1、项目编号:xxxxxxxxxxxxx等级测评方案系统名称: XXXXXXXXXXX 被测单位:XXXXXXXXXXXX测评单位:xxxxxxxxxxxxxxxxx 目录1概述31.1项目简介31.2测评依据32被测系统描述42.1定级情况42.2网络结构42.3系统够成52.3.1业务应用软件52.3.2关键数据类别52.3.3主机/存储设备52.3.4网络互联设备62.3.5安全设备62.3.6终端设备62.3.7安全相关人员62.3.8安全管理文档72.4安全服务73测评对象与指标73.1测评指标73.2测评对象83.2.1机房93.2.2网络互联设备操作系统93.2.3主机(存储)操作系
2、统93.2.4业务应用软件93.2.5数据库管理系统103.2.6安全设备操作系统104测评方法与工具104.1测评方法104.1.1.工具测试104.1.2.配置检查114.1.3.人员访谈114.1.4.文档审查114.1.5.实地查看124.2主要测评工具125测评内容与实施135.1物理安全测评145.1.1测评实施155.1.2配合需求155.2网络安全测评165.2.1测评指标165.2.2测评实施175.2.3配合需求175.3主机安全测评185.3.1测评指标185.3.2测评实施185.3.3配合需求195.4应用安全测评195.4.1测评指标195.4.2测评实施205.4
3、.3配合需求205.5数据安全及备份恢复测评215.5.1测评指标215.5.2测评实施215.5.3配合需求215.6安全管理制度测评225.6.1测评指标225.6.2测评实施225.6.3配合需求235.7安全管理机构测评235.7.1测评指标235.7.2测评实施245.7.3配合需求245.8人员安全管理测评255.8.1测评指标255.8.2测评实施255.8.3配合需求265.9系统建设管理测评265.9.1测评指标265.9.2测评实施275.9.3配合需求285.10系统运维管理测评295.10.1测评指标295.10.2测评实施305.10.3配合需求315.11工具测试3
4、35.12整体测评3421 概述1.1 项目简介为准确掌握信息系统的安全保护能力现状,有效提升信息系统安全建设的整体水平,XX单位委托XXXXX对其OA办公系统和Winmail 邮件系统实施信息安全等级测评,希望通过测评工作发现系统现有安全防护措施的薄弱环节,为下一步的信息系统安全建设整改提供可靠依据,以有效提高信息系统的安全运行能力。OA办公系统和Winmail 邮件系统由XXXX负责运行维护。OA办公系统主要实现企业各部门日常业务工作的规范化、电子化、标准化,增强档案部门文书档案、人事档案、科技档案、 财务档案等档案的可管理性,实现办公流程的网上处理,以及信息的在线查询、借阅,最终实现无纸
5、办公。Winmail 邮件系统主要实现POP3服务、IMAP服务、Webmail服务、公用地址簿、IMAP 公共邮件夹、网络磁盘、网络行事历与记事本、邮件签核、邮件杀毒等服务。项目完成后将出具等级测评报告,XX单位可依据等级测评报告,并结合单位的实际情况,区分轻重缓急,通过安全整改不断提高信息系统的整体安全保护水平。1.2 测评依据 信息安全技术 信息系统安全保护等级定级指南(GB/T 22240-2008) 信息安全技术 信息系统安全等级保护基本要求(GB/T 22239-2008) 信息安全技术 信息系统安全等级保护测评要求(GB/T 28448-2012) 信息安全技术 信息系统安全等级
6、保护测评过程指南(GB/T 28449-2012) 信息安全技术 信息系统安全等级保护实施指南(GB/T 25058-2010) 信息安全技术 信息安全风险评估规范(GB/T 20984-2007) 信息安全等级保护测评与风险评估合同2 被测系统描述被测系统为承载XX单位OA办公系统和Winmail 邮件系统,是XX单位的重要信息系统,其安全等级定为三级。OA办公系统目前覆盖单位各部门,系统主要是实现各部门日常业务工作的规范化、电子化、标准化,提供电子化管理文书档案、人事档案、科技档案、 财务档案等功能。目前系统主要包括主服务器、交换机、路由器和防火墙等设备,具备了信息系统的基本要素,系统的边
