1、等級(jí)保護(hù)測(cè)評(píng)過(guò)程 以三級(jí)為例1/47主題一1234等級(jí)保護(hù)測(cè)評(píng)方法論等保測(cè)評(píng)安全辦法等級(jí)保護(hù)測(cè)評(píng)概述等級(jí)保護(hù)測(cè)評(píng)內(nèi)容與方法2/47等保測(cè)評(píng)概述等級(jí)測(cè)評(píng)是測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度要求，受相關(guān)單位委托，按照相關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，利用科學(xué)伎倆和方法，對(duì)處理特定應(yīng)用信息系統(tǒng)，采取安全技術(shù)測(cè)評(píng)和安全管理測(cè)評(píng)方式，對(duì)保護(hù)情況進(jìn)行檢測(cè)評(píng)定，判定受測(cè)系統(tǒng)技術(shù)和管理級(jí)別與所定安全等級(jí)要求符合程度，基于符合程度給出是否滿足所定安全等級(jí)結(jié)論，針對(duì)安全不符合項(xiàng)提出安全整改提議。3/47組合分析1、等級(jí)測(cè)評(píng)是測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度要求：國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作意見、保護(hù)安全

2、建設(shè)整改工作指導(dǎo)意見 、信息安全等級(jí)保護(hù)管理方法。2、受相關(guān)單位委托，按照相關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)（相關(guān)標(biāo)準(zhǔn)關(guān)系圖參見圖1、圖2）定級(jí)標(biāo)準(zhǔn): 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南、 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 ；建設(shè)標(biāo)準(zhǔn)：信息系統(tǒng)安全等級(jí)保護(hù)基本要求、信息系統(tǒng)通用安全技術(shù)要求、信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求；測(cè)評(píng)標(biāo)準(zhǔn)：信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求 、 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南 、 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南；管理標(biāo)準(zhǔn)：信息系統(tǒng)安全管理要求、 信息系統(tǒng)安全工程管理要求。3、利用科學(xué)伎倆和方法：采取6種方式，逐步深化測(cè)試伎倆調(diào)研訪談（業(yè)務(wù)、資產(chǎn)、安全技術(shù)和安全管理）；查看資料（管理制度、

3、安全策略）；現(xiàn)場(chǎng)觀察（物理環(huán)境、物理布署）；查看配置（主機(jī)、網(wǎng)絡(luò)、安全設(shè)備）；技術(shù)測(cè)試（漏洞掃描）；評(píng)價(jià)（安全測(cè)評(píng)、符合性評(píng)價(jià)）。4/47組合分析4、對(duì)處理特定應(yīng)用信息系統(tǒng)（查閱定級(jí)指南，哪些應(yīng)用系統(tǒng)定級(jí)）作為定級(jí)對(duì)象信息系統(tǒng)應(yīng)含有以下基本特征：含有唯一確定安全責(zé)任單位。 作為定級(jí)對(duì)象信息系統(tǒng)應(yīng)能夠唯一地確定其安全責(zé)任單位。假如一個(gè)單位某個(gè)下級(jí)單位負(fù)責(zé)信息系統(tǒng)安全建設(shè)、運(yùn)行維護(hù)等過(guò)程全部安全責(zé)任，則這個(gè)下級(jí)單位能夠成為信息系統(tǒng)安全責(zé)任單位；假如一個(gè)單位中不一樣下級(jí)單位分別負(fù)擔(dān)信息系統(tǒng)不一樣方面安全責(zé)任，則該信息系統(tǒng)安全責(zé)任單位應(yīng)是這些下級(jí)單位共同所屬單位；含有信息系統(tǒng)基本要素。 作為定級(jí)對(duì)象信

4、息系統(tǒng)應(yīng)該是由相關(guān)和配套設(shè)備、設(shè)施按照一定應(yīng)用目標(biāo)和規(guī)則組合而成有形實(shí)體。應(yīng)防止將某個(gè)單一系統(tǒng)組件，如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等作為定級(jí)對(duì)象；承載單一或相對(duì)獨(dú)立業(yè)務(wù)應(yīng)用。 定級(jí)對(duì)象承載“單一”業(yè)務(wù)應(yīng)用是指該業(yè)務(wù)應(yīng)用業(yè)務(wù)流程獨(dú)立，且與其它業(yè)務(wù)應(yīng)用沒有數(shù)據(jù)交換，且獨(dú)享全部信息處理設(shè)備。定級(jí)對(duì)象承載“相對(duì)獨(dú)立”業(yè)務(wù)應(yīng)用是指其業(yè)務(wù)應(yīng)用主要業(yè)務(wù)流程獨(dú)立，同時(shí)與其它業(yè)務(wù)應(yīng)用有少許數(shù)據(jù)交換，定級(jí)對(duì)象可能會(huì)與其它業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備。5、采取安全技術(shù)測(cè)評(píng)和安全管理測(cè)評(píng)方式：安全技術(shù)測(cè)評(píng)包含：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全；安全管理測(cè)評(píng)包含：安全管理制度、安全管理機(jī)構(gòu)、人員安

5、全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理。6、對(duì)保護(hù)情況進(jìn)行檢測(cè)評(píng)定，判定受測(cè)系統(tǒng)技術(shù)和管理級(jí)別與所定安全等級(jí)要求符合程度，基于符合程度給出是否滿足所定安全等級(jí)結(jié)論，針對(duì)安全不符合項(xiàng)提出安全整改提議。符合程度：綜合分析詳細(xì)指標(biāo)符合性判斷，給出抽象指標(biāo)符合性判斷結(jié)果，匯總?cè)砍橄笾笜?biāo)符合判斷，給出安全等級(jí)滿足是否結(jié)論；安全等級(jí)結(jié)論：結(jié)合受測(cè)系統(tǒng)符合性程度，判斷受測(cè)系統(tǒng)是否滿足所定安全等級(jí)結(jié)論；安全整改提議：提出安全整改提議，匯總、分析全部不符合項(xiàng)對(duì)應(yīng)改進(jìn)提議，組合成可單獨(dú)執(zhí)行整改提議。5/47主題二1234等級(jí)保護(hù)測(cè)評(píng)方法論等保測(cè)評(píng)安全辦法等級(jí)保護(hù)測(cè)評(píng)概述等級(jí)保護(hù)測(cè)評(píng)內(nèi)容與方法6/47等級(jí)保護(hù)完全實(shí)施

