網(wǎng)絡(luò)安全與等保等保測(cè)評(píng)服務(wù)方案

等保測(cè)評(píng)等保測(cè)評(píng)技術(shù)方案 等級(jí)保護(hù)測(cè)評(píng)定級(jí)與備案調(diào)研信息系統(tǒng)名稱數(shù)據(jù)使用者或管理者及其訪問權(quán)限業(yè)務(wù)解決信息類別數(shù)據(jù)安全性規(guī)定保密性S數(shù)據(jù)泄露將造成的影響完整性S數(shù)據(jù)篡改或丟失將造成的影響可用性A系統(tǒng)中斷將造成的影響XX系統(tǒng)系統(tǒng)開發(fā)人員、系統(tǒng)運(yùn)維人員、系統(tǒng)使用人員管理數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、鑒別信息等高中低數(shù)據(jù)泄露與否會(huì)引發(fā)法律糾紛和造成財(cái)產(chǎn)損失高中低數(shù)據(jù)篡改或丟失與否會(huì)引發(fā)法律糾紛和造成財(cái)產(chǎn)損失高中低描述系統(tǒng)中斷對(duì)工作職能和業(yè)務(wù)能力的影響通過調(diào)研初步擬定各信息系統(tǒng)的名稱和級(jí)別。定級(jí)報(bào)告和備案表信息安全等級(jí)保護(hù)工作的第一種環(huán)節(jié)是系統(tǒng)定級(jí)。對(duì)信息系統(tǒng)進(jìn)行定級(jí)是等級(jí)保護(hù)工作的基礎(chǔ)，信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其它組織的正當(dāng)權(quán)益的危害程度等因素?cái)M定。定級(jí)工作流程是擬定定級(jí)對(duì)象、擬定信息系統(tǒng)安全等級(jí)保護(hù)等級(jí)、組織專家評(píng)審、主管部門審批、公安機(jī)關(guān)審核。信息系統(tǒng)定級(jí)后來(lái)，應(yīng)到所在地區(qū)地市級(jí)上公安機(jī)關(guān)辦理備案手續(xù)，備案工作的流程是信息系統(tǒng)備案、受理、審核和備案信息管理等。1）協(xié)助定級(jí)對(duì)系統(tǒng)狀況進(jìn)行分析，通過分析系統(tǒng)所屬類型、所屬信息類別、服務(wù)范疇，理解系統(tǒng)的可用性、完整性、保密性需求，清晰擬定保護(hù)對(duì)象，擬定受侵害的客體、擬定客體受侵害的程度，最后擬定系統(tǒng)的系統(tǒng)服務(wù)保護(hù)等級(jí)和業(yè)務(wù)信息保護(hù)等級(jí)，協(xié)助顧客編制訂級(jí)報(bào)告。2）協(xié)助備案協(xié)助顧客填寫《信息系統(tǒng)安全等級(jí)保護(hù)備案表》，協(xié)助顧客到各地公安機(jī)關(guān)進(jìn)行系統(tǒng)備案，獲得系統(tǒng)備案證。等保測(cè)評(píng)概述項(xiàng)目介紹根據(jù)公安部出臺(tái)的有關(guān)等級(jí)保護(hù)的政策，對(duì)信息系統(tǒng)的等級(jí)保護(hù)已經(jīng)是國(guó)家的一項(xiàng)基本國(guó)策和信息安全的基本保障，同時(shí)等級(jí)保護(hù)工作的開展也是各行各業(yè)信息化建設(shè)的內(nèi)在需求。隨著信息化的不停發(fā)展，信息系統(tǒng)的應(yīng)用為信息化的開展提供了重要的支撐平臺(tái)，核心流程、重要數(shù)據(jù)的解決都依賴于信息系統(tǒng)，因而信息化建設(shè)、信息安全建設(shè)工作受到XXXX集團(tuán)有限公司各級(jí)領(lǐng)導(dǎo)的高度重視。等級(jí)保護(hù)政策作為國(guó)家在信息系統(tǒng)信息安全上的一項(xiàng)重要決策，信息化建設(shè)工作和信息安全工作貫穿XXXX集團(tuán)有限公司的核心業(yè)務(wù)中。等級(jí)保護(hù)工作受到了XXXX集團(tuán)有限公司各級(jí)領(lǐng)導(dǎo)的高度重視，安全建設(shè)也逐步成為公司信息化建設(shè)的內(nèi)在需求。整個(gè)測(cè)評(píng)項(xiàng)目的實(shí)施重要分為現(xiàn)場(chǎng)測(cè)評(píng)和復(fù)測(cè)評(píng)，其中現(xiàn)場(chǎng)測(cè)評(píng)分為四個(gè)階段：一、測(cè)評(píng)準(zhǔn)備活動(dòng)階段，二、方案編制活動(dòng)階段，三、現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)階段，四、分析和報(bào)告編制活動(dòng)階段；復(fù)測(cè)評(píng)分為三個(gè)階段：一、安全整治活動(dòng)階段，二復(fù)測(cè)評(píng)活動(dòng)階段，三，分析和報(bào)告編制活動(dòng)階段。其測(cè)評(píng)目的在于對(duì)XXXX集團(tuán)有限公司信息系統(tǒng)現(xiàn)在安全防護(hù)能力做出客觀評(píng)價(jià)。通過對(duì)物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理、滲入測(cè)試等方面的安全檢查，以國(guó)家信息安全等級(jí)保護(hù)基本規(guī)定作為安全基線，進(jìn)行客觀符合性鑒定，進(jìn)一步衡量現(xiàn)在系統(tǒng)的安全防護(hù)能力，以及系統(tǒng)所面臨的威脅和風(fēng)險(xiǎn)所在，為將來(lái)的安全整治和安全建設(shè)提供有力根據(jù)。測(cè)評(píng)根據(jù)本項(xiàng)目的測(cè)評(píng)按照下列原則或規(guī)范進(jìn)行：有關(guān)開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的告知（公信安[]861號(hào)）；有關(guān)印發(fā)《信息安全等級(jí)保護(hù)管理方法》的告知（公通字[]43號(hào)）；有關(guān)開展全省重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的告知（湘公通[]94號(hào)）；有關(guān)進(jìn)一步推動(dòng)全省信息安全等級(jí)保護(hù)工作的函（湘公函[]21號(hào)）；有關(guān)對(duì)全省重要信息系統(tǒng)開展信息安全等級(jí)保護(hù)專項(xiàng)檢查工作的函（湘公函[]74號(hào)）；《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T22240—）；《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》（國(guó)標(biāo)報(bào)批稿）；《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)規(guī)定》（GB/T25070-）。重要測(cè)評(píng)根據(jù)：《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本規(guī)定》（GB/T22239-）；《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)規(guī)定》（GB/T28448-）。測(cè)評(píng)過程被測(cè)系統(tǒng)描述定級(jí)狀況本次安全等級(jí)測(cè)評(píng)所涉及的信息系統(tǒng)定級(jí)狀況列表以下：序號(hào)系統(tǒng)名稱業(yè)務(wù)描述安全保護(hù)等級(jí)1XX系統(tǒng)普通性描述如為某某部門或某人群提供某種信息服務(wù)。SXAXGX2XX系統(tǒng)普通性描述如為某某部門或某人群提供某種信息服務(wù)。SXAXGX3XX系統(tǒng)普通性描述如為某某部門或某人群提供某種信息服務(wù)。SXAXGX網(wǎng)絡(luò)構(gòu)造下列網(wǎng)絡(luò)架構(gòu)承載著信息管理系統(tǒng)的運(yùn)行，是信息化業(yè)務(wù)、應(yīng)用系統(tǒng)運(yùn)轉(zhuǎn)的基礎(chǔ)平臺(tái)。其網(wǎng)絡(luò)拓?fù)鋱D如圖2-1所示： 圖2-SEQ圖表\*ARABIC1信息管理系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D（示例）系統(tǒng)構(gòu)成4.2.2.3.1業(yè)務(wù)應(yīng)用軟件序號(hào)軟件名稱重要功效重要程度1XX系統(tǒng)系統(tǒng)本身能夠?yàn)榉?wù)者提供的業(yè)務(wù)功效和安全功效等。重要2XX系統(tǒng)系統(tǒng)本身能夠?yàn)榉?wù)者提供的業(yè)務(wù)功效和安全功效等。重要3XX系統(tǒng)系統(tǒng)本身能夠?yàn)榉?wù)者提供的業(yè)務(wù)功效和安全功效等。重要4.2.2.3.2核心數(shù)據(jù)類別序號(hào)數(shù)據(jù)類別所屬業(yè)務(wù)應(yīng)用主機(jī)/存儲(chǔ)設(shè)備重要程度1管理數(shù)據(jù)被測(cè)評(píng)對(duì)象應(yīng)用應(yīng)用服務(wù)器/數(shù)據(jù)庫(kù)服務(wù)器重要2業(yè)務(wù)數(shù)據(jù)被測(cè)評(píng)對(duì)象應(yīng)用應(yīng)用服務(wù)器/數(shù)據(jù)庫(kù)服務(wù)器重要3鑒別信息被測(cè)評(píng)對(duì)象應(yīng)用應(yīng)用服務(wù)器/數(shù)據(jù)庫(kù)服務(wù)器重要4.2.2.3.3主機(jī)/存儲(chǔ)設(shè)備序號(hào)設(shè)備名稱操作系統(tǒng)/數(shù)據(jù)庫(kù)管理系統(tǒng)業(yè)務(wù)應(yīng)用軟件1應(yīng)用服務(wù)器/數(shù)據(jù)庫(kù)服務(wù)器舉例：Windows/oracleXX系統(tǒng)2應(yīng)用服務(wù)器/數(shù)據(jù)庫(kù)服務(wù)器舉例：Windows/oracleXX系統(tǒng)3應(yīng)用服務(wù)器/數(shù)據(jù)庫(kù)服務(wù)器舉例：Windows/oracleXX系統(tǒng)4.2.2.3.4網(wǎng)絡(luò)、安全設(shè)備序號(hào)設(shè)備名稱設(shè)備類型重要程度1核心交換機(jī)核心交換機(jī)非常重要2匯聚交換機(jī)匯聚交換機(jī)重要3接入交換機(jī)接入交換機(jī)普通4防火墻防火墻重要5入侵防御設(shè)備入侵防御設(shè)備重要6Web應(yīng)用防火墻Web應(yīng)用防火墻重要4.2.2.3.4安全有關(guān)人員序號(hào)姓名崗位/角色聯(lián)系方式1網(wǎng)絡(luò)管理員網(wǎng)絡(luò)管理員2安全建設(shè)管理員安全建設(shè)管理員3安全運(yùn)維管理員安全運(yùn)維管理員4安全制度管理員安全制度管理員5人員安全管理員人員安全管理員6機(jī)構(gòu)安全管理員機(jī)構(gòu)安全管理員7物理機(jī)房管理員物理機(jī)房管理員8應(yīng)用軟件管理員應(yīng)用軟件管理員4.2.2.3.5安全管理文檔序號(hào)文檔名稱重要內(nèi)容1制度類文檔涉及網(wǎng)絡(luò)安全管理、設(shè)備安全管理、系統(tǒng)安全管理、備份與恢復(fù)、安全事件處置和應(yīng)急預(yù)案等管理制度。