控制點,安全要求,要求解讀,測評方法,預(yù)期結(jié)果或主要證據(jù)

環(huán)境管理,a)應(yīng)指定專門的部門或人是負(fù)責(zé)機(jī)房安全、對機(jī)房的出入進(jìn)行管理，定期對機(jī)房供配電、空調(diào)、溫濕度控制，消防等設(shè)施進(jìn)行維護(hù)管理,"機(jī)房是存放等級保護(hù)對象基礎(chǔ)設(shè)施的重要場所,要落實機(jī)房環(huán)境的管理責(zé)任人，因此要確保機(jī)房的運(yùn)行環(huán)境良好、安全，應(yīng)對機(jī)房環(huán)境進(jìn)行嚴(yán)格管理和控制","1)訪談物理安全負(fù)責(zé)人是否指定部門和人員負(fù)責(zé)機(jī)房安全管理工作，如對機(jī)房的出入進(jìn)行管理、對基礎(chǔ)設(shè)施(如空調(diào)、供配電設(shè)備、滅火設(shè)備等)進(jìn)行定期維護(hù)

2)核查來訪人員登記記錄

3)來訪人員記錄內(nèi)容是否包括了來訪人員、來訪時間、離開時間，攜帶物品等

4)核查設(shè)施維護(hù)記錄

S)設(shè)施維護(hù)記錄內(nèi)容是否包括了維護(hù)日期、維護(hù)人、維護(hù)設(shè)備、故障維護(hù)結(jié)果等","

1）指定部門和人員負(fù)責(zé)機(jī)房安全管理工作，如對機(jī)房的出入進(jìn)行管理，基礎(chǔ)設(shè)施(如空調(diào)、供配電設(shè)備、滅火設(shè)備等)進(jìn)行定期維護(hù)

2)具有來訪人員登記記錄

3)來訪人員記錄內(nèi)容包括了來訪人員、來訪時間、離開時間、攜帶物品等

4)具有設(shè)施維護(hù)記錄護(hù)結(jié)果等

5)設(shè)施維護(hù)記界內(nèi)容包格了維護(hù)日期、維護(hù)人、維護(hù)設(shè)備、故障原因、維護(hù)結(jié)果等"

,b)應(yīng)建立機(jī)房安全管理制度，對有關(guān)物理訪問、物品進(jìn)出和環(huán)境安全等方面的管理作出規(guī)定,為保證系統(tǒng)有個良好安會的運(yùn)行環(huán)境，應(yīng)針對機(jī)房建立管理規(guī)定或要求,"1)核查機(jī)房安全管理制度

2)制度內(nèi)容是否包括了機(jī)房物理訪問、物品帶進(jìn)帶出機(jī)房和機(jī)房環(huán)境安全等

3)核查機(jī)房物理訪問、物品帶進(jìn)帶出機(jī)房和機(jī)房環(huán)境安全等相關(guān)記錄","1)具有機(jī)房安全管理制度

2)制度內(nèi)容包括了機(jī)房物理訪問、物品帶進(jìn)帶出機(jī)房和機(jī)房環(huán)境安全

3)具有機(jī)房物理訪問，物品帶進(jìn)帶出機(jī)房和機(jī)房環(huán)境安全等相關(guān)記錄"

,c)應(yīng)不在重要區(qū)域接待來訪人員，不隨意放置含有敏感信息的紙質(zhì)文件和移動介質(zhì)等,加強(qiáng)內(nèi)部辦公環(huán)境的管理是控制網(wǎng)絡(luò)安全風(fēng)險的措施之一，為保證內(nèi)部辦公環(huán)境的獨立性、敏感性，應(yīng)降低外部人員無意或有意訪問內(nèi)部區(qū)域的可能性，同時杜絕都員工因無意行為而泄露敏感文檔而導(dǎo)致網(wǎng)絡(luò)安全事件的發(fā)生,"1)核查辦公環(huán)境的安全管理制度

2)制度內(nèi)容是否明確了來訪人員的接待區(qū)域

3)核查員工的辦公桌面上是否合有敏感信息的紙質(zhì)文件和移動介質(zhì)","

1)具有辦公環(huán)境的安全管理制度

2）制度內(nèi)容明確了來訪人員的接待區(qū)域

3)員工的辦公桌面上是否合有敏感信息的紙質(zhì)文件和移動介質(zhì)"

資產(chǎn)管理,a)應(yīng)編制并保存與保護(hù)對象相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容,等級保護(hù)對象資產(chǎn)種類較多，如保護(hù)對象的資產(chǎn)管理比較混亂，容易導(dǎo)致等級保護(hù)對象發(fā)生安全問題或不利于發(fā)生安全問題時有效應(yīng)急,"1)核查資產(chǎn)清單

2)資產(chǎn)清單內(nèi)容是否包括了資產(chǎn)范圍(含設(shè)備設(shè)施、軟件、文檔等）、資產(chǎn)責(zé)任部門、重要程度和所處位置等","1)具有資產(chǎn)清單

2)資產(chǎn)清單內(nèi)容包括了資產(chǎn)范圍(含設(shè)備設(shè)施、軟件、文檔等)任部門、重要程度和所處位置等"

