等級保護(hù)現(xiàn)場測評記錄表(二級)

信息系統(tǒng)安全等級保護(hù)二級管理要求,,,

項(xiàng)目,指標(biāo)要求,測評實(shí)施,結(jié)果記錄

一、安全管理制度,,,

1、管理制度（G2）,"a）應(yīng)制定信息安全工作的總體方針和安全策略，說明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等；

b）應(yīng)對安全管理活動中重要的管理內(nèi)容建立安全管理制度；

c）應(yīng)對要求管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程。

","a）檢查信息安全工作的總體方針和安全策略文件,查看文件是否明確機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等;",

,,"b）檢查各項(xiàng)安全管理制度,查看是否覆蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、建設(shè)和管理等層面的重要管理內(nèi)容;",

,,c）應(yīng)檢查是否具有重要管理操作的操作規(guī)程（如系統(tǒng)維護(hù)手冊和用戶操作規(guī)程等）。,

2、制定和發(fā)布（G2）,"a）應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定；

b）應(yīng)組織相關(guān)人員對制定的安全管理進(jìn)行論證和審定；

c）應(yīng)將安全管理制度以某種方式發(fā)布到相關(guān)人員手中。

",a）應(yīng)訪談安全主管，詢問是否有專門的部門或人員負(fù)責(zé)制定安全管理制度；,

,,"b）應(yīng)訪談安全管理制度制、修訂人員,詢問安全管理制度的制定程序和發(fā)布方式，是否對制定的安全管理制度進(jìn)行論證和審定，論證和評審方式如何；",

,,c）檢查管理制度評審記錄，查看是否有相關(guān)人員的評審意見。,

3、評審和修訂（G2）,a）應(yīng)定期對安全管理制度進(jìn)行評審，對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。,"a）訪談安全主管，詢問是否定期對安全管理制度進(jìn)行評審,評審周期多長，發(fā)現(xiàn)存在不足或需要改進(jìn)的是否進(jìn)行修訂；",

,,b）檢查安全管理制度評審記錄，查看記錄的日期間隔與評審周期是否一致；如果對制度做過修訂，檢查是否有修訂版本的安全管理制度。,

二、安全管理機(jī)構(gòu),,,

1、崗位設(shè)置（G2）,"a）應(yīng)安全主管、安全管理的各個(gè)方面負(fù)責(zé)人的崗位,并定義各負(fù)責(zé)人的職責(zé)；

b）應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個(gè)工作崗位的職責(zé)。",a）訪談安全主管，詢問設(shè)置了哪些工作崗位，各崗位的職責(zé)分工是否明確；詢問是否設(shè)立安全管理各個(gè)方面的負(fù)責(zé)人；,

,,b）訪談安全主管、安全管理某方面的負(fù)責(zé)人，詢問其崗位職責(zé)包括哪些內(nèi)容；,

,,c)檢查崗位職責(zé)文檔，查看文檔是否明確設(shè)置安全主管、安全管理各個(gè)方面的負(fù)責(zé)人、機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和安全管理員等各個(gè)崗位，各個(gè)崗位的職責(zé)范圍是否清晰、明確。,

2、人員配備（G2）,"a）應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等；

b）安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等。

",a）訪談安全主管，詢問各個(gè)安全管理崗位人員的配備情況，包括數(shù)量、專職還是兼職等；,

,,b）檢查安全管理各崗位人員信息表，查看其是否明確機(jī)房管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位人員的信息，確認(rèn)安全管理員是否沒有兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等崗位。,

3、授權(quán)和審批（G2）,"a）應(yīng)根據(jù)各個(gè)部門的崗位和職責(zé)明確授權(quán)審批部門及批準(zhǔn)人，對系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問等關(guān)鍵活動進(jìn)行審批；

b）應(yīng)針對關(guān)鍵流程建立審批流程,并由批準(zhǔn)人簽字確認(rèn)。

",a）訪談安全主管，詢問其是否對信息系統(tǒng)中的關(guān)鍵活動進(jìn)行審批，審批部門是何部門，批準(zhǔn)人是何人，他們的審批活動是否得到授權(quán)；,

,,b）訪談安全主管，詢問其對關(guān)鍵活動的審批范圍包括哪些，審批程序如何；,

,,"c）檢查審批管理制度文檔，查看文檔中是否明確對系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問等關(guān)鍵活動進(jìn)行審批的審批部門和批準(zhǔn)人,是否明確審批程序；",

