)人員方可允許進(jìn)入。,,

,,c)應(yīng)建立機(jī)房安全管理制度，對(duì)有關(guān)機(jī)房物理訪問(wèn)，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理作出規(guī)定；,,,A.9.1.6公共存取、遞送及裝卸區(qū),諸如遞送與裝卸區(qū)以及其它未經(jīng)授權(quán)人員可能進(jìn)入作業(yè)場(chǎng)所之進(jìn)入點(diǎn)應(yīng)加以管制；并且，若可能，應(yīng)將信息處理設(shè)施隔離，以避免未經(jīng)授權(quán)的存取。,,

,,d)應(yīng)加強(qiáng)對(duì)辦公環(huán)境的保密性管理，規(guī)范辦公環(huán)境人員行為，包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙、不在辦公區(qū)接待來(lái)訪人員、工作人員離開(kāi)座位確保終端計(jì)算機(jī)退出登錄狀態(tài)和桌面上沒(méi)有包含敏感信息的紙檔文件等；,,,"A.9.1.3安全的辦公處所及設(shè)施

A.9.1.5安全區(qū)域內(nèi)之工作","辦公室、房間及設(shè)施的實(shí)體安全應(yīng)加以設(shè)計(jì)與運(yùn)用。

在安全區(qū)域內(nèi)工作之實(shí)體保護(hù)與指引應(yīng)加以設(shè)計(jì)與運(yùn)用。",,

,,e)應(yīng)對(duì)機(jī)房和辦公環(huán)境實(shí)行統(tǒng)一策略的安全管理，對(duì)出入人員進(jìn)行相應(yīng)級(jí)別的授權(quán)，對(duì)進(jìn)入重要安全區(qū)域的活動(dòng)行為實(shí)時(shí)監(jiān)視和記錄。,,,A9.1.2,,,

,7.2.5.2資產(chǎn)管理（G3）,a)應(yīng)編制并保存與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門(mén)、重要程度和所處位置等內(nèi)容；,"a)應(yīng)訪談安全主管，詢(xún)問(wèn)是否指定資產(chǎn)管理的責(zé)任人員或部門(mén),由何部門(mén)/何人負(fù)責(zé)；

b)應(yīng)訪談物理安全負(fù)責(zé)人，詢(xún)問(wèn)是否對(duì)資產(chǎn)管理要求文檔化和制度化；

c)應(yīng)訪談資產(chǎn)管理員，詢(xún)問(wèn)是否依據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行賦值和標(biāo)識(shí)管理，不同類(lèi)別的資產(chǎn)是否采取不同的管理措施；

d)應(yīng)檢查資產(chǎn)清單，查看其內(nèi)容是否覆蓋資產(chǎn)責(zé)任人、所屬級(jí)別、所處位置、所屬部門(mén)等方面；

e)應(yīng)檢查資產(chǎn)安全管理制度，查看其內(nèi)容是否覆蓋資產(chǎn)使用、借用、維護(hù)等方面；

f)應(yīng)檢查信息分類(lèi)文檔，查看其內(nèi)容是否規(guī)定了分類(lèi)標(biāo)識(shí)的原則和方法（如根據(jù)信息的重要程度、敏感程度或用途不同進(jìn)行分類(lèi)）；

g)應(yīng)檢查資產(chǎn)清單中的設(shè)備，查看其是否具有相應(yīng)標(biāo)識(shí)。","A.7

資產(chǎn)管理","A.7.1.1資產(chǎn)清冊(cè)

A.7.1.3資產(chǎn)可接受的使用方式","應(yīng)明確鑒別所有資產(chǎn)，并制作與維持所有重要資產(chǎn)的清冊(cè)。

與信息處理設(shè)施相關(guān)的信息與資產(chǎn)，其可接受的使用規(guī)則應(yīng)予以鑒別、文件化及實(shí)施。","訪談，檢查。

安全主管，物理安全負(fù)責(zé)人，資產(chǎn)管理員，資產(chǎn)清單，資產(chǎn)安全管理制度，信息分類(lèi)標(biāo)識(shí)文檔，設(shè)備。",

,,b)應(yīng)建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門(mén)，并規(guī)范資產(chǎn)管理和使用的行為；,,,A.7.1.2資產(chǎn)的所有權(quán),,,

,,c)應(yīng)根據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)管理，根據(jù)資產(chǎn)的價(jià)值選擇相應(yīng)的管理措施；,,,A.7.2.1分類(lèi)指引,信息應(yīng)以其對(duì)組織的價(jià)值、法律要求、敏感性重要性加以分類(lèi)。,,

