二級-06安全管理測評記錄V20

1、文件編號CDJX-DJCP- -006文件版本V2.0編寫錢平校對胥滔審核朱光劍修訂次數(shù)V2.0打印份數(shù)控制狀態(tài)是否裝訂歸檔部門信息系統(tǒng)安全等級保護(hù)測評附件6 安全管理測評記錄（S2A2G2級）單位名稱: 系統(tǒng)名稱: 測試時間 年 月 日- 月 日目 錄一、安全管理測評判定表21.1安全管理制度21.2 安全管理機(jī)構(gòu)21.3 人員安全管理21.4 系統(tǒng)建設(shè)管理21.5系統(tǒng)運維管理2安全管理測評工作任務(wù)書及測評記錄 版本號：V2.0一、安全管理測評判定表1.1安全管理制度類別序號測評項測評實施結(jié)果記錄符合情況結(jié)果情況記錄符合不符合管理制度（G）1a) 應(yīng)制定信息安全工作的總體方針和安全策略，說明

2、機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等；a) 應(yīng)檢查信息安全工作的總體方針和安全策略文件，查看文件是否明確機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等； b) 應(yīng)檢查各項安全管理制度，查看是否覆蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、建設(shè)和管理等層面的重要管理內(nèi)容； c) 應(yīng)檢查是否具有重要管理操作的操作規(guī)程（如系統(tǒng)維護(hù)手冊和用戶操作規(guī)程等）。 如果a）-c）均為肯定，則信息系統(tǒng)符合本單元測評指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求通 過：不通過：不適用：*b) 應(yīng)對安全管理活動中重要的管理內(nèi)容建立安全管理制度；通 過：不通過：不適用：*c) 應(yīng)對安全管理人員或操作人員

3、執(zhí)行的重要管理操作建立操作規(guī)程通 過：不通過：不適用：*制定和發(fā)布（G）2a) 應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定；a) 應(yīng)訪談安全主管，詢問是否有專門的部門或人員負(fù)責(zé)制定安全管理制度； b) 應(yīng)訪談安全管理制度制、修訂人員，詢問安全管理制度的制定程序和發(fā)布方式，是否對制定的安全管理制度進(jìn)行論證和審定，論證和評審方式如何； c) 應(yīng)檢查管理制度評審記錄，查看是否有相關(guān)人員的評審意見。 如果a）-c）均為肯定，則信息系統(tǒng)符合本單元測評指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求。 通 過：不通過：不適用：*b) 應(yīng)組織相關(guān)人員對制定的安全管理制度進(jìn)行論證和審定；通

4、過：不通過：不適用：*c) 應(yīng)將安全管理制度以某種方式發(fā)布到相關(guān)人員手中通 過：不通過：不適用：*評審和修訂（G）3a) 應(yīng)定期對安全管理制度進(jìn)行評審，對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂a) 應(yīng)訪談安全主管，詢問是否定期對安全管理制度進(jìn)行評審，評審周期多長，發(fā)現(xiàn)存在不足或需要改進(jìn)的是否進(jìn)行修訂； b) 應(yīng)檢查安全管理制度評審記錄，查看記錄的日期間隔與評審周期是否一致；如果對制度做過修訂，檢查是否有修訂版本的安全管理制度。 如果a）和 b）均為肯定，則信息系統(tǒng)符合本單元測評指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求。 通 過：不通過：不適用：*測評人員（簽字）： 結(jié)果確認(rèn)

5、（簽字）： 測評日期： 1.2 安全管理機(jī)構(gòu)類別序號測評項測評實施結(jié)果記錄符合情況結(jié)果情況記錄符合不符合崗位設(shè)置（G）1a) 應(yīng)設(shè)立安全主管、安全管理各個方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)；a) 應(yīng)訪談安全主管，詢問設(shè)置了哪些工作崗位，各個崗位的職責(zé)分工是否明確；詢問是否設(shè)立安全管理各個方面的負(fù)責(zé)人； b) 應(yīng)訪談安全主管、安全管理某方面的負(fù)責(zé)人，詢問其崗位職責(zé)包括哪些內(nèi)容； c) 應(yīng)檢查崗位職責(zé)文檔，查看文檔是否明確設(shè)置安全主管、安全管理各個方面的負(fù)責(zé)人、機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和安全管理員等各個崗位，各個崗位的職責(zé)范圍是否清晰、明確。 如果a）-c）均為肯定，則信息系統(tǒng)符合本

6、單元測評指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求。 通 過：不通過：不適用：*b) 應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個工作崗位的職責(zé)通 過：不通過：不適用：*人員配備（G）2a) 應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等；a) 應(yīng)訪談安全主管，詢問各個安全管理崗位人員的配備情況，包括數(shù)量、專職還是兼職等； b) 應(yīng)檢查安全管理各崗位人員信息表，查看其是否明確機(jī)房管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位人員的信息，確認(rèn)安全管理員是否沒有兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等崗位。 如果a)和b）均為肯定，則信息系