,,d）檢查經(jīng)審批的文檔，查看審批程序與文件要求是否一致，是否有批準(zhǔn)人的簽字和審批部門的蓋章。,

4、溝通和合作（G2）,"a）應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通；

b）應(yīng)加強(qiáng)與兄弟單位、公安機(jī)關(guān)、電信公司的合作與溝通。

",a）訪談安全主管，詢問是否經(jīng)常與公安機(jī)關(guān)、電信公司和兄弟單位聯(lián)系，聯(lián)系和合作方式有哪些，與組織機(jī)構(gòu)內(nèi)其他部門之間通過哪些方式進(jìn)行交流和溝通，信息安全職能部門內(nèi)部各類管理人員之間通過哪些方式進(jìn)行交流和溝通；,

,,b）檢查部門間和部門內(nèi)部溝通和合作的相關(guān)文檔，查看是否包括工作內(nèi)容、參加人員等的描述；,

,,c）檢查是否有組織機(jī)構(gòu)內(nèi)部人員聯(lián)系表；,

,,"d）檢查外聯(lián)單位說明文檔，查看外聯(lián)單位是否包含公安機(jī)關(guān)、電信公司及兄弟單位等。

",

5、審核和檢查（G2）,"a）安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查,檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。",a）訪談安全管理員，詢問是否定期檢查系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況，檢查周期多長；,

,,b）檢查安全管理員定期實(shí)施安全檢查的文檔或記錄，查看記錄的時(shí)間間隔與檢查周期是否一致，檢查內(nèi)容是否包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。,

三、人員安全管理,,,

1、人員錄用（G2）,"a）應(yīng)指定或授權(quán)專門部門或人員負(fù)責(zé)人員錄用；

b）應(yīng)規(guī)范人員錄用過程,對被錄用人員的身份、背景、專業(yè)資格等進(jìn)行審查,對其所具有的技術(shù)技能進(jìn)行考核；

d）應(yīng)與從事關(guān)鍵崗位的人員簽署保密協(xié)議。

",a）訪談安全主管，詢問是否有專門的部門或人員負(fù)責(zé)人員的錄用工作，由何部門/何人負(fù)責(zé)；,

,,b）訪談人事管理相關(guān)人員，詢問在人員錄用時(shí)對人員條件有哪些要求，是否對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查，對技術(shù)人員的技術(shù)技能進(jìn)行考核，錄用后是否與從事關(guān)鍵崗位的人員簽署保密協(xié)議；,

,,c）檢查人員錄用要求管理文檔，查看是否說明錄用人員應(yīng)具備的條件（如學(xué)歷、學(xué)位要求，技術(shù)人員應(yīng)具備的專業(yè)技術(shù)水平，管理人員應(yīng)具備的安全管理知識等）；,

,,d）檢查是否具有人員錄用時(shí)對錄用人身份、背景、專業(yè)資格等進(jìn)行審查的相關(guān)文檔或記錄，查看是否記錄審查內(nèi)容和審查結(jié)果等；,

,,e）檢查人員錄用時(shí)的技能考核文檔或記錄，查看是否記錄考核內(nèi)容和考核結(jié)果等；,

,,f）檢查保密協(xié)議，查看是否有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人簽字等內(nèi)容。,

2、人員離崗（G2）,"a）應(yīng)規(guī)范人員離崗過程,及時(shí)終止離崗的員工的所有訪問權(quán)限；

b）應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備；

c）應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)。

",a）訪談安全主管，詢問對即將離崗人員有哪些控制方法，是否及時(shí)終止離崗人員的所有訪問權(quán)限，是否取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備等；,

