測評指導書(二級).doc

此文檔收集于網(wǎng)絡 僅供學習與交流 如有侵權請聯(lián)系網(wǎng)站刪除 學習資料 XXXXXXXXXXXX 公司公司 XXXXXXXXXXXX 等級測評項目等級測評項目 測評指導書測評指導書 XXXXXXXXXXXX 信息安全測評技術中心信息安全測評技術中心 2009 年年 10 月月 此文檔收集于網(wǎng)絡 僅供學習與交流 如有侵權請聯(lián)系網(wǎng)站刪除 學習資料 DocumentDocument ControlControl 文檔名稱 文檔類型 文檔編號 密 級 日期版本編寫者描述審核人員 此文檔收集于網(wǎng)絡 僅供學習與交流 如有侵權請聯(lián)系網(wǎng)站刪除 學習資料 目錄 第第 1 章章安全管理測評指導書安全管理測評指導書 5 1 1安全管理機構測評 5 1 2安全管理制度測評 8 1 3人員安全管理測評 10 1 4系統(tǒng)建設管理測評 12 1 5系統(tǒng)運維管理測評 17 第第 2 章章物理安全測評指導書物理安全測評指導書 26 2 1物理安全測評 26 第第 3 章章網(wǎng)絡安全測評指導書網(wǎng)絡安全測評指導書 34 3 1網(wǎng)絡全局安全測評 34 3 2路由器安全測評 36 3 2 1思科路由器安全測評 36 3 3交換機安全測評 40 3 3 1華為交換機安全測評 40 3 3 2思科交換機安全測評 43 3 4防火墻安全測評 46 3 4 1PIX防火墻安全測評 46 3 4 2天融信防火墻安全測評 48 3 4 3華為防火墻安全測評 51 3 5遠程撥號服務器安全測評 53 3 6入侵檢測 防御系統(tǒng)安全測評 54 第第 4 章章操作系統(tǒng)安全測評指導書操作系統(tǒng)安全測評指導書 57 4 1WINDOWS操作系統(tǒng)安全測評 57 4 2TRU64 操作系統(tǒng)安全測評 61 4 3LINUX操作系統(tǒng)安全測評 69 4 4SOLARIS操作系統(tǒng)安全測評 74 4 5AIX操作系統(tǒng)安全測評 78 此文檔收集于網(wǎng)絡 僅供學習與交流 如有侵權請聯(lián)系網(wǎng)站刪除 學習資料 第第 5 章章應用系統(tǒng)安全測評指導書應用系統(tǒng)安全測評指導書 82 5 1應用系統(tǒng)安全測評 82 5 2IIS 應用安全測評 87 5 3APACHE應用安全測評 89 第第 6 章章數(shù)據(jù)庫安全測評指導書數(shù)據(jù)庫安全測評指導書 93 6 1SQL SERVER數(shù)據(jù)庫安全測評 93 6 2ORACLE數(shù)據(jù)庫安全測評 98 6 3SYBASE數(shù)據(jù)庫安全測評 103 此文檔收集于網(wǎng)絡 僅供學習與交流 如有侵權請聯(lián)系網(wǎng)站刪除 學習資料 第第 1 1 章章 安全管理測評指導書安全管理測評指導書 1 11 1 安全管理機構測評安全管理機構測評 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 a 設定管理部 定義各個方面的 負責人崗位和職責 訪談訪談 安全主管 管理機構 部門和各負責人職責 檢查檢查 核查各崗位職責范圍和技能要求 b 定義各個崗位和職責 系統(tǒng) 網(wǎng) 絡 安全管理 訪談訪談 安全主管 崗位分工及相關職責 1 崗位設置崗位設置 G2 c 制定文件明確分工 檢查檢查 安全管理委員會職責文件 制度類文檔要求制度類文檔要求 部門設置 崗 位設置及工作職 責定義方面的管 理制度 證據(jù)類文檔要求證據(jù)類文檔要求 機構安全管理 人員崗位名單 2 人員配備人員配備 G2 a 配備系統(tǒng) 網(wǎng)絡 安全管理員 訪談訪談 安全主管 崗位人員配備情況 檢查檢查 安全管理人員名單 人員配備要求文檔 制度類文檔要求制度類文檔要求 安全保障人事 管理制度 此文檔收集于網(wǎng)絡 僅供學習與交流 如有侵權請聯(lián)系網(wǎng)站刪除 學習資料 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 b 安全管理員是專職的 檢查檢查 安全管理人員名單 人員配備要求文檔 a 對關鍵活動授權審批部門及批 準人 訪談訪談 安全主管 關鍵活動的審批部門 批準人是否得到授權 更新審批項目 審查周期 檢查檢查 授權管理文件包括事項列表 審批 事項 程序 更新審批項目 審查周期 3 授權和審授權和審 批批 G2 b 列表說明須審批的事項 部門 和可批準人 訪談訪談 關鍵活動的批準人 審批范圍 審查程序 審批文檔 簽字和蓋章 制度類文檔要求制度類文檔要求 授權和審批流 程 記錄類文檔要求記錄類文檔要求 各項審批和批 準執(zhí)行記錄 來 訪人員進入機房 審批 介質 設備 外帶審批 系統(tǒng) 外聯(lián)審批等 外聯(lián)接入 服 務訪問 配置變 更 采購 外來 人員訪問和管理 此文檔收集于網(wǎng)絡 僅供學習與交流 如有侵權請聯(lián)系網(wǎng)站刪除 學習資料 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 a 內部溝通 定期召開會議 訪談訪談 安全主管 與外單位和其他部門合作內容 溝通 合作方式有哪些 安全主管 部門間協(xié)調會議 安全管理機構內部會議 信息安全領導小組例會 安全管理人員 與外單位和其他部門人員主要溝通內容 檢查檢查 部門間協(xié)調會議文件 b 職能部門召開會議協(xié)調安全工 作實施 檢查檢查 安全工作會議文件 4 溝通和合溝通和合 作作 G2 c 加強公安 電信的合作與溝通 檢查檢查 外聯(lián)單位說明文檔 記錄類文檔要求記錄類文檔要求 各類會議紀要 或記錄 部門內 部門間協(xié)調會 領導小組 證據(jù)類文檔要求證據(jù)類文檔要求 外聯(lián)單位聯(lián)系 列表 5 審核和檢審核和檢 查查 G2 a 定期安全檢查 訪談訪談 安全主管 檢查周期 定期分析 評審異常行為 安全員 安全檢查包含內容 人員 程序策略和要求 通報形式 范圍 