,b)根據(jù)資產(chǎn)的重要程度對資產(chǎn)進(jìn)行標(biāo)識管理，根據(jù)資產(chǎn)的價值選擇相應(yīng)的管理措施,信息資產(chǎn)的重要程度不同，在系統(tǒng)中所起的作用也不盡相同，應(yīng)綜合考慮資產(chǎn)的價值、在系統(tǒng)件的地位，作用等因素，按照重要程度高低對資產(chǎn)進(jìn)行分類、分級管理，分類的原則應(yīng)在相關(guān)文檔中選行明確，且需明確重要資產(chǎn)和非重要資產(chǎn)在資產(chǎn)管理環(huán)節(jié)(如入庫、維修、出庫)的不同要求,"1)核查資產(chǎn)管理制度

2)制度內(nèi)容是否包括了資產(chǎn)的標(biāo)識方法以及不同資產(chǎn)的管理措施要求

3)核查資產(chǎn)清單中的設(shè)備是否具有相應(yīng)的標(biāo)識

4)核查資產(chǎn)清單中的設(shè)備上的標(biāo)識方法是否符合相關(guān)要求","1)具有資產(chǎn)管理制度

2)制度內(nèi)容包括了資產(chǎn)的標(biāo)識方法以及不同資產(chǎn)的管理措施要求

3)資產(chǎn)清單中的設(shè)備具有相應(yīng)的標(biāo)識

4)資產(chǎn)清單中的設(shè)備上的標(biāo)識方法符合相關(guān)要求"

,c）應(yīng)對信息分類與標(biāo)識方法作出規(guī)定，并對信息的使用，傳輸和存儲等進(jìn)行規(guī)范化管理,信息作為資產(chǎn)的一種，可根據(jù)其所屬的類別不同，重要程度不同進(jìn)行信息的整理分類(一般可分為:敏感、內(nèi)部公開、對外公開等不同類別），不同類別的信息在使用、傳輸和存儲等方面管理要求也應(yīng)不同,"1)核查安全管理制度中是否明確了對信息進(jìn)行分類與標(biāo)識的原則和方法

2)核查安全管理制度中是否明確了對不同類信息的使用、傳輸和存儲等操作的要求","

1）安全管理制度中具有對信息進(jìn)行分類與標(biāo)識的原則和方法

2)安全管理制度中具有對不同類信息的使用、傳輸和存儲等操作的要求。"

介質(zhì)管理,a)應(yīng)將介質(zhì)存放在安全的環(huán)境中，對各類介質(zhì)進(jìn)行控制和保護(hù)，實行存儲介質(zhì)專人管理，并根據(jù)存檔介質(zhì)的目錄清單定期查點,介質(zhì)類型可包括紙介質(zhì)、磁介質(zhì)、光介質(zhì)等，由于存儲介質(zhì)是用來存放系統(tǒng)相關(guān)數(shù)據(jù)的，因此，介質(zhì)管理工作非常重要，如果管理不善，可能會造成數(shù)據(jù)的丟失或損壞，應(yīng)為存儲介質(zhì)提供安全的存放環(huán)境并進(jìn)行妥善的管控,"1)訪談資產(chǎn)管理員/存儲介質(zhì)管理員當(dāng)前使用的存儲介質(zhì)類型或數(shù)據(jù)存儲方式

2)訪談資產(chǎn)管理員/存儲介質(zhì)管理員當(dāng)前使用的存儲介質(zhì)是否指派專人管理

3)核查存儲介質(zhì)(主要指移動存儲介質(zhì)，如脫機(jī)的硬盤、光盤、移動硬盤、U盤等)管理記錄，記錄內(nèi)容是否包括了使用、歸還、歸檔等","

1）存儲介質(zhì)存放在指定的環(huán)境中

2)指定了部門或人員負(fù)責(zé)存儲介質(zhì)的管理

3)定期對存儲介質(zhì)進(jìn)行盤點"

,b)應(yīng)對介質(zhì)的物理傳輸過程中的人員選擇、打包、交付等情況進(jìn)行控制，并對介質(zhì)的歸等進(jìn)行登記記錄,需系統(tǒng)存在離線的存儲備份介質(zhì)應(yīng)對其進(jìn)行管控，如對介質(zhì)進(jìn)行兩地傳輸時，應(yīng)遵循一定的管理要求，應(yīng)選擇可靠的傳送人員，并對打包交付過程簽字確認(rèn)等,"1)訪談資產(chǎn)管理員/存儲介質(zhì)管理員是否在存儲介質(zhì)的物理傳輸情況，如脫機(jī)的硬盤、光盤、移動硬盤、U盤等的物理傳輸

2)如有存儲介質(zhì)的物理傳輸，核查安全管理制度是否明確了物理傳輸過程的管理要求

3)核查物理介質(zhì)傳輸?shù)墓芾碛涗?，記錄?nèi)容是否包括了執(zhí)行人、存儲介質(zhì)信息、存儲介質(zhì)打包、存儲介質(zhì)交付、存儲介質(zhì)歸檔、存儲介質(zhì)查詢等","

1)安全管理制度中具有介質(zhì)在物理傳輸時的管理流程和要求

2)物理介質(zhì)傳輸?shù)墓芾碛涗洠涗泝?nèi)容包括了執(zhí)行人、存儲介質(zhì)信息、存儲介質(zhì)信打包、存儲介質(zhì)交付、存儲介質(zhì)歸檔、存儲介質(zhì)查詢等"

