信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求

1、信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求引 言依據(jù)中華人人民共和國(guó)計(jì)計(jì)算機(jī)信息系系統(tǒng)安全保護(hù)護(hù)條例（國(guó)國(guó)務(wù)院1477號(hào)令）、國(guó)國(guó)家信息化領(lǐng)領(lǐng)導(dǎo)小組關(guān)于于加強(qiáng)信息安安全保障工作作的意見（中中辦發(fā)20003277號(hào)）、關(guān)于信息系系統(tǒng)安全等級(jí)級(jí)保護(hù)工作的的實(shí)施意見（公通字字2004466號(hào)）和和信息安全全等級(jí)保護(hù)管管理辦法（公公通字20007433號(hào)）等有關(guān)關(guān)文件要求，制制定本標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)是信息安全等級(jí)保護(hù)相關(guān)系列標(biāo)準(zhǔn)之一。與本標(biāo)準(zhǔn)相關(guān)的系列標(biāo)準(zhǔn)包括：GB/T 22240-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南；GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要

2、求；GB/T AAAA-AAAA 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南。一般來(lái)說(shuō)，信息系統(tǒng)需要靠多種安全措施進(jìn)行綜合防范以降低其面臨的安全風(fēng)險(xiǎn)。本標(biāo)準(zhǔn)針對(duì)信息系統(tǒng)中的單項(xiàng)安全措施和多個(gè)安全措施的綜合防范，對(duì)應(yīng)地提出單元測(cè)評(píng)和整體測(cè)評(píng)的技術(shù)要求，用以指導(dǎo)測(cè)評(píng)人員從信信息安全等級(jí)級(jí)保護(hù)的角度度對(duì)信息系統(tǒng)統(tǒng)進(jìn)行測(cè)試評(píng)評(píng)估。單元測(cè)測(cè)評(píng)對(duì)安全技技術(shù)和安全管管理上各個(gè)層層面的安全控控制點(diǎn)提出不不同安全保護(hù)護(hù)等級(jí)的測(cè)評(píng)評(píng)要求。整體體測(cè)評(píng)根據(jù)安安全控制點(diǎn)間間、層面間和和區(qū)域間相互互關(guān)聯(lián)關(guān)系以以及信息系統(tǒng)統(tǒng)整體結(jié)構(gòu)對(duì)對(duì)信息系統(tǒng)整整體安全保護(hù)護(hù)能力的影響響提出測(cè)評(píng)要要求。 本標(biāo)準(zhǔn)給出出了等級(jí)測(cè)評(píng)評(píng)結(jié)論中應(yīng)包

3、包括的主要內(nèi)內(nèi)容，未規(guī)定定給出測(cè)評(píng)結(jié)結(jié)論的具體方方法和量化指指標(biāo)。如果沒(méi)有特特殊指定，本本標(biāo)準(zhǔn)中的信信息系統(tǒng)主要要指計(jì)算機(jī)信信息系統(tǒng)。 在本標(biāo)準(zhǔn)文文本中，黑體體字的測(cè)評(píng)要要求表示該要要求出現(xiàn)在當(dāng)當(dāng)前等級(jí)而在在低于當(dāng)前等等級(jí)信息系統(tǒng)統(tǒng)的測(cè)評(píng)要求求中沒(méi)有出現(xiàn)現(xiàn)過(guò)。信息系統(tǒng)安全等等級(jí)保護(hù)測(cè)評(píng)評(píng)要求1 范圍本標(biāo)準(zhǔn)規(guī)定了對(duì)對(duì)信息系統(tǒng)安安全等級(jí)保護(hù)護(hù)狀況進(jìn)行安安全測(cè)試評(píng)估估的要求，包包括對(duì)第一級(jí)級(jí)信息系統(tǒng)、第第二級(jí)信息系系統(tǒng)、第三級(jí)級(jí)信息系統(tǒng)和和第四級(jí)信息息系統(tǒng)進(jìn)行安安全測(cè)試評(píng)估估的單元測(cè)評(píng)評(píng)要求和信息息系統(tǒng)整體測(cè)測(cè)評(píng)要求。本本標(biāo)準(zhǔn)略去對(duì)對(duì)第五級(jí)信息息系統(tǒng)進(jìn)行單單元測(cè)評(píng)的具具體內(nèi)容要求求。本標(biāo)準(zhǔn)適用用于信

4、息安全全測(cè)評(píng)服務(wù)機(jī)機(jī)構(gòu)、信息系系統(tǒng)的主管部部門及運(yùn)營(yíng)使使用單位對(duì)信信息系統(tǒng)安全全等級(jí)保護(hù)狀狀況進(jìn)行的安安全測(cè)試評(píng)估估。信息安全全監(jiān)管職能部部門依法進(jìn)行行的信息安全全等級(jí)保護(hù)監(jiān)監(jiān)督檢查可以以參考使用。2 規(guī)范性引用用文件下列文件中的條條款通過(guò)本標(biāo)標(biāo)準(zhǔn)的引用而而成為本標(biāo)準(zhǔn)準(zhǔn)的條款。注注日期的引用用文件，其隨隨后所有的修修改單（不包包括勘誤的內(nèi)內(nèi)容）或修訂訂版均不適用用于本標(biāo)準(zhǔn)，然然而，鼓勵(lì)根根據(jù)本標(biāo)準(zhǔn)達(dá)達(dá)成協(xié)議的各各方研究是否否可使用這些些文件的最新新版本。不注注日期的引用用文件，其最最新版本適用用于本標(biāo)準(zhǔn)。GB/T 5271.8 信息技術(shù) 詞匯 第8部分：安全GB/T 22239-2008 信息

5、安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求3 術(shù)語(yǔ)和定義義GB/T 52271.8和和GB/T 222399-20088所確立的以以及下列術(shù)語(yǔ)語(yǔ)和定義適用用于本標(biāo)準(zhǔn)。3.1 測(cè)評(píng)力力度 tessting and eevaluaation intennsity測(cè)評(píng)工作實(shí)實(shí)際投入力量量的表征，可可以由測(cè)評(píng)廣廣度和深度來(lái)來(lái)描述。4 總則4.1 測(cè)評(píng)原原則a) 客觀性和和公正性原則則測(cè)評(píng)工作雖雖然不能完全全擺脫個(gè)人主主張或判斷，但但測(cè)評(píng)人員應(yīng)應(yīng)當(dāng)在沒(méi)有偏偏見和最小主主觀判斷情形形下，按照測(cè)測(cè)評(píng)雙方相互互認(rèn)可的測(cè)評(píng)評(píng)方案，基于于明確定義的的測(cè)評(píng)方法和和過(guò)程，實(shí)施施測(cè)評(píng)活動(dòng)。b) 經(jīng)濟(jì)性和和可重用性原則則基于

6、測(cè)評(píng)成成本和工作復(fù)復(fù)雜性考慮，鼓鼓勵(lì)測(cè)評(píng)工作作重用以前的的測(cè)評(píng)結(jié)果，包包括商業(yè)安全全產(chǎn)品測(cè)評(píng)結(jié)結(jié)果和信息系系統(tǒng)先前的安安全測(cè)評(píng)結(jié)果果。所有重用用的結(jié)果，都都應(yīng)基于這些些結(jié)果還能適適用于目前的的系統(tǒng)，能反反映目前系統(tǒng)統(tǒng)的安全狀態(tài)態(tài)。c) 可重復(fù)性性和可再現(xiàn)性原則則無(wú)論誰(shuí)執(zhí)行測(cè)評(píng)評(píng)，依照同樣樣的要求，使使用同樣的方方法，對(duì)每個(gè)個(gè)測(cè)評(píng)實(shí)施過(guò)過(guò)程的重復(fù)執(zhí)執(zhí)行都應(yīng)該得得到同樣的測(cè)測(cè)評(píng)結(jié)果?？煽稍佻F(xiàn)性體現(xiàn)現(xiàn)在不同測(cè)評(píng)評(píng)者執(zhí)行相同同測(cè)評(píng)的結(jié)果果的一致性?？煽芍貜?fù)性體現(xiàn)現(xiàn)在同一測(cè)評(píng)評(píng)者重復(fù)執(zhí)行行相同測(cè)評(píng)的的結(jié)果的一致致性。d) 符合性原原則測(cè)評(píng)所產(chǎn)生生的結(jié)果應(yīng)當(dāng)當(dāng)是在對(duì)測(cè)評(píng)評(píng)指標(biāo)的正確確理解下所取取得的良好的

