測評指導(dǎo)書(二級).doc

此文檔收集于網(wǎng)絡(luò) 僅供學(xué)習(xí)與交流 如有侵權(quán)請聯(lián)系網(wǎng)站刪除 學(xué)習(xí)資料 XXXXXXXXXXXX 公司公司 XXXXXXXXXXXX 等級測評項目等級測評項目 測評指導(dǎo)書測評指導(dǎo)書 XXXXXXXXXXXX 信息安全測評技術(shù)中心信息安全測評技術(shù)中心 2009 年年 10 月月 此文檔收集于網(wǎng)絡(luò) 僅供學(xué)習(xí)與交流 如有侵權(quán)請聯(lián)系網(wǎng)站刪除 學(xué)習(xí)資料 DocumentDocument ControlControl 文檔名稱 文檔類型 文檔編號 密 級 日期版本編寫者描述審核人員 此文檔收集于網(wǎng)絡(luò) 僅供學(xué)習(xí)與交流 如有侵權(quán)請聯(lián)系網(wǎng)站刪除 學(xué)習(xí)資料 目錄 第第 1 章章安全管理測評指導(dǎo)書安全管理測評指導(dǎo)書 5 1 1安全管理機構(gòu)測評 5 1 2安全管理制度測評 8 1 3人員安全管理測評 10 1 4系統(tǒng)建設(shè)管理測評 12 1 5系統(tǒng)運維管理測評 17 第第 2 章章物理安全測評指導(dǎo)書物理安全測評指導(dǎo)書 26 2 1物理安全測評 26 第第 3 章章網(wǎng)絡(luò)安全測評指導(dǎo)書網(wǎng)絡(luò)安全測評指導(dǎo)書 34 3 1網(wǎng)絡(luò)全局安全測評 34 3 2路由器安全測評 36 3 2 1思科路由器安全測評 36 3 3交換機安全測評 40 3 3 1華為交換機安全測評 40 3 3 2思科交換機安全測評 43 3 4防火墻安全測評 46 3 4 1PIX防火墻安全測評 46 3 4 2天融信防火墻安全測評 48 3 4 3華為防火墻安全測評 51 3 5遠程撥號服務(wù)器安全測評 53 3 6入侵檢測 防御系統(tǒng)安全測評 54 第第 4 章章操作系統(tǒng)安全測評指導(dǎo)書操作系統(tǒng)安全測評指導(dǎo)書 57 4 1WINDOWS操作系統(tǒng)安全測評 57 4 2TRU64 操作系統(tǒng)安全測評 61 4 3LINUX操作系統(tǒng)安全測評 69 4 4SOLARIS操作系統(tǒng)安全測評 74 4 5AIX操作系統(tǒng)安全測評 78 此文檔收集于網(wǎng)絡(luò) 僅供學(xué)習(xí)與交流 如有侵權(quán)請聯(lián)系網(wǎng)站刪除 學(xué)習(xí)資料 第第 5 章章應(yīng)用系統(tǒng)安全測評指導(dǎo)書應(yīng)用系統(tǒng)安全測評指導(dǎo)書 82 5 1應(yīng)用系統(tǒng)安全測評 82 5 2IIS 應(yīng)用安全測評 87 5 3APACHE應(yīng)用安全測評 89 第第 6 章章數(shù)據(jù)庫安全測評指導(dǎo)書數(shù)據(jù)庫安全測評指導(dǎo)書 93 6 1SQL SERVER數(shù)據(jù)庫安全測評 93 6 2ORACLE數(shù)據(jù)庫安全測評 98 6 3SYBASE數(shù)據(jù)庫安全測評 103 此文檔收集于網(wǎng)絡(luò) 僅供學(xué)習(xí)與交流 如有侵權(quán)請聯(lián)系網(wǎng)站刪除 學(xué)習(xí)資料 第第 1 1 章章 安全管理測評指導(dǎo)書安全管理測評指導(dǎo)書 1 11 1 安全管理機構(gòu)測評安全管理機構(gòu)測評 序號序號測評指標(biāo)測評指標(biāo)測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 a 設(shè)定管理部 定義各個方面的 負責(zé)人崗位和職責(zé) 訪談訪談 安全主管 管理機構(gòu) 部門和各負責(zé)人職責(zé) 檢查檢查 核查各崗位職責(zé)范圍和技能要求 b 定義各個崗位和職責(zé) 系統(tǒng) 網(wǎng) 絡(luò) 安全管理 訪談訪談 安全主管 崗位分工及相關(guān)職責(zé) 1 崗位設(shè)置崗位設(shè)置 G2 c 制定文件明確分工 檢查檢查 安全管理委員會職責(zé)文件 制度類文檔要求制度類文檔要求 部門設(shè)置 崗 位設(shè)置及工作職 責(zé)定義方面的管 理制度 證據(jù)類文檔要求證據(jù)類文檔要求 機構(gòu)安全管理 人員崗位名單 2 人員配備人員配備 G2 a 配備系統(tǒng) 網(wǎng)絡(luò) 安全管理員 訪談訪談 安全主管 崗位人員配備情況 檢查檢查 安全管理人員名單 人員配備要求文檔 制度類文檔要求制度類文檔要求 安全保障人事 管理制度 此文檔收集于網(wǎng)絡(luò) 僅供學(xué)習(xí)與交流 如有侵權(quán)請聯(lián)系網(wǎng)站刪除 學(xué)習(xí)資料 序號序號測評指標(biāo)測評指標(biāo)測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 b 安全管理員是專職的 檢查檢查 安全管理人員名單 人員配備要求文檔 a 對關(guān)鍵活動授權(quán)審批部門及批 準(zhǔn)人 訪談訪談 安全主管 關(guān)鍵活動的審批部門 批準(zhǔn)人是否得到授權(quán) 更新審批項目 審查周期 檢查檢查 授權(quán)管理文件包括事項列表 審批 事項 程序 更新審批項目 審查周期 3 授權(quán)和審授權(quán)和審 批批 G2 b 列表說明須審批的事項 部門 和可批準(zhǔn)人 訪談訪談 關(guān)鍵活動的批準(zhǔn)人 審批范圍 審查程序 審批文檔 簽字和蓋章 制度類文檔要求制度類文檔要求 授權(quán)和審批流 程 記錄類文檔要求記錄類文檔要求 各項審批和批 準(zhǔn)執(zhí)行記錄 來 訪人員進入機房 審批 介質(zhì) 設(shè)備 外帶審批 系統(tǒng) 外聯(lián)審批等 外聯(lián)接入 服 務(wù)訪問 配置變 更 采購 外來 人員訪問和管理 此文檔收集于網(wǎng)絡(luò) 僅供學(xué)習(xí)與交流 如有侵權(quán)請聯(lián)系網(wǎng)站刪除 學(xué)習(xí)資料 序號序號測評指標(biāo)測評指標(biāo)測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 a 內(nèi)部溝通 定期召開會議 訪談訪談 安全主管 與外單位和其他部門合作內(nèi)容 溝通 合作方式有哪些 安全主管 部門間協(xié)調(diào)會議 安全管理機構(gòu)內(nèi)部會議 信息安全領(lǐng)導(dǎo)小組例會 安全管理人員 與外單位和其他部門人員主要溝通內(nèi)容 檢查檢查 部門間協(xié)調(diào)會議文件 b 職能部門召開會議協(xié)調(diào)安全工 作實施 檢查檢查 安全工作會議文件 4 溝通和合溝通和合 作作 G2 c 加強公安 電信的合作與溝通 檢查檢查 外聯(lián)單位說明文檔 記錄類文檔要求記錄類文檔要求 各類會議紀要 或記錄 部門內(nèi) 部門間協(xié)調(diào)會 領(lǐng)導(dǎo)小組 證據(jù)類文檔要求證據(jù)類文檔要求 外聯(lián)單位聯(lián)系 列表 5 審核和檢審核和檢 查查 G2 a 定期安全檢查 訪談訪談 安全主管 檢查周期 定期分析 評審異常行為 安全員 安全檢查包含內(nèi)容 人員 程序策略和要求 通報形式 范圍 