等級保護2.0二級通用要求測評

方法（總57頁）

-本頁僅作為文檔封面，使用時請直接刪除即可-

--內(nèi)頁可以根據(jù)需求調(diào)整合適字體及大小-

安全物理環(huán)境

物理位置選擇

測評單元（L2-PES1-01）

該測評單元包括以下要求：

a）測評指標(biāo)：機房場地應(yīng)選擇在具有防震、防區(qū)和防雨等能力的建筑內(nèi)。

b）測評對象：記錄類文檔和機房。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查所在建筑物是否具有建筑物抗震設(shè)防審批文檔；

2）應(yīng)核查機房是否不存在雨水滲漏；

3）應(yīng)核查機房門窗是否不存在因風(fēng)導(dǎo)致的塵土嚴(yán)重；

4）應(yīng)核查屋頂、墻體、門窗和地面等是否沒有破損開裂。

d）單元判定：如果1）?4）均為肯定，則符合本測評單元指標(biāo)要求，否則不符

合或部分符合本測評單元指標(biāo)要求。

測評單元（L2-PES1-02）

該測評單元包括以下要求：

a）測評指標(biāo)：機房場地應(yīng)避免設(shè)在建筑物的頂層或地下室，否則應(yīng)加強防水和

防潮措施。

b）測評對象：機房。

2

c）測評實施：應(yīng)核查機房是否不位于所在建筑物的頂層或地下室，如果否，則

核查機房是否采取了防水和防潮措施。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求否

則不符合本測評單元指標(biāo)要求。

物理訪問控制

測評單元（L2-PES1-03）

該測評單元包括以下要求：

a）測評指標(biāo)：機房出人口應(yīng)安排專人值守或配置電子門禁系統(tǒng)，控制、鑒別和

記錄進入的人員。

b）測評對象：機房電子門禁系統(tǒng)和值守記錄。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否安排專人值守或配置電子門禁系統(tǒng)；。

2）應(yīng)核查相關(guān)記錄是否能夠控制、鑒別和記錄法人的人員。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

防盜竊和防破壞

測評單元（L2-PES1-04）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)將設(shè)備或主要部件進行固定，并設(shè)置明顯的不易除去的標(biāo)識。

b）測評對象：機房設(shè)備或主要部件。

3

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查機房內(nèi)設(shè)備或主要部件是否固定；

2）應(yīng)核查機房內(nèi)設(shè)備或主要部件上是否設(shè)置了明顯且不易除去的標(biāo)識。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

測評單元（L2-PES1-05）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)將通信線纜鋪設(shè)在隱蔽安全處。

b）測評對象：機房通信線纜。

c）測評實施：應(yīng)核查機房內(nèi)通信線纜是否鋪設(shè)在隱蔽安全處，如橋架中等。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，

否則不符合本測評單元指標(biāo)要求。

防雷擊

測評單元（L2-PES1-06）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)將各類機柜、設(shè)施和設(shè)備等通過接地系統(tǒng)安全接地。

b）測評對象：機房。

c）測評實施：應(yīng)核查機房內(nèi)機柜、設(shè)施和設(shè)備等是否進行接地處理。

d）單元判定：如果以上測評實施內(nèi)容為肯定，貝J符合本測評單元指標(biāo)要求否

則不符合本測評單元指標(biāo)要求。

4

防火

測評單元（L2-PES1-07）

該測評單元包括以下要求：

a）測評指標(biāo)：機房應(yīng)設(shè)置火災(zāi)自動消防系統(tǒng)，能夠自動檢測火情、自動報警，

并自動滅火。

b）測評對象：機房防火設(shè)施。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查機房內(nèi)是否設(shè)置火災(zāi)自動消防系統(tǒng)；

2）應(yīng)核查火災(zāi)自動消防系統(tǒng)是否可以自動檢測火情、自動報警并自動滅火。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

測評單元（L2-PES1-08）

該測評單元包括以下要求：

a）測評指標(biāo)：機房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級的建筑材

料。

b）測評對象：機房驗收類文檔。

c）測評實施：應(yīng)核查機房驗收文檔是否明確相關(guān)建筑材料的耐火等級。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求否

則不符合本測評單元指標(biāo)要求。

5

防水和防潮

測評單元（L2-PES1-09）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透。

b）測評對象：機房。

c）測評實施：應(yīng)核查窗戶、屋頂和墻壁是否采取了防雨水滲透的措施。

d）單元判定：如果以上測評實施內(nèi)容為肯定，貝J符合本測評單元指標(biāo)要求否

則不符合本測評單元指標(biāo)要求。

測評單元（L2-PES1-10）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)采取措施防止機房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。

b）測評對象：機房。

C）測評實施包括以下內(nèi)容：

1）應(yīng)核查機房內(nèi)是否采取了防止水蒸氣結(jié)露的措施；

2）應(yīng)核查機房內(nèi)是否采取了排泄地下積水，防止地下積水滲透的措施。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

6

防靜電

測評單元（L2-PES1-11）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)采用防靜電地板或地面并采用必要的接地防靜電措施。

b）測評對象：機房。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查機房內(nèi)是否安裝了防靜電地板或地面；

2）應(yīng)核查機房內(nèi)是否采用了接地防靜電措施。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

溫濕度控制

測評單元（L2-PES1-12）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)設(shè)置溫濕度自動調(diào)節(jié)設(shè)施，使機房溫濕度的變化在設(shè)備運行所

允許的范圍之內(nèi)。

b）測評對象：機房溫濕度調(diào)節(jié)設(shè)施。

c）測評實施包括以下內(nèi)容。

1）應(yīng)核查機房內(nèi)是否配備了專用空調(diào)；

2）應(yīng)核查機房內(nèi)溫濕度是否在設(shè)備運行所允許的范圍之內(nèi)。

7

d）單元判定：如果1）和2）均為肯定。則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

電力供應(yīng)

