ISO27000及等保管理要求三級(jí)控制點(diǎn)對(duì)照表

1、ISO27001-2003等級(jí)保護(hù)三級(jí)要求對(duì)照項(xiàng)目分類等保分類等保三級(jí)控制點(diǎn)等?？刂颇繕?biāo)ISO270000分類ISO27000控制點(diǎn)ISO27000控制目標(biāo)調(diào)查方式調(diào)查結(jié)果7.2.1安全管理制度7.2.1.1管理制度(G3)a）應(yīng)制定信息安全工作的總體方針和安全策略，說明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等；a）應(yīng)訪談安全主管，詢問機(jī)構(gòu)的制度體系是否由安全政策、安全策略、管理制度、操作規(guī)程等構(gòu)成，是否定期對(duì)安全管理制度體系進(jìn)行評(píng)審，評(píng)審周期多長(zhǎng)；b）應(yīng)檢查信息安全工作的總體方針、政策性文件和安全策略文件，查看文件是否明確機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、方針、原則、責(zé)任等，是否明確信息系

2、統(tǒng)的安全策略；c）應(yīng)檢查安全管理制度清單，查看是否覆蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、管理等層面；d）應(yīng)檢查是否具有重要管理操作的操作規(guī)程，如系統(tǒng)維護(hù)手冊(cè)和用戶操作規(guī)程等；e）應(yīng)檢查是否具有安全管理制度體系的評(píng)審記錄，查看記錄日期與評(píng)審周期是否一致，是否記錄了相關(guān)人員的評(píng)審意見。A.5.1信息安全政策A.5.1.1信息安全政策文件信息安全政策文件應(yīng)由管理階層核準(zhǔn)，并公布與傳達(dá)給所有聘雇人員與相關(guān)外部團(tuán)體。訪談，檢查。安全主管，總體方針、政策性文件和安全策略文件，安全管理制度清單，操作規(guī)程，評(píng)審記錄。b）應(yīng)對(duì)安全管理活動(dòng)中的各類管理內(nèi)容建立安全管理制度；c）應(yīng)對(duì)要求管理人員或操作人員執(zhí)行的日常

3、管理操作建立操作規(guī)程；d）應(yīng)形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系。7.2.1.2制定和發(fā)布（G3）a）應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定；a）應(yīng)訪談安全主管，詢問安全管理制度是否在信息安全領(lǐng)導(dǎo)小組或委員會(huì)的總體負(fù)責(zé)下統(tǒng)一制定，參與制定人員有哪些；b）應(yīng)訪談安全主管，詢問安全管理制度的制定程序，是否對(duì)制定的安全管理制度進(jìn)行論證和審定，論證和評(píng)審方式如何（如召開評(píng)訪談，檢查。安全主管，制度制定和發(fā)布要求管理文檔，評(píng)審記錄，安全管理制b）安全管理制度應(yīng)具有統(tǒng)一的格式，并進(jìn)行版本控制；c）應(yīng)組織相關(guān)人員對(duì)制定的安全管理制度進(jìn)行論證和審定；審會(huì)、函審、內(nèi)部

4、審核等），是否按照統(tǒng)一的格式標(biāo)準(zhǔn)或要求制定；c）應(yīng)檢查制度制定和發(fā)布要求管理文檔，查看文檔是否說明安全管理制度的制定和發(fā)布程序、格式要求及版本編號(hào)等相關(guān)內(nèi)容；d）應(yīng)檢查管理制度評(píng)審記錄，查看是否有相關(guān)人員的評(píng)審意見；e）應(yīng)檢查安全管理制度文檔，查看是否注明適用和發(fā)布范圍，是否有版本標(biāo)識(shí)，是否有管理層的簽字或蓋章；查看各項(xiàng)制度文檔格式是否統(tǒng)一；f）應(yīng)檢查安全管理制度的收發(fā)登記記錄，查看收發(fā)是否符合規(guī)定程序和發(fā)布范圍要求。度，收發(fā)登記記錄。d）安全管理制度應(yīng)通過正式、有效的方式發(fā)布；e）安全管理制度應(yīng)注明發(fā)布范圍，并對(duì)收發(fā)文進(jìn)行登記。7.2,1.3評(píng)審和修訂（G3）a）信息安全領(lǐng)導(dǎo)小組應(yīng)負(fù)責(zé)定期組

5、織相關(guān)部門和相關(guān)人員對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定；a）應(yīng)訪談安全主管，詢問是否定期對(duì)安全管理制度進(jìn)行評(píng)審，由何部門/何人負(fù)責(zé)；b）應(yīng)訪談管理人員（負(fù)責(zé)定期評(píng)審、修訂和日常維護(hù)的人員），詢問定期對(duì)安全管理制度的評(píng)審、修訂情況和日常維護(hù)情況，評(píng)審周期多長(zhǎng)，評(píng)審、修訂程序如何，維護(hù)措施如何；A.5.1.2審查信息安全政策信息安全政策應(yīng)在規(guī)劃期間內(nèi)或有重大變更發(fā)生時(shí)加以審查，以確保其持續(xù)的適用性、適切性及有效性。訪談，檢查。安全主管，管理人員，安全管理制度列表，評(píng)審記錄，安全管理制度對(duì)應(yīng)負(fù)責(zé)人或b）應(yīng)定期或不定期對(duì)安全管理制度進(jìn)行檢查和審定，對(duì)存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。c

6、）應(yīng)訪談管理人員（負(fù)責(zé)人員），詢問系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時(shí)是否對(duì)安全管理制度進(jìn)行審定，對(duì)需要改進(jìn)的制度是否進(jìn)行修訂；d）應(yīng)檢查安全管理制度評(píng)審記錄，查看記錄日期與評(píng)審周期是否一致；如果對(duì)制度做過修訂，檢查是否有修訂版本的安全管理制度；e）應(yīng)檢查是否具有系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時(shí)對(duì)安全管理制度進(jìn)行審定的記錄；f）應(yīng)檢查是否具有需要定期修訂的安全管理制度列表，查看列表是否注明評(píng)審周期；g）應(yīng)檢查是否具有所有安全管理制度對(duì)應(yīng)相應(yīng)負(fù)責(zé)人或者負(fù)責(zé)部門的清單。負(fù)責(zé)部門的清單。7.2.2安全管理機(jī)構(gòu)7.2.