7、統(tǒng)符合本單元測評指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求。 通 過：不通過：不適用：*b) 安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等通 過：不通過：不適用：*授權(quán)和審批（G）3a) 應(yīng)根據(jù)各個部門和崗位的職責(zé)明確授權(quán)審批部門及批準(zhǔn)人，對系統(tǒng)投入運行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問等關(guān)鍵活動進(jìn)行審批； a) 應(yīng)訪談安全主管，詢問其是否對信息系統(tǒng)中的關(guān)鍵活動進(jìn)行審批，審批部門是何部門，批準(zhǔn)人是何人，他們的審批活動是否得到授權(quán)； b) 應(yīng)訪談安全主管，詢問其對關(guān)鍵活動的審批范圍包括哪些，審批程序如何； c) 應(yīng)檢查審批管理制度文檔，查看文檔中是否明確對系統(tǒng)投入運行、網(wǎng)

8、絡(luò)系統(tǒng)接入和重要資源的訪問等關(guān)鍵活動進(jìn)行審批的審批部門和批準(zhǔn)人，是否明確審批程序； d) 應(yīng)檢查經(jīng)審批的文檔，查看審批程序與文件要求是否一致，是否有批準(zhǔn)人的簽字和審批部門的蓋章。 如果a）-d）均為肯定，則信息系統(tǒng)符合本單元測評指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求通 過：不通過：不適用：*b) 應(yīng)針對關(guān)鍵活動建立審批流程，并由批準(zhǔn)人簽字確認(rèn)通 過：不通過：不適用：*溝通和合作（G）4a) 應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通；a) 應(yīng)訪談安全主管，詢問是否經(jīng)常與公安機(jī)關(guān)、電信公司和兄弟單位聯(lián)系，聯(lián)系和合作方式有哪些，與組織機(jī)構(gòu)內(nèi)其他

9、部門之間通過哪些方式進(jìn)行交流和溝通，信息安全職能部門內(nèi)部各類管理人員之間通過哪些方式進(jìn)行交流和溝通； b) 應(yīng)檢查部門間和部門內(nèi)部溝通和合作的相關(guān)文檔，查看是否包括工作內(nèi)容、參加人員等的描述； c) 應(yīng)檢查是否有組織機(jī)構(gòu)內(nèi)部人員聯(lián)系表； d) 應(yīng)檢查外聯(lián)單位說明文檔，查看外聯(lián)單位是否包含公安機(jī)關(guān)、電信公司及兄弟單位等。 如果a）-d）均為肯定，則信息系統(tǒng)符合本單元測評指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求。 通 過：不通過：不適用：*b) 應(yīng)加強(qiáng)與兄弟單位、公安機(jī)關(guān)、電信公司的合作與溝通通 過：不通過：不適用：*審核和檢查（G）5a) 安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，檢查

10、內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況a) 應(yīng)訪談安全管理員，詢問是否定期檢查系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況，檢查周期多長； b) 應(yīng)檢查安全管理員定期實施安全檢查的文檔或記錄，查看記錄的時間間隔與檢查周期是否一致，檢查內(nèi)容是否包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。 如果a）和b）均為肯定，則信息系統(tǒng)符合本單元測評指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求。 通 過：不通過：不適用：*測評人員（簽字）： 結(jié)果確認(rèn)（簽字）： 測評日期： 1.3 人員安全管理類別序號測評項測評實施結(jié)果記錄符合情況結(jié)果情況記錄符合不符合人員錄用（G）1a) 應(yīng)指定或授權(quán)專門的部

11、門或人員負(fù)責(zé)人員錄用；a) 應(yīng)訪談安全主管，詢問是否有專門的部門或人員負(fù)責(zé)人員的錄用工作，由何部門/何人負(fù)責(zé)； b) 應(yīng)訪談人事管理相關(guān)人員，詢問在人員錄用時對人員條件有哪些要求，是否對被錄用人的身份、背景和專業(yè)資格進(jìn)行審查，對技術(shù)人員的技術(shù)技能進(jìn)行考核，錄用后是否與從事關(guān)鍵崗位的人員簽署保密協(xié)議； c) 應(yīng)檢查人員錄用要求管理文檔，查看是否說明錄用人員應(yīng)具備的條件（如學(xué)歷、學(xué)位要求，技術(shù)人員應(yīng)具備的專業(yè)技術(shù)水平，管理人員應(yīng)具備的安全管理知識等）； d) 應(yīng)檢查是否具有人員錄用時對錄用人身份、背景和專業(yè)資格等進(jìn)行審查的相關(guān)文檔或記錄，查看是否記錄審查內(nèi)容和審查結(jié)果等； e) 應(yīng)檢查人員錄用時的

12、技能考核文檔或記錄，查看是否記錄考核內(nèi)容和考核結(jié)果等； f) 應(yīng)檢查保密協(xié)議，查看是否有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人簽字等內(nèi)容。 如果a）-f）均為肯定，則信息系統(tǒng)符合本單元測評指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求通 過：不通過：不適用：*b) 應(yīng)規(guī)范人員錄用過程，對被錄用人員的身份、背景和專業(yè)資格等進(jìn)行審查，對其所具有的技術(shù)技能進(jìn)行考核；通 過：不通過：不適用：*c) 應(yīng)與從事關(guān)鍵崗位的人員簽署保密協(xié)議通 過：不通過：不適用：*人員離崗（G）2a) 應(yīng)規(guī)范人員離崗過程，及時終止離崗員工的所有訪問權(quán)限；a) 應(yīng)訪談安全主管，詢問對即將離崗人員有哪些

