信息安全技术信息系统安全等级保护测评要求

1、信息安全技术 信息系统安全等级保护基本要求引 言依据中华人人民共和国计计算机信息系系统安全保护护条例（国国务院1477号令）、国国家信息化领领导小组关于于加强信息安安全保障工作作的意见（中中办发20003277号）、关于信息系系统安全等级级保护工作的的实施意见（公通字字2004466号）和和信息安全全等级保护管管理办法（公公通字20007433号）等有关关文件要求，制制定本标准。本标准是信息安全等级保护相关系列标准之一。与本标准相关的系列标准包括：GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南；GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要

2、求；GB/T AAAA-AAAA 信息安全技术 信息系统安全等级保护实施指南。一般来说，信息系统需要靠多种安全措施进行综合防范以降低其面临的安全风险。本标准针对信息系统中的单项安全措施和多个安全措施的综合防范，对应地提出单元测评和整体测评的技术要求，用以指导测评人员从信信息安全等级级保护的角度度对信息系统统进行测试评评估。单元测测评对安全技技术和安全管管理上各个层层面的安全控控制点提出不不同安全保护护等级的测评评要求。整体体测评根据安安全控制点间间、层面间和和区域间相互互关联关系以以及信息系统统整体结构对对信息系统整整体安全保护护能力的影响响提出测评要要求。 本标准给出出了等级测评评结论中应包

3、包括的主要内内容，未规定定给出测评结结论的具体方方法和量化指指标。如果没有特特殊指定，本本标准中的信信息系统主要要指计算机信信息系统。 在本标准文文本中，黑体体字的测评要要求表示该要要求出现在当当前等级而在在低于当前等等级信息系统统的测评要求求中没有出现现过。信息系统安全等等级保护测评评要求1 范围本标准规定了对对信息系统安安全等级保护护状况进行安安全测试评估估的要求，包包括对第一级级信息系统、第第二级信息系系统、第三级级信息系统和和第四级信息息系统进行安安全测试评估估的单元测评评要求和信息息系统整体测测评要求。本本标准略去对对第五级信息息系统进行单单元测评的具具体内容要求求。本标准适用用于信

4、息安全全测评服务机机构、信息系系统的主管部部门及运营使使用单位对信信息系统安全全等级保护状状况进行的安安全测试评估估。信息安全全监管职能部部门依法进行行的信息安全全等级保护监监督检查可以以参考使用。2 规范性引用用文件下列文件中的条条款通过本标标准的引用而而成为本标准准的条款。注注日期的引用用文件，其随随后所有的修修改单（不包包括勘误的内内容）或修订订版均不适用用于本标准，然然而，鼓励根根据本标准达达成协议的各各方研究是否否可使用这些些文件的最新新版本。不注注日期的引用用文件，其最最新版本适用用于本标准。GB/T 5271.8 信息技术 词汇 第8部分：安全GB/T 22239-2008 信息

5、安全技术 信息系统安全等级保护基本要求3 术语和定义义GB/T 52271.8和和GB/T 222399-20088所确立的以以及下列术语语和定义适用用于本标准。3.1 测评力力度 tessting and eevaluaation intennsity测评工作实实际投入力量量的表征，可可以由测评广广度和深度来来描述。4 总则4.1 测评原原则a) 客观性和和公正性原则则测评工作虽虽然不能完全全摆脱个人主主张或判断，但但测评人员应应当在没有偏偏见和最小主主观判断情形形下，按照测测评双方相互互认可的测评评方案，基于于明确定义的的测评方法和和过程，实施施测评活动。b) 经济性和和可重用性原则则基于

6、测评成成本和工作复复杂性考虑，鼓鼓励测评工作作重用以前的的测评结果，包包括商业安全全产品测评结结果和信息系系统先前的安安全测评结果果。所有重用用的结果，都都应基于这些些结果还能适适用于目前的的系统，能反反映目前系统统的安全状态态。c) 可重复性性和可再现性原则则无论谁执行测评评，依照同样样的要求，使使用同样的方方法，对每个个测评实施过过程的重复执执行都应该得得到同样的测测评结果。可可再现性体现现在不同测评评者执行相同同测评的结果果的一致性。可可重复性体现现在同一测评评者重复执行行相同测评的的结果的一致致性。d) 符合性原原则测评所产生生的结果应当当是在对测评评指标的正确确理解下所取取得的良好的

7、的判断。测评评实施过程应应当使用正确确的方法以确确保其满足了了测评指标的的要求。4.2 测评内内容信息系统安全等等级测评主要要包括单元测测评和整体测测评两部分。单元测评是等级级测评工作的的基本活动，每每个单元测评评包括测评指指标、测评实实施和结果判判定三部分。其中，测评指标来源于GB/T 22239-2008中的第五级目录中的各要求项（详见4.5节说明），测评实施描述测评过程中使用的具体测评方法、涉及的测评对象和具体测评取证过程的要求，结果判定描述测评人员执行测评实实施并产生各各种测评数据据后，如何依依据这些测评评数据来判定定被测系统是是否满足测评评指标要求的的原则和方法法。整体测评是是在单元

8、测评评的基础上，通通过进一步分分析信息系统统的整体安全全性，对信息息系统实施的的综合安全测测评。整体测测评主要包括括安全控制点点间、层面间间和区域间相相互作用的安安全测评以及及系统结构的的安全测评等等。整体测评评需要与信息息系统的实际际情况相结合合，因此全面面地给出整体体测评要求的的全部内容、具具体实施过程程和明确的结结果判定方法法是非常困难难的，测评人人员应根据被被测系统的实实际情况，结结合本标准的的要求，实施施整体测评。测评方法指测评人员在测评实施过程中所使用的方法，主要包括访谈、检查和测试三种测评方法。其中，访谈是指测评人员通过引导信息系统相关人员进行有目的的（有针对性的）交流以帮助测评

