1、信息平安等級保護測評作業(yè)指導書系統(tǒng)建設治理三級修改頁修訂號限制編號版號/章節(jié)號修改人修訂原因批準人批準日期備注1SGISL/OP-SA92-10XX按公安部要求修訂詹雄20213.8確描述,說明確定系統(tǒng)為某個平安保護等級的方法和理由,是否有書面說明.適用版本任何版本實施風險無符合性判定如果系統(tǒng)定級參照定級指南的指導,有書面相關的說明,說明確定系統(tǒng)為某個平安保護等級的方法和理由,判定結(jié)果為符合；如果系統(tǒng)定級未參照定級指南的指導,或無書面相關的說明,未能說明確定系統(tǒng)為某個平安保護等級的方法和理由,判定結(jié)果為不符合.備注3.定級結(jié)果論證和審定測評項編號ADT-JSGL-01-C對應要求應組織相關部門

2、和有關平安技術專家對信息系統(tǒng)定級結(jié)果的合理性和正確性進行論證和審定測評項名稱定級結(jié)果論證和審定測評分項1:檢查系統(tǒng)定級的審定情況.操作步驟訪談治理員,詢問系統(tǒng)定級是否組織相關部門和有關平安技術專家對定級結(jié)果進行論證和審定,檢查論證和審定記錄.適用版本任何版本實施風險無符合性判定如果組織相關部門和有關平安技術專家對定級結(jié)果進行論證和審定,相關的論證和審定記錄,判定結(jié)果為符合；如果未組織相關部門和有關平安技術專家對定級結(jié)果進行論證和審定,相關的論證和審定記錄,判定結(jié)果為不符合.備注4.定級結(jié)果經(jīng)過相關部門批準測評項編號ADT-JSGL-01-D對應要求應保證信息系統(tǒng)的定級結(jié)果經(jīng)過相關部門的批準測評

3、項名稱定級結(jié)果經(jīng)過相關部門批準測評分項1:檢查系統(tǒng)定級的審定情況.操作步驟訪談治理員,詢問系統(tǒng)定級記錄是否經(jīng)過相關部門如上級主管部門的批準.查看相關的文件.適用版本任何版本實施風險無符合性判定如果系統(tǒng)定級結(jié)果經(jīng)過相關部門的批準蓋章,判定結(jié)果為符合；如果系統(tǒng)定級結(jié)果未經(jīng)過相關部門的批準蓋章,判定結(jié)果為不符合.備注二、平安方案設計1.選擇根本平安舉措及補充調(diào)整測評項編號ADT-JSGL-02-A對應要求應根據(jù)系統(tǒng)的平安保護等級選擇根本安全舉措,依據(jù)風險分析的結(jié)果補充和調(diào)整平安舉措測評項名稱選擇根本平安舉措及補充調(diào)整測評分項1:檢查平安方案設計.操作步驟訪談治理員,詢問是否根據(jù)系統(tǒng)的平安保護等級選擇

4、根本平安舉措,是否依據(jù)風險分析的結(jié)果來補充和調(diào)整平安舉措.適用版本任何版本實施風險無符合性判定如果根據(jù)系統(tǒng)的平安保護等級選擇根本平安舉措,依據(jù)風險分析的結(jié)果補充和調(diào)整平安舉措,判定結(jié)果為符合；如果未根據(jù)系統(tǒng)的平安保護等級選擇根本平安舉措,或未依據(jù)風險分析的結(jié)果補充和調(diào)整平安舉措,判定結(jié)果為不符合.備注2.平安建設總體規(guī)劃測評項編號ADT-JSGL-02-B對應要求應指定和授權(quán)專門的部門對信息系統(tǒng)的平安建設進行總體規(guī)劃,制定近期和遠期的平安建設工作方案測評項名稱平安建設總體規(guī)劃測評分項1:檢查平安方案設計.操作步驟訪談治理員,詢問是否指定和授權(quán)專門的部門對信息系統(tǒng)的平安建設進行總體規(guī)劃,制定近期

