信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求2

信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求引言依據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國(guó)務(wù)院147號(hào)令）、《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保隙工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）、《關(guān)于信息系統(tǒng)安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字[2004]66號(hào)）和《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）等有關(guān)文件要求,制定本標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)是信息安全等級(jí)保護(hù)相關(guān)系列標(biāo)準(zhǔn)之一。與本標(biāo)準(zhǔn)相關(guān)的系列標(biāo)準(zhǔn)包括:——GB/T22240-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南;——GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求;——GB/TAAAA-AAAA信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南。一般來(lái)說(shuō),信息系統(tǒng)需要靠多種安全措施進(jìn)行綜合防范以降低其面臨的安全風(fēng)險(xiǎn)。本標(biāo)準(zhǔn)針對(duì)信息系統(tǒng)屮的單項(xiàng)安全措施和多個(gè)安全措施的綜合防范,對(duì)應(yīng)地提出單元測(cè)評(píng)和整體測(cè)評(píng)的技術(shù)要求,用以指導(dǎo)測(cè)評(píng)人員從信息安全等級(jí)保護(hù)的角度對(duì)信息系統(tǒng)進(jìn)行測(cè)試評(píng)估。單元測(cè)評(píng)対安全技術(shù)和安全管理上各個(gè)層面的安全控制點(diǎn)提出不同安全保護(hù)等級(jí)的測(cè)評(píng)要求。整體測(cè)評(píng)根據(jù)安全控制點(diǎn)間、層面間和區(qū)域間相互關(guān)聯(lián)關(guān)系以及信息系統(tǒng)整體結(jié)構(gòu)對(duì)信息系統(tǒng)整體安全保護(hù)能力的影響提出測(cè)評(píng)要求。本標(biāo)準(zhǔn)給出了等級(jí)測(cè)評(píng)結(jié)論中應(yīng)包括的キ:要內(nèi)容,未規(guī)定給出測(cè)評(píng)結(jié)論的具體方法和量化指標(biāo)。如果沒(méi)有特殊指定,本標(biāo)準(zhǔn)中的信息系統(tǒng)主要指計(jì)算機(jī)信息系統(tǒng)。在本標(biāo)準(zhǔn)文木中，黑體字的測(cè)評(píng)要求表示該要求出現(xiàn)在當(dāng)前等級(jí)而在低于當(dāng)前等級(jí)信息系統(tǒng)的測(cè)評(píng)要求中沒(méi)有出現(xiàn)過(guò)。信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求1范圍本標(biāo)準(zhǔn)規(guī)定了對(duì)信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行安全測(cè)試評(píng)估的要求，包括對(duì)第?級(jí)信息系統(tǒng)、第二級(jí)信息系統(tǒng)、第三級(jí)信息系統(tǒng)和第四級(jí)信息系統(tǒng)進(jìn)行安全測(cè)試評(píng)估的單元測(cè)評(píng)要求和信息系統(tǒng)整體測(cè)評(píng)要求。本標(biāo)準(zhǔn)略去對(duì)第五級(jí)信息系統(tǒng)進(jìn)行單元測(cè)評(píng)的具體內(nèi)容要求。本標(biāo)準(zhǔn)適用于信息安全測(cè)評(píng)服務(wù)機(jī)構(gòu)、信息系統(tǒng)的主管部門(mén)及運(yùn)營(yíng)使用單位對(duì)信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行的安全測(cè)試評(píng)估。信息安全監(jiān)管職能部門(mén)依法進(jìn)行的信息安全等級(jí)保護(hù)監(jiān)督檢査可以參考使用。2規(guī)范性引用文件ド列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。注日期的引用文件,賓.隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn),然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。不注日期的引用文件,其最新版本適用于本標(biāo)準(zhǔn)。GB/T5271.8信息技術(shù)詞匯第8部分;安全GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求3術(shù)語(yǔ)和定義GB/T5271.8和GB/T22239-2008所確立的以及下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。測(cè)評(píng)カ度testingandevaluationintensity測(cè)評(píng)工作實(shí)際投入力量的表征,可以由測(cè)評(píng)廣度和深度來(lái)描述.4總則測(cè)評(píng)原則a）客觀(guān)性和公正性原則測(cè)評(píng)工作雖然不能完全擺脫個(gè)人主:張或判斷,但測(cè)評(píng)人員應(yīng)當(dāng)在沒(méi)有偏見(jiàn)和最小主觀(guān)判斷情形下,按照測(cè)評(píng)雙方相互認(rèn)可的測(cè)評(píng)方案，基于明確定義的測(cè)評(píng)方法和過(guò)程,實(shí)施測(cè)評(píng)活動(dòng)。b）經(jīng)濟(jì)性和可重用性原則基于測(cè)評(píng)成本和工作復(fù)雜性考慮，鼓勵(lì)測(cè)評(píng)工作重用以前的測(cè)評(píng)結(jié)果,包括商業(yè)安全產(chǎn)品測(cè)評(píng)結(jié)果和信息系統(tǒng)先前的安全測(cè)評(píng)結(jié)果.所冇重用的結(jié)果，都應(yīng)基于這些結(jié)果還能適用于目前的系統(tǒng)，能反映目前系統(tǒng)的安全狀態(tài).c）可重復(fù)性和可再現(xiàn)性原則無(wú)論誰(shuí)執(zhí)行測(cè)評(píng),依照同樣的要求，使用同樣的方法，對(duì)每個(gè)測(cè)評(píng)實(shí)施過(guò)程的重復(fù)執(zhí)行都應(yīng)該得到同樣的測(cè)評(píng)結(jié)果.可再現(xiàn)性體現(xiàn)在不同測(cè)評(píng)者執(zhí)行相同測(cè)評(píng)的結(jié)果的一致性.可重復(fù)性體現(xiàn)在同一測(cè)評(píng)者重復(fù)執(zhí)行相同測(cè)評(píng)的結(jié)果的一致性.d）符合性原則測(cè)評(píng)所產(chǎn)生的結(jié)果應(yīng)當(dāng)是在對(duì)測(cè)評(píng)指標(biāo)的正確理解下所取得的良好的判斷。測(cè)評(píng)實(shí)施過(guò)程應(yīng)當(dāng)使用正確的方法以確保其滿(mǎn)足了測(cè)評(píng)指標(biāo)的要求.測(cè)評(píng)內(nèi)容信息系統(tǒng)安全等級(jí)測(cè)評(píng)主要包括單元測(cè)評(píng)和整體測(cè)評(píng)兩部分.單元測(cè)評(píng)是等級(jí)測(cè)評(píng)丄作的基本活動(dòng),每個(gè)單元測(cè)評(píng)包括測(cè)評(píng)指標(biāo)、測(cè)評(píng)實(shí)施和結(jié)果判定三部分。其中,測(cè)評(píng)指標(biāo)來(lái)源FGBハ22239-2008中的第五級(jí)目錄中的各要求項(xiàng)（詳見(jiàn)4.5節(jié)說(shuō)明）,測(cè)評(píng)實(shí)施描述測(cè)評(píng)過(guò)程中使用的具體測(cè)評(píng)方法、涉及的測(cè)評(píng)對(duì)象和具體測(cè)評(píng)取證過(guò)程的要求，結(jié)果判定描述測(cè)評(píng)人員執(zhí)行測(cè)評(píng)實(shí)施并產(chǎn)生各種測(cè)評(píng)數(shù)據(jù)后,如何依據(jù)這些測(cè)評(píng)數(shù)據(jù)來(lái)判定被測(cè)系統(tǒng)是否滿(mǎn)足測(cè)評(píng)指標(biāo)要求的原則和方法.整體測(cè)評(píng)是在單元測(cè)評(píng)的基礎(chǔ)上，通過(guò)進(jìn)?步分析信息系統(tǒng)的整體安全性，對(duì)信息系統(tǒng)實(shí)施的綜合安全測(cè)評(píng)。整體測(cè)評(píng)主要包括安全控制點(diǎn)間、層面間和區(qū)域間相互作用的安全測(cè)評(píng)以及系統(tǒng)結(jié)構(gòu)的安全測(cè)評(píng)等.整體測(cè)評(píng)需要與信息系統(tǒng)的實(shí)際情況相結(jié)合,因此全面地給出整體測(cè)評(píng)要求的全部?jī)?nèi)容、具體實(shí)施過(guò)程和明確的結(jié)果判定方法是非常困難的，測(cè)評(píng)人員應(yīng)根據(jù)被測(cè)系統(tǒng)的實(shí)際情況,結(jié)合本標(biāo)準(zhǔn)的要求,實(shí)施整體測(cè)評(píng).測(cè)評(píng)方法指測(cè)評(píng)人員在測(cè)評(píng)實(shí)施過(guò)程中所使用的方法，主要包括訪(fǎng)談、檢査和測(cè)試三種測(cè)評(píng)方法.其中，訪(fǎng)談是指測(cè)評(píng)人員通過(guò)引導(dǎo)信息系統(tǒng)相關(guān)人員進(jìn)行有目的的（有針對(duì)性的）交流以幫助測(cè)評(píng)人員理解、分析或取得證據(jù)的過(guò)程，檢查是指測(cè)評(píng)人員通過(guò)對(duì)測(cè)評(píng)對(duì)象（如管理制度、操作記錄、安全配置等）進(jìn)行觀(guān)察、查驗(yàn)、分析以幫助測(cè)評(píng)人員理解、分析或取得證據(jù)的過(guò)程，測(cè)試是測(cè)評(píng)人員使用預(yù)定的方法/エ具使測(cè)評(píng)對(duì)象產(chǎn)生特定的行為,通過(guò)査看和分析結(jié)果以幫助測(cè)評(píng)人員獲取證據(jù)的過(guò)程。測(cè)評(píng)對(duì)象指測(cè)評(píng)實(shí)施的對(duì)象,即測(cè)評(píng)過(guò)程中涉及到的信息系統(tǒng)的相關(guān)人員、制度文檔、各類(lèi)設(shè)備及其安全配置等.測(cè)評(píng)カ度測(cè)評(píng)カ度是在測(cè)評(píng)過(guò)程中實(shí)施測(cè)評(píng)工作的カ度,反映測(cè)評(píng)的廣度和深度,體現(xiàn)為測(cè)評(píng)工作的實(shí)際投入程度。測(cè)評(píng)廣度越大,測(cè)評(píng)實(shí)施的范圍越大,測(cè)評(píng)實(shí)施包含的測(cè)評(píng)對(duì)象就越多;測(cè)評(píng)深度越深,越需要在細(xì)節(jié)上展開(kāi)，測(cè)評(píng)就越嚴(yán)格，因此就越需要更多的投入。投入越多,測(cè)評(píng)カ度就越強(qiáng)，測(cè)評(píng)就越有保證.測(cè)評(píng)的廣度和深度落實(shí)到訪(fǎng)談、檢查和測(cè)試三種不同的測(cè)評(píng)方法上，能體現(xiàn)出測(cè)評(píng)實(shí)施過(guò)程中談、檢查和測(cè)試的投入程度的不同。信息安全等級(jí)保護(hù)要求不同安全保護(hù)等級(jí)的信息系統(tǒng)應(yīng)具有不同的安全保護(hù)能力,滿(mǎn)足相應(yīng)等級(jí)的保護(hù)要求。為了檢驗(yàn)不同安全保護(hù)等級(jí)的信息系統(tǒng)是否具有相應(yīng)等級(jí)的安全保護(hù)能力，是否滿(mǎn)足相應(yīng)等級(jí)的保護(hù)要求,需要實(shí)施與其安全保護(hù)等級(jí)相適應(yīng)的測(cè)評(píng)，付出相應(yīng)的工作投入，達(dá)到應(yīng)有的測(cè)評(píng)カ度。第?級(jí)到第四級(jí)信息系統(tǒng)的測(cè)評(píng)カ度反映在訪(fǎng)談、檢查和測(cè)試等三種基本測(cè)評(píng)方法的測(cè)評(píng)廣度和深度上，落實(shí)在不同單元測(cè)評(píng)中具體的測(cè)評(píng)實(shí)施上。不同安全保護(hù)等級(jí)的信息系統(tǒng)在總體上所對(duì)應(yīng)的測(cè)評(píng)カ度在附錄A中描述。結(jié)果重用在信息系統(tǒng)中,有些安全控制可以不依賴(lài)于?其所在的地點(diǎn)便可測(cè)評(píng),即在其部署到運(yùn)行環(huán)境之前便可以接受安全測(cè)評(píng)。一些商用安全產(chǎn)品的測(cè)評(píng)就屈了這種安全測(cè)評(píng)。如果ー個(gè)信息系統(tǒng)部署和安裝在多個(gè)地點(diǎn),且系統(tǒng)具有一組共同的軟件、硬件、固件等組成部分,對(duì)這些安全控制的測(cè)評(píng)可以集中在ー個(gè)集成測(cè)試環(huán)境中實(shí)施，如果沒(méi)有這種環(huán)境，則可以在其中一個(gè)預(yù)定的運(yùn)行地點(diǎn)實(shí)施,在其他運(yùn)行地點(diǎn)的安全測(cè)評(píng)便可重用此測(cè)評(píng)結(jié)果。在信息系統(tǒng)所有安全控制中，有?些安全控制與它所處于的運(yùn)行環(huán)境緊密相關(guān)（如與人員或物理有關(guān)的某些安全控制）,對(duì)其測(cè)評(píng)必須在分發(fā)到相應(yīng)運(yùn)行環(huán)境中才能進(jìn)行。如果多個(gè)信息系統(tǒng)處在地域臨近的封閉場(chǎng)地內(nèi)，系統(tǒng)所屬的機(jī)構(gòu)在同一個(gè)領(lǐng)導(dǎo)層管理之下，對(duì)這些安全控制在多個(gè)信息系統(tǒng)中進(jìn)行重復(fù)測(cè)評(píng),可能是對(duì)有效資源的ー種浪費(fèi)。