及等保管理要求(三級(jí))控制點(diǎn)對(duì)照表

1、IS027001-2003等級(jí)保護(hù)三級(jí)要求對(duì)照項(xiàng)目分類等保分類等保三級(jí)控制點(diǎn)等?？刂颇繕?biāo)IS0270000 分類IS027000 控制點(diǎn)IS027000 控制目標(biāo)調(diào)查方式調(diào)查結(jié)果7.2.1安全管理制度7.2.1.1管理制度(G3)a）應(yīng)制定信息安全工作的 總體方針和安全策略，說 明機(jī)構(gòu)安全工作的總體目 標(biāo)、范圍、原則和安全框 架等；a）應(yīng)訪談安全主管，詢問機(jī)構(gòu)的制度體系 是否由安全政策、安全策略、管理制度、操 作規(guī)程等構(gòu)成，是否定期對(duì)安全管理制度體 系進(jìn)行評(píng)審，評(píng)審周期多長；b）應(yīng)檢查信息安全工作的總體方針、 政策 性文件和安全策略文件，查看文件是否明確 機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、方針、原

2、 貝艮責(zé)任等，是否明確信息系統(tǒng)的安全策 略；C）應(yīng)檢查安全管理制度清單，查看是否覆 蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、管 理等層面；d）應(yīng)檢查是否具有重要管理操作的操作規(guī) 程， 如系統(tǒng)維護(hù)手冊和用戶操作規(guī)程等；e）應(yīng)檢查是否具有安全管理制度體系的評(píng) 審記錄，查看記錄日期與評(píng)審周期是否一 致，是否記錄了相關(guān)人員的評(píng)審意見。A.5.1 信息安全政策A.5.1.1 信息安全政策文件信息安全政策文件應(yīng)由管 理階層核準(zhǔn)，并公布與傳 達(dá)給所有聘雇人員與相關(guān) 夕卜部團(tuán)體。訪談，檢查。 安全主管，總 體方針、政策 性文件和安全 策略文件，安 全管理制度清 單，操作規(guī)程，評(píng)審記 錄。b）應(yīng)對(duì)安全管理活動(dòng)中的

3、各類管理內(nèi)容建立安全管 理制度；C）應(yīng)對(duì)要求管理人員或操 作人員執(zhí)行的日常管理操 作建立操作規(guī)程；d）應(yīng)形成由安全策略、管 理制度、操作規(guī)程等構(gòu)成 的全面的信息安全管理制 度體系。7.2.1.2制定和發(fā)a）應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定；a）應(yīng)訪談安全主管，詢問安全管理制度是 否在信息安全領(lǐng)導(dǎo)小組或委員會(huì)的總體負(fù)責(zé) 下統(tǒng)一制定，參與制定人員有哪些；訪談，檢查。 安全主管，制 度制定和發(fā)布布(G3)b）安全管理制度應(yīng)具有統(tǒng) 一的格式，并進(jìn)行版本控 制；b）應(yīng)訪談安全主管，詢問安全管理制度的 制定程序，是否對(duì)制定的安全管理制度進(jìn)行 論證和審定，論證和評(píng)審方式如何（如召開 評(píng)審會(huì)

4、、函審、內(nèi)部審核等），是否按照統(tǒng) 一的格式標(biāo)準(zhǔn)或要求制定；C）應(yīng)檢查制度制定和發(fā)布要求管理文檔， 查看文檔是否說明安全管理制度的制定和發(fā) 布程序、格式要求及版本編號(hào)等相關(guān)內(nèi)容；d）應(yīng)檢查管理制度評(píng)審記錄， 查看是否有 相關(guān)人員的評(píng)審意見；e）應(yīng)檢查安全管理制度文檔，查看是否注 明適用和發(fā)布范圍，是否有版本標(biāo)識(shí)，是否 有管理層的簽字或蓋章；查看各項(xiàng)制度文檔 格式是否統(tǒng)一；f）應(yīng)檢查安全管理制度的收發(fā)登記記錄， 查看收發(fā)是否符合規(guī)定程序和發(fā)布范圍要 求。要求管理文 檔，評(píng)審記 錄，安全管理 制度，收發(fā)登 記記錄。C）應(yīng)組織相關(guān)人員對(duì)制定 的安全管理制度進(jìn)行論證 和審定；d）安全管理制度應(yīng)通過正 式

5、、有效的方式發(fā)布；e）安全管理制度應(yīng)注明發(fā) 布范圍，并對(duì)收發(fā)文進(jìn)行 登記。721.3評(píng)審和修訂（G3）a）信息安全領(lǐng)導(dǎo)小組應(yīng)負(fù) 責(zé)定期組織相關(guān)部門和相 關(guān)人員對(duì)安全管理制度體 系的合理性和適用性進(jìn)行 審定；a）應(yīng)訪談安全主管，詢問是否定期對(duì)安全 管理制度進(jìn)行評(píng)審，由何部門/何人負(fù)責(zé)；b）應(yīng)訪談管理人員（負(fù)責(zé)定期評(píng)審、修訂 和日常維護(hù)的人員），詢問定期對(duì)安全管理 制度的評(píng)審、修訂情況和日常維護(hù)情況，評(píng) 審周期多長，評(píng)審、修訂程序如何，維護(hù)措 施如何；A.5.1.2 審查信息安全政策信息安全政策應(yīng)在規(guī)劃期 間內(nèi)或有重大變更發(fā)生時(shí) 加以審查，以確保其持續(xù) 的適用性、適切性及有效 性。訪談，檢查。 安

6、全主管，管 理人員，安全 管理制度列 表，評(píng)審記錄，安全管理 制度對(duì)應(yīng)負(fù)責(zé)b）應(yīng)定期或不定期對(duì)安全 管理制度進(jìn)行檢查和審 定，對(duì)存在不足或需要改 進(jìn)的安全管理制度進(jìn)行修 訂。C）應(yīng)訪談管理人員（負(fù)責(zé)人員），詢問系 統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以 及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時(shí)是 否對(duì)安全管理制度進(jìn)行審定，對(duì)需要改進(jìn)的 制度是否進(jìn)行修訂；d）應(yīng)檢查安全管理制度評(píng)審記錄， 查看記 錄日期與評(píng)審周期是否一致；如果對(duì)制度做 過修訂，檢查是否有修訂版本的安全管理制 度；e）應(yīng)檢查是否具有系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和 組織結(jié)構(gòu)等發(fā)生變更時(shí)對(duì)安全管理制度進(jìn)行 審定的

7、記錄；f）應(yīng)檢查是否具有需要定期修訂的安全管 理制度列表，查看列表是否注明評(píng)審周期；g）應(yīng)檢查是否具有所有安全管理制度對(duì)應(yīng) 相應(yīng)負(fù)責(zé)人或者負(fù)責(zé)部門的清單。人或負(fù)責(zé)部門的清單。722安全管理機(jī)構(gòu)7.2.2.1崗位設(shè)置(G3)a）應(yīng)設(shè)立信息安全管理工 作的職能部門，設(shè)立安全 主管、安全管理各個(gè)方面 的負(fù)責(zé)人崗位，并定義各 負(fù)責(zé)人的職責(zé)；a）應(yīng)訪談安全主管，詢問是否設(shè)立指導(dǎo)和 管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，其 最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的 人員擔(dān)任；b）應(yīng)訪談安全主管， 詢問是否設(shè)立專職的 安全管理機(jī)構(gòu)（即信息安全管理工作的職能A.6 信息安全組織A.6.1.3 信息安全職責(zé)的分派訪

8、談，檢查。 安全主管，安 全管理某方面 的負(fù)責(zé)人，領(lǐng) 導(dǎo)小組日常管 理工作的負(fù)責(zé)b）應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個(gè)工作崗位的職責(zé)；c）應(yīng)成立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán)；d）應(yīng)制定文件明確安全管理機(jī)構(gòu)各個(gè)部門和崗位的職責(zé)、分工和技能要求。部門） ； 機(jī)構(gòu)內(nèi)部門設(shè)置情況如何， 是否明 確各部門職責(zé)分工；c）應(yīng)訪談安全主管，詢問是否設(shè)立安全管 理各個(gè)方面的負(fù)責(zé)人，設(shè)置了哪些工作崗位（如安全主管、安全管理各個(gè)方面的負(fù)責(zé)人、機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理 員、安全員等重要崗位），是否明確各個(gè)崗 位的職責(zé)分工；d）應(yīng)訪談安全主

