測評指導書(二級)

1、XXXXXXXXXXXX 公司公司 XXXXXXXXXXXX 等級測評項目等級測評項目 測評指導書測評指導書 XXXXXXXXXXXX 信息安全測評技術中心信息安全測評技術中心 2009 年年 10 月月 DocumentDocument ControlControl 文檔名稱 文檔類型 文檔編號 密 級 日期版本編寫者描述審核人員 目錄 第第 1 章章安全管理測評指導書安全管理測評指導書 .5 1.1安全管理機構測評.5 1.2安全管理制度測評.8 1.3人員安全管理測評.10 1.4系統(tǒng)建設管理測評.12 1.5系統(tǒng)運維管理測評.17 第第 2 章章物理安全測評指導書物理安全測評指導書 .

2、26 2.1物理安全測評.26 第第 3 章章網絡安全測評指導書網絡安全測評指導書 .34 3.1網絡全局安全測評.34 3.2路由器安全測評.36 3.2.1思科路由器安全測評.36 3.3交換機安全測評.40 3.3.1華為交換機安全測評.40 3.3.2思科交換機安全測評.43 3.4防火墻安全測評.46 3.4.1PIX防火墻安全測評.46 3.4.2天融信防火墻安全測評.48 3.4.3華為防火墻安全測評.51 3.5遠程撥號服務器安全測評.53 3.6入侵檢測/防御系統(tǒng)安全測評 .54 第第 4 章章操作系統(tǒng)安全測評指導書操作系統(tǒng)安全測評指導書.57 4.1WINDOWS操作系統(tǒng)安

3、全測評 .57 4.2TRU64 操作系統(tǒng)安全測評.61 4.3LINUX操作系統(tǒng)安全測評.69 4.4SOLARIS操作系統(tǒng)安全測評.74 4.5AIX操作系統(tǒng)安全測評.78 第第 5 章章應用系統(tǒng)安全測評指導書應用系統(tǒng)安全測評指導書.82 5.1應用系統(tǒng)安全測評.82 5.2IIS 應用安全測評.87 5.3APACHE應用安全測評.89 第第 6 章章數據庫安全測評指導書數據庫安全測評指導書.93 6.1SQL SERVER數據庫安全測評.93 6.2ORACLE數據庫安全測評.98 6.3SYBASE數據庫安全測評.103 第第 1 1 章章 安全管理測評指導書安全管理測評指導書 1.

4、11.1 安全管理機構測評安全管理機構測評 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 a)設定管理部，定義各個方面的 負責人崗位和職責 訪談訪談 安全主管，管理機構，部門和各負責人職責； 檢查檢查 核查各崗位職責范圍和技能要求； b)定義各個崗位和職責(系統(tǒng)、網 絡、安全管理） 訪談訪談 安全主管，崗位分工及相關職責； 1 崗位設置崗位設置 (G2) c)制定文件明確分工 檢查檢查 安全管理委員會職責文件。 制度類文檔要求制度類文檔要求 部門設置、崗 位設置及工作職 責定義方面的管 理制度 證據類文檔要求證據類文檔要求 機構安全管理 人員崗位名單 2 人員配備人員配

5、備 (G2) a) 配備系統(tǒng)、網絡、安全管理員 訪談訪談 安全主管， 崗位人員配備情況； 檢查檢查 安全管理人員名單； 人員配備要求文檔； 制度類文檔要求制度類文檔要求 安全保障人事 管理制度 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 b) 安全管理員是專職的 檢查檢查 安全管理人員名單； 人員配備要求文檔。 a) 對關鍵活動授權審批部門及批 準人 訪談訪談 安全主管，關鍵活動的審批部門，批準人是否得到授權，更新審批項目，審查周期； 檢查檢查 授權管理文件包括事項列表（審批、事項、程序），更新審批項目，審查周期； 3 授權和審授權和審 批批(G2) b)列表說明須審

