系統(tǒng)建設(shè)管理安全測評指導(dǎo)書

1、系統(tǒng)建設(shè)管理安全測評指導(dǎo)書序號測評指標(biāo)測評項(xiàng)檢查方法預(yù)期結(jié)果1系統(tǒng)疋級a）訪談，檢 查。安全主 管，系統(tǒng)劃 分文檔，系 統(tǒng)定級文 檔，專家論 證文檔，系 統(tǒng)屬性說明 文檔。訪談：安全主管，是 否參照定級指南做指 導(dǎo)。信息系統(tǒng)參照定級指 南進(jìn)行定級。b）訪談，檢 查。安全主 管，系統(tǒng)劃 分文檔，系 統(tǒng)定級文 檔，專家論 證文檔，系 統(tǒng)屬性說明 文檔。檢查：系統(tǒng)定級文檔。 查看定級結(jié)果是否有 相關(guān)部門的批準(zhǔn)蓋章。信息系統(tǒng)具備定級報 告，并且定級報告有當(dāng) 地公安部門的批準(zhǔn)蓋 早。C）訪談，檢 查。安全主 管，系統(tǒng)劃 分文檔，系 統(tǒng)定級文 檔，專家論 證文檔，系 統(tǒng)屬性說明 文檔。訪談：安全主管，是

2、否對定級結(jié)果進(jìn)行論 證、審定。檢杳： 專家論證文檔，查看是 否有專家對定級結(jié)果 的論證意見。1）信息系統(tǒng)定級結(jié)果 通過專家的論證和審 定，并且定級結(jié)果獲得 了相關(guān)部門（如上級主 管部門）的批準(zhǔn)；2 ） 具備相應(yīng)論證意見文 檔；3）定級結(jié)果已遞 交當(dāng)?shù)毓矙C(jī)關(guān)備案。d）訪談，檢 查。安全主 管，系統(tǒng)劃 分文檔，系 統(tǒng)定級文 檔，專家論 證文檔，系 統(tǒng)屬性說明 文檔。檢查：查看定級結(jié)果 是否有相關(guān)部門的批 準(zhǔn)蓋章。定級結(jié)果均已得到相 關(guān)部門的批準(zhǔn)蓋章。2安全方案a）訪談，檢訪談：系統(tǒng)建設(shè)負(fù)責(zé)根據(jù)信息系統(tǒng)的安全設(shè)計查。安全主 管，系統(tǒng)建 設(shè)負(fù)責(zé)人， 總體安全策 略文檔，安 全技術(shù)框 架，安全管 理策

3、略文 檔，總體建 設(shè)規(guī)劃書， 詳細(xì)設(shè)計方 案，專家論 證文檔，維 護(hù)記錄人，是否根據(jù)信息系統(tǒng) 的安全級別選擇基本 安全措施，是否依據(jù)風(fēng) 險分析的結(jié)果補(bǔ)充和 調(diào)整安全措施，做過哪 些調(diào)整。級別選擇了基本的安 全措施，對于存在風(fēng)險 的，結(jié)合風(fēng)險分析進(jìn)行 調(diào)整。b）訪談，檢 查。安全主 管，系統(tǒng)建 設(shè)負(fù)責(zé)人， 總體安全策 略文檔，安 全技術(shù)框 架，安全管 理策略文 檔，總體建 設(shè)規(guī)劃書， 詳細(xì)設(shè)計方 案，專家論 證文檔，維 護(hù)記錄訪談：安全主管，何 部門、何人負(fù)責(zé)制定安 全建設(shè)總體規(guī)劃。檢 查：檢查系統(tǒng)的安全 建設(shè)工作計劃。1）授權(quán)專門的部門或 者人員負(fù)責(zé)制定安全 建設(shè)總體規(guī)劃；2 ）制 定了近期和

4、遠(yuǎn)期的安 全建設(shè)工作計劃。C）訪談，檢 查。安全主 管，系統(tǒng)建 設(shè)負(fù)責(zé)人， 總體安全策 略文檔，安 全技術(shù)框 架，安全管 理策略文 檔，總體建 設(shè)規(guī)劃書， 詳細(xì)設(shè)計方 案，專家論 證文檔，維訪談：系統(tǒng)建設(shè)負(fù)責(zé) 人，是否根據(jù)信息系統(tǒng) 等級劃分情況，統(tǒng)一考 慮安全保障體系的總 體安全策略、安全技術(shù) 框架、安全管理策略、 總體建設(shè)規(guī)劃和詳細(xì) 設(shè)計方案等。根據(jù)信息系統(tǒng)等級劃 分情況，統(tǒng)一考慮了安 全保障體系的總體安 全策略、安全技術(shù)框 架、安全管理策略、總 體建設(shè)規(guī)劃和詳細(xì)設(shè) 計方案等。護(hù)記錄d）訪談，檢 查。安全主 管，系統(tǒng)建 設(shè)負(fù)責(zé)人， 總體安全策 略文檔，安 全技術(shù)框 架，安全管 理策略文 檔，