7、2.1崗位設(shè)輅(G3)a）應(yīng)設(shè)立信息安全管理工作的職能部門，設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)；a）應(yīng)訪談安全主管，詢問是否設(shè)立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任；b）應(yīng)訪談安全主管，詢問是否設(shè)立專職的安全管理機(jī)構(gòu)（即信息安全管理工作的職能部A.6信息安全組織A.6.1.3信息安全職責(zé)的分派訪談，檢查。安全主管，安全管理某方面的負(fù)責(zé)人，領(lǐng)導(dǎo)小組日常管理工作的負(fù)責(zé)b）應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個(gè)工作崗位的職責(zé)；門）；機(jī)構(gòu)內(nèi)部門設(shè)輅情況如何，是否明確各部門職責(zé)分工；c）應(yīng)訪談安全主管

8、，詢問是否設(shè)立安全管理各個(gè)方面的負(fù)責(zé)人，設(shè)輅了哪些工作崗位（如安全主管、安全管理各個(gè)方面的負(fù)責(zé)人、機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全員等重要崗位），是否明確各個(gè)崗位的職責(zé)分工；d）應(yīng)訪談安全主管、安全管理某方面的負(fù)責(zé)人、信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組日常管理工作的負(fù)責(zé)人、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和安全員，詢問其崗位職責(zé)包括哪些內(nèi)容；e）應(yīng)檢查部門、崗位職責(zé)文件，查看文件是否明確安全管理機(jī)構(gòu)的職責(zé)，是否明確機(jī)構(gòu)內(nèi)各部門的職責(zé)和分工，部門職責(zé)是否涵蓋物理、網(wǎng)絡(luò)和系統(tǒng)等各個(gè)方面；查看文件是否明確設(shè)輅安全主管、安全管理各個(gè)方面的負(fù)責(zé)人、機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全員等各個(gè)崗位，各個(gè)崗位的

9、職責(zé)范圍是否清晰、明確；查看文件是否明確各個(gè)崗位人員應(yīng)具有的技能要求；f）應(yīng)檢查信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組是否具有單位主管領(lǐng)導(dǎo)對(duì)其最高領(lǐng)導(dǎo)的委任授權(quán)書；g）應(yīng)檢查信息安全管理委員會(huì)職責(zé)文件，查看是否明確描述委員會(huì)的職責(zé)和其最高領(lǐng)導(dǎo)人，系統(tǒng)管理員，網(wǎng)絡(luò)管理員，安全員，部門、崗位職責(zé)文件，委任授權(quán)書，工作記錄。c）應(yīng)成立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán)；A.6.1,1管理階層對(duì)信息安全的承諾管理階層應(yīng)在組織內(nèi)藉由清楚的指示、展現(xiàn)的承諾、明確的分派以及確認(rèn)信息安全職責(zé)，積極地支持安全。d）應(yīng)制定文件明確安全管理機(jī)構(gòu)各個(gè)部門和崗位的職責(zé)、分工和技能要求。A

10、.6.1.2信息安全協(xié)調(diào)合作信息安全活動(dòng)應(yīng)由組織內(nèi)具有相關(guān)角色與工作功能之不同部門的代表協(xié)調(diào)合作。崗位的職責(zé)；h）應(yīng)檢查安全管理各部門和信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組是否具有日常管理工作執(zhí)行情況的文件或工作記錄（如會(huì)議記錄/紀(jì)要和信息安全工作決策文檔等）。7.2,2.2人員配備(G3)a）應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等；a）應(yīng)訪談安全主管，詢問各個(gè)安全管理崗位人員（按照崗位職責(zé)文件詢問，包括機(jī)房管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、安全員等重要崗位人員）配備情況，包括數(shù)量、專職還是兼職等；b）應(yīng)訪談安全主管，詢問對(duì)哪些關(guān)鍵崗位實(shí)行定期輪崗，定期輪崗情況如何，輪崗周期

11、多長(zhǎng)，輪崗手續(xù)如何；c）應(yīng)檢查人員配備要求管理文檔，查看是否明確應(yīng)配備哪些安全管理人員，是否包括機(jī)房管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、安全員等重要崗位人員并明確應(yīng)配備專職的安全員；查看是否明確對(duì)哪些關(guān)鍵崗位（應(yīng)有列表）實(shí)行定期輪崗并明確輪崗周期、輪崗手續(xù)等相關(guān)內(nèi)容；d）應(yīng)檢查管理人員名單，查看其是否明確機(jī)房管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、安全員等重要崗位人員的信息，確認(rèn)安全員是否是專職人員。訪談，檢查。安全主管，人員配備要求管理文檔，管理人員名單。b）應(yīng)配備專職安全管理員，不可兼任；c）關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理。a）應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審

12、批部門和批準(zhǔn)人等；a）應(yīng)訪談安全主管，詢問其是否規(guī)定對(duì)信息系統(tǒng)中的關(guān)鍵活動(dòng)進(jìn)行審批，審批部門是何部門，批準(zhǔn)人是何人，他們的審批活動(dòng)是否得到授權(quán)；詢問是否定期審查、更新審批項(xiàng)目，審查周期多長(zhǎng)；b）應(yīng)訪談關(guān)鍵活動(dòng)的批準(zhǔn)人，詢問其對(duì)關(guān)鍵活動(dòng)的審批范圍包括哪些（如網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、重要服務(wù)器和設(shè)備等重要資源的訪問，重要管理制度的制定和發(fā)布，人員的配備、培訓(xùn)，產(chǎn)品的采購(gòu)，b）應(yīng)針對(duì)系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項(xiàng)建立審批程序，按照審批程序執(zhí)行審批過程，對(duì)重要活動(dòng)建立逐級(jí)審批制度；第三方人員的訪問、管理，與合作單位的合作項(xiàng)目等），審批程序如何；c）應(yīng)檢查授權(quán)管理文件，查看文件

13、是否包含需審批事項(xiàng)列表，列表是否明確審批事項(xiàng)和雙重審批事項(xiàng)、審批部門、批準(zhǔn)人及審批程7.2,2.3授權(quán)和審批（G3）序等（如列表說明哪些事項(xiàng)應(yīng)經(jīng)過信息安全c）應(yīng)定期審查審批事項(xiàng)，及時(shí)更新需授權(quán)和審批的項(xiàng)目、審批部門和審批人等信息；領(lǐng)導(dǎo)小組審批，哪些事項(xiàng)應(yīng)經(jīng)過安全管理機(jī)構(gòu)審批，哪些關(guān)鍵活動(dòng)應(yīng)經(jīng)過哪些部門雙重審批等），文件是否說明應(yīng)定期審查、更新需審批的項(xiàng)目和審查周期等；d）應(yīng)檢查經(jīng)雙重審批的文檔，查看是否具有雙重批準(zhǔn)人的簽字和審批部門的蓋章；d）應(yīng)記錄審批過程并保存審批文檔。e）應(yīng)檢查關(guān)鍵活動(dòng)的審批過程記錄，查看記錄的審批程序與文件要求是否一致；f）應(yīng)檢查審查記錄，查看記錄日期是否與審查周期一致

14、；A.6.1.4信息處理設(shè)施的授權(quán)過程新信息處理設(shè)施的管理階層授權(quán)過程應(yīng)被界定與實(shí)施。訪談，檢查。安全主管，關(guān)鍵活動(dòng)的批準(zhǔn)人，授權(quán)管理文件，審批文檔，審批記錄，審查記錄，消除授權(quán)記錄。A.6.1.5保密協(xié)議應(yīng)鑒別與定期審查反映組織對(duì)信息保護(hù)需求的機(jī)密性或不可公開協(xié)議的各項(xiàng)要求。g）應(yīng)檢查是否具有對(duì)不再適用的權(quán)限及時(shí)取消授權(quán)的記錄。7.2,2.4溝通和合作（G3）a）應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通，定期或不定期召開協(xié)調(diào)會(huì)議，共同協(xié)作處理信息安全問題；a）應(yīng)訪談安全主管，詢問是否建立與外單位（公安機(jī)關(guān)、電信公司、兄弟單位、供應(yīng)商、業(yè)界專家、專業(yè)的安全公

