信息安全技術(shù)重要信息基礎(chǔ)設(shè)施安全保護(hù)與評(píng)估要求

ICS35.240CCSL70DB11DB11/XXXXX—2024Informationsecuritytechnology-CybersecurityprotectionandassessmentrequirementforImportantinformationinfrastructure（征求意見(jiàn)稿）XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施北京市市場(chǎng)監(jiān)督管理局發(fā)布IDB11/XXXXX—20XX前言 II 1 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14縮略語(yǔ) 1 25.1安全通信網(wǎng)絡(luò) 25.2安全區(qū)域邊界 25.3安全計(jì)算環(huán)境 25.4安全管理中心 25.5安全管理制度 25.6安全組織機(jī)構(gòu) 35.7安全管理人員 35.8安全數(shù)據(jù) 35.9供應(yīng)鏈安全管理 3 36安全保護(hù)要求 36.1網(wǎng)絡(luò)安全等級(jí)保護(hù) 36.2安全通信網(wǎng)絡(luò) 36.3安全區(qū)域邊界 36.4安全計(jì)算環(huán)境 36.5安全管理中心 46.6安全數(shù)據(jù) 46.7安全管理制度 56.8安全組織機(jī)構(gòu) 66.9安全管理人員 66.10供應(yīng)鏈安全管理 6 77安全評(píng)估要求 87.1安全評(píng)估方法 87.2安全評(píng)估要求 97.3安全評(píng)估結(jié)論 參考文獻(xiàn) IIDB11/XXXXX—20XX本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件由北京市公安局、北京市網(wǎng)信辦共同提出并歸口。本文件由北京市公安局、北京市網(wǎng)信辦共同組織實(shí)施。本文件起草單位：XXXX本文件主要起草人：XXXX1DB11/XXXXX—20XX《網(wǎng)絡(luò)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》的出臺(tái)，極大地推動(dòng)了我國(guó)網(wǎng)絡(luò)安全保護(hù)工作的發(fā)展，北京市作為首都所在城市，立足全國(guó)政治中心、文化中心、國(guó)際交往中心、科技創(chuàng)新中心“四個(gè)中心”的核心功能定位，部分重要信息系統(tǒng)一旦發(fā)生嚴(yán)重網(wǎng)絡(luò)安全事件可能引發(fā)全球關(guān)注，故北京市建立實(shí)施重要信息基礎(chǔ)設(shè)施安全保護(hù)制度。本標(biāo)準(zhǔn)作為北京市重要信息基礎(chǔ)設(shè)施安全保護(hù)制度需配套技術(shù)性標(biāo)準(zhǔn)規(guī)范，針對(duì)北京市的重要信息基礎(chǔ)設(shè)施，在等級(jí)保護(hù)基本要求的基礎(chǔ)上，提出增強(qiáng)型和補(bǔ)充型的安全要求，加強(qiáng)安全保障措施，提高重要信息基礎(chǔ)設(shè)施的攻防實(shí)戰(zhàn)能力。1DB11/XXXXX—20XX重要信息基礎(chǔ)設(shè)施安全保護(hù)與評(píng)估要求1范圍本文件規(guī)定了重要信息基礎(chǔ)設(shè)施在《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T22239—2019)基礎(chǔ)上的增強(qiáng)型安全保護(hù)要求，以及評(píng)估要求，包括安全評(píng)估方法、安全評(píng)估要求、安全評(píng)估結(jié)論。本文件適用于重要信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者開(kāi)展全生存周期安全保護(hù)，同時(shí)指導(dǎo)測(cè)評(píng)機(jī)構(gòu)、監(jiān)督指導(dǎo)部門開(kāi)展重要信息基礎(chǔ)設(shè)施的檢測(cè)評(píng)估工作。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T30285信息安全技術(shù)災(zāi)難恢復(fù)中心建設(shè)與運(yùn)維管理規(guī)范GB/T31506—2022信息安全技術(shù)政務(wù)網(wǎng)站系統(tǒng)安全指南GB/T35273—2020信息安全技GB/T37046信息安全技術(shù)災(zāi)難恢復(fù)能力評(píng)估準(zhǔn)則3術(shù)語(yǔ)和定義GB/T25069-2022中界定的以及下列術(shù)語(yǔ)和定義適用于本文件。依據(jù)相關(guān)政策、程序認(rèn)定的，在公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能危害國(guó)家安全、國(guó)計(jì)民生、公共利益的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。CPC：網(wǎng)絡(luò)安全等級(jí)保護(hù)（ClassifiedProtectionofCybersecurity）CNS：安全通信網(wǎng)絡(luò)（CommunicationNetworkSecurity）ABS：安全區(qū)域邊界（AreaBoundarySecurity）SES：安全計(jì)算環(huán)境（SecurityEquipmentSystem）SMC：安全管理中心（SecurityManagementCenter）2DB11/XXXXX—20XXPSS：安全管理制度（PolicyandSystemSecurity）ORS：安全管理機(jī)構(gòu)（OrganizationandResourceSecurity）HRS：安全管理人員（HumanResourceSecurity）SCS：供應(yīng)鏈安全管理（SupplyChainSecurity）AI：資產(chǎn)識(shí)別（AssetIdentification）IA：檢測(cè)評(píng)估（InspectionAssessment）MW：監(jiān)測(cè)預(yù)警（MonitoringandWarning）IH：事件處置（IncidentHandling）ED：應(yīng)急演練（EmergencyDrill）DCS：安全數(shù)據(jù)采集（DataCollectionSecurity）DTS：安全數(shù)據(jù)傳輸（DataTransmissionSecurity）DSS：安全數(shù)據(jù)存儲(chǔ)（DataStorageSecurity）DPS：安全數(shù)據(jù)處理（DataProcessingSecurity）DES：安全數(shù)據(jù)交換（DataExchangeSecurity）DDS：安全數(shù)據(jù)銷毀（DataDestructionSecurity）DMZ：非軍事化區(qū)（DemilitarizedZone）5概述在滿足網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)要求的基礎(chǔ)上，由安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全數(shù)據(jù)、安全管理制度、安全組織機(jī)構(gòu)、安全管理人員、供應(yīng)鏈安全管理和安全運(yùn)營(yíng)等部分提出安全要求。5.2安全通信網(wǎng)絡(luò)在（GB/T22239-2019）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》的基礎(chǔ)上，對(duì)通信網(wǎng)絡(luò)的保密性、完整性和可用性提出更高的和補(bǔ)充的安全要求。5.3安全區(qū)域邊界在（GB/T22239-2019）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》的基礎(chǔ)上，為防止入侵行為和非法訪問(wèn)，對(duì)內(nèi)外網(wǎng)絡(luò)區(qū)域的邊界處提出更高的和補(bǔ)充的安全要求。5.4安全計(jì)算環(huán)境在（GB/T22239-2019）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》的基礎(chǔ)上，為防止操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和應(yīng)用程序的安全，對(duì)重要信息基礎(chǔ)設(shè)施提出更高的和補(bǔ)充的安全要求。5.5安全管理中心在（GB/T22239-2019）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》的基礎(chǔ)上，為實(shí)現(xiàn)對(duì)重要信息基礎(chǔ)設(shè)施進(jìn)行集中管控，提出更高的和補(bǔ)充的安全要求。5.6安全管理制度在（GB/T22239-2019）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》的基礎(chǔ)上，為規(guī)范和指導(dǎo)3DB11/XXXXX—20XX重要信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全工作，對(duì)網(wǎng)絡(luò)安全相關(guān)管理制度提出更高的和補(bǔ)充的安全要求。5.7安全組織機(jī)構(gòu)在（GB/T22239-2019）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》的基礎(chǔ)上，對(duì)重要信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全工作組織機(jī)構(gòu)提出更高的和補(bǔ)充的安全要求。5.8安全管理人員在（GB/T22239-2019）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》的基礎(chǔ)上，對(duì)重要信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全相關(guān)人員管理內(nèi)容提出更高的和補(bǔ)充的安全要求。5.9安全數(shù)據(jù)在（GB/T22239-2019）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》的基礎(chǔ)上，對(duì)重要信息基礎(chǔ)設(shè)施承載的重要數(shù)據(jù)全生命周期安全提出要求，包括數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全和數(shù)據(jù)銷毀安全。5.10供應(yīng)鏈安全管理在（GB/T22239-2019）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》的基礎(chǔ)上，提出重要信息基礎(chǔ)設(shè)施供應(yīng)鏈管理過(guò)程中的安全要求。5.11安全運(yùn)營(yíng)在（GB/T22239-2019）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》的基礎(chǔ)上，提出各類安全運(yùn)營(yíng)活動(dòng)的要求，包括資產(chǎn)識(shí)別、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、事件處置和應(yīng)急演練。6安全保護(hù)要求6.1網(wǎng)絡(luò)安全等級(jí)保護(hù)網(wǎng)絡(luò)安全等級(jí)保護(hù)應(yīng)落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作，且不低于網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)基本要求。6.2安全通信網(wǎng)絡(luò)安全通信網(wǎng)絡(luò)宜采用至少兩條不同運(yùn)營(yíng)商的通信線路，以確保通信線路連接的高可用性，并能實(shí)現(xiàn)通信線路的故障實(shí)時(shí)檢測(cè)和鏈路自動(dòng)切換。6.3安全區(qū)域邊界安全區(qū)域邊界要符合以下要求：a)應(yīng)在每個(gè)網(wǎng)絡(luò)區(qū)域間采取網(wǎng)絡(luò)隔離措施，防止網(wǎng)絡(luò)內(nèi)部的攻擊橫向移動(dòng)；b)應(yīng)禁止將數(shù)據(jù)庫(kù)服務(wù)器部署在互聯(lián)網(wǎng)用戶直接訪問(wèn)的網(wǎng)絡(luò)區(qū)域；c)應(yīng)對(duì)跨網(wǎng)絡(luò)區(qū)域邊界的網(wǎng)絡(luò)通信采取安全保護(hù)措施，保證跨網(wǎng)絡(luò)區(qū)域通信雙方的身份真實(shí)性，授予最小訪問(wèn)控制權(quán)限。