7、界用防火墙区分,边界设备是防火墙。Winmail邮件系统目前覆盖单位各部门,系统主要是实现POP3服务、IMAP服务、Webmail服务、公用地址簿、IMAP 公共邮件夹、网络磁盘、网络行事历与记事本、邮件签核、邮件杀毒等服务。目前系统主要包括主服务器、交换机、路由器和防火墙等设备,具备了信息系统的基本要素,系统的边界用防火墙区分,边界设备是防火墙。XX单位负责Winmail邮件系统的运行维护。XX单位负责OA办公系统和Winmail 邮件系统的运行维护。2.1 定级情况XX单位为该信息系统的定级责任单位。该信息系统于XXXX年X月上线。经过对该信息系统的业务信息安全等级和系统服务安全等级的综
8、合判断,最终确定信息系统安全保护等级为三级(S3A3G3)。2.2 网络结构 信息系统的拓扑结构示意图: 2.3 系统够成2.3.1 业务应用软件序号软件名称主要功能重要程度1OA办公系统网络办公重要2Winmail邮件系统邮件系统重要2.3.2 关键数据类别序号数据类别所属业务应用重要程度1OA办公系统OA办公系统重要2Winmail邮件系统Winmail邮件系统重要2.3.3 主机/存储设备序号设备名称操作系统/数据库管理系统业务应用软件1应用服务器Win2008 R2OA办公系统、Winmail邮件系统2应用服务器MS SQL Server 2008 R2OA办公系统、Winmail邮件
9、系统2.3.4 网络互联设备序号设备名称用途重要程度1TP-LINK TL-ER5110G网络互联一般2Quidway S 3500交换机接入层数据交换一般2.3.5 安全设备序号设备名称用途重要程度1防火墙 天融信TOPGate300边界访问控制重要2.3.6 终端设备 序号设备名称操作系统用途重要程度1管理终端Win7业务管理 业务维护一般2业务终端Win7业务一般2.3.7 安全相关人员序号姓名岗位/角色联系方式1XXX系统管理员2XXX网络管理员3XXX业务操作员2.3.8安全管理文档序号文档名称主要内容1安全管理类制度信息系统相关安全岗位制度相关文件记录2安全管理机构累制度信息管理机
10、构及运行工作、职责范围制度3人员管理类制度信息系统相关人员录用、培训、离职等制度文件4系统建设类制度系统建设定级、设计、软件外包、软件自主开发、工程实施、测试验收、代码安全性等各过程规范制度5系统运维类制度系统运维期间中所涉及物理主机、网络安全、恶意代码检测、备份存储介质、物理机房等各涉及岗位的相关制度2.4 安全服务序号安全服务名称安全服务商1设备售后/技术支持XXXXXXX2软件售后/技术支持XXXXXXX3 测评对象与指标3.1 测评指标对于三级系统,如业务信息安全等级为S3,系统服务安全等级为A3,则该系统的测评指标应包括GB/T 22239-2008信息系统安全保护等级基本要求中“技
11、术要求”部分的3级通用指标类(G3),3级业务信息安全指标类(S3),3级系统服务安全指标类(A3),以及第3级“管理要求”部分中的所有指标类,等级保护测评指标情况具体如下表所示:测评指标(三级)技术/管理安全分类安全子类数量S类A类G类小计技术物理安全11810网络安全1067主机安全3136应用安全5229数据安全及备份恢复2103管理安全管理制度0033安全管理机构0055人员安全管理0055系统建设管理001111系统运维管理001313合计:723.2 测评对象依照信息安全等级保护的要求、参考业界权威的安全风险评估标准与模型,同时结合本XX多年的安全风险评估经验与实践,从信息系统的核