15、司、安全組織等），與組織機(jī)構(gòu)內(nèi)其它部門之間及內(nèi)部各部門管理人員之間的溝通、合作機(jī)制，與外單位和其他部門有哪些合作內(nèi)容，溝通、合作方式有哪些；b）應(yīng)訪談安全主管，詢問是否召開過部門間協(xié)調(diào)會(huì)議，組織其它部門人員共同協(xié)助處理信息系統(tǒng)安全有關(guān)問題，安全管理機(jī)構(gòu)內(nèi)部是否召開過安全工作會(huì)議部署安全工作的實(shí)施，參加會(huì)議的部門和人員有哪些，會(huì)議結(jié)果如何；信息安全領(lǐng)導(dǎo)小組或者安全管理委員會(huì)是否定期召開例會(huì)；c）應(yīng)訪談安全主管，詢問是否聘請(qǐng)信息安全專家作為常年的安全顧問，指導(dǎo)信息安全建設(shè)，參與安全規(guī)劃和安全評(píng)審等；d）應(yīng)訪談安全管理人員（從系統(tǒng)管理員和安全員等人員中抽查），詢問其與外單位人員，與組織機(jī)構(gòu)內(nèi)其他部門

16、人員，與內(nèi)部各部門管理人員之間的溝通方式和主要溝通內(nèi)容有哪些；e）應(yīng)檢查部門間協(xié)調(diào)會(huì)議文件或會(huì)議記錄，訪談，檢查。安全主管，安全管理人員，會(huì)議文件，會(huì)議記錄，外聯(lián)單位說明文檔，安全顧問名單。b）應(yīng)加強(qiáng)與兄弟單位、公安機(jī)關(guān)、電信公司的合作與溝通；c）應(yīng)加強(qiáng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通；A.6.2.3說明第三方契約的安全要求凡涉及存取、處理、通訊或管理組織的信息或信息處理設(shè)施，或在信息處理設(shè)施上附加產(chǎn)品或服務(wù)者，應(yīng)在與第三方之協(xié)議中涵蓋所有相關(guān)的安全要求。d）應(yīng)建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息；A.6.1.6與主管機(jī)關(guān)的聯(lián)系A(chǔ).6

17、.2.1鑒別與外部團(tuán)體有關(guān)的風(fēng)險(xiǎn)a）應(yīng)與有關(guān)的主管機(jī)關(guān)維持適當(dāng)聯(lián)系。B）組織營(yíng)運(yùn)過程中涉及外部團(tuán)體的組織信息與信息處理設(shè)施之風(fēng)險(xiǎn)，應(yīng)在核準(zhǔn)外部團(tuán)體存取前被加以鑒查看是否有會(huì)議內(nèi)容、會(huì)議時(shí)間、參加人員和結(jié)果等的描述；f）應(yīng)檢查安全工作會(huì)議文件或會(huì)議記錄，查看是否有會(huì)議內(nèi)容、會(huì)議時(shí)間、參加人員和會(huì)議結(jié)果等的描述；g）應(yīng)檢查信息安全領(lǐng)導(dǎo)小組或者安全管理委員會(huì)定期例會(huì)會(huì)議文件或會(huì)議記錄，查看是否有會(huì)議內(nèi)容、會(huì)議時(shí)間、參加人員、會(huì)議結(jié)果等的描述；h）應(yīng)檢查外聯(lián)單位說明文檔，查看外聯(lián)單位是否包含公安機(jī)關(guān)、電信公司、兄弟單位、供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織等，是否說明外聯(lián)單位的聯(lián)系人和聯(lián)系方式等

18、內(nèi)容；i）應(yīng)檢查是否具有安全顧問名單或者聘請(qǐng)安全顧問的證明文件，查看由安全顧問指導(dǎo)信息安全建設(shè)、參與安全規(guī)劃和安全評(píng)審的相關(guān)文檔或記錄，是否具有由安全顧問簽字的相關(guān)建議。別，并實(shí)施適當(dāng)?shù)目刂拼胧?。e）應(yīng)聘請(qǐng)信息安全專家作為常年的安全顧問，指導(dǎo)信息安全建設(shè)，參與安全規(guī)劃和安全評(píng)審等。A.6.1.7與特殊利害團(tuán)體的聯(lián)系應(yīng)與特殊利害團(tuán)體或其它安全論壇專家及專業(yè)協(xié)會(huì)維持適當(dāng)聯(lián)系。7.2,2.5審核和檢查（G3）a）安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況；a）應(yīng)訪談安全主管，詢問是否組織人員定期對(duì)信息系統(tǒng)進(jìn)行安全檢查，檢查周期多長(zhǎng)，是否定期分析、評(píng)審異常行為

19、的審計(jì)記錄；b）應(yīng)訪談安全員，詢問安全檢查包含哪些內(nèi)A.6.1.8獨(dú)立的信息安全審查應(yīng)在規(guī)劃的期間內(nèi)或發(fā)生安全實(shí)施上有重大變更時(shí)，獨(dú)立審查組織管理信息安全的方案與其實(shí)施（例如：訪談，檢查。安全主管，安全員，安全檢查制度，安全b）應(yīng)由內(nèi)部人員或上級(jí)單位定期進(jìn)行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配輅與安全策略的一致性、安全管理制度的執(zhí)行情況等；容，檢查人員有哪些，檢查程序是否按照系統(tǒng)相關(guān)策略和要求進(jìn)行，是否制定安全檢查表格實(shí)施安全檢查，檢查結(jié)果如何，是否對(duì)檢查結(jié)果進(jìn)行通報(bào)，通報(bào)形式、范圍如何；c）應(yīng)檢查安全檢查制度文檔，查看文檔是否規(guī)定檢查內(nèi)容、檢查程序和檢查周期等，檢查內(nèi)容

20、是否包括現(xiàn)有安全技術(shù)措施的有效性、安全配輅與安全策略的一致性、安全管理制度的執(zhí)行情況等，是否包括用戶賬號(hào)情況、系統(tǒng)漏洞情況、系統(tǒng)審計(jì)情況等；d）應(yīng)檢查安全檢查報(bào)告，查看報(bào)告日期與檢查周期是否一致，報(bào)告中是否有檢查內(nèi)容、檢查人員、檢查數(shù)據(jù)匯總表、檢查結(jié)果等的描述；e）應(yīng)檢查安全檢查過程記錄，查看記錄的檢查程序與文件要求是否一致；f）應(yīng)檢查審計(jì)分析報(bào)告，查看報(bào)告日期與檢查周期是否一致，報(bào)告中是否有分析人員、異常問題和分析結(jié)果等的描述，是否對(duì)發(fā)現(xiàn)的問題提出相應(yīng)的措施；g）應(yīng)檢查是否具有安全檢查表格。信息安全的控制目標(biāo)、控制措施、政策、過程及程序）。檢查報(bào)告，審計(jì)分析報(bào)告，安全檢查過程記錄，安全檢查表