2統(tǒng)計(jì)類文檔涉及機(jī)房出入登記統(tǒng)計(jì)（涉及第三方人員）、機(jī)房基礎(chǔ)設(shè)施維護(hù)統(tǒng)計(jì)、各類會(huì)議紀(jì)要或統(tǒng)計(jì)、各類評(píng)審和修訂統(tǒng)計(jì)、人員考核、審查、培訓(xùn)統(tǒng)計(jì)、離崗手續(xù)等統(tǒng)計(jì)。3證據(jù)類文檔涉及資產(chǎn)清單、機(jī)構(gòu)安全管理人員崗位名單、外聯(lián)單位聯(lián)系列表、人員保密合同、核心崗位安全合同、信息系統(tǒng)定級(jí)報(bào)告或定級(jí)建議書、系統(tǒng)備案材料等。測(cè)評(píng)對(duì)象與指標(biāo)測(cè)評(píng)指標(biāo)GB/T22239-中對(duì)不同等級(jí)信息系統(tǒng)的安全功效和方法提出了具體規(guī)定，等級(jí)測(cè)評(píng)應(yīng)根據(jù)信息系統(tǒng)的安全保護(hù)等級(jí)從中選用對(duì)應(yīng)等級(jí)的安全測(cè)評(píng)指標(biāo)，并根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本規(guī)定》和《信息安全技術(shù)信息系統(tǒng)安全等級(jí)測(cè)評(píng)過程指南》對(duì)信息系統(tǒng)實(shí)施安全測(cè)評(píng)。本次測(cè)評(píng)的信息管理系統(tǒng)在實(shí)施時(shí)由建設(shè)方指定，涉及二級(jí)和三級(jí)系統(tǒng)的等級(jí)測(cè)評(píng)，安全測(cè)評(píng)指標(biāo)應(yīng)涉及《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本規(guī)定》中的二級(jí)和三級(jí)規(guī)定，分為通用指標(biāo)類（GX），業(yè)務(wù)信息安全性指標(biāo)類（SX）和系統(tǒng)服務(wù)確保類（AX）。1）二級(jí)測(cè)評(píng)所涉及的安全控制指標(biāo)類型狀況具體以下表：測(cè)評(píng)指標(biāo)技術(shù)/管理安全分類安全子類數(shù)量S（2級(jí)）A（2級(jí)）G（2級(jí)）小計(jì)安全技術(shù)物理安全11810網(wǎng)絡(luò)安全1056主機(jī)系統(tǒng)安全2136數(shù)據(jù)安全及備份恢復(fù)2103應(yīng)用安全4217安全管理安全管理制度0033安全管理機(jī)構(gòu)0055人員安全管理0055系統(tǒng)建設(shè)管理0099系統(tǒng)運(yùn)維管理001212累計(jì)662）三級(jí)測(cè)評(píng)所涉及的安全控制指標(biāo)類型狀況具體以下表：測(cè)評(píng)指標(biāo)技術(shù)/管理安全分類安全子類數(shù)量S（3級(jí)）A（3級(jí)）G（3級(jí)）小計(jì)安全技術(shù)物理安全11810網(wǎng)絡(luò)安全1067主機(jī)系統(tǒng)安全3137數(shù)據(jù)安全及備份恢復(fù)5229應(yīng)用安全2103安全管理安全管理制度0033安全管理機(jī)構(gòu)0055人員安全管理0055系統(tǒng)建設(shè)管理001111系統(tǒng)運(yùn)維管理001313累計(jì)73測(cè)評(píng)對(duì)象4.2.3.2.1機(jī)房序號(hào)機(jī)房名稱物理位置1機(jī)房XXXX集團(tuán)有限公司辦公樓4.2.3.2.2業(yè)務(wù)軟件序號(hào)軟件名稱重要功效1XX系統(tǒng)系統(tǒng)本身能夠?yàn)榉?wù)者提供的業(yè)務(wù)功效和安全功效等。2XX系統(tǒng)系統(tǒng)本身能夠?yàn)榉?wù)者提供的業(yè)務(wù)功效和安全功效等。3XX系統(tǒng)系統(tǒng)本身能夠?yàn)榉?wù)者提供的業(yè)務(wù)功效和安全功效等。4.2.3.2.3主機(jī)序號(hào)設(shè)備名稱業(yè)務(wù)應(yīng)用軟件1應(yīng)用服務(wù)器XX系統(tǒng)2應(yīng)用服務(wù)器XX系統(tǒng)3應(yīng)用服務(wù)器XX系統(tǒng)4.2.3.2.4數(shù)據(jù)庫(kù)序號(hào)設(shè)備名稱業(yè)務(wù)應(yīng)用軟件1數(shù)據(jù)庫(kù)服務(wù)器XX系統(tǒng)2數(shù)據(jù)庫(kù)服務(wù)器XX系統(tǒng)3數(shù)據(jù)庫(kù)服務(wù)器XX系統(tǒng)4.2.3.2.5網(wǎng)絡(luò)、安全設(shè)備序號(hào)設(shè)備名稱操作系統(tǒng)名稱1核心交換機(jī)核心交換機(jī)2匯聚交換機(jī)匯聚交換機(jī)3接入交換機(jī)接入交換機(jī)4防火墻防火墻5入侵防御設(shè)備入侵防御設(shè)備6Web應(yīng)用防火墻Web應(yīng)用防火墻4.2.3.2.6安全管理文檔序號(hào)文檔名稱重要內(nèi)容1制度類文檔涉及網(wǎng)絡(luò)安全管理、設(shè)備安全管理、系統(tǒng)安全管理、備份與恢復(fù)、安全事件處置和應(yīng)急預(yù)案等管理制度。2統(tǒng)計(jì)類文檔涉及機(jī)房出入登記統(tǒng)計(jì)（涉及第三方人員）、機(jī)房基礎(chǔ)設(shè)施維護(hù)統(tǒng)計(jì)、各類會(huì)議紀(jì)要或統(tǒng)計(jì)、各類評(píng)審和修訂統(tǒng)計(jì)、人員考核、審查、培訓(xùn)統(tǒng)計(jì)、離崗手續(xù)等統(tǒng)計(jì)。3證據(jù)類文檔涉及資產(chǎn)清單、機(jī)構(gòu)安全管理人員崗位名單、外聯(lián)單位聯(lián)系列表、人員保密合同、核心崗位安全合同、信息系統(tǒng)定級(jí)報(bào)告或定級(jí)建議書、系統(tǒng)備案材料等。測(cè)評(píng)辦法與工具4.2.3.3.1測(cè)評(píng)辦法測(cè)評(píng)辦法涉及：訪談、檢查、測(cè)試等。訪談是指測(cè)評(píng)人員通過引導(dǎo)信息系統(tǒng)有關(guān)人員進(jìn)行有目的的（有針對(duì)性的）交流以協(xié)助測(cè)評(píng)人員理解、澄清或獲得證據(jù)的過程。檢查是指測(cè)評(píng)人員通過對(duì)測(cè)評(píng)對(duì)象（如制度文檔、各類設(shè)備、安全配備等）進(jìn)行觀察、查驗(yàn)、分析以協(xié)助測(cè)評(píng)人員理解、澄清或獲得證據(jù)的過程。4.2.3.3.2重要測(cè)評(píng)工具本次安全測(cè)評(píng)采用的測(cè)試工具重要涉及：序號(hào)工具名稱工具描述1銥迅漏洞掃描系統(tǒng)設(shè)備型號(hào)：NVS--L；系統(tǒng)版本：3.0.03.5792；漏洞規(guī)則庫(kù)版本：1.0.0.2842，涉及操作系統(tǒng)，網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)庫(kù)等多個(gè)設(shè)備的掃描規(guī)則庫(kù)，漏洞庫(kù)遵照CVE，CAN和MS等國(guó)際原則。2滲入測(cè)試工具涉及SQLmap，Burpsuite，RouterScan，ApacheTomcatScan等。測(cè)評(píng)內(nèi)容與實(shí)施把測(cè)評(píng)指標(biāo)和測(cè)評(píng)方式結(jié)合到信息系統(tǒng)的具體測(cè)評(píng)對(duì)象上，就構(gòu)成了能夠具體測(cè)評(píng)的安全子類。具體分為物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等幾個(gè)方面。物理安全物理安全測(cè)評(píng)將通過訪談和檢查的方式評(píng)測(cè)信息系統(tǒng)的物理安全保障狀況。重要涉及對(duì)象為機(jī)房。在內(nèi)容上，物理安全層面測(cè)評(píng)實(shí)施過程涉及10個(gè)安全子類，具體以下表：4.2.4.1.1測(cè)評(píng)內(nèi)容序號(hào)安全子類測(cè)評(píng)指標(biāo)描述1物理位置的選擇通過訪談物理安全負(fù)責(zé)人，檢查機(jī)房，測(cè)評(píng)機(jī)房物理場(chǎng)合在位置上與否含有防震、防風(fēng)和防雨等多方面的安全防備能力。2物理訪問控制通過訪談物理安全負(fù)責(zé)人，檢查機(jī)房出入口等過程，測(cè)評(píng)信息系統(tǒng)在物理訪問控制方面的安全防備能力。3防盜竊和防破壞通過訪談物理安全負(fù)責(zé)人，檢查機(jī)房?jī)?nèi)的重要設(shè)備、介質(zhì)和防盜報(bào)警設(shè)施等過程，測(cè)評(píng)信息系統(tǒng)與否采用必要的方法防止設(shè)備、介質(zhì)等丟失和被破壞。4防雷擊通過訪談物理安全負(fù)責(zé)人，檢查機(jī)房設(shè)計(jì)/驗(yàn)收文檔，測(cè)評(píng)信息系統(tǒng)與否采用對(duì)應(yīng)的方法防止雷擊。5防火通過訪談物理安全負(fù)責(zé)人，檢查機(jī)房防火方面的安全管理制度，檢查機(jī)房防火設(shè)備等過程，測(cè)評(píng)信息系統(tǒng)與否采用必要的方法避免火災(zāi)的發(fā)生。6防水和防潮通過訪談物理安全負(fù)責(zé)人，檢查機(jī)房及其除潮設(shè)備等過程，測(cè)評(píng)信息系統(tǒng)與否采用必要方法來(lái)避免水災(zāi)和機(jī)房潮濕。7防靜電通過訪談物理安全負(fù)責(zé)人，檢查機(jī)房等過程，測(cè)評(píng)信息系統(tǒng)與否采用必要方法避免靜電的產(chǎn)生。