檢查檢查 安全檢查內容 檢查程序和檢查結果等 制度類文檔要求制度類文檔要求 安全審批和安 全檢查方面的管 制制度 此文檔收集于網(wǎng)絡 僅供學習與交流 如有侵權請聯(lián)系網(wǎng)站刪除 學習資料 1 21 2 安全管理制度測評安全管理制度測評 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 a 制定總體方針 政策性文件和 安全策略 訪談訪談 安全主管 制度體系是否有安全政策 安全策略 檢查檢查 明確總體目標 范圍 方針 原則 責任 安全策略 b 建立安全管理制度 檢查檢查 覆蓋物理 網(wǎng)絡 主機系統(tǒng) 數(shù)據(jù) 應用和管理等層面 1 管理制度管理制度 G2 c 建立操作規(guī)程 檢查檢查 重要管理操作的操作規(guī)程 如維護手冊和操作規(guī)程 制度類文檔要求制度類文檔要求 總體安全方針 信息安全工作 管理制度 證據(jù)類文檔要求證據(jù)類文檔要求 總體安全策略 專家論證文檔 a 信息安全職能部門 組織相關 人員制定 訪談訪談 安全主管 是否在信息安全領導小組或委員會負責下統(tǒng)一制定 b 統(tǒng)一的格式和版本 訪談訪談 安全主管 是否按照統(tǒng)一的格式標準或要求制定 論證和審定 檢查檢查 管理文檔說明制定和發(fā)布程序 格式要求及版本 c 論證和審定 檢查檢查 評審記錄 評審意見 2 制定和發(fā)制定和發(fā) 布布 G2 d 簽發(fā)后按照一定的程序以文件 形式發(fā)布 檢查檢查 管理層的簽字或蓋章 格式統(tǒng)一 制度類文檔要求制度類文檔要求 安全管理制度 改收發(fā)規(guī)范 記錄類文檔要求記錄類文檔要求 安全管理制度 的收發(fā)登記記錄 此文檔收集于網(wǎng)絡 僅供學習與交流 如有侵權請聯(lián)系網(wǎng)站刪除 學習資料 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 3 評審與修評審與修 訂訂 G2 a 對存在不足或需要改進的安全 管理制度進行修訂 訪談訪談 安全主管 對安全管理制度的評審由何部門 何人負責 管理人員 對安全管理制度的評審 修訂程序 維護措施 檢查檢查 列表注明評審周期 評審記錄 日期與評審周期是否一致 修訂記錄和版本 制度類文檔要求制度類文檔要求 授權審批 審 批流程等方面的 管理制度 記錄類文檔要求記錄類文檔要求 各類評審和修 訂記錄 此文檔收集于網(wǎng)絡 僅供學習與交流 如有侵權請聯(lián)系網(wǎng)站刪除 學習資料 1 31 3 人員安全管理測評人員安全管理測評 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 a 具備專業(yè)技術水平和安全管理 知識 訪談訪談 人事負責人 錄用人員要求與其職責相對應 檢查檢查 人事工作人員 人員錄用要求管理文檔 b 身份 背景 專業(yè)資格和資質 等進行審查 訪談訪談 審查身份 背景 專業(yè)資格和資質 簽署保密協(xié)議 說明工作職責 審查文檔 記錄審查內容和審查結果 c 技能進行考核 檢查檢查 考核內容和結果 d 說明其角色和職責 訪談訪談 人事負責人 錄用人員要求與其職責相對應 檢查檢查 人事工作人員 人員錄用要求管理文檔 1 人員錄用人員錄用 G2 e 簽署保密協(xié)議 檢查檢查 保密范圍 保密責任 違約責任 協(xié)議的有效期限和責任人簽字 a 終止所有訪問權限 訪談訪談 安全主管 及時終止離崗人員所有訪問權限 取回物資 b 物資收回 核查核查 檢查安全處理記 2 人員離崗人員離崗 G2 c 離崗須承諾調離后的保密義務 訪談訪談 人事工作人員 調離手續(xù) 檢查檢查 保密承諾文檔 有調離人員的簽字 制度類文檔要求制度類文檔要求 人員錄用 離 崗 考核等方面 的管理制度 記錄類文檔要求記錄類文檔要求 人員考核 審 查 培訓記錄 人員錄用 人 員定期考核 離崗手續(xù) 證據(jù)類文檔要求證據(jù)類文檔要求 人員保密協(xié)議 關鍵崗位安全 協(xié)議 離崗人員保密 協(xié)議書 此文檔收集于網(wǎng)絡 僅供學習與交流 如有侵權請聯(lián)系網(wǎng)站刪除 學習資料 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 a 技能及認知的考核 訪談訪談 安全主管 專人負責定期考核 b 安全審查 訪談訪談 人事工作人員 考核情況 考核周期 考核內容 審查情況和內容如如操作行為 社會關系 社交活動 3 人員考核人員考核 G2 c 違背安全策略和規(guī)定的人員進 行懲戒 訪談訪談 人事工作人員 懲戒措施 a 安全意識教育 訪談訪談 安全主管 以何形式制定安全教育和培訓計劃 效果如何 b 告知責任和懲戒措施 訪談訪談 安全員 系統(tǒng)管理員 網(wǎng)絡管理員 數(shù)據(jù)庫管理員 各崗位人員對安全知識 責任和懲戒措 施等的理解程度 c 制定安全教育和培訓計劃 檢查檢查 安全教育 培訓計劃和不同崗位培訓計劃 明確目的 方式 對象 內容 時間和地點 內 容包含信息安全基礎知識 崗位操作規(guī)程 4 安全意識安全意識 教育和培教育和培 訓訓 G2 d 記錄并歸檔保存 檢查檢查 記錄包括人員 內容 結果的描述 記錄與培訓計劃一致 制度類文檔要求制度類文檔要求 人員安全教育 和培訓方面的管 理制度 此文檔收集于網(wǎng)絡 僅供學習與交流 如有侵權請聯(lián)系網(wǎng)站刪除 學習資料 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 a 應在訪問前與機構簽署安全責 任合同書或保密協(xié)議 訪談訪談 安全主管 管理措施 訪問前簽署安全責任合同書或保密協(xié)議 檢查檢查 全責任合同書或保密協(xié)議有保密范圍 保密責任 違約責任 協(xié)議的有效期限和責任人的簽 字 5 第三人員第三人員 訪問管理訪問管理 G2 b 重要區(qū)域的訪問負責人的批準 專人陪同或監(jiān)督 并記錄備案 訪談訪談 安全管理人員 訪問重要區(qū)域采取措施 有負責人批準 專人陪同記錄并備案管理 