1、XXXXXXXXXXXX 公司公司 XXXXXXXXXXXX 等級測評項目等級測評項目 測評指導(dǎo)書測評指導(dǎo)書 XXXXXXXXXXXX 信息安全測評技術(shù)中心信息安全測評技術(shù)中心 2009 年年 10 月月 DocumentDocument ControlControl 文檔名稱 文檔類型 文檔編號 密 級 日期版本編寫者描述審核人員 目錄 第第 1 章章安全管理測評指導(dǎo)書安全管理測評指導(dǎo)書 .5 1.1安全管理機構(gòu)測評.5 1.2安全管理制度測評.8 1.3人員安全管理測評.10 1.4系統(tǒng)建設(shè)管理測評.12 1.5系統(tǒng)運維管理測評.17 第第 2 章章物理安全測評指導(dǎo)書物理安全測評指導(dǎo)書 .

2、26 2.1物理安全測評.26 第第 3 章章網(wǎng)絡(luò)安全測評指導(dǎo)書網(wǎng)絡(luò)安全測評指導(dǎo)書 .34 3.1網(wǎng)絡(luò)全局安全測評.34 3.2路由器安全測評.36 3.2.1思科路由器安全測評.36 3.3交換機安全測評.40 3.3.1華為交換機安全測評.40 3.3.2思科交換機安全測評.43 3.4防火墻安全測評.46 3.4.1PIX防火墻安全測評.46 3.4.2天融信防火墻安全測評.48 3.4.3華為防火墻安全測評.51 3.5遠程撥號服務(wù)器安全測評.53 3.6入侵檢測/防御系統(tǒng)安全測評 .54 第第 4 章章操作系統(tǒng)安全測評指導(dǎo)書操作系統(tǒng)安全測評指導(dǎo)書.57 4.1WINDOWS操作系統(tǒng)安

3、全測評 .57 4.2TRU64 操作系統(tǒng)安全測評.61 4.3LINUX操作系統(tǒng)安全測評.69 4.4SOLARIS操作系統(tǒng)安全測評.74 4.5AIX操作系統(tǒng)安全測評.78 第第 5 章章應(yīng)用系統(tǒng)安全測評指導(dǎo)書應(yīng)用系統(tǒng)安全測評指導(dǎo)書.82 5.1應(yīng)用系統(tǒng)安全測評.82 5.2IIS 應(yīng)用安全測評.87 5.3APACHE應(yīng)用安全測評.89 第第 6 章章數(shù)據(jù)庫安全測評指導(dǎo)書數(shù)據(jù)庫安全測評指導(dǎo)書.93 6.1SQL SERVER數(shù)據(jù)庫安全測評.93 6.2ORACLE數(shù)據(jù)庫安全測評.98 6.3SYBASE數(shù)據(jù)庫安全測評.103 第第 1 1 章章 安全管理測評指導(dǎo)書安全管理測評指導(dǎo)書 1.

4、11.1 安全管理機構(gòu)測評安全管理機構(gòu)測評 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 a)設(shè)定管理部，定義各個方面的 負責人崗位和職責 訪談訪談 安全主管，管理機構(gòu)，部門和各負責人職責； 檢查檢查 核查各崗位職責范圍和技能要求； b)定義各個崗位和職責(系統(tǒng)、網(wǎng) 絡(luò)、安全管理） 訪談訪談 安全主管，崗位分工及相關(guān)職責； 1 崗位設(shè)置崗位設(shè)置 (G2) c)制定文件明確分工 檢查檢查 安全管理委員會職責文件。 制度類文檔要求制度類文檔要求 部門設(shè)置、崗 位設(shè)置及工作職 責定義方面的管 理制度 證據(jù)類文檔要求證據(jù)類文檔要求 機構(gòu)安全管理 人員崗位名單 2 人員配備人員配

5、備 (G2) a) 配備系統(tǒng)、網(wǎng)絡(luò)、安全管理員 訪談訪談 安全主管， 崗位人員配備情況； 檢查檢查 安全管理人員名單； 人員配備要求文檔； 制度類文檔要求制度類文檔要求 安全保障人事 管理制度 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 b) 安全管理員是專職的 檢查檢查 安全管理人員名單； 人員配備要求文檔。 a) 對關(guān)鍵活動授權(quán)審批部門及批 準人 訪談訪談 安全主管，關(guān)鍵活動的審批部門，批準人是否得到授權(quán)，更新審批項目，審查周期； 檢查檢查 授權(quán)管理文件包括事項列表（審批、事項、程序），更新審批項目，審查周期； 3 授權(quán)和審授權(quán)和審 批批(G2) b)列表說明須審

