DB11-T 1344-2016 信息安全等級(jí)保護(hù)檢查規(guī)范

ICS13.310

A90

DB11

北京市地方標(biāo)準(zhǔn)

DB11/T1344—2016

信息安全等級(jí)保護(hù)檢查規(guī)范

Examinationspecificationforinformationsecurityclassified

protection

2016-08-10發(fā)布2016-12-01實(shí)施

北京市質(zhì)量技術(shù)監(jiān)督局發(fā)布

DB11/T1344—2016

信息安全等級(jí)保護(hù)檢查規(guī)范

1范圍

本標(biāo)準(zhǔn)規(guī)定了對(duì)信息安全等級(jí)保護(hù)狀況進(jìn)行檢查的流程和內(nèi)容要求，其中內(nèi)容要求包括對(duì)信息安全

等級(jí)保護(hù)第一級(jí)信息系統(tǒng)、第二級(jí)信息系統(tǒng)、第三級(jí)信息系統(tǒng)和第四級(jí)信息系統(tǒng)進(jìn)行安全檢查的要求。

本標(biāo)準(zhǔn)適用于信息安全等級(jí)保護(hù)檢查工作。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T5271.8信息技術(shù)詞匯第8部分:安全

GB17859計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則

GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求

GB/T25069信息安全技術(shù)術(shù)語(yǔ)

GB/T25070信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求

3術(shù)語(yǔ)和定義

GB/T5271.8、GB17859、GB/T22239、GB/T25069和GB/T25070界定的以及下列術(shù)語(yǔ)和定義適

用于本文件。

3.1

訪(fǎng)談interview

檢查人員通過(guò)引導(dǎo)信息系統(tǒng)相關(guān)人員進(jìn)行有目的的（有針對(duì)性的）交流以幫助檢查人員理解、分析

或取得證據(jù)的過(guò)程。

3.2

查驗(yàn)check

檢查人員通過(guò)對(duì)被檢查對(duì)象（如制度文檔、各類(lèi)設(shè)備、安全配置等）進(jìn)行觀察、查閱、核查以幫助

檢查人員理解、分析或取得證據(jù)的過(guò)程。

3.3

測(cè)試test

檢查人員使用預(yù)定的方法/工具使被檢查對(duì)象（各類(lèi)設(shè)備或安全配置）產(chǎn)生特定的結(jié)果，將運(yùn)行結(jié)

果與預(yù)期的結(jié)果進(jìn)行比對(duì)的過(guò)程。

4檢查流程

1

DB11/T1344—2016

4.1前期準(zhǔn)備

前期準(zhǔn)備包括的內(nèi)容：

——調(diào)閱被檢查單位信息系統(tǒng)的備案材料；

——了解被檢查單位情況；

——成立檢查小組；

——準(zhǔn)備必要的檢查材料和檢查工具；

——制定檢查組工作計(jì)劃，計(jì)劃內(nèi)容應(yīng)包括檢查對(duì)象、檢查人員、檢查各個(gè)階段的工作安排等。

4.2現(xiàn)場(chǎng)檢查

現(xiàn)場(chǎng)檢查是通過(guò)對(duì)被檢查單位的溝通訪(fǎng)談、文檔審查、配置檢查、工具測(cè)試和實(shí)地查驗(yàn)，并調(diào)閱自

查、總結(jié)或等級(jí)測(cè)評(píng)報(bào)告等資料，對(duì)被檢查單位信息安全保護(hù)現(xiàn)狀進(jìn)行檢查，取得檢查總結(jié)活動(dòng)所需的

資料?，F(xiàn)場(chǎng)檢查不應(yīng)影響系統(tǒng)的正常運(yùn)行。

4.3檢查總結(jié)

檢查總結(jié)是根據(jù)現(xiàn)場(chǎng)檢查結(jié)果和本標(biāo)準(zhǔn)的相關(guān)要求，列舉并分析被檢查單位信息系統(tǒng)存在的問(wèn)題，

針對(duì)被檢查單位信息系統(tǒng)安全保護(hù)能力出具書(shū)面結(jié)果材料。

5一級(jí)信息系統(tǒng)檢查

5.1物理安全要求

5.1.1物理訪(fǎng)問(wèn)控制

檢查內(nèi)容

檢查內(nèi)容如下：

應(yīng)檢查物理訪(fǎng)問(wèn)控制措施。

檢查方法

檢查方法如下：

查驗(yàn)是否有進(jìn)出機(jī)房的人員登記記錄。

檢查結(jié)果判定

檢查結(jié)果判定如下：

若機(jī)房出入口沒(méi)有進(jìn)出機(jī)房的人員登記記錄，則檢查結(jié)果為不符合。

5.1.2支撐設(shè)施保障

檢查內(nèi)容

檢查內(nèi)容如下：

a)應(yīng)檢查防水措施；

b)應(yīng)檢查防火措施；

c)應(yīng)檢查溫濕度控制措施；

d)應(yīng)檢查穩(wěn)壓設(shè)備。

2

DB11/T1344—2016

檢查方法

檢查方法如下：

a)查驗(yàn)是否具備防止機(jī)房地下積水轉(zhuǎn)移與滲透的措施，是否對(duì)防水防潮處理結(jié)果和除濕裝置運(yùn)行

情況進(jìn)行記錄；

b)查驗(yàn)機(jī)房是否配備符合要求的滅火設(shè)備，滅火設(shè)備擺放是否合理，有效期是否合格；

c)查驗(yàn)溫濕度自動(dòng)調(diào)節(jié)設(shè)施是否能夠正常運(yùn)行，查驗(yàn)溫濕度控制是否合理；

d)查驗(yàn)機(jī)房?jī)?nèi)是否有穩(wěn)壓設(shè)備。

檢查結(jié)果判定

檢查結(jié)果判定如下：

a)若機(jī)房的墻壁或樓板的管道沒(méi)有采取必要的防滲透防漏等防水保護(hù)措施，或防水防潮處理結(jié)果

及除濕裝置運(yùn)行記錄缺失，則a）檢查結(jié)果為不符合；

b)若機(jī)房?jī)?nèi)沒(méi)有配備符合要求的滅火設(shè)備，滅火設(shè)備擺放不合理或已過(guò)期，則b）檢查

結(jié)果為不符合；

c)若機(jī)房?jī)?nèi)沒(méi)有配備溫濕度自動(dòng)調(diào)節(jié)設(shè)施，或當(dāng)前溫濕度不合理，則c）檢查結(jié)果為不

符合；

d)若機(jī)房?jī)?nèi)沒(méi)有設(shè)置穩(wěn)壓器，則d）檢查結(jié)果為不符合。

5.2安全技術(shù)要求

5.2.1網(wǎng)絡(luò)結(jié)構(gòu)安全

檢查內(nèi)容

檢查內(nèi)容如下：

應(yīng)檢查網(wǎng)絡(luò)拓?fù)鋱D。

檢查方法

檢查方法如下：

查驗(yàn)實(shí)際環(huán)境中的核心交換機(jī)、核心服務(wù)器、邊界防火墻等是否能夠在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖中定位。

檢查結(jié)果判定

檢查結(jié)果判定如下：

若網(wǎng)絡(luò)拓?fù)鋱D中無(wú)法定位核心交換機(jī)、核心服務(wù)器、邊界防火墻等關(guān)鍵設(shè)備，則檢查

結(jié)果為不符合。

5.2.2邊界安全防護(hù)

檢查內(nèi)容

檢查內(nèi)容如下：

應(yīng)檢查網(wǎng)絡(luò)邊界入侵檢測(cè)措施。

檢查方法

檢查方法如下：

a)查驗(yàn)網(wǎng)絡(luò)邊界設(shè)備是否采取技術(shù)手段防止地址欺騙；

3

DB11/T1344—2016

b)查驗(yàn)網(wǎng)絡(luò)入侵檢測(cè)設(shè)備是否能檢測(cè)以下攻擊行為：端口掃描、漏洞掃描、緩沖區(qū)溢出攻擊、拒

絕服務(wù)攻擊等，查看其規(guī)則庫(kù)是否為最新。

檢查結(jié)果判定

檢查結(jié)果判定如下：

a)若重要地址沒(méi)有采用IP/MAC綁定等手段防止地址欺騙，則a）檢查結(jié)果為不符合；

b)若沒(méi)有部署入侵檢測(cè)設(shè)備或入侵檢測(cè)設(shè)備的特征庫(kù)未及時(shí)更新，則b）檢查結(jié)果為不

符合。

5.2.3用戶(hù)身份鑒別

檢查內(nèi)容

檢查內(nèi)容如下：

應(yīng)檢查網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用系統(tǒng)的身份鑒別措施。

檢查方法

檢查方法如下：

查驗(yàn)主要網(wǎng)絡(luò)設(shè)備、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用系統(tǒng)的身份鑒別是否開(kāi)啟。

檢查結(jié)果判定

檢查結(jié)果判定如下：

若主要網(wǎng)絡(luò)設(shè)備、服務(wù)器操作系統(tǒng)、主要數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用系統(tǒng)無(wú)需身份鑒別，則

檢查結(jié)果為不符合。

5.2.4訪(fǎng)問(wèn)控制

檢查內(nèi)容

檢查內(nèi)容如下：

應(yīng)檢查操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)的默認(rèn)賬戶(hù)權(quán)限。

檢查方法

檢查方法如下：

查驗(yàn)主要服務(wù)器操作系統(tǒng)和重要數(shù)據(jù)庫(kù)管理系統(tǒng)是否已禁用或者限制匿名/默認(rèn)賬戶(hù)的訪(fǎng)問(wèn)權(quán)

限，是否重命名系統(tǒng)默認(rèn)賬戶(hù)名并修改默認(rèn)賬戶(hù)的默認(rèn)口令。

檢查結(jié)果判定

檢查結(jié)果判定如下：

a)操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)默認(rèn)賬戶(hù)名未重命名，默認(rèn)口令未修改，則檢查結(jié)果為不

符合；

b)Windows操作系統(tǒng)未禁用Guest默認(rèn)賬戶(hù)、Linux操作系統(tǒng)未禁用默認(rèn)用戶(hù)（如daemon、bin、sys、

adm等），則檢查結(jié)果為不符合；

c)其他操作系統(tǒng)存在未重命名的默認(rèn)系統(tǒng)用戶(hù)，則檢查結(jié)果為不符合。

5.2.5系統(tǒng)數(shù)據(jù)保護(hù)

