安全管理測(cè)評(píng)作業(yè)指導(dǎo)書(共187頁(yè))

1、精選優(yōu)質(zhì)文檔-傾情為你奉上 安全管理測(cè)評(píng)作業(yè)指導(dǎo)書編制： 校對(duì)： 審核： 批準(zhǔn)： 2009 發(fā)布 2009 實(shí)施修訂頁(yè)更改狀態(tài)序號(hào)對(duì)應(yīng)的章、節(jié)、條號(hào)修訂內(nèi)容更改人批準(zhǔn)人批準(zhǔn)日期 專心-專注-專業(yè)1 目的安全管理貫穿于信息系統(tǒng)的整個(gè)生命周期，在保障信息系統(tǒng)的安全中發(fā)揮了重要作用，與安全技術(shù)占據(jù)同等重要的地位。安全管理通常是指在信息系統(tǒng)中對(duì)需要人來(lái)參與的活動(dòng)采取必要的管理控制措施，通過(guò)文檔化的管理體系，為保障系統(tǒng)正常運(yùn)行所涉及的人員活動(dòng)做出明確規(guī)定。本手冊(cè)的編寫目的是為了指導(dǎo)管理測(cè)評(píng)實(shí)施人員的實(shí)際工作，根據(jù)實(shí)際工作的深入開(kāi)展，會(huì)及時(shí)對(duì)本作業(yè)指導(dǎo)書進(jìn)行更新，以保證指導(dǎo)書的高指導(dǎo)性。2 適用范圍本手冊(cè)

2、適用于在現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施中負(fù)責(zé)安全管理測(cè)評(píng)檢查的測(cè)評(píng)人員。3 職責(zé)3.1 測(cè)評(píng)師1）測(cè)評(píng)師應(yīng)在客觀、公正的情形下，按照測(cè)評(píng)雙方相互認(rèn)可的測(cè)評(píng)方案，基于明確定義的測(cè)評(píng)方式和解釋，實(shí)施測(cè)評(píng)活動(dòng)；2）測(cè)評(píng)師應(yīng)正確理解測(cè)評(píng)項(xiàng)，并具有良好的判斷；3）測(cè)評(píng)師應(yīng)注意測(cè)評(píng)記錄和證據(jù)的接收、處理、存儲(chǔ)和銷毀，保護(hù)其在測(cè)評(píng)期間免遭改變和遺失，并保守秘密；4）測(cè)評(píng)師應(yīng)遵循正確的測(cè)評(píng)方法進(jìn)行現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果判定，以確保滿足相關(guān)標(biāo)準(zhǔn)的要求。4 相關(guān)文件4.1 依據(jù)標(biāo)準(zhǔn)GB/T 22239-2008信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求4.2 參考標(biāo)準(zhǔn)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求（送審稿）信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南（

3、送審稿）上述文件中的條款通過(guò)本手冊(cè)的引用而成為本手冊(cè)的內(nèi)容。凡是注明日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本手冊(cè)。凡是不注明日期的引用文件，其最新版本適用于本手冊(cè)。5 測(cè)評(píng)方法人員訪談測(cè)評(píng)師通過(guò)與被檢查人員進(jìn)行交流，對(duì)測(cè)評(píng)檢查項(xiàng)進(jìn)行細(xì)化。所獲得測(cè)評(píng)所需數(shù)據(jù)，進(jìn)行查驗(yàn)、分析等活動(dòng)，獲取證據(jù)以證明信息系統(tǒng)安全等級(jí)保護(hù)措施是否有效。文檔檢查測(cè)評(píng)師通過(guò)文檔檢查驗(yàn)證用戶的現(xiàn)有文檔與測(cè)評(píng)要求的符合程度，獲取證據(jù)以證明信息系統(tǒng)安全等級(jí)保護(hù)措施是否有效。6 操作步驟6.1 測(cè)評(píng)前準(zhǔn)備確定安全管理檢查的測(cè)評(píng)內(nèi)容。根據(jù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求中的管理要求，安全管理測(cè)評(píng)包括五個(gè)

4、部分，分別為安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理。確定安全管理檢查的測(cè)評(píng)對(duì)象。安全管理檢查分為管理訪談與管理文檔檢查兩個(gè)部分。管理訪談在進(jìn)入現(xiàn)場(chǎng)實(shí)施訪談工作之前，需要與被測(cè)方進(jìn)行溝通，確認(rèn)對(duì)方被訪談對(duì)象的名單，確認(rèn)其中是否存在同一被訪談對(duì)象對(duì)應(yīng)多個(gè)訪談崗位的狀況，在與被測(cè)方就“崗位人員”對(duì)應(yīng)關(guān)系取得一致性意見(jiàn)后，編寫訪談工作實(shí)施計(jì)劃，并提交被測(cè)方，確認(rèn)訪談工作開(kāi)展的時(shí)間、地點(diǎn)、被訪談對(duì)象的先后順序。同時(shí)進(jìn)入現(xiàn)場(chǎng)之前，需確認(rèn)所有安全管理訪談檢查表已準(zhǔn)備妥當(dāng)，并熟悉列表中的內(nèi)容。管理文檔檢查在進(jìn)入現(xiàn)場(chǎng)實(shí)施檢查工作之前，需要與被測(cè)方進(jìn)行溝通，確認(rèn)配合文檔檢查的人員等。

5、同時(shí)進(jìn)入現(xiàn)場(chǎng)之前，需確認(rèn)所有文檔檢查表已準(zhǔn)備妥當(dāng)，并熟悉列表中的內(nèi)容。6.2 現(xiàn)場(chǎng)測(cè)評(píng)進(jìn)入現(xiàn)場(chǎng)測(cè)評(píng)階段后，首先應(yīng)確定檢查對(duì)象進(jìn)行訪談、檢查，并在檢查的過(guò)程中分別填寫對(duì)應(yīng)的管理訪談表與文檔檢查表。完成檢查后，測(cè)評(píng)師與檢查對(duì)象分別對(duì)現(xiàn)場(chǎng)檢查表上的內(nèi)容確認(rèn)無(wú)誤后簽字確認(rèn)。安全管理測(cè)評(píng)現(xiàn)場(chǎng)實(shí)施流程圖如下：圖1 安全管理測(cè)評(píng)現(xiàn)場(chǎng)實(shí)施流程6.3 異常處理若檢查對(duì)象對(duì)測(cè)評(píng)項(xiàng)存在疑問(wèn)，測(cè)評(píng)師應(yīng)向其進(jìn)行解釋或舉例說(shuō)明，以保證測(cè)評(píng)工作能夠順利進(jìn)行。若檢查對(duì)象拒絕或不配合進(jìn)行測(cè)評(píng)實(shí)施，測(cè)評(píng)師應(yīng)報(bào)測(cè)評(píng)項(xiàng)目經(jīng)理獲知，經(jīng)測(cè)評(píng)項(xiàng)目經(jīng)理確認(rèn)后，雙方簽字確認(rèn)。6.4 現(xiàn)場(chǎng)的清理現(xiàn)場(chǎng)測(cè)評(píng)工作結(jié)束時(shí)，雙方對(duì)被測(cè)系統(tǒng)的運(yùn)行情況進(jìn)行驗(yàn)

6、證并簽字確認(rèn)。測(cè)評(píng)師應(yīng)對(duì)所有檢查表的完整性進(jìn)行確認(rèn)，內(nèi)容包括：檢查列表的表頭、結(jié)果記錄、日期等均填寫完整無(wú)誤，所有檢查表無(wú)缺頁(yè)。確認(rèn)工作完成后，報(bào)測(cè)評(píng)項(xiàng)目經(jīng)理，測(cè)評(píng)現(xiàn)場(chǎng)實(shí)施完成。6.5 注意事項(xiàng)應(yīng)遵循最小影響原則?，F(xiàn)場(chǎng)測(cè)評(píng)盡量避開(kāi)被測(cè)系統(tǒng)的業(yè)務(wù)高峰期進(jìn)行實(shí)施。應(yīng)遵循安全原則。對(duì)于存在安全風(fēng)險(xiǎn)的測(cè)評(píng)實(shí)施，測(cè)評(píng)師必須向被檢查對(duì)象明示，在取得對(duì)方授權(quán)后方可進(jìn)行；若對(duì)方拒絕授權(quán)，應(yīng)報(bào)測(cè)評(píng)項(xiàng)目經(jīng)理獲知，由測(cè)評(píng)項(xiàng)目經(jīng)理與對(duì)方進(jìn)行協(xié)商，若仍不能獲得授權(quán)，則可不進(jìn)行該測(cè)評(píng)實(shí)施，但應(yīng)在記錄表中說(shuō)明。7 記錄7.1 二級(jí)系統(tǒng)安全管理測(cè)評(píng)檢查表包括不同參數(shù)的組合用表。7.2 三級(jí)系統(tǒng)安全管理測(cè)評(píng)檢查表包括不同參數(shù)的

