等級(jí)保護(hù)20二級(jí)要求測(cè)評(píng)方法

安全物理環(huán)境

物理位置選擇

測(cè)評(píng)單元（L2-PES1-01）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：機(jī)房場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。

b）測(cè)評(píng)對(duì)象：記錄類文檔和機(jī)房。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查所在建筑物是否具有建筑物抗震設(shè)防審批文檔；

2）應(yīng)核查機(jī)房是否不存在雨水滲漏：

3）應(yīng)核查機(jī)房門窗是否不存在因風(fēng)導(dǎo)致的塵土嚴(yán)重；

4）應(yīng)核查屋頂、墻體、門窗和地面等是否沒(méi)有破損開(kāi)裂.

d）單元判定：如果1）~4）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符

合本測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-PES1-02）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的頂層或地下室，否則應(yīng)加強(qiáng)防水和防潮措施。

b）測(cè)評(píng)對(duì)象：機(jī)房。

O測(cè)評(píng)實(shí)施：應(yīng)核杳機(jī)房是否不位「?所在建筑物的頂層或地下室，如果否，則核查機(jī)房是

否采取了防水和防潮措施。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本

測(cè)評(píng)單元指標(biāo)要求。

物理訪問(wèn)控制

測(cè)評(píng)單元（L2-PES1-03）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：機(jī)房出人口應(yīng)安排專人值守或配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的

人員。

b）測(cè)評(píng)對(duì)象：機(jī)房電子門禁系統(tǒng)和值守記錄。

O測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查是否安排專人值守或配置電子門禁系統(tǒng)；。

2）應(yīng)核查相關(guān)記錄是否能夠控制、鑒別和記錄進(jìn)人的人員。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求°

防盜竊和防破壞

測(cè)評(píng)單元（L2-PES1-04）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)識(shí)。

b）測(cè)評(píng)對(duì)象：機(jī)房設(shè)備或主要部件。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核杳機(jī)房?jī)?nèi)設(shè)備或主要部件是否固定：

2）應(yīng)核查機(jī)房?jī)?nèi)設(shè)備或主要部件上是否設(shè)置了明顯且不易除去的標(biāo)識(shí)。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-PES1-05）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)將通信線纜鋪設(shè)在隱蔽安全處。

b）測(cè)評(píng)對(duì)象：機(jī)房通信線纜。

C）測(cè)評(píng)實(shí)施：應(yīng)核查機(jī)房?jī)?nèi)通信線纜是否鋪設(shè)在隱蔽安全處，如橋架中等。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合

本測(cè)評(píng)單元指標(biāo)要求。

防雷擊

測(cè)評(píng)單元（L2-PES1-06）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)將各類機(jī)柜、設(shè)施和設(shè)備等通過(guò)接地系統(tǒng)安全接地。

b）測(cè)評(píng)對(duì)象：機(jī)房。

c）測(cè)評(píng)實(shí)施：應(yīng)核查機(jī)房?jī)?nèi)機(jī)柜、設(shè)施和設(shè)備等是否進(jìn)行接地處理。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本

測(cè)評(píng)單元指標(biāo)要求。

防火

測(cè)評(píng)單元（L2-PES1-07）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，并自動(dòng)滅

火。

b）測(cè)評(píng)對(duì)象：機(jī)房防火設(shè)施。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查機(jī)房?jī)?nèi)是否設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)；

2）應(yīng)核查火災(zāi)自動(dòng)消防系統(tǒng)是否可以自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警并自動(dòng)滅火。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求。

防靜電

測(cè)評(píng)單元（L2-PES1-11）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)采用防靜電地板或地面并采用必要的接地防靜電措施。

b）測(cè)評(píng)對(duì)象：機(jī)房。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核杳機(jī)房?jī)?nèi)是否安裝了防靜電地板或地面；

2）應(yīng)核查機(jī)房?jī)?nèi)是否采用了接地防靜電措施。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求。

溫濕度控制

測(cè)評(píng)單元（L2-PES1-12）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)設(shè)置溫濕度自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房溫濕度的變化在設(shè)備運(yùn)行所允許的范圍

之內(nèi)。

b）測(cè)評(píng)對(duì)象：機(jī)房溫濕度調(diào)節(jié)設(shè)施。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容。

1）應(yīng)核杳機(jī)房?jī)?nèi)是否配備了專用空調(diào)：

2）應(yīng)核查機(jī)房?jī)?nèi)溫濕度是否在設(shè)備運(yùn)行所允許的范圍之內(nèi)。

d）單元判定：如果1）和2）均為肯定。則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求。

電力供應(yīng)

測(cè)評(píng)單元（L2-PES1-13）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備。

b）測(cè)評(píng)對(duì)象：機(jī)房供電設(shè)施。

c）測(cè)評(píng)實(shí)施：應(yīng)核查供電線路上是否配置了穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本

測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-PES1-14）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)提供短期的備用電力供應(yīng)，至少滿足設(shè)備在斷電情況下的正常運(yùn)行要求。

b）測(cè)評(píng)對(duì)象：機(jī)房備用供電設(shè)施。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查機(jī)房是否配備IPS等后備電源系統(tǒng)；

2）應(yīng)核查UPS等后備電源系統(tǒng)是否滿足設(shè)備在斷電情況卜的正常運(yùn)行要求。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求。

電磁防護(hù)

測(cè)評(píng)單元（L2-PES1-15）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾。

b）測(cè)評(píng)對(duì)象：機(jī)房線纜。

c）測(cè)評(píng)實(shí)施：應(yīng)核查機(jī)房?jī)?nèi)電源線纜和通信線纜是否隔離鋪設(shè)。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本

測(cè)評(píng)單元指標(biāo)要求。

安全通信網(wǎng)絡(luò)

網(wǎng)絡(luò)架構(gòu)

測(cè)評(píng)單元（L2-CNS1-01）o

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地

址。

b）測(cè)評(píng)對(duì)象：路由器、交換機(jī)、無(wú)線接人設(shè)備和防火墻等提供網(wǎng)絡(luò)通信功能的設(shè)備或相關(guān)

組件。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核杳是否依據(jù)重要性、部門等因素劃分不同的網(wǎng)絡(luò)區(qū)域；

2）應(yīng)核查相關(guān)網(wǎng)絡(luò)設(shè)備配置信息，驗(yàn)證劃分的網(wǎng)絡(luò)區(qū)域是否與劃分原則一致.

d）單元判定；如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-CNS1-02）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)

采取可靠的技術(shù)隔離手段。

b）測(cè)評(píng)對(duì)象：網(wǎng)絡(luò)拓?fù)洹?/p>

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查網(wǎng)絡(luò)拓?fù)鋱D是否與實(shí)際網(wǎng)絡(luò)運(yùn)行環(huán)境一致；

2）應(yīng)核杳重要網(wǎng)絡(luò)區(qū)域是否未部署在網(wǎng)絡(luò)邊界處；

3）應(yīng)核杳重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間是否采取可靠的技術(shù)隔離手段，如網(wǎng)閘、防火

墻和設(shè)備訪問(wèn)控制列表（ACL）等。

d）單元判定：如果1）~3）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符

合本測(cè)評(píng)單元指標(biāo)要求。

通信傳輸

測(cè)評(píng)單元（L2-CNS1-03）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)采用校驗(yàn)技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性。

b）測(cè)評(píng)對(duì)象：提供校驗(yàn)技術(shù)功能的設(shè)備或組件。

c）測(cè)評(píng)實(shí)施：應(yīng)核查是否在數(shù)據(jù)傳輸過(guò)程中使用校驗(yàn)技術(shù)來(lái)保護(hù)其完整性。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本

測(cè)評(píng)單兀指標(biāo)要求。

可信驗(yàn)證

測(cè)評(píng)單元（L2-CNS1-04）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：可基于可信根對(duì)通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信

