系統(tǒng)建設(shè)管理安全測(cè)評(píng)指導(dǎo)書(shū)

1、系統(tǒng)建設(shè)管理安全測(cè)評(píng)指導(dǎo)書(shū)序號(hào)測(cè)評(píng)指標(biāo)測(cè)評(píng)項(xiàng)檢查方法預(yù)期結(jié)果1系統(tǒng)定級(jí)a)訪(fǎng)談，檢查。安全主管，系統(tǒng)劃分文檔，系統(tǒng)定級(jí)文檔，專(zhuān)家論證文檔，系統(tǒng)屬性說(shuō)明文檔。訪(fǎng)談： 安全主管，是否參照定級(jí)指南做指導(dǎo)。信息系統(tǒng)參照定級(jí)指南進(jìn)行定級(jí)。b)訪(fǎng)談，檢查。安全主管，系統(tǒng)劃分文檔，系統(tǒng)定級(jí)文檔，專(zhuān)家論證文檔，系統(tǒng)屬性說(shuō)明文檔。檢查： 系統(tǒng)定級(jí)文檔。查看定級(jí)結(jié)果是否有相關(guān)部門(mén)的批準(zhǔn)蓋章。信息系統(tǒng)具備定級(jí)報(bào)告，并且定級(jí)報(bào)告有當(dāng)?shù)毓膊块T(mén)的批準(zhǔn)蓋章。c)訪(fǎng)談，檢查。安全主管，系統(tǒng)劃分文檔，系統(tǒng)定級(jí)文檔，專(zhuān)家論證文檔，系統(tǒng)屬性說(shuō)明文檔。訪(fǎng)談： 安全主管，是否對(duì)定級(jí)結(jié)果進(jìn)行論證、審定。 檢查： 專(zhuān)家論證文檔，查看是否

2、有專(zhuān)家對(duì)定級(jí)結(jié)果的論證意見(jiàn)。1）信息系統(tǒng)定級(jí)結(jié)果通過(guò)專(zhuān)家的論證和審定，并且定級(jí)結(jié)果獲得了相關(guān)部門(mén)（如上級(jí)主管部門(mén)）的批準(zhǔn)； 2）具備相應(yīng)論證意見(jiàn)文檔； 3）定級(jí)結(jié)果已遞交當(dāng)?shù)毓矙C(jī)關(guān)備案。d)訪(fǎng)談，檢查。安全主管，系統(tǒng)劃分文檔，系統(tǒng)定級(jí)文檔，專(zhuān)家論證文檔，系統(tǒng)屬性說(shuō)明文檔。檢查： 查看定級(jí)結(jié)果是否有相關(guān)部門(mén)的批準(zhǔn)蓋章。定級(jí)結(jié)果均已得到相關(guān)部門(mén)的批準(zhǔn)蓋章。2安全方案設(shè)計(jì)a)訪(fǎng)談，檢查。安全主管，系統(tǒng)建設(shè)負(fù)責(zé)人，總體安全策略文檔，安全技術(shù)框架，安全管理策略文檔，總體建設(shè)規(guī)劃書(shū)，詳細(xì)設(shè)計(jì)方案，專(zhuān)家論證文檔，維護(hù)記錄訪(fǎng)談： 系統(tǒng)建設(shè)負(fù)責(zé)人，是否根據(jù)信息系統(tǒng)的安全級(jí)別選擇基本安全措施，是否依據(jù)風(fēng)險(xiǎn)分析的

