1、ISO27001-2003等級保護(hù)三級要求對照項目分類等保分類等保三級控制點等保控制目標(biāo)ISO分類ISO27000控制點ISO27000控制目標(biāo)調(diào)查方式調(diào)查結(jié)果7.2.1 安全管理制度7.2.1.1 管理制度（G3）a) 應(yīng)制定信息安全工作的總體方針和安全策略，說明機構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等；a) 應(yīng)訪談安全主管，詢問機構(gòu)的制度體系是否由安全政策、安全策略、管理制度、操作規(guī)程等構(gòu)成，是否定期對安全管理制度體系進(jìn)行評審，評審周期多長；b) 應(yīng)檢查信息安全工作的總體方針、政策性文件和安全策略文件，查看文件是否明確機構(gòu)安全工作的總體目標(biāo)、范圍、方針、原則、責(zé)任等，是否明確信息系統(tǒng)

2、的安全策略；c) 應(yīng)檢查安全管理制度清單，查看是否覆蓋物理、網(wǎng)絡(luò)、主機系統(tǒng)、數(shù)據(jù)、應(yīng)用、管理等層面；d) 應(yīng)檢查是否具有重要管理操作的操作規(guī)程，如系統(tǒng)維護(hù)手冊和用戶操作規(guī)程等；e) 應(yīng)檢查是否具有安全管理制度體系的評審記錄，查看記錄日期與評審周期是否一致，是否記錄了相關(guān)人員的評審意見。A.5.1信息安全政策A.5.1.1信息安全政策文件信息安全政策文件應(yīng)由管理階層核準(zhǔn)，并公布與傳達(dá)給所有聘雇人員與相關(guān)外部團(tuán)體。訪談，檢查。安全主管，總體方針、政策性文件和安全策略文件，安全管理制度清單，操作規(guī)程，評審記錄。b) 應(yīng)對安全管理活動中的各類管理內(nèi)容建立安全管理制度；c) 應(yīng)對要求管理人員或操作人員執(zhí)

3、行的日常管理操作建立操作規(guī)程；d) 應(yīng)形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系。7.2.1.2 制定和發(fā)布（G3）a) 應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定；a) 應(yīng)訪談安全主管，詢問安全管理制度是否在信息安全領(lǐng)導(dǎo)小組或委員會的總體負(fù)責(zé)下統(tǒng)一制定，參與制定人員有哪些；b) 應(yīng)訪談安全主管，詢問安全管理制度的制定程序，是否對制定的安全管理制度進(jìn)行論證和審定，論證和評審方式如何（如召開評審會、函審、內(nèi)部審核等），是否按照統(tǒng)一的格式標(biāo)準(zhǔn)或要求制定；c) 應(yīng)檢查制度制定和發(fā)布要求管理文檔，查看文檔是否說明安全管理制度的制定和發(fā)布程序、格式要求及版本編號等相關(guān)內(nèi)

4、容；d) 應(yīng)檢查管理制度評審記錄，查看是否有相關(guān)人員的評審意見；e) 應(yīng)檢查安全管理制度文檔，查看是否注明適用和發(fā)布范圍，是否有版本標(biāo)識，是否有管理層的簽字或蓋章；查看各項制度文檔格式是否統(tǒng)一；f) 應(yīng)檢查安全管理制度的收發(fā)登記記錄，查看收發(fā)是否符合規(guī)定程序和發(fā)布范圍要求。訪談，檢查。安全主管，制度制定和發(fā)布要求管理文檔，評審記錄，安全管理制度，收發(fā)登記記錄。b) 安全管理制度應(yīng)具有統(tǒng)一的格式，并進(jìn)行版本控制；c) 應(yīng)組織相關(guān)人員對制定的安全管理制度進(jìn)行論證和審定；d) 安全管理制度應(yīng)通過正式、有效的方式發(fā)布；e) 安全管理制度應(yīng)注明發(fā)布范圍，并對收發(fā)文進(jìn)行登記。7.2.1.3 評審和修訂（G

5、3）a) 信息安全領(lǐng)導(dǎo)小組應(yīng)負(fù)責(zé)定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進(jìn)行審定；a) 應(yīng)訪談安全主管，詢問是否定期對安全管理制度進(jìn)行評審，由何部門/何人負(fù)責(zé)；b) 應(yīng)訪談管理人員（負(fù)責(zé)定期評審、修訂和日常維護(hù)的人員），詢問定期對安全管理制度的評審、修訂情況和日常維護(hù)情況，評審周期多長，評審、修訂程序如何，維護(hù)措施如何；c) 應(yīng)訪談管理人員（負(fù)責(zé)人員），詢問系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時是否對安全管理制度進(jìn)行審定，對需要改進(jìn)的制度是否進(jìn)行修訂；d) 應(yīng)檢查安全管理制度評審記錄，查看記錄日期與評審周期是否一致；如果對制度做過修訂，

6、檢查是否有修訂版本的安全管理制度；e) 應(yīng)檢查是否具有系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時對安全管理制度進(jìn)行審定的記錄；f) 應(yīng)檢查是否具有需要定期修訂的安全管理制度列表，查看列表是否注明評審周期；g) 應(yīng)檢查是否具有所有安全管理制度對應(yīng)相應(yīng)負(fù)責(zé)人或者負(fù)責(zé)部門的清單。A.5.1.2審查信息安全政策信息安全政策應(yīng)在規(guī)劃期間內(nèi)或有重大變更發(fā)生時加以審查，以確保其持續(xù)的適用性、適切性及有效性。訪談，檢查。安全主管，管理人員，安全管理制度列表，評審記錄，安全管理制度對應(yīng)負(fù)責(zé)人或負(fù)責(zé)部門的清單。b) 應(yīng)定期或不定期對安全管理制度進(jìn)行檢查和審定，對存在不足或需要改進(jìn)

7、的安全管理制度進(jìn)行修訂。7.2.2 安全管理機構(gòu)7.2.2.1 崗位設(shè)置（G3）a) 應(yīng)設(shè)立信息安全管理工作的職能部門，設(shè)立安全主管、安全管理各個方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)；a) 應(yīng)訪談安全主管，詢問是否設(shè)立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任；b) 應(yīng)訪談安全主管，詢問是否設(shè)立專職的安全管理機構(gòu)（即信息安全管理工作的職能部門）；機構(gòu)內(nèi)部門設(shè)置情況如何，是否明確各部門職責(zé)分工；c) 應(yīng)訪談安全主管，詢問是否設(shè)立安全管理各個方面的負(fù)責(zé)人，設(shè)置了哪些工作崗位（如安全主管、安全管理各個方面的負(fù)責(zé)人、機房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、

