信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版

附件：報(bào)告編號(hào)：XXXXXXXXXXX-XXXXX-XX-XXXX-XX信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版（2015年版）系統(tǒng)名稱：委托單位：測(cè)評(píng)單位：報(bào)告時(shí)間： 年 月 日說(shuō)明：一、每個(gè)備案信息系統(tǒng)單獨(dú)出具測(cè)評(píng)報(bào)告。二、測(cè)評(píng)報(bào)告編號(hào)為四組數(shù)據(jù)。各組含義和編碼規(guī)則如下：第一組為信息系統(tǒng)備案表編號(hào)，由 2段16位數(shù)字組成，可以從公安機(jī)關(guān)頒發(fā)的信息系統(tǒng)備案證明（或備案回執(zhí)）上獲得。第 1段即備案證明編號(hào)的前 11位（前6位為受理備案公安機(jī)關(guān)代碼，后 5位為受理備案的公安機(jī)關(guān)給出的備案單位的順序編號(hào)）；第 2段即備案證明編號(hào)的后5位（系統(tǒng)編號(hào)）。第二組為年份，由 2位數(shù)字組成。例如 09代表2009年。第三組為測(cè)評(píng)機(jī)構(gòu)代碼，由四位數(shù)字組成。前兩位為省級(jí)行政區(qū)劃數(shù)字代碼的前兩位或行業(yè)主管部門編號(hào)：00為公安部，11為北京，12為天津，13為河北，14為山西，15為內(nèi)蒙古，21為遼寧，22為吉林，23為黑龍江，31為上海，32為江蘇，33為浙江，34為安徽，35為福建，36為江西，37為山東，41為河南，42為湖北，43為湖南，44為廣東，45為廣西，46為海南，50為重慶，51為四川，52為貴州，53為云南，54為西藏，61為陜西，62為甘肅，63為青海，64為寧夏，65為新疆，66為新疆兵團(tuán)。90為國(guó)防科工局，91為電監(jiān)會(huì)，92為教育部。后兩位為公安機(jī)關(guān)或行業(yè)主管部門推薦的測(cè)評(píng)機(jī)構(gòu)順序號(hào)。第四組為本年度信息系統(tǒng)測(cè)評(píng)次數(shù)，由兩位構(gòu)成。例如 02表示該信息系統(tǒng)本年度測(cè)評(píng) 2次。信息系統(tǒng)等級(jí)測(cè)評(píng)基本信息表信息系統(tǒng)系統(tǒng)名稱安全保護(hù)等級(jí)備案證明編號(hào)測(cè)評(píng)結(jié)論被測(cè)單位單位名稱單位地址郵政編碼姓名職務(wù)/職稱聯(lián)系人所屬部門辦公電話移動(dòng)電話電子郵件測(cè)評(píng)單位單位名稱單位代碼通信地址郵政編碼姓名職務(wù)/職稱聯(lián)系人所屬部門辦公電話移動(dòng)電話電子郵件編制人(簽名)編制日期審核批準(zhǔn)審核人(簽名)審核日期批準(zhǔn)人(簽名)批準(zhǔn)日期注：?jiǎn)挝淮a由受理測(cè)評(píng)機(jī)構(gòu)備案的公安機(jī)關(guān)給出。聲明（聲明是測(cè)評(píng)機(jī)構(gòu)對(duì)測(cè)評(píng)報(bào)告的有效性前提、測(cè)評(píng)結(jié)論的適用范圍以及使用方式等有關(guān)事項(xiàng)的陳述。針對(duì)特殊情況下的測(cè)評(píng)工作，測(cè)評(píng)機(jī)構(gòu)可在以下建議內(nèi)容的基礎(chǔ)上增加特殊聲明。）本報(bào)告是xxx信息系統(tǒng)的等級(jí)測(cè)評(píng)報(bào)告。本報(bào)告測(cè)評(píng)結(jié)論的有效性建立在被測(cè)評(píng)單位提供相關(guān)證據(jù)的真實(shí)性基礎(chǔ)之上。本報(bào)告中給出的測(cè)評(píng)結(jié)論僅對(duì)被測(cè)信息系統(tǒng)當(dāng)時(shí)的安全狀態(tài)有效。當(dāng)測(cè)評(píng)工作完成后，由于信息系統(tǒng)發(fā)生變更而涉及到的系統(tǒng)構(gòu)成組件（或子系統(tǒng)）都應(yīng)重新進(jìn)行等級(jí)測(cè)評(píng)，本報(bào)告不再適用。本報(bào)告中給出的測(cè)評(píng)結(jié)論不能作為對(duì)信息系統(tǒng)內(nèi)部署的相關(guān)系統(tǒng)構(gòu)成組件（或產(chǎn)品）的測(cè)評(píng)結(jié)論。在任何情況下，若需引用本報(bào)告中的測(cè)評(píng)結(jié)果或結(jié)論都應(yīng)保持其原有的意義，不得對(duì)相關(guān)內(nèi)容擅自進(jìn)行增加、修改和偽造或掩蓋事實(shí)。單位名稱（加蓋單位公章）年 月等級(jí)測(cè)評(píng)結(jié)論測(cè)評(píng)結(jié)論與綜合得分系統(tǒng)名稱 保護(hù)等級(jí)（簡(jiǎn)要描述被測(cè)信息系統(tǒng)承載的業(yè)務(wù)功能等基本情況。建議不超過(guò)400字）系統(tǒng)簡(jiǎn)介（簡(jiǎn)要描述測(cè)評(píng)范圍和主要內(nèi)容。建議不超過(guò) 200字。）測(cè)評(píng)過(guò)程簡(jiǎn)介測(cè)評(píng)結(jié)論 綜合得分總體評(píng)價(jià)根據(jù)被測(cè)系統(tǒng)測(cè)評(píng)結(jié)果和測(cè)評(píng)過(guò)程中了解的相關(guān)信息，從用戶角度對(duì)被測(cè)信息系統(tǒng)的安全保護(hù)狀況進(jìn)行評(píng)價(jià)。例如可以從安全責(zé)任制、管理制度體系、基礎(chǔ)設(shè)施與網(wǎng)絡(luò)環(huán)境、安全控制措施、數(shù)據(jù)保護(hù)、系統(tǒng)規(guī)劃與建設(shè)、系統(tǒng)運(yùn)維管理、應(yīng)急保障等方面分別評(píng)價(jià)描述信息系統(tǒng)安全保護(hù)狀況。綜合上述評(píng)價(jià)結(jié)果，對(duì)信息系統(tǒng)的安全保護(hù)狀況給出總括性結(jié)論。例如：信息系統(tǒng)總體安全保護(hù)狀況較好。主要安全問(wèn)題描述被測(cè)信息系統(tǒng)存在的主要安全問(wèn)題及其可能導(dǎo)致的后果。問(wèn)題處置建議針對(duì)系統(tǒng)存在的主要安全問(wèn)題提出處置建議。目錄等級(jí)測(cè)評(píng)結(jié)論 .......................................................................總體評(píng)價(jià) ...........................................................................主要安全問(wèn)題 .......................................................................問(wèn)題處置建議 .......................................................................測(cè)評(píng)項(xiàng)目概述...................................................................測(cè)評(píng)目的....................................................................測(cè)評(píng)依據(jù)....................................................................測(cè)評(píng)過(guò)程....................................................................報(bào)告分發(fā)范圍................................................................被測(cè)信息系統(tǒng)情況...............................................................承載的業(yè)務(wù)情況..............................................................網(wǎng)絡(luò)結(jié)構(gòu)....................................................................系統(tǒng)資產(chǎn)....................................................................機(jī)房....................................................................網(wǎng)絡(luò)設(shè)備................................................................安全設(shè)備................................................................服務(wù)器/存儲(chǔ)設(shè)備.........................................................終端....................................................................業(yè)務(wù)應(yīng)用軟件............................................................關(guān)鍵數(shù)據(jù)類別............................................................安全相關(guān)人員............................................................安全管理文檔............................................................安全服務(wù)....................................................................安全環(huán)境威脅評(píng)估 ............................................................前次測(cè)評(píng)情況 ................................................................3 等級(jí)測(cè)評(píng)范圍與方法 .............................................................測(cè)評(píng)指標(biāo) ....................................................................基本指標(biāo)................................................................不適用指標(biāo)..............................................................特殊指標(biāo)................................................................測(cè)評(píng)對(duì)象 ....................................................................測(cè)評(píng)對(duì)象選擇方法 ........................................................測(cè)評(píng)對(duì)象選擇結(jié)果 ........................................................測(cè)評(píng)方法 ....................................................................單元測(cè)評(píng).......................................................................物理安全....................................................................結(jié)果匯總................................................................結(jié)果分析................................................................網(wǎng)絡(luò)安全....................................................................結(jié)果匯總................................................................結(jié)果分析................................................................主機(jī)安全....................................................................結(jié)果匯總................................................................結(jié)果分析................................................................應(yīng)用安全....................................................................結(jié)果匯總................................................................結(jié)果分析................................................................數(shù)據(jù)安全及備份恢復(fù)..........................................................結(jié)果匯總................................................................結(jié)果分析................................................................安全管理制度 ................................................................結(jié)果匯總................................................................結(jié)果分析................................................................安全管理機(jī)構(gòu) ................................................................結(jié)果匯總................................................................結(jié)果分析................................................................人員安全管理 ................................................................結(jié)果匯總................................................................