9、管、安全管理某方面的負(fù)責(zé)人、信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組日常管理工作的負(fù)責(zé)人、 系統(tǒng)管理員、 網(wǎng)絡(luò)管理 員和安全員，詢問其崗位職責(zé)包括哪些內(nèi) 容；e）應(yīng)檢查部門、崗位職責(zé)文件，查看文件 是否明確安全管理機(jī)構(gòu)的職責(zé)，是否明確機(jī) 構(gòu)內(nèi)各部門的職責(zé)和分工，部門職責(zé)是否涵 蓋物理、網(wǎng)絡(luò)和系統(tǒng)等各個(gè)方面；查看文件 是否明確設(shè)置安全主管、安全管理各個(gè)方面 的負(fù)責(zé)人、機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò) 管理員、安全員等各個(gè)崗位，各個(gè)崗位的職 責(zé)范圍是否清晰、明確；查看文件是否明確 各個(gè)崗位人員應(yīng)具有的技能要求；f）應(yīng)檢查信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組是否具有單位主管領(lǐng)導(dǎo)對(duì)其最高領(lǐng)導(dǎo)的委任授權(quán)書；g）應(yīng)檢查信息安全管

10、理委員會(huì)職責(zé)文件，A. 6.1.1 管理階層對(duì)信息安全的承諾A.6.1.2 信息安全協(xié)調(diào)合作管理階層應(yīng)在組織內(nèi)藉由清楚的指示、 展現(xiàn)的承 諾、明確的分派以及確認(rèn) 信息安全職責(zé)，積極地支 持安全。信息安全活動(dòng)應(yīng)由組織內(nèi)具有相關(guān)角色與工作功能之不同部門的代表協(xié)調(diào)合作。人，系統(tǒng)管理員，網(wǎng)絡(luò)管理員， 安全員， 部門、崗位職 責(zé)文件，委任 授權(quán)書，工作 記錄。722.2人員配備（G3）a）應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等；b）應(yīng)配備專職安全管理員，不可兼任；c）關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理。查看是否明確描述委員會(huì)的職責(zé)和其最高領(lǐng) 導(dǎo)崗位的職責(zé)；h）應(yīng)檢查安全管理各部門和信息安全管理

11、 委員會(huì)或領(lǐng)導(dǎo)小組是否具有日常管理工作執(zhí) 行情況的文件或工作記錄 （如會(huì)議記錄/紀(jì) 要和信息安全工作決策文檔等）。a）應(yīng)訪談安全主管，詢問各個(gè)安全管理崗位人員（按照崗位職責(zé)文件詢問，包括機(jī)房 管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò) 管理員、安全員等重要崗位人員）配備情 況，包括數(shù)量、專職還是兼職等；b）應(yīng)訪談安全主管，詢問對(duì)哪些關(guān)鍵崗位 實(shí)行定期輪崗，定期輪崗情況如何，輪崗周 期多長，輪崗手續(xù)如何；c）應(yīng)檢查人員配備要求管理文檔，查看是否明確應(yīng)配備哪些安全管理人員，是否包括 機(jī)房管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、 網(wǎng)絡(luò)管理員、安全員等重要崗位人員并明確 應(yīng)配備專職的安全員；查看是否明確對(duì)哪些

12、關(guān)鍵崗位（應(yīng)有列表）實(shí)行定期輪崗并明確 輪崗周期、輪崗手續(xù)等相關(guān)內(nèi)容；d）應(yīng)檢查管理人員名單，查看其是否明確 機(jī)房管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、 網(wǎng)絡(luò)管理員、安全員等重要崗位人員的信 息，確認(rèn)安全員是否是專職人員。訪談，檢查。 安全主管，人 員配備要求管 理文檔，管理 人員名單。a）應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審批部門和批準(zhǔn)人b）應(yīng)針對(duì)系統(tǒng)變更、重要操作、 物理訪問和系統(tǒng)接 入等事項(xiàng)建立審批程序， 按照審批程序執(zhí)行審批過 程，對(duì)重要活動(dòng)建立逐級(jí) 審批制度；722.3授權(quán)和審批（G3）a）應(yīng)訪談安全主管，詢問其是否規(guī)定對(duì)信 息系統(tǒng)中的關(guān)鍵活動(dòng)進(jìn)行審批，審批部門是 何部門，批準(zhǔn)

13、人是何人，他們的審批活動(dòng)是 否得到授權(quán)；詢問是否定期審查、更新審批 項(xiàng)目，審查周期多長；b）應(yīng)訪談關(guān)鍵活動(dòng)的批準(zhǔn)人，詢問其對(duì)關(guān)鍵活動(dòng)的審批范圍包括哪些 （如網(wǎng)絡(luò)系統(tǒng)、 應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、重要服務(wù)器和 設(shè)備等重要資源的訪問，重要管理制度的制 定和發(fā)布，人員的配備、培訓(xùn)，產(chǎn)品的采 購，第三方人員的訪問、管理，與合作單位 的合作項(xiàng)目等），審批程序如何；c）應(yīng)檢查授權(quán)管理文件，查看文件是否包 含需審批事項(xiàng)列表，列表是否明確審批事項(xiàng) 和雙重審批事項(xiàng)、審批部門、批準(zhǔn)人及審批程序等（如列表說明哪些事項(xiàng)應(yīng)經(jīng)過信息安c）應(yīng)定期審查審批事項(xiàng)，及時(shí)更新需授權(quán)和審批的項(xiàng)目、審批部門和審批人等信息；d）應(yīng)記錄審

14、批過程并保存審批文檔。全領(lǐng)導(dǎo)小組審批，哪些事項(xiàng)應(yīng)經(jīng)過安全管理機(jī)構(gòu)審批，哪些關(guān)鍵活動(dòng)應(yīng)經(jīng)過哪些部門雙重審批等） ， 文件是否說明應(yīng)定期審查、 更 新需審批的項(xiàng)目和審查周期等；d）應(yīng)檢查經(jīng)雙重審批的文檔，查看是否具有雙重批準(zhǔn)人的簽字和審批部門的蓋章；e）應(yīng)檢查關(guān)鍵活動(dòng)的審批過程記錄，查看 記錄的審批程序與文件要求是否一致；f）應(yīng)檢查審查記錄，查看記錄日期是否與A.6.1.4 信息處理設(shè)施的授權(quán)過程新信息處理設(shè)施的管理階 層授權(quán)過程應(yīng)被界定與實(shí) 施。A.6.1.5 保密協(xié)議應(yīng)鑒別與定期審查反映組 織對(duì)信息保護(hù)需求的機(jī)密 性或不可公開協(xié)議的各項(xiàng) 要求。訪談， 檢查。 安全主管，關(guān) 鍵活動(dòng)的批準(zhǔn)人，授權(quán)

15、管理文件，審批文檔， 審批記 錄，審查記 錄，消除授權(quán) 記錄。審查周期一致;g）應(yīng)檢查是否具有對(duì)不再適用的權(quán)限及時(shí) 取消授權(quán)的記錄。a）應(yīng)加強(qiáng)各類管理人員之 間、組織內(nèi)部機(jī)構(gòu)之間以 及信息安全職能部門內(nèi)部 的合作與溝通，定期或不 定期召開協(xié)調(diào)會(huì)議，共同 協(xié)作處理信息安全問題；a）應(yīng)訪談安全主管，詢問是否建立與外單 位（公安機(jī)關(guān)、電信公司、兄弟單位、供應(yīng) 商、業(yè)界專家、專業(yè)的安全公司、安全組織 等），與組織機(jī)構(gòu)內(nèi)其它部門之間及內(nèi)部各 部門管理人員之間的溝通、合作機(jī)制，與外 單位和其他部門有哪些合作內(nèi)容，溝通、合 作方式有哪些；b）應(yīng)訪談安全主管， 詢問是否召開過部門 間協(xié)調(diào)會(huì)議，組織其它部門人員

16、共同協(xié)助處 理信息系統(tǒng)安全有關(guān)問題，安全管理機(jī)構(gòu)內(nèi) 部是否召開過安全工作會(huì)議部署安全工作的 實(shí)施，參加會(huì)議的部門和人員有哪些，會(huì)議 結(jié)果如何；信息安全領(lǐng)導(dǎo)小組或者安全管理 委員會(huì)是否定期召開例會(huì)；C）應(yīng)訪談安全主管，詢問是否聘請信息安 全專家作為常年的安全顧問，指導(dǎo)信息安全 建設(shè)，參與安全規(guī)劃和安全評(píng)審等；d）應(yīng)訪談安全管理人員 （從系統(tǒng)管理員和 安全員等人員中抽查），詢問其與外單位人 員，與組織機(jī)構(gòu)內(nèi)其他部門人員，與內(nèi)部各 部門管理人員之間的溝通方式和主要溝通內(nèi) 容有哪些；e）應(yīng)檢查部門間協(xié)調(diào)會(huì)議文件或會(huì)議記訪談，檢查。 安全主管，安 全管理人員， 會(huì)議文件，會(huì) 議記錄，外聯(lián) 單位說明文檔，