測評單元（L2-PES1-13）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)在機房供電線路上配置穩(wěn)壓器和過電壓防護設(shè)備。

b）測評對象：機房供電設(shè)施。

c）測評實施：應(yīng)核查供電線路上是否配置了穩(wěn)壓器和過電壓防護設(shè)備。

d）單元判定：如果以上測評實施內(nèi)容為肯定，貝J符合本測評單元指標(biāo)要求否

則不符合本測評單元指標(biāo)要求。

測評單元（L2-PES1-14）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)提供短期的備用電力供應(yīng)，至少滿足設(shè)備在斷電情況下的正常

運行要求。

b）測評對象：機房備用供電設(shè)施。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查機房是否配備UPS等后備電源系統(tǒng)；

2）應(yīng)核查UPS等后備電源系統(tǒng)是否滿足設(shè)備在斷電情況下的正常運行要求。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

8

電磁防護

測評單元（L2-PES1-15）

該測評單元包括以下要求：

a）測評指標(biāo)：電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾。

b）測評對象：機房線纜。

c）測評實施：應(yīng)核查機房內(nèi)電源線纜和通信線纜是否隔離鋪設(shè)。

d）單元判定：如果以上測評實施內(nèi)容為肯定，貝J符合本測評單元指標(biāo)要求否

則不符合本測評單元指標(biāo)要求。

安全通信網(wǎng)絡(luò)

網(wǎng)絡(luò)架構(gòu)

測評單元（L2-CNS1-01）o

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)

區(qū)域分配地址。

b）測評對象：路由器、交換機、無線接入設(shè)備和防火墻等提供網(wǎng)絡(luò)通信功能的

設(shè)備或相關(guān)組件。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否依據(jù)重要性、部門等因素劃分不同的網(wǎng)絡(luò)區(qū)域；

2）應(yīng)核查相關(guān)網(wǎng)絡(luò)設(shè)備配置信息，驗證劃分的網(wǎng)絡(luò)區(qū)域是否與劃分原則一致。

9

d）單元判定；如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

測評單元（L2-CNS1-02）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)

區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段。

b）測評對象：網(wǎng)絡(luò)拓?fù)洹?/p>

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查網(wǎng)絡(luò)拓?fù)鋱D是否與實際網(wǎng)絡(luò)運行環(huán)境一致；

2）應(yīng)核查重要網(wǎng)絡(luò)區(qū)域是否未部署在網(wǎng)絡(luò)邊界處；

3）應(yīng)核查重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間是否采取可靠的技術(shù)隔離手段，如

網(wǎng)閘、防火墻和設(shè)備訪問控制列表（ACL）等。

d）單元判定：如果1）?3）均為肯定，則符合本測評單元指標(biāo)要求，否則不符

合或部分符合本測評單元指標(biāo)要求。

通信傳輸

測評單元（L2?CNS1?O3）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)采用校驗技術(shù)保證通信過程中數(shù)據(jù)的完整性。

b）測評對象：提供校驗技術(shù)功能的設(shè)備或組件。

c）測評實施：應(yīng)核查是否在數(shù)據(jù)傳輸過程中使用校驗技術(shù)來保護其完整性。

10

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求否

則不符合本測評單元指標(biāo)要求。

可信驗證

測評單元（L2-CNS1-04）

該測評單元包括以下要求：

a）測評指標(biāo)：可基于可信根對通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置

參數(shù)和通信應(yīng)用程序等進行可信驗證，并在檢測到其可信性受到破壞后進行報

警，并將驗證結(jié)果形成審計記錄送至安全管理中心。

b）測評對象：提供可信驗證的設(shè)備或組件、提供集中審計功能的系統(tǒng)。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否基于可信根對通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參

數(shù)和通信應(yīng)用程序等進行可信驗證；

2）應(yīng)核查當(dāng)檢測到通信設(shè)備的可信性受到破壞后是否進行報警；

3）應(yīng)核查驗證結(jié)果是否以審計記錄的形式送至安全管理中心。

d）單元判定：如果1）?3）均為肯定，則符合本測評單元指標(biāo)要求，否則不符

合或部分符合本測評單元指標(biāo)要求。

11

安全區(qū)域邊界

邊界防護

測評單元（L2-ABS1-01）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進

行通信。

b）測評對象：網(wǎng)閘、防火墻、路由器、交換機和無線接入網(wǎng)關(guān)設(shè)備等提供訪問

控制功能的設(shè)備或相關(guān)組件。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查在網(wǎng)絡(luò)邊界處是否部署訪問控制設(shè)備；

2）應(yīng)核查設(shè)備配置信息是否指定端口進行跨越邊界的網(wǎng)絡(luò)通信，指定端口是否

配置并啟用了安全策略；

3）應(yīng)采用其他技術(shù)手段（如非法無線網(wǎng)絡(luò)設(shè)備定位、核查設(shè)備配置信息等］核

查是否不存在其他未受控端口進行跨越邊界的網(wǎng)絡(luò)通信。

d）單元判定：如果1）?3）均為肯定，則符合本測評單元指標(biāo)要求，否則不符

合或部分符合本測評單元指標(biāo)要求。

訪問控制

測評單元（L2-ABS1-02）

該測評單元包括以下要求：

12

a）測評指標(biāo)：應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則,

默認(rèn)情況下除允許通信外受控接口拒絕所有通信。

b）測評對象：網(wǎng)閘、防火墻、路由器。交換機和無線接入網(wǎng)關(guān)設(shè)備等提供訪問

控制功能的設(shè)備或相關(guān)組件。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查在網(wǎng)絡(luò)邊界或區(qū)域之間是否部署訪問控制設(shè)備并啟用訪問控制策略；

2）應(yīng)核查設(shè)備的最后一條訪問控制策略是否為禁止所有網(wǎng)絡(luò)通信。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

測評單元（L2-ABS1-03）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證

訪問控制規(guī)則數(shù)量最小化。

b）測評對象：網(wǎng)閘、防火墻、路由器、交換機和無線接入網(wǎng)關(guān)設(shè)備等提供訪問

控制功能的設(shè)備或相關(guān)組件。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否不存在多余或無效的訪問控制策略；

2）應(yīng)核查不同的訪問控制策略之間的邏輯關(guān)系及前后排列順序是否合理。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求“