檢查檢查 安全檢查內(nèi)容 檢查程序和檢查結(jié)果等 制度類文檔要求制度類文檔要求 安全審批和安 全檢查方面的管 制制度 此文檔收集于網(wǎng)絡(luò) 僅供學(xué)習(xí)與交流 如有侵權(quán)請聯(lián)系網(wǎng)站刪除 學(xué)習(xí)資料 1 21 2 安全管理制度測評安全管理制度測評 序號序號測評指標(biāo)測評指標(biāo)測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 a 制定總體方針 政策性文件和 安全策略 訪談訪談 安全主管 制度體系是否有安全政策 安全策略 檢查檢查 明確總體目標(biāo) 范圍 方針 原則 責(zé)任 安全策略 b 建立安全管理制度 檢查檢查 覆蓋物理 網(wǎng)絡(luò) 主機系統(tǒng) 數(shù)據(jù) 應(yīng)用和管理等層面 1 管理制度管理制度 G2 c 建立操作規(guī)程 檢查檢查 重要管理操作的操作規(guī)程 如維護手冊和操作規(guī)程 制度類文檔要求制度類文檔要求 總體安全方針 信息安全工作 管理制度 證據(jù)類文檔要求證據(jù)類文檔要求 總體安全策略 專家論證文檔 a 信息安全職能部門 組織相關(guān) 人員制定 訪談訪談 安全主管 是否在信息安全領(lǐng)導(dǎo)小組或委員會負責(zé)下統(tǒng)一制定 b 統(tǒng)一的格式和版本 訪談訪談 安全主管 是否按照統(tǒng)一的格式標(biāo)準(zhǔn)或要求制定 論證和審定 檢查檢查 管理文檔說明制定和發(fā)布程序 格式要求及版本 c 論證和審定 檢查檢查 評審記錄 評審意見 2 制定和發(fā)制定和發(fā) 布布 G2 d 簽發(fā)后按照一定的程序以文件 形式發(fā)布 檢查檢查 管理層的簽字或蓋章 格式統(tǒng)一 制度類文檔要求制度類文檔要求 安全管理制度 改收發(fā)規(guī)范 記錄類文檔要求記錄類文檔要求 安全管理制度 的收發(fā)登記記錄 此文檔收集于網(wǎng)絡(luò) 僅供學(xué)習(xí)與交流 如有侵權(quán)請聯(lián)系網(wǎng)站刪除 學(xué)習(xí)資料 序號序號測評指標(biāo)測評指標(biāo)測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 3 評審與修評審與修 訂訂 G2 a 對存在不足或需要改進的安全 管理制度進行修訂 訪談訪談 安全主管 對安全管理制度的評審由何部門 何人負責(zé) 管理人員 對安全管理制度的評審 修訂程序 維護措施 檢查檢查 列表注明評審周期 評審記錄 日期與評審周期是否一致 修訂記錄和版本 制度類文檔要求制度類文檔要求 授權(quán)審批 審 批流程等方面的 管理制度 記錄類文檔要求記錄類文檔要求 各類評審和修 訂記錄 此文檔收集于網(wǎng)絡(luò) 僅供學(xué)習(xí)與交流 如有侵權(quán)請聯(lián)系網(wǎng)站刪除 學(xué)習(xí)資料 1 31 3 人員安全管理測評人員安全管理測評 序號序號測評指標(biāo)測評指標(biāo)測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 a 具備專業(yè)技術(shù)水平和安全管理 知識 訪談訪談 人事負責(zé)人 錄用人員要求與其職責(zé)相對應(yīng) 檢查檢查 人事工作人員 人員錄用要求管理文檔 b 身份 背景 專業(yè)資格和資質(zhì) 等進行審查 訪談訪談 審查身份 背景 專業(yè)資格和資質(zhì) 簽署保密協(xié)議 說明工作職責(zé) 審查文檔 記錄審查內(nèi)容和審查結(jié)果 c 技能進行考核 檢查檢查 考核內(nèi)容和結(jié)果 d 說明其角色和職責(zé) 訪談訪談 人事負責(zé)人 錄用人員要求與其職責(zé)相對應(yīng) 檢查檢查 人事工作人員 人員錄用要求管理文檔 1 人員錄用人員錄用 G2 e 簽署保密協(xié)議 檢查檢查 保密范圍 保密責(zé)任 違約責(zé)任 協(xié)議的有效期限和責(zé)任人簽字 a 終止所有訪問權(quán)限 訪談訪談 安全主管 及時終止離崗人員所有訪問權(quán)限 取回物資 b 物資收回 核查核查 檢查安全處理記 2 人員離崗人員離崗 G2 c 離崗須承諾調(diào)離后的保密義務(wù) 訪談訪談 人事工作人員 調(diào)離手續(xù) 檢查檢查 保密承諾文檔 有調(diào)離人員的簽字 制度類文檔要求制度類文檔要求 人員錄用 離 崗 考核等方面 的管理制度 記錄類文檔要求記錄類文檔要求 人員考核 審 查 培訓(xùn)記錄 人員錄用 人 員定期考核 離崗手續(xù) 證據(jù)類文檔要求證據(jù)類文檔要求 人員保密協(xié)議 關(guān)鍵崗位安全 協(xié)議 離崗人員保密 協(xié)議書 此文檔收集于網(wǎng)絡(luò) 僅供學(xué)習(xí)與交流 如有侵權(quán)請聯(lián)系網(wǎng)站刪除 學(xué)習(xí)資料 序號序號測評指標(biāo)測評指標(biāo)測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 a 技能及認知的考核 訪談訪談 安全主管 專人負責(zé)定期考核 b 安全審查 訪談訪談 人事工作人員 考核情況 考核周期 考核內(nèi)容 審查情況和內(nèi)容如如操作行為 社會關(guān)系 社交活動 3 人員考核人員考核 G2 c 違背安全策略和規(guī)定的人員進 行懲戒 訪談訪談 人事工作人員 懲戒措施 a 安全意識教育 訪談訪談 安全主管 以何形式制定安全教育和培訓(xùn)計劃 效果如何 b 告知責(zé)任和懲戒措施 訪談訪談 安全員 系統(tǒng)管理員 網(wǎng)絡(luò)管理員 數(shù)據(jù)庫管理員 各崗位人員對安全知識 責(zé)任和懲戒措 施等的理解程度 c 制定安全教育和培訓(xùn)計劃 檢查檢查 安全教育 培訓(xùn)計劃和不同崗位培訓(xùn)計劃 明確目的 方式 對象 內(nèi)容 時間和地點 內(nèi) 容包含信息安全基礎(chǔ)知識 崗位操作規(guī)程 4 安全意識安全意識 教育和培教育和培 訓(xùn)訓(xùn) G2 d 記錄并歸檔保存 檢查檢查 記錄包括人員 內(nèi)容 結(jié)果的描述 記錄與培訓(xùn)計劃一致 制度類文檔要求制度類文檔要求 人員安全教育 和培訓(xùn)方面的管 理制度 此文檔收集于網(wǎng)絡(luò) 僅供學(xué)習(xí)與交流 如有侵權(quán)請聯(lián)系網(wǎng)站刪除 學(xué)習(xí)資料 序號序號測評指標(biāo)測評指標(biāo)測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 a 應(yīng)在訪問前與機構(gòu)簽署安全責(zé) 任合同書或保密協(xié)議 訪談訪談 安全主管 管理措施 訪問前簽署安全責(zé)任合同書或保密協(xié)議 檢查檢查 全責(zé)任合同書或保密協(xié)議有保密范圍 保密責(zé)任 違約責(zé)任 協(xié)議的有效期限和責(zé)任人的簽 字 5 第三人員第三人員 訪問管理訪問管理 G2 b 重要區(qū)域的訪問負責(zé)人的批準(zhǔn) 專人陪同或監(jiān)督 并記錄備案 訪談訪談 安全管理人員 訪問重要區(qū)域采取措施 有負責(zé)人批準(zhǔn) 專人陪同記錄并備案管理 檢查檢查 書面申請 批準(zhǔn)人允許訪問的簽字 制度類文檔要求制度類文檔要求 外部人員訪問 控制方面的管理 制度 記錄類文檔要求記錄類文檔要求 