4

DB11/T1344—2016

檢查內(nèi)容

檢查內(nèi)容如下：

應(yīng)檢查應(yīng)用系統(tǒng)數(shù)據(jù)備份介質(zhì)。

檢查方法

檢查方法如下：

查驗(yàn)是否對(duì)主要網(wǎng)絡(luò)設(shè)備、主要數(shù)據(jù)庫(kù)管理系統(tǒng)和主要應(yīng)用系統(tǒng)的重要信息進(jìn)行了本地備份。

檢查結(jié)果判定

檢查結(jié)果判定如下：

若缺乏主要網(wǎng)絡(luò)設(shè)備、主要數(shù)據(jù)庫(kù)管理系統(tǒng)和主要應(yīng)用系統(tǒng)的重要信息的備份介質(zhì)，則

檢查結(jié)果為不符合。

5.3安全管理要求

5.3.1安全管理機(jī)構(gòu)

檢查內(nèi)容

檢查內(nèi)容如下：

應(yīng)檢查安全崗位人員配備情況。

檢查方法

檢查方法如下：

查驗(yàn)系統(tǒng)、網(wǎng)絡(luò)、安全方面的管理規(guī)定，記錄系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫(kù)管理員、安

全管理員的姓名。

檢查結(jié)果判定

檢查結(jié)果判定如下：

若信息安全管理制度（網(wǎng)絡(luò)、主機(jī)、密碼、審計(jì)等制度）中沒(méi)有明確角色和職責(zé)定義，沒(méi)有

信息安全管理崗位人員名單，則檢查結(jié)果為不符合。

5.3.2安全管理制度

檢查內(nèi)容

檢查內(nèi)容如下：

應(yīng)檢查信息安全工作日常安全管理制度。

檢查方法

檢查方法如下：

查驗(yàn)是否制定日常信息安全管理制度，如機(jī)房管理制度等。

檢查結(jié)果判定

檢查結(jié)果判定如下：

若沒(méi)有制定日常信息安全管理制度，如機(jī)房管理制度等，則檢查結(jié)果為不符合。

5

DB11/T1344—2016

5.3.3系統(tǒng)人員安全

檢查內(nèi)容

檢查內(nèi)容如下：

應(yīng)檢查關(guān)鍵崗位人員勞動(dòng)合同和人員離崗記錄。

檢查方法

檢查方法如下：

a)查驗(yàn)關(guān)鍵崗位人員的勞動(dòng)合同，記錄負(fù)責(zé)人員錄用的部門(mén)名稱(chēng)或人員姓名；

b)查驗(yàn)離崗人員辦理過(guò)的調(diào)離手續(xù)記錄，記錄離崗員工被終止的訪(fǎng)問(wèn)權(quán)限內(nèi)容。

檢查結(jié)果判定

檢查結(jié)果判定如下：

a)若無(wú)法提供信息安全相關(guān)崗位人員勞動(dòng)合同，則a）檢查結(jié)果為不符合；

b)若對(duì)離崗人員未及時(shí)終止訪(fǎng)問(wèn)權(quán)限，則b）檢查結(jié)果為不符合。

5.3.4系統(tǒng)安全生命周期

檢查內(nèi)容

檢查內(nèi)容如下：

應(yīng)檢查系統(tǒng)設(shè)計(jì)、系統(tǒng)實(shí)施、系統(tǒng)驗(yàn)收、系統(tǒng)運(yùn)維等生命周期各階段的安全管理制度和相應(yīng)

記錄保存情況。

檢查方法

檢查方法如下：

a)查驗(yàn)定級(jí)報(bào)告，記錄定級(jí)報(bào)告名稱(chēng)和蓋章批準(zhǔn)的部門(mén)名稱(chēng)；

b)查驗(yàn)安全設(shè)計(jì)方案，記錄安全設(shè)計(jì)方案的名稱(chēng)；

c)查驗(yàn)安全產(chǎn)品的銷(xiāo)售許可證副本；

d)查驗(yàn)負(fù)責(zé)工程實(shí)施過(guò)程管理的部門(mén)名稱(chēng)或人員姓名；

e)查驗(yàn)安全性驗(yàn)收測(cè)試方案和測(cè)試驗(yàn)收?qǐng)?bào)告，記錄報(bào)告的名稱(chēng)；

f)查驗(yàn)機(jī)房安全管理制度，記錄制度文檔名稱(chēng)，核對(duì)是否規(guī)定機(jī)房物理訪(fǎng)問(wèn)、物品帶入帶出等；

g)查驗(yàn)與信息系統(tǒng)相關(guān)的資產(chǎn)清單，記錄資產(chǎn)清單名稱(chēng)，核對(duì)清單是否至少包括資產(chǎn)名稱(chēng)、資產(chǎn)

位置、資產(chǎn)責(zé)任部門(mén)或責(zé)任人等；

h)查驗(yàn)設(shè)備管理的部門(mén)名稱(chēng)或人員姓名，記錄部門(mén)名稱(chēng)或人員姓名，查驗(yàn)設(shè)備維護(hù)記錄；

i)查驗(yàn)網(wǎng)絡(luò)管理的部門(mén)名稱(chēng)或人員姓名，查驗(yàn)網(wǎng)絡(luò)管理的日常監(jiān)控記錄，核對(duì)記錄是否至少包括

監(jiān)控時(shí)間、監(jiān)控內(nèi)容、監(jiān)控人員等；

j)查驗(yàn)系統(tǒng)漏洞掃描報(bào)告，記錄掃描報(bào)告的名稱(chēng)，核對(duì)記錄是否至少包括掃描時(shí)間、掃描范圍、

發(fā)現(xiàn)的漏洞、處理措施等；

k)查驗(yàn)和記錄員工所用殺毒軟件的名稱(chēng)和版本；

l)查驗(yàn)安全事件報(bào)告和處置管理制度，是否規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管

理職責(zé)。

檢查結(jié)果判定

檢查結(jié)果判定如下：

6

DB11/T1344—2016

a)若無(wú)法提供系統(tǒng)定級(jí)報(bào)告書(shū)，無(wú)單位信息安全領(lǐng)導(dǎo)（小組）的批準(zhǔn)蓋章，則a）檢查

結(jié)果為不符合；

b)若無(wú)法提供安全設(shè)計(jì)方案，則b）檢查結(jié)果為不符合；

c)若無(wú)法提供安全產(chǎn)品銷(xiāo)售許可證副本，則c）檢查結(jié)果為不符合；

d)若無(wú)法提供負(fù)責(zé)工程實(shí)施過(guò)程管理的部門(mén)名稱(chēng)或人員姓名，則d）檢查結(jié)果為不符合；

e)若無(wú)法提供安全驗(yàn)收測(cè)試方案和測(cè)試報(bào)告，則e）檢查結(jié)果為不符合；

f)若無(wú)法提供機(jī)房安全管理制度，對(duì)機(jī)房環(huán)境、重要區(qū)域的訪(fǎng)問(wèn)、人員和物品的出入未進(jìn)行規(guī)定，

則f）檢查結(jié)果為不符合；

g)若無(wú)法提供與信息系統(tǒng)相關(guān)的資產(chǎn)清單，清單未包括資產(chǎn)名稱(chēng)、資產(chǎn)位置、資產(chǎn)責(zé)任部門(mén)或責(zé)

任人等，則g）檢查結(jié)果為不符合；

h)若無(wú)法提供設(shè)備管理的部門(mén)名稱(chēng)或人員姓名及設(shè)備維護(hù)記錄，則h）檢查結(jié)果為不符

合；

i)若無(wú)法提供網(wǎng)絡(luò)管理的部門(mén)名稱(chēng)或人員姓名，網(wǎng)絡(luò)管理的日常監(jiān)控記錄中未包括監(jiān)控時(shí)間、監(jiān)

控內(nèi)容、監(jiān)控人員，則i）檢查結(jié)果為不符合；

j)若無(wú)法提供系統(tǒng)漏洞掃描報(bào)告，記錄中未包括掃描時(shí)間、掃描范圍、發(fā)現(xiàn)的漏洞、處理措施等，

則j）檢查結(jié)果為不符合；

k)若員工未使用殺毒軟件或病毒庫(kù)未及時(shí)更新，則k）檢查結(jié)果為不符合；

l)若無(wú)法提供安全事件報(bào)告和處置管理制度，或內(nèi)容未覆蓋事件處理、報(bào)告和后期恢復(fù)的管理職

責(zé)，則l）檢查結(jié)果為不符合。

6二級(jí)信息系統(tǒng)檢查

6.1物理安全要求

6.1.1物理位置選擇

檢查內(nèi)容

檢查內(nèi)容如下：

應(yīng)檢查機(jī)房的選址和所在建筑物的防護(hù)能力。

檢查方法

檢查方法如下：

查驗(yàn)機(jī)房所在樓宇的驗(yàn)收?qǐng)?bào)告是否明確機(jī)房所在建筑的防震、防風(fēng)和防雨等能力。

檢查結(jié)果判定

檢查結(jié)果判定如下：

若無(wú)法提供機(jī)房所在建筑物樓宇的驗(yàn)收?qǐng)?bào)告，或未采取防風(fēng)和防雨等措施，則檢查結(jié)

果為不符合。

6.1.2物理訪(fǎng)問(wèn)控制

檢查內(nèi)容

檢查內(nèi)容如下：

應(yīng)檢查物理訪(fǎng)問(wèn)控制措施。

7

DB11/T1344—2016

檢查方法

檢查方法如下：

a)查驗(yàn)機(jī)房所有出入口是否有值守記錄以及進(jìn)出機(jī)房的人員登記記錄；

b)查驗(yàn)是否有來(lái)訪(fǎng)人員進(jìn)入機(jī)房的審批記錄，查驗(yàn)審批記錄是否包括來(lái)訪(fǎng)人員的訪(fǎng)問(wèn)范圍。

檢查結(jié)果判定

檢查結(jié)果判定如下：

a)若機(jī)房任何一個(gè)出入口沒(méi)有值守記錄和進(jìn)出人員登記記錄，則a）檢查結(jié)果為不符合；

b)若不具有來(lái)訪(fǎng)人員進(jìn)入機(jī)房的審批記錄，或?qū)徟涗浿胁痪邆鋪?lái)訪(fǎng)人員的訪(fǎng)問(wèn)范圍、所進(jìn)行的