7、的判斷。測(cè)評(píng)評(píng)實(shí)施過(guò)程應(yīng)應(yīng)當(dāng)使用正確確的方法以確確保其滿足了了測(cè)評(píng)指標(biāo)的的要求。4.2 測(cè)評(píng)內(nèi)內(nèi)容信息系統(tǒng)安全等等級(jí)測(cè)評(píng)主要要包括單元測(cè)測(cè)評(píng)和整體測(cè)測(cè)評(píng)兩部分。單元測(cè)評(píng)是等級(jí)級(jí)測(cè)評(píng)工作的的基本活動(dòng)，每每個(gè)單元測(cè)評(píng)評(píng)包括測(cè)評(píng)指指標(biāo)、測(cè)評(píng)實(shí)實(shí)施和結(jié)果判判定三部分。其中，測(cè)評(píng)指標(biāo)來(lái)源于GB/T 22239-2008中的第五級(jí)目錄中的各要求項(xiàng)（詳見4.5節(jié)說(shuō)明），測(cè)評(píng)實(shí)施描述測(cè)評(píng)過(guò)程中使用的具體測(cè)評(píng)方法、涉及的測(cè)評(píng)對(duì)象和具體測(cè)評(píng)取證過(guò)程的要求，結(jié)果判定描述測(cè)評(píng)人員執(zhí)行測(cè)評(píng)實(shí)實(shí)施并產(chǎn)生各各種測(cè)評(píng)數(shù)據(jù)據(jù)后，如何依依據(jù)這些測(cè)評(píng)評(píng)數(shù)據(jù)來(lái)判定定被測(cè)系統(tǒng)是是否滿足測(cè)評(píng)評(píng)指標(biāo)要求的的原則和方法法。整體測(cè)評(píng)是是在單元

8、測(cè)評(píng)評(píng)的基礎(chǔ)上，通通過(guò)進(jìn)一步分分析信息系統(tǒng)統(tǒng)的整體安全全性，對(duì)信息息系統(tǒng)實(shí)施的的綜合安全測(cè)測(cè)評(píng)。整體測(cè)測(cè)評(píng)主要包括括安全控制點(diǎn)點(diǎn)間、層面間間和區(qū)域間相相互作用的安安全測(cè)評(píng)以及及系統(tǒng)結(jié)構(gòu)的的安全測(cè)評(píng)等等。整體測(cè)評(píng)評(píng)需要與信息息系統(tǒng)的實(shí)際際情況相結(jié)合合，因此全面面地給出整體體測(cè)評(píng)要求的的全部?jī)?nèi)容、具具體實(shí)施過(guò)程程和明確的結(jié)結(jié)果判定方法法是非常困難難的，測(cè)評(píng)人人員應(yīng)根據(jù)被被測(cè)系統(tǒng)的實(shí)實(shí)際情況，結(jié)結(jié)合本標(biāo)準(zhǔn)的的要求，實(shí)施施整體測(cè)評(píng)。測(cè)評(píng)方法指測(cè)評(píng)人員在測(cè)評(píng)實(shí)施過(guò)程中所使用的方法，主要包括訪談、檢查和測(cè)試三種測(cè)評(píng)方法。其中，訪談是指測(cè)評(píng)人員通過(guò)引導(dǎo)信息系統(tǒng)相關(guān)人員進(jìn)行有目的的（有針對(duì)性的）交流以幫助測(cè)評(píng)

9、人員理解、分析或取得證據(jù)的過(guò)程，檢查是指測(cè)評(píng)人員通過(guò)對(duì)測(cè)評(píng)對(duì)象（如管理制度、操作記錄、安全配置等）進(jìn)行觀察、查驗(yàn)、分析以幫助測(cè)評(píng)人員理解、分析或取得證據(jù)的過(guò)程，測(cè)試是測(cè)評(píng)人員使用預(yù)定的方法/工具使測(cè)評(píng)對(duì)象產(chǎn)生特定的行為，通過(guò)查看和分析結(jié)果以幫助測(cè)評(píng)人員獲取證據(jù)的過(guò)程。測(cè)評(píng)對(duì)象指測(cè)評(píng)實(shí)施的對(duì)象，即測(cè)評(píng)過(guò)程中涉及到的信息系統(tǒng)的相關(guān)人員、制度文檔、各類設(shè)備及其安全配置等。4.3 測(cè)評(píng)力力度測(cè)評(píng)力度是在測(cè)測(cè)評(píng)過(guò)程中實(shí)實(shí)施測(cè)評(píng)工作作的力度，反反映測(cè)評(píng)的廣廣度和深度，體體現(xiàn)為測(cè)評(píng)工工作的實(shí)際投投入程度。測(cè)測(cè)評(píng)廣度越大大，測(cè)評(píng)實(shí)施施的范圍越大大，測(cè)評(píng)實(shí)施施包含的測(cè)評(píng)評(píng)對(duì)象就越多多；測(cè)評(píng)深度度越深，越需需要在

10、細(xì)節(jié)上上展開，測(cè)評(píng)評(píng)就越嚴(yán)格，因因此就越需要要更多的投入入。投入越多多，測(cè)評(píng)力度度就越強(qiáng)，測(cè)測(cè)評(píng)就越有保保證。測(cè)評(píng)的的廣度和深度度落實(shí)到訪談?wù)?、檢查和測(cè)測(cè)試三種不同同的測(cè)評(píng)方法法上，能體現(xiàn)現(xiàn)出測(cè)評(píng)實(shí)施施過(guò)程中談、檢檢查和測(cè)試的的投入程度的的不同。信息安全等等級(jí)保護(hù)要求求不同安全保保護(hù)等級(jí)的信信息系統(tǒng)應(yīng)具具有不同的安安全保護(hù)能力力，滿足相應(yīng)應(yīng)等級(jí)的保護(hù)護(hù)要求。為了了檢驗(yàn)不同安安全保護(hù)等級(jí)級(jí)的信息系統(tǒng)統(tǒng)是否具有相相應(yīng)等級(jí)的安安全保護(hù)能力力，是否滿足足相應(yīng)等級(jí)的的保護(hù)要求，需需要實(shí)施與其其安全保護(hù)等等級(jí)相適應(yīng)的的測(cè)評(píng)，付出出相應(yīng)的工作作投入，達(dá)到到應(yīng)有的測(cè)評(píng)評(píng)力度。第一一級(jí)到第四級(jí)級(jí)信息系統(tǒng)的的測(cè)評(píng)

11、力度反反映在訪談、檢檢查和測(cè)試等等三種基本測(cè)測(cè)評(píng)方法的測(cè)測(cè)評(píng)廣度和深深度上，落實(shí)實(shí)在不同單元元測(cè)評(píng)中具體體的測(cè)評(píng)實(shí)施施上。不同安安全保護(hù)等級(jí)級(jí)的信息系統(tǒng)統(tǒng)在總體上所所對(duì)應(yīng)的測(cè)評(píng)評(píng)力度在附錄錄A中描述。4.4 結(jié)果重重用在信息系統(tǒng)中，有有些安全控制制可以不依賴賴于其所在的的地點(diǎn)便可測(cè)測(cè)評(píng)，即在其其部署到運(yùn)行行環(huán)境之前便便可以接受安安全測(cè)評(píng)。一一些商用安全全產(chǎn)品的測(cè)評(píng)評(píng)就屬于這種種安全測(cè)評(píng)。如如果一個(gè)信息息系統(tǒng)部署和和安裝在多個(gè)個(gè)地點(diǎn)，且系系統(tǒng)具有一組組共同的軟件件、硬件、固固件等組成部部分，對(duì)這些些安全控制的的測(cè)評(píng)可以集集中在一個(gè)集集成測(cè)試環(huán)境境中實(shí)施，如如果沒(méi)有這種種環(huán)境，則可可以在其中一一個(gè)

12、預(yù)定的運(yùn)運(yùn)行地點(diǎn)實(shí)施施，在其他運(yùn)運(yùn)行地點(diǎn)的安安全測(cè)評(píng)便可可重用此測(cè)評(píng)結(jié)結(jié)果。在信息系統(tǒng)統(tǒng)所有安全控控制中，有一一些安全控制制與它所處于于的運(yùn)行環(huán)境境緊密相關(guān)（如如與人員或物物理有關(guān)的某某些安全控制制），對(duì)其測(cè)測(cè)評(píng)必須在分分發(fā)到相應(yīng)運(yùn)運(yùn)行環(huán)境中才才能進(jìn)行。如如果多個(gè)信息息系統(tǒng)處在地地域臨近的封封閉場(chǎng)地內(nèi)，系系統(tǒng)所屬的機(jī)機(jī)構(gòu)在同一個(gè)個(gè)領(lǐng)導(dǎo)層管理理之下，對(duì)這這些安全控制制在多個(gè)信息息系統(tǒng)中進(jìn)行行重復(fù)測(cè)評(píng)，可可能是對(duì)有效效資源的一種種浪費(fèi)。因此此，可以在一一個(gè)選定的信信息系統(tǒng)中進(jìn)進(jìn)行測(cè)評(píng)，其其他相關(guān)信息息系統(tǒng)可以直直接重用這些些測(cè)評(píng)結(jié)果。4.5 使用方方法本標(biāo)準(zhǔn)第5章到到第8章分別描述述了第一級(jí)信信息