結(jié)果分析................................................................系統(tǒng)建設(shè)管理 ................................................................結(jié)果匯總................................................................結(jié)果分析................................................................系統(tǒng)運(yùn)維管理 ..............................................................結(jié)果匯總..............................................................結(jié)果分析..............................................................××××（特殊指標(biāo)） ........................................................結(jié)果匯總..............................................................結(jié)果分析..............................................................單元測(cè)評(píng)小結(jié) ..............................................................控制點(diǎn)符合情況匯總 ....................................................安全問(wèn)題匯總..........................................................整體測(cè)評(píng).......................................................................安全控制間安全測(cè)評(píng)..........................................................層面間安全測(cè)評(píng)..............................................................區(qū)域間安全測(cè)評(píng)..............................................................驗(yàn)證測(cè)試....................................................................整體測(cè)評(píng)結(jié)果匯總............................................................6總體安全狀況分析...............................................................系統(tǒng)安全保障評(píng)估............................................................安全問(wèn)題風(fēng)險(xiǎn)評(píng)估............................................................等級(jí)測(cè)評(píng)結(jié)論................................................................7問(wèn)題處置建議...................................................................附錄A等級(jí)測(cè)評(píng)結(jié)果記錄 .............................................................物理安全 ..........................................................................網(wǎng)絡(luò)安全 ..........................................................................主機(jī)安全..........................................................................應(yīng)用安全..........................................................................數(shù)據(jù)安全及備份恢復(fù) ................................................................安全管理制度 ......................................................................安全管理機(jī)構(gòu) ......................................................................人員安全管理 ......................................................................系統(tǒng)建設(shè)管理 ......................................................................系統(tǒng)運(yùn)維管理 ......................................................................××××（特殊指標(biāo)安全層面） ......................................................驗(yàn)證測(cè)試 ..........................................................................測(cè)評(píng)項(xiàng)目概述1.1測(cè)評(píng)目的1.2測(cè)評(píng)依據(jù)列出開展測(cè)評(píng)活動(dòng)所依據(jù)的文件、標(biāo)準(zhǔn)和合同等。如果有行業(yè)標(biāo)準(zhǔn)的，行業(yè)標(biāo)準(zhǔn)的指標(biāo)作為基本指標(biāo)。報(bào)告中的特殊指標(biāo)屬于用戶自愿增加的要求項(xiàng)。1.3測(cè)評(píng)過(guò)程描述等級(jí)測(cè)評(píng)工作流程，包括測(cè)評(píng)工作流程圖、各階段完成的關(guān)鍵任務(wù)和工作的時(shí)間節(jié)點(diǎn)等內(nèi)容。1.4報(bào)告分發(fā)范圍說(shuō)明等級(jí)測(cè)評(píng)報(bào)告正本的份數(shù)與分發(fā)范圍。被測(cè)信息系統(tǒng)情況參照備案信息簡(jiǎn)要描述信息系統(tǒng)。2.1承載的業(yè)務(wù)情況描述信息系統(tǒng)承載的業(yè)務(wù)、應(yīng)用等情況。2.2網(wǎng)絡(luò)結(jié)構(gòu)給出被測(cè)信息系統(tǒng)的拓?fù)浣Y(jié)構(gòu)示意圖，并基于示意圖說(shuō)明被測(cè)信息系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)基本情況，包括功能/安全區(qū)域劃分、隔離與防護(hù)情況、關(guān)鍵網(wǎng)絡(luò)和主機(jī)設(shè)備的部署情況和功能簡(jiǎn)介、與其他信息系統(tǒng)的互聯(lián)情況和邊界設(shè)備以及本地備份和災(zāi)備中心的情況。2.3系統(tǒng)資產(chǎn)系統(tǒng)資產(chǎn)包括被測(cè)信息系統(tǒng)相關(guān)的所有軟硬件、人員、數(shù)據(jù)及文檔等。2.3.1以列表形式給出被測(cè)信息系統(tǒng)的部署機(jī)房。2.3.2以列表形式給出被測(cè)信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備。/2.3.3以列表形式給出被測(cè)信息系統(tǒng)中的安全設(shè)備。/數(shù)量序 設(shè)備名 重要操作系統(tǒng) 品牌 型號(hào) 用途 （臺(tái)/號(hào) 稱 程度套）2.3.4 服務(wù)器/存儲(chǔ)設(shè)備以列表形式給出被測(cè)信息系統(tǒng)中的服務(wù)器和存儲(chǔ)設(shè)備，描述服務(wù)器和存儲(chǔ)設(shè)備的項(xiàng)目包括設(shè)備名稱、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)以及承載的業(yè)務(wù)應(yīng)用軟件系統(tǒng)。重操作系統(tǒng)數(shù)量序設(shè)備名業(yè)務(wù)應(yīng)用軟要稱1/數(shù)據(jù)庫(kù)管理版本（臺(tái)/號(hào)件程系統(tǒng)套）度2.3.5 終端以列表形式給出被測(cè)信息系統(tǒng)中的終端，包括業(yè)務(wù)管理終端、業(yè)務(wù)終端和運(yùn)維終端等。序數(shù)量（臺(tái)/號(hào)設(shè)備名稱操作系統(tǒng)用途套）重要程度1設(shè)備名稱在本報(bào)告中應(yīng)唯一，如 xx業(yè)務(wù)主數(shù)據(jù)庫(kù)服務(wù)器或 xx-svr-db-1 。序 數(shù)量（臺(tái)/設(shè)備名稱 操作系統(tǒng) 用途 重要程度號(hào) 套）2.3.6 業(yè)務(wù)應(yīng)用軟件以列表的形式給出被測(cè)信息系統(tǒng)中的業(yè)務(wù)應(yīng)用軟件（包括含中間件等應(yīng)用平臺(tái)軟件），描述項(xiàng)目包括軟件名稱、主要功能簡(jiǎn)介。序軟件名稱 主要功能 開發(fā)廠商 重要程度號(hào)2.3.7關(guān)鍵數(shù)據(jù)類別以列表形式描述具有相近業(yè)務(wù)屬性和安全需求的數(shù)據(jù)集合。序數(shù)據(jù)類別1所屬業(yè)務(wù)應(yīng)用安全防護(hù)需求2重要程度號(hào)1如鑒別數(shù)據(jù)、管理信息和業(yè)務(wù)數(shù)據(jù)等，而業(yè)務(wù)數(shù)據(jù)可從安全防護(hù)需求（保密、完整等）的角度進(jìn)一步細(xì)分。2保密性，完整性等。2.3.8以列表形式給出與被測(cè)信息系統(tǒng)安全相關(guān)的人員情況。相關(guān)人員包括（但不限于）安全主管、系統(tǒng)建設(shè)負(fù)責(zé)人、系統(tǒng)運(yùn)維負(fù)責(zé)人、網(wǎng)絡(luò)（安全）管理員、主機(jī)（安全）管理員、數(shù)據(jù)庫(kù)（安全）管理員、應(yīng)用（安全）管理員、機(jī)房管理人員、資產(chǎn)管理員、業(yè)務(wù)操作員、安全審計(jì)人員等。 /2.3.9以列表形式給出與信息系統(tǒng)安全相關(guān)的文檔，包括管理類文檔、記錄類文檔和其他文檔。2.4安全服務(wù) 11安全服務(wù)包括系統(tǒng)集成、安全集成、安全運(yùn)維、安全測(cè)評(píng)、應(yīng)急響應(yīng)、安全監(jiān)測(cè)等所有相關(guān)安全服務(wù)。序號(hào) 安全服務(wù)名稱1 安全服務(wù)商2.5 安全環(huán)境威脅評(píng)估描述被測(cè)信息系統(tǒng)的運(yùn)行環(huán)境中與安全相關(guān)的部分，并以列表形式給出被測(cè)信息系統(tǒng)的威脅列表。序號(hào) 威脅分(子)類 描述2.6前次測(cè)評(píng)情況簡(jiǎn)要描述前次等級(jí)測(cè)評(píng)發(fā)現(xiàn)的主要問(wèn)題和測(cè)評(píng)結(jié)論。等級(jí)測(cè)評(píng)范圍與方法3.1測(cè)評(píng)指標(biāo)測(cè)評(píng)指標(biāo)包括基本指標(biāo)和特殊指標(biāo)兩部分。3.1.1 基本指標(biāo)依據(jù)信息系統(tǒng)確定的業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)， 選擇《基本要求》中對(duì)應(yīng)級(jí)別的安全要求作為等級(jí)測(cè)評(píng)的基本指標(biāo)，以表格形式在表3-1中列出。表3-1基本指標(biāo)安全層面1 安全控制點(diǎn)2 測(cè)評(píng)項(xiàng)數(shù)3.1.2 不適用指標(biāo)鑒于信息系統(tǒng)的復(fù)雜性和特殊性，《基本要求》的某些要求項(xiàng)可能不適用于整個(gè)信息系統(tǒng)，對(duì)于這些不適用項(xiàng)應(yīng)在表后給出不適用原因。表3-2 不適用指標(biāo)安全層面 安全控制點(diǎn) 不適用項(xiàng) 原因說(shuō)明3.1.3 特殊指標(biāo)結(jié)合被測(cè)評(píng)單位要求、被測(cè)信息系統(tǒng)的實(shí)際安全需求以及安全最佳實(shí)踐經(jīng)驗(yàn)，以列表形式給出《基本要求》（或行業(yè)標(biāo)準(zhǔn)）未覆蓋或者高于《基本要求》（或行業(yè)標(biāo)準(zhǔn)）的安全要求。安全層面 安全控制點(diǎn) 特殊要求描述 測(cè)評(píng)項(xiàng)數(shù)安全層面對(duì)應(yīng)基本要求中的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全與備份恢復(fù)、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等 10個(gè)安全要求類別。2安全控制點(diǎn)是對(duì)安全層面的進(jìn)一步細(xì)化，在《基本要求》目錄級(jí)別中對(duì)應(yīng)安全層面的下一級(jí)目錄。3.2測(cè)評(píng)對(duì)象3.2.1 測(cè)評(píng)對(duì)象選擇方法依據(jù)GB/T28449-2012信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南的測(cè)評(píng)對(duì)象確定原則和方法，結(jié)合資產(chǎn)重要程度賦值結(jié)果，描述本報(bào)告中測(cè)評(píng)對(duì)象的選擇規(guī)則和方法。3.2.2 測(cè)評(píng)對(duì)象選擇結(jié)果1）機(jī)房序號(hào) 機(jī)房名稱 物理位置 重要程度2）網(wǎng)絡(luò)設(shè)備序號(hào) 設(shè)備名稱 操作系統(tǒng) 用途 重要程度3）安全設(shè)備序號(hào) 設(shè)備名稱 操作系統(tǒng) 用途 重要程度4）服務(wù)器/存儲(chǔ)設(shè)備操作系統(tǒng)序號(hào) 設(shè)備名稱1 業(yè)務(wù)應(yīng)用軟件 重要程度數(shù)據(jù)庫(kù)管理系統(tǒng)1設(shè)備名稱在本報(bào)告中應(yīng)唯一，如 xx業(yè)務(wù)主數(shù)據(jù)庫(kù)服務(wù)器或 xx-svr-db-1 。操作系統(tǒng)序號(hào) 設(shè)備名稱1 業(yè)務(wù)應(yīng)用軟件 重要程度數(shù)據(jù)庫(kù)管理系統(tǒng)5）終端序號(hào) 設(shè)備名稱 操作系統(tǒng) 用途 重要程度6）數(shù)據(jù)庫(kù)管理系統(tǒng)序數(shù)據(jù)庫(kù)系統(tǒng)數(shù)據(jù)庫(kù)管理系統(tǒng)所在設(shè)備重要程度號(hào)名稱類型名稱7）業(yè)務(wù)應(yīng)用軟件序號(hào) 軟件名稱 主要功能 開發(fā)廠商 重要程度8）訪談人員序號(hào) 姓名 崗位/職責(zé)9）安全管理文檔序號(hào)

