《信息系統(tǒng)安全等級保護測評準則》

ICS35.040L80中華人民共和國國家標準XXXX—XXXX信息安技術信息系安全等保護測要求Inforationscuitytechnology-estigndvuanrquireentforclssiiedpotconofinfrationsstem200X-XX-XX發(fā)布中華人民共和國國家質量監(jiān)督檢驗檢疫總局中國國家標準化管理委員會

200X-XX-XX實施發(fā)布B/TXXXX–XXXX目 次前 言......................................................................................................................................................................III引 言......................................................................................................................................................................IV1范圍.........................................................................................................................................................................12規(guī)范性引用文件.....................................................................................................................................................13術語和定義.............................................................................................................................................................14總則.........................................................................................................................................................................14.1測評原則..............................................................................................................................................................14.2測評內容..............................................................................................................................................................14.3測評力度..............................................................................................................................................................24.4結果重用..............................................................................................................................................................24.5使用方法..............................................................................................................................................................25第一級信息系統(tǒng)單元測評.....................................................................................................................................35.1安全技術測評......................................................................................................................................................35.1.1物理安全...........................................................................................................................................................35.1.2網(wǎng)絡安全...........................................................................................................................................................55.1.3主機安全...........................................................................................................................................................65.1.4應用安全...........................................................................................................................................................75.1.5數(shù)據(jù)安全及備份恢復.......................................................................................................................................85.2安全管理測評......................................................................................................................................................95.2.1安全管理制度...................................................