DB11T 1344-2016 信息安全等級(jí)保護(hù)檢查規(guī)范

DB11北京市質(zhì)量技術(shù)監(jiān)督局發(fā)布 楊瀟、石浩、王佳、趙勇、羅錚、袁靜、于東升、霍珊珊、劉健、張益信息安全等級(jí)保護(hù)檢查規(guī)范檢查人員使用預(yù)定的方法/工具使被檢查對(duì)象（各類設(shè)備或安全配置）產(chǎn)生特定的結(jié)果，將運(yùn)行結(jié)——制定檢查組工作計(jì)劃，計(jì)劃內(nèi)容應(yīng)包括檢查對(duì)象、檢查針對(duì)被檢查單位信息系統(tǒng)安全保護(hù)能力出具書面結(jié)若機(jī)房出入口沒(méi)有進(jìn)出機(jī)房的人員登記記錄，則檢查結(jié)果b)查驗(yàn)機(jī)房是否配備符合要求的滅火設(shè)備，滅火設(shè)備擺放是否合理，有效期是b)若機(jī)房?jī)?nèi)沒(méi)有配備符合要求的滅火設(shè)備，滅火設(shè)備擺放不合理或已c)若機(jī)房?jī)?nèi)沒(méi)有配備溫濕度自動(dòng)調(diào)節(jié)設(shè)施，或當(dāng)前溫若網(wǎng)絡(luò)拓?fù)鋱D中無(wú)法定位核心交換機(jī)、核心服務(wù)器、邊界防火墻等關(guān)鍵b)若沒(méi)有部署入侵檢測(cè)設(shè)備或入侵檢測(cè)設(shè)備的特征庫(kù)未及時(shí)更新，則查驗(yàn)主要網(wǎng)絡(luò)設(shè)備、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用系統(tǒng)的身份鑒別查驗(yàn)主要服務(wù)器操作系統(tǒng)和重要數(shù)據(jù)庫(kù)管理系統(tǒng)是否已禁用或者限制匿名/默認(rèn)賬戶的訪a)操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)默認(rèn)賬戶名未重命名，默認(rèn)口令），若缺乏主要網(wǎng)絡(luò)設(shè)備、主要數(shù)據(jù)庫(kù)管理系統(tǒng)和主要應(yīng)用系統(tǒng)的重要信息的備份介質(zhì)，則查驗(yàn)系統(tǒng)、網(wǎng)絡(luò)、安全方面的管理規(guī)定，記錄系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫(kù)管理員、安若信息安全管理制度（網(wǎng)絡(luò)、主機(jī)、密碼、審計(jì)等制度）中沒(méi)有明確角色和職責(zé)定義，沒(méi)有若沒(méi)有制定日常信息安全管理制度，如機(jī)房管a)查驗(yàn)關(guān)鍵崗位人員的勞動(dòng)合同，記錄負(fù)責(zé)人員錄用的b)查驗(yàn)離崗人員辦理過(guò)的調(diào)離手續(xù)記錄，記錄離崗員工被終止的訪問(wèn)應(yīng)檢查系統(tǒng)設(shè)計(jì)、系統(tǒng)實(shí)施、系統(tǒng)驗(yàn)收、系統(tǒng)運(yùn)維等生命周期各階段的安全管理制度和相應(yīng)a)查驗(yàn)定級(jí)報(bào)告，記錄定級(jí)報(bào)告名稱和蓋b)查驗(yàn)安全設(shè)計(jì)方案，記錄安全設(shè)計(jì)h)查驗(yàn)設(shè)備管理的部門名稱或人員姓名，記錄部門名稱或人員姓名，查驗(yàn)設(shè)a)若無(wú)法提供系統(tǒng)定級(jí)報(bào)告書，無(wú)單位信息安全領(lǐng)導(dǎo)（小組h)若無(wú)法提供設(shè)備管理的部門名稱或人員姓名及設(shè)備維護(hù)記錄，則查驗(yàn)機(jī)房所在樓宇的驗(yàn)收?qǐng)?bào)告是否明確機(jī)房所在建筑的防震、防風(fēng)和若無(wú)法提供機(jī)房所在建筑物樓宇的驗(yàn)收?qǐng)?bào)告，或未采取防風(fēng)和防雨等措a)查驗(yàn)機(jī)房所有出入口是否有值守記錄以及進(jìn)出機(jī)b)查驗(yàn)是否有來(lái)訪人員進(jìn)入機(jī)房的審批記錄，正常工作，查看是否有運(yùn)行記錄、報(bào)警記錄、定期d)訪談物理安全負(fù)責(zé)人，詢問(wèn)機(jī)房主要設(shè)備是正常工作，運(yùn)行記錄、報(bào)警記錄、定期檢查和維修記錄缺失，則6a)查驗(yàn)防火墻等邊界安全設(shè)備是否配置網(wǎng)b)查驗(yàn)網(wǎng)絡(luò)邊界設(shè)備是否采取技術(shù)手段防d)查驗(yàn)邊界完整性檢查設(shè)備是否設(shè)置了對(duì)非法連接到外網(wǎng)的行為進(jìn)c)若沒(méi)有部署入侵檢測(cè)設(shè)備或入侵檢測(cè)設(shè)備的特征庫(kù)b)查驗(yàn)操作系統(tǒng)、應(yīng)用系統(tǒng)是否具備登錄失敗賬戶a)查驗(yàn)主要服務(wù)器操作系統(tǒng)和重要數(shù)據(jù)庫(kù)管理系統(tǒng)是否已禁用或a)操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)默認(rèn)賬戶名未重），a)查驗(yàn)網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)是否具備了審計(jì)日志;a)不具備網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)a)查驗(yàn)網(wǎng)絡(luò)設(shè)備的配置文件中用戶口令是否加密存儲(chǔ)；b)查驗(yàn)應(yīng)用系統(tǒng)存儲(chǔ)用戶信息的數(shù)據(jù)表中用戶口令字段是否加密存儲(chǔ)；息安全管理崗位人員名單，未設(shè)置專職的信息安全管理員，或安全管理員存在兼任現(xiàn)象，則應(yīng)檢查信息安全工作的總體方針和安全策略制定、發(fā)布方式和定期評(píng)審修評(píng)審人員和評(píng)審結(jié)論，修訂記錄是否至少包b)若安全管理制度沒(méi)有采用文件、郵件或辦公網(wǎng)等密范圍、保密責(zé)任、違約責(zé)任、協(xié)議有效期和責(zé)姓名、調(diào)離崗位、調(diào)離時(shí)間、收回權(quán)限及物品、核對(duì)人簽字、批準(zhǔn)人地點(diǎn)等，查驗(yàn)培訓(xùn)記錄是否至少包括培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果應(yīng)檢查系統(tǒng)設(shè)計(jì)、系統(tǒng)開(kāi)發(fā)、系統(tǒng)實(shí)施、系統(tǒng)測(cè)評(píng)、系統(tǒng)驗(yàn)收、系統(tǒng)交付、系統(tǒng)運(yùn)維等生命若為外包軟件開(kāi)發(fā)，請(qǐng)被檢查機(jī)構(gòu)的配合人員提供軟件的惡意代碼檢測(cè)記錄和用的管理規(guī)定；查驗(yàn)信息處理設(shè)備帶離機(jī)房或辦公地點(diǎn)的統(tǒng)漏洞掃描報(bào)告，掃描時(shí)間間隔與掃描周期是否一致；查驗(yàn)系統(tǒng)安全管理制度，內(nèi)容是否覆變更申報(bào)、審批程序，是否規(guī)定需要申報(bào)的變更類型、申報(bào)流程、審批部門、批準(zhǔn)人等方面a)若無(wú)法提供系統(tǒng)定級(jí)報(bào)告書，無(wú)單位信o)若無(wú)法提供變更管理制度，或內(nèi)容未覆蓋系統(tǒng)上線變更、配置變更和其他重要變更等，則a)若無(wú)法提供業(yè)務(wù)中斷影響分析報(bào)告，內(nèi)容未包括業(yè)務(wù)中斷的可能性和造成的影響分析，則c)若無(wú)法提供備份與恢復(fù)管理相關(guān)的安全管理制度，未明確系統(tǒng)和數(shù)據(jù)備份頻率和方式，則a)查驗(yàn)機(jī)房所在樓宇的驗(yàn)收?qǐng)?bào)告是否明確a)若無(wú)法提供機(jī)房所在建筑物樓宇的驗(yàn)收b)查驗(yàn)是否有來(lái)訪人員進(jìn)入機(jī)房的審批記錄，查驗(yàn)審批記錄是否包d)查驗(yàn)電子門禁系統(tǒng)是否能正常工作；是否正常工作，是否有運(yùn)行記錄、報(bào)警記錄、定期檢b)若機(jī)房?jī)?nèi)沒(méi)有設(shè)置對(duì)水敏感的檢測(cè)儀表或元件對(duì)），絕服務(wù)攻擊等，查看其規(guī)則庫(kù)是否為最新，并對(duì)發(fā)現(xiàn)的入侵e)查驗(yàn)邊界完整性檢查設(shè)備是否設(shè)置了對(duì)非法連接到外網(wǎng)和非法連接到內(nèi)網(wǎng)的行為進(jìn)行監(jiān)控并應(yīng)檢查網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用系統(tǒng)的身份鑒別措施、口令策略和強(qiáng)化默認(rèn)口令、空口令，設(shè)置少于8位且僅由數(shù)字或字母組成的口令，則7.2.3.2a）檢查結(jié)果為a)查驗(