信息系統(tǒng)安全等級保護(hù)測評要求

GB/TXXX--200XICS35.040L80Informationsecuritytechnology-TestingandevaluationrequirementforclassifiedprotectionofinformationsystemGB/TXXXXXXXX前......................................................................................................................................................................III引......................................................................................................................................................................IV1范圍.(1(1(1(1(1(1(2(2(2(3(3(3(5(6(7(8(9(9(9(10(12(14(17(17(17(20(22(24(27(28(28(29(30(32(35IGB/TXXXXXXXX第三級信息系統(tǒng)單元測評(39安全技術(shù)測評(39物理安全(39網(wǎng)絡(luò)安全(44主機(jī)安全(47應(yīng)用安全(49數(shù)據(jù)安全及備份恢復(fù)(53安全治理測評(55安全治理制度(55安全治理機(jī)構(gòu)(56人員安全治理(59系統(tǒng)建設(shè)治理(61系統(tǒng)運(yùn)維治理(65第四級信息系統(tǒng)單元測評(71安全技術(shù)測評(71物理安全(71網(wǎng)絡(luò)安全(76主機(jī)安全(79應(yīng)用安全(82(87(89(89(90(93(95(99(106(10610.1(106(106(106(107(10711(107(107(107A((109(109(109IIGB/TXXXX–XXXX前言III引言依據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(147號令、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號、(公通字[2004]66號和《信息安全等級保護(hù)治理方法》(公通字[2007]43號等有關(guān)文件要求,制定本標(biāo)準(zhǔn)。與本標(biāo)準(zhǔn)相關(guān)的系列標(biāo)準(zhǔn)包括:——GB/T22240-2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南;——GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)根本要求;——GB/TAAAA-AAAA信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南。一般來說,信息系統(tǒng)需要靠多種安全措施進(jìn)展綜合防范以降低其面臨的安全風(fēng)險(xiǎn)。本標(biāo)準(zhǔn)針對信息系統(tǒng)中的單項(xiàng)安全措施和多個(gè)安全措施的綜合防范,對應(yīng)地提出單元測評和整體測評的技術(shù)要求,用以指導(dǎo)測評人員從信息安全等級保護(hù)的角度評要求。,未規(guī)定給出測評結(jié)論的具體方法和量化指標(biāo)。假設(shè)沒有特別指定,本標(biāo)準(zhǔn)中的信息系統(tǒng)主要指計(jì)算機(jī)信息系統(tǒng)。,黑體字的測評要求表示該要求消滅在當(dāng)前等級而在低于當(dāng)前等級信息系統(tǒng)的測評要求中沒有消滅過。IV信息系統(tǒng)安全等級保護(hù)測評要求范圍本標(biāo)準(zhǔn)規(guī)定了對信息系統(tǒng)安全等級保護(hù)狀況進(jìn)展安全測試評估的要求,包括對單元測評的具體內(nèi)容要求。的信息安全等級保護(hù)監(jiān)視檢查可以參考使用。標(biāo)準(zhǔn)性引用文件,其隨后全部的修改單(不包括訂正的內(nèi)容或均不適用于本標(biāo)準(zhǔn),然而,鼓舞依據(jù),其最版本適用于本標(biāo)準(zhǔn)。GB/T5271.88局部:安全GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)根本要求3術(shù)語和定義22239-2008所確立的以及以下術(shù)語和定義適用于本標(biāo)準(zhǔn)。3.1testingandevaluationintensity測評工作實(shí)際投入力氣的表征,可以由測評廣度和深度來描述?？倓t測評原則a客觀性和公正性原則測評工作雖然不能完全擺脫個(gè)人主見或推斷,但測評人員應(yīng)當(dāng)在沒有偏見和最,依據(jù)測評雙方相互認(rèn)可的測評方案,基于明確定義的測評方法和過程,實(shí)施測評活動(dòng)。b經(jīng)濟(jì)性和可重用性原則,鼓舞測評工作重用以前的測評結(jié)果,包括商業(yè)安全產(chǎn)品測評結(jié)果和信息系統(tǒng)從前的安全測評結(jié)果。全部重用的結(jié)果,都應(yīng)基于這些結(jié)果還能適用于目前的系統(tǒng),能反映目前系統(tǒng)的安全狀態(tài)。c可重復(fù)性和可再現(xiàn)性原則無論誰執(zhí)行測評,依照同樣的要求,使用同樣的方法,對每個(gè)測評實(shí)施過程的重復(fù)的全都性。可重復(fù)性表達(dá)在同一測評者重復(fù)執(zhí)行一樣測評的結(jié)果的全都性。d符合性原則評實(shí)施過程應(yīng)當(dāng)使用正確的方法以確保其滿足了測評指標(biāo)的要求。測評內(nèi)容信息系統(tǒng)安全等級測評主要包括單元測評和整體測評兩局部。單元測評是等級測評工作的根本活動(dòng),每個(gè)單元測評包括測評指標(biāo)、測評實(shí)施和結(jié)果判定三局部。其中,GB/T22239-2008中的第五級名目中的4.5節(jié)說明,測評實(shí)施描述測評過程中使用的具體測評方法、涉及的測評對象和具體測評取證過程的要求,結(jié)果判定描述測評1,如何依據(jù)這些測評數(shù)據(jù)來判定被測系統(tǒng)是否滿足測評指標(biāo)要求的原則和方法。整體測評是在單元測評的根底上,通過進(jìn)一步分析信息系統(tǒng)的整體安全性,對信相結(jié)合,因此全面地給出整體測評要求的全部內(nèi)容、具體實(shí)施過程和明確的結(jié)果判定方法是格外困難的,測評人員應(yīng)依據(jù)被測系統(tǒng)的實(shí)際狀況,結(jié)合本標(biāo)準(zhǔn)的要求,實(shí)施整體測評。測評方法指測評人員在測評實(shí)施過程中所使用的方法,主要包括訪談、檢查和測試三種測評方法。其中,訪談是指測評人員通過引導(dǎo)信息系統(tǒng)相關(guān)人員進(jìn)展有目,檢查是指測評人員通過對測評對象(如治理制度、操作記錄、安全配置等進(jìn)展觀看、查驗(yàn)、分析以幫助測評人員理解、分析或取得證據(jù)的過程,測試是測評人員使用預(yù)定的方法/工具使測評對象產(chǎn)生特定的行為,通過查看和分析結(jié)果以幫助測評人員獵取證據(jù)的過程。測評對象指測評實(shí)施的對象,即測評過程中涉及到的信息系統(tǒng)的相關(guān)人員、制度文檔、各類設(shè)備及其安全配置等。測評力度測評力度是在測評過程中實(shí)施測評工作的力度,反映測評的廣度和深度,表達(dá)為測評工作的實(shí)際投入程度。測評廣度越大,測評實(shí)施的范圍越大,測評實(shí)施包含的測評對象就越多;測評深度越深,越需要在細(xì)節(jié)上開放,測評就越嚴(yán)格,因此就越需要更多的投入。投入越多,測評力度就越強(qiáng),測評就越有保證。測評的廣度和深度落實(shí)到訪談、檢查和測試三種不同的測評方法上,能表達(dá)出測評實(shí)施過程中訪談、檢查和測試的投入程度的不同。,滿足相應(yīng)等級的保護(hù)要求。為了檢驗(yàn)不同安全保護(hù)等級的信息系統(tǒng)是否具有相應(yīng)等級的安全保護(hù)力量,是否滿足相應(yīng)等級的保護(hù)要求,需要實(shí)施與其安全保護(hù)等級相適應(yīng)的測評,付出相應(yīng)的工作投入,到達(dá)應(yīng)有的測評力度。第一級到第四級信息系統(tǒng)的測評力度反映在訪談、檢查和測試等三種根本測評方法的測評廣度和深度上,A中描述。結(jié)果重用在信息系統(tǒng)中,有些安全掌握可以不依靠于其所在的地點(diǎn)便可測評,即在其部署評。假設(shè)一個(gè)信息系統(tǒng)部署和安裝在多個(gè)地點(diǎn),且系統(tǒng)具有一組共同的軟件、硬件、固件等組成局部,對這些安全掌握的測評可以集中在一個(gè)集成測試環(huán)境中實(shí)施,假設(shè)沒有這種環(huán)境,則可以在其中一個(gè)預(yù)定的運(yùn)行地點(diǎn)實(shí)施,在其他運(yùn)行地點(diǎn)的安全測評便可重用此測評結(jié)果。在信息系統(tǒng)全部安全掌握中,有一些安全掌握與它所處于的運(yùn)行環(huán)境嚴(yán)密相關(guān),對其測評必需在分發(fā)到相應(yīng)運(yùn)行環(huán)境中才能進(jìn)展。假設(shè)多個(gè)信息系統(tǒng)處在地域接近的封閉場地內(nèi),系統(tǒng)所屬的機(jī)構(gòu)在同一個(gè)領(lǐng)導(dǎo)層治理之下,對這些安全掌握在多個(gè)信息系統(tǒng)中進(jìn)展重復(fù)測評,可能是對有效資源的一種鋪張。因此,可以在一個(gè)選定的信息系統(tǒng)中進(jìn)展測評,其他相關(guān)信息系統(tǒng)可以直接重用這些測評結(jié)果。使用方法58章分別描述了第一級信息系統(tǒng)、其次級信息系統(tǒng)、第三級信息系統(tǒng)和第四級信息系統(tǒng)全部單元測評的內(nèi)容,在章節(jié)上分別對應(yīng)國標(biāo)GB/T22239-200858GB/T22239-200858章中,各章的二級名目都分為安全技術(shù)和安全治理兩局部,三級名目從安全層面(如物理安全、網(wǎng)絡(luò)安全、主機(jī)安全等進(jìn)展劃分和描述,四級名目依據(jù)安全掌握點(diǎn)進(jìn)展劃分和描述(如主機(jī)安全層面下分為身份鑒別、訪問掌握、安全審計(jì)等,第五級名目是每一個(gè)安全2包括的具體安全要求項(xiàng)(以下簡稱“要求項(xiàng)”,這些要求項(xiàng)在本標(biāo)準(zhǔn)中被稱為“測評指標(biāo)”。本標(biāo)準(zhǔn)中針對每一個(gè)安全掌握點(diǎn)的測評就構(gòu)成一個(gè)單元測評,單元測評中的每一個(gè)具體測評實(shí)施要求項(xiàng)(以下簡稱“測評要求項(xiàng)”是與安全掌握點(diǎn)下面所包括的要求項(xiàng)(測評指標(biāo)相對應(yīng)的。在對每一要求項(xiàng)進(jìn)展測評時(shí),可能用到訪談、檢查和測,也可能用到其中一種或兩種,為了描述簡潔,在測評要求項(xiàng)中,沒有針對每一個(gè)要求項(xiàng)分別進(jìn)展描述,而是對具有一樣測評方法的多個(gè)要求項(xiàng)進(jìn)展了合并描述,GB/T22239-2008中全部要求項(xiàng)的測評要求,使用時(shí),GB/T22239-2008中每一個(gè)要求項(xiàng)的測評要求,并依據(jù)這些測評要求開發(fā)測評指導(dǎo)書,以標(biāo)準(zhǔn)和指導(dǎo)安全等級測評活動(dòng)。,測評人員應(yīng)留意對測評記錄和證據(jù)的采集、處理、存儲(chǔ)和銷毀,保護(hù)其在測評期間免遭破壞、更改或遺失,并保守隱秘。測評的最終輸出是測評報(bào)告,11章的要求給出等級測評結(jié)論。