文檔名稱

主要內(nèi)容3.3測(cè)評(píng)方法描述等級(jí)測(cè)評(píng)工作中采用的訪談、檢查、測(cè)試和風(fēng)險(xiǎn)分析等方法。單元測(cè)評(píng)單元測(cè)評(píng)內(nèi)容包括“3.1.1基本指標(biāo)”以及“特殊指標(biāo)”中涉及的安全層面，內(nèi)容由問(wèn)題分析和結(jié)果匯總等兩個(gè)部分構(gòu)成，詳細(xì)結(jié)果記錄及符合程度參見報(bào)告附錄A。4.1物理安全4.1.1 結(jié)果匯總針對(duì)不同安全控制點(diǎn)對(duì)單個(gè)測(cè)評(píng)對(duì)象在物理安全層面的單項(xiàng)測(cè)評(píng)結(jié)果進(jìn)行匯總和統(tǒng)計(jì)。表4-1物理安全-單元測(cè)評(píng)結(jié)果匯總表安全控制點(diǎn)序測(cè)評(píng)符合物理位物理防盜竊防防水防靜溫濕電力電磁號(hào)對(duì)象情況防置的選訪問(wèn)和防破雷和防電度控供應(yīng)屏蔽火擇控制壞擊潮制符合1對(duì)象1部分符合安全控制點(diǎn)序測(cè)評(píng)符合物理位物理防盜竊防防水防靜溫濕電力電磁號(hào)對(duì)象情況防置的選訪問(wèn)和防破雷和防電度控供應(yīng)屏蔽火擇控制壞擊潮制不符合不適用4.1.2針對(duì)物理安全測(cè)評(píng)結(jié)果中存在的符合項(xiàng)加以分析說(shuō)明，形成被測(cè)系統(tǒng)具備的安全保護(hù)措施描述。針對(duì)物理安全測(cè)評(píng)結(jié)果中存在的部分符合項(xiàng)或不符合項(xiàng)加以匯總和分析，形成安全問(wèn)題描述。4.2網(wǎng)絡(luò)安全4.2.1針對(duì)不同安全控制點(diǎn)對(duì)單個(gè)測(cè)評(píng)對(duì)象在網(wǎng)絡(luò)安全層面的單項(xiàng)測(cè)評(píng)結(jié)果進(jìn)行匯總和統(tǒng)計(jì)。主機(jī)安全4.3.1針對(duì)不同安全控制點(diǎn)對(duì)單個(gè)測(cè)評(píng)對(duì)象在主機(jī)安全層面的單項(xiàng)測(cè)評(píng)結(jié)果進(jìn)行匯總和統(tǒng)計(jì)。應(yīng)用安全4.4.1 結(jié)果匯總4.4.2 結(jié)果分析4.5數(shù)據(jù)安全及備份恢復(fù)4.5.1 結(jié)果匯總4.5.2 結(jié)果分析4.6安全管理制度4.6.1 結(jié)果匯總4.6.2 結(jié)果分析4.7安全管理機(jī)構(gòu)4.7.1 結(jié)果匯總4.7.2 結(jié)果分析4.8人員安全管理4.8.1 結(jié)果匯總4.8.2 結(jié)果分析4.9系統(tǒng)建設(shè)管理4.9.1 結(jié)果匯總4.9.2 結(jié)果分析4.10 系統(tǒng)運(yùn)維管理4.10.1 結(jié)果匯總4.10.2 結(jié)果分析4.11 ××××（特殊指標(biāo)）4.11.1 結(jié)果匯總4.11.2 結(jié)果分析4.12 單元測(cè)評(píng)小結(jié)4.12.1 控制點(diǎn)符合情況匯總根據(jù)附錄A中測(cè)評(píng)項(xiàng)的符合程度得分，以算術(shù)平均法合并多個(gè)測(cè)評(píng)對(duì)象在同一測(cè)評(píng)項(xiàng)的得分，得到各測(cè)評(píng)項(xiàng)的多對(duì)象平均分。根據(jù)測(cè)評(píng)項(xiàng)權(quán)重（參見附件《測(cè)評(píng)項(xiàng)權(quán)重賦值表》，其他情況的權(quán)重賦值另行發(fā)布），以加權(quán)平均合并同一安全控制點(diǎn)下的所有測(cè)評(píng)項(xiàng)的符合程度得分，并按照控制點(diǎn)得分計(jì)算公式得到各安全控制點(diǎn)的5分制得分。??∑??=1測(cè)評(píng)項(xiàng)的多對(duì)象平均分×測(cè)評(píng)項(xiàng)權(quán)重控制點(diǎn)得分=??，n為同一控制點(diǎn)下的測(cè)評(píng)項(xiàng)數(shù)，∑ 測(cè)評(píng)項(xiàng)權(quán)重??=1不含不適用的控制點(diǎn)和測(cè)評(píng)項(xiàng)。以表格形式匯總測(cè)評(píng)結(jié)果，表格以不同顏色對(duì)測(cè)評(píng)結(jié)果進(jìn)行區(qū)分， 部分符合（安全控制點(diǎn)得分在 0分和5分之間，不等于0分或5分）的安全控制點(diǎn)采用黃色標(biāo)識(shí)，不符合（安全控制點(diǎn)得分為 0分）的安全控制點(diǎn)采用紅色標(biāo)識(shí)。表4-*單元測(cè)評(píng)結(jié)果分類統(tǒng)計(jì)表序安全安全控制符合情況號(hào)安全控制點(diǎn)點(diǎn)得分層面符合部分符合不符合不適用序 安全號(hào) 層面1234物理安全78910統(tǒng)計(jì)

