A90DB11北京市質(zhì)量技術監(jiān)督局發(fā)布 2規(guī)范性引用文件 3術語和定義 4檢查流程 5一級信息系統(tǒng)檢查 6二級信息系統(tǒng)檢查 7三級信息系統(tǒng)檢查 8四級信息系統(tǒng)檢查 本標準按照GB/T1.1—2009給出的規(guī)則起草。本標準由北京市公安局提出并歸口。本標準由北京市公安局組織實施。本標準主要起草單位：北京市公安局網(wǎng)絡安全保衛(wèi)總隊、公安部信息安全等級保護評估中心、信息產(chǎn)業(yè)信息安全測評中心、北京中軟華泰信息技術有限責任公司。本標準主要起草人：葉漫青、朱華池、白鷗、石銳、吳賢、俞詩源、朱曉莉、高媛、馬榮欣、周永戰(zhàn)、游書明、趙悅、徐燕、趙志巍、金鎂、王崢、周堃、李小玲、王凱晨、梁萌萌、張淮、王一婷、趙永軍、李夢嬌、陳益、宋揚、張昕、菅強、高瑗澤、傅珩軒、劉曉雪、李君白、張遠彬、王熙、張瑋、楊瀟、石浩、王佳、趙勇、羅錚、袁靜、于東升、霍珊珊、劉健、張益、董晶晶。信息安全等級保護檢查規(guī)范本標準規(guī)定了對信息安全等級保護狀況進行檢查的流程和內(nèi)容要求，其中內(nèi)容要求包括對信息安全等級保護第一級信息系統(tǒng)、第二級信息系統(tǒng)、第三級信息系統(tǒng)和第四級信息系統(tǒng)進行安全檢查的要求。本標準適用于信息安全等級保護檢查工作。2規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T5271.8信息技術詞匯第8部分:安全GB17859計算機信息系統(tǒng)安全保護等級劃分準則GB/T22239信息安全技術信息系統(tǒng)安全等級保護基本要求GB/T25069信息安全技術術語GB/T25070信息安全技術信息系統(tǒng)等級保護安全設計技術要求3術語和定義GB/T5271.8、GB17859、GB/T22239、GB/T25069和GB/T25070界定的以及下列術語和定義適用于本文件。檢查人員通過引導信息系統(tǒng)相關人員進行有目的的（有針對性的）交流以幫助檢查人員理解、分析或取得證據(jù)的過程。查驗check檢查人員通過對被檢查對象（如制度文檔、各類設備、安全配置等）進行觀察、查閱、核查以幫助檢查人員理解、分析或取得證據(jù)的過程。測試test檢查人員使用預定的方法/工具使被檢查對象（各類設備或安全配置）產(chǎn)生特定的結(jié)果，將運行結(jié)果與預期的結(jié)果進行比對的過程。4檢查流程4.1前期準備前期準備包括的內(nèi)容：——調(diào)閱被檢查單位信息系統(tǒng)的備案材料；——了解被檢查單位情況；——成立檢查小組；——準備必要的檢查材料和檢查工具；——制定檢查組工作計劃，計劃內(nèi)容應包括檢查對象、檢查人員、檢查各個階段的工作安排等。4.2現(xiàn)場檢查現(xiàn)場檢查是通過對被檢查單位的溝通訪談、文檔審查、配置檢查、工具測試和實地查驗，并調(diào)閱自查、總結(jié)或等級測評報告等資料，對被檢查單位信息安全保護現(xiàn)狀進行檢查，取得檢查總結(jié)活動所需的資料?，F(xiàn)場檢查不應影響系統(tǒng)的正常運行。4.3檢查總結(jié)檢查總結(jié)是根據(jù)現(xiàn)場檢查結(jié)果和本標準的相關要求，列舉并分析被檢查單位信息系統(tǒng)存在的問題，針對被檢查單位信息系統(tǒng)安全保護能力出具書面結(jié)果材料。5一級信息系統(tǒng)檢查5.1物理安全要求5.1.1物理訪問控制檢查內(nèi)容檢查內(nèi)容如下：應檢查物理訪問控制措施。檢查方法檢查方法如下：查驗是否有進出機房的人員登記記錄。檢查結(jié)果判定檢查結(jié)果判定如下：若機房出入口沒有進出機房的人員登記記錄，則檢查結(jié)果為不符合。5.1.2支撐設施保障檢查內(nèi)容檢查內(nèi)容如下：a)應檢查防水措施；b)應檢查防火措施；c)應檢查溫濕度控制措施；d)應檢查穩(wěn)壓設備。檢查方法檢查方法如下：a)查驗是否具備防止機房地下積水轉(zhuǎn)移與滲透的措施，是否對防水防潮處理結(jié)果和除濕裝置運行情況進行記錄；b)查驗機房是否配備符合要求的滅火設備，滅火設備擺放是否合理，有效期是否合格；c)查驗溫濕度自動調(diào)節(jié)設施是否能夠正常運行，查驗溫濕度控制是否合理；d)查驗機房內(nèi)是否有穩(wěn)壓設備。檢查結(jié)果判定檢查結(jié)果判定如下：a)若機房的墻壁或樓板的管道沒有采取必要的防滲透防漏等防水保護措施，或防水防潮處理結(jié)果及除濕裝置運行記錄缺失，則a）檢查結(jié)果為不符合；b)若機房內(nèi)沒有配備符合要求的滅火設備，滅火設備擺放不合理或已過期，則b）檢查結(jié)果為不符合；c)若機房內(nèi)沒有配備溫濕度自動調(diào)節(jié)設施，或當前溫濕度不合理，則c）檢查結(jié)果為不符合；d)若機房內(nèi)沒有設置穩(wěn)壓器，則d）檢查結(jié)果為不符合。5.2安全技術要求5.2.1網(wǎng)絡結(jié)構(gòu)安全檢查內(nèi)容檢查內(nèi)容如下：應檢查網(wǎng)絡拓撲圖。檢查方法檢查方法如下：查驗實際環(huán)境中的核心交換機、核心服務器、邊界防火墻等是否能夠在網(wǎng)絡拓撲結(jié)構(gòu)圖中定位。檢查結(jié)果判定檢查結(jié)果判定如下：若網(wǎng)絡拓撲圖中無法定位核心交換機、核心服務器、邊界防火墻等關鍵設備，則檢查結(jié)果為不符合。5.2.2邊界安全防護檢查內(nèi)容檢查內(nèi)容如下：應檢查網(wǎng)絡邊界入侵檢測措施。檢查方法檢查方法如下：a)查驗網(wǎng)絡邊界設備是否采取技術手段防止地址欺騙；b)查驗網(wǎng)絡入侵檢測設備是否能檢測以下攻擊行為：端口掃描、漏洞掃描、緩沖區(qū)溢出攻擊、拒絕服務攻擊等，查看其規(guī)則庫是否為最新。檢查結(jié)果判定檢查結(jié)果判定如下：a)若重要地址沒有采用IP/MAC綁定等手段防止地址欺騙，則a）檢查結(jié)果為不符合；b)若沒有部署入侵檢測設備或入侵檢測設備的特征庫未及時更新，則b）檢查結(jié)果為不符合。5.2.3用戶身份鑒別檢查內(nèi)容檢查內(nèi)容如下：應檢查網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應用系統(tǒng)的身份鑒別措施。檢查方法檢查方法如下：查驗主要網(wǎng)絡設備、服務器操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應用系統(tǒng)的身份鑒別是否開啟。檢查結(jié)果判定檢查結(jié)果判定如下：若主要網(wǎng)絡設備、服務器操作系統(tǒng)、主要數(shù)據(jù)庫管理系統(tǒng)和應用系統(tǒng)無需身份鑒別，則檢查結(jié)果為不符合。5.2.4訪問控制檢查內(nèi)容檢查內(nèi)容如下：應檢查操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)的默認賬戶權限。檢查方法檢查方法如下：查驗主要服務器操作系統(tǒng)和重要數(shù)據(jù)庫管理系統(tǒng)是否已禁用或者限制匿名/默認賬戶的訪問權限，是否重命名系統(tǒng)默認賬戶名并修改默認賬戶的默認口令。檢查結(jié)果判定檢查結(jié)果判定如下：a)操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)默認賬戶名未重命名，默認口令未修改，則檢查結(jié)果為不符合；adm等），則檢查結(jié)果為不符合；c)其他操作系統(tǒng)存在未重命名的默認系統(tǒng)用戶，則檢查結(jié)果為不符合。5.2.5系統(tǒng)數(shù)據(jù)保護檢查內(nèi)容檢查內(nèi)容如下：應檢查應用系統(tǒng)數(shù)據(jù)備份介質(zhì)。檢查方法檢查方法如下：查驗是否對主要網(wǎng)絡設備、主要數(shù)據(jù)庫管理系統(tǒng)和主要應用系統(tǒng)的重要信息進行了本地備份。檢查結(jié)果判定檢查結(jié)果判定如下：若缺乏主要網(wǎng)絡設備、主要數(shù)據(jù)庫管理系統(tǒng)和主要應用系統(tǒng)的重要信息的備份介質(zhì)，則檢查結(jié)果為不符合。5.3安全管理要求5.3.1安全管理機構(gòu)檢查內(nèi)容檢查內(nèi)容如下：應檢查安全崗位人員配備情況。檢查方法檢查方法如下：查驗系統(tǒng)、網(wǎng)絡、安全方面的管理規(guī)定，記錄系統(tǒng)管理員、網(wǎng)絡管理員、數(shù)據(jù)庫管理員、安全管理員的姓名。檢查結(jié)果判定檢查結(jié)果判定如下：若信息安全管理制度（網(wǎng)絡、主機、密碼、審計等制度）中沒有明確角色和職責定義，沒有信息安全管理崗位人員名單，則檢查結(jié)果為不符合。5.3.2安全管理制度檢查內(nèi)容檢查內(nèi)容如下：應檢查信息安全工作日常安全管理制度。檢查方法檢查方法如下：查驗是否制定日常信息安全管理制度，如機房管理制度等。檢查結(jié)果判定檢查結(jié)果判定如下：若沒有制定日常信息安全管理制度，如機房管理制度等，則檢查結(jié)果為不符合。5.3.3系統(tǒng)人員安全檢查內(nèi)容檢查內(nèi)容如下：應檢查關鍵崗位人員勞動合同和人員離崗記錄。