12、心资产出发,以威胁和弱点为导向,对比信息安全等级保护的具体要求,全方面对信息系统进行全面评估。测评对象种类主要考虑以下几个方面:1整体网络拓扑结构;2机房环境、配套设施;3网络设备:包括路由器、核心交换机、汇聚层交换机等; 4安全设备:包括防火墙、IDS/IPS、防病毒网关等; 5主机系统(包括操作系统和数据库系统); 6业务应用系统;7重要管理终端(针对三级以上系统);8安全管理员、网络管理员、系统管理员、业务管理员; 9涉及到系统安全的所有管理制度和记录。根据信息系统的测评强度要求,在执行具体的核查方法时,在广度上要做到从测评范围中抽取充分的测评对象种类和数量;在执行具体的检测方法,在深度
13、上要做到对功能等各方面的测试。3.2.1 机房序号机房名称物理位置1计算机管理中心钜星科技楼八楼3.2.2 网络互联设备操作系统序号软件名称主要功能1路由器网络互连3.2.3 主机(存储)操作系统序号设备名称操作系统/数据库管理系统1联想systemX 3650 M5Windows server 2008 R22联想扬天S4150-00Windows7 SP13.2.4 业务应用软件序号软件名称操作系统/数据库管理系统1OA办公自动化我的资讯/我的邮件/工作任务/工作流程/我的日程/我的公文/沟通与分享/我的工具2Winmail邮件系统发件人/收件人/主题/开始时间/完成时间/状态/结果信息/
14、发件人摘要/收件人摘要/邮件大小/IP地址3.2.5 数据库管理系统序号数据库名称数据库管理系统1SQL数据库MS SQL Server 2008 R23.2.6 安全设备操作系统序号操作系统名称设备名称1TOS_3.3.010.042.1 K1206134729天融信 TOP Gate 3004 测评方法与工具4.1 测评方法在等级保护测评过程目中,将采用以下测评方法:1.2.3.4.4.1.1. 工具测试利用技术工具(漏洞扫描工具、渗透测试工具、压力测试工具等)对系统进行测试,包括基于网络探测和基于主机审计的漏洞扫描、渗透测试等。测评方法工具测试简要描述利用技术工具,从网络的不同接入点对网
15、络内的主机、服务器、数据库、网络设备、安全设备等进行脆弱性检查和分析达成目标发掘系统的安全漏洞工作条件1-2人工作环境,电源和网络接入环境,甲方人员、网络、系统配合工作结果工具测试结果记录4.1.2. 配置检查利用上机验证的方式检查主机、服务器、数据库、网络设备、安全设备、应用系统的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等),测评其实施的正确性和有效性,检查配置的完整性,测试网络连接规则的一致性,从而测试系统是否达到可用性和可靠性的要求。测评方法配置检查简要描述通过登陆系统控制台的方式,人工核查和分析主机、服务器、数据库、网络设备、安全设备、应
16、用系统的安全配置情况达成目标发现配置的安全隐患工作条件1-2人工作环境,甲方人员、网络、系统配合工作结果配置检查结果记录4.1.3. 人员访谈与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。在访谈范围上,不同等级信息系统在测评时有不同的要求,一般应基本覆盖所有的安全相关人员类型,在数量上可以抽样。测评方法人员访谈简要描述通过交流、讨论的方式,对技术和管理方面进行脆弱性检查和分析达成目标发掘技术和管理方面存在的安全问题工作条件1-2人工作环境,甲方人员配合工作结果人员访谈结果记录4.1.4. 文档审查检查制度、策略、操作规程、制度执行情况记录等文档(包括安全方针
17、文件、安全管理制度、安全管理的执行过程文档、系统设计方案、网络设备的技术资料、系统和产品的实际配置说明、系统的各种运行记录文档、机房建设相关资料、机房出入记录等过程记录文档)的完整性,以及这些文件之间的内部一致性。测评方法文档审查简要描述通过文档审核与分析,检查制度、策略、操作规程、制度执行情况记录的完整性和内部一致性达成目标发掘技术和管理方面存在的安全问题工作条件1-2人工作环境,甲方人员、各类文档资料配合工作结果文档审查结果记录4.1.5. 实地查看通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级的