5、和遠期的平安建設工作方案,查看工作方案.適用版本任何版本實施風險無符合性判定如果有專門的部門對信息系統(tǒng)的平安建設進行總體規(guī)劃,有平安建設工作方案,判定結(jié)果為符合；如果無專門的部門對信息系統(tǒng)的平安建設進行總體規(guī)劃,無平安建設工作方案,判定結(jié)果為不符合.備注3.細化系統(tǒng)平安方案測評項編號ADT-JSGL-02-C對應要求應根據(jù)信息系統(tǒng)的等級劃分情況,統(tǒng)一考慮平安保證體系的總體平安策略、平安技術框架、平安治理策略、總體建設規(guī)劃和詳細設計方案,并形成配套文件測評項名稱細化系統(tǒng)平安方案測評分項1:檢查平安方案設計.操作步驟訪談治理員,詢問是否根據(jù)信息系統(tǒng)的等級劃分情況,統(tǒng)一考慮平安保障體系的總體平安策略

6、、平安技術框架、平安治理策略、總體建設規(guī)劃和詳細設計方案,并形成配套文件,查看相關的詳細設計方案.適用版本任何版本實施風險無符合性判定如果有總體建設規(guī)劃和詳細設計方案,判定結(jié)果為符合；如果無總體建設規(guī)劃和詳細設計方案,判定結(jié)果為不符合.備注4.平安技術專家論證和審定測評項編號ADT-JSGL-02-D對應要求應組織相關部門和有關平安技術專家對總體平安的策略、平安技術框架、平安管理策略、總體建設規(guī)劃、詳細設計方案等相關配套文件的合理性和正確性進行論證和審定,并且經(jīng)過批準后,才能正式實施測評項名稱平安技術專家論證和審定測評分項1:檢查平安方案設計.操作步驟訪談治理員,詢問平安建設方案是否經(jīng)過專家的

7、詳細周全的論證和討論,批準后才開始實施.適用版本任何版本實施風險無符合性判定如果平安建設方案經(jīng)過專家的詳細周全的論證和討論,判定結(jié)果為符合；如果平安建設方案未經(jīng)過專家的詳細周全的論證和討論,判定結(jié)果為不符合.備注5.平安方案調(diào)整和修訂測評項編號ADT-JSGL-02-E對應要求應根據(jù)等級測評、平安評估的結(jié)果定期調(diào)整和修訂總體平安策略、平安技術框架、平安治理策略、總體建設規(guī)劃、詳細設計方案等相關配套文件測評項名稱平安方案調(diào)整和修訂測評分項1:檢查平安方案的調(diào)整和修訂.操作步驟訪談治理員,詢問是否根據(jù)等級測評、平安評估的結(jié)果定期調(diào)整和修訂總體平安策略、平安技術框架、平安治理策略、總體建設規(guī)劃、詳細

8、設計方案等相關配套文件；詢問調(diào)整和修訂的周期,檢查相應的調(diào)整和修訂記錄.適用版本任何版本實施風險無符合性判定如果定期根據(jù)等級測評、平安評估的結(jié)果調(diào)整平安方案,判定結(jié)果為符合；如果未定期根據(jù)等級測評、平安評估的結(jié)果調(diào)整平安方案,判定結(jié)果為不符合.備注三、產(chǎn)品采購和使用1.平安產(chǎn)品采購和使用符合國家有關規(guī)定測評項編號ADT-JSGL-03-A對應要求應保證平安產(chǎn)品采購和使用符合國家有關規(guī)定測評項名稱平安產(chǎn)品采購和使用符合國家有關規(guī)定測評分項1:檢查平安產(chǎn)品采購和使用是否符合國家有關平安產(chǎn)品的規(guī)定.操作步驟訪談治理員,詢問系統(tǒng)采購和使用的平安產(chǎn)品是否符合國家有關規(guī)定,得到國家相關部門的認證.適用版本

9、任何版本實施風險無符合性判定如果系統(tǒng)采購和使用的平安產(chǎn)品符合國家有關規(guī)定,得到國家相關部門的認證,判定結(jié)果為符合；如果系統(tǒng)采購和使用的平安產(chǎn)品不符合國家有關規(guī)定,或未得到國家相關部門的認證,判定結(jié)果為不符合.備注2.保密碼產(chǎn)品采購和使用符合國家密碼主管部門要求測評項編號ADT-JSGL-03-B對應要求應保證密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求測評項名稱保密碼產(chǎn)品采購和使用符合國家密碼主管部門要求測評分項1:檢查密碼產(chǎn)品采購和使用是否符合國家密碼主管部門的規(guī)定.操作步驟訪談治理員,詢問系統(tǒng)采購和使用的密碼產(chǎn)品是否符合國家密碼主管部門的規(guī)定,得到國家相關部門的認證.適用版本任何版本實施風