8溫濕度控制通過訪談物理安全負(fù)責(zé)人，檢查機(jī)房的溫濕度自動(dòng)調(diào)節(jié)系統(tǒng)，測(cè)評(píng)信息系統(tǒng)與否采用必要方法對(duì)機(jī)房?jī)?nèi)的溫濕度進(jìn)行控制。9電力供應(yīng)通過訪談物理安全負(fù)責(zé)人，檢查機(jī)房供電線路、設(shè)備等過程，測(cè)評(píng)與否含有為信息系統(tǒng)提供一定電力供應(yīng)的能力。10電磁防護(hù)通過訪談物理安全負(fù)責(zé)人，檢查重要設(shè)備等過程，測(cè)評(píng)信息系統(tǒng)與否含有一定的電磁防護(hù)能力。4.2.4.1.2測(cè)評(píng)實(shí)施訪談物理安全負(fù)責(zé)人、機(jī)房維護(hù)人員和機(jī)房值守人員，詢問機(jī)房與否有防盜報(bào)警系統(tǒng)、避雷裝置、自動(dòng)消防系統(tǒng)和溫濕度自動(dòng)調(diào)節(jié)設(shè)施等有關(guān)機(jī)房安全方法，檢查機(jī)房位置、有關(guān)制度、統(tǒng)計(jì)文檔、系統(tǒng)（或設(shè)備）的運(yùn)行狀況等。4.2.4.1.3配合需求配合項(xiàng)目需求闡明物理位置的選擇對(duì)應(yīng)的房屋建筑資料。物理訪問控制機(jī)房出入登記統(tǒng)計(jì)、審批統(tǒng)計(jì)、電子門禁統(tǒng)計(jì)等。防盜竊和防破壞防盜報(bào)警運(yùn)行維護(hù)狀況及有關(guān)統(tǒng)計(jì)。防雷擊建筑物防雷技術(shù)檢測(cè)報(bào)告。防火防火系統(tǒng)的檢查和維護(hù)統(tǒng)計(jì)、機(jī)房驗(yàn)收文檔。防水和防潮建筑施工圖、建筑驗(yàn)收文檔。防靜電展示防靜電接地方法。溫濕度控制機(jī)房溫濕度變化的統(tǒng)計(jì)和溫濕度調(diào)節(jié)設(shè)備的維護(hù)統(tǒng)計(jì)。電力供應(yīng)供電線路的穩(wěn)壓器、供電線路的UPS、備用電源設(shè)備和過電壓防護(hù)設(shè)備的維護(hù)和維修統(tǒng)計(jì)。電磁防護(hù)1．物理安全負(fù)責(zé)人介紹設(shè)備外殼接地的實(shí)施狀況；2．物理安全負(fù)責(zé)人介紹線路鋪設(shè)中將電源線和通信線路隔離的實(shí)施狀況；3．物理安全負(fù)責(zé)人介紹重要設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽的狀況。網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全測(cè)評(píng)將通過訪談、檢查和測(cè)試的方式評(píng)測(cè)信息系統(tǒng)的網(wǎng)絡(luò)安全保障狀況。重要涉及對(duì)象機(jī)房的網(wǎng)絡(luò)設(shè)備、安全設(shè)備以及網(wǎng)絡(luò)拓?fù)錁?gòu)造等三大類對(duì)象。在內(nèi)容上，網(wǎng)絡(luò)安全層面測(cè)評(píng)過程涉及6個(gè)工作單元。4.2.4.2.1測(cè)評(píng)內(nèi)容序號(hào)安全子類測(cè)評(píng)指標(biāo)描述1構(gòu)造安全通過訪談網(wǎng)絡(luò)管理員，檢查網(wǎng)絡(luò)拓?fù)錉顩r、核查核心交換機(jī)、路由器，測(cè)評(píng)分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等狀況的合理性和有效性。2訪問控制通過訪談安全員，檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測(cè)試系統(tǒng)對(duì)外暴露安全漏洞狀況等，測(cè)評(píng)分析信息系統(tǒng)對(duì)網(wǎng)絡(luò)區(qū)域邊界有關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力。3安全審計(jì)通過訪談審計(jì)員，檢查核心交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的安全審計(jì)狀況等，測(cè)評(píng)分析信息系統(tǒng)審計(jì)配備和審計(jì)統(tǒng)計(jì)保護(hù)狀況。4邊界完整性檢查通過訪談安全員，檢查邊界完整性檢查設(shè)備,接入邊界完整性檢查設(shè)備進(jìn)行測(cè)試等過程，測(cè)評(píng)分析信息系統(tǒng)私自聯(lián)到外部網(wǎng)絡(luò)的行為。5入侵防備通過訪談安全員，測(cè)評(píng)分析信息系統(tǒng)對(duì)攻擊行為的識(shí)別和解決狀況。6網(wǎng)絡(luò)設(shè)備防護(hù)通過訪談網(wǎng)絡(luò)管理員，檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備，查看它們的安全配備狀況，涉及身份鑒別、登錄失敗解決、限制非法登錄和登錄連接超時(shí)等，考察網(wǎng)絡(luò)設(shè)備本身的安全防備狀況。4.2.4.2.2測(cè)評(píng)實(shí)施網(wǎng)絡(luò)層面測(cè)評(píng)實(shí)施重要分為三部分，第一部分為網(wǎng)絡(luò)全局測(cè)評(píng)，重要通過訪談網(wǎng)絡(luò)管理員，針對(duì)構(gòu)造安全、邊界完整性、入侵防備、惡意代碼防備四個(gè)控制點(diǎn)，理解構(gòu)造安全、業(yè)務(wù)高峰期設(shè)備解決能力和鏈路帶寬運(yùn)行狀況、非法內(nèi)外聯(lián)，以及網(wǎng)絡(luò)邊界的入侵防備方法，惡意代碼防備狀況等內(nèi)容。第二部分為網(wǎng)絡(luò)設(shè)備防護(hù)測(cè)評(píng)，重要通過對(duì)網(wǎng)絡(luò)管理員進(jìn)行訪談、由管理員進(jìn)行操作查看安全配備，針對(duì)訪問控制、安全審計(jì)、網(wǎng)絡(luò)設(shè)備防護(hù)三個(gè)控制點(diǎn)，理解網(wǎng)絡(luò)設(shè)備上重要的訪問控制方略、設(shè)備日志統(tǒng)計(jì)狀況、口令復(fù)雜度、雙因子身份鑒別、管理員權(quán)限分離等內(nèi)容。第三部分為工具測(cè)試，針對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器的系統(tǒng)漏洞進(jìn)行掃描，以及對(duì)網(wǎng)絡(luò)設(shè)備的訪問控制方略進(jìn)行驗(yàn)證等。4.2.4.2.3配合需求配合項(xiàng)目需求闡明構(gòu)造安全網(wǎng)絡(luò)拓?fù)錁?gòu)造圖、不同的子網(wǎng)或網(wǎng)段的設(shè)計(jì)或描述、帶寬的配備方略。邊界完整性檢查系統(tǒng)管理員介紹采用的手段以避免非授權(quán)接入和非法外聯(lián)行為。入侵防備網(wǎng)絡(luò)管理員或者安全管理員介紹防網(wǎng)絡(luò)攻擊方法。訪問控制針對(duì)重要服務(wù)器的訪問控制方略。安全審計(jì)訪談網(wǎng)絡(luò)管理員以及需要網(wǎng)絡(luò)管理員上機(jī)操作。網(wǎng)絡(luò)設(shè)備防護(hù)網(wǎng)絡(luò)管理員上機(jī)操作。主機(jī)安全主機(jī)系統(tǒng)安全測(cè)評(píng)將通過訪談、檢查和測(cè)試的方式評(píng)測(cè)信息系統(tǒng)的管理終端和管理支撐服務(wù)器（涉及：審計(jì)服務(wù)器、防病毒服務(wù)器、補(bǔ)丁升級(jí)服務(wù)器等）安全保障狀況。在內(nèi)容上，主機(jī)系統(tǒng)安全層面測(cè)評(píng)實(shí)施過程涉及7個(gè)安全子類。4.2.4.3.1測(cè)評(píng)內(nèi)容序號(hào)安全子類測(cè)評(píng)指標(biāo)描述1身份鑒別檢查服務(wù)器的身份標(biāo)記與鑒別和顧客登錄的配備狀況。2訪問控制檢查服務(wù)器的訪問控制設(shè)立狀況，涉及安全方略覆蓋、控制粒度以及權(quán)限設(shè)立狀況等。3安全審計(jì)檢查服務(wù)器的安全審計(jì)的配備狀況，如覆蓋范疇、統(tǒng)計(jì)的項(xiàng)目和內(nèi)容等；檢查安全審計(jì)進(jìn)程和統(tǒng)計(jì)的保護(hù)狀況。4剩余信息保護(hù)檢查服務(wù)器鑒別信息的存儲(chǔ)空間，被釋放或再分派給其它顧客前得到完全去除。5入侵防備檢查服務(wù)器在運(yùn)行過程中的入侵防備方法，如關(guān)閉不需要的端口和服務(wù)、最小化安裝、布署入侵防備產(chǎn)品等。6惡意代碼防備檢查服務(wù)器的惡意代碼防備狀況。7資源控制檢查服務(wù)器對(duì)單個(gè)顧客的登錄方式、網(wǎng)絡(luò)地址范疇、會(huì)話數(shù)量等的限制狀況。4.2.4.3.2測(cè)評(píng)實(shí)施主機(jī)層面測(cè)評(píng)實(shí)施重要通過訪談和查看，理解服務(wù)器的安全防護(hù)方法和有關(guān)安全配備，涉及到的控制點(diǎn)有：身份鑒別、訪問控制、安全審計(jì)、剩余信息保護(hù)、入侵防備、惡意代碼防備和資源控制等。4.2.4.3.3配合需求配合項(xiàng)目需求闡明身份鑒別系統(tǒng)管理員配合主機(jī)測(cè)評(píng)師上機(jī)查看本地安全方略等配備。訪問控制系統(tǒng)管理員配合主機(jī)測(cè)評(píng)師上機(jī)查看賬戶使用狀況和重要文獻(xiàn)屬性等。安全審計(jì)系統(tǒng)管理員配合主機(jī)測(cè)評(píng)師上機(jī)查看審核方略配備狀況。剩余信息保護(hù)系統(tǒng)管理員配合主機(jī)測(cè)評(píng)師上機(jī)查看安全方略配備狀況。入侵防備系統(tǒng)管理員配合主機(jī)測(cè)評(píng)師上機(jī)查看系統(tǒng)補(bǔ)丁、軟件安裝和防火墻配備等。惡意代碼防備系統(tǒng)管理員配合主機(jī)測(cè)評(píng)師上機(jī)查看與否安裝防病毒軟件等。資源控制主機(jī)測(cè)評(píng)師訪談系統(tǒng)管理員與否有系統(tǒng)資源監(jiān)控平臺(tái)。應(yīng)用安全4.2.4.4.1測(cè)評(píng)內(nèi)容應(yīng)用安全測(cè)評(píng)將通過訪談、檢查和測(cè)試的方式評(píng)測(cè)信息系統(tǒng)的應(yīng)用安全保障狀況。