18、安全要求。测评方法实地查看简要描述通过现场查看人员行为、技术设施和物理环境状况,检查人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况。达成目标发掘技术和管理方面存在的安全问题工作条件1-2人工作环境,甲方人员配合工作结果实地查看结果记录4.2 主要测评工具我们在等级保护测评过程中使用的测评工具严格遵循可控性原则,即所有使用的测评工具将事先提交给甲方检查确认,确保在双方认可的范围之内,而且测评过程中采用的技术手段确保已经过可靠的实际应用。在本项目中,将采用以下测评工具:工具类别工具名称工具介绍漏洞扫描工具绿盟极光远程安全评估系统XXXX出品的商业漏洞扫描系统5 测评内容与实施 本
19、项目主要分为两步开展实施。第一步,对XXXXXXXXXXXXXXXXXXX两个信息系统进行定级和备案工作。第二步,对XXXXXXXXXXXXXXXXXXX已经定级备案的系统进行十个安全层面的等级保护安全测评(物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理)。其中安全测评分为差距测评和验收测评。差距测评主要针对XXXXXXXXXXXXXXX已定级备案系统执行国家标准的安全测评,差距测评交付差距测评报告以及差距测评整改方案;差距整改完毕后协助完成系统配置方面的整改。最后进行验收测评,验收测评将按照国家标准和国家公安承
20、认的测评要求、测评过程、测评报告,协助对XXXXXXXXXXXXXXXXXXX已定级备案的系统执行系统安全验收测评,验收测评交付具有国家承认的验收测评报告。信息系统安全等级保护测评包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。安全控制测评使用测评单元方式组织,分为安全技术测评和安全管理测评两大类。安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度
21、、人员安全管理、系统建设管理和系统运维管理五个方面的安全控制测评。具体见下图:5.1 物理安全测评物理安全测评将通过访谈和检查的方式评测信息系统的物理安全保障情况。主要涉及对象为机房。在内容上,物理安全层面测评实施过程涉及 10 个安全子类,具体如下表:序号安全子类测评指标描述1物理位置的选择通过访谈物理安全负责人,检查机房,测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。2物理访问控制通过访谈物理安全负责人,检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。3防盗窃和防破坏通过访谈物理安全负责人,检查机房内的主要设备、介质和防盗报警设施等过程,测评信
22、息系统是否采取必要的措施预防设备、介质等丢失和被破坏。4防雷击通过访谈物理安全负责人,检查机房设计/验收文档,测评信息系统是否采取相应的措施预防雷击。5防火通过访谈物理安全负责人,检查机房防火方面的安全管理制度,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生。6防水和防潮通过访谈物理安全负责人,检查机房及其除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。7防静电通过访谈物理安全负责人,检查机房等过程,测评信息系统是否采取必要措施防止静电的产生。8温湿度控制通过访谈物理安全负责人,检查机房的温湿度自动调节系统,测评信息系统是否采取必要措施对机房内的温湿度进
