DB11∕T 1344-2016 信息安全等級(jí)保護(hù)檢查規(guī)范

1、 ICS 13.310A 90DB11北 京 市 地 方 標(biāo) 準(zhǔn)DB11/T 13442016信息安全等級(jí)保護(hù)檢查規(guī)范Examination specification for information security classifiedprotection2016-08-10發(fā)布2016-12-01實(shí)施 DB11/T 13442016目 次前言. II1范圍. 12規(guī)范性引用文件. 13術(shù)語(yǔ)和定義. 14檢查流程. 15一級(jí)信息系統(tǒng)檢查. 26二級(jí)信息系統(tǒng)檢查. 77三級(jí)信息系統(tǒng)檢查. 168四級(jí)信息系統(tǒng)檢查. 27I DB11/T 13442016前言本標(biāo)準(zhǔn)按照GB/T 1.12009給

2、出的規(guī)則起草。II DB11/T 13442016信息安全等級(jí)保護(hù)檢查規(guī)范1范圍本標(biāo)準(zhǔn)規(guī)定了對(duì)信息安全等級(jí)保護(hù)狀況進(jìn)行檢查的流程和內(nèi)容要求，其中內(nèi)容要求包括對(duì)信息安全等級(jí)保護(hù)第一級(jí)信息系統(tǒng)、第二級(jí)信息系統(tǒng)、第三級(jí)信息系統(tǒng)和第四級(jí)信息系統(tǒng)進(jìn)行安全檢查的要求。本標(biāo)準(zhǔn)適用于信息安全等級(jí)保護(hù)檢查工作。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 5271.8信息技術(shù)詞匯第8部分:安全GB 17859計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB/T 22239信息安全技術(shù)信

3、息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T 25069信息安全技術(shù)術(shù)語(yǔ)GB/T 25070信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求3術(shù)語(yǔ)和定義GB/T 5271.8、GB 17859、 GB/T 22239、GB/T 25069和GB/T 25070界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1訪談 interview檢查人員通過(guò)引導(dǎo)信息系統(tǒng)相關(guān)人員進(jìn)行有目的的（有針對(duì)性的）交流以幫助檢查人員理解、分析或取得證據(jù)的過(guò)程。3.2查驗(yàn) check檢查人員通過(guò)對(duì)被檢查對(duì)象（如制度文檔、各類(lèi)設(shè)備、安全配置等）進(jìn)行觀察、查閱、核查以幫助檢查人員理解、分析或取得證據(jù)的過(guò)程。3.3測(cè)試 test檢查人員使用預(yù)定的

4、方法/工具使被檢查對(duì)象（各類(lèi)設(shè)備或安全配置）產(chǎn)生特定的結(jié)果，將運(yùn)行結(jié)果與預(yù)期的結(jié)果進(jìn)行比對(duì)的過(guò)程。4檢查流程1 DB11/T 134420164.1前期準(zhǔn)備前期準(zhǔn)備包括的內(nèi)容：調(diào)閱被檢查單位信息系統(tǒng)的備案材料；了解被檢查單位情況；成立檢查小組；準(zhǔn)備必要的檢查材料和檢查工具；制定檢查組工作計(jì)劃，計(jì)劃內(nèi)容應(yīng)包括檢查對(duì)象、檢查人員、檢查各個(gè)階段的工作安排等。4.2現(xiàn)場(chǎng)檢查現(xiàn)場(chǎng)檢查是通過(guò)對(duì)被檢查單位的溝通訪談、文檔審查、配置檢查、工具測(cè)試和實(shí)地查驗(yàn)，并調(diào)閱自查、總結(jié)或等級(jí)測(cè)評(píng)報(bào)告等資料，對(duì)被檢查單位信息安全保護(hù)現(xiàn)狀進(jìn)行檢查，取得檢查總結(jié)活動(dòng)所需的資料?，F(xiàn)場(chǎng)檢查不應(yīng)影響系統(tǒng)的正常運(yùn)行。4.3檢查總結(jié)檢查

5、總結(jié)是根據(jù)現(xiàn)場(chǎng)檢查結(jié)果和本標(biāo)準(zhǔn)的相關(guān)要求，列舉并分析被檢查單位信息系統(tǒng)存在的問(wèn)題，針對(duì)被檢查單位信息系統(tǒng)安全保護(hù)能力出具書(shū)面結(jié)果材料。5一級(jí)信息系統(tǒng)檢查5.1物理安全要求5.1.1物理訪問(wèn)控制檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查物理訪問(wèn)控制措施。檢查方法檢查方法如下：查驗(yàn)是否有進(jìn)出機(jī)房的人員登記記錄。檢查結(jié)果判定檢查結(jié)果判定如下：若機(jī)房出入口沒(méi)有進(jìn)出機(jī)房的人員登記記錄，則檢查結(jié)果為不符合。5.1.2支撐設(shè)施保障檢查內(nèi)容檢查內(nèi)容如下：a)應(yīng)檢查防水措施；b)應(yīng)檢查防火措施；c)應(yīng)檢查溫濕度控制措施；d)應(yīng)檢查穩(wěn)壓設(shè)備。2 DB11/T 13442016檢查方法檢查方法如下：a)查驗(yàn)是否具備防止機(jī)房地下積

6、水轉(zhuǎn)移與滲透的措施，是否對(duì)防水防潮處理結(jié)果和除濕裝置運(yùn)行情況進(jìn)行記錄；b)查驗(yàn)機(jī)房是否配備符合要求的滅火設(shè)備，滅火設(shè)備擺放是否合理，有效期是否合格；c)查驗(yàn)溫濕度自動(dòng)調(diào)節(jié)設(shè)施是否能夠正常運(yùn)行，查驗(yàn)溫濕度控制是否合理；d)查驗(yàn)機(jī)房?jī)?nèi)是否有穩(wěn)壓設(shè)備。檢查結(jié)果判定檢查結(jié)果判定如下：a)若機(jī)房的墻壁或樓板的管道沒(méi)有采取必要的防滲透防漏等防水保護(hù)措施，或防水防潮處理結(jié)果及除濕裝置運(yùn)行記錄缺失，則 a）檢查結(jié)果為不符合；b)若機(jī)房?jī)?nèi)沒(méi)有配備符合要求的滅火設(shè)備，滅火設(shè)備擺放不合理或已過(guò)期，則 b）檢查結(jié)果為不符合；c)若機(jī)房?jī)?nèi)沒(méi)有配備溫濕度自動(dòng)調(diào)節(jié)設(shè)施，或當(dāng)前溫濕度不合理，則 c）檢查結(jié)果為不符合；d)若機(jī)

7、房?jī)?nèi)沒(méi)有設(shè)置穩(wěn)壓器，則 d）檢查結(jié)果為不符合。5.2安全技術(shù)要求5.2.1網(wǎng)絡(luò)結(jié)構(gòu)安全檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查網(wǎng)絡(luò)拓?fù)鋱D。檢查方法檢查方法如下：查驗(yàn)實(shí)際環(huán)境中的核心交換機(jī)、核心服務(wù)器、邊界防火墻等是否能夠在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖中定位。檢查結(jié)果判定檢查結(jié)果判定如下：若網(wǎng)絡(luò)拓?fù)鋱D中無(wú)法定位核心交換機(jī)、核心服務(wù)器、邊界防火墻等關(guān)鍵設(shè)備，則檢查結(jié)果為不符合。5.2.2邊界安全防護(hù)檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查網(wǎng)絡(luò)邊界入侵檢測(cè)措施。檢查方法檢查方法如下：a)查驗(yàn)網(wǎng)絡(luò)邊界設(shè)備是否采取技術(shù)手段防止地址欺騙；3 DB11/T 13442016b)查驗(yàn)網(wǎng)絡(luò)入侵檢測(cè)設(shè)備是否能檢測(cè)以下攻擊行為：端口掃描、漏洞掃描、緩沖

8、區(qū)溢出攻擊、拒絕服務(wù)攻擊等，查看其規(guī)則庫(kù)是否為最新。檢查結(jié)果判定檢查結(jié)果判定如下：a)若重要地址沒(méi)有采用IP/MAC綁定等手段防止地址欺騙，則 a）檢查結(jié)果為不符合；b)若沒(méi)有部署入侵檢測(cè)設(shè)備或入侵檢測(cè)設(shè)備的特征庫(kù)未及時(shí)更新，則 b）檢查結(jié)果為不符合。5.2.3用戶(hù)身份鑒別檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用系統(tǒng)的身份鑒別措施。檢查方法檢查方法如下：查驗(yàn)主要網(wǎng)絡(luò)設(shè)備、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用系統(tǒng)的身份鑒別是否開(kāi)啟。檢查結(jié)果判定檢查結(jié)果判定如下：若主要網(wǎng)絡(luò)設(shè)備、服務(wù)器操作系統(tǒng)、主要數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用系統(tǒng)無(wú)需身份鑒別，則檢查結(jié)果為不符合。5.2.4訪問(wèn)

