等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目測(cè)評(píng)方案（售前）-2級(jí)和3級(jí)標(biāo)準(zhǔn)-

1、信息安全等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目測(cè)評(píng)方案廣州華南信息安全測(cè)評(píng)中心二一六年目錄第一章概述 (3第二章測(cè)評(píng)基本原則 (4一、客觀性和公正性原則 (4二、經(jīng)濟(jì)性和可重用性原則 (4三、可重復(fù)性和可再現(xiàn)性原則 (4四、結(jié)果完善性原則 (4第三章測(cè)評(píng)安全目標(biāo)(2級(jí) (5一、技術(shù)目標(biāo) (5二、管理目標(biāo) (6第四章測(cè)評(píng)內(nèi)容 (9一、資料審查 (10二、核查測(cè)試 (10三、綜合評(píng)估 (10第五章項(xiàng)目實(shí)施 (12一、實(shí)施流程 (12二、測(cè)評(píng)工具 (132.1 調(diào)查問(wèn)卷 (132.2 系統(tǒng)安全性技術(shù)檢查工具 (132.3 測(cè)評(píng)工具使用原則 (13三、測(cè)評(píng)方法 (14第六章項(xiàng)目管理 (15一、項(xiàng)目組織計(jì)劃 (15二、項(xiàng)目成

2、員組成與職責(zé)劃分 (15三、項(xiàng)目溝通 (163.1 日常溝通,記錄和備忘錄 (163.2 報(bào)告 (163.3 正式會(huì)議 (16第七章附錄:等級(jí)保護(hù)評(píng)測(cè)準(zhǔn)則 (19一、信息系統(tǒng)安全等級(jí)保護(hù)2級(jí)測(cè)評(píng)準(zhǔn)則 (191.1 基本要求 (191.2 評(píng)估測(cè)評(píng)準(zhǔn)則 (31二、信息系統(tǒng)安全等級(jí)保護(hù)3級(jí)測(cè)評(píng)準(zhǔn)則 (88基本要求 (88評(píng)估測(cè)評(píng)準(zhǔn)則 (108第一章概述2003年中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)了國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)(中辦發(fā)200327號(hào)以及2004年9月四部委局聯(lián)合簽發(fā)的關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)等信息安全等級(jí)保護(hù)的文件明確指出,“要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安

3、全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng),抓緊建立信息安全等級(jí)保護(hù)制度,制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南?！?009年4月廣東省公安廳、省保密局、密碼管理局和省信息化工作領(lǐng)導(dǎo)小組聯(lián)合發(fā)文廣東省深化信息安全等級(jí)保護(hù)工作方案(粵公通字200945號(hào)中又再次指出,“通過(guò)深化信息安全等級(jí)保護(hù),全面推動(dòng)重要信息系統(tǒng)安全整改和測(cè)評(píng)工作,增強(qiáng)信息系統(tǒng)安全保護(hù)的整體性、針對(duì)性和實(shí)效性,使信息系統(tǒng)安全建設(shè)更加突出重點(diǎn)、統(tǒng)一規(guī)范、科學(xué)合理,提高信息安全保障能力,維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益,保障和促進(jìn)信息化建設(shè)”。由此可見(jiàn),等級(jí)保護(hù)測(cè)評(píng)和等級(jí)保護(hù)安全整改工作已經(jīng)迫在眉睫。第二章測(cè)評(píng)基本原則一、客觀性

4、和公正性原則雖然測(cè)評(píng)工作不能完全擺脫個(gè)人主張或判斷,但測(cè)評(píng)人員應(yīng)當(dāng)沒(méi)有偏見(jiàn),在最小主觀判斷情形下,按照測(cè)評(píng)雙方相互認(rèn)可的測(cè)評(píng)方案,基于明確定義的測(cè)評(píng)方式和解釋,實(shí)施測(cè)評(píng)活動(dòng)。二、經(jīng)濟(jì)性和可重用性原則基于測(cè)評(píng)成本和工作復(fù)雜性考慮,鼓勵(lì)測(cè)評(píng)工作重用以前的測(cè)評(píng)結(jié)果,包括商業(yè)安全產(chǎn)品測(cè)評(píng)結(jié)果和信息系統(tǒng)先前的安全測(cè)評(píng)結(jié)果。所有重用的結(jié)果,都應(yīng)基于結(jié)果適用于目前的系統(tǒng),并且能夠反映出目前系統(tǒng)的安全狀態(tài)基礎(chǔ)之上。三、可重復(fù)性和可再現(xiàn)性原則不論誰(shuí)執(zhí)行測(cè)評(píng),依照同樣的要求,使用同樣的測(cè)評(píng)方式,對(duì)每個(gè)測(cè)評(píng)實(shí)施過(guò)程的重復(fù)執(zhí)行應(yīng)該得到同樣的結(jié)果?？稍佻F(xiàn)性和可重復(fù)性的區(qū)別在于,前者與不同測(cè)評(píng)者測(cè)評(píng)結(jié)果的一致性有關(guān),后者

5、與同一測(cè)評(píng)者測(cè)評(píng)結(jié)果的一致性有關(guān)。四、結(jié)果完善性原則測(cè)評(píng)所產(chǎn)生的結(jié)果應(yīng)當(dāng)證明是良好的判斷和對(duì)測(cè)評(píng)項(xiàng)的正確理解。測(cè)評(píng)過(guò)程和結(jié)果應(yīng)當(dāng)服從正確的測(cè)評(píng)方法以確保其滿足了測(cè)評(píng)項(xiàng)的要求。第三章測(cè)評(píng)安全目標(biāo)(2級(jí)一、技術(shù)目標(biāo)O2-1. 應(yīng)具有抵抗一般強(qiáng)度地震、臺(tái)風(fēng)等自然災(zāi)難造成破壞的能力O2-2. 應(yīng)具有控制接觸重要設(shè)備、介質(zhì)的能力O2-3. 應(yīng)具有對(duì)通信線路進(jìn)行物理保護(hù)的能力O2-4. 應(yīng)具有控制機(jī)房進(jìn)出的能力O2-5. 應(yīng)具有防止設(shè)備、介質(zhì)等丟失的能力O2-6. 應(yīng)具有控制機(jī)房?jī)?nèi)人員活動(dòng)的能力O2-7. 應(yīng)具有防止雷擊事件導(dǎo)致重要設(shè)備被破壞的能力O2-8. 應(yīng)具有滅火的能力O2-9. 應(yīng)具有檢測(cè)火災(zāi)和報(bào)

6、警的能力O2-10. 應(yīng)具有防水和防潮的能力O2-11. 應(yīng)具有防止靜電導(dǎo)致重要設(shè)備被破壞的能力O2-12. 應(yīng)具有溫濕度自動(dòng)檢測(cè)和控制的能力O2-13. 應(yīng)具有防止電壓波動(dòng)的能力O2-14. 應(yīng)具有對(duì)抗短時(shí)間斷電的能力O2-15. 具有基本的抗電磁干擾能力O2-16. 應(yīng)具有限制網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)資源使用的能力O2-17. 應(yīng)具有能夠檢測(cè)對(duì)網(wǎng)絡(luò)的各種攻擊并記錄其活動(dòng)的能力O2-18. 應(yīng)具有網(wǎng)絡(luò)邊界完整性檢測(cè)能力O2-19. 應(yīng)具有對(duì)傳輸和存儲(chǔ)數(shù)據(jù)進(jìn)行完整性檢測(cè)的能力O2-20. 應(yīng)具有對(duì)硬件故障產(chǎn)品進(jìn)行替換的能力O2-21. 應(yīng)具有系統(tǒng)軟件、應(yīng)用軟件容錯(cuò)的能力O2-22. 應(yīng)具有軟件

