系統(tǒng)建設(shè)管理安全測評指導(dǎo)書

1、系統(tǒng)建設(shè)管理安全測評指導(dǎo)書序號測評指標(biāo)測評項檢查方法預(yù)期結(jié)果1系統(tǒng)定級a)訪談，檢查。安全主管，系統(tǒng)劃分文檔，系統(tǒng)定級文檔，專家論證文檔，系統(tǒng)屬性說明文檔。訪談： 安全主管，是否參照定級指南做指導(dǎo)。信息系統(tǒng)參照定級指南進行定級。b)訪談，檢查。安全主管，系統(tǒng)劃分文檔，系統(tǒng)定級文檔，專家論證文檔，系統(tǒng)屬性說明文檔。檢查： 系統(tǒng)定級文檔。查看定級結(jié)果是否有相關(guān)部門的批準(zhǔn)蓋章。信息系統(tǒng)具備定級報告，并且定級報告有當(dāng)?shù)毓膊块T的批準(zhǔn)蓋章。c)訪談，檢查。安全主管，系統(tǒng)劃分文檔，系統(tǒng)定級文檔，專家論證文檔，系統(tǒng)屬性說明文檔。訪談： 安全主管，是否對定級結(jié)果進行論證、審定。 檢查： 專家論證文檔，查看是否

2、有專家對定級結(jié)果的論證意見。1）信息系統(tǒng)定級結(jié)果通過專家的論證和審定，并且定級結(jié)果獲得了相關(guān)部門（如上級主管部門）的批準(zhǔn)； 2）具備相應(yīng)論證意見文檔； 3）定級結(jié)果已遞交當(dāng)?shù)毓矙C關(guān)備案。d)訪談，檢查。安全主管，系統(tǒng)劃分文檔，系統(tǒng)定級文檔，專家論證文檔，系統(tǒng)屬性說明文檔。檢查： 查看定級結(jié)果是否有相關(guān)部門的批準(zhǔn)蓋章。定級結(jié)果均已得到相關(guān)部門的批準(zhǔn)蓋章。2安全方案設(shè)計a)訪談，檢查。安全主管，系統(tǒng)建設(shè)負責(zé)人，總體安全策略文檔，安全技術(shù)框架，安全管理策略文檔，總體建設(shè)規(guī)劃書，詳細設(shè)計方案，專家論證文檔，維護記錄訪談： 系統(tǒng)建設(shè)負責(zé)人，是否根據(jù)信息系統(tǒng)的安全級別選擇基本安全措施，是否依據(jù)風(fēng)險分析的

3、結(jié)果補充和調(diào)整安全措施，做過哪些調(diào)整。根據(jù)信息系統(tǒng)的安全級別選擇了基本的安全措施，對于存在風(fēng)險的，結(jié)合風(fēng)險分析進行調(diào)整。b)訪談，檢查。安全主管，系統(tǒng)建設(shè)負責(zé)人，總體安全策略文檔，安全技術(shù)框架，安全管理策略文檔，總體建設(shè)規(guī)劃書，詳細設(shè)計方案，專家論證文檔，維護記錄訪談： 安全主管，何部門、何人負責(zé)制定安全建設(shè)總體規(guī)劃。 檢查： 檢查系統(tǒng)的安全建設(shè)工作計劃。1）授權(quán)專門的部門或者人員負責(zé)制定安全建設(shè)總體規(guī)劃； 2）制定了近期和遠期的安全建設(shè)工作計劃。c)訪談，檢查。安全主管，系統(tǒng)建設(shè)負責(zé)人，總體安全策略文檔，安全技術(shù)框架，安全管理策略文檔，總體建設(shè)規(guī)劃書，詳細設(shè)計方案，專家論證文檔，維護記錄訪談

4、： 系統(tǒng)建設(shè)負責(zé)人，是否根據(jù)信息系統(tǒng)等級劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細設(shè)計方案等。根據(jù)信息系統(tǒng)等級劃分情況，統(tǒng)一考慮了安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細設(shè)計方案等。d)訪談，檢查。安全主管，系統(tǒng)建設(shè)負責(zé)人，總體安全策略文檔，安全技術(shù)框架，安全管理策略文檔，總體建設(shè)規(guī)劃書，詳細設(shè)計方案，專家論證文檔，維護記錄訪談： 系統(tǒng)建設(shè)負責(zé)人，安全保障體系的配套文件是否經(jīng)過論證和審定，如何審批，有無調(diào)整和修訂、維護周期。 檢查： 1）系統(tǒng)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等

