DB21∕T 2082.2-2013 信息系統(tǒng)安全檢查規(guī)范 第2部分：技術(shù)規(guī)范.doc

ICS35.020L70DB21遼寧省地方標(biāo)準(zhǔn)DB 21/ XXXXXXXXX信息系統(tǒng)安全檢查規(guī)范第2部分：技術(shù)規(guī)范Specification for information system security checksPart2: technical Criterion（本稿完成日期：2012-9-13）XXXX - XX - XX發(fā)布XXXX - XX - XX實施遼寧省質(zhì)量技術(shù)監(jiān)督局發(fā)布DBXX/ XXXXXXXXX目次前言V引言VI1范圍12規(guī)范性引用文件13術(shù)語和定義14要求25信息安全防護(hù)體系25.1物理安全25.2平臺安全25.3數(shù)據(jù)安全25.4通信安全35.5應(yīng)用安全35.6運行安全35.7管理安全36信息系統(tǒng)基礎(chǔ)產(chǎn)品檢查36.1IT及相關(guān)產(chǎn)品36.1.1檢查準(zhǔn)備36.1.2檢查對象46.1.3檢查項46.1.4檢查實施46.1.5檢查評估46.2信息安全產(chǎn)品46.2.1檢查準(zhǔn)備46.2.2檢查對象46.2.3檢查項46.2.4檢查實施46.2.5檢查評估57信息安全等級保護(hù)檢查57.1檢查準(zhǔn)備57.2檢查對象57.3檢查項57.4檢查實施57.5檢查評估58技術(shù)要求68.1風(fēng)險評估68.1.1檢查準(zhǔn)備68.1.2檢查對象68.1.3檢查項68.1.4檢查實施68.1.5檢查評估68.2物理安全68.2.1檢查準(zhǔn)備78.2.2檢查對象78.2.3檢查項78.2.4檢查實施78.2.5檢查評估78.3網(wǎng)絡(luò)基礎(chǔ)平臺安全78.3.1檢查準(zhǔn)備78.3.2檢查對象78.3.3檢查項78.3.4檢查實施88.3.4.1測試88.3.4.2設(shè)備檢查88.3.4.3結(jié)構(gòu)檢查88.3.4.4安全功能檢查88.3.5檢查評估88.4系統(tǒng)平臺安全98.4.1檢查準(zhǔn)備98.4.2檢查對象98.4.3檢查項98.4.4檢查實施98.4.4.1測試98.4.4.2安全配置檢查98.4.4.3安全監(jiān)控檢查108.4.5檢查評估108.5應(yīng)用系統(tǒng)安全108.5.1檢查準(zhǔn)備108.5.2檢查對象108.5.3檢查項108.5.4檢查實施108.5.4.1測試118.5.4.2防護(hù)措施檢查118.5.4.2關(guān)鍵字過濾檢查118.5.5檢查評估118.6系統(tǒng)安全平臺檢查118.6.1檢查準(zhǔn)備118.6.2檢查對象128.6.3檢查項128.6.4檢查實施128.6.4.1測試128.6.4.2設(shè)備檢查128.6.4.3安全管理檢查128.6.4.4密碼使用和管理128.6.5檢查評估138.7數(shù)據(jù)安全檢查138.7.1檢查準(zhǔn)備138.7.2檢查對象138.7.3檢查項138.7.4檢查實施138.7.4.1測試138.7.4.2設(shè)備檢查148.7.4.3數(shù)據(jù)管理檢查148.7.4.4備份容災(zāi)檢查148.7.5檢查評估148.8通信安全檢查148.8.1檢查準(zhǔn)備148.8.2檢查對象148.8.3檢查項158.8.4檢查實施158.8.4.1測試158.8.4.2安全域檢查158.8.4.3數(shù)據(jù)傳輸檢查158.8.5檢查評估158.9運行安全檢查158.9.1檢查準(zhǔn)備158.9.2檢查對象168.9.3檢查項168.9.4檢查實施168.9.4.1系統(tǒng)運行檢查168.9.4.2IT服務(wù)檢查168.9.4.3工作環(huán)境檢查168.9.4.4應(yīng)急管理檢查168.9.4.5事件管理檢查168.9.5檢查評估178.10管理安全檢查178.10.1檢查準(zhǔn)備178.10.2檢查對象178.10.3檢查項178.10.4檢查實施188.10.4.1規(guī)范管理檢查188.10.4.2人員管理檢查188.10.4.3資產(chǎn)管理檢查188.10.5檢查評估188.11教育培訓(xùn)檢查198.11.1檢查準(zhǔn)備198.11.2檢查對象198.11.3檢查項198.11.4檢查實施198.11.5檢查評估19前言DB21/Txxxx分為2部分：第1部分：管理規(guī)范第2部分：技術(shù)規(guī)范本部分是DB21/Txxxx的第2部分。本標(biāo)準(zhǔn)依據(jù)GB/T1.1-2009標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)的結(jié)構(gòu)與編寫制定。本標(biāo)準(zhǔn)由大連市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組提出。本標(biāo)準(zhǔn)由遼寧省經(jīng)濟(jì)和信息化委員會歸口。本標(biāo)準(zhǔn)起草單位：大連市經(jīng)濟(jì)和信息化委員會、大連市網(wǎng)絡(luò)與信息安全專家組。本標(biāo)準(zhǔn)主要起草人：郎慶斌、孫鵬、劉剛、李持見、仉宏、董晶、孫毅、楊莉、王小庚、尹宏、汪祖民、夏炳俐。引言信息技術(shù)，特別是物聯(lián)網(wǎng)、云計算、移動互聯(lián)、社交網(wǎng)絡(luò)、三網(wǎng)融合等新興IT技術(shù)的廣泛應(yīng)用和迅速發(fā)展，極大地促進(jìn)了社會發(fā)展、經(jīng)濟(jì)繁榮和人民生活進(jìn)步，網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)性、社會性、全局性日益凸顯，社會、經(jīng)濟(jì)對信息化應(yīng)用的依賴度愈來愈高，對網(wǎng)絡(luò)與信息安全也提出了更高要求。網(wǎng)絡(luò)安全問題嚴(yán)重影響我國政治、經(jīng)濟(jì)、文化等領(lǐng)域的和諧發(fā)展，近年來一些較大級別的基礎(chǔ)網(wǎng)絡(luò)安全事件增多，安全風(fēng)險繼續(xù)處于高危水平，網(wǎng)絡(luò)攻擊和網(wǎng)頁篡改事件頻繁發(fā)生，用戶密碼、賬號被盜比例上升到安全事件的第一位（2010年統(tǒng)計達(dá)到27），社會影響力和關(guān)注度已達(dá)到前所未有的高度。 “震網(wǎng)”病毒攻擊、“谷歌地圖事件”等都警示我們，網(wǎng)絡(luò)信息安全已上升到國家安全的重要層面。為應(yīng)對日益嚴(yán)峻的信息安全形勢，保證信息系統(tǒng)的可信、安全、可控，國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組推進(jìn)重要領(lǐng)域信息系統(tǒng)安全檢查，是重要的保障措施。本規(guī)范是為建立科學(xué)、規(guī)范、有序的信息系統(tǒng)安全檢查環(huán)境編制。20信息系統(tǒng)安全檢查規(guī)范1 范圍本標(biāo)準(zhǔn)規(guī)定了基于信息系統(tǒng)安全防護(hù)體系，信息系統(tǒng)基礎(chǔ)產(chǎn)品檢查、信息安全等級保護(hù)檢查、信息系統(tǒng)安全檢查技術(shù)要求、檢查方式的基本要求。本標(biāo)準(zhǔn)適用于各級黨政機(jī)關(guān)、行業(yè)主管部門為履行職能提供支撐的信息系統(tǒng)的檢查。其它面向社會提供服務(wù)的重要行業(yè)信息系統(tǒng)檢查可參照本標(biāo)準(zhǔn)執(zhí)行。本標(biāo)準(zhǔn)不適用于涉及國家秘密的信息系統(tǒng)安全檢查。2 規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 5271.8 信息技術(shù) 詞匯 第8部分：安全GB/T 20269 信息安全技術(shù) 信息系統(tǒng)安全管理要求GB/T 20984 信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范GB/T 20988 信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范GB/T 21671 基于以太網(wǎng)技術(shù)的局域網(wǎng)系統(tǒng)驗收測評規(guī)范GB/T 22239 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求GB/T 22240 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)定級指南GB/Z 24364 信息安全技術(shù) 信息安全風(fēng)險管理指南中華人民共和國國務(wù)院令（147號） 計算機(jī)信息系統(tǒng)安全保護(hù)條例國密局發(fā)200910號 關(guān)于印發(fā)實施意見的通知DB21/T 1799.1 信息服務(wù)管理規(guī)范 第1部分：總則DB21/T 1799.3 信息服務(wù)管理規(guī)范 第3部分：計算機(jī)信息系統(tǒng)運營和維護(hù)管理DB21/Txxxx.1 信息系統(tǒng)安全檢察規(guī)范 第1部分：管理規(guī)范3 術(shù)語和定義GB/T 5271.8和DB21/Txxxx.1界定的以及下列術(shù)語和定義適用于本部分。3.1 信息系統(tǒng)生命周期 life cycle of information system信息系統(tǒng)開發(fā)方法，包括可行性分析、需求管理、總體規(guī)劃、系統(tǒng)設(shè)計、系統(tǒng)實施、系統(tǒng)運行、系統(tǒng)服務(wù)和系統(tǒng)評估等階段。3.2 安全策略 information security policy為實現(xiàn)安全目標(biāo)制定的約束所有信息安全管理相關(guān)活動的一組規(guī)則。由實施信息安全的組織建立、描述、實施和實現(xiàn)。4 要求信息系統(tǒng)安全檢查技術(shù)規(guī)范，遵循GB/T 20269確立的信息系統(tǒng)安全管理要求。本部分遵循DB21/Txxxx.1確立的管理原則和要求，重點描述信息系統(tǒng)安全檢查邊界、檢查評估內(nèi)容。信息系統(tǒng)安全檢查技術(shù)規(guī)范的一般原則和要求， 參照DB21/Txxxx.1執(zhí)行。在信息系統(tǒng)安全檢查中，應(yīng)同時使用DB21/Txxxx.1和本部分。在信息系統(tǒng)安全檢查中，應(yīng)根據(jù)DB21/Txxxx.1確立的管理原則和要求，制定技術(shù)方案，明確檢查措施、技術(shù)手段。5 信息安全防護(hù)體系5.1 物理安全物理安全主要包括：a）電源管理：將電源有效分配到系統(tǒng)中不同的設(shè)備組件。應(yīng)考慮電源設(shè)備參數(shù)對設(shè)備的影響，如過壓、過流、浪涌、短路等；應(yīng)考慮電源系統(tǒng)的裕量（包括UPS）；b）等電位管理：設(shè)置配電系統(tǒng)、各類電子設(shè)備及附屬設(shè)施（包括所有金屬件）、防雷、防靜電等的接地等電位體，應(yīng)考慮靜電防護(hù)、感應(yīng)雷電可能形成的電磁脈沖和過電壓的干擾和毀壞等；c）設(shè)備管理：信息系統(tǒng)相關(guān)設(shè)備的日常運行和管理；防電磁信息輻射泄漏、防電磁干擾、防線路截獲、電源保護(hù)等；d）媒介安全：各種存儲媒介內(nèi)容和媒介本身安全；e）場地環(huán)境：應(yīng)考慮機(jī)房內(nèi)通風(fēng)、溫度、濕度、灰塵、燈光等的配置；考慮機(jī)柜放置與冷卻效率和制冷單元熱點的關(guān)系；以及可能因功能擴(kuò)大引起的冷卻效率問題等；f）災(zāi)害預(yù)防：應(yīng)考慮物理和自然災(zāi)害發(fā)生的可能性，制定應(yīng)急預(yù)案；考慮設(shè)備防盜、防毀等；g）布線系統(tǒng)：監(jiān)控設(shè)備間、弱電井、機(jī)房等區(qū)域配線設(shè)備、信息插座等設(shè)施及線纜狀態(tài)，以及網(wǎng)絡(luò)通信線路的工作狀態(tài)和可能的故障狀態(tài)；h）監(jiān)控系統(tǒng)管理：監(jiān)控門禁系統(tǒng)、各類監(jiān)控設(shè)備等的運行狀態(tài)、參數(shù)變化、提示信息等。