檢查檢查 書面申請 批準人允許訪問的簽字 制度類文檔要求制度類文檔要求 外部人員訪問 控制方面的管理 制度 記錄類文檔要求記錄類文檔要求 各項審批和批 準執(zhí)行記錄 來 訪人員進入機房 審批 介質 設備 外帶審批 系統(tǒng) 外聯(lián)審批等 1 41 4 系統(tǒng)建設管理測評系統(tǒng)建設管理測評 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 a 明確系統(tǒng)劃分方法 訪談訪談 劃分系統(tǒng)方法 確定等級方法參照定級指南的指導 定級結果得到批準 檢查檢查 給出等保 SxAyGz 值 定級結果有批準蓋章 b 確定信安全等級 訪談訪談 系統(tǒng)劃分方法和理由 1 系統(tǒng)定級系統(tǒng)定級 G2 c 書面確定系統(tǒng)屬性 檢查檢查 明確系統(tǒng)屬性 使命 業(yè)務 網(wǎng)絡 硬件 軟件 數(shù)據(jù) 邊界 人員 證據(jù)類文檔要求證據(jù)類文檔要求 信息系統(tǒng)定級 報告或定級建議 書 此文檔收集于網(wǎng)絡 僅供學習與交流 如有侵權請聯(lián)系網(wǎng)站刪除 學習資料 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 d 定級結果經過批準 訪談訪談 劃分系統(tǒng)方法 確定等級方法參照定級指南的指導 定級結果得到批準 檢查檢查 給出等保 SxAyGz 值 定級結果有批準蓋章 專家對定級結果的論證意見 a 依據(jù)等保和風險分析選擇和調 整安全措施 訪談訪談 系統(tǒng)建設負責人 根據(jù)系統(tǒng)的安全級別選擇基本安全措施 依據(jù)風險分析的結果補充和調整 安全措施 做過哪些調整 b 書面描述對系統(tǒng)的安全保護要 求和策略 措施等內容 形成系 統(tǒng)的安全方案 訪談訪談 安全主管 授權專人負責制定總體安全方案 檢查檢查 系統(tǒng)安全方案 要求 策略和措施 c 考慮安全保障體系的總體安全 策略 安全技術框架 安全管理 策略 總體建設規(guī)劃和詳細設計 方案 并形成配套文件 訪談訪談 系統(tǒng)建設負責人 根據(jù)信息系統(tǒng)等級劃分情況 統(tǒng)一考慮安全保障體系的總體安全策略 安 全技術框架 安全管理策略 總體建設規(guī)劃和詳細設計方案等 d 安全保障體系的配套文件經過 專家論證和審定 訪談訪談 系統(tǒng)建設負責人 安全技術專家對總體安全策略 安全技術框架 安全管理策略等相關配套 文件進行論證和審定 并經過管理部門的批準 檢查檢查 核查相關論證意見 2 安全方案安全方案 設計設計 G2 e 安全保障體系的配套文件經批 準后 才能正式實施 檢查檢查 各方案管理層的批準 證據(jù)類文檔要求證據(jù)類文檔要求 近期和遠期安 全建設工作計劃 總體建設規(guī)劃書 詳細設計方案 前一次測評報 告 此文檔收集于網(wǎng)絡 僅供學習與交流 如有侵權請聯(lián)系網(wǎng)站刪除 學習資料 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 a 采購符合國家規(guī)定 訪談訪談 系統(tǒng)建設負責人 密碼產品的使用是否符合國家密碼主管部門的要求 檢查檢查 安全產品 邊界安全設備 重要服務器操作系統(tǒng) 數(shù)據(jù)庫等 是否符合國家的規(guī)定 b 密碼產品符合國密要求 檢查檢查 商用密碼產品和保密專用產品采購符合 商用密碼管理條例 和 計算機信息系統(tǒng)保密工作 暫行規(guī)定 3 產品采購產品采購 G2 c 專人負責采購 訪談訪談 安全主管 何部門何人負責產品采購 制度類文檔要求制度類文檔要求 產品選型 采 購方面的管理制 度 記錄類文檔要求記錄類文檔要求 產品的選型測 試結果記錄 證據(jù)類文檔要求證據(jù)類文檔要求 候選產品名單 a 開發(fā)與運行 與測試環(huán)境要獨 立 訪談訪談 系統(tǒng)建設負責人 程序的修改 更新 發(fā)布進行授權和批準 控制措施 開發(fā)人員不能做測 試人員 即二者分離 獨立的模擬環(huán)境中編寫 調試和完成 檢查檢查 開發(fā)環(huán)境與運行環(huán)境物理分開 e 提供文檔指南 檢查檢查 軟件設計的相關文檔 應用軟件設計程序文件 源代碼文檔等 和軟件使用指南或操作手 冊和維護手冊等 4 自行軟件自行軟件 開發(fā)開發(fā) G2 b 文檔由專人保管 控制使用 檢查檢查 開發(fā)相關文檔 軟件設計和開發(fā)程序文件 測試數(shù)據(jù) 測試結果 維護手冊等 的使用控制 記錄 5 外包軟件外包軟件 開發(fā)開發(fā) G2 a 簽訂協(xié)議 明確知識產權的歸 屬和安全方面的要求 訪談訪談 外包前書面文檔形式規(guī)范軟件開發(fā)單位的責任 安全行為 開發(fā)環(huán)境要求 軟件質量 開發(fā) 后的服務承諾 檢查檢查 軟件開發(fā)協(xié)議 知識產權歸屬 安全行為等內容 制度類文檔要求制度類文檔要求 軟件外包開發(fā) 或自我開發(fā)方面 的管理制度 證據(jù)類文檔要求證據(jù)類文檔要求 軟件開發(fā)協(xié)議 與安全服務商 或外包開發(fā)商簽 訂的服務合同和 安全協(xié)議 軟件開發(fā)設計 和用戶指南等相 關文檔 目錄體 系框架或交換原 形系統(tǒng) 軟件 測試報告 此文檔收集于網(wǎng)絡 僅供學習與交流 如有侵權請聯(lián)系網(wǎng)站刪除 學習資料 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 b 檢測軟件質量 檢查檢查 軟件開發(fā)協(xié)議 知識產權歸屬 安全行為等內容 c 安裝之前檢測軟件包中可能存 在的惡意代碼 訪談訪談 交付前進行軟件功能和性能驗收檢測 驗收檢測是否是由開發(fā)商和委托方共同參與 檢測軟 件中的惡意代碼 檢測工具是否是第三方的商業(yè)產品 d 提供軟件設計的相關文檔和使 用指南 檢查檢查 應檢查是否具有需求分析說明書 