6.4安全計(jì)算環(huán)境安全計(jì)算環(huán)境要符合以下要求：a)宜采用信創(chuàng)設(shè)備；4DB11/XXXXX—20XXb)設(shè)備使用一定期限后，如無(wú)法滿足業(yè)務(wù)或安全需求，宜進(jìn)行更換或升級(jí)；c)應(yīng)實(shí)現(xiàn)服務(wù)器操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)系統(tǒng)用戶的權(quán)限分離；d)應(yīng)采用密碼技術(shù)保證數(shù)據(jù)庫(kù)口令在配置文件中的保密性；e)應(yīng)授予API接口所需數(shù)據(jù)庫(kù)訪問(wèn)的最小權(quán)限；f)應(yīng)對(duì)數(shù)據(jù)庫(kù)實(shí)例和中間件控制臺(tái)進(jìn)行遠(yuǎn)程管理的終端進(jìn)行網(wǎng)絡(luò)地址限制；g)應(yīng)用系統(tǒng)應(yīng)強(qiáng)制要求用戶修改默認(rèn)口令；h)應(yīng)利用防偽技術(shù)等保證政務(wù)類網(wǎng)站標(biāo)識(shí)不被惡意篡改；i)應(yīng)利用網(wǎng)頁(yè)防篡改系統(tǒng)、人工自檢或第三方安全服務(wù)等方式實(shí)時(shí)探測(cè)網(wǎng)站內(nèi)容，及時(shí)發(fā)現(xiàn)黑頁(yè)、暗鏈、頁(yè)面篡改等行為；j)政務(wù)類web系統(tǒng)采用Web應(yīng)用、APP程序或公眾號(hào)等形式發(fā)布內(nèi)容時(shí)，應(yīng)具有內(nèi)容發(fā)布、撤銷、推送、轉(zhuǎn)載、鏈接的審核功能，且網(wǎng)站內(nèi)容編輯與審核發(fā)布權(quán)限分離；k)對(duì)高可用要求的信息系統(tǒng)，宜具有GB/T37046四級(jí)及以上災(zāi)難恢復(fù)服務(wù)能力；l)應(yīng)限制政務(wù)網(wǎng)站系統(tǒng)內(nèi)容管理平臺(tái)的遠(yuǎn)程登錄方式或登錄地址；m)應(yīng)能夠有效屏蔽系統(tǒng)技術(shù)錯(cuò)誤信息，不得將系統(tǒng)產(chǎn)生的錯(cuò)誤信息直接或間接反饋到前臺(tái)界面；n)互聯(lián)網(wǎng)政務(wù)應(yīng)用應(yīng)使用安全連接方式訪問(wèn)，涉及的電子認(rèn)證服務(wù)應(yīng)由依法設(shè)立的電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)提供。6.5安全管理中心安全管理中心要符合以下要求：a)應(yīng)對(duì)重要設(shè)備運(yùn)行狀態(tài)進(jìn)行集中監(jiān)測(cè)和集中分析，對(duì)于政務(wù)網(wǎng)站系統(tǒng)按照GB/T31506—20226.6.4a）安全監(jiān)測(cè)相關(guān)的要求進(jìn)行web類系統(tǒng)安全監(jiān)測(cè)；b)宜能夠?qū)γ總€(gè)網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)流量進(jìn)行安全監(jiān)測(cè)，通過(guò)分析網(wǎng)絡(luò)流量模式，實(shí)現(xiàn)對(duì)異常行為的報(bào)警；c)宜對(duì)網(wǎng)絡(luò)攻擊事件進(jìn)行溯源分析，實(shí)現(xiàn)IP地址和端口定位，并能夠進(jìn)行及時(shí)封堵；d)應(yīng)具有整體態(tài)勢(shì)感知能力，可實(shí)現(xiàn)對(duì)系統(tǒng)日志和安全設(shè)備報(bào)警記錄綜合分析，互聯(lián)網(wǎng)政務(wù)系統(tǒng)的日志保存時(shí)間不小于1年；e)對(duì)于向互聯(lián)網(wǎng)提供服務(wù)的信息系統(tǒng)，應(yīng)定期開(kāi)展互聯(lián)網(wǎng)暴露面檢測(cè)與優(yōu)化，并對(duì)互聯(lián)網(wǎng)邊界與核心流量進(jìn)行集中監(jiān)測(cè)與分析；f)宜采用自動(dòng)化探測(cè)工具，持續(xù)進(jìn)行網(wǎng)絡(luò)中軟硬件資產(chǎn)發(fā)現(xiàn)，并能對(duì)異常軟硬件資產(chǎn)信息進(jìn)行告警。6.6安全數(shù)據(jù)6.6.1安全數(shù)據(jù)采集安全數(shù)據(jù)采集要符合以下要求：a)應(yīng)遵循最小夠用原則，僅采集必要的數(shù)據(jù)，明確所需采集的數(shù)據(jù)，包括確定要收集的數(shù)據(jù)類型、數(shù)據(jù)字段、數(shù)據(jù)量和數(shù)據(jù)頻率等；b)應(yīng)對(duì)產(chǎn)生數(shù)據(jù)的數(shù)據(jù)源進(jìn)行身份鑒別和記錄，保證數(shù)據(jù)源的真實(shí)性；c)應(yīng)對(duì)采集端API接口獲取數(shù)據(jù)的權(quán)限進(jìn)行嚴(yán)格控制；的收集要求。6.6.2安全數(shù)據(jù)傳輸5DB11/XXXXX—20XX安全數(shù)據(jù)傳輸要符合以下要求：根據(jù)組織內(nèi)部和外部的數(shù)據(jù)傳輸安全要求，應(yīng)采用適當(dāng)技術(shù)措施保證重要數(shù)據(jù)傳輸過(guò)程中的保密性和完整性。6.6.3安全數(shù)據(jù)存儲(chǔ)安全數(shù)據(jù)存儲(chǔ)要符合以下要求：a)應(yīng)提供有效的技術(shù)和管理手段，防止對(duì)介質(zhì)的使用不當(dāng)而可能引起的數(shù)據(jù)泄露風(fēng)險(xiǎn)，存儲(chǔ)介質(zhì)包括終端設(shè)備和網(wǎng)絡(luò)存儲(chǔ)等；b)應(yīng)根據(jù)組織內(nèi)部和外部的數(shù)據(jù)存儲(chǔ)安全要求，采用適當(dāng)技術(shù)措施保證重要數(shù)據(jù)存儲(chǔ)過(guò)程中的保密性和完整性；c)應(yīng)滿足個(gè)人信息存儲(chǔ)依據(jù)GB/T35273—2020中6.1、6.2、6.3、6求。6.6.4安全數(shù)據(jù)處理安全數(shù)據(jù)處理要符合以下要求：a)應(yīng)給出敏感數(shù)據(jù)的脫敏需求和規(guī)則，對(duì)敏感數(shù)據(jù)進(jìn)行脫敏處理，保證數(shù)據(jù)可用性和安全性的平衡；b)應(yīng)對(duì)數(shù)據(jù)導(dǎo)入導(dǎo)出過(guò)程中的數(shù)據(jù)安全性進(jìn)行管理，防止數(shù)據(jù)導(dǎo)入導(dǎo)出過(guò)程中對(duì)數(shù)據(jù)自身可用性和完整性構(gòu)成危害，降低可能存在的數(shù)據(jù)泄露風(fēng)險(xiǎn)；6.6.5安全數(shù)據(jù)交換安全數(shù)據(jù)交換要符合以下要求：a)應(yīng)采取雙向身份鑒別、訪問(wèn)控制、接口輸入限制等技術(shù)措施保證數(shù)據(jù)在接口調(diào)用過(guò)程中的安全；6.6.6安全數(shù)據(jù)銷毀安全數(shù)據(jù)銷毀要符合以下要求：a)應(yīng)建立數(shù)據(jù)的刪除、凈化機(jī)制，實(shí)現(xiàn)對(duì)數(shù)據(jù)的有效銷毀，防止因?qū)Υ鎯?chǔ)媒體中的數(shù)據(jù)進(jìn)行恢復(fù)而導(dǎo)致的數(shù)據(jù)泄露風(fēng)險(xiǎn)；b)應(yīng)建立對(duì)存儲(chǔ)媒體安全銷毀的規(guī)程，并采用必要技術(shù)手段，防止因存儲(chǔ)媒體丟失、被竊或未授權(quán)的訪問(wèn)而導(dǎo)致存儲(chǔ)媒體中的數(shù)據(jù)泄漏的安全風(fēng)險(xiǎn)。6.7安全管理制度安全管理制度要符合以下要求：a)應(yīng)在等級(jí)保護(hù)第三級(jí)安全要求的基礎(chǔ)上，增加安全管理要求，包括但不限于：風(fēng)險(xiǎn)管理要求、業(yè)務(wù)連續(xù)性管理和容災(zāi)備份要求、供應(yīng)鏈安全管理要求、網(wǎng)絡(luò)安全與信息化同步建設(shè)要求等；b)應(yīng)明確安全管理策略，安全策略包括但不限于：安全互聯(lián)策略、安全審計(jì)策略、身份管理策略、入侵防范策略、數(shù)據(jù)安全防護(hù)策略、供應(yīng)鏈安全管理策略、安全運(yùn)維策略等；c)應(yīng)建立重要數(shù)據(jù)安全保護(hù)策略，明確重要數(shù)據(jù)和個(gè)人信息在收集、存儲(chǔ)、使用、加工、傳輸和銷毀等關(guān)鍵環(huán)節(jié)的安全保護(hù)措施。6DB11/XXXXX—20XX6.8安全組織機(jī)構(gòu)安全組織機(jī)構(gòu)要符合以下要求：a)應(yīng)明確網(wǎng)絡(luò)安全工作委員會(huì)或領(lǐng)導(dǎo)小組對(duì)重要信息基礎(chǔ)設(shè)施的安全職責(zé)，由組織主要負(fù)責(zé)人分管重要信息基礎(chǔ)設(shè)施的安全保護(hù)工作；b)應(yīng)明確重要信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全管理工作的安全管理機(jī)構(gòu)；c)應(yīng)建立并實(shí)施網(wǎng)絡(luò)安全考核及監(jiān)督問(wèn)責(zé)機(jī)制；d)應(yīng)為每個(gè)重要信息基礎(chǔ)設(shè)施明確一名安全管理責(zé)任人，并明確其安全管理職責(zé)；e)應(yīng)保證重要信息基礎(chǔ)設(shè)施的安全管理責(zé)任人能夠參與其信息化項(xiàng)目立項(xiàng)、方案設(shè)計(jì)、方案評(píng)審和項(xiàng)目驗(yàn)收等環(huán)節(jié)的決策；f)應(yīng)明確云平臺(tái)各相關(guān)主體的安全責(zé)任；g)機(jī)關(guān)事業(yè)單位的操作系統(tǒng)、數(shù)據(jù)庫(kù)和機(jī)房等最高管理員權(quán)限應(yīng)由本單位在編人員專人負(fù)責(zé)，不應(yīng)擅自委托外包單位人員管理使用；h)網(wǎng)絡(luò)安全投入比例宜達(dá)到信息化投入的10%以上。6.9安全管理人員安全管理人員要符合以下要求：a)如發(fā)生以下情形之一，應(yīng)對(duì)安全管理機(jī)構(gòu)的負(fù)責(zé)人和關(guān)鍵崗位人員實(shí)施背景審查，確保審查通過(guò)才可從事相關(guān)崗位工作，包括：2)相關(guān)人員的身份、國(guó)籍、安全背景和家庭情況等發(fā)生變化時(shí)；3)崗位發(fā)生重大變化或其他必要情況下；b)應(yīng)為重要信息基礎(chǔ)設(shè)施相關(guān)人員（包括合同商、用戶等）提供安全意識(shí)教育和安全技能培訓(xùn)，為關(guān)鍵崗位人員提供基于崗位的專業(yè)安全技能培訓(xùn)，每人每年教育培訓(xùn)時(shí)長(zhǎng)不得少于20個(gè)學(xué)時(shí)。教育培訓(xùn)內(nèi)容包括網(wǎng)絡(luò)安全相關(guān)法律法規(guī)、政策標(biāo)準(zhǔn)，以及網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)安全管理等；c)應(yīng)明確重要信息基礎(chǔ)設(shè)施相關(guān)人員安全保密職責(zé)和義務(wù)，包括安全職責(zé)、獎(jiǎng)懲機(jī)制、離崗后的脫密期限等，并簽訂安全保密協(xié)議。6.10供應(yīng)鏈安全管理供應(yīng)鏈安全管理要符合以下要求：a)應(yīng)建立供應(yīng)鏈安全管理要求，明確供應(yīng)方的責(zé)任、供應(yīng)鏈相關(guān)部門的責(zé)任、供應(yīng)活動(dòng)管理、供應(yīng)商檢查和考核要求等；b)應(yīng)形成年度采購(gòu)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)清單，加強(qiáng)網(wǎng)絡(luò)安全專用產(chǎn)品安全管理，要求其通過(guò)安全檢測(cè)或安全認(rèn)證；c)應(yīng)建立供應(yīng)鏈產(chǎn)品風(fēng)險(xiǎn)管理機(jī)制，對(duì)供應(yīng)鏈產(chǎn)品進(jìn)行風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估，并采取風(fēng)險(xiǎn)應(yīng)對(duì)措施，應(yīng)建立有效的風(fēng)險(xiǎn)監(jiān)控機(jī)制，定期檢查和評(píng)估供應(yīng)鏈產(chǎn)品的風(fēng)險(xiǎn)狀況；d)采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)，在合同中應(yīng)明確供應(yīng)鏈廠商的安全責(zé)任和義務(wù)，要求供應(yīng)鏈廠商對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)的設(shè)計(jì)、研發(fā)、生產(chǎn)和交付等關(guān)鍵環(huán)節(jié)加強(qiáng)安全管理，要求提供者聲明不非法獲取用戶數(shù)據(jù)、控制和操縱用戶的系統(tǒng)和設(shè)備，或利用用戶對(duì)產(chǎn)品的依賴性謀取不正當(dāng)利益或者迫使用戶更新?lián)Q代；e)應(yīng)與網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者簽訂安全保密協(xié)議，協(xié)議內(nèi)容包括安全職責(zé)、保密內(nèi)容、獎(jiǎng)懲機(jī)制和有效期等，明確整個(gè)服務(wù)供應(yīng)鏈各方需履行的網(wǎng)絡(luò)安全相關(guān)義務(wù)；7DB11/XXXXX—20XXf)黨政機(jī)關(guān)的互聯(lián)網(wǎng)政務(wù)系統(tǒng)應(yīng)部署在通過(guò)國(guó)家云計(jì)算服務(wù)安全評(píng)估的云平臺(tái)上，并加強(qiáng)對(duì)所采購(gòu)云計(jì)算服務(wù)的使用管理。