7、組合用表。7.3 四級(jí)系統(tǒng)安全管理測(cè)評(píng)檢查表包括不同參數(shù)的組合用表。8 關(guān)鍵測(cè)評(píng)要點(diǎn)說(shuō)明8.1 二級(jí)系統(tǒng)關(guān)鍵測(cè)評(píng)要點(diǎn)說(shuō)明以下先就對(duì)安全管理測(cè)評(píng)中可能涉及到的內(nèi)容進(jìn)行說(shuō)明：情況一、若被訪談對(duì)象的實(shí)際工作職責(zé)對(duì)應(yīng)于訪談崗位中的多個(gè)，可以根據(jù)被訪談對(duì)象的表述，同時(shí)填寫多份訪談?dòng)涗洷?，避免出現(xiàn)就同一問(wèn)題多次訪談同一對(duì)象的狀況；情況二、需檢查的文檔中關(guān)于人員安全管理部分，有些單位此部分文檔可能不在測(cè)評(píng)工作實(shí)地，為避免拖延工作進(jìn)度需提前協(xié)調(diào)；情況三、根據(jù)行業(yè)特征的不同，可能不存在關(guān)鍵崗位定期輪崗，需要根據(jù)實(shí)際情況具體分析；情況四、需驗(yàn)證文檔周期性時(shí)，可通過(guò)調(diào)用相鄰兩份實(shí)際記錄，查看其間隔的時(shí)間進(jìn)行驗(yàn)證；

8、情況五、安全管理測(cè)評(píng)的內(nèi)容可以根據(jù)現(xiàn)場(chǎng)實(shí)際情況稍作調(diào)整。8.1.1 安全管理制度8.1.1.1 管理制度a）應(yīng)制定信息安全工作的總體方針和安全策略，說(shuō)明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等?！久枋觥啃畔踩结樥呤亲罡邔拥陌踩募?，闡明安全工作的使命和意愿，定義信息安全的總體目標(biāo)，規(guī)定信息安全管理的責(zé)任機(jī)構(gòu)及其職責(zé)，以及建立的適用的安全工作運(yùn)行模式等。【檢查方法】 應(yīng)檢查信息安全工作的總體方針和安全策略文件，查看文件是否明確機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等。b）應(yīng)對(duì)安全管理活動(dòng)中重要的管理內(nèi)容建立安全管理制度?！久枋觥堪踩芾碇贫仁且园踩结樥咝晕募橹笇?dǎo)，對(duì)信息系

9、統(tǒng)的建設(shè)、開(kāi)發(fā)、運(yùn)維、升級(jí)和改造等各個(gè)階段和環(huán)節(jié)所應(yīng)當(dāng)遵循的行為加以規(guī)范?！緳z查方法】應(yīng)檢查各項(xiàng)安全管理制度，查看是否覆蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、建設(shè)和管理等層面的重要管理內(nèi)容。c）應(yīng)對(duì)安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程?！久枋觥堪踩僮饕?guī)程是各項(xiàng)具體活動(dòng)的實(shí)施步驟或方法，是信息安全政策從抽象到具體，從宏觀管理層落實(shí)到具體執(zhí)行層的重要一環(huán)?！緳z查方法】 應(yīng)檢查是否具有重要管理操作的操作規(guī)程（如系統(tǒng)維護(hù)手冊(cè)和用戶操作規(guī)程等）。8.1.1.2 制定和發(fā)布a）應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定?！久枋觥啃畔踩芾碇贫鹊闹贫ê桶l(fā)布，應(yīng)授權(quán)專門的部門和人員負(fù)

10、責(zé)?！緳z查方法】應(yīng)訪談安全主管，詢問(wèn)是否有專門的部門或人員負(fù)責(zé)制定安全管理制度。應(yīng)訪談安全管理制度制、修訂人員，詢問(wèn)安全管理制度的制定程序。b）應(yīng)組織相關(guān)人員對(duì)制定的安全管理制度進(jìn)行論證和審定。【描述】安全管理制度制定后，應(yīng)組織相關(guān)人員對(duì)其可行性進(jìn)行論證和審定?！緳z查方法】 應(yīng)訪談安全管理制度制、修訂人員，詢問(wèn)是否對(duì)制定的安全管理制度進(jìn)行論證和審定，論證和評(píng)審方式如何。應(yīng)檢查管理制度評(píng)審記錄，查看是否有相關(guān)人員的評(píng)審意見(jiàn)。c）應(yīng)將安全管理制度以某種方式發(fā)布到相關(guān)人員手中?！久枋觥繎?yīng)對(duì)重要文件進(jìn)行控制，發(fā)布安全管理制度時(shí)應(yīng)注明發(fā)布范圍，并對(duì)收發(fā)的安全管理制度做好登記?！緳z查方法】 應(yīng)訪談安全管理

11、制度制、修訂人員，詢問(wèn)安全管理制度的發(fā)布方式。8.1.1.3 評(píng)審和修訂a）應(yīng)定期對(duì)安全管理制度進(jìn)行評(píng)審，對(duì)存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂?！久枋觥繎?yīng)定期對(duì)安全管理制度進(jìn)行評(píng)審，對(duì)存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂?！緳z查方法】 應(yīng)訪談安全主管，詢問(wèn)是否定期對(duì)安全管理制度進(jìn)行評(píng)審，評(píng)審周期多長(zhǎng)，發(fā)現(xiàn)存在不足或需要改進(jìn)的是否進(jìn)行修訂。應(yīng)檢查安全管理制度評(píng)審記錄，查看記錄的日期間隔與評(píng)審周期是否一致；如果對(duì)制度做過(guò)修訂，檢查是否有修訂版本的安全管理制度。8.1.2 安全管理機(jī)構(gòu)8.1.2.1 崗位設(shè)置 a）應(yīng)設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)?！久枋觥?/p>

12、為保證安全管理工作的有效實(shí)施，應(yīng)設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位，并明確各崗位的職責(zé)?！緳z查方法】 應(yīng)訪談安全主管，詢問(wèn)是否設(shè)立安全管理各個(gè)方面的負(fù)責(zé)人。應(yīng)訪談安全主管、安全管理某方面的負(fù)責(zé)人，詢問(wèn)其崗位職責(zé)包括哪些內(nèi)容。應(yīng)檢查崗位職責(zé)文檔，查看文檔是否明確設(shè)置安全主管、安全管理各個(gè)方面的負(fù)責(zé)人，各個(gè)崗位的職責(zé)范圍是否清晰、明確。b）應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個(gè)工作崗位的職責(zé)?！久枋觥吭O(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個(gè)工作崗位的職責(zé)?！緳z查方法】 應(yīng)訪談安全主管，詢問(wèn)設(shè)置了哪些工作崗位，各個(gè)崗位的職責(zé)分工是否明確。應(yīng)檢查崗位職責(zé)文檔

13、，查看文檔是否明確設(shè)置機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和安全管理員等各個(gè)崗位，各個(gè)崗位的職責(zé)范圍是否清晰、明確。8.1.2.2 人員配備 a）應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等。【描述】應(yīng)配備系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員、安全管理員、機(jī)房管理員等重要崗位人員?！緳z查方法】 應(yīng)訪談安全主管，詢問(wèn)各個(gè)安全管理崗位人員的配備情況，包括數(shù)量。應(yīng)檢查安全管理各崗位人員信息表，查看其是否明確機(jī)房管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位人員的信息。b）安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員等?！久枋觥堪踩芾韱T不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理