5.2 平臺安全信息系統(tǒng)平臺主要包括：a）網(wǎng)絡(luò)基礎(chǔ)平臺：路由設(shè)備、網(wǎng)絡(luò)交換設(shè)備、存儲設(shè)備等網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全性、可靠性、可用性和可擴(kuò)展性，及網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化等；b）系統(tǒng)平臺：操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)及網(wǎng)絡(luò)協(xié)議等的安全性、可靠性和可用性；c）應(yīng)用系統(tǒng)平臺：支撐系統(tǒng)應(yīng)用的Web、DNS、Mail、中間件等服務(wù)設(shè)施和其它支撐系統(tǒng)應(yīng)用的軟件系統(tǒng)的安全性、可靠性和可用性；d）系統(tǒng)安全平臺：信息系統(tǒng)安全設(shè)施、安全策略、安全機(jī)制、安全級別、病毒防護(hù)、補丁管理等的安全性、有效性和可用性。5.3 數(shù)據(jù)安全a）存儲設(shè)備：服務(wù)器設(shè)備、集群系統(tǒng)、存儲陣列、存儲網(wǎng)絡(luò)等，以及支撐數(shù)據(jù)存儲設(shè)施運行的軟件平臺等數(shù)據(jù)存儲設(shè)施的安全性、可靠性和可用性；b）數(shù)據(jù)管理：1）數(shù)據(jù)質(zhì)量：數(shù)據(jù)的完整性、可靠性、可用性及數(shù)據(jù)管理和數(shù)據(jù)恢復(fù)策略；2）數(shù)據(jù)訪問控制：數(shù)據(jù)訪問控制策略、訪問權(quán)限控制策略、非授權(quán)訪問處理策略等；3）數(shù)據(jù)存儲與容災(zāi)：數(shù)據(jù)存儲、數(shù)據(jù)容災(zāi)策略，制定數(shù)據(jù)存儲事件處理預(yù)案；4）數(shù)據(jù)交換安全：規(guī)劃建設(shè)數(shù)據(jù)安全交換平臺，保證內(nèi)、外網(wǎng)絡(luò)之間數(shù)據(jù)交換的安全。制定數(shù)據(jù)安全交換、交換過程中數(shù)據(jù)的完整性、可靠性、安全性策略；制定數(shù)據(jù)交換事件處理預(yù)案。5.4 通信安全a）數(shù)據(jù)傳輸線路和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全性；b）各項網(wǎng)絡(luò)協(xié)議的安全性；c）數(shù)據(jù)傳輸?shù)陌踩约皵?shù)據(jù)通信的安全策略，制定數(shù)據(jù)通信應(yīng)急處理預(yù)案。5.5 應(yīng)用安全a）應(yīng)用系統(tǒng)可靠性、安全性、可用性測試；b）應(yīng)用系統(tǒng)安全策略；c）應(yīng)用系統(tǒng)訪問控制策略；d）應(yīng)用系統(tǒng)訪問終端安全檢查；e）日志審計等。5.6 運行安全a）信息系統(tǒng)運行狀況監(jiān)測、預(yù)警和管理；b）工作環(huán)境管理，包括工作場地、個人計算機(jī)終端安全性等；c）系統(tǒng)性能評估，包括系統(tǒng)整體架構(gòu)、系統(tǒng)平臺、應(yīng)用系統(tǒng)、數(shù)據(jù)管理、系統(tǒng)安全平臺等的整體安全性、可用性，及業(yè)務(wù)融合度評估等；d）應(yīng)急管理和災(zāi)難預(yù)防恢復(fù)機(jī)制；e）系統(tǒng)更新、升級等。5.7 管理安全a）制定安全防護(hù)體系各個層次和整體的安全管理策略和機(jī)制，建立完善的管理制度；b）日常管理規(guī)范化和標(biāo)準(zhǔn)化；c）制定信息系統(tǒng)安全總體發(fā)展規(guī)劃，包括信息系統(tǒng)安全中長期建設(shè)、應(yīng)用、發(fā)展規(guī)劃；資源整合規(guī)劃安全性；IT治理模式；標(biāo)準(zhǔn)建設(shè)等；d）優(yōu)化、提高系統(tǒng)基礎(chǔ)架構(gòu)（包括硬件基礎(chǔ)平臺、系統(tǒng)平臺、安全平臺、數(shù)據(jù)管理平臺等）的可用性、可靠性和安全性。6 信息系統(tǒng)基礎(chǔ)產(chǎn)品檢查6.1 IT及相關(guān)產(chǎn)品6.1.1 檢查準(zhǔn)備a）IT及相關(guān)產(chǎn)品技術(shù)文檔；b）進(jìn)網(wǎng)許可證、安全審查相關(guān)文檔；c）其它必要的文檔。6.1.2 檢查對象IT產(chǎn)品及相關(guān)文檔。6.1.3 檢查項a）IT產(chǎn)品國產(chǎn)化情況；b）系統(tǒng)軟件、應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等的國產(chǎn)化情況；c）IT產(chǎn)品應(yīng)用情況；d）國外產(chǎn)品的安全審查情況。6.1.4 檢查實施a）查閱IT產(chǎn)品技術(shù)文檔（包括軟件應(yīng)用），確認(rèn)其應(yīng)用范圍；b）查看現(xiàn)有IT產(chǎn)品國產(chǎn)化應(yīng)用；c）如選用國外IT產(chǎn)品，查閱安全審查記錄。6.1.5 檢查評估評估以下各項：a）在滿足應(yīng)用需求情況下，優(yōu)先選用國產(chǎn)化產(chǎn)品；b）IT產(chǎn)品在規(guī)定的應(yīng)用范圍內(nèi)使用；c）如選用國外產(chǎn)品，具有安全審查記錄，且記錄完整、清晰。則此項檢查結(jié)果應(yīng)通過。6.2 信息安全產(chǎn)品6.2.1 檢查準(zhǔn)備a）信息安全產(chǎn)品技術(shù)文檔；b）信息安全產(chǎn)品認(rèn)證、銷售許可相關(guān)文檔；c）其它必要文檔。6.2.2 檢查對象信息安全產(chǎn)品及相關(guān)文檔。6.2.3 檢查項a）信息安全產(chǎn)品國產(chǎn)化情況；b）信息安全產(chǎn)品應(yīng)用情況；c）信息安全產(chǎn)品認(rèn)證、銷售許可情況。6.2.4 檢查實施a）查閱信息安全產(chǎn)品技術(shù)文檔，確認(rèn)其應(yīng)用范圍；b）查看現(xiàn)有信息安全產(chǎn)品國產(chǎn)化情況；c）查閱信息安全產(chǎn)品清單、認(rèn)證和銷售許可證明。6.2.5 檢查評估a）完全選用國產(chǎn)信息安全產(chǎn)品；b）信息安全產(chǎn)品在規(guī)定的應(yīng)用范圍內(nèi)使用；c）信息安全產(chǎn)品已獲得版權(quán)局、公安部、國家密碼管理局等相關(guān)認(rèn)證和銷售許可。則此項檢查結(jié)果應(yīng)通過。