,,b）訪談人事管理相關(guān)人員，詢問調(diào)離手續(xù)包括哪些；,

,,c）檢查是否具有對離崗人員的安全處理記錄（如交還身份證件、設(shè)備等的登記記錄）；,

,,d）檢查是否具有按照離職程序辦理調(diào)離手續(xù)的記錄。,

3、人員考核（G2）,"a）應(yīng)定期對各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核；

",a）訪談安全主管，詢問是否有人負(fù)責(zé)定期對各個(gè)崗位人員進(jìn)行安全技能及安全知識的考核，考核周期多長；,

,,b）檢查考核文檔，查看考核人員是否包括各個(gè)崗位的人員，考核日期與考核周期是否一致。,

4、安全意識教育和培訓(xùn)（G2）,"a）應(yīng)對各類人員進(jìn)行安全意識教育、崗位技能培訓(xùn)和相關(guān)知識培訓(xùn)；

b）應(yīng)告知人員相關(guān)的安全責(zé)任和懲戒措施,并對違反違背安全策略和規(guī)定的人員進(jìn)行懲戒；

c）應(yīng)制定安全教育和培訓(xùn)計(jì)劃，對信息安全基礎(chǔ)知識、崗位操作規(guī)程等進(jìn)行培訓(xùn)。

",a）訪談安全主管，詢問是否制定培訓(xùn)計(jì)劃并按計(jì)劃對各個(gè)崗位人員進(jìn)行安全教育和培訓(xùn)，具體的培訓(xùn)方式有哪些，是否對違反策略和規(guī)定的人員進(jìn)行懲罰，如何懲誡；,

,,b）訪談安全管理員、系統(tǒng)管理員和網(wǎng)絡(luò)管理員，考查其對工作相關(guān)的信息安全基礎(chǔ)知識、安全責(zé)任和懲戒措施等的理解程度；,

,,c）檢查安全教育和培訓(xùn)計(jì)劃文檔，查看計(jì)劃是否明確了培訓(xùn)方式、培訓(xùn)對象、培訓(xùn)內(nèi)容、培訓(xùn)時(shí)間和地點(diǎn)等，培訓(xùn)內(nèi)容是否包含信息安全基礎(chǔ)知識、崗位操作規(guī)程等；,

,,"d）檢查是否具有安全教育和培訓(xùn)記錄,查看記錄是否有培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等的描述。",

5、外部人員訪問管理（G2）,"a）應(yīng)確保在外部人員訪問受控區(qū)域前得到授權(quán)或?qū)徟?批準(zhǔn)后由專人全程陪同或監(jiān)督，并登記備案。

",a）訪談安全管理員，詢問對外部人員訪問重要區(qū)域（如訪問機(jī)房、重要服務(wù)器或設(shè)備區(qū)等）采取了哪些管理措施，是否由專人全程陪同或監(jiān)督，是否進(jìn)行記錄并備案管理；,

,,b）檢查外部人員訪問管理文檔，查看是否有外部人員訪問機(jī)房等重要區(qū)域應(yīng)經(jīng)過相關(guān)部門或負(fù)責(zé)人批準(zhǔn)的內(nèi)容；,

,,c）檢查外部人員訪問重要區(qū)域的登記記錄，查看是否記錄了外部人員訪問重要區(qū)域的進(jìn)入時(shí)間、離開時(shí)間、訪問區(qū)間及陪同人等信息。,

四、系統(tǒng)建設(shè)管理,,,

1、系統(tǒng)定級（G2）,"a）應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級；

b）應(yīng)以書面的形式定義確定為某個(gè)安全保護(hù)等級的方法和理由；

c）應(yīng)確保信息系統(tǒng)的定級結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)。",a）訪談安全主管，詢問確定信息系統(tǒng)安全保護(hù)等級的方法是否參照定級指南的指導(dǎo)，定級過程是否有書面描述；定級結(jié)果是否獲得了相關(guān)部門的批準(zhǔn)；,

,,b）檢查系統(tǒng)定級文檔，查看文檔是否明確信息系統(tǒng)的邊界和信息系統(tǒng)的安全保護(hù)等級，是否說明定級的方法和理由，查看定級結(jié)果是否有相關(guān)部門的批準(zhǔn)蓋章。,

2、安全方案設(shè)計(jì)（G2）,"a）應(yīng)根據(jù)系統(tǒng)的安全級別選擇基本安全措施，依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施；

b）應(yīng)以書面的形式描述對系統(tǒng)的安全保護(hù)要求、策略和措施等內(nèi)容，形成系統(tǒng)的安全方案；

c）應(yīng)對安全方案進(jìn)行細(xì)化，形成能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采購和使用的詳細(xì)設(shè)計(jì)方案；

d）應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對安全設(shè)計(jì)方案的合理性和正確性進(jìn)行論證和審定,并且經(jīng)過批準(zhǔn)，才能正式實(shí)施。

