Get清风52SGISLOPSA9210系统建设管理等级保护测评作业指导书四级

52-SGISLOP-SA92-10-系统建设管理等级保护测评作业指导书修改页版号/版号/L/OPL/OP应明确信息系统的应明确信息系统的边界和平安保护等级测评项名称信息系统边界和平安保护等级访谈管理员，询问是否明确了信息系统的边界范围，是否明确系统平无如果信息系统边界范围明确，确定了系统平安保护等级，判定结果为如果信息系统边界范围不明确，或未确定系统平安保护等级，判定结应以书面的形式说明确定信息系统为某个平安保护等级的方法和理由测评项名称信息系统定级方法和理由访谈管理员，询问系统定级是否参照定级指南的指导，是否对其进行明确描述，说明确定系统为某个平安保护等级的方法和理由，是否有无如果系统定级参照定级指南的指导，有书面相关的说明，说明确定系；如果系统定级未参照定级指南的指导，或无书面相关的说明，未能说。ADT-JSGL-0应组织相关部门和有关平安技术专家对信息系统定级结果的合理性和正确性进测评项名称定级结果论证和审定访谈管理员，询问系统定级是否组织相关部门和有关平安技术专家对无如果组织相关部门和有关平安技术专家对定级结果进行论证和审定，如果未组织相关部门和有关平安技术专家对定级结果进行论证和审。应确保信息系统的定级结果经过相关部测评项编号ADT-JSGL-0对应要求D门的批准测评项名称定级结果经过相关部门批准询问系统定级记录是否经过相关部门〔如上级主管部门〕适用版本任何版本实施风险无合。应根据系统的平安保护等级选择根本平测评项编号ADT-JSGL-0对应要求安措施，依据风险分析的结果补充和调测评项名称选择根本平安措施及补充调整访谈管理员，询问是否根据系统的平安保护等级选择根本平安措施，适用版本任何版本实施风险无如果根据系统的平安保护等级选择根本平安措施，依据风险分析的结如果未根据系统的平安保护等级选择根本平安措施，或未依据风险分应指定和授权专门的部门对信息系统的平安建设进行总体规划，制定近期和远设工作方案测评项名称平安建设总体规划访谈管理员，询问是否指定和授权专门的部门对信息系统的平安建设进行总体规划，制定近期和远期的平安建设工作方案，查看工作方案。无如果有专门的部门对信息系统的平安建设进行总体规划，有平安建设如果无专门的部门对信息系统的平安建设进行总体规划，无平安建设应根据信息系统的等级划分情况，统一考虑平安保障体系的总体平安策略、平安技术框架、平安管理策略、总体建设规划和详细设计方案，并形成配套文件测评项名称细化系统平安方案访谈管理员，询问是否根据信息系统的等级划分情况，统一考虑平安保障体系的总体平安策略、平安技术框架、平安管理策略、总体建设方案。无应组织相关部门和有关平安技术专家对总体平安的策略、平安技术框架、平安管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定，并且经过批准后，才能测评项名称平安技术专家论证和审定访谈管理员，询问平安建设方案是否经过专家的详细周全的论证和讨无如果平安建设方案经过专家的详细周全的论证和讨论，判定结果为符如果平安建设方案未经过专家的详细周全的论证和讨论，判定结果为应根据等级测评、平安评估的结果定期调整和修订总体平安策略、平安技术框架、平安管理策略、总体建设规划、详细设计方案等相关配套文件测评项名称平安方案调整和修订访谈管理员，询问是否根据等级测评、平安评估的结果定期调整和修订总体平安策略、平安技术框架、平安管理策略、总体建设规划、详细设计方案等相关配套文件；询问调整和修订的周期，检查相应的调无如果定期根据等级测评、平安评估的结果调整平安方案，判定结果为如果未定期根据等级测评、平安评估的结果调整平安方案，判定结果产品采购和使用ADT-JSGL-0应确保平安产品采购和使用符合国家有测评项编