信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求

1、GB/T XXX-200X ICS 35.040L80信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求Information security technology- Testing and evaluation requirement for classified protection of information system 中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局 中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì) 發(fā)布GB/T XXXX XXXX目次前言 . III 引言 . I V 1范圍. (12規(guī)范性引用文件 (13術(shù)語(yǔ)和定義 (14總則 (14.1測(cè)評(píng)原則 (14.2測(cè)評(píng)內(nèi)容 (14.3測(cè)評(píng)力度 (24.4結(jié)

2、果重用 (24.5使用方法 (25第一級(jí)信息系統(tǒng)單元測(cè)評(píng) (35.1安全技術(shù)測(cè)評(píng) (35.1.1物理安全 (35.1.2網(wǎng)絡(luò)安全 (55.1.3主機(jī)安全 (65.1.4應(yīng)用安全 (75.1.5數(shù)據(jù)安全及備份恢復(fù) (85.2安全管理測(cè)評(píng) (95.2.1安全管理制度 (95.2.2安全管理機(jī)構(gòu) (95.2.3人員安全管理 (105.2.4系統(tǒng)建設(shè)管理 (125.2.5系統(tǒng)運(yùn)維管理 (146第二級(jí)信息系統(tǒng)單元測(cè)評(píng) (176.1安全技術(shù)測(cè)評(píng) (176.1.1物理安全 (176.1.2網(wǎng)絡(luò)安全 (206.1.3主機(jī)安全 (226.1.4應(yīng)用安全 (246.1.5數(shù)據(jù)安全及備份恢復(fù) (276.2安全管理測(cè)

3、評(píng) (286.2.1安全管理制度 (286.2.2安全管理機(jī)構(gòu) (296.2.3人員安全管理 (306.2.4系統(tǒng)建設(shè)管理 (326.2.5系統(tǒng)運(yùn)維管理 (35IGB/T XXXX XXXX7第三級(jí)信息系統(tǒng)單元測(cè)評(píng) (397.1安全技術(shù)測(cè)評(píng) (397.1.1物理安全 (397.1.2網(wǎng)絡(luò)安全 (447.1.3主機(jī)安全 (477.1.4應(yīng)用安全 (497.1.5數(shù)據(jù)安全及備份恢復(fù) (537.2安全管理測(cè)評(píng) (557.2.1安全管理制度 (557.2.2安全管理機(jī)構(gòu) (567.2.3人員安全管理 (597.2.4系統(tǒng)建設(shè)管理 (617.2.5系統(tǒng)運(yùn)維管理 (658第四級(jí)信息系統(tǒng)單元測(cè)評(píng) (718.

4、1安全技術(shù)測(cè)評(píng) (718.1.1物理安全 (718.1.2網(wǎng)絡(luò)安全 (768.1.3主機(jī)安全 (798.1.4應(yīng)用安全 (828.1.5數(shù)據(jù)安全及備份恢復(fù) (878.2安全管理測(cè)評(píng) (898.2.1安全管理制度 (898.2.2安全管理機(jī)構(gòu) (908.2.3人員安全管理 (938.2.4系統(tǒng)建設(shè)管理 (958.2.5系統(tǒng)運(yùn)維管理 (999第五級(jí)信息系統(tǒng)單元測(cè)評(píng) (10610信息系統(tǒng)整體測(cè)評(píng) (10610.1概述 (10610.2安全控制點(diǎn)間測(cè)評(píng) (10610.3層面間測(cè)評(píng) (10610.4區(qū)域間測(cè)評(píng) (10710.5系統(tǒng)結(jié)構(gòu)安全測(cè)評(píng) (10711等級(jí)測(cè)評(píng)結(jié)論 (10711.1各層面的測(cè)評(píng)結(jié)論

5、(10711.2整體保護(hù)能力的測(cè)評(píng)結(jié)論 (107附錄A(資料性附錄測(cè)評(píng)力度 (109A.1測(cè)評(píng)方法的測(cè)評(píng)力度描述 (109A.2信息系統(tǒng)測(cè)評(píng)力度 (109IIGB/T XXXX XXXX前言(略III引言依據(jù)中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例(國(guó)務(wù)院147號(hào)令、國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(中辦發(fā)200327號(hào)、關(guān)于信息系統(tǒng)安全等級(jí)保護(hù)工作的實(shí)施意見(公通字200466號(hào)和信息安全等級(jí)保護(hù)管理辦法(公通字200743號(hào)等有關(guān)文件要求,制定本標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)是信息安全等級(jí)保護(hù)相關(guān)系列標(biāo)準(zhǔn)之一。與本標(biāo)準(zhǔn)相關(guān)的系列標(biāo)準(zhǔn)包括:GB/T 22240-2008 信息安全技術(shù)信息系統(tǒng)安

6、全等級(jí)保護(hù)定級(jí)指南;GB/T 22239-2008 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求;GB/T AAAA-AAAA 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南。一般來(lái)說,信息系統(tǒng)需要靠多種安全措施進(jìn)行綜合防范以降低其面臨的安全風(fēng)險(xiǎn)。本標(biāo)準(zhǔn)針對(duì)信息系統(tǒng)中的單項(xiàng)安全措施和多個(gè)安全措施的綜合防范,對(duì)應(yīng)地提出單元測(cè)評(píng)和整體測(cè)評(píng)的技術(shù)要求,用以指導(dǎo)測(cè)評(píng)人員從信息安全等級(jí)保護(hù)的角度對(duì)信息系統(tǒng)進(jìn)行測(cè)試評(píng)估。單元測(cè)評(píng)對(duì)安全技術(shù)和安全管理上各個(gè)層面的安全控制點(diǎn)提出不同安全保護(hù)等級(jí)的測(cè)評(píng)要求。整體測(cè)評(píng)根據(jù)安全控制點(diǎn)間、層面間和區(qū)域間相互關(guān)聯(lián)關(guān)系以及信息系統(tǒng)整體結(jié)構(gòu)對(duì)信息系統(tǒng)整體安全保護(hù)能力的影響提出測(cè)評(píng)要求