6、批的事項、部門 和可批準人 訪談訪談 關(guān)鍵活動的批準人，審批范圍,審查程序； 審批文檔、簽字和蓋章。 制度類文檔要求制度類文檔要求 授權(quán)和審批流 程 記錄類文檔要求記錄類文檔要求 各項審批和批 準執(zhí)行記錄（來 訪人員進入機房 審批、介質(zhì)/設(shè)備 外帶審批、系統(tǒng) 外聯(lián)審批等） （外聯(lián)接入、服 務(wù)訪問、配置變 更、采購、外來 人員訪問和管理） 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 a）內(nèi)部溝通，定期召開會議 訪談訪談 安全主管，與外單位和其他部門合作內(nèi)容，溝通、合作方式有哪些； 安全主管，部門間協(xié)調(diào)會議,安全管理機構(gòu)內(nèi)部會議，信息安全領(lǐng)導(dǎo)小組例會； 安全管理人員，與外

7、單位和其他部門人員主要溝通內(nèi)容； 檢查檢查 部門間協(xié)調(diào)會議文件； b）職能部門召開會議協(xié)調(diào)安全工 作實施 檢查檢查 安全工作會議文件； 4 溝通和合溝通和合 作作（G2) c）加強公安，電信的合作與溝通 檢查檢查 外聯(lián)單位說明文檔； 記錄類文檔要求記錄類文檔要求 各類會議紀要 或記錄（部門內(nèi)、 部門間協(xié)調(diào)會、 領(lǐng)導(dǎo)小組） 證據(jù)類文檔要求證據(jù)類文檔要求 外聯(lián)單位聯(lián)系 列表 5 審核和檢審核和檢 查查 （G2) a）定期安全檢查 訪談訪談 安全主管，檢查周期，定期分析、評審異常行為； 安全員，安全檢查包含內(nèi)容、人員、程序策略和要求，通報形式、范圍； 檢查檢查 安全檢查內(nèi)容、檢查程序和檢查結(jié)果等。

8、制度類文檔要求制度類文檔要求 安全審批和安 全檢查方面的管 制制度 1.21.2 安全管理制度測評安全管理制度測評 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 a)制定總體方針、政策性文件和 安全策略 訪談訪談 安全主管，制度體系是否有安全政策、安全策略； 檢查檢查 明確總體目標、范圍、方針、原則、責任，安全策略； b）建立安全管理制度 檢查檢查 覆蓋物理、網(wǎng)絡(luò)、主機系統(tǒng)、數(shù)據(jù)、應(yīng)用和管理等層面； 1 管理制度管理制度 （G2) c）建立操作規(guī)程 檢查檢查 重要管理操作的操作規(guī)程，如維護手冊和操作規(guī)程； 制度類文檔要求制度類文檔要求 總體安全方針 信息安全工作 管理制

9、度 證據(jù)類文檔要求證據(jù)類文檔要求 總體安全策略 專家論證文檔 a)信息安全職能部門，組織相關(guān) 人員制定 訪談訪談 安全主管，是否在信息安全領(lǐng)導(dǎo)小組或委員會負責下統(tǒng)一制定； b）統(tǒng)一的格式和版本 訪談訪談 安全主管，是否按照統(tǒng)一的格式標準或要求制定、論證和審定； 檢查檢查 管理文檔說明制定和發(fā)布程序、格式要求及版本； c）論證和審定 檢查檢查 評審記錄，評審意見； 2 制定和發(fā)制定和發(fā) 布布 （G2) d）簽發(fā)后按照一定的程序以文件 形式發(fā)布 檢查檢查 管理層的簽字或蓋章,格式統(tǒng)一； 制度類文檔要求制度類文檔要求 安全管理制度 改收發(fā)規(guī)范 記錄類文檔要求記錄類文檔要求 安全管理制度 的收發(fā)登記記