因此，可以在ー個(gè)選定的信息系統(tǒng)中進(jìn)行測(cè)評(píng)，其他相關(guān)信息系統(tǒng)可以宜接重用這些測(cè)評(píng)結(jié)果。使用方法本標(biāo)準(zhǔn)第5章到第8章分別描述了第一級(jí)信息系統(tǒng)、第二級(jí)信息系統(tǒng)、第三級(jí)信息系統(tǒng)和第四級(jí)信息系統(tǒng)所有單元測(cè)評(píng)的內(nèi)容,在章節(jié)上分別對(duì)應(yīng)國(guó)標(biāo)GB/T22239-2008的第5章到第8章。在國(guó)標(biāo)GB/T22239-2008第5章到第8章中,各章的二級(jí)ロ錄都分為安全技術(shù)和安全管理兩部分，三級(jí)ロ錄從安全層面（如物理安全、網(wǎng)絡(luò)安全、七機(jī)安全等）進(jìn)行劃分和描述,四級(jí)目錄按照安全控制點(diǎn)進(jìn)行劃分和描述（如主機(jī)安全層面下分為身份鑒別、訪(fǎng)問(wèn)控制、安全審計(jì)等）,第五級(jí)目錄是每?個(gè)安全控制點(diǎn)下面包括的具體安全要求項(xiàng)（以下簡(jiǎn)稱(chēng)“要求項(xiàng)”,這些要求項(xiàng)在本標(biāo)準(zhǔn)中被稱(chēng)為“測(cè)評(píng)指標(biāo)ッ。本標(biāo)準(zhǔn)中針對(duì)每ー個(gè)安全控制點(diǎn)的測(cè)評(píng)就構(gòu)成一個(gè)單元測(cè)評(píng)，單元測(cè)評(píng)中的每ー個(gè)具體測(cè)評(píng)實(shí)施要求項(xiàng)（以下簡(jiǎn)稱(chēng)“測(cè)評(píng)要求項(xiàng)”）是與安全控制點(diǎn)下面所包括的要求項(xiàng)（測(cè)評(píng)指標(biāo)）相對(duì)應(yīng)的。在對(duì)每一要求項(xiàng)進(jìn)行測(cè)評(píng)時(shí),可能用到訪(fǎng)談、檢査和測(cè)試三種測(cè)試方法，也可能用到其中一種或兩種，為了描述簡(jiǎn)潔，在測(cè)評(píng)要求項(xiàng)中，沒(méi)有針對(duì)每個(gè)要求項(xiàng)分別進(jìn)行描述,而是對(duì)具有相同測(cè)評(píng)方法的多個(gè)要求項(xiàng)進(jìn)行了合并描述,但測(cè)評(píng)實(shí)施的內(nèi)容完全覆蓋了GB/T22239-2008中所有要求項(xiàng)的測(cè)評(píng)要求,使用時(shí)，應(yīng)當(dāng)從單元測(cè)評(píng)的測(cè)評(píng)實(shí)施中抽取出對(duì)于GB/T22239-2008中毎ー個(gè)要求項(xiàng)的測(cè)評(píng)要求，并按照這些測(cè)評(píng)要求開(kāi)發(fā)測(cè)評(píng)指導(dǎo)15,以規(guī)范和指導(dǎo)安全等級(jí)測(cè)評(píng)活動(dòng)。測(cè)評(píng)過(guò)程中，測(cè)評(píng)人員應(yīng)注意對(duì)測(cè)評(píng)記錄和證據(jù)的采集、處理、存儲(chǔ)和銷(xiāo)毀，保護(hù)其在測(cè)評(píng)期間免遭破壞、更改或遺失,并保守秘密。測(cè)評(píng)的最終輸出是測(cè)評(píng)報(bào)告，測(cè)評(píng)報(bào)告應(yīng)結(jié)合第11章的耍求給出等級(jí)測(cè)評(píng)結(jié)論。5第一級(jí)信息系統(tǒng)單元測(cè)評(píng)安全技術(shù)測(cè)評(píng)物理安全物理訪(fǎng)問(wèn)控制測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008.測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談物理安全負(fù)責(zé)人,了解部署了哪些控制人員進(jìn)出機(jī)房的保護(hù)措施:b）應(yīng)檢查是否有專(zhuān)人負(fù)責(zé)機(jī)房的出入控制且有進(jìn)入機(jī)房人員的登記記錄。結(jié)果判定如果.2b）為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。防盜竊和防破壞測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008?測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談物理安全負(fù)責(zé)人,了解采取了哪些防止設(shè)備、介質(zhì)等丟失的保護(hù)措施;b）應(yīng)檢查關(guān)鍵設(shè)備是否放置在機(jī)房?jī)?nèi)或其它不易被盜竊和被破壞的可控范圍內(nèi):c）應(yīng)檢查關(guān)鍵設(shè)備或設(shè)備的主要部件的固定情況,查看其是否不易被移動(dòng)或被搬走，是否設(shè)置明顯的不易除去的標(biāo)記.結(jié)果判定如果.2b）和c）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。防雷擊見(jiàn)GB/T22239-2008.測(cè)評(píng)實(shí)施本項(xiàng)要求包拈:a）應(yīng)訪(fǎng)談物理安全負(fù)責(zé)人,詢(xún)問(wèn)機(jī)房建筑是否設(shè)置了避需裝置,是否通過(guò)驗(yàn)收或國(guó)家有關(guān)部門(mén)的技術(shù)檢測(cè):b）應(yīng)檢查機(jī)房建筑是否有避雷裝置。結(jié)果判定如果.2b）為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。防火測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008.測(cè)評(píng)實(shí)施本項(xiàng)要求包拈:a）應(yīng)訪(fǎng)談物理安全負(fù)責(zé)人,詢(xún)問(wèn)機(jī)房是否設(shè)置了滅火設(shè)備，是否制定了有關(guān)機(jī)房消防的管理制度和消防預(yù)案,是否進(jìn)行了消防培訓(xùn):b）應(yīng)檢查機(jī)房是否設(shè)置了滅火設(shè)備,滅火設(shè)備擺放位置是否合理，其有效期是否合格。結(jié)果判定如果.2a）和b）均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。防水和防潮測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008。本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談物理安全負(fù)責(zé)人,詢(xún)問(wèn)機(jī)房是否部署了防水防潮措施,是否沒(méi)有出現(xiàn)過(guò)漏水和返潮事件;如果機(jī)房?jī)?nèi)有上廠(chǎng)F水管安裝,則查看是否釆取必要的保護(hù)措施;b）應(yīng)檢查穿過(guò)キ:機(jī)房墻壁或樓板的管道是否釆取必要的防滲防漏等防水保護(hù)措施:c）應(yīng)檢查機(jī)房的窗戶(hù)、屋頂和墻壁等是否未出現(xiàn)過(guò)漏水、滲透和返潮現(xiàn)象,機(jī)房及其環(huán)境是否不存在明顯的漏水和返潮的威脅；如果出現(xiàn)漏水、滲透和返潮現(xiàn)象是否能夠及時(shí)修復(fù)解決。結(jié)果判定如果.2b）和C）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。溫濕度控制測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008。測(cè)評(píng)實(shí)施本項(xiàng)要求包拈;a）應(yīng)訪(fǎng)談物理安全負(fù)責(zé)人,詢(xún)問(wèn)機(jī)房是否配備了空調(diào)等溫濕度控制設(shè)施，保證溫濕度能夠滿(mǎn)足計(jì)算機(jī)設(shè)備運(yùn)行的要求,是否在機(jī)房管理制度中規(guī)定了溫濕度控制的要求;b）應(yīng)檢査空調(diào)設(shè)備是否能夠正常運(yùn)行,檢査機(jī)房溫濕度是否滿(mǎn)足計(jì)算站場(chǎng)地的技術(shù)條件要求。結(jié)果判定如果.2b）為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。電カ供應(yīng)測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008。測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談物理安仝負(fù)責(zé)人，詢(xún)問(wèn)計(jì)算機(jī)系統(tǒng)供電線(xiàn)路上是否設(shè)置了穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備;b）應(yīng)檢杏機(jī)房,査看計(jì)算機(jī)系統(tǒng)供電線(xiàn)路上是否設(shè)置了穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備，這些設(shè)備是否正常運(yùn)行。結(jié)果判定如果.2b）為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)耍求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。網(wǎng)絡(luò)安全結(jié)構(gòu)安全測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-20080測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談網(wǎng)絡(luò)管理員,詢(xún)問(wèn)關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力是否滿(mǎn)足基本業(yè)務(wù)需求:b）應(yīng)訪(fǎng)談網(wǎng)絡(luò)管理員,詢(xún)問(wèn)接入網(wǎng)絡(luò)及核心網(wǎng)絡(luò)的帶寬是否滿(mǎn)足基本業(yè)務(wù)需要;c）應(yīng)檢査網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖,杏看其與當(dāng)前運(yùn)行的實(shí)際網(wǎng)絡(luò)系統(tǒng)是否一致。結(jié)果判定本項(xiàng)要求包括：a）如果.2c）中缺少網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，則為否定;b）如果.2a）-c）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。訪(fǎng)問(wèn)控制測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008.測(cè)評(píng)實(shí)施本項(xiàng)要求包括：a）應(yīng)訪(fǎng)談安仝管理員，詢(xún)問(wèn)網(wǎng)絡(luò)訪(fǎng)問(wèn)控制的措施有哪些:詢(xún)問(wèn)網(wǎng)絡(luò)訪(fǎng)問(wèn)控制設(shè)備具備哪些訪(fǎng)問(wèn)控制功能;b）應(yīng)檢査邊界網(wǎng)絡(luò)設(shè)備,査看是否有正確的訪(fǎng)問(wèn)控制列表,以通過(guò)源地址、ロ的地址、源端口、口的端口、協(xié)議等進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)流控制，其控制粒度是否至少為用戶(hù)組。結(jié)果判定如果.2b）為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。網(wǎng)絡(luò)設(shè)備防護(hù)測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008。測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談網(wǎng)絡(luò)管理員,詢(xún)問(wèn)美鍵網(wǎng)絡(luò)設(shè)備的防護(hù)措施有哪些:詢(xún)問(wèn)關(guān)鍵網(wǎng)絡(luò)設(shè)備的登錄和驗(yàn)證方式做過(guò)何種配置;詢(xún)問(wèn)遠(yuǎn)程管理的設(shè)備是否采取措施防止鑒別信息泄漏:b）應(yīng)檢査邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備，査看是否配置了對(duì)登錄用戶(hù)進(jìn)行身份鑒別的功能:c）應(yīng)檢査邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備,査看是否配置了鑒別失敗處理功能;d）應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備,查看是否配置了對(duì)設(shè)備遠(yuǎn)程管理所產(chǎn)生的鑒別信息進(jìn)行保護(hù)的功能.結(jié)果判定如果.2b）-d）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。主機(jī)安全身份鑒別測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-20080測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談系統(tǒng)管理員和數(shù)據(jù)庫(kù)管理員，詢(xún)問(wèn)操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)的身份標(biāo)識(shí)與鑒別機(jī)制采取何種措施實(shí)現(xiàn);b）應(yīng)檢査關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng),査看是否提供了身份鑒別措施。結(jié)果判定如果.2b）為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。見(jiàn)GB/T22239-2008。測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)檢査關(guān)鍵服務(wù)器操作系統(tǒng)的安全策略,査看是否對(duì)重要文件的訪(fǎng)問(wèn)權(quán)限進(jìn)行了限制,對(duì)系統(tǒng)不需要的服務(wù)、共享路徑等進(jìn)行了禁用或刪除;b）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)，查看匿名/默認(rèn)帳戶(hù)的訪(fǎng)問(wèn)權(quán)限是否已被禁用或者限制,是否刪除了系統(tǒng)中多余的、過(guò)期的以及共享的帳戶(hù):c）應(yīng)檢査關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)的權(quán)限設(shè)置情況，査看是否依據(jù)安全策略對(duì)用戶(hù)權(quán)限進(jìn)行了限制.