等級(jí)保護(hù)測(cè)評(píng)方案

等級(jí)保護(hù)評(píng)測(cè)方案等級(jí)保護(hù)評(píng)測(cè)方案--1-等級(jí)保護(hù)測(cè)評(píng)方案名目\l“_TOC_250039“測(cè)評(píng)概述 1\l“_TOC_250038“測(cè)評(píng)標(biāo)準(zhǔn) 1\l“_TOC_250037“測(cè)評(píng)目的 1\l“_TOC_250036“測(cè)評(píng)原則 1\l“_TOC_250035“風(fēng)險(xiǎn)和躲避 2\l“_TOC_250034“測(cè)評(píng)手段 3\l“_TOC_250033“測(cè)評(píng)方法 3\l“_TOC_250032“測(cè)評(píng)工具 4\l“_TOC_250031“測(cè)評(píng)內(nèi)容 4\l“_TOC_250030“單元測(cè)評(píng)實(shí)施 4\l“_TOC_250029“物理安全 4\l“_TOC_250028“網(wǎng)絡(luò)安全 5\l“_TOC_250027“主機(jī)數(shù)據(jù)庫(kù)系統(tǒng)安全 6\l“_TOC_250026“應(yīng)用安全 6\l“_TOC_250025“數(shù)據(jù)安全 7\l“_TOC_250024“安全治理機(jī)構(gòu) 7\l“_TOC_250023“安全治理制度 8\l“_TOC_250022“人員安全治理 8\l“_TOC_250021“系統(tǒng)建設(shè)治理 8\l“_TOC_250020“系統(tǒng)運(yùn)維治理 9\l“_TOC_250019“系統(tǒng)測(cè)評(píng)實(shí)施 11\l“_TOC_250018“安全掌握間安全測(cè)評(píng) 11\l“_TOC_250017“層面間安全測(cè)評(píng) 12\l“_TOC_250016“區(qū)域間安全測(cè)評(píng) 12\l“_TOC_250015“系統(tǒng)構(gòu)造安全測(cè)評(píng) 12\l“_TOC_250014“測(cè)評(píng)工作流程 13\l“_TOC_250013“工作流程綜述 13\l“_TOC_250012“測(cè)評(píng)預(yù)備階段 14\l“_TOC_250011“工程啟動(dòng) 14\l“_TOC_250010“信息收集和分析 15\l“_TOC_250009“編制測(cè)評(píng)方案 15\l“_TOC_250008“工具和文檔預(yù)備 16\l“_TOC_250007“現(xiàn)場(chǎng)實(shí)施階段 16\l“_TOC_250006“方案確認(rèn)和資源協(xié)調(diào) 16\l“_TOC_250005“現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄 17\l“_TOC_250004“分析與報(bào)告編制階段 17\l“_TOC_250003“分析測(cè)評(píng)結(jié)果 17\l“_TOC_250002“形成等級(jí)測(cè)評(píng)結(jié)論 18\l“_TOC_250001“編制測(cè)評(píng)報(bào)告 18\l“_TOC_250000“測(cè)評(píng)打算 19等級(jí)保護(hù)評(píng)測(cè)方案等級(jí)保護(hù)評(píng)測(cè)方案第第119頁(yè)測(cè)評(píng)概述本測(cè)評(píng)的托付單位是宜保通金融效勞集團(tuán)。系統(tǒng)實(shí)施等級(jí)測(cè)評(píng)。測(cè)評(píng)標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)根本要求〔GB/T22239-2023；《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求〔GB/T28448-2023；〔GB/T25058-2023；〔GB17859-1999〕〔GB/T22240-2023；〔GB/T20984-2023。