1、安全物理環(huán)境1=安全子類測評項測評對象測評檢查內容物理位置選擇機房場地應選擇在具有防震、防風和防雨等能力的建筑內記錄類文檔和機房1）應核查所在建筑物是否具有建筑物抗震設防審批文檔；2）應核查機房是否不存在雨水滲漏；3）應核查門窗是否不存在因風導致的塵土嚴重；4）應核查屋頂、墻體、門窗和地面等是否不存在破損開裂機房場地應避免設在建筑物的頂層或地下室，否則應加強防水和防潮措施機房應核查機房是否不位于所在建筑物的頂層或地下室，如果否，則核查機房是否采取了防水和防潮措施物理訪問控制機房出入口應配置電子門禁系統，控制、鑒別和記錄進入的人員機房電子門禁系統1）應核查出入口是否配置電子門禁系統；2）應核查電子門禁系統是否可以鑒別、記錄進入的人員信息防盜竊和防破壞應將設備或主要部件進行固定，并設置明顯的不易除去的標識機房設備或主要部件1）應核查機房內設備或主要部件是否固定；2）應核查機房內設備或主要部件上是否設置了明顯且不易除去的標識應將通信線纜鋪設在隱蔽安全處機房通信線纜應核查機房內通信線纜是否鋪設在隱蔽安全處，如橋架中等應設置機房防盜報警系統或設置有專人值守的視頻監(jiān)控系統機房防盜報警系統或視頻監(jiān)控系統1）應核查機房內是否配置防盜報警系統或專人值守的視頻監(jiān)控系統；2）應核查防盜報警系統或視頻監(jiān)控系統是否啟用防雷擊應將各類機柜、設施和設備等通過接地系統安全接地機房應核查機房內機柜、設施和設備等是否進行接地處理應采取措施防止感應雷，例如設置防雷保安器或過壓保護裝置等機房防雷設施1）應核查機房內是否設置防感應雷措施；2）應核查防雷裝置是否通過驗收或國家有關部門的

安全子類測評項測評對象測評檢查內容技術檢測防火機房應設置火災自動消防系統，能夠自動檢測火情、自動報警，并自動滅火機房防火設施1）應核查機房內是否設置火災自動消防系統；2）應核查火災自動消防系統是否可以自動檢測火情、自動報警并自動滅火機房及相關的工作房間和輔助房應采用具有耐火等級的建筑材料機房驗收類文檔應核查機房驗收文檔是否明確相關建筑材料的耐火等級應對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間設置隔離防火措施機房管理員和機房1）應訪談機房管理員是否進行了區(qū)域劃分；2）應核查各區(qū)域間是否采取了防火措施進行隔離防水和防潮應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透機房應核查窗戶、屋頂和墻壁是否采取了防雨水滲透的措施應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透機房1）應核查機房內是否米取了防止水蒸氣結露的措施；2）應核查機房內是否采取了排泄地下積水，防止地下積水滲透的措施應安裝對水敏感的檢測儀表或元件，對機房進行防水檢測和報警機房防水檢測設施1）應核查機房內是否安裝了對水敏感的檢測裝置；2）應核查防水檢測和報警裝置是否啟用防靜電應采用防靜電地板或地面并采用必要的接地防靜電措施機房1）應核查機房內是否安裝了防靜電地板或地面；2）應核查機房內是否采用了接地防靜電措施應采取措施防止靜電的產生，例如采用靜電消除器、佩戴防靜電手環(huán)等機房應核查機房內是否配備了防靜電設備溫濕度控制應設置溫、濕度自動詢節(jié)設施，使機房溫、濕度的變化在設備運行所允許的范圍之內機房溫濕度調節(jié)設施1）應核查機房內是否配備了專用空調；2）應核查機房內溫濕度是否在設備運行所允許的范圍之內電力供應應在機房供電線路上配置穩(wěn)壓器和過電壓防護機房供電設施應核查供電線路上是否配置了穩(wěn)壓器和過電壓

安全子類測評項測評對象測評檢查內容設備防護設備應提供短期的備用電力供應，至少滿足設備在斷電情況下的正常運行要求機房備用供電設施1）應核查是否配備UPS等后備電源系統；2）應核查UPS等后備電源系統是否滿足設備在斷電情況下的正常運行要求應設置冗余或并行的電力電纜線路為計算機系統供電機房應核查機房內是否設置了冗余或并行的電力電纜線路為計算機系統供電電磁防護電源線和通信線纜應隔離鋪設，避免互相干擾機房線纜應核查機房內電源線纜和通信線纜是否隔離鋪設應對關鍵設備實施電磁屏蔽機房關鍵設備應核查機房內是否為關鍵設備配備了電磁屏蔽裝置2、安全通信網絡安全子類測評項測評對象測評檢查內容網絡架構應保證網絡設備的業(yè)務處理能力滿足業(yè)務高峰期需要路由器、交換機、無線接入設備和防火墻等提供網絡通信功能的設備或相關組件1）應核查業(yè)務高峰時期一段時間內主要網絡設備的CPU使用率和內存使用率是否滿足需要；2）應核查網絡設備是否從未出現過因設備性能問題導致的巖機情況；3）應測試驗證設備是否滿足業(yè)務高峰期需求應保證網絡各個部分的帶寬滿足業(yè)務高峰期需要綜合網管系統等1）應核查綜合網管系統各通信鏈路帶寬是否滿足高峰時段的業(yè)務流量需要；2）應測試驗證網絡帶寬是否滿足業(yè)務高峰期需求應劃分不同的網絡區(qū)域，并按照方便管理和控制的原則為各網絡區(qū)域分配地址路由器、交換機、無線接入設備和防火墻等提供網絡通信功能的設備或相關組件1）應核查是否依據重要性、部門等因素劃分不同的網絡區(qū)域；2）應核查相關網絡設備配置信息，驗證劃分的網絡區(qū)域是否與劃分原則一致應避免將重要網絡區(qū)域網絡拓撲1）應核查網絡拓撲圖是

