信息安全技术重要信息基础设施安全保护与评估要求

ICS35.240CCSL70DB11DB11/XXXXX—2024Informationsecuritytechnology-CybersecurityprotectionandassessmentrequirementforImportantinformationinfrastructure（征求意见稿）XXXX-XX-XX发布XXXX-XX-XX实施北京市市场监督管理局发布IDB11/XXXXX—20XX前言 II 1 12规范性引用文件 13术语和定义 14缩略语 1 25.1安全通信网络 25.2安全区域边界 25.3安全计算环境 25.4安全管理中心 25.5安全管理制度 25.6安全组织机构 35.7安全管理人员 35.8安全数据 35.9供应链安全管理 3 36安全保护要求 36.1网络安全等级保护 36.2安全通信网络 36.3安全区域边界 36.4安全计算环境 36.5安全管理中心 46.6安全数据 46.7安全管理制度 56.8安全组织机构 66.9安全管理人员 66.10供应链安全管理 6 77安全评估要求 87.1安全评估方法 87.2安全评估要求 97.3安全评估结论 参考文献 IIDB11/XXXXX—20XX本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。本文件由北京市公安局、北京市网信办共同提出并归口。本文件由北京市公安局、北京市网信办共同组织实施。本文件起草单位：XXXX本文件主要起草人：XXXX1DB11/XXXXX—20XX《网络安全法》和《关键信息基础设施安全保护条例》的出台，极大地推动了我国网络安全保护工作的发展，北京市作为首都所在城市，立足全国政治中心、文化中心、国际交往中心、科技创新中心“四个中心”的核心功能定位，部分重要信息系统一旦发生严重网络安全事件可能引发全球关注，故北京市建立实施重要信息基础设施安全保护制度。本标准作为北京市重要信息基础设施安全保护制度需配套技术性标准规范，针对北京市的重要信息基础设施，在等级保护基本要求的基础上，提出增强型和补充型的安全要求，加强安全保障措施，提高重要信息基础设施的攻防实战能力。1DB11/XXXXX—20XX重要信息基础设施安全保护与评估要求1范围本文件规定了重要信息基础设施在《信息安全技术网络安全等级保护基本要求》(GB/T22239—2019)基础上的增强型安全保护要求，以及评估要求，包括安全评估方法、安全评估要求、安全评估结论。本文件适用于重要信息基础设施运营者开展全生存周期安全保护，同时指导测评机构、监督指导部门开展重要信息基础设施的检测评估工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22239信息安全技术网络安全等级保护基本要求GB/T30285信息安全技术灾难恢复中心建设与运维管理规范GB/T31506—2022信息安全技术政务网站系统安全指南GB/T35273—2020信息安全技GB/T37046信息安全技术灾难恢复能力评估准则3术语和定义GB/T25069-2022中界定的以及下列术语和定义适用于本文件。依据相关政策、程序认定的，在公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能危害国家安全、国计民生、公共利益的网络设施、信息系统等。4缩略语下列缩略语适用于本文件。CPC：网络安全等级保护（ClassifiedProtectionofCybersecurity）CNS：安全通信网络（CommunicationNetworkSecurity）ABS：安全区域边界（AreaBoundarySecurity）SES：安全计算环境（SecurityEquipmentSystem）SMC：安全管理中心（SecurityManagementCenter）2DB11/XXXXX—20XXPSS：安全管理制度（PolicyandSystemSecurity）ORS：安全管理机构（OrganizationandResourceSecurity）HRS：安全管理人员（HumanResourceSecurity）SCS：供应链安全管理（SupplyChainSecurity）AI：资产识别（AssetIdentification）IA：检测评估（InspectionAssessment）MW：监测预警（MonitoringandWarning）IH：事件处置（IncidentHandling）ED：应急演练（EmergencyDrill）DCS：安全数据采集（DataCollectionSecurity）DTS：安全数据传输（DataTransmissionSecurity）DSS：安全数据存储（DataStorageSecurity）DPS：安全数据处理（DataProcessingSecurity）DES：安全数据交换（DataExchangeSecurity）DDS：安全数据销毁（DataDestructionSecurity）DMZ：非军事化区（DemilitarizedZone）5概述在满足网络安全等级保护第三级要求的基础上，由安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全数据、安全管理制度、安全组织机构、安全管理人员、供应链安全管理和安全运营等部分提出安全要求。5.2安全通信网络在（GB/T22239-2019）《信息安全技术网络安全等级保护基本要求》的基础上，对通信网络的保密性、完整性和可用性提出更高的和补充的安全要求。5.3安全区域边界在（GB/T22239-2019）《信息安全技术网络安全等级保护基本要求》的基础上，为防止入侵行为和非法访问，对内外网络区域的边界处提出更高的和补充的安全要求。5.4安全计算环境在（GB/T22239-2019）《信息安全技术网络安全等级保护基本要求》的基础上，为防止操作系统、数据库系统和应用程序的安全，对重要信息基础设施提出更高的和补充的安全要求。5.5安全管理中心在（GB/T22239-2019）《信息安全技术网络安全等级保护基本要求》的基础上，为实现对重要信息基础设施进行集中管控，提出更高的和补充的安全要求。5.6安全管理制度在（GB/T22239-2019）《信息安全技术网络安全等级保护基本要求》的基础上，为规范和指导3DB11/XXXXX—20XX重要信息基础设施的网络安全工作，对网络安全相关管理制度提出更高的和补充的安全要求。5.7安全组织机构在（GB/T22239-2019）《信息安全技术网络安全等级保护基本要求》的基础上，对重要信息基础设施的网络安全工作组织机构提出更高的和补充的安全要求。5.8安全管理人员在（GB/T22239-2019）《信息安全技术网络安全等级保护基本要求》的基础上，对重要信息基础设施的网络安全相关人员管理内容提出更高的和补充的安全要求。