DB11T 1344-2016 信息安全等级保护检查规范

DB11北京市质量技术监督局发布 杨潇、石浩、王佳、赵勇、罗铮、袁静、于东升、霍珊珊、刘健、张益信息安全等级保护检查规范检查人员使用预定的方法/工具使被检查对象（各类设备或安全配置）产生特定的结果，将运行结——制定检查组工作计划，计划内容应包括检查对象、检查针对被检查单位信息系统安全保护能力出具书面结若机房出入口没有进出机房的人员登记记录，则检查结果b)查验机房是否配备符合要求的灭火设备，灭火设备摆放是否合理，有效期是b)若机房内没有配备符合要求的灭火设备，灭火设备摆放不合理或已c)若机房内没有配备温湿度自动调节设施，或当前温若网络拓扑图中无法定位核心交换机、核心服务器、边界防火墙等关键b)若没有部署入侵检测设备或入侵检测设备的特征库未及时更新，则查验主要网络设备、服务器操作系统、数据库管理系统和应用系统的身份鉴别查验主要服务器操作系统和重要数据库管理系统是否已禁用或者限制匿名/默认账户的访a)操作系统和数据库管理系统默认账户名未重命名，默认口令），若缺乏主要网络设备、主要数据库管理系统和主要应用系统的重要信息的备份介质，则查验系统、网络、安全方面的管理规定，记录系统管理员、网络管理员、数据库管理员、安若信息安全管理制度（网络、主机、密码、审计等制度）中没有明确角色和职责定义，没有若没有制定日常信息安全管理制度，如机房管a)查验关键岗位人员的劳动合同，记录负责人员录用的b)查验离岗人员办理过的调离手续记录，记录离岗员工被终止的访问应检查系统设计、系统实施、系统验收、系统运维等生命周期各阶段的安全管理制度和相应a)查验定级报告，记录定级报告名称和盖b)查验安全设计方案，记录安全设计h)查验设备管理的部门名称或人员姓名，记录部门名称或人员姓名，查验设a)若无法提供系统定级报告书，无单位信息安全领导（小组h)若无法提供设备管理的部门名称或人员姓名及设备维护记录，则查验机房所在楼宇的验收报告是否明确机房所在建筑的防震、防风和若无法提供机房所在建筑物楼宇的验收报告，或未采取防风和防雨等措a)查验机房所有出入口是否有值守记录以及进出机b)查验是否有来访人员进入机房的审批记录，正常工作，查看是否有运行记录、报警记录、定期d)访谈物理安全负责人，询问机房主要设备是正常工作，运行记录、报警记录、定期检查和维修记录缺失，则6a)查验防火墙等边界安全设备是否配置网b)查验网络边界设备是否采取技术手段防d)查验边界完整性检查设备是否设置了对非法连接到外网的行为进c)若没有部署入侵检测设备或入侵检测设备的特征库b)查验操作系统、应用系统是否具备登录失败账户a)查验主要服务器操作系统和重要数据库管理系统是否已禁用或a)操作系统和数据库管理系统默认账户名未重），a)查验网络设备、操作系统、数据库和应用系统是否具备了审计日志;a)不具备网络设备、操作系统、数据库和应a)查验网络设备的配置文件中用户口令是否加密存储；b)查验应用系统存储用户信息的数据表中用户口令字段是否加密存储；息安全管理岗位人员名单，未设置专职的信息安全管理员，或安全管理员存在兼任现象，则应检查信息安全工作的总体方针和安全策略制定、发布方式和定期评审修评审人员和评审结论，修订记录是否至少包b)若安全管理制度没有采用文件、邮件或办公网等密范围、保密责任、违约责任、协议有效期和责姓名、调离岗位、调离时间、收回权限及物品、核对人签字、批准人地点等，查验培训记录是否至少包括培训人员、培训内容、培训结果应检查系统设计、系统开发、系统实施、系统测评、系统验收、系统交付、系统运维等生命若为外包软件开发，请被检查机构的配合人员提供软件的恶意代码检测记录和用的管理规定；查验信息处理设备带离机房或办公地点的统漏洞扫描报告，扫描时间间隔与扫描周期是否一致；查验系统安全管理制度，内容是否覆变更申报、审批程序，是否规定需要申报的变更类型、申报流程、审批部门、批准人等方面a)若无法提供系统定级报告书，无单位信o)若无法提供变更管理制度，或内容未覆盖系统上线变