3安全管理测评指导书三级S3A3G.docx

3安全管理测评指导书三级S3A3G公安部信息安全等级保护评估中心 1、 安全管理制度 序号 类别 测评项 测评实施 预期结果 说明 1）具有信息安全工作的总体方针和安全a）应制定信息安全工作的总体方针1）应检查信息安全工作的总体方针和安策略。 和安全策略，说明机构安全工作的总全策略，查看文件是否明确机构安全工作2）总体方针和安全策略里明确了机构安体目标、范围、原则和安全框架等。 的总体目标、范围、原则和安全框架等。 全工作的总体目标、范围、原则和安全框架等。 b）应对安全管理活动中的各类管理内容建立安全管理制度。 1）应检查各项安全管理制度，查看是否覆盖安全管理活动中的各类管理内容。 1）应检查是否具有对重要管理操作的操作规程，如系统维护手册和用户操作规程等。 1）应访谈安全主管，询问机构是否形成全面的信息安全管理制度体系，制度体系是否由安全政策、管理制度、操作规程等构成。 1）应访谈安全主管，询问由何部门或人员负责安全管理制度的制定，参与制定人员有哪些。 2）应检查人员职责、岗位设置等相关管理制度文件，查看是否明确由专门的部门或人员负责安全管理制度的制定工作。 1）建立了安全管理制度。 2）安全管理制度覆盖了机构管理、制度管理、人员管理、系统建设和运维等层面的管理内容。 1 管理制度 c）应对安全管理人员或操作人员执行的日常管理操作建立操作规程。 1）具有日常管理操作的操作规程。 2）操作规程覆盖了物理、网络、主机、应用等层面的重要操作规程。 1）具有各项管理制度。 2）内容覆盖全面，由总体方针、安全策略、管理制度、操作规程等构成，形成了全面的信息安全管理制度体系。 1）具有人员职责或岗位设置等相关文件。 2）文件明确了由专门的部门或人员负责安全管理制度的制定工作。 1）具有关于管理制度的格式和版本控制的相关文档。 2）相关管理文档内容覆盖了包括管理制d）应形成由安全政策、管理制度、操作规程等构成的全面的信息安全管理制度体系。 2 制定和发布 a）应指定或授权专门的部门或人员负责安全管理制度的制定。 1）应检查安全管理制度制定和发布要求b）安全管理制度应具有统一的格式，管理文档，查看文档是否说明安全管理制并进行版本控制。 度的格式要求、版本编号。 第 1 页 共 37 页 公安部信息安全等级保护评估中心 序号 类别 测评项 测评实施 2）应检查安全管理制度文档，查看是否具有版本标识，查看各项制度文档格式是否统一。 预期结果 度的格式标准或要求以及版本控制等内容。 3）各项安全管理制度具有统一的格式并进行了版本控制。 说明 c）应组织相关人员对制定的安全管理进行论证和审定。 1）应访谈安全主管，询问安全管理制度的制定程序，是否对制定的安全管理制度进行论证和审定，论证和审定方式如何1）具有管理制度评审记录，有评审意见。 。 2）应检查管理制度评审记录，查看是否具有相关人员的评审意见。 1）具有制度制定和发布要求的管理文档。 2）文档内容覆盖安全管理制度制定和发布程序。 3）各项安全管理制度文档都是通过正式、有效的方式发布的，如具有版本标识和管理层的签字或单位盖章。 d）安全管理制度应通过正式、有效的方式发布。 1）应检查安全管理制度制定和发布要求管理文档，查看文档是否说明安全管理制度的制定、发布程序和发布范围等各项要求。 e）安全管理制度应注明发布范围，并对收发文进行登记。 若以电子形1）应检查安全管理制度的收发登记记录，式发布的管查看收发是否通过正式、有效的方式具有安全管理制度的收发登记记录。 理制度，关正式发文、领导签署和单位盖章等），是2）注明了安全制度发布范围。 注版本控制否注明管理制度的发布范围。 和发布范围 1）应访谈安全主管，询问是否由信息安全领导小组负责定期对安全管理制度体系的合理性和适用性进行审定，审定周期多长。 1）具有安全管理制度体系的评审记录。 2）评审内容符合要求。 3）评审周期符合要求。 3 评审和修订 a）信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。 第 2 页 共 37 页 公安部信息安全等级保护评估中心 序号 类别 测评项 测评实施 2）应检查是否具有安全管理制度体系的评审记录，查看实际评审周期是否符合要求，是否记录了相关人员的评审意见。 