23、行控制。9电力供应通过访谈物理安全负责人,检查机房供电线路、设备等过程,测评是否具备为信息系统提供一定电力供应的能力。10电磁防护通过访谈物理安全负责人,检查主要设备等过程,测评信息系统是否具备一定的电磁防护能力。5.1.1 测评实施访谈物理安全负责人、机房维护人员和机房值守人员,询问机房是否有防盗报警系统、避雷装置、自动消防系统和温湿度自动调节设施等相关机房安全措施,检查机房位置、相关制度、记录文档、系统(或设备)的运行情况等。5.1.2 配合需求配合项目需求说明物理位置的选择相应的房屋建筑资料。物理访问控制机房出入登记记录、审批记录、电子门禁记录等。防盗窃和防破坏防盗报警运行维护情况及相关
24、记录。防雷击建筑物防雷技术检测报告。防火防火系统的检查和维护记录、机房验收文档。防水和防潮建筑施工图、建筑验收文档。防静电展示防静电接地措施。温湿度控制机房温湿度变化的记录和温湿度调节设备的维护记录。电力供应供电线路的稳压器、供电线路的 UPS、备用电源设备和过电压防护设备的维护和维修记录。电磁防护1物理安全负责人介绍设备外壳接地的实施情况;2物理安全负责人介绍线路铺设中将电源线和通信线路隔离的实施情况;3物理安全负责人介绍重要设备和磁介质实施电磁屏蔽的情况。5.2 网络安全测评网络安全测评将通过访谈、检查和测试的方式评测信息系统的网络安全保障情况。主要涉及对象机房的网络设备、网络安全设备以及
25、网络拓扑结构等三大类对象。在内容上,网络安全层面测评过程涉及 7 个工作单元。5.2.1 测评指标序号安全子类测评指标描述1结构安全通过访谈网络管理员,检查网络拓扑情况、核查核心交换机、路由器,测评分析网络架构与网段划分、隔离等情况的合理性和有效性。2访问控制通过访谈安全员,检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力。3安全审计通过访谈审计员,检查核心交换机、路由器等网络互联设备的安全审计情况等,测评分析信息系统审计配置和审计记录保护情况。4边界完整性检查通过访谈安全员,检查边界完整性检查设备,接入边界完整性检查设备
26、进行测试等过程,测评分析信息系统私自联到外部网络的行为。5入侵防范通过访谈安全员,测评分析信息系统对攻击行为的识别和处理情况。6恶意代码防范通过访谈安全员,检查网络防恶意代码产品等过程,测评分析信息系统网络边界和核心网段对病毒等恶意代码的防护情况。7网络设备防护通过访谈网络管理员,检查交换机、路由器等网络互联设备以及防火墙等网络安全设备,查看它们的安全配置情况,包括身份鉴别、登录失败处理、限制非法登录和登录连接超时等,考察网络设备自身的安全防范情况。5.2.2 测评实施网络层面测评实施主要分为三部分,第一部分为网络全测评,主要通过访谈网络管理员,针对结构安全、边界完整性、入侵防范、恶意代码防范
27、四个控制点,了解结构安全、业务高峰期设备处理能力和链路带宽运行情况、非法内外联,以及网络边界的入侵防范措施,恶意代码防范情况等内容。第二部分为网络设备防护测评,主要通过对网络管理员进行访谈、由管理员进行操作查看安全配置,针对访问控制、安全审计、网络设备防护三个控制点,了解网络设备上主要的访问控制策略、设备日志记录情况、口令复杂度、双因子身份鉴别、管理员权限分离等内容。第三部分为工具测试,针对网络设备、服务器的系统漏洞进行扫描,以及对网络设备的访问控制策略进行验证等。5.2.3 配合需求配合项目需求说明结构安全网络拓扑结构图、不同的子网或网段的设计或描述、带宽的配置策略。边界完整性检查系统管理员
28、介绍采用的手段以防止非授权接入和非法外联行为。入侵防范网络管理员或者安全管理员介绍防网络攻击措施。恶意代码防范网络管理员或者安全管理员介绍防恶意代码措施。访问控制针对主要服务器的访问控制策略。安全审计访谈网络管理员以及需要网络管理员上机操作。网络设备防护网络管理员上机操作。5.3 主机安全测评主机系统安全测评将通过访谈、检查和测试的方式评测信息系统的主机和服务器(操作系统、数据库管理系统)安全保障情况。在内容上,主机系统安全层面测评实施过程涉及7 个安全子类。5.3.1 测评指标序号安全子类测评指标描述1身份鉴别检查服务器的身份标识与鉴别和用户登录的配置情况。2访问控制检查服务器的访问控制设置
