DB11-T1344-2016信息安全等級保護(hù)檢查規(guī)范

1、ICS 13.310A 90DB11北京市地方標(biāo)準(zhǔn)DB11/T 13442016信息安全等級保護(hù)檢查規(guī)范Examination specification for information security classified protection2016 - 08 - 10 發(fā)布2016 - 12 - 01 實施北京市質(zhì)量技術(shù)監(jiān)督局發(fā) 布DB11/T 13442016目次前言II范圍1規(guī)范性引用文件1術(shù)語和定義1檢查流程1一級信息系統(tǒng)檢查2二級信息系統(tǒng)檢查7三級信息系統(tǒng)檢查16四級信息系統(tǒng)檢查27IDB11/T 13442016前言本標(biāo)準(zhǔn)按照GB/T 1.12009給出的規(guī)則起草。本標(biāo)準(zhǔn)由北

2、京市公安局提出并歸口。本標(biāo)準(zhǔn)由北京市公安局組織實施。本標(biāo)準(zhǔn)主要起草單位：北京市公安局網(wǎng)絡(luò)安全保衛(wèi)總隊、公安部信息安全等級保護(hù)評估中心、信息產(chǎn)業(yè)信息安全測評中心、北京中軟華泰信息技術(shù)有限責(zé)任公司。本標(biāo)準(zhǔn)主要起草人：葉漫青、朱華池、白鷗、石銳、吳賢、俞詩源、朱曉莉、高媛、馬榮欣、周永戰(zhàn)、游書明、趙悅、徐燕、趙志巍、金鎂、王崢、周堃、李小玲、王凱晨、梁萌萌、張淮、王一婷、趙永軍、李夢嬌、陳益、宋揚(yáng)、張昕、菅強(qiáng)、高瑗澤、傅珩軒、劉曉雪、李君白、張遠(yuǎn)彬、王熙、張瑋、楊瀟、石浩、王佳、趙勇、羅錚、袁靜、于東升、霍珊珊、劉健、張益、董晶晶。IIDB11/T 13442016信息安全等級保護(hù)檢查規(guī)范范圍本標(biāo)準(zhǔn)

3、規(guī)定了對信息安全等級保護(hù)狀況進(jìn)行檢查的流程和內(nèi)容要求，其中內(nèi)容要求包括對信息安全等級保護(hù)第一級信息系統(tǒng)、第二級信息系統(tǒng)、第三級信息系統(tǒng)和第四級信息系統(tǒng)進(jìn)行安全檢查的要求。本標(biāo)準(zhǔn)適用于信息安全等級保護(hù)檢查工作。規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 5271.8信息技術(shù) 詞匯 第 8 部分:安全GB 17859計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB/T 22239信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求GB/T 25069信息安全技術(shù) 術(shù)語GB/T 25

4、070信息安全技術(shù) 信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求術(shù)語和定義GB/T 5271.8、GB 17859、 GB/T 22239、GB/T 25069 和 GB/T 25070 界定的以及下列術(shù)語和定義適用于本文件。3.1訪談 interview檢查人員通過引導(dǎo)信息系統(tǒng)相關(guān)人員進(jìn)行有目的的（有針對性的）交流以幫助檢查人員理解、分析或取得證據(jù)的過程。3.2查驗 check檢查人員通過對被檢查對象（如制度文檔、各類設(shè)備、安全配置等）進(jìn)行觀察、查閱、核查以幫助檢查人員理解、分析或取得證據(jù)的過程。3.3測試 test檢查人員使用預(yù)定的方法/工具使被檢查對象（各類設(shè)備或安全配置）產(chǎn)生特定的結(jié)果，將運(yùn)行結(jié)果

5、與預(yù)期的結(jié)果進(jìn)行比對的過程。檢查流程1DB11/T 13442016前期準(zhǔn)備前期準(zhǔn)備包括的內(nèi)容：調(diào)閱被檢查單位信息系統(tǒng)的備案材料；了解被檢查單位情況；成立檢查小組；準(zhǔn)備必要的檢查材料和檢查工具；制定檢查組工作計劃，計劃內(nèi)容應(yīng)包括檢查對象、檢查人員、檢查各個階段的工作安排等。現(xiàn)場檢查現(xiàn)場檢查是通過對被檢查單位的溝通訪談、文檔審查、配置檢查、工具測試和實地查驗，并調(diào)閱自查、總結(jié)或等級測評報告等資料，對被檢查單位信息安全保護(hù)現(xiàn)狀進(jìn)行檢查，取得檢查總結(jié)活動所需的資料。現(xiàn)場檢查不應(yīng)影響系統(tǒng)的正常運(yùn)行。檢查總結(jié)檢查總結(jié)是根據(jù)現(xiàn)場檢查結(jié)果和本標(biāo)準(zhǔn)的相關(guān)要求，列舉并分析被檢查單位信息系統(tǒng)存在的問題，針對被檢查

6、單位信息系統(tǒng)安全保護(hù)能力出具書面結(jié)果材料。一級信息系統(tǒng)檢查物理安全要求物理訪問控制檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查物理訪問控制措施。檢查方法檢查方法如下：查驗是否有進(jìn)出機(jī)房的人員登記記錄。檢查結(jié)果判定檢查結(jié)果判定如下：若機(jī)房出入口沒有進(jìn)出機(jī)房的人員登記記錄，則檢查結(jié)果為不符合。支撐設(shè)施保障檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查防水措施；應(yīng)檢查防火措施；應(yīng)檢查溫濕度控制措施；應(yīng)檢查穩(wěn)壓設(shè)備。2DB11/T 13442016檢查方法檢查方法如下：查驗是否具備防止機(jī)房地下積水轉(zhuǎn)移與滲透的措施，是否對防水防潮處理結(jié)果和除濕裝置運(yùn)行情況進(jìn)行記錄；查驗機(jī)房是否配備符合要求的滅火設(shè)備，滅火設(shè)備擺放是否合理，有效期是否合格

7、；查驗溫濕度自動調(diào)節(jié)設(shè)施是否能夠正常運(yùn)行，查驗溫濕度控制是否合理；查驗機(jī)房內(nèi)是否有穩(wěn)壓設(shè)備。檢查結(jié)果判定檢查結(jié)果判定如下：若機(jī)房的墻壁或樓板的管道沒有采取必要的防滲透防漏等防水保護(hù)措施，或防水防潮處理結(jié)果及除濕裝置運(yùn)行記錄缺失，則 a）檢查結(jié)果為不符合；若機(jī)房內(nèi)沒有配備符合要求的滅火設(shè)備，滅火設(shè)備擺放不合理或已過期，則 b）檢查結(jié)果為不符合；若機(jī)房內(nèi)沒有配備溫濕度自動調(diào)節(jié)設(shè)施，或當(dāng)前溫濕度不合理，則 c）檢查結(jié)果為不符合；若機(jī)房內(nèi)沒有設(shè)置穩(wěn)壓器，則 d）檢查結(jié)果為不符合。安全技術(shù)要求網(wǎng)絡(luò)結(jié)構(gòu)安全檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查網(wǎng)絡(luò)拓?fù)鋱D。檢查方法檢查方法如下：查驗實際環(huán)境中的核心交換機(jī)、核心服務(wù)器

8、、邊界防火墻等是否能夠在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖中定位。檢查結(jié)果判定檢查結(jié)果判定如下：若網(wǎng)絡(luò)拓?fù)鋱D中無法定位核心交換機(jī)、核心服務(wù)器、邊界防火墻等關(guān)鍵設(shè)備，則檢查結(jié)果為不符合。邊界安全防護(hù)檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查網(wǎng)絡(luò)邊界入侵檢測措施。檢查方法檢查方法如下：查驗網(wǎng)絡(luò)邊界設(shè)備是否采取技術(shù)手段防止地址欺騙；3DB11/T 13442016查驗網(wǎng)絡(luò)入侵檢測設(shè)備是否能檢測以下攻擊行為：端口掃描、漏洞掃描、緩沖區(qū)溢出攻擊、拒絕服務(wù)攻擊等，查看其規(guī)則庫是否為最新。檢查結(jié)果判定檢查結(jié)果判定如下：若重要地址沒有采用IP/MAC綁定等手段防止地址欺騙，則 a）檢查結(jié)果為不符合；若沒有部署入侵檢測設(shè)備或入侵檢測設(shè)備的特征庫