在內(nèi)容上，應(yīng)用安全層面測(cè)評(píng)實(shí)施過程涉及7個(gè)工作單元，具體以下表：序號(hào)安全子類測(cè)評(píng)指標(biāo)描述1身份鑒別檢查應(yīng)用系統(tǒng)的身份標(biāo)記與鑒別功效設(shè)立和使用配備狀況；檢查應(yīng)用系統(tǒng)對(duì)顧客登錄多個(gè)狀況的解決，如登錄失敗解決、登錄連接超時(shí)等。2訪問控制檢查應(yīng)用系統(tǒng)的訪問控制功效設(shè)立狀況，如訪問控制的方略、訪問控制粒度、權(quán)限設(shè)立狀況等。3安全審計(jì)檢查應(yīng)用系統(tǒng)的安全審計(jì)配備狀況，如覆蓋范疇、統(tǒng)計(jì)的項(xiàng)目和內(nèi)容等；檢查應(yīng)用系統(tǒng)安全審計(jì)進(jìn)程和統(tǒng)計(jì)的保護(hù)狀況。4通信完整性檢查應(yīng)用系統(tǒng)客戶端和服務(wù)器端之間的通信完整性保護(hù)狀況。5通信保密性檢查應(yīng)用系統(tǒng)客戶端和服務(wù)器端之間的通信保密性保護(hù)狀況。6軟件容錯(cuò)檢查應(yīng)用系統(tǒng)的軟件容錯(cuò)能力，如輸入輸出格式檢查、自我狀態(tài)監(jiān)控、自我保護(hù)、回退等能力。7資源控制檢查應(yīng)用系統(tǒng)的資源控制狀況，如會(huì)話限定、顧客登錄限制、最大并發(fā)連接以及服務(wù)優(yōu)先級(jí)設(shè)立等。4.2.4.4.2測(cè)評(píng)實(shí)施應(yīng)用層面測(cè)評(píng)實(shí)施重要通過訪談和查看，理解應(yīng)用系統(tǒng)的安全防護(hù)方法和有關(guān)安全配備，涉及到的控制點(diǎn)有：身份鑒別、訪問控制、安全審計(jì)、通信完整性、通信保密性、軟件容錯(cuò)、資源控制。4.2.4.4.3配合需求配合項(xiàng)目需求闡明身份鑒別系統(tǒng)管理員配合應(yīng)用測(cè)評(píng)師上機(jī)查看軟件與否含有鑒別信息復(fù)雜度檢查功效、登錄失敗解決功效等。訪問控制系統(tǒng)管理員配合應(yīng)用測(cè)評(píng)師上機(jī)查看軟件與否含有訪問控制功效。安全審計(jì)系統(tǒng)管理員配合應(yīng)用測(cè)評(píng)師上機(jī)查看軟件與否含有安全審計(jì)功效。通信完整性系統(tǒng)管理員配合應(yīng)用測(cè)評(píng)師，查看軟件在數(shù)據(jù)通信過程中，與否含有完整性檢查功效。通信保密性系統(tǒng)管理員配合應(yīng)用測(cè)評(píng)師，查看軟件在數(shù)據(jù)通信過程中，與否含有加密功效。軟件容錯(cuò)系統(tǒng)管理員給應(yīng)用測(cè)評(píng)師提供系統(tǒng)訪問地址。資源控制系統(tǒng)管理員配合應(yīng)用測(cè)評(píng)師，查看軟件與否含有資源控制功效。數(shù)據(jù)安全及備份恢復(fù)4.2.4.5.1測(cè)評(píng)內(nèi)容在內(nèi)容上，數(shù)據(jù)安全層面測(cè)評(píng)實(shí)施過程涉及3個(gè)工作單元，具體以下表：序號(hào)安全子類測(cè)評(píng)指標(biāo)描述1數(shù)據(jù)完整性檢查網(wǎng)絡(luò)設(shè)備的管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸和保存過程中的完整性保護(hù)狀況。2數(shù)據(jù)保密性檢查網(wǎng)絡(luò)設(shè)備的管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸和保存過程中的保密性保護(hù)狀況。3安全備份和恢復(fù)檢查網(wǎng)絡(luò)設(shè)備中配備文獻(xiàn)的安全備份狀況，以及硬件和線路的冗余等。4.2.4.5.2測(cè)評(píng)實(shí)施數(shù)據(jù)安全及備份恢復(fù)測(cè)評(píng)將通過訪談和檢查的方式評(píng)測(cè)信息系統(tǒng)的數(shù)據(jù)安全保障狀況。本次測(cè)評(píng)重點(diǎn)檢查系統(tǒng)的數(shù)據(jù)在采集、傳輸、解決和存儲(chǔ)過程中的安全。4.2.4.5.3配合需求配合項(xiàng)目需求闡明數(shù)據(jù)完整性給應(yīng)用測(cè)評(píng)師提供軟件開發(fā)設(shè)計(jì)方案。數(shù)據(jù)保密性提供系統(tǒng)訪問辦法，給應(yīng)用測(cè)評(píng)師出示中間件配備文獻(xiàn)。安全備份和恢復(fù)數(shù)據(jù)備份管理員，需要出示業(yè)務(wù)數(shù)據(jù)備份文獻(xiàn)給應(yīng)用測(cè)評(píng)師查看。安全管理制度4.2.4.6.1測(cè)評(píng)內(nèi)容安全管理制度測(cè)評(píng)將通過訪談和檢查的形式評(píng)測(cè)安全管理制度的制訂、公布、評(píng)審和修訂等狀況。重要涉及安全主管人員、安全管理人員、各類其它人員、各類管理制度、各類操作規(guī)程文獻(xiàn)等對(duì)象。在內(nèi)容上，安全管理制度測(cè)評(píng)實(shí)施過程涉及3個(gè)工作單元，具體以下表：序號(hào)安全子類測(cè)評(píng)指標(biāo)描述1管理制度通過訪談安全主管，檢查有關(guān)管理制度文檔和重要操作規(guī)程等過程，測(cè)評(píng)信息系統(tǒng)管理制度在內(nèi)容覆蓋上與否全方面、完善。2制訂與公布通過訪談安全主管，檢查有關(guān)制度制訂規(guī)定文檔等過程，測(cè)評(píng)信息系統(tǒng)管理制度的制訂和公布過程與否遵照一定的流程。3評(píng)審和修訂通過訪談安全主管，檢查管理制度評(píng)審統(tǒng)計(jì)等過程，測(cè)評(píng)信息系統(tǒng)管理制度定時(shí)評(píng)審和修訂狀況。4.2.4.6.2測(cè)評(píng)實(shí)施訪談安全主管，理解機(jī)構(gòu)安全管理制度體系的構(gòu)成、安全管理制度制訂和公布的流程、對(duì)制訂的安全管理制度進(jìn)行論證和審定的狀況和對(duì)安全管理制度文獻(xiàn)體系和安全管理制度定時(shí)進(jìn)行評(píng)審修訂的狀況。收集并查看信息安全管理文檔，查看制度文檔的格式與否統(tǒng)一、與否含有編號(hào)、查看內(nèi)容與否覆蓋了信息安全工作的總體目的、方針和方略和信息系統(tǒng)生命周期中的重要管理活動(dòng)，與否有對(duì)重要服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備操作的操作規(guī)程。檢查安全管理制度的收發(fā)登記統(tǒng)計(jì)與否符合規(guī)定的收發(fā)程序和公布范疇控制等規(guī)定，與否有安全管理制度制訂的評(píng)審統(tǒng)計(jì)和定時(shí)修訂的統(tǒng)計(jì)。4.2.4.6.3配合需求配合項(xiàng)目需求闡明管理制度配合訪談進(jìn)行安全管理制度體系狀況的理解；提供信息安全總體方針政策的文獻(xiàn)、與信息安全有關(guān)的管理制度和操作規(guī)程；提供安全管理制度認(rèn)證和評(píng)審的統(tǒng)計(jì)。制訂與公布配合訪談進(jìn)行制度制訂與公布狀況的理解；提供安全管理制度收發(fā)文統(tǒng)計(jì)。評(píng)審和修訂配合訪談進(jìn)行安全管理制度體系、制度制訂與公布、評(píng)審和修訂有關(guān)內(nèi)容的理解；提供安全管理制度定時(shí)評(píng)審修訂的統(tǒng)計(jì)。安全管理機(jī)構(gòu)4.2.4.7.1測(cè)評(píng)內(nèi)容序號(hào)安全子類測(cè)評(píng)指標(biāo)描述1崗位設(shè)立通過訪談安全主管，檢查部門/崗位職責(zé)文獻(xiàn)，測(cè)評(píng)信息系統(tǒng)安全主管部門設(shè)立狀況以及各崗位設(shè)立和崗位職責(zé)狀況。2人員配備通過訪談安全主管，檢查人員名單等文檔，測(cè)評(píng)信息系統(tǒng)各個(gè)崗位人員配備狀況。3授權(quán)和審批通過訪談安全主管，檢查有關(guān)文檔，測(cè)評(píng)信息系統(tǒng)對(duì)核心活動(dòng)的授權(quán)和審批狀況。4溝通和合作通過訪談安全主管，檢查有關(guān)文檔，測(cè)評(píng)信息系統(tǒng)內(nèi)部部門間、與外部單位間的溝通與合作狀況。5審核和檢查通過訪談安全主管，檢查統(tǒng)計(jì)文檔等過程，測(cè)評(píng)信息系統(tǒng)安全工作的審核和檢查狀況。4.2.4.7.2測(cè)評(píng)實(shí)施訪談安全主管，理解安全管理職能部門的人員崗位設(shè)立狀況：與否設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，與否成立信息安全工作委員會(huì)或領(lǐng)導(dǎo)小組。理解各個(gè)安全管理崗位的人員和核心崗位人員的配備狀況。理解授權(quán)與審批制度設(shè)立狀況和單位內(nèi)部各部門之間和單位與其它兄弟單位、公安機(jī)關(guān)、電信公司、供應(yīng)商、業(yè)界專家、專業(yè)安全公司或安全組織的互相溝通與協(xié)調(diào)的機(jī)制，機(jī)構(gòu)與否聘任信息安全專家作為機(jī)構(gòu)的安全顧問。理解信息系統(tǒng)日常安全檢查狀況和系統(tǒng)定時(shí)進(jìn)行全方面安全檢查的狀況。查看部門、崗位職責(zé)等有關(guān)文獻(xiàn)與否明擬定義了機(jī)構(gòu)及各崗位人員的職責(zé)范疇，崗位人員名單中核心崗位與否配備了多人共同管理。查看檢查授權(quán)與審批制度文檔，查看文檔與否明確各審批事項(xiàng)的審批部門、同意人及審批流程等，檢查對(duì)應(yīng)審批統(tǒng)計(jì)與否按照審批程序執(zhí)行審批過程對(duì)重要活動(dòng)進(jìn)行逐級(jí)審批。檢查與否有信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組執(zhí)行日常管理工作的文獻(xiàn)或工作統(tǒng)計(jì)、與否有外聯(lián)單位列表、與否有信息安全專家的聘任文獻(xiàn)。4.2.4.7.3配合需求配合項(xiàng)目需求闡明崗位設(shè)立配合訪談進(jìn)行機(jī)構(gòu)崗位設(shè)立狀況的理解；提供組織構(gòu)造圖、崗位職責(zé)文獻(xiàn)。人員配備配合訪談進(jìn)行機(jī)構(gòu)人員配備狀況的理解。授權(quán)和審批配合訪談進(jìn)行機(jī)構(gòu)授權(quán)和審批狀況的理解；提供授權(quán)和審批文檔和統(tǒng)計(jì)。