測(cè)評(píng)目的了解信息安全等級(jí)保護(hù)要求的根本安全掌握在信息系統(tǒng)中的實(shí)施配置狀況以及安全保障措施供給依據(jù)。測(cè)評(píng)原則客觀性和公正性原則測(cè)評(píng)工作雖然不能完全擺脫個(gè)人主見(jiàn)或推斷，但測(cè)評(píng)人員應(yīng)當(dāng)在沒(méi)有偏見(jiàn)評(píng)方法和過(guò)程，實(shí)施測(cè)評(píng)活動(dòng)。經(jīng)濟(jì)性和可重用性原則基于測(cè)評(píng)本錢(qián)和工作簡(jiǎn)單性考慮，鼓舞測(cè)評(píng)工作重用以前的測(cè)評(píng)結(jié)果，包應(yīng)基于這些結(jié)果還能適用于目前的系統(tǒng)，能反映目前系統(tǒng)的安全狀態(tài)。可重復(fù)性和可再現(xiàn)性原則無(wú)論誰(shuí)執(zhí)行測(cè)評(píng)，依照同樣的要求，使用同樣的方法，對(duì)每個(gè)測(cè)評(píng)實(shí)施過(guò)性。符合性和整體性原則測(cè)評(píng)所產(chǎn)生的結(jié)果應(yīng)當(dāng)是在對(duì)測(cè)評(píng)指標(biāo)的正確理解下所取得的良好的判層面，并考慮各個(gè)層面的相互關(guān)系。最小影響和保密性原則測(cè)評(píng)工作應(yīng)盡可能小地影響網(wǎng)絡(luò)和系統(tǒng)的正常運(yùn)行，不能對(duì)系統(tǒng)的業(yè)務(wù)產(chǎn)生統(tǒng)運(yùn)營(yíng)、使用單位安全利益的行為。風(fēng)險(xiǎn)和躲避在進(jìn)展等級(jí)測(cè)評(píng)過(guò)程中可能存在以下風(fēng)險(xiǎn)：驗(yàn)證測(cè)試對(duì)運(yùn)行系統(tǒng)可能會(huì)造成影響作的可能。工具測(cè)試對(duì)運(yùn)行系統(tǒng)可能會(huì)造成影響造成肯定影響甚至損害。敏感信息泄漏泄漏被檢測(cè)單位信息系統(tǒng)狀態(tài)信息，如網(wǎng)絡(luò)拓?fù)洹P地址、業(yè)務(wù)流程、安全機(jī)制、安全隱患和有關(guān)文檔信息。在等級(jí)測(cè)評(píng)過(guò)程中可以通過(guò)實(shí)行以下措施躲避風(fēng)險(xiǎn)：現(xiàn)場(chǎng)測(cè)評(píng)工作風(fēng)險(xiǎn)的躲避進(jìn)展驗(yàn)證測(cè)試和工具測(cè)試時(shí)，測(cè)評(píng)機(jī)構(gòu)需要與測(cè)評(píng)托付單位充分的協(xié)調(diào)，安影響，征得其同意。必要時(shí)先進(jìn)展一些試驗(yàn)。簽署保密協(xié)議測(cè)評(píng)機(jī)構(gòu)的法律責(zé)任。測(cè)評(píng)手段測(cè)評(píng)方法安全測(cè)評(píng)的主要方法有：訪談、檢查和測(cè)試。訪談訪談是指測(cè)評(píng)人員通過(guò)與信息系統(tǒng)有關(guān)人員〔個(gè)人/群體〕進(jìn)展溝通、爭(zhēng)論在訪談范圍上，應(yīng)根本掩蓋全部的安全相關(guān)人員類(lèi)型，在數(shù)量上可以抽樣。檢查根本掩蓋全部的對(duì)象種類(lèi)〔設(shè)備、文檔、機(jī)制等，數(shù)量上可以抽樣。測(cè)試測(cè)試是指測(cè)評(píng)人員針對(duì)測(cè)評(píng)對(duì)象依據(jù)預(yù)定的方法/工具使其產(chǎn)生特定的響量上可以抽樣。測(cè)評(píng)工具主要使用到的測(cè)評(píng)工具有：綠盟安全評(píng)估系統(tǒng)RSAS。具體描述如下表：序號(hào)序號(hào)工具名稱(chēng)工具描述01綠盟安全評(píng)估系統(tǒng)RSASCVE，CANMSIP測(cè)評(píng)內(nèi)容單元測(cè)評(píng)實(shí)施述單元測(cè)評(píng)實(shí)施的主要內(nèi)容。物理安全物理安全層面測(cè)評(píng)實(shí)施過(guò)程涉及10個(gè)工作單元，具體如下表：序號(hào)掌握點(diǎn)測(cè)評(píng)實(shí)施描述01物理位置的選擇和防雨等多方面的安全防范力量。