信息安全等級保護指標

1、物理安全物理安全測評將通過訪談、文檔審查和實地察看的方式測評信息系統(tǒng)的物理安全保障情況。主要涉及對象為主機房與災備機房。在內(nèi)容上，物理安全層面測評實施過程涉及 10個測評單元，具體如表1所示：表1物理安全單元測評實施內(nèi)容序號測評范圍測評對象測評項1物理位置的 選擇物理安全負責人、機房和 辦公場地建筑驗收報告a）機房和辦公場地建筑是否具有防震、 防風和防雨等能力b）機房場地是否避免設在建筑物的高 層或地下室，以及用水設備的下層或隔 壁2物理訪問控 制物理安全負責人，機房值 守人員，機房，機房安全 管理制度，值守記錄，進 入機房的登記記錄，來訪 人員進入機房的審批記錄a）檢查機房安全管理制度，查看

2、是否有 關于機房出入方面的規(guī)定b）檢查機房出入口是否有專人值守，是 否有值守記錄及人員進入機房的登記記 錄c）檢查機房是否不存在專人值守外的 其他出入口d）檢查是否后來訪人員進入機房的批 準記錄，查看審批記錄是否包括來訪人 員的活動范圍e）是否對機房劃分區(qū)域進行管理，區(qū)域 和區(qū)域之間設置物理隔離裝置，在重要 區(qū)域前設置交付或安裝等過渡區(qū)域f）重要區(qū)域是否配置電子門禁系統(tǒng)，控 制、鑒別和記錄進入的人員。并且檢查 電子門禁系統(tǒng)是否有驗收文檔或產(chǎn)品安 全認證資質(zhì)3防盜竊和防 破環(huán)物理安全負責人，機房維 護人員，資產(chǎn)管理員，機 房設施，設備管理制度文 檔，通信線路布線文檔， 報警設施的安裝測試 /驗

3、收報告a）檢查關鍵設備放置位置是否做到安 全可控；檢查關鍵設備或設備的主要部 件的固定情況，查看其是否不易被移動 或被搬走，是否設置了明顯的不易除去 的標記；b）通信線纜是否鋪設在隱蔽處；c）檢查機房安裝的防盜報警設施是否 正常運行，并查看是否有運行和報警記 錄；d）檢查介質(zhì)的管理情況，查看介質(zhì)是否 有正確的分類標示，是否存放在介質(zhì)庫 或檔耒至內(nèi)e）應檢查機房的攝像、傳感等監(jiān)控報警 系統(tǒng)是否正常運行，并查看是否有運行 記錄、監(jiān)控記錄和報警記錄。f）應檢查是否有機房防盜報警設施和監(jiān) 控報警設施的安全資質(zhì)材料、安裝測試、 驗收報告4防雷擊物理安全負責人，機房維 護人員，機房設施（避雷 裝置，交流電

4、源地線）， 建筑防雷設計/驗收文檔a）機房建筑是否設置避雷裝置b）機房建筑是否設置交流電源地線c）是否安裝了防雷保安器，防止感應雷5防火物理安全負責人，機房值 寸人貝，機房設施，機房 安全管理制度，機房防火 設計/驗收文檔，火災自動 報警系統(tǒng)設計/驗收文檔a）是否設置火火設備，滅火設備擺放位 置是否合理，有效期是否合格；b）是否設置火災自動報警系統(tǒng)，工作是 否正常，查看是否有運行記錄、報警記 錄、定期檢查和維修記錄c）應檢查是否米取區(qū)域隔離防火措施， 將重要設備與其他設備隔離開6防水和防潮物理安全負責人，機房維 護人員，機房設施（上下 水裝置，除濕裝置），建 筑防水和防潮設計 /驗收 文檔a）

5、檢查穿過機房的管道是否配置套營， 管道與套管間是否有可靠的密封措施b）檢查機房是否出現(xiàn)過漏水、滲透和返 潮現(xiàn)象，機房是否/、存在明顯的漏水和 返潮威脅；如果出現(xiàn)漏水、滲透和返潮 現(xiàn)象，是否能夠及時修復解決c）檢查是否有防止出現(xiàn)地下積水的轉(zhuǎn) 移與滲透措施，是否有防水防潮處理記 錄d）檢查機房是否有濕度記錄，是否有除 濕裝置并運行正常e）檢查是否安裝了對水敏感的檢測儀表 或元件，對機房進行防水檢測和報警， 并且查看儀表和元件是否運行正常，是 否有運行記錄，是否有人負責其運行管 理工作7防靜電物理安全負責人，機房維 護人員，機房設施，防靜a）檢查是否采用必要的接地等防靜電 措施電設計/驗收文檔b）查

6、看機房是否不存在明顯的靜電現(xiàn) 象c）檢查機房是否采用了防靜電地板d）檢查機房是否采用了防靜電工作臺、 靜電消除劑或靜電消除器等防靜電措施8溫濕度控制物理安全負責人，機房維 護人員，機房設施，溫濕 度控制設計/驗收文檔，溫 濕度記錄、運行記錄和維 護記錄a）檢查是否設置溫濕度自動調(diào)節(jié)設施， 使機房溫濕度的變化在設備運行所允許 的范圍之內(nèi)b）檢查溫濕度自動調(diào)節(jié)設施是否運行 正常，查看是否有溫濕度記錄、運行記 錄和維護記錄9電力供應物理安全負責人，機房維 護人員，機房設施（供電 線路，穩(wěn)壓器，過電壓防 護設備，短期備用電源設 備），電力供應安全設計/ 驗收文檔，檢查和維護記 錄a）是否設置穩(wěn)壓器和過