9、控制檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)的默認(rèn)賬戶(hù)權(quán)限。檢查方法檢查方法如下：查驗(yàn)主要服務(wù)器操作系統(tǒng)和重要數(shù)據(jù)庫(kù)管理系統(tǒng)是否已禁用或者限制匿名/默認(rèn)賬戶(hù)的訪問(wèn)權(quán)限，是否重命名系統(tǒng)默認(rèn)賬戶(hù)名并修改默認(rèn)賬戶(hù)的默認(rèn)口令。檢查結(jié)果判定檢查結(jié)果判定如下：a)操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)默認(rèn)賬戶(hù)名未重命名，默認(rèn)口令未修改，則檢查結(jié)果為不符合；b) Windows操作系統(tǒng)未禁用Guest默認(rèn)賬戶(hù)、Linux操作系統(tǒng)未禁用默認(rèn)用戶(hù)（如daemon、bin、sys、adm等），則檢查結(jié)果為不符合；c)其他操作系統(tǒng)存在未重命名的默認(rèn)系統(tǒng)用戶(hù)，則檢查結(jié)果為不符合。5.2.5系統(tǒng)數(shù)據(jù)保護(hù)4 DB11/T

10、13442016檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查應(yīng)用系統(tǒng)數(shù)據(jù)備份介質(zhì)。檢查方法檢查方法如下：查驗(yàn)是否對(duì)主要網(wǎng)絡(luò)設(shè)備、主要數(shù)據(jù)庫(kù)管理系統(tǒng)和主要應(yīng)用系統(tǒng)的重要信息進(jìn)行了本地備份。檢查結(jié)果判定檢查結(jié)果判定如下：若缺乏主要網(wǎng)絡(luò)設(shè)備、主要數(shù)據(jù)庫(kù)管理系統(tǒng)和主要應(yīng)用系統(tǒng)的重要信息的備份介質(zhì)，則檢查結(jié)果為不符合。5.3安全管理要求5.3.1安全管理機(jī)構(gòu)檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查安全崗位人員配備情況。檢查方法檢查方法如下：查驗(yàn)系統(tǒng)、網(wǎng)絡(luò)、安全方面的管理規(guī)定，記錄系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫(kù)管理員、安全管理員的姓名。檢查結(jié)果判定檢查結(jié)果判定如下：若信息安全管理制度（網(wǎng)絡(luò)、主機(jī)、密碼、審計(jì)等制度）中沒(méi)有明確角色和職

11、責(zé)定義，沒(méi)有信息安全管理崗位人員名單，則檢查結(jié)果為不符合。5.3.2安全管理制度檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查信息安全工作日常安全管理制度。檢查方法檢查方法如下：查驗(yàn)是否制定日常信息安全管理制度，如機(jī)房管理制度等。檢查結(jié)果判定檢查結(jié)果判定如下：若沒(méi)有制定日常信息安全管理制度，如機(jī)房管理制度等，則檢查結(jié)果為不符合。5 DB11/T 134420165.3.3系統(tǒng)人員安全檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查關(guān)鍵崗位人員勞動(dòng)合同和人員離崗記錄。檢查方法檢查方法如下：a)查驗(yàn)關(guān)鍵崗位人員的勞動(dòng)合同，記錄負(fù)責(zé)人員錄用的部門(mén)名稱(chēng)或人員姓名；b)查驗(yàn)離崗人員辦理過(guò)的調(diào)離手續(xù)記錄，記錄離崗員工被終止的訪問(wèn)權(quán)限內(nèi)容。檢查

12、結(jié)果判定檢查結(jié)果判定如下：a)若無(wú)法提供信息安全相關(guān)崗位人員勞動(dòng)合同，則 a）檢查結(jié)果為不符合；b)若對(duì)離崗人員未及時(shí)終止訪問(wèn)權(quán)限，則 b）檢查結(jié)果為不符合。5.3.4系統(tǒng)安全生命周期檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查系統(tǒng)設(shè)計(jì)、系統(tǒng)實(shí)施、系統(tǒng)驗(yàn)收、系統(tǒng)運(yùn)維等生命周期各階段的安全管理制度和相應(yīng)記錄保存情況。檢查方法檢查方法如下：a)查驗(yàn)定級(jí)報(bào)告，記錄定級(jí)報(bào)告名稱(chēng)和蓋章批準(zhǔn)的部門(mén)名稱(chēng)；b)查驗(yàn)安全設(shè)計(jì)方案，記錄安全設(shè)計(jì)方案的名稱(chēng)；c)查驗(yàn)安全產(chǎn)品的銷(xiāo)售許可證副本；d)查驗(yàn)負(fù)責(zé)工程實(shí)施過(guò)程管理的部門(mén)名稱(chēng)或人員姓名；e)查驗(yàn)安全性驗(yàn)收測(cè)試方案和測(cè)試驗(yàn)收?qǐng)?bào)告，記錄報(bào)告的名稱(chēng)；f)查驗(yàn)機(jī)房安全管理制度，記錄制度

13、文檔名稱(chēng)，核對(duì)是否規(guī)定機(jī)房物理訪問(wèn)、物品帶入帶出等；g)查驗(yàn)與信息系統(tǒng)相關(guān)的資產(chǎn)清單，記錄資產(chǎn)清單名稱(chēng)，核對(duì)清單是否至少包括資產(chǎn)名稱(chēng)、資產(chǎn)位置、資產(chǎn)責(zé)任部門(mén)或責(zé)任人等；h)查驗(yàn)設(shè)備管理的部門(mén)名稱(chēng)或人員姓名，記錄部門(mén)名稱(chēng)或人員姓名，查驗(yàn)設(shè)備維護(hù)記錄；i)查驗(yàn)網(wǎng)絡(luò)管理的部門(mén)名稱(chēng)或人員姓名，查驗(yàn)網(wǎng)絡(luò)管理的日常監(jiān)控記錄，核對(duì)記錄是否至少包括監(jiān)控時(shí)間、監(jiān)控內(nèi)容、監(jiān)控人員等；j)查驗(yàn)系統(tǒng)漏洞掃描報(bào)告，記錄掃描報(bào)告的名稱(chēng)，核對(duì)記錄是否至少包括掃描時(shí)間、掃描范圍、發(fā)現(xiàn)的漏洞、處理措施等；k)查驗(yàn)和記錄員工所用殺毒軟件的名稱(chēng)和版本；l)查驗(yàn)安全事件報(bào)告和處置管理制度，是否規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢

14、復(fù)的管理職責(zé)。檢查結(jié)果判定檢查結(jié)果判定如下：6 DB11/T 13442016a)若無(wú)法提供系統(tǒng)定級(jí)報(bào)告書(shū)，無(wú)單位信息安全領(lǐng)導(dǎo)（小組）的批準(zhǔn)蓋章，則 a）檢查結(jié)果為不符合；b)若無(wú)法提供安全設(shè)計(jì)方案，則 b）檢查結(jié)果為不符合；c)若無(wú)法提供安全產(chǎn)品銷(xiāo)售許可證副本，則 c）檢查結(jié)果為不符合；d)若無(wú)法提供負(fù)責(zé)工程實(shí)施過(guò)程管理的部門(mén)名稱(chēng)或人員姓名，則d）檢查結(jié)果為不符合；e)若無(wú)法提供安全驗(yàn)收測(cè)試方案和測(cè)試報(bào)告，則 e）檢查結(jié)果為不符合；f)若無(wú)法提供機(jī)房安全管理制度，對(duì)機(jī)房環(huán)境、重要區(qū)域的訪問(wèn)、人員和物品的出入未進(jìn)行規(guī)定，則 f）檢查結(jié)果為不符合；g)若無(wú)法提供與信息系統(tǒng)相關(guān)的資產(chǎn)清單，清單未包

15、括資產(chǎn)名稱(chēng)、資產(chǎn)位置、資產(chǎn)責(zé)任部門(mén)或責(zé)任人等，則 g）檢查結(jié)果為不符合；h)若無(wú)法提供設(shè)備管理的部門(mén)名稱(chēng)或人員姓名及設(shè)備維護(hù)記錄，則 h）檢查結(jié)果為不符合；i)若無(wú)法提供網(wǎng)絡(luò)管理的部門(mén)名稱(chēng)或人員姓名，網(wǎng)絡(luò)管理的日常監(jiān)控記錄中未包括監(jiān)控時(shí)間、監(jiān)控內(nèi)容、監(jiān)控人員，則 i）檢查結(jié)果為不符合；j)若無(wú)法提供系統(tǒng)漏洞掃描報(bào)告，記錄中未包括掃描時(shí)間、掃描范圍、發(fā)現(xiàn)的漏洞、處理措施等，則 j）檢查結(jié)果為不符合；k)若員工未使用殺毒軟件或病毒庫(kù)未及時(shí)更新，則 k）檢查結(jié)果為不符合；l)若無(wú)法提供安全事件報(bào)告和處置管理制度，或內(nèi)容未覆蓋事件處理、報(bào)告和后期恢復(fù)的管理職責(zé)，則 l）檢查結(jié)果為不符合。6二級(jí)信息系統(tǒng)

16、檢查6.1物理安全要求6.1.1物理位置選擇檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查機(jī)房的選址和所在建筑物的防護(hù)能力。檢查方法檢查方法如下：查驗(yàn)機(jī)房所在樓宇的驗(yàn)收?qǐng)?bào)告是否明確機(jī)房所在建筑的防震、防風(fēng)和防雨等能力。檢查結(jié)果判定檢查結(jié)果判定如下：若無(wú)法提供機(jī)房所在建筑物樓宇的驗(yàn)收?qǐng)?bào)告，或未采取防風(fēng)和防雨等措施，則檢查結(jié)果為不符合。6.1.2物理訪問(wèn)控制檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查物理訪問(wèn)控制措施。7 DB11/T 13442016檢查方法檢查方法如下：a)查驗(yàn)機(jī)房所有出入口是否有值守記錄以及進(jìn)出機(jī)房的人員登記記錄；b)查驗(yàn)是否有來(lái)訪人員進(jìn)入機(jī)房的審批記錄，查驗(yàn)審批記錄是否包括來(lái)訪人員的訪問(wèn)范圍。檢查結(jié)果判定檢