應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成

審計(jì)記錄送至安全管理中心。

b）測(cè)評(píng)對(duì)象：提供可信驗(yàn)證的設(shè)備或組件、提供集中審計(jì)功能的系統(tǒng)。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查是否基于可信根對(duì)通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)

用程序等進(jìn)行可信驗(yàn)證；

2）應(yīng)核查當(dāng)檢測(cè)到通信設(shè)備的可信性受到破壞后是否進(jìn)行報(bào)警；

3）應(yīng)核查驗(yàn)證結(jié)果是否以審計(jì)記錄的形式送至安全管理中心。

d）單元判定：如果1）飛）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符

合本測(cè)評(píng)單元指標(biāo)要求。

安全區(qū)域邊界

邊界防護(hù)

測(cè)評(píng)單元（L2-ABS1-01）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)保證跨越邊界的訪問(wèn)和數(shù)據(jù)流通過(guò)邊界設(shè)備提供的受控接口進(jìn)行通信。

b）測(cè)評(píng)對(duì)象：網(wǎng)閘、防火墻、路由器、交換機(jī)和無(wú)線接入網(wǎng)關(guān)設(shè)備等提供訪問(wèn)控制功能的

設(shè)備或相關(guān)組件。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查在網(wǎng)絡(luò)邊界處是否部署訪問(wèn)控制設(shè)備；

2）應(yīng)核查設(shè)備配置信息是否指定端口進(jìn)行跨越邊界的網(wǎng)絡(luò)通信，指定端口是否配置并啟用

了安全策略；

3）應(yīng)采用其他技術(shù)手段「如非法無(wú)線網(wǎng)絡(luò)設(shè)備定位、核查設(shè)備配置信息等）核查是否不存

在其他未受控端口進(jìn)行跨越邊界的網(wǎng)絡(luò)通信。

d）單元判定：如果1）飛）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符

合本測(cè)評(píng)單元指標(biāo)要求。

訪問(wèn)控制

測(cè)評(píng)單元（L2-ABS1-02）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問(wèn)控制策略設(shè)置訪問(wèn)控制規(guī)則，默認(rèn)情況下

除允許通信外受控接口拒絕所有通信。

b）測(cè)評(píng)對(duì)象：網(wǎng)閘、防火墻、路由器。交換機(jī)和無(wú)線接人網(wǎng)關(guān)設(shè)備等提供訪問(wèn)控制功能的

設(shè)備或相關(guān)組件。

O測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查在網(wǎng)絡(luò)邊界或區(qū)域之間是否部署訪問(wèn)控制設(shè)備并啟用訪問(wèn)控制策略；

2）應(yīng)核查設(shè)備的最后一條訪問(wèn)控制策略是否為禁止所有網(wǎng)絡(luò)通信。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-ABS1-03）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)刪除多余或無(wú)效的訪問(wèn)控制規(guī)則，優(yōu)化訪問(wèn)控制列表，并保證訪問(wèn)控制規(guī)

則數(shù)量最小化。

b）測(cè)評(píng)對(duì)象：網(wǎng)閘、防火墻、路由器、交換機(jī)和無(wú)線接人網(wǎng)關(guān)設(shè)備等提供訪問(wèn)控制功能的

設(shè)備或相關(guān)組件。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查是否不存在多余或無(wú)效的訪問(wèn)控制策略；

2）應(yīng)核查不同的訪問(wèn)控制策略之間的邏輯關(guān)系及前后排列順序是否合理。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單.元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-ABS1-04）

該測(cè)評(píng)單元包括以卜要求：

a測(cè)評(píng)指標(biāo)：應(yīng)對(duì)源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒絕

數(shù)據(jù)包進(jìn)出。

b）測(cè)評(píng)對(duì)象：網(wǎng)閘、防火墻、路由器、交換機(jī)和無(wú)線接人網(wǎng)關(guān)設(shè)備等提供訪問(wèn)控制功能

的設(shè)備或相關(guān)組件。

c）測(cè)評(píng)實(shí)施：應(yīng)核查設(shè)備的訪問(wèn)控制策略中是否設(shè)定了源地址、FI的地址、源端口、FI的

端口和協(xié)議等相關(guān)配置參數(shù)。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本

測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元(L2-ABS1-05)

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)能根據(jù)會(huì)話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力。

b）測(cè)評(píng)對(duì)象：網(wǎng)閘、防火墻、路由器、交換機(jī)和無(wú)線接人網(wǎng)關(guān)設(shè)備等提供訪問(wèn)控制功能的

設(shè)備或相關(guān)組件。

c）測(cè)評(píng)實(shí)施：應(yīng)核查是否采用會(huì)話認(rèn)證等機(jī)制為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的

能力。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本

測(cè)評(píng)單元指標(biāo)要求。

入侵防范

測(cè)評(píng)單元（L2-ABS1-06）

該測(cè)評(píng)單元包括以卜要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處監(jiān)視網(wǎng)絡(luò)攻擊行為。

b）測(cè)評(píng)對(duì)象：抗APT攻擊系統(tǒng)、網(wǎng)絡(luò)問(wèn)潮系統(tǒng)、抗DDoS攻擊系統(tǒng)、人侵保護(hù)系統(tǒng)和入侵

檢測(cè)系統(tǒng)或相關(guān)組件。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查是否能夠檢測(cè)到以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)

攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊等；

2）應(yīng)核查相關(guān)系統(tǒng)或設(shè)備的規(guī)則庫(kù)版本是否已經(jīng)更新到最新版本；

3）應(yīng)核杳相關(guān)系統(tǒng)或設(shè)備配置信息或安全策略是否能夠覆蓋網(wǎng)絡(luò)所有關(guān)鍵節(jié)點(diǎn)。

d）單元判定：如果1）~3）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求。

惡意代碼防范

測(cè)評(píng)單元（L2-ABS1-07）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)惡意代碼進(jìn)行檢測(cè)和清除，并維護(hù)惡意代碼防護(hù)機(jī)制

的升級(jí)和更新。

b）測(cè)評(píng)對(duì)象：防病毒網(wǎng)關(guān)和ITM等提供防惡意代碼功能的系統(tǒng)或相關(guān)組件。

O測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處是否部署防惡意代碼產(chǎn)品等技術(shù)措施；

2）應(yīng)核查防惡意代碼產(chǎn)品運(yùn)行是否正常，惡意代碼庫(kù)是否已經(jīng)更新到最新。

d）單元判定：如果1）和2）均為肯定。則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求°

安全審計(jì)

測(cè)評(píng)單元（L2-ABS1-08）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，審計(jì)蒞蓋到每個(gè)用戶，對(duì)重要

的用戶行為和重要安全事件進(jìn)行審計(jì)。

b）測(cè)評(píng)對(duì)象：綜合安全審計(jì)系統(tǒng)等。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查是否部署了綜合安全審計(jì)系統(tǒng)或類似功能的系統(tǒng)平臺(tái)；

2）應(yīng)核食安全審計(jì)范圍是否覆蓋到每個(gè)用戶；

3）應(yīng)核查是否對(duì)重要的用戶行為和重要安全事件進(jìn)行了審計(jì)。

d）單元判定：如果1）~3）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符

合本測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元(L2-ABS1-09)

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其

他與審計(jì)相關(guān)的信息。

b）測(cè)評(píng)對(duì)象：綜合安全審計(jì)系統(tǒng)等。

c）測(cè)評(píng)實(shí)施：應(yīng)核查審L記錄信息是否包括事件的口期和時(shí)間、用戶、事件類型、事件是

否成功及其他與審計(jì)相關(guān)的信息。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符

合本測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-ABS1-10）

該測(cè)評(píng)單元包括以卜要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋

等。

b）測(cè)評(píng)對(duì)象：綜合安全審計(jì)系統(tǒng)等。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查是否采取了技術(shù)措施對(duì)審計(jì)記錄進(jìn)行保護(hù)；

2）應(yīng)核杳是否采取技術(shù)措施對(duì)審計(jì)記錄進(jìn)行定期備份，并核查其備份策略。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求。