10、錄 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 3 評審與修評審與修 訂訂 （G2) a）對存在不足或需要改進的安全 管理制度進行修訂 訪談訪談 安全主管，對安全管理制度的評審由何部門、何人負責； 管理人員，對安全管理制度的評審、修訂程序，維護措施； 檢查檢查 列表注明評審周期； 評審記錄，日期與評審周期是否一致，修訂記錄和版本。 制度類文檔要求制度類文檔要求 授權(quán)審批、審 批流程等方面的 管理制度 記錄類文檔要求記錄類文檔要求 各類評審和修 訂記錄 1.31.3 人員安全管理測評人員安全管理測評 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果

11、a）具備專業(yè)技術(shù)水平和安全管理 知識 訪談訪談 人事負責人，錄用人員要求與其職責相對應(yīng)； 檢查檢查 人事工作人員，人員錄用要求管理文檔； b）身份、背景、專業(yè)資格和資質(zhì) 等進行審查 訪談訪談 審查身份、背景、專業(yè)資格和資質(zhì)，簽署保密協(xié)議，說明工作職責； 審查文檔，記錄審查內(nèi)容和審查結(jié)果； c）技能進行考核 檢查檢查 考核內(nèi)容和結(jié)果； d）說明其角色和職責 訪談訪談 人事負責人，錄用人員要求與其職責相對應(yīng)； 檢查檢查 人事工作人員，人員錄用要求管理文檔； 1 人員錄用人員錄用 （G2) e)簽署保密協(xié)議 檢查檢查 保密范圍、保密責任、違約責任、協(xié)議的有效期限和責任人簽字； a）終止所有訪問權(quán)限

12、訪談訪談 安全主管，及時終止離崗人員所有訪問權(quán)限，取回物資； b）物資收回 核查核查 檢查安全處理記； 2 人員離崗人員離崗 （G2) c）離崗須承諾調(diào)離后的保密義務(wù) 訪談訪談 人事工作人員，調(diào)離手續(xù)； 檢查檢查 保密承諾文檔，有調(diào)離人員的簽字； 制度類文檔要求制度類文檔要求 人員錄用、離 崗、考核等方面 的管理制度 記錄類文檔要求記錄類文檔要求 人員考核、審 查、培訓(xùn)記錄 （人員錄用、人 員定期考核）、 離崗手續(xù) 證據(jù)類文檔要求證據(jù)類文檔要求 人員保密協(xié)議 關(guān)鍵崗位安全 協(xié)議 離崗人員保密 協(xié)議書 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 a）技能及認知的考核 訪

13、談訪談 安全主管，專人負責定期考核； b）安全審查 訪談訪談 人事工作人員,考核情況，考核周期、考核內(nèi)容、審查情況和內(nèi)容如如操作行為、社會關(guān)系、 社交活動； 3 人員考核人員考核 （G2) c）違背安全策略和規(guī)定的人員進 行懲戒 訪談訪談 人事工作人員,懲戒措施； a）安全意識教育 訪談訪談 安全主管，以何形式制定安全教育和培訓(xùn)計劃，效果如何； b）告知責任和懲戒措施 訪談訪談 安全員，系統(tǒng)管理員，網(wǎng)絡(luò)管理員，數(shù)據(jù)庫管理員，各崗位人員對安全知識、責任和懲戒措 施等的理解程度； c）制定安全教育和培訓(xùn)計劃 檢查檢查 安全教育、培訓(xùn)計劃和不同崗位培訓(xùn)計劃，明確目的、方式、對象、內(nèi)容、時間和地點，內(nèi)

14、 容包含信息安全基礎(chǔ)知識、崗位操作規(guī)程； 4 安全意識安全意識 教育和培教育和培 訓(xùn)訓(xùn)（G2) d)記錄并歸檔保存 檢查檢查 記錄包括人員、內(nèi)容、結(jié)果的描述，記錄與培訓(xùn)計劃一致。 制度類文檔要求制度類文檔要求 人員安全教育 和培訓(xùn)方面的管 理制度 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 a）應(yīng)在訪問前與機構(gòu)簽署安全責 任合同書或保密協(xié)議 訪談訪談 安全主管，管理措施，訪問前簽署安全責任合同書或保密協(xié)議； 檢查檢查 全責任合同書或保密協(xié)議有保密范圍、保密責任、違約責任、協(xié)議的有效期限和責任人的簽 字； 5 第三人員第三人員 訪問管理訪問管理 （G2) b）重要區(qū)域的