17、查結(jié)果判定如下：a)若機(jī)房任何一個(gè)出入口沒(méi)有值守記錄和進(jìn)出人員登記記錄，則a）檢查結(jié)果為不符合；b)若不具有來(lái)訪人員進(jìn)入機(jī)房的審批記錄，或?qū)徟涗浿胁痪邆鋪?lái)訪人員的訪問(wèn)范圍、所進(jìn)行的操作等審批項(xiàng)，則 b）檢查結(jié)果為不符合。6.1.3支撐設(shè)施保障檢查內(nèi)容檢查內(nèi)容如下：a)應(yīng)檢查防水措施；b)應(yīng)檢查防火措施；c)應(yīng)檢查溫濕度控制措施；d)應(yīng)檢查防靜電措施；e)應(yīng)檢查短期備用電源設(shè)備。檢查方法檢查方法如下：a)查驗(yàn)是否具備防止機(jī)房地下積水轉(zhuǎn)移與滲透的措施，是否對(duì)防水防潮處理結(jié)果和除濕裝置運(yùn)行情況進(jìn)行記錄；b)查驗(yàn)機(jī)房是否設(shè)置了自動(dòng)消防系統(tǒng)，是否有人負(fù)責(zé)維護(hù)該系統(tǒng)的運(yùn)行；查驗(yàn)自動(dòng)消防系統(tǒng)是否正常工作，

18、查看是否有運(yùn)行記錄、報(bào)警記錄、定期檢查和維修記錄；c)查驗(yàn)溫濕度自動(dòng)調(diào)節(jié)設(shè)施是否能夠正常運(yùn)行，查驗(yàn)是否有溫濕度記錄、運(yùn)行記錄和維護(hù)記錄；d)訪談物理安全負(fù)責(zé)人，詢(xún)問(wèn)機(jī)房主要設(shè)備是否采取必要的接地防靜電措施；e)查驗(yàn)計(jì)算機(jī)系統(tǒng)的短期備用電源設(shè)備是否正常運(yùn)行，查驗(yàn)是否有短期備用電源設(shè)備的檢查和維護(hù)記錄。檢查結(jié)果判定檢查結(jié)果判定如下：a)若機(jī)房的墻壁或樓板的管道沒(méi)有采取必要的防滲透防漏等防水保護(hù)措施，或防水防潮處理結(jié)果及除濕裝置運(yùn)行記錄缺失，則 a）檢查結(jié)果為不符合；b)若機(jī)房?jī)?nèi)沒(méi)有設(shè)置自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警、自動(dòng)滅火的自動(dòng)消防系統(tǒng)，或自動(dòng)消防系統(tǒng)無(wú)法正常工作，運(yùn)行記錄、報(bào)警記錄、定期檢查和維修記錄

19、缺失，則 b）檢查結(jié)果為不符合；c)若機(jī)房?jī)?nèi)沒(méi)有配備溫濕度自動(dòng)調(diào)節(jié)設(shè)施，或溫濕度記錄、運(yùn)行記錄和維護(hù)記錄缺失，則c）檢查結(jié)果為不符合；d)若機(jī)房?jī)?nèi)沒(méi)有設(shè)置靜電接地，則 d）檢查結(jié)果為不符合；8 DB11/T 13442016e)若機(jī)房?jī)?nèi)沒(méi)有設(shè)置短期備用電源設(shè)備（如UPS），或短期備用電源設(shè)備的檢查和維護(hù)記錄缺失，則 e）檢查結(jié)果為不符合。6.2安全技術(shù)要求6.2.1網(wǎng)絡(luò)結(jié)構(gòu)安全檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查網(wǎng)絡(luò)拓?fù)鋱D和重要網(wǎng)段劃分情況。檢查方法檢查方法如下：a)查驗(yàn)實(shí)際環(huán)境中的核心交換機(jī)、核心服務(wù)器、邊界防火墻等是否能夠在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖中定位；b)訪談網(wǎng)絡(luò)管理員，詢(xún)問(wèn)網(wǎng)段劃分情況以及劃分的原則。

20、檢查結(jié)果判定檢查結(jié)果判定如下：a)若網(wǎng)絡(luò)拓?fù)鋱D中無(wú)法定位核心交換機(jī)、核心服務(wù)器、邊界防火墻等關(guān)鍵設(shè)備，則 a）檢查結(jié)果為不符合；b)若網(wǎng)絡(luò)沒(méi)有劃分子網(wǎng)，則 b）檢查結(jié)果為不符合。6.2.2邊界安全防護(hù)檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查網(wǎng)絡(luò)邊界訪問(wèn)控制、網(wǎng)絡(luò)入侵檢測(cè)措施。檢查方法檢查方法如下：a)查驗(yàn)防火墻等邊界安全設(shè)備是否配置網(wǎng)段級(jí)的訪問(wèn)控制策略；b)查驗(yàn)網(wǎng)絡(luò)邊界設(shè)備是否采取技術(shù)手段防止地址欺騙；c)查驗(yàn)網(wǎng)絡(luò)入侵檢測(cè)設(shè)備是否能檢測(cè)以下攻擊行為：端口掃描、漏洞掃描、緩沖區(qū)溢出攻擊、拒絕服務(wù)攻擊等，查看其規(guī)則庫(kù)是否為最新；d)查驗(yàn)邊界完整性檢查設(shè)備是否設(shè)置了對(duì)非法連接到外網(wǎng)的行為進(jìn)行監(jiān)控并有效阻斷的配置

21、。檢查結(jié)果判定檢查結(jié)果判定如下：a)若沒(méi)有在網(wǎng)絡(luò)邊界部署防火墻等訪問(wèn)控制設(shè)備或訪問(wèn)控制策略沒(méi)有到網(wǎng)段級(jí)，則 a）檢查結(jié)果為不符合；b)若重要地址沒(méi)有采用IP/MAC綁定等手段防止地址欺騙，則 b）檢查結(jié)果為不符合；c)若沒(méi)有部署入侵檢測(cè)設(shè)備或入侵檢測(cè)設(shè)備的特征庫(kù)未及時(shí)更新，則 c）檢查結(jié)果為不符合；d)若沒(méi)有相應(yīng)的手段監(jiān)控和阻止內(nèi)部用戶(hù)非法連接到外網(wǎng)，則 d）檢查結(jié)果為不符合。9 DB11/T 134420166.2.3用戶(hù)身份鑒別檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用系統(tǒng)的身份鑒別措施和口令策略。檢查方法檢查方法如下：a)查驗(yàn)主要網(wǎng)絡(luò)設(shè)備、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)

22、管理系統(tǒng)和應(yīng)用系統(tǒng)的身份鑒別是否開(kāi)啟，口令的復(fù)雜度情況；b)查驗(yàn)操作系統(tǒng)、應(yīng)用系統(tǒng)是否具備登錄失敗賬戶(hù)鎖定功能。檢查結(jié)果判定檢查結(jié)果判定如下：a)若主要網(wǎng)絡(luò)設(shè)備、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用系統(tǒng)無(wú)需身份鑒別，或出現(xiàn)弱口令、默認(rèn)口令、空口令，設(shè)置少于8位且僅由數(shù)字或字母組成的口令，則a）檢查結(jié)果為不符合；b)未設(shè)置連續(xù)登錄失敗賬戶(hù)鎖定功能，則 b）檢查結(jié)果為不符合。6.2.4訪問(wèn)控制檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用該系統(tǒng)的默認(rèn)賬戶(hù)和系統(tǒng)賬戶(hù)的權(quán)限分配情況。檢查方法檢查方法如下：a)查驗(yàn)主要服務(wù)器操作系統(tǒng)和重要數(shù)據(jù)庫(kù)管理系統(tǒng)是否已禁用或者限制匿名/默認(rèn)賬戶(hù)的訪問(wèn)權(quán)

23、限，是否重命名系統(tǒng)默認(rèn)賬戶(hù)名并修改默認(rèn)賬戶(hù)的默認(rèn)口令；b)通過(guò)訪談詢(xún)問(wèn)應(yīng)用系統(tǒng)的訪問(wèn)控制策略及粒度；以不同權(quán)限的用戶(hù)登錄應(yīng)用系統(tǒng)，查看其擁有的權(quán)限是否與系統(tǒng)賦予的權(quán)限一致，驗(yàn)證應(yīng)用系統(tǒng)訪問(wèn)控制功能是否有效。檢查結(jié)果判定檢查結(jié)果判定如下：a)操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)默認(rèn)賬戶(hù)名未重命名，默認(rèn)口令未修改，則 a）檢查結(jié)果為不符合；b) Windows操作系統(tǒng)未禁用Guest默認(rèn)賬戶(hù)、Linux操作系統(tǒng)未禁用默認(rèn)用戶(hù)（如daemon、bin、sys、adm等），則 a）檢查結(jié)果為不符合；c)其他操作系統(tǒng)存在未重命名的默認(rèn)系統(tǒng)用戶(hù)，則 a）檢查結(jié)果為不符合；d)應(yīng)用系統(tǒng)普通用戶(hù)登錄后具備系統(tǒng)管理等管理員