安全子類測評項測評對象測評檢查內容部署在邊界處，重要網絡區(qū)域與其他網絡區(qū)域之間應采取可靠的技術隔離手段否與實際網絡運行環(huán)境一致；2）應核查重要網絡區(qū)域是否未部署在網絡邊界處；3）應核查重要網絡區(qū)域與其他網絡區(qū)域之間是否采取可靠的技術隔離手段，如網閘、防火墻和設備訪問控制列表（ACL）等應提供通信線路、關鍵網絡設備和關鍵計算設備的硬件冗余，保證系統的可用性網絡管理員和網絡拓撲應核查是否有關鍵網絡設備、安全設備和關鍵計算設備的硬件冗余（主備或雙活等）和通信線路冗余通信傳輸應采用校檢技術或密碼技術保證通信過程中數據的完整性提供校檢技術或密碼技術功能的設備或組件1）應核查是否在數據傳輸過程中使用檢驗技術或密碼技術來保證其完整性2）應測試驗證密碼技術設備或組件能否保證通信過程中數據的完整性應采用密碼技術保證通信過程中數據的保密性提供密碼技術功能的設備或組件1）應核查是否在通信過程中采取保密措施，具體采用哪些技術措施；2）應測試驗證在通信過程中是否對數據進行加密3、安全區(qū)域邊界安全子類測評項測評對象測評檢查內容邊界防護應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信網閘、防火墻、路由器、交換機和無線接入網關設備等提供訪問控制功能的設備或相關組件1）應核查在網絡邊界處是否部署訪問控制設備；2）應核查設備配置信息是否指定端口進行跨越邊界的網絡通信，指定端口是否配置并啟用了安全策略；3）應采用其他技術手段（如非法無線網絡設備定位、核查設備配置信息等）核查或測試驗證是否不存在其他未受控端口進行跨越邊界的網絡通信

安全子類測評項測評對象測評檢查內容應能夠對非授權設備私自聯到內部網絡的行為進行檢查或限制終端管理系統或相關設備1）應核查是否米用技術措施防止非授權設備接入內部網絡；2）應核查所有路由器和交換機等相關設備閑置端口是否均已關閉應能夠對內部用戶非授權聯到外部網絡的行為進行檢查或限制終端管理系統或相關設備應核查是否米用技術措施防止內部用戶存在非法外聯行為應限制無線網絡的使用，保證無線網絡通過受控的邊界設備接入內部網絡網絡拓撲和無線網絡設備1）應核查無線網絡的部署方式，是否單獨組網后再連接到有線網絡；2）應核查無線網絡是否通過受控的邊界防護設備接入到內部有線網絡訪問控制應在網絡邊界或區(qū)域之間根據訪問控制策略設置訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕所有通信網閘、防火墻、路由器、交換機和無線接入網關設備等提供訪問控制功能的設備或相關組件1）應核查在網絡邊界或區(qū)域之間是否部署訪問控制設備并啟用訪問控制策略；2）應核查設備的最后一條訪問控制策略是否為禁止所有網絡通信應刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數量最小化網閘、防火墻、路由器、交換機和無線接入網關設備等提供訪問控制功能的設備或相關組件1）應核查是否不存在多余或無效的訪問控制策略；2）應核查不同的訪問控制策略之間的邏輯關系及前后排列順序是否合理應對源地址、目的地址、源端口、目的端口和協議等進行檢查，以允許/拒絕數據包進出網閘、防火墻、路由器、交換機和無線接入網關設備等提供訪問控制功能的設備或相關組件1）應核查設備的訪問控制策略中是否設定了源地址、目的地址、源端口、目的端口和協議等相關配置參數；2）應測試驗證訪問控制策略中設定的相關配置參數是否有效應能根據會話狀態(tài)信息為進出數據流提供明確的允許/拒絕訪問的能力網閘、防火墻、路由器、交換機和無線接入網關設備等提供訪問控制功能的設備或相關組件1）應核查是否米用會話認證等機制為進出數據流提供明確的允許/拒絕訪問的能力；2）應測試驗證是否為進出數據流提供明確的允許/拒絕訪問的能力

安全子類測評項測評對象測評檢查內容入侵防范應在關鍵網絡節(jié)點處檢測、防止或限制從內部發(fā)起的網絡攻擊行為抗APT攻擊系統、網絡回溯系統、威脅情報檢測系統、抗DDoS攻擊系統和入侵保護系統或相關組件1）應核查相關系統或組件是否能夠檢測從內部發(fā)起的網絡攻擊行為；2）應核查相關系統或組件的規(guī)則庫版本或威脅情報庫是否已經更新到最新版本；3）應核查相關系統或組件的配置信息或安全策略是否能夠覆蓋網絡所有關鍵節(jié)點；4）應測試驗證相關系統或組件的配置信息或安全策略是否有效應米取技術措施對網絡行為進行分析，實現對網絡攻擊特別是新型網絡攻擊行為的分析抗APT攻擊系統、網絡回溯系統和威脅情報檢測系統或相關組件1）應核查是否部署相關系統或組件對新型網絡攻擊進行檢測和分析；2）應測試驗證是否對網絡行為進行分析，實現對網絡攻擊特別是未知的新型網絡攻擊的檢測和分析；當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目標、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警抗APT攻擊系統、網絡回溯系統、威脅情報檢測系統、抗DDoS攻擊系統和入侵保護系統或相關組件1）應核查相關系統或組件的記錄是否包括攻擊源IP、攻擊類型、攻擊目標、攻擊時間等相關內容；2）應測試驗證相關系統或組件的報警策略是否有效惡意代碼和垃圾郵件防范應在關鍵網絡節(jié)點處對惡意代碼進行檢測和清除，并維護惡意代碼防護機制的升級和更新防病毒網關和UTM等提供防惡意代碼功能的系統或相關組件1）應核查在關鍵網絡節(jié)點處是否部署防惡意代碼產品等技術措施；2）應核查防惡意代碼產品運行是否正常，惡意代碼庫是否已經更新到最新；3）應測試驗證相關系統或組件的安全策略是否有效應在關鍵網絡節(jié)點處對垃圾郵件進行檢測和防護，并維護垃圾郵件防護機制的升級和更新防垃圾郵件網關等提供防垃圾郵件功能的系統或相關組件1）應核查在關鍵網絡節(jié)點處是否部署了防垃圾郵件產品等技術措施；2）應核查防垃圾郵件產品運行是否正常，防垃圾