6.11安全運(yùn)營(yíng)資產(chǎn)識(shí)別要符合以下要求：a)應(yīng)識(shí)別重要信息基礎(chǔ)設(shè)施的資產(chǎn)，范圍包括組織自有網(wǎng)絡(luò)的資產(chǎn)、部署在非自有網(wǎng)絡(luò)上的資產(chǎn)等；b)應(yīng)建立資產(chǎn)信息清單，資產(chǎn)信息包括資產(chǎn)名稱、資產(chǎn)類別、用途、數(shù)量、所處位置、資產(chǎn)責(zé)任人、資產(chǎn)防護(hù)優(yōu)先級(jí)等參數(shù)；c)應(yīng)對(duì)資產(chǎn)進(jìn)行分類，并明確資產(chǎn)重要性；d)應(yīng)依據(jù)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)，識(shí)別重要數(shù)據(jù)和核心數(shù)據(jù)，在對(duì)重點(diǎn)人群的敏感個(gè)人信息進(jìn)行級(jí)別確定時(shí)，應(yīng)充分考慮如泄露對(duì)國(guó)家造成的影響。6.11.2檢測(cè)評(píng)估檢測(cè)評(píng)估要符合以下要求：a)應(yīng)提出重要信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估工作要求，明確檢測(cè)評(píng)估工作流程、方式方法、周期、人員組織和資金保障等內(nèi)容；b)應(yīng)自行或者委托國(guó)家或行業(yè)認(rèn)可的網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次全面的檢測(cè)評(píng)估。選擇網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)時(shí)宜綜合考慮其專業(yè)資質(zhì)、評(píng)估經(jīng)驗(yàn)、行業(yè)背景、安全可控程度等因素；c)新建的重要信息基礎(chǔ)設(shè)施應(yīng)開(kāi)展檢測(cè)評(píng)估工作，通過(guò)后方可投入運(yùn)行；改建或擴(kuò)建的重要信息基礎(chǔ)設(shè)施發(fā)生重大變化時(shí)，應(yīng)重新開(kāi)展檢測(cè)評(píng)估工作并及時(shí)對(duì)發(fā)現(xiàn)的問(wèn)題進(jìn)行整改；d)應(yīng)建立常規(guī)安全檢測(cè)評(píng)估與全面安全檢測(cè)評(píng)估機(jī)制。常規(guī)安全檢測(cè)評(píng)估內(nèi)容包括但不限于日常運(yùn)行情況分析、安全漏洞發(fā)現(xiàn)、數(shù)據(jù)備份核查和重要文件完整性等，全面安全檢測(cè)評(píng)估內(nèi)容包括但不限于安全技術(shù)措施的有效性、安全管理制度落地情況、對(duì)前次檢測(cè)評(píng)估發(fā)現(xiàn)問(wèn)題的整改情況、抵御滲透攻擊能力和監(jiān)測(cè)預(yù)警能力等。監(jiān)測(cè)預(yù)警要符合以下要求：a)應(yīng)依據(jù)常態(tài)化監(jiān)測(cè)預(yù)警需求，制定監(jiān)測(cè)預(yù)警和信息通報(bào)制度，確定網(wǎng)絡(luò)安全預(yù)警分級(jí)準(zhǔn)則,明確監(jiān)測(cè)策略、監(jiān)測(cè)內(nèi)容和預(yù)警流程；b)應(yīng)關(guān)注國(guó)內(nèi)外及行業(yè)相關(guān)安全事件、安全漏洞和安全發(fā)展趨勢(shì),并對(duì)涉及系統(tǒng)安全性進(jìn)行研判分析，必要時(shí)發(fā)出預(yù)警；c)應(yīng)建立預(yù)警信息報(bào)告和響應(yīng)處置程序，明確不同級(jí)別預(yù)警的報(bào)告、響應(yīng)和處置流程；d)應(yīng)建立網(wǎng)絡(luò)安全信息共享機(jī)制，網(wǎng)絡(luò)安全共享信息內(nèi)容包括漏洞信息、威脅信息、最佳實(shí)踐和前沿技術(shù)等；e)宜持續(xù)獲取預(yù)警發(fā)布機(jī)構(gòu)的安全預(yù)警信息，分析、研判事件或威脅對(duì)自身網(wǎng)絡(luò)安全保護(hù)對(duì)象可能造成損害的程度，必要時(shí)啟動(dòng)急預(yù)案，并將獲取的安全預(yù)警信息按照規(guī)定通報(bào)給相關(guān)人員和相關(guān)部門。8DB11/XXXXX—20XX事件處置要符合以下要求：a)應(yīng)組織建立專門的網(wǎng)絡(luò)安全事件處置隊(duì)伍，為網(wǎng)絡(luò)安全事件處置提供人力資源和技術(shù)支撐；b)當(dāng)發(fā)生有可能危害業(yè)務(wù)的安全事件時(shí),應(yīng)及時(shí)向安全管理機(jī)構(gòu)報(bào)告，并組織研判，形成安全事件報(bào)告；c)應(yīng)及時(shí)將可能危害業(yè)務(wù)的安全事件通報(bào)到可能受影響的內(nèi)部部門和人員，并按照規(guī)定向供應(yīng)鏈涉及的、與事件相關(guān)的其他組織通報(bào)安全事件；d)宜按照先應(yīng)急處置、后調(diào)查評(píng)估的原則，在事件發(fā)生后盡快收集證據(jù)，按要求進(jìn)行網(wǎng)絡(luò)安全取證分析,并確保所有涉及的響應(yīng)活動(dòng)被適當(dāng)記錄,便于日后分析；e)在事件處理完成后，應(yīng)形成完整的事件處理報(bào)告，事件處理報(bào)告內(nèi)容包括：不同部門對(duì)事件的處理記錄、對(duì)事件的取證、評(píng)估事件細(xì)節(jié)、事件處理過(guò)程和經(jīng)驗(yàn)總結(jié)；f)在恢復(fù)業(yè)務(wù)和信息系統(tǒng)后,應(yīng)對(duì)業(yè)務(wù)和信息系統(tǒng)恢復(fù)情況進(jìn)行評(píng)估,查找事件原因并采取措施防止業(yè)務(wù)和信息系統(tǒng)再次遭受破壞、危害或故障。6.11.5應(yīng)急演練應(yīng)急演練要符合以下要求：a)應(yīng)在國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案的框架下,根據(jù)行業(yè)和地方的特殊要求,制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案；b)應(yīng)在應(yīng)急預(yù)案中明確，一旦信息系統(tǒng)中斷、受到損害或者發(fā)生故障時(shí),需要維護(hù)的重點(diǎn)業(yè)務(wù)功能，并明確遭受破壞時(shí)恢復(fù)重點(diǎn)業(yè)務(wù)的時(shí)間和恢復(fù)全部業(yè)務(wù)的時(shí)間；c)應(yīng)急預(yù)案中應(yīng)包括非常規(guī)時(shí)期、遭受大規(guī)模攻擊時(shí)的事件處置流程；d)宜圍繞業(yè)務(wù)的可持續(xù)運(yùn)行設(shè)定演練場(chǎng)景，定期組織開(kāi)展攻防演練，跨組織、跨地域運(yùn)行的重要信息基礎(chǔ)設(shè)施，聯(lián)合組織實(shí)網(wǎng)攻防演練，在不適合開(kāi)展實(shí)網(wǎng)攻防演練場(chǎng)景下,采取沙盤推演的方式進(jìn)行攻防演練；e)宜將受保護(hù)業(yè)務(wù)的核心供應(yīng)鏈、緊密上下游產(chǎn)業(yè)鏈等業(yè)務(wù)相關(guān)單位納入演練范疇；f)應(yīng)針對(duì)攻防演練中發(fā)現(xiàn)的安全問(wèn)題及風(fēng)險(xiǎn)進(jìn)行及時(shí)整改，消除結(jié)構(gòu)性、全局性風(fēng)險(xiǎn)；g)宜至少每年組織開(kāi)展一次本組織的應(yīng)急演練，對(duì)受保護(hù)業(yè)務(wù)跨組織、跨地域運(yùn)行的重要信息基礎(chǔ)設(shè)施,應(yīng)定期組織或參加跨組織、跨地域的應(yīng)急演練；h)宜至少每半年進(jìn)行一次釣魚郵件演練，進(jìn)行安全培訓(xùn)宣傳，對(duì)演練過(guò)程中容易被社會(huì)工程學(xué)攻擊的部門、員工進(jìn)行重點(diǎn)安全意識(shí)培訓(xùn)。7安全評(píng)估要求7.1安全評(píng)估方法7.1.1評(píng)估方法分類對(duì)于重要信息基礎(chǔ)設(shè)施安全評(píng)估的方法包括配置核查、文檔核查、測(cè)試驗(yàn)證和訪談四種。評(píng)估人員通過(guò)登錄各類設(shè)備、各類平臺(tái)和應(yīng)用系統(tǒng)，進(jìn)行安全配置查看和分析，以幫助評(píng)估人員理解澄清或取得證據(jù)的過(guò)程。9DB11/XXXXX—20XX評(píng)估人員通過(guò)查看制度文檔、設(shè)計(jì)方案、運(yùn)維報(bào)告和記錄文檔等各類文檔，以幫助評(píng)估人員理解澄清或取得證據(jù)的過(guò)程。評(píng)估人員通過(guò)使用測(cè)試工具（如漏洞掃描、滲透測(cè)試工具、抓包工具）或人工手動(dòng)測(cè)試等方式，發(fā)現(xiàn)重要信息基礎(chǔ)設(shè)施存在的安全漏洞，驗(yàn)證已有的安全措施是否有效，以幫助評(píng)估人員理解澄清或取得證據(jù)的過(guò)程。評(píng)估人員通過(guò)引導(dǎo)方式，進(jìn)行有目的的、有針對(duì)性的交流，以幫助評(píng)估人員理解、澄清或取得證據(jù)的過(guò)程。7.2安全評(píng)估要求7.2.1網(wǎng)絡(luò)安全等級(jí)保護(hù)7.2.1.1評(píng)估單元-網(wǎng)絡(luò)安全等級(jí)保護(hù)01（CPC01）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：應(yīng)落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)工作，且滿足網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)基本要求；b)評(píng)估對(duì)象：等級(jí)保護(hù)測(cè)評(píng)報(bào)告c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查是否按照國(guó)家法律法規(guī)要求對(duì)評(píng)估對(duì)象范圍內(nèi)的一個(gè)或幾個(gè)等保定級(jí)對(duì)象進(jìn)行等級(jí)測(cè)評(píng)；2)核查等級(jí)測(cè)評(píng)報(bào)告結(jié)論是否均不是“差”報(bào)告。d)單元判定：如果1）和2）均為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合本評(píng)估單元指標(biāo)要求。7.2.2.1評(píng)估單元-安全通信網(wǎng)絡(luò)01（CNS01）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：宜采用至少兩條不同運(yùn)營(yíng)商的通信線路，以確保通信線路連接的高可用性，并能實(shí)現(xiàn)通信線路的故障實(shí)時(shí)檢測(cè)和鏈路自動(dòng)切換；b)評(píng)估對(duì)象：重要信息基礎(chǔ)設(shè)施設(shè)計(jì)文檔、網(wǎng)絡(luò)拓?fù)鋱D、網(wǎng)絡(luò)策略配置；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查實(shí)際的網(wǎng)絡(luò)拓?fù)渲惺欠翊嬖谥辽賰蓷l不同運(yùn)營(yíng)商的通信線路；2)核查是否配置了通信線路的故障自動(dòng)檢測(cè)機(jī)制和自動(dòng)切換機(jī)制；d)單元判定：如果1）和2）均為肯定，則符合本評(píng)估單元指標(biāo)要求；如果1）或2）為否定，則不符合本評(píng)估單元指標(biāo)要求。7.2.3.1評(píng)估單元-安全區(qū)域邊界01（ABS01）該評(píng)估單元應(yīng)包括以下內(nèi)容：DB11/XXXXX—20XXa)評(píng)估指標(biāo)：應(yīng)在每個(gè)網(wǎng)絡(luò)區(qū)域內(nèi)部實(shí)施網(wǎng)絡(luò)隔離措施，防止網(wǎng)絡(luò)內(nèi)部的攻擊橫向移動(dòng)；b)評(píng)估對(duì)象：網(wǎng)絡(luò)安全設(shè)計(jì)文檔、網(wǎng)絡(luò)拓?fù)鋱D、網(wǎng)絡(luò)安全設(shè)備清單；c)評(píng)估實(shí)施包括以下內(nèi)容：1)根據(jù)網(wǎng)絡(luò)拓?fù)鋱D中的網(wǎng)絡(luò)區(qū)域劃分情況，檢查是否為每個(gè)網(wǎng)絡(luò)區(qū)域建立了網(wǎng)絡(luò)隔離安全策2)核查網(wǎng)絡(luò)拓?fù)渲胁渴鸬木W(wǎng)絡(luò)防火墻等網(wǎng)絡(luò)隔離設(shè)備，包括但不限于交換機(jī)、路由器、防火墻和網(wǎng)閘等網(wǎng)絡(luò)訪問(wèn)控制設(shè)備；3)核查其網(wǎng)絡(luò)隔離配置情況是否與網(wǎng)絡(luò)隔離策略保持一致；d)單元判定：如果1）-3）均為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或部分符合本評(píng)估單元指標(biāo)要求。