信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求_第1頁
信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求_第2頁
信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求_第3頁
信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求_第4頁
信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求_第5頁
已閱讀5頁,還剩323頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求引 言依據(jù)中華人人民共和國計計算機(jī)信息系系統(tǒng)安全保護(hù)護(hù)條例(國國務(wù)院1477號令)、國國家信息化領(lǐng)領(lǐng)導(dǎo)小組關(guān)于于加強(qiáng)信息安安全保障工作作的意見(中中辦發(fā)20003277號)、關(guān)于信息系系統(tǒng)安全等級級保護(hù)工作的的實施意見(公通字字2004466號)和和信息安全全等級保護(hù)管管理辦法(公公通字20007433號)等有關(guān)關(guān)文件要求,制制定本標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)是信息安全等級保護(hù)相關(guān)系列標(biāo)準(zhǔn)之一。與本標(biāo)準(zhǔn)相關(guān)的系列標(biāo)準(zhǔn)包括:GB/T 22240-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)定級指南;GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要

2、求;GB/T AAAA-AAAA 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)實施指南。一般來說,信息系統(tǒng)需要靠多種安全措施進(jìn)行綜合防范以降低其面臨的安全風(fēng)險。本標(biāo)準(zhǔn)針對信息系統(tǒng)中的單項安全措施和多個安全措施的綜合防范,對應(yīng)地提出單元測評和整體測評的技術(shù)要求,用以指導(dǎo)測評人員從信信息安全等級級保護(hù)的角度度對信息系統(tǒng)統(tǒng)進(jìn)行測試評評估。單元測測評對安全技技術(shù)和安全管管理上各個層層面的安全控控制點提出不不同安全保護(hù)護(hù)等級的測評評要求。整體體測評根據(jù)安安全控制點間間、層面間和和區(qū)域間相互互關(guān)聯(lián)關(guān)系以以及信息系統(tǒng)統(tǒng)整體結(jié)構(gòu)對對信息系統(tǒng)整整體安全保護(hù)護(hù)能力的影響響提出測評要要求。 本標(biāo)準(zhǔn)給出出了等級測評評結(jié)論中應(yīng)包

3、包括的主要內(nèi)內(nèi)容,未規(guī)定定給出測評結(jié)結(jié)論的具體方方法和量化指指標(biāo)。如果沒有特特殊指定,本本標(biāo)準(zhǔn)中的信信息系統(tǒng)主要要指計算機(jī)信信息系統(tǒng)。 在本標(biāo)準(zhǔn)文文本中,黑體體字的測評要要求表示該要要求出現(xiàn)在當(dāng)當(dāng)前等級而在在低于當(dāng)前等等級信息系統(tǒng)統(tǒng)的測評要求求中沒有出現(xiàn)現(xiàn)過。信息系統(tǒng)安全等等級保護(hù)測評評要求1 范圍本標(biāo)準(zhǔn)規(guī)定了對對信息系統(tǒng)安安全等級保護(hù)護(hù)狀況進(jìn)行安安全測試評估估的要求,包包括對第一級級信息系統(tǒng)、第第二級信息系系統(tǒng)、第三級級信息系統(tǒng)和和第四級信息息系統(tǒng)進(jìn)行安安全測試評估估的單元測評評要求和信息息系統(tǒng)整體測測評要求。本本標(biāo)準(zhǔn)略去對對第五級信息息系統(tǒng)進(jìn)行單單元測評的具具體內(nèi)容要求求。本標(biāo)準(zhǔn)適用用于信

4、息安全全測評服務(wù)機(jī)機(jī)構(gòu)、信息系系統(tǒng)的主管部部門及運營使使用單位對信信息系統(tǒng)安全全等級保護(hù)狀狀況進(jìn)行的安安全測試評估估。信息安全全監(jiān)管職能部部門依法進(jìn)行行的信息安全全等級保護(hù)監(jiān)監(jiān)督檢查可以以參考使用。2 規(guī)范性引用用文件下列文件中的條條款通過本標(biāo)標(biāo)準(zhǔn)的引用而而成為本標(biāo)準(zhǔn)準(zhǔn)的條款。注注日期的引用用文件,其隨隨后所有的修修改單(不包包括勘誤的內(nèi)內(nèi)容)或修訂訂版均不適用用于本標(biāo)準(zhǔn),然然而,鼓勵根根據(jù)本標(biāo)準(zhǔn)達(dá)達(dá)成協(xié)議的各各方研究是否否可使用這些些文件的最新新版本。不注注日期的引用用文件,其最最新版本適用用于本標(biāo)準(zhǔn)。GB/T 5271.8 信息技術(shù) 詞匯 第8部分:安全GB/T 22239-2008 信息

5、安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求3 術(shù)語和定義義GB/T 52271.8和和GB/T 222399-20088所確立的以以及下列術(shù)語語和定義適用用于本標(biāo)準(zhǔn)。3.1 測評力力度 tessting and eevaluaation intennsity測評工作實實際投入力量量的表征,可可以由測評廣廣度和深度來來描述。4 總則4.1 測評原原則a) 客觀性和和公正性原則則測評工作雖雖然不能完全全擺脫個人主主張或判斷,但但測評人員應(yīng)應(yīng)當(dāng)在沒有偏偏見和最小主主觀判斷情形形下,按照測測評雙方相互互認(rèn)可的測評評方案,基于于明確定義的的測評方法和和過程,實施施測評活動。b) 經(jīng)濟(jì)性和和可重用性原則則基于

6、測評成成本和工作復(fù)復(fù)雜性考慮,鼓鼓勵測評工作作重用以前的的測評結(jié)果,包包括商業(yè)安全全產(chǎn)品測評結(jié)結(jié)果和信息系系統(tǒng)先前的安安全測評結(jié)果果。所有重用用的結(jié)果,都都應(yīng)基于這些些結(jié)果還能適適用于目前的的系統(tǒng),能反反映目前系統(tǒng)統(tǒng)的安全狀態(tài)態(tài)。c) 可重復(fù)性性和可再現(xiàn)性原則則無論誰執(zhí)行測評評,依照同樣樣的要求,使使用同樣的方方法,對每個個測評實施過過程的重復(fù)執(zhí)執(zhí)行都應(yīng)該得得到同樣的測測評結(jié)果??煽稍佻F(xiàn)性體現(xiàn)現(xiàn)在不同測評評者執(zhí)行相同同測評的結(jié)果果的一致性??煽芍貜?fù)性體現(xiàn)現(xiàn)在同一測評評者重復(fù)執(zhí)行行相同測評的的結(jié)果的一致致性。d) 符合性原原則測評所產(chǎn)生生的結(jié)果應(yīng)當(dāng)當(dāng)是在對測評評指標(biāo)的正確確理解下所取取得的良好的

7、的判斷。測評評實施過程應(yīng)應(yīng)當(dāng)使用正確確的方法以確確保其滿足了了測評指標(biāo)的的要求。4.2 測評內(nèi)內(nèi)容信息系統(tǒng)安全等等級測評主要要包括單元測測評和整體測測評兩部分。單元測評是等級級測評工作的的基本活動,每每個單元測評評包括測評指指標(biāo)、測評實實施和結(jié)果判判定三部分。其中,測評指標(biāo)來源于GB/T 22239-2008中的第五級目錄中的各要求項(詳見4.5節(jié)說明),測評實施描述測評過程中使用的具體測評方法、涉及的測評對象和具體測評取證過程的要求,結(jié)果判定描述測評人員執(zhí)行測評實實施并產(chǎn)生各各種測評數(shù)據(jù)據(jù)后,如何依依據(jù)這些測評評數(shù)據(jù)來判定定被測系統(tǒng)是是否滿足測評評指標(biāo)要求的的原則和方法法。整體測評是是在單元

8、測評評的基礎(chǔ)上,通通過進(jìn)一步分分析信息系統(tǒng)統(tǒng)的整體安全全性,對信息息系統(tǒng)實施的的綜合安全測測評。整體測測評主要包括括安全控制點點間、層面間間和區(qū)域間相相互作用的安安全測評以及及系統(tǒng)結(jié)構(gòu)的的安全測評等等。整體測評評需要與信息息系統(tǒng)的實際際情況相結(jié)合合,因此全面面地給出整體體測評要求的的全部內(nèi)容、具具體實施過程程和明確的結(jié)結(jié)果判定方法法是非常困難難的,測評人人員應(yīng)根據(jù)被被測系統(tǒng)的實實際情況,結(jié)結(jié)合本標(biāo)準(zhǔn)的的要求,實施施整體測評。測評方法指測評人員在測評實施過程中所使用的方法,主要包括訪談、檢查和測試三種測評方法。其中,訪談是指測評人員通過引導(dǎo)信息系統(tǒng)相關(guān)人員進(jìn)行有目的的(有針對性的)交流以幫助測評