7、電壓防護設備b）是否提供短期的備用電力供應（如 UPS設備），至少滿足主要設備在斷電情 況下的正常運行要求c）是否設置了冗余或并行的電力電纜 線路為計算機系統(tǒng)供電d）是否建立了備用供電系統(tǒng)10電磁防護物理安全負責人，機房維 護人員，機房設施，電磁 防護設計/驗收文檔a）是否米用接地方式防止外界電磁干擾和設備寄生耦合干擾b）電源線和通信線纜是否隔離，避免互 相干擾c）檢查是否對關鍵設備和磁介質(zhì)實施電 磁屏蔽網(wǎng)絡安全網(wǎng)絡安全測評將通過訪談、配置檢查和工具測試的方式測評信息系統(tǒng)的的網(wǎng) 絡安全保障情況。主要涉及對象為網(wǎng)絡互聯(lián)設備、網(wǎng)絡安全設備和網(wǎng)絡拓撲結(jié)構(gòu) 等三大類對象。在內(nèi)容上，網(wǎng)絡安全層面測評實施

8、過程涉及 7個測評單元，具體如表2所示:表2網(wǎng)絡安全單元測評實施內(nèi)容序號測評范圍測評對象測評項1結(jié)構(gòu)安全 與網(wǎng)段劃 分網(wǎng)絡管理員，邊界 和重要網(wǎng)絡設備， 網(wǎng)絡拓撲圖，網(wǎng)絡 設計/驗收文檔a）關鍵網(wǎng)絡設備的業(yè)務處理能力是否具備冗余 空間，滿足業(yè)務高峰期需要b）是否設計和繪制了與當前運行情況相符的網(wǎng) 絡拓撲結(jié)構(gòu)圖c）是否能保證接入網(wǎng)絡和核心網(wǎng)絡的帶寬滿足 業(yè)務高峰期需要d）是否根據(jù)各部門的工作職能、重要性、所涉及 信息的重要程度等因素，劃分不向的子網(wǎng)或網(wǎng)段， 并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分 配地址段e）檢查是否在業(yè)務終端與業(yè)務服務器之間進行 路由控制建立安全的訪問控制f）檢查是否避免將

9、重要網(wǎng)段部署在網(wǎng)絡邊界處且 直接連接外部信息系統(tǒng)，重要網(wǎng)絡與其他網(wǎng)段之 間是否米取了可靠的技術隔離手段g）檢查是否按照對業(yè)務服務的重要次序來指定帶 寬分配優(yōu)先級，保證在網(wǎng)絡發(fā)生擁堵的時候優(yōu)先 保護重要主機2訪問控制安全員，邊界網(wǎng)絡 設備（包括網(wǎng)絡安 全設備）a）是否在網(wǎng)絡邊界部署訪問控制設備，啟用訪問 控制功能b）是否能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的 允許/拒絕訪問的能力，控制力度為網(wǎng)段級c）是否按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定 允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制 力度為單個用戶d）是否限制具有撥號訪問權(quán)限的用戶數(shù)量e）檢查是否對進出網(wǎng)絡的信息內(nèi)容進行過濾，實現(xiàn)對應用層 HII

10、R FTR TELNET SMTP POP/協(xié)議命令級的控制f ）是否在會話處于非活躍一定時間或會話結(jié)束后 終止網(wǎng)絡連接g）是否限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù)h）重要網(wǎng)絡斷是否米取了技術手段防止地址欺騙3網(wǎng)絡安全 W審計員，邊界和重 要網(wǎng)絡設備（包括 安全設備）審計記 錄，審計策略a）是否對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡 流量、用戶行為等事件進行日志記錄b）對于每一個事件，其審計記錄應包括：事件的 日期和時間、用戶、事件類型、事件是否成功，及其他與審計相關的信息c）是否能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計 報表d）檢查是否對審計記錄進行保護，避免受到未預 期的刪除、修改或覆蓋等4邊界完整

11、性檢查安全員，邊界完整 性檢查設備/工具， 邊界完整性檢查工 具運行日志a）是否能夠檢測內(nèi)部網(wǎng)絡中出現(xiàn)的內(nèi)部用戶未 通過準許私自聯(lián)到外部網(wǎng)絡的行為（即“非法外聯(lián)”行為）b）是否能夠?qū)Ψ鞘跈?quán)設備私自聯(lián)到內(nèi)部網(wǎng)絡的行 為進行檢查，準確定出位置，并對其進行有效的 阻斷5網(wǎng)絡入侵 防范安全員，網(wǎng)絡入侵 防范設備a）是否在網(wǎng)絡邊界處監(jiān)視以下攻擊行為：端口掃 描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、網(wǎng)絡蠕蟲攻擊等 入侵事件的發(fā)生b）當檢查到攻擊行為時，是否記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入 侵事件時是否能夠提供報警6惡意代碼 防范安全員，防惡意代 他

12、產(chǎn)品，網(wǎng)絡設計/ 驗收文檔，惡意代 他產(chǎn)品運行日志a）是否在網(wǎng)絡邊界及核心業(yè)務網(wǎng)段處對惡意代 碼進行檢測和清除b）是否維護惡意代碼庫的升級和檢測系統(tǒng)的更 新c）是否支持惡意代碼防范的統(tǒng)一管理7網(wǎng)絡設備 防護網(wǎng)絡管理員，邊界 和重要網(wǎng)絡設備 （包括安全設備）a）是否對登錄網(wǎng)絡設備的用戶進行身份鑒別b）是否對網(wǎng)絡設備的管理員登錄地址進行限制c）網(wǎng)絡設備用戶的標識是否唯一d）身份鑒別信息是否具有不易被冒用的特點，例 如口令長度、復雜性和定期的更新等e）是否具有登錄失敗處理功能，如結(jié)束會話、限 制非法登錄次數(shù)，當網(wǎng)絡登錄連接超時，自動退 出f）當對網(wǎng)絡設備進行遠程控制管理的時候，是否 采取必要措施防止

