等級測評實施方案三級

1、測評流程依據(jù)信息安全技術信息系統(tǒng)安全等級保護測評要求，我們以信息安全技術信息系統(tǒng)安全等級保護測評過程指南（）為測評輸入，采取相應的（包括：訪談、檢查、測試）測評方法，按照相應的測評規(guī)程對測評對象（包括：制度文檔、各類設備、安全配置、相關人員）進行相應力度（包括：廣度、深度）的單元測評、整體測評，對測評發(fā)現(xiàn)的風險項進行分析評估，提出合理化整改建議，最終得到相應的信息系統(tǒng)等級測評報告。信息系統(tǒng)等級測評工作共分為四項活動，即測評準備活動、方案編制活動、現(xiàn)場測評活動、結果分析與報告編制活動，基本工作流程圖如下：圖表1等級測評工作流程圖測評力度測評力度信息系統(tǒng)安全保護等級二級系統(tǒng)三級系統(tǒng)訪談廣度測評對象

2、在種類和數(shù)量上抽樣，種類和數(shù)量都較多測評對象在數(shù)量上抽樣，在種類上基本覆蓋深度充分較全面檢查廣度測評對象在種類和數(shù)量上抽樣，種類和數(shù)量都較多測評對象在數(shù)量上抽樣，在種類上基本覆蓋深度充分較全面測試廣度測評對象在種類和數(shù)量、范圍上抽樣，種類和數(shù)量都較多，范圍大測評對象在數(shù)量和范圍上抽樣，在種類上基本覆蓋深度功能測試性能測試功能測試性能測試，滲透測試測評對象我們一般的測評對象包括：整體對象，如機房、辦公環(huán)境、網(wǎng)絡等，也包括具體對象，如網(wǎng)關設備、網(wǎng)絡設備、服務器設備、工作站、操作系統(tǒng)、數(shù)據(jù)庫和應用系統(tǒng)等。但此次測評為云環(huán)境下的測評，由于機房和網(wǎng)絡環(huán)境的安全責任不歸屬該單位，故此次測評對象為：主機、應

3、用系統(tǒng)和安全管理制度三個層面相關的對象。在具體測評對象選擇工作過程中，遵循以下原則：完整性原則，選擇的設備、措施等應能滿足相應等級的測評力度要求；重要性原則，應抽查重要的服務器、數(shù)據(jù)庫和網(wǎng)絡設備等；安全性原則，應抽查對外暴露的網(wǎng)絡邊界；共享性原則，應抽查共享設備和數(shù)據(jù)交換平臺設備；代表性原則，抽查應盡量覆蓋系統(tǒng)各種設備類型、操作系統(tǒng)類型、數(shù)據(jù)庫系統(tǒng)類型和應用系統(tǒng)的類型。測評依據(jù)信息安全測評與其他測評一樣，是依據(jù)相關的需求、設計、標準和規(guī)范，對待測對象進行測試、評估（評價），因此有必要梳理出測評對象、以及采用的標準規(guī)范。測評使用的主要指標依據(jù)如下：系統(tǒng)定級使用的主要指標依據(jù)有：TOC o 1-5

4、 h z計算機信息系統(tǒng)安全保護等級劃分準則（）信息安全技術信息系統(tǒng)安全等級保護定級指南（）等級保護測評使用的主要指標依據(jù)有：信息安全技術信息系統(tǒng)安全等級保護基本要求（）信息安全技術信息系統(tǒng)安全等級保護測評要求（4信息安全技術信息系統(tǒng)安全等級保護測評過程指南（4信息安全技術信息安全風險評估規(guī)范（）現(xiàn)狀測評使用的主要指標依據(jù)有：制度檢查：以等2級2保3護9基本要求、的相關要求作為補充檢查要求，檢查是否具有相應的制度、記錄。漏洞掃描檢查：使用工具自帶的庫和基線。整體網(wǎng)絡架構分析：以基于安全域的劃分結果進行分析，主要參考信息系統(tǒng)等TOC o 1-5 h z級保護安全設計技術要求（）7滲透測試：沒有標準