設(shè)備維護(hù)管理,a)應(yīng)對各種設(shè)備(包括備份和冗余設(shè)備)、線路等指定專門的部門成人員定期進(jìn)行維護(hù)管理,對設(shè)備進(jìn)行有效的維護(hù)管理，在一定程度上可降低系統(tǒng)發(fā)生安全問題的概率，應(yīng)明確設(shè)備管理的責(zé)任部門或人員,"1）訪談設(shè)備管理員是否指派部門或?qū)Ｈ藢Ω黝愒O(shè)施、設(shè)備進(jìn)行定期維護(hù)管理

2)核查部門職責(zé)或人員崗位職責(zé)文檔是否明確了設(shè)施、設(shè)備的維護(hù)管理責(zé)任","

1)指定部門或人員對各類設(shè)施進(jìn)行定期維護(hù)

2)部門職責(zé)或人員崗位職責(zé)具有文檔具有設(shè)備維護(hù)管理責(zé)任"

,b)應(yīng)建立配套設(shè)施、軟硬件維護(hù)方面的管理制度。對其維護(hù)進(jìn)行有效管理，包括明確維護(hù)人員的責(zé)任、維修和服務(wù)的審批、維修過程的監(jiān)督控制等,系統(tǒng)的正常運(yùn)行依賴于對設(shè)備的正確使用和維護(hù)。為了保證對設(shè)備的正確使用和維護(hù)，應(yīng)建立相應(yīng)的管理規(guī)定或要求，相關(guān)人員必須嚴(yán)格按照規(guī)定要求對設(shè)備進(jìn)行使用和維護(hù)，并認(rèn)真做好使用和維護(hù)記錄,"1)核查設(shè)備維護(hù)管理制度是否明確維護(hù)人員的責(zé)任、維修和服務(wù)的審批、維修過程的監(jiān)督控制等方面內(nèi)容

2)核查是否留有維修和服務(wù)的審批、維修過程等記錄，審批、記錄內(nèi)容是否與制度相符","1）具有設(shè)備維護(hù)管理方面的制度，在制度中明確了維護(hù)人員的責(zé)任、維修和服務(wù)的審批、維修過程的監(jiān)督控制等方面內(nèi)容

2)具有維修和服務(wù)的審批、維修過程等記錄，審批、記錄內(nèi)容是否與制度相符"

,c)信息處理設(shè)備應(yīng)經(jīng)過審批才能帶離機(jī)房或辦公地點，含有存儲介質(zhì)的設(shè)備帶出工作環(huán)境時其中重要數(shù)據(jù)應(yīng)加密,"信息處理設(shè)備的流轉(zhuǎn)容易引起信息泄露的風(fēng)險，必須嚴(yán)加管控,因此信息處理設(shè)備帶離機(jī)房或辦公等常規(guī)使用的地點時必須經(jīng)過審批或采取加密的管控措施","1）核查設(shè)備帶離機(jī)房的審批流程

2)核查設(shè)備帶離機(jī)房或辦公的審批記錄

3)核查含有存儲介質(zhì)的設(shè)備帶離機(jī)房的記錄，記錄中是否有對重要數(shù)據(jù)的加密措施","

1)具有設(shè)備帶離機(jī)房的審批流程

2)具有設(shè)備帶離機(jī)房或辦公的審批記錄

3)重要數(shù)據(jù)的存儲介質(zhì)帶出工作環(huán)境時采取XX加密措施后方可帶離辦公環(huán)境"

,含有存儲介質(zhì)的設(shè)備在報廢或重用前，應(yīng)進(jìn)行完全清除或被安全覆蓋，保證該設(shè)備上的敏感數(shù)據(jù)和授權(quán)軟件無法被恢復(fù)重用,"

存儲介質(zhì)在報廢或重用時，容易引起敏感信息的泄露，應(yīng)采取相應(yīng)的處理的措施施",核查含有存儲介質(zhì)的設(shè)備在報廢或重用前所采取清除措施或安全覆蓋措施,"1)具有設(shè)備在報度或重用前，必須采取措施進(jìn)行處理的要求

2）具有相應(yīng)的處理記錄"

,"

d)應(yīng)來取必要的措施識別安全漏洞和隱患，對發(fā)現(xiàn)的安全漏洞和隱患及時進(jìn)行修補(bǔ)或評估可能的影響后進(jìn)行修補(bǔ)",安全漏洞和隱患是引起安全問題的主要根源，采取有效的措施來及時識別系統(tǒng)漏洞和隱患，并對識別出的漏洞和隱患根據(jù)評估的情況進(jìn)行修補(bǔ),"1)核查用來發(fā)現(xiàn)安全漏洞和隱患的措施

2)核查相關(guān)安全措施執(zhí)行后的報告或記錄

3)核查修復(fù)漏洞或消除隱患的操作記錄","

1)定期進(jìn)行漏洞掃描，對發(fā)現(xiàn)的漏洞及時進(jìn)行修補(bǔ)或評估可能的影響

2)具有漏洞掃描報告，報告描述了存在的漏洞、嚴(yán)重級別，原因分析和改進(jìn)意見等方面

3)漏洞報告的時間跟定期掃描的要求相符"