21、格。c）應(yīng)制定安全檢查表格實(shí)施安全檢查，匯總安全檢查數(shù)據(jù)，形成安全檢查報(bào)告，并對(duì)安全檢查結(jié)果進(jìn)行通報(bào)；d）應(yīng)制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作，定期按照程序進(jìn)行安全審核和安全檢查活動(dòng)。A.6.2,2處理顧客事務(wù)的安全說明在給予客戶存取組織信息或資產(chǎn)前，所有已鑒別的安全要求應(yīng)被提出說明7.2.3人員安全管理7.2.3.1人員錄用(G3)a）應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用；a）應(yīng)訪談人事負(fù)責(zé)人，詢問在人員錄用時(shí)對(duì)人員條件有哪些要求，目前錄用的安全管理和技術(shù)人員是否有能力完成與其職責(zé)相對(duì)應(yīng)的工作；b）應(yīng)訪談人事工作人員，詢問在人員錄用時(shí)是否對(duì)被錄用人的身份、背景、專業(yè)資格

22、和資質(zhì)進(jìn)行審查，對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核，錄用后是否與其簽署保密協(xié)議，是否對(duì)其說明工作職責(zé)；c）應(yīng)訪談人事負(fù)責(zé)人，詢問對(duì)從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全安全協(xié)議，是否定期對(duì)關(guān)鍵崗位人員進(jìn)行信用審查，審查周期多長(zhǎng)；d）應(yīng)檢查人員錄用要求管理文檔，查看是否說明錄用人員應(yīng)具備的條件，如學(xué)歷、學(xué)位要求，技術(shù)人員應(yīng)具備的專業(yè)技術(shù)水平，管理人員應(yīng)具備的安全管理知識(shí)等；e）應(yīng)檢查是否具有人員錄用時(shí)對(duì)錄用人身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查的相關(guān)文檔或記錄，查看是否記錄審查內(nèi)容和審查結(jié)果等；f）應(yīng)檢查技能考核文檔或記錄，查看是否記錄考核內(nèi)容和考核結(jié)果等；g）應(yīng)檢查保密協(xié)議，

23、查看是否有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容；A.8人力資源安全A.8.1.1角色與職責(zé)A.8.2.1管理職責(zé)聘雇人員、承包商及第三方使用者的安全角色與職責(zé)，應(yīng)依照組織的信息安全政策加以界定與文件化。管理階層應(yīng)要求聘雇人員、承包商及第三方使用者，依照組織已制定的政策與程序應(yīng)用于安全事宜。訪談，檢查。人事負(fù)責(zé)人，人事工作人員，人員錄用要求管理文檔，人員審查文檔或記錄，考核文檔或記錄，保密協(xié)議，崗位安全協(xié)議，審查記錄。b）應(yīng)嚴(yán)格規(guī)范人員錄用過程，對(duì)被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查，對(duì)其所具有的技術(shù)技能進(jìn)行考核；A.8.1.2篩選應(yīng)依照相關(guān)法律、法規(guī)及倫理

24、，并兼顧營(yíng)運(yùn)要求之相稱性、被存取信息的分類及所理解的風(fēng)險(xiǎn)，對(duì)所有聘雇之應(yīng)征者、承包商及第三方使用者，進(jìn)行背景查證核對(duì)c）應(yīng)簽署保密協(xié)議；A.8.1.3聘雇條款身為契約義務(wù)的一方，聘雇人員、承包商及第三方使用者應(yīng)同意并簽署其聘雇契約的條款，該契約應(yīng)陳述其與組織對(duì)信息安全的職責(zé)。d）應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員，并簽署崗位安全協(xié)議。h）應(yīng)檢查崗位安全協(xié)議，查看是否有崗位安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人簽字等內(nèi)容；i）應(yīng)檢查信用審查記錄，查看是否記錄了審查內(nèi)容和審查結(jié)果等，查看審查時(shí)間與審查周期是否一致。7.2,3.2人員離崗(G3)a）應(yīng)嚴(yán)格規(guī)范人員離崗過程，及時(shí)終止離崗員工的所

25、有訪問權(quán)限；a）應(yīng)訪談安全主管，詢問是否及時(shí)終止離崗人員的所有訪問權(quán)限，取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備等；b）應(yīng)訪談人事工作人員，詢問調(diào)離手續(xù)包括哪些，是否要求調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開；c）應(yīng)檢查人員離崗的管理文檔，查看是否規(guī)定了調(diào)離手續(xù)和離崗要求等；d）應(yīng)檢查是否具有交還身份證件和設(shè)備等的記錄；e）應(yīng)檢查保密承諾文檔，查看是否有調(diào)離人員的簽字。A.8.3.1終止職責(zé)執(zhí)行聘雇終止或變更的職責(zé)應(yīng)清楚的界定與指派。訪談，檢查。安全主管，人事工作人員，人員離崗管理文檔，保密承諾文檔。b）應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備；A.8.3.2資產(chǎn)的歸

26、還所有聘雇人員、承包商及第三方使用者在其聘雇、契約或協(xié)議終止時(shí)，應(yīng)歸還其擁有的所有組織資產(chǎn)。c）應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)，關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務(wù)后方可離開。A.8.3.3存取權(quán)限的移除所有聘雇人員、承包商及第三方使用者對(duì)信息與信息處理設(shè)施的存取權(quán)限，在其聘雇、契約或協(xié)議終止時(shí)，或因變更而調(diào)整時(shí)，均應(yīng)予以移除。7.2.3.3人員考核(G3)a）應(yīng)定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核；a）應(yīng)訪談安全主管，詢問是否有人負(fù)責(zé)定期對(duì)各個(gè)崗位人員進(jìn)行安全技能及安全知識(shí)的考核；b）應(yīng)訪談人事工作人員，詢問對(duì)各個(gè)崗位人員的考核情況，考核周期多長(zhǎng)，考核內(nèi)容有哪些；詢問對(duì)人員的安全審查情況

27、，審查人員是否包含所有崗位人員，審查內(nèi)容有哪些A.8.2.2信息安全認(rèn)知、教育及訓(xùn)練組織所有聘雇人員、相關(guān)的承包商及第三方使用者均應(yīng)接受與其工作功能相關(guān)之適切認(rèn)知訓(xùn)練，以及組織政策與程序定期更新的內(nèi)容。訪談，檢查。安全主管，人事工作人員，人員考核記錄。a）如果7.2.3.3.4b）被訪談人員表述審查內(nèi)容包含社會(huì)關(guān)系、社交活動(dòng)、操作行為等各個(gè)方面，則該項(xiàng)為b）應(yīng)對(duì)關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核；（如操作行為、社會(huì)關(guān)系、社交活動(dòng)等），是否全面；c）應(yīng)訪談人事工作人員，詢問對(duì)違背安全策略和規(guī)定的人員有哪些懲戒措施；c）應(yīng)對(duì)考核結(jié)果進(jìn)行記錄并保存。d）應(yīng)檢查考核記錄，查看記錄的考核人