13

測評單元（L2-ABS1-04）

該測評單元包括以下要求：

a測評指標(biāo)：應(yīng)對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查，

以允許/拒絕數(shù)據(jù)包進出。

b）測評對象：網(wǎng)閘、防火墻、路由器、交換機和無線接人網(wǎng)關(guān)設(shè)備等提供訪

問控制功能的設(shè)備或相關(guān)組件。

c）測評實施：應(yīng)核查設(shè)備的訪問控制策略中是否設(shè)定了源地址、目的地址、源

端口、目的端口和協(xié)議等相關(guān)配置參數(shù)。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求否

則不符合本測評單元指標(biāo)要求。

測評單元（L2-ABS1-05）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)能根據(jù)會話狀態(tài)信息為進出數(shù)據(jù)流提供明確的允許/拒絕訪問

的能力。

b）測評對象：網(wǎng)閘、防火墻、路由器、交換機和無線接人網(wǎng)關(guān)設(shè)備等提供訪問

控制功能的設(shè)備或相關(guān)組件。

c）測評實施：應(yīng)核查是否采用會話認(rèn)證等機制為進出數(shù)據(jù)流提供明確的允許/

拒絕訪問的能力。

d）單元判定：如果以上測評實施內(nèi)容為肯定，貝J符合本測評單元指標(biāo)要求否

則不符合本測評單元指標(biāo)要求。

14

入侵防范

測評單元（L2-ABS1-06）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處監(jiān)視網(wǎng)絡(luò)攻擊行為。

b）測評對象：抗APT攻擊系統(tǒng)、網(wǎng)絡(luò)回溯系統(tǒng)、抗DDoS攻擊系統(tǒng)、人侵保

護系統(tǒng)和人侵檢測系統(tǒng)或相關(guān)組件。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否能夠檢測到以下攻擊行為：端口掃描、強力攻擊、木馬后門攻

擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；

2）應(yīng)核查相關(guān)系統(tǒng)或沒備的規(guī)則庫版本是否已經(jīng)更新到最新版本；

3）應(yīng)核查相關(guān)系統(tǒng)或沒備配置信息或安全策略是否能夠覆蓋網(wǎng)絡(luò)所有關(guān)鍵節(jié)

點。

d）單元判定：如果1）?3）均為肯定，則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

惡意代碼防范

測評單元（L2-ABS1-07）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對惡意代碼進行檢測和清除，并維護惡意代

碼防護機制的升級和更新。

b）測評對象：防病毒網(wǎng)關(guān)和UTM等提供防惡意代碼功能的系統(tǒng)或相關(guān)組件。

15

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查在關(guān)鍵網(wǎng)絡(luò)節(jié)點處是否部署防惡意代碼產(chǎn)品等技術(shù)措施；

2）應(yīng)核查防惡意代碼產(chǎn)品運行是否正常，惡意代碼庫是否已經(jīng)更新到最新。

d）單元判定：如果1）和2）均為肯定。則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

安全審計

測評單元（L2-ABS1-08）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點進行安全審計，審計覆蓋到每個用

戶，對重要的用戶行為和重要安全事件進行審計。

b）測評對象：綜合安全審計系統(tǒng)等。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否部署了綜合安全審計系統(tǒng)或類似功能的系統(tǒng)平臺；

2）應(yīng)核查安全審計范圍是否覆蓋到每個用戶；

3）應(yīng)核查是否對重要的用戶行為和重要安全事件進行了審計。

d）單元判定：如果1）?3）均為肯定，則符合本測評單元指標(biāo)要求，否則不符

合或部分符合本測評單兀指標(biāo)要求。

測評單元（L2-ABS1-09）

該測評單元包括以下要求：

16

a）測評指標(biāo)：審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是

否成功及其他與審計相關(guān)的信息。

b）測評對象：綜合安全審計系統(tǒng)等。

c）測評實施：應(yīng)核查審計記錄信息是否包括事件的日期和時間、用戶、事件類

型、事件是否成功及其他與審計相關(guān)的信息。

d）單元判定：如果以上測評實施內(nèi)容，則符合本測評單元指標(biāo)要求，否則不符

合或部分符合本測評單元指標(biāo)要求。

測評單元（L2-ABS1-10）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)對審計記錄進行保護，定期備份，避免受到未預(yù)期的刪除、修

改或覆蓋等。

b）測評對象：綜合安全審計系統(tǒng)等。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否采取了技術(shù)措施對審計記錄進行保護；

2）應(yīng)核查是否采取技術(shù)措施對審計記錄進行定期備份，并核查其備份策略。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

可信驗證

測評單元（L2-ABS1-11）o

該測評單元包括以下要求：

17

a）測評指標(biāo)：可基于可信根對邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置

參數(shù)和邊界防護應(yīng)用程序等進行可信驗證，并在臉測到其可信性受到破壞后進

行報警，并將驗證結(jié)果形成審計記錄送至安全管理中心。

b）測評對象：提供可信驗證的設(shè)備或組件。提供集中審計功能的系統(tǒng)。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否基于可信根對邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參

數(shù)和邊界防護應(yīng)用程序等進行可信驗證；

2）應(yīng)核查當(dāng)檢測到邊界設(shè)備的可信性受到破壞后是否進行報警；

3）應(yīng)核查驗證結(jié)果是否以審計記錄的形式送至安全管理中心。

d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

安全計算環(huán)境

身份鑒別

測評單元（L2-CES1-01）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)對登錄的用戶進行身份標(biāo)識和鑒別，身份標(biāo)識具有唯一性，身

份鑒別信息具有復(fù)雜度要求并定期更換。

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機和虛擬機操作系

統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移

動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點

18

設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)。數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及

系統(tǒng)設(shè)計文檔等。

C）測評實施包括以下內(nèi)容：

1）應(yīng)核查用戶在登錄時是否采用了身份鑒別措施；

2）應(yīng)核查用戶列表確認(rèn)用戶身份標(biāo)識是否具有唯一性；

3）應(yīng)核查用戶配置信息是否不存在空口令用戶；

4）應(yīng)核查用戶鑒別信息是否具有復(fù)雜度要求并定期更換。

d）單元判定：如果1）~4）均為肯定，則符合本測評單元指標(biāo)要求，否則不符

合或部分符合本測評單元指標(biāo)要求。

測評單元（L2-CES1-02）

a）測評指標(biāo)：應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會話、限制非法登

錄次數(shù)和當(dāng)?shù)卿涍B接超時自動退出等相關(guān)措施。

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機和虛擬機操作系

統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移

動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點

設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)。數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及