5.9安全数据在（GB/T22239-2019）《信息安全技术网络安全等级保护基本要求》的基础上，对重要信息基础设施承载的重要数据全生命周期安全提出要求，包括数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全和数据销毁安全。5.10供应链安全管理在（GB/T22239-2019）《信息安全技术网络安全等级保护基本要求》的基础上，提出重要信息基础设施供应链管理过程中的安全要求。5.11安全运营在（GB/T22239-2019）《信息安全技术网络安全等级保护基本要求》的基础上，提出各类安全运营活动的要求，包括资产识别、检测评估、监测预警、事件处置和应急演练。6安全保护要求6.1网络安全等级保护网络安全等级保护应落实网络安全等级保护工作，且不低于网络安全等级保护第三级基本要求。6.2安全通信网络安全通信网络宜采用至少两条不同运营商的通信线路，以确保通信线路连接的高可用性，并能实现通信线路的故障实时检测和链路自动切换。6.3安全区域边界安全区域边界要符合以下要求：a)应在每个网络区域间采取网络隔离措施，防止网络内部的攻击横向移动；b)应禁止将数据库服务器部署在互联网用户直接访问的网络区域；c)应对跨网络区域边界的网络通信采取安全保护措施，保证跨网络区域通信双方的身份真实性，授予最小访问控制权限。6.4安全计算环境安全计算环境要符合以下要求：a)宜采用信创设备；4DB11/XXXXX—20XXb)设备使用一定期限后，如无法满足业务或安全需求，宜进行更换或升级；c)应实现服务器操作系统用户和数据库系统用户的权限分离；d)应采用密码技术保证数据库口令在配置文件中的保密性；e)应授予API接口所需数据库访问的最小权限；f)应对数据库实例和中间件控制台进行远程管理的终端进行网络地址限制；g)应用系统应强制要求用户修改默认口令；h)应利用防伪技术等保证政务类网站标识不被恶意篡改；i)应利用网页防篡改系统、人工自检或第三方安全服务等方式实时探测网站内容，及时发现黑页、暗链、页面篡改等行为；j)政务类web系统采用Web应用、APP程序或公众号等形式发布内容时，应具有内容发布、撤销、推送、转载、链接的审核功能，且网站内容编辑与审核发布权限分离；k)对高可用要求的信息系统，宜具有GB/T37046四级及以上灾难恢复服务能力；l)应限制政务网站系统内容管理平台的远程登录方式或登录地址；m)应能够有效屏蔽系统技术错误信息，不得将系统产生的错误信息直接或间接反馈到前台界面；n)互联网政务应用应使用安全连接方式访问，涉及的电子认证服务应由依法设立的电子政务电子认证服务机构提供。6.5安全管理中心安全管理中心要符合以下要求：a)应对重要设备运行状态进行集中监测和集中分析，对于政务网站系统按照GB/T31506—20226.6.4a）安全监测相关的要求进行web类系统安全监测；b)宜能够对每个网络区域的网络流量进行安全监测，通过分析网络流量模式，实现对异常行为的报警；c)宜对网络攻击事件进行溯源分析，实现IP地址和端口定位，并能够进行及时封堵；d)应具有整体态势感知能力，可实现对系统日志和安全设备报警记录综合分析，互联网政务系统的日志保存时间不小于1年；e)对于向互联网提供服务的信息系统，应定期开展互联网暴露面检测与优化，并对互联网边界与核心流量进行集中监测与分析；f)宜采用自动化探测工具，持续进行网络中软硬件资产发现，并能对异常软硬件资产信息进行告警。6.6安全数据6.6.1安全数据采集安全数据采集要符合以下要求：a)应遵循最小够用原则，仅采集必要的数据，明确所需采集的数据，包括确定要收集的数据类型、数据字段、数据量和数据频率等；b)应对产生数据的数据源进行身份鉴别和记录，保证数据源的真实性；c)应对采集端API接口获取数据的权限进行严格控制；的收集要求。6.6.2安全数据传输5DB11/XXXXX—20XX安全数据传输要符合以下要求：根据组织内部和外部的数据传输安全要求，应采用适当技术措施保证重要数据传输过程中的保密性和完整性。6.6.3安全数据存储安全数据存储要符合以下要求：a)应提供有效的技术和管理手段，防止对介质的使用不当而可能引起的数据泄露风险，存储介质包括终端设备和网络存储等；b)应根据组织内部和外部的数据存储安全要求，采用适当技术措施保证重要数据存储过程中的保密性和完整性；c)应满足个人信息存储依据GB/T35273—2020中6.1、6.2、6.3、6求。6.6.4安全数据处理安全数据处理要符合以下要求：a)应给出敏感数据的脱敏需求和规则，对敏感数据进行脱敏处理，保证数据可用性和安全性的平衡；b)应对数据导入导出过程中的数据安全性进行管理，防止数据导入导出过程中对数据自身可用性和完整性构成危害，降低可能存在的数据泄露风险；6.6.5安全数据交换安全数据交换要符合以下要求：a)应采取双向身份鉴别、访问控制、接口输入限制等技术措施保证数据在接口调用过程中的安全；6.6.6安全数据销毁安全数据销毁要符合以下要求：a)应建立数据的删除、净化机制，实现对数据的有效销毁，防止因对存储媒体中的数据进行恢复而导致的数据泄露风险；b)应建立对存储媒体安全销毁的规程，并采用必要技术手段，防止因存储媒体丢失、被窃或未授权的访问而导致存储媒体中的数据泄漏的安全风险。6.7安全管理制度安全管理制度要符合以下要求：a)应在等级保护第三级安全要求的基础上，增加安全管理要求，包括但不限于：风险管理要求、业务连续性管理和容灾备份要求、供应链安全管理要求、网络安全与信息化同步建设要求等；b)应明确安全管理策略，安全策略包括但不限于：安全互联策略、安全审计策略、身份管理策略、入侵防范策略、数据安全防护策略、供应链安全管理策略、安全运维策略等；c)应建立重要数据安全保护策略，明确重要数据和个人信息在收集、存储、使用、加工、传输和销毁等关键环节的安全保护措施。6DB11/XXXXX—20XX6.8安全组织机构安全组织机构要符合以下要求：a)应明确网络安全工作委员会或领导小组对重要信息基础设施的安全职责，由组织主要负责人分管重要信息基础设施的安全保护工作；b)应明确重要信息基础设施网络安全管理工作的安全管理机构；c)应建立并实施网络安全考核及监督问责机制；d)应为每个重要信息基础设施明确一名安全管理责任人，并明确其安全管理职责；e)应保证重要信息基础设施的安全管理责任人能够参与其信息化项目立项、方案设计、方案评审和项目验收等环节的决策；f)应明确云平台各相关主体的安全责任；g)机关事业单位的操作系统、数据库和机房等最高管理员权限应由本单位在编人员专人负责，不应擅自委托外包单位人员管理使用；h)网络安全投入比例宜达到信息化投入的10%以上。6.9安全管理人员安全管理人员要符合以下要求：a)如发生以下情形之一，应对安全管理机构的负责人和关键岗位人员实施背景审查，确保审查通过才可从事相关岗位工作，包括：2)相关人员的身份、国籍、安全背景和家庭情况等发生变化时；3)岗位发生重大变化或其他必要情况下；b)应为重要信息基础设施相关人员（包括合同商、用户等）提供安全意识教育和安全技能培训，为关键岗位人员提供基于岗位的专业安全技能培训，每人每年教育培训时长不得少于20个学时。教育培训内容包括网络安全相关法律法规、政策标准，以及网络安全技术、网络安全管理等；c)应明确重要信息基础设施相关人员安全保密职责和义务，包括安全职责、奖惩机制、离岗后的脱密期限等，并签订安全保密协议。