等級(jí)測(cè)評(píng)專項(xiàng)方案

項(xiàng)目編號(hào)：xxxxxxxxxxxxx級(jí)別測(cè)評(píng)方案系統(tǒng)名稱：XXXXXXXXXXX被測(cè)單位：XXXXXXXXXXXX測(cè)評(píng)單位：xxxxxxxxxxxxxxxxx目錄1 概述 31.1 項(xiàng)目簡介 31.2 測(cè)評(píng)根據(jù) 32 被測(cè)系統(tǒng)描述 42.1 定級(jí)狀況 42.2 網(wǎng)絡(luò)構(gòu)造 42.3 系統(tǒng)夠成 52.3.1 業(yè)務(wù)應(yīng)用軟件 52.3.2 核心數(shù)據(jù)類別 52.3.3 主機(jī)/存儲(chǔ)設(shè)備 52.3.4 網(wǎng)絡(luò)互聯(lián)設(shè)備 62.3.5 安全設(shè)備 62.3.6 終端設(shè)備 62.3.7 安全有關(guān)人員 62.3.8安全管理文檔 72.4 安全服務(wù) 73 測(cè)評(píng)對(duì)象與指標(biāo) 73.1 測(cè)評(píng)指標(biāo) 73.2 測(cè)評(píng)對(duì)象 83.2.1 機(jī)房 93.2.2 網(wǎng)絡(luò)互聯(lián)設(shè)備操作系統(tǒng) 93.2.3 主機(jī)（存儲(chǔ)）操作系統(tǒng) 93.2.4 業(yè)務(wù)應(yīng)用軟件 93.2.5 數(shù)據(jù)庫管理系統(tǒng) 103.2.6 安全設(shè)備操作系統(tǒng) 104 測(cè)評(píng)辦法與工具 104.1 測(cè)評(píng)辦法 104.1.1. 工具測(cè)試 104.1.2. 配備檢查 114.1.3. 人員訪談 114.1.4. 文檔審查 114.1.5. 實(shí)地查看 124.2 重要測(cè)評(píng)工具 125 測(cè)評(píng)內(nèi)容與實(shí)行 135.1 物理安全測(cè)評(píng) 145.1.1 測(cè)評(píng)實(shí)行 155.1.2 配合需求 155.2 網(wǎng)絡(luò)安全測(cè)評(píng) 165.2.1 測(cè)評(píng)指標(biāo) 165.2.2 測(cè)評(píng)實(shí)行 175.2.3 配合需求 175.3 主機(jī)安全測(cè)評(píng) 185.3.1 測(cè)評(píng)指標(biāo) 185.3.2 測(cè)評(píng)實(shí)行 185.3.3 配合需求 195.4 應(yīng)用安全測(cè)評(píng) 195.4.1 測(cè)評(píng)指標(biāo) 195.4.2 測(cè)評(píng)實(shí)行 205.4.3 配合需求 205.5 數(shù)據(jù)安全及備份恢復(fù)測(cè)評(píng) 215.5.1 測(cè)評(píng)指標(biāo) 215.5.2 測(cè)評(píng)實(shí)行 215.5.3 配合需求 215.6 安全管理制度測(cè)評(píng) 225.6.1 測(cè)評(píng)指標(biāo) 225.6.2 測(cè)評(píng)實(shí)行 225.6.3 配合需求 235.7 安全管理機(jī)構(gòu)測(cè)評(píng) 235.7.1 測(cè)評(píng)指標(biāo) 235.7.2 測(cè)評(píng)實(shí)行 245.7.3 配合需求 245.8 人員安全管理測(cè)評(píng) 255.8.1 測(cè)評(píng)指標(biāo) 255.8.2 測(cè)評(píng)實(shí)行 255.8.3 配合需求 265.9 系統(tǒng)建設(shè)管理測(cè)評(píng) 265.9.1 測(cè)評(píng)指標(biāo) 265.9.2 測(cè)評(píng)實(shí)行 275.9.3 配合需求 285.10 系統(tǒng)運(yùn)維管理測(cè)評(píng) 295.10.1 測(cè)評(píng)指標(biāo) 295.10.2 測(cè)評(píng)實(shí)行 305.10.3 配合需求 315.11 工具測(cè)試 335.12 整體測(cè)評(píng) 34概述項(xiàng)目簡介為精確掌握信息系統(tǒng)安全保護(hù)能力現(xiàn)狀，有效提高信息系統(tǒng)安全建設(shè)整體水平，XX單位委托XXXXX對(duì)其OA辦公系統(tǒng)和Winmail郵件系統(tǒng)實(shí)行信息安全級(jí)別測(cè)評(píng)，但愿通過測(cè)評(píng)工作發(fā)現(xiàn)系統(tǒng)既有安全防護(hù)辦法薄弱環(huán)節(jié)，為下一步信息系統(tǒng)安全建設(shè)整治提供可靠根據(jù)，以有效提高信息系統(tǒng)安全運(yùn)營能力。OA辦公系統(tǒng)和Winmail郵件系統(tǒng)由XXXX負(fù)責(zé)運(yùn)營維護(hù)。OA辦公系統(tǒng)重要實(shí)現(xiàn)公司各部門尋常業(yè)務(wù)工作規(guī)范化、電子化、原則化，增強(qiáng)檔案部門文書檔案、人事檔案、科技檔案、財(cái)務(wù)檔案等檔案可管理性，實(shí)現(xiàn)辦公流程網(wǎng)上解決，以及信息在線查詢、借閱，最后實(shí)現(xiàn)"無紙"辦公。Winmail郵件系統(tǒng)重要實(shí)現(xiàn)POP3服務(wù)、IMAP服務(wù)、Webmail服務(wù)、公用地址簿、IMAP公共郵件夾、網(wǎng)絡(luò)磁盤、網(wǎng)絡(luò)行事歷與記事本、郵件簽核、郵件殺毒等服務(wù)。項(xiàng)目完畢后將出具級(jí)別測(cè)評(píng)報(bào)告，XX單位可根據(jù)級(jí)別測(cè)評(píng)報(bào)告，并結(jié)合單位實(shí)際狀況，區(qū)別輕重緩急，通過安全整治不斷提高信息系統(tǒng)整體安全保護(hù)水平。測(cè)評(píng)根據(jù)《信息安全技術(shù)信息系統(tǒng)安全保護(hù)級(jí)別定級(jí)指南》（GB/T22240-）《信息安全技術(shù)信息系統(tǒng)安全級(jí)別保護(hù)基本規(guī)定》（GB/T22239-）《信息安全技術(shù)信息系統(tǒng)安全級(jí)別保護(hù)測(cè)評(píng)規(guī)定》（GB/T28448-）《信息安全技術(shù)信息系統(tǒng)安全級(jí)別保護(hù)測(cè)評(píng)過程指南》（GB/T28449-）《信息安全技術(shù)信息系統(tǒng)安全級(jí)別保護(hù)實(shí)行指南》（GB/T25058-）《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-）《信息安全級(jí)別保護(hù)測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估合同》被測(cè)系統(tǒng)描述被測(cè)系統(tǒng)為承載XX單位OA辦公系統(tǒng)和Winmail郵件系統(tǒng)，是XX單位重要信息系統(tǒng)，其安全級(jí)別定為三級(jí)。OA辦公系統(tǒng)當(dāng)前覆蓋單位各部門，系統(tǒng)重要是實(shí)現(xiàn)各部門尋常業(yè)務(wù)工作規(guī)范化、電子化、原則化，提供電子化管理文書檔案、人事檔案、科技檔案、財(cái)務(wù)檔案等功能。當(dāng)前系統(tǒng)重要涉及主服務(wù)器、互換機(jī)、路由器和防火墻等設(shè)備，具備了信息系統(tǒng)基本要素，系統(tǒng)邊界用防火墻區(qū)別，邊界設(shè)備是防火墻。Winmail郵件系統(tǒng)當(dāng)前覆蓋單位各部門，系統(tǒng)重要是實(shí)現(xiàn)POP3服務(wù)、IMAP服務(wù)、Webmail服務(wù)、公用地址簿、IMAP公共郵件夾、網(wǎng)絡(luò)磁盤、網(wǎng)絡(luò)行事歷與記事本、郵件簽核、郵件殺毒等服務(wù)。