7、。本標(biāo)準(zhǔn)給出了等級(jí)測(cè)評(píng)結(jié)論中應(yīng)包括的主要內(nèi)容,未規(guī)定給出測(cè)評(píng)結(jié)論的具體方法和量化指標(biāo)。如果沒有特殊指定,本標(biāo)準(zhǔn)中的信息系統(tǒng)主要指計(jì)算機(jī)信息系統(tǒng)。在本標(biāo)準(zhǔn)文本中,黑體字的測(cè)評(píng)要求表示該要求出現(xiàn)在當(dāng)前等級(jí)而在低于當(dāng)前等級(jí)信息系統(tǒng)的測(cè)評(píng)要求中沒有出現(xiàn)過。IV信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求1范圍本標(biāo)準(zhǔn)規(guī)定了對(duì)信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行安全測(cè)試評(píng)估的要求,包括對(duì)第一級(jí)信息系統(tǒng)、第二級(jí)信息系統(tǒng)、第三級(jí)信息系統(tǒng)和第四級(jí)信息系統(tǒng)進(jìn)行安全測(cè)試評(píng)估的單元測(cè)評(píng)要求和信息系統(tǒng)整體測(cè)評(píng)要求。本標(biāo)準(zhǔn)略去對(duì)第五級(jí)信息系統(tǒng)進(jìn)行單元測(cè)評(píng)的具體內(nèi)容要求。本標(biāo)準(zhǔn)適用于信息安全測(cè)評(píng)服務(wù)機(jī)構(gòu)、信息系統(tǒng)的主管部門及運(yùn)營(yíng)使用單位對(duì)信息系統(tǒng)

8、安全等級(jí)保護(hù)狀況進(jìn)行的安全測(cè)試評(píng)估。信息安全監(jiān)管職能部門依法進(jìn)行的信息安全等級(jí)保護(hù)監(jiān)督檢查可以參考使用。2規(guī)范性引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。注日期的引用文件,其隨后所有的修改單(不包括勘誤的內(nèi)容或修訂版均不適用于本標(biāo)準(zhǔn),然而,鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。不注日期的引用文件,其最新版本適用于本標(biāo)準(zhǔn)。GB/T 5271.8 信息技術(shù)詞匯第8部分:安全GB/T 22239-2008 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求3術(shù)語(yǔ)和定義GB/T 5271.8和GB/T 22239-2008所確立的以及下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。3.1測(cè)

9、評(píng)力度 testing and evaluation intensity測(cè)評(píng)工作實(shí)際投入力量的表征,可以由測(cè)評(píng)廣度和深度來(lái)描述。4總則4.1 測(cè)評(píng)原則a客觀性和公正性原則測(cè)評(píng)工作雖然不能完全擺脫個(gè)人主張或判斷,但測(cè)評(píng)人員應(yīng)當(dāng)在沒有偏見和最小主觀判斷情形下,按照測(cè)評(píng)雙方相互認(rèn)可的測(cè)評(píng)方案,基于明確定義的測(cè)評(píng)方法和過程,實(shí)施測(cè)評(píng)活動(dòng)。b經(jīng)濟(jì)性和可重用性原則基于測(cè)評(píng)成本和工作復(fù)雜性考慮,鼓勵(lì)測(cè)評(píng)工作重用以前的測(cè)評(píng)結(jié)果,包括商業(yè)安全產(chǎn)品測(cè)評(píng)結(jié)果和信息系統(tǒng)先前的安全測(cè)評(píng)結(jié)果。所有重用的結(jié)果,都應(yīng)基于這些結(jié)果還能適用于目前的系統(tǒng),能反映目前系統(tǒng)的安全狀態(tài)。c可重復(fù)性和可再現(xiàn)性原則無(wú)論誰(shuí)執(zhí)行測(cè)評(píng),依照同樣的

10、要求,使用同樣的方法,對(duì)每個(gè)測(cè)評(píng)實(shí)施過程的重復(fù)執(zhí)行都應(yīng)該得到同樣的測(cè)評(píng)結(jié)果?？稍佻F(xiàn)性體現(xiàn)在不同測(cè)評(píng)者執(zhí)行相同測(cè)評(píng)的結(jié)果的一致性。可重復(fù)性體現(xiàn)在同一測(cè)評(píng)者重復(fù)執(zhí)行相同測(cè)評(píng)的結(jié)果的一致性。d符合性原則測(cè)評(píng)所產(chǎn)生的結(jié)果應(yīng)當(dāng)是在對(duì)測(cè)評(píng)指標(biāo)的正確理解下所取得的良好的判斷。測(cè)評(píng)實(shí)施過程應(yīng)當(dāng)使用正確的方法以確保其滿足了測(cè)評(píng)指標(biāo)的要求。4.2 測(cè)評(píng)內(nèi)容信息系統(tǒng)安全等級(jí)測(cè)評(píng)主要包括單元測(cè)評(píng)和整體測(cè)評(píng)兩部分。單元測(cè)評(píng)是等級(jí)測(cè)評(píng)工作的基本活動(dòng),每個(gè)單元測(cè)評(píng)包括測(cè)評(píng)指標(biāo)、測(cè)評(píng)實(shí)施和結(jié)果判定三部分。其中,測(cè)評(píng)指標(biāo)來(lái)源于GB/T 22239-2008中的第五級(jí)目錄中的各要求項(xiàng)(詳見4.5節(jié)說明,測(cè)評(píng)實(shí)施描述測(cè)評(píng)過程中使用

11、的具體測(cè)評(píng)方法、涉及的測(cè)評(píng)對(duì)象和具體測(cè)評(píng)取證過程的要求,結(jié)果判定描述測(cè)評(píng)1人員執(zhí)行測(cè)評(píng)實(shí)施并產(chǎn)生各種測(cè)評(píng)數(shù)據(jù)后,如何依據(jù)這些測(cè)評(píng)數(shù)據(jù)來(lái)判定被測(cè)系統(tǒng)是否滿足測(cè)評(píng)指標(biāo)要求的原則和方法。整體測(cè)評(píng)是在單元測(cè)評(píng)的基礎(chǔ)上,通過進(jìn)一步分析信息系統(tǒng)的整體安全性,對(duì)信息系統(tǒng)實(shí)施的綜合安全測(cè)評(píng)。整體測(cè)評(píng)主要包括安全控制點(diǎn)間、層面間和區(qū)域間相互作用的安全測(cè)評(píng)以及系統(tǒng)結(jié)構(gòu)的安全測(cè)評(píng)等。整體測(cè)評(píng)需要與信息系統(tǒng)的實(shí)際情況相結(jié)合,因此全面地給出整體測(cè)評(píng)要求的全部?jī)?nèi)容、具體實(shí)施過程和明確的結(jié)果判定方法是非常困難的,測(cè)評(píng)人員應(yīng)根據(jù)被測(cè)系統(tǒng)的實(shí)際情況,結(jié)合本標(biāo)準(zhǔn)的要求,實(shí)施整體測(cè)評(píng)。測(cè)評(píng)方法指測(cè)評(píng)人員在測(cè)評(píng)實(shí)施過程中所使用的方法