6、批的事項、部門 和可批準人 訪談訪談 關鍵活動的批準人，審批范圍,審查程序； 審批文檔、簽字和蓋章。 制度類文檔要求制度類文檔要求 授權和審批流 程 記錄類文檔要求記錄類文檔要求 各項審批和批 準執(zhí)行記錄（來 訪人員進入機房 審批、介質/設備 外帶審批、系統(tǒng) 外聯(lián)審批等） （外聯(lián)接入、服 務訪問、配置變 更、采購、外來 人員訪問和管理） 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 a）內部溝通，定期召開會議 訪談訪談 安全主管，與外單位和其他部門合作內容，溝通、合作方式有哪些； 安全主管，部門間協(xié)調會議,安全管理機構內部會議，信息安全領導小組例會； 安全管理人員，與外

7、單位和其他部門人員主要溝通內容； 檢查檢查 部門間協(xié)調會議文件； b）職能部門召開會議協(xié)調安全工 作實施 檢查檢查 安全工作會議文件； 4 溝通和合溝通和合 作作（G2) c）加強公安，電信的合作與溝通 檢查檢查 外聯(lián)單位說明文檔； 記錄類文檔要求記錄類文檔要求 各類會議紀要 或記錄（部門內、 部門間協(xié)調會、 領導小組） 證據類文檔要求證據類文檔要求 外聯(lián)單位聯(lián)系 列表 5 審核和檢審核和檢 查查 （G2) a）定期安全檢查 訪談訪談 安全主管，檢查周期，定期分析、評審異常行為； 安全員，安全檢查包含內容、人員、程序策略和要求，通報形式、范圍； 檢查檢查 安全檢查內容、檢查程序和檢查結果等。

8、制度類文檔要求制度類文檔要求 安全審批和安 全檢查方面的管 制制度 1.21.2 安全管理制度測評安全管理制度測評 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 a)制定總體方針、政策性文件和 安全策略 訪談訪談 安全主管，制度體系是否有安全政策、安全策略； 檢查檢查 明確總體目標、范圍、方針、原則、責任，安全策略； b）建立安全管理制度 檢查檢查 覆蓋物理、網絡、主機系統(tǒng)、數據、應用和管理等層面； 1 管理制度管理制度 （G2) c）建立操作規(guī)程 檢查檢查 重要管理操作的操作規(guī)程，如維護手冊和操作規(guī)程； 制度類文檔要求制度類文檔要求 總體安全方針 信息安全工作 管理制

9、度 證據類文檔要求證據類文檔要求 總體安全策略 專家論證文檔 a)信息安全職能部門，組織相關 人員制定 訪談訪談 安全主管，是否在信息安全領導小組或委員會負責下統(tǒng)一制定； b）統(tǒng)一的格式和版本 訪談訪談 安全主管，是否按照統(tǒng)一的格式標準或要求制定、論證和審定； 檢查檢查 管理文檔說明制定和發(fā)布程序、格式要求及版本； c）論證和審定 檢查檢查 評審記錄，評審意見； 2 制定和發(fā)制定和發(fā) 布布 （G2) d）簽發(fā)后按照一定的程序以文件 形式發(fā)布 檢查檢查 管理層的簽字或蓋章,格式統(tǒng)一； 制度類文檔要求制度類文檔要求 安全管理制度 改收發(fā)規(guī)范 記錄類文檔要求記錄類文檔要求 安全管理制度 的收發(fā)登記記

10、錄 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 3 評審與修評審與修 訂訂 （G2) a）對存在不足或需要改進的安全 管理制度進行修訂 訪談訪談 安全主管，對安全管理制度的評審由何部門、何人負責； 管理人員，對安全管理制度的評審、修訂程序，維護措施； 檢查檢查 列表注明評審周期； 評審記錄，日期與評審周期是否一致，修訂記錄和版本。 制度類文檔要求制度類文檔要求 授權審批、審 批流程等方面的 管理制度 記錄類文檔要求記錄類文檔要求 各類評審和修 訂記錄 1.31.3 人員安全管理測評人員安全管理測評 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果