1）应访谈安全主管，询问是否对管理制度定期修订，修订周期多长。询问系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时是否对安全管理制度进行检查，对需要改进的制度进行修订。 2）应检查是否具有安全管理制度修订记录。 预期结果 说明 b）应定期或不定期对安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度进行修订。 1）具有安全管理制度的检查或评审记录。 2）如果有修订版本，具有修订版本的安全管理制度。 第 3 页 共 37 页 公安部信息安全等级保护评估中心 2、 安全管理机构 序号 类别 测评项 测评实施 预期结果 说明 1）应访谈安全主管，询问是否设立安全管理机构。机构内部门设置情况如何，是否设立安全主管及安全管理各个方面的负责1）具有部门、岗位职责文件。 人，是否明确各部门和各负责人的职责。 2）文件中明确了职能部门、安全主管、2）应检查部门、岗位职责文件，查看文负责人等相关职责。 件是否明确安全管理机构的职责，是否明确机构内各部门和各负责人的职责和分工。 a）应设立信息安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责。 1 岗位设置 1）应访谈安全主管，询问设置了哪些工作岗位，是b）应设立系统管理员、网络管理员、否明确各个岗位的职责分工。 安全管理员等岗位，并定义各个工作2）应检查文件是否明确设置安全主管、岗位的职责。 安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等各个岗位，各个岗位的职责范围是否清晰、明确。 1）应访谈安全主管，询问是否设立指导和管理信息安全工作的委员会或领导小组，其最高领导是否由单位主管领导委任或授权的人员担任。 2）应检查信息安全工作委员会或领导小组的成立文件，查看最高领导是否由单位主管领导委任或授权。 1）具有部门、岗位职责文件。 2）文件中明确了系统管理员等相关岗位的工作职责。 c）应成立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领导委任或授权。 1）具有成立信息安全工作委员会或领导小组的正式文件。 2）具有委员会或领导小组职责文件。 3）文件中明确了领导小组职责和最高领导岗位职责。 第 4 页 共 37 页 公安部信息安全等级保护评估中心 序号 类别 测评项 测评实施 3）应检查部门、岗位职责文件，查看是否明确信息安全管理委员会或领导小组的职责。 1）应检查部门、岗位职责文件，查看文件是否明确委员会的职责和安全管理机构的职责。是否明确机构内各部门的职责和分工。是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等各个岗位的职责范围。查看文件是否明确各个岗位人员应具有的技能要求。 预期结果 说明 d）应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。 1）具有部门、岗位职责的正式文件。 2）文件中包含管理机构内各部门和岗位 职责，包含各个岗位人员的技能要求。 a）应配备一定数量的系统管理员、网络管理员、安全管理员等。 1）应访谈安全主管，询问各个安全管理岗位人员具有岗位与人员对应关系表。 员）配备情况。 2）表中每个岗位都有对应的人员。 2）应检查管理人员名单，查看其是否明确机房管理员、系统管理员、网络管理员、安全管理员等重要岗位人员的信息。 1）应访谈安全主管，询问安全管理员的配备情况，是否是专职。 2）应检查管理人员名单，确认安全管理员是否是专职人员。 2 人员配备 b）应配备专职安全管理员，不可兼任。 安全管理员不得兼任同一系统的系1）具有岗位与人员对应关系表。 2）确认表中的安全管理员是专职人员。 统管理员 1）具有岗位与人员对应关系表。 2）确认表中关键岗位配备多人。 c）关键事务岗位应配备多人共同管理。 1）应访谈安全主管，询问哪些关键事物需要配备2人或2人以上共同管理，人员具体配备情况如何。 第 5 页 共 37 页 公安部信息安全等级保护评估中心 序号 类别 测评项 测评实施 2）应检查管理人员名单，查看关键岗位是否配备多人。 