等級保護20二級要求測評方法

安全物理環(huán)境

物理位置選擇

測評單元（L2-PES1-01）

該測評單元包括以下要求：

a）測評指標：機房場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。

b）測評對象：記錄類文檔和機房。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查所在建筑物是否具有建筑物抗震設(shè)防審批文檔；

2）應(yīng)核查機房是否不存在雨水滲漏：

3）應(yīng)核查機房門窗是否不存在因風(fēng)導(dǎo)致的塵土嚴重；

4）應(yīng)核查屋頂、墻體、門窗和地面等是否沒有破損開裂.

d）單元判定：如果1）~4）均為肯定，則符合本測評單元指標要求，否則不符合或部分符

合本測評單元指標要求。

測評單元（L2-PES1-02）

該測評單元包括以下要求：

a）測評指標：機房場地應(yīng)避免設(shè)在建筑物的頂層或地下室，否則應(yīng)加強防水和防潮措施。

b）測評對象：機房。

O測評實施：應(yīng)核杳機房是否不位「?所在建筑物的頂層或地下室，如果否，則核查機房是

否采取了防水和防潮措施。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合本

測評單元指標要求。

物理訪問控制

測評單元（L2-PES1-03）

該測評單元包括以下要求：

a）測評指標：機房出人口應(yīng)安排專人值守或配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的

人員。

b）測評對象：機房電子門禁系統(tǒng)和值守記錄。

O測評實施包括以下內(nèi)容：

1）應(yīng)核查是否安排專人值守或配置電子門禁系統(tǒng)；。

2）應(yīng)核查相關(guān)記錄是否能夠控制、鑒別和記錄進人的人員。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求°

防盜竊和防破壞

測評單元（L2-PES1-04）

該測評單元包括以下要求：

a）測評指標：應(yīng)將設(shè)備或主要部件進行固定，并設(shè)置明顯的不易除去的標識。

b）測評對象：機房設(shè)備或主要部件。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核杳機房內(nèi)設(shè)備或主要部件是否固定：

2）應(yīng)核查機房內(nèi)設(shè)備或主要部件上是否設(shè)置了明顯且不易除去的標識。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求。

測評單元（L2-PES1-05）

該測評單元包括以下要求：

a）測評指標：應(yīng)將通信線纜鋪設(shè)在隱蔽安全處。

b）測評對象：機房通信線纜。

C）測評實施：應(yīng)核查機房內(nèi)通信線纜是否鋪設(shè)在隱蔽安全處，如橋架中等。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合

本測評單元指標要求。

防雷擊

測評單元（L2-PES1-06）

該測評單元包括以下要求：

a）測評指標：應(yīng)將各類機柜、設(shè)施和設(shè)備等通過接地系統(tǒng)安全接地。

b）測評對象：機房。

c）測評實施：應(yīng)核查機房內(nèi)機柜、設(shè)施和設(shè)備等是否進行接地處理。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合本

測評單元指標要求。

防火

測評單元（L2-PES1-07）

該測評單元包括以下要求：

a）測評指標：機房應(yīng)設(shè)置火災(zāi)自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅

火。

b）測評對象：機房防火設(shè)施。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查機房內(nèi)是否設(shè)置火災(zāi)自動消防系統(tǒng)；

2）應(yīng)核查火災(zāi)自動消防系統(tǒng)是否可以自動檢測火情、自動報警并自動滅火。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求。

防靜電

測評單元（L2-PES1-11）

該測評單元包括以下要求：

a）測評指標：應(yīng)采用防靜電地板或地面并采用必要的接地防靜電措施。

b）測評對象：機房。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核杳機房內(nèi)是否安裝了防靜電地板或地面；

2）應(yīng)核查機房內(nèi)是否采用了接地防靜電措施。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求。

溫濕度控制

測評單元（L2-PES1-12）

該測評單元包括以下要求：

a）測評指標：應(yīng)設(shè)置溫濕度自動調(diào)節(jié)設(shè)施，使機房溫濕度的變化在設(shè)備運行所允許的范圍

之內(nèi)。

b）測評對象：機房溫濕度調(diào)節(jié)設(shè)施。

c）測評實施包括以下內(nèi)容。

1）應(yīng)核杳機房內(nèi)是否配備了專用空調(diào)：

2）應(yīng)核查機房內(nèi)溫濕度是否在設(shè)備運行所允許的范圍之內(nèi)。

d）單元判定：如果1）和2）均為肯定。則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求。

電力供應(yīng)

測評單元（L2-PES1-13）

該測評單元包括以下要求：

a）測評指標：應(yīng)在機房供電線路上配置穩(wěn)壓器和過電壓防護設(shè)備。

b）測評對象：機房供電設(shè)施。

c）測評實施：應(yīng)核查供電線路上是否配置了穩(wěn)壓器和過電壓防護設(shè)備。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合本

測評單元指標要求。

測評單元（L2-PES1-14）

該測評單元包括以下要求：

a）測評指標：應(yīng)提供短期的備用電力供應(yīng)，至少滿足設(shè)備在斷電情況下的正常運行要求。

b）測評對象：機房備用供電設(shè)施。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查機房是否配備IPS等后備電源系統(tǒng)；

2）應(yīng)核查UPS等后備電源系統(tǒng)是否滿足設(shè)備在斷電情況卜的正常運行要求。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求。

電磁防護

測評單元（L2-PES1-15）

該測評單元包括以下要求：

a）測評指標：電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾。

b）測評對象：機房線纜。

c）測評實施：應(yīng)核查機房內(nèi)電源線纜和通信線纜是否隔離鋪設(shè)。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合本

測評單元指標要求。

安全通信網(wǎng)絡(luò)

網(wǎng)絡(luò)架構(gòu)

測評單元（L2-CNS1-01）o

該測評單元包括以下要求：

a）測評指標：應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地

址。

b）測評對象：路由器、交換機、無線接人設(shè)備和防火墻等提供網(wǎng)絡(luò)通信功能的設(shè)備或相關(guān)

組件。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核杳是否依據(jù)重要性、部門等因素劃分不同的網(wǎng)絡(luò)區(qū)域；

2）應(yīng)核查相關(guān)網(wǎng)絡(luò)設(shè)備配置信息，驗證劃分的網(wǎng)絡(luò)區(qū)域是否與劃分原則一致.

d）單元判定；如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求。

測評單元（L2-CNS1-02）

該測評單元包括以下要求：

a）測評指標：應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)

采取可靠的技術(shù)隔離手段。

b）測評對象：網(wǎng)絡(luò)拓撲。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查網(wǎng)絡(luò)拓撲圖是否與實際網(wǎng)絡(luò)運行環(huán)境一致；

2）應(yīng)核杳重要網(wǎng)絡(luò)區(qū)域是否未部署在網(wǎng)絡(luò)邊界處；

3）應(yīng)核杳重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間是否采取可靠的技術(shù)隔離手段，如網(wǎng)閘、防火