各項審批和批 準(zhǔn)執(zhí)行記錄 來 訪人員進入機房 審批 介質(zhì) 設(shè)備 外帶審批 系統(tǒng) 外聯(lián)審批等 1 41 4 系統(tǒng)建設(shè)管理測評系統(tǒng)建設(shè)管理測評 序號序號測評指標(biāo)測評指標(biāo)測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 a 明確系統(tǒng)劃分方法 訪談訪談 劃分系統(tǒng)方法 確定等級方法參照定級指南的指導(dǎo) 定級結(jié)果得到批準(zhǔn) 檢查檢查 給出等保 SxAyGz 值 定級結(jié)果有批準(zhǔn)蓋章 b 確定信安全等級 訪談訪談 系統(tǒng)劃分方法和理由 1 系統(tǒng)定級系統(tǒng)定級 G2 c 書面確定系統(tǒng)屬性 檢查檢查 明確系統(tǒng)屬性 使命 業(yè)務(wù) 網(wǎng)絡(luò) 硬件 軟件 數(shù)據(jù) 邊界 人員 證據(jù)類文檔要求證據(jù)類文檔要求 信息系統(tǒng)定級 報告或定級建議 書 此文檔收集于網(wǎng)絡(luò) 僅供學(xué)習(xí)與交流 如有侵權(quán)請聯(lián)系網(wǎng)站刪除 學(xué)習(xí)資料 序號序號測評指標(biāo)測評指標(biāo)測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 d 定級結(jié)果經(jīng)過批準(zhǔn) 訪談訪談 劃分系統(tǒng)方法 確定等級方法參照定級指南的指導(dǎo) 定級結(jié)果得到批準(zhǔn) 檢查檢查 給出等保 SxAyGz 值 定級結(jié)果有批準(zhǔn)蓋章 專家對定級結(jié)果的論證意見 a 依據(jù)等保和風(fēng)險分析選擇和調(diào) 整安全措施 訪談訪談 系統(tǒng)建設(shè)負責(zé)人 根據(jù)系統(tǒng)的安全級別選擇基本安全措施 依據(jù)風(fēng)險分析的結(jié)果補充和調(diào)整 安全措施 做過哪些調(diào)整 b 書面描述對系統(tǒng)的安全保護要 求和策略 措施等內(nèi)容 形成系 統(tǒng)的安全方案 訪談訪談 安全主管 授權(quán)專人負責(zé)制定總體安全方案 檢查檢查 系統(tǒng)安全方案 要求 策略和措施 c 考慮安全保障體系的總體安全 策略 安全技術(shù)框架 安全管理 策略 總體建設(shè)規(guī)劃和詳細設(shè)計 方案 并形成配套文件 訪談訪談 系統(tǒng)建設(shè)負責(zé)人 根據(jù)信息系統(tǒng)等級劃分情況 統(tǒng)一考慮安全保障體系的總體安全策略 安 全技術(shù)框架 安全管理策略 總體建設(shè)規(guī)劃和詳細設(shè)計方案等 d 安全保障體系的配套文件經(jīng)過 專家論證和審定 訪談訪談 系統(tǒng)建設(shè)負責(zé)人 安全技術(shù)專家對總體安全策略 安全技術(shù)框架 安全管理策略等相關(guān)配套 文件進行論證和審定 并經(jīng)過管理部門的批準(zhǔn) 檢查檢查 核查相關(guān)論證意見 2 安全方案安全方案 設(shè)計設(shè)計 G2 e 安全保障體系的配套文件經(jīng)批 準(zhǔn)后 才能正式實施 檢查檢查 各方案管理層的批準(zhǔn) 證據(jù)類文檔要求證據(jù)類文檔要求 近期和遠期安 全建設(shè)工作計劃 總體建設(shè)規(guī)劃書 詳細設(shè)計方案 前一次測評報 告 此文檔收集于網(wǎng)絡(luò) 僅供學(xué)習(xí)與交流 如有侵權(quán)請聯(lián)系網(wǎng)站刪除 學(xué)習(xí)資料 序號序號測評指標(biāo)測評指標(biāo)測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 a 采購符合國家規(guī)定 訪談訪談 系統(tǒng)建設(shè)負責(zé)人 密碼產(chǎn)品的使用是否符合國家密碼主管部門的要求 檢查檢查 安全產(chǎn)品 邊界安全設(shè)備 重要服務(wù)器操作系統(tǒng) 數(shù)據(jù)庫等 是否符合國家的規(guī)定 b 密碼產(chǎn)品符合國密要求 檢查檢查 商用密碼產(chǎn)品和保密專用產(chǎn)品采購符合 商用密碼管理條例 和 計算機信息系統(tǒng)保密工作 暫行規(guī)定 3 產(chǎn)品采購產(chǎn)品采購 G2 c 專人負責(zé)采購 訪談訪談 安全主管 何部門何人負責(zé)產(chǎn)品采購 制度類文檔要求制度類文檔要求 產(chǎn)品選型 采 購方面的管理制 度 記錄類文檔要求記錄類文檔要求 產(chǎn)品的選型測 試結(jié)果記錄 證據(jù)類文檔要求證據(jù)類文檔要求 候選產(chǎn)品名單 a 開發(fā)與運行 與測試環(huán)境要獨 立 訪談訪談 系統(tǒng)建設(shè)負責(zé)人 程序的修改 更新 發(fā)布進行授權(quán)和批準(zhǔn) 控制措施 開發(fā)人員不能做測 試人員 即二者分離 獨立的模擬環(huán)境中編寫 調(diào)試和完成 檢查檢查 開發(fā)環(huán)境與運行環(huán)境物理分開 e 提供文檔指南 檢查檢查 軟件設(shè)計的相關(guān)文檔 應(yīng)用軟件設(shè)計程序文件 源代碼文檔等 和軟件使用指南或操作手 冊和維護手冊等 4 自行軟件自行軟件 開發(fā)開發(fā) G2 b 文檔由專人保管 控制使用 檢查檢查 開發(fā)相關(guān)文檔 軟件設(shè)計和開發(fā)程序文件 測試數(shù)據(jù) 測試結(jié)果 維護手冊等 的使用控制 記錄 5 外包軟件外包軟件 開發(fā)開發(fā) G2 a 簽訂協(xié)議 明確知識產(chǎn)權(quán)的歸 屬和安全方面的要求 訪談訪談 外包前書面文檔形式規(guī)范軟件開發(fā)單位的責(zé)任 安全行為 開發(fā)環(huán)境要求 軟件質(zhì)量 開發(fā) 后的服務(wù)承諾 檢查檢查 軟件開發(fā)協(xié)議 知識產(chǎn)權(quán)歸屬 安全行為等內(nèi)容 制度類文檔要求制度類文檔要求 軟件外包開發(fā) 或自我開發(fā)方面 的管理制度 證據(jù)類文檔要求證據(jù)類文檔要求 軟件開發(fā)協(xié)議 與安全服務(wù)商 或外包開發(fā)商簽 訂的服務(wù)合同和 安全協(xié)議 軟件開發(fā)設(shè)計 和用戶指南等相 關(guān)文檔 目錄體 系框架或交換原 形系統(tǒng) 軟件 測試報告 此文檔收集于網(wǎng)絡(luò) 僅供學(xué)習(xí)與交流 如有侵權(quán)請聯(lián)系網(wǎng)站刪除 學(xué)習(xí)資料 序號序號測評指標(biāo)測評指標(biāo)測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 b 檢測軟件質(zhì)量 檢查檢查 軟件開發(fā)協(xié)議 知識產(chǎn)權(quán)歸屬 安全行為等內(nèi)容 c 安裝之前檢測軟件包中可能存 在的惡意代碼 訪談訪談 交付前進行軟件功能和性能驗收檢測 驗收檢測是否是由開發(fā)商和委托方共同參與 檢測軟 件中的惡意代碼 檢測工具是否是第三方的商業(yè)產(chǎn)品 d 提供軟件設(shè)計的相關(guān)文檔和使 用指南 檢查檢查 應(yīng)檢查是否具有需求分析說明書 軟件設(shè)計說明書和軟件操作手冊等開發(fā)文檔以及用戶培訓(xùn) 