",a）訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否根據(jù)系統(tǒng)的安全級別選擇基本安全措施，是否依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施，具體做過哪些調(diào)整；,

,,b）訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問安全設(shè)計(jì)方案是否經(jīng)過論證和審定，是否經(jīng)過審批；,

,,c）檢查系統(tǒng)的安全方案，查看方案是否描述系統(tǒng)的安全保護(hù)要求，是否詳細(xì)描述了系統(tǒng)的安全策略，是否詳細(xì)描述了系統(tǒng)采取的安全措施等內(nèi)容；,

,,d）檢查系統(tǒng)的詳細(xì)設(shè)計(jì)方案，查看詳細(xì)設(shè)計(jì)方案是否對應(yīng)安全方案進(jìn)行細(xì)化，是否有安全建設(shè)方案和安全產(chǎn)品采購方案；查看方案是否有經(jīng)過安全主管領(lǐng)導(dǎo)或管理部門的批準(zhǔn)蓋章；,

,,e）檢查專家論證文檔，查看是否有相關(guān)部門和有關(guān)安全技術(shù)專家對安全設(shè)計(jì)方案的評審意見。,

3、產(chǎn)品采購和使用（G2）,"a）應(yīng)確保安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定；

b）應(yīng)確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求；

c）應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購。

",a）訪談安全主管，詢問是否有專門的部門負(fù)責(zé)產(chǎn)品的采購，由何部門負(fù)責(zé)；,

,,b）訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問系統(tǒng)信息安全產(chǎn)品的采購情況，是否有產(chǎn)品采購清單指導(dǎo)產(chǎn)品采購，采購過程如何控制；,

,,c）訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問系統(tǒng)是否采用了密碼產(chǎn)品，密碼產(chǎn)品的采購和使用是否符合國家密碼主管部門的要求；,

,,d）檢查系統(tǒng)使用的有關(guān)信息安全產(chǎn)品是否符合國家的有關(guān)規(guī)定；,

,,e）檢查密碼產(chǎn)品的使用情況是否符合密碼產(chǎn)品使用、管理的相關(guān)規(guī)定。,

4、自行軟件開發(fā)（G2）,"a）應(yīng)確保開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開；

b）應(yīng)制定軟件開發(fā)管理制度,明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則；

c）應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南,并由專人負(fù)責(zé)保管。

",a）訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否進(jìn)行自主開發(fā)軟件，自主開發(fā)是否在獨(dú)立的模擬環(huán)境中編寫、調(diào)試和完成；,

,,b）訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問軟件設(shè)計(jì)相關(guān)文檔和使用指南是否由專人負(fù)責(zé)保管，負(fù)責(zé)人是何人；,

,,c）檢查軟件開發(fā)管理制度，查看文件是否明確軟件設(shè)計(jì)、開發(fā)、測試、驗(yàn)收過程的控制方法和人員行為準(zhǔn)則，是否明確哪些開發(fā)活動應(yīng)經(jīng)過授權(quán)、審批，是否明確軟件開發(fā)相關(guān)文檔的管理等；,

,,d）檢查是否具有軟件設(shè)計(jì)的相關(guān)文檔（應(yīng)用軟件設(shè)計(jì)程序文件、源代碼文檔等）、軟件使用指南或操作手冊和維護(hù)手冊等。,

5、外包軟件開發(fā)（G2）,"a）應(yīng)根據(jù)開發(fā)要求檢測軟件質(zhì)量；b）應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南;

c）應(yīng)在軟件安裝之前檢測軟件包中可能存在的惡意代碼；

d）應(yīng)要求開發(fā)單位提供軟件源代碼,并審核軟件中可能存在的后門。

",a）訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問軟件交付前是否依據(jù)開發(fā)要求的技術(shù)指標(biāo)對軟件功能和性能等進(jìn)行驗(yàn)收測試，軟件安裝之前是否檢測軟件中的惡意代碼，是否要求開發(fā)單位提供源代碼，是否根據(jù)源代碼對軟件中可能存在的后門進(jìn)行審查；,

,,b）檢查是否具有需求分析說明書、軟件設(shè)計(jì)說明書、軟件操作手冊、軟件源代碼文檔等軟件開發(fā)文檔和使用指南；,

,,c）檢查軟件源代碼審查記錄，查看是否包括對可能存在的后門的審查結(jié)果。,

6、工程實(shí)施（G2）,"a）應(yīng)指定或授權(quán)專門的人員或部門負(fù)責(zé)工程實(shí)施過程的管理；b）應(yīng)制定詳細(xì)的工程實(shí)施方案,控制工程實(shí)施過程。