9、人員理解、分析或取得證據(jù)的過程,檢查是指測評人員通過對測評對象(如管理制度、操作記錄、安全配置等)進(jìn)行觀察、查驗、分析以幫助測評人員理解、分析或取得證據(jù)的過程,測試是測評人員使用預(yù)定的方法/工具使測評對象產(chǎn)生特定的行為,通過查看和分析結(jié)果以幫助測評人員獲取證據(jù)的過程。測評對象指測評實施的對象,即測評過程中涉及到的信息系統(tǒng)的相關(guān)人員、制度文檔、各類設(shè)備及其安全配置等。4.3 測評力力度測評力度是在測測評過程中實實施測評工作作的力度,反反映測評的廣廣度和深度,體體現(xiàn)為測評工工作的實際投投入程度。測測評廣度越大大,測評實施施的范圍越大大,測評實施施包含的測評評對象就越多多;測評深度度越深,越需需要在

10、細(xì)節(jié)上上展開,測評評就越嚴(yán)格,因因此就越需要要更多的投入入。投入越多多,測評力度度就越強(qiáng),測測評就越有保保證。測評的的廣度和深度度落實到訪談?wù)劇z查和測測試三種不同同的測評方法法上,能體現(xiàn)現(xiàn)出測評實施施過程中談、檢檢查和測試的的投入程度的的不同。信息安全等等級保護(hù)要求求不同安全保保護(hù)等級的信信息系統(tǒng)應(yīng)具具有不同的安安全保護(hù)能力力,滿足相應(yīng)應(yīng)等級的保護(hù)護(hù)要求。為了了檢驗不同安安全保護(hù)等級級的信息系統(tǒng)統(tǒng)是否具有相相應(yīng)等級的安安全保護(hù)能力力,是否滿足足相應(yīng)等級的的保護(hù)要求,需需要實施與其其安全保護(hù)等等級相適應(yīng)的的測評,付出出相應(yīng)的工作作投入,達(dá)到到應(yīng)有的測評評力度。第一一級到第四級級信息系統(tǒng)的的測評

11、力度反反映在訪談、檢檢查和測試等等三種基本測測評方法的測測評廣度和深深度上,落實實在不同單元元測評中具體體的測評實施施上。不同安安全保護(hù)等級級的信息系統(tǒng)統(tǒng)在總體上所所對應(yīng)的測評評力度在附錄錄A中描述。4.4 結(jié)果重重用在信息系統(tǒng)中,有有些安全控制制可以不依賴賴于其所在的的地點便可測測評,即在其其部署到運行行環(huán)境之前便便可以接受安安全測評。一一些商用安全全產(chǎn)品的測評評就屬于這種種安全測評。如如果一個信息息系統(tǒng)部署和和安裝在多個個地點,且系系統(tǒng)具有一組組共同的軟件件、硬件、固固件等組成部部分,對這些些安全控制的的測評可以集集中在一個集集成測試環(huán)境境中實施,如如果沒有這種種環(huán)境,則可可以在其中一一個

12、預(yù)定的運運行地點實施施,在其他運運行地點的安安全測評便可可重用此測評結(jié)結(jié)果。在信息系統(tǒng)統(tǒng)所有安全控控制中,有一一些安全控制制與它所處于于的運行環(huán)境境緊密相關(guān)(如如與人員或物物理有關(guān)的某某些安全控制制),對其測測評必須在分分發(fā)到相應(yīng)運運行環(huán)境中才才能進(jìn)行。如如果多個信息息系統(tǒng)處在地地域臨近的封封閉場地內(nèi),系系統(tǒng)所屬的機(jī)機(jī)構(gòu)在同一個個領(lǐng)導(dǎo)層管理理之下,對這這些安全控制制在多個信息息系統(tǒng)中進(jìn)行行重復(fù)測評,可可能是對有效效資源的一種種浪費。因此此,可以在一一個選定的信信息系統(tǒng)中進(jìn)進(jìn)行測評,其其他相關(guān)信息息系統(tǒng)可以直直接重用這些些測評結(jié)果。4.5 使用方方法本標(biāo)準(zhǔn)第5章到到第8章分別描述述了第一級信信息

13、系統(tǒng)、第第二級信息系系統(tǒng)、第三級級信息系統(tǒng)和和第四級信息息系統(tǒng)所有單單元測評的內(nèi)內(nèi)容,在章節(jié)節(jié)上分別對應(yīng)應(yīng)國標(biāo)GB/T 222239-20008的第5章到第8章。在國標(biāo)標(biāo)GB/T222399-20088第5章到第8章中,各章章的二級目錄錄都分為安全全技術(shù)和安全全管理兩部分分,三級目錄錄從安全層面面(如物理安安全、網(wǎng)絡(luò)安安全、主機(jī)安安全等)進(jìn)行行劃分和描述述,四級目錄錄按照安全控控制點進(jìn)行劃劃分和描述(如如主機(jī)安全層層面下分為身身份鑒別、訪訪問控制、安安全審計等),第第五級目錄是是每一個安全全控制點下面面包括的具體體安全要求項項(以下簡稱稱“要求項”,這些要求求項在本標(biāo)準(zhǔn)準(zhǔn)中被稱為“測評指標(biāo)”)

14、。本標(biāo)準(zhǔn)準(zhǔn)中針對每一一個安全控制制點的測評就就構(gòu)成一個單單元測評,單單元測評中的的每一個具體體測評實施要要求項(以下下簡稱“測評要求項項”)是與安全全控制點下面面所包括的要要求項(測評評指標(biāo))相對對應(yīng)的。在對對每一要求項項進(jìn)行測評時時,可能用到到訪談、檢查查和測試三種種測試方法,也也可能用到其其中一種或兩兩種,為了描描述簡潔,在在測評要求項項中,沒有針針對每一個要要求項分別進(jìn)進(jìn)行描述,而而是對具有相相同測評方法法的多個要求求項進(jìn)行了合合并描述,但測評評實施的內(nèi)容容完全覆蓋了了GB/T 222399-20088中所有要求求項的測評要要求,使用時,應(yīng)應(yīng)當(dāng)從單元測測評的測評實實施中抽取出出對于GB/

15、T 222239-20008中每一一個要求項的的測評要求,并并按照這些測測評要求開發(fā)測評指導(dǎo)書書,以規(guī)范和和指導(dǎo)安全等等級測評活動動。 測評過程中中,測評人員員應(yīng)注意對測測評記錄和證證據(jù)的采集、處處理、存儲和和銷毀,保護(hù)護(hù)其在測評期期間免遭破壞壞、更改或遺遺失,并保守守秘密。測評的最終終輸出是測評評報告,測評評報告應(yīng)結(jié)合合第11章的要求求給出等級測測評結(jié)論。5 第一級信息息系統(tǒng)單元測測評5.1 安全技技術(shù)測評5.1.1 物物理安全1 物理訪問問控制1.1 測評評指標(biāo)見GB/T 222239-2008 。1.2 測評評實施本項要求包括:a) 應(yīng)訪談物物理安全負(fù)責(zé)責(zé)人,了解部部署了哪些控控制人員進(jìn)

16、出出機(jī)房的保護(hù)護(hù)措施;b) 應(yīng)檢查查是否有專人人負(fù)責(zé)機(jī)房的的出入控制且且有進(jìn)入機(jī)房房人員的登記記記錄。1.3 結(jié)果果判定如果.2 b)為肯定定,則信息系系統(tǒng)符合本單單元測評指標(biāo)標(biāo)要求,否則則,信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標(biāo)標(biāo)要求。2 防盜竊和和防破壞2.1 測評評指標(biāo)見GB/T 222239-2008 。2.2 測評評實施本項要求包括:a) 應(yīng)訪談物物理安全負(fù)責(zé)責(zé)人,了解采采取了哪些防防止設(shè)備、介介質(zhì)等丟失的的保護(hù)措施;b) 應(yīng)檢查查關(guān)鍵設(shè)備是是否放置在機(jī)機(jī)房內(nèi)或其它它不易被盜竊竊和被破壞的的可控范圍內(nèi)內(nèi);c) 應(yīng)檢查查關(guān)鍵設(shè)備或或設(shè)備的主要要部件的固定定情況,查看看其是否不易易