12、,主要包括訪談、檢查和測(cè)試三種測(cè)評(píng)方法。其中,訪談是指測(cè)評(píng)人員通過引導(dǎo)信息系統(tǒng)相關(guān)人員進(jìn)行有目的的(有針對(duì)性的交流以幫助測(cè)評(píng)人員理解、分析或取得證據(jù)的過程,檢查是指測(cè)評(píng)人員通過對(duì)測(cè)評(píng)對(duì)象(如管理制度、操作記錄、安全配置等進(jìn)行觀察、查驗(yàn)、分析以幫助測(cè)評(píng)人員理解、分析或取得證據(jù)的過程,測(cè)試是測(cè)評(píng)人員使用預(yù)定的方法/工具使測(cè)評(píng)對(duì)象產(chǎn)生特定的行為,通過查看和分析結(jié)果以幫助測(cè)評(píng)人員獲取證據(jù)的過程。測(cè)評(píng)對(duì)象指測(cè)評(píng)實(shí)施的對(duì)象,即測(cè)評(píng)過程中涉及到的信息系統(tǒng)的相關(guān)人員、制度文檔、各類設(shè)備及其安全配置等。4.3 測(cè)評(píng)力度測(cè)評(píng)力度是在測(cè)評(píng)過程中實(shí)施測(cè)評(píng)工作的力度,反映測(cè)評(píng)的廣度和深度,體現(xiàn)為測(cè)評(píng)工作的實(shí)際投入程度。

13、測(cè)評(píng)廣度越大,測(cè)評(píng)實(shí)施的范圍越大,測(cè)評(píng)實(shí)施包含的測(cè)評(píng)對(duì)象就越多;測(cè)評(píng)深度越深,越需要在細(xì)節(jié)上展開,測(cè)評(píng)就越嚴(yán)格,因此就越需要更多的投入。投入越多,測(cè)評(píng)力度就越強(qiáng),測(cè)評(píng)就越有保證。測(cè)評(píng)的廣度和深度落實(shí)到訪談、檢查和測(cè)試三種不同的測(cè)評(píng)方法上,能體現(xiàn)出測(cè)評(píng)實(shí)施過程中訪談、檢查和測(cè)試的投入程度的不同。信息安全等級(jí)保護(hù)要求不同安全保護(hù)等級(jí)的信息系統(tǒng)應(yīng)具有不同的安全保護(hù)能力,滿足相應(yīng)等級(jí)的保護(hù)要求。為了檢驗(yàn)不同安全保護(hù)等級(jí)的信息系統(tǒng)是否具有相應(yīng)等級(jí)的安全保護(hù)能力,是否滿足相應(yīng)等級(jí)的保護(hù)要求,需要實(shí)施與其安全保護(hù)等級(jí)相適應(yīng)的測(cè)評(píng),付出相應(yīng)的工作投入,達(dá)到應(yīng)有的測(cè)評(píng)力度。第一級(jí)到第四級(jí)信息系統(tǒng)的測(cè)評(píng)力度反映在

14、訪談、檢查和測(cè)試等三種基本測(cè)評(píng)方法的測(cè)評(píng)廣度和深度上,落實(shí)在不同單元測(cè)評(píng)中具體的測(cè)評(píng)實(shí)施上。不同安全保護(hù)等級(jí)的信息系統(tǒng)在總體上所對(duì)應(yīng)的測(cè)評(píng)力度在附錄A中描述。4.4 結(jié)果重用在信息系統(tǒng)中,有些安全控制可以不依賴于其所在的地點(diǎn)便可測(cè)評(píng),即在其部署到運(yùn)行環(huán)境之前便可以接受安全測(cè)評(píng)。一些商用安全產(chǎn)品的測(cè)評(píng)就屬于這種安全測(cè)評(píng)。如果一個(gè)信息系統(tǒng)部署和安裝在多個(gè)地點(diǎn),且系統(tǒng)具有一組共同的軟件、硬件、固件等組成部分,對(duì)這些安全控制的測(cè)評(píng)可以集中在一個(gè)集成測(cè)試環(huán)境中實(shí)施,如果沒有這種環(huán)境,則可以在其中一個(gè)預(yù)定的運(yùn)行地點(diǎn)實(shí)施,在其他運(yùn)行地點(diǎn)的安全測(cè)評(píng)便可重用此測(cè)評(píng)結(jié)果。在信息系統(tǒng)所有安全控制中,有一些安全控制與

15、它所處于的運(yùn)行環(huán)境緊密相關(guān)(如與人員或物理有關(guān)的某些安全控制,對(duì)其測(cè)評(píng)必須在分發(fā)到相應(yīng)運(yùn)行環(huán)境中才能進(jìn)行。如果多個(gè)信息系統(tǒng)處在地域臨近的封閉場(chǎng)地內(nèi),系統(tǒng)所屬的機(jī)構(gòu)在同一個(gè)領(lǐng)導(dǎo)層管理之下,對(duì)這些安全控制在多個(gè)信息系統(tǒng)中進(jìn)行重復(fù)測(cè)評(píng),可能是對(duì)有效資源的一種浪費(fèi)。因此,可以在一個(gè)選定的信息系統(tǒng)中進(jìn)行測(cè)評(píng),其他相關(guān)信息系統(tǒng)可以直接重用這些測(cè)評(píng)結(jié)果。4.5 使用方法本標(biāo)準(zhǔn)第5章到第8章分別描述了第一級(jí)信息系統(tǒng)、第二級(jí)信息系統(tǒng)、第三級(jí)信息系統(tǒng)和第四級(jí)信息系統(tǒng)所有單元測(cè)評(píng)的內(nèi)容,在章節(jié)上分別對(duì)應(yīng)國(guó)標(biāo)GB/T 22239-2008的第5章到第8章。在國(guó)標(biāo)GB/T 22239-2008第5章到第8章中,各章的二

