GA/T 713-2007信息安全技術(shù)信息系統(tǒng)安全管理測評

犐犆犛３５．０２０

犔０９

中華人民共和國公共安全行業(yè)標(biāo)準(zhǔn)

犌犃／犜７１３—２００７

信息安全技術(shù)

信息系統(tǒng)安全管理測評

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犐狀犳狅狉犿犪狋犻狅狀狊狔狊狋犲犿狊犲犮狌狉犻狋狔犿犪狀犪犵犲犿犲狀狋狋犲狊狋犻狀犵犪狀犱犲狏犪犾狌犪狋犻狅狀

２００７０８１３發(fā)布２００７１００１實(shí)施

中華人民共和國公安部發(fā)布

書

中華人民共和國公共安全

行業(yè)標(biāo)準(zhǔn)

信息安全技術(shù)

信息系統(tǒng)安全管理測評

ＧＡ／Ｔ７１３—２００７

中國標(biāo)準(zhǔn)出版社出版發(fā)行

北京復(fù)興門外三里河北街１６號

郵政編碼：１０００４５

網(wǎng)址ｗｗｗ．ｓｐｃ．ｎｅｔ．ｃｎ

電話：６８５２３９４６６８５１７５４８

中國標(biāo)準(zhǔn)出版社秦皇島印刷廠印刷

各地新華書店經(jīng)銷

開本８８０×１２３０１／１６印張２字?jǐn)?shù)５２千字

２００７年１１月第一版２００７年１１月第一次印刷

書號：１５５０６６·２１８２８３

如有印裝差錯(cuò)由本社發(fā)行中心調(diào)換

版權(quán)專有侵權(quán)必究

舉報(bào)電話：（０１０）６８５３３５３３

書

犌犃／犜７１３—２００７

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅴ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅵ

１范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

２規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

３術(shù)語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

４管理評估的基本原則!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

５評估方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

５．１調(diào)查性訪談!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

５．１．１調(diào)查性訪談主要對象!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

５．１．２調(diào)查性訪談準(zhǔn)備!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

５．１．３調(diào)查性訪談階段劃分!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

５．１．４調(diào)查性訪談質(zhì)量控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

５．２符合性檢查!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

５．２．１符合性檢查主要對象!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

５．２．２符合性檢查方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

５．２．３符合性檢查質(zhì)量控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４

５．３有效性驗(yàn)證!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４

５．３．１有效性驗(yàn)證主要對象!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４

５．３．２有效性驗(yàn)證方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４

５．３．３有效性驗(yàn)證質(zhì)量控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

５．４監(jiān)測驗(yàn)證!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

５．４．１監(jiān)測驗(yàn)證的主要依據(jù)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

５．４．２監(jiān)測驗(yàn)證方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

５．４．３監(jiān)測驗(yàn)證質(zhì)量控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

６評估實(shí)施!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

６．１確定評估目標(biāo)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

６．２控制評估過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

６．３處理評估結(jié)果!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!８

６．４建立保障證據(jù)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!８

７分等級評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９

７．１第一級：用戶自主保護(hù)級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９

７．１．１管理目標(biāo)和范圍評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９

７．１．２策略和制度評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９

７．１．３機(jī)構(gòu)和人員管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９

７．１．４風(fēng)險(xiǎn)管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９

７．１．５環(huán)境和資源管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９

７．１．６運(yùn)行和維護(hù)管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１０

７．１．７業(yè)務(wù)連續(xù)性管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１０

Ⅰ

書

犌犃／犜７１３—２００７

７．１．８監(jiān)督和檢查管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１０

７．１．９生存周期管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１０

７．１．１０實(shí)施原則及方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１０

７．２第二級：系統(tǒng)審計(jì)保護(hù)級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１１