9、人员理解、分析或取得证据的过程，检查是指测评人员通过对测评对象（如管理制度、操作记录、安全配置等）进行观察、查验、分析以帮助测评人员理解、分析或取得证据的过程，测试是测评人员使用预定的方法/工具使测评对象产生特定的行为，通过查看和分析结果以帮助测评人员获取证据的过程。测评对象指测评实施的对象，即测评过程中涉及到的信息系统的相关人员、制度文档、各类设备及其安全配置等。4.3 测评力力度测评力度是在测测评过程中实实施测评工作作的力度，反反映测评的广广度和深度，体体现为测评工工作的实际投投入程度。测测评广度越大大，测评实施施的范围越大大，测评实施施包含的测评评对象就越多多；测评深度度越深，越需需要在

10、细节上上展开，测评评就越严格，因因此就越需要要更多的投入入。投入越多多，测评力度度就越强，测测评就越有保保证。测评的的广度和深度度落实到访谈谈、检查和测测试三种不同同的测评方法法上，能体现现出测评实施施过程中谈、检检查和测试的的投入程度的的不同。信息安全等等级保护要求求不同安全保保护等级的信信息系统应具具有不同的安安全保护能力力，满足相应应等级的保护护要求。为了了检验不同安安全保护等级级的信息系统统是否具有相相应等级的安安全保护能力力，是否满足足相应等级的的保护要求，需需要实施与其其安全保护等等级相适应的的测评，付出出相应的工作作投入，达到到应有的测评评力度。第一一级到第四级级信息系统的的测评

11、力度反反映在访谈、检检查和测试等等三种基本测测评方法的测测评广度和深深度上，落实实在不同单元元测评中具体体的测评实施施上。不同安安全保护等级级的信息系统统在总体上所所对应的测评评力度在附录录A中描述。4.4 结果重重用在信息系统中，有有些安全控制制可以不依赖赖于其所在的的地点便可测测评，即在其其部署到运行行环境之前便便可以接受安安全测评。一一些商用安全全产品的测评评就属于这种种安全测评。如如果一个信息息系统部署和和安装在多个个地点，且系系统具有一组组共同的软件件、硬件、固固件等组成部部分，对这些些安全控制的的测评可以集集中在一个集集成测试环境境中实施，如如果没有这种种环境，则可可以在其中一一个

12、预定的运运行地点实施施，在其他运运行地点的安安全测评便可可重用此测评结结果。在信息系统统所有安全控控制中，有一一些安全控制制与它所处于于的运行环境境紧密相关（如如与人员或物物理有关的某某些安全控制制），对其测测评必须在分分发到相应运运行环境中才才能进行。如如果多个信息息系统处在地地域临近的封封闭场地内，系系统所属的机机构在同一个个领导层管理理之下，对这这些安全控制制在多个信息息系统中进行行重复测评，可可能是对有效效资源的一种种浪费。因此此，可以在一一个选定的信信息系统中进进行测评，其其他相关信息息系统可以直直接重用这些些测评结果。4.5 使用方方法本标准第5章到到第8章分别描述述了第一级信信息

13、系统、第第二级信息系系统、第三级级信息系统和和第四级信息息系统所有单单元测评的内内容，在章节节上分别对应应国标GB/T 222239-20008的第5章到第8章。在国标标GB/T222399-20088第5章到第8章中，各章章的二级目录录都分为安全全技术和安全全管理两部分分，三级目录录从安全层面面（如物理安安全、网络安安全、主机安安全等）进行行划分和描述述，四级目录录按照安全控控制点进行划划分和描述（如如主机安全层层面下分为身身份鉴别、访访问控制、安安全审计等），第第五级目录是是每一个安全全控制点下面面包括的具体体安全要求项项（以下简称称“要求项”，这些要求求项在本标准准中被称为“测评指标”）

14、。本标准准中针对每一一个安全控制制点的测评就就构成一个单单元测评，单单元测评中的的每一个具体体测评实施要要求项（以下下简称“测评要求项项”）是与安全全控制点下面面所包括的要要求项（测评评指标）相对对应的。在对对每一要求项项进行测评时时，可能用到到访谈、检查查和测试三种种测试方法，也也可能用到其其中一种或两两种，为了描描述简洁，在在测评要求项项中，没有针针对每一个要要求项分别进进行描述，而而是对具有相相同测评方法法的多个要求求项进行了合合并描述，但测评评实施的内容容完全覆盖了了GB/T 222399-20088中所有要求求项的测评要要求,使用时，应应当从单元测测评的测评实实施中抽取出出对于GB/

15、T 222239-20008中每一一个要求项的的测评要求，并并按照这些测测评要求开发测评指导书书，以规范和和指导安全等等级测评活动动。 测评过程中中，测评人员员应注意对测测评记录和证证据的采集、处处理、存储和和销毁，保护护其在测评期期间免遭破坏坏、更改或遗遗失，并保守守秘密。测评的最终终输出是测评评报告，测评评报告应结合合第11章的要求求给出等级测测评结论。5 第一级信息息系统单元测测评5.1 安全技技术测评5.1.1 物物理安全1 物理访问问控制1.1 测评评指标见GB/T 222239-2008 。1.2 测评评实施本项要求包括：a) 应访谈物物理安全负责责人，了解部部署了哪些控控制人员进