29、情况,包括安全策略覆盖、控制粒度以及权限设置情况等。3安全审计检查服务器的安全审计的配置情况,如覆盖范围、记录的项目和内容等;检查安全审计进程和记录的保护情况。4剩余信息保护检查服务器鉴别信息的存储空间,被释放或再分配给其他用户前得到完全清除。5入侵防范检查服务器在运行过程中的入侵防范措施,如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。6恶意代码防范检查服务器的恶意代码防范情况。7资源控制检查服务器资源使用情况。5.3.2 测评实施主机层面测评实施主要通过访谈和查看,了解服务器的安全防护措施和相关安全配置,涉及到的控制点有:身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意
30、代码防范和资源控制等。5.3.3 配合需求配合项目需求说明身份鉴别系统管理员、数据库管理员配合主机测评师上机操作。访问控制系统管理员、数据库管理员配合主机测评师上机操作。安全审计系统管理员、数据库管理员配合主机测评师上机操作。剩余信息保护系统管理员、数据库管理员配合主机测评师上机操作。入侵防范系统管理员、数据库管理员配合主机测评师上机操作。恶意代码防范系统管理员、数据库管理员配合主机测评师上机操作。资源控制系统管理员、数据库管理员配合主机测评师上机操作。5.4 应用安全测评5.4.1 测评指标应用安全测评将通过访谈、检查和测试的方式评测信息系统的应用安全保障情况。在内容上,应用安全层面测评实施
31、过程涉及 9 个工作单元,具体如下表:序号安全子类测评指标描述1身份鉴别检查应用系统的身份标识与鉴别功能设置和使用配置情况;检查应用系统对用户登录各种情况的处理,如登录失败处理、登录连接超时等。2访问控制检查应用系统的访问控制功能设置情况,如访问控制的策略、访问控制粒度、权限设置情况等。3安全审计1、检查应用系统的安全审计配置情况,如覆盖范围、记录的项目和内容等;2、检查应用系统安全审计进程和记录的保护情况。4剩余信息保护检查应用系统的剩余信息保护情况,如将用户鉴别信息以及文件、目录和数据库记录等资源所在的存储空间再分配时的处理情况。5通信完整性检查应用系统客户端和服务器端之间的通信完整性保护
32、情况。6通信保密性检查应用系统客户端和服务器端之间的通信完整性保护情况。7抗抵赖检查应用系统对原发方和接收方的抗抵赖实现情况。8软件容错检查应用系统的软件容错能力,如输入输出格式检查、自我状态监控、自我保护、回退等能力。9资源控制检查应用系统的资源控制情况,如会话限定、用户登录限制、最大并发连接以及服务优先级设置等。5.4.2 测评实施应用层面测评实施主要通过访谈和查看,了解应用系统的安全防护措施和相关安全配置,涉及到的控制点有:身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等。5.4.3 配合需求配合项目需求说明身份鉴别系统管理员、数据库管理员
33、配合主机测评师上机操作。访问控制系统管理员、数据库管理员配合主机测评师上机操作。安全审计系统管理员、数据库管理员配合主机测评师上机操作。剩余信息保护系统管理员、数据库管理员配合主机测评师上机操作。通信完整性系统管理员、数据库管理员配合主机测评师上机操作。通信保密性系统管理员、数据库管理员配合主机测评师上机操作。抗抵赖系统管理员、数据库管理员配合主机测评师上机操作。软件容错系统管理员、数据库管理员配合主机测评师上机操作。资源控制系统管理员、数据库管理员配合主机测评师上机操作。5.5 数据安全及备份恢复测评5.5.1 测评指标在内容上,数据安全层面测评实施过程涉及 3 个工作单元,具体如下表:序号