14、員、數(shù)據(jù)庫(kù)管理員等?！緳z查方法】 應(yīng)訪談安全主管，詢問(wèn)各個(gè)安全管理崗位人員的配備情況，包括專職還是兼職等。應(yīng)檢查安全管理各崗位人員信息表，確認(rèn)安全管理員是否沒(méi)有兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員等崗位。8.1.2.3 授權(quán)和審批 a）應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批部門及批準(zhǔn)人，對(duì)系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問(wèn)等關(guān)鍵活動(dòng)進(jìn)行審批?！久枋觥扛鶕?jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批部門及批準(zhǔn)人，對(duì)系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問(wèn)等關(guān)鍵活動(dòng)進(jìn)行審批。【檢查方法】 應(yīng)訪談安全主管，詢問(wèn)其是否對(duì)信息系統(tǒng)中的關(guān)鍵活動(dòng)進(jìn)行審批，審批部門是何部門，批準(zhǔn)人是何人，他們的審批活動(dòng)是否

15、得到授權(quán)。應(yīng)訪談安全主管，詢問(wèn)其對(duì)關(guān)鍵活動(dòng)的審批范圍包括哪些。應(yīng)檢查審批管理制度文檔，查看文檔中是否明確對(duì)系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問(wèn)等關(guān)鍵活動(dòng)進(jìn)行審批的審批部門和批準(zhǔn)人。b）應(yīng)針對(duì)關(guān)鍵活動(dòng)建立審批流程，并由批準(zhǔn)人簽字確認(rèn)。【描述】針對(duì)關(guān)鍵活動(dòng)建立審批流程，并由批準(zhǔn)人簽字確認(rèn)?！緳z查方法】 應(yīng)訪談安全主管，詢問(wèn)其對(duì)關(guān)鍵活動(dòng)的審批程序如何。應(yīng)檢查審批管理制度文檔，查看文檔中是否明確審批程序。應(yīng)檢查經(jīng)審批的文檔，查看審批程序與文件要求是否一致，是否有批準(zhǔn)人的簽字和審批部門的蓋章。8.1.2.4 溝通和合作 a）應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝

16、通?！久枋觥考訌?qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通?！緳z查方法】 應(yīng)訪談安全主管，詢問(wèn)是否經(jīng)常與組織機(jī)構(gòu)內(nèi)其他部門之間通過(guò)哪些方式進(jìn)行交流和溝通，信息安全職能部門內(nèi)部各類管理人員之間通過(guò)哪些方式進(jìn)行交流和溝通。應(yīng)檢查部門間和部門內(nèi)部溝通和合作的相關(guān)文檔，查看是否包括工作內(nèi)容、參加人員等的描述。應(yīng)檢查是否有組織機(jī)構(gòu)內(nèi)部人員聯(lián)系表。b）應(yīng)加強(qiáng)與兄弟單位、公安機(jī)關(guān)、電信公司的合作與溝通?！久枋觥考訌?qiáng)與兄弟單位、公安機(jī)關(guān)、電信公司的合作與溝通?！緳z查方法】 應(yīng)訪談安全主管，詢問(wèn)是否經(jīng)常與公安機(jī)關(guān)、電信公司和兄弟單位聯(lián)系，聯(lián)系/合作方式有哪些。應(yīng)檢查外聯(lián)單位說(shuō)明文檔，

17、查看外聯(lián)單位是否包含公安機(jī)關(guān)、電信公司及兄弟單位等。8.1.2.5 審核和檢查 a）安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況?！久枋觥堪踩芾韱T應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。【檢查方法】 應(yīng)訪談安全管理員，詢問(wèn)是否定期檢查系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況，檢查周期多長(zhǎng)。應(yīng)檢查安全管理員定期實(shí)施安全檢查的文檔或記錄，查看記錄的時(shí)間間隔與檢查周期是否一致，檢查內(nèi)容是否包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。8.1.3 人員安全管理8.1.3.1 人員錄用 a）應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用

18、。【描述】指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用?！緳z查方法】 應(yīng)訪談安全主管，詢問(wèn)是否有專門的部門或人員負(fù)責(zé)人員的錄用工作，由何部門/何人負(fù)責(zé)。b）應(yīng)規(guī)范人員錄用過(guò)程，對(duì)被錄用人員的身份、背景和專業(yè)資格等進(jìn)行審查，對(duì)其所具有的技術(shù)技能進(jìn)行考核。【描述】規(guī)范人員錄用過(guò)程，對(duì)被錄用人員的身份、背景和專業(yè)資格等進(jìn)行審查，對(duì)其所具有的技術(shù)技能進(jìn)行考核。人員雇傭的驗(yàn)證核查：包括獲得令人滿意的品質(zhì)資料；申請(qǐng)人履歷的核查（針對(duì)完整性和準(zhǔn)確性）；聲稱的學(xué)術(shù)、專業(yè)資質(zhì)的證實(shí)；獨(dú)立的身份核查（身份證或護(hù)照或相似的文件）；更多細(xì)節(jié)的檢查，例如信用卡檢查或犯罪記錄檢查等?！緳z查方法】 應(yīng)訪談人事管理相關(guān)人員，詢問(wèn)在

19、人員錄用時(shí)對(duì)人員條件有哪些要求，是否對(duì)被錄用人的身份、背景和專業(yè)資格進(jìn)行審查，對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核。應(yīng)檢查人員錄用要求管理文檔，查看是否說(shuō)明錄用人員應(yīng)具備的條件（如學(xué)歷、學(xué)位要求，技術(shù)人員應(yīng)具備的專業(yè)技術(shù)水平，管理人員應(yīng)具備的安全管理知識(shí)等）。應(yīng)檢查是否具有人員錄用時(shí)對(duì)錄用人身份、背景和專業(yè)資格等進(jìn)行審查的相關(guān)文檔或記錄，查看是否記錄審查內(nèi)容和審查結(jié)果等。應(yīng)檢查人員錄用時(shí)的技能考核文檔或記錄，查看是否記錄考核內(nèi)容和考核結(jié)果等。c）應(yīng)與從事關(guān)鍵崗位的人員簽署保密協(xié)議?！久枋觥颗c從事關(guān)鍵崗位的人員諸如人員錄用負(fù)責(zé)人、安全主管、網(wǎng)絡(luò)管理員、系統(tǒng)管理員等簽署保密協(xié)議?！緳z查方法】 應(yīng)訪談人事管

20、理相關(guān)人員，詢問(wèn)錄用后是否與從事關(guān)鍵崗位的人員簽署保密協(xié)議。應(yīng)檢查保密協(xié)議，查看是否有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人簽字等內(nèi)容。8.1.3.2 人員離崗 a）應(yīng)規(guī)范人員離崗過(guò)程，及時(shí)終止離崗員工的所有訪問(wèn)權(quán)限。【描述】應(yīng)規(guī)范人員離崗過(guò)程，及時(shí)終止離崗員工的所有訪問(wèn)權(quán)限，以免出現(xiàn)信息泄露等安全事件?！緳z查方法】應(yīng)訪談安全主管，詢問(wèn)對(duì)即將離崗人員有哪些控制方法，是否及時(shí)終止離崗人員的所有訪問(wèn)權(quán)限。b）應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備?！久枋觥繂T工離崗后應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備?！緳z查方法】 應(yīng)訪談安全主管，詢問(wèn)對(duì)即將離崗

21、人員是否取回各種身份證件、鑰匙、徽章以及機(jī)構(gòu)提供的軟硬件設(shè)備等。應(yīng)檢查是否具有對(duì)離崗人員的安全處理記錄（如交還身份證件、設(shè)備等的登記記錄）。c）應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)?！久枋觥繂T工離崗后，應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)?！緳z查方法】 應(yīng)訪談人事管理相關(guān)人員，詢問(wèn)調(diào)離手續(xù)包括哪些。應(yīng)檢查是否具有按照離職程序辦理調(diào)離手續(xù)的記錄。8.1.3.3 人員考核 a）應(yīng)定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核?！久枋觥慷ㄆ趯?duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核，以提高員工安全意識(shí)教育。安全技能及安全知識(shí)的定期考核可以是通過(guò)績(jī)效考核實(shí)現(xiàn)，通過(guò)考核某崗位人員的績(jī)效，以評(píng)判該人員在一段時(shí)間內(nèi)，是否有效的完成其本