,,d)應(yīng)對(duì)信息分類(lèi)與標(biāo)識(shí)方法作出規(guī)定，并對(duì)信息的使用、傳輸和存儲(chǔ)等進(jìn)行規(guī)范化管理。,,,A.7.2.2信息標(biāo)示與處理,應(yīng)依照組織所采用的分類(lèi)方案，發(fā)展與實(shí)施一套適當(dāng)?shù)男畔?biāo)示與處理程序。,,

,7.2.5.3介質(zhì)管理（G3）,a)應(yīng)建立介質(zhì)安全管理制度，對(duì)介質(zhì)的存放環(huán)境、使用、維護(hù)和銷(xiāo)毀等方面作出規(guī)定；,"a)應(yīng)訪談資產(chǎn)管理員，詢(xún)問(wèn)介質(zhì)的存放環(huán)境是否有保護(hù)措施，防止其被盜、被毀、被未授權(quán)修改以及信息的非法泄漏，是否有專(zhuān)人管理；

b)應(yīng)訪談資產(chǎn)管理員，詢(xún)問(wèn)是否對(duì)介質(zhì)的使用管理要求制度化和文檔化，是否根據(jù)介質(zhì)的目錄清單對(duì)介質(zhì)的使用現(xiàn)狀進(jìn)行定期檢查，是否定期對(duì)其完整性（數(shù)據(jù)是否損壞或丟失）和可用性（介質(zhì)是否受到物理破壞）進(jìn)行檢查，是否根據(jù)所承載數(shù)據(jù)和軟件的重要性對(duì)介質(zhì)進(jìn)行分類(lèi)和標(biāo)識(shí)管理；

c)應(yīng)訪談資產(chǎn)管理員，詢(xún)問(wèn)對(duì)介質(zhì)帶出工作環(huán)境（如送出維修或銷(xiāo)毀）和重要介質(zhì)中的數(shù)據(jù)和軟件是否進(jìn)行保密性處理；對(duì)保密性較高的介質(zhì)銷(xiāo)毀前是否有領(lǐng)導(dǎo)批準(zhǔn)，對(duì)送出維修或銷(xiāo)毀的介質(zhì)是否對(duì)數(shù)據(jù)進(jìn)行凈化處理；詢(xún)問(wèn)對(duì)介質(zhì)的物理傳輸過(guò)程是否要求選擇可靠傳輸人員、嚴(yán)格介質(zhì)的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場(chǎng)交付等環(huán)節(jié)的控制；

d)應(yīng)訪談資產(chǎn)管理員，詢(xún)問(wèn)是否對(duì)某些重要介質(zhì)實(shí)行異地存儲(chǔ)，異地存儲(chǔ)環(huán)境是否與本地環(huán)境相同；

e)應(yīng)檢查介質(zhì)管理記錄，查看其是否記錄介質(zhì)的存儲(chǔ)、歸檔、借用等情況；

f)應(yīng)檢查介質(zhì)管理制度，查看其內(nèi)容是否覆蓋介質(zhì)的存放環(huán)境、使用、維護(hù)和銷(xiāo)毀等方面；

g)應(yīng)檢查介質(zhì)，查看是否對(duì)其進(jìn)行了分類(lèi)，并具有不同標(biāo)識(shí)；

h)應(yīng)檢查介質(zhì)本地存放地的實(shí)際環(huán)境條件是否安全，異地存放地的環(huán)境要求和管理要求是否與本地相同，是否有專(zhuān)人對(duì)存放地進(jìn)行管理。",A.10.7介質(zhì)處理,"A.10.7.1移動(dòng)存儲(chǔ)設(shè)備的管理

",應(yīng)有適當(dāng)?shù)某绦?，以管理移?dòng)存儲(chǔ)設(shè)備。,"訪談，檢查。

資產(chǎn)管理員，介質(zhì)管理記錄，介質(zhì)安全管理制度，各類(lèi)介質(zhì)，介質(zhì)存放地，異地存放地。",

,,b)應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對(duì)各類(lèi)介質(zhì)進(jìn)行控制和保護(hù)，實(shí)行存儲(chǔ)環(huán)境專(zhuān)人管理，并根據(jù)存檔介質(zhì)的目錄清單定期盤(pán)點(diǎn)；,,,A.10.7.3信息處理程序,應(yīng)建立信息的處理與儲(chǔ)存程序，以保護(hù)此等信息免于未經(jīng)授權(quán)的揭露或誤用。,,

,,c)應(yīng)對(duì)介質(zhì)在物理傳輸過(guò)程中的人員選擇、打包、交付等情況進(jìn)行控制，并對(duì)介質(zhì)的歸檔和查詢(xún)等進(jìn)行登記記錄；,,,A.10.7.4系統(tǒng)文件的安全,應(yīng)保護(hù)系統(tǒng)文件，防止未授權(quán)的存取。,,

