信息安全技術信息系統(tǒng)安全等級保護測評要求

1、信息安全技術 信息系統(tǒng)安全等級保護基本要求引 言依據中華人人民共和國計計算機信息系系統(tǒng)安全保護護條例（國國務院1477號令）、國國家信息化領領導小組關于于加強信息安安全保障工作作的意見（中中辦發(fā)20003277號）、關于信息系系統(tǒng)安全等級級保護工作的的實施意見（公通字字2004466號）和和信息安全全等級保護管管理辦法（公公通字20007433號）等有關關文件要求，制制定本標準。本標準是信息安全等級保護相關系列標準之一。與本標準相關的系列標準包括：GB/T 22240-2008 信息安全技術 信息系統(tǒng)安全等級保護定級指南；GB/T 22239-2008 信息安全技術 信息系統(tǒng)安全等級保護基本要

2、求；GB/T AAAA-AAAA 信息安全技術 信息系統(tǒng)安全等級保護實施指南。一般來說，信息系統(tǒng)需要靠多種安全措施進行綜合防范以降低其面臨的安全風險。本標準針對信息系統(tǒng)中的單項安全措施和多個安全措施的綜合防范，對應地提出單元測評和整體測評的技術要求，用以指導測評人員從信信息安全等級級保護的角度度對信息系統(tǒng)統(tǒng)進行測試評評估。單元測測評對安全技技術和安全管管理上各個層層面的安全控控制點提出不不同安全保護護等級的測評評要求。整體體測評根據安安全控制點間間、層面間和和區(qū)域間相互互關聯關系以以及信息系統(tǒng)統(tǒng)整體結構對對信息系統(tǒng)整整體安全保護護能力的影響響提出測評要要求。 本標準給出出了等級測評評結論中應包

3、包括的主要內內容，未規(guī)定定給出測評結結論的具體方方法和量化指指標。如果沒有特特殊指定，本本標準中的信信息系統(tǒng)主要要指計算機信信息系統(tǒng)。 在本標準文文本中，黑體體字的測評要要求表示該要要求出現在當當前等級而在在低于當前等等級信息系統(tǒng)統(tǒng)的測評要求求中沒有出現現過。信息系統(tǒng)安全等等級保護測評評要求1 范圍本標準規(guī)定了對對信息系統(tǒng)安安全等級保護護狀況進行安安全測試評估估的要求，包包括對第一級級信息系統(tǒng)、第第二級信息系系統(tǒng)、第三級級信息系統(tǒng)和和第四級信息息系統(tǒng)進行安安全測試評估估的單元測評評要求和信息息系統(tǒng)整體測測評要求。本本標準略去對對第五級信息息系統(tǒng)進行單單元測評的具具體內容要求求。本標準適用用于信

4、息安全全測評服務機機構、信息系系統(tǒng)的主管部部門及運營使使用單位對信信息系統(tǒng)安全全等級保護狀狀況進行的安安全測試評估估。信息安全全監(jiān)管職能部部門依法進行行的信息安全全等級保護監(jiān)監(jiān)督檢查可以以參考使用。2 規(guī)范性引用用文件下列文件中的條條款通過本標標準的引用而而成為本標準準的條款。注注日期的引用用文件，其隨隨后所有的修修改單（不包包括勘誤的內內容）或修訂訂版均不適用用于本標準，然然而，鼓勵根根據本標準達達成協(xié)議的各各方研究是否否可使用這些些文件的最新新版本。不注注日期的引用用文件，其最最新版本適用用于本標準。GB/T 5271.8 信息技術 詞匯 第8部分：安全GB/T 22239-2008 信息

5、安全技術 信息系統(tǒng)安全等級保護基本要求3 術語和定義義GB/T 52271.8和和GB/T 222399-20088所確立的以以及下列術語語和定義適用用于本標準。3.1 測評力力度 tessting and eevaluaation intennsity測評工作實實際投入力量量的表征，可可以由測評廣廣度和深度來來描述。4 總則4.1 測評原原則a) 客觀性和和公正性原則則測評工作雖雖然不能完全全擺脫個人主主張或判斷，但但測評人員應應當在沒有偏偏見和最小主主觀判斷情形形下，按照測測評雙方相互互認可的測評評方案，基于于明確定義的的測評方法和和過程，實施施測評活動。b) 經濟性和和可重用性原則則基于

6、測評成成本和工作復復雜性考慮，鼓鼓勵測評工作作重用以前的的測評結果，包包括商業(yè)安全全產品測評結結果和信息系系統(tǒng)先前的安安全測評結果果。所有重用用的結果，都都應基于這些些結果還能適適用于目前的的系統(tǒng)，能反反映目前系統(tǒng)統(tǒng)的安全狀態(tài)態(tài)。c) 可重復性性和可再現性原則則無論誰執(zhí)行測評評，依照同樣樣的要求，使使用同樣的方方法，對每個個測評實施過過程的重復執(zhí)執(zhí)行都應該得得到同樣的測測評結果?？煽稍佻F性體現現在不同測評評者執(zhí)行相同同測評的結果果的一致性。可可重復性體現現在同一測評評者重復執(zhí)行行相同測評的的結果的一致致性。d) 符合性原原則測評所產生生的結果應當當是在對測評評指標的正確確理解下所取取得的良好的

7、的判斷。測評評實施過程應應當使用正確確的方法以確確保其滿足了了測評指標的的要求。4.2 測評內內容信息系統(tǒng)安全等等級測評主要要包括單元測測評和整體測測評兩部分。單元測評是等級級測評工作的的基本活動，每每個單元測評評包括測評指指標、測評實實施和結果判判定三部分。其中，測評指標來源于GB/T 22239-2008中的第五級目錄中的各要求項（詳見4.5節(jié)說明），測評實施描述測評過程中使用的具體測評方法、涉及的測評對象和具體測評取證過程的要求，結果判定描述測評人員執(zhí)行測評實實施并產生各各種測評數據據后，如何依依據這些測評評數據來判定定被測系統(tǒng)是是否滿足測評評指標要求的的原則和方法法。整體測評是是在單元