22、職工作，從而判斷該人員是否具有滿足其崗位職責(zé)需求的技能能力?！緳z查方法】 應(yīng)訪談安全主管，詢問(wèn)是否有人負(fù)責(zé)定期對(duì)各個(gè)崗位人員進(jìn)行安全技能及安全知識(shí)的考核，考核周期多長(zhǎng)。應(yīng)檢查考核文檔，查看考核人員是否包括各個(gè)崗位的人員，考核日期與考核周期是否一致。8.1.3.4 安全意識(shí)教育和培訓(xùn) a）應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)?！久枋觥繉?duì)各類人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)。安全意識(shí)和教育應(yīng)是適當(dāng)?shù)牟㈥P(guān)聯(lián)于員工的角色、職責(zé)和技能，并應(yīng)包括關(guān)于已知威脅的信息、向誰(shuí)咨詢進(jìn)一步的安全建議和合適的報(bào)告信息安全事故的渠道，可以包括信息安全風(fēng)險(xiǎn)與控制、法律責(zé)任、業(yè)務(wù)

23、相關(guān)控制、信息處理設(shè)施的使用等?！緳z查方法】 應(yīng)訪談安全管理員、系統(tǒng)管理員和網(wǎng)絡(luò)管理員，考查其對(duì)工作相關(guān)的信息安全基礎(chǔ)知識(shí)的理解程度。應(yīng)檢查是否具有安全教育和培訓(xùn)記錄，查看記錄是否有培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等的描述。b）應(yīng)告知人員相關(guān)的安全責(zé)任和懲戒措施，并對(duì)違反違背安全策略和規(guī)定的人員進(jìn)行懲戒?！久枋觥扛嬷藛T相關(guān)的安全責(zé)任和懲戒措施，并對(duì)違反違背安全策略和規(guī)定的人員進(jìn)行懲戒。【檢查方法】 應(yīng)訪談安全主管，詢問(wèn)是否對(duì)違反安全策略和規(guī)定的人員進(jìn)行懲戒，如何懲戒。應(yīng)訪談安全管理員、系統(tǒng)管理員和網(wǎng)絡(luò)管理員，考查其對(duì)安全責(zé)任和懲戒措施等的理解程度。c）應(yīng)制定安全教育和培訓(xùn)計(jì)劃，對(duì)信息安全基礎(chǔ)知識(shí)

24、、崗位操作規(guī)程等進(jìn)行培訓(xùn)?！久枋觥恐贫ò踩逃团嘤?xùn)計(jì)劃，對(duì)信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn)。安全意識(shí)教育的培訓(xùn)方式可以通過(guò)書面安全策略、員工簽訂協(xié)議遵守組織的安全政策與程序、員工簽訂的業(yè)務(wù)保密協(xié)議、利用各種媒體在公司內(nèi)部宣傳安全問(wèn)題、安全規(guī)定的強(qiáng)制執(zhí)行、鼓勵(lì)員工報(bào)告可以事件、階段性審計(jì)等手段，達(dá)到培訓(xùn)的目的。【檢查方法】 應(yīng)訪談安全主管，詢問(wèn)是否制定培訓(xùn)計(jì)劃并按計(jì)劃對(duì)各個(gè)崗位人員進(jìn)行安全教育和培訓(xùn)，具體的培訓(xùn)方式有哪些。應(yīng)檢查安全教育和培訓(xùn)計(jì)劃文檔，查看計(jì)劃是否明確了培訓(xùn)方式、培訓(xùn)對(duì)象、培訓(xùn)內(nèi)容、培訓(xùn)時(shí)間和地點(diǎn)等，培訓(xùn)內(nèi)容是否包含信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等。8.1.3.5 外部

25、人員訪問(wèn)管理 a）應(yīng)確保在外部人員訪問(wèn)受控區(qū)域前得到授權(quán)或?qū)徟?，批?zhǔn)后由專人全程陪同或監(jiān)督，并登記備案?！久枋觥看_保在外部人員訪問(wèn)受控區(qū)域前得到授權(quán)或?qū)徟?，批?zhǔn)后由專人全程陪同或監(jiān)督，并登記備案。【檢查方法】 應(yīng)訪談安全管理員，詢問(wèn)對(duì)外部人員訪問(wèn)重要區(qū)域（如訪問(wèn)機(jī)房、重要服務(wù)器或設(shè)備區(qū)等）采取了哪些安全措施，是否經(jīng)有關(guān)部門或負(fù)責(zé)人批準(zhǔn)才能訪問(wèn)，是否由專人全程陪同或監(jiān)督，是否進(jìn)行記錄并備案管理。應(yīng)檢查外部人員訪問(wèn)管理文檔，查看是否有對(duì)外部人員訪問(wèn)機(jī)房等重要區(qū)域應(yīng)經(jīng)過(guò)相關(guān)部門或負(fù)責(zé)人批準(zhǔn)的內(nèi)容。應(yīng)檢查外部人員訪問(wèn)重要區(qū)域的登記記錄，查看是否記錄了外部人員訪問(wèn)重要區(qū)域的進(jìn)入時(shí)間、離開(kāi)時(shí)間、訪問(wèn)區(qū)域及

26、陪同人等信息。8.1.4 系統(tǒng)建設(shè)管理8.1.4.1 系統(tǒng)定級(jí) a）應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)。 【描述】確定信息系統(tǒng)的安全保護(hù)等級(jí)，是建設(shè)符合安全等級(jí)保護(hù)要求的信息系統(tǒng)、實(shí)施信息安全等級(jí)保護(hù)的基礎(chǔ)?！緳z查方法】 應(yīng)檢查系統(tǒng)定級(jí)文檔，查看文檔是否明確信息系統(tǒng)的邊界和信息系統(tǒng)的安全保護(hù)等級(jí)。b）應(yīng)以書面的形式說(shuō)明信息系統(tǒng)確定為某個(gè)安全保護(hù)等級(jí)的方法和理由?！久枋觥酷槍?duì)信息系統(tǒng)為某個(gè)安全保護(hù)等級(jí)的方法和理由進(jìn)行分檔化要求?！緳z查方法】 應(yīng)訪談安全主管，詢問(wèn)確定信息系統(tǒng)安全保護(hù)等級(jí)的方法是否參照定級(jí)指南的指導(dǎo)，定級(jí)過(guò)程是否有書面描述。應(yīng)檢查系統(tǒng)定級(jí)文檔，查看文檔是否說(shuō)明定級(jí)的方法和理由。c）

27、應(yīng)確保信息系統(tǒng)的定級(jí)結(jié)果經(jīng)過(guò)相關(guān)部門的批準(zhǔn)。【描述】應(yīng)對(duì)測(cè)評(píng)信息系統(tǒng)的定級(jí)結(jié)果的合理性和正確性進(jìn)行論證和審定，并且定級(jí)結(jié)果需要經(jīng)過(guò)相關(guān)部門批準(zhǔn)?！緳z查方法】 應(yīng)訪談安全主管，詢問(wèn)定級(jí)結(jié)果是否獲得了相關(guān)部門的批準(zhǔn)。應(yīng)檢查系統(tǒng)定級(jí)文檔，查看定級(jí)結(jié)果是否有相關(guān)部門的批準(zhǔn)蓋章。8.1.4.2 安全方案設(shè)計(jì) a）應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇基本安全措施，依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施?！久枋觥恳罁?jù)安全保護(hù)等級(jí)選擇相應(yīng)的基本安全措施，依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整相應(yīng)的安全措施?！緳z查方法】 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)是否根據(jù)系統(tǒng)的安全級(jí)別選擇基本安全措施，是否依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施，具