9、未及時更新，則 b）檢查結(jié)果為不符合。用戶身份鑒別檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應(yīng)用系統(tǒng)的身份鑒別措施。檢查方法檢查方法如下：查驗主要網(wǎng)絡(luò)設(shè)備、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應(yīng)用系統(tǒng)的身份鑒別是否開啟。檢查結(jié)果判定檢查結(jié)果判定如下：若主要網(wǎng)絡(luò)設(shè)備、服務(wù)器操作系統(tǒng)、主要數(shù)據(jù)庫管理系統(tǒng)和應(yīng)用系統(tǒng)無需身份鑒別，則檢查結(jié)果為不符合。訪問控制檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)的默認(rèn)賬戶權(quán)限。檢查方法檢查方法如下：查驗主要服務(wù)器操作系統(tǒng)和重要數(shù)據(jù)庫管理系統(tǒng)是否已禁用或者限制匿名/默認(rèn)賬戶的訪問權(quán)限，是否重命名系統(tǒng)默認(rèn)賬戶名并修改默認(rèn)賬戶的默認(rèn)口令。檢查

10、結(jié)果判定檢查結(jié)果判定如下：操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)默認(rèn)賬戶名未重命名，默認(rèn)口令未修改，則檢查結(jié)果為不符合；Windows操作系統(tǒng)未禁用Guest默認(rèn)賬戶、Linux操作系統(tǒng)未禁用默認(rèn)用戶（如daemon、bin、sys、adm等），則檢查結(jié)果為不符合；其他操作系統(tǒng)存在未重命名的默認(rèn)系統(tǒng)用戶，則檢查結(jié)果為不符合。系統(tǒng)數(shù)據(jù)保護(hù)4DB11/T 13442016檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查應(yīng)用系統(tǒng)數(shù)據(jù)備份介質(zhì)。檢查方法檢查方法如下：查驗是否對主要網(wǎng)絡(luò)設(shè)備、主要數(shù)據(jù)庫管理系統(tǒng)和主要應(yīng)用系統(tǒng)的重要信息進(jìn)行了本地備份。檢查結(jié)果判定檢查結(jié)果判定如下：若缺乏主要網(wǎng)絡(luò)設(shè)備、主要數(shù)據(jù)庫管理系統(tǒng)和主要應(yīng)用系統(tǒng)的重要信

11、息的備份介質(zhì)，則檢查結(jié)果為不符合。安全管理要求安全管理機(jī)構(gòu)檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查安全崗位人員配備情況。檢查方法檢查方法如下：查驗系統(tǒng)、網(wǎng)絡(luò)、安全方面的管理規(guī)定，記錄系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、安全管理員的姓名。檢查結(jié)果判定檢查結(jié)果判定如下：若信息安全管理制度（網(wǎng)絡(luò)、主機(jī)、密碼、審計等制度）中沒有明確角色和職責(zé)定義，沒有信息安全管理崗位人員名單，則檢查結(jié)果為不符合。安全管理制度檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查信息安全工作日常安全管理制度。檢查方法檢查方法如下：查驗是否制定日常信息安全管理制度，如機(jī)房管理制度等。檢查結(jié)果判定檢查結(jié)果判定如下：若沒有制定日常信息安全管理制度，如機(jī)房管理制

12、度等，則檢查結(jié)果為不符合。5DB11/T 13442016系統(tǒng)人員安全檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查關(guān)鍵崗位人員勞動合同和人員離崗記錄。檢查方法檢查方法如下：查驗關(guān)鍵崗位人員的勞動合同，記錄負(fù)責(zé)人員錄用的部門名稱或人員姓名；查驗離崗人員辦理過的調(diào)離手續(xù)記錄，記錄離崗員工被終止的訪問權(quán)限內(nèi)容。檢查結(jié)果判定檢查結(jié)果判定如下：若無法提供信息安全相關(guān)崗位人員勞動合同，則 a）檢查結(jié)果為不符合；若對離崗人員未及時終止訪問權(quán)限，則 b）檢查結(jié)果為不符合。系統(tǒng)安全Th命周期檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查系統(tǒng)設(shè)計、系統(tǒng)實施、系統(tǒng)驗收、系統(tǒng)運(yùn)維等生命周期各階段的安全管理制度和相應(yīng)記錄保存情況。檢查方法檢查方法如下：

13、查驗定級報告，記錄定級報告名稱和蓋章批準(zhǔn)的部門名稱；查驗安全設(shè)計方案，記錄安全設(shè)計方案的名稱；查驗安全產(chǎn)品的銷售許可證副本；查驗負(fù)責(zé)工程實施過程管理的部門名稱或人員姓名；查驗安全性驗收測試方案和測試驗收報告，記錄報告的名稱；查驗機(jī)房安全管理制度，記錄制度文檔名稱，核對是否規(guī)定機(jī)房物理訪問、物品帶入帶出等；查驗與信息系統(tǒng)相關(guān)的資產(chǎn)清單，記錄資產(chǎn)清單名稱，核對清單是否至少包括資產(chǎn)名稱、資產(chǎn)位置、資產(chǎn)責(zé)任部門或責(zé)任人等；查驗設(shè)備管理的部門名稱或人員姓名，記錄部門名稱或人員姓名，查驗設(shè)備維護(hù)記錄；查驗網(wǎng)絡(luò)管理的部門名稱或人員姓名，查驗網(wǎng)絡(luò)管理的日常監(jiān)控記錄，核對記錄是否至少包括監(jiān)控時間、監(jiān)控內(nèi)容、監(jiān)控

14、人員等；查驗系統(tǒng)漏洞掃描報告，記錄掃描報告的名稱，核對記錄是否至少包括掃描時間、掃描范圍、發(fā)現(xiàn)的漏洞、處理措施等；查驗和記錄員工所用殺毒軟件的名稱和版本；查驗安全事件報告和處置管理制度，是否規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復(fù)的管理職責(zé)。檢查結(jié)果判定檢查結(jié)果判定如下：6DB11/T 13442016若無法提供系統(tǒng)定級報告書，無單位信息安全領(lǐng)導(dǎo)（小組）的批準(zhǔn)蓋章，則 a）檢查結(jié)果為不符合；若無法提供安全設(shè)計方案，則 b）檢查結(jié)果為不符合；若無法提供安全產(chǎn)品銷售許可證副本，則 c）檢查結(jié)果為不符合；若無法提供負(fù)責(zé)工程實施過程管理的部門名稱或人員姓名，則 d）檢查結(jié)果為不符合；若無法提供安全驗

15、收測試方案和測試報告，則 e）檢查結(jié)果為不符合；若無法提供機(jī)房安全管理制度，對機(jī)房環(huán)境、重要區(qū)域的訪問、人員和物品的出入未進(jìn)行規(guī)定，則 f）檢查結(jié)果為不符合；若無法提供與信息系統(tǒng)相關(guān)的資產(chǎn)清單，清單未包括資產(chǎn)名稱、資產(chǎn)位置、資產(chǎn)責(zé)任部門或責(zé)任人等，則 g）檢查結(jié)果為不符合；若無法提供設(shè)備管理的部門名稱或人員姓名及設(shè)備維護(hù)記錄，則 h）檢查結(jié)果為不符合；若無法提供網(wǎng)絡(luò)管理的部門名稱或人員姓名，網(wǎng)絡(luò)管理的日常監(jiān)控記錄中未包括監(jiān)控時間、監(jiān)控內(nèi)容、監(jiān)控人員，則 i）檢查結(jié)果為不符合；若無法提供系統(tǒng)漏洞掃描報告，記錄中未包括掃描時間、掃描范圍、發(fā)現(xiàn)的漏洞、處理措施等，則 j）檢查結(jié)果為不符合；若員工未使