17、被移動或被被搬走,是否否設(shè)置明顯的的不易除去的的標(biāo)記。2.3 結(jié)果果判定如果.2 b)和c)均為肯定定,則信息系系統(tǒng)符合本單單元測評指標(biāo)標(biāo)要求,否則則,信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標(biāo)標(biāo)要求。3 防雷擊3.1 測評評指標(biāo)見GB/T 222239-2008 。3.2 測評評實施本項要求包括:a) 應(yīng)訪談物物理安全負(fù)責(zé)責(zé)人,詢問機(jī)機(jī)房建筑是否否設(shè)置了避雷雷裝置,是否否通過驗收或或國家有關(guān)部部門的技術(shù)檢檢測;b) 應(yīng)檢查機(jī)機(jī)房建筑是否否有避雷裝置置。3.3 結(jié)果果判定如果.2 b)為肯定定,則信息系系統(tǒng)符合本單單元測評指標(biāo)標(biāo)要求,否則則,信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標(biāo)標(biāo)要求

18、。4 防火4.1 測評評指標(biāo)見GB/T 222239-2008 。4.2 測評評實施本項要求包括:a) 應(yīng)訪談物物理安全負(fù)責(zé)責(zé)人,詢問機(jī)機(jī)房是否設(shè)置置了滅火設(shè)備備,是否制定定了有關(guān)機(jī)房房消防的管理理制度和消防防預(yù)案,是否否進(jìn)行了消防防培訓(xùn);b) 應(yīng)檢查查機(jī)房是否設(shè)設(shè)置了滅火設(shè)設(shè)備,滅火設(shè)設(shè)備擺放位置置是否合理,其其有效期是否否合格。4.3 結(jié)果果判定如果.2 a)和b)均為肯定定,則信息系系統(tǒng)符合本單單元測評指標(biāo)標(biāo)要求,否則則,信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標(biāo)標(biāo)要求。5 防水和防防潮5.1 測評評指標(biāo)見GB/T 222239-2008 。5.2 測評評實施本項要求包括:a) 應(yīng)訪談

19、物物理安全負(fù)責(zé)責(zé)人,詢問機(jī)機(jī)房是否部署署了防水防潮潮措施,是否否沒有出現(xiàn)過過漏水和返潮潮事件;如果果機(jī)房內(nèi)有上上/下水管安裝裝,則查看是是否采取必要要的保護(hù)措施施;b) 應(yīng)檢查查穿過主機(jī)房房墻壁或樓板板的管道是否否采取必要的的防滲防漏等等防水保護(hù)措措施;c) 應(yīng)檢查查機(jī)房的窗戶戶、屋頂和墻墻壁等是否未未出現(xiàn)過漏水水、滲透和返返潮現(xiàn)象,機(jī)機(jī)房及其環(huán)境境是否不存在在明顯的漏水水和返潮的威威脅;如果出出現(xiàn)漏水、滲滲透和返潮現(xiàn)現(xiàn)象是否能夠夠及時修復(fù)解解決。5.3 結(jié)果果判定如果.2 b)和c)均為肯定定,則信息系系統(tǒng)符合本單單元測評指標(biāo)標(biāo)要求,否則則,信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標(biāo)標(biāo)要求

20、。6 溫濕度控控制6.1 測評評指標(biāo)見GB/T 222239-2008 。6.2 測評評實施本項要求包括:a) 應(yīng)訪談物物理安全負(fù)責(zé)責(zé)人,詢問機(jī)機(jī)房是否配備備了空調(diào)等溫溫濕度控制設(shè)設(shè)施,保證溫溫濕度能夠滿足計計算機(jī)設(shè)備運運行的要求,是是否在機(jī)房管管理制度中規(guī)規(guī)定了溫濕度度控制的要求求;b) 應(yīng)檢查查空調(diào)設(shè)備是是否能夠正常常運行,檢查查機(jī)房溫濕度度是否滿足計計算站場地的的技術(shù)條件要要求。6.3 結(jié)果果判定如果.2 b)為肯定定,則信息系系統(tǒng)符合本單單元測評指標(biāo)標(biāo)要求,否則則,信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標(biāo)標(biāo)要求。7 電力供應(yīng)應(yīng)7.1 測評評指標(biāo)見GB/T 222239-2008 。

21、7.2 測評評實施本項要求包括:a) 應(yīng)訪談物物理安全負(fù)責(zé)責(zé)人,詢問計計算機(jī)系統(tǒng)供供電線路上是是否設(shè)置了穩(wěn)穩(wěn)壓器和過電電壓防護(hù)設(shè)備備;b) 應(yīng)檢查查機(jī)房,查看看計算機(jī)系統(tǒng)統(tǒng)供電線路上上是否設(shè)置了了穩(wěn)壓器和過過電壓防護(hù)設(shè)設(shè)備,這些設(shè)設(shè)備是否正常常運行。7.3 結(jié)果果判定如果.2 b)為肯定定,則信息系系統(tǒng)符合本單單元測評指標(biāo)標(biāo)要求,否則則,信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標(biāo)標(biāo)要求。5.1.2 網(wǎng)網(wǎng)絡(luò)安全1 結(jié)構(gòu)安全全1.1 測評評指標(biāo)見GB/T 222239-2008 。1.2 測評評實施本項要求包括:a) 應(yīng)訪談網(wǎng)網(wǎng)絡(luò)管理員,詢詢問關(guān)鍵網(wǎng)絡(luò)絡(luò)設(shè)備的業(yè)務(wù)務(wù)處理能力是是否滿足基本本業(yè)務(wù)需

22、求;b) 應(yīng)訪談?wù)劸W(wǎng)絡(luò)管理員員,詢問接入入網(wǎng)絡(luò)及核心心網(wǎng)絡(luò)的帶寬寬是否滿足基基本業(yè)務(wù)需要要;c) 應(yīng)檢查查網(wǎng)絡(luò)拓?fù)浣Y(jié)結(jié)構(gòu)圖,查看看其與當(dāng)前運運行的實際網(wǎng)網(wǎng)絡(luò)系統(tǒng)是否否一致。1.3 結(jié)果果判定本項要求包括:a) 如果5. c)中中缺少網(wǎng)絡(luò)拓拓?fù)浣Y(jié)構(gòu)圖,則則為否定;b) 如果5.1.2.1.22 a)-c)均為肯肯定,則信息息系統(tǒng)符合本本單元測評指指標(biāo)要求,否否則,信息系系統(tǒng)不符合或或部分符合本本單元測評指指標(biāo)要求。2 訪問控制制2.1 測評評指標(biāo)見GB/T 222239-2008 。2.2 測評評實施本項要求包括:a) 應(yīng)訪談安安全管理員,詢詢問網(wǎng)絡(luò)訪問問控制的措施施有哪些;詢詢問網(wǎng)絡(luò)訪問問控制

23、設(shè)備具具備哪些訪問問控制功能;b) 應(yīng)檢查查邊界網(wǎng)絡(luò)設(shè)設(shè)備,查看是是否有正確的的訪問控制列列表,以通過過源地址、目目的地址、源源端口、目的的端口、協(xié)議議等進(jìn)行網(wǎng)絡(luò)絡(luò)數(shù)據(jù)流控制制,其控制粒粒度是否至少少為用戶組。2.3 結(jié)果果判定如果.2 b)為肯定定,則信息系系統(tǒng)符合本單單元測評指標(biāo)標(biāo)要求,否則則,信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標(biāo)標(biāo)要求。3 網(wǎng)絡(luò)設(shè)備備防護(hù)3.1 測評評指標(biāo)見GB/T 222239-2008 。3.2 測評評實施本項要求包括:a) 應(yīng)訪談網(wǎng)網(wǎng)絡(luò)管理員,詢詢問關(guān)鍵網(wǎng)絡(luò)絡(luò)設(shè)備的防護(hù)護(hù)措施有哪些些;詢問關(guān)鍵鍵網(wǎng)絡(luò)設(shè)備的的登錄和驗證證方式做過何何種配置;詢詢問遠(yuǎn)程管理理的設(shè)