yàn)主要服務(wù)器操作系統(tǒng)和重要數(shù)據(jù)庫(kù)管理系統(tǒng)是否已禁用或a)操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)默認(rèn)賬戶名未重），），權(quán)書名稱；通過(guò)訪談了解是否成立信息安全管理工作的職能部門，并檢查安全主管的職責(zé)范錄和報(bào)告，核對(duì)記錄是否至少包括檢查時(shí)間、檢查人員、檢查對(duì)象、檢查結(jié)果，核對(duì)報(bào)告是安全工作的總體方針、抽查的安全策略文檔名稱、抽查的管理制度名稱、抽查的操作規(guī)程名評(píng)審人員和評(píng)審結(jié)論，修訂記錄是否至少包），應(yīng)檢查重要崗位人員勞動(dòng)合同、保密協(xié)議、人員培訓(xùn)、考核記錄、人員離崗管理制度和離崗姓名、調(diào)離崗位、調(diào)離時(shí)間、收回權(quán)限及物品、承諾的保密義務(wù)、核對(duì)人簽字、批準(zhǔn)人簽字記錄是否至少包括考核時(shí)間、考核對(duì)象、考核內(nèi)容、考核和培訓(xùn)記錄，核對(duì)培訓(xùn)記錄是否至少包括培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)應(yīng)檢查系統(tǒng)設(shè)計(jì)、系統(tǒng)開(kāi)發(fā)、系統(tǒng)實(shí)施、系統(tǒng)測(cè)評(píng)、系統(tǒng)驗(yàn)收、系統(tǒng)交付、系統(tǒng)運(yùn)維等生命等級(jí)保護(hù)備案表》、系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說(shuō)明、系統(tǒng)安全組織機(jī)構(gòu)和管理制度、系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案、系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明副本、信息系統(tǒng)安全保護(hù)等級(jí)專家評(píng)審意見(jiàn)、主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)的意有無(wú)代碼編寫安全規(guī)范；若為外包軟件開(kāi)發(fā)，查驗(yàn)軟件的惡意代碼檢測(cè)記錄和稱及數(shù)量、文檔名稱及數(shù)量等；查驗(yàn)系統(tǒng)交付后的培訓(xùn)記錄，核對(duì)培訓(xùn)記錄是否至少包括培測(cè)評(píng)機(jī)構(gòu)是否是《全國(guó)等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦目錄》查驗(yàn)工作人員離開(kāi)情況下終端計(jì)算機(jī)的狀態(tài)是否為鎖定狀態(tài)，桌面是否沒(méi)有包含敏感信息的少包括資產(chǎn)管理和使用的行為；核對(duì)是否對(duì)數(shù)據(jù)信息的分類與標(biāo)識(shí)方法作出規(guī)定，查閱信息用的管理規(guī)定；查驗(yàn)信息處理設(shè)備帶離機(jī)房或辦公地點(diǎn)的審批記錄；查驗(yàn)配套設(shè)施、軟硬件計(jì)等安全相關(guān)事項(xiàng)的集中監(jiān)控和管理；查驗(yàn)監(jiān)測(cè)與報(bào)警記錄與分存時(shí)間、口令更新周期等方面內(nèi)容；通過(guò)訪談了解是否定期對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞掃描，記錄嚴(yán)重級(jí)別和結(jié)果處理等方面，掃描時(shí)間間隔與掃描周期是統(tǒng)漏洞掃描報(bào)告，確認(rèn)掃描時(shí)間間隔與掃描周期是否一致；查驗(yàn)系統(tǒng)安全管理制度，內(nèi)容是否覆蓋系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面；通過(guò)訪談詢問(wèn)是否指定專門的部門或人員負(fù)責(zé)系統(tǒng)管理，詢問(wèn)是否對(duì)系統(tǒng)管理員用戶進(jìn)行分類，明確各個(gè)角色的權(quán)的升級(jí)情況，對(duì)截獲的危險(xiǎn)病毒或惡意代碼是否及時(shí)進(jìn)行分析處理，查驗(yàn)書面的報(bào)表和總結(jié)匯報(bào)；查驗(yàn)惡意代碼