結(jié)果判定如果.2a）そ）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。入侵防范測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008,測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談系統(tǒng)管理員,詢(xún)問(wèn)操作系統(tǒng)中所安裝的系統(tǒng)組件和應(yīng)用程序是否都是必須的,詢(xún)問(wèn)操作系統(tǒng)補(bǔ)丁更新的方式和周期;b）應(yīng)檢査關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)的補(bǔ)丁是否得到了及時(shí)更新。結(jié)果判定如果.2b）肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本的元測(cè)評(píng)指標(biāo)要求。惡意代碼防范測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008.測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談系統(tǒng)安全管理員,詢(xún)問(wèn)キ機(jī)系統(tǒng)是否釆取惡意代碼實(shí)時(shí)檢測(cè)與查殺措施,惡意代碼實(shí)時(shí)檢測(cè)與查殺措施的部署覆蓋范圍如何:b）應(yīng)檢査關(guān)鍵服務(wù)器,査看是否安裝了實(shí)時(shí)檢測(cè)與査殺惡意代碼的軟件產(chǎn)品并進(jìn)行及時(shí)更新。結(jié)果判定如果.2b）為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。應(yīng)用安全身份鑒別測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008。測(cè)評(píng)實(shí)施本項(xiàng)要求包括：a）應(yīng)訪(fǎng)談應(yīng)用系統(tǒng)管理員,詢(xún)問(wèn)應(yīng)用系統(tǒng)是否有專(zhuān)用的登錄控制模塊對(duì)登錄的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別,具體釆取的鑒別措施是什么:b）應(yīng)訪(fǎng)談應(yīng)用系統(tǒng)管理員，詢(xún)問(wèn)應(yīng)用系統(tǒng)是否具有登錄失敗處理功能;c）應(yīng)訪(fǎng)談應(yīng)用系統(tǒng)管理員，詢(xún)問(wèn)應(yīng)用系統(tǒng)是否采取措施防止鑒別信息傳輸過(guò)程中被竊聽(tīng)，具體措施是什么:d）應(yīng)檢査關(guān)鍵應(yīng)用系統(tǒng),查看其是否提供身份標(biāo)識(shí)和鑒別功能:e）應(yīng)檢査關(guān)鍵應(yīng)用系統(tǒng),査看其提供的登錄失敗處理功能，是否根據(jù)安全策略配置了相關(guān)參數(shù)。結(jié)果判定如果.2d）和e）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。訪(fǎng)問(wèn)控制測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008.本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談應(yīng)用系統(tǒng)管理員,詢(xún)問(wèn)應(yīng)用系統(tǒng)是否提供訪(fǎng)問(wèn)控制措施,以及具體措施和訪(fǎng)問(wèn)控制策略有哪些:b）應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng),查看系統(tǒng)是否提供訪(fǎng)問(wèn)控制功能控制用戶(hù)組/用戶(hù)對(duì)系統(tǒng)功能和用戶(hù)數(shù)據(jù)的訪(fǎng)問(wèn):c）應(yīng)檢査美鍵應(yīng)用系統(tǒng),査看其是否具有由授權(quán)用戶(hù)設(shè)置其它用戶(hù)訪(fǎng)問(wèn)系統(tǒng)功能和用戶(hù)數(shù)據(jù)的權(quán)限的功能,是否限制默認(rèn)用戶(hù)的訪(fǎng)問(wèn)權(quán)限;d）應(yīng)測(cè)試關(guān)鍵應(yīng)用系統(tǒng),可通過(guò)以不同權(quán)限的用戶(hù)登錄系統(tǒng),査看其擁有的權(quán)限是否與系統(tǒng)賦予的權(quán)限ー致,驗(yàn)證應(yīng)用系統(tǒng)訪(fǎng)問(wèn)控制功能是否有效。結(jié)果判定如果.2b）-d）均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。通信完整性測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008?測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談安全管理員,詢(xún)問(wèn)應(yīng)用系統(tǒng)是否具有在數(shù)據(jù)傳輸過(guò)程中保護(hù)其完整性的措施,具體措施是什么;b）應(yīng)檢杏設(shè)計(jì)或驗(yàn)收文檔,査看其是否有關(guān)于保護(hù)通信完整性的說(shuō)明.結(jié)果判定如果.2b）為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)耍求，否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求.軟件容錯(cuò)測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008。測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談應(yīng)用系統(tǒng)管理員,詢(xún)問(wèn)應(yīng)用系統(tǒng)是否具有保證軟件容錯(cuò)能力的措施，具體措施有哪些;b）應(yīng)檢査關(guān)鍵應(yīng)用系統(tǒng),査看應(yīng)用系統(tǒng)是否具有對(duì)人機(jī)接口輸入或通信接口輸入的數(shù)據(jù)進(jìn)行有效性檢驗(yàn)的功能:c）應(yīng)測(cè)試關(guān)鍵應(yīng)用系統(tǒng),可通過(guò)對(duì)人機(jī)接口輸入的不同長(zhǎng)度或格式的數(shù)據(jù),查看系統(tǒng)的反應(yīng),驗(yàn)證系統(tǒng)人機(jī)接口有效性檢驗(yàn)功能是否正確。結(jié)果判定如果.2b）和C）均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)完整性測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-20080測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談安全管理員,詢(xún)問(wèn)關(guān)鍵應(yīng)用系統(tǒng)用戶(hù)數(shù)據(jù)在傳輸過(guò)程中是否有完整性保證措施,具體措施有哪些;b）應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng),查看其是杳配備檢測(cè)重要用戶(hù)數(shù)據(jù)在傳輸過(guò)程中完整性受到破壞的功能。結(jié)果判定如果.2b）為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。備份和恢復(fù)測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008。測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談網(wǎng)絡(luò)管理員，詢(xún)問(wèn)是否對(duì)網(wǎng)絡(luò)設(shè)備中的配置文件進(jìn)行備份，備份策略是什么;當(dāng)其受到破壞時(shí)，恢復(fù)策略是什么;b）應(yīng)訪(fǎng)談系統(tǒng)管理員，詢(xún)問(wèn)是否對(duì)操作系統(tǒng)中的重要信息進(jìn)行備份，備份策略是什么:當(dāng)其受到破壞時(shí),恢復(fù)策略是什么:c）應(yīng)訪(fǎng)談數(shù)據(jù)庫(kù)管理員，詢(xún)問(wèn)是否對(duì)數(shù)據(jù)庫(kù)管理系統(tǒng)中的關(guān)鍵數(shù)據(jù)進(jìn)行備份,備份策略是什么;當(dāng)其受到破壞時(shí),恢復(fù)策略是什么;d）應(yīng)訪(fǎng)談安全管理員,詢(xún)問(wèn)是否對(duì)應(yīng)用系統(tǒng)中的應(yīng)用程序進(jìn)行備份，備份策略是什么:當(dāng)其受到破壞時(shí)，恢復(fù)策略是什么;e）應(yīng)檢查關(guān)鍵主機(jī)操作系統(tǒng)、關(guān)鍵網(wǎng)絡(luò)設(shè)備、關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)和關(guān)鍵應(yīng)用系統(tǒng),査看其是否提供備份和恢復(fù)功能,備份和恢復(fù)功能的配置是否正確,并且查看實(shí)際備份結(jié)果是否與備份策略一致。結(jié)果判定如果.2e）為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.2安全管理測(cè)評(píng)安全管理制度管理制度測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-20080測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)檢査各項(xiàng)安全管理制度，査看是否覆蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、建設(shè)和管理等層面。結(jié)果判定如果.2a）為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。制定和發(fā)布測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008。測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談安全主管,詢(xún)問(wèn)是否有專(zhuān)人負(fù)責(zé)制定安全管理制度;b）應(yīng)訪(fǎng)談安全管理制度制、修訂人員,詢(xún)問(wèn)安全管理制度的發(fā)布方式，是否能夠發(fā)布到相關(guān)人員手中。結(jié)果判定如果52122a）和b）均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。安全管理機(jī)構(gòu)崗位設(shè)置測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008。測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談安全主管,詢(xún)問(wèn)信息系統(tǒng)設(shè)置了哪些工作崗位,各個(gè)崗位的職責(zé)分工是否明確:b）應(yīng)檢查崗位職責(zé)分エ文檔，查看其定義的崗位職貢中是否包括系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位的職責(zé)。結(jié)果判定如果.2a）和b）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。人員配備測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008?測(cè)評(píng)實(shí)施本項(xiàng)要求包括：a）應(yīng)訪(fǎng)談安全主管,詢(xún)問(wèn)各個(gè)安全管理崗位的人員配備情況;b）應(yīng)檢查安全管理各崗位人員信息表,查看其是否明確機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和安全管理員等重要崗位人員的信息。結(jié)果判定如果.2a）和b）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。授權(quán)和審批見(jiàn)GB/T22239-2008522.3.測(cè)評(píng)實(shí)施本項(xiàng)要求包拈:a）應(yīng)訪(fǎng)談安全主管,詢(xún)問(wèn)其是否需要對(duì)信息系統(tǒng)中的關(guān)鍵活動(dòng)進(jìn)行審批,審批部門(mén)是何部門(mén),批準(zhǔn)人是何人，他們的審批活動(dòng)是否得到授權(quán):b）應(yīng)訪(fǎng)談安全主管,詢(xún)問(wèn)其對(duì)關(guān)鍵活動(dòng)的審批范圍。結(jié)果判定如果522.3.2a）和b）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本的元測(cè)評(píng)指標(biāo)要求。溝通和合作測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008522.4。測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談安全主管,詢(xún)問(wèn)是否經(jīng)常與公安機(jī)關(guān)、電信公司和兄弟単位聯(lián)系，聯(lián)系和合作方式有哪些:b）應(yīng)檢査外聯(lián)單位說(shuō)明文檔,查看外聯(lián)單位是否包含公安機(jī)關(guān)、電信公司及兄弟單位，是否說(shuō)明外聯(lián)單位的聯(lián)系人和聯(lián)系方式等內(nèi)容。結(jié)果判定如果522.4.2a）和b）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。人員安全管理人員錄用測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008523.1。