墻和設(shè)備訪問控制列表（ACL）等。

d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標要求，否則不符合或部分符

合本測評單元指標要求。

通信傳輸

測評單元（L2-CNS1-03）

該測評單元包括以下要求：

a）測評指標：應(yīng)采用校驗技術(shù)保證通信過程中數(shù)據(jù)的完整性。

b）測評對象：提供校驗技術(shù)功能的設(shè)備或組件。

c）測評實施：應(yīng)核查是否在數(shù)據(jù)傳輸過程中使用校驗技術(shù)來保護其完整性。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合本

測評單兀指標要求。

可信驗證

測評單元（L2-CNS1-04）

該測評單元包括以下要求：

a）測評指標：可基于可信根對通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信

應(yīng)用程序等進行可信驗證，并在檢測到其可信性受到破壞后進行報警，并將驗證結(jié)果形成

審計記錄送至安全管理中心。

b）測評對象：提供可信驗證的設(shè)備或組件、提供集中審計功能的系統(tǒng)。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否基于可信根對通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)

用程序等進行可信驗證；

2）應(yīng)核查當檢測到通信設(shè)備的可信性受到破壞后是否進行報警；

3）應(yīng)核查驗證結(jié)果是否以審計記錄的形式送至安全管理中心。

d）單元判定：如果1）飛）均為肯定，則符合本測評單元指標要求，否則不符合或部分符

合本測評單元指標要求。

安全區(qū)域邊界

邊界防護

測評單元（L2-ABS1-01）

該測評單元包括以下要求：

a）測評指標：應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進行通信。

b）測評對象：網(wǎng)閘、防火墻、路由器、交換機和無線接入網(wǎng)關(guān)設(shè)備等提供訪問控制功能的

設(shè)備或相關(guān)組件。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查在網(wǎng)絡(luò)邊界處是否部署訪問控制設(shè)備；

2）應(yīng)核查設(shè)備配置信息是否指定端口進行跨越邊界的網(wǎng)絡(luò)通信，指定端口是否配置并啟用

了安全策略；

3）應(yīng)采用其他技術(shù)手段「如非法無線網(wǎng)絡(luò)設(shè)備定位、核查設(shè)備配置信息等）核查是否不存

在其他未受控端口進行跨越邊界的網(wǎng)絡(luò)通信。

d）單元判定：如果1）飛）均為肯定，則符合本測評單元指標要求，否則不符合或部分符

合本測評單元指標要求。

訪問控制

測評單元（L2-ABS1-02）

該測評單元包括以下要求：

a）測評指標：應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認情況下

除允許通信外受控接口拒絕所有通信。

b）測評對象：網(wǎng)閘、防火墻、路由器。交換機和無線接人網(wǎng)關(guān)設(shè)備等提供訪問控制功能的

設(shè)備或相關(guān)組件。

O測評實施包括以下內(nèi)容：

1）應(yīng)核查在網(wǎng)絡(luò)邊界或區(qū)域之間是否部署訪問控制設(shè)備并啟用訪問控制策略；

2）應(yīng)核查設(shè)備的最后一條訪問控制策略是否為禁止所有網(wǎng)絡(luò)通信。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求。

測評單元（L2-ABS1-03）

該測評單元包括以下要求：

a）測評指標：應(yīng)刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)

則數(shù)量最小化。

b）測評對象：網(wǎng)閘、防火墻、路由器、交換機和無線接人網(wǎng)關(guān)設(shè)備等提供訪問控制功能的

設(shè)備或相關(guān)組件。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否不存在多余或無效的訪問控制策略；

2）應(yīng)核查不同的訪問控制策略之間的邏輯關(guān)系及前后排列順序是否合理。

d）單元判定：如果1）和2）均為肯定，則符合本測評單.元指標要求，否則不符合或部分

符合本測評單元指標要求。

測評單元（L2-ABS1-04）

該測評單元包括以卜要求：

a測評指標：應(yīng)對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查，以允許/拒絕

數(shù)據(jù)包進出。

b）測評對象：網(wǎng)閘、防火墻、路由器、交換機和無線接人網(wǎng)關(guān)設(shè)備等提供訪問控制功能

的設(shè)備或相關(guān)組件。

c）測評實施：應(yīng)核查設(shè)備的訪問控制策略中是否設(shè)定了源地址、FI的地址、源端口、FI的

端口和協(xié)議等相關(guān)配置參數(shù)。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合本

測評單元指標要求。

測評單元(L2-ABS1-05)

該測評單元包括以下要求：

a）測評指標：應(yīng)能根據(jù)會話狀態(tài)信息為進出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力。

b）測評對象：網(wǎng)閘、防火墻、路由器、交換機和無線接人網(wǎng)關(guān)設(shè)備等提供訪問控制功能的

設(shè)備或相關(guān)組件。

c）測評實施：應(yīng)核查是否采用會話認證等機制為進出數(shù)據(jù)流提供明確的允許/拒絕訪問的

能力。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合本

測評單元指標要求。

入侵防范

測評單元（L2-ABS1-06）

該測評單元包括以卜要求：

a）測評指標：應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處監(jiān)視網(wǎng)絡(luò)攻擊行為。

b）測評對象：抗APT攻擊系統(tǒng)、網(wǎng)絡(luò)問潮系統(tǒng)、抗DDoS攻擊系統(tǒng)、人侵保護系統(tǒng)和入侵

檢測系統(tǒng)或相關(guān)組件。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否能夠檢測到以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)

攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；

2）應(yīng)核查相關(guān)系統(tǒng)或設(shè)備的規(guī)則庫版本是否已經(jīng)更新到最新版本；

3）應(yīng)核杳相關(guān)系統(tǒng)或設(shè)備配置信息或安全策略是否能夠覆蓋網(wǎng)絡(luò)所有關(guān)鍵節(jié)點。

d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求。

惡意代碼防范

測評單元（L2-ABS1-07）

該測評單元包括以下要求：

a）測評指標：應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對惡意代碼進行檢測和清除，并維護惡意代碼防護機制

的升級和更新。

b）測評對象：防病毒網(wǎng)關(guān)和ITM等提供防惡意代碼功能的系統(tǒng)或相關(guān)組件。

O測評實施包括以下內(nèi)容：

1）應(yīng)核查在關(guān)鍵網(wǎng)絡(luò)節(jié)點處是否部署防惡意代碼產(chǎn)品等技術(shù)措施；

2）應(yīng)核查防惡意代碼產(chǎn)品運行是否正常，惡意代碼庫是否已經(jīng)更新到最新。

d）單元判定：如果1）和2）均為肯定。則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求°

安全審計

測評單元（L2-ABS1-08）

該測評單元包括以下要求：

a）測評指標：應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點進行安全審計，審計蒞蓋到每個用戶，對重要

的用戶行為和重要安全事件進行審計。

b）測評對象：綜合安全審計系統(tǒng)等。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否部署了綜合安全審計系統(tǒng)或類似功能的系統(tǒng)平臺；

2）應(yīng)核食安全審計范圍是否覆蓋到每個用戶；

3）應(yīng)核查是否對重要的用戶行為和重要安全事件進行了審計。

d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標要求，否則不符合或部分符

合本測評單元指標要求。

測評單元(L2-ABS1-09)