7.2.3.2評(píng)估單元-安全區(qū)域邊界02（ABS02）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：應(yīng)禁止將數(shù)據(jù)庫(kù)服務(wù)器部署在互聯(lián)網(wǎng)用戶直接訪問(wèn)的網(wǎng)絡(luò)區(qū)域；b)評(píng)估對(duì)象：網(wǎng)絡(luò)拓?fù)鋱D、安全設(shè)計(jì)文檔；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查網(wǎng)絡(luò)拓?fù)鋱D和安全設(shè)計(jì)文檔，是否未將數(shù)據(jù)庫(kù)服務(wù)器部署在互聯(lián)網(wǎng)用戶能夠直接訪問(wèn)）；d)單元判定：如果1）為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合本評(píng)估單元指標(biāo)要求。7.2.3.3評(píng)估單元-安全區(qū)域邊界03（ABS03）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：應(yīng)對(duì)跨網(wǎng)絡(luò)區(qū)域邊界的網(wǎng)絡(luò)通信采取安全保護(hù)措施，保證跨網(wǎng)絡(luò)區(qū)域通信雙方的身份真實(shí)性，授予最小訪問(wèn)控制權(quán)限；b)評(píng)估對(duì)象：業(yè)務(wù)系統(tǒng)設(shè)計(jì)文檔、網(wǎng)絡(luò)拓?fù)鋱D和網(wǎng)絡(luò)通信設(shè)備；c)評(píng)估實(shí)施包括以下內(nèi)容：1)檢查業(yè)務(wù)系統(tǒng)設(shè)計(jì)文檔和網(wǎng)絡(luò)拓?fù)鋱D，確認(rèn)是否存在跨網(wǎng)絡(luò)區(qū)域邊界的網(wǎng)絡(luò)通信；2)若存在跨網(wǎng)絡(luò)區(qū)域邊界的網(wǎng)絡(luò)通信，核查網(wǎng)絡(luò)通信設(shè)備，是否進(jìn)行通信雙方設(shè)備的真實(shí)性驗(yàn)證，是否限制了跨網(wǎng)絡(luò)區(qū)域邊界訪問(wèn)的最小訪問(wèn)權(quán)限；d)單元判定：如果1）為否定，本評(píng)估單元指標(biāo)為不適用；如果2）為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合本評(píng)估單元指標(biāo)要求。7.2.4.1評(píng)估單元-安全計(jì)算環(huán)境01（SES01）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：宜采用信創(chuàng)設(shè)備；b)評(píng)估對(duì)象：設(shè)備臺(tái)賬、設(shè)備及軟件測(cè)試報(bào)告；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查設(shè)備臺(tái)賬服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備是否都為信創(chuàng)軟件或設(shè)備；2)檢查設(shè)備及軟件的信創(chuàng)產(chǎn)品測(cè)試報(bào)告或者信創(chuàng)產(chǎn)品適配測(cè)試報(bào)告，查閱是否滿足信創(chuàng)要求；DB11/XXXXX—20XXd)單元判定：如果1）-3）均為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或部分符合本評(píng)估單元指標(biāo)要求。7.2.4.2評(píng)估單元-安全計(jì)算環(huán)境02（SES02）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：設(shè)備使用一定期限后，如無(wú)法滿足業(yè)務(wù)或安全需求，宜進(jìn)行更換或升級(jí)；b)評(píng)估對(duì)象：設(shè)備臺(tái)賬、設(shè)備采購(gòu)合同或者軟硬件維保服務(wù)協(xié)議等；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查設(shè)備臺(tái)賬，設(shè)備的硬件運(yùn)行是否滿足業(yè)務(wù)和安全需要，軟件具有更新和升級(jí)能力；2)訪談網(wǎng)絡(luò)安全運(yùn)維服務(wù)人員，詢問(wèn)設(shè)備的安全防護(hù)能力是否滿足當(dāng)前的業(yè)務(wù)需求；3)檢查設(shè)備采購(gòu)合同或者軟硬件維保服務(wù)協(xié)議，查看設(shè)備是否在質(zhì)保期內(nèi)；d)單元判定：如果-3）均為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或部分符合本評(píng)估單元指標(biāo)要求。7.2.4.3評(píng)估單元-安全計(jì)算環(huán)境03（SES03）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：應(yīng)實(shí)現(xiàn)服務(wù)器操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)系統(tǒng)用戶的權(quán)限分離；b)評(píng)估對(duì)象：數(shù)據(jù)庫(kù)服務(wù)器的操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查數(shù)據(jù)庫(kù)服務(wù)器的操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)是否進(jìn)行了角色劃分；2)核查操作系統(tǒng)管理用戶和數(shù)據(jù)庫(kù)管理用戶的權(quán)限是否已進(jìn)行分離；3)核查操作系統(tǒng)管理用戶和數(shù)據(jù)庫(kù)管理用戶的權(quán)限是否為其工作任務(wù)所需的最小權(quán)限；d)單元判定：如果1）-3）均為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合本評(píng)估單元指標(biāo)要求。7.2.4.4評(píng)估單元-安全計(jì)算環(huán)境04（SES04）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：應(yīng)采用密碼技術(shù)保證數(shù)據(jù)庫(kù)口令在配置文件中的保密性；b)評(píng)估對(duì)象：應(yīng)用系統(tǒng)連接數(shù)據(jù)庫(kù)的配置文件等；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查應(yīng)用系統(tǒng)連接數(shù)據(jù)庫(kù)的配置文件，數(shù)據(jù)庫(kù)口令在配置文件中是否進(jìn)行加密存儲(chǔ)；2)測(cè)試數(shù)據(jù)庫(kù)口令加密存儲(chǔ)后，是否無(wú)法進(jìn)行解密，獲得明文；d)單元判定：如果1）為否定，本評(píng)估單元指標(biāo)為不適用；如果2）-3）均為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或部分符合本評(píng)估單元指標(biāo)要求。7.2.4.5評(píng)估單元-安全計(jì)算環(huán)境05（SES05）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：應(yīng)授予API接口所需數(shù)據(jù)庫(kù)訪問(wèn)的最小權(quán)限；b)評(píng)估對(duì)象：數(shù)據(jù)庫(kù)服務(wù)器和數(shù)據(jù)庫(kù)系統(tǒng)、API接口文件、API接口配置文件等；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查API接口文件，是否具有大量API接口；2)核查API接口配置文件，是否設(shè)置了API接口對(duì)數(shù)據(jù)庫(kù)訪問(wèn)的最小權(quán)限；DB11/XXXXX—20XX3)核查數(shù)據(jù)庫(kù)系統(tǒng)配置，是否僅允許本地管理數(shù)據(jù)庫(kù)實(shí)例，并限制了遠(yuǎn)程管理數(shù)據(jù)庫(kù)實(shí)例的訪問(wèn)地址；d)單元判定：如果1）為否定，本評(píng)估單元指標(biāo)為不適用；如果1）-3）均為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合本評(píng)估單元指標(biāo)要求。7.2.4.6評(píng)估單元-安全計(jì)算環(huán)境06（SES06）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：應(yīng)對(duì)數(shù)據(jù)庫(kù)實(shí)例和中間件控制臺(tái)進(jìn)行遠(yuǎn)程管理的終端進(jìn)行網(wǎng)絡(luò)地址限制；b)評(píng)估對(duì)象：應(yīng)用系統(tǒng)運(yùn)維或開(kāi)發(fā)人員，數(shù)據(jù)庫(kù)系統(tǒng)、中間件控制臺(tái)等；c)評(píng)估實(shí)施包括以下內(nèi)容：1)訪談應(yīng)用系統(tǒng)運(yùn)維或開(kāi)發(fā)人員，是否具有中間件控制臺(tái)；2)若有中間件控制臺(tái)，核查中間件控制臺(tái)是否進(jìn)行關(guān)閉；3)若有中間件控制臺(tái)，核查是否限制登錄中間件控制臺(tái)和數(shù)據(jù)庫(kù)實(shí)例的終端登錄地址；d)單元判定：如果1）為否定，本評(píng)估單元指標(biāo)為不適用；如果2）-3）為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合本評(píng)估單元指標(biāo)要求。7.2.4.7評(píng)估單元-安全計(jì)算環(huán)境07（SES07）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：應(yīng)用系統(tǒng)應(yīng)強(qiáng)制要求用戶修改默認(rèn)口令；b)評(píng)估對(duì)象：應(yīng)用系統(tǒng)等；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查應(yīng)用系統(tǒng)，是否強(qiáng)制要求用戶第一次登錄需修改默認(rèn)口令；d)單元判定：如果1）為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合本評(píng)估單元指標(biāo)要求。7.2.4.8評(píng)估單元-安全計(jì)算環(huán)境08（SES08）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：應(yīng)利用防偽技術(shù)等保證政務(wù)類網(wǎng)站標(biāo)識(shí)不被惡意篡改；b)評(píng)估對(duì)象：應(yīng)用系統(tǒng)等；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查應(yīng)用系統(tǒng)，是否采用防偽技術(shù)等保證政務(wù)類網(wǎng)站標(biāo)識(shí)不被惡意篡改；d)單元判定：如果1）為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或部分符合本評(píng)估單元指標(biāo)要求。7.2.4.9評(píng)估單元-安全計(jì)算環(huán)境09（SES09）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：應(yīng)利用網(wǎng)頁(yè)防篡改系統(tǒng)、人工自檢或第三方安全服務(wù)等方式實(shí)時(shí)探測(cè)網(wǎng)站內(nèi)容，及時(shí)發(fā)現(xiàn)黑頁(yè)、暗鏈、頁(yè)面篡改等行為；b)評(píng)估對(duì)象：網(wǎng)頁(yè)防篡改系統(tǒng)、人工自檢報(bào)告、第三方安全服務(wù)報(bào)告、安全設(shè)計(jì)文檔等；c)評(píng)估實(shí)施包括以下內(nèi)容：1)訪談安全管理員，核查安全設(shè)計(jì)文檔，是否部署了網(wǎng)頁(yè)防篡改系統(tǒng)或采購(gòu)了網(wǎng)頁(yè)防篡改的第三方安全服務(wù)；2)核查網(wǎng)頁(yè)防篡改系統(tǒng)或第三方安全服務(wù)，是否能夠及時(shí)發(fā)現(xiàn)黑頁(yè)、暗鏈、頁(yè)面篡改等行為；DB11/XXXXX—20XXd)單元判定：如果1）和2）為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或部分符合本評(píng)估單元指標(biāo)要求。