本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談安全主管,詢(xún)問(wèn)是否有專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)人員的錄用丄作,由何部門(mén)/何人負(fù)責(zé);b）應(yīng)訪(fǎng)談人事管理相關(guān)人員,詢(xún)問(wèn)在人員錄用時(shí)對(duì)人員條件有哪些耍求,是否對(duì)被錄用人的身份和專(zhuān)業(yè)資格進(jìn)行審查;c）應(yīng)檢査人員錄用要求管理文檔，査看是否說(shuō)明錄用人員應(yīng)具備的條件（如學(xué)歷、學(xué)位要求,技術(shù)人員應(yīng)具備的專(zhuān)業(yè)技術(shù)水平，管理人員應(yīng)具備的安全管理知識(shí)等）；d）應(yīng)檢查是否具有人員錄用時(shí)對(duì)錄用人身份、專(zhuān)業(yè)資格等進(jìn)行審查的相關(guān)文檔或記錄，查看是否記錄審查內(nèi)容和審查結(jié)果等。.3結(jié)果判定如果.2a）-d）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。人員離崗測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008523.2。測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談安全主:管,詢(xún)問(wèn)是否及時(shí)終止離崗人員的所有訪(fǎng)問(wèn)權(quán)限，取回各種身份證件、鑰匙、徽章以及機(jī)構(gòu)提供的軟硬件設(shè)備等:b）應(yīng)檢查是否具有對(duì)離崗人員的安全處理記錄（如交還身份證件、設(shè)備等的登記記錄）。結(jié)果判定如果.2a）和b）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。安全意識(shí)教育和培訓(xùn)測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008523.3。測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談安全主:管,詢(xún)問(wèn)是否對(duì)各個(gè)崗位人員進(jìn)行安全教育和崗位技能培訓(xùn),告知相關(guān)的安全知識(shí)、安全責(zé)任和懲戒措施,具體的培訓(xùn)方式有哪些;b）應(yīng)訪(fǎng)談安全管理員，考查其對(duì)工作相關(guān)的信息安全基礎(chǔ)知識(shí)、安全責(zé)任和懲戒措施等的理解程度。結(jié)果判定如果523.3.2a）和b）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。外部人員訪(fǎng)問(wèn)管理測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008,測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談安全管理員，詢(xún)問(wèn)對(duì)外部人員訪(fǎng)問(wèn)重要區(qū)域（如訪(fǎng)問(wèn)機(jī)房、重要服務(wù)器或設(shè)備Iメ等）采取了哪些安全措施，是否經(jīng)有關(guān)部門(mén)或負(fù)責(zé)人批準(zhǔn)才能訪(fǎng)問(wèn):b）應(yīng)檢査外部人員訪(fǎng)問(wèn)管理文檔,査看是否有對(duì)外部人員訪(fǎng)問(wèn)機(jī)房等重要區(qū)域應(yīng)經(jīng)過(guò)相關(guān)部門(mén)或負(fù)責(zé)人批準(zhǔn)的內(nèi)容。結(jié)果判定如果523.4.2a）和b）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。系統(tǒng)建設(shè)管理系統(tǒng)定級(jí)測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-20080測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談安全主管,詢(xún)問(wèn)確定信息系統(tǒng)安全保護(hù)等級(jí)的方法是否參照定級(jí)指南的指導(dǎo)，定級(jí)過(guò)程是否有書(shū)面描述;定級(jí)結(jié)果是否獲得了相關(guān)部門(mén)的批準(zhǔn);b）應(yīng)檢查系統(tǒng)定級(jí)文檔，查看文檔是否明確信息系統(tǒng)的邊界和信息系統(tǒng)的安全保護(hù)等級(jí),是否說(shuō)明定級(jí)的方法和理由,査看定級(jí)結(jié)果是否有相關(guān)部門(mén)的批準(zhǔn)蓋章。結(jié)果判定本項(xiàng)要求包括:a）.2a）沒(méi)有上級(jí)主管部門(mén)的,如果有本單位信息安全主管領(lǐng)導(dǎo)的批準(zhǔn),則該項(xiàng)為肯定;b）如果524.1.2a）和b）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。安全方案設(shè)計(jì)測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008524.2。測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談系統(tǒng)建設(shè)負(fù)責(zé)人，詢(xún)問(wèn)是否根據(jù)系統(tǒng)的安全級(jí)別選擇基本安全措施,是否依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施，具體做過(guò)哪些調(diào)整;b）應(yīng)檢査系統(tǒng)的安全方案,査看方案是否描述系統(tǒng)的安全保護(hù)要求，是否詳細(xì)描述了系統(tǒng)的安全策略，是否詳細(xì)描述了系統(tǒng)采取的安全措施等內(nèi)容;c）應(yīng)檢查系統(tǒng)的詳細(xì)設(shè)計(jì)方案,查看詳細(xì)設(shè)計(jì)方案是否對(duì)應(yīng)安全方案進(jìn)行細(xì)化，是否有安全建設(shè)方案和安全產(chǎn)品采購(gòu)方案。結(jié)果判定如.2a）-c）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。產(chǎn)品采購(gòu)和使用測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008524.3。測(cè)評(píng)實(shí)施本項(xiàng)要求包括;a）應(yīng)訪(fǎng)談系統(tǒng)建設(shè)負(fù)責(zé)人,詢(xún)問(wèn)信息安全產(chǎn)品的采購(gòu)情況，是否有產(chǎn)品采購(gòu)清單指導(dǎo)產(chǎn)品采購(gòu)，釆購(gòu)過(guò)程如何控制;b）應(yīng)訪(fǎng)談系統(tǒng)建設(shè)負(fù)責(zé)人,詢(xún)問(wèn)系統(tǒng)使用的有關(guān)信息安全產(chǎn)品是否符合國(guó)家的有關(guān)規(guī)定。結(jié)果判定如果524.3.2a）和b）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。.1測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008524.4.測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談系統(tǒng)建設(shè)負(fù)責(zé)人,詢(xún)問(wèn)是否進(jìn)行自主開(kāi)發(fā)軟件,自主開(kāi)發(fā)軟件是否在獨(dú)立的模擬環(huán)境中編寫(xiě)、調(diào)試和完成:b）應(yīng)訪(fǎng)談系統(tǒng)建設(shè)負(fù)責(zé)人,詢(xún)問(wèn)軟件設(shè)計(jì)相美文檔是否由專(zhuān)人負(fù)責(zé)保管，負(fù)責(zé)人是何人;c）應(yīng)檢査是否具有軟件設(shè)計(jì)相關(guān)文檔。結(jié)果判定如果524.4.2a）そ）均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。外包軟件開(kāi)發(fā)測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008524.5。測(cè)評(píng)實(shí)施本項(xiàng)要求包括：a）應(yīng)訪(fǎng)談系統(tǒng)建設(shè)負(fù)責(zé)人，詢(xún)問(wèn)軟件交付前是否依據(jù)開(kāi)發(fā)要求的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收測(cè)試，軟件安裝之前是否檢測(cè)軟件中的惡意代碼;b）應(yīng)檢査是否具有需求分析說(shuō)明書(shū)、軟件設(shè)計(jì)說(shuō)明書(shū)、軟件操作手冊(cè)等軟件開(kāi)發(fā)文檔和使用指南。5.2.4,5.3結(jié)果判定如果.2a）和b）均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。丄程實(shí)施測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-20085.246。測(cè)評(píng)實(shí)施應(yīng)訪(fǎng)談系統(tǒng)建設(shè)負(fù)責(zé)人,詢(xún)問(wèn)是否指定專(zhuān)門(mén)部門(mén)或人員對(duì)工程實(shí)施過(guò)程進(jìn)行進(jìn)度和質(zhì)量控制,由何部門(mén)/何人負(fù)責(zé)。結(jié)果判定如果.2為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)試驗(yàn)收測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-20085.247。測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談系統(tǒng)建設(shè)負(fù)責(zé)人，詢(xún)問(wèn)在信息系統(tǒng)建設(shè)完成后是否對(duì)其進(jìn)行安全性測(cè)試驗(yàn)收;b）應(yīng)檢查工程測(cè)試驗(yàn)收方案,查看其是否明確說(shuō)明參與測(cè)試的部門(mén)、人員、測(cè)試驗(yàn)收內(nèi)容、現(xiàn)場(chǎng)操作過(guò)程等內(nèi)容:c）應(yīng)檢查測(cè)試驗(yàn)收記錄是否詳細(xì)記錄了測(cè)試時(shí)間、人員、現(xiàn)場(chǎng)操作過(guò)程和測(cè)試驗(yàn)收結(jié)果等方面內(nèi)容:d）應(yīng)檢查是否具有系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告。結(jié)果判定如果5.247.2a）-d）均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.2.4,8系統(tǒng)交付測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008524.8。測(cè)評(píng)實(shí)施本項(xiàng)要求包括：a）應(yīng)訪(fǎng)談系統(tǒng)建設(shè)負(fù)責(zé)人,詢(xún)問(wèn)系統(tǒng)交接」二作是杳根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)：b）應(yīng)訪(fǎng)談系統(tǒng)建設(shè)負(fù)責(zé)人，詢(xún)問(wèn)冃前的信息系統(tǒng)是否由內(nèi)部人員獨(dú)立運(yùn)行維護(hù)，如果是，系統(tǒng)正式運(yùn)行前是否對(duì)運(yùn)行維護(hù)人員進(jìn)行過(guò)培訓(xùn)，針對(duì)哪些方面進(jìn)行過(guò)培訓(xùn):c）應(yīng)檢査是否具有系統(tǒng)交付清單說(shuō)明系統(tǒng)交付的各類(lèi)設(shè)備、軟件、文檔等：d）應(yīng)檢杏是否具有系統(tǒng)建設(shè)文檔、指導(dǎo)用戶(hù)進(jìn)行系統(tǒng)運(yùn)維的文檔、系統(tǒng)培訓(xùn)手冊(cè)等。結(jié)果判定如果2a）-d）均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。安全服務(wù)商選擇測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008?測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談系統(tǒng)建設(shè)負(fù)責(zé)人，詢(xún)問(wèn)信息系統(tǒng)選擇的安全服務(wù)商有哪些,是否符合國(guó)家有關(guān)規(guī)定;b）應(yīng)檢査是否具有與安全服務(wù)商簽訂的安全責(zé)任合同書(shū)或保密協(xié)議等文檔,査看其內(nèi)容是否包含保密范陽(yáng)、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等。結(jié)果判定如果524.9.2a）和b）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.2.5系統(tǒng)運(yùn)維管理環(huán)境管理測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008〇測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談系統(tǒng)運(yùn)維負(fù)責(zé)人,詢(xún)問(wèn)是否有專(zhuān)門(mén)的部門(mén)或人員對(duì)機(jī)房基礎(chǔ)設(shè)施進(jìn)行定期維護(hù),由何部門(mén)/何人負(fù)責(zé),維護(hù)周期多長(zhǎng);b）應(yīng)訪(fǎng)談系統(tǒng)運(yùn)維負(fù)責(zé)人,詢(xún)問(wèn)對(duì)機(jī)房的出入、服務(wù)器開(kāi)利［Z關(guān)機(jī)如何進(jìn)行管理;c）應(yīng)檢查機(jī)房安全管理制度，查看其內(nèi)容是否覆蓋機(jī)房物理訪(fǎng)問(wèn)、物品帶進(jìn)/帶出機(jī)房和機(jī)房環(huán)境安全等方面。結(jié)果判定如果.2a）-c）均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。資產(chǎn)管理測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008525.20測(cè)評(píng)實(shí)施應(yīng)檢査資產(chǎn)清単?,査看其內(nèi)容是否覆蓋資產(chǎn)責(zé)任部門(mén)、責(zé)任人、所處位置和重要程度等方面;結(jié)果判定如果52522為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。