系統(tǒng)設(shè)計文檔等。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否配置并啟用了登錄失敗處理功能；

2）應(yīng)核查是否配置并啟用了限制非法登錄功能，非法登錄達到一定次數(shù)后采取

特定動作，如賬戶鎖定等；

19

3）應(yīng)核查是否配置并啟用了登錄連接超時及自動退出功能。

d）單元判定：如果1）?3）均為肯定，則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

測評單元（L2-CES1-03）

該測評單元包括以下要求：

a）測評指標(biāo)：當(dāng)進行遠程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過

程中被竊聽。

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機和虛擬機操作系

統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移

動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點

設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)。數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及

系統(tǒng)設(shè)計文檔等。

c）測評實施：應(yīng)核查是否采用加密等安全方式對系統(tǒng)進行遠程管理，防止鑒別

信息在網(wǎng)絡(luò)傳輸過程中被竊聽。

d）單元判定：如果以上測評實施內(nèi)容為肯定，貝J符合本測評單元指標(biāo)要求否

則不符合本測評單元指標(biāo)要求。

訪問控制

測評單元（L2-CES1-04）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)對登錄的用戶分配賬戶和權(quán)限。

20

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機和虛擬機操作系

統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移

動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點

設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及

系統(tǒng)設(shè)計文檔等。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否為用戶分配了賬戶和權(quán)限及相關(guān)設(shè)置情況；

2）應(yīng)核查是否已禁用或限制匿名、默認(rèn)賬戶的訪問權(quán)限。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

測評單元（L2-CES1-05）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令。

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機和虛擬機操作系

統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移

動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點

設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及

系統(tǒng)設(shè)計文檔等。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否已經(jīng)重命名默認(rèn)賬戶或默認(rèn)賬戶已被刪除；

2）應(yīng)核查是否已修改默認(rèn)賬戶的默認(rèn)口令。

21

d）單元判定：如果1）或2）為肯定，則符合本測評單元指標(biāo)要求，否則不符

合或部分符合本測評單元指標(biāo)要求。

測評單元（L2-CES1-06）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在。

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機和虛擬機操作系

統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移

動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點

設(shè)備、控制設(shè)備。業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及

系統(tǒng)設(shè)計文檔等。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否不存在多余或過期賬戶，管理員用戶與賬戶之間是否一一對應(yīng)；

2）應(yīng)核查并測試多余的、過期的賬戶是否被刪除或停用。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

測評單元（L2-CES1-07）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)授予管理用戶所需的最小權(quán)限，實現(xiàn)管理用戶的權(quán)限分離。

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機和虛擬機操作系

統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移

22

動終端、移動終端管理系統(tǒng)、移動終端管理客戶端感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點設(shè)

備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系

統(tǒng)設(shè)計文檔等。

C）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否進行角色劃分；

2）應(yīng)核查管理用戶的權(quán)限是否已進行分離；

3）應(yīng)核查管理用戶權(quán)限是否為其工作任務(wù)所需的最小權(quán)限。

d）單元判定：如果1）?3）均為肯定，則符合本測評單元指標(biāo)要求，否則不符

合或部分符合本測評單元指標(biāo)要求。

安全審計

測評單元（L2-CES1-08）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)提供安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為

和重要安全事件進行審計。

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機和虛擬機操作系

統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移

動終端。移動終端管理系統(tǒng)。移動終端管理客戶端、感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點

設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及

系統(tǒng)設(shè)計文檔等。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否提供并開啟了安全審計功能；

23

2）應(yīng)核查安全審計范圍是否覆蓋到每個用戶；

3）應(yīng)核查是否對重要的用戶行為和重要安全事件進行審計。

d）單元判定：如果1）?3）均為肯定，則符合本測評單元指標(biāo)要求，否則不符

合或部分符合本測評單元指標(biāo)要求。

測評單元（L2-CES1-09）

該測評單元包括以下要求：

a）測評指標(biāo)：審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否

成功及其他與審計相關(guān)的信息。

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機和虛擬機操作系

統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移

動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點

設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及

系統(tǒng)設(shè)計文檔等。

c）測評實施：應(yīng)核查審計記錄信息是否包括事件的日期和時間、用戶、事件類

型、事件是否成功及其他與審計相關(guān)的信息。

d）單元判定：如果以上測評實施內(nèi)容為肯定，貝J符合本測評單元指標(biāo)要求否

則不符合本測評單元指標(biāo)要求。

測評單元（L2-CES1-10）

該測評單元包括以下要求：

24

a）測評指標(biāo)：應(yīng)對審計記錄進行保護，定期備份，避免受到未預(yù)期的刪除、修

改或覆蓋等。

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機和虛擬機操作系

統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移

動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點

設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及

系統(tǒng)設(shè)計文檔等。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否采取了保護措施對審計記錄進行保護；

2）應(yīng)核查是否采取技術(shù)措施對審計記錄進行定期備份，并核查其備份策略，

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

入侵防范

測評單元（L2-CES1-11）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序。

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機和虛擬機操作系

統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移

動終端、移動終端管理系統(tǒng)、移動終端管理客戶端感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點設(shè)

備和控制設(shè)備等。

c）測評實施包括以下內(nèi)容：

25

1）應(yīng)核查是否遵循最小安裝原則；

2）應(yīng)核查是未安裝非必要的組件和應(yīng)用程序。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

測評單元（L2-CES1-12）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口。

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機和虛擬機操作系

統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移

動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點

設(shè)備和控制設(shè)備等。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否關(guān)閉了非必要的系統(tǒng)服務(wù)和默認(rèn)共享；