7.2.4.10評(píng)估單元-安全計(jì)算環(huán)境10（SES10）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：政務(wù)類web系統(tǒng)采用Web應(yīng)用、APP程序或公眾號(hào)等形式發(fā)布內(nèi)容時(shí)，應(yīng)具有內(nèi)容發(fā)布、撤銷、推送、轉(zhuǎn)載、鏈接的審核功能，且網(wǎng)站內(nèi)容編輯與審核發(fā)布權(quán)限分離；b)評(píng)估對(duì)象：政務(wù)類web系統(tǒng)等；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查政務(wù)類web系統(tǒng)，是否具有內(nèi)容發(fā)布、撤銷、推送、轉(zhuǎn)載、鏈接的審核功能；2)核查政務(wù)類web系統(tǒng)，是否將網(wǎng)站內(nèi)容編輯與審核發(fā)布權(quán)限分離；d)單元判定：如果1）和2）均為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或部分符合本評(píng)估單元指標(biāo)要求。7.2.4.11評(píng)估單元-安全計(jì)算環(huán)境11（SES11）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：對(duì)高可用要求的信息系統(tǒng)，應(yīng)具有GB/T37046四級(jí)及以上災(zāi)難恢復(fù)服務(wù)能力；b)評(píng)估對(duì)象：系統(tǒng)管理員，高可用要求的信息系統(tǒng)、安全設(shè)計(jì)文檔、業(yè)務(wù)連續(xù)性計(jì)劃、災(zāi)難恢復(fù)計(jì)劃、數(shù)據(jù)備份與恢復(fù)措施等；c)評(píng)估實(shí)施包括以下內(nèi)容：1)訪談系統(tǒng)管理員，信息系統(tǒng)是否具有高可用要求；2)核查安全設(shè)計(jì)文檔、業(yè)務(wù)連續(xù)性計(jì)劃、災(zāi)難恢復(fù)計(jì)劃、數(shù)據(jù)備份與恢復(fù)技術(shù)設(shè)計(jì)文檔，是否能夠達(dá)到GB/T37046四級(jí)及以上災(zāi)難恢復(fù)服務(wù)能力；3)查看業(yè)務(wù)連續(xù)性計(jì)劃、災(zāi)難恢復(fù)計(jì)劃、數(shù)據(jù)備份與恢復(fù)技術(shù)設(shè)計(jì)文檔，參照GB/T30285查看災(zāi)難備份系統(tǒng)的有效性，查看信息系統(tǒng)的災(zāi)難備份系統(tǒng)測(cè)試報(bào)告是否具備信息系統(tǒng)切換與回切能力、網(wǎng)絡(luò)系統(tǒng)切換與回切能力、應(yīng)用系統(tǒng)切換與回切能力；d)單元判定：如果1）為否定，本評(píng)估單元指標(biāo)為不適用；如果1）-3）為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或部分符合本評(píng)估單元指標(biāo)要求。7.2.4.12評(píng)估單元-安全計(jì)算環(huán)境12（SES12）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：應(yīng)限制政務(wù)網(wǎng)站系統(tǒng)內(nèi)容管理平臺(tái)的遠(yuǎn)程登錄方式或登錄地址；b)評(píng)估對(duì)象：系統(tǒng)管理員，內(nèi)容管理平臺(tái)，網(wǎng)絡(luò)地址管理及安全設(shè)計(jì)文檔等；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查內(nèi)容管理平臺(tái)或網(wǎng)絡(luò)安全配置，是否限制政務(wù)網(wǎng)站系統(tǒng)內(nèi)容管理平臺(tái)的遠(yuǎn)程登錄方式或登錄地址；d)單元判定：如果1）為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合本評(píng)估單元指標(biāo)要求。7.2.4.13評(píng)估單元-安全計(jì)算環(huán)境13（SES13）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：應(yīng)能夠有效屏蔽系統(tǒng)技術(shù)錯(cuò)誤信息，不得將系統(tǒng)產(chǎn)生的錯(cuò)誤信息直接或間接反饋到前臺(tái)界面；DB11/XXXXX—20XXb)評(píng)估對(duì)象：應(yīng)用系統(tǒng)；c)評(píng)估實(shí)施包括以下內(nèi)容：1)測(cè)試當(dāng)進(jìn)行出現(xiàn)錯(cuò)誤操作時(shí)，是否有效屏蔽系統(tǒng)技術(shù)錯(cuò)誤信息，不將系統(tǒng)產(chǎn)生的錯(cuò)誤信息直接或間接反饋到前臺(tái)界面；d)單元判定：如果1）為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合本評(píng)估單元指標(biāo)要求。7.2.4.14評(píng)估單元-安全計(jì)算環(huán)境14（SES14）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：互聯(lián)網(wǎng)政務(wù)應(yīng)用應(yīng)使用安全連接方式訪問(wèn)，涉及的電子認(rèn)證服務(wù)應(yīng)由依法設(shè)立的電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)提供；b)評(píng)估對(duì)象：應(yīng)用系統(tǒng)，電子認(rèn)證服務(wù)證書；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查互聯(lián)網(wǎng)政務(wù)應(yīng)用是否使用安全連接方式，如數(shù)字證書認(rèn)證；2)核查電子認(rèn)證服務(wù)證書，使用的電子認(rèn)證服務(wù)是否由依法設(shè)立的電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)提供；d)單元判定：如果1）-2）均為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或部分符合本評(píng)估單元指標(biāo)要求。7.2.5.1評(píng)估單元-安全管理中心01（SMC01）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：應(yīng)對(duì)重要設(shè)備運(yùn)行狀態(tài)進(jìn)行集中監(jiān)測(cè)和集中分析，對(duì)于政務(wù)網(wǎng)站系統(tǒng)參照GB/T31506—20226.6.4a）b)評(píng)估對(duì)象：網(wǎng)絡(luò)拓?fù)鋱D、政務(wù)類web系統(tǒng)安全監(jiān)測(cè)平臺(tái)/系統(tǒng)；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查網(wǎng)絡(luò)拓?fù)鋱D，是否具有較多網(wǎng)站監(jiān)測(cè)和防護(hù)類設(shè)備（例如DNS服務(wù)器監(jiān)測(cè)、DDOS服務(wù)、威脅監(jiān)測(cè)等措施）；2)訪談并核查網(wǎng)絡(luò)中是否具有安全管理中心或者網(wǎng)站安全集中監(jiān)測(cè)平臺(tái)/系統(tǒng)；3)核查安全管理中心或者網(wǎng)站安全監(jiān)測(cè)平臺(tái)/系統(tǒng)，是否實(shí)現(xiàn)了對(duì)重要設(shè)備運(yùn)行狀態(tài)的集中監(jiān)測(cè)和分析；d)單元判定：如果1）-4）均為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或部分符合本評(píng)估單元指標(biāo)要求。7.2.5.2評(píng)估單元-安全管理中心02（SMC02）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：宜能夠?qū)γ總€(gè)網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)流量進(jìn)行安全監(jiān)測(cè)，通過(guò)分析網(wǎng)絡(luò)流量模式，實(shí)現(xiàn)對(duì)異常行為的報(bào)警；b)評(píng)估對(duì)象：網(wǎng)絡(luò)拓?fù)鋱D、網(wǎng)絡(luò)流量監(jiān)測(cè)設(shè)備清單；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查網(wǎng)絡(luò)拓?fù)鋱D，是否網(wǎng)絡(luò)流量監(jiān)測(cè)設(shè)備的監(jiān)測(cè)范圍是否可以覆蓋每個(gè)網(wǎng)絡(luò)區(qū)域；DB11/XXXXX—20XX2)核查網(wǎng)絡(luò)流量監(jiān)測(cè)設(shè)備的功能實(shí)現(xiàn)和配置情況，是否能夠?qū)W(wǎng)絡(luò)流量分析，并具備異常行為的檢測(cè)和報(bào)警能力；d)單元判定：如果1）-2）均為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或部分符合本評(píng)估單元指標(biāo)要求。7.2.5.3評(píng)估單元-安全管理中心03（SMC03）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：宜對(duì)網(wǎng)絡(luò)攻擊事件進(jìn)行溯源分析，實(shí)現(xiàn)IP地址和端口定位，并能夠進(jìn)行及時(shí)封堵；b)評(píng)估對(duì)象：網(wǎng)絡(luò)安全設(shè)計(jì)文檔、網(wǎng)絡(luò)拓?fù)鋱D、網(wǎng)絡(luò)流量監(jiān)測(cè)設(shè)備、網(wǎng)絡(luò)安全運(yùn)營(yíng)/態(tài)勢(shì)感知類平臺(tái)及相關(guān)設(shè)備；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查網(wǎng)絡(luò)拓?fù)鋱D，是否部署網(wǎng)絡(luò)攻擊事件溯源分析措施；2)核查部署的網(wǎng)絡(luò)攻擊事件溯源分析措施配置策略，是否能夠?qū)P地址和端口進(jìn)行定位；d)單元判定：如果1）和2）均為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或部分符合本評(píng)估單元指標(biāo)要求。7.2.5.4評(píng)估單元-安全管理中心04（SMC04）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：應(yīng)具有整體態(tài)勢(shì)感知能力，可實(shí)現(xiàn)對(duì)系統(tǒng)日志和安全設(shè)備報(bào)警記錄綜合分析，互聯(lián)網(wǎng)政務(wù)系統(tǒng)的日志保存時(shí)間不小于1年；b)評(píng)估對(duì)象：網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)安全設(shè)備清單日志綜合分析平臺(tái)、網(wǎng)絡(luò)安全運(yùn)營(yíng)/態(tài)勢(shì)/威脅感知類平臺(tái)及相關(guān)設(shè)備；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查網(wǎng)絡(luò)安全設(shè)備清單和網(wǎng)絡(luò)拓?fù)鋱D，查看是否部署了日志綜合分析平臺(tái)、網(wǎng)絡(luò)安全運(yùn)營(yíng)/態(tài)勢(shì)/威脅感知類平臺(tái)及相關(guān)設(shè)備；2)核查日志綜合分析平臺(tái)、網(wǎng)絡(luò)安全運(yùn)營(yíng)/態(tài)勢(shì)/威脅感知類平臺(tái)及相關(guān)設(shè)備是否具備日志及安全監(jiān)測(cè)數(shù)據(jù)的集中管理和綜合分析能力；3)核查是否能夠通過(guò)對(duì)日志和安全告警數(shù)據(jù)的集中分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全攻擊事件態(tài)勢(shì)分析；4)如被測(cè)系統(tǒng)為互聯(lián)網(wǎng)政務(wù)系統(tǒng)，核查日志信息的保存時(shí)間是否不小于1年；d)單元判定：如果1）-4）均為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或部分符合本評(píng)估單元指標(biāo)要求。