當(dāng)前系統(tǒng)重要涉及主服務(wù)器、互換機(jī)、路由器和防火墻等設(shè)備，具備了信息系統(tǒng)基本要素，系統(tǒng)邊界用防火墻區(qū)別，邊界設(shè)備是防火墻。XX單位負(fù)責(zé)Winmail郵件系統(tǒng)運(yùn)營維護(hù)。XX單位負(fù)責(zé)OA辦公系統(tǒng)和Winmail郵件系統(tǒng)運(yùn)營維護(hù)。定級(jí)狀況XX單位為該信息系統(tǒng)定級(jí)責(zé)任單位。該信息系統(tǒng)于XXXX年X月上線。通過對(duì)該信息系統(tǒng)業(yè)務(wù)信息安全級(jí)別和系統(tǒng)服務(wù)安全級(jí)別綜合判斷，最后擬定信息系統(tǒng)安全保護(hù)級(jí)別為三級(jí)（S3A3G3）。網(wǎng)絡(luò)構(gòu)造信息系統(tǒng)拓?fù)錁?gòu)造示意圖:系統(tǒng)夠成業(yè)務(wù)應(yīng)用軟件序號(hào)軟件名稱重要功能重要限度1OA辦公系統(tǒng)網(wǎng)絡(luò)辦公重要2Winmail郵件系統(tǒng)郵件系統(tǒng)重要核心數(shù)據(jù)類別序號(hào)數(shù)據(jù)類別所屬業(yè)務(wù)應(yīng)用重要限度1OA辦公系統(tǒng)OA辦公系統(tǒng)重要2Winmail郵件系統(tǒng)Winmail郵件系統(tǒng)重要主機(jī)/存儲(chǔ)設(shè)備序號(hào)設(shè)備名稱操作系統(tǒng)/數(shù)據(jù)庫管理系統(tǒng)業(yè)務(wù)應(yīng)用軟件1應(yīng)用服務(wù)器WinR2OA辦公系統(tǒng)、Winmail郵件系統(tǒng)2應(yīng)用服務(wù)器MSSQLServerR2OA辦公系統(tǒng)、Winmail郵件系統(tǒng)網(wǎng)絡(luò)互聯(lián)設(shè)備序號(hào)設(shè)備名稱用途重要限度1TP-LINKTL-ER5110G網(wǎng)絡(luò)互聯(lián)普通2QuidwayS3500互換機(jī)接入層數(shù)據(jù)互換普通安全設(shè)備序號(hào)設(shè)備名稱用途重要限度1防火墻天融信TOPGate300邊界訪問控制重要終端設(shè)備序號(hào)設(shè)備名稱操作系統(tǒng)用途重要限度1管理終端Win7業(yè)務(wù)管理業(yè)務(wù)維護(hù)普通2業(yè)務(wù)終端Win7業(yè)務(wù)普通安全有關(guān)人員序號(hào)姓名崗位/角色聯(lián)系方式1XXX系統(tǒng)管理員2XXX網(wǎng)絡(luò)管理員3XXX業(yè)務(wù)操作員2.3.8安全管理文檔序號(hào)文檔名稱重要內(nèi)容1安全管理類制度信息系統(tǒng)有關(guān)安全崗位制度有關(guān)文獻(xiàn)記錄2安全管理機(jī)構(gòu)累制度信息管理機(jī)構(gòu)及運(yùn)營工作、職責(zé)范疇制度3人員管理類制度信息系統(tǒng)有關(guān)人員錄取、培訓(xùn)、離職等制度文獻(xiàn)4系統(tǒng)建設(shè)類制度系統(tǒng)建設(shè)定級(jí)、設(shè)計(jì)、軟件外包、軟件自主開發(fā)、工程實(shí)行、測(cè)實(shí)驗(yàn)收、代碼安全性等各過程規(guī)范制度5系統(tǒng)運(yùn)維類制度系統(tǒng)運(yùn)維期間中所涉及物理主機(jī)、網(wǎng)絡(luò)安全、惡意代碼檢測(cè)、備份存儲(chǔ)介質(zhì)、物理機(jī)房等各涉及崗位有關(guān)制度安全服務(wù)序號(hào)安全服務(wù)名稱安全服務(wù)商1設(shè)備售后/技術(shù)支持XXXXXXX2軟件售后/技術(shù)支持XXXXXXX測(cè)評(píng)對(duì)象與指標(biāo)測(cè)評(píng)指標(biāo)對(duì)于三級(jí)系統(tǒng)，如業(yè)務(wù)信息安全級(jí)別為S3，系統(tǒng)服務(wù)安全級(jí)別為A3，則該系統(tǒng)測(cè)評(píng)指標(biāo)應(yīng)涉及GB/T22239-《信息系統(tǒng)安全保護(hù)級(jí)別基本規(guī)定》中“技術(shù)規(guī)定”某些3級(jí)通用指標(biāo)類（G3），3級(jí)業(yè)務(wù)信息安全指標(biāo)類（S3），3級(jí)系統(tǒng)服務(wù)安全指標(biāo)類（A3），以及第3級(jí)“管理規(guī)定”某些中所有指標(biāo)類，級(jí)別保護(hù)測(cè)評(píng)指標(biāo)狀況詳細(xì)如下表所示：測(cè)評(píng)指標(biāo)（三級(jí)）技術(shù)/管理安全分類安全子類數(shù)量S類A類G類小計(jì)技術(shù)物理安全11810網(wǎng)絡(luò)安全1067主機(jī)安全3136應(yīng)用安全5229數(shù)據(jù)安全及備份恢復(fù)2103管理安全管理制度0033安全管理機(jī)構(gòu)0055人員安全管理0055系統(tǒng)建設(shè)管理001111系統(tǒng)運(yùn)維管理001313共計(jì)：72測(cè)評(píng)對(duì)象依照信息安全級(jí)別保護(hù)規(guī)定、參照業(yè)界權(quán)威安全風(fēng)險(xiǎn)評(píng)估原則與模型，同步結(jié)合本XX近年安全風(fēng)險(xiǎn)評(píng)估經(jīng)驗(yàn)與實(shí)踐，從信息系統(tǒng)核心資產(chǎn)出發(fā)，以威脅和弱點(diǎn)為導(dǎo)向，對(duì)比信息安全級(jí)別保護(hù)詳細(xì)規(guī)定，全面對(duì)信息系統(tǒng)進(jìn)行全面評(píng)估。測(cè)評(píng)對(duì)象種類重要考慮如下幾種方面：1．整體網(wǎng)絡(luò)拓?fù)錁?gòu)造；2．機(jī)房環(huán)境、配套設(shè)施；3．網(wǎng)絡(luò)設(shè)備：涉及路由器、核心互換機(jī)、匯聚層互換機(jī)等；4．安全設(shè)備：涉及防火墻、IDS/IPS、防病毒網(wǎng)關(guān)等；5．主機(jī)系統(tǒng)（涉及操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)）；6．業(yè)務(wù)應(yīng)用系統(tǒng)；7．重要管理終端（針對(duì)三級(jí)以上系統(tǒng)）；8．安全管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、業(yè)務(wù)管理員；9．涉及到系統(tǒng)安全所有管理制度和記錄。依照信息系統(tǒng)測(cè)評(píng)強(qiáng)度規(guī)定，在執(zhí)行詳細(xì)核查辦法時(shí)，在廣度上要做到從測(cè)評(píng)范疇中抽取充分測(cè)評(píng)對(duì)象種類和數(shù)量；在執(zhí)行詳細(xì)檢測(cè)辦法，在深度上要做到對(duì)功能等各方面測(cè)試。機(jī)房序號(hào)機(jī)房名稱物理位置1計(jì)算機(jī)管理中心鉅星科技樓八樓網(wǎng)絡(luò)互聯(lián)設(shè)備操作系統(tǒng)序號(hào)軟件名稱重要功能1路由器網(wǎng)絡(luò)互連主機(jī)（存儲(chǔ)）操作系統(tǒng)序號(hào)設(shè)備名稱操作系統(tǒng)/數(shù)據(jù)庫管理系統(tǒng)1聯(lián)想systemX3650M5WindowsserverR22聯(lián)想揚(yáng)天S4150-00Windows7SP1業(yè)務(wù)應(yīng)用軟件序號(hào)軟件名稱操作系統(tǒng)/數(shù)據(jù)庫管理系統(tǒng)1OA辦公自動(dòng)化我資訊/我郵件/工作任務(wù)/工作流程/我日程/我公文/溝通與分享/我工具2Winmail郵件系統(tǒng)發(fā)件人/收件人/主題/開始時(shí)間/完畢時(shí)間/狀態(tài)/成果信息/發(fā)件人摘要/收件人摘要/郵件大小/IP地址數(shù)據(jù)庫管理系統(tǒng)序號(hào)數(shù)據(jù)庫名稱數(shù)據(jù)庫管理系統(tǒng)1SQL數(shù)據(jù)庫MSSQLServerR2安全設(shè)備操作系統(tǒng)序號(hào)操作系統(tǒng)名稱設(shè)備名稱1TOS_3.3.010.042.1K天融信TOPGate300測(cè)評(píng)辦法與工具測(cè)評(píng)辦法在級(jí)別保護(hù)測(cè)評(píng)過程目中，將采用如下測(cè)評(píng)辦法：工具測(cè)試運(yùn)用技術(shù)工具（漏洞掃描工具、滲入測(cè)試工具、壓力測(cè)試工具等）對(duì)系統(tǒng)進(jìn)行測(cè)試，涉及基于網(wǎng)絡(luò)探測(cè)和基于主機(jī)審計(jì)漏洞掃描、滲入測(cè)試等。