16、用殺毒軟件或病毒庫未及時更新，則 k）檢查結(jié)果為不符合；若無法提供安全事件報告和處置管理制度，或內(nèi)容未覆蓋事件處理、報告和后期恢復(fù)的管理職責(zé)，則 l）檢查結(jié)果為不符合。二級信息系統(tǒng)檢查物理安全要求物理位置選擇檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查機(jī)房的選址和所在建筑物的防護(hù)能力。檢查方法檢查方法如下：查驗機(jī)房所在樓宇的驗收報告是否明確機(jī)房所在建筑的防震、防風(fēng)和防雨等能力。檢查結(jié)果判定檢查結(jié)果判定如下：若無法提供機(jī)房所在建筑物樓宇的驗收報告，或未采取防風(fēng)和防雨等措施，則檢查結(jié)果為不符合。物理訪問控制檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查物理訪問控制措施。7DB11/T 13442016檢查方法檢查方法如下：查驗機(jī)房

17、所有出入口是否有值守記錄以及進(jìn)出機(jī)房的人員登記記錄；查驗是否有來訪人員進(jìn)入機(jī)房的審批記錄，查驗審批記錄是否包括來訪人員的訪問范圍。檢查結(jié)果判定檢查結(jié)果判定如下：若機(jī)房任何一個出入口沒有值守記錄和進(jìn)出人員登記記錄，則 a）檢查結(jié)果為不符合；若不具有來訪人員進(jìn)入機(jī)房的審批記錄，或?qū)徟涗浿胁痪邆鋪碓L人員的訪問范圍、所進(jìn)行的操作等審批項，則 b）檢查結(jié)果為不符合。支撐設(shè)施保障檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查防水措施；應(yīng)檢查防火措施；應(yīng)檢查溫濕度控制措施；應(yīng)檢查防靜電措施；應(yīng)檢查短期備用電源設(shè)備。檢查方法檢查方法如下：查驗是否具備防止機(jī)房地下積水轉(zhuǎn)移與滲透的措施，是否對防水防潮處理結(jié)果和除濕裝置運(yùn)行情況進(jìn)

18、行記錄；查驗機(jī)房是否設(shè)置了自動消防系統(tǒng)，是否有人負(fù)責(zé)維護(hù)該系統(tǒng)的運(yùn)行；查驗自動消防系統(tǒng)是否正常工作，查看是否有運(yùn)行記錄、報警記錄、定期檢查和維修記錄；查驗溫濕度自動調(diào)節(jié)設(shè)施是否能夠正常運(yùn)行，查驗是否有溫濕度記錄、運(yùn)行記錄和維護(hù)記錄；訪談物理安全負(fù)責(zé)人，詢問機(jī)房主要設(shè)備是否采取必要的接地防靜電措施；查驗計算機(jī)系統(tǒng)的短期備用電源設(shè)備是否正常運(yùn)行，查驗是否有短期備用電源設(shè)備的檢查和維護(hù)記錄。檢查結(jié)果判定檢查結(jié)果判定如下：若機(jī)房的墻壁或樓板的管道沒有采取必要的防滲透防漏等防水保護(hù)措施，或防水防潮處理結(jié)果及除濕裝置運(yùn)行記錄缺失，則 a）檢查結(jié)果為不符合；若機(jī)房內(nèi)沒有設(shè)置自動檢測火情、自動報警、自動滅火的

19、自動消防系統(tǒng)，或自動消防系統(tǒng)無法正常工作，運(yùn)行記錄、報警記錄、定期檢查和維修記錄缺失，則 b）檢查結(jié)果為不符合；若機(jī)房內(nèi)沒有配備溫濕度自動調(diào)節(jié)設(shè)施，或溫濕度記錄、運(yùn)行記錄和維護(hù)記錄缺失，則 c）檢查結(jié)果為不符合；若機(jī)房內(nèi)沒有設(shè)置靜電接地，則 d）檢查結(jié)果為不符合；8DB11/T 13442016若機(jī)房內(nèi)沒有設(shè)置短期備用電源設(shè)備（如UPS），或短期備用電源設(shè)備的檢查和維護(hù)記錄缺失，則 e）檢查結(jié)果為不符合。安全技術(shù)要求網(wǎng)絡(luò)結(jié)構(gòu)安全檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查網(wǎng)絡(luò)拓?fù)鋱D和重要網(wǎng)段劃分情況。檢查方法檢查方法如下：查驗實際環(huán)境中的核心交換機(jī)、核心服務(wù)器、邊界防火墻等是否能夠在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖中定位；訪談

20、網(wǎng)絡(luò)管理員，詢問網(wǎng)段劃分情況以及劃分的原則。檢查結(jié)果判定檢查結(jié)果判定如下：若網(wǎng)絡(luò)拓?fù)鋱D中無法定位核心交換機(jī)、核心服務(wù)器、邊界防火墻等關(guān)鍵設(shè)備，則 a）檢查結(jié)果為不符合；若網(wǎng)絡(luò)沒有劃分子網(wǎng)，則 b）檢查結(jié)果為不符合。邊界安全防護(hù)檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查網(wǎng)絡(luò)邊界訪問控制、網(wǎng)絡(luò)入侵檢測措施。檢查方法檢查方法如下：查驗防火墻等邊界安全設(shè)備是否配置網(wǎng)段級的訪問控制策略；查驗網(wǎng)絡(luò)邊界設(shè)備是否采取技術(shù)手段防止地址欺騙；查驗網(wǎng)絡(luò)入侵檢測設(shè)備是否能檢測以下攻擊行為：端口掃描、漏洞掃描、緩沖區(qū)溢出攻擊、拒絕服務(wù)攻擊等，查看其規(guī)則庫是否為最新；查驗邊界完整性檢查設(shè)備是否設(shè)置了對非法連接到外網(wǎng)的行為進(jìn)行監(jiān)控并有效

21、阻斷的配置。檢查結(jié)果判定檢查結(jié)果判定如下：若沒有在網(wǎng)絡(luò)邊界部署防火墻等訪問控制設(shè)備或訪問控制策略沒有到網(wǎng)段級，則 a）檢查結(jié)果為不符合；若重要地址沒有采用IP/MAC綁定等手段防止地址欺騙，則 b）檢查結(jié)果為不符合；若沒有部署入侵檢測設(shè)備或入侵檢測設(shè)備的特征庫未及時更新，則 c）檢查結(jié)果為不符合；若沒有相應(yīng)的手段監(jiān)控和阻止內(nèi)部用戶非法連接到外網(wǎng)，則 d）檢查結(jié)果為不符合。9DB11/T 13442016用戶身份鑒別檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應(yīng)用系統(tǒng)的身份鑒別措施和口令策略。檢查方法檢查方法如下：查驗主要網(wǎng)絡(luò)設(shè)備、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應(yīng)用系統(tǒng)的身

22、份鑒別是否開啟，口令的復(fù)雜度情況；查驗操作系統(tǒng)、應(yīng)用系統(tǒng)是否具備登錄失敗賬戶鎖定功能。檢查結(jié)果判定檢查結(jié)果判定如下：若主要網(wǎng)絡(luò)設(shè)備、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應(yīng)用系統(tǒng)無需身份鑒別，或出現(xiàn)弱口令、默認(rèn)口令、空口令，設(shè)置少于8位且僅由數(shù)字或字母組成的口令，則 a）檢查結(jié)果為不符合；未設(shè)置連續(xù)登錄失敗賬戶鎖定功能，則 b）檢查結(jié)果為不符合。訪問控制檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應(yīng)用該系統(tǒng)的默認(rèn)賬戶和系統(tǒng)賬戶的權(quán)限分配情況。檢查方法檢查方法如下：查驗主要服務(wù)器操作系統(tǒng)和重要數(shù)據(jù)庫管理系統(tǒng)是否已禁用或者限制匿名/默認(rèn)賬戶的訪問權(quán)限，是否重命名系統(tǒng)默認(rèn)賬戶名并修改默認(rèn)賬戶的默

23、認(rèn)口令；通過訪談詢問應(yīng)用系統(tǒng)的訪問控制策略及粒度；以不同權(quán)限的用戶登錄應(yīng)用系統(tǒng)，查看其擁有的權(quán)限是否與系統(tǒng)賦予的權(quán)限一致，驗證應(yīng)用系統(tǒng)訪問控制功能是否有效。檢查結(jié)果判定檢查結(jié)果判定如下：操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)默認(rèn)賬戶名未重命名，默認(rèn)口令未修改，則 a）檢查結(jié)果為不符合；Windows操作系統(tǒng)未禁用Guest默認(rèn)賬戶、Linux操作系統(tǒng)未禁用默認(rèn)用戶（如daemon、bin、sys、adm等），則 a）檢查結(jié)果為不符合；其他操作系統(tǒng)存在未重命名的默認(rèn)系統(tǒng)用戶，則 a）檢查結(jié)果為不符合；應(yīng)用系統(tǒng)普通用戶登錄后具備系統(tǒng)管理等管理員同樣的權(quán)限，則 b）檢查結(jié)果為不符合；權(quán)限之間未形成相互制約，如未做