安全控制點(diǎn)安全控制符合情況點(diǎn)得分符合部分符合不符合不適用物理位置的選擇物理訪問(wèn)控制防盜竊和防破壞防雷擊防火防水和防潮防靜電溫濕度控制電力供應(yīng)電磁防護(hù)4.12.2 安全問(wèn)題匯總針對(duì)單元測(cè)評(píng)結(jié)果中存在的部分符合項(xiàng)或不符合項(xiàng)加以匯總，形成安全問(wèn)題列表并計(jì)算其嚴(yán)重程度值。依其嚴(yán)重程度取值為 1~5，最嚴(yán)重的取值為5。安全問(wèn)題嚴(yán)重程度值是基于對(duì)應(yīng)的測(cè)評(píng)項(xiàng)權(quán)重并結(jié)合附錄 A中對(duì)應(yīng)測(cè)評(píng)項(xiàng)的符合程度進(jìn)行的。具體計(jì)算公式如下：安全問(wèn)題嚴(yán)重程度值=（5-測(cè)評(píng)項(xiàng)符合程度得分）×測(cè)評(píng)項(xiàng)權(quán)重。表4-4安全問(wèn)題匯總表問(wèn)安全 測(cè)評(píng)題 安全 測(cè)評(píng) 問(wèn)題嚴(yán)重安全問(wèn)題 測(cè)評(píng)對(duì)象 控制 項(xiàng)權(quán)編 層面 項(xiàng) 程度值點(diǎn) 重號(hào)整體測(cè)評(píng)從安全控制間、層面間、區(qū)域間和驗(yàn)證測(cè)試等方面對(duì)單元測(cè)評(píng)的結(jié)果進(jìn)行驗(yàn)證、分析和整體評(píng)價(jià)。具體內(nèi)容參見《GB/T28448信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》。5.1安全控制間安全測(cè)評(píng)5.2層面間安全測(cè)評(píng)5.3區(qū)域間安全測(cè)評(píng)5.4驗(yàn)證測(cè)試驗(yàn)證測(cè)試包括漏洞掃描，滲透測(cè)試等，驗(yàn)證測(cè)試發(fā)現(xiàn)的安全問(wèn)題對(duì)應(yīng)到相應(yīng)的測(cè)評(píng)項(xiàng)的結(jié)果記錄中。詳細(xì)驗(yàn)證測(cè)試報(bào)告見報(bào)告附錄 A。若由于用戶原因無(wú)法開展驗(yàn)證測(cè)試，應(yīng)將用戶簽章的“自愿放棄驗(yàn)證測(cè)試聲明”作為報(bào)告附件。5.5整體測(cè)評(píng)結(jié)果匯總根據(jù)整體測(cè)評(píng)結(jié)果，修改安全問(wèn)題匯總表中的問(wèn)題嚴(yán)重程度值及對(duì)應(yīng)的修正后測(cè)評(píng)項(xiàng)符合程度得分，并形成修改后的安全問(wèn)題匯總表（僅包括有所修正的安全問(wèn)題）。可根據(jù)整體測(cè)評(píng)安全控制措施對(duì)安全問(wèn)題的彌補(bǔ)程度將修正因子設(shè)為 ~。修正后問(wèn)題嚴(yán)重程度值1=修正前的問(wèn)題嚴(yán)重程度值×修正因子。修正后測(cè)評(píng)項(xiàng)符合程度=5-修正后問(wèn)題嚴(yán)重程度值/測(cè)評(píng)項(xiàng)權(quán)重表5-1修正后的安全問(wèn)題匯總表2修修正后修正后測(cè)評(píng)序問(wèn)題安全問(wèn)題整體測(cè)正問(wèn)題嚴(yán)測(cè)評(píng)項(xiàng)號(hào)編號(hào)3項(xiàng)描述評(píng)描述因重程度符合程權(quán)重子值度總體安全狀況分析6.1系統(tǒng)安全保障評(píng)估以表格形式匯總被測(cè)信息系統(tǒng)已采取的安全保護(hù)措施情況，并綜合附錄 A中的測(cè)評(píng)項(xiàng)符合程度得分以及章節(jié)中的修正后測(cè)評(píng)項(xiàng)符合程度得分（有修正的測(cè)評(píng)項(xiàng)以章節(jié)中的修正后測(cè)評(píng)項(xiàng)符合程度得分帶入計(jì)算），以算術(shù)平均法合并多個(gè)測(cè)評(píng)對(duì)象在同一測(cè)評(píng)項(xiàng)的得分，得到各測(cè)評(píng)項(xiàng)的多對(duì)象平均分。1問(wèn)題嚴(yán)重程度值最高為 5。2該處僅列出問(wèn)題嚴(yán)重程度有所修正的安全問(wèn)題。3該處編號(hào)與 4.12.2 安全問(wèn)題匯總表中的問(wèn)題編號(hào)一一對(duì)應(yīng)。根據(jù)測(cè)評(píng)項(xiàng)權(quán)重（見附件《測(cè)評(píng)項(xiàng)權(quán)重賦值表》，其他情況的權(quán)重賦值另行發(fā)布），以加權(quán)平均合并同一安全控制點(diǎn)下的所有測(cè)評(píng)項(xiàng)的符合程度得分，并按照控制點(diǎn)得分計(jì)算公式得到各安全控制點(diǎn)的 5分制得分。計(jì)算公式為：??∑測(cè)評(píng)項(xiàng)的多對(duì)象平均分×測(cè)評(píng)項(xiàng)權(quán)重控制點(diǎn)得分=??=1，n為同一控制點(diǎn)下的測(cè)評(píng)項(xiàng)數(shù)，??∑測(cè)評(píng)項(xiàng)權(quán)重??=1不含不適用的控制點(diǎn)和測(cè)評(píng)項(xiàng)。以算術(shù)平均合并同一安全層面下的所有安全控制點(diǎn)得分，并轉(zhuǎn)換為安全層面的百分制得分。根據(jù)表格內(nèi)容描述被測(cè)信息系統(tǒng)已采取的有效保護(hù)措施和存在的主要安全問(wèn)題情況。序號(hào) 安全層面1234物理安全78910網(wǎng)絡(luò)安全

表6-1系統(tǒng)安全保障情況得分表安全控制點(diǎn) 安全控制點(diǎn)得分 安全層面得分物理位置的選擇物理訪問(wèn)控制防盜竊和防破壞防雷擊防火防水和防潮防靜電溫濕度控制電力供應(yīng)電磁防護(hù)結(jié)構(gòu)安全訪問(wèn)控制序號(hào)1314151617181920212223242526272829303132

安全層面主機(jī)安全應(yīng)用安全

安全控制點(diǎn) 安全控制點(diǎn)得分 安全層面得分安全審計(jì)邊界完整性檢查入侵防范惡意代碼防范網(wǎng)絡(luò)設(shè)備防護(hù)身份鑒別安全標(biāo)記訪問(wèn)控制可信路徑安全審計(jì)剩余信息保護(hù)入侵防范惡意代碼防范資源控制身份鑒別安全標(biāo)記訪問(wèn)控制可信路徑安全審計(jì)剩余信息保護(hù)序號(hào)安全層面333435363738數(shù)據(jù)39恢安全復(fù)及40備份41安全42管理制43度4445安全46管理機(jī)47構(gòu)4849人員安全管理52

安全控制點(diǎn) 安全控制點(diǎn)得分 安全層面得分通信完整性通信保密性抗抵賴軟件容錯(cuò)資源控制數(shù)據(jù)完整性數(shù)據(jù)保密性備份和恢復(fù)管理制度制定和發(fā)布評(píng)審和修訂崗位設(shè)置人員配備授權(quán)和審批溝通和合作審核和檢查人員錄用人員離崗人員考核安全意識(shí)教育和培訓(xùn)序號(hào)53545556575859606162636465666768697071

安全層面系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理

安全控制點(diǎn) 安全控制點(diǎn)得分 安全層面得分外部人員訪問(wèn)管理系統(tǒng)定級(jí)安全方案設(shè)計(jì)產(chǎn)品采購(gòu)和使用自行軟件開發(fā)外包軟件開發(fā)工程實(shí)施測(cè)試驗(yàn)收系統(tǒng)交付系統(tǒng)備案等級(jí)測(cè)評(píng)安全服務(wù)商選擇環(huán)境管理資產(chǎn)管理介質(zhì)管理設(shè)備管理監(jiān)控管理和安全管理中心網(wǎng)絡(luò)安全管理系統(tǒng)安全管理序號(hào) 安全層面 安全控制點(diǎn) 安全控制點(diǎn)得分 安全層面得分72 惡意代碼防范管理73 密碼管理74 變更管理75 備份與恢復(fù)管理76 安全事件處置77 應(yīng)急預(yù)案管理6.2 安全問(wèn)題風(fēng)險(xiǎn)評(píng)估依據(jù)信息安全標(biāo)準(zhǔn)規(guī)范，采用風(fēng)險(xiǎn)分析的方法進(jìn)行危害分析和風(fēng)險(xiǎn)等級(jí)判定。針對(duì)等級(jí)測(cè)評(píng)結(jié)果中存在的所有安全問(wèn)題， 結(jié)合關(guān)聯(lián)資產(chǎn)和威脅分別分析安全危害，找出可能對(duì)信息系統(tǒng)、單位、社會(huì)及國(guó)家造成的最大安全危害（損失），并根據(jù)最大安全危害嚴(yán)重程度進(jìn)一步確定信息系統(tǒng)面臨的風(fēng)險(xiǎn)等級(jí)，結(jié)果為“高”、“中”或“低”。并以列表形式給出等級(jí)測(cè)評(píng)發(fā)現(xiàn)安全問(wèn)題以及風(fēng)險(xiǎn)分析和評(píng)價(jià)情況，參見表6-2。其中，最大安全危害（損失）結(jié)果應(yīng)結(jié)合安全問(wèn)題所影響業(yè)務(wù)的重要程度、相關(guān)系統(tǒng)組件的重要程度、安全問(wèn)題嚴(yán)重程度以及安全事件影響范圍等進(jìn)行綜合分析。表6-2信息系統(tǒng)安全問(wèn)題風(fēng)險(xiǎn)分析表問(wèn)題關(guān)聯(lián)資產(chǎn)1關(guān)聯(lián)威脅2危害分析安全層面問(wèn)題描述風(fēng)險(xiǎn)等級(jí)編號(hào)結(jié)果如風(fēng)險(xiǎn)值和評(píng)價(jià)相同，可填寫多個(gè)關(guān)聯(lián)資產(chǎn)。2對(duì)于多個(gè)威脅關(guān)聯(lián)同一個(gè)問(wèn)題的情況，應(yīng)分別填寫。6.3 等級(jí)測(cè)評(píng)結(jié)論綜合上述幾章節(jié)的測(cè)評(píng)與風(fēng)險(xiǎn)分析結(jié)果，根據(jù)符合性判別依據(jù)給出等級(jí)測(cè)評(píng)結(jié)論，并計(jì)算信息系統(tǒng)的綜合得分。等級(jí)測(cè)評(píng)結(jié)論應(yīng)表述為“ 符合”、“基本符合”或者“不符合”。結(jié)論判定及綜合得分計(jì)算方式見下表：測(cè)評(píng)結(jié)論 符合性判別依據(jù)信息系統(tǒng)中未發(fā)現(xiàn)安全問(wèn)題，等級(jí)測(cè)評(píng)結(jié)果符合中所有測(cè)評(píng)項(xiàng)得分均為5分。信息系統(tǒng)中存在安全問(wèn)題，但不會(huì)導(dǎo)致信息基本符合系統(tǒng)面臨高等級(jí)安全風(fēng)險(xiǎn)。信息系統(tǒng)中存在安全問(wèn)題，而且會(huì)導(dǎo)致信息不符合系統(tǒng)面臨高等級(jí)安全風(fēng)險(xiǎn)。