8、測評評的基礎上，通通過進一步分分析信息系統(tǒng)統(tǒng)的整體安全全性，對信息息系統(tǒng)實施的的綜合安全測測評。整體測測評主要包括括安全控制點點間、層面間間和區(qū)域間相相互作用的安安全測評以及及系統(tǒng)結構的的安全測評等等。整體測評評需要與信息息系統(tǒng)的實際際情況相結合合，因此全面面地給出整體體測評要求的的全部內容、具具體實施過程程和明確的結結果判定方法法是非常困難難的，測評人人員應根據被被測系統(tǒng)的實實際情況，結結合本標準的的要求，實施施整體測評。測評方法指測評人員在測評實施過程中所使用的方法，主要包括訪談、檢查和測試三種測評方法。其中，訪談是指測評人員通過引導信息系統(tǒng)相關人員進行有目的的（有針對性的）交流以幫助測評

9、人員理解、分析或取得證據的過程，檢查是指測評人員通過對測評對象（如管理制度、操作記錄、安全配置等）進行觀察、查驗、分析以幫助測評人員理解、分析或取得證據的過程，測試是測評人員使用預定的方法/工具使測評對象產生特定的行為，通過查看和分析結果以幫助測評人員獲取證據的過程。測評對象指測評實施的對象，即測評過程中涉及到的信息系統(tǒng)的相關人員、制度文檔、各類設備及其安全配置等。4.3 測評力力度測評力度是在測測評過程中實實施測評工作作的力度，反反映測評的廣廣度和深度，體體現為測評工工作的實際投投入程度。測測評廣度越大大，測評實施施的范圍越大大，測評實施施包含的測評評對象就越多多；測評深度度越深，越需需要在

10、細節(jié)上上展開，測評評就越嚴格，因因此就越需要要更多的投入入。投入越多多，測評力度度就越強，測測評就越有保保證。測評的的廣度和深度度落實到訪談談、檢查和測測試三種不同同的測評方法法上，能體現現出測評實施施過程中談、檢檢查和測試的的投入程度的的不同。信息安全等等級保護要求求不同安全保保護等級的信信息系統(tǒng)應具具有不同的安安全保護能力力，滿足相應應等級的保護護要求。為了了檢驗不同安安全保護等級級的信息系統(tǒng)統(tǒng)是否具有相相應等級的安安全保護能力力，是否滿足足相應等級的的保護要求，需需要實施與其其安全保護等等級相適應的的測評，付出出相應的工作作投入，達到到應有的測評評力度。第一一級到第四級級信息系統(tǒng)的的測評

11、力度反反映在訪談、檢檢查和測試等等三種基本測測評方法的測測評廣度和深深度上，落實實在不同單元元測評中具體體的測評實施施上。不同安安全保護等級級的信息系統(tǒng)統(tǒng)在總體上所所對應的測評評力度在附錄錄A中描述。4.4 結果重重用在信息系統(tǒng)中，有有些安全控制制可以不依賴賴于其所在的的地點便可測測評，即在其其部署到運行行環(huán)境之前便便可以接受安安全測評。一一些商用安全全產品的測評評就屬于這種種安全測評。如如果一個信息息系統(tǒng)部署和和安裝在多個個地點，且系系統(tǒng)具有一組組共同的軟件件、硬件、固固件等組成部部分，對這些些安全控制的的測評可以集集中在一個集集成測試環(huán)境境中實施，如如果沒有這種種環(huán)境，則可可以在其中一一個

12、預定的運運行地點實施施，在其他運運行地點的安安全測評便可可重用此測評結結果。在信息系統(tǒng)統(tǒng)所有安全控控制中，有一一些安全控制制與它所處于于的運行環(huán)境境緊密相關（如如與人員或物物理有關的某某些安全控制制），對其測測評必須在分分發(fā)到相應運運行環(huán)境中才才能進行。如如果多個信息息系統(tǒng)處在地地域臨近的封封閉場地內，系系統(tǒng)所屬的機機構在同一個個領導層管理理之下，對這這些安全控制制在多個信息息系統(tǒng)中進行行重復測評，可可能是對有效效資源的一種種浪費。因此此，可以在一一個選定的信信息系統(tǒng)中進進行測評，其其他相關信息息系統(tǒng)可以直直接重用這些些測評結果。4.5 使用方方法本標準第5章到到第8章分別描述述了第一級信信息

13、系統(tǒng)、第第二級信息系系統(tǒng)、第三級級信息系統(tǒng)和和第四級信息息系統(tǒng)所有單單元測評的內內容，在章節(jié)節(jié)上分別對應應國標GB/T 222239-20008的第5章到第8章。在國標標GB/T222399-20088第5章到第8章中，各章章的二級目錄錄都分為安全全技術和安全全管理兩部分分，三級目錄錄從安全層面面（如物理安安全、網絡安安全、主機安安全等）進行行劃分和描述述，四級目錄錄按照安全控控制點進行劃劃分和描述（如如主機安全層層面下分為身身份鑒別、訪訪問控制、安安全審計等），第第五級目錄是是每一個安全全控制點下面面包括的具體體安全要求項項（以下簡稱稱“要求項”，這些要求求項在本標準準中被稱為“測評指標”）

14、。本標準準中針對每一一個安全控制制點的測評就就構成一個單單元測評，單單元測評中的的每一個具體體測評實施要要求項（以下下簡稱“測評要求項項”）是與安全全控制點下面面所包括的要要求項（測評評指標）相對對應的。在對對每一要求項項進行測評時時，可能用到到訪談、檢查查和測試三種種測試方法，也也可能用到其其中一種或兩兩種，為了描描述簡潔，在在測評要求項項中，沒有針針對每一個要要求項分別進進行描述，而而是對具有相相同測評方法法的多個要求求項進行了合合并描述，但測評評實施的內容容完全覆蓋了了GB/T 222399-20088中所有要求求項的測評要要求,使用時，應應當從單元測測評的測評實實施中抽取出出對于GB/

15、T 222239-20008中每一一個要求項的的測評要求，并并按照這些測測評要求開發(fā)測評指導書書，以規(guī)范和和指導安全等等級測評活動動。 測評過程中中，測評人員員應注意對測測評記錄和證證據的采集、處處理、存儲和和銷毀，保護護其在測評期期間免遭破壞壞、更改或遺遺失，并保守守秘密。測評的最終終輸出是測評評報告，測評評報告應結合合第11章的要求求給出等級測測評結論。5 第一級信息息系統(tǒng)單元測測評5.1 安全技技術測評5.1.1 物物理安全1 物理訪問問控制1.1 測評評指標見GB/T 222239-2008 。1.2 測評評實施本項要求包括：a) 應訪談物物理安全負責責人，了解部部署了哪些控控制人員進