24、同樣的權(quán)限，則 b）檢查結(jié)果為不符合；e)權(quán)限之間未形成相互制約，如未做到管理權(quán)限和審計(jì)權(quán)限的分離，則 b）檢查結(jié)果為不符合。10 DB11/T 134420166.2.5審計(jì)日志管理檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查網(wǎng)絡(luò)設(shè)備的日志、操作系統(tǒng)日志、數(shù)據(jù)庫(kù)日志、應(yīng)用系統(tǒng)日志的保存情況。檢查方法檢查方法如下：a)查驗(yàn)網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)是否具備了審計(jì)日志;b)查驗(yàn)是否通過(guò)日志覆蓋周期、覆蓋方式、日志文件/空間大小、日志文件操作權(quán)限等設(shè)置，實(shí)現(xiàn)對(duì)審計(jì)記錄的保護(hù)。檢查結(jié)果判定檢查結(jié)果判定如下：a)不具備網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)的審計(jì)日志，則 a）檢查結(jié)果為不符合；b)未合理配置網(wǎng)

25、絡(luò)設(shè)備日志緩沖區(qū)大小，則 b）檢查結(jié)果為不符合；c)未對(duì)各層面的審計(jì)日志設(shè)定覆蓋周期、覆蓋方式、讀寫(xiě)權(quán)限等，則 b）檢查結(jié)果為不符合；d)未對(duì)各層面的審計(jì)日志進(jìn)行備份，則 b）檢查結(jié)果為不符合；e)應(yīng)用系統(tǒng)為用戶(hù)提供日志單條刪除功能，則 b）檢查結(jié)果為不符合。6.2.6系統(tǒng)數(shù)據(jù)保護(hù)檢查內(nèi)容檢查內(nèi)容如下：a)應(yīng)檢查網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)中的口令加密情況；b)應(yīng)檢查應(yīng)用系統(tǒng)數(shù)據(jù)備份介質(zhì)。檢查方法檢查方法如下：a)b)c)查驗(yàn)網(wǎng)絡(luò)設(shè)備的配置文件中用戶(hù)口令是否加密存儲(chǔ)；查驗(yàn)應(yīng)用系統(tǒng)存儲(chǔ)用戶(hù)信息的數(shù)據(jù)表中用戶(hù)口令字段是否加密存儲(chǔ)；查驗(yàn)是否對(duì)主要網(wǎng)絡(luò)設(shè)備、主要數(shù)據(jù)庫(kù)管理系統(tǒng)和主要應(yīng)用系統(tǒng)的重要信息進(jìn)行了本地備

26、份，備份介質(zhì)是否場(chǎng)外存放。檢查結(jié)果判定檢查結(jié)果判定如下：a)若網(wǎng)絡(luò)設(shè)備配置文件中存儲(chǔ)了明文用戶(hù)口令，則 a）檢查結(jié)果為不符合；b)若應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)中存儲(chǔ)了明文用戶(hù)口令，則 b）檢查結(jié)果為不符合；c)若缺乏主要網(wǎng)絡(luò)設(shè)備、主要數(shù)據(jù)庫(kù)管理系統(tǒng)和主要應(yīng)用系統(tǒng)重要信息的備份，則 c）檢查結(jié)果為不符合；d)備份介質(zhì)若無(wú)場(chǎng)外存放，則 c）檢查結(jié)果為不符合。11 DB11/T 134420166.3安全管理要求6.3.1安全管理機(jī)構(gòu)檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查安全崗位人員配備情況和安全制度審批機(jī)制建立情況。檢查方法檢查方法如下：a)查驗(yàn)崗位設(shè)置管理制度和工作責(zé)任書(shū)，檢查是否有安全主管、安全管理員、系統(tǒng)管理員

27、、網(wǎng)絡(luò)管理員等崗位的工作職責(zé)描述；b)查驗(yàn)系統(tǒng)、網(wǎng)絡(luò)、安全方面的管理規(guī)定，記錄系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫(kù)管理員、安全管理員的姓名，核對(duì)安全管理員是否專(zhuān)職；c)查驗(yàn)審批流程規(guī)定和審批記錄，記錄審批流程規(guī)定和審批記錄的名稱(chēng)，核對(duì)審批記錄是否至少包括審批時(shí)間、申請(qǐng)人、審批內(nèi)容、審批人；d)查驗(yàn)外聯(lián)單位聯(lián)系列表，核對(duì)是否至少包括外聯(lián)單位名稱(chēng)、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息；e)查驗(yàn)安全檢查制度，記錄安全檢查制度的名稱(chēng)，查驗(yàn)定期安全檢查記錄，核對(duì)記錄是否至少包括檢查時(shí)間、檢查人員、檢查對(duì)象、檢查結(jié)果。檢查結(jié)果判定檢查結(jié)果判定如下：a)若沒(méi)有提供崗位設(shè)置管理制度和工作責(zé)任書(shū)，未明確安全主管、安全管理

28、員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員等崗位設(shè)置和工作職責(zé)，則 a）檢查結(jié)果為不符合；b)若信息安全管理制度（網(wǎng)絡(luò)、主機(jī)、密碼、審計(jì)等制度）中沒(méi)有明確角色和職責(zé)定義，沒(méi)有信息安全管理崗位人員名單，未設(shè)置專(zhuān)職的信息安全管理員，或安全管理員存在兼任現(xiàn)象，則 b）檢查結(jié)果為不符合；c)若沒(méi)有建立對(duì)機(jī)房及重要區(qū)域進(jìn)出、系統(tǒng)或網(wǎng)絡(luò)重要操作（系統(tǒng)上線變更、配置變更、加固、安全管理等）的審批程序，或無(wú)法提供相關(guān)事件的審批記錄，則 c）檢查結(jié)果為不符合；d)若沒(méi)有建立外聯(lián)單位聯(lián)系列表，或內(nèi)容不完整，則 d）檢查結(jié)果為不符合；e)若沒(méi)有制定安全檢查工作制度和流程，沒(méi)有定期進(jìn)行安全檢查活動(dòng)并保留檢查記錄，則e）檢查結(jié)果為不符

29、合。6.3.2安全管理制度檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查信息安全工作的總體方針和安全策略制定、發(fā)布方式和定期評(píng)審修訂情況。檢查方法檢查方法如下：12 DB11/T 13442016a)查驗(yàn)信息安全管理體系總體方針、安全策略方面的相關(guān)文檔，記錄信息安全工作的總體方針、抽查的安全策略文檔名稱(chēng)等；b)查驗(yàn)安全管理制度發(fā)布到相關(guān)人員手中的方式；c)查驗(yàn)安全管理制度的審定和修訂記錄，核對(duì)評(píng)審記錄是否至少包括評(píng)審時(shí)間、評(píng)審地點(diǎn)、參與評(píng)審人員和評(píng)審結(jié)論，修訂記錄是否至少包括修訂時(shí)間、修訂內(nèi)容、修訂人等信息。檢查結(jié)果判定檢查結(jié)果判定如下：a)若沒(méi)有制定信息安全工作的總體方針和安全策略，則 a）檢查結(jié)果為不符合；

30、b)若安全管理制度沒(méi)有采用文件、郵件或辦公網(wǎng)等有效途徑發(fā)布，則 b）檢查結(jié)果為不符合；c)若沒(méi)有定期對(duì)安全管理制度進(jìn)行檢查，組織召開(kāi)評(píng)審會(huì)，或評(píng)審記錄內(nèi)容不完整，則c）檢查結(jié)果為不符合。6.3.3系統(tǒng)人員安全檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查重要崗位人員勞動(dòng)合同、人員離崗記錄、保密協(xié)議、人員培訓(xùn)和考核記錄。檢查方法檢查方法如下：a)查驗(yàn)重要崗位人員的勞動(dòng)合同和保密協(xié)議，記錄保密協(xié)議名稱(chēng)，核對(duì)協(xié)議內(nèi)容是否至少包括保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議有效期和責(zé)任人簽字等；b)查驗(yàn)重要崗位（如安全管理員）離崗人員辦理過(guò)的調(diào)離手續(xù)記錄，核對(duì)記錄是否至少包括人員姓名、調(diào)離崗位、調(diào)離時(shí)間、收回權(quán)限及物品、核對(duì)人簽

31、字、批準(zhǔn)人簽字等；c)查驗(yàn)各崗位人員的安全技能和安全認(rèn)知考核記錄，核對(duì)記錄是否至少包括考核時(shí)間、考核對(duì)象、考核內(nèi)容、考核結(jié)果等；d)查驗(yàn)安全教育和培訓(xùn)計(jì)劃，核對(duì)計(jì)劃是否明確了培訓(xùn)方式、培訓(xùn)對(duì)象、培訓(xùn)內(nèi)容、培訓(xùn)時(shí)間和地點(diǎn)等，查驗(yàn)培訓(xùn)記錄是否至少包括培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等描述。檢查結(jié)果判定檢查結(jié)果判定如下：a)若無(wú)法提供信息安全相關(guān)崗位人員的勞動(dòng)合同或保密協(xié)議，則a）檢查結(jié)果為不符合；b)若重要崗位人員離崗記錄中，未包括人員姓名、調(diào)離崗位、調(diào)離時(shí)間、收回權(quán)限及物品、核對(duì)人簽字、批準(zhǔn)人簽字等，則 b）檢查結(jié)果為不符合；c)若無(wú)法提供針對(duì)不同崗位人員的安全技能和安全意識(shí)考核記錄，則 c）檢查結(jié)