操作等審批項(xiàng)，則b）檢查結(jié)果為不符合。

6.1.3支撐設(shè)施保障

檢查內(nèi)容

檢查內(nèi)容如下：

a)應(yīng)檢查防水措施；

b)應(yīng)檢查防火措施；

c)應(yīng)檢查溫濕度控制措施；

d)應(yīng)檢查防靜電措施；

e)應(yīng)檢查短期備用電源設(shè)備。

檢查方法

檢查方法如下：

a)查驗(yàn)是否具備防止機(jī)房地下積水轉(zhuǎn)移與滲透的措施，是否對(duì)防水防潮處理結(jié)果和除濕裝置運(yùn)行

情況進(jìn)行記錄；

b)查驗(yàn)機(jī)房是否設(shè)置了自動(dòng)消防系統(tǒng)，是否有人負(fù)責(zé)維護(hù)該系統(tǒng)的運(yùn)行；查驗(yàn)自動(dòng)消防系統(tǒng)是否

正常工作，查看是否有運(yùn)行記錄、報(bào)警記錄、定期檢查和維修記錄；

c)查驗(yàn)溫濕度自動(dòng)調(diào)節(jié)設(shè)施是否能夠正常運(yùn)行，查驗(yàn)是否有溫濕度記錄、運(yùn)行記錄和維護(hù)記錄；

d)訪(fǎng)談物理安全負(fù)責(zé)人，詢(xún)問(wèn)機(jī)房主要設(shè)備是否采取必要的接地防靜電措施；

e)查驗(yàn)計(jì)算機(jī)系統(tǒng)的短期備用電源設(shè)備是否正常運(yùn)行，查驗(yàn)是否有短期備用電源設(shè)備的檢查和維

護(hù)記錄。

檢查結(jié)果判定

檢查結(jié)果判定如下：

a)若機(jī)房的墻壁或樓板的管道沒(méi)有采取必要的防滲透防漏等防水保護(hù)措施，或防水防潮處理結(jié)果

及除濕裝置運(yùn)行記錄缺失，則a）檢查結(jié)果為不符合；

b)若機(jī)房?jī)?nèi)沒(méi)有設(shè)置自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警、自動(dòng)滅火的自動(dòng)消防系統(tǒng)，或自動(dòng)消防系統(tǒng)無(wú)法

正常工作，運(yùn)行記錄、報(bào)警記錄、定期檢查和維修記錄缺失，則b）檢查結(jié)果為不符

合；

c)若機(jī)房?jī)?nèi)沒(méi)有配備溫濕度自動(dòng)調(diào)節(jié)設(shè)施，或溫濕度記錄、運(yùn)行記錄和維護(hù)記錄缺失，則

c）檢查結(jié)果為不符合；

d)若機(jī)房?jī)?nèi)沒(méi)有設(shè)置靜電接地，則d）檢查結(jié)果為不符合；

8

DB11/T1344—2016

e)若機(jī)房?jī)?nèi)沒(méi)有設(shè)置短期備用電源設(shè)備（如UPS），或短期備用電源設(shè)備的檢查和維護(hù)記錄缺失，

則e）檢查結(jié)果為不符合。

6.2安全技術(shù)要求

6.2.1網(wǎng)絡(luò)結(jié)構(gòu)安全

檢查內(nèi)容

檢查內(nèi)容如下：

應(yīng)檢查網(wǎng)絡(luò)拓?fù)鋱D和重要網(wǎng)段劃分情況。

檢查方法

檢查方法如下：

a)查驗(yàn)實(shí)際環(huán)境中的核心交換機(jī)、核心服務(wù)器、邊界防火墻等是否能夠在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖中定位；

b)訪(fǎng)談網(wǎng)絡(luò)管理員，詢(xún)問(wèn)網(wǎng)段劃分情況以及劃分的原則。

檢查結(jié)果判定

檢查結(jié)果判定如下：

a)若網(wǎng)絡(luò)拓?fù)鋱D中無(wú)法定位核心交換機(jī)、核心服務(wù)器、邊界防火墻等關(guān)鍵設(shè)備，則a）

檢查結(jié)果為不符合；

b)若網(wǎng)絡(luò)沒(méi)有劃分子網(wǎng)，則b）檢查結(jié)果為不符合。

6.2.2邊界安全防護(hù)

檢查內(nèi)容

檢查內(nèi)容如下：

應(yīng)檢查網(wǎng)絡(luò)邊界訪(fǎng)問(wèn)控制、網(wǎng)絡(luò)入侵檢測(cè)措施。

檢查方法

檢查方法如下：

a)查驗(yàn)防火墻等邊界安全設(shè)備是否配置網(wǎng)段級(jí)的訪(fǎng)問(wèn)控制策略；

b)查驗(yàn)網(wǎng)絡(luò)邊界設(shè)備是否采取技術(shù)手段防止地址欺騙；

c)查驗(yàn)網(wǎng)絡(luò)入侵檢測(cè)設(shè)備是否能檢測(cè)以下攻擊行為：端口掃描、漏洞掃描、緩沖區(qū)溢出攻擊、拒

絕服務(wù)攻擊等，查看其規(guī)則庫(kù)是否為最新；

d)查驗(yàn)邊界完整性檢查設(shè)備是否設(shè)置了對(duì)非法連接到外網(wǎng)的行為進(jìn)行監(jiān)控并有效阻斷的配置。

檢查結(jié)果判定

檢查結(jié)果判定如下：

a)若沒(méi)有在網(wǎng)絡(luò)邊界部署防火墻等訪(fǎng)問(wèn)控制設(shè)備或訪(fǎng)問(wèn)控制策略沒(méi)有到網(wǎng)段級(jí)，則a）

檢查結(jié)果為不符合；

b)若重要地址沒(méi)有采用IP/MAC綁定等手段防止地址欺騙，則b）檢查結(jié)果為不符合；

c)若沒(méi)有部署入侵檢測(cè)設(shè)備或入侵檢測(cè)設(shè)備的特征庫(kù)未及時(shí)更新，則c）檢查結(jié)果為不

符合；

d)若沒(méi)有相應(yīng)的手段監(jiān)控和阻止內(nèi)部用戶(hù)非法連接到外網(wǎng)，則d）檢查結(jié)果為不符合。

9

DB11/T1344—2016

6.2.3用戶(hù)身份鑒別

檢查內(nèi)容

檢查內(nèi)容如下：

應(yīng)檢查網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用系統(tǒng)的身份鑒別措施和口令策略。

檢查方法

檢查方法如下：

a)查驗(yàn)主要網(wǎng)絡(luò)設(shè)備、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用系統(tǒng)的身份鑒別是否開(kāi)啟，口令

的復(fù)雜度情況；

b)查驗(yàn)操作系統(tǒng)、應(yīng)用系統(tǒng)是否具備登錄失敗賬戶(hù)鎖定功能。

檢查結(jié)果判定

檢查結(jié)果判定如下：

a)若主要網(wǎng)絡(luò)設(shè)備、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用系統(tǒng)無(wú)需身份鑒別，或出現(xiàn)弱口令、

默認(rèn)口令、空口令，設(shè)置少于8位且僅由數(shù)字或字母組成的口令，則a）檢查結(jié)果為不

符合；

b)未設(shè)置連續(xù)登錄失敗賬戶(hù)鎖定功能，則b）檢查結(jié)果為不符合。

6.2.4訪(fǎng)問(wèn)控制

檢查內(nèi)容

檢查內(nèi)容如下：

應(yīng)檢查操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用該系統(tǒng)的默認(rèn)賬戶(hù)和系統(tǒng)賬戶(hù)的權(quán)限分配情況。

檢查方法

檢查方法如下：

a)查驗(yàn)主要服務(wù)器操作系統(tǒng)和重要數(shù)據(jù)庫(kù)管理系統(tǒng)是否已禁用或者限制匿名/默認(rèn)賬戶(hù)的訪(fǎng)問(wèn)權(quán)

限，是否重命名系統(tǒng)默認(rèn)賬戶(hù)名并修改默認(rèn)賬戶(hù)的默認(rèn)口令；

b)通過(guò)訪(fǎng)談詢(xún)問(wèn)應(yīng)用系統(tǒng)的訪(fǎng)問(wèn)控制策略及粒度；以不同權(quán)限的用戶(hù)登錄應(yīng)用系統(tǒng)，查看其擁有

的權(quán)限是否與系統(tǒng)賦予的權(quán)限一致，驗(yàn)證應(yīng)用系統(tǒng)訪(fǎng)問(wèn)控制功能是否有效。

檢查結(jié)果判定

檢查結(jié)果判定如下：

a)操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)默認(rèn)賬戶(hù)名未重命名，默認(rèn)口令未修改，則a）檢查結(jié)果

為不符合；

b)Windows操作系統(tǒng)未禁用Guest默認(rèn)賬戶(hù)、Linux操作系統(tǒng)未禁用默認(rèn)用戶(hù)（如daemon、bin、sys、

adm等），則a）檢查結(jié)果為不符合；

c)其他操作系統(tǒng)存在未重命名的默認(rèn)系統(tǒng)用戶(hù)，則a）檢查結(jié)果為不符合；

d)應(yīng)用系統(tǒng)普通用戶(hù)登錄后具備系統(tǒng)管理等管理員同樣的權(quán)限，則b）檢查結(jié)果為不符

合；

e)權(quán)限之間未形成相互制約，如未做到管理權(quán)限和審計(jì)權(quán)限的分離，則b）檢查結(jié)果為

不符合。

10

DB11/T1344—2016

6.2.5審計(jì)日志管理

檢查內(nèi)容

檢查內(nèi)容如下：

應(yīng)檢查網(wǎng)絡(luò)設(shè)備的日志、操作系統(tǒng)日志、數(shù)據(jù)庫(kù)日志、應(yīng)用系統(tǒng)日志的保存情況。

檢查方法

檢查方法如下：

a)查驗(yàn)網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)是否具備了審計(jì)日志;

b)查驗(yàn)是否通過(guò)日志覆蓋周期、覆蓋方式、日志文件/空間大小、日志文件操作權(quán)限等設(shè)置，實(shí)

現(xiàn)對(duì)審計(jì)記錄的保護(hù)。

檢查結(jié)果判定

檢查結(jié)果判定如下：

a)不具備網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)的審計(jì)日志，則a）檢查結(jié)果為不符