計劃 程序員培訓(xùn)手冊等后期技術(shù)支持文檔 a 簽訂安全協(xié)議 訪談訪談 系統(tǒng)建設(shè)負責(zé)人 以書面形式 如工程安全建設(shè)協(xié)議 約束工程實施方的工程實施行為 檢查檢查 覆蓋工程實施方的責(zé)任 任務(wù)要求和質(zhì)量要求等方面內(nèi)容 約束工程實施行為 b 專人負責(zé) 訪談訪談 系統(tǒng)建設(shè)負責(zé)人 指定專人負責(zé)進度和質(zhì)量控制 行為規(guī)范制度化 資質(zhì)證明和能力保證 6 工程實施工程實施 G2 c 制定施工方案 檢查檢查 覆蓋工程時間限制 進度控制和質(zhì)量控制等方面內(nèi)容 工程實施過程是否按照實施方案形成 各種文檔 如階段性工程報告 制度類文檔要求制度類文檔要求 工程實施過程 管理方面的管理 制度 證據(jù)類文檔要求證據(jù)類文檔要求 工程實施方案 a 安全性測試驗收 訪談訪談 系統(tǒng)正式運行前 根據(jù)設(shè)計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試 b 制定測試驗收報告 訪談訪談 對測試過程 包括測試前 測試中和測試后 進行文檔化要求和制度化要求 應(yīng)檢查是否具有系統(tǒng)驗收報告 7 測試驗收測試驗收 G2 c 測試驗收報告審定 雙方簽字 檢查檢查 應(yīng)檢查驗收測試管理制度是否對系統(tǒng)驗收測試的過程控制 參與人員的行為等進行規(guī)定 制度類文檔要求制度類文檔要求 測試 驗收方 面的管理制度 記錄類文檔要求記錄類文檔要求 系統(tǒng)驗收測試 記錄 報告 證據(jù)類文檔要求證據(jù)類文檔要求 系統(tǒng)驗收測試 此文檔收集于網(wǎng)絡(luò) 僅供學(xué)習(xí)與交流 如有侵權(quán)請聯(lián)系網(wǎng)站刪除 學(xué)習(xí)資料 序號序號測評指標(biāo)測評指標(biāo)測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 方案 a 明確交接手續(xù) 訪談訪談 交接手續(xù) 交接清單是否滿足合同的有關(guān)要求 檢查檢查 系統(tǒng)交付清單具有系統(tǒng)建設(shè)文檔 指導(dǎo)用戶進行系統(tǒng)運維的文檔以及系統(tǒng)培訓(xùn)手冊 b 技能培訓(xùn) 訪談訪談 運行維護 培訓(xùn) 技術(shù)支持服務(wù) 維護的文檔 服務(wù)承諾書 培訓(xùn)記錄 c 提供運維文檔 檢查檢查 系統(tǒng)交付清單具有系統(tǒng)建設(shè)文檔 指導(dǎo)用戶進行系統(tǒng)運維的文檔以及系統(tǒng)培訓(xùn)手冊 8 系統(tǒng)交付系統(tǒng)交付 G2 d 服務(wù)承諾書 確保對系統(tǒng)運行 維護的支持 訪談訪談 服務(wù)承諾書 培訓(xùn)記錄 證據(jù)類文檔要求證據(jù)類文檔要求 與安全服務(wù)商 或外包開發(fā)商簽 訂的服務(wù)合同和 安全協(xié)議 系統(tǒng)交付清單 9 安全服務(wù)安全服務(wù) 商選擇商選擇 G2 a 符合國家規(guī)定 訪談訪談 信息系統(tǒng)進行安全規(guī)劃 設(shè)計 實施 維護 測評等服務(wù)的安全服務(wù)單位是否符合國家有關(guān) 規(guī)定 證據(jù)類文檔要求證據(jù)類文檔要求 與安全服務(wù)商 或外包開發(fā)商簽 訂的服務(wù)合同和 安全協(xié)議 備資質(zhì)條件 此文檔收集于網(wǎng)絡(luò) 僅供學(xué)習(xí)與交流 如有侵權(quán)請聯(lián)系網(wǎng)站刪除 學(xué)習(xí)資料 1 51 5 系統(tǒng)運維管理測評系統(tǒng)運維管理測評 序號序號測評指標(biāo)測評指標(biāo)測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 a 對機房設(shè)施定期維護管理 訪談訪談 物理安全負責(zé)人 機房基本設(shè)施 如空調(diào) 供配電設(shè)備等 進行定期維護 由何部門 何人 負責(zé) 維護周期 檢查檢查 設(shè)施維護記錄 b 指定部門負責(zé)機房安全 訪談訪談 物理安全負責(zé)人 指定人員負責(zé)機房安全管理工作 對機房的出入管理是否要求進行制度化 和文檔化 c 建立機房安全管理制度 檢查檢查 覆蓋機房物理訪問 物品帶進 帶出機房和機房環(huán)境安全等方面 d 對機房來訪人員進行登記和備 案管理 限制來訪人員的活動范 圍 檢查 進出登記表 1 環(huán)境管理環(huán)境管理 G2 G2 d 辦公環(huán)境的保密性管理 訪談訪談 工作人員 保證辦公環(huán)境的保密性要求事項 檢查檢查 辦公環(huán)境管理文檔對工作人員離開座位的保密行為 如清理桌面文件和屏幕鎖定等 人員 調(diào)離辦公室后的行為行規(guī)定 制度類文檔要求制度類文檔要求 機房安全管理 方面的管理制度 辦公環(huán)境安全 管理方面的管理 制度 記錄類文檔要求記錄類文檔要求 機房日常巡檢 記錄 機房出入登記 記錄 包括第三 方人員 機房記錄設(shè)備 維護記錄 證據(jù)類文檔要求證據(jù)類文檔要求 機房安全設(shè)計 和驗收方面的文 檔 此文檔收集于網(wǎng)絡(luò) 僅供學(xué)習(xí)與交流 如有侵權(quán)請聯(lián)系網(wǎng)站刪除 學(xué)習(xí)資料 序號序號測評指標(biāo)測評指標(biāo)測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 a 資產(chǎn)管理制度 訪談訪談 安全主管 指定資產(chǎn)管理的責(zé)任人員或部門 由何部門 何人負責(zé) 物理安全負責(zé)人 資產(chǎn)管理要求文檔化 覆蓋資產(chǎn)使用 借用 維護等方面 b 編制資產(chǎn)清單 檢查檢查 覆蓋資產(chǎn)責(zé)任人 所屬級別 所處位置和所屬部門等方面 2 資產(chǎn)管理資產(chǎn)管理 G2 G2 c 資產(chǎn)標(biāo)識 訪談訪談 資產(chǎn)管理員 對資產(chǎn)進行賦值和標(biāo)識管理 不同類別的資產(chǎn)是否采取不同的管理措施 檢查檢查 資產(chǎn)清單中的設(shè)備有相應(yīng)標(biāo)識 制度類文檔要求制度類文檔要求 資產(chǎn) 設(shè)備 介質(zhì)安全管理方 面的管理制度 證據(jù)類文檔要求證據(jù)類文檔要求 資產(chǎn)清單 a 介質(zhì)存放環(huán)境安全 訪談訪談 資產(chǎn)管理員 介質(zhì)的存放環(huán)境的保護措施 防止其被盜 被毀 被未授權(quán)修改以及信息的非 法泄漏 專人管理 檢查檢查 應(yīng)檢查介質(zhì)管理制度 查看其內(nèi)容是否覆蓋介質(zhì)的存放環(huán)境 使用 維護和銷毀等方面 3 介質(zhì)管理介質(zhì)管理 G2 G2 b 介質(zhì)歸檔和查詢記錄 定期盤 點 訪談訪談 資產(chǎn)管理員 對介質(zhì)的使用管理要求文檔化 是否根據(jù)介質(zhì)的目錄清單對介質(zhì)的使用現(xiàn)狀進 行定期檢查 是否對介質(zhì)進行分類和標(biāo)識管理 檢查檢查 介質(zhì)管理記錄 記錄介質(zhì)的存儲 歸檔和借用等情況 制度類文檔要求制度類文檔要求 信息分類 標(biāo) 識 發(fā)布 使用 方面的管理制度 記錄類文檔要求記錄類文檔要求 