3、結(jié)果補(bǔ)充和調(diào)整安全措施，做過(guò)哪些調(diào)整。根據(jù)信息系統(tǒng)的安全級(jí)別選擇了基本的安全措施，對(duì)于存在風(fēng)險(xiǎn)的，結(jié)合風(fēng)險(xiǎn)分析進(jìn)行調(diào)整。b)訪(fǎng)談，檢查。安全主管，系統(tǒng)建設(shè)負(fù)責(zé)人，總體安全策略文檔，安全技術(shù)框架，安全管理策略文檔，總體建設(shè)規(guī)劃書(shū)，詳細(xì)設(shè)計(jì)方案，專(zhuān)家論證文檔，維護(hù)記錄訪(fǎng)談： 安全主管，何部門(mén)、何人負(fù)責(zé)制定安全建設(shè)總體規(guī)劃。 檢查： 檢查系統(tǒng)的安全建設(shè)工作計(jì)劃。1）授權(quán)專(zhuān)門(mén)的部門(mén)或者人員負(fù)責(zé)制定安全建設(shè)總體規(guī)劃； 2）制定了近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃。c)訪(fǎng)談，檢查。安全主管，系統(tǒng)建設(shè)負(fù)責(zé)人，總體安全策略文檔，安全技術(shù)框架，安全管理策略文檔，總體建設(shè)規(guī)劃書(shū)，詳細(xì)設(shè)計(jì)方案，專(zhuān)家論證文檔，維護(hù)記錄訪(fǎng)談

4、： 系統(tǒng)建設(shè)負(fù)責(zé)人，是否根據(jù)信息系統(tǒng)等級(jí)劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案等。根據(jù)信息系統(tǒng)等級(jí)劃分情況，統(tǒng)一考慮了安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案等。d)訪(fǎng)談，檢查。安全主管，系統(tǒng)建設(shè)負(fù)責(zé)人，總體安全策略文檔，安全技術(shù)框架，安全管理策略文檔，總體建設(shè)規(guī)劃書(shū)，詳細(xì)設(shè)計(jì)方案，專(zhuān)家論證文檔，維護(hù)記錄訪(fǎng)談： 系統(tǒng)建設(shè)負(fù)責(zé)人，安全保障體系的配套文件是否經(jīng)過(guò)論證和審定，如何審批，有無(wú)調(diào)整和修訂、維護(hù)周期。 檢查： 1）系統(tǒng)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等

5、配套文件是否經(jīng)過(guò)管理部門(mén)的批準(zhǔn)； 2）專(zhuān)家論證文檔。1）安全保障體系和配套文件通過(guò)論證和審定，定期的進(jìn)行維護(hù)； 2）系統(tǒng)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等配套文件經(jīng)過(guò)管理部門(mén)的批準(zhǔn)； 3）具備專(zhuān)家論證文檔。e)訪(fǎng)談，檢查。安全主管，系統(tǒng)建設(shè)負(fù)責(zé)人，總體安全策略文檔，安全技術(shù)框架，安全管理策略文檔，總體建設(shè)規(guī)劃書(shū)，詳細(xì)設(shè)計(jì)方案，專(zhuān)家論證文檔，維護(hù)記錄訪(fǎng)談： 系統(tǒng)建設(shè)負(fù)責(zé)人，是否進(jìn)行了安全測(cè)評(píng)、是否根據(jù)結(jié)果定期調(diào)整和修訂配套方案，維護(hù)周期。 檢查： 各方案的維護(hù)記錄或修訂版本的記錄日期與維護(hù)周期是否一致。1）定期進(jìn)行安全測(cè)評(píng)，并且根據(jù)安全測(cè)評(píng)結(jié)果調(diào)整和修訂配套方