安全子類測評項測評對象測評檢查內容郵件規(guī)則庫是否已經更新到最新；3）應測試驗證相關系統或組件的安全策略是否有效安全審計應在網絡邊界、重要網絡節(jié)點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計綜合安全審計系統等1）應核查是否部署了綜合安全審計系統或類似功能的系統平臺；2）應核查安全審計范圍是否覆蓋到每個用戶；3）應核查是否對重要的用戶行為和重要安全事件進行了審計審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息綜合安全審計系統等應核查審計記錄信息是否包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等綜合安全審計系統等1）應核查是否米取了技術措施對審計記錄進行保護；2）應核查是否采取技術措施對申計記錄進行定期備份，并核查其備份策略；4、安全計算環(huán)境安全子類測評項測評對象測評檢查內容身份鑒別應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換終端和服務器等設備中的操作系統（包括宿主機和虛擬機操作系統）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端、移動終端管理系統、移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備、控制設備、業(yè)務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等1）應核查用戶在登錄時是否采用了身份鑒別措施；2）應核查用戶列表確認用戶身份標識是否具有唯一性；3）應核查用戶配置信息或測試驗證是否不存在空口令用戶；4）應核查用戶鑒別信息是否具有復雜度要求并定期更換應具有登錄失敗處理功能，應配置并啟用結束終端和服務器等設備中的操作系統（包括宿主機和1）應核查是否配置并啟用了登錄失敗處理功能；

安全子類測評項測評對象測評檢查內容會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施虛擬機操作系統）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端、移動終端管理系統、移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備、控制設備、業(yè)務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等2）應核查是否配置并啟用了限制非法登錄功能，非法登錄達到一定次數后采取特定動作，如賬戶鎖定等；3）應核查是否配置并啟用了登錄連接超時及自動退出功能應米用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現終端和服務器等設備中的操作系統（包括宿主機和虛擬機操作系統）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端：移動終端管理系統、移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備、控制設備、業(yè)務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等1）應核查是否采用動態(tài)口令、數字證書、生物技術和設備指紋等兩種或兩種以上組合的鑒別技術對用戶身份進行鑒別2）應核查其中一種鑒別技術是否使用密碼技術來實現訪問控制應對登陸的用戶分配賬戶和權限終端和服務器等設備中的操作系統（包括宿主機和虛擬機操作系統）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端：移動終端管理系統、移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備、控制設備、業(yè)務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等1）應核查是否為用戶分配了賬戶和權限及相關設置情況；2）應核查是否已禁用或限制匿名、默認賬戶的訪問權限；應重命名或刪除默認賬戶，修改默認賬戶的默認口令終端和服務器等設備中的操作系統（包括宿主機和虛擬機操作系統）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端：移動終端管理系統、移動終端管理客戶端、感知節(jié)點設備、1）應核查是否已經重命名默認賬戶或默認賬戶已被刪除；2）應核查是否已修改默認賬戶的默認口令

安全子類測評項測評對象測評檢查內容網關節(jié)點設備、控制設備、業(yè)務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等應及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在終端和服務器等設備中的操作系統（包括宿主機和虛擬機操作系統）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端：移動終端管理系統、移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備、控制設備、業(yè)務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等1）應核查是否不存在多余或過期賬戶，管理員用戶與賬戶之間是否一一對應；2）應測試驗證多余的、過期的賬戶是否被刪除或停用應授予管理用戶所需的最小權限，實現管理用戶的權限分離終端和服務器等設備中的操作系統（包括宿主機和虛擬機操作系統）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端：移動終端管理系統、移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備、控制設備、業(yè)務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等1）應核查是否進行角色劃分；2）應核查管理用戶的權限是否已進行分離；3）應核查管理用戶權限是否為其工作任務所需的最小權限安全審計應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計終端和服務器等設備中的操作系統（包括宿主機和虛擬機操作系統）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端：移動終端管理系統、移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備、控制設備、業(yè)務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等1）應核查是否開啟了安全審計功能；2）應核查安全審計范圍是否覆蓋到每個用戶；3）應核查是否對重要的用戶行為和重要安全事件進行審計審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功終端和服務器等設備中的操作系統（包括宿主機和虛擬機操作系統）、網絡設應核查審計記錄信息是否包括事件的日期和時間、用戶、事件類型、事

安全子類測評項測評對象測評檢查內容及其他與審計相關的信息備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端：移動終端管理系統、移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備、控制設備、業(yè)務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等件是否成功及其他與審計相關的信息應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等終端和服務器等設備中的操作系統（包括宿主機和虛擬機操作系統）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端：移動終端管理系統、移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備、控制設備、業(yè)務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等1）應核查是否采取了保護措施對審計記錄進行保護；2）應核查是否采取技術措施對申計記錄進行定期備份，并核查其備份策略應對審計進程進行保護，防止未經授權的中斷終端和服務器等設備中的操作系統（包括宿主機和虛擬機操作系統）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端：移動終端管理系統、移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備、控制設備、業(yè)務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等應測試驗證通過非審計管理員的其他賬戶來中斷審計進程，驗證審計進程是否受到保護入侵防范應遵循最小安裝的原貝h僅安裝需要的組件和應用程序終端和服務器等設備中的操作系統（包括宿主機和虛擬機操作系統）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端、移動終端管理系統、移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備和控制設備等1）應核查是否遵循最小安裝原則；2）應核查是否未安裝非必要的組件和應用程序

安全子類測評項測評對象測評檢查內容應關閉不需要的系統服務、默認共享和高危端口終端和服務器等設備中的操作系統（包括宿主機和虛擬機操作系統）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端、移動終端管理系統、移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備和控制設備等1）應核查是否關閉了非必要的系統服務和默認共享；2）應核查是否不存在非必要的高危端口應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制終端和服務器等設備中的操作系統（包括宿主機和虛擬機操作系統）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端、移動終端管理系統、移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備和控制設備等應核查配置文件或參數是否對終端接入范圍進行限制應能發(fā)現可能存在的已知漏洞，并在經過充分測試評估后，及時修補漏洞:終端和服務器等設備中的操作系統（包括宿主機和虛擬機操作系統）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端、移動終端管理系統、移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備、控制設備、業(yè)務應用系統、數據庫管理系統、中間件和系統管理軟件等1）應通過漏洞掃描、滲透測試等方式核查是否不存在高風險漏洞；2）應核查是否在經過充分測試評估后及時修補漏洞應能夠檢測到對重要節(jié)點進行入侵的行為，并在發(fā)生嚴重入侵事件時提供報警終端和服務器等設備中的操作系統（包括宿主機和虛擬機操作系統）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備、移動終端、移動終端管理系統、移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備和控制設備等1）應訪談并核查是否有入侵檢測的措施；2）應核查在發(fā)生嚴重入侵事件時是否提供報警惡意代碼應采用免受惡意代碼攻終端和服務器等設備中的1）應核查是否安裝了防