24、備是否否采取措施防防止鑒別信息息泄漏;b) 應(yīng)檢查查邊界和關(guān)鍵鍵網(wǎng)絡(luò)設(shè)備,查查看是否配置置了對登錄用用戶進(jìn)行身份份鑒別的功能能;c) 應(yīng)檢查查邊界和關(guān)鍵鍵網(wǎng)絡(luò)設(shè)備,查查看是否配置置了鑒別失敗敗處理功能;d) 應(yīng)檢查查邊界和關(guān)鍵鍵網(wǎng)絡(luò)設(shè)備,查查看是否配置置了對設(shè)備遠(yuǎn)遠(yuǎn)程管理所產(chǎn)產(chǎn)生的鑒別信信息進(jìn)行保護(hù)護(hù)的功能。3.3 結(jié)果果判定如果.2 b)-d)均為肯肯定,則信息息系統(tǒng)符合本本單元測評指指標(biāo)要求,否否則,信息系系統(tǒng)不符合或或部分符合本本單元測評指指標(biāo)要求。5.1.3 主主機(jī)安全1 身份鑒別別1.1 測評評指標(biāo)見GB/T 222239-2008 。1.2 測評評實施本項要求包括:a) 應(yīng)訪談系系

25、統(tǒng)管理員和和數(shù)據(jù)庫管理理員,詢問操操作系統(tǒng)和數(shù)數(shù)據(jù)庫管理系系統(tǒng)的身份標(biāo)標(biāo)識與鑒別機(jī)機(jī)制采取何種種措施實現(xiàn);b) 應(yīng)檢查查關(guān)鍵服務(wù)器器操作系統(tǒng)和和關(guān)鍵數(shù)據(jù)庫庫管理系統(tǒng),查查看是否提供供了身份鑒別別措施。1.3 結(jié)果果判定如果.2 b)為肯定定,則信息系系統(tǒng)符合本單單元測評指標(biāo)標(biāo)要求,否則則,信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標(biāo)標(biāo)要求。2 訪問控制制2.1 測評評指標(biāo)見GB/T 222239-2008 。2.2 測評評實施本項要求包括:a) 應(yīng)檢查關(guān)關(guān)鍵服務(wù)器操操作系統(tǒng)的安安全策略,查查看是否對重重要文件的訪訪問權(quán)限進(jìn)行行了限制,對對系統(tǒng)不需要要的服務(wù)、共共享路徑等進(jìn)進(jìn)行了禁用或或刪除;b

26、) 應(yīng)檢查查關(guān)鍵服務(wù)器器操作系統(tǒng)和和關(guān)鍵數(shù)據(jù)庫庫管理系統(tǒng),查查看匿名/默認(rèn)帳戶的訪問權(quán)權(quán)限是否已被被禁用或者限限制,是否刪刪除了系統(tǒng)中中多余的、過過期的以及共共享的帳戶;c) 應(yīng)檢查查關(guān)鍵服務(wù)器器操作系統(tǒng)和和關(guān)鍵數(shù)據(jù)庫庫管理系統(tǒng)的的權(quán)限設(shè)置情情況,查看是是否依據(jù)安全全策略對用戶戶權(quán)限進(jìn)行了了限制。2.3 結(jié)果果判定如果.2 a)-c)均為肯肯定,則信息息系統(tǒng)符合本本單元測評指指標(biāo)要求,否否則,信息系系統(tǒng)不符合或或部分符合本本單元測評指指標(biāo)要求。3 入侵防范范3.1 測評評指標(biāo)見GB/T 222239-2008 。3.2 測評評實施本項要求包括:a) 應(yīng)訪談系系統(tǒng)管理員,詢詢問操作系統(tǒng)統(tǒng)中所安裝

27、的的系統(tǒng)組件和和應(yīng)用程序是是否都是必須須的,詢問操操作系統(tǒng)補(bǔ)丁丁更新的方式式和周期;b) 應(yīng)檢查查關(guān)鍵服務(wù)器器操作系統(tǒng)和和關(guān)鍵數(shù)據(jù)庫庫管理系統(tǒng)的的補(bǔ)丁是否得得到了及時更更新。3.3 結(jié)果果判定如果.2 b)肯定,則則信息系統(tǒng)符符合本單元測測評指標(biāo)要求求,否則,信信息系統(tǒng)不符符合或部分符符合本單元測測評指標(biāo)要求求。4 惡意代碼碼防范4.1 測評評指標(biāo)見GB/T 222239-2008 。4.2 測評評實施本項要求包括:a) 應(yīng)訪談系系統(tǒng)安全管理理員,詢問主主機(jī)系統(tǒng)是否否采取惡意代代碼實時檢測測與查殺措施施,惡意代碼碼實時檢測與與查殺措施的的部署覆蓋范范圍如何;b) 應(yīng)檢查查關(guān)鍵服務(wù)器器,查看是否

28、否安裝了實時時檢測與查殺殺惡意代碼的的軟件產(chǎn)品并并進(jìn)行及時更更新。4.3 結(jié)果果判定如果.2 b)為肯定定,則信息系系統(tǒng)符合本單單元測評指標(biāo)標(biāo)要求,否則則,信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標(biāo)標(biāo)要求。5.1.4 應(yīng)應(yīng)用安全1 身份鑒別別1.1 測評評指標(biāo)見GB/T 222239-2008 。1.2 測評評實施本項要求包括:a) 應(yīng)訪談應(yīng)應(yīng)用系統(tǒng)管理理員,詢問應(yīng)應(yīng)用系統(tǒng)是否否有專用的登登錄控制模塊塊對登錄的用用戶進(jìn)行身份份標(biāo)識和鑒別別,具體采取取的鑒別措施施是什么;b) 應(yīng)訪談?wù)剳?yīng)用系統(tǒng)管管理員,詢問問應(yīng)用系統(tǒng)是是否具有登錄錄失敗處理功功能;c) 應(yīng)訪談?wù)剳?yīng)用系統(tǒng)管管理員,詢問問應(yīng)用系統(tǒng)

29、是是否采取措施施防止鑒別信信息傳輸過程程中被竊聽,具具體措施是什什么;d) 應(yīng)檢查查關(guān)鍵應(yīng)用系系統(tǒng),查看其其是否提供身身份標(biāo)識和鑒鑒別功能;e) 應(yīng)檢查查關(guān)鍵應(yīng)用系系統(tǒng),查看其其提供的登錄錄失敗處理功功能,是否根根據(jù)安全策略略配置了相關(guān)關(guān)參數(shù)。1.3 結(jié)果果判定如果.2 d)和e)均為肯定定,則信息系系統(tǒng)符合本單單元測評指標(biāo)標(biāo)要求,否則則,信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標(biāo)標(biāo)要求。2 訪問控制制2.1 測評評指標(biāo)見GB/T 222239-2008 。2.2 測評評實施本項要求包括:a) 應(yīng)訪談應(yīng)應(yīng)用系統(tǒng)管理理員,詢問應(yīng)應(yīng)用系統(tǒng)是否否提供訪問控控制措施,以以及具體措施施和訪問控制制策略

30、有哪些些;b) 應(yīng)檢查查關(guān)鍵應(yīng)用系系統(tǒng),查看系系統(tǒng)是否提供供訪問控制功功能控制用戶戶組/用戶對系統(tǒng)統(tǒng)功能和用戶戶數(shù)據(jù)的訪問問;c) 應(yīng)檢查查關(guān)鍵應(yīng)用系系統(tǒng),查看其其是否具有由由授權(quán)用戶設(shè)設(shè)置其它用戶戶訪問系統(tǒng)功功能和用戶數(shù)數(shù)據(jù)的權(quán)限的的功能,是否否限制默認(rèn)用用戶的訪問權(quán)權(quán)限;d) 應(yīng)測試試關(guān)鍵應(yīng)用系系統(tǒng),可通過過以不同權(quán)限限的用戶登錄錄系統(tǒng),查看看其擁有的權(quán)權(quán)限是否與系系統(tǒng)賦予的權(quán)權(quán)限一致,驗驗證應(yīng)用系統(tǒng)統(tǒng)訪問控制功功能是否有效效。2.3 結(jié)果果判定如果.2 b)-d)均為肯肯定,則信息息系統(tǒng)符合本本單元測評指指標(biāo)要求,否否則,信息系系統(tǒng)不符合或或部分符合本本單元測評指指標(biāo)要求。3 通信完整整