第一級信息系統(tǒng)單元測評安全技術(shù)測評物理安全物理訪問掌握測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談物理安全負(fù)責(zé)人,了解部署了哪些掌握人員進(jìn)出機(jī)房的保護(hù)措施;b應(yīng)檢查是否有專人負(fù)責(zé)機(jī)房的出入掌握且有進(jìn)入機(jī)房人員的登記記錄。結(jié)果判定假設(shè).2b為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。防盜竊和防破壞測評指標(biāo)見GB/T22239-2008。測評實(shí)施本項(xiàng)要求包括:a應(yīng)訪談物理安全負(fù)責(zé)人,了解實(shí)行了哪些防止設(shè)備、介質(zhì)等喪失的保護(hù)措施;b應(yīng)檢查關(guān)鍵設(shè)備是否放置在機(jī)房內(nèi)或其它不易被盜竊和被破壞的可控范圍內(nèi);c應(yīng)檢查關(guān)鍵設(shè)備或設(shè)備的主要部件的固定狀況,查看其是否不易被移動(dòng)或被搬走,是否設(shè)置明顯的不易除去的標(biāo)記。結(jié)果判定假設(shè).2b和c均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。防雷擊測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談物理安全負(fù)責(zé)人,詢問機(jī)房建筑是否設(shè)置了避雷裝置,是否通過驗(yàn)收或技術(shù)檢測;3b應(yīng)檢查機(jī)房建筑是否有避雷裝置。結(jié)果判定假設(shè).2b為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。防火測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談物理安全負(fù)責(zé)人,詢問機(jī)房是否設(shè)置了滅火設(shè)備,是否制定了有關(guān)機(jī)房消防的治理制度和消防預(yù)案,是否進(jìn)展了消防培訓(xùn);b應(yīng)檢查機(jī)房是否設(shè)置了滅火設(shè)備,滅火設(shè)備擺放位置是否合理,其有效期是否合格。結(jié)果判定假設(shè).2a和b均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。防水和防潮測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談物理安全負(fù)責(zé)人,詢問機(jī)房是否部署了防水防潮措施,是否沒有消滅過漏水和返潮大事;假設(shè)機(jī)房內(nèi)有上/下水管安裝,則查看是否實(shí)行必要的保護(hù)措施;b應(yīng)檢查穿過主機(jī)房墻壁或樓板的管道是否實(shí)行必要的防滲防漏等防水保護(hù)措施;c應(yīng)檢查機(jī)房的窗戶、屋頂和墻壁等是否未消滅過漏水、滲透和返潮現(xiàn)象,機(jī)房及其環(huán)境是否不存在明顯的漏水和返潮的威逼;假設(shè)消滅漏水、滲透和返潮現(xiàn)象是否能夠準(zhǔn)時(shí)修復(fù)解決。結(jié)果判定假設(shè).2b和c均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。5.1.1.測評指標(biāo)見GB/T22239-2008。5.1.1.測評實(shí)施本項(xiàng)要求包括:a應(yīng)訪談物理安全負(fù)責(zé)人,詢問機(jī)房是否配備了空調(diào)等溫濕度掌握設(shè)施,保證溫濕度能夠滿足計(jì)算機(jī)設(shè)備運(yùn)行的要求,是否在機(jī)房治理制度中規(guī)定了溫濕度掌握的要求;,檢查機(jī)房溫濕度是否滿足計(jì)算站場地的技術(shù)條件要求。5.1.1.結(jié)果判定假設(shè).2b為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。電力供給測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:4a應(yīng)訪談物理安全負(fù)責(zé)人,詢問計(jì)算機(jī)系統(tǒng)供電線路上是否設(shè)置了穩(wěn)壓器和過電壓防護(hù)設(shè)備;b應(yīng)檢查機(jī)房,查看計(jì)算機(jī)系統(tǒng)供電線路上是否設(shè)置了穩(wěn)壓器和過電壓防護(hù)設(shè)備,這些設(shè)備是否正常運(yùn)行。結(jié)果判定假設(shè).2b為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。網(wǎng)絡(luò)安全構(gòu)造安全測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談網(wǎng)絡(luò)治理員,詢問關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理力量是否滿足根本業(yè)務(wù)需求;b應(yīng)訪談網(wǎng)絡(luò)治理員,詢問接入網(wǎng)絡(luò)及核心網(wǎng)絡(luò)的帶寬是否滿足根本業(yè)務(wù)需要;c應(yīng)檢查網(wǎng)絡(luò)拓?fù)錁?gòu)造圖,查看其與當(dāng)前運(yùn)行的實(shí)際網(wǎng)絡(luò)系統(tǒng)是否全都。本項(xiàng)要求包括:a假設(shè).2c中缺少網(wǎng)絡(luò)拓?fù)錁?gòu)造圖,則為否認(rèn);b假設(shè).2a-c均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。訪問掌握測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全治理員,詢問網(wǎng)絡(luò)訪問掌握的措施有哪些;詢問網(wǎng)絡(luò)訪問掌握設(shè)備功能;b應(yīng)檢查邊界網(wǎng)絡(luò)設(shè)備,查看是否有正確的訪問掌握列表,以通過源地址、目的地址、源端口、目的端口、協(xié)議等進(jìn)展網(wǎng)絡(luò)數(shù)據(jù)流掌握,其掌握粒度是否至少為用戶組。結(jié)果判定假設(shè).2b為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。網(wǎng)絡(luò)設(shè)備防護(hù)測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談網(wǎng)絡(luò)治理員,詢問關(guān)鍵網(wǎng)絡(luò)設(shè)備的防護(hù)措施有哪些;詢問關(guān)鍵網(wǎng)絡(luò)設(shè)備的登錄和驗(yàn)證方式做過何種配置;詢問遠(yuǎn)程治理的設(shè)備是否實(shí)行措施防止鑒別信息泄漏;b應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備,查看是否配置了對登錄用戶進(jìn)展身份鑒別的功能;c應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備,查看是否配置了鑒別失敗處理功能;d應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備,查看是否配置了對設(shè)備遠(yuǎn)程治理所產(chǎn)生的鑒別信息進(jìn)展保護(hù)的功能。結(jié)果判定假設(shè).2b-d均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。主機(jī)安全身份鑒別測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談系統(tǒng)治理員和數(shù)據(jù)庫治理員,詢問操作系統(tǒng)和數(shù)據(jù)庫治理系統(tǒng)的身份標(biāo)識(shí)與鑒別機(jī)制采取何種措施實(shí)現(xiàn);,查看是否供給了身份鑒別措施。結(jié)果判定假設(shè).2b為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。訪問掌握測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)檢查關(guān)鍵效勞器操作系統(tǒng)的安全策略,查看是否對重要文件的訪問權(quán)限進(jìn)展了限制,對系統(tǒng)不需要的效勞、共享路徑等進(jìn)展了禁用或刪除;b應(yīng)檢查關(guān)鍵效勞器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫治理系統(tǒng),查看匿名/默認(rèn)帳戶的訪問權(quán)限是否已被禁用或者限制,是否刪除了系統(tǒng)中多余的、過期的以及共享的帳戶;c應(yīng)檢查關(guān)鍵效勞器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫治理系統(tǒng)的權(quán)限設(shè)置狀況,查看是否依據(jù)安全策略對用戶權(quán)限進(jìn)展了限制。結(jié)果判定假設(shè).2a-c均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。入侵防范測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談系統(tǒng)治理員,詢問操作系統(tǒng)中所安裝的系統(tǒng)組件和應(yīng)用程序是否都是必須的,詢問操作系統(tǒng)補(bǔ)丁更的方式和周期;。結(jié)果判定假設(shè).2b確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。惡意代碼防范測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談系統(tǒng)安全治理員,詢問主機(jī)系統(tǒng)是否實(shí)行惡意代碼實(shí)時(shí)檢測與查殺措施,惡意代碼實(shí)時(shí)檢測與查殺措施的部署掩蓋范圍如何;,查看是否安裝了實(shí)時(shí)檢測與查殺惡意代碼的軟件產(chǎn)品并進(jìn)展準(zhǔn)時(shí)更。結(jié)果判定假設(shè).2b為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。應(yīng)用安全身份鑒別測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談應(yīng)用系統(tǒng)治理員,詢問應(yīng)用系統(tǒng)是否有專用的登錄掌握模塊對登錄的用戶進(jìn)展身份標(biāo)識(shí)和鑒別,具體實(shí)行的鑒別措施是什么;b應(yīng)訪談應(yīng)用系統(tǒng)治理員,詢問應(yīng)用系統(tǒng)是否具有登錄失敗處理功能;c應(yīng)訪談應(yīng)用系統(tǒng)治理員,詢問應(yīng)用系統(tǒng)是否實(shí)行措施防止鑒別信息傳輸過程中被竊聽,具體措施是什么;d應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng),查看其是否供給身份標(biāo)識(shí)和鑒別功能;e應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng),查看其供給的登錄失敗處理功能,是否依據(jù)安全策略配置了相關(guān)參數(shù)。結(jié)果判定假設(shè).2d和e均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。