合；

b)未合理配置網(wǎng)絡(luò)設(shè)備日志緩沖區(qū)大小，則b）檢查結(jié)果為不符合；

c)未對(duì)各層面的審計(jì)日志設(shè)定覆蓋周期、覆蓋方式、讀寫(xiě)權(quán)限等，則b）檢查結(jié)果為不

符合；

d)未對(duì)各層面的審計(jì)日志進(jìn)行備份，則b）檢查結(jié)果為不符合；

e)應(yīng)用系統(tǒng)為用戶(hù)提供日志單條刪除功能，則b）檢查結(jié)果為不符合。

6.2.6系統(tǒng)數(shù)據(jù)保護(hù)

檢查內(nèi)容

檢查內(nèi)容如下：

a)應(yīng)檢查網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)中的口令加密情況；

b)應(yīng)檢查應(yīng)用系統(tǒng)數(shù)據(jù)備份介質(zhì)。

檢查方法

檢查方法如下：

a)查驗(yàn)網(wǎng)絡(luò)設(shè)備的配置文件中用戶(hù)口令是否加密存儲(chǔ)；

b)查驗(yàn)應(yīng)用系統(tǒng)存儲(chǔ)用戶(hù)信息的數(shù)據(jù)表中用戶(hù)口令字段是否加密存儲(chǔ)；

c)查驗(yàn)是否對(duì)主要網(wǎng)絡(luò)設(shè)備、主要數(shù)據(jù)庫(kù)管理系統(tǒng)和主要應(yīng)用系統(tǒng)的重要信息進(jìn)行了本地備份，

備份介質(zhì)是否場(chǎng)外存放。

檢查結(jié)果判定

檢查結(jié)果判定如下：

a)若網(wǎng)絡(luò)設(shè)備配置文件中存儲(chǔ)了明文用戶(hù)口令，則a）檢查結(jié)果為不符合；

b)若應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)中存儲(chǔ)了明文用戶(hù)口令，則b）檢查結(jié)果為不符合；

c)若缺乏主要網(wǎng)絡(luò)設(shè)備、主要數(shù)據(jù)庫(kù)管理系統(tǒng)和主要應(yīng)用系統(tǒng)重要信息的備份，則c）

檢查結(jié)果為不符合；

d)備份介質(zhì)若無(wú)場(chǎng)外存放，則c）檢查結(jié)果為不符合。

11

DB11/T1344—2016

6.3安全管理要求

6.3.1安全管理機(jī)構(gòu)

檢查內(nèi)容

檢查內(nèi)容如下：

應(yīng)檢查安全崗位人員配備情況和安全制度審批機(jī)制建立情況。

檢查方法

檢查方法如下：

a)查驗(yàn)崗位設(shè)置管理制度和工作責(zé)任書(shū)，檢查是否有安全主管、安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)

管理員等崗位的工作職責(zé)描述；

b)查驗(yàn)系統(tǒng)、網(wǎng)絡(luò)、安全方面的管理規(guī)定，記錄系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫(kù)管理員、安全

管理員的姓名，核對(duì)安全管理員是否專(zhuān)職；

c)查驗(yàn)審批流程規(guī)定和審批記錄，記錄審批流程規(guī)定和審批記錄的名稱(chēng)，核對(duì)審批記錄是否至少

包括審批時(shí)間、申請(qǐng)人、審批內(nèi)容、審批人；

d)查驗(yàn)外聯(lián)單位聯(lián)系列表，核對(duì)是否至少包括外聯(lián)單位名稱(chēng)、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信

息；

e)查驗(yàn)安全檢查制度，記錄安全檢查制度的名稱(chēng)，查驗(yàn)定期安全檢查記錄，核對(duì)記錄是否至少包

括檢查時(shí)間、檢查人員、檢查對(duì)象、檢查結(jié)果。

檢查結(jié)果判定

檢查結(jié)果判定如下：

a)若沒(méi)有提供崗位設(shè)置管理制度和工作責(zé)任書(shū)，未明確安全主管、安全管理員、系統(tǒng)管理員、網(wǎng)

絡(luò)管理員等崗位設(shè)置和工作職責(zé)，則a）檢查結(jié)果為不符合；

b)若信息安全管理制度（網(wǎng)絡(luò)、主機(jī)、密碼、審計(jì)等制度）中沒(méi)有明確角色和職責(zé)定義，沒(méi)有信

息安全管理崗位人員名單，未設(shè)置專(zhuān)職的信息安全管理員，或安全管理員存在兼任現(xiàn)象，則

b）檢查結(jié)果為不符合；

c)若沒(méi)有建立對(duì)機(jī)房及重要區(qū)域進(jìn)出、系統(tǒng)或網(wǎng)絡(luò)重要操作（系統(tǒng)上線(xiàn)變更、配置變更、加固、

安全管理等）的審批程序，或無(wú)法提供相關(guān)事件的審批記錄，則c）檢查結(jié)果為不符

合；

d)若沒(méi)有建立外聯(lián)單位聯(lián)系列表，或內(nèi)容不完整，則d）檢查結(jié)果為不符合；

e)若沒(méi)有制定安全檢查工作制度和流程，沒(méi)有定期進(jìn)行安全檢查活動(dòng)并保留檢查記錄，則

e）檢查結(jié)果為不符合。

6.3.2安全管理制度

檢查內(nèi)容

檢查內(nèi)容如下：

應(yīng)檢查信息安全工作的總體方針和安全策略制定、發(fā)布方式和定期評(píng)審修訂情況。

檢查方法

檢查方法如下：

12

DB11/T1344—2016

a)查驗(yàn)信息安全管理體系總體方針、安全策略方面的相關(guān)文檔，記錄信息安全工作的總體方針、

抽查的安全策略文檔名稱(chēng)等；

b)查驗(yàn)安全管理制度發(fā)布到相關(guān)人員手中的方式；

c)查驗(yàn)安全管理制度的審定和修訂記錄，核對(duì)評(píng)審記錄是否至少包括評(píng)審時(shí)間、評(píng)審地點(diǎn)、參與

評(píng)審人員和評(píng)審結(jié)論，修訂記錄是否至少包括修訂時(shí)間、修訂內(nèi)容、修訂人等信息。

檢查結(jié)果判定

檢查結(jié)果判定如下：

a)若沒(méi)有制定信息安全工作的總體方針和安全策略，則a）檢查結(jié)果為不符合；

b)若安全管理制度沒(méi)有采用文件、郵件或辦公網(wǎng)等有效途徑發(fā)布，則b）檢查結(jié)果為不

符合；

c)若沒(méi)有定期對(duì)安全管理制度進(jìn)行檢查，組織召開(kāi)評(píng)審會(huì)，或評(píng)審記錄內(nèi)容不完整，則c）

檢查結(jié)果為不符合。

6.3.3系統(tǒng)人員安全

檢查內(nèi)容

檢查內(nèi)容如下：

應(yīng)檢查重要崗位人員勞動(dòng)合同、人員離崗記錄、保密協(xié)議、人員培訓(xùn)和考核記錄。

檢查方法

檢查方法如下：

a)查驗(yàn)重要崗位人員的勞動(dòng)合同和保密協(xié)議，記錄保密協(xié)議名稱(chēng)，核對(duì)協(xié)議內(nèi)容是否至少包括保

密范圍、保密責(zé)任、違約責(zé)任、協(xié)議有效期和責(zé)任人簽字等；

b)查驗(yàn)重要崗位（如安全管理員）離崗人員辦理過(guò)的調(diào)離手續(xù)記錄，核對(duì)記錄是否至少包括人員

姓名、調(diào)離崗位、調(diào)離時(shí)間、收回權(quán)限及物品、核對(duì)人簽字、批準(zhǔn)人簽字等；

c)查驗(yàn)各崗位人員的安全技能和安全認(rèn)知考核記錄，核對(duì)記錄是否至少包括考核時(shí)間、考核對(duì)象、

考核內(nèi)容、考核結(jié)果等；

d)查驗(yàn)安全教育和培訓(xùn)計(jì)劃，核對(duì)計(jì)劃是否明確了培訓(xùn)方式、培訓(xùn)對(duì)象、培訓(xùn)內(nèi)容、培訓(xùn)時(shí)間和

地點(diǎn)等，查驗(yàn)培訓(xùn)記錄是否至少包括培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等描述。

檢查結(jié)果判定

檢查結(jié)果判定如下：

a)若無(wú)法提供信息安全相關(guān)崗位人員的勞動(dòng)合同或保密協(xié)議，則a）檢查結(jié)果為不符合；

b)若重要崗位人員離崗記錄中，未包括人員姓名、調(diào)離崗位、調(diào)離時(shí)間、收回權(quán)限及物品、核對(duì)

人簽字、批準(zhǔn)人簽字等，則b）檢查結(jié)果為不符合；

c)若無(wú)法提供針對(duì)不同崗位人員的安全技能和安全意識(shí)考核記錄，則c）檢查結(jié)果為不

符合；

d)若無(wú)法提供安全教育和培訓(xùn)計(jì)劃，計(jì)劃或記錄內(nèi)容不完整，則d）檢查結(jié)果為不符合。

6.3.4系統(tǒng)安全生命周期

檢查內(nèi)容

檢查內(nèi)容如下：

13

DB11/T1344—2016

應(yīng)檢查系統(tǒng)設(shè)計(jì)、系統(tǒng)開(kāi)發(fā)、系統(tǒng)實(shí)施、系統(tǒng)測(cè)評(píng)、系統(tǒng)驗(yàn)收、系統(tǒng)交付、系統(tǒng)運(yùn)維等生命

周期各階段的安全管理制度和相應(yīng)記錄保存情況。

檢查方法

檢查方法如下：

a)查驗(yàn)定級(jí)報(bào)告，記錄定級(jí)報(bào)告名稱(chēng)和蓋章批準(zhǔn)的部門(mén)名稱(chēng)；

b)查驗(yàn)安全設(shè)計(jì)方案，記錄安全設(shè)計(jì)方案的名稱(chēng)；

c)查驗(yàn)安全產(chǎn)品和密碼產(chǎn)品的銷(xiāo)售許可證副本；

d)查驗(yàn)軟件開(kāi)發(fā)管理制度，記錄制度文檔名稱(chēng)，核實(shí)有無(wú)開(kāi)發(fā)過(guò)程的控制方法和人員行為準(zhǔn)則；