安全子類測評項測評對象測評檢查內容防范擊的技術措施或主動免疫可信驗證機制及時識力別入侵和病毒行為，并將其有效阻斷操作系統（包括宿主機和虛擬機操作系統）、移動終端、移動終端管理系統、移動終端管理客戶端和控制設備等惡意代碼軟件或相應功能的軟件，定期進行升級和更新防惡意代碼庫；2）應核查是否采用主動免疫可信驗證技術及時識別入侵和病毒行為；3）應核查當識別入侵和病毒行為時是否將其有效阻斷數據備份恢復應提供重要數據的本地數據備份與恢復功能配置數據和業(yè)務數據1）應核查是否按照備份策略進行本地備份；2）應核查備份策略設置是否合理、配置是否正確；3）應核查備份結果是否與備份策略一致；4）應核查近期恢復測試記錄是否能夠進行正常的數據恢復應提供異地實時備份功能，利用通信網絡將重要數據實時備份至備份場地配置數據和業(yè)務數據應核查是否提供異地實時備份功能，并通過網絡將重要配置數據、重要業(yè)務數據實時備份至備份場地應提供重要數據處理系統的熱冗余，保證系統的高可用性重要數據處理系統應核查重要數據處理系統（包括邊界路由器、邊界防火墻、核心交換機、應用服務器和數據庫服務器等）是否采用熱冗余方式部署5、安全管理中心安全子類測評項測評對象測評檢查內容系統管理應對系統管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行系統管理操作，并對這些操作進行審計提供集中系統管理功能的系統1）應核查是否對系統管理員進行身份鑒別；2）應核查是否只允許系統管理員通過特定的命令或操作界面進行系統管理操作；3）應核查是否對系統管理的操作進行審計應通過系統管理員對系統的資源和運行進行配提供集中系統管理功能的系統應核查是否通過系統管理員對系統的資源和運

安全子類測評項測評對象測評檢查內容置、控制和管理，包括用戶身份、系統資源配置、系統加載和啟動、系統運行的異常處理、數據和設備的備份與恢復等行進行配置、控制和管理，包括用戶身份、資源配置、系統加載和啟動、系統運行的異常處理、數據和設備的備份與恢復等審計管理應對審計管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全審計操作，并對這些操作進行審計綜合安全審計系統、數據庫審計系統等提供集中審計功能的系統1）應核查是否對審計管理員進行身份鑒別；2）應核查是否只允許審計管理員通過特定的命令或操作界面進行安全審計操作；3）應核查是否對安全審計操作進行審計應通過審計管理員對審計記錄進行分析，并根據分析結果進行處理，包括根據安全審g略對審計記錄進行存儲、管理和查詢等綜合安全審計系統、數據庫審計系統等提供集中審計功能的系統應核查是否通過審計管理員對審計記錄進行分析，并根據分析結果進行處理，包括根據安全審計策略對審計記錄進行存儲、管理和查詢等安全管理應對安全管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全管理操作，并對這些操作進行審計提供集中安全管理功能的系統1）應核查是否對安全管理員進行身份鑒別；2）應核查是否只允許安全管理員通過特定的命令或操作界面進行安全審計操作；3）應核查是否對安全管理操作進行審計應通過安全管理員對系統中的安全策略進行配置，包括安全參數的設置，主體、客體進行統一安全標記，對主體進行授權，配置可信驗證策略等提供集中安全管理功能的系統應核查是否通過安全管理員對系統中的安全策略進行配置，包括安全參數的設置，主體、客體進行統一安全標記，對主體進行授權，配置可信驗證策略等集中管控應劃分出特定的管理區(qū)域，對分布在網絡中的安全設備或安全組件進行管控網絡拓撲1）應核查是否劃分出單獨的網絡區(qū)域用于部署安全設備或安全組件；2）應核查各個安全設備或安全組件是否集中部署在單獨的網絡區(qū)域內應能夠建立一條安全的信息傳輸路徑，對網絡路由器、交換機和防火墻等設備或相關組件1）應核查是否米用安全方式（如SSH、HTTPS、

安全子類測評項測評對象測評檢查內容中的安全設備或安全組件進行管理IPSecVPN等）對安全設備或安全組件進行管理；2）應核查是否使用獨立的帶外管理網絡對安全設備或安全組件進行管理應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監(jiān)測綜合網管系統等提供運行狀態(tài)監(jiān)測功能的系統1）應核查是否部署了具備運行狀態(tài)監(jiān)測功能的系統或設備，能夠對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監(jiān)測；2）應測試驗證運行狀態(tài)監(jiān)測系統是否根據網絡鏈路、安全設備、網絡設備和服務器等的工作狀態(tài)、依據設定的閥值（或默認閥值）實時報警應對分散在各個設備上的審計數據進行收集匯總和集中分析，并保證審計記錄的留存時間符合法律法規(guī)要求綜合安全審計系統、數據庫審計系統等提供集中審計功能的系統1）應核查各個設備是否配置并啟用了相關策略，將審計數據發(fā)送到獨立于設備自身的外部集中安全審計系統中；2）應核查是否部署統一的集中安全審計系統，統一收集和存儲各設備日志，并根據需要進行集中審計分析；3）應核查審計記錄的留存時間是否全少為6個月應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理提供集中安全管控功能的系統1）應核查是否能夠對安全策略（如防火墻訪問控制策略、入侵保護系統防護策略、WAF安全防護策略等）進行集中管理；2）應核查是否實現對操作系統防惡意代碼系統及網絡惡意代碼防護設備的集中管理，實現對防惡意代碼病毒規(guī)則庫的升級進行集中管理；3）應核查是否實現對各個系統或設備的補丁升級進

安全子類測評項測評對象測評檢查內容行集中管理應能對網絡中發(fā)生的各類安全事件進行識別、報警和分析提供集中安全管控功能的系統1）應核查是否部署了相關系統平臺能夠對各類安全事件進行分析并通過聲光等方式實時報警；2）應核查監(jiān)測范圍是否能夠覆蓋網絡所有關鍵路徑6、安全管理制度安全子類測評項測評對象測評檢查內容安全策略應制定網絡安全工作的總體方針和安全策略，闡明機構安全工作的總體目標、范圍、原則和安全框架等總體方針策略類文檔應核查網絡安全工作的總體方針和安全策略文件是否明確機構安全工作的總體目標、范圍、原則和各類安全策略管理制度應對安全管理活動中的各類管理內容建立安全管理制度安全管理制度類文檔應核查各項安全管理制度是否覆蓋物理、網絡、主機系統、數據、應用、建設和運維等管理內容應對管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程操作規(guī)程類文檔應核查是否具有日常管理操作的操作規(guī)程，如系統維護手冊和用戶操作規(guī)程等應形成由安全策略、管理制度、操作規(guī)程、記錄表單等構成的全面的安全管理制度體系總體方針策略類文檔、管理制度類文檔、操作規(guī)程類文檔和記錄表單類文檔應核查總體方針策略文件、管理制度和操作規(guī)程、記錄表單是否全面且具有關聯性和一致性制定和發(fā)布應指定或授權專門的部門或人員負責安全管理制度的制定部門/人員職責文件等應核查是否由專門的部門或人員負責制定安全管理制度安全管理制度應通過正式、有效的方式發(fā)布，并進行版本控制管理制度類文檔和記錄表單類文檔1）應核查制度制定和發(fā)布要求管理文檔是否說明安全管理制度的制定和發(fā)布程序、格式要求及版本編號等相關內容；2）應核查安全管理制度的收發(fā)登記記錄是否通過正式、有效的方式收發(fā)，如正式發(fā)文、領導簽署和單位蓋章等評審和修應定期對安全管理制度信息/網絡安全主管和記1）應訪談信息/網絡安