02物理訪問(wèn)掌握力量。03防盜竊和防破壞等級(jí)保護(hù)評(píng)測(cè)方案等級(jí)保護(hù)評(píng)測(cè)方案第第10頁(yè)共19頁(yè)序號(hào) 掌握點(diǎn) 測(cè)評(píng)實(shí)施描述設(shè)備、介質(zhì)等喪失和被破壞。通過(guò)訪談物理安全負(fù)責(zé)人，檢查機(jī)房設(shè)計(jì)/驗(yàn)收文檔，測(cè)評(píng)防雷擊防火防水和防潮防靜電溫濕度掌握電力供給10 電磁防護(hù)

信息系統(tǒng)是否實(shí)行相應(yīng)的措施預(yù)防雷擊。通過(guò)訪談物理安全負(fù)責(zé)人，檢查機(jī)房設(shè)計(jì)/驗(yàn)收文檔，檢查止火災(zāi)的發(fā)生。通過(guò)訪談物理安全負(fù)責(zé)人，檢查主機(jī)房和除潮設(shè)備等過(guò)程，測(cè)評(píng)信息系統(tǒng)是否實(shí)行必要措施來(lái)防止水災(zāi)和機(jī)房潮濕。統(tǒng)是否實(shí)行必要措施防止靜電的產(chǎn)生。信息系統(tǒng)是否實(shí)行必要措施對(duì)機(jī)房?jī)?nèi)的溫濕度進(jìn)展掌握。程，測(cè)評(píng)信息系統(tǒng)是否具備供給肯定的電力供給力量。系統(tǒng)是否具備肯定的電磁防護(hù)力量。網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全層面測(cè)評(píng)實(shí)施過(guò)程涉及7個(gè)工作單元，具體如下表：序號(hào)序號(hào)掌握點(diǎn)測(cè)評(píng)實(shí)施描述01網(wǎng)絡(luò)構(gòu)造安全02網(wǎng)絡(luò)訪問(wèn)掌握03網(wǎng)絡(luò)安全審計(jì)04邊界完整性檢查05網(wǎng)絡(luò)入侵防范合理性和有效性。區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問(wèn)掌握力量。狀況。通過(guò)訪談安全員，檢查邊界完整性檢查設(shè)備,接入邊界完整部網(wǎng)絡(luò)的行為。分析信息系統(tǒng)對(duì)攻擊行為的識(shí)別和處理狀況。序號(hào) 掌握點(diǎn)惡意代碼防范網(wǎng)絡(luò)設(shè)備防護(hù)

測(cè)評(píng)實(shí)施描述息系統(tǒng)網(wǎng)絡(luò)邊界和交易網(wǎng)段對(duì)病毒等惡意代碼的防護(hù)狀況。們的安全配置狀況，包括身份鑒別、權(quán)限分別、登錄失敗處安全防范狀況。主機(jī)數(shù)據(jù)庫(kù)系統(tǒng)安全主機(jī)系統(tǒng)安全層面測(cè)評(píng)實(shí)施過(guò)程涉及7個(gè)工作單元，具體如下表：序號(hào)序號(hào)掌握點(diǎn)測(cè)評(píng)實(shí)施描述01身份鑒別02訪問(wèn)掌握03安全審計(jì)04系統(tǒng)保護(hù)05剩余信息保護(hù)檢查信息系統(tǒng)各主機(jī)的身份標(biāo)識(shí)與鑒別和用戶登錄的配置狀況。檢查信息系統(tǒng)各主機(jī)的自主訪問(wèn)掌握設(shè)置狀況，包括安全策略掩蓋、掌握粒度以及權(quán)限設(shè)置狀況等。檢查信息系統(tǒng)各主機(jī)的安全審計(jì)的配置狀況，如掩蓋范圍、記錄的工程和內(nèi)容等；檢查安全審計(jì)進(jìn)程和記錄的保護(hù)情況。檢查信息系統(tǒng)各主機(jī)在運(yùn)行中的系統(tǒng)保護(hù)力量；檢查是否供給手動(dòng)或者自動(dòng)恢復(fù)運(yùn)行的功能。檢查信息系統(tǒng)各主機(jī)的剩余信息保護(hù)狀況，如將用戶鑒別信息以及文件、名目和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間再安排時(shí)的處理狀況。06惡意代碼防范檢查信息系統(tǒng)各主機(jī)的惡意代碼防范狀況。