等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目測(cè)評(píng)方案-2級(jí)和3級(jí)標(biāo)準(zhǔn)

1、信息安全全等級(jí)保保護(hù)測(cè)評(píng)評(píng)項(xiàng)目測(cè)評(píng)方案廣州華南南信息安安全測(cè)評(píng)評(píng)中心二一六六年目錄 HYPERLINK l page3 第一章 HYPERLINK l page3 概概述 HYPERLINK l page3 3 HYPERLINK l page4 第二章 HYPERLINK l page4 測(cè)測(cè)評(píng)基本本原則 HYPERLINK l page4 44 HYPERLINK l page4 一、 客客觀性和和公正性性原則 HYPERLINK l page4 44 HYPERLINK l page4 二、 經(jīng)經(jīng)濟(jì)性和和可重用用性原則則 HYPERLINK l page4 4 HYPERLINK l p

2、age4 三、 可可重復(fù)性性和可再再現(xiàn)性原原則 HYPERLINK l page4 4 HYPERLINK l page4 四、 結(jié)結(jié)果完善善性原則則 HYPERLINK l page4 4 HYPERLINK l page5 第三章 HYPERLINK l page5 測(cè)測(cè)評(píng)安全全目標(biāo)（2 級(jí)） HYPERLINK l page5 5 HYPERLINK l page5 一、 技技術(shù)目標(biāo)標(biāo) HYPERLINK l page5 5 HYPERLINK l page6 二、 管管理目標(biāo)標(biāo) HYPERLINK l page6 6 HYPERLINK l page9 第四章 HYPERLINK l

3、page9 測(cè)測(cè)評(píng)內(nèi)容容 HYPERLINK l page9 9 HYPERLINK l page10 一、 資資料審查查 HYPERLINK l page10 10 HYPERLINK l page10 二、 核核查測(cè)試試 HYPERLINK l page10 10 HYPERLINK l page10 三、 綜綜合評(píng)估估 HYPERLINK l page10 10 HYPERLINK l page12 第五章 HYPERLINK l page12 項(xiàng)項(xiàng)目實(shí)施施 HYPERLINK l page12 12 HYPERLINK l page12 一、 實(shí)實(shí)施流程程 HYPERLINK l pa

4、ge12 12 HYPERLINK l page13 二、 測(cè)測(cè)評(píng)工具具 HYPERLINK l page13 13 HYPERLINK l page13 2.1 調(diào)查查問(wèn)卷 HYPERLINK l page13 113 HYPERLINK l page13 2.2 系統(tǒng)統(tǒng)安全性性技術(shù)檢檢查工具具 HYPERLINK l page13 13 HYPERLINK l page13 2.3 測(cè)評(píng)評(píng)工具使使用原則則 HYPERLINK l page13 13 HYPERLINK l page14 三、 測(cè)測(cè)評(píng)方法法 HYPERLINK l page14 14 HYPERLINK l page15 第

5、六章 HYPERLINK l page15 項(xiàng)項(xiàng)目管理理 HYPERLINK l page15 15 HYPERLINK l page15 一、 項(xiàng)項(xiàng)目組織織計(jì)劃 HYPERLINK l page15 115 HYPERLINK l page15 二、 項(xiàng)項(xiàng)目成員員組成與與職責(zé)劃劃分 HYPERLINK l page15 155 HYPERLINK l page16 三、 項(xiàng)項(xiàng)目溝通通 HYPERLINK l page16 16 HYPERLINK l page16 3.1 日常常溝通，記錄和和備忘錄錄 HYPERLINK l page16 16 HYPERLINK l page16 3.2

6、報(bào)告告 HYPERLINK l page16 16 HYPERLINK l page16 3.3 正式式會(huì)議 HYPERLINK l page16 116 HYPERLINK l page19 第七章 HYPERLINK l page19 附附錄：等等級(jí)保護(hù)護(hù)評(píng)測(cè)準(zhǔn)準(zhǔn)則 HYPERLINK l page19 199 HYPERLINK l page19 一、 信信息系統(tǒng)統(tǒng)安全等等級(jí)保護(hù)護(hù) 2 級(jí)測(cè)評(píng)評(píng)準(zhǔn)則 HYPERLINK l page19 119 HYPERLINK l page19 1.1 基本本要求 HYPERLINK l page19 119 HYPERLINK l page31 1

7、.2 評(píng)估估測(cè)評(píng)準(zhǔn)準(zhǔn)則 HYPERLINK l page31 311 HYPERLINK l page88 二、信息息系統(tǒng)安安全等級(jí)級(jí)保護(hù) 3 級(jí)級(jí)測(cè)評(píng)準(zhǔn)準(zhǔn)則 HYPERLINK l page88 888 HYPERLINK l page88 基本要求求 HYPERLINK l page88 88 HYPERLINK l page108 評(píng)估測(cè)評(píng)評(píng)準(zhǔn)則 HYPERLINK l page108 1108第一章概概述20033 年中中央辦公公廳、國(guó)國(guó)務(wù)院辦辦公廳轉(zhuǎn)轉(zhuǎn)發(fā)了國(guó)家信信息化領(lǐng)領(lǐng)導(dǎo)小組組關(guān)于加加強(qiáng)信息安全全保障工工作的意意見(jiàn)（中辦發(fā)發(fā)2000327 號(hào)）以以及 220044 年 9 月四部部

8、委局聯(lián)聯(lián)合簽發(fā)的的關(guān)于于信息安安全等級(jí)級(jí)保護(hù)工工作的實(shí)實(shí)施意見(jiàn)見(jiàn)等信信息安全全等級(jí)保保護(hù)的文文件明確指出出，“要重點(diǎn)點(diǎn)保護(hù)基基礎(chǔ)信息息網(wǎng)絡(luò)和和關(guān)系國(guó)國(guó)家安全全、經(jīng)濟(jì)濟(jì)命脈、社會(huì)穩(wěn)穩(wěn)定等方方面的重重要信息息系統(tǒng)，抓緊建建立信息息安全等等級(jí)保護(hù)護(hù)制度，制定信信息安全全等級(jí)保保護(hù)的管管理辦法法和技術(shù)術(shù)指南?！?0099 年 4 月廣東東省公安安廳、省省保密局局、密碼碼管理局局和省信信息化工工作領(lǐng)導(dǎo)導(dǎo)小組聯(lián)合發(fā)發(fā)文廣廣東省深深化信息息安全等等級(jí)保護(hù)護(hù)工作方方案(粵公通通字220099455 號(hào))中又再次指指出，“通過(guò)深深化信息息安全等等級(jí)保護(hù)護(hù)，全面面推動(dòng)重重要信息息系統(tǒng)安安全整改改和測(cè)評(píng)工作作，增強(qiáng)

9、強(qiáng)信息系系統(tǒng)安全全保護(hù)的的整體性性、針對(duì)對(duì)性和實(shí)實(shí)效性，使信息息系統(tǒng)安安全建設(shè)更加加突出重重點(diǎn)、統(tǒng)統(tǒng)一規(guī)范范、科學(xué)學(xué)合理，提高信信息安全全保障能能力，維維護(hù)國(guó)家家安全、社會(huì)穩(wěn)穩(wěn)定和公公共利益益，保障障和促進(jìn)進(jìn)信息化化建設(shè)”。由此此可見(jiàn)，等級(jí)保保護(hù)測(cè)評(píng)評(píng)和等級(jí)級(jí)保護(hù)安安全整改改工作已已經(jīng)迫在在眉睫。第二章測(cè)測(cè)評(píng)基本本原則一、客觀觀性和公公正性原原則雖然測(cè)評(píng)評(píng)工作不不能完全全擺脫個(gè)個(gè)人主張張或判斷斷，但測(cè)測(cè)評(píng)人員員應(yīng)當(dāng)沒(méi)沒(méi)有偏見(jiàn)見(jiàn)，在最最小主觀觀判斷情情形下，按照測(cè)測(cè)評(píng)雙方方相互認(rèn)認(rèn)可的測(cè)測(cè)評(píng)方案案，基于于明確定定義的測(cè)測(cè)評(píng)方式式和解釋釋，實(shí)施施測(cè)評(píng)活活動(dòng)。二、經(jīng)濟(jì)濟(jì)性和可可重用性性原則基于測(cè)評(píng)評(píng)

10、成本和和工作復(fù)復(fù)雜性考考慮，鼓鼓勵(lì)測(cè)評(píng)評(píng)工作重重用以前前的測(cè)評(píng)評(píng)結(jié)果，包括商業(yè)安全全產(chǎn)品測(cè)測(cè)評(píng)結(jié)果果和信息息系統(tǒng)先先前的安安全測(cè)評(píng)評(píng)結(jié)果。所有重重用的結(jié)結(jié)果，都都應(yīng)基于結(jié)果果適用于于目前的的系統(tǒng)，并且能能夠反映映出目前前系統(tǒng)的的安全狀狀態(tài)基礎(chǔ)礎(chǔ)之上。三、可重重復(fù)性和和可再現(xiàn)現(xiàn)性原則則不論誰(shuí)執(zhí)執(zhí)行測(cè)評(píng)評(píng)，依照照同樣的的要求，使用同同樣的測(cè)測(cè)評(píng)方式式，對(duì)每每個(gè)測(cè)評(píng)評(píng)實(shí)施過(guò)程的重重復(fù)執(zhí)行行應(yīng)該得得到同樣樣的結(jié)果果。可再再現(xiàn)性和和可重復(fù)復(fù)性的區(qū)區(qū)別在于于，前者者與不同測(cè)評(píng)評(píng)者測(cè)評(píng)評(píng)結(jié)果的的一致性性有關(guān)，后者與與同一測(cè)測(cè)評(píng)者測(cè)測(cè)評(píng)結(jié)果果的一致致性有關(guān)關(guān)。四、結(jié)果果完善性性原則測(cè)評(píng)所產(chǎn)產(chǎn)生的結(jié)結(jié)果應(yīng)當(dāng)當(dāng)證