6、過(guò)程信息系統(tǒng)定級(jí)安全總體規(guī)劃安全設(shè)計(jì)與實(shí)施安全運(yùn)行維護(hù)信息系統(tǒng)終止安全等級(jí)測(cè)評(píng)信息系統(tǒng)立案安全整改設(shè)計(jì)等級(jí)符合性檢驗(yàn)應(yīng)急預(yù)案及演練安全要求整改安全等級(jí)整改局部調(diào)整等級(jí)變更7/47信息系統(tǒng)全生命周期分為“信息系統(tǒng)定級(jí)、總體安全規(guī)劃、安全設(shè)計(jì)與實(shí)施、安全運(yùn)行維護(hù)、信息系統(tǒng)終止”等五個(gè)階段。信息系統(tǒng)定級(jí)定級(jí)立案是信息安全等級(jí)保護(hù)首要步驟。信息系統(tǒng)定級(jí)工作應(yīng)按照“自主定級(jí)、教授評(píng)審、主管部門審批、公安機(jī)關(guān)審核”標(biāo)準(zhǔn)進(jìn)行。在等級(jí)保護(hù)工作中，信息系統(tǒng)運(yùn)行使用單位和主管部門按照“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)”標(biāo)準(zhǔn)開展工作，并接收信息安全監(jiān)管部門對(duì)開展等級(jí)保護(hù)工作監(jiān)管?？傮w安全規(guī)劃總體安全規(guī)劃階段目標(biāo)是依據(jù)信息

7、系統(tǒng)劃分情況、信息系統(tǒng)定級(jí)情況、信息系統(tǒng)承載業(yè)務(wù)情況，經(jīng)過(guò)分析明確信息系統(tǒng)安全需求，設(shè)計(jì)合理、滿足等級(jí)保護(hù)要求總體安全方案，并制訂出安全實(shí)施計(jì)劃，以指導(dǎo)后續(xù)信息系統(tǒng)安全建設(shè)工程實(shí)施。對(duì)于已運(yùn)行（運(yùn)行）信息系統(tǒng)，需求分析應(yīng)該首先分析判斷信息系統(tǒng)安全保護(hù)現(xiàn)實(shí)狀況與等級(jí)保護(hù)要求之間差距。安全設(shè)計(jì)與實(shí)施安全設(shè)計(jì)與實(shí)施階段目標(biāo)是按照信息系統(tǒng)安全總體方案要求，結(jié)合信息系統(tǒng)安全建設(shè)項(xiàng)目計(jì)劃，分期分步落實(shí)安全辦法安全運(yùn)行維護(hù)安全運(yùn)行與維護(hù)是等級(jí)保護(hù)實(shí)施過(guò)程中確保信息系統(tǒng)正常運(yùn)行必要步驟，包括內(nèi)容較多，包含安全運(yùn)行與維護(hù)機(jī)構(gòu)和安全運(yùn)行與維護(hù)機(jī)制建立，環(huán)境、資產(chǎn)、設(shè)備、介質(zhì)管理，網(wǎng)絡(luò)、系統(tǒng)管理，密碼、密鑰管理，運(yùn)

8、行、變更管理，安全狀態(tài)監(jiān)控和安全事件處置，安全審計(jì)和安全檢驗(yàn)等內(nèi)容。本標(biāo)準(zhǔn)并不對(duì)上述全部管理過(guò)程進(jìn)行描述，希望全方面了解和控制安全運(yùn)行與維護(hù)階段各類過(guò)程本標(biāo)準(zhǔn)使用者能夠參見其它標(biāo)準(zhǔn)或指南信息系統(tǒng)終止信息系統(tǒng)終止階段是等級(jí)保護(hù)實(shí)施過(guò)程中最終步驟。當(dāng)信息系統(tǒng)被轉(zhuǎn)移、終止或廢棄時(shí)，正確處理系統(tǒng)內(nèi)敏感信息對(duì)于確保機(jī)構(gòu)信息資產(chǎn)安全是至關(guān)主要。在信息系統(tǒng)生命周期中，有些系統(tǒng)并不是真正意義上廢棄，而是改進(jìn)技術(shù)或轉(zhuǎn)變業(yè)務(wù)到新信息系統(tǒng)，對(duì)于這些信息系統(tǒng)在終止處理過(guò)程中應(yīng)確保信息轉(zhuǎn)移、設(shè)備遷移和介質(zhì)銷毀等方面安全8/47等保測(cè)評(píng)工作流程等級(jí)測(cè)評(píng)工作流程，依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南，詳細(xì)內(nèi)容參見：等保測(cè)評(píng)

9、工作流程圖9/47準(zhǔn)備階段10/47方案編制階段11/47現(xiàn)場(chǎng)測(cè)評(píng)階段12/47匯報(bào)編制階段13/47等保實(shí)施計(jì)劃安全管理調(diào)研現(xiàn)場(chǎng)實(shí)地調(diào)研現(xiàn)實(shí)狀況調(diào)研匯報(bào)滲透測(cè)試匯報(bào)信息資產(chǎn)調(diào)研表人工審計(jì)匯報(bào)掃描匯報(bào)基礎(chǔ)培訓(xùn)PPT安全技術(shù)調(diào)研信息安全愿景制訂信息安全總體框架設(shè)計(jì)管理體系技術(shù)體系運(yùn)維體系項(xiàng)目準(zhǔn)備等保差距匯報(bào)風(fēng)險(xiǎn)評(píng)定匯報(bào)技能和意識(shí)培訓(xùn)項(xiàng)目準(zhǔn)備現(xiàn)實(shí)狀況調(diào)研風(fēng)險(xiǎn)與差距分析體系規(guī)劃與建立交流、知識(shí)轉(zhuǎn)移、培訓(xùn)、宣傳項(xiàng)目驗(yàn)收項(xiàng)目驗(yàn)收控制風(fēng)險(xiǎn)分析等保差距分析高危問題整改規(guī)劃匯報(bào)體系文件.等保測(cè)評(píng)14/47主題三1234等級(jí)保護(hù)測(cè)評(píng)方法論等保測(cè)評(píng)安全辦法等級(jí)保護(hù)測(cè)評(píng)概述等級(jí)保護(hù)測(cè)評(píng)內(nèi)容與方法15/47等級(jí)保護(hù)綜

10、合測(cè)評(píng) 物理安全網(wǎng)絡(luò)安全主機(jī)系統(tǒng)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理信息系統(tǒng)綜合測(cè)評(píng)技術(shù)要求管理要求16/47等級(jí)保護(hù)測(cè)評(píng)類型等?；疽笕N技術(shù)類型（S/A/G）S:保護(hù)數(shù)據(jù)在存放、傳輸、處理過(guò)程中不被泄漏、破壞和免受未授權(quán)修改信息安全類要求;-物理訪問控制、邊界完整性檢驗(yàn)、身份判別、通信完整性、保密性等；A:保護(hù)系統(tǒng)連續(xù)正常運(yùn)行，免受對(duì)系統(tǒng)未授權(quán)修改、破壞而造成系統(tǒng)不可用服務(wù)確保類要求;-電力供給、資源控制、軟件容錯(cuò)等G:通用安全保護(hù)類要求。-技術(shù)類中安全審計(jì)、管理制度等GAS17/47等級(jí)保護(hù)測(cè)評(píng)指標(biāo)測(cè)評(píng)指標(biāo)技術(shù)/管理安全類安全子類數(shù)量S類(2