13、系統(tǒng)、第第二級(jí)信息系系統(tǒng)、第三級(jí)級(jí)信息系統(tǒng)和和第四級(jí)信息息系統(tǒng)所有單單元測(cè)評(píng)的內(nèi)內(nèi)容，在章節(jié)節(jié)上分別對(duì)應(yīng)應(yīng)國(guó)標(biāo)GB/T 222239-20008的第5章到第8章。在國(guó)標(biāo)標(biāo)GB/T222399-20088第5章到第8章中，各章章的二級(jí)目錄錄都分為安全全技術(shù)和安全全管理兩部分分，三級(jí)目錄錄從安全層面面（如物理安安全、網(wǎng)絡(luò)安安全、主機(jī)安安全等）進(jìn)行行劃分和描述述，四級(jí)目錄錄按照安全控控制點(diǎn)進(jìn)行劃劃分和描述（如如主機(jī)安全層層面下分為身身份鑒別、訪訪問(wèn)控制、安安全審計(jì)等），第第五級(jí)目錄是是每一個(gè)安全全控制點(diǎn)下面面包括的具體體安全要求項(xiàng)項(xiàng)（以下簡(jiǎn)稱稱“要求項(xiàng)”，這些要求求項(xiàng)在本標(biāo)準(zhǔn)準(zhǔn)中被稱為“測(cè)評(píng)指標(biāo)”）

14、。本標(biāo)準(zhǔn)準(zhǔn)中針對(duì)每一一個(gè)安全控制制點(diǎn)的測(cè)評(píng)就就構(gòu)成一個(gè)單單元測(cè)評(píng)，單單元測(cè)評(píng)中的的每一個(gè)具體體測(cè)評(píng)實(shí)施要要求項(xiàng)（以下下簡(jiǎn)稱“測(cè)評(píng)要求項(xiàng)項(xiàng)”）是與安全全控制點(diǎn)下面面所包括的要要求項(xiàng)（測(cè)評(píng)評(píng)指標(biāo)）相對(duì)對(duì)應(yīng)的。在對(duì)對(duì)每一要求項(xiàng)項(xiàng)進(jìn)行測(cè)評(píng)時(shí)時(shí)，可能用到到訪談、檢查查和測(cè)試三種種測(cè)試方法，也也可能用到其其中一種或兩兩種，為了描描述簡(jiǎn)潔，在在測(cè)評(píng)要求項(xiàng)項(xiàng)中，沒(méi)有針針對(duì)每一個(gè)要要求項(xiàng)分別進(jìn)進(jìn)行描述，而而是對(duì)具有相相同測(cè)評(píng)方法法的多個(gè)要求求項(xiàng)進(jìn)行了合合并描述，但測(cè)評(píng)評(píng)實(shí)施的內(nèi)容容完全覆蓋了了GB/T 222399-20088中所有要求求項(xiàng)的測(cè)評(píng)要要求,使用時(shí)，應(yīng)應(yīng)當(dāng)從單元測(cè)測(cè)評(píng)的測(cè)評(píng)實(shí)實(shí)施中抽取出出對(duì)于GB/

15、T 222239-20008中每一一個(gè)要求項(xiàng)的的測(cè)評(píng)要求，并并按照這些測(cè)測(cè)評(píng)要求開發(fā)測(cè)評(píng)指導(dǎo)書書，以規(guī)范和和指導(dǎo)安全等等級(jí)測(cè)評(píng)活動(dòng)動(dòng)。 測(cè)評(píng)過(guò)程中中，測(cè)評(píng)人員員應(yīng)注意對(duì)測(cè)測(cè)評(píng)記錄和證證據(jù)的采集、處處理、存儲(chǔ)和和銷毀，保護(hù)護(hù)其在測(cè)評(píng)期期間免遭破壞壞、更改或遺遺失，并保守守秘密。測(cè)評(píng)的最終終輸出是測(cè)評(píng)評(píng)報(bào)告，測(cè)評(píng)評(píng)報(bào)告應(yīng)結(jié)合合第11章的要求求給出等級(jí)測(cè)測(cè)評(píng)結(jié)論。5 第一級(jí)信息息系統(tǒng)單元測(cè)測(cè)評(píng)5.1 安全技技術(shù)測(cè)評(píng)5.1.1 物物理安全1 物理訪問(wèn)問(wèn)控制1.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。1.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談物物理安全負(fù)責(zé)責(zé)人，了解部部署了哪些控控制人員進(jìn)

16、出出機(jī)房的保護(hù)護(hù)措施；b) 應(yīng)檢查查是否有專人人負(fù)責(zé)機(jī)房的的出入控制且且有進(jìn)入機(jī)房房人員的登記記記錄。1.3 結(jié)果果判定如果.2 b）為肯定定，則信息系系統(tǒng)符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求。2 防盜竊和和防破壞2.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。2.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談物物理安全負(fù)責(zé)責(zé)人，了解采采取了哪些防防止設(shè)備、介介質(zhì)等丟失的的保護(hù)措施；b) 應(yīng)檢查查關(guān)鍵設(shè)備是是否放置在機(jī)機(jī)房?jī)?nèi)或其它它不易被盜竊竊和被破壞的的可控范圍內(nèi)內(nèi)；c) 應(yīng)檢查查關(guān)鍵設(shè)備或或設(shè)備的主要要部件的固定定情況，查看看其是否不易易

17、被移動(dòng)或被被搬走，是否否設(shè)置明顯的的不易除去的的標(biāo)記。2.3 結(jié)果果判定如果.2 b）和c）均為肯定定，則信息系系統(tǒng)符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求。3 防雷擊3.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。3.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談物物理安全負(fù)責(zé)責(zé)人，詢問(wèn)機(jī)機(jī)房建筑是否否設(shè)置了避雷雷裝置，是否否通過(guò)驗(yàn)收或或國(guó)家有關(guān)部部門的技術(shù)檢檢測(cè)；b) 應(yīng)檢查機(jī)機(jī)房建筑是否否有避雷裝置置。3.3 結(jié)果果判定如果.2 b）為肯定定，則信息系系統(tǒng)符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求

18、。4 防火4.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。4.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談物物理安全負(fù)責(zé)責(zé)人，詢問(wèn)機(jī)機(jī)房是否設(shè)置置了滅火設(shè)備備，是否制定定了有關(guān)機(jī)房房消防的管理理制度和消防防預(yù)案，是否否進(jìn)行了消防防培訓(xùn)；b) 應(yīng)檢查查機(jī)房是否設(shè)設(shè)置了滅火設(shè)設(shè)備，滅火設(shè)設(shè)備擺放位置置是否合理，其其有效期是否否合格。4.3 結(jié)果果判定如果.2 a)和b）均為肯定定，則信息系系統(tǒng)符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求。5 防水和防防潮5.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。5.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談

19、物物理安全負(fù)責(zé)責(zé)人，詢問(wèn)機(jī)機(jī)房是否部署署了防水防潮潮措施，是否否沒(méi)有出現(xiàn)過(guò)過(guò)漏水和返潮潮事件；如果果機(jī)房?jī)?nèi)有上上/下水管安裝裝，則查看是是否采取必要要的保護(hù)措施施；b) 應(yīng)檢查查穿過(guò)主機(jī)房房墻壁或樓板板的管道是否否采取必要的的防滲防漏等等防水保護(hù)措措施；c) 應(yīng)檢查查機(jī)房的窗戶戶、屋頂和墻墻壁等是否未未出現(xiàn)過(guò)漏水水、滲透和返返潮現(xiàn)象，機(jī)機(jī)房及其環(huán)境境是否不存在在明顯的漏水水和返潮的威威脅；如果出出現(xiàn)漏水、滲滲透和返潮現(xiàn)現(xiàn)象是否能夠夠及時(shí)修復(fù)解解決。5.3 結(jié)果果判定如果.2 b）和c）均為肯定定，則信息系系統(tǒng)符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求

20、。6 溫濕度控控制6.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。6.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談物物理安全負(fù)責(zé)責(zé)人，詢問(wèn)機(jī)機(jī)房是否配備備了空調(diào)等溫溫濕度控制設(shè)設(shè)施，保證溫溫濕度能夠滿足計(jì)計(jì)算機(jī)設(shè)備運(yùn)運(yùn)行的要求，是是否在機(jī)房管管理制度中規(guī)規(guī)定了溫濕度度控制的要求求；b) 應(yīng)檢查查空調(diào)設(shè)備是是否能夠正常常運(yùn)行，檢查查機(jī)房溫濕度度是否滿足計(jì)計(jì)算站場(chǎng)地的的技術(shù)條件要要求。6.3 結(jié)果果判定如果.2 b）為肯定定，則信息系系統(tǒng)符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求。7 電力供應(yīng)應(yīng)7.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。