11、明是是良好的的判斷和和對(duì)測(cè)評(píng)評(píng)項(xiàng)的正正確理解解。測(cè)評(píng)評(píng)過(guò)程和和結(jié)果應(yīng)應(yīng)當(dāng)服從從正確的的測(cè)評(píng)方方法以確確保其滿滿足了測(cè)測(cè)評(píng)項(xiàng)的的要求。第三章測(cè)測(cè)評(píng)安全全目標(biāo)（2 級(jí)）一、技術(shù)術(shù)目標(biāo)O2-11.應(yīng)具具有抵抗抗一般強(qiáng)強(qiáng)度地震震、臺(tái)風(fēng)風(fēng)等自然然災(zāi)難造造成破壞壞的能力力O2-22.應(yīng)具具有控制制接觸重重要設(shè)備備、介質(zhì)質(zhì)的能力力O2-33.應(yīng)具具有對(duì)通通信線路路進(jìn)行物物理保護(hù)護(hù)的能力力O2-44.應(yīng)具具有控制制機(jī)房進(jìn)進(jìn)出的能能力O2-55.應(yīng)具具有防止止設(shè)備、介質(zhì)等等丟失的的能力O2-66.應(yīng)具具有控制制機(jī)房?jī)?nèi)內(nèi)人員活活動(dòng)的能能力O2-77.應(yīng)具具有防止止雷擊事事件導(dǎo)致致重要設(shè)設(shè)備被破破壞的能能力O2-8

12、8.應(yīng)具具有滅火火的能力力O2-99.應(yīng)具具有檢測(cè)測(cè)火災(zāi)和和報(bào)警的的能力O2-110. 應(yīng)具有有防水和和防潮的的能力O2-111. 應(yīng)具有有防止靜靜電導(dǎo)致致重要設(shè)設(shè)備被破破壞的能能力O2-112. 應(yīng)具有有溫濕度度自動(dòng)檢檢測(cè)和控控制的能能力O2-113. 應(yīng)具有有防止電電壓波動(dòng)動(dòng)的能力力O2-114. 應(yīng)具有有對(duì)抗短短時(shí)間斷斷電的能能力O2-115. 具有基基本的抗抗電磁干干擾能力力O2-116. 應(yīng)具有有限制網(wǎng)網(wǎng)絡(luò)、操操作系統(tǒng)統(tǒng)和應(yīng)用用系統(tǒng)資資源使用用的能力力O2-117. 應(yīng)具有有能夠檢檢測(cè)對(duì)網(wǎng)網(wǎng)絡(luò)的各各種攻擊擊并記錄錄其活動(dòng)動(dòng)的能力力O2-118. 應(yīng)具有有網(wǎng)絡(luò)邊邊界完整整性檢測(cè)測(cè)能力O

13、2-119. 應(yīng)具有有對(duì)傳輸輸和存儲(chǔ)儲(chǔ)數(shù)據(jù)進(jìn)進(jìn)行完整整性檢測(cè)測(cè)的能力力O2-220. 應(yīng)具有有對(duì)硬件件故障產(chǎn)產(chǎn)品進(jìn)行行替換的的能力O2-221. 應(yīng)具有有系統(tǒng)軟軟件、應(yīng)應(yīng)用軟件件容錯(cuò)的的能力O2-222. 應(yīng)具有有軟件故故障分析析的能力力O2-223. 應(yīng)具有有合理使使用和控控制系統(tǒng)統(tǒng)資源的的能力O2-224. 應(yīng)具有有記錄用用戶操作作行為的的能力O2-225. 應(yīng)具有有對(duì)用戶戶的誤操操作行為為進(jìn)行檢檢測(cè)和報(bào)報(bào)警的能能力O2-226. 應(yīng)具有有對(duì)傳輸輸和存儲(chǔ)儲(chǔ)中的信信息進(jìn)行行保密性性保護(hù)的的能力O2-227. 應(yīng)具有有發(fā)現(xiàn)所所有已知知漏洞并并及時(shí)修修補(bǔ)的能能力O2-228. 應(yīng)具有有對(duì)網(wǎng)絡(luò)絡(luò)、

14、系統(tǒng)統(tǒng)和應(yīng)用用的訪問(wèn)問(wèn)進(jìn)行控控制的能能力O2-229. 應(yīng)具有有對(duì)數(shù)據(jù)據(jù)、文件件或其他他資源的的訪問(wèn)進(jìn)進(jìn)行控制制的能力力O2-330. 應(yīng)具有有對(duì)資源源訪問(wèn)的的行為進(jìn)進(jìn)行記錄錄的能力力O2-331. 應(yīng)具有有對(duì)用戶戶進(jìn)行唯唯一標(biāo)識(shí)識(shí)的能力力O2-332. 應(yīng)具有有對(duì)用戶戶產(chǎn)生復(fù)復(fù)雜鑒別別信息并并進(jìn)行鑒鑒別的能能力O2-333. 應(yīng)具有有對(duì)惡意意代碼的的檢測(cè)、阻止和和清除能能力O2-334. 應(yīng)具有有防止惡惡意代碼碼在網(wǎng)絡(luò)絡(luò)中擴(kuò)散散的能力力O2-335. 應(yīng)具有有對(duì)惡意意代碼庫(kù)庫(kù)和搜索索引擎及及時(shí)更新新的能力力O2-336. 應(yīng)具有有保證鑒鑒別數(shù)據(jù)據(jù)傳輸和和存儲(chǔ)保保密性的的能力O2-337. 應(yīng)

15、具有有對(duì)存儲(chǔ)儲(chǔ)介質(zhì)中中的殘余余信息進(jìn)進(jìn)行刪除除的能力力O2-338. 應(yīng)具有有非活動(dòng)動(dòng)狀態(tài)一一段時(shí)間間后自動(dòng)動(dòng)切斷連連接的能能力O2-339. 應(yīng)具有有重要數(shù)數(shù)據(jù)恢復(fù)復(fù)的能力力二、管理理目標(biāo)O2-440. 應(yīng)確保保建立了了安全職職能部門門，配備備了安全全管理人人員，支支持信息息安全管理工作作O2-441. 應(yīng)確保保配備了了足夠數(shù)數(shù)量的管管理人員員，對(duì)系系統(tǒng)進(jìn)行行運(yùn)行維維護(hù)O2-442. 應(yīng)確保保對(duì)主要要的管理理活動(dòng)進(jìn)進(jìn)行了制制度化管管理O2-443. 應(yīng)確保保建立并并不斷完完善、健健全安全全管理制制度O2-444. 應(yīng)確保保能協(xié)調(diào)調(diào)信息安安全工作作在各功功能部門門的實(shí)施施O2-445. 應(yīng)確保

16、保能控制制信息安安全相關(guān)關(guān)事件的的授權(quán)與與審批O2-446. 應(yīng)確保保建立恰恰當(dāng)可靠靠的聯(lián)絡(luò)絡(luò)渠道，以便安安全事件件發(fā)生時(shí)時(shí)能得到到支持O2-447. 應(yīng)確保保對(duì)人員員的行為為進(jìn)行控控制O2-448. 應(yīng)確保保對(duì)人員員的管理理活動(dòng)進(jìn)進(jìn)行了指指導(dǎo)O2-449. 應(yīng)確保保安全策策略的正正確性和和安全措措施的合合理性O(shè)2-550. 應(yīng)確保保對(duì)信息息系統(tǒng)進(jìn)進(jìn)行合理理定級(jí)O2-551. 應(yīng)確保保安全產(chǎn)產(chǎn)品的可可信度和和產(chǎn)品質(zhì)質(zhì)量O2-552. 應(yīng)確保保自行開(kāi)開(kāi)發(fā)過(guò)程程和工程程實(shí)施過(guò)過(guò)程中的的安全O2-553. 應(yīng)確保保能順利利地接管管和維護(hù)護(hù)信息系系統(tǒng)O2-554. 應(yīng)確保保安全工工程的實(shí)實(shí)施質(zhì)量量和安

17、全全功能的的準(zhǔn)確實(shí)實(shí)現(xiàn)O2-555. 應(yīng)確保保機(jī)房具具有良好好的運(yùn)行行環(huán)境O2-556. 應(yīng)確保保對(duì)信息息資產(chǎn)進(jìn)進(jìn)行標(biāo)識(shí)識(shí)管理O2-557. 應(yīng)確保保對(duì)各種種軟硬件件設(shè)備的的選型、采購(gòu)、發(fā)放、使用和和保管等等過(guò)程進(jìn)進(jìn)行控制制O2-558. 應(yīng)確保保各種網(wǎng)網(wǎng)絡(luò)設(shè)備備、服務(wù)務(wù)器正確確使用和和維護(hù)O2-559. 應(yīng)確保保對(duì)網(wǎng)絡(luò)絡(luò)、操作作系統(tǒng)、數(shù)據(jù)庫(kù)庫(kù)管理系系統(tǒng)和應(yīng)應(yīng)用系統(tǒng)統(tǒng)進(jìn)行安安全管理O2-660. 應(yīng)確保保用戶具具有鑒別別信息使使用的安安全意識(shí)識(shí)O2-661. 應(yīng)確保保定期地地對(duì)通信信線路進(jìn)進(jìn)行檢查查和維護(hù)護(hù)O2-662. 應(yīng)確保保硬件設(shè)設(shè)備、存存儲(chǔ)介質(zhì)質(zhì)存放環(huán)環(huán)境安全全，并對(duì)對(duì)其的使使用進(jìn)行行

18、控制和保護(hù)O2-663. 應(yīng)確保保對(duì)支撐撐設(shè)施、硬件設(shè)設(shè)備、存存儲(chǔ)介質(zhì)質(zhì)進(jìn)行日日常維護(hù)護(hù)和管理理O2-664. 應(yīng)確保保系統(tǒng)中中使用的的硬件、軟件產(chǎn)產(chǎn)品的質(zhì)質(zhì)量O2-665. 應(yīng)確保保各類人人員具有有與其崗崗位相適適應(yīng)的技技術(shù)能力力O2-666. 應(yīng)確保保對(duì)各類類人員進(jìn)進(jìn)行相關(guān)關(guān)的技術(shù)術(shù)培訓(xùn)O2-667. 應(yīng)確保保提供的的足夠的的使用手手冊(cè)、維維護(hù)指南南等資料料O2-668. 應(yīng)確保保內(nèi)部人人員具有有安全方方面的常常識(shí)和意意識(shí)O2-669. 應(yīng)確保保具有設(shè)設(shè)計(jì)合理理、安全全網(wǎng)絡(luò)結(jié)結(jié)構(gòu)的能能力O2-770. 應(yīng)確保保密碼算算法和密密鑰的使使用符合合國(guó)家有有關(guān)法律律、法規(guī)規(guī)的規(guī)定定O2-771.