11、級(jí))S類(3級(jí))A類(2級(jí))A類(3級(jí))G類(2級(jí))G類(3級(jí))F類(2級(jí))F類(3級(jí))要求項(xiàng)控制點(diǎn)二級(jí)三級(jí)二級(jí)三級(jí)技術(shù)類物理安全111182941810182347網(wǎng)絡(luò)安全110053167672440主機(jī)安全231131203632034應(yīng)用安全45221626762137數(shù)據(jù)安全221100033348管理類安全管理制度007100232712安全管理機(jī)構(gòu)0091928581127人員安全管理00111654541620系統(tǒng)建設(shè)管理00284113189184159系統(tǒng)運(yùn)維管理0027514254125469105合 計(jì)667323638918/47等保測(cè)評(píng)方法訪談訪談是指測(cè)評(píng)人員經(jīng)過(guò)與

12、信息系統(tǒng)相關(guān)人員（個(gè)人/群體）進(jìn)行交流、討論等活動(dòng)，獲取相關(guān)證據(jù)以表明信息系統(tǒng)安全保護(hù)辦法是否有效落實(shí)一個(gè)方法。在訪談范圍上，應(yīng)基本覆蓋全部安全相關(guān)人員類型，在數(shù)量上能夠抽樣。檢驗(yàn)檢驗(yàn)是指測(cè)評(píng)人員經(jīng)過(guò)對(duì)測(cè)評(píng)對(duì)象進(jìn)行觀察、查驗(yàn)、分析等活動(dòng)，獲取相關(guān)證據(jù)以證實(shí)信息系統(tǒng)安全保護(hù)辦法是否有效實(shí)施一個(gè)方法。在檢驗(yàn)范圍上，應(yīng)基本覆蓋全部對(duì)象種類（設(shè)備、文檔、機(jī)制等），數(shù)量上能夠抽樣。測(cè)試測(cè)試是指測(cè)評(píng)人員針對(duì)測(cè)評(píng)對(duì)象按照預(yù)定方法/工具使其產(chǎn)生特定響應(yīng)，經(jīng)過(guò)查看和分析響應(yīng)輸出結(jié)果，獲取證據(jù)以證實(shí)信息系統(tǒng)安全保護(hù)辦法是否得以有效實(shí)施一個(gè)方法。在測(cè)試范圍上，應(yīng)基本覆蓋不一樣類型機(jī)制，在數(shù)量上能夠抽樣。19/47物

13、理基本要求中控制點(diǎn)與要求項(xiàng)各級(jí)分布：安全等級(jí)控制點(diǎn)要求項(xiàng)第一級(jí)79第二級(jí)919第三級(jí)1032第四級(jí)1039物理位置選擇 （2項(xiàng)）物理訪問控制 （4項(xiàng)）防偷竊和防破壞 （6項(xiàng)）防雷擊 （3項(xiàng)）防火 （3項(xiàng)）防水和防潮 （4項(xiàng)）防靜電 （2項(xiàng)）溫濕度控制 （1項(xiàng)）電力供給 （4項(xiàng)）電磁防護(hù) （3項(xiàng)）以第三級(jí)為例物理安全20/47物理安全測(cè)評(píng)內(nèi)容和方法 物理位置選擇 物理訪問控制調(diào)研訪談：機(jī)房含有防震、防雨和防風(fēng)能力，并提供機(jī)房設(shè)計(jì)和驗(yàn)收證實(shí)；現(xiàn)場(chǎng)查看：查看機(jī)房是否建在高層或地下室。 防盜和防破壞 防雷擊 防火 防水和防潮 防靜電 溫濕度控制 電力供給 電磁防護(hù)物理安全調(diào)研訪談：專員值守、進(jìn)出統(tǒng)計(jì)、

14、申請(qǐng)和審批統(tǒng)計(jì)、物理隔離、門禁系統(tǒng)；現(xiàn)場(chǎng)查看：進(jìn)出登記統(tǒng)計(jì)、物理區(qū)域化管理、電子門禁系統(tǒng)運(yùn)行和維護(hù)統(tǒng)計(jì)。調(diào)研訪談：設(shè)備固定和標(biāo)識(shí)、隱蔽布線、介質(zhì)分類存放標(biāo)識(shí)、布署防盜監(jiān)控系統(tǒng)；現(xiàn)場(chǎng)查看：設(shè)備固定和標(biāo)識(shí)、監(jiān)控報(bào)警系統(tǒng)安全材料、測(cè)試和驗(yàn)收匯報(bào)。調(diào)研訪談：安裝避雷裝置、專業(yè)地線、防雷感應(yīng)器；現(xiàn)場(chǎng)查看：機(jī)房防雷設(shè)計(jì)/驗(yàn)收文檔、接地設(shè)計(jì)/驗(yàn)收文檔，交流地線和防雷設(shè)備調(diào)研訪談：自動(dòng)報(bào)警滅火設(shè)備、耐火材料、物理防火隔離；現(xiàn)場(chǎng)查看：自動(dòng)消防運(yùn)行、報(bào)警、維護(hù)統(tǒng)計(jì)，機(jī)房防火設(shè)計(jì)/驗(yàn)收文檔。調(diào)研訪談：機(jī)房?jī)?nèi)有沒有上下水，防水和防漏辦法；現(xiàn)場(chǎng)查看：機(jī)房防水和防潮設(shè)計(jì)/驗(yàn)收文檔，地下積水轉(zhuǎn)移與滲透辦法。調(diào)研訪談：接地防

15、靜電辦法，采取防靜電地板；現(xiàn)場(chǎng)查看：防靜電辦法文檔，防靜電地板驗(yàn)收文檔。調(diào)研訪談：溫、濕度自動(dòng)調(diào)整設(shè)施，專員負(fù)責(zé)；現(xiàn)場(chǎng)查看：溫濕度控制設(shè)計(jì)/驗(yàn)收文檔，溫濕度統(tǒng)計(jì)、運(yùn)行統(tǒng)計(jì)和維護(hù)統(tǒng)計(jì)。調(diào)研訪談：布署穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備，UPS和市電冗余；現(xiàn)場(chǎng)查看：電源設(shè)備檢驗(yàn)和維護(hù)統(tǒng)計(jì)，備用供電系統(tǒng)運(yùn)行統(tǒng)計(jì)，市電切換統(tǒng)計(jì)。調(diào)研訪談：安全接地，關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽；現(xiàn)場(chǎng)查看：查看安全接地、電源線和通訊線隔離，電磁屏蔽容器。21/47物理安全測(cè)評(píng)基本要求和實(shí)現(xiàn)方法基本防護(hù)能力高層、地下室基本出入控制分區(qū)域管理在機(jī)房中活動(dòng)電子門禁存放位置、標(biāo)識(shí)標(biāo)識(shí)監(jiān)控報(bào)警系統(tǒng)建筑防雷、機(jī)房接地設(shè)備防雷滅火設(shè)備、自動(dòng)報(bào)警自動(dòng)