................................................................................................95.2.2安全管理機構...................................................................................................................................................95.2.3人員安全管理.................................................................................................................................................105.2.4系統(tǒng)建設管理.................................................................................................................................................125.2.5系統(tǒng)運維管理.................................................................................................................................................146第二級信息系統(tǒng)單元測評...................................................................................................................................176.1安全技術測評....................................................................................................................................................176.1.1物理安全.........................................................................................................................................................76.1.2網(wǎng)絡安全.........................................................................................................................................................206.1.3主機安全.........................................................................................................................................................226.1.4應用安全.........................................................................................................................................................246.1.5數(shù)據(jù)安全及備份恢復.....................................................................................................................................76.2安全管理測評....................................................................................................................................................286.2.1安全管理制度.................................................................................................................................................286.2.2安全管理機構.................................................................................................................................................296.2.3人員安全管理.................................................................................................................................................306.2.4系統(tǒng)建設管理.................................................................................................................................................326.2.5系統(tǒng)運維管理.................................................................................................................................................35IB/TXXXX–XXXX7第三級信息系統(tǒng)單元測評...................................................................................................................................397.1安全技術測評....................................................................................................................................................397.1.1物理安全.........................................................................................................................................................397.1.2網(wǎng)絡安全.........................................................................................................................................................447.1.3主機安全.........................................................................................................................................................77.1.4應用安全.........................................................................................................................................................497.1.5數(shù)據(jù)安全及備份恢復.....................................................................................................................................537.2安全管理測評....................................................................................................................................................557.2.1安全管理制度.................................................................................................................................................557.2.2安全管理機構.................................................................................................................................................567.2.3人員安全管理.................................................................................................................................................597.2.4系統(tǒng)建設管理.................................................................................................................................................617.2.5系統(tǒng)運維管理.................................................................................................................................................658第四級信息系統(tǒng)單元測評...................................................................................................................................718.1安全技術測評....................................................................................................................................................718.1.1物理安全.........................................................................................................................................................718.1.2網(wǎng)絡安全.........................................................................................................................................................68.1.3主機安全.........................................................................................................................................................798.1.4應用安全.........................................................................................................................................................828.1.5數(shù)據(jù)安全及備份恢復.....................................................................................................................................878.2安全管理測評....................................................................................................................................................898.2.1安全管理制度.................................................................................................................................................898.2.2安全管理機構.................................................................................................................................................908.2.3人員安全管理.................................................................................................................................................938.2.4系統(tǒng)建設管理.................................................................................................................................................