28、員是否包括各個(gè)崗位的人員，考核內(nèi)容是否包含安全知識(shí)、安全技能等；查看記錄日期與考核周期是否一致。肯定；b）如果7.2,3.3.4c）被訪談人員表述與文件描述一致，則該項(xiàng)為肯定；c）7.2.3.3.4a）-d）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)項(xiàng)要7.2.3.4安全意識(shí)教育和培訓(xùn)（G3）a）應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)1;b）應(yīng)對(duì)安全責(zé)任和懲戒措施進(jìn)行書面規(guī)定并告知相關(guān)人員，對(duì)違反違背安全策略和規(guī)定的人員進(jìn)行懲戒；c）應(yīng)對(duì)定期安全教育和培訓(xùn)進(jìn)行書面規(guī)定，針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃，對(duì)信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn)；d）應(yīng)對(duì)安全教育和培訓(xùn)的情況和結(jié)果進(jìn)

29、行記錄并歸檔保存。a）應(yīng)訪談安全主管，詢問是否制定安全教育和培訓(xùn)計(jì)劃并按計(jì)劃對(duì)各個(gè)崗位人員進(jìn)行安全教育和培訓(xùn)，以什么形式進(jìn)行，效果如何；b）應(yīng)訪談安全員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和數(shù)據(jù)庫管理員，考查其對(duì)工作相關(guān)的信息安全基礎(chǔ)知識(shí)、安全責(zé)任和懲戒措施等的理解程度；c）應(yīng)檢查安全教育和培訓(xùn)計(jì)劃文檔，查看是否具有不同崗位的培訓(xùn)計(jì)劃；查看計(jì)劃是否明確了培訓(xùn)目的、培訓(xùn)方式、培訓(xùn)對(duì)象、培訓(xùn)內(nèi)容、培訓(xùn)時(shí)間和地點(diǎn)等，培訓(xùn)內(nèi)容是否包含信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等；d）應(yīng)檢查是否具有安全教育和培訓(xùn)記錄，查看記錄是否有培訓(xùn)人員、培訓(xùn)1內(nèi)容、培訓(xùn)結(jié)果等的描述；查看記錄與培訓(xùn)計(jì)劃是否一致。求。訪談，檢查。安全主管，安

30、全員，系統(tǒng)管理員，網(wǎng)絡(luò)管理員，數(shù)據(jù)庫管理員，培訓(xùn)計(jì)劃，培訓(xùn)記錄。a）如果7.2.3.4.4b）訪談人員能夠表述清楚詢問內(nèi)容，且安全職責(zé)、懲戒措施和崗位操作規(guī)程表述與文件描述一致，則該項(xiàng)為肯定；b）7.2.3.4.4a）-d）均為肯定，則信息系統(tǒng)符合本單元測(cè)評(píng)項(xiàng)要求。A.8.2.3懲罰過程對(duì)違反安全的聘雇人員，應(yīng)有正式的懲罰過程。A.8.2.2a）應(yīng)確保在外部人員訪問受控區(qū)域前先提出書面申請(qǐng)，批準(zhǔn)后由專人全程陪同或監(jiān)督，并登記備案；a）應(yīng)訪談安全主管，詢問對(duì)第三方人員（如向系統(tǒng)提供服務(wù)的系統(tǒng)軟、硬件維護(hù)人員，業(yè)務(wù)合作伙伴、評(píng)估人員等）的訪問采取哪些管理措施，是否要求第三方人員訪問前與機(jī)構(gòu)簽署安全

31、責(zé)任合同書或保密協(xié)議；b）應(yīng)訪談安全管理人員，詢問對(duì)第三方人員訪問重要區(qū)域（如訪問主機(jī)房、重要服務(wù)器或設(shè)備、保密文檔等）采取哪些措施，是否經(jīng)有關(guān)負(fù)責(zé)人書面批準(zhǔn)，是否由專人全程陪同或監(jiān)督，是否進(jìn)行記錄并備案管理；c）應(yīng)檢查安全責(zé)任合同書或保密協(xié)議，查看是否有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等。d）應(yīng)檢查第三方人員訪問管理文檔，查看是否明確第三方人員包括哪些人員，允許第三方人員訪問的范圍（區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容），第三方人員進(jìn)入條件（對(duì)哪些重要區(qū)域的訪問須提出書面申請(qǐng)批準(zhǔn)后方可進(jìn)入），第三方人員進(jìn)入的訪問控制（由專人全程陪同或監(jiān)督等）和第三方人員的離開條件等；e）應(yīng)

32、檢查第三方人員訪問重要區(qū)域批準(zhǔn)文檔，查看是否有第三方人員訪問重要區(qū)域的書面申請(qǐng)，是否有批準(zhǔn)人允許訪問的批準(zhǔn)簽字等；f）應(yīng)檢查第三方人員訪問重要區(qū)域的登記訪談，檢查。安全主管，安全管理人員，安全責(zé)任合同書或保密協(xié)議，第三方人員訪問管理文檔，訪問批準(zhǔn)文檔，登記記錄。7.2,3.5外部人員訪問管理（G3）b）對(duì)外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)進(jìn)行書面的規(guī)定，并按照規(guī)定執(zhí)行。A.10.2.1服務(wù)遞送在第三方服務(wù)遞送協(xié)議內(nèi)所包含的安全控制措施、服務(wù)界定及遞送等級(jí)應(yīng)確保被第三方加以實(shí)施、操作及維持。記錄，查看記錄是否描述了第三方人員訪問重要區(qū)域的進(jìn)入時(shí)間、離開時(shí)間、訪問區(qū)域、訪問設(shè)備或信息

33、及陪同人等信息。A.10.2.2第三方服務(wù)的監(jiān)督與審查應(yīng)定期監(jiān)督與審查由第三方所提供的服務(wù)、報(bào)告及紀(jì)錄，并應(yīng)定期執(zhí)行稽核。A.10.2.3第三方服務(wù)的變更管理服務(wù)條款的變更，包括維持與改進(jìn)現(xiàn)有的信息安全政策、程序及控制措施均應(yīng)加以管理，并考慮所涉營(yíng)運(yùn)系統(tǒng)與過程的重要性以及風(fēng)險(xiǎn)的重新評(píng)鑒。7.2.4系統(tǒng)建設(shè)管理7.2.4.1系統(tǒng)定級(jí)(G3)a）應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)；a）應(yīng)訪談安全主管，詢問劃分信息系統(tǒng)的方法和確定信息系統(tǒng)安全保護(hù)等級(jí)的方法是否參照定級(jí)指南的指導(dǎo)，是否對(duì)其進(jìn)行明確描述；是否組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)定級(jí)結(jié)果進(jìn)行論證和審定，定級(jí)結(jié)果是否獲得了相關(guān)部門（如上級(jí)主管部

34、門）的批準(zhǔn)；訪談，檢查。安全主管，系統(tǒng)劃分文檔，系統(tǒng)定級(jí)文檔，專家論證文檔，系統(tǒng)屬a）7.2.4.1.4a）沒有上級(jí)主管部門的，如果有安全主管的批準(zhǔn)，則該項(xiàng)為肯定；b）應(yīng)以書面的形式說明確定信息系統(tǒng)為某個(gè)安全保護(hù)等級(jí)的方法和理由；c）應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)信息系統(tǒng)定級(jí)結(jié)果的合理性和正確性進(jìn)行論證和審定；b）應(yīng)檢查系統(tǒng)劃分文檔，查看文檔是否明確描述信息系統(tǒng)劃分的方法和理由；c）應(yīng)檢查系統(tǒng)定級(jí)文檔，查看文檔是否給出信息系統(tǒng)的安全保護(hù)等級(jí)，是否明確描述確定信息系統(tǒng)為某個(gè)安全保護(hù)等級(jí)的方法和理由，是否給出安全等級(jí)保護(hù)措施組成SxAyGz值；查看定級(jí)結(jié)果是否有相關(guān)部門的批準(zhǔn)蓋章；d）應(yīng)檢查專