6、案； 2）各個(gè)方案的維護(hù)記錄或修訂版本的記錄日期與維護(hù)周期一致。3產(chǎn)品采購(gòu)a)訪(fǎng)談，檢查。安全主管，系統(tǒng)建設(shè)負(fù)責(zé)人，產(chǎn)品采購(gòu)管理制度，產(chǎn)品選型測(cè)試結(jié)果記錄，候選產(chǎn)品名單審定記錄。檢查： 信息安全產(chǎn)品是否符合國(guó)家的有關(guān)規(guī)定。信息安全產(chǎn)品符合國(guó)家的有關(guān)規(guī)定。b)訪(fǎng)談，檢查。安全主管，系統(tǒng)建設(shè)負(fù)責(zé)人，產(chǎn)品采購(gòu)管理制度，產(chǎn)品選型測(cè)試結(jié)果記錄，候選產(chǎn)品名單審定記錄。檢查： 密碼產(chǎn)品的使用情況是否符合密碼產(chǎn)品使用、管理的相關(guān)規(guī)定，例如商用密碼管理?xiàng)l例規(guī)定任何單位只能使用經(jīng)過(guò)國(guó)家密碼管理機(jī)構(gòu)認(rèn)可的商用密碼產(chǎn)品，商用密碼產(chǎn)品發(fā)生故障，必須有國(guó)家密碼管理機(jī)構(gòu)指定的單位維修，報(bào)廢商用密碼產(chǎn)品應(yīng)向國(guó)家密碼管理機(jī)構(gòu)備

7、案，計(jì)算機(jī)信息系統(tǒng)保密工作暫行規(guī)定規(guī)定涉密系統(tǒng)配置合格的保密專(zhuān)用設(shè)備，所采取的保密措施應(yīng)與所處理信息的密級(jí)要求相一致等。密碼產(chǎn)品的使用情況符合密碼產(chǎn)品使用、管理的相關(guān)規(guī)定。c)訪(fǎng)談，檢查。安全主管，系統(tǒng)建設(shè)負(fù)責(zé)人，產(chǎn)品采購(gòu)管理制度，產(chǎn)品選型測(cè)試結(jié)果記錄，候選產(chǎn)品名單審定記錄。訪(fǎng)談： 安全主管，何部門(mén)何人負(fù)責(zé)產(chǎn)品采購(gòu)。授權(quán)專(zhuān)門(mén)的部門(mén)或者人員負(fù)責(zé)產(chǎn)品的采購(gòu)。d)訪(fǎng)談，檢查。安全主管，系統(tǒng)建設(shè)負(fù)責(zé)人，產(chǎn)品采購(gòu)管理制度，產(chǎn)品選型測(cè)試結(jié)果記錄，候選產(chǎn)品名單審定記錄。訪(fǎng)談： 系統(tǒng)建設(shè)負(fù)責(zé)人，是否制定了產(chǎn)品采購(gòu)清單，產(chǎn)品采購(gòu)清單的審定以及審定周期。 檢查： 1）產(chǎn)品采購(gòu)管理制度，查看內(nèi)容是否明確采購(gòu)過(guò)程的控

8、制方法（如采購(gòu)前對(duì)產(chǎn)品做選型測(cè)試，明確需要的產(chǎn)品性能指標(biāo)，確定產(chǎn)品的候選范圍，通過(guò)招投標(biāo)方式確定采購(gòu)產(chǎn)品等）和人員行為準(zhǔn)則等方面； 2）選型結(jié)果記錄、候選名單。1）制定了產(chǎn)品采購(gòu)清單； 2）制定了產(chǎn)品采購(gòu)管理制度，查看內(nèi)容明確采購(gòu)過(guò)程的控制方法和人員行為準(zhǔn)則等方面。4自行軟件開(kāi)發(fā)a)訪(fǎng)談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，軟件設(shè)計(jì)相關(guān)文檔和使用指南，審批文檔或記錄，文檔使用控制記錄。訪(fǎng)談： 系統(tǒng)建設(shè)負(fù)責(zé)人，開(kāi)發(fā)人員和測(cè)試人員是否分離，是否在獨(dú)立的模擬環(huán)境中編寫(xiě)、調(diào)試和完成。 檢查： 開(kāi)發(fā)環(huán)境與運(yùn)行環(huán)境物理分開(kāi)。開(kāi)發(fā)人員和測(cè)試人員分離在不同的物理環(huán)境辦公，在獨(dú)立的模擬環(huán)境中編寫(xiě)、調(diào)試和完成。b)訪(fǎng)談，檢查。