檢查方法檢查方法如下：a)查驗關鍵崗位人員的勞動合同，記錄負責人員錄用的部門名稱或人員姓名；b)查驗離崗人員辦理過的調(diào)離手續(xù)記錄，記錄離崗員工被終止的訪問權限內(nèi)容。檢查結(jié)果判定檢查結(jié)果判定如下：a)若無法提供信息安全相關崗位人員勞動合同，則a）檢查結(jié)果為不符合；b)若對離崗人員未及時終止訪問權限，則b）檢查結(jié)果為不符合。5.3.4系統(tǒng)安全生命周期檢查內(nèi)容檢查內(nèi)容如下：應檢查系統(tǒng)設計、系統(tǒng)實施、系統(tǒng)驗收、系統(tǒng)運維等生命周期各階段的安全管理制度和相應記錄保存情況。檢查方法檢查方法如下：a)查驗定級報告，記錄定級報告名稱和蓋章批準的部門名稱；b)查驗安全設計方案，記錄安全設計方案的名稱；c)查驗安全產(chǎn)品的銷售許可證副本；d)查驗負責工程實施過程管理的部門名稱或人員姓名；e)查驗安全性驗收測試方案和測試驗收報告，記錄報告的名稱；f)查驗機房安全管理制度，記錄制度文檔名稱，核對是否規(guī)定機房物理訪問、物品帶入帶出等；g)查驗與信息系統(tǒng)相關的資產(chǎn)清單，記錄資產(chǎn)清單名稱，核對清單是否至少包括資產(chǎn)名稱、資產(chǎn)位置、資產(chǎn)責任部門或責任人等；h)查驗設備管理的部門名稱或人員姓名，記錄部門名稱或人員姓名，查驗設備維護記錄；i)查驗網(wǎng)絡管理的部門名稱或人員姓名，查驗網(wǎng)絡管理的日常監(jiān)控記錄，核對記錄是否至少包括監(jiān)控時間、監(jiān)控內(nèi)容、監(jiān)控人員等；j)查驗系統(tǒng)漏洞掃描報告，記錄掃描報告的名稱，核對記錄是否至少包括掃描時間、掃描范圍、發(fā)現(xiàn)的漏洞、處理措施等；k)查驗和記錄員工所用殺毒軟件的名稱和版本；l)查驗安全事件報告和處置管理制度，是否規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復的管理職責。檢查結(jié)果判定檢查結(jié)果判定如下：a)若無法提供系統(tǒng)定級報告書，無單位信息安全領導（小組）的批準蓋章，則a）檢查結(jié)果為不符合；b)若無法提供安全設計方案，則b）檢查結(jié)果為不符合；c)若無法提供安全產(chǎn)品銷售許可證副本，則c）檢查結(jié)果為不符合；d)若無法提供負責工程實施過程管理的部門名稱或人員姓名，則d）檢查結(jié)果為不符合；e)若無法提供安全驗收測試方案和測試報告，則e）檢查結(jié)果為不符合；f)若無法提供機房安全管理制度，對機房環(huán)境、重要區(qū)域的訪問、人員和物品的出入未進行規(guī)定，則f）檢查結(jié)果為不符合；g)若無法提供與信息系統(tǒng)相關的資產(chǎn)清單，清單未包括資產(chǎn)名稱、資產(chǎn)位置、資產(chǎn)責任部門或責任人等，則g）檢查結(jié)果為不符合；h)若無法提供設備管理的部門名稱或人員姓名及設備維護記錄，則h）檢查結(jié)果為不符合；i)若無法提供網(wǎng)絡管理的部門名稱或人員姓名，網(wǎng)絡管理的日常監(jiān)控記錄中未包括監(jiān)控時間、監(jiān)控內(nèi)容、監(jiān)控人員，則i）檢查結(jié)果為不符合；j)若無法提供系統(tǒng)漏洞掃描報告，記錄中未包括掃描時間、掃描范圍、發(fā)現(xiàn)的漏洞、處理措施等，則j）檢查結(jié)果為不符合；k)若員工未使用殺毒軟件或病毒庫未及時更新，則k）檢查結(jié)果為不符合；l)若無法提供安全事件報告和處置管理制度，或內(nèi)容未覆蓋事件處理、報告和后期恢復的管理職責，則l）檢查結(jié)果為不符合。6二級信息系統(tǒng)檢查6.1物理安全要求6.1.1物理位置選擇檢查內(nèi)容檢查內(nèi)容如下：應檢查機房的選址和所在建筑物的防護能力。檢查方法檢查方法如下：查驗機房所在樓宇的驗收報告是否明確機房所在建筑的防震、防風和防雨等能力。檢查結(jié)果判定檢查結(jié)果判定如下：若無法提供機房所在建筑物樓宇的驗收報告，或未采取防風和防雨等措施，則檢查結(jié)果為不符合。6.1.2物理訪問控制檢查內(nèi)容檢查內(nèi)容如下：應檢查物理訪問控制措施。檢查方法檢查方法如下：a)查驗機房所有出入口是否有值守記錄以及進出機房的人員登記記錄；b)查驗是否有來訪人員進入機房的審批記錄，查驗審批記錄是否包括來訪人員的訪問范圍。檢查結(jié)果判定檢查結(jié)果判定如下：a)若機房任何一個出入口沒有值守記錄和進出人員登記記錄，則a）檢查結(jié)果為不符合；b)若不具有來訪人員進入機房的審批記錄，或?qū)徟涗浿胁痪邆鋪碓L人員的訪問范圍、所進行的操作等審批項，則b）檢查結(jié)果為不符合。6.1.3支撐設施保障檢查內(nèi)容檢查內(nèi)容如下：a)應檢查防水措施；b)應檢查防火措施；c)應檢查溫濕度控制措施；d)應檢查防靜電措施；e)應檢查短期備用電源設備。檢查方法檢查方法如下：a)查驗是否具備防止機房地下積水轉(zhuǎn)移與滲透的措施，是否對防水防潮處理結(jié)果和除濕裝置運行情況進行記錄；b)查驗機房是否設置了自動消防系統(tǒng)，是否有人負責維護該系統(tǒng)的運行；查驗自動消防系統(tǒng)是否正常工作，查看是否有運行記錄、報警記錄、定期檢查和維修記錄；c)查驗溫濕度自動調(diào)節(jié)設施是否能夠正常運行，查驗是否有溫濕度記錄、運行記錄和維護記錄；d)訪談物理安全負責人，詢問機房主要設備是否采取必要的接地防靜電措施；e)查驗計算機系統(tǒng)的短期備用電源設備是否正常運行，查驗是否有短期備用電源設備的檢查和維護記錄。檢查結(jié)果判定檢查結(jié)果判定如下：a)若機房的墻壁或樓板的管道沒有采取必要的防滲透防漏等防水保護措施，或防水防潮處理結(jié)果及除濕裝置運行記錄缺失，則a）檢查結(jié)果為不符合；b)若機房內(nèi)沒有設置自動檢測火情、自動報警、自動滅火的自動消防系統(tǒng)，或自動消防系統(tǒng)無法正常工作，運行記錄、報警記錄、定期檢查和維修記錄缺失，則b）檢查結(jié)果為不符合；c)若機房內(nèi)沒有配備溫濕度自動調(diào)節(jié)設施，或溫濕度記錄、運行記錄和維護記錄缺失，則c）檢查結(jié)果為不符合；d)若機房內(nèi)沒有設置靜電接地，則d）檢查結(jié)果為不符合；e)若機房內(nèi)沒有設置短期備用電源設備（如UPS或短期備用電源設備的檢查和維護記錄缺失，則e）檢查結(jié)果為不符合。6.2安全技術要求6.2.1網(wǎng)絡結(jié)構(gòu)安全檢查內(nèi)容檢查內(nèi)容如下：應檢查網(wǎng)絡拓撲圖和重要網(wǎng)段劃分情況。檢查方法檢查方法如下：a)查驗實際環(huán)境中的核心交換機、核心服務器、邊界防火墻等是否能夠在網(wǎng)絡拓撲結(jié)構(gòu)圖中定位；b)訪談網(wǎng)絡管理員，詢問網(wǎng)段劃分情況以及劃分的原則。檢查結(jié)果判定檢查結(jié)果判定如下：a)若網(wǎng)絡拓撲圖中無法定位核心交換機、核心服務器、邊界防火墻等關鍵設備，則a）檢查結(jié)果為不符合；b)若網(wǎng)絡沒有劃分子網(wǎng)，則b）檢查結(jié)果為不符合。6.2.2邊界安全防護檢查內(nèi)容檢查內(nèi)容如下：應檢查網(wǎng)絡邊界訪問控制、網(wǎng)絡入侵檢測措施。檢查方法檢查方法如下：a)查驗防火墻等邊界安全設備是否配置網(wǎng)段級的訪問控制策略；b)查驗網(wǎng)絡邊界設備是否采取技術手段防止地址欺騙；c)查驗網(wǎng)絡入侵檢測設備是否能檢測以下攻擊行為：端口掃描、漏洞掃描、緩沖區(qū)溢出攻擊、拒絕服務攻擊等，查看其規(guī)則庫是否為最新；d)查驗邊界完整性檢查設備是否設置了對非法連接到外網(wǎng)的行為進行監(jiān)控并有效阻斷的配置。檢查結(jié)果判定檢查結(jié)果判定如下：a)若沒有在網(wǎng)絡邊界部署防火墻等訪問控制設備或訪問控制策略沒有到網(wǎng)段級，則a）檢查結(jié)果為不符合；b)若重要地址沒有采用IP/MAC綁定等手段防止地址欺騙，則b）檢查結(jié)果為不符合；c)若沒有部署入侵檢測設備或入侵檢測設備的特征庫未及時更新，則c）檢查結(jié)果為不符合；d)若沒有相應的手段監(jiān)控和阻止內(nèi)部用戶非法連接到外網(wǎng)，則d）檢查結(jié)果為不符合。6.2.3用戶身份鑒別檢查內(nèi)容檢查內(nèi)容如下：應檢查網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應用系統(tǒng)的身份鑒別措施和口令策略。檢查方法檢查方法如下：a)查驗主要網(wǎng)絡設備、服務器操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應用系統(tǒng)的身份鑒別是否開啟，口令的復雜度情況；b)查驗操作系統(tǒng)、應用系統(tǒng)是否具備登錄失敗賬戶鎖定功能。檢查結(jié)果判定檢查結(jié)果判定如下：a)若主要網(wǎng)絡設備、服務器操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應用系統(tǒng)無需身份鑒別，或出現(xiàn)弱口令、默認口令、空口令，設置少于8位且僅由數(shù)字或字母組成的口令，則a）檢查結(jié)果為不符合；b)未設置連續(xù)登錄失敗賬戶鎖定功能，則b）檢查結(jié)果為不符合。