8、安全員等重要崗位），是否明確各個崗位的職責(zé)分工；d) 應(yīng)訪談安全主管、安全管理某方面的負(fù)責(zé)人、信息安全管理委員會或領(lǐng)導(dǎo)小組日常管理工作的負(fù)責(zé)人、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和安全員，詢問其崗位職責(zé)包括哪些內(nèi)容；e) 應(yīng)檢查部門、崗位職責(zé)文件，查看文件是否明確安全管理機構(gòu)的職責(zé)，是否明確機構(gòu)內(nèi)各部門的職責(zé)和分工，部門職責(zé)是否涵蓋物理、網(wǎng)絡(luò)和系統(tǒng)等各個方面；查看文件是否明確設(shè)置安全主管、安全管理各個方面的負(fù)責(zé)人、機房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全員等各個崗位，各個崗位的職責(zé)范圍是否清晰、明確；查看文件是否明確各個崗位人員應(yīng)具有的技能要求；f) 應(yīng)檢查信息安全管理委員會或領(lǐng)導(dǎo)小組是否具有單位主管領(lǐng)導(dǎo)

9、對其最高領(lǐng)導(dǎo)的委任授權(quán)書；g) 應(yīng)檢查信息安全管理委員會職責(zé)文件，查看是否明確描述委員會的職責(zé)和其最高領(lǐng)導(dǎo)崗位的職責(zé)；h) 應(yīng)檢查安全管理各部門和信息安全管理委員會或領(lǐng)導(dǎo)小組是否具有日常管理工作執(zhí)行情況的文件或工作記錄（如會議記錄/紀(jì)要和信息安全工作決策文檔等）。A.6信息安全組織A.6.1.3信息安全職責(zé)的分派訪談，檢查。安全主管，安全管理某方面的負(fù)責(zé)人，領(lǐng)導(dǎo)小組日常管理工作的負(fù)責(zé)人，系統(tǒng)管理員，網(wǎng)絡(luò)管理員，安全員，部門、崗位職責(zé)文件，委任授權(quán)書，工作記錄。b) 應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個工作崗位的職責(zé)；c) 應(yīng)成立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組，其

10、最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán)；A.6.1.1管理階層對信息安全的承諾管理階層應(yīng)在組織內(nèi)藉由清楚的指示、展現(xiàn)的承諾、明確的分派以及確認(rèn)信息安全職責(zé)，積極地支持安全。d) 應(yīng)制定文件明確安全管理機構(gòu)各個部門和崗位的職責(zé)、分工和技能要求。A.6.1.2信息安全協(xié)調(diào)合作信息安全活動應(yīng)由組織內(nèi)具有相關(guān)角色與工作功能之不同部門的代表協(xié)調(diào)合作。7.2.2.2 人員配備（G3）a) 應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等；a) 應(yīng)訪談安全主管，詢問各個安全管理崗位人員（按照崗位職責(zé)文件詢問，包括機房管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、安全員等重要崗位人員）配備情況，包括數(shù)量、專職還

11、是兼職等；b) 應(yīng)訪談安全主管，詢問對哪些關(guān)鍵崗位實行定期輪崗，定期輪崗情況如何，輪崗周期多長，輪崗手續(xù)如何；c) 應(yīng)檢查人員配備要求管理文檔，查看是否明確應(yīng)配備哪些安全管理人員，是否包括機房管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、安全員等重要崗位人員并明確應(yīng)配備專職的安全員；查看是否明確對哪些關(guān)鍵崗位（應(yīng)有列表）實行定期輪崗并明確輪崗周期、輪崗手續(xù)等相關(guān)內(nèi)容；d) 應(yīng)檢查管理人員名單，查看其是否明確機房管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、安全員等重要崗位人員的信息，確認(rèn)安全員是否是專職人員。訪談，檢查。安全主管，人員配備要求管理文檔，管理人員名單。b) 應(yīng)配備專職安全管理員，

12、不可兼任；c) 關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理。7.2.2.3 授權(quán)和審批（G3）a) 應(yīng)根據(jù)各個部門和崗位的職責(zé)明確授權(quán)審批事項、審批部門和批準(zhǔn)人等；a) 應(yīng)訪談安全主管，詢問其是否規(guī)定對信息系統(tǒng)中的關(guān)鍵活動進(jìn)行審批，審批部門是何部門，批準(zhǔn)人是何人，他們的審批活動是否得到授權(quán)；詢問是否定期審查、更新審批項目，審查周期多長；b) 應(yīng)訪談關(guān)鍵活動的批準(zhǔn)人，詢問其對關(guān)鍵活動的審批范圍包括哪些（如網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、重要服務(wù)器和設(shè)備等重要資源的訪問，重要管理制度的制定和發(fā)布，人員的配備、培訓(xùn)，產(chǎn)品的采購，第三方人員的訪問、管理，與合作單位的合作項目等），審批程序如何；c) 應(yīng)檢查授權(quán)

13、管理文件，查看文件是否包含需審批事項列表，列表是否明確審批事項和雙重審批事項、審批部門、批準(zhǔn)人及審批程序等（如列表說明哪些事項應(yīng)經(jīng)過信息安全領(lǐng)導(dǎo)小組審批，哪些事項應(yīng)經(jīng)過安全管理機構(gòu)審批，哪些關(guān)鍵活動應(yīng)經(jīng)過哪些部門雙重審批等），文件是否說明應(yīng)定期審查、更新需審批的項目和審查周期等；d) 應(yīng)檢查經(jīng)雙重審批的文檔，查看是否具有雙重批準(zhǔn)人的簽字和審批部門的蓋章；e) 應(yīng)檢查關(guān)鍵活動的審批過程記錄，查看記錄的審批程序與文件要求是否一致；f) 應(yīng)檢查審查記錄，查看記錄日期是否與審查周期一致；g) 應(yīng)檢查是否具有對不再適用的權(quán)限及時取消授權(quán)的記錄。訪談，檢查。安全主管，關(guān)鍵活動的批準(zhǔn)人，授權(quán)管理文件，審批文

14、檔，審批記錄，審查記錄，消除授權(quán)記錄。b) 應(yīng)針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項建立審批程序，按照審批程序執(zhí)行審批過程，對重要活動建立逐級審批制度；A.6.1.4信息處理設(shè)施的授權(quán)過程新信息處理設(shè)施的管理階層授權(quán)過程應(yīng)被界定與實施。A.6.1.5保密協(xié)議應(yīng)鑒別與定期審查反映組織對信息保護(hù)需求的機密性或不可公開協(xié)議的各項要求。c) 應(yīng)定期審查審批事項，及時更新需授權(quán)和審批的項目、審批部門和審批人等信息；d) 應(yīng)記錄審批過程并保存審批文檔。7.2.2.4 溝通和合作（G3）a) 應(yīng)加強各類管理人員之間、組織內(nèi)部機構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通，定期或不定期召開協(xié)調(diào)會議，共