16、消防系統(tǒng)區(qū)域隔離辦法關(guān)鍵設(shè)備和地板防靜電防靜電地板穩(wěn)定電壓、短期供給冗余/并行線路備用供電系統(tǒng)線纜隔離、設(shè)備和介質(zhì)屏蔽接地防干擾電磁屏蔽防水設(shè)備、防水應(yīng)急預(yù)案或辦法基本要求實(shí)現(xiàn)方法/案例空調(diào)系統(tǒng)、自動(dòng)調(diào)整接地線溫濕度自動(dòng)調(diào)整設(shè)施上下水管門窗防水線纜隔離布線機(jī)房布署中層物理位置選擇物理訪問控制防偷竊和防破壞防雷擊防火防靜電電力供給電磁防護(hù)防水和防潮溫濕度控制22/47網(wǎng)絡(luò)安全基本要求中控制點(diǎn)與要求項(xiàng)各級(jí)分布：安全等級(jí)控制點(diǎn)要求項(xiàng)第一級(jí)39第二級(jí)618第三級(jí)733第四級(jí)732結(jié)構(gòu)安全 （7項(xiàng)）訪問控制 （8項(xiàng)）安全審計(jì) （4項(xiàng)）邊界完整性檢驗(yàn) （2項(xiàng)）入侵防范 （2項(xiàng)）惡意代碼防范 （2項(xiàng)）網(wǎng)絡(luò)設(shè)

17、備防護(hù) （8項(xiàng)）以第三級(jí)為例網(wǎng)絡(luò)安全23/47網(wǎng)絡(luò)安全測(cè)評(píng)內(nèi)容和方法 結(jié)構(gòu)安全 訪問控制調(diào)研訪談：網(wǎng)絡(luò)冗余、帶寬情況、安全路徑、子網(wǎng)和網(wǎng)段分配標(biāo)準(zhǔn)、主要網(wǎng)段隔離；測(cè)評(píng)判斷：網(wǎng)絡(luò)設(shè)計(jì)或驗(yàn)收文檔，路由控制策略，網(wǎng)絡(luò)設(shè)計(jì)或驗(yàn)收文檔，網(wǎng)絡(luò)隔離伎倆。 安全審計(jì) 邊界完整性檢驗(yàn) 入侵檢測(cè) 惡意代碼防護(hù) 網(wǎng)絡(luò)設(shè)備防護(hù)網(wǎng)絡(luò)安全調(diào)研訪談：網(wǎng)絡(luò)邊界控制策略，測(cè)評(píng)判斷：會(huì)話對(duì)數(shù)據(jù)流進(jìn)行控制，應(yīng)用層協(xié)議控制，自動(dòng)終止網(wǎng)絡(luò)連接配置等。調(diào)研訪談：開啟安全審計(jì)功效、審計(jì)內(nèi)容、審計(jì)報(bào)表、審計(jì)統(tǒng)計(jì)保護(hù)；測(cè)評(píng)判斷：審計(jì)全方面監(jiān)測(cè)、查看審計(jì)報(bào)表、審計(jì)統(tǒng)計(jì)處理方式。調(diào)研訪談：外網(wǎng)接入內(nèi)網(wǎng)行為監(jiān)控、內(nèi)網(wǎng)私自聯(lián)到外網(wǎng)行為監(jiān)控，并進(jìn)行阻斷

18、處理；測(cè)評(píng)判斷：查看外網(wǎng)接入內(nèi)網(wǎng)行為和內(nèi)網(wǎng)私自聯(lián)到外網(wǎng)行為進(jìn)行監(jiān)控配置。調(diào)研訪談：網(wǎng)絡(luò)入侵防范辦法、防范規(guī)則庫(kù)升級(jí)方式、網(wǎng)絡(luò)入侵防范設(shè)備；測(cè)評(píng)判斷：檢驗(yàn)網(wǎng)絡(luò)入侵防范設(shè)備，查看檢測(cè)攻擊行為和安全警告方式。調(diào)研訪談：網(wǎng)絡(luò)惡意代碼防范辦法、惡意代碼庫(kù)更新策略；測(cè)評(píng)判斷：網(wǎng)絡(luò)設(shè)計(jì)或驗(yàn)收文檔，網(wǎng)絡(luò)邊界對(duì)惡意代碼采取辦法和防惡意代碼產(chǎn)品更新。調(diào)研訪談：兩種用戶身份判別、地址限制、用戶唯一、口令復(fù)雜度要求、登錄失敗驗(yàn)證等；測(cè)評(píng)判斷：用戶唯一和地址限制、密碼復(fù)雜度和兩種身份判別方式、特權(quán)用戶權(quán)限分配。24/47網(wǎng)絡(luò)安全測(cè)評(píng)基本要求和實(shí)現(xiàn)方法基本要求實(shí)現(xiàn)方法/案例關(guān)鍵設(shè)備冗余空間子網(wǎng)/網(wǎng)段控制關(guān)鍵網(wǎng)絡(luò)帶寬主要設(shè)

19、備冗余空間整體網(wǎng)絡(luò)帶寬主要網(wǎng)段布署路由控制訪問控制設(shè)備（用戶、網(wǎng)段）撥號(hào)訪問限制應(yīng)用層協(xié)議過(guò)濾會(huì)話終止端口控制最大流量數(shù)及最大連接數(shù)預(yù)防地址坑騙結(jié)構(gòu)安全訪問控制安全審計(jì)邊界完整性檢驗(yàn)入侵防范惡意代碼防范網(wǎng)絡(luò)設(shè)備防護(hù)審計(jì)報(bào)表審計(jì)統(tǒng)計(jì)保護(hù)定位及阻斷內(nèi)部非法聯(lián)出非授權(quán)設(shè)備私自外聯(lián)檢測(cè)常見攻擊統(tǒng)計(jì)、報(bào)警網(wǎng)絡(luò)邊界處防范基本登錄判別組合判別技術(shù)特權(quán)用戶權(quán)限分離邊界惡意代碼檢測(cè)代碼庫(kù)升級(jí)主要客戶端審計(jì)日志統(tǒng)計(jì)25/47主機(jī)安全基本要求中控制點(diǎn)與要求項(xiàng)各級(jí)分布：安全等級(jí)控制點(diǎn)要求項(xiàng)第一級(jí)46第二級(jí)619第三級(jí)732第四級(jí)936身份判別 （6項(xiàng)）訪問控制 （7項(xiàng)）安全審計(jì) （6項(xiàng)）剩下信息保護(hù) （2項(xiàng)）入侵防范