7、故障分析的能力O2-23. 應(yīng)具有合理使用和控制系統(tǒng)資源的能力O2-24. 應(yīng)具有記錄用戶操作行為的能力O2-25. 應(yīng)具有對(duì)用戶的誤操作行為進(jìn)行檢測(cè)和報(bào)警的能力O2-26. 應(yīng)具有對(duì)傳輸和存儲(chǔ)中的信息進(jìn)行保密性保護(hù)的能力O2-27. 應(yīng)具有發(fā)現(xiàn)所有已知漏洞并及時(shí)修補(bǔ)的能力O2-28. 應(yīng)具有對(duì)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問(wèn)進(jìn)行控制的能力O2-29. 應(yīng)具有對(duì)數(shù)據(jù)、文件或其他資源的訪問(wèn)進(jìn)行控制的能力O2-30. 應(yīng)具有對(duì)資源訪問(wèn)的行為進(jìn)行記錄的能力O2-31. 應(yīng)具有對(duì)用戶進(jìn)行唯一標(biāo)識(shí)的能力O2-32. 應(yīng)具有對(duì)用戶產(chǎn)生復(fù)雜鑒別信息并進(jìn)行鑒別的能力O2-33. 應(yīng)具有對(duì)惡意代碼的檢測(cè)、阻止和清除能力O

8、2-34. 應(yīng)具有防止惡意代碼在網(wǎng)絡(luò)中擴(kuò)散的能力O2-35. 應(yīng)具有對(duì)惡意代碼庫(kù)和搜索引擎及時(shí)更新的能力O2-36. 應(yīng)具有保證鑒別數(shù)據(jù)傳輸和存儲(chǔ)保密性的能力O2-37. 應(yīng)具有對(duì)存儲(chǔ)介質(zhì)中的殘余信息進(jìn)行刪除的能力O2-38. 應(yīng)具有非活動(dòng)狀態(tài)一段時(shí)間后自動(dòng)切斷連接的能力O2-39. 應(yīng)具有重要數(shù)據(jù)恢復(fù)的能力二、管理目標(biāo)O2-40. 應(yīng)確保建立了安全職能部門,配備了安全管理人員,支持信息安全管理工作O2-41. 應(yīng)確保配備了足夠數(shù)量的管理人員,對(duì)系統(tǒng)進(jìn)行運(yùn)行維護(hù)O2-42. 應(yīng)確保對(duì)主要的管理活動(dòng)進(jìn)行了制度化管理O2-43. 應(yīng)確保建立并不斷完善、健全安全管理制度O2-44. 應(yīng)確保能協(xié)調(diào)信息

9、安全工作在各功能部門的實(shí)施O2-45. 應(yīng)確保能控制信息安全相關(guān)事件的授權(quán)與審批O2-46. 應(yīng)確保建立恰當(dāng)可靠的聯(lián)絡(luò)渠道,以便安全事件發(fā)生時(shí)能得到支持O2-47. 應(yīng)確保對(duì)人員的行為進(jìn)行控制O2-48. 應(yīng)確保對(duì)人員的管理活動(dòng)進(jìn)行了指導(dǎo)O2-49. 應(yīng)確保安全策略的正確性和安全措施的合理性O(shè)2-50. 應(yīng)確保對(duì)信息系統(tǒng)進(jìn)行合理定級(jí)O2-51. 應(yīng)確保安全產(chǎn)品的可信度和產(chǎn)品質(zhì)量O2-52. 應(yīng)確保自行開(kāi)發(fā)過(guò)程和工程實(shí)施過(guò)程中的安全O2-53. 應(yīng)確保能順利地接管和維護(hù)信息系統(tǒng)O2-54. 應(yīng)確保安全工程的實(shí)施質(zhì)量和安全功能的準(zhǔn)確實(shí)現(xiàn)O2-55. 應(yīng)確保機(jī)房具有良好的運(yùn)行環(huán)境O2-56. 應(yīng)確保

10、對(duì)信息資產(chǎn)進(jìn)行標(biāo)識(shí)管理O2-57. 應(yīng)確保對(duì)各種軟硬件設(shè)備的選型、采購(gòu)、發(fā)放、使用和保管等過(guò)程進(jìn)行控制O2-58. 應(yīng)確保各種網(wǎng)絡(luò)設(shè)備、服務(wù)器正確使用和維護(hù)O2-59. 應(yīng)確保對(duì)網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用系統(tǒng)進(jìn)行安全管理O2-60. 應(yīng)確保用戶具有鑒別信息使用的安全意識(shí)O2-61. 應(yīng)確保定期地對(duì)通信線路進(jìn)行檢查和維護(hù)O2-62. 應(yīng)確保硬件設(shè)備、存儲(chǔ)介質(zhì)存放環(huán)境安全,并對(duì)其的使用進(jìn)行控制和保護(hù)O2-63. 應(yīng)確保對(duì)支撐設(shè)施、硬件設(shè)備、存儲(chǔ)介質(zhì)進(jìn)行日常維護(hù)和管理O2-64. 應(yīng)確保系統(tǒng)中使用的硬件、軟件產(chǎn)品的質(zhì)量O2-65. 應(yīng)確保各類人員具有與其崗位相適應(yīng)的技術(shù)能力O2-66. 應(yīng)

11、確保對(duì)各類人員進(jìn)行相關(guān)的技術(shù)培訓(xùn)O2-67. 應(yīng)確保提供的足夠的使用手冊(cè)、維護(hù)指南等資料O2-68. 應(yīng)確保內(nèi)部人員具有安全方面的常識(shí)和意識(shí)O2-69. 應(yīng)確保具有設(shè)計(jì)合理、安全網(wǎng)絡(luò)結(jié)構(gòu)的能力O2-70. 應(yīng)確保密碼算法和密鑰的使用符合國(guó)家有關(guān)法律、法規(guī)的規(guī)定O2-71. 應(yīng)確保任何變更控制和設(shè)備重用要申報(bào)和審批,并對(duì)其實(shí)行制度化的管理O2-72. 應(yīng)確保在事件發(fā)生后能采取積極、有效的應(yīng)急策略和措施O2-73. 應(yīng)確保信息安全事件實(shí)行分等級(jí)響應(yīng)、處置第四章測(cè)評(píng)內(nèi)容當(dāng)根據(jù)信息系統(tǒng)的業(yè)務(wù)重要性及其他相關(guān)因素對(duì)信息系統(tǒng)進(jìn)行劃分,確定了信息系統(tǒng)的安全保護(hù)等級(jí)后,需要了解不同級(jí)別的信息系統(tǒng)或子系統(tǒng)當(dāng)前的

12、安全保護(hù)與相應(yīng)等級(jí)的安全保護(hù)基本要求之間存在的差距,這種差距是一種安全需求,是進(jìn)行安全方案設(shè)計(jì)的基礎(chǔ)。傳統(tǒng)的安全需求分析方法有很多,如風(fēng)險(xiǎn)分析法,但是作為了解信息系統(tǒng)或子系統(tǒng)當(dāng)前的安全保護(hù)狀況與相應(yīng)等級(jí)的安全保護(hù)基本要求之間存在的差距的簡(jiǎn)便方法,莫過(guò)于等級(jí)評(píng)估測(cè)評(píng)法?；顒?dòng)目標(biāo):本活動(dòng)的目標(biāo)是通過(guò)信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)對(duì)已經(jīng)完成等級(jí)保護(hù)建設(shè)的信息系統(tǒng)定期進(jìn)行等級(jí)測(cè)評(píng),確保信息系統(tǒng)的安全保護(hù)措施符合相應(yīng)等級(jí)的安全要求。參與角色:甲方廣州華南信息安全測(cè)評(píng)中心活動(dòng)輸入:信息系統(tǒng)詳細(xì)描述文件,信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告,信息系統(tǒng)測(cè)評(píng)計(jì)劃,信息系統(tǒng)測(cè)評(píng)方案。活動(dòng)描述:參見(jiàn)有關(guān)信息系統(tǒng)安全保護(hù)等級(jí)測(cè)評(píng)的規(guī)范