測(cè)評(píng)辦法工具測(cè)試簡要描述運(yùn)用技術(shù)工具，從網(wǎng)絡(luò)不同接入點(diǎn)對(duì)網(wǎng)絡(luò)內(nèi)主機(jī)、服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)行脆弱性檢查和分析達(dá)到目的發(fā)掘系統(tǒng)安全漏洞工作條件1-2人工作環(huán)境，電源和網(wǎng)絡(luò)接入環(huán)境，甲方人員、網(wǎng)絡(luò)、系統(tǒng)配合工作成果工具測(cè)試成果記錄配備檢查運(yùn)用上機(jī)驗(yàn)證方式檢查主機(jī)、服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)配備與否對(duì)的，與否與文檔、有關(guān)設(shè)備和部件保持一致，對(duì)文檔審核內(nèi)容進(jìn)行核算（涉及日記審計(jì)等），測(cè)評(píng)其實(shí)行對(duì)的性和有效性，檢查配備完整性，測(cè)試網(wǎng)絡(luò)連接規(guī)則一致性，從而測(cè)試系統(tǒng)與否達(dá)到可用性和可靠性規(guī)定。測(cè)評(píng)辦法配備檢查簡要描述通過登陸系統(tǒng)控制臺(tái)方式，人工核查和分析主機(jī)、服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)安全配備狀況達(dá)到目的發(fā)現(xiàn)配備安全隱患工作條件1-2人工作環(huán)境，甲方人員、網(wǎng)絡(luò)、系統(tǒng)配合工作成果配備檢查成果記錄人員訪談與被測(cè)系統(tǒng)關(guān)于人員（個(gè)人/群體）進(jìn)行交流、討論等活動(dòng)，獲取有關(guān)證據(jù)，理解關(guān)于信息。在訪談范疇上，不同級(jí)別信息系統(tǒng)在測(cè)評(píng)時(shí)有不同規(guī)定，普通應(yīng)基本覆蓋所有安全有關(guān)人員類型，在數(shù)量上可以抽樣。測(cè)評(píng)辦法人員訪談簡要描述通過交流、討論方式，對(duì)技術(shù)和管理方面進(jìn)行脆弱性檢查和分析達(dá)到目的發(fā)掘技術(shù)和管理方面存在安全問題工作條件1-2人工作環(huán)境，甲方人員配合工作成果人員訪談成果記錄文檔審查檢查制度、方略、操作規(guī)程、制度執(zhí)行狀況記錄等文檔（涉及安全方針文獻(xiàn)、安全管理制度、安全管理執(zhí)行過程文檔、系統(tǒng)設(shè)計(jì)方案、網(wǎng)絡(luò)設(shè)備技術(shù)資料、系統(tǒng)和產(chǎn)品實(shí)際配備闡明、系統(tǒng)各種運(yùn)營記錄文檔、機(jī)房建設(shè)有關(guān)資料、機(jī)房出入記錄等過程記錄文檔）完整性，以及這些文獻(xiàn)之間內(nèi)部一致性。測(cè)評(píng)辦法文檔審查簡要描述通過文檔審核與分析，檢查制度、方略、操作規(guī)程、制度執(zhí)行狀況記錄完整性和內(nèi)部一致性達(dá)到目的發(fā)掘技術(shù)和管理方面存在安全問題工作條件1-2人工作環(huán)境，甲方人員、各類文檔資料配合工作成果文檔審查成果記錄實(shí)地查看通過實(shí)地觀測(cè)人員行為、技術(shù)設(shè)施和物理環(huán)境狀況判斷人員安全意識(shí)、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面安全狀況，測(cè)評(píng)其與否達(dá)到了相應(yīng)級(jí)別安全規(guī)定。測(cè)評(píng)辦法實(shí)地查看簡要描述通過現(xiàn)場查看人員行為、技術(shù)設(shè)施和物理環(huán)境狀況，檢查人員安全意識(shí)、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面安全狀況。達(dá)到目的發(fā)掘技術(shù)和管理方面存在安全問題工作條件1-2人工作環(huán)境，甲方人員配合工作成果實(shí)地查當(dāng)作果記錄重要測(cè)評(píng)工具咱們?cè)诩?jí)別保護(hù)測(cè)評(píng)過程中使用測(cè)評(píng)工具嚴(yán)格遵循可控性原則，即所有使用測(cè)評(píng)工具將事先提交給甲方檢查確認(rèn)，保證在雙方承認(rèn)范疇之內(nèi)，并且測(cè)評(píng)過程中采用技術(shù)手段保證已通過可靠實(shí)際應(yīng)用。在本項(xiàng)目中，將采用如下測(cè)評(píng)工具：工具類別工具名稱工具簡介漏洞掃描工具綠盟極光遠(yuǎn)程安全評(píng)估系統(tǒng)XXXX出品商業(yè)漏洞掃描系統(tǒng)測(cè)評(píng)內(nèi)容與實(shí)行本項(xiàng)目重要分為兩步開展實(shí)行。第一步，對(duì)XXXXXXXXXXXXXXXXXXX兩個(gè)信息系統(tǒng)進(jìn)行定級(jí)和備案工作。第二步，對(duì)XXXXXXXXXXXXXXXXXXX已經(jīng)定級(jí)備案系統(tǒng)進(jìn)行十個(gè)安全層面級(jí)別保護(hù)安全測(cè)評(píng)（物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理）。其中安全測(cè)評(píng)分為差距測(cè)評(píng)和驗(yàn)收測(cè)評(píng)。差距測(cè)評(píng)重要針對(duì)XXXXXXXXXXXXXXX已定級(jí)備案系統(tǒng)執(zhí)行國標(biāo)安全測(cè)評(píng)，差距測(cè)評(píng)交付差距測(cè)評(píng)報(bào)告以及差距測(cè)評(píng)整治方案；差距整治完畢后協(xié)助完畢系統(tǒng)配備方面整治。最后進(jìn)行驗(yàn)收測(cè)評(píng)，驗(yàn)收測(cè)評(píng)將按照國標(biāo)和國家公安承認(rèn)測(cè)評(píng)規(guī)定、測(cè)評(píng)過程、測(cè)評(píng)報(bào)告，協(xié)助對(duì)XXXXXXXXXXXXXXXXXXX已定級(jí)備案系統(tǒng)執(zhí)行系統(tǒng)安全驗(yàn)收測(cè)評(píng)，驗(yàn)收測(cè)評(píng)交付具備國家承認(rèn)驗(yàn)收測(cè)評(píng)報(bào)告。信息系統(tǒng)安全級(jí)別保護(hù)測(cè)評(píng)涉及兩個(gè)方面內(nèi)容：一是安全控制測(cè)評(píng)，重要測(cè)評(píng)信息安全級(jí)別保護(hù)規(guī)定基本安全控制在信息系統(tǒng)中實(shí)行配備狀況；二是系統(tǒng)整體測(cè)評(píng)，重要測(cè)評(píng)分析信息系統(tǒng)整體安全性。其中，安全控制測(cè)評(píng)是信息系統(tǒng)整體安全測(cè)評(píng)基本。安全控制測(cè)評(píng)使用測(cè)評(píng)單元方式組織，分為安全技術(shù)測(cè)評(píng)和安全管理測(cè)評(píng)兩大類。