該測評單元包括以下要求：

a）測評指標：審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其

他與審計相關(guān)的信息。

b）測評對象：綜合安全審計系統(tǒng)等。

c）測評實施：應(yīng)核查審L記錄信息是否包括事件的口期和時間、用戶、事件類型、事件是

否成功及其他與審計相關(guān)的信息。

d）單元判定：如果以上測評實施內(nèi)容，則符合本測評單元指標要求，否則不符合或部分符

合本測評單元指標要求。

測評單元（L2-ABS1-10）

該測評單元包括以卜要求：

a）測評指標：應(yīng)對審計記錄進行保護，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋

等。

b）測評對象：綜合安全審計系統(tǒng)等。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否采取了技術(shù)措施對審計記錄進行保護；

2）應(yīng)核杳是否采取技術(shù)措施對審計記錄進行定期備份，并核查其備份策略。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求。

可信驗證

測評單元（L2-ABS1-11）o

該測評單元包括以下要求：

a）測評指標：可基于可信根對邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界

防護應(yīng)用程序等進行可信驗證，并在檢測到其可信性受到破壞后進行報警，并將驗證結(jié)果

形成審計記錄送至安全管理中心。

b）測評對象：提供可信驗證的設(shè)備或組件。提供集中審計功能的系統(tǒng)。

C）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否基于可信根對邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防

護應(yīng)用程序等進行可信驗證：

2）應(yīng)核查當檢測到邊界設(shè)備的可信性受到破壞后是否進行報警；

3）應(yīng)核查驗證結(jié)果是否以審計記錄的形式送至安全管理中心。

d）單元判定：如果1）飛）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求。

安全計算環(huán)境

身份鑒別

測評單元（L2-CES1-01）

該測評單元包括以下要求：

a）測評指標：應(yīng)對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息

具有復(fù)雜度要求并定期更換。

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網(wǎng)絡(luò)

設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系

統(tǒng)、移動終端管理客戶端、感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)。數(shù)

據(jù)庫管理系統(tǒng)、中間件利系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查用戶在登錄時是否采用了身份鑒別措施；

2）應(yīng)核查用戶列表確認用戶身份標識是否具有唯一性；

3）應(yīng)核查用戶配置信息是否不存在空口令用戶；

4）應(yīng)核查用戶鑒別信息是否具有更雜度要求并定期更換。

d）單元判定：如果1）~4）均為肯定，則符合本測評單元指標要求，否則不符合或部分符

合木測評單元指標要求。

測評單元(L2-CES1-02)

a）測評指標：應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當

登錄連接超時自動退出等相關(guān)措施。

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網(wǎng)絡(luò)

設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系

統(tǒng)、移動終端管理客戶端、感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)。數(shù)

據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否配置并啟用了登錄失敗處理功能；

2）應(yīng)核查是否配置并啟用了限制非法登錄功能，非法登錄達到一定次數(shù)后采取特定動作，

如賬戶鎖定等；

3）應(yīng)核查是否配置并啟用了登錄連接超時及自動退出功能。

d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求。

測評單元（L2-CES1-03）

該測評單元包括以下要求：

a）測評指標：當進行遠程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊

聽。

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網(wǎng)絡(luò)

設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系

統(tǒng)、移動終端管理客戶端、感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)。數(shù)

據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。

c）測評實施：應(yīng)核查是否采用加密等安全方式對系統(tǒng)進行遠程管理，防止鑒別信息在網(wǎng)絡(luò)

傳輸過程中被竊聽。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合本

測評單元指標要求。

訪問控制

測評單元（L2-CES1-04）

該測評單元包括以下要求：

a）測評指標：應(yīng)對登錄的用戶分配賬戶和權(quán)限。

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網(wǎng)絡(luò)

設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系

統(tǒng)、移動終端管理客戶端、感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)

據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否為用戶分配了賬戶和權(quán)限及相關(guān)設(shè)置情況：

2）應(yīng)核杳是否已禁用或限制匿名、默認賬戶的訪問權(quán)限。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求。

測評單元（L2-CES1-05）

該測評單兀包括以卜要求：

a）測評指標：應(yīng)重命名或刪除默認賬戶，修改默認賬戶的默認口令。

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網(wǎng)絡(luò)

設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系

統(tǒng)、移動終端管理客戶端、感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)

據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否已經(jīng)重命名默認賬戶或默認賬戶已被刪除；

2）應(yīng)核查是否已修改默認賬戶的默認口令。

d）單元判定：如果1）或2）為肯定，則符合本測評單元指標要求，否則不符合或部分符

合本測評單元指標要求。

測評單元（L2-CES1-06）

該測評單元包括以下要求：

a）測評指標：應(yīng)及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在。

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網(wǎng)絡(luò)

設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系

統(tǒng)、移動終端管理客戶端、感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點設(shè)備、控制設(shè)備。業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)

據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否不存在多余或過期賬戶，管理員用戶與賬戶之間是否一一對應(yīng)；

2）應(yīng)核查并測試多余的、過期的賬戶是否被刪除或停用。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求3

測評單元（L2-CES1-07）

該測評單元包括以下要求：

a）測評指標：應(yīng)授予管理用戶所需的最小權(quán)限，實現(xiàn)管理用戶的權(quán)限分離。

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網(wǎng)絡(luò)

設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系

統(tǒng)、移動終端管理客戶端感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)

庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等.

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否進行角色劃分；

2）應(yīng)核查管理用戶的權(quán)限是否已進行分離：

3）應(yīng)核查管理用戶權(quán)限是否為其工作任務(wù)所需的最小權(quán)限。

d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標要求，否則不符合或部分符

合本測評單元指標要求。

安全審計

測評單元（L2-CES1-08）

該測評單元包括以下要求：

a）測評指標：應(yīng)提供安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全

事件進行審計。

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網(wǎng)絡(luò)

設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端。移動終端管理系

統(tǒng)。移動終端管理客戶端、感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)

據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核杳是否提供并開啟了安全審計功能；

2）應(yīng)核杳安全審計范圍是否覆蓋到每個用戶：

3）應(yīng)核查是否對重要的用戶行為和重要安全事件進行審計.

d）單元判定：如果1）飛）均為肯定，則符合本測評單元指標要求，否則不符合或部分符

合本測評單元指標要求。

測評單元（L2-CES1-09）

該測評單元包括以下要求：

a）測評指標：審計記錄應(yīng)包括事件的口期和時間、用戶、事件類型、事件是否成功及其他

與審計相關(guān)的信息。

b）測評時象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網(wǎng)絡(luò)

設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系

統(tǒng)、移動終端管理客戶端、感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)

據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。

c）測評實施：應(yīng)核查審L記錄信息是否包括事件的口期和時間、用戶、事件類型、事件是

否成功及其他與審計相關(guān)的信息。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合本

測評單元指標要求。

測評單元（L2-CES1-10）

該測評單元包括以卜要求：

a）測評指標：應(yīng)對審計記錄進行保護，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋

等。

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網(wǎng)絡(luò)

設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系

統(tǒng)、移動終端管理客戶端、感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)

據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否采取了保護措施對審計記錄進行保護；

2）應(yīng)核查是否采取技術(shù)措施對審計記錄進行定期備份，并核查其備份策略。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求。

入侵防范

測評單元（L2-CES1-11）.