16、級(jí)目錄都分為安全技術(shù)和安全管理兩部分,三級(jí)目錄從安全層面(如物理安全、網(wǎng)絡(luò)安全、主機(jī)安全等進(jìn)行劃分和描述,四級(jí)目錄按照安全控制點(diǎn)進(jìn)行劃分和描述(如主機(jī)安全層面下分為身份鑒別、訪問控制、安全審計(jì)等,第五級(jí)目錄是每一個(gè)安全控制點(diǎn)下面2包括的具體安全要求項(xiàng)(以下簡(jiǎn)稱“要求項(xiàng)”,這些要求項(xiàng)在本標(biāo)準(zhǔn)中被稱為“測(cè)評(píng)指標(biāo)”。本標(biāo)準(zhǔn)中針對(duì)每一個(gè)安全控制點(diǎn)的測(cè)評(píng)就構(gòu)成一個(gè)單元測(cè)評(píng),單元測(cè)評(píng)中的每一個(gè)具體測(cè)評(píng)實(shí)施要求項(xiàng)(以下簡(jiǎn)稱“測(cè)評(píng)要求項(xiàng)”是與安全控制點(diǎn)下面所包括的要求項(xiàng)(測(cè)評(píng)指標(biāo)相對(duì)應(yīng)的。在對(duì)每一要求項(xiàng)進(jìn)行測(cè)評(píng)時(shí),可能用到訪談、檢查和測(cè)試三種測(cè)試方法,也可能用到其中一種或兩種,為了描述簡(jiǎn)潔,在測(cè)評(píng)要求項(xiàng)中,沒

17、有針對(duì)每一個(gè)要求項(xiàng)分別進(jìn)行描述,而是對(duì)具有相同測(cè)評(píng)方法的多個(gè)要求項(xiàng)進(jìn)行了合并描述,但測(cè)評(píng)實(shí)施的內(nèi)容完全覆蓋了GB/T 22239-2008中所有要求項(xiàng)的測(cè)評(píng)要求,使用時(shí),應(yīng)當(dāng)從單元測(cè)評(píng)的測(cè)評(píng)實(shí)施中抽取出對(duì)于GB/T 22239-2008中每一個(gè)要求項(xiàng)的測(cè)評(píng)要求,并按照這些測(cè)評(píng)要求開發(fā)測(cè)評(píng)指導(dǎo)書,以規(guī)范和指導(dǎo)安全等級(jí)測(cè)評(píng)活動(dòng)。測(cè)評(píng)過程中,測(cè)評(píng)人員應(yīng)注意對(duì)測(cè)評(píng)記錄和證據(jù)的采集、處理、存儲(chǔ)和銷毀,保護(hù)其在測(cè)評(píng)期間免遭破壞、更改或遺失,并保守秘密。測(cè)評(píng)的最終輸出是測(cè)評(píng)報(bào)告,測(cè)評(píng)報(bào)告應(yīng)結(jié)合第11章的要求給出等級(jí)測(cè)評(píng)結(jié)論。5第一級(jí)信息系統(tǒng)單元測(cè)評(píng)5.1 安全技術(shù)測(cè)評(píng)5.1.1 物理安全5.1.1.1 物理

18、訪問控制5.1.1.1.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.1.1.1。5.1.1.1.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a應(yīng)訪談物理安全負(fù)責(zé)人,了解部署了哪些控制人員進(jìn)出機(jī)房的保護(hù)措施;b應(yīng)檢查是否有專人負(fù)責(zé)機(jī)房的出入控制且有進(jìn)入機(jī)房人員的登記記錄。5.1.1.1.3 結(jié)果判定如果5.1.1.1.2 b為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.1.1.2 防盜竊和防破壞5.1.1.2.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.1.1.2。5.1.1.2.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a應(yīng)訪談物理安全負(fù)責(zé)人,了解采取了哪些防止設(shè)備

19、、介質(zhì)等丟失的保護(hù)措施;b應(yīng)檢查關(guān)鍵設(shè)備是否放置在機(jī)房?jī)?nèi)或其它不易被盜竊和被破壞的可控范圍內(nèi);c應(yīng)檢查關(guān)鍵設(shè)備或設(shè)備的主要部件的固定情況,查看其是否不易被移動(dòng)或被搬走,是否設(shè)置明顯的不易除去的標(biāo)記。5.1.1.2.3 結(jié)果判定如果5.1.1.2.2 b和c均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.1.1.3 防雷擊5.1.1.3.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.1.1.3。5.1.1.3.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a應(yīng)訪談物理安全負(fù)責(zé)人,詢問機(jī)房建筑是否設(shè)置了避雷裝置,是否通過驗(yàn)收或國(guó)家有關(guān)部門的技術(shù)檢測(cè);3b應(yīng)檢查機(jī)房

20、建筑是否有避雷裝置。5.1.1.3.3 結(jié)果判定如果5.1.1.3.2 b為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.1.1.4 防火5.1.1.4.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.1.1.4。5.1.1.4.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a應(yīng)訪談物理安全負(fù)責(zé)人,詢問機(jī)房是否設(shè)置了滅火設(shè)備,是否制定了有關(guān)機(jī)房消防的管理制度和消防預(yù)案,是否進(jìn)行了消防培訓(xùn);b應(yīng)檢查機(jī)房是否設(shè)置了滅火設(shè)備,滅火設(shè)備擺放位置是否合理,其有效期是否合格。5.1.1.4.3 結(jié)果判定如果5.1.1.4.2 a和b均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,

21、否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.1.1.5 防水和防潮5.1.1.5.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.1.1.5。5.1.1.5.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a應(yīng)訪談物理安全負(fù)責(zé)人,詢問機(jī)房是否部署了防水防潮措施,是否沒有出現(xiàn)過漏水和返潮事件;如果機(jī)房?jī)?nèi)有上/下水管安裝,則查看是否采取必要的保護(hù)措施;b應(yīng)檢查穿過主機(jī)房墻壁或樓板的管道是否采取必要的防滲防漏等防水保護(hù)措施;c應(yīng)檢查機(jī)房的窗戶、屋頂和墻壁等是否未出現(xiàn)過漏水、滲透和返潮現(xiàn)象,機(jī)房及其環(huán)境是否不存在明顯的漏水和返潮的威脅;如果出現(xiàn)漏水、滲透和返潮現(xiàn)象是否能夠及時(shí)修復(fù)解決。5.1.1.5.3 結(jié)果判

22、定如果5.1.1.5.2 b和c均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.1.1.6 溫濕度控制5.1.1.6.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.1.1.6。5.1.1.6.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a應(yīng)訪談物理安全負(fù)責(zé)人,詢問機(jī)房是否配備了空調(diào)等溫濕度控制設(shè)施,保證溫濕度能夠滿足計(jì)算機(jī)設(shè)備運(yùn)行的要求,是否在機(jī)房管理制度中規(guī)定了溫濕度控制的要求;b應(yīng)檢查空調(diào)設(shè)備是否能夠正常運(yùn)行,檢查機(jī)房溫濕度是否滿足計(jì)算站場(chǎng)地的技術(shù)條件要求。5.1.1.6.3 結(jié)果判定如果5.1.1.6.2 b為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否