24、到管理權(quán)限和審計權(quán)限的分離，則 b）檢查結(jié)果為不符合。10DB11/T 13442016審計日志管理檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查網(wǎng)絡(luò)設(shè)備的日志、操作系統(tǒng)日志、數(shù)據(jù)庫日志、應(yīng)用系統(tǒng)日志的保存情況。檢查方法檢查方法如下：查驗網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)是否具備了審計日志;查驗是否通過日志覆蓋周期、覆蓋方式、日志文件/空間大小、日志文件操作權(quán)限等設(shè)置，實現(xiàn)對審計記錄的保護(hù)。檢查結(jié)果判定檢查結(jié)果判定如下：不具備網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)的審計日志，則 a）檢查結(jié)果為不符合；未合理配置網(wǎng)絡(luò)設(shè)備日志緩沖區(qū)大小，則 b）檢查結(jié)果為不符合；未對各層面的審計日志設(shè)定覆蓋周期、覆蓋方式、讀寫權(quán)限

25、等，則 b）檢查結(jié)果為不符合；未對各層面的審計日志進(jìn)行備份，則 b）檢查結(jié)果為不符合；應(yīng)用系統(tǒng)為用戶提供日志單條刪除功能，則 b）檢查結(jié)果為不符合。系統(tǒng)數(shù)據(jù)保護(hù)檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)中的口令加密情況；應(yīng)檢查應(yīng)用系統(tǒng)數(shù)據(jù)備份介質(zhì)。檢查方法檢查方法如下：查驗網(wǎng)絡(luò)設(shè)備的配置文件中用戶口令是否加密存儲；查驗應(yīng)用系統(tǒng)存儲用戶信息的數(shù)據(jù)表中用戶口令字段是否加密存儲；查驗是否對主要網(wǎng)絡(luò)設(shè)備、主要數(shù)據(jù)庫管理系統(tǒng)和主要應(yīng)用系統(tǒng)的重要信息進(jìn)行了本地備份，備份介質(zhì)是否場外存放。檢查結(jié)果判定檢查結(jié)果判定如下：若網(wǎng)絡(luò)設(shè)備配置文件中存儲了明文用戶口令，則 a）檢查結(jié)果為不符合；若應(yīng)用系統(tǒng)的數(shù)據(jù)庫中

26、存儲了明文用戶口令，則 b）檢查結(jié)果為不符合；若缺乏主要網(wǎng)絡(luò)設(shè)備、主要數(shù)據(jù)庫管理系統(tǒng)和主要應(yīng)用系統(tǒng)重要信息的備份，則 c）檢查結(jié)果為不符合；備份介質(zhì)若無場外存放，則 c）檢查結(jié)果為不符合。11DB11/T 13442016安全管理要求安全管理機(jī)構(gòu)檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查安全崗位人員配備情況和安全制度審批機(jī)制建立情況。檢查方法檢查方法如下：查驗崗位設(shè)置管理制度和工作責(zé)任書，檢查是否有安全主管、安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員等崗位的工作職責(zé)描述；查驗系統(tǒng)、網(wǎng)絡(luò)、安全方面的管理規(guī)定，記錄系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、安全管理員的姓名，核對安全管理員是否專職；查驗審批流程規(guī)定和審批記錄

27、，記錄審批流程規(guī)定和審批記錄的名稱，核對審批記錄是否至少包括審批時間、申請人、審批內(nèi)容、審批人；查驗外聯(lián)單位聯(lián)系列表，核對是否至少包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息；查驗安全檢查制度，記錄安全檢查制度的名稱，查驗定期安全檢查記錄，核對記錄是否至少包括檢查時間、檢查人員、檢查對象、檢查結(jié)果。檢查結(jié)果判定檢查結(jié)果判定如下：若沒有提供崗位設(shè)置管理制度和工作責(zé)任書，未明確安全主管、安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員等崗位設(shè)置和工作職責(zé)，則 a）檢查結(jié)果為不符合；若信息安全管理制度（網(wǎng)絡(luò)、主機(jī)、密碼、審計等制度）中沒有明確角色和職責(zé)定義，沒有信息安全管理崗位人員名單，未設(shè)置專職的信息安全

28、管理員，或安全管理員存在兼任現(xiàn)象，則 b）檢查結(jié)果為不符合；若沒有建立對機(jī)房及重要區(qū)域進(jìn)出、系統(tǒng)或網(wǎng)絡(luò)重要操作（系統(tǒng)上線變更、配置變更、加固、安全管理等）的審批程序，或無法提供相關(guān)事件的審批記錄，則 c）檢查結(jié)果為不符合；若沒有建立外聯(lián)單位聯(lián)系列表，或內(nèi)容不完整，則 d）檢查結(jié)果為不符合；若沒有制定安全檢查工作制度和流程，沒有定期進(jìn)行安全檢查活動并保留檢查記錄，則 e）檢查結(jié)果為不符合。安全管理制度檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查信息安全工作的總體方針和安全策略制定、發(fā)布方式和定期評審修訂情況。檢查方法檢查方法如下：12DB11/T 13442016查驗信息安全管理體系總體方針、安全策略方面的相關(guān)

29、文檔，記錄信息安全工作的總體方針、抽查的安全策略文檔名稱等；查驗安全管理制度發(fā)布到相關(guān)人員手中的方式；查驗安全管理制度的審定和修訂記錄，核對評審記錄是否至少包括評審時間、評審地點、參與評審人員和評審結(jié)論，修訂記錄是否至少包括修訂時間、修訂內(nèi)容、修訂人等信息。檢查結(jié)果判定檢查結(jié)果判定如下：若沒有制定信息安全工作的總體方針和安全策略，則 a）檢查結(jié)果為不符合；若安全管理制度沒有采用文件、郵件或辦公網(wǎng)等有效途徑發(fā)布，則 b）檢查結(jié)果為不符合；若沒有定期對安全管理制度進(jìn)行檢查，組織召開評審會，或評審記錄內(nèi)容不完整，則 c）檢查結(jié)果為不符合。系統(tǒng)人員安全檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查重要崗位人員勞動合同、

30、人員離崗記錄、保密協(xié)議、人員培訓(xùn)和考核記錄。檢查方法檢查方法如下：查驗重要崗位人員的勞動合同和保密協(xié)議，記錄保密協(xié)議名稱，核對協(xié)議內(nèi)容是否至少包括保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議有效期和責(zé)任人簽字等；查驗重要崗位（如安全管理員）離崗人員辦理過的調(diào)離手續(xù)記錄，核對記錄是否至少包括人員姓名、調(diào)離崗位、調(diào)離時間、收回權(quán)限及物品、核對人簽字、批準(zhǔn)人簽字等；查驗各崗位人員的安全技能和安全認(rèn)知考核記錄，核對記錄是否至少包括考核時間、考核對象、考核內(nèi)容、考核結(jié)果等；查驗安全教育和培訓(xùn)計劃，核對計劃是否明確了培訓(xùn)方式、培訓(xùn)對象、培訓(xùn)內(nèi)容、培訓(xùn)時間和地點等，查驗培訓(xùn)記錄是否至少包括培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果

31、等描述。檢查結(jié)果判定檢查結(jié)果判定如下：若無法提供信息安全相關(guān)崗位人員的勞動合同或保密協(xié)議，則 a）檢查結(jié)果為不符合；若重要崗位人員離崗記錄中，未包括人員姓名、調(diào)離崗位、調(diào)離時間、收回權(quán)限及物品、核對人簽字、批準(zhǔn)人簽字等，則 b）檢查結(jié)果為不符合；若無法提供針對不同崗位人員的安全技能和安全意識考核記錄，則 c）檢查結(jié)果為不符合；若無法提供安全教育和培訓(xùn)計劃，計劃或記錄內(nèi)容不完整，則 d）檢查結(jié)果為不符合。系統(tǒng)安全Th命周期檢查內(nèi)容檢查內(nèi)容如下：13DB11/T 13442016應(yīng)檢查系統(tǒng)設(shè)計、系統(tǒng)開發(fā)、系統(tǒng)實施、系統(tǒng)測評、系統(tǒng)驗收、系統(tǒng)交付、系統(tǒng)運(yùn)維等生命周期各階段的安全管理制度和相應(yīng)記錄保存情