28、體做過(guò)哪些調(diào)整。b）應(yīng)以書面形式描述對(duì)系統(tǒng)的安全保護(hù)要求、策略和措施等內(nèi)容，形成系統(tǒng)的安全方案。【描述】對(duì)系統(tǒng)的安全保護(hù)要求、策略和措施等內(nèi)容，應(yīng)以書面形式形成系統(tǒng)的安全方案?！緳z查方法】 應(yīng)檢查系統(tǒng)的安全方案，查看方案是否描述系統(tǒng)的安全保護(hù)要求，是否詳細(xì)描述了系統(tǒng)的安全策略，是否詳細(xì)描述了系統(tǒng)采取的安全措施等內(nèi)容。c）應(yīng)對(duì)安全方案進(jìn)行細(xì)化，形成能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采購(gòu)和使用的詳細(xì)設(shè)計(jì)方案?！久枋觥繉?duì)安全方案進(jìn)行細(xì)化，形成能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采購(gòu)和使用的詳細(xì)設(shè)計(jì)方案。【檢查方法】 應(yīng)檢查系統(tǒng)的詳細(xì)設(shè)計(jì)方案，查看詳細(xì)設(shè)計(jì)方案是否對(duì)應(yīng)安全方案進(jìn)行細(xì)化，是否有安全建設(shè)方案和安全產(chǎn)品采

29、購(gòu)方案。d）應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)安全設(shè)計(jì)方案的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過(guò)批準(zhǔn)后，才能正式實(shí)施?！久枋觥堪踩O(shè)計(jì)方案的合理性和正確性應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家進(jìn)行論證和審定，并且經(jīng)過(guò)批準(zhǔn)后，才能正式實(shí)施。【檢查方法】 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)安全設(shè)計(jì)方案是否經(jīng)過(guò)論證和審定，是否經(jīng)過(guò)審批。查看方案是否有經(jīng)過(guò)安全主管領(lǐng)導(dǎo)或管理部門的批準(zhǔn)蓋章。應(yīng)檢查專家論證文檔，查看是否有相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)安全設(shè)計(jì)方案的評(píng)審意見(jiàn)。8.1.4.3 產(chǎn)品采購(gòu)和使用 a）應(yīng)確保安全產(chǎn)品采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定?！久枋觥堪踩a(chǎn)品的采購(gòu)和使用符合國(guó)家關(guān)于產(chǎn)品采購(gòu)的相關(guān)規(guī)定。如由中

30、國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心編制的信息安全產(chǎn)品政府采購(gòu)指南?！緳z查方法】 應(yīng)檢查系統(tǒng)使用的有關(guān)信息安全產(chǎn)品是否符合國(guó)家的有關(guān)規(guī)定。b）應(yīng)確保密碼產(chǎn)品采購(gòu)和使用符合國(guó)家密碼主管部門的要求?！久枋觥棵艽a產(chǎn)品的采購(gòu)和使用符合國(guó)家密碼主管部門的要求，如由國(guó)家信息安全，國(guó)家密碼局、科學(xué)技術(shù)部、公安部、國(guó)家安全部、財(cái)政部、信息產(chǎn)業(yè)部、商務(wù)部、國(guó)家保密局、國(guó)家信息化工作辦公室聯(lián)合制定的含有密碼技術(shù)的信息產(chǎn)品政府采購(gòu)規(guī)定。【檢查方法】 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)系統(tǒng)是否采用了密碼產(chǎn)品，密碼產(chǎn)品的采購(gòu)和使用是否符合國(guó)家密碼主管部門的要求。應(yīng)檢查密碼產(chǎn)品的使用情況是否符合密碼產(chǎn)品使用、管理的相關(guān)規(guī)定。c）應(yīng)指定或授

31、權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購(gòu)?！久枋觥繎?yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購(gòu)?！緳z查方法】 應(yīng)訪談安全主管，詢問(wèn)是否有專門的部門負(fù)責(zé)產(chǎn)品的采購(gòu)，由何部門負(fù)責(zé)。應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)信息安全產(chǎn)品的采購(gòu)情況，是否有產(chǎn)品采購(gòu)清單指導(dǎo)產(chǎn)品采購(gòu)，采購(gòu)過(guò)程如何控制。8.1.4.4 自行軟件開(kāi)發(fā) a）應(yīng)確保開(kāi)發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開(kāi)。【描述】為避免開(kāi)發(fā)過(guò)程中對(duì)系統(tǒng)造成影響，要保證開(kāi)發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開(kāi)?！緳z查方法】 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)是否進(jìn)行自主開(kāi)發(fā)軟件，自主開(kāi)發(fā)軟件是否在獨(dú)立的模擬環(huán)境中編寫、調(diào)試和完成。b）應(yīng)制定軟件開(kāi)發(fā)管理制度，明確說(shuō)明開(kāi)發(fā)過(guò)程的控制方法和人員行為準(zhǔn)則?！久枋觥繛楸?/p>

32、證開(kāi)發(fā)過(guò)程的安全性，要制定開(kāi)發(fā)方面的管理制度，規(guī)定開(kāi)發(fā)過(guò)程的控制方法和人員行為準(zhǔn)則。【檢查方法】 應(yīng)檢查軟件開(kāi)發(fā)管理制度，查看文件是否明確軟件設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、驗(yàn)收過(guò)程的控制方法和人員行為準(zhǔn)則，是否明確哪些開(kāi)發(fā)活動(dòng)應(yīng)經(jīng)過(guò)授權(quán)、審批，是否明確軟件開(kāi)發(fā)相關(guān)文檔的管理等。c）應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保管?！久枋觥繎?yīng)要求開(kāi)發(fā)方提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保管?！緳z查方法】 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)軟件設(shè)計(jì)相關(guān)文檔和使用指南是否由專人負(fù)責(zé)保管，負(fù)責(zé)人是何人。應(yīng)檢查是否具有軟件設(shè)計(jì)的相關(guān)文檔（應(yīng)用軟件設(shè)計(jì)程序文件、源代碼文檔等）、軟件使用指南或操作手冊(cè)和維護(hù)

33、手冊(cè)等。8.1.4.5 外包軟件開(kāi)發(fā) a）應(yīng)根據(jù)開(kāi)發(fā)要求檢測(cè)軟件質(zhì)量。【描述】根據(jù)協(xié)議的要求檢測(cè)軟件的質(zhì)量?！緳z查方法】 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)軟件交付前是否依據(jù)開(kāi)發(fā)要求的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收測(cè)試。b）應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南?！久枋觥颗c外包商明確提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南?！緳z查方法】 應(yīng)檢查是否具有需求分析說(shuō)明書、軟件設(shè)計(jì)說(shuō)明書、軟件操作手冊(cè)、軟件源代碼文檔等軟件開(kāi)發(fā)文檔和使用指南。c）應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼?！久枋觥吭谲浖惭b之前檢測(cè)軟件包中可能存在的惡意代碼?！緳z查方法】 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)軟件安裝之前是否檢測(cè)軟件中

34、的惡意代碼。d）應(yīng)要求開(kāi)發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門?！久枋觥恳箝_(kāi)發(fā)單位提供軟件源代碼的同時(shí)審查軟件中是否存在可能出現(xiàn)的后門?！緳z查方法】 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)是否要求開(kāi)發(fā)單位提供源代碼，是否根據(jù)源代碼對(duì)軟件中可能存在的后門進(jìn)行審查。應(yīng)檢查軟件源代碼審查記錄，查看是否包括對(duì)可能存在后門的審查結(jié)果。8.1.4.6 工程實(shí)施 a）應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實(shí)施過(guò)程的管理?！久枋觥恐付ɑ蚴跈?quán)專門的部門或人員負(fù)責(zé)工程實(shí)施過(guò)程的管理。【檢查方法】 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)是否有專門部門或人員負(fù)責(zé)工程實(shí)施管理工作，由何部門/何人負(fù)責(zé)。b）應(yīng)制定詳細(xì)的工程實(shí)施方案，控

35、制工程實(shí)施過(guò)程?！久枋觥抗こ虒?shí)施階段制定詳細(xì)的工程實(shí)施方案，控制工程實(shí)施過(guò)程。信息系統(tǒng)工程實(shí)施應(yīng)當(dāng)由具有資質(zhì)的專業(yè)工程實(shí)施單位來(lái)完成，并與其簽訂安全建設(shè)協(xié)議，制定詳細(xì)的工程實(shí)施方案，用來(lái)約束和控制工程實(shí)施方的行為?！緳z查方法】 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)是否按照工程實(shí)施方案的要求對(duì)工程實(shí)施過(guò)程進(jìn)行進(jìn)度和質(zhì)量控制。應(yīng)檢查工程實(shí)施方案，查看其是否包括工程時(shí)間限制、進(jìn)度控制和質(zhì)量控制等方面內(nèi)容。8.1.4.7 測(cè)試驗(yàn)收 a）應(yīng)對(duì)系統(tǒng)進(jìn)行安全性測(cè)試驗(yàn)收?！久枋觥框?yàn)收被測(cè)系統(tǒng)時(shí)，應(yīng)對(duì)該系統(tǒng)進(jìn)行安全性測(cè)試驗(yàn)收?！緳z查方法】 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)在信息系統(tǒng)建設(shè)完成后是否對(duì)其進(jìn)行安全性測(cè)試驗(yàn)收。b）在測(cè)