20、 （3項(xiàng)）惡意代碼防范 （3項(xiàng)）系統(tǒng)資源控制 （5項(xiàng)）以第三級(jí)為例主機(jī)安全26/47主機(jī)安全測(cè)評(píng)內(nèi)容和方法 身份判別 訪問控制 安全審計(jì) 剩下信息保護(hù) 入侵檢測(cè) 惡意代碼防范 資源控制主機(jī)安全調(diào)研訪談：安全策略、最小分配標(biāo)準(zhǔn)、權(quán)限分離、刪除多出賬戶、敏感標(biāo)識(shí)、控制敏感資源；測(cè)評(píng)判斷：檢驗(yàn)服務(wù)器操作系統(tǒng)安全策略、查看特權(quán)用戶權(quán)限是否進(jìn)行分離。調(diào)研訪談：確保數(shù)據(jù)存放空間、重新分配前完全清楚數(shù)據(jù)；測(cè)評(píng)判斷：檢驗(yàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)維護(hù)操作手冊(cè)，包含：存放空間被釋放和重新分配標(biāo)準(zhǔn)。調(diào)研訪談：入侵防范辦法和安全報(bào)警、主要程序完整性進(jìn)行檢測(cè)、系統(tǒng)補(bǔ)丁及時(shí)更新；測(cè)評(píng)判斷：檢驗(yàn)入侵防范系統(tǒng)、檢測(cè)到完整性受到破

21、壞后恢復(fù)辦法、補(bǔ)丁升級(jí)統(tǒng)計(jì)。調(diào)研訪談： 安裝防惡意代碼軟件、防惡意代碼軟件統(tǒng)一管理；測(cè)評(píng)判斷：檢驗(yàn)實(shí)時(shí)檢測(cè)與惡意代碼軟件產(chǎn)品并進(jìn)行及時(shí)更新、主機(jī)和網(wǎng)絡(luò)惡意代碼軟件不一樣調(diào)研訪談：限制終端登錄、登錄超時(shí)鎖定、對(duì)服務(wù)器進(jìn)行監(jiān)控、限制用戶對(duì)資源訪問等；測(cè)評(píng)判斷：檢驗(yàn)服務(wù)器操作系統(tǒng)限制終端登錄、超時(shí)鎖定、服務(wù)器監(jiān)控等調(diào)研訪談：兩種用戶身份判別、地址限制、用戶唯一、口令復(fù)雜度要求、登錄失敗驗(yàn)證等；測(cè)評(píng)判斷：用戶唯一和地址限制、密碼復(fù)雜度和兩種身份判別方式、特權(quán)用戶權(quán)限分配。調(diào)研訪談：開啟安全審計(jì)功效、審計(jì)內(nèi)容、審計(jì)報(bào)表、審計(jì)統(tǒng)計(jì)保護(hù)；測(cè)評(píng)判斷：審計(jì)全方面監(jiān)測(cè)、查看審計(jì)報(bào)表、審計(jì)統(tǒng)計(jì)處理方式。27/47主

22、機(jī)安全測(cè)評(píng)基本要求和實(shí)現(xiàn)方法基本要求實(shí)現(xiàn)方法/案例訪問控制安全審計(jì)剩下信息保護(hù)入侵防范惡意代碼防范資源控制審計(jì)報(bào)表審計(jì)統(tǒng)計(jì)保護(hù)空間釋放惡意代碼防范產(chǎn)品對(duì)用戶會(huì)話數(shù)及終端登錄限制監(jiān)視主要服務(wù)器最小服務(wù)水平檢測(cè)及報(bào)警防惡意代碼軟件、代碼庫(kù)統(tǒng)一管理身份判別基本身份判別組合判別技術(shù)安全策略特權(quán)用戶權(quán)限分離管理用戶權(quán)限分離敏感標(biāo)識(shí)設(shè)置及操作服務(wù)器基本運(yùn)行情況審計(jì)主要客戶端審計(jì)空間釋放及信息去除最小安裝標(biāo)準(zhǔn)升級(jí)服務(wù)器主要服務(wù)器：檢測(cè)、統(tǒng)計(jì)、報(bào)警主要程序完整性28/47應(yīng)用安全基本要求中控制點(diǎn)與要求項(xiàng)各級(jí)分布：安全等級(jí)控制點(diǎn)要求項(xiàng)第一級(jí)47第二級(jí)719第三級(jí)931第四級(jí)1136身份判別 （5項(xiàng)）訪問控制 （

23、6項(xiàng)）安全審計(jì) （4項(xiàng)）剩下信息保護(hù) (2項(xiàng))通信完整性 (1項(xiàng))通信保密性 (2項(xiàng))抗抵賴 (2項(xiàng))軟件容錯(cuò) (2項(xiàng))以第三級(jí)為例應(yīng)用安全29/47應(yīng)用安全測(cè)評(píng)內(nèi)容和方法 身份判別 訪問控制 安全審計(jì) 剩下信息保護(hù) 通訊完整性 通訊保密性 抗抵賴應(yīng)用安全調(diào)研訪談：應(yīng)采取密碼技術(shù)確保通信過(guò)程中數(shù)據(jù)完整性；測(cè)評(píng)判斷：檢驗(yàn)設(shè)計(jì)或驗(yàn)收文檔，是否有用密碼技術(shù)來(lái)確保通信過(guò)程中數(shù)據(jù)完整性描述。調(diào)研訪談：利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證、對(duì)整個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)行加密；測(cè)評(píng)判斷：系統(tǒng)數(shù)據(jù)在通信過(guò)程中采取掃描保密辦法，查看詳細(xì)辦法。調(diào)研訪談：數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)功效；測(cè)評(píng)判斷：系統(tǒng)是否含有抗抵賴辦法

24、，查看詳細(xì)辦法。 軟件容錯(cuò)調(diào)研訪談：數(shù)據(jù)有效性檢驗(yàn)功效、當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前全部狀態(tài)；測(cè)評(píng)判斷：查看應(yīng)用系統(tǒng)是否對(duì)人機(jī)接口輸入或通信接口輸入數(shù)據(jù)進(jìn)行有效性檢驗(yàn)。 資源控制調(diào)研訪談：兩種用戶身份判別、地址限制、用戶唯一、口令復(fù)雜度要求、登錄失敗驗(yàn)證等；測(cè)評(píng)判斷：用戶唯一和地址限制、密碼復(fù)雜度和兩種身份判別方式、特權(quán)用戶權(quán)限分配。調(diào)研訪談：安全策略、最小分配標(biāo)準(zhǔn)、權(quán)限分離、刪除多出賬戶、敏感標(biāo)識(shí)、控制敏感資源；測(cè)評(píng)判斷：檢驗(yàn)服務(wù)器操作系統(tǒng)安全策略、查看特權(quán)用戶權(quán)限是否進(jìn)行分離。調(diào)研訪談：開啟安全審計(jì)功效、審計(jì)內(nèi)容、審計(jì)報(bào)表、審計(jì)統(tǒng)計(jì)保護(hù)；測(cè)評(píng)判斷：審計(jì)全方面監(jiān)測(cè)、查看審計(jì)報(bào)表、審計(jì)統(tǒng)計(jì)處理方式