6.2.4訪問控制檢查內(nèi)容檢查內(nèi)容如下：應檢查操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應用該系統(tǒng)的默認賬戶和系統(tǒng)賬戶的權限分配情況。檢查方法檢查方法如下：a)查驗主要服務器操作系統(tǒng)和重要數(shù)據(jù)庫管理系統(tǒng)是否已禁用或者限制匿名/默認賬戶的訪問權限，是否重命名系統(tǒng)默認賬戶名并修改默認賬戶的默認口令；b)通過訪談詢問應用系統(tǒng)的訪問控制策略及粒度；以不同權限的用戶登錄應用系統(tǒng)，查看其擁有的權限是否與系統(tǒng)賦予的權限一致，驗證應用系統(tǒng)訪問控制功能是否有效。檢查結(jié)果判定檢查結(jié)果判定如下：a)操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)默認賬戶名未重命名，默認口令未修改，則a）檢查結(jié)果為不符合；adm等），則a）檢查結(jié)果為不符合；c)其他操作系統(tǒng)存在未重命名的默認系統(tǒng)用戶，則a）檢查結(jié)果為不符合；d)應用系統(tǒng)普通用戶登錄后具備系統(tǒng)管理等管理員同樣的權限，則b）檢查結(jié)果為不符合；e)權限之間未形成相互制約，如未做到管理權限和審計權限的分離，則b）檢查結(jié)果為不符合。6.2.5審計日志管理檢查內(nèi)容檢查內(nèi)容如下：應檢查網(wǎng)絡設備的日志、操作系統(tǒng)日志、數(shù)據(jù)庫日志、應用系統(tǒng)日志的保存情況。檢查方法檢查方法如下：a)查驗網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫和應用系統(tǒng)是否具備了審計日志;b)查驗是否通過日志覆蓋周期、覆蓋方式、日志文件/空間大小、日志文件操作權限等設置，實現(xiàn)對審計記錄的保護。檢查結(jié)果判定檢查結(jié)果判定如下：a)不具備網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫和應用系統(tǒng)的審計日志，則a）檢查結(jié)果為不符合；b)未合理配置網(wǎng)絡設備日志緩沖區(qū)大小，則b）檢查結(jié)果為不符合；c)未對各層面的審計日志設定覆蓋周期、覆蓋方式、讀寫權限等，則b）檢查結(jié)果為不符合；d)未對各層面的審計日志進行備份，則b）檢查結(jié)果為不符合；e)應用系統(tǒng)為用戶提供日志單條刪除功能，則b）檢查結(jié)果為不符合。6.2.6系統(tǒng)數(shù)據(jù)保護檢查內(nèi)容檢查內(nèi)容如下：a)應檢查網(wǎng)絡設備、應用系統(tǒng)中的口令加密情況；b)應檢查應用系統(tǒng)數(shù)據(jù)備份介質(zhì)。檢查方法檢查方法如下：a)查驗網(wǎng)絡設備的配置文件中用戶口令是否加密存儲；b)查驗應用系統(tǒng)存儲用戶信息的數(shù)據(jù)表中用戶口令字段是否加密存儲；c)查驗是否對主要網(wǎng)絡設備、主要數(shù)據(jù)庫管理系統(tǒng)和主要應用系統(tǒng)的重要信息進行了本地備份，備份介質(zhì)是否場外存放。檢查結(jié)果判定檢查結(jié)果判定如下：a)若網(wǎng)絡設備配置文件中存儲了明文用戶口令，則a）檢查結(jié)果為不符合；b)若應用系統(tǒng)的數(shù)據(jù)庫中存儲了明文用戶口令，則b）檢查結(jié)果為不符合；c)若缺乏主要網(wǎng)絡設備、主要數(shù)據(jù)庫管理系統(tǒng)和主要應用系統(tǒng)重要信息的備份，則c）檢查結(jié)果為不符合；d)備份介質(zhì)若無場外存放，則c）檢查結(jié)果為不符合。6.3安全管理要求6.3.1安全管理機構(gòu)檢查內(nèi)容檢查內(nèi)容如下：應檢查安全崗位人員配備情況和安全制度審批機制建立情況。檢查方法檢查方法如下：a)查驗崗位設置管理制度和工作責任書，檢查是否有安全主管、安全管理員、系統(tǒng)管理員、網(wǎng)絡管理員等崗位的工作職責描述；b)查驗系統(tǒng)、網(wǎng)絡、安全方面的管理規(guī)定，記錄系統(tǒng)管理員、網(wǎng)絡管理員、數(shù)據(jù)庫管理員、安全管理員的姓名，核對安全管理員是否專職；c)查驗審批流程規(guī)定和審批記錄，記錄審批流程規(guī)定和審批記錄的名稱，核對審批記錄是否至少包括審批時間、申請人、審批內(nèi)容、審批人；d)查驗外聯(lián)單位聯(lián)系列表，核對是否至少包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信e)查驗安全檢查制度，記錄安全檢查制度的名稱，查驗定期安全檢查記錄，核對記錄是否至少包括檢查時間、檢查人員、檢查對象、檢查結(jié)果。檢查結(jié)果判定檢查結(jié)果判定如下：a)若沒有提供崗位設置管理制度和工作責任書，未明確安全主管、安全管理員、系統(tǒng)管理員、網(wǎng)絡管理員等崗位設置和工作職責，則a）檢查結(jié)果為不符合；b)若信息安全管理制度（網(wǎng)絡、主機、密碼、審計等制度）中沒有明確角色和職責定義，沒有信息安全管理崗位人員名單，未設置專職的信息安全管理員，或安全管理員存在兼任現(xiàn)象，則b）檢查結(jié)果為不符合；c)若沒有建立對機房及重要區(qū)域進出、系統(tǒng)或網(wǎng)絡重要操作（系統(tǒng)上線變更、配置變更、加固、安全管理等）的審批程序，或無法提供相關事件的審批記錄，則c）檢查結(jié)果為不符合；d)若沒有建立外聯(lián)單位聯(lián)系列表，或內(nèi)容不完整，則d）檢查結(jié)果為不符合；e)若沒有制定安全檢查工作制度和流程，沒有定期進行安全檢查活動并保留檢查記錄，則e）檢查結(jié)果為不符合。6.3.2安全管理制度檢查內(nèi)容檢查內(nèi)容如下：應檢查信息安全工作的總體方針和安全策略制定、發(fā)布方式和定期評審修訂情況。檢查方法檢查方法如下：a)查驗信息安全管理體系總體方針、安全策略方面的相關文檔，記錄信息安全工作的總體方針、抽查的安全策略文檔名稱等；b)查驗安全管理制度發(fā)布到相關人員手中的方式；c)查驗安全管理制度的審定和修訂記錄，核對評審記錄是否至少包括評審時間、評審地點、參與評審人員和評審結(jié)論，修訂記錄是否至少包括修訂時間、修訂內(nèi)容、修訂人等信息。檢查結(jié)果判定檢查結(jié)果判定如下：a)若沒有制定信息安全工作的總體方針和安全策略，則a）檢查結(jié)果為不符合；b)若安全管理制度沒有采用文件、郵件或辦公網(wǎng)等有效途徑發(fā)布，則b）檢查結(jié)果為不符合；c)若沒有定期對安全管理制度進行檢查，組織召開評審會，或評審記錄內(nèi)容不完整，則c）檢查結(jié)果為不符合。6.3.3系統(tǒng)人員安全檢查內(nèi)容檢查內(nèi)容如下：應檢查重要崗位人員勞動合同、人員離崗記錄、保密協(xié)議、人員培訓和考核記錄。檢查方法檢查方法如下：a)查驗重要崗位人員的勞動合同和保密協(xié)議，記錄保密協(xié)議名稱，核對協(xié)議內(nèi)容是否至少包括保密范圍、保密責任、違約責任、協(xié)議有效期和責任人簽字等；b)查驗重要崗位（如安全管理員）離崗人員辦理過的調(diào)離手續(xù)記錄，核對記錄是否至少包括人員姓名、調(diào)離崗位、調(diào)離時間、收回權限及物品、核對人簽字、批準人簽字等；c)查驗各崗位人員的安全技能和安全認知考核記錄，核對記錄是否至少包括考核時間、考核對象、考核內(nèi)容、考核結(jié)果等；d)查驗安全教育和培訓計劃，核對計劃是否明確了培訓方式、培訓對象、培訓內(nèi)容、培訓時間和地點等，查驗培訓記錄是否至少包括培訓人員、培訓內(nèi)容、培訓結(jié)果等描述。檢查結(jié)果判定檢查結(jié)果判定如下：a)若無法提供信息安全相關崗位人員的勞動合同或保密協(xié)議，則a）檢查結(jié)果為不符合；b)若重要崗位人員離崗記錄中，未包括人員姓名、調(diào)離崗位、調(diào)離時間、收回權限及物品、核對人簽字、批準人簽字等，則b）檢查結(jié)果為不符合；c)若無法提供針對不同崗位人員的安全技能和安全意識考核記錄，則c）檢查結(jié)果為不符合；d)若無法提供安全教育和培訓計劃，計劃或記錄內(nèi)容不完整，則d）檢查結(jié)果為不符合。6.3.4系統(tǒng)安全生命周期檢查內(nèi)容檢查內(nèi)容如下：應檢查系統(tǒng)設計、系統(tǒng)開發(fā)、系統(tǒng)實施、系統(tǒng)測評、系統(tǒng)驗收、系統(tǒng)交付、系統(tǒng)運維等生命周期各階段的安全管理制度和相應記錄保存情況。