介質(zhì)管理測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-20085.253。測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談資產(chǎn)管理員,詢(xún)問(wèn)介質(zhì)的存放環(huán)境是否采取保護(hù)措施防止介質(zhì)被盜、被毀、介質(zhì)內(nèi)存儲(chǔ)信息被未授權(quán)修改以及非法泄漏等:b）應(yīng)訪(fǎng)談資產(chǎn)管理員,詢(xún)問(wèn)是否根據(jù)介質(zhì)的目錄清單對(duì)介質(zhì)的使用現(xiàn)狀進(jìn)行定期檢査:c）應(yīng)檢査介質(zhì)管理記錄,査看其是否記錄介質(zhì)歸檔和査詢(xún)等情況。結(jié)果判定本項(xiàng)要求包括:a）如果.2a）中在防火、防水、防盜等方面均有措施，則為肯定;b）如果.2a）-c）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。設(shè)備管理測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008525.4。本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談資產(chǎn)管理員,詢(xún)問(wèn)是否有專(zhuān)門(mén)的部門(mén)或人員對(duì)各種設(shè)備、線(xiàn)路進(jìn)行定期維護(hù),對(duì)各類(lèi)測(cè)試エ具進(jìn)行有效性檢查,由何部門(mén)/何人負(fù)責(zé),維護(hù)周期多長(zhǎng):b）應(yīng)訪(fǎng)談資產(chǎn)管理員,詢(xún)問(wèn)是否對(duì)設(shè)備選用的各個(gè)環(huán)節(jié)（選型、釆購(gòu)、發(fā)放和領(lǐng)用等）進(jìn)行審批控制;c）應(yīng)檢查設(shè)備安全管理制度,查看其內(nèi)容是否明確對(duì)各種軟硬件設(shè)備的選型、采購(gòu)、發(fā)放和領(lǐng)用等環(huán)節(jié)進(jìn)行申報(bào)和審批。結(jié)果判定如果52542a）そ）均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。網(wǎng)絡(luò)安全管理測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-20085.255。測(cè)評(píng)實(shí)施本項(xiàng)要求包拈:a）應(yīng)訪(fǎng)談安全主管,詢(xún)問(wèn)是否指定人員負(fù)責(zé)維護(hù)網(wǎng)絡(luò)運(yùn)行H志、監(jiān)控記錄和分析處理報(bào)警信息等網(wǎng)絡(luò)安全管理工作:b）應(yīng)訪(fǎng)談安全管理員,詢(xún)問(wèn)是否定期對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞掃描，掃描周期多長(zhǎng),發(fā)現(xiàn)漏洞是否及時(shí)修補(bǔ);c）應(yīng)檢査網(wǎng)絡(luò)漏洞掃描報(bào)告,檢査掃描時(shí)間間隔與掃描周期是否一致。結(jié)果判定如果52552a）-c）均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。系統(tǒng)安全管理測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008?測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談系統(tǒng)管理員，詢(xún)問(wèn)是否根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析制定系統(tǒng)的訪(fǎng)問(wèn)控制策略,控制分配信息系統(tǒng)、文件及服務(wù)的訪(fǎng)問(wèn)權(quán)限:是否及時(shí)安裝最新安全補(bǔ)丁程序和進(jìn)行漏洞修補(bǔ),在安裝系統(tǒng)補(bǔ)丁前是否對(duì)重要文件進(jìn)行備份;b）應(yīng)訪(fǎng)談安全管理員,詢(xún)問(wèn)是否定期對(duì)系統(tǒng)進(jìn)行漏洞掃描,掃描周期多長(zhǎng),發(fā)現(xiàn)漏洞是否及時(shí)修補(bǔ):c）應(yīng)檢查系統(tǒng)漏洞掃描報(bào)告,檢查掃描時(shí)間間隔與掃描周期是否一致。結(jié)果判定如果5.256.2a）-c）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。惡意代碼防范管理測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-20085.257。測(cè)評(píng)實(shí)施應(yīng)訪(fǎng)談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢(xún)問(wèn)是否對(duì)員エ進(jìn)行基本惡意代碼防范意識(shí)的教育，是否告知應(yīng)及時(shí)升級(jí)軟件版本,使用外來(lái)設(shè)備、網(wǎng)絡(luò)上接收文件和外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前應(yīng)進(jìn)行病毒檢査等.結(jié)果判定如果.2為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。備份與恢復(fù)管理測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-20085.258。測(cè)評(píng)實(shí)施本項(xiàng)耍求包括:a）應(yīng)訪(fǎng)談系統(tǒng)管理員和數(shù)據(jù)庫(kù)管理員,詢(xún)問(wèn)是否識(shí)別出需要定期備份的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)和軟件系統(tǒng)，主要有哪些;b）應(yīng)檢查備份管理文檔,查看其是否明確備份方式、備份頻度、存儲(chǔ)介質(zhì)和保存期等方面內(nèi)容。5.2.5.S.3結(jié)果判定如果525.8.2a）和b）為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。見(jiàn)GB/T22239-20085.259。.2測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談系統(tǒng)運(yùn)維負(fù)責(zé)人,詢(xún)問(wèn)是否告知用戶(hù)在發(fā)現(xiàn)安全弱點(diǎn)和可疑事件時(shí)應(yīng)及時(shí)報(bào)告;b）應(yīng)檢杏安全事件報(bào)告和處置管理制度,査看其是否明確安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)。.3結(jié)果判定如果.2a）和b）為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。6第二級(jí)信息系統(tǒng)單元測(cè)評(píng)安全技術(shù)測(cè)評(píng)物理安全物理位置的選擇測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008。測(cè)評(píng)實(shí)施本項(xiàng)要求包拈:a）應(yīng)訪(fǎng)談物理安全負(fù)責(zé)人,詢(xún)問(wèn)現(xiàn)有機(jī)房和放置終端計(jì)算機(jī)設(shè)備的辦公場(chǎng)地的環(huán)境條件是否能夠滿(mǎn)足信息系統(tǒng)業(yè)務(wù)需求和安全管理需求,是否具有基本的防震、防風(fēng)和防雨等能力:b）應(yīng)檢查機(jī)房和辦公場(chǎng)地是否在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。結(jié)果判定如果.2b）為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。見(jiàn)GB/T22239-2008。測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談物理安全負(fù)責(zé)人,了解部署了哪些控制人員進(jìn)出機(jī)房的保護(hù)措施:b）應(yīng)檢査機(jī)房安全管理制度,査看是否有關(guān)于機(jī)房出入方面的規(guī)定;c）應(yīng)檢查機(jī)房出入口是否有專(zhuān)人值守，是否有值守記錄及人員進(jìn)入機(jī)房的登記記錄;檢查機(jī)房是否不存在專(zhuān)人值守之外的其他出入口;d）應(yīng)檢査是否有來(lái)訪(fǎng)人員進(jìn)入機(jī)房的審批記錄,査看審批記錄是否包括來(lái)訪(fǎng)人員的訪(fǎng)問(wèn)范圍。結(jié)果判定如果.2b）-d）均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。防盜竊和防破環(huán)測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008,測(cè)評(píng)實(shí)施本項(xiàng)要求包拈;a）應(yīng)訪(fǎng)談物理安全負(fù)責(zé)人,了解采取了哪些防止設(shè)備、介質(zhì)等丟失的保護(hù)措施:b）應(yīng)訪(fǎng)談機(jī)房維護(hù)人員,詢(xún)問(wèn)關(guān)鍵設(shè)備放置位置是否做到安全可控，設(shè)備或主要部件是否進(jìn)行了固定和標(biāo)記,通信線(xiàn)纜是否鋪設(shè)在隱蔽處；是否對(duì)機(jī)房安裝的防盜報(bào)警設(shè)施并定期進(jìn)行維護(hù)檢査;c）應(yīng)訪(fǎng)談資產(chǎn)管理員，介質(zhì)是否進(jìn)行了分類(lèi)標(biāo)識(shí)管理，介質(zhì)是否存放在介質(zhì)庫(kù)或檔案室內(nèi)進(jìn)行管理;d）應(yīng)檢査關(guān)鍵設(shè)備是否放置在機(jī)房?jī)?nèi)或其它不易被盜竊和破壞的可控范圍內(nèi)；檢査關(guān)鍵設(shè)備或設(shè)備的主要部件的固定情況，查看其是否不易被移動(dòng)或被搬走,是否設(shè)置明顯的不易除去的標(biāo)記;e）應(yīng)檢查通信線(xiàn)纜鋪設(shè)是否在隱蔽處;f）應(yīng)檢查機(jī)房防盜報(bào)警設(shè)施是否正常運(yùn)行,并查看是否有運(yùn)行和報(bào)警記錄；g）應(yīng)檢査介質(zhì)的管理情況，査看介質(zhì)是否有正確的分類(lèi)標(biāo)識(shí),是否存放在介質(zhì)庫(kù)或檔案室內(nèi)。結(jié)果判定如果.2d）-g）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)耍求。防雷擊見(jiàn)GB/T22239-2008?測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談物理安全負(fù)責(zé)人,詢(xún)問(wèn)為防止雷擊事件導(dǎo)致重要設(shè)備被破壞采取了哪些防護(hù)措施,機(jī)房建筑是否設(shè)置了避雷裝置,是否通過(guò)驗(yàn)收或國(guó)家有關(guān)部門(mén)的技術(shù)檢測(cè);詢(xún)問(wèn)機(jī)房計(jì)算機(jī)供電系統(tǒng)是否有交流電源地線(xiàn);b）應(yīng)檢查機(jī)房建筑是否有避雷裝置，是否有交流地線(xiàn);結(jié)果判定如果.2b）為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。防火測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008.測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談物理安全負(fù)責(zé)人，詢(xún)問(wèn)機(jī)房是否設(shè)置了滅火設(shè)備,是否設(shè)置了火災(zāi)自動(dòng)報(bào)警系統(tǒng)，是否有人負(fù)責(zé)維護(hù)該系統(tǒng)的運(yùn)行,是否制定了有關(guān)機(jī)房消防的管理制度和消防預(yù)案,是否進(jìn)行了消防培訓(xùn);b）應(yīng)訪(fǎng)談機(jī)房維護(hù)人員，詢(xún)問(wèn)是否對(duì)火災(zāi)自動(dòng)報(bào)警系統(tǒng)定期進(jìn)行檢査和維護(hù):c）應(yīng)檢查機(jī)房是否設(shè)置了滅火設(shè)備,滅火設(shè)備擺放位置是否合理，其有效期是否合格:應(yīng)檢查機(jī)房火災(zāi)自動(dòng)報(bào)警系統(tǒng)是否正常工作,查看是否有運(yùn)行記錄、報(bào)警記錄、定期檢查和維修記錄。結(jié)果判定如果.2a）-c）均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。防水和防潮測(cè)評(píng)指標(biāo)本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談物理安全負(fù)責(zé)人,詢(xún)問(wèn)機(jī)房是否部署了防水防潮措施;如果機(jī)房?jī)?nèi)有上rr水管安裝,是否避免穿過(guò)屋頂和活動(dòng)地板下,穿過(guò)墻壁和樓板的水管是否采取了可蓋的保護(hù)措施;在濕度較高的地區(qū)或季節(jié)是否有人負(fù)責(zé)機(jī)房防水防潮事宜,配備除濕裝置；b）應(yīng)訪(fǎng)談機(jī)房維護(hù)人員，詢(xún)問(wèn)機(jī)房是否沒(méi)有出現(xiàn)過(guò)漏水和返潮事件;如果機(jī)房?jī)?nèi)有上rr水管安裝,是否經(jīng)常檢査其漏水情況;在濕度較高地區(qū)或季節(jié)是否有人負(fù)責(zé)機(jī)房防水防潮事宜,使用除濕裝置除濕;如果出現(xiàn)機(jī)房水蒸氣結(jié)露和地卜積水的轉(zhuǎn)移與滲透現(xiàn)象是否及時(shí)采取防范措施；C）應(yīng)檢査穿過(guò)主機(jī)房墻壁或樓板的管道是否配置套管,管道與套管之間是否采取可靠的密封措施；d）應(yīng)檢查機(jī)房的窗戶(hù)、屋頂和墻壁等是否未出現(xiàn)過(guò)漏水、滲透和返潮現(xiàn)象,機(jī)房及其環(huán)境是否不存在明顯的漏水和返潮的威脅；如果出現(xiàn)漏水、滲透和返潮現(xiàn)象,則查看是否能夠及時(shí)修復(fù)解決;e）對(duì)濕度較髙的地區(qū),應(yīng)檢查機(jī)房是否有濕度記錄，是否有除濕裝置并能夠正常運(yùn)行,是否有防止出現(xiàn)機(jī)房地ド積水的轉(zhuǎn)移與滲透的措施,是否有防水防潮處理記錄。