,,d)應(yīng)對(duì)存儲(chǔ)介質(zhì)的使用過(guò)程、送出維修以及銷(xiāo)毀等進(jìn)行嚴(yán)格的管理，重要數(shù)據(jù)的存儲(chǔ)介質(zhì)帶出工作環(huán)境必須進(jìn)行內(nèi)容加密并進(jìn)行監(jiān)控管理，對(duì)于需要送出維修或銷(xiāo)毀的介質(zhì)應(yīng)采用多次讀寫(xiě)覆蓋、清除敏感或秘密數(shù)據(jù)、對(duì)無(wú)法執(zhí)行刪除操作的受損介質(zhì)必須銷(xiāo)毀，保密性較高的信息存儲(chǔ)介質(zhì)應(yīng)獲得批準(zhǔn)并在雙人監(jiān)控下才能銷(xiāo)毀，銷(xiāo)毀記錄應(yīng)妥善保存；,,,A.10.7.2介質(zhì)的報(bào)廢,介質(zhì)不再需要時(shí)，應(yīng)使用正式程序加以安全的報(bào)廢。,,

,,e)應(yīng)根據(jù)數(shù)據(jù)備份的需要對(duì)某些介質(zhì)實(shí)行異地存儲(chǔ)，存儲(chǔ)地的環(huán)境要求和管理方法應(yīng)與本地相同；,,,,,,

,,f)應(yīng)對(duì)重要介質(zhì)中的數(shù)據(jù)和軟件采取加密存儲(chǔ)，并根據(jù)所承載數(shù)據(jù)和軟件的重要程度對(duì)介質(zhì)進(jìn)行分類(lèi)和標(biāo)識(shí)管理。,,,,,,

,,,,A.10.8信息交換,,控制目標(biāo)：維護(hù)組織內(nèi)及與任何外部實(shí)體交換信息與軟件的安全,,

,,,,A.10.9電子商務(wù)服務(wù),,確保電子商務(wù)服務(wù)的安全與其安全的使用,,

,,,,A.10.10監(jiān)督,"稽核日志

監(jiān)督系統(tǒng)的使用

日志信息的保護(hù)

管理者與操作員日志

失誤日志

時(shí)鐘同步

",偵測(cè)未經(jīng)授權(quán)的信息處理活動(dòng),,

,7.2.5.4設(shè)備管理（G3）,a)應(yīng)對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備（包括備份和冗余設(shè)備）、線路等指定專(zhuān)門(mén)的部門(mén)或人員定期進(jìn)行維護(hù)管理；,"a)應(yīng)訪談資產(chǎn)管理員，詢(xún)問(wèn)是否對(duì)各類(lèi)設(shè)施、設(shè)備指定專(zhuān)人或?qū)ｉT(mén)部門(mén)進(jìn)行定期維護(hù)，由何部門(mén)/何人維護(hù)，維護(hù)周期多長(zhǎng)；

b)應(yīng)訪談資產(chǎn)管理員，詢(xún)問(wèn)是否對(duì)設(shè)備選用的各個(gè)環(huán)節(jié)（如選型、采購(gòu)、發(fā)放等）進(jìn)行審批控制，是否對(duì)設(shè)備帶離機(jī)構(gòu)進(jìn)行審批控制，設(shè)備的操作和使用是否要求規(guī)范化管理；

c)應(yīng)訪談系統(tǒng)管理員，詢(xún)問(wèn)其是否在統(tǒng)一安全策略下，對(duì)服務(wù)器進(jìn)行正確配置，對(duì)服務(wù)器的操作是否按操作規(guī)程進(jìn)行；

d)應(yīng)訪談系統(tǒng)管理員，詢(xún)問(wèn)其是否對(duì)軟硬件維護(hù)進(jìn)行制度化管理；

e)應(yīng)訪談審計(jì)員，詢(xún)問(wèn)對(duì)服務(wù)器的操作是否建立日志，日志文件如何管理，是否定期檢查管理情況；

f)應(yīng)檢查設(shè)備審批、發(fā)放管理文檔，查看其是否對(duì)設(shè)備選型、采購(gòu)、發(fā)放以及帶離機(jī)構(gòu)等環(huán)節(jié)的申報(bào)和審批作出規(guī)定；查看是否具有設(shè)備的選型、采購(gòu)、發(fā)放等過(guò)程的申報(bào)材料和審批報(bào)告；

g)應(yīng)檢查設(shè)備使用管理文檔，查看其內(nèi)容是否覆蓋終端計(jì)算機(jī)、便攜機(jī)和網(wǎng)絡(luò)設(shè)備等使用、操作原則、注意事項(xiàng)等方面；