13、鑒別信息在網(wǎng)絡傳輸過程中被 竊聽g）主要網(wǎng)絡設備是否對同一用戶選擇兩種或兩種 以上組合的鑒別技術來進行身份鑒別h）是否實現(xiàn)了設備特權(quán)用戶的權(quán)限分離主機系統(tǒng)安全主機系統(tǒng)安全測評將通過訪談、配置檢查和工具測試的方式測評主機系統(tǒng)安 全保障情況。在內(nèi)容上，主機系統(tǒng)安全層面測評實施過程涉及 6個測評單元，具體如表3 所示。表3主機系統(tǒng)安全單元測評實施內(nèi)容序號測評范圍測評對象測評項1身份鑒別系統(tǒng)管理員，數(shù)據(jù) 庫管理員，重要服 務器操作系統(tǒng)，重 要數(shù)據(jù)庫系統(tǒng)，服 務器操作系統(tǒng)文 檔，數(shù)據(jù)庫系統(tǒng)文 檔a）操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶是否分配 /、同的用戶名，確保用戶名具有唯一性b）是否對登錄操作系統(tǒng)和數(shù)據(jù)庫

14、系統(tǒng)的用戶進 行身份標識和鑒別c）操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)身份鑒別信息是否具 后不易被冒用的特點，例如口令長度、復雜性和 定期更"d）是否具有登錄失敗處理功能，如結(jié)束會話、 限制非法登錄次數(shù)，當?shù)卿涍B接超時，自動退出e）當對服務器進行遠程控制管理的時候，是否 采取必要措施防止鑒別信息在網(wǎng)絡傳輸過程中 被竊聽f）是否米用了兩種或兩種以上組合的鑒別技術 對管理用戶進行身份鑒別2訪問控制重要服務器操作 系統(tǒng)，重要數(shù)據(jù)庫 系統(tǒng)，安全策略a）是否啟用訪問控制功能，依據(jù)安全策略控制 用戶對資源的訪問b）是否實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的 權(quán)限分離c）是否限制默認賬戶的訪問權(quán)限，重命名系統(tǒng) 默認賬

15、戶，修改這些賬戶的默認口令d）是否及時刪除多余的、過期的賬戶，避免共 享賬戶的存在g）是否根據(jù)管理用戶的角色分配權(quán)限，實現(xiàn)管 理用戶的權(quán)限分離，僅授予管理用戶所需的最小 權(quán)限3安全審計系統(tǒng)管理員，數(shù)據(jù) 庫管理員，重要服 務器操作系統(tǒng)，重 要數(shù)據(jù)庫系統(tǒng)，服 務器操作系統(tǒng)文 檔，數(shù)據(jù)庫系統(tǒng)文 檔a）安全審計是否覆蓋到服務器上的每個操作系 統(tǒng)用戶和數(shù)據(jù)庫用戶b）安全審計是否記錄系統(tǒng)內(nèi)重要的安全相關事 件，包括重要用戶行為、系統(tǒng)資源的異常使用和 重要系統(tǒng)命令的使用等c）安全相關事件的記錄是否包括日期和時間、 類型、主體標識、客體標識、事件的結(jié)果等d）審計記錄是否受到保護避免受到未預期的刪 除、修改或覆

16、蓋等e）是否能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審 計報表f）是否能夠保護審計進程，避免受到未預期的 中斷4惡意代碼防范系統(tǒng)安全員，重要 服務器系統(tǒng)，重要 終端系統(tǒng)，網(wǎng)絡防 惡息代碼產(chǎn)品，主 機安全設計/驗收 文檔a）服務器和重要終端設備（包括移動設備）是 否安裝實時檢測和查殺惡意代碼的軟件產(chǎn)品b）主機系統(tǒng)防惡意代碼產(chǎn)品是否具有與網(wǎng)絡防 惡意代碼產(chǎn)品不同的惡意代碼庫c）是否支持防惡意代碼軟件的統(tǒng)一管理5資源控制重要服務器操作 系統(tǒng)a）是否限制單個用戶對系統(tǒng)資源的最大或最小 使用限制b）是否通過設定終端接入方式、網(wǎng)絡地址范圍 等條件限制終端登錄c）是否根據(jù)安全策略設置登錄終端的操作超時 鎖定d）檢查

17、是否對重要服務器進行監(jiān)視，包括監(jiān)視 服務器的CPU硬盤、內(nèi)存、網(wǎng)絡等資源的使用 情況e）是否能夠?qū)ο到y(tǒng)的服務水平降低到預先規(guī)定 的最小值進行檢測和報警6入侵防范重要服務器操作 系統(tǒng)a）操作系統(tǒng)是否遵循最小安裝的原則，僅安裝 需要的組建和應用程序，并通過設置升級服務器 等方式保持系統(tǒng)補丁及時得到更新b）檢查是否能夠檢測到重要服務器進行入侵的 行為，能夠記錄入侵的源IP、攻擊類型、攻擊的 目的。攻擊的時間，并在發(fā)生嚴重入侵事件時提 供報警c）檢查是否能夠?qū)χ匾绦虻耐暾赃M行檢測， 并在檢測到完整性受到破壞后具有恢復的措施應用安全應用安全測評將通過訪談、配置檢查和工具測試的方式測評應用安全保障情