15、訪問負責人的批準， 專人陪同或監(jiān)督，并記錄備案 訪談訪談 安全管理人員，訪問重要區(qū)域采取措施，有負責人批準，專人陪同記錄并備案管理； 檢查檢查 書面申請，批準人允許訪問的簽字； 制度類文檔要求制度類文檔要求 外部人員訪問 控制方面的管理 制度 記錄類文檔要求記錄類文檔要求 各項審批和批 準執(zhí)行記錄（來 訪人員進入機房 審批、介質(zhì)/設(shè)備 外帶審批、系統(tǒng) 外聯(lián)審批等） 1.41.4 系統(tǒng)建設(shè)管理測評系統(tǒng)建設(shè)管理測評 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 a)明確系統(tǒng)劃分方法 訪談訪談 劃分系統(tǒng)方法，確定等級方法參照定級指南的指導(dǎo)，定級結(jié)果得到批準； 檢查檢查 給出等

16、保 SxAyGz 值，定級結(jié)果有批準蓋章； b)確定信安全等級 訪談訪談 系統(tǒng)劃分方法和理由； 1 系統(tǒng)定級系統(tǒng)定級 (G2) c 書面確定系統(tǒng)屬性 檢查檢查 明確系統(tǒng)屬性:使命、業(yè)務(wù)、網(wǎng)絡(luò)、硬件、軟件、數(shù)據(jù)、邊界、人員； 證據(jù)類文檔要求證據(jù)類文檔要求 信息系統(tǒng)定級 報告或定級建議 書 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 d)定級結(jié)果經(jīng)過批準 訪談訪談 劃分系統(tǒng)方法，確定等級方法參照定級指南的指導(dǎo)，定級結(jié)果得到批準； 檢查檢查 給出等保 SxAyGz 值，定級結(jié)果有批準蓋章； 專家對定級結(jié)果的論證意見。 a)依據(jù)等保和風險分析選擇和調(diào) 整安全措施 訪談訪談 系

17、統(tǒng)建設(shè)負責人，根據(jù)系統(tǒng)的安全級別選擇基本安全措施，依據(jù)風險分析的結(jié)果補充和調(diào)整 安全措施，做過哪些調(diào)整； b) 書面描述對系統(tǒng)的安全保護要 求和策略、措施等內(nèi)容，形成系 統(tǒng)的安全方案 訪談訪談 安全主管，授權(quán)專人負責制定總體安全方案； 檢查檢查 系統(tǒng)安全方案，要求、策略和措施； c) 考慮安全保障體系的總體安全 策略、安全技術(shù)框架、安全管理 策略、總體建設(shè)規(guī)劃和詳細設(shè)計 方案，并形成配套文件 訪談訪談 系統(tǒng)建設(shè)負責人，根據(jù)信息系統(tǒng)等級劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安 全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細設(shè)計方案等； d)安全保障體系的配套文件經(jīng)過 專家論證和審定 訪談訪

18、談 系統(tǒng)建設(shè)負責人，安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套 文件進行論證和審定，并經(jīng)過管理部門的批準； 檢查檢查 核查相關(guān)論證意見； 2 安全方案安全方案 設(shè)計設(shè)計(G2) e)安全保障體系的配套文件經(jīng)批 準后，才能正式實施 檢查檢查 各方案管理層的批準； 證據(jù)類文檔要求證據(jù)類文檔要求 近期和遠期安 全建設(shè)工作計劃、 總體建設(shè)規(guī)劃書 詳細設(shè)計方案 前一次測評報 告 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 a）采購符合國家規(guī)定 訪談訪談 系統(tǒng)建設(shè)負責人，密碼產(chǎn)品的使用是否符合國家密碼主管部門的要求； 檢查檢查 安全產(chǎn)品（邊界安全設(shè)備、重要服