19、應(yīng)確保保任何變變更控制制和設(shè)備備重用要要申報(bào)和和審批，并對(duì)其其實(shí)行制制度化的的管理O2-772. 應(yīng)確保保在事件件發(fā)生后后能采取取積極、有效的的應(yīng)急策策略和措措施O2-773. 應(yīng)確保保信息安安全事件件實(shí)行分分等級(jí)響響應(yīng)、處處置第四章測(cè)評(píng)內(nèi)內(nèi)容當(dāng)根據(jù)信信息系統(tǒng)統(tǒng)的業(yè)務(wù)務(wù)重要性性及其他他相關(guān)因因素對(duì)信信息系統(tǒng)統(tǒng)進(jìn)行劃劃分，確確定了信信息系統(tǒng)統(tǒng)的安全全保護(hù)等等級(jí)后，需要了了解不同同級(jí)別的的信息系系統(tǒng)或子子系統(tǒng)當(dāng)當(dāng)前的安安全保護(hù)護(hù)與相應(yīng)應(yīng)等級(jí)的的安全保保護(hù)基本本要求之之間存在在的差距距，這種種差距是是一種安安全需求求，是進(jìn)進(jìn)行安全全方案設(shè)設(shè)計(jì)的基基礎(chǔ)。傳統(tǒng)的安安全需求求分析方方法有很很多，如如風(fēng)險(xiǎn)分

20、分析法，但是作作為了解解信息系系統(tǒng)或子子系統(tǒng)當(dāng)當(dāng)前的安安全保護(hù)護(hù)狀況與與相應(yīng)等等級(jí)的安安全保護(hù)護(hù)基本要要求之間間存在的的差距的的簡(jiǎn)便方方法，莫莫過(guò)于等等級(jí)評(píng)估估測(cè)評(píng)法法。活動(dòng)目標(biāo)標(biāo)：本活動(dòng)的的目標(biāo)是是通過(guò)信信息安全全等級(jí)測(cè)測(cè)評(píng)機(jī)構(gòu)構(gòu)對(duì)已經(jīng)經(jīng)完成等等級(jí)保護(hù)護(hù)建設(shè)的的信息系統(tǒng)定定期進(jìn)行行等級(jí)測(cè)測(cè)評(píng)，確確保信息息系統(tǒng)的的安全保保護(hù)措施施符合相相應(yīng)等級(jí)級(jí)的安全全要求。參與角色色：甲方廣廣州華南南信息安安全測(cè)評(píng)評(píng)中心活動(dòng)輸入入：信息系統(tǒng)統(tǒng)詳細(xì)描描述文件件，信息息系統(tǒng)安安全保護(hù)護(hù)等級(jí)定定級(jí)報(bào)告告，信息息系統(tǒng)測(cè)測(cè)評(píng)計(jì)劃，信息息系統(tǒng)測(cè)測(cè)評(píng)方案案。活動(dòng)描述述：參見(jiàn)有關(guān)關(guān)信息系系統(tǒng)安全全保護(hù)等等級(jí)測(cè)評(píng)評(píng)的規(guī)范范或

21、標(biāo)準(zhǔn)準(zhǔn)?；顒?dòng)輸出出：安全等級(jí)級(jí)測(cè)評(píng)評(píng)評(píng)估報(bào)告告。信息系統(tǒng)統(tǒng)安全測(cè)測(cè)評(píng)包括括資料審審查、核核查測(cè)試試、綜合合評(píng)估如如下三個(gè)個(gè)部分內(nèi)內(nèi)容：一、資料料審查測(cè)評(píng)機(jī)構(gòu)構(gòu)接受用用戶提供供的測(cè)評(píng)評(píng)委托書書和測(cè)評(píng)評(píng)資料；測(cè)評(píng)機(jī)構(gòu)構(gòu)對(duì)用戶戶提供的的測(cè)評(píng)委委托書和和測(cè)評(píng)資資料進(jìn)行行形式化化審查，判斷是是否需要要補(bǔ)充相相關(guān)資料料；二、核查查測(cè)試測(cè)評(píng)機(jī)構(gòu)構(gòu)依據(jù)用用戶提供供的資料料、評(píng)估估機(jī)構(gòu)實(shí)實(shí)地調(diào)研研資料及及定級(jí)報(bào)報(bào)告等，制定系系統(tǒng)安全全評(píng)估測(cè)測(cè)評(píng)計(jì)劃劃；依據(jù)系統(tǒng)統(tǒng)安全測(cè)測(cè)評(píng)計(jì)劃劃制定系系統(tǒng)安全全評(píng)估測(cè)測(cè)評(píng)方案案；依據(jù)系統(tǒng)統(tǒng)安全測(cè)測(cè)評(píng)方案案實(shí)施現(xiàn)現(xiàn)場(chǎng)核查查測(cè)試；對(duì)核查測(cè)測(cè)試結(jié)果果進(jìn)行數(shù)數(shù)據(jù)整理理記錄，并形成成核查測(cè)

22、測(cè)試報(bào)告告。三、綜合合評(píng)估對(duì)用戶資資料，評(píng)評(píng)估機(jī)構(gòu)構(gòu)實(shí)地調(diào)調(diào)研資料料和測(cè)試試報(bào)告進(jìn)進(jìn)行綜合合分析，形成分分析意見(jiàn)見(jiàn)；就分析意意見(jiàn)與用用戶溝通通確認(rèn)，最終形形成系統(tǒng)統(tǒng)安全測(cè)測(cè)評(píng)綜合合評(píng)估報(bào)報(bào)告；對(duì)系統(tǒng)安安全測(cè)評(píng)評(píng)綜合評(píng)評(píng)估報(bào)告告進(jìn)行審審定；出具最終終信息息系統(tǒng)安安全測(cè)評(píng)評(píng)綜合評(píng)評(píng)估報(bào)告告測(cè)評(píng)數(shù)據(jù)據(jù)處理對(duì)信息系系統(tǒng)現(xiàn)場(chǎng)場(chǎng)核查記記錄進(jìn)行行匯總分分析，完完成信息息系統(tǒng)現(xiàn)現(xiàn)場(chǎng)核查查報(bào)告；對(duì)系統(tǒng)安安全性測(cè)測(cè)評(píng)過(guò)程程得到的的被測(cè)單單位提供供的申請(qǐng)請(qǐng)資料、方案的的形式化化審查報(bào)報(bào)告、信信息系統(tǒng)統(tǒng)現(xiàn)；場(chǎng)核查記記錄、現(xiàn)現(xiàn)場(chǎng)核查查報(bào)告以以及測(cè)試試過(guò)程中中所有的的書面記記錄，經(jīng)經(jīng)分析整整理后，形成信信息系統(tǒng)統(tǒng)安全測(cè)測(cè)

23、評(píng)綜合合評(píng)估報(bào)報(bào)告；系統(tǒng)安全全性測(cè)評(píng)評(píng)過(guò)程所所產(chǎn)生的的全部數(shù)數(shù)據(jù)、記記錄、資資料應(yīng)歸歸檔管理理；系統(tǒng)安全全性測(cè)評(píng)評(píng)過(guò)程所所產(chǎn)生的的全部數(shù)數(shù)據(jù)、記記錄、資資料不得得以任何何方式向向第三方方透露；系統(tǒng)安全全性測(cè)評(píng)評(píng)過(guò)程所所產(chǎn)生的的全部數(shù)數(shù)據(jù)、記記錄、資資料的處處置應(yīng)符符合相關(guān)關(guān)法令法法規(guī)的規(guī)規(guī)定。測(cè)評(píng)結(jié)論論信息系統(tǒng)統(tǒng)經(jīng)測(cè)評(píng)評(píng)機(jī)構(gòu)安安全測(cè)評(píng)評(píng)后，向向被測(cè)評(píng)評(píng)單位出出具信息息系統(tǒng)安安全測(cè)評(píng)評(píng)綜合評(píng)評(píng)估報(bào)告告；信息系統(tǒng)統(tǒng)安全測(cè)測(cè)評(píng)綜合合評(píng)估報(bào)報(bào)告是客客觀反映映被測(cè)單單位信息息系統(tǒng)在在管理方方面及技技術(shù)方面面的安全全狀況，其中包包括了信信息系統(tǒng)統(tǒng)在安全全性方面面存在的的漏洞、潛在的的風(fēng)險(xiǎn)以以及相應(yīng)應(yīng)的建議

24、議性改進(jìn)進(jìn)意見(jiàn)。第五章項(xiàng)目實(shí)實(shí)施一、實(shí)施施流程二、測(cè)評(píng)評(píng)工具2.1調(diào)調(diào)查問(wèn)卷卷調(diào)查問(wèn)卷卷是現(xiàn)場(chǎng)場(chǎng)核查的的方法之之一。調(diào)調(diào)查問(wèn)卷卷根據(jù)本本規(guī)范制制定，其其調(diào)查內(nèi)內(nèi)容應(yīng)涵蓋被測(cè)測(cè)信息系系統(tǒng)的各各個(gè)方面面，利用用調(diào)查問(wèn)問(wèn)卷對(duì)系系統(tǒng)安全全技術(shù)、安全管管理措施施等進(jìn)行逐項(xiàng)項(xiàng)審核，將調(diào)查查結(jié)果記記錄在相相應(yīng)的問(wèn)問(wèn)卷上，供現(xiàn)場(chǎng)場(chǎng)核查分分析之用用。2.2系系統(tǒng)安全全性技術(shù)術(shù)檢查工工具典型的系系統(tǒng)安全全性技術(shù)術(shù)檢查工工具有以以下幾種種：Web 應(yīng)用安安全掃描描器：主主要掃描描 Weeb 應(yīng)應(yīng)用安全全中存在在的危險(xiǎn)險(xiǎn)函數(shù)調(diào)調(diào)用、軟軟件陷門門；基于主機(jī)機(jī)的掃描描器：檢檢測(cè)主機(jī)機(jī)操作系系統(tǒng)中與與系統(tǒng)密密切相關(guān)關(guān)的安裝