11、a）具備專業(yè)技術水平和安全管理 知識 訪談訪談 人事負責人，錄用人員要求與其職責相對應； 檢查檢查 人事工作人員，人員錄用要求管理文檔； b）身份、背景、專業(yè)資格和資質 等進行審查 訪談訪談 審查身份、背景、專業(yè)資格和資質，簽署保密協(xié)議，說明工作職責； 審查文檔，記錄審查內容和審查結果； c）技能進行考核 檢查檢查 考核內容和結果； d）說明其角色和職責 訪談訪談 人事負責人，錄用人員要求與其職責相對應； 檢查檢查 人事工作人員，人員錄用要求管理文檔； 1 人員錄用人員錄用 （G2) e)簽署保密協(xié)議 檢查檢查 保密范圍、保密責任、違約責任、協(xié)議的有效期限和責任人簽字； a）終止所有訪問權限

12、訪談訪談 安全主管，及時終止離崗人員所有訪問權限，取回物資； b）物資收回 核查核查 檢查安全處理記； 2 人員離崗人員離崗 （G2) c）離崗須承諾調離后的保密義務 訪談訪談 人事工作人員，調離手續(xù)； 檢查檢查 保密承諾文檔，有調離人員的簽字； 制度類文檔要求制度類文檔要求 人員錄用、離 崗、考核等方面 的管理制度 記錄類文檔要求記錄類文檔要求 人員考核、審 查、培訓記錄 （人員錄用、人 員定期考核）、 離崗手續(xù) 證據類文檔要求證據類文檔要求 人員保密協(xié)議 關鍵崗位安全 協(xié)議 離崗人員保密 協(xié)議書 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 a）技能及認知的考核 訪

13、談訪談 安全主管，專人負責定期考核； b）安全審查 訪談訪談 人事工作人員,考核情況，考核周期、考核內容、審查情況和內容如如操作行為、社會關系、 社交活動； 3 人員考核人員考核 （G2) c）違背安全策略和規(guī)定的人員進 行懲戒 訪談訪談 人事工作人員,懲戒措施； a）安全意識教育 訪談訪談 安全主管，以何形式制定安全教育和培訓計劃，效果如何； b）告知責任和懲戒措施 訪談訪談 安全員，系統(tǒng)管理員，網絡管理員，數據庫管理員，各崗位人員對安全知識、責任和懲戒措 施等的理解程度； c）制定安全教育和培訓計劃 檢查檢查 安全教育、培訓計劃和不同崗位培訓計劃，明確目的、方式、對象、內容、時間和地點，內

14、 容包含信息安全基礎知識、崗位操作規(guī)程； 4 安全意識安全意識 教育和培教育和培 訓訓（G2) d)記錄并歸檔保存 檢查檢查 記錄包括人員、內容、結果的描述，記錄與培訓計劃一致。 制度類文檔要求制度類文檔要求 人員安全教育 和培訓方面的管 理制度 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 a）應在訪問前與機構簽署安全責 任合同書或保密協(xié)議 訪談訪談 安全主管，管理措施，訪問前簽署安全責任合同書或保密協(xié)議； 檢查檢查 全責任合同書或保密協(xié)議有保密范圍、保密責任、違約責任、協(xié)議的有效期限和責任人的簽 字； 5 第三人員第三人員 訪問管理訪問管理 （G2) b）重要區(qū)域的

15、訪問負責人的批準， 專人陪同或監(jiān)督，并記錄備案 訪談訪談 安全管理人員，訪問重要區(qū)域采取措施，有負責人批準，專人陪同記錄并備案管理； 檢查檢查 書面申請，批準人允許訪問的簽字； 制度類文檔要求制度類文檔要求 外部人員訪問 控制方面的管理 制度 記錄類文檔要求記錄類文檔要求 各項審批和批 準執(zhí)行記錄（來 訪人員進入機房 審批、介質/設備 外帶審批、系統(tǒng) 外聯(lián)審批等） 1.41.4 系統(tǒng)建設管理測評系統(tǒng)建設管理測評 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 a)明確系統(tǒng)劃分方法 訪談訪談 劃分系統(tǒng)方法，確定等級方法參照定級指南的指導，定級結果得到批準； 檢查檢查 給出等