17、安全顧問 名單。b）應(yīng)加強(qiáng)與兄弟單位、公 安機(jī)關(guān)、 電信公司的合作 與溝通；C）應(yīng)加強(qiáng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通；A.6.2.3 說明第三方契約的安全要求凡涉及存取、處理、通訊 或管理組織的信息或信息 處理設(shè)施，或在信息處理 設(shè)施上附加產(chǎn)品或服務(wù) 者，應(yīng)在與第三方之協(xié)議 中涵蓋所有相關(guān)的安全要 求。d）應(yīng)建立外聯(lián)單位聯(lián)系列 表，包括外聯(lián)單位名稱、 合作內(nèi)容、聯(lián)系人和聯(lián)系 方式等信息；A.6.1.6 與主管機(jī)關(guān)的聯(lián)系A(chǔ).6.2.1 鑒別與外部團(tuán)體有關(guān)的風(fēng)險(xiǎn)a） 應(yīng)與有關(guān)的主管機(jī)關(guān)維持 適當(dāng)聯(lián)系。B）組織營運(yùn)過程中涉及外 部團(tuán)體的組織信息與信息 處理設(shè)施之風(fēng)險(xiǎn)，應(yīng)在核

18、722.4溝通和合作（G3）錄，查看是否有會(huì)議內(nèi)容、會(huì)議時(shí)間、參加 人員和結(jié)果等的描述；f）應(yīng)檢查安全工作會(huì)議文件或會(huì)議記錄， 查看是否有會(huì)議內(nèi)容、會(huì)議時(shí)間、參加人員 和會(huì)議結(jié)果等的描述；g）應(yīng)檢查信息安全領(lǐng)導(dǎo)小組或者安全管理 委員會(huì)定期例會(huì)會(huì)議文件或會(huì)議記錄，查看 是否有會(huì)議內(nèi)容、會(huì)議時(shí)間、參加人員、會(huì) 議結(jié)果等的描述；h）應(yīng)檢查外聯(lián)單位說明文檔，查看外聯(lián)單 位是否包含公安機(jī)關(guān)、電信公司、兄弟單 位、供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、 安全組織等，是否說明外聯(lián)單位的聯(lián)系人和 聯(lián)系方式等內(nèi)容；i）應(yīng)檢查是否具有安全顧問名單或者聘請 安全顧問的證明文件，查看由安全顧問指導(dǎo) 信息安全建設(shè)、參與安全

19、規(guī)劃和安全評(píng)審的 相關(guān)文檔或記錄，是否具有由安全顧問簽字 的相關(guān)建議。準(zhǔn)外部團(tuán)體存取前被加以 鑒別，并實(shí)施適當(dāng)?shù)目刂?措施。e）應(yīng)聘請信息安全專家作 為常年的安全顧問，指導(dǎo) 信息安全建設(shè)，參與安全 規(guī)劃和安全評(píng)審等。A.6.1.7 與特殊利害團(tuán)體的聯(lián)系應(yīng)與特殊利害團(tuán)體或其它 安全論壇專家及專業(yè)協(xié)會(huì) 維持適當(dāng)聯(lián)系。722.5審核和檢查（G3）a）安全管理員應(yīng)負(fù)責(zé)定期 進(jìn)行安全檢查，檢查內(nèi)容 包括系統(tǒng)日常運(yùn)行、系統(tǒng) 漏洞和數(shù)據(jù)備份等情況；a）應(yīng)訪談安全主管，詢問是否組織人員定 期對(duì)信息系統(tǒng)進(jìn)行安全檢查，檢查周期多 長，是否定期分析、評(píng)審異常行為的審計(jì)記 錄；A.6.1.8 獨(dú)立的信息安全審查應(yīng)在規(guī)

20、劃的期間內(nèi)或發(fā)生 安全實(shí)施上有重大變更 時(shí)，獨(dú)立審查組織管理信 息安全的方案與其實(shí)施訪談，檢查。 安全主管， 安 全員，安全檢 查制度，安全b）應(yīng)由內(nèi)部人員或上級(jí)單 位定期進(jìn)行全面安全檢 查，檢查內(nèi)容包括現(xiàn)有安 全技術(shù)措施的有效性、安 全配置與安全策略的一致 性、安全管理制度的執(zhí)行 情況等；c）應(yīng)制定安全檢查表格實(shí) 施安全檢查，匯總安全檢 查數(shù)據(jù)，形成安全檢查報(bào) 告，并對(duì)安全檢查結(jié)果進(jìn) 行通報(bào)；d）應(yīng)制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作， 定期按照 程序進(jìn)行安全審核和安全 檢查活動(dòng)。b）應(yīng)訪談安全員，詢問安全檢查包含哪些內(nèi)容， 檢查人員有哪些， 檢查程序是否按照 系統(tǒng)相關(guān)策略和

21、要求進(jìn)行，是否制定安全檢 查表格實(shí)施安全檢查，檢查結(jié)果如何，是否 對(duì)檢查結(jié)果進(jìn)行通報(bào)，通報(bào)形式、范圍如 何；c）應(yīng)檢查安全檢查制度文檔，查看文檔是 否規(guī)定檢查內(nèi)容、 檢查程序和檢查周期等，檢查內(nèi)容是否包括現(xiàn)有安全技術(shù)措施的有效性、 安全配置與安全策略的一致性、 安全管 理制度的執(zhí)行情況等， 是否包括用戶賬號(hào)情 況、系統(tǒng)漏洞情況、系統(tǒng)審計(jì)情況等；d）應(yīng)檢查安全檢查報(bào)告，查看報(bào)告日期與檢查周期是否一致， 報(bào)告中是否有檢查內(nèi) 容、檢查人員、檢查數(shù)據(jù)匯總表、檢查結(jié)果 等的描述；e）應(yīng)檢查安全檢查過程記錄，查看記錄的 檢查程序與文件要求是否一致；f）應(yīng)檢查審計(jì)分析報(bào)告，查看報(bào)告日期與 檢查周期是否一致，

22、報(bào)告中是否有分析人 員、異常問題和分析結(jié)果等的描述，是否對(duì) 發(fā)現(xiàn)的問題提出相應(yīng)的措施；g）應(yīng)檢查是否具有安全檢查表格。（例如：信息安全的控制目標(biāo)、 控制措施、 政策、過程及程序）。檢查報(bào)告，審計(jì)分析報(bào)告，安全檢查過程記錄，安全檢查表格。A.6.2.2 處理顧客事務(wù)的安全說明在給予客戶存取組織信息或資產(chǎn)前，所有已鑒別的安全要求應(yīng)被提出說明723人員安全管理7.2.3.1人員錄用(G3)a）應(yīng)指定或授權(quán)專門的部 門或人員負(fù)責(zé)人員錄用；a）應(yīng)訪談人事負(fù)責(zé)人，詢問在人員錄用時(shí) 對(duì)人員條件有哪些要求，目前錄用的安全管 理和技術(shù)人員是否有能力完成與其職責(zé)相對(duì) 應(yīng)的工作；b）應(yīng)訪談人事工作人員， 詢問在人員

23、錄用 時(shí)是否對(duì)被錄用人的身份、背景、專業(yè)資格 和資質(zhì)進(jìn)行審查，對(duì)技術(shù)人員的技術(shù)技能進(jìn) 行考核，錄用后是否與其簽署保密協(xié)議，是 否對(duì)其說明工作職責(zé)；c）應(yīng)訪談人事負(fù)責(zé)人，詢問對(duì)從事關(guān)鍵崗 位的人員是否從內(nèi)部人員中選拔，是否要求 其簽署崗位安全安全協(xié)議，是否定期對(duì)關(guān)鍵 崗位人員進(jìn)行信用審查，審查周期多長；d）應(yīng)檢查人員錄用要求管理文檔， 查看是 否說明錄用人員應(yīng)具備的條件，如學(xué)歷、學(xué) 位要求，技術(shù)人員應(yīng)具備的專業(yè)技術(shù)水平， 管理人員應(yīng)具備的安全管理知識(shí)等；e）應(yīng)檢查是否具有人員錄用時(shí)對(duì)錄用人身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查的相 關(guān)文檔或記錄，查看是否記錄審查內(nèi)容和審A.8人力資源安全A.8.1