预期结果 1）明确了各项审批事项的审批部门和审批人。 说明 a）应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。 1）应访谈安全主管，询问对哪些信息系统活动进行审批，审批部门是何部门，审批人是何人。 1）应访谈安全主管，询问其对重要活动的审批范围，审批程序如何，其中是否需要需要逐级审批。 3 授权和审批 b）应针对系统变更、重要操作、物2）应检查各类管理制度文档，查看文档理访问和系统接入等事项建立审批中是否明确事项的审批程序，是否明确对重要活动进行逐级审批，由哪些部门/人员逐级审批。 3）应检查经逐级审批的文档，查看是否具有各级批准人的签字和审批部门的盖章。 c）应定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息。 d）应记录审批过程并保存审批文档。 1）应检查审批事项的审查记录，查看是否对审批事项、审批部门、审批人的变更进行评审。 1）与审批活动相关的制度中明确了审批程序以及重要活动的逐级审批流程。 2）具有经过逐级审批的文档。 1）具有审查记录。 2）记录与文件要求一致。 1）应检查关键活动的审批过程记录，查1）具有各项活动的审批过程记录。 看记录的审批程序与文件要求是否一致。 2）记录与文件要求一致。 1）应访谈安全主管，询问与其它部门之间及内部各部门管理人员之间的沟通、合作机制。部门间、，安全管理职能部门内1）具有会议文件或会议记录。 2）文件或记录中有会议内容等描述。 4 沟通和合作 a）应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通，定期或不定期第 6 页 共 37 页 公安部信息安全等级保护评估中心 序号 类别 测评项 召开协调会议，共同协作处理信息安全问题。 测评实施 部以及信息安全领导小组或者安全管理委员会是否定期召开会议。 2）应检查组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录，查看是否具有会议内容、会议时间、参加人员和会议结果等描述。 3）应检查是否具有信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录。 预期结果 说明 b）应加强与兄弟单位、公安机关、电信公司的合作与沟通。 1）应访谈安全主管，询问是否建立与公 安机关、电信公司和兄弟单位等的沟通、1）与兄弟单位等建立了某种方式的沟通合作机制。 合作机制。 2）应检查外联单位联系列表，查看外联2）具有外联单位联系列表。 单位是否包含公安机关、电信公司、兄弟3）列表说明外联单位包含公安机关等。 公司等，是否说明外联单位的名称、联系人、合作内容和联系方式等内容。 1）应访谈安全主管，询问是否与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。 1）与供应商等建立了某种方式的沟通合2）应检查外联单位联系列表，查看外联作机制。 单位是否包含供应商、业界专家、专业的2）外联单位联系列表说明外联单位包含安全公司和安全组织等，是否说明外联单供应商等。 位的名称、联系人、合作内容和联系方式等内容。 c）应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。 第 7 页 共 37 页 公安部信息安全等级保护评估中心 序号 类别 测评项 d）应建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息。 测评实施 预期结果 说明 1）应检查外联单位联系列表，查看外联单位是否包含公安机关、电信公司、兄弟1）具有外联单位联系列表。 公司、供应商、业界专家、专业的安全公2）列表说明外联单位的名称等内容。 司和安全组织等，是否说明外联单位的名称、联系人、合作内容和联系方式等内容。 1）应访谈安全主管，询问是否聘请信息安全专家作为常年的安全顾问。 e）应聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等。 