2）應(yīng)核查是否不存在非必要的高危端口。

d）單元判定：如果1）和2）均為肯定。則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

測評單元（L2-CES1-13）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進行管理的

管理終端進行限制。

26

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機和虛擬機操作系

統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移

動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點

設(shè)備和控制設(shè)備等。

c）測評實施：應(yīng)核查配置文件或參數(shù)是否對終端接人范圍進行限制。

d）單元判定：如果以上測評實施內(nèi)容為肯定，貝J符合本測評單元指標(biāo)要求否

則不符合本測評單元指標(biāo)要求。

測評單元（L2-CES1-14）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信

接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求。

b）測評對象：業(yè)務(wù)應(yīng)用系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。

c）測評實施：應(yīng)核查系統(tǒng)設(shè)計文檔的內(nèi)容是否包括數(shù)據(jù)有效性檢驗功能的內(nèi)容

或模塊。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，

否則不符合本測評單元指標(biāo)要求。

測評單元（L2-CES1-15）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測試評估后，及時

修補漏洞。

27

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機和虛擬機操作系

統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移

動終端、移動終端管理系統(tǒng)。移動終端管理客戶端、感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點

設(shè)備、控制設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)。中間件和系統(tǒng)

管理軟件等。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否不存在高風(fēng)險漏洞，如漏洞掃描、滲透測試等；

2）應(yīng)核查是否在經(jīng)過充分測試評估后及時修補漏洞。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

惡意代碼防范

測評單元（L2-CES1-16）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)功能的軟件，并定期進行

升級和更新防惡意代碼庫

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機和虛擬機操作系

統(tǒng)）和移動終端等。

c）測評實施內(nèi)容包括以下：

1）應(yīng)核查是否安裝了防惡意代碼軟件或相應(yīng)功能的軟件；

2）應(yīng)核查是否定期進行升級和更新防惡意代碼庫。

28

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

可信驗證

測評單元（L2-CES1-17）

該測評單元包括以下要求：

a）測評指標(biāo)：可基于可信根對計算設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置

參數(shù)和應(yīng)用程序等進行可信驗證，并在檢測到其可信性受到破壞后進行報警，

并將驗證結(jié)果形成審計記錄送至安全管理中心。

b）測評對象：提供可信驗證的設(shè)備或組件、提供集中審計功能的系統(tǒng)。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否基于可信根對計算設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參

數(shù)和應(yīng)用程序等進行可信驗證；

2）應(yīng)核查當(dāng)檢測到計算設(shè)備的可信性受到破壞后是否進行報警；

3）應(yīng)核查驗證結(jié)果是否以審計記錄的形式送至安全管理中心。

d）單元判定：如果1）?3）均為肯定，則符合本測評單元指標(biāo)要求，否則不符

合或部分符合本測評單元指標(biāo)要求。

數(shù)據(jù)完整性

測評單元（L2-CES1-18）

該測評單元包括以下要求：

。）測評指標(biāo)：應(yīng)采用咬驗技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性。

29

b）測評對象：業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件、系統(tǒng)管理軟件及系統(tǒng)

設(shè)計文檔、數(shù)據(jù)安全保護系統(tǒng)。終端和服務(wù)器等設(shè)備中的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備

和安全設(shè)備等。

c）測評實施：應(yīng)核查系統(tǒng)設(shè)計文檔，重要管理數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)在傳輸過程

中是否采用了校驗技術(shù)或密碼技術(shù)保證完整性。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，

否則不符合本測評單元指標(biāo)要求。

數(shù)據(jù)備份恢復(fù)

測評單元（L2-CES1-19）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復(fù)功能。

b）測評對象：配置數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否按照備吩策略進行本地備份；

2）應(yīng)核查備份策略設(shè)置是否合理、配置是否正確；

3）應(yīng)核查備份結(jié)果是否與備份策略一致；

4）應(yīng)核查近期恢復(fù)測試記錄是否能夠進行止常的數(shù)據(jù)恢復(fù)。

d）單元判定：如果1）~4）均為肯定，則符合本測評單元指標(biāo)要求，否則不符

合或部分符合本測評單元指標(biāo)要求。

30

測評單元（L2-CES1-20）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)提供異地數(shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)定時批量傳

送至備用場地。

b）測評對象：配置數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)。

c）測評實施：應(yīng)核查是否提供異地數(shù)據(jù)備份功能，并通過通信網(wǎng)絡(luò)將重要配置

數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)定時批量傳送至備份場地。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，

否則不符合本測評單元指標(biāo)要求。

剩余信息保護

測評單元（L2-CES1-21）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清

除。

b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理

系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。

c）測評實施：應(yīng)核查相關(guān)配置信息或系統(tǒng)設(shè)計文檔，用戶的鑒別信息所在的存

儲空間被釋放或重新分配前是否得到完全清除。

d）單元判定：如果以上測評實施內(nèi)容，則符合本測評單元指標(biāo)要求，否則不符

合或部分符合本測評單元指標(biāo)要求。

31

個人信息保護

測評單元（L2-CES1-22）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個人信息。

b）測評對象：用戶數(shù)據(jù)、業(yè)務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)等。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查采集的用戶個人信息是否是業(yè)務(wù)應(yīng)用必需的；

2）應(yīng)核查是否制定了有關(guān)用戶個人信息保護的管理制度和流程。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

測評單元（L2-CES1-23）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)禁止未授權(quán)訪問和非法使用用戶個人信息。

b）測評對象：業(yè)務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)等。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否采用技術(shù)措施限制對用戶個人信息的訪問和使用；

2）應(yīng)核查是否制定了有關(guān)用戶個人信息保護的管理制度和流程。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

32

安全管理中心

系統(tǒng)管理

測評單元（L2-SMC1-01）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)對系統(tǒng)管理員進行身份鑒別，只允許其通過特定的命令或操作

界面進行系統(tǒng)管理操作，并對這些操作進行審計。

b）測評對象：提供集中系統(tǒng)管理功能的系統(tǒng)。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否對系統(tǒng)管理員進行身份鑒別；

2）應(yīng)核查是否只允許系統(tǒng)管理員通過特定的命令或操作界而進行系統(tǒng)管理操

作；

3）應(yīng)核查是否對系統(tǒng)管理的操作進行審計。

d）單元判定：如果1）?3）均為肯定，則符合本測評單元指標(biāo)要求，否則不符

合或部分符合本測評單元指標(biāo)要求。

測評單元（L2-SMC1-02）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置、控制和管理，

包括用戶身份、資源配置、系統(tǒng)加載和啟動、系統(tǒng)運行的異常處理、數(shù)據(jù)和設(shè)