9、系統(tǒng)建設(shè)負(fù)責(zé)人，軟件設(shè)計(jì)相關(guān)文檔和使用指南，審批文檔或記錄，文檔使用控制記錄。檢查： 軟件開(kāi)發(fā)管理制度。具備軟件開(kāi)發(fā)管理制度。c)訪(fǎng)談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，軟件設(shè)計(jì)相關(guān)文檔和使用指南，審批文檔或記錄，文檔使用控制記錄。訪(fǎng)談： 開(kāi)發(fā)人員，是否參照代碼編寫(xiě)安全規(guī)范進(jìn)行軟件開(kāi)發(fā)。 檢查: 代碼編寫(xiě)安全規(guī)范，查看規(guī)范中是否明確代碼編寫(xiě)規(guī)則。1）參照代碼編寫(xiě)安全規(guī)范進(jìn)行軟件開(kāi)發(fā)； 2）具備代碼編寫(xiě)安全規(guī)范，規(guī)范中明確了代碼編寫(xiě)規(guī)則。d)訪(fǎng)談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，軟件設(shè)計(jì)相關(guān)文檔和使用指南，審批文檔或記錄，文檔使用控制記錄。訪(fǎng)談: 軟件設(shè)計(jì)相關(guān)文檔和使用指南是否由專(zhuān)人負(fù)責(zé)保管。 檢查: 軟件設(shè)計(jì)關(guān)文檔

10、、軟件使用指南或操作手冊(cè)和維護(hù)手冊(cè)。1）指定專(zhuān)人負(fù)責(zé)軟件設(shè)計(jì)相關(guān)文檔和使用指南的保管； 2）具備軟件設(shè)計(jì)關(guān)文檔、軟件使用指南或操作手冊(cè)和維護(hù)手冊(cè)。e)訪(fǎng)談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，軟件設(shè)計(jì)相關(guān)文檔和使用指南，審批文檔或記錄，文檔使用控制記錄。檢查： 程序資源庫(kù)的修改、更新、發(fā)布進(jìn)行授權(quán)和審批的文檔或記錄，查看是否有批準(zhǔn)人的簽字。程序資源庫(kù)的修改、更新、發(fā)布有批準(zhǔn)人的簽字。5外包軟件開(kāi)發(fā)a)訪(fǎng)談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，軟件開(kāi)發(fā)安全協(xié)議，軟件開(kāi)發(fā)文檔，軟件培訓(xùn)文檔。訪(fǎng)談： 系統(tǒng)建設(shè)負(fù)責(zé)人，交付前進(jìn)行驗(yàn)收測(cè)試。 檢查： 軟件開(kāi)發(fā)協(xié)議,知識(shí)產(chǎn)權(quán)歸屬、安全行為等內(nèi)容。1）軟件交付前進(jìn)行驗(yàn)收測(cè)試； 2）軟件

11、開(kāi)發(fā)具備軟件開(kāi)發(fā)協(xié)議,明確知識(shí)產(chǎn)權(quán)歸屬、安全行為等內(nèi)容。b)訪(fǎng)談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，軟件開(kāi)發(fā)安全協(xié)議，軟件開(kāi)發(fā)文檔，軟件培訓(xùn)文檔。訪(fǎng)談： 系統(tǒng)建設(shè)負(fù)責(zé)人，軟件安裝前是否檢測(cè)軟件中惡意代碼。軟件安裝前檢測(cè)軟件中惡意代碼。c)訪(fǎng)談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，軟件開(kāi)發(fā)安全協(xié)議，軟件開(kāi)發(fā)文檔，軟件培訓(xùn)文檔。檢查： 需求分析說(shuō)明書(shū)、軟件設(shè)計(jì)說(shuō)明書(shū)、軟件操作手冊(cè)、軟件源代碼文檔等軟件開(kāi)發(fā)文檔和使用指南。由軟件開(kāi)發(fā)商提供需求分析說(shuō)明書(shū)、軟件設(shè)計(jì)說(shuō)明書(shū)、軟件操作手冊(cè)、軟件源代碼文檔等軟件開(kāi)發(fā)文檔和使用指南。d)訪(fǎng)談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，軟件開(kāi)發(fā)安全協(xié)議，軟件開(kāi)發(fā)文檔，軟件培訓(xùn)文檔。訪(fǎng)談： 系統(tǒng)建設(shè)負(fù)責(zé)人，要