5、的定義。通過模擬惡意黑客的攻擊的方法，來評估信息系統(tǒng)安全防御按照預期計劃正常運行。系統(tǒng)信息安全加固、安全建設整改建議的主要依據(jù)有：信息安全技術信息系統(tǒng)安全等級保護實施指南l）企業(yè)信息安全體系架構（開放安全架構）安全架構企業(yè)安全架構信息安全風險評估規(guī)范（）信息技術安全性評估準則（）相關依據(jù)還有：公安部、國家保密局、國際密碼管理局、國務院信息化工作辦公室聯(lián)合轉發(fā)的關于信息安全等級保護工作的實施意見（公通字2004）、公66安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室制定的信息安全等級保護管理辦法（公通字2007號）4、3政府網(wǎng)絡信息系統(tǒng)安全檢測辦法（國辦發(fā)2009號）2、8信息安全技術

6、網(wǎng)絡信息系統(tǒng)安全檢測與等保測評要求、信息安全技術網(wǎng)絡信息系統(tǒng)安全檢測與等保測評過程指南、信息安全技術信息系統(tǒng)通用安全技術要求（7、信息安全技術網(wǎng)絡基礎安全技術要求（）、信息安全技術操作系統(tǒng)安全技術要求（）、信息安全技術數(shù)據(jù)庫管理系統(tǒng)安全技術要求（）、信息安全技術服務器技術要求（）、信息安全技術信息系統(tǒng)安全管理要求（）、信息安全技術信息系統(tǒng)安全工程管理要求（）、中華人民共和國計算機信息系統(tǒng)安全保護條例（國務院號7令）、國家信息化領導小組關于加強信息安全保障工作的意見（中辦發(fā)號）、信息系統(tǒng)安全保障評估框架（一）、信息安全管理實用規(guī)則（GB/T1920701）65。測評方法訪談依據(jù)測評技術方案（訪談

7、問題）列表對相關人員進行訪談，獲取與安全管理有關的評估證據(jù)用于判斷特定的安全管理措施是否符合國家相關標準以及委托方的實際需求。檢查在物理測評中，測評人員采用文檔查閱與分析和現(xiàn)場觀察等檢查操作來獲取測評證據(jù)，用于判斷目標系統(tǒng)在機房安全方面采用的特定安全技術措施是否符合國家相關標準以及委托方的實際需求。在主機安全測評、網(wǎng)絡安全測評、應用安全測評和數(shù)據(jù)安全及備份恢復等方面的測評活動中，測評人員綜合采用文檔查閱與分析、安全配置核查和網(wǎng)絡監(jiān)聽與分析等檢查操作來獲取測評證據(jù)，用于判斷目標系統(tǒng)在主機、網(wǎng)絡和應用層面采用的特定安全技術措施是否符合國家相關標準以及委托方的實際需求，對相關設備進行檢查的過程中，我

8、方不直接操作設備，甲方安排相關配合人員根據(jù)我方的檢查要求對設備進行操作，并將結果反饋給我方。在安全管理測評中，測評人員主要采用文檔查閱與分析來獲取測評證據(jù)，用于判斷特定的安全管理措施是否符合國家、行業(yè)相關標準的要求以及委托方的實際需求。測試在網(wǎng)絡安全、主機安全和應用安全等方面的測評活動中，測評人員可以采用手工驗證和工具測試等測試操作對特定安全技術措施的有效性進行測試，測試結果用于判斷目標系統(tǒng)在網(wǎng)絡、主機或應用層面采用的特定技術措施是否符合國家相關標準以及委托方的實際需求，并進一步應用于對目標系統(tǒng)進行安全性整體分析。測評指標由于國家對不同級別的信息系統(tǒng)有不同的安全保護能力要求，國家標準信息安全技

9、術信息系統(tǒng)安全等級保護基本要求描述了不同級別信息系統(tǒng)應該實現(xiàn)的各類安全控制措施，信息系統(tǒng)的安全保護等級確定之后，對被測系統(tǒng)進行測評的測評指標的提取和形成，是等級測評工作的基礎。第三級信息系統(tǒng)的測評指標分布情況如下：第三級信息系統(tǒng)測評指標測評的內(nèi)容主要包括技術和管理兩個方面的內(nèi)容，技術方面主要涉及主機安全、應用安全與數(shù)據(jù)安全等方面的內(nèi)容；管理方面主要涉及安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理共10個層面。主機安全測評方案和內(nèi)容序號類別測評要求結果記錄符合情況1身份鑒別（S3）a）應對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別；b）操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身

10、份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換；c）應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和自動退出等措施；d）當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽；e）應為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。f）應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別。2訪問控制（S3）a）應啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；b）應根據(jù)管理用戶的角色分配權限，實現(xiàn)管理用戶的權限分離，僅授予管理用戶所需的最小權限；c）應實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權用戶的權限分離；d）應嚴格限制默認帳戶的訪