綜合得分計(jì)算公式分??∑測(cè)評(píng)項(xiàng)的多對(duì)象平均分×測(cè)評(píng)項(xiàng)權(quán)重??=1??×20，p為總測(cè)評(píng)項(xiàng)∑ 測(cè)評(píng)項(xiàng)權(quán)重??=1數(shù)，不含不適用的控制點(diǎn)和測(cè)評(píng)項(xiàng)，有修正的測(cè)評(píng)項(xiàng)以章節(jié)中的修正后測(cè)評(píng)項(xiàng)符合程度得分帶入計(jì)算?！??修正后問(wèn)題嚴(yán)重程度值60-??=1??×12，為安全問(wèn)題數(shù)，p為∑測(cè)評(píng)項(xiàng)權(quán)重l??=1總測(cè)評(píng)項(xiàng)數(shù)，不含不適用的控制點(diǎn)和測(cè)評(píng)項(xiàng)。注：修正后問(wèn)題嚴(yán)重程度賦值結(jié)果取多對(duì)象中針對(duì)同一測(cè)評(píng)項(xiàng)的最大值。也可根據(jù)特殊指標(biāo)重要程度為其賦予權(quán)重，并參照上述方法和綜合得分計(jì)算公式，得出綜合基本指標(biāo)與特殊指標(biāo)測(cè)評(píng)結(jié)果的綜合得分。問(wèn)題處置建議針對(duì)系統(tǒng)存在的安全問(wèn)題提出處置建議。附錄A等級(jí)測(cè)評(píng)結(jié)果記錄物理安全以表格形式給出物理安全的現(xiàn)場(chǎng)測(cè)評(píng)結(jié)果。 符合程度根據(jù)被測(cè)信息系統(tǒng)實(shí)際保護(hù)狀況進(jìn)行賦值，完全符合項(xiàng)賦值為 5，其他情況根據(jù)被測(cè)系統(tǒng)在該測(cè)評(píng)指標(biāo)的符合程度賦值為 0~4（取整數(shù)值）。網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全及備份恢復(fù)安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理××××（特殊指標(biāo)安全層面）驗(yàn)證測(cè)試附件第三級(jí)信息系統(tǒng)測(cè)評(píng)項(xiàng)權(quán)重賦值表（此表可不提供被測(cè)評(píng)單位）下表給出第三級(jí)（S3A3G3）信息系統(tǒng)安全等級(jí)保護(hù)基本要求對(duì)應(yīng)的測(cè)評(píng)項(xiàng)權(quán)重，其他等級(jí)信息系統(tǒng)測(cè)評(píng)項(xiàng)權(quán)重賦值表另行發(fā)布。序?qū)用婵刂泣c(diǎn)要求項(xiàng)測(cè)評(píng)項(xiàng)號(hào)權(quán)重1物理安全物理位置的選擇a）機(jī)房和辦公場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；2物理安全物理位置的選擇b）機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。3物理安全物理訪問(wèn)控制a）機(jī)房出入口應(yīng)有專人值守，控制、鑒別和記錄進(jìn)入的人員。4物理安全物理訪問(wèn)控制b）需進(jìn)入機(jī)房的來(lái)訪人員應(yīng)經(jīng)過(guò)申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍。c）應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和5物理安全物理訪問(wèn)控制區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過(guò)渡區(qū)域。6物理安全物理訪問(wèn)控制d）重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。17物理安全防盜竊和防破壞a）應(yīng)將主要設(shè)備放置在機(jī)房?jī)?nèi)。8物理安全防盜竊和防破壞b）應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記。9物理安全防盜竊和防破壞c）應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中。10物理安全防盜竊和防破壞d）應(yīng)對(duì)介質(zhì)分類標(biāo)識(shí)，存儲(chǔ)在介質(zhì)庫(kù)或檔案室中。11物理安全防盜竊和防破壞e）應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房的防盜報(bào)警系統(tǒng)。12物理安全防盜竊和防破壞f）應(yīng)對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。13物理安全防雷擊a）機(jī)房建筑應(yīng)設(shè)置避雷裝置。14物理安全防雷擊b）應(yīng)設(shè)置防雷保安器，防止感應(yīng)雷。15物理安全防雷擊c）機(jī)房應(yīng)設(shè)置交流電源地線。序?qū)用婵刂泣c(diǎn)要求項(xiàng)測(cè)評(píng)項(xiàng)號(hào)權(quán)重16物理安全防火a）機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，并自動(dòng)滅火。17物理安全防火b）機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材料。18物理安全防火c）機(jī)房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開。19物理安全防水和防潮a）水管安裝，不得穿過(guò)機(jī)房屋頂和活動(dòng)地板下。20物理安全防水和防潮b）應(yīng)采取措施防止雨水通過(guò)機(jī)房窗戶、屋頂和墻壁滲透。21物理安全防水和防潮c）應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。22物理安全防水和防潮d）應(yīng)安裝對(duì)水敏感的檢測(cè)儀表或元件，對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警。23物理安全防靜電a）主要設(shè)備應(yīng)采用必要的接地防靜電措施。24物理安全防靜電b）機(jī)房應(yīng)采用防靜電地板。a）機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，25物理安全溫濕度控制使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。26物理安全電力供應(yīng)a）應(yīng)在機(jī)房供電線路上設(shè)置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備。b）應(yīng)提供短期的備用電力供應(yīng)，至少滿27物理安全電力供應(yīng)足主要設(shè)備在斷電情況下的正常運(yùn)行要求。28物理安全電力供應(yīng)c）應(yīng)設(shè)置冗余或并行的電力電纜線路為1計(jì)算機(jī)系統(tǒng)供電。29物理安全電力供應(yīng)d）應(yīng)建立備用供電系統(tǒng)。130物理安全電磁防護(hù)a）應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾。31物理安全電磁防護(hù)b）電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾。32物理安全電磁防護(hù)c）應(yīng)對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽。133網(wǎng)絡(luò)安全結(jié)構(gòu)安全a)應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力1具備冗余空間，滿足業(yè)務(wù)高峰期需要；34網(wǎng)絡(luò)安全結(jié)構(gòu)安全b)應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；35網(wǎng)絡(luò)安全結(jié)構(gòu)安全c)應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行1路由控制建立安全的訪問(wèn)路徑；序?qū)用婵刂泣c(diǎn)要求項(xiàng)測(cè)評(píng)項(xiàng)號(hào)權(quán)重36網(wǎng)絡(luò)安全結(jié)構(gòu)安全d)應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；e)應(yīng)根據(jù)各部門的工作職能、重要性和37網(wǎng)絡(luò)安全結(jié)構(gòu)安全所涉及信息的重要程度等因素，劃分不同1的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；f)應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處38網(wǎng)絡(luò)安全結(jié)構(gòu)安全且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；g)應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來(lái)指定39網(wǎng)絡(luò)安全結(jié)構(gòu)安全帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。40網(wǎng)絡(luò)安全訪問(wèn)控制a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能；b)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供41網(wǎng)絡(luò)安全訪問(wèn)控制明確的允許/拒絕訪問(wèn)的能力，控制粒度1為端口級(jí)；c)應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，42網(wǎng)絡(luò)安全訪問(wèn)控制實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、1POP3等協(xié)議命令級(jí)的控制；43網(wǎng)絡(luò)安全訪問(wèn)控制d)應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；44網(wǎng)絡(luò)安全訪問(wèn)控制e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；45網(wǎng)絡(luò)安全訪問(wèn)控制f)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；g)應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)46網(wǎng)絡(luò)安全訪問(wèn)控制則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn)，控制粒度為單個(gè)用戶；47網(wǎng)絡(luò)安全訪問(wèn)控制h)應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量。48網(wǎng)絡(luò)安全安全審計(jì)a)應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀1況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；b)審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、49網(wǎng)絡(luò)安全安全審計(jì)用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；50網(wǎng)絡(luò)安全安全審計(jì)c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生1成審計(jì)報(bào)表；51網(wǎng)絡(luò)安全安全審計(jì)d)應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。序?qū)用婵刂泣c(diǎn)要求項(xiàng)測(cè)評(píng)項(xiàng)號(hào)權(quán)重a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)52網(wǎng)絡(luò)安全邊界完整性檢查絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)1其進(jìn)行有效阻斷；b)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部53網(wǎng)絡(luò)安全邊界完整性檢查網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并1對(duì)其進(jìn)行有效阻斷。a)應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：54網(wǎng)絡(luò)安全入侵防范端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒1絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源55 網(wǎng)絡(luò)安全 入侵防范 IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。56網(wǎng)絡(luò)安全惡意代碼防范a)應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)1和清除；57網(wǎng)絡(luò)安全惡意代碼防范b)應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新。58網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護(hù)a)應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；59網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護(hù)b)應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；60網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護(hù)c)網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；d)主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種61網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護(hù)或兩種以上組合的鑒別技術(shù)來(lái)進(jìn)行身份1鑒別；62網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護(hù)e)身份鑒別信息應(yīng)具有不易被冒用的特1點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；f)應(yīng)具有登錄失敗處理功能，可采取結(jié)63網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護(hù)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；g)當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采64網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護(hù)取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽；65網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護(hù)h)應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。66主機(jī)安全身份鑒別a)應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別；b)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份67主機(jī)安全身份鑒別鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令1應(yīng)有復(fù)雜度要求并定期更換；序?qū)用婵刂泣c(diǎn)要求項(xiàng)測(cè)評(píng)項(xiàng)號(hào)權(quán)重c)應(yīng)啟用登錄失敗處理功能，可采取結(jié)68主機(jī)安全身份鑒別束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；d)當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取69主機(jī)安全身份鑒別必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程1中被竊聽；70主機(jī)安全身份鑒別e)為操作系統(tǒng)和數(shù)據(jù)庫(kù)的不同用戶分配不同的用戶名，確保用戶名具有唯一性；71主機(jī)安全身份鑒別f）應(yīng)采用兩種或兩種以上組合的鑒別技1術(shù)對(duì)管理用戶進(jìn)行身份鑒別。72主機(jī)安全訪問(wèn)控制a)應(yīng)啟用訪問(wèn)控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問(wèn)；b)應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)73主機(jī)安全訪問(wèn)控制現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；74主機(jī)安全訪問(wèn)控制c)應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用1戶的權(quán)限分離；d)應(yīng)嚴(yán)格限制默認(rèn)賬戶的訪問(wèn)權(quán)限，重75主機(jī)安全訪問(wèn)控制命名系統(tǒng)默認(rèn)賬戶，并修改這些賬戶的默認(rèn)口令；76主機(jī)安全訪問(wèn)控制e)應(yīng)及時(shí)刪除多余的、過(guò)期的賬戶，避免共享賬戶的存在；77主機(jī)安全訪問(wèn)控制f）應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記；178主機(jī)安全訪問(wèn)控制g）應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏1感標(biāo)記重要信息資源的操作。79主機(jī)安全安全審計(jì)a)安全審計(jì)應(yīng)覆蓋到服務(wù)器和重要客戶1端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶；b)審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)80主機(jī)安全安全審計(jì)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；81主機(jī)安全安全審計(jì)c)審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；82主機(jī)安全安全審計(jì)d）應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生1成審計(jì)報(bào)表；83主機(jī)安全安全審計(jì)e）應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷；84主機(jī)安全安全審計(jì)f）應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。序?qū)用?控制點(diǎn)號(hào)85 主機(jī)安全 入侵防范86 主機(jī)安全 入侵防范87 主機(jī)安全 入侵防范88主機(jī)安全惡意代碼防范89主機(jī)安全惡意代碼防范90主機(jī)安全惡意代碼防范91 主機(jī)安全 剩余信息保護(hù)92主機(jī)安全剩余信息保護(hù)93主機(jī)安全資源控制94主機(jī)安全資源控制95主機(jī)安全資源控制96主機(jī)安全資源控制97主機(jī)安全資源控制98應(yīng)用安全身份鑒別99應(yīng)用安全身份鑒別