16、保 SxAyGz 值，定級結果有批準蓋章； b)確定信安全等級 訪談訪談 系統(tǒng)劃分方法和理由； 1 系統(tǒng)定級系統(tǒng)定級 (G2) c 書面確定系統(tǒng)屬性 檢查檢查 明確系統(tǒng)屬性:使命、業(yè)務、網絡、硬件、軟件、數據、邊界、人員； 證據類文檔要求證據類文檔要求 信息系統(tǒng)定級 報告或定級建議 書 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 d)定級結果經過批準 訪談訪談 劃分系統(tǒng)方法，確定等級方法參照定級指南的指導，定級結果得到批準； 檢查檢查 給出等保 SxAyGz 值，定級結果有批準蓋章； 專家對定級結果的論證意見。 a)依據等保和風險分析選擇和調 整安全措施 訪談訪談 系

17、統(tǒng)建設負責人，根據系統(tǒng)的安全級別選擇基本安全措施，依據風險分析的結果補充和調整 安全措施，做過哪些調整； b) 書面描述對系統(tǒng)的安全保護要 求和策略、措施等內容，形成系 統(tǒng)的安全方案 訪談訪談 安全主管，授權專人負責制定總體安全方案； 檢查檢查 系統(tǒng)安全方案，要求、策略和措施； c) 考慮安全保障體系的總體安全 策略、安全技術框架、安全管理 策略、總體建設規(guī)劃和詳細設計 方案，并形成配套文件 訪談訪談 系統(tǒng)建設負責人，根據信息系統(tǒng)等級劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安 全技術框架、安全管理策略、總體建設規(guī)劃和詳細設計方案等； d)安全保障體系的配套文件經過 專家論證和審定 訪談訪

18、談 系統(tǒng)建設負責人，安全技術專家對總體安全策略、安全技術框架、安全管理策略等相關配套 文件進行論證和審定，并經過管理部門的批準； 檢查檢查 核查相關論證意見； 2 安全方案安全方案 設計設計(G2) e)安全保障體系的配套文件經批 準后，才能正式實施 檢查檢查 各方案管理層的批準； 證據類文檔要求證據類文檔要求 近期和遠期安 全建設工作計劃、 總體建設規(guī)劃書 詳細設計方案 前一次測評報 告 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 a）采購符合國家規(guī)定 訪談訪談 系統(tǒng)建設負責人，密碼產品的使用是否符合國家密碼主管部門的要求； 檢查檢查 安全產品（邊界安全設備、重要服

19、務器操作系統(tǒng)、數據庫等）是否符合國家的規(guī)定； b）密碼產品符合國密要求 檢查檢查 商用密碼產品和保密專用產品采購符合商用密碼管理條例和計算機信息系統(tǒng)保密工作 暫行規(guī)定； 3 產品采購產品采購 (G2) c）專人負責采購 訪談訪談 安全主管， 何部門何人負責產品采購。 制度類文檔要求制度類文檔要求 產品選型、采 購方面的管理制 度 記錄類文檔要求記錄類文檔要求 產品的選型測 試結果記錄 證據類文檔要求證據類文檔要求 候選產品名單 a）開發(fā)與運行，與測試環(huán)境要獨 立 訪談訪談 系統(tǒng)建設負責人，程序的修改、更新、發(fā)布進行授權和批準，控制措施，開發(fā)人員不能做測 試人員（即二者分離），獨立的模擬環(huán)境中編

20、寫、調試和完成； 檢查檢查 開發(fā)環(huán)境與運行環(huán)境物理分開； e)提供文檔指南 檢查檢查 軟件設計的相關文檔（應用軟件設計程序文件、源代碼文檔等）和軟件使用指南或操作手 冊和維護手冊等； 4 自行軟件自行軟件 開發(fā)開發(fā)(G2) b)文檔由專人保管，控制使用 檢查檢查 開發(fā)相關文檔（軟件設計和開發(fā)程序文件、測試數據、測試結果、維護手冊等）的使用控制 記錄。 5 外包軟件外包軟件 開發(fā)開發(fā)(G2) a）簽訂協(xié)議，明確知識產權的歸 屬和安全方面的要求 訪談訪談 外包前書面文檔形式規(guī)范軟件開發(fā)單位的責任、安全行為、開發(fā)環(huán)境要求、軟件質量、開發(fā) 后的服務承諾； 檢查檢查 軟件開發(fā)協(xié)議,知識產權歸屬、安全行為