2）应检查是否具有安全顾问名单或者聘请安全顾问的证明文件。 3）应检查是否具有安全顾问指导信息安全建设、参与安全规划和安全评审的相关文档或记录。 1）安全顾问名单或者聘请安全顾问的证明文件。 2）具有安全顾问参与评审的文档或记录。 1）应访谈安全主管，询问是否组织人员a）安全管理员应负责定期进行安全定期对信息系统进行安全检查 查看检查检查，检查内容包括系统日常运行、内容是否包括系统日常运行、系统漏洞和系统漏洞和数据备份等情况。 数据备份等情况。 b）应由内部人员或上级单位定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。 1）应访谈安全管理员，询问是否定期进行全面安全检查，安全检查是否包含现行技术措施有效性和管理制度执行情况等方面。 2）应检查安全检查制度，查看是否明确检查内容包括技术措施有效性和安全管理制度执行情况等方面。 1）应访谈安全管理员，询问是否制定安全检查表格实施安全检查，是否对检查结果进行通报。 2）应检查是否具有安全检查表格。 1）定期实施安全检查。 1）具有安全检查制度。 2）制度中明确了相关检查内容。 5 审核和检查 c）应制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报。 1）具有安全检查表。 2）具有安全检查报告。 3）具有检查结果通告记录。 第 8 页 共 37 页 公安部信息安全等级保护评估中心 序号 类别 测评项 测评实施 3）应检查安全检查报告，查看报告日期与检查周期是否一致，报告中是否具有检查内容、检查时间、检查人员、检查数据汇总表、检查结果等的描述。 预期结果 说明 d）应制定安全审核和安全检查制度规范安全审核和安全检查工作，定期按照程序进行安全审核和安全检查活动。 1）应检查安全检查制度文档，查看文档是否规定检查内容、检查程序和检查周期等，检查内容是否包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。 1）具有安全检查制度。 2）制度中明确了定期进行全面安全检查，明确了检查内容等。 第 9 页 共 37 页 公安部信息安全等级保护评估中心 3、 人员安全管理 序号 类别 测评项 a）应指定或授权专门的部门或人员负责人员录用。 测评实施 1）应访谈安全主管，询问由何部门/何人负责安全管理和技术人员的录用工作。 预期结果 1）指定或授权专门的部门或人员负责录用工作。 说明 b）应严格规范人员录用过程，对被录用人的身份、背景、专业资格和资质等进行审查，对其所具有的技术技能进行考核。 1）应访谈人事负责人，询问在人员录用时是否对被录用人的身份、背景、专业资格和资质进行审查，对技术人员的技术技能进行考核。 1）文档中有人员录用的要求，说明录用2）应检查人员录用要求管理文档，查看人员应具备的条件。 是否说明录用人员应具备的条件，如学2）文档或记录中有审查内容和审查结历、学位要求，技术人员应具备的专业技果。 术水平，管理人员应具备的安全管理知识3）具有技能考核文档或记录。 等。 3）应检查技能考核文档或记录，查看是否记录考核内容和考核结果等。 1）应访谈人事负责人，询问是否与录用后的技术人员签署保密协议。 1）具有保密协议。 2）协议中有保密范围、保密责任、违约2）应检查保密协议，查看是否具有保密责任、协议的有效期限和责任人的签字范围、保密责任、违约责任、协议的有效等内容。 期限和责任人的签字等内容。 1）应访谈人事负责人，询问是否设定关键岗位，对从事关键岗位的人员是否从内部人员中选拔，是否要求其签署岗位安全1）具有岗位安全协议。 协议。 2）协议中有安全责任定义、协议的有效2）应检查岗位安全协议，查看是否具有期限和责任人签字等内容。 岗位安全责任、违约责任、协议的有效期限和责任人签字等内容。 1 人员录用 c）应签署保密协议。 d）应从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议。 第 10 页 共 37 页 公安部信息安全等级保护评估中心 序号 类别 测评项 测评实施 1）应访谈人事负责人，询问是否及时终止离岗人员的所有访问权限。 预期结果 说明 1）文档有离岗管理的内容，规定了人员a）应严格规范人员离岗过程，及时离岗要求。 