18、況。在內(nèi)容上，應用安全層面測評實施過程應用安全涉及 9個測評單元，具體如 表4所示。表4應用安全單元測評實施內(nèi)容序號測評范圍測評對象測評項1身份鑒別系統(tǒng)管理員，重要應 用系統(tǒng)，總體規(guī)劃/ 設計文檔a）是否提供用戶身份標識唯一和鑒別信息復雜 度檢查功能，保證應用系統(tǒng)中不存在重復用戶身 份識別，身份鑒別信息不易被冒充b）是否提供專用的登錄控制模塊對登錄用戶進 行身份標識和鑒別c）是否對同一用戶米用兩種或兩種以上組合的 鑒別技術實現(xiàn)用戶身份鑒別d）是否啟用身份鑒別、用戶身份標識唯一性檢 查、用戶身份鑒別信息復雜度檢查以及登錄失敗 處理功能，并根據(jù)安全策略配置相關參數(shù)e）是否具有登錄失敗處理功能，如結(jié)

19、束會話、 限制非法登錄次數(shù)，當?shù)卿涍B接超時，自動退出2訪問控制系統(tǒng)管理員，重要應 用系統(tǒng)a）是否提供訪問控制功能，依據(jù)安全策略控制 用戶對文件、數(shù)據(jù)庫表等客體的訪問b）訪問控制的覆蓋范圍是否包括與資源訪問相 關的主體、客體及它們之間的操作c）是否由授權(quán)主體配置訪問控制策略，并嚴格限制默認賬戶的訪問權(quán)限d）是否授予不同賬戶為完成各自承擔任務所需 的最小權(quán)限，并自它們之間形成相互制約的關系e）是否具有對重要信息資源設置敏感標記的功 能f）是否依據(jù)安全策略嚴格控制用戶對敏感標記 重要信息資源的操作3安全審計審計員，重要應用系 統(tǒng)a）是否提供覆蓋到每個用戶的安全審計功能， 對應用系統(tǒng)重要安全事件進行審

20、計b）安全相關事件的記錄是否包括日期和時間、 類型、主體標識、客體標識、事件的結(jié)果等c）是否保證無法刪除、修改或覆蓋審計記錄d）是否提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、 分析及生成審計報表的功能5通信完整性安全員，設計/驗收 文檔，重要應用系統(tǒng)a）是否米取校驗碼技術保證通信過程中數(shù)據(jù)的 完整性6通信保密性安全員，重要應用系 統(tǒng)a）在通信雙方建立連接之前，利用密碼技術進 行會話初始化驗證b）在通信過程中，是否對整個報文或會話過程 進行加密7軟件容錯安全員，重要應用系 統(tǒng)a）是否提供數(shù)據(jù)有效性檢驗功能，保證通過人 機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或 長度符合系統(tǒng)設定要求b）是否提供自動保護功能

21、，當故障發(fā)生時自動 保護當前所有狀態(tài)，保證系統(tǒng)能夠進行恢復8資源控制安全員，重要應用系 統(tǒng)a）是否能夠限制單個用戶的多重并發(fā)會話b）是否能夠?qū)孟到y(tǒng)的最大并發(fā)會話連接數(shù)進行限制c）當應用系統(tǒng)的通信雙方中的一方在一段事件內(nèi)未作任何響應，另一方是否能夠自動結(jié)束會話d）是否對一個時間段內(nèi)可能的并發(fā)會話連接數(shù) 進行限制9抗抵賴安全員，主要應用系 統(tǒng)a）應具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收 者提供數(shù)據(jù)原發(fā)證據(jù)的功能b）應具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收 者提供數(shù)據(jù)接收證據(jù)的功能數(shù)據(jù)安全數(shù)據(jù)安全測評將通過訪談、配置檢查和工具測試的方式測評數(shù)據(jù)安全保障情在內(nèi)容上，應用安全層面測評實施過程數(shù)據(jù)安全涉及

22、 3個測評單元，具體如 表5所示。表5數(shù)據(jù)安全單元測評實施內(nèi)容序號測評范圍測評對象測評項1數(shù)據(jù)完整性安全員，重要應用系統(tǒng)， 設計/驗收文檔，相關證 明性材料（如證書、檢 驗報告等）a）是否能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別 信息和用戶數(shù)據(jù)在傳輸過程中完整性受 到破壞，并在檢測到完整性錯誤時采取必要的恢復措施b）是否能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別 信息和用戶數(shù)據(jù)在存儲過程中完整性受 到破壞，并在檢測到完整性錯誤時采取 必要的恢復措施2數(shù)據(jù)保密性系統(tǒng)管理員、網(wǎng)絡管理 員、安全員、數(shù)據(jù)庫管 理員，操作系統(tǒng)，網(wǎng)絡 設備，數(shù)據(jù)庫系統(tǒng)，重 要應用系統(tǒng)，設計/驗收 文檔a）是否米用加密或其他有效措施實現(xiàn) 系統(tǒng)管理數(shù)

23、據(jù)、鑒別信息和重要業(yè)務數(shù) 據(jù)傳輸保密性b）是否米用加密或其他有效措施實現(xiàn) 系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù) 據(jù)存儲保密性3數(shù)據(jù)備份和恢復系統(tǒng)管理員、網(wǎng)絡管理 員、安全員、數(shù)據(jù)庫管 理員，重要應用系統(tǒng)， 重要應用系統(tǒng)設計/驗 收文檔a）是否提供本地數(shù)據(jù)備份與恢復功能， 完全數(shù)據(jù)備份至少每天一次，備份介質(zhì) 場外存放b）是否提供關鍵網(wǎng)絡設備、通信線路和 數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的 局可用性c）是否提供異地數(shù)據(jù)備份功能，利用通 信網(wǎng)絡將關鍵數(shù)據(jù)定時批量傳送至備用 場地d）是否米用冗余技術設計網(wǎng)絡拓撲結(jié) 構(gòu)，避免關鍵節(jié)點存在單點故障管理部分安全管理部分為全局性問題，涉及安全管理制度、安全管理機