安全技術(shù)測(cè)評(píng)涉及：物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全五個(gè)層面上安全控制測(cè)評(píng)；安全管理測(cè)評(píng)涉及：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理五個(gè)方面安全控制測(cè)評(píng)。詳細(xì)見下圖：物理安全測(cè)評(píng)物理安全測(cè)評(píng)將通過訪談和檢查方式評(píng)測(cè)信息系統(tǒng)物理安全保障狀況。重要涉及對(duì)象為機(jī)房。在內(nèi)容上，物理安全層面測(cè)評(píng)實(shí)行過程涉及10個(gè)安全子類，詳細(xì)如下表：序號(hào)安全子類測(cè)評(píng)指標(biāo)描述1物理位置選取通過訪談物理安全負(fù)責(zé)人，檢查機(jī)房，測(cè)評(píng)機(jī)房物理場合在位置上與否具備防震、防風(fēng)和防雨等多方面安全防范能力。2物理訪問控制通過訪談物理安全負(fù)責(zé)人，檢查機(jī)房出入口等過程，測(cè)評(píng)信息系統(tǒng)在物理訪問控制方面安全防范能力。3防盜竊和防破壞通過訪談物理安全負(fù)責(zé)人，檢查機(jī)房內(nèi)重要設(shè)備、介質(zhì)和防盜報(bào)警設(shè)施等過程，測(cè)評(píng)信息系統(tǒng)與否采用必要辦法防止設(shè)備、介質(zhì)等丟失和被破壞。4防雷擊通過訪談物理安全負(fù)責(zé)人，檢查機(jī)房設(shè)計(jì)/驗(yàn)收文檔，測(cè)評(píng)信息系統(tǒng)與否采用相應(yīng)辦法防止雷擊。5防火通過訪談物理安全負(fù)責(zé)人，檢查機(jī)房防火方面安全管理制度，檢查機(jī)房防火設(shè)備等過程，測(cè)評(píng)信息系統(tǒng)與否采用必要辦法防止火災(zāi)發(fā)生。6防水和防潮通過訪談物理安全負(fù)責(zé)人，檢查機(jī)房及其除潮設(shè)備等過程，測(cè)評(píng)信息系統(tǒng)與否采用必要辦法來防止水災(zāi)和機(jī)房潮濕。7防靜電通過訪談物理安全負(fù)責(zé)人，檢查機(jī)房等過程，測(cè)評(píng)信息系統(tǒng)與否采用必要辦法防止靜電產(chǎn)生。8溫濕度控制通過訪談物理安全負(fù)責(zé)人，檢查機(jī)房溫濕度自動(dòng)調(diào)節(jié)系統(tǒng)，測(cè)評(píng)信息系統(tǒng)與否采用必要辦法對(duì)機(jī)房內(nèi)溫濕度進(jìn)行控制。9電力供應(yīng)通過訪談物理安全負(fù)責(zé)人，檢查機(jī)房供電線路、設(shè)備等過程，測(cè)評(píng)與否具備為信息系統(tǒng)提供一定電力供應(yīng)能力。10電磁防護(hù)通過訪談物理安全負(fù)責(zé)人，檢查重要設(shè)備等過程，測(cè)評(píng)信息系統(tǒng)與否具備一定電磁防護(hù)能力。測(cè)評(píng)實(shí)行訪談物理安全負(fù)責(zé)人、機(jī)房維護(hù)人員和機(jī)房值守人員，詢問機(jī)房與否有防盜報(bào)警系統(tǒng)、避雷裝置、自動(dòng)消防系統(tǒng)和溫濕度自動(dòng)調(diào)節(jié)設(shè)施等有關(guān)機(jī)房安全辦法，檢查機(jī)房位置、有關(guān)制度、記錄文檔、系統(tǒng)（或設(shè)備）運(yùn)營狀況等。配合需求配合項(xiàng)目需求闡明物理位置選取相應(yīng)房屋建筑資料。物理訪問控制機(jī)房出入登記記錄、審批記錄、電子門禁記錄等。防盜竊和防破壞防盜報(bào)警運(yùn)營維護(hù)狀況及有關(guān)記錄。防雷擊建筑物防雷技術(shù)檢測(cè)報(bào)告。防火防火系統(tǒng)檢查和維護(hù)記錄、機(jī)房驗(yàn)收文檔。防水和防潮建筑施工圖、建筑驗(yàn)收文檔。防靜電展示防靜電接地辦法。溫濕度控制機(jī)房溫濕度變化記錄和溫濕度調(diào)節(jié)設(shè)備維護(hù)記錄。電力供應(yīng)供電線路穩(wěn)壓器、供電線路UPS、備用電源設(shè)備和過電壓防護(hù)設(shè)備維護(hù)和維修記錄。電磁防護(hù)1．物理安全負(fù)責(zé)人簡介設(shè)備外殼接地實(shí)行狀況；2．物理安全負(fù)責(zé)人簡介線路鋪設(shè)中將電源線和通信線路隔離實(shí)行狀況；3．物理安全負(fù)責(zé)人簡介重要設(shè)備和磁介質(zhì)實(shí)行電磁屏蔽狀況。網(wǎng)絡(luò)安全測(cè)評(píng)網(wǎng)絡(luò)安全測(cè)評(píng)將通過訪談、檢查和測(cè)試方式評(píng)測(cè)信息系統(tǒng)網(wǎng)絡(luò)安全保障狀況。重要涉及對(duì)象機(jī)房網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備以及網(wǎng)絡(luò)拓?fù)錁?gòu)造等三大類對(duì)象。在內(nèi)容上，網(wǎng)絡(luò)安全層面測(cè)評(píng)過程涉及7個(gè)工作單元。測(cè)評(píng)指標(biāo)序號(hào)安全子類測(cè)評(píng)指標(biāo)描述1構(gòu)造安全通過訪談網(wǎng)絡(luò)管理員，檢查網(wǎng)絡(luò)拓?fù)錉顩r、核查核心互換機(jī)、路由器，測(cè)評(píng)分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等狀況合理性和有效性。2訪問控制通過訪談安全員，檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測(cè)試系統(tǒng)對(duì)外暴露安全漏洞狀況等，測(cè)評(píng)分析信息系統(tǒng)對(duì)網(wǎng)絡(luò)區(qū)域邊界有關(guān)網(wǎng)絡(luò)隔離與訪問控制能力。3安全審計(jì)通過訪談審計(jì)員，檢查核心互換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備安全審計(jì)狀況等，測(cè)評(píng)分析信息系統(tǒng)審計(jì)配備和審計(jì)記錄保護(hù)狀況。4邊界完整性檢查通過訪談安全員，檢查邊界完整性檢查設(shè)備,接入邊界完整性檢查設(shè)備進(jìn)行測(cè)試等過程，測(cè)評(píng)分析信息系統(tǒng)擅自聯(lián)到外部網(wǎng)絡(luò)行為。5入侵防范通過訪談安全員，測(cè)評(píng)分析信息系統(tǒng)對(duì)襲擊行為辨認(rèn)和解決狀況。6惡意代碼防范通過訪談安全員，檢查網(wǎng)絡(luò)防惡意代碼產(chǎn)品等過程，測(cè)評(píng)分析信息系統(tǒng)網(wǎng)絡(luò)邊界和核心網(wǎng)段對(duì)病毒等惡意代碼防護(hù)狀況。7網(wǎng)絡(luò)設(shè)備防護(hù)通過訪談網(wǎng)絡(luò)管理員，檢查互換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備，查看它們安全配備狀況，涉及身份鑒別、登錄失敗解決、限制非法登錄和登錄連接超時(shí)等，考察網(wǎng)絡(luò)設(shè)備自身安全防范狀況。測(cè)評(píng)實(shí)行網(wǎng)絡(luò)層面測(cè)評(píng)實(shí)行重要分為三某些，第一某些為網(wǎng)絡(luò)全測(cè)評(píng)，重要通過訪談網(wǎng)絡(luò)管理員，針對(duì)構(gòu)造安全、邊界完整性、入侵防范、惡意代碼防范四個(gè)控制點(diǎn)，理解構(gòu)造安全、業(yè)務(wù)高峰期設(shè)備解決能力和鏈路帶寬運(yùn)營狀況、非法內(nèi)外聯(lián)，以及網(wǎng)絡(luò)邊界入侵防范辦法，惡意代碼防范狀況等內(nèi)容。