21、等內容； 制度類文檔要求制度類文檔要求 軟件外包開發(fā) 或自我開發(fā)方面 的管理制度 證據類文檔要求證據類文檔要求 軟件開發(fā)協(xié)議 與安全服務商 或外包開發(fā)商簽 訂的服務合同和 安全協(xié)議 軟件開發(fā)設計 和用戶指南等相 關文檔（目錄體 系框架或交換原 形系統(tǒng)）、軟件 測試報告 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 b）檢測軟件質量 檢查檢查 軟件開發(fā)協(xié)議,知識產權歸屬、安全行為等內容； c）安裝之前檢測軟件包中可能存 在的惡意代碼 訪談訪談 交付前進行軟件功能和性能驗收檢測，驗收檢測是否是由開發(fā)商和委托方共同參與，檢測軟 件中的惡意代碼，檢測工具是否是第三方的商業(yè)產品；

22、 d）提供軟件設計的相關文檔和使 用指南 檢查檢查 應檢查是否具有需求分析說明書、軟件設計說明書和軟件操作手冊等開發(fā)文檔以及用戶培訓 計劃、程序員培訓手冊等后期技術支持文檔。 a)簽訂安全協(xié)議 訪談訪談 系統(tǒng)建設負責人，以書面形式（如工程安全建設協(xié)議）約束工程實施方的工程實施行為； 檢查檢查 覆蓋工程實施方的責任、任務要求和質量要求等方面內容，約束工程實施行為； b）專人負責 訪談訪談 系統(tǒng)建設負責人，指定專人負責進度和質量控制，行為規(guī)范制度化，資質證明和能力保證； 6 工程實施工程實施 (G2) c）制定施工方案 檢查檢查 覆蓋工程時間限制、進度控制和質量控制等方面內容，工程實施過程是否按照

23、實施方案形成 各種文檔，如階段性工程報告； 制度類文檔要求制度類文檔要求 工程實施過程 管理方面的管理 制度 證據類文檔要求證據類文檔要求 工程實施方案 a）安全性測試驗收 訪談訪談 系統(tǒng)正式運行前，根據設計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試； b）制定測試驗收報告 訪談訪談 對測試過程（包括測試前、測試中和測試后）進行文檔化要求和制度化要求； 應檢查是否具有系統(tǒng)驗收報告；7 測試驗收測試驗收 (G2) c）測試驗收報告審定，雙方簽字 檢查檢查 應檢查驗收測試管理制度是否對系統(tǒng)驗收測試的過程控制、參與人員的行為等進行規(guī)定。 制度類文檔要求制度類文檔要求 測試、驗收方 面的管理制度 記

24、錄類文檔要求記錄類文檔要求 系統(tǒng)驗收測試 記錄、報告 證據類文檔要求證據類文檔要求 系統(tǒng)驗收測試 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 方案 a）明確交接手續(xù) 訪談訪談 交接手續(xù)，交接清單是否滿足合同的有關要求； 檢查檢查 系統(tǒng)交付清單具有系統(tǒng)建設文檔、指導用戶進行系統(tǒng)運維的文檔以及系統(tǒng)培訓手冊； b）技能培訓 訪談訪談 運行維護，培訓，技術支持服務，維護的文檔； 服務承諾書、培訓記錄； c）提供運維文檔 檢查檢查 系統(tǒng)交付清單具有系統(tǒng)建設文檔、指導用戶進行系統(tǒng)運維的文檔以及系統(tǒng)培訓手冊； 8 系統(tǒng)交付系統(tǒng)交付 (G2) d）服務承諾書，確保對系統(tǒng)運行 維護的支

25、持 訪談訪談 服務承諾書、培訓記錄。 證據類文檔要求證據類文檔要求 與安全服務商 或外包開發(fā)商簽 訂的服務合同和 安全協(xié)議 系統(tǒng)交付清單 9 安全服務安全服務 商選擇商選擇 (G2) a)符合國家規(guī)定 訪談訪談 信息系統(tǒng)進行安全規(guī)劃、設計、實施、維護、測評等服務的安全服務單位是否符合國家有關 規(guī)定。 證據類文檔要求證據類文檔要求 與安全服務商 或外包開發(fā)商簽 訂的服務合同和 安全協(xié)議 備資質條件 1.51.5 系統(tǒng)運維管理測評系統(tǒng)運維管理測評 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 a）對機房設施定期維護管理 訪談訪談 物理安全負責人，機房基本設施（如空調、供配電