可信驗(yàn)證

測(cè)評(píng)單元（L2-ABS1-11）o

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：可基于可信根對(duì)邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界

防護(hù)應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果

形成審計(jì)記錄送至安全管理中心。

b）測(cè)評(píng)對(duì)象：提供可信驗(yàn)證的設(shè)備或組件。提供集中審計(jì)功能的系統(tǒng)。

C）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查是否基于可信根對(duì)邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防

護(hù)應(yīng)用程序等進(jìn)行可信驗(yàn)證：

2）應(yīng)核查當(dāng)檢測(cè)到邊界設(shè)備的可信性受到破壞后是否進(jìn)行報(bào)警；

3）應(yīng)核查驗(yàn)證結(jié)果是否以審計(jì)記錄的形式送至安全管理中心。

d）單元判定：如果1）飛）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求。

安全計(jì)算環(huán)境

身份鑒別

測(cè)評(píng)單元（L2-CES1-01）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性，身份鑒別信息

具有復(fù)雜度要求并定期更換。

b）測(cè)評(píng)對(duì)象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)

設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動(dòng)終端、移動(dòng)終端管理系

統(tǒng)、移動(dòng)終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)。數(shù)

據(jù)庫(kù)管理系統(tǒng)、中間件利系統(tǒng)管理軟件及系統(tǒng)設(shè)計(jì)文檔等。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查用戶在登錄時(shí)是否采用了身份鑒別措施；

2）應(yīng)核查用戶列表確認(rèn)用戶身份標(biāo)識(shí)是否具有唯一性；

3）應(yīng)核查用戶配置信息是否不存在空口令用戶；

4）應(yīng)核查用戶鑒別信息是否具有更雜度要求并定期更換。

d）單元判定：如果1）~4）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符

合木測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元(L2-CES1-02)

a）測(cè)評(píng)指標(biāo)：應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)

登錄連接超時(shí)自動(dòng)退出等相關(guān)措施。

b）測(cè)評(píng)對(duì)象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)

設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動(dòng)終端、移動(dòng)終端管理系

統(tǒng)、移動(dòng)終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)。數(shù)

據(jù)庫(kù)管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計(jì)文檔等。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查是否配置并啟用了登錄失敗處理功能；

2）應(yīng)核查是否配置并啟用了限制非法登錄功能，非法登錄達(dá)到一定次數(shù)后采取特定動(dòng)作，

如賬戶鎖定等；

3）應(yīng)核查是否配置并啟用了登錄連接超時(shí)及自動(dòng)退出功能。

d）單元判定：如果1）~3）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-CES1-03）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊

聽(tīng)。

b）測(cè)評(píng)對(duì)象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)

設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動(dòng)終端、移動(dòng)終端管理系

統(tǒng)、移動(dòng)終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)。數(shù)

據(jù)庫(kù)管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計(jì)文檔等。

c）測(cè)評(píng)實(shí)施：應(yīng)核查是否采用加密等安全方式對(duì)系統(tǒng)進(jìn)行遠(yuǎn)程管理，防止鑒別信息在網(wǎng)絡(luò)

傳輸過(guò)程中被竊聽(tīng)。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本

測(cè)評(píng)單元指標(biāo)要求。

訪問(wèn)控制

測(cè)評(píng)單元（L2-CES1-04）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)對(duì)登錄的用戶分配賬戶和權(quán)限。

b）測(cè)評(píng)對(duì)象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)

設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動(dòng)終端、移動(dòng)終端管理系

統(tǒng)、移動(dòng)終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)

據(jù)庫(kù)管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計(jì)文檔等。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查是否為用戶分配了賬戶和權(quán)限及相關(guān)設(shè)置情況：

2）應(yīng)核杳是否已禁用或限制匿名、默認(rèn)賬戶的訪問(wèn)權(quán)限。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-CES1-05）

該測(cè)評(píng)單兀包括以卜要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令。

b）測(cè)評(píng)對(duì)象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)

設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動(dòng)終端、移動(dòng)終端管理系

統(tǒng)、移動(dòng)終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)

據(jù)庫(kù)管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計(jì)文檔等。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查是否已經(jīng)重命名默認(rèn)賬戶或默認(rèn)賬戶已被刪除；

2）應(yīng)核查是否已修改默認(rèn)賬戶的默認(rèn)口令。

d）單元判定：如果1）或2）為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符

合本測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-CES1-06）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)及時(shí)刪除或停用多余的、過(guò)期的賬戶，避免共享賬戶的存在。

b）測(cè)評(píng)對(duì)象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)

設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動(dòng)終端、移動(dòng)終端管理系

統(tǒng)、移動(dòng)終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備、控制設(shè)備。業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)

據(jù)庫(kù)管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計(jì)文檔等。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查是否不存在多余或過(guò)期賬戶，管理員用戶與賬戶之間是否一一對(duì)應(yīng)；

2）應(yīng)核查并測(cè)試多余的、過(guò)期的賬戶是否被刪除或停用。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求3

測(cè)評(píng)單元（L2-CES1-07）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)授予管理用戶所需的最小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離。

b）測(cè)評(píng)對(duì)象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)

設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動(dòng)終端、移動(dòng)終端管理系

統(tǒng)、移動(dòng)終端管理客戶端感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)

庫(kù)管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計(jì)文檔等.

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查是否進(jìn)行角色劃分；

2）應(yīng)核查管理用戶的權(quán)限是否已進(jìn)行分離：

3）應(yīng)核查管理用戶權(quán)限是否為其工作任務(wù)所需的最小權(quán)限。

d）單元判定：如果1）~3）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符

合本測(cè)評(píng)單元指標(biāo)要求。

安全審計(jì)

測(cè)評(píng)單元（L2-CES1-08）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)提供安全審計(jì)功能，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要安全

事件進(jìn)行審計(jì)。

b）測(cè)評(píng)對(duì)象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)

設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動(dòng)終端。移動(dòng)終端管理系

統(tǒng)。移動(dòng)終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)

據(jù)庫(kù)管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計(jì)文檔等。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核杳是否提供并開(kāi)啟了安全審計(jì)功能；

2）應(yīng)核杳安全審計(jì)范圍是否覆蓋到每個(gè)用戶：

3）應(yīng)核查是否對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì).

d）單元判定：如果1）飛）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符

合本測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-CES1-09）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：審計(jì)記錄應(yīng)包括事件的口期和時(shí)間、用戶、事件類型、事件是否成功及其他

與審計(jì)相關(guān)的信息。

b）測(cè)評(píng)時(shí)象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)

設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動(dòng)終端、移動(dòng)終端管理系

統(tǒng)、移動(dòng)終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)

據(jù)庫(kù)管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計(jì)文檔等。

c）測(cè)評(píng)實(shí)施：應(yīng)核查審L記錄信息是否包括事件的口期和時(shí)間、用戶、事件類型、事件是

否成功及其他與審計(jì)相關(guān)的信息。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本

測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-CES1-10）

該測(cè)評(píng)單元包括以卜要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋

等。

b）測(cè)評(píng)對(duì)象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)

設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動(dòng)終端、移動(dòng)終端管理系

統(tǒng)、移動(dòng)終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)

據(jù)庫(kù)管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計(jì)文檔等。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查是否采取了保護(hù)措施對(duì)審計(jì)記錄進(jìn)行保護(hù)；

2）應(yīng)核查是否采取技術(shù)措施對(duì)審計(jì)記錄進(jìn)行定期備份，并核查其備份策略。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求。

入侵防范

測(cè)評(píng)單元（L2-CES1-11）.

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)遵循最小安裝的原則，僅安裝需要的蛆件和應(yīng)用程序。

b）測(cè)評(píng)對(duì)象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)

設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動(dòng)終端、移動(dòng)終端管理系

統(tǒng)、移動(dòng)終端管理客戶端感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備和控制設(shè)備等。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查是否遵循最小安裝原則；

2）應(yīng)核查是未安裝非必要的組件和應(yīng)用程序。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合木測(cè)評(píng)單元指標(biāo)要求.