第二某些為網(wǎng)絡(luò)設(shè)備防護(hù)測(cè)評(píng)，重要通過對(duì)網(wǎng)絡(luò)管理員進(jìn)行訪談、由管理員進(jìn)行操作查看安全配備，針對(duì)訪問控制、安全審計(jì)、網(wǎng)絡(luò)設(shè)備防護(hù)三個(gè)控制點(diǎn)，理解網(wǎng)絡(luò)設(shè)備上重要訪問控制方略、設(shè)備日記記錄狀況、口令復(fù)雜度、雙因子身份鑒別、管理員權(quán)限分離等內(nèi)容。第三某些為工具測(cè)試，針對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器系統(tǒng)漏洞進(jìn)行掃描，以及對(duì)網(wǎng)絡(luò)設(shè)備訪問控制方略進(jìn)行驗(yàn)證等。配合需求配合項(xiàng)目需求闡明構(gòu)造安全網(wǎng)絡(luò)拓?fù)錁?gòu)造圖、不同子網(wǎng)或網(wǎng)段設(shè)計(jì)或描述、帶寬配備方略。邊界完整性檢查系統(tǒng)管理員簡介采用手段以防止非授權(quán)接入和非法外聯(lián)行為。入侵防范網(wǎng)絡(luò)管理員或者安全管理員簡介防網(wǎng)絡(luò)襲擊辦法。惡意代碼防范網(wǎng)絡(luò)管理員或者安全管理員簡介防惡意代碼辦法。訪問控制針對(duì)重要服務(wù)器訪問控制方略。安全審計(jì)訪談網(wǎng)絡(luò)管理員以及需要網(wǎng)絡(luò)管理員上機(jī)操作。網(wǎng)絡(luò)設(shè)備防護(hù)網(wǎng)絡(luò)管理員上機(jī)操作。主機(jī)安全測(cè)評(píng)主機(jī)系統(tǒng)安全測(cè)評(píng)將通過訪談、檢查和測(cè)試方式評(píng)測(cè)信息系統(tǒng)主機(jī)和服務(wù)器（操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)）安全保障狀況。在內(nèi)容上，主機(jī)系統(tǒng)安全層面測(cè)評(píng)實(shí)行過程涉及7個(gè)安全子類。測(cè)評(píng)指標(biāo)序號(hào)安全子類測(cè)評(píng)指標(biāo)描述1身份鑒別檢查服務(wù)器身份標(biāo)記與鑒別和顧客登錄配備狀況。2訪問控制檢查服務(wù)器訪問控制設(shè)立狀況，涉及安全方略覆蓋、控制粒度以及權(quán)限設(shè)立狀況等。3安全審計(jì)檢查服務(wù)器安全審計(jì)配備狀況，如覆蓋范疇、記錄項(xiàng)目和內(nèi)容等；檢查安全審計(jì)進(jìn)程和記錄保護(hù)狀況。4剩余信息保護(hù)檢查服務(wù)器鑒別信息存儲(chǔ)空間，被釋放或再分派給其她顧客前得到完全清除。5入侵防范檢查服務(wù)器在運(yùn)營過程中入侵防范辦法，如關(guān)閉不需要端口和服務(wù)、最小化安裝、布置入侵防范產(chǎn)品等。6惡意代碼防范檢查服務(wù)器惡意代碼防范狀況。7資源控制檢查服務(wù)器資源使用狀況。測(cè)評(píng)實(shí)行主機(jī)層面測(cè)評(píng)實(shí)行重要通過訪談和查看，理解服務(wù)器安全防護(hù)辦法和有關(guān)安全配備，涉及到控制點(diǎn)有：身份鑒別、訪問控制、安全審計(jì)、剩余信息保護(hù)、入侵防范、惡意代碼防范和資源控制等。配合需求配合項(xiàng)目需求闡明身份鑒別系統(tǒng)管理員、數(shù)據(jù)庫管理員配合主機(jī)測(cè)評(píng)師上機(jī)操作。訪問控制系統(tǒng)管理員、數(shù)據(jù)庫管理員配合主機(jī)測(cè)評(píng)師上機(jī)操作。安全審計(jì)系統(tǒng)管理員、數(shù)據(jù)庫管理員配合主機(jī)測(cè)評(píng)師上機(jī)操作。剩余信息保護(hù)系統(tǒng)管理員、數(shù)據(jù)庫管理員配合主機(jī)測(cè)評(píng)師上機(jī)操作。入侵防范系統(tǒng)管理員、數(shù)據(jù)庫管理員配合主機(jī)測(cè)評(píng)師上機(jī)操作。惡意代碼防范系統(tǒng)管理員、數(shù)據(jù)庫管理員配合主機(jī)測(cè)評(píng)師上機(jī)操作。資源控制系統(tǒng)管理員、數(shù)據(jù)庫管理員配合主機(jī)測(cè)評(píng)師上機(jī)操作。應(yīng)用安全測(cè)評(píng)測(cè)評(píng)指標(biāo)應(yīng)用安全測(cè)評(píng)將通過訪談、檢查和測(cè)試方式評(píng)測(cè)信息系統(tǒng)應(yīng)用安全保障狀況。在內(nèi)容上，應(yīng)用安全層面測(cè)評(píng)實(shí)行過程涉及9個(gè)工作單元，詳細(xì)如下表：序號(hào)安全子類測(cè)評(píng)指標(biāo)描述1身份鑒別檢查應(yīng)用系統(tǒng)身份標(biāo)記與鑒別功能設(shè)立和使用配備狀況；檢查應(yīng)用系統(tǒng)對(duì)顧客登錄各種狀況解決，如登錄失敗解決、登錄連接超時(shí)等。2訪問控制檢查應(yīng)用系統(tǒng)訪問控制功能設(shè)立狀況，如訪問控制方略、訪問控制粒度、權(quán)限設(shè)立狀況等。3安全審計(jì)1、檢查應(yīng)用系統(tǒng)安全審計(jì)配備狀況，如覆蓋范疇、記錄項(xiàng)目和內(nèi)容等；2、檢查應(yīng)用系統(tǒng)安全審計(jì)進(jìn)程和記錄保護(hù)狀況。4剩余信息保護(hù)檢查應(yīng)用系統(tǒng)剩余信息保護(hù)狀況，如將顧客鑒別信息以及文獻(xiàn)、目錄和數(shù)據(jù)庫記錄等資源所在存儲(chǔ)空間再分派時(shí)解決狀況。5通信完整性檢查應(yīng)用系統(tǒng)客戶端和服務(wù)器端之間通信完整性保護(hù)狀況。6通信保密性檢查應(yīng)用系統(tǒng)客戶端和服務(wù)器端之間通信完整性保護(hù)狀況。7抗抵賴檢查應(yīng)用系統(tǒng)對(duì)原發(fā)方和接受方抗抵賴實(shí)現(xiàn)狀況。8軟件容錯(cuò)檢查應(yīng)用系統(tǒng)軟件容錯(cuò)能力，如輸入輸出格式檢查、自我狀態(tài)監(jiān)控、自我保護(hù)、回退等能力。9資源控制檢查應(yīng)用系統(tǒng)資源控制狀況，如會(huì)話限定、顧客登錄限制、最大并發(fā)連接以及服務(wù)優(yōu)先級(jí)設(shè)立等。測(cè)評(píng)實(shí)行應(yīng)用層面測(cè)評(píng)實(shí)行重要通過訪談和查看，理解應(yīng)用系統(tǒng)安全防護(hù)辦法和有關(guān)安全配備，涉及到控制點(diǎn)有：身份鑒別、訪問控制、安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)、資源控制等。配合需求配合項(xiàng)目需求闡明身份鑒別系統(tǒng)管理員、數(shù)據(jù)庫管理員配合主機(jī)測(cè)評(píng)師上機(jī)操作。訪問控制系統(tǒng)管理員、數(shù)據(jù)庫管理員配合主機(jī)測(cè)評(píng)師上機(jī)操作。安全審計(jì)系統(tǒng)管理員、數(shù)據(jù)庫管理員配合主機(jī)測(cè)評(píng)師上機(jī)操作。剩余信息保護(hù)系統(tǒng)管理員、數(shù)據(jù)庫管理員配合主機(jī)測(cè)評(píng)師上機(jī)操作。通信完整性系統(tǒng)管理員、數(shù)據(jù)庫管理員配合主機(jī)測(cè)評(píng)師上機(jī)操作。通信保密性系統(tǒng)管理員、數(shù)據(jù)庫管理員配合主機(jī)測(cè)評(píng)師上機(jī)操作。抗抵賴系統(tǒng)管理員、數(shù)據(jù)庫管理員配合主機(jī)測(cè)評(píng)師上機(jī)操作。軟件容錯(cuò)系統(tǒng)管理員、數(shù)據(jù)庫管理員配合主機(jī)測(cè)評(píng)師上機(jī)操作。資源控制系統(tǒng)管理員、數(shù)據(jù)庫管理員配合主機(jī)測(cè)評(píng)師上機(jī)操作。