24、構(gòu)、人員安全 管理、系統(tǒng)建設管理和系統(tǒng)運維管理等五個方面。 其中，安全管理制度測評實施 過程涉及3個測評單元，安全管理機構(gòu)測評實施過程涉及 5個測評單元，人員安 全管理測評實施過程涉及5個測評單元，系統(tǒng)建設管理測評實施過程涉及 11個 測評單元，系統(tǒng)運維管理測評實施過程涉及 13個測評單元等。安全管理制度安全管理制度方面的測評對象主要為安全主管人員、安全管理人員，具體如 表6所示。表6安全管理制度單元測評實施內(nèi)容序號測評范圍測評對象測評項1管理制度安全主管，總體方針、政 策性文件和安全策略文 件，安全管理制度清單， 操作規(guī)程a）是否制定信息安全工作的總體方針和 政策莊文件，說明機構(gòu)安全工作的總

25、體目 標、范圍、方針、原則、責任等b）是否對安全管理活動中重要的管理內(nèi) 容建立安全管理制度，以規(guī)范安全管理活 動，約束人員的行為方式c）是否對要求管理人員或操作人員執(zhí)行 的重要管理操作，建立操作規(guī)程，以規(guī)范 操作行為，防止操作失誤d）是否制定日常管理活動中常用的安全管理制度2制定和發(fā)布安全主管，制度制定和發(fā) 布要求管理文檔，評審記 錄，安全管理制度a）是否在信息安全職能部門的總體負責 下，組織相關人員制定b）安全管理制度是否經(jīng)過管理層簽發(fā)后 按照一定的程序以文件形式發(fā)布c）是否組織相關人員對制定的安全管理 進行論證和審定d）安全管理制度是否具有統(tǒng)一的格式，并進行版本控制e）安全管理制度是否注明

26、發(fā)布范圍，并對 收發(fā)文進行登記3評審和修訂安全主管，安全管理制度 列表，評審記錄a）是否定期對安全管理制度進行評審和 修訂，對存在/、足或需要改進的安全管理 制度進行修訂b）信息安全領導小組應負責定期組織相 關部門和相關人員對安全管理制度體系的 合理性和適用性進行審定安全管理機構(gòu)安全管理機構(gòu)方面的測評對象主要為安全主管人員、安全管理人員，具體如 表7所小。表7安全管理機構(gòu)單元測評實施內(nèi)容序 號測評范圍測評對 象測評項1崗位設置安全主 管，安全 管理某方 面的負責 人，部門、 崗位職責 文件a）是否設立信息安全管理工作的職能部門，設立安全主管 人、安全管理各個方面的負責人，定義各負責人的職責b）

27、是否制定文件明確安全管理機構(gòu)各個部門和崗位的職 責、分工和技能要求c）是否設立系統(tǒng)管理人員、網(wǎng)絡管理人員、安全管理人員 崗位，定義各個工作崗位的職責d）是否成立指導和管理信息安全工作的委員會或領導小 組，其最高領導由單位主管領導委任或授權(quán)2人員配備安全主 管，人員 配備要求 的相關文 檔，管理 人員名單a）是否配備一定數(shù)量的系統(tǒng)管理人員、網(wǎng)絡管理人員、安 全管理人員等b）安全管理人員不能兼任網(wǎng)絡管理員、系統(tǒng)管理員、數(shù)據(jù) 庫管理員等c）關鍵事務崗位是否配備多人共同管理3授權(quán)和審 批安全主 管，關鍵 活動的批 準人，審 批事項列 表，審批 文檔a）是否授權(quán)審批部門及批準人，對關鍵活動進行審批b）是

28、否根據(jù)各個部門和崗位的職責明確授權(quán)審批部門及 批準人，對系統(tǒng)投入運行、網(wǎng)絡系統(tǒng)接入和重要資源的訪 問等關鍵活動進行審批c）是否針對關鍵活動建立審批流程，并由批準人簽字確認d）是否定期審查審批事項，及時更新需授權(quán)和審批的項 目、審批部門和審批人等信息e）是否記錄審批過程并保存審批文檔4溝通和合 作安全主 管，安全 管理人員，會議 文件，會 議記錄， 外聯(lián)單位 說明文檔a）是否加強各類管理人員和組織內(nèi)部機構(gòu)之間的合作與 溝通，定期或不定期召開協(xié)調(diào)會議，共同協(xié)助處理信息安 全問題b）信息安全職能部門是否定期或不定期召集相關部門和 人員召開安全工作會議，協(xié)調(diào)安全工作的實施c）是否加強與兄弟單位、公安機

29、關、電信公司的合作與溝 通，以便在發(fā)生安全事件時能夠得到及時的支持d）是否加強與供應商、業(yè)內(nèi)專家、專業(yè)的安全公司、安全 組織的合作與溝通e）是否簡歷外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作 內(nèi)容、聯(lián)系人和聯(lián)系方式等信息f）是否聘請信息安全專家作為常年的安全顧問，指導信息 安全建設，參與安全規(guī)劃和安全評審等5審核和檢 查安全主 管，安全 員，安全 檢查記錄a）是否由安全管理人員定期進行安全檢查，檢查內(nèi)容包括 用戶賬號情況、系統(tǒng)漏洞情況、系統(tǒng)審計情況等b）是否由內(nèi)部人員或上級單位定期進行全面安全檢查，檢 查內(nèi)容包括現(xiàn)有安全技術措施的有效性、安全配置與安全 策略的一致性、安全管理制度的執(zhí)行情況等c）