訪問掌握測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談應(yīng)用系統(tǒng)治理員,詢問應(yīng)用系統(tǒng)是否供給訪問掌握措施,以及具體措施有哪些;b應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng),查看系統(tǒng)是否供給訪問掌握功能掌握用戶組/用戶對系據(jù)的訪問;c應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng),查看其是否具有由授權(quán)用戶設(shè)置其它用戶訪問系統(tǒng)功能和用戶數(shù)據(jù)的權(quán)限的功能,是否限制默認(rèn)用戶的訪問權(quán)限;d應(yīng)測試關(guān)鍵應(yīng)用系統(tǒng),可通過以不同權(quán)限的用戶登錄系統(tǒng),查看其擁有的權(quán)限是否與系統(tǒng)賜予的權(quán)限全都,驗(yàn)證應(yīng)用系統(tǒng)訪問掌握功能是否有效。結(jié)果判定假設(shè).2b-d均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。通信完整性測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全治理員,詢問應(yīng)用系統(tǒng)是否具有在數(shù)據(jù)傳輸過程中保護(hù)其完整性的措施,具體措施是什么;b應(yīng)檢查設(shè)計(jì)或驗(yàn)收文檔,查看其是否有關(guān)于保護(hù)通信完整性的說明。結(jié)果判定假設(shè).2b為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。軟件容錯(cuò)測評指標(biāo)見GB/T22239-2008。測評實(shí)施本項(xiàng)要求包括:a應(yīng)訪談應(yīng)用系統(tǒng)治理員,詢問應(yīng)用系統(tǒng)是否具有保證軟件容錯(cuò)力量的措施,具體措施有哪些;,查看應(yīng)用系統(tǒng)是否具有對人機(jī)接口輸入或通信接口輸入的數(shù)據(jù)進(jìn)展有效性檢驗(yàn)的功能;c應(yīng)測試關(guān)鍵應(yīng)用系統(tǒng),可通過對人機(jī)接口輸入的不同長度或格式的數(shù)據(jù),查看系統(tǒng)的反響,驗(yàn)證系統(tǒng)人機(jī)接口有效性檢驗(yàn)功能是否正確。結(jié)果判定假設(shè).2b和c均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)完整性測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全治理員,詢問關(guān)鍵應(yīng)用系統(tǒng)用戶數(shù)據(jù)在傳輸過程中是否有完整性保證措施,具體措施有哪些;b應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng),查看其是否配備檢測重要用戶數(shù)據(jù)在傳輸過程中完整性受到破壞的功能。結(jié)果判定假設(shè).2b為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。備份和恢復(fù)測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談網(wǎng)絡(luò)治理員,詢問是否對網(wǎng)絡(luò)設(shè)備中的配置文件進(jìn)展備份,備份策略是什么;當(dāng)其受到破壞時(shí),恢復(fù)策略是什么;b應(yīng)訪談系統(tǒng)治理員,詢問是否對操作系統(tǒng)中的重要信息進(jìn)展備份,備份策略是什么;當(dāng)其受到破壞時(shí),恢復(fù)策略是什么;c應(yīng)訪談數(shù)據(jù)庫治理員,詢問是否對數(shù)據(jù)庫治理系統(tǒng)中的關(guān)鍵數(shù)據(jù)進(jìn)展備份,備份策略是什么;當(dāng)其受到破壞時(shí),恢復(fù)策略是什么;d應(yīng)訪談安全治理員,詢問是否對應(yīng)用系統(tǒng)中的應(yīng)用程序進(jìn)展備份,備份策略是什么;當(dāng)其受到破壞時(shí),恢復(fù)策略是什么;e應(yīng)檢查關(guān)鍵主機(jī)操作系統(tǒng)、關(guān)鍵網(wǎng)絡(luò)設(shè)備、關(guān)鍵數(shù)據(jù)庫治理系統(tǒng)和關(guān)鍵應(yīng)用系統(tǒng),查看其是否供給備份和恢復(fù)功能,備份和恢復(fù)功能的配置是否正確,并且查看實(shí)際備份結(jié)果是否與備份策略全都。結(jié)果判定假設(shè).2e為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。安全治理測評安全治理制度治理制度測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)檢查各項(xiàng)安全治理制度,查看是否掩蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、建設(shè)和治理等層面。結(jié)果判定假設(shè).2a為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。制定和公布測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全主管,詢問是否有專人負(fù)責(zé)制定安全治理制度;b應(yīng)訪談安全治理制度制、修訂人員,詢問安全治理制度的公布方式,是否能夠公布到相關(guān)人員手中。結(jié)果判定假設(shè).2a和b均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。安全治理機(jī)構(gòu)崗位設(shè)置測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全主管,詢問信息系統(tǒng)設(shè)置了哪些工作崗位,各個(gè)崗位的職責(zé)分工是否明確;,查看其定義的崗位職責(zé)中是否包括系統(tǒng)治理員、網(wǎng)絡(luò)治理員、安全治理員等重要崗位的職責(zé)。結(jié)果判定假設(shè).2a和b均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。人員配備測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全主管,詢問各個(gè)安全治理崗位的人員配備狀況;,查看其是否明確機(jī)房治理員、系統(tǒng)治理員、網(wǎng)絡(luò)治理員和安全治理員等重要崗位人員的信息。結(jié)果判定假設(shè).2a和b均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。授權(quán)和審批測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全主管,詢問其是否需要對信息系統(tǒng)中的關(guān)鍵活動(dòng)進(jìn)展審批,審批部門是何部門,批準(zhǔn)人是何人,他們的審批活動(dòng)是否得到授權(quán);b應(yīng)訪談安全主管,詢問其對關(guān)鍵活動(dòng)的審批范圍。結(jié)果判定假設(shè).2a和b均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。溝通和合作測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全主管,詢問是否常常與公安機(jī)關(guān)、電信公司和兄弟單位聯(lián)系,聯(lián)系和合作方式有哪些;,查看外聯(lián)單位是否包含公安機(jī)關(guān)、電信公司及兄弟單位,是否說明外聯(lián)單位的聯(lián)系人和聯(lián)系方式等內(nèi)容。結(jié)果判定假設(shè).2a和b均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。人員安全治理人員錄用測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全主管,詢問是否有特地的部門或人員負(fù)責(zé)人員的錄用工作,由何部門/何人負(fù)責(zé);b應(yīng)訪談人事治理相關(guān)人員,詢問在人員錄用時(shí)對人員條件有哪些要求,是否對被錄用人的身份和專業(yè)資格進(jìn)展審查;,查看是否說明錄用人員應(yīng)具備的條件(如學(xué)歷、學(xué)位要求,技術(shù)人員應(yīng)具備的專業(yè)技術(shù)水平,治理人員應(yīng)具備的安全治理學(xué)問等;或記錄,查看是否記錄審查內(nèi)容和審查結(jié)果等。結(jié)果判定.2a-d均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。人員離崗測評指標(biāo)GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全主管,詢問是否準(zhǔn)時(shí)終止離崗人員的全部訪問權(quán)限,取回各種身份證件、鑰匙、徽章以及機(jī)構(gòu)供給的軟硬件設(shè)備等;(如交還身份證件、設(shè)備等的登記記錄。結(jié)果判定假設(shè).2a和b均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。安全意識(shí)教育和培訓(xùn)測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全主管,詢問是否對各個(gè)崗位人員進(jìn)展安全教育和崗位技能培訓(xùn),告知相關(guān)的安全知識(shí)、安全責(zé)任和懲戒措施,具體的培訓(xùn)方式有哪些;,考察其對工作相關(guān)的信息安全根底學(xué)問、安全責(zé)任和懲戒措施等的理解程度。結(jié)果判定假設(shè).2a和b均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。外部人員訪問治理測評指標(biāo)見GB/T22239-2008。測評實(shí)施本項(xiàng)要求包括:詢問對外部人員訪問重要區(qū)域(如訪問機(jī)房、重要效勞器或設(shè)備區(qū)等采取了哪些安全措施,是否經(jīng)有關(guān)部門或負(fù)責(zé)人批準(zhǔn)才能訪問;,查看是否有對外部人員訪問機(jī)房等重要區(qū)域應(yīng)經(jīng)過相關(guān)部門或負(fù)責(zé)人批準(zhǔn)的內(nèi)容。結(jié)果判定.2ab均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。系統(tǒng)建設(shè)治理系統(tǒng)定級測評指標(biāo)GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全主管,詢問確定信息系統(tǒng)安全保護(hù)等級的方法是否參照定級指南的指導(dǎo),定級過程是否有書面描述;定級結(jié)果是否獲得了相關(guān)部門的批準(zhǔn);,查看文檔是否明確信息系統(tǒng)的邊界和信息系統(tǒng)的安全保護(hù)等級,是否說明定級的方法和理由,查看定級結(jié)果是否有相關(guān)部門的批準(zhǔn)蓋章。本項(xiàng)要求包括:a.2a沒有上級主管部門的,假設(shè)有本單位信息安全主管領(lǐng)導(dǎo)的批準(zhǔn),則該項(xiàng)為確定;b假設(shè).2a和b均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。安全方案設(shè)計(jì)測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問是否依據(jù)系統(tǒng)的安全級別選擇根本安全措施,是否依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施,具體做過哪些調(diào)整;b應(yīng)檢查系統(tǒng)的安全方案,查看方案是否描述系統(tǒng)的安全保護(hù)要求,是否具體描述了系統(tǒng)的安全策略,是否具體描述了系統(tǒng)實(shí)行的安全措施等內(nèi)容;c應(yīng)檢查系統(tǒng)的具體設(shè)計(jì)方案,查看具體設(shè)計(jì)方案是否對應(yīng)安全方案進(jìn)展細(xì)化,是否有安全建設(shè)方案和安全產(chǎn)品選購方案。