7 信息安全等級保護(hù)檢查7.1 檢查準(zhǔn)備a）信息安全等級保護(hù)測評相關(guān)文檔；b）信息安全等級保護(hù)定級相關(guān)文檔；c）信息安全等級保護(hù)備案文檔；d）信息安全等級保護(hù)整改相關(guān)文檔；e）其它相關(guān)文檔。7.2 檢查對象信息安全等級保護(hù)定級、評測、整改、備案情況及相關(guān)管理機(jī)制。7.3 檢查項a）已建、新建信息系統(tǒng)定級、備案；b）信息系統(tǒng)等級準(zhǔn)確性；c）定級報告與信息系統(tǒng)的符合性；d）信息系統(tǒng)變更后定級、備案；e）依據(jù)國家標(biāo)準(zhǔn)選擇測評機(jī)構(gòu)；f）依據(jù)國家標(biāo)準(zhǔn)開展信息系統(tǒng)測評；g）依據(jù)國家標(biāo)準(zhǔn)和實際情況實施整改；h）等級保護(hù)責(zé)任機(jī)構(gòu)、責(zé)任人；i）等級保護(hù)規(guī)章制度、相關(guān)培訓(xùn)；j）等級保護(hù)建設(shè)規(guī)劃。7.4 檢查實施a）定級、備案范圍已覆蓋相關(guān)業(yè)務(wù)系統(tǒng)；b）等級報告符合國家標(biāo)準(zhǔn)；c）等級報告與信息系統(tǒng)實際情況相符合；d）信息系統(tǒng)變更后及時定級、備案；e）測評機(jī)構(gòu)選擇 和等級評測、等級保護(hù)整改和相應(yīng)報告符合相關(guān)標(biāo)準(zhǔn)；f）相關(guān)規(guī)章制度明確了等級保護(hù)工作；g）明確等級保護(hù)責(zé)任機(jī)構(gòu)、責(zé)任主體、責(zé)任人及其職責(zé)；h）等級保護(hù)相關(guān)培訓(xùn)文檔清晰、完整；i）制定等級保護(hù)建設(shè)規(guī)劃、部署和計劃等級保護(hù)開展。7.5 檢查評估評估以下各項：a）具有符合等級保護(hù)定級要求的定級報告、備案證書；b）等級報告符合GB/T 22240要求；c）定級報告符合信息系統(tǒng)實際情況；d）信息系統(tǒng)變更后及時定級、備案；e）定期展開信息系統(tǒng)測評，測評機(jī)構(gòu)和測評符合公信安2010303號要求；f）整改報告滿足公信安20091429號要求，且記錄清晰、完整；g）明確等級保護(hù)責(zé)任機(jī)構(gòu)、責(zé)任主體、責(zé)任人，且職責(zé)明確；h）規(guī)章制度明確信息安全等級保護(hù)工作；i）定期開展等級保護(hù)培訓(xùn)，記錄完整、清晰；j）等級保護(hù)建設(shè)規(guī)劃、工作機(jī)制有效。則此項檢查結(jié)果應(yīng)通過。8 技術(shù)要求8.1 風(fēng)險評估8.1.1 檢查準(zhǔn)備a）信息安全風(fēng)險評估報告；b）其它相關(guān)文檔。8.1.2 檢查對象a）信息系統(tǒng)安全管理機(jī)制；b）信息系統(tǒng)安全防護(hù)體系。8.1.3 檢查項a）信息安全風(fēng)險評估機(jī)制；b）依據(jù)相關(guān)標(biāo)準(zhǔn)實施風(fēng)險評估工作。8.1.4 檢查實施a）信息系統(tǒng)生命周期內(nèi)，信息安全風(fēng)險評估工作情況（包括配置變更、業(yè)務(wù)變化等）；b）信息安全風(fēng)險評估相關(guān)規(guī)章制度；c）風(fēng)險評估報告的嚴(yán)謹(jǐn)性、規(guī)范性和有效性。8.1.5 檢查評估評估以下各項：a）信息安全風(fēng)險評估的有效性和GB/T 20984、GB/Z 24364的符合性；b）管理機(jī)制的科學(xué)性、有效性（包括管理規(guī)章的完整性）；c）風(fēng)險評估的時效和周期；d）風(fēng)險評估報告完整、規(guī)范、有效。則此項檢查結(jié)果應(yīng)通過。8.2 物理安全8.2.1 檢查準(zhǔn)備a）信息系統(tǒng)物理環(huán)境各項技術(shù)圖紙及其它相關(guān)資料；b）信息系統(tǒng)物理環(huán)境相關(guān)的各項文檔；c）信息系統(tǒng)物理環(huán)境檢測、驗收文檔。8.2.2 檢查對象信息系統(tǒng)物理環(huán)境，包括機(jī)房、設(shè)備間、其它配套房間、8.2.1所列各項等。8.2.3 檢查項a）5.1所列各項；b）5.1所列各項相關(guān)設(shè)備、設(shè)施運行、維護(hù)狀況；c）信息系統(tǒng)物理環(huán)境檢測、驗收狀況。8.2.4 檢查實施a）查閱8.2.1所列各項的完整性、規(guī)范性；b）信息系統(tǒng)物理環(huán)境檢測、驗收數(shù)據(jù)的合理性、有效性；c）實地察看信息系統(tǒng)物理環(huán)境現(xiàn)狀。8.2.5 檢查評估評估以下各項：a）獲得正規(guī)、可鑒證的檢測、驗收報告，且結(jié)論認(rèn)定符合設(shè)計要求、達(dá)到質(zhì)量目標(biāo)、滿足檢測、驗收條件；b）5.1所列各項相關(guān)設(shè)備、設(shè)施運行狀態(tài)正常、穩(wěn)定，維護(hù)措施有效；c）經(jīng)實地察看，信息系統(tǒng)物理環(huán)境符合國家相關(guān)標(biāo)準(zhǔn)，5.1所列各項均安全、合理、有效；d）8.2.1所列各項完整、規(guī)范。則此項檢查結(jié)果應(yīng)通過。8.3 網(wǎng)絡(luò)基礎(chǔ)平臺安全8.3.1 檢查準(zhǔn)備a）網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖、網(wǎng)絡(luò)配置文檔；b）網(wǎng)絡(luò)基礎(chǔ)平臺規(guī)劃設(shè)計相關(guān)文檔；c）網(wǎng)絡(luò)基礎(chǔ)平臺測試、驗收相關(guān)文檔；d）其它網(wǎng)絡(luò)基礎(chǔ)設(shè)施相關(guān)文檔。8.3.2 檢查對象網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)安全策略、網(wǎng)絡(luò)基礎(chǔ)平臺相關(guān)文檔。8.3.3 檢查項a）網(wǎng)絡(luò)基礎(chǔ)設(shè)施性能；b）網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計合理性；c）網(wǎng)絡(luò)配置、安全域劃分合理性；d）網(wǎng)絡(luò)設(shè)備安全性；e）網(wǎng)絡(luò)冗余配置；f）網(wǎng)絡(luò)基礎(chǔ)設(shè)施測試、驗收文檔；g）網(wǎng)絡(luò)基礎(chǔ)平臺其它文檔完整性、規(guī)范性。