介質(zhì)歸檔 查 詢等的登記記錄 此文檔收集于網(wǎng)絡(luò) 僅供學(xué)習(xí)與交流 如有侵權(quán)請聯(lián)系網(wǎng)站刪除 學(xué)習(xí)資料 序號序號測評指標(biāo)測評指標(biāo)測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 c 介質(zhì)使用 維修 銷毀管理 訪談訪談 資產(chǎn)管理員 進行保密性處理 對保密性較高的介質(zhì)銷毀前是否有領(lǐng)導(dǎo)批準(zhǔn) 否對數(shù)據(jù)進 行凈化處理 詢問對介質(zhì)的物理傳輸過程是否要求選擇可靠傳輸人員 嚴格介質(zhì)的打包 如 采用防拆包裝置 選擇安全的物理傳輸途徑 雙方在場交付等環(huán)節(jié)的控制 資產(chǎn)管理員 重要介質(zhì)實行異地存儲 異地存儲環(huán)境是否與本地環(huán)境相同 d 對介質(zhì)進行分類和標(biāo)識管理 專人管理 檢查檢查 應(yīng)檢查介質(zhì) 查看是否對其進行了分類 并具有不同標(biāo)識 a 專人維護 訪談訪談 資產(chǎn)管理員 設(shè)備指定專人或?qū)ｉT部門進行定期維護 周期 b 建立設(shè)備管理制度 訪談訪談 系統(tǒng)管理員 軟硬件維護進行制度化管理 檢查檢查 應(yīng)檢查設(shè)備審批 發(fā)放管理文檔 查看其內(nèi)容是否對設(shè)備選型 采購和發(fā)放等環(huán)節(jié)的申報和 審批作出規(guī)定 查看是否具有設(shè)備的選型 采購 發(fā)放等過程的申報材料和審批報告 c 設(shè)備的操作和使用進行規(guī)范化 管理 訪談訪談 資產(chǎn)管理員 設(shè)備選用的各個環(huán)節(jié) 選型 采購 發(fā)放等 進行審批控制 對設(shè)備帶離機構(gòu) 進行審批控制 設(shè)備的操作和使用是否要求規(guī)范化管理 檢查檢查 應(yīng)檢查設(shè)備使用管理文檔 查看其內(nèi)容是否覆蓋終端計算機 便攜機和網(wǎng)絡(luò)設(shè)備等使用 操 作原則 注意事項等方面 4 設(shè)備管理設(shè)備管理 G2 G2 d 帶離設(shè)備進行控制 檢查檢查 應(yīng)檢查設(shè)備使用管理文檔 查看其內(nèi)容是否覆蓋終端計算機 便攜機和網(wǎng)絡(luò)設(shè)備等使用 操 作原則 注意事項等方面 制度類文檔要求制度類文檔要求 配套設(shè)備 軟 硬件維護方面的 管理制度 記錄類文檔要求記錄類文檔要求 主機系統(tǒng) 網(wǎng) 絡(luò) 安全設(shè)備等 的操作日志和維 護記錄 此文檔收集于網(wǎng)絡(luò) 僅供學(xué)習(xí)與交流 如有侵權(quán)請聯(lián)系網(wǎng)站刪除 學(xué)習(xí)資料 序號序號測評指標(biāo)測評指標(biāo)測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 e 監(jiān)控檢查管理 訪談訪談 審計員 服務(wù)器的操作日志 日志文件管理 期檢查管理 檢查檢查 應(yīng)檢查服務(wù)器操作規(guī)程 查看其內(nèi)容是否覆蓋服務(wù)器如何啟動 停止 加電 斷電等操作 5 監(jiān)控管理監(jiān)控管理 G2 G2 a 信息系統(tǒng)監(jiān)控和報警 訪談訪談 系統(tǒng)運維負責(zé)人 查看主要服務(wù)器的各項資源指標(biāo) 如 CPU 內(nèi)存 進程和磁盤等使用情況 制度類文檔要求制度類文檔要求 系統(tǒng)監(jiān)控 風(fēng) 險評估 漏洞掃 描方面的管理制 度 采集操作 手冊 維護管理規(guī)范 維護匯總 證據(jù)類文檔要求證據(jù)類文檔要求 主要設(shè)備漏洞 掃描報告 系統(tǒng)異常行為 審計分析報告 a 專人管理 訪談訪談 安全主管 指定專人負責(zé)維護網(wǎng)絡(luò)運行日志 監(jiān)控記錄和分析處理報警信息等網(wǎng)絡(luò)安全管理 工作 b 更新 備份 訪談訪談 應(yīng)訪談網(wǎng)絡(luò)管理員 廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進行過升級 目前的版本號為多少 升級前是否對重要文件 帳戶數(shù)據(jù) 配置數(shù)據(jù)等 進行備份 采取什么方式進行備份 網(wǎng)絡(luò) 設(shè)備進行過漏洞掃描 對掃描出的漏洞是否及時修補 6 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 管理管理 G2 G2 c 進行網(wǎng)絡(luò)系統(tǒng)漏洞掃描 及時 修補 訪談訪談 應(yīng)訪談網(wǎng)絡(luò)管理員 廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進行過升級 目前的版本號為多少 升級前是否對重要文件 帳戶數(shù)據(jù) 配置數(shù)據(jù)等 進行備份 采取什么方式進行備份 網(wǎng)絡(luò) 制度類文檔要求制度類文檔要求 網(wǎng)絡(luò)監(jiān)測與事 件匯報制度 記錄類文檔要求記錄類文檔要求 對主機 網(wǎng)絡(luò) 設(shè)備和應(yīng)用軟件 等的監(jiān)控記錄和 分析報告 此文檔收集于網(wǎng)絡(luò) 僅供學(xué)習(xí)與交流 如有侵權(quán)請聯(lián)系網(wǎng)站刪除 學(xué)習(xí)資料 序號序號測評指標(biāo)測評指標(biāo)測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 設(shè)備進行過漏洞掃描 對掃描出的漏洞是否及時修補 檢查檢查 漏洞掃描報告 覆蓋網(wǎng)絡(luò)存在的漏洞 嚴重級別 原因分析和改進意見等方面 d 與外部系統(tǒng)的連接均應(yīng)得到授 權(quán)和批準(zhǔn) 訪談訪談 安全員 外聯(lián)種類有哪些 互聯(lián)網(wǎng) 合作伙伴企業(yè)網(wǎng) 上級部門網(wǎng)絡(luò)等 得到授權(quán)與批準(zhǔn) 由何部門 何人批準(zhǔn) 定期檢查違規(guī)聯(lián)網(wǎng)的行為 檢查檢查 應(yīng)檢查是否具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書 e 建立網(wǎng)絡(luò)安全管理制度 訪談訪談 安全員 網(wǎng)絡(luò)安全的管理工作 包括網(wǎng)絡(luò)安全配置 網(wǎng)絡(luò)用戶 日志等方面 制度化 檢查檢查 應(yīng)檢查網(wǎng)絡(luò)安全管理制度 查看其是否覆蓋網(wǎng)絡(luò)設(shè)備的安全策略 授權(quán)訪問 最小服 務(wù) 升級與打補丁 維護記錄 日志內(nèi)容 日志保存時間等方面內(nèi)容 f 網(wǎng)絡(luò)安全策略 授權(quán)訪問 最 小服務(wù) 升級與補丁 訪談訪談 安全員 網(wǎng)絡(luò)安全的管理工作 包括網(wǎng)絡(luò)安全配置 網(wǎng)絡(luò)用戶 日志等方面 制度化 檢查檢查 應(yīng)檢查網(wǎng)絡(luò)安全管理制度 查看其是否覆蓋網(wǎng)絡(luò)設(shè)備的安全策略 授權(quán)訪問 最小服務(wù) 升 級與打補丁 維護記錄 日志內(nèi)容 