備的備份與恢復(fù)等。

b）測評對象：提供集中系統(tǒng)管理功能的系統(tǒng)。

33

c）測評實施：應(yīng)核查是否通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置、控制

和管理，包括用戶身份。資源配置。系統(tǒng)加載和啟動、系統(tǒng)運行的異常處理、

數(shù)據(jù)和設(shè)備的備份與恢復(fù)等。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，

否則不符合本測評單元指標(biāo)要求。

審計管理

測評單元（L2-SMC1-03）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)對審計管理員進行身份鑒別，只允許其通過特定的命令或操作

界面進行安全審計操作，并對這些操作進行審計。

b）測評對象：綜合安全審計系統(tǒng)，數(shù)據(jù)庫審計系統(tǒng)等提供集中審計功能的系

統(tǒng)。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查是否對審計管理員進行身份鑒別；

2）應(yīng)核查是否只允許審計管理員通過特定的命令或操作界面進行安全審計噪

作；

3）應(yīng)核查是否對審計管理員的操作進行審計。

d）單元判定：如果1）?3）均為肯定。則符合本測評單元指標(biāo)要求，否則不符

合或部分符合本測評單元指標(biāo)要求。

34

測評單元（L2-SMC1-04）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)通過審計管理員對審計記錄進行分析，并根據(jù)分析結(jié)果進行處

理，包括根據(jù)安全審計策略對審計記錄進行存儲、管理和查詢等。

b）測評對象：綜合安全審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)等提供集中審計功能的系

統(tǒng)。

c）測評實施：應(yīng)核查是否通過審計管理員對審計記錄進行分析，并根據(jù)分析結(jié)

果進行處理，包括根據(jù)安全審計策略對審計記錄進行存儲、管理和查詢等。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，

否則不符合本測評單元指標(biāo)要求。

安全管理制度

安全策略（L2-PSS1-01）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)制定網(wǎng)絡(luò)安全工作的總體方針和安全策略，闡明機構(gòu)安全工作

的總體目標(biāo)、范圍、原則和安全框架等。

b）測評對象：總體方針策略類文檔。

c）測評實施：應(yīng)核查網(wǎng)絡(luò)安全工作的總體方針和安全策略文件是否明確機構(gòu)安

全工作的總體目標(biāo)、范圍、原則和各類安全策略。

d）單元判定：如果以上測評實施內(nèi)容為肯定，貝J符合本測評單元指標(biāo)要求否

則不符合本測評單元指標(biāo)要求。

35

管理制度

測評單元（L2-PSS1-02）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)對安全管理活動中的主要管理內(nèi)容建立安全管理制度。

b）測評對象：安全管理制度類文檔。

c）測評實施：應(yīng)核查各項安全管理制度是否覆蓋物理、網(wǎng)絡(luò)、主機系統(tǒng)、數(shù)

據(jù)、應(yīng)用、建設(shè)和運維等管理內(nèi)容。

d）單元判定：如果以上測評實施內(nèi)容為肯定，貝J符合本測評單元指標(biāo)要求否

則不符合本測評單元指標(biāo)要求。

測評單元（L2-PSS1-03）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)對管理人員或操作人員執(zhí)行的曰常管理操作建立操作規(guī)程。

b）測評對象：操作規(guī)程類文檔。

c）測評實施：應(yīng)核查是否具有日常管理操作的操作規(guī)程，如系統(tǒng)維護手冊和用

戶操作規(guī)程等。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求否

則不符合本測評單元指標(biāo)要求。

36

制定和發(fā)布

測評單元（L2-PSS1-04）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定。

b）測評對象：部門/人員職責(zé)文件等。

c）測評實施：應(yīng)核查是否由專門的部門或人員負(fù)責(zé)制定安全管理制度。

d）單元判定：如果以上測評實施內(nèi)容為肯定，貝J符合本測評單元指標(biāo)要求否

則不符合本測評單元指標(biāo)要求。

測評單元（L2-PSS1-05）

該測評單元包括以下要求：

a）測評指標(biāo)：安全管理制度應(yīng)通過正式、有效的方式發(fā)布，并進行版本控制。

b）測評對象：管理制度類文檔和記錄表單類文檔。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查制度制定和發(fā)布要求管理文檔是否說明安全管理制度的制定和發(fā)布程

序、格式要求及版本編號等相關(guān)內(nèi)容；

2）應(yīng)核查安全管理制度的收發(fā)登記記錄是否通過正式、有效的方式收發(fā)，如正

式發(fā)文、領(lǐng)導(dǎo)簽署和單位蓋章等。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

37

評審和修訂

測評單元（L2-PSS1-06）

該測評單元包括以下要求：

測評指標(biāo)：應(yīng)定期對安全管理制度的合理性和適用性進行論證和審定，對存在

不足或需要改進的安全管理制度進行修訂。

b）測評對象：信息/網(wǎng)絡(luò)安全主管和記錄表單類文檔。

c）測評實施包括以下內(nèi)容：

1）應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否定期對安全管理制度體系的合理性和適任性

進行審定；

2）應(yīng)核查是否具有安全管理制度的審定或論證記錄，如果對制度做過修訂，核

查是否有修訂版本的安全管理制度。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

安全管理機構(gòu)

崗位設(shè)置

測評單元（L2-ORS1-01）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)設(shè)立網(wǎng)絡(luò)安全管理工作的職能部門，設(shè)立安全主管、安全管理

各個方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)。

38

b）測評對象：信息/網(wǎng)絡(luò)安全主管和管理制度類文檔。

c）測評實施包括以下內(nèi)容：

1）應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否設(shè)立網(wǎng)絡(luò)安全管理工作的職能部門；

2）應(yīng)核查部門職責(zé)文檔是否明確網(wǎng)絡(luò)安全管理工作的職能部門和各負(fù)責(zé)人職

責(zé)；

3）應(yīng)核查崗位職責(zé)文檔是否有崗位劃分情況和崗位職責(zé)。

d）單元判定：如果1）?3）均為肯定，則符合本測評單元指標(biāo)要求，否則不符

合或部分符合本測評單元指標(biāo)要求。

測評單元（L2-ORS1-02）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)設(shè)立系統(tǒng)管理員、審計管理員和安全管理員等崗位，并定義部