13、或標(biāo)準(zhǔn)。活動(dòng)輸出:安全等級(jí)測(cè)評(píng)評(píng)估報(bào)告。信息系統(tǒng)安全測(cè)評(píng)包括資料審查、核查測(cè)試、綜合評(píng)估如下三個(gè)部分內(nèi)容:一、資料審查a測(cè)評(píng)機(jī)構(gòu)接受用戶提供的測(cè)評(píng)委托書(shū)和測(cè)評(píng)資料;b測(cè)評(píng)機(jī)構(gòu)對(duì)用戶提供的測(cè)評(píng)委托書(shū)和測(cè)評(píng)資料進(jìn)行形式化審查,判斷是否需要補(bǔ)充相關(guān)資料;二、核查測(cè)試a測(cè)評(píng)機(jī)構(gòu)依據(jù)用戶提供的資料、評(píng)估機(jī)構(gòu)實(shí)地調(diào)研資料及定級(jí)報(bào)告等,制定系統(tǒng)安全評(píng)估測(cè)評(píng)計(jì)劃;b依據(jù)系統(tǒng)安全測(cè)評(píng)計(jì)劃制定系統(tǒng)安全評(píng)估測(cè)評(píng)方案;c依據(jù)系統(tǒng)安全測(cè)評(píng)方案實(shí)施現(xiàn)場(chǎng)核查測(cè)試;d對(duì)核查測(cè)試結(jié)果進(jìn)行數(shù)據(jù)整理記錄,并形成核查測(cè)試報(bào)告。三、綜合評(píng)估a對(duì)用戶資料,評(píng)估機(jī)構(gòu)實(shí)地調(diào)研資料和測(cè)試報(bào)告進(jìn)行綜合分析,形成分析意見(jiàn);b就分析意見(jiàn)與用戶溝通確

14、認(rèn),最終形成系統(tǒng)安全測(cè)評(píng)綜合評(píng)估報(bào)告;c對(duì)系統(tǒng)安全測(cè)評(píng)綜合評(píng)估報(bào)告進(jìn)行審定;d出具最終信息系統(tǒng)安全測(cè)評(píng)綜合評(píng)估報(bào)告測(cè)評(píng)數(shù)據(jù)處理a對(duì)信息系統(tǒng)現(xiàn)場(chǎng)核查記錄進(jìn)行匯總分析,完成信息系統(tǒng)現(xiàn)場(chǎng)核查報(bào)告;b對(duì)系統(tǒng)安全性測(cè)評(píng)過(guò)程得到的被測(cè)單位提供的申請(qǐng)資料、方案的形式化審查報(bào)告、信息系統(tǒng)現(xiàn);c場(chǎng)核查記錄、現(xiàn)場(chǎng)核查報(bào)告以及測(cè)試過(guò)程中所有的書(shū)面記錄,經(jīng)分析整理后,形成信息系統(tǒng)安全測(cè)評(píng)綜合評(píng)估報(bào)告;d系統(tǒng)安全性測(cè)評(píng)過(guò)程所產(chǎn)生的全部數(shù)據(jù)、記錄、資料應(yīng)歸檔管理;e系統(tǒng)安全性測(cè)評(píng)過(guò)程所產(chǎn)生的全部數(shù)據(jù)、記錄、資料不得以任何方式向第三方透露;f系統(tǒng)安全性測(cè)評(píng)過(guò)程所產(chǎn)生的全部數(shù)據(jù)、記錄、資料的處置應(yīng)符合相關(guān)法令法規(guī)的規(guī)定。測(cè)評(píng)

15、結(jié)論a信息系統(tǒng)經(jīng)測(cè)評(píng)機(jī)構(gòu)安全測(cè)評(píng)后,向被測(cè)評(píng)單位出具信息系統(tǒng)安全測(cè)評(píng)綜合評(píng)估報(bào)告;b信息系統(tǒng)安全測(cè)評(píng)綜合評(píng)估報(bào)告是客觀反映被測(cè)單位信息系統(tǒng)在管理方面及技術(shù)方面的安全狀況,其中包括了信息系統(tǒng)在安全性方面存在的漏洞、潛在的風(fēng)險(xiǎn)以及相應(yīng)的建議性改進(jìn)意見(jiàn)。第五章項(xiàng)目實(shí)施一、實(shí)施流程 二、測(cè)評(píng)工具2.1 調(diào)查問(wèn)卷調(diào)查問(wèn)卷是現(xiàn)場(chǎng)核查的方法之一。調(diào)查問(wèn)卷根據(jù)本規(guī)范制定,其調(diào)查內(nèi)容應(yīng)涵蓋被測(cè)信息系統(tǒng)的各個(gè)方面,利用調(diào)查問(wèn)卷對(duì)系統(tǒng)安全技術(shù)、安全管理措施等進(jìn)行逐項(xiàng)審核,將調(diào)查結(jié)果記錄在相應(yīng)的問(wèn)卷上,供現(xiàn)場(chǎng)核查分析之用。2.2 系統(tǒng)安全性技術(shù)檢查工具典型的系統(tǒng)安全性技術(shù)檢查工具有以下幾種:aWeb應(yīng)用安全掃描器:主

16、要掃描Web應(yīng)用安全中存在的危險(xiǎn)函數(shù)調(diào)用、軟件陷門;b基于主機(jī)的掃描器:檢測(cè)主機(jī)操作系統(tǒng)中與系統(tǒng)密切相關(guān)的安裝配置問(wèn)題及其他系統(tǒng)目標(biāo)的安全策略漏洞情況;c基于網(wǎng)絡(luò)的掃描器:通過(guò)網(wǎng)絡(luò)掃描確定系統(tǒng)的狀態(tài)及收集信息,判斷網(wǎng)絡(luò)中是否存在安全隱患。例如操作系統(tǒng)類型、開(kāi)放的端口及服務(wù)、安全漏洞及木馬程序等。檢測(cè)范圍包括所有的信息系設(shè)備:服務(wù)器、防火墻、交換機(jī)、路由器等網(wǎng)絡(luò)中所有設(shè)備;d網(wǎng)絡(luò)協(xié)議分析儀:分析信息系統(tǒng)傳輸數(shù)據(jù)流,檢測(cè)信息系統(tǒng)異?，F(xiàn)象;e入侵檢測(cè)工具:分析系統(tǒng)外部或內(nèi)部的入侵行為及其行為特征(根據(jù)用戶需求;f其它檢查工具。2.3 測(cè)評(píng)工具使用原則a根據(jù)信息系統(tǒng)安全要求配置測(cè)評(píng)工具,選擇適用的、針

17、對(duì)性強(qiáng)的測(cè)評(píng)工具;b應(yīng)優(yōu)先選用性能較好,由國(guó)內(nèi)開(kāi)發(fā)的測(cè)評(píng)工具或經(jīng)過(guò)測(cè)評(píng)認(rèn)證確認(rèn)安全的測(cè)評(píng)工具;c對(duì)已經(jīng)投入運(yùn)行的系統(tǒng)不得使用攻擊性測(cè)試工具,防止系統(tǒng)崩潰造成不必要的損失;d使用攻擊性測(cè)試工具要經(jīng)過(guò)被測(cè)評(píng)用戶授權(quán)。三、測(cè)評(píng)方法 圖6.1 測(cè)評(píng)流程在整個(gè)項(xiàng)目過(guò)程中,我中心將在不同階段派遣不同人員參與項(xiàng)目,主要包括以下幾個(gè)角色:管理人員,項(xiàng)目啟動(dòng)會(huì)、計(jì)劃、監(jiān)督、協(xié)調(diào)組織項(xiàng)目驗(yàn)收等管理性工作。安全工程師,會(huì)議、座談、現(xiàn)場(chǎng)走訪、問(wèn)卷調(diào)查、調(diào)查和收集現(xiàn)有單位相關(guān)材料。咨詢師,交流安全需求、安全策略分析、網(wǎng)絡(luò)規(guī)劃、安全建議。攻防人員,使用專業(yè)工具進(jìn)行技術(shù)類指標(biāo)的評(píng)定,對(duì)指標(biāo)驗(yàn)證后提出建議。文檔人員,整理文檔