日志保存時間等方面內(nèi)容 g 規(guī)定網(wǎng)絡(luò)審計日志的保存時間 檢查檢查 應(yīng)檢查在規(guī)定的保存時間范圍內(nèi)是否存在網(wǎng)絡(luò)審計日志 a 指定專人對系統(tǒng)進行管理 訪談訪談 安全主管 詢問是否指定專人負責(zé)系統(tǒng)安全管理 7 系統(tǒng)安全系統(tǒng)安全 管理管理 G2 G2 b 制定系統(tǒng)安全管理制度 訪談訪談 安全員 將系統(tǒng)安全管理工作 包括系統(tǒng)安全配置 系統(tǒng)賬戶 審計日志等 制度化 檢查檢查 覆蓋系統(tǒng)安全配置 包括系統(tǒng)的安全策略 授權(quán)訪問 最小服務(wù) 升級與補丁 系統(tǒng)帳戶 用戶責(zé)任 義務(wù) 風(fēng)險 權(quán)限審批 權(quán)限分配 賬戶注銷等 審計日志以及配置文件的 生成 備份 變更審批 符合性檢查等方面 制度類文檔要求制度類文檔要求 系統(tǒng)安全管理 系統(tǒng)配置 賬 號管理等 方面 的管理制度 此文檔收集于網(wǎng)絡(luò) 僅供學(xué)習(xí)與交流 如有侵權(quán)請聯(lián)系網(wǎng)站刪除 學(xué)習(xí)資料 序號序號測評指標(biāo)測評指標(biāo)測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 c 定期安裝系統(tǒng)的最新補丁程序 前對現(xiàn)有的重要文件進行備份 訪談訪談 應(yīng)訪談系統(tǒng)管理員 定期安裝安全補丁程序 在安裝系統(tǒng)補丁前是否對重要文件 系統(tǒng)配置 系統(tǒng)用戶數(shù)據(jù)等 進行備份 采取什么方式進行 是否對系統(tǒng)進行過漏洞掃描 發(fā)現(xiàn)漏洞是 否及時修補 d 確定系統(tǒng)的訪問控制策略 控 制分配信息系統(tǒng) 文件及服務(wù)的 訪問權(quán)限 e 遵循最小授權(quán)要求 f 對系統(tǒng)的安全策略 授權(quán)訪問 最小服務(wù) 升級與打補丁 維護 記錄 日志以及配置文件的生成 備份 變更審批 符合性檢查等 方面做出具體要求 訪談訪談 系統(tǒng)管理員 對系統(tǒng)工具的使用 如脆弱性掃描工具 是否采取措施控制不同使用人員及數(shù) 量 檢查檢查 覆蓋系統(tǒng)安全配置 包括系統(tǒng)的安全策略 授權(quán)訪問 最小服務(wù) 升級與補丁 系統(tǒng)帳戶 用戶責(zé)任 義務(wù) 風(fēng)險 權(quán)限審批 權(quán)限分配 賬戶注銷等 審計日志以及配置文件的 生成 備份 變更審批 符合性檢查等方面 g 規(guī)定系統(tǒng)審計日志的保存時間 訪談訪談 審計員 規(guī)定系統(tǒng)審計日志的保存時間 檢查檢查 在規(guī)定的保存時間范圍內(nèi)是否存在系統(tǒng)審計日志 h 對發(fā)現(xiàn)的系統(tǒng)安全漏洞進行及 時的修補 檢查檢查 覆蓋系統(tǒng)存在的漏洞 嚴重級別 原因分析和改進意見等方面 8 惡意代碼惡意代碼 防范管理防范管理 G2 G2 a 提高防病毒意識及時升級防病 毒軟件 訪談訪談 系統(tǒng)運維負責(zé)人 對員工進行基本惡意代碼防范意識的教育 如告知應(yīng)及時升級軟件版本 使用外來設(shè)備 網(wǎng)絡(luò)上接收文件和外來計算機或存儲設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前進行病毒檢查 工作人員 熟知惡意代碼基本的防范手段 主要包括哪些 制度類文檔要求制度類文檔要求 病毒防范方面 的管理制度 記錄類文檔要求記錄類文檔要求 惡意代碼檢測 升級記錄和分析 此文檔收集于網(wǎng)絡(luò) 僅供學(xué)習(xí)與交流 如有侵權(quán)請聯(lián)系網(wǎng)站刪除 學(xué)習(xí)資料 序號序號測評指標(biāo)測評指標(biāo)測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 b 外來計算機或存儲設(shè)備接入網(wǎng) 絡(luò)系統(tǒng)之前也要進行病毒檢查 檢查檢查 覆蓋系統(tǒng)安全配置 包括系統(tǒng)的安全策略 授權(quán)訪問 最小服務(wù) 升級與補丁 系統(tǒng)帳戶 用戶責(zé)任 義務(wù) 風(fēng)險 權(quán)限審批 權(quán)限分配 賬戶注銷等 審計日志以及配置文件的 生成 備份 變更審批 符合性檢查等方面 c 專人負責(zé)檢測 訪談訪談 系統(tǒng)運維負責(zé)人 專人對惡意代碼進行檢測 并保存記錄 d 明確規(guī)定防范軟件使用 訪談訪談 安全員 惡意代碼防護管理工作 包括惡意代碼軟件的授權(quán)使用 代碼庫升級和防范工作情 況匯報等 制度化 對其執(zhí)行情況是否進行檢查 周期 檢查檢查 是否對防惡意代碼軟件的授權(quán)使用 惡意代碼庫升級 定期匯報等方面作出規(guī)定 惡意代碼檢測記錄 惡意代碼庫升級和分析報告 查看升級記錄是否有升級時間 升級版本 等內(nèi)容 查看分析報告是否描述惡意代碼的特征 修補措施等 報告 9 密碼管理密碼管理 G2 G2 a 密碼算法和密鑰的使用應(yīng)符合 國家密碼管理規(guī)定 訪談訪談 密碼算法和密鑰的使用是否遵照國家密碼管理規(guī)定 制度類文檔要求制度類文檔要求 密碼管理方面 的管理制度 a 制定變更方案 訪談訪談 系統(tǒng)運維負責(zé)人 制定變更方案指導(dǎo)系統(tǒng)執(zhí)行變更 變更是否要求制度化管理 檢查檢查 系統(tǒng)運維負責(zé)人 對變更類型 變更原因 變更過程 變更前評估等方面進行說明 b 建立變更管理制度 審批后方 可實施變更 訪談訪談 系統(tǒng)運維負責(zé)人 重要系統(tǒng)變更前是否得到有關(guān)領(lǐng)導(dǎo)的批準(zhǔn) 由何人批準(zhǔn) 對發(fā)生的變更情 況是否通知了所有相關(guān)人員 以何種方式通知 檢查檢查 更管理制度覆蓋變更前審批 變更過程記錄 變更后通報等方面內(nèi)容 系統(tǒng)的變更申請書 是否有主管領(lǐng)導(dǎo)的批準(zhǔn) 10 變更管理變更管理 G2 G2 c 系統(tǒng)變更情況向所有相關(guān)人員 通告 訪談訪談 系統(tǒng)運維負責(zé)人 制定變更方案指導(dǎo)系統(tǒng)執(zhí)行變更 變更是否要求制度化管理 制度類文檔要求制度類文檔要求 系統(tǒng)變更控制 方面的管理制度 記錄類文檔要求記錄類文檔要求 變更方案評審 記錄和變更過程 記錄 證據(jù)類文檔要求證據(jù)類文檔要求 變更申請書 變更方案 此文檔收集于網(wǎng)絡(luò) 僅供學(xué)習(xí)與交流 如有侵權(quán)請聯(lián)系網(wǎng)站刪除 學(xué)習(xí)資料 序號序號測評指標(biāo)測評指標(biāo)測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 a 定期備份的重要業(yè)務(wù)信息 訪談訪談 系統(tǒng)管理員 數(shù)據(jù)庫管理員和網(wǎng)絡(luò)管理員 識別出需要定期備份的業(yè)務(wù)信息 系統(tǒng)數(shù)據(jù)及軟 件系統(tǒng) 主要有哪些 對其的備份工作是否以文檔形式規(guī)范了備份方式 頻度 介質(zhì) 保存 期等內(nèi)容 數(shù)據(jù)備份和恢復(fù)策略是否文檔化 b 規(guī)定備份方式 備份頻度 存儲介質(zhì) 保存期 檢查檢查 備份方式 頻度 介質(zhì) 保存期的文檔 c 制定數(shù)據(jù)的備份策略和恢復(fù)策 略 備份策略應(yīng)指明備份數(shù)據(jù)的 放置場所 文件命名規(guī)則 介質(zhì) 替換頻率和將數(shù)據(jù)離站運輸?shù)姆?