25、。調(diào)研訪談：確保數(shù)據(jù)存放空間、重新分配前完全清楚數(shù)據(jù)；測(cè)評(píng)判斷：檢驗(yàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)維護(hù)操作手冊(cè)，包含：存放空間被釋放和重新分配標(biāo)準(zhǔn)。調(diào)研訪談：限制終端登錄、登錄超時(shí)鎖定、對(duì)服務(wù)器進(jìn)行監(jiān)控、限制用戶對(duì)資源訪問等；測(cè)評(píng)判斷：檢驗(yàn)服務(wù)器操作系統(tǒng)限制終端登錄、超時(shí)鎖定、服務(wù)器監(jiān)控等。30/47應(yīng)用安全測(cè)評(píng)基本要求和實(shí)現(xiàn)方法基本要求實(shí)現(xiàn)方法/案例訪問控制安全審計(jì)剩下信息保護(hù)通訊完整性通訊保密性資源控制審計(jì)報(bào)表審計(jì)統(tǒng)計(jì)保護(hù)空間釋放對(duì)用戶會(huì)話數(shù)及 系統(tǒng)最大并發(fā)會(huì)話數(shù)限制身份判別基本身份判別組合判別技術(shù)安全策略最小授權(quán)標(biāo)準(zhǔn)敏感標(biāo)識(shí)設(shè)置及操作空間釋放及信息去除運(yùn)行情況審計(jì)（用戶級(jí)）審計(jì)統(tǒng)計(jì)保護(hù)校驗(yàn)碼技術(shù)初

26、始化驗(yàn)證密碼技術(shù)整個(gè)報(bào)文及會(huì)話過(guò)程加密抗抵賴數(shù)據(jù)原發(fā)證據(jù)和接收證據(jù)用戶認(rèn)證、數(shù)字署名、操作日志資源分配限制、資源分配優(yōu)先級(jí)最小服務(wù)水平檢測(cè)及報(bào)警軟件容錯(cuò)數(shù)據(jù)有效性檢驗(yàn)、部分運(yùn)行保護(hù)自動(dòng)保護(hù)功效31/47數(shù)據(jù)安全基本要求中控制點(diǎn)與要求項(xiàng)各級(jí)分布：安全等級(jí)控制點(diǎn)要求項(xiàng)第一級(jí)22第二級(jí)34第三級(jí)38第四級(jí)311數(shù)據(jù)完整性 （2項(xiàng)）數(shù)據(jù)保密性 （2項(xiàng)）備份與恢復(fù) （8項(xiàng)）以第三級(jí)為例數(shù)據(jù)安全32/47數(shù)據(jù)安全測(cè)評(píng)內(nèi)容和方法 數(shù)據(jù)完整性 數(shù)據(jù)保密性調(diào)研訪談： 應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、判別信息和主要業(yè)務(wù)數(shù)據(jù)在傳輸和存放過(guò)程中完整性受到破壞，并進(jìn)行必要辦法；檢驗(yàn)判斷：檢測(cè)傳輸和存放破壞辦法和恢復(fù)辦法。 安

27、全備份數(shù)據(jù)安全調(diào)研訪談：采取加密或其它有效辦法實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、判別信息和主要業(yè)務(wù)數(shù)據(jù)傳輸和存放保密性；檢驗(yàn)判斷：判別信息和主要業(yè)務(wù)數(shù)據(jù)是否采取加密或其它有效辦法實(shí)現(xiàn)傳輸保密性調(diào)研訪談：當(dāng)?shù)財(cái)?shù)據(jù)備份和恢復(fù)，備份介質(zhì)場(chǎng)外存放，通信線路和數(shù)據(jù)處理系統(tǒng)硬件冗余；檢驗(yàn)判斷：查設(shè)計(jì)或驗(yàn)收文檔，對(duì)當(dāng)?shù)財(cái)?shù)據(jù)備份和恢復(fù)功效及策略描述，查主要網(wǎng)絡(luò)設(shè)備、主要通信線路和主要數(shù)據(jù)處理系統(tǒng)是否采取硬件冗余、軟件配置等33/47應(yīng)用安全測(cè)評(píng)基本要求和實(shí)現(xiàn)方法基本要求實(shí)現(xiàn)方法/案例訪問控制備份和恢復(fù)數(shù)據(jù)完整性判別數(shù)據(jù)傳輸完整性各類數(shù)據(jù)傳輸及存放檢測(cè)和恢復(fù)判別數(shù)據(jù)存放保密性各類數(shù)據(jù)傳輸及存放主要數(shù)據(jù)備份硬件冗余異地備份網(wǎng)絡(luò)冗

28、余、硬件冗余當(dāng)?shù)赝耆珎浞萏焯?次備份介質(zhì)場(chǎng)外存放34/47安全管理制度基本要求中控制點(diǎn)與要求項(xiàng)各級(jí)分布：安全等級(jí)控制點(diǎn)要求項(xiàng)第一級(jí)23第二級(jí)37第三級(jí)311第四級(jí)314管理制度 （4項(xiàng)）制訂和公布 （5項(xiàng)）評(píng)審和修訂 （2項(xiàng)）以第三級(jí)為例安全管理制度35/47安全管理制度測(cè)評(píng)內(nèi)容和方法 管理制度 制訂和公布調(diào)研訪談：制訂總體方針和安全策略、建立操作規(guī)程；查文件：查部門、崗位職責(zé)文件，信息安全方針、安全策略文件；查各類安全管理制度文件；形成安全管理制度體系 評(píng)審和修訂安全管理制度調(diào)研訪談：專員負(fù)責(zé)制訂安全管理制度，統(tǒng)一格式和版本，并進(jìn)行論證和審定，經(jīng)過(guò)有效形式進(jìn)行公布，注明公布范圍；查文件：查指