16、出出机房的保护护措施；b) 应检查查是否有专人人负责机房的的出入控制且且有进入机房房人员的登记记记录。1.3 结果果判定如果.2 b）为肯定定，则信息系系统符合本单单元测评指标标要求，否则则，信息系统统不符合或部部分符合本单单元测评指标标要求。2 防盗窃和和防破坏2.1 测评评指标见GB/T 222239-2008 。2.2 测评评实施本项要求包括：a) 应访谈物物理安全负责责人，了解采采取了哪些防防止设备、介介质等丢失的的保护措施；b) 应检查查关键设备是是否放置在机机房内或其它它不易被盗窃窃和被破坏的的可控范围内内；c) 应检查查关键设备或或设备的主要要部件的固定定情况，查看看其是否不易易

17、被移动或被被搬走，是否否设置明显的的不易除去的的标记。2.3 结果果判定如果.2 b）和c）均为肯定定，则信息系系统符合本单单元测评指标标要求，否则则，信息系统统不符合或部部分符合本单单元测评指标标要求。3 防雷击3.1 测评评指标见GB/T 222239-2008 。3.2 测评评实施本项要求包括：a) 应访谈物物理安全负责责人，询问机机房建筑是否否设置了避雷雷装置，是否否通过验收或或国家有关部部门的技术检检测；b) 应检查机机房建筑是否否有避雷装置置。3.3 结果果判定如果.2 b）为肯定定，则信息系系统符合本单单元测评指标标要求，否则则，信息系统统不符合或部部分符合本单单元测评指标标要求

18、。4 防火4.1 测评评指标见GB/T 222239-2008 。4.2 测评评实施本项要求包括：a) 应访谈物物理安全负责责人，询问机机房是否设置置了灭火设备备，是否制定定了有关机房房消防的管理理制度和消防防预案，是否否进行了消防防培训；b) 应检查查机房是否设设置了灭火设设备，灭火设设备摆放位置置是否合理，其其有效期是否否合格。4.3 结果果判定如果.2 a)和b）均为肯定定，则信息系系统符合本单单元测评指标标要求，否则则，信息系统统不符合或部部分符合本单单元测评指标标要求。5 防水和防防潮5.1 测评评指标见GB/T 222239-2008 。5.2 测评评实施本项要求包括：a) 应访谈

19、物物理安全负责责人，询问机机房是否部署署了防水防潮潮措施，是否否没有出现过过漏水和返潮潮事件；如果果机房内有上上/下水管安装装，则查看是是否采取必要要的保护措施施；b) 应检查查穿过主机房房墙壁或楼板板的管道是否否采取必要的的防渗防漏等等防水保护措措施；c) 应检查查机房的窗户户、屋顶和墙墙壁等是否未未出现过漏水水、渗透和返返潮现象，机机房及其环境境是否不存在在明显的漏水水和返潮的威威胁；如果出出现漏水、渗渗透和返潮现现象是否能够够及时修复解解决。5.3 结果果判定如果.2 b）和c）均为肯定定，则信息系系统符合本单单元测评指标标要求，否则则，信息系统统不符合或部部分符合本单单元测评指标标要求

20、。6 温湿度控控制6.1 测评评指标见GB/T 222239-2008 。6.2 测评评实施本项要求包括：a) 应访谈物物理安全负责责人，询问机机房是否配备备了空调等温温湿度控制设设施，保证温温湿度能够满足计计算机设备运运行的要求，是是否在机房管管理制度中规规定了温湿度度控制的要求求；b) 应检查查空调设备是是否能够正常常运行，检查查机房温湿度度是否满足计计算站场地的的技术条件要要求。6.3 结果果判定如果.2 b）为肯定定，则信息系系统符合本单单元测评指标标要求，否则则，信息系统统不符合或部部分符合本单单元测评指标标要求。7 电力供应应7.1 测评评指标见GB/T 222239-2008 。

21、7.2 测评评实施本项要求包括：a) 应访谈物物理安全负责责人，询问计计算机系统供供电线路上是是否设置了稳稳压器和过电电压防护设备备；b) 应检查查机房，查看看计算机系统统供电线路上上是否设置了了稳压器和过过电压防护设设备，这些设设备是否正常常运行。7.3 结果果判定如果.2 b）为肯定定，则信息系系统符合本单单元测评指标标要求，否则则，信息系统统不符合或部部分符合本单单元测评指标标要求。5.1.2 网网络安全1 结构安全全1.1 测评评指标见GB/T 222239-2008 。1.2 测评评实施本项要求包括：a) 应访谈网网络管理员，询询问关键网络络设备的业务务处理能力是是否满足基本本业务需

22、求；b) 应访谈谈网络管理员员，询问接入入网络及核心心网络的带宽宽是否满足基基本业务需要要；c) 应检查查网络拓扑结结构图，查看看其与当前运运行的实际网网络系统是否否一致。1.3 结果果判定本项要求包括：a) 如果5. c）中中缺少网络拓拓扑结构图，则则为否定；b) 如果5.1.2.1.22 a）-c）均为肯肯定，则信息息系统符合本本单元测评指指标要求，否否则，信息系系统不符合或或部分符合本本单元测评指指标要求。2 访问控制制2.1 测评评指标见GB/T 222239-2008 。2.2 测评评实施本项要求包括：a) 应访谈安安全管理员，询询问网络访问问控制的措施施有哪些；询询问网络访问问控制

23、设备具具备哪些访问问控制功能；b) 应检查查边界网络设设备，查看是是否有正确的的访问控制列列表，以通过过源地址、目目的地址、源源端口、目的的端口、协议议等进行网络络数据流控制制，其控制粒粒度是否至少少为用户组。2.3 结果果判定如果.2 b）为肯定定，则信息系系统符合本单单元测评指标标要求，否则则，信息系统统不符合或部部分符合本单单元测评指标标要求。3 网络设备备防护3.1 测评评指标见GB/T 222239-2008 。3.2 测评评实施本项要求包括：a) 应访谈网网络管理员，询询问关键网络络设备的防护护措施有哪些些；询问关键键网络设备的的登录和验证证方式做过何何种配置；询询问远程管理理的设