18、、書(shū)寫(xiě)報(bào)告。第六章項(xiàng)目管理一、項(xiàng)目組織計(jì)劃根據(jù)我方在多個(gè)大型安全服務(wù)工程項(xiàng)目實(shí)施中總結(jié)的實(shí)踐經(jīng)驗(yàn),為保證整個(gè)工程的順利實(shí)施,建議將系統(tǒng)實(shí)施的組織機(jī)構(gòu)進(jìn)行如下劃分:項(xiàng)目管理層主要由我方和貴方高層管理人員組成,他們主要完成整個(gè)評(píng)估測(cè)評(píng)過(guò)程的規(guī)劃,管理和控制整個(gè)測(cè)評(píng)項(xiàng)目的實(shí)施過(guò)程和進(jìn)度;項(xiàng)目實(shí)施層主要由本中心的中層技術(shù)管理人員(部門經(jīng)理和技術(shù)實(shí)施人員(技術(shù)文檔編寫(xiě)部、項(xiàng)目實(shí)施部、風(fēng)險(xiǎn)評(píng)估部完成評(píng)估計(jì)劃,評(píng)估方案,現(xiàn)場(chǎng)測(cè)評(píng)等過(guò)程;用戶應(yīng)派技術(shù)人員參與項(xiàng)目實(shí)施。二、項(xiàng)目成員組成與職責(zé)劃分 三、項(xiàng)目溝通在本項(xiàng)目中,將采用一些正規(guī)的項(xiàng)目溝通程序,保證參與項(xiàng)目的各方能夠保持對(duì)項(xiàng)目的了解和支持。這些管理和溝通措

19、施將對(duì)項(xiàng)目過(guò)程的質(zhì)量和結(jié)果的質(zhì)量具有重要的作用。主要有以下幾種方式:3.1 日常溝通,記錄和備忘錄鼓勵(lì)項(xiàng)目參加各方在項(xiàng)目進(jìn)行過(guò)程中隨時(shí)對(duì)相關(guān)問(wèn)題進(jìn)行溝通。所有重要的、有主題的日常溝通活動(dòng)都應(yīng)留下記錄或形成備忘錄。日常溝通的主要渠道包括:非正式會(huì)議電話電子郵件傳真等。3.2 報(bào)告各種報(bào)告是項(xiàng)目各方互相溝通的最正式的渠道和證據(jù)。一些必備的項(xiàng)目報(bào)告包括:項(xiàng)目計(jì)劃和進(jìn)展報(bào)告項(xiàng)目總結(jié)報(bào)告以及在各個(gè)階段輸出的項(xiàng)目成果文本等3.3 正式會(huì)議會(huì)議是項(xiàng)目管理活動(dòng)的重要形式,是項(xiàng)目各方進(jìn)行正式溝通的渠道。3.3.1 周例會(huì)為確保項(xiàng)目正常進(jìn)行,雙方項(xiàng)目經(jīng)理每1周舉行一次項(xiàng)目例會(huì),匯報(bào)項(xiàng)目進(jìn)展?fàn)顩r、出現(xiàn)的問(wèn)題和本周的

20、工作計(jì)劃。參加人員主要是雙方的項(xiàng)目經(jīng)理或項(xiàng)目執(zhí)行經(jīng)理,可以根據(jù)情況邀請(qǐng)其他項(xiàng)目成員參加。會(huì)議可以是正式的面對(duì)面會(huì)議,也可以是電話會(huì)議、網(wǎng)絡(luò)會(huì)議等形式。此例會(huì)每周召開(kāi)一次,主要內(nèi)容:項(xiàng)目完成情況匯報(bào),每日主要工作成果匯報(bào)存在的問(wèn)題及解決辦法分析本周的工作計(jì)劃對(duì)可能的配置管理和變更控制簽署相應(yīng)的文件3.3.2 項(xiàng)目評(píng)審會(huì)議在每個(gè)項(xiàng)目階段結(jié)束時(shí),都會(huì)召開(kāi)一個(gè)正式的項(xiàng)目階段評(píng)審會(huì)議。該會(huì)議對(duì)前一個(gè)階段進(jìn)行總結(jié)和評(píng)審,對(duì)下一個(gè)階段進(jìn)行計(jì)劃確認(rèn)和溝通。參加人員是雙方的項(xiàng)目經(jīng)理或項(xiàng)目執(zhí)行經(jīng)理,以及項(xiàng)目的關(guān)鍵成員。會(huì)議是正式的面對(duì)面會(huì)議。主要內(nèi)容:項(xiàng)目完成情況匯報(bào)階段工作成果評(píng)審存在的問(wèn)題及解決辦法分析對(duì)可能

21、的配置管理和變更控制簽署相應(yīng)的文件項(xiàng)目下一階段的工作計(jì)劃評(píng)審在項(xiàng)目的后期,會(huì)安排項(xiàng)目的各方參加對(duì)整個(gè)項(xiàng)目的成果和過(guò)程的評(píng)審工作。建議此評(píng)審工作聘請(qǐng)第三方機(jī)構(gòu)介入。3.3.3 質(zhì)量保證3.3.3.1 項(xiàng)目管理方法學(xué)根據(jù)項(xiàng)目的具體需要,本項(xiàng)目的整個(gè)管理過(guò)程將參考美國(guó)項(xiàng)目管理協(xié)會(huì)PMI 提出的項(xiàng)目管理方法學(xué),以及一些顧問(wèn)管理規(guī)范實(shí)施。通過(guò)規(guī)范化的項(xiàng)目管理,保證項(xiàng)目進(jìn)程的質(zhì)量。3.3.3.2 配置管理在項(xiàng)目進(jìn)程中的項(xiàng)目組將維護(hù)一個(gè)項(xiàng)目文檔輸出的BASELINE。所有的文檔的版本修改和更新將在配置管理的版本控制和變更控制之下,并將所有文檔的最新版本維護(hù)在BASELINE中。3.3.3.3 變更控制管理不

22、受控制的項(xiàng)目變更,包括目標(biāo)變更、范圍變更、人員變更、環(huán)境變更、文檔修改等等是對(duì)項(xiàng)目質(zhì)量的重大威脅。在項(xiàng)目中,將圍繞工程實(shí)施計(jì)劃的維護(hù)為核心,對(duì)工程實(shí)施計(jì)劃及其衍生文檔進(jìn)行正規(guī)的變更控制管理。3.3.3.4 參考的信息安全標(biāo)準(zhǔn)和規(guī)范為了保證本項(xiàng)目實(shí)施的質(zhì)量,本項(xiàng)目將參考一些國(guó)際上最新的信息安全標(biāo)準(zhǔn)和最新的研究成果,如:ISO17799 / BS7799SSE CMMRFC2196等。第七章附錄:等級(jí)保護(hù)評(píng)測(cè)準(zhǔn)則一、信息系統(tǒng)安全等級(jí)保護(hù)2級(jí)測(cè)評(píng)準(zhǔn)則1.1 基本要求1.1.1 技術(shù)要求1.1.1.1 物理安全1.1.1.1.1 物理位置的選擇(G2機(jī)房和辦公場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建

23、筑內(nèi)。1.1.1.1.2 物理訪問(wèn)控制(G2本項(xiàng)要求包括:a機(jī)房出入口應(yīng)安排專人值守,控制、鑒別和記錄進(jìn)入的人員;b需進(jìn)入機(jī)房的來(lái)訪人員應(yīng)經(jīng)過(guò)申請(qǐng)和審批流程,并限制和監(jiān)控其活動(dòng)范圍。1.1.1.1.3 防盜竊和防破壞(G2本項(xiàng)要求包括:a應(yīng)將主要設(shè)備放置在機(jī)房?jī)?nèi);b應(yīng)將設(shè)備或主要部件進(jìn)行固定,并設(shè)置明顯的不易除去的標(biāo)記;c應(yīng)將通信線纜鋪設(shè)在隱蔽處,可鋪設(shè)在地下或管道中;d應(yīng)對(duì)介質(zhì)分類標(biāo)識(shí),存儲(chǔ)在介質(zhì)庫(kù)或檔案室中;e主機(jī)房應(yīng)安裝必要的防盜報(bào)警設(shè)施。1.1.1.1.4 防雷擊(G2本項(xiàng)要求包括:a機(jī)房建筑應(yīng)設(shè)置避雷裝置;b機(jī)房應(yīng)設(shè)置交流電源地線。1.1.1.1.5 防火(G2機(jī)房應(yīng)設(shè)置滅火設(shè)備和火