5、配套文件是否經(jīng)過管理部門的批準(zhǔn)； 2）專家論證文檔。1）安全保障體系和配套文件通過論證和審定，定期的進行維護； 2）系統(tǒng)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等配套文件經(jīng)過管理部門的批準(zhǔn)； 3）具備專家論證文檔。e)訪談，檢查。安全主管，系統(tǒng)建設(shè)負責(zé)人，總體安全策略文檔，安全技術(shù)框架，安全管理策略文檔，總體建設(shè)規(guī)劃書，詳細設(shè)計方案，專家論證文檔，維護記錄訪談： 系統(tǒng)建設(shè)負責(zé)人，是否進行了安全測評、是否根據(jù)結(jié)果定期調(diào)整和修訂配套方案，維護周期。 檢查： 各方案的維護記錄或修訂版本的記錄日期與維護周期是否一致。1）定期進行安全測評，并且根據(jù)安全測評結(jié)果調(diào)整和修訂配套方

6、案； 2）各個方案的維護記錄或修訂版本的記錄日期與維護周期一致。3產(chǎn)品采購a)訪談，檢查。安全主管，系統(tǒng)建設(shè)負責(zé)人，產(chǎn)品采購管理制度，產(chǎn)品選型測試結(jié)果記錄，候選產(chǎn)品名單審定記錄。檢查： 信息安全產(chǎn)品是否符合國家的有關(guān)規(guī)定。信息安全產(chǎn)品符合國家的有關(guān)規(guī)定。b)訪談，檢查。安全主管，系統(tǒng)建設(shè)負責(zé)人，產(chǎn)品采購管理制度，產(chǎn)品選型測試結(jié)果記錄，候選產(chǎn)品名單審定記錄。檢查： 密碼產(chǎn)品的使用情況是否符合密碼產(chǎn)品使用、管理的相關(guān)規(guī)定，例如商用密碼管理條例規(guī)定任何單位只能使用經(jīng)過國家密碼管理機構(gòu)認可的商用密碼產(chǎn)品，商用密碼產(chǎn)品發(fā)生故障，必須有國家密碼管理機構(gòu)指定的單位維修，報廢商用密碼產(chǎn)品應(yīng)向國家密碼管理機構(gòu)備

7、案，計算機信息系統(tǒng)保密工作暫行規(guī)定規(guī)定涉密系統(tǒng)配置合格的保密專用設(shè)備，所采取的保密措施應(yīng)與所處理信息的密級要求相一致等。密碼產(chǎn)品的使用情況符合密碼產(chǎn)品使用、管理的相關(guān)規(guī)定。c)訪談，檢查。安全主管，系統(tǒng)建設(shè)負責(zé)人，產(chǎn)品采購管理制度，產(chǎn)品選型測試結(jié)果記錄，候選產(chǎn)品名單審定記錄。訪談： 安全主管，何部門何人負責(zé)產(chǎn)品采購。授權(quán)專門的部門或者人員負責(zé)產(chǎn)品的采購。d)訪談，檢查。安全主管，系統(tǒng)建設(shè)負責(zé)人，產(chǎn)品采購管理制度，產(chǎn)品選型測試結(jié)果記錄，候選產(chǎn)品名單審定記錄。訪談： 系統(tǒng)建設(shè)負責(zé)人，是否制定了產(chǎn)品采購清單，產(chǎn)品采購清單的審定以及審定周期。 檢查： 1）產(chǎn)品采購管理制度，查看內(nèi)容是否明確采購過程的控

8、制方法（如采購前對產(chǎn)品做選型測試，明確需要的產(chǎn)品性能指標(biāo)，確定產(chǎn)品的候選范圍，通過招投標(biāo)方式確定采購產(chǎn)品等）和人員行為準(zhǔn)則等方面； 2）選型結(jié)果記錄、候選名單。1）制定了產(chǎn)品采購清單； 2）制定了產(chǎn)品采購管理制度，查看內(nèi)容明確采購過程的控制方法和人員行為準(zhǔn)則等方面。4自行軟件開發(fā)a)訪談，檢查。系統(tǒng)建設(shè)負責(zé)人，軟件設(shè)計相關(guān)文檔和使用指南，審批文檔或記錄，文檔使用控制記錄。訪談： 系統(tǒng)建設(shè)負責(zé)人，開發(fā)人員和測試人員是否分離，是否在獨立的模擬環(huán)境中編寫、調(diào)試和完成。 檢查： 開發(fā)環(huán)境與運行環(huán)境物理分開。開發(fā)人員和測試人員分離在不同的物理環(huán)境辦公，在獨立的模擬環(huán)境中編寫、調(diào)試和完成。b)訪談，檢查。