測(cè)評(píng)單元(L2-CES1-12)

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口。

b）測(cè)評(píng)對(duì)象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)

設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動(dòng)終端、移動(dòng)終端管理系

統(tǒng)、移動(dòng)終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備和控制設(shè)備等。

O測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查是否關(guān)閉了非必要的系統(tǒng)服務(wù)和默認(rèn)共享；

2）應(yīng)核查是否不存在非必要的高危端口。

d）單元判定：如果1）和2）均為肯定。則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-CES1-13）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)通過(guò)設(shè)定終端接人方式或網(wǎng)絡(luò)地址范圍對(duì)通過(guò)網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)

行限制。

b）測(cè)評(píng)對(duì)象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)

設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動(dòng)終端、移動(dòng)終端管理系

統(tǒng)、移動(dòng)終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備和控制設(shè)備等。

O測(cè)評(píng)實(shí)施：應(yīng)核杳配置文件或參數(shù)是否對(duì)終端接人范圍進(jìn)行限制。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合木測(cè)評(píng)單元指標(biāo)要求，否則不符合本

測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-CES1-14）

該測(cè)評(píng)單元包括以卜要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸人的

內(nèi)容符合系統(tǒng)設(shè)定要求。

b）測(cè)評(píng)對(duì)象I業(yè)務(wù)應(yīng)用系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計(jì)文檔等V

c）測(cè)評(píng)實(shí)施：應(yīng)核查系統(tǒng)設(shè)計(jì)文檔的內(nèi)容是否包括數(shù)據(jù)有效性檢驗(yàn)功能的內(nèi)容或模塊。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合

本測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-CES1-15）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過(guò)充分測(cè)試評(píng)估后，及時(shí)修補(bǔ)漏洞。

b）測(cè)評(píng)對(duì)象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)

設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動(dòng)終端、移動(dòng)終端管理系

統(tǒng)。移動(dòng)終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)釜、控制設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)

用系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)。中間件和系統(tǒng)管理軟件等。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查是否不存在高風(fēng)險(xiǎn)漏洞，如漏洞掃描、滲透測(cè)試等；

2）應(yīng)核查是否在經(jīng)過(guò)充分測(cè)試評(píng)估后及時(shí)修補(bǔ)漏洞。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求。

惡意代碼防范

測(cè)評(píng)單元（L2-CES1-16）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)功能的軟件，并定期進(jìn)行升級(jí)和更新

防惡意代碼庫(kù)

b）測(cè)評(píng)對(duì)象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）和移動(dòng)

終端等。

c）測(cè)評(píng)實(shí)施內(nèi)容包括以下：

1）應(yīng)核查是否安裝了防惡意代碼軟件或相應(yīng)功能的軟件；

2）應(yīng)核查是否定期進(jìn)行升級(jí)利更新防惡意代碼庫(kù)。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求,

可信驗(yàn)證

測(cè)評(píng)單元（L2-CES1-17）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：可基于可信根對(duì)計(jì)算設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用

程序等進(jìn)行可信驗(yàn)證，并在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)

記錄送至安全管理中心。

b）測(cè)評(píng)對(duì)象：提供可信驗(yàn)證的設(shè)備或組件、提供集中審計(jì)功能的系統(tǒng)。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查是否基于”J信根對(duì)計(jì)算設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用程

序等進(jìn)行可信驗(yàn)證；

2）應(yīng)核查當(dāng)檢測(cè)到計(jì)算設(shè)備的可信性受到破壞后是否進(jìn)行報(bào)警；

3）應(yīng)核查驗(yàn)證結(jié)果是否以審計(jì)記錄的形式送至安全管理中心。

d）單元判定：如果1）~3）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符

合本測(cè)評(píng)單元指標(biāo)要求。

數(shù)據(jù)完整性

測(cè)評(píng)單元（L2-CES1-18）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)采用校驗(yàn)技術(shù)保證重要數(shù)據(jù)在傳輸過(guò)程中的完整性。

b）測(cè)評(píng)對(duì)象：業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、中間件、系統(tǒng)管理軟件及系統(tǒng)設(shè)計(jì)文檔、

數(shù)據(jù)安全保護(hù)系統(tǒng)。終端和服務(wù)器等設(shè)備中的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備和安全設(shè)備等。

c）測(cè)評(píng)實(shí)施：應(yīng)核查系統(tǒng)設(shè)計(jì)文檔，重要管理數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中是否采用

了校驗(yàn)技術(shù)或密碼技術(shù)保證完整性。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合

本測(cè)評(píng)單元指標(biāo)要求。

數(shù)據(jù)備份恢復(fù)

測(cè)評(píng)單元（L2-CES1-19）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)提供重要數(shù)據(jù)的本地?cái)?shù)據(jù)備份與恢復(fù)功能。

b）測(cè)評(píng)對(duì)象：配置數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核杳是否按照備份策略進(jìn)行本地備份；

2）應(yīng)核查備份策略設(shè)置是否合理、配置是否正確；

3）應(yīng)核查備份結(jié)果是否與備份策略一致；

4）應(yīng)核查近期恢復(fù)測(cè)試記錄是否能夠進(jìn)行正常的數(shù)據(jù)恢復(fù)。

d）單元判定：如果1）~4）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符

合本測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-CES1-20）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)

地。

b）測(cè)評(píng)對(duì)象：配置數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)。

c）測(cè)評(píng)實(shí)施：應(yīng)核查是否提供異地?cái)?shù)據(jù)備份功能，并通過(guò)通信網(wǎng)絡(luò)將重要配置數(shù)據(jù)、重要

業(yè)務(wù)數(shù)據(jù)定時(shí)批最傳送至備份場(chǎng)地。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合

本測(cè)評(píng)單元指標(biāo)要求。

剩余信息保護(hù)

測(cè)評(píng)單元（L2-CES1-21）

該測(cè)評(píng)單元包括以下要求:

a）測(cè)評(píng)指標(biāo)：應(yīng)保證鑒別信息所在的存儲(chǔ)空間被釋放或重新分配前得到完全清除。

b）測(cè)評(píng)對(duì)象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、中間

件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計(jì)文檔等。

c）測(cè)評(píng)實(shí)施：應(yīng)核查相關(guān)配置信息或系統(tǒng)設(shè)計(jì)文檔，用戶的鑒別信息所在的存儲(chǔ)空間被釋

放或重新分配前是否得到完全清除。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容，則符合本測(cè)評(píng)隼無(wú)指標(biāo)要求，否則不符合或部分符

合本測(cè)評(píng)單元指標(biāo)要求。

個(gè)人信息保護(hù)

測(cè)評(píng)單元（L2-CES1-22）

該測(cè)評(píng)單兀包拈以卜要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個(gè)人信息。

b）測(cè)評(píng)對(duì)象：用戶數(shù)據(jù)、業(yè)務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)等。

O測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查采集的用戶個(gè)人信息是否是業(yè)務(wù)應(yīng)用必需的；

2）應(yīng)核查是否制定了有關(guān)用戶個(gè)人信息保護(hù)的管理制度和流程。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求°

測(cè)評(píng)單元（L2-CES1-23）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)禁止未授權(quán)訪問(wèn)和非法使用用戶個(gè)人信息。

b）測(cè)評(píng)對(duì)象：業(yè)務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)等。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查是否采用技術(shù)措施限制對(duì)用戶個(gè)人信息的訪問(wèn)和使用；

2）應(yīng)核查是否制定了有關(guān)用戶個(gè)人信息保護(hù)的管理制度和流程。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合木測(cè)評(píng)單元指標(biāo)要求.