16、出出機房的保護護措施；b) 應檢查查是否有專人人負責機房的的出入控制且且有進入機房房人員的登記記記錄。1.3 結果果判定如果.2 b）為肯定定，則信息系系統(tǒng)符合本單單元測評指標標要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標標要求。2 防盜竊和和防破壞2.1 測評評指標見GB/T 222239-2008 。2.2 測評評實施本項要求包括：a) 應訪談物物理安全負責責人，了解采采取了哪些防防止設備、介介質等丟失的的保護措施；b) 應檢查查關鍵設備是是否放置在機機房內或其它它不易被盜竊竊和被破壞的的可控范圍內內；c) 應檢查查關鍵設備或或設備的主要要部件的固定定情況，查看看其是否不易易

17、被移動或被被搬走，是否否設置明顯的的不易除去的的標記。2.3 結果果判定如果.2 b）和c）均為肯定定，則信息系系統(tǒng)符合本單單元測評指標標要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標標要求。3 防雷擊3.1 測評評指標見GB/T 222239-2008 。3.2 測評評實施本項要求包括：a) 應訪談物物理安全負責責人，詢問機機房建筑是否否設置了避雷雷裝置，是否否通過驗收或或國家有關部部門的技術檢檢測；b) 應檢查機機房建筑是否否有避雷裝置置。3.3 結果果判定如果.2 b）為肯定定，則信息系系統(tǒng)符合本單單元測評指標標要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標標要求

18、。4 防火4.1 測評評指標見GB/T 222239-2008 。4.2 測評評實施本項要求包括：a) 應訪談物物理安全負責責人，詢問機機房是否設置置了滅火設備備，是否制定定了有關機房房消防的管理理制度和消防防預案，是否否進行了消防防培訓；b) 應檢查查機房是否設設置了滅火設設備，滅火設設備擺放位置置是否合理，其其有效期是否否合格。4.3 結果果判定如果.2 a)和b）均為肯定定，則信息系系統(tǒng)符合本單單元測評指標標要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標標要求。5 防水和防防潮5.1 測評評指標見GB/T 222239-2008 。5.2 測評評實施本項要求包括：a) 應訪談

19、物物理安全負責責人，詢問機機房是否部署署了防水防潮潮措施，是否否沒有出現過過漏水和返潮潮事件；如果果機房內有上上/下水管安裝裝，則查看是是否采取必要要的保護措施施；b) 應檢查查穿過主機房房墻壁或樓板板的管道是否否采取必要的的防滲防漏等等防水保護措措施；c) 應檢查查機房的窗戶戶、屋頂和墻墻壁等是否未未出現過漏水水、滲透和返返潮現象，機機房及其環(huán)境境是否不存在在明顯的漏水水和返潮的威威脅；如果出出現漏水、滲滲透和返潮現現象是否能夠夠及時修復解解決。5.3 結果果判定如果.2 b）和c）均為肯定定，則信息系系統(tǒng)符合本單單元測評指標標要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標標要求

20、。6 溫濕度控控制6.1 測評評指標見GB/T 222239-2008 。6.2 測評評實施本項要求包括：a) 應訪談物物理安全負責責人，詢問機機房是否配備備了空調等溫溫濕度控制設設施，保證溫溫濕度能夠滿足計計算機設備運運行的要求，是是否在機房管管理制度中規(guī)規(guī)定了溫濕度度控制的要求求；b) 應檢查查空調設備是是否能夠正常常運行，檢查查機房溫濕度度是否滿足計計算站場地的的技術條件要要求。6.3 結果果判定如果.2 b）為肯定定，則信息系系統(tǒng)符合本單單元測評指標標要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標標要求。7 電力供應應7.1 測評評指標見GB/T 222239-2008 。

21、7.2 測評評實施本項要求包括：a) 應訪談物物理安全負責責人，詢問計計算機系統(tǒng)供供電線路上是是否設置了穩(wěn)穩(wěn)壓器和過電電壓防護設備備；b) 應檢查查機房，查看看計算機系統(tǒng)統(tǒng)供電線路上上是否設置了了穩(wěn)壓器和過過電壓防護設設備，這些設設備是否正常常運行。7.3 結果果判定如果.2 b）為肯定定，則信息系系統(tǒng)符合本單單元測評指標標要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標標要求。5.1.2 網網絡安全1 結構安全全1.1 測評評指標見GB/T 222239-2008 。1.2 測評評實施本項要求包括：a) 應訪談網網絡管理員，詢詢問關鍵網絡絡設備的業(yè)務務處理能力是是否滿足基本本業(yè)務需

22、求；b) 應訪談談網絡管理員員，詢問接入入網絡及核心心網絡的帶寬寬是否滿足基基本業(yè)務需要要；c) 應檢查查網絡拓撲結結構圖，查看看其與當前運運行的實際網網絡系統(tǒng)是否否一致。1.3 結果果判定本項要求包括：a) 如果5. c）中中缺少網絡拓拓撲結構圖，則則為否定；b) 如果5.1.2.1.22 a）-c）均為肯肯定，則信息息系統(tǒng)符合本本單元測評指指標要求，否否則，信息系系統(tǒng)不符合或或部分符合本本單元測評指指標要求。2 訪問控制制2.1 測評評指標見GB/T 222239-2008 。2.2 測評評實施本項要求包括：a) 應訪談安安全管理員，詢詢問網絡訪問問控制的措施施有哪些；詢詢問網絡訪問問控制

23、設備具具備哪些訪問問控制功能；b) 應檢查查邊界網絡設設備，查看是是否有正確的的訪問控制列列表，以通過過源地址、目目的地址、源源端口、目的的端口、協(xié)議議等進行網絡絡數據流控制制，其控制粒粒度是否至少少為用戶組。2.3 結果果判定如果.2 b）為肯定定，則信息系系統(tǒng)符合本單單元測評指標標要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標標要求。3 網絡設備備防護3.1 測評評指標見GB/T 222239-2008 。3.2 測評評實施本項要求包括：a) 應訪談網網絡管理員，詢詢問關鍵網絡絡設備的防護護措施有哪些些；詢問關鍵鍵網絡設備的的登錄和驗證證方式做過何何種配置；詢詢問遠程管理理的設