32、果為不符合；d)若無(wú)法提供安全教育和培訓(xùn)計(jì)劃，計(jì)劃或記錄內(nèi)容不完整，則d）檢查結(jié)果為不符合。6.3.4系統(tǒng)安全生命周期檢查內(nèi)容檢查內(nèi)容如下：13 DB11/T 13442016應(yīng)檢查系統(tǒng)設(shè)計(jì)、系統(tǒng)開(kāi)發(fā)、系統(tǒng)實(shí)施、系統(tǒng)測(cè)評(píng)、系統(tǒng)驗(yàn)收、系統(tǒng)交付、系統(tǒng)運(yùn)維等生命周期各階段的安全管理制度和相應(yīng)記錄保存情況。檢查方法檢查方法如下：a)查驗(yàn)定級(jí)報(bào)告，記錄定級(jí)報(bào)告名稱(chēng)和蓋章批準(zhǔn)的部門(mén)名稱(chēng)；b)查驗(yàn)安全設(shè)計(jì)方案，記錄安全設(shè)計(jì)方案的名稱(chēng)；c)查驗(yàn)安全產(chǎn)品和密碼產(chǎn)品的銷(xiāo)售許可證副本；d)查驗(yàn)軟件開(kāi)發(fā)管理制度，記錄制度文檔名稱(chēng)，核實(shí)有無(wú)開(kāi)發(fā)過(guò)程的控制方法和人員行為準(zhǔn)則；若為外包軟件開(kāi)發(fā)，請(qǐng)被檢查機(jī)構(gòu)的配合人員提供軟

33、件的惡意代碼檢測(cè)記錄和報(bào)告；e)查驗(yàn)工程實(shí)施方案，記錄實(shí)施方案名稱(chēng)，核對(duì)實(shí)施方案是否至少包括背景、目的、內(nèi)容、進(jìn)度安排、實(shí)施人員和風(fēng)險(xiǎn)管理等；f)查驗(yàn)安全性驗(yàn)收測(cè)試方案和測(cè)試驗(yàn)收?qǐng)?bào)告，記錄報(bào)告的名稱(chēng)；查驗(yàn)測(cè)試驗(yàn)收?qǐng)?bào)告的審定記錄，記錄報(bào)告簽字人姓名等；g)查驗(yàn)系統(tǒng)交付清單，記錄系統(tǒng)交付清單的名稱(chēng)，核對(duì)是否包括交接的設(shè)備名稱(chēng)及數(shù)量、軟件名稱(chēng)及數(shù)量、文檔名稱(chēng)及數(shù)量等；h)查驗(yàn)機(jī)房安全管理制度，記錄制度文檔名稱(chēng)，核對(duì)是否規(guī)定機(jī)房物理訪問(wèn)、物品帶入帶出等；i)查驗(yàn)資產(chǎn)安全管理制度，記錄制度文檔名稱(chēng)、規(guī)定的資產(chǎn)管理責(zé)任人或責(zé)任部門(mén)，核對(duì)是否至少包括資產(chǎn)管理和使用的行為；j)查驗(yàn)介質(zhì)安全管理制度，記錄制度文

34、檔名稱(chēng)，查閱對(duì)介質(zhì)的存放環(huán)境、使用、維護(hù)和銷(xiāo)毀的規(guī)范化規(guī)定；k)查驗(yàn)設(shè)備安全管理制度，記錄制度文檔名稱(chēng)，查閱是否有軟硬件設(shè)備的選型、采購(gòu)、發(fā)放和領(lǐng)用的管理規(guī)定；查驗(yàn)信息處理設(shè)備帶離機(jī)房或辦公地點(diǎn)的審批記錄；l)查驗(yàn)網(wǎng)絡(luò)安全管理制度，是否覆蓋網(wǎng)絡(luò)安全配置、安全策略、升級(jí)與補(bǔ)丁、授權(quán)訪問(wèn)、日志保存時(shí)間、口令更新周期等方面內(nèi)容；m)通過(guò)訪談了解是否定期對(duì)系統(tǒng)進(jìn)行漏洞掃描，記錄掃描周期，發(fā)現(xiàn)漏洞是否及時(shí)修補(bǔ)；查驗(yàn)系統(tǒng)漏洞掃描報(bào)告，掃描時(shí)間間隔與掃描周期是否一致；查驗(yàn)系統(tǒng)安全管理制度，內(nèi)容是否覆蓋系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面；n)查驗(yàn)是否有惡意代碼防范方面的管理制度，查看其內(nèi)容是

35、否覆蓋防惡意代碼軟件的授權(quán)使用、惡意代碼庫(kù)升級(jí)、定期匯報(bào)等方面；o)查驗(yàn)變更管理制度，是否覆蓋變更前審批、變更過(guò)程記錄、變更后通報(bào)等方面內(nèi)容，是否包括變更申報(bào)、審批程序，是否規(guī)定需要申報(bào)的變更類(lèi)型、申報(bào)流程、審批部門(mén)、批準(zhǔn)人等方面內(nèi)容；p)查驗(yàn)安全事件報(bào)告和處置管理制度，是否明確安全事件類(lèi)型，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)。檢查結(jié)果判定檢查結(jié)果判定如下：a)若無(wú)法提供系統(tǒng)定級(jí)報(bào)告書(shū)，無(wú)單位信息安全領(lǐng)導(dǎo)（小組）的批準(zhǔn)蓋章，則 a）檢查結(jié)果為不符合；b)若無(wú)法提供安全設(shè)計(jì)方案，則 b）檢查結(jié)果為不符合；c)若無(wú)法提供安全產(chǎn)品和密碼產(chǎn)品的銷(xiāo)售許可證副本，則 c）檢查結(jié)果為不符合

36、；14 DB11/T 13442016d)若無(wú)法提供軟件開(kāi)發(fā)管理制度，若為外包軟件開(kāi)發(fā)，無(wú)法提供軟件的惡意代碼掃描記錄和檢測(cè)報(bào)告，則 d）檢查結(jié)果為不符合；e)若無(wú)法提供工程實(shí)施方案，實(shí)施方案未包括背景、目的、內(nèi)容、進(jìn)度安排、實(shí)施人員和風(fēng)險(xiǎn)管理等，則 e）檢查結(jié)果為不符合；f)若無(wú)法提供安全驗(yàn)收測(cè)試方案和測(cè)試報(bào)告，或無(wú)測(cè)試報(bào)告結(jié)果的評(píng)審記錄，則 f）檢查結(jié)果為不符合；g)若無(wú)法提供詳細(xì)的系統(tǒng)交付清單，清單中的信息不完整，或各環(huán)節(jié)無(wú)負(fù)責(zé)人員簽字，則g）檢查結(jié)果為不符合；h)若無(wú)法提供機(jī)房安全管理制度，對(duì)機(jī)房環(huán)境、重要區(qū)域的訪問(wèn)、人員和物品的出入未進(jìn)行規(guī)定，則 h）檢查結(jié)果為不符合；i)若無(wú)法提供

37、資產(chǎn)安全管理制度，未明確資產(chǎn)管理責(zé)任部門(mén)和人員、管理和使用行為、資產(chǎn)編號(hào)和分類(lèi)方法、信息存儲(chǔ)和保存發(fā)放等，則 i）檢查結(jié)果為不符合；j)若無(wú)法提供介質(zhì)安全管理制度，或內(nèi)容未包含對(duì)介質(zhì)的存放環(huán)境、使用、維護(hù)和銷(xiāo)毀的規(guī)范化規(guī)定，則 j）檢查結(jié)果為不符合；k)若無(wú)法提供設(shè)備安全管理制度，或內(nèi)容不合理、不完整；無(wú)法提供設(shè)備帶離辦公場(chǎng)所或機(jī)房的審批記錄，則 k）檢查結(jié)果為不符合；l)若無(wú)法提供網(wǎng)絡(luò)安全管理制度，或內(nèi)容未覆蓋網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級(jí)與補(bǔ)丁、口令更新周期等方面，則 l）檢查結(jié)果為不符合；m)若無(wú)法提供系統(tǒng)安全管理制度，或內(nèi)容未覆蓋系統(tǒng)安全策略、安全配置、日志管理和日常操作流

38、程等方面；無(wú)法提供定期對(duì)服務(wù)器進(jìn)行漏洞掃描的報(bào)告，則m）檢查結(jié)果為不符合；n)若無(wú)法提供惡意代碼防范方面的管理制度，其內(nèi)容未覆蓋防惡意代碼軟件的授權(quán)使用、惡意代碼庫(kù)升級(jí)、定期匯報(bào)等方面，則 n）檢查結(jié)果為不符合；o)若無(wú)法提供變更管理制度，或內(nèi)容未覆蓋系統(tǒng)上線變更、配置變更和其他重要變更等，則 o）檢查結(jié)果為不符合；p)若無(wú)法提供安全事件報(bào)告和處置管理制度，或內(nèi)容未覆蓋安全事件類(lèi)型，事件處理、報(bào)告和后期恢復(fù)的管理職責(zé)，則 p）檢查結(jié)果為不符合。6.3.5系統(tǒng)連續(xù)性保障檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查業(yè)務(wù)中斷影響分析報(bào)告、業(yè)務(wù)連續(xù)性技術(shù)環(huán)境、備份恢復(fù)管理制度和應(yīng)急響應(yīng)機(jī)制。檢查方法檢查方法如下：a)

