控制编号:SGISL/OP-SA92-10
信息安全等级保护测评作业指导书
系统建设管理(三级)
版 号: 修 改 次 数: 生 效 日 期:
第 2 版 第 0 次
2010年01月06日
中国电力科学研究院信息安全实验室
天天开心
天天开心
修改页
版号/ 章节号 修订号 控制编号 修改人 修订原因 批准人 批准日期 备注 1 SGISL/OP-SA92-10 李焕 按公安部要求修订 詹雄 2010.3.8 天天开心
一、系统定级
1.信息系统边界和安全保护等级 测评项编号 ADT-JSGL-01-A 对应要求 应明确信息系统的边界和安全保护等级 测评项名称 信息系统边界和安全保护等级 测评分项1:检查系统边界和安全保护等级。 访谈管理员,询问是否明确了信息系统的边界范围,是否明确系统安全保护等级。 操作步骤 适用版本 实施风险 任何版本 无 如果信息系统边界范围明确,确定了系统安全保护等级,判定结果为符合; 符合性判定 如果信息系统边界范围不明确,或未确定系统安全保护等级,判定结果为不符合。 备注
2.信息系统定级方法和理由
应以书面的形式说明确定信息系统为某个安全保护等级的方法和理由 测评项编号 ADT-JSGL-01-B 对应要求 测评项名称 信息系统定级方法和理由 测评分项1:检查系统定级情况。 操作步骤 访谈管理员,询问系统定级是否参照定级指南的指导,是否对其进行明天天开心
确描述,说明确定系统为某个安全保护等级的方法和理由,是否有书面说明。 适用版本 实施风险 任何版本 无 如果系统定级参照定级指南的指导,有书面相关的说明,说明确定系统为某个安全保护等级的方法和理由,判定结果为符合; 符合性判定 如果系统定级未参照定级指南的指导,或无书面相关的说明,未能说明确定系统为某个安全保护等级的方法和理由,判定结果为不符合。 备注
3.定级结果论证和审定
应组织相关部门和有关安全技术专家对测评项编号 ADT-JSGL-01-C 对应要求 信息系统定级结果的合理性和正确性进行论证和审定 测评项名称 定级结果论证和审定 测评分项1:检查系统定级的审定情况。 访谈管理员,询问系统定级是否组织相关部门和有关安全技术专家对定级结果进行论证和审定,检查论证和审定记录。 操作步骤 适用版本 实施风险 任何版本 无 符合性判定 如果组织相关部门和有关安全技术专家对定级结果进行论证和审定,相关的论证和审定记录,判定结果为符合; 天天开心
如果未组织相关部门和有关安全技术专家对定级结果进行论证和审定,相关的论证和审定记录,判定结果为不符合。 备注
4.定级结果经过相关部门批准
应确保信息系统的定级结果经过相关部门的批准 测评项编号 ADT-JSGL-01-D 对应要求 测评项名称 定级结果经过相关部门批准 测评分项1:检查系统定级的审定情况。 访谈管理员,询问系统定级记录是否经过相关部门(如上级主管部门)的批准。查看相关的文件。 操作步骤 适用版本 实施风险 任何版本 无 如果系统定级结果经过相关部门的批准盖章,判定结果为符合; 符合性判定 如果系统定级结果未经过相关部门的批准盖章,判定结果为不符合。 备注
二、安全方案设计
1.选择基本安全措施及补充调整 测评项编号 ADT-JSGL-02-A 应根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整对应要求 天天开心
安全措施 测评项名称 选择基本安全措施及补充调整 测评分项1:检查安全方案设计。 访谈管理员,询问是否根据系统的安全保护等级选择基本安全措施,是否依据风险分析的结果来补充和调整安全措施。 操作步骤 适用版本 实施风险 任何版本 无 如果根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施,判定结果为符合; 符合性判定 如果未根据系统的安全保护等级选择基本安全措施,或未依据风险分析的结果补充和调整安全措施,判定结果为不符合。 备注
2.安全建设总体规划