36、試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制訂測(cè)試驗(yàn)收方案，在測(cè)試驗(yàn)收過(guò)程中應(yīng)詳細(xì)記錄測(cè)試驗(yàn)收結(jié)果，并形成測(cè)試驗(yàn)收?qǐng)?bào)告?！久枋觥吭跍y(cè)試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制訂詳細(xì)的測(cè)試驗(yàn)收方案，在測(cè)試驗(yàn)收過(guò)程中應(yīng)詳細(xì)記錄測(cè)試驗(yàn)收結(jié)果，并形成測(cè)試驗(yàn)收?qǐng)?bào)告?！緳z查方法】 應(yīng)檢查工程測(cè)試驗(yàn)收方案，查看其是否明確說(shuō)明參與測(cè)試的部門、人員、測(cè)試驗(yàn)收的內(nèi)容、現(xiàn)場(chǎng)操作過(guò)程等內(nèi)容。應(yīng)檢查測(cè)試驗(yàn)收記錄是否詳細(xì)記錄了測(cè)試時(shí)間、人員、現(xiàn)場(chǎng)操作過(guò)程和測(cè)試驗(yàn)收結(jié)果等方面內(nèi)容。應(yīng)檢查是否具有系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告。c）應(yīng)組織相關(guān)部門和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定，并簽字確認(rèn)?！久枋觥拷M織相關(guān)部門和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定，

37、并簽字確認(rèn)?！緳z查方法】 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)是否根據(jù)設(shè)計(jì)方案或合同要求組織相關(guān)部門和人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定。應(yīng)檢查是否有對(duì)測(cè)試驗(yàn)收?qǐng)?bào)告的審定文檔，查看文檔是否有相關(guān)人員的審定意見(jiàn)。8.1.4.8 系統(tǒng)交付 a）應(yīng)制定系統(tǒng)交付清單，并根據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)?！久枋觥肯到y(tǒng)在工程實(shí)施并驗(yàn)收完以后，需要根據(jù)協(xié)議有關(guān)要求，按照交付清單對(duì)設(shè)備、軟件、文檔進(jìn)行交付?！緳z查方法】 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)系統(tǒng)交接工作是否根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)。應(yīng)檢查是否具有系統(tǒng)交付清單說(shuō)明系統(tǒng)交付的各類設(shè)備、軟件、文檔等。b）應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員

38、進(jìn)行相應(yīng)的技能培訓(xùn)。【描述】對(duì)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行必要的技能培訓(xùn)?！緳z查方法】 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)目前的信息系統(tǒng)是否由內(nèi)部人員獨(dú)立運(yùn)行維護(hù)，如果是，系統(tǒng)正式運(yùn)行前是否對(duì)運(yùn)行維護(hù)人員進(jìn)行過(guò)培訓(xùn)，針對(duì)哪些方面進(jìn)行過(guò)培訓(xùn)。應(yīng)檢查培訓(xùn)記錄，查看是否包括培訓(xùn)內(nèi)容、培訓(xùn)時(shí)間和參與人員等。c）應(yīng)確保提供系統(tǒng)建設(shè)過(guò)程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔。【描述】要求開(kāi)發(fā)商提供系統(tǒng)建設(shè)過(guò)程中的文檔，以及指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔。【檢查方法】 應(yīng)檢查是否具有系統(tǒng)建設(shè)文檔、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔、系統(tǒng)培訓(xùn)手冊(cè)等。8.1.4.9 安全服務(wù)商選擇 a）應(yīng)確保安全服務(wù)商的選擇符合國(guó)家的有關(guān)規(guī)定?！?/p>

39、描述】信息系統(tǒng)建設(shè)過(guò)程涉及到安全咨詢、監(jiān)理、培訓(xùn)、規(guī)劃、設(shè)計(jì)、實(shí)施、測(cè)評(píng)等方面的安全服務(wù)，這些安全服務(wù)提供商所提供服務(wù)的質(zhì)量，將直接影響到信息系統(tǒng)的安全，為了減少或者杜絕這些服務(wù)帶來(lái)新的安全問(wèn)題，在選擇安全服務(wù)商的時(shí)候，應(yīng)選擇符合國(guó)家有關(guān)規(guī)定的、具有相應(yīng)安全服務(wù)資質(zhì)的機(jī)構(gòu)?！緳z查方法】 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)信息系統(tǒng)選擇的安全服務(wù)商有哪些，是否符合國(guó)家有關(guān)規(guī)定。b）應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任?！久枋觥颗c選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，并明確相關(guān)的責(zé)任?！緳z查方法】 應(yīng)檢查是否具有與安全服務(wù)商簽訂的安全責(zé)任合同書或保密協(xié)議等文檔，查看其內(nèi)容是否包含保密范

40、圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等。c）應(yīng)確保選定的安全服務(wù)商提供技術(shù)支持和服務(wù)承諾，必要的與其簽訂服務(wù)合同?！久枋觥克x擇的安全服務(wù)商應(yīng)提供技術(shù)培訓(xùn)和服務(wù)承諾，并與其簽訂服務(wù)合同?！緳z查方法】 應(yīng)檢查是否具有與安全服務(wù)商簽訂的服務(wù)合同，查看是否包括服務(wù)內(nèi)容、服務(wù)期限、雙方簽字或蓋章等。8.1.5 系統(tǒng)運(yùn)維管理8.1.5.1 環(huán)境管理 a）應(yīng)指定專門的部門或人員定期對(duì)機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理?！久枋觥恐付▽ｉT的部門或人員定期對(duì)機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理?！緳z查方法】 應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢問(wèn)是否有專門的部門或人員對(duì)機(jī)房基礎(chǔ)設(shè)施進(jìn)行

41、定期維護(hù)，由何部門/何人負(fù)責(zé)，維護(hù)周期多長(zhǎng)。應(yīng)檢查是否具有機(jī)房基礎(chǔ)設(shè)施維護(hù)記錄。b）應(yīng)配備機(jī)房安全管理人員，對(duì)機(jī)房的出入、服務(wù)器的開(kāi)機(jī)或關(guān)機(jī)等工作進(jìn)行管理?！久枋觥恳话銇?lái)說(shuō)，信息系統(tǒng)主機(jī)和網(wǎng)絡(luò)設(shè)備都放置在機(jī)房，因此要確保機(jī)房的運(yùn)行環(huán)境良好、安全，應(yīng)指定專門的部門負(fù)責(zé)機(jī)房安全，并配備機(jī)房安全管理人員對(duì)機(jī)房的出入、服務(wù)器的開(kāi)關(guān)機(jī)等工作進(jìn)行管理?！緳z查方法】訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢問(wèn)是否有機(jī)房管理員負(fù)責(zé)機(jī)房出入等環(huán)境安全管理工作。c）應(yīng)建立機(jī)房安全管理制度，對(duì)有關(guān)機(jī)房物理訪問(wèn)，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理做出規(guī)定?！久枋觥酷槍?duì)機(jī)房物理訪問(wèn)，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面制定相應(yīng)