07系統(tǒng)資源掌握檢查信息系統(tǒng)各主機(jī)的系統(tǒng)資源掌握狀況，如會(huì)話限定、用戶登錄限制、最大并發(fā)連接以及效勞優(yōu)先級(jí)設(shè)置等。應(yīng)用安全應(yīng)用安全層面測(cè)評(píng)實(shí)施過(guò)程涉及9個(gè)工作單元，具體如下表：序號(hào)序號(hào)掌握點(diǎn)測(cè)評(píng)實(shí)施描述01身份鑒別02訪問(wèn)掌握檢查系統(tǒng)的身份標(biāo)識(shí)與鑒別功能設(shè)置和使用配置狀況；錄連接超時(shí)等。問(wèn)掌握粒度、權(quán)限設(shè)置狀況等。序號(hào)序號(hào)掌握點(diǎn)測(cè)評(píng)實(shí)施描述03安全審計(jì)04剩余信息保護(hù)內(nèi)容等；檢查系統(tǒng)安全審計(jì)進(jìn)程和記錄的保護(hù)狀況。檢查系統(tǒng)的剩余信息保護(hù)狀況，如將用戶鑒別信息以及文狀況。05通信完整性檢查系統(tǒng)客戶端和效勞器端之間的通信完整性保護(hù)狀況。06通信保密性檢查分析系統(tǒng)客戶端和效勞器端之間的通信保密性保護(hù)情況。07抗抵賴(lài)檢查分析系統(tǒng)客戶端和效勞器端之間的抗抵賴(lài)狀況。08軟件容錯(cuò)09資源掌握監(jiān)控、自我保護(hù)、回退等力量。大并發(fā)連接以及效勞優(yōu)先級(jí)設(shè)置等。數(shù)據(jù)安全數(shù)據(jù)安全層面測(cè)評(píng)實(shí)施過(guò)程涉及3個(gè)工作單元，具體如下表：序號(hào)掌握點(diǎn)測(cè)評(píng)實(shí)施描述01數(shù)據(jù)完整性狀況。02數(shù)據(jù)保密性03安全備份02數(shù)據(jù)保密性03安全備份檢查系統(tǒng)的操作系統(tǒng)和數(shù)據(jù)庫(kù)治理系統(tǒng)的治理數(shù)據(jù)息和用戶數(shù)據(jù)在傳輸和保存過(guò)程中的保密性保護(hù)狀況。〔包括本地備份和異地備份、硬件冗余以及業(yè)務(wù)系統(tǒng)的熱備等。安全治理機(jī)構(gòu)測(cè)評(píng)實(shí)施過(guò)程涉及5個(gè)工作單元，具體如下表：序號(hào)序號(hào)掌握點(diǎn)測(cè)評(píng)實(shí)施描述01崗位設(shè)置02人員配備通過(guò)訪談安全主管，檢查部門(mén)/崗位職責(zé)文件，測(cè)評(píng)被測(cè)系統(tǒng)內(nèi)的安全主管部門(mén)設(shè)置狀況以及各崗位設(shè)置狀況。通過(guò)訪談安全主管，檢查人員名單等文檔，測(cè)評(píng)被測(cè)系統(tǒng)內(nèi)各個(gè)崗位人員配備狀況以及關(guān)鍵崗位的輪崗狀況。0303授權(quán)和審批04溝通與合作05審核與檢查通過(guò)訪談安全主管，檢查相關(guān)文檔，測(cè)評(píng)被測(cè)系統(tǒng)對(duì)重要活動(dòng)的授權(quán)和審批狀況。通過(guò)訪談安全主管，檢查相關(guān)文檔，測(cè)評(píng)被測(cè)系統(tǒng)對(duì)內(nèi)部部門(mén)、外部單位間的溝通與合作狀況。通過(guò)訪談安全主管，檢查相關(guān)制度文檔和治理要求文檔等過(guò)程，測(cè)評(píng)被測(cè)系統(tǒng)對(duì)安全工作的審核和檢查狀況。安全治理制度安全治理制度測(cè)評(píng)實(shí)施過(guò)程涉及3個(gè)工作單元，具體如下表：序號(hào)序號(hào)掌握點(diǎn)測(cè)評(píng)實(shí)施描述01治理制度02制定與公布03評(píng)審和修訂通過(guò)訪談安全主管，檢查有關(guān)治理制度體系文檔等過(guò)程，測(cè)評(píng)治理制度體系在內(nèi)容掩蓋上是否全面、完善。通過(guò)訪談安全主管，檢查有關(guān)制度制定要求文檔等過(guò)程，測(cè)評(píng)治理制度的制定和公布過(guò)程是否遵循肯定的流程。