結(jié)果判定如.2a-c均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。產(chǎn)品選購和使用測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問信息安全產(chǎn)品的選購狀況,是否有產(chǎn)品選購清單指導(dǎo)產(chǎn)品選購,選購過程如何掌握;,詢問系統(tǒng)使用的有關(guān)信息安全產(chǎn)品是否符合國家的有關(guān)規(guī)定。結(jié)果判定假設(shè).2a和b均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。自行軟件開發(fā)測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問是否進(jìn)展自主開發(fā)軟件,自主開發(fā)軟件是否在獨(dú)立的模擬環(huán)境中編寫、調(diào)試和完成;b應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問軟件設(shè)計(jì)相關(guān)文檔是否由專人負(fù)責(zé)保管,負(fù)責(zé)人是何人;c應(yīng)檢查是否具有軟件設(shè)計(jì)相關(guān)文檔。結(jié)果判定假設(shè).2a-c均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。外包軟件開發(fā)測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問軟件交付前是否依據(jù)開發(fā)要求的技術(shù)指標(biāo)對軟件功能和性能等進(jìn)行驗(yàn)收測試,軟件安裝之前是否檢測軟件中的惡意代碼;b應(yīng)檢查是否具有需求分析說明書、軟件設(shè)計(jì)說明書、軟件操作手冊等軟件開發(fā)文檔和使用指南。結(jié)果判定假設(shè).2a和b均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。5.2.4.測評指標(biāo)見GB/T22239-2008。5.2.4.測評實(shí)施應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問是否指定特地部門或人員對工程實(shí)施過程進(jìn)展進(jìn)度和質(zhì)量掌握,由何部門/何人負(fù)責(zé)。5.2.4.結(jié)果判定假設(shè).2為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。測試驗(yàn)收測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問在信息系統(tǒng)建設(shè)完成后是否對其進(jìn)展安全性測試驗(yàn)收;,查看其是否明確說明參與測試的部門、人員、測試驗(yàn)收內(nèi)容、現(xiàn)場操作過程等內(nèi)容;驗(yàn)收結(jié)果等方面內(nèi)容;d應(yīng)檢查是否具有系統(tǒng)測試驗(yàn)收報(bào)告。結(jié)果判定假設(shè).2a-d均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。系統(tǒng)交付測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問系統(tǒng)交接工作是否依據(jù)交付清單對所交接的設(shè)進(jìn)展清點(diǎn);b應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問目前的信息系統(tǒng)是否由內(nèi)部人員獨(dú)立運(yùn)行維護(hù),假設(shè)是,系統(tǒng)正式運(yùn)行前是否對運(yùn)行維護(hù)人員進(jìn)展過培訓(xùn),針對哪些方面進(jìn)展過培訓(xùn);c應(yīng)檢查是否具有系統(tǒng)交付清單說明系統(tǒng)交付的各類設(shè)備、軟件、文檔等;d應(yīng)檢查是否具有系統(tǒng)建設(shè)文檔、指導(dǎo)用戶進(jìn)展系統(tǒng)運(yùn)維的文檔、系統(tǒng)培訓(xùn)手冊等。結(jié)果判定假設(shè).2a-d均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。安全效勞商選擇測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問信息系統(tǒng)選擇的安全效勞商有哪些,是否符合國家有關(guān)規(guī)定;b應(yīng)檢查是否具有與安全效勞商簽訂的安全責(zé)任合同書或保密協(xié)議等文檔,查看其內(nèi)容是否包含保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等。結(jié)果判定假設(shè).2a和b均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。系統(tǒng)運(yùn)維治理環(huán)境治理測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人,詢問是否有特地的部門或人員對機(jī)房根底設(shè)施進(jìn)展定期維護(hù),由何部門/何人負(fù)責(zé),維護(hù)周期多長;b應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人,詢問對機(jī)房的出入、效勞器開機(jī)/關(guān)機(jī)如何進(jìn)展治理;c應(yīng)檢查機(jī)房安全治理制度,查看其內(nèi)容是否掩蓋機(jī)房物理訪問、物品帶進(jìn)/帶出機(jī)房和機(jī)房環(huán)境安全等方面。結(jié)果判定假設(shè).2a-c均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。資產(chǎn)治理測評指標(biāo)見GB/T22239-2008。測評實(shí)施應(yīng)檢查資產(chǎn)清單,查看其內(nèi)容是否掩蓋資產(chǎn)責(zé)任部門、責(zé)任人、所處位置和重要程度等方面;結(jié)果判定假設(shè).2為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。介質(zhì)治理測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談資產(chǎn)治理員,詢問介質(zhì)的存放環(huán)境是否實(shí)行保護(hù)措施防止介質(zhì)被盜、被毀、介質(zhì)內(nèi)存儲(chǔ)信息被未授權(quán)修改以及非法泄漏等;檢查;c應(yīng)檢查介質(zhì)治理記錄,查看其是否記錄介質(zhì)歸檔和查詢等狀況。本項(xiàng)要求包括:a.2a中在防火、防水、防盜等方面均有措施,則為確定;a-c均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。設(shè)備治理測評指標(biāo)GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談資產(chǎn)治理員,詢問是否有特地的部門或人員對各種設(shè)備、線路進(jìn)展定期維護(hù),對各類測試工具進(jìn)展有效性檢查,由何部門/何人負(fù)責(zé),維護(hù)周期多長;(選型、選購、發(fā)放和領(lǐng)用等進(jìn)展審批掌握;c應(yīng)檢查設(shè)備安全治理制度,查看其內(nèi)容是否明確對各種軟硬件設(shè)備的選型、選購、發(fā)放和領(lǐng)用等環(huán)節(jié)進(jìn)展申報(bào)和審批。結(jié)果判定假設(shè).2a-c均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。網(wǎng)絡(luò)安全治理測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全主管,詢問是否指定人員負(fù)責(zé)維護(hù)網(wǎng)絡(luò)運(yùn)行日志、監(jiān)控記錄和分析處理報(bào)警信息等網(wǎng)絡(luò)安全治理工作;b應(yīng)訪談安全治理員,詢問是否認(rèn)期對網(wǎng)絡(luò)設(shè)備進(jìn)展漏洞掃描,掃描周期多長,覺察漏洞是否及時(shí)修補(bǔ);c應(yīng)檢查網(wǎng)絡(luò)漏洞掃描報(bào)告,檢查掃描時(shí)間間隔與掃描周期是否全都。結(jié)果判定假設(shè).2a-c均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。5.2.5.測評指標(biāo)見GB/T22239-2008。5.2.5.測評實(shí)施本項(xiàng)要求包括:a應(yīng)訪談系統(tǒng)治理員,詢問是否依據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析制定系統(tǒng)的訪問控制策略,掌握分配信息系統(tǒng)、文件及效勞的訪問權(quán)限;是否準(zhǔn)時(shí)安裝最安全補(bǔ)丁程序和進(jìn)展漏洞修補(bǔ),在安裝系統(tǒng)補(bǔ)丁前是否對重要文件進(jìn)展備份;b應(yīng)訪談安全治理員,詢問是否認(rèn)期對系統(tǒng)進(jìn)展漏洞掃描,掃描周期多長,覺察漏洞是否準(zhǔn)時(shí)修補(bǔ);c應(yīng)檢查系統(tǒng)漏洞掃描報(bào)告,檢查掃描時(shí)間間隔與掃描周期是否全都。5.2.5.結(jié)果判定假設(shè).2a-c均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。惡意代碼防范治理測評指標(biāo)見GB/T22239-2008。測評實(shí)施應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人,詢問是否對員工進(jìn)展根本惡意代碼防范意識(shí)的教育,是否告知應(yīng)準(zhǔn)時(shí)升級軟件版本,使用外來設(shè)備、網(wǎng)絡(luò)上接收文件和外來計(jì)算機(jī)或存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前應(yīng)進(jìn)展病毒檢查等。結(jié)果判定假設(shè).2為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。備份與恢復(fù)治理測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談系統(tǒng)治理員和數(shù)據(jù)庫治理員,詢問是否識(shí)別出需要定期備份的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)和軟件系統(tǒng),主要有哪些;b應(yīng)檢查備份治理文檔,查看其是否明確備份方式、備份頻度、存儲(chǔ)介質(zhì)和保存期等方面內(nèi)容。結(jié)果判定假設(shè).2a和b為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。安全大事處置測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人,詢問是否告知用戶在覺察安全弱點(diǎn)和可疑大事時(shí)應(yīng)及時(shí)報(bào)告;b應(yīng)檢查安全大事報(bào)告和處置治理制度,查看其是否明確安全大事的現(xiàn)場處理、大事報(bào)告和后期恢復(fù)的治理職責(zé)。結(jié)果判定假設(shè).2a和b為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。