9、系統(tǒng)建設(shè)負責(zé)人，軟件設(shè)計相關(guān)文檔和使用指南，審批文檔或記錄，文檔使用控制記錄。檢查： 軟件開發(fā)管理制度。具備軟件開發(fā)管理制度。c)訪談，檢查。系統(tǒng)建設(shè)負責(zé)人，軟件設(shè)計相關(guān)文檔和使用指南，審批文檔或記錄，文檔使用控制記錄。訪談： 開發(fā)人員，是否參照代碼編寫安全規(guī)范進行軟件開發(fā)。 檢查: 代碼編寫安全規(guī)范，查看規(guī)范中是否明確代碼編寫規(guī)則。1）參照代碼編寫安全規(guī)范進行軟件開發(fā)； 2）具備代碼編寫安全規(guī)范，規(guī)范中明確了代碼編寫規(guī)則。d)訪談，檢查。系統(tǒng)建設(shè)負責(zé)人，軟件設(shè)計相關(guān)文檔和使用指南，審批文檔或記錄，文檔使用控制記錄。訪談: 軟件設(shè)計相關(guān)文檔和使用指南是否由專人負責(zé)保管。 檢查: 軟件設(shè)計關(guān)文檔

10、、軟件使用指南或操作手冊和維護手冊。1）指定專人負責(zé)軟件設(shè)計相關(guān)文檔和使用指南的保管； 2）具備軟件設(shè)計關(guān)文檔、軟件使用指南或操作手冊和維護手冊。e)訪談，檢查。系統(tǒng)建設(shè)負責(zé)人，軟件設(shè)計相關(guān)文檔和使用指南，審批文檔或記錄，文檔使用控制記錄。檢查： 程序資源庫的修改、更新、發(fā)布進行授權(quán)和審批的文檔或記錄，查看是否有批準(zhǔn)人的簽字。程序資源庫的修改、更新、發(fā)布有批準(zhǔn)人的簽字。5外包軟件開發(fā)a)訪談，檢查。系統(tǒng)建設(shè)負責(zé)人，軟件開發(fā)安全協(xié)議，軟件開發(fā)文檔，軟件培訓(xùn)文檔。訪談： 系統(tǒng)建設(shè)負責(zé)人，交付前進行驗收測試。 檢查： 軟件開發(fā)協(xié)議,知識產(chǎn)權(quán)歸屬、安全行為等內(nèi)容。1）軟件交付前進行驗收測試； 2）軟件

11、開發(fā)具備軟件開發(fā)協(xié)議,明確知識產(chǎn)權(quán)歸屬、安全行為等內(nèi)容。b)訪談，檢查。系統(tǒng)建設(shè)負責(zé)人，軟件開發(fā)安全協(xié)議，軟件開發(fā)文檔，軟件培訓(xùn)文檔。訪談： 系統(tǒng)建設(shè)負責(zé)人，軟件安裝前是否檢測軟件中惡意代碼。軟件安裝前檢測軟件中惡意代碼。c)訪談，檢查。系統(tǒng)建設(shè)負責(zé)人，軟件開發(fā)安全協(xié)議，軟件開發(fā)文檔，軟件培訓(xùn)文檔。檢查： 需求分析說明書、軟件設(shè)計說明書、軟件操作手冊、軟件源代碼文檔等軟件開發(fā)文檔和使用指南。由軟件開發(fā)商提供需求分析說明書、軟件設(shè)計說明書、軟件操作手冊、軟件源代碼文檔等軟件開發(fā)文檔和使用指南。d)訪談，檢查。系統(tǒng)建設(shè)負責(zé)人，軟件開發(fā)安全協(xié)議，軟件開發(fā)文檔，軟件培訓(xùn)文檔。訪談： 系統(tǒng)建設(shè)負責(zé)人，要