通過(guò)訪談安全主管，檢查治理制度評(píng)審記錄等過(guò)程，測(cè)評(píng)治理制度定期評(píng)審和修訂狀況。人員安全治理人員安全治理測(cè)評(píng)實(shí)施過(guò)程涉及5個(gè)工作單元，具體如下表：序號(hào)掌握點(diǎn)測(cè)評(píng)實(shí)施描述通過(guò)訪談人事負(fù)責(zé)人，檢查人員錄用文檔等過(guò)程，測(cè)評(píng)被01人員錄用測(cè)系統(tǒng)在錄用人員時(shí)是否對(duì)人員提出要求以及是否對(duì)其進(jìn)行各種審查和考核。02人員離崗03人員考核02人員離崗03人員考核04安全意識(shí)教育和培訓(xùn)05通過(guò)訪談人事負(fù)責(zé)人，檢查人員離崗要求文檔等過(guò)程，測(cè)評(píng)被測(cè)系統(tǒng)在人員離崗時(shí)是否依據(jù)肯定的手續(xù)辦理。通過(guò)訪談安全主管，檢查有關(guān)考核記錄等過(guò)程，測(cè)評(píng)被測(cè)系統(tǒng)是否對(duì)人員進(jìn)展日常的業(yè)務(wù)考核和工作審查。通過(guò)訪談安全主管，檢查培訓(xùn)打算和執(zhí)行記錄等文檔，測(cè)評(píng)被測(cè)系統(tǒng)是否對(duì)人員進(jìn)展安全方面的教育和培訓(xùn)。通過(guò)訪談安全主管，檢查有關(guān)文檔等過(guò)程，測(cè)評(píng)被測(cè)系統(tǒng)第三方人員訪問(wèn)治理 對(duì)第三方人員訪問(wèn)〔物理、規(guī)律〕系統(tǒng)和系統(tǒng)是否實(shí)行必要掌握措施。系統(tǒng)建設(shè)治理測(cè)評(píng)實(shí)施過(guò)程涉及9個(gè)工作單元，具體如下表：序號(hào)序號(hào)掌握點(diǎn)測(cè)評(píng)實(shí)施描述序號(hào) 掌握點(diǎn) 測(cè)評(píng)實(shí)施描述通過(guò)訪談安全主管，檢查系統(tǒng)定級(jí)相關(guān)文檔等過(guò)程，測(cè)評(píng)01系統(tǒng)定級(jí)系統(tǒng)和系統(tǒng)是否依據(jù)肯定要求確定其等級(jí)。通過(guò)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，檢查系統(tǒng)安全建設(shè)打算等文檔，02安全方案設(shè)計(jì)測(cè)評(píng)被測(cè)系統(tǒng)對(duì)系統(tǒng)整體的安全規(guī)劃設(shè)計(jì)是否依據(jù)肯定流程進(jìn)展。通過(guò)訪談安全主管、系統(tǒng)建設(shè)負(fù)責(zé)人，檢查相關(guān)選購(gòu)制度03產(chǎn)品選購(gòu)等過(guò)程，測(cè)評(píng)被測(cè)系統(tǒng)是否依據(jù)肯定的要求進(jìn)展產(chǎn)品選購(gòu)。通過(guò)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，檢查相關(guān)軟件開(kāi)發(fā)文檔和治理04自行軟件開(kāi)發(fā)制度文檔，測(cè)評(píng)被測(cè)系統(tǒng)對(duì)自行開(kāi)發(fā)的軟件是否實(shí)行必要的措施保證開(kāi)發(fā)過(guò)程的安全性。通過(guò)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，檢查相關(guān)文檔，測(cè)評(píng)被測(cè)系統(tǒng)05外包軟件開(kāi)發(fā)對(duì)外包開(kāi)發(fā)的軟件是否實(shí)行必要的措施保證開(kāi)發(fā)過(guò)程和日后的維護(hù)工作能夠正常開(kāi)展。通過(guò)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，檢查相關(guān)制度文檔和實(shí)施文檔，06工程實(shí)施測(cè)評(píng)被測(cè)系統(tǒng)對(duì)系統(tǒng)建設(shè)的實(shí)施過(guò)程是否實(shí)行必要的措施使其在機(jī)構(gòu)可控的范圍內(nèi)進(jìn)展。