,e）應(yīng)定期開展安全測評，形成安全測評報告，采取措施應(yīng)對發(fā)現(xiàn)的安全問題,定期開展安全測評有利于及時發(fā)現(xiàn)系統(tǒng)潛在的安全問題，安全測評局限于風(fēng)險評估、等級測評，只要是通過對系統(tǒng)的全面測試評估方法,"1)核查以往開展安全測評所獲得的測評報告，確認(rèn)測評工作是否定期開展

2)核查安全整改工作相關(guān)的文檔，如整改方案、整改報告、工作總結(jié)等","1)具有安全測評報告

2)安全測評定期開展

3）具有安全整改工作相關(guān)的文檔，如整改方案、整改報告、工作總結(jié)等"

網(wǎng)絡(luò)和系統(tǒng)安全管理,a)應(yīng)劃分不同的管理員角色進(jìn)行網(wǎng)絡(luò)和系統(tǒng)的運(yùn)維管理，明確各個角色的責(zé)任和權(quán)限,沒有明確的責(zé)任和權(quán)限要求，容易發(fā)生泄職事件，因此要對管理員進(jìn)行明確的劃分并進(jìn)行崗位職責(zé)的定義,"1)核查管理員職責(zé)文檔，確認(rèn)是否劃分了不同的管理員角色

2)核查管理員職責(zé)文檔，確認(rèn)是否明確了各個角色的責(zé)任和權(quán)限","1)管理員職責(zé)劃分了不同的管理員角色

2)管理員職責(zé)明確了各個角色的責(zé)任和權(quán)限"

,b)應(yīng)指定專門的部門或人員進(jìn)行賬戶管理，對申請賬戶、建立賬戶、刪除賬戶進(jìn)行控制,賬戶管理應(yīng)由專門的部門或人員來負(fù)責(zé)，并對賬戶的生命周期進(jìn)行管控,"1)訪談運(yùn)維負(fù)責(zé)人指派哪個部門或人員進(jìn)行賬戶管理，含網(wǎng)絡(luò)層面、系統(tǒng)面、數(shù)據(jù)庫層面、業(yè)務(wù)應(yīng)用層面

2)核查賬戶管理記錄，記錄內(nèi)容是否包括了賬戶申請、建立、停用、刪除、重置等相關(guān)的審批情況。","

1)指定了某部門(某崗)負(fù)責(zé)賬戶的管理工作

2)有相關(guān)審批記錄或流程，對申請賬戶、建立賬戶、刪除賬戶進(jìn)行有效控制"

,c)應(yīng)建立網(wǎng)絡(luò)和系統(tǒng)安全管理制度，對安全策略、賬戶管理、配置管理、日志管理、日常操作、升級與補(bǔ)丁、口令周期更新等方面做出規(guī)定,對系統(tǒng)和網(wǎng)絡(luò)安全管理缺乏規(guī)范性指導(dǎo)或規(guī)范性指導(dǎo)規(guī)定不一致，容易造成人員讀職或無作為，因此對網(wǎng)絡(luò)和系統(tǒng)安全應(yīng)建立相應(yīng)的管理策略和規(guī)程類的管理要求,"1)核查網(wǎng)絡(luò)和系統(tǒng)安全管理制度

2)制度內(nèi)容是否包括了安全策略、賬戶管理(用戶責(zé)任，義務(wù)，風(fēng)險、權(quán)限審批、權(quán)限分配、賬戶注銷等)、配置文件的生成及備份、變更審批、授權(quán)訪問、最小服務(wù)、升級與補(bǔ)丁。、計日志管理、登錄設(shè)備和系統(tǒng)的口令更新周期等","

1)具有網(wǎng)絡(luò)和系統(tǒng)安全管理制度

2）制度內(nèi)容至少包括了安全策略、賬戶管理(用戶責(zé)任，義務(wù)，風(fēng)險、權(quán)限審批、權(quán)限分配、賬戶注銷等)、配置文件的生成及備份、變更審批、授權(quán)訪問、最小服務(wù)、升級與補(bǔ)丁。、計日志管理、登錄設(shè)備和系統(tǒng)的口令更新周期等"

,d)應(yīng)制定重要設(shè)備的配置和操作手冊，依據(jù)手冊對設(shè)備進(jìn)行安全配置和優(yōu)化配置等,配置規(guī)范和配置基線是保障等級保護(hù)對象安全運(yùn)行的基本前提，應(yīng)對設(shè)備的配置和操作建立操作規(guī)范和配置基線,"1)核查重要設(shè)備的配置和保作手冊，重要設(shè)備如操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用和組件等

2)手冊內(nèi)容是否包括了操作步聚、維護(hù)記錄、參數(shù)配置等","

1)具有重要設(shè)備的配置和操作手冊，如操件系統(tǒng)，數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用和組件等的配置和操作手冊

2)手冊內(nèi)容至少包括了操作步聚，維護(hù)記錄、參數(shù)配置等"

,e)應(yīng)詳細(xì)記錄運(yùn)維操作日志，包括日常巡檢工作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置、修改等內(nèi)容,運(yùn)維操作日志缺失，不利于安全事件的回溯或追蹤，因此要對日常的記錄運(yùn)維操作日志進(jìn)行詳細(xì)的記錄,"1)核查運(yùn)維操作日志