29、定部門和人員工作職責(zé)，信息安全管理制度文件模板或格式要求，論證和審定統(tǒng)計(jì)和文件公布、登記統(tǒng)計(jì)。調(diào)研訪談：安全管理制度評(píng)審主持部門，定時(shí)對(duì)制度文件合理性和適用性進(jìn)行審定；查文件：查對(duì)安全管理制度體系進(jìn)行評(píng)審管理文件，修訂安全管理制度修訂或評(píng)審統(tǒng)計(jì)。36/47安全管理機(jī)構(gòu)基本要求中控制點(diǎn)與要求項(xiàng)各級(jí)分布：安全等級(jí)控制點(diǎn)要求項(xiàng)第一級(jí)44第二級(jí)59第三級(jí)520第四級(jí)520崗位設(shè)置 （4項(xiàng)）人員配置 （3項(xiàng)）授權(quán)和審批 （4項(xiàng)）溝通和合作 （5項(xiàng)）審核和檢驗(yàn) （4項(xiàng)）以第三級(jí)為例安全管理機(jī)構(gòu)37/47安全管理機(jī)構(gòu)測(cè)評(píng)內(nèi)容和方法 崗位設(shè)置 人員配置調(diào)研訪談：信息安全管理工作職能部門，設(shè)置崗位和職責(zé)，建立信

30、息安全領(lǐng)導(dǎo)小組；查文件：查部門、崗位職責(zé)文件，領(lǐng)導(dǎo)小組崗位職責(zé)文件，安全管理機(jī)構(gòu)各部門和崗位職責(zé)、分工、技能要求文件 授權(quán)和審批安全管理機(jī)構(gòu)調(diào)研訪談：安全管理崗位人員配置情況；查文件：查安全管理各崗位人員信息表，關(guān)鍵崗位管理人員配置2人或2人以上共同管理。調(diào)研訪談：對(duì)主要活動(dòng)進(jìn)行審批，審批部門是何部門，同意人是何人，審批范圍包含哪些，定時(shí)審查審批；查文件：查各部門和崗位職責(zé)文檔，逐級(jí)審批制度及審批統(tǒng)計(jì)，查審查審批制度。 溝通和合作調(diào)研訪談：內(nèi)部溝通機(jī)制，弟兄單位合作溝通機(jī)制，供給商合作溝通機(jī)制，聘請(qǐng)安全教授；查文件：查內(nèi)部溝通、合作機(jī)制程序或規(guī)程，查外聯(lián)單位聯(lián)絡(luò)列表，查安全顧問名單、證實(shí)文件，

31、相關(guān)文檔或統(tǒng)計(jì)。 審核和檢驗(yàn)調(diào)研訪談：定時(shí)安全檢驗(yàn)程序、實(shí)施情況及檢驗(yàn)周期，對(duì)信息系統(tǒng)全方面安全檢驗(yàn)；查文件：安全檢驗(yàn)程序文件和統(tǒng)計(jì)，全方面安全檢驗(yàn)統(tǒng)計(jì)，安全檢驗(yàn)表，安全檢驗(yàn)匯報(bào)和結(jié)果通告統(tǒng)計(jì)，全方面安全檢驗(yàn)匯報(bào)等。38/47人員安全管理基本要求中控制點(diǎn)與要求項(xiàng)各級(jí)分布：安全等級(jí)控制點(diǎn)要求項(xiàng)第一級(jí)47第二級(jí)511第三級(jí)516第四級(jí)518人員錄用 （4項(xiàng)）人員離崗 （3項(xiàng)）人員考評(píng) （3項(xiàng)）安全意識(shí)教育和培訓(xùn)（4項(xiàng)）外部人員訪問管理（2項(xiàng)）以第三級(jí)為例人員安全管理39/47人員安全管理測(cè)評(píng)內(nèi)容和方法 人員錄用 人員離崗調(diào)研訪談：專門部門或人員責(zé)任人員錄用工作，人員錄用條件和審查內(nèi)容；查文件：查部

32、門/人員工作職責(zé)文件，人員錄用要求管理文檔，相關(guān)審查及考評(píng)統(tǒng)計(jì)，查保密協(xié)議；查保密協(xié)議簽署統(tǒng)計(jì)。 人員考評(píng)人員安全管理調(diào)研訪談：離崗人員控制方法，調(diào)離手續(xù)，關(guān)鍵崗位人員調(diào)離時(shí)承諾相關(guān)保密協(xié)議；查文件：查人員離崗管理文檔，對(duì)離崗人員安全處理統(tǒng)計(jì)，調(diào)離手續(xù)統(tǒng)計(jì)，查保密承諾文檔，調(diào)離人員統(tǒng)計(jì)。調(diào)研訪談：各個(gè)崗位人員進(jìn)行安全技能及安全知識(shí)考評(píng)，關(guān)鍵崗位審查考評(píng)特殊要求；查文件：查定時(shí)人員審查/考評(píng)規(guī)程文件，關(guān)鍵崗位定時(shí)審查和考評(píng)規(guī)程文件，考評(píng)文檔和統(tǒng)計(jì)，人員安全審查統(tǒng)計(jì)。 安全意識(shí)教育和培訓(xùn)調(diào)研訪談：制訂培訓(xùn)計(jì)劃及實(shí)施情況，對(duì)違反安全策略和要求人員進(jìn)行懲戒；查文件：查安全意識(shí)教育和培訓(xùn)規(guī)程文件，安全責(zé)

33、任和懲戒辦法管理文檔，安全教育和培訓(xùn)計(jì)劃文檔，教育和培訓(xùn)統(tǒng)計(jì)。 外部人員訪問管理調(diào)研訪談：對(duì)外部人員訪問主要區(qū)域管理辦法、規(guī)程或制度等情況；查文件：查外部人員訪問管理規(guī)程文檔和訪問主要區(qū)域同意文檔，外部人員訪問主要區(qū)域登記統(tǒng)計(jì)。40/47系統(tǒng)建設(shè)管理基本要求中控制點(diǎn)與要求項(xiàng)各級(jí)分布：安全等級(jí)控制點(diǎn)要求項(xiàng)第一級(jí)920第二級(jí)928第三級(jí)1145第四級(jí)1148系統(tǒng)定級(jí) （4項(xiàng)）安全方案設(shè)計(jì) （5項(xiàng)）產(chǎn)品采購(gòu) （4項(xiàng)）自行軟件開發(fā) （5項(xiàng)）外包軟件開發(fā) （4項(xiàng)）工程實(shí)施 （3項(xiàng)）測(cè)試驗(yàn)收 （5項(xiàng)）系統(tǒng)交付 （5項(xiàng)）系統(tǒng)立案 （3項(xiàng)）等級(jí)測(cè)評(píng) （4項(xiàng)）服務(wù)商選擇 （3項(xiàng)）以第三級(jí)為例系統(tǒng)建設(shè)管理41/4