通過(guò)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，檢查相關(guān)制度文檔和測(cè)試驗(yàn)收07測(cè)試驗(yàn)收文檔，測(cè)評(píng)被測(cè)系統(tǒng)在信息系統(tǒng)運(yùn)行前是否對(duì)其進(jìn)展測(cè)試驗(yàn)收工作。通過(guò)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，檢查系統(tǒng)交付清單和系統(tǒng)交付08系統(tǒng)交付治理制度等過(guò)程，測(cè)評(píng)被測(cè)系統(tǒng)是否實(shí)行必要的措施對(duì)系統(tǒng)交付過(guò)程進(jìn)展有效掌握。09 安全效勞商選擇系統(tǒng)運(yùn)維治理

通過(guò)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，測(cè)評(píng)被測(cè)系統(tǒng)是否選擇符合國(guó)家有關(guān)規(guī)定的安全效勞單位進(jìn)展相關(guān)的安全效勞工作。序號(hào)掌握點(diǎn)測(cè)評(píng)實(shí)施描述通過(guò)訪談物理安全負(fù)責(zé)人，檢查主機(jī)房安全治理制度和辦序號(hào)掌握點(diǎn)測(cè)評(píng)實(shí)施描述通過(guò)訪談物理安全負(fù)責(zé)人，檢查主機(jī)房安全治理制度和辦公環(huán)境治理文檔等過(guò)程，測(cè)評(píng)被測(cè)系統(tǒng)是否實(shí)行必要的措01環(huán)境治理施對(duì)主機(jī)房的出入掌握和辦公環(huán)境的人員行為等方面進(jìn)展安全治理。通過(guò)訪談資產(chǎn)治理員，檢查資產(chǎn)清單和系統(tǒng)、網(wǎng)絡(luò)設(shè)備等02資產(chǎn)治理過(guò)程，測(cè)評(píng)被測(cè)系統(tǒng)是否實(shí)行必要的措施對(duì)信息系統(tǒng)資產(chǎn)進(jìn)展分類(lèi)標(biāo)識(shí)治理。通過(guò)訪談資產(chǎn)治理員，檢查介質(zhì)治理記錄、介質(zhì)安全治理介質(zhì)治理 制度以及各類(lèi)介質(zhì)等過(guò)程，測(cè)評(píng)被測(cè)系統(tǒng)是否實(shí)行必要的措施對(duì)介質(zhì)存放環(huán)境、使用、維護(hù)和銷(xiāo)毀等方面進(jìn)展治理。通過(guò)訪談資產(chǎn)治理員、系統(tǒng)治理員，檢查設(shè)備使用治理文設(shè)備治理 檔和設(shè)備操作規(guī)程等過(guò)程，測(cè)評(píng)被測(cè)系統(tǒng)是否實(shí)行必要的措施確保設(shè)備在使用、維護(hù)和銷(xiāo)毀等過(guò)程安全。通過(guò)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，檢查監(jiān)控記錄文檔等過(guò)程，測(cè)監(jiān)控治理 評(píng)被測(cè)系統(tǒng)是否實(shí)行必要的措施對(duì)重要主機(jī)的運(yùn)行和訪問(wèn)權(quán)限進(jìn)展監(jiān)控治理。通過(guò)訪談安全主管、系統(tǒng)治理員，檢查系統(tǒng)安全治理制度、系統(tǒng)審計(jì)日志和系統(tǒng)漏洞掃描報(bào)告等過(guò)程，測(cè)評(píng)被測(cè)系統(tǒng)系統(tǒng)安全治理網(wǎng)絡(luò)安全治理惡意代碼防護(hù)治理