958.2.5系統(tǒng)運維管理.................................................................................................................................................999第五級信息系統(tǒng)單元測評.................................................................................................................................10610信息系統(tǒng)整體測評.............................................................................................................................................10610.1概述..................................................................................................................................................................10610.2安全控制點間測評..........................................................................................................................................10610.3層面間測評......................................................................................................................................................10610.4區(qū)域間測評......................................................................................................................................................1710.5系統(tǒng)結構安全測評..........................................................................................................................................171等級測評結論.....................................................................................................................................................10711.1各層面的測評結論..........................................................................................................................................1711.2整體保護能力的測評結論..............................................................................................................................17附錄（資料性附錄）測評力度...........................................................................................................................109A.1測評方法的測評力度描述..............................................................................................................................109A.2信息系統(tǒng)測評力度..........................................................................................................................................109IIB/TXXXX–XXXX前言(略)IIIB/TXXXX–XXXX引 言依中人共國算機息統(tǒng)全護例（務院147號令《國信化導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號、《于系統(tǒng)全等保工作的實施意見》（公通字[2004]66號）和《信息安全等級保護管理辦法》（公通字[2007]43號）等有關文件要，定標。本標是息全級護相系標之。與本準關系標包括：——22240-2008息安技術息統(tǒng)等級護級南；——22239-2008息安技術息統(tǒng)等級護本求；——AAAA-AAAA安全術信系安級保實指。一般說信系需靠多安措進綜防范降其臨安風險本準息系統(tǒng)的項全施多個全施綜防對地出元評整體評技以指導評員信安等級護角對息統(tǒng)進測評元對安技和全上各個面安控點出不安保等的評要體評據(jù)全控點域間相關關以信系統(tǒng)體構信系整體全護力影提出評求。本標給了級評論中包的要容未規(guī)給測結的體方和化標。如果有殊定本準中信系主指算機息統(tǒng)。在本準本體測評求示要出在當?shù)榷彤數(shù)燃壪⒔y(tǒng)評要求沒出過。IVB/TXXXX–XXXX信息系統(tǒng)安全等級保護測評要求1 范圍本標規(guī)了信系安全級護況全測評的求包對第級息第二級息統(tǒng)第級系統(tǒng)第級息統(tǒng)行安測評的元評要和息測評要。標略對五級息統(tǒng)行元評的體容求。本標適于息全評服機息統(tǒng)管部及營用信息統(tǒng)全保護狀進的全試估息全管能依法行信安等保護督查以使用。2 規(guī)范引文件下列件的款過標準引而為標的條日的用件隨所改（包勘的容或修版不用本準而鼓根本準達協(xié)的否可使這文的新本。注期引文，其新本用本準。G5271.8 信技術詞匯第8部：全G22239-2008息全技術息統(tǒng)全保護本求3 術語定義G5271.8和G/22239-2008所確立的以及下列術語定義適用于標準。3.1 測評度 testingandevaluationintensity測評作際入量表征可由評度深度描。4 總則4.1 測評則a)客觀和正原則測評作然能全脫個主或斷但評人應在有見最小觀斷，按照評方互可測評案基明定的測方和程實測評動。b)經濟和重性則基于評本工復性考勵評作用以的評果包商業(yè)全品果和信系先的全評結所重的都應于些果能用于前系能映目前統(tǒng)安狀。c)可重性可現(xiàn)原則無論執(zhí)測依樣的用樣法對個評施的重執(zhí)都該到同樣測結再性體在同評執(zhí)相同評結的致可復體評者重執(zhí)相測的果的致。d)符合原則測評產的果當在對評標正理下所得良的斷評實過應用正確方以保滿了測指的求。4.2 測評容信息統(tǒng)全級評要包單測和體評兩分。