7.2.5.5評(píng)估單元-安全管理中心05（SMC05）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：對(duì)于向互聯(lián)網(wǎng)提供服務(wù)的信息系統(tǒng)，應(yīng)定期開(kāi)展互聯(lián)網(wǎng)暴露面檢測(cè)與優(yōu)化，并對(duì)互聯(lián)網(wǎng)邊界與核心流量進(jìn)行集中監(jiān)測(cè)與分析；b)評(píng)估對(duì)象：網(wǎng)絡(luò)拓?fù)鋱D、網(wǎng)絡(luò)安全設(shè)備清單、安全設(shè)計(jì)和實(shí)施文檔、安全檢測(cè)報(bào)告、安全監(jiān)測(cè)系統(tǒng)/平臺(tái)；c)評(píng)估實(shí)施包括以下內(nèi)容：1)查看網(wǎng)絡(luò)拓?fù)鋱D和網(wǎng)絡(luò)安全設(shè)備清單，訪談網(wǎng)絡(luò)管理員和系統(tǒng)管理員，了解系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)以及業(yè)務(wù)訪問(wèn)邏輯，查看是否具備面向互聯(lián)網(wǎng)提供服務(wù)的業(yè)務(wù)模塊；DB11/XXXXX—20XX2)核查安全檢測(cè)報(bào)告，查看是否定期開(kāi)展了互聯(lián)網(wǎng)暴露面檢測(cè)報(bào)告，并提供了相關(guān)的改進(jìn)和優(yōu)化實(shí)施報(bào)告；3)查看網(wǎng)絡(luò)拓?fù)鋱D和網(wǎng)絡(luò)安全設(shè)備清單，訪談網(wǎng)絡(luò)管理員和系統(tǒng)管理員，查看是否具備互聯(lián)網(wǎng)邊界與核心的流量監(jiān)測(cè)措施，監(jiān)測(cè)內(nèi)容包括入侵事件監(jiān)測(cè)和數(shù)據(jù)泄露事件監(jiān)測(cè)等內(nèi)容；d)單元判定：如果1）-3）均為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或部分符合本評(píng)估單元指標(biāo)要求。7.2.5.6評(píng)估單元-安全管理中心06（SMC06）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：宜采用自動(dòng)化探測(cè)工具，持續(xù)進(jìn)行網(wǎng)絡(luò)中軟硬件資產(chǎn)發(fā)現(xiàn)，并能對(duì)異常軟硬件資產(chǎn)信息進(jìn)行告警；b)評(píng)估對(duì)象：網(wǎng)絡(luò)拓?fù)鋱D、資產(chǎn)自動(dòng)化探測(cè)工具、資產(chǎn)信息清單c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查網(wǎng)絡(luò)拓?fù)鋱D，訪談網(wǎng)絡(luò)管理員和系統(tǒng)管理員，了解重要業(yè)務(wù)訪問(wèn)的網(wǎng)絡(luò)各個(gè)區(qū)域是否部署了資產(chǎn)自動(dòng)化探測(cè)工具；2)核查自動(dòng)化探測(cè)工具能否具備對(duì)網(wǎng)絡(luò)可達(dá)的網(wǎng)絡(luò)區(qū)域內(nèi)實(shí)現(xiàn)了實(shí)時(shí)、動(dòng)態(tài)的資產(chǎn)發(fā)現(xiàn)功能；3)核查自動(dòng)化探測(cè)工具，是否能將發(fā)現(xiàn)的資產(chǎn)與歷史資產(chǎn)信息清單進(jìn)行自動(dòng)比對(duì)，對(duì)資產(chǎn)清單不一致的情況進(jìn)行告警；d)單元判定：如果1）-3）均為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或部分符合本評(píng)估單元指標(biāo)要求。7.2.6.1評(píng)估單元-安全數(shù)據(jù)采集01（DCS01）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：應(yīng)遵循最小夠用原則，僅采集必要的數(shù)據(jù)，明確所需采集的數(shù)據(jù)，包括確定要收集的數(shù)據(jù)類型、數(shù)據(jù)字段、數(shù)據(jù)量和數(shù)據(jù)頻率等；b)評(píng)估對(duì)象：相關(guān)數(shù)據(jù)安全管理制度、數(shù)據(jù)采集接口等；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查相關(guān)數(shù)據(jù)安全管理制度，是否明確核心業(yè)務(wù)數(shù)據(jù)采集原則，是否明確所需采集的數(shù)據(jù)，包括確定要收集的數(shù)據(jù)類型、數(shù)據(jù)字段、數(shù)據(jù)量和數(shù)據(jù)頻率等；2)核查數(shù)據(jù)采集接口，是否按照數(shù)據(jù)安全管理制度要求落地?cái)?shù)據(jù)采集；d)單元判定：如果1）和2）均為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或部分符合本評(píng)估單元指標(biāo)要求。7.2.6.2評(píng)估單元-安全數(shù)據(jù)采集02（DCS02）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：應(yīng)對(duì)產(chǎn)生數(shù)據(jù)的數(shù)據(jù)源進(jìn)行身份鑒別和記錄，保證數(shù)據(jù)源的真實(shí)性；b)評(píng)估對(duì)象：數(shù)據(jù)源的鑒別和記錄；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查是否由業(yè)務(wù)團(tuán)隊(duì)相關(guān)人員負(fù)責(zé)對(duì)數(shù)據(jù)源進(jìn)行鑒別和記錄；DB11/XXXXX—20XX2)核查核心業(yè)務(wù)系統(tǒng)的在線數(shù)據(jù)采集和外部第三方采集，是否建立了相應(yīng)的機(jī)制執(zhí)行數(shù)據(jù)源的鑒別和記錄；3)核查核心業(yè)務(wù)是否具有技術(shù)工具支持對(duì)數(shù)據(jù)源的鑒別和記錄；d)單元判定：如果1）-3）均為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或部分符合本評(píng)估單元指標(biāo)要求。7.2.6.3評(píng)估單元-安全數(shù)據(jù)采集03（DCS03）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：應(yīng)對(duì)采集端API接口獲取數(shù)據(jù)的權(quán)限進(jìn)行嚴(yán)格控制；b)評(píng)估對(duì)象：重要數(shù)據(jù)采集接口，數(shù)據(jù)庫(kù)系統(tǒng)等；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查采集端API接口，是否都進(jìn)行嚴(yán)格的權(quán)限控制；d)單元判定：如果1）為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合本評(píng)估單元指標(biāo)要求。7.2.6.4評(píng)估單元-安全數(shù)據(jù)采集04（DCS04）該評(píng)估單元應(yīng)包括以下內(nèi)容：信息的收集要求；b)評(píng)估對(duì)象：個(gè)人信息獲取模塊，個(gè)人信息管理相關(guān)要求等；c)評(píng)估實(shí)施包括以下內(nèi)容：d)單元判定：如果1）均為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或部分符合本評(píng)估單元指標(biāo)要求。7.2.6.5評(píng)估單元-安全數(shù)據(jù)傳輸01（DTS01）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：根據(jù)組織內(nèi)部和外部的數(shù)據(jù)傳輸安全要求，應(yīng)采用適當(dāng)技術(shù)措施保證重要數(shù)據(jù)傳輸過(guò)程中的保密性和完整性；b)評(píng)估對(duì)象：傳輸數(shù)據(jù)、源代碼等；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查在數(shù)據(jù)分類分級(jí)定義的基礎(chǔ)上，是否明確提出對(duì)不同類型、級(jí)別的數(shù)據(jù)的保密性要求和完整性要求；2)抓取并分析數(shù)據(jù)包，是否根據(jù)不同數(shù)據(jù)類型和級(jí)別，提供數(shù)據(jù)保密性或完整性功能，對(duì)數(shù)據(jù)進(jìn)行安全處理；d)單元判定：如果1）和2）均為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或部分符合本評(píng)估單元指標(biāo)要求。7.2.6.6評(píng)估單元-安全數(shù)據(jù)存儲(chǔ)01（DSS01）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：應(yīng)提供有效的技術(shù)和管理手段，防止對(duì)介質(zhì)的不當(dāng)使用而可能引起的數(shù)據(jù)泄露風(fēng)險(xiǎn)，存儲(chǔ)介質(zhì)包括終端設(shè)備和網(wǎng)絡(luò)存儲(chǔ)等；b)評(píng)估對(duì)象：存儲(chǔ)重要數(shù)據(jù)的終端設(shè)備、網(wǎng)絡(luò)存儲(chǔ)、移動(dòng)硬盤等。DB11/XXXXX—20XXc)評(píng)估實(shí)施包括以下內(nèi)容：1)核查重要數(shù)據(jù)的存儲(chǔ)介質(zhì)，是否對(duì)存儲(chǔ)介質(zhì)使用和傳遞的安全性進(jìn)行跟蹤；d)單元判定：如果1）為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或基本符合本評(píng)估單元指標(biāo)要求。7.2.6.7評(píng)估單元-安全數(shù)據(jù)存儲(chǔ)02（DSS02）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：根據(jù)組織內(nèi)部和外部的數(shù)據(jù)存儲(chǔ)安全要求，應(yīng)采用適當(dāng)技術(shù)措施保證重要數(shù)據(jù)存儲(chǔ)過(guò)程中的保密性和完整性；b)評(píng)估對(duì)象：數(shù)據(jù)庫(kù)表單，數(shù)據(jù)文件和系統(tǒng)設(shè)計(jì)方案等；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查在數(shù)據(jù)分類分級(jí)定義的基礎(chǔ)上，是否明確提出對(duì)不同類型、級(jí)別的數(shù)據(jù)的保密性要求和完整性要求；2)核查并分析數(shù)據(jù)庫(kù)表單或數(shù)據(jù)文件，是否根據(jù)不同數(shù)據(jù)類型和級(jí)別，提供數(shù)據(jù)保密性或完整性功能，對(duì)數(shù)據(jù)進(jìn)行安全處理；d)單元判定：如果1）為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或基本符合本評(píng)估單元指標(biāo)要求。7.2.6.8評(píng)估單元-安全數(shù)據(jù)存儲(chǔ)03（DSS03）該評(píng)估單元應(yīng)包括以下內(nèi)容：儲(chǔ)要求；b)評(píng)估對(duì)象：個(gè)人信息的存儲(chǔ)；c)評(píng)估實(shí)施包括以下內(nèi)容：d)單元判定：如果1）為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或基本符合本評(píng)估單元指標(biāo)要求。7.2.6.9評(píng)估單元-安全數(shù)據(jù)處理01（DPS01）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：應(yīng)給出敏感數(shù)據(jù)的脫敏需求和規(guī)則，對(duì)敏感數(shù)據(jù)進(jìn)行脫敏處理，保證數(shù)據(jù)可用性和安全性的平衡；b)評(píng)估對(duì)象：脫敏處理流程、脫敏數(shù)據(jù)治理要求、數(shù)據(jù)脫敏技術(shù)、數(shù)據(jù)脫敏工作人員等；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查是否列出需要脫敏的數(shù)據(jù)資產(chǎn)，給出不同分類分級(jí)數(shù)據(jù)的脫敏處理流程；2)核查是否明確脫敏數(shù)據(jù)治理要求；3)核查是否配置脫敏數(shù)據(jù)識(shí)別和脫敏效果驗(yàn)證服務(wù)組件或技術(shù)手段，確保數(shù)據(jù)脫敏的有效性和合規(guī)性；4)核查組織是否具備數(shù)據(jù)脫敏組件或技術(shù)手段，支持泛化、抑制、假名化等數(shù)據(jù)脫敏技術(shù)；5)核查是否針對(duì)特定的數(shù)據(jù)使用場(chǎng)景和數(shù)據(jù)脫敏的策略，部署數(shù)據(jù)的動(dòng)態(tài)脫敏方案；6)核查是否定期對(duì)數(shù)據(jù)脫敏工作人員的脫敏操作能力進(jìn)行考核評(píng)估；DB11/XXXXX—20XXd)單元判定：如果1）-6）均為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或部分符合本評(píng)估單元指標(biāo)要求。