25、裝配置問(wèn)問(wèn)題及其其他系統(tǒng)統(tǒng)目標(biāo)的的安全策策略漏洞洞情況；基于網(wǎng)絡(luò)絡(luò)的掃描描器：通通過(guò)網(wǎng)絡(luò)絡(luò)掃描確確定系統(tǒng)統(tǒng)的狀態(tài)態(tài)及收集集信息，判斷網(wǎng)網(wǎng)絡(luò)中是是否存在在安全隱隱患。例如操作作系統(tǒng)類類型、開(kāi)開(kāi)放的端端口及服服務(wù)、安安全漏洞洞及木馬馬程序等等。檢測(cè)測(cè)范圍包括所有有的信息息系設(shè)備：服服務(wù)器、防火墻墻、交換換機(jī)、路路由器等等網(wǎng)絡(luò)中中所有設(shè)設(shè)備；網(wǎng)絡(luò)協(xié)議議分析儀儀：分析析信息系系統(tǒng)傳輸輸數(shù)據(jù)流流，檢測(cè)測(cè)信息系系統(tǒng)異常?，F(xiàn)象；入侵檢測(cè)測(cè)工具：分析系系統(tǒng)外部部或內(nèi)部部的入侵侵行為及及其行為為特征（根據(jù)用用戶需求求）；其它檢查查工具。2.3測(cè)測(cè)評(píng)工具具使用原原則根據(jù)信息息系統(tǒng)安安全要求求配置測(cè)測(cè)評(píng)工具具，選擇

26、擇適用的的、針對(duì)對(duì)性強(qiáng)的的測(cè)評(píng)工工具；應(yīng)優(yōu)先選選用性能能較好，由國(guó)內(nèi)內(nèi)開(kāi)發(fā)的的測(cè)評(píng)工工具或經(jīng)經(jīng)過(guò)測(cè)評(píng)評(píng)認(rèn)證確確認(rèn)安全全的測(cè)評(píng)評(píng)工具；對(duì)已經(jīng)投投入運(yùn)行行的系統(tǒng)統(tǒng)不得使使用攻擊擊性測(cè)試試工具，防止系系統(tǒng)崩潰潰造成不不必要的的損失；使用攻擊擊性測(cè)試試工具要要經(jīng)過(guò)被被測(cè)評(píng)用用戶授權(quán)權(quán)。三、測(cè)評(píng)評(píng)方法圖 6.1測(cè)評(píng)評(píng)流程在整個(gè)項(xiàng)項(xiàng)目過(guò)程程中，我我中心將將在不同同階段派派遣不同同人員參參與項(xiàng)目目，主要要包括以以下幾個(gè)個(gè)角色：管理人員員，項(xiàng)目目啟動(dòng)會(huì)會(huì)、計(jì)劃劃、監(jiān)督督、協(xié)調(diào)調(diào)組織項(xiàng)項(xiàng)目驗(yàn)收收等管理理性工作作。安全工程程師，會(huì)會(huì)議、座座談、現(xiàn)現(xiàn)場(chǎng)走訪訪、問(wèn)卷卷調(diào)查、調(diào)查和和收集現(xiàn)現(xiàn)有單位位相關(guān)材材料。咨詢師，

27、交流安安全需求求、安全全策略分分析、網(wǎng)網(wǎng)絡(luò)規(guī)劃劃、安全全建議。攻防人員員，使用用專業(yè)工工具進(jìn)行行技術(shù)類類指標(biāo)的的評(píng)定，對(duì)指標(biāo)標(biāo)驗(yàn)證后后提出建建議。文檔人員員，整理理文檔、書寫報(bào)報(bào)告。第六章項(xiàng)目管管理一、項(xiàng)目目組織計(jì)計(jì)劃根據(jù)我方方在多個(gè)個(gè)大型安安全服務(wù)務(wù)工程項(xiàng)項(xiàng)目實(shí)施施中總結(jié)結(jié)的實(shí)踐踐經(jīng)驗(yàn)，為保證證整個(gè)工工程的順順利實(shí)施施,建議將將系統(tǒng)實(shí)實(shí)施的組組織機(jī)構(gòu)構(gòu)進(jìn)行如如下劃分分：項(xiàng)目管理理層主要由我我方和貴貴方高層層管理人人員組成成，他們們主要完完成整個(gè)個(gè)評(píng)估測(cè)測(cè)評(píng)過(guò)程程的規(guī)劃劃，管理理和控制制整個(gè)測(cè)測(cè)評(píng)項(xiàng)目目的實(shí)施施過(guò)程和和進(jìn)度；項(xiàng)目實(shí)施施層主要由本本中心的的中層技技術(shù)管理理人員（部門經(jīng)經(jīng)理）和和技

28、術(shù)實(shí)實(shí)施人員員（技術(shù)術(shù)文檔編編寫部、項(xiàng)目實(shí)實(shí)施部、風(fēng)險(xiǎn)評(píng)評(píng)估部）完成評(píng)評(píng)估計(jì)劃劃，評(píng)估估方案，現(xiàn)場(chǎng)測(cè)測(cè)評(píng)等過(guò)過(guò)程；用用戶應(yīng)派派技術(shù)人人員參與與項(xiàng)目實(shí)實(shí)施。二、項(xiàng)目目成員組組成與職職責(zé)劃分分部門職位相關(guān)資格格主要工作作任務(wù)技術(shù)服務(wù)務(wù)部門組長(zhǎng)網(wǎng)絡(luò)安全全專家工作分配配、檢查查、進(jìn)度度控制，文件件審核負(fù)責(zé)技術(shù)術(shù)評(píng)估測(cè)測(cè)評(píng)工作作，技術(shù)服務(wù)務(wù)部門技術(shù)評(píng)估估測(cè)評(píng)員員技術(shù)安全全工程師師完成相關(guān)關(guān)等級(jí)保保護(hù)評(píng)估估測(cè)評(píng)工作的的技術(shù)文文檔的編編寫工作。負(fù)責(zé)管理理評(píng)估測(cè)測(cè)評(píng)工作作，技術(shù)服務(wù)務(wù)部門管理評(píng)估估測(cè)評(píng)員員管理安全全工程師師完成相關(guān)關(guān)等級(jí)保保護(hù)評(píng)估估測(cè)評(píng)工作的的管理文文檔的編編寫工作。三、項(xiàng)目目溝通在本項(xiàng)目目中

29、，將將采用一一些正規(guī)規(guī)的項(xiàng)目目溝通程程序，保保證參與與項(xiàng)目的的各方能能夠保持持對(duì)項(xiàng)目目的了解解和支持持。這些些管理和和溝通措措施將對(duì)對(duì)項(xiàng)目過(guò)過(guò)程的質(zhì)質(zhì)量和結(jié)結(jié)果的質(zhì)質(zhì)量具有有重要的的作用。主要有有以下幾幾種方式式：3.1日日常溝通通，記錄錄和備忘忘錄鼓勵(lì)項(xiàng)目目參加各各方在項(xiàng)項(xiàng)目進(jìn)行行過(guò)程中中隨時(shí)對(duì)對(duì)相關(guān)問(wèn)問(wèn)題進(jìn)行行溝通。所有重重要的、有主主題的日日常溝通通活動(dòng)都都應(yīng)留下下記錄或或形成備備忘錄。日常溝溝通的主主要渠道道包括：非正式會(huì)會(huì)議電話電子郵件件傳真等。3.2報(bào)報(bào)告各種報(bào)告告是項(xiàng)目目各方互互相溝通通的最正正式的渠渠道和證證據(jù)。一一些必備備的項(xiàng)目目報(bào)告包包括：項(xiàng)目計(jì)劃劃和進(jìn)展展報(bào)告項(xiàng)目總結(jié)結(jié)報(bào)

30、告以及在各各個(gè)階段段輸出的的項(xiàng)目成成果文本本等3.3正正式會(huì)議議會(huì)議是項(xiàng)項(xiàng)目管理理活動(dòng)的的重要形形式，是是項(xiàng)目各各方進(jìn)行行正式溝溝通的渠渠道。3.3.1周例例會(huì)為確保項(xiàng)項(xiàng)目正常常進(jìn)行，雙方項(xiàng)項(xiàng)目經(jīng)理理每 11 周舉舉行一次次項(xiàng)目例例會(huì)，匯匯報(bào)項(xiàng)目目進(jìn)展?fàn)顩r、出現(xiàn)的的問(wèn)題和和本周的的工作計(jì)計(jì)劃。參加人員員主要是是雙方的的項(xiàng)目經(jīng)經(jīng)理或項(xiàng)項(xiàng)目執(zhí)行行經(jīng)理，可以根根據(jù)情況況邀請(qǐng)其其他項(xiàng)目成員參參加。會(huì)會(huì)議可以以是正式式的面對(duì)對(duì)面會(huì)議議，也可可以是電電話會(huì)議議、網(wǎng)絡(luò)絡(luò)會(huì)議等等形式。此例會(huì)會(huì)每周召召開(kāi)一次次，主要要內(nèi)容：項(xiàng)目完成成情況匯匯報(bào)，每每日主要要工作成成果匯報(bào)報(bào)存在的問(wèn)問(wèn)題及解解決辦法法分析本周的工

31、工作計(jì)劃劃對(duì)可能的的配置管管理和變變更控制制簽署相相應(yīng)的文文件3.3.2項(xiàng)目目評(píng)審會(huì)會(huì)議在每個(gè)項(xiàng)項(xiàng)目階段段結(jié)束時(shí)時(shí)，都會(huì)會(huì)召開(kāi)一一個(gè)正式式的項(xiàng)目目階段評(píng)評(píng)審會(huì)議議。該會(huì)會(huì)議對(duì)前前一個(gè)階階段進(jìn)行行總結(jié)和和評(píng)審，對(duì)下一一個(gè)階段段進(jìn)行計(jì)計(jì)劃確認(rèn)認(rèn)和溝通通。參加人員員是雙方方的項(xiàng)目目經(jīng)理或或項(xiàng)目執(zhí)執(zhí)行經(jīng)理理，以及及項(xiàng)目的的關(guān)鍵成成員。會(huì)會(huì)議是正正式的面面對(duì)面會(huì)會(huì)議。主主要內(nèi)容容：項(xiàng)目完成成情況匯匯報(bào)階段工作作成果評(píng)評(píng)審存在的問(wèn)問(wèn)題及解解決辦法法分析對(duì)可能的的配置管管理和變變更控制制簽署相相應(yīng)的文文件項(xiàng)目下一一階段的的工作計(jì)計(jì)劃評(píng)審審在項(xiàng)目的的后期，會(huì)安排排項(xiàng)目的的各方參參加對(duì)整整個(gè)項(xiàng)目目的成果果和過(guò)程

32、程的評(píng)審審工作。建議此此評(píng)審工工作聘請(qǐng)請(qǐng)第三方方機(jī)構(gòu)介介入。3.3.3質(zhì)量量保證3.3.3.11 項(xiàng)目目管理方方法學(xué)根據(jù)項(xiàng)目目的具體體需要，本項(xiàng)目目的整個(gè)個(gè)管理過(guò)過(guò)程將參參考美國(guó)國(guó)項(xiàng)目管管理協(xié)會(huì)會(huì) PMMI 提提出的項(xiàng)項(xiàng)目管理理方法學(xué)學(xué)，以及及一些顧顧問(wèn)管理理規(guī)范實(shí)實(shí)施。通通過(guò)規(guī)范范化的項(xiàng)項(xiàng)目管理理，保證證項(xiàng)目進(jìn)進(jìn)程的質(zhì)質(zhì)量。3.3.3.22 配置置管理在項(xiàng)目進(jìn)進(jìn)程中的的項(xiàng)目組組將維護(hù)護(hù)一個(gè)項(xiàng)項(xiàng)目文檔檔輸出的的 BAASELLINEE。所有有的文檔檔的版本修修改和更更新將在在配置管管理的版版本控制制和變更更控制之之下，并并將所有有文檔的的最新版本維維護(hù)在 BASSELIINE 中。3.3.3.