39、查驗(yàn)業(yè)務(wù)中斷影響分析報(bào)告，是否對(duì)業(yè)務(wù)中斷的可能性和造成的影響進(jìn)行分析；b)查驗(yàn)網(wǎng)絡(luò)鏈路、網(wǎng)絡(luò)設(shè)備、服務(wù)器和數(shù)據(jù)存儲(chǔ)設(shè)備列表和說(shuō)明，是否不存在關(guān)鍵節(jié)點(diǎn)單點(diǎn)故障；c)查驗(yàn)備份與恢復(fù)方面的管理制度，是否明確了備份方式、備份頻度、存儲(chǔ)介質(zhì)和保存期等方面內(nèi)容；d)查驗(yàn)應(yīng)急預(yù)案；通過(guò)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人了解是否定期對(duì)應(yīng)急預(yù)案進(jìn)行演練并保留演練記錄。檢查結(jié)果判定檢查結(jié)果判定如下：15 DB11/T 13442016a)若無(wú)法提供業(yè)務(wù)中斷影響分析報(bào)告，內(nèi)容未包括業(yè)務(wù)中斷的可能性和造成的影響分析，則 a）檢查結(jié)果為不符合；b)若無(wú)法提供網(wǎng)絡(luò)鏈路、網(wǎng)絡(luò)設(shè)備、服務(wù)器和數(shù)據(jù)存儲(chǔ)設(shè)備列表和說(shuō)明，關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障，則

40、b）檢查結(jié)果為不符合；c)若無(wú)法提供備份與恢復(fù)管理相關(guān)的安全管理制度，未明確系統(tǒng)和數(shù)據(jù)備份頻率和方式，則 c）檢查結(jié)果為不符合；d)若未制定應(yīng)急預(yù)案，內(nèi)容未覆蓋應(yīng)急預(yù)案啟動(dòng)的條件、應(yīng)急處理所需要的人力、物力和流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容；或未定期開(kāi)展應(yīng)急預(yù)案演練并未保留記錄，則d）檢查結(jié)果為不符合。7三級(jí)信息系統(tǒng)檢查7.1物理安全要求7.1.1物理位置選擇檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查機(jī)房的選址和所在建筑物的防護(hù)能力。檢查方法檢查方法如下：a)查驗(yàn)機(jī)房所在樓宇的驗(yàn)收?qǐng)?bào)告是否明確機(jī)房所在建筑的防震、防風(fēng)和防雨等能力；b)查驗(yàn)機(jī)房是否在建筑物的頂層或地下室，是否加強(qiáng)防水和防潮措施。檢查結(jié)

41、果判定檢查結(jié)果判定如下：a)若無(wú)法提供機(jī)房所在建筑物樓宇的驗(yàn)收?qǐng)?bào)告，或未采取防風(fēng)和防雨等措施，則 a）檢查結(jié)果為不符合；b)如果機(jī)房選址在地下室或頂層，且未加強(qiáng)防水和防潮措施，則b）檢查結(jié)果為不符合。7.1.2物理訪問(wèn)控制檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查物理訪問(wèn)控制措施。檢查方法檢查方法如下：a)查驗(yàn)機(jī)房所有出入口是否有值守記錄以及進(jìn)出機(jī)房的人員登記記錄；b)查驗(yàn)是否有來(lái)訪人員進(jìn)入機(jī)房的審批記錄，查驗(yàn)審批記錄是否包括來(lái)訪人員的訪問(wèn)范圍；c)查驗(yàn)機(jī)房?jī)?nèi)的運(yùn)維區(qū)域和設(shè)備區(qū)域是否有隔離措施；d)查驗(yàn)電子門(mén)禁系統(tǒng)是否能正常工作；查驗(yàn)是否有電子門(mén)禁系統(tǒng)的運(yùn)行和維護(hù)記錄。檢查結(jié)果判定16 DB11/T 134

42、42016檢查結(jié)果判定如下：a)若機(jī)房任何一個(gè)出入口沒(méi)有值守記錄和進(jìn)出人員登記記錄，則a）檢查結(jié)果為不符合；b)若沒(méi)有來(lái)訪人員進(jìn)入機(jī)房的審批記錄，或?qū)徟涗浿胁痪邆鋪?lái)訪人員的訪問(wèn)范圍以及所要執(zhí)行的操作等審批項(xiàng)，則 b）檢查結(jié)果為不符合；c)若機(jī)房?jī)?nèi)的運(yùn)維區(qū)域和設(shè)備區(qū)域間沒(méi)有隔離措施，如玻璃門(mén)等，則 c）檢查結(jié)果為不符合；d)若機(jī)房?jī)?nèi)沒(méi)有設(shè)置電子門(mén)禁系統(tǒng)，或者電子門(mén)禁系統(tǒng)無(wú)法正常工作，或沒(méi)有電子門(mén)禁系統(tǒng)運(yùn)行和維護(hù)記錄，則 d）檢查結(jié)果為不符合。7.1.3支撐設(shè)施保障檢查內(nèi)容檢查內(nèi)容如下：a)應(yīng)檢查防水措施；b)應(yīng)檢查防火措施；c)應(yīng)檢查溫濕度控制措施；d)應(yīng)檢查防靜電措施；e)應(yīng)檢查電力保障措施

43、和通信線纜保護(hù)措施。檢查方法檢查方法如下：a)查驗(yàn)是否具備防止機(jī)房地下積水轉(zhuǎn)移與滲透的措施，是否對(duì)防水防潮處理結(jié)果和除濕裝置運(yùn)行情況進(jìn)行記錄；b)查驗(yàn)是否設(shè)置對(duì)水敏感的檢測(cè)儀表或元件對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警；查驗(yàn)該儀表或元件是否正常運(yùn)行，是否有日常狀態(tài)運(yùn)行監(jiān)測(cè)記錄，是否有人負(fù)責(zé)其運(yùn)行管理工作；c)查驗(yàn)機(jī)房是否設(shè)置了自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警、自動(dòng)滅火的自動(dòng)消防系統(tǒng)，查驗(yàn)自動(dòng)消防系統(tǒng)是否正常工作，是否有運(yùn)行記錄、報(bào)警記錄、定期檢查和維修記錄；d)查驗(yàn)機(jī)房及相關(guān)的工作房間和輔助房是否采用具有耐火等級(jí)的建筑材料；e)查驗(yàn)溫濕度自動(dòng)調(diào)節(jié)設(shè)施是否能夠正常運(yùn)行，查驗(yàn)是否有溫濕度記錄、運(yùn)行記錄和維護(hù)記錄；f)訪

44、談物理安全負(fù)責(zé)人，詢(xún)問(wèn)機(jī)房主要設(shè)備是否采取必要的接地防靜電措施，查驗(yàn)機(jī)房是否采用了防靜電地板；g)查驗(yàn)是否有短期備用電源設(shè)備或備用供電系統(tǒng)及其檢查和維護(hù)記錄，是否有冗余或并行的電力電纜線路切換記錄、備用供電系統(tǒng)運(yùn)行記錄；h)查驗(yàn)機(jī)房是否采取通信線纜與電源線隔離鋪設(shè)等通信線纜保護(hù)措施。檢查結(jié)果判定檢查結(jié)果判定如下：a)若機(jī)房的墻壁或樓板的管道沒(méi)有采取必要的防滲透防漏等防水保護(hù)措施，或防水防潮處理結(jié)果及除濕裝置運(yùn)行記錄缺失，則 a）檢查結(jié)果為不符合；b)若機(jī)房?jī)?nèi)沒(méi)有設(shè)置對(duì)水敏感的檢測(cè)儀表或元件對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警，則 b）檢查結(jié)果為不符合；17 DB11/T 13442016c)若機(jī)房?jī)?nèi)沒(méi)有設(shè)

45、置自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警、自動(dòng)滅火的自動(dòng)消防系統(tǒng)，或自動(dòng)消防系統(tǒng)無(wú)法正常工作，運(yùn)行記錄、報(bào)警記錄、定期檢查和維修記錄缺失，則 c）檢查結(jié)果為不符合；d)若機(jī)房及相關(guān)的工作房間和輔助房沒(méi)有采用具有耐火等級(jí)的建筑材料，則d）不符合；e)若機(jī)房?jī)?nèi)沒(méi)有配備溫濕度自動(dòng)調(diào)節(jié)設(shè)施，或溫濕度記錄、運(yùn)行記錄和維護(hù)記錄缺失，則e）檢查結(jié)果為不符合；f)若機(jī)房?jī)?nèi)沒(méi)有設(shè)置靜電接地，或機(jī)房未采用防靜電地板，則 f）檢查結(jié)果為不符合；g)若機(jī)房?jī)?nèi)沒(méi)有設(shè)置短期備用電源設(shè)備（如UPS）或備用供電系統(tǒng)，則g）檢查結(jié)果為不符合；h)若機(jī)房沒(méi)有采取通信線纜與電源線隔離鋪設(shè)，則 h）檢查結(jié)果為不符合。7.2安全技術(shù)要求7.2.1網(wǎng)絡(luò)