測(cè)評(píng)項(xiàng)要求項(xiàng)權(quán)重應(yīng)能夠檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警；b）應(yīng)能夠?qū)χ匾绦蛲暾赃M(jìn)行檢測(cè)，并在檢測(cè)到完整性受到破壞后具有恢復(fù)1的措施；操作系統(tǒng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。應(yīng)安裝防惡意代碼軟件，并及時(shí)更新1防惡意代碼軟件版本和惡意代碼庫(kù)；主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫(kù)；應(yīng)支持惡意代碼防范的統(tǒng)一管理。a）應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)用戶的鑒別信息所在的存儲(chǔ)空間，被釋放或再分配給其他用戶前得到完全清除，無(wú)論這些信息是存放在硬盤上還是在內(nèi)存中；b）應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間，被釋放或重新分配給其他用戶前得到完全清除。應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定；c）應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度；e）應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警。應(yīng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別；應(yīng)對(duì)同一用戶采用兩種或兩種以上組1合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別；序控制點(diǎn)要求項(xiàng)層面號(hào)應(yīng)用安全身份鑒別c)應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息100復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒用；應(yīng)用安全身份鑒別d)應(yīng)提供登錄失敗處理功能，可采取結(jié)101束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；應(yīng)用安全身份鑒別e)應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一102性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。應(yīng)用安全訪問(wèn)控制a)應(yīng)提供訪問(wèn)控制功能，依據(jù)安全策略103控制用戶對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪問(wèn)；應(yīng)用安全訪問(wèn)控制b)訪問(wèn)控制的覆蓋范圍應(yīng)包括與資源訪104問(wèn)相關(guān)的主體、客體及它們之間的操作；應(yīng)用安全訪問(wèn)控制c)應(yīng)由授權(quán)主體配置訪問(wèn)控制策略，并105嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限；應(yīng)用安全訪問(wèn)控制d)應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)106所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。應(yīng)用安全訪問(wèn)控制e)應(yīng)具有對(duì)重要信息資源設(shè)置敏感標(biāo)記107的功能；應(yīng)用安全訪問(wèn)控制f)應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏108感標(biāo)記重要信息資源的操作；應(yīng)用安全安全審計(jì)a)應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功109能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)；應(yīng)用安全安全審計(jì)b)應(yīng)保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，無(wú)法110刪除、修改或覆蓋審計(jì)記錄；應(yīng)用安全安全審計(jì)c)審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日111期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等；應(yīng)用安全安全審計(jì)d)應(yīng)提供對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查112詢、分析及生成審計(jì)報(bào)表的功能。應(yīng)用安全剩余信息保護(hù)a)應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間113被釋放或再分配給其他用戶前得到完全清除，無(wú)論這些信息是存放在硬盤上還是在內(nèi)存中；

測(cè)評(píng)項(xiàng)權(quán)重111111序控制點(diǎn)層面號(hào)應(yīng)用安全剩余信息保護(hù)114應(yīng)用安全通信完整性115應(yīng)用安全通信保密性116應(yīng)用安全通信保密性117應(yīng)用安全抗抵賴118應(yīng)用安全抗抵賴119應(yīng)用安全軟件容錯(cuò)120應(yīng)用安全軟件容錯(cuò)121應(yīng)用安全資源控制122應(yīng)用安全資源控制123應(yīng)用安全資源控制124應(yīng)用安全資源控制125應(yīng)用安全資源控制126應(yīng)用安全資源控制127應(yīng)用安全資源控制128數(shù)據(jù)安全及備數(shù)據(jù)完整性份恢復(fù)129

測(cè)評(píng)項(xiàng)要求項(xiàng)權(quán)重應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前得到完全清除。應(yīng)采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性。在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證；應(yīng)對(duì)通信過(guò)程中的整個(gè)報(bào)文或會(huì)話過(guò)1程進(jìn)行加密。應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的1數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求；應(yīng)提供自動(dòng)保護(hù)功能，當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)能夠進(jìn)行恢復(fù)。當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話；應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制；應(yīng)能夠?qū)蝹€(gè)帳戶的多重并發(fā)會(huì)話進(jìn)行限制；應(yīng)能夠?qū)σ粋€(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)行限制；應(yīng)能夠?qū)σ粋€(gè)訪問(wèn)帳戶或一個(gè)請(qǐng)求進(jìn)程占用的資源分配最大限額和最小限額；應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警；應(yīng)提供服務(wù)優(yōu)先級(jí)設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問(wèn)帳戶或請(qǐng)求進(jìn)程的優(yōu)先級(jí)，根據(jù)優(yōu)先級(jí)分配系統(tǒng)資源。應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中完整性受到破壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施；序控制點(diǎn)層面號(hào)數(shù)據(jù)安全及備數(shù)據(jù)完整性份恢復(fù)130數(shù)據(jù)安全及備 數(shù)據(jù)保密性份恢復(fù)數(shù)據(jù)安全及備 數(shù)據(jù)保密性份恢復(fù)數(shù)據(jù)安全及備 備份和恢復(fù)份恢復(fù)數(shù)據(jù)安全及備 備份和恢復(fù)份恢復(fù)數(shù)據(jù)安全及備 備份和恢復(fù)135份恢復(fù)數(shù)據(jù)安全及備 備份和恢復(fù)份恢復(fù)安全管理制度管理制度安全管理制度管理制度安全管理制度管理制度安全管理制度管理制度安全管理制度制定和發(fā)布安全管理制度制定和發(fā)布安全管理制度制定和發(fā)布安全管理制度制定和發(fā)布安全管理制度制定和發(fā)布