24、.1 角色與職責(zé)A.8.2.1 管理職責(zé)聘雇人員、承包商及第三 方使用者的安全角色與職 責(zé)，應(yīng)依照組織的信息安 全政策加以界定與文件 化。管理階層應(yīng)要求聘雇人 員、承包商及第三方使用 者，依照組織已制定的政 策與程序應(yīng)用于安全事 宜。訪談，檢查。 人事負(fù)責(zé)人， 人事工作人 員，人員錄用 要求管理文檔，人員審杳 文檔或記錄， 考核文檔或記 錄，保密協(xié) 議，崗位安全 協(xié)議，審查記錄。b）應(yīng)嚴(yán)格規(guī)范人員錄用過 程，對(duì)被錄用人的身份、 背景、專業(yè)資格和資質(zhì)等 進(jìn)行審查，對(duì)其所具有的 技術(shù)技能進(jìn)行考核；A.8.1.2 篩選應(yīng)依照相關(guān)法律、 法規(guī)及 倫理，并兼顧營運(yùn)要求之 相稱性、被存取信息的分 類及所理

25、解的風(fēng)險(xiǎn)，對(duì)所 有聘雇之應(yīng)征者、承包商 及第三方使用者，進(jìn)行背景查證核對(duì)c）應(yīng)簽署保密協(xié)議；A.8.1.3 聘雇條款身為契約義務(wù)的一方，聘 雇人員、承包商及第三方 使用者應(yīng)同意并簽署其聘723.2人員離崗(G3)d）應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員， 并簽 署崗位安全協(xié)議。a）應(yīng)嚴(yán)格規(guī)范人員離崗過程， 及時(shí)終止離崗員工的 所有訪問權(quán)限；b）應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備；c）應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)，關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務(wù)后方可離開。查結(jié)果等；f）應(yīng)檢查技能考核文檔或記錄， 查看是否 記錄考核內(nèi)容和考核結(jié)果等；g）應(yīng)檢查保密協(xié)議，查看是否有保密范圍、

26、保密責(zé)任、 違約責(zé)任、 協(xié)議的有效期限 和責(zé)任人的簽字等內(nèi)容；h）應(yīng)檢查崗位安全協(xié)議，查看是否有崗位安全責(zé)任、 違約責(zé)任、 協(xié)議的有效期限和責(zé) 任人簽字等內(nèi)容；i）應(yīng)檢查信用審查記錄，查看是否記錄了 審查內(nèi)容和審查結(jié)果等，查看審查時(shí)間與審 查周期是否一致。a） 應(yīng)訪談安全主管， 詢問是否及時(shí)終止離 崗人員的所有訪問權(quán)限，取回各種身份證 件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備等；b）應(yīng)訪談人事工作人員，詢問調(diào)離手續(xù)包括哪些，是否要求調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開；c）應(yīng)檢查人員離崗的管理文檔，查看是否規(guī)定了調(diào)離手續(xù)和離崗要求等；d）應(yīng)檢查是否具有交還身份證件和設(shè)備等的記錄；e）應(yīng)檢查保密承

27、諾文檔，查看是否有調(diào)離 人員的簽字。雇契約的條款，該契約應(yīng) 陳述其與組織對(duì)信息安全 的職責(zé)。A.8.3.1 終止職責(zé)執(zhí)行聘雇終止或變更的職責(zé)應(yīng)清楚的界定與指派。訪談，檢查。 安全主管，人 事工作人員， 人員離崗管理 文檔，保密承 諾文檔。A.8.3.2 資產(chǎn)的歸還所有聘雇人員、承包商及 第三方使用者在其聘雇、 契約或協(xié)議終止時(shí)，應(yīng)歸 還其擁有的所有組織資 產(chǎn)。A.8.3.3 存取權(quán)限的移除所有聘雇人員、承包商及 第三方使用者對(duì)信息與信 息處理設(shè)施的存取權(quán)限， 在其聘雇、契約或協(xié)議終 止時(shí)，或因變更而調(diào)整 時(shí)，均應(yīng)予以移除。a）應(yīng)定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核；a）應(yīng)訪談安全主

28、管，詢問是否有人負(fù)責(zé)定 期對(duì)各個(gè)崗位人員進(jìn)行安全技能及安全知識(shí) 的考核；b）應(yīng)訪談人事工作人員， 詢問對(duì)各個(gè)崗位 人員的考核情況，考核周期多長，考核內(nèi)容 有哪些；詢問對(duì)人員的安全審查情況，審查 人員是否包含所有崗位人員，審查內(nèi)容有哪 些（如操作行為、社會(huì)關(guān)系、社交活動(dòng)等），是否全面；C）應(yīng)訪談人事工作人員，詢問對(duì)違背安全 策略和規(guī)定的人員有哪些懲戒措施；d）應(yīng)檢查考核記錄，查看記錄的考核人員 是否包括各個(gè)崗位的人員，考核內(nèi)容是否包 含安全知識(shí)、安全技能等；查看記錄日期與 考核周期是否一致。A.8.2.2 信息安全認(rèn)知、教育及訓(xùn)練組織所有聘雇人員、相關(guān) 的承包商及第三方使用者 均應(yīng)接受與其工作功

29、能相 關(guān)之適切認(rèn)知訓(xùn)練，以及 組織政策與程序定期更新 的內(nèi)容。訪談，檢查。 安全主管，人 事工作人員， 人員考核記 錄。a） 如果7.2.3.3.4 b ）被訪談人員表述審查內(nèi)容包含社會(huì)關(guān)系、社交活動(dòng)、操作行為等 各個(gè)方面，則該 項(xiàng)為肯定；b） 如果7.2.3.3.4 c ）被訪談人員表述 與文件描述一 致，則該項(xiàng)為肯 定；c） 7.2.3.3.4a）-d ）均為肯 定，則信息系統(tǒng) 符合本單元測評(píng) 項(xiàng)要求。b）應(yīng)對(duì)關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核；C）應(yīng)對(duì)考核結(jié)果進(jìn)行記錄 并保存。a）應(yīng)對(duì)各類人員進(jìn)行安全 意識(shí)教育、崗位技能培訓(xùn) 和相關(guān)安全技術(shù)培訓(xùn)；a）應(yīng)訪談安全主管，詢問是否

30、制定安全教 育和培訓(xùn)計(jì)劃并按計(jì)劃對(duì)各個(gè)崗位人員進(jìn)行 安全教育和培訓(xùn)，以什么形式進(jìn)行，效果如 何；b）應(yīng)訪談安全員、系統(tǒng)管理員、網(wǎng)絡(luò)管理 員和數(shù)據(jù)庫管理員，考查其對(duì)工作相關(guān)的信訪談，檢查。 安全主管， 安 全員，系統(tǒng)管 理員，網(wǎng)絡(luò)管 理員，數(shù)據(jù)庫 管理員，培訓(xùn)a）如果7.2.3.4.4 b ）訪談人員能夠表述清楚詢問內(nèi)容，且安全職責(zé)、懲戒措施和b）應(yīng)對(duì)安全責(zé)任和懲戒措 施進(jìn)行書面規(guī)定并告知相 關(guān)人員，對(duì)違反違背安全A.8.2.3 懲罰過程對(duì)違反安全的聘雇人員， 應(yīng)有正式的懲罰過程。723.3人員考核(G3)723.4安全意識(shí)教育和培訓(xùn)（G3）策略和規(guī)定的人員進(jìn)行懲戒；c）應(yīng)對(duì)定期安全教育和培 訓(xùn)

31、進(jìn)行書面規(guī)定，針對(duì)不 同崗位制定不同的培訓(xùn)計(jì) 劃，對(duì)信息安全基礎(chǔ)知 識(shí)、崗位操作規(guī)程等進(jìn)行 培訓(xùn)；d）應(yīng)對(duì)安全教育和培訓(xùn)的 情況和結(jié)果進(jìn)行記錄并歸 檔保存。息安全基礎(chǔ)知識(shí)、安全責(zé)任和懲戒措施等的理解程度；c）應(yīng)檢查安全教育和培訓(xùn)計(jì)劃文檔，查看 是否具有不同崗位的培訓(xùn)計(jì)劃；查看計(jì)劃是 否明確了培訓(xùn)目的、 培訓(xùn)方式、 培訓(xùn)對(duì)象、培訓(xùn)內(nèi)容、 培訓(xùn)時(shí)間和地點(diǎn)等， 培訓(xùn)內(nèi)容是 否包含信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程 等;d）應(yīng)檢查是否具有安全教育和培訓(xùn)記錄，查看記錄是否有培訓(xùn)人員、 培訓(xùn)內(nèi)容、 培訓(xùn) 結(jié)果等的描述； 查看記錄與培訓(xùn)計(jì)劃是否一 致。723.5外部人員訪問管理（G3 ）a）應(yīng)確保在外部人員訪問