24、備是否否采取措施防防止鑒別信息息泄漏；b) 應檢查查邊界和關鍵鍵網絡設備，查查看是否配置置了對登錄用用戶進行身份份鑒別的功能能；c) 應檢查查邊界和關鍵鍵網絡設備，查查看是否配置置了鑒別失敗敗處理功能；d) 應檢查查邊界和關鍵鍵網絡設備，查查看是否配置置了對設備遠遠程管理所產產生的鑒別信信息進行保護護的功能。3.3 結果果判定如果.2 b）-d）均為肯肯定，則信息息系統(tǒng)符合本本單元測評指指標要求，否否則，信息系系統(tǒng)不符合或或部分符合本本單元測評指指標要求。5.1.3 主主機安全1 身份鑒別別1.1 測評評指標見GB/T 222239-2008 。1.2 測評評實施本項要求包括：a) 應訪談系系

25、統(tǒng)管理員和和數據庫管理理員，詢問操操作系統(tǒng)和數數據庫管理系系統(tǒng)的身份標標識與鑒別機機制采取何種種措施實現；b) 應檢查查關鍵服務器器操作系統(tǒng)和和關鍵數據庫庫管理系統(tǒng)，查查看是否提供供了身份鑒別別措施。1.3 結果果判定如果.2 b)為肯定定，則信息系系統(tǒng)符合本單單元測評指標標要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標標要求。2 訪問控制制2.1 測評評指標見GB/T 222239-2008 。2.2 測評評實施本項要求包括：a) 應檢查關關鍵服務器操操作系統(tǒng)的安安全策略，查查看是否對重重要文件的訪訪問權限進行行了限制，對對系統(tǒng)不需要要的服務、共共享路徑等進進行了禁用或或刪除；b

26、) 應檢查查關鍵服務器器操作系統(tǒng)和和關鍵數據庫庫管理系統(tǒng)，查查看匿名/默認帳戶的訪問權權限是否已被被禁用或者限限制，是否刪刪除了系統(tǒng)中中多余的、過過期的以及共共享的帳戶；c) 應檢查查關鍵服務器器操作系統(tǒng)和和關鍵數據庫庫管理系統(tǒng)的的權限設置情情況，查看是是否依據安全全策略對用戶戶權限進行了了限制。2.3 結果果判定如果.2 a）-c）均為肯肯定，則信息息系統(tǒng)符合本本單元測評指指標要求，否否則，信息系系統(tǒng)不符合或或部分符合本本單元測評指指標要求。3 入侵防范范3.1 測評評指標見GB/T 222239-2008 。3.2 測評評實施本項要求包括：a) 應訪談系系統(tǒng)管理員，詢詢問操作系統(tǒng)統(tǒng)中所安裝

27、的的系統(tǒng)組件和和應用程序是是否都是必須須的，詢問操操作系統(tǒng)補丁丁更新的方式式和周期；b) 應檢查查關鍵服務器器操作系統(tǒng)和和關鍵數據庫庫管理系統(tǒng)的的補丁是否得得到了及時更更新。3.3 結果果判定如果.2 b)肯定，則則信息系統(tǒng)符符合本單元測測評指標要求求，否則，信信息系統(tǒng)不符符合或部分符符合本單元測測評指標要求求。4 惡意代碼碼防范4.1 測評評指標見GB/T 222239-2008 。4.2 測評評實施本項要求包括：a) 應訪談系系統(tǒng)安全管理理員，詢問主主機系統(tǒng)是否否采取惡意代代碼實時檢測測與查殺措施施，惡意代碼碼實時檢測與與查殺措施的的部署覆蓋范范圍如何；b) 應檢查查關鍵服務器器，查看是否

28、否安裝了實時時檢測與查殺殺惡意代碼的的軟件產品并并進行及時更更新。4.3 結果果判定如果.2 b）為肯定定，則信息系系統(tǒng)符合本單單元測評指標標要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標標要求。5.1.4 應應用安全1 身份鑒別別1.1 測評評指標見GB/T 222239-2008 。1.2 測評評實施本項要求包括：a) 應訪談應應用系統(tǒng)管理理員，詢問應應用系統(tǒng)是否否有專用的登登錄控制模塊塊對登錄的用用戶進行身份份標識和鑒別別，具體采取取的鑒別措施施是什么；b) 應訪談談應用系統(tǒng)管管理員，詢問問應用系統(tǒng)是是否具有登錄錄失敗處理功功能；c) 應訪談談應用系統(tǒng)管管理員，詢問問應用系統(tǒng)

29、是是否采取措施施防止鑒別信信息傳輸過程程中被竊聽，具具體措施是什什么；d) 應檢查查關鍵應用系系統(tǒng)，查看其其是否提供身身份標識和鑒鑒別功能；e) 應檢查查關鍵應用系系統(tǒng)，查看其其提供的登錄錄失敗處理功功能，是否根根據安全策略略配置了相關關參數。1.3 結果果判定如果.2 d）和e）均為肯定定，則信息系系統(tǒng)符合本單單元測評指標標要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標標要求。2 訪問控制制2.1 測評評指標見GB/T 222239-2008 。2.2 測評評實施本項要求包括：a) 應訪談應應用系統(tǒng)管理理員，詢問應應用系統(tǒng)是否否提供訪問控控制措施，以以及具體措施施和訪問控制制策略

30、有哪些些；b) 應檢查查關鍵應用系系統(tǒng)，查看系系統(tǒng)是否提供供訪問控制功功能控制用戶戶組/用戶對系統(tǒng)統(tǒng)功能和用戶戶數據的訪問問；c) 應檢查查關鍵應用系系統(tǒng)，查看其其是否具有由由授權用戶設設置其它用戶戶訪問系統(tǒng)功功能和用戶數數據的權限的的功能，是否否限制默認用用戶的訪問權權限；d) 應測試試關鍵應用系系統(tǒng)，可通過過以不同權限限的用戶登錄錄系統(tǒng)，查看看其擁有的權權限是否與系系統(tǒng)賦予的權權限一致，驗驗證應用系統(tǒng)統(tǒng)訪問控制功功能是否有效效。2.3 結果果判定如果.2 b）-d）均為肯肯定，則信息息系統(tǒng)符合本本單元測評指指標要求，否否則，信息系系統(tǒng)不符合或或部分符合本本單元測評指指標要求。3 通信完整整