21、7.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談物物理安全負(fù)責(zé)責(zé)人，詢問(wèn)計(jì)計(jì)算機(jī)系統(tǒng)供供電線路上是是否設(shè)置了穩(wěn)穩(wěn)壓器和過(guò)電電壓防護(hù)設(shè)備備；b) 應(yīng)檢查查機(jī)房，查看看計(jì)算機(jī)系統(tǒng)統(tǒng)供電線路上上是否設(shè)置了了穩(wěn)壓器和過(guò)過(guò)電壓防護(hù)設(shè)設(shè)備，這些設(shè)設(shè)備是否正常常運(yùn)行。7.3 結(jié)果果判定如果.2 b）為肯定定，則信息系系統(tǒng)符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求。5.1.2 網(wǎng)網(wǎng)絡(luò)安全1 結(jié)構(gòu)安全全1.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。1.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談網(wǎng)網(wǎng)絡(luò)管理員，詢?cè)儐?wèn)關(guān)鍵網(wǎng)絡(luò)絡(luò)設(shè)備的業(yè)務(wù)務(wù)處理能力是是否滿足基本本業(yè)務(wù)需

22、求；b) 應(yīng)訪談?wù)劸W(wǎng)絡(luò)管理員員，詢問(wèn)接入入網(wǎng)絡(luò)及核心心網(wǎng)絡(luò)的帶寬寬是否滿足基基本業(yè)務(wù)需要要；c) 應(yīng)檢查查網(wǎng)絡(luò)拓?fù)浣Y(jié)結(jié)構(gòu)圖，查看看其與當(dāng)前運(yùn)運(yùn)行的實(shí)際網(wǎng)網(wǎng)絡(luò)系統(tǒng)是否否一致。1.3 結(jié)果果判定本項(xiàng)要求包括：a) 如果5. c）中中缺少網(wǎng)絡(luò)拓拓?fù)浣Y(jié)構(gòu)圖，則則為否定；b) 如果5.1.2.1.22 a）-c）均為肯肯定，則信息息系統(tǒng)符合本本單元測(cè)評(píng)指指標(biāo)要求，否否則，信息系系統(tǒng)不符合或或部分符合本本單元測(cè)評(píng)指指標(biāo)要求。2 訪問(wèn)控制制2.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。2.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談安安全管理員，詢?cè)儐?wèn)網(wǎng)絡(luò)訪問(wèn)問(wèn)控制的措施施有哪些；詢?cè)儐?wèn)網(wǎng)絡(luò)訪問(wèn)問(wèn)控制

23、設(shè)備具具備哪些訪問(wèn)問(wèn)控制功能；b) 應(yīng)檢查查邊界網(wǎng)絡(luò)設(shè)設(shè)備，查看是是否有正確的的訪問(wèn)控制列列表，以通過(guò)過(guò)源地址、目目的地址、源源端口、目的的端口、協(xié)議議等進(jìn)行網(wǎng)絡(luò)絡(luò)數(shù)據(jù)流控制制，其控制粒粒度是否至少少為用戶組。2.3 結(jié)果果判定如果.2 b）為肯定定，則信息系系統(tǒng)符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求。3 網(wǎng)絡(luò)設(shè)備備防護(hù)3.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。3.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談網(wǎng)網(wǎng)絡(luò)管理員，詢?cè)儐?wèn)關(guān)鍵網(wǎng)絡(luò)絡(luò)設(shè)備的防護(hù)護(hù)措施有哪些些；詢問(wèn)關(guān)鍵鍵網(wǎng)絡(luò)設(shè)備的的登錄和驗(yàn)證證方式做過(guò)何何種配置；詢?cè)儐?wèn)遠(yuǎn)程管理理的設(shè)

24、備是否否采取措施防防止鑒別信息息泄漏；b) 應(yīng)檢查查邊界和關(guān)鍵鍵網(wǎng)絡(luò)設(shè)備，查查看是否配置置了對(duì)登錄用用戶進(jìn)行身份份鑒別的功能能；c) 應(yīng)檢查查邊界和關(guān)鍵鍵網(wǎng)絡(luò)設(shè)備，查查看是否配置置了鑒別失敗敗處理功能；d) 應(yīng)檢查查邊界和關(guān)鍵鍵網(wǎng)絡(luò)設(shè)備，查查看是否配置置了對(duì)設(shè)備遠(yuǎn)遠(yuǎn)程管理所產(chǎn)產(chǎn)生的鑒別信信息進(jìn)行保護(hù)護(hù)的功能。3.3 結(jié)果果判定如果.2 b）-d）均為肯肯定，則信息息系統(tǒng)符合本本單元測(cè)評(píng)指指標(biāo)要求，否否則，信息系系統(tǒng)不符合或或部分符合本本單元測(cè)評(píng)指指標(biāo)要求。5.1.3 主主機(jī)安全1 身份鑒別別1.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。1.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談系系

25、統(tǒng)管理員和和數(shù)據(jù)庫(kù)管理理員，詢問(wèn)操操作系統(tǒng)和數(shù)數(shù)據(jù)庫(kù)管理系系統(tǒng)的身份標(biāo)標(biāo)識(shí)與鑒別機(jī)機(jī)制采取何種種措施實(shí)現(xiàn)；b) 應(yīng)檢查查關(guān)鍵服務(wù)器器操作系統(tǒng)和和關(guān)鍵數(shù)據(jù)庫(kù)庫(kù)管理系統(tǒng)，查查看是否提供供了身份鑒別別措施。1.3 結(jié)果果判定如果.2 b)為肯定定，則信息系系統(tǒng)符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求。2 訪問(wèn)控制制2.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。2.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)檢查關(guān)關(guān)鍵服務(wù)器操操作系統(tǒng)的安安全策略，查查看是否對(duì)重重要文件的訪訪問(wèn)權(quán)限進(jìn)行行了限制，對(duì)對(duì)系統(tǒng)不需要要的服務(wù)、共共享路徑等進(jìn)進(jìn)行了禁用或或刪除；b

26、) 應(yīng)檢查查關(guān)鍵服務(wù)器器操作系統(tǒng)和和關(guān)鍵數(shù)據(jù)庫(kù)庫(kù)管理系統(tǒng)，查查看匿名/默認(rèn)帳戶的訪問(wèn)權(quán)權(quán)限是否已被被禁用或者限限制，是否刪刪除了系統(tǒng)中中多余的、過(guò)過(guò)期的以及共共享的帳戶；c) 應(yīng)檢查查關(guān)鍵服務(wù)器器操作系統(tǒng)和和關(guān)鍵數(shù)據(jù)庫(kù)庫(kù)管理系統(tǒng)的的權(quán)限設(shè)置情情況，查看是是否依據(jù)安全全策略對(duì)用戶戶權(quán)限進(jìn)行了了限制。2.3 結(jié)果果判定如果.2 a）-c）均為肯肯定，則信息息系統(tǒng)符合本本單元測(cè)評(píng)指指標(biāo)要求，否否則，信息系系統(tǒng)不符合或或部分符合本本單元測(cè)評(píng)指指標(biāo)要求。3 入侵防范范3.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。3.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談系系統(tǒng)管理員，詢?cè)儐?wèn)操作系統(tǒng)統(tǒng)中所安裝

27、的的系統(tǒng)組件和和應(yīng)用程序是是否都是必須須的，詢問(wèn)操操作系統(tǒng)補(bǔ)丁丁更新的方式式和周期；b) 應(yīng)檢查查關(guān)鍵服務(wù)器器操作系統(tǒng)和和關(guān)鍵數(shù)據(jù)庫(kù)庫(kù)管理系統(tǒng)的的補(bǔ)丁是否得得到了及時(shí)更更新。3.3 結(jié)果果判定如果.2 b)肯定，則則信息系統(tǒng)符符合本單元測(cè)測(cè)評(píng)指標(biāo)要求求，否則，信信息系統(tǒng)不符符合或部分符符合本單元測(cè)測(cè)評(píng)指標(biāo)要求求。4 惡意代碼碼防范4.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。4.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談系系統(tǒng)安全管理理員，詢問(wèn)主主機(jī)系統(tǒng)是否否采取惡意代代碼實(shí)時(shí)檢測(cè)測(cè)與查殺措施施，惡意代碼碼實(shí)時(shí)檢測(cè)與與查殺措施的的部署覆蓋范范圍如何；b) 應(yīng)檢查查關(guān)鍵服務(wù)器器，查看是否

28、否安裝了實(shí)時(shí)時(shí)檢測(cè)與查殺殺惡意代碼的的軟件產(chǎn)品并并進(jìn)行及時(shí)更更新。4.3 結(jié)果果判定如果.2 b）為肯定定，則信息系系統(tǒng)符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求。5.1.4 應(yīng)應(yīng)用安全1 身份鑒別別1.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。1.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談應(yīng)應(yīng)用系統(tǒng)管理理員，詢問(wèn)應(yīng)應(yīng)用系統(tǒng)是否否有專用的登登錄控制模塊塊對(duì)登錄的用用戶進(jìn)行身份份標(biāo)識(shí)和鑒別別，具體采取取的鑒別措施施是什么；b) 應(yīng)訪談?wù)剳?yīng)用系統(tǒng)管管理員，詢問(wèn)問(wèn)應(yīng)用系統(tǒng)是是否具有登錄錄失敗處理功功能；c) 應(yīng)訪談?wù)剳?yīng)用系統(tǒng)管管理員，詢問(wèn)問(wèn)應(yīng)用系統(tǒng)