15、同協(xié)作處理信息安全問題；a) 應(yīng)訪談安全主管，詢問是否建立與外單位（公安機關(guān)、電信公司、兄弟單位、供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織等），與組織機構(gòu)內(nèi)其它部門之間及內(nèi)部各部門管理人員之間的溝通、合作機制，與外單位和其他部門有哪些合作內(nèi)容，溝通、合作方式有哪些；b) 應(yīng)訪談安全主管，詢問是否召開過部門間協(xié)調(diào)會議，組織其它部門人員共同協(xié)助處理信息系統(tǒng)安全有關(guān)問題，安全管理機構(gòu)內(nèi)部是否召開過安全工作會議部署安全工作的實施，參加會議的部門和人員有哪些，會議結(jié)果如何；信息安全領(lǐng)導(dǎo)小組或者安全管理委員會是否定期召開例會；c) 應(yīng)訪談安全主管，詢問是否聘請信息安全專家作為常年的安全顧問，指導(dǎo)信息安全

16、建設(shè)，參與安全規(guī)劃和安全評審等；d) 應(yīng)訪談安全管理人員（從系統(tǒng)管理員和安全員等人員中抽查），詢問其與外單位人員，與組織機構(gòu)內(nèi)其他部門人員，與內(nèi)部各部門管理人員之間的溝通方式和主要溝通內(nèi)容有哪些；e) 應(yīng)檢查部門間協(xié)調(diào)會議文件或會議記錄，查看是否有會議內(nèi)容、會議時間、參加人員和結(jié)果等的描述；f) 應(yīng)檢查安全工作會議文件或會議記錄，查看是否有會議內(nèi)容、會議時間、參加人員和會議結(jié)果等的描述；g) 應(yīng)檢查信息安全領(lǐng)導(dǎo)小組或者安全管理委員會定期例會會議文件或會議記錄，查看是否有會議內(nèi)容、會議時間、參加人員、會議結(jié)果等的描述；h) 應(yīng)檢查外聯(lián)單位說明文檔，查看外聯(lián)單位是否包含公安機關(guān)、電信公司、兄弟單位

17、、供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織等，是否說明外聯(lián)單位的聯(lián)系人和聯(lián)系方式等內(nèi)容；i) 應(yīng)檢查是否具有安全顧問名單或者聘請安全顧問的證明文件，查看由安全顧問指導(dǎo)信息安全建設(shè)、參與安全規(guī)劃和安全評審的相關(guān)文檔或記錄，是否具有由安全顧問簽字的相關(guān)建議。訪談，檢查。安全主管，安全管理人員，會議文件，會議記錄，外聯(lián)單位說明文檔，安全顧問名單。b) 應(yīng)加強與兄弟單位、公安機關(guān)、電信公司的合作與溝通；c) 應(yīng)加強與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通；A.6.2.3說明第三方契約的安全要求凡涉及存取、處理、通訊或管理組織的信息或信息處理設(shè)施，或在信息處理設(shè)施上附加產(chǎn)品或服務(wù)者，應(yīng)

18、在與第三方之協(xié)議中涵蓋所有相關(guān)的安全要求。d) 應(yīng)建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息；A.6.1.6與主管機關(guān)的聯(lián)系A(chǔ).6.2.1鑒別與外部團(tuán)體有關(guān)的風(fēng)險a)應(yīng)與有關(guān)的主管機關(guān)維持適當(dāng)聯(lián)系。B)組織營運過程中涉及外部團(tuán)體的組織信息與信息處理設(shè)施之風(fēng)險，應(yīng)在核準(zhǔn)外部團(tuán)體存取前被加以鑒別，并實施適當(dāng)?shù)目刂拼胧?。e) 應(yīng)聘請信息安全專家作為常年的安全顧問，指導(dǎo)信息安全建設(shè)，參與安全規(guī)劃和安全評審等。A.6.1.7與特殊利害團(tuán)體的聯(lián)系應(yīng)與特殊利害團(tuán)體或其它安全論壇專家及專業(yè)協(xié)會維持適當(dāng)聯(lián)系。7.2.2.5 審核和檢查（G3）a) 安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，

19、檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況；a) 應(yīng)訪談安全主管，詢問是否組織人員定期對信息系統(tǒng)進(jìn)行安全檢查，檢查周期多長，是否定期分析、評審異常行為的審計記錄；b) 應(yīng)訪談安全員，詢問安全檢查包含哪些內(nèi)容，檢查人員有哪些，檢查程序是否按照系統(tǒng)相關(guān)策略和要求進(jìn)行，是否制定安全檢查表格實施安全檢查，檢查結(jié)果如何，是否對檢查結(jié)果進(jìn)行通報，通報形式、范圍如何；c) 應(yīng)檢查安全檢查制度文檔，查看文檔是否規(guī)定檢查內(nèi)容、檢查程序和檢查周期等，檢查內(nèi)容是否包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等，是否包括用戶賬號情況、系統(tǒng)漏洞情況、系統(tǒng)審計情況等；d) 應(yīng)檢

20、查安全檢查報告，查看報告日期與檢查周期是否一致，報告中是否有檢查內(nèi)容、檢查人員、檢查數(shù)據(jù)匯總表、檢查結(jié)果等的描述；e) 應(yīng)檢查安全檢查過程記錄，查看記錄的檢查程序與文件要求是否一致；f) 應(yīng)檢查審計分析報告，查看報告日期與檢查周期是否一致，報告中是否有分析人員、異常問題和分析結(jié)果等的描述，是否對發(fā)現(xiàn)的問題提出相應(yīng)的措施；g) 應(yīng)檢查是否具有安全檢查表格。A.6.1.8獨立的信息安全審查應(yīng)在規(guī)劃的期間內(nèi)或發(fā)生安全實施上有重大變更時，獨立審查組織管理信息安全的方案與其實施（例如：信息安全的控制目標(biāo)、控制措施、政策、過程及程序）。訪談，檢查。安全主管，安全員，安全檢查制度，安全檢查報告，審計分析報告

21、，安全檢查過程記錄，安全檢查表格。b) 應(yīng)由內(nèi)部人員或上級單位定期進(jìn)行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；c) 應(yīng)制定安全檢查表格實施安全檢查，匯總安全檢查數(shù)據(jù)，形成安全檢查報告，并對安全檢查結(jié)果進(jìn)行通報；d) 應(yīng)制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作，定期按照程序進(jìn)行安全審核和安全檢查活動。A.6.2.2處理顧客事務(wù)的安全說明在給予客戶存取組織信息或資產(chǎn)前，所有已鑒別的安全要求應(yīng)被提出說明7.2.3 人員安全管理7.2.3.1 人員錄用（G3）a) 應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用；a) 應(yīng)訪談人事負(fù)