12、求開發(fā)單位提供源代碼，是否根據(jù)源代碼對軟件中可能存在的后門進行審查； 檢查： 軟件源代碼審查記錄。1）由軟件開發(fā)商提供源代碼，檢查源代碼可能存在的后門； 2）具備軟件源代碼審查記錄。6工程實施a)訪談，檢查。系統(tǒng)建設(shè)負責(zé)人，工程安全建設(shè)協(xié)議，工程實施方案，工程實施管理制度。訪談： 系統(tǒng)建設(shè)負責(zé)人，是否有專門部門或人員負責(zé)工程實施管理工作。指定專門部門或人員負責(zé)工程實施管理工作。b)訪談，檢查。系統(tǒng)建設(shè)負責(zé)人，工程安全建設(shè)協(xié)議，工程實施方案，工程實施管理制度。訪談： 系統(tǒng)建設(shè)負責(zé)人，是否對工程實施過程進行進度和質(zhì)量控制，是否將控制方法和工程人員行為規(guī)范制度化，工程實施單位是否具備安全實施系統(tǒng)建設(shè)

13、的資質(zhì)證明和能力保證。 檢查： 工程實施方案。1）指定專門的部門或人員對實施過程的進度和質(zhì)量進行控制； 2）工程實施單位是否具備安全實施系統(tǒng)建設(shè)的資質(zhì)證明和能力保證； 3）具備過程實施方案。c)訪談，檢查。系統(tǒng)建設(shè)負責(zé)人，工程安全建設(shè)協(xié)議，工程實施方案，工程實施管理制度。檢查： 檢查工程實施管理制度，查看其是否規(guī)定工程實施過程的控制方法（如內(nèi)部階段性控制或外部監(jiān)理單位控制）、實施參與人員的各種行為等方面內(nèi)容。具備工程實施管理制度，規(guī)定了工程實施過程的控制方法（如內(nèi)部階段性控制或外部監(jiān)理單位控制）、實施參與人員的各種行為等方面內(nèi)容。7測試驗收a)訪談，檢查。系統(tǒng)建設(shè)負責(zé)人，測試方案，測試記錄，測

14、試報告，驗收報告，驗收測試管理制度。訪談： 系統(tǒng)建設(shè)負責(zé)人，是否委托第三方進行安全測試。 檢查： 是否具有系統(tǒng)安全性測試報告，報告是否給出測試通過的結(jié)論，是否有第三方測試機構(gòu)的簽字或蓋章。1）委托第三方測試機構(gòu)進行了安全性測試； 2）第三方測試機構(gòu)出具安全性測試報告，并通過報告給出測試結(jié)論，附有第三方測試機構(gòu)的簽字或蓋章。b)訪談，檢查。系統(tǒng)建設(shè)負責(zé)人，測試方案，測試記錄，測試報告，驗收報告，驗收測試管理制度。檢查： 1）測試驗收方案，是否包含參與部門、人員、測試驗收內(nèi)容、測試過程等； 2）測試過程中的測試結(jié)果； 3）測試完成后形成的測試驗收報告。1）具備測試驗收方案，且內(nèi)容包含參與部門、人員

15、、測試驗收內(nèi)容、測試過程等； 2）保留測評過程中的測試結(jié)果； 3）根據(jù)測試結(jié)果編制了測試驗收報告。c)訪談，檢查。系統(tǒng)建設(shè)負責(zé)人，測試方案，測試記錄，測試報告，驗收報告，驗收測試管理制度。檢查： 測試驗收管理文檔是否包括系統(tǒng)測試驗收的過程控制方法、參與人員的行為規(guī)范等內(nèi)容。具備測試驗收管理文檔，內(nèi)容包括系統(tǒng)測試驗收的過程控制方法、參與人員的行為規(guī)范等內(nèi)容。d)訪談，檢查。系統(tǒng)建設(shè)負責(zé)人，測試方案，測試記錄，測試報告，驗收報告，驗收測試管理制度。訪談： 系統(tǒng)建設(shè)負責(zé)人，何部門負責(zé)驗收工作。指定專門的部門負責(zé)測試驗收工作。e)訪談，檢查。系統(tǒng)建設(shè)負責(zé)人，測試方案，測試記錄，測試報告，驗收報告，驗收