23、則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.1.1.7 電力供應(yīng)5.1.1.7.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.1.1.7。5.1.1.7.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:4a應(yīng)訪談物理安全負(fù)責(zé)人,詢問計(jì)算機(jī)系統(tǒng)供電線路上是否設(shè)置了穩(wěn)壓器和過電壓防護(hù)設(shè)備;b應(yīng)檢查機(jī)房,查看計(jì)算機(jī)系統(tǒng)供電線路上是否設(shè)置了穩(wěn)壓器和過電壓防護(hù)設(shè)備,這些設(shè)備是否正常運(yùn)行。5.1.1.7.3 結(jié)果判定如果5.1.1.7.2 b為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.1.2 網(wǎng)絡(luò)安全5.1.2.1 結(jié)構(gòu)安全5.1.2.1.1 測(cè)評(píng)指標(biāo)見GB/T

24、22239-2008 5.1.2.1。5.1.2.1.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a 應(yīng)訪談網(wǎng)絡(luò)管理員,詢問關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力是否滿足基本業(yè)務(wù)需求;b 應(yīng)訪談網(wǎng)絡(luò)管理員,詢問接入網(wǎng)絡(luò)及核心網(wǎng)絡(luò)的帶寬是否滿足基本業(yè)務(wù)需要;c 應(yīng)檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖,查看其與當(dāng)前運(yùn)行的實(shí)際網(wǎng)絡(luò)系統(tǒng)是否一致。5.1.2.1.3 結(jié)果判定本項(xiàng)要求包括:a 如果5.1.2.1.2 c中缺少網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖,則為否定;b 如果5.1.2.1.2 a-c均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.1.2.2 訪問控制5.1.2.2.1 測(cè)評(píng)指標(biāo)見GB/T 22239-

25、2008 5.1.2.2。5.1.2.2.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a 應(yīng)訪談安全管理員,詢問網(wǎng)絡(luò)訪問控制的措施有哪些;詢問網(wǎng)絡(luò)訪問控制設(shè)備具備哪些訪問控制功能;b 應(yīng)檢查邊界網(wǎng)絡(luò)設(shè)備,查看是否有正確的訪問控制列表,以通過源地址、目的地址、源端口、目的端口、協(xié)議等進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)流控制,其控制粒度是否至少為用戶組。5.1.2.2.3 結(jié)果判定如果5.1.2.2.2 b為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.1.2.3 網(wǎng)絡(luò)設(shè)備防護(hù)5.1.2.3.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.1.2.3。5.1.2.3.2 測(cè)評(píng)實(shí)施本項(xiàng)要求

26、包括:a應(yīng)訪談網(wǎng)絡(luò)管理員,詢問關(guān)鍵網(wǎng)絡(luò)設(shè)備的防護(hù)措施有哪些;詢問關(guān)鍵網(wǎng)絡(luò)設(shè)備的登錄和驗(yàn)證方式做過何種配置;詢問遠(yuǎn)程管理的設(shè)備是否采取措施防止鑒別信息泄漏;b應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備,查看是否配置了對(duì)登錄用戶進(jìn)行身份鑒別的功能;c應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備,查看是否配置了鑒別失敗處理功能;d應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備,查看是否配置了對(duì)設(shè)備遠(yuǎn)程管理所產(chǎn)生的鑒別信息進(jìn)行保護(hù)的功能。5.1.2.3.3 結(jié)果判定如果5.1.2.3.2 b-d均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.1.3 主機(jī)安全5.1.3.1 身份鑒別5.1.3.1.1 測(cè)評(píng)指標(biāo)見

27、GB/T 22239-2008 5.1.3.1。5.1.3.1.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a應(yīng)訪談系統(tǒng)管理員和數(shù)據(jù)庫(kù)管理員,詢問操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)的身份標(biāo)識(shí)與鑒別機(jī)制采取何種措施實(shí)現(xiàn);b應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng),查看是否提供了身份鑒別措施。5.1.3.1.3 結(jié)果判定如果5.1.3.1.2 b為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.1.3.2 訪問控制5.1.3.2.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.1.3.2。5.1.3.2.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)的安全策略,查看是

28、否對(duì)重要文件的訪問權(quán)限進(jìn)行了限制,對(duì)系統(tǒng)不需要的服務(wù)、共享路徑等進(jìn)行了禁用或刪除;b應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng),查看匿名/默認(rèn)帳戶的訪問權(quán)限是否已被禁用或者限制,是否刪除了系統(tǒng)中多余的、過期的以及共享的帳戶;c應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)的權(quán)限設(shè)置情況,查看是否依據(jù)安全策略對(duì)用戶權(quán)限進(jìn)行了限制。5.1.3.2.3 結(jié)果判定如果5.1.3.2.2 a-c均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.1.3.3 入侵防范5.1.3.3.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.1.3.3。5.1.3.3.

29、2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a應(yīng)訪談系統(tǒng)管理員,詢問操作系統(tǒng)中所安裝的系統(tǒng)組件和應(yīng)用程序是否都是必須的,詢問操作系統(tǒng)補(bǔ)丁更新的方式和周期;b應(yīng)檢查關(guān)鍵服務(wù)器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)的補(bǔ)丁是否得到了及時(shí)更新。5.1.3.3.3 結(jié)果判定如果5.1.3.3.2 b肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.1.3.4 惡意代碼防范5.1.3.4.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.1.3.4。5.1.3.4.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a應(yīng)訪談系統(tǒng)安全管理員,詢問主機(jī)系統(tǒng)是否采取惡意代碼實(shí)時(shí)檢測(cè)與查殺措施,惡意代碼實(shí)時(shí)檢測(cè)與查殺措施的

30、部署覆蓋范圍如何;b應(yīng)檢查關(guān)鍵服務(wù)器,查看是否安裝了實(shí)時(shí)檢測(cè)與查殺惡意代碼的軟件產(chǎn)品并進(jìn)行及時(shí)更新。5.1.3.4.3 結(jié)果判定如果5.1.3.4.2 b為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.1.4 應(yīng)用安全5.1.4.1 身份鑒別5.1.4.1.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.1.4.1。5.1.4.1.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a應(yīng)訪談應(yīng)用系統(tǒng)管理員,詢問應(yīng)用系統(tǒng)是否有專用的登錄控制模塊對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別,具體采取的鑒別措施是什么;b應(yīng)訪談應(yīng)用系統(tǒng)管理員,詢問應(yīng)用系統(tǒng)是否具有登錄失敗處理功能;c應(yīng)訪談應(yīng)