安全子類測評項測評對象測評檢查內容訂的合理性和適用性進行論證和審定，對存在不足或需要改進的安全管理制度進行修訂錄表單類文檔全主管是否定期對安全管理制度的合理性和適用性進行審定；2）應核查是否具有安全管理制度的審定或論證記錄，如果對制度做過修訂，核查是否有修訂版本的安全管理制度7、安全管理機構安全子類測評項測評對象測評檢查內容崗位設置應成立指導和管理網絡安全工作的委員會或領導小組，其最高領導由單位主管領導擔任或授權信息/網絡安全主管、管理制度類文檔和記錄表單類文檔1）應訪談信息/網絡安全主管是否成立了指導和管理網絡安全工作的委員會或領導小組；2）應核查相關文檔是否明確了網絡安全工作委員會或領導小組構成情況和相關職責；3）應核查委員會或領導小組的最高領導是否由單位主管領導擔任或由其進行了授權應設立網絡安全管理工作的職能部門，設立安全主管、安全管理各個方面的負責人崗位，并定義各負責人的職責信息/網絡安全主管和管理制度類文檔1）應訪談信息/網絡安全主管是否設立網絡安全管理工作的職能部門；2）應核查部門職責文檔是否明確網絡安全管理工作的職能部門和各負責人職責；3）應核查崗位職責文檔是否有崗位劃分情況和崗位職責應設立系統管理員、審計管理員和安全管理員等崗位，并定義部門及各個工作崗位的職責信息/網絡安全主管和管理制度類文檔1）應訪談信息/網絡安全主管是否進行了安全管理崗位的劃分；2）應核查崗位職責文檔是否明確了各部門及各崗位

安全子類測評項測評對象測評檢查內容職責人員配備應配備一定數量的系統管理員、審計管理員和安全管理員等信息/網絡安全主管和記錄表單類文檔1）應訪談信息/網絡安全主管是否配備系統管理員、審計管理員和安全管理員；2）應核查人員配備文檔是否明確各崗位人員配備情況授權和審批應根據各個部門和崗位的職責明確授權審批事項、審批部門和批準人等管理制度類文檔和記錄表單類文檔1）應核查部門職責文檔是否明確各部門審批事項；2）應核查崗位職責文檔是否明確各崗位審批事項應針對系統變更、重要操作、物理訪問和系統接入等事項建立審批程序，按照審批程序執(zhí)行審批過程，對重要活動建立逐級審批制度操作規(guī)程類文檔和記錄表單類文檔1）應核查系統變更、重要操作、物理訪問和系統接入等事項的操作規(guī)范是否明確建立了逐級審批程序；2）應核查審批記錄、操作記錄，審批結果是否與相關制度一致應定期審查審批事項，及時更新需授權和審批的項目、審批部門和審批人等信息信息/網絡安全主管和記錄表單類文檔1）應訪談信息/網絡安全主管是否對各類審批事項進行更新；2）應核查是否具有定期審查審批事項的記錄溝通和合作應加強各類管理人員、組織內部機構和網絡安全管理部門之間的合作與溝通，定期召開協調會議，共同協作處理網絡安全問題信息/網絡安全主管和記錄表單類文檔1）應訪談信息/網絡安全主管是否建立了各類管理人員、組織內部機構和網絡安全管理部門之間的合作與溝通機制；2）應核查會議記錄是否明確各類管理人員、組織內部機構和網絡安全管理部門之間開展了合作與溝通應加強與網絡安全職能部門、各類供應商、業(yè)界專家及安全組織的合作與溝通信息/網絡安全主管和記錄表單類文檔1）應訪談信息/網絡安全主管是否建立了與網絡安全職能部門、各類供

安全子類測評項測評對象測評檢查內容應商、業(yè)界專家及安全組織的合作與溝通機制；2）應核查會議記錄是否與網絡安全職能部門、各類供應商、業(yè)界專家及安全組織開展了合作與溝通應建立外聯單位聯系列表，包括外聯單位名稱、合作內容、聯系人和聯系方式等信息記錄表單類文檔應核查外聯單位聯系列表是否記錄了外聯單位名稱、合作內容、聯系人和聯系方式等信息審核和檢查應定期進行常規(guī)安全檢查，檢查內容包括系統日常運行、系統漏洞和數據備份等情況信息/網絡安全主管和記錄表單類文檔1）應訪談信息/網絡安全主管是否定期進行了常規(guī)安全檢查；2）應核查常規(guī)安全檢查記錄是否包括了系統日常運行、系統漏洞和數據備份等情況應定期進行全面安全檢查，檢查內容包括現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等信息/網絡安全主管和記錄表單類文檔1）應訪談信息/網絡安全主管是否定期進行了全面安全檢查；2）應核查全面安全檢查記錄是否包括了現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等應制定安全檢查表格實施安全檢查，匯總安全檢查數據，形成安全檢查報告，并對安全檢查結果進行通報記錄表單類文檔應核查是否具有安全檢查表格、安全檢查紀錄、安全檢查報告、安全檢查結果通報記錄8、安全管理人員安全子類測評項測評對象測評檢查內容人員錄用應指定或授權專門的部門或人員負責人員錄用信息/網絡安全主管應訪談信息/網絡安全主管是否由專門的部門或人員負責人員的錄用