若為外包軟件開(kāi)發(fā)，請(qǐng)被檢查機(jī)構(gòu)的配合人員提供軟件的惡意代碼檢測(cè)記錄和報(bào)告；

e)查驗(yàn)工程實(shí)施方案，記錄實(shí)施方案名稱(chēng)，核對(duì)實(shí)施方案是否至少包括背景、目的、內(nèi)容、進(jìn)度

安排、實(shí)施人員和風(fēng)險(xiǎn)管理等；

f)查驗(yàn)安全性驗(yàn)收測(cè)試方案和測(cè)試驗(yàn)收?qǐng)?bào)告，記錄報(bào)告的名稱(chēng)；查驗(yàn)測(cè)試驗(yàn)收?qǐng)?bào)告的審定記錄，

記錄報(bào)告簽字人姓名等；

g)查驗(yàn)系統(tǒng)交付清單，記錄系統(tǒng)交付清單的名稱(chēng)，核對(duì)是否包括交接的設(shè)備名稱(chēng)及數(shù)量、軟件名

稱(chēng)及數(shù)量、文檔名稱(chēng)及數(shù)量等；

h)查驗(yàn)機(jī)房安全管理制度，記錄制度文檔名稱(chēng)，核對(duì)是否規(guī)定機(jī)房物理訪(fǎng)問(wèn)、物品帶入帶出等；

i)查驗(yàn)資產(chǎn)安全管理制度，記錄制度文檔名稱(chēng)、規(guī)定的資產(chǎn)管理責(zé)任人或責(zé)任部門(mén)，核對(duì)是否至

少包括資產(chǎn)管理和使用的行為；

j)查驗(yàn)介質(zhì)安全管理制度，記錄制度文檔名稱(chēng)，查閱對(duì)介質(zhì)的存放環(huán)境、使用、維護(hù)和銷(xiāo)毀的規(guī)

范化規(guī)定；

k)查驗(yàn)設(shè)備安全管理制度，記錄制度文檔名稱(chēng)，查閱是否有軟硬件設(shè)備的選型、采購(gòu)、發(fā)放和領(lǐng)

用的管理規(guī)定；查驗(yàn)信息處理設(shè)備帶離機(jī)房或辦公地點(diǎn)的審批記錄；

l)查驗(yàn)網(wǎng)絡(luò)安全管理制度，是否覆蓋網(wǎng)絡(luò)安全配置、安全策略、升級(jí)與補(bǔ)丁、授權(quán)訪(fǎng)問(wèn)、日志保

存時(shí)間、口令更新周期等方面內(nèi)容；

m)通過(guò)訪(fǎng)談了解是否定期對(duì)系統(tǒng)進(jìn)行漏洞掃描，記錄掃描周期，發(fā)現(xiàn)漏洞是否及時(shí)修補(bǔ)；查驗(yàn)系

統(tǒng)漏洞掃描報(bào)告，掃描時(shí)間間隔與掃描周期是否一致；查驗(yàn)系統(tǒng)安全管理制度，內(nèi)容是否覆

蓋系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面；

n)查驗(yàn)是否有惡意代碼防范方面的管理制度，查看其內(nèi)容是否覆蓋防惡意代碼軟件的授權(quán)使用、

惡意代碼庫(kù)升級(jí)、定期匯報(bào)等方面；

o)查驗(yàn)變更管理制度，是否覆蓋變更前審批、變更過(guò)程記錄、變更后通報(bào)等方面內(nèi)容，是否包括

變更申報(bào)、審批程序，是否規(guī)定需要申報(bào)的變更類(lèi)型、申報(bào)流程、審批部門(mén)、批準(zhǔn)人等方面

內(nèi)容；

p)查驗(yàn)安全事件報(bào)告和處置管理制度，是否明確安全事件類(lèi)型，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件

報(bào)告和后期恢復(fù)的管理職責(zé)。

檢查結(jié)果判定

檢查結(jié)果判定如下：

a)若無(wú)法提供系統(tǒng)定級(jí)報(bào)告書(shū)，無(wú)單位信息安全領(lǐng)導(dǎo)（小組）的批準(zhǔn)蓋章，則a）檢查

結(jié)果為不符合；

b)若無(wú)法提供安全設(shè)計(jì)方案，則b）檢查結(jié)果為不符合；

c)若無(wú)法提供安全產(chǎn)品和密碼產(chǎn)品的銷(xiāo)售許可證副本，則c）檢查結(jié)果為不符合；

14

DB11/T1344—2016

d)若無(wú)法提供軟件開(kāi)發(fā)管理制度，若為外包軟件開(kāi)發(fā)，無(wú)法提供軟件的惡意代碼掃描記錄和檢測(cè)

報(bào)告，則d）檢查結(jié)果為不符合；

e)若無(wú)法提供工程實(shí)施方案，實(shí)施方案未包括背景、目的、內(nèi)容、進(jìn)度安排、實(shí)施人員和風(fēng)險(xiǎn)管

理等，則e）檢查結(jié)果為不符合；

f)若無(wú)法提供安全驗(yàn)收測(cè)試方案和測(cè)試報(bào)告，或無(wú)測(cè)試報(bào)告結(jié)果的評(píng)審記錄，則f）檢

查結(jié)果為不符合；

g)若無(wú)法提供詳細(xì)的系統(tǒng)交付清單，清單中的信息不完整，或各環(huán)節(jié)無(wú)負(fù)責(zé)人員簽字，則

g）檢查結(jié)果為不符合；

h)若無(wú)法提供機(jī)房安全管理制度，對(duì)機(jī)房環(huán)境、重要區(qū)域的訪(fǎng)問(wèn)、人員和物品的出入未進(jìn)行規(guī)定，

則h）檢查結(jié)果為不符合；

i)若無(wú)法提供資產(chǎn)安全管理制度，未明確資產(chǎn)管理責(zé)任部門(mén)和人員、管理和使用行為、資產(chǎn)編號(hào)

和分類(lèi)方法、信息存儲(chǔ)和保存發(fā)放等，則i）檢查結(jié)果為不符合；

j)若無(wú)法提供介質(zhì)安全管理制度，或內(nèi)容未包含對(duì)介質(zhì)的存放環(huán)境、使用、維護(hù)和銷(xiāo)毀的規(guī)范化

規(guī)定，則j）檢查結(jié)果為不符合；

k)若無(wú)法提供設(shè)備安全管理制度，或內(nèi)容不合理、不完整；無(wú)法提供設(shè)備帶離辦公場(chǎng)所或機(jī)房的

審批記錄，則k）檢查結(jié)果為不符合；

l)若無(wú)法提供網(wǎng)絡(luò)安全管理制度，或內(nèi)容未覆蓋網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級(jí)

與補(bǔ)丁、口令更新周期等方面，則l）檢查結(jié)果為不符合；

m)若無(wú)法提供系統(tǒng)安全管理制度，或內(nèi)容未覆蓋系統(tǒng)安全策略、安全配置、日志管理和日常操作

流程等方面；無(wú)法提供定期對(duì)服務(wù)器進(jìn)行漏洞掃描的報(bào)告，則m）檢查結(jié)果為不符合；

n)若無(wú)法提供惡意代碼防范方面的管理制度，其內(nèi)容未覆蓋防惡意代碼軟件的授權(quán)使用、惡意代

碼庫(kù)升級(jí)、定期匯報(bào)等方面，則n）檢查結(jié)果為不符合；

o)若無(wú)法提供變更管理制度，或內(nèi)容未覆蓋系統(tǒng)上線(xiàn)變更、配置變更和其他重要變更等，則

o）檢查結(jié)果為不符合；

p)若無(wú)法提供安全事件報(bào)告和處置管理制度，或內(nèi)容未覆蓋安全事件類(lèi)型，事件處理、報(bào)告和后

期恢復(fù)的管理職責(zé)，則p）檢查結(jié)果為不符合。

6.3.5系統(tǒng)連續(xù)性保障

檢查內(nèi)容

檢查內(nèi)容如下：

應(yīng)檢查業(yè)務(wù)中斷影響分析報(bào)告、業(yè)務(wù)連續(xù)性技術(shù)環(huán)境、備份恢復(fù)管理制度和應(yīng)急響應(yīng)機(jī)制。

檢查方法

檢查方法如下：

a)查驗(yàn)業(yè)務(wù)中斷影響分析報(bào)告，是否對(duì)業(yè)務(wù)中斷的可能性和造成的影響進(jìn)行分析；

b)查驗(yàn)網(wǎng)絡(luò)鏈路、網(wǎng)絡(luò)設(shè)備、服務(wù)器和數(shù)據(jù)存儲(chǔ)設(shè)備列表和說(shuō)明，是否不存在關(guān)鍵節(jié)點(diǎn)單點(diǎn)故障；

c)查驗(yàn)備份與恢復(fù)方面的管理制度，是否明確了備份方式、備份頻度、存儲(chǔ)介質(zhì)和保存期等方面

內(nèi)容；

d)查驗(yàn)應(yīng)急預(yù)案；通過(guò)訪(fǎng)談系統(tǒng)運(yùn)維負(fù)責(zé)人了解是否定期對(duì)應(yīng)急預(yù)案進(jìn)行演練并保留演練記錄。

檢查結(jié)果判定

檢查結(jié)果判定如下：

15

DB11/T1344—2016

a)若無(wú)法提供業(yè)務(wù)中斷影響分析報(bào)告，內(nèi)容未包括業(yè)務(wù)中斷的可能性和造成的影響分析，則

a）檢查結(jié)果為不符合；

b)若無(wú)法提供網(wǎng)絡(luò)鏈路、網(wǎng)絡(luò)設(shè)備、服務(wù)器和數(shù)據(jù)存儲(chǔ)設(shè)備列表和說(shuō)明，關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障，