19、務(wù)器操作系統(tǒng)、數(shù)據(jù)庫等）是否符合國家的規(guī)定； b）密碼產(chǎn)品符合國密要求 檢查檢查 商用密碼產(chǎn)品和保密專用產(chǎn)品采購符合商用密碼管理條例和計算機信息系統(tǒng)保密工作 暫行規(guī)定； 3 產(chǎn)品采購產(chǎn)品采購 (G2) c）專人負責采購 訪談訪談 安全主管， 何部門何人負責產(chǎn)品采購。 制度類文檔要求制度類文檔要求 產(chǎn)品選型、采 購方面的管理制 度 記錄類文檔要求記錄類文檔要求 產(chǎn)品的選型測 試結(jié)果記錄 證據(jù)類文檔要求證據(jù)類文檔要求 候選產(chǎn)品名單 a）開發(fā)與運行，與測試環(huán)境要獨 立 訪談訪談 系統(tǒng)建設(shè)負責人，程序的修改、更新、發(fā)布進行授權(quán)和批準，控制措施，開發(fā)人員不能做測 試人員（即二者分離），獨立的模擬環(huán)境中編

20、寫、調(diào)試和完成； 檢查檢查 開發(fā)環(huán)境與運行環(huán)境物理分開； e)提供文檔指南 檢查檢查 軟件設(shè)計的相關(guān)文檔（應(yīng)用軟件設(shè)計程序文件、源代碼文檔等）和軟件使用指南或操作手 冊和維護手冊等； 4 自行軟件自行軟件 開發(fā)開發(fā)(G2) b)文檔由專人保管，控制使用 檢查檢查 開發(fā)相關(guān)文檔（軟件設(shè)計和開發(fā)程序文件、測試數(shù)據(jù)、測試結(jié)果、維護手冊等）的使用控制 記錄。 5 外包軟件外包軟件 開發(fā)開發(fā)(G2) a）簽訂協(xié)議，明確知識產(chǎn)權(quán)的歸 屬和安全方面的要求 訪談訪談 外包前書面文檔形式規(guī)范軟件開發(fā)單位的責任、安全行為、開發(fā)環(huán)境要求、軟件質(zhì)量、開發(fā) 后的服務(wù)承諾； 檢查檢查 軟件開發(fā)協(xié)議,知識產(chǎn)權(quán)歸屬、安全行為

21、等內(nèi)容； 制度類文檔要求制度類文檔要求 軟件外包開發(fā) 或自我開發(fā)方面 的管理制度 證據(jù)類文檔要求證據(jù)類文檔要求 軟件開發(fā)協(xié)議 與安全服務(wù)商 或外包開發(fā)商簽 訂的服務(wù)合同和 安全協(xié)議 軟件開發(fā)設(shè)計 和用戶指南等相 關(guān)文檔（目錄體 系框架或交換原 形系統(tǒng)）、軟件 測試報告 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 b）檢測軟件質(zhì)量 檢查檢查 軟件開發(fā)協(xié)議,知識產(chǎn)權(quán)歸屬、安全行為等內(nèi)容； c）安裝之前檢測軟件包中可能存 在的惡意代碼 訪談訪談 交付前進行軟件功能和性能驗收檢測，驗收檢測是否是由開發(fā)商和委托方共同參與，檢測軟 件中的惡意代碼，檢測工具是否是第三方的商業(yè)產(chǎn)品；

22、 d）提供軟件設(shè)計的相關(guān)文檔和使 用指南 檢查檢查 應(yīng)檢查是否具有需求分析說明書、軟件設(shè)計說明書和軟件操作手冊等開發(fā)文檔以及用戶培訓(xùn) 計劃、程序員培訓(xùn)手冊等后期技術(shù)支持文檔。 a)簽訂安全協(xié)議 訪談訪談 系統(tǒng)建設(shè)負責人，以書面形式（如工程安全建設(shè)協(xié)議）約束工程實施方的工程實施行為； 檢查檢查 覆蓋工程實施方的責任、任務(wù)要求和質(zhì)量要求等方面內(nèi)容，約束工程實施行為； b）專人負責 訪談訪談 系統(tǒng)建設(shè)負責人，指定專人負責進度和質(zhì)量控制，行為規(guī)范制度化，資質(zhì)證明和能力保證； 6 工程實施工程實施 (G2) c）制定施工方案 檢查檢查 覆蓋工程時間限制、進度控制和質(zhì)量控制等方面內(nèi)容，工程實施過程是否按照