軟件設計說明書和軟件操作手冊等開發(fā)文檔以及用戶培訓 計劃 程序員培訓手冊等后期技術支持文檔 a 簽訂安全協(xié)議 訪談訪談 系統(tǒng)建設負責人 以書面形式 如工程安全建設協(xié)議 約束工程實施方的工程實施行為 檢查檢查 覆蓋工程實施方的責任 任務要求和質量要求等方面內容 約束工程實施行為 b 專人負責 訪談訪談 系統(tǒng)建設負責人 指定專人負責進度和質量控制 行為規(guī)范制度化 資質證明和能力保證 6 工程實施工程實施 G2 c 制定施工方案 檢查檢查 覆蓋工程時間限制 進度控制和質量控制等方面內容 工程實施過程是否按照實施方案形成 各種文檔 如階段性工程報告 制度類文檔要求制度類文檔要求 工程實施過程 管理方面的管理 制度 證據(jù)類文檔要求證據(jù)類文檔要求 工程實施方案 a 安全性測試驗收 訪談訪談 系統(tǒng)正式運行前 根據(jù)設計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試 b 制定測試驗收報告 訪談訪談 對測試過程 包括測試前 測試中和測試后 進行文檔化要求和制度化要求 應檢查是否具有系統(tǒng)驗收報告 7 測試驗收測試驗收 G2 c 測試驗收報告審定 雙方簽字 檢查檢查 應檢查驗收測試管理制度是否對系統(tǒng)驗收測試的過程控制 參與人員的行為等進行規(guī)定 制度類文檔要求制度類文檔要求 測試 驗收方 面的管理制度 記錄類文檔要求記錄類文檔要求 系統(tǒng)驗收測試 記錄 報告 證據(jù)類文檔要求證據(jù)類文檔要求 系統(tǒng)驗收測試 此文檔收集于網(wǎng)絡 僅供學習與交流 如有侵權請聯(lián)系網(wǎng)站刪除 學習資料 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 方案 a 明確交接手續(xù) 訪談訪談 交接手續(xù) 交接清單是否滿足合同的有關要求 檢查檢查 系統(tǒng)交付清單具有系統(tǒng)建設文檔 指導用戶進行系統(tǒng)運維的文檔以及系統(tǒng)培訓手冊 b 技能培訓 訪談訪談 運行維護 培訓 技術支持服務 維護的文檔 服務承諾書 培訓記錄 c 提供運維文檔 檢查檢查 系統(tǒng)交付清單具有系統(tǒng)建設文檔 指導用戶進行系統(tǒng)運維的文檔以及系統(tǒng)培訓手冊 8 系統(tǒng)交付系統(tǒng)交付 G2 d 服務承諾書 確保對系統(tǒng)運行 維護的支持 訪談訪談 服務承諾書 培訓記錄 證據(jù)類文檔要求證據(jù)類文檔要求 與安全服務商 或外包開發(fā)商簽 訂的服務合同和 安全協(xié)議 系統(tǒng)交付清單 9 安全服務安全服務 商選擇商選擇 G2 a 符合國家規(guī)定 訪談訪談 信息系統(tǒng)進行安全規(guī)劃 設計 實施 維護 測評等服務的安全服務單位是否符合國家有關 規(guī)定 證據(jù)類文檔要求證據(jù)類文檔要求 與安全服務商 或外包開發(fā)商簽 訂的服務合同和 安全協(xié)議 備資質條件 此文檔收集于網(wǎng)絡 僅供學習與交流 如有侵權請聯(lián)系網(wǎng)站刪除 學習資料 1 51 5 系統(tǒng)運維管理測評系統(tǒng)運維管理測評 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 a 對機房設施定期維護管理 訪談訪談 物理安全負責人 機房基本設施 如空調 供配電設備等 進行定期維護 由何部門 何人 負責 維護周期 檢查檢查 設施維護記錄 b 指定部門負責機房安全 訪談訪談 物理安全負責人 指定人員負責機房安全管理工作 對機房的出入管理是否要求進行制度化 和文檔化 c 建立機房安全管理制度 檢查檢查 覆蓋機房物理訪問 物品帶進 帶出機房和機房環(huán)境安全等方面 d 對機房來訪人員進行登記和備 案管理 限制來訪人員的活動范 圍 檢查 進出登記表 1 環(huán)境管理環(huán)境管理 G2 G2 d 辦公環(huán)境的保密性管理 訪談訪談 工作人員 保證辦公環(huán)境的保密性要求事項 檢查檢查 辦公環(huán)境管理文檔對工作人員離開座位的保密行為 如清理桌面文件和屏幕鎖定等 人員 調離辦公室后的行為行規(guī)定 制度類文檔要求制度類文檔要求 機房安全管理 方面的管理制度 辦公環(huán)境安全 管理方面的管理 制度 記錄類文檔要求記錄類文檔要求 機房日常巡檢 記錄 機房出入登記 記錄 包括第三 方人員 機房記錄設備 維護記錄 證據(jù)類文檔要求證據(jù)類文檔要求 機房安全設計 和驗收方面的文 檔 此文檔收集于網(wǎng)絡 僅供學習與交流 如有侵權請聯(lián)系網(wǎng)站刪除 學習資料 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 a 資產管理制度 訪談訪談 安全主管 指定資產管理的責任人員或部門 由何部門 何人負責 物理安全負責人 資產管理要求文檔化 覆蓋資產使用 借用 維護等方面 b 編制資產清單 檢查檢查 覆蓋資產責任人 所屬級別 所處位置和所屬部門等方面 2 資產管理資產管理 G2 G2 c 資產標識 訪談訪談 資產管理員 對資產進行賦值和標識管理 不同類別的資產是否采取不同的管理措施 檢查檢查 資產清單中的設備有相應標識 制度類文檔要求制度類文檔要求 資產 設備 介質安全管理方 面的管理制度 證據(jù)類文檔要求證據(jù)類文檔要求 資產清單 a 介質存放環(huán)境安全 訪談訪談 資產管理員 介質的存放環(huán)境的保護措施 防止其被盜 被毀 被未授權修改以及信息的非 法泄漏 專人管理 檢查檢查 應檢查介質管理制度 查看其內容是否覆蓋介質的存放環(huán)境 使用 維護和銷毀等方面 3 介質管理介質管理 G2 G2 b 介質歸檔和查詢記錄 定期盤 點 訪談訪談 資產管理員 對介質的使用管理要求文檔化 是否根據(jù)介質的目錄清單對介質的使用現(xiàn)狀進 行定期檢查 是否對介質進行分類和標識管理 檢查檢查 介質管理記錄 記錄介質的存儲 歸檔和借用等情況 制度類文檔要求制度類文檔要求 信息分類 標 識 發(fā)布 