11、問權限，重命名系統(tǒng)默認帳戶，修改這些帳戶的默認口令；e）應及時刪除多余的、過期的帳戶，避免共享帳戶的存在。f）應對重要信息資源設置敏感標記；g）應依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作；序號類別測評要求結果記錄符合情況3安全審計（G3）a）審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；b）審計內(nèi)容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關事件；c）審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等；d）應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；e）應保護審計進程，避免受到未預期的中斷；f）應保護審計記錄

12、，避免受到未預期的刪除、修改或覆蓋等。4剩余信息保護（S3）a）應保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；b）應確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。5入侵防范（G3）a）應能夠檢測到對重要服務器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警；b）應能夠對重要程序的完整性進行檢測，并在檢測到完整性受到破壞后具有恢復的措施；c）操作系統(tǒng)應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并

13、通過設置升級服務器等方式保持系統(tǒng)補丁及時得到更新。6惡意代碼防范（G3）a）應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；b）主機防惡意代碼產(chǎn)品應具有與網(wǎng)絡防惡意代碼產(chǎn)品不同的惡意代碼庫；序號類別測評要求結果記錄符合情況c）應支持防惡意代碼的統(tǒng)一管理。7資源控制（A3）a）應通過設定終端接入方式、網(wǎng)絡地址范圍等條件限制終端登錄；b）應根據(jù)安全策略設置登錄終端的操作超時鎖定；c）應對重要服務器進行監(jiān)視，包括監(jiān)視服務器的CPU、硬盤、內(nèi)存、網(wǎng)絡等資源的使用情況；d）應限制單個用戶對系統(tǒng)資源的最大或最小使用限度；e）應能夠對系統(tǒng)的服務水平降低到預先規(guī)定的最小值進行檢測和報警。序號類

14、別測評要求結果記錄符合情況1身份鑒別（S2）a）應對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別；b）操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換；c）應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和自動退出等措施；d）當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽；e）應為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。2訪問控制（S2）a）應啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；b）應實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權用戶的權限分離；c）應限制默認帳戶的訪問權限，重命名系統(tǒng)

15、默認帳戶，修改這些帳戶的默認口令；序號類別測評要求結果記錄符合情況d）應及時刪除多余的、過期的帳戶，避免共享帳戶的存在。3安全審計（G2）a）審計范圍應覆蓋到服務器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；b）審計內(nèi)容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關事件；c）審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等；d）應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。4入侵防范（G2）操作系統(tǒng)應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統(tǒng)補丁及時得到更新。5惡意代碼防范（G2）a）應安裝防惡意代碼軟件，并

16、及時更新防惡意代碼軟件版本和惡意代碼庫；b）應支持防惡意代碼軟件的統(tǒng)一管理。6資源控制（A2）a）應通過設定終端接入方式、網(wǎng)絡地址范圍等條件限制終端登錄；b）應根據(jù)安全策略設置登錄終端的操作超時鎖定；c）應限制單個用戶對系統(tǒng)資源的最大或最小使用限度。配合需求配合項目需求說明訪談訪談系統(tǒng)管理員查看材料提供相關備份記錄文件、審計記錄等實地檢查查看運維系統(tǒng)、檢查設備配置、工具接入配合應用安全測評方案和內(nèi)容序號類別測評要求結果記錄符合情況1身份鑒別（S3）a）應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別；b）應對同一用戶采用兩種或兩種以上組合的鑒別技術實現(xiàn)用戶身份鑒別；c）應提供用戶身份標識唯

17、一和鑒別信息復雜度檢查功能，保證應用系統(tǒng)中不存在重復用戶身份標識，身份鑒別信息不易被冒用；d）應提供登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和自動退出等措施；e）應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關參數(shù)。2訪問控制（S3）a）應提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；b）訪問控制的覆蓋范圍應包括與資源訪問相關的主體、客體及它們之間的操作；c）應由授權主體配置訪問控制策略，并嚴格限制默認帳戶的訪問權限；d）應授予不同帳戶為完成各自承擔任務所需的最小權限，并在它們之間形成相互制約的關系。