应指定和授权专门的部门对信息系统的测评项编号 ADT-JSGL-02-B 对应要求 安全建设进行总体规划,制定近期和远期的安全建设工作计划 测评项名称 安全建设总体规划 测评分项1:检查安全方案设计。 访谈管理员,询问是否指定和授权专门的部门对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划,查看工作计划。 操作步骤 天天开心
适用版本 实施风险 任何版本 无 如果有专门的部门对信息系统的安全建设进行总体规划,有安全建设工作计划,判定结果为符合; 符合性判定 如果无专门的部门对信息系统的安全建设进行总体规划,无安全建设工作计划,判定结果为不符合。 备注
3.细化系统安全方案
应根据信息系统的等级划分情况,统一考测评项编号 ADT-JSGL-02-C 对应要求 虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件 测评项名称 细化系统安全方案 测评分项1:检查安全方案设计。 访谈管理员,询问是否根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件,查看相关的详细设计方案。 操作步骤 适用版本 实施风险 任何版本 无 如果有总体建设规划和详细设计方案,判定结果为符合; 符合性判定 如果无总体建设规划和详细设计方案,判定结果为不符合。 天天开心
备注
4.安全技术专家论证和审定
应组织相关部门和有关安全技术专家对总体安全的策略、安全技术框架、安全管测评项编号 ADT-JSGL-02-D 对应要求 理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施 测评项名称 安全技术专家论证和审定 测评分项1:检查安全方案设计。 访谈管理员,询问安全建设方案是否经过专家的详细周全的论证和讨论,批准后才开始实施。 操作步骤 适用版本 实施风险 任何版本 无 如果安全建设方案经过专家的详细周全的论证和讨论,判定结果为符合; 符合性判定 如果安全建设方案未经过专家的详细周全的论证和讨论,判定结果为不符合。 备注
5.安全方案调整和修订
天天开心
应根据等级测评、安全评估的结果定期调测评项编号 ADT-JSGL-02-E 对应要求 整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件 测评项名称 安全方案调整和修订 测评分项1:检查安全方案的调整和修订。 访谈管理员,询问是否根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件;询问调整和修订的周期,检查相应的调整和修操作步骤 订记录。 适用版本 实施风险 任何版本 无 如果定期根据等级测评、安全评估的结果调整安全方案,判定结果为符合; 符合性判定 如果未定期根据等级测评、安全评估的结果调整安全方案,判定结果为不符合。 备注
三、产品采购和使用
1.安全产品采购和使用符合国家有关规定
ADT-JSGL-03-A 应确保安全产品采购和使用符合国家有关规定 测评项编号 对应要求 天天开心
测评项名称 安全产品采购和使用符合国家有关规定 测评分项1:检查安全产品采购和使用是否符合国家有关安全产品的规定。 访谈管理员,询问系统采购和使用的安全产品是否符合国家有关规定,得到国家相关部门的认证。 操作步骤 适用版本 实施风险 任何版本 无 符合性判定 如果系统采购和使用的安全产品符合国家有关规定,得到国家相关部门的认证,判定结果为符合; 如果系统采购和使用的安全产品不符合国家有关规定,或未得到国家相关部门的认证,判定结果为不符合。 备注
2.保密码产品采购和使用符合国家密码主管部门要求