34、7系統(tǒng)建設(shè)管理測(cè)評(píng)內(nèi)容和方法 系統(tǒng)定級(jí) 安全方案設(shè)計(jì)調(diào)研訪談：系統(tǒng)定級(jí)過(guò)程、方法和理由，定級(jí)結(jié)果論證和審定，定級(jí)結(jié)果同意等；查文件：查系統(tǒng)定級(jí)文檔，文檔說(shuō)明定級(jí)方法和理由，論證和審定意見，同意蓋章等。 產(chǎn)品采購(gòu)和使用 自行軟件開發(fā) 外部軟件開發(fā) 工程實(shí)施 測(cè)試驗(yàn)收 系統(tǒng)交付 系統(tǒng)立案 等級(jí)測(cè)評(píng)系統(tǒng)建設(shè)管理調(diào)研訪談：專員負(fù)責(zé)安全建設(shè)規(guī)劃，安全設(shè)計(jì)方案，教授論證和審定，定時(shí)修訂配套文件；查文件：安全辦法文檔、風(fēng)險(xiǎn)分析表，總體規(guī)劃文件和工作計(jì)劃，教授論證文檔，文檔修訂統(tǒng)計(jì)。調(diào)研訪談：安全、密碼產(chǎn)品使用，指定部門負(fù)責(zé)采購(gòu)，審定和更新候選產(chǎn)品名單；查文件：采購(gòu)文件中包括產(chǎn)品指標(biāo)和候選范圍，密碼產(chǎn)品使用要

35、求，產(chǎn)品選型測(cè)試統(tǒng)計(jì)等。調(diào)研訪談：開發(fā)環(huán)境與測(cè)試環(huán)境分開，編碼安全規(guī)范，專員保管設(shè)計(jì)文檔和使用指南，授權(quán)審批；查文件：查軟件開發(fā)管理制度，明確軟件開發(fā)生命周期管理，編碼規(guī)范，設(shè)計(jì)文檔等管理。調(diào)研訪談：檢測(cè)軟件質(zhì)量，惡意代碼檢測(cè)，開發(fā)商提供設(shè)計(jì)文檔、使用指南和源代碼等；查文件：外包軟件驗(yàn)收測(cè)試匯報(bào)，惡意代碼檢測(cè)匯報(bào)，設(shè)計(jì)文件和使用指南，源代碼審查統(tǒng)計(jì)等。調(diào)研訪談：專員負(fù)責(zé)管理實(shí)施過(guò)程，制訂實(shí)施方案，制訂工程實(shí)施方面安全管理制度；查文件：工程實(shí)施方責(zé)任、任務(wù)和質(zhì)量要求，工程實(shí)施方案，階段性匯報(bào)，工程實(shí)施管理制度。調(diào)研訪談：第三方安全測(cè)試，制訂測(cè)試驗(yàn)收方案和匯報(bào)，專員負(fù)責(zé)驗(yàn)收工作，測(cè)試驗(yàn)收匯報(bào)審定；

36、查文件：第三方測(cè)試文檔，測(cè)試驗(yàn)收方案，測(cè)試驗(yàn)收管理文檔，測(cè)試驗(yàn)收統(tǒng)計(jì)和測(cè)試驗(yàn)收匯報(bào)。調(diào)研訪談：依據(jù)交付清單對(duì)設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)，新系統(tǒng)培訓(xùn)，專員負(fù)責(zé)系統(tǒng)交接工作；查文件：詳細(xì)系統(tǒng)交付清單，新系統(tǒng)培訓(xùn)統(tǒng)計(jì)，系統(tǒng)運(yùn)維文檔，系統(tǒng)交付管理文檔等。調(diào)研訪談：專門部門管理和使用定級(jí)材料，報(bào)主管部門和公安機(jī)關(guān)進(jìn)行立案；查文件：系統(tǒng)定級(jí)相關(guān)材料，主管部門和公安機(jī)關(guān)立案統(tǒng)計(jì)或立案文檔。調(diào)研訪談：等保測(cè)評(píng)管理文件，系統(tǒng)變更后等級(jí)測(cè)評(píng)，怎樣選擇測(cè)評(píng)機(jī)構(gòu)，專員負(fù)責(zé)等保測(cè)評(píng)；查文件：測(cè)評(píng)匯報(bào)、提議匯報(bào)和整改方案，測(cè)評(píng)機(jī)構(gòu)資質(zhì)。 安全服務(wù)商選擇調(diào)研訪談：安全服務(wù)器選擇，簽署服務(wù)協(xié)議，服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)培訓(xùn)；

37、查文件：服務(wù)招標(biāo)文件，簽署服務(wù)協(xié)議和保密協(xié)議等文檔，服務(wù)協(xié)議中包含服務(wù)內(nèi)容和期限等。42/47系統(tǒng)運(yùn)維管理基本要求中控制點(diǎn)與要求項(xiàng)各級(jí)分布：安全等級(jí)控制點(diǎn)要求項(xiàng)第一級(jí)918第二級(jí)1241第三級(jí)1362第四級(jí)1370系統(tǒng)運(yùn)維管理環(huán)境管理 （4項(xiàng)）資產(chǎn)管理 （4項(xiàng)）介質(zhì)管理 （6項(xiàng)）設(shè)備管理 （5項(xiàng)）監(jiān)控管理和安全管理中心（3項(xiàng)）網(wǎng)絡(luò)安全管理 （8項(xiàng)）系統(tǒng)安全管理 （7項(xiàng)）惡意代碼防范管理 （4項(xiàng)）密碼管理 （1項(xiàng)）變更管理 （4項(xiàng)）備份與恢復(fù)管理 （5項(xiàng)）安全事件處置 （6項(xiàng)）應(yīng)急預(yù)案管理 （5項(xiàng)）以第三級(jí)為例43/47系統(tǒng)運(yùn)維管理測(cè)評(píng)內(nèi)容和方法 環(huán)境管理調(diào)研訪談：指定部門或人員對(duì)機(jī)房維護(hù)、機(jī)房安全，建立機(jī)房制度，辦公環(huán)境保密性管理；查文件：機(jī)房維護(hù)管理制度和維護(hù)統(tǒng)計(jì)，查機(jī)房管理制度，物理訪問、環(huán)境安全等，辦公環(huán)境管理文檔。系統(tǒng)運(yùn)維管理 資產(chǎn)管理調(diào)研訪談：建立資產(chǎn)登記管理及資產(chǎn)清單，依據(jù)主要資產(chǎn)進(jìn)行分類和標(biāo)識(shí)管理；查文件：查資產(chǎn)清單，資產(chǎn)安全管理制度，依據(jù)資產(chǎn)主要程度管理辦法，信息分類文檔和資產(chǎn)標(biāo)識(shí)標(biāo)準(zhǔn)和方法。 介質(zhì)管理調(diào)研訪談：介質(zhì)安全管理制度，介質(zhì)存放，介質(zhì)傳輸控制，介質(zhì)銷毀，介質(zhì)異地存放，介質(zhì)分類標(biāo)識(shí)管理；查文件：查介質(zhì)安全管理制度，介質(zhì)管理統(tǒng)計(jì)，介質(zhì)目錄清單，異地