29、是是否采取措施施防止鑒別信信息傳輸過(guò)程程中被竊聽，具具體措施是什什么；d) 應(yīng)檢查查關(guān)鍵應(yīng)用系系統(tǒng)，查看其其是否提供身身份標(biāo)識(shí)和鑒鑒別功能；e) 應(yīng)檢查查關(guān)鍵應(yīng)用系系統(tǒng)，查看其其提供的登錄錄失敗處理功功能，是否根根據(jù)安全策略略配置了相關(guān)關(guān)參數(shù)。1.3 結(jié)果果判定如果.2 d）和e）均為肯定定，則信息系系統(tǒng)符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求。2 訪問(wèn)控制制2.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。2.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談應(yīng)應(yīng)用系統(tǒng)管理理員，詢問(wèn)應(yīng)應(yīng)用系統(tǒng)是否否提供訪問(wèn)控控制措施，以以及具體措施施和訪問(wèn)控制制策略

30、有哪些些；b) 應(yīng)檢查查關(guān)鍵應(yīng)用系系統(tǒng)，查看系系統(tǒng)是否提供供訪問(wèn)控制功功能控制用戶戶組/用戶對(duì)系統(tǒng)統(tǒng)功能和用戶戶數(shù)據(jù)的訪問(wèn)問(wèn)；c) 應(yīng)檢查查關(guān)鍵應(yīng)用系系統(tǒng)，查看其其是否具有由由授權(quán)用戶設(shè)設(shè)置其它用戶戶訪問(wèn)系統(tǒng)功功能和用戶數(shù)數(shù)據(jù)的權(quán)限的的功能，是否否限制默認(rèn)用用戶的訪問(wèn)權(quán)權(quán)限；d) 應(yīng)測(cè)試試關(guān)鍵應(yīng)用系系統(tǒng)，可通過(guò)過(guò)以不同權(quán)限限的用戶登錄錄系統(tǒng)，查看看其擁有的權(quán)權(quán)限是否與系系統(tǒng)賦予的權(quán)權(quán)限一致，驗(yàn)驗(yàn)證應(yīng)用系統(tǒng)統(tǒng)訪問(wèn)控制功功能是否有效效。2.3 結(jié)果果判定如果.2 b）-d）均為肯肯定，則信息息系統(tǒng)符合本本單元測(cè)評(píng)指指標(biāo)要求，否否則，信息系系統(tǒng)不符合或或部分符合本本單元測(cè)評(píng)指指標(biāo)要求。3 通信完整整

31、性3.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。3.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談安安全管理員，詢?cè)儐?wèn)應(yīng)用系統(tǒng)統(tǒng)是否具有在在數(shù)據(jù)傳輸過(guò)過(guò)程中保護(hù)其其完整性的措措施，具體措措施是什么；b) 應(yīng)檢查查設(shè)計(jì)或驗(yàn)收收文檔，查看看其是否有關(guān)關(guān)于保護(hù)通信信完整性的說(shuō)說(shuō)明。3.3 結(jié)果果判定如果.2 b）為肯定定，則信息系系統(tǒng)符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求。4 軟件容錯(cuò)錯(cuò)4.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。4.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談應(yīng)應(yīng)用系統(tǒng)管理理員，詢問(wèn)應(yīng)應(yīng)用系統(tǒng)是否否具有保證軟軟件容錯(cuò)能力力

32、的措施，具具體措施有哪哪些；b) 應(yīng)檢查查關(guān)鍵應(yīng)用系系統(tǒng)，查看應(yīng)應(yīng)用系統(tǒng)是否否具有對(duì)人機(jī)機(jī)接口輸入或或通信接口輸輸入的數(shù)據(jù)進(jìn)進(jìn)行有效性檢檢驗(yàn)的功能；c) 應(yīng)測(cè)試試關(guān)鍵應(yīng)用系系統(tǒng)，可通過(guò)過(guò)對(duì)人機(jī)接口口輸入的不同同長(zhǎng)度或格式式的數(shù)據(jù)，查查看系統(tǒng)的反反應(yīng)，驗(yàn)證系系統(tǒng)人機(jī)接口口有效性檢驗(yàn)驗(yàn)功能是否正正確。4.3 結(jié)果果判定如果.2 b）和c）均為肯定定，則信息系系統(tǒng)符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求。5.1.5 數(shù)數(shù)據(jù)安全及備備份恢復(fù)1 數(shù)據(jù)完整整性1.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。1.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談安

33、安全管理員，詢?cè)儐?wèn)關(guān)鍵應(yīng)用用系統(tǒng)用戶數(shù)數(shù)據(jù)在傳輸過(guò)過(guò)程中是否有有完整性保證證措施，具體體措施有哪些些；b) 應(yīng)檢查查關(guān)鍵應(yīng)用系系統(tǒng)，查看其其是否配備檢檢測(cè)重要用戶戶數(shù)據(jù)在傳輸輸過(guò)程中完整整性受到破壞壞的功能。1.3 結(jié)果果判定如果.2 b）為肯定定，則信息系系統(tǒng)符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求。2 備份和恢恢復(fù)2.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。2.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談網(wǎng)網(wǎng)絡(luò)管理員，詢?cè)儐?wèn)是否對(duì)網(wǎng)網(wǎng)絡(luò)設(shè)備中的的配置文件進(jìn)進(jìn)行備份，備備份策略是什什么；當(dāng)其受受到破壞時(shí)，恢恢復(fù)策略是什什么；b) 應(yīng)訪談?wù)?/p>

34、系統(tǒng)管理員員，詢問(wèn)是否否對(duì)操作系統(tǒng)統(tǒng)中的重要信信息進(jìn)行備份份，備份策略略是什么；當(dāng)當(dāng)其受到破壞壞時(shí)，恢復(fù)策策略是什么；c) 應(yīng)訪談?wù)剶?shù)據(jù)庫(kù)管理理員，詢問(wèn)是是否對(duì)數(shù)據(jù)庫(kù)庫(kù)管理系統(tǒng)中中的關(guān)鍵數(shù)據(jù)據(jù)進(jìn)行備份，備備份策略是什什么；當(dāng)其受受到破壞時(shí)，恢恢復(fù)策略是什什么；d) 應(yīng)訪談?wù)劙踩芾韱T員，詢問(wèn)是否否對(duì)應(yīng)用系統(tǒng)統(tǒng)中的應(yīng)用程程序進(jìn)行備份份，備份策略略是什么；當(dāng)當(dāng)其受到破壞壞時(shí)，恢復(fù)策策略是什么；e) 應(yīng)檢查查關(guān)鍵主機(jī)操操作系統(tǒng)、關(guān)關(guān)鍵網(wǎng)絡(luò)設(shè)備備、關(guān)鍵數(shù)據(jù)據(jù)庫(kù)管理系統(tǒng)統(tǒng)和關(guān)鍵應(yīng)用用系統(tǒng)，查看看其是否提供供備份和恢復(fù)復(fù)功能，備份份和恢復(fù)功能能的配置是否否正確，并且且查看實(shí)際備備份結(jié)果是否否與備份策略略一

35、致。2.3 結(jié)果果判定如果.2 e）為肯定定，則信息系系統(tǒng)符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求。5.2 安全管管理測(cè)評(píng)5.2.1 安安全管理制度度1 管理制度度1.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222399-20088 5.2.1.1。1.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)檢查各各項(xiàng)安全管理理制度，查看看是否覆蓋物物理、網(wǎng)絡(luò)、主主機(jī)系統(tǒng)、數(shù)數(shù)據(jù)、應(yīng)用、建建設(shè)和管理等等層面。1.3 結(jié)果果判定如果.2 a）為肯定定，則信息系系統(tǒng)符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求。2 制定和發(fā)發(fā)布2.1 測(cè)評(píng)評(píng)指標(biāo)

36、見GB/T 222239-2008 。2.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談安安全主管，詢?cè)儐?wèn)是否有專專人負(fù)責(zé)制定定安全管理制制度；b) 應(yīng)訪談?wù)劙踩芾碇浦贫戎?、修訂訂人員，詢問(wèn)問(wèn)安全管理制制度的發(fā)布方方式，是否能能夠發(fā)布到相相關(guān)人員手中中。2.3 結(jié)果果判定如果.2 a）和b）均為肯定定，則信息系系統(tǒng)符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求。5.2.2 安安全管理機(jī)構(gòu)構(gòu)1 崗位設(shè)置置1.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。1.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談安安全主管，詢?cè)儐?wèn)信息系統(tǒng)統(tǒng)設(shè)置了哪些些工作崗位，各各個(gè)崗