2) 应检查人员离岗管理文档，查看是否规终止即将离岗员工的所有访问权限。 2）具有离岗人员所有访问权限终止的记范人员离岗过程，并明确终止离岗人员的录。 访问权限。 1）应访谈人事负责人，询问是否及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等。 2）应检查是否具有交还身份证件和设备等的登记记录。 2 人员离岗 b）应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。 1）具有离岗人员交还身份证件、设备等的登记记录。 c）应办理严格的调离手续，关键岗位人员离岗须承诺调离后的保密义务后方可离开。 1）应访谈人事负责人，询问人员离岗是否办理调离手续，是否要求关键岗位调离1）管理文档中规定了人员调离手续。 人员承诺相关保密义务后方可离开。 2）具有按照离岗程序办理调离手续的记2）应检查人员离岗管理文档，查看是否录。 规定了调离手续和离岗要求等。 3）具有保密承诺文档。 3）应检查保密承诺文档，查看是否具有4）文档有调离人员的签字。 调离人员签字。 1）应访谈安全主管，询问对各个岗位人员是否定期进行安全技能考核。 a）应定期对各个岗位的人员进行安全技能及安全认知的考核。 3 人员考核 b）应对关键岗位的人员进行全面、严格的安全审查和技能考核。 1）具有安全技能考核记录。 2）应检查考核记录，查看记录的考核人2）考核内容要求包含安全知识、安全技员是否包括各个岗位的人员，考核内容是能等。 否包含安全知识、安全技能等。查看记录日期与考核周期是否一致。 1）应访谈人员录用负责人员，询问对关键岗位人员的安全审查和考核与一般岗1）对关键岗位人员进行安全审查。 位人员有何不同，审查内容是否包括操作行为和社会关系等。 第 11 页 共 37 页 公安部信息安全等级保护评估中心 序号 类别 测评项 测评实施 1）应检查是否具有各岗位人员考核记录，查看考核内容是否包含安全知识、安全技能等。查看记录日期与考核周期是否一致。 预期结果 说明 c）应对考核结果进行记录并保存。 1）具有考核记录。 2）应检查是否具有关键岗位人员的安全2）具有关键岗位的安全审查记录。 审查和考核记录，查看审查和考核内容是否包含安全知识、安全技能、操作行为和社会关系等。查看记录日期与考核周期是否一致。 1）应访谈安全主管，询问是否对各类人a）应对各类人员进行安全意识教育、员1）对各岗位人员进行了安全技能和意识岗位技能培训和相关安全技术培训。 进行安全教育、岗位技能和安全技术培培训。 训。 4 安意教和训 全识育培1）应访谈安全管理员、系统管理员、网络管理员和数据库管理员，考查其是否了b）应对安全责任和惩戒措施进行书1）具有安全责任和惩戒措施管理文档。 解与工作相关的安全责任和惩戒措施等。 面规定并告知相关人员，对违反违背2）文档包含具体的安全责任和惩戒措2）应检查安全责任和惩戒措施管理文档，安全策略和规定的人员进行惩戒。 施。 查看包括哪些具体的安全责任和惩戒措施。 1）应访谈安全主管，询问是否针对不同 岗位制定不同的培训计划，并按照计划对1）具有安全教育和培训管理文档。 各个岗位人员进行安全教育和培训。 2）不同岗位的培训计划。 2）应检查安全教育和培训管理文档，查3）文档中明确了培训方式、培训对象、 看是否明确规定应进行安全教育和培训。 培训内容、培训时间和地点等，培训内3) 应检查安全培训计划文档，查看是否具容应包含信息安全基础知识、岗位操作有不同岗位的培训计划。查看计划是否明规程等。 确了培训目的、培训方式、培训对象、培训内容、培训时间和地点等，培训内容是第 12 页 共 37 页 c）应对安全教育和培训进行书面规定，针对不同岗位制定不同的培训计划，对信息安全基础知识、岗位操作规程等进行培训。 公安部信息安全等级保护评估中心 序号 类别 测评项 测评实施 否包含信息安全基础知识、岗位操作规程等。 预期结果 说明 d）应对安全教育和培训的情况和结果进行记录并归档保存。 1）应检查是否具有安全教育和培训的结果记录，查看记录中是否具有培训人员、培训内容、培训结果等的描述。查看记录与培训计划是否一致。 1）应检查外部人员访问相关规定，查看是否明确外部人员包括哪些人员，外部人员进入条件，外部人员进入的访问控制和外部人员的离开条件等。 