溝通和合作配合訪談進(jìn)行機(jī)構(gòu)內(nèi)部和外部溝通合作狀況的理解；提供外聯(lián)單位列表、各類會(huì)議紀(jì)要或統(tǒng)計(jì)（部門內(nèi)、部門間協(xié)調(diào)會(huì)、領(lǐng)導(dǎo)小組）。審核和檢查配合訪談進(jìn)行機(jī)構(gòu)審核和檢查狀況的理解；提供內(nèi)部和外部安全檢查統(tǒng)計(jì)。人員安全管理4.2.4.8.1測(cè)評(píng)內(nèi)容序號(hào)安全子類測(cè)評(píng)指標(biāo)描述1人員錄用通過訪談人事負(fù)責(zé)人，檢查人員錄用文檔等過程，測(cè)評(píng)信息系統(tǒng)錄用人員時(shí)與否對(duì)人員提出規(guī)定以及與否對(duì)其進(jìn)行多個(gè)審查和考核。2人員離崗?fù)ㄟ^訪談人事負(fù)責(zé)人，檢查人員離崗安全解決統(tǒng)計(jì)等過程，測(cè)評(píng)信息系統(tǒng)人員離崗時(shí)與否按照一定的手續(xù)辦理。3人員考核通過訪談安全主管，檢查有關(guān)考核統(tǒng)計(jì)等過程，測(cè)評(píng)與否對(duì)人員進(jìn)行日常的業(yè)務(wù)考核和工作審查。4安全意識(shí)教育和培訓(xùn)通過訪談安全主管，檢查培訓(xùn)計(jì)劃和執(zhí)行統(tǒng)計(jì)等文檔，測(cè)評(píng)與否對(duì)人員進(jìn)行安全方面的教育和培訓(xùn)。5外部人員訪問管理通過訪談安全主管，檢查有關(guān)文檔等過程，測(cè)評(píng)對(duì)第三方人員訪問（物理、邏輯）系統(tǒng)與否采用必要控制方法。4.2.4.8.2測(cè)評(píng)實(shí)施訪談安全主管或人事負(fù)責(zé)人，理解人員錄用流程、核心崗位工作人員的選拔流程、人員離崗流程、信息安全培訓(xùn)考核狀況和外來(lái)人員訪問控制方法，涉及人員錄用時(shí)與否對(duì)被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查，與否簽訂了保密合同，離崗時(shí)與否終止離崗人員的全部訪問權(quán)限、收回離崗人員的設(shè)備和物品和離崗審查、承諾保密責(zé)任等狀況，安全教育和培訓(xùn)計(jì)劃制訂實(shí)施狀況、對(duì)各個(gè)崗位人員進(jìn)行安全技能及安全知識(shí)考核的狀況和對(duì)核心崗位人員進(jìn)行安全審查、安全技能及安全知識(shí)的考核狀況。理解對(duì)外部人員的訪問管理方法。檢查與否有錄用人員技術(shù)技能的考核統(tǒng)計(jì)、保密合同、核心崗位人員的崗位安全合同書、離崗手續(xù)統(tǒng)計(jì)、安全意識(shí)教育和培訓(xùn)計(jì)劃和統(tǒng)計(jì)、考核統(tǒng)計(jì)和外部人員訪問的申請(qǐng)審批和登記備案的統(tǒng)計(jì)。4.2.4.8.3配合需求配合項(xiàng)目需求闡明人員錄用配合訪談進(jìn)行人員錄用流程狀況的理解；提供錄用人員技術(shù)技能的考核統(tǒng)計(jì)、保密合同、核心崗位人員的崗位安全合同書。人員離崗配合訪談進(jìn)行人員離崗流程狀況的理解；提供離崗手續(xù)統(tǒng)計(jì)。人員考核配合訪談進(jìn)行人員信息安全考核狀況的理解；提供安全認(rèn)知和安全技能考核統(tǒng)計(jì)。安全意識(shí)教育和培訓(xùn)配合訪談進(jìn)行人員信息安全和技能培訓(xùn)狀況的理解；提供安全意識(shí)教育的培訓(xùn)計(jì)劃和統(tǒng)計(jì)。外部人員訪問管理配合訪談進(jìn)行外部人員訪問控制狀況的理解；提供外部人員訪問的申請(qǐng)審批和登記備案的統(tǒng)計(jì)。系統(tǒng)建設(shè)管理4.2.4.9.1測(cè)評(píng)內(nèi)容序號(hào)安全子類測(cè)評(píng)指標(biāo)描述1系統(tǒng)定級(jí)通過訪談安全主管，檢查系統(tǒng)定級(jí)有關(guān)文檔等過程，測(cè)評(píng)與否按照一定規(guī)定擬定系統(tǒng)的安全等級(jí)。2安全方案設(shè)計(jì)通過訪談系統(tǒng)建設(shè)負(fù)責(zé)人，檢查系統(tǒng)安全建設(shè)方案等文檔，測(cè)評(píng)系統(tǒng)整體的安全規(guī)劃設(shè)計(jì)與否按照一定流程進(jìn)行。3產(chǎn)品采購(gòu)和使用通過訪談安全主管、系統(tǒng)建設(shè)負(fù)責(zé)人和安全產(chǎn)品等過程，測(cè)評(píng)與否按照一定的規(guī)定進(jìn)行系統(tǒng)的產(chǎn)品采購(gòu)。4自行軟件開發(fā)通過訪談系統(tǒng)建設(shè)負(fù)責(zé)人，檢查有關(guān)軟件開發(fā)文檔等，測(cè)評(píng)自行開發(fā)的軟件與否采用必要的方法確保開發(fā)過程的安全性。5外包軟件開發(fā)通過訪談系統(tǒng)建設(shè)負(fù)責(zé)人，檢查有關(guān)文檔，測(cè)評(píng)外包開發(fā)的軟件與否采用必要的方法確保開發(fā)過程的安全性和后來(lái)的維護(hù)工作能夠正常開展。6工程實(shí)施通過訪談系統(tǒng)建設(shè)負(fù)責(zé)人，檢查有關(guān)文檔，測(cè)評(píng)系統(tǒng)建設(shè)的實(shí)施過程與否采用必要的方法使其在機(jī)構(gòu)可控的范疇內(nèi)進(jìn)行。7測(cè)實(shí)驗(yàn)收通過訪談系統(tǒng)建設(shè)負(fù)責(zé)人，檢查測(cè)實(shí)驗(yàn)收等有關(guān)文檔，測(cè)評(píng)系統(tǒng)運(yùn)行前與否對(duì)其進(jìn)行測(cè)實(shí)驗(yàn)收工作。8系統(tǒng)交付通過訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，檢查系統(tǒng)交付清單等過程，測(cè)評(píng)與否采用必要的方法對(duì)系統(tǒng)交付過程進(jìn)行有效控制。9安全服務(wù)商選擇通過訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，測(cè)評(píng)與否選擇符合國(guó)家有關(guān)規(guī)定的安全服務(wù)單位進(jìn)行有關(guān)的安全服務(wù)工作。4.2.4.9.2測(cè)評(píng)實(shí)施訪談安全主管，理解信息系統(tǒng)的整個(gè)定級(jí)過程和信息系統(tǒng)的報(bào)批過程。理解安全方案的整個(gè)設(shè)計(jì)過程和安全建設(shè)總體規(guī)劃狀況、產(chǎn)品采購(gòu)流程、確保系統(tǒng)自主開發(fā)軟件和外包開發(fā)軟件安全的有關(guān)狀況。理解負(fù)責(zé)工程實(shí)施過程、測(cè)實(shí)驗(yàn)收、系統(tǒng)交付的管理人員或管理部門，對(duì)工程實(shí)施、測(cè)實(shí)驗(yàn)收、系統(tǒng)交付過程的進(jìn)度和質(zhì)量控制的辦法和方法、測(cè)實(shí)驗(yàn)收方案的制訂狀況、對(duì)系統(tǒng)進(jìn)行安全測(cè)試的機(jī)構(gòu)、驗(yàn)收成果的審定狀況，與否根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)，系統(tǒng)建設(shè)實(shí)施方對(duì)運(yùn)維技術(shù)人員進(jìn)行了哪些培訓(xùn)。理解系統(tǒng)備案的狀況和為其提供服務(wù)的信息系統(tǒng)安全服務(wù)商的有關(guān)狀況。收集并查看產(chǎn)品采購(gòu)、軟件開發(fā)、工程實(shí)施、測(cè)實(shí)驗(yàn)收和系統(tǒng)交付過程的管理制度，查看系統(tǒng)定級(jí)文檔與否有信息系統(tǒng)劃分的辦法和理由、定級(jí)辦法和理由的描述、專家對(duì)定級(jí)成果的論證意見和有有關(guān)部門或主管部門的同意意見。查看安全方案內(nèi)容與否涉及總體安全方略、安全技術(shù)框架、安全管理方略、具體設(shè)計(jì)內(nèi)容等方面。檢查與否有安全建設(shè)的工作計(jì)劃書、代碼編寫規(guī)范、開發(fā)文檔、軟件設(shè)計(jì)文檔、使用指南、軟件測(cè)實(shí)驗(yàn)收文檔、軟件需求分析闡明書、軟件設(shè)計(jì)闡明書、軟件操作手冊(cè)、工程實(shí)施方案、安全測(cè)試報(bào)告、測(cè)實(shí)驗(yàn)收方案、測(cè)實(shí)驗(yàn)收?qǐng)?bào)告、系統(tǒng)交付清單、安全服務(wù)商的有關(guān)服務(wù)合同或合同。4.2.4.9.3配合需求配合項(xiàng)目需求闡明系統(tǒng)定級(jí)配合訪談進(jìn)行系統(tǒng)定級(jí)狀況的理解；提供系統(tǒng)定級(jí)文檔。安全方案設(shè)計(jì)配合訪談進(jìn)行安全方案設(shè)計(jì)狀況的理解；提供系統(tǒng)建設(shè)的總體安全方略、安全技術(shù)框架、安全管理方略、總體建設(shè)規(guī)劃和具體設(shè)計(jì)方案。產(chǎn)品采購(gòu)和使用配合訪談進(jìn)行產(chǎn)品采購(gòu)狀況的理解；提供產(chǎn)品采購(gòu)有關(guān)的管理制度。自行軟件開發(fā)配合訪談進(jìn)行自主軟件開發(fā)狀況的理解；提供軟件開發(fā)過程的管理制度；提供代碼編寫規(guī)范、開發(fā)文檔、軟件需求分析闡明書、軟件設(shè)計(jì)闡明書、軟件測(cè)實(shí)驗(yàn)收文檔、軟件操作手冊(cè)。外包軟件開發(fā)配合訪談進(jìn)行外包軟件開發(fā)狀況的理解；提供外包軟件開發(fā)過程的管理制度；提供開發(fā)文檔、軟件需求分析闡明書、軟件設(shè)計(jì)闡明書、軟件測(cè)實(shí)驗(yàn)收文檔、軟件操作手冊(cè)、外包開發(fā)商的有關(guān)服務(wù)合同或合同。工程實(shí)施配合訪談進(jìn)行工程實(shí)施狀況的理解；提供工程實(shí)施方案、工程控制文檔。測(cè)實(shí)驗(yàn)收配合訪談進(jìn)行測(cè)實(shí)驗(yàn)收狀況的理解；提供安全測(cè)試報(bào)告、測(cè)實(shí)驗(yàn)收方案、測(cè)實(shí)驗(yàn)收?qǐng)?bào)告。系統(tǒng)交付配合訪談進(jìn)行系統(tǒng)交付狀況的理解；提供系統(tǒng)交付清單、建設(shè)方對(duì)運(yùn)維人員的培訓(xùn)統(tǒng)計(jì)。