46、結(jié)構(gòu)安全檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查網(wǎng)絡(luò)拓?fù)鋱D和重要網(wǎng)段劃分情況；應(yīng)檢查網(wǎng)絡(luò)線路部署的冗余措施。檢查方法檢查方法如下：a)查驗(yàn)實(shí)際環(huán)境中的核心交換機(jī)、核心服務(wù)器、邊界防火墻等是否能夠在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖中定位；b)訪談網(wǎng)絡(luò)管理員，詢(xún)問(wèn)網(wǎng)段劃分情況以及劃分的原則；c)查驗(yàn)重要網(wǎng)段間的核心交換機(jī)或防火墻是否配置了訪問(wèn)控制策略；d)查驗(yàn)是否提供關(guān)鍵網(wǎng)絡(luò)設(shè)備、主要通信線路和核心數(shù)據(jù)處理系統(tǒng)的熱備。檢查結(jié)果判定檢查結(jié)果判定如下：a)若網(wǎng)絡(luò)拓?fù)鋱D中無(wú)法定位核心交換機(jī)、核心服務(wù)器、邊界防火墻等關(guān)鍵設(shè)備，則 a）檢查結(jié)果為不符合；b)若網(wǎng)絡(luò)沒(méi)有劃分子網(wǎng)，則 b）檢查結(jié)果為不符合；c)核心交換機(jī)或防火墻沒(méi)有設(shè)置訪問(wèn)

47、控制策略（ACL），則 c）檢查結(jié)果為不符合；d)若網(wǎng)絡(luò)內(nèi)關(guān)鍵網(wǎng)絡(luò)設(shè)備、主要通信線路和核心數(shù)據(jù)處理系統(tǒng)存在單點(diǎn)故障，則 d）檢查結(jié)果為不符合。7.2.2邊界安全防護(hù)檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查網(wǎng)絡(luò)邊界訪問(wèn)控制、網(wǎng)絡(luò)入侵檢測(cè)和網(wǎng)絡(luò)惡意代碼防范措施。檢查方法檢查方法如下：a)查驗(yàn)防火墻等邊界安全設(shè)備是否配置協(xié)議端口級(jí)的訪問(wèn)控制策略；b)查驗(yàn)網(wǎng)絡(luò)邊界設(shè)備是否采取技術(shù)手段防止地址欺騙；18 DB11/T 13442016c)查驗(yàn)網(wǎng)絡(luò)入侵檢測(cè)設(shè)備是否能檢測(cè)以下攻擊行為：端口掃描、漏洞掃描、緩沖區(qū)溢出攻擊、拒絕服務(wù)攻擊等，查看其規(guī)則庫(kù)是否為最新，并對(duì)發(fā)現(xiàn)的入侵行為進(jìn)行阻攔；d)查驗(yàn)防惡意代碼產(chǎn)品是否正常運(yùn)

48、行，惡意代碼庫(kù)是否為最新版本；e)查驗(yàn)邊界完整性檢查設(shè)備是否設(shè)置了對(duì)非法連接到外網(wǎng)和非法連接到內(nèi)網(wǎng)的行為進(jìn)行監(jiān)控并有效阻斷的配置。檢查結(jié)果判定檢查結(jié)果判定如下：a)若沒(méi)有在網(wǎng)絡(luò)邊界部署防火墻等訪問(wèn)控制設(shè)備或訪問(wèn)控制策略沒(méi)有到端口級(jí)，則 a）檢查結(jié)果為不符合；b)若重要地址沒(méi)有采用IP/MAC綁定等手段防止地址欺騙，則 b）檢查結(jié)果為不符合；c)若沒(méi)有部署入侵檢測(cè)設(shè)備或入侵檢測(cè)設(shè)備的特征庫(kù)未及時(shí)更新，則 c）檢查結(jié)果為不符合；d)如果系統(tǒng)與互聯(lián)網(wǎng)存在接口，未在邊界部署網(wǎng)絡(luò)防惡意代碼產(chǎn)品，病毒庫(kù)未進(jìn)行過(guò)至少每周一次的更新，則 d）檢查結(jié)果為不符合；e)若沒(méi)有相應(yīng)的手段監(jiān)控和阻止內(nèi)部用戶(hù)非法連接到外

49、網(wǎng)，則 e）檢查結(jié)果為不符合；f)若沒(méi)有相應(yīng)的手段監(jiān)控和阻止非授權(quán)用戶(hù)連接到內(nèi)網(wǎng)，則 e）檢查結(jié)果為不符合。7.2.3用戶(hù)身份鑒別檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用系統(tǒng)的身份鑒別措施、口令策略和強(qiáng)化的身份鑒別技術(shù)。檢查方法檢查方法如下：a)查驗(yàn)主要網(wǎng)絡(luò)設(shè)備、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用系統(tǒng)的身份鑒別是否開(kāi)啟，口令的復(fù)雜度情況和定期修改時(shí)間；b)查驗(yàn)操作系統(tǒng)、應(yīng)用系統(tǒng)是否具備登錄失敗賬戶(hù)鎖定功能；c)查驗(yàn)是否采用兩種或兩種以上組合鑒別技術(shù)對(duì)管理用戶(hù)進(jìn)行身份鑒別。檢查結(jié)果判定檢查結(jié)果判定如下：a)若主要網(wǎng)絡(luò)設(shè)備、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用系統(tǒng)無(wú)需

50、身份鑒別，或出現(xiàn)弱口令、默認(rèn)口令、空口令，設(shè)置少于8位且僅由數(shù)字或字母組成的口令，則 a）檢查結(jié)果為不符合；b)若口令修改未達(dá)到至少3個(gè)月一次，則 a）檢查結(jié)果為不符合；c)未設(shè)置連續(xù)登錄失敗賬戶(hù)鎖定功能，則 b）檢查結(jié)果為不符合；d)若未采用兩種或兩種以上組合鑒別技術(shù)，則 c）檢查結(jié)果為不符合。7.2.4訪問(wèn)控制檢查內(nèi)容19 DB11/T 13442016檢查內(nèi)容如下：應(yīng)檢查操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用該系統(tǒng)的默認(rèn)賬戶(hù)和系統(tǒng)賬戶(hù)的權(quán)限分配情況。檢查方法檢查方法如下：a)查驗(yàn)主要服務(wù)器操作系統(tǒng)和重要數(shù)據(jù)庫(kù)管理系統(tǒng)是否已禁用或者限制匿名/默認(rèn)賬戶(hù)的訪問(wèn)權(quán)限，是否重命名系統(tǒng)默認(rèn)賬戶(hù)名并修改默認(rèn)賬

51、戶(hù)的默認(rèn)口令；b)通過(guò)訪談詢(xún)問(wèn)應(yīng)用系統(tǒng)的訪問(wèn)控制策略及粒度；以不同權(quán)限的用戶(hù)登錄應(yīng)用系統(tǒng)，查看其擁有的權(quán)限是否與系統(tǒng)賦予的權(quán)限一致，驗(yàn)證應(yīng)用系統(tǒng)訪問(wèn)控制功能是否有效。檢查結(jié)果判定檢查結(jié)果判定如下：a)操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)默認(rèn)賬戶(hù)名未重命名，默認(rèn)口令未修改，則 a）檢查結(jié)果為不符合；b) Windows操作系統(tǒng)未禁用Guest默認(rèn)賬戶(hù)、Linux操作系統(tǒng)未禁用默認(rèn)用戶(hù)（如daemon、bin、sys、adm等），則 a）檢查結(jié)果為不符合；c)其他操作系統(tǒng)存在未重命名的默認(rèn)系統(tǒng)用戶(hù)，則 a）檢查結(jié)果為不符合；d)應(yīng)用系統(tǒng)普通用戶(hù)登錄后具備系統(tǒng)管理等管理員同樣的權(quán)限，則 b）檢查結(jié)果為不符合；e

52、)權(quán)限之間未形成相互制約，如未做到管理權(quán)限和審計(jì)權(quán)限的分離，則 b）檢查結(jié)果為不符合；f)超級(jí)管理員未禁止遠(yuǎn)程登錄，其他默認(rèn)賬戶(hù)未限制訪問(wèn)權(quán)限，則 b）檢查結(jié)果為不符合。7.2.5審計(jì)日志管理檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查網(wǎng)絡(luò)設(shè)備的日志、操作系統(tǒng)日志、數(shù)據(jù)庫(kù)日志、應(yīng)用系統(tǒng)日志的保存和分析情況。檢查方法檢查方法如下：a)查驗(yàn)網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)是否具備了審計(jì)日志；b)查驗(yàn)是否對(duì)網(wǎng)絡(luò)設(shè)備日志、操作系統(tǒng)日志、數(shù)據(jù)庫(kù)日志、應(yīng)用系統(tǒng)日志進(jìn)行瀏覽和分析，并根據(jù)需要生成審計(jì)報(bào)告；c)查驗(yàn)是否通過(guò)日志覆蓋周期、覆蓋方式、日志存儲(chǔ)的空間大小、日志文件操作權(quán)限等設(shè)置，實(shí)現(xiàn)對(duì)審計(jì)記錄的保護(hù)，日志信息是