2)日志內(nèi)容是否包括了網(wǎng)絡(luò)和系統(tǒng)的日常巡檢、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置、修改等內(nèi)容","

1)具有運(yùn)維操作日志

2)日志內(nèi)容至少包括了網(wǎng)絡(luò)和系統(tǒng)的日常巡檢、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置、修改等內(nèi)容"

,f)應(yīng)指定專門的部門或人員對日志、監(jiān)測和報警數(shù)據(jù)等進(jìn)行分析、統(tǒng)計，及時發(fā)現(xiàn)可疑行為,沒有明確的職責(zé)要求，密易引起人員讀職或無作為，應(yīng)對日志、監(jiān)測、報警數(shù)據(jù)等指定專人負(fù)責(zé)和統(tǒng)計,"1)訪談網(wǎng)絡(luò)和系統(tǒng)相關(guān)人員是否指派部門或人員對日志、監(jiān)測和報警數(shù)據(jù)等進(jìn)行統(tǒng)計、分析

2）核查日志、監(jiān)測和報警數(shù)據(jù)的統(tǒng)計、分析的報告","

1)指派了部門或人員對對日志、監(jiān)測和報警數(shù)據(jù)等進(jìn)行統(tǒng)計、分析

2)具有日志、監(jiān)測和報警數(shù)據(jù)的統(tǒng)計、分析的報告"

,"g)應(yīng)嚴(yán)格控制變更性運(yùn)維，經(jīng)過審批后才可改變連接、安裝系統(tǒng)組件或調(diào)整配置參數(shù)，操作過程中應(yīng)保留不可更改的審計日志,操作結(jié)束后應(yīng)同步更新配置信息庫",變更管理不當(dāng)，極易引起安全問題，對運(yùn)維過程中的變更操作需嚴(yán)格控制，變更的審批過程中保留痕跡，事后能夠更新變更內(nèi)容,"1)核查配置變更審批程序，如對改變連接、安裝系統(tǒng)組件或調(diào)整配置參數(shù)的審批流程

2)核查配置變更審計日志

3）核查配置變更記錄

4)核查配置信息庫更新記錄","1)具有配置變更審批程序，如對改變連接、安裝系統(tǒng)組件或調(diào)整配置參數(shù)的審批流程

2)核查配置變更審計日志

3）核查配置變更記錄

4)核查配置信息庫更新記錄"

,h）應(yīng)嚴(yán)格控制運(yùn)維工具的使用，經(jīng)過審批才可接入進(jìn)行操作，操作過程中應(yīng)保留不可更改的審計日志，操作結(jié)束后應(yīng)刪除工中的敏感數(shù)據(jù),IT運(yùn)維工具包括商業(yè)的專用運(yùn)維工具，也有自行開發(fā)運(yùn)維工具，無論采取哪種工具，都需進(jìn)行嚴(yán)格的管控,"1)核查運(yùn)維工具的使用審批程序

2)核查運(yùn)維工具的使用審批記錄

3)核查通過運(yùn)維工具執(zhí)行操作的審計日志","

1)具有運(yùn)維工具的使用審批程序

2)具有運(yùn)維工具的使用審批記錄

3)具有通過運(yùn)維工具執(zhí)行操作的審計日志"

,"i)應(yīng)嚴(yán)格控制遠(yuǎn)程運(yùn)維的開通，經(jīng)過審批后才可開通遠(yuǎn)程運(yùn)維接口或通道,操作過程中應(yīng)保留不可更改的審計日志，操作結(jié)束后立即關(guān)閉接口或通道,",遠(yuǎn)程運(yùn)維是系統(tǒng)安全的隱患之一，如遠(yuǎn)程控制不當(dāng)容易通成安全事件，應(yīng)對遠(yuǎn)程運(yùn)維的開通進(jìn)行嚴(yán)格的控制，如確實需要開通，需要對操作過程日志進(jìn)行留存并保證不可更改，運(yùn)維結(jié)束后即刻關(guān)閉,"1)核查遠(yuǎn)程運(yùn)維的方式，使用的端口或通道

2)核查開通遠(yuǎn)程運(yùn)維的審批程序

3)核查開通遠(yuǎn)程運(yùn)維的審批記錄

4)核查通過遠(yuǎn)程運(yùn)維執(zhí)行操作的審計日志","1)具有遠(yuǎn)程運(yùn)維的方式，使用的端口或通道

2)具有開通遠(yuǎn)程運(yùn)維的審批程序

3)具有開通遠(yuǎn)程運(yùn)維的審批記錄

4)具有通過遠(yuǎn)程運(yùn)維執(zhí)行操作的審計日志"

,j)應(yīng)保證所有與外部的連接均得到授權(quán)和批準(zhǔn)，應(yīng)定期的檢查違反規(guī)定無線上網(wǎng)及其他違反網(wǎng)絡(luò)安全策略的行為,對所有外部鏈接進(jìn)行管控，并且定期對違規(guī)外聯(lián)進(jìn)行檢查,"1)核查開通對外連接的審批程序