24、災(zāi)自動(dòng)報(bào)警系統(tǒng)。1.1.1.1.6 防水和防潮(G2本項(xiàng)要求包括:a水管安裝,不得穿過(guò)機(jī)房屋頂和活動(dòng)地板下;b應(yīng)采取措施防止雨水通過(guò)機(jī)房窗戶、屋頂和墻壁滲透;c應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。1.1.1.1.7 防靜電(G2關(guān)鍵設(shè)備應(yīng)采用必要的接地防靜電措施。1.1.1.1.8 溫濕度控制(G2機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施,使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。1.1.1.1.9 電力供應(yīng)(A2本項(xiàng)要求包括:a應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備;b應(yīng)提供短期的備用電力供應(yīng),至少滿足關(guān)鍵設(shè)備在斷電情況下的正常運(yùn)行要求。1.1.1.1.10 電磁防護(hù)(S

25、2電源線和通信線纜應(yīng)隔離鋪設(shè),避免互相干擾。1.1.1.2 網(wǎng)絡(luò)安全1.1.1.2.1 結(jié)構(gòu)安全(G2本項(xiàng)要求包括:a應(yīng)保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間,滿足業(yè)務(wù)高峰期需要;b應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)高峰期需要;c應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖;d應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素,劃分不同的子網(wǎng)或網(wǎng)段,并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段。1.1.1.2.2 訪問(wèn)控制(G2本項(xiàng)要求包括:a應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備,啟用訪問(wèn)控制功能;b應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力,控制粒度為網(wǎng)段級(jí)。c應(yīng)按

26、用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)則,決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn),控制粒度為單個(gè)用戶;d應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量。1.1.1.2.3 安全審計(jì)(G2本項(xiàng)要求包括:a應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄;b審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。1.1.1.2.4 邊界完整性檢查(S2應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過(guò)準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查。1.1.1.2.5 入侵防范(G2應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為:端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻

27、擊等。1.1.1.2.6 網(wǎng)絡(luò)設(shè)備防護(hù)(G2本項(xiàng)要求包括:a應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別;b應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制;c網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一;d身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn),口令應(yīng)有復(fù)雜度要求并定期更換;e應(yīng)具有登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施;f當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí),應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)。1.1.1.3 主機(jī)安全1.1.1.3.1 身份鑒別(S2本項(xiàng)要求包括:a應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別;b操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn),口令

28、應(yīng)有復(fù)雜度要求并定期更換;c應(yīng)啟用登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施;d當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí),應(yīng)采取必要措施,防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng);e應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶分配不同的用戶名,確保用戶名具有唯一性。1.1.1.3.2 訪問(wèn)控制(S2本項(xiàng)要求包括:a應(yīng)啟用訪問(wèn)控制功能,依據(jù)安全策略控制用戶對(duì)資源的訪問(wèn);b應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)限分離;c應(yīng)限制默認(rèn)帳戶的訪問(wèn)權(quán)限,重命名系統(tǒng)默認(rèn)帳戶,修改這些帳戶的默認(rèn)口令;d應(yīng)及時(shí)刪除多余的、過(guò)期的帳戶,避免共享帳戶的存在。1.1.1.3.3 安全審計(jì)(G2本項(xiàng)要求包括:a審計(jì)范圍應(yīng)覆蓋到

29、服務(wù)器上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶;b審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件;c審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等;d應(yīng)保護(hù)審計(jì)記錄,避免受到未預(yù)期的刪除、修改或覆蓋等。1.1.1.3.4 入侵防范(G2操作系統(tǒng)應(yīng)遵循最小安裝的原則,僅安裝需要的組件和應(yīng)用程序,并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。1.1.1.3.5 惡意代碼防范(G2本項(xiàng)要求包括:a應(yīng)安裝防惡意代碼軟件,并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù);b應(yīng)支持防惡意代碼軟件的統(tǒng)一管理。1.1.1.3.6 資源控制(A2本項(xiàng)要求包括

30、:a應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄;b應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定;c應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度。1.1.1.4 應(yīng)用安全1.1.1.4.1 身份鑒別(S2本項(xiàng)要求包括:a應(yīng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別;b應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能,保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí),身份鑒別信息不易被冒用;c應(yīng)提供登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施;d應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能,并根據(jù)安全策略配置相關(guān)參數(shù)。1.1.1.4

31、.2 訪問(wèn)控制(S2本項(xiàng)要求包括:a應(yīng)提供訪問(wèn)控制功能,依據(jù)安全策略控制用戶對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪問(wèn);b訪問(wèn)控制的覆蓋范圍應(yīng)包括與資源訪問(wèn)相關(guān)的主體、客體及它們之間的操作;c應(yīng)由授權(quán)主體配置訪問(wèn)控制策略,并嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限;d應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限,并在它們之間形成相互制約的關(guān)系。1.1.1.4.3 安全審計(jì)(G2本項(xiàng)要求包括:a應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能,對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì);b應(yīng)保證無(wú)法刪除、修改或覆蓋審計(jì)記錄;c審計(jì)記錄的內(nèi)容至少應(yīng)包括事件日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等。1.1.1.4.4 通信完整性(S2應(yīng)采用校驗(yàn)碼技

32、術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性。1.1.1.4.5 通信保密性(S2本項(xiàng)要求包括:a在通信雙方建立連接之前,應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證;b應(yīng)對(duì)通信過(guò)程中的敏感信息字段進(jìn)行加密。1.1.1.4.6 軟件容錯(cuò)(A2本項(xiàng)要求包括:a應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能,保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求;b在故障發(fā)生時(shí),應(yīng)用系統(tǒng)應(yīng)能夠繼續(xù)提供一部分功能,確保能夠?qū)嵤┍匾拇胧?.1.1.4.7 資源控制(A2本項(xiàng)要求包括:a當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng),另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話;b應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制;c應(yīng)能夠?qū)?/p>

33、個(gè)帳戶的多重并發(fā)會(huì)話進(jìn)行限制。1.1.1.5 數(shù)據(jù)安全及備份恢復(fù)1.1.1.5.1 數(shù)據(jù)完整性(S2應(yīng)能夠檢測(cè)到鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中完整性受到破壞。1.1.1.5.2 數(shù)據(jù)保密性(S2應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)鑒別信息的存儲(chǔ)保密性。1.1.1.5.3 備份和恢復(fù)(A2本項(xiàng)要求包括:a應(yīng)能夠?qū)χ匾畔⑦M(jìn)行備份和恢復(fù);b應(yīng)提供關(guān)鍵網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余,保證系統(tǒng)的可用性。1.1.2 管理要求1.1.2.1 安全管理制度1.1.2.1.1 管理制度(G2本項(xiàng)要求包括:a應(yīng)制定信息安全工作的總體方針和安全策略,說(shuō)明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等;b應(yīng)

34、對(duì)安全管理活動(dòng)中重要的管理內(nèi)容建立安全管理制度;c應(yīng)對(duì)安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程。1.1.2.1.2 制定和發(fā)布(G2本項(xiàng)要求包括:a應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定;b應(yīng)組織相關(guān)人員對(duì)制定的安全管理制度進(jìn)行論證和審定;c應(yīng)將安全管理制度以某種方式發(fā)布到相關(guān)人員手中。1.1.2.1.3 評(píng)審和修訂(G2應(yīng)定期對(duì)安全管理制度進(jìn)行評(píng)審,對(duì)存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。1.1.2.2 安全管理機(jī)構(gòu)1.1.2.2.1 崗位設(shè)置(G2本項(xiàng)要求包括:a應(yīng)設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位,并定義各負(fù)責(zé)人的職責(zé);b應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、