",a）訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否有專門部門或人員負(fù)責(zé)工程實(shí)施管理工作，由何部門/何人負(fù)責(zé)，是否按照工程實(shí)施方案的要求對工程實(shí)施過程進(jìn)行進(jìn)度和質(zhì)量控制；,

,,b）檢查工程實(shí)施方案，查看其是否包括工程時(shí)間限制、進(jìn)度控制和質(zhì)量控制等方面內(nèi)容。,

7、測試驗(yàn)收（G2）,"a）應(yīng)對系統(tǒng)進(jìn)行安全性測試驗(yàn)收；

b）應(yīng)在測試驗(yàn)收前根據(jù)設(shè)計(jì)方案或合同要求等制訂測試驗(yàn)收方案，測試驗(yàn)收過程中詳細(xì)記錄測試驗(yàn)收結(jié)果，形成測試驗(yàn)收報(bào)告；

c）應(yīng)組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗(yàn)收報(bào)告進(jìn)行審定，并簽字確認(rèn)。

",a）訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問在信息系統(tǒng)建設(shè)完成后是否對其進(jìn)行安全性測試驗(yàn)收，是否根據(jù)設(shè)計(jì)方案或合同要求組織相關(guān)部門和人員對系統(tǒng)測試驗(yàn)收報(bào)告進(jìn)行審定；,

,,b）檢查工程測試方案，查看其是否明確說明參與測試部門、人員、測試驗(yàn)收的內(nèi)容、現(xiàn)場操作過程等內(nèi)容；,

,,c）檢查測試驗(yàn)收記錄是否詳細(xì)記錄了測試時(shí)間、人員、現(xiàn)場操作過程和測試驗(yàn)收結(jié)果等方面內(nèi)容；,

,,d）檢查是否有系統(tǒng)測試驗(yàn)收報(bào)告，是否有對測試驗(yàn)收報(bào)告的審定文檔，查看文檔是否有相關(guān)人員的審定意見。,

8、系統(tǒng)交付（G2）,"a）應(yīng)制定系統(tǒng)交付清單，并根據(jù)交付清單對所交接的設(shè)備、軟件、文檔等進(jìn)行清點(diǎn)；

b）應(yīng)對負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)；

c）應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔。

",a）訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問系統(tǒng)交接工作是否根據(jù)交付清單對所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)；,

,,b）訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問目前的信息系統(tǒng)是否由內(nèi)部人員獨(dú)立運(yùn)行維護(hù)，如果是，系統(tǒng)正式運(yùn)行前是否對運(yùn)行維護(hù)人員進(jìn)行培訓(xùn)，針對哪些方面進(jìn)行培訓(xùn)；,

,,c）檢查是否具有系統(tǒng)交付清單說明系統(tǒng)交付的各類設(shè)備、軟件、文檔等；,

,,d）查是否具有系統(tǒng)建設(shè)文檔、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔，系統(tǒng)培訓(xùn)手冊等；,

,,e）檢查培訓(xùn)記錄，查看是否包括培訓(xùn)內(nèi)容、培訓(xùn)時(shí)間和參與人員等。,

9、安全服務(wù)商選擇(G2),"a）應(yīng)確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定;b）應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議,明確約定相互責(zé)任；

c）應(yīng)確保確保選定的安全服務(wù)商提供技術(shù)支持和服務(wù)承諾,必要的與其簽訂服務(wù)合同。",a）訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問信息系統(tǒng)選擇的安全服務(wù)商有哪些，是否符合國家有關(guān)規(guī)定；,

,,b）檢查是否具有與安全服務(wù)商簽訂的安全責(zé)任合同書或保密協(xié)議等文檔，查看其內(nèi)容是否包含保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等；,