該測評單元包括以下要求：

a）測評指標：應(yīng)遵循最小安裝的原則，僅安裝需要的蛆件和應(yīng)用程序。

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網(wǎng)絡(luò)

設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系

統(tǒng)、移動終端管理客戶端感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點設(shè)備和控制設(shè)備等。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否遵循最小安裝原則；

2）應(yīng)核查是未安裝非必要的組件和應(yīng)用程序。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合木測評單元指標要求.

測評單元(L2-CES1-12)

該測評單元包括以下要求：

a）測評指標：應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認共享和高危端口。

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網(wǎng)絡(luò)

設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系

統(tǒng)、移動終端管理客戶端、感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點設(shè)備和控制設(shè)備等。

O測評實施包括以下內(nèi)容：

1）應(yīng)核查是否關(guān)閉了非必要的系統(tǒng)服務(wù)和默認共享；

2）應(yīng)核查是否不存在非必要的高危端口。

d）單元判定：如果1）和2）均為肯定。則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求。

測評單元（L2-CES1-13）

該測評單元包括以下要求：

a）測評指標：應(yīng)通過設(shè)定終端接人方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進行管理的管理終端進

行限制。

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網(wǎng)絡(luò)

設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系

統(tǒng)、移動終端管理客戶端、感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點設(shè)備和控制設(shè)備等。

O測評實施：應(yīng)核杳配置文件或參數(shù)是否對終端接人范圍進行限制。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合木測評單元指標要求，否則不符合本

測評單元指標要求。

測評單元（L2-CES1-14）

該測評單元包括以卜要求：

a）測評指標：應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸人的

內(nèi)容符合系統(tǒng)設(shè)定要求。

b）測評對象I業(yè)務(wù)應(yīng)用系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等V

c）測評實施：應(yīng)核查系統(tǒng)設(shè)計文檔的內(nèi)容是否包括數(shù)據(jù)有效性檢驗功能的內(nèi)容或模塊。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合

本測評單元指標要求。

測評單元（L2-CES1-15）

該測評單元包括以下要求：

a）測評指標：應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測試評估后，及時修補漏洞。

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網(wǎng)絡(luò)

設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系

統(tǒng)。移動終端管理客戶端、感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點設(shè)釜、控制設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)

用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)。中間件和系統(tǒng)管理軟件等。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否不存在高風(fēng)險漏洞，如漏洞掃描、滲透測試等；

2）應(yīng)核查是否在經(jīng)過充分測試評估后及時修補漏洞。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求。

惡意代碼防范

測評單元（L2-CES1-16）

該測評單元包括以下要求：

a）測評指標：應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)功能的軟件，并定期進行升級和更新

防惡意代碼庫

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）和移動

終端等。

c）測評實施內(nèi)容包括以下：

1）應(yīng)核查是否安裝了防惡意代碼軟件或相應(yīng)功能的軟件；

2）應(yīng)核查是否定期進行升級利更新防惡意代碼庫。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求,

可信驗證

測評單元（L2-CES1-17）

該測評單元包括以下要求：

a）測評指標：可基于可信根對計算設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用

程序等進行可信驗證，并在檢測到其可信性受到破壞后進行報警，并將驗證結(jié)果形成審計

記錄送至安全管理中心。

b）測評對象：提供可信驗證的設(shè)備或組件、提供集中審計功能的系統(tǒng)。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否基于”J信根對計算設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用程

序等進行可信驗證；

2）應(yīng)核查當檢測到計算設(shè)備的可信性受到破壞后是否進行報警；

3）應(yīng)核查驗證結(jié)果是否以審計記錄的形式送至安全管理中心。

d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標要求，否則不符合或部分符

合本測評單元指標要求。

數(shù)據(jù)完整性

測評單元（L2-CES1-18）

該測評單元包括以下要求：

a）測評指標：應(yīng)采用校驗技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性。

b）測評對象：業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件、系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔、

數(shù)據(jù)安全保護系統(tǒng)。終端和服務(wù)器等設(shè)備中的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備和安全設(shè)備等。

c）測評實施：應(yīng)核查系統(tǒng)設(shè)計文檔，重要管理數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中是否采用

了校驗技術(shù)或密碼技術(shù)保證完整性。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合

本測評單元指標要求。

數(shù)據(jù)備份恢復(fù)

測評單元（L2-CES1-19）

該測評單元包括以下要求：

a）測評指標：應(yīng)提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復(fù)功能。

b）測評對象：配置數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核杳是否按照備份策略進行本地備份；

2）應(yīng)核查備份策略設(shè)置是否合理、配置是否正確；

3）應(yīng)核查備份結(jié)果是否與備份策略一致；

4）應(yīng)核查近期恢復(fù)測試記錄是否能夠進行正常的數(shù)據(jù)恢復(fù)。

d）單元判定：如果1）~4）均為肯定，則符合本測評單元指標要求，否則不符合或部分符

合本測評單元指標要求。

測評單元（L2-CES1-20）

該測評單元包括以下要求：

a）測評指標：應(yīng)提供異地數(shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)定時批量傳送至備用場

地。

b）測評對象：配置數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)。

c）測評實施：應(yīng)核查是否提供異地數(shù)據(jù)備份功能，并通過通信網(wǎng)絡(luò)將重要配置數(shù)據(jù)、重要

業(yè)務(wù)數(shù)據(jù)定時批最傳送至備份場地。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合

本測評單元指標要求。

剩余信息保護

測評單元（L2-CES1-21）

該測評單元包括以下要求:

a）測評指標：應(yīng)保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除。

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間

件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。

c）測評實施：應(yīng)核查相關(guān)配置信息或系統(tǒng)設(shè)計文檔，用戶的鑒別信息所在的存儲空間被釋

放或重新分配前是否得到完全清除。

d）單元判定：如果以上測評實施內(nèi)容，則符合本測評隼無指標要求，否則不符合或部分符

合本測評單元指標要求。

個人信息保護

測評單元（L2-CES1-22）

該測評單兀包拈以卜要求：

a）測評指標：應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個人信息。

b）測評對象：用戶數(shù)據(jù)、業(yè)務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)等。

O測評實施包括以下內(nèi)容：

1）應(yīng)核查采集的用戶個人信息是否是業(yè)務(wù)應(yīng)用必需的；

2）應(yīng)核查是否制定了有關(guān)用戶個人信息保護的管理制度和流程。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求°

測評單元（L2-CES1-23）

該測評單元包括以下要求：

a）測評指標：應(yīng)禁止未授權(quán)訪問和非法使用用戶個人信息。

b）測評對象：業(yè)務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)等。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否采用技術(shù)措施限制對用戶個人信息的訪問和使用；

2）應(yīng)核查是否制定了有關(guān)用戶個人信息保護的管理制度和流程。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合木測評單元指標要求.