30、是否制定安全檢查表格實施安全檢查，匯總安全檢查數(shù) 據(jù)，形成安全檢查報告，并對安全檢查結(jié)果進行通報d）是否制定安全審核和安全檢查制度規(guī)范安全審核和安 全檢查工作，定期按照程序進行安全審核和安全檢查活動人員安全管理安全管理機構(gòu)方面的測評對象主要為安全主管人員、安全管理人員，具體如表8所示。表8人員安全管理單元測評實施內(nèi)容序號測評范圍測評對象測評項1人員錄用人事負責人，人事 工作人員，人員錄 用要求管理文檔， 人員審查文檔或 記錄，考核文檔或 記錄，保密協(xié)議a）是否制定或授權(quán)專門的部門或人員負責人員錄用b）是否保證被錄用人具備基本的專業(yè)技術水平和安 全管理知識c）是否對被錄用人聲明的身份、背景、專業(yè)

31、資格和 資質(zhì)等進行審查d）是否對被錄用人所具備的技術技能進行考核e）是否對被錄用人說明其角色和職責f）是否簽署保密協(xié)議2人員離崗安全主管，人事， 作人員，安全處理 記錄，保密承諾文 檔a）是否立即終止由于各種原因即將離崗的員工的所 有訪問權(quán)限b）是否取回各種身份證件、鑰匙、徽章等以及機構(gòu) 提供的軟硬件設備c）是否經(jīng)機構(gòu)人事部門辦理嚴格的調(diào)離手續(xù)，并承 諾倜離后的保密義務后方PJ離開3人員考核安全主管，人事， 作人員a）是否定期對各個崗位的人員進行安全技能及安全 認知的考核b）是否對關鍵崗位的人員進行全面、嚴格的安全審 查c）是否對考核結(jié)果進行記錄并保存4安全意識 教育和培 訓安全主管，安全 員

32、，系統(tǒng)管理員， 網(wǎng)絡管理員，培訓 計劃，培訓記錄a）是否對各類人員進行安全意識教育、崗位技能培 訓和相關安全技術培訓b）是否告知人員相關的安全責任和懲戒措施，對違 反違背安全策略和規(guī)定的人員進行懲戒c）是否制定安全教育和培訓計劃，對信息安全基礎 知識、崗位操作規(guī)程等進行培訓d）是否對安全教育和培訓的情況和結(jié)果進行記錄并 歸檔保存5第三方人 員訪問管 理安全主管，安全管 理人員，安全責任 合同書或保密協(xié) 議，第三方人員訪a）是否確保在外部人員訪問受控區(qū)域前得到授權(quán)或 批準b）對重要區(qū)域的訪問，是否經(jīng)過侶關負責人的批準， 并曲專人陪同或監(jiān)督下進行，并記錄備案問管理文檔，登記c）對外部人員允許訪問的

33、區(qū)域、系統(tǒng)、設備、信息記錄等內(nèi)容進行書面的規(guī)定，兵按照規(guī)定執(zhí)行系統(tǒng)建設管理系統(tǒng)建設管理方面的測評對象主要為安全主管人員、安全管理人員，具體如 表9所示。表9系統(tǒng)建設管理單元測評實施內(nèi)容序號測評范圍測評對象測評實施1系統(tǒng)定級安全主管，系統(tǒng)劃分文檔，系統(tǒng) 定級文檔，系統(tǒng)屬性說明文檔a）是否明確信息系統(tǒng)劃分的方法b）是否確定信息系統(tǒng)的安全保護等 級c）是否以書面的形式定義確定了安 全保護等級的信息系統(tǒng)的屬性，包括 使命、業(yè)務、網(wǎng)絡、硬件、軟件、數(shù) 據(jù)、邊界、人員等d）是否確保信息系統(tǒng)的定級結(jié)果經(jīng)過 相關部門的批準2安全方案 設計系統(tǒng)建設負責人，安全方案，詳 細設計方案，專家論證文檔a）是否根據(jù)系統(tǒng)的

34、安全級別選擇基 本安全措施，依據(jù)風險分析的結(jié)果補 充和調(diào)整安全措施b）是否以書面的形式描述對系統(tǒng)的 安全保護要求和策略、安全措施等內(nèi) 容，形成系統(tǒng)的安全方案c）是否對安全方案進行細化，形成能 指導安全系統(tǒng)建設和安全產(chǎn)品采購的 詳細設計方案d）是否組織相關部門和有美安全技 術專家對安全設計方案的合理性和正 確性進行論證和審定e）是否確保安全設計方案必須經(jīng)過 批準，才能正式實施3產(chǎn)品采購安全主管，系統(tǒng)建設負責人，信 息安全產(chǎn)品a）是否確保安全產(chǎn)品的使用符合國 家的有關規(guī)定b）是否確保密碼產(chǎn)品的使用符合國 家密碼主管部門的要求c）是否指定或授權(quán)專門的部門負責 產(chǎn)品的采購d）是否預先對產(chǎn)品進行選型測試

35、，確 定產(chǎn)品的候選范圍，并定期審定和更 新候選產(chǎn)品名單4自行軟件 開發(fā)系統(tǒng)建設負責人，軟件設計的相 關文檔和使用指南，文檔使用控 制記錄a）是否確保開發(fā)環(huán)境與實際運行環(huán) 境物理分開，開發(fā)人員和測試人員分 離，測試數(shù)據(jù)和測試結(jié)果收到控制b）是否確保提供軟件設計的相關文 檔和使用指南c）是否確保系統(tǒng)開發(fā)文檔曲專人負 責保管，系統(tǒng)開發(fā)文檔的使用受到控 制d）是否制定軟件開發(fā)管理制度，明確 說明開發(fā)過程的控制方法和人員行為 準則e）是否制定代碼編寫安全規(guī)范，要求 開發(fā)人員參照規(guī)范編寫代碼f）是否確保對程序資源庫的修改、更 新、發(fā)布進行授權(quán)和批準5外包軟件 開發(fā)系統(tǒng)建設負責人，軟件開發(fā)安全 協(xié)議，軟件開