8.3.4 檢查實施8.3.4.1 測試a）網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)工具發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，比對異同；b）網(wǎng)絡(luò)性能測試工具測試網(wǎng)絡(luò)設(shè)備性能；c）漏洞掃描工具掃描網(wǎng)絡(luò)設(shè)備；d）配置核查工具或手工檢查配置核查網(wǎng)絡(luò)設(shè)備。形成測試報告。8.3.4.2 設(shè)備檢查a）網(wǎng)絡(luò)設(shè)備運行、維護(hù)、管理狀況；b）檢查設(shè)備管理記錄、設(shè)備無故障運行時間、故障率等；c）網(wǎng)絡(luò)設(shè)備更新狀況：更新時間、更新記錄、定期檢測等；d）檢查設(shè)備日志內(nèi)容。8.3.4.3 結(jié)構(gòu)檢查a）查看測試文檔，分析網(wǎng)絡(luò)性能、業(yè)務(wù)應(yīng)用滿足度；b）查看網(wǎng)絡(luò)基礎(chǔ)平臺設(shè)計、驗收文檔，分析設(shè)計、驗收數(shù)據(jù)的合理性、適宜性；c）網(wǎng)絡(luò)配置合理性；不同網(wǎng)段（子網(wǎng)）劃分，與工作職能、業(yè)務(wù)重要程度的關(guān)聯(lián)性；內(nèi)、外網(wǎng)安全性；網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)與實際業(yè)務(wù)需求的滿足度；d）網(wǎng)絡(luò)重要節(jié)點、關(guān)鍵路徑的冗余配置；e）查看網(wǎng)絡(luò)基礎(chǔ)設(shè)施運行、維護(hù)文檔，分析設(shè)備故障率；根據(jù)測試報告，分析網(wǎng)絡(luò)性能；f）實地查看網(wǎng)絡(luò)基礎(chǔ)設(shè)施運行狀況；g）網(wǎng)絡(luò)基礎(chǔ)平臺文檔管理完整、規(guī)范、有效。8.3.4.4 安全功能檢查a）業(yè)務(wù)高峰期網(wǎng)絡(luò)帶寬分配和業(yè)務(wù)優(yōu)先級設(shè)置功能；b）依據(jù)安全策略實施嚴(yán)格的訪問控制措施；c）全面檢測、記錄網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為；d）具備邊界完整性檢查功能，及時定位、報警、阻斷非法外聯(lián)行為；e）具備基本的網(wǎng)絡(luò)入侵防范功能，監(jiān)控入侵事件，及時報警；f）網(wǎng)絡(luò)地址管理策略；g）核心交換機(jī)配置、預(yù)留數(shù)據(jù)鏡像端口。8.3.5 檢查評估評估以下各項：a）網(wǎng)絡(luò)拓?fù)渑c實際網(wǎng)絡(luò)系統(tǒng)一致，且滿足當(dāng)前業(yè)務(wù)應(yīng)用需求；b）網(wǎng)絡(luò)配置、網(wǎng)段劃分、安全域設(shè)置合理，且根據(jù)安全策略有效隔離；c）網(wǎng)絡(luò)重要節(jié)點、關(guān)鍵路徑冗余配置；d）各項安全功能均安全、合理、有效；e）網(wǎng)絡(luò)基礎(chǔ)平臺設(shè)計合理，測試、驗收符合GB/T 21671要求；f）網(wǎng)絡(luò)基礎(chǔ)平臺運行狀態(tài)良好，運行、維護(hù)文檔完整、規(guī)范，真實記錄網(wǎng)絡(luò)運行狀況；g）其它網(wǎng)絡(luò)基礎(chǔ)平臺文檔管理規(guī)范、有效；h）經(jīng)實地查看，網(wǎng)絡(luò)基礎(chǔ)平臺運行符合國家相關(guān)標(biāo)準(zhǔn)。則此項檢查結(jié)果應(yīng)通過。8.4 系統(tǒng)平臺安全8.4.1 檢查準(zhǔn)備a）軟件設(shè)計、部署、應(yīng)用相關(guān)文檔；b）數(shù)據(jù)庫系統(tǒng)設(shè)計、部署、應(yīng)用相關(guān)文檔； c）應(yīng)用服務(wù)器（web、e-mail、中間件等）設(shè)計、配置、應(yīng)用文檔及網(wǎng)絡(luò)協(xié)議等相關(guān)文件；d）系統(tǒng)平臺測試、驗收文檔；e）其它相關(guān)文檔。8.4.2 檢查對象操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、中間件及網(wǎng)絡(luò)協(xié)議等、應(yīng)用服務(wù)器、應(yīng)用系統(tǒng)平臺，系統(tǒng)平臺相關(guān)文檔。8.4.3 檢查項a）操作系統(tǒng)性能和資源占用；b）系統(tǒng)應(yīng)用平臺設(shè)計、部署；c）數(shù)據(jù)庫系統(tǒng)設(shè)計、部署、應(yīng)用現(xiàn)狀；d）應(yīng)用服務(wù)器設(shè)計、配置、應(yīng)用；e）測試、驗收文檔；f）其它相關(guān)文檔完整性、規(guī)范性。8.4.4 檢查實施8.4.4.1 測試a）漏洞掃描工具檢查操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)平臺和應(yīng)用系統(tǒng)的中、高風(fēng)險安全漏洞；b）配置核查工具配置核查操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)；c）數(shù)據(jù)庫滲透測試、SQL注入、TDS協(xié)議安全性分析；d）應(yīng)用服務(wù)器失效性檢查等。形成測試報告。8.4.4.2 安全配置檢查a）系統(tǒng)性能和資源占用情況；b）安全策略配置（如密碼設(shè)置、系統(tǒng)審核、開放端口、訪問權(quán)限、帳戶管理等）；c）桌面軟件正版和安全漏洞更新；d）應(yīng)用服務(wù)器配置、日志、運行狀況及日常檢查；e）虛擬技術(shù)的安全性檢查（虛擬軟件、工具、管理等）；f）桌面級安全產(chǎn)品部署和應(yīng)用（防病毒、桌面防火墻等）。8.4.4.3 安全監(jiān)控檢查a）服務(wù)器和重要客戶端部署桌面管理系統(tǒng)；b）系統(tǒng)使用行為、系統(tǒng)資源狀況監(jiān)控、審計；c）虛擬機(jī)管理策略、采用虛擬技術(shù)的網(wǎng)絡(luò)訪問控制策略、虛擬軟件更新策略；d）監(jiān)控記錄的記錄形式、內(nèi)容等。