18、e）應具有對重要信息資源設置敏感標記的功能；f）應依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作；3安全審計（G3）a）應提供覆蓋到每個用戶的安全審計功能，對應用系統(tǒng)重要安全事件進行審計；b）應保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄；序號類別測評要求結果記錄符合情況c)審計記錄的內(nèi)容至少應包括事件的日期、時間、發(fā)起者信息、類型、描述和結果等；d)應提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能。4剩余信息保護(S3)a)應保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；b)應保證系統(tǒng)內(nèi)的文件、目錄

19、和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。5通信完整性(S3)應采用密碼技術保證通信過程中數(shù)據(jù)的完整性。6通信保密性(S3)a)在通信雙方建立連接之前，應用系統(tǒng)應利用密碼技術進行會話初始化驗證；b)應對通信過程中的整個報文或會話過程進行加密。7抗抵賴(G3)a)應具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；b)應具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。8軟件容錯(A3)a)應提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設定要求；b)應提供自動保護功能，當故障發(fā)生時自動保護當前所有狀

20、態(tài)，保證系統(tǒng)能夠進行恢復。9資源控制(A3)a)當應用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應，另一方應能夠自動結束會話；序號類別測評要求結果記錄符合情況b）應能夠對系統(tǒng)的最大并發(fā)會話連接數(shù)進行限制；c）應能夠對單個帳戶的多重并發(fā)會話進行限制；d）應能夠對一個時間段內(nèi)可能的并發(fā)會話連接數(shù)進行限制；e）應能夠對一個訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額；f）應能夠對系統(tǒng)服務水平降低到預先規(guī)定的最小值進行檢測和報警；g）應提供服務優(yōu)先級設定功能，并在安裝后根據(jù)安全策略設定訪問帳戶或請求進程的優(yōu)先級，根據(jù)優(yōu)先級分配系統(tǒng)資源。序號類別測評要求結果記錄符合情況1身份鑒別（S2）a）

21、應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別；b）應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統(tǒng)中不存在重復用戶身份標識，身份鑒別信息不易被冒用；c）應提供登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和自動退出等措施；d）應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關參數(shù)。2訪問控制（S2）a）應提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；b）訪問控制的覆蓋范圍應包括與資源訪問相關的主體、客體及它們之間的操作；序號類別測評要求結果記錄符合情況c）應由授權主體配置訪問控制策略，并嚴

22、格限制默認帳戶的訪問權限；d）應授予不同帳戶為完成各自承擔任務所需的最小權限，并在它們之間形成相互制約的關系。3安全審計（G2）a）應提供覆蓋到每個用戶的安全審計功能，對應用系統(tǒng)重要安全事件進行審計；b）應保證無法刪除、修改或覆蓋審計記錄；c）審計記錄的內(nèi)容至少應包括事件日期、時間、發(fā)起者信息、類型、描述和結果等。4通信完整性（S2）應采用校驗碼技術保證通信過程中數(shù)據(jù)的完整性。5通信保密性（S2）a）在通信雙方建立連接之前，應用系統(tǒng)應利用密碼技術進行會話初始化驗證；b）應對通信過程中的敏感信息字段進行加密。6軟件容錯（A2）a）應提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的

23、數(shù)據(jù)格式或長度符合系統(tǒng)設定要求；b）在故障發(fā)生時，應用系統(tǒng)應能夠繼續(xù)提供一部分功能，確保能夠實施必要的措施。7資源控制（A2）a）當應用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應，另一方應能夠自動結束會話；b）應能夠對應用系統(tǒng)的最大并發(fā)會話連接數(shù)進行限制；c）應能夠對單個帳戶的多重并發(fā)會話進行限制。配合需求配合項目需求說明訪談訪談網(wǎng)站管理員查看材料查看相關審計記錄等實地檢查查看運維系統(tǒng)、檢查設備配置、工具接入配合數(shù)據(jù)安全及備份恢復測評方案和內(nèi)容序號類別測評要求結果記錄符合情況1數(shù)據(jù)完整性（S3）a）應能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測到完整性

24、錯誤時采取必要的恢復措施；b）應能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)在存儲過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施。2數(shù)據(jù)保密性（S3）a）應采用加密或其他有效措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)傳輸保密性；b）應采用加密或其他保護措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)存儲保密性。3備份和恢復（A3）a）應提供本地數(shù)據(jù)備份與恢復功能，完全數(shù)據(jù)備份至少每天一次，備份介質場外存放；b）應提供異地數(shù)據(jù)備份功能，利用通信網(wǎng)絡將關鍵數(shù)據(jù)定時批量傳送至備用場地；c）應采用冗余技術設計網(wǎng)絡拓撲結構，避免關鍵節(jié)點存在單點故障；d）應提供主要網(wǎng)絡設備、通信線路和數(shù)據(jù)