31、性3.1 測評評指標見GB/T 222239-2008 。3.2 測評評實施本項要求包括：a) 應訪談安安全管理員，詢詢問應用系統(tǒng)統(tǒng)是否具有在在數據傳輸過過程中保護其其完整性的措措施，具體措措施是什么；b) 應檢查查設計或驗收收文檔，查看看其是否有關關于保護通信信完整性的說說明。3.3 結果果判定如果.2 b）為肯定定，則信息系系統(tǒng)符合本單單元測評指標標要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標標要求。4 軟件容錯錯4.1 測評評指標見GB/T 222239-2008 。4.2 測評評實施本項要求包括：a) 應訪談應應用系統(tǒng)管理理員，詢問應應用系統(tǒng)是否否具有保證軟軟件容錯能力力

32、的措施，具具體措施有哪哪些；b) 應檢查查關鍵應用系系統(tǒng)，查看應應用系統(tǒng)是否否具有對人機機接口輸入或或通信接口輸輸入的數據進進行有效性檢檢驗的功能；c) 應測試試關鍵應用系系統(tǒng)，可通過過對人機接口口輸入的不同同長度或格式式的數據，查查看系統(tǒng)的反反應，驗證系系統(tǒng)人機接口口有效性檢驗驗功能是否正正確。4.3 結果果判定如果.2 b）和c）均為肯定定，則信息系系統(tǒng)符合本單單元測評指標標要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標標要求。5.1.5 數數據安全及備備份恢復1 數據完整整性1.1 測評評指標見GB/T 222239-2008 。1.2 測評評實施本項要求包括：a) 應訪談安

33、安全管理員，詢詢問關鍵應用用系統(tǒng)用戶數數據在傳輸過過程中是否有有完整性保證證措施，具體體措施有哪些些；b) 應檢查查關鍵應用系系統(tǒng)，查看其其是否配備檢檢測重要用戶戶數據在傳輸輸過程中完整整性受到破壞壞的功能。1.3 結果果判定如果.2 b）為肯定定，則信息系系統(tǒng)符合本單單元測評指標標要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標標要求。2 備份和恢恢復2.1 測評評指標見GB/T 222239-2008 。2.2 測評評實施本項要求包括：a) 應訪談網網絡管理員，詢詢問是否對網網絡設備中的的配置文件進進行備份，備備份策略是什什么；當其受受到破壞時，恢恢復策略是什什么；b) 應訪談談

34、系統(tǒng)管理員員，詢問是否否對操作系統(tǒng)統(tǒng)中的重要信信息進行備份份，備份策略略是什么；當當其受到破壞壞時，恢復策策略是什么；c) 應訪談談數據庫管理理員，詢問是是否對數據庫庫管理系統(tǒng)中中的關鍵數據據進行備份，備備份策略是什什么；當其受受到破壞時，恢恢復策略是什什么；d) 應訪談談安全管理員員，詢問是否否對應用系統(tǒng)統(tǒng)中的應用程程序進行備份份，備份策略略是什么；當當其受到破壞壞時，恢復策策略是什么；e) 應檢查查關鍵主機操操作系統(tǒng)、關關鍵網絡設備備、關鍵數據據庫管理系統(tǒng)統(tǒng)和關鍵應用用系統(tǒng)，查看看其是否提供供備份和恢復復功能，備份份和恢復功能能的配置是否否正確，并且且查看實際備備份結果是否否與備份策略略一

35、致。2.3 結果果判定如果.2 e）為肯定定，則信息系系統(tǒng)符合本單單元測評指標標要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標標要求。5.2 安全管管理測評5.2.1 安安全管理制度度1 管理制度度1.1 測評評指標見GB/T 222399-20088 5.2.1.1。1.2 測評評實施本項要求包括：a) 應檢查各各項安全管理理制度，查看看是否覆蓋物物理、網絡、主主機系統(tǒng)、數數據、應用、建建設和管理等等層面。1.3 結果果判定如果.2 a）為肯定定，則信息系系統(tǒng)符合本單單元測評指標標要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標標要求。2 制定和發(fā)發(fā)布2.1 測評評指標

36、見GB/T 222239-2008 。2.2 測評評實施本項要求包括：a) 應訪談安安全主管，詢詢問是否有專專人負責制定定安全管理制制度；b) 應訪談談安全管理制制度制、修訂訂人員，詢問問安全管理制制度的發(fā)布方方式，是否能能夠發(fā)布到相相關人員手中中。2.3 結果果判定如果.2 a）和b）均為肯定定，則信息系系統(tǒng)符合本單單元測評指標標要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標標要求。5.2.2 安安全管理機構構1 崗位設置置1.1 測評評指標見GB/T 222239-2008 。1.2 測評評實施本項要求包括：a) 應訪談安安全主管，詢詢問信息系統(tǒng)統(tǒng)設置了哪些些工作崗位，各各個崗

37、位的職職責分工是否否明確；b) 應檢查查崗位職責分分工文檔，查查看其定義的的崗位職責中中是否包括系系統(tǒng)管理員、網網絡管理員、安安全管理員等等重要崗位的的職責。1.3 結果果判定如果.2 a）和b）均為肯定定，則信息系系統(tǒng)符合本單單元測評指標標要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標標要求。2 人員配備備2.1 測評評指標見GB/T 222239-2008 。2.2 測評評實施本項要求包括：a) 應訪談安安全主管，詢詢問各個安全全管理崗位的的人員配備情情況；b) 應檢查查安全管理各各崗位人員信信息表，查看看其是否明確確機房管理員員、系統(tǒng)管理理員、網絡管管理員和安全全管理員等重重

38、要崗位人員員的信息。2.3 結果果判定如果.2 a)和b）均為肯定定，則信息系系統(tǒng)符合本單單元測評指標標要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標標要求。3 授權和審審批3.1 測評評指標見GB/T 222239-2008 。3.2 測評評實施本項要求包括：a) 應訪談安安全主管，詢詢問其是否需需要對信息系系統(tǒng)中的關鍵鍵活動進行審審批，審批部部門是何部門門，批準人是是何人，他們們的審批活動動是否得到授授權；b) 應訪談談安全主管，詢詢問其對關鍵鍵活動的審批批范圍。3.3 結果果判定如果.2 a）和b）均為肯定定，則信息系系統(tǒng)符合本單單元測評指標標要求，否則則，信息系統(tǒng)統(tǒng)不符合或