32、受控區(qū)域前先提出書面申請，批準(zhǔn)后由專人全程陪同或監(jiān)督，并登記備案；a）應(yīng)訪談安全主管，詢問對(duì)第三方人員（如向系統(tǒng)提供服務(wù)的系統(tǒng)軟、 硬件維護(hù)人員， 業(yè)務(wù)合作伙伴、 評(píng)估人員等） 的訪問采 取哪些管理措施，是否要求第三方人員訪問 前與機(jī)構(gòu)簽署安全責(zé)任合同書或保密協(xié)議；b）應(yīng)訪談安全管理人員，詢問對(duì)第三方人員訪問重要區(qū)域 （如訪問主機(jī)房、 重要服務(wù) 器或設(shè)備、保密文檔等）采取哪些措施，是 否經(jīng)有關(guān)負(fù)責(zé)人書面批準(zhǔn)，是否由專人全程 陪同或監(jiān)督，是否進(jìn)行記錄并備案管理；計(jì)劃， 培訓(xùn)記 錄。 崗位操作規(guī)程表述與文件描述一致，則該項(xiàng)為肯定；b） 72344a） -d ）均為肯 定，則信息系統(tǒng) 符合本單元測評(píng)

33、 項(xiàng)要求。A.8.2.2A. 10.2.1 服務(wù)遞送在第三方服務(wù)遞送協(xié)議內(nèi) 所包含的安全控制措施、 服務(wù)界定及遞送等級(jí)應(yīng)確 保被第三方加以實(shí)施、操 作及維持。訪談，檢查。 安全主管，安 全管理人員， 安全責(zé)任合同 書或保密協(xié) 議，第三方人員訪問管理文檔，訪問批準(zhǔn) 文檔，登記記 錄。b）對(duì)外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息 等內(nèi)容應(yīng)進(jìn)行書面的規(guī) 定，并按照規(guī)定執(zhí)行。c）應(yīng)檢查安全責(zé)任合同書或保密協(xié)議，查 看是否有保密范圍、 保密責(zé)任、 違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等。d）應(yīng)檢查第三方人員訪問管理文檔，查看是否明確第三方人員包括哪些人員，允許第三方人員訪問的范圍 （區(qū)域、 系統(tǒng)、

34、設(shè)備、信息等內(nèi)容），第三方人員進(jìn)入條件（對(duì)哪 些重要區(qū)域的訪問須提出書面申請批準(zhǔn)后方 可進(jìn)入），第三方人員進(jìn)入的訪問控制（由 專人全程陪同或監(jiān)督等）和第三方人員的離 開條件等；e）應(yīng)檢查第三方人員訪問重要區(qū)域批準(zhǔn)文 檔，查看是否有第三方人員訪問重要區(qū)域的 書面申請，是否有批準(zhǔn)人允許訪問的批準(zhǔn)簽 字等；f）應(yīng)檢查第三方人員訪問重要區(qū)域的登記記錄，查看記錄是否描述了第三方人員訪問重要區(qū)域的進(jìn)入時(shí)間、 離開時(shí)間、 訪問區(qū) 域、訪問設(shè)備或信息及陪同人等信息。A. 1022 第三方服務(wù)的監(jiān)督與審查應(yīng)定期監(jiān)督與審查由第三 方所提供的服務(wù)、報(bào)告及 紀(jì)錄，并應(yīng)定期執(zhí)行稽 核。A. 10.2.3 第三方服務(wù)的變

35、更管理服務(wù)條款的變更，包括維持與改進(jìn)現(xiàn)有的信息安全政策、程序及控制措施均a）應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)；b）應(yīng)以書面的形式說明確定信息系統(tǒng)為某個(gè)安全保護(hù)等級(jí)的方法和理由；應(yīng)加以管理，并考慮所涉營運(yùn)系統(tǒng)與過程的重要性以及風(fēng)險(xiǎn)的重新評(píng)鑒。724系統(tǒng)建設(shè)管理7.2.4.1系統(tǒng)定級(jí)（G3）c）應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)信息系統(tǒng)定級(jí)結(jié)果的合理性和正確性進(jìn)行論證和審定；d）應(yīng)確保信息系統(tǒng)的定級(jí)結(jié)果經(jīng)過相關(guān)部門的批 準(zhǔn)。a）應(yīng)訪談安全主管， 詢問劃分信息系統(tǒng)的方法和確定信息系統(tǒng)安全保護(hù)等級(jí)的方法是否參照定級(jí)指南的指導(dǎo)，是否對(duì)其進(jìn)行明確描述；是否組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)定級(jí)結(jié)果進(jìn)行論證

36、和審定，定級(jí)結(jié)果是否獲得了相關(guān)部門（如上級(jí)主管部門）的批準(zhǔn)；b）應(yīng)檢查系統(tǒng)劃分文檔， 查看文檔是否明 確描述信息系統(tǒng)劃分的方法和理由；c）應(yīng)檢查系統(tǒng)定級(jí)文檔， 查看文檔是否給出信息系統(tǒng)的安全保護(hù)等級(jí)，是否明確描述確定信息系統(tǒng)為某個(gè)安全保護(hù)等級(jí)的方法和理由，是否給出安全等級(jí)保護(hù)措施組成SxAyGz 值； 查看定級(jí)結(jié)果是否有相關(guān)部門 的批準(zhǔn)蓋章；d）應(yīng)檢查專家論證文檔， 查看是否有專家 對(duì)定級(jí)結(jié)果的論證意見；e）應(yīng)檢查系統(tǒng)屬性說明文檔， 查看文檔是否明確了系統(tǒng)使命、 業(yè)務(wù)、 網(wǎng)絡(luò)、 硬件、 軟 件、數(shù)據(jù)、邊界、人員等。訪談， 檢查。 安全主管，系 統(tǒng)劃分文檔， 系統(tǒng)定級(jí)文 檔，專家論證 文檔，系統(tǒng)

37、屬 性說明文檔。a） 7.2.4.1.4a）沒有上級(jí)主管部門的，如果有安全主管的批準(zhǔn)，則該項(xiàng)為肯定；724.2安全方案設(shè)計(jì)（G3）a）應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇基本安全措施，并依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施；b）應(yīng)指定和授權(quán)專門的部 門對(duì)信息系統(tǒng)的安全建設(shè) 進(jìn)行總體規(guī)劃，制定近期 和遠(yuǎn)期的安全建設(shè)工作計(jì) 劃；c）應(yīng)根據(jù)信息系統(tǒng)的等級(jí) 劃分情況，統(tǒng)一考慮安全 保障體系的總體安全策 略、安全技術(shù)框架、安全 管理策略、總體建設(shè)規(guī)劃 和詳細(xì)設(shè)計(jì)方案，并形成 配套文件；a）應(yīng)訪談安全主管，詢問是否授權(quán)專門的 部門對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃， 由何部門/何人負(fù)責(zé)；b）應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢

38、問是否制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃，是否根據(jù)系統(tǒng)的安全級(jí)別選擇基本安全措施，是否依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施，做過哪些調(diào)整；c）應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否根據(jù) 信息系統(tǒng)的等級(jí)劃分情況，統(tǒng)一考慮安全保 障體系的總體安全策略、安全技術(shù)框架、安 全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案d）應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)總體安全策略、 安全技術(shù)框架、 安 全管理策略、總體建設(shè)規(guī) 劃、詳細(xì)設(shè)計(jì)方案等相關(guān) 配套文件的合理性和正確 性進(jìn)行論證和審定，并且d）應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)總體安全策略、 安全技術(shù)框架、 安全管理策略等相關(guān)配 套文件進(jìn)行論證和審

39、定，并經(jīng)過管理部門的 批準(zhǔn)；e）應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否根據(jù) 安全測評(píng)、安全評(píng)估的結(jié)果定期調(diào)整和修訂 總體安全策略、安全技術(shù)框架、安全管理策 略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配 套文件，維護(hù)周期多長；f）應(yīng)檢查系統(tǒng)的安全建設(shè)工作計(jì)劃， 查看 文件是否明確了系統(tǒng)的近期安全建設(shè)計(jì)劃和 遠(yuǎn)期安全建設(shè)計(jì)劃；A. 12.1.1 安全要求分析與規(guī)格A. 12.6 技術(shù)脆弱性管理a）對(duì)新信息系統(tǒng)之營運(yùn)要求 聲明，或?qū)ΜF(xiàn)有信息系統(tǒng) 的提升，應(yīng)規(guī)定安全控制 措施要求。B）降低因所使用之已公布 技術(shù)的脆弱性所導(dǎo)致的風(fēng) 險(xiǎn)。A. 12.2 應(yīng)用系統(tǒng)的正確處理防止應(yīng)用系統(tǒng)內(nèi)信息的錯(cuò) 誤、遺失、未授權(quán)修改或