8.4.5 檢查評估評估以下各項：a）操作系統(tǒng)的CPU使用率低于30%、內(nèi)存使用率低于60%、系統(tǒng)盤剩余空間大于30%，系統(tǒng)運行狀態(tài)良好；b）系統(tǒng)平臺密碼設(shè)置、系統(tǒng)審核、開放端口、訪問權(quán)限、帳戶管理等安全策略配置合理、有效；c）服務(wù)器和重要客戶端已安裝、部署并啟動桌面管理系統(tǒng)；d）正版軟件并隨時更新安全漏洞；e）系統(tǒng)平臺不存在中、高安全風(fēng)險漏洞（如弱口令、SQL注入等）；f）虛擬機(jī)管理策略、虛擬工具使用、虛擬軟件更新、網(wǎng)絡(luò)訪問控制策略等配置合理、有效；g）安全監(jiān)控記錄完整、存儲方式合理，包括：1）監(jiān)控內(nèi)容包括時間和日期、類型、主體標(biāo)識、客體標(biāo)識、事件結(jié)果等；2）監(jiān)控記錄存儲空間滿足安全策略要求，且出現(xiàn)異常時應(yīng)有相應(yīng)處理機(jī)制，保證記錄完整；3）監(jiān)控記錄保存時間應(yīng)在30天左右；4）監(jiān)控記錄應(yīng)由專人負(fù)責(zé)管理、統(tǒng)計和分析；h）系統(tǒng)平臺相關(guān)文檔完整、規(guī)范。則此項檢查結(jié)果應(yīng)通過。8.5 應(yīng)用系統(tǒng)安全8.5.1 檢查準(zhǔn)備a）應(yīng)用系統(tǒng)設(shè)計書及相關(guān)文檔；b）應(yīng)用系統(tǒng)部署、應(yīng)用相關(guān)文檔；c）應(yīng)用系統(tǒng)測試、驗收文檔；d）其它相關(guān)文檔。8.5.2 檢查對象業(yè)務(wù)系統(tǒng)、網(wǎng)站等重要應(yīng)用系統(tǒng)及相關(guān)文檔管理、內(nèi)容審計系統(tǒng)。8.5.3 檢查項a）應(yīng)用系統(tǒng)設(shè)計、驗收和測試文檔；b）應(yīng)用系統(tǒng)代碼安全；c）系統(tǒng)可用性、可控性；d）防篡改和恢復(fù)功能；e）web應(yīng)用層防護(hù)功能；f）應(yīng)用系統(tǒng)應(yīng)用現(xiàn)狀。8.5.4 檢查實施8.5.4.1 測試a）漏洞掃描工具檢查應(yīng)用系統(tǒng)中、高風(fēng)險安全漏洞；b）代碼安全測試（黑、白盒等）；c）網(wǎng)站監(jiān)測、CC攻擊檢測；d）SQL注入檢查等。形成測試報告。8.5.4.2 防護(hù)措施檢查a）安全策略（如密碼設(shè)置、身份鑒別、系統(tǒng)審核、開放端口、訪問控制和權(quán)限、帳戶管理等）；b）資源控制、容錯機(jī)制、變更管理；c）系統(tǒng)交付管理（開發(fā)環(huán)節(jié)和過程控制、測試驗收管理、交付管理、文檔管理等）；d）防篡改和恢復(fù)功能；e）web應(yīng)用層防護(hù)功能。8.5.4.2 關(guān)鍵字過濾檢查a）內(nèi)容審計系統(tǒng)關(guān)鍵字過濾功能設(shè)置；b）內(nèi)容審計系統(tǒng)關(guān)鍵字過濾記錄；c）關(guān)鍵字過濾的安全策略設(shè)定。8.5.5 檢查評估評估以下各項：a）密碼設(shè)置、身份鑒別、系統(tǒng)審核、開放端口、訪問控制和權(quán)限、帳戶管理等設(shè)置合理、有效；b）某一時間段內(nèi)系統(tǒng)并發(fā)會話連接數(shù)限制合理、有效；c）訪問帳戶或進(jìn)程分配資源最大和最小限額，并在達(dá)到閾值時自動監(jiān)測、報警；d）建立數(shù)據(jù)處理容錯機(jī)制，并可有效實現(xiàn)；e）系統(tǒng)交付過程符合國家相關(guān)標(biāo)準(zhǔn)，規(guī)范、完整、有效；f）網(wǎng)站存儲空間無有害程序（病毒、木馬、惡意代碼、域名劫持等），測試未發(fā)現(xiàn)安全漏洞、后門；g）建立網(wǎng)站頁面定期監(jiān)測機(jī)制，及時處理可能出現(xiàn)的信息破壞事件、有害程序事件等；h）建立網(wǎng)站信息內(nèi)容安全定期監(jiān)測機(jī)制，監(jiān)測法規(guī)禁止、敏感、涉密信息等； i）具備防篡改和恢復(fù)功能； j）具備web應(yīng)用層防護(hù)功能；k）應(yīng)用系統(tǒng)運行狀況正常；l）內(nèi)容審計系統(tǒng)設(shè)置關(guān)鍵字過濾功能；m）關(guān)鍵字過濾記錄清晰、完整；n）安全策略設(shè)定關(guān)鍵字過濾規(guī)定；o）應(yīng)用系統(tǒng)運行日志完整；p）文檔管理完整、規(guī)范。則此項檢查結(jié)果應(yīng)通過。8.6 系統(tǒng)安全平臺檢查8.6.1 檢查準(zhǔn)備a）系統(tǒng)安全平臺設(shè)計、配置文檔及其它相關(guān)文檔；b）系統(tǒng)安全平臺測試、驗收文檔；c）設(shè)備運行維護(hù)文檔；d）其它相關(guān)文檔。8.6.2 檢查對象各類安全設(shè)備及信息安全防御技術(shù)、安全策略、安全機(jī)制、安全審計、設(shè)備運行管理等。8.6.3 檢查項a）系統(tǒng)安全平臺設(shè)計、配置文檔；b）系統(tǒng)安全平臺測試、驗收文檔；c）各類安全設(shè)備性能、功能及運行管理現(xiàn)狀；d）安全管理策略；e）日志記錄、保存、使用；f）安全設(shè)備更新狀況。8.6.4 檢查實施8.6.4.1 測試a）采用相關(guān)網(wǎng)絡(luò)安全工具（如威脅發(fā)現(xiàn)系統(tǒng)、安全掃描技術(shù)、木馬監(jiān)測系統(tǒng)、防病毒設(shè)備、網(wǎng)絡(luò)故障綜合分析系統(tǒng)等）檢測網(wǎng)絡(luò)系統(tǒng)惡意代碼等；b）采用相關(guān)系統(tǒng)安全工具（如系統(tǒng)分析軟件、惡意代碼清查軟件、防病毒軟件等）檢測系統(tǒng)平臺惡意代碼等；c）采用網(wǎng)絡(luò)嗅探工具，檢查重要線路數(shù)據(jù)包的密碼使用；d）采用漏洞掃描工具，掃描測試網(wǎng)絡(luò)設(shè)備、系統(tǒng)平臺、系統(tǒng)安全平臺等。形成測試報告。8.6.4.2 設(shè)備檢查a）安全設(shè)備運行、維護(hù)、管理狀況；b）檢查設(shè)備管理記錄、設(shè)備無故障運行時間、故障率等；c）安全設(shè)備更新狀況：更新時間、更新記錄、定期檢測等；d）檢查設(shè)備日志內(nèi)容。 