測(cè)評(píng)項(xiàng)要求項(xiàng)權(quán)重應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲(chǔ)過(guò)程中完整性受到破壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施。a)應(yīng)采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸1保密性；b)應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)1保密性。應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場(chǎng)外存放；應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地；應(yīng)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障；1d)應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可1用性。a）應(yīng)制定信息安全工作的總體方針和安全策略，說(shuō)明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等。b）應(yīng)對(duì)安全管理活動(dòng)中的各類管理內(nèi)容建立安全管理制度。c）應(yīng)對(duì)安全管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程。d）應(yīng)形成由安全政策、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度1體系。a）應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定。b）安全管理制度應(yīng)具有統(tǒng)一的格式，并進(jìn)行版本控制。c）應(yīng)組織相關(guān)人員對(duì)制定的安全管理進(jìn)行論證和審定。d）安全管理制度應(yīng)通過(guò)正式、有效的方式發(fā)布。e）安全管理制度應(yīng)注明發(fā)布范圍，并對(duì)收發(fā)文進(jìn)行登記。序?qū)用婵刂泣c(diǎn)要求項(xiàng)測(cè)評(píng)項(xiàng)號(hào)權(quán)重a）信息安全領(lǐng)導(dǎo)小組應(yīng)負(fù)責(zé)定期組織相146安全管理制度評(píng)審和修訂關(guān)部門和相關(guān)人員對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定。b）應(yīng)定期或不定期對(duì)安全管理制度進(jìn)行147安全管理制度評(píng)審和修訂檢查和審定，對(duì)存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。a）應(yīng)設(shè)立信息安全管理工作的職能部門，148安全管理機(jī)構(gòu)崗位設(shè)置設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)1人崗位，并定義各負(fù)責(zé)人的職責(zé)。b）應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安149安全管理機(jī)構(gòu)崗位設(shè)置全管理員等崗位，并定義各個(gè)工作崗位的職責(zé)。c）應(yīng)成立指導(dǎo)和管理信息安全工作的委150安全管理機(jī)構(gòu)崗位設(shè)置員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán)。151安全管理機(jī)構(gòu)崗位設(shè)置d）應(yīng)制定文件明確安全管理機(jī)構(gòu)各個(gè)部門和崗位的職責(zé)、分工和技能要求。152安全管理機(jī)構(gòu)人員配備a）應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)1管理員、安全管理員等。153安全管理機(jī)構(gòu)人員配備b）應(yīng)配備專職安全管理員，不可兼任。154安全管理機(jī)構(gòu)人員配備c）關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理。155安全管理機(jī)構(gòu)授權(quán)和審批a）應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審批部門和批準(zhǔn)人等。b）應(yīng)針對(duì)系統(tǒng)變更、重要操作、物理訪156安全管理機(jī)構(gòu)授權(quán)和審批問(wèn)和系統(tǒng)接入等事項(xiàng)建立審批程序，按照審批程序執(zhí)行審批過(guò)程，對(duì)重要活動(dòng)建立逐級(jí)審批制度。c）應(yīng)定期審查審批事項(xiàng)，及時(shí)更新需授157安全管理機(jī)構(gòu)授權(quán)和審批權(quán)和審批的項(xiàng)目、審批部門和審批人等信息。158安全管理機(jī)構(gòu)授權(quán)和審批d）應(yīng)記錄審批過(guò)程并保存審批文檔。a）應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部159安全管理機(jī)構(gòu)溝通和合作機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通，定期或不定期召開協(xié)調(diào)會(huì)議，共同協(xié)作處理信息安全問(wèn)題。160安全管理機(jī)構(gòu)溝通和合作b）應(yīng)加強(qiáng)與兄弟單位、公安機(jī)關(guān)、電信公司的合作與溝通。序?qū)用婵刂泣c(diǎn)要求項(xiàng)測(cè)評(píng)項(xiàng)號(hào)權(quán)重161安全管理機(jī)構(gòu)溝通和合作c）應(yīng)加強(qiáng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通。d）應(yīng)建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)162安全管理機(jī)構(gòu)溝通和合作單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息。e）應(yīng)聘請(qǐng)信息安全專家作為常年的安全163安全管理機(jī)構(gòu)溝通和合作顧問(wèn)，指導(dǎo)信息安全建設(shè)，參與安全規(guī)劃和安全評(píng)審等。a）安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，164安全管理機(jī)構(gòu)審核和檢查檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和1數(shù)據(jù)備份等情況。b）應(yīng)由內(nèi)部人員或上級(jí)單位定期進(jìn)行全165安全管理機(jī)構(gòu)審核和檢查面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等。c）應(yīng)制定安全檢查表格實(shí)施安全檢查，166安全管理機(jī)構(gòu)審核和檢查匯總安全檢查數(shù)據(jù)，形成安全檢查報(bào)告，并對(duì)安全檢查結(jié)果進(jìn)行通報(bào)。d）應(yīng)制定安全審核和安全檢查制度規(guī)范167安全管理機(jī)構(gòu)審核和檢查安全審核和安全檢查工作，定期按照程序進(jìn)行安全審核和安全檢查活動(dòng)。168人員安全管理人員錄用a）應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用。b）應(yīng)嚴(yán)格規(guī)范人員錄用過(guò)程，對(duì)被錄用169人員安全管理人員錄用人的身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行1審查，對(duì)其所具有的技術(shù)技能進(jìn)行考核。170人員安全管理人員錄用c）應(yīng)簽署保密協(xié)議。1171人員安全管理人員錄用d）應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員，并簽署崗位安全協(xié)議。172人員安全管理人員離崗a）應(yīng)嚴(yán)格規(guī)范人員離崗過(guò)程，及時(shí)終止即將離崗員工的所有訪問(wèn)權(quán)限。173人員安全管理人員離崗b）應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備。c）應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)，關(guān)鍵崗位人174人員安全管理人員離崗員離崗須承諾調(diào)離后的保密義務(wù)后方可離開。175人員安全管理人員考核a）應(yīng)定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核。序?qū)用婵刂泣c(diǎn)要求項(xiàng)測(cè)評(píng)項(xiàng)號(hào)權(quán)重176人員安全管理人員考核b）應(yīng)對(duì)關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格1的安全審查和技能考核。177人員安全管理人員考核c）應(yīng)對(duì)考核結(jié)果進(jìn)行記錄并保存。178人員安全管理安全意識(shí)教育和a）應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教育、崗1培訓(xùn)位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)。安全意識(shí)教育和b）應(yīng)對(duì)安全責(zé)任和懲戒措施進(jìn)行書面規(guī)179人員安全管理定并告知相關(guān)人員，對(duì)違反違背安全策略培訓(xùn)和規(guī)定的人員進(jìn)行懲戒。c）應(yīng)對(duì)安全教育和培訓(xùn)進(jìn)行書面規(guī)定，180人員安全管理安全意識(shí)教育和針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃，對(duì)信1培訓(xùn)息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn)。181人員安全管理安全意識(shí)教育和d）應(yīng)對(duì)安全教育和培訓(xùn)的情況和結(jié)果進(jìn)培訓(xùn)行記錄并歸檔保存。外部人員訪問(wèn)管a）應(yīng)確保在外部人員訪問(wèn)機(jī)房等重要區(qū)182人員安全管理域前先提出書面申請(qǐng)，批準(zhǔn)后由專人全程理陪同或監(jiān)督，并登記備案。外部人員訪問(wèn)管b）對(duì)外部人員允許訪問(wèn)的區(qū)域、系統(tǒng)、183人員安全管理設(shè)備、信息等內(nèi)容應(yīng)進(jìn)行書面的規(guī)定，并理按照規(guī)定執(zhí)行。184系統(tǒng)建設(shè)管理系統(tǒng)定級(jí)a）應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)。185系統(tǒng)建設(shè)管理系統(tǒng)定級(jí)b）應(yīng)以書面的形式說(shuō)明確定信息系統(tǒng)為某個(gè)安全保護(hù)等級(jí)的方法和理由。c）應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家186系統(tǒng)建設(shè)管理系統(tǒng)定級(jí)對(duì)信息系統(tǒng)定級(jí)結(jié)果的合理性和正確性進(jìn)行論證和審定。187系統(tǒng)建設(shè)管理系統(tǒng)定級(jí)d）應(yīng)確保信息系統(tǒng)的定級(jí)結(jié)果經(jīng)過(guò)相關(guān)部門的批準(zhǔn)。a）應(yīng)根據(jù)系統(tǒng)的安全級(jí)別選擇基本安全188系統(tǒng)建設(shè)管理安全方案設(shè)計(jì)措施，并依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施。b）應(yīng)指定和授權(quán)專門的部門對(duì)信息系統(tǒng)189系統(tǒng)建設(shè)管理安全方案設(shè)計(jì)的安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)1期的安全建設(shè)工作計(jì)劃。c）應(yīng)根據(jù)信息系統(tǒng)的等級(jí)劃分情況，統(tǒng)190系統(tǒng)建設(shè)管理安全方案設(shè)計(jì)一考慮安全保障體系的總體安全策略、安1全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案，并形成配套文件。序?qū)用?控制點(diǎn)號(hào)191 系統(tǒng)建設(shè)管理 安全方案設(shè)計(jì)192 系統(tǒng)建設(shè)管理 安全方案設(shè)計(jì)193 系統(tǒng)建設(shè)管理 產(chǎn)品采購(gòu)和使用194 系統(tǒng)建設(shè)管理 產(chǎn)品采購(gòu)和使用195 系統(tǒng)建設(shè)管理 產(chǎn)品采購(gòu)和使用196 系統(tǒng)建設(shè)管理 產(chǎn)品采購(gòu)和使用197 系統(tǒng)建設(shè)管理 自行軟件開發(fā)198 系統(tǒng)建設(shè)管理 自行軟件開發(fā)199 系統(tǒng)建設(shè)管理 自行軟件開發(fā)200 系統(tǒng)建設(shè)管理 自行軟件開發(fā)201 系統(tǒng)建設(shè)管理 自行軟件開發(fā)202 系統(tǒng)建設(shè)管理 外包軟件開發(fā)203 系統(tǒng)建設(shè)管理 外包軟件開發(fā)204 系統(tǒng)建設(shè)管理 外包軟件開發(fā)205 系統(tǒng)建設(shè)管理 外包軟件開發(fā)206 系統(tǒng)建設(shè)管理 工程實(shí)施