23、實施方案形成 各種文檔，如階段性工程報告； 制度類文檔要求制度類文檔要求 工程實施過程 管理方面的管理 制度 證據(jù)類文檔要求證據(jù)類文檔要求 工程實施方案 a）安全性測試驗收 訪談訪談 系統(tǒng)正式運行前，根據(jù)設(shè)計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試； b）制定測試驗收報告 訪談訪談 對測試過程（包括測試前、測試中和測試后）進行文檔化要求和制度化要求； 應(yīng)檢查是否具有系統(tǒng)驗收報告；7 測試驗收測試驗收 (G2) c）測試驗收報告審定，雙方簽字 檢查檢查 應(yīng)檢查驗收測試管理制度是否對系統(tǒng)驗收測試的過程控制、參與人員的行為等進行規(guī)定。 制度類文檔要求制度類文檔要求 測試、驗收方 面的管理制度 記

24、錄類文檔要求記錄類文檔要求 系統(tǒng)驗收測試 記錄、報告 證據(jù)類文檔要求證據(jù)類文檔要求 系統(tǒng)驗收測試 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 方案 a）明確交接手續(xù) 訪談訪談 交接手續(xù)，交接清單是否滿足合同的有關(guān)要求； 檢查檢查 系統(tǒng)交付清單具有系統(tǒng)建設(shè)文檔、指導(dǎo)用戶進行系統(tǒng)運維的文檔以及系統(tǒng)培訓(xùn)手冊； b）技能培訓(xùn) 訪談訪談 運行維護，培訓(xùn)，技術(shù)支持服務(wù)，維護的文檔； 服務(wù)承諾書、培訓(xùn)記錄； c）提供運維文檔 檢查檢查 系統(tǒng)交付清單具有系統(tǒng)建設(shè)文檔、指導(dǎo)用戶進行系統(tǒng)運維的文檔以及系統(tǒng)培訓(xùn)手冊； 8 系統(tǒng)交付系統(tǒng)交付 (G2) d）服務(wù)承諾書，確保對系統(tǒng)運行 維護的支

25、持 訪談訪談 服務(wù)承諾書、培訓(xùn)記錄。 證據(jù)類文檔要求證據(jù)類文檔要求 與安全服務(wù)商 或外包開發(fā)商簽 訂的服務(wù)合同和 安全協(xié)議 系統(tǒng)交付清單 9 安全服務(wù)安全服務(wù) 商選擇商選擇 (G2) a)符合國家規(guī)定 訪談訪談 信息系統(tǒng)進行安全規(guī)劃、設(shè)計、實施、維護、測評等服務(wù)的安全服務(wù)單位是否符合國家有關(guān) 規(guī)定。 證據(jù)類文檔要求證據(jù)類文檔要求 與安全服務(wù)商 或外包開發(fā)商簽 訂的服務(wù)合同和 安全協(xié)議 備資質(zhì)條件 1.51.5 系統(tǒng)運維管理測評系統(tǒng)運維管理測評 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 a）對機房設(shè)施定期維護管理 訪談訪談 物理安全負責人，機房基本設(shè)施（如空調(diào)、供配電

26、設(shè)備等）進行定期維護，由何部門/何人 負責，維護周期； 檢查檢查 設(shè)施維護記錄； b）指定部門負責機房安全 訪談訪談 物理安全負責人，指定人員負責機房安全管理工作，對機房的出入管理是否要求進行制度化 和文檔化； c）建立機房安全管理制度 檢查檢查 覆蓋機房物理訪問、物品帶進、帶出機房和機房環(huán)境安全等方面； d）對機房來訪人員進行登記和備 案管理，限制來訪人員的活動范 圍 檢查 進出登記表； 1 環(huán)境管理環(huán)境管理 (G2)(G2) d）辦公環(huán)境的保密性管理 訪談訪談 工作人員，保證辦公環(huán)境的保密性要求事項； 檢查檢查 辦公環(huán)境管理文檔對工作人員離開座位的保密行為（如清理桌面文件和屏幕鎖定等）、人