35、家論證文檔，查看是否有專家對(duì)定級(jí)結(jié)果的論證意見；e）應(yīng)檢查系統(tǒng)屬性說明文檔，查看文檔是否明確了系統(tǒng)使命、業(yè)務(wù)、網(wǎng)絡(luò)、硬件、軟件、數(shù)據(jù)、邊界、人員等。性說明文檔。d）應(yīng)確保信息系統(tǒng)的定級(jí)結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)。7.2,4.2安全方案設(shè)計(jì)（G3）a）應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇基本安全措施，并依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施；a）應(yīng)訪談安全主管，詢問是否授權(quán)專門的部門對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，由何部門/何人負(fù)責(zé)；b）應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃，是否根據(jù)系統(tǒng)的安全級(jí)別選擇基本安全措施，是否依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施，做過哪些調(diào)整；c）應(yīng)訪談系

36、統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否根據(jù)信息系統(tǒng)的等級(jí)劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全A.12.1.1安全要求分析與規(guī)格A.12.6技術(shù)脆弱性管理a）對(duì)新信息系統(tǒng)之營(yíng)運(yùn)要求聲明，或?qū)ΜF(xiàn)有信息系統(tǒng)的提升，應(yīng)規(guī)定安全控制措施要求。B）降低因所使用之已公布技術(shù)的脆弱性所導(dǎo)致的風(fēng)險(xiǎn)。訪談，檢查。安全主管，系統(tǒng)建設(shè)負(fù)責(zé)人，總體安全策略文檔，安全技術(shù)框架，安全管理策略文檔，總體建設(shè)規(guī)劃書，詳細(xì)設(shè)計(jì)方案，專家論證文b）應(yīng)指定和授權(quán)專門的部門對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃；c）應(yīng)根據(jù)信息系統(tǒng)的等級(jí)劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、

37、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案，并形成配套文件；管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案等；d）應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進(jìn)行論證和審定，并經(jīng)過管理部門的批準(zhǔn)；e）應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否根據(jù)安全測(cè)評(píng)、安全評(píng)估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件，維護(hù)周期多長(zhǎng)；f）應(yīng)檢查系統(tǒng)的安全建設(shè)工作計(jì)劃，查看文件是否明確了系統(tǒng)的近期安全建設(shè)計(jì)劃和遠(yuǎn)期安全建設(shè)計(jì)劃；g）應(yīng)檢查系統(tǒng)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)

38、計(jì)方案等配套文件，查看各個(gè)文件是否有機(jī)構(gòu)管理層的批準(zhǔn)；h）應(yīng)檢查專家論證文檔，查看是否有相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的論證意見；i）應(yīng)檢查是否具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的維護(hù)記錄或修訂版本，查看記錄日期與維護(hù)周期是否一致。檔，維護(hù)記錄。d）應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過批準(zhǔn)后，才能正式實(shí)施；A.12.2應(yīng)用系統(tǒng)的正確處理防止應(yīng)用系

39、統(tǒng)內(nèi)信息的錯(cuò)誤、遺失、未授權(quán)修改或誤用。e）應(yīng)根據(jù)等級(jí)測(cè)評(píng)、安全評(píng)估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件。7.2,4.3產(chǎn)品采購(gòu)和使用（G3）a）應(yīng)確保安全產(chǎn)品采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定；a）應(yīng)訪談安全主管，詢問是否有專門的部門負(fù)責(zé)產(chǎn)品的采購(gòu)，由何部門負(fù)責(zé)；b）應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問系統(tǒng)信息安全產(chǎn)品的采購(gòu)情況，采購(gòu)產(chǎn)品前是否預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試確定產(chǎn)品的候選范圍，是否有產(chǎn)品米購(gòu)清單指導(dǎo)產(chǎn)品米購(gòu)，米購(gòu)過程如何控制，是否定期審定和更新候選產(chǎn)品名單，審定周期多長(zhǎng)；c）應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問系統(tǒng)是否采用了密碼產(chǎn)品，密碼產(chǎn)品的

40、使用是否符合國(guó)家密碼主管部門的要求；d）應(yīng)檢查產(chǎn)品采購(gòu)管理制度，查看內(nèi)容是否明確采購(gòu)過程的控制方法（如采購(gòu)前對(duì)產(chǎn)品做選型測(cè)試，明確需要的產(chǎn)品性能指標(biāo)，確定產(chǎn)品的候選范圍，通過招投標(biāo)方式確定采購(gòu)產(chǎn)品等）和人員行為準(zhǔn)則等方面；e）應(yīng)檢查系統(tǒng)使用的有關(guān)信息安全產(chǎn)品（邊界安全設(shè)備、重要服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫等）是否符合國(guó)家的有關(guān)規(guī)定；f）應(yīng)檢查密碼產(chǎn)品的使用情況是否符合密碼產(chǎn)品使用、管理的相關(guān)規(guī)定，例如商用密碼管理?xiàng)l例規(guī)定任何單位只能使用經(jīng)過國(guó)家密碼管理機(jī)構(gòu)認(rèn)可的商用密碼產(chǎn)品，商用密碼產(chǎn)品發(fā)生故障，必須有國(guó)家密碼管理機(jī)構(gòu)指定的單位維修，報(bào)廢商用密碼產(chǎn)品應(yīng)向國(guó)家密碼管理機(jī)構(gòu)備案，計(jì)算機(jī)信息系訪談，檢查。

41、安全主管，系統(tǒng)建設(shè)負(fù)責(zé)人，產(chǎn)品采購(gòu)管理制度，產(chǎn)品選型測(cè)試結(jié)果記錄，候選產(chǎn)品名單審定記錄。a）如果7.2.4.4.4c）訪談?wù)f明沒有采用密碼產(chǎn)品，則測(cè)評(píng)實(shí)施c）、f）為不適用；b）應(yīng)確保密碼產(chǎn)品采購(gòu)和使用符合國(guó)家密碼主管部門的要求；c）應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購(gòu)；d）應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單。統(tǒng)保密工作暫行規(guī)定規(guī)定涉密系統(tǒng)配輅合格的保密專用設(shè)備，所采取的保密措施應(yīng)與所處理信息的密級(jí)要求相一致等；g）應(yīng)檢查是否具有產(chǎn)品選型測(cè)試結(jié)果記錄、候選產(chǎn)品名單審定記錄或更新的候選產(chǎn)品名單。7.2,4.4自行軟件開發(fā)（G3）a）應(yīng)確保開發(fā)環(huán)境與實(shí)際運(yùn)行