其次級信息系統(tǒng)單元測評安全技術(shù)測評物理安全物理位置的選擇測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談物理安全負(fù)責(zé)人,詢問現(xiàn)有機(jī)房和放置終端計(jì)算機(jī)設(shè)備的辦公場地的環(huán)境條件是否能夠滿足信息系統(tǒng)業(yè)務(wù)需求和安全治理需求,是否具有根本的防震、防風(fēng)和防雨等力量;b應(yīng)檢查機(jī)房和辦公場地是否在具有防震、防風(fēng)和防雨等力量的建筑內(nèi)。結(jié)果判定假設(shè).2b為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。物理訪問掌握測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談物理安全負(fù)責(zé)人,了解部署了哪些掌握人員進(jìn)出機(jī)房的保護(hù)措施;b應(yīng)檢查機(jī)房安全治理制度,查看是否有關(guān)于機(jī)房出入方面的規(guī)定;c應(yīng)檢查機(jī)房出入口是否有專人值守,是否有值守記錄及人員進(jìn)入機(jī)房的登記記錄;檢查機(jī)房是否不存在專人值守之外的其他出入口;d應(yīng)檢查是否有來訪人員進(jìn)入機(jī)房的審批記錄,查看審批記錄是否包括來訪人員的訪問范圍。結(jié)果判定假設(shè).2b-d均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。防盜竊和防破環(huán)測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談物理安全負(fù)責(zé)人,了解實(shí)行了哪些防止設(shè)備、介質(zhì)等喪失的保護(hù)措施;b應(yīng)訪談機(jī)房維護(hù)人員,詢問關(guān)鍵設(shè)備放置位置是否做到安全可控,設(shè)備或主要部件是否進(jìn)展了固定和標(biāo)記,通信線纜是否鋪設(shè)在隱蔽處;是否對機(jī)房安裝的防盜報(bào)警設(shè)施并定期進(jìn)展維護(hù)檢查;c應(yīng)訪談資產(chǎn)治理員,介質(zhì)是否進(jìn)展了分類標(biāo)識(shí)治理,介質(zhì)是否存放在介質(zhì)庫或檔案室內(nèi)進(jìn)展治理;;檢查關(guān)鍵設(shè)備或設(shè),查看其是否不易被移動(dòng)或被搬走,是否設(shè)置明顯的不易除去的標(biāo)記;e應(yīng)檢查通信線纜鋪設(shè)是否在隱蔽處;f應(yīng)檢查機(jī)房防盜報(bào)警設(shè)施是否正常運(yùn)行,并查看是否有運(yùn)行和報(bào)警記錄;,是否存放在介質(zhì)庫或檔案室內(nèi)。結(jié)果判定d-g均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。防雷擊測評指標(biāo)GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談物理安全負(fù)責(zé)人,詢問為防止雷擊大事導(dǎo)致重要設(shè)備被破壞實(shí)行了哪些,機(jī)房建筑是否設(shè)置了避雷裝置,是否通過驗(yàn)收或國家有關(guān)部門的技術(shù)檢測;詢問機(jī)房計(jì)算機(jī)供電系統(tǒng)是否有溝通電源地線;b應(yīng)檢查機(jī)房建筑是否有避雷裝置,是否有溝通地線;結(jié)果判定假設(shè).2b為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。防火測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談物理安全負(fù)責(zé)人,詢問機(jī)房是否設(shè)置了滅火設(shè)備,是否設(shè)置了火災(zāi)自動(dòng)報(bào)警系統(tǒng),是否有人負(fù)責(zé)維護(hù)該系統(tǒng)的運(yùn)行,是否制定了有關(guān)機(jī)房消防的治理制度和消防預(yù)案,是否進(jìn)展了消防培訓(xùn);b應(yīng)訪談機(jī)房維護(hù)人員,詢問是否對火災(zāi)自動(dòng)報(bào)警系統(tǒng)定期進(jìn)展檢查和維護(hù);c應(yīng)檢查機(jī)房是否設(shè)置了滅火設(shè)備,滅火設(shè)備擺放位置是否合理,其有效期是否合格;應(yīng)檢查機(jī)房火災(zāi)自動(dòng)報(bào)警系統(tǒng)是否正常工作,查看是否有運(yùn)行記錄、報(bào)警記錄、定期檢查和修理記錄。結(jié)果判定假設(shè).2a-c均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。防水和防潮測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談物理安全負(fù)責(zé)人,詢問機(jī)房是否部署了防水防潮措施;假設(shè)機(jī)房內(nèi)有上/下水管安裝,是否避開穿過屋頂和活動(dòng)地板下,穿過墻壁和樓板的水管是否實(shí)行了牢靠的保護(hù)措施;在濕度較高的地區(qū)或季節(jié)是否有人負(fù)責(zé)機(jī)房防水防潮事宜,配備除濕裝置;b應(yīng)訪談機(jī)房維護(hù)人員,詢問機(jī)房是否沒有消滅過漏水和返潮大事;假設(shè)機(jī)房內(nèi)有上/下水管安裝,是否常常檢查其漏水狀況;在濕度較高地區(qū)或季節(jié)是否有人負(fù)責(zé)機(jī)房防水防潮事宜,使用除濕裝置除濕;假設(shè)消滅機(jī)房水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透現(xiàn)象是否準(zhǔn)時(shí)實(shí)行防范措施;c應(yīng)檢查穿過主機(jī)房墻壁或樓板的管道是否配置套管,管道與套管之間是否實(shí)行牢靠的密封措施;d應(yīng)檢查機(jī)房的窗戶、屋頂和墻壁等是否未消滅過漏水、滲透和返潮現(xiàn)象,機(jī)房及其環(huán)境是否不存在明顯的漏水和返潮的威逼;假設(shè)消滅漏水、滲透和返潮現(xiàn)象,則查看是否能夠準(zhǔn)時(shí)修復(fù)解決;e對濕度較高的地區(qū),應(yīng)檢查機(jī)房是否有濕度記錄,是否有除濕裝置并能夠正常運(yùn)行,是否有防止消滅機(jī)房地下積水的轉(zhuǎn)移與滲透的措施,是否有防水防潮處理記錄。結(jié)果判定假設(shè).2c-e均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。6.1.1.測評指標(biāo)見GB/T22239-2008。6.1.1.測評實(shí)施本項(xiàng)要求包括:a應(yīng)訪談物理安全負(fù)責(zé)人,詢問關(guān)鍵設(shè)備是否實(shí)行用必要的防靜電措施,機(jī)房是否不存在靜電問題或因靜電引發(fā)的安全大事;,查看機(jī)房是否不存在明顯的靜電現(xiàn)象。6.1.1.結(jié)果判定假設(shè).2b為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。溫濕度掌握測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談物理安全負(fù)責(zé)人,詢問機(jī)房是否配備了溫濕度自動(dòng)調(diào)整設(shè)施,保證溫濕度能夠滿足計(jì)算機(jī)設(shè)備運(yùn)行的要求,是否在機(jī)房治理制度中規(guī)定了溫濕度掌握的要求,是否有人負(fù)責(zé)此項(xiàng)工作,是否認(rèn)期檢查和維護(hù)機(jī)房的溫濕度自動(dòng)調(diào)整設(shè)施,詢問是否沒有消滅過溫濕度影響系統(tǒng)運(yùn)行的大事;,查看是否有溫濕度記錄、運(yùn)行記錄和維護(hù)記錄;查看機(jī)房溫濕度是否滿足計(jì)算站場地的技術(shù)條件要求。結(jié)果判定假設(shè).2b為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。電力供給測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談物理安全負(fù)責(zé)人,詢問計(jì)算機(jī)系統(tǒng)供電線路上是否設(shè)置了穩(wěn)壓器和過電壓防護(hù)設(shè)備;是否設(shè)置了短期備用電源設(shè)備,供電時(shí)間是否滿足系統(tǒng)關(guān)鍵設(shè)備最低電力供給需求;,查看計(jì)算機(jī)系統(tǒng)供電線路上的穩(wěn)壓器、過電壓防護(hù)設(shè)備和短期備用電源設(shè)備是否正常運(yùn)行;護(hù)記錄。結(jié)果判定假設(shè).2b和c均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。電磁防護(hù)測評指標(biāo)見GB/T22239-20080。本項(xiàng)要求包括:a應(yīng)訪談物理安全負(fù)責(zé)人,詢問電源線和通信線纜是否隔離鋪設(shè),是否沒有消滅過因電磁干擾等問題引發(fā)的故障;b應(yīng)檢查機(jī)房布線,查看是否做到電源線和通信線纜隔離。結(jié)果判定假設(shè)0.2b為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。網(wǎng)絡(luò)安全構(gòu)造安全測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談網(wǎng)絡(luò)治理員,詢問關(guān)鍵網(wǎng)絡(luò)設(shè)備的性能以及目前業(yè)務(wù)頂峰流量狀況;b應(yīng)訪談網(wǎng)絡(luò)治理員,詢問網(wǎng)段劃分狀況以及劃分原則;詢問重要的網(wǎng)段有哪些;c應(yīng)訪談網(wǎng)絡(luò)治理員,詢問網(wǎng)絡(luò)中帶寬掌握狀況以及帶寬安排的原則;d應(yīng)檢查網(wǎng)絡(luò)拓?fù)錁?gòu)造圖,查看其與當(dāng)前運(yùn)行的實(shí)際網(wǎng)絡(luò)系統(tǒng)是否全都;e應(yīng)檢查網(wǎng)絡(luò)設(shè)計(jì)或驗(yàn)收文檔,查看是否有關(guān)鍵網(wǎng)絡(luò)設(shè)備業(yè)務(wù)處理力量、接入網(wǎng)絡(luò)及核心網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)頂峰期需要的設(shè)計(jì)或說明;f應(yīng)檢查網(wǎng)絡(luò)設(shè)計(jì)或驗(yàn)收文檔,查看是否有依據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素,劃分不同的子網(wǎng)或網(wǎng)段,并依據(jù)便利治理和掌握的原則為各子網(wǎng)和網(wǎng)段安排地址段的設(shè)計(jì)或描述。本項(xiàng)要求包括:a假設(shè).2d-f缺少相應(yīng)文檔資料,則為否認(rèn);b假設(shè).2d-f均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。訪問掌握測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全治理員,詢問網(wǎng)絡(luò)訪問掌握措施有哪些;詢問訪問掌握策略的設(shè)計(jì)原則是什么;詢問網(wǎng)絡(luò)訪問掌握設(shè)備具備哪些訪問掌握功能;詢問是否允許撥號訪問網(wǎng)絡(luò);b應(yīng)檢查邊界網(wǎng)絡(luò)設(shè)備,查看其是否依據(jù)會(huì)話狀態(tài)信息對數(shù)據(jù)流進(jìn)展掌握,掌握粒度是否為網(wǎng)段級;c應(yīng)檢查邊界網(wǎng)絡(luò)設(shè)備,查看其是否限制具有撥號訪問權(quán)限的用戶數(shù)量;d應(yīng)測試邊界網(wǎng)絡(luò)設(shè)備,可通過試圖訪問未授權(quán)的資源,驗(yàn)證訪問掌握措施是否能對未授權(quán)的訪問行為進(jìn)展掌握,掌握粒度是否至少為單個(gè)用戶。