6.10供应链安全管理供应链安全管理要符合以下要求：a)应建立供应链安全管理要求，明确供应方的责任、供应链相关部门的责任、供应活动管理、供应商检查和考核要求等；b)应形成年度采购的网络产品和服务清单，加强网络安全专用产品安全管理，要求其通过安全检测或安全认证；c)应建立供应链产品风险管理机制，对供应链产品进行风险识别、风险评估，并采取风险应对措施，应建立有效的风险监控机制，定期检查和评估供应链产品的风险状况；d)采购网络产品和服务时，在合同中应明确供应链厂商的安全责任和义务，要求供应链厂商对网络产品和服务的设计、研发、生产和交付等关键环节加强安全管理，要求提供者声明不非法获取用户数据、控制和操纵用户的系统和设备，或利用用户对产品的依赖性谋取不正当利益或者迫使用户更新换代；e)应与网络产品和服务的提供者签订安全保密协议，协议内容包括安全职责、保密内容、奖惩机制和有效期等，明确整个服务供应链各方需履行的网络安全相关义务；7DB11/XXXXX—20XXf)党政机关的互联网政务系统应部署在通过国家云计算服务安全评估的云平台上，并加强对所采购云计算服务的使用管理。6.11安全运营资产识别要符合以下要求：a)应识别重要信息基础设施的资产，范围包括组织自有网络的资产、部署在非自有网络上的资产等；b)应建立资产信息清单，资产信息包括资产名称、资产类别、用途、数量、所处位置、资产责任人、资产防护优先级等参数；c)应对资产进行分类，并明确资产重要性；d)应依据国家标准和行业标准，对数据进行分类分级，识别重要数据和核心数据，在对重点人群的敏感个人信息进行级别确定时，应充分考虑如泄露对国家造成的影响。6.11.2检测评估检测评估要符合以下要求：a)应提出重要信息基础设施安全检测评估工作要求，明确检测评估工作流程、方式方法、周期、人员组织和资金保障等内容；b)应自行或者委托国家或行业认可的网络安全服务机构对其安全性和可能存在的风险每年至少进行一次全面的检测评估。选择网络安全服务机构时宜综合考虑其专业资质、评估经验、行业背景、安全可控程度等因素；c)新建的重要信息基础设施应开展检测评估工作，通过后方可投入运行；改建或扩建的重要信息基础设施发生重大变化时，应重新开展检测评估工作并及时对发现的问题进行整改；d)应建立常规安全检测评估与全面安全检测评估机制。常规安全检测评估内容包括但不限于日常运行情况分析、安全漏洞发现、数据备份核查和重要文件完整性等，全面安全检测评估内容包括但不限于安全技术措施的有效性、安全管理制度落地情况、对前次检测评估发现问题的整改情况、抵御渗透攻击能力和监测预警能力等。监测预警要符合以下要求：a)应依据常态化监测预警需求，制定监测预警和信息通报制度，确定网络安全预警分级准则,明确监测策略、监测内容和预警流程；b)应关注国内外及行业相关安全事件、安全漏洞和安全发展趋势,并对涉及系统安全性进行研判分析，必要时发出预警；c)应建立预警信息报告和响应处置程序，明确不同级别预警的报告、响应和处置流程；d)应建立网络安全信息共享机制，网络安全共享信息内容包括漏洞信息、威胁信息、最佳实践和前沿技术等；e)宜持续获取预警发布机构的安全预警信息，分析、研判事件或威胁对自身网络安全保护对象可能造成损害的程度，必要时启动急预案，并将获取的安全预警信息按照规定通报给相关人员和相关部门。8DB11/XXXXX—20XX事件处置要符合以下要求：a)应组织建立专门的网络安全事件处置队伍，为网络安全事件处置提供人力资源和技术支撑；b)当发生有可能危害业务的安全事件时,应及时向安全管理机构报告，并组织研判，形成安全事件报告；c)应及时将可能危害业务的安全事件通报到可能受影响的内部部门和人员，并按照规定向供应链涉及的、与事件相关的其他组织通报安全事件；d)宜按照先应急处置、后调查评估的原则，在事件发生后尽快收集证据，按要求进行网络安全取证分析,并确保所有涉及的响应活动被适当记录,便于日后分析；e)在事件处理完成后，应形成完整的事件处理报告，事件处理报告内容包括：不同部门对事件的处理记录、对事件的取证、评估事件细节、事件处理过程和经验总结；f)在恢复业务和信息系统后,应对业务和信息系统恢复情况进行评估,查找事件原因并采取措施防止业务和信息系统再次遭受破坏、危害或故障。6.11.5应急演练应急演练要符合以下要求：a)应在国家网络安全事件应急预案的框架下,根据行业和地方的特殊要求,制定网络安全事件应急预案；b)应在应急预案中明确，一旦信息系统中断、受到损害或者发生故障时,需要维护的重点业务功能，并明确遭受破坏时恢复重点业务的时间和恢复全部业务的时间；c)应急预案中应包括非常规时期、遭受大规模攻击时的事件处置流程；d)宜围绕业务的可持续运行设定演练场景，定期组织开展攻防演练，跨组织、跨地域运行的重要信息基础设施，联合组织实网攻防演练，在不适合开展实网攻防演练场景下,采取沙盘推演的方式进行攻防演练；e)宜将受保护业务的核心供应链、紧密上下游产业链等业务相关单位纳入演练范畴；f)应针对攻防演练中发现的安全问题及风险进行及时整改，消除结构性、全局性风险；g)宜至少每年组织开展一次本组织的应急演练，对受保护业务跨组织、跨地域运行的重要信息基础设施,应定期组织或参加跨组织、跨地域的应急演练；h)宜至少每半年进行一次钓鱼邮件演练，进行安全培训宣传，对演练过程中容易被社会工程学攻击的部门、员工进行重点安全意识培训。7安全评估要求7.1安全评估方法7.1.1评估方法分类对于重要信息基础设施安全评估的方法包括配置核查、文档核查、测试验证和访谈四种。评估人员通过登录各类设备、各类平台和应用系统，进行安全配置查看和分析，以帮助评估人员理解澄清或取得证据的过程。9DB11/XXXXX—20XX评估人员通过查看制度文档、设计方案、运维报告和记录文档等各类文档，以帮助评估人员理解澄清或取得证据的过程。评估人员通过使用测试工具（如漏洞扫描、渗透测试工具、抓包工具）或人工手动测试等方式，发现重要信息基础设施存在的安全漏洞，验证已有的安全措施是否有效，以帮助评估人员理解澄清或取得证据的过程。评估人员通过引导方式，进行有目的的、有针对性的交流，以帮助评估人员理解、澄清或取得证据的过程。7.2安全评估要求7.2.1网络安全等级保护7.2.1.1评估单元-网络安全等级保护01（CPC01）该评估单元应包括以下内容：a)评估指标：应落实网络安全等级保护测评工作，且满足网络安全等级保护第三级基本要求；b)评估对象：等级保护测评报告c)评估实施包括以下内容：1)核查是否按照国家法律法规要求对评估对象范围内的一个或几个等保定级对象进行等级测评；2)核查等级测评报告结论是否均不是“差”报告。d)单元判定：如果1）和2）均为肯定，则符合本评估单元指标要求，否则不符合本评估单元指标要求。7.2.2.1评估单元-安全通信网络01（CNS01）该评估单元应包括以下内容：a)评估指标：宜采用至少两条不同运营商的通信线路，以确保通信线路连接的高可用性，并能实现通信线路的故障实时检测和链路自动切换；b)评估对象：重要信息基础设施设计文档、网络拓扑图、网络策略配置；c)评估实施包括以下内容：1)核查实际的网络拓扑中是否存在至少两条不同运营商的通信线路；2)核查是否配置了通信线路的故障自动检测机制和自动切换机制；d)单元判定：如果1）和2）均为肯定，则符合本评估单元指标要求；如果1）或2）为否定，则不符合本评估单元指标要求。