使用 方面的管理制度 記錄類文檔要求記錄類文檔要求 介質歸檔 查 詢等的登記記錄 此文檔收集于網(wǎng)絡 僅供學習與交流 如有侵權請聯(lián)系網(wǎng)站刪除 學習資料 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 c 介質使用 維修 銷毀管理 訪談訪談 資產管理員 進行保密性處理 對保密性較高的介質銷毀前是否有領導批準 否對數(shù)據(jù)進 行凈化處理 詢問對介質的物理傳輸過程是否要求選擇可靠傳輸人員 嚴格介質的打包 如 采用防拆包裝置 選擇安全的物理傳輸途徑 雙方在場交付等環(huán)節(jié)的控制 資產管理員 重要介質實行異地存儲 異地存儲環(huán)境是否與本地環(huán)境相同 d 對介質進行分類和標識管理 專人管理 檢查檢查 應檢查介質 查看是否對其進行了分類 并具有不同標識 a 專人維護 訪談訪談 資產管理員 設備指定專人或專門部門進行定期維護 周期 b 建立設備管理制度 訪談訪談 系統(tǒng)管理員 軟硬件維護進行制度化管理 檢查檢查 應檢查設備審批 發(fā)放管理文檔 查看其內容是否對設備選型 采購和發(fā)放等環(huán)節(jié)的申報和 審批作出規(guī)定 查看是否具有設備的選型 采購 發(fā)放等過程的申報材料和審批報告 c 設備的操作和使用進行規(guī)范化 管理 訪談訪談 資產管理員 設備選用的各個環(huán)節(jié) 選型 采購 發(fā)放等 進行審批控制 對設備帶離機構 進行審批控制 設備的操作和使用是否要求規(guī)范化管理 檢查檢查 應檢查設備使用管理文檔 查看其內容是否覆蓋終端計算機 便攜機和網(wǎng)絡設備等使用 操 作原則 注意事項等方面 4 設備管理設備管理 G2 G2 d 帶離設備進行控制 檢查檢查 應檢查設備使用管理文檔 查看其內容是否覆蓋終端計算機 便攜機和網(wǎng)絡設備等使用 操 作原則 注意事項等方面 制度類文檔要求制度類文檔要求 配套設備 軟 硬件維護方面的 管理制度 記錄類文檔要求記錄類文檔要求 主機系統(tǒng) 網(wǎng) 絡 安全設備等 的操作日志和維 護記錄 此文檔收集于網(wǎng)絡 僅供學習與交流 如有侵權請聯(lián)系網(wǎng)站刪除 學習資料 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 e 監(jiān)控檢查管理 訪談訪談 審計員 服務器的操作日志 日志文件管理 期檢查管理 檢查檢查 應檢查服務器操作規(guī)程 查看其內容是否覆蓋服務器如何啟動 停止 加電 斷電等操作 5 監(jiān)控管理監(jiān)控管理 G2 G2 a 信息系統(tǒng)監(jiān)控和報警 訪談訪談 系統(tǒng)運維負責人 查看主要服務器的各項資源指標 如 CPU 內存 進程和磁盤等使用情況 制度類文檔要求制度類文檔要求 系統(tǒng)監(jiān)控 風 險評估 漏洞掃 描方面的管理制 度 采集操作 手冊 維護管理規(guī)范 維護匯總 證據(jù)類文檔要求證據(jù)類文檔要求 主要設備漏洞 掃描報告 系統(tǒng)異常行為 審計分析報告 a 專人管理 訪談訪談 安全主管 指定專人負責維護網(wǎng)絡運行日志 監(jiān)控記錄和分析處理報警信息等網(wǎng)絡安全管理 工作 b 更新 備份 訪談訪談 應訪談網(wǎng)絡管理員 廠家提供的軟件升級版本對網(wǎng)絡設備進行過升級 目前的版本號為多少 升級前是否對重要文件 帳戶數(shù)據(jù) 配置數(shù)據(jù)等 進行備份 采取什么方式進行備份 網(wǎng)絡 設備進行過漏洞掃描 對掃描出的漏洞是否及時修補 6 網(wǎng)絡安全網(wǎng)絡安全 管理管理 G2 G2 c 進行網(wǎng)絡系統(tǒng)漏洞掃描 及時 修補 訪談訪談 應訪談網(wǎng)絡管理員 廠家提供的軟件升級版本對網(wǎng)絡設備進行過升級 目前的版本號為多少 升級前是否對重要文件 帳戶數(shù)據(jù) 配置數(shù)據(jù)等 進行備份 采取什么方式進行備份 網(wǎng)絡 制度類文檔要求制度類文檔要求 網(wǎng)絡監(jiān)測與事 件匯報制度 記錄類文檔要求記錄類文檔要求 對主機 網(wǎng)絡 設備和應用軟件 等的監(jiān)控記錄和 分析報告 此文檔收集于網(wǎng)絡 僅供學習與交流 如有侵權請聯(lián)系網(wǎng)站刪除 學習資料 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 設備進行過漏洞掃描 對掃描出的漏洞是否及時修補 檢查檢查 漏洞掃描報告 覆蓋網(wǎng)絡存在的漏洞 嚴重級別 原因分析和改進意見等方面 d 與外部系統(tǒng)的連接均應得到授 權和批準 訪談訪談 安全員 外聯(lián)種類有哪些 互聯(lián)網(wǎng) 合作伙伴企業(yè)網(wǎng) 上級部門網(wǎng)絡等 得到授權與批準 由何部門 何人批準 定期檢查違規(guī)聯(lián)網(wǎng)的行為 檢查檢查 應檢查是否具有內部網(wǎng)絡外聯(lián)的授權批準書 e 建立網(wǎng)絡安全管理制度 訪談訪談 安全員 網(wǎng)絡安全的管理工作 包括網(wǎng)絡安全配置 網(wǎng)絡用戶 日志等方面 制度化 檢查檢查 應檢查網(wǎng)絡安全管理制度 查看其是否覆蓋網(wǎng)絡設備的安全策略 授權訪問 最小服 務 升級與打補丁 維護記錄 日志內容 日志保存時間等方面內容 f 網(wǎng)絡安全策略 授權訪問 最 小服務 升級與補丁 訪談訪談 安全員 網(wǎng)絡安全的管理工作 包括網(wǎng)絡安全配置 網(wǎng)絡用戶 日志等方面 制度化 檢查檢查 應檢查網(wǎng)絡安全管理制度 查看其是否覆蓋網(wǎng)絡設備的安全策略 授權訪問 最小服務 升 級與打補丁 維護記錄 日志內容 日志保存時間等方面內容 g 規(guī)定網(wǎng)絡審計日志的保存時間 檢查檢查 應檢查在規(guī)定的保存時間范圍內是否存在網(wǎng)絡審計日志 a 指定專人對系統(tǒng)進行管理 訪談訪談 安全主管 