31、用系統(tǒng)管理員,詢問應(yīng)用系統(tǒng)是否采取措施防止鑒別信息傳輸過程中被竊聽,具體措施是什么;d應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng),查看其是否提供身份標(biāo)識(shí)和鑒別功能;e應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng),查看其提供的登錄失敗處理功能,是否根據(jù)安全策略配置了相關(guān)參數(shù)。5.1.4.1.3 結(jié)果判定如果5.1.4.1.2 d和e均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.1.4.2 訪問控制5.1.4.2.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.1.4.2。5.1.4.2.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a應(yīng)訪談應(yīng)用系統(tǒng)管理員,詢問應(yīng)用系統(tǒng)是否提供訪問控制措施,以及具體措施和訪問控制

32、策略有哪些;b應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng),查看系統(tǒng)是否提供訪問控制功能控制用戶組/用戶對(duì)系統(tǒng)功能和用戶數(shù)據(jù)的訪問;c應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng),查看其是否具有由授權(quán)用戶設(shè)置其它用戶訪問系統(tǒng)功能和用戶數(shù)據(jù)的權(quán)限的功能,是否限制默認(rèn)用戶的訪問權(quán)限;d應(yīng)測(cè)試關(guān)鍵應(yīng)用系統(tǒng),可通過以不同權(quán)限的用戶登錄系統(tǒng),查看其擁有的權(quán)限是否與系統(tǒng)賦予的權(quán)限一致,驗(yàn)證應(yīng)用系統(tǒng)訪問控制功能是否有效。5.1.4.2.3 結(jié)果判定如果5.1.4.2.2 b-d均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.1.4.3 通信完整性5.1.4.3.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5

33、.1.4.3。5.1.4.3.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a應(yīng)訪談安全管理員,詢問應(yīng)用系統(tǒng)是否具有在數(shù)據(jù)傳輸過程中保護(hù)其完整性的措施,具體措施是什么;b應(yīng)檢查設(shè)計(jì)或驗(yàn)收文檔,查看其是否有關(guān)于保護(hù)通信完整性的說明。5.1.4.3.3 結(jié)果判定如果5.1.4.3.2 b為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.1.4.4 軟件容錯(cuò)5.1.4.4.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.1.4.4。5.1.4.4.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a應(yīng)訪談應(yīng)用系統(tǒng)管理員,詢問應(yīng)用系統(tǒng)是否具有保證軟件容錯(cuò)能力的措施,具體措施有哪些;b應(yīng)檢查關(guān)鍵應(yīng)用

34、系統(tǒng),查看應(yīng)用系統(tǒng)是否具有對(duì)人機(jī)接口輸入或通信接口輸入的數(shù)據(jù)進(jìn)行有效性檢驗(yàn)的功能;c應(yīng)測(cè)試關(guān)鍵應(yīng)用系統(tǒng),可通過對(duì)人機(jī)接口輸入的不同長(zhǎng)度或格式的數(shù)據(jù),查看系統(tǒng)的反應(yīng),驗(yàn)證系統(tǒng)人機(jī)接口有效性檢驗(yàn)功能是否正確。5.1.4.4.3 結(jié)果判定如果5.1.4.4.2 b和c均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.1.5 數(shù)據(jù)安全及備份恢復(fù)5.1.5.1 數(shù)據(jù)完整性5.1.5.1.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.1.5.1。5.1.5.1.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a 應(yīng)訪談安全管理員,詢問關(guān)鍵應(yīng)用系統(tǒng)用戶數(shù)據(jù)在傳輸過程中是否有完整

35、性保證措施,具體措施有哪些;b 應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng),查看其是否配備檢測(cè)重要用戶數(shù)據(jù)在傳輸過程中完整性受到破壞的功能。5.1.5.1.3 結(jié)果判定如果5.1.5.1.2 b為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.1.5.2 備份和恢復(fù)5.1.5.2.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.1.5.2。5.1.5.2.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a 應(yīng)訪談網(wǎng)絡(luò)管理員,詢問是否對(duì)網(wǎng)絡(luò)設(shè)備中的配置文件進(jìn)行備份,備份策略是什么;當(dāng)其受到破壞時(shí),恢復(fù)策略是什么;b 應(yīng)訪談系統(tǒng)管理員,詢問是否對(duì)操作系統(tǒng)中的重要信息進(jìn)行備份,備份策略是什么;當(dāng)其

36、受到破壞時(shí),恢復(fù)策略是什么;c 應(yīng)訪談數(shù)據(jù)庫(kù)管理員,詢問是否對(duì)數(shù)據(jù)庫(kù)管理系統(tǒng)中的關(guān)鍵數(shù)據(jù)進(jìn)行備份,備份策略是什么;當(dāng)其受到破壞時(shí),恢復(fù)策略是什么;d 應(yīng)訪談安全管理員,詢問是否對(duì)應(yīng)用系統(tǒng)中的應(yīng)用程序進(jìn)行備份,備份策略是什么;當(dāng)其受到破壞時(shí),恢復(fù)策略是什么;e 應(yīng)檢查關(guān)鍵主機(jī)操作系統(tǒng)、關(guān)鍵網(wǎng)絡(luò)設(shè)備、關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)和關(guān)鍵應(yīng)用系統(tǒng),查看其是否提供備份和恢復(fù)功能,備份和恢復(fù)功能的配置是否正確,并且查看實(shí)際備份結(jié)果是否與備份策略一致。5.1.5.2.3 結(jié)果判定如果5.1.5.2.2 e為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.2 安全管理測(cè)評(píng)5

37、.2.1 安全管理制度5.2.1.1 管理制度5.2.1.1.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.2.1.1。5.2.1.1.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a應(yīng)檢查各項(xiàng)安全管理制度,查看是否覆蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、建設(shè)和管理等層面。5.2.1.1.3 結(jié)果判定如果5.2.1.1.2 a為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.2.1.2 制定和發(fā)布5.2.1.2.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.2.1.2。5.2.1.2.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a應(yīng)訪談安全主管,詢問是否有專人負(fù)責(zé)制定安全管理制度

38、;b應(yīng)訪談安全管理制度制、修訂人員,詢問安全管理制度的發(fā)布方式,是否能夠發(fā)布到相關(guān)人員手中。5.2.1.2.3 結(jié)果判定如果5.2.1.2.2 a和b均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.2.2 安全管理機(jī)構(gòu)5.2.2.1 崗位設(shè)置5.2.2.1.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.2.2.1。5.2.2.1.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a應(yīng)訪談安全主管,詢問信息系統(tǒng)設(shè)置了哪些工作崗位,各個(gè)崗位的職責(zé)分工是否明確;b應(yīng)檢查崗位職責(zé)分工文檔,查看其定義的崗位職責(zé)中是否包括系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位的職責(zé)。5