1）具有安全教育和培训的结果记录。 2）记录中有培训人员、培训内容、培训结果等的描述。 3）记录应与培训计划一致。 5 外部人员访问管理 1）具有外部人员访问管理文档。 2）文档中明确允许外部人员访问的范围，外部人员进入的条件，外部人员进入的访问控制措施等。 3）具有外部人员访问重要区域的书面申a）应确保在外部人员访问机房等重请文档。 2）应检查外部人员访问重要区域批准文要区域前先提出书面申请，批准后由4）文档中有批准人允许访问的批准签字档，查看是否具有外部人员访问重要区域专人全程陪同或监督，并登记备案。 等。 的书面申请，是否具有允许访问的批准签5）具有外部人员访问重要区域的登记记字等。 录。 3）应检查外部人员访问重要区域的登记6）记录中有外部人员访问重要区域的进记录，查看记录是否描述了外部人员访问入时间、离开时间、访问区域及陪同人重要区域的进入时间、离开时间、访问区等。 域、访问设备或信息及陪同人等。 b）对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定，并按照规定执行。 1）应检查外部人员访问相关规定，查看1）具有外部人员访问相关规定。 是否对允许外部人员访问的区域、系统、2）规定中应对允许外部人员访问的区 设备和信息等进行明确规定。 域、系统、设备和信息等进行明确规定。 第 13 页 共 37 页 公安部信息安全等级保护评估中心 4、 系统建设管理 序号 类别 测评项 测评实施 1）应访谈安全主管，询问是否明确信息系统的边界和安全保护等级。 2）应检查系统边界说明文档，查看文档是否明确信息系统边界和确定边界的理由。 1）应检查系统定级文档，查看文档是否明确信息系统的安全保护等级确定的方法和理由。 1）应访谈安全主管，询问是否组织相关部门和有关安全技术专家对定级结果进行论证和审定。 2）应检查定级结果论证文档，查看是否具有相关部门和专家对定级结果的论证意见。 1）应访谈安全主管，询问定级结果是否获得了相关部门的批准。 2）应检查系统定级文档，查看定级结果是否具有相关部门的批准盖章。 预期结果 1）具有定级文档。 2）定级文档中明确了信息系统边界。 3）定级文档中明确了信息系统安全保护等级。 1）具有定级文档。 2）定级文档中说明了确定信息系统安全保护等级的方法及理由。 说明 a）应明确信息系统的边界和安全保护等级。 b）应以书面的形式说明确定信息系统为某个安全保护等级的方法和理由。 1 系统定级 c）应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定。 1）具有定级结果论证评审会议文档。 2）文档中包含有相关部门和有关安全技术专家对定级结果的论证意见。 d）应确保信息系统的定级结果经过相关部门的批准。 1）具有相关部门对信息系统定级结果的批复文件或者定级文档中有相关部门的盖章或签字。 2 安全方案设计 a）应根据系统的安全级别选择基本安全措施，并依据风险分析的结果补充和调整安全措施。 1）应访谈系统建设负责人，询问系统选择基本安全措施的依据，是否依据安全保1）系统建设/整改方案中有根据系统的安护等级选择，是否依据风险分析的结果补全级别选择基本安全措施的方法描述。 充和调整安全措施。 2）系统建设/整改方案中有根据风险分析2）应检查系统建设/整改方案，是否根据结果调整安全措施的内容。 系统的安全级别选择了基本安全措施。 第 14 页 共 37 页 公安部信息安全等级保护评估中心 序号 类别 测评项 测评实施 3）应检查系统建设/整改方案，是否依据风险分析结果调整和补偿了安全措施。 1）应访谈安全主管，询问是否授权专门的部门对信息系统的安全建设进行总体规划，由何部门/何人负责。 2）应检查系统的安全建设工作计划，查看文件是否明确了系统的近期安全建设计划和远期安全建设计划。 预期结果 说明 b）应指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划。 1）部门岗位职责文档中说明有部门负责对信息系统的安全建设进行总体规划，或者有相关的授权文件。 2）具有系统安全建设工作计划。 3）系统安全建设工作计划中明确了近期和远期的安全建设计划。 