更、配置变更和其他重要变更等，则a)若无法提供业务中断影响分析报告，内容未包括业务中断的可能性和造成的影响分析，则c)若无法提供备份与恢复管理相关的安全管理制度，未明确系统和数据备份频率和方式，则a)查验机房所在楼宇的验收报告是否明确a)若无法提供机房所在建筑物楼宇的验收b)查验是否有来访人员进入机房的审批记录，查验审批记录是否包d)查验电子门禁系统是否能正常工作；是否正常工作，是否有运行记录、报警记录、定期检b)若机房内没有设置对水敏感的检测仪表或元件对），绝服务攻击等，查看其规则库是否为最新，并对发现的入侵e)查验边界完整性检查设备是否设置了对非法连接到外网和非法连接到内网的行为进行监控并应检查网络设备、操作系统、数据库管理系统和应用系统的身份鉴别措施、口令策略和强化默认口令、空口令，设置少于8位且仅由数字或字母组成的口令，则7.2.3.2a）检查结果为a)查验主要服务器操作系统和重要数据库管理系统是否已禁用或a)操作系统和数据库管理系统默认账户名未重），），权书名称；通过访谈了解是否成立信息安全管理工作的职能部门，并检查安全主管的职责范录和报告，核对记录是否至少包括检查时间、检查人员、检查对象、检查结果，核对报告是安全工作的总体方针、抽查的安全策略文档名称、抽查的管理制度名称、抽查的操作规程名评审人员和评审结论，修订记录是否至少包），应检查重要岗位人员劳动合同、保密协议、人员培训、考核记录、人员离岗管理制度和离岗姓名、调离岗位、调离时间、收回权限及物品、承诺的保密义务、核对人签字、批准人签字记录是否至少包括考核时间、考核对象、考核内容、考核和培训记录，核对培训记录是否至少包括培训人员、培训内容、培训结应检查系统设计、系统开发、系统实施、系统测评、系统验收、系统交付、系统运维等生命等级保护备案表》、系统拓扑结构及说明、系统安全组织机构和管理制度、系统安全保护设施设计实施方案或者改建实施方案、系统使用的信息安全产品清单及其认证、销售许可证明副本、信息系统安全保护等级专家评审意见、主管部门审核批准信息系统安全保护等级的意有无代码编写安全规范；若为外包软件开发，查验软件的恶意代码检测记录和称及数量、文档名称及数量等；查验系统交付后的培训记录，核对培训记录是否至少包括培测评机构是否是《全国等级保护测评机构推荐目录》查验工作人员离开情况下终端计算机的状态是否为锁定状态，桌面是否没有包含敏感信息的少包括资产管理和使用的行为；核对是否对数据信息的分类与标识方法作出规定，查阅信息用的管理规定；查验信息处理设备带离机房或办公地点的审批记录；查验配套设施、软硬件计等安全相关事项的集中监控和管理；查验监测与报警记录与分存时间、口令更新周期等方面内容；通过访谈了解是否定期对网络设备进行漏洞扫描，记录严重级别和结果处理等方面，扫描时间间隔与扫描周期是统漏洞扫描报告，确认扫描时间间隔与扫描周期是否一致；查验系统安全管理制度，内容是否覆盖系统安全策略、安全配置、日志管理和日常操作流程等方面；通过访谈询问是否指定专门的部门或人员负责系统管理，询问是否对系统管理员用户进行分类，明确各个角色的权的升级情况，对截获的危险病毒或恶意代码是否及时进行分析处理，查验书面的报表和总结汇报；查验恶意代码检测记录、恶意代码库升级记录和分析报告，查验升级记录是否记录升级时间、升级版本等内容，查验分析报告是否描述恶意代码的特征、修补措施变更申报、审批程序，是否规定需要申报的变更类型、申报流程、审批部门、批准人等方面b)若无法提供符合公安机关要求的定级备案材料，资料不完整，未获得公安机关备案证明，则开发，无法提供软件的恶意代码扫描记录和检测收应至少包含应用安全，网络环境验收应至少包含网络安全等），或无测试报告结果的评审和分类方法、信息存储和保存发放等；无法提供资产借出/收回记等安全相关事项的集中监控和管理；未配置报警策略，未根据监控和报警情况进行汇报和处流程等方面；无法提供定期对服务器进行漏洞扫描的报告，未指定专人负责系统的运维，则病毒库不是最新；或对恶意代码事件未及时变更流