36、發(fā)文檔a）是否根據(jù)協(xié)議的要求檢測軟件質(zhì) 量b）是否在軟件安裝之前檢測軟件包 中可能存在的惡意代碼c）是否確保提供軟件設計的相關文 檔和使用指南d）是否要求開發(fā)單位提供軟件源代 碼，并審查軟件中可能存在的后門6工程實施系統(tǒng)建設負責人，工程安全建設 協(xié)議，工程實施方案a）是否制定工程實施方面的管理制 度，名且說明實施過程的控制方法和 人員行為準則b）是否指定或授權(quán)專門的人員或部 門負責工程實施過程的管理c）是否制定詳細的工程實施方案控 制實施過程7測試驗收系統(tǒng)建設負責人，系統(tǒng)測試方案， 系統(tǒng)測試記錄，系統(tǒng)測試報告， 系統(tǒng)驗收報告a）是否對系統(tǒng)進行安全測試驗收b）是否在測試驗收前根據(jù)設計方案 或合同

37、要求等制訂測試驗收方案，測 試驗收過程中詳細記錄測試驗收結(jié) 果，形成測試驗收報告c）是否組織相關部門和相關人員對 系統(tǒng)測試驗收報告進行審定，沒有疑 問后由雙方簽字d）是否委托公正的第二方測試單位 對系統(tǒng)進行安全性測試，并出具安全 性測試報告e）是否對系統(tǒng)測試驗收的控制方法 和人員行為準則進行書面規(guī)定f）是否制定或授權(quán)專門的部門負責 系統(tǒng)測試驗收的管理，并按照管理規(guī) 定的要求完成系統(tǒng)測試驗收工作8系統(tǒng)交付系統(tǒng)建設負責人，系統(tǒng)交付清單， 服務承諾書，培訓記錄a）是否制定系統(tǒng)交付清單，并根據(jù)交 付清單對所交接的設備、軟件和文檔 等進行清點b）是否由系統(tǒng)建設方完成對委托建 設方的運維技術人員的培訓c）

38、是否由系統(tǒng)建設方提交系統(tǒng)建設 過程中的文檔和指導用戶進行系統(tǒng)運 行維護的文檔d）是否對系統(tǒng)交付的控制方法和人 員行為準則進行書面規(guī)定e）是否制定或授權(quán)專門的部門負責 系統(tǒng)交付的管理工作，并按照管理規(guī) 定的要求完成系統(tǒng)的交付工作9安全服務 商選擇系統(tǒng)建設負責人a）是否確保安全服務商的選擇符合 國家的有關規(guī)定b）是否與限定的安全服務商簽訂與 安全相關的協(xié)議，明確約定相關責任c）是否確保選定的安全服務商提供 技術培訓和服務承諾，必要的與其簽 訂服務合同10系統(tǒng)備案系統(tǒng)建設負責人a）是否指定專門的部門或人員負責 管理系統(tǒng)定級的相關材料，并控制這 些材料的使用b）是否將系統(tǒng)等級及相關材料報系 統(tǒng)主管部門

39、備案c）是否將系統(tǒng)等級及其他要求的備 案材料報相應公安機關備案11等級測評系統(tǒng)建設負責人，系統(tǒng)測試方嚓a）在系統(tǒng)運行過程中，是否至少每年 對系統(tǒng)進次等級測評，發(fā)現(xiàn)不符 合相應等級保護標準要求的及時整改b）是否在系統(tǒng)發(fā)生變更時及時對系 統(tǒng)進行等級測評，發(fā)現(xiàn)級別發(fā)生變化 的及時調(diào)整級別并進行安全改造，發(fā) 現(xiàn)不符合相應等級保護標準要求的及 時整改c）是否選擇具有國家相關技術資質(zhì)和安全資質(zhì)的測評單位進行等級測評d）是否制定或授權(quán)專門的部門或人 員負責等級測評的管理系統(tǒng)運維管理系統(tǒng)運維管理方面的測評對象主要為安全主管人員、安全管理人員，具體如 表10所小。表10系統(tǒng)運維管理單元測評實施內(nèi)容序號測評范圍測

40、評對象測評實施1環(huán)境管理物理安全負 責人，機房安 全管理制度， 機房進出登 記表a）是否對機房供配電、空調(diào)、溫濕度控制等設施指 定專人或?qū)ｉT的部門定期進行維護管理b）是否配備機房安全管理人員，對機房的出入、服 務器的開機或關機等工作進行管理c）是否建立機房安全管理制度，對有關機房物理訪 問，物品帶進、帶出機房和機房環(huán)境安全等方面作出 規(guī)定d）是否對辦公環(huán)境的保密性管理進行加強，包括如 工作人員調(diào)離辦公室應立即交還該辦公室鑰匙和不 在辦公區(qū)接待來訪人員等2資產(chǎn)管理安全主管，資 產(chǎn)管理員，資 產(chǎn)清單，資產(chǎn) 安全管理制 度，設備a）是否建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn) 管理的責任人員或責任部門