結(jié)果判定假設(shè).2b-d均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。安全審計(jì)測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全審計(jì)員,詢問邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備是否開啟審計(jì)功能,審計(jì)內(nèi)容包括哪些項(xiàng);詢問審計(jì)記錄的主要內(nèi)容有哪些;b應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備,查看其審計(jì)策略是否包括網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等;c應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備,查看其大事審計(jì)記錄是否包括:大事的日期和時(shí)間、用戶、大事類型、大事成功狀況及其他與審計(jì)相關(guān)的信息。結(jié)果判定假設(shè).2b和c均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。邊界完整性檢查測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全治理員,詢問是否對內(nèi)部用戶私自連接到外部網(wǎng)絡(luò)的行為;b應(yīng)檢查邊界完整性檢查設(shè)備,查看是否正確設(shè)置了對網(wǎng)絡(luò)內(nèi)部用戶私自連接到外部網(wǎng)絡(luò)的行為進(jìn)展有效監(jiān)控的配置;c應(yīng)測試邊界完整性檢查設(shè)備,驗(yàn)證其是否能夠有效覺察“非法外聯(lián)”的行為。結(jié)果判定假設(shè).2b和c均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。入侵防范測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全治理員,詢問網(wǎng)絡(luò)入侵防范措施有哪些;詢問是否有特地設(shè)備對網(wǎng)絡(luò)入侵進(jìn)展防范;b應(yīng)檢查網(wǎng)絡(luò)入侵防范設(shè)備,查看是否能檢測以下攻擊行為:端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕效勞攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、網(wǎng)絡(luò)蠕蟲攻擊等;c應(yīng)檢查網(wǎng)絡(luò)入侵防范設(shè)備,查看其規(guī)章庫是否為最;d應(yīng)測試網(wǎng)絡(luò)入侵防范設(shè)備,驗(yàn)證其檢測策略是否有效。結(jié)果判定假設(shè).2b-d均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。網(wǎng)絡(luò)設(shè)備防護(hù)測評指標(biāo)GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談網(wǎng)絡(luò)治理員,詢問邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備的防護(hù)措施有哪些;詢問邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備的;詢問遠(yuǎn)程治理的設(shè)備是否實(shí)行措施防止鑒別信息被竊聽;b應(yīng)訪談網(wǎng)絡(luò)治理員,詢問網(wǎng)絡(luò)設(shè)備的口令策略是什么;c應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備,查看是否配置了對登錄用戶進(jìn)展身份鑒別的功能,口令設(shè)置是否有簡單度和定期修改要求;d應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備,查看是否配置了鑒別失敗處理功能;,查看是否配置了對設(shè)備遠(yuǎn)程治理所產(chǎn)生的鑒別信息進(jìn)展保護(hù)的功能;f應(yīng)檢查邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備,查看是否對網(wǎng)絡(luò)設(shè)備治理員登錄地址進(jìn)展限制;,通過使用各種滲透測試技術(shù)對網(wǎng)絡(luò)設(shè)備進(jìn)展?jié)B透測試,驗(yàn)證網(wǎng)絡(luò)設(shè)備防護(hù)力量是否符合要求。結(jié)果判定假設(shè).2c-f均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。主機(jī)安全身份鑒別測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談系統(tǒng)治理員和數(shù)據(jù)庫治理員,詢問操作系統(tǒng)和數(shù)據(jù)庫治理系統(tǒng)的身份標(biāo)識(shí)與鑒別機(jī)制采取何種措施實(shí)現(xiàn);,詢問對操作系統(tǒng)和數(shù)據(jù)庫治理系統(tǒng)是否承受了遠(yuǎn)程管理,假設(shè)承受了遠(yuǎn)程治理,查看是否承受了防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽的措施;c應(yīng)檢查關(guān)鍵效勞器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫治理系統(tǒng)帳戶列表,查看治理員用戶名安排是否唯一;d應(yīng)檢查關(guān)鍵效勞器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫治理系統(tǒng),查看是否供給了身份鑒別措施,其身份鑒別信息是否具有不易被冒用的特點(diǎn),如對用戶登錄口令的最小長度、簡單度和更換周期進(jìn)展要求和限制;e應(yīng)檢查關(guān)鍵效勞器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫治理系統(tǒng),查看是否已配置了鑒別失敗處理功能,設(shè)置了非法登錄次數(shù)的限制值;查看是否設(shè)置登錄連接超時(shí)處理功能,如自動(dòng)退出。結(jié)果判定假設(shè).2b-e均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。訪問掌握測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)檢查關(guān)鍵效勞器操作系統(tǒng)的安全策略,查看是否對重要文件的訪問權(quán)限進(jìn)展了限制,對系統(tǒng)不需要的效勞、共享路徑等進(jìn)展了禁用或刪除;員擔(dān)當(dāng);c應(yīng)檢查關(guān)鍵效勞器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫治理系統(tǒng),查看匿名/默認(rèn)用戶的訪問權(quán)限是否已被禁用或者嚴(yán)格限制,是否刪除了系統(tǒng)中多余的、過期的以及共享的帳戶;d應(yīng)檢查關(guān)鍵效勞器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫治理系統(tǒng)的權(quán)限設(shè)置狀況,查看是否依據(jù)安全策略對用戶權(quán)限進(jìn)展了限制。結(jié)果判定假設(shè).2a-d均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。安全審計(jì)測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全審計(jì)員,詢問主機(jī)系統(tǒng)的安全審計(jì)策略是否包括系統(tǒng)內(nèi)重要用戶行為、系統(tǒng)資源的特別和重要系統(tǒng)命令的使用等重要的安全相關(guān)大事;,查看安全審計(jì)配置是否符合安全審計(jì)策略的要求;c應(yīng)檢查關(guān)鍵效勞器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫治理系統(tǒng),查看審計(jì)記錄信息是否包括大事發(fā)生的結(jié)果等內(nèi)容;d應(yīng)檢查關(guān)鍵效勞器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫治理系統(tǒng),查看是否對審計(jì)記錄實(shí)施了保護(hù)措施,使其避開受到未預(yù)期的刪除、修改或掩蓋等;結(jié)果判定假設(shè).2b-d均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。入侵防范測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談系統(tǒng)治理員,詢問操作系統(tǒng)中所安裝的系統(tǒng)組件和應(yīng)用程序是否都是必須的,詢問操作系統(tǒng)補(bǔ)丁更的方式和周期;b應(yīng)檢查關(guān)鍵效勞器操作系統(tǒng)中所安裝的系統(tǒng)組件和應(yīng)用程序是否都是必需的;c應(yīng)檢查是否設(shè)置了特地的升級效勞器實(shí)現(xiàn)對關(guān)鍵效勞器操作系統(tǒng)補(bǔ)丁的升級;d應(yīng)檢查關(guān)鍵效勞器操作系統(tǒng)和關(guān)鍵數(shù)據(jù)庫治理系統(tǒng)的補(bǔ)丁是否得到了準(zhǔn)時(shí)安裝。結(jié)果判定假設(shè).2b-d均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。惡意代碼防范測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談系統(tǒng)安全治理員,詢問主機(jī)系統(tǒng)是否實(shí)行惡意代碼實(shí)時(shí)檢測與查殺措施,惡意代碼實(shí)時(shí)檢測與查殺措施的部署掩蓋范圍如何;,查看是否安裝了實(shí)時(shí)檢測與查殺惡意代碼的軟件產(chǎn)品并進(jìn)展準(zhǔn)時(shí)更;c應(yīng)檢查防惡意代碼產(chǎn)品是否實(shí)現(xiàn)了統(tǒng)一治理。結(jié)果判定假設(shè).2b-c均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。資源掌握測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)檢查關(guān)鍵效勞器操作系統(tǒng),查看是否設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄;b應(yīng)檢查關(guān)鍵效勞器操作系統(tǒng),查看是否設(shè)置了單個(gè)用戶對系統(tǒng)資源的最大或最小使用限度;c應(yīng)檢查能夠訪問關(guān)鍵效勞器的終端是否設(shè)置了操作超時(shí)鎖定的配置。結(jié)果判定假設(shè).2a-c均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。