7.2.3.1评估单元-安全区域边界01（ABS01）该评估单元应包括以下内容：DB11/XXXXX—20XXa)评估指标：应在每个网络区域内部实施网络隔离措施，防止网络内部的攻击横向移动；b)评估对象：网络安全设计文档、网络拓扑图、网络安全设备清单；c)评估实施包括以下内容：1)根据网络拓扑图中的网络区域划分情况，检查是否为每个网络区域建立了网络隔离安全策2)核查网络拓扑中部署的网络防火墙等网络隔离设备，包括但不限于交换机、路由器、防火墙和网闸等网络访问控制设备；3)核查其网络隔离配置情况是否与网络隔离策略保持一致；d)单元判定：如果1）-3）均为肯定，则符合本评估单元指标要求，否则不符合或部分符合本评估单元指标要求。7.2.3.2评估单元-安全区域边界02（ABS02）该评估单元应包括以下内容：a)评估指标：应禁止将数据库服务器部署在互联网用户直接访问的网络区域；b)评估对象：网络拓扑图、安全设计文档；c)评估实施包括以下内容：1)核查网络拓扑图和安全设计文档，是否未将数据库服务器部署在互联网用户能够直接访问）；d)单元判定：如果1）为肯定，则符合本评估单元指标要求，否则不符合本评估单元指标要求。7.2.3.3评估单元-安全区域边界03（ABS03）该评估单元应包括以下内容：a)评估指标：应对跨网络区域边界的网络通信采取安全保护措施，保证跨网络区域通信双方的身份真实性，授予最小访问控制权限；b)评估对象：业务系统设计文档、网络拓扑图和网络通信设备；c)评估实施包括以下内容：1)检查业务系统设计文档和网络拓扑图，确认是否存在跨网络区域边界的网络通信；2)若存在跨网络区域边界的网络通信，核查网络通信设备，是否进行通信双方设备的真实性验证，是否限制了跨网络区域边界访问的最小访问权限；d)单元判定：如果1）为否定，本评估单元指标为不适用；如果2）为肯定，则符合本评估单元指标要求，否则不符合本评估单元指标要求。7.2.4.1评估单元-安全计算环境01（SES01）该评估单元应包括以下内容：a)评估指标：宜采用信创设备；b)评估对象：设备台账、设备及软件测试报告；c)评估实施包括以下内容：1)核查设备台账服务器操作系统、数据库、中间件、应用系统、网络设备、安全设备是否都为信创软件或设备；2)检查设备及软件的信创产品测试报告或者信创产品适配测试报告，查阅是否满足信创要求；DB11/XXXXX—20XXd)单元判定：如果1）-3）均为肯定，则符合本评估单元指标要求，否则不符合或部分符合本评估单元指标要求。7.2.4.2评估单元-安全计算环境02（SES02）该评估单元应包括以下内容：a)评估指标：设备使用一定期限后，如无法满足业务或安全需求，宜进行更换或升级；b)评估对象：设备台账、设备采购合同或者软硬件维保服务协议等；c)评估实施包括以下内容：1)核查设备台账，设备的硬件运行是否满足业务和安全需要，软件具有更新和升级能力；2)访谈网络安全运维服务人员，询问设备的安全防护能力是否满足当前的业务需求；3)检查设备采购合同或者软硬件维保服务协议，查看设备是否在质保期内；d)单元判定：如果-3）均为肯定，则符合本评估单元指标要求，否则不符合或部分符合本评估单元指标要求。7.2.4.3评估单元-安全计算环境03（SES03）该评估单元应包括以下内容：a)评估指标：应实现服务器操作系统用户和数据库系统用户的权限分离；b)评估对象：数据库服务器的操作系统和数据库系统；c)评估实施包括以下内容：1)核查数据库服务器的操作系统和数据库系统是否进行了角色划分；2)核查操作系统管理用户和数据库管理用户的权限是否已进行分离；3)核查操作系统管理用户和数据库管理用户的权限是否为其工作任务所需的最小权限；d)单元判定：如果1）-3）均为肯定，则符合本评估单元指标要求，否则不符合本评估单元指标要求。7.2.4.4评估单元-安全计算环境04（SES04）该评估单元应包括以下内容：a)评估指标：应采用密码技术保证数据库口令在配置文件中的保密性；b)评估对象：应用系统连接数据库的配置文件等；c)评估实施包括以下内容：1)核查应用系统连接数据库的配置文件，数据库口令在配置文件中是否进行加密存储；2)测试数据库口令加密存储后，是否无法进行解密，获得明文；d)单元判定：如果1）为否定，本评估单元指标为不适用；如果2）-3）均为肯定，则符合本评估单元指标要求，否则不符合或部分符合本评估单元指标要求。7.2.4.5评估单元-安全计算环境05（SES05）该评估单元应包括以下内容：a)评估指标：应授予API接口所需数据库访问的最小权限；b)评估对象：数据库服务器和数据库系统、API接口文件、API接口配置文件等；c)评估实施包括以下内容：1)核查API接口文件，是否具有大量API接口；2)核查API接口配置文件，是否设置了API接口对数据库访问的最小权限；DB11/XXXXX—20XX3)核查数据库系统配置，是否仅允许本地管理数据库实例，并限制了远程管理数据库实例的访问地址；d)单元判定：如果1）为否定，本评估单元指标为不适用；如果1）-3）均为肯定，则符合本评估单元指标要求，否则不符合本评估单元指标要求。7.2.4.6评估单元-安全计算环境06（SES06）该评估单元应包括以下内容：a)评估指标：应对数据库实例和中间件控制台进行远程管理的终端进行网络地址限制；b)评估对象：应用系统运维或开发人员，数据库系统、中间件控制台等；c)评估实施包括以下内容：1)访谈应用系统运维或开发人员，是否具有中间件控制台；2)若有中间件控制台，核查中间件控制台是否进行关闭；3)若有中间件控制台，核查是否限制登录中间件控制台和数据库实例的终端登录地址；d)单元判定：如果1）为否定，本评估单元指标为不适用；如果2）-3）为肯定，则符合本评估单元指标要求，否则不符合本评估单元指标要求。7.2.4.7评估单元-安全计算环境07（SES07）该评估单元应包括以下内容：a)评估指标：应用系统应强制要求用户修改默认口令；b)评估对象：应用系统等；c)评估实施包括以下内容：1)核查应用系统，是否强制要求用户第一次登录需修改默认口令；d)单元判定：如果1）为肯定，则符合本评估单元指标要求，否则不符合本评估单元指标要求。7.2.4.8评估单元-安全计算环境08（SES08）该评估单元应包括以下内容：a)评估指标：应利用防伪技术等保证政务类网站标识不被恶意篡改；b)评估对象：应用系统等；c)评估实施包括以下内容：1)核查应用系统，是否采用防伪技术等保证政务类网站标识不被恶意篡改；d)单元判定：如果1）为肯定，则符合本评估单元指标要求，否则不符合或部分符合本评估单元指标要求。