34、安全子类测评指标描述1数据完整性检查操作系统、数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的完整性保护情况。2数据保密性检查操作系统和数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的保密性保护情况。3安全备份和恢复检查信息系统的安全备份情况,如重要信息的备份、硬件和线路的冗余等。5.5.2 测评实施数据安全及备份恢复测评将通过访谈和检查的方式评测信息系统的数据安全保障情况。本次测评重点检查系统的数据在采集、传输、处理和存储过程中的安全。5.5.3 配合需求配合项目需求说明数据完整性应用测评师综合网络、主机和应用三个层面的测评情况进行分析。数据保密性应用测评师综
35、合网络、主机和应用三个层面的测评情况进行分析。安全备份和恢复应用测评师综合网络、主机和应用三个层面的测评情况进行分析。5.6 安全管理制度测评5.6.1 测评指标安全管理制度测评将通过访谈和检查的形式评测安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。序号安全子类测评指标描述1管理制度通过访谈安全主管,检查有关管理制度文档和重要操作规程等过程,测评信息系统管理制度在内容覆盖上是否全面、完善。2制定与发布通过访谈安全主管,检查有关制度制定要求文档等过程,测评信息系统管理制度的制定和发布过程是否遵循一定的流程。3评
36、审和修订通过访谈安全主管,检查管理制度评审记录等过程,测评信息系统管理制度定期评审和修订情况。5.6.2 测评实施访谈安全主管,了解机构安全管理制度体系的构成、安全管理制度制定和发布的流程、对制定的安全管理制度进行论证和审定的情况和对安全管理制度文件体系和安全管理制度定期进行评审修订的情况。收集并查看信息安全管理文档,查看制度文档的格式是否统一、是否具有编号、查看内容是否覆盖了信息安全工作的总体目标、方针和策略和信息系统生命周期中的重要管理活动,是否有对重要服务器、网络设备、安全设备操作的操作规程。检查安全管理制度的收发登记记录是否符合规定的收发程序和发布范围控制等要求,是否有安全管理制度制定
37、的评审记录和定期修订的记录。5.6.3 配合需求配合项目需求说明管理制度1. 配合访谈进行安全管理制度体系情况的了解;2. 提供信息安全总体方针政策的文件、与信息安全相关的管理制度和操作规程;3. 提供安全管理制度认证和评审的记录。制定与发布1. 配合访谈进行制度制订与发布情况的了解;2. 提供安全管理制度收发文记录。评审和修订1. 配合访谈进行安全管理制度体系、制度制订与发布、评审和修订相关内容的了解;2. 提供安全管理制度定期评审修订的记录。5.7 安全管理机构测评5.7.1 测评指标序号安全子类测评指标描述1岗位设置通过访谈安全主管,检查部门/岗位职责文件,测评信息系统安全主管部门设置情
38、况以及各岗位设置和岗位职责情况。2人员配备通过访谈安全主管,检查人员名单等文档,测评信息系统各个岗位人员配备情况。3授权和审批通过访谈安全主管,检查相关文档,测评信息系统对关键活动的授权和审批情况。4沟通和合作通过访谈安全主管,检查相关文档,测评信息系统内部部门间、与外部单位间的沟通与合作情况。5审核和检查通过访谈安全主管,检查记录文档等过程,测评信息系统安全工作的审核和检查情况。5.7.2 测评实施查看部门、岗位职责等相关文件是否明确定义了机构及各岗位人员的职责范围,岗位人员名单中关键岗位是否配备了多人共同管理。查看检查授权与审批制度文档,查看文档是否明确各审批事项的审批部门、批准人及审批流