門及各個工作崗位的職責(zé)。

b）測評對象：信息/網(wǎng)絡(luò)安全主管和管理制度類文檔。

c）測評實施包括以下內(nèi)容：

1）應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否進行了安全管理崗位的劃分；

2）應(yīng)核查崗位職責(zé)文檔是否明確了各部門及各崗位職責(zé)。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

39

人員配備

測評單元（L2-ORS1-03）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)配備一定數(shù)量的系統(tǒng)管理員、審計管理員和安全管理員等。

b）測評對象：信息/網(wǎng)絡(luò)安全主管和記錄表單類文檔。

c）測評實施包括以下內(nèi)容：

1）應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否配備了系統(tǒng)管理員、審計管理員和安全管理

員；

2）應(yīng)核查人員配備文檔是否有各崗位人員配備情況。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

授權(quán)和審批

測評單元（L2-ORS1-04）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)根據(jù)各個部門和崗位的職責(zé)明確授權(quán)審批事項、審批部門和批

準(zhǔn)入等。

b）測評對象：管理制度類文檔和記錄表單類文檔。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查部門職責(zé)文檔是否明確各部門審批事項；

2）應(yīng)核查崗位職責(zé)文檔是否明確各崗位審批事項。

40

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

測評單元（L2-ORS1-05）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接人等事項執(zhí)行審

批過程。

b）測評對象：記錄表單類文檔。

c）測評實施：應(yīng)核查各類審批記錄是否針對系統(tǒng)變更。重要操作、物理訪問和

系統(tǒng)接入等事項進行審批。

d）單元判定：如果以上測評實施內(nèi)容，則符合本測評單元指標(biāo)要求，否則不

符合本測評單元指標(biāo)要求。

溝通和合作

測評單元（L2-ORS1-06）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)加強各類管理人員、組織內(nèi)部機構(gòu)和網(wǎng)絡(luò)安全管理部門之間的

合作與溝通，定期召開協(xié)調(diào)會議，共同協(xié)作處理網(wǎng)絡(luò)安全問題。

b）測評對象：信息/網(wǎng)絡(luò)安全主管和記錄表單類文檔。

c）測評實施包括以下內(nèi)容：

1）應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否建立了各類管理人員、組織內(nèi)部機構(gòu)和網(wǎng)絡(luò)

安全管理部門之間的合作與溝通機制；

41

2）應(yīng)核查會議記錄是否明確各類管理人員、組織內(nèi)部機構(gòu)和網(wǎng)絡(luò)安全管理部門

之間開展了合作與溝通。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

測評單元（L2-ORS1-07）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)加強與網(wǎng)絡(luò)安全職能部門、各類供應(yīng)商、業(yè)界專家及安全組織

的合作與溝通。

b）測評對象：信息/網(wǎng)絡(luò)安全主管和記錄表單類文檔。

c）測評實施包括以下內(nèi)容：

1）應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否建立了與網(wǎng)絡(luò)安全職能部門、各類供應(yīng)商、

業(yè)界專家及安全組織的合作與溝通機制；

2）應(yīng)核查會議記錄是臺明確了與網(wǎng)絡(luò)安全職能部門、各類供應(yīng)商、業(yè)界專家及

安全組織是否開展了合作與溝通。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

測評單元（L2-ORS1-08）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系

人和聯(lián)系方式等信息。

42

b）測評對象：記錄表單類文檔。

c）測評實施：應(yīng)核查外聯(lián)單位聯(lián)系列表是否記錄了外聯(lián)單位名稱、合作內(nèi)容、

聯(lián)系人和聯(lián)系方式等信息。

d）單元判定：如果以上測評實施內(nèi)容，則符合本測評單元指標(biāo)要求，否則不符

合本測評單元指標(biāo)要求。

審核和檢查

測評單元（L2-ORS1-09）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)定期進行常規(guī)安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏

洞和數(shù)據(jù)備份等情況。

b）測評對象：信息/網(wǎng)絡(luò)安全主管和記錄表單類文檔。

c）測評實施包括以下內(nèi)容：

1）應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否定期進行了常規(guī)安全檢查；

2）應(yīng)核查常規(guī)安全核查記錄是否包括了系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備，分等

情況。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單兀指標(biāo)要求。

43

安全管理人員

人員錄用

測評單元（L2-HRS1-01）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用。

b）測評對象：信息/網(wǎng)絡(luò)安全主管。

c）測評實施：應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否由專門的部門或人員負(fù)責(zé)人員的

錄用工作。

d）單元判定：如果以上測評實施內(nèi)容為肯定，貝J符合本測評單元指標(biāo)要求否

則不符合本測評單元指標(biāo)要求。

測評單元（L2-HRS1-02）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)對被錄用人員的身份、安全背景、專業(yè)資格或資質(zhì)等進行審

查。

b）測評對象：管理制度類文檔和記錄表單類文檔。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查人員安全管理文檔是否說明錄用人員應(yīng)具備的條件（如學(xué)歷、學(xué)々要

求，技術(shù)人員應(yīng)具備的專業(yè)技術(shù)水平，管理人員應(yīng)具備的安全管理知識等）；

2）應(yīng)核查是否具有人員錄用時對錄用人身份、安全背景、專業(yè)資格或資質(zhì)等進

行審查的相關(guān)文檔或記錄，是否記錄審查內(nèi)容和審查結(jié)果等；

44

3）應(yīng)核查人員錄用時的技能考核文檔或記錄是否記錄考核內(nèi)容和考核結(jié)果等。

d）單元判定：如果1）?3）均為肯定，則符合本測評單元指標(biāo)要求，否則不符

合或部分符合本測評單元指標(biāo)要求。

人員離崗

測評單元（L2-HRS1-03）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)及時終止離崗人員的所有訪問權(quán)限，取回各種身份證件、鑰