24、备是否否采取措施防防止鉴别信息息泄漏；b) 应检查查边界和关键键网络设备，查查看是否配置置了对登录用用户进行身份份鉴别的功能能；c) 应检查查边界和关键键网络设备，查查看是否配置置了鉴别失败败处理功能；d) 应检查查边界和关键键网络设备，查查看是否配置置了对设备远远程管理所产产生的鉴别信信息进行保护护的功能。3.3 结果果判定如果.2 b）-d）均为肯肯定，则信息息系统符合本本单元测评指指标要求，否否则，信息系系统不符合或或部分符合本本单元测评指指标要求。5.1.3 主主机安全1 身份鉴别别1.1 测评评指标见GB/T 222239-2008 。1.2 测评评实施本项要求包括：a) 应访谈系系

25、统管理员和和数据库管理理员，询问操操作系统和数数据库管理系系统的身份标标识与鉴别机机制采取何种种措施实现；b) 应检查查关键服务器器操作系统和和关键数据库库管理系统，查查看是否提供供了身份鉴别别措施。1.3 结果果判定如果.2 b)为肯定定，则信息系系统符合本单单元测评指标标要求，否则则，信息系统统不符合或部部分符合本单单元测评指标标要求。2 访问控制制2.1 测评评指标见GB/T 222239-2008 。2.2 测评评实施本项要求包括：a) 应检查关关键服务器操操作系统的安安全策略，查查看是否对重重要文件的访访问权限进行行了限制，对对系统不需要要的服务、共共享路径等进进行了禁用或或删除；b

26、) 应检查查关键服务器器操作系统和和关键数据库库管理系统，查查看匿名/默认帐户的访问权权限是否已被被禁用或者限限制，是否删删除了系统中中多余的、过过期的以及共共享的帐户；c) 应检查查关键服务器器操作系统和和关键数据库库管理系统的的权限设置情情况，查看是是否依据安全全策略对用户户权限进行了了限制。2.3 结果果判定如果.2 a）-c）均为肯肯定，则信息息系统符合本本单元测评指指标要求，否否则，信息系系统不符合或或部分符合本本单元测评指指标要求。3 入侵防范范3.1 测评评指标见GB/T 222239-2008 。3.2 测评评实施本项要求包括：a) 应访谈系系统管理员，询询问操作系统统中所安装

27、的的系统组件和和应用程序是是否都是必须须的，询问操操作系统补丁丁更新的方式式和周期；b) 应检查查关键服务器器操作系统和和关键数据库库管理系统的的补丁是否得得到了及时更更新。3.3 结果果判定如果.2 b)肯定，则则信息系统符符合本单元测测评指标要求求，否则，信信息系统不符符合或部分符符合本单元测测评指标要求求。4 恶意代码码防范4.1 测评评指标见GB/T 222239-2008 。4.2 测评评实施本项要求包括：a) 应访谈系系统安全管理理员，询问主主机系统是否否采取恶意代代码实时检测测与查杀措施施，恶意代码码实时检测与与查杀措施的的部署覆盖范范围如何；b) 应检查查关键服务器器，查看是否

28、否安装了实时时检测与查杀杀恶意代码的的软件产品并并进行及时更更新。4.3 结果果判定如果.2 b）为肯定定，则信息系系统符合本单单元测评指标标要求，否则则，信息系统统不符合或部部分符合本单单元测评指标标要求。5.1.4 应应用安全1 身份鉴别别1.1 测评评指标见GB/T 222239-2008 。1.2 测评评实施本项要求包括：a) 应访谈应应用系统管理理员，询问应应用系统是否否有专用的登登录控制模块块对登录的用用户进行身份份标识和鉴别别，具体采取取的鉴别措施施是什么；b) 应访谈谈应用系统管管理员，询问问应用系统是是否具有登录录失败处理功功能；c) 应访谈谈应用系统管管理员，询问问应用系统

29、是是否采取措施施防止鉴别信信息传输过程程中被窃听，具具体措施是什什么；d) 应检查查关键应用系系统，查看其其是否提供身身份标识和鉴鉴别功能；e) 应检查查关键应用系系统，查看其其提供的登录录失败处理功功能，是否根根据安全策略略配置了相关关参数。1.3 结果果判定如果.2 d）和e）均为肯定定，则信息系系统符合本单单元测评指标标要求，否则则，信息系统统不符合或部部分符合本单单元测评指标标要求。2 访问控制制2.1 测评评指标见GB/T 222239-2008 。2.2 测评评实施本项要求包括：a) 应访谈应应用系统管理理员，询问应应用系统是否否提供访问控控制措施，以以及具体措施施和访问控制制策略

30、有哪些些；b) 应检查查关键应用系系统，查看系系统是否提供供访问控制功功能控制用户户组/用户对系统统功能和用户户数据的访问问；c) 应检查查关键应用系系统，查看其其是否具有由由授权用户设设置其它用户户访问系统功功能和用户数数据的权限的的功能，是否否限制默认用用户的访问权权限；d) 应测试试关键应用系系统，可通过过以不同权限限的用户登录录系统，查看看其拥有的权权限是否与系系统赋予的权权限一致，验验证应用系统统访问控制功功能是否有效效。2.3 结果果判定如果.2 b）-d）均为肯肯定，则信息息系统符合本本单元测评指指标要求，否否则，信息系系统不符合或或部分符合本本单元测评指指标要求。3 通信完整整