是否實(shí)行必要的措施對(duì)信息系統(tǒng)的安全配置、系統(tǒng)賬戶、漏洞掃描和審計(jì)日志等方面進(jìn)展有效的治理。通過(guò)訪談安全主管、網(wǎng)絡(luò)治理員，檢查網(wǎng)絡(luò)安全治理制度、網(wǎng)絡(luò)審計(jì)日志和網(wǎng)絡(luò)漏洞掃描報(bào)告等過(guò)程，測(cè)評(píng)被測(cè)系統(tǒng)是否實(shí)行必要的措施對(duì)網(wǎng)絡(luò)的安全配置、網(wǎng)絡(luò)用戶權(quán)限和審計(jì)日志等方面進(jìn)展有效的治理，確保網(wǎng)絡(luò)安全運(yùn)行。通過(guò)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，檢查惡意代碼防范治理制度和惡意代碼檢測(cè)、分析記錄等過(guò)程，測(cè)評(píng)被測(cè)系統(tǒng)是否實(shí)行必要的措施對(duì)惡意代碼進(jìn)展集中治理，確保信息系統(tǒng)具有惡意代碼防范力量。通過(guò)訪談安全員，檢查密碼治理制度等過(guò)程，測(cè)評(píng)被測(cè)系密碼治理 統(tǒng)是否能夠確保信息系統(tǒng)中密碼算法和密鑰的使用符合國(guó)家密碼治理規(guī)定。通過(guò)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，檢查變更方案和變更治理制度變更治理 等過(guò)程，測(cè)評(píng)被測(cè)系統(tǒng)是否實(shí)行必要的措施對(duì)系統(tǒng)發(fā)生的變更進(jìn)展有效治理。通過(guò)訪談系統(tǒng)治理員、網(wǎng)絡(luò)治理員，檢查系統(tǒng)備份治理文檔和記錄等過(guò)程，測(cè)評(píng)被測(cè)系統(tǒng)是否實(shí)行必要的措施對(duì)數(shù)備份和恢復(fù)治理安全大事處置

據(jù)、設(shè)備和系統(tǒng)進(jìn)展備份，并確保必要時(shí)能夠?qū)π畔⑾到y(tǒng)進(jìn)展有效地恢復(fù)。通過(guò)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，檢查安全大事記錄分析文檔、安全大事報(bào)告和處置治理制度等過(guò)程，測(cè)評(píng)被測(cè)系統(tǒng)是否實(shí)行必要的措施對(duì)安全大事進(jìn)展等級(jí)劃分和對(duì)安全大事的報(bào)告、處理過(guò)程進(jìn)展有效的治理。應(yīng)急預(yù)案治理系統(tǒng)測(cè)評(píng)實(shí)施

通過(guò)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，檢查應(yīng)急響應(yīng)預(yù)案文檔，應(yīng)急預(yù)案培訓(xùn)記錄等過(guò)程，測(cè)評(píng)被測(cè)系統(tǒng)是否針對(duì)不同安全大事制定相應(yīng)的應(yīng)急預(yù)案，是否對(duì)應(yīng)急預(yù)案開(kāi)放培訓(xùn)、演練和審查等。整體測(cè)評(píng)。評(píng)、層面間安全測(cè)評(píng)、區(qū)域間安全測(cè)評(píng)和系統(tǒng)構(gòu)造安全測(cè)評(píng)等內(nèi)容。安全掌握間安全測(cè)評(píng)存在的功能增加、補(bǔ)充或減弱等關(guān)聯(lián)作用。防盜竊和防破壞之間的安全功能互補(bǔ)狀況?！泊胧┑囊?。一樣的安全機(jī)制等〔如主機(jī)身份集中鑒別。假設(shè)不同主機(jī)之間存在安全功能上等級(jí)保護(hù)評(píng)測(cè)方案等級(jí)保護(hù)評(píng)測(cè)方案第第12頁(yè)共19頁(yè)因此，需要分析這些安全功能之間的減弱作用。制度都得到具體落實(shí)，有人員、環(huán)境和設(shè)備的保證。層面間安全測(cè)評(píng)充和減弱等關(guān)聯(lián)作用。面的安全掌握措施得到加強(qiáng)彌補(bǔ)。安全功能是否通過(guò)實(shí)行恰當(dāng)?shù)陌踩卫泶胧┒玫綕M足等等。區(qū)域間安全測(cè)評(píng)〔包括物理上和規(guī)律上的互連互通等〕換的兩個(gè)不同區(qū)域。系統(tǒng)構(gòu)造安全測(cè)評(píng)合理性。在把握系統(tǒng)的物理布局、網(wǎng)絡(luò)拓?fù)?