7.2.4.9评估单元-安全计算环境09（SES09）该评估单元应包括以下内容：a)评估指标：应利用网页防篡改系统、人工自检或第三方安全服务等方式实时探测网站内容，及时发现黑页、暗链、页面篡改等行为；b)评估对象：网页防篡改系统、人工自检报告、第三方安全服务报告、安全设计文档等；c)评估实施包括以下内容：1)访谈安全管理员，核查安全设计文档，是否部署了网页防篡改系统或采购了网页防篡改的第三方安全服务；2)核查网页防篡改系统或第三方安全服务，是否能够及时发现黑页、暗链、页面篡改等行为；DB11/XXXXX—20XXd)单元判定：如果1）和2）为肯定，则符合本评估单元指标要求，否则不符合或部分符合本评估单元指标要求。7.2.4.10评估单元-安全计算环境10（SES10）该评估单元应包括以下内容：a)评估指标：政务类web系统采用Web应用、APP程序或公众号等形式发布内容时，应具有内容发布、撤销、推送、转载、链接的审核功能，且网站内容编辑与审核发布权限分离；b)评估对象：政务类web系统等；c)评估实施包括以下内容：1)核查政务类web系统，是否具有内容发布、撤销、推送、转载、链接的审核功能；2)核查政务类web系统，是否将网站内容编辑与审核发布权限分离；d)单元判定：如果1）和2）均为肯定，则符合本评估单元指标要求，否则不符合或部分符合本评估单元指标要求。7.2.4.11评估单元-安全计算环境11（SES11）该评估单元应包括以下内容：a)评估指标：对高可用要求的信息系统，应具有GB/T37046四级及以上灾难恢复服务能力；b)评估对象：系统管理员，高可用要求的信息系统、安全设计文档、业务连续性计划、灾难恢复计划、数据备份与恢复措施等；c)评估实施包括以下内容：1)访谈系统管理员，信息系统是否具有高可用要求；2)核查安全设计文档、业务连续性计划、灾难恢复计划、数据备份与恢复技术设计文档，是否能够达到GB/T37046四级及以上灾难恢复服务能力；3)查看业务连续性计划、灾难恢复计划、数据备份与恢复技术设计文档，参照GB/T30285查看灾难备份系统的有效性，查看信息系统的灾难备份系统测试报告是否具备信息系统切换与回切能力、网络系统切换与回切能力、应用系统切换与回切能力；d)单元判定：如果1）为否定，本评估单元指标为不适用；如果1）-3）为肯定，则符合本评估单元指标要求，否则不符合或部分符合本评估单元指标要求。7.2.4.12评估单元-安全计算环境12（SES12）该评估单元应包括以下内容：a)评估指标：应限制政务网站系统内容管理平台的远程登录方式或登录地址；b)评估对象：系统管理员，内容管理平台，网络地址管理及安全设计文档等；c)评估实施包括以下内容：1)核查内容管理平台或网络安全配置，是否限制政务网站系统内容管理平台的远程登录方式或登录地址；d)单元判定：如果1）为肯定，则符合本评估单元指标要求，否则不符合本评估单元指标要求。7.2.4.13评估单元-安全计算环境13（SES13）该评估单元应包括以下内容：a)评估指标：应能够有效屏蔽系统技术错误信息，不得将系统产生的错误信息直接或间接反馈到前台界面；DB11/XXXXX—20XXb)评估对象：应用系统；c)评估实施包括以下内容：1)测试当进行出现错误操作时，是否有效屏蔽系统技术错误信息，不将系统产生的错误信息直接或间接反馈到前台界面；d)单元判定：如果1）为肯定，则符合本评估单元指标要求，否则不符合本评估单元指标要求。7.2.4.14评估单元-安全计算环境14（SES14）该评估单元应包括以下内容：a)评估指标：互联网政务应用应使用安全连接方式访问，涉及的电子认证服务应由依法设立的电子政务电子认证服务机构提供；b)评估对象：应用系统，电子认证服务证书；c)评估实施包括以下内容：1)核查互联网政务应用是否使用安全连接方式，如数字证书认证；2)核查电子认证服务证书，使用的电子认证服务是否由依法设立的电子政务电子认证服务机构提供；d)单元判定：如果1）-2）均为肯定，则符合本评估单元指标要求，否则不符合或部分符合本评估单元指标要求。7.2.5.1评估单元-安全管理中心01（SMC01）该评估单元应包括以下内容：a)评估指标：应对重要设备运行状态进行集中监测和集中分析，对于政务网站系统参照GB/T31506—20226.6.4a）b)评估对象：网络拓扑图、政务类web系统安全监测平台/系统；c)评估实施包括以下内容：1)核查网络拓扑图，是否具有较多网站监测和防护类设备（例如DNS服务器监测、DDOS服务、威胁监测等措施）；2)访谈并核查网络中是否具有安全管理中心或者网站安全集中监测平台/系统；3)核查安全管理中心或者网站安全监测平台/系统，是否实现了对重要设备运行状态的集中监测和分析；d)单元判定：如果1）-4）均为肯定，则符合本评估单元指标要求，否则不符合或部分符合本评估单元指标要求。7.2.5.2评估单元-安全管理中心02（SMC02）该评估单元应包括以下内容：a)评估指标：宜能够对每个网络区域的网络流量进行安全监测，通过分析网络流量模式，实现对异常行为的报警；b)评估对象：网络拓扑图、网络流量监测设备清单；c)评估实施包括以下内容：1)核查网络拓扑图，是否网络流量监测设备的监测范围是否可以覆盖每个网络区域；DB11/XXXXX—20XX2)核查网络流量监测设备的功能实现和配置情况，是否能够对网络流量分析，并具备异常行为的检测和报警能力；d)单元判定：如果1）-2）均为肯定，则符合本评估单元指标要求，否则不符合或部分符合本评估单元指标要求。7.2.5.3评估单元-安全管理中心03（SMC03）该评估单元应包括以下内容：a)评估指标：宜对网络攻击事件进行溯源分析，实现IP地址和端口定位，并能够进行及时封堵；b)评估对象：网络安全设计文档、网络拓扑图、网络流量监测设备、网络安全运营/态势感知类平台及相关设备；c)评估实施包括以下内容：1)核查网络拓扑图，是否部署网络攻击事件溯源分析措施；2)核查部署的网络攻击事件溯源分析措施配置策略，是否能够对IP地址和端口进行定位；d)单元判定：如果1）和2）均为肯定，则符合本评估单元指标要求，否则不符合或部分符合本评估单元指标要求。7.2.5.4评估单元-安全管理中心04（SMC04）该评估单元应包括以下内容：a)评估指标：应具有整体态势感知能力，可实现对系统日志和安全设备报警记录综合分析，互联网政务系统的日志保存时间不小于1年；b)评估对象：网络拓扑、网络安全设备清单日志综合分析平台、网络安全运营/态势/威胁感知类平台及相关设备；c)评估实施包括以下内容：1)核查网络安全设备清单和网络拓扑图，查看是否部署了日志综合分析平台、网络安全运营/态势/威胁感知类平台及相关设备；2)核查日志综合分析平台、网络安全运营/态势/威胁感知类平台及相关设备是否具备日志及安全监测数据的集中管理和综合分析能力；3)核查是否能够通过对日志和安全告警数据的集中分析，实现对网络安全攻击事件态势分析；4)如被测系统为互联网政务系统，核查日志信息的保存时间是否不小于1年；d)单元判定：如果1）-4）均为肯定，则符合本评估单元指标要求，否则不符合或部分符合本评估单元指标要求。