ADT-JSGL-03-B 应确保密码产品采购和使用符合国家密码主管部门的要求 测评项编号 对应要求 测评项名称 保密码产品采购和使用符合国家密码主管部门要求 测评分项1:检查密码产品采购和使用是否符合国家密码主管部门的规定。 访谈管理员,询问系统采购和使用的密码产品是否符合国家密码主管部门的规定,得到国家相关部门的认证。 操作步骤 适用版本 实施风险 任何版本 无 天天开心
如果系统采购和使用的密码产品符合国家有关规定,得到国家相关部门的认证,判定结果为符合; 符合性判定 如果系统采购和使用的密码产品不符合国家有关规定,或未得到国家相关部门的认证,判定结果为不符合。 备注
3.专门部门负责产品采购
ADT-JSGL-03-C 应指定或授权专门的部门负责产品的采购 测评项编号 对应要求 测评项名称 专门部门负责产品采购 测评分项1:检查产品的采购。 访谈管理员,询问是否有专门的部门负责产品的采购。 操作步骤 适用版本 实施风险 任何版本 无 如果有专门的部门负责产品的采购,判定结果为符合; 符合性判定 如果无专门的部门负责产品的采购,判定结果为不符合。 备注
4.预先产品选型测试 测评项编号 ADT-JSGL-03-D 对应要求 应预先对产品进行选型测试,确定产品的天天开心
候选范围,并定期审定和更新候选产品名单 测评项名称 预先产品选型测试 测评分项1:检查采购产品的选型。 操作步骤 访谈管理员,询问制定采购过程的控制策略,采购前对产品做选型测试,对重要部位的产品是否委托专业的测评单位进行专项测试,确定产品的候选范围,通过招投标方式确定采购产品,是否定期审定和更新候选产品名单。 适用版本 实施风险 任何版本 无 如果有采购控制策略,采购前对产品做选型测试,确定产品的候选范围,通过招投标方式确定要采购的产品,定期审定和更新候选产品名单,判定结果为符合; 符合性判定 如果无采购控制策略,采购前未对产品做选型测试,确定产品的候选范围,或未通过招投标方式确定要采购的产品,定期审定和更新候选产品名单,判定结果为不符合。 备注
四、自行软件开发
1.开发环境与实际运行环境物理分开,测试数据和测试结果受到控制
应确保开发环境与实际运行环境物理分开,测试数据和测试结果受到控制 测评项编号 ADT-JSGL-04-A 对应要求 天天开心
测评项名称 开发环境与实际运行环境物理分开,测试数据和测试结果受到控制 测评分项1:检查开发环境。 操作步骤 需访谈管理员是否自主开发软件,查看开发环境,开发环境与实际运行环境物理上是否分开;查看软件开发是否有控制措施,对测试数据和测试结果进行管理。 适用版本 实施风险 任何版本 无 如果开发环境与实际运行环境物理上分开,制定软件开发的控制措施,能对测试数据和测试结果进行有效控制,判定结果为符合; 符合性判定 如果开发环境与实际运行环境物理上未分开,未制定软件开发的控制措施,对测试数据和测试结果进行有效控制,判定结果为不符合。 备注
2.软件开发管理制度
应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则 测评项编号 ADT-JSGL-04-B 对应要求 测评项名称 软件开发管理制度 测评分项1:检查软件开发管理制度。 访谈管理员,检查软件开发管理制度,查看文件是否明确软件设计、开操作步骤 发、测试、验收过程的控制方法和人员行为准则,是否明确哪些开发活动应经过授权、审批,是否明确软件开发相关文档的管理等。 天天开心
适用版本 实施风险 任何版本 无 如果有软件开发管理制度,对软件的开发过程和人员进行管理,判定结符合性判定 果为符合; 如果无软件开发管理制度,对软件的开发过程和人员进行管理,判定结果为不符合。 备注
3.代码编写安全规范
应制定代码编写安全规范,要求开发人员参照规范编写代码 测评项编号 ADT-JSGL-04-C 对应要求 测评项名称 代码编写安全规范 测评分项1:检查代码编写规范。 访谈管理员,检查是否有代码编写安全规范,开发人员参照规范编写代码。 操作步骤 适用版本 实施风险 任何版本 无 如果有代码编写安全规范,开发软件参照规范编写,判定结果为符合; 符合性判定 如果无代码编写安全规范,开发软件未参照规范编写,判定结果为不符合。 天天开心