42、環(huán)境物理分開，開發(fā)人員和測(cè)試人員分離，測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制；a）應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問系統(tǒng)是否自主開發(fā)軟件，是否對(duì)程序資源庫的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)，授權(quán)部門是何部門，批準(zhǔn)人是何人，軟件開發(fā)是否有相應(yīng)的控制措施，是否要求開發(fā)人員不能做測(cè)試人員（即二者分離），是否在獨(dú)立的模擬環(huán)境中編寫、調(diào)試和完成；b）應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問系統(tǒng)開發(fā)文檔是否由專人負(fù)責(zé)保管，負(fù)責(zé)人是何人，如何控制使用（如限制使用人員范圍并做使用登記等），測(cè)試數(shù)據(jù)和測(cè)試結(jié)果是否受到控制；c）應(yīng)檢查是否具有軟件設(shè)計(jì)的相關(guān)文檔（應(yīng)用軟件設(shè)計(jì)程序文件、源代碼說明文檔等）和軟件使用指南或操作手冊(cè)和維護(hù)手冊(cè)等；d）應(yīng)檢查

43、軟件開發(fā)環(huán)境與系統(tǒng)運(yùn)行環(huán)境在物理上是否是分開的；e）應(yīng)檢查對(duì)程序資源庫的修改、更新、發(fā)布進(jìn)行授權(quán)和審批的文檔或記錄，查看是否有批準(zhǔn)人的簽字；A.10.1.4開發(fā)、測(cè)試及操作設(shè)施的分隔應(yīng)分隔開發(fā)、測(cè)試及操作設(shè)施，以降低對(duì)操作系統(tǒng)未經(jīng)授權(quán)存取或變更的風(fēng)險(xiǎn)。訪談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，軟件設(shè)計(jì)相關(guān)文檔和使用指南，審批文檔或記錄，文檔使用控制記錄。b）應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則；c）應(yīng)制定代碼編寫安全規(guī)范，要求開發(fā)人員參照規(guī)范編寫代碼；d）應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保管；e）應(yīng)確保對(duì)程序資源庫的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)。f）應(yīng)檢查是

44、否具有系統(tǒng)軟件開發(fā)相關(guān)文檔（軟件設(shè)計(jì)和開發(fā)程序文件、測(cè)試數(shù)據(jù)、測(cè)試結(jié)果、維護(hù)手冊(cè)等）的使用控制記錄。7.2,4.5外包軟件開發(fā)（G3）a）應(yīng)根據(jù)開發(fā)需求檢測(cè)軟件質(zhì)量；a）應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問在外包軟件前是否對(duì)軟件開發(fā)單位以書面文檔形式（如軟件開發(fā)安全協(xié)議）規(guī)范軟件開發(fā)單位的責(zé)任、開發(fā)過程中的安全行為、開發(fā)環(huán)境要求、軟件質(zhì)量、開發(fā)后的服務(wù)承諾等內(nèi)容；b）應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否具有獨(dú)立對(duì)軟件進(jìn)行日常維護(hù)和使用所需的文檔，開發(fā)單位是否為軟件的正常運(yùn)行和維護(hù)提供過技術(shù)支持，以何種方式進(jìn)行；c）應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問軟件交付前是否依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測(cè)，驗(yàn)

45、收檢測(cè)是否是由開發(fā)商和委托方共同參與；軟件安裝之前是否檢測(cè)軟件中的惡意代碼，檢測(cè)工具是否是第三方的商業(yè)產(chǎn)品；d）應(yīng)檢查軟件開發(fā)協(xié)議，查看其是否規(guī)定知識(shí)產(chǎn)權(quán)歸屬、安全行為等內(nèi)容；e）應(yīng)檢查是否具有需求分析說明書、軟件設(shè)計(jì)說明書、軟件操作手冊(cè)等開發(fā)文檔以及用戶培訓(xùn)計(jì)劃、程序員培訓(xùn)手冊(cè)等后期技術(shù)支持文檔。訪談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，軟件開發(fā)安全協(xié)議，軟件開發(fā)文檔，軟件培訓(xùn)文檔。b）應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼；c）應(yīng)要求開發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南；d）應(yīng)要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門。7.2,4.6工程實(shí)施(G3)a）應(yīng)指定或授權(quán)專門的部門或人

46、員負(fù)責(zé)工程實(shí)施過程的管理；a）應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否以書面形式（如工程安全建設(shè)協(xié)議）約束工程實(shí)施方的工程實(shí)施行為；b）應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否指定專門人員或部門按照工程實(shí)施方案的要求對(duì)工程實(shí)施過程進(jìn)行進(jìn)度和質(zhì)量控制，是否將控制方法和工程人員行為規(guī)范制度化，是否要求工程實(shí)施單位提供其能夠安全實(shí)施系統(tǒng)建設(shè)的資質(zhì)證明和能力保證；c）應(yīng)檢查工程安全建設(shè)協(xié)議，查看其是否規(guī)定工程實(shí)施方的責(zé)任、任務(wù)要求、質(zhì)量要求等方面內(nèi)容，約束工程實(shí)施行為；d）應(yīng)檢查工程實(shí)施方案，查看其是否規(guī)定工程時(shí)間限制、進(jìn)度控制、質(zhì)量控制等方面內(nèi)容，工程實(shí)施過程是否按照實(shí)施方案形成各種文檔，如階段性工程報(bào)告；e）應(yīng)檢查工

47、程實(shí)施管理制度，查看其是否規(guī)定工程實(shí)施過程的控制方法（如內(nèi)部階段性控制或外部監(jiān)理單位控制）、實(shí)施參與人員的各種行為等方面內(nèi)容。訪談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，工程安全建設(shè)協(xié)議，工程實(shí)施方案，工程實(shí)施管理制度。b）應(yīng)制定詳細(xì)的工程實(shí)施方案控制實(shí)施過程，并要求工程實(shí)施單位能正式地執(zhí)行安全工程過程；c）應(yīng)制定工程實(shí)施方面的管理制度，明確說明實(shí)施過程的控制方法和人員行為準(zhǔn)則。7.2.4.7規(guī)劃與驗(yàn)收（G3）a）應(yīng)委托公正的第三方測(cè)試單位對(duì)系統(tǒng)進(jìn)行安全性測(cè)試，并出具安全性測(cè)試報(bào)告；a）應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問在信息系統(tǒng)正式運(yùn)行前，是否委托第三方測(cè)試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試；

48、A.10.3.2系統(tǒng)驗(yàn)收對(duì)新的信息系統(tǒng)、系統(tǒng)升級(jí)及新版本的驗(yàn)收準(zhǔn)則應(yīng)加以建立，并且在開發(fā)期間與驗(yàn)收前應(yīng)完成適當(dāng)之系統(tǒng)訪談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，測(cè)試方案，測(cè)試記錄，測(cè)b）在測(cè)試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制訂測(cè)試驗(yàn)收方案，在測(cè)試驗(yàn)收過程中應(yīng)詳細(xì)記錄測(cè)試驗(yàn)收結(jié)果，并形成測(cè)試驗(yàn)收?qǐng)?bào)告；b）應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否指定專門部門負(fù)責(zé)測(cè)試驗(yàn)收工作，由何部門負(fù)責(zé)，是否對(duì)測(cè)試過程（包括測(cè)試前、測(cè)試中和測(cè)試后）進(jìn)行文檔化要求和制度化要求；c）應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問是否根據(jù)設(shè)計(jì)方案或合同要求組織相關(guān)部門和人員對(duì)測(cè)試報(bào)告進(jìn)行符合性審定；d）應(yīng)檢查工程測(cè)試方案，查看其是否對(duì)參與測(cè)試部門、人員、現(xiàn)場(chǎng)操作