匙、徽章等以及機構(gòu)提供的軟硬件設(shè)備。

b）測評對象：記錄表單類文檔。

c）測評實施：應(yīng)核查是否具有離崗人員終止其訪問權(quán)限、交還身份證件、軟硬

件設(shè)備等的登記記錄。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，

否則不符合本測評單元指標(biāo)要求。

安全意識教育和培訓(xùn)

測評單元（L2-HRS1-04）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)對各類人員進行安全意識教育和崗位技能培訓(xùn)，并告知相關(guān)

的安全責(zé)任和懲戒措施。

b）測評對象：管理制度類文檔。

c）測評實施包括以下內(nèi)容：

45

1）應(yīng)核查安全意識教育及崗位技能培訓(xùn)文檔是否明確培訓(xùn)周期、培訓(xùn)方式、培

訓(xùn)內(nèi)容和考核方式等相關(guān)內(nèi)容；

2）應(yīng)核查安全責(zé)任和懲戒措施管理文檔或培訓(xùn)文檔是否包含具體的安全責(zé)任和

懲戒措施。

d）單元判定：如果1）和2）均為肯定。則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

外部人員訪問管理

測評單元（L2-HRS1-05）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)在外部人員物理訪問受控區(qū)域前先提出書面申請，批準(zhǔn)后由專

人全程陪同，并登記備案。

b）測評對象：管理制度類文檔和記錄表單類文檔。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查外部人員訪問管理文檔是否明確允許外部人員訪問的范圍、外部人員

進人的條件、外部人員進人的訪問控制措施等；

2）應(yīng)核查外部人員訪問重要區(qū)域的書面申請文檔是否具有批準(zhǔn)人允許訪問的批

準(zhǔn)簽字等；

3）應(yīng)核查外部人員訪問重要區(qū)域的登記記錄是否記錄了外部人員訪問重要區(qū)域

的進入時

間、離開時間、訪問區(qū)域及陪同人等。

46

d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標(biāo)要求，否則不符

合或部分符合本測評單元指標(biāo)要求。

測評單元（L2-HRS1-06）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)在外部人員接入受控網(wǎng)絡(luò)訪問系統(tǒng)前先提出書面申請，批準(zhǔn)后

由專人開設(shè)賬戶、分配權(quán)限，并登記備案。

b）測評對象：管理制度類文檔和記錄表單類文檔。

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查外部人員訪問管理文檔是否明確外部人員接人受控網(wǎng)絡(luò)前的申請審批

流程；

2）應(yīng)核查外部人員訪問系統(tǒng)的書面申請文檔是否明確外部人員的訪問權(quán)限，是

否具有允許訪問的批準(zhǔn)簽字等；

3）應(yīng)核查外部人員訪問系統(tǒng)的登記記錄是否記錄了外部人員訪問的權(quán)限、時

限、賬戶等。

d）單元判定：如果1）?3）均為肯定，則符合本測評單元指標(biāo)要求，否則不符

合或部分符合本測評單元指標(biāo)要求。

測評單元（L2-HRS1-07）

該測評單元包括以下要求：

a）測評指標(biāo)：外部人員離場后應(yīng)及時清除其所有的訪問權(quán)限。

b）測評對象：管理制度類文檔和記錄表單類文檔。

47

c）測評實施包括以下內(nèi)容：

1）應(yīng)核查外部人員訪問管理文檔是否明確外部人員離開后及時清除其所有為問

權(quán)限；

2）應(yīng)核查外部人員訪問系統(tǒng)的登記記錄是否記錄了訪問權(quán)限清除時間。

d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不

符合或部分符合本測評單元指標(biāo)要求。

安全建設(shè)管理

定級和備案

測評單元（L2-CMS1-01）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)以書面的形式說明保護對象的安全保護等級及確定等級的方法

和理由。

b）測評對象：記錄表單類文檔。

c）測評實施：應(yīng)核查定級文檔是否明確保護對象的安全保護等級，是否說明定

級的方法和理由。

d）單元判定：如果以上測評實施內(nèi)容為肯定，貝J符合本測評單元指標(biāo)要求否

則不符合本測評單元指標(biāo)要求。

測評單元（L2-CMS1-02）

該測評單元包括以下要求：

48

a）測評指標(biāo)：應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對定級結(jié)果的合理性和王確

性進行論證和審定。

b）測評對象：記錄表單類文檔。

c）測評實施：應(yīng)核查定級結(jié)果的論證評審會議記錄是否有相關(guān)部門和有關(guān)安全

技術(shù)專家對定級結(jié)果的論證意見。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，

否則不符合本測評單元指標(biāo)要求。

測評單元（L2-CMS1-03）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)保證定級結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)。

b）測評對象：記錄表單類文檔。

c）測評實施：應(yīng)核查定級結(jié)果部門審批文檔是否有上級主管部門或本單位相關(guān)

部門的審批意見。

d）單元判定：如果以上測評實施內(nèi)容為肯定，貝J符合本測評單元指標(biāo)要求否

則不符合本測評單元指標(biāo)要求。

測評單元（L2-CMS1-04）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)將備案材料報主管部門和公安機關(guān)備案。

b）測評對象：記錄表單類文檔。

c）測評實施：應(yīng)核查是否具有公安機關(guān)出具的備案證明文檔。

49

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求否

則不符合本測評單元指標(biāo)要求。

安全方案設(shè)計

測評單元（L2-CMS1-05）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)根據(jù)安全保護等級選擇基本安全措施，依據(jù)風(fēng)險分析的結(jié)果補

充和調(diào)整安全措施。

b）測評對象：安全規(guī)劃設(shè)計類文檔。

c）測評實施：應(yīng)核查安全設(shè)計文檔是否根據(jù)安全保護等級選擇安全措施，是否

根據(jù)安全需求調(diào)整安全措施。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，

否則不符合本測評單元指標(biāo)要求。

測評單元（L2-CMS1-06）

該測評單元包括以下要求：

a）測評指標(biāo)：應(yīng)根據(jù)保護對象的安全保護等級進行安全方案設(shè)計。

b）測評對象：安全規(guī)劃設(shè)計類文檔。

c）測評實施：應(yīng)核查安全設(shè)計方案是否是根據(jù)安全保護等級進行設(shè)計規(guī)劃。

d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求否

則不符合本測評單元指標(biāo)要