35、安全管理員等崗位,并定義各個(gè)工作崗位的職責(zé)。1.1.2.2.2 人員配備(G2本項(xiàng)要求包括:a應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等;b安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員等。1.1.2.2.3 授權(quán)和審批(G2本項(xiàng)要求包括:a應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批部門及批準(zhǔn)人,對(duì)系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問(wèn)等關(guān)鍵活動(dòng)進(jìn)行審批;b應(yīng)針對(duì)關(guān)鍵活動(dòng)建立審批流程,并由批準(zhǔn)人簽字確認(rèn)。1.1.2.2.4 溝通和合作(G2本項(xiàng)要求包括:a應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通;b應(yīng)加強(qiáng)與兄弟單位、公安機(jī)關(guān)、電信公司的合作

36、與溝通。1.1.2.2.5 審核和檢查(G2安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查,檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。1.1.2.3 人員安全管理1.1.2.3.1 人員錄用(G2本項(xiàng)要求包括:a應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用;b應(yīng)規(guī)范人員錄用過(guò)程,對(duì)被錄用人員的身份、背景和專業(yè)資格等進(jìn)行審查,對(duì)其所具有的技術(shù)技能進(jìn)行考核;c應(yīng)與從事關(guān)鍵崗位的人員簽署保密協(xié)議。1.1.2.3.2 人員離崗(G2本項(xiàng)要求包括:a應(yīng)規(guī)范人員離崗過(guò)程,及時(shí)終止離崗員工的所有訪問(wèn)權(quán)限;b應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備;c應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)。1.1.2.3.3 人員考核

37、(G2應(yīng)定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核。1.1.2.3.4 安全意識(shí)教育和培訓(xùn)(G2本項(xiàng)要求包括:a應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn);b應(yīng)告知人員相關(guān)的安全責(zé)任和懲戒措施,并對(duì)違反違背安全策略和規(guī)定的人員進(jìn)行懲戒;c應(yīng)制定安全教育和培訓(xùn)計(jì)劃,對(duì)信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn)。1.1.2.3.5 外部人員訪問(wèn)管理(G2應(yīng)確保在外部人員訪問(wèn)受控區(qū)域前得到授權(quán)或?qū)徟?批準(zhǔn)后由專人全程陪同或監(jiān)督,并登記備案。1.1.2.4 系統(tǒng)建設(shè)管理1.1.2.4.1 系統(tǒng)定級(jí)(G2本項(xiàng)要求包括:a應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí);b應(yīng)以書(shū)面的形式說(shuō)明信息系

38、統(tǒng)確定為某個(gè)安全保護(hù)等級(jí)的方法和理由;c應(yīng)確保信息系統(tǒng)的定級(jí)結(jié)果經(jīng)過(guò)相關(guān)部門的批準(zhǔn)。1.1.2.4.2 安全方案設(shè)計(jì)(G2本項(xiàng)要求包括:a應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇基本安全措施,依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施;b應(yīng)以書(shū)面形式描述對(duì)系統(tǒng)的安全保護(hù)要求、策略和措施等內(nèi)容,形成系統(tǒng)的安全方案;c應(yīng)對(duì)安全方案進(jìn)行細(xì)化,形成能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采購(gòu)和使用的詳細(xì)設(shè)計(jì)方案;d應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)安全設(shè)計(jì)方案的合理性和正確性進(jìn)行論證和審定,并且經(jīng)過(guò)批準(zhǔn)后,才能正式實(shí)施。1.1.2.4.3 產(chǎn)品采購(gòu)和使用(G2本項(xiàng)要求包括:a應(yīng)確保安全產(chǎn)品采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定;b應(yīng)確保密碼

39、產(chǎn)品采購(gòu)和使用符合國(guó)家密碼主管部門的要求;c應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購(gòu)。1.1.2.4.4 自行軟件開(kāi)發(fā)(G2本項(xiàng)要求包括:a應(yīng)確保開(kāi)發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開(kāi);b應(yīng)制定軟件開(kāi)發(fā)管理制度,明確說(shuō)明開(kāi)發(fā)過(guò)程的控制方法和人員行為準(zhǔn)則;c應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南,并由專人負(fù)責(zé)保管。1.1.2.4.5 外包軟件開(kāi)發(fā)(G2本項(xiàng)要求包括:a應(yīng)根據(jù)開(kāi)發(fā)要求檢測(cè)軟件質(zhì)量;b應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南;c應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼;d應(yīng)要求開(kāi)發(fā)單位提供軟件源代碼,并審查軟件中可能存在的后門。1.1.2.4.6 工程實(shí)施(G2本項(xiàng)要求包括:a應(yīng)指定或授權(quán)專

40、門的部門或人員負(fù)責(zé)工程實(shí)施過(guò)程的管理;b應(yīng)制定詳細(xì)的工程實(shí)施方案,控制工程實(shí)施過(guò)程。1.1.2.4.7 測(cè)試驗(yàn)收(G2本項(xiàng)要求包括:a應(yīng)對(duì)系統(tǒng)進(jìn)行安全性測(cè)試驗(yàn)收;b在測(cè)試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制訂測(cè)試驗(yàn)收方案,在測(cè)試驗(yàn)收過(guò)程中應(yīng)詳細(xì)記錄測(cè)試驗(yàn)收結(jié)果,并形成測(cè)試驗(yàn)收?qǐng)?bào)告;c應(yīng)組織相關(guān)部門和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定,并簽字確認(rèn)。1.1.2.4.8 系統(tǒng)交付(G2本項(xiàng)要求包括:a應(yīng)制定系統(tǒng)交付清單,并根據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn);b應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn);c應(yīng)確保提供系統(tǒng)建設(shè)過(guò)程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔。1.1.2.4

41、.9 安全服務(wù)商選擇(G2本項(xiàng)要求包括:a應(yīng)確保安全服務(wù)商的選擇符合國(guó)家的有關(guān)規(guī)定;b應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議,明確約定相關(guān)責(zé)任;c應(yīng)確保選定的安全服務(wù)商提供技術(shù)支持和服務(wù)承諾,必要的與其簽訂服務(wù)合同。1.1.2.5 系統(tǒng)運(yùn)維管理1.1.2.5.1 環(huán)境管理(G2本項(xiàng)要求包括:a應(yīng)指定專門的部門或人員定期對(duì)機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理;b應(yīng)配備機(jī)房安全管理人員,對(duì)機(jī)房的出入、服務(wù)器的開(kāi)機(jī)或關(guān)機(jī)等工作進(jìn)行管理;c應(yīng)建立機(jī)房安全管理制度,對(duì)有關(guān)機(jī)房物理訪問(wèn),物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理作出規(guī)定;d應(yīng)加強(qiáng)對(duì)辦公環(huán)境的保密性管理,包括工作人員調(diào)離辦公室

42、應(yīng)立即交還該辦公室鑰匙和不在辦公區(qū)接待來(lái)訪人員等。1.1.2.5.2 資產(chǎn)管理(G2本項(xiàng)要求包括:a應(yīng)編制與信息系統(tǒng)相關(guān)的資產(chǎn)清單,包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容;b應(yīng)建立資產(chǎn)安全管理制度,規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門,并規(guī)范資產(chǎn)管理和使用的行為。1.1.2.5.3 介質(zhì)管理(G2本項(xiàng)要求包括:a應(yīng)確保介質(zhì)存放在安全的環(huán)境中,對(duì)各類介質(zhì)進(jìn)行控制和保護(hù),并實(shí)行存儲(chǔ)環(huán)境專人管理;b應(yīng)對(duì)介質(zhì)歸檔和查詢等過(guò)程進(jìn)行記錄,并根據(jù)存檔介質(zhì)的目錄清單定期盤點(diǎn);c應(yīng)對(duì)需要送出維修或銷毀的介質(zhì),首先清除其中的敏感數(shù)據(jù),防止信息的非法泄漏;d應(yīng)根據(jù)所承載數(shù)據(jù)和軟件的重要程度對(duì)介質(zhì)進(jìn)行分類和標(biāo)