8.6.4.3 安全管理檢查a）根據(jù)第5章和信息資源安全需求，制定不同的安全策略的合理性、有效性；b）安全設(shè)備的安全策略設(shè)置的合理性、有效性；c）安全機(jī)制（包括數(shù)據(jù)加密、身份驗證、訪問控制等）設(shè)置的合理性、有效性；d）系統(tǒng)安全監(jiān)測系統(tǒng)的適宜性、合理性和有效性。8.6.4.4 密碼使用和管理a）密碼生成、分發(fā)、存儲、使用、更新、備份、恢復(fù)、導(dǎo)入、導(dǎo)出、歸檔、銷毀等按照國家相關(guān)法規(guī)、政策、標(biāo)準(zhǔn)管理；b）重要線路采用加密方式保護(hù)；c）重要數(shù)據(jù)、文檔采取加密保護(hù)措施。8.6.5 檢查評估評估以下各項：a）安全設(shè)備正常運行，且運行狀態(tài)良好，故障率在安全策略允許范圍內(nèi)；b）安全設(shè)備軟件、特征庫、防病毒系統(tǒng)保持更新至最新版本；c）建立深層信息安全防御體系，具備入侵防范功能，檢測、監(jiān)控端口掃描、強(qiáng)力攻擊、木馬攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、蠕蟲攻擊等入侵事件，并提示報警，有效阻斷；d）建立準(zhǔn)入控制機(jī)制，使入網(wǎng)所有終端合法、合規(guī)、可信。e）網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等不存在惡意代碼（如木馬、蠕蟲、ARP病毒等）；f）安全策略、安全機(jī)制配置有效；g）安全設(shè)備日志采用合理方式存儲，記錄完整、保存時限適當(dāng)，有專人管理；h）重要數(shù)據(jù)、文檔、線路加密保護(hù)； i）密碼管理符合國密局發(fā)200910號，密碼使用符合安全策略規(guī)定；j）文檔管理完整、規(guī)范；k）經(jīng)實地察看，安全設(shè)備安裝、運行符合國家相關(guān)標(biāo)準(zhǔn)。則此項檢查結(jié)果應(yīng)通過。8.7 數(shù)據(jù)安全檢查8.7.1 檢查準(zhǔn)備a）數(shù)據(jù)存儲設(shè)計、配置文檔及其它相關(guān)文檔；b）數(shù)據(jù)存儲測試、驗收相關(guān)文檔；c）數(shù)據(jù)管理相關(guān)文檔；d）數(shù)據(jù)存儲設(shè)備運行、維護(hù)相關(guān)文檔；e）其它相關(guān)文檔。8.7.2 檢查對象數(shù)據(jù)存儲設(shè)備、數(shù)據(jù)管理安全策略、數(shù)據(jù)備份容災(zāi)、數(shù)據(jù)交換等。8.7.3 檢查項a）數(shù)據(jù)存儲設(shè)計、配置文檔；b）數(shù)據(jù)存儲測試、驗收文檔；c）數(shù)據(jù)存儲設(shè)備參數(shù)配置、性能、運行管理狀況；d）數(shù)據(jù)管理安全策略（數(shù)據(jù)存儲、訪問、使用等）；e）數(shù)據(jù)安全交換策略（網(wǎng)內(nèi)、內(nèi)外網(wǎng)之間等）；f）數(shù)據(jù)備份容災(zāi)策略、管理和實施；g）相關(guān)文檔的完整性。8.7.4 檢查實施8.7.4.1 測試參照8.4.4.1測試數(shù)據(jù)安全性，并形成測試報告。8.7.4.2 設(shè)備檢查a）存儲設(shè)備運行、維護(hù)現(xiàn)狀；b）存儲系統(tǒng)的管理機(jī)制和管理流程；c）存儲設(shè)備管理方式；d）存儲設(shè)備管理記錄、設(shè)備無故障運行時間。8.7.4.3 數(shù)據(jù)管理檢查a）數(shù)據(jù)管理安全策略設(shè)置的合理性、有效性；b）數(shù)據(jù)交換平臺的安全性、可靠性；c）數(shù)據(jù)交換策略的合理性、有效性；d）數(shù)據(jù)質(zhì)量的一致性、準(zhǔn)確性和規(guī)范性。8.7.4.4 備份容災(zāi)檢查a）重要數(shù)據(jù)備份、恢復(fù)安全策略合理性；b）數(shù)據(jù)備份記錄完整，符合安全策略要求；c）備份數(shù)據(jù)恢復(fù)后可用、準(zhǔn)確、規(guī)范；d）備份介質(zhì)、數(shù)據(jù)備份和恢復(fù)指定專人管理；e）容災(zāi)備份系統(tǒng)災(zāi)難恢復(fù)能力等級；f）容災(zāi)備份系統(tǒng)建設(shè)、使用和管理情況。8.7.5 檢查評估評估以下各項：a）存儲系統(tǒng)正常運行，且運行狀態(tài)良好，故障率在安全策略允許范圍內(nèi)；b）存儲系統(tǒng)管理規(guī)范；管理機(jī)制、流程、方式合理、有效；c）數(shù)據(jù)管理策略與數(shù)據(jù)庫管理系統(tǒng)一致，合理、有效；d）數(shù)據(jù)交換平臺不存在安全威脅（如信息探測攻擊、非法使用、完整性破壞等）；e）數(shù)據(jù)備份策略、介質(zhì)選擇、備份頻率等適當(dāng)、有效；f）數(shù)據(jù)備份管理規(guī)范、合理、有效；g）容災(zāi)備份系統(tǒng)建設(shè)、使用、管理符合GB/T 20988要求；h）容災(zāi)備份系統(tǒng)災(zāi)難恢復(fù)能力等級符合系統(tǒng)安全策略；i）備份數(shù)據(jù)恢復(fù)可用、完整、有效； j）備份容災(zāi)有專人維護(hù)、管理；k）各項文檔管理規(guī)范、完整。則此項檢查結(jié)果應(yīng)通過。8.8 通信安全檢查8.8.1 檢查準(zhǔn)備a）數(shù)據(jù)通信設(shè)計、配置相關(guān)文檔；b）數(shù)據(jù)通信測試、驗收文檔；c）數(shù)據(jù)通信應(yīng)用、維護(hù)、管理相關(guān)文檔。8.8.2 檢查對象網(wǎng)絡(luò)安全域劃分及域間數(shù)據(jù)交換、網(wǎng)絡(luò)協(xié)議安全、數(shù)據(jù)傳輸安全等。8.8.3 檢查項a）網(wǎng)絡(luò)安全域劃分及域間數(shù)據(jù)交換安全策略、相關(guān)文檔；b）數(shù)據(jù)傳輸線路相關(guān)文檔；c）數(shù)據(jù)傳輸相關(guān)安全策略；d）網(wǎng)絡(luò)協(xié)議安全性；e）數(shù)據(jù)通信維護(hù)、管理現(xiàn)狀；f）相關(guān)文檔完整性。