号对应要求3-A关规定测评项名称平安产品采购和使用符合国家有关规定合国家有关规定，无如果系统采购和使用的平安产品符合国家有关规定，得到国家相关部如果系统采购和使用的平安产品不符合国家有关规定，或未得到国家符合国家密码主管部门要求ADT-JSGL-0测评项编号对应要求应确保密码产品采购和使用符合国家密部门的要求测评项名称保密码产品采购和使用符合国家密码主管部门要求访谈管理员，询问系统采购和使用的密码产品是否符合国家密码主管适用版本任何版本实施风险无如果系统采购和使用的密码产品符合国家有关规定，得到国家相关部如果系统采购和使用的密码产品不符合国家有关规定，或未得到国家ADT-JSGL-0测评项编号对应要求测评项名称专门部门负责产品采购应指定或授权专门的部门负责产品的采购无；ADT-测评项名称预先产品选型测试应预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产访谈管理员，询问制定采购过程的控制策略，采购前对产品做选型测试，对重要部位的产品是否委托专业的测评单位进行专项测试，确定产品的候选范围，通过招投标方式确定采购产品，是否认期审定和更无无如果有采购控制策略，采购前对产品做选型测试，确定产品的候选范围，通过招投标方式确定要采购的产品，定期审定和更新候选产品名如果无采购控制策略，采购前未对产品做选型测试，确定产品的候选范围，或未通过招投标方式确定要采购的产品，定期审定和更新候选应确保开发环境与实际运行环境物理分测评项编号ADT-JSGL-0对应要求4-A开，测试数据和测试结果受到控制测评项名称开发环境与实际运行环境物理分开，测试数据和测试结果受到控制需访谈管理员是否自主开发软件，查看开发环境，开发环境与实际运操作步骤行环境物理上是否分开；查看软件开发是否有控制措施，对测试数据适用版本任何版本实施风险无如果开发环境与实际运行环境物理上未分开，未制定软件开发的控制定结果为不符合。应制定软件开发管理制度，明确说明开过程的控制方法和人员行为准那么测评项名称软件开发管理制度访谈管理员，检查软件开发管理制度，查看文件是否明确软件设计、开发、测试、验收过程的控制方法和人员行为准那么，是否明确哪些理等。无如果有软件开发管理制度，对软件的开发过程和人员进行管理，判定如果无软件开发管理制度，对软件的开发过程和人员进行管理，判定应制定代码编写平安标准，要求开发人测评项名称代码编写平安标准访谈管理员，检查是否有代码编写平安标准，开发人员参照标准编写无如果无代码编写平安标准，开发软件未参照标准编写，判定结果为不ADT-JSGL-0应确保提供软件设计的相关文档和使用人负责保管测评项名称软件设计相关文档和使用指南无授权和批准应应确保对程序资源库的修改、更新、发权和批准测评项名称程序资源库修改、更新、发布进行授权和批准访谈管理员，查看是否制定软件开发管理制度，对程序资源库的修改、适用版本任何版本实施风险无如果有软件开发管理制度，对程序资源库的修改、更新、发布进行授如果无软件开发管理制度，对程序资源库的修改、更新、发布进行授测评项编号ADT-JSGL-0对应要求应根据开发要求测试软件质量测评项名称软件质量测试无如果软件交付使用前，根据相关的要求测试软件的质量，判定结果为如果软件交付使用前，未根据相关的要求测试软件的质量，判定结果ADT-JSGL-0应在软件安装之前检测软件包中可能存测评项名称检测软件包恶意代码访谈管理员，在软件安装使用前是否有恶意代码检测的规定，是否进无如果在软件安装使用前有进行恶意代码检测的规定，并进行了恶意代如果在软件安装使用前无进行恶意代码检测的规定，未进行了恶意代应要求开发单位提供软件设计的相关文测评项编号ADT-JSGL-0对应要求C档和使用指南测评项名称软件设计相关文档和使用指南文档、使用指南，适用版本任何版本实施风险