7.2.5.5评估单元-安全管理中心05（SMC05）该评估单元应包括以下内容：a)评估指标：对于向互联网提供服务的信息系统，应定期开展互联网暴露面检测与优化，并对互联网边界与核心流量进行集中监测与分析；b)评估对象：网络拓扑图、网络安全设备清单、安全设计和实施文档、安全检测报告、安全监测系统/平台；c)评估实施包括以下内容：1)查看网络拓扑图和网络安全设备清单，访谈网络管理员和系统管理员，了解系统的网络结构以及业务访问逻辑，查看是否具备面向互联网提供服务的业务模块；DB11/XXXXX—20XX2)核查安全检测报告，查看是否定期开展了互联网暴露面检测报告，并提供了相关的改进和优化实施报告；3)查看网络拓扑图和网络安全设备清单，访谈网络管理员和系统管理员，查看是否具备互联网边界与核心的流量监测措施，监测内容包括入侵事件监测和数据泄露事件监测等内容；d)单元判定：如果1）-3）均为肯定，则符合本评估单元指标要求，否则不符合或部分符合本评估单元指标要求。7.2.5.6评估单元-安全管理中心06（SMC06）该评估单元应包括以下内容：a)评估指标：宜采用自动化探测工具，持续进行网络中软硬件资产发现，并能对异常软硬件资产信息进行告警；b)评估对象：网络拓扑图、资产自动化探测工具、资产信息清单c)评估实施包括以下内容：1)核查网络拓扑图，访谈网络管理员和系统管理员，了解重要业务访问的网络各个区域是否部署了资产自动化探测工具；2)核查自动化探测工具能否具备对网络可达的网络区域内实现了实时、动态的资产发现功能；3)核查自动化探测工具，是否能将发现的资产与历史资产信息清单进行自动比对，对资产清单不一致的情况进行告警；d)单元判定：如果1）-3）均为肯定，则符合本评估单元指标要求，否则不符合或部分符合本评估单元指标要求。7.2.6.1评估单元-安全数据采集01（DCS01）该评估单元应包括以下内容：a)评估指标：应遵循最小够用原则，仅采集必要的数据，明确所需采集的数据，包括确定要收集的数据类型、数据字段、数据量和数据频率等；b)评估对象：相关数据安全管理制度、数据采集接口等；c)评估实施包括以下内容：1)核查相关数据安全管理制度，是否明确核心业务数据采集原则，是否明确所需采集的数据，包括确定要收集的数据类型、数据字段、数据量和数据频率等；2)核查数据采集接口，是否按照数据安全管理制度要求落地数据采集；d)单元判定：如果1）和2）均为肯定，则符合本评估单元指标要求，否则不符合或部分符合本评估单元指标要求。7.2.6.2评估单元-安全数据采集02（DCS02）该评估单元应包括以下内容：a)评估指标：应对产生数据的数据源进行身份鉴别和记录，保证数据源的真实性；b)评估对象：数据源的鉴别和记录；c)评估实施包括以下内容：1)核查是否由业务团队相关人员负责对数据源进行鉴别和记录；DB11/XXXXX—20XX2)核查核心业务系统的在线数据采集和外部第三方采集，是否建立了相应的机制执行数据源的鉴别和记录；3)核查核心业务是否具有技术工具支持对数据源的鉴别和记录；d)单元判定：如果1）-3）均为肯定，则符合本评估单元指标要求，否则不符合或部分符合本评估单元指标要求。7.2.6.3评估单元-安全数据采集03（DCS03）该评估单元应包括以下内容：a)评估指标：应对采集端API接口获取数据的权限进行严格控制；b)评估对象：重要数据采集接口，数据库系统等；c)评估实施包括以下内容：1)核查采集端API接口，是否都进行严格的权限控制；d)单元判定：如果1）为肯定，则符合本评估单元指标要求，否则不符合本评估单元指标要求。7.2.6.4评估单元-安全数据采集04（DCS04）该评估单元应包括以下内容：信息的收集要求；b)评估对象：个人信息获取模块，个人信息管理相关要求等；c)评估实施包括以下内容：d)单元判定：如果1）均为肯定，则符合本评估单元指标要求，否则不符合或部分符合本评估单元指标要求。7.2.6.5评估单元-安全数据传输01（DTS01）该评估单元应包括以下内容：a)评估指标：根据组织内部和外部的数据传输安全要求，应采用适当技术措施保证重要数据传输过程中的保密性和完整性；b)评估对象：传输数据、源代码等；c)评估实施包括以下内容：1)核查在数据分类分级定义的基础上，是否明确提出对不同类型、级别的数据的保密性要求和完整性要求；2)抓取并分析数据包，是否根据不同数据类型和级别，提供数据保密性或完整性功能，对数据进行安全处理；d)单元判定：如果1）和2）均为肯定，则符合本评估单元指标要求，否则不符合或部分符合本评估单元指标要求。7.2.6.6评估单元-安全数据存储01（DSS01）该评估单元应包括以下内容：a)评估指标：应提供有效的技术和管理手段，防止对介质的不当使用而可能引起的数据泄露风险，存储介质包括终端设备和网络存储等；b)评估对象：存储重要数据的终端设备、网络存储、移动硬盘等。DB11/XXXXX—20XXc)评估实施包括以下内容：1)核查重要数据的存储介质，是否对存储介质使用和传递的安全性进行跟踪；d)单元判定：如果1）为肯定，则符合本评估单元指标要求，否则不符合或基本符合本评估单元指标要求。7.2.6.7评估单元-安全数据存储02（DSS02）该评估单元应包括以下内容：a)评估指标：根据组织内部和外部的数据存储安全要求，应采用适当技术措施保证重要数据存储过程中的保密性和完整性；b)评估对象：数据库表单，数据文件和系统设计方案等；c)评估实施包括以下内容：1)核查在数据分类分级定义的基础上，是否明确提出对不同类型、级别的数据的保密性要求和完整性要求；2)核查并分析数据库表单或数据文件，是否根据不同数据类型和级别，提供数据保密性或完整性功能，对数据进行安全处理；d)单元判定：如果1）为肯定，则符合本评估单元指标要求，否则不符合或基本符合本评估单元指标要求。7.2.6.8评估单元-安全数据存储03（DSS03）该评估单元应包括以下内容：储要求；b)评估对象：个人信息的存储；c)评估实施包括以下内容：d)单元判定：如果1）为肯定，则符合本评估单元指标要求，否则不符合或基本符合本评估单元指标要求。7.2.6.9评估单元-安全数据处理01（DPS01）该评估单元应包括以下内容：a)评估指标：应给出敏感数据的脱敏需求和规则，对敏感数据进行脱敏处理，保证数据可用性和安全性的平衡；b)评估对象：脱敏处理流程、脱敏数据治理要求、数据脱敏技术、数据脱敏工作人员等；c)评估实施包括以下内容：1)核查是否列出需要脱敏的数据资产，给出不同分类分级数据的脱敏处理流程；2)核查是否明确脱敏数据治理要求；3)核查是否配置脱敏数据识别和脱敏效果验证服务组件或技术手段，确保数据脱敏的有效性和合规性；4)核查组织是否具备数据脱敏组件或技术手段，支持泛化、抑制、假名化等数据脱敏技术；5)核查是否针对特定的数据使用场景和数据脱敏的策略，部署数据的动态脱敏方案；6)核查是否定期对数据脱敏工作人员的脱敏操作能力进行考核评估；DB11/XXXXX—20XXd)单元判定：如果1）-6）均为肯定，则符合本评估单元指标要求，否则不符合或部分符合本评估单元指标要求。