單元評等測工的基活，個元評包測指、評施和果定。其中測指來于/22239-2008中的第級目錄中的各要求（詳見4.5節(jié)說明，測評實施描述評程使的體測方及測對象具測取過的要果評1B/TXXXX–XXXX人員行評施產各種評據(jù)何這些評據(jù)判被系統(tǒng)否足評要求的則方。整體評在元評基礎過一分信息統(tǒng)整安性對信系實合安全評整測主包括全制間層間和域相作的全測以系全測評整測需信息統(tǒng)實情相合因全地出測評求全內體實施程明的果定方是常難評人應據(jù)測統(tǒng)實際況結要求，施體評。測評法測人在評實過中使的法，要括談檢和測三測。其談指評通過導息統(tǒng)關員進有的有性流幫測員理解分或得據(jù)過程檢是測人通過測對（管制度操記置等行察查析以助評員解分析取證的程測試測人的方法具測對產特定行，過看分析果幫測人獲取據(jù)過。測評象測實的象即評程涉的信系的關制度類備及其安配等。4.3 測評度測評度在評程實施評作力映測的度深現(xiàn)為評作投入程評度大測評施范越評實包的評象越多測深需要在節(jié)展評越嚴此越要多的入投越評力就強有保評廣和落實訪檢和三種同測方能體出評施程訪談、查測的入度的同。信息全級護求同安保等的息統(tǒng)應有同安保能力滿相的保護求為檢不安全護級信系是否有應級安保護力是等級的護求需實其安保等相應測評付相的作達應的評度。第一級到第四級信息系統(tǒng)的測評力度反映在訪談、檢查和測試等三種基本測評方法的測評廣度和深度上實不單測中具的評施同安保等的息統(tǒng)在體所力度在錄A中述。4.4 結果用在信系中有安控制以依于所的地便測在部署運環(huán)便可以受全一商用全品測就于這安測果個信系部多個地系具一共同軟件固等組部這安控制測可個集成試境實果沒這環(huán)則在其一預的行點實在他行的安全評可用測結果。在信系所安控中一安控與所處的行境密（與員有關的些安控制，測評須在發(fā)相應行環(huán)中才進。如多個息系處地臨近的閉地統(tǒng)屬的構同個導管理下對些全制在個息重復測能對效源的種費因以在個定信系中進測息系統(tǒng)以接用些評結。4.5 使用法本標第5章第8章別描了一信系第級息統(tǒng)第信息統(tǒng)第信息系所單測的容章上別應標G22239-2008的第5章第8章在標22239-2008第5章第8章中各的級錄分為全術安管兩部，級錄全層如理全網(wǎng)安全主安等進劃分描級錄照安控點描述（主機全面下為身鑒別訪控制安全計等，第級是每個安控點面2B/TXXXX–XXXX包括具體全求以下稱“求”要求在本準被“測。標中針對一安控點測評構一單測單測中每個體測實要簡稱“評要”是全控點下所括的求項測評標相對的。 對每要項行測評能到談檢查測三測方也能到中種兩種為描測評要項有對一個求分進描而對有同評法的個求并描述但評施內完全了G22239-2008中所有要求項的測評要求,使用時，應當從單元測評測實中取對于22239-2008中每一個要求項測評要求按照這測評要發(fā)測評導，規(guī)和導安等測活。測評程評員注意測記和采集處儲銷保護在評免遭破、改遺，保守密。測評最輸是評告，評告結第章的求出級評論。5 第一級信息系統(tǒng)單測評5.1 安全術評5.1.1 物理全5.1.1.1物理問制5.1.1.1.1 測評標見G22239-20085.1.1.1。5.1.1.1.2 測評施本項求括：a) 應訪物安負人了解署哪控人進出房保措；b) 應檢是有人責房的入制有入房人的記錄。5.1.1.1.3 結果定如果5.1.1.1.2）為，則息系符本單測評標要，則，息系不符或分符合單測指要。5.1.1.2 防盜和破壞5.1.1.2.1測評標見G22239-20085.1.1.2。5.1.1.2.2 測評施本項求括：a)應訪物安負人了解取哪防設、介等失保措；b)應檢關設是放在機內其不被竊和破的控圍；c) 應檢關設或備主要件固情看其否易移或搬走是明顯的易去標。5.1.1.2.3 結果定如果5.1.1.2.2b和為肯信系符本單測指要則息統(tǒng)符合或部符本元評標要。5.1.1.3 防雷擊5.1.1.3.1測評標見G22239-20085.1.1.3。5.1.1.3.2 測評施本項求括：a) 應訪物安負人詢問房筑否置避雷置是通驗或國有的技術測；3B/TXXXX–XXXXb) 應檢機建是有雷裝。5.1.1.3.3 結果定如果5.1.1.3.2）為，則息系符本單測評標要，則，息系不符或分符合單測指要。5.1.1.4 防火5.1.1.4.1測評標見G22239-20085.1.1.4。5.1.1.4.2 測評施本項求括：a) 應訪物安負人詢問房否置滅設備是制了關房消的度和消預，否行消防訓；b) 應檢機是設了火設，火備放置是合，有期否合。5.1.1.4.3 結果定如果5.1.1.4.2a)和b）均為肯，則信息系統(tǒng)符本單元測評指標求，否則，信息系統(tǒng)不合或部符本元評標要。5.1.1.5防水防潮5.1.1.5.1測評標見G22239-20085.1.1.5。5.1.1.5.2 測評施本項求括：a) 應訪物安負人問機是部了水潮措否有現(xiàn)水和潮件；如果機房內有/下水管裝，查是否采必的保護措；b) 應檢穿主房壁樓板管是采必的防防等護施；c) 應檢機的和墻等否出過水滲和潮及其境否不存在顯漏和潮威脅如出漏、透和潮象否夠時修解。5.1.1.5.3 結果定如果5.1.1.5.2b和為肯信系符本單測指要則息統(tǒng)符合或部符本元評標要。5.1.1.6溫濕控制5.1.1.6.1測評標見G22239-20085.1.1.6。5.1.1.6.2 測評施本項求括：a) 應訪物安負人詢問房否備空等溫度制施保溫濕能計算機備行要，否在房理度規(guī)了溫度制要；b) 應檢空設是能正常行檢機溫度是滿計站地技術件求。5.1.1.6.3 結果定如果5.1.1.6.2）為，則息系符本單測評標要，則，息系不符或分符合單測指要。5.1.1.7 電力應5.1.1.7.1測評標見G22239-20085.1.1.7。5.1.1.7.2 測評施本項求括：4B/TXXXX–XXXXa) 應訪物安負人詢問算系供線上是設了壓和電壓護備；b) 應檢機看算系統(tǒng)電路是設了穩(wěn)器過壓護備些否正常行。5.1.1.7.3 結果定如果5.1.1.7.2）為，則息系符本單測評標要，則，息系不符或分符合單測指要。5.1.2 網(wǎng)絡全5.1.2.1結構全5.1.2.1.1 測評標見G22239-20085.1.2.1。5.1.2.1.2 測評施本項求括：a)應訪網(wǎng)管員詢關鍵絡備業(yè)處能力否足本務求；b)應訪網(wǎng)管員詢接入絡核網(wǎng)的寬是滿基業(yè)需；c)應檢網(wǎng)拓結圖查看與前行實網(wǎng)絡統(tǒng)否致。5.1.2.1.3 結果定本項求括：a)如果5.1.2.1.2c中少網(wǎng)拓結圖則否；b)如果5.1.2.1.2a）-c均為肯定，則息系統(tǒng)符合本元測評指標要求，否則，信息系不符合部符本元評指要。5.1.2.2 訪問制5.1.2.2.1測評標見G22239-20085.1.2.2。5.1.2.2.2 測評施本項求括：a)應訪安管員詢網(wǎng)絡問制措有些問絡問制備具哪訪控制功；b)應檢邊網(wǎng)設，看是有確訪控列表以過地、的地、、目的口協(xié)等行絡數(shù)流制其制度是至為戶。5.1.2.2.3 結果定如果5.1.2.2.2）為，則息系符本單測評標要，則，息系不符或分符合單測指要。5.1.2.3 網(wǎng)絡備護5.1.2.3.1測評標見G22239-20085.1.2.3。5.1.2.3.2 測評施本項求括：a) 應訪網(wǎng)管員詢關鍵絡備防措有哪問鍵絡備的錄方式做何配；問程管的備否取施防鑒信泄；b) 應檢邊和鍵絡備，看否置對錄用進身鑒的能；c) 應檢邊和鍵絡備，看否置鑒失敗理能；d) 應檢邊和鍵絡備看否置對遠程理產的別息進保功能。