安全服務(wù)商選擇配合訪談進(jìn)行安全服務(wù)商狀況的理解；提供安全服務(wù)商的有關(guān)服務(wù)合同或合同。系統(tǒng)運(yùn)維管理4.2.4.10.1測(cè)評(píng)內(nèi)容序號(hào)安全子類測(cè)評(píng)指標(biāo)描述1環(huán)境管理通過訪談物理安全負(fù)責(zé)人，檢查機(jī)房安全管理制度，機(jī)房和辦公環(huán)境等過程，測(cè)評(píng)與否采用必要的方法對(duì)機(jī)房的出入控制以及辦公環(huán)境的人員行為等方面進(jìn)行安全管理。2資產(chǎn)管理通過訪談資產(chǎn)管理員，檢查資產(chǎn)清單，檢查系統(tǒng)、網(wǎng)絡(luò)設(shè)備等過程，測(cè)評(píng)與否采用必要的方法對(duì)系統(tǒng)的資產(chǎn)進(jìn)行分類標(biāo)記管理。3介質(zhì)管理通過訪談資產(chǎn)管理員，檢查介質(zhì)管理統(tǒng)計(jì)和各類介質(zhì)等過程，測(cè)評(píng)與否采用必要的方法對(duì)介質(zhì)寄存環(huán)境、使用、維護(hù)和銷毀等方面進(jìn)行管理。4設(shè)備管理通過訪談資產(chǎn)管理員、系統(tǒng)管理員，檢查設(shè)備使用管理文檔和設(shè)備操作規(guī)程等過程，測(cè)評(píng)與否采用必要的方法確保設(shè)備在使用、維護(hù)和銷毀等過程安全。5網(wǎng)絡(luò)安全管理通過訪談安全主管、系統(tǒng)管理員，檢查系統(tǒng)安全管理制度、系統(tǒng)審計(jì)日志和系統(tǒng)漏洞掃描報(bào)告等過程，測(cè)評(píng)與否采用必要的方法對(duì)系統(tǒng)的安全配備、系統(tǒng)賬戶、漏洞掃描和審計(jì)日志等方面進(jìn)行有效的管理。6系統(tǒng)安全管理通過訪談安全主管、網(wǎng)絡(luò)管理員，檢查網(wǎng)絡(luò)安全管理制度、網(wǎng)絡(luò)審計(jì)日志和網(wǎng)絡(luò)漏洞掃描報(bào)告等過程，測(cè)評(píng)與否采用必要的方法對(duì)網(wǎng)絡(luò)的安全配備、網(wǎng)絡(luò)顧客權(quán)限和審計(jì)日志等方面進(jìn)行有效的管理，確保網(wǎng)絡(luò)安全運(yùn)行。7惡意代碼防備管理通過訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，檢查惡意代碼防備管理文檔和惡意代碼檢測(cè)統(tǒng)計(jì)等過程，測(cè)評(píng)與否采用必要的方法對(duì)惡意代碼進(jìn)行有效管理，確保系統(tǒng)含有惡意代碼防備能力。8密碼管理通過訪談安全員，測(cè)評(píng)與否能夠確保信息系統(tǒng)中密碼算法和密鑰的使用符合國(guó)家密碼管理規(guī)定。9變更管理通過訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，檢查變更方案和變更管理制度等過程，測(cè)評(píng)與否采用必要的方法對(duì)系統(tǒng)發(fā)生的變更進(jìn)行有效管理。10備份與恢復(fù)管理通過訪談系統(tǒng)管理員、網(wǎng)絡(luò)管理員，檢查系統(tǒng)備份管理文檔和統(tǒng)計(jì)等過程，測(cè)評(píng)與否采用必要的方法對(duì)重要業(yè)務(wù)信息，系統(tǒng)數(shù)據(jù)和系統(tǒng)軟件進(jìn)行備份，并確保必要時(shí)能夠?qū)@些數(shù)據(jù)有效地恢復(fù)。11安全事件處置通過訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，檢查安全事件統(tǒng)計(jì)分析文檔、安全事件報(bào)告和處置管理制度等過程，測(cè)評(píng)與否采用必要的方法對(duì)安全事件進(jìn)行等級(jí)劃分和對(duì)安全事件的報(bào)告、解決過程進(jìn)行有效的管理。12應(yīng)急預(yù)案管理通過訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，檢查應(yīng)急響應(yīng)預(yù)案文檔等過程，測(cè)評(píng)與否針對(duì)不同安全事件制訂對(duì)應(yīng)的應(yīng)急預(yù)案，與否對(duì)應(yīng)急預(yù)案展開培訓(xùn)、演習(xí)和審查等。4.2.4.10.2測(cè)評(píng)實(shí)施訪談安全主管或有關(guān)安全負(fù)責(zé)人理解機(jī)房管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防備管理、密碼管理、變更管理、備份和恢復(fù)管理、安全事件處置和應(yīng)急預(yù)案管理的有關(guān)狀況。收集并查看機(jī)房管理制度、資產(chǎn)管理制度、介質(zhì)管理制度、基于申報(bào)審批和專人負(fù)責(zé)的設(shè)備安全管理制度、配套設(shè)施和軟硬件維護(hù)方面的管理制度、網(wǎng)絡(luò)安全管理制度、系統(tǒng)安全管理制度、惡意代碼防備管理制度、密碼管理制度、變更管理制度、備份與恢復(fù)有關(guān)管理制度、安全事件報(bào)告和處置管理制度與否對(duì)有關(guān)事項(xiàng)進(jìn)行了明確。查看監(jiān)控系統(tǒng)理解設(shè)備運(yùn)行、網(wǎng)絡(luò)流量、應(yīng)用程序的監(jiān)控狀況，安全管理中心集中管理狀況。檢查與否有不同事件應(yīng)急預(yù)案，與否有介質(zhì)歸檔、查詢等的登記統(tǒng)計(jì)、信息解決設(shè)備帶離機(jī)房或辦公地點(diǎn)的審批統(tǒng)計(jì)、主機(jī)系統(tǒng)、網(wǎng)絡(luò)、安全設(shè)備等的操作日志和維護(hù)統(tǒng)計(jì)、網(wǎng)絡(luò)接入和外聯(lián)授權(quán)審批統(tǒng)計(jì)、定時(shí)檢查違反規(guī)定行為的統(tǒng)計(jì)、機(jī)房日常巡檢統(tǒng)計(jì)、對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件等的監(jiān)控統(tǒng)計(jì)和日志的分析報(bào)告、惡意代碼檢測(cè)、升級(jí)統(tǒng)計(jì)和分析報(bào)告、備份過程統(tǒng)計(jì)、變更方案評(píng)審統(tǒng)計(jì)和變更過程統(tǒng)計(jì)、安全事件解決過程統(tǒng)計(jì)、應(yīng)急預(yù)案培訓(xùn)、演習(xí)、審查統(tǒng)計(jì)。4.2.4.10.3配合需求配合項(xiàng)目需求闡明環(huán)境管理配合訪談進(jìn)行機(jī)房管理狀況的理解；提供機(jī)房管理制度；提供機(jī)房基礎(chǔ)設(shè)備維護(hù)統(tǒng)計(jì)、服務(wù)器開關(guān)機(jī)統(tǒng)計(jì)、機(jī)房審批和出入登記、機(jī)房日常巡檢統(tǒng)計(jì)。資產(chǎn)管理配合訪談進(jìn)行資產(chǎn)管理狀況的理解；提供資產(chǎn)管理制度；提供資產(chǎn)清單。介質(zhì)管理配合訪談進(jìn)行介質(zhì)管理狀況的理解；提供介質(zhì)管理制度；提供存檔介質(zhì)目錄清單；提供介質(zhì)歸檔查詢等的登記統(tǒng)計(jì)；配合檢查介質(zhì)寄存環(huán)境、加密存儲(chǔ)介質(zhì)中數(shù)據(jù)加密狀況。設(shè)備管理配合訪談進(jìn)行設(shè)備管理狀況的理解；提供基于申報(bào)審批和專人負(fù)責(zé)的設(shè)備安全管理制度、配套設(shè)施和軟硬件維護(hù)方面的管理制度；提供設(shè)備開關(guān)機(jī)操作規(guī)程；提供信息解決設(shè)備帶離機(jī)房或辦公地點(diǎn)的審批統(tǒng)計(jì)、主機(jī)系統(tǒng)、網(wǎng)絡(luò)、安全設(shè)備的操作日志和維護(hù)統(tǒng)計(jì)。網(wǎng)絡(luò)安全管理配合訪談進(jìn)行網(wǎng)絡(luò)管理狀況的理解；提供網(wǎng)絡(luò)安全管理制度；提供網(wǎng)絡(luò)接入和外聯(lián)授權(quán)審批統(tǒng)計(jì)、定時(shí)檢查違反規(guī)定行為的統(tǒng)計(jì)；配合檢查網(wǎng)絡(luò)設(shè)備版本、網(wǎng)絡(luò)設(shè)備備份配備文獻(xiàn)、網(wǎng)絡(luò)準(zhǔn)入控制機(jī)制。系統(tǒng)安全管理配合訪談進(jìn)行系統(tǒng)管理狀況的理解；提供系統(tǒng)安全管理制度；提供系統(tǒng)訪問控制方略文檔；提供主機(jī)系統(tǒng)、網(wǎng)絡(luò)、安全設(shè)備的操作日志；配合檢查操作系統(tǒng)版本和補(bǔ)丁升級(jí)狀況。惡意代碼防備管理配合訪談進(jìn)行惡意代碼防備管理狀況的理解；提供惡意代碼防備管理制度；提供惡意代碼檢測(cè)、升級(jí)統(tǒng)計(jì)和分析報(bào)告；配合檢查終端防病毒、網(wǎng)絡(luò)防病毒狀況、惡意代碼庫(kù)升級(jí)狀況。密碼管理配合訪談進(jìn)行密碼管理狀況的理解；提供密碼管理制度。變更管理配合訪談進(jìn)行變更管理狀況的理解；提供變更管理制度；提供變更方案、變更方案評(píng)審統(tǒng)計(jì)和變更過程統(tǒng)計(jì)。備份與恢復(fù)管理配合訪談進(jìn)行備份和恢復(fù)管理狀況的理解；提供備份與恢復(fù)有關(guān)管理制度；提供備份方略和恢復(fù)方略；提供備份過程統(tǒng)計(jì)、備份數(shù)據(jù)可用性檢查統(tǒng)計(jì)。安全事件處置配合訪談進(jìn)行安全事件處置狀況的理解；提供安全事件報(bào)告和處置管理制度；提供安全事件解決過程統(tǒng)計(jì)。應(yīng)急預(yù)案管理配合訪談進(jìn)行應(yīng)急預(yù)案管理的狀況的理解；提供不同事件的應(yīng)急預(yù)案；提供應(yīng)急預(yù)案培訓(xùn)、演習(xí)、審查統(tǒng)計(jì)。工具測(cè)試測(cè)試工具本次安全測(cè)評(píng)采用的測(cè)試工具重要涉及：序號(hào)工具名稱工具描述1銥迅漏洞掃描系統(tǒng)涉及操作系統(tǒng)，網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)庫(kù)等多個(gè)設(shè)備的掃描規(guī)則庫(kù)，漏洞庫(kù)遵照CVE，CAN和MS等國(guó)際原則。