27、員 調(diào)離辦公室后的行為行規(guī)定。 制度類文檔要求制度類文檔要求 機房安全管理 方面的管理制度 辦公環(huán)境安全 管理方面的管理 制度 記錄類文檔要求記錄類文檔要求 機房日常巡檢 記錄 機房出入登記 記錄（包括第三 方人員） 機房記錄設(shè)備 維護記錄 證據(jù)類文檔要求證據(jù)類文檔要求 機房安全設(shè)計 和驗收方面的文 檔 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 a）資產(chǎn)管理制度 訪談訪談 安全主管，指定資產(chǎn)管理的責任人員或部門，由何部門/何人負責； 物理安全負責人，資產(chǎn)管理要求文檔化； 覆蓋資產(chǎn)使用、借用、維護等方面； b）編制資產(chǎn)清單 檢查檢查 覆蓋資產(chǎn)責任人、所屬級別、所處位置

28、和所屬部門等方面；2 資產(chǎn)管理資產(chǎn)管理 (G2)(G2) c）資產(chǎn)標識 訪談訪談 資產(chǎn)管理員，對資產(chǎn)進行賦值和標識管理，不同類別的資產(chǎn)是否采取不同的管理措施； 檢查檢查 資產(chǎn)清單中的設(shè)備有相應(yīng)標識； 制度類文檔要求制度類文檔要求 資產(chǎn)、設(shè)備、 介質(zhì)安全管理方 面的管理制度 證據(jù)類文檔要求證據(jù)類文檔要求 資產(chǎn)清單 a）介質(zhì)存放環(huán)境安全 訪談訪談 資產(chǎn)管理員，介質(zhì)的存放環(huán)境的保護措施，防止其被盜、被毀、被未授權(quán)修改以及信息的非 法泄漏，專人管理； 檢查檢查 應(yīng)檢查介質(zhì)管理制度，查看其內(nèi)容是否覆蓋介質(zhì)的存放環(huán)境、使用、維護和銷毀等方面； 3 介質(zhì)管理介質(zhì)管理 (G2)(G2) b）介質(zhì)歸檔和查詢記錄

29、，定期盤 點 訪談訪談 資產(chǎn)管理員，對介質(zhì)的使用管理要求文檔化，是否根據(jù)介質(zhì)的目錄清單對介質(zhì)的使用現(xiàn)狀進 行定期檢查，是否對介質(zhì)進行分類和標識管理； 檢查檢查 介質(zhì)管理記錄，記錄介質(zhì)的存儲、歸檔和借用等情況； 制度類文檔要求制度類文檔要求 信息分類、標 識、發(fā)布、使用 方面的管理制度 記錄類文檔要求記錄類文檔要求 介質(zhì)歸檔、查 詢等的登記記錄 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 c）介質(zhì)使用、維修、銷毀管理 訪談訪談 資產(chǎn)管理員， 進行保密性處理；對保密性較高的介質(zhì)銷毀前是否有領(lǐng)導(dǎo)批準，否對數(shù)據(jù)進 行凈化處理；詢問對介質(zhì)的物理傳輸過程是否要求選擇可靠傳輸人員、

30、嚴格介質(zhì)的打包（如 采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)的控制； 資產(chǎn)管理員，重要介質(zhì)實行異地存儲，異地存儲環(huán)境是否與本地環(huán)境相同； d）對介質(zhì)進行分類和標識管理， 專人管理 檢查檢查 應(yīng)檢查介質(zhì)，查看是否對其進行了分類，并具有不同標識； a）專人維護 訪談訪談 資產(chǎn)管理員，設(shè)備指定專人或?qū)ｉT部門進行定期維護，周期； b）建立設(shè)備管理制度 訪談訪談 系統(tǒng)管理員，軟硬件維護進行制度化管理； 檢查檢查 應(yīng)檢查設(shè)備審批、發(fā)放管理文檔，查看其內(nèi)容是否對設(shè)備選型、采購和發(fā)放等環(huán)節(jié)的申報和 審批作出規(guī)定；查看是否具有設(shè)備的選型、采購、發(fā)放等過程的申報材料和審批報告； c）設(shè)備的操作