31、性3.1 測評評指標(biāo)見GB/T 222239-2008 。3.2 測評評實施本項要求包括:a) 應(yīng)訪談安安全管理員,詢詢問應(yīng)用系統(tǒng)統(tǒng)是否具有在在數(shù)據(jù)傳輸過過程中保護(hù)其其完整性的措措施,具體措措施是什么;b) 應(yīng)檢查查設(shè)計或驗收收文檔,查看看其是否有關(guān)關(guān)于保護(hù)通信信完整性的說說明。3.3 結(jié)果果判定如果.2 b)為肯定定,則信息系系統(tǒng)符合本單單元測評指標(biāo)標(biāo)要求,否則則,信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標(biāo)標(biāo)要求。4 軟件容錯錯4.1 測評評指標(biāo)見GB/T 222239-2008 。4.2 測評評實施本項要求包括:a) 應(yīng)訪談應(yīng)應(yīng)用系統(tǒng)管理理員,詢問應(yīng)應(yīng)用系統(tǒng)是否否具有保證軟軟件容錯能力力

32、的措施,具具體措施有哪哪些;b) 應(yīng)檢查查關(guān)鍵應(yīng)用系系統(tǒng),查看應(yīng)應(yīng)用系統(tǒng)是否否具有對人機(jī)機(jī)接口輸入或或通信接口輸輸入的數(shù)據(jù)進(jìn)進(jìn)行有效性檢檢驗的功能;c) 應(yīng)測試試關(guān)鍵應(yīng)用系系統(tǒng),可通過過對人機(jī)接口口輸入的不同同長度或格式式的數(shù)據(jù),查查看系統(tǒng)的反反應(yīng),驗證系系統(tǒng)人機(jī)接口口有效性檢驗驗功能是否正正確。4.3 結(jié)果果判定如果.2 b)和c)均為肯定定,則信息系系統(tǒng)符合本單單元測評指標(biāo)標(biāo)要求,否則則,信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標(biāo)標(biāo)要求。5.1.5 數(shù)數(shù)據(jù)安全及備備份恢復(fù)1 數(shù)據(jù)完整整性1.1 測評評指標(biāo)見GB/T 222239-2008 。1.2 測評評實施本項要求包括:a) 應(yīng)訪談安

33、安全管理員,詢詢問關(guān)鍵應(yīng)用用系統(tǒng)用戶數(shù)數(shù)據(jù)在傳輸過過程中是否有有完整性保證證措施,具體體措施有哪些些;b) 應(yīng)檢查查關(guān)鍵應(yīng)用系系統(tǒng),查看其其是否配備檢檢測重要用戶戶數(shù)據(jù)在傳輸輸過程中完整整性受到破壞壞的功能。1.3 結(jié)果果判定如果.2 b)為肯定定,則信息系系統(tǒng)符合本單單元測評指標(biāo)標(biāo)要求,否則則,信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標(biāo)標(biāo)要求。2 備份和恢恢復(fù)2.1 測評評指標(biāo)見GB/T 222239-2008 。2.2 測評評實施本項要求包括:a) 應(yīng)訪談網(wǎng)網(wǎng)絡(luò)管理員,詢詢問是否對網(wǎng)網(wǎng)絡(luò)設(shè)備中的的配置文件進(jìn)進(jìn)行備份,備備份策略是什什么;當(dāng)其受受到破壞時,恢恢復(fù)策略是什什么;b) 應(yīng)訪談?wù)?/p>

34、系統(tǒng)管理員員,詢問是否否對操作系統(tǒng)統(tǒng)中的重要信信息進(jìn)行備份份,備份策略略是什么;當(dāng)當(dāng)其受到破壞壞時,恢復(fù)策策略是什么;c) 應(yīng)訪談?wù)剶?shù)據(jù)庫管理理員,詢問是是否對數(shù)據(jù)庫庫管理系統(tǒng)中中的關(guān)鍵數(shù)據(jù)據(jù)進(jìn)行備份,備備份策略是什什么;當(dāng)其受受到破壞時,恢恢復(fù)策略是什什么;d) 應(yīng)訪談?wù)劙踩芾韱T員,詢問是否否對應(yīng)用系統(tǒng)統(tǒng)中的應(yīng)用程程序進(jìn)行備份份,備份策略略是什么;當(dāng)當(dāng)其受到破壞壞時,恢復(fù)策策略是什么;e) 應(yīng)檢查查關(guān)鍵主機(jī)操操作系統(tǒng)、關(guān)關(guān)鍵網(wǎng)絡(luò)設(shè)備備、關(guān)鍵數(shù)據(jù)據(jù)庫管理系統(tǒng)統(tǒng)和關(guān)鍵應(yīng)用用系統(tǒng),查看看其是否提供供備份和恢復(fù)復(fù)功能,備份份和恢復(fù)功能能的配置是否否正確,并且且查看實際備備份結(jié)果是否否與備份策略略一

35、致。2.3 結(jié)果果判定如果.2 e)為肯定定,則信息系系統(tǒng)符合本單單元測評指標(biāo)標(biāo)要求,否則則,信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標(biāo)標(biāo)要求。5.2 安全管管理測評5.2.1 安安全管理制度度1 管理制度度1.1 測評評指標(biāo)見GB/T 222399-20088 5.2.1.1。1.2 測評評實施本項要求包括:a) 應(yīng)檢查各各項安全管理理制度,查看看是否覆蓋物物理、網(wǎng)絡(luò)、主主機(jī)系統(tǒng)、數(shù)數(shù)據(jù)、應(yīng)用、建建設(shè)和管理等等層面。1.3 結(jié)果果判定如果.2 a)為肯定定,則信息系系統(tǒng)符合本單單元測評指標(biāo)標(biāo)要求,否則則,信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標(biāo)標(biāo)要求。2 制定和發(fā)發(fā)布2.1 測評評指標(biāo)

36、見GB/T 222239-2008 。2.2 測評評實施本項要求包括:a) 應(yīng)訪談安安全主管,詢詢問是否有專專人負(fù)責(zé)制定定安全管理制制度;b) 應(yīng)訪談?wù)劙踩芾碇浦贫戎?、修訂訂人員,詢問問安全管理制制度的發(fā)布方方式,是否能能夠發(fā)布到相相關(guān)人員手中中。2.3 結(jié)果果判定如果.2 a)和b)均為肯定定,則信息系系統(tǒng)符合本單單元測評指標(biāo)標(biāo)要求,否則則,信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標(biāo)標(biāo)要求。5.2.2 安安全管理機(jī)構(gòu)構(gòu)1 崗位設(shè)置置1.1 測評評指標(biāo)見GB/T 222239-2008 。1.2 測評評實施本項要求包括:a) 應(yīng)訪談安安全主管,詢詢問信息系統(tǒng)統(tǒng)設(shè)置了哪些些工作崗位,各各個崗

37、位的職職責(zé)分工是否否明確;b) 應(yīng)檢查查崗位職責(zé)分分工文檔,查查看其定義的的崗位職責(zé)中中是否包括系系統(tǒng)管理員、網(wǎng)網(wǎng)絡(luò)管理員、安安全管理員等等重要崗位的的職責(zé)。1.3 結(jié)果果判定如果.2 a)和b)均為肯定定,則信息系系統(tǒng)符合本單單元測評指標(biāo)標(biāo)要求,否則則,信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標(biāo)標(biāo)要求。2 人員配備備2.1 測評評指標(biāo)見GB/T 222239-2008 。2.2 測評評實施本項要求包括:a) 應(yīng)訪談安安全主管,詢詢問各個安全全管理崗位的的人員配備情情況;b) 應(yīng)檢查查安全管理各各崗位人員信信息表,查看看其是否明確確機(jī)房管理員員、系統(tǒng)管理理員、網(wǎng)絡(luò)管管理員和安全全管理員等重重

38、要崗位人員員的信息。2.3 結(jié)果果判定如果.2 a)和b)均為肯定定,則信息系系統(tǒng)符合本單單元測評指標(biāo)標(biāo)要求,否則則,信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標(biāo)標(biāo)要求。3 授權(quán)和審審批3.1 測評評指標(biāo)見GB/T 222239-2008 。3.2 測評評實施本項要求包括:a) 應(yīng)訪談安安全主管,詢詢問其是否需需要對信息系系統(tǒng)中的關(guān)鍵鍵活動進(jìn)行審審批,審批部部門是何部門門,批準(zhǔn)人是是何人,他們們的審批活動動是否得到授授權(quán);b) 應(yīng)訪談?wù)劙踩鞴?,詢詢問其對關(guān)鍵鍵活動的審批批范圍。3.3 結(jié)果果判定如果.2 a)和b)均為肯定定,則信息系系統(tǒng)符合本單單元測評指標(biāo)標(biāo)要求,否則則,信息系統(tǒng)統(tǒng)不符合或