h)應(yīng)檢查服務(wù)器操作規(guī)程，查看其內(nèi)容是否覆蓋服務(wù)器如何啟動(dòng)、停止、加電、斷電等操作；

i)應(yīng)檢查軟硬件維護(hù)制度，查看其是否覆蓋維護(hù)人員的責(zé)任、涉外維修和服務(wù)的審批、維修過(guò)程的監(jiān)督控制等方面。",A.9.2設(shè)備安全,A.9.2.4設(shè)備維護(hù),應(yīng)正確地維護(hù)設(shè)備，以確保其持續(xù)的可用性與完整性。,"訪談，檢查。

資產(chǎn)管理員，系統(tǒng)管理員，審計(jì)員，設(shè)備審批管理文檔，設(shè)備操作規(guī)程，設(shè)備使用管理文檔，設(shè)施、軟硬件維護(hù)管理制度，設(shè)備維護(hù)記錄，服務(wù)器操作日志，配置文檔。",

,,b)應(yīng)建立基于申報(bào)、審批和專(zhuān)人負(fù)責(zé)的設(shè)備安全管理制度，對(duì)信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購(gòu)、發(fā)放和領(lǐng)用等過(guò)程進(jìn)行規(guī)范化管理；,,,A.9.2.6設(shè)備的安全報(bào)廢或再使用,含有儲(chǔ)存介質(zhì)的設(shè)備其所有項(xiàng)目在報(bào)廢前應(yīng)加以核對(duì)，以確保任何敏感性的數(shù)據(jù)與授權(quán)的軟件已被移除或安全地覆寫(xiě)。,,

,,c)應(yīng)建立配套設(shè)施、軟硬件維護(hù)方面的管理制度，對(duì)其維護(hù)進(jìn)行有效的管理，包括明確維護(hù)人員的責(zé)任、涉外維修和服務(wù)的審批、維修過(guò)程的監(jiān)督控制等；,,,A.9.2.5場(chǎng)外設(shè)備之安全,安全應(yīng)運(yùn)用于場(chǎng)外設(shè)備，并考慮其在組織作業(yè)場(chǎng)所外工作的各種風(fēng),,

,,d)應(yīng)對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理，按操作規(guī)程實(shí)現(xiàn)設(shè)備（包括備份和冗余設(shè)備）的啟動(dòng)/停止、加電/斷電等操作；,,,"A.9.2.1設(shè)備安置與保護(hù)

A.9.2.2支持的公用設(shè)施

A.9.2.3纜線的安全","應(yīng)安置或保護(hù)設(shè)備，以降低來(lái)自環(huán)境之威脅與危害，以及未經(jīng)授權(quán)存取之機(jī)會(huì)。

應(yīng)保護(hù)設(shè)備不受電力失效與其它支持設(shè)施失效所導(dǎo)致的中斷。

應(yīng)保護(hù)傳送數(shù)據(jù)或支持信息服務(wù)之電力與電信纜線，以防止竊聽(tīng)或損毀。",,

,,e)應(yīng)確保信息處理設(shè)備必須經(jīng)過(guò)審批才能帶離機(jī)房或辦公地點(diǎn)。,,,A.9.2.7資產(chǎn)攜出,設(shè)備、信息或軟件未經(jīng)事前授權(quán)不應(yīng)帶出廠（場(chǎng)）區(qū)。,,

,,,,A.10.1操作程序與職責(zé),A.10.1.1文件化操作程序,操作程序應(yīng)加以文件化、維持，并對(duì)有需要的所有使用者均可隨時(shí)取得。,,

,,,,,A.10.1.3任務(wù)的分離,任務(wù)與職責(zé)區(qū)域應(yīng)加以分離，以降低組織資產(chǎn)遭未授權(quán)或非故意的修改或誤用之機(jī)會(huì)。,,

,7.2.5.5監(jiān)控管理和安全管理中心（G3）,a)應(yīng)對(duì)通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶(hù)行為等進(jìn)行監(jiān)測(cè)和報(bào)警，形成記錄并妥善保存；,"a)應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢(xún)問(wèn)其是否監(jiān)控主要服務(wù)器的各項(xiàng)資源指標(biāo)，如CPU、內(nèi)存、進(jìn)程和磁盤(pán)等使用情況；

b)應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢(xún)問(wèn)目前信息系統(tǒng)是否由機(jī)構(gòu)自身負(fù)責(zé)運(yùn)行維護(hù)，如果是，系統(tǒng)運(yùn)行所產(chǎn)生的文檔如何進(jìn)行管理（如責(zé)任書(shū)、授權(quán)書(shū)、許可證、各類(lèi)策略文檔、事故報(bào)告處理文檔、安全配置文檔、系統(tǒng)各類(lèi)日志等）；

c)應(yīng)檢查監(jiān)控記錄，查看是否記錄監(jiān)控對(duì)象、監(jiān)控內(nèi)容、監(jiān)控的異?，F(xiàn)象處理等方面。",,,,"訪談，檢查。