應(yīng)用安全身份鑒別測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談應(yīng)用系統(tǒng)治理員,詢問應(yīng)用系統(tǒng)是否供給專用的登錄掌握模塊對登錄的用戶進(jìn)展身份標(biāo)識(shí)和鑒別,具體措施有哪些;系統(tǒng)實(shí)行何種措施防止身份鑒別信息被冒用;b應(yīng)訪談應(yīng)用系統(tǒng)治理員,詢問應(yīng)用系統(tǒng)是否具有登錄失敗處理功能;c應(yīng)訪談應(yīng)用系統(tǒng)治理員,詢問應(yīng)用系統(tǒng)對用戶標(biāo)識(shí)是否具有唯一性;d應(yīng)檢查設(shè)計(jì)或驗(yàn)收文檔,查看其是否有系統(tǒng)承受了保證唯一標(biāo)識(shí)的措施的描述;e應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng),查看其是否供給身份標(biāo)識(shí)和鑒別功能;查看其身份鑒別信息是否具有;其鑒別信息簡單度檢查功能是否能保證系統(tǒng)中不存在弱口令等;,是否依據(jù)安全策略配置了相關(guān)參數(shù);,查看是否成功,驗(yàn)證其身份標(biāo)識(shí)和鑒別功能是否有效;h應(yīng)測試關(guān)鍵應(yīng)用系統(tǒng),驗(yàn)證其登錄失敗處理功能是否有效。本項(xiàng)要求包括:a.2d中相關(guān)文檔有系統(tǒng)承受了保證用戶唯一性標(biāo)識(shí)的措施的描述,;b.2d-h均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。訪問掌握測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談應(yīng)用系統(tǒng)治理員,詢問應(yīng)用系統(tǒng)是否供給訪問掌握措施,以及具體措施和訪問掌握策略有哪些,訪問掌握的粒度如何;b應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng),查看系統(tǒng)是否供給訪問掌握機(jī)制;是否依據(jù)安全策略掌握用戶對客體的訪問;c應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng),查看其訪問掌握的掩蓋范圍是否包括與信息安全直接相關(guān)的主體、客體及它們之間的操作;訪問掌握的粒度是否到達(dá)主體為用戶級,客體為文件、數(shù)據(jù)庫表級;d應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng),查看其是否有由授權(quán)用戶設(shè)置其它用戶訪問系統(tǒng)功能和用戶數(shù)據(jù)的權(quán)限的功能,是否限制默認(rèn)用戶的訪問權(quán)限;e應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng),查看系統(tǒng)是否授予不同帳戶為完成各自擔(dān)當(dāng)任務(wù)所需的最小權(quán)限,特權(quán)用戶的權(quán)限是否分別,權(quán)限之間是否相互制約;f應(yīng)測試關(guān)鍵應(yīng)用系統(tǒng),可通過以不同權(quán)限的用戶登錄系統(tǒng),查看其擁有的權(quán)限是否與系統(tǒng)賜予的權(quán)限全都,驗(yàn)證應(yīng)用系統(tǒng)訪問掌握功能是否有效;,并進(jìn)展一些合法和非法操作,驗(yàn)證系統(tǒng)是否嚴(yán)格限制了默認(rèn)帳戶的訪問權(quán)限。結(jié)果判定b-g均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。安全審計(jì)測評指標(biāo)GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全審計(jì)員,詢問應(yīng)用系統(tǒng)是否有安全審計(jì)功能;對大事進(jìn)展審計(jì)的選擇要求和策略是什么;對審計(jì)日志的處理方式有哪些;b應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng),查看其當(dāng)前審計(jì)范圍是否掩蓋到每個(gè)用戶;c應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng),查看其審計(jì)策略是否掩蓋系統(tǒng)內(nèi)重要的安全相關(guān)大事,例如,用戶標(biāo)重要系統(tǒng)命令的使用等;查看其審計(jì)記錄信息是否包括大事發(fā)生的日期與時(shí)間、觸發(fā)大事的主的結(jié)果等內(nèi)容;,在應(yīng)用系統(tǒng)上試圖產(chǎn)生一些重要的安全相關(guān)大事(如用戶登錄、修改,查看應(yīng)用系統(tǒng)是否對其進(jìn)展了審計(jì),驗(yàn)證應(yīng)用系統(tǒng)安全審計(jì)的掩蓋狀況是否覆;假設(shè)進(jìn)展了審計(jì)則查看審計(jì)記錄內(nèi)容是否包含大事的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等;,驗(yàn)證安全審計(jì)的保護(hù)狀況是否無法非授權(quán)刪除、修改或掩蓋審計(jì)記錄。結(jié)果判定.2b-f均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合通信完整性測評指標(biāo)GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全治理員,詢問應(yīng)用系統(tǒng)是否具有在數(shù)據(jù)傳輸過程中保護(hù)其完整性的措施,具體措施是什么;b應(yīng)檢查設(shè)計(jì)或驗(yàn)收文檔,查看其是否有關(guān)于保護(hù)通信完整性的說明,假設(shè)有則查看文檔中描述的保護(hù)措施是否與依據(jù)驗(yàn)證碼推斷對方數(shù)據(jù)包的有效性的措施相全都;c應(yīng)測試關(guān)鍵應(yīng)用系統(tǒng),可通過獵取通信雙方的數(shù)據(jù)包,查看其是否有驗(yàn)證碼。結(jié)果判定假設(shè).2b和c均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。通信保密性測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全治理員,詢問應(yīng)用系統(tǒng)數(shù)據(jù)在通信過程中是否實(shí)行保密措施,具體措施有哪些,關(guān)鍵應(yīng)用系統(tǒng)的通信是否都實(shí)行了上述措施;b應(yīng)測試關(guān)鍵應(yīng)用系統(tǒng),通過查看通信雙方數(shù)據(jù)包的內(nèi)容,查看系統(tǒng)是否能在通信雙方建立連接之前,利用密碼技術(shù)進(jìn)展會(huì)話初始化驗(yàn)證;系統(tǒng)在通信過程中,對敏感信息字段進(jìn)展加密的功能是否有效。結(jié)果判定假設(shè).2b為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。軟件容錯(cuò)測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談應(yīng)用系統(tǒng)治理員,詢問應(yīng)用系統(tǒng)是否具有保證軟件容錯(cuò)力量的措施,具體措施有哪些;,查看應(yīng)用系統(tǒng)是否對人機(jī)接口輸入或通信接口輸入的數(shù)據(jù)進(jìn)展有效性檢驗(yàn);c應(yīng)測試關(guān)鍵應(yīng)用系統(tǒng),可通過對人機(jī)接口輸入的不同長度或格式的數(shù)據(jù),查看系統(tǒng)的反響,驗(yàn)證系統(tǒng)人機(jī)接口有效性檢驗(yàn)功能是否正確;d應(yīng)測試關(guān)鍵應(yīng)用系統(tǒng),驗(yàn)證其在故障發(fā)生時(shí)是否連續(xù)供給一局部功能,確保能夠?qū)嵤┍匾拇胧?。結(jié)果判定假設(shè).2b-d均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。.1.4.測評實(shí)施本項(xiàng)要求包括:a應(yīng)訪談應(yīng)用系統(tǒng)治理員,詢問應(yīng)用系統(tǒng)是否有資源掌握的措施,具體措施有哪些;b應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng),查看系統(tǒng)是否有最大并發(fā)會(huì)話連接數(shù)的限制;c應(yīng)檢查關(guān)鍵應(yīng)用系統(tǒng),查看系統(tǒng)是否對單個(gè)帳戶的多重并發(fā)會(huì)話進(jìn)展限制;d應(yīng)測試重要應(yīng)用系統(tǒng),當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng),查看另一方是否能夠自動(dòng)完畢會(huì)話。6.1.4.結(jié)果判定假設(shè).2b-d均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)完整性測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全治理員,詢問應(yīng)用系統(tǒng)的鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中是否有完整性保證措施,具體措施有哪些;b應(yīng)檢查關(guān)鍵主機(jī)操作系統(tǒng)、關(guān)鍵網(wǎng)絡(luò)設(shè)備操作系統(tǒng)、關(guān)鍵數(shù)據(jù)庫治理系統(tǒng)和關(guān)鍵應(yīng)用系統(tǒng),查能。結(jié)果判定假設(shè).2b為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。數(shù)據(jù)保密性測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談網(wǎng)絡(luò)治理員,詢問關(guān)鍵網(wǎng)絡(luò)設(shè)備的鑒別信息否承受加密或其他有效措施實(shí)現(xiàn)存儲(chǔ)保密性;b應(yīng)訪談系統(tǒng)治理員,詢問關(guān)鍵主機(jī)操作系統(tǒng)的鑒別信息否承受加密或其他有效措施實(shí)現(xiàn)存儲(chǔ)保密性;c應(yīng)訪談數(shù)據(jù)庫治理員,詢問關(guān)鍵數(shù)據(jù)庫治理系統(tǒng)的鑒別信息否承受加密或其他有效措施實(shí)現(xiàn)存儲(chǔ)保密性;d應(yīng)訪談安全治理員,詢問關(guān)鍵應(yīng)用系統(tǒng)的鑒別信息否承受加密或其他有效措施實(shí)現(xiàn)存儲(chǔ)保密性;e應(yīng)檢查關(guān)鍵主機(jī)操作系統(tǒng)、關(guān)鍵網(wǎng)絡(luò)設(shè)備操作系統(tǒng)、關(guān)鍵數(shù)據(jù)庫治理系統(tǒng)和關(guān)鍵應(yīng)用系統(tǒng),查看其鑒別信息否承受加密或其他有效措施實(shí)現(xiàn)存儲(chǔ)保密性。結(jié)果判定假設(shè).2e為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。