安全管理中心

系統(tǒng)管理

測(cè)評(píng)單元（L2-SMC1-01）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)對(duì)系統(tǒng)管理員進(jìn)行身份鑒別，只允許其通過(guò)特定的命令或操作界面進(jìn)行系

統(tǒng)管理操作，并對(duì)這歧操作進(jìn)行審計(jì)。

b）測(cè)評(píng)對(duì)象：提供集中系統(tǒng)管理功能的系統(tǒng)。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查是否對(duì)系統(tǒng)管理員進(jìn)行身份鑒別；

2）應(yīng)核查是否只允許系統(tǒng)管理員通過(guò)特定的命令或操作界而進(jìn)行系統(tǒng)管理操作；

3）應(yīng)核查是否對(duì)系統(tǒng)管理的操作進(jìn)行審計(jì)。

d）單元判定：如果1）~3）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符

合本測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-SMC1-02）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)通過(guò)系統(tǒng)管理員對(duì)系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制和管理，包括用戶身

份、資源配置、系統(tǒng)加載和啟動(dòng)、系統(tǒng)運(yùn)行的異常處理、數(shù)據(jù)和設(shè)備的備份與恢復(fù)等。

b）測(cè)評(píng)對(duì)象：提供集中系統(tǒng)管理功能的系統(tǒng)。

c）測(cè)評(píng)實(shí)施：應(yīng)核查是否通過(guò)系統(tǒng)管理員對(duì)系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制和管理，包

括用戶身份。資源配置。系統(tǒng)加載和啟動(dòng)、系統(tǒng)運(yùn)行的異常處理、數(shù)據(jù)和設(shè)備的備份與恢

復(fù)等。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合

本測(cè)評(píng)單元指標(biāo)要求。

審計(jì)管理

測(cè)評(píng)單元（L2-SMC1-03）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)對(duì)審計(jì)管理員進(jìn)行身份鑒別，只允許其通過(guò)特定的命令或操作界面進(jìn)行安

全審計(jì)操作，并對(duì)這些操作進(jìn)行審計(jì)。

b）測(cè)評(píng)對(duì)象：綜合安全審計(jì)系統(tǒng)，數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)等提供集中審計(jì)功能的系統(tǒng)。

O測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查是否對(duì)審計(jì)管理員進(jìn)行身份鑒別；

2）應(yīng)核查是否只允許審i?管理員通過(guò)特定的命令或操作界面進(jìn)行安全審評(píng)操作：

3）應(yīng)核查是否對(duì)審計(jì)管理員的操作進(jìn)行審計(jì)。

d）單元判定：如果1）飛）均為肯定。則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符

合本測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-SMC1-04）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)通過(guò)審L管埋員對(duì)審計(jì)記錄進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行處埋，包括根

據(jù)安全審計(jì)策略對(duì)審計(jì)記錄進(jìn)行存儲(chǔ)、管理和查詢等。

b）測(cè)評(píng)對(duì)象：綜合安全審計(jì)系統(tǒng)、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)等提供集中審計(jì)功能的系統(tǒng)。

c）測(cè)評(píng)實(shí)施：應(yīng)核查是否通過(guò)審計(jì)管理員對(duì)審計(jì)記錄進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行處

理，包括根據(jù)安全審計(jì)策略對(duì)審計(jì)記錄進(jìn)行存儲(chǔ)、管理和查詢等。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合

本測(cè)評(píng)單元指標(biāo)要求。

安全管理制度

安全策略（L2-PSS1-01）

該測(cè)評(píng)單元包括以下要求:

a）測(cè)評(píng)指標(biāo)：應(yīng)制定網(wǎng)絡(luò)安全工作的總體方針和安全策略，闡明機(jī)構(gòu)安全工作的總體目

標(biāo)、范圍、原則和安全框架等。

b）測(cè)評(píng)對(duì)象：總體方針策略類文檔。

c）測(cè)評(píng)實(shí)施：應(yīng)核查網(wǎng)絡(luò)安全工作的總體方針和安全策略文件是否明確機(jī)構(gòu)安全工作的總

體目標(biāo)、范圍、原則和各類安全策略。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本

測(cè)評(píng)單元指標(biāo)要求。

管理制度

測(cè)評(píng)單元（L2-PSS1-02）

該測(cè)評(píng)單兀包拈以卜要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)對(duì)安全管理活動(dòng)中的主要管理內(nèi)容建立安全管理制度。

b）測(cè)評(píng)對(duì)象：安全管理制度類文檔。

O測(cè)評(píng)實(shí)施：應(yīng)核查各項(xiàng)安全管理制度是否覆蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、建

設(shè)和運(yùn)維等管理內(nèi)容。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本

測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-PSS1-03）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)對(duì)管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程。

b）測(cè)評(píng)對(duì)象：操作規(guī)程類文檔。

c）測(cè)評(píng)實(shí)施：應(yīng)核查是否具有日常管理操作的操作規(guī)程，如系統(tǒng)維護(hù)手冊(cè)和用戶操作規(guī)程

等。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本

測(cè)評(píng)單元指標(biāo)要求。

制定和發(fā)布

測(cè)評(píng)單元（L2-PSS1-04）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定。

b）測(cè)評(píng)對(duì)象：部門/人員職責(zé)文件等。

c）測(cè)評(píng)實(shí)施：應(yīng)核查是否由專門的部門或人員負(fù)資制定安全管理制度。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本

測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-PSS1-05）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：安全管理制度應(yīng)通過(guò)正式、有效的方式發(fā)布，并進(jìn)行版本控制。

b）測(cè)評(píng)對(duì)象：管理制度類文檔和記錄表單類文檔。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查制度制定和發(fā)布要求管理文檔是否說(shuō)明安全管理制度的制定和發(fā)布程序、格式要

求及版本編號(hào)等相關(guān)內(nèi)容；

2）應(yīng)核查安全管理制度的收發(fā)登記記錄是否通過(guò)正式、有效的方式收發(fā)，如正式發(fā)文、領(lǐng)

導(dǎo)簽署和單位蓋章等。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求,

評(píng)審和修訂

測(cè)評(píng)單元（L2-PSS1-06）

該測(cè)評(píng)單元包括以下要求：

測(cè)評(píng)指標(biāo)：應(yīng)定期對(duì)安全管理制度的合理性和適用性進(jìn)行論證和審定，對(duì)存在不足或需要

改進(jìn)的安全管理制度進(jìn)行修訂。

b）測(cè)評(píng)對(duì)象：信息/網(wǎng)絡(luò)安全主管和記錄表單類文檔。

C）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否定期對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定；

2）應(yīng)核查是否具有安全管理制度的審定或論證記錄，如果對(duì)制度做過(guò)修訂，核查是否有修

訂版本的安全管理制度。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求。

安全管理機(jī)構(gòu)

崗位設(shè)置

測(cè)評(píng)單元（L2-0RS1-01）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)設(shè)立網(wǎng)絡(luò)安全管理工作的職能部門，設(shè)立安全主管、安全管理各個(gè)方面的

負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)。

b）測(cè)評(píng)對(duì)象：信息/網(wǎng)絡(luò)安全主管和管理制度類文檔。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否設(shè)立網(wǎng)絡(luò)安全管理工作的職能部門；

2）應(yīng)核查部門職責(zé)文檔是否明確網(wǎng)絡(luò)安全管理工作的職能部門和各負(fù)資人職賁；

3）應(yīng)核查崗位職責(zé)文檔是否有崗位劃分情況和崗位職責(zé)。

d）單元判定：如果1）~3）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符

合本測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-0RS1-02）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)設(shè)立系統(tǒng)管理員、審計(jì)管理員和安全管理員等崗位，并定義部門及各個(gè)工

作崗位的職責(zé)。

b）測(cè)評(píng)對(duì)象：信息/網(wǎng)絡(luò)安全主管和管理制度類文檔。

C）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否進(jìn)行了安全管理崗位的劃分；

2）應(yīng)核查崗位職貢文檔是否明確了各部門及各崗位職責(zé)。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求。