檢查方法檢查方法如下：a)查驗定級報告，記錄定級報告名稱和蓋章批準的部門名稱；b)查驗安全設計方案，記錄安全設計方案的名稱；c)查驗安全產(chǎn)品和密碼產(chǎn)品的銷售許可證副本；d)查驗軟件開發(fā)管理制度，記錄制度文檔名稱，核實有無開發(fā)過程的控制方法和人員行為準則；若為外包軟件開發(fā)，請被檢查機構(gòu)的配合人員提供軟件的惡意代碼檢測記錄和報告；e)查驗工程實施方案，記錄實施方案名稱，核對實施方案是否至少包括背景、目的、內(nèi)容、進度安排、實施人員和風險管理等；f)查驗安全性驗收測試方案和測試驗收報告，記錄報告的名稱；查驗測試驗收報告的審定記錄，記錄報告簽字人姓名等；g)查驗系統(tǒng)交付清單，記錄系統(tǒng)交付清單的名稱，核對是否包括交接的設備名稱及數(shù)量、軟件名稱及數(shù)量、文檔名稱及數(shù)量等；h)查驗機房安全管理制度，記錄制度文檔名稱，核對是否規(guī)定機房物理訪問、物品帶入帶出等；i)查驗資產(chǎn)安全管理制度，記錄制度文檔名稱、規(guī)定的資產(chǎn)管理責任人或責任部門，核對是否至少包括資產(chǎn)管理和使用的行為；j)查驗介質(zhì)安全管理制度，記錄制度文檔名稱，查閱對介質(zhì)的存放環(huán)境、使用、維護和銷毀的規(guī)范化規(guī)定；k)查驗設備安全管理制度，記錄制度文檔名稱，查閱是否有軟硬件設備的選型、采購、發(fā)放和領用的管理規(guī)定；查驗信息處理設備帶離機房或辦公地點的審批記錄；l)查驗網(wǎng)絡安全管理制度，是否覆蓋網(wǎng)絡安全配置、安全策略、升級與補丁、授權訪問、日志保存時間、口令更新周期等方面內(nèi)容；m)通過訪談了解是否定期對系統(tǒng)進行漏洞掃描，記錄掃描周期，發(fā)現(xiàn)漏洞是否及時修補；查驗系統(tǒng)漏洞掃描報告，掃描時間間隔與掃描周期是否一致；查驗系統(tǒng)安全管理制度，內(nèi)容是否覆蓋系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面；n)查驗是否有惡意代碼防范方面的管理制度，查看其內(nèi)容是否覆蓋防惡意代碼軟件的授權使用、惡意代碼庫升級、定期匯報等方面；o)查驗變更管理制度，是否覆蓋變更前審批、變更過程記錄、變更后通報等方面內(nèi)容，是否包括變更申報、審批程序，是否規(guī)定需要申報的變更類型、申報流程、審批部門、批準人等方面內(nèi)容；p)查驗安全事件報告和處置管理制度，是否明確安全事件類型，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復的管理職責。檢查結(jié)果判定檢查結(jié)果判定如下：a)若無法提供系統(tǒng)定級報告書，無單位信息安全領導（小組）的批準蓋章，則a）檢查結(jié)果為不符合；b)若無法提供安全設計方案，則b）檢查結(jié)果為不符合；c)若無法提供安全產(chǎn)品和密碼產(chǎn)品的銷售許可證副本，則c）檢查結(jié)果為不符合；d)若無法提供軟件開發(fā)管理制度，若為外包軟件開發(fā)，無法提供軟件的惡意代碼掃描記錄和檢測報告，則d）檢查結(jié)果為不符合；e)若無法提供工程實施方案，實施方案未包括背景、目的、內(nèi)容、進度安排、實施人員和風險管理等，則e）檢查結(jié)果為不符合；f)若無法提供安全驗收測試方案和測試報告，或無測試報告結(jié)果的評審記錄，則f）檢查結(jié)果為不符合；g)若無法提供詳細的系統(tǒng)交付清單，清單中的信息不完整，或各環(huán)節(jié)無負責人員簽字，則g）檢查結(jié)果為不符合；h)若無法提供機房安全管理制度，對機房環(huán)境、重要區(qū)域的訪問、人員和物品的出入未進行規(guī)定，則h）檢查結(jié)果為不符合；i)若無法提供資產(chǎn)安全管理制度，未明確資產(chǎn)管理責任部門和人員、管理和使用行為、資產(chǎn)編號和分類方法、信息存儲和保存發(fā)放等，則i）檢查結(jié)果為不符合；j)若無法提供介質(zhì)安全管理制度，或內(nèi)容未包含對介質(zhì)的存放環(huán)境、使用、維護和銷毀的規(guī)范化規(guī)定，則j）檢查結(jié)果為不符合；k)若無法提供設備安全管理制度，或內(nèi)容不合理、不完整；無法提供設備帶離辦公場所或機房的審批記錄，則k）檢查結(jié)果為不符合；l)若無法提供網(wǎng)絡安全管理制度，或內(nèi)容未覆蓋網(wǎng)絡安全配置、日志保存時間、安全策略、升級與補丁、口令更新周期等方面，則l）檢查結(jié)果為不符合；m)若無法提供系統(tǒng)安全管理制度，或內(nèi)容未覆蓋系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面；無法提供定期對服務器進行漏洞掃描的報告，則m）檢查結(jié)果為不符合；n)若無法提供惡意代碼防范方面的管理制度，其內(nèi)容未覆蓋防惡意代碼軟件的授權使用、惡意代碼庫升級、定期匯報等方面，則n）檢查結(jié)果為不符合；o)若無法提供變更管理制度，或內(nèi)容未覆蓋系統(tǒng)上線變更、配置變更和其他重要變更等，則o）檢查結(jié)果為不符合；p)若無法提供安全事件報告和處置管理制度，或內(nèi)容未覆蓋安全事件類型，事件處理、報告和后期恢復的管理職責，則p）檢查結(jié)果為不符合。6.3.5系統(tǒng)連續(xù)性保障檢查內(nèi)容檢查內(nèi)容如下：應檢查業(yè)務中斷影響分析報告、業(yè)務連續(xù)性技術環(huán)境、備份恢復管理制度和應急響應機制。檢查方法檢查方法如下：a)查驗業(yè)務中斷影響分析報告，是否對業(yè)務中斷的可能性和造成的影響進行分析；b)查驗網(wǎng)絡鏈路、網(wǎng)絡設備、服務器和數(shù)據(jù)存儲設備列表和說明，是否不存在關鍵節(jié)點單點故障；c)查驗備份與恢復方面的管理制度，是否明確了備份方式、備份頻度、存儲介質(zhì)和保存期等方面d)查驗應急預案；通過訪談系統(tǒng)運維負責人了解是否定期對應急預案進行演練并保留演練記錄。檢查結(jié)果判定檢查結(jié)果判定如下：a)若無法提供業(yè)務中斷影響分析報告，內(nèi)容未包括業(yè)務中斷的可能性和造成的影響分析，則a）檢查結(jié)果為不符合；b)若無法提供網(wǎng)絡鏈路、網(wǎng)絡設備、服務器和數(shù)據(jù)存儲設備列表和說明，關鍵節(jié)點存在單點故障，則b）檢查結(jié)果為不符合；c)若無法提供備份與恢復管理相關的安全管理制度，未明確系統(tǒng)和數(shù)據(jù)備份頻率和方式，則c）檢查結(jié)果為不符合；d)若未制定應急預案，內(nèi)容未覆蓋應急預案啟動的條件、應急處理所需要的人力、物力和流程、系統(tǒng)恢復流程、事后教育和培訓等內(nèi)容；或未定期開展應急預案演練并未保留記錄，則d）檢查結(jié)果為不符合。7三級信息系統(tǒng)檢查7.1物理安全要求7.1.1物理位置選擇檢查內(nèi)容檢查內(nèi)容如下：應檢查機房的選址和所在建筑物的防護能力。檢查方法檢查方法如下：a)查驗機房所在樓宇的驗收報告是否明確機房所在建筑的防震、防風和防雨等能力；b)查驗機房是否在建筑物的頂層或地下室，是否加強防水和防潮措施。檢查結(jié)果判定檢查結(jié)果判定如下：a)若無法提供機房所在建筑物樓宇的驗收報告，或未采取防風和防雨等措施，則a）檢查結(jié)果為不符合；b)如果機房選址在地下室或頂層，且未加強防水和防潮措施，則b）檢查結(jié)果為不符合。7.1.2物理訪問控制檢查內(nèi)容檢查內(nèi)容如下：應檢查物理訪問控制措施。檢查方法檢查方法如下：a)查驗機房所有出入口是否有值守記錄以及進出機房的人員登記記錄；b)查驗是否有來訪人員進入機房的審批記錄，查驗審批記錄是否包括來訪人員的訪問范圍；c)查驗機房內(nèi)的運維區(qū)域和設備區(qū)域是否有隔離措施；d)查驗電子門禁系統(tǒng)是否能正常工作；查驗是否有電子門禁系統(tǒng)的運行和維護記錄。檢查結(jié)果判定檢查結(jié)果判定如下：a)若機房任何一個出入口沒有值守記錄和進出人員登記記錄，則a）檢查結(jié)果為不符合；b)若沒有來訪人員進入機房的審批記錄，或?qū)徟涗浿胁痪邆鋪碓L人員的訪問范圍以及所要執(zhí)行的操作等審批項，則b）檢查結(jié)果為不符合；c)若機房內(nèi)的運維區(qū)域和設備區(qū)域間沒有隔離措施，如玻璃門等，則c）檢查結(jié)果為不符合；d)若機房內(nèi)沒有設置電子門禁系統(tǒng)，或者電子門禁系統(tǒng)無法正常工作，或沒有電子門禁系統(tǒng)運行和維護記錄，則d）檢查結(jié)果為不符合。7.1.3支撐設施保障檢查內(nèi)容檢查內(nèi)容如下：a)應檢查防水措施；b)應檢查防火措施；c)應檢查溫濕度控制措施；d)應檢查防靜電措施；e)應檢查電力保障措施和通信線纜保護措施。檢查方法檢查方法如下：a)查驗是否具備防止機房地下積水轉(zhuǎn)移與滲透的措施，是否對防水防潮處理結(jié)果和除濕裝置運行情況進行記錄；b)查驗是否設置對水敏感的檢測儀表或元件對機房進行防水檢測和報警；查驗該儀表或元件是否正常運行，是否有日常狀態(tài)運行監(jiān)測記錄，是否有人負責其運行管理工作；c)查驗機房是否設置了自動檢測火情、自動報警、自動滅火的自動消防系統(tǒng)，查驗自動消防系統(tǒng)是否正常工作，是否有運行記錄、報警記錄、定期檢查和維修記錄；d)查驗機房及相關的工作房間和輔助房是否采用具有耐火等級的建筑材料；e)查驗溫濕度自動調(diào)節(jié)設施是否能夠正常運行，查驗是否有溫濕度記錄、運行記錄和維護記錄；f)訪談物理安全負責人，詢問機房主要設備是否采取必要的接地防靜電措施，查驗機房是否采用了防靜電地板；g)查驗是否有短期備用電源設備或備用供電系統(tǒng)及其檢查和維護記錄，是否有冗余或并行的電力電纜線路切換記錄、備用供電系統(tǒng)運行記錄；h)查驗機房是否采取通信線纜與電源線隔離鋪設等通信線纜保護措施。