系統(tǒng)運(yùn)維負(fù)責(zé)人，監(jiān)控記錄文檔。",

,,b)應(yīng)組織相關(guān)人員定期對(duì)監(jiān)測(cè)和報(bào)警記錄進(jìn)行分析、評(píng)審，發(fā)現(xiàn)可疑行為，形成分析報(bào)告，并采取必要的應(yīng)對(duì)措施；,,,,,,

,,c)應(yīng)建立安全管理中心，對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等安全相關(guān)事項(xiàng)進(jìn)行集中管理。,,,,,,

,7.2.5.6網(wǎng)絡(luò)安全管理（G3）,a)應(yīng)指定專(zhuān)人對(duì)網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作；,"a)應(yīng)訪談安全主管，詢(xún)問(wèn)是否指定專(zhuān)人負(fù)責(zé)維護(hù)網(wǎng)絡(luò)運(yùn)行日志、監(jiān)控記錄和分析處理報(bào)警信息等網(wǎng)絡(luò)安全管理工作；

b)應(yīng)訪談安全員，詢(xún)問(wèn)是否對(duì)網(wǎng)絡(luò)安全的管理工作（包括網(wǎng)絡(luò)安全配置、網(wǎng)絡(luò)用戶(hù)、日志等方面）制度化；

c)應(yīng)訪談安全員，詢(xún)問(wèn)網(wǎng)絡(luò)的外聯(lián)種類(lèi)有哪些（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級(jí)部門(mén)網(wǎng)絡(luò)等），是否都得到授權(quán)與批準(zhǔn)，由何部門(mén)/何人批準(zhǔn)；是否定期檢查違規(guī)聯(lián)網(wǎng)的行為；

d)應(yīng)訪談網(wǎng)絡(luò)管理員，詢(xún)問(wèn)是否根據(jù)廠家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行過(guò)升級(jí)，目前的版本號(hào)為多少，升級(jí)前是否對(duì)重要文件（帳戶(hù)數(shù)據(jù)和配置數(shù)據(jù)等）進(jìn)行備份，采取什么方式進(jìn)行；是否對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行過(guò)漏洞掃描，對(duì)掃描出的漏洞是否及時(shí)修補(bǔ)；

e)應(yīng)檢查網(wǎng)絡(luò)漏洞掃描報(bào)告，查看其內(nèi)容是否覆蓋網(wǎng)絡(luò)存在的漏洞、嚴(yán)重級(jí)別、原因分析、改進(jìn)意見(jiàn)等方面；

f)應(yīng)檢查網(wǎng)絡(luò)安全管理制度，查看其內(nèi)容是否覆蓋網(wǎng)絡(luò)安全配置（包括網(wǎng)絡(luò)設(shè)備的安全策略、授權(quán)訪問(wèn)、最小服務(wù)、升級(jí)與打補(bǔ)?。⒕W(wǎng)絡(luò)帳戶(hù)（用戶(hù)責(zé)任、義務(wù)、風(fēng)險(xiǎn)、權(quán)限審批、權(quán)限分配、帳戶(hù)注銷(xiāo)等）、審計(jì)日志以及配置文件的生成、備份、變更審批、符合性檢查等方面；

g)應(yīng)檢查是否具有內(nèi)部網(wǎng)絡(luò)所有外聯(lián)的授權(quán)批準(zhǔn)書(shū)；

h)應(yīng)檢查在規(guī)定的保存時(shí)間范圍內(nèi)是否存在網(wǎng)絡(luò)審計(jì)日志。",,"A.10.6.1網(wǎng)絡(luò)控制措施

A.10.6.2網(wǎng)絡(luò)服務(wù)的安全

A.11.4網(wǎng)絡(luò)存取控制

A.11.7行動(dòng)式計(jì)算機(jī)作業(yè)與遠(yuǎn)距工作","a)網(wǎng)絡(luò)應(yīng)適當(dāng)?shù)募右怨芾砼c控制，使其不受威脅，并維持使用網(wǎng)絡(luò)系統(tǒng)與應(yīng)用的安全，包括傳輸中的信息。