人員配備

測(cè)評(píng)單元（L2-0RS1-03）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)配備?定數(shù)量的系統(tǒng)管理員、審計(jì)管理員和安全管理員等。

b）測(cè)評(píng)對(duì)象：信息/網(wǎng)絡(luò)安全主管和記錄表單類文檔。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)訪談信息、/網(wǎng)絡(luò)安全主管是否配備了系統(tǒng)管理員、審計(jì)管理員和安全管理員；

2）應(yīng)核查人員配備文檔是否有各崗位人員配備情況。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求。

授權(quán)和審批

測(cè)評(píng)單元（L2-0RS1-04）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審批部門和批準(zhǔn)人等。

b）測(cè)評(píng)對(duì)象：管理制度類文檔和記錄表單類文檔。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核杳部門職責(zé)文檔是否明確各部門審批事項(xiàng)；

2）應(yīng)核杳崗位職責(zé)文檔是否明確各崗位審批事項(xiàng)。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求,

測(cè)評(píng)單元（L2-0RS1-05）

該測(cè)評(píng)單元包括以卜要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)針對(duì)系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接人等事項(xiàng)執(zhí)行審批過(guò)程。

b）測(cè)評(píng)對(duì)象：記錄表單類文檔。

c）測(cè)評(píng)實(shí)施：應(yīng)核查各類審批記錄是否針對(duì)系統(tǒng)變更。重要操作、物理訪問(wèn)和系統(tǒng)接入等

事項(xiàng)進(jìn)行審批。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本測(cè)評(píng)

單元指標(biāo)要求。

溝通和合作

測(cè)評(píng)單元（L2-0RS1-06）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)加強(qiáng)各類管理人員、組織內(nèi)部機(jī)構(gòu)和網(wǎng)絡(luò)安全管理部門之間的合作與溝

通，定期召開(kāi)協(xié)調(diào)會(huì)議，共同協(xié)作處理網(wǎng)絡(luò)安全問(wèn)題。

b）測(cè)評(píng)對(duì)象：信息/網(wǎng)絡(luò)安全主管和記錄表單類文檔。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否建立了各類管理人員、組織內(nèi)部機(jī)構(gòu)和網(wǎng)絡(luò)安全管理部

門之間的合作與溝通機(jī)制；

2）應(yīng)核查會(huì)議記錄是否明確各類管理人員、組織內(nèi)部機(jī)構(gòu)和網(wǎng)絡(luò)安全管理部門之間開(kāi)展了

合作與溝通。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-0RS1-07）

該測(cè)評(píng)單元包括以下要求:

a）測(cè)評(píng)指標(biāo)：應(yīng)加強(qiáng)與網(wǎng)絡(luò)安全職能部門、各類供應(yīng)商、業(yè)界專家及安全組織的合作與溝

通。

b）測(cè)評(píng)對(duì)象：信息/網(wǎng)絡(luò)安全主管和記錄表單類文檔。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否建立了與網(wǎng)絡(luò)安全職能部門、各類供應(yīng)商、業(yè)界專家及

安全組織的合作與溝通機(jī)制；

2）應(yīng)核查會(huì)議記錄是否明確了與網(wǎng)絡(luò)安全職能部門、各類供應(yīng)商、業(yè)界專家及安全組織是

否開(kāi)展了合作與溝通。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-0RS1-08）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方

式等信息。

b）測(cè)評(píng)對(duì)象：記錄表單類文檔。

c）測(cè)評(píng)實(shí)施：應(yīng)核查外聯(lián)單位聯(lián)系列表是否記錄了外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)

系方式等信息。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本測(cè)評(píng)單

元指標(biāo)要求。

審核和檢查

測(cè)評(píng)單元（L2-0RS1-09）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)定期進(jìn)行常規(guī)安全檢查，檢查內(nèi)容包括系統(tǒng)口常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備

份等情況。

b）測(cè)評(píng)對(duì)象：信息/網(wǎng)絡(luò)安全主管和記錄表單類文檔。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否定期進(jìn)行了常規(guī)安全檢查；

2）應(yīng)核查常規(guī)安全核查記錄是否包括了系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求。

安全管理人員

人員錄用

測(cè)評(píng)單元（L2-HRS1-01）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用。

b）測(cè)評(píng)對(duì)象：信息/網(wǎng)絡(luò)安全主管。

c）測(cè)評(píng)實(shí)施：應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否由專門的部門或人員負(fù)責(zé)人員的錄用工作。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本

測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-HRS1-02）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)對(duì)被錄用人員的身份、安全背景、專業(yè)資格或資質(zhì)等進(jìn)行審查。

b）測(cè)評(píng)時(shí)象：管理制度類文檔和記錄表單類文檔。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查人員安全管理文檔是否說(shuō)明錄用人員應(yīng)具備的條件（如學(xué)歷、學(xué)位要求，技術(shù)人

員應(yīng)具備的專業(yè)技術(shù)水平，管理人員應(yīng)具備的安全管理知識(shí)等）；

2）應(yīng)核查是否具有人員錄用時(shí)對(duì)錄用人身份、安全背景、專業(yè)資格或資質(zhì)等進(jìn)行審查的相

關(guān)文檔或記錄，是否記錄審查內(nèi)容和審杳結(jié)果等：

3）應(yīng)核查人員錄用時(shí)的技能考核文檔或記錄是否記錄考核內(nèi)容和考核結(jié)果等。

d）單元判定：如果1）~3）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符

合本測(cè)評(píng)單元指標(biāo)要求。

人員離崗

測(cè)評(píng)單元（L2-HRS1-03）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)及時(shí)終止離崗人員的所有訪問(wèn)權(quán)限，取回各種身份證件、鑰匙、徽章等以

及機(jī)構(gòu)提供的軟硬件設(shè)備。

b）測(cè)評(píng)對(duì)象：記錄表單類文檔。

c）測(cè)評(píng)實(shí)施：應(yīng)核查是否具有離崗人員終止其訪問(wèn)權(quán)限、交還身份證件、軟硬件設(shè)備等的

登記記錄。

d）單兀判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單兀指標(biāo)要求，否則不符合

本測(cè)評(píng)單元指標(biāo)要求。

安全意識(shí)教育和培訓(xùn)

測(cè)評(píng)單元（L2-HRS1-04）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教育和崗位技能培訓(xùn)，并告知相關(guān)的安全責(zé)任

和懲戒措施。

b）測(cè)評(píng)對(duì)象：管理制度類文檔。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查安全意識(shí)教育及崗位技能培訓(xùn)文檔是否明確培訓(xùn)周期、培訓(xùn)方式、培訓(xùn)內(nèi)容和考

核方式等相關(guān)內(nèi)容；

2）應(yīng)核查安全責(zé)任和懲戒措施管理文檔或培訓(xùn)文檔是否包含具體的安全責(zé)任和懲戒措施。

d）單元判定：如果1）和2）均為肯定。則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求。

外部人員訪問(wèn)管理

測(cè)評(píng)單元（L2-HRS1-05）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)在外部人員物理訪問(wèn)受控區(qū)域前先提出書面申請(qǐng)，批準(zhǔn)后由專人全程陪

同，并登記備案。

b）測(cè)評(píng)對(duì)象：管理制度類文檔和記錄表單類文檔。

O測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查外部人員訪問(wèn)管理文檔是否明確允許外部人員訪問(wèn)的范圍、外部人員進(jìn)人的條

件、外部人員進(jìn)入的訪問(wèn)控制措施等；

2）應(yīng)核查外部人員訪問(wèn)重要區(qū)域的書面申請(qǐng)文檔是否具有批準(zhǔn)人允許訪問(wèn)的批準(zhǔn)簽字等；

3）應(yīng)核杳外部人員訪問(wèn)重要區(qū)域的登記記錄是否記錄了外部人員訪問(wèn)重要區(qū)域的進(jìn)入時(shí)