2滲入測(cè)試工具涉及SQLmap，Burpsuite，RouterScan，ApacheTomcatScan等。漏洞掃描4.2.5.2.1測(cè)試接入點(diǎn)選用本次測(cè)試選擇A、B、C共3個(gè)測(cè)試接入點(diǎn)，以下圖5-1所示。圖5-1工具接入點(diǎn)示意圖4.2.5.2.2工具接入點(diǎn)闡明為了發(fā)揮測(cè)評(píng)工具的作用，達(dá)成測(cè)評(píng)的目的，多個(gè)測(cè)評(píng)工具需要接入到被測(cè)評(píng)的信息系統(tǒng)網(wǎng)絡(luò)中，并需要配備恰當(dāng)?shù)木W(wǎng)絡(luò)IP地址。因此，本節(jié)重點(diǎn)就測(cè)試工具的接入狀況進(jìn)行闡明。測(cè)試接入點(diǎn)–A點(diǎn)測(cè)評(píng)目的：在接入點(diǎn)A接入滲入測(cè)試工具，對(duì)信息系統(tǒng)的中間件、服務(wù)器滲入測(cè)試。接入闡明：需提前對(duì)重要數(shù)據(jù)備份。測(cè)試接入點(diǎn)–B、C點(diǎn)測(cè)評(píng)目的：在接入點(diǎn)B、C接入漏掃工具，對(duì)信息系統(tǒng)的服務(wù)器掃描。接入闡明：需提前對(duì)重要數(shù)據(jù)備份。整體測(cè)評(píng)信息系統(tǒng)的安全控制集成到信息系統(tǒng)后，會(huì)在層面內(nèi)、層面間和區(qū)域間產(chǎn)生連接、交互、依賴、協(xié)同等互有關(guān)聯(lián)關(guān)系，使信息系統(tǒng)的整體安全功效與信息系統(tǒng)的構(gòu)造親密有關(guān)，在整體上呈現(xiàn)出一種集成特性。這些集成特性在安全控制的工作單元中是沒有完全體現(xiàn)。因此，在安全控制測(cè)評(píng)的基礎(chǔ)上，有必要對(duì)集成系統(tǒng)和運(yùn)行環(huán)境進(jìn)行整體測(cè)評(píng)。安全控制間測(cè)評(píng)安全控制間的安全測(cè)評(píng)重要考慮同一層面上的不同安全控制間存在的功效增強(qiáng)、補(bǔ)充或削弱等關(guān)聯(lián)作用。例如，主機(jī)層面的身份鑒別與訪問控制之間關(guān)系親密，應(yīng)關(guān)注他們之間的關(guān)聯(lián)互補(bǔ)作用。層面間安全測(cè)評(píng)層面間的安全測(cè)評(píng)重要考慮同一區(qū)域內(nèi)的不同層面之間存在的功效增強(qiáng)、補(bǔ)充和削弱等關(guān)聯(lián)作用。例如，網(wǎng)絡(luò)層面、主機(jī)系統(tǒng)層面與安全管理的系統(tǒng)運(yùn)維管理之間關(guān)系親密，應(yīng)關(guān)注他們之間的關(guān)聯(lián)互補(bǔ)作用。區(qū)域間安全測(cè)評(píng)區(qū)域間的安全測(cè)評(píng)重要考慮互連互通（涉及物理上和邏輯上的互連互通等）的不同區(qū)域之間存在的安全功效增強(qiáng)、補(bǔ)充和削弱等關(guān)聯(lián)作用，特別是有數(shù)據(jù)交換的兩個(gè)不同區(qū)域。系統(tǒng)構(gòu)造安全測(cè)評(píng)系統(tǒng)構(gòu)造安全測(cè)評(píng)重要考慮信息系統(tǒng)整體構(gòu)造的安全性和整體安全防備的合理性。整體構(gòu)造的安全性測(cè)評(píng)應(yīng)從信息系統(tǒng)的物理布局、網(wǎng)絡(luò)拓?fù)洹I(yè)務(wù)邏輯（業(yè)務(wù)數(shù)據(jù)流）、系統(tǒng)實(shí)現(xiàn)和集成方式等入手，結(jié)合不同位置上可能面臨的威脅、可能暴露的脆弱性等，綜合鑒定信息系統(tǒng)的整體布局與否合理、整體與否安全有效等。在檢查信息系統(tǒng)安全保護(hù)方法的具體實(shí)現(xiàn)方式和布署狀況后，結(jié)合其業(yè)務(wù)數(shù)據(jù)流分析不同區(qū)域和不同邊界與安全保護(hù)方法的關(guān)系、重要業(yè)務(wù)和核心信息與安全保護(hù)方法的關(guān)系等，參考縱深防御的規(guī)定，識(shí)別信息系統(tǒng)的安全防備與否突出重點(diǎn)、層層進(jìn)一步，綜合鑒定信息系統(tǒng)的整體安全防備與否恰當(dāng)合理。安全方略網(wǎng)絡(luò)安全方略網(wǎng)管系統(tǒng)能夠?qū)υO(shè)備（網(wǎng)絡(luò)設(shè)備、服務(wù)器和安全設(shè)備等）性能（CPU、內(nèi)存）和線路流量進(jìn)行監(jiān)測(cè)。數(shù)據(jù)中心和核心區(qū)域布署訪問控制設(shè)備（如防火墻）。數(shù)據(jù)中心和核心區(qū)域前端，在三層交換機(jī)上配備ACL規(guī)則。不同系統(tǒng)的服務(wù)器進(jìn)行邏輯隔離。網(wǎng)絡(luò)拓?fù)鋱D中各區(qū)域進(jìn)行了網(wǎng)段劃分、VLAN隔離。主機(jī)安全方略服務(wù)器操作系統(tǒng)中應(yīng)不存在冗余的測(cè)試賬戶。服務(wù)器的登錄終端操作超時(shí)鎖定時(shí)間為20分鐘。有日志服務(wù)器對(duì)中間件和操作系統(tǒng)日志進(jìn)行收集。殺毒云平臺(tái)，支持對(duì)惡意代碼庫(kù)統(tǒng)一升級(jí)和查殺統(tǒng)一管理。殺毒云平臺(tái)，支持對(duì)PC端進(jìn)行防惡意代碼統(tǒng)一管理。布署補(bǔ)丁升級(jí)服務(wù)器，并對(duì)windows操作系統(tǒng)服務(wù)器進(jìn)行補(bǔ)丁修復(fù)。布署補(bǔ)丁升級(jí)服務(wù)器，并且能對(duì)PC端進(jìn)行系統(tǒng)補(bǔ)丁管理。應(yīng)用安全方略登錄控制模塊啟用身份鑒別信息復(fù)雜度功效，設(shè)立含大、小寫字母+數(shù)字+特殊字符的8位復(fù)雜密碼。應(yīng)提供登錄失敗解決功效，設(shè)立登錄失敗5次后鎖定賬戶。應(yīng)用系統(tǒng)對(duì)單個(gè)帳戶的多重并發(fā)會(huì)話進(jìn)行限制，不允許單個(gè)賬戶重復(fù)登錄。安全管理方略制訂了內(nèi)部安全管理制度和操作規(guī)程。擬定了網(wǎng)絡(luò)安全負(fù)責(zé)人及內(nèi)設(shè)管理機(jī)構(gòu)。貫徹了網(wǎng)絡(luò)安全保護(hù)責(zé)任。項(xiàng)目組織與實(shí)施計(jì)劃項(xiàng)目組織構(gòu)造項(xiàng)目組織涉及評(píng)定中心在測(cè)評(píng)準(zhǔn)備活動(dòng)中組建的測(cè)評(píng)項(xiàng)目組與測(cè)評(píng)委托單位組建的配合項(xiàng)目組。測(cè)評(píng)項(xiàng)目組根據(jù)具體任務(wù)分工不同，劃分為項(xiàng)目負(fù)責(zé)人、管理核查組、技術(shù)測(cè)評(píng)組、質(zhì)量管理組、評(píng)審組和監(jiān)督檢查組。項(xiàng)目組織構(gòu)造圖以下所示：人員構(gòu)成和職責(zé)4.2.8.2.1人員構(gòu)成針對(duì)本次項(xiàng)目，成立等級(jí)測(cè)評(píng)項(xiàng)目組。本次項(xiàng)目組人員由6人構(gòu)成。下列為參加人員構(gòu)成：分類人員姓名職務(wù)資質(zhì)負(fù)責(zé)事項(xiàng)工作年限項(xiàng)目實(shí)施組測(cè)評(píng)主管高級(jí)測(cè)評(píng)師負(fù)責(zé)項(xiàng)目審批工作質(zhì)量主管中級(jí)測(cè)評(píng)師負(fù)責(zé)項(xiàng)目評(píng)審工作項(xiàng)目經(jīng)理中級(jí)測(cè)評(píng)師負(fù)責(zé)項(xiàng)目管理工作項(xiàng)目組員初級(jí)測(cè)評(píng)師負(fù)責(zé)物理、管理測(cè)評(píng)工作項(xiàng)目組員初級(jí)測(cè)評(píng)師負(fù)責(zé)網(wǎng)絡(luò)、主機(jī)測(cè)評(píng)工作項(xiàng)目組員初級(jí)測(cè)評(píng)師負(fù)責(zé)應(yīng)用、數(shù)據(jù)測(cè)評(píng)工作4.2.8.2.2職責(zé)分工在項(xiàng)目組織構(gòu)造中，項(xiàng)目負(fù)責(zé)人的任務(wù)是對(duì)項(xiàng)目活動(dòng)實(shí)施全方面的管理，對(duì)項(xiàng)目目的有一種全局的把握，并組織會(huì)議制訂計(jì)劃和報(bào)告項(xiàng)目的進(jìn)度，并在不擬定的環(huán)境下對(duì)不擬定的問題組織集體討論決策，在必要的時(shí)候進(jìn)行談判及解決沖突。管理核查構(gòu)組員負(fù)責(zé)分析和評(píng)審測(cè)評(píng)委托單位提交的各類技術(shù)、管理文檔；基于《基本規(guī)定》和《測(cè)評(píng)規(guī)定》，針對(duì)測(cè)評(píng)系統(tǒng)的物理環(huán)境、安全管理等方面的規(guī)定，準(zhǔn)備安全檢查統(tǒng)計(jì)表、制訂安全檢查計(jì)劃、實(shí)施現(xiàn)場(chǎng)物理安全和安全管理狀態(tài)核查，完畢登記測(cè)評(píng)報(bào)告中的管理部分內(nèi)容，配合技術(shù)測(cè)評(píng)組的工作。技術(shù)測(cè)評(píng)組負(fù)責(zé)測(cè)評(píng)系統(tǒng)的網(wǎng)絡(luò)安全測(cè)評(píng)、主機(jī)安全測(cè)評(píng)、應(yīng)用安全和數(shù)據(jù)安全測(cè)評(píng)，涉及調(diào)查理解網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用現(xiàn)狀，準(zhǔn)備工具、搭建模擬環(huán)境、制訂測(cè)試計(jì)劃和測(cè)試方案，實(shí)施安全功效驗(yàn)證、安全配備檢查測(cè)評(píng)，完畢等測(cè)評(píng)報(bào)告中的技術(shù)部分，配合管理測(cè)評(píng)組的工作。技術(shù)測(cè)評(píng)組又將根據(jù)實(shí)際需要細(xì)分為網(wǎng)絡(luò)安全測(cè)評(píng)組、主機(jī)安全測(cè)評(píng)組、應(yīng)用安全測(cè)評(píng)組和工具測(cè)試組。質(zhì)量管理組負(fù)責(zé)跟蹤項(xiàng)目進(jìn)度，監(jiān)督項(xiàng)目計(jì)劃執(zhí)行狀況，監(jiān)督檢查各過程文檔與否符合程序規(guī)定，提交項(xiàng)目控制報(bào)告和質(zhì)量監(jiān)督報(bào)告。