7.2.6.10評(píng)估單元-安全數(shù)據(jù)處理02（DPS02）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：應(yīng)對(duì)數(shù)據(jù)導(dǎo)入導(dǎo)出過(guò)程中的數(shù)據(jù)安全性進(jìn)行管理，防止數(shù)據(jù)導(dǎo)入導(dǎo)出過(guò)程中對(duì)數(shù)據(jù)自身可用性和完整性構(gòu)成危害，降低可能存在的數(shù)據(jù)泄露風(fēng)險(xiǎn)；b)評(píng)估對(duì)象：數(shù)據(jù)導(dǎo)入導(dǎo)出安全制度或?qū)徟鞒?、?shù)據(jù)導(dǎo)入導(dǎo)出的人員等；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查是否由業(yè)務(wù)團(tuán)隊(duì)相關(guān)人員負(fù)責(zé)對(duì)數(shù)據(jù)導(dǎo)入導(dǎo)出執(zhí)行安全管理；2)核查是否明確核心業(yè)務(wù)數(shù)據(jù)導(dǎo)入導(dǎo)出安全制度或?qū)徟鞒蹋?)核查負(fù)責(zé)數(shù)據(jù)導(dǎo)入導(dǎo)出的人員是否具備對(duì)數(shù)據(jù)導(dǎo)入導(dǎo)出業(yè)務(wù)的理解能力，掌握數(shù)據(jù)導(dǎo)入導(dǎo)出規(guī)程，并能夠針對(duì)具體場(chǎng)景提出有效的解決方案；4)核查是否記錄組織內(nèi)部的數(shù)據(jù)導(dǎo)入導(dǎo)出行為，確保數(shù)據(jù)導(dǎo)入導(dǎo)出行為追溯；d)單元判定：如果1）-4）均為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或基本符合本評(píng)估單元指標(biāo)要求。7.2.6.11評(píng)估單元-安全數(shù)據(jù)處理03（DPS03）該評(píng)估單元應(yīng)包括以下內(nèi)容：b)評(píng)估對(duì)象：個(gè)人信息的使用、個(gè)人信息主體的權(quán)利、個(gè)人信息委托處理、公開(kāi)披露等；c)評(píng)估實(shí)施包括以下內(nèi)容：d)單元判定：如果1）均為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或部分符合本評(píng)估單元指標(biāo)要求。7.2.6.12評(píng)估單元-安全數(shù)據(jù)交換01（DES01）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：應(yīng)采取雙向身份鑒別、訪問(wèn)控制、接口輸入限制等技術(shù)措施保證數(shù)據(jù)在接口調(diào)用過(guò)程中的安全；b)評(píng)估對(duì)象：數(shù)據(jù)服務(wù)接口和系統(tǒng)設(shè)計(jì)方案等；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查系統(tǒng)設(shè)計(jì)方案，對(duì)數(shù)據(jù)服務(wù)接口是否實(shí)現(xiàn)雙向身份鑒別、訪問(wèn)控制和接口輸入限制等技術(shù)措施；2)構(gòu)造違反接口安全要求的調(diào)用方式，測(cè)試是否能調(diào)用成功；d)單元判定：如果1）和2）均為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或部分符合本評(píng)估單元指標(biāo)要求。7.2.6.13評(píng)估單元-安全數(shù)據(jù)交換02（DES02）該評(píng)估單元應(yīng)包括以下內(nèi)容：DB11/XXXXX—20XXb)評(píng)估對(duì)象：個(gè)人信息共享、轉(zhuǎn)讓、跨境傳輸?shù)?；c)評(píng)估實(shí)施包括以下內(nèi)容：d)單元判定：如果1）為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或部分符合本評(píng)估單元指標(biāo)要求。7.2.6.14評(píng)估單元-安全數(shù)據(jù)銷毀01（DDS01）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：應(yīng)建立數(shù)據(jù)的刪除、凈化機(jī)制，實(shí)現(xiàn)對(duì)數(shù)據(jù)的有效銷毀，防止因?qū)Υ鎯?chǔ)媒體中的數(shù)據(jù)進(jìn)行恢復(fù)而導(dǎo)致的數(shù)據(jù)泄露風(fēng)險(xiǎn)；b)評(píng)估對(duì)象：數(shù)據(jù)銷毀；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查是否由業(yè)務(wù)團(tuán)隊(duì)相關(guān)人員負(fù)責(zé)數(shù)據(jù)銷毀工作；2)核查是否明確核心業(yè)務(wù)數(shù)據(jù)銷毀方案和存儲(chǔ)媒體銷毀方案；3)核查是否采用技術(shù)工具對(duì)核心業(yè)務(wù)存儲(chǔ)媒體的數(shù)據(jù)內(nèi)容進(jìn)行擦除銷毀；4)核查負(fù)責(zé)數(shù)據(jù)銷毀處置的人員是否具備針對(duì)數(shù)據(jù)銷毀的需求制定對(duì)應(yīng)的數(shù)據(jù)銷毀方案的能力；d)單元判定：如果1）-4）均為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或部分符合本評(píng)估單元指標(biāo)要求。7.2.6.15評(píng)估單元-安全數(shù)據(jù)銷毀02（DDS02）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：應(yīng)建立對(duì)存儲(chǔ)媒體安全銷毀的規(guī)程，并采用必要技術(shù)手段，防止因存儲(chǔ)媒體丟失、被竊或未授權(quán)的訪問(wèn)而導(dǎo)致存儲(chǔ)媒體中的數(shù)據(jù)泄漏的安全風(fēng)險(xiǎn)；b)評(píng)估對(duì)象：存儲(chǔ)媒體安全銷毀的規(guī)程和技術(shù)手段等；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查是否由業(yè)務(wù)團(tuán)隊(duì)相關(guān)人員負(fù)責(zé)存儲(chǔ)媒體銷毀管理；2)核查是否明確核心業(yè)務(wù)存儲(chǔ)媒體銷毀的流程和管理要求；3)核查核心業(yè)務(wù)的存儲(chǔ)媒體，是否采用物理銷毀的形式進(jìn)行銷毀；4)核查相關(guān)人員是否具備針對(duì)數(shù)據(jù)銷毀需求能夠明確判斷媒體銷毀的必要性；d)單元判定：如果1）-4）均為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或部分符合本評(píng)估單元指標(biāo)要求。7.2.7.1評(píng)估單元-安全管理制度01（PSS01）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：應(yīng)在等級(jí)保護(hù)第三級(jí)安全要求的基礎(chǔ)上，增加安全管理要求，包括但不限于：風(fēng)險(xiǎn)管理要求、業(yè)務(wù)連續(xù)性管理和容災(zāi)備份要求、供應(yīng)鏈安全管理要求、網(wǎng)絡(luò)安全與信息化同步建設(shè)要求等；b)評(píng)估對(duì)象：管理制度文件；c)評(píng)估實(shí)施包括以下內(nèi)容：DB11/XXXXX—20XX1)核查是否在等級(jí)保護(hù)第三級(jí)安全要求的基礎(chǔ)上，增加安全管理要求，包括但不限于：風(fēng)險(xiǎn)管理要求、業(yè)務(wù)連續(xù)性管理要求、容災(zāi)備份要求、供應(yīng)鏈安全管理要求、網(wǎng)絡(luò)安全與信息化同步建設(shè)要求等；d)單元判定：如果1）為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或部分符合本評(píng)估單元指標(biāo)要求。7.2.7.2評(píng)估單元-安全管理制度02（PSS02）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：應(yīng)明確安全管理策略，安全策略包括但不限于：安全互聯(lián)策略、安全審計(jì)策略、身份管理策略、入侵防范策略、數(shù)據(jù)安全防護(hù)策略、供應(yīng)鏈安全管理策略、安全運(yùn)維策略等；b)評(píng)估對(duì)象：安全策略文件；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查是否在等級(jí)保護(hù)基礎(chǔ)上，增加安全管理策略，安全策略包括但不限于：安全互聯(lián)策略、安全審計(jì)策略、身份管理策略、入侵防范策略、數(shù)據(jù)安全防護(hù)策略、供應(yīng)鏈安全管理策略、安全運(yùn)維策略等；d)單元判定：如果1）為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或部分符合本評(píng)估單元指標(biāo)要求。7.2.7.3評(píng)估單元-安全管理制度03（PSS03）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：應(yīng)建立重要數(shù)據(jù)安全保護(hù)策略，明確重要數(shù)據(jù)和個(gè)人信息在收集、存儲(chǔ)、使用、加工、傳輸和銷毀等關(guān)鍵環(huán)節(jié)的安全保護(hù)措施；b)評(píng)估對(duì)象：重要數(shù)據(jù)安全保護(hù)策略相關(guān)文件；c)評(píng)估實(shí)施包括以下內(nèi)容：1)訪談數(shù)據(jù)安全管理員，是否建立重要數(shù)據(jù)安全保護(hù)策略；2)核查重要數(shù)據(jù)安全保護(hù)策略相關(guān)文件，是否明確重要數(shù)據(jù)和個(gè)人信息在收集、存儲(chǔ)、使用、加工、傳輸和銷毀等關(guān)鍵環(huán)節(jié)的安全保護(hù)措施；d)單元判定：如果1）和2）均為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或部分符合本評(píng)估單元指標(biāo)要求。7.2.8.1評(píng)估單元-安全組織機(jī)構(gòu)01（ORS01）a)評(píng)估指標(biāo)：應(yīng)明確網(wǎng)絡(luò)安全工作委員會(huì)或領(lǐng)導(dǎo)小組對(duì)重要信息基礎(chǔ)設(shè)施的安全職責(zé)，由組織主要負(fù)責(zé)人分管重要信息基礎(chǔ)設(shè)施的安全保護(hù)工作；b)評(píng)估對(duì)象：組織架構(gòu)文件；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查組織架構(gòu)文件或相關(guān)發(fā)文，是否成立指導(dǎo)和管理重要信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全工作的委員會(huì)或領(lǐng)導(dǎo)小組；2)核查是否由組織主要負(fù)責(zé)人擔(dān)任其領(lǐng)導(dǎo)職務(wù)，是否明確其成員構(gòu)成、構(gòu)成角色及相關(guān)職責(zé)；d)單元判定：如果1）和2）均為肯定，則符合本評(píng)估單元指標(biāo)要求，如果1）和2）均為否定，則不符合本評(píng)估單元指標(biāo)要求，否則部分符合本評(píng)估單位指標(biāo)要求。DB11/XXXXX—20XX7.2.8.2評(píng)估單元-安全組織機(jī)構(gòu)02（ORS02）a)評(píng)估指標(biāo)：應(yīng)明確重要信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全管理工作的安全管理機(jī)構(gòu)；b)評(píng)估對(duì)象：組織架構(gòu)文件；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查組織架構(gòu)文件或相關(guān)發(fā)文，是否設(shè)置重要信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全管理職能部門（可由等級(jí)保護(hù)或關(guān)鍵信息基礎(chǔ)設(shè)施管理部門兼任）；d)單元判定：如果1）為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合本評(píng)估單元指標(biāo)要求。