,,c）檢查是否具有與安全服務(wù)商簽訂的服務(wù)合同，查看是否包括服務(wù)內(nèi)容、服務(wù)期限、雙方簽字或蓋章等。,

五、系統(tǒng)運(yùn)維管理,,,

1、環(huán)境管理（G2）,"a）應(yīng)指定專門的部門或人員定期對機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施定期進(jìn)行維護(hù)管理；

b）應(yīng)配備機(jī)房安全管理人員，對機(jī)房的出入、服務(wù)器的開機(jī)或關(guān)機(jī)等工作進(jìn)行管理；

c）應(yīng)建立機(jī)房安全管理制度，對有關(guān)機(jī)房物理訪問，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面作出規(guī)定；

d）應(yīng)加強(qiáng)對辦公環(huán)境的保密性管理，包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙和不在辦公區(qū)接待來訪人員等。",a）訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢問是否有專門的部門或人員對機(jī)房基礎(chǔ)設(shè)施進(jìn)行定期維護(hù)，由何部門/何人負(fù)責(zé)，維護(hù)周期多長，是否有機(jī)房管理員負(fù)責(zé)機(jī)房出入等環(huán)境安全管理工作；,

,,b）訪談安全主管，詢問為保證辦公環(huán)境的保密性采取了哪些控制措施，在哪個(gè)區(qū)域接待來訪人員，工作人員調(diào)離時(shí)是否收回辦公室鑰匙等；,

,,c）檢查機(jī)房安全管理制度，查看其內(nèi)容是否覆蓋機(jī)房物理訪問、物品帶進(jìn)/帶出機(jī)房和機(jī)房環(huán)境安全等方面；,

,,d）檢查是否具有機(jī)房基礎(chǔ)設(shè)施維護(hù)記錄。,

2、資產(chǎn)管理（G2）,"a）應(yīng)編制與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、重要程度、所處位置等內(nèi)容；

b）應(yīng)建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門并,規(guī)范資產(chǎn)管理和使用的行為。

",a）訪談安全主管，詢問是否有資產(chǎn)管理的責(zé)任人員或部門，由何部門/何人負(fù)責(zé)；,

,,b）檢查資產(chǎn)清單，查看其內(nèi)容是否覆蓋資產(chǎn)責(zé)任部門、責(zé)任人、所處位置和重要程度等方面；,

,,c）檢查資產(chǎn)安全管理制度，查看是否明確信息資產(chǎn)管理的責(zé)任部門、責(zé)任人，查看其內(nèi)容是否覆蓋資產(chǎn)的使用、借用、維護(hù)等方面。,

3、介質(zhì)管理（G2）,"a）應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對各類介質(zhì)進(jìn)行控制和保護(hù)，并實(shí)行存儲環(huán)境專人管理；

b）應(yīng)對介質(zhì)歸檔和查詢等過程進(jìn)行記錄，并根據(jù)存檔介質(zhì)的目錄清單定期盤點(diǎn)；

c）應(yīng)對需要送出維修或銷毀的介質(zhì)，首先清除其中的敏感數(shù)據(jù)，防止信息的非法泄漏；

d）應(yīng)根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進(jìn)行分類和標(biāo)識管理。

",a）訪談資產(chǎn)管理員，詢問介質(zhì)的存放環(huán)境是否采取保護(hù)措施防止介質(zhì)被盜、被毀、介質(zhì)內(nèi)存儲信息被未授權(quán)修改以及非法泄漏等，是否有專人管理；,

,,b）訪談資產(chǎn)管理員，詢問是否根據(jù)介質(zhì)的目錄清單對介質(zhì)的使用現(xiàn)狀進(jìn)行定期檢查，是否對介質(zhì)進(jìn)行分類和標(biāo)識管理；,

,,c）訪談資產(chǎn)管理員，詢問對送出維修或銷毀的介質(zhì)在送出之前是否對介質(zhì)內(nèi)存儲數(shù)據(jù)進(jìn)行凈化處理；,

,,d）檢查介質(zhì)管理記錄，查看其是否記錄介質(zhì)的歸檔、查詢和借用等情況；,

,,e）檢查介質(zhì)，查看是否對其進(jìn)行了分類，并具有不同標(biāo)識。,

4、設(shè)備管理（G2）,"a）應(yīng)對信息系統(tǒng)相關(guān)的各種設(shè)備(包括備份和冗余設(shè)備）、線路等指定專門的部門或人員定期進(jìn)行維護(hù)管理；

b）應(yīng)建立基于申報(bào)、審批和專人負(fù)責(zé)的設(shè)備安全管理制度，對信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購、發(fā)放和領(lǐng)用等過程進(jìn)行規(guī)范化管理；

c）應(yīng)對終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理,應(yīng)按操作規(guī)程實(shí)現(xiàn)關(guān)鍵設(shè)備(包括備份和冗余設(shè)備）的啟動/停止、加電/斷電等操作。d）應(yīng)確保信息處理設(shè)備必須經(jīng)過審批才能帶離機(jī)房或辦公地點(diǎn)。