40、誤用。訪談， 檢查。 安全主管，系 統(tǒng)建設(shè)負(fù)責(zé) 人，總體安全 策略文檔，安 全技術(shù)框架， 安全管理策略 文檔，總體建 設(shè)規(guī)劃書，詳 細(xì)設(shè)計(jì)方案， 專家論證文 檔，維護(hù)記 錄。經(jīng)過批準(zhǔn)后，才能正式實(shí)施；g）應(yīng)檢查系統(tǒng)總體安全策略、安全技術(shù)框 架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè) 計(jì)方案等配套文件，查看各個(gè)文件是否有機(jī) 構(gòu)管理層的批準(zhǔn)；h）應(yīng)檢查專家論證文檔， 查看是否有相關(guān) 部門和有關(guān)安全技術(shù)專家對(duì)總體安全策略、 安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī) 戈 U、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的論證意 見；i）應(yīng)檢查是否具有總體安全策略、 安全技 術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳 細(xì)設(shè)計(jì)方案等

41、相關(guān)配套文件的維護(hù)記錄或修 訂版本，查看記錄日期與維護(hù)周期是否一 致。e）應(yīng)根據(jù)等級(jí)測評(píng)、安全 評(píng)估的結(jié)果定期調(diào)整和修 訂總體安全策略、安全技 術(shù)框架、安全管理策略、 總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì) 方案等相關(guān)配套文件。724.3產(chǎn)品采購和使用（G3）a）應(yīng)確保安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定；a）應(yīng)訪談安全主管，詢問是否有專門的部 門負(fù)責(zé)產(chǎn)品的采購，由何部門負(fù)責(zé)；b）應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人， 詢問系統(tǒng)信息 安全產(chǎn)品的采購情況，采購產(chǎn)品前是否預(yù)先 對(duì)產(chǎn)品進(jìn)行選型測試確定產(chǎn)品的候選范圍， 是否有產(chǎn)品采購清單指導(dǎo)產(chǎn)品采購，采購過 程如何控制，是否定期審定和更新候選產(chǎn)品 名單，審定周期多長；C）應(yīng)訪談系統(tǒng)

42、建設(shè)負(fù)責(zé)人，詢問系統(tǒng)是否 采用了密碼產(chǎn)品，密碼產(chǎn)品的使用是否符合訪談，檢查。 安全主管，系 統(tǒng)建設(shè)負(fù)責(zé) 人，產(chǎn)品采購 管理制度，產(chǎn) 品選型測試結(jié)果記錄，候選 產(chǎn)品名單審定 記錄。a）如果72444 c ）訪談?wù)f明沒有采用密碼產(chǎn)品，則 測評(píng)實(shí)施 c）、f）為不適用；b）應(yīng)確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求；c）應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購；國家密碼主管部門的要求；d）應(yīng)檢查產(chǎn)品采購管理制度， 查看內(nèi)容是 否明確采購過程的控制方法（如采購前對(duì)產(chǎn) 品做選型測試，明確需要的產(chǎn)品性能指標(biāo)， 確疋產(chǎn)品的候選范圍，通過招投標(biāo)方式確疋 采購產(chǎn)品等）和人員行為準(zhǔn)則等方面；e）應(yīng)檢查系統(tǒng)使用

43、的有關(guān)信息安全產(chǎn)品（邊界安全設(shè)備、重要服務(wù)器操作系統(tǒng)、數(shù) 據(jù)庫等）是否符合國家的有關(guān)規(guī)定；f）應(yīng)檢查密碼產(chǎn)品的使用情況是否符合密 碼產(chǎn)品使用、管理的相關(guān)規(guī)定，例如商用 密碼管理?xiàng)l例規(guī)定任何單位只能使用經(jīng)過 國家密碼管理機(jī)構(gòu)認(rèn)可的商用密碼產(chǎn)品，商 用密碼產(chǎn)品發(fā)生故障，必須有國家密碼管理 機(jī)構(gòu)指定的單位維修，報(bào)廢商用密碼產(chǎn)品應(yīng) 向國家密碼管理機(jī)構(gòu)備案，計(jì)算機(jī)信息系 統(tǒng)保密工作暫行規(guī)定規(guī)定涉密系統(tǒng)配置合 格的保密專用設(shè)備，所采取的保密措施應(yīng)與 所處理信息的密級(jí)要求相一致等；g）應(yīng)檢查是否具有產(chǎn)品選型測試結(jié)果記錄、候選產(chǎn)品名單審定記錄或更新的候選產(chǎn) 品名單。d）應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型 測試，確定產(chǎn)品的候

44、選范 圍，并定期審定和更新候 選產(chǎn)品名單。724.4自行軟件開發(fā)（G3）a）應(yīng)確保開發(fā)環(huán)境與實(shí)際 運(yùn)行環(huán)境物理分開，開發(fā) 人員和測試人員分離，測a）應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問系統(tǒng)是否 自主開發(fā)軟件，是否對(duì)程序資源庫的修改、 更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)，授權(quán)部門是何 部門，批準(zhǔn)人是何人，軟件開發(fā)是否有相應(yīng)A. 10.1.4 開發(fā)、測試及操作設(shè)施的分隔應(yīng)分隔開發(fā)、 測試及操作 設(shè)施，以降低對(duì)操作系統(tǒng) 未經(jīng)授權(quán)存取或變更的風(fēng) 險(xiǎn)。訪談，檢查。 系統(tǒng)建設(shè)負(fù)責(zé) 人，軟件設(shè)計(jì) 相關(guān)文檔和使試數(shù)據(jù)和測試結(jié)果受到控制；的控制措施，是否要求開發(fā)人員不能做測試 人員（即二者分離），是否在獨(dú)立的模擬環(huán) 境中編寫、調(diào)試

45、和完成；b）應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人， 詢問系統(tǒng)開發(fā) 文檔是否由專人負(fù)責(zé)保管，負(fù)責(zé)人是何人， 如何控制使用（如限制使用人員范圍并做使 用登記等），測試數(shù)據(jù)和測試結(jié)果是否受到 控制；c）應(yīng)檢查是否具有軟件設(shè)計(jì)的相關(guān)文檔（應(yīng)用軟件設(shè)計(jì)程序文件、源代碼說明文檔 等）和軟件使用指南或操作手冊和維護(hù)手冊 等；d）應(yīng)檢查軟件開發(fā)環(huán)境與系統(tǒng)運(yùn)行環(huán)境在 物理上是否是分開的；e）應(yīng)檢查對(duì)程序資源庫的修改、更新、發(fā) 布進(jìn)行授權(quán)和審批的文檔或記錄，查看是否 有批準(zhǔn)人的簽字；f）應(yīng)檢查是否具有系統(tǒng)軟件開發(fā)相關(guān)文檔（軟件設(shè)計(jì)和開發(fā)程序文件、測試數(shù)據(jù)、測 試結(jié)果、維護(hù)手冊等）的使用控制記錄。用指南，審批文檔或記錄，文檔使用控

46、制記錄。b）應(yīng)制定軟件開發(fā)管理制 度，明確說明開發(fā)過程的 控制方法和人員行為準(zhǔn) 貝折c）應(yīng)制定代碼編寫安全規(guī) 范，要求開發(fā)人員參照規(guī) 范編寫代碼；d）應(yīng)確保提供軟件設(shè)計(jì)的 相關(guān)文檔和使用指南，并 由專人負(fù)責(zé)保管；e）應(yīng)確保對(duì)程序資源庫的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)。724.5外包軟件a）應(yīng)根據(jù)開發(fā)需求檢測軟件質(zhì)量；a）應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問在外包軟件前是否對(duì)軟件開發(fā)單位以書面文檔形式訪談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)訪談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，工程安全建設(shè)協(xié)議，工開發(fā)(G3)b）應(yīng)在軟件安裝之前檢測 軟件包中可能存在的惡意 代碼；c）應(yīng)要求開發(fā)單位提供軟 件設(shè)計(jì)的相關(guān)文檔和使用 指南；d）應(yīng)要求開