2)核查開通對外連接的審批記錄。

3)核查開展違反規(guī)定無線上網(wǎng)及其他違反網(wǎng)絡(luò)安全策略行為的檢查記錄","

1)具有開通對外連接的審批程序

2)具有開通對外連接的審批記錄。

3)具有開展違反規(guī)定無線上網(wǎng)及其他違反網(wǎng)絡(luò)安全策略行為的檢查記錄"

惡意代碼防范管理,a)應(yīng)提高所有用戶的防惡意代碼意識，對外來計算機(jī)或存儲設(shè)備接入系統(tǒng)前進(jìn)行惡意代碼檢查等,惡意代碼對等級保護(hù)對象的危害極大，并且傳播途徑有多種方式，提升所有用戶的防惡意代碼意識是規(guī)避惡意代碼發(fā)生概率的基本途徑。惡意代碼的防范不僅僅需要安裝防惡意代碼工具來解決，為有效預(yù)防惡意代碼的侵入，除了提高用戶的防惡意代碼象識外，還應(yīng)建立完美的惡意代碼管理制度并有效實施,"1)核查提升員工防惡意代碼意識的培訓(xùn)或宣傳記錄

2)核查惡意代碼防范管理制度

3)核查外來計算機(jī)或存儲設(shè)備接入系統(tǒng)前進(jìn)行惡意代碼檢查記錄","1)開展提升員工防惡意代碼意識的培訓(xùn)或宣傳記錄

2)具有惡意代碼防范管理制度

3)開展外來計算機(jī)或存儲設(shè)備接入系統(tǒng)前進(jìn)行惡意代碼檢查記錄"

,b)應(yīng)定期驗證防范惡意代碼攻擊的技術(shù)措施的有效性,"

防惡意代碼工具的技術(shù)措施最常見的是安裝惡意代碼軟件，該類措施有效性保障就是定期升級惡意代碼庫，并對檢測的惡意代碼進(jìn)行分析，另外如采用可信計算機(jī)技術(shù)也可防惡意代碼攻擊，需定期驗證可信技術(shù)的有效性","

1）核查惡意代碼防范措施

2）核查惡意代碼防范措施執(zhí)行記錄

3)核查惡意代碼防范措施特征庫的更新記錄","

1）具有惡意代碼防范措施

2）具有查惡意代碼防范措施執(zhí)行記錄

3)具有惡意代碼防范措施特征庫的更新記錄"

配置管理,a)應(yīng)記錄和保有基本配宣信息，包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、各個設(shè)備安裝的軟件組件、軟件組件的版本和補(bǔ)丁信息、各個設(shè)備或軟件組件的配置參數(shù)等,系統(tǒng)配置信息的準(zhǔn)確性，是系統(tǒng)正常運(yùn)行的有效保障，因此要對系統(tǒng)的基本信息予以及時有效的記錄和保存,"1)核查配置信息保存記錄

2)記錄內(nèi)容是否包括了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、各個設(shè)備安裝的軟件組件、軟件組件的版本和補(bǔ)丁信息、各個設(shè)備或軟件組件的配置參數(shù)等","

記錄和保存基本的配置信息，配置信息主要包括:網(wǎng)絡(luò)拓?fù)洹④浖M件、設(shè)備配置等內(nèi)容"

,b)應(yīng)將基本配置信息改變納入變更范疇，實施對配置信息改變的控制，并及時更新基本配置信息庫,配置信息及時間同步是配置管理流程的重要環(huán)節(jié)，該條要求與變更管理和系統(tǒng)管理中的相關(guān)條款比較類似，應(yīng)關(guān)注幾方面信息保持一致,"1）核查配置變更管理程序

2)核查配置信息變更記錄","

1)具有記錄和保存配置信息的管理措施，且基本配置信息改變后會及時更新配置信息庫

2)對配置信息的變更流程具有相應(yīng)的管控程序或手段"

密碼管理,a)應(yīng)遵循密碼相關(guān)的國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn),密碼生產(chǎn)需要授權(quán)許可，密碼產(chǎn)品需要符合國家和行業(yè)的相關(guān)標(biāo)準(zhǔn),"1)訪談安全管理員當(dāng)前使用的密碼產(chǎn)品類型

2)如果使用密碼產(chǎn)品，核查密碼產(chǎn)品的銷售許可證明或國家相關(guān)部門出具的檢測報告中所遵循的相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)","

1)確認(rèn)密碼產(chǎn)品類別、型號

2)具有密碼產(chǎn)品銷售許可證明

3）未使用密碼產(chǎn)品，本條不適用"

,b)應(yīng)使用國家密碼管理主管部門認(rèn)證核準(zhǔn)的密碼技術(shù)和產(chǎn)品,系統(tǒng)使用的密碼產(chǎn)品要有國家密碼主管部門核發(fā)的相關(guān)型號證書,核查密碼產(chǎn)品是否具有銷售許可證明或國家相關(guān)部門出具的檢測報告,"

密碼產(chǎn)品具有密碼產(chǎn)品銷售許可證明"

變更管理,a）應(yīng)明確變更需求，變更前根據(jù)變更需求制定變更方案.變更方案經(jīng)過評審、審批后才可實施,變更管理受控是降低系統(tǒng)由變更帶來安全問題的有效手段，因此要對變更策略進(jìn)行明確的規(guī)定，并對變更流程進(jìn)行全程管控,"1)核查變更方案，方案內(nèi)容是否包括了變更類型，變更原因，變更過程、變更前評估等內(nèi)容