39、部部分符合本單單元測評指標(biāo)標(biāo)要求。4 溝通和合合作4.1 測評評指標(biāo)見GB/T 222239-2008 。4.2 測評評實施本項要求包括:a) 應(yīng)訪談安安全主管,詢詢問是否經(jīng)常常與公安機(jī)關(guān)關(guān)、電信公司司和兄弟單位位聯(lián)系,聯(lián)系系和合作方式式有哪些;b) 應(yīng)檢查查外聯(lián)單位說說明文檔,查查看外聯(lián)單位位是否包含公公安機(jī)關(guān)、電電信公司及兄兄弟單位,是是否說明外聯(lián)聯(lián)單位的聯(lián)系系人和聯(lián)系方方式等內(nèi)容。4.3 結(jié)果果判定如果.2 a)和b)均為肯定定,則信息系系統(tǒng)符合本單單元測評指標(biāo)標(biāo)要求,否則則,信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標(biāo)標(biāo)要求。5.2.3 人人員安全管理理1 人員錄用用1.1 測評評指標(biāo)

40、見GB/T 222239-2008 。1.2 測評評實施本項要求包括:a) 應(yīng)訪談安安全主管,詢詢問是否有專專門的部門或或人員負(fù)責(zé)人人員的錄用工工作,由何部部門/何人負(fù)責(zé);b) 應(yīng)訪談?wù)勅耸鹿芾硐嘞嚓P(guān)人員,詢詢問在人員錄錄用時對人員員條件有哪些些要求,是否否對被錄用人人的身份和專專業(yè)資格進(jìn)行行審查;c) 應(yīng)檢查人人員錄用要求求管理文檔,查查看是否說明明錄用人員應(yīng)應(yīng)具備的條件件(如學(xué)歷、學(xué)學(xué)位要求,技技術(shù)人員應(yīng)具具備的專業(yè)技技術(shù)水平,管管理人員應(yīng)具具備的安全管管理知識等);d) 應(yīng)檢查查是否具有人人員錄用時對對錄用人身份份、專業(yè)資格格等進(jìn)行審查查的相關(guān)文檔檔或記錄,查查看是否記錄錄審查內(nèi)容和和審

41、查結(jié)果等等。1.3 結(jié)果果判定如果.2 a)-d)均為肯肯定,則信息息系統(tǒng)符合本本單元測評指指標(biāo)要求,否否則,信息系系統(tǒng)不符合或或部分符合本本單元測評指指標(biāo)要求。2 人員離崗崗2.1 測評評指標(biāo)見GB/T 222239-2008 。2.2 測評評實施本項要求包括:a) 應(yīng)訪談安安全主管,詢詢問是否及時時終止離崗人人員的所有訪訪問權(quán)限,取取回各種身份份證件、鑰匙匙、徽章以及及機(jī)構(gòu)提供的的軟硬件設(shè)備備等;b) 應(yīng)檢查查是否具有對對離崗人員的的安全處理記記錄(如交還還身份證件、設(shè)設(shè)備等的登記記記錄)。2.3 結(jié)果果判定如果.2 a)和b)均為肯定定,則信息系系統(tǒng)符合本單單元測評指標(biāo)標(biāo)要求,否則則,信

42、息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標(biāo)標(biāo)要求。3 安全意識識教育和培訓(xùn)訓(xùn)3.1 測評評指標(biāo)見GB/T 222239-2008 。3.2 測評評實施本項要求包括:a) 應(yīng)訪談安安全主管,詢詢問是否對各各個崗位人員員進(jìn)行安全教教育和崗位技技能培訓(xùn),告告知相關(guān)的安安全知識、安安全責(zé)任和懲懲戒措施,具具體的培訓(xùn)方方式有哪些;b) 應(yīng)訪談?wù)劙踩芾韱T員,考查其對對工作相關(guān)的的信息安全基基礎(chǔ)知識、安安全責(zé)任和懲懲戒措施等的的理解程度。3.3 結(jié)果果判定如果.2 a)和b)均為肯定定,則信息系系統(tǒng)符合本單單元測評指標(biāo)標(biāo)要求,否則則,信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標(biāo)標(biāo)要求。4 外部人員員訪問管

43、理4.1 測評評指標(biāo)見GB/T 222239-2008 。4.2 測評評實施本項要求包括:a) 應(yīng)訪談安安全管理員,詢詢問對外部人人員訪問重要要區(qū)域(如訪訪問機(jī)房、重重要服務(wù)器或或設(shè)備區(qū)等)采采取了哪些安安全措施,是是否經(jīng)有關(guān)部部門或負(fù)責(zé)人人批準(zhǔn)才能訪訪問;b) 應(yīng)檢查查外部人員訪訪問管理文檔檔,查看是否否有對外部人人員訪問機(jī)房房等重要區(qū)域域應(yīng)經(jīng)過相關(guān)關(guān)部門或負(fù)責(zé)責(zé)人批準(zhǔn)的內(nèi)內(nèi)容。4.3 結(jié)果果判定如果.2 a)和b)均為肯定定,則信息系系統(tǒng)符合本單單元測評指標(biāo)標(biāo)要求,否則則,信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標(biāo)標(biāo)要求。5.2.4 系系統(tǒng)建設(shè)管理理1 系統(tǒng)定級級1.1 測評評指標(biāo)見GB

44、/T 222239-2008 。1.2 測評評實施本項要求包括:a) 應(yīng)訪談安安全主管,詢詢問確定信息息系統(tǒng)安全保保護(hù)等級的方方法是否參照照定級指南的的指導(dǎo),定級級過程是否有有書面描述;定級結(jié)果是是否獲得了相相關(guān)部門的批批準(zhǔn);b) 應(yīng)檢查查系統(tǒng)定級文文檔,查看文文檔是否明確確信息系統(tǒng)的的邊界和信息息系統(tǒng)的安全全保護(hù)等級,是是否說明定級級的方法和理理由,查看定定級結(jié)果是否否有相關(guān)部門門的批準(zhǔn)蓋章章。1.3 結(jié)果果判定本項要求包括:a) 5.2.4.1.22 a)沒有有上級主管部部門的,如果果有本單位信信息安全主管管領(lǐng)導(dǎo)的批準(zhǔn)準(zhǔn),則該項為為肯定;b) 如果5.2.4.1.22 a)和b)均為肯定定

45、,則信息系系統(tǒng)符合本單單元測評指標(biāo)標(biāo)要求,否則則,信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標(biāo)標(biāo)要求。2 安全方案案設(shè)計2.1 測評評指標(biāo)見GB/T 222239-2008 。2.2 測評評實施本項要求包括:a) 應(yīng)訪談系系統(tǒng)建設(shè)負(fù)責(zé)責(zé)人,詢問是是否根據(jù)系統(tǒng)統(tǒng)的安全級別別選擇基本安安全措施,是是否依據(jù)風(fēng)險險分析的結(jié)果果補(bǔ)充和調(diào)整整安全措施,具具體做過哪些些調(diào)整;b) 應(yīng)檢查查系統(tǒng)的安全全方案,查看看方案是否描描述系統(tǒng)的安安全保護(hù)要求求,是否詳細(xì)細(xì)描述了系統(tǒng)統(tǒng)的安全策略略,是否詳細(xì)細(xì)描述了系統(tǒng)統(tǒng)采取的安全全措施等內(nèi)容容;c) 應(yīng)檢查查系統(tǒng)的詳細(xì)細(xì)設(shè)計方案,查查看詳細(xì)設(shè)計計方案是否對對應(yīng)安全方案案