42、機(jī)房安全管理制度?！緳z查方法】 應(yīng)檢查機(jī)房安全管理制度，查看其內(nèi)容是否覆蓋機(jī)房物理訪問(wèn)、物品帶進(jìn)/帶出機(jī)房和機(jī)房環(huán)境安全等方面。d）應(yīng)加強(qiáng)對(duì)辦公環(huán)境的保密性管理，包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙和不在辦公區(qū)接待來(lái)訪人員等?！久枋觥抗ぷ魅藛T辦公時(shí)可能涉及到一些敏感或涉密信息，因此應(yīng)對(duì)辦公環(huán)境安全進(jìn)行嚴(yán)格管理和控制，規(guī)范辦公環(huán)境人員行為，其中包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙、不在辦公區(qū)接待來(lái)訪人員?！緳z查方法】 應(yīng)訪談安全主管，詢問(wèn)為保證辦公環(huán)境的保密性采取了哪些控制措施，在哪個(gè)區(qū)域接待來(lái)訪人員，工作人員調(diào)離時(shí)是否收回辦公室鑰匙等。8.1.5.2 資產(chǎn)管理 a）應(yīng)編制與信息

43、系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容?！久枋觥啃畔⑾到y(tǒng)的資產(chǎn)包括信息、各種客戶端、服務(wù)器、網(wǎng)絡(luò)設(shè)備、軟件、存儲(chǔ)介質(zhì)以及各種相關(guān)設(shè)施等。由于信息系統(tǒng)資產(chǎn)種類較多，因此編制并保存與信息系統(tǒng)相關(guān)的包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容在內(nèi)的資產(chǎn)清單。資產(chǎn)是指任何對(duì)于組織具有價(jià)值的事物。資產(chǎn)類型包括信息資產(chǎn)、軟件資產(chǎn)、物理資產(chǎn)、服務(wù)、人員、無(wú)形資產(chǎn)?！緳z查方法】 應(yīng)檢查資產(chǎn)清單，查看其內(nèi)容是否覆蓋資產(chǎn)責(zé)任部門、責(zé)任人、所處位置和重要程度等方面。b）應(yīng)建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門，并規(guī)范資產(chǎn)管理和使用的行為?！久枋觥拷①Y產(chǎn)安全管理制度，規(guī)

44、定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門，并規(guī)范資產(chǎn)管理和使用的行為。【檢查方法】 應(yīng)訪談安全主管，詢問(wèn)是否有資產(chǎn)管理的責(zé)任人員或部門，由何部門/何人負(fù)責(zé)。應(yīng)檢查資產(chǎn)安全管理制度，查看是否明確信息資產(chǎn)管理的責(zé)任部門、責(zé)任人，查看其內(nèi)容是否覆蓋資產(chǎn)使用、借用、維護(hù)等方面。8.1.5.3 介質(zhì)管理 a）應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對(duì)各類介質(zhì)進(jìn)行控制和保護(hù)，并實(shí)行存儲(chǔ)環(huán)境專人管理?！久枋觥繑?shù)據(jù)存儲(chǔ)介質(zhì)主要包括移動(dòng)硬盤、磁帶、光盤、紙介質(zhì)等，由于存儲(chǔ)介質(zhì)是用來(lái)存放系統(tǒng)相關(guān)數(shù)據(jù)的，因此，介質(zhì)管理工作非常重要，如果管理不善，可能會(huì)造成數(shù)據(jù)的丟失或損壞。應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對(duì)各類介質(zhì)進(jìn)行控制和保護(hù)

45、，并實(shí)行存儲(chǔ)環(huán)境專人管理?！緳z查方法】 應(yīng)訪談資產(chǎn)管理員，詢問(wèn)介質(zhì)的存放環(huán)境是否采取保護(hù)措施防止介質(zhì)被盜、被毀、介質(zhì)內(nèi)存儲(chǔ)信息被未授權(quán)修改以及非法泄漏等，是否有專人管理。b）應(yīng)對(duì)介質(zhì)歸檔和查詢等過(guò)程進(jìn)行記錄，并根據(jù)存檔介質(zhì)的目錄清單定期盤點(diǎn)?！久枋觥繎?yīng)對(duì)介質(zhì)歸檔和查詢等過(guò)程進(jìn)行記錄，并根據(jù)存檔介質(zhì)的目錄清單定期盤點(diǎn)?！緳z查方法】 應(yīng)訪談資產(chǎn)管理員，詢問(wèn)是否根據(jù)介質(zhì)的目錄清單對(duì)介質(zhì)的使用現(xiàn)狀進(jìn)行定期檢查。應(yīng)檢查介質(zhì)管理記錄，查看其是否記錄介質(zhì)的歸檔、查詢和借用等情況。c）應(yīng)對(duì)需要送出維修或銷毀的介質(zhì)，首先清除其中的敏感數(shù)據(jù)，防止信息的非法泄漏。【描述】應(yīng)對(duì)需要送出維修或銷毀的介質(zhì)，首先清除其中的

46、敏感數(shù)據(jù)，防止信息的非法泄漏?！緳z查方法】 應(yīng)訪談資產(chǎn)管理員，詢問(wèn)對(duì)送出維修或銷毀的介質(zhì)在送出之前是否對(duì)介質(zhì)內(nèi)存儲(chǔ)數(shù)據(jù)進(jìn)行凈化處理。d）應(yīng)根據(jù)所承載數(shù)據(jù)和軟件的重要程度對(duì)介質(zhì)進(jìn)行分類和標(biāo)識(shí)管理?！久枋觥繎?yīng)根據(jù)所承載數(shù)據(jù)和軟件的重要程度對(duì)介質(zhì)進(jìn)行分類和標(biāo)識(shí)管理?！緳z查方法】 應(yīng)訪談資產(chǎn)管理員，詢問(wèn)是否對(duì)介質(zhì)進(jìn)行分類和標(biāo)識(shí)管理。應(yīng)檢查介質(zhì)，查看是否對(duì)其進(jìn)行了分類，并具有不同標(biāo)識(shí)。8.1.5.4 設(shè)備管理 a）應(yīng)對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備（包括備份和冗余設(shè)備）、線路等指定專門的部門或人員定期進(jìn)行維護(hù)管理?！久枋觥啃畔⑾到y(tǒng)設(shè)備包括各種服務(wù)器、終端計(jì)算機(jī)、工作站、便攜機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、存儲(chǔ)設(shè)備等，系

47、統(tǒng)的正常運(yùn)行依賴于對(duì)這些設(shè)備的正確使用和維護(hù)。為保證這些設(shè)備的正常運(yùn)行，應(yīng)對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備（包括備份和冗余設(shè)備）、線路等指定專門的部門或人員定期進(jìn)行維護(hù)管理?！緳z查方法】 應(yīng)訪談資產(chǎn)管理員，詢問(wèn)是否有專門的部門或人員對(duì)各種設(shè)備、線路進(jìn)行定期維護(hù)，對(duì)各類測(cè)試工具進(jìn)行有效性檢查，由何部門/何人負(fù)責(zé)，維護(hù)周期多長(zhǎng)。b）應(yīng)建立基于申報(bào)、審批和專人負(fù)責(zé)的設(shè)備安全管理制度，對(duì)信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購(gòu)、發(fā)放和領(lǐng)用等過(guò)程進(jìn)行規(guī)范化管理。【描述】應(yīng)針對(duì)申報(bào)、審批和專人負(fù)責(zé)的設(shè)備建立設(shè)備安全管理制度，對(duì)信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購(gòu)、發(fā)放和領(lǐng)用等過(guò)程進(jìn)行規(guī)范化管理?！緳z查方法】 應(yīng)訪談資

48、產(chǎn)管理員，詢問(wèn)是否對(duì)設(shè)備選用的各個(gè)環(huán)節(jié)（選型、采購(gòu)、發(fā)放和領(lǐng)用等）進(jìn)行審批控制。應(yīng)檢查設(shè)備安全管理制度，查看其內(nèi)容是否明確對(duì)各種軟硬件設(shè)備的選型、采購(gòu)、發(fā)放和領(lǐng)用等環(huán)節(jié)進(jìn)行申報(bào)和審批。c）應(yīng)對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理，按操作規(guī)程實(shí)現(xiàn)關(guān)鍵設(shè)備（包括備份和冗余設(shè)備）的啟動(dòng)/停止、加電/斷電等操作?！久枋觥繎?yīng)對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理，按操作規(guī)程實(shí)現(xiàn)主要設(shè)備（包括備份和冗余設(shè)備）的啟動(dòng)/停止、加電/斷電等操作。【檢查方法】 應(yīng)訪談安全審計(jì)員，詢問(wèn)對(duì)關(guān)鍵設(shè)備（包括備份和冗余設(shè)備）的操作是否建立日志，日志文件如何