32、況。檢查方法檢查方法如下：查驗定級報告，記錄定級報告名稱和蓋章批準(zhǔn)的部門名稱；查驗安全設(shè)計方案，記錄安全設(shè)計方案的名稱；查驗安全產(chǎn)品和密碼產(chǎn)品的銷售許可證副本；查驗軟件開發(fā)管理制度，記錄制度文檔名稱，核實有無開發(fā)過程的控制方法和人員行為準(zhǔn)則；若為外包軟件開發(fā)，請被檢查機(jī)構(gòu)的配合人員提供軟件的惡意代碼檢測記錄和報告；查驗工程實施方案，記錄實施方案名稱，核對實施方案是否至少包括背景、目的、內(nèi)容、進(jìn)度安排、實施人員和風(fēng)險管理等；查驗安全性驗收測試方案和測試驗收報告，記錄報告的名稱；查驗測試驗收報告的審定記錄，記錄報告簽字人姓名等；查驗系統(tǒng)交付清單，記錄系統(tǒng)交付清單的名稱，核對是否包括交接的設(shè)備名稱及

33、數(shù)量、軟件名稱及數(shù)量、文檔名稱及數(shù)量等；查驗機(jī)房安全管理制度，記錄制度文檔名稱，核對是否規(guī)定機(jī)房物理訪問、物品帶入帶出等；查驗資產(chǎn)安全管理制度，記錄制度文檔名稱、規(guī)定的資產(chǎn)管理責(zé)任人或責(zé)任部門，核對是否至少包括資產(chǎn)管理和使用的行為；查驗介質(zhì)安全管理制度，記錄制度文檔名稱，查閱對介質(zhì)的存放環(huán)境、使用、維護(hù)和銷毀的規(guī)范化規(guī)定；查驗設(shè)備安全管理制度，記錄制度文檔名稱，查閱是否有軟硬件設(shè)備的選型、采購、發(fā)放和領(lǐng)用的管理規(guī)定；查驗信息處理設(shè)備帶離機(jī)房或辦公地點的審批記錄；查驗網(wǎng)絡(luò)安全管理制度，是否覆蓋網(wǎng)絡(luò)安全配置、安全策略、升級與補(bǔ)丁、授權(quán)訪問、日志保存時間、口令更新周期等方面內(nèi)容；通過訪談了解是否定期

34、對系統(tǒng)進(jìn)行漏洞掃描，記錄掃描周期，發(fā)現(xiàn)漏洞是否及時修補(bǔ)；查驗系統(tǒng)漏洞掃描報告，掃描時間間隔與掃描周期是否一致；查驗系統(tǒng)安全管理制度，內(nèi)容是否覆蓋系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面；查驗是否有惡意代碼防范方面的管理制度，查看其內(nèi)容是否覆蓋防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報等方面；查驗變更管理制度，是否覆蓋變更前審批、變更過程記錄、變更后通報等方面內(nèi)容，是否包括變更申報、審批程序，是否規(guī)定需要申報的變更類型、申報流程、審批部門、批準(zhǔn)人等方面內(nèi)容；查驗安全事件報告和處置管理制度，是否明確安全事件類型，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復(fù)的管理職責(zé)。檢查結(jié)果判定

35、檢查結(jié)果判定如下：若無法提供系統(tǒng)定級報告書，無單位信息安全領(lǐng)導(dǎo)（小組）的批準(zhǔn)蓋章，則 a）檢查結(jié)果為不符合；若無法提供安全設(shè)計方案，則 b）檢查結(jié)果為不符合；若無法提供安全產(chǎn)品和密碼產(chǎn)品的銷售許可證副本，則 c）檢查結(jié)果為不符合；14DB11/T 13442016若無法提供軟件開發(fā)管理制度，若為外包軟件開發(fā)，無法提供軟件的惡意代碼掃描記錄和檢測報告，則 d）檢查結(jié)果為不符合；若無法提供工程實施方案，實施方案未包括背景、目的、內(nèi)容、進(jìn)度安排、實施人員和風(fēng)險管理等，則 e）檢查結(jié)果為不符合；若無法提供安全驗收測試方案和測試報告，或無測試報告結(jié)果的評審記錄，則 f）檢查結(jié)果為不符合；若無法提供詳細(xì)的

36、系統(tǒng)交付清單，清單中的信息不完整，或各環(huán)節(jié)無負(fù)責(zé)人員簽字，則 g）檢查結(jié)果為不符合；若無法提供機(jī)房安全管理制度，對機(jī)房環(huán)境、重要區(qū)域的訪問、人員和物品的出入未進(jìn)行規(guī)定，則 h）檢查結(jié)果為不符合；若無法提供資產(chǎn)安全管理制度，未明確資產(chǎn)管理責(zé)任部門和人員、管理和使用行為、資產(chǎn)編號和分類方法、信息存儲和保存發(fā)放等，則 i）檢查結(jié)果為不符合；若無法提供介質(zhì)安全管理制度，或內(nèi)容未包含對介質(zhì)的存放環(huán)境、使用、維護(hù)和銷毀的規(guī)范化規(guī)定，則 j）檢查結(jié)果為不符合；若無法提供設(shè)備安全管理制度，或內(nèi)容不合理、不完整；無法提供設(shè)備帶離辦公場所或機(jī)房的審批記錄，則 k）檢查結(jié)果為不符合；若無法提供網(wǎng)絡(luò)安全管理制度，或內(nèi)

37、容未覆蓋網(wǎng)絡(luò)安全配置、日志保存時間、安全策略、升級與補(bǔ)丁、口令更新周期等方面，則 l）檢查結(jié)果為不符合；若無法提供系統(tǒng)安全管理制度，或內(nèi)容未覆蓋系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面；無法提供定期對服務(wù)器進(jìn)行漏洞掃描的報告，則 m）檢查結(jié)果為不符合；若無法提供惡意代碼防范方面的管理制度，其內(nèi)容未覆蓋防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報等方面，則 n）檢查結(jié)果為不符合；若無法提供變更管理制度，或內(nèi)容未覆蓋系統(tǒng)上線變更、配置變更和其他重要變更等，則 o）檢查結(jié)果為不符合；若無法提供安全事件報告和處置管理制度，或內(nèi)容未覆蓋安全事件類型，事件處理、報告和后期恢復(fù)的管理職責(zé)，

38、則 p）檢查結(jié)果為不符合。系統(tǒng)連續(xù)性保障檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查業(yè)務(wù)中斷影響分析報告、業(yè)務(wù)連續(xù)性技術(shù)環(huán)境、備份恢復(fù)管理制度和應(yīng)急響應(yīng)機(jī)制。檢查方法檢查方法如下：查驗業(yè)務(wù)中斷影響分析報告，是否對業(yè)務(wù)中斷的可能性和造成的影響進(jìn)行分析；查驗網(wǎng)絡(luò)鏈路、網(wǎng)絡(luò)設(shè)備、服務(wù)器和數(shù)據(jù)存儲設(shè)備列表和說明，是否不存在關(guān)鍵節(jié)點單點故障；查驗備份與恢復(fù)方面的管理制度，是否明確了備份方式、備份頻度、存儲介質(zhì)和保存期等方面內(nèi)容；查驗應(yīng)急預(yù)案；通過訪談系統(tǒng)運(yùn)維負(fù)責(zé)人了解是否定期對應(yīng)急預(yù)案進(jìn)行演練并保留演練記錄。檢查結(jié)果判定檢查結(jié)果判定如下：15DB11/T 13442016若無法提供業(yè)務(wù)中斷影響分析報告，內(nèi)容未包括業(yè)務(wù)中