評(píng)審組負(fù)責(zé)對(duì)項(xiàng)目實(shí)施過程中產(chǎn)生的各類階段性成果進(jìn)行評(píng)審。監(jiān)督檢查組負(fù)責(zé)對(duì)項(xiàng)目實(shí)施各活動(dòng)進(jìn)行監(jiān)督，及時(shí)發(fā)現(xiàn)實(shí)施過程中存在的問題，并在必要時(shí)采用糾正方法。委托單位測(cè)評(píng)配合組負(fù)責(zé)對(duì)測(cè)評(píng)項(xiàng)目組的支持工作，涉及提供測(cè)評(píng)所需資料文獻(xiàn)，配備配合人員，測(cè)評(píng)實(shí)施授權(quán)的支撐等。XXXX集團(tuán)有限公司等級(jí)測(cè)評(píng)項(xiàng)目組評(píng)定中心測(cè)評(píng)項(xiàng)目組負(fù)責(zé)人XXXX集團(tuán)有限公司測(cè)評(píng)配合組負(fù)責(zé)人項(xiàng)目負(fù)責(zé)人配合組負(fù)責(zé)人安全主管管理核查組管理測(cè)評(píng)配合組安全管理員技術(shù)測(cè)評(píng)組網(wǎng)絡(luò)安全測(cè)評(píng)組網(wǎng)絡(luò)安全測(cè)評(píng)配合組網(wǎng)絡(luò)管理員主機(jī)安全測(cè)評(píng)組主機(jī)安全測(cè)評(píng)配合組主機(jī)管理員應(yīng)用安全測(cè)評(píng)組應(yīng)用安全測(cè)評(píng)配合組系統(tǒng)管理員數(shù)據(jù)安全測(cè)評(píng)組數(shù)據(jù)安全測(cè)評(píng)配合組數(shù)據(jù)備份員質(zhì)量管理組評(píng)審組監(jiān)督檢查組項(xiàng)目實(shí)施計(jì)劃本項(xiàng)目在一年內(nèi)實(shí)施完畢，分三個(gè)階段實(shí)施。第一階段：前期準(zhǔn)備階段,成立項(xiàng)目領(lǐng)導(dǎo)小組和實(shí)施小組，召開項(xiàng)目啟動(dòng)會(huì)議，對(duì)XXXX集團(tuán)有限公司信息系統(tǒng)進(jìn)行具體的調(diào)研，討論擬定具體的項(xiàng)目實(shí)施計(jì)劃，建立項(xiàng)目管理制度。第二階段：項(xiàng)目實(shí)施階段，對(duì)服務(wù)進(jìn)行實(shí)施。服務(wù)項(xiàng)時(shí)間/周期實(shí)施內(nèi)容等級(jí)保護(hù)測(cè)評(píng)1年/次按照《信息安全等級(jí)保護(hù)管理方法》和XXXX集團(tuán)有限公司的有關(guān)規(guī)定，對(duì)XXXX集團(tuán)有限公司指定的信息系統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)，并出具公安部門承認(rèn)的信息安全等級(jí)測(cè)評(píng)報(bào)告。第三階段：項(xiàng)目結(jié)項(xiàng)階段。由XXXX集團(tuán)有限公司組織驗(yàn)收，將整頓過的實(shí)施文檔、驗(yàn)收資料提交給XXXX集團(tuán)有限公司。項(xiàng)目分工界面項(xiàng)目實(shí)施階段XX工作XXXX集團(tuán)有限公司工作測(cè)評(píng)準(zhǔn)備階段組建信息系統(tǒng)安全測(cè)評(píng)工作組。提出XXXX集團(tuán)有限公司應(yīng)提供信息系統(tǒng)基本資料。編制準(zhǔn)備被測(cè)系統(tǒng)基本狀況調(diào)查表格，并提交給XXXX集團(tuán)有限公司。向XXXX集團(tuán)有限公司有關(guān)人員介紹安全等級(jí)測(cè)評(píng)工作流程和辦法。向XXXX集團(tuán)有限公司有關(guān)人員闡明安全測(cè)評(píng)工作可能帶來(lái)的風(fēng)險(xiǎn)和規(guī)避辦法。理解XXXX集團(tuán)有限公司信息化建設(shè)狀況與發(fā)展，以及被測(cè)系統(tǒng)的基本狀況。編寫信息系統(tǒng)的訪談問卷調(diào)查表，交給XXXX集團(tuán)有限公司填寫。初步分析XXXX集團(tuán)有限公司信息系統(tǒng)的信息安全狀況。準(zhǔn)備等級(jí)測(cè)評(píng)工具和文檔。向本次安全測(cè)評(píng)項(xiàng)目組介紹本單位的信息化建設(shè)狀況與發(fā)展?fàn)顩r。準(zhǔn)備并提供等級(jí)測(cè)評(píng)需要的資料。為測(cè)評(píng)人員的信息收集提供支持和協(xié)調(diào)。填寫信息系統(tǒng)調(diào)查表格。填寫信息系統(tǒng)訪談問卷調(diào)查表格。根據(jù)被測(cè)系統(tǒng)的具體狀況，如業(yè)務(wù)運(yùn)行高峰期、網(wǎng)絡(luò)布置狀況等，為測(cè)評(píng)時(shí)間安排提供適宜的建議。方案編制階段具體分析被測(cè)系統(tǒng)的整體構(gòu)造、邊界、網(wǎng)絡(luò)區(qū)域、重要節(jié)點(diǎn)等。初步判斷被測(cè)系統(tǒng)的安全單薄點(diǎn)。分析擬定測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)和測(cè)試工具接入點(diǎn)，擬定測(cè)評(píng)內(nèi)容及辦法。編制安全測(cè)評(píng)方案文本，并內(nèi)部評(píng)審。獲得XXXX集團(tuán)有限公司對(duì)方案全部?jī)?nèi)容確實(shí)認(rèn)。對(duì)安全測(cè)評(píng)方案提供審查建議并進(jìn)行承認(rèn)?，F(xiàn)場(chǎng)測(cè)評(píng)階段運(yùn)用訪談?wù){(diào)查、當(dāng)面訪談、文檔審查、配備檢查、工具檢查和實(shí)地檢查的辦法測(cè)評(píng)被測(cè)系統(tǒng)的安全保護(hù)方法狀況，獲取有關(guān)證據(jù)并進(jìn)行成果統(tǒng)計(jì)。為測(cè)評(píng)項(xiàng)目組提供必要的基礎(chǔ)保障，涉及現(xiàn)場(chǎng)辦公環(huán)境，內(nèi)網(wǎng)接入環(huán)境。擬定一名項(xiàng)目聯(lián)系人，負(fù)責(zé)等級(jí)測(cè)評(píng)過程中的聯(lián)系、協(xié)調(diào)、安排和貫徹工作，配合等級(jí)測(cè)評(píng)項(xiàng)目組工作的開展。測(cè)評(píng)前備份有關(guān)系統(tǒng)和數(shù)據(jù)，并確認(rèn)被測(cè)系統(tǒng)和設(shè)備狀態(tài)完好。提前安排訪談對(duì)象，建議下列人員參加：網(wǎng)絡(luò)管理員、系統(tǒng)管理員、安全管理員，第三方服務(wù)及開發(fā)人員2－2人，有關(guān)人員主動(dòng)配合回答測(cè)評(píng)人員的詢問。有關(guān)人員負(fù)責(zé)提供測(cè)評(píng)所需的有關(guān)管理和技術(shù)類文檔，最佳是電子版文檔，方便測(cè)評(píng)人員進(jìn)行文檔審查。有關(guān)人員對(duì)某些需要查看和驗(yàn)證的內(nèi)容上機(jī)進(jìn)行操作，測(cè)評(píng)人員負(fù)責(zé)統(tǒng)計(jì)。有關(guān)人員在測(cè)試前協(xié)助測(cè)評(píng)人員實(shí)施工具測(cè)試并提供有效建議，減少安全測(cè)評(píng)對(duì)系統(tǒng)運(yùn)行的影響。有關(guān)人員擬定工具測(cè)試的現(xiàn)場(chǎng)接入點(diǎn)及測(cè)試時(shí)間；對(duì)工具測(cè)試的全過程進(jìn)行監(jiān)控；擬定漏洞掃描時(shí)間。有關(guān)人員協(xié)助測(cè)評(píng)人員完畢業(yè)務(wù)有關(guān)內(nèi)容的詢問、驗(yàn)證和測(cè)試。有關(guān)人員對(duì)現(xiàn)場(chǎng)測(cè)評(píng)成果進(jìn)行確認(rèn)。有關(guān)人員確認(rèn)測(cè)試過程中即測(cè)試完畢后被測(cè)系統(tǒng)和設(shè)備狀態(tài)完好。分析與報(bào)告編制階段分析并鑒定單項(xiàng)測(cè)評(píng)成果、單元測(cè)評(píng)成果和整體測(cè)評(píng)成果。分析評(píng)價(jià)被測(cè)系統(tǒng)存在的風(fēng)險(xiǎn)狀況，進(jìn)行合理性、符合性分析。根據(jù)測(cè)評(píng)成果形成等級(jí)測(cè)評(píng)結(jié)論。編制等級(jí)測(cè)評(píng)報(bào)告闡明系統(tǒng)存在的安全隱患和缺點(diǎn)，并給出改善建議。評(píng)審等級(jí)測(cè)評(píng)報(bào)告，并將評(píng)審過的等級(jí)測(cè)評(píng)報(bào)告按照分發(fā)范疇進(jìn)行分發(fā)。簽收等級(jí)測(cè)評(píng)報(bào)告。項(xiàng)目管理與控制質(zhì)量控制管理質(zhì)量控制管理涉及各工作活動(dòng)的質(zhì)量管理和控制方法，重要有安全檢查中的保護(hù)客戶的機(jī)密性；檢查辦法的擬定及檢查方案的評(píng)審；現(xiàn)場(chǎng)檢查活動(dòng)中檢查工作的規(guī)范化、檢查人員的能力確認(rèn)、保障檢查設(shè)備的有效運(yùn)行及檢查過程的統(tǒng)計(jì)精確、完備；報(bào)告編制中檢查成果和報(bào)告的規(guī)范化、安全檢查報(bào)告的評(píng)審等。保護(hù)客戶的機(jī)密性測(cè)評(píng)辦法的擬定測(cè)評(píng)方案的評(píng)審測(cè)評(píng)工作的規(guī)范化測(cè)評(píng)人員的能力確認(rèn)保障測(cè)評(píng)設(shè)備的有效運(yùn)行測(cè)評(píng)過程的統(tǒng)計(jì)精確、完備測(cè)評(píng)成果和報(bào)告的規(guī)范化測(cè)評(píng)報(bào)告的評(píng)審項(xiàng)目風(fēng)險(xiǎn)管理安全檢查項(xiàng)目的風(fēng)險(xiǎn)管理涉及識(shí)別風(fēng)險(xiǎn)、實(shí)施風(fēng)險(xiǎn)分析、以及規(guī)劃應(yīng)對(duì)方法。重要涉及進(jìn)度風(fēng)險(xiǎn)管理、協(xié)作與溝通風(fēng)險(xiǎn)的管理、檢查工作引入