31、和使用進行規(guī)范化 管理 訪談訪談 資產(chǎn)管理員，設(shè)備選用的各個環(huán)節(jié)（選型、采購、發(fā)放等）進行審批控制，對設(shè)備帶離機構(gòu) 進行審批控制，設(shè)備的操作和使用是否要求規(guī)范化管理； 檢查檢查 應(yīng)檢查設(shè)備使用管理文檔，查看其內(nèi)容是否覆蓋終端計算機、便攜機和網(wǎng)絡(luò)設(shè)備等使用、操 作原則、注意事項等方面； 4 設(shè)備管理設(shè)備管理 (G2)(G2) d）帶離設(shè)備進行控制 檢查檢查 應(yīng)檢查設(shè)備使用管理文檔，查看其內(nèi)容是否覆蓋終端計算機、便攜機和網(wǎng)絡(luò)設(shè)備等使用、操 作原則、注意事項等方面； 制度類文檔要求制度類文檔要求 配套設(shè)備、軟 硬件維護方面的 管理制度 記錄類文檔要求記錄類文檔要求 主機系統(tǒng)、網(wǎng) 絡(luò)、安全設(shè)備等 的操

32、作日志和維 護記錄 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 e）監(jiān)控檢查管理 訪談訪談 審計員，服務(wù)器的操作日志，日志文件管理，期檢查管理； 檢查檢查 應(yīng)檢查服務(wù)器操作規(guī)程，查看其內(nèi)容是否覆蓋服務(wù)器如何啟動、停止、加電、斷電等操作。 5 監(jiān)控管理監(jiān)控管理 (G2)(G2) a）信息系統(tǒng)監(jiān)控和報警 訪談訪談 系統(tǒng)運維負責人，查看主要服務(wù)器的各項資源指標，如 CPU、內(nèi)存、進程和磁盤等使用情況。 制度類文檔要求制度類文檔要求 系統(tǒng)監(jiān)控、風 險評估、漏洞掃 描方面的管理制 度采集操作 手冊 維護管理規(guī)范 維護匯總 證據(jù)類文檔要求證據(jù)類文檔要求 主要設(shè)備漏洞 掃描報告 系

33、統(tǒng)異常行為 審計分析報告 a）專人管理 訪談訪談 安全主管，指定專人負責維護網(wǎng)絡(luò)運行日志、監(jiān)控記錄和分析處理報警信息等網(wǎng)絡(luò)安全管理 工作； b）更新，備份 訪談訪談 應(yīng)訪談網(wǎng)絡(luò)管理員，廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進行過升級，目前的版本號為多少， 升級前是否對重要文件（帳戶數(shù)據(jù)、配置數(shù)據(jù)等）進行備份，采取什么方式進行備份；網(wǎng)絡(luò) 設(shè)備進行過漏洞掃描，對掃描出的漏洞是否及時修補； 6 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 管理管理(G2)(G2) c）進行網(wǎng)絡(luò)系統(tǒng)漏洞掃描，及時 修補 訪談訪談 應(yīng)訪談網(wǎng)絡(luò)管理員，廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進行過升級，目前的版本號為多少， 升級前是否對重要文件（帳戶數(shù)據(jù)、配置數(shù)

34、據(jù)等）進行備份，采取什么方式進行備份；網(wǎng)絡(luò) 制度類文檔要求制度類文檔要求 網(wǎng)絡(luò)監(jiān)測與事 件匯報制度 記錄類文檔要求記錄類文檔要求 對主機、網(wǎng)絡(luò) 設(shè)備和應(yīng)用軟件 等的監(jiān)控記錄和 分析報告 序號序號測評指標測評指標測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 設(shè)備進行過漏洞掃描，對掃描出的漏洞是否及時修補； 檢查檢查 漏洞掃描報告，覆蓋網(wǎng)絡(luò)存在的漏洞、嚴重級別、原因分析和改進意見等方面； d）與外部系統(tǒng)的連接均應(yīng)得到授 權(quán)和批準 訪談訪談 安全員，外聯(lián)種類有哪些（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級部門網(wǎng)絡(luò)等），得到授權(quán)與批準， 由何部門/何人批準；定期檢查違規(guī)聯(lián)網(wǎng)的行為； 檢查檢查 應(yīng)檢查是否具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準書； e）建立網(wǎng)絡(luò)安全管理制度 訪談訪談 安全員，網(wǎng)絡(luò)安全的管理工作（包括網(wǎng)絡(luò)安全配置、網(wǎng)絡(luò)用戶、日志等方面）制度化； 檢查檢查 應(yīng)檢查網(wǎng)絡(luò)安全管理制度，查看其是否覆蓋網(wǎng)絡(luò)設(shè)備的安全策略、授權(quán)訪問、最小服 務(wù)、升級與打補丁、維護記錄、日志內(nèi)容、日志保