31、性3.1 测评评指标见GB/T 222239-2008 。3.2 测评评实施本项要求包括：a) 应访谈安安全管理员，询询问应用系统统是否具有在在数据传输过过程中保护其其完整性的措措施，具体措措施是什么；b) 应检查查设计或验收收文档，查看看其是否有关关于保护通信信完整性的说说明。3.3 结果果判定如果.2 b）为肯定定，则信息系系统符合本单单元测评指标标要求，否则则，信息系统统不符合或部部分符合本单单元测评指标标要求。4 软件容错错4.1 测评评指标见GB/T 222239-2008 。4.2 测评评实施本项要求包括：a) 应访谈应应用系统管理理员，询问应应用系统是否否具有保证软软件容错能力力

32、的措施，具具体措施有哪哪些；b) 应检查查关键应用系系统，查看应应用系统是否否具有对人机机接口输入或或通信接口输输入的数据进进行有效性检检验的功能；c) 应测试试关键应用系系统，可通过过对人机接口口输入的不同同长度或格式式的数据，查查看系统的反反应，验证系系统人机接口口有效性检验验功能是否正正确。4.3 结果果判定如果.2 b）和c）均为肯定定，则信息系系统符合本单单元测评指标标要求，否则则，信息系统统不符合或部部分符合本单单元测评指标标要求。5.1.5 数数据安全及备备份恢复1 数据完整整性1.1 测评评指标见GB/T 222239-2008 。1.2 测评评实施本项要求包括：a) 应访谈安

33、安全管理员，询询问关键应用用系统用户数数据在传输过过程中是否有有完整性保证证措施，具体体措施有哪些些；b) 应检查查关键应用系系统，查看其其是否配备检检测重要用户户数据在传输输过程中完整整性受到破坏坏的功能。1.3 结果果判定如果.2 b）为肯定定，则信息系系统符合本单单元测评指标标要求，否则则，信息系统统不符合或部部分符合本单单元测评指标标要求。2 备份和恢恢复2.1 测评评指标见GB/T 222239-2008 。2.2 测评评实施本项要求包括：a) 应访谈网网络管理员，询询问是否对网网络设备中的的配置文件进进行备份，备备份策略是什什么；当其受受到破坏时，恢恢复策略是什什么；b) 应访谈谈

34、系统管理员员，询问是否否对操作系统统中的重要信信息进行备份份，备份策略略是什么；当当其受到破坏坏时，恢复策策略是什么；c) 应访谈谈数据库管理理员，询问是是否对数据库库管理系统中中的关键数据据进行备份，备备份策略是什什么；当其受受到破坏时，恢恢复策略是什什么；d) 应访谈谈安全管理员员，询问是否否对应用系统统中的应用程程序进行备份份，备份策略略是什么；当当其受到破坏坏时，恢复策策略是什么；e) 应检查查关键主机操操作系统、关关键网络设备备、关键数据据库管理系统统和关键应用用系统，查看看其是否提供供备份和恢复复功能，备份份和恢复功能能的配置是否否正确，并且且查看实际备备份结果是否否与备份策略略一

35、致。2.3 结果果判定如果.2 e）为肯定定，则信息系系统符合本单单元测评指标标要求，否则则，信息系统统不符合或部部分符合本单单元测评指标标要求。5.2 安全管管理测评5.2.1 安安全管理制度度1 管理制度度1.1 测评评指标见GB/T 222399-20088 5.2.1.1。1.2 测评评实施本项要求包括：a) 应检查各各项安全管理理制度，查看看是否覆盖物物理、网络、主主机系统、数数据、应用、建建设和管理等等层面。1.3 结果果判定如果.2 a）为肯定定，则信息系系统符合本单单元测评指标标要求，否则则，信息系统统不符合或部部分符合本单单元测评指标标要求。2 制定和发发布2.1 测评评指标

36、见GB/T 222239-2008 。2.2 测评评实施本项要求包括：a) 应访谈安安全主管，询询问是否有专专人负责制定定安全管理制制度；b) 应访谈谈安全管理制制度制、修订订人员，询问问安全管理制制度的发布方方式，是否能能够发布到相相关人员手中中。2.3 结果果判定如果.2 a）和b）均为肯定定，则信息系系统符合本单单元测评指标标要求，否则则，信息系统统不符合或部部分符合本单单元测评指标标要求。5.2.2 安安全管理机构构1 岗位设置置1.1 测评评指标见GB/T 222239-2008 。1.2 测评评实施本项要求包括：a) 应访谈安安全主管，询询问信息系统统设置了哪些些工作岗位，各各个岗

37、位的职职责分工是否否明确；b) 应检查查岗位职责分分工文档，查查看其定义的的岗位职责中中是否包括系系统管理员、网网络管理员、安安全管理员等等重要岗位的的职责。1.3 结果果判定如果.2 a）和b）均为肯定定，则信息系系统符合本单单元测评指标标要求，否则则，信息系统统不符合或部部分符合本单单元测评指标标要求。2 人员配备备2.1 测评评指标见GB/T 222239-2008 。2.2 测评评实施本项要求包括：a) 应访谈安安全主管，询询问各个安全全管理岗位的的人员配备情情况；b) 应检查查安全管理各各岗位人员信信息表，查看看其是否明确确机房管理员员、系统管理理员、网络管管理员和安全全管理员等重重

38、要岗位人员员的信息。2.3 结果果判定如果.2 a)和b）均为肯定定，则信息系系统符合本单单元测评指标标要求，否则则，信息系统统不符合或部部分符合本单单元测评指标标要求。3 授权和审审批3.1 测评评指标见GB/T 222239-2008 。3.2 测评评实施本项要求包括：a) 应访谈安安全主管，询询问其是否需需要对信息系系统中的关键键活动进行审审批，审批部部门是何部门门，批准人是是何人，他们们的审批活动动是否得到授授权；b) 应访谈谈安全主管，询询问其对关键键活动的审批批范围。3.3 结果果判定如果.2 a）和b）均为肯定定，则信息系系统符合本单单元测评指标标要求，否则则，信息系统统不符合或