法 檢查檢查 備份和恢復(fù)策略文檔 覆蓋數(shù)據(jù)的存放場所 文件命名規(guī)則 介質(zhì)替換頻率 數(shù)據(jù)離站傳輸 方法等方面 d 指定負責(zé)人定期維護和檢查備 份及冗余設(shè)備的狀況 訪談訪談 系統(tǒng)管理員 數(shù)據(jù)庫管理員和網(wǎng)絡(luò)管理員 詢問其對備份和冗余設(shè)備的安裝 配置和啟動工 作是否根據(jù)一定的流程進行 是否指定專人對備份和冗余設(shè)備的有效性定期維護和檢查 多 長時間檢查一次 檢查檢查 應(yīng)檢查備份設(shè)備操作流程文檔 查看其是否規(guī)定備份和冗余設(shè)備的安裝 配置 啟動 關(guān)閉 等操作流程 11 備份與恢備份與恢 復(fù)管理復(fù)管理 G2 G2 e 規(guī)定備份及冗余設(shè)備的安裝 配置和啟動流程 檢查檢查 應(yīng)檢查備份設(shè)備操作流程文檔 查看其是否規(guī)定備份和冗余設(shè)備的安裝 配置 啟動 關(guān)閉 等操作流程 制度類文檔要求制度類文檔要求 備份和恢復(fù)方 面的管理制度 記錄類文檔要求記錄類文檔要求 備份過程記錄 此文檔收集于網(wǎng)絡(luò) 僅供學(xué)習(xí)與交流 如有侵權(quán)請聯(lián)系網(wǎng)站刪除 學(xué)習(xí)資料 序號序號測評指標(biāo)測評指標(biāo)測評項測評項檢測方法檢測方法預(yù)期結(jié)果預(yù)期結(jié)果 a 報告弱點 可疑事件 訪談訪談 及時報告告知用戶在發(fā)現(xiàn)安全弱點和可疑事件 記錄并保存 b 建立安全事件管理制度 訪談訪談 對安全事件處置制度化管理 檢查檢查 安全事件報告和處置管理制度 查看其內(nèi)容是否明確與安全事件有關(guān)的工作職責(zé) 包括報告 單位 人 接報單位 人 和處置單位等職責(zé) c 識別本系統(tǒng)需要防止發(fā)生的安 全事件 訪談訪談 本系統(tǒng)已發(fā)生的和需要防止發(fā)生的安全事件主要有哪幾類 對識別出的安全事件是否根據(jù)其 對系統(tǒng)的影響程度劃分不同等級 劃分為幾級 d 安全事件進行等級劃分 檢查檢查 安全事件定級文檔 查看其內(nèi)容是否明確安全事件的定義 安全事件等級劃分的原則 等級 描述等方面內(nèi)容 12 安全事件安全事件 處置處置 G2 G2 e 記錄并保存所有報告的安全弱 點和可疑事件 分析事件原因 監(jiān)督事態(tài)發(fā)展 采取措施避免安 全事件發(fā)生 檢查檢查 全事件記錄分析文檔 查看其是否記錄引發(fā)安全事件的原因 是否記錄事件處理過程 是否 采取措施避免其再次發(fā)生 制度類文檔要求制度類文檔要求 安全事件報告 和處置方面的管 理制度 記錄類文檔要求記錄類文檔要求 安全事件處理 過程記錄 證據(jù)類文檔要求證據(jù)類文檔要求 信息系統(tǒng)定期 安全檢查的檢查 表和安全檢查報 告 a 統(tǒng)一框架 不同事件不同預(yù)案 訪談訪談 系統(tǒng)運維負責(zé)人 制定不同事件的應(yīng)急預(yù)案 對系統(tǒng)相關(guān)人員進行應(yīng)急預(yù)案培訓(xùn) 培訓(xùn)內(nèi)容 是什么 多長時間舉辦一次 檢查檢查 工作人員 應(yīng)急響預(yù)案文檔 查看其內(nèi)容是否覆蓋啟動預(yù)案的條件 應(yīng)急處理流程 系統(tǒng)恢 復(fù)流程和事后教育等內(nèi)容 13 應(yīng)急預(yù)案應(yīng)急預(yù)案 管理管理 G2 G2 b 應(yīng)急預(yù)案培訓(xùn) 檢查檢查 應(yīng)急預(yù)案培訓(xùn)記錄 演練記錄和審查記錄 制度類文檔要求制度類文檔要求 應(yīng)急響應(yīng)方法 應(yīng)急響應(yīng)計劃等 方面的文件 記錄類文檔要求記錄類文檔要求 應(yīng)急預(yù)案培訓(xùn) 演練 審查記錄 此文檔收集于網(wǎng)絡(luò) 僅供學(xué)習(xí)與交流 如有侵權(quán)請聯(lián)系網(wǎng)站刪除 學(xué)習(xí)資料 第第 2 2 章章 物理安全測評指導(dǎo)書物理安全測評指導(dǎo)書 2 12 1 物理安全測評物理安全測評 序號序號測評指標(biāo)測評指標(biāo)測評項測評項檢查方法檢查方法預(yù)期結(jié)果預(yù)期結(jié)果 1 1 物理位置的選物理位置的選 擇擇 G2 G2 a 機房是否具備有 防震 防風(fēng) 防雨 能力 訪談訪談 詢問物理安全負責(zé)人 現(xiàn)有機房和辦公場地的環(huán)境條件是否具有基 本的防震 防風(fēng)和防雨能力 檢查 檢查 檢查機房和辦公場地的設(shè)計 驗收文檔 查看機房和辦公場所的物 理位置選擇是否符合要求 機房和辦公場地的設(shè)計 驗收文檔中有關(guān)于機房和辦 公場所的物理位置選擇的內(nèi)容 并符合防震 防風(fēng)和 防雨能力要求 a 是否專人值守 訪談 訪談 詢問物理安全負責(zé)人 了解具有哪些控制機房進出的能力 是否安 排專人值守專人值守 訪談機房值守人員 詢問是否認真執(zhí)行有關(guān)機房出入的管理制度管理制度 是否對進入機房的人員記錄在案 有專人值守機房 進入機房有記錄 2 2 物理訪問控制物理訪問控制 G2 G2 b 是否具有申請 審批和監(jiān)控的措施 訪談 訪談 詢問物理安全負責(zé)人 了解是否有關(guān)于機房來訪人員的申請和審批申請和審批 流程流程 是否限制和監(jiān)控其活動范圍 檢查 檢查 檢查是否有來訪人員進入機房的審批記錄審批記錄 來訪人員進入機房需經(jīng)過申請 審批流程并記錄 進 入機房有機房管理人員陪同并監(jiān)控和限制其活動范圍 此文檔收集于網(wǎng)絡(luò) 僅供學(xué)習(xí)與交流 如有侵權(quán)請聯(lián)系網(wǎng)站刪除 學(xué)習(xí)資料 序號序號測評指標(biāo)測評指標(biāo)測評項測評項檢查方法檢查方法預(yù)期結(jié)果預(yù)期結(jié)果 a 設(shè)備放置機房并 固定 設(shè)置標(biāo)記 訪談 訪談 訪談物理安全負責(zé)人 采取了哪些防止設(shè)備 介質(zhì)丟失的保護措施防止設(shè)備 介質(zhì)丟失的保護措施 檢查 檢查 檢查主要設(shè)備是否防止在機房內(nèi)或其他不易被盜竊和破壞的可控范盜竊和破壞的可控范 圍內(nèi)圍內(nèi) 主要設(shè)備都放置在機房可控制范圍內(nèi) 機柜門牢固并 上鎖 b 設(shè)備和主要部件 固定并標(biāo)識 訪談 訪談 訪談機房維護人員 設(shè)備設(shè)備和主要部件主要部件是否進行了固定和標(biāo)記固定和標(biāo)記 檢查 檢查 檢查主要設(shè)備或設(shè)備的主要部件的固定情況 是否不易被移動或被不易被移動或被 搬走搬走 是否設(shè)置了明顯的不易除去的標(biāo)記明顯的不易除去的標(biāo)記 設(shè)備和主要部件固定不易移動 設(shè)置明顯的不易除去 的標(biāo)記 c 隱蔽通信線纜 訪談 訪談 訪談機房維護人員 了解通信線纜是否鋪設(shè)在隱蔽處線纜是否鋪設(shè)在隱蔽處 是否設(shè)置了 