12、求開(kāi)發(fā)單位提供源代碼，是否根據(jù)源代碼對(duì)軟件中可能存在的后門(mén)進(jìn)行審查； 檢查： 軟件源代碼審查記錄。1）由軟件開(kāi)發(fā)商提供源代碼，檢查源代碼可能存在的后門(mén)； 2）具備軟件源代碼審查記錄。6工程實(shí)施a)訪(fǎng)談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，工程安全建設(shè)協(xié)議，工程實(shí)施方案，工程實(shí)施管理制度。訪(fǎng)談： 系統(tǒng)建設(shè)負(fù)責(zé)人，是否有專(zhuān)門(mén)部門(mén)或人員負(fù)責(zé)工程實(shí)施管理工作。指定專(zhuān)門(mén)部門(mén)或人員負(fù)責(zé)工程實(shí)施管理工作。b)訪(fǎng)談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，工程安全建設(shè)協(xié)議，工程實(shí)施方案，工程實(shí)施管理制度。訪(fǎng)談： 系統(tǒng)建設(shè)負(fù)責(zé)人，是否對(duì)工程實(shí)施過(guò)程進(jìn)行進(jìn)度和質(zhì)量控制，是否將控制方法和工程人員行為規(guī)范制度化，工程實(shí)施單位是否具備安全實(shí)施系統(tǒng)建設(shè)

13、的資質(zhì)證明和能力保證。 檢查： 工程實(shí)施方案。1）指定專(zhuān)門(mén)的部門(mén)或人員對(duì)實(shí)施過(guò)程的進(jìn)度和質(zhì)量進(jìn)行控制； 2）工程實(shí)施單位是否具備安全實(shí)施系統(tǒng)建設(shè)的資質(zhì)證明和能力保證； 3）具備過(guò)程實(shí)施方案。c)訪(fǎng)談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，工程安全建設(shè)協(xié)議，工程實(shí)施方案，工程實(shí)施管理制度。檢查： 檢查工程實(shí)施管理制度，查看其是否規(guī)定工程實(shí)施過(guò)程的控制方法（如內(nèi)部階段性控制或外部監(jiān)理單位控制）、實(shí)施參與人員的各種行為等方面內(nèi)容。具備工程實(shí)施管理制度，規(guī)定了工程實(shí)施過(guò)程的控制方法（如內(nèi)部階段性控制或外部監(jiān)理單位控制）、實(shí)施參與人員的各種行為等方面內(nèi)容。7測(cè)試驗(yàn)收a)訪(fǎng)談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，測(cè)試方案，測(cè)試記錄，測(cè)

14、試報(bào)告，驗(yàn)收?qǐng)?bào)告，驗(yàn)收測(cè)試管理制度。訪(fǎng)談： 系統(tǒng)建設(shè)負(fù)責(zé)人，是否委托第三方進(jìn)行安全測(cè)試。 檢查： 是否具有系統(tǒng)安全性測(cè)試報(bào)告，報(bào)告是否給出測(cè)試通過(guò)的結(jié)論，是否有第三方測(cè)試機(jī)構(gòu)的簽字或蓋章。1）委托第三方測(cè)試機(jī)構(gòu)進(jìn)行了安全性測(cè)試； 2）第三方測(cè)試機(jī)構(gòu)出具安全性測(cè)試報(bào)告，并通過(guò)報(bào)告給出測(cè)試結(jié)論，附有第三方測(cè)試機(jī)構(gòu)的簽字或蓋章。b)訪(fǎng)談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，測(cè)試方案，測(cè)試記錄，測(cè)試報(bào)告，驗(yàn)收?qǐng)?bào)告，驗(yàn)收測(cè)試管理制度。檢查： 1）測(cè)試驗(yàn)收方案，是否包含參與部門(mén)、人員、測(cè)試驗(yàn)收內(nèi)容、測(cè)試過(guò)程等； 2）測(cè)試過(guò)程中的測(cè)試結(jié)果； 3）測(cè)試完成后形成的測(cè)試驗(yàn)收?qǐng)?bào)告。1）具備測(cè)試驗(yàn)收方案，且內(nèi)容包含參與部門(mén)、人員