7.2.6.10评估单元-安全数据处理02（DPS02）该评估单元应包括以下内容：a)评估指标：应对数据导入导出过程中的数据安全性进行管理，防止数据导入导出过程中对数据自身可用性和完整性构成危害，降低可能存在的数据泄露风险；b)评估对象：数据导入导出安全制度或审批流程、数据导入导出的人员等；c)评估实施包括以下内容：1)核查是否由业务团队相关人员负责对数据导入导出执行安全管理；2)核查是否明确核心业务数据导入导出安全制度或审批流程；3)核查负责数据导入导出的人员是否具备对数据导入导出业务的理解能力，掌握数据导入导出规程，并能够针对具体场景提出有效的解决方案；4)核查是否记录组织内部的数据导入导出行为，确保数据导入导出行为追溯；d)单元判定：如果1）-4）均为肯定，则符合本评估单元指标要求，否则不符合或基本符合本评估单元指标要求。7.2.6.11评估单元-安全数据处理03（DPS03）该评估单元应包括以下内容：b)评估对象：个人信息的使用、个人信息主体的权利、个人信息委托处理、公开披露等；c)评估实施包括以下内容：d)单元判定：如果1）均为肯定，则符合本评估单元指标要求，否则不符合或部分符合本评估单元指标要求。7.2.6.12评估单元-安全数据交换01（DES01）该评估单元应包括以下内容：a)评估指标：应采取双向身份鉴别、访问控制、接口输入限制等技术措施保证数据在接口调用过程中的安全；b)评估对象：数据服务接口和系统设计方案等；c)评估实施包括以下内容：1)核查系统设计方案，对数据服务接口是否实现双向身份鉴别、访问控制和接口输入限制等技术措施；2)构造违反接口安全要求的调用方式，测试是否能调用成功；d)单元判定：如果1）和2）均为肯定，则符合本评估单元指标要求，否则不符合或部分符合本评估单元指标要求。7.2.6.13评估单元-安全数据交换02（DES02）该评估单元应包括以下内容：DB11/XXXXX—20XXb)评估对象：个人信息共享、转让、跨境传输等；c)评估实施包括以下内容：d)单元判定：如果1）为肯定，则符合本评估单元指标要求，否则不符合或部分符合本评估单元指标要求。7.2.6.14评估单元-安全数据销毁01（DDS01）该评估单元应包括以下内容：a)评估指标：应建立数据的删除、净化机制，实现对数据的有效销毁，防止因对存储媒体中的数据进行恢复而导致的数据泄露风险；b)评估对象：数据销毁；c)评估实施包括以下内容：1)核查是否由业务团队相关人员负责数据销毁工作；2)核查是否明确核心业务数据销毁方案和存储媒体销毁方案；3)核查是否采用技术工具对核心业务存储媒体的数据内容进行擦除销毁；4)核查负责数据销毁处置的人员是否具备针对数据销毁的需求制定对应的数据销毁方案的能力；d)单元判定：如果1）-4）均为肯定，则符合本评估单元指标要求，否则不符合或部分符合本评估单元指标要求。7.2.6.15评估单元-安全数据销毁02（DDS02）该评估单元应包括以下内容：a)评估指标：应建立对存储媒体安全销毁的规程，并采用必要技术手段，防止因存储媒体丢失、被窃或未授权的访问而导致存储媒体中的数据泄漏的安全风险；b)评估对象：存储媒体安全销毁的规程和技术手段等；c)评估实施包括以下内容：1)核查是否由业务团队相关人员负责存储媒体销毁管理；2)核查是否明确核心业务存储媒体销毁的流程和管理要求；3)核查核心业务的存储媒体，是否采用物理销毁的形式进行销毁；4)核查相关人员是否具备针对数据销毁需求能够明确判断媒体销毁的必要性；d)单元判定：如果1）-4）均为肯定，则符合本评估单元指标要求，否则不符合或部分符合本评估单元指标要求。7.2.7.1评估单元-安全管理制度01（PSS01）该评估单元应包括以下内容：a)评估指标：应在等级保护第三级安全要求的基础上，增加安全管理要求，包括但不限于：风险管理要求、业务连续性管理和容灾备份要求、供应链安全管理要求、网络安全与信息化同步建设要求等；b)评估对象：管理制度文件；c)评估实施包括以下内容：DB11/XXXXX—20XX1)核查是否在等级保护第三级安全要求的基础上，增加安全管理要求，包括但不限于：风险管理要求、业务连续性管理要求、容灾备份要求、供应链安全管理要求、网络安全与信息化同步建设要求等；d)单元判定：如果1）为肯定，则符合本评估单元指标要求，否则不符合或部分符合本评估单元指标要求。7.2.7.2评估单元-安全管理制度02（PSS02）该评估单元应包括以下内容：a)评估指标：应明确安全管理策略，安全策略包括但不限于：安全互联策略、安全审计策略、身份管理策略、入侵防范策略、数据安全防护策略、供应链安全管理策略、安全运维策略等；b)评估对象：安全策略文件；c)评估实施包括以下内容：1)核查是否在等级保护基础上，增加安全管理策略，安全策略包括但不限于：安全互联策略、安全审计策略、身份管理策略、入侵防范策略、数据安全防护策略、供应链安全管理策略、安全运维策略等；d)单元判定：如果1）为肯定，则符合本评估单元指标要求，否则不符合或部分符合本评估单元指标要求。7.2.7.3评估单元-安全管理制度03（PSS03）该评估单元应包括以下内容：a)评估指标：应建立重要数据安全保护策略，明确重要数据和个人信息在收集、存储、使用、加工、传输和销毁等关键环节的安全保护措施；b)评估对象：重要数据安全保护策略相关文件；c)评估实施包括以下内容：1)访谈数据安全管理员，是否建立重要数据安全保护策略；2)核查重要数据安全保护策略相关文件，是否明确重要数据和个人信息在收集、存储、使用、加工、传输和销毁等关键环节的安全保护措施；d)单元判定：如果1）和2）均为肯定，则符合本评估单元指标要求，否则不符合或部分符合本评估单元指标要求。7.2.8.1评估单元-安全组织机构01（ORS01）a)评估指标：应明确网络安全工作委员会或领导小组对重要信息基础设施的安全职责，由组织主要负责人分管重要信息基础设施的安全保护工作；b)评估对象：组织架构文件；c)评估实施包括以下内容：1)核查组织架构文件或相关发文，是否成立指导和管理重要信息基础设施网络安全工作的委员会或领导小组；2)核查是否由组织主要负责人担任其领导职务，是否明确其成员构成、构成角色及相关职责；d)单元判定：如果1）和2）均为肯定，则符合本评估单元指标要求，如果1）和2）均为否定，则不符合本评估单元指标要求，否则部分符合本评估单位指标要求。DB11/XXXXX—20XX7.2.8.2评估单元-安全组织机构02（ORS02）a)评估指标：应明确重要信息基础设施网络安全管理工作的安全管理机构；b)评估对象：组织架构文件；c)评估实施包括以下内容：1)核查组织架构文件或相关发文，是否设置重要信息基础设施的网络安全管理职能部门（可由等级保护或关键信息基础设施管理部门兼任）；d)单元判定：如果1）为肯定，则符合本评估单元指标要求，否则不符合本评估单元指标要求。7.2.8.3评估单元-安全组织机构03（ORS03）a)评估指标：应建立并实施网络安全考核及监督问责机制；b)评估对象：考核和问责制度、考核记录、问责记录；c)评估实施包括以下内容：1)核查考核和问责制度，是否明确了网络安全考核及监督问责方面的内容，如考核流程、考核内容、惩罚措施等；2)核查考核记录和问责记录，是否依据考核和问责制度文件实施考核和问责；d)单元判定：如果1）和2）均为肯定，则符合本评估单元指标要求，如果1）和2）均为否定，则不符合本评估单元指标要求，否则部分符合本评估单位指标要求。