檢查結(jié)果判定檢查結(jié)果判定如下：a)若機房的墻壁或樓板的管道沒有采取必要的防滲透防漏等防水保護措施，或防水防潮處理結(jié)果及除濕裝置運行記錄缺失，則a）檢查結(jié)果為不符合；b)若機房內(nèi)沒有設置對水敏感的檢測儀表或元件對機房進行防水檢測和報警，則b）檢查結(jié)果為不符合；c)若機房內(nèi)沒有設置自動檢測火情、自動報警、自動滅火的自動消防系統(tǒng)，或自動消防系統(tǒng)無法正常工作，運行記錄、報警記錄、定期檢查和維修記錄缺失，則c）檢查結(jié)果為不符合；d)若機房及相關的工作房間和輔助房沒有采用具有耐火等級的建筑材料，則d）不符合；e)若機房內(nèi)沒有配備溫濕度自動調(diào)節(jié)設施，或溫濕度記錄、運行記錄和維護記錄缺失，則e）檢查結(jié)果為不符合；f)若機房內(nèi)沒有設置靜電接地，或機房未采用防靜電地板，則f）檢查結(jié)果為不符合；g)若機房內(nèi)沒有設置短期備用電源設備（如UPS）或備用供電系統(tǒng)，則g）檢查結(jié)果為不符合；h)若機房沒有采取通信線纜與電源線隔離鋪設，則h）檢查結(jié)果為不符合。7.2安全技術要求7.2.1網(wǎng)絡結(jié)構(gòu)安全檢查內(nèi)容檢查內(nèi)容如下：應檢查網(wǎng)絡拓撲圖和重要網(wǎng)段劃分情況；應檢查網(wǎng)絡線路部署的冗余措施。檢查方法檢查方法如下：a)查驗實際環(huán)境中的核心交換機、核心服務器、邊界防火墻等是否能夠在網(wǎng)絡拓撲結(jié)構(gòu)圖中定位；b)訪談網(wǎng)絡管理員，詢問網(wǎng)段劃分情況以及劃分的原則；c)查驗重要網(wǎng)段間的核心交換機或防火墻是否配置了訪問控制策略；d)查驗是否提供關鍵網(wǎng)絡設備、主要通信線路和核心數(shù)據(jù)處理系統(tǒng)的熱備。檢查結(jié)果判定檢查結(jié)果判定如下：a)若網(wǎng)絡拓撲圖中無法定位核心交換機、核心服務器、邊界防火墻等關鍵設備，則a）檢查結(jié)果為不符合；b)若網(wǎng)絡沒有劃分子網(wǎng)，則b）檢查結(jié)果為不符合；c)核心交換機或防火墻沒有設置訪問控制策略（ACL），則c）檢查結(jié)果為不符合；d)若網(wǎng)絡內(nèi)關鍵網(wǎng)絡設備、主要通信線路和核心數(shù)據(jù)處理系統(tǒng)存在單點故障，則d）檢查結(jié)果為不符合。7.2.2邊界安全防護檢查內(nèi)容檢查內(nèi)容如下：應檢查網(wǎng)絡邊界訪問控制、網(wǎng)絡入侵檢測和網(wǎng)絡惡意代碼防范措施。檢查方法檢查方法如下：a)查驗防火墻等邊界安全設備是否配置協(xié)議端口級的訪問控制策略；b)查驗網(wǎng)絡邊界設備是否采取技術手段防止地址欺騙；c)查驗網(wǎng)絡入侵檢測設備是否能檢測以下攻擊行為：端口掃描、漏洞掃描、緩沖區(qū)溢出攻擊、拒絕服務攻擊等，查看其規(guī)則庫是否為最新，并對發(fā)現(xiàn)的入侵行為進行阻攔；d)查驗防惡意代碼產(chǎn)品是否正常運行，惡意代碼庫是否為最新版本；e)查驗邊界完整性檢查設備是否設置了對非法連接到外網(wǎng)和非法連接到內(nèi)網(wǎng)的行為進行監(jiān)控并有效阻斷的配置。檢查結(jié)果判定檢查結(jié)果判定如下：a)若沒有在網(wǎng)絡邊界部署防火墻等訪問控制設備或訪問控制策略沒有到端口級，則a）檢查結(jié)果為不符合；b)若重要地址沒有采用IP/MAC綁定等手段防止地址欺騙，則b）檢查結(jié)果為不符合；c)若沒有部署入侵檢測設備或入侵檢測設備的特征庫未及時更新，則c）檢查結(jié)果為不符合；d)如果系統(tǒng)與互聯(lián)網(wǎng)存在接口，未在邊界部署網(wǎng)絡防惡意代碼產(chǎn)品，病毒庫未進行過至少每周一次的更新，則d）檢查結(jié)果為不符合；e)若沒有相應的手段監(jiān)控和阻止內(nèi)部用戶非法連接到外網(wǎng)，則e）檢查結(jié)果為不符合；f)若沒有相應的手段監(jiān)控和阻止非授權用戶連接到內(nèi)網(wǎng)，則e）檢查結(jié)果為不符合。7.2.3用戶身份鑒別檢查內(nèi)容檢查內(nèi)容如下：應檢查網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應用系統(tǒng)的身份鑒別措施、口令策略和強化的身份鑒別技術。檢查方法檢查方法如下：a)查驗主要網(wǎng)絡設備、服務器操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應用系統(tǒng)的身份鑒別是否開啟，口令的復雜度情況和定期修改時間；b)查驗操作系統(tǒng)、應用系統(tǒng)是否具備登錄失敗賬戶鎖定功能；c)查驗是否采用兩種或兩種以上組合鑒別技術對管理用戶進行身份鑒別。檢查結(jié)果判定檢查結(jié)果判定如下：a)若主要網(wǎng)絡設備、服務器操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應用系統(tǒng)無需身份鑒別，或出現(xiàn)弱口令、默認口令、空口令，設置少于8位且僅由數(shù)字或字母組成的口令，則a）檢查結(jié)果為不符合；b)若口令修改未達到至少3個月一次，則a）檢查結(jié)果為不符合；c)未設置連續(xù)登錄失敗賬戶鎖定功能，則b）檢查結(jié)果為不符合；d)若未采用兩種或兩種以上組合鑒別技術，則c）檢查結(jié)果為不符合。7.2.4訪問控制檢查內(nèi)容檢查內(nèi)容如下：應檢查操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應用該系統(tǒng)的默認賬戶和系統(tǒng)賬戶的權限分配情況。檢查方法檢查方法如下：a)查驗主要服務器操作系統(tǒng)和重要數(shù)據(jù)庫管理系統(tǒng)是否已禁用或者限制匿名/默認賬戶的訪問權限，是否重命名系統(tǒng)默認賬戶名并修改默認賬戶的默認口令；b)通過訪談詢問應用系統(tǒng)的訪問控制策略及粒度；以不同權限的用戶登錄應用系統(tǒng)，查看其擁有的權限是否與系統(tǒng)賦予的權限一致，驗證應用系統(tǒng)訪問控制功能是否有效。檢查結(jié)果判定檢查結(jié)果判定如下：a)操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)默認賬戶名未重命名，默認口令未修改，則a）檢查結(jié)果為不符合；adm等），則a）檢查結(jié)果為不符合；c)其他操作系統(tǒng)存在未重命名的默認系統(tǒng)用戶，則a）檢查結(jié)果為不符合；d)應用系統(tǒng)普通用戶登錄后具備系統(tǒng)管理等管理員同樣的權限，則b）檢查結(jié)果為不符合；e)權限之間未形成相互制約，如未做到管理權限和審計權限的分離，則b）檢查結(jié)果為不符合；f)超級管理員未禁止遠程登錄，其他默認賬戶未限制訪問權限，則b）檢查結(jié)果為不符合。7.2.5審計日志管理檢查內(nèi)容檢查內(nèi)容如下：應檢查網(wǎng)絡設備的日志、操作系統(tǒng)日志、數(shù)據(jù)庫日志、應用系統(tǒng)日志的保存和分析情況。檢查方法檢查方法如下：a)查驗網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫和應用系統(tǒng)是否具備了審計日志；b)查驗是否對網(wǎng)絡設備日志、操作系統(tǒng)日志、數(shù)據(jù)庫日志、應用系統(tǒng)日志進行瀏覽和分析，并根據(jù)需要生成審計報告；c)查驗是否通過日志覆蓋周期、覆蓋方式、日志存儲的空間大小、日志文件操作權限等設置，實現(xiàn)對審計記錄的保護，日志信息是否至少保存兩個月以上。檢查結(jié)果判定檢查結(jié)果判定如下：a)不具備網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫和應用系統(tǒng)的審計日志，則a）檢查結(jié)果為不符合；b)應用系統(tǒng)日志字段的內(nèi)容未至少包括日期、時間、用戶源、訪問對象、事件描述、事件結(jié)果，則a）檢查結(jié)果為不符合；c)未對各層面的審計日志進行分析并生成報告，則b）檢查結(jié)果為不符合；d)未合理配置網(wǎng)絡設備日志緩沖區(qū)大小，則c）檢查結(jié)果為不符合；e)操作系統(tǒng)日志文件權限設置不安全（如Windows的日志文件被授予Everyone權限；Linux日志文件權限為-rwxrwxrwx(777)），則c）檢查結(jié)果為不符合；f)未對各層面的審計日志設定覆蓋周期、覆蓋方式、讀寫權限等，則c）檢查結(jié)果為不符合；g)未對各層面的審計日志進行備份，則c）檢查結(jié)果為不符合；h)應用系統(tǒng)為用戶提供日志單條刪除功能，則c）檢查結(jié)果為不符合；i)未部署網(wǎng)絡設備日志集中收集系統(tǒng)（如Syslog服務器）對日志進行集中管理與備份，則c）檢查結(jié)果為不符合。7.2.6系統(tǒng)數(shù)據(jù)保護檢查內(nèi)容檢查內(nèi)容如下：a)應檢查網(wǎng)絡設備、應用系統(tǒng)中的口令加密情況；b)應檢查應用系統(tǒng)數(shù)據(jù)備份介質(zhì)。