15、、測(cè)試驗(yàn)收內(nèi)容、測(cè)試過(guò)程等； 2）保留測(cè)評(píng)過(guò)程中的測(cè)試結(jié)果； 3）根據(jù)測(cè)試結(jié)果編制了測(cè)試驗(yàn)收?qǐng)?bào)告。c)訪(fǎng)談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，測(cè)試方案，測(cè)試記錄，測(cè)試報(bào)告，驗(yàn)收?qǐng)?bào)告，驗(yàn)收測(cè)試管理制度。檢查： 測(cè)試驗(yàn)收管理文檔是否包括系統(tǒng)測(cè)試驗(yàn)收的過(guò)程控制方法、參與人員的行為規(guī)范等內(nèi)容。具備測(cè)試驗(yàn)收管理文檔，內(nèi)容包括系統(tǒng)測(cè)試驗(yàn)收的過(guò)程控制方法、參與人員的行為規(guī)范等內(nèi)容。d)訪(fǎng)談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，測(cè)試方案，測(cè)試記錄，測(cè)試報(bào)告，驗(yàn)收?qǐng)?bào)告，驗(yàn)收測(cè)試管理制度。訪(fǎng)談： 系統(tǒng)建設(shè)負(fù)責(zé)人，何部門(mén)負(fù)責(zé)驗(yàn)收工作。指定專(zhuān)門(mén)的部門(mén)負(fù)責(zé)測(cè)試驗(yàn)收工作。e)訪(fǎng)談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，測(cè)試方案，測(cè)試記錄，測(cè)試報(bào)告，驗(yàn)收?qǐng)?bào)告，驗(yàn)收

16、測(cè)試管理制度。訪(fǎng)談： 系統(tǒng)建設(shè)負(fù)責(zé)人，是否根據(jù)設(shè)計(jì)方案或合同要求組織相關(guān)部門(mén)和人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定。 檢查： 1）測(cè)試驗(yàn)收記錄是否詳細(xì)記錄了測(cè)試時(shí)間、人員、現(xiàn)場(chǎng)操作過(guò)程和測(cè)試驗(yàn)收結(jié)果等方面內(nèi)容； 2）是否具備對(duì)測(cè)試驗(yàn)收?qǐng)?bào)告的審定文檔，查看文檔是否有相關(guān)人員的審定意見(jiàn)。1）根據(jù)設(shè)計(jì)方案或合同要求組織相關(guān)部門(mén)和人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定； 2）測(cè)試驗(yàn)收記錄記錄了測(cè)試時(shí)間、人員、現(xiàn)場(chǎng)操作過(guò)程和測(cè)試驗(yàn)收結(jié)果等方面內(nèi)容； 3）測(cè)試驗(yàn)收?qǐng)?bào)告具有相關(guān)人員的審定意見(jiàn)。8系統(tǒng)交付a)訪(fǎng)談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，系統(tǒng)交付清單，服務(wù)承諾書(shū)，系統(tǒng)培訓(xùn)記錄，系統(tǒng)交付管理制度。訪(fǎng)談： 系統(tǒng)建設(shè)負(fù)責(zé)人，是否按