49、管理，是否定期檢查管理情況。應(yīng)檢查設(shè)備使用管理文檔，查看其內(nèi)容是否覆蓋終端計(jì)算機(jī)、便攜機(jī)和網(wǎng)絡(luò)設(shè)備等使用、操作原則、注意事項(xiàng)等方面。應(yīng)檢查關(guān)鍵設(shè)備（包括備份和冗余設(shè)備）的操作規(guī)程，查看其內(nèi)容是否覆蓋服務(wù)器如何啟動(dòng)、停止、加電、斷電等操作。d）應(yīng)確保信息處理設(shè)備必須經(jīng)過(guò)審批才能帶離機(jī)房或辦公地點(diǎn)?！久枋觥吭O(shè)備帶離機(jī)房或辦公地點(diǎn)必須經(jīng)過(guò)審批方可帶離?！緳z查方法】 應(yīng)訪談資產(chǎn)管理員，詢問(wèn)是否對(duì)設(shè)備選用的各個(gè)環(huán)節(jié)（信息處理設(shè)備帶離機(jī)構(gòu)等）進(jìn)行審批控制。應(yīng)檢查設(shè)備安全管理制度，查看其內(nèi)容是否明確對(duì)各種軟硬件設(shè)備的帶離機(jī)構(gòu)進(jìn)行申報(bào)和審批。8.1.5.5 網(wǎng)絡(luò)安全管理 a）應(yīng)指定人員對(duì)網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行

50、日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作?！久枋觥恐付▽Ｈ藢?duì)網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作?！緳z查方法】 應(yīng)訪談安全主管，詢問(wèn)是否指定人員負(fù)責(zé)維護(hù)網(wǎng)絡(luò)運(yùn)行日志、監(jiān)控記錄和分析處理報(bào)警信息等網(wǎng)絡(luò)安全管理工作。應(yīng)檢查是否具有網(wǎng)絡(luò)審計(jì)日志，檢查日志是否在規(guī)定的保存時(shí)間范圍內(nèi)。b）應(yīng)建立網(wǎng)絡(luò)安全管理制度，對(duì)網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、口令更新周期等方面做出規(guī)定。【描述】網(wǎng)絡(luò)安全管理的內(nèi)容包括網(wǎng)絡(luò)安全策略管理、安全配置管理、接入管理、審計(jì)日志管理、監(jiān)控管理、漏洞掃描、定期的網(wǎng)絡(luò)安全檢查等。應(yīng)通過(guò)網(wǎng)絡(luò)安全管理制度來(lái)規(guī)范網(wǎng)絡(luò)安全

51、管理的各種行為?！緳z查方法】 應(yīng)檢查網(wǎng)絡(luò)安全管理制度，查看其是否覆蓋網(wǎng)絡(luò)安全配置、安全策略、升級(jí)與打補(bǔ)丁、授權(quán)訪問(wèn)、日志保存時(shí)間、口令更新周期等方面內(nèi)容。c）應(yīng)根據(jù)廠家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前對(duì)現(xiàn)有的重要文件進(jìn)行備份?！久枋觥繉?duì)網(wǎng)絡(luò)設(shè)備進(jìn)行軟件升級(jí)，并在更新前對(duì)重要文件進(jìn)行備份?！緳z查方法】 應(yīng)訪談網(wǎng)絡(luò)管理員，詢問(wèn)是否根據(jù)廠家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行過(guò)升級(jí)，目前的版本號(hào)為多少，升級(jí)前是否對(duì)重要文件進(jìn)行備份，采取什么方式備份。d）應(yīng)定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ)?！久枋觥慷ㄆ趯?duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的漏洞進(jìn)行及時(shí)的修補(bǔ)。【

52、檢查方法】 應(yīng)訪談安全管理員，詢問(wèn)是否定期對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞掃描，掃描周期多長(zhǎng)，發(fā)現(xiàn)漏洞是否及時(shí)修補(bǔ)。應(yīng)檢查網(wǎng)絡(luò)漏洞掃描報(bào)告，查看其內(nèi)容是否包含網(wǎng)絡(luò)存在的漏洞、嚴(yán)重級(jí)別和結(jié)果處理等方面，檢查掃描時(shí)間間隔與掃描周期是否一致。e）應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的配置文件進(jìn)行定期備份?！久枋觥繎?yīng)對(duì)網(wǎng)絡(luò)設(shè)備的配置文件進(jìn)行定期備份?！緳z查方法】 應(yīng)檢查是否具有網(wǎng)絡(luò)設(shè)備配置文件的備份文件。f）應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)?！久枋觥勘ＷC所有與外部系統(tǒng)的連接均得到相關(guān)部門或領(lǐng)導(dǎo)的授權(quán)和批準(zhǔn)?！緳z查方法】 應(yīng)訪談安全主管，詢問(wèn)，網(wǎng)絡(luò)的外聯(lián)種類有哪些，是否都得到授權(quán)與批準(zhǔn)，由何部門/何人批準(zhǔn)。應(yīng)檢查是否具有內(nèi)部網(wǎng)絡(luò)外

53、聯(lián)的授權(quán)批準(zhǔn)書。8.1.5.6 系統(tǒng)安全管理 a）應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問(wèn)控制策略?！久枋觥繎?yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問(wèn)控制策略。【檢查方法】 應(yīng)訪談系統(tǒng)管理員，詢問(wèn)是否根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析制定系統(tǒng)的訪問(wèn)控制策略，控制分配信息系統(tǒng)、文件及服務(wù)的訪問(wèn)權(quán)限。b）應(yīng)定期進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)進(jìn)行修補(bǔ)?！久枋觥慷ㄆ谶M(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的系統(tǒng)漏洞及時(shí)進(jìn)行修補(bǔ)。【檢查方法】 應(yīng)訪談安全管理員，詢問(wèn)是否定期對(duì)系統(tǒng)進(jìn)行漏洞掃描，掃描周期多長(zhǎng)，發(fā)現(xiàn)漏洞是否及時(shí)修補(bǔ)。應(yīng)檢查系統(tǒng)漏洞掃描報(bào)告，查看其內(nèi)容是否包含系統(tǒng)存在的漏洞、嚴(yán)重級(jí)別和結(jié)果處理等方面，檢查掃描時(shí)

54、間間隔與掃描周期是否一致。c）應(yīng)安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，應(yīng)首先在測(cè)試環(huán)境中測(cè)試通過(guò)，并對(duì)重要文件進(jìn)行備份后，方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝。 【描述】及時(shí)安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，首先在測(cè)試環(huán)境中測(cè)試通過(guò)，并對(duì)重要文件進(jìn)行備份，備份后方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝。【檢查方法】 應(yīng)訪談系統(tǒng)管理員，詢問(wèn)是否定期對(duì)系統(tǒng)安裝安全補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前是否對(duì)重要文件進(jìn)行備份，采取什么方式進(jìn)行，是否先在測(cè)試環(huán)境中測(cè)試通過(guò)再安裝。d）應(yīng)建立系統(tǒng)安全管理制度，對(duì)系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面做出規(guī)定?！久枋觥肯到y(tǒng)安全管理的內(nèi)容主要包括系統(tǒng)安全策略管理、賬戶管理、系統(tǒng)升級(jí)、系統(tǒng)審計(jì)日志管理、漏洞掃描管理、定期安全檢查等內(nèi)容。系統(tǒng)安全管理也應(yīng)當(dāng)按照相應(yīng)的管理制度和操作規(guī)程進(jìn)行?！緳z查方法】 應(yīng)檢查系統(tǒng)安全管理制度，查看其內(nèi)容是否覆蓋系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面。e）應(yīng)依據(jù)操作手冊(cè)對(duì)系統(tǒng)進(jìn)行維護(hù)，詳細(xì)記錄操作日志，包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容，嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作?！久枋觥恳罁?jù)操作手冊(cè)對(duì)系統(tǒng)進(jìn)行維護(hù)，詳細(xì)記錄操作日志，包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容，所有操作都應(yīng)經(jīng)過(guò)授權(quán)。【檢查方法】 應(yīng)檢查是否有詳細(xì)操作日志（包括重要的日常操作、運(yùn)行維護(hù)記錄、參