备注
4.软件设计相关文档和使用指南
应确保提供软件设计的相关文档和使用指南,并由专人负责保管 测评项编号 ADT-JSGL-04-D 对应要求 测评项名称 软件设计相关文档和使用指南 测评分项1:检查软件设计相关文档的保管。 访谈管理员,询问软件设计相关文档是否有专人负责保管。 操作步骤 适用版本 实施风险 任何版本 无 如果有专人负责保管软件设计相关文档,判定结果为符合; 符合性判定 如果无专人负责保管软件设计相关文档,判定结果为不符合。 备注
5.程序资源库修改、更新、发布进行授权和批准
应确保对程序资源库的修改、更新、发布进行授权和批准 测评项编号 ADT-JSGL-04-E 对应要求 测评项名称 程序资源库修改、更新、发布进行授权和批准 测评分项1:检查程序资源库的修改、更新、发布进行授权和批准。 操作步骤 访谈管理员,查看是否制定软件开发管理制度,对程序资源库的修改、天天开心
更新、发布进行授权和批准等方面进行要求。 适用版本 实施风险 任何版本 无 如果有软件开发管理制度,对程序资源库的修改、更新、发布进行授权和批准等方面进行要求,判定结果为符合; 符合性判定 如果无软件开发管理制度,对程序资源库的修改、更新、发布进行授权和批准等方面进行要求,判定结果为不符合。 备注
五、外包软件开发 1.软件质量测试 测评项编号 ADT-JSGL-05-A 测评项名称 软件质量测试 测评分项1:检查测试软件质量的要求。 访谈管理员,询问是否根据要求测试软件的质量。 操作步骤 适用版本 实施风险 任何版本 无 对应要求 应根据开发要求测试软件质量 如果软件交付使用前,根据相关的要求测试软件的质量,判定结果为符合; 符合性判定 如果软件交付使用前,未根据相关的要求测试软件的质量,判定结果为不符合。 天天开心
备注
2.检测软件包恶意代码
应在软件安装之前检测软件包中可能存在的恶意代码 测评项编号 ADT-JSGL-05-B 对应要求 测评项名称 检测软件包恶意代码 测评分项1:恶意代码检查。 访谈管理员,在软件安装使用前是否有恶意代码检测的规定,是否进行了恶意代码测试。 操作步骤 适用版本 实施风险 任何版本 无 如果在软件安装使用前有进行恶意代码检测的规定,并进行了恶意代码测试,判定结果为符合; 符合性判定 如果在软件安装使用前无进行恶意代码检测的规定,未进行了恶意代码测试,判定结果为不符合。 备注
天天开心
3.软件设计相关文档和使用指南
应要求开发单位提供软件设计的相关文档和使用指南 测评项编号 ADT-JSGL-05-C 对应要求 测评项名称 软件设计相关文档和使用指南 测评分项1:检查设计文档使用指南 访谈管理员,是否要求开发单位提供软件设计的相关文档、使用指南,检查这些文档。 操作步骤 适用版本 实施风险 任何版本 无 如果有软件设计的相关文档和使用指南,判定结果为符合; 符合性判定 如果无软件设计的相关文档和使用指南,判定结果为不符合。 备注
4.软件源代码检查
应要求开发单位提供软件源代码,并审查软件中可能存在的后门 测评项编号 ADT-JSGL-05-D 对应要求 测评项名称 软件源代码检查 测评分项1:软件源代码检查。 访谈管理员,是否要求开发单位提供软件源代码,是否审查软件中可能存在的后门。 操作步骤 天天开心
适用版本 实施风险 任何版本 无 如果有开发单位提供软件源代码,在软件安装前对软件中可能存在的后门进行审查,判定结果为符合; 符合性判定 如果无开发单位提供软件源代码,在软件安装前对软件中可能存在的后门未进行审查,判定结果为不符合。 备注
六、工程实施 1.工程实施管理
应指定或授权专门的部门或人员负责工程实施过程的管理 测评项编号 ADT-JSGL-06-A 测评项名称 工程实施管理 对应要求 测评分项1:检查工程实施管理。 访谈管理员,询问是否指定或授权专门的部门或人员负责工程实施过程的管理。 操作步骤 适用版本 实施风险 任何版本 无 如果应用专门的部门或人员负责工程实施和管理,判定结果为符合; 符合性判定 如果未应用专门的部门或人员负责工程实施和管理,判定结果为不符合。 天天开心