39、部部分符合本单单元测评指标标要求。4 沟通和合合作4.1 测评评指标见GB/T 222239-2008 。4.2 测评评实施本项要求包括：a) 应访谈安安全主管，询询问是否经常常与公安机关关、电信公司司和兄弟单位位联系，联系系和合作方式式有哪些；b) 应检查查外联单位说说明文档，查查看外联单位位是否包含公公安机关、电电信公司及兄兄弟单位，是是否说明外联联单位的联系系人和联系方方式等内容。4.3 结果果判定如果.2 a）和b）均为肯定定，则信息系系统符合本单单元测评指标标要求，否则则，信息系统统不符合或部部分符合本单单元测评指标标要求。5.2.3 人人员安全管理理1 人员录用用1.1 测评评指标

40、见GB/T 222239-2008 。1.2 测评评实施本项要求包括：a) 应访谈安安全主管，询询问是否有专专门的部门或或人员负责人人员的录用工工作，由何部部门/何人负责；b) 应访谈谈人事管理相相关人员，询询问在人员录录用时对人员员条件有哪些些要求，是否否对被录用人人的身份和专专业资格进行行审查；c) 应检查人人员录用要求求管理文档，查查看是否说明明录用人员应应具备的条件件（如学历、学学位要求，技技术人员应具具备的专业技技术水平，管管理人员应具具备的安全管管理知识等）；d) 应检查查是否具有人人员录用时对对录用人身份份、专业资格格等进行审查查的相关文档档或记录，查查看是否记录录审查内容和和审

41、查结果等等。1.3 结果果判定如果.2 a）-d）均为肯肯定，则信息息系统符合本本单元测评指指标要求，否否则，信息系系统不符合或或部分符合本本单元测评指指标要求。2 人员离岗岗2.1 测评评指标见GB/T 222239-2008 。2.2 测评评实施本项要求包括：a) 应访谈安安全主管，询询问是否及时时终止离岗人人员的所有访访问权限，取取回各种身份份证件、钥匙匙、徽章以及及机构提供的的软硬件设备备等；b) 应检查查是否具有对对离岗人员的的安全处理记记录（如交还还身份证件、设设备等的登记记记录）。2.3 结果果判定如果.2 a）和b）均为肯定定，则信息系系统符合本单单元测评指标标要求，否则则，信

42、息系统统不符合或部部分符合本单单元测评指标标要求。3 安全意识识教育和培训训3.1 测评评指标见GB/T 222239-2008 。3.2 测评评实施本项要求包括：a) 应访谈安安全主管，询询问是否对各各个岗位人员员进行安全教教育和岗位技技能培训，告告知相关的安安全知识、安安全责任和惩惩戒措施，具具体的培训方方式有哪些；b) 应访谈谈安全管理员员，考查其对对工作相关的的信息安全基基础知识、安安全责任和惩惩戒措施等的的理解程度。3.3 结果果判定如果.2 a）和b）均为肯定定，则信息系系统符合本单单元测评指标标要求，否则则，信息系统统不符合或部部分符合本单单元测评指标标要求。4 外部人员员访问管

43、理4.1 测评评指标见GB/T 222239-2008 。4.2 测评评实施本项要求包括：a) 应访谈安安全管理员，询询问对外部人人员访问重要要区域（如访访问机房、重重要服务器或或设备区等）采采取了哪些安安全措施，是是否经有关部部门或负责人人批准才能访访问；b) 应检查查外部人员访访问管理文档档，查看是否否有对外部人人员访问机房房等重要区域域应经过相关关部门或负责责人批准的内内容。4.3 结果果判定如果.2 a）和b）均为肯定定，则信息系系统符合本单单元测评指标标要求，否则则，信息系统统不符合或部部分符合本单单元测评指标标要求。5.2.4 系系统建设管理理1 系统定级级1.1 测评评指标见GB

44、/T 222239-2008 。1.2 测评评实施本项要求包括：a) 应访谈安安全主管，询询问确定信息息系统安全保保护等级的方方法是否参照照定级指南的的指导，定级级过程是否有有书面描述；定级结果是是否获得了相相关部门的批批准；b) 应检查查系统定级文文档，查看文文档是否明确确信息系统的的边界和信息息系统的安全全保护等级，是是否说明定级级的方法和理理由，查看定定级结果是否否有相关部门门的批准盖章章。1.3 结果果判定本项要求包括：a) 5.2.4.1.22 a）没有有上级主管部部门的，如果果有本单位信信息安全主管管领导的批准准，则该项为为肯定；b) 如果5.2.4.1.22 a）和b）均为肯定定

45、，则信息系系统符合本单单元测评指标标要求，否则则，信息系统统不符合或部部分符合本单单元测评指标标要求。2 安全方案案设计2.1 测评评指标见GB/T 222239-2008 。2.2 测评评实施本项要求包括：a) 应访谈系系统建设负责责人，询问是是否根据系统统的安全级别别选择基本安安全措施，是是否依据风险险分析的结果果补充和调整整安全措施，具具体做过哪些些调整；b) 应检查查系统的安全全方案，查看看方案是否描描述系统的安安全保护要求求，是否详细细描述了系统统的安全策略略，是否详细细描述了系统统采取的安全全措施等内容容；c) 应检查查系统的详细细设计方案，查查看详细设计计方案是否对对应安全方案案