檢查方法檢查方法如下：a)查驗網(wǎng)絡設備的配置文件中用戶口令是否加密存儲；b)查驗應用系統(tǒng)存儲用戶信息的數(shù)據(jù)表中用戶口令字段是否加密存儲；c)查驗主要網(wǎng)絡設備、應用系統(tǒng)遠程管理時是否對用戶口令進行了加密保護；d)查驗是否對主要網(wǎng)絡設備、主要數(shù)據(jù)庫管理系統(tǒng)和主要應用系統(tǒng)的重要信息進行了本地備份，備份介質(zhì)是否場外存放。檢查結(jié)果判定檢查結(jié)果判定如下：a)若網(wǎng)絡設備配置文件中存儲了明文用戶口令，則a）檢查結(jié)果為不符合；b)若應用系統(tǒng)的數(shù)據(jù)庫中存儲了明文用戶口令，則b）檢查結(jié)果為不符合；c)若網(wǎng)絡設備采用Telnet協(xié)議進行遠程管理，則c）檢查結(jié)果為不符合；d)若應用系統(tǒng)采用Http協(xié)議并且通過獲取數(shù)據(jù)包驗證未對口令進行加密，則c）檢查結(jié)果為不符合；e)若缺乏主要網(wǎng)絡設備、主要數(shù)據(jù)庫管理系統(tǒng)和主要應用系統(tǒng)重要信息的備份，則d）檢查結(jié)果為不符合。7.3安全管理要求7.3.1安全管理機構(gòu)檢查內(nèi)容檢查內(nèi)容如下：應檢查安全管理組織架構(gòu)情況、安全崗位人員配備情況和安全制度審批機制建立情況。檢查方法檢查方法如下：a)查驗信息安全工作委員會或領導小組名單、信息安全工作委員會的最高領導的授權書，記錄授權書名稱；通過訪談了解是否成立信息安全管理工作的職能部門，并檢查安全主管的職責范圍；b)查驗系統(tǒng)、網(wǎng)絡、安全方面的管理規(guī)定，記錄系統(tǒng)管理員、網(wǎng)絡管理員、數(shù)據(jù)庫管理員、安全管理員的姓名，核對安全管理員是否專職；c)查驗審批流程規(guī)定和審批記錄，記錄審批流程規(guī)定和審批記錄的名稱，核對審批記錄是否至少包括審批時間、申請人、審批內(nèi)容、審批人；d)查驗外聯(lián)單位聯(lián)系列表，核對是否至少包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信e)查驗安全審核和安全檢查制度，記錄安全審核和安全檢查制度的名稱，檢查定期安全檢查的記錄和報告，核對記錄是否至少包括檢查時間、檢查人員、檢查對象、檢查結(jié)果，核對報告是否至少包括報告時間、報告結(jié)論、報告撰寫人、報告批準人等。檢查結(jié)果判定檢查結(jié)果判定如下：a)若沒有提供信息安全工作委員會或領導小組名單、授權書和職責文件，或沒有設立信息安全管理工作職能部門，沒有崗位責任書，則a）檢查結(jié)果為不符合；b)若信息安全管理制度（網(wǎng)絡、主機、密碼、審計等制度）中沒有明確角色和職責定義，沒有信息安全管理崗位人員名單，未設置專職的信息安全管理員，則b）檢查結(jié)果為不符合；c)若沒有建立對機房及重要區(qū)域進出、系統(tǒng)或網(wǎng)絡重要操作（系統(tǒng)上線變更、配置變更、加固、安全管理等）的審批程序，或無法提供相關事件的審批記錄，則c）檢查結(jié)果為不符合；d)若沒有建立外聯(lián)單位聯(lián)系列表，或內(nèi)容不完整，則d）為不符合；e)若沒有制定安全審核和安全檢查工作制度和流程，沒有定期進行安全審核和安全檢查活動并保留檢查記錄；或沒有對檢查報告進行上報，并制定處理意見或計劃，則e）檢查結(jié)果為不符合。7.3.2安全管理制度檢查內(nèi)容檢查內(nèi)容如下：應檢查信息安全工作的總體方針和安全策略制定、發(fā)布方式和定期評審修訂情況。檢查方法檢查方法如下：a)查驗信息安全管理體系總體方針、安全策略、管理制度、操作規(guī)程方面的相關文檔，記錄信息安全工作的總體方針、抽查的安全策略文檔名稱、抽查的管理制度名稱、抽查的操作規(guī)程名稱等；b)查驗安全管理制度的版本控制記錄、安全管理制度及其收發(fā)登記記錄，記錄安全管理制度的版本號；c)查驗安全管理制度的審定和修訂記錄，核對評審記錄是否至少包括評審時間、評審地點、參與評審人員和評審結(jié)論，修訂記錄是否至少包括修訂時間、修訂內(nèi)容、修訂人等信息。檢查結(jié)果判定檢查結(jié)果判定如下：a)若沒有制定信息安全工作的總體方針并形成文件下發(fā)；沒有形成全面的信息安全管理制度體系（包括但不限于：信息安全策略、機房管理制度、網(wǎng)絡/主機/數(shù)據(jù)/密碼管理等管理制度、設備操作規(guī)程、數(shù)據(jù)備份恢復操作規(guī)程等），則a）檢查結(jié)果為不符合；b)若沒有對安全管理制度編寫規(guī)范、格式進行統(tǒng)一，沒有版本控制記錄；或安全管理制度沒有通過正式文件、郵件或辦公網(wǎng)等有效途徑發(fā)布，則b）檢查結(jié)果為不符合；c)若沒有定期對安全管理制度進行檢查，組織召開評審會，或評審記錄內(nèi)容不完整，則c）檢查結(jié)果為不符合。7.3.3系統(tǒng)人員安全檢查內(nèi)容檢查內(nèi)容如下：應檢查重要崗位人員勞動合同、保密協(xié)議、人員培訓、考核記錄、人員離崗管理制度和離崗記錄。檢查方法檢查方法如下：a)查驗內(nèi)部人員的勞動合同和保密協(xié)議，記錄保密協(xié)議名稱，核對協(xié)議內(nèi)容是否至少包括保密范圍、保密責任、違約責任、協(xié)議有效期和責任人簽字等；查驗重要崗位人員的崗位安全協(xié)議；b)查驗重要崗位（如安全管理員）離崗人員辦理過的調(diào)離手續(xù)記錄，核對記錄是否至少包括人員姓名、調(diào)離崗位、調(diào)離時間、收回權限及物品、承諾的保密義務、核對人簽字、批準人簽字等；c)查驗各崗位人員的安全技能和安全認知考核記錄、重要崗位人員的安全審查和考核記錄，核對記錄是否至少包括考核時間、考核對象、考核內(nèi)容、考核結(jié)果等；d)查驗安全教育和培訓的書面規(guī)定，查驗不同崗位是否有不同的培訓計劃；查驗歸檔的培訓計劃和培訓記錄，核對培訓記錄是否至少包括培訓人員、培訓內(nèi)容、培訓結(jié)果等描述。檢查結(jié)果判定檢查結(jié)果判定如下：a)若無法提供信息安全相關崗位人員勞動合同或保密協(xié)議，則a）檢查結(jié)果為不符合；b)若無法提供重要崗位人員離崗管理制度和流程，離崗過程各環(huán)節(jié)無確認簽字；或離崗人員未簽訂保密義務，則b）檢查結(jié)果為不符合；c)若無法提供針對不同崗位人員的安全技能和安全意識考核記錄，則c）檢查結(jié)果為不符合；d)若未定期開展安全教育，未定期針對關鍵崗位人員進行安全技能培訓，未針對不同崗位人員制定年度培訓計劃，未對培訓內(nèi)容和結(jié)果進行記錄和歸檔，則d）檢查結(jié)果為不符合。7.3.4系統(tǒng)安全生命周期檢查內(nèi)容檢查內(nèi)容如下：應檢查系統(tǒng)設計、系統(tǒng)開發(fā)、系統(tǒng)實施、系統(tǒng)測評、系統(tǒng)驗收、系統(tǒng)交付、系統(tǒng)運維等生命周期各階段的安全管理制度和相應記錄保存情況。檢查方法檢查方法如下：a)查驗定級結(jié)果審定記錄，核對記錄是否至少包括審定時間、審定內(nèi)容和審定人等，并記錄定級報告名稱和蓋章批準的部門名稱；b)查驗信息系統(tǒng)等級備案材料是否報相應公安機關備案，核對備案材料是否至少包括《信息安全等級保護備案表》、系統(tǒng)拓撲結(jié)構(gòu)及說明、系統(tǒng)安全組織機構(gòu)和管理制度、系統(tǒng)安全保護設施設計實施方案或者改建實施方案、系統(tǒng)使用的信息安全產(chǎn)品清單及其認證、銷售許可證明副本、信息系統(tǒng)安全保護等級專家評審意見、主管部門審核批準信息系統(tǒng)安全保護等級的意見；c)查驗總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃和詳細設計方案組成的配套文件；d)查驗軟件開發(fā)管理制度，記錄制度文檔名稱，核實有無開發(fā)過程的控制方法和人員行為準則，有無代碼編寫安全規(guī)范；若為外包軟件開發(fā)，查驗軟件的惡意代碼檢測記錄和報告；e)查驗工程實施方面的管理制度，記錄制度文檔名稱，核實是否包括實施過程的控制方法和人員行為準則；f)查驗用于驗收的第三方安全性測試報告，記錄報告的名稱和第三方單位名稱；查驗測試驗收報告的審定記錄，記錄報告簽字人姓名等；g)查驗系統(tǒng)交付清單，記錄系統(tǒng)交付清單的名稱，核對是否包括交接的設備名稱及數(shù)量、軟件名稱及數(shù)量、文檔名稱及數(shù)量等；查驗系統(tǒng)交付后的培訓記錄，核對培訓記錄是否至少包括培訓人員、培訓內(nèi)容、培訓結(jié)果等的描述；h)查驗系統(tǒng)等級測評報告，記錄報告名稱和測評時間；查驗整改方案，記錄方案名稱；查驗等級測評機構(gòu)是否是《全國等級保護測評機構(gòu)推薦目錄》中的機構(gòu)；i)查驗機房安全管理制度，記錄制度文檔名稱，核對是否規(guī)定機房物理訪問、物品帶入帶出等；查驗工作人員離開情況下終端計算機的狀態(tài)是否為鎖定狀態(tài)，桌面是否沒有包含敏感信息的紙質(zhì)文檔；j)查驗資產(chǎn)安全管理制度，