備份和恢復(fù)測評指標(biāo)本項(xiàng)要求包括:a應(yīng)訪談網(wǎng)絡(luò)治理員,詢問是否對網(wǎng)絡(luò)設(shè)備中的配置文件進(jìn)展備份,備份策略是什么;當(dāng)其受到破壞時(shí),恢復(fù)策略是什么;是否供給關(guān)鍵網(wǎng)絡(luò)設(shè)備、通信線路的硬件冗余;b應(yīng)訪談系統(tǒng)治理員,詢問是否對操作系統(tǒng)中的重要信息進(jìn)展備份,備份策略是什么;當(dāng)其受到破壞時(shí),恢復(fù)策略是什么;是否供給關(guān)鍵效勞器的硬件冗余;c應(yīng)訪談數(shù)據(jù)庫治理員,詢問是否對數(shù)據(jù)庫治理系統(tǒng)中的關(guān)鍵數(shù)據(jù)進(jìn)展備份,備份策略是什么;當(dāng)其受到破壞時(shí),恢復(fù)策略是什么;d應(yīng)訪談安全治理員,詢問是否對應(yīng)用系統(tǒng)中的應(yīng)用程序進(jìn)展備份,備份策略是什么;當(dāng)其受到破壞時(shí),恢復(fù)策略是什么;e應(yīng)檢查關(guān)鍵主機(jī)操作系統(tǒng)、關(guān)鍵網(wǎng)絡(luò)設(shè)備、關(guān)鍵數(shù)據(jù)庫治理系統(tǒng)和關(guān)鍵應(yīng)用系統(tǒng),查看其是否供給備份和恢復(fù)功能,其配置是否正確,并且查看其備份結(jié)果是否與備份策略一致;f應(yīng)檢查關(guān)鍵網(wǎng)絡(luò)設(shè)備、通信線路和效勞器是否供給硬件冗余。結(jié)果判定假設(shè).2e和f均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。安全治理測評安全治理制度治理制度測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)檢查信息安全工作的總體方針和安全策略文件,查看文件是否明確機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等;,查看是否掩蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、建設(shè)和治理等層面的重要治理內(nèi)容;(如系統(tǒng)維護(hù)手冊和用戶操作規(guī)程等。結(jié)果判定a-c均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。制定和公布測評指標(biāo)GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全主管,詢問是否有特地的部門或人員負(fù)責(zé)制定安全治理制度;b應(yīng)訪談安全治理制度制、修訂人員,詢問安全治理制度的制定程序和公布方式,是否對制定的安全治理制度進(jìn)展論證和審定,論證和評審方式如何;c應(yīng)檢查治理制度評審記錄,查看是否有相關(guān)人員的評審意見。結(jié)果判定a-c均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。評審和修訂測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全主管,詢問是否認(rèn)期對安全治理制度進(jìn)展評審,評審周期多長,覺察存在缺乏或需要改進(jìn)的是否進(jìn)展修訂;b應(yīng)檢查安全治理制度評審記錄,查看記錄的日期間隔與評審周期是否全都;假設(shè)對制度做過修訂,檢查是否有本的安全治理制度。結(jié)果判定假設(shè).2a和b均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。安全治理機(jī)構(gòu)崗位設(shè)置測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全主管,詢問設(shè)置了哪些工作崗位,各個(gè)崗位的職責(zé)分工是否明確;詢問是否設(shè)立安全治理各個(gè)方面的負(fù)責(zé)人;b應(yīng)訪談安全主管、安全治理某方面的負(fù)責(zé)人,詢問其崗位職責(zé)包括哪些內(nèi)容;c應(yīng)檢查崗位職責(zé)文檔,查看文檔是否明確設(shè)置安全主管、安全治理各個(gè)方面的負(fù)責(zé)人、機(jī)房治理員、系統(tǒng)治理員、網(wǎng)絡(luò)治理員和安全治理員等各個(gè)崗位,各個(gè)崗位的職責(zé)范圍是否清楚、明確。結(jié)果判定假設(shè).2a-c均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。人員配備測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全主管,詢問各個(gè)安全治理崗位人員的配備狀況,包括數(shù)量、專職還是兼職等;,查看其是否明確機(jī)房治理員、系統(tǒng)治理員、數(shù)據(jù)庫治理員、網(wǎng)絡(luò)治理員、安全治理員等重要崗位人員的信息,確認(rèn)安全治理員是否沒有兼任網(wǎng)絡(luò)治理員、系統(tǒng)治理員、數(shù)據(jù)庫治理員等崗位。結(jié)果判定假設(shè).2a和b均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。授權(quán)和審批測評指標(biāo)見GB/T22239-2008。測評實(shí)施a應(yīng)訪談安全主管,詢問其是否對信息系統(tǒng)中的關(guān)鍵活動(dòng)進(jìn)展審批,審批部門是何部門,批準(zhǔn)人是何人,他們的審批活動(dòng)是否得到授權(quán);b應(yīng)訪談安全主管,詢問其對關(guān)鍵活動(dòng)的審批范圍包括哪些,審批程序如何;c應(yīng)檢查審批治理制度文檔,查看文檔中是否明確對系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問等關(guān)鍵活動(dòng)進(jìn)展審批的審批部門和批準(zhǔn)人,是否明確審批程序;d應(yīng)檢查經(jīng)審批的文檔,查看審批程序與文件要求是否全都,是否有批準(zhǔn)人的簽字和審批部門的蓋章。結(jié)果判定假設(shè).2a-d均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。溝通和合作測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全主管,詢問是否常常與公安機(jī)關(guān)、電信公司和兄弟單位聯(lián)系,聯(lián)系和合作方式有哪些,與組織機(jī)構(gòu)內(nèi)其他部門之間通過哪些方式進(jìn)展溝通和溝通,信息安全職能部門內(nèi)部各類治理人員之間通過哪些方式進(jìn)展溝通和溝通;,查看是否包括工作內(nèi)容、參與人員等的描述;c應(yīng)檢查是否有組織機(jī)構(gòu)內(nèi)部人員聯(lián)系表;d應(yīng)檢查外聯(lián)單位說明文檔,查看外聯(lián)單位是否包含公安機(jī)關(guān)、電信公司及兄弟單位等。結(jié)果判定假設(shè).2a-d均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。審核和檢查測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全治理員,詢問是否認(rèn)期檢查系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等狀況,檢查周期多長;,查看記錄的時(shí)間間隔與檢查周期是否一致,檢查內(nèi)容是否包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等狀況。結(jié)果判定假設(shè).2a和b均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。人員安全治理人員錄用測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全主管,詢問是否有特地的部門或人員負(fù)責(zé)人員的錄用工作,由何部門/何人負(fù)責(zé);,詢問在人員錄用時(shí)對人員條件有哪些要求,是否對被錄用人的身份、,對技術(shù)人員的技術(shù)技能進(jìn)展考核,錄用后是否與從事關(guān)鍵崗位的人員簽署保密協(xié)議;,查看是否說明錄用人員應(yīng)具備的條件(如學(xué)歷、學(xué)位要求,技術(shù)人員應(yīng)具備的專業(yè)技術(shù)水平,治理人員應(yīng)具備的安全治理學(xué)問等;關(guān)文檔或記錄,查看是否記錄審查內(nèi)容和審查結(jié)果等;e應(yīng)檢查人員錄用時(shí)的技能考核文檔或記錄,查看是否記錄考核內(nèi)容和考核結(jié)果等;限和責(zé)任人簽字等內(nèi)容。結(jié)果判定a-f均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。人員離崗測評指標(biāo)GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全主管,詢問對馬上離崗人員有哪些掌握方法,是否準(zhǔn)時(shí)終止離崗人員的全部訪問,是否取回各種身份證件、鑰匙、徽章以及機(jī)構(gòu)供給的軟硬件設(shè)備等;b應(yīng)訪談人事治理相關(guān)人員,詢問調(diào)離手續(xù)包括哪些;(如交還身份證件、設(shè)備等的登記記錄;d應(yīng)檢查是否具有依據(jù)離職程序辦理調(diào)離手續(xù)的記錄。結(jié)果判定.2a-d均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。人員考核測評指標(biāo)GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全主管,詢問是否有人負(fù)責(zé)定期對各個(gè)崗位人員進(jìn)展安全技能及安全,考核周期多長;b應(yīng)檢查考核文檔,查看考核人員是否包括各個(gè)崗位的人員,考核日期與考核周期是否全都。結(jié)果判定假設(shè).2a和b均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。安全意識(shí)教育和培訓(xùn)測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全主管,詢問是否制定培訓(xùn)打算并按打算對各個(gè)崗位人員進(jìn)展安全教育和培訓(xùn),具體的培訓(xùn)方式有哪些;是否對違反安全策略和規(guī)定的人員進(jìn)展懲戒,如何懲戒;,考察其對工作相關(guān)的信息安全根底學(xué)問、安全責(zé)任和懲戒措施等的理解程度;c應(yīng)檢查安全教育和培訓(xùn)打算文檔,查看打算是否明確了培訓(xùn)方式、培訓(xùn)對象、培訓(xùn)內(nèi)容、培訓(xùn)時(shí)間和地點(diǎn)等,培訓(xùn)內(nèi)容是否包含信息安全根底學(xué)問、崗位操作規(guī)程等;,查看記錄是否有培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等的描述;結(jié)果判定.2a-d均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。外部人員訪問治理測評指標(biāo)GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全治理員,詢問對外部人員訪問重要區(qū)域(如訪問機(jī)房、重要效勞器或設(shè)備區(qū)等采,是否經(jīng)有關(guān)部門或負(fù)責(zé)人批準(zhǔn)才能訪問,是否由專人全程伴隨或監(jiān)視,是否進(jìn)展記錄并備案治理;,查看是否有對外部人員訪問機(jī)房等重要區(qū)域應(yīng)經(jīng)過相關(guān)部門或負(fù)責(zé)人批準(zhǔn)的內(nèi)容;,查看是否記錄了外部人員訪問重要區(qū)域的進(jìn)入時(shí)間、離開時(shí)間、訪問區(qū)域及伴隨人等信息。結(jié)果判定假設(shè).2a-c均為確定,則信息系統(tǒng)符合本單元測評指標(biāo)要求,否則,信息系統(tǒng)不符合或局部符合本單元測評指標(biāo)要求。系統(tǒng)建設(shè)治理系統(tǒng)定級測評指標(biāo)見GB/T22239-2008。本項(xiàng)要求包括:a應(yīng)訪談安全主管,詢問確定信息系統(tǒng)安全保護(hù)等級的方法是否參照定級指南的指導(dǎo),定級過程是否有書面描述,定級結(jié)果是否獲得了相關(guān)部門的批準(zhǔn);,查看文檔是否明確信息系統(tǒng)的邊界和信息系