备注
2.工程实施方案
应制定详细的工程实施方案控制实施过测评项编号 ADT-JSGL-06-B 对应要求 程,并要求工程实施单位能正式地执行安全工程过程 测评项名称 工程实施方案 测评分项1:检查工程实施方案。 访谈管理员,询问是否制定详细的工程实施方案,控制工程实施过程,是否要求工程实施单位能正式地执行安全工程过程,查看工程实施方案。 操作步骤 适用版本 实施风险 任何版本 无 如果有工程实施方案,工程实施单位正式地执行安全工程过程,判定结果为符合; 符合性判定 如果无工程实施方案,工程实施单位未正式地执行安全工程过程,判定结果为不符合。 备注
3.工程实施管理制度 测评项编号 ADT-JSGL-06-C 对应要求 应制定工程实施方面的管理制度明确说天天开心
明实施过程的控制方法和人员行为准则 测评项名称 工程实施管理制度 测评分项1:检查工程实施管理制度。 访谈管理员,询问是否制定了工程实施方面的管理制度,对工程实施的进度、质量、过程等方面进行规范,是否将控制方法和工程人员行为规范制度化,否以书面形式(如工程安全建设协议)约束工程实施方的工操作步骤 程实施行为。 适用版本 实施风险 任何版本 无 如果有工程实施方面的管理制度,工程实施过程、控制方法、人员行为进行规范,判定结果为符合; 符合性判定 如果无工程实施方面的管理制度,工程实施过程、控制方法、人员行为进行规范,判定结果为不符合。 备注
天天开心
七、测试验收 1.第三方安全性测试
应委托工程的第三方测试单位对系统进行安全性测试,并出具安全性测试报告 测评项编号 ADT-JSGL-07-A 对应要求 测评项名称 第三方安全性测试 测评分项1:检查系统安全性测试验收。 访谈管理员,询问在信息系统正式运行前,是否委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试,并出具安全性测试报告。 操作步骤 适用版本 实施风险 任何版本 无 如果在信息系统正式运行前,委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试,有安全性测试报告,判定结果为符合; 符合性判定 如果在信息系统正式运行前,未委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试,无安全性测试报告,判定结果为不符合。 备注
天天开心
2.安全性测试验收报告
在测试验收前应根据设计方案或合同要测评项编号 ADT-JSGL-07-B 对应要求 求等制定测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告 测评项名称 安全性测试验收报告 测评分项1:检查系统安全性测试验收。 访谈管理员,询问在信息系统正式运行前,是否根据设计方案或合同要求制订测试验收方案,对信息系统进行测试,并详细记录测试结构,查看形成测试验收报告。 操作步骤 适用版本 实施风险 任何版本 无 如果在信息系统正式运行前,制订测试验收方案,对信息系统进行测试,有测试验收报告,判定结果为符合; 符合性判定 如果在信息系统正式运行前,未制订测试验收方案,对信息系统进行测试,或无测试验收报告,判定结果为不符合。 备注
天天开心
3.书面规定测试验收的控制方法和人员行为准则
应对系统测试验收的控制方法和人员行为准则进行书面规定 测评项编号 ADT-JSGL-07-C 对应要求 测评项名称 书面规定测试验收的控制方法和人员行为准则 测评分项1:检查测试验收的控制方法和人员控制。 访谈管理员,询问是否有测试管理制度,对系统测试验收的控制方法和人员行为准则进行书面规定。 操作步骤 适用版本 实施风险 任何版本 无 如果有测试管理制度,对系统测试验收的控制方法和人员行为准则进行书面规定,判定结果为符合; 符合性判定 如果无测试管理制度,未对系统测试验收的控制方法和人员行为准则进行书面规定,判定结果为不符合。 备注