13、控制方法，是否及時終止離崗人員的所有訪問權(quán)限，是否取回各種身份證件、鑰匙、徽章以及機(jī)構(gòu)提供的軟硬件設(shè)備等； b) 應(yīng)訪談人事管理相關(guān)人員，詢問調(diào)離手續(xù)包括哪些； c) 應(yīng)檢查是否具有對離崗人員的安全處理記錄（如交還身份證件、設(shè)備等的登記記錄）； d) 應(yīng)檢查是否具有按照離職程序辦理調(diào)離手續(xù)的記錄。 如果a）-d）均為肯定，則信息系統(tǒng)符合本單元測評指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求。 通 過：不通過：不適用：*b) 應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備；通 過：不通過：不適用：*c) 應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)通 過：不通過：不適用：*人員考核（G）3a)

14、應(yīng)定期對各個崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核a) 應(yīng)訪談安全主管，詢問是否有人負(fù)責(zé)定期對各個崗位人員進(jìn)行安全技能及安全知識的考核，考核周期多長； b) 應(yīng)檢查考核文檔，查看考核人員是否包括各個崗位的人員，考核日期與考核周期是否一致。 如果a)和b）均為肯定，則信息系統(tǒng)符合本單元測評指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求。 通 過：不通過：不適用：*安全意識教育和培訓(xùn)（G）4a) 應(yīng)對各類人員進(jìn)行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)；a) 應(yīng)訪談安全主管，詢問是否制定培訓(xùn)計劃并按計劃對各個崗位人員進(jìn)行安全教育和培訓(xùn)，具體的培訓(xùn)方式有哪些；是否對違反安全策略和規(guī)定

15、的人員進(jìn)行懲戒，如何懲戒； b) 應(yīng)訪談安全管理員、系統(tǒng)管理員和網(wǎng)絡(luò)管理員，考查其對工作相關(guān)的信息安全基礎(chǔ)知識、安全責(zé)任和懲戒措施等的理解程度； c) 應(yīng)檢查安全教育和培訓(xùn)計劃文檔，查看計劃是否明確了培訓(xùn)方式、培訓(xùn)對象、培訓(xùn)內(nèi)容、培訓(xùn)時間和地點等，培訓(xùn)內(nèi)容是否包含信息安全基礎(chǔ)知識、崗位操作規(guī)程等； d) 應(yīng)檢查是否具有安全教育和培訓(xùn)記錄，查看記錄是否有培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等的描述； 如果a）-d）均為肯定，則信息系統(tǒng)符合本單元測評指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求。 通 過：不通過：不適用：*b) 應(yīng)告知人員相關(guān)的安全責(zé)任和懲戒措施，并對違反違背安全策略和規(guī)定的

16、人員進(jìn)行懲戒；通 過：不通過：不適用：*c) 應(yīng)制定安全教育和培訓(xùn)計劃，對信息安全基礎(chǔ)知識、崗位操作規(guī)程等進(jìn)行培訓(xùn)通 過：不通過：不適用：*外部人員訪問管理（G）5a) 應(yīng)確保在外部人員訪問受控區(qū)域前得到授權(quán)或?qū)徟?，批?zhǔn)后由專人全程陪同或監(jiān)督，并登記備案a) 應(yīng)訪談安全管理員，詢問對外部人員訪問重要區(qū)域（如訪問機(jī)房、重要服務(wù)器或設(shè)備區(qū)等）采取了哪些安全措施，是否經(jīng)有關(guān)部門或負(fù)責(zé)人批準(zhǔn)才能訪問，是否由專人全程陪同或監(jiān)督，是否進(jìn)行記錄并備案管理； b) 應(yīng)檢查外部人員訪問管理文檔，查看是否有對外部人員訪問機(jī)房等重要區(qū)域應(yīng)經(jīng)過相關(guān)部門或負(fù)責(zé)人批準(zhǔn)的內(nèi)容； c) 應(yīng)檢查外部人員訪問重要區(qū)域的登記記錄，

17、查看是否記錄了外部人員訪問重要區(qū)域的進(jìn)入時間、離開時間、訪問區(qū)域及陪同人等信息。 如果a）-c）均為肯定，則信息系統(tǒng)符合本單元測評指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求。 通 過：不通過：不適用：*測評人員（簽字）： 結(jié)果確認(rèn)（簽字）： 測評日期： 1.4 系統(tǒng)建設(shè)管理類別序號測評指標(biāo)測評實施結(jié)果記錄符合情況結(jié)果情況記錄符合不符合系統(tǒng)定級（G）1a) 應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級； a) 應(yīng)訪談安全主管，詢問確定信息系統(tǒng)安全保護(hù)等級的方法是否參照定級指南的指導(dǎo)，定級過程是否有書面描述，定級結(jié)果是否獲得了相關(guān)部門的批準(zhǔn)； b) 應(yīng)檢查系統(tǒng)定級文檔，查看文檔是否明確信息系