程，没有变更审批、过程记录和通报记据备份频率和方式，或数据备份频率和方式不能够满足RTO和RPO目标值；未定期进行数据恢应急处理流程、系统恢复流程、事后教育和培训等内容；或未定期开展应急预案培训和演练a)查验机房所在楼宇的验收报告是否明确a)若无法提供机房所在建筑物楼宇的验收是否正常工作，是否有运行记录、报警记录、定期检过机房灭火设备的使用培训，是否能够正确使用灭火设备和自动消防系统；是否能够做到随动消防系统的设计或验收文档，文档是否与现有消防配置状况一致；查验是否有机房及相关或并行的电力电缆线路以及备用供电系统等要求；查验与机房电力供应实际情m)若机房内没有设置短期备用电源设备（如UPS）或备用供电系统，电力换时不能够对计算机系统正常供电，或备用供电系统不能够在规定时间内正常启动和正常供），绝服务攻击等，查看其规则库是否为最新，并对发现的入侵e)查验边界完整性检查设备是否设置了对非法连接到外网和非法连接到内网的行为进行监控并应检查网络设备、操作系统、数据库管理系统和应用系统的身份鉴别措施、口令策略和强化默认口令、空口令，设置少于8位且仅由数字或字母组成的口令，则8.2.3.2a）检查结果为a)查验主要服务器操作系统和重要数据库管理系统是否已禁用或数据库表、记录和字段级；以不同权限的用户登录应用系统，查看其拥有的权限是否与系统a)操作系统和数据库管理系统默认账户名未重），现了对审计记录的保护，日志信息是否至少保），权书名称；通过访谈了解是否成立信息安全管理工作的职能部门，并检查安全主管的职责范和安全检查报告，核对记录是否至少包括检查时间、检查人员、检查对象、检查结果，核对安全工作的总体方针、抽查的安全策略文档名称、抽查的管理制度名称、抽查的操作规程名本号；若制定了带有密级的安全管理制度，询问并记录安全管理制评审人员和评审结论，修订记录是否至少包括修订时间、修订内容、修订人等信息；查验不），应检查重要岗位人员劳动合同、保密协议、人员培训、考核记录、人员离岗管理制度、离岗姓名、调离岗位、调离时间、收回权限及物品、承诺的保密义务、核对人签字、批准人签字记录是否至少包括考核时间、考核对象、考核内容、考核结果等；检查保密制度，记录保密和培训记录，核对培训记录是否至少包括培训人员、培训内容、培训结应检查系统设计、系统开发、系统实施、系统测评、系统验收、系统交付、系统运维等生命安全等级保护备案表》、系统拓扑结构及说明、系统安全组织机构和管理制度、系统安全保护设施设计实施方案或者改建实施方案、系统使用的信息安全产品清单及其认证、销售许可证明副本、信息系统安全保护等级专家评审意见、主管部门审核批准信息系统安全保护等级的意见；查验重要部位的产品是否委托专业测评单位进行专项测试，抽查测试有无代码编写安全规范；查验开发人员是否为专职，记录开发活动受到控制、监视和审查的措施；若为外包软件开发，请被检查机构的配合人员提供软件的恶意代码检测记录称及数量、文档名称及数量等；查验系统交付后的培训记录，核对培训记录是否至少包括培测评机构资质是否是《全国等级保护测评机构推荐目录》查验工作人员离开情况下终端计算机的状态是否为锁定状态，桌面是否没有包含敏感信息的少包括资产管理和使用的行为；核对是否对数据信息的分类与标识方法作出规定，查阅信息用的管理规定；查验信息处理设备带离机房或办公地点的审批记录；查验配套设施、软硬件计等安全相关事项的集中监控和管理；查验监测与报警记录与分存时间、口令更新周期等方面内容；通过访谈了解是否定期对网络设备进行漏洞扫描，记录严重级别和结果处理等方面，扫描时间间隔与扫描周期是否一致；查验是否明确禁止便携式统漏洞扫描报告，扫描时间间隔与扫描周期是否一致；查验系统安全管理制度，内容是否覆盖系统安全策略、安全配置、日志管理和日常操作流程等方面；通过访谈询问是否指定专门的部门或人员负责系统管理，询问是否对系统管理员用户进行分类，明确各个角色的权限、的升级情况，对截获的危险病毒或恶意代码是否及时进行分析处理，查验书面的报表和总结汇报；查验恶意代码检测