結(jié)果判定如果.2c）-e）均為肯定,則信息系統(tǒng)符合本単元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)耍求。防靜電測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008。測(cè)評(píng)實(shí)施本項(xiàng)要求包拈;a）應(yīng)訪(fǎng)談物理安全負(fù)責(zé)人,詢(xún)問(wèn)關(guān)鍵設(shè)備是否采取用必要的防靜電措施,機(jī)房是否不存在靜電問(wèn)題或因靜電引發(fā)的安全事件；b）應(yīng)檢査關(guān)鍵設(shè)備是否有安全接地，杏看機(jī)房是否不存在明顯的靜電現(xiàn)象。結(jié)果判定如果.2b）為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)耍求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。溫濕度控制測(cè)評(píng)指標(biāo)本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談物理安全負(fù)責(zé)人,詢(xún)問(wèn)機(jī)房是否配備了溫濕度自動(dòng)調(diào)節(jié)設(shè)施,保證溫濕度能夠滿(mǎn)足計(jì)覓機(jī)設(shè)備運(yùn)行的要求,是否在機(jī)房管理制度中規(guī)定了溫濕度控制的要求,是否有人負(fù)責(zé)此項(xiàng)工作,是否定期檢查和維護(hù)機(jī)房的溫濕度自動(dòng)調(diào)節(jié)設(shè)施，詢(xún)問(wèn)是否沒(méi)有出現(xiàn)過(guò)溫濕度影響系統(tǒng)運(yùn)行的事件:b）應(yīng)檢查溫濕度門(mén)動(dòng)調(diào)節(jié)設(shè)施是否能夠正常運(yùn)行,査看是否有溫濕度記錄、運(yùn)行記錄和維護(hù)記錄;査看機(jī)房溫濕度是否滿(mǎn)足計(jì)算站場(chǎng)地的技術(shù)條件要求。.3結(jié)果判定如果.2b）為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本単元測(cè)評(píng)指標(biāo)要求。電カ供應(yīng)測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008.測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談物理安全負(fù)責(zé)人，詢(xún)問(wèn)計(jì)算機(jī)系統(tǒng)供電線(xiàn)路上是否設(shè)置了穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備;是否設(shè)置了短期備用電源設(shè)備，供電時(shí)間是否滿(mǎn)足系統(tǒng)關(guān)鍵設(shè)備最低電カ供應(yīng)需求;b）應(yīng)檢査機(jī)房,査看計(jì)算機(jī)系統(tǒng)供電線(xiàn)路上的穩(wěn)壓器、過(guò)電壓防護(hù)設(shè)備和短期備用電源設(shè)備是否正常運(yùn)行;c）應(yīng)檢查是否有穩(wěn)壓器、過(guò)電壓防護(hù)設(shè)備以及短期備用電源設(shè)備等的檢查和維護(hù)記錄.結(jié)果判定如果.2b）和C）均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。電磁防護(hù)測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-20080。0.2測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談物理安全負(fù)責(zé)人,詢(xún)問(wèn)電源線(xiàn)和通信線(xiàn)纜是否隔離鋪設(shè),是否沒(méi)有出現(xiàn)過(guò)因電磁「擾等問(wèn)題引發(fā)的故隙;b）應(yīng)檢查機(jī)房布線(xiàn),查看是否做到電源線(xiàn)和通信線(xiàn)纜隔離。0.3結(jié)果判定如果0.2b）為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。網(wǎng)絡(luò)安全結(jié)構(gòu)安全測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008〇測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談網(wǎng)絡(luò)管理員,詢(xún)問(wèn)關(guān)鍵網(wǎng)絡(luò)設(shè)備的性能以及目前業(yè)務(wù)高峰流量情況:b）應(yīng)訪(fǎng)談網(wǎng)絡(luò)管理員,詢(xún)問(wèn)網(wǎng)段劃分情況以及劃分原則;詢(xún)問(wèn)亜要的網(wǎng)段有哪些;c）應(yīng)訪(fǎng)談網(wǎng)絡(luò)管理員，詢(xún)問(wèn)網(wǎng)絡(luò)中帶寬控制情況以及帶寬分配的原則：d）應(yīng)檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，查看其與當(dāng)前運(yùn)行的實(shí)際網(wǎng)絡(luò)系統(tǒng)是否?致;e）應(yīng)檢查網(wǎng)絡(luò)設(shè)計(jì)或驗(yàn)收文檔，查看是否有關(guān)鍵網(wǎng)絡(luò)設(shè)備業(yè)務(wù)處理能力、接入網(wǎng)絡(luò)及核心網(wǎng)絡(luò)的帶寬滿(mǎn)足業(yè)務(wù)髙峰期需要的設(shè)計(jì)或說(shuō)明；f）應(yīng)檢査網(wǎng)絡(luò)設(shè)計(jì)或驗(yàn)收文檔，査看是否有根據(jù)各部門(mén)的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)和網(wǎng)段分配地址段的設(shè)計(jì)或描述。結(jié)果判定本項(xiàng)要求包括:a）如果.2d）イ）缺少相應(yīng)文檔資料,則為否定；b）如果.2d）-f）均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。訪(fǎng)問(wèn)控制測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-20086.122。測(cè)評(píng)實(shí)施本項(xiàng)要求包拈:a）應(yīng)訪(fǎng)談安全管理員,詢(xún)問(wèn)網(wǎng)絡(luò)訪(fǎng)問(wèn)控制措施有哪些:詢(xún)問(wèn)訪(fǎng)問(wèn)控制策略的設(shè)計(jì)原則是什么:詢(xún)問(wèn)網(wǎng)絡(luò)訪(fǎng)問(wèn)控制設(shè)備具備哪些訪(fǎng)問(wèn)控制功能:詢(xún)問(wèn)是否允許撥號(hào)訪(fǎng)問(wèn)網(wǎng)絡(luò):b）應(yīng)檢査邊界網(wǎng)絡(luò)設(shè)備,査看其是否根據(jù)會(huì)話(huà)狀態(tài)信息對(duì)數(shù)據(jù)流進(jìn)行控制,控制粒度是否為網(wǎng)段級(jí);c）應(yīng)檢査邊界網(wǎng)絡(luò)設(shè)備,査看其是否限制具有撥號(hào)訪(fǎng)問(wèn)權(quán)限的用戶(hù)數(shù)量:d）應(yīng)測(cè)試邊界網(wǎng)絡(luò)設(shè)備,可通過(guò)試圖訪(fǎng)問(wèn)未授權(quán)的資源,驗(yàn)證訪(fǎng)問(wèn)控制措施是否能對(duì)未授權(quán)的訪(fǎng)問(wèn)行為進(jìn)行控制,控制粒度是否至少為單個(gè)用戶(hù)。結(jié)果判定如果.2b）-d）均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。安全審計(jì)測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008。測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談安全審計(jì)員,詢(xún)問(wèn)邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備是否開(kāi)啟審計(jì)功能,審計(jì)內(nèi)容包括哪些項(xiàng):詢(xún)問(wèn)審計(jì)記錄的主要內(nèi)容有哪些;b）應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備，查看其審計(jì)策略是否包括網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶(hù)行為等:c）應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備,査看其事件審計(jì)記錄是否包括：事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件成功情況及其他與審計(jì)相關(guān)的信息。結(jié)果判定如果.2b）和C）均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。邊界完整性檢査測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008。本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談安全管理員,詢(xún)問(wèn)是否對(duì)內(nèi)部用戶(hù)私自連接到外部網(wǎng)絡(luò)的行為;b）應(yīng)檢查邊界完整性檢查設(shè)備,查看是否正確設(shè)置了對(duì)網(wǎng)絡(luò)內(nèi)部用戶(hù)私自連接到外部網(wǎng)絡(luò)的行為進(jìn)行有效監(jiān)控的配置;c）應(yīng)測(cè)試邊界完整性檢查設(shè)備,驗(yàn)證其是否能夠有效發(fā)現(xiàn)“非法外聯(lián)”的行為。結(jié)果判定如果.2b）和c）均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。入侵防范測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008。測(cè)評(píng)實(shí)施本項(xiàng)耍求包括:a）應(yīng)訪(fǎng)談安全管理員,詢(xún)問(wèn)網(wǎng)絡(luò)入侵防范措施有哪些:詢(xún)問(wèn)是否有專(zhuān)門(mén)設(shè)備對(duì)網(wǎng)絡(luò)入侵進(jìn)行防范:b）應(yīng)檢查網(wǎng)絡(luò)入侵防范設(shè)備，查看是否能檢測(cè)以下攻擊行為:端口掃描、強(qiáng)力攻擊、木馬后門(mén)攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、網(wǎng)絡(luò)蠕蟲(chóng)攻擊等:c）應(yīng)檢査網(wǎng)絡(luò)入侵防范設(shè)備，査看其規(guī)則庫(kù)是否為最新:d）應(yīng)測(cè)試網(wǎng)絡(luò)入侵防范設(shè)備,驗(yàn)證其檢測(cè)策略是否有效。結(jié)果判定如果.2b）-d）均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。網(wǎng)絡(luò)設(shè)備防護(hù)測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008。測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談網(wǎng)絡(luò)管理員，詢(xún)問(wèn)邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備的防護(hù)措施有哪些:詢(xún)問(wèn)邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備的登錄和驗(yàn)證方式做過(guò)何種配置:詢(xún)問(wèn)遠(yuǎn)程管理的設(shè)備是否采取措施防止鑒別信息被竊聽(tīng):b）應(yīng)訪(fǎng)談網(wǎng)絡(luò)管理員,詢(xún)問(wèn)網(wǎng)絡(luò)設(shè)備的口令策略是什么:c）應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備,查看是否配置了對(duì)登錄用戶(hù)進(jìn)行身份鑒別的功能,ロ令設(shè)置是否有復(fù)雜度和定期修改要求;d）應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備,查看是否配置了鑒別失敗處理功能:e）應(yīng)檢査邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備,査看是否配置了對(duì)設(shè)備遠(yuǎn)程管理所產(chǎn)生的鑒別信息進(jìn)行保護(hù)的功能;f）應(yīng)檢査邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備,査看是否對(duì)網(wǎng)絡(luò)設(shè)備管理員登錄地址進(jìn)行限制;g）應(yīng)對(duì)邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備進(jìn)行滲透測(cè)試,通過(guò)使用各種滲透測(cè)試技術(shù)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行滲透測(cè)試,驗(yàn)證網(wǎng)絡(luò)設(shè)備防護(hù)能力是否符合要求。結(jié)果判定如果.2c）-f）均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。主機(jī)安全身份鑒別測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008。