39、.2.2.1.3 結(jié)果判定如果5.2.2.1.2 a和b均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.2.2.2 人員配備5.2.2.2.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.2.2.2。5.2.2.2.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a應(yīng)訪談安全主管,詢問各個(gè)安全管理崗位的人員配備情況;b應(yīng)檢查安全管理各崗位人員信息表,查看其是否明確機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和安全管理員等重要崗位人員的信息。5.2.2.2.3 結(jié)果判定如果5.2.2.2.2 a和b均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單

40、元測(cè)評(píng)指標(biāo)要求。5.2.2.3 授權(quán)和審批5.2.2.3.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.2.2.3。5.2.2.3.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a應(yīng)訪談安全主管,詢問其是否需要對(duì)信息系統(tǒng)中的關(guān)鍵活動(dòng)進(jìn)行審批,審批部門是何部門,批準(zhǔn)人是何人,他們的審批活動(dòng)是否得到授權(quán);b應(yīng)訪談安全主管,詢問其對(duì)關(guān)鍵活動(dòng)的審批范圍。5.2.2.3.3 結(jié)果判定如果5.2.2.3.2 a和b均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.2.2.4 溝通和合作5.2.2.4.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.2.2.4。5.2.2.

41、4.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a應(yīng)訪談安全主管,詢問是否經(jīng)常與公安機(jī)關(guān)、電信公司和兄弟單位聯(lián)系,聯(lián)系和合作方式有哪些;b應(yīng)檢查外聯(lián)單位說明文檔,查看外聯(lián)單位是否包含公安機(jī)關(guān)、電信公司及兄弟單位,是否說明外聯(lián)單位的聯(lián)系人和聯(lián)系方式等內(nèi)容。5.2.2.4.3 結(jié)果判定如果5.2.2.4.2 a和b均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.2.3 人員安全管理5.2.3.1 人員錄用5.2.3.1.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.2.3.1。5.2.3.1.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a應(yīng)訪談安全主管,詢問是否有專門的部門或人員

42、負(fù)責(zé)人員的錄用工作,由何部門/何人負(fù)責(zé);b應(yīng)訪談人事管理相關(guān)人員,詢問在人員錄用時(shí)對(duì)人員條件有哪些要求,是否對(duì)被錄用人的身份和專業(yè)資格進(jìn)行審查;c應(yīng)檢查人員錄用要求管理文檔,查看是否說明錄用人員應(yīng)具備的條件(如學(xué)歷、學(xué)位要求,技術(shù)人員應(yīng)具備的專業(yè)技術(shù)水平,管理人員應(yīng)具備的安全管理知識(shí)等;d應(yīng)檢查是否具有人員錄用時(shí)對(duì)錄用人身份、專業(yè)資格等進(jìn)行審查的相關(guān)文檔或記錄,查看是否記錄審查內(nèi)容和審查結(jié)果等。5.2.3.1.3 結(jié)果判定如果5.2.3.1.2 a-d均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.2.3.2 人員離崗5.2.3.2.1 測(cè)評(píng)指

43、標(biāo)見GB/T 22239-2008 5.2.3.2。5.2.3.2.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a應(yīng)訪談安全主管,詢問是否及時(shí)終止離崗人員的所有訪問權(quán)限,取回各種身份證件、鑰匙、徽章以及機(jī)構(gòu)提供的軟硬件設(shè)備等;b應(yīng)檢查是否具有對(duì)離崗人員的安全處理記錄(如交還身份證件、設(shè)備等的登記記錄。5.2.3.2.3 結(jié)果判定如果5.2.3.2.2 a和b均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.2.3.3 安全意識(shí)教育和培訓(xùn)5.2.3.3.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.2.3.3。5.2.3.3.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a應(yīng)訪談安

44、全主管,詢問是否對(duì)各個(gè)崗位人員進(jìn)行安全教育和崗位技能培訓(xùn),告知相關(guān)的安全知識(shí)、安全責(zé)任和懲戒措施,具體的培訓(xùn)方式有哪些;b應(yīng)訪談安全管理員,考查其對(duì)工作相關(guān)的信息安全基礎(chǔ)知識(shí)、安全責(zé)任和懲戒措施等的理解程度。5.2.3.3.3 結(jié)果判定如果5.2.3.3.2 a和b均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.2.3.4 外部人員訪問管理5.2.3.4.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.2.3.4。5.2.3.4.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a應(yīng)訪談安全管理員,詢問對(duì)外部人員訪問重要區(qū)域(如訪問機(jī)房、重要服務(wù)器或設(shè)備區(qū)等采取了哪

45、些安全措施,是否經(jīng)有關(guān)部門或負(fù)責(zé)人批準(zhǔn)才能訪問;b應(yīng)檢查外部人員訪問管理文檔,查看是否有對(duì)外部人員訪問機(jī)房等重要區(qū)域應(yīng)經(jīng)過相關(guān)部門或負(fù)責(zé)人批準(zhǔn)的內(nèi)容。5.2.3.4.3 結(jié)果判定如果5.2.3.4.2 a和b均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.2.4 系統(tǒng)建設(shè)管理5.2.4.1 系統(tǒng)定級(jí)5.2.4.1.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.2.4.1。5.2.4.1.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a應(yīng)訪談安全主管,詢問確定信息系統(tǒng)安全保護(hù)等級(jí)的方法是否參照定級(jí)指南的指導(dǎo),定級(jí)過程是否有書面描述;定級(jí)結(jié)果是否獲得了相關(guān)部門的批

46、準(zhǔn);b應(yīng)檢查系統(tǒng)定級(jí)文檔,查看文檔是否明確信息系統(tǒng)的邊界和信息系統(tǒng)的安全保護(hù)等級(jí),是否說明定級(jí)的方法和理由,查看定級(jí)結(jié)果是否有相關(guān)部門的批準(zhǔn)蓋章。5.2.4.1.3 結(jié)果判定本項(xiàng)要求包括:a 5.2.4.1.2 a沒有上級(jí)主管部門的,如果有本單位信息安全主管領(lǐng)導(dǎo)的批準(zhǔn),則該項(xiàng)為肯定;b如果5.2.4.1.2 a和b均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.2.4.2 安全方案設(shè)計(jì)5.2.4.2.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.2.4.2。5.2.4.2.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問是否根據(jù)系統(tǒng)的