18、統(tǒng)的邊界和信息系統(tǒng)的安全保護(hù)等級，是否說明定級的方法和理由，查看定級結(jié)果是否有相關(guān)部門的批準(zhǔn)蓋章。 如果a）沒有上級主管部門的，如果有本單位信息安全主管領(lǐng)導(dǎo)的批準(zhǔn)，則該項為肯定； 如果a）和b）均為肯定，則信息系統(tǒng)符合本單元測評指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求。 通 過：不通過：不適用：*b) 應(yīng)以書面的形式說明信息系統(tǒng)確定為某個安全保護(hù)等級的方法和理由；通 過：不通過：不適用：*c) 應(yīng)確保信息系統(tǒng)的定級結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)通 過：不通過：不適用：*安全方案設(shè)計（G）2a) 應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級選擇基本安全措施，依據(jù)風(fēng)險分析的結(jié)果補充和調(diào)整安全措施；a) 應(yīng)訪

19、談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否根據(jù)系統(tǒng)的安全級別選擇基本安全措施，是否依據(jù)風(fēng)險分析的結(jié)果補充和調(diào)整安全措施，具體做過哪些調(diào)整； b) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問安全設(shè)計方案是否經(jīng)過論證和審定，是否經(jīng)過審批； c) 應(yīng)檢查系統(tǒng)的安全方案，查看方案是否描述系統(tǒng)的安全保護(hù)要求，是否詳細(xì)描述了系統(tǒng)的安全策略，是否詳細(xì)描述了系統(tǒng)采取的安全措施等內(nèi)容； d) 應(yīng)檢查系統(tǒng)的詳細(xì)設(shè)計方案，查看詳細(xì)設(shè)計方案是否對應(yīng)安全方案進(jìn)行細(xì)化，是否有安全建設(shè)方案和安全產(chǎn)品采購方案，查看方案是否有經(jīng)過安全主管領(lǐng)導(dǎo)或管理部門的批準(zhǔn)蓋章； e) 應(yīng)檢查專家論證文檔，查看是否有相關(guān)部門和有關(guān)安全技術(shù)專家對安全設(shè)計方案的評審意見。 如果

20、a）-e）均為肯定，則信息系統(tǒng)符合本單元測評指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求。 通 過：不通過：不適用：*b) 應(yīng)以書面的形式描述對系統(tǒng)的安全保護(hù)要求和策略、安全措施等內(nèi)容，形成系統(tǒng)的安全方案；通 過：不通過：不適用：*c) 應(yīng)對安全方案進(jìn)行細(xì)化，形成能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采購和使用的詳細(xì)設(shè)計方案通 過：不通過：不適用：*d) 應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對安全設(shè)計方案的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過批準(zhǔn)后，才能正式實施通 過：不通過：不適用：*產(chǎn)品采購和使用（G）3a) 應(yīng)確保安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定a) 應(yīng)訪談安全主管，詢問是否有專門

21、的部門負(fù)責(zé)產(chǎn)品的采購，由何部門負(fù)責(zé)； b) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問信息安全產(chǎn)品的采購情況，是否有產(chǎn)品采購清單指導(dǎo)產(chǎn)品采購，采購過程如何控制； c) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問系統(tǒng)是否采用了密碼產(chǎn)品，密碼產(chǎn)品的采購和使用是否符合國家密碼主管部門的要求； d) 應(yīng)檢查系統(tǒng)使用的有關(guān)信息安全產(chǎn)品是否符合國家的有關(guān)規(guī)定； e) 應(yīng)檢查密碼產(chǎn)品的使用情況是否符合密碼產(chǎn)品使用、管理的相關(guān)規(guī)定。 如果a）-e）均為肯定，則信息系統(tǒng)符合本單元測評指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求。 通 過：不通過：不適用：*b) 應(yīng)確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求；通 過：不通過：

22、不適用：*c) 應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購?fù)?過：不通過：不適用：*自行軟件開發(fā)（G）4a) 應(yīng)確保開發(fā)環(huán)境與實際運行環(huán)境物理分開；a) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否進(jìn)行自主開發(fā)軟件，自主開發(fā)軟件是否在獨立的模擬環(huán)境中編寫、調(diào)試和完成； b) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問軟件設(shè)計相關(guān)文檔和使用指南是否由專人負(fù)責(zé)保管，負(fù)責(zé)人是何人； c) 應(yīng)檢查軟件開發(fā)管理制度，查看文件是否明確軟件設(shè)計、開發(fā)、測試、驗收過程的控制方法和人員行為準(zhǔn)則，是否明確哪些開發(fā)活動應(yīng)經(jīng)過授權(quán)、審批，是否明確軟件開發(fā)相關(guān)文檔的管理等； d) 應(yīng)檢查是否具有軟件設(shè)計的相關(guān)文檔（應(yīng)用軟件設(shè)計程序文件、源代碼文檔等）、軟

23、件使用指南或操作手冊和維護(hù)手冊等。 如果a）-d）均為肯定，則信息系統(tǒng)符合本單元測評指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求。 通 過：不通過：不適用：*b) 應(yīng)確保提供軟件設(shè)計的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保管通 過：不通過：不適用：*c) 應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則；通 過：不通過：不適用：*外包軟件開發(fā)（G）5a) 應(yīng)根據(jù)開發(fā)要求檢測軟件質(zhì)量；a) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問軟件交付前是否依據(jù)開發(fā)要求的技術(shù)指標(biāo)對軟件功能和性能等進(jìn)行驗收測試，軟件安裝之前是否檢測軟件中的惡意代碼，是否要求開發(fā)單位提供源代碼，是否根據(jù)源代碼對軟件中