1）应访谈系统建设负责人，询问是否根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框c）应根据信息系统的等级划分情况，架、安全管理策略、总体建设规划和详细1）具有包含系统总体安全策略、安全技统一考虑安全保障体系的总体安全设计方案等。 术框架、安全管理策略、总体建设规划、 策略、安全技术框架、安全管理策略、2）应检查是否有系统总体安全策略、安详细设计方案等方面内容的文件。 总体建设规划和详细设计方案，并形全技术框架、安全管理策略、总体建设规2）如是多个文件，文件内容之间相互保成配套文件。 持一致。 划、详细设计方案等配套文件。 3）应检查配套文件之间是否保持一致。 1）应访谈系统建设负责人，询问是否组d）应组织相关部门和有关安全技术织相关部门和有关安全技术专家对总体专家对总体安全策略、安全技术框安全策略、安全技术框架、安全管理策略架、安全管理策略、总体建设规划、等相关配套文件进行论证和审定。 1）具有针对配套文件的论证和评审记录 详细设计方案等相关配套文件的合2）应检查配套文件的论证评审记录或文或文档，记录或文档中有相关论证意见。 理性和正确性进行论证和审定，并且档，查看是否有相关部门和有关安全技术经过批准后，才能正式实施。 专家对总体安全策略、安全技术框架、安 全管理策略、总体建设规划、详细设计方案等相关配套文件的论证意见。 第 15 页 共 37 页 公安部信息安全等级保护评估中心 序号 类别 测评项 测评实施 3）应查看各个文件是否有机构管理层的批准。 预期结果 说明 e）应根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。 1）应访谈系统建设负责人，询问总体安全策略、安全技术框架、安全管理策略等相关配套文件是否定期进行调整和修订。 1）依据等级测评、安全评估的结果调整2）应检查是否具有总体安全策略、安全和修订前述配套文件的维护记录或修订技术框架、安全管理策略、总体建设规划、版本。 详细设计方案等相关配套文件的维护记录或修订版本。 1）应访谈系统建设负责人，询问是否按照国家的相关规定进行采购和使用系统信息安全产品，。 2）应抽样检查安全产品的相关凭证，如销售许可等，查看是否使用了符合国家有关规定产品。 1）应访谈系统建设负责人，询问系统是否采用了密码产品，密码产品的使用是否符合国家密码主管部门的要求。 2）应抽样检查密码产品的相关凭证，如销售许可等，查看是否使用了符合国家有关规定产品。 1）应访谈系统建设负责人，询问是否具有专门的部门负责产品的采购。 2）应检查部门职责文档或授权文件，是否明确产品采购职责部门。 a）应确保安全产品的采购和使用符合国家的有关规定。 1）抽样的安全产品具有相关凭证。 3 产品采购和使用 b）应确保密码产品的采购和使用符合国家密码主管部门的要求。 1）抽样的密码产品具有相关凭证。 c）应指定或授权专门的部门负责产品的采购。 1）部门职责文档中说明有专门的负责采购的部门，或者有相关的授权文件。 第 16 页 共 37 页 公安部信息安全等级保护评估中心 序号 类别 测评项 测评实施 1）应访谈系统建设负责人，询问系统信息安全产品的采购情况，采购产品前是否预先对产品进行选型测试确定产品的候选范围，形成候选产品清单，是否定期审定和更新候选产品名单。 2）应检查是否具有产品选型测试结果记录和候选产品名单及更新记录。 预期结果 说明 d）应预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单。 1）具有产品选型测试结果文档。 2）具有候选产品采购清单。 3）具有候选产品的定期审定或更新记录。 4 自行软件开发 1）应访谈系统建设负责人，询问系统是否自主开发软件，是否在独立的开发环境中编写、调试和完成。是否要求开发人员1）网络拓扑图表明实际运行环境和开发不能做测试工作，是否控制测试数据和测环境间有效隔离。 a）应确保开发环境与实际运行环境试结果。 2）人员岗位对应关系表中的开发人员与物理分开，开发人员和测试人员分2）应检查是否具有软件开发相关文档的使用控3）具有源代码、测试数据和测试结果的制记录。 使用控制记录。 3）应检查网络拓扑图和实际开发环境，查看是否实际运行环境和开发环境有效隔离。 