測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談系統(tǒng)管理員和數(shù)據(jù)庫(kù)管理員,詢(xún)問(wèn)操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)的身份標(biāo)識(shí)與鑒別機(jī)制采取何種措施實(shí)現(xiàn);b）應(yīng)訪(fǎng)談系統(tǒng)管理員和數(shù)據(jù)庫(kù)管理員,詢(xún)問(wèn)對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)是否采用了遠(yuǎn)程管理,如果采用了遠(yuǎn)程管理,查看是否采用了防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)的措施；c）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)帳戶(hù)列表，查看管理員用戶(hù)名分配是否唯一；d）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)，查看是否提供了身份鑒別措施，其身份鑒別信息是否具有不易被’冒用的特點(diǎn)，如對(duì)用戶(hù)登錄U令的最小長(zhǎng)度、復(fù)雜度和更換周期進(jìn)行要求和限制；e）應(yīng)檢査關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)，査看是否已配置了鑒別失敗處理功能,設(shè)置了非法登錄次數(shù)的限制值；杏看是否設(shè)置登錄連接超時(shí)處理功能，如自動(dòng)退出。結(jié)果判定如果.2b）-e）均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。訪(fǎng)問(wèn)控制測(cè)評(píng)指標(biāo)測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)的安全策略,查看是否對(duì)重要文件的訪(fǎng)問(wèn)權(quán)限進(jìn)行了限制,對(duì)系統(tǒng)不需耍的服務(wù)、共享路徑等進(jìn)行了禁用或刪除:b）應(yīng)檢査關(guān)鍵數(shù)據(jù)庫(kù)服務(wù)器的數(shù)據(jù)庫(kù)管理員與操作系統(tǒng)管理員是否由不同管理員擔(dān)任;c）應(yīng)檢査關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)，査看匿名/默認(rèn)用戶(hù)的訪(fǎng)問(wèn)權(quán)限是否已被禁用或擰嚴(yán)格限制,是否刪除了系統(tǒng)中多余的、過(guò)期的以及共享的帳戶(hù);d）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)的權(quán)限設(shè)置情況，查看是否依據(jù)安全策略對(duì)用戶(hù)權(quán)限進(jìn)行了限制。結(jié)果判定如果.2a）-d）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。安全審計(jì)測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008。測(cè)評(píng)實(shí)施本項(xiàng)要求包括：a）應(yīng)訪(fǎng)談安全審計(jì)員，詢(xún)問(wèn)主機(jī)系統(tǒng)的安全審計(jì)策略是否包括系統(tǒng)內(nèi)重要用戶(hù)行為、系統(tǒng)資源的異常和重要系統(tǒng)命令的使用等重要的安全相關(guān)事件:b）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)，查看安全審計(jì)配置是否符合安全審計(jì)策略的要求:c）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng),査看審計(jì)記錄信息是否包括事件發(fā)生的II期與時(shí)間、觸發(fā)事件的主體與客體、事件的類(lèi)型、事件成功或失敗、事件的結(jié)果等內(nèi)容;d）應(yīng)檢査關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)，査看是否對(duì)審計(jì)記錄實(shí)施了保護(hù)措施,使其避免受到未預(yù)期的刪除、修改或覆蓋等;結(jié)果判定如果.2b）-d）均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)耍求，否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。入侵防范測(cè)評(píng)指標(biāo)本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談系統(tǒng)管理員,詢(xún)問(wèn)操作系統(tǒng)中所安裝的系統(tǒng)組件和應(yīng)用程序是否都是必須的,詢(xún)問(wèn)操作系統(tǒng)補(bǔ)丁更新的方式和周期;b）應(yīng)檢杏關(guān)鍵服務(wù)器操作系統(tǒng)中所安裝的系統(tǒng)組件和應(yīng)用程序是否都是必須的:c）應(yīng)檢查是否設(shè)置了專(zhuān)門(mén)的升級(jí)服務(wù)器實(shí)現(xiàn)對(duì)關(guān)鍵服務(wù)器操作系統(tǒng)補(bǔ)丁的升級(jí);d）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)的補(bǔ)丁是否得到了及時(shí)安裝。結(jié)果判定如果.2b）-d）均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。惡意代碼防范測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008。測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談系統(tǒng)安全管理員，詢(xún)問(wèn)主機(jī)系統(tǒng)是否采取惡意代碼實(shí)時(shí)檢測(cè)與査殺措施，惡意代碼實(shí)時(shí)檢測(cè)與査殺措施的部署覆蓋范圍如何;b）應(yīng)檢査關(guān)鍵服務(wù)器，査看是否安裝了實(shí)時(shí)檢測(cè)與査殺惡意代碼的軟件產(chǎn)品并進(jìn)行及時(shí)更新;c）應(yīng)檢查防惡意代科產(chǎn)品是否實(shí)現(xiàn)了統(tǒng)一管理O結(jié)果判定如果.2b）-c）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。資源控制測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008。測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)檢查關(guān)健服務(wù)器操作系統(tǒng),查看是否設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄;b）應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng),查看是否設(shè)置了單個(gè)用戶(hù)對(duì)系統(tǒng)資源的最大或最小使用限度;c）應(yīng)檢查能夠訪(fǎng)問(wèn)關(guān)鍵服務(wù)器的終端是否設(shè)置了操作超時(shí)鎖定的配置。結(jié)果判定如果.2a）-c）均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。應(yīng)用安全身份鑒別測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-20080測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談應(yīng)用系統(tǒng)管理員,詢(xún)問(wèn)應(yīng)用系統(tǒng)是否提供專(zhuān)用的登錄控制模塊對(duì)登錄的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別,具體措施有哪些;系統(tǒng)釆取何種措施防止身份鑒別信息被冒用:b）應(yīng)訪(fǎng)談應(yīng)用系統(tǒng)管理員,詢(xún)問(wèn)應(yīng)用系統(tǒng)是否具有登錄失敗處理功能；c）應(yīng)訪(fǎng)談應(yīng)用系統(tǒng)管理員,詢(xún)問(wèn)應(yīng)用系統(tǒng)對(duì)用戶(hù)標(biāo)識(shí)是否具有唯一性;d）應(yīng)檢査設(shè)計(jì)或驗(yàn)收文檔,査看其是否有系統(tǒng)采用了保證唯一標(biāo)識(shí)的措施的描述;e）應(yīng)檢査關(guān)鍵應(yīng)用系統(tǒng),杏看其是否提供身份標(biāo)識(shí)和鑒別功能；査看其身份鑒別信息是否具有不易被冒用的特點(diǎn)；其鑒別信息復(fù)雜度檢査功能是否能保證系統(tǒng)中不存在弱ロ令等；f）應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng),查看其提供的登錄失敗處理功能，是否根據(jù)安全策略配實(shí)了相關(guān)參數(shù);g）應(yīng)測(cè)試關(guān)鍵應(yīng)用系統(tǒng),可通過(guò)試圖以合法和非法用戶(hù)分別登錄系統(tǒng)，查看是否成功，驗(yàn)證其身份標(biāo)識(shí)和鑒別功能是否有效;h）應(yīng)測(cè)試關(guān)鍵應(yīng)用系統(tǒng)，驗(yàn)證其登錄失敗處理功能是否有效。結(jié)果判定本項(xiàng)要求包括:a）如果.2d）中相關(guān)文檔有系統(tǒng)采用了保證用戶(hù)唯一性標(biāo)識(shí)的措施的描述，則為肯定;b）如果.2d）-h）均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。訪(fǎng)問(wèn)控制測(cè)評(píng)指標(biāo)本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談應(yīng)用系統(tǒng)管理員,詢(xún)問(wèn)應(yīng)用系統(tǒng)是否提供訪(fǎng)問(wèn)控制措施,以及具體措施和訪(fǎng)問(wèn)控制策略有哪些,訪(fǎng)問(wèn)控制的粒度如何;b）應(yīng)檢査關(guān)鍵應(yīng)用系統(tǒng),査看系統(tǒng)是否提供訪(fǎng)問(wèn)控制機(jī)制;是否依據(jù)安全策略控制用戶(hù)對(duì)客體的訪(fǎng)問(wèn);c）應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng)，查看其訪(fǎng)問(wèn)控制的覆蓋范圍是否包括與信息安全直接相關(guān)的主:體、客體及它們之間的操作;訪(fǎng)問(wèn)控制的粒度是否達(dá)到主體為用戶(hù)級(jí),客體為文件、數(shù)據(jù)庫(kù)表級(jí);d）應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng)，查看其是否有由授權(quán)用戶(hù)設(shè)置其它用戶(hù)訪(fǎng)問(wèn)系統(tǒng)功能和用戶(hù)數(shù)據(jù)的權(quán)限的功能,是否限制默認(rèn)用戶(hù)的訪(fǎng)問(wèn)權(quán)限:e）應(yīng)檢査關(guān)鍵應(yīng)用系統(tǒng)，査看系統(tǒng)是否授予不同帳戶(hù)為完成各門(mén)承擔(dān)任務(wù)所需的最小權(quán)限,特權(quán)用戶(hù)的權(quán)限是否分離,權(quán)限之間是否相互制約；f）應(yīng)測(cè)試關(guān)鍵應(yīng)用系統(tǒng),可通過(guò)以不同權(quán)限的用戶(hù)登錄系統(tǒng),查看其擁有的權(quán)限是否與系統(tǒng)賦予的權(quán)限?致，驗(yàn)證應(yīng)用系統(tǒng)訪(fǎng)問(wèn)控制功能是否有效；g）應(yīng)測(cè)試關(guān)鍵應(yīng)用系統(tǒng),可通過(guò)以默認(rèn)用戶(hù)登錄系統(tǒng)，并進(jìn)行ー些合法和非法操作,驗(yàn)證系統(tǒng)是否嚴(yán)格限制了默認(rèn)帳戶(hù)的訪(fǎng)問(wèn)權(quán)限。結(jié)果判定如果.2b）-g）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。安全審計(jì)測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008。測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談安全審計(jì)員，詢(xún)問(wèn)應(yīng)用系統(tǒng)是否有安全審計(jì)功能;對(duì)事件進(jìn)行審計(jì)的選擇要求和策略是什么；對(duì)審計(jì)日志的處理方式有哪些;b）應(yīng)檢査關(guān)鍵應(yīng)用系統(tǒng)，査看其當(dāng)前審計(jì)范圍是否覆蓋到每個(gè)用戶(hù);c）應(yīng)檢査關(guān)鍵應(yīng)用系統(tǒng),査看其審計(jì)策略是否覆蓋系統(tǒng)內(nèi)重要的安全相關(guān)事件，例如，用戶(hù)標(biāo)識(shí)與鑒別、訪(fǎng)問(wèn)控制的所有操作記錄、重要用戶(hù)行為、系統(tǒng)資源的異常使用、重要系統(tǒng)命令的使用等;d）應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng),查看其審計(jì)記錄信息是否包括事件發(fā)生的U期與時(shí)間、觸發(fā)事件的主:體與客體、事件的類(lèi)型、事件成功或失敗、身份鑒別事件中請(qǐng)求的來(lái)源、事件的結(jié)果等內(nèi)容;e）應(yīng)測(cè)試重要應(yīng)用系統(tǒng)，在應(yīng)用系統(tǒng)上試圖產(chǎn)生一些重要的安全相關(guān)事件（如用戶(hù)登錄、修改用戶(hù)權(quán)限等），査看應(yīng)用系統(tǒng)是否對(duì)其進(jìn)行了審計(jì),驗(yàn)證應(yīng)用系統(tǒng)安全審計(jì)的覆蓋情況是否覆蓋到每個(gè)用戶(hù)；如果進(jìn)行了審計(jì)則査看審計(jì)記錄內(nèi)容是否包含事件的日期、時(shí)間、發(fā)起者信息、類(lèi)型、描述和結(jié)果等；f）應(yīng)測(cè)試重要應(yīng)用系統(tǒng),試圖非授權(quán)刪除、修改或覆蓋審計(jì)記錄,驗(yàn)證安全審計(jì)的保護(hù)情況是否無(wú)法非授權(quán)刪除、修改或覆蓋審計(jì)記錄。結(jié)果判定如果.2b）-f）均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。通信完整性測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008。測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談安全管理員,詢(xún)問(wèn)應(yīng)用系統(tǒng)是否具有在數(shù)據(jù)傳輸過(guò)程中保護(hù)其完整性的措施，具體措施是什么;b）應(yīng)檢查設(shè)計(jì)或驗(yàn)收文檔，查看其是否有關(guān)于保護(hù)通信完整性的說(shuō)明，如果有則查看文檔中描述的保護(hù)措施是否與依據(jù)驗(yàn)證碼判斷對(duì)方數(shù)據(jù)包的有效性的措施相?