5、總體建 設(shè)規(guī)劃書， 詳細(xì)設(shè)計方 案，專家論 證文檔，維 護(hù)記錄訪談：系統(tǒng)建設(shè)負(fù)責(zé) 人，安全保障體系的配 套文件是否經(jīng)過論證 和審定，如何審批，有 無調(diào)整和修訂、維護(hù)周 期。檢查：1 ）系統(tǒng) 總體安全策略、安全技 術(shù)框架、安全管理策 略、總體建設(shè)規(guī)劃、詳 細(xì)設(shè)計方案等配套文 件是否經(jīng)過管理部門 的批準(zhǔn)；2 ）專家論證 文檔。1）安全保障體系和配 套文件通過論證和審 定，定期的進(jìn)行維護(hù)；2）系統(tǒng)總體安全策略、 安全技術(shù)框架、安全管 理策略、總體建設(shè)規(guī)戈9、詳細(xì)設(shè)計方案等配 套文件經(jīng)過管理部門 的批準(zhǔn)；3 ）具備專家 論證文檔。e）訪談，檢 查。安全主 管，系統(tǒng)建 設(shè)負(fù)責(zé)人， 總體安全策 略文檔，安

6、 全技術(shù)框 架，安全管 理策略文 檔，總體建 設(shè)規(guī)劃書， 詳細(xì)設(shè)計方 案，專家論 證文檔，維 護(hù)記錄訪談：系統(tǒng)建設(shè)負(fù)責(zé) 人，是否進(jìn)行了安全測 評、是否根據(jù)結(jié)果定期 調(diào)整和修訂配套方案， 維護(hù)周期。檢查： 各方案的維護(hù)記錄或 修訂版本的記錄日期 與維護(hù)周期是否一致。1）定期進(jìn)行安全測評， 并且根據(jù)安全測評結(jié) 果調(diào)整和修訂配套方 案；2）各個方案的維 護(hù)記錄或修訂版本的 記錄日期與維護(hù)周期 一致。3產(chǎn)品采購a）訪談，檢 查。安全主 管，系統(tǒng)建 設(shè)負(fù)責(zé)人， 產(chǎn)品采購管 理制度，產(chǎn) 品選型測試 結(jié)果記錄， 候選產(chǎn)品名 單審定記 錄。檢查：信息安全產(chǎn)品 是否符合國家的有關(guān) 規(guī)定。信息安全產(chǎn)品符合國 豕的

7、有關(guān)規(guī)疋。b）訪談，檢 查。安全主 管，系統(tǒng)建 設(shè)負(fù)責(zé)人， 產(chǎn)品采購管 理制度，產(chǎn) 品選型測試 結(jié)果記錄， 候選產(chǎn)品名 單審定記 錄。檢查：密碼產(chǎn)品的使 用情況是否符合密碼 產(chǎn)品使用、管理的相關(guān) 規(guī)定，例如商用密碼 管理?xiàng)l例規(guī)定任何單 位只能使用經(jīng)過國家 密碼管理機(jī)構(gòu)認(rèn)可的 商用密碼產(chǎn)品，商用密 碼產(chǎn)品發(fā)生故障，必須 有國家密碼管理機(jī)構(gòu) 指定的單位維修，報廢 商用密碼產(chǎn)品應(yīng)向國 家密碼管理機(jī)構(gòu)備案， 計算機(jī)信息系統(tǒng)保 密工作暫行規(guī)定規(guī)定 涉密系統(tǒng)配置合格的 保密專用設(shè)備，所采取 的保密措施應(yīng)與所處 理信息的密級要求相 一致等。密碼產(chǎn)品的使用情況 符合密碼產(chǎn)品使用、管 理的相關(guān)規(guī)定。C）訪談，檢

8、 查。安全主 管，系統(tǒng)建 設(shè)負(fù)責(zé)人， 產(chǎn)品采購管 理制度，產(chǎn) 品選型測試 結(jié)果記錄， 候選產(chǎn)品名 單審定記 錄。訪談：安全主管，何 部門何人負(fù)責(zé)產(chǎn)品采 購。授權(quán)專門的部門或者 人貝負(fù)責(zé)產(chǎn)品的采購。d）訪談，檢 查。安全主 管，系統(tǒng)建 設(shè)負(fù)責(zé)人， 產(chǎn)品采購管 理制度，產(chǎn) 品選型測試 結(jié)果記錄， 候選產(chǎn)品名 單審定記 錄。訪談：系統(tǒng)建設(shè)負(fù)責(zé) 人，是否制定了產(chǎn)品米 購清單，產(chǎn)品采購清單 的審定以及審定周期。 檢查：1 ）產(chǎn)品采購管 理制度，查看內(nèi)容是否 明確采購過程的控制 方法（如米購前對產(chǎn)品 做選型測試，明確需要 的產(chǎn)品性能指標(biāo)，確定 產(chǎn)品的候選范圍，通過 招投標(biāo)方式確定米購1）制定了產(chǎn)品米購清