39、斷的可能性和造成的影響分析，則 a）檢查結(jié)果為不符合；若無法提供網(wǎng)絡(luò)鏈路、網(wǎng)絡(luò)設(shè)備、服務(wù)器和數(shù)據(jù)存儲設(shè)備列表和說明，關(guān)鍵節(jié)點存在單點故障，則 b）檢查結(jié)果為不符合；若無法提供備份與恢復(fù)管理相關(guān)的安全管理制度，未明確系統(tǒng)和數(shù)據(jù)備份頻率和方式，則 c）檢查結(jié)果為不符合；若未制定應(yīng)急預(yù)案，內(nèi)容未覆蓋應(yīng)急預(yù)案啟動的條件、應(yīng)急處理所需要的人力、物力和流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容；或未定期開展應(yīng)急預(yù)案演練并未保留記錄，則 d）檢查結(jié)果為不符合。三級信息系統(tǒng)檢查物理安全要求物理位置選擇檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查機(jī)房的選址和所在建筑物的防護(hù)能力。檢查方法檢查方法如下：查驗機(jī)房所在樓宇的驗收報告是

40、否明確機(jī)房所在建筑的防震、防風(fēng)和防雨等能力；查驗機(jī)房是否在建筑物的頂層或地下室，是否加強(qiáng)防水和防潮措施。檢查結(jié)果判定檢查結(jié)果判定如下：若無法提供機(jī)房所在建筑物樓宇的驗收報告，或未采取防風(fēng)和防雨等措施，則 a）檢查結(jié)果為不符合；如果機(jī)房選址在地下室或頂層，且未加強(qiáng)防水和防潮措施，則 b）檢查結(jié)果為不符合。物理訪問控制檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查物理訪問控制措施。檢查方法檢查方法如下：查驗機(jī)房所有出入口是否有值守記錄以及進(jìn)出機(jī)房的人員登記記錄；查驗是否有來訪人員進(jìn)入機(jī)房的審批記錄，查驗審批記錄是否包括來訪人員的訪問范圍；查驗機(jī)房內(nèi)的運(yùn)維區(qū)域和設(shè)備區(qū)域是否有隔離措施；查驗電子門禁系統(tǒng)是否能正常工作；

41、查驗是否有電子門禁系統(tǒng)的運(yùn)行和維護(hù)記錄。檢查結(jié)果判定16DB11/T 13442016檢查結(jié)果判定如下：若機(jī)房任何一個出入口沒有值守記錄和進(jìn)出人員登記記錄，則 a）檢查結(jié)果為不符合；若沒有來訪人員進(jìn)入機(jī)房的審批記錄，或?qū)徟涗浿胁痪邆鋪碓L人員的訪問范圍以及所要執(zhí)行的操作等審批項，則 b）檢查結(jié)果為不符合；若機(jī)房內(nèi)的運(yùn)維區(qū)域和設(shè)備區(qū)域間沒有隔離措施，如玻璃門等，則 c）檢查結(jié)果為不符合；若機(jī)房內(nèi)沒有設(shè)置電子門禁系統(tǒng)，或者電子門禁系統(tǒng)無法正常工作，或沒有電子門禁系統(tǒng)運(yùn)行和維護(hù)記錄，則 d）檢查結(jié)果為不符合。支撐設(shè)施保障檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查防水措施；應(yīng)檢查防火措施；應(yīng)檢查溫濕度控制措施；應(yīng)檢

42、查防靜電措施；應(yīng)檢查電力保障措施和通信線纜保護(hù)措施。檢查方法檢查方法如下：查驗是否具備防止機(jī)房地下積水轉(zhuǎn)移與滲透的措施，是否對防水防潮處理結(jié)果和除濕裝置運(yùn)行情況進(jìn)行記錄；查驗是否設(shè)置對水敏感的檢測儀表或元件對機(jī)房進(jìn)行防水檢測和報警；查驗該儀表或元件是否正常運(yùn)行，是否有日常狀態(tài)運(yùn)行監(jiān)測記錄，是否有人負(fù)責(zé)其運(yùn)行管理工作；查驗機(jī)房是否設(shè)置了自動檢測火情、自動報警、自動滅火的自動消防系統(tǒng)，查驗自動消防系統(tǒng)是否正常工作，是否有運(yùn)行記錄、報警記錄、定期檢查和維修記錄；查驗機(jī)房及相關(guān)的工作房間和輔助房是否采用具有耐火等級的建筑材料；查驗溫濕度自動調(diào)節(jié)設(shè)施是否能夠正常運(yùn)行，查驗是否有溫濕度記錄、運(yùn)行記錄和維護(hù)

43、記錄；訪談物理安全負(fù)責(zé)人，詢問機(jī)房主要設(shè)備是否采取必要的接地防靜電措施，查驗機(jī)房是否采用了防靜電地板；查驗是否有短期備用電源設(shè)備或備用供電系統(tǒng)及其檢查和維護(hù)記錄，是否有冗余或并行的電力電纜線路切換記錄、備用供電系統(tǒng)運(yùn)行記錄；查驗機(jī)房是否采取通信線纜與電源線隔離鋪設(shè)等通信線纜保護(hù)措施。檢查結(jié)果判定檢查結(jié)果判定如下：若機(jī)房的墻壁或樓板的管道沒有采取必要的防滲透防漏等防水保護(hù)措施，或防水防潮處理結(jié)果及除濕裝置運(yùn)行記錄缺失，則 a）檢查結(jié)果為不符合；若機(jī)房內(nèi)沒有設(shè)置對水敏感的檢測儀表或元件對機(jī)房進(jìn)行防水檢測和報警，則 b）檢查結(jié)果為不符合；17DB11/T 13442016若機(jī)房內(nèi)沒有設(shè)置自動檢測火情

44、、自動報警、自動滅火的自動消防系統(tǒng)，或自動消防系統(tǒng)無法正常工作，運(yùn)行記錄、報警記錄、定期檢查和維修記錄缺失，則 c）檢查結(jié)果為不符合；若機(jī)房及相關(guān)的工作房間和輔助房沒有采用具有耐火等級的建筑材料，則 d）不符合；若機(jī)房內(nèi)沒有配備溫濕度自動調(diào)節(jié)設(shè)施，或溫濕度記錄、運(yùn)行記錄和維護(hù)記錄缺失，則 e）檢查結(jié)果為不符合；若機(jī)房內(nèi)沒有設(shè)置靜電接地，或機(jī)房未采用防靜電地板，則 f）檢查結(jié)果為不符合；若機(jī)房內(nèi)沒有設(shè)置短期備用電源設(shè)備（如UPS）或備用供電系統(tǒng)，則 g）檢查結(jié)果為不符合；若機(jī)房沒有采取通信線纜與電源線隔離鋪設(shè)，則 h）檢查結(jié)果為不符合。安全技術(shù)要求網(wǎng)絡(luò)結(jié)構(gòu)安全檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查網(wǎng)絡(luò)拓?fù)?/p>

45、圖和重要網(wǎng)段劃分情況；應(yīng)檢查網(wǎng)絡(luò)線路部署的冗余措施。檢查方法檢查方法如下：查驗實際環(huán)境中的核心交換機(jī)、核心服務(wù)器、邊界防火墻等是否能夠在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖中定位；訪談網(wǎng)絡(luò)管理員，詢問網(wǎng)段劃分情況以及劃分的原則；查驗重要網(wǎng)段間的核心交換機(jī)或防火墻是否配置了訪問控制策略；查驗是否提供關(guān)鍵網(wǎng)絡(luò)設(shè)備、主要通信線路和核心數(shù)據(jù)處理系統(tǒng)的熱備。檢查結(jié)果判定檢查結(jié)果判定如下：若網(wǎng)絡(luò)拓?fù)鋱D中無法定位核心交換機(jī)、核心服務(wù)器、邊界防火墻等關(guān)鍵設(shè)備，則 a）檢查結(jié)果為不符合；若網(wǎng)絡(luò)沒有劃分子網(wǎng)，則 b）檢查結(jié)果為不符合；核心交換機(jī)或防火墻沒有設(shè)置訪問控制策略（ACL），則 c）檢查結(jié)果為不符合；若網(wǎng)絡(luò)內(nèi)關(guān)鍵網(wǎng)絡(luò)設(shè)備、主要