則b）檢查結(jié)果為不符合；

c)若無(wú)法提供備份與恢復(fù)管理相關(guān)的安全管理制度，未明確系統(tǒng)和數(shù)據(jù)備份頻率和方式，則

c）檢查結(jié)果為不符合；

d)若未制定應(yīng)急預(yù)案，內(nèi)容未覆蓋應(yīng)急預(yù)案啟動(dòng)的條件、應(yīng)急處理所需要的人力、物力和流程、

系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容；或未定期開(kāi)展應(yīng)急預(yù)案演練并未保留記錄，則

d）檢查結(jié)果為不符合。

7三級(jí)信息系統(tǒng)檢查

7.1物理安全要求

7.1.1物理位置選擇

檢查內(nèi)容

檢查內(nèi)容如下：

應(yīng)檢查機(jī)房的選址和所在建筑物的防護(hù)能力。

檢查方法

檢查方法如下：

a)查驗(yàn)機(jī)房所在樓宇的驗(yàn)收?qǐng)?bào)告是否明確機(jī)房所在建筑的防震、防風(fēng)和防雨等能力；

b)查驗(yàn)機(jī)房是否在建筑物的頂層或地下室，是否加強(qiáng)防水和防潮措施。

檢查結(jié)果判定

檢查結(jié)果判定如下：

a)若無(wú)法提供機(jī)房所在建筑物樓宇的驗(yàn)收?qǐng)?bào)告，或未采取防風(fēng)和防雨等措施，則a）檢

查結(jié)果為不符合；

b)如果機(jī)房選址在地下室或頂層，且未加強(qiáng)防水和防潮措施，則b）檢查結(jié)果為不符合。

7.1.2物理訪(fǎng)問(wèn)控制

檢查內(nèi)容

檢查內(nèi)容如下：

應(yīng)檢查物理訪(fǎng)問(wèn)控制措施。

檢查方法

檢查方法如下：

a)查驗(yàn)機(jī)房所有出入口是否有值守記錄以及進(jìn)出機(jī)房的人員登記記錄；

b)查驗(yàn)是否有來(lái)訪(fǎng)人員進(jìn)入機(jī)房的審批記錄，查驗(yàn)審批記錄是否包括來(lái)訪(fǎng)人員的訪(fǎng)問(wèn)范圍；

c)查驗(yàn)機(jī)房?jī)?nèi)的運(yùn)維區(qū)域和設(shè)備區(qū)域是否有隔離措施；

d)查驗(yàn)電子門(mén)禁系統(tǒng)是否能正常工作；查驗(yàn)是否有電子門(mén)禁系統(tǒng)的運(yùn)行和維護(hù)記錄。

檢查結(jié)果判定

16

DB11/T1344—2016

檢查結(jié)果判定如下：

a)若機(jī)房任何一個(gè)出入口沒(méi)有值守記錄和進(jìn)出人員登記記錄，則a）檢查結(jié)果為不符合；

b)若沒(méi)有來(lái)訪(fǎng)人員進(jìn)入機(jī)房的審批記錄，或?qū)徟涗浿胁痪邆鋪?lái)訪(fǎng)人員的訪(fǎng)問(wèn)范圍以及所要執(zhí)行

的操作等審批項(xiàng)，則b）檢查結(jié)果為不符合；

c)若機(jī)房?jī)?nèi)的運(yùn)維區(qū)域和設(shè)備區(qū)域間沒(méi)有隔離措施，如玻璃門(mén)等，則c）檢查結(jié)果為不

符合；

d)若機(jī)房?jī)?nèi)沒(méi)有設(shè)置電子門(mén)禁系統(tǒng)，或者電子門(mén)禁系統(tǒng)無(wú)法正常工作，或沒(méi)有電子門(mén)禁系統(tǒng)運(yùn)行

和維護(hù)記錄，則d）檢查結(jié)果為不符合。

7.1.3支撐設(shè)施保障

檢查內(nèi)容

檢查內(nèi)容如下：

a)應(yīng)檢查防水措施；

b)應(yīng)檢查防火措施；

c)應(yīng)檢查溫濕度控制措施；

d)應(yīng)檢查防靜電措施；

e)應(yīng)檢查電力保障措施和通信線(xiàn)纜保護(hù)措施。

檢查方法

檢查方法如下：

a)查驗(yàn)是否具備防止機(jī)房地下積水轉(zhuǎn)移與滲透的措施，是否對(duì)防水防潮處理結(jié)果和除濕裝置運(yùn)行

情況進(jìn)行記錄；

b)查驗(yàn)是否設(shè)置對(duì)水敏感的檢測(cè)儀表或元件對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警；查驗(yàn)該儀表或元件是否

正常運(yùn)行，是否有日常狀態(tài)運(yùn)行監(jiān)測(cè)記錄，是否有人負(fù)責(zé)其運(yùn)行管理工作；

c)查驗(yàn)機(jī)房是否設(shè)置了自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警、自動(dòng)滅火的自動(dòng)消防系統(tǒng)，查驗(yàn)自動(dòng)消防系統(tǒng)

是否正常工作，是否有運(yùn)行記錄、報(bào)警記錄、定期檢查和維修記錄；

d)查驗(yàn)機(jī)房及相關(guān)的工作房間和輔助房是否采用具有耐火等級(jí)的建筑材料；

e)查驗(yàn)溫濕度自動(dòng)調(diào)節(jié)設(shè)施是否能夠正常運(yùn)行，查驗(yàn)是否有溫濕度記錄、運(yùn)行記錄和維護(hù)記錄；

f)訪(fǎng)談物理安全負(fù)責(zé)人，詢(xún)問(wèn)機(jī)房主要設(shè)備是否采取必要的接地防靜電措施，查驗(yàn)機(jī)房是否采用

了防靜電地板；

g)查驗(yàn)是否有短期備用電源設(shè)備或備用供電系統(tǒng)及其檢查和維護(hù)記錄，是否有冗余或并行的電力

電纜線(xiàn)路切換記錄、備用供電系統(tǒng)運(yùn)行記錄；

h)查驗(yàn)機(jī)房是否采取通信線(xiàn)纜與電源線(xiàn)隔離鋪設(shè)等通信線(xiàn)纜保護(hù)措施。

檢查結(jié)果判定

檢查結(jié)果判定如下：

a)若機(jī)房的墻壁或樓板的管道沒(méi)有采取必要的防滲透防漏等防水保護(hù)措施，或防水防潮處理結(jié)果

及除濕裝置運(yùn)行記錄缺失，則a）檢查結(jié)果為不符合；

b)若機(jī)房?jī)?nèi)沒(méi)有設(shè)置對(duì)水敏感的檢測(cè)儀表或元件對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警，則b）檢

查結(jié)果為不符合；

17

DB11/T1344—2016

c)若機(jī)房?jī)?nèi)沒(méi)有設(shè)置自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警、自動(dòng)滅火的自動(dòng)消防系統(tǒng)，或自動(dòng)消防系統(tǒng)無(wú)法

正常工作，運(yùn)行記錄、報(bào)警記錄、定期檢查和維修記錄缺失，則c）檢查結(jié)果為不符

合；

d)若機(jī)房及相關(guān)的工作房間和輔助房沒(méi)有采用具有耐火等級(jí)的建筑材料，則d）不符合；

e)若機(jī)房?jī)?nèi)沒(méi)有配備溫濕度自動(dòng)調(diào)節(jié)設(shè)施，或溫濕度記錄、運(yùn)行記錄和維護(hù)記錄缺失，則

e）檢查結(jié)果為不符合；

f)若機(jī)房?jī)?nèi)沒(méi)有設(shè)置靜電接地，或機(jī)房未采用防靜電地板，則f）檢查結(jié)果為不符合；

g)若機(jī)房?jī)?nèi)沒(méi)有設(shè)置短期備用電源設(shè)備（如UPS）或備用供電系統(tǒng)，則g）檢查結(jié)果為不

符合；

h)若機(jī)房沒(méi)有采取通信線(xiàn)纜與電源線(xiàn)隔離鋪設(shè)，則h）檢查結(jié)果為不符合。

7.2安全技術(shù)要求

7.2.1網(wǎng)絡(luò)結(jié)構(gòu)安全

檢查內(nèi)容

檢查內(nèi)容如下：

應(yīng)檢查網(wǎng)絡(luò)拓?fù)鋱D和重要網(wǎng)段劃分情況；應(yīng)檢查網(wǎng)絡(luò)線(xiàn)路部署的冗余措施。

檢查方法

檢查方法如下：

a)查驗(yàn)實(shí)際環(huán)境中的核心交換機(jī)、核心服務(wù)器、邊界防火墻等是否能夠在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖中定位；

b)訪(fǎng)談網(wǎng)絡(luò)管理員，詢(xún)問(wèn)網(wǎng)段劃分情況以及劃分的原則；

c)查驗(yàn)重要網(wǎng)段間的核心交換機(jī)或防火墻是否配置了訪(fǎng)問(wèn)控制策略；

d)查驗(yàn)是否提供關(guān)鍵網(wǎng)絡(luò)設(shè)備、主要通信線(xiàn)路和核心數(shù)據(jù)處理系統(tǒng)的熱備。

檢查結(jié)果判定

檢查結(jié)果判定如下：

a)若網(wǎng)絡(luò)拓?fù)鋱D中無(wú)法定位核心交換機(jī)、核心服務(wù)器、邊界防火墻等關(guān)鍵設(shè)備，則a）

檢查結(jié)果為不符合；

b)若網(wǎng)絡(luò)沒(méi)有劃分子網(wǎng)，則b）檢查結(jié)果為不符合；

c)核心交換機(jī)或防火墻沒(méi)有設(shè)置訪(fǎng)問(wèn)控制策略（ACL），則c）檢查結(jié)果為不符合；

d)若網(wǎng)絡(luò)內(nèi)關(guān)鍵網(wǎng)絡(luò)設(shè)備、主要通信線(xiàn)路和核心數(shù)據(jù)處理系統(tǒng)存在單點(diǎn)故障，則d）檢

查結(jié)果為不符合。

7.2.2邊界安全防護(hù)

檢查內(nèi)容

檢查內(nèi)容如下：

應(yīng)檢查網(wǎng)絡(luò)邊界訪(fǎng)問(wèn)控制、網(wǎng)絡(luò)入侵檢測(cè)和網(wǎng)絡(luò)惡意代碼防范措施。