24、可能存在的后門進(jìn)行審查； b) 應(yīng)檢查是否具有需求分析說明書、軟件設(shè)計說明書、軟件操作手冊、軟件源代碼文檔等軟件開發(fā)文檔和使用指南； c) 應(yīng)檢查軟件源代碼審查記錄，查看是否包括對可能存在后門的審查結(jié)果。 如果a）-c）均為肯定，則信息系統(tǒng)符合本單元測評指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求。 通 過：不通過：不適用：*b) 應(yīng)在軟件安裝之前檢測軟件包中可能存在的惡意代碼；通 過：不通過：不適用：*c) 應(yīng)確保提供軟件設(shè)計的相關(guān)文檔和使用指南通 過：不通過：不適用：*d) 應(yīng)要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門通 過：不通過：不適用：*工程實施（G）6a)

25、 應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實施過程的管理a) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否有專門部門或人員負(fù)責(zé)工程實施管理工作，由何部門/何人負(fù)責(zé)，是否按照工程實施方案的要求對工程實施過程進(jìn)行進(jìn)度和質(zhì)量控制； b) 應(yīng)檢查工程實施方案，查看其是否包括工程時間限制、進(jìn)度控制和質(zhì)量控制等方面內(nèi)容。 如果a）和b）均為肯定，則信息系統(tǒng)符合本單元測評指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求。 通 過：不通過：不適用：*b) 應(yīng)制定詳細(xì)的工程實施方案，控制工程實施過程通 過：不通過：不適用：*測試驗收（G）7a) 應(yīng)對系統(tǒng)進(jìn)行安全性測試驗收；a) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問在信息系統(tǒng)建設(shè)

26、完成后是否對其進(jìn)行安全性測試驗收，是否根據(jù)設(shè)計方案或合同要求組織相關(guān)部門和人員對系統(tǒng)測試驗收報告進(jìn)行審定； b) 應(yīng)檢查工程測試驗收方案，查看其是否明確說明參與測試的部門、人員、測試驗收的內(nèi)容、現(xiàn)場操作過程等內(nèi)容； c) 應(yīng)檢查測試驗收記錄是否詳細(xì)記錄了測試時間、人員、現(xiàn)場操作過程和測試驗收結(jié)果等方面內(nèi)容； d) 應(yīng)檢查是否具有系統(tǒng)測試驗收報告，是否有對測試驗收報告的審定文檔，查看文檔是否有相關(guān)人員的審定意見。 如果a）-d）均為肯定，則信息系統(tǒng)符合本單元測評指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求。 通 過：不通過：不適用：*b) 在測試驗收前應(yīng)根據(jù)設(shè)計方案或合同要求等制訂

27、測試驗收方案，在測試驗收過程中應(yīng)詳細(xì)記錄測試驗收結(jié)果，并形成測試驗收報告通 過：不通過：不適用：*c) 應(yīng)組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗收報告進(jìn)行審定，并簽字確認(rèn)通 過：不通過：不適用：*系統(tǒng)交付（G）8a) 應(yīng)制定系統(tǒng)交付清單，并根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進(jìn)行清點； a) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問系統(tǒng)交接工作是否根據(jù)交付清單對所交接的設(shè)備、文檔、軟件等進(jìn)行清點； b) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問目前的信息系統(tǒng)是否由內(nèi)部人員獨立運行維護(hù)，如果是，系統(tǒng)正式運行前是否對運行維護(hù)人員進(jìn)行過培訓(xùn)，針對哪些方面進(jìn)行過培訓(xùn)； c) 應(yīng)檢查是否具有系統(tǒng)交付清單說明系統(tǒng)交付的各類設(shè)備、軟件

28、、文檔等； d) 應(yīng)檢查是否具有系統(tǒng)建設(shè)文檔、指導(dǎo)用戶進(jìn)行系統(tǒng)運維的文檔、系統(tǒng)培訓(xùn)手冊等； e) 應(yīng)檢查培訓(xùn)記錄，查看是否包括培訓(xùn)內(nèi)容、培訓(xùn)時間和參與人員等。 如果a）-e）均為肯定，則信息系統(tǒng)符合本單元測評指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求通 過：不通過：不適用：*b) 應(yīng)對負(fù)責(zé)系統(tǒng)運行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)；通 過：不通過：不適用：*c) 應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運行維護(hù)的文檔通 過：不通過：不適用：*安全服務(wù)商選擇（G）9a) 應(yīng)確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定；a) 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問信息系統(tǒng)選擇的安全服務(wù)商有哪些

29、，是否符合國家有關(guān)規(guī)定； b) 應(yīng)檢查是否具有與安全服務(wù)商簽訂的安全責(zé)任合同書或保密協(xié)議等文檔，查看其內(nèi)容是否包含保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等； c) 應(yīng)檢查是否具有與安全服務(wù)商簽訂的服務(wù)合同，查看是否包括服務(wù)內(nèi)容、服務(wù)期限、雙方簽字或蓋章等。 如果a）-c）均為肯定，則信息系統(tǒng)符合本單元測評指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求。 通 過：不通過：不適用：*測評人員（簽字）： 結(jié)果確認(rèn)（簽字）： 測評日期： 1.5系統(tǒng)運維管理類別序號測評項測評實施結(jié)果記錄符合情況結(jié)果情況記錄符合不符合環(huán)境管理（G）1a) 應(yīng)指定專門的部門或人員定期對機(jī)房供