25、處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。序號類別測評要求結果記錄符合情況1數(shù)據(jù)完整性（S2）應能夠檢測到鑒別信息和重要業(yè)務數(shù)據(jù)在傳輸過程中完整性受到破壞。2數(shù)據(jù)保密性（S2）應采用加密或其他保護措施實現(xiàn)鑒別信息的存儲保密性。3備份和恢復（A2）a）應能夠對重要信息進行備份和恢復；b）應提供關鍵網(wǎng)絡設備、通信線路和數(shù)據(jù)處理系統(tǒng)的件冗余，保證系統(tǒng)的可用性。）硬配合需求配合項目需求說明訪談訪談系統(tǒng)管理員查看材料提供相關備份、恢復記錄等實地檢查查看備份系統(tǒng)、檢查設備配置、工具接入配合安全管理制度測評方案和內(nèi)容序號類別測評要求結果記錄符合情況1管理制度（G3）a）應制定信息安全工作的總體方針和安全策略，

26、說明機構安全工作的總體目標、范圍、原則和安全框架等；b）應對安全管理活動中的各類管理內(nèi)容建立安全管理制度；c）應對要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程；d）應形成由安全策略、管理制度、操作規(guī)程等構成的全面的信息安全管理制度體系。序號類別測評要求結果記錄符合情況2制定和發(fā)布（G3）a）應指定或授權專門的部門或人員負責安全管理制度的制定；b）安全管理制度應具有統(tǒng)一的格式，并進行版本控制；c）應組織相關人員對制定的安全管理制度進行論證和審定；d）安全管理制度應通過正式、有效的方式發(fā)布；e）安全管理制度應注明發(fā)布范圍，并對收發(fā)文進行登記。3評審和修訂（G3）a）信息安全領導小組應負責定

27、期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定；b）應定期或不定期對安全管理制度進行檢查和審定，對存在不足或需要改進的安全管理制度進行修訂。序號類別測評要求結果記錄符合情況1管理制度（G2）a）應制定信息安全工作的總體方針和安全策略，說明機構安全工作的總體目標、范圍、原則和安全框架等；b）應對安全管理活動中重要的管理內(nèi)容建立安全管理制度；c）應對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程。2制定和發(fā)布a）應指定或授權專門的部門或人員負責安全管理制度的制定；序號類別測評要求結果記錄符合情況(G2)b）應組織相關人員對制定的安全管理制度進行論證和審定；c）應將安全管理

28、制度以某種方式發(fā)布到相關人員手中。3評審和修訂（G2）應定期對安全管理制度進行評審，對存在不足或需要改進的安全管理制度進行修訂。配合需求配合項目需求說明訪談訪談安全主管查看材料提供相關安全管理制度、記錄安全管理機構測評方案和內(nèi)容序號類別測評要求結果記錄符合情況1崗位設置（G3）a）應設立信息安全管理工作的職能部門，設立安全主管、安全管理各個方面的負責人崗位，并定義各負責人的職責；b）應設立系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等崗位，并定義各個工作崗位的職責；c）應成立指導和管理信息安全工作的委員會或領導小組，其最高領導由單位主管領導委任或授權；d）應制定文件明確安全管理機構各個部門和崗位的職責、

29、分工和技能要求。2人員配備（G3）a）應配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等；序號類別測評要求結果記錄符合情況b）應配備專職安全管理員，不可兼任；c）關鍵事務崗位應配備多人共同管理。3授權和審批（G3）a）應根據(jù)各個部門和崗位的職責明確授權審批事項、審批部門和批準人等；b）應針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項建立審批程序，按照審批程序執(zhí)行審批過程，對重要活動建立逐級審批制度；c）應定期審查審批事項，及時更新需授權和審批的項目、審批部門和審批人等信息；d）應記錄審批過程并保存審批文檔。5溝通和合作（G3）a）應加強各類管理人員之間、組織內(nèi)部機構之間以及信息安全職能部門內(nèi)部的合作與溝通，定期或不定期召開協(xié)調會議，共同協(xié)作處理信息安全問題；b）應加強與兄弟單位、公安機關、電信公司的合作與溝通；c）應加強與供應商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通；d）應建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息；e）應聘請信息安全專家作為常年的安全顧問，指導信息安全建設，參與安全規(guī)劃和安全評審等。5審核