43、識(shí)管理。1.1.2.5.4 設(shè)備管理(G2本項(xiàng)要求包括:a應(yīng)對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備(包括備份和冗余設(shè)備、線路等指定專門的部門或人員定期進(jìn)行維護(hù)管理;b應(yīng)建立基于申報(bào)、審批和專人負(fù)責(zé)的設(shè)備安全管理制度,對(duì)信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購(gòu)、發(fā)放和領(lǐng)用等過(guò)程進(jìn)行規(guī)范化管理;c應(yīng)對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理,按操作規(guī)程實(shí)現(xiàn)關(guān)鍵設(shè)備(包括備份和冗余設(shè)備的啟動(dòng)/停止、加電/斷電等操作;d應(yīng)確保信息處理設(shè)備必須經(jīng)過(guò)審批才能帶離機(jī)房或辦公地點(diǎn)。1.1.2.5.5 網(wǎng)絡(luò)安全管理(G2本項(xiàng)要求包括:a應(yīng)指定人員對(duì)網(wǎng)絡(luò)進(jìn)行管理,負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和

44、報(bào)警信息分析和處理工作;b應(yīng)建立網(wǎng)絡(luò)安全管理制度,對(duì)網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、口令更新周期等方面作出規(guī)定;c應(yīng)根據(jù)廠家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行更新,并在更新前對(duì)現(xiàn)有的重要文件進(jìn)行備份;d應(yīng)定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描,對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ);e應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的配置文件進(jìn)行定期備份;f應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)。1.1.2.5.6 系統(tǒng)安全管理(G2本項(xiàng)要求包括:a應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問(wèn)控制策略;b應(yīng)定期進(jìn)行漏洞掃描,對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)進(jìn)行修補(bǔ);c應(yīng)安裝系統(tǒng)的最新補(bǔ)丁程序,在安裝系統(tǒng)補(bǔ)丁前,應(yīng)首先在測(cè)試環(huán)境中

45、測(cè)試通過(guò),并對(duì)重要文件進(jìn)行備份后,方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝;d應(yīng)建立系統(tǒng)安全管理制度,對(duì)系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出規(guī)定;e應(yīng)依據(jù)操作手冊(cè)對(duì)系統(tǒng)進(jìn)行維護(hù),詳細(xì)記錄操作日志,包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容,嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作;f應(yīng)定期對(duì)運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析,以便及時(shí)發(fā)現(xiàn)異常行為。1.1.2.5.7 惡意代碼防范管理(G2本項(xiàng)要求包括:a應(yīng)提高所有用戶的防病毒意識(shí),告知及時(shí)升級(jí)防病毒軟件,在讀取移動(dòng)存儲(chǔ)設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前,先進(jìn)行病毒檢查,對(duì)外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)行病毒檢查;b應(yīng)指定專人對(duì)網(wǎng)絡(luò)

46、和主機(jī)進(jìn)行惡意代碼檢測(cè)并保存檢測(cè)記錄;c應(yīng)對(duì)防惡意代碼軟件的授權(quán)使用、惡意代碼庫(kù)升級(jí)、定期匯報(bào)等作出明確規(guī)定。1.1.2.5.8 密碼管理(G2應(yīng)使用符合國(guó)家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。1.1.2.5.9 變更管理(G2本項(xiàng)要求包括:a應(yīng)確認(rèn)系統(tǒng)中要發(fā)生的重要變更,并制定相應(yīng)的變更方案;b系統(tǒng)發(fā)生重要變更前,應(yīng)向主管領(lǐng)導(dǎo)申請(qǐng),審批后方可實(shí)施變更,并在實(shí)施后向相關(guān)人員通告。1.1.2.5.10 備份與恢復(fù)管理(G2本項(xiàng)要求包括:a應(yīng)識(shí)別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等;b應(yīng)規(guī)定備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)、保存期等;c應(yīng)根據(jù)數(shù)據(jù)的重要性及其對(duì)系統(tǒng)運(yùn)行的影響,制定數(shù)據(jù)的

47、備份策略和恢復(fù)策略,備份策略指明備份數(shù)據(jù)的放置場(chǎng)所、文件命名規(guī)則、介質(zhì)替換頻率和數(shù)據(jù)離站運(yùn)輸方法。1.1.2.5.11 安全事件處置(G2本項(xiàng)要求包括:a應(yīng)報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件,但任何情況下用戶均不應(yīng)嘗試驗(yàn)證弱點(diǎn);b應(yīng)制定安全事件報(bào)告和處置管理制度,明確安全事件類型,規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé);c應(yīng)根據(jù)國(guó)家相關(guān)管理部門對(duì)計(jì)算機(jī)安全事件等級(jí)劃分方法和安全事件對(duì)本系統(tǒng)產(chǎn)生的影響,對(duì)本系統(tǒng)計(jì)算機(jī)安全事件進(jìn)行等級(jí)劃分;d應(yīng)記錄并保存所有報(bào)告的安全弱點(diǎn)和可疑事件,分析事件原因,監(jiān)督事態(tài)發(fā)展,采取措施避免安全事件發(fā)生。1.1.2.5.12 應(yīng)急預(yù)案管理(G2本項(xiàng)要求包括

48、:a應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案,應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容;b應(yīng)對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn),應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次。1.2 評(píng)估測(cè)評(píng)準(zhǔn)則1.2.1 安全技術(shù)測(cè)評(píng)1.2.1.1 物理安全1.2.1.1.1 物理位置的選擇測(cè)評(píng)項(xiàng)a機(jī)房和辦公場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。測(cè)評(píng)方式訪談,檢查。測(cè)評(píng)對(duì)象物理安全負(fù)責(zé)人,機(jī)房,辦公場(chǎng)地,機(jī)房場(chǎng)地設(shè)計(jì)/驗(yàn)收文檔。測(cè)評(píng)實(shí)施a應(yīng)訪談物理安全負(fù)責(zé)人,詢問(wèn)現(xiàn)有機(jī)房和辦公場(chǎng)地(放置終端計(jì)算機(jī)設(shè)備的環(huán)境條件是否能夠滿足信息系統(tǒng)業(yè)務(wù)需求和安全管理需求,是否具有

49、基本的防震、防風(fēng)和防雨等能力;b應(yīng)檢查機(jī)房和辦公場(chǎng)地的設(shè)計(jì)/驗(yàn)收文檔,是否有機(jī)房和辦公場(chǎng)地所在建筑能夠具有防震、防風(fēng)和防雨等能力的說(shuō)明;c應(yīng)檢查機(jī)房和辦公場(chǎng)地是否在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。結(jié)果判定a測(cè)評(píng)實(shí)施 a-c均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)項(xiàng)要求。1.2.1.1.2 物理訪問(wèn)控制測(cè)評(píng)項(xiàng)a機(jī)房出入口應(yīng)有專人值守,鑒別進(jìn)入的人員身份并登記在案;b應(yīng)批準(zhǔn)進(jìn)入機(jī)房的來(lái)訪人員,限制和監(jiān)控其活動(dòng)范圍。測(cè)評(píng)方式訪談,檢查。測(cè)評(píng)對(duì)象物理安全負(fù)責(zé)人,機(jī)房值守人員,機(jī)房,機(jī)房安全管理制度,值守記錄,進(jìn)入機(jī)房的登記記錄,來(lái)訪人員進(jìn)入機(jī)房的審批記錄。測(cè)評(píng)實(shí)施a應(yīng)訪談物理安全負(fù)責(zé)人,了解具有哪些控制