8.8.4 檢查實施8.8.4.1 測試a）參照8.3.4.1測試網(wǎng)絡(luò)安全域的安全性；b）數(shù)據(jù)加密方法和測試等。形成測試報告。8.8.4.2 安全域檢查a）安全域劃分的合理性；b）是否依重要性劃分安全域等級，并依據(jù)不同的等級制定相應(yīng)的安全策略；c）不同安全域（域內(nèi)不同分區(qū)）的邊界防護(hù)策略的合理性和有效性；8.8.4.3 數(shù)據(jù)傳輸檢查a）數(shù)據(jù)傳輸線路的可靠性（傳輸介質(zhì)、線路備份等）；b）數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性、一致性；c）內(nèi)外網(wǎng)數(shù)據(jù)交換的安全性。8.8.5 檢查評估評估以下各項：a）依據(jù)資產(chǎn)價值、安全需求等的重要性劃分不同等級的安全域；b）依據(jù)不同等級制定域安全策略（不同域的訪問控制策略、數(shù)據(jù)傳輸?shù)耐暾院鸵恢滦?、?shù)據(jù)審核等）；c）依據(jù)不同安全域部署安全設(shè)備、安全產(chǎn)品；d）高等級安全域的安全威脅降至最低；e）日志信息完整，存儲適當(dāng)；f）數(shù)據(jù)傳輸線路適宜、可靠，數(shù)據(jù)質(zhì)量完整、一致；g）各項文檔完整、規(guī)范。則此項檢查結(jié)果應(yīng)通過。8.9 運行安全檢查8.9.1 檢查準(zhǔn)備a）系統(tǒng)驗收和交付文檔、項目監(jiān)理文檔、IT服務(wù)相關(guān)文檔；b）系統(tǒng)運行、管理相關(guān)文檔；c）系統(tǒng)性能評估相關(guān)文檔；d）應(yīng)急管理相關(guān)文檔；e）其它相關(guān)文檔。8.9.2 檢查對象信息系統(tǒng)運行現(xiàn)狀、信息系統(tǒng)性能評估、應(yīng)急管理等。8.9.3 檢查項a）信息系統(tǒng)運行相關(guān)文檔；b）工作環(huán)境管理；c）系統(tǒng)性能管理；d）應(yīng)急管理；e）相關(guān)文檔的完整性。8.9.4 檢查實施8.9.4.1 系統(tǒng)運行檢查a）規(guī)定系統(tǒng)運行、使用權(quán)限管理；b）規(guī)定系統(tǒng)運行維護(hù)操作流程；c）系統(tǒng)性能管理，自動監(jiān)測、自動報警、有效分配系統(tǒng)資源；d）系統(tǒng)變更、更新管理；e）文檔管理、完整。8.9.4.2 IT服務(wù)檢查如IT服務(wù)組織提供系統(tǒng)運維服務(wù)，應(yīng)實施此項檢查。a）與IT服務(wù)組織的服務(wù)合同；b）IT服務(wù)組織的資質(zhì)、技術(shù)能力、服務(wù)能力、人員素質(zhì)；c）IT服務(wù)組織運維管理現(xiàn)狀。8.9.4.3 工作環(huán)境檢查a）計算機(jī)桌面和辦公桌面管理；b）文檔管理；c）辦公設(shè)備（包括移動設(shè)備、移動通訊設(shè)備）管理。8.9.4.4 應(yīng)急管理檢查a）制訂應(yīng)急預(yù)案，并根據(jù)實際情況定期修訂；b）根據(jù)應(yīng)急預(yù)案實施應(yīng)急演練，相關(guān)記錄完整、清晰；c）根據(jù)應(yīng)急預(yù)案，建立重大信息安全事件、災(zāi)難處置、恢復(fù)機(jī)制；d）應(yīng)急支援隊伍的制度建設(shè)；e）與外部應(yīng)急支援隊伍簽訂服務(wù)合同；f）應(yīng)急支援隊伍能力能夠滿足業(yè)務(wù)需求。8.9.4.5 事件管理檢查a）信息安全事件處置情況；b）信息安全事件完整記錄；c）信息安全事件報告；d）信息安全事件責(zé)任認(rèn)定。8.9.5 檢查評估評估以下各項：a）系統(tǒng)運行維護(hù)符合DB21/T 1799.3要求；b）IT服務(wù)符合DB21/T 1799.1要求；c）系統(tǒng)運行、使用權(quán)限設(shè)計合理、實際；d）系統(tǒng)運行、使用相關(guān)文檔與相關(guān)制度相符；e）系統(tǒng)變更審批備案相關(guān)規(guī)定合理、符合實際；f）計算機(jī)桌面、辦公桌面未涉及敏感信息、重要文件；g）與網(wǎng)絡(luò)連接的辦公終端、移動設(shè)備、存儲介質(zhì)等無重要文檔；h）存放重要文檔的辦公終端、移動設(shè)備等無上網(wǎng)殘留信息；i）復(fù)印機(jī)、打印機(jī)、掃描儀、傳真機(jī)等接入網(wǎng)絡(luò)符合安全策略，且管理、維護(hù)良好；j）移動設(shè)備、移動通訊設(shè)備、存儲介質(zhì)等的使用符合系統(tǒng)安全策略；k）已存儲過重要數(shù)據(jù)的辦公設(shè)備、移動設(shè)備、存儲介質(zhì)等，其重復(fù)使用或銷毀有嚴(yán)格的控制程序和措施，并切實執(zhí)行；l）已建立信息安全應(yīng)急預(yù)案，內(nèi)容清晰、完整，并根據(jù)實際情況定期修訂；m）應(yīng)急預(yù)案完全覆蓋信息系統(tǒng)，具備可操作性；n）定期開展應(yīng)急預(yù)案演練，相關(guān)記錄完整、清晰；o）應(yīng)急支援隊伍各項制度建設(shè)完善，能夠滿足業(yè)務(wù)需求；p）重大信息安全事件、災(zāi)難處置、恢復(fù)機(jī)制有效、適用；q）如果運行維護(hù)服務(wù)外包，已與IT服務(wù)組織簽訂相關(guān)合同且簽署保密安全協(xié)議。則此項檢查結(jié)果應(yīng)通過。8.10 管理安全檢查8.10.1 檢查準(zhǔn)備a）信息系統(tǒng)管理各項規(guī)章、制度；b）信息系統(tǒng)組織機(jī)構(gòu)相關(guān)文檔； c）系統(tǒng)日常管理各項文檔； d）信息系統(tǒng)安全建設(shè)、發(fā)展規(guī)劃；e）其它必要的文檔。8.10.2 檢查對象信息系統(tǒng)日常管理。8.10.3 檢查項a）信息系統(tǒng)組織機(jī)構(gòu)建立和運行情況； b）針對信息安全各個層次和整體制定的安全管理策略和機(jī)制； c）健全、完善的管理規(guī)章、制度； d）日常管理措施； e）根據(jù)系統(tǒng)安全策略，制定信息安全建設(shè)、發(fā)展規(guī)劃；f）文檔管理規(guī)范、完整。8.10.4 檢查實施8.10.4.1 規(guī)范管理檢查a）信息安全組織機(jī)構(gòu)相關(guān)文件、管理架構(gòu)、人員崗位配備合理、有