4.系统测试验收授权及完成
应指定或授权专门的部门负责系统测试测评项编号 ADT-JSGL-07-D 对应要求 验收的管理,并按照管理规定的要求完成系统测试的验收工作 测评项名称 系统测试验收授权及完成 测评分项1:检查测试验收管理。 天天开心
访谈管理员,询问是否指定或授权专门的部门负责系统测试验收的管理,并按照管理规定的要求完成系统测试的验收工作。 操作步骤 适用版本 实施风险 任何版本 无 如果有专门的部门负责系统测试验收工作,判定结果为符合; 符合性判定 如果无专门的部门负责系统测试验收工作,判定结果为不符合。 备注
5.测试验收报告审定
应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认 测评项编号 ADT-JSGL-07-E 对应要求 测评项名称 测试验收报告审定 测评分项1:检查测试验收报告审定。 访谈管理员,询问是否组织相关部门和相关人员对系统测试验收报告进行审定,查看测试报告是否提出存在问题及改进意见等。 操作步骤 适用版本 实施风险 任何版本 无 符合性判定 如果组织了相关部门和相关人员对系统测试验收报告进行审定,判定结果为符合; 如果未组织相关部门和相关人员对系统测试验收报告进行审定,判定结果为不符合。 天天开心
备注
八、系统交付 1.系统交付清单
应制定详细的系统缴费清单,并根据交付测评项编号 ADT-JSGL-08-A 对应要求 清单对所交接的设备、软件和文档等进行清点 测评项名称 系统交付清单 测评分项1:检查交付清单。 访谈管理员,询问是否有交接手续,是否制订系统交付清单,交付清单是否满足合同的有关要求,是否根据交付清单对所交接的设备、软件和文档等进行清点。 操作步骤 适用版本 实施风险 任何版本 无 如果有交接手续,有系统交付清单,交付清单满足合同的有关要求,判定结果为符合; 符合性判定 如果无交接手续,有系统交付清单,交付清单不满足合同的有关要求,判定结果为不符合。 备注
2.运行维护技术人员技能培训
天天开心
测评项编号 ADT-JSGL-08-B 对应要求 应对负责系统运行维护的技术人员进行相应的技能培训 测评项名称 运行维护技术人员技能培训 测评分项1:检查培训工作。 访谈管理员,询问目前的信息系统是否由内部人员独立运行维护,如果是,系统建设实施方是否对运维技术人员进行过培训,针对哪些方面进行过培训,是否以书面形式承诺对系统运行维护提供一定的技术支持服操作步骤 务,是否按照服务承诺书的要求进行过技术支持,以何形式进行。 适用版本 实施风险 任何版本 无 如果系统由内部人员独立运行维护,系统建设实施方应对运维技术人员进行过培训,提供系统运维的技术支持,判定结果为符合; 符合性判定 如果系统由内部人员独立运行维护,系统建设实施方应对运维技术人员未进行过培训,未提供系统运维的技术支持,判定结果为不符合。 备注
天天开心
3.系统运行维护文档
ADT-JSGL-08-C 应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档 测评项编号 对应要求 测评项名称 系统运行维护文档 测评分项1:检查提交的系统运行维护的文档。 访谈管理员,询问系统建设实施方是否提供了建设过程中的使用的文档和指导用户进行系统运行维护的文档。 操作步骤 适用版本 实施风险 任何版本 无 如果有系统建设实施方是否提供的建设过程中的使用的文档和指导用户进行系统运行维护的文档,判定结果为符合; 符合性判定 如果无系统建设实施方是否提供的建设过程中的使用的文档和指导用户进行系统运行维护的文档,判定结果为不符合。 备注
4.书面规定系统交付的控制方法和人员行为准则