22、責(zé)人，詢問在人員錄用時對人員條件有哪些要求，目前錄用的安全管理和技術(shù)人員是否有能力完成與其職責(zé)相對應(yīng)的工作；b) 應(yīng)訪談人事工作人員，詢問在人員錄用時是否對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查，對技術(shù)人員的技術(shù)技能進(jìn)行考核，錄用后是否與其簽署保密協(xié)議，是否對其說明工作職責(zé)；c) 應(yīng)訪談人事負(fù)責(zé)人，詢問對從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全安全協(xié)議，是否定期對關(guān)鍵崗位人員進(jìn)行信用審查，審查周期多長；d) 應(yīng)檢查人員錄用要求管理文檔，查看是否說明錄用人員應(yīng)具備的條件，如學(xué)歷、學(xué)位要求，技術(shù)人員應(yīng)具備的專業(yè)技術(shù)水平，管理人員應(yīng)具備的安全管理知識等；e) 應(yīng)檢查是否具

23、有人員錄用時對錄用人身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查的相關(guān)文檔或記錄，查看是否記錄審查內(nèi)容和審查結(jié)果等；f) 應(yīng)檢查技能考核文檔或記錄，查看是否記錄考核內(nèi)容和考核結(jié)果等；g) 應(yīng)檢查保密協(xié)議，查看是否有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容；h) 應(yīng)檢查崗位安全協(xié)議，查看是否有崗位安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人簽字等內(nèi)容；i) 應(yīng)檢查信用審查記錄，查看是否記錄了審查內(nèi)容和審查結(jié)果等，查看審查時間與審查周期是否一致。A.8 人力資源安全A.8.1.1角色與職責(zé)A.8.2.1管理職責(zé)聘雇人員、承包商及第三方使用者的安全角色與職責(zé)，應(yīng)依照組織的信息安全政策加

24、以界定與文件化。管理階層應(yīng)要求聘雇人員、承包商及第三方使用者，依照組織已制定的政策與程序應(yīng)用于安全事宜。訪談，檢查。人事負(fù)責(zé)人，人事工作人員，人員錄用要求管理文檔，人員審查文檔或記錄，考核文檔或記錄，保密協(xié)議，崗位安全協(xié)議，審查記錄。b) 應(yīng)嚴(yán)格規(guī)范人員錄用過程，對被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查，對其所具有的技術(shù)技能進(jìn)行考核；A.8.1.2篩選應(yīng)依照相關(guān)法律、法規(guī)及倫理，并兼顧營運要求之相稱性、被存取信息的分類及所理解的風(fēng)險，對所有聘雇之應(yīng)征者、承包商及第三方使用者，進(jìn)行背景查證核對c) 應(yīng)簽署保密協(xié)議；A.8.1.3聘雇條款身為契約義務(wù)的一方，聘雇人員、承包商及第三方使用者應(yīng)

25、同意并簽署其聘雇契約的條款，該契約應(yīng)陳述其與組織對信息安全的職責(zé)。d) 應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員，并簽署崗位安全協(xié)議。7.2.3.2 人員離崗（G3）a) 應(yīng)嚴(yán)格規(guī)范人員離崗過程，及時終止離崗員工的所有訪問權(quán)限；a) 應(yīng)訪談安全主管，詢問是否及時終止離崗人員的所有訪問權(quán)限，取回各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設(shè)備等；b) 應(yīng)訪談人事工作人員，詢問調(diào)離手續(xù)包括哪些，是否要求調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開；c) 應(yīng)檢查人員離崗的管理文檔，查看是否規(guī)定了調(diào)離手續(xù)和離崗要求等；d) 應(yīng)檢查是否具有交還身份證件和設(shè)備等的記錄；e) 應(yīng)檢查保密承諾文檔，查看是否有調(diào)離人員的簽

26、字。A.8.3.1終止職責(zé)執(zhí)行聘雇終止或變更的職責(zé)應(yīng)清楚的界定與指派。訪談，檢查。安全主管，人事工作人員，人員離崗管理文檔，保密承諾文檔。b) 應(yīng)取回各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設(shè)備；A.8.3.2資產(chǎn)的歸還所有聘雇人員、承包商及第三方使用者在其聘雇、契約或協(xié)議終止時，應(yīng)歸還其擁有的所有組織資產(chǎn)。c) 應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)，關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務(wù)后方可離開。A.8.3.3存取權(quán)限的移除所有聘雇人員、承包商及第三方使用者對信息與信息處理設(shè)施的存取權(quán)限，在其聘雇、契約或協(xié)議終止時，或因變更而調(diào)整時，均應(yīng)予以移除。7.2.3.3 人員考核（G3）a) 應(yīng)定期對各個崗

27、位的人員進(jìn)行安全技能及安全認(rèn)知的考核；a) 應(yīng)訪談安全主管，詢問是否有人負(fù)責(zé)定期對各個崗位人員進(jìn)行安全技能及安全知識的考核；b) 應(yīng)訪談人事工作人員，詢問對各個崗位人員的考核情況，考核周期多長，考核內(nèi)容有哪些；詢問對人員的安全審查情況，審查人員是否包含所有崗位人員，審查內(nèi)容有哪些（如操作行為、社會關(guān)系、社交活動等），是否全面；c) 應(yīng)訪談人事工作人員，詢問對違背安全策略和規(guī)定的人員有哪些懲戒措施；d) 應(yīng)檢查考核記錄，查看記錄的考核人員是否包括各個崗位的人員，考核內(nèi)容是否包含安全知識、安全技能等；查看記錄日期與考核周期是否一致。A.8.2.2信息安全認(rèn)知、教育及訓(xùn)練組織所有聘雇人員、相關(guān)的承包

28、商及第三方使用者均應(yīng)接受與其工作功能相關(guān)之適切認(rèn)知訓(xùn)練，以及組織政策與程序定期更新的內(nèi)容。訪談，檢查。安全主管，人事工作人員，人員考核記錄。a) 如果7.2.3.3.4 b）被訪談人員表述審查內(nèi)容包含社會關(guān)系、社交活動、操作行為等各個方面，則該項為肯定；b) 如果7.2.3.3.4 c）被訪談人員表述與文件描述一致，則該項為肯定；c) 7.2.3.3.4 a）-d）均為肯定，則信息系統(tǒng)符合本單元測評項要求。b) 應(yīng)對關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核；c) 應(yīng)對考核結(jié)果進(jìn)行記錄并保存。7.2.3.4 安全意識教育和培訓(xùn)（G3）a) 應(yīng)對各類人員進(jìn)行安全意識教育、崗位技能培訓(xùn)和相關(guān)