37、位的職職責(zé)分工是否否明確；b) 應(yīng)檢查查崗位職責(zé)分分工文檔，查查看其定義的的崗位職責(zé)中中是否包括系系統(tǒng)管理員、網(wǎng)網(wǎng)絡(luò)管理員、安安全管理員等等重要崗位的的職責(zé)。1.3 結(jié)果果判定如果.2 a）和b）均為肯定定，則信息系系統(tǒng)符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求。2 人員配備備2.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。2.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談安安全主管，詢?cè)儐?wèn)各個(gè)安全全管理崗位的的人員配備情情況；b) 應(yīng)檢查查安全管理各各崗位人員信信息表，查看看其是否明確確機(jī)房管理員員、系統(tǒng)管理理員、網(wǎng)絡(luò)管管理員和安全全管理員等重重

38、要崗位人員員的信息。2.3 結(jié)果果判定如果.2 a)和b）均為肯定定，則信息系系統(tǒng)符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求。3 授權(quán)和審審批3.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。3.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談安安全主管，詢?cè)儐?wèn)其是否需需要對(duì)信息系系統(tǒng)中的關(guān)鍵鍵活動(dòng)進(jìn)行審審批，審批部部門是何部門門，批準(zhǔn)人是是何人，他們們的審批活動(dòng)動(dòng)是否得到授授權(quán)；b) 應(yīng)訪談?wù)劙踩鞴?，詢?cè)儐?wèn)其對(duì)關(guān)鍵鍵活動(dòng)的審批批范圍。3.3 結(jié)果果判定如果.2 a）和b）均為肯定定，則信息系系統(tǒng)符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求，否則則，信息系統(tǒng)統(tǒng)不符合或

39、部部分符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求。4 溝通和合合作4.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。4.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談安安全主管，詢?cè)儐?wèn)是否經(jīng)常常與公安機(jī)關(guān)關(guān)、電信公司司和兄弟單位位聯(lián)系，聯(lián)系系和合作方式式有哪些；b) 應(yīng)檢查查外聯(lián)單位說(shuō)說(shuō)明文檔，查查看外聯(lián)單位位是否包含公公安機(jī)關(guān)、電電信公司及兄兄弟單位，是是否說(shuō)明外聯(lián)聯(lián)單位的聯(lián)系系人和聯(lián)系方方式等內(nèi)容。4.3 結(jié)果果判定如果.2 a）和b）均為肯定定，則信息系系統(tǒng)符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求。5.2.3 人人員安全管理理1 人員錄用用1.1 測(cè)評(píng)評(píng)指標(biāo)

40、見GB/T 222239-2008 。1.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談安安全主管，詢?cè)儐?wèn)是否有專專門的部門或或人員負(fù)責(zé)人人員的錄用工工作，由何部部門/何人負(fù)責(zé)；b) 應(yīng)訪談?wù)勅耸鹿芾硐嘞嚓P(guān)人員，詢?cè)儐?wèn)在人員錄錄用時(shí)對(duì)人員員條件有哪些些要求，是否否對(duì)被錄用人人的身份和專專業(yè)資格進(jìn)行行審查；c) 應(yīng)檢查人人員錄用要求求管理文檔，查查看是否說(shuō)明明錄用人員應(yīng)應(yīng)具備的條件件（如學(xué)歷、學(xué)學(xué)位要求，技技術(shù)人員應(yīng)具具備的專業(yè)技技術(shù)水平，管管理人員應(yīng)具具備的安全管管理知識(shí)等）；d) 應(yīng)檢查查是否具有人人員錄用時(shí)對(duì)對(duì)錄用人身份份、專業(yè)資格格等進(jìn)行審查查的相關(guān)文檔檔或記錄，查查看是否記錄錄審查內(nèi)容和和審

41、查結(jié)果等等。1.3 結(jié)果果判定如果.2 a）-d）均為肯肯定，則信息息系統(tǒng)符合本本單元測(cè)評(píng)指指標(biāo)要求，否否則，信息系系統(tǒng)不符合或或部分符合本本單元測(cè)評(píng)指指標(biāo)要求。2 人員離崗崗2.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。2.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談安安全主管，詢?cè)儐?wèn)是否及時(shí)時(shí)終止離崗人人員的所有訪訪問(wèn)權(quán)限，取取回各種身份份證件、鑰匙匙、徽章以及及機(jī)構(gòu)提供的的軟硬件設(shè)備備等；b) 應(yīng)檢查查是否具有對(duì)對(duì)離崗人員的的安全處理記記錄（如交還還身份證件、設(shè)設(shè)備等的登記記記錄）。2.3 結(jié)果果判定如果.2 a）和b）均為肯定定，則信息系系統(tǒng)符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求，否則則，信

42、息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求。3 安全意識(shí)識(shí)教育和培訓(xùn)訓(xùn)3.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。3.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談安安全主管，詢?cè)儐?wèn)是否對(duì)各各個(gè)崗位人員員進(jìn)行安全教教育和崗位技技能培訓(xùn)，告告知相關(guān)的安安全知識(shí)、安安全責(zé)任和懲懲戒措施，具具體的培訓(xùn)方方式有哪些；b) 應(yīng)訪談?wù)劙踩芾韱T員，考查其對(duì)對(duì)工作相關(guān)的的信息安全基基礎(chǔ)知識(shí)、安安全責(zé)任和懲懲戒措施等的的理解程度。3.3 結(jié)果果判定如果.2 a）和b）均為肯定定，則信息系系統(tǒng)符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求。4 外部人員員訪問(wèn)管

43、理4.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。4.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談安安全管理員，詢?cè)儐?wèn)對(duì)外部人人員訪問(wèn)重要要區(qū)域（如訪訪問(wèn)機(jī)房、重重要服務(wù)器或或設(shè)備區(qū)等）采采取了哪些安安全措施，是是否經(jīng)有關(guān)部部門或負(fù)責(zé)人人批準(zhǔn)才能訪訪問(wèn)；b) 應(yīng)檢查查外部人員訪訪問(wèn)管理文檔檔，查看是否否有對(duì)外部人人員訪問(wèn)機(jī)房房等重要區(qū)域域應(yīng)經(jīng)過(guò)相關(guān)關(guān)部門或負(fù)責(zé)責(zé)人批準(zhǔn)的內(nèi)內(nèi)容。4.3 結(jié)果果判定如果.2 a）和b）均為肯定定，則信息系系統(tǒng)符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求。5.2.4 系系統(tǒng)建設(shè)管理理1 系統(tǒng)定級(jí)級(jí)1.1 測(cè)評(píng)評(píng)指標(biāo)見GB

44、/T 222239-2008 。1.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談安安全主管，詢?cè)儐?wèn)確定信息息系統(tǒng)安全保保護(hù)等級(jí)的方方法是否參照照定級(jí)指南的的指導(dǎo)，定級(jí)級(jí)過(guò)程是否有有書面描述；定級(jí)結(jié)果是是否獲得了相相關(guān)部門的批批準(zhǔn)；b) 應(yīng)檢查查系統(tǒng)定級(jí)文文檔，查看文文檔是否明確確信息系統(tǒng)的的邊界和信息息系統(tǒng)的安全全保護(hù)等級(jí)，是是否說(shuō)明定級(jí)級(jí)的方法和理理由，查看定定級(jí)結(jié)果是否否有相關(guān)部門門的批準(zhǔn)蓋章章。1.3 結(jié)果果判定本項(xiàng)要求包括：a) 5.2.4.1.22 a）沒(méi)有有上級(jí)主管部部門的，如果果有本單位信信息安全主管管領(lǐng)導(dǎo)的批準(zhǔn)準(zhǔn)，則該項(xiàng)為為肯定；b) 如果5.2.4.1.22 a）和b）均為肯定定

45、，則信息系系統(tǒng)符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求。2 安全方案案設(shè)計(jì)2.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。2.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談系系統(tǒng)建設(shè)負(fù)責(zé)責(zé)人，詢問(wèn)是是否根據(jù)系統(tǒng)統(tǒng)的安全級(jí)別別選擇基本安安全措施，是是否依據(jù)風(fēng)險(xiǎn)險(xiǎn)分析的結(jié)果果補(bǔ)充和調(diào)整整安全措施，具具體做過(guò)哪些些調(diào)整；b) 應(yīng)檢查查系統(tǒng)的安全全方案，查看看方案是否描描述系統(tǒng)的安安全保護(hù)要求求，是否詳細(xì)細(xì)描述了系統(tǒng)統(tǒng)的安全策略略，是否詳細(xì)細(xì)描述了系統(tǒng)統(tǒng)采取的安全全措施等內(nèi)容容；c) 應(yīng)檢查查系統(tǒng)的詳細(xì)細(xì)設(shè)計(jì)方案，查查看詳細(xì)設(shè)計(jì)計(jì)方案是否對(duì)對(duì)應(yīng)安全方案案