33、33 變更更控制管管理不受控制制的項(xiàng)目目變更，包括目目標(biāo)變更更、范圍圍變更、人員變變更、環(huán)環(huán)境變更更、文檔檔修改等等等是對(duì)對(duì)項(xiàng)目質(zhì)質(zhì)量的重重大威脅脅。在項(xiàng)項(xiàng)目中，將圍繞繞工程實(shí)實(shí)施計(jì)劃劃的維護(hù)護(hù)為核心心，對(duì)工工程實(shí)施施計(jì)劃及及其衍生生文檔進(jìn)進(jìn)行正規(guī)規(guī)的變更更控制管管理。3.3.3.44 參考考的信息息安全標(biāo)標(biāo)準(zhǔn)和規(guī)規(guī)范為了保證證本項(xiàng)目目實(shí)施的的質(zhì)量，本項(xiàng)目目將參考考一些國(guó)國(guó)際上最最新的信信息安全全標(biāo)準(zhǔn)和最新的的研究成成果，如如：ISO1154008 / CCC2.11ISO1177999 / BSS77999SSE CMMMRFC221966 等。第七章 附錄：等級(jí)保保護(hù)評(píng)測(cè)測(cè)準(zhǔn)則一、信息息系

34、統(tǒng)安安全等級(jí)級(jí)保護(hù) 2 級(jí)級(jí)測(cè)評(píng)準(zhǔn)準(zhǔn)則1.1基基本要求求1.1.1技術(shù)術(shù)要求1.1.1.11物理安安全1.1.1.11.1物物理位置置的選擇擇（G22）機(jī)房和辦辦公場(chǎng)地地應(yīng)選擇擇在具有有防震、防風(fēng)和和防雨等等能力的的建筑內(nèi)內(nèi)。1.1.1.11.2物物理訪問(wèn)問(wèn)控制（G2）本項(xiàng)要求求包括：機(jī)房出入入口應(yīng)安安排專人人值守，控制、鑒別和和記錄進(jìn)進(jìn)入的人人員；需進(jìn)入機(jī)機(jī)房的來(lái)來(lái)訪人員員應(yīng)經(jīng)過(guò)過(guò)申請(qǐng)和和審批流流程，并并限制和和監(jiān)控其其活動(dòng)范范圍。1.1.1.11.3防防盜竊和和防破壞壞（G22）本項(xiàng)要求求包括：應(yīng)將主要要設(shè)備放放置在機(jī)機(jī)房?jī)?nèi)；應(yīng)將設(shè)備備或主要要部件進(jìn)進(jìn)行固定定，并設(shè)設(shè)置明顯顯的不易易除去的

35、的標(biāo)記；應(yīng)將通信信線纜鋪鋪設(shè)在隱隱蔽處，可鋪設(shè)設(shè)在地下下或管道道中；應(yīng)對(duì)介質(zhì)質(zhì)分類標(biāo)標(biāo)識(shí)，存存儲(chǔ)在介介質(zhì)庫(kù)或或檔案室室中；主機(jī)房應(yīng)應(yīng)安裝必必要的防防盜報(bào)警警設(shè)施。1.1.1.11.4防防雷擊（G2）本項(xiàng)要求求包括：機(jī)房建筑筑應(yīng)設(shè)置置避雷裝裝置；機(jī)房應(yīng)設(shè)設(shè)置交流流電源地地線。1.1.1.11.5防防火（GG2）機(jī)房應(yīng)設(shè)設(shè)置滅火火設(shè)備和和火災(zāi)自自動(dòng)報(bào)警警系統(tǒng)。1.1.1.11.6防防水和防防潮（GG2）本項(xiàng)要求求包括：水管安裝裝，不得得穿過(guò)機(jī)機(jī)房屋頂頂和活動(dòng)動(dòng)地板下下；應(yīng)采取措措施防止止雨水通通過(guò)機(jī)房房窗戶、屋頂和和墻壁滲滲透；應(yīng)采取措措施防止止機(jī)房?jī)?nèi)內(nèi)水蒸氣氣結(jié)露和和地下積積水的轉(zhuǎn)轉(zhuǎn)移與滲滲透。

36、1.1.1.11.7防防靜電（G2）關(guān)鍵設(shè)備備應(yīng)采用用必要的的接地防防靜電措措施。1.1.1.11.8溫溫濕度控控制（GG2）機(jī)房應(yīng)設(shè)設(shè)置溫、濕度自自動(dòng)調(diào)節(jié)節(jié)設(shè)施，使機(jī)房房溫、濕濕度的變變化在設(shè)設(shè)備運(yùn)行行所允許許的范圍之內(nèi)。1.1.1.11.9電電力供應(yīng)應(yīng)（A22）本項(xiàng)要求求包括：應(yīng)在機(jī)房房供電線線路上配配置穩(wěn)壓壓器和過(guò)過(guò)電壓防防護(hù)設(shè)備備；應(yīng)提供短短期的備備用電力力供應(yīng)，至少滿滿足關(guān)鍵鍵設(shè)備在在斷電情情況下的的正常運(yùn)運(yùn)行要求求。1.1.1.11.100電磁防防護(hù)（SS2）電源線和和通信線線纜應(yīng)隔隔離鋪設(shè)設(shè)，避免免互相干干擾。1.1.1.22網(wǎng)絡(luò)安安全1.1.1.22.1結(jié)結(jié)構(gòu)安全全（G22）本

37、項(xiàng)要求求包括：應(yīng)保證關(guān)關(guān)鍵網(wǎng)絡(luò)絡(luò)設(shè)備的的業(yè)務(wù)處處理能力力具備冗冗余空間間，滿足足業(yè)務(wù)高高峰期需需要；應(yīng)保證接接入網(wǎng)絡(luò)絡(luò)和核心心網(wǎng)絡(luò)的的帶寬滿滿足業(yè)務(wù)務(wù)高峰期期需要；應(yīng)繪制與與當(dāng)前運(yùn)運(yùn)行情況況相符的的網(wǎng)絡(luò)拓拓?fù)浣Y(jié)構(gòu)構(gòu)圖；應(yīng)根據(jù)各各部門的的工作職職能、重重要性和和所涉及及信息的的重要程程度等因因素，劃劃分不同同的子網(wǎng)網(wǎng)或網(wǎng)段段，并按按照方便便管理和和控制的的原則為為各子網(wǎng)網(wǎng)、網(wǎng)段段分配地地址段。1.1.1.22.2訪訪問(wèn)控制制（G22）本項(xiàng)要求求包括：應(yīng)在網(wǎng)絡(luò)絡(luò)邊界部部署訪問(wèn)問(wèn)控制設(shè)設(shè)備，啟啟用訪問(wèn)問(wèn)控制功功能；應(yīng)能根據(jù)據(jù)會(huì)話狀狀態(tài)信息息為數(shù)據(jù)據(jù)流提供供明確的的允許/拒絕訪訪問(wèn)的能能力，控控制粒度

38、度為網(wǎng)段段級(jí)。應(yīng)按用戶戶和系統(tǒng)統(tǒng)之間的的允許訪訪問(wèn)規(guī)則則，決定定允許或或拒絕用用戶對(duì)受受控系統(tǒng)統(tǒng)進(jìn)行資資源訪問(wèn)問(wèn)，控制制粒度為為單個(gè)用用戶；應(yīng)限制具具有撥號(hào)號(hào)訪問(wèn)權(quán)權(quán)限的用用戶數(shù)量量。1.1.1.22.3安安全審計(jì)計(jì)（G22）本項(xiàng)要求求包括：應(yīng)對(duì)網(wǎng)絡(luò)絡(luò)系統(tǒng)中中的網(wǎng)絡(luò)絡(luò)設(shè)備運(yùn)運(yùn)行狀況況、網(wǎng)絡(luò)絡(luò)流量、用戶行行為等進(jìn)進(jìn)行日志志記錄；審計(jì)記錄錄應(yīng)包括括事件的的日期和和時(shí)間、用戶、事件類類型、事事件是否否成功及及其他與與審計(jì)相相關(guān)的信信息。1.1.1.22.4邊邊界完整整性檢查查（S22）應(yīng)能夠?qū)?duì)內(nèi)部網(wǎng)網(wǎng)絡(luò)中出出現(xiàn)的內(nèi)內(nèi)部用戶戶未通過(guò)過(guò)準(zhǔn)許私私自聯(lián)到到外部網(wǎng)網(wǎng)絡(luò)的行行為進(jìn)行行檢查。1.1.1.22.5