17、照交付清單進(jìn)行清點(diǎn)。 檢查： 統(tǒng)交付清單。1）系統(tǒng)交付時(shí)按照交付清單進(jìn)行清點(diǎn)； 2）制定了系統(tǒng)交付清單。b)訪(fǎng)談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，系統(tǒng)交付清單，服務(wù)承諾書(shū)，系統(tǒng)培訓(xùn)記錄，系統(tǒng)交付管理制度。訪(fǎng)談： 系統(tǒng)建設(shè)負(fù)責(zé)人，內(nèi)部維護(hù)人員是否參與過(guò)培訓(xùn)。 檢查： 培訓(xùn)記錄，包括培訓(xùn)內(nèi)容、培訓(xùn)時(shí)間和參與人員等信息。1）內(nèi)部維護(hù)人員參加過(guò)相關(guān)的技能培訓(xùn)； 2）保存了相關(guān)的培訓(xùn)記錄，包括培訓(xùn)內(nèi)容、培訓(xùn)時(shí)間和參與人員等信息。c)訪(fǎng)談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，系統(tǒng)交付清單，服務(wù)承諾書(shū)，系統(tǒng)培訓(xùn)記錄，系統(tǒng)交付管理制度。檢查： 系統(tǒng)建設(shè)文檔、指導(dǎo)用戶(hù)進(jìn)行系統(tǒng)運(yùn)維的文檔、系統(tǒng)培訓(xùn)手冊(cè)等是否完善。具備系統(tǒng)建設(shè)文檔、指導(dǎo)用

18、戶(hù)進(jìn)行系統(tǒng)運(yùn)維的文檔、系統(tǒng)培訓(xùn)手冊(cè)等。d)訪(fǎng)談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，系統(tǒng)交付清單，服務(wù)承諾書(shū)，系統(tǒng)培訓(xùn)記錄，系統(tǒng)交付管理制度。檢查： 系統(tǒng)交付管理文檔，查看其是否包括交付過(guò)程的控制方法和對(duì)交付參與人員的行為限制等方面內(nèi)容。具備系統(tǒng)交付管理文檔，內(nèi)容包括交付過(guò)程的控制方法和對(duì)交付參與人員的行為限制等方面。e)訪(fǎng)談，檢查。系統(tǒng)建設(shè)負(fù)責(zé)人，系統(tǒng)交付清單，服務(wù)承諾書(shū)，系統(tǒng)培訓(xùn)記錄，系統(tǒng)交付管理制度。訪(fǎng)談： 系統(tǒng)建設(shè)負(fù)責(zé)人，何部門(mén)負(fù)責(zé)系統(tǒng)交付管理工作。指定專(zhuān)門(mén)的部門(mén)或人員管理系統(tǒng)交付。9系統(tǒng)備案a)訪(fǎng)談，檢查。安全主管，文檔管理員，備案記錄。訪(fǎng)談： 1）安全主管，何部門(mén)何人負(fù)責(zé)管理系統(tǒng)定級(jí)文檔； 2）文檔管理員，系統(tǒng)定級(jí)相關(guān)備案文檔采取的控制措施。 檢查： 系統(tǒng)定級(jí)相關(guān)材料的使用控制記錄。1）指定專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)管理系統(tǒng)定級(jí)文檔； 2）具備定級(jí)相關(guān)材料的使用控制記錄。b)訪(fǎng)談，檢查。安全主管，文檔管理員，備案記錄。檢查： 主管部門(mén)備案的記錄或備案文檔。具備信息系統(tǒng)相關(guān)備案材料。c)訪(fǎng)談，檢查。安全主管，文檔管理員，備案記錄。檢查： 公安機(jī)關(guān)備案的記錄或證明。具備公安機(jī)關(guān)的備案記錄或證明。10等級(jí)測(cè)評(píng)a)前一次的測(cè)評(píng)報(bào)告訪(fǎng)談： 安全主管，等級(jí)測(cè)評(píng)周期。 檢查： 等級(jí)測(cè)評(píng)報(bào)告、建議報(bào)告、整改報(bào)告。1）定期對(duì)信息系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)； 2）具備等級(jí)測(cè)評(píng)報(bào)告、建議報(bào)告、整改報(bào)