39、部部分符合本單單元測評指標標要求。4 溝通和合合作4.1 測評評指標見GB/T 222239-2008 。4.2 測評評實施本項要求包括：a) 應訪談安安全主管，詢詢問是否經常常與公安機關關、電信公司司和兄弟單位位聯系，聯系系和合作方式式有哪些；b) 應檢查查外聯單位說說明文檔，查查看外聯單位位是否包含公公安機關、電電信公司及兄兄弟單位，是是否說明外聯聯單位的聯系系人和聯系方方式等內容。4.3 結果果判定如果.2 a）和b）均為肯定定，則信息系系統(tǒng)符合本單單元測評指標標要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標標要求。5.2.3 人人員安全管理理1 人員錄用用1.1 測評評指標

40、見GB/T 222239-2008 。1.2 測評評實施本項要求包括：a) 應訪談安安全主管，詢詢問是否有專專門的部門或或人員負責人人員的錄用工工作，由何部部門/何人負責；b) 應訪談談人事管理相相關人員，詢詢問在人員錄錄用時對人員員條件有哪些些要求，是否否對被錄用人人的身份和專專業(yè)資格進行行審查；c) 應檢查人人員錄用要求求管理文檔，查查看是否說明明錄用人員應應具備的條件件（如學歷、學學位要求，技技術人員應具具備的專業(yè)技技術水平，管管理人員應具具備的安全管管理知識等）；d) 應檢查查是否具有人人員錄用時對對錄用人身份份、專業(yè)資格格等進行審查查的相關文檔檔或記錄，查查看是否記錄錄審查內容和和審

41、查結果等等。1.3 結果果判定如果.2 a）-d）均為肯肯定，則信息息系統(tǒng)符合本本單元測評指指標要求，否否則，信息系系統(tǒng)不符合或或部分符合本本單元測評指指標要求。2 人員離崗崗2.1 測評評指標見GB/T 222239-2008 。2.2 測評評實施本項要求包括：a) 應訪談安安全主管，詢詢問是否及時時終止離崗人人員的所有訪訪問權限，取取回各種身份份證件、鑰匙匙、徽章以及及機構提供的的軟硬件設備備等；b) 應檢查查是否具有對對離崗人員的的安全處理記記錄（如交還還身份證件、設設備等的登記記記錄）。2.3 結果果判定如果.2 a）和b）均為肯定定，則信息系系統(tǒng)符合本單單元測評指標標要求，否則則，信

42、息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標標要求。3 安全意識識教育和培訓訓3.1 測評評指標見GB/T 222239-2008 。3.2 測評評實施本項要求包括：a) 應訪談安安全主管，詢詢問是否對各各個崗位人員員進行安全教教育和崗位技技能培訓，告告知相關的安安全知識、安安全責任和懲懲戒措施，具具體的培訓方方式有哪些；b) 應訪談談安全管理員員，考查其對對工作相關的的信息安全基基礎知識、安安全責任和懲懲戒措施等的的理解程度。3.3 結果果判定如果.2 a）和b）均為肯定定，則信息系系統(tǒng)符合本單單元測評指標標要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標標要求。4 外部人員員訪問管

43、理4.1 測評評指標見GB/T 222239-2008 。4.2 測評評實施本項要求包括：a) 應訪談安安全管理員，詢詢問對外部人人員訪問重要要區(qū)域（如訪訪問機房、重重要服務器或或設備區(qū)等）采采取了哪些安安全措施，是是否經有關部部門或負責人人批準才能訪訪問；b) 應檢查查外部人員訪訪問管理文檔檔，查看是否否有對外部人人員訪問機房房等重要區(qū)域域應經過相關關部門或負責責人批準的內內容。4.3 結果果判定如果.2 a）和b）均為肯定定，則信息系系統(tǒng)符合本單單元測評指標標要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標標要求。5.2.4 系系統(tǒng)建設管理理1 系統(tǒng)定級級1.1 測評評指標見GB

44、/T 222239-2008 。1.2 測評評實施本項要求包括：a) 應訪談安安全主管，詢詢問確定信息息系統(tǒng)安全保保護等級的方方法是否參照照定級指南的的指導，定級級過程是否有有書面描述；定級結果是是否獲得了相相關部門的批批準；b) 應檢查查系統(tǒng)定級文文檔，查看文文檔是否明確確信息系統(tǒng)的的邊界和信息息系統(tǒng)的安全全保護等級，是是否說明定級級的方法和理理由，查看定定級結果是否否有相關部門門的批準蓋章章。1.3 結果果判定本項要求包括：a) 5.2.4.1.22 a）沒有有上級主管部部門的，如果果有本單位信信息安全主管管領導的批準準，則該項為為肯定；b) 如果5.2.4.1.22 a）和b）均為肯定定

45、，則信息系系統(tǒng)符合本單單元測評指標標要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標標要求。2 安全方案案設計2.1 測評評指標見GB/T 222239-2008 。2.2 測評評實施本項要求包括：a) 應訪談系系統(tǒng)建設負責責人，詢問是是否根據系統(tǒng)統(tǒng)的安全級別別選擇基本安安全措施，是是否依據風險險分析的結果果補充和調整整安全措施，具具體做過哪些些調整；b) 應檢查查系統(tǒng)的安全全方案，查看看方案是否描描述系統(tǒng)的安安全保護要求求，是否詳細細描述了系統(tǒng)統(tǒng)的安全策略略，是否詳細細描述了系統(tǒng)統(tǒng)采取的安全全措施等內容容；c) 應檢查查系統(tǒng)的詳細細設計方案，查查看詳細設計計方案是否對對應安全方案案

46、進行細化，是是否有安全建建設方案和安安全產品采購購方案。2.3 結果果判定如5.2.4.2.2 aa）-c）均為肯肯定，則信息息系統(tǒng)符合本本單元測評指指標要求，否否則，信息系系統(tǒng)不符合或或部分符合本本單元測評指指標要求。3 產品采購購和使用3.1 測評評指標見GB/T 222239-2008 。3.2 測評評實施本項要求包括：a) 應訪談系系統(tǒng)建設負責責人，詢問信信息安全產品品的采購情況況，是否有產產品采購清單單指導產品采采購，采購過過程如何控制制；b) 應訪談談系統(tǒng)建設負負責人，詢問問系統(tǒng)使用的的有關信息安安全產品是否否符合國家的的有關規(guī)定。3.3 結果果判定如果.2 a）和b）均為肯定定，