2)核查變更方案評審記錄,記錄內(nèi)容是否包括了評審時間、參與人員、評審結(jié)果等

3)核查變更過程記錄，記錄內(nèi)容是是否包括了變更執(zhí)行人，執(zhí)行時間、操作內(nèi)容、變更內(nèi)容等","

1)具有相應(yīng)的變更方案，方案內(nèi)容是否包括了變更類型，變更原因，變更過程、變更前評估等內(nèi)容

2)具有XXX變更方案評審記錄和變更過程記錄文檔

3)對于新建或執(zhí)行過變更操作的被測系統(tǒng)，此條可不適用"

,b)應(yīng)建立變更的申報和審批控制程序，依據(jù)程序控制所有的變更，記錄變更實施過程,執(zhí)行變更操作要遵循變更管控的相關(guān)控制程序，約束變更過程，并有效記錄,"1)核查變更控制的申報、控制審批程序

2)核查變更實施過程的記錄

3)記錄的內(nèi)容是否包括申報的變更類型、申報流程、審批部門、批準(zhǔn)人等","1)不同變更類型具有相應(yīng)的變更管控策略，如變更類型、變更原因、變更影響分析等

2)具有XXX變更實施過程的記錄文檔

3)對于新建或未執(zhí)行過變更操作的被測系統(tǒng)，可沒有相關(guān)記錄"

,c)應(yīng)建立中止變更并從失敗變更中恢復(fù)的程序，明確過程控制方法和人員職責(zé)，必要時對恢復(fù)過程進(jìn)行演練,"

變更失敗恢復(fù)程序一般會在變更方案中予以明確，變更方案除了描述變更過程操作外，重要的是明確變更失敗后的恢復(fù)操作","1）核查變更失敗后的恢復(fù)程序、工作方法和相關(guān)人員職責(zé)。

2)核查恢復(fù)過程演練記錄","

1）對變更失敗后的恢復(fù)程序、工作方法和職責(zé)進(jìn)行了文件化的規(guī)定和要求，具有變更失敗后的恢復(fù)程序

2)具有XX變更恢復(fù)演練記錄和恢復(fù)流程

3)對于新建或未執(zhí)行過變更操作的被測系統(tǒng)，可沒有相關(guān)記錄"

備份與恢復(fù)管理,a)應(yīng)識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)表據(jù)及軟件系統(tǒng)等,對于要備份的信息進(jìn)行識別，并制定相應(yīng)的備份策略,核查數(shù)據(jù)備份策略，策略內(nèi)容至少明確了備份周期、備份的信息類別或數(shù)據(jù)類型,"

1)具有數(shù)據(jù)備份策略

2)數(shù)據(jù)備份策略內(nèi)容至少包括了備份周期、備份的信息類別或數(shù)據(jù)類型"

,b)應(yīng)規(guī)定備份信息的備份方式、備份頻度、存儲介質(zhì)、保存期等,"

對需要備份的制定相應(yīng)的備份策略，如備份方式、備份頻度、存儲介質(zhì)等等",核查備份與恢復(fù)管理制度，制度內(nèi)容至少明確了備份方式、備份頻度、存儲介質(zhì)、保存期等,"1)具有備份與恢復(fù)管理制度

2)制度內(nèi)容至少包括了備份方式、備份頻度、存儲介質(zhì)、保存期等"

,c)應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運(yùn)行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略、備份程序和恢復(fù)程序等,數(shù)據(jù)備份策略是根據(jù)數(shù)據(jù)性質(zhì)的不同，選擇不同的備分內(nèi)容、備份方式等，數(shù)據(jù)恢復(fù)策略是指數(shù)據(jù)庫在遭到各種事件導(dǎo)致數(shù)據(jù)丟失時利用介質(zhì)備份數(shù)據(jù)進(jìn)行恢復(fù)的方法和操作,"1)核查是否有數(shù)據(jù)備份策略、備份程序

2)核查是否具有數(shù)據(jù)恢復(fù)策略、恢復(fù)程序","1)具有數(shù)據(jù)備份策略、備份程序

2)具有數(shù)據(jù)恢復(fù)策略、恢復(fù)程序"

安全事件處置,a)應(yīng)及時向安全管理部門報告所發(fā)現(xiàn)的安全弱點和可疑事件,如發(fā)現(xiàn)系統(tǒng)有潛在的弱點和可疑事件，應(yīng)及時向安全主管部門匯報，并提交相應(yīng)的報告或信息,"1)核查運(yùn)維管理制度中對于發(fā)現(xiàn)安全弱點和可疑事件后的匯報要求

2)核查以往發(fā)現(xiàn)過的安全弱點和可疑事件對應(yīng)書面報告或記錄","

1)在網(wǎng)絡(luò)安全事件管理相關(guān)規(guī)定中明確告知用戶在發(fā)現(xiàn)安全弱點和可疑事及時向安全管理部門報告

2)具有XXX安全弱點和可疑事件對應(yīng)的報告或記錄文檔"