46、進(jìn)行細(xì)化,是是否有安全建建設(shè)方案和安安全產(chǎn)品采購購方案。2.3 結(jié)果果判定如5.2.4.2.2 aa)-c)均為肯肯定,則信息息系統(tǒng)符合本本單元測評指指標(biāo)要求,否否則,信息系系統(tǒng)不符合或或部分符合本本單元測評指指標(biāo)要求。3 產(chǎn)品采購購和使用3.1 測評評指標(biāo)見GB/T 222239-2008 。3.2 測評評實施本項要求包括:a) 應(yīng)訪談系系統(tǒng)建設(shè)負(fù)責(zé)責(zé)人,詢問信信息安全產(chǎn)品品的采購情況況,是否有產(chǎn)產(chǎn)品采購清單單指導(dǎo)產(chǎn)品采采購,采購過過程如何控制制;b) 應(yīng)訪談?wù)勏到y(tǒng)建設(shè)負(fù)負(fù)責(zé)人,詢問問系統(tǒng)使用的的有關(guān)信息安安全產(chǎn)品是否否符合國家的的有關(guān)規(guī)定。3.3 結(jié)果果判定如果.2 a)和b)均為肯定定,

47、則信息系系統(tǒng)符合本單單元測評指標(biāo)標(biāo)要求,否則則,信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標(biāo)標(biāo)要求。4 自行軟件件開發(fā)4.1 測評評指標(biāo)見GB/T 222239-2008 。4.2 測評評實施本項要求包括:a) 應(yīng)訪談系系統(tǒng)建設(shè)負(fù)責(zé)責(zé)人,詢問是是否進(jìn)行自主主開發(fā)軟件,自自主開發(fā)軟件件是否在獨立立的模擬環(huán)境境中編寫、調(diào)調(diào)試和完成;b) 應(yīng)訪談?wù)勏到y(tǒng)建設(shè)負(fù)負(fù)責(zé)人,詢問問軟件設(shè)計相相關(guān)文檔是否否由專人負(fù)責(zé)責(zé)保管,負(fù)責(zé)責(zé)人是何人;c) 應(yīng)檢查查是否具有軟軟件設(shè)計相關(guān)關(guān)文檔。4.3 結(jié)果果判定如果.2 a)-c)均為肯肯定,則信息息系統(tǒng)符合本本單元測評指指標(biāo)要求,否否則,信息系系統(tǒng)不符合或或部分符合本本

48、單元測評指指標(biāo)要求。5 外包軟件件開發(fā)5.1 測評評指標(biāo)見GB/T 222239-2008 。5.2 測評評實施本項要求包括:a) 應(yīng)訪談系系統(tǒng)建設(shè)負(fù)責(zé)責(zé)人,詢問軟軟件交付前是是否依據(jù)開發(fā)發(fā)要求的技術(shù)術(shù)指標(biāo)對軟件件功能和性能能等進(jìn)行驗收收測試,軟件件安裝之前是是否檢測軟件件中的惡意代代碼;b) 應(yīng)檢查查是否具有需需求分析說明明書、軟件設(shè)設(shè)計說明書、軟軟件操作手冊冊等軟件開發(fā)發(fā)文檔和使用用指南。5.3 結(jié)果果判定如果.2 a)和b)均為肯定定,則信息系系統(tǒng)符合本單單元測評指標(biāo)標(biāo)要求,否則則,信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標(biāo)標(biāo)要求。6 工程實施施6.1 測評評指標(biāo)見GB/T 22223

49、9-2008 。6.2 測評評實施應(yīng)訪談系統(tǒng)建設(shè)設(shè)負(fù)責(zé)人,詢詢問是否指定定專門部門或或人員對工程程實施過程進(jìn)進(jìn)行進(jìn)度和質(zhì)質(zhì)量控制,由由何部門/何人負(fù)責(zé)。6.3 結(jié)果果判定如果.2 為肯定,則則信息系統(tǒng)符符合本單元測測評指標(biāo)要求求,否則,信信息系統(tǒng)不符符合或部分符符合本單元測測評指標(biāo)要求求。7 測試驗收收7.1 測評評指標(biāo)見GB/T 222239-2008 。7.2 測評評實施本項要求包括:a) 應(yīng)訪談系系統(tǒng)建設(shè)負(fù)責(zé)責(zé)人,詢問在在信息系統(tǒng)建建設(shè)完成后是是否對其進(jìn)行行安全性測試試驗收;b) 應(yīng)檢查查工程測試驗驗收方案,查查看其是否明明確說明參與與測試的部門門、人員、測測試驗收內(nèi)容容、現(xiàn)場操作作過程

50、等內(nèi)容容;c) 應(yīng)檢查查測試驗收記記錄是否詳細(xì)細(xì)記錄了測試試時間、人員員、現(xiàn)場操作作過程和測試試驗收結(jié)果等等方面內(nèi)容;d) 應(yīng)檢查查是否具有系系統(tǒng)測試驗收收報告。7.3 結(jié)果果判定如果.2 a)-d)均為肯肯定,則信息息系統(tǒng)符合本本單元測評指指標(biāo)要求,否否則,信息系系統(tǒng)不符合或或部分符合本本單元測評指指標(biāo)要求。8 系統(tǒng)交付付8.1 測評評指標(biāo)見GB/T 222239-2008 。8.2 測評評實施本項要求包括:a) 應(yīng)訪談系系統(tǒng)建設(shè)負(fù)責(zé)責(zé)人,詢問系系統(tǒng)交接工作作是否根據(jù)交交付清單對所所交接的設(shè)備備、文檔、軟軟件等進(jìn)行清清點;b) 應(yīng)訪談?wù)勏到y(tǒng)建設(shè)負(fù)負(fù)責(zé)人,詢問問目前的信息息系統(tǒng)是否由由內(nèi)部人員

51、獨獨立運行維護(hù)護(hù),如果是,系系統(tǒng)正式運行行前是否對運運行維護(hù)人員員進(jìn)行過培訓(xùn)訓(xùn),針對哪些些方面進(jìn)行過過培訓(xùn);c) 應(yīng)檢查查是否具有系系統(tǒng)交付清單單說明系統(tǒng)交交付的各類設(shè)設(shè)備、軟件、文文檔等;d) 應(yīng)檢查查是否具有系系統(tǒng)建設(shè)文檔檔、指導(dǎo)用戶戶進(jìn)行系統(tǒng)運運維的文檔、系系統(tǒng)培訓(xùn)手冊冊等。8.3 結(jié)果果判定如果.2 a)-d)均為肯肯定,則信息息系統(tǒng)符合本本單元測評指指標(biāo)要求,否否則,信息系系統(tǒng)不符合或或部分符合本本單元測評指指標(biāo)要求。9 安全服務(wù)務(wù)商選擇9.1 測評評指標(biāo)見GB/T 222239-2008 。9.2 測評評實施本項要求包括:a) 應(yīng)訪談系系統(tǒng)建設(shè)負(fù)責(zé)責(zé)人,詢問信信息系統(tǒng)選擇擇的安全服

52、務(wù)務(wù)商有哪些,是是否符合國家家有關(guān)規(guī)定;b) 應(yīng)檢查查是否具有與與安全服務(wù)商商簽訂的安全全責(zé)任合同書書或保密協(xié)議議等文檔,查查看其內(nèi)容是是否包含保密密范圍、安全全責(zé)任、違約約責(zé)任、協(xié)議議的有效期限限和責(zé)任人的的簽字等。9.3 結(jié)果果判定如果.2 a)和b)均為肯定定,則信息系系統(tǒng)符合本單單元測評指標(biāo)標(biāo)要求,否則則,信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標(biāo)標(biāo)要求。5.2.5 系系統(tǒng)運維管理理1 環(huán)境管理理1.1 測評評指標(biāo)見GB/T 222239-2008 。1.2 測評評實施本項要求包括:a) 應(yīng)訪談系系統(tǒng)運維負(fù)責(zé)責(zé)人,詢問是是否有專門的的部門或人員員對機(jī)房基礎(chǔ)礎(chǔ)設(shè)施進(jìn)行定定期維護(hù),由由何

53、部門/何人負(fù)責(zé),維維護(hù)周期多長長;b) 應(yīng)訪談?wù)勏到y(tǒng)運維負(fù)負(fù)責(zé)人,詢問問對機(jī)房的出出入、服務(wù)器器開機(jī)/關(guān)機(jī)如何進(jìn)進(jìn)行管理;c) 應(yīng)檢查查機(jī)房安全管管理制度,查查看其內(nèi)容是是否覆蓋機(jī)房房物理訪問、物物品帶進(jìn)/帶出機(jī)房和和機(jī)房環(huán)境安安全等方面。1.3 結(jié)果果判定如果.2 a)-c)均為肯肯定,則信息息系統(tǒng)符合本本單元測評指指標(biāo)要求,否否則,信息系系統(tǒng)不符合或或部分符合本本單元測評指指標(biāo)要求。2 資產(chǎn)管理理2.1 測評評指標(biāo)見GB/T 222239-2008 。2.2 測評評實施應(yīng)檢查資產(chǎn)清單單,查看其內(nèi)內(nèi)容是否覆蓋蓋資產(chǎn)責(zé)任部部門、責(zé)任人人、所處位置置和重要程度度等方面;2.3 結(jié)果果判定如果.2