47、則信息系系統(tǒng)符合本單單元測評指標標要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標標要求。4 自行軟件件開發(fā)4.1 測評評指標見GB/T 222239-2008 。4.2 測評評實施本項要求包括：a) 應訪談系系統(tǒng)建設負責責人，詢問是是否進行自主主開發(fā)軟件，自自主開發(fā)軟件件是否在獨立立的模擬環(huán)境境中編寫、調調試和完成；b) 應訪談談系統(tǒng)建設負負責人，詢問問軟件設計相相關文檔是否否由專人負責責保管，負責責人是何人；c) 應檢查查是否具有軟軟件設計相關關文檔。4.3 結果果判定如果.2 a）-c）均為肯肯定，則信息息系統(tǒng)符合本本單元測評指指標要求，否否則，信息系系統(tǒng)不符合或或部分符合本本

48、單元測評指指標要求。5 外包軟件件開發(fā)5.1 測評評指標見GB/T 222239-2008 。5.2 測評評實施本項要求包括：a) 應訪談系系統(tǒng)建設負責責人，詢問軟軟件交付前是是否依據開發(fā)發(fā)要求的技術術指標對軟件件功能和性能能等進行驗收收測試，軟件件安裝之前是是否檢測軟件件中的惡意代代碼；b) 應檢查查是否具有需需求分析說明明書、軟件設設計說明書、軟軟件操作手冊冊等軟件開發(fā)發(fā)文檔和使用用指南。5.3 結果果判定如果.2 a）和b）均為肯定定，則信息系系統(tǒng)符合本單單元測評指標標要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標標要求。6 工程實施施6.1 測評評指標見GB/T 22223

49、9-2008 。6.2 測評評實施應訪談系統(tǒng)建設設負責人，詢詢問是否指定定專門部門或或人員對工程程實施過程進進行進度和質質量控制，由由何部門/何人負責。6.3 結果果判定如果.2 為肯定，則則信息系統(tǒng)符符合本單元測測評指標要求求，否則，信信息系統(tǒng)不符符合或部分符符合本單元測測評指標要求求。7 測試驗收收7.1 測評評指標見GB/T 222239-2008 。7.2 測評評實施本項要求包括：a) 應訪談系系統(tǒng)建設負責責人，詢問在在信息系統(tǒng)建建設完成后是是否對其進行行安全性測試試驗收；b) 應檢查查工程測試驗驗收方案，查查看其是否明明確說明參與與測試的部門門、人員、測測試驗收內容容、現場操作作過程

50、等內容容；c) 應檢查查測試驗收記記錄是否詳細細記錄了測試試時間、人員員、現場操作作過程和測試試驗收結果等等方面內容；d) 應檢查查是否具有系系統(tǒng)測試驗收收報告。7.3 結果果判定如果.2 a）-d）均為肯肯定，則信息息系統(tǒng)符合本本單元測評指指標要求，否否則，信息系系統(tǒng)不符合或或部分符合本本單元測評指指標要求。8 系統(tǒng)交付付8.1 測評評指標見GB/T 222239-2008 。8.2 測評評實施本項要求包括：a) 應訪談系系統(tǒng)建設負責責人，詢問系系統(tǒng)交接工作作是否根據交交付清單對所所交接的設備備、文檔、軟軟件等進行清清點；b) 應訪談談系統(tǒng)建設負負責人，詢問問目前的信息息系統(tǒng)是否由由內部人員

51、獨獨立運行維護護，如果是，系系統(tǒng)正式運行行前是否對運運行維護人員員進行過培訓訓，針對哪些些方面進行過過培訓；c) 應檢查查是否具有系系統(tǒng)交付清單單說明系統(tǒng)交交付的各類設設備、軟件、文文檔等；d) 應檢查查是否具有系系統(tǒng)建設文檔檔、指導用戶戶進行系統(tǒng)運運維的文檔、系系統(tǒng)培訓手冊冊等。8.3 結果果判定如果.2 a）-d）均為肯肯定，則信息息系統(tǒng)符合本本單元測評指指標要求，否否則，信息系系統(tǒng)不符合或或部分符合本本單元測評指指標要求。9 安全服務務商選擇9.1 測評評指標見GB/T 222239-2008 。9.2 測評評實施本項要求包括：a) 應訪談系系統(tǒng)建設負責責人，詢問信信息系統(tǒng)選擇擇的安全服

52、務務商有哪些，是是否符合國家家有關規(guī)定；b) 應檢查查是否具有與與安全服務商商簽訂的安全全責任合同書書或保密協(xié)議議等文檔，查查看其內容是是否包含保密密范圍、安全全責任、違約約責任、協(xié)議議的有效期限限和責任人的的簽字等。9.3 結果果判定如果.2 a）和b）均為肯定定，則信息系系統(tǒng)符合本單單元測評指標標要求，否則則，信息系統(tǒng)統(tǒng)不符合或部部分符合本單單元測評指標標要求。5.2.5 系系統(tǒng)運維管理理1 環(huán)境管理理1.1 測評評指標見GB/T 222239-2008 。1.2 測評評實施本項要求包括：a) 應訪談系系統(tǒng)運維負責責人，詢問是是否有專門的的部門或人員員對機房基礎礎設施進行定定期維護，由由何

53、部門/何人負責，維維護周期多長長；b) 應訪談談系統(tǒng)運維負負責人，詢問問對機房的出出入、服務器器開機/關機如何進進行管理；c) 應檢查查機房安全管管理制度，查查看其內容是是否覆蓋機房房物理訪問、物物品帶進/帶出機房和和機房環(huán)境安安全等方面。1.3 結果果判定如果.2 a）-c）均為肯肯定，則信息息系統(tǒng)符合本本單元測評指指標要求，否否則，信息系系統(tǒng)不符合或或部分符合本本單元測評指指標要求。2 資產管理理2.1 測評評指標見GB/T 222239-2008 。2.2 測評評實施應檢查資產清單單，查看其內內容是否覆蓋蓋資產責任部部門、責任人人、所處位置置和重要程度度等方面；2.3 結果果判定如果.2