29、安全技術(shù)培訓(xùn)；a) 應(yīng)訪談安全主管，詢問是否制定安全教育和培訓(xùn)計劃并按計劃對各個崗位人員進(jìn)行安全教育和培訓(xùn)，以什么形式進(jìn)行，效果如何；b) 應(yīng)訪談安全員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和數(shù)據(jù)庫管理員，考查其對工作相關(guān)的信息安全基礎(chǔ)知識、安全責(zé)任和懲戒措施等的理解程度；c) 應(yīng)檢查安全教育和培訓(xùn)計劃文檔，查看是否具有不同崗位的培訓(xùn)計劃；查看計劃是否明確了培訓(xùn)目的、培訓(xùn)方式、培訓(xùn)對象、培訓(xùn)內(nèi)容、培訓(xùn)時間和地點等，培訓(xùn)內(nèi)容是否包含信息安全基礎(chǔ)知識、崗位操作規(guī)程等；d) 應(yīng)檢查是否具有安全教育和培訓(xùn)記錄，查看記錄是否有培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等的描述；查看記錄與培訓(xùn)計劃是否一致。訪談，檢查。安全主管，安全

30、員，系統(tǒng)管理員，網(wǎng)絡(luò)管理員，數(shù)據(jù)庫管理員，培訓(xùn)計劃，培訓(xùn)記錄。a) 如果7.2.3.4.4 b）訪談人員能夠表述清楚詢問內(nèi)容，且安全職責(zé)、懲戒措施和崗位操作規(guī)程表述與文件描述一致，則該項為肯定；b) 7.2.3.4.4 a）-d）均為肯定，則信息系統(tǒng)符合本單元測評項要求。b) 應(yīng)對安全責(zé)任和懲戒措施進(jìn)行書面規(guī)定并告知相關(guān)人員，對違反違背安全策略和規(guī)定的人員進(jìn)行懲戒； A.8.2.3懲罰過程對違反安全的聘雇人員，應(yīng)有正式的懲罰過程。c) 應(yīng)對定期安全教育和培訓(xùn)進(jìn)行書面規(guī)定，針對不同崗位制定不同的培訓(xùn)計劃，對信息安全基礎(chǔ)知識、崗位操作規(guī)程等進(jìn)行培訓(xùn)；A.8.2.2d) 應(yīng)對安全教育和培訓(xùn)的情況和結(jié)

31、果進(jìn)行記錄并歸檔保存。7.2.3.5 外部人員訪問管理（G3）a) 應(yīng)確保在外部人員訪問受控區(qū)域前先提出書面申請，批準(zhǔn)后由專人全程陪同或監(jiān)督，并登記備案；a) 應(yīng)訪談安全主管，詢問對第三方人員（如向系統(tǒng)提供服務(wù)的系統(tǒng)軟、硬件維護(hù)人員，業(yè)務(wù)合作伙伴、評估人員等）的訪問采取哪些管理措施，是否要求第三方人員訪問前與機構(gòu)簽署安全責(zé)任合同書或保密協(xié)議；b) 應(yīng)訪談安全管理人員，詢問對第三方人員訪問重要區(qū)域（如訪問主機房、重要服務(wù)器或設(shè)備、保密文檔等）采取哪些措施，是否經(jīng)有關(guān)負(fù)責(zé)人書面批準(zhǔn)，是否由專人全程陪同或監(jiān)督，是否進(jìn)行記錄并備案管理；c) 應(yīng)檢查安全責(zé)任合同書或保密協(xié)議，查看是否有保密范圍、保密責(zé)任

32、、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等。d) 應(yīng)檢查第三方人員訪問管理文檔，查看是否明確第三方人員包括哪些人員，允許第三方人員訪問的范圍（區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容），第三方人員進(jìn)入條件（對哪些重要區(qū)域的訪問須提出書面申請批準(zhǔn)后方可進(jìn)入），第三方人員進(jìn)入的訪問控制（由專人全程陪同或監(jiān)督等）和第三方人員的離開條件等；e) 應(yīng)檢查第三方人員訪問重要區(qū)域批準(zhǔn)文檔，查看是否有第三方人員訪問重要區(qū)域的書面申請，是否有批準(zhǔn)人允許訪問的批準(zhǔn)簽字等；f) 應(yīng)檢查第三方人員訪問重要區(qū)域的登記記錄，查看記錄是否描述了第三方人員訪問重要區(qū)域的進(jìn)入時間、離開時間、訪問區(qū)域、訪問設(shè)備或信息及陪同人等信息。A.10

33、.2.1服務(wù)遞送在第三方服務(wù)遞送協(xié)議內(nèi)所包含的安全控制措施、服務(wù)界定及遞送等級應(yīng)確保被第三方加以實施、操作及維持。訪談，檢查。安全主管，安全管理人員，安全責(zé)任合同書或保密協(xié)議，第三方人員訪問管理文檔，訪問批準(zhǔn)文檔，登記記錄。b) 對外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)進(jìn)行書面的規(guī)定，并按照規(guī)定執(zhí)行。A.10.2.2第三方服務(wù)的監(jiān)督與審查應(yīng)定期監(jiān)督與審查由第三方所提供的服務(wù)、報告及紀(jì)錄，并應(yīng)定期執(zhí)行稽核。A.10.2.3第三方服務(wù)的變更管理服務(wù)條款的變更，包括維持與改進(jìn)現(xiàn)有的信息安全政策、程序及控制措施均應(yīng)加以管理，并考慮所涉營運系統(tǒng)與過程的重要性以及風(fēng)險的重新評鑒。7.2.4 系統(tǒng)

34、建設(shè)管理7.2.4.1 系統(tǒng)定級（G3）a) 應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級； a) 應(yīng)訪談安全主管，詢問劃分信息系統(tǒng)的方法和確定信息系統(tǒng)安全保護(hù)等級的方法是否參照定級指南的指導(dǎo)，是否對其進(jìn)行明確描述；是否組織相關(guān)部門和有關(guān)安全技術(shù)專家對定級結(jié)果進(jìn)行論證和審定，定級結(jié)果是否獲得了相關(guān)部門（如上級主管部門）的批準(zhǔn)；b) 應(yīng)檢查系統(tǒng)劃分文檔，查看文檔是否明確描述信息系統(tǒng)劃分的方法和理由；c) 應(yīng)檢查系統(tǒng)定級文檔，查看文檔是否給出信息系統(tǒng)的安全保護(hù)等級，是否明確描述確定信息系統(tǒng)為某個安全保護(hù)等級的方法和理由，是否給出安全等級保護(hù)措施組成SxAyGz值；查看定級結(jié)果是否有相關(guān)部門的批準(zhǔn)蓋章；d)