5.1.2.3.3 結果定5B/TXXXX–XXXX如果5.1.2.3.2b）-d）均為肯定，則息系統(tǒng)符合本單測評指標要求，否則，信息系統(tǒng)不符合或部符本元評標要。5.1.3 主機全5.1.3.1 身份別5.1.3.1.1測評標見G22239-20085.1.3.1。5.1.3.1.2 測評施本項求括：a) 應訪系管員數(shù)庫管員詢操系數(shù)據(jù)管系的份識與別采取何措實；b) 應檢關服器作統(tǒng)和鍵據(jù)管系，查是提了份別措。5.1.3.1.3 結果定如果5.1.3.1.2b)為肯則信息系統(tǒng)符合本單元評指標要求系統(tǒng)符合或部分符合本元評標求。5.1.3.2 訪問制5.1.3.2.1測評標見G22239-20085.1.3.2。5.1.3.2.2 測評施本項求括：a) 應檢關服器作統(tǒng)的全略查是對重文的問限行了制統(tǒng)不需的務共路等進了用刪；b) 應檢查關鍵服務操作統(tǒng)和鍵數(shù)庫理系，查匿名默認戶的訪問權是否被禁用者制是刪了系中余、期以及享帳；c) 應檢關服器作統(tǒng)和鍵據(jù)管系的權設情看依據(jù)全對用戶限行限。5.1.3.2.3 結果定如果5.1.3.2.2a）-c）均為肯，則信息統(tǒng)符合本單元測評指標求，否則，息系統(tǒng)不符合或部符本元評標要。5.1.3.3 入侵范5.1.3.3.1測評標見G22239-20085.1.3.3。5.1.3.3.2 測評施本項求括：a) 應訪系管員詢操作統(tǒng)所裝系組件應程是都必須作系統(tǒng)丁新方和期；b) 應檢關服器作統(tǒng)和鍵據(jù)管系的補是得了時新。5.1.3.3.3 結果定如果5.1.3.3.2b)肯定信息系統(tǒng)符合本單元測指標要求否則信息統(tǒng)不符合或部符合本單測指要。5.1.3.4 惡意碼范5.1.3.4.1測評標見G22239-20085.1.3.4。6B/TXXXX–XXXX5.1.3.4.2 測評施本項求括：a) 應訪系安管員詢問機統(tǒng)否取意代實檢與殺施意時檢測查措的署蓋范如；b) 應檢關服器查是否裝實檢與殺惡代的件品進行時新。5.1.3.4.3 結果定如果5.1.3.4.2）為，則息系符本單測評標要，則，息系不符或分符合單測指要。5.1.4 應用全5.1.4.1身份別5.1.4.1.1 測評標見G22239-20085.1.4.1。5.1.4.1.2 測評施本項求括：a) 應訪應系管員問應系是有用登錄制塊登的戶進身識和鑒，體取鑒措施什；b) 應訪應系管員詢問用統(tǒng)否有錄失處功；c) 應訪應系管員詢問用統(tǒng)否取施防鑒信傳過中被聽措施是么；d) 應檢關應系，看其否供份識鑒別能；e) 應檢關應系，看其供登失處功能是根安策配置。5.1.4.1.3 結果定如果5.1.4.1.2d和為肯信系符本單測指要則息統(tǒng)符合或部符本元評標要。5.1.4.2 訪問制5.1.4.2.1測評標見G22239-20085.1.4.2。5.1.4.2.2 測評施本項求括：a) 應訪應系管員詢問用統(tǒng)否供問控措及體施和問略有哪；b) 應檢查關鍵應用統(tǒng)，看系是否供問控功能制用組/戶對系統(tǒng)功和用數(shù)據(jù)的問；c) 應檢關應系其是具由權戶置其用訪系功和用數(shù)權限的能是限默用戶訪權；d) 應測關應系通過不權的戶錄系看擁的限是與予的權一，證用統(tǒng)訪控功是有。5.1.4.2.3 結果定如果5.1.4.2.2b）-d）均為肯定，則息系統(tǒng)符合本單測評指標要求，否則，信息系統(tǒng)不符合或部符本元評標要。5.1.4.3通信整性5.1.4.3.1測評標見G22239-20085.1.4.3。5.1.4.3.2 測評施7B/TXXXX–XXXX本項求括：a) 應訪安管員詢應用統(tǒng)否有數(shù)傳輸程保其整的措施是什；b) 應檢設或收檔查看是有于護信完性說。5.1.4.3.3 結果定如果5.1.4.3.2）為，則息系符本單測評標要，則，息系不符或分符合單測指要。5.1.4.4 軟件錯5.1.4.4.1測評標見G22239-20085.1.4.4。5.1.4.4.2 測評施本項求括：a) 應訪應系管員詢問用統(tǒng)否有證軟容能的施具體；b) 應檢關應系應用統(tǒng)否有人接口入通接輸?shù)臄?shù)進效性檢的能；c) 應測關應系通過人接輸?shù)耐L或式數(shù)看系的驗證系人接有性驗功是正。5.1.4.4.3 結果定如果5.1.4.4.2b和為肯信系符本單測指要則息統(tǒng)符合或部符本元評標要。5.1.5 數(shù)據(jù)全備恢復5.1.5.1數(shù)據(jù)整性5.1.5.1.1 測評標見G22239-20085.1.5.1。5.1.5.1.2 測評施本項求括：a)應訪安管員詢關鍵用統(tǒng)戶據(jù)傳輸程是有整保證施具措施有些；b)應檢查關鍵應用系統(tǒng)，查看其是否配備檢測重要用戶數(shù)據(jù)在傳輸過程中完整性受到破壞的功能。5.1.5.1.3 結果定如果5.1.5.1.2b）為肯定，則信息系統(tǒng)符合本單元測評指標要求，否則，信息系統(tǒng)不符合或部分符合單測指要。5.1.5.2備份恢復5.1.5.2.1測評標見G22239-20085.1.5.2。5.1.5.2.2 測評施本項求括：a)應訪網(wǎng)管員詢是否網(wǎng)設中配文件行份備策是什其到破壞，復略什；b)應訪系管員詢是否操系中重信息行份備策是什其到破壞，復略什；c)應訪數(shù)庫理，問是對據(jù)管系中的鍵據(jù)行份備份略；當其到壞，復略是么；8B/TXXXX–XXXXd)應訪安管員詢是否應系中應程序行份備策是什其到破壞，復略什；e)應檢關主操系關網(wǎng)設關據(jù)庫理統(tǒng)關應系統(tǒng)查其否提供份恢功份和復能配是正確并查實備結果否備策略一。5.1.5.2.3 結果定如果5.1.5.2.2e）為肯定，則信息系統(tǒng)符合本單元測評指標要求，否則，信息系統(tǒng)不符合或部分符合單測指要。5.2 安全理評5.2.1 安全理度5.2.1.1管理度5.2.1.1.1 測評標B22239-20085.2.1.1。5.2.1.1.2 測評施本項求括：a) 應檢各安管制查是覆物理絡機統(tǒng)據(jù)用設管等層面。5.2.1.1.3 結果定如果5.2.1.1.2）為，則息系符本單測評標要，則，息系不符或分符合單測指要。5.2.1.2制定發(fā)布5.2.1.2.1測評標見G/22239-20085.2.1.2。5.2.1.2.2 測評施本項求括：a) 應訪安主，問否有人責定全理制；b) 應訪安管制修訂問全制度發(fā)方是夠發(fā)到關員手中。5.2.1.2.3 結果定如果5.2.1.2.2a和為肯信系符本單測指要則息統(tǒng)符合或部符本元評標要。5.2.2 安全理構5.2.2.1崗位置5.2.2.1.1 測評標見G22239-20085.2.2.1。5.2.2.1.2 測評施本項求括：a) 應訪安主，問息系設了些作位，個位職分是否確；b) 應檢崗職分文看定的位中是包系管網(wǎng)絡理安全管理等要位職。5.2.2.1.3 結果定如果5.2.2.1.2a和為肯信系符本單測指要則息統(tǒng)符合或部符本元評標要。9B/TXXXX–XXXX5.2.2.2 人員備5.2.2.2.1測評標見G22239-20085.2.2.2。5.2.2.2.2 測評施本項求括：a) 應訪安主，問個安管崗的員備情；b) 應檢安管各位員信看是確機管統(tǒng)員網(wǎng)管員和安全理等要位員的息。5.2.2.2.3 結果定如果5.2.2.2.2a)和b）均為肯，則信息系統(tǒng)符本單元測評指標求，否則，信息系不符合或部符本元評標要。5.2.2.3授權審批5.2.2.3.1測評標見G/22239-20085.2.2.3。5.2.2.3.2 測評施本項求括：a) 應訪安主詢是否要信系中關鍵動行部門何批準人何，們審活動否到權；b) 應訪安主，問對關活的批圍。