30、配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理；a) 應(yīng)訪談系統(tǒng)運維負(fù)責(zé)人，詢問是否有專門的部門或人員對機(jī)房基礎(chǔ)設(shè)施進(jìn)行定期維護(hù)，由何部門或何人負(fù)責(zé)，維護(hù)周期多長，是否有機(jī)房管理員負(fù)責(zé)機(jī)房出入等環(huán)境安全管理工作； b) 應(yīng)訪談安全主管，詢問為保證辦公環(huán)境的保密性采取了哪些控制措施，在哪個區(qū)域接待來訪人員，工作人員調(diào)離時是否收回辦公室鑰匙等； c) 應(yīng)檢查機(jī)房安全管理制度，查看其內(nèi)容是否覆蓋機(jī)房物理訪問、物品帶進(jìn)和帶出機(jī)房和機(jī)房環(huán)境安全等方面； d) 應(yīng)檢查是否具有機(jī)房基礎(chǔ)設(shè)施維護(hù)記錄。 如果a）-d）均為肯定，則信息系統(tǒng)符合本單元測評指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求。 通

31、過：不通過：不適用：*b) 應(yīng)配備機(jī)房安全管理人員，對機(jī)房的出入、服務(wù)器的開機(jī)或關(guān)機(jī)等工作進(jìn)行管理；通 過：不通過：不適用：*c) 應(yīng)建立機(jī)房安全管理制度，對有關(guān)機(jī)房物理訪問，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理作出規(guī)定通 過：不通過：不適用：*d) 應(yīng)加強(qiáng)對辦公環(huán)境的保密性管理，包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙和不在辦公區(qū)接待來訪人員等通 過：不通過：不適用：*資產(chǎn)管理（G）2a) 應(yīng)編制與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容a) 應(yīng)訪談安全主管，詢問是否有資產(chǎn)管理的責(zé)任人員或部門，由何部門/何人負(fù)責(zé)； b) 應(yīng)檢查資產(chǎn)清單，查看其內(nèi)容是否覆

32、蓋資產(chǎn)責(zé)任部門、責(zé)任人、所處位置和重要程度等方面； c) 應(yīng)檢查資產(chǎn)安全管理制度，查看是否明確信息資產(chǎn)管理的責(zé)任部門、責(zé)任人，查看其內(nèi)容是否覆蓋資產(chǎn)使用、借用、維護(hù)等方面； 如果a）-c）均為肯定，則信息系統(tǒng)符合本單元測評指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求。 通 過：不通過：不適用：*b) 應(yīng)建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門，并規(guī)范資產(chǎn)管理和使用的行為通 過：不通過：不適用：*介質(zhì)管理（G）3a) 應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對各類介質(zhì)進(jìn)行控制和保護(hù)，并實行存儲環(huán)境專人管理；a) 應(yīng)訪談資產(chǎn)管理員，詢問介質(zhì)的存放環(huán)境是否采取保護(hù)措施防止介

33、質(zhì)被盜、被毀、介質(zhì)內(nèi)存儲信息被未授權(quán)修改以及非法泄漏等，是否有專人管理； b) 應(yīng)訪談資產(chǎn)管理員，詢問是否根據(jù)介質(zhì)的目錄清單對介質(zhì)的使用現(xiàn)狀進(jìn)行定期檢查，是否對介質(zhì)進(jìn)行分類和標(biāo)識管理； c) 應(yīng)訪談資產(chǎn)管理員，詢問對送出維修或銷毀的介質(zhì)在送出之前是否對介質(zhì)內(nèi)存儲數(shù)據(jù)進(jìn)行凈化處理； d) 應(yīng)檢查介質(zhì)管理記錄，查看其是否記錄介質(zhì)的歸檔、查詢和借用等情況； e) 應(yīng)檢查介質(zhì)，查看是否對其進(jìn)行了分類，并具有不同標(biāo)識。 如果a）中在防火、防水、防盜等方面均有措施并有介質(zhì)管理員，則該項為肯定； 如果a）-e）均為肯定，則信息系統(tǒng)符合本單元測評指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求。 通

34、 過：不通過：不適用：*b) 應(yīng)對介質(zhì)歸檔和查詢等過程進(jìn)行記錄，并根據(jù)存檔介質(zhì)的目錄清單定期盤點通 過：不通過：不適用：*c) 應(yīng)對需要送出維修或銷毀的介質(zhì)，首先清除其中的敏感數(shù)據(jù)，防止信息的非法泄漏；通 過：不通過：不適用：*d) 應(yīng)根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進(jìn)行分類和標(biāo)識管理通 過：不通過：不適用：*設(shè)備管理（G）4a) 應(yīng)對信息系統(tǒng)相關(guān)的各種設(shè)備（包括備份和冗余設(shè)備）、線路等指定專門的部門或人員定期進(jìn)行維護(hù)管理；a) 應(yīng)訪談資產(chǎn)管理員，詢問是否有專門的部門或人員對各種設(shè)備、線路進(jìn)行定期維護(hù)，對各類測試工具進(jìn)行有效性檢查，由何部門/何人負(fù)責(zé)，維護(hù)周期多長； b) 應(yīng)訪談資產(chǎn)管理員