７．２．１管理目標(biāo)和范圍評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１１

７．２．２策略和制度評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１１

７．２．３機(jī)構(gòu)和人員管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１１

７．２．４風(fēng)險(xiǎn)管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１１

７．２．５環(huán)境和資源管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１１

７．２．６運(yùn)行和維護(hù)管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１２

７．２．７業(yè)務(wù)連續(xù)性管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１２

７．２．８監(jiān)督和檢查管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１２

７．２．９生存周期管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１３

７．２．１０實(shí)施原則及方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１３

７．３第三級：安全標(biāo)記保護(hù)級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１３

７．３．１管理目標(biāo)和范圍評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１３

７．３．２策略和制度評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１３

７．３．３機(jī)構(gòu)和人員管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１３

７．３．４風(fēng)險(xiǎn)管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１３

７．３．５環(huán)境和資源管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１４

７．３．６運(yùn)行和維護(hù)管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１４

７．３．７業(yè)務(wù)連續(xù)性管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１４

７．３．８監(jiān)督和檢查管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１５

７．３．９生存周期管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１５

７．３．１０實(shí)施原則及方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１５

７．４第四級：結(jié)構(gòu)化保護(hù)級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１５

７．４．１管理目標(biāo)和范圍評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１５

７．４．２策略和制度評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１５

７．４．３機(jī)構(gòu)和人員管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１６

７．４．４風(fēng)險(xiǎn)管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１６

７．４．５環(huán)境和資源管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１６

７．４．６運(yùn)行和維護(hù)管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１６

７．４．７業(yè)務(wù)連續(xù)性管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１７

７．４．８監(jiān)督和檢查管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１７

７．４．９生存周期管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１７

７．４．１０實(shí)施原則及方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１７

７．５第五級：訪問驗(yàn)證保護(hù)級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１７

７．５．１管理目標(biāo)和范圍評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１７

７．５．２策略和制度評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１８

７．５．３機(jī)構(gòu)和人員管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１８

７．５．４風(fēng)險(xiǎn)管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１８

７．５．５環(huán)境和資源管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１８

７．５．６運(yùn)行和維護(hù)管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１８

Ⅱ

犌犃／犜７１３—２００７

７．５．７業(yè)務(wù)連續(xù)性管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１９

７．５．８監(jiān)督和檢查管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１９

７．５．９生存周期管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１９

７．５．１０實(shí)施原則及方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１９

附錄Ａ（資料性附錄）安全管理評估內(nèi)容!!!!!!!!!!!!!!!!!!!!!!!!２０

參考文獻(xiàn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２４

Ⅲ

犌犃／犜７１３—２００７

前言

本標(biāo)準(zhǔn)的附錄Ａ為資料性附錄。

本標(biāo)準(zhǔn)由公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口。

本標(biāo)準(zhǔn)起草單位：北京江南天安科技有限公司，北京思源新創(chuàng)信息安全資訊有限公司。

本標(biāo)準(zhǔn)主要起草人：陳冠直、王志強(qiáng)、吉增瑞、景乾元、宋建平。

Ⅴ

犌犃／犜７１３—２００７

引言

本標(biāo)準(zhǔn)用于在實(shí)施信息系統(tǒng)安全等級保護(hù)時(shí)，根據(jù)ＧＢ／Ｔ２０２６９—２００６《信息安全技術(shù)信息系統(tǒng)

安全管理要求》對安全管理體系各等級安全管理要求的落實(shí)情況進(jìn)行評估，規(guī)定了評估的主要內(nèi)容和原

則，明確了評估過程和方法。對于涉及國家秘密的信息和信息系統(tǒng)的保密管理，應(yīng)按照國家有關(guān)保密管

理規(guī)定和相關(guān)測評標(biāo)準(zhǔn)執(zhí)行。

信息系統(tǒng)安全管理評估的主體包括信息系統(tǒng)的主管領(lǐng)導(dǎo)部門、信息安全監(jiān)管機(jī)構(gòu)、第三方評估機(jī)

構(gòu)、信息系統(tǒng)的管理者等，對應(yīng)的評估可以是檢查評估、第三方評估或自評估，本標(biāo)準(zhǔn)中統(tǒng)稱評估。

本標(biāo)準(zhǔn)第４章（管理評估