,"b)應(yīng)制定安全事件報告和處置管理制度，

明確不同安全事件的報告、處置和響應(yīng)流程，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復(fù)的管理職責(zé)等",安全事件的分類分級標(biāo)準(zhǔn)可參考GB/T20986-2007《信息安全技術(shù)信息安全事件分類分級指南》,"核查運(yùn)維管理制度，其中明確了不同安全事件的報告，處置和響應(yīng)流程,規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復(fù)的管理職責(zé)等內(nèi)容","1)在安全事件報告和處置管理制度明確了與安全事件有關(guān)的工作職責(zé)，包括報告單位(人)、接報單位(人)和處置單位等職責(zé)

2)具有XXX安全事件報告的模板文件"

,c)應(yīng)在安全事件報告和響應(yīng)處理過程中分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過程，總結(jié)經(jīng)驗教訓(xùn),對安全事件報告和響應(yīng)處理的過程應(yīng)進(jìn)行詳細(xì)的記錄，并對事件發(fā)生的原因進(jìn)行分析和總結(jié),"1)核查以往的安全事件報告和響應(yīng)處置記錄或相關(guān)模板

2)文檔的內(nèi)容是否包括了引發(fā)安全事件的系統(tǒng)弱點，不同的安全事件發(fā)生的原因、處置過程、經(jīng)驗教訓(xùn)總結(jié)、補(bǔ)救措施等","

1)未發(fā)生過網(wǎng)絡(luò)安全事件，則不適用。

2)發(fā)生過安全事件的，具有XXX安全事件報告和響應(yīng)處置記錄文件，文件內(nèi)容符合XXX安全事件報告模板的相關(guān)要求，如安全事件發(fā)生的原因、處置過程、經(jīng)驗教訓(xùn)總結(jié)、補(bǔ)救措施等"

,d)對造成系統(tǒng)中斷和造成信息泄露的重大安全事件應(yīng)采用不同的處理程序和報告程序,對不同的安全事件應(yīng)制定不同的處理程序和報告程序,核查安全事件報告和處理程序文檔，是否針對重大安全事件制定了不同的處理和報告程序，是否明確了具體報告方式、報告內(nèi)容、報告人等,"

1)針對不同安全事件形成不同的報告流程

2)發(fā)生過安全事件，且具有安全事件的報告"

應(yīng)急預(yù)案管理,a)應(yīng)規(guī)定統(tǒng)一的應(yīng)急預(yù)案框架，包括啟動預(yù)案的條件、應(yīng)急組織構(gòu)成、應(yīng)急資金保障、事后教育和培訓(xùn)等內(nèi)容,應(yīng)急預(yù)案框架一般為單位總體應(yīng)急預(yù)案管理的頂層文件，明確應(yīng)急組織構(gòu)成員職責(zé)、應(yīng)急預(yù)案啟動條件、響應(yīng)、后期處置、預(yù)案日常管理、資源保障等內(nèi)容，與各類網(wǎng)絡(luò)安全事件專項應(yīng)急預(yù)案共同構(gòu)成整個應(yīng)急預(yù)案體系,核查應(yīng)急預(yù)案框架，內(nèi)容是否包括了啟動應(yīng)急預(yù)案的條件、應(yīng)急組織構(gòu)成、應(yīng)急資源保障、事后教育和培訓(xùn)等,"1)具有應(yīng)急預(yù)案框架

2)應(yīng)急預(yù)案框的框架覆蓋了啟動應(yīng)急預(yù)案的條件、應(yīng)急組織構(gòu)成、應(yīng)急資源保障、事后教育和培訓(xùn)等方面的內(nèi)容"

,b)應(yīng)制定重要事件的應(yīng)急預(yù)案，包括應(yīng)急處理流程、系統(tǒng)恢復(fù)流程等內(nèi)容,對重要事件制定專定應(yīng)急預(yù)案，并對處理流程、恢復(fù)流程進(jìn)行定義,核查針對重要事件的應(yīng)急預(yù)案，預(yù)案內(nèi)容是否包括了應(yīng)急處理流程、系統(tǒng)恢復(fù)流程等,"1）具有重要事件的專項應(yīng)急預(yù)案，如針對機(jī)房(供電、火災(zāi)、漏水等)、系統(tǒng)(病毒爆發(fā)、數(shù)據(jù)泄露等)、網(wǎng)絡(luò)(斷網(wǎng)、擁塞等)等各個層面

2）專項事件應(yīng)急預(yù)案包含應(yīng)急處理流程、恢復(fù)流程"

,c)應(yīng)定期對系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，并進(jìn)行應(yīng)急預(yù)案的演練,應(yīng)急預(yù)案培訓(xùn)和演練是應(yīng)急的重要環(huán)節(jié)。應(yīng)定期組織相關(guān)人員予以培訓(xùn)和演練，以保障及時有效的處理應(yīng)急事件,"1)核查以往開展過應(yīng)急預(yù)案培訓(xùn)所產(chǎn)生的記錄,確認(rèn)培訓(xùn)的頻度,記錄內(nèi)容是否包括了培訓(xùn)對象、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等

2)核查以往開展過應(yīng)急預(yù)案演練所產(chǎn)生的記錄，確認(rèn)演練的頻度,記錄內(nèi)容是否包括了演練對象、演練內(nèi)容