檢查方法

檢查方法如下：

a)查驗(yàn)防火墻等邊界安全設(shè)備是否配置協(xié)議端口級(jí)的訪(fǎng)問(wèn)控制策略；

b)查驗(yàn)網(wǎng)絡(luò)邊界設(shè)備是否采取技術(shù)手段防止地址欺騙；

18

DB11/T1344—2016

c)查驗(yàn)網(wǎng)絡(luò)入侵檢測(cè)設(shè)備是否能檢測(cè)以下攻擊行為：端口掃描、漏洞掃描、緩沖區(qū)溢出攻擊、拒

絕服務(wù)攻擊等，查看其規(guī)則庫(kù)是否為最新，并對(duì)發(fā)現(xiàn)的入侵行為進(jìn)行阻攔；

d)查驗(yàn)防惡意代碼產(chǎn)品是否正常運(yùn)行，惡意代碼庫(kù)是否為最新版本；

e)查驗(yàn)邊界完整性檢查設(shè)備是否設(shè)置了對(duì)非法連接到外網(wǎng)和非法連接到內(nèi)網(wǎng)的行為進(jìn)行監(jiān)控并

有效阻斷的配置。

檢查結(jié)果判定

檢查結(jié)果判定如下：

a)若沒(méi)有在網(wǎng)絡(luò)邊界部署防火墻等訪(fǎng)問(wèn)控制設(shè)備或訪(fǎng)問(wèn)控制策略沒(méi)有到端口級(jí)，則a）

檢查結(jié)果為不符合；

b)若重要地址沒(méi)有采用IP/MAC綁定等手段防止地址欺騙，則b）檢查結(jié)果為不符合；

c)若沒(méi)有部署入侵檢測(cè)設(shè)備或入侵檢測(cè)設(shè)備的特征庫(kù)未及時(shí)更新，則c）檢查結(jié)果為不

符合；

d)如果系統(tǒng)與互聯(lián)網(wǎng)存在接口，未在邊界部署網(wǎng)絡(luò)防惡意代碼產(chǎn)品，病毒庫(kù)未進(jìn)行過(guò)至少每周一

次的更新，則d）檢查結(jié)果為不符合；

e)若沒(méi)有相應(yīng)的手段監(jiān)控和阻止內(nèi)部用戶(hù)非法連接到外網(wǎng)，則e）檢查結(jié)果為不符合；

f)若沒(méi)有相應(yīng)的手段監(jiān)控和阻止非授權(quán)用戶(hù)連接到內(nèi)網(wǎng)，則e）檢查結(jié)果為不符合。

7.2.3用戶(hù)身份鑒別

檢查內(nèi)容

檢查內(nèi)容如下：

應(yīng)檢查網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用系統(tǒng)的身份鑒別措施、口令策略和強(qiáng)化

的身份鑒別技術(shù)。

檢查方法

檢查方法如下：

a)查驗(yàn)主要網(wǎng)絡(luò)設(shè)備、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用系統(tǒng)的身份鑒別是否開(kāi)啟，口令

的復(fù)雜度情況和定期修改時(shí)間；

b)查驗(yàn)操作系統(tǒng)、應(yīng)用系統(tǒng)是否具備登錄失敗賬戶(hù)鎖定功能；

c)查驗(yàn)是否采用兩種或兩種以上組合鑒別技術(shù)對(duì)管理用戶(hù)進(jìn)行身份鑒別。

檢查結(jié)果判定

檢查結(jié)果判定如下：

a)若主要網(wǎng)絡(luò)設(shè)備、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用系統(tǒng)無(wú)需身份鑒別，或出現(xiàn)弱口令、

默認(rèn)口令、空口令，設(shè)置少于8位且僅由數(shù)字或字母組成的口令，則a）檢查結(jié)果為

不符合；

b)若口令修改未達(dá)到至少3個(gè)月一次，則a）檢查結(jié)果為不符合；

c)未設(shè)置連續(xù)登錄失敗賬戶(hù)鎖定功能，則b）檢查結(jié)果為不符合；

d)若未采用兩種或兩種以上組合鑒別技術(shù)，則c）檢查結(jié)果為不符合。

7.2.4訪(fǎng)問(wèn)控制

檢查內(nèi)容

19

DB11/T1344—2016

檢查內(nèi)容如下：

應(yīng)檢查操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用該系統(tǒng)的默認(rèn)賬戶(hù)和系統(tǒng)賬戶(hù)的權(quán)限分配情況。

檢查方法

檢查方法如下：

a)查驗(yàn)主要服務(wù)器操作系統(tǒng)和重要數(shù)據(jù)庫(kù)管理系統(tǒng)是否已禁用或者限制匿名/默認(rèn)賬戶(hù)的訪(fǎng)問(wèn)權(quán)

限，是否重命名系統(tǒng)默認(rèn)賬戶(hù)名并修改默認(rèn)賬戶(hù)的默認(rèn)口令；

b)通過(guò)訪(fǎng)談詢(xún)問(wèn)應(yīng)用系統(tǒng)的訪(fǎng)問(wèn)控制策略及粒度；以不同權(quán)限的用戶(hù)登錄應(yīng)用系統(tǒng)，查看其擁有

的權(quán)限是否與系統(tǒng)賦予的權(quán)限一致，驗(yàn)證應(yīng)用系統(tǒng)訪(fǎng)問(wèn)控制功能是否有效。

檢查結(jié)果判定

檢查結(jié)果判定如下：

a)操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)默認(rèn)賬戶(hù)名未重命名，默認(rèn)口令未修改，則a）檢查結(jié)果

為不符合；

b)Windows操作系統(tǒng)未禁用Guest默認(rèn)賬戶(hù)、Linux操作系統(tǒng)未禁用默認(rèn)用戶(hù)（如daemon、bin、sys、

adm等），則a）檢查結(jié)果為不符合；

c)其他操作系統(tǒng)存在未重命名的默認(rèn)系統(tǒng)用戶(hù)，則a）檢查結(jié)果為不符合；

d)應(yīng)用系統(tǒng)普通用戶(hù)登錄后具備系統(tǒng)管理等管理員同樣的權(quán)限，則b）檢查結(jié)果為不符

合；

e)權(quán)限之間未形成相互制約，如未做到管理權(quán)限和審計(jì)權(quán)限的分離，則b）檢查結(jié)果為

不符合；

f)超級(jí)管理員未禁止遠(yuǎn)程登錄，其他默認(rèn)賬戶(hù)未限制訪(fǎng)問(wèn)權(quán)限，則b）檢查結(jié)果為不符

合。

7.2.5審計(jì)日志管理

檢查內(nèi)容

檢查內(nèi)容如下：

應(yīng)檢查網(wǎng)絡(luò)設(shè)備的日志、操作系統(tǒng)日志、數(shù)據(jù)庫(kù)日志、應(yīng)用系統(tǒng)日志的保存和分析情況。

檢查方法

檢查方法如下：

a)查驗(yàn)網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)是否具備了審計(jì)日志；

b)查驗(yàn)是否對(duì)網(wǎng)絡(luò)設(shè)備日志、操作系統(tǒng)日志、數(shù)據(jù)庫(kù)日志、應(yīng)用系統(tǒng)日志進(jìn)行瀏覽和分析，并根

據(jù)需要生成審計(jì)報(bào)告；

c)查驗(yàn)是否通過(guò)日志覆蓋周期、覆蓋方式、日志存儲(chǔ)的空間大小、日志文件操作權(quán)限等設(shè)置，實(shí)

現(xiàn)對(duì)審計(jì)記錄的保護(hù)，日志信息是否至少保存兩個(gè)月以上。

檢查結(jié)果判定

檢查結(jié)果判定如下：

a)不具備網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)的審計(jì)日志，則a）檢查結(jié)果為不符

合；

b)應(yīng)用系統(tǒng)日志字段的內(nèi)容未至少包括日期、時(shí)間、用戶(hù)源、訪(fǎng)問(wèn)對(duì)象、事件描述、事件結(jié)果，

則a）檢查結(jié)果為不符合；

20

DB11/T1344—2016

c)未對(duì)各層面的審計(jì)日志進(jìn)行分析并生成報(bào)告，則b）檢查結(jié)果為不符合；

d)未合理配置網(wǎng)絡(luò)設(shè)備日志緩沖區(qū)大小，則c）檢查結(jié)果為不符合；

e)操作系統(tǒng)日志文件權(quán)限設(shè)置不安全（如Windows的日志文件被授予Everyone權(quán)限；Linux日志文

件權(quán)限為-rwxrwxrwx(777)），則c）檢查結(jié)果為不符合；

f)未對(duì)各層面的審計(jì)日志設(shè)定覆蓋周期、覆蓋方式、讀寫(xiě)權(quán)限等，則c）檢查結(jié)果為不

符合；

g)未對(duì)各層面的審計(jì)日志進(jìn)行備份，則c）檢查結(jié)果為不符合；

h)應(yīng)用系統(tǒng)為用戶(hù)提供日志單條刪除功能，則c）檢查結(jié)果為不符合；

i)未部署網(wǎng)絡(luò)設(shè)備日志集中收集系統(tǒng)（如Syslog服務(wù)器）對(duì)日志進(jìn)行集中管理與備份，則

c）檢查結(jié)果為不符合。

7.2.6系統(tǒng)數(shù)據(jù)保護(hù)

檢查內(nèi)容

檢查內(nèi)容如下：

a)應(yīng)檢查網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)中的口令加密情況；

b)應(yīng)檢查應(yīng)用系統(tǒng)數(shù)據(jù)備份介質(zhì)。

檢查方法

檢查方法如下：

a)查驗(yàn)網(wǎng)絡(luò)設(shè)備的配置文件中用戶(hù)口令是否加密存儲(chǔ)；

b)查驗(yàn)應(yīng)用系統(tǒng)存儲(chǔ)用戶(hù)信息的數(shù)據(jù)表中用戶(hù)口令字段是否加密存儲(chǔ)；

c)查驗(yàn)主要網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)遠(yuǎn)程管理時(shí)是否對(duì)用戶(hù)口令進(jìn)行了加密保護(hù)；

d)查驗(yàn)是否對(duì)主要網(wǎng)絡(luò)設(shè)備、主要數(shù)據(jù)庫(kù)管理系統(tǒng)和主要應(yīng)用系統(tǒng)的重要信息進(jìn)行了本地備份，

備份介質(zhì)是否場(chǎng)外存放。

檢查結(jié)果判定

檢查結(jié)果判定如下：

a)若網(wǎng)絡(luò)設(shè)備配置文件中存儲(chǔ)了明文用戶(hù)口令，則a）檢查結(jié)果為不符合；

b)若應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)中存儲(chǔ)了明文用戶(hù)口令，則b）檢查結(jié)果為不符合；

c)若網(wǎng)絡(luò)設(shè)備采用Telnet協(xié)議進(jìn)行遠(yuǎn)程管理，則c）檢查結(jié)果為不符合；

d)若應(yīng)用系統(tǒng)采用Http協(xié)議并且通過(guò)獲取數(shù)據(jù)包驗(yàn)證未對(duì)口令進(jìn)行加密，則c）檢查結(jié)