46、進(jìn)行細(xì)化，是是否有安全建建設(shè)方案和安安全產(chǎn)品采購(gòu)購(gòu)方案。2.3 結(jié)果果判定如5.2.4.2.2 aa）-c）均為肯肯定，則信息息系統(tǒng)符合本本單元測(cè)評(píng)指指標(biāo)要求，否否則，信息系系統(tǒng)不符合或或部分符合本本單元測(cè)評(píng)指指標(biāo)要求。3 產(chǎn)品采購(gòu)購(gòu)和使用3.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。3.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談系系統(tǒng)建設(shè)負(fù)責(zé)責(zé)人，詢問(wèn)信信息安全產(chǎn)品品的采購(gòu)情況況，是否有產(chǎn)產(chǎn)品采購(gòu)清單單指導(dǎo)產(chǎn)品采采購(gòu)，采購(gòu)過(guò)過(guò)程如何控制制；b) 應(yīng)訪談?wù)勏到y(tǒng)建設(shè)負(fù)負(fù)責(zé)人，詢問(wèn)問(wèn)系統(tǒng)使用的的有關(guān)信息安安全產(chǎn)品是否否符合國(guó)家的的有關(guān)規(guī)定。3.3 結(jié)果果判定如果.2 a）和b）均為肯定定，

47、則信息系系統(tǒng)符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求。4 自行軟件件開發(fā)4.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。4.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談系系統(tǒng)建設(shè)負(fù)責(zé)責(zé)人，詢問(wèn)是是否進(jìn)行自主主開發(fā)軟件，自自主開發(fā)軟件件是否在獨(dú)立立的模擬環(huán)境境中編寫、調(diào)調(diào)試和完成；b) 應(yīng)訪談?wù)勏到y(tǒng)建設(shè)負(fù)負(fù)責(zé)人，詢問(wèn)問(wèn)軟件設(shè)計(jì)相相關(guān)文檔是否否由專人負(fù)責(zé)責(zé)保管，負(fù)責(zé)責(zé)人是何人；c) 應(yīng)檢查查是否具有軟軟件設(shè)計(jì)相關(guān)關(guān)文檔。4.3 結(jié)果果判定如果.2 a）-c）均為肯肯定，則信息息系統(tǒng)符合本本單元測(cè)評(píng)指指標(biāo)要求，否否則，信息系系統(tǒng)不符合或或部分符合本本

48、單元測(cè)評(píng)指指標(biāo)要求。5 外包軟件件開發(fā)5.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。5.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談系系統(tǒng)建設(shè)負(fù)責(zé)責(zé)人，詢問(wèn)軟軟件交付前是是否依據(jù)開發(fā)發(fā)要求的技術(shù)術(shù)指標(biāo)對(duì)軟件件功能和性能能等進(jìn)行驗(yàn)收收測(cè)試，軟件件安裝之前是是否檢測(cè)軟件件中的惡意代代碼；b) 應(yīng)檢查查是否具有需需求分析說(shuō)明明書、軟件設(shè)設(shè)計(jì)說(shuō)明書、軟軟件操作手冊(cè)冊(cè)等軟件開發(fā)發(fā)文檔和使用用指南。5.3 結(jié)果果判定如果.2 a）和b）均為肯定定，則信息系系統(tǒng)符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求。6 工程實(shí)施施6.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 22223

49、9-2008 。6.2 測(cè)評(píng)評(píng)實(shí)施應(yīng)訪談系統(tǒng)建設(shè)設(shè)負(fù)責(zé)人，詢?cè)儐?wèn)是否指定定專門部門或或人員對(duì)工程程實(shí)施過(guò)程進(jìn)進(jìn)行進(jìn)度和質(zhì)質(zhì)量控制，由由何部門/何人負(fù)責(zé)。6.3 結(jié)果果判定如果.2 為肯定，則則信息系統(tǒng)符符合本單元測(cè)測(cè)評(píng)指標(biāo)要求求，否則，信信息系統(tǒng)不符符合或部分符符合本單元測(cè)測(cè)評(píng)指標(biāo)要求求。7 測(cè)試驗(yàn)收收7.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。7.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談系系統(tǒng)建設(shè)負(fù)責(zé)責(zé)人，詢問(wèn)在在信息系統(tǒng)建建設(shè)完成后是是否對(duì)其進(jìn)行行安全性測(cè)試試驗(yàn)收；b) 應(yīng)檢查查工程測(cè)試驗(yàn)驗(yàn)收方案，查查看其是否明明確說(shuō)明參與與測(cè)試的部門門、人員、測(cè)測(cè)試驗(yàn)收內(nèi)容容、現(xiàn)場(chǎng)操作作過(guò)程

50、等內(nèi)容容；c) 應(yīng)檢查查測(cè)試驗(yàn)收記記錄是否詳細(xì)細(xì)記錄了測(cè)試試時(shí)間、人員員、現(xiàn)場(chǎng)操作作過(guò)程和測(cè)試試驗(yàn)收結(jié)果等等方面內(nèi)容；d) 應(yīng)檢查查是否具有系系統(tǒng)測(cè)試驗(yàn)收收?qǐng)?bào)告。7.3 結(jié)果果判定如果.2 a）-d）均為肯肯定，則信息息系統(tǒng)符合本本單元測(cè)評(píng)指指標(biāo)要求，否否則，信息系系統(tǒng)不符合或或部分符合本本單元測(cè)評(píng)指指標(biāo)要求。8 系統(tǒng)交付付8.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。8.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談系系統(tǒng)建設(shè)負(fù)責(zé)責(zé)人，詢問(wèn)系系統(tǒng)交接工作作是否根據(jù)交交付清單對(duì)所所交接的設(shè)備備、文檔、軟軟件等進(jìn)行清清點(diǎn)；b) 應(yīng)訪談?wù)勏到y(tǒng)建設(shè)負(fù)負(fù)責(zé)人，詢問(wèn)問(wèn)目前的信息息系統(tǒng)是否由由內(nèi)部人員

51、獨(dú)獨(dú)立運(yùn)行維護(hù)護(hù)，如果是，系系統(tǒng)正式運(yùn)行行前是否對(duì)運(yùn)運(yùn)行維護(hù)人員員進(jìn)行過(guò)培訓(xùn)訓(xùn)，針對(duì)哪些些方面進(jìn)行過(guò)過(guò)培訓(xùn)；c) 應(yīng)檢查查是否具有系系統(tǒng)交付清單單說(shuō)明系統(tǒng)交交付的各類設(shè)設(shè)備、軟件、文文檔等；d) 應(yīng)檢查查是否具有系系統(tǒng)建設(shè)文檔檔、指導(dǎo)用戶戶進(jìn)行系統(tǒng)運(yùn)運(yùn)維的文檔、系系統(tǒng)培訓(xùn)手冊(cè)冊(cè)等。8.3 結(jié)果果判定如果.2 a）-d）均為肯肯定，則信息息系統(tǒng)符合本本單元測(cè)評(píng)指指標(biāo)要求，否否則，信息系系統(tǒng)不符合或或部分符合本本單元測(cè)評(píng)指指標(biāo)要求。9 安全服務(wù)務(wù)商選擇9.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。9.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談系系統(tǒng)建設(shè)負(fù)責(zé)責(zé)人，詢問(wèn)信信息系統(tǒng)選擇擇的安全服

52、務(wù)務(wù)商有哪些，是是否符合國(guó)家家有關(guān)規(guī)定；b) 應(yīng)檢查查是否具有與與安全服務(wù)商商簽訂的安全全責(zé)任合同書書或保密協(xié)議議等文檔，查查看其內(nèi)容是是否包含保密密范圍、安全全責(zé)任、違約約責(zé)任、協(xié)議議的有效期限限和責(zé)任人的的簽字等。9.3 結(jié)果果判定如果.2 a）和b）均為肯定定，則信息系系統(tǒng)符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測(cè)評(píng)指標(biāo)標(biāo)要求。5.2.5 系系統(tǒng)運(yùn)維管理理1 環(huán)境管理理1.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。1.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談系系統(tǒng)運(yùn)維負(fù)責(zé)責(zé)人，詢問(wèn)是是否有專門的的部門或人員員對(duì)機(jī)房基礎(chǔ)礎(chǔ)設(shè)施進(jìn)行定定期維護(hù)，由由何

53、部門/何人負(fù)責(zé)，維維護(hù)周期多長(zhǎng)長(zhǎng)；b) 應(yīng)訪談?wù)勏到y(tǒng)運(yùn)維負(fù)負(fù)責(zé)人，詢問(wèn)問(wèn)對(duì)機(jī)房的出出入、服務(wù)器器開機(jī)/關(guān)機(jī)如何進(jìn)進(jìn)行管理；c) 應(yīng)檢查查機(jī)房安全管管理制度，查查看其內(nèi)容是是否覆蓋機(jī)房房物理訪問(wèn)、物物品帶進(jìn)/帶出機(jī)房和和機(jī)房環(huán)境安安全等方面。1.3 結(jié)果果判定如果.2 a）-c）均為肯肯定，則信息息系統(tǒng)符合本本單元測(cè)評(píng)指指標(biāo)要求，否否則，信息系系統(tǒng)不符合或或部分符合本本單元測(cè)評(píng)指指標(biāo)要求。2 資產(chǎn)管理理2.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。2.2 測(cè)評(píng)評(píng)實(shí)施應(yīng)檢查資產(chǎn)清單單，查看其內(nèi)內(nèi)容是否覆蓋蓋資產(chǎn)責(zé)任部部門、責(zé)任人人、所處位置置和重要程度度等方面；2.3 結(jié)果果判定如果.2