測(cè)評(píng)項(xiàng)要求項(xiàng)權(quán)重d）應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過(guò)批準(zhǔn)后，才能正式實(shí)施。e）應(yīng)根據(jù)等級(jí)測(cè)評(píng)、安全評(píng)估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件。a）應(yīng)確保安全產(chǎn)品的采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定。b）應(yīng)確保密碼產(chǎn)品的采購(gòu)和使用符合國(guó)家密碼主管部門的要求。c）應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購(gòu)。d）應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單。a）應(yīng)確保開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開，開發(fā)人員和測(cè)試人員分離，測(cè)試數(shù)1據(jù)和測(cè)試結(jié)果受到控制。b）應(yīng)制定軟件開發(fā)管理制度，明確說(shuō)明開發(fā)過(guò)程的控制方法和人員行為準(zhǔn)則。c）應(yīng)制定代碼編寫安全規(guī)范，要求開發(fā)人員參照規(guī)范編寫代碼。d）應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保管。e）應(yīng)確保對(duì)程序資源庫(kù)的修改、更新、1發(fā)布進(jìn)行授權(quán)和批準(zhǔn)。a）應(yīng)根據(jù)開發(fā)需求檢測(cè)軟件質(zhì)量。1b）應(yīng)在軟件安裝之前檢測(cè)軟件包中可能1存在的惡意代碼。c）應(yīng)要求開發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南。d）應(yīng)要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門。a）應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實(shí)施過(guò)程的管理。序?qū)用婵刂泣c(diǎn)要求項(xiàng)測(cè)評(píng)項(xiàng)號(hào)權(quán)重b）應(yīng)制定詳細(xì)的工程實(shí)施方案控制實(shí)施207系統(tǒng)建設(shè)管理工程實(shí)施過(guò)程，并要求工程實(shí)施單位能正式地執(zhí)行安全工程過(guò)程。c）應(yīng)制定工程實(shí)施方面的管理制度，明208系統(tǒng)建設(shè)管理工程實(shí)施確說(shuō)明實(shí)施過(guò)程的控制方法和人員行為準(zhǔn)則。a）應(yīng)委托公正的第三方測(cè)試單位對(duì)系統(tǒng)209系統(tǒng)建設(shè)管理測(cè)試驗(yàn)收進(jìn)行安全性測(cè)試，并出具安全性測(cè)試報(bào)告。b）應(yīng)在測(cè)試驗(yàn)收前根據(jù)設(shè)計(jì)方案或合同210系統(tǒng)建設(shè)管理測(cè)試驗(yàn)收要求等制訂測(cè)試驗(yàn)收方案，測(cè)試驗(yàn)收過(guò)程中詳細(xì)記錄測(cè)試驗(yàn)收結(jié)果，形成測(cè)試驗(yàn)收?qǐng)?bào)告。211系統(tǒng)建設(shè)管理測(cè)試驗(yàn)收c）應(yīng)對(duì)系統(tǒng)測(cè)試驗(yàn)收的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定。d）應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)測(cè)212系統(tǒng)建設(shè)管理測(cè)試驗(yàn)收試驗(yàn)收的管理，并按照管理制度的要求完成系統(tǒng)測(cè)試驗(yàn)收工作。213系統(tǒng)建設(shè)管理測(cè)試驗(yàn)收e）應(yīng)組織相關(guān)部門和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定，并簽字確認(rèn)。a）應(yīng)制定詳細(xì)的系統(tǒng)交付清單，并根據(jù)214系統(tǒng)建設(shè)管理系統(tǒng)交付交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)。215系統(tǒng)建設(shè)管理系統(tǒng)交付b）應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)。216系統(tǒng)建設(shè)管理系統(tǒng)交付c）應(yīng)確保提供系統(tǒng)建設(shè)過(guò)程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔。217系統(tǒng)建設(shè)管理系統(tǒng)交付d）應(yīng)對(duì)系統(tǒng)交付的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定。e）應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)交218系統(tǒng)建設(shè)管理系統(tǒng)交付付的管理工作，并按照管理規(guī)定的要求完成系統(tǒng)交付工作。a）應(yīng)指定專門的部門或人員負(fù)責(zé)管理系219系統(tǒng)建設(shè)管理系統(tǒng)備案統(tǒng)定級(jí)的相關(guān)材料，并控制這些材料的使用。220系統(tǒng)建設(shè)管理系統(tǒng)備案b）應(yīng)將系統(tǒng)等級(jí)和系統(tǒng)屬性等資料報(bào)系統(tǒng)主管部門備案。221系統(tǒng)建設(shè)管理系統(tǒng)備案c）應(yīng)將系統(tǒng)等級(jí)及其他要求的備案材料報(bào)相應(yīng)公安機(jī)關(guān)備案。序?qū)用?控制點(diǎn)號(hào)222 系統(tǒng)建設(shè)管理 等級(jí)測(cè)評(píng)223 系統(tǒng)建設(shè)管理 等級(jí)測(cè)評(píng)224 系統(tǒng)建設(shè)管理 等級(jí)測(cè)評(píng)225 系統(tǒng)建設(shè)管理 等級(jí)測(cè)評(píng)226 系統(tǒng)建設(shè)管理 安全服務(wù)商選擇227 系統(tǒng)建設(shè)管理 安全服務(wù)商選擇228 系統(tǒng)建設(shè)管理 安全服務(wù)商選擇229 系統(tǒng)運(yùn)維管理 環(huán)境管理230 系統(tǒng)運(yùn)維管理 環(huán)境管理231 系統(tǒng)運(yùn)維管理 環(huán)境管理232 系統(tǒng)運(yùn)維管理 環(huán)境管理233 系統(tǒng)運(yùn)維管理 資產(chǎn)管理234 系統(tǒng)運(yùn)維管理 資產(chǎn)管理

測(cè)評(píng)項(xiàng)要求項(xiàng)權(quán)重a）在系統(tǒng)運(yùn)行過(guò)程中，應(yīng)至少每年對(duì)系統(tǒng)進(jìn)行一次等級(jí)測(cè)評(píng)， 發(fā)現(xiàn)不符合相應(yīng)等 1級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改。b）應(yīng)在系統(tǒng)發(fā)生變更時(shí)及時(shí)對(duì)系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)，發(fā)現(xiàn)級(jí)別發(fā)生變化的及時(shí)調(diào)整1級(jí)別并進(jìn)行安全改造， 發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改。c）應(yīng)選擇具有國(guó)家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測(cè)評(píng)單位進(jìn)行等級(jí)測(cè)評(píng)。d）應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)等級(jí)測(cè)評(píng)的管理。a）應(yīng)確保安全服務(wù)商的選擇符合國(guó)家的有關(guān)規(guī)定。b）應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任。c）應(yīng)確保選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾，必要的與其簽訂服務(wù)合同。a）應(yīng)指定專門的部門或人員定期對(duì)機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理。b）應(yīng)指定部門負(fù)責(zé)機(jī)房安全，并配備機(jī)房安全管理人員， 對(duì)機(jī)房的出入、服務(wù)器的開機(jī)或關(guān)機(jī)等工作進(jìn)行管理。c）應(yīng)建立機(jī)房安全管理制度，對(duì)有關(guān)機(jī)房物理訪問(wèn)，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理作出規(guī)定。d）應(yīng)加強(qiáng)對(duì)辦公環(huán)境的保密性管理，規(guī)范辦公環(huán)境人員行為，包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙、不在辦公區(qū)接待來(lái)訪人員、工作人員離開座位應(yīng)確保終端計(jì)算機(jī)退出登錄狀態(tài)和桌面上沒有包含敏感信息的紙檔文件等。a）應(yīng)編制并保存與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、 重要程度和所處位置等內(nèi)容。b）應(yīng)建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門 ,并規(guī)范資產(chǎn)管理和使用的行為。序?qū)用婵刂泣c(diǎn)測(cè)評(píng)項(xiàng)號(hào)要求項(xiàng)權(quán)重c）應(yīng)根據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)235系統(tǒng)運(yùn)維管理資產(chǎn)管理識(shí)管理，根據(jù)資產(chǎn)的價(jià)值選擇相應(yīng)的管理措施。d）應(yīng)對(duì)信息分類與標(biāo)識(shí)方法作出規(guī)定，236系統(tǒng)運(yùn)維管理資產(chǎn)管理并對(duì)信息的使用、傳輸和存儲(chǔ)等進(jìn)行規(guī)范化管理。a）應(yīng)建立介質(zhì)安全管理制度，對(duì)介質(zhì)的237系統(tǒng)運(yùn)維管理介質(zhì)管理存放環(huán)境、使用、維護(hù)和銷毀等方面作出規(guī)定。b）應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對(duì)238系統(tǒng)運(yùn)維管理介質(zhì)管理各類介質(zhì)進(jìn)行控制和保護(hù)，并實(shí)行存儲(chǔ)環(huán)境專人管理。c）應(yīng)對(duì)介質(zhì)在