49、過程等進(jìn)行要求；查看測(cè)試記錄是否詳細(xì)記錄了測(cè)試時(shí)間、人員、操作過程、測(cè)試結(jié)果等方面內(nèi)容；查看測(cè)試報(bào)告是否提出存在問題及改進(jìn)意見等；e）應(yīng)檢查是否具有系統(tǒng)驗(yàn)收?qǐng)?bào)告；f）應(yīng)檢查驗(yàn)收測(cè)試管理制度是否對(duì)系統(tǒng)驗(yàn)收測(cè)試的過程控制、參與人員的行為等進(jìn)行規(guī)定。測(cè)試。試報(bào)告，驗(yàn)收?qǐng)?bào)告，驗(yàn)收測(cè)試管理制度。c）應(yīng)對(duì)系統(tǒng)測(cè)試驗(yàn)收的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定；d）應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)測(cè)試驗(yàn)收的管理，并按照管理規(guī)定的要求完成系統(tǒng)測(cè)試驗(yàn)收工作；e）應(yīng)組織相關(guān)部門和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定，并簽字確認(rèn)。7.2,4.8系統(tǒng)交付(G3)a）應(yīng)制定詳細(xì)的系統(tǒng)交付清單，并根據(jù)交付清單對(duì)所交接的設(shè)備、軟件和

50、文檔等進(jìn)行清點(diǎn)；a）應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問交接手續(xù)是什么，系統(tǒng)交接工作是否由專門部門按照該手續(xù)辦理，是否根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)，交付清單是否滿足合同的有關(guān)要求；是否對(duì)交付工作進(jìn)行制度化要求；b）應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問目前的信息訪談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，系統(tǒng)交付清單，服務(wù)承諾書，系統(tǒng)培訓(xùn)記錄，系統(tǒng)交付管理制b）應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)；c）應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔；系統(tǒng)是否由內(nèi)部人員獨(dú)立運(yùn)行維護(hù)，如果是，系統(tǒng)建設(shè)實(shí)施方是否對(duì)運(yùn)維技術(shù)人員進(jìn)行過培訓(xùn)，針對(duì)哪些方面進(jìn)行過培訓(xùn)，是否以書面形式承諾對(duì)系統(tǒng)運(yùn)行

51、維護(hù)提供一定的技術(shù)支持服務(wù)，是否按照服務(wù)承諾書的要求進(jìn)行過技術(shù)支持，以何形式進(jìn)行，系統(tǒng)是否具有支持其獨(dú)立運(yùn)行維護(hù)所需的文檔；c）應(yīng)檢查系統(tǒng)交付清單，查看其是否具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊(cè)等文檔名稱；d）應(yīng)檢查是否具有系統(tǒng)建設(shè)方的服務(wù)承諾書和對(duì)系統(tǒng)進(jìn)行的培訓(xùn)記錄；e）應(yīng)檢查系統(tǒng)交付管理制度，查看其是否規(guī)定了交付過程的控制方法和對(duì)交付參與人員的行為限制等方面內(nèi)容。A.12.4系統(tǒng)檔案的安全確保系統(tǒng)檔案的安全。度。d）應(yīng)對(duì)系統(tǒng)交付的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定；e）應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)交付的管理工作，并按照管理規(guī)

52、定的要求完成系統(tǒng)交付工作。7.2,4.9系統(tǒng)備案(G3)a）應(yīng)指定專門的部門或人員負(fù)責(zé)管理系統(tǒng)定級(jí)的相關(guān)材料，并控制這些材料的使用；a）應(yīng)訪談安全主管，詢問是否有專門的人員或部門負(fù)責(zé)管理系統(tǒng)定級(jí)、系統(tǒng)屬性等文檔，由何部門/何人負(fù)責(zé)；b）應(yīng)訪談文檔管理員，詢問對(duì)系統(tǒng)定級(jí)、系統(tǒng)屬性等文檔采取哪些控制措施（如限制使用范圍、使用登記記錄等）；c）應(yīng)檢查是否具有將系統(tǒng)定級(jí)文檔和系統(tǒng)屬性說明文件等材料報(bào)主管部門備案的記錄或備案文檔；d）應(yīng)檢查是否具有將系統(tǒng)等級(jí)、系統(tǒng)屬性和訪談，檢查。安全主管，文檔管理員，備案記錄。b）應(yīng)將系統(tǒng)等級(jí)及相關(guān)材料報(bào)系統(tǒng)主管部門備案；c）應(yīng)將系統(tǒng)等級(jí)及其他要求的備案材料報(bào)相應(yīng)公安

53、機(jī)關(guān)備案。等級(jí)劃分理由等備案材料報(bào)相應(yīng)公安機(jī)關(guān)備案的記錄或證明；e）應(yīng)檢查是否具有系統(tǒng)定級(jí)文檔和系統(tǒng)屬性說明文件等相關(guān)材料的使用控制記錄。7.2,4.10等級(jí)測(cè)評(píng)(G3)a）在系統(tǒng)運(yùn)行過程中，應(yīng)至少每年對(duì)系統(tǒng)進(jìn)行一次等級(jí)測(cè)評(píng)，發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改；/b）應(yīng)在系統(tǒng)發(fā)生變更時(shí)及時(shí)對(duì)系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)，發(fā)現(xiàn)級(jí)別發(fā)生變化的及時(shí)調(diào)整級(jí)別并進(jìn)行安全改造，發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改；c）應(yīng)選擇具有國(guó)家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測(cè)評(píng)單位進(jìn)行等級(jí)測(cè)評(píng)；d）應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)等級(jí)測(cè)評(píng)的管理。7.2,4.11安全服務(wù)商選擇（G3）a）應(yīng)確保安全服務(wù)商的選擇符合國(guó)家的有關(guān)規(guī)定；a）應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問對(duì)信息系統(tǒng)進(jìn)行安全規(guī)劃、設(shè)計(jì)、實(shí)施、維護(hù)、測(cè)評(píng)等服務(wù)的安全服務(wù)單位是否符合國(guó)家有關(guān)規(guī)定。訪談。系統(tǒng)建設(shè)負(fù)責(zé)人。b）應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任；c）應(yīng)確保選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾，必要的與其簽訂服務(wù)合同。7.2.5系統(tǒng)運(yùn)維管理7.2.5.1環(huán)境管理(G3)a）應(yīng)指定專門的部門或人員定期對(duì)機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理；a）應(yīng)訪談物理安全負(fù)責(zé)人，詢問是否指定專人或部門對(duì)機(jī)房基本設(shè)施（如空調(diào)、供配電設(shè)備等）進(jìn)行定期維護(hù)，由何部門/何人負(fù)責(zé)，維護(hù)周期多長(zhǎng)；b）應(yīng)訪談物理安