35、，詢問是否對設(shè)備選用的各個環(huán)節(jié)（選型、采購、發(fā)放和領(lǐng)用及信息處理設(shè)備帶離機(jī)構(gòu)等）進(jìn)行審批控制； c) 應(yīng)訪談安全審計員，詢問對關(guān)鍵設(shè)備（包括備份和冗余設(shè)備）的操作是否建立日志，日志文件如何管理，是否定期檢查管理情況； d) 應(yīng)檢查設(shè)備安全管理制度，查看其內(nèi)容是否明確對各種軟硬件設(shè)備的選型、采購、發(fā)放和領(lǐng)用以及帶離機(jī)構(gòu)等環(huán)節(jié)進(jìn)行申報和審批； e) 應(yīng)檢查設(shè)備使用管理文檔，查看其內(nèi)容是否覆蓋終端計算機(jī)、便攜機(jī)和網(wǎng)絡(luò)設(shè)備等使用、操作原則、注意事項等方面； f) 應(yīng)檢查關(guān)鍵設(shè)備（包括備份和冗余設(shè)備）的操作規(guī)程，查看其內(nèi)容是否覆蓋服務(wù)器如何啟動、停止、加電、斷電等操作。 如果a）-f）均為肯定，則信息系

36、統(tǒng)符合本單元測評指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求。 通 過：不通過：不適用：*b) 應(yīng)建立基于申報、審批和專人負(fù)責(zé)的設(shè)備安全管理制度，對信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購、發(fā)放和領(lǐng)用等過程進(jìn)行規(guī)范化管理通 過：不通過：不適用：*c) 應(yīng)對終端計算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理，按操作規(guī)程實現(xiàn)關(guān)鍵設(shè)備（包括備份和冗余設(shè)備）的啟動/停止、加電/斷電等操作；通 過：不通過：不適用：*d) 應(yīng)確保信息處理設(shè)備必須經(jīng)過審批才能帶離機(jī)房或辦公地點通 過：不通過：不適用：*網(wǎng)絡(luò)安全管理（G）5a) 應(yīng)指定人員對網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運行日志、網(wǎng)絡(luò)監(jiān)控記

37、錄的日常維護(hù)和報警信息分析和處理工作；a) 應(yīng)訪談安全主管，詢問是否指定人員負(fù)責(zé)維護(hù)網(wǎng)絡(luò)運行日志、監(jiān)控記錄和分析處理報警信息等網(wǎng)絡(luò)安全管理工作，網(wǎng)絡(luò)的外聯(lián)種類有哪些，是否都得到授權(quán)與批準(zhǔn)，由何部門或何人批準(zhǔn)； b) 應(yīng)訪談網(wǎng)絡(luò)管理員，詢問是否根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進(jìn)行過升級，目前的版本號為多少，升級前是否對重要文件進(jìn)行備份，采取什么方式備份； c) 應(yīng)訪談安全管理員，詢問是否定期對網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞掃描，掃描周期多長，發(fā)現(xiàn)漏洞是否及時修補； d) 應(yīng)檢查網(wǎng)絡(luò)漏洞掃描報告，查看其內(nèi)容是否包含網(wǎng)絡(luò)存在的漏洞、嚴(yán)重級別和結(jié)果處理等方面，檢查掃描時間間隔與掃描周期是否一致； e) 應(yīng)檢查網(wǎng)

38、絡(luò)安全管理制度，查看其是否覆蓋網(wǎng)絡(luò)安全配置、安全策略、升級與打補丁、授權(quán)訪問、日志保存時間、口令更新周期等方面內(nèi)容； f) 應(yīng)檢查是否具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書； g) 應(yīng)檢查是否具有網(wǎng)絡(luò)設(shè)備配置文件的備份文件； h) 應(yīng)檢查是否具有網(wǎng)絡(luò)審計日志，檢查日志是否在規(guī)定的保存時間范圍內(nèi)。 如果a）-h）均為肯定，則信息系統(tǒng)符合本單元測評指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求通 過：不通過：不適用：*b) 應(yīng)建立網(wǎng)絡(luò)安全管理制度，對網(wǎng)絡(luò)安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出規(guī)定；通 過：不通過：不適用：*c) 應(yīng)根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)

39、備進(jìn)行更新，并在更新前對現(xiàn)有的重要文件進(jìn)行備份；通 過：不通過：不適用：*d) 應(yīng)定期進(jìn)行網(wǎng)絡(luò)系統(tǒng)漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時的修補通 過：不通過：不適用：*e) 應(yīng)對網(wǎng)絡(luò)設(shè)備的配置文件進(jìn)行定期備份；通 過：不通過：不適用：*f) 應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)通 過：不通過：不適用：*系統(tǒng)安全管理（G）6a) 應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略；a) 應(yīng)訪談系統(tǒng)管理員，詢問是否根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析制定系統(tǒng)的訪問控制策略，控制分配信息系統(tǒng)、文件及服務(wù)的訪問權(quán)限； b) 應(yīng)訪談系統(tǒng)管理員，詢問是否定期對系統(tǒng)安裝安全補丁程序，在安裝系統(tǒng)補丁前是否對重