詢問是否指定專人負責系統(tǒng)安全管理 7 系統(tǒng)安全系統(tǒng)安全 管理管理 G2 G2 b 制定系統(tǒng)安全管理制度 訪談訪談 安全員 將系統(tǒng)安全管理工作 包括系統(tǒng)安全配置 系統(tǒng)賬戶 審計日志等 制度化 檢查檢查 覆蓋系統(tǒng)安全配置 包括系統(tǒng)的安全策略 授權訪問 最小服務 升級與補丁 系統(tǒng)帳戶 用戶責任 義務 風險 權限審批 權限分配 賬戶注銷等 審計日志以及配置文件的 生成 備份 變更審批 符合性檢查等方面 制度類文檔要求制度類文檔要求 系統(tǒng)安全管理 系統(tǒng)配置 賬 號管理等 方面 的管理制度 此文檔收集于網(wǎng)絡 僅供學習與交流 如有侵權請聯(lián)系網(wǎng)站刪除 學習資料 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 c 定期安裝系統(tǒng)的最新補丁程序 前對現(xiàn)有的重要文件進行備份 訪談訪談 應訪談系統(tǒng)管理員 定期安裝安全補丁程序 在安裝系統(tǒng)補丁前是否對重要文件 系統(tǒng)配置 系統(tǒng)用戶數(shù)據(jù)等 進行備份 采取什么方式進行 是否對系統(tǒng)進行過漏洞掃描 發(fā)現(xiàn)漏洞是 否及時修補 d 確定系統(tǒng)的訪問控制策略 控 制分配信息系統(tǒng) 文件及服務的 訪問權限 e 遵循最小授權要求 f 對系統(tǒng)的安全策略 授權訪問 最小服務 升級與打補丁 維護 記錄 日志以及配置文件的生成 備份 變更審批 符合性檢查等 方面做出具體要求 訪談訪談 系統(tǒng)管理員 對系統(tǒng)工具的使用 如脆弱性掃描工具 是否采取措施控制不同使用人員及數(shù) 量 檢查檢查 覆蓋系統(tǒng)安全配置 包括系統(tǒng)的安全策略 授權訪問 最小服務 升級與補丁 系統(tǒng)帳戶 用戶責任 義務 風險 權限審批 權限分配 賬戶注銷等 審計日志以及配置文件的 生成 備份 變更審批 符合性檢查等方面 g 規(guī)定系統(tǒng)審計日志的保存時間 訪談訪談 審計員 規(guī)定系統(tǒng)審計日志的保存時間 檢查檢查 在規(guī)定的保存時間范圍內是否存在系統(tǒng)審計日志 h 對發(fā)現(xiàn)的系統(tǒng)安全漏洞進行及 時的修補 檢查檢查 覆蓋系統(tǒng)存在的漏洞 嚴重級別 原因分析和改進意見等方面 8 惡意代碼惡意代碼 防范管理防范管理 G2 G2 a 提高防病毒意識及時升級防病 毒軟件 訪談訪談 系統(tǒng)運維負責人 對員工進行基本惡意代碼防范意識的教育 如告知應及時升級軟件版本 使用外來設備 網(wǎng)絡上接收文件和外來計算機或存儲設備接入網(wǎng)絡系統(tǒng)之前進行病毒檢查 工作人員 熟知惡意代碼基本的防范手段 主要包括哪些 制度類文檔要求制度類文檔要求 病毒防范方面 的管理制度 記錄類文檔要求記錄類文檔要求 惡意代碼檢測 升級記錄和分析 此文檔收集于網(wǎng)絡 僅供學習與交流 如有侵權請聯(lián)系網(wǎng)站刪除 學習資料 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 b 外來計算機或存儲設備接入網(wǎng) 絡系統(tǒng)之前也要進行病毒檢查 檢查檢查 覆蓋系統(tǒng)安全配置 包括系統(tǒng)的安全策略 授權訪問 最小服務 升級與補丁 系統(tǒng)帳戶 用戶責任 義務 風險 權限審批 權限分配 賬戶注銷等 審計日志以及配置文件的 生成 備份 變更審批 符合性檢查等方面 c 專人負責檢測 訪談訪談 系統(tǒng)運維負責人 專人對惡意代碼進行檢測 并保存記錄 d 明確規(guī)定防范軟件使用 訪談訪談 安全員 惡意代碼防護管理工作 包括惡意代碼軟件的授權使用 代碼庫升級和防范工作情 況匯報等 制度化 對其執(zhí)行情況是否進行檢查 周期 檢查檢查 是否對防惡意代碼軟件的授權使用 惡意代碼庫升級 定期匯報等方面作出規(guī)定 惡意代碼檢測記錄 惡意代碼庫升級和分析報告 查看升級記錄是否有升級時間 升級版本 等內容 查看分析報告是否描述惡意代碼的特征 修補措施等 報告 9 密碼管理密碼管理 G2 G2 a 密碼算法和密鑰的使用應符合 國家密碼管理規(guī)定 訪談訪談 密碼算法和密鑰的使用是否遵照國家密碼管理規(guī)定 制度類文檔要求制度類文檔要求 密碼管理方面 的管理制度 a 制定變更方案 訪談訪談 系統(tǒng)運維負責人 制定變更方案指導系統(tǒng)執(zhí)行變更 變更是否要求制度化管理 檢查檢查 系統(tǒng)運維負責人 對變更類型 變更原因 變更過程 變更前評估等方面進行說明 b 建立變更管理制度 審批后方 可實施變更 訪談訪談 系統(tǒng)運維負責人 重要系統(tǒng)變更前是否得到有關領導的批準 由何人批準 對發(fā)生的變更情 況是否通知了所有相關人員 以何種方式通知 檢查檢查 更管理制度覆蓋變更前審批 變更過程記錄 變更后通報等方面內容 系統(tǒng)的變更申請書 是否有主管領導的批準 10 變更管理變更管理 G2 G2 c 系統(tǒng)變更情況向所有相關人員 通告 訪談訪談 系統(tǒng)運維負責人 制定變更方案指導系統(tǒng)執(zhí)行變更 變更是否要求制度化管理 制度類文檔要求制度類文檔要求 系統(tǒng)變更控制 方面的管理制度 記錄類文檔要求記錄類文檔要求 變更方案評審 記錄和變更過程 記錄 證據(jù)類文檔要求證據(jù)類文檔要求 變更申請書 變更方案 此文檔收集于網(wǎng)絡 僅供學習與交流 如有侵權請聯(lián)系網(wǎng)站刪除 學習資料 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 a 定期備份的重要業(yè)務信息 訪談訪談 系統(tǒng)管理員 數(shù)據(jù)庫管理員和網(wǎng)絡管理員 識別出需要定期備份的業(yè)務信息 系統(tǒng)數(shù)據(jù)及軟 件系統(tǒng) 主要有哪些 對其的備份工作是否以文檔形式規(guī)范了備份方式 頻度 介質 保存 期等內容 數(shù)據(jù)備份和恢復策略是否文檔化 b 規(guī)定備份方式 備份頻度 存儲介質 保存期 檢查檢查 備份方式 頻度 介質 保存期的文檔 c 制定數(shù)據(jù)的備份策略和恢復策 略 備份策略應指明備份數(shù)據(jù)的 放置場所 文件命名規(guī)則 介質 替換頻率和將數(shù)據(jù)離站運輸?shù)姆?