安全管理中心

系統(tǒng)管理

測評單元（L2-SMC1-01）

該測評單元包括以下要求：

a）測評指標：應(yīng)對系統(tǒng)管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行系

統(tǒng)管理操作，并對這歧操作進行審計。

b）測評對象：提供集中系統(tǒng)管理功能的系統(tǒng)。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否對系統(tǒng)管理員進行身份鑒別；

2）應(yīng)核查是否只允許系統(tǒng)管理員通過特定的命令或操作界而進行系統(tǒng)管理操作；

3）應(yīng)核查是否對系統(tǒng)管理的操作進行審計。

d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標要求，否則不符合或部分符

合本測評單元指標要求。

測評單元（L2-SMC1-02）

該測評單元包括以下要求：

a）測評指標：應(yīng)通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置、控制和管理，包括用戶身

份、資源配置、系統(tǒng)加載和啟動、系統(tǒng)運行的異常處理、數(shù)據(jù)和設(shè)備的備份與恢復(fù)等。

b）測評對象：提供集中系統(tǒng)管理功能的系統(tǒng)。

c）測評實施：應(yīng)核查是否通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置、控制和管理，包

括用戶身份。資源配置。系統(tǒng)加載和啟動、系統(tǒng)運行的異常處理、數(shù)據(jù)和設(shè)備的備份與恢

復(fù)等。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合

本測評單元指標要求。

審計管理

測評單元（L2-SMC1-03）

該測評單元包括以下要求：

a）測評指標：應(yīng)對審計管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行安

全審計操作，并對這些操作進行審計。

b）測評對象：綜合安全審計系統(tǒng)，數(shù)據(jù)庫審計系統(tǒng)等提供集中審計功能的系統(tǒng)。

O測評實施包括以下內(nèi)容：

1）應(yīng)核查是否對審計管理員進行身份鑒別；

2）應(yīng)核查是否只允許審i?管理員通過特定的命令或操作界面進行安全審評操作：

3）應(yīng)核查是否對審計管理員的操作進行審計。

d）單元判定：如果1）飛）均為肯定。則符合本測評單元指標要求，否則不符合或部分符

合本測評單元指標要求。

測評單元（L2-SMC1-04）

該測評單元包括以下要求：

a）測評指標：應(yīng)通過審L管埋員對審計記錄進行分析，并根據(jù)分析結(jié)果進行處埋，包括根

據(jù)安全審計策略對審計記錄進行存儲、管理和查詢等。

b）測評對象：綜合安全審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)等提供集中審計功能的系統(tǒng)。

c）測評實施：應(yīng)核查是否通過審計管理員對審計記錄進行分析，并根據(jù)分析結(jié)果進行處

理，包括根據(jù)安全審計策略對審計記錄進行存儲、管理和查詢等。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合

本測評單元指標要求。

安全管理制度

安全策略（L2-PSS1-01）

該測評單元包括以下要求:

a）測評指標：應(yīng)制定網(wǎng)絡(luò)安全工作的總體方針和安全策略，闡明機構(gòu)安全工作的總體目

標、范圍、原則和安全框架等。

b）測評對象：總體方針策略類文檔。

c）測評實施：應(yīng)核查網(wǎng)絡(luò)安全工作的總體方針和安全策略文件是否明確機構(gòu)安全工作的總

體目標、范圍、原則和各類安全策略。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合本

測評單元指標要求。

管理制度

測評單元（L2-PSS1-02）

該測評單兀包拈以卜要求：

a）測評指標：應(yīng)對安全管理活動中的主要管理內(nèi)容建立安全管理制度。

b）測評對象：安全管理制度類文檔。

O測評實施：應(yīng)核查各項安全管理制度是否覆蓋物理、網(wǎng)絡(luò)、主機系統(tǒng)、數(shù)據(jù)、應(yīng)用、建

設(shè)和運維等管理內(nèi)容。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合本

測評單元指標要求。

測評單元（L2-PSS1-03）

該測評單元包括以下要求：

a）測評指標：應(yīng)對管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程。

b）測評對象：操作規(guī)程類文檔。

c）測評實施：應(yīng)核查是否具有日常管理操作的操作規(guī)程，如系統(tǒng)維護手冊和用戶操作規(guī)程

等。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合本

測評單元指標要求。

制定和發(fā)布

測評單元（L2-PSS1-04）

該測評單元包括以下要求：

a）測評指標：應(yīng)指定或授權(quán)專門的部門或人員負責(zé)安全管理制度的制定。

b）測評對象：部門/人員職責(zé)文件等。

c）測評實施：應(yīng)核查是否由專門的部門或人員負資制定安全管理制度。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合本

測評單元指標要求。

測評單元（L2-PSS1-05）

該測評單元包括以下要求：

a）測評指標：安全管理制度應(yīng)通過正式、有效的方式發(fā)布，并進行版本控制。

b）測評對象：管理制度類文檔和記錄表單類文檔。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查制度制定和發(fā)布要求管理文檔是否說明安全管理制度的制定和發(fā)布程序、格式要

求及版本編號等相關(guān)內(nèi)容；

2）應(yīng)核查安全管理制度的收發(fā)登記記錄是否通過正式、有效的方式收發(fā)，如正式發(fā)文、領(lǐng)

導(dǎo)簽署和單位蓋章等。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求,

評審和修訂

測評單元（L2-PSS1-06）

該測評單元包括以下要求：

測評指標：應(yīng)定期對安全管理制度的合理性和適用性進行論證和審定，對存在不足或需要

改進的安全管理制度進行修訂。

b）測評對象：信息/網(wǎng)絡(luò)安全主管和記錄表單類文檔。

C）測評實施包括以下內(nèi)容：

1）應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否定期對安全管理制度體系的合理性和適用性進行審定；

2）應(yīng)核查是否具有安全管理制度的審定或論證記錄，如果對制度做過修訂，核查是否有修

訂版本的安全管理制度。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求。

安全管理機構(gòu)

崗位設(shè)置

測評單元（L2-0RS1-01）

該測評單元包括以下要求：

a）測評指標：應(yīng)設(shè)立網(wǎng)絡(luò)安全管理工作的職能部門，設(shè)立安全主管、安全管理各個方面的

負責(zé)人崗位，并定義各負責(zé)人的職責(zé)。

b）測評對象：信息/網(wǎng)絡(luò)安全主管和管理制度類文檔。

c）測評實施包括以下內(nèi)容：

1）應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否設(shè)立網(wǎng)絡(luò)安全管理工作的職能部門；

2）應(yīng)核查部門職責(zé)文檔是否明確網(wǎng)絡(luò)安全管理工作的職能部門和各負資人職賁；

3）應(yīng)核查崗位職責(zé)文檔是否有崗位劃分情況和崗位職責(zé)。

d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標要求，否則不符合或部分符

合本測評單元指標要求。

測評單元（L2-0RS1-02）

該測評單元包括以下要求：

a）測評指標：應(yīng)設(shè)立系統(tǒng)管理員、審計管理員和安全管理員等崗位，并定義部門及各個工

作崗位的職責(zé)。

b）測評對象：信息/網(wǎng)絡(luò)安全主管和管理制度類文檔。

C）測評實施包括以下內(nèi)容：

1）應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否進行了安全管理崗位的劃分；

2）應(yīng)核查崗位職貢文檔是否明確了各部門及各崗位職責(zé)。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求。