41、b）是否編制并保存與信息系統(tǒng)相關的資產(chǎn)、資產(chǎn)所 屬關系、安全級別和所處位置等信息的資產(chǎn)清單c）是否根據(jù)資產(chǎn)的重要程度對資產(chǎn)進行定性賦值和 標識管理，根據(jù)資產(chǎn)的價值選擇相應的管理措施d）是否對信息分類與標識方法做出規(guī)定，并對信息 的使用、傳輸和儲存等進行規(guī)范化管理3介質(zhì)管理資產(chǎn)管理員， 介質(zhì)管理記 錄，各類介質(zhì)a）是否確保介質(zhì)存放在安全的環(huán)境中，并對各類介 質(zhì)進行控制和保護，以防止被盜、被毀、被未授權(quán)的 修改以及信息的非法泄漏b）是否有介質(zhì)的存儲、歸檔、登記和查詢記錄，并 根據(jù)備份及存檔介質(zhì)的目錄清單定期盤點c）對于需要送出維修或銷毀的介質(zhì)，是否首先清除 介質(zhì)中的敏感數(shù)據(jù)，防止信息的非法泄漏d）

42、是否根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進 行分類和標識管理，并實行存儲環(huán)境專人管理e）是否根據(jù)數(shù)據(jù)備份的需要對某些介質(zhì)實行異地存 儲，存儲地的環(huán)境要求和管理方法應與本地相同f）是否對重要介質(zhì)中的數(shù)據(jù)和軟件米取加密存儲， 并根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進行分 類和標識管理4設備管理資產(chǎn)管理員， 系統(tǒng)管理員，a）是否對信息系統(tǒng)相關的各種設施、設備、線路等 指定專人或?qū)ｉT的部門定期進行維護管理審計員，服務 器操作規(guī)程， 設備審批、發(fā) 放管理文檔，設備使用管理文 檔，服務器操 作日志b）是否對信息系統(tǒng)的各種軟硬件設備的選型、采購、發(fā)放或領用等過程的申報、 審批和專人負責作出規(guī)定c）是否對終端

43、計算機、工作站、便攜機、系統(tǒng)和網(wǎng) 絡等設備的操作和使用進行規(guī)范化管理d）是否對帶離機房或辦公地點的信息處理設備進行 控制e）是否按操作規(guī)程實現(xiàn)服務器的啟動/停止、加電/斷電等操作f）是否加強對服務器操作的日志文件管理和監(jiān)控管理，按安全策略的要求對網(wǎng)絡及設備進行配置，并對其定期進行檢查5監(jiān)控管理安全主管，系 統(tǒng)運維負責 人a）是否了解服務器的 CPU內(nèi)存、進程、磁盤使用 情況b）是否對通信線路、主機、網(wǎng)絡設備和應用軟件的 運行狀況、網(wǎng)絡流量、用戶行為等進行監(jiān)測和報警， 形成記錄并妥善保存c）是否組織相關人員定期對監(jiān)測和報警記錄進行分析、評審，發(fā)現(xiàn)可以行為，形成分析報告，并采取必 要的應對措施d）

44、是否建立安全管理中心， 對設備狀態(tài)、惡意代碼、 補丁升級、安全審計等安全先關事項進行集中管理6網(wǎng)絡安全管理安全主管，安 全員，網(wǎng)絡管 理員，審計 員，網(wǎng)絡漏洞 掃描報告，網(wǎng) 絡安全管理 制度，系 統(tǒng)外聯(lián)授權(quán) 書，網(wǎng)絡審計 日志a）是否指定專人對網(wǎng)絡進行管理，負責運行日志、 網(wǎng)絡監(jiān)控記錄的日常維護和報警信息分析和處理工 作b）是否根據(jù)廠家提供的軟件升級版本對網(wǎng)絡設備進 行更新，升在更新前對現(xiàn)有的重要文件進行備份c）是否進行網(wǎng)絡系統(tǒng)漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡系統(tǒng) 安全漏洞進行及時的修補d）是否保證所有與外部系統(tǒng)的連接均應得到授權(quán)和 批準e）是否建立網(wǎng)絡安全管理制度，對網(wǎng)絡安全配置和 審計日志等作出規(guī)定

45、f）是否對網(wǎng)絡設備的安全策略、授權(quán)訪問、最小服務、升級與打補丁、維護記錄、日志等方面做出具體 規(guī)定7系統(tǒng)安全管理安全主管，安 全員，系統(tǒng)管 理員，系統(tǒng)審 計員，系統(tǒng)安 全管理制度，系統(tǒng)審計日 志，系統(tǒng)漏洞 掃描報告a）是否建立系統(tǒng)安全管理制度，對系統(tǒng)安全配置、 系統(tǒng)帳戶及審計日志等方面作出規(guī)定b）是否定期安裝系統(tǒng)的最新補丁程序，并根據(jù)廠家提供的可能危害計算機的漏洞進行及時修補，并在安裝系統(tǒng)補.前對現(xiàn)后的重要文件進行備份c）是否根據(jù)業(yè)務需求和系統(tǒng)安全分析確定系統(tǒng)的訪 問控制策略，系統(tǒng)訪問控制策略用于控制分配信息系 統(tǒng)、文件及服務的訪問權(quán)限d）是否對系統(tǒng)的安全策略、授權(quán)訪問、最小服務、升級與打補丁、維護記錄、日志等方面做出具體要求e）是否規(guī)定系統(tǒng)審計日志的保存時間以便為可能的 安全事件調(diào)查提供支持f）是否進行系統(tǒng)漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞 進行及時的修補g）是否實現(xiàn)設備的最小服務配置，并對配置文件進 行定期離線備份h）是否保證所有與外部系統(tǒng)的連接均得到授權(quán)和批 準i）是否一句安全策略允許或者拒絕便攜式和移動式 設備的網(wǎng)絡接入j）是否定期檢查違反規(guī)定撥號上網(wǎng)或其他違反網(wǎng)絡 安全策略的行為8惡意代碼防范 管理系統(tǒng)運維負 責人，惡總代 碼防范管理 文檔，惡意代 碼檢測記錄a）是否提高所有用戶的防病毒意識，告知及時升級 防病毒軟件b）是否在讀取移動存儲設備（如軟盤、移動硬盤、光盤