10、險無符合性判定如果系統(tǒng)采購和使用的密碼產(chǎn)品符合國家有關規(guī)定,得到國家相關部門的認證,判定結(jié)果為符合；如果系統(tǒng)采購和使用的密碼產(chǎn)品不符合國家有關規(guī)定,或未得到國家相關部門的認證,判定結(jié)果為不符合.備注3.專門部門負責產(chǎn)品采購測評項編號ADT-JSGL-03-C對應要求應指定或授權(quán)專門的部門負責產(chǎn)品的采購測評項名稱專門部門負責產(chǎn)品采購測評分項1:檢查產(chǎn)品的采購.操作步驟訪談治理員,詢問是否有專門的部門負責產(chǎn)品的采購.適用版本任何版本實施風險無符合性判定如果有專門的部門負責產(chǎn)品的采購,判定結(jié)果為符合；如果無專門的部門負責產(chǎn)品的采購,判定結(jié)果為不符合.備注4.預先產(chǎn)品選型測試測評項編號ADT-JSGL

11、-03-D對應要求應預先對產(chǎn)品進行選型測試,確定產(chǎn)品的候選范圍,并定期審定和更新候選產(chǎn)品名單測評項名稱預先產(chǎn)品選型測試測評分項1:檢查采購產(chǎn)品的選型.操作步驟訪談治理員,詢問制定采購過程的限制策略,采購前對產(chǎn)品做選型測試,對重要部位的產(chǎn)品是否委托專業(yè)的測評單位進行專項測試,確定產(chǎn)品的候選范圍,通過招投標方式確定采購產(chǎn)品,是否認期審定和更新候選產(chǎn)品名單.適用版本任何版本實施風險無符合性判定如果有采購限制策略,采購前對產(chǎn)品做選型測試,確定產(chǎn)品的候選范圍,通過招投標方式確定要采購的產(chǎn)品,定期審定和更新候選產(chǎn)品名單,判定結(jié)果為符合；如果無采購限制策略,采購前未對產(chǎn)品做選型測試,確定產(chǎn)品的候選范圍,或未

12、通過招投標方式確定要采購的產(chǎn)品,定期審定和更新候選產(chǎn)品名單,判定結(jié)果為不符合.備注四、自行軟件開發(fā)1.開發(fā)環(huán)境與實際運行環(huán)境物理分開,測試數(shù)據(jù)和測試結(jié)果受到限制測評項編號ADT-JSGL-04-A對應要求應保證開發(fā)環(huán)境與實際運行環(huán)境物理分開,測試數(shù)據(jù)和測試結(jié)果受到限制測評項名稱開發(fā)環(huán)境與實際運行環(huán)境物理分開,測試數(shù)據(jù)和測試結(jié)果受到限制測評分項1:檢查開發(fā)環(huán)境.操作步驟需訪談治理員是否自主開發(fā)軟件,查看開發(fā)環(huán)境,開發(fā)環(huán)境與實際運行環(huán)境物理上是否分開；查看軟件開發(fā)是否有限制舉措,對測試數(shù)據(jù)和測試結(jié)果進行治理.適用版本任何版本實施風險無符合性判定如果開發(fā)環(huán)境與實際運行環(huán)境物理上分開,制定軟件開發(fā)的限

13、制舉措,能對測試數(shù)據(jù)和測試結(jié)果進行有效限制,判定結(jié)果為符合；如果開發(fā)環(huán)境與實際運行環(huán)境物理上未分開,未制定軟件開發(fā)的限制措施,對測試數(shù)據(jù)和測試結(jié)果進行有效限制,判定結(jié)果為不符合.備注2.軟件開發(fā)治理制度測評項編號ADT-JSGL-04-B對應要求應制定軟件開發(fā)治理制度,明確說明開發(fā)過程的限制方法和人員行為準那么測評項名稱軟件開發(fā)治理制度測評分項1：檢查軟件開發(fā)治理制度.操作步驟訪談治理員,檢查軟件開發(fā)治理制度,查看文件是否明確軟件設計、開發(fā)、測試、驗收過程的限制方法和人員行為準那么,是否明確哪些開發(fā)活動應經(jīng)過授權(quán)、審批,是否明確軟件開發(fā)相關文檔的治理等.適用版本任何版本實施風險無符合性判定如果有軟件開發(fā)治理制度,對軟件的開發(fā)過程和人員進行治理,判定結(jié)果為符合；如果無軟件開發(fā)治理制度,對軟件的開發(fā)過程和人員進行治理,判定結(jié)果為不符合.