B)應(yīng)鑒別所有網(wǎng)絡(luò)服務(wù)的安全特性、服務(wù)等級(jí)及管理要求，并應(yīng)納入網(wǎng)絡(luò)服務(wù)協(xié)議，不論此等服務(wù)是由內(nèi)部或委外所提供。

C)確保使用行動(dòng)式計(jì)算機(jī)作業(yè)與遠(yuǎn)距工作設(shè)施時(shí)之信息安全。","訪談，檢查。

安全主管，安全員，網(wǎng)絡(luò)管理員，審計(jì)員，網(wǎng)絡(luò)漏洞掃描報(bào)告，網(wǎng)絡(luò)安全管理制度，系統(tǒng)外聯(lián)授權(quán)書(shū)，網(wǎng)絡(luò)審計(jì)日志。",

,,b)應(yīng)建立網(wǎng)絡(luò)安全管理制度，對(duì)網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、口令更新周期等方面作出規(guī)定；,,,,,,

,,c)應(yīng)根據(jù)廠家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前對(duì)現(xiàn)有的重要文件進(jìn)行備份；,,,,,,

,,d)應(yīng)定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ)；,,,,,,

,,e)應(yīng)實(shí)現(xiàn)設(shè)備的最小服務(wù)配置和優(yōu)化配置，并對(duì)配置文件進(jìn)行定期離線備份；,,,,,,

,,f)應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)；,,,,,,

,,g)應(yīng)禁止便攜式和移動(dòng)式設(shè)備接入網(wǎng)絡(luò)；,,,,,,

,,h)應(yīng)定期檢查違反規(guī)定撥號(hào)上網(wǎng)或其他違反網(wǎng)絡(luò)安全策略的行為；,,,,,,

,,i)應(yīng)嚴(yán)格控制網(wǎng)絡(luò)管理用戶(hù)的授權(quán)，授權(quán)程序中要求必須有兩人在場(chǎng)，并經(jīng)雙重認(rèn)可后方可操作，操作過(guò)程應(yīng)保留不可更改的審計(jì)日志。,,,,,,

,7.2.5.7系統(tǒng)安全管理（G3）,a)應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問(wèn)控制策略；,"a)應(yīng)訪談安全主管，詢(xún)問(wèn)是否指定專(zhuān)人負(fù)責(zé)系統(tǒng)安全管理；

b)應(yīng)訪談系統(tǒng)管理員，詢(xún)問(wèn)對(duì)系統(tǒng)工具的使用（如脆弱性掃描工具）是否采取措施控制不同使用人員及數(shù)量；

c)應(yīng)訪談系統(tǒng)管理員，詢(xún)問(wèn)是否定期對(duì)系統(tǒng)安裝安全補(bǔ)丁程序，是否在測(cè)試環(huán)境中測(cè)試其對(duì)應(yīng)用系統(tǒng)的影響；在安裝系統(tǒng)補(bǔ)丁前是否對(duì)重要文件（系統(tǒng)配置、系統(tǒng)用戶(hù)數(shù)據(jù)等）進(jìn)行備份，采取什么方式進(jìn)行；是否對(duì)系統(tǒng)進(jìn)行過(guò)漏洞掃描，發(fā)現(xiàn)漏洞是否進(jìn)行及時(shí)修補(bǔ)；

d)應(yīng)訪談安全員，詢(xún)問(wèn)是否將系統(tǒng)安全管理工作（包括系統(tǒng)安全配置、系統(tǒng)帳戶(hù)、審計(jì)日志等）制度化；

e)應(yīng)訪談系統(tǒng)管理員，詢(xún)問(wèn)對(duì)不常用的系統(tǒng)缺省用戶(hù)是否采取了一定的處理手段阻止其繼續(xù)使用（如刪除或禁用）；是否對(duì)系統(tǒng)帳戶(hù)安全管理情況是否定期進(jìn)行檢查和分析，發(fā)現(xiàn)問(wèn)題如何處理；

f)應(yīng)訪談審計(jì)員，詢(xún)問(wèn)是否規(guī)定系統(tǒng)審計(jì)日志保存時(shí)間，多長(zhǎng)時(shí)間；

g)應(yīng)檢查在規(guī)定的保存時(shí)間范圍內(nèi)是否存在系統(tǒng)審計(jì)日志；

h)應(yīng)檢查系統(tǒng)漏洞掃描報(bào)告，查看其內(nèi)容是否覆蓋系統(tǒng)存在的漏洞、嚴(yán)重級(jí)別、原因分析、改進(jìn)意見(jiàn)等方面；

i)應(yīng)檢查系統(tǒng)安全管理制度，查看其內(nèi)容是否覆蓋系統(tǒng)安全配置（包括系統(tǒng)的安全策略、授權(quán)訪問(wèn)、最小服務(wù)、升級(jí)與打補(bǔ)丁）、系統(tǒng)帳戶(hù)（用戶(hù)責(zé)任、義務(wù)、風(fēng)險(xiǎn)、權(quán)限審批、權(quán)限分配、帳戶(hù)注銷(xiāo)等）、審計(jì)日志以及配置文件的生成、備份、變更審批、符合性檢查等方面。",,"A.11.5操作系統(tǒng)存取控制