54、 為肯定，則則信息系統(tǒng)符符合本單元測測評指標要求求，否則，信信息系統(tǒng)不符符合或部分符符合本單元測測評指標要求求。3 介質管理理3.1 測評評指標見GB/T 222239-2008 。3.2 測評評實施本項要求包括：a) 應訪談資資產管理員，詢詢問介質的存存放環(huán)境是否否采取保護措措施防止介質質被盜、被毀毀、介質內存存儲信息被未未授權修改以以及非法泄漏漏等；b) 應訪談談資產管理員員，詢問是否否根據介質的的目錄清單對對介質的使用用現狀進行定定期檢查；c) 應檢查查介質管理記記錄，查看其其是否記錄介介質歸檔和查查詢等情況。3.3 結果果判定本項要求包括：a) 如果5. a）中中在防火、防防水、防盜等

55、等方面均有措措施，則為肯肯定；b) 如果5.2.5.3.22 a）-c）均為肯肯定，則信息息系統(tǒng)符合本本單元測評指指標要求，否否則，信息系系統(tǒng)不符合或或部分符合本本單元測評指指標要求。4 設備管理理4.1 測評評指標見GB/T 222239-2008 。4.2 測評評實施本項要求包括：a) 應訪談資資產管理員，詢詢問是否有專專門的部門或或人員對各種種設備、線路路進行定期維維護，對各類類測試工具進進行有效性檢檢查，由何部部門/何人負責，維維護周期多長長；b) 應訪談談資產管理員員，詢問是否否對設備選用用的各個環(huán)節(jié)節(jié)（選型、采采購、發(fā)放和和領用等）進進行審批控制制；c) 應檢查查設備安全管管理制度

56、，查查看其內容是是否明確對各各種軟硬件設設備的選型、采采購、發(fā)放和和領用等環(huán)節(jié)節(jié)進行申報和和審批。4.3 結果果判定如果.2 a）-c）均為肯肯定，則信息息系統(tǒng)符合本本單元測評指指標要求，否否則，信息系系統(tǒng)不符合或或部分符合本本單元測評指指標要求。5 網絡安全全管理5.1 測評評指標見GB/T 222239-2008 。5.2 測評評實施本項要求包括：a) 應訪談安安全主管，詢詢問是否指定定人員負責維維護網絡運行行日志、監(jiān)控控記錄和分析析處理報警信信息等網絡安安全管理工作作；b) 應訪談談安全管理員員，詢問是否否定期對網絡絡設備進行漏漏洞掃描，掃掃描周期多長長，發(fā)現漏洞洞是否及時修修補；c)

57、應檢查查網絡漏洞掃掃描報告，檢檢查掃描時間間間隔與掃描描周期是否一一致。5.3 結果果判定如果.2 a）-c）均為肯肯定，則信息息系統(tǒng)符合本本單元測評指指標要求，否否則，信息系系統(tǒng)不符合或或部分符合本本單元測評指指標要求。6 系統(tǒng)安全全管理6.1 測評評指標見GB/T 222239-2008 。6.2 測評評實施本項要求包括：a) 應訪談系系統(tǒng)管理員，詢詢問是否根據據業(yè)務需求和和系統(tǒng)安全分分析制定系統(tǒng)統(tǒng)的訪問控制制策略，控制制分配信息系系統(tǒng)、文件及及服務的訪問問權限；是否否及時安裝最最新安全補丁丁程序和進行行漏洞修補，在在安裝系統(tǒng)補補丁前是否對重要文件件進行備份；b) 應訪談談安全管理員員，詢

58、問是否否定期對系統(tǒng)統(tǒng)進行漏洞掃掃描，掃描周周期多長，發(fā)發(fā)現漏洞是否否及時修補；c) 應檢查查系統(tǒng)漏洞掃掃描報告，檢檢查掃描時間間間隔與掃描描周期是否一一致。6.3 結果果判定如果.2 a）-c）均為肯肯定，則信息息系統(tǒng)符合本本單元測評指指標要求，否否則，信息系系統(tǒng)不符合或或部分符合本本單元測評指指標要求。7 惡意代碼碼防范管理7.1 測評評指標見GB/T 222239-2008 。7.2 測評評實施應訪談系統(tǒng)運維維負責人，詢詢問是否對員員工進行基本本惡意代碼防防范意識的教教育，是否告告知應及時升升級軟件版本本，使用外來來設備、網絡絡上接收文件件和外來計算算機或存儲設設備接入網絡絡系統(tǒng)之前應應進

59、行病毒檢檢查等。7.3 結果果判定如果.2 為肯定，則則信息系統(tǒng)符符合本單元測測評指標要求求，否則，信信息系統(tǒng)不符符合或部分符符合本單元測測評指標要求求。8 備份與恢恢復管理8.1 測評評指標見GB/T 222239-2008 。8.2 測評評實施本項要求包括：a) 應訪談系系統(tǒng)管理員和和數據庫管理理員，詢問是是否識別出需需要定期備份份的業(yè)務信息息、系統(tǒng)數據據和軟件系統(tǒng)統(tǒng)，主要有哪哪些；b) 應檢查查備份管理文文檔，查看其其是否明確備備份方式、備備份頻度、存存儲介質和保保存期等方面面內容。8.3 結果果判定如果.2 a）和b）為肯定，則則信息系統(tǒng)符符合本單元測測評指標要求求，否則，信信息系統(tǒng)不

60、符符合或部分符符合本單元測測評指標要求求。9 安全事件件處置9.1 測評評指標見GB/T 222239-2008 。9.2 測評評實施本項要求包括：a) 應訪談系系統(tǒng)運維負責責人，詢問是是否告知用戶戶在發(fā)現安全全弱點和可疑疑事件時應及及時報告；b) 應檢查查安全事件報報告和處置管管理制度，查查看其是否明明確安全事件件的現場處理理、事件報告告和后期恢復復的管理職責責。9.3 結果果判定如果.2 a）和b）為肯定，則則信息系統(tǒng)符符合本單元測測評指標要求求，否則，信信息系統(tǒng)不符符合或部分符符合本單元測測評指標要求求。6 第二級信息息系統(tǒng)單元測測評6.1 安全技技術測評6.1.1 物物理安全1 物理位