46、通信線路和核心數(shù)據(jù)處理系統(tǒng)存在單點故障，則 d）檢查結(jié)果為不符合。邊界安全防護(hù)檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查網(wǎng)絡(luò)邊界訪問控制、網(wǎng)絡(luò)入侵檢測和網(wǎng)絡(luò)惡意代碼防范措施。檢查方法檢查方法如下：查驗防火墻等邊界安全設(shè)備是否配置協(xié)議端口級的訪問控制策略；查驗網(wǎng)絡(luò)邊界設(shè)備是否采取技術(shù)手段防止地址欺騙；18DB11/T 13442016查驗網(wǎng)絡(luò)入侵檢測設(shè)備是否能檢測以下攻擊行為：端口掃描、漏洞掃描、緩沖區(qū)溢出攻擊、拒絕服務(wù)攻擊等，查看其規(guī)則庫是否為最新，并對發(fā)現(xiàn)的入侵行為進(jìn)行阻攔；查驗防惡意代碼產(chǎn)品是否正常運(yùn)行，惡意代碼庫是否為最新版本；查驗邊界完整性檢查設(shè)備是否設(shè)置了對非法連接到外網(wǎng)和非法連接到內(nèi)網(wǎng)的行為進(jìn)行

47、監(jiān)控并有效阻斷的配置。檢查結(jié)果判定檢查結(jié)果判定如下：若沒有在網(wǎng)絡(luò)邊界部署防火墻等訪問控制設(shè)備或訪問控制策略沒有到端口級，則 a）檢查結(jié)果為不符合；若重要地址沒有采用IP/MAC綁定等手段防止地址欺騙，則 b）檢查結(jié)果為不符合；若沒有部署入侵檢測設(shè)備或入侵檢測設(shè)備的特征庫未及時更新，則 c）檢查結(jié)果為不符合；如果系統(tǒng)與互聯(lián)網(wǎng)存在接口，未在邊界部署網(wǎng)絡(luò)防惡意代碼產(chǎn)品，病毒庫未進(jìn)行過至少每周一次的更新，則 d）檢查結(jié)果為不符合；若沒有相應(yīng)的手段監(jiān)控和阻止內(nèi)部用戶非法連接到外網(wǎng)，則 e）檢查結(jié)果為不符合；若沒有相應(yīng)的手段監(jiān)控和阻止非授權(quán)用戶連接到內(nèi)網(wǎng)，則 e）檢查結(jié)果為不符合。用戶身份鑒別檢查內(nèi)容檢查

48、內(nèi)容如下：應(yīng)檢查網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應(yīng)用系統(tǒng)的身份鑒別措施、口令策略和強(qiáng)化的身份鑒別技術(shù)。檢查方法檢查方法如下：查驗主要網(wǎng)絡(luò)設(shè)備、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應(yīng)用系統(tǒng)的身份鑒別是否開啟，口令的復(fù)雜度情況和定期修改時間；查驗操作系統(tǒng)、應(yīng)用系統(tǒng)是否具備登錄失敗賬戶鎖定功能；查驗是否采用兩種或兩種以上組合鑒別技術(shù)對管理用戶進(jìn)行身份鑒別。檢查結(jié)果判定檢查結(jié)果判定如下：若主要網(wǎng)絡(luò)設(shè)備、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應(yīng)用系統(tǒng)無需身份鑒別，或出現(xiàn)弱口令、默認(rèn)口令、空口令，設(shè)置少于8位且僅由數(shù)字或字母組成的口令，則 a）檢查結(jié)果為不符合；若口令修改未達(dá)到至少3個月一次，則 a）檢查結(jié)果為

49、不符合；未設(shè)置連續(xù)登錄失敗賬戶鎖定功能，則 b）檢查結(jié)果為不符合；若未采用兩種或兩種以上組合鑒別技術(shù)，則 c）檢查結(jié)果為不符合。訪問控制檢查內(nèi)容19DB11/T 13442016檢查內(nèi)容如下：應(yīng)檢查操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應(yīng)用該系統(tǒng)的默認(rèn)賬戶和系統(tǒng)賬戶的權(quán)限分配情況。檢查方法檢查方法如下：查驗主要服務(wù)器操作系統(tǒng)和重要數(shù)據(jù)庫管理系統(tǒng)是否已禁用或者限制匿名/默認(rèn)賬戶的訪問權(quán)限，是否重命名系統(tǒng)默認(rèn)賬戶名并修改默認(rèn)賬戶的默認(rèn)口令；通過訪談詢問應(yīng)用系統(tǒng)的訪問控制策略及粒度；以不同權(quán)限的用戶登錄應(yīng)用系統(tǒng)，查看其擁有的權(quán)限是否與系統(tǒng)賦予的權(quán)限一致，驗證應(yīng)用系統(tǒng)訪問控制功能是否有效。檢查結(jié)果判定檢查結(jié)果判定

50、如下：操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)默認(rèn)賬戶名未重命名，默認(rèn)口令未修改，則 a）檢查結(jié)果為不符合；Windows操作系統(tǒng)未禁用Guest默認(rèn)賬戶、Linux操作系統(tǒng)未禁用默認(rèn)用戶（如daemon、bin、sys、adm等），則 a）檢查結(jié)果為不符合；其他操作系統(tǒng)存在未重命名的默認(rèn)系統(tǒng)用戶，則 a）檢查結(jié)果為不符合；應(yīng)用系統(tǒng)普通用戶登錄后具備系統(tǒng)管理等管理員同樣的權(quán)限，則 b）檢查結(jié)果為不符合；權(quán)限之間未形成相互制約，如未做到管理權(quán)限和審計權(quán)限的分離，則 b）檢查結(jié)果為不符合；超級管理員未禁止遠(yuǎn)程登錄，其他默認(rèn)賬戶未限制訪問權(quán)限，則 b）檢查結(jié)果為不符合。審計日志管理檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查網(wǎng)絡(luò)設(shè)

51、備的日志、操作系統(tǒng)日志、數(shù)據(jù)庫日志、應(yīng)用系統(tǒng)日志的保存和分析情況。檢查方法檢查方法如下：查驗網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)是否具備了審計日志；查驗是否對網(wǎng)絡(luò)設(shè)備日志、操作系統(tǒng)日志、數(shù)據(jù)庫日志、應(yīng)用系統(tǒng)日志進(jìn)行瀏覽和分析，并根據(jù)需要生成審計報告；查驗是否通過日志覆蓋周期、覆蓋方式、日志存儲的空間大小、日志文件操作權(quán)限等設(shè)置，實現(xiàn)對審計記錄的保護(hù)，日志信息是否至少保存兩個月以上。檢查結(jié)果判定檢查結(jié)果判定如下：不具備網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)的審計日志，則 a）檢查結(jié)果為不符合；應(yīng)用系統(tǒng)日志字段的內(nèi)容未至少包括日期、時間、用戶源、訪問對象、事件描述、事件結(jié)果，則 a）檢查結(jié)果為不符合

52、；20DB11/T 13442016未對各層面的審計日志進(jìn)行分析并生成報告，則 b）檢查結(jié)果為不符合；未合理配置網(wǎng)絡(luò)設(shè)備日志緩沖區(qū)大小，則 c）檢查結(jié)果為不符合；操作系統(tǒng)日志文件權(quán)限設(shè)置不安全（如Windows的日志文件被授予Everyone權(quán)限；Linux日志文件權(quán)限為-rwxrwxrwx(777)），則 c）檢查結(jié)果為不符合；未對各層面的審計日志設(shè)定覆蓋周期、覆蓋方式、讀寫權(quán)限等，則 c）檢查結(jié)果為不符合；未對各層面的審計日志進(jìn)行備份，則 c）檢查結(jié)果為不符合；應(yīng)用系統(tǒng)為用戶提供日志單條刪除功能，則 c）檢查結(jié)果為不符合；未部署網(wǎng)絡(luò)設(shè)備日志集中收集系統(tǒng)（如Syslog服務(wù)器）對日志進(jìn)行集中