安全子類測評項測評對象測評檢查內容工作應對被錄用人員的身份、安全背景、專業(yè)資格或資質等進行審查，對其所具有的技術技能進行考核管理制度類文檔和記錄表單類文檔1）應核查人員安全管理文檔是否說明錄用人員應具備的條件（如學歷、學位要求，技術人員應具備的專業(yè)技術水平，管理人員應具備的安全管理知識等）；2）應核查是否具有人員錄用時對錄用人身份、安全背景、專業(yè)資格或資質等進行審查的相關文檔或記錄，是否記錄審查內容和審查結果等；3）應核查人員錄用時的技能考核文檔或記錄是否記錄考核內容和考核結果等應與被錄用人員簽署保密協議，與關鍵崗位人員簽署崗位責任協議記錄表單類文檔1）應核查保密協議是否有保密范圍、保密責任、違約責任、協議的有效期限和責任人的簽字等內容；2）應核查崗位安全協議是否有崗位安全責任定義、協議的有效期限和責任人簽字等內容人員離崗應及時終止離崗人員的所有訪問權限，取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備記錄表單類文檔應核查是否具有離崗人員終止其訪問權限、交還身份證件、軟硬件設備等的登記記錄應辦理嚴格的調離手續(xù)，并承諾調離后的保密義務后方可離開管理制度類文檔和記錄表單類文檔1）應核查人員離崗的管理文檔是否規(guī)定了人員調離手續(xù)和離崗要求等；2）應核查是否具有按照離岡程序辦理調離手續(xù)的記錄；3）應核查保密承諾文檔是否有調離人員的簽字

安全子類測評項測評對象測評檢查內容安全意識教育和培訓應對各類人員進行安全意識教育和崗位技能培訓，并告知相關的安全責任和懲戒措施管理制度類文檔1）應核查安全意識教育及崗位技能培訓文檔是否明確培訓周期、培訓方式、培訓內容和考核方式等相關內容；2）應核查安全責任和懲戒措施官理文檔或培訓文檔是否包含具體的安全責任和懲戒措施應針對不同崗位制定不同的培訓計劃，對安全基礎知識、崗位操作規(guī)程等進行培訓記錄表單類文檔1）應核查安全教育和培訓計劃文檔是否具有不同崗位的培訓計劃；2）應核查培訓內容是否包含安全基礎知識、崗位操作規(guī)程等；3）應核查安全教育和培訓記錄是否有培訓人員、培訓內容、培訓結果等描述應定期對不同崗位的人員進行技能考核記錄表單類文檔應核查是否具有針對各崗位人員的技能考核記錄外部人員訪問管理應在外部人員物理訪問受控區(qū)域前先提出書面申請，批準后由專人全程陪同，并登記備案管理制度類文檔和記錄表單類文檔1）應核查外部人員訪問管理文檔是否明確允許外部人員訪問的范圍、外部人員進入的條件、外部人員進入的訪問控制措施等；2）應核查外部人員訪問重要區(qū)域的書面申請文檔是否具有批準人允許訪問的批準簽字等；3）應核查外部人員訪問重要區(qū)域的登記記錄是否記錄了外部人員訪問重要區(qū)域的進入時間、離開時間、訪問區(qū)域及陪同人等；4）應核查外部人員訪問管理文檔

安全子類測評項測評對象測評檢查內容是否明確允許外部人員訪問的范圍、外部人員進入的條件、外部人員進入的訪問控制措施等；5）應核查外部人員訪問重要區(qū)域的書面申請文檔，是否具有批準人允許訪問的批準簽字等；6）應核查外部人員訪問重要區(qū)域的登記記錄是否記錄了外部人員訪問重要區(qū)域的進入時間、離開時間、訪問區(qū)域及陪同人等應在外部人員接入受控網絡訪問系統前先提出書面申請，批準后由專人開設賬戶、分配權限，并登記備案管理制度類文檔和記錄表單類文檔1）應核查外部人員訪問管理文檔是否明確外部人員接入受控網絡前的申請審批流程；2）應核查外部人員訪問系統的書面申請文檔是否明確外部人員的訪問權限，是否具有允許訪問的批準簽字等；3）應核查外部人員訪問系統的登記記錄是否記錄了外部人員訪問的權限、時限、賬戶等外部人員離場后應及時清除其所有的訪問權限管理制度類文檔和記錄表單類文檔1）應核查外部人員訪問管理文檔是否明確外部人員離開后及時清除其所有訪問權限；2）應核查外部人員訪問系統的登記記錄是否記錄了訪問權限清除時間獲得系統訪問授權的外部人員應簽署保密協議，不得進行非授權操作，不得復制和泄露任何敏感信息記錄表單類文檔應核查外部人員訪問保密協議是否明確人員的保密義務（如不得進行非授權操作，不得復制信息

安全子類測評項測評對象測評檢查內容等）9、安全建設管理安全子類測評項測評對象測評檢查內容定級和備案應以書面的形式說明保護對象的安全保護等級及確定等級的方法和理由記錄表單類文檔應核查定級文檔是否明確保護對象的安全保護等級，是否說明定級的方法和理由應組織相關部門和有關安全技術專豕對定級結果的合理性和正確性進行論證和審定記錄表單類文檔應核查定級結果的論證評審會議記錄是否有相關部門和有關安全技術專家對定級結果的論證意見應確保定級結果經過相關部門的批準記錄表單類文檔應核查定級結果部門審批文檔是否有上級主管部門或本單位相關部門的審批意見應將備案材料報主管部門和相應公安機關備案記錄表單類文檔應核查是否具有公安機關出具的備案證明文檔安全方案設計應根據安全保護等級選擇基本安全措施，依據風險分析的結果補充和調整安全措施安全規(guī)劃設計類文檔應核查安全設計文檔是否根據安全保護等級選擇安全措施，是否根據安全需求調整安全措施應組織相關部門和有關安全專家對安全整體規(guī)劃及其配套文件的合理性和正確性進行論證和審定，經過批準后才能正式實施記錄表單類文檔應核查配套文件的論證評審記錄或文檔是否有相關部門和有關安全技術專家對總體安全規(guī)劃、安全設計方案等相關配套文件的批準意見和論證意見產品采購和使用應確保信息安全產品采購和使用符合國家的有關規(guī)定記錄表單類文檔應核查有關網絡安全產品是否符合國家的有關規(guī)定，如網絡安全產品獲得了銷售許可等應確保密碼產品與服務的采購和使用符合國家密碼主管部門的要求建設負責人和記錄表單類文檔1）應訪談建設負責人是否采用了密碼產品及其相關服務；