5.2.2.3.3 結果定如果5.2.2.3.2a和為肯信系符本單測指要則息統(tǒng)符合或部符本元評標要。5.2.2.4溝通合作5.2.2.4.1測評標見G22239-20085.2.2.4。5.2.2.4.2 測評施本項求括：a) 應訪安主詢否經與安公司兄單聯(lián)系和作式哪些；b) 應檢外單說文看聯(lián)位否公安信司弟單是說明外聯(lián)位聯(lián)人聯(lián)方式內。5.2.2.4.3 結果定如果5.2.2.4.2a和為肯信系符本單測指要則息統(tǒng)符合或部符本元評標要。5.2.3 人員全理5.2.3.1人員用5.2.3.1.1 測評標見G22239-20085.2.3.1。5.2.3.1.2 測評施本項求括：a)應訪談安主，問否有專門部或員責人的錄用作由部門何負責；b)應訪人管相人詢在員用對員條有些求是對被用份和專資進審；10B/TXXXX–XXXXc) 應檢人錄要管文檔查是說錄人員具的如歷位技術人應備專技水平管人應備安全理識）；d) 應檢是具人錄時對用身業(yè)格等行查相文或記否記錄查容審結等。5.2.3.1.3 結果定如果5.2.3.1.2a）-d）均為肯定，則息系統(tǒng)符合本單元測評標要求，則，信息系統(tǒng)不合或部符本元評標要。5.2.3.2 人員崗5.2.3.2.1測評標見G/22239-20085.2.3.2。5.2.3.2.2 測評施本項求括：a) 應訪安主問否及終離人的有訪權回種份證徽章以機提的硬設備；b) 應檢是具對崗員的全理錄如還身證、備的記記）。5.2.3.2.3 結果定如果5.2.3.2.2a和為肯信系符本單測指要則息統(tǒng)符合或部符本元評標要。5.2.3.3 安全識育培訓5.2.3.3.1測評標見G22239-20085.2.3.3。5.2.3.3.2 測評施本項求括：a) 應訪安主問否對個位員行全教和位能訓告知關知識、全任懲措，具的訓式哪；b) 應訪安管員考其對作關信安基礎識安責和戒措等程度。5.2.3.3.3 結果定如果5.2.3.3.2a和為肯信系符本單測指要則息統(tǒng)符合或部符本元評標要。5.2.3.4 外部員問理5.2.3.4.1測評標見G22239-20085.2.3.4。5.2.3.4.2 測評施本項求括：a) 應訪安管員詢對外人訪重區(qū)（如問房重服器或備采取了些全施是經有部或責批才能問；b) 應檢外人訪管文檔查是有外員訪機等要域經過關或負責批的容。5.2.3.4.3 結果定如果5.2.3.4.2a和為肯信系符本單測指要則息統(tǒng)符合或部符本元評標要。1B/TXXXX–XXXX5.2.4 系統(tǒng)設理5.2.4.1系統(tǒng)級5.2.4.1.1 測評標見G22239-20085.2.4.1。5.2.4.1.2 測評施本項求括：a) 應訪安主問定信系安保等的方是參定指的指程是否書描；級果是獲了關門批準；b) 應檢系定文看文是明信系的邊和息統(tǒng)安保護級說明定的法理，看定結是有關門的準章。5.2.4.1.3 結果定本項求括：a) 5.2.4.1.2a沒上管部如有單信息全管導批該為；b) 如果5.2.4.1.2a和為肯信系符本單測指要則息統(tǒng)不符合部符本元評指要。5.2.4.2 安全案計5.2.4.2.1 測評標見G/22239-20085.2.4.2。5.2.4.2.2 測評施本項求括：a) 應訪系建負人詢問否據(jù)統(tǒng)安級別擇本全是否據(jù)險析的結補和整全施，體過些整；b) 應檢系的全案查看案否述統(tǒng)安全護否描述系的全策略是詳描了統(tǒng)采的全施內；c) 應檢系的細計案查詳設方否對安方進細否安設方案安產采方。5.2.4.2.3 結果定如5.2.4.2.2a）-c）均為肯定，則信系統(tǒng)符合本單元評指標要求，否則，信系統(tǒng)不符合或部分合單測指要求。5.2.4.3 產品購使用5.2.4.3.1測評標見G/22239-20085.2.4.3。5.2.4.3.2 測評施本項求括：a) 應訪系建負人詢問息全品采情況是有品購單指產，采購程何制；b) 應訪系建負人詢問統(tǒng)用有信安全品否合家有關定。5.2.4.3.3 結果定如果5.2.4.3.2a和為肯信系符本單測指要則息統(tǒng)符合或部符本元評標要。5.2.4.4 自行件發(fā)5.2.4.4.1測評標見G/22239-20085.2.4.4。12B/TXXXX–XXXX5.2.4.4.2 測評施本項求括：a) 應訪系建負人詢問否行主發(fā)件主發(fā)件否獨立模中編寫調和成；b) 應訪系建負人詢問件計關檔否由人責管負人是人；c) 應檢是具軟設相關檔。5.2.4.4.3 結果定如果5.2.4.4.2a）-c）均為肯，則信息系統(tǒng)符合本單元測評指標求，否則，息系統(tǒng)不符合或部符本元評標要。5.2.4.5 外包件發(fā)5.2.4.5.1測評標見G22239-20085.2.4.5。5.2.4.5.2 測評施本項求括：a)應訪系建負詢問件付是依開發(fā)求技指對件功和能進行驗測，件裝前是檢軟中惡代碼；b)應檢是具需分說明件設說書軟件作冊軟開文檔使。5.2.4.5.3 結果定如果5.2.4.5.2a和均為定則息統(tǒng)合本元評標否則信系符合或分合單測指標求。5.2.4.6 工程施5.2.4.6.1測評標見G22239-20085.2.4.6。5.2.4.6.2 測評施應訪系建負人詢問否定門門人員工實過進進度質控何部門/何人負責。5.2.4.6.3 結果定如果5.2.4.6.2為定則信系統(tǒng)合單元評指要求否，信系統(tǒng)符合部符合本元評標求。5.2.4.7 測試收5.2.4.7.1測評標見G22239-20085.2.4.7。5.2.4.7.2 測評施本項求括：a) 應訪系建負人詢問信系建完后是對進安性試驗；b) 應檢工測驗方查其否確明與測的門人試驗內場操作程內；c) 應檢測驗記是詳細錄測時員場作程測驗收果內容；d) 應檢是具系測驗收告。5.2.4.7.3 結果定如果5.2.4.7.2a）-d）均為肯定，則信息系統(tǒng)符合本單元測評指標要求，否則，信息系統(tǒng)不符合或部符本元評標要。13B/TXXXX–XXXX5.2.4.8 系統(tǒng)付5.2.4.8.1測評標見G22239-20085.2.4.8。5.2.4.8.2 測評施本項求括：a)應訪系建負人詢問統(tǒng)接作否據(jù)交清對交的備檔軟等進行點；b)應訪系建負人詢問前信系是由內人獨運維如是系正式運前否運維人員行培，對些方進過訓；c)應檢是具系交清單明統(tǒng)付各設備軟、檔；d)應檢是具系建文檔指用進系運維文、統(tǒng)訓冊等。5.2.4.8.3 結果定如果5.2.4.8.2a）-d）均為肯定，則信息系統(tǒng)符合本單元測評指標要求，否則，信息系統(tǒng)不符合或部符本元評標要。5.2.4.9 安全務選擇5.2.4.9.1測評標見G/22239-20085.2.4.9。5.2.4.9.2 測評施本項求括：a)應訪系建負人詢問息統(tǒng)擇安服務有些是符國家關定；b)應檢是具與全務商訂安責合書或密議文看其容否含保密圍安責、約責、議有期和責人簽等。5.2.4.9.3 結果定如果5.2.4.9.2a和均為定則息統(tǒng)合本元評標否則信系符合或分合單測指標求。5.2.5 系統(tǒng)維理5.2.5.1環(huán)境理5.2.5.1.1 測評標見G/22239-20085.2.5.1。5.2.5.1.2 測評施本項求括：a) 應訪系運負人詢問否專的門人員機基設進定期護部門/何人責，維護周期長；b) 應訪談系運負人詢問對機的入、服器開/機何進行；c) 應檢查機房全理制，查其內容是覆蓋房物訪問物帶進/出機和機環(huán)境安等面。5.2.5.1.3 結果定如果5.2.5.1.2a）-c）均為肯，則信息系統(tǒng)符合本單元測評指標求，否則，息系統(tǒng)不符合或部符本元評標要。