A.11.6應(yīng)用與信息存取控制","防止操作系統(tǒng)被未授權(quán)存取。

防止應(yīng)用系統(tǒng)中的信息被未經(jīng)授權(quán)的存取。","訪談，檢查。

安全主管，安全員，系統(tǒng)管理員，審計(jì)員，系統(tǒng)安全管理制度，系統(tǒng)審計(jì)日志，系統(tǒng)漏洞掃描報(bào)告。",

,,b)應(yīng)定期進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)進(jìn)行修補(bǔ)；,,,,,,

,,c)應(yīng)安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，首先在測(cè)試環(huán)境中測(cè)試通過(guò)，并對(duì)重要文件進(jìn)行備份后，方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝；,,,,,,

,,d)應(yīng)建立系統(tǒng)安全管理制度，對(duì)系統(tǒng)安全策略、安全配置、日志管理、日常操作流程等方面作出具體規(guī)定；,,,,,,

,,e)應(yīng)指定專(zhuān)人對(duì)系統(tǒng)進(jìn)行管理，劃分系統(tǒng)管理員角色，明確各個(gè)角色的權(quán)限、責(zé)任和風(fēng)險(xiǎn)，權(quán)限設(shè)定應(yīng)當(dāng)遵循最小授權(quán)原則；,,,,,,

,,f)應(yīng)依據(jù)操作手冊(cè)對(duì)系統(tǒng)進(jìn)行維護(hù)，詳細(xì)記錄操作日志，包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容，嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作；,,,,,,

,,g)應(yīng)定期對(duì)運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析，以便及時(shí)發(fā)現(xiàn)異常行為；,,,A.15.3信息系統(tǒng)稽核考慮,有關(guān)操作系統(tǒng)之查核，其稽核要求與活動(dòng)應(yīng)謹(jǐn)慎規(guī)劃并已獲同意，以降低營(yíng)運(yùn)過(guò)程中斷的風(fēng)險(xiǎn)。,,

,,h)應(yīng)對(duì)系統(tǒng)資源的使用進(jìn)行預(yù)測(cè)，以確保充足的處理速度和存儲(chǔ)容量，管理人員應(yīng)隨時(shí)注意系統(tǒng)資源的使用情況，包括處理器、存儲(chǔ)設(shè)備和輸出設(shè)備。,,,A.10.3.1容量管理,應(yīng)監(jiān)督、調(diào)整各項(xiàng)資源的使用，并預(yù)估未來(lái)容量需求，以確保所要求的系統(tǒng)績(jī)效。,,

,7.2.5.8惡意代碼防范管理（G3）,a)應(yīng)提高所有用戶(hù)的防病毒意識(shí)，及時(shí)告知防病毒軟件版本，在讀取移動(dòng)存儲(chǔ)設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前，先進(jìn)行病毒檢查，對(duì)外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)行病毒檢查；,"a)應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢(xún)問(wèn)是否對(duì)員工進(jìn)行基本惡意代碼防范意識(shí)教育，如告知應(yīng)及時(shí)升級(jí)軟件版本，使用外來(lái)設(shè)備、網(wǎng)絡(luò)上接收文件和外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前應(yīng)進(jìn)行病毒檢查；

b)應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢(xún)問(wèn)是否指定專(zhuān)人對(duì)惡意代碼進(jìn)行檢測(cè)，并保存記錄；

c)應(yīng)訪談安全員，詢(xún)問(wèn)是否將惡意代碼防范管理工作（包括防惡意代碼軟件的授權(quán)使用、代碼庫(kù)升級(jí)和防范工作情況匯報(bào)等）制度化，對(duì)其執(zhí)行情況是否進(jìn)行檢查，檢查周期多長(zhǎng)；

d)應(yīng)訪談安全員，詢(xún)問(wèn)是否建立惡意代碼防護(hù)管理中心，對(duì)整個(gè)系統(tǒng)的惡意代碼管理工作是否實(shí)行統(tǒng)一集中管理（統(tǒng)一升級(jí)、檢測(cè)、分析等），是否對(duì)惡意代碼庫(kù)的升級(jí)情況進(jìn)行記錄，對(duì)截獲的危險(xiǎn)病毒或惡意代碼是否進(jìn)行及時(shí)分析處理，并形成書(shū)面的報(bào)表和總結(jié)匯報(bào)；