35、應(yīng)檢查專家論證文檔，查看是否有專家對定級結(jié)果的論證意見；e) 應(yīng)檢查系統(tǒng)屬性說明文檔，查看文檔是否明確了系統(tǒng)使命、業(yè)務(wù)、網(wǎng)絡(luò)、硬件、軟件、數(shù)據(jù)、邊界、人員等。訪談，檢查。安全主管，系統(tǒng)劃分文檔，系統(tǒng)定級文檔，專家論證文檔，系統(tǒng)屬性說明文檔。a) 7.2.4.1.4 a）沒有上級主管部門的，如果有安全主管的批準(zhǔn)，則該項為肯定；b) 應(yīng)以書面的形式說明確定信息系統(tǒng)為某個安全保護(hù)等級的方法和理由；c) 應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對信息系統(tǒng)定級結(jié)果的合理性和正確性進(jìn)行論證和審定；d) 應(yīng)確保信息系統(tǒng)的定級結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)。7.2.4.2 安全方案設(shè)計（G3）a) 應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級選

36、擇基本安全措施，并依據(jù)風(fēng)險分析的結(jié)果補充和調(diào)整安全措施；a) 應(yīng)訪談安全主管，詢問是否授權(quán)專門的部門對信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，由何部門/何人負(fù)責(zé)；b) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否制定近期和遠(yuǎn)期的安全建設(shè)工作計劃，是否根據(jù)系統(tǒng)的安全級別選擇基本安全措施，是否依據(jù)風(fēng)險分析的結(jié)果補充和調(diào)整安全措施，做過哪些調(diào)整；c) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否根據(jù)信息系統(tǒng)的等級劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計方案等；d) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件

37、進(jìn)行論證和審定，并經(jīng)過管理部門的批準(zhǔn)；e) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否根據(jù)安全測評、安全評估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計方案等相關(guān)配套文件，維護(hù)周期多長；f) 應(yīng)檢查系統(tǒng)的安全建設(shè)工作計劃，查看文件是否明確了系統(tǒng)的近期安全建設(shè)計劃和遠(yuǎn)期安全建設(shè)計劃；g) 應(yīng)檢查系統(tǒng)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計方案等配套文件，查看各個文件是否有機構(gòu)管理層的批準(zhǔn)；h) 應(yīng)檢查專家論證文檔，查看是否有相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計方案等相關(guān)配套文件的論證意見；

38、i) 應(yīng)檢查是否具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計方案等相關(guān)配套文件的維護(hù)記錄或修訂版本，查看記錄日期與維護(hù)周期是否一致。A.12.1.1安全要求分析與規(guī)格 A.12.6 技術(shù)脆弱性管理a)對新信息系統(tǒng)之營運要求聲明，或?qū)ΜF(xiàn)有信息系統(tǒng)的提升，應(yīng)規(guī)定安全控制措施要求。B)降低因所使用之已公布技術(shù)的脆弱性所導(dǎo)致的風(fēng)險。訪談，檢查。安全主管，系統(tǒng)建設(shè)負(fù)責(zé)人，總體安全策略文檔，安全技術(shù)框架，安全管理策略文檔，總體建設(shè)規(guī)劃書，詳細(xì)設(shè)計方案，專家論證文檔，維護(hù)記錄。b) 應(yīng)指定和授權(quán)專門的部門對信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)期的安全建設(shè)工作計劃；c) 應(yīng)根據(jù)

39、信息系統(tǒng)的等級劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計方案，并形成配套文件；d) 應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過批準(zhǔn)后，才能正式實施；A.12.2 應(yīng)用系統(tǒng)的正確處理防止應(yīng)用系統(tǒng)內(nèi)信息的錯誤、遺失、未授權(quán)修改或誤用。e) 應(yīng)根據(jù)等級測評、安全評估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計方案等相關(guān)配套文件。7.2.4.3 產(chǎn)品采購和使用（G3）a) 應(yīng)確保安全產(chǎn)品采購和使用

40、符合國家的有關(guān)規(guī)定；a) 應(yīng)訪談安全主管，詢問是否有專門的部門負(fù)責(zé)產(chǎn)品的采購，由何部門負(fù)責(zé)；b) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問系統(tǒng)信息安全產(chǎn)品的采購情況，采購產(chǎn)品前是否預(yù)先對產(chǎn)品進(jìn)行選型測試確定產(chǎn)品的候選范圍，是否有產(chǎn)品采購清單指導(dǎo)產(chǎn)品采購，采購過程如何控制，是否定期審定和更新候選產(chǎn)品名單，審定周期多長；c) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問系統(tǒng)是否采用了密碼產(chǎn)品，密碼產(chǎn)品的使用是否符合國家密碼主管部門的要求；d) 應(yīng)檢查產(chǎn)品采購管理制度，查看內(nèi)容是否明確采購過程的控制方法（如采購前對產(chǎn)品做選型測試，明確需要的產(chǎn)品性能指標(biāo)，確定產(chǎn)品的候選范圍，通過招投標(biāo)方式確定采購產(chǎn)品等）和人員行為準(zhǔn)則等方面；e)

41、應(yīng)檢查系統(tǒng)使用的有關(guān)信息安全產(chǎn)品（邊界安全設(shè)備、重要服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫等）是否符合國家的有關(guān)規(guī)定；f) 應(yīng)檢查密碼產(chǎn)品的使用情況是否符合密碼產(chǎn)品使用、管理的相關(guān)規(guī)定，例如商用密碼管理條例規(guī)定任何單位只能使用經(jīng)過國家密碼管理機構(gòu)認(rèn)可的商用密碼產(chǎn)品，商用密碼產(chǎn)品發(fā)生故障，必須有國家密碼管理機構(gòu)指定的單位維修，報廢商用密碼產(chǎn)品應(yīng)向國家密碼管理機構(gòu)備案，計算機信息系統(tǒng)保密工作暫行規(guī)定規(guī)定涉密系統(tǒng)配置合格的保密專用設(shè)備，所采取的保密措施應(yīng)與所處理信息的密級要求相一致等；g) 應(yīng)檢查是否具有產(chǎn)品選型測試結(jié)果記錄、候選產(chǎn)品名單審定記錄或更新的候選產(chǎn)品名單。訪談，檢查。安全主管，系統(tǒng)建設(shè)負(fù)責(zé)人，產(chǎn)品采購管