人員配備

測評單元（L2-0RS1-03）

該測評單元包括以下要求：

a）測評指標：應(yīng)配備?定數(shù)量的系統(tǒng)管理員、審計管理員和安全管理員等。

b）測評對象：信息/網(wǎng)絡(luò)安全主管和記錄表單類文檔。

c）測評實施包括以下內(nèi)容：

1）應(yīng)訪談信息、/網(wǎng)絡(luò)安全主管是否配備了系統(tǒng)管理員、審計管理員和安全管理員；

2）應(yīng)核查人員配備文檔是否有各崗位人員配備情況。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求。

授權(quán)和審批

測評單元（L2-0RS1-04）

該測評單元包括以下要求：

a）測評指標：應(yīng)根據(jù)各個部門和崗位的職責(zé)明確授權(quán)審批事項、審批部門和批準人等。

b）測評對象：管理制度類文檔和記錄表單類文檔。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核杳部門職責(zé)文檔是否明確各部門審批事項；

2）應(yīng)核杳崗位職責(zé)文檔是否明確各崗位審批事項。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求,

測評單元（L2-0RS1-05）

該測評單元包括以卜要求：

a）測評指標：應(yīng)針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接人等事項執(zhí)行審批過程。

b）測評對象：記錄表單類文檔。

c）測評實施：應(yīng)核查各類審批記錄是否針對系統(tǒng)變更。重要操作、物理訪問和系統(tǒng)接入等

事項進行審批。

d）單元判定：如果以上測評實施內(nèi)容，則符合本測評單元指標要求，否則不符合本測評

單元指標要求。

溝通和合作

測評單元（L2-0RS1-06）

該測評單元包括以下要求：

a）測評指標：應(yīng)加強各類管理人員、組織內(nèi)部機構(gòu)和網(wǎng)絡(luò)安全管理部門之間的合作與溝

通，定期召開協(xié)調(diào)會議，共同協(xié)作處理網(wǎng)絡(luò)安全問題。

b）測評對象：信息/網(wǎng)絡(luò)安全主管和記錄表單類文檔。

c）測評實施包括以下內(nèi)容：

1）應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否建立了各類管理人員、組織內(nèi)部機構(gòu)和網(wǎng)絡(luò)安全管理部

門之間的合作與溝通機制；

2）應(yīng)核查會議記錄是否明確各類管理人員、組織內(nèi)部機構(gòu)和網(wǎng)絡(luò)安全管理部門之間開展了

合作與溝通。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求。

測評單元（L2-0RS1-07）

該測評單元包括以下要求:

a）測評指標：應(yīng)加強與網(wǎng)絡(luò)安全職能部門、各類供應(yīng)商、業(yè)界專家及安全組織的合作與溝

通。

b）測評對象：信息/網(wǎng)絡(luò)安全主管和記錄表單類文檔。

c）測評實施包括以下內(nèi)容：

1）應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否建立了與網(wǎng)絡(luò)安全職能部門、各類供應(yīng)商、業(yè)界專家及

安全組織的合作與溝通機制；

2）應(yīng)核查會議記錄是否明確了與網(wǎng)絡(luò)安全職能部門、各類供應(yīng)商、業(yè)界專家及安全組織是

否開展了合作與溝通。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求。

測評單元（L2-0RS1-08）

該測評單元包括以下要求：

a）測評指標：應(yīng)建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方

式等信息。

b）測評對象：記錄表單類文檔。

c）測評實施：應(yīng)核查外聯(lián)單位聯(lián)系列表是否記錄了外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)

系方式等信息。

d）單元判定：如果以上測評實施內(nèi)容，則符合本測評單元指標要求，否則不符合本測評單

元指標要求。

審核和檢查

測評單元（L2-0RS1-09）

該測評單元包括以下要求：

a）測評指標：應(yīng)定期進行常規(guī)安全檢查，檢查內(nèi)容包括系統(tǒng)口常運行、系統(tǒng)漏洞和數(shù)據(jù)備

份等情況。

b）測評對象：信息/網(wǎng)絡(luò)安全主管和記錄表單類文檔。

c）測評實施包括以下內(nèi)容：

1）應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否定期進行了常規(guī)安全檢查；

2）應(yīng)核查常規(guī)安全核查記錄是否包括了系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求。

安全管理人員

人員錄用

測評單元（L2-HRS1-01）

該測評單元包括以下要求：

a）測評指標：應(yīng)指定或授權(quán)專門的部門或人員負責(zé)人員錄用。

b）測評對象：信息/網(wǎng)絡(luò)安全主管。

c）測評實施：應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否由專門的部門或人員負責(zé)人員的錄用工作。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合本

測評單元指標要求。

測評單元（L2-HRS1-02）

該測評單元包括以下要求：

a）測評指標：應(yīng)對被錄用人員的身份、安全背景、專業(yè)資格或資質(zhì)等進行審查。

b）測評時象：管理制度類文檔和記錄表單類文檔。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查人員安全管理文檔是否說明錄用人員應(yīng)具備的條件（如學(xué)歷、學(xué)位要求，技術(shù)人

員應(yīng)具備的專業(yè)技術(shù)水平，管理人員應(yīng)具備的安全管理知識等）；

2）應(yīng)核查是否具有人員錄用時對錄用人身份、安全背景、專業(yè)資格或資質(zhì)等進行審查的相

關(guān)文檔或記錄，是否記錄審查內(nèi)容和審杳結(jié)果等：

3）應(yīng)核查人員錄用時的技能考核文檔或記錄是否記錄考核內(nèi)容和考核結(jié)果等。

d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標要求，否則不符合或部分符

合本測評單元指標要求。

人員離崗

測評單元（L2-HRS1-03）

該測評單元包括以下要求：

a）測評指標：應(yīng)及時終止離崗人員的所有訪問權(quán)限，取回各種身份證件、鑰匙、徽章等以

及機構(gòu)提供的軟硬件設(shè)備。

b）測評對象：記錄表單類文檔。

c）測評實施：應(yīng)核查是否具有離崗人員終止其訪問權(quán)限、交還身份證件、軟硬件設(shè)備等的

登記記錄。

d）單兀判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單兀指標要求，否則不符合

本測評單元指標要求。

安全意識教育和培訓(xùn)

測評單元（L2-HRS1-04）

該測評單元包括以下要求：

a）測評指標：應(yīng)對各類人員進行安全意識教育和崗位技能培訓(xùn)，并告知相關(guān)的安全責(zé)任

和懲戒措施。

b）測評對象：管理制度類文檔。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查安全意識教育及崗位技能培訓(xùn)文檔是否明確培訓(xùn)周期、培訓(xùn)方式、培訓(xùn)內(nèi)容和考