5.2.5.2 資產理5.2.5.2.1測評標見G22239-20085.2.5.2。5.2.5.2.2 測評施應檢資清，看內容否蓋產任門、任、處置重要度方；14B/TXXXX–XXXX5.2.5.2.3 結果定如果5.2.5.2.2為則信系符本元評指要否信統(tǒng)不合部符合本單測指要。5.2.5.3 介質理5.2.5.3.1測評標見G22239-20085.2.5.3。5.2.5.3.2 測評施本項求括：a) 應訪資管介質存環(huán)是采保護施止質被質存儲信息未權改及法泄等；b) 應訪資管員詢是否據(jù)質目清對介的用狀行期檢；c) 應檢介管記，看其否錄質檔查詢情。5.2.5.3.3 結果定本項求括：a) 如果5.2.5.3.2a中火、水防等面有措，為定；b) 如果5.2.5.3.2a）-c）為肯定，則息系統(tǒng)符合本單元測評指標要求，否則，信息系不符合部符本元評指要。5.2.5.4 設備理5.2.5.4.1測評標見G22239-20085.2.5.4。5.2.5.4.2 測評施本項求括：a) 應訪資管是否專的門人對各設線進期維對類測試工具進行有效性查，由何部門何人負，維護周期長；b) 應訪資管員詢是否設選的個（型采放領用批控制；c) 應檢設安管制看內是明各種硬設的采放領用等環(huán)進申和批。5.2.5.4.3 結果定如果5.2.5.4.2a）-c）均為肯，則信息系統(tǒng)符合本單元測評指標求，否則，息系統(tǒng)不符合或部符本元評標要。5.2.5.5 網(wǎng)絡全理5.2.5.5.1測評標見G/22239-20085.2.5.5。5.2.5.5.2 測評施本項求括：a)應訪安主問否指人負維網(wǎng)運行志監(jiān)記和析處報信等網(wǎng)絡全理作；b)應訪安管員詢是否期網(wǎng)設進漏洞描掃周多發(fā)漏是及時修；c)應檢網(wǎng)漏掃報，檢掃時間與描周是一。5.2.5.5.3 結果定如果5.2.5.5.2a）-c）均為肯定，則信息系統(tǒng)符合本單元測評指標要求，否則，信息系統(tǒng)不符合或部符本元評標要。15B/TXXXX–XXXX5.2.5.6 系統(tǒng)全理5.2.5.6.1測評標見G/22239-20085.2.5.6。5.2.5.6.2 測評施本項求括：a)應訪系管員詢是否據(jù)務求系安全析定統(tǒng)訪控制略控分配信系件服的訪權否時裝最安補程和行漏修安裝系補前否重文件行份；b)應訪安管員詢是否期系進漏掃描掃周多長現(xiàn)漏是及修補；c)應檢系漏掃報，檢掃時間與描周是一。5.2.5.6.3 結果定如果5.2.5.6.2a）-c）均為肯，則信息系統(tǒng)符合本單元測評指標求，否則，息系統(tǒng)不符合或部符本元評標要。5.2.5.7 惡意碼范理5.2.5.7.1測評標見G/22239-20085.2.5.7。5.2.5.7.2 測評施應訪系運負人詢問否員進基惡意碼范識教是告應級軟件本使外設網(wǎng)絡接文和來算機存設接網(wǎng)系統(tǒng)前進病查等。5.2.5.7.3 結果定如果5.2.5.7.2為則信系符本元評指要否信統(tǒng)不合部符合本單測指要。5.2.5.8 備份恢管理5.2.5.8.1測評標見G22239-20085.2.5.8。5.2.5.8.2 測評施本項求括：a)應訪系管員數(shù)庫管問否出需定備的務息系數(shù)軟件系，要哪；b)應檢備管文，看其否確份式備份度存介和存期。5.2.5.8.3 結果定如果5.2.5.8.2a和肯定則息統(tǒng)合單元評標求否信系不合或部分合單測指要求。5.2.5.9 安全件置5.2.5.9.1測評標見G/22239-20085.2.5.9。5.2.5.9.2 測評施本項求括：a)應訪系運負人詢問否知戶發(fā)安全點可事時及時告；b)應檢安事報和置管制查其明確全件現(xiàn)處件告期恢復管職。16B/TXXXX–XXXX5.2.5.9.3 結果定如果5.2.5.9.2a和為肯，信系符本單測指要，則，息統(tǒng)合或部符本元評標要。6 第二級信息系統(tǒng)單測評6.1 安全術評6.1.1 物理全6.1.1.1 物理置選擇6.1.1.1.1測評標見G22239-20086.1.1.1。6.1.1.1.2 測評施本項求括：a) 應訪談物理安全負責人，詢問現(xiàn)有機房和放置終端計算機設備的辦公場地的環(huán)境條件是否能夠滿足信息系統(tǒng)業(yè)需和安全管理需求，否有基本的防震、防和雨等能力；b) 應檢查機房和辦公地否在具有防震、防和雨等能力的建筑內。6.1.1.1.3 結果定如果6.1.1.1.2）為，則息系符本單測評標要，則，息系不符或分符合單測指要。6.1.1.2 物理問制6.1.1.2.1測評標見G22239-20086.1.1.2。6.1.1.2.2 測評施本項求括：a) 應訪物安負人了解署哪控人進出房保措；b) 應檢查機房安全管制，查看是否有關于房入方面的規(guī)定；c) 應檢查機房出入口是否有專人值守，是否有值守記錄及人員進入機房的登記記錄；檢查機房是否不存在專人值之的其他出入口；d) 應檢查是否有來訪員入機房的審批記錄查審批記錄是否包括訪員的訪問范圍。6.1.1.2.3 結果定如果6.1.1.2.2b）-d）均為肯定，則息系統(tǒng)符合本單測評指標要求，否則，信息系統(tǒng)不符合或部符本元評標要。6.1.1.3 防盜和破環(huán)6.1.1.3.1測評標見G22239-20086.1.1.3。6.1.1.3.2 測評施本項求括：a) 應訪物安負人了解取哪防設、介等失保措；b) 應訪談機房維護人員，詢問關鍵設備放置位置是否做到安全可控，設備或主要部件是否進行了固定和標記，通信線纜是否鋪設在隱蔽處；是否對機房安裝的防盜報警設施并定期進行維護檢查；c) 應訪談資產管理員，介質是否進行了分類標識管理，介質是否存放在介質庫或檔案室內進行管理；d) 應檢關設是放在機內其不被竊和壞可范內查關設設備的要件固情查看是不被動被搬否置顯易除的；17B/TXXXX–XXXXe) 應檢查通信線纜鋪是在隱蔽處；f) 應檢查機房防盜報設是否正常運行，并看否有運行和報警記；g) 應檢查介質的管理況查看介質是否有正的類標識，是否存放介庫或檔案室內。6.1.1.3.3 結果定如果6.1.1.3.2d）-g）均為肯定，則息系統(tǒng)符合本單測評指標要求，則，信息系統(tǒng)不合或部符本元評標要。6.1.1.4 防雷擊6.1.1.4.1測評標見G22239-20086.1.1.4。6.1.1.4.2 測評施本項求括：a) 應訪談物理安全負責人，詢問為防止雷擊事件導致重要設備被破壞采取了哪些防護措施，機房建是設了雷置否通驗或有關門技檢測問機房計算機供電系統(tǒng)是否有交流電地；b) 應檢機建是有雷裝，是否有交地；6.1.1.4.3 結果定如果6.1.1.4.2）為，則息系符本單測評標要，則，息系不符或分符合單測指要。6.1.1.5 防火6.1.1.5.1測評標見G22239-20086.1.1.5。6.1.1.5.2 測評施本項求括：a) 應訪談物理安全負責人，詢問機房是否設置了滅火設備，是否設置了火災自動報警系統(tǒng)，是否有人負責維護該系統(tǒng)的運行，是否制定了有關機房消防的管理制度和消防預案，是否進行了消培；b) 應訪談機房維護人，問是否對火災自動警統(tǒng)定期進行檢查和護；c) 應檢機是設了火設火放置是合有期否應檢查機房火災自動報警系是正常工作查是否有行記錄報警錄定檢查和維修記錄。6.1.1.5.3 結果定如果6.1.1.5.2a)-c均為肯定則信息系統(tǒng)符合本單元測評指標要求否則信息系統(tǒng)不符合或部分合單測指要求。6.1.1.6防水防潮6.1.1.6.1測評標見G22239-20086.1.1.6。6.1.1.6.2 測評施本項求括：a) 應訪談物理安全責人詢問房是否部了防防潮施；果房內有上/下管，是否免過頂活地板下穿墻和的水是采了靠