46、进行细化，是是否有安全建建设方案和安安全产品采购购方案。2.3 结果果判定如5.2.4.2.2 aa）-c）均为肯肯定，则信息息系统符合本本单元测评指指标要求，否否则，信息系系统不符合或或部分符合本本单元测评指指标要求。3 产品采购购和使用3.1 测评评指标见GB/T 222239-2008 。3.2 测评评实施本项要求包括：a) 应访谈系系统建设负责责人，询问信信息安全产品品的采购情况况，是否有产产品采购清单单指导产品采采购，采购过过程如何控制制；b) 应访谈谈系统建设负负责人，询问问系统使用的的有关信息安安全产品是否否符合国家的的有关规定。3.3 结果果判定如果.2 a）和b）均为肯定定，

47、则信息系系统符合本单单元测评指标标要求，否则则，信息系统统不符合或部部分符合本单单元测评指标标要求。4 自行软件件开发4.1 测评评指标见GB/T 222239-2008 。4.2 测评评实施本项要求包括：a) 应访谈系系统建设负责责人，询问是是否进行自主主开发软件，自自主开发软件件是否在独立立的模拟环境境中编写、调调试和完成；b) 应访谈谈系统建设负负责人，询问问软件设计相相关文档是否否由专人负责责保管，负责责人是何人；c) 应检查查是否具有软软件设计相关关文档。4.3 结果果判定如果.2 a）-c）均为肯肯定，则信息息系统符合本本单元测评指指标要求，否否则，信息系系统不符合或或部分符合本本

48、单元测评指指标要求。5 外包软件件开发5.1 测评评指标见GB/T 222239-2008 。5.2 测评评实施本项要求包括：a) 应访谈系系统建设负责责人，询问软软件交付前是是否依据开发发要求的技术术指标对软件件功能和性能能等进行验收收测试，软件件安装之前是是否检测软件件中的恶意代代码；b) 应检查查是否具有需需求分析说明明书、软件设设计说明书、软软件操作手册册等软件开发发文档和使用用指南。5.3 结果果判定如果.2 a）和b）均为肯定定，则信息系系统符合本单单元测评指标标要求，否则则，信息系统统不符合或部部分符合本单单元测评指标标要求。6 工程实施施6.1 测评评指标见GB/T 22223

49、9-2008 。6.2 测评评实施应访谈系统建设设负责人，询询问是否指定定专门部门或或人员对工程程实施过程进进行进度和质质量控制，由由何部门/何人负责。6.3 结果果判定如果.2 为肯定，则则信息系统符符合本单元测测评指标要求求，否则，信信息系统不符符合或部分符符合本单元测测评指标要求求。7 测试验收收7.1 测评评指标见GB/T 222239-2008 。7.2 测评评实施本项要求包括：a) 应访谈系系统建设负责责人，询问在在信息系统建建设完成后是是否对其进行行安全性测试试验收；b) 应检查查工程测试验验收方案，查查看其是否明明确说明参与与测试的部门门、人员、测测试验收内容容、现场操作作过程

50、等内容容；c) 应检查查测试验收记记录是否详细细记录了测试试时间、人员员、现场操作作过程和测试试验收结果等等方面内容；d) 应检查查是否具有系系统测试验收收报告。7.3 结果果判定如果.2 a）-d）均为肯肯定，则信息息系统符合本本单元测评指指标要求，否否则，信息系系统不符合或或部分符合本本单元测评指指标要求。8 系统交付付8.1 测评评指标见GB/T 222239-2008 。8.2 测评评实施本项要求包括：a) 应访谈系系统建设负责责人，询问系系统交接工作作是否根据交交付清单对所所交接的设备备、文档、软软件等进行清清点；b) 应访谈谈系统建设负负责人，询问问目前的信息息系统是否由由内部人员

51、独独立运行维护护，如果是，系系统正式运行行前是否对运运行维护人员员进行过培训训，针对哪些些方面进行过过培训；c) 应检查查是否具有系系统交付清单单说明系统交交付的各类设设备、软件、文文档等；d) 应检查查是否具有系系统建设文档档、指导用户户进行系统运运维的文档、系系统培训手册册等。8.3 结果果判定如果.2 a）-d）均为肯肯定，则信息息系统符合本本单元测评指指标要求，否否则，信息系系统不符合或或部分符合本本单元测评指指标要求。9 安全服务务商选择9.1 测评评指标见GB/T 222239-2008 。9.2 测评评实施本项要求包括：a) 应访谈系系统建设负责责人，询问信信息系统选择择的安全服

52、务务商有哪些，是是否符合国家家有关规定；b) 应检查查是否具有与与安全服务商商签订的安全全责任合同书书或保密协议议等文档，查查看其内容是是否包含保密密范围、安全全责任、违约约责任、协议议的有效期限限和责任人的的签字等。9.3 结果果判定如果.2 a）和b）均为肯定定，则信息系系统符合本单单元测评指标标要求，否则则，信息系统统不符合或部部分符合本单单元测评指标标要求。5.2.5 系系统运维管理理1 环境管理理1.1 测评评指标见GB/T 222239-2008 。1.2 测评评实施本项要求包括：a) 应访谈系系统运维负责责人，询问是是否有专门的的部门或人员员对机房基础础设施进行定定期维护，由由何

53、部门/何人负责，维维护周期多长长；b) 应访谈谈系统运维负负责人，询问问对机房的出出入、服务器器开机/关机如何进进行管理；c) 应检查查机房安全管管理制度，查查看其内容是是否覆盖机房房物理访问、物物品带进/带出机房和和机房环境安安全等方面。1.3 结果果判定如果.2 a）-c）均为肯肯定，则信息息系统符合本本单元测评指指标要求，否否则，信息系系统不符合或或部分符合本本单元测评指指标要求。2 资产管理理2.1 测评评指标见GB/T 222239-2008 。2.2 测评评实施应检查资产清单单，查看其内内容是否覆盖盖资产责任部部门、责任人人、所处位置置和重要程度度等方面；2.3 结果果判定如果.2