記錄制度文檔名稱、規(guī)定的資產(chǎn)管理責任人或責任部門，核對是否至少包括資產(chǎn)管理和使用的行為；核對是否對數(shù)據(jù)信息的分類與標識方法作出規(guī)定，查閱信息的使用、傳輸和存儲方面的規(guī)范化規(guī)定；k)查驗介質(zhì)安全管理制度，記錄制度文檔名稱，查閱對介質(zhì)的存放環(huán)境、使用、維護和銷毀的規(guī)范化規(guī)定；l)查驗設備安全管理制度，記錄制度文檔名稱，查閱是否有軟硬件設備的選型、采購、發(fā)放和領用的管理規(guī)定；查驗信息處理設備帶離機房或辦公地點的審批記錄；查驗配套設施、軟硬件維護方面的管理制度，記錄制度文檔名稱；m)查驗是否具有安全集中管理的相關工具，可以實施對設備狀態(tài)、惡意代碼、補丁升級、安全審計等安全相關事項的集中監(jiān)控和管理；查驗監(jiān)測與報警記錄與分析報告；n)查驗網(wǎng)絡安全管理制度，是否覆蓋網(wǎng)絡安全配置、安全策略、升級與補丁、授權訪問、日志保存時間、口令更新周期等方面內(nèi)容；通過訪談了解是否定期對網(wǎng)絡設備進行漏洞掃描，記錄掃描周期，發(fā)現(xiàn)漏洞是否及時修補；查驗網(wǎng)絡漏洞掃描報告，內(nèi)容是否包含網(wǎng)絡存在的漏洞、嚴重級別和結(jié)果處理等方面，掃描時間間隔與掃描周期是否一致；o)通過訪談了解是否定期對系統(tǒng)進行漏洞掃描，記錄掃描周期，發(fā)現(xiàn)漏洞是否及時修補；查驗系統(tǒng)漏洞掃描報告，確認掃描時間間隔與掃描周期是否一致；查驗系統(tǒng)安全管理制度，內(nèi)容是否覆蓋系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面；通過訪談詢問是否指定專門的部門或人員負責系統(tǒng)管理，詢問是否對系統(tǒng)管理員用戶進行分類，明確各個角色的權限、責任和風險；p)通過訪談詢問是否指定專門的人員對網(wǎng)絡和主機進行惡意代碼檢測；查驗定期檢查惡意代碼庫的升級情況，對截獲的危險病毒或惡意代碼是否及時進行分析處理，查驗書面的報表和總結(jié)匯報；查驗惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告，查驗升級記錄是否記錄升級時間、升級版本等內(nèi)容，查驗分析報告是否描述惡意代碼的特征、修補措施等內(nèi)容；q)查驗變更管理制度，是否覆蓋變更前審批、變更過程記錄、變更后通報等方面內(nèi)容，是否包括變更申報、審批程序，是否規(guī)定需要申報的變更類型、申報流程、審批部門、批準人等方面內(nèi)容；r)查驗安全事件報告和處置管理制度，是否明確安全事件類型，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復的管理職責。檢查結(jié)果判定檢查結(jié)果判定如下：a)若無法提供信息系統(tǒng)定級結(jié)果專家意見；未制定系統(tǒng)定級報告書，無單位信息安全領導（小組）的批準蓋章，則a）檢查結(jié)果為不符合；b)若無法提供符合公安機關要求的定級備案材料，資料不完整，未獲得公安機關備案證明，則b）檢查結(jié)果為不符合；c)若無法提供完整的總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃和詳細設計方案，則c）檢查結(jié)果為不符合；d)若無法提供軟件開發(fā)管理制度，未根據(jù)不同開發(fā)語言制定相應的安全編碼規(guī)范；若為外包軟件開發(fā)，無法提供軟件的惡意代碼掃描記錄和檢測報告，則d）檢查結(jié)果為不符合；e)若無法提供工程實施方面的管理制度，內(nèi)容未包含在實施過程中控制方法和人員行為準則，則e）檢查結(jié)果為不符合；f)若無法提供用于驗收的第三方安全性測試報告，報告內(nèi)容與被驗收的對象不匹配的（如系統(tǒng)驗收應至少包含應用安全，網(wǎng)絡環(huán)境驗收應至少包含網(wǎng)絡安全等），或無測試報告結(jié)果的評審記錄，則f）檢查結(jié)果為不符合；g)若無法提供詳細的系統(tǒng)交付清單，清單中的信息不完整，各環(huán)節(jié)無負責人員簽字，或無系統(tǒng)交付后的培訓記錄，則g）檢查結(jié)果為不符合；h)若無法提供每年一次的等級測評報告，或測評機構(gòu)不是《全國等級保護測評機構(gòu)推薦目錄》中的測評機構(gòu)；未根據(jù)測評情況制定整改方案和計劃，則h）檢查結(jié)果為不符合；i)若無法提供機房安全管理制度和辦公環(huán)境安全管理要求，對機房環(huán)境、重要區(qū)域的訪問、人員和物品的出入未進行規(guī)定；或未對辦公環(huán)境的安全性進行規(guī)定，則i）檢查結(jié)果為不符合；j)若無法提供資產(chǎn)安全管理制度，未明確資產(chǎn)管理責任部門和人員、管理和使用行為、資產(chǎn)編號和分類方法、信息存儲和保存發(fā)放等；無法提供資產(chǎn)借出/收回記錄；未對資產(chǎn)進行分類與標識，則j）檢查結(jié)果為不符合；k)若無法提供介質(zhì)安全管理制度，或內(nèi)容未包含對介質(zhì)的存放環(huán)境、使用、維護和銷毀的規(guī)范化規(guī)定，則k）檢查結(jié)果為不符合；l)若無法提供設備安全管理制度，或內(nèi)容不合理、不完整；無法提供設備帶離辦公場所或機房的審批記錄；無法提供設備及基礎設施的運維管理制度，則l）檢查結(jié)果為不符合；m)若未采用集中監(jiān)控管理工具對所有運行的設備進行設備狀態(tài)、惡意代碼、補丁升級、安全審計等安全相關事項的集中監(jiān)控和管理；未配置報警策略，未根據(jù)監(jiān)控和報警情況進行匯報和處理并形成分析報告，則m）檢查結(jié)果為不符合；n)若無法提供網(wǎng)絡安全管理制度，或內(nèi)容未覆蓋網(wǎng)絡安全配置、日志保存時間、安全策略、升級與補丁、口令更新周期等方面；無法提供定期對網(wǎng)絡設備進行漏洞掃描的報告，則n）檢查結(jié)果為不符合；o)若無法提供系統(tǒng)安全管理制度，或內(nèi)容未覆蓋系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面；無法提供定期對服務器進行漏洞掃描的報告，未指定專人負責系統(tǒng)的運維，則o）檢查結(jié)果為不符合；p)若未指定專職人員進行網(wǎng)絡和主機的惡意代碼防范管理；未定期進行病毒庫升級，當前程序及病毒庫不是最新；或?qū)阂獯a事件未及時處理并留有記錄，則p）檢查結(jié)果為不符合；q)若無法提供變更管理制度，或內(nèi)容未覆蓋系統(tǒng)上線變更、配置變更和其他重要變更等；未制定變更流程，沒有變更審批、過程記錄和通報記錄，則q）檢查結(jié)果為不符合；r)若無法提供安全事件報告和處置管理制度，或內(nèi)容未覆蓋安全事件類型、事件處理、報告和后期恢復的管理職責，則r）檢查結(jié)果為不符合。7.3.5系統(tǒng)連續(xù)性保障檢查內(nèi)容檢查內(nèi)容如下：應檢查業(yè)務中斷影響分析報告、業(yè)務連續(xù)性技術環(huán)境、備份恢復管理制度和應急響應機制。檢查方法檢查方法如下：a)查驗是否對業(yè)務中斷的可能性和造成的影響進行分析，并形成災難恢復時間目標和恢復點目標值；b)查驗網(wǎng)絡鏈路、網(wǎng)絡設備、服務器和數(shù)據(jù)存儲設備列表和說明，是否不存在關鍵節(jié)點單點故障；c)查驗備份與恢復方面的管理制度，是否明確了備份方式、備份頻度、存儲介質(zhì)和保存期等方面內(nèi)容；查驗是否記錄恢復時間、恢復內(nèi)容、恢復人、恢復結(jié)果等；d)查驗是否制定不同事件的應急預案；通過訪談系統(tǒng)運維負責人了解是否定期對應急預案進行演練并保留演練記錄，記錄演練周期，是否對應急預案定期進行審查。檢查結(jié)果判定檢查結(jié)果判定如下：a)若無法提供業(yè)務中斷影響分析報告，內(nèi)容未包括業(yè)務中斷的可能性和造成的影響分析，未確定災難恢復時間（RTO）和災難恢復點（RPO）目標值，則a）檢查結(jié)果為不符合；b)若無法提供網(wǎng)絡鏈路、網(wǎng)絡設備、服務器和數(shù)據(jù)存儲設備列表和說明，關鍵節(jié)點存在單點故障，則b）檢查結(jié)果為不符合；c)若無法提供備份與恢復管理相關的安全管理制度，沒有備份與恢復操作流程，未明確系統(tǒng)和數(shù)據(jù)備份頻率和方式，或數(shù)據(jù)備份頻率和方式不能夠滿足RTO和RPO目標值；未定期進行數(shù)據(jù)恢復測試且未保留恢復過程和結(jié)果記錄，則c）檢查結(jié)果為不符合；d)若未制定應急預案框架，未根據(jù)不同事件制定不同的應急預案，內(nèi)容未覆蓋應急預案的條件、應急處理流程、系統(tǒng)恢復流程、事后教育和培訓等內(nèi)容；或未定期開展應急預案培訓和演練并未保留記錄，則d）檢查結(jié)果為不符合。8四級信息系統(tǒng)檢查8.1物理安全要求8.1.1物理位置選擇檢查內(nèi)容檢查內(nèi)容如下：應檢查機房的選址和所在建筑物的防護能力。檢查方法檢查方法如下：a)查驗機房所在樓宇的驗收報告是否明確機房所在建筑的防震、防風和防雨等能力；b)查驗機房是否在建筑物的頂層或地下室，是否加強防水和防潮措施；c)檢查機房與運維場地是否安排在一起或物理位置較近的地方。