檢測(cè)記錄、惡意代碼庫(kù)升級(jí)記錄和分析報(bào)告，查驗(yàn)升級(jí)記錄是否記錄升級(jí)時(shí)間、升級(jí)版本等內(nèi)容，查驗(yàn)分析報(bào)告是否描述惡意代碼的特征、修補(bǔ)措施變更申報(bào)、審批程序，是否規(guī)定需要申報(bào)的變更類型、申報(bào)流程、審批部門、批準(zhǔn)人等方面b)若無(wú)法提供符合公安機(jī)關(guān)要求的定級(jí)備案材料，資料不完整，未獲得公安機(jī)關(guān)備案證明，則開(kāi)發(fā)，無(wú)法提供軟件的惡意代碼掃描記錄和檢測(cè)收應(yīng)至少包含應(yīng)用安全，網(wǎng)絡(luò)環(huán)境驗(yàn)收應(yīng)至少包含網(wǎng)絡(luò)安全等），或無(wú)測(cè)試報(bào)告結(jié)果的評(píng)審和分類方法、信息存儲(chǔ)和保存發(fā)放等；無(wú)法提供資產(chǎn)借出/收回記等安全相關(guān)事項(xiàng)的集中監(jiān)控和管理；未配置報(bào)警策略，未根據(jù)監(jiān)控和報(bào)警情況進(jìn)行匯報(bào)和處流程等方面；無(wú)法提供定期對(duì)服務(wù)器進(jìn)行漏洞掃描的報(bào)告，未指定專人負(fù)責(zé)系統(tǒng)的運(yùn)維，則病毒庫(kù)不是最新；或?qū)阂獯a事件未及時(shí)變更流程，沒(méi)有變更審批、過(guò)程記錄和通報(bào)記據(jù)備份頻率和方式，或數(shù)據(jù)備份頻率和方式不能夠滿足RTO和RPO目標(biāo)值；未定期進(jìn)行數(shù)據(jù)恢應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容；或未定期開(kāi)展應(yīng)急預(yù)案培訓(xùn)和演練a)查驗(yàn)機(jī)房所在樓宇的驗(yàn)收?qǐng)?bào)告是否明確a)若無(wú)法提供機(jī)房所在建筑物樓宇的驗(yàn)收是否正常工作，是否有運(yùn)行記錄、報(bào)警記錄、定期檢過(guò)機(jī)房滅火設(shè)備的使用培訓(xùn)，是否能夠正確使用滅火設(shè)備和自動(dòng)消防系統(tǒng)；是否能夠做到隨動(dòng)消防系統(tǒng)的設(shè)計(jì)或驗(yàn)收文檔，文檔是否與現(xiàn)有消防配置狀況一致；查驗(yàn)是否有機(jī)房及相關(guān)或并行的電力電纜線路以及備用供電系統(tǒng)等要求；查驗(yàn)與機(jī)房電力供應(yīng)實(shí)際情m)若機(jī)房?jī)?nèi)沒(méi)有設(shè)置短期備用電源設(shè)備（如UPS）或備用供電系統(tǒng)，電力換時(shí)不能夠?qū)τ?jì)算機(jī)系統(tǒng)正常供電，或備用供電系統(tǒng)不能夠在規(guī)定時(shí)間內(nèi)正常啟動(dòng)和正常供），絕服務(wù)攻擊等，查看其規(guī)則庫(kù)是否為最新，并對(duì)發(fā)現(xiàn)的入侵e)查驗(yàn)邊界完整性檢查設(shè)備是否設(shè)置了對(duì)非法連接到外網(wǎng)和非法連接到內(nèi)網(wǎng)的行為進(jìn)行監(jiān)控并應(yīng)檢查網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用系統(tǒng)的身份鑒別措施、口令策略和強(qiáng)化默認(rèn)口令、空口令，設(shè)置少于8位且僅由數(shù)字或字母組成的口令，則8.2.3.2a）檢查結(jié)果為a)查驗(yàn)主要服務(wù)器操作系統(tǒng)和重要數(shù)據(jù)庫(kù)管理系統(tǒng)是否已禁用或數(shù)據(jù)庫(kù)表、記錄和字段級(jí)；以不同權(quán)限的用戶登錄應(yīng)用系統(tǒng)，查看其擁有的權(quán)限是否與系統(tǒng)a)操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)默認(rèn)賬戶名未重），現(xiàn)了對(duì)審計(jì)記錄的保護(hù)，日志信息是否至少保），權(quán)書名稱；通過(guò)訪談了解是否成立信息安全管理工作的職能部門，并檢查安全主管的職責(zé)范和安全檢查報(bào)告，核對(duì)記錄是否至少包括檢查時(shí)間、檢查人員、檢查對(duì)象、檢查結(jié)果，核對(duì)安全工作的總體方針、抽查的安全策略文檔名稱、抽查的管理制度名稱、抽查的操作規