核方式等相關(guān)內(nèi)容；

2）應(yīng)核查安全責(zé)任和懲戒措施管理文檔或培訓(xùn)文檔是否包含具體的安全責(zé)任和懲戒措施。

d）單元判定：如果1）和2）均為肯定。則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求。

外部人員訪問管理

測評單元（L2-HRS1-05）

該測評單元包括以下要求：

a）測評指標：應(yīng)在外部人員物理訪問受控區(qū)域前先提出書面申請，批準后由專人全程陪

同，并登記備案。

b）測評對象：管理制度類文檔和記錄表單類文檔。

O測評實施包括以下內(nèi)容：

1）應(yīng)核查外部人員訪問管理文檔是否明確允許外部人員訪問的范圍、外部人員進人的條

件、外部人員進入的訪問控制措施等；

2）應(yīng)核查外部人員訪問重要區(qū)域的書面申請文檔是否具有批準人允許訪問的批準簽字等；

3）應(yīng)核杳外部人員訪問重要區(qū)域的登記記錄是否記錄了外部人員訪問重要區(qū)域的進入時

間、離開時間、訪問區(qū)域及陪同人等。

d）單元判定：如果1）~3）均為肯定，則符合本測評隼元指標要求，否則不符合或部分符

合本測評單元指標要求。

測評單元（L2-HRS1-06）

該測評單元包括以下要求：

a）測評指標：應(yīng)在外部人員接入受控網(wǎng)絡(luò)訪問系統(tǒng)前先提出書面申請，批準后由專人開設(shè)

賬戶、分配權(quán)限，并登記備案。

b）測評對象：管理制度類文檔和記錄表單類文檔。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查外部人員訪問管理文檔是否明確外部人員接人受控網(wǎng)絡(luò)前的申請審批流程；

2）應(yīng)核查外部人員訪問系統(tǒng)的書面申請文檔是否明確外部人員的訪問權(quán)限，是否具有允許

訪問的批準簽字等；

3）應(yīng)核杳外部人員訪問系統(tǒng)的登記記錄是否記錄了外部人員訪問的權(quán)限、時限、賬戶等。

d）單元判定：如果1）F）均為肯定，則符合本測評單元指標要求，否則不符合或部分符

合本測評單元指標要求。

測評單元(L2-HRS1-07)

該測評單元包括以下要求：

a）測評指標：外部人員離場后應(yīng)及時清除其所有的訪問權(quán)限。

b）測評對象：管理制度類文檔和記錄表單類文檔。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核杳外部人員訪問管理文檔是否明確外部人員離開后及時清除其所有訪問權(quán)限；

2）應(yīng)核杳外部人員訪問系統(tǒng)的登記記錄是否記錄了訪問權(quán)限清除時間。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求。

安全建設(shè)管理

定級和備案

測評單元（L2-CMS1-01）

該測評單元包括以下要求：

a）測評指標：應(yīng)以書面的形式說明保護對象的安全保護等級及確定等級的方法和理由。

b）測評對象：記錄表單類文檔。

c）測評實施：應(yīng)核查定級文檔是否明確保護對象的安全保護等級，是否說明定級的方法和

理由。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合本

測評單元指標要求。

測評單元（L2-CMS1-02）

該測評單元包括以下要求：

a）測評指標：應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對定級結(jié)果的合理性和正確性進行論證

和審定。

b）測評對象：記錄表單類文檔。

c）測評實施：應(yīng)核查定級結(jié)果的論證評審會議記錄是否有相關(guān)部門和有關(guān)安全技術(shù)專家對

定級結(jié)果的論證意見。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合

本測評單元指標要求。

測評單元（L2-CMS1-03）

該測評單元包括以下要求：

a）測評指標：應(yīng)保證定級結(jié)果經(jīng)過相關(guān)部門的批準。

b）測評對象：記錄表單類文檔。

c）測評實施：應(yīng)核查定級結(jié)果部門審批文檔是否有.上級主管部門或本單位相關(guān)部門的審批

意見e

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合本

測評單元指標要求。

測評單元（L2-CMS1-04）

該測評單元包括以下要求：

a）測評指標：應(yīng)將備案材料報主管部門和公安機關(guān)備案。

b）測評對象：記錄表單類文檔。

c）測評實施：應(yīng)核查是否具有公安機關(guān)出具的備案證明文檔。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合本

測評單元指標要求。

安全方案設(shè)計

測評單元（L2-CMS1-05）

該測評單元包括以下要求：

a）測評指標：應(yīng)根據(jù)安全保護等級選擇基本安全措施，依據(jù)風(fēng)險分析的結(jié)果補充和調(diào)整安

全措施。

b）測評對象：安全規(guī)劃設(shè)計類文檔。

c）測評實施：應(yīng)核查安全設(shè)計文檔是否根據(jù)安全保護等級選擇安全措施，是否根據(jù)安全需

求調(diào)整安全措施。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合

本測評單元指標要求。

測評單元（L2-CMS1-06）

該測評單元包括以下要求：

a）測評指標：應(yīng)根據(jù)保護對象的安全保護等級進行安全方案設(shè)計。

b）測評對象：安全規(guī)劃設(shè)計類文檔。

c）測評實施：應(yīng)核查安全設(shè)計方案是否是根據(jù)安全保護等級進行設(shè)計規(guī)劃。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合本

測評單元指標要求。

測評單元（L2-CMS1-07）

該測評單元包括以下要求：

a）測評指標：應(yīng)組織相關(guān)部門和有關(guān)安全專家對安全方案的合理性和正確性講行論證和申

定，經(jīng)過批準后才能正式實施。

b）測評對象：記錄表單類文檔。

測評實施：應(yīng)核查安全方案的論證評審記錄或文檔是否有相關(guān)部門和有關(guān)安全技術(shù)專家的

批準意見和論證意見。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合本

測評單元指標要求。

產(chǎn)品采購和使用

測評單元（L2-CMS1-08）

該測評單元包括以下要求:

a）測評指標：應(yīng)確保網(wǎng)絡(luò)安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定。

b）測評對象：記錄表單類文檔。

c）測評實施：應(yīng)核查有關(guān)網(wǎng)絡(luò)安全產(chǎn)品是否符合國家的有關(guān)規(guī)定，如網(wǎng)絡(luò)安全產(chǎn)品獲得了

銷售許可等。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合本

測評單元指標要求。

測評單元（L2-CMS1-09）

該測評單元包括以下要求：

a）測評指標：應(yīng)確保密碼產(chǎn)品與服務(wù)的采購和使用符合國家密碼主管部門的要求。

b）測評勸象：建設(shè)負責(zé)人和記錄表單類文檔。

c）測評實施包括以下內(nèi)容：

1）應(yīng)訪談建設(shè)負責(zé)人是否采用了密碼產(chǎn)品及其相關(guān)服務(wù)；

2）應(yīng)核查密碼產(chǎn)品與服務(wù)的采購和使用是否符合國家密碼管理主管部門的要求。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求。

自行軟件開發(fā)

測評單元（L2-CMS1-10）

該測評單元包括以下要求：

a）測評指標：應(yīng)將開發(fā)環(huán)境與實際運行環(huán)境物理分開，測試數(shù)據(jù)和測試結(jié)果受到控制。

b）測評對象:建設(shè)負責(zé)人

c）測評實施包括以下內(nèi)容：

1）應(yīng)訪談建設(shè)負責(zé)人自主開發(fā)軟件是否在獨立的物理環(huán)境中完成編碼和調(diào)試，與實際運行

環(huán)境分開；

2）應(yīng)核查測試數(shù)據(jù)和結(jié)果是否受控使用。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合木測評單元指標要求.