檢查結(jié)果判定檢查結(jié)果判定如下：a)若無法提供機房所在建筑物樓宇的驗收報告，或未采取防風和防雨等措施，則a）檢查結(jié)果為不符合；b)如果機房選址在地下室或頂層，且未加強防水和防潮措施，則b）檢查結(jié)果為不符合；c)若機房與運維場地相距較遠，則c）檢查結(jié)果為不符合。8.1.2物理訪問控制檢查內(nèi)容檢查內(nèi)容如下：應檢查物理訪問控制措施。檢查方法檢查方法如下：a)查驗機房所有出入口是否有值守記錄以及進出機房的人員登記記錄；b)查驗是否有來訪人員進入機房的審批記錄，查驗審批記錄是否包括來訪人員的訪問范圍，進出機房的有關記錄是否保存足夠的時間；c)查驗機房內(nèi)的運維區(qū)域和設備區(qū)域是否有隔離措施；d)訪談機房管理員是否將重要設備放置在重要區(qū)域并嚴格控制，控制來訪人員進入或一般不允許來訪人員進入；e)查驗電子門禁系統(tǒng)是否能正常工作；查驗是否有電子門禁系統(tǒng)的運行和維護記錄；f)查驗重要區(qū)域是否配置了第二道電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員。檢查結(jié)果判定檢查結(jié)果判定如下：a)若機房任何一個出入口沒有值守記錄和進出人員登記記錄，則a）檢查結(jié)果為不符合；b)若沒有來訪人員進入機房的審批記錄，或?qū)徟涗浿胁痪邆鋪碓L人員的訪問范圍以及所要執(zhí)行的操作等審批項，且審批記錄未保存一年以上，則b）檢查結(jié)果為不符合；c)若機房內(nèi)的運維區(qū)域和設備區(qū)域間沒有隔離措施，如玻璃門等，則c）檢查結(jié)果為不符合；d)若沒有明確控制措施控制外來人員對重要區(qū)域的訪問，則d）檢查結(jié)果為不符合；e)若機房內(nèi)沒有設置電子門禁系統(tǒng)，或者電子門禁系統(tǒng)無法正常工作，或沒有電子門禁系統(tǒng)運行和維護記錄，則e）檢查結(jié)果為不符合；f)若重要區(qū)域沒有設置第二道電子門禁系統(tǒng)來控制、鑒別和記錄進入的人員，則f）檢查結(jié)果為不符合。8.1.3支撐設施保障檢查內(nèi)容檢查內(nèi)容如下：a)應檢查防水措施；b)應檢查防火措施；c)應檢查溫濕度控制措施；d)應檢查防靜電措施；e)應檢查電力保障措施和通信線纜保護措施。檢查方法檢查方法如下：a)查驗是否具備防止機房地下積水轉(zhuǎn)移與滲透的措施，是否對防水防潮處理結(jié)果和除濕裝置運行情況進行記錄；b)查驗是否設置對水敏感的檢測儀表或元件對機房進行防水檢測和報警；查驗該儀表或元件是否正常運行，是否有日常狀態(tài)運行監(jiān)測記錄；c)查驗機房是否設置了自動檢測火情、自動報警、自動滅火的自動消防系統(tǒng)，查驗自動消防系統(tǒng)是否正常工作，是否有運行記錄、報警記錄、定期檢查和維修記錄；d)查驗機房及相關的工作房間和輔助房是否采用具有耐火等級的建筑材料；e)查驗機房是否采取區(qū)域隔離防火措施，將重要設備與其他設備隔離開；f)訪談機房值守人員，詢問對機房出現(xiàn)的消防安全隱患是否能夠及時報告并得到排除；是否參加過機房滅火設備的使用培訓，是否能夠正確使用滅火設備和自動消防系統(tǒng)；是否能夠做到隨時注意防止和消滅火災隱患；g)查驗機房消防方面的管理制度文檔；查驗是否有機房防火設計或驗收文檔；查驗是否有機房自動消防系統(tǒng)的設計或驗收文檔，文檔是否與現(xiàn)有消防配置狀況一致；查驗是否有機房及相關房間的建筑材料、區(qū)域隔離防火措施的驗收文檔或消防檢查驗收文檔；h)查驗溫濕度自動調(diào)節(jié)設施是否能夠正常運行，查驗是否有溫濕度記錄、運行記錄和維護記錄；i)查驗機房是否有溫濕度控制設計或驗收文檔，是否能夠滿足系統(tǒng)運行需要，是否與當前實際情況相符；j)訪談物理安全負責人，詢問機房主要設備是否采取必要的接地防靜電措施，查驗機房是否采用了防靜電地板；k)查驗是否有防靜電設計或驗收文檔，查看其描述內(nèi)容與實際情況是否一致；l)查驗是否采用了防靜電工作臺、靜電消除劑或靜電消除器等防靜電措施；查驗是否有使用靜電消除劑或靜電消除器等的消除靜電操作記錄；m)查驗是否有短期備用電源設備或備用供電系統(tǒng)及其檢查和維護記錄，是否有冗余或并行的電力電纜線路切換記錄，備用供電系統(tǒng)運行記錄；n)查驗機房是否采取通信線纜與電源線隔離鋪設等通信線纜保護措施；o)查驗機房是否有電力供應安全設計或驗收文檔，查驗文檔中是否標明配備備用電源設備、冗余或并行的電力電纜線路以及備用供電系統(tǒng)等要求；查驗與機房電力供應實際情況是否一致。檢查結(jié)果判定檢查結(jié)果判定如下：a)若機房的墻壁或樓板的管道沒有采取必要的防滲透防漏等防水保護措施，或防水防潮處理結(jié)果及除濕裝置運行記錄缺失，則a）檢查結(jié)果為不符合；b)若機房內(nèi)沒有設置對水敏感的檢測儀表或元件對機房進行防水檢測和報警，或該儀表或元件無法正常運行，日常狀態(tài)運行監(jiān)測記錄缺失，則b）檢查結(jié)果為不符合；c)若機房內(nèi)沒有設置自動檢測火情、自動報警、自動滅火的自動消防系統(tǒng)，或自動消防系統(tǒng)無法正常工作，運行記錄、報警記錄、定期檢查和維修記錄缺失，則c）檢查結(jié)果為不符合；d)若機房及相關的工作房間和輔助房沒有采用具有耐火等級的建筑材料，則d）檢查結(jié)果為不符合；e)若機房內(nèi)沒有采取區(qū)域隔離防火措施，則e）檢查結(jié)果為不符合；f)若機房值守人員不熟悉滅火設備和自動消防系統(tǒng)使用，或沒有對機房進行消防巡檢，檢查防火隱患，則f）檢查結(jié)果為不符合；g)若機房防火設計或驗收文檔、機房自動消防系統(tǒng)的設計或驗收文檔、機房的建筑材料、區(qū)域隔離防火措施的驗收文檔的內(nèi)容與實際情況不一致，則g）檢查結(jié)果為不符合；h)若機房內(nèi)沒有配備溫濕度自動調(diào)節(jié)設施，或溫濕度記錄、運行記錄和維護記錄缺失，則h）檢查結(jié)果為不符合；i)若溫濕度控制設計或驗收文檔中內(nèi)容不能滿足系統(tǒng)需求或與實際情況不相符，則i）檢查結(jié)果為不符合；j)若機房內(nèi)沒有設置靜電接地，或機房未采用防靜電地板，則j）檢查結(jié)果為不符合；k)若防靜電設計或驗收文檔與實際情況不符，則k）檢查結(jié)果為不符合；l)若機房內(nèi)設置了辦公場所，但沒有設置防靜電工作臺、靜電消除劑或靜電消除器等防靜電措施，或靜電消除劑或靜電消除器等的消除靜電操作記錄缺失，則l）檢查結(jié)果為不符合；m)若機房內(nèi)沒有設置短期備用電源設備（如UPS）或備用供電系統(tǒng)，電力電纜線路在雙路供電切換時不能夠?qū)τ嬎銠C系統(tǒng)正常供電，或備用供電系統(tǒng)不能夠在規(guī)定時間內(nèi)正常啟動和正常供電，則m）檢查結(jié)果為不符合；n)若機房沒有采取通信線纜與電源線隔離鋪設，則n）檢查結(jié)果為不符合；o)電力供應安全設計或驗收文檔與實際電力供應情況不相符，則o）檢查結(jié)果為不符合。8.2安全技術要求8.2.1網(wǎng)絡結(jié)構(gòu)安全檢查內(nèi)容檢查內(nèi)容如下：應檢查網(wǎng)絡拓撲圖和重要網(wǎng)段劃分情況；應網(wǎng)絡線路部署的冗余措施。檢查方法檢查方法如下：a)查驗實際環(huán)境中的核心交換機、核心服務器、邊界防火墻等是否能夠在網(wǎng)絡拓撲結(jié)構(gòu)圖中定位；b)訪談網(wǎng)絡管理員，詢問網(wǎng)段劃分情況以及劃分的原則；c)查驗重要網(wǎng)段間的核心交換機或防火墻是否配置了訪問控制策略；d)查驗是否提供關鍵網(wǎng)絡設備、主要通信線路和核心數(shù)據(jù)處理系統(tǒng)的熱備。檢查結(jié)果判定檢查結(jié)果判定如下：a)若網(wǎng)絡拓撲圖中無法定位核心交換機、核心服務器、邊界防火墻等關鍵設備，則a）檢查結(jié)果為不符合；b)若網(wǎng)絡沒有劃分子網(wǎng)，則b）檢查結(jié)果為不符合；c)核心交換機或防火墻沒有設置訪問控制策略（ACL），則c）檢查結(jié)果為不符合；d)若網(wǎng)絡內(nèi)關鍵網(wǎng)絡設備、主要通信線路和核心數(shù)據(jù)處理系統(tǒng)存在單點故障，則d）檢查結(jié)果為不符合。8.2.2邊界安全防護檢查內(nèi)容檢查內(nèi)容如下：應檢查網(wǎng)絡邊界訪問控制、網(wǎng)絡入侵檢測和網(wǎng)絡惡意代碼防范措施。檢查方法檢查方法如下：a)查驗防火墻等邊界安全設備是否配置協(xié)議端口級的訪問控制策略；b)查驗網(wǎng)絡邊界設備是否采取技術手段防止地址欺騙；c)查驗網(wǎng)絡入侵檢測設備是否能檢測以下攻擊行為：端口掃描、漏洞掃描、緩沖區(qū)溢出攻擊、拒絕服務攻擊等，查看其規(guī)則庫是否為最新，并對發(fā)現(xiàn)的入侵行為進行阻攔；d)查驗防惡意代碼產(chǎn)品是否正常運行，惡意代碼庫是否為最新版本；e)查驗邊界完整性檢查設備是否設置了對非法連接到外網(wǎng)和非法連接到內(nèi)網(wǎng)的行為進行監(jiān)控并有效阻斷的配置；f)查驗是禁止使用遠程撥號訪問功能。檢查結(jié)果判定檢查結(jié)果判定如下：a)若沒有在網(wǎng)絡邊界部署防火墻等訪問控制設備或訪問控制