47、安全級(jí)別選擇基本安全措施,是否依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施,具體做過哪些調(diào)整;b應(yīng)檢查系統(tǒng)的安全方案,查看方案是否描述系統(tǒng)的安全保護(hù)要求,是否詳細(xì)描述了系統(tǒng)的安全策略,是否詳細(xì)描述了系統(tǒng)采取的安全措施等內(nèi)容;c應(yīng)檢查系統(tǒng)的詳細(xì)設(shè)計(jì)方案,查看詳細(xì)設(shè)計(jì)方案是否對(duì)應(yīng)安全方案進(jìn)行細(xì)化,是否有安全建設(shè)方案和安全產(chǎn)品采購(gòu)方案。5.2.4.2.3 結(jié)果判定如5.2.4.2.2 a-c均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.2.4.3 產(chǎn)品采購(gòu)和使用5.2.4.3.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.2.4.3。5.2.4.3.2

48、 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問信息安全產(chǎn)品的采購(gòu)情況,是否有產(chǎn)品采購(gòu)清單指導(dǎo)產(chǎn)品采購(gòu),采購(gòu)過程如何控制;b應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問系統(tǒng)使用的有關(guān)信息安全產(chǎn)品是否符合國(guó)家的有關(guān)規(guī)定。5.2.4.3.3 結(jié)果判定如果5.2.4.3.2 a和b均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.2.4.4 自行軟件開發(fā)5.2.4.4.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.2.4.4。5.2.4.4.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問是否進(jìn)行自主開發(fā)軟件,自主開發(fā)軟件是否在獨(dú)立的模擬環(huán)境中編寫、調(diào)試和

49、完成;b應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問軟件設(shè)計(jì)相關(guān)文檔是否由專人負(fù)責(zé)保管,負(fù)責(zé)人是何人;c應(yīng)檢查是否具有軟件設(shè)計(jì)相關(guān)文檔。5.2.4.4.3 結(jié)果判定如果5.2.4.4.2 a-c均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.2.4.5 外包軟件開發(fā)5.2.4.5.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.2.4.5。5.2.4.5.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問軟件交付前是否依據(jù)開發(fā)要求的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收測(cè)試,軟件安裝之前是否檢測(cè)軟件中的惡意代碼;b 應(yīng)檢查是否具有需求分析說明書、軟件設(shè)計(jì)說明

50、書、軟件操作手冊(cè)等軟件開發(fā)文檔和使用指南。5.2.4.5.3 結(jié)果判定如果5.2.4.5.2 a和b均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.2.4.6 工程實(shí)施5.2.4.6.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.2.4.6。5.2.4.6.2 測(cè)評(píng)實(shí)施應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問是否指定專門部門或人員對(duì)工程實(shí)施過程進(jìn)行進(jìn)度和質(zhì)量控制,由何部門/何人負(fù)責(zé)。5.2.4.6.3 結(jié)果判定如果5.2.4.6.2 為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.2.4.7 測(cè)試驗(yàn)收5.2

51、.4.7.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.2.4.7。5.2.4.7.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問在信息系統(tǒng)建設(shè)完成后是否對(duì)其進(jìn)行安全性測(cè)試驗(yàn)收;b應(yīng)檢查工程測(cè)試驗(yàn)收方案,查看其是否明確說明參與測(cè)試的部門、人員、測(cè)試驗(yàn)收內(nèi)容、現(xiàn)場(chǎng)操作過程等內(nèi)容;c應(yīng)檢查測(cè)試驗(yàn)收記錄是否詳細(xì)記錄了測(cè)試時(shí)間、人員、現(xiàn)場(chǎng)操作過程和測(cè)試驗(yàn)收結(jié)果等方面內(nèi)容;d應(yīng)檢查是否具有系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告。5.2.4.7.3 結(jié)果判定如果5.2.4.7.2 a-d均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.2.4.8 系統(tǒng)交付5.2.4.

52、8.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.2.4.8。5.2.4.8.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問系統(tǒng)交接工作是否根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn);b 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問目前的信息系統(tǒng)是否由內(nèi)部人員獨(dú)立運(yùn)行維護(hù),如果是,系統(tǒng)正式運(yùn)行前是否對(duì)運(yùn)行維護(hù)人員進(jìn)行過培訓(xùn),針對(duì)哪些方面進(jìn)行過培訓(xùn);c 應(yīng)檢查是否具有系統(tǒng)交付清單說明系統(tǒng)交付的各類設(shè)備、軟件、文檔等;d 應(yīng)檢查是否具有系統(tǒng)建設(shè)文檔、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔、系統(tǒng)培訓(xùn)手冊(cè)等。5.2.4.8.3 結(jié)果判定如果5.2.4.8.2 a-d均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否

53、則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.2.4.9 安全服務(wù)商選擇5.2.4.9.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.2.4.9。5.2.4.9.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問信息系統(tǒng)選擇的安全服務(wù)商有哪些,是否符合國(guó)家有關(guān)規(guī)定;b 應(yīng)檢查是否具有與安全服務(wù)商簽訂的安全責(zé)任合同書或保密協(xié)議等文檔,查看其內(nèi)容是否包含保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等。5.2.4.9.3 結(jié)果判定如果5.2.4.9.2 a和b均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.2.5 系統(tǒng)運(yùn)

54、維管理5.2.5.1 環(huán)境管理5.2.5.1.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.2.5.1。5.2.5.1.2 測(cè)評(píng)實(shí)施本項(xiàng)要求包括:a應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人,詢問是否有專門的部門或人員對(duì)機(jī)房基礎(chǔ)設(shè)施進(jìn)行定期維護(hù),由何部門/何人負(fù)責(zé),維護(hù)周期多長(zhǎng);b應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人,詢問對(duì)機(jī)房的出入、服務(wù)器開機(jī)/關(guān)機(jī)如何進(jìn)行管理;c應(yīng)檢查機(jī)房安全管理制度,查看其內(nèi)容是否覆蓋機(jī)房物理訪問、物品帶進(jìn)/帶出機(jī)房和機(jī)房環(huán)境安全等方面。5.2.5.1.3 結(jié)果判定如果5.2.5.1.2 a-c均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.2.5.2 資產(chǎn)管理5.2.5.2.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.2.5.2。5.2.5.2.2 測(cè)評(píng)實(shí)施應(yīng)檢查資產(chǎn)清單,查看其內(nèi)容是否覆蓋資產(chǎn)責(zé)任部門、責(zé)任人、所處位置和重要程度等方面;5.2.5.2.3 結(jié)果判定如果5.2.5.2.2 為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)指標(biāo)要求,否則,信息系統(tǒng)不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。5.2.5.3 介質(zhì)管理5.2.5.3.1 測(cè)評(píng)指標(biāo)見GB/T 22239-2008 5.2.5.3。5.2.