安全子類測評項測評對象測評檢查內容2）應核查密碼產品與服務的采購和使用是否符合國家密碼管理主管部門的要求應預先對產品進行選型測試，確定產品的候選范圍，并定期審定和更新候選產品名單記錄表單類文檔應核查是否具有產品選型測試結果文檔、候選產品采購清單及審定或更新的記錄自行軟件開發(fā)應將開發(fā)環(huán)境與實際運行環(huán)境物理分開，測試數據和測試結果受到控制建設負責人1）應訪談建設負責人自主開發(fā)軟件是否在獨立的物理環(huán)境中完成編碼和調試，與實際運行環(huán)境分開；2）應核查測試數據和結果是否受控使用應制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準則管理制度類文檔應核查軟件開發(fā)管理制度是否明確軟件設計、開發(fā)、測試和驗收過程的控制方法和人員行為準則，是否明確哪些開發(fā)活動應經過授權和審批應制定代碼編寫安全規(guī)范，要求開發(fā)人員參照規(guī)范編寫代碼管理制度類文檔應核查代碼編寫安全規(guī)范是否明確代碼安全編寫規(guī)則應具備軟件設計的相關文檔和使用指南，并對文檔使用進行控制軟件開發(fā)類文檔應核查是否具有軟件開發(fā)文檔和使用指南，并對文檔使用進行控制應保證在軟件開發(fā)過程中對安全性進行測試，在軟件安裝前對可能存在的惡意代碼進行檢測記錄表單類文檔應核查是否具有軟件安全測試報告和代碼審計報告，明確軟件存在的安全問題及可能存在的惡意代碼應對程序資源庫的修改、更新、發(fā)布進行授權和批準，并嚴格進行版本控制記錄表單類文檔應核查對程序資源庫的修改、更新、發(fā)布進行授權和審批的文檔或記錄是否有批準人的簽字應保證開發(fā)人員為專職建設負責人應訪談建設負責人開發(fā)

安全子類測評項測評對象測評檢查內容人員，開發(fā)人員的開發(fā)活動受到控制、監(jiān)視和審查人員是否為專職，是否對開發(fā)人員活動進行控制等外包軟件開發(fā)應在軟件交付前檢測其中可能存在的惡意代碼記錄表單類文檔應核查是否具有交付前的惡意代碼檢測報告應保證開發(fā)單位提供軟件設計文檔和使用指南操作規(guī)程類文檔和記錄表單類文檔應核查是否具有軟件開發(fā)的相關文檔，如需求分析說明書、軟件設計說明書等，是否具有軟件操作手冊或使用指南應保證開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門和隱蔽信道建設負責人和記錄表單類文檔1）應訪談建設負責人委托開發(fā)單位是否提供軟件源代碼；2）應核查軟件測試報告是否審查了軟件可能存在的后門和隱蔽信道測試驗收應制訂測試驗收方案，并依據測試驗收方案實施測試驗收，形成測試驗收報告記錄表單類文檔1）應核查工程測試驗收方案是否明確說明參與測試的部門、人員、測試驗收內容、現場操作過程等內容；2）應核查測試驗收報告是否有相關部門和人員對測試驗收報告進行審定的意見應進行上線前的安全性測試，并出具安全測試報告，安全測試報告應包含密碼應用安全性測試相關內容記錄表單類文檔應核查是否具有上線前的安全測試報告，報告應包含密碼應用安全性測試相關內容系統交付應制定交付清單，并根據交付清單對所交接的設備、軟件和文檔等進行清點記錄表單類文檔應核查交付清單是否說明交付的各類設備、軟件、文檔等應對負責運行維護的技術人員進行相應的技能培訓記錄表單類文檔應核查系統交付技術培訓記錄是否包括培訓內容、培訓時間和參與人員等應提供建設過程文檔和記錄表單類文檔應核查交付文檔是否包

安全子類測評項測評對象測評檢查內容運行維護文檔括建設過程文檔和運行維護文檔等，提交的文檔是否符合管理規(guī)定的要求等級測評應定期進行等級測評，發(fā)現不符合相應等級保護標準要求的及時整改運維負責人和記錄表單類文檔1）應訪談運維負責人本次測評是否為首次，若非首次，是否根據以往測評結果進行相應的安全整改；2）應核查是否具有以往等級測評報告和安全整改方案應在發(fā)生重大變更或級別發(fā)生變化時進行等級測評運維負責人和記錄表單類文檔1）應核查是否有過重大變更或級別發(fā)生過變化及是否進行相應的等級測評；2）應核查是否具有相應情況下的等級測評報告應確保測評機構的選擇符合同家有關規(guī)定等級測評報告和相關資質文件應核查以往等級測評的測評單位是否具有等級測評機構資質服務供應商管理應確保服務供應商的選擇符合國家的有關規(guī)定建設負責人應訪談建設負責人選擇的安全服務商是否符合國家有關規(guī)定應與選定的服務供應商簽訂相關協議，明確整個服務供應鏈各方需履行的網絡安全相關義務記錄表單類文檔應核查與服務供應商簽訂的服務合同或安全責任書是否明確了后期的技術支持和服務承諾等內容應定期監(jiān)督、評審和審核服務供應商提供的服務，并對其變更服務內容加以控制管理制度類文檔和記錄表單類文檔1）應核查是否具有服務供應商定期提交的安全服務報告；2）應核查是否定期審核評價服務供應商所提供的服務及服務內容變更情況，是否具有服務審核報告；

安全子類測評項測評對象測評檢查內容3）應核查是否具有服務供應商評價審核管理制度，明確針對服務供應商的評價指標、考核內容等10、安全運維管理安全子類測評項測評對象測評檢查內容環(huán)境管理應指定專門的部門或人員負責機房安全，對機房出入進行管理，定期對機房供配電、空調、溫濕度控制、消防等設施進行維護管理物理安全負責人和記錄表單類文檔1）應訪談物理安全負責人是否指定部門和人員負責機房安全管理工作，對機房的出入進行管理、對基礎設施（如空調、供配電設備、滅火設備等）進行定期維護；2）應核查部門或人員崗位職責文檔是否明確機房安全的責任部門及人員；3）應核查機房的出入登記記錄是否記錄來訪人員、來訪時間、離開時間、攜帶物品等信息；4）應核查機房的基礎設施的維護記錄是否記錄維護日期、維護人、維護設備、故障原因、維護結果等方面內容應建立機房安全管理制度，對有關物理訪問、物品進出和環(huán)境安全等方面的管理作出規(guī)定管理制度類文檔和記錄表單類文檔1）應核查機房安全管理制度是否覆蓋物理訪問、物品進出和環(huán)境安全等方面內容；2）應核查物理訪問、物品進出和環(huán)境安全等相關記錄是否與制度相符應不在重要區(qū)域接待來訪人員，不隨意放置含有敏感信息的紙檔文件和移動介質等管理制度類文檔和辦公環(huán)境1）應核查機房安全管理制度是否明確來訪人員的接待區(qū)域；