數(shù)據(jù)安全及備份恢復(fù)測(cè)評(píng)測(cè)評(píng)指標(biāo)在內(nèi)容上，數(shù)據(jù)安全層面測(cè)評(píng)實(shí)行過程涉及3個(gè)工作單元，詳細(xì)如下表：序號(hào)安全子類測(cè)評(píng)指標(biāo)描述1數(shù)據(jù)完整性檢查操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)管理數(shù)據(jù)、鑒別信息和顧客數(shù)據(jù)在傳播和保存過程中完整性保護(hù)狀況。2數(shù)據(jù)保密性檢查操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)管理數(shù)據(jù)、鑒別信息和顧客數(shù)據(jù)在傳播和保存過程中保密性保護(hù)狀況。3安全備份和恢復(fù)檢查信息系統(tǒng)安全備份狀況，如重要信息備份、硬件和線路冗余等。測(cè)評(píng)實(shí)行數(shù)據(jù)安全及備份恢復(fù)測(cè)評(píng)將通過訪談和檢查方式評(píng)測(cè)信息系統(tǒng)數(shù)據(jù)安全保障狀況。本次測(cè)評(píng)重點(diǎn)檢查系統(tǒng)數(shù)據(jù)在采集、傳播、解決和存儲(chǔ)過程中安全。配合需求配合項(xiàng)目需求闡明數(shù)據(jù)完整性應(yīng)用測(cè)評(píng)師綜合網(wǎng)絡(luò)、主機(jī)和應(yīng)用三個(gè)層面測(cè)評(píng)狀況進(jìn)行分析。數(shù)據(jù)保密性應(yīng)用測(cè)評(píng)師綜合網(wǎng)絡(luò)、主機(jī)和應(yīng)用三個(gè)層面測(cè)評(píng)狀況進(jìn)行分析。安全備份和恢復(fù)應(yīng)用測(cè)評(píng)師綜合網(wǎng)絡(luò)、主機(jī)和應(yīng)用三個(gè)層面測(cè)評(píng)狀況進(jìn)行分析。安全管理制度測(cè)評(píng)測(cè)評(píng)指標(biāo)安全管理制度測(cè)評(píng)將通過訪談和檢查形式評(píng)測(cè)安全管理制度制定、發(fā)布、評(píng)審和修訂等狀況。重要涉及安全主管人員、安全管理人員、各類其他人員、各類管理制度、各類操作規(guī)程文獻(xiàn)等對(duì)象。序號(hào)安全子類測(cè)評(píng)指標(biāo)描述1管理制度通過訪談安全主管，檢查關(guān)于管理制度文檔和重要操作規(guī)程等過程，測(cè)評(píng)信息系統(tǒng)管理制度在內(nèi)容覆蓋上與否全面、完善。2制定與發(fā)布通過訪談安全主管，檢查關(guān)于制度制定規(guī)定文檔等過程，測(cè)評(píng)信息系統(tǒng)管理制度制定和發(fā)布過程與否遵循一定流程。3評(píng)審和修訂通過訪談安全主管，檢查管理制度評(píng)審記錄等過程，測(cè)評(píng)信息系統(tǒng)管理制度定期評(píng)審和修訂狀況。測(cè)評(píng)實(shí)行訪談安全主管，理解機(jī)構(gòu)安全管理制度體系構(gòu)成、安全管理制度制定和發(fā)布流程、對(duì)制定安全管理制度進(jìn)行論證和審定狀況和對(duì)安全管理制度文獻(xiàn)體系和安全管理制度定期進(jìn)行評(píng)審修訂狀況。收集并查看信息安全管理文檔，查看制度文檔格式與否統(tǒng)一、與否具備編號(hào)、查看內(nèi)容與否覆蓋了信息安全工作總體目的、方針和方略和信息系統(tǒng)生命周期中重要管理活動(dòng)，與否有對(duì)重要服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備操作操作規(guī)程。檢查安全管理制度收發(fā)登記記錄與否符合規(guī)定收發(fā)程序和發(fā)布范疇控制等規(guī)定，與否有安全管理制度制定評(píng)審記錄和定期修訂記錄。配合需求配合項(xiàng)目需求闡明管理制度配合訪談進(jìn)行安全管理制度體系狀況理解；提供信息安全總體方針政策文獻(xiàn)、與信息安全有關(guān)管理制度和操作規(guī)程；提供安全管理制度認(rèn)證和評(píng)審記錄。制定與發(fā)布配合訪談進(jìn)行制度制定與發(fā)布狀況理解；提供安全管理制度收發(fā)文記錄。評(píng)審和修訂配合訪談進(jìn)行安全管理制度體系、制度制定與發(fā)布、評(píng)審和修訂有關(guān)內(nèi)容理解；提供安全管理制度定期評(píng)審修訂記錄。安全管理機(jī)構(gòu)測(cè)評(píng)測(cè)評(píng)指標(biāo)序號(hào)安全子類測(cè)評(píng)指標(biāo)描述1崗位設(shè)立通過訪談安全主管，檢查部門/崗位職責(zé)文獻(xiàn)，測(cè)評(píng)信息系統(tǒng)安全主管部門設(shè)立狀況以及各崗位設(shè)立和崗位職責(zé)狀況。2人員配備通過訪談安全主管，檢查人員名單等文檔，測(cè)評(píng)信息系統(tǒng)各個(gè)崗位人員配備狀況。3授權(quán)和審批通過訪談安全主管，檢查有關(guān)文檔，測(cè)評(píng)信息系統(tǒng)對(duì)核心活動(dòng)授權(quán)和審批狀況。4溝通和合伙通過訪談安全主管，檢查有關(guān)文檔，測(cè)評(píng)信息系統(tǒng)內(nèi)部部門間、與外部單位間溝通與合伙狀況。5審核和檢查通過訪談安全主管，檢查記錄文檔等過程，測(cè)評(píng)信息系統(tǒng)安全工作審核和檢查狀況。測(cè)評(píng)實(shí)行查看部門、崗位職責(zé)等有關(guān)文獻(xiàn)與否明擬定義了機(jī)構(gòu)及各崗位人員職責(zé)范疇，崗位人員名單中核心崗位與否配備了多人共同管理。查看檢查授權(quán)與審批制度文檔，查看文檔與否明確各審批事項(xiàng)審批部門、批準(zhǔn)人及審批流程等，檢查相應(yīng)審批記錄與否按照審批程序執(zhí)行審批過程對(duì)重要活動(dòng)進(jìn)行逐級(jí)審批。檢查與否有信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組執(zhí)行尋常管理工作文獻(xiàn)或工作記錄、與否有外聯(lián)單位列表、與否有信息安全專家聘任文獻(xiàn)。配合需求配合項(xiàng)目需求闡明崗位設(shè)立配合訪談進(jìn)行機(jī)構(gòu)崗位設(shè)立狀況理解；提供組織構(gòu)造圖、崗位職責(zé)文獻(xiàn)。人員配備配合訪談進(jìn)行機(jī)構(gòu)人員配備狀況理解。授權(quán)和審批配合訪談進(jìn)行機(jī)構(gòu)授權(quán)和審批狀況理解；提供授權(quán)和審批文檔和記錄。溝通和合伙配合訪談進(jìn)行機(jī)構(gòu)內(nèi)部和外部溝通合伙狀況理解；提供外聯(lián)單位列表、各類會(huì)議紀(jì)要或記錄（部門內(nèi)、部門間協(xié)調(diào)會(huì)、領(lǐng)導(dǎo)小組）。審核和檢查配合訪談進(jìn)行機(jī)構(gòu)審核和檢查狀況理解；提供內(nèi)部和外部安全檢查記錄。人員安全管理測(cè)評(píng)測(cè)評(píng)指標(biāo)序號(hào)安全子類測(cè)評(píng)指標(biāo)描述1人員錄取通過訪談人事負(fù)責(zé)人，檢查人員錄取文檔等過程，測(cè)評(píng)信息系統(tǒng)錄取人員時(shí)與否對(duì)人員提出規(guī)定以及與否對(duì)其進(jìn)行各種審查和考核。2人員離崗?fù)ㄟ^訪談人事負(fù)責(zé)人，檢查人員離崗安全解決記錄等過程，測(cè)評(píng)信息系統(tǒng)人員離崗時(shí)與否按照一定手續(xù)辦理。3人員考核通過訪談安全主管，檢查關(guān)于考核記錄等過程，測(cè)評(píng)與否對(duì)人員進(jìn)行尋常業(yè)務(wù)考核和工作審查。4安全意識(shí)教誨和培訓(xùn)通過訪談安全主管，檢查培訓(xùn)籌劃和執(zhí)行記錄等文檔，測(cè)評(píng)與否對(duì)人員進(jìn)行安全面教誨和培訓(xùn)。