、業(yè)務(wù)規(guī)律〔業(yè)務(wù)數(shù)據(jù)流、系統(tǒng)實(shí)現(xiàn)和有效等。層深入，綜合判定系統(tǒng)的整體安全防范是否恰當(dāng)合理等。測(cè)評(píng)工作流程工作流程綜述三個(gè)階段：測(cè)評(píng)預(yù)備階段、現(xiàn)場(chǎng)實(shí)施階段以及分析與報(bào)告編制階段。試工具等方面的預(yù)備。系統(tǒng)存在的安全問(wèn)題。分析整個(gè)系統(tǒng)的安全保護(hù)現(xiàn)狀與相應(yīng)等級(jí)的保護(hù)要求之間的差距，給出測(cè)評(píng)結(jié)論，并編制測(cè)評(píng)報(bào)告等。等級(jí)測(cè)評(píng)工程啟動(dòng)等級(jí)測(cè)評(píng)工程啟動(dòng)測(cè)評(píng)預(yù)備階段信息收集和分析編制測(cè)評(píng)方案工具和文檔預(yù)備溝通與洽談現(xiàn)場(chǎng)實(shí)施階段方案確認(rèn)和資源協(xié)調(diào)現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄結(jié)果確認(rèn)和資料歸還分析與報(bào)告編制階段分析測(cè)評(píng)結(jié)果編制測(cè)評(píng)報(bào)告說(shuō)明：圖中虛線框中的活動(dòng)不是一個(gè)獨(dú)立的活動(dòng)過(guò)程，它貫穿等級(jí)測(cè)評(píng)的各個(gè)階段中，需要雙方協(xié)作共同完成等級(jí)測(cè)評(píng)工作。代表測(cè)評(píng)單位/人員單獨(dú)可以單獨(dú)完成的活動(dòng)過(guò)程，代表必須由被測(cè)評(píng)單位/人員參與、協(xié)作才能完成的活動(dòng)過(guò)程。等級(jí)測(cè)評(píng)流程圖測(cè)評(píng)預(yù)備階段測(cè)評(píng)工具和文檔等任務(wù)，為順當(dāng)實(shí)施現(xiàn)場(chǎng)測(cè)評(píng)工作打下良好的根底。方案及工具和文檔預(yù)備。工程啟動(dòng)安排等方面為整個(gè)等級(jí)測(cè)評(píng)工程的開(kāi)展做好預(yù)備。單位的溝通，了解被測(cè)系統(tǒng)的主要業(yè)務(wù)、范圍、規(guī)模、安全保護(hù)等級(jí)等狀況，明確雙方的責(zé)任與義務(wù)等。然后，依據(jù)《托付測(cè)評(píng)協(xié)議書(shū)》的工作期限和技術(shù)力量等要求，組建等級(jí)測(cè)評(píng)工作組，從人員方面做好預(yù)備，正式啟動(dòng)等級(jí)測(cè)評(píng)工程，工作內(nèi)容和工程組織等幾個(gè)方面的內(nèi)容。信息收集和分析〔如定級(jí)報(bào)告等資料奠定根底。位供給其所需要的資料。和生疏被測(cè)系統(tǒng)的實(shí)際狀況，分析的內(nèi)容包括：內(nèi)部邊界和外部邊界。ASG產(chǎn)生、傳輸、處理及存儲(chǔ)的路徑和相關(guān)系統(tǒng)部件。了解被測(cè)系統(tǒng)的治理模式，明確安全治理主要責(zé)任部門(mén)和重要安全治理確定現(xiàn)場(chǎng)測(cè)評(píng)時(shí)的訪談對(duì)象和協(xié)作人員。編制測(cè)評(píng)方案此過(guò)程的活動(dòng)主要包括：編制測(cè)評(píng)方案〔包括編制配套的作業(yè)指導(dǎo)書(shū)、評(píng)審和提交測(cè)評(píng)方案等。編制測(cè)評(píng)方案應(yīng)包括如下過(guò)程：分析和描述被測(cè)系統(tǒng)；確定人員分工和測(cè)評(píng)打算；選擇測(cè)評(píng)對(duì)象；確定測(cè)評(píng)指標(biāo)；確定現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施內(nèi)容，包括單項(xiàng)測(cè)評(píng)和系統(tǒng)整體測(cè)評(píng)；編制配套的作業(yè)指