42、理制度，產(chǎn)品選型測試結(jié)果記錄，候選產(chǎn)品名單審定記錄。a) 如果7.2.4.4.4 c）訪談?wù)f明沒有采用密碼產(chǎn)品，則測評實施c）、f）為不適用；b) 應(yīng)確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求；c) 應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購； d) 應(yīng)預(yù)先對產(chǎn)品進(jìn)行選型測試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單。7.2.4.4 自行軟件開發(fā)（G3）a) 應(yīng)確保開發(fā)環(huán)境與實際運行環(huán)境物理分開，開發(fā)人員和測試人員分離，測試數(shù)據(jù)和測試結(jié)果受到控制；a) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問系統(tǒng)是否自主開發(fā)軟件，是否對程序資源庫的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)，授權(quán)部門是何部門，批準(zhǔn)人是何人，軟件

43、開發(fā)是否有相應(yīng)的控制措施，是否要求開發(fā)人員不能做測試人員（即二者分離），是否在獨立的模擬環(huán)境中編寫、調(diào)試和完成；b) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問系統(tǒng)開發(fā)文檔是否由專人負(fù)責(zé)保管，負(fù)責(zé)人是何人，如何控制使用（如限制使用人員范圍并做使用登記等），測試數(shù)據(jù)和測試結(jié)果是否受到控制；c) 應(yīng)檢查是否具有軟件設(shè)計的相關(guān)文檔（應(yīng)用軟件設(shè)計程序文件、源代碼說明文檔等）和軟件使用指南或操作手冊和維護(hù)手冊等；d) 應(yīng)檢查軟件開發(fā)環(huán)境與系統(tǒng)運行環(huán)境在物理上是否是分開的；e) 應(yīng)檢查對程序資源庫的修改、更新、發(fā)布進(jìn)行授權(quán)和審批的文檔或記錄，查看是否有批準(zhǔn)人的簽字；f) 應(yīng)檢查是否具有系統(tǒng)軟件開發(fā)相關(guān)文檔（軟件設(shè)計和開發(fā)

44、程序文件、測試數(shù)據(jù)、測試結(jié)果、維護(hù)手冊等）的使用控制記錄。A.10.1.4開發(fā)、測試及操作設(shè)施的分隔應(yīng)分隔開發(fā)、測試及操作設(shè)施，以降低對操作系統(tǒng)未經(jīng)授權(quán)存取或變更的風(fēng)險。訪談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，軟件設(shè)計相關(guān)文檔和使用指南，審批文檔或記錄，文檔使用控制記錄。b) 應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則；c) 應(yīng)制定代碼編寫安全規(guī)范，要求開發(fā)人員參照規(guī)范編寫代碼；d) 應(yīng)確保提供軟件設(shè)計的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保管；e) 應(yīng)確保對程序資源庫的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)。7.2.4.5 外包軟件開發(fā)（G3）a) 應(yīng)根據(jù)開發(fā)需求檢測軟件質(zhì)量；a) 應(yīng)訪談系統(tǒng)

45、建設(shè)負(fù)責(zé)人，詢問在外包軟件前是否對軟件開發(fā)單位以書面文檔形式（如軟件開發(fā)安全協(xié)議）規(guī)范軟件開發(fā)單位的責(zé)任、開發(fā)過程中的安全行為、開發(fā)環(huán)境要求、軟件質(zhì)量、開發(fā)后的服務(wù)承諾等內(nèi)容；b) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否具有獨立對軟件進(jìn)行日常維護(hù)和使用所需的文檔，開發(fā)單位是否為軟件的正常運行和維護(hù)提供過技術(shù)支持，以何種方式進(jìn)行；c) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問軟件交付前是否依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對軟件功能和性能等進(jìn)行驗收檢測，驗收檢測是否是由開發(fā)商和委托方共同參與；軟件安裝之前是否檢測軟件中的惡意代碼，檢測工具是否是第三方的商業(yè)產(chǎn)品；d) 應(yīng)檢查軟件開發(fā)協(xié)議，查看其是否規(guī)定知識產(chǎn)權(quán)歸屬、安全行為等內(nèi)容

46、；e) 應(yīng)檢查是否具有需求分析說明書、軟件設(shè)計說明書、軟件操作手冊等開發(fā)文檔以及用戶培訓(xùn)計劃、程序員培訓(xùn)手冊等后期技術(shù)支持文檔。訪談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，軟件開發(fā)安全協(xié)議，軟件開發(fā)文檔，軟件培訓(xùn)文檔。b) 應(yīng)在軟件安裝之前檢測軟件包中可能存在的惡意代碼；c) 應(yīng)要求開發(fā)單位提供軟件設(shè)計的相關(guān)文檔和使用指南；d) 應(yīng)要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門。7.2.4.6 工程實施（G3）a) 應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實施過程的管理；a) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否以書面形式（如工程安全建設(shè)協(xié)議）約束工程實施方的工程實施行為；b) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否指

47、定專門人員或部門按照工程實施方案的要求對工程實施過程進(jìn)行進(jìn)度和質(zhì)量控制，是否將控制方法和工程人員行為規(guī)范制度化，是否要求工程實施單位提供其能夠安全實施系統(tǒng)建設(shè)的資質(zhì)證明和能力保證；c) 應(yīng)檢查工程安全建設(shè)協(xié)議，查看其是否規(guī)定工程實施方的責(zé)任、任務(wù)要求、質(zhì)量要求等方面內(nèi)容，約束工程實施行為；d) 應(yīng)檢查工程實施方案，查看其是否規(guī)定工程時間限制、進(jìn)度控制、質(zhì)量控制等方面內(nèi)容，工程實施過程是否按照實施方案形成各種文檔，如階段性工程報告；e) 應(yīng)檢查工程實施管理制度，查看其是否規(guī)定工程實施過程的控制方法（如內(nèi)部階段性控制或外部監(jiān)理單位控制）、實施參與人員的各種行為等方面內(nèi)容。訪談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人

48、，工程安全建設(shè)協(xié)議，工程實施方案，工程實施管理制度。b) 應(yīng)制定詳細(xì)的工程實施方案控制實施過程，并要求工程實施單位能正式地執(zhí)行安全工程過程；c) 應(yīng)制定工程實施方面的管理制度，明確說明實施過程的控制方法和人員行為準(zhǔn)則。7.2.4.7 規(guī)劃與驗收（G3）a) 應(yīng)委托公正的第三方測試單位對系統(tǒng)進(jìn)行安全性測試，并出具安全性測試報告；a) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問在信息系統(tǒng)正式運行前，是否委托第三方測試機構(gòu)根據(jù)設(shè)計方案或合同要求對信息系統(tǒng)進(jìn)行獨立的安全性測試；b) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否指定專門部門負(fù)責(zé)測試驗收工作，由何部門負(fù)責(zé)，是否對測試過程（包括測試前、測試中和測試后）進(jìn)行文檔化要求和制