54、 為肯定,則則信息系統(tǒng)符符合本單元測測評指標(biāo)要求求,否則,信信息系統(tǒng)不符符合或部分符符合本單元測測評指標(biāo)要求求。3 介質(zhì)管理理3.1 測評評指標(biāo)見GB/T 222239-2008 。3.2 測評評實施本項要求包括:a) 應(yīng)訪談資資產(chǎn)管理員,詢詢問介質(zhì)的存存放環(huán)境是否否采取保護(hù)措措施防止介質(zhì)質(zhì)被盜、被毀毀、介質(zhì)內(nèi)存存儲信息被未未授權(quán)修改以以及非法泄漏漏等;b) 應(yīng)訪談?wù)勝Y產(chǎn)管理員員,詢問是否否根據(jù)介質(zhì)的的目錄清單對對介質(zhì)的使用用現(xiàn)狀進(jìn)行定定期檢查;c) 應(yīng)檢查查介質(zhì)管理記記錄,查看其其是否記錄介介質(zhì)歸檔和查查詢等情況。3.3 結(jié)果果判定本項要求包括:a) 如果5. a)中中在防火、防防水、防盜等

55、等方面均有措措施,則為肯肯定;b) 如果5.2.5.3.22 a)-c)均為肯肯定,則信息息系統(tǒng)符合本本單元測評指指標(biāo)要求,否否則,信息系系統(tǒng)不符合或或部分符合本本單元測評指指標(biāo)要求。4 設(shè)備管理理4.1 測評評指標(biāo)見GB/T 222239-2008 。4.2 測評評實施本項要求包括:a) 應(yīng)訪談資資產(chǎn)管理員,詢詢問是否有專專門的部門或或人員對各種種設(shè)備、線路路進(jìn)行定期維維護(hù),對各類類測試工具進(jìn)進(jìn)行有效性檢檢查,由何部部門/何人負(fù)責(zé),維維護(hù)周期多長長;b) 應(yīng)訪談?wù)勝Y產(chǎn)管理員員,詢問是否否對設(shè)備選用用的各個環(huán)節(jié)節(jié)(選型、采采購、發(fā)放和和領(lǐng)用等)進(jìn)進(jìn)行審批控制制;c) 應(yīng)檢查查設(shè)備安全管管理制度

56、,查查看其內(nèi)容是是否明確對各各種軟硬件設(shè)設(shè)備的選型、采采購、發(fā)放和和領(lǐng)用等環(huán)節(jié)節(jié)進(jìn)行申報和和審批。4.3 結(jié)果果判定如果.2 a)-c)均為肯肯定,則信息息系統(tǒng)符合本本單元測評指指標(biāo)要求,否否則,信息系系統(tǒng)不符合或或部分符合本本單元測評指指標(biāo)要求。5 網(wǎng)絡(luò)安全全管理5.1 測評評指標(biāo)見GB/T 222239-2008 。5.2 測評評實施本項要求包括:a) 應(yīng)訪談安安全主管,詢詢問是否指定定人員負(fù)責(zé)維維護(hù)網(wǎng)絡(luò)運行行日志、監(jiān)控控記錄和分析析處理報警信信息等網(wǎng)絡(luò)安安全管理工作作;b) 應(yīng)訪談?wù)劙踩芾韱T員,詢問是否否定期對網(wǎng)絡(luò)絡(luò)設(shè)備進(jìn)行漏漏洞掃描,掃掃描周期多長長,發(fā)現(xiàn)漏洞洞是否及時修修補(bǔ);c)

57、應(yīng)檢查查網(wǎng)絡(luò)漏洞掃掃描報告,檢檢查掃描時間間間隔與掃描描周期是否一一致。5.3 結(jié)果果判定如果.2 a)-c)均為肯肯定,則信息息系統(tǒng)符合本本單元測評指指標(biāo)要求,否否則,信息系系統(tǒng)不符合或或部分符合本本單元測評指指標(biāo)要求。6 系統(tǒng)安全全管理6.1 測評評指標(biāo)見GB/T 222239-2008 。6.2 測評評實施本項要求包括:a) 應(yīng)訪談系系統(tǒng)管理員,詢詢問是否根據(jù)據(jù)業(yè)務(wù)需求和和系統(tǒng)安全分分析制定系統(tǒng)統(tǒng)的訪問控制制策略,控制制分配信息系系統(tǒng)、文件及及服務(wù)的訪問問權(quán)限;是否否及時安裝最最新安全補(bǔ)丁丁程序和進(jìn)行行漏洞修補(bǔ),在在安裝系統(tǒng)補(bǔ)補(bǔ)丁前是否對重要文件件進(jìn)行備份;b) 應(yīng)訪談?wù)劙踩芾韱T員,詢

58、問是否否定期對系統(tǒng)統(tǒng)進(jìn)行漏洞掃掃描,掃描周周期多長,發(fā)發(fā)現(xiàn)漏洞是否否及時修補(bǔ);c) 應(yīng)檢查查系統(tǒng)漏洞掃掃描報告,檢檢查掃描時間間間隔與掃描描周期是否一一致。6.3 結(jié)果果判定如果.2 a)-c)均為肯肯定,則信息息系統(tǒng)符合本本單元測評指指標(biāo)要求,否否則,信息系系統(tǒng)不符合或或部分符合本本單元測評指指標(biāo)要求。7 惡意代碼碼防范管理7.1 測評評指標(biāo)見GB/T 222239-2008 。7.2 測評評實施應(yīng)訪談系統(tǒng)運維維負(fù)責(zé)人,詢詢問是否對員員工進(jìn)行基本本惡意代碼防防范意識的教教育,是否告告知應(yīng)及時升升級軟件版本本,使用外來來設(shè)備、網(wǎng)絡(luò)絡(luò)上接收文件件和外來計算算機(jī)或存儲設(shè)設(shè)備接入網(wǎng)絡(luò)絡(luò)系統(tǒng)之前應(yīng)應(yīng)進(jìn)

59、行病毒檢檢查等。7.3 結(jié)果果判定如果.2 為肯定,則則信息系統(tǒng)符符合本單元測測評指標(biāo)要求求,否則,信信息系統(tǒng)不符符合或部分符符合本單元測測評指標(biāo)要求求。8 備份與恢恢復(fù)管理8.1 測評評指標(biāo)見GB/T 222239-2008 。8.2 測評評實施本項要求包括:a) 應(yīng)訪談系系統(tǒng)管理員和和數(shù)據(jù)庫管理理員,詢問是是否識別出需需要定期備份份的業(yè)務(wù)信息息、系統(tǒng)數(shù)據(jù)據(jù)和軟件系統(tǒng)統(tǒng),主要有哪哪些;b) 應(yīng)檢查查備份管理文文檔,查看其其是否明確備備份方式、備備份頻度、存存儲介質(zhì)和保保存期等方面面內(nèi)容。8.3 結(jié)果果判定如果.2 a)和b)為肯定,則則信息系統(tǒng)符符合本單元測測評指標(biāo)要求求,否則,信信息系統(tǒng)不

60、符符合或部分符符合本單元測測評指標(biāo)要求求。9 安全事件件處置9.1 測評評指標(biāo)見GB/T 222239-2008 。9.2 測評評實施本項要求包括:a) 應(yīng)訪談系系統(tǒng)運維負(fù)責(zé)責(zé)人,詢問是是否告知用戶戶在發(fā)現(xiàn)安全全弱點和可疑疑事件時應(yīng)及及時報告;b) 應(yīng)檢查查安全事件報報告和處置管管理制度,查查看其是否明明確安全事件件的現(xiàn)場處理理、事件報告告和后期恢復(fù)復(fù)的管理職責(zé)責(zé)。9.3 結(jié)果果判定如果.2 a)和b)為肯定,則則信息系統(tǒng)符符合本單元測測評指標(biāo)要求求,否則,信信息系統(tǒng)不符符合或部分符符合本單元測測評指標(biāo)要求求。6 第二級信息息系統(tǒng)單元測測評6.1 安全技技術(shù)測評6.1.1 物物理安全1 物理位

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論