測評單元(L2-CMS1-11)

該測評單元包括以下要求：

a）測評指標：應(yīng)在軟件開發(fā)過程中對安全性進行測試，在軟件安裝前對可能存在的惡意代

碼進行檢測。

b）測評對象：記錄表單類文檔。

c）測評實施：應(yīng)核查是否具有軟件安全測試報告和代碼審計報告，明確軟件存在的安全問

題及可能存在的惡意代碼。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合本

測評單元指標要求。

外包軟件開發(fā)

測評單元（L2-CMS1-12）

該測評單元包括以卜要求：

a）測評指標：應(yīng)在軟件交付前檢測其中可能存在的惡意代碼。

b）測評對象：記錄表單類文檔。

c）測評實施：應(yīng)核食是否具有交付前的惡意代碼檢測報告。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合本

測評單元指標要求。

測評單元（L2-CMS1-13）

該測評單元包括以下要求：

a）測評指標：應(yīng)保證開發(fā)單位提供軟件設(shè)計文檔和使用指南。

b）測評對象：記錄表單類文檔。

c）測評實施：應(yīng)核查是否具有軟件開發(fā)的相關(guān)文檔，如需求分析說明書、軟件設(shè)計說明書

等，是否具有軟件操作手冊或使用指南。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合

本測評單元指標要求。

工程實施

測評單元（L2-CMS1-14）

該測評單元包括以下要求：

a）測評指標：應(yīng)指定或授權(quán)專門的部門或人員負責(zé)工程實施過程的管理。

b）測評對象：記錄表單類文檔。

c）測評實施：應(yīng)核查是否指定專門部門或人員對工程實施進行進度和質(zhì)量控制。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合

本測評單元指標要求。

測評單元（L2-CMS1-15）

該測評單元包括以下要求：

a）測評指標：應(yīng)制定安全工程實施方案控制工程實施過程。

b）測評對象：記錄表單類文檔。

c）測評實施：應(yīng)核查安全工程實施方案是否包括工程時間限制、進度控制和質(zhì)量控制等方

面內(nèi)容，是否按照工程實施方面的管理制度進行各類控制、產(chǎn)生階段性文檔等。

d）單兀判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單兀指標要求，否則不符合

本測評單元指標要求。

測試驗收

測評單元（L2-CMS1-16）

該測評單元包括以下要求：

a）測評指標：應(yīng)制訂測試驗收方案，并依據(jù)測試驗收方案實施測試驗收，形成測試驗收報

告。

b）測評對象：記錄表單類文檔。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查工程測試驗收方案是否明確說明參與測試的部門、人員、測試驗收內(nèi)容、現(xiàn)場操

作過程等內(nèi)容；

2）應(yīng)核查測試驗收報告是否有相關(guān)部門和人員對測試驗收報告進行審定的意見。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求。

測評單元（L2-CMS1-17）

該測評單元包括以下要求：

a）測評指標：應(yīng)進行上線前的安全性測試，并出具安全測試報告。

b）測評對象：記錄表單類文檔。

c）測評實施：應(yīng)核查是否具有上線前的安全測試報告。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合本

測評單元指標要求。

系統(tǒng)交付

測評單元（L2-CMS1-18）

該測評單元包括以下要求：

a）測評指標：應(yīng)制定交付清單，并根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進行清

點。

b）測評對象：記錄表單類文檔。

O測評實施：應(yīng)核查交付清單是否說明交付的各類設(shè)備、軟件、文檔等。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合本

測評單元指標要求。

測評單元（L2-CMS1-19）

該測評單元包括以下要求：

a）測評指標：應(yīng)對負責(zé)運行維護的技術(shù)人員進行相應(yīng)的技能培訓(xùn)I。

b）測評對象：記錄表單類文檔。

c）測評實施：應(yīng)核查交付技術(shù)培訓(xùn)記錄是否包括培訓(xùn)內(nèi)容、培訓(xùn)時間和參與人員等。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合

本測評單元指標要求。

測評單元（L2-CMS1-20）

該測評單元包括以下要求：

a）測評指標：應(yīng)提供建設(shè)過程文檔和運行維護文檔。

b）測評對象：記錄表單類文檔。

c）測評實施：應(yīng)核查交付文檔是否包括建設(shè)過程文檔和運行維護文檔等，提交的文檔是否

符合管理規(guī)定的要求。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合本

測評單元指標要求。

等級測評

測評單元（L2-CMS1-21）

該測評單元包括以下要求：

a）測評指標：應(yīng)定期進行等級測評，發(fā)現(xiàn)不符合相應(yīng)等級保護標準要求的及時整改。

b）測評對象：運維負責(zé)人和記錄表單類文檔。

c）測評實施包括以下內(nèi)容：

1）應(yīng)訪談運維負責(zé)人本次測評是否為首次，若非首次，是否根據(jù)以往測評結(jié)果進行相應(yīng)的

安全整改；

2）應(yīng)核杳是否具有以往等級測評報告和安全整改方案。

d）單元判定：如果1）和2）均為肯定。則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求3

測評單元（L2-CMS1-22）

該測評單元包括以下要求:

a）測評指標：應(yīng)在發(fā)生重大變更或級別發(fā)生變化時進行等級測評。

b）測評對象：運維負責(zé)人和記錄表單類文檔。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否有過重大變更或級別發(fā)生過變化及是否進行相應(yīng)的等級測評：

2）應(yīng)核查是否具有相應(yīng)情況卜.的等級測評報告。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分

符合本測評單元指標要求。

測評單元（L2-CMS1-23）

該測評單元包括以下要求：

a）測評指標：應(yīng)確保測評機構(gòu)的選擇符合國家有關(guān)規(guī)定。

b）測評對象：等級測評報告和相關(guān)資質(zhì)文件。

O測評實施：應(yīng)核杳以往等級測評的測評單位是否具有等級測評機構(gòu)資質(zhì)。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合木測評單元指標要求，否則不符合本

測評單元指標要求。

服務(wù)供應(yīng)商管理

測評單元（L2-CMS1-24）

該測評單元包括以下要求：

a）測評指標：應(yīng)確保服務(wù)供應(yīng)商的選擇符合國家的有關(guān)規(guī)定。

b）測評對象：建設(shè)負責(zé)人。

c）測評實施：應(yīng)訪詼建設(shè)負責(zé)人選擇的安全服務(wù)商是否符合國家有關(guān)規(guī)定。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標要求，否則不符合本

測評單元指標要求。

測評單元（L2-CMS1-25）

該測評單元包括以下要求:

a）測評指標：應(yīng)與選定的服務(wù)供應(yīng)商簽訂相關(guān)協(xié)議，明確整個服務(wù)供應(yīng)鏈各方需履行的網(wǎng)

絡(luò)安全相關(guān)義務(wù)。

b）測評對象：記錄表單類文檔。

c）測評實施：應(yīng)核查與服務(wù)服務(wù)商簽訂的服務(wù)