39、程等,检查相应审批记录是否按照审批程序执行审批过程对重要活动进行逐级审批。检查是否有信息安全管理委员会或领导小组执行日常管理工作的文件或工作记录、是否有外联单位列表、是否有信息安全专家的聘用文件。5.7.3 配合需求配合项目需求说明岗位设置1. 配合访谈进行机构岗位设置情况的了解;2. 提供组织结构图、岗位职责文件。人员配备1. 配合访谈进行机构人员配备情况的了解。授权和审批1. 配合访谈进行机构授权和审批情况的了解;2. 提供授权和审批文档和记录。沟通和合作1. 配合访谈进行机构内部和外部沟通合作情况的了解;2. 提供外联单位列表、各类会议纪要或记录(部门内、部门间协调会、领导小组)。审核和
40、检查1. 配合访谈进行机构审核和检查情况的了解;2. 提供内部和外部安全检查记录。5.8 人员安全管理测评5.8.1 测评指标序号安全子类测评指标描述1人员录用通过访谈人事负责人,检查人员录用文档等过程,测评信息系统录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。2人员离岗通过访谈人事负责人,检查人员离岗安全处理记录等过程,测评信息系统人员离岗时是否按照一定的手续办理。3人员考核通过访谈安全主管,检查有关考核记录等过程,测评是否对人员进行日常的业务考核和工作审查。4安全意识教育和培训通过访谈安全主管,检查培训计划和执行记录等文档,测评是否对人员进行安全方面的教育和培训。5外部人员访
41、问管理通过访谈安全主管,检查有关文档等过程,测评对第三方人员访问(物理、逻辑)系统是否采取必要控制措施。5.8.2 测评实施访谈安全主管或人事负责人,了解人员录用流程、关键岗位工作人员的选拔流程、人员离岗流程、信息安全培训考核情况和外来人员访问控制措施,包括人员录用时是否对被录用人的身份、背景、专业资格和资质进行审查,是否签署了保密协议,离岗时是否终止离岗人员的所有访问权限、收回离岗人员的设备和物品和离岗审查、承诺保密责任等情况,安全教育和培训计划制定实施情况、对各个岗位人员进行安全技能及安全知识考核的情况和对关键岗位人员进行安全审查、安全技能及安全知识的考核情况。了解对外部人员的访问管理措施
42、。检查是否有录用人员技术技能的考核记录、保密协议、关键岗位人员的岗位安全协议书、离岗手续记录、安全意识教育和培训计划和记录、考核记录和外部人员访问的申请审批和登记备案的记录。5.8.3 配合需求配合项目需求说明人员录用1. 配合访谈进行人员录用流程情况的了解;2. 提供录用人员技术技能的考核记录、保密协议、关键岗位人员的岗位安全协议书。人员离岗1. 配合访谈进行人员离岗流程情况的了解;2. 提供离岗手续记录。人员考核1. 配合访谈进行人员信息安全考核情况的了解;2. 提供安全认知和安全技能考核记录。安全意识教育和培训1. 配合访谈进行人员信息安全和技能培训情况的了解;2. 提供安全意识教育的培
43、训计划和记录外部人员访问管理1. 配合访谈进行外部人员访问控制情况的了解;2. 提供外部人员访问的申请审批和登记备案的记录。5.9 系统建设管理测评5.9.1 测评指标序号安全子类测评指标描述1系统定级通过访谈安全主管,检查系统定级相关文档等过程,测评是否按照一定要求确定系统的安全等级。2安全方案设计通过访谈系统建设负责人,检查系统安全建设方案等文档,测评系统整体的安全规划设计是否按照一定流程进行。3产品采购和使用通过访谈安全主管、系统建设负责人和安全产品等过程,测评是否按照一定的要求进行系统的产品采购。4自行软件开发通过访谈系统建设负责人,检查相关软件开发文档等,测评自行开发的软件是否采取必要的措施保证开发过程的安全性。5外包软件开发通过访谈系统建设负责人,检查相关文档,测评外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。6工程实施通过访谈系统建设负责人,检查相关文档,测评系统建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。7测试验收通过访谈系统建设
浙ICP备2021020529号-1 | 浙B2-20240490 