无ADT-JSGL-0应要求开发单位提供软件源代码，并审存在的后门测评项名称软件源代码检查访谈管理员，是否要求开发单位提供软件源代码，是否审查软件中可无如果有开发单位提供软件源代码，在软件安装前对软件中可能存在的如果无开发单位提供软件源代码，在软件安装前对软件中可能存在的测评项编号ADT-JSGL-0对应要求测评项名称工程实施管理应指定或授权专门的部门或人员负责工过程的管理访谈管理员，询问是否指定或授权专门的部门或人员负责工程实施过无无；如果未应用专门的部门或人员负责工程实施和管理，判定结果为不符应制定详细的工程实施方案控制实施过程，并要求工程实施单位能正式地执行测评项名称工程实施方案制工程实施过程，是否要求工程实施单位能正式地执行平安工程过程，查看工程实施方无如果有工程实施方案，工程实施单位正式地执行平安工程过程，判定如果无工程实施方案，工程实施单位未正式地执行平安工程过程，判应制定工程实施方面的管理制度明确说明实施过程的控制方法和人员行为准那么测评项名称工程实施管理制度操作步骤访谈管理员，询问是否制定了工程实施方面的管理制度，对工程实施的进度、质量、过程等方面进行标准，是否将控制方法和工程人员行为标准制度化，否以书面形式〔如工程平安建设协议〕约束工程实施无如果有工程实施方面的管理制度，工程实施过程、控制方法、人员行如果无工程实施方面的管理制度，工程实施过程、控制方法、人员行收应委托工程的第三方测试单位对系统进行平安性测试，并出具平安性测试报告测评项名称第三方平安性测试访谈管理员，询问在信息系统正式运行前，是否委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的平安性测试，并出具无如果在信息系统正式运行前，委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的平安性测试，有平安性测试报告，判定如果在信息系统正式运行前，未委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的平安性测试，无平安性测试报告，判ADT-JSGL-0在测试验收前应根据设计方案或合同要求等制定测试验收方案，在测试验收过程中应详细记录测试验收结果，并形成测评项名称平安性测试验收报告访谈管理员，询问在信息系统正式运行前，是否根据设计方案或合同要求制订测试验收方案，对信息系统进行测试，并详细记录测试结构，无如果在信息系统正式运行前，制订测试验收方案，对信息系统进行测如果在信息系统正式运行前，未制订测试验收方案，对信息系统进行应对系统测试验收的控制方法和人员行测评项编号ADT-JSGL-0对应要求7-C为准那么进行书面规定测评项名称书面规定测试验收的控制方法和人员行为准那么访谈管理员，询问是否有测试管理制度，对系统测试验收的控制方法适用版本任何版本实施风险无如果有测试管理制度，对系统测试验收的控制方法和人员行为准那么如果无测试管理制度，未对系统测试验收的控制方法和人员行为准那ADT-测评项名称系统测试验收授权及完成应指定或授权专门的部门负责系统测试验收的管理，并按照管理规定的要求完试的验收工作访谈管理员，询问是否指定或授权专门的部门负责系统测试验收的管无ADT-JSGL-0应组织相关部门和相关人员对系统测试验收报告进行审定，并签字确认测评项名称测试验收报告审定访谈管理员，询问是否组织相关部门和相关人员对系统测试验收报告无如果组织了相关部门和相关人员对系统测试验收报告进行审定，判定如果未组织相关部门和相关人员对系统测试验收报告进行审定，判定应制定详细的系统缴费清单，并根据交测评项编号ADT-JSGL-0对应要求付清单对所交接的设备、软件和文档等测评项名称系统交付清单访谈管理员，询问是否有交接手续，是否制订系统交付清单，交付清单是否满