53、管理與備份，則 c）檢查結(jié)果為不符合。系統(tǒng)數(shù)據(jù)保護(hù)檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)中的口令加密情況；應(yīng)檢查應(yīng)用系統(tǒng)數(shù)據(jù)備份介質(zhì)。檢查方法檢查方法如下：查驗網(wǎng)絡(luò)設(shè)備的配置文件中用戶口令是否加密存儲；查驗應(yīng)用系統(tǒng)存儲用戶信息的數(shù)據(jù)表中用戶口令字段是否加密存儲；查驗主要網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)遠(yuǎn)程管理時是否對用戶口令進(jìn)行了加密保護(hù)；查驗是否對主要網(wǎng)絡(luò)設(shè)備、主要數(shù)據(jù)庫管理系統(tǒng)和主要應(yīng)用系統(tǒng)的重要信息進(jìn)行了本地備份，備份介質(zhì)是否場外存放。檢查結(jié)果判定檢查結(jié)果判定如下：若網(wǎng)絡(luò)設(shè)備配置文件中存儲了明文用戶口令，則 a）檢查結(jié)果為不符合；若應(yīng)用系統(tǒng)的數(shù)據(jù)庫中存儲了明文用戶口令，則 b）檢查結(jié)果為不符合

54、；若網(wǎng)絡(luò)設(shè)備采用Telnet協(xié)議進(jìn)行遠(yuǎn)程管理，則 c）檢查結(jié)果為不符合；若應(yīng)用系統(tǒng)采用Http協(xié)議并且通過獲取數(shù)據(jù)包驗證未對口令進(jìn)行加密，則 c）檢查結(jié)果為不符合；若缺乏主要網(wǎng)絡(luò)設(shè)備、主要數(shù)據(jù)庫管理系統(tǒng)和主要應(yīng)用系統(tǒng)重要信息的備份，則 d）檢查結(jié)果為不符合。安全管理要求安全管理機(jī)構(gòu)檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查安全管理組織架構(gòu)情況、安全崗位人員配備情況和安全制度審批機(jī)制建立情況。檢查方法21DB11/T 13442016檢查方法如下：查驗信息安全工作委員會或領(lǐng)導(dǎo)小組名單、信息安全工作委員會的最高領(lǐng)導(dǎo)的授權(quán)書，記錄授權(quán)書名稱；通過訪談了解是否成立信息安全管理工作的職能部門，并檢查安全主管的職責(zé)范圍

55、；查驗系統(tǒng)、網(wǎng)絡(luò)、安全方面的管理規(guī)定，記錄系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、安全管理員的姓名，核對安全管理員是否專職；查驗審批流程規(guī)定和審批記錄，記錄審批流程規(guī)定和審批記錄的名稱，核對審批記錄是否至少包括審批時間、申請人、審批內(nèi)容、審批人；查驗外聯(lián)單位聯(lián)系列表，核對是否至少包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息；查驗安全審核和安全檢查制度，記錄安全審核和安全檢查制度的名稱，檢查定期安全檢查的記錄和報告，核對記錄是否至少包括檢查時間、檢查人員、檢查對象、檢查結(jié)果，核對報告是否至少包括報告時間、報告結(jié)論、報告撰寫人、報告批準(zhǔn)人等。檢查結(jié)果判定檢查結(jié)果判定如下：若沒有提供信息安全工作

56、委員會或領(lǐng)導(dǎo)小組名單、授權(quán)書和職責(zé)文件，或沒有設(shè)立信息安全管理工作職能部門，沒有崗位責(zé)任書，則 a）檢查結(jié)果為不符合；若信息安全管理制度（網(wǎng)絡(luò)、主機(jī)、密碼、審計等制度）中沒有明確角色和職責(zé)定義，沒有信息安全管理崗位人員名單，未設(shè)置專職的信息安全管理員，則 b）檢查結(jié)果為不符合；若沒有建立對機(jī)房及重要區(qū)域進(jìn)出、系統(tǒng)或網(wǎng)絡(luò)重要操作（系統(tǒng)上線變更、配置變更、加固、安全管理等）的審批程序，或無法提供相關(guān)事件的審批記錄，則 c）檢查結(jié)果為不符合；若沒有建立外聯(lián)單位聯(lián)系列表，或內(nèi)容不完整，則 d）為不符合；若沒有制定安全審核和安全檢查工作制度和流程，沒有定期進(jìn)行安全審核和安全檢查活動并保留檢查記錄；或沒有

57、對檢查報告進(jìn)行上報，并制定處理意見或計劃，則 e）檢查結(jié)果為不符合。安全管理制度檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查信息安全工作的總體方針和安全策略制定、發(fā)布方式和定期評審修訂情況。檢查方法檢查方法如下：查驗信息安全管理體系總體方針、安全策略、管理制度、操作規(guī)程方面的相關(guān)文檔，記錄信息安全工作的總體方針、抽查的安全策略文檔名稱、抽查的管理制度名稱、抽查的操作規(guī)程名稱等；查驗安全管理制度的版本控制記錄、安全管理制度及其收發(fā)登記記錄，記錄安全管理制度的版本號；查驗安全管理制度的審定和修訂記錄，核對評審記錄是否至少包括評審時間、評審地點、參與評審人員和評審結(jié)論，修訂記錄是否至少包括修訂時間、修訂內(nèi)容、修訂人

58、等信息。22DB11/T 13442016檢查結(jié)果判定檢查結(jié)果判定如下：若沒有制定信息安全工作的總體方針并形成文件下發(fā)；沒有形成全面的信息安全管理制度體系（包括但不限于：信息安全策略、機(jī)房管理制度、網(wǎng)絡(luò)/主機(jī)/數(shù)據(jù)/密碼管理等管理制度、設(shè)備操作規(guī)程、數(shù)據(jù)備份恢復(fù)操作規(guī)程等），則 a）檢查結(jié)果為不符合；若沒有對安全管理制度編寫規(guī)范、格式進(jìn)行統(tǒng)一，沒有版本控制記錄；或安全管理制度沒有通過正式文件、郵件或辦公網(wǎng)等有效途徑發(fā)布，則 b）檢查結(jié)果為不符合；若沒有定期對安全管理制度進(jìn)行檢查，組織召開評審會，或評審記錄內(nèi)容不完整，則 c）檢查結(jié)果為不符合。系統(tǒng)人員安全檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查重要崗位人員

59、勞動合同、保密協(xié)議、人員培訓(xùn)、考核記錄、人員離崗管理制度和離崗記錄。檢查方法檢查方法如下：查驗內(nèi)部人員的勞動合同和保密協(xié)議，記錄保密協(xié)議名稱，核對協(xié)議內(nèi)容是否至少包括保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議有效期和責(zé)任人簽字等；查驗重要崗位人員的崗位安全協(xié)議；查驗重要崗位（如安全管理員）離崗人員辦理過的調(diào)離手續(xù)記錄，核對記錄是否至少包括人員姓名、調(diào)離崗位、調(diào)離時間、收回權(quán)限及物品、承諾的保密義務(wù)、核對人簽字、批準(zhǔn)人簽字等；查驗各崗位人員的安全技能和安全認(rèn)知考核記錄、重要崗位人員的安全審查和考核記錄，核對記錄是否至少包括考核時間、考核對象、考核內(nèi)容、考核結(jié)果等；查驗安全教育和培訓(xùn)的書面規(guī)定，查驗不同崗

60、位是否有不同的培訓(xùn)計劃；查驗歸檔的培訓(xùn)計劃和培訓(xùn)記錄，核對培訓(xùn)記錄是否至少包括培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等描述。檢查結(jié)果判定檢查結(jié)果判定如下：若無法提供信息安全相關(guān)崗位人員勞動合同或保密協(xié)議，則 a）檢查結(jié)果為不符合；若無法提供重要崗位人員離崗管理制度和流程，離崗過程各環(huán)節(jié)無確認(rèn)簽字；或離崗人員未簽訂保密義務(wù)，則 b）檢查結(jié)果為不符合；若無法提供針對不同崗位人員的安全技能和安全意識考核記錄，則 c）檢查結(jié)果為不符合；若未定期開展安全教育，未定期針對關(guān)鍵崗位人員進(jìn)行安全技能培訓(xùn)，未針對不同崗位人員制定年度培訓(xùn)計劃，未對培訓(xùn)內(nèi)容和結(jié)果進(jìn)行記錄和歸檔，則 d）檢查結(jié)果為不符合。系統(tǒng)安全Th命周期檢