5外部人員訪問管理通過訪談安全主管，檢查關(guān)于文檔等過程，測(cè)評(píng)對(duì)第三方人員訪問（物理、邏輯）系統(tǒng)與否采用必要控制辦法。測(cè)評(píng)實(shí)行訪談安全主管或人事負(fù)責(zé)人，理解人員錄取流程、核心崗位工作人員選拔流程、人員離崗流程、信息安全培訓(xùn)考核狀況和外來人員訪問控制辦法，涉及人員錄取時(shí)與否對(duì)被錄取人身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查，與否訂立了保密合同，離崗時(shí)與否終結(jié)離崗人員所有訪問權(quán)限、收回離崗人員設(shè)備和物品和離崗審查、承諾保密責(zé)任等狀況，安全教誨和培訓(xùn)籌劃制定實(shí)行狀況、對(duì)各個(gè)崗位人員進(jìn)行安全技能及安全知識(shí)考核狀況和對(duì)核心崗位人員進(jìn)行安全審查、安全技能及安全知識(shí)考核狀況。理解對(duì)外部人員訪問管理辦法。檢查與否有錄取人員技術(shù)技能考核記錄、保密合同、核心崗位人員崗位安全合同書、離崗手續(xù)記錄、安全意識(shí)教誨和培訓(xùn)籌劃和記錄、考核記錄和外部人員訪問申請(qǐng)審批和登記備案記錄。配合需求配合項(xiàng)目需求闡明人員錄取1.配合訪談進(jìn)行人員錄取流程狀況理解；2.提供錄取人員技術(shù)技能考核記錄、保密合同、核心崗位人員崗位安全合同書。人員離崗1.配合訪談進(jìn)行人員離崗流程狀況理解；2.提供離崗手續(xù)記錄。人員考核1.配合訪談進(jìn)行人員信息安全考核狀況理解；2.提供安全認(rèn)知和安全技能考核記錄。安全意識(shí)教誨和培訓(xùn)1.配合訪談進(jìn)行人員信息安全和技能培訓(xùn)狀況理解；2.提供安全意識(shí)教誨培訓(xùn)籌劃和記錄外部人員訪問管理1.配合訪談進(jìn)行外部人員訪問控制狀況理解；2.提供外部人員訪問申請(qǐng)審批和登記備案記錄。系統(tǒng)建設(shè)管理測(cè)評(píng)測(cè)評(píng)指標(biāo)序號(hào)安全子類測(cè)評(píng)指標(biāo)描述1系統(tǒng)定級(jí)通過訪談安全主管，檢查系統(tǒng)定級(jí)有關(guān)文檔等過程，測(cè)評(píng)與否按照一定規(guī)定擬定系統(tǒng)安全級(jí)別。2安全方案設(shè)計(jì)通過訪談系統(tǒng)建設(shè)負(fù)責(zé)人，檢查系統(tǒng)安全建設(shè)方案等文檔，測(cè)評(píng)系統(tǒng)整體安全規(guī)劃設(shè)計(jì)與否按照一定流程進(jìn)行。3產(chǎn)品采購和使用通過訪談安全主管、系統(tǒng)建設(shè)負(fù)責(zé)人和安全產(chǎn)品等過程，測(cè)評(píng)與否按照一定規(guī)定進(jìn)行系統(tǒng)產(chǎn)品采購。4自行軟件開發(fā)通過訪談系統(tǒng)建設(shè)負(fù)責(zé)人，檢查有關(guān)軟件開發(fā)文檔等，測(cè)評(píng)自行開發(fā)軟件與否采用必要辦法保證開發(fā)過程安全性。5外包軟件開發(fā)通過訪談系統(tǒng)建設(shè)負(fù)責(zé)人，檢查有關(guān)文檔，測(cè)評(píng)外包開發(fā)軟件與否采用必要辦法保證開發(fā)過程安全性和日后維護(hù)工作可以正常開展。6工程實(shí)行通過訪談系統(tǒng)建設(shè)負(fù)責(zé)人，檢查有關(guān)文檔，測(cè)評(píng)系統(tǒng)建設(shè)實(shí)行過程與否采用必要辦法使其在機(jī)構(gòu)可控范疇內(nèi)進(jìn)行。7測(cè)實(shí)驗(yàn)收通過訪談系統(tǒng)建設(shè)負(fù)責(zé)人，檢查測(cè)實(shí)驗(yàn)收等有關(guān)文檔，測(cè)評(píng)系統(tǒng)運(yùn)營前與否對(duì)其進(jìn)行測(cè)實(shí)驗(yàn)收工作。8系統(tǒng)交付通過訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，檢查系統(tǒng)交付清單等過程，測(cè)評(píng)與否采用必要辦法對(duì)系統(tǒng)交付過程進(jìn)行有效控制。9系統(tǒng)備案通過訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢問與否報(bào)送材料，并檢查上報(bào)材料與否完整。10級(jí)別測(cè)評(píng)通過訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，確認(rèn)與否進(jìn)行過級(jí)別測(cè)評(píng)，并檢查整治狀況。11安全服務(wù)商選取通過訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，測(cè)評(píng)與否選取符合國家關(guān)于規(guī)定安全服務(wù)單位進(jìn)行有關(guān)安全服務(wù)工作。測(cè)評(píng)實(shí)行訪談安全主管，理解信息系統(tǒng)整個(gè)定級(jí)過程和信息系統(tǒng)報(bào)批過程。理解安全方案整個(gè)設(shè)計(jì)過程和安全建設(shè)總體規(guī)劃狀況、產(chǎn)品采購流程、保證系統(tǒng)自主開發(fā)軟件和外包開發(fā)軟件安全有關(guān)狀況。理解負(fù)責(zé)工程實(shí)行過程、測(cè)實(shí)驗(yàn)收、系統(tǒng)交付管理人員或管理部門，對(duì)工程實(shí)行、測(cè)實(shí)驗(yàn)收、系統(tǒng)交付過程進(jìn)度和質(zhì)量控制辦法和辦法、測(cè)實(shí)驗(yàn)收方案制定狀況、對(duì)系統(tǒng)進(jìn)行安全測(cè)試機(jī)構(gòu)、驗(yàn)收成果審定狀況，與否依照交付清單對(duì)所交接設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)，系統(tǒng)建設(shè)實(shí)行方對(duì)運(yùn)維技術(shù)人員進(jìn)行了哪些培訓(xùn)。理解系統(tǒng)備案狀況和為其提供服務(wù)信息系統(tǒng)安全服務(wù)商關(guān)于狀況。收集并查看產(chǎn)品采購、軟件開發(fā)、工程實(shí)行、測(cè)實(shí)驗(yàn)收和系統(tǒng)交付過程管理制度，查看系統(tǒng)定級(jí)文檔與否有信息系統(tǒng)劃分辦法和理由、定級(jí)辦法和理由描述、專家對(duì)定級(jí)成果論證意見和有有關(guān)部門或主管部門批準(zhǔn)意見。查看安全方案內(nèi)容與否涉及總體安全方略、安全技術(shù)框架、安全管理方略、詳細(xì)設(shè)計(jì)內(nèi)容等方面。檢查與否有安全建設(shè)工作籌劃書、代碼編寫規(guī)范、開發(fā)文檔、軟件設(shè)計(jì)文檔、使用指南、軟件測(cè)實(shí)驗(yàn)收文檔、軟件需求分析闡明書、軟件設(shè)計(jì)闡明書、軟件操作手冊(cè)、工程實(shí)行方案、安全測(cè)試報(bào)告、測(cè)實(shí)驗(yàn)收方案、測(cè)實(shí)驗(yàn)收?qǐng)?bào)告、系統(tǒng)交付清單、安全服務(wù)商有關(guān)服務(wù)合同或合同。配合需求配合項(xiàng)目需求闡明系統(tǒng)定級(jí)1.配合訪談進(jìn)行系統(tǒng)定級(jí)狀況理解；2.提供系統(tǒng)定級(jí)文檔。安全方案設(shè)計(jì)1.配合訪談進(jìn)行安全方案設(shè)計(jì)狀況理解；2.提供系統(tǒng)建設(shè)總體安全方略、安全技術(shù)框架、安全管理方略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案。產(chǎn)品采購和使用1.配合訪談進(jìn)行產(chǎn)品采購狀況理解；2.提供產(chǎn)品采購有關(guān)管理制度。自行軟件開發(fā)1.配合訪談進(jìn)行自主軟件開發(fā)狀況理解；2.