47、發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門。724.6工程實(shí)施（G3）a）應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實(shí)施過程的管理；（如軟件開發(fā)安全協(xié)議） 規(guī)范軟件開發(fā)單位的責(zé)任、 開發(fā)過程中的安全行為、 開發(fā)環(huán)境 要求、軟件質(zhì)量、開發(fā)后的服務(wù)承諾等內(nèi) 容；b） 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否具有獨(dú)立對(duì)軟件進(jìn)行日常維護(hù)和使用所需的文檔，開發(fā)單位是否為軟件的正常運(yùn)行和維護(hù)提供過技術(shù)支持，以何種方式進(jìn)行；c） 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問軟件交付前是否依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測，驗(yàn)收檢測是否是由開發(fā)商和委托方共同參與；軟件安裝之前是否檢測軟件中的惡意代碼，檢測工具是否是第三

48、方的商業(yè)產(chǎn)品；d） 應(yīng)檢查軟件開發(fā)協(xié)議，查看其是否規(guī)定知識(shí)產(chǎn)權(quán)歸屬、安全行為等內(nèi)容；e） 應(yīng)檢查是否具有需求分析說明書、軟件設(shè)計(jì)說明書、軟件操作手冊等開發(fā)文檔以及用戶培訓(xùn)計(jì)劃、程序員培訓(xùn)手冊等后期技術(shù)支持文檔。a） 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否以書面形式 （如工程安全建設(shè)協(xié)議） 約束工程實(shí) 施方的工程實(shí)施行為；b） 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否指定人，軟件開發(fā)安全協(xié)議，軟件開發(fā)文檔，軟件培訓(xùn)文檔。724.7規(guī)劃與驗(yàn)收（G3）b）應(yīng)制定詳細(xì)的工程實(shí)施方案控制實(shí)施過程， 并要 求工程實(shí)施單位能正式地 執(zhí)行安全工程過程；c）應(yīng)制定工程實(shí)施方面的管理制度，明確說明實(shí)施過程的控制方法和人員行為準(zhǔn)則。

49、a）應(yīng)委托公正的第三方測 試單位對(duì)系統(tǒng)進(jìn)行安全性 測試，并出具安全性測試 報(bào)告；b）在測試驗(yàn)收前應(yīng)根據(jù)設(shè) 計(jì)方案或合同要求等制訂 測試驗(yàn)收方案，在測試驗(yàn) 收過程中應(yīng)詳細(xì)記錄測試 驗(yàn)收結(jié)果，并形成測試驗(yàn) 收報(bào)告；專門人員或部門按照工程實(shí)施方案的要求對(duì)工程實(shí)施過程進(jìn)行進(jìn)度和質(zhì)量控制，是否將控制方法和工程人員行為規(guī)范制度化，是否要求工程實(shí)施單位提供其能夠安全實(shí)施系統(tǒng)建設(shè)的資質(zhì)證明和能力保證；c） 應(yīng)檢查工程安全建設(shè)協(xié)議，查看其是否規(guī)定工程實(shí)施方的責(zé)任、 任務(wù)要求、 質(zhì)量要 求等方面內(nèi)容，約束工程實(shí)施行為；d） 應(yīng)檢查工程實(shí)施方案，查看其是否規(guī)定工程時(shí)間限制、 進(jìn)度控制、 質(zhì)量控制等方面 內(nèi)容，工程實(shí)

50、施過程是否按照實(shí)施方案形成 各種文檔，如階段性工程報(bào)告；e） 應(yīng)檢查工程實(shí)施管理制度，查看其是否規(guī)定工程實(shí)施過程的控制方法（如內(nèi)部階段性控制或外部監(jiān)理單位控制） 、 實(shí)施參與人 員的各種行為等方面內(nèi)容。a） 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問在信息系統(tǒng)正式運(yùn)行前，是否委托第三方測試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測試；b） 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否指定專門部門負(fù)責(zé)測試驗(yàn)收工作， 由何部門負(fù) 責(zé)，是否對(duì)測試過程（包括測試前、測試中 和測試后）進(jìn)行文檔化要求和制度化要求；c） 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否根據(jù)設(shè)計(jì)方案或合同要求組織相關(guān)部門和人員對(duì)程實(shí)施方案，工程實(shí)施管理制度。A

51、. 10.3.2 系統(tǒng)驗(yàn)收對(duì)新的信息系統(tǒng)、系統(tǒng)升 級(jí)及新版本的驗(yàn)收準(zhǔn)則應(yīng) 加以建立，并且在開發(fā)期 間與驗(yàn)收前應(yīng)完成適當(dāng)之 系統(tǒng)測試。訪談， 檢查。系統(tǒng)建設(shè)負(fù)責(zé)人， 測試方 案，測試記 錄，測試報(bào) 告，驗(yàn)收報(bào) 告，驗(yàn)收測試 管理制度。724.8系統(tǒng)交付(G3)c）應(yīng)對(duì)系統(tǒng)測試驗(yàn)收的控 制方法和人員行為準(zhǔn)則進(jìn) 行書面規(guī)定；d）應(yīng)指定或授權(quán)專門的部 門負(fù)責(zé)系統(tǒng)測試驗(yàn)收的管 理，并按照管理規(guī)定的要 求完成系統(tǒng)測試驗(yàn)收工 作；e）應(yīng)組織相關(guān)部門和相關(guān) 人員對(duì)系統(tǒng)測試驗(yàn)收報(bào)告 進(jìn)行審定，并簽字確認(rèn)。測試報(bào)告進(jìn)行符合性審定；d） 應(yīng)檢查工程測試方案，查看其是否對(duì)參與測試部門、人員、現(xiàn)場操作過程等進(jìn)行要求；

52、查看測試記錄是否詳細(xì)記錄了測試時(shí) 間、人員、操作過程、測試結(jié)果等方面內(nèi) 容；查看測試報(bào)告是否提出存在問題及改進(jìn) 意見等；e） 應(yīng)檢查是否具有系統(tǒng)驗(yàn)收報(bào)告；f） 應(yīng)檢查驗(yàn)收測試管理制度是否對(duì)系統(tǒng)驗(yàn)收測試的過程控制、參與人員的行為等進(jìn)行規(guī)定。a）應(yīng)制定詳細(xì)的系統(tǒng)交付 清單，并根據(jù)交付清單對(duì) 所交接的設(shè)備、軟件和文 檔等進(jìn)行清點(diǎn)；b）應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù) 的技術(shù)人員進(jìn)行相應(yīng)的技 能培訓(xùn)；c）應(yīng)確保提供系統(tǒng)建設(shè)過 程中的文檔和指導(dǎo)用戶進(jìn) 行系統(tǒng)運(yùn)行維護(hù)的文檔；d）應(yīng)對(duì)系統(tǒng)交付的控制方 法和人員行為準(zhǔn)則進(jìn)行書 面規(guī)定；a）應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問交接手續(xù) 是什么，系統(tǒng)交接工作是否由專門部門按照 該手續(xù)

53、辦理，是否根據(jù)交付清單對(duì)所交接的 設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)，交付清單是 否滿足合同的有關(guān)要求；是否對(duì)交付工作進(jìn) 行制度化要求；b）應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問目前的信息系統(tǒng)是否由內(nèi)部人員獨(dú)立運(yùn)行維護(hù)，如果是，系統(tǒng)建設(shè)實(shí)施方是否對(duì)運(yùn)維技術(shù)人員進(jìn)行過培訓(xùn)， 針對(duì)哪些方面進(jìn)行過培訓(xùn)， 是否 以書面形式承諾對(duì)系統(tǒng)運(yùn)行維護(hù)提供一定的 技術(shù)支持服務(wù)，是否按照服務(wù)承諾書的要求 進(jìn)行過技術(shù)支持，以何形式進(jìn)行，系統(tǒng)是否A. 12.4 系統(tǒng)檔案的安全確保系統(tǒng)檔案的安全。訪談， 檢查。 系統(tǒng)建設(shè)負(fù)責(zé)人，系統(tǒng)交付清單，服務(wù)承諾書，系統(tǒng)培訓(xùn)記錄，系統(tǒng)交付管理制度。724.9系統(tǒng)備案（G3）e）應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)