足合同的有关要求，是否根据交付清单对所交接的设备、软适用版本任何版本实施风险无如果有交接手续，有系统交付清单，交付清单满足合同的有关要求，应对负责系统运行维护的技术人员进应对负责系统运行维护的技术人员进行能培训测评项名称运行维护技术人员技能培训访谈管理员，询问目前的信息系统是否由内部人员独立运行维护，如果是，系统建设实施方是否对运维技术人员进行过培训，针对哪些方面进行过培训，是否以书面形式承诺对系统运行维护提供一定的技术支持效劳，是否按照效劳承诺书的要求进行过技术支持，以何形式进操作步骤无如果系统由内部人员独立运行维护，系统建设实施方应对运维技术人如果系统由内部人员独立运行维护，系统建设实施方应对运维技术人ADT-JSGL-0应确保提供系统建设过程中的文档和指系统运行维护的文档测评项名称系统运行维护文档访谈管理员，询问系统建设实施方是否提供了建设过程中的使用的文无如果有系统建设实施方是否提供的建设过程中的使用的文档和指导用如果无系统建设实施方是否提供的建设过程中的使用的文档和指导用应对系统交付的控制方法和人员行为准测评项编号ADT-JSGL-0对应要求D那么进行书面规定测评项名称书面规定系统交付的控制方法和人员行为准那么访谈管理员，询问是否有交付管理制度，对系统交付的控制方法和人适用版本任何版本实施风险无如果有系统交付管理制度，对系统交付的控制方法和人员行为准那么如果无系统交付管理制度，对系统交付的控制方法和人员行为准那么应指定或授权专门的部门负责系统交付测评项编号ADT-JSGL-0对应要求的管理工作，并按照管理规定的要求完测评项名称系统交付管理工作授权及完成访谈管理员，询问是否指定或授权专门的部门负责系统交付的管理，适用版本任何版本实施风险无应指定专门的部门或人员负责管理系统测评项编号ADT-JSGL-0对应要求定级的相关材料，并控制这些材料的使用测评项名称系统定级材料管理访谈管理员，询问是否有专门的人员或部门负责管理系统定级、系统无对这些文档的使用有控制措施，如限制使用范围、使用登记记录等，对这些文档的使用有控制措施，如限制使用范围、使用登记记录等，应将系统等级的相关材料报系统主管部测评项名称系统主管部门备案访谈管理员，询问是否将系统定级文档和系统属性说明文件等材料报无如果将系统定级文档和系统属性说明文件等材料报主管部门备案，有如果未将系统定级文档和系统属性说明文件等材料报主管部门备案，。应将系统等级及其他要求的备案材料报测评项编号ADT-JSGL-0对应要求9-C送相应公安机关备案测评项名称备案材料报送相应公安机关备案访谈管理员，询问是否将系统定级文档和系统属性说明文件等材料报适用版本任何版本实施风险无如果将系统定级文档和系统属性说明文件等材料报公安机关备案，有如果未将系统定级文档和系统属性说明文件等材料报公安机关备案，在系统运行过程中，应至少每年对系在系统运行过程中，应至少每年对系统进行一次等级测评，发现不符合相应等准要求的及时整改测评项名称每年一次等级测评及整改访谈管理员，询问在系统运行过程中，多长时间对系统进行一次等级无如果至少每年对系统进行一次等级测评，对于发现不符合相应等级保如果未到达至少每年对系统进行一次等级测评，对于发现不符合相应等级保护标准要求能够及时整改，或无整改记录，判定结果为不符合。应在系统发生变更时及时对系统进行等级测评，发现级别发生变化的及时调整级别并进行平安改造；发现不符合相应级保护标准要求的及时整改测评项名称系统变更进行等级测评操作步骤发现级别发生变化能否及时调整级别并进行平安改造；发现不符合相无如果在系统发生变更时能及时对系统进行等级测评，发现级别发生变化能及时调整级别并进行平安改造；发现不符合相应等级保护标准要应选择具有国家相关技术资质和平安资测评项编号ADT-JSGL-1对应要求0-C质的测评单位进行等级测评测评项名称