",a）訪談資產(chǎn)管理員，詢問是否有專門的部門或人員對各類設(shè)備、線路進(jìn)行定期維護(hù)，對各類測試工具進(jìn)行有效性檢查，由何部門/何人維護(hù)，維護(hù)周期多長；,

,,b）訪談資產(chǎn)管理員，詢問是否對設(shè)備選用的各個(gè)環(huán)節(jié)（選型、采購、發(fā)放和領(lǐng)用及信息處理設(shè)備帶離機(jī)構(gòu)等）進(jìn)行審批控制；,

,,c）訪談審計(jì)員，詢問對關(guān)鍵設(shè)備（包括備份和冗余設(shè)備）的操作是否建立日志，日志文件如何管理，是否定期檢查管理情況；,

,,d）檢查設(shè)備安全管理制度，查看其內(nèi)容是否明確對各種軟硬件設(shè)備的選型、采購、發(fā)放和領(lǐng)用以及帶離機(jī)構(gòu)等環(huán)節(jié)進(jìn)行申報(bào)和審批；,

,,e）檢查設(shè)備使用管理文檔，查看其內(nèi)容是否覆蓋終端計(jì)算機(jī)、便攜機(jī)和網(wǎng)絡(luò)設(shè)備等使用、操作原則、注意事項(xiàng)等方面;,

,,f）檢查關(guān)鍵設(shè)備（包括備份和冗余）操作規(guī)程，查看其內(nèi)容是否覆蓋服務(wù)器如何啟動、停止、加電、斷電等操作。,

5、網(wǎng)絡(luò)安全管理（G2）,"a）應(yīng)指定人員對網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作；b）應(yīng)建立網(wǎng)絡(luò)安全管理制度,對網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級與補(bǔ)丁、口令周期等方面作出規(guī)定；

c）應(yīng)根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前對現(xiàn)有的重要文件進(jìn)行備份；

d）應(yīng)定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ)；

e）應(yīng)對網(wǎng)絡(luò)設(shè)備的配置文件進(jìn)行定期備份；

f）應(yīng)保證所有對外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)。

",a）訪談安全主管，詢問是否指定專人負(fù)責(zé)維護(hù)網(wǎng)絡(luò)運(yùn)行日志、監(jiān)控記錄和分析處理報(bào)警信息等網(wǎng)絡(luò)安全管理工作，網(wǎng)絡(luò)的外聯(lián)種類有哪些，是否都得到授權(quán)與批準(zhǔn)，由何部門或何人批準(zhǔn)；,

,,b）訪談網(wǎng)絡(luò)管理員，詢問是否根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進(jìn)行過升級，目前的版本號為多少，升級前是否對重要文件進(jìn)行備份，采取什么方式進(jìn)行備份；,

,,c）訪談安全管理員，詢問是否定期對網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞掃描，掃描周期多長，發(fā)現(xiàn)漏洞是否及時(shí)修補(bǔ)；,

,,d）檢查網(wǎng)絡(luò)漏洞掃描報(bào)告，查看其內(nèi)容是否包含網(wǎng)絡(luò)存在的漏洞、嚴(yán)重級別和結(jié)果處理等方面，檢查掃描時(shí)間間隔與掃描周期是否一致；,

,,e）檢查網(wǎng)絡(luò)安全管理制度，查看其是否覆蓋網(wǎng)絡(luò)設(shè)備的安全配置、安全策略、升級與打補(bǔ)丁、授權(quán)訪問、日志保存時(shí)間、口令更新周期等方面內(nèi)容；,