53、否至少保存兩個(gè)月以上。檢查結(jié)果判定檢查結(jié)果判定如下：a)不具備網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)的審計(jì)日志，則 a）檢查結(jié)果為不符合；b)應(yīng)用系統(tǒng)日志字段的內(nèi)容未至少包括日期、時(shí)間、用戶(hù)源、訪問(wèn)對(duì)象、事件描述、事件結(jié)果，則 a）檢查結(jié)果為不符合；20 DB11/T 13442016c)未對(duì)各層面的審計(jì)日志進(jìn)行分析并生成報(bào)告，則 b）檢查結(jié)果為不符合；d)未合理配置網(wǎng)絡(luò)設(shè)備日志緩沖區(qū)大小，則 c）檢查結(jié)果為不符合；e)操作系統(tǒng)日志文件權(quán)限設(shè)置不安全（如Windows的日志文件被授予Everyone權(quán)限；Linux日志文件權(quán)限為-rwxrwxrwx(777)），則 c）檢查結(jié)果為不符合；f)未對(duì)

54、各層面的審計(jì)日志設(shè)定覆蓋周期、覆蓋方式、讀寫(xiě)權(quán)限等，則 c）檢查結(jié)果為不符合；g)未對(duì)各層面的審計(jì)日志進(jìn)行備份，則 c）檢查結(jié)果為不符合；h)應(yīng)用系統(tǒng)為用戶(hù)提供日志單條刪除功能，則 c）檢查結(jié)果為不符合；i)未部署網(wǎng)絡(luò)設(shè)備日志集中收集系統(tǒng)（如Syslog服務(wù)器）對(duì)日志進(jìn)行集中管理與備份，則c）檢查結(jié)果為不符合。7.2.6系統(tǒng)數(shù)據(jù)保護(hù)檢查內(nèi)容檢查內(nèi)容如下：a)應(yīng)檢查網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)中的口令加密情況；b)應(yīng)檢查應(yīng)用系統(tǒng)數(shù)據(jù)備份介質(zhì)。檢查方法檢查方法如下：a)查驗(yàn)網(wǎng)絡(luò)設(shè)備的配置文件中用戶(hù)口令是否加密存儲(chǔ)；b)查驗(yàn)應(yīng)用系統(tǒng)存儲(chǔ)用戶(hù)信息的數(shù)據(jù)表中用戶(hù)口令字段是否加密存儲(chǔ)；c)查驗(yàn)主要網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)

55、遠(yuǎn)程管理時(shí)是否對(duì)用戶(hù)口令進(jìn)行了加密保護(hù)；d)查驗(yàn)是否對(duì)主要網(wǎng)絡(luò)設(shè)備、主要數(shù)據(jù)庫(kù)管理系統(tǒng)和主要應(yīng)用系統(tǒng)的重要信息進(jìn)行了本地備份，備份介質(zhì)是否場(chǎng)外存放。檢查結(jié)果判定檢查結(jié)果判定如下：a)若網(wǎng)絡(luò)設(shè)備配置文件中存儲(chǔ)了明文用戶(hù)口令，則 a）檢查結(jié)果為不符合；b)若應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)中存儲(chǔ)了明文用戶(hù)口令，則 b）檢查結(jié)果為不符合；c)若網(wǎng)絡(luò)設(shè)備采用Telnet協(xié)議進(jìn)行遠(yuǎn)程管理，則 c）檢查結(jié)果為不符合；d)若應(yīng)用系統(tǒng)采用Http協(xié)議并且通過(guò)獲取數(shù)據(jù)包驗(yàn)證未對(duì)口令進(jìn)行加密，則 c）檢查結(jié)果為不符合；e)若缺乏主要網(wǎng)絡(luò)設(shè)備、主要數(shù)據(jù)庫(kù)管理系統(tǒng)和主要應(yīng)用系統(tǒng)重要信息的備份，則 d）檢查結(jié)果為不符合。7.3安全管理

56、要求7.3.1安全管理機(jī)構(gòu)檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查安全管理組織架構(gòu)情況、安全崗位人員配備情況和安全制度審批機(jī)制建立情況。檢查方法21 DB11/T 13442016檢查方法如下：a)查驗(yàn)信息安全工作委員會(huì)或領(lǐng)導(dǎo)小組名單、信息安全工作委員會(huì)的最高領(lǐng)導(dǎo)的授權(quán)書(shū)，記錄授權(quán)書(shū)名稱(chēng)；通過(guò)訪談了解是否成立信息安全管理工作的職能部門(mén)，并檢查安全主管的職責(zé)范圍；b)查驗(yàn)系統(tǒng)、網(wǎng)絡(luò)、安全方面的管理規(guī)定，記錄系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫(kù)管理員、安全管理員的姓名，核對(duì)安全管理員是否專(zhuān)職；c)查驗(yàn)審批流程規(guī)定和審批記錄，記錄審批流程規(guī)定和審批記錄的名稱(chēng)，核對(duì)審批記錄是否至少包括審批時(shí)間、申請(qǐng)人、審批內(nèi)容、審批人

57、；d)查驗(yàn)外聯(lián)單位聯(lián)系列表，核對(duì)是否至少包括外聯(lián)單位名稱(chēng)、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息；e)查驗(yàn)安全審核和安全檢查制度，記錄安全審核和安全檢查制度的名稱(chēng)，檢查定期安全檢查的記錄和報(bào)告，核對(duì)記錄是否至少包括檢查時(shí)間、檢查人員、檢查對(duì)象、檢查結(jié)果，核對(duì)報(bào)告是否至少包括報(bào)告時(shí)間、報(bào)告結(jié)論、報(bào)告撰寫(xiě)人、報(bào)告批準(zhǔn)人等。檢查結(jié)果判定檢查結(jié)果判定如下：a)若沒(méi)有提供信息安全工作委員會(huì)或領(lǐng)導(dǎo)小組名單、授權(quán)書(shū)和職責(zé)文件，或沒(méi)有設(shè)立信息安全管理工作職能部門(mén)，沒(méi)有崗位責(zé)任書(shū)，則 a）檢查結(jié)果為不符合；b)若信息安全管理制度（網(wǎng)絡(luò)、主機(jī)、密碼、審計(jì)等制度）中沒(méi)有明確角色和職責(zé)定義，沒(méi)有信息安全管理崗位人員名單，未

58、設(shè)置專(zhuān)職的信息安全管理員，則b）檢查結(jié)果為不符合；c)若沒(méi)有建立對(duì)機(jī)房及重要區(qū)域進(jìn)出、系統(tǒng)或網(wǎng)絡(luò)重要操作（系統(tǒng)上線變更、配置變更、加固、安全管理等）的審批程序，或無(wú)法提供相關(guān)事件的審批記錄，則 c）檢查結(jié)果為不符合；d)若沒(méi)有建立外聯(lián)單位聯(lián)系列表，或內(nèi)容不完整，則 d）為不符合；e)若沒(méi)有制定安全審核和安全檢查工作制度和流程，沒(méi)有定期進(jìn)行安全審核和安全檢查活動(dòng)并保留檢查記錄；或沒(méi)有對(duì)檢查報(bào)告進(jìn)行上報(bào)，并制定處理意見(jiàn)或計(jì)劃，則 e）檢查結(jié)果為不符合。7.3.2安全管理制度檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查信息安全工作的總體方針和安全策略制定、發(fā)布方式和定期評(píng)審修訂情況。檢查方法檢查方法如下：a)查驗(yàn)信

59、息安全管理體系總體方針、安全策略、管理制度、操作規(guī)程方面的相關(guān)文檔，記錄信息安全工作的總體方針、抽查的安全策略文檔名稱(chēng)、抽查的管理制度名稱(chēng)、抽查的操作規(guī)程名稱(chēng)等；b)查驗(yàn)安全管理制度的版本控制記錄、安全管理制度及其收發(fā)登記記錄，記錄安全管理制度的版本號(hào)；c)查驗(yàn)安全管理制度的審定和修訂記錄，核對(duì)評(píng)審記錄是否至少包括評(píng)審時(shí)間、評(píng)審地點(diǎn)、參與評(píng)審人員和評(píng)審結(jié)論，修訂記錄是否至少包括修訂時(shí)間、修訂內(nèi)容、修訂人等信息。22 DB11/T 13442016檢查結(jié)果判定檢查結(jié)果判定如下：a)若沒(méi)有制定信息安全工作的總體方針并形成文件下發(fā)；沒(méi)有形成全面的信息安全管理制度體系（包括但不限于：信息安全策略、機(jī)房

60、管理制度、網(wǎng)絡(luò)/主機(jī)/數(shù)據(jù)/密碼管理等管理制度、設(shè)備操作規(guī)程、數(shù)據(jù)備份恢復(fù)操作規(guī)程等），則 a）檢查結(jié)果為不符合；b)若沒(méi)有對(duì)安全管理制度編寫(xiě)規(guī)范、格式進(jìn)行統(tǒng)一，沒(méi)有版本控制記錄；或安全管理制度沒(méi)有通過(guò)正式文件、郵件或辦公網(wǎng)等有效途徑發(fā)布，則 b）檢查結(jié)果為不符合；c)若沒(méi)有定期對(duì)安全管理制度進(jìn)行檢查，組織召開(kāi)評(píng)審會(huì)，或評(píng)審記錄內(nèi)容不完整，則c）檢查結(jié)果為不符合。7.3.3系統(tǒng)人員安全檢查內(nèi)容檢查內(nèi)容如下：應(yīng)檢查重要崗位人員勞動(dòng)合同、保密協(xié)議、人員培訓(xùn)、考核記錄、人員離崗管理制度和離崗記錄。檢查方法檢查方法如下：a)查驗(yàn)內(nèi)部人員的勞動(dòng)合同和保密協(xié)議，記錄保密協(xié)議名稱(chēng)，核對(duì)協(xié)議內(nèi)容是否至少包括保