e)應(yīng)訪談工作人員，詢(xún)問(wèn)其是否熟知惡意代碼基本的防范手段，主要包括哪些；

f)應(yīng)檢查惡意代碼防范管理制度，查看其內(nèi)容是否覆蓋防惡意代碼軟件的授權(quán)使用、惡意代碼庫(kù)升級(jí)、定期匯報(bào)等方面；

g)應(yīng)檢查是否具有惡意代碼檢測(cè)記錄、惡意代碼庫(kù)升級(jí)記錄和分析報(bào)告，查看升級(jí)記錄是否記錄升級(jí)時(shí)間、升級(jí)版本等內(nèi)容；查看分析報(bào)告是否描述惡意代碼的特征、修補(bǔ)措施等內(nèi)容；

h)應(yīng)檢查是否具有惡意代碼集中防范管理中心。",,"A.10.4.1對(duì)抗惡意碼的控制措施

A.10.4.2對(duì)抗移動(dòng)代碼的控制措施","a)應(yīng)實(shí)施防范惡意碼的偵測(cè)、預(yù)防及復(fù)原控制措施，以及適當(dāng)?shù)氖褂谜哒J(rèn)知程序

b)移動(dòng)代碼若經(jīng)授權(quán)使用，其組態(tài)應(yīng)確保授權(quán)的移動(dòng)代碼系依據(jù)清楚界定的安全政策在作業(yè)，并應(yīng)防止執(zhí)行未經(jīng)授權(quán)的移動(dòng)代碼","訪談，檢查。

系統(tǒng)運(yùn)維負(fù)責(zé)人，安全員，惡意代碼防范管理制度，惡意代碼檢測(cè)記錄，惡意代碼升級(jí)記錄，惡意代碼分析報(bào)告，惡意代碼集中防范管理中心。",

,,b)應(yīng)指定專(zhuān)人對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)并保存檢測(cè)記錄；,,,,,,

,,c)應(yīng)對(duì)防惡意代碼軟件的授權(quán)使用、惡意代碼庫(kù)升級(jí)、定期匯報(bào)等作出明確規(guī)定；,,,,,,

,,d)應(yīng)定期檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的惡意代碼庫(kù)的升級(jí)情況并進(jìn)行記錄，對(duì)主機(jī)防病毒產(chǎn)品、防病毒網(wǎng)關(guān)和郵件防病毒網(wǎng)關(guān)上截獲的危險(xiǎn)病毒或惡意代碼進(jìn)行及時(shí)分析處理，并形成書(shū)面的報(bào)表和總結(jié)匯報(bào)。,,,,,,

,7.2.5.9密碼管理（G3）,應(yīng)建立密碼使用管理制度，使用符合國(guó)家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。,"a)應(yīng)訪談安全員，詢(xún)問(wèn)密碼算法和密鑰的使用是否遵照國(guó)家密碼管理規(guī)定；

b)應(yīng)檢查是否具有密碼使用管理制度。",,A.12.3.1密碼控制措施的使用政,使用密碼控制措施以保護(hù)信息的政策應(yīng)加以發(fā)展與實(shí)施。,"訪談，檢查。

安全員，密碼管理制度。",

,7.2.5.10變更管理（G3）,a)應(yīng)確認(rèn)系統(tǒng)中要發(fā)生的變更，并制定變更方案；,"a)應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢(xún)問(wèn)是否制定變更方案指導(dǎo)系統(tǒng)執(zhí)行變更；目前系統(tǒng)發(fā)生過(guò)哪些變更，變更過(guò)程是否文檔化并保存，是否修改相關(guān)的操作流程（如系統(tǒng)配置發(fā)生變更后，相應(yīng)的操作流程是否修改）；

b)應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢(xún)問(wèn)重要系統(tǒng)變更前是否根據(jù)申報(bào)和審批程序得到有關(guān)領(lǐng)導(dǎo)的批準(zhǔn)，由何人批準(zhǔn)，對(duì)發(fā)生的變更情況是否通知了所有相關(guān)人員，以何種方式通知；變更方案是否經(jīng)過(guò)評(píng)審；

c)應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢(xún)問(wèn)變更失敗后的恢復(fù)程序、工作方法和人員職責(zé)是否文檔化，恢復(fù)過(guò)程是否經(jīng)過(guò)演練；

d)應(yīng)檢查重要系統(tǒng)的變更申請(qǐng)書(shū)，查看其是否有主管領(lǐng)導(dǎo)的批準(zhǔn)；

e)應(yīng)檢查系統(tǒng)變更方