,,f）檢查是否具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書；,

,,g）檢查是否具有網(wǎng)絡(luò)設(shè)備配置文件的備份文件；,

,,h）檢查是否具有網(wǎng)絡(luò)審計(jì)日志，檢查日志是否在規(guī)定的保存時(shí)間范圍內(nèi)。,

6、系統(tǒng)安全管理（G2）,"a）應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略；

b）應(yīng)定期進(jìn)行漏洞掃描,對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)進(jìn)行修補(bǔ)；

c）應(yīng)安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前,應(yīng)首先在測試環(huán)境中測試通過,并對重要文件進(jìn)行備份后,方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝；

d）應(yīng)建立系統(tǒng)安裝管理制度，對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出規(guī)定；

e）應(yīng)依據(jù)操作手冊對系統(tǒng)進(jìn)行維護(hù),詳細(xì)記錄操作日志,包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容,嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作；

f）應(yīng)定期對運(yùn)行數(shù)據(jù)和審計(jì)日志進(jìn)行分析,以便及時(shí)發(fā)現(xiàn)異常行為。

",a）訪談系統(tǒng)管理員，詢問是否根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析制定系統(tǒng)的訪問控制策略，控制分配信息、文件及服務(wù)的訪問權(quán)限；,

,,b）訪談系統(tǒng)管理員，詢問是否定期對系統(tǒng)安裝安全補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前是否對重要文件進(jìn)行備份，采取什么方式進(jìn)行；是否先在測試環(huán)境中測試通過再安裝；,

,,c）訪談安全管理員，詢問是否定期對系統(tǒng)進(jìn)行漏洞掃描，掃描周期多長，發(fā)現(xiàn)漏洞是否及時(shí)修補(bǔ)；,

,,d）檢查系統(tǒng)安全管理制度，查看其內(nèi)容是否覆蓋系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面；,

,,e）檢查是否有詳細(xì)操作日志（包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容）；,

,,f）檢查是否有定期對運(yùn)行日志和審計(jì)結(jié)果進(jìn)行分析的記錄；,

,,g）檢查系統(tǒng)漏洞掃描報(bào)告，查看其內(nèi)容是否包含系統(tǒng)存在的漏洞、嚴(yán)重級別和結(jié)果處理等方面，檢查掃描時(shí)間間隔與掃描周期是否一致。,

7、惡意代碼防范管理（G2）,"a）應(yīng)提高所有用戶的防病毒意識，告知及時(shí)升級防病毒軟件；

在讀取移動存儲設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前，先進(jìn)行病毒檢查，對外來計(jì)算機(jī)或存儲設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)行病毒檢查；

b）應(yīng)指定專人對網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測并保存檢測記錄；

c）應(yīng)對防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報(bào)等作出明確規(guī)定。

",a）訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢問是否對員工進(jìn)行基本惡意代碼防范意識的教育，是否告知應(yīng)及時(shí)升級軟件版本，使用外來設(shè)備、網(wǎng)絡(luò)上接收文件和外來計(jì)算機(jī)或存儲設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前進(jìn)行病毒檢查等；,

,,b）訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢問是否指定專人對惡意代碼進(jìn)行檢測，發(fā)現(xiàn)病毒后是否及時(shí)處理；,

,,c）檢查惡意代碼防范管理文檔，查看其內(nèi)容是否覆蓋防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報(bào)等方面；,

,,d）檢查是否具有惡意代碼檢測記錄。,

8、密碼管理（G2）,a）應(yīng)使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。,a）訪談安全員管理員，詢問密碼技術(shù)和產(chǎn)品的使用是否遵照國家密碼管理規(guī)定。,

9、變更管理（G2）,"a）應(yīng)確認(rèn)系統(tǒng)安中要發(fā)生的重要變更，并制定相應(yīng)變更方案；

b）系統(tǒng)發(fā)生重要變更前，應(yīng)向主管領(lǐng)導(dǎo)申請，審批后方可實(shí)施變更,并在實(shí)施后向相關(guān)人員通告。

",a）應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢問是否制定變更方案指導(dǎo)系統(tǒng)執(zhí)行變更；,

,,b）訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢問重要系統(tǒng)變更前是否得到有關(guān)領(lǐng)導(dǎo)的批準(zhǔn)，由何人批準(zhǔn)，對發(fā)生的變更情況是否通知了所有相關(guān)人員，以何種方式通知；,

,,c）檢查系統(tǒng)變更方案，查看其是否覆蓋變更類型、變更原因、變更過程、變更前評估等方面內(nèi)容；,

,,d）檢查重要系統(tǒng)的變更申請書，查看其是否有主管領(lǐng)導(dǎo)的批準(zhǔn)簽字。,

10、備份