7.2.8.4评估单元-安全组织机构04（ORS04）a)评估指标：应为每个重要信息基础设施明确一名安全管理责任人，并明确其安全管理职责；b)评估对象：组织架构文件；c)评估实施包括以下内容：1)核查组织架构文件或相关发文，是否给每个重要信息基础设施明确一名安全责任人及相关职责；d)单元判定：如果1）为肯定，则符合本评估单元指标要求，否则不符合本评估单元指标要求。7.2.8.5评估单元-安全组织机构05（ORS05）a)评估指标：应保证重要信息基础设施的安全管理责任人能够参与其信息化项目立项、方案设计、方案评审和项目验收等环节的决策；b)评估对象：项目管理制度、项目建设及实施文档；c)评估实施包括以下内容：1)核查项目管理制度，是否要求安全管理责任人参与本组织重要信息基础设施的信息化决策；2)核查项目建设及实施文档，安全管理责任人是否在信息化项目立项、方案设计、方案评审、项目验收等环节参与决策；d)单元判定：如果1）和2）均为肯定，则符合本评估单元指标要求，如果1）和2）均为否定，则不符合本评估单元指标要求，否则部分符合本评估单位指标要求。7.2.8.6评估单元-安全组织机构06（ORS06）a)评估指标：明确云平台各相关主体的安全责任；b)评估对象：项目管理制度、云服务合同；c)评估实施包括以下内容：DB11/XXXXX—20XX1)核查项目管理制度和云服务合同，是否明确了云平台的各相关主体的安全责任；d)单元判定：如果1）为肯定，则符合本评估单元指标要求，否则不符合本评估单位指标要求。7.2.8.7评估单元-安全组织机构07（ORS07）a)评估指标：机关事业单位的操作系统、数据库和机房等最高管理员权限应由本单位在编人员专人负责，不得擅自委托外包单位人员管理使用；b)评估对象：安全管理制度、服务器操作系统、数据库、机房和应用系统；c)评估实施包括以下内容：1)如被测单位为机关事业单位，核查项目管理制度，是否明确了操作系统、数据库和机房等最高管理员权限由本单位在编人员专人负责；2)测试操作系统、数据库和机房等的权限，外包单位人员是否具有管理；d)单元判定：单元判定：如果1）和2）均为肯定，则符合本评估单元指标要求，如果1）和2）均为否定，则不符合本评估单元指标要求，否则部分符合本评估单位指标要求。7.2.8.8评估单元-安全组织机构08（ORS08）a)评估指标：网络安全投入比例宜达到信息化投入的10%以上；b)评估对象：资金投入相关文档；c)评估实施包括以下内容：1)核查系统建设资金投入相关文档，其中网络安全投入比例是否达到信息化投入的10%以上；d)单元判定：如果1）为肯定，则符合本评估单元指标要求，如果1）为否定，则不符合本评估单元指标要求。7.2.9.1评估单元-安全管理人员01（HRS01）a)评估指标：如发生以下情形之一，应对安全管理机构的负责人和关键岗位人员实施背景审查，确保审查通过才可从事相关岗位工作，包括：1）就职前；2）相关人员的身份、国籍、安全背景和家庭情况等发生变化时；3）岗位发生重大变化或其他必要情况下；b)评估对象：人员安全管理文档、背景审查记录；c)评估实施包括以下内容：1)核查人员安全管理文档是否说明安全管理机构负责人和重要岗位人员在以下情形之一：就职前；相关人员的身份、安全背景等发生变化时；岗位发生重大变化或其他必要情况下，应具备的安全背景条件、安全技能内容、背景审查和技能考核结果判定标准等，其中安全背景条件审查至少包括犯罪记录、危害国家安全行为、家庭背景、工作经历、工作能力、涉外关系等；2)核查是否具有安全管理机构负责人和重要岗位人员录用或任命时对其安全背景进行审查的相关文档或记录等，是否记录审查内容和审查结果等；d)单元判定：如果1）和2）均为肯定，则符合本评估单元指标要求，如果1）和2）均为否定，则不符合本评估单元指标要求，否则部分符合本评估单位指标要求。7.2.9.2评估单元-安全管理人员02（HRS02）DB11/XXXXX—20XXa)评估指标：应为重要信息基础设施相关人员（包括合同商、用户等）提供安全意识教育和安全技能培训，为关键岗位人员提供基于岗位的专业安全技能培训，每人每年教育培训时长不得少于20个学时。教育培训内容包括网络安全相关法律法规、政策标准，以及网络安全技术、网络安全管理等；b)评估对象：网络安全培训制度、网络安全培训记录；c)评估实施包括以下内容：1)核查网络安全培训制度，是否针对重要信息基础设施从业人员，做到全员安全意识教育、全员培训。从业人员不仅限于网络安全岗位上的专业人员，还包括其他与重要信息基础设施运营安全相关的管理人员、操作人员、使用人员、服务人员等；2)核查培训记录文档，是否每人每年教育培训时长不少于20个学时，教育培训内容是否包括网络安全相关法律法规、政策标准、网络安全风险意识、安全责任，以及网络安全保护技术、网络安全管理等；d)单元判定：如果1）和2）均为肯定，则符合本评估单元指标要求，如果1）和2）均为否定，则不符合本评估单元指标要求，否则部分符合本评估单位指标要求。7.2.9.3评估单元-安全管理人员03（HRS03）a)评估指标：应明确重要信息基础设施相关人员安全保密职责和义务，包括安全职责、奖惩机制、离岗后的脱密期限等，并签订安全保密协议；b)评估对象：安全保密制度、安全保密协议；c)评估实施包括以下内容：1)核查安全保密制度，是否明确重要信息基础设施相关人员安全保密职责和义务，包括安全职责、奖惩机制、离岗后的脱密期限等；2)核查安全保密协议，保密协议是否约定保密范围、保密责任、违约责任、协议的有效期限、离岗后的脱密期限、奖惩机制等内容；d)单元判定：如果1）和2）均为肯定，则符合本评估单元指标要求，如果1）和2）均为否定，则不符合本评估单元指标要求，否则部分符合本评估单位指标要求。7.2.10供应链安全管理7.2.10.1评估单元-供应商安全管理01（SCS01）该评估单元应包括以下内容：a)评估指标：应建立供应链安全管理要求，明确供应方的责任、供应链相关部门的责任、供应活动管理、供应商检查和考核要求等；b)评估对象：供应链安全管理人员、管理制度类文档和记录表单类文档；c)评估实施包括以下内容：1)访谈供应链安全管理人员是否建立了供应链安全管理要求；2)核查供应链安全管理要求中是否涵盖供应商的权限和责任、供应链安全管理部门的责任和权限、开发过程的控制方法和人员行为准则；d)单元判定：如果1）和2）均为肯定，则符合本评估单元指标要求，否则不符合或部分符合本评估单元指标要求。7.2.10.2评估单元-供应商安全管理02（SCS02）该评估单元应包括以下内容：DB11/XXXXX—20XXa)评估指标：应形成年度采购的网络产品和服务清单，加强网络安全专用产品安全管理，要求其通过安全检测或安全认证；b)评估对象：供应链安全管理人员，记录表单类文档，管理制度类文档；c)评估实施包括以下内容：1)访谈供应链安全管理人员是否加强网络安全专用产品安全管理；2)核查管理制度类文档是否要求采购的网络产品和服务清单通过安全检测或安全认证；3)核查记录表单类文档，检测采购清单和合同中是否通过安全检测或安全认证；d)单元判定：如果1）-3）为肯定，则符合本评估单元指标要求，否则不符合或部分符合本评估单元指标要求。