50、機(jī)房進(jìn)出的能力;b應(yīng)訪談機(jī)房值守人員,詢問(wèn)是否認(rèn)真執(zhí)行有關(guān)機(jī)房出入的管理制度,是否對(duì)進(jìn)入機(jī)房的人員記錄在案;c應(yīng)檢查機(jī)房安全管理制度,查看是否有關(guān)于機(jī)房出入方面的規(guī)定;d應(yīng)檢查機(jī)房出入口是否有專人值守,是否有值守記錄,以及進(jìn)出機(jī)房的人員登記記錄;檢查機(jī)房是否不存在專人值守之外的出入口;e應(yīng)檢查機(jī)房,是否有進(jìn)入機(jī)房的人員身份鑒別措施,如戴有可見(jiàn)的身份辨識(shí)標(biāo)識(shí);f應(yīng)檢查是否有來(lái)訪人員進(jìn)入機(jī)房的審批記錄。結(jié)果判定a測(cè)評(píng)實(shí)施 a至少應(yīng)包括制訂了機(jī)房出入的管理制度,指定了專人在機(jī)房出入口值守,對(duì)進(jìn)入的人員登記在案并進(jìn)行身份鑒別,對(duì)來(lái)訪人員須經(jīng)批準(zhǔn)、限制和監(jiān)控其活動(dòng)范圍,則該項(xiàng)為肯定;b測(cè)評(píng)實(shí)施 c至少應(yīng)

51、包括制訂了機(jī)房出入的管理制度,指定了專人在機(jī)房出入口值守,對(duì)進(jìn)入的人員登記在案并進(jìn)行身份鑒別,對(duì)來(lái)訪人員須經(jīng)批準(zhǔn)、限制和監(jiān)控其活動(dòng)范圍,則該項(xiàng)為肯定;c測(cè)評(píng)實(shí)施 a-f均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)項(xiàng)要求。1.2.1.1.3 防盜竊和防破環(huán)測(cè)評(píng)項(xiàng)a應(yīng)將主要設(shè)備放置在物理受限的范圍內(nèi);b應(yīng)對(duì)設(shè)備或主要部件進(jìn)行固定,并設(shè)置明顯的無(wú)法除去的標(biāo)記;c應(yīng)將通信線纜鋪設(shè)在隱蔽處,如鋪設(shè)在地下或管道中等;d應(yīng)對(duì)介質(zhì)分類標(biāo)識(shí),存儲(chǔ)在介質(zhì)庫(kù)或檔案室中;e應(yīng)安裝必要的防盜報(bào)警設(shè)施,以防進(jìn)入機(jī)房的盜竊和破壞行為。測(cè)評(píng)方式訪談,檢查。測(cè)評(píng)對(duì)象物理安全負(fù)責(zé)人,機(jī)房維護(hù)人員,資產(chǎn)管理員,機(jī)房設(shè)施,設(shè)備管理制度文檔,通

52、信線路布線文檔,報(bào)警設(shè)施的安裝測(cè)試/驗(yàn)收?qǐng)?bào)告。測(cè)評(píng)實(shí)施a應(yīng)訪談物理安全負(fù)責(zé)人,采取了哪些防止設(shè)備、介質(zhì)等丟失的保護(hù)措施;b應(yīng)訪談機(jī)房維護(hù)人員,詢問(wèn)主要設(shè)備放置位置是否做到安全可控,設(shè)備或主要部件是否進(jìn)行了固定和標(biāo)記,通信線纜是否鋪設(shè)在隱蔽處;是否對(duì)機(jī)房安裝的防盜報(bào)警設(shè)施進(jìn)行定期維護(hù)檢查;c應(yīng)訪談資產(chǎn)管理員,在介質(zhì)管理中,是否進(jìn)行了分類標(biāo)識(shí),是否存放在介質(zhì)庫(kù)或檔案室中;d應(yīng)檢查主要設(shè)備是否放置在機(jī)房?jī)?nèi)或其它不易被盜竊和破壞的可控范圍內(nèi);檢查主要設(shè)備或設(shè)備的主要部件的固定情況,是否不易被移動(dòng)或被搬走,是否設(shè)置明顯的無(wú)法除去的標(biāo)記;e應(yīng)檢查通信線纜鋪設(shè)是否在隱蔽處(如鋪設(shè)在地下或管道中等;f應(yīng)檢查機(jī)

53、房防盜報(bào)警設(shè)施是否正常運(yùn)行,并查看運(yùn)行和報(bào)警記錄;g應(yīng)檢查介質(zhì)的管理情況,查看介質(zhì)是否有正確的分類標(biāo)識(shí),是否存放在介質(zhì)庫(kù)或檔案室中;h應(yīng)檢查是否有設(shè)備管理制度文檔,通信線路布線文檔,介質(zhì)管理制度文檔,介質(zhì)清單和使用記錄,機(jī)房防盜報(bào)警設(shè)施的安裝測(cè)試/驗(yàn)收?qǐng)?bào)告。結(jié)果判定a測(cè)評(píng)實(shí)施 a至少應(yīng)該包括制訂了設(shè)備管理制度,主要設(shè)備放置位置做到安全可控,設(shè)備或主要部件進(jìn)行了固定和標(biāo)記,通信線纜鋪設(shè)在隱蔽處,介質(zhì)分類標(biāo)識(shí)并存儲(chǔ)在介質(zhì)庫(kù)或檔案室,機(jī)房安裝了防止進(jìn)入盜竊和破壞的防盜報(bào)警設(shè)施,則該項(xiàng)為肯定;b測(cè)評(píng)實(shí)施 a-h均為肯定,則信息系統(tǒng)符合本單元測(cè)評(píng)項(xiàng)要求。1.2.1.1.4 防雷擊測(cè)評(píng)項(xiàng)a機(jī)房建筑應(yīng)設(shè)置避

54、雷裝置;b應(yīng)設(shè)置交流電源地線。測(cè)評(píng)方式訪談,檢查。測(cè)評(píng)對(duì)象物理安全負(fù)責(zé)人,機(jī)房維護(hù)人員,機(jī)房設(shè)施(避雷裝置,交流電源地線,建筑防雷設(shè)計(jì)/驗(yàn)收文檔。測(cè)評(píng)實(shí)施a應(yīng)訪談物理安全負(fù)責(zé)人,詢問(wèn)為防止雷擊事件導(dǎo)致重要設(shè)備被破壞采取了哪些防護(hù)措施,機(jī)房建筑是否設(shè)置了避雷裝置,是否通過(guò)驗(yàn)收或國(guó)家有關(guān)部門的技術(shù)檢測(cè);詢問(wèn)機(jī)房計(jì)算機(jī)供電系統(tǒng)是否有交流電源地線;b應(yīng)訪談機(jī)房維護(hù)人員,詢問(wèn)機(jī)房建筑避雷裝置是否有人定期進(jìn)行檢查和維護(hù);詢問(wèn)機(jī)房計(jì)算機(jī)系統(tǒng)接地(交流工作接地、安全保護(hù)接地、防雷接地是否符合GB50174-93電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范的要求;c應(yīng)檢查機(jī)房是否有建筑防雷設(shè)計(jì)/驗(yàn)收文檔,查看是否有地線連接要求的描述。結(jié)果判定a測(cè)評(píng)實(shí)施 a至少應(yīng)包括符合GB 50057-1994建筑物防雷設(shè)計(jì)規(guī)范(GB157建筑防雷設(shè)計(jì)規(guī)范中的計(jì)算機(jī)機(jī)房防雷要求,如果在雷電頻繁區(qū)域,是否裝設(shè)浪涌電壓吸收裝置等,則該項(xiàng)為肯定;b測(cè)評(píng)實(shí)施 b要求地線的引線應(yīng)和大樓的鋼筋網(wǎng)及各種金屬管道絕緣,交流工作接地的接地電阻不應(yīng)大于4,安全保護(hù)地的接地電阻不應(yīng)大于4;防雷保護(hù)地(處在有防雷設(shè)施的建筑群中可不設(shè)此地的接地電阻不應(yīng)大于