16、測試管理制度。訪談： 系統(tǒng)建設(shè)負責(zé)人，是否根據(jù)設(shè)計方案或合同要求組織相關(guān)部門和人員對系統(tǒng)測試驗收報告進行審定。 檢查： 1）測試驗收記錄是否詳細記錄了測試時間、人員、現(xiàn)場操作過程和測試驗收結(jié)果等方面內(nèi)容； 2）是否具備對測試驗收報告的審定文檔，查看文檔是否有相關(guān)人員的審定意見。1）根據(jù)設(shè)計方案或合同要求組織相關(guān)部門和人員對系統(tǒng)測試驗收報告進行審定； 2）測試驗收記錄記錄了測試時間、人員、現(xiàn)場操作過程和測試驗收結(jié)果等方面內(nèi)容； 3）測試驗收報告具有相關(guān)人員的審定意見。8系統(tǒng)交付a)訪談，檢查。系統(tǒng)建設(shè)負責(zé)人，系統(tǒng)交付清單，服務(wù)承諾書，系統(tǒng)培訓(xùn)記錄，系統(tǒng)交付管理制度。訪談： 系統(tǒng)建設(shè)負責(zé)人，是否按

17、照交付清單進行清點。 檢查： 統(tǒng)交付清單。1）系統(tǒng)交付時按照交付清單進行清點； 2）制定了系統(tǒng)交付清單。b)訪談，檢查。系統(tǒng)建設(shè)負責(zé)人，系統(tǒng)交付清單，服務(wù)承諾書，系統(tǒng)培訓(xùn)記錄，系統(tǒng)交付管理制度。訪談： 系統(tǒng)建設(shè)負責(zé)人，內(nèi)部維護人員是否參與過培訓(xùn)。 檢查： 培訓(xùn)記錄，包括培訓(xùn)內(nèi)容、培訓(xùn)時間和參與人員等信息。1）內(nèi)部維護人員參加過相關(guān)的技能培訓(xùn)； 2）保存了相關(guān)的培訓(xùn)記錄，包括培訓(xùn)內(nèi)容、培訓(xùn)時間和參與人員等信息。c)訪談，檢查。系統(tǒng)建設(shè)負責(zé)人，系統(tǒng)交付清單，服務(wù)承諾書，系統(tǒng)培訓(xùn)記錄，系統(tǒng)交付管理制度。檢查： 系統(tǒng)建設(shè)文檔、指導(dǎo)用戶進行系統(tǒng)運維的文檔、系統(tǒng)培訓(xùn)手冊等是否完善。具備系統(tǒng)建設(shè)文檔、指導(dǎo)用

18、戶進行系統(tǒng)運維的文檔、系統(tǒng)培訓(xùn)手冊等。d)訪談，檢查。系統(tǒng)建設(shè)負責(zé)人，系統(tǒng)交付清單，服務(wù)承諾書，系統(tǒng)培訓(xùn)記錄，系統(tǒng)交付管理制度。檢查： 系統(tǒng)交付管理文檔，查看其是否包括交付過程的控制方法和對交付參與人員的行為限制等方面內(nèi)容。具備系統(tǒng)交付管理文檔，內(nèi)容包括交付過程的控制方法和對交付參與人員的行為限制等方面。e)訪談，檢查。系統(tǒng)建設(shè)負責(zé)人，系統(tǒng)交付清單，服務(wù)承諾書，系統(tǒng)培訓(xùn)記錄，系統(tǒng)交付管理制度。訪談： 系統(tǒng)建設(shè)負責(zé)人，何部門負責(zé)系統(tǒng)交付管理工作。指定專門的部門或人員管理系統(tǒng)交付。9系統(tǒng)備案a)訪談，檢查。安全主管，文檔管理員，備案記錄。訪談： 1）安全主管，何部門何人負責(zé)管理系統(tǒng)定級文檔； 2）文檔管理員，系統(tǒng)定級相關(guān)備案文檔采取的控制措施。 檢查： 系統(tǒng)定級相關(guān)材料的使用控制記錄。1）指定專門的部門或人員負責(zé)管理系統(tǒng)定級文檔； 2）具備定級相關(guān)材料的使用控制記錄。b)訪談，檢查。安全主管，文檔管理員，備案記錄。檢查： 主管部門備案的記錄或備案文檔。具備信息系統(tǒng)相關(guān)備案材料。c)訪談，檢查。安全主管，文檔管理員，備案記錄。檢查： 公安機關(guān)備案的記錄或證明。具備公安機關(guān)的備案記錄或證明。10等級測評a)前一次的測評報告訪談： 安全主管，等級測評周期。 檢查： 等級測評報告、建議報告、整改報告。1）定期對信息系統(tǒng)進行等級測評； 2）具備等級測評報告、建議報告、整改報