法 檢查檢查 備份和恢復策略文檔 覆蓋數(shù)據(jù)的存放場所 文件命名規(guī)則 介質替換頻率 數(shù)據(jù)離站傳輸 方法等方面 d 指定負責人定期維護和檢查備 份及冗余設備的狀況 訪談訪談 系統(tǒng)管理員 數(shù)據(jù)庫管理員和網(wǎng)絡管理員 詢問其對備份和冗余設備的安裝 配置和啟動工 作是否根據(jù)一定的流程進行 是否指定專人對備份和冗余設備的有效性定期維護和檢查 多 長時間檢查一次 檢查檢查 應檢查備份設備操作流程文檔 查看其是否規(guī)定備份和冗余設備的安裝 配置 啟動 關閉 等操作流程 11 備份與恢備份與恢 復管理復管理 G2 G2 e 規(guī)定備份及冗余設備的安裝 配置和啟動流程 檢查檢查 應檢查備份設備操作流程文檔 查看其是否規(guī)定備份和冗余設備的安裝 配置 啟動 關閉 等操作流程 制度類文檔要求制度類文檔要求 備份和恢復方 面的管理制度 記錄類文檔要求記錄類文檔要求 備份過程記錄 此文檔收集于網(wǎng)絡 僅供學習與交流 如有侵權請聯(lián)系網(wǎng)站刪除 學習資料 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 a 報告弱點 可疑事件 訪談訪談 及時報告告知用戶在發(fā)現(xiàn)安全弱點和可疑事件 記錄并保存 b 建立安全事件管理制度 訪談訪談 對安全事件處置制度化管理 檢查檢查 安全事件報告和處置管理制度 查看其內容是否明確與安全事件有關的工作職責 包括報告 單位 人 接報單位 人 和處置單位等職責 c 識別本系統(tǒng)需要防止發(fā)生的安 全事件 訪談訪談 本系統(tǒng)已發(fā)生的和需要防止發(fā)生的安全事件主要有哪幾類 對識別出的安全事件是否根據(jù)其 對系統(tǒng)的影響程度劃分不同等級 劃分為幾級 d 安全事件進行等級劃分 檢查檢查 安全事件定級文檔 查看其內容是否明確安全事件的定義 安全事件等級劃分的原則 等級 描述等方面內容 12 安全事件安全事件 處置處置 G2 G2 e 記錄并保存所有報告的安全弱 點和可疑事件 分析事件原因 監(jiān)督事態(tài)發(fā)展 采取措施避免安 全事件發(fā)生 檢查檢查 全事件記錄分析文檔 查看其是否記錄引發(fā)安全事件的原因 是否記錄事件處理過程 是否 采取措施避免其再次發(fā)生 制度類文檔要求制度類文檔要求 安全事件報告 和處置方面的管 理制度 記錄類文檔要求記錄類文檔要求 安全事件處理 過程記錄 證據(jù)類文檔要求證據(jù)類文檔要求 信息系統(tǒng)定期 安全檢查的檢查 表和安全檢查報 告 a 統(tǒng)一框架 不同事件不同預案 訪談訪談 系統(tǒng)運維負責人 制定不同事件的應急預案 對系統(tǒng)相關人員進行應急預案培訓 培訓內容 是什么 多長時間舉辦一次 檢查檢查 工作人員 應急響預案文檔 查看其內容是否覆蓋啟動預案的條件 應急處理流程 系統(tǒng)恢 復流程和事后教育等內容 13 應急預案應急預案 管理管理 G2 G2 b 應急預案培訓 檢查檢查 應急預案培訓記錄 演練記錄和審查記錄 制度類文檔要求制度類文檔要求 應急響應方法 應急響應計劃等 方面的文件 記錄類文檔要求記錄類文檔要求 應急預案培訓 演練 審查記錄 此文檔收集于網(wǎng)絡 僅供學習與交流 如有侵權請聯(lián)系網(wǎng)站刪除 學習資料 第第 2 2 章章 物理安全測評指導書物理安全測評指導書 2 12 1 物理安全測評物理安全測評 序號序號測評指標測評指標測評項測評項檢查方法檢查方法預期結果預期結果 1 1 物理位置的選物理位置的選 擇擇 G2 G2 a 機房是否具備有 防震 防風 防雨 能力 訪談訪談 詢問物理安全負責人 現(xiàn)有機房和辦公場地的環(huán)境條件是否具有基 本的防震 防風和防雨能力 檢查 檢查 檢查機房和辦公場地的設計 驗收文檔 查看機房和辦公場所的物 理位置選擇是否符合要求 機房和辦公場地的設計 驗收文檔中有關于機房和辦 公場所的物理位置選擇的內容 并符合防震 防風和 防雨能力要求 a 是否專人值守 訪談 訪談 詢問物理安全負責人 了解具有哪些控制機房進出的能力 是否安 排專人值守專人值守 訪談機房值守人員 詢問是否認真執(zhí)行有關機房出入的管理制度管理制度 是否對進入機房的人員記錄在案 有專人值守機房 進入機房有記錄 2 2 物理訪問控制物理訪問控制 G2 G2 b 是否具有申請 審批和監(jiān)控的措施 訪談 訪談 詢問物理安全負責人 了解是否有關于機房來訪人員的申請和審批申請和審批 流程流程 是否限制和監(jiān)控其活動范圍 檢查 檢查 檢查是否有來訪人員進入機房的審批記錄審批記錄 來訪人員進入機房需經過申請 審批流程并記錄 進 入機房有機房管理人員陪同并監(jiān)控和限制其活動范圍 此文檔收集于網(wǎng)絡 僅供學習與交流 如有侵權請聯(lián)系網(wǎng)站刪除 學習資料 序號序號測評指標測評指標測評項測評項檢查方法檢查方法預期結果預期結果 a 設備放置機房并 固定 設置標記 訪談 訪談 訪談物理安全負責人 采取了哪些防止設備 介質丟失的保護措施防止設備 介質丟失的保護措施 檢查 檢查 檢查主要設備是否防止在機房內或其他不易被盜竊和破壞的可控范盜竊和破壞的可控范 圍內圍內 主要設備都放置在機房可控制范圍內 機柜門牢固并 上鎖 b 設備和主要部件 固定并標識 訪談 訪談 訪談機房維護人員 設備設備和主要部件主要部件是否進行了固定和標記固定和標記 檢查 檢查 檢查主要設備或設備的主要部件的固定情況 是否不易被移動或被不易被移動或被 搬走搬走 是否設置了明顯的不易除去的標記明顯的不易除去的標記 設備和主要部件固定不易移動 設置明顯的不易除去 的標記 c 隱蔽通信線纜 訪談 訪談 訪談機房維護人員 