应对系统交付的控制方法和人员行为准则进行书面规定 测评项编号 ADT-JSGL-08-D 对应要求 测评项名称 书面规定系统交付的控制方法和人员行为准则 测评分项1:检查系统交付的控制方法和人员控制。 操作步骤 访谈管理员,询问是否有交付管理制度,对系统交付的控制方法和人员天天开心
行为准则进行书面规定。 适用版本 实施风险 任何版本 无 如果有系统交付管理制度,对系统交付的控制方法和人员行为准则进行书面规定,判定结果为符合; 符合性判定 如果无系统交付管理制度,对系统交付的控制方法和人员行为准则进行书面规定,判定结果为不符合。 备注
5.系统交付管理工作授权及完成
应指定或授权专门的部门负责系统交付测评项编号 ADT-JSGL-08-E 对应要求 的管理工作,并按照管理规定的要求完成系统交付工作 测评项名称 系统交付管理工作授权及完成 测评分项1:检查系统交付管理。 访谈管理员,询问是否指定或授权专门的部门负责系统交付的管理,并按照系统交付规定的要求完成系统交付收工作。 操作步骤 适用版本 实施风险 任何版本 无 如果有专门的部门负责系统交付工作,判定结果为符合; 符合性判定 如果无专门的部门负责系统交付工作,判定结果为不符合。 天天开心
备注
九、系统备案
1.系统定级材料管理
应指定专门的部门或人员负责管理系统定级的相关材料,并控制这些材料的使用 测评项编号 ADT-JSGL-09-A 对应要求 测评项名称 系统定级材料管理 测评分项1:检查系统备案管理。 访谈管理员,询问是否有专门的人员或部门负责管理系统定级、系统属性等文档的管理,对这些文档的使用是否有控制措施。 操作步骤 适用版本 实施风险 任何版本 无 如果有专门的人员或部门负责管理系统定级、系统属性等文档的管理,对这些文档的使用有控制措施,如限制使用范围、使用登记记录等,判定结果为符合; 符合性判定 如果无专门的人员或部门负责管理系统定级、系统属性等文档的管理,对这些文档的使用有控制措施,如限制使用范围、使用登记记录等,判定结果为不符合。 备注
2.系统主管部门备案 测评项编号 ADT-JSGL-09-B 对应要求 应将系统等级的相关材料报系统主管部 天天开心
门备案 测评项名称 系统主管部门备案 测评分项1:检查系统备案管理。 访谈管理员,询问是否将系统定级文档和系统属性说明文件等材料报主管部门备案,查看备案纪录。 操作步骤 适用版本 实施风险 任何版本 无 如果将系统定级文档和系统属性说明文件等材料报主管部门备案,有备案记录,判定结果为符合; 符合性判定 如果未将系统定级文档和系统属性说明文件等材料报主管部门备案,或无备案记录,判定结果为不符合。 备注
3.备案材料报送相应公安机关备案
应将系统等级及其他要求的备案材料报送相应公安机关备案 测评项编号 ADT-JSGL-09-C 对应要求 测评项名称 备案材料报送相应公安机关备案 测评分项1:检查系统备案管理。 访谈管理员,询问是否将系统定级文档和系统属性说明文件等材料报公操作步骤 安机关备案,查看备案记录。 适用版本 任何版本 天天开心
实施风险 无 如果将系统定级文档和系统属性说明文件等材料报公安机关备案,有备案记录,判定结果为符合; 符合性判定 如果未将系统定级文档和系统属性说明文件等材料报公安机关备案,无备案记录,判定结果为不符合。 备注
十、等级测评
1.每年一次等级测评及整改
在系统运行过程中,应至少每年对系统进测评项编号 ADT-JSGL-10-A 对应要求 行一次等级测评,发现不符合相应等级保护标准要求的及时整改 测评项名称 每年一次等级测评及整改 测评分项1:检查等级测评管理。 访谈管理员,询问在系统运行过程中,多长时间对系统进行一次等级测评,对于发现不符合相应等级保护标准要求是否能及时整改。 操作步骤 适用版本 实施风险 任何版本 无 如果至少每年对系统进行一次等级测评,对于发现不符合相应等级保护标准要求能够及时整改,有整改记录,判定结果为符合; 符合性判定 如果未达到至少每年对系统进行一次等级测评,对于发现不符合相应等级保护标准要求能够及时整改,或无整改记录,判定结果为不符合。 天天开心