54、 为肯定，则则信息系统符符合本单元测测评指标要求求，否则，信信息系统不符符合或部分符符合本单元测测评指标要求求。3 介质管理理3.1 测评评指标见GB/T 222239-2008 。3.2 测评评实施本项要求包括：a) 应访谈资资产管理员，询询问介质的存存放环境是否否采取保护措措施防止介质质被盗、被毁毁、介质内存存储信息被未未授权修改以以及非法泄漏漏等；b) 应访谈谈资产管理员员，询问是否否根据介质的的目录清单对对介质的使用用现状进行定定期检查；c) 应检查查介质管理记记录，查看其其是否记录介介质归档和查查询等情况。3.3 结果果判定本项要求包括：a) 如果5. a）中中在防火、防防水、防盗等

55、等方面均有措措施，则为肯肯定；b) 如果5.2.5.3.22 a）-c）均为肯肯定，则信息息系统符合本本单元测评指指标要求，否否则，信息系系统不符合或或部分符合本本单元测评指指标要求。4 设备管理理4.1 测评评指标见GB/T 222239-2008 。4.2 测评评实施本项要求包括：a) 应访谈资资产管理员，询询问是否有专专门的部门或或人员对各种种设备、线路路进行定期维维护，对各类类测试工具进进行有效性检检查，由何部部门/何人负责，维维护周期多长长；b) 应访谈谈资产管理员员，询问是否否对设备选用用的各个环节节（选型、采采购、发放和和领用等）进进行审批控制制；c) 应检查查设备安全管管理制度

56、，查查看其内容是是否明确对各各种软硬件设设备的选型、采采购、发放和和领用等环节节进行申报和和审批。4.3 结果果判定如果.2 a）-c）均为肯肯定，则信息息系统符合本本单元测评指指标要求，否否则，信息系系统不符合或或部分符合本本单元测评指指标要求。5 网络安全全管理5.1 测评评指标见GB/T 222239-2008 。5.2 测评评实施本项要求包括：a) 应访谈安安全主管，询询问是否指定定人员负责维维护网络运行行日志、监控控记录和分析析处理报警信信息等网络安安全管理工作作；b) 应访谈谈安全管理员员，询问是否否定期对网络络设备进行漏漏洞扫描，扫扫描周期多长长，发现漏洞洞是否及时修修补；c)

57、应检查查网络漏洞扫扫描报告，检检查扫描时间间间隔与扫描描周期是否一一致。5.3 结果果判定如果.2 a）-c）均为肯肯定，则信息息系统符合本本单元测评指指标要求，否否则，信息系系统不符合或或部分符合本本单元测评指指标要求。6 系统安全全管理6.1 测评评指标见GB/T 222239-2008 。6.2 测评评实施本项要求包括：a) 应访谈系系统管理员，询询问是否根据据业务需求和和系统安全分分析制定系统统的访问控制制策略，控制制分配信息系系统、文件及及服务的访问问权限；是否否及时安装最最新安全补丁丁程序和进行行漏洞修补，在在安装系统补补丁前是否对重要文件件进行备份；b) 应访谈谈安全管理员员，询

58、问是否否定期对系统统进行漏洞扫扫描，扫描周周期多长，发发现漏洞是否否及时修补；c) 应检查查系统漏洞扫扫描报告，检检查扫描时间间间隔与扫描描周期是否一一致。6.3 结果果判定如果.2 a）-c）均为肯肯定，则信息息系统符合本本单元测评指指标要求，否否则，信息系系统不符合或或部分符合本本单元测评指指标要求。7 恶意代码码防范管理7.1 测评评指标见GB/T 222239-2008 。7.2 测评评实施应访谈系统运维维负责人，询询问是否对员员工进行基本本恶意代码防防范意识的教教育，是否告告知应及时升升级软件版本本，使用外来来设备、网络络上接收文件件和外来计算算机或存储设设备接入网络络系统之前应应进

59、行病毒检检查等。7.3 结果果判定如果.2 为肯定，则则信息系统符符合本单元测测评指标要求求，否则，信信息系统不符符合或部分符符合本单元测测评指标要求求。8 备份与恢恢复管理8.1 测评评指标见GB/T 222239-2008 。8.2 测评评实施本项要求包括：a) 应访谈系系统管理员和和数据库管理理员，询问是是否识别出需需要定期备份份的业务信息息、系统数据据和软件系统统，主要有哪哪些；b) 应检查查备份管理文文档，查看其其是否明确备备份方式、备备份频度、存存储介质和保保存期等方面面内容。8.3 结果果判定如果.2 a）和b）为肯定，则则信息系统符符合本单元测测评指标要求求，否则，信信息系统不

60、符符合或部分符符合本单元测测评指标要求求。9 安全事件件处置9.1 测评评指标见GB/T 222239-2008 。9.2 测评评实施本项要求包括：a) 应访谈系系统运维负责责人，询问是是否告知用户户在发现安全全弱点和可疑疑事件时应及及时报告；b) 应检查查安全事件报报告和处置管管理制度，查查看其是否明明确安全事件件的现场处理理、事件报告告和后期恢复复的管理职责责。9.3 结果果判定如果.2 a）和b）为肯定，则则信息系统符符合本单元测测评指标要求求，否则，信信息系统不符符合或部分符符合本单元测测评指标要求求。6 第二级信息息系统单元测测评6.1 安全技技术测评6.1.1 物物理安全1 物理位