(guī)程名本號(hào)；若制定了帶有密級(jí)的安全管理制度，詢問(wèn)并記錄安全管理制評(píng)審人員和評(píng)審結(jié)論，修訂記錄是否至少包括修訂時(shí)間、修訂內(nèi)容、修訂人等信息；查驗(yàn)不），應(yīng)檢查重要崗位人員勞動(dòng)合同、保密協(xié)議、人員培訓(xùn)、考核記錄、人員離崗管理制度、離崗姓名、調(diào)離崗位、調(diào)離時(shí)間、收回權(quán)限及物品、承諾的保密義務(wù)、核對(duì)人簽字、批準(zhǔn)人簽字記錄是否至少包括考核時(shí)間、考核對(duì)象、考核內(nèi)容、考核結(jié)果等；檢查保密制度，記錄保密和培訓(xùn)記錄，核對(duì)培訓(xùn)記錄是否至少包括培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)應(yīng)檢查系統(tǒng)設(shè)計(jì)、系統(tǒng)開(kāi)發(fā)、系統(tǒng)實(shí)施、系統(tǒng)測(cè)評(píng)、系統(tǒng)驗(yàn)收、系統(tǒng)交付、系統(tǒng)運(yùn)維等生命安全等級(jí)保護(hù)備案表》、系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說(shuō)明、系統(tǒng)安全組織機(jī)構(gòu)和管理制度、系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案、系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明副本、信息系統(tǒng)安全保護(hù)等級(jí)專家評(píng)審意見(jiàn)、主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)的意見(jiàn)；查驗(yàn)重要部位的產(chǎn)品是否委托專業(yè)測(cè)評(píng)單位進(jìn)行專項(xiàng)測(cè)試，抽查測(cè)試有無(wú)代碼編寫安全規(guī)范；查驗(yàn)開(kāi)發(fā)人員是否為專職，記錄開(kāi)發(fā)活動(dòng)受到控制、監(jiān)視和審查的措施；若為外包軟件開(kāi)發(fā)，請(qǐng)被檢查機(jī)構(gòu)的配合人員提供軟件的惡意代碼檢測(cè)記錄稱及數(shù)量、文檔名稱及數(shù)量等；查驗(yàn)系統(tǒng)交付后的培訓(xùn)記錄，核對(duì)培訓(xùn)記錄是否至少包括培測(cè)評(píng)機(jī)構(gòu)資質(zhì)是否是《全國(guó)等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦目錄》查驗(yàn)工作人員離開(kāi)情況下終端計(jì)算機(jī)的狀態(tài)是否為鎖定狀態(tài)，桌面是否沒(méi)有包含敏感信息的少包括資產(chǎn)管理和使用的行為；核對(duì)是否對(duì)數(shù)據(jù)信息的分類與標(biāo)識(shí)方法作出規(guī)定，查閱信息用的管理規(guī)定；查驗(yàn)信息處理設(shè)備帶離機(jī)房或辦公地點(diǎn)的審批記錄；查驗(yàn)配套設(shè)施、軟硬件計(jì)等安全相關(guān)事項(xiàng)的集中監(jiān)控和管理；查驗(yàn)監(jiān)測(cè)與報(bào)警記錄與分存時(shí)間、口令更新周期等方面內(nèi)容；通過(guò)訪談了解是否定期對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞掃描，記錄嚴(yán)重級(jí)別和結(jié)果處理等方面，掃描時(shí)間間隔與掃描周期是否一致；查驗(yàn)是否明確禁止便攜式統(tǒng)漏洞掃描報(bào)告，掃描時(shí)間間隔與掃描周期是否一致；查驗(yàn)系統(tǒng)安全管理制度，內(nèi)容是否覆蓋系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面；通過(guò)訪談詢問(wèn)是否指定專門的部門或人員負(fù)責(zé)系統(tǒng)管理，詢問(wèn)是否對(duì)系統(tǒng)管理員用戶進(jìn)行分類，明確各個(gè)角色的權(quán)限、的升級(jí)情況，對(duì)截獲的危險(xiǎn)病毒或惡意代碼是否及時(shí)進(jìn)行分析處理，查驗(yàn)書面的報(bào)表和總結(jié)匯報(bào)；查驗(yàn)惡意代碼檢測(cè)