9、單；2 ）制定了產(chǎn)品米 購管理制度，查看內(nèi)容 明確采購過程的控制 方法和人員行為準(zhǔn)則 等方面。產(chǎn)品等）和人員行為準(zhǔn) 則等方面；2 ）選型結(jié) 果記錄、候選名單。4自行軟件 開發(fā)a）訪談，檢 查。系統(tǒng)建 設(shè)負(fù)責(zé)人， 軟件設(shè)計相 關(guān)文檔和使 用指南，審 批文檔或記 錄，文檔使 用控制記 錄。訪談：系統(tǒng)建設(shè)負(fù)責(zé) 人，開發(fā)人員和測試人 員是否分離，是否在獨(dú) 立的模擬環(huán)境中編寫、 調(diào)試和完成。檢杳： 開發(fā)環(huán)境與運(yùn)行環(huán)境 物理分開。開發(fā)人員和測試人員 分離在不同的物理環(huán) 境辦公，在獨(dú)立的模擬 環(huán)境中編寫、調(diào)試和完 成。b）訪談，檢 查。系統(tǒng)建 設(shè)負(fù)責(zé)人， 軟件設(shè)計相 關(guān)文檔和使 用指南，審 批文檔或記 錄，

10、文檔使 用控制記 錄。檢查：軟件開發(fā)管理 制度。具備軟件開發(fā)管理制 度。C）訪談，檢 查。系統(tǒng)建 設(shè)負(fù)責(zé)人， 軟件設(shè)計相 關(guān)文檔和使 用指南，審 批文檔或記 錄，文檔使 用控制記 錄。訪談：開發(fā)人員，是 否參照代碼編寫安全 規(guī)范進(jìn)行軟件開發(fā)。檢杳：代碼編寫安全 規(guī)范，查看規(guī)范中是否 明確代碼編寫規(guī)則。1）參照代碼編寫安全 規(guī)范進(jìn)行軟件開發(fā)；2）具備代碼編寫安全 規(guī)范，規(guī)范中明確了代 碼編寫規(guī)則。d）訪談，檢 查。系統(tǒng)建 設(shè)負(fù)責(zé)人， 軟件設(shè)計相 關(guān)文檔和使 用指南，審 批文檔或記 錄，文檔使 用控制記訪談：軟件設(shè)計相關(guān) 文檔和使用指南是否 由專人負(fù)責(zé)保管。檢 查：軟件設(shè)計關(guān)文檔、 軟件使用指南或

11、操作 手冊和維護(hù)手冊。1）指定專人負(fù)責(zé)軟件 設(shè)計相關(guān)文檔和使用 指南的保管；2 ）具備 軟件設(shè)計關(guān)文檔、軟件 使用指南或操作手冊 和維護(hù)手冊。錄。e）訪談，檢 查。系統(tǒng)建 設(shè)負(fù)責(zé)人， 軟件設(shè)計相 關(guān)文檔和使 用指南，審 批文檔或記 錄，文檔使 用控制記 錄。檢查：程序資源庫的 修改、更新、發(fā)布進(jìn)行 授權(quán)和審批的文檔或 記錄，查看是否有批準(zhǔn) 人的簽字。程序資源庫的修改、更 新、發(fā)布有批準(zhǔn)人的簽 字。5外包軟件 開發(fā)a）訪談，檢 查。系統(tǒng)建 設(shè)負(fù)責(zé)人， 軟件開發(fā)安 全協(xié)議，軟 件開發(fā)文 檔，軟件培 訓(xùn)文檔。訪談：系統(tǒng)建設(shè)負(fù)責(zé) 人，交付前進(jìn)行驗(yàn)收測 試。檢查：軟件開發(fā) 協(xié)議,知識產(chǎn)權(quán)歸屬、 安全行為等內(nèi)容。1）軟件交付前進(jìn)行驗(yàn) 收測試；2 ）軟件開發(fā) 具備軟件開發(fā)協(xié)議，明 確知識產(chǎn)權(quán)歸屬、安全 行為等內(nèi)容。b）訪談，檢 查。系統(tǒng)建 設(shè)負(fù)責(zé)人， 軟件開發(fā)安 全協(xié)議，軟 件開發(fā)文 檔，軟件培 訓(xùn)文檔。訪談：系統(tǒng)建設(shè)負(fù)責(zé) 人，軟件安裝前是否檢 測軟件中惡意代碼。軟件安裝前檢測軟件 中惡意代碼。C）訪談，檢 查。系統(tǒng)建 設(shè)負(fù)責(zé)人， 軟件開發(fā)安 全協(xié)議，軟 件開發(fā)文 檔，軟件培 訓(xùn)文檔。檢查：需求分析說明 書、軟件設(shè)計說明書、 軟件操作手冊、軟件源 代碼文檔等軟件開發(fā) 文檔和使用指南。由軟件開發(fā)商提供需