39、入入侵防范范（G22）應(yīng)在網(wǎng)絡(luò)絡(luò)邊界處處監(jiān)視以以下攻擊擊行為：端口掃掃描、強(qiáng)強(qiáng)力攻擊擊、木馬馬后門攻攻擊、拒拒絕服務(wù)務(wù)攻擊、緩緩沖區(qū)溢溢出攻擊擊、IPP 碎片片攻擊和和網(wǎng)絡(luò)蠕蠕蟲(chóng)攻擊擊等。1.1.1.22.6網(wǎng)網(wǎng)絡(luò)設(shè)備備防護(hù)（G2）本項(xiàng)要求求包括：應(yīng)對(duì)登錄錄網(wǎng)絡(luò)設(shè)設(shè)備的用用戶進(jìn)行行身份鑒鑒別；應(yīng)對(duì)網(wǎng)絡(luò)絡(luò)設(shè)備的的管理員員登錄地地址進(jìn)行行限制；網(wǎng)絡(luò)設(shè)備備用戶的的標(biāo)識(shí)應(yīng)應(yīng)唯一；身份鑒別別信息應(yīng)應(yīng)具有不不易被冒冒用的特特點(diǎn)，口口令應(yīng)有有復(fù)雜度度要求并并定期更更換；應(yīng)具有登登錄失敗敗處理功功能，可可采取結(jié)結(jié)束會(huì)話話、限制制非法登登錄次數(shù)數(shù)和當(dāng)網(wǎng)網(wǎng)絡(luò)登錄錄連接超超時(shí)自動(dòng)動(dòng)退出等等措施；當(dāng)對(duì)網(wǎng)絡(luò)絡(luò)設(shè)備進(jìn)進(jìn)行

40、遠(yuǎn)程程管理時(shí)時(shí)，應(yīng)采采取必要要措施防防止鑒別別信息在在網(wǎng)絡(luò)傳傳輸過(guò)程程中被竊竊聽(tīng)。1.1.1.33主機(jī)安安全1.1.1.33.1身身份鑒別別（S22）本項(xiàng)要求求包括：應(yīng)對(duì)登錄錄操作系系統(tǒng)和數(shù)數(shù)據(jù)庫(kù)系系統(tǒng)的用用戶進(jìn)行行身份標(biāo)標(biāo)識(shí)和鑒鑒別；操作系統(tǒng)統(tǒng)和數(shù)據(jù)據(jù)庫(kù)系統(tǒng)統(tǒng)管理用用戶身份份標(biāo)識(shí)應(yīng)應(yīng)具有不不易被冒冒用的特特點(diǎn)，口口令應(yīng)有有復(fù)雜度度要求并并定期更更換；應(yīng)啟用登登錄失敗敗處理功功能，可可采取結(jié)結(jié)束會(huì)話話、限制制非法登登錄次數(shù)數(shù)和自動(dòng)動(dòng)退出等等措施；當(dāng)對(duì)服務(wù)務(wù)器進(jìn)行行遠(yuǎn)程管管理時(shí)，應(yīng)采取取必要措措施，防防止鑒別別信息在在網(wǎng)絡(luò)傳傳輸過(guò)程程中被竊竊聽(tīng)；應(yīng)為操作作系統(tǒng)和和數(shù)據(jù)庫(kù)庫(kù)系統(tǒng)的的不同用用戶分配配

41、不同的的用戶名名，確保保用戶名名具有唯唯一性。1.1.1.33.2訪訪問(wèn)控制制（S22）本項(xiàng)要求求包括：應(yīng)啟用訪訪問(wèn)控制制功能，依據(jù)安安全策略略控制用用戶對(duì)資資源的訪訪問(wèn)；應(yīng)實(shí)現(xiàn)操操作系統(tǒng)統(tǒng)和數(shù)據(jù)據(jù)庫(kù)系統(tǒng)統(tǒng)特權(quán)用用戶的權(quán)權(quán)限分離離；應(yīng)限制默默認(rèn)帳戶戶的訪問(wèn)問(wèn)權(quán)限，重命名名系統(tǒng)默默認(rèn)帳戶戶，修改改這些帳帳戶的默默認(rèn)口令令；應(yīng)及時(shí)刪刪除多余余的、過(guò)過(guò)期的帳帳戶，避避免共享享帳戶的的存在。1.1.1.33.3安安全審計(jì)計(jì)（G22）本項(xiàng)要求求包括：審計(jì)范圍圍應(yīng)覆蓋蓋到服務(wù)務(wù)器上的的每個(gè)操操作系統(tǒng)統(tǒng)用戶和和數(shù)據(jù)庫(kù)庫(kù)用戶；審計(jì)內(nèi)容容應(yīng)包括括重要用用戶行為為、系統(tǒng)統(tǒng)資源的的異常使使用和重重要系統(tǒng)統(tǒng)命令的的使

42、用等等系統(tǒng)內(nèi)內(nèi)重要的的安全相相關(guān)事件件；審計(jì)記錄錄應(yīng)包括括事件的的日期、時(shí)間、類型、主體標(biāo)標(biāo)識(shí)、客客體標(biāo)識(shí)識(shí)和結(jié)果果等；應(yīng)保護(hù)審審計(jì)記錄錄，避免免受到未未預(yù)期的的刪除、修改或或覆蓋等等。1.1.1.33.4入入侵防范范（G22）操作系統(tǒng)統(tǒng)應(yīng)遵循循最小安安裝的原原則，僅僅安裝需需要的組組件和應(yīng)應(yīng)用程序序，并通通過(guò)設(shè)置置升級(jí)服服務(wù)器等方式式保持系系統(tǒng)補(bǔ)丁丁及時(shí)得得到更新新。1.1.1.33.5惡惡意代碼碼防范（G2）本項(xiàng)要求求包括：應(yīng)安裝防防惡意代代碼軟件件，并及及時(shí)更新新防惡意意代碼軟軟件版本本和惡意意代碼庫(kù)庫(kù)；應(yīng)支持防防惡意代代碼軟件件的統(tǒng)一一管理。1.1.1.33.6資資源控制制（A22）本

43、項(xiàng)要求求包括：應(yīng)通過(guò)設(shè)設(shè)定終端端接入方方式、網(wǎng)網(wǎng)絡(luò)地址址范圍等等條件限限制終端端登錄；應(yīng)根據(jù)安安全策略略設(shè)置登登錄終端端的操作作超時(shí)鎖鎖定；應(yīng)限制單單個(gè)用戶戶對(duì)系統(tǒng)統(tǒng)資源的的最大或或最小使使用限度度。1.1.1.44應(yīng)用安安全1.1.1.44.1身身份鑒別別（S22）本項(xiàng)要求求包括：應(yīng)提供專專用的登登錄控制制模塊對(duì)對(duì)登錄用用戶進(jìn)行行身份標(biāo)標(biāo)識(shí)和鑒鑒別；應(yīng)提供用用戶身份份標(biāo)識(shí)唯唯一和鑒鑒別信息息復(fù)雜度度檢查功功能，保保證應(yīng)用用系統(tǒng)中中不存在在重復(fù)用用戶身份份標(biāo)識(shí)，身份鑒鑒別信息息不易被被冒用；應(yīng)提供登登錄失敗敗處理功功能，可可采取結(jié)結(jié)束會(huì)話話、限制制非法登登錄次數(shù)數(shù)和自動(dòng)動(dòng)退出等等措施；應(yīng)啟用身

44、身份鑒別別、用戶戶身份標(biāo)標(biāo)識(shí)唯一一性檢查查、用戶戶身份鑒鑒別信息息復(fù)雜度度檢查以以及登錄錄失敗處處理功能能，并根根據(jù)安全全策略配配置相關(guān)關(guān)參數(shù)。1.1.1.44.2訪訪問(wèn)控制制（S22）本項(xiàng)要求求包括：應(yīng)提供訪訪問(wèn)控制制功能，依據(jù)安安全策略略控制用用戶對(duì)文文件、數(shù)數(shù)據(jù)庫(kù)表表等客體體的訪問(wèn)問(wèn)；訪問(wèn)控制制的覆蓋蓋范圍應(yīng)應(yīng)包括與與資源訪訪問(wèn)相關(guān)關(guān)的主體體、客體體及它們們之間的的操作；應(yīng)由授權(quán)權(quán)主體配配置訪問(wèn)問(wèn)控制策策略，并并嚴(yán)格限限制默認(rèn)認(rèn)帳戶的的訪問(wèn)權(quán)權(quán)限；應(yīng)授予不不同帳戶戶為完成成各自承承擔(dān)任務(wù)務(wù)所需的的最小權(quán)權(quán)限，并并在它們們之間形形成相互互制約的的關(guān)系。1.1.1.44.3安安全審計(jì)計(jì)（G2

45、2）本項(xiàng)要求求包括：應(yīng)提供覆覆蓋到每每個(gè)用戶戶的安全全審計(jì)功功能，對(duì)對(duì)應(yīng)用系系統(tǒng)重要要安全事事件進(jìn)行行審計(jì)；應(yīng)保證無(wú)無(wú)法刪除除、修改改或覆蓋蓋審計(jì)記記錄；審計(jì)記錄錄的內(nèi)容容至少應(yīng)應(yīng)包括事事件日期期、時(shí)間間、發(fā)起起者信息息、類型型、描述述和結(jié)果果等。1.1.1.44.4通通信完整整性（SS2）應(yīng)采用校校驗(yàn)碼技技術(shù)保證證通信過(guò)過(guò)程中數(shù)數(shù)據(jù)的完完整性。1.1.1.44.5通通信保密密性（SS2）本項(xiàng)要求求包括：在通信雙雙方建立立連接之之前，應(yīng)應(yīng)用系統(tǒng)統(tǒng)應(yīng)利用用密碼技技術(shù)進(jìn)行行會(huì)話初初始化驗(yàn)驗(yàn)證；應(yīng)對(duì)通信信過(guò)程中中的敏感感信息字字段進(jìn)行行加密。1.1.1.44.6軟軟件容錯(cuò)錯(cuò)（A22）本項(xiàng)要求求包括：

46、應(yīng)提供數(shù)數(shù)據(jù)有效效性檢驗(yàn)驗(yàn)功能，保證通通過(guò)人機(jī)機(jī)接口輸輸入或通通過(guò)通信信接口輸輸入的數(shù)數(shù)據(jù)格式式或長(zhǎng)度度符合系系統(tǒng)設(shè)定定要求；在故障發(fā)發(fā)生時(shí)，應(yīng)用系系統(tǒng)應(yīng)能能夠繼續(xù)續(xù)提供一一部分功功能，確確保能夠夠?qū)嵤┍乇匾拇氪胧?.1.1.44.7資資源控制制（A22）本項(xiàng)要求求包括：當(dāng)應(yīng)用系系統(tǒng)的通通信雙方方中的一一方在一一段時(shí)間間內(nèi)未作作任何響響應(yīng)，另另一方應(yīng)應(yīng)能夠自自動(dòng)結(jié)束束會(huì)話；應(yīng)能夠?qū)?duì)應(yīng)用系系統(tǒng)的最最大并發(fā)發(fā)會(huì)話連連接數(shù)進(jìn)進(jìn)行限制制；應(yīng)能夠?qū)?duì)單個(gè)帳帳戶的多多重并發(fā)發(fā)會(huì)話進(jìn)進(jìn)行限制制。1.1.1.55數(shù)據(jù)安安全及備備份恢復(fù)復(fù)1.1.1.55.1數(shù)數(shù)據(jù)完整整性（SS2）應(yīng)能夠檢檢測(cè)到鑒鑒別信息