49、度化要求；c) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否根據(jù)設(shè)計方案或合同要求組織相關(guān)部門和人員對測試報告進(jìn)行符合性審定；d) 應(yīng)檢查工程測試方案，查看其是否對參與測試部門、人員、現(xiàn)場操作過程等進(jìn)行要求；查看測試記錄是否詳細(xì)記錄了測試時間、人員、操作過程、測試結(jié)果等方面內(nèi)容；查看測試報告是否提出存在問題及改進(jìn)意見等；e) 應(yīng)檢查是否具有系統(tǒng)驗收報告；f) 應(yīng)檢查驗收測試管理制度是否對系統(tǒng)驗收測試的過程控制、參與人員的行為等進(jìn)行規(guī)定。A.10.3.2系統(tǒng)驗收對新的信息系統(tǒng)、系統(tǒng)升級及新版本的驗收準(zhǔn)則應(yīng)加以建立，并且在開發(fā)期間與驗收前應(yīng)完成適當(dāng)之系統(tǒng)測試。訪談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，測試方案，測試記錄，測試

50、報告，驗收報告，驗收測試管理制度。b) 在測試驗收前應(yīng)根據(jù)設(shè)計方案或合同要求等制訂測試驗收方案，在測試驗收過程中應(yīng)詳細(xì)記錄測試驗收結(jié)果，并形成測試驗收報告；c) 應(yīng)對系統(tǒng)測試驗收的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定；d) 應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)測試驗收的管理，并按照管理規(guī)定的要求完成系統(tǒng)測試驗收工作；e) 應(yīng)組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗收報告進(jìn)行審定，并簽字確認(rèn)。7.2.4.8 系統(tǒng)交付（G3）a) 應(yīng)制定詳細(xì)的系統(tǒng)交付清單，并根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進(jìn)行清點；a) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問交接手續(xù)是什么，系統(tǒng)交接工作是否由專門部門按照該手續(xù)辦理，是否根據(jù)交付清

51、單對所交接的設(shè)備、文檔、軟件等進(jìn)行清點，交付清單是否滿足合同的有關(guān)要求；是否對交付工作進(jìn)行制度化要求；b) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問目前的信息系統(tǒng)是否由內(nèi)部人員獨立運行維護(hù)，如果是，系統(tǒng)建設(shè)實施方是否對運維技術(shù)人員進(jìn)行過培訓(xùn)，針對哪些方面進(jìn)行過培訓(xùn)，是否以書面形式承諾對系統(tǒng)運行維護(hù)提供一定的技術(shù)支持服務(wù)，是否按照服務(wù)承諾書的要求進(jìn)行過技術(shù)支持，以何形式進(jìn)行，系統(tǒng)是否具有支持其獨立運行維護(hù)所需的文檔；c) 應(yīng)檢查系統(tǒng)交付清單，查看其是否具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進(jìn)行系統(tǒng)運維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊等文檔名稱；d) 應(yīng)檢查是否具有系統(tǒng)建設(shè)方的服務(wù)承諾書和對系

52、統(tǒng)進(jìn)行的培訓(xùn)記錄；e) 應(yīng)檢查系統(tǒng)交付管理制度，查看其是否規(guī)定了交付過程的控制方法和對交付參與人員的行為限制等方面內(nèi)容。訪談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，系統(tǒng)交付清單，服務(wù)承諾書，系統(tǒng)培訓(xùn)記錄，系統(tǒng)交付管理制度。b) 應(yīng)對負(fù)責(zé)系統(tǒng)運行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)；c) 應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運行維護(hù)的文檔；A.12.4 系統(tǒng)檔案的安全確保系統(tǒng)檔案的安全。d) 應(yīng)對系統(tǒng)交付的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定；e) 應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)交付的管理工作，并按照管理規(guī)定的要求完成系統(tǒng)交付工作。7.2.4.9 系統(tǒng)備案（G3）a) 應(yīng)指定專門的部門或人員負(fù)責(zé)管理系統(tǒng)定

53、級的相關(guān)材料，并控制這些材料的使用；a) 應(yīng)訪談安全主管，詢問是否有專門的人員或部門負(fù)責(zé)管理系統(tǒng)定級、系統(tǒng)屬性等文檔，由何部門/何人負(fù)責(zé)；b) 應(yīng)訪談文檔管理員，詢問對系統(tǒng)定級、系統(tǒng)屬性等文檔采取哪些控制措施（如限制使用范圍、使用登記記錄等）；c) 應(yīng)檢查是否具有將系統(tǒng)定級文檔和系統(tǒng)屬性說明文件等材料報主管部門備案的記錄或備案文檔；d) 應(yīng)檢查是否具有將系統(tǒng)等級、系統(tǒng)屬性和等級劃分理由等備案材料報相應(yīng)公安機關(guān)備案的記錄或證明；e) 應(yīng)檢查是否具有系統(tǒng)定級文檔和系統(tǒng)屬性說明文件等相關(guān)材料的使用控制記錄。訪談，檢查。安全主管，文檔管理員，備案記錄。b) 應(yīng)將系統(tǒng)等級及相關(guān)材料報系統(tǒng)主管部門備案；c

54、) 應(yīng)將系統(tǒng)等級及其他要求的備案材料報相應(yīng)公安機關(guān)備案。7.2.4.10 等級測評（G3）a) 在系統(tǒng)運行過程中，應(yīng)至少每年對系統(tǒng)進(jìn)行一次等級測評，發(fā)現(xiàn)不符合相應(yīng)等級保護(hù)標(biāo)準(zhǔn)要求的及時整改；/b) 應(yīng)在系統(tǒng)發(fā)生變更時及時對系統(tǒng)進(jìn)行等級測評，發(fā)現(xiàn)級別發(fā)生變化的及時調(diào)整級別并進(jìn)行安全改造，發(fā)現(xiàn)不符合相應(yīng)等級保護(hù)標(biāo)準(zhǔn)要求的及時整改；c) 應(yīng)選擇具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測評單位進(jìn)行等級測評；d) 應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)等級測評的管理。7.2.4.11 安全服務(wù)商選擇（G3）a) 應(yīng)確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定；a) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問對信息系統(tǒng)進(jìn)行安全規(guī)劃、設(shè)計、實施、維護(hù)、測評等服務(wù)的安全服務(wù)單位是否符合國家有關(guān)規(guī)定。訪談。系統(tǒng)建設(shè)負(fù)責(zé)人。b) 應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任；c) 應(yīng)確保選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾，必要的與其簽訂服務(wù)合同。7.2.5 系統(tǒng)運維管理7.2.5.1 環(huán)境管理（G3）a) 應(yīng)指定專門的部門或人員定期對機房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理；a) 應(yīng)訪談物理安全負(fù)責(zé)人，詢問是否指定專人或部門對機房基本設(shè)施（如空調(diào)、供配電設(shè)備等）進(jìn)行定期維護(hù)，由何部門/何人負(fù)責(zé)，維護(hù)周期多