致;c）應(yīng)測(cè)試關(guān)鍵應(yīng)用系統(tǒng)，可通過(guò)獲取通信雙方的數(shù)據(jù)包，査看其是否有驗(yàn)證碼。結(jié)果判定如果.2b）和C）均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。通信保密性測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008。測(cè)評(píng)實(shí)施本項(xiàng)耍求包括:a）應(yīng)訪(fǎng)談安全管理員，詢(xún)問(wèn)應(yīng)用系統(tǒng)數(shù)據(jù)在通信過(guò)程中是否采取保密措施,具體措施有哪些，關(guān)鍵應(yīng)用系統(tǒng)的通信是否都采取了上.述措施:b）應(yīng)測(cè)試關(guān)鍵應(yīng)用系統(tǒng),通過(guò)査看通信雙方數(shù)據(jù)包的內(nèi)容，査看系統(tǒng)是否能在通信雙方建立連接之前，利用密碼技術(shù)進(jìn)行會(huì)話(huà)初始化驗(yàn)證;系統(tǒng)在通信過(guò)程中,對(duì)敏感信息字段進(jìn)行加密的功能是否有效。如果.2b）為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。軟件容錯(cuò)測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008。測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談應(yīng)用系統(tǒng)管理員,詢(xún)問(wèn)應(yīng)用系統(tǒng)是否具有保證軟件容錯(cuò)能力的措施，具體措施有哪些;b）應(yīng)檢査關(guān)鍵應(yīng)用系統(tǒng)，査看應(yīng)用系統(tǒng)是否對(duì)人機(jī)接口輸入或通信接口輸入的數(shù)據(jù)進(jìn)行有效性檢驗(yàn):c）應(yīng)測(cè)試關(guān)鍵應(yīng)用系統(tǒng)，可通過(guò)對(duì)人機(jī)接口輸入的不同長(zhǎng)度或格式的數(shù)據(jù)，査看系統(tǒng)的反應(yīng)，驗(yàn)證系統(tǒng)人機(jī)接口有效性檢驗(yàn)功能是否正確;d）應(yīng)測(cè)試關(guān)鍵應(yīng)用系統(tǒng),驗(yàn)證其在故障發(fā)生時(shí)是否繼續(xù)提供?部分功能,確保能夠?qū)嵤┍匾拇胧＝Y(jié)果判定如果.2b）-d）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。資源控制測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008。測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談應(yīng)用系統(tǒng)管理員，詢(xún)問(wèn)應(yīng)用系統(tǒng)是否有資源控制的措施，具體措施有哪些；b）應(yīng)檢査關(guān)鍵應(yīng)用系統(tǒng),査看系統(tǒng)是否仃最大并發(fā)會(huì)話(huà)連接數(shù)的限制:c）應(yīng)檢査關(guān)鍵應(yīng)用系統(tǒng),杏看系統(tǒng)是否對(duì)單個(gè)帳戶(hù)的多重并發(fā)會(huì)話(huà)進(jìn)行限制；d）應(yīng)測(cè)試重要應(yīng)用系統(tǒng)，當(dāng)應(yīng)用系統(tǒng)的通信雙方中的?方在?段時(shí)間內(nèi)未作任何響應(yīng)，查看另?方是否能夠自動(dòng)結(jié)束會(huì)話(huà)。結(jié)果判定如果.2b）-d）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。數(shù)據(jù)完整性測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008〇測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談安全管理員,詢(xún)問(wèn)應(yīng)用系統(tǒng)的鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中是否有完整性保證措施,具體措施有哪些;b）應(yīng)檢查關(guān)鍵キ:機(jī)操作系統(tǒng)、關(guān)鍵網(wǎng)絡(luò)設(shè)備操作系統(tǒng)、關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)和關(guān)鍵應(yīng)用系統(tǒng),查看其是否配備檢測(cè)鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中完整性受到破壞的功能。結(jié)果判定如果.2b）為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。數(shù)據(jù)保密性測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008。測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談網(wǎng)絡(luò)管理員,詢(xún)問(wèn)關(guān)鍵網(wǎng)絡(luò)設(shè)備的鑒別信息否采用加密或其.他有效措施實(shí)現(xiàn)存儲(chǔ)保密性;b）應(yīng)訪(fǎng)談系統(tǒng)管理員，詢(xún)問(wèn)關(guān)鍵主機(jī)操作系統(tǒng)的鑒別信息否釆用加密或其他有效措施實(shí)現(xiàn)存儲(chǔ)保密性:c）應(yīng)訪(fǎng)談數(shù)據(jù)庫(kù)管理員，詢(xún)問(wèn)關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)的鑒別信息否釆用加密或其他有效措施實(shí)現(xiàn)存儲(chǔ)保密性:d）應(yīng)訪(fǎng)談安全管理員,詢(xún)問(wèn)關(guān)鍵應(yīng)用系統(tǒng)的鑒別信息否采用加密或其他有效措施實(shí)現(xiàn)存儲(chǔ)保密性;e）應(yīng)檢査關(guān)鍵主機(jī)操作系統(tǒng)、關(guān)鍵網(wǎng)絡(luò)設(shè)備操作系統(tǒng)、關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)和關(guān)鍵應(yīng)用系統(tǒng)，査看其鑒別信息否采用加密或其他有效措施實(shí)現(xiàn)存儲(chǔ)保密性。結(jié)果判定如果.2e）為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求.備份和恢復(fù)見(jiàn)GB/T22239-20086.153。測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談網(wǎng)絡(luò)管理員,詢(xún)問(wèn)是否對(duì)網(wǎng)絡(luò)設(shè)備中的配置文件進(jìn)行備份,備份策略是什么;當(dāng)其受到破壞時(shí),恢復(fù)策略是什么;是否提供關(guān)鍵網(wǎng)絡(luò)設(shè)備、通信線(xiàn)路的硬件冗余;b）應(yīng)訪(fǎng)談系統(tǒng)管理員，詢(xún)問(wèn)是否對(duì)操作系統(tǒng)中的重要信息進(jìn)行備份,備份策略是什么:當(dāng)其受到破壞時(shí),恢復(fù)策略是什么;是否提供關(guān)鍵服務(wù)器的硬件冗余;c）應(yīng)訪(fǎng)談數(shù)據(jù)庫(kù)管理員,詢(xún)問(wèn)是否對(duì)數(shù)據(jù)庫(kù)管理系統(tǒng)中的關(guān)鍵數(shù)據(jù)進(jìn)行備份,備份策略是什么;當(dāng)其受到破壞時(shí)，恢復(fù)策略是什么；d）應(yīng)訪(fǎng)談安全管理員，詢(xún)問(wèn)是否對(duì)應(yīng)用系統(tǒng)屮的應(yīng)用程序進(jìn)行備份,備份策略是什么；當(dāng)其受到破壞時(shí),恢復(fù)策略是什么；e）應(yīng)檢查關(guān)鍵キ:機(jī)操作系統(tǒng)、關(guān)鍵網(wǎng)絡(luò)設(shè)備、關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)和關(guān)鍵應(yīng)用系統(tǒng),查看其是否提供備份和恢復(fù)功能,其配置是否正確,并且查看其備份結(jié)果是否與備份策略ー一致;f）應(yīng)檢查關(guān)鍵網(wǎng)絡(luò)設(shè)備、通信線(xiàn)路和服務(wù)器是否提供硬件冗余。結(jié)果判定如果.2e）和f）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。6.2安全管理測(cè)評(píng)安全管理制度管理制度測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008〇測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)檢査信息安全工作的總體方針和安全策略文件，査看文件是否明確機(jī)構(gòu)安全工作的總體目標(biāo)、范用、原則和安全框架等;b）應(yīng)檢杏各項(xiàng)安全管理制度，布看是否覆蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、建設(shè)和管理等層面的重要管理內(nèi)容;c）應(yīng)檢查是否具有重要管理操作的操作規(guī)程（如系統(tǒng)維護(hù)手冊(cè)和用戶(hù)操作規(guī)程等）。如果621.1.2a）-c）均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。制定和發(fā)布測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008。測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談安全主管，詢(xún)問(wèn)是否有專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)制定安全管理制度;b）應(yīng)訪(fǎng)談安全管理制度制、修訂人員，詢(xún)問(wèn)安全管理制度的制定程序和發(fā)布方式，是否對(duì)制定的安全管理制度進(jìn)行論證和審定,論證和評(píng)審方式如何;c）應(yīng)檢査管理制度評(píng)審記錄,査看是否有相關(guān)人員的評(píng)審意見(jiàn)。結(jié)果判定如果.2a）七）均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。評(píng)審和修訂測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008。測(cè)評(píng)實(shí)施本項(xiàng)要求包括;a）應(yīng)訪(fǎng)談安全主管,詢(xún)問(wèn)是否定期對(duì)安全管理制度進(jìn)行評(píng)審，評(píng)審周期多長(zhǎng),發(fā)現(xiàn)存在不足或需要改進(jìn)的是否進(jìn)行修訂;b）應(yīng)檢査安全管理制度評(píng)審記錄，査看記錄的日期間隔與評(píng)審周期是否一致；如果對(duì)制度做過(guò)修訂，檢査是否有修訂版本的安全管理制度。結(jié)果判定如果.2a）和b）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)耍求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。安全管理機(jī)構(gòu)見(jiàn)GB/T22239-2008。.2測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談安全主管,詢(xún)問(wèn)設(shè)置了哪些工作崗位,各個(gè)崗位的職責(zé)分工是否明確;詢(xún)問(wèn)是否設(shè)立.安全管理各個(gè)方面的負(fù)責(zé)人;b）應(yīng)訪(fǎng)談安全主管、安全管理某方面的負(fù)責(zé)人,詢(xún)問(wèn)其崗位職責(zé)包括哪些內(nèi)容:c）應(yīng)檢查崗位職責(zé)文檔,查看文檔是否明確設(shè)置安全主管、安全管理各個(gè)方面的負(fù)責(zé)人、機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和安全管理員等各個(gè)崗位,各個(gè)崗位的職責(zé)范圍是否清晰、明確。.3結(jié)果判定如果6.221.2a）ゼ）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。人員配備測(cè)評(píng)指標(biāo)見(jiàn)GB/T22239-2008,測(cè)評(píng)實(shí)施本項(xiàng)要求包拈:a）應(yīng)訪(fǎng)談安全主管,詢(xún)問(wèn)各個(gè)安全管理崗位人員的配備情況,包括數(shù)量、專(zhuān)職還是兼職等;b）應(yīng)檢查安全管理各崗位人員信息表，查看其是否明確機(jī)房管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位人員的信息，確認(rèn)安全管理員是否沒(méi)有兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員等崗位。結(jié)果判定如果.2a）和b）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。授權(quán)和審批見(jiàn)GB/T22239-2008622.3。本項(xiàng)要求包括:a）應(yīng)訪(fǎng)談安全主管,詢(xún)問(wèn)其是否對(duì)信息系統(tǒng)屮的關(guān)鍵活動(dòng)進(jìn)行審批,審批部門(mén)是何部門(mén),批準(zhǔn)人是何人,他們的審批活動(dòng)是否得到授權(quán);b）應(yīng)訪(fǎng)談安全主管,詢(xún)問(wèn)其對(duì)關(guān)鍵活動(dòng)的審批范圍包括哪些，審批程序如何;c）應(yīng)檢查審批管理制度文檔，查看文檔中是否明確對(duì)系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪(fǎng)問(wèn)等關(guān)鍵活動(dòng)進(jìn)行審批的審批部門(mén)和批準(zhǔn)人，是否明確審批程序:d）應(yīng)檢査經(jīng)審批的文檔，査看審批程序與文件要求是否一致，是否冇批準(zhǔn)人的簽字和審批部門(mén)的蓋章。.3結(jié)果判定如果622.