47、息和重要要業(yè)務(wù)數(shù)數(shù)據(jù)在傳傳輸過(guò)程程中完整整性受到到破壞。1.1.1.55.2數(shù)數(shù)據(jù)保密密性（SS2）應(yīng)采用加加密或其其他保護(hù)護(hù)措施實(shí)實(shí)現(xiàn)鑒別別信息的的存儲(chǔ)保保密性。1.1.1.55.3備備份和恢恢復(fù)（AA2）本項(xiàng)要求求包括：應(yīng)能夠?qū)?duì)重要信信息進(jìn)行行備份和和恢復(fù)；應(yīng)提供關(guān)關(guān)鍵網(wǎng)絡(luò)絡(luò)設(shè)備、通信線線路和數(shù)數(shù)據(jù)處理理系統(tǒng)的的硬件冗冗余，保保證系統(tǒng)統(tǒng)的可用用性。1.1.2管理理要求1.1.2.11安全管管理制度度1.1.2.11.1管管理制度度（G22）本項(xiàng)要求求包括：應(yīng)制定信信息安全全工作的的總體方方針和安安全策略略，說(shuō)明明機(jī)構(gòu)安安全工作作的總體體目標(biāo)、范圍、原則和和安全框框架等；應(yīng)對(duì)安全全管理活活

48、動(dòng)中重重要的管管理內(nèi)容容建立安安全管理理制度；應(yīng)對(duì)安全全管理人人員或操操作人員員執(zhí)行的的重要管管理操作作建立操操作規(guī)程程。1.1.2.11.2制制定和發(fā)發(fā)布（GG2）本項(xiàng)要求求包括：應(yīng)指定或或授權(quán)專專門的部部門或人人員負(fù)責(zé)責(zé)安全管管理制度度的制定定；應(yīng)組織相相關(guān)人員員對(duì)制定定的安全全管理制制度進(jìn)行行論證和和審定；應(yīng)將安全全管理制制度以某某種方式式發(fā)布到到相關(guān)人人員手中中。1.1.2.11.3評(píng)評(píng)審和修修訂（GG2）應(yīng)定期對(duì)對(duì)安全管管理制度度進(jìn)行評(píng)評(píng)審，對(duì)對(duì)存在不不足或需需要改進(jìn)進(jìn)的安全全管理制制度進(jìn)行行修訂。1.1.2.22安全管管理機(jī)構(gòu)構(gòu)1.1.2.22.1崗崗位設(shè)置置（G22）本項(xiàng)要求求包

49、括：應(yīng)設(shè)立安安全主管管、安全全管理各各個(gè)方面面的負(fù)責(zé)責(zé)人崗位位，并定定義各負(fù)負(fù)責(zé)人的的職責(zé)；應(yīng)設(shè)立系系統(tǒng)管理理員、網(wǎng)網(wǎng)絡(luò)管理理員、安安全管理理員等崗崗位，并并定義各各個(gè)工作作崗位的的職責(zé)。1.1.2.22.2人人員配備備（G22）本項(xiàng)要求求包括：應(yīng)配備一一定數(shù)量量的系統(tǒng)統(tǒng)管理員員、網(wǎng)絡(luò)絡(luò)管理員員、安全全管理員員等；安全管理理員不能能兼任網(wǎng)網(wǎng)絡(luò)管理理員、系系統(tǒng)管理理員、數(shù)數(shù)據(jù)庫(kù)管管理員等等。1.1.2.22.3授授權(quán)和審審批（GG2）本項(xiàng)要求求包括：應(yīng)根據(jù)各各個(gè)部門門和崗位位的職責(zé)責(zé)明確授授權(quán)審批批部門及及批準(zhǔn)人人，對(duì)系系統(tǒng)投入入運(yùn)行、網(wǎng)絡(luò)系系統(tǒng)接入入和重要要資源的的訪問(wèn)等等關(guān)鍵活活動(dòng)進(jìn)行行審批

50、；應(yīng)針對(duì)關(guān)關(guān)鍵活動(dòng)動(dòng)建立審審批流程程，并由由批準(zhǔn)人人簽字確確認(rèn)。1.1.2.22.4溝溝通和合合作（GG2）本項(xiàng)要求求包括：應(yīng)加強(qiáng)各各類管理理人員之之間、組組織內(nèi)部部機(jī)構(gòu)之之間以及及信息安安全職能能部門內(nèi)內(nèi)部的合合作與溝溝通；應(yīng)加強(qiáng)與與兄弟單單位、公公安機(jī)關(guān)關(guān)、電信信公司的的合作與與溝通。1.1.2.22.5審審核和檢檢查（GG2）安全管理理員應(yīng)負(fù)負(fù)責(zé)定期期進(jìn)行安安全檢查查，檢查查內(nèi)容包包括系統(tǒng)統(tǒng)日常運(yùn)運(yùn)行、系系統(tǒng)漏洞洞和數(shù)據(jù)據(jù)備份等情情況。1.1.2.33人員安安全管理理1.1.2.33.1人人員錄用用（G22）本項(xiàng)要求求包括：應(yīng)指定或或授權(quán)專專門的部部門或人人員負(fù)責(zé)責(zé)人員錄錄用；應(yīng)規(guī)范人人

51、員錄用用過(guò)程，對(duì)被錄錄用人員員的身份份、背景景和專業(yè)業(yè)資格等等進(jìn)行審審查，對(duì)對(duì)其所具具有的技技術(shù)技能能進(jìn)行考考核；應(yīng)與從事事關(guān)鍵崗崗位的人人員簽署署保密協(xié)協(xié)議。1.1.2.33.2人人員離崗崗（G22）本項(xiàng)要求求包括：應(yīng)規(guī)范人人員離崗崗過(guò)程，及時(shí)終終止離崗崗員工的的所有訪訪問(wèn)權(quán)限限；應(yīng)取回各各種身份份證件、鑰匙、徽章等等以及機(jī)機(jī)構(gòu)提供供的軟硬硬件設(shè)備備；應(yīng)辦理嚴(yán)嚴(yán)格的調(diào)調(diào)離手續(xù)續(xù)。1.1.2.33.3人人員考核核（G22）應(yīng)定期對(duì)對(duì)各個(gè)崗崗位的人人員進(jìn)行行安全技技能及安安全認(rèn)知知的考核核。1.1.2.33.4安安全意識(shí)識(shí)教育和和培訓(xùn)（G2）本項(xiàng)要求求包括：應(yīng)對(duì)各類類人員進(jìn)進(jìn)行安全全意識(shí)教教育、

52、崗崗位技能能培訓(xùn)和和相關(guān)安安全技術(shù)術(shù)培訓(xùn)；應(yīng)告知人人員相關(guān)關(guān)的安全全責(zé)任和和懲戒措措施，并并對(duì)違反反違背安安全策略略和規(guī)定定的人員員進(jìn)行懲懲戒；應(yīng)制定安安全教育育和培訓(xùn)訓(xùn)計(jì)劃，對(duì)信息息安全基基礎(chǔ)知識(shí)識(shí)、崗位位操作規(guī)規(guī)程等進(jìn)進(jìn)行培訓(xùn)訓(xùn)。1.1.2.33.5外外部人員員訪問(wèn)管管理（GG2）應(yīng)確保在在外部人人員訪問(wèn)問(wèn)受控區(qū)區(qū)域前得得到授權(quán)權(quán)或?qū)徟?，批?zhǔn)準(zhǔn)后由專專人全程程陪同或或監(jiān)督，并登記備案案。1.1.2.44系統(tǒng)建建設(shè)管理理1.1.2.44.1系系統(tǒng)定級(jí)級(jí)（G22）本項(xiàng)要求求包括：應(yīng)明確信信息系統(tǒng)統(tǒng)的邊界界和安全全保護(hù)等等級(jí)；應(yīng)以書面面的形式式說(shuō)明信信息系統(tǒng)統(tǒng)確定為為某個(gè)安安全保護(hù)護(hù)等級(jí)的的方

53、法和和理由；應(yīng)確保信信息系統(tǒng)統(tǒng)的定級(jí)級(jí)結(jié)果經(jīng)經(jīng)過(guò)相關(guān)關(guān)部門的的批準(zhǔn)。1.1.2.44.2安安全方案案設(shè)計(jì)（G2）本項(xiàng)要求求包括：應(yīng)根據(jù)系系統(tǒng)的安安全保護(hù)護(hù)等級(jí)選選擇基本本安全措措施，依依據(jù)風(fēng)險(xiǎn)險(xiǎn)分析的的結(jié)果補(bǔ)補(bǔ)充和調(diào)調(diào)整安全全措施；應(yīng)以書面面形式描描述對(duì)系系統(tǒng)的安安全保護(hù)護(hù)要求、策略和和措施等等內(nèi)容，形成系系統(tǒng)的安安全方案案；應(yīng)對(duì)安全全方案進(jìn)進(jìn)行細(xì)化化，形成成能指導(dǎo)導(dǎo)安全系系統(tǒng)建設(shè)設(shè)、安全全產(chǎn)品采采購(gòu)和使使用的詳詳細(xì)設(shè)計(jì)計(jì)方案；應(yīng)組織相相關(guān)部門門和有關(guān)關(guān)安全技技術(shù)專家家對(duì)安全全設(shè)計(jì)方方案的合合理性和和正確性性進(jìn)行論論證和審審定，并并且經(jīng)過(guò)過(guò)批準(zhǔn)后后，才能能正式實(shí)實(shí)施。1.1.2.44.3產(chǎn)產(chǎn)品