提供軟件開發(fā)過程管理制度；3.提供代碼編寫規(guī)范、開發(fā)文檔、軟件需求分析闡明書、軟件設(shè)計(jì)闡明書、軟件測(cè)實(shí)驗(yàn)收文檔、軟件操作手冊(cè)。外包軟件開發(fā)1.配合訪談進(jìn)行外包軟件開發(fā)狀況理解；2.提供外包軟件開發(fā)過程管理制度；3.提供開發(fā)文檔、軟件需求分析闡明書、軟件設(shè)計(jì)闡明書、軟件測(cè)實(shí)驗(yàn)收文檔、軟件操作手冊(cè)、外包開發(fā)商有關(guān)服務(wù)合同或合同。工程實(shí)行1.配合訪談進(jìn)行工程實(shí)行狀況理解；2.提供工程實(shí)行方案、工程控制文檔。測(cè)實(shí)驗(yàn)收1.配合訪談進(jìn)行測(cè)實(shí)驗(yàn)收狀況理解；2.提供安全測(cè)試報(bào)告、測(cè)實(shí)驗(yàn)收方案、測(cè)實(shí)驗(yàn)收?qǐng)?bào)告。系統(tǒng)交付1.配合訪談進(jìn)行系統(tǒng)交付狀況理解；2.提供系統(tǒng)交付清單、建設(shè)方對(duì)運(yùn)維人員培訓(xùn)記錄。系統(tǒng)備案1.配合訪談進(jìn)行系統(tǒng)備案狀況理解；2.提供系統(tǒng)備案有關(guān)文檔。級(jí)別測(cè)評(píng)1.配合訪談進(jìn)行級(jí)別測(cè)評(píng)狀況理解。安全服務(wù)商選取1.配合訪談進(jìn)行安全服務(wù)商狀況理解；2.提供安全服務(wù)商有關(guān)服務(wù)合同或合同。系統(tǒng)運(yùn)維管理測(cè)評(píng)測(cè)評(píng)指標(biāo)序號(hào)安全子類測(cè)評(píng)指標(biāo)描述1環(huán)境管理通過訪談物理安全負(fù)責(zé)人，檢查機(jī)房安全管理制度，機(jī)房和辦公環(huán)境等過程，測(cè)評(píng)與否采用必要辦法對(duì)機(jī)房出入控制以及辦公環(huán)境人員行為等方面進(jìn)行安全管理。2資產(chǎn)管理通過訪談資產(chǎn)管理員，檢查資產(chǎn)清單，檢查系統(tǒng)、網(wǎng)絡(luò)設(shè)備等過程，測(cè)評(píng)與否采用必要辦法對(duì)系統(tǒng)資產(chǎn)進(jìn)行分類標(biāo)記管理。3介質(zhì)管理通過訪談資產(chǎn)管理員，檢查介質(zhì)管理記錄和各類介質(zhì)等過程，測(cè)評(píng)與否采用必要辦法對(duì)介質(zhì)存儲(chǔ)環(huán)境、使用、維護(hù)和銷毀等方面進(jìn)行管理。4設(shè)備管理通過訪談資產(chǎn)管理員、系統(tǒng)管理員，檢查設(shè)備使用管理文檔和設(shè)備操作規(guī)程等過程，測(cè)評(píng)與否采用必要辦法保證設(shè)備在使用、維護(hù)和銷毀等過程安全。5監(jiān)控管理和安全管理中心通過訪談資產(chǎn)管理員、系統(tǒng)管理員，查看與否有安全管理監(jiān)控記錄，并進(jìn)行檢查。6網(wǎng)絡(luò)安全管理通過訪談安全主管、系統(tǒng)管理員，檢查系統(tǒng)安全管理制度、系統(tǒng)審計(jì)日記和系統(tǒng)漏洞掃描報(bào)告等過程，測(cè)評(píng)與否采用必要辦法對(duì)系統(tǒng)安全配備、系統(tǒng)賬戶、漏洞掃描和審計(jì)日記等方面進(jìn)行有效管理。7系統(tǒng)安全管理通過訪談安全主管、網(wǎng)絡(luò)管理員，檢查網(wǎng)絡(luò)安全管理制度、網(wǎng)絡(luò)審計(jì)日記和網(wǎng)絡(luò)漏洞掃描報(bào)告等過程，測(cè)評(píng)與否采用必要辦法對(duì)網(wǎng)絡(luò)安全配備、網(wǎng)絡(luò)顧客權(quán)限和審計(jì)日記等方面進(jìn)行有效管理，保證網(wǎng)絡(luò)安全運(yùn)營。8惡意代碼防范管理通過訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，檢查惡意代碼防范管理文檔和惡意代碼檢測(cè)記錄等過程，測(cè)評(píng)與否采用必要辦法對(duì)惡意代碼進(jìn)行有效管理，保證系統(tǒng)具備惡意代碼防范能力。9密碼管理通過訪談安全員，測(cè)評(píng)與否可以保證信息系統(tǒng)中密碼算法和密鑰使用符合國家密碼管理規(guī)定。10變更管理通過訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，檢查變更方案和變更管理制度等過程，測(cè)評(píng)與否采用必要辦法對(duì)系統(tǒng)發(fā)生變更進(jìn)行有效管理。11備份與恢復(fù)管理通過訪談系統(tǒng)管理員、網(wǎng)絡(luò)管理員，檢查系統(tǒng)備份管理文檔備份與恢復(fù)管理通過訪談系統(tǒng)管理員、網(wǎng)絡(luò)管理員，檢查系統(tǒng)備份管理文檔12安全事件處置通過訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，檢查安全事件記錄分析文檔、安全事件報(bào)告和處置管理制度等過程，測(cè)評(píng)與否采用必要辦法對(duì)安全事件進(jìn)行級(jí)別劃分和對(duì)安全事件報(bào)告、解決過程進(jìn)行有效管理。13應(yīng)急預(yù)案管理通過訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，檢查應(yīng)急響應(yīng)預(yù)案文檔等過程，測(cè)評(píng)與否針對(duì)不同安全事件制定相應(yīng)應(yīng)急預(yù)案，與否相應(yīng)急預(yù)案展開培訓(xùn)、演習(xí)和審查等。測(cè)評(píng)實(shí)行訪談安全主管或有關(guān)安全負(fù)責(zé)人理解機(jī)房管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份和恢復(fù)管理、安全事件處置和應(yīng)急預(yù)案管理關(guān)于狀況。收集并查看機(jī)房管理制度、資產(chǎn)管理制度、介質(zhì)管理制度、基于申報(bào)審批和專人負(fù)責(zé)設(shè)備安全管理制度、配套設(shè)施和軟硬件維護(hù)方面管理制度、網(wǎng)絡(luò)安全管理制度、系統(tǒng)安全管理制度、惡意代碼防范管理制度、密碼管理制度、變更管理制度、備份與恢復(fù)有關(guān)管理制度、安全事件報(bào)告和處置管理制度與否對(duì)有關(guān)事項(xiàng)進(jìn)行了明確。查看監(jiān)控系統(tǒng)理解設(shè)備運(yùn)營、網(wǎng)絡(luò)流量、應(yīng)用程序監(jiān)控狀況，安全管理中心集中管理狀況。檢查與否有不同事件應(yīng)急預(yù)案，與否有介質(zhì)歸檔、查詢等登記記錄、信息解決設(shè)備帶離機(jī)房或辦公地點(diǎn)審批記錄、主機(jī)系統(tǒng)、網(wǎng)絡(luò)、安全設(shè)備等操作日記和維護(hù)記錄、網(wǎng)絡(luò)接入和外聯(lián)授權(quán)審批記錄、定期檢查違背規(guī)定行為記錄、機(jī)房尋常巡檢記錄、對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件等監(jiān)控記錄和日記分析報(bào)告、惡意代碼檢測(cè)、升級(jí)記錄和分析報(bào)告、備份過程記錄、變更方案評(píng)審記錄和變更過程記錄、安全事件解決過程記錄、應(yīng)急預(yù)案培訓(xùn)、演習(xí)、審查記錄。配合需求配合項(xiàng)目需求闡明環(huán)境管理1.配合訪談進(jìn)行機(jī)房管理狀況理解；2.提供機(jī)房管理制度；3.提供機(jī)房基本設(shè)備維護(hù)記錄、服務(wù)器開關(guān)機(jī)記錄、機(jī)房審批和出入登記、機(jī)房尋常巡檢記錄資產(chǎn)管理1.配合訪談進(jìn)行資產(chǎn)管理狀況理解；2.