安全子類測評項測評對象測評檢查內容2）應核查辦公桌面上等位置是否未隨意放置了含有敏感信息的紙檔文件和移動介質等資產管理應編制并保存與保護對象相關的資產清單，包括資產責任部門、重要程度和所處位置等內容記錄表單類文檔應核查資產清單是否包括資產類別（含設備設施、軟件、文檔等）、資產責任部門、重要程度和所處位置等內容應根據資產的重要程度對資產進行標識管理，根據資產的價值選擇相應的管理措施資產管理員、管理制度類文檔和設備1）應訪談資產管理員是否依據資產的重要程度對資產進行標識，不同類別的資產在管理措施的選取上是否不同；2）應核查資產管理制度是否明確資產的標識方法以及不同資產的管理措施要求；3）應核查資產清單中的設備是否具有相應標識，標識方法是否符合2）相關要求應對信息分類與標識方法作出規(guī)定，并對信息的使用、傳輸和存儲等進行規(guī)范化管理管理制度類文檔1）應核查信息分類文檔是否規(guī)定了分類標識的原則和方法（如根據信息的重要程度、敏感程度或用途不同進行分類）；2）應核查信息資產管理辦法是否規(guī)定了不同類信息的使用、傳輸和存儲等要求設備維護管理應對各種設備（包括備份和冗余設備）、線路等指定專門的部門或人員定期進行維護管理設備管理員和管理制度類文檔1）應訪談設備管理員是否對各類設備、線路指定專人或者專門部門進行定期維護2）應核查部門或人員崗位職責文檔是否明確設

安全子類測評項測評對象測評檢查內容備維護管理的責任部門應建立配套設施、軟硬件維護方面的管理制度，對其維護進行有效管理，包括明確維護人員的責任、維修和服務的審批、維修過程的監(jiān)督控制等管理制度類文檔和記錄表單類文檔1）應核查設備維護管理制度是否明確維護人員的責任、維修和服務的審批、維修過程的監(jiān)督控制等方面內容2）應核查是否留有維修和服務的審批、維修過程的記錄，審批記錄內容是否與制度相符信息處理設備應經過審批才能帶離機房或辦公地點，含有存儲介質的設備帶出工作環(huán)境時其中重要數據應加密設備管理員和記錄表單類文檔1）應訪談設備管理員含有重要數據的設備帶出工作環(huán)境是否有加密措施；2）應訪談設備管理員對帶離機房的設備是否經過審批；3）應核查是否具有設備帶離機房或辦公地點的審批記錄含有存儲介質的設備在報廢或重用前，應進行完全清除或被安全覆蓋，保證該設備上的敏感數據和授權軟件無法被恢復重用設備管理員應訪談設備管理員含有存儲介質的設備在報廢或重用前，是否采取措施進行完全清除或被安全覆蓋漏洞和風險管理應采取必要的措施識別安全漏洞和隱患，對發(fā)現的安全漏洞和隱患及時進行修補或評估可能的影響后進行修補記錄表單類文檔1）應核查是否有識別安全漏洞和隱患的安全報告或記錄（如漏洞掃描報告、滲透測試報告和安全通報等）；2）應核查相關記錄是否對發(fā)現的漏洞及時進行修補或評估可能的影響后進行修補應定期開展安全測評，形成安全測評報告，采取措施應對發(fā)現的安全安全管理員和記錄表單類文檔1）應訪談安全管理員是否定期開展安全測評；2）應核查是否具有安全

安全子類測評項測評對象測評檢查內容問題測評報告；3）應核查是否具有安全整改應對措施文檔網絡和系統安全管理應劃分不同的管理員角色進行網絡和系統的運維管理，明確各個角色的責任和權限記錄表單類文檔應核查網絡和系統安全管理文檔，系統管理員是否劃分了不同角色，并定義各個角色的責任和權限應指定專門的部門或人員進行賬戶管理，對申請賬戶、建立賬戶、刪除賬戶等進行控制運維負責人和記錄表單類文檔1）應訪談運維負責人是否指定專人的部門或人員進行賬號管理2）應核查相關審批記錄和流程是否對申請賬戶、建立賬戶、刪除賬戶等進行控制應建立網絡和系統安全管理制度，對安全策略、帳戶管理、配置管理、日志管理、日常操作、升級與打補丁、口令更新周期等方面作出規(guī)定管理制度類文檔應核查網絡和系統安全管理制度是否覆蓋網絡和系統的安全策略、帳戶管理（用戶責任、義務、風險、權限審批、權限分配、賬戶注銷等）、配置文件的生成及備份、變更審批、授權訪問、最小服務、升級與打補丁、審計日志管理、登錄設備和系統口令更新周期等方面應詳細記錄運維操作日志，包括日常巡檢工作、運行維護記錄、參數的設置和修改等內容記錄表單類文檔應核查運維操作日志是否覆蓋網絡和系統的日常巡檢、運行維護、參數的設置和修改等內容應指定專門的部門或人員對日志、監(jiān)測和報警數據等進行分析、統計，及時發(fā)現可疑行為系統管理員和記錄表單類文檔1）應訪談網絡和系統相關人員是否指定專門部門或人員對日志、監(jiān)測析統計；2）應核查是否具有對日志、監(jiān)測和報警數據等進行分析統計的報告

安全子類測評項測評對象測評檢查內容應嚴格控制運維工具的使用，經過審批后才可接入進行操作，操作過程中應保留不可更改的審計日志，操作結束后應刪除工具中的敏感數據系統管理員和記錄表單類文檔1）應訪談系統管理員使用運維工具結束后是否刪除工具中的敏感數據；2）應核查是否具有運維工具接入系統的審批記錄；3）應核查運維工具的審計日志記錄，審計日志是否不可以更改應嚴格控制遠程運維的開通，經過審批后才可開通遠程運維接口或通道，操作過程中應保留不可更改的審計日志，操作結束后立即關閉接口或通道系統管理員和記錄表單類文檔1）應訪談系統相關人員日常運維過程中是否存在遠程運維，若存在，遠程運維結束后是否立即關閉了接口或通道；2）應核查開通遠程運維的審批記錄；3）應核查針對遠程運維的審計日志是否不可以更改應保證所有與外部的連接均得到授權和批準，應定期檢查違反規(guī)定無線上網及其他違反網絡安全策略的行為安全管理員和記錄表單類文檔1）應訪談系統相關人員往來外聯連接（如互聯網、合作伙伴企業(yè)網、上級部門網絡等）是否都得到授權和批準2）應訪談網絡