54、采購(gòu)購(gòu)和使用用（G22）本項(xiàng)要求求包括：應(yīng)確保安安全產(chǎn)品品采購(gòu)和和使用符符合國(guó)家家的有關(guān)關(guān)規(guī)定；應(yīng)確保密密碼產(chǎn)品品采購(gòu)和和使用符符合國(guó)家家密碼主主管部門門的要求求；應(yīng)指定或或授權(quán)專專門的部部門負(fù)責(zé)責(zé)產(chǎn)品的的采購(gòu)。1.1.2.44.4自自行軟件件開(kāi)發(fā)（G2）本項(xiàng)要求求包括：應(yīng)確保開(kāi)開(kāi)發(fā)環(huán)境境與實(shí)際際運(yùn)行環(huán)環(huán)境物理理分開(kāi)；應(yīng)制定軟軟件開(kāi)發(fā)發(fā)管理制制度，明明確說(shuō)明明開(kāi)發(fā)過(guò)過(guò)程的控控制方法法和人員員行為準(zhǔn)準(zhǔn)則；應(yīng)確保提提供軟件件設(shè)計(jì)的的相關(guān)文文檔和使使用指南南，并由由專人負(fù)負(fù)責(zé)保管管。1.1.2.44.5外外包軟件件開(kāi)發(fā)（G2）本項(xiàng)要求求包括：應(yīng)根據(jù)開(kāi)開(kāi)發(fā)要求求檢測(cè)軟軟件質(zhì)量量；應(yīng)確保提提供軟件件設(shè)計(jì)

55、的的相關(guān)文文檔和使使用指南南；應(yīng)在軟件件安裝之之前檢測(cè)測(cè)軟件包包中可能能存在的的惡意代代碼；應(yīng)要求開(kāi)開(kāi)發(fā)單位位提供軟軟件源代代碼，并并審查軟軟件中可可能存在在的后門門。1.1.2.44.6工工程實(shí)施施（G22）本項(xiàng)要求求包括：應(yīng)指定或或授權(quán)專專門的部部門或人人員負(fù)責(zé)責(zé)工程實(shí)實(shí)施過(guò)程程的管理理；應(yīng)制定詳詳細(xì)的工工程實(shí)施施方案，控制工工程實(shí)施施過(guò)程。1.1.2.44.7測(cè)測(cè)試驗(yàn)收收（G22）本項(xiàng)要求求包括：應(yīng)對(duì)系統(tǒng)統(tǒng)進(jìn)行安安全性測(cè)測(cè)試驗(yàn)收收；在測(cè)試驗(yàn)驗(yàn)收前應(yīng)應(yīng)根據(jù)設(shè)設(shè)計(jì)方案案或合同同要求等等制訂測(cè)測(cè)試驗(yàn)收收方案，在測(cè)試試驗(yàn)收過(guò)過(guò)程中應(yīng)應(yīng)詳細(xì)記記錄測(cè)試試驗(yàn)收結(jié)結(jié)果，并并形成測(cè)測(cè)試驗(yàn)收收?qǐng)?bào)告；應(yīng)組織相

56、相關(guān)部門門和相關(guān)關(guān)人員對(duì)對(duì)系統(tǒng)測(cè)測(cè)試驗(yàn)收收?qǐng)?bào)告進(jìn)進(jìn)行審定定，并簽簽字確認(rèn)認(rèn)。1.1.2.44.8系系統(tǒng)交付付（G22）本項(xiàng)要求求包括：應(yīng)制定系系統(tǒng)交付付清單，并根據(jù)據(jù)交付清清單對(duì)所所交接的的設(shè)備、軟件和和文檔等等進(jìn)行清清點(diǎn)；應(yīng)對(duì)負(fù)責(zé)責(zé)系統(tǒng)運(yùn)運(yùn)行維護(hù)護(hù)的技術(shù)術(shù)人員進(jìn)進(jìn)行相應(yīng)應(yīng)的技能能培訓(xùn)；應(yīng)確保提提供系統(tǒng)統(tǒng)建設(shè)過(guò)過(guò)程中的的文檔和和指導(dǎo)用用戶進(jìn)行行系統(tǒng)運(yùn)運(yùn)行維護(hù)護(hù)的文檔檔。1.1.2.44.9安安全服務(wù)務(wù)商選擇擇（G22）本項(xiàng)要求求包括：應(yīng)確保安安全服務(wù)務(wù)商的選選擇符合合國(guó)家的的有關(guān)規(guī)規(guī)定；應(yīng)與選定定的安全全服務(wù)商商簽訂與與安全相相關(guān)的協(xié)協(xié)議，明明確約定定相關(guān)責(zé)責(zé)任；應(yīng)確保選選定的安安全服務(wù)務(wù)商提

57、供供技術(shù)支支持和服服務(wù)承諾諾，必要要的與其其簽訂服服務(wù)合同同。1.1.2.55系統(tǒng)運(yùn)運(yùn)維管理理1.1.2.55.1環(huán)環(huán)境管理理（G22）本項(xiàng)要求求包括：應(yīng)指定專專門的部部門或人人員定期期對(duì)機(jī)房房供配電電、空調(diào)調(diào)、溫濕濕度控制制等設(shè)施施進(jìn)行維維護(hù)管理理；應(yīng)配備機(jī)機(jī)房安全全管理人人員，對(duì)對(duì)機(jī)房的的出入、服務(wù)器器的開(kāi)機(jī)機(jī)或關(guān)機(jī)機(jī)等工作作進(jìn)行管管理；應(yīng)建立機(jī)機(jī)房安全全管理制制度，對(duì)對(duì)有關(guān)機(jī)機(jī)房物理理訪問(wèn)，物品帶帶進(jìn)、帶帶出機(jī)房房和機(jī)房房環(huán)境安安全等方方面的管管理作出出規(guī)定；應(yīng)加強(qiáng)對(duì)對(duì)辦公環(huán)環(huán)境的保保密性管管理，包包括工作作人員調(diào)調(diào)離辦公公室應(yīng)立立即交還還該辦公公室鑰匙匙和不在在辦公區(qū)區(qū)接待來(lái)來(lái)訪人員員

58、等。1.1.2.55.2資資產(chǎn)管理理（G22）本項(xiàng)要求求包括：應(yīng)編制與與信息系系統(tǒng)相關(guān)關(guān)的資產(chǎn)產(chǎn)清單，包括資資產(chǎn)責(zé)任任部門、重要程程度和所所處位置置等內(nèi)容容；應(yīng)建立資資產(chǎn)安全全管理制制度，規(guī)規(guī)定信息息系統(tǒng)資資產(chǎn)管理理的責(zé)任任人員或或責(zé)任部部門，并并規(guī)范資資產(chǎn)管理理和使用用的行為為。1.1.2.55.3介介質(zhì)管理理（G22）本項(xiàng)要求求包括：應(yīng)確保介介質(zhì)存放放在安全全的環(huán)境境中，對(duì)對(duì)各類介介質(zhì)進(jìn)行行控制和和保護(hù)，并實(shí)行行存儲(chǔ)環(huán)環(huán)境專人人管理；應(yīng)對(duì)介質(zhì)質(zhì)歸檔和和查詢等等過(guò)程進(jìn)進(jìn)行記錄錄，并根根據(jù)存檔檔介質(zhì)的的目錄清清單定期期盤點(diǎn)；應(yīng)對(duì)需要要送出維維修或銷銷毀的介介質(zhì)，首首先清除除其中的的敏感數(shù)數(shù)據(jù)，

59、防防止信息息的非法法泄漏；應(yīng)根據(jù)所所承載數(shù)數(shù)據(jù)和軟軟件的重重要程度度對(duì)介質(zhì)質(zhì)進(jìn)行分分類和標(biāo)標(biāo)識(shí)管理理。1.1.2.55.4設(shè)設(shè)備管理理（G22）本項(xiàng)要求求包括：應(yīng)對(duì)信息息系統(tǒng)相相關(guān)的各各種設(shè)備備（包括括備份和和冗余設(shè)設(shè)備）、線路等等指定專專門的部部門或人人員定期期進(jìn)行維維護(hù)管理理；應(yīng)建立基基于申報(bào)報(bào)、審批批和專人人負(fù)責(zé)的的設(shè)備安安全管理理制度，對(duì)信息息系統(tǒng)的的各種軟軟硬件設(shè)設(shè)備的選選型、采采購(gòu)、發(fā)發(fā)放和領(lǐng)領(lǐng)用等過(guò)過(guò)程進(jìn)行行規(guī)范化化管理；應(yīng)對(duì)終端端計(jì)算機(jī)機(jī)、工作作站、便便攜機(jī)、系統(tǒng)和和網(wǎng)絡(luò)等等設(shè)備的的操作和和使用進(jìn)進(jìn)行規(guī)范范化管理理，按操操作規(guī)程程實(shí)現(xiàn)關(guān)關(guān)鍵設(shè)備備（包括括備份和和冗余設(shè)設(shè)備）的的

60、啟動(dòng)/停止、加電/斷電等操作作；應(yīng)確保信信息處理理設(shè)備必必須經(jīng)過(guò)過(guò)審批才才能帶離離機(jī)房或或辦公地地點(diǎn)。1.1.2.55.5網(wǎng)網(wǎng)絡(luò)安全全管理（G2）本項(xiàng)要求求包括：應(yīng)指定人人員對(duì)網(wǎng)網(wǎng)絡(luò)進(jìn)行行管理，負(fù)責(zé)運(yùn)運(yùn)行日志志、網(wǎng)絡(luò)絡(luò)監(jiān)控記記錄的日日常維護(hù)護(hù)和報(bào)警警信息分分析和處處理工作作；應(yīng)建立網(wǎng)網(wǎng)絡(luò)安全全管理制制度，對(duì)對(duì)網(wǎng)絡(luò)安安全配置置、日志志保存時(shí)時(shí)間、安安全策略略、升級(jí)級(jí)與打補(bǔ)補(bǔ)丁、口口令更新新周期等等方面作作出規(guī)定定；應(yīng)根據(jù)廠廠家提供供的軟件件升級(jí)版版本對(duì)網(wǎng)網(wǎng)絡(luò)設(shè)備備進(jìn)行更更新，并并在更新新前對(duì)現(xiàn)現(xiàn)有的重重要文件件進(jìn)行備備份；應(yīng)定期對(duì)對(duì)網(wǎng)絡(luò)系系統(tǒng)進(jìn)行行漏洞掃掃描，對(duì)對(duì)發(fā)現(xiàn)的的網(wǎng)絡(luò)系系統(tǒng)安全全漏洞進(jìn)進(jìn)