果為不符合；

e)若缺乏主要網(wǎng)絡(luò)設(shè)備、主要數(shù)據(jù)庫(kù)管理系統(tǒng)和主要應(yīng)用系統(tǒng)重要信息的備份，則d）

檢查結(jié)果為不符合。

7.3安全管理要求

7.3.1安全管理機(jī)構(gòu)

檢查內(nèi)容

檢查內(nèi)容如下：

應(yīng)檢查安全管理組織架構(gòu)情況、安全崗位人員配備情況和安全制度審批機(jī)制建立情況。

檢查方法

21

DB11/T1344—2016

檢查方法如下：

a)查驗(yàn)信息安全工作委員會(huì)或領(lǐng)導(dǎo)小組名單、信息安全工作委員會(huì)的最高領(lǐng)導(dǎo)的授權(quán)書(shū)，記錄授

權(quán)書(shū)名稱(chēng)；通過(guò)訪(fǎng)談了解是否成立信息安全管理工作的職能部門(mén)，并檢查安全主管的職責(zé)范

圍；

b)查驗(yàn)系統(tǒng)、網(wǎng)絡(luò)、安全方面的管理規(guī)定，記錄系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫(kù)管理員、安全

管理員的姓名，核對(duì)安全管理員是否專(zhuān)職；

c)查驗(yàn)審批流程規(guī)定和審批記錄，記錄審批流程規(guī)定和審批記錄的名稱(chēng)，核對(duì)審批記錄是否至少

包括審批時(shí)間、申請(qǐng)人、審批內(nèi)容、審批人；

d)查驗(yàn)外聯(lián)單位聯(lián)系列表，核對(duì)是否至少包括外聯(lián)單位名稱(chēng)、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信

息；

e)查驗(yàn)安全審核和安全檢查制度，記錄安全審核和安全檢查制度的名稱(chēng)，檢查定期安全檢查的記

錄和報(bào)告，核對(duì)記錄是否至少包括檢查時(shí)間、檢查人員、檢查對(duì)象、檢查結(jié)果，核對(duì)報(bào)告是

否至少包括報(bào)告時(shí)間、報(bào)告結(jié)論、報(bào)告撰寫(xiě)人、報(bào)告批準(zhǔn)人等。

檢查結(jié)果判定

檢查結(jié)果判定如下：

a)若沒(méi)有提供信息安全工作委員會(huì)或領(lǐng)導(dǎo)小組名單、授權(quán)書(shū)和職責(zé)文件，或沒(méi)有設(shè)立信息安全管

理工作職能部門(mén)，沒(méi)有崗位責(zé)任書(shū)，則a）檢查結(jié)果為不符合；

b)若信息安全管理制度（網(wǎng)絡(luò)、主機(jī)、密碼、審計(jì)等制度）中沒(méi)有明確角色和職責(zé)定義，沒(méi)有信

息安全管理崗位人員名單，未設(shè)置專(zhuān)職的信息安全管理員，則b）檢查結(jié)果為不符合；

c)若沒(méi)有建立對(duì)機(jī)房及重要區(qū)域進(jìn)出、系統(tǒng)或網(wǎng)絡(luò)重要操作（系統(tǒng)上線(xiàn)變更、配置變更、加固、

安全管理等）的審批程序，或無(wú)法提供相關(guān)事件的審批記錄，則c）檢查結(jié)果為不符

合；

d)若沒(méi)有建立外聯(lián)單位聯(lián)系列表，或內(nèi)容不完整，則d）為不符合；

e)若沒(méi)有制定安全審核和安全檢查工作制度和流程，沒(méi)有定期進(jìn)行安全審核和安全檢查活動(dòng)并保

留檢查記錄；或沒(méi)有對(duì)檢查報(bào)告進(jìn)行上報(bào)，并制定處理意見(jiàn)或計(jì)劃，則e）檢查結(jié)果

為不符合。

7.3.2安全管理制度

檢查內(nèi)容

檢查內(nèi)容如下：

應(yīng)檢查信息安全工作的總體方針和安全策略制定、發(fā)布方式和定期評(píng)審修訂情況。

檢查方法

檢查方法如下：

a)查驗(yàn)信息安全管理體系總體方針、安全策略、管理制度、操作規(guī)程方面的相關(guān)文檔，記錄信息

安全工作的總體方針、抽查的安全策略文檔名稱(chēng)、抽查的管理制度名稱(chēng)、抽查的操作規(guī)程名

稱(chēng)等；

b)查驗(yàn)安全管理制度的版本控制記錄、安全管理制度及其收發(fā)登記記錄，記錄安全管理制度的版

本號(hào)；

c)查驗(yàn)安全管理制度的審定和修訂記錄，核對(duì)評(píng)審記錄是否至少包括評(píng)審時(shí)間、評(píng)審地點(diǎn)、參與

評(píng)審人員和評(píng)審結(jié)論，修訂記錄是否至少包括修訂時(shí)間、修訂內(nèi)容、修訂人等信息。

22

DB11/T1344—2016

檢查結(jié)果判定

檢查結(jié)果判定如下：

a)若沒(méi)有制定信息安全工作的總體方針并形成文件下發(fā)；沒(méi)有形成全面的信息安全管理制度體系

（包括但不限于：信息安全策略、機(jī)房管理制度、網(wǎng)絡(luò)/主機(jī)/數(shù)據(jù)/密碼管理等管理制度、設(shè)

備操作規(guī)程、數(shù)據(jù)備份恢復(fù)操作規(guī)程等），則a）檢查結(jié)果為不符合；

b)若沒(méi)有對(duì)安全管理制度編寫(xiě)規(guī)范、格式進(jìn)行統(tǒng)一，沒(méi)有版本控制記錄；或安全管理制度沒(méi)有通

過(guò)正式文件、郵件或辦公網(wǎng)等有效途徑發(fā)布，則b）檢查結(jié)果為不符合；

c)若沒(méi)有定期對(duì)安全管理制度進(jìn)行檢查，組織召開(kāi)評(píng)審會(huì)，或評(píng)審記錄內(nèi)容不完整，則c）

檢查結(jié)果為不符合。

7.3.3系統(tǒng)人員安全

檢查內(nèi)容

檢查內(nèi)容如下：

應(yīng)檢查重要崗位人員勞動(dòng)合同、保密協(xié)議、人員培訓(xùn)、考核記錄、人員離崗管理制度和離崗

記錄。

檢查方法

檢查方法如下：

a)查驗(yàn)內(nèi)部人員的勞動(dòng)合同和保密協(xié)議，記錄保密協(xié)議名稱(chēng)，核對(duì)協(xié)議內(nèi)容是否至少包括保密范

圍、保密責(zé)任、違約責(zé)任、協(xié)議有效期和責(zé)任人簽字等；查驗(yàn)重要崗位人員的崗位安全協(xié)議；

b)查驗(yàn)重要崗位（如安全管理員）離崗人員辦理過(guò)的調(diào)離手續(xù)記錄，核對(duì)記錄是否至少包括人員

姓名、調(diào)離崗位、調(diào)離時(shí)間、收回權(quán)限及物品、承諾的保密義務(wù)、核對(duì)人簽字、批準(zhǔn)人簽字

等；

c)查驗(yàn)各崗位人員的安全技能和安全認(rèn)知考核記錄、重要崗位人員的安全審查和考核記錄，核對(duì)

記錄是否至少包括考核時(shí)間、考核對(duì)象、考核內(nèi)容、考核結(jié)果等；

d)查驗(yàn)安全教育和培訓(xùn)的書(shū)面規(guī)定，查驗(yàn)不同崗位是否有不同的培訓(xùn)計(jì)劃；查驗(yàn)歸檔的培訓(xùn)計(jì)劃

和培訓(xùn)記錄，核對(duì)培訓(xùn)記錄是否至少包括培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等描述。

檢查結(jié)果判定

檢查結(jié)果判定如下：

a)若無(wú)法提供信息安全相關(guān)崗位人員勞動(dòng)合同或保密協(xié)議，則a）檢查結(jié)果為不符合；

b)若無(wú)法提供重要崗位人員離崗管理制度和流程，離崗過(guò)程各環(huán)節(jié)無(wú)確認(rèn)簽字；或離崗人員未簽

訂保密義務(wù)，則b）檢查結(jié)果為不符合；

c)若無(wú)法提供針對(duì)不同崗位人員的安全技能和安全意識(shí)考核記錄，則c）檢查結(jié)果為不

符合；

d)若未定期開(kāi)展安全教育，未定期針對(duì)關(guān)鍵崗位人員進(jìn)行安全技能培訓(xùn)，未針對(duì)不同崗位人員制

定年度培訓(xùn)計(jì)劃，未對(duì)培訓(xùn)內(nèi)容和結(jié)果進(jìn)行記錄和歸檔，則d）檢查結(jié)果為不符合。

7.3.4系統(tǒng)安全生命周期

檢查內(nèi)容

檢查內(nèi)容如下：

23

DB11/T1344—2016

應(yīng)檢查系統(tǒng)設(shè)計(jì)、系統(tǒng)開(kāi)發(fā)、系統(tǒng)實(shí)施、系統(tǒng)測(cè)評(píng)、系統(tǒng)驗(yàn)收、系統(tǒng)交付、系統(tǒng)運(yùn)維等生命

周期各階段的安全管理制度和相應(yīng)記錄保存情況。

檢查方法

檢查方法如下：

a)查驗(yàn)定級(jí)結(jié)果審定記錄，核對(duì)記錄是否至少包括審定時(shí)間、審定內(nèi)容和審定人等，并記錄定級(jí)

報(bào)告名稱(chēng)和蓋章批準(zhǔn)的部門(mén)名稱(chēng)；

b)查驗(yàn)信息系統(tǒng)等級(jí)備案材料是否報(bào)相應(yīng)公安機(jī)關(guān)備案，核對(duì)備案材料是否至少包括《信息安全

等級(jí)保護(hù)備案表》、系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說(shuō)明、系統(tǒng)安全組織機(jī)構(gòu)和管理制度、系統(tǒng)安全保護(hù)設(shè)

施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案、系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷(xiāo)售許可