26、設備等）進行定期維護，由何部門/何人 負責，維護周期； 檢查檢查 設施維護記錄； b）指定部門負責機房安全 訪談訪談 物理安全負責人，指定人員負責機房安全管理工作，對機房的出入管理是否要求進行制度化 和文檔化； c）建立機房安全管理制度 檢查檢查 覆蓋機房物理訪問、物品帶進、帶出機房和機房環(huán)境安全等方面； d）對機房來訪人員進行登記和備 案管理，限制來訪人員的活動范 圍 檢查 進出登記表； 1 環(huán)境管理環(huán)境管理 (G2)(G2) d）辦公環(huán)境的保密性管理 訪談訪談 工作人員，保證辦公環(huán)境的保密性要求事項； 檢查檢查 辦公環(huán)境管理文檔對工作人員離開座位的保密行為（如清理桌面文件和屏幕鎖定等）、人

27、員 調離辦公室后的行為行規(guī)定。 制度類文檔要求制度類文檔要求 機房安全管理 方面的管理制度 辦公環(huán)境安全 管理方面的管理 制度 記錄類文檔要求記錄類文檔要求 機房日常巡檢 記錄 機房出入登記 記錄（包括第三 方人員） 機房記錄設備 維護記錄 證據類文檔要求證據類文檔要求 機房安全設計 和驗收方面的文 檔 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 a）資產管理制度 訪談訪談 安全主管，指定資產管理的責任人員或部門，由何部門/何人負責； 物理安全負責人，資產管理要求文檔化； 覆蓋資產使用、借用、維護等方面； b）編制資產清單 檢查檢查 覆蓋資產責任人、所屬級別、所處位置

28、和所屬部門等方面；2 資產管理資產管理 (G2)(G2) c）資產標識 訪談訪談 資產管理員，對資產進行賦值和標識管理，不同類別的資產是否采取不同的管理措施； 檢查檢查 資產清單中的設備有相應標識； 制度類文檔要求制度類文檔要求 資產、設備、 介質安全管理方 面的管理制度 證據類文檔要求證據類文檔要求 資產清單 a）介質存放環(huán)境安全 訪談訪談 資產管理員，介質的存放環(huán)境的保護措施，防止其被盜、被毀、被未授權修改以及信息的非 法泄漏，專人管理； 檢查檢查 應檢查介質管理制度，查看其內容是否覆蓋介質的存放環(huán)境、使用、維護和銷毀等方面； 3 介質管理介質管理 (G2)(G2) b）介質歸檔和查詢記錄

29、，定期盤 點 訪談訪談 資產管理員，對介質的使用管理要求文檔化，是否根據介質的目錄清單對介質的使用現狀進 行定期檢查，是否對介質進行分類和標識管理； 檢查檢查 介質管理記錄，記錄介質的存儲、歸檔和借用等情況； 制度類文檔要求制度類文檔要求 信息分類、標 識、發(fā)布、使用 方面的管理制度 記錄類文檔要求記錄類文檔要求 介質歸檔、查 詢等的登記記錄 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 c）介質使用、維修、銷毀管理 訪談訪談 資產管理員， 進行保密性處理；對保密性較高的介質銷毀前是否有領導批準，否對數據進 行凈化處理；詢問對介質的物理傳輸過程是否要求選擇可靠傳輸人員、

30、嚴格介質的打包（如 采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)的控制； 資產管理員，重要介質實行異地存儲，異地存儲環(huán)境是否與本地環(huán)境相同； d）對介質進行分類和標識管理， 專人管理 檢查檢查 應檢查介質，查看是否對其進行了分類，并具有不同標識； a）專人維護 訪談訪談 資產管理員，設備指定專人或專門部門進行定期維護，周期； b）建立設備管理制度 訪談訪談 系統(tǒng)管理員，軟硬件維護進行制度化管理； 檢查檢查 應檢查設備審批、發(fā)放管理文檔，查看其內容是否對設備選型、采購和發(fā)放等環(huán)節(jié)的申報和 審批作出規(guī)定；查看是否具有設備的選型、采購、發(fā)放等過程的申報材料和審批報告； c）設備的操作