54、系統(tǒng)交付的管理工作，并按照管理規(guī)定的要求完成系統(tǒng)交付工作。a）應(yīng)指定專門的部門或人 員負(fù)責(zé)管理系統(tǒng)定級(jí)的相 關(guān)材料，并控制這些材料 的使用；b）應(yīng)將系統(tǒng)等級(jí)及相關(guān)材 料報(bào)系統(tǒng)主管部門備案；c）應(yīng)將系統(tǒng)等級(jí)及其他要求的備案材料報(bào)相應(yīng)公安機(jī)關(guān)備案。具有支持其獨(dú)立運(yùn)行維護(hù)所需的文檔；c）應(yīng)檢查系統(tǒng)交付清單，查看其是否具有 系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用 戶進(jìn)行系統(tǒng)運(yùn)維的文檔（如服務(wù)器操作規(guī)程 書）以及系統(tǒng)培訓(xùn)手冊等文檔名稱；d）應(yīng)檢查是否具有系統(tǒng)建設(shè)方的服務(wù)承諾書和對(duì)系統(tǒng)進(jìn)行的培訓(xùn)記錄；e）應(yīng)檢查系統(tǒng)交付管理制度，查看其是否 規(guī)定了交付過程的控制方法和對(duì)交付參與人 員的行為限制等方面內(nèi)容。a

55、）應(yīng)訪談安全主管，詢問是否有專門的人 員或部門負(fù)責(zé)管理系統(tǒng)定級(jí)、系統(tǒng)屬性等文 檔，由何部門/何人負(fù)責(zé)；b）應(yīng)訪談文檔管理員， 詢問對(duì)系統(tǒng)定級(jí)、系統(tǒng)屬性等文檔采取哪些控制措施（如限制 使用范圍、使用登記記錄等）；c）應(yīng)檢查是否具有將系統(tǒng)定級(jí)文檔和系統(tǒng) 屬性說明文件等材料報(bào)主管部門備案的記錄 或備案文檔；d）應(yīng)檢查是否具有將系統(tǒng)等級(jí)、系統(tǒng)屬性和等級(jí)劃分理由等備案材料報(bào)相應(yīng)公安機(jī)關(guān)備案的記錄或證明；e）應(yīng)檢查是否具有系統(tǒng)定級(jí)文檔和系統(tǒng)屬 性說明文件等相關(guān)材料的使用控制記錄。訪談，檢查。安全主管，文檔管理員，備案記錄。724.10等級(jí)測評(píng)(G3)a）在系統(tǒng)運(yùn)行過程中，應(yīng) 至少每年對(duì)系統(tǒng)進(jìn)行一次 等級(jí)測

56、評(píng)，發(fā)現(xiàn)不符合相 應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及 時(shí)整改；/b）應(yīng)在系統(tǒng)發(fā)生變更時(shí)及 時(shí)對(duì)系統(tǒng)進(jìn)行等級(jí)測評(píng)， 發(fā)現(xiàn)級(jí)別發(fā)生變化的及時(shí) 調(diào)整級(jí)別并進(jìn)行安全改 造，發(fā)現(xiàn)不符合相應(yīng)等級(jí) 保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改；c）應(yīng)選擇具有國家相關(guān)技 術(shù)資質(zhì)和安全資質(zhì)的測評(píng) 單位進(jìn)行等級(jí)測評(píng)；d）應(yīng)指定或授權(quán)專門的部 門或人員負(fù)責(zé)等級(jí)測評(píng)的 管理。7.2.4.11安全服務(wù)商選擇（G3）a）應(yīng)確保安全服務(wù)商的選 擇符合國家的有關(guān)規(guī)定；a）應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問對(duì)信息系 統(tǒng)進(jìn)行安全規(guī)劃、設(shè)計(jì)、實(shí)施、維護(hù)、測評(píng) 等服務(wù)的安全服務(wù)單位是否符合國家有關(guān)規(guī) 疋。訪談。系統(tǒng)建設(shè)負(fù)責(zé)人。b）應(yīng)與選定的安全服務(wù)商 簽訂與安全相關(guān)的協(xié)議，

57、 明確約定相關(guān)責(zé)任；c）應(yīng)確保選定的安全服務(wù) 商提供技術(shù)培訓(xùn)和服務(wù)承諾，必要的與其簽訂服務(wù) 合同。725系統(tǒng)運(yùn)維管理7.2.5.1環(huán)境管理(G3)a）應(yīng)指定專門的部門或人 員定期對(duì)機(jī)房供配電、空 調(diào)、溫濕度控制等設(shè)施進(jìn) 行維護(hù)管理；a）應(yīng)訪談物理安全負(fù)責(zé)人，詢問是否指定 專人或部門對(duì)機(jī)房基本設(shè)施（如空調(diào)、供配 電設(shè)備等）進(jìn)行定期維護(hù)，由何部門/何人 負(fù)責(zé)，維護(hù)周期多長；b）應(yīng)訪談物理安全負(fù)責(zé)人， 詢問是否指定 人員負(fù)責(zé)機(jī)房安全管理工作，對(duì)機(jī)房進(jìn)出管 理是否要求制度化和文檔化；c）應(yīng)訪談機(jī)房值守人員，詢問對(duì)外來人員進(jìn)出機(jī)房是否采用人工記錄和電子記錄雙重 控制；d）應(yīng)訪談工作人員，詢問對(duì)辦公環(huán)境的

58、保密性要求事項(xiàng)；e）應(yīng)檢查機(jī)房安全管理制度，查看其內(nèi)容是否覆蓋機(jī)房物理訪問、物品帶進(jìn)、帶出機(jī) 房、機(jī)房環(huán)境安全等方面；f）應(yīng)檢查辦公環(huán)境管理文檔，查看其內(nèi)容 是否對(duì)工作人員離開座位后的保密行為（如 清理桌面文件和屏幕鎖定等）、人員調(diào)離辦 公室后的行為等方面進(jìn)行規(guī)定；g）應(yīng)檢查機(jī)房進(jìn)出登記表，查看是否記錄 外來人員進(jìn)出時(shí)間、人員姓名、訪問原因等A9.1 物理與環(huán)境安全A.9.1.1 實(shí)體安全周界A.9.1.4 對(duì)外部與環(huán)境威脅的保護(hù)應(yīng)使用安全周界（例如 墻、卡片控制的進(jìn)入信道 或人工駐守的柜臺(tái)等屏 障），以保護(hù)含有信息與 信息處理設(shè)施的區(qū)域。應(yīng)設(shè)計(jì)與運(yùn)用實(shí)體保護(hù)， 以避免遭受火災(zāi)、洪水、 地震、

59、爆炸、民眾暴動(dòng)及 其它天然或人為災(zāi)難的損 害訪談，檢查。物理安全負(fù)責(zé)人，機(jī)房值守 人員，機(jī)房工 作人員，機(jī)房 安全管理制 度，辦公環(huán)境 管理文檔，設(shè)備維護(hù)記錄， 機(jī)房進(jìn)出登記 表，機(jī)房電子 門禁系統(tǒng)及其 電子記錄。b）應(yīng)指定部門負(fù)責(zé)機(jī)房安 全，并配備機(jī)房安全管理 人員，對(duì)機(jī)房的出入、服 務(wù)器的開機(jī)或關(guān)機(jī)等工作 進(jìn)行管理；A.9.1.2 實(shí)體進(jìn)入控制措施安全區(qū)域應(yīng)藉由適當(dāng)?shù)倪M(jìn) 入控制措施加以保護(hù)，以 確保只有授權(quán)人員方可允 許進(jìn)入。c）應(yīng)建立機(jī)房安全管理制 度，對(duì)有關(guān)機(jī)房物理訪 問，物品帶進(jìn)、帶出機(jī)房 和機(jī)房環(huán)境安全等方面的 管理作出規(guī)定；A.9.1.6 公共存取、遞送及裝卸區(qū)諸如遞送與裝卸區(qū)以

60、及其 它未經(jīng)授權(quán)人員可能進(jìn)入 作業(yè)場所之進(jìn)入點(diǎn)應(yīng)加以 管制；并且，若可能，應(yīng) 將信息處理設(shè)施隔離，以 避免未經(jīng)授權(quán)的存取。d）應(yīng)加強(qiáng)對(duì)辦公環(huán)境的保 密性管理，規(guī)范辦公環(huán)境 人員行為，包括工作人員 調(diào)離辦公室應(yīng)立即交還該 辦公室鑰匙、不在辦公區(qū) 接待來訪人員、工作人員離開座位確保終端計(jì)算機(jī) 退出登錄狀態(tài)和桌面上沒 有包含敏感信息的紙檔文 件等；內(nèi)容；查看是否具有電子門禁系統(tǒng)，電子記 錄文檔是否有時(shí)間、人員等信息；h）應(yīng)檢查機(jī)房基礎(chǔ)設(shè)施維護(hù)記錄，查看是 否記錄維護(hù)日期、維護(hù)人、維護(hù)設(shè)備、故障 原因、維護(hù)結(jié)果等方面內(nèi)容。A.9.1.3 安全的辦公處所及設(shè)施A.9.1.5 安全區(qū)域內(nèi)之工作辦公室、房間