了解通信線纜是否鋪設在隱蔽處線纜是否鋪設在隱蔽處 是否設置了 冗余或并行的通信線路冗余或并行的通信線路 檢查 檢查 檢查通信線纜鋪設是否在隱蔽處是否在隱蔽處 如鋪設在地下或管道中等 通信線纜鋪設在地下或管道中 有冗余或并行的通信 線路 3 3 防盜竊和防破防盜竊和防破 壞壞 G2 G2 d 介質分類標識 帶 出應受控和加密保 護 訪談 訪談 訪談資產管理人員 在介質管理中 是否設置了分類標識分類標識 是否存是否存 放在介質庫或檔案室中放在介質庫或檔案室中 詢問對設備或存儲介質攜帶出工作環(huán)境是否規(guī)定了審批程序 內容審批程序 內容 加密 專人檢查加密 專人檢查等安全保護安全保護的措施 檢查 檢查 檢查介質的管理情況 查看介質是否有正確的分類標識 是否存放 在介質庫或資料室中并且進行分類存放 滿足磁介質 紙介質等的 存放要求 檢查有關設備或存儲介質攜帶出工作環(huán)境的審批記錄 以及專人對檢查有關設備或存儲介質攜帶出工作環(huán)境的審批記錄 以及專人對 內容加密進行檢查的記錄 內容加密進行檢查的記錄 1 介質正確的分類標識并存放在介質庫或檔案室 存 放環(huán)境滿足不同介質的存放需求 2 設備和存儲介質攜帶出工作環(huán)境需審批并有審批記 錄 3 存儲介質攜帶出工作環(huán)境需經過安全人員進行加密 后方可允許 此文檔收集于網(wǎng)絡 僅供學習與交流 如有侵權請聯(lián)系網(wǎng)站刪除 學習資料 序號序號測評指標測評指標測評項測評項檢查方法檢查方法預期結果預期結果 e 設置光電防盜報 警系統(tǒng) 訪談 訪談 詢問機房維護人員 采用了何種技術設置機房防盜報警系統(tǒng)采用了何種技術設置機房防盜報警系統(tǒng) 檢查 檢查 檢查機房防盜報警設施是否正常運行是否正常運行 并查看運行和報警記錄運行和報警記錄 機房防盜報警設施運行正常并可進行相關運行和報警 記錄 a 避雷裝置 訪談 訪談 訪談物理安全負責人 機房建筑是否設置了避雷裝置否設置了避雷裝置 是否通過驗 收或國家有關部門的技術檢測 詢問機房維護人員機房建筑避雷裝 置是否有人定期進行檢查和維護是否有人定期進行檢查和維護 檢查 檢查 檢查機房是否有建筑防雷設計防雷設計 驗收文檔驗收文檔 是否符合 GB 50057 1994 建筑物防雷設計規(guī)范 GB157 建筑物防雷設計規(guī)范 要求 如果是在雷電頻繁區(qū)域 是否裝設有浪涌電壓吸收裝置是否裝設有浪涌電壓吸收裝置等 1 機房建筑設置了避雷裝置 并通過驗收或國家有關 部門的技術檢測 2 定期對避雷裝置進行檢查和維護 4 4 防雷擊防雷擊 G2 G2 b 交流電接地 訪談 訪談 詢問物理安全負責人 機房計算機系統(tǒng)接地是否設置了專用地線是否設置了專用地線 檢查 檢查 檢查機房是否有機房接地設計 驗收文檔 查看是否有地線連接要是否有地線連接要 求的描述求的描述 與實際情況是否一致 機房交流電設置了專用的地線 與機房接地設計 驗 收文檔中關于地線連接要求的描述一致 此文檔收集于網(wǎng)絡 僅供學習與交流 如有侵權請聯(lián)系網(wǎng)站刪除 學習資料 序號序號測評指標測評指標測評項測評項檢查方法檢查方法預期結果預期結果 5 5 防火防火 G2 G2 a 自動消防系統(tǒng) 訪談 訪談物理安全負責人 是否設置了滅火設備滅火設備 是否設置了自動檢測 火情 自動報警 自動滅火的自動消防系統(tǒng) 是否有專人負責維護該系統(tǒng)的運行 是否制定了機房的消防管理制 度和消防預案 是否進行了消防培訓消防培訓 訪談機房值守人員 詢問對機房出現(xiàn)的消防安全隱患消防安全隱患是否能夠及時 報告并得到排除 是否參加過機房滅火設備的使用培訓機房滅火設備的使用培訓 是否能夠正確使用滅火設備 和自動消防系統(tǒng) 噴水不適用于機房 檢查 檢查機房是否設置了自動測火情自動測火情 如使用溫感 煙感探測器 自 動報警 自動滅火的自動消防系統(tǒng) 擺放位置是否合理 有效期是 否合格 檢查自動消防系統(tǒng)是否正常工作 查看運行記錄 報警記錄 定期 檢查和維修記錄 檢查是否有機房的消防管理制度文檔 是否有機房防火設計 驗收 文檔 是否有機房自動消防系統(tǒng)的設計 驗收文檔 文檔是否與現(xiàn) 有消防配置狀況一致 1 機房設置了自動檢測火情 自動報警和自動滅火的 自動消防系統(tǒng) 2 此文檔收集于網(wǎng)絡 僅供學習與交流 如有侵權請聯(lián)系網(wǎng)站刪除 學習資料 序號序號測評指標測評指標測評項測評項檢查方法檢查方法預期結果預期結果 a 水管不得穿過機 房 訪談 訪談物理安全負責人 詢問機房建設是否有防水防潮措施防水防潮措施 如果機房有上下水管安裝水管安裝 是否避免穿過屋頂和活動地板下 穿過是否避免穿過屋頂和活動地板下 穿過 墻壁和樓板的水管墻壁和樓板的水管是否采取了保護措施 如設置套管 在濕度較高地區(qū)或季節(jié)是否有人負責機房防水防潮事宜 是否配備 除濕裝置 檢查 檢查機房是否有建筑防水和防潮設計檢查機房是否有建筑防水和防潮設計 驗收文檔驗收文檔 與實際情況是否 一致 如果有管道穿過主機房墻壁和樓板處 應檢查是否有必要的保護措 施 如設置套管等 1 機房屋頂和活動地板下沒有水管穿過 2 有水管穿過 但水管設置有套管防止漏水 b 防止雨水滲透 訪談 訪談 詢問機房維護人員 機房是否出現(xiàn)過漏水和返潮機房是否出現(xiàn)過漏水和返潮事件 檢查 檢查 檢查機房是否不存在屋頂和墻壁屋頂和墻壁等出現(xiàn)過漏水 滲透和返潮現(xiàn)象 機房及其環(huán)境是否不存在明顯的漏水和返潮的威脅明顯的漏水和返潮的威脅 檢查機房如果出現(xiàn)漏水 滲透和返潮現(xiàn)象是否能夠及時修復解決是否能夠及時修復解決 不存在雨水滲透威脅 屋頂和墻壁不存在漏水 滲透 和返潮現(xiàn)象 6 6 防水和防潮防水和防潮 G2 G2 c 防止水蒸氣結露 和積水轉移破壞 訪談 訪談 訪談機房維護人員 如果出現(xiàn)機房水蒸氣結露和地下積水的轉移與積水的轉移與 滲透現(xiàn)象滲透現(xiàn)象是否采取防范措施 檢查 檢查 檢查機房是否有濕度記錄 是否有除濕裝置并能夠正常運行 是否 有防止出現(xiàn)機房地下積水的轉移與滲透