31、和使用進行規(guī)范化 管理 訪談訪談 資產管理員，設備選用的各個環(huán)節(jié)（選型、采購、發(fā)放等）進行審批控制，對設備帶離機構 進行審批控制，設備的操作和使用是否要求規(guī)范化管理； 檢查檢查 應檢查設備使用管理文檔，查看其內容是否覆蓋終端計算機、便攜機和網絡設備等使用、操 作原則、注意事項等方面； 4 設備管理設備管理 (G2)(G2) d）帶離設備進行控制 檢查檢查 應檢查設備使用管理文檔，查看其內容是否覆蓋終端計算機、便攜機和網絡設備等使用、操 作原則、注意事項等方面； 制度類文檔要求制度類文檔要求 配套設備、軟 硬件維護方面的 管理制度 記錄類文檔要求記錄類文檔要求 主機系統(tǒng)、網 絡、安全設備等 的操

32、作日志和維 護記錄 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 e）監(jiān)控檢查管理 訪談訪談 審計員，服務器的操作日志，日志文件管理，期檢查管理； 檢查檢查 應檢查服務器操作規(guī)程，查看其內容是否覆蓋服務器如何啟動、停止、加電、斷電等操作。 5 監(jiān)控管理監(jiān)控管理 (G2)(G2) a）信息系統(tǒng)監(jiān)控和報警 訪談訪談 系統(tǒng)運維負責人，查看主要服務器的各項資源指標，如 CPU、內存、進程和磁盤等使用情況。 制度類文檔要求制度類文檔要求 系統(tǒng)監(jiān)控、風 險評估、漏洞掃 描方面的管理制 度采集操作 手冊 維護管理規(guī)范 維護匯總 證據類文檔要求證據類文檔要求 主要設備漏洞 掃描報告 系

33、統(tǒng)異常行為 審計分析報告 a）專人管理 訪談訪談 安全主管，指定專人負責維護網絡運行日志、監(jiān)控記錄和分析處理報警信息等網絡安全管理 工作； b）更新，備份 訪談訪談 應訪談網絡管理員，廠家提供的軟件升級版本對網絡設備進行過升級，目前的版本號為多少， 升級前是否對重要文件（帳戶數據、配置數據等）進行備份，采取什么方式進行備份；網絡 設備進行過漏洞掃描，對掃描出的漏洞是否及時修補； 6 網絡安全網絡安全 管理管理(G2)(G2) c）進行網絡系統(tǒng)漏洞掃描，及時 修補 訪談訪談 應訪談網絡管理員，廠家提供的軟件升級版本對網絡設備進行過升級，目前的版本號為多少， 升級前是否對重要文件（帳戶數據、配置數

34、據等）進行備份，采取什么方式進行備份；網絡 制度類文檔要求制度類文檔要求 網絡監(jiān)測與事 件匯報制度 記錄類文檔要求記錄類文檔要求 對主機、網絡 設備和應用軟件 等的監(jiān)控記錄和 分析報告 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預期結果預期結果 設備進行過漏洞掃描，對掃描出的漏洞是否及時修補； 檢查檢查 漏洞掃描報告，覆蓋網絡存在的漏洞、嚴重級別、原因分析和改進意見等方面； d）與外部系統(tǒng)的連接均應得到授 權和批準 訪談訪談 安全員，外聯(lián)種類有哪些（互聯(lián)網、合作伙伴企業(yè)網、上級部門網絡等），得到授權與批準， 由何部門/何人批準；定期檢查違規(guī)聯(lián)網的行為； 檢查檢查 應檢查是否具有內部網絡外聯(lián)的授權批準書； e）建立網絡安全管理制度 訪談訪談 安全員，網絡安全的管理工作（包括網絡安全配置、網絡用戶、日志等方面）制度化； 檢查檢查 應檢查網絡安全管理制度，查看其是否覆蓋網絡設備的安全策略、授權訪問、最小服 務、升級與打補丁、維護記錄、日志內容、日志保