40、要文件進(jìn)行備份，采取什么方式進(jìn)行，是否先在測試環(huán)境中測試通過再安裝； c) 應(yīng)訪談安全管理員，詢問是否定期對系統(tǒng)進(jìn)行漏洞掃描，掃描周期多長，發(fā)現(xiàn)漏洞是否及時修補； d) 應(yīng)檢查系統(tǒng)安全管理制度，查看其內(nèi)容是否覆蓋系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面； e) 應(yīng)檢查是否有詳細(xì)操作日志（包括重要的日常操作、運行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容）； f) 應(yīng)檢查是否有定期對運行日志和審計結(jié)果進(jìn)行分析的記錄； g) 應(yīng)檢查系統(tǒng)漏洞掃描報告，查看其內(nèi)容是否包含系統(tǒng)存在的漏洞、嚴(yán)重級別和結(jié)果處理等方面，檢查掃描時間間隔與掃描周期是否一致。 如果a）-g）均為肯定，則信息系統(tǒng)符合本單元測評指

41、標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求。 通 過：不通過：不適用：*b) 應(yīng)定期進(jìn)行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞進(jìn)行及時的修補；通 過：不通過：不適用：*c) 應(yīng)安裝系統(tǒng)的最新補丁程序，在安裝系統(tǒng)補丁前，應(yīng)首先在測試環(huán)境中測試通過，并對重要文件進(jìn)行備份后，方可實施系統(tǒng)補丁程序的安裝； 通 過：不通過：不適用：*d) 應(yīng)建立系統(tǒng)安全管理制度，對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出規(guī)定；通 過：不通過：不適用：*e) 應(yīng)依據(jù)操作手冊對系統(tǒng)進(jìn)行維護(hù)，詳細(xì)記錄操作日志，包括重要的日常操作、運行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容，嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作；通 過：不通

42、過：不適用：*f) 應(yīng)定期對運行日志和審計數(shù)據(jù)進(jìn)行分析，以便及時發(fā)現(xiàn)異常行為通 過：不通過：不適用：*惡意代碼防范管理（G）7a) 應(yīng)提高所有用戶的防病毒意識，告知及時升級防病毒軟件，在讀取移動存儲設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前，先進(jìn)行病毒檢查，對外來計算機(jī)或存儲設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)行病毒檢查a) 應(yīng)訪談系統(tǒng)運維負(fù)責(zé)人，詢問是否對員工進(jìn)行基本惡意代碼防范意識的教育，是否告知應(yīng)及時升級軟件版本，使用外來設(shè)備、網(wǎng)絡(luò)上接收文件和外來計算機(jī)或存儲設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前進(jìn)行病毒檢查等； b) 應(yīng)訪談系統(tǒng)運維負(fù)責(zé)人，詢問是否指定專人對惡意代碼進(jìn)行檢測，發(fā)現(xiàn)病毒后是否及時處理； c) 應(yīng)檢查惡

43、意代碼防范管理文檔，查看其內(nèi)容是否覆蓋防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報等方面； d) 應(yīng)檢查是否具有惡意代碼檢測記錄。 如果a）-d）均為肯定，則信息系統(tǒng)符合本單元測評指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求。 通 過：不通過：不適用：*b) 應(yīng)指定專人對網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測并保存檢測記錄；通 過：不通過：不適用：*c) 應(yīng)對防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報等作出明確規(guī)定通 過：不通過：不適用：*密碼管理（G）8a) 應(yīng)使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品a)應(yīng)訪談安全管理員，詢問密碼技術(shù)和產(chǎn)品的使用是否遵照國家密碼管理規(guī)定。 如

44、果a)為肯定，則信息系統(tǒng)符合本單元測評指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求。 通 過：不通過：不適用：*變更管理（G）9a) 應(yīng)確認(rèn)系統(tǒng)中要發(fā)生的重要變更，并制定相應(yīng)的變更方案；a) 應(yīng)訪談系統(tǒng)運維負(fù)責(zé)人，詢問是否制定變更方案指導(dǎo)系統(tǒng)執(zhí)行變更； b) 應(yīng)訪談系統(tǒng)運維負(fù)責(zé)人，詢問重要系統(tǒng)變更前是否得到有關(guān)領(lǐng)導(dǎo)的批準(zhǔn)，由何人批準(zhǔn)，對發(fā)生的變更情況是否通知了所有相關(guān)人員，以何種方式通知； c) 應(yīng)檢查系統(tǒng)變更方案，查看其是否覆蓋變更類型、變更原因、變更過程、變更前評估等方面內(nèi)容； d) 應(yīng)檢查重要系統(tǒng)的變更申請書，查看其是否有主管領(lǐng)導(dǎo)的批準(zhǔn)簽字。 如果a）-d）均為肯定，則信息系統(tǒng)符合本單元測評指標(biāo)要求，否則，信息系統(tǒng)不符合或部分符合本單元測評指標(biāo)要求通 過：不通過