b）应制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则。 c）应制定代码编写安全规范，要求开发人员参照规范编写代码。 1）应检查是否具有软件开发管理制度。 1）具有软件开发管理制度。 2）软件开发管理制度中有相应内容。 1）应检查是否具有代码编写安全规范。 1）应访谈系统建设负责人，询问是否由专人保管软件设计的相关文档。 2）应检查是否具有软件设计的相关文档1）具有代码编写安全规范。 2）源代码按照代码编写安全规范开发。 1）具有软件设计相关文档。 2）软件使用指南或操作手册等。 3）专人负责文档保管。 d）应确保提供软件设计的相关文档和使用指南，并由专人负责保管。 第 17 页 共 37 页 公安部信息安全等级保护评估中心 序号 类别 测评项 测评实施 和软件使用指南或操作手册和维护手册等。 1）应访谈系统建设负责人，询问是否对程序资源库的修改、更新、发布进行授权和批准。 2）应检查程序资源库的修改、更新、发布文档或记录，查看是否具有批准人的签字。 1）应访谈系统建设负责人，询问软件交付前是否依据开发协议的技术指标对软件功能和性能等进行验收检测。 2）应检查软件验收测试结果记录，并检查测试内容是否与软件需求说明文档一致。 1）应访谈系统建设负责人，软件安装之前是否检测软件中的恶意代码，检测工具是否是第三方的商业产品。 2）应检查是否有针对该软件包的恶意代码检测报告。 1）应访谈系统建设负责人，询问是否具有软件设计的相关文档和使用指南。 2）应检查是否具有需求分析说明书、软件设计说明书、软件操作手册等开发文档。 预期结果 说明 e）应确保对程序资源库的修改、更新、发布进行授权和批准。 1）具体部门和人员负责对程序资源库的修改、更新、发布进行授权及批准。 2）具有对程序资源库的修改、更新、发布进行授权和审批的文档或记录。 a）应根据开发需求检测软件质量。 1）具有软件验收测试结果记录。 2）软件验收测试结果记录内容包括需求说明文档中的内容。 5 外包软件开发 b）应在软件安装之前检测软件包中可能存在的恶意代码。 1）具有针对软件包的恶意代码检测报告，如防病毒软件扫描结果等。 c）应要求开发单位提供软件设计的相关文档和使用指南。 1）具有软件开发的相关文档，如需求分析说明书、软件设计说明书、测试文档等。 2）具有软件操作手册或使用指南。 d）应要求开发单位提供软件源代码，1）应访谈系统建设负责人，询问开发单1）具有软件源代码。 并审查软件中可能存在的后门。 位是否提供了软件源代码，对其是否经过2）具有源代码审查记录或表明不存在后第 18 页 共 37 页 公安部信息安全等级保护评估中心 序号 类别 测评项 测评实施 审查明确不存在后门。 预期结果 门的证明文件。 说明 2）应检查软件源代码审查记录，查看是否包括对可能存在后门的审查结果。 1）应访谈系统建设负责人，询问是否指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制。 2）应检查部门或人员岗位职责文档或授权文件，是否将工程实施过程的管理职责指定或授权了某部门或人员负责。 1）应检查工程实施方案，查看其是否规定工程时间限制、进度、控制、质量控制等方面内容，工程实施过程是否按照实施方案形成各种文档，如阶段性工程进程汇报报告。 a）应指定或授权专门的部门或人员负责工程实施过程的管理。 1）部门职责文档中明确说明有部门或人员负责工程实施过程管理，或有相关授权文件。 6 工程实施 b）应制定详细的工程实施方案控制实施过程，并要求工程实施单位能正式地执行安全工程过程。 1）具有工程实施方案。 2）工程实施方案包括相关控制内容。 3）具有按照工程实施方案进行各类控制的过程文档和阶段性文档。 1）应检查工程实施管理制度，查看其是c）应制定工程实施方面的管理制度，1）具有工程实施方面的管理制度。 否规定工程实施过程的控制方法管理制度中有工程实施过程的控制方阶段性控制或外部监理单位控制）和实施员行为准则。 法、实施参与人员的行为准则等内容。 参与人员的各种行为等方面内容。 1）应访谈系统建设负责人，询问在信息系统正式运行前，是否委托第三方测试机1）具有系统安全性测试报告。 构根据设计方