間、離開(kāi)時(shí)間、訪問(wèn)區(qū)域及陪同人等。

d）單元判定：如果1）~3）均為肯定，則符合本測(cè)評(píng)隼元指標(biāo)要求，否則不符合或部分符

合本測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-HRS1-06）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)在外部人員接入受控網(wǎng)絡(luò)訪問(wèn)系統(tǒng)前先提出書面申請(qǐng)，批準(zhǔn)后由專人開(kāi)設(shè)

賬戶、分配權(quán)限，并登記備案。

b）測(cè)評(píng)對(duì)象：管理制度類文檔和記錄表單類文檔。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查外部人員訪問(wèn)管理文檔是否明確外部人員接人受控網(wǎng)絡(luò)前的申請(qǐng)審批流程；

2）應(yīng)核查外部人員訪問(wèn)系統(tǒng)的書面申請(qǐng)文檔是否明確外部人員的訪問(wèn)權(quán)限，是否具有允許

訪問(wèn)的批準(zhǔn)簽字等；

3）應(yīng)核杳外部人員訪問(wèn)系統(tǒng)的登記記錄是否記錄了外部人員訪問(wèn)的權(quán)限、時(shí)限、賬戶等。

d）單元判定：如果1）F）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符

合本測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元(L2-HRS1-07)

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：外部人員離場(chǎng)后應(yīng)及時(shí)清除其所有的訪問(wèn)權(quán)限。

b）測(cè)評(píng)對(duì)象：管理制度類文檔和記錄表單類文檔。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核杳外部人員訪問(wèn)管理文檔是否明確外部人員離開(kāi)后及時(shí)清除其所有訪問(wèn)權(quán)限；

2）應(yīng)核杳外部人員訪問(wèn)系統(tǒng)的登記記錄是否記錄了訪問(wèn)權(quán)限清除時(shí)間。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求。

安全建設(shè)管理

定級(jí)和備案

測(cè)評(píng)單元（L2-CMS1-01）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)以書面的形式說(shuō)明保護(hù)對(duì)象的安全保護(hù)等級(jí)及確定等級(jí)的方法和理由。

b）測(cè)評(píng)對(duì)象：記錄表單類文檔。

c）測(cè)評(píng)實(shí)施：應(yīng)核查定級(jí)文檔是否明確保護(hù)對(duì)象的安全保護(hù)等級(jí)，是否說(shuō)明定級(jí)的方法和

理由。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本

測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-CMS1-02）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)定級(jí)結(jié)果的合理性和正確性進(jìn)行論證

和審定。

b）測(cè)評(píng)對(duì)象：記錄表單類文檔。

c）測(cè)評(píng)實(shí)施：應(yīng)核查定級(jí)結(jié)果的論證評(píng)審會(huì)議記錄是否有相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)

定級(jí)結(jié)果的論證意見(jiàn)。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合

本測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-CMS1-03）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)保證定級(jí)結(jié)果經(jīng)過(guò)相關(guān)部門的批準(zhǔn)。

b）測(cè)評(píng)對(duì)象：記錄表單類文檔。

c）測(cè)評(píng)實(shí)施：應(yīng)核查定級(jí)結(jié)果部門審批文檔是否有.上級(jí)主管部門或本單位相關(guān)部門的審批

意見(jiàn)e

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本

測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-CMS1-04）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)將備案材料報(bào)主管部門和公安機(jī)關(guān)備案。

b）測(cè)評(píng)對(duì)象：記錄表單類文檔。

c）測(cè)評(píng)實(shí)施：應(yīng)核查是否具有公安機(jī)關(guān)出具的備案證明文檔。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本

測(cè)評(píng)單元指標(biāo)要求。

安全方案設(shè)計(jì)

測(cè)評(píng)單元（L2-CMS1-05）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)根據(jù)安全保護(hù)等級(jí)選擇基本安全措施，依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安

全措施。

b）測(cè)評(píng)對(duì)象：安全規(guī)劃設(shè)計(jì)類文檔。

c）測(cè)評(píng)實(shí)施：應(yīng)核查安全設(shè)計(jì)文檔是否根據(jù)安全保護(hù)等級(jí)選擇安全措施，是否根據(jù)安全需

求調(diào)整安全措施。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合

本測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-CMS1-06）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)根據(jù)保護(hù)對(duì)象的安全保護(hù)等級(jí)進(jìn)行安全方案設(shè)計(jì)。

b）測(cè)評(píng)對(duì)象：安全規(guī)劃設(shè)計(jì)類文檔。

c）測(cè)評(píng)實(shí)施：應(yīng)核查安全設(shè)計(jì)方案是否是根據(jù)安全保護(hù)等級(jí)進(jìn)行設(shè)計(jì)規(guī)劃。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本

測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-CMS1-07）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)組織相關(guān)部門和有關(guān)安全專家對(duì)安全方案的合理性和正確性講行論證和申

定，經(jīng)過(guò)批準(zhǔn)后才能正式實(shí)施。

b）測(cè)評(píng)對(duì)象：記錄表單類文檔。

測(cè)評(píng)實(shí)施：應(yīng)核查安全方案的論證評(píng)審記錄或文檔是否有相關(guān)部門和有關(guān)安全技術(shù)專家的

批準(zhǔn)意見(jiàn)和論證意見(jiàn)。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本

測(cè)評(píng)單元指標(biāo)要求。

產(chǎn)品采購(gòu)和使用

測(cè)評(píng)單元（L2-CMS1-08）

該測(cè)評(píng)單元包括以下要求:

a）測(cè)評(píng)指標(biāo)：應(yīng)確保網(wǎng)絡(luò)安全產(chǎn)品采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定。

b）測(cè)評(píng)對(duì)象：記錄表單類文檔。

c）測(cè)評(píng)實(shí)施：應(yīng)核查有關(guān)網(wǎng)絡(luò)安全產(chǎn)品是否符合國(guó)家的有關(guān)規(guī)定，如網(wǎng)絡(luò)安全產(chǎn)品獲得了

銷售許可等。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本

測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-CMS1-09）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)確保密碼產(chǎn)品與服務(wù)的采購(gòu)和使用符合國(guó)家密碼主管部門的要求。

b）測(cè)評(píng)勸象：建設(shè)負(fù)責(zé)人和記錄表單類文檔。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)訪談建設(shè)負(fù)責(zé)人是否采用了密碼產(chǎn)品及其相關(guān)服務(wù)；

2）應(yīng)核查密碼產(chǎn)品與服務(wù)的采購(gòu)和使用是否符合國(guó)家密碼管理主管部門的要求。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求。

自行軟件開(kāi)發(fā)

測(cè)評(píng)單元（L2-CMS1-10）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)將開(kāi)發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開(kāi)，測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制。

b）測(cè)評(píng)對(duì)象:建設(shè)負(fù)責(zé)人

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)訪談建設(shè)負(fù)責(zé)人自主開(kāi)發(fā)軟件是否在獨(dú)立的物理環(huán)境中完成編碼和調(diào)試，與實(shí)際運(yùn)行

環(huán)境分開(kāi)；

2）應(yīng)核查測(cè)試數(shù)據(jù)和結(jié)果是否受控使用。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合木測(cè)評(píng)單元指標(biāo)要求.