冗余或并行的通信線路冗余或并行的通信線路 檢查 檢查 檢查通信線纜鋪設(shè)是否在隱蔽處是否在隱蔽處 如鋪設(shè)在地下或管道中等 通信線纜鋪設(shè)在地下或管道中 有冗余或并行的通信 線路 3 3 防盜竊和防破防盜竊和防破 壞壞 G2 G2 d 介質(zhì)分類標(biāo)識 帶 出應(yīng)受控和加密保 護 訪談 訪談 訪談資產(chǎn)管理人員 在介質(zhì)管理中 是否設(shè)置了分類標(biāo)識分類標(biāo)識 是否存是否存 放在介質(zhì)庫或檔案室中放在介質(zhì)庫或檔案室中 詢問對設(shè)備或存儲介質(zhì)攜帶出工作環(huán)境是否規(guī)定了審批程序 內(nèi)容審批程序 內(nèi)容 加密 專人檢查加密 專人檢查等安全保護安全保護的措施 檢查 檢查 檢查介質(zhì)的管理情況 查看介質(zhì)是否有正確的分類標(biāo)識 是否存放 在介質(zhì)庫或資料室中并且進行分類存放 滿足磁介質(zhì) 紙介質(zhì)等的 存放要求 檢查有關(guān)設(shè)備或存儲介質(zhì)攜帶出工作環(huán)境的審批記錄 以及專人對檢查有關(guān)設(shè)備或存儲介質(zhì)攜帶出工作環(huán)境的審批記錄 以及專人對 內(nèi)容加密進行檢查的記錄 內(nèi)容加密進行檢查的記錄 1 介質(zhì)正確的分類標(biāo)識并存放在介質(zhì)庫或檔案室 存 放環(huán)境滿足不同介質(zhì)的存放需求 2 設(shè)備和存儲介質(zhì)攜帶出工作環(huán)境需審批并有審批記 錄 3 存儲介質(zhì)攜帶出工作環(huán)境需經(jīng)過安全人員進行加密 后方可允許 此文檔收集于網(wǎng)絡(luò) 僅供學(xué)習(xí)與交流 如有侵權(quán)請聯(lián)系網(wǎng)站刪除 學(xué)習(xí)資料 序號序號測評指標(biāo)測評指標(biāo)測評項測評項檢查方法檢查方法預(yù)期結(jié)果預(yù)期結(jié)果 e 設(shè)置光電防盜報 警系統(tǒng) 訪談 訪談 詢問機房維護人員 采用了何種技術(shù)設(shè)置機房防盜報警系統(tǒng)采用了何種技術(shù)設(shè)置機房防盜報警系統(tǒng) 檢查 檢查 檢查機房防盜報警設(shè)施是否正常運行是否正常運行 并查看運行和報警記錄運行和報警記錄 機房防盜報警設(shè)施運行正常并可進行相關(guān)運行和報警 記錄 a 避雷裝置 訪談 訪談 訪談物理安全負責(zé)人 機房建筑是否設(shè)置了避雷裝置否設(shè)置了避雷裝置 是否通過驗 收或國家有關(guān)部門的技術(shù)檢測 詢問機房維護人員機房建筑避雷裝 置是否有人定期進行檢查和維護是否有人定期進行檢查和維護 檢查 檢查 檢查機房是否有建筑防雷設(shè)計防雷設(shè)計 驗收文檔驗收文檔 是否符合 GB 50057 1994 建筑物防雷設(shè)計規(guī)范 GB157 建筑物防雷設(shè)計規(guī)范 要求 如果是在雷電頻繁區(qū)域 是否裝設(shè)有浪涌電壓吸收裝置是否裝設(shè)有浪涌電壓吸收裝置等 1 機房建筑設(shè)置了避雷裝置 并通過驗收或國家有關(guān) 部門的技術(shù)檢測 2 定期對避雷裝置進行檢查和維護 4 4 防雷擊防雷擊 G2 G2 b 交流電接地 訪談 訪談 詢問物理安全負責(zé)人 機房計算機系統(tǒng)接地是否設(shè)置了專用地線是否設(shè)置了專用地線 檢查 檢查 檢查機房是否有機房接地設(shè)計 驗收文檔 查看是否有地線連接要是否有地線連接要 求的描述求的描述 與實際情況是否一致 機房交流電設(shè)置了專用的地線 與機房接地設(shè)計 驗 收文檔中關(guān)于地線連接要求的描述一致 此文檔收集于網(wǎng)絡(luò) 僅供學(xué)習(xí)與交流 如有侵權(quán)請聯(lián)系網(wǎng)站刪除 學(xué)習(xí)資料 序號序號測評指標(biāo)測評指標(biāo)測評項測評項檢查方法檢查方法預(yù)期結(jié)果預(yù)期結(jié)果 5 5 防火防火 G2 G2 a 自動消防系統(tǒng) 訪談 訪談物理安全負責(zé)人 是否設(shè)置了滅火設(shè)備滅火設(shè)備 是否設(shè)置了自動檢測 火情 自動報警 自動滅火的自動消防系統(tǒng) 是否有專人負責(zé)維護該系統(tǒng)的運行 是否制定了機房的消防管理制 度和消防預(yù)案 是否進行了消防培訓(xùn)消防培訓(xùn) 訪談機房值守人員 詢問對機房出現(xiàn)的消防安全隱患消防安全隱患是否能夠及時 報告并得到排除 是否參加過機房滅火設(shè)備的使用培訓(xùn)機房滅火設(shè)備的使用培訓(xùn) 是否能夠正確使用滅火設(shè)備 和自動消防系統(tǒng) 噴水不適用于機房 檢查 檢查機房是否設(shè)置了自動測火情自動測火情 如使用溫感 煙感探測器 自 動報警 自動滅火的自動消防系統(tǒng) 擺放位置是否合理 有效期是 否合格 檢查自動消防系統(tǒng)是否正常工作 查看運行記錄 報警記錄 定期 檢查和維修記錄 檢查是否有機房的消防管理制度文檔 是否有機房防火設(shè)計 驗收 文檔 是否有機房自動消防系統(tǒng)的設(shè)計 驗收文檔 文檔是否與現(xiàn) 有消防配置狀況一致 1 機房設(shè)置了自動檢測火情 自動報警和自動滅火的 自動消防系統(tǒng) 2 此文檔收集于網(wǎng)絡(luò) 僅供學(xué)習(xí)與交流 如有侵權(quán)請聯(lián)系網(wǎng)站刪除 學(xué)習(xí)資料 序號序號測評指標(biāo)測評指標(biāo)測評項測評項檢查方法檢查方法預(yù)期結(jié)果預(yù)期結(jié)果 a 水管不得穿過機 房 訪談 訪談物理安全負責(zé)人 詢問機房建設(shè)是否有防水防潮措施防水防潮措施 如果機房有上下水管安裝水管安裝 是否避免穿過屋頂和活動地板下 穿過是否避免穿過屋頂和活動地板下 穿過 墻壁和樓板的水管墻壁和樓板的水管是否采取了保護措施 如設(shè)置套管 在濕度較高地區(qū)或季節(jié)是否有人負責(zé)機房防水防潮事宜 是否配備 除濕裝置 檢查 檢查機房是否有建筑防水和防潮設(shè)計檢查機房是否有建筑防水和防潮設(shè)計 驗收文檔驗收文檔 與實際情況是否 一致 如果有管道穿過主機房墻壁和樓板處 應(yīng)檢查是否有必要的保護措 施 如設(shè)置套管等 1 機房屋頂和活動地板下沒有水管穿過 2 有水管穿過 但水管設(shè)置有套管防止漏水 b 防止雨水滲透 訪談 訪談 詢問機房維護人員 機房是否出現(xiàn)過漏水和返潮機房是否出現(xiàn)過漏水和返潮事件 檢查 檢查 檢查機房是否不存在屋頂和墻壁屋頂和墻壁等出現(xiàn)過漏水 滲透和返潮現(xiàn)象 機房及其環(huán)境是否不存在明顯的漏水和返潮的威脅明顯的漏水和返潮的威脅 檢查機房如果出現(xiàn)漏水 滲透和返潮現(xiàn)象是否能夠及時修復(fù)解決是否能夠及時修復(fù)解決 不存在雨水滲透威脅 屋頂和墻壁不存在漏水 滲透 和返潮現(xiàn)象 6 6 防水和防潮防水和防潮 G2 G2 c 防止水蒸氣結(jié)露 和積水轉(zhuǎn)移破壞 訪談 訪談 訪談機房維護人員 如果出現(xiàn)機房水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與積水的轉(zhuǎn)移與 滲透現(xiàn)象滲透現(xiàn)象是否采取防范措施 檢查 檢查 檢查機房是否有濕度記錄 是否有除濕裝置并能夠正常運行 是否 有防止出現(xiàn)機房地下積水的轉(zhuǎn)移與滲透