54、 為肯定，則則信息系統(tǒng)符符合本單元測(cè)測(cè)評(píng)指標(biāo)要求求，否則，信信息系統(tǒng)不符符合或部分符符合本單元測(cè)測(cè)評(píng)指標(biāo)要求求。3 介質(zhì)管理理3.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。3.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談資資產(chǎn)管理員，詢?cè)儐?wèn)介質(zhì)的存存放環(huán)境是否否采取保護(hù)措措施防止介質(zhì)質(zhì)被盜、被毀毀、介質(zhì)內(nèi)存存儲(chǔ)信息被未未授權(quán)修改以以及非法泄漏漏等；b) 應(yīng)訪談?wù)勝Y產(chǎn)管理員員，詢問(wèn)是否否根據(jù)介質(zhì)的的目錄清單對(duì)對(duì)介質(zhì)的使用用現(xiàn)狀進(jìn)行定定期檢查；c) 應(yīng)檢查查介質(zhì)管理記記錄，查看其其是否記錄介介質(zhì)歸檔和查查詢等情況。3.3 結(jié)果果判定本項(xiàng)要求包括：a) 如果5. a）中中在防火、防防水、防盜等

55、等方面均有措措施，則為肯肯定；b) 如果5.2.5.3.22 a）-c）均為肯肯定，則信息息系統(tǒng)符合本本單元測(cè)評(píng)指指標(biāo)要求，否否則，信息系系統(tǒng)不符合或或部分符合本本單元測(cè)評(píng)指指標(biāo)要求。4 設(shè)備管理理4.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。4.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談資資產(chǎn)管理員，詢?cè)儐?wèn)是否有專專門的部門或或人員對(duì)各種種設(shè)備、線路路進(jìn)行定期維維護(hù)，對(duì)各類類測(cè)試工具進(jìn)進(jìn)行有效性檢檢查，由何部部門/何人負(fù)責(zé)，維維護(hù)周期多長(zhǎng)長(zhǎng)；b) 應(yīng)訪談?wù)勝Y產(chǎn)管理員員，詢問(wèn)是否否對(duì)設(shè)備選用用的各個(gè)環(huán)節(jié)節(jié)（選型、采采購(gòu)、發(fā)放和和領(lǐng)用等）進(jìn)進(jìn)行審批控制制；c) 應(yīng)檢查查設(shè)備安全管管理制度

56、，查查看其內(nèi)容是是否明確對(duì)各各種軟硬件設(shè)設(shè)備的選型、采采購(gòu)、發(fā)放和和領(lǐng)用等環(huán)節(jié)節(jié)進(jìn)行申報(bào)和和審批。4.3 結(jié)果果判定如果.2 a）-c）均為肯肯定，則信息息系統(tǒng)符合本本單元測(cè)評(píng)指指標(biāo)要求，否否則，信息系系統(tǒng)不符合或或部分符合本本單元測(cè)評(píng)指指標(biāo)要求。5 網(wǎng)絡(luò)安全全管理5.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。5.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談安安全主管，詢?cè)儐?wèn)是否指定定人員負(fù)責(zé)維維護(hù)網(wǎng)絡(luò)運(yùn)行行日志、監(jiān)控控記錄和分析析處理報(bào)警信信息等網(wǎng)絡(luò)安安全管理工作作；b) 應(yīng)訪談?wù)劙踩芾韱T員，詢問(wèn)是否否定期對(duì)網(wǎng)絡(luò)絡(luò)設(shè)備進(jìn)行漏漏洞掃描，掃掃描周期多長(zhǎng)長(zhǎng)，發(fā)現(xiàn)漏洞洞是否及時(shí)修修補(bǔ)；c)

57、應(yīng)檢查查網(wǎng)絡(luò)漏洞掃掃描報(bào)告，檢檢查掃描時(shí)間間間隔與掃描描周期是否一一致。5.3 結(jié)果果判定如果.2 a）-c）均為肯肯定，則信息息系統(tǒng)符合本本單元測(cè)評(píng)指指標(biāo)要求，否否則，信息系系統(tǒng)不符合或或部分符合本本單元測(cè)評(píng)指指標(biāo)要求。6 系統(tǒng)安全全管理6.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。6.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談系系統(tǒng)管理員，詢?cè)儐?wèn)是否根據(jù)據(jù)業(yè)務(wù)需求和和系統(tǒng)安全分分析制定系統(tǒng)統(tǒng)的訪問(wèn)控制制策略，控制制分配信息系系統(tǒng)、文件及及服務(wù)的訪問(wèn)問(wèn)權(quán)限；是否否及時(shí)安裝最最新安全補(bǔ)丁丁程序和進(jìn)行行漏洞修補(bǔ)，在在安裝系統(tǒng)補(bǔ)補(bǔ)丁前是否對(duì)重要文件件進(jìn)行備份；b) 應(yīng)訪談?wù)劙踩芾韱T員，詢

58、問(wèn)是否否定期對(duì)系統(tǒng)統(tǒng)進(jìn)行漏洞掃掃描，掃描周周期多長(zhǎng)，發(fā)發(fā)現(xiàn)漏洞是否否及時(shí)修補(bǔ)；c) 應(yīng)檢查查系統(tǒng)漏洞掃掃描報(bào)告，檢檢查掃描時(shí)間間間隔與掃描描周期是否一一致。6.3 結(jié)果果判定如果.2 a）-c）均為肯肯定，則信息息系統(tǒng)符合本本單元測(cè)評(píng)指指標(biāo)要求，否否則，信息系系統(tǒng)不符合或或部分符合本本單元測(cè)評(píng)指指標(biāo)要求。7 惡意代碼碼防范管理7.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。7.2 測(cè)評(píng)評(píng)實(shí)施應(yīng)訪談系統(tǒng)運(yùn)維維負(fù)責(zé)人，詢?cè)儐?wèn)是否對(duì)員員工進(jìn)行基本本惡意代碼防防范意識(shí)的教教育，是否告告知應(yīng)及時(shí)升升級(jí)軟件版本本，使用外來(lái)來(lái)設(shè)備、網(wǎng)絡(luò)絡(luò)上接收文件件和外來(lái)計(jì)算算機(jī)或存儲(chǔ)設(shè)設(shè)備接入網(wǎng)絡(luò)絡(luò)系統(tǒng)之前應(yīng)應(yīng)進(jìn)

59、行病毒檢檢查等。7.3 結(jié)果果判定如果.2 為肯定，則則信息系統(tǒng)符符合本單元測(cè)測(cè)評(píng)指標(biāo)要求求，否則，信信息系統(tǒng)不符符合或部分符符合本單元測(cè)測(cè)評(píng)指標(biāo)要求求。8 備份與恢恢復(fù)管理8.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。8.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談系系統(tǒng)管理員和和數(shù)據(jù)庫(kù)管理理員，詢問(wèn)是是否識(shí)別出需需要定期備份份的業(yè)務(wù)信息息、系統(tǒng)數(shù)據(jù)據(jù)和軟件系統(tǒng)統(tǒng)，主要有哪哪些；b) 應(yīng)檢查查備份管理文文檔，查看其其是否明確備備份方式、備備份頻度、存存儲(chǔ)介質(zhì)和保保存期等方面面內(nèi)容。8.3 結(jié)果果判定如果.2 a）和b）為肯定，則則信息系統(tǒng)符符合本單元測(cè)測(cè)評(píng)指標(biāo)要求求，否則，信信息系統(tǒng)不

60、符符合或部分符符合本單元測(cè)測(cè)評(píng)指標(biāo)要求求。9 安全事件件處置9.1 測(cè)評(píng)評(píng)指標(biāo)見GB/T 222239-2008 。9.2 測(cè)評(píng)評(píng)實(shí)施本項(xiàng)要求包括：a) 應(yīng)訪談系系統(tǒng)運(yùn)維負(fù)責(zé)責(zé)人，詢問(wèn)是是否告知用戶戶在發(fā)現(xiàn)安全全弱點(diǎn)和可疑疑事件時(shí)應(yīng)及及時(shí)報(bào)告；b) 應(yīng)檢查查安全事件報(bào)報(bào)告和處置管管理制度，查查看其是否明明確安全事件件的現(xiàn)場(chǎng)處理理、事件報(bào)告告和后期恢復(fù)復(fù)的管理職責(zé)責(zé)。9.3 結(jié)果果判定如果.2 a）和b）為肯定，則則信息系統(tǒng)符符合本單元測(cè)測(cè)評(píng)指標(biāo)要求求，否則，信信息系統(tǒng)不符符合或部分符符合本單元測(cè)測(cè)評(píng)指標(biāo)要求求。6 第二級(jí)信息息系統(tǒng)單元測(cè)測(cè)評(píng)6.1 安全技技術(shù)測(cè)評(píng)6.1.1 物物理安全1 物理位