測(cè)評(píng)單元(L2-CMS1-11)

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)在軟件開(kāi)發(fā)過(guò)程中對(duì)安全性進(jìn)行測(cè)試，在軟件安裝前對(duì)可能存在的惡意代

碼進(jìn)行檢測(cè)。

b）測(cè)評(píng)對(duì)象：記錄表單類文檔。

c）測(cè)評(píng)實(shí)施：應(yīng)核查是否具有軟件安全測(cè)試報(bào)告和代碼審計(jì)報(bào)告，明確軟件存在的安全問(wèn)

題及可能存在的惡意代碼。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本

測(cè)評(píng)單元指標(biāo)要求。

外包軟件開(kāi)發(fā)

測(cè)評(píng)單元（L2-CMS1-12）

該測(cè)評(píng)單元包括以卜要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)在軟件交付前檢測(cè)其中可能存在的惡意代碼。

b）測(cè)評(píng)對(duì)象：記錄表單類文檔。

c）測(cè)評(píng)實(shí)施：應(yīng)核食是否具有交付前的惡意代碼檢測(cè)報(bào)告。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本

測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-CMS1-13）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)保證開(kāi)發(fā)單位提供軟件設(shè)計(jì)文檔和使用指南。

b）測(cè)評(píng)對(duì)象：記錄表單類文檔。

c）測(cè)評(píng)實(shí)施：應(yīng)核查是否具有軟件開(kāi)發(fā)的相關(guān)文檔，如需求分析說(shuō)明書、軟件設(shè)計(jì)說(shuō)明書

等，是否具有軟件操作手冊(cè)或使用指南。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合

本測(cè)評(píng)單元指標(biāo)要求。

工程實(shí)施

測(cè)評(píng)單元（L2-CMS1-14）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實(shí)施過(guò)程的管理。

b）測(cè)評(píng)對(duì)象：記錄表單類文檔。

c）測(cè)評(píng)實(shí)施：應(yīng)核查是否指定專門部門或人員對(duì)工程實(shí)施進(jìn)行進(jìn)度和質(zhì)量控制。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合

本測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-CMS1-15）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)制定安全工程實(shí)施方案控制工程實(shí)施過(guò)程。

b）測(cè)評(píng)對(duì)象：記錄表單類文檔。

c）測(cè)評(píng)實(shí)施：應(yīng)核查安全工程實(shí)施方案是否包括工程時(shí)間限制、進(jìn)度控制和質(zhì)量控制等方

面內(nèi)容，是否按照工程實(shí)施方面的管理制度進(jìn)行各類控制、產(chǎn)生階段性文檔等。

d）單兀判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單兀指標(biāo)要求，否則不符合

本測(cè)評(píng)單元指標(biāo)要求。

測(cè)試驗(yàn)收

測(cè)評(píng)單元（L2-CMS1-16）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)制訂測(cè)試驗(yàn)收方案，并依據(jù)測(cè)試驗(yàn)收方案實(shí)施測(cè)試驗(yàn)收，形成測(cè)試驗(yàn)收?qǐng)?bào)

告。

b）測(cè)評(píng)對(duì)象：記錄表單類文檔。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查工程測(cè)試驗(yàn)收方案是否明確說(shuō)明參與測(cè)試的部門、人員、測(cè)試驗(yàn)收內(nèi)容、現(xiàn)場(chǎng)操

作過(guò)程等內(nèi)容；

2）應(yīng)核查測(cè)試驗(yàn)收?qǐng)?bào)告是否有相關(guān)部門和人員對(duì)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定的意見(jiàn)。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-CMS1-17）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)進(jìn)行上線前的安全性測(cè)試，并出具安全測(cè)試報(bào)告。

b）測(cè)評(píng)對(duì)象：記錄表單類文檔。

c）測(cè)評(píng)實(shí)施：應(yīng)核查是否具有上線前的安全測(cè)試報(bào)告。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本

測(cè)評(píng)單元指標(biāo)要求。

系統(tǒng)交付

測(cè)評(píng)單元（L2-CMS1-18）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)制定交付清單，并根據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清

點(diǎn)。

b）測(cè)評(píng)對(duì)象：記錄表單類文檔。

O測(cè)評(píng)實(shí)施：應(yīng)核查交付清單是否說(shuō)明交付的各類設(shè)備、軟件、文檔等。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本

測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-CMS1-19）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)對(duì)負(fù)責(zé)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)I。

b）測(cè)評(píng)對(duì)象：記錄表單類文檔。

c）測(cè)評(píng)實(shí)施：應(yīng)核查交付技術(shù)培訓(xùn)記錄是否包括培訓(xùn)內(nèi)容、培訓(xùn)時(shí)間和參與人員等。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合

本測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-CMS1-20）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)提供建設(shè)過(guò)程文檔和運(yùn)行維護(hù)文檔。

b）測(cè)評(píng)對(duì)象：記錄表單類文檔。

c）測(cè)評(píng)實(shí)施：應(yīng)核查交付文檔是否包括建設(shè)過(guò)程文檔和運(yùn)行維護(hù)文檔等，提交的文檔是否

符合管理規(guī)定的要求。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本

測(cè)評(píng)單元指標(biāo)要求。

等級(jí)測(cè)評(píng)

測(cè)評(píng)單元（L2-CMS1-21）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)定期進(jìn)行等級(jí)測(cè)評(píng)，發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改。

b）測(cè)評(píng)對(duì)象：運(yùn)維負(fù)責(zé)人和記錄表單類文檔。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)訪談運(yùn)維負(fù)責(zé)人本次測(cè)評(píng)是否為首次，若非首次，是否根據(jù)以往測(cè)評(píng)結(jié)果進(jìn)行相應(yīng)的

安全整改；

2）應(yīng)核杳是否具有以往等級(jí)測(cè)評(píng)報(bào)告和安全整改方案。

d）單元判定：如果1）和2）均為肯定。則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求3

測(cè)評(píng)單元（L2-CMS1-22）

該測(cè)評(píng)單元包括以下要求:

a）測(cè)評(píng)指標(biāo)：應(yīng)在發(fā)生重大變更或級(jí)別發(fā)生變化時(shí)進(jìn)行等級(jí)測(cè)評(píng)。

b）測(cè)評(píng)對(duì)象：運(yùn)維負(fù)責(zé)人和記錄表單類文檔。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)核查是否有過(guò)重大變更或級(jí)別發(fā)生過(guò)變化及是否進(jìn)行相應(yīng)的等級(jí)測(cè)評(píng)：

2）應(yīng)核查是否具有相應(yīng)情況卜.的等級(jí)測(cè)評(píng)報(bào)告。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分

符合本測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-CMS1-23）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)確保測(cè)評(píng)機(jī)構(gòu)的選擇符合國(guó)家有關(guān)規(guī)定。

b）測(cè)評(píng)對(duì)象：等級(jí)測(cè)評(píng)報(bào)告和相關(guān)資質(zhì)文件。

O測(cè)評(píng)實(shí)施：應(yīng)核杳以往等級(jí)測(cè)評(píng)的測(cè)評(píng)單位是否具有等級(jí)測(cè)評(píng)機(jī)構(gòu)資質(zhì)。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合木測(cè)評(píng)單元指標(biāo)要求，否則不符合本

測(cè)評(píng)單元指標(biāo)要求。

服務(wù)供應(yīng)商管理

測(cè)評(píng)單元（L2-CMS1-24）

該測(cè)評(píng)單元包括以下要求：

a）測(cè)評(píng)指標(biāo)：應(yīng)確保服務(wù)供應(yīng)商的選擇符合國(guó)家的有關(guān)規(guī)定。

b）測(cè)評(píng)對(duì)象：建設(shè)負(fù)責(zé)人。

c）測(cè)評(píng)實(shí)施：應(yīng)訪詼建設(shè)負(fù)責(zé)人選擇的安全服務(wù)商是否符合國(guó)家有關(guān)規(guī)定。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本

測(cè)評(píng)單元指標(biāo)要求。

測(cè)評(píng)單元（L2-CMS1-25）

該測(cè)評(píng)單元包括以下要求:

a）測(cè)評(píng)指標(biāo)：應(yīng)與選定的服務(wù)供應(yīng)商簽訂相關(guān)協(xié)議，明確整個(gè)服務(wù)供應(yīng)鏈各方需履行的網(wǎng)

絡(luò)安全相關(guān)義務(wù)。

b）測(cè)評(píng)對(duì)象：記錄表單類文檔。

c）測(cè)評(píng)實(shí)施：應(yīng)核查與服務(wù)服務(wù)商簽訂的服務(wù)