备注
2.系统变更进行等级测评
应在系统发生变更时及时对系统进行等测评项编号 ADT-JSGL-10-B 对应要求 级测评,发现级别发生变化的及时调整级别并进行安全改造;发现不符合相应等级保护标准要求的及时整改 测评项名称 系统变更进行等级测评 测评分项1:检查等级测评管理。 访谈管理员,询问在系统发生变更时是否能及时对系统进行等级测评,发现级别发生变化能否及时调整级别并进行安全改造;发现不符合相应等级保护标准要求能否及时整改,查看调整记录。 操作步骤 适用版本 实施风险 任何版本 无 如果在系统发生变更时能及时对系统进行等级测评,发现级别发生变化能及时调整级别并进行安全改造;发现不符合相应等级保护标准要求能符合性判定 及时整改,有相应的调整记录,判定结果为符合; 如果不符合上述描述,判定结果为不符合。 备注
3.测评单位技术资质和安全资质 测评项编号 ADT-JSGL-10-C 对应要求 应选择具有国家相关技术资质和安全资 天天开心
质的测评单位进行等级测评 测评项名称 测评单位技术资质和安全资质 测评分项1:检查等级测评管理。 访谈管理员,询问选择进行等级测评的测评单位是否具有国家相关技术资质和安全资质。 操作步骤 适用版本 实施风险 任何版本 无 如果选择进行等级测评的测评单位具有国家相关技术资质和安全资质,有资质证明,判定结果为符合; 符合性判定 如果未选择进行等级测评的测评单位具有国家相关技术资质和安全资质,判定结果为不符合。 备注
4.授权专门部门或人员负责等级测评管理
应指定或授权专门的部门或人员负责等级测评的管理 测评项编号 ADT-JSGL-10-D 对应要求 测评项名称 授权专门部门或人员负责等级测评管理 测评分项1:检查等级测评管理。 访谈管理员,询问是否指定或授权专门的部门负责等级测评管理,并按操作步骤 照等级测评规定的要求完成等级测评工作。 适用版本 任何版本 天天开心
实施风险 无 如果有专门的部门负责等级测评工作,判定结果为符合; 符合性判定 如果无专门的部门负责等级测评工作,判定结果为不符合。 备注
十一、安全服务商选择 1.安全服务商选择合规
应确保安全服务商的选择符合国家的有关规定 测评项编号 ADT-JSGL-11-A 对应要求 测评项名称 安全服务商选择合规 测评分项1:检查安全服务商的选择。 访谈管理员,询问对信息系统进行安全规划、设计、实施、维护、测评等服务的安全服务单位是否符合国家有关规定。 操作步骤 适用版本 实施风险 任何版本 无 如果选择的安全服务商符合国家的有关规定,判定结果为符合; 符合性判定 如果选择的安全服务商不符合国家的有关规定,判定结果为不符合。 备注
2.安全服务商协议
天天开心
测评项编号 ADT-JSGL-11-B 对应要求 应与选定的安全服务商签订与安全相关的协议,明确约定相关责任 测评项名称 安全服务商协议 测评分项1:检查安全服务商的选择。 访谈管理员,询问是否同安全服务商签订相关的安全协议,明确约定相关责任;查看签署的协议。 操作步骤 适用版本 实施风险 任何版本 无 符合性判定 如果同安全服务商签订相关的安全协议,明确约定相关责任,判定结果为符合; 如果未同安全服务商签订相关的安全协议,或未明确约定相关责任,判定结果为不符合。 备注
3.安全服务商服务合同
应确保选定的安全服务商提供技术培训和服务承诺,必要的与其签订服务合同 测评项编号 ADT-JSGL-11-C 对应要求 测评项名称 安全服务商服务合同 测评分项1:检查安全服务商的选择。 访谈管理员,询问是否与安全服务商签署合同,规定所提供技术培训和操作步骤 服务。 适用版本 任何版本 天天开心
实施风险 无 如果与安全服务商签署合同,规定所提供技术培训和服务,有签署的合同,判定结果为符合; 符合性判定 如果与安全服务商未签署合同,规定所提供技术培训和服务,无签署的合同,判定结果为不符合。 备注
天天开心
因篇幅问题不能全部显示,请点此查看更多更全内容