7.2.8.3評(píng)估單元-安全組織機(jī)構(gòu)03（ORS03）a)評(píng)估指標(biāo)：應(yīng)建立并實(shí)施網(wǎng)絡(luò)安全考核及監(jiān)督問(wèn)責(zé)機(jī)制；b)評(píng)估對(duì)象：考核和問(wèn)責(zé)制度、考核記錄、問(wèn)責(zé)記錄；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查考核和問(wèn)責(zé)制度，是否明確了網(wǎng)絡(luò)安全考核及監(jiān)督問(wèn)責(zé)方面的內(nèi)容，如考核流程、考核內(nèi)容、懲罰措施等；2)核查考核記錄和問(wèn)責(zé)記錄，是否依據(jù)考核和問(wèn)責(zé)制度文件實(shí)施考核和問(wèn)責(zé)；d)單元判定：如果1）和2）均為肯定，則符合本評(píng)估單元指標(biāo)要求，如果1）和2）均為否定，則不符合本評(píng)估單元指標(biāo)要求，否則部分符合本評(píng)估單位指標(biāo)要求。7.2.8.4評(píng)估單元-安全組織機(jī)構(gòu)04（ORS04）a)評(píng)估指標(biāo)：應(yīng)為每個(gè)重要信息基礎(chǔ)設(shè)施明確一名安全管理責(zé)任人，并明確其安全管理職責(zé)；b)評(píng)估對(duì)象：組織架構(gòu)文件；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查組織架構(gòu)文件或相關(guān)發(fā)文，是否給每個(gè)重要信息基礎(chǔ)設(shè)施明確一名安全責(zé)任人及相關(guān)職責(zé)；d)單元判定：如果1）為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合本評(píng)估單元指標(biāo)要求。7.2.8.5評(píng)估單元-安全組織機(jī)構(gòu)05（ORS05）a)評(píng)估指標(biāo)：應(yīng)保證重要信息基礎(chǔ)設(shè)施的安全管理責(zé)任人能夠參與其信息化項(xiàng)目立項(xiàng)、方案設(shè)計(jì)、方案評(píng)審和項(xiàng)目驗(yàn)收等環(huán)節(jié)的決策；b)評(píng)估對(duì)象：項(xiàng)目管理制度、項(xiàng)目建設(shè)及實(shí)施文檔；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查項(xiàng)目管理制度，是否要求安全管理責(zé)任人參與本組織重要信息基礎(chǔ)設(shè)施的信息化決策；2)核查項(xiàng)目建設(shè)及實(shí)施文檔，安全管理責(zé)任人是否在信息化項(xiàng)目立項(xiàng)、方案設(shè)計(jì)、方案評(píng)審、項(xiàng)目驗(yàn)收等環(huán)節(jié)參與決策；d)單元判定：如果1）和2）均為肯定，則符合本評(píng)估單元指標(biāo)要求，如果1）和2）均為否定，則不符合本評(píng)估單元指標(biāo)要求，否則部分符合本評(píng)估單位指標(biāo)要求。7.2.8.6評(píng)估單元-安全組織機(jī)構(gòu)06（ORS06）a)評(píng)估指標(biāo)：明確云平臺(tái)各相關(guān)主體的安全責(zé)任；b)評(píng)估對(duì)象：項(xiàng)目管理制度、云服務(wù)合同；c)評(píng)估實(shí)施包括以下內(nèi)容：DB11/XXXXX—20XX1)核查項(xiàng)目管理制度和云服務(wù)合同，是否明確了云平臺(tái)的各相關(guān)主體的安全責(zé)任；d)單元判定：如果1）為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合本評(píng)估單位指標(biāo)要求。7.2.8.7評(píng)估單元-安全組織機(jī)構(gòu)07（ORS07）a)評(píng)估指標(biāo)：機(jī)關(guān)事業(yè)單位的操作系統(tǒng)、數(shù)據(jù)庫(kù)和機(jī)房等最高管理員權(quán)限應(yīng)由本單位在編人員專人負(fù)責(zé)，不得擅自委托外包單位人員管理使用；b)評(píng)估對(duì)象：安全管理制度、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)、機(jī)房和應(yīng)用系統(tǒng)；c)評(píng)估實(shí)施包括以下內(nèi)容：1)如被測(cè)單位為機(jī)關(guān)事業(yè)單位，核查項(xiàng)目管理制度，是否明確了操作系統(tǒng)、數(shù)據(jù)庫(kù)和機(jī)房等最高管理員權(quán)限由本單位在編人員專人負(fù)責(zé)；2)測(cè)試操作系統(tǒng)、數(shù)據(jù)庫(kù)和機(jī)房等的權(quán)限，外包單位人員是否具有管理；d)單元判定：?jiǎn)卧卸ǎ喝绻?）和2）均為肯定，則符合本評(píng)估單元指標(biāo)要求，如果1）和2）均為否定，則不符合本評(píng)估單元指標(biāo)要求，否則部分符合本評(píng)估單位指標(biāo)要求。7.2.8.8評(píng)估單元-安全組織機(jī)構(gòu)08（ORS08）a)評(píng)估指標(biāo)：網(wǎng)絡(luò)安全投入比例宜達(dá)到信息化投入的10%以上；b)評(píng)估對(duì)象：資金投入相關(guān)文檔；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查系統(tǒng)建設(shè)資金投入相關(guān)文檔，其中網(wǎng)絡(luò)安全投入比例是否達(dá)到信息化投入的10%以上；d)單元判定：如果1）為肯定，則符合本評(píng)估單元指標(biāo)要求，如果1）為否定，則不符合本評(píng)估單元指標(biāo)要求。7.2.9.1評(píng)估單元-安全管理人員01（HRS01）a)評(píng)估指標(biāo)：如發(fā)生以下情形之一，應(yīng)對(duì)安全管理機(jī)構(gòu)的負(fù)責(zé)人和關(guān)鍵崗位人員實(shí)施背景審查，確保審查通過(guò)才可從事相關(guān)崗位工作，包括：1）就職前；2）相關(guān)人員的身份、國(guó)籍、安全背景和家庭情況等發(fā)生變化時(shí)；3）崗位發(fā)生重大變化或其他必要情況下；b)評(píng)估對(duì)象：人員安全管理文檔、背景審查記錄；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查人員安全管理文檔是否說(shuō)明安全管理機(jī)構(gòu)負(fù)責(zé)人和重要崗位人員在以下情形之一：就職前；相關(guān)人員的身份、安全背景等發(fā)生變化時(shí)；崗位發(fā)生重大變化或其他必要情況下，應(yīng)具備的安全背景條件、安全技能內(nèi)容、背景審查和技能考核結(jié)果判定標(biāo)準(zhǔn)等，其中安全背景條件審查至少包括犯罪記錄、危害國(guó)家安全行為、家庭背景、工作經(jīng)歷、工作能力、涉外關(guān)系等；2)核查是否具有安全管理機(jī)構(gòu)負(fù)責(zé)人和重要崗位人員錄用或任命時(shí)對(duì)其安全背景進(jìn)行審查的相關(guān)文檔或記錄等，是否記錄審查內(nèi)容和審查結(jié)果等；d)單元判定：如果1）和2）均為肯定，則符合本評(píng)估單元指標(biāo)要求，如果1）和2）均為否定，則不符合本評(píng)估單元指標(biāo)要求，否則部分符合本評(píng)估單位指標(biāo)要求。7.2.9.2評(píng)估單元-安全管理人員02（HRS02）DB11/XXXXX—20XXa)評(píng)估指標(biāo)：應(yīng)為重要信息基礎(chǔ)設(shè)施相關(guān)人員（包括合同商、用戶等）提供安全意識(shí)教育和安全技能培訓(xùn)，為關(guān)鍵崗位人員提供基于崗位的專業(yè)安全技能培訓(xùn)，每人每年教育培訓(xùn)時(shí)長(zhǎng)不得少于20個(gè)學(xué)時(shí)。教育培訓(xùn)內(nèi)容包括網(wǎng)絡(luò)安全相關(guān)法律法規(guī)、政策標(biāo)準(zhǔn)，以及網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)安全管理等；b)評(píng)估對(duì)象：網(wǎng)絡(luò)安全培訓(xùn)制度、網(wǎng)絡(luò)安全培訓(xùn)記錄；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查網(wǎng)絡(luò)安全培訓(xùn)制度，是否針對(duì)重要信息基礎(chǔ)設(shè)施從業(yè)人員，做到全員安全意識(shí)教育、全員培訓(xùn)。從業(yè)人員不僅限于網(wǎng)絡(luò)安全崗位上的專業(yè)人員，還包括其他與重要信息基礎(chǔ)設(shè)施運(yùn)營(yíng)安全相關(guān)的管理人員、操作人員、使用人員、服務(wù)人員等；2)核查培訓(xùn)記錄文檔，是否每人每年教育培訓(xùn)時(shí)長(zhǎng)不少于20個(gè)學(xué)時(shí)，教育培訓(xùn)內(nèi)容是否包括網(wǎng)絡(luò)安全相關(guān)法律法規(guī)、政策標(biāo)準(zhǔn)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)意識(shí)、安全責(zé)任，以及網(wǎng)絡(luò)安全保護(hù)技術(shù)、網(wǎng)絡(luò)安全管理等；d)單元判定：如果1）和2）均為肯定，則符合本評(píng)估單元指標(biāo)要求，如果1）和2）均為否定，則不符合本評(píng)估單元指標(biāo)要求，否則部分符合本評(píng)估單位指標(biāo)要求。7.2.9.3評(píng)估單元-安全管理人員03（HRS03）a)評(píng)估指標(biāo)：應(yīng)明確重要信息基礎(chǔ)設(shè)施相關(guān)人員安全保密職責(zé)和義務(wù)，包括安全職責(zé)、獎(jiǎng)懲機(jī)制、離崗后的脫密期限等，并簽訂安全保密協(xié)議；b)評(píng)估對(duì)象：安全保密制度、安全保密協(xié)議；c)評(píng)估實(shí)施包括以下內(nèi)容：1)核查安全保密制度，是否明確重要信息基礎(chǔ)設(shè)施相關(guān)人員安全保密職責(zé)和義務(wù)，包括安全職責(zé)、獎(jiǎng)懲機(jī)制、離崗后的脫密期限等；2)核查安全保密協(xié)議，保密協(xié)議是否約定保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限、離崗后的脫密期限、獎(jiǎng)懲機(jī)制等內(nèi)容；d)單元判定：如果1）和2）均為肯定，則符合本評(píng)估單元指標(biāo)要求，如果1）和2）均為否定，則不符合本評(píng)估單元指標(biāo)要求，否則部分符合本評(píng)估單位指標(biāo)要求。7.2.10供應(yīng)鏈安全管理7.2.10.1評(píng)估單元-供應(yīng)商安全管理01（SCS01）該評(píng)估單元應(yīng)包括以下內(nèi)容：a)評(píng)估指標(biāo)：應(yīng)建立供應(yīng)鏈安全管理要求，明確供應(yīng)方的責(zé)任、供應(yīng)鏈相關(guān)部門的責(zé)任、供應(yīng)活動(dòng)管理、供應(yīng)商檢查和考核要求等；b)評(píng)估對(duì)象：供應(yīng)鏈安全管理人員、管理制度類文檔和記錄表單類文檔；c)評(píng)估實(shí)施包括以下內(nèi)容：1)訪談供應(yīng)鏈安全管理人員是否建立了供應(yīng)鏈安全管理要求；2)核查供應(yīng)鏈安全管理要求中是否涵蓋供應(yīng)商的權(quán)限和責(zé)任、供應(yīng)鏈安全管理部門的責(zé)任和權(quán)限、開(kāi)發(fā)過(guò)程的控制方法和人員行為準(zhǔn)則；d)單元判定：如果1）和2）均為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或部分符合本評(píng)估單元指標(biāo)要求。7.2.10.2評(píng)估單元-供應(yīng)商安全管理02（SCS02）該評(píng)估單元應(yīng)包括以下內(nèi)容：DB11/XXXXX—20XXa)評(píng)估指標(biāo)：應(yīng)形成年度采購(gòu)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)清單，加強(qiáng)網(wǎng)絡(luò)安全專用產(chǎn)品安全管理，要求其通過(guò)安全檢測(cè)或安全認(rèn)證；b)評(píng)估對(duì)象：供應(yīng)鏈安全管理人員，記錄表單類文檔，管理制度類文檔；c)評(píng)估實(shí)施包括以下內(nèi)容：1)訪談供應(yīng)鏈安全管理人員是否加強(qiáng)網(wǎng)絡(luò)安全專用產(chǎn)品安全管理；2)核查管理制度類文檔是否要求采購(gòu)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)清單通過(guò)安全檢測(cè)或安全認(rèn)證；3)核查記錄表單類文檔，檢測(cè)采購(gòu)清單和合同中是否通過(guò)安全檢測(cè)或安全認(rèn)證；d)單元判定：如果1）-3）為肯定，則符合本評(píng)估單元指標(biāo)要求，否則不符合或部分符合本評(píng)估單元指標(biāo)要求。