3安全管理测评指导书-三级S3A3G3-10版精编版[37页].docx

最新资料推荐1、 安全管理制度序号类别测评项测评实施预期结果说明1管理制度a）应制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架等。1）应检查信息安全工作的总体方针和安全策略，查看文件是否明确机构安全工作的总体目标、范围、原则和安全框架等。1）具有信息安全工作的总体方针和安全策略。2）总体方针和安全策略里明确了机构安全工作的总体目标、范围、原则和安全框架等。b）应对安全管理活动中的各类管理内容建立安全管理制度。 1）应检查各项安全管理制度，查看是否覆盖安全管理活动中的各类管理内容（制度管理、机构管理、人员管理、系统建设管理和运维管理等方面）。1）建立了安全管理制度。2）安全管理制度覆盖了机构管理、制度管理、人员管理、系统建设和运维等层面的管理内容。c）应对安全管理人员或操作人员执行的日常管理操作建立操作规程。1）应检查是否具有对重要管理操作的操作规程，如系统维护手册和用户操作规程等。1）具有日常管理操作的操作规程。2）操作规程覆盖了物理、网络、主机、应用等层面的重要操作规程（如系统维护手册和用户操作规程等）。d）应形成由安全政策、管理制度、操作规程等构成的全面的信息安全管理制度体系。1）应访谈安全主管，询问机构是否形成全面的信息安全管理制度体系，制度体系是否由安全政策、管理制度、操作规程等构成。1）具有各项管理制度。2）内容覆盖全面，由总体方针、安全策略、管理制度、操作规程等构成，形成了全面的信息安全管理制度体系。2制定和发布a）应指定或授权专门的部门或人员负责安全管理制度的制定。1）应访谈安全主管，询问由何部门或人员负责安全管理制度的制定，参与制定人员有哪些。1）具有人员职责或岗位设置等相关文件。2）文件明确了由专门的部门或人员负责安全管理制度的制定工作。2）应检查人员职责、岗位设置等相关管理制度文件，查看是否明确由专门的部门或人员负责安全管理制度的制定工作。b）安全管理制度应具有统一的格式，并进行版本控制。1）应检查安全管理制度制定和发布要求管理文档，查看文档是否说明安全管理制度的格式要求、版本编号。1）具有关于管理制度的格式和版本控制的相关文档。2）相关管理文档内容覆盖了包括管理制度的格式标准或要求以及版本控制等内容。3）各项安全管理制度具有统一的格式并进行了版本控制。2）应检查安全管理制度文档，查看是否具有版本标识，查看各项制度文档格式是否统一。c）应组织相关人员对制定的安全管理进行论证和审定。1）应访谈安全主管，询问安全管理制度的制定程序，是否对制定的安全管理制度进行论证和审定，论证和审定方式如何（如召开评审会、函审、内部审核等）。1）具有管理制度评审记录，有评审意见。2）应检查管理制度评审记录，查看是否具有相关人员的评审意见。d）安全管理制度应通过正式、有效的方式发布。1）应检查安全管理制度制定和发布要求管理文档，查看文档是否说明安全管理制度的制定、发布程序和发布范围等各项要求。1）具有制度制定和发布要求的管理文档。2）文档内容覆盖安全管理制度制定和发布程序。3）各项安全管理制度文档都是通过正式、有效的方式发布的，如具有版本标识和管理层的签字或单位盖章。e）安全管理制度应注明发布范围，并对收发文进行登记。1）应检查安全管理制度的收发登记记录，查看收发是否通过正式、有效的方式（如正式发文、领导签署和单位盖章等），是否注明管理制度的发布范围。1）具有安全管理制度的收发登记记录。2）注明了安全制度发布范围。若以电子形式发布的管理制度，关注版本控制和发布范围3评审和修订a）信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。1）应访谈安全主管，询问是否由信息安全领导小组负责定期对安全管理制度体系的合理性和适用性进行审定，审定周期多长。1）具有安全管理制度体系的评审记录。2）评审内容符合要求。3）评审周期符合要求。2）应检查是否具有安全管理制度体系的评审记录，查看实际评审周期是否符合要求，是否记录了相关人员的评审意见。b）应定期或不定期对安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度进行修订。1）应访谈安全主管，询问是否对管理制度定期修订，修订周期多长。询问系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时是否对安全管理制度进行检查，对需要改进的制度进行修订。1）具有安全管理制度的检查或评审记录。2）如果有修订版本，具有修订版本的安全管理制度。2）应检查是否具有安全管理制度修订记录。2、 安全管理机构序号类别测评项测评实施预期结果说明1岗位设置a）应设立信息安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责。 1）应访谈安全主管，询问是否设立安全管理机构（即信息安全管理工作的职能部门）。机构内部门设置情况如何，是否设立安全主管及安全管理各个方面的负责人，是否明确各部门和各负责人的职责。1）具有部门、岗位职责文件。2）文件中明确了职能部门、安全主管、负责人等相关职责。2）应检查部门、岗位职责文件，查看文件是否明确安全管理机构的职责，是否明确机构内各部门和各负责人的职责和分工。b）应设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责。 1）应访谈安全主管，询问设置了哪些工作岗位（如安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等重要岗位），是否明确各个岗位的职责分工。1）具有部门、岗位职责文件。2）文件中明确了系统管理员等相关岗位的工作职责。2）应检查文件是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等各个岗位，各个岗位的职责范围是否清晰、明确。c）应成立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领导委任或授权。1）应访谈安全主管，询问是否设立指导和管理信息安全工作的委员会或领导小组，其最高领导是否由单位主管领导委任或授权的人员担任。1）具有成立信息安全工作委员会或领导小组的正式文件。2）具有委员会或领导小组职责文件。3）文件中明确了领导小组职责和最高领导岗位职责。2）应检查信息安全工作委员会或领导小组的成立文件，查看最高领导是否由单位主管领导委任或授权。3）应检查部门、岗位职责文件，查看是否明确信息安全管理委员会或领导小组的职责。d）应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。1）应检查部门、岗位职责文件，查看文件是否明确委员会的职责和安全管理机构的职责。是否明确机构内各部门的职责和分工。是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等各个岗位的职责范围。查看文件是否明确各个岗位人员应具有的技能要求。1）具有部门、岗位职责的正式文件。2）文件中包含管理机构内各部门和岗位职责，包含各个岗位人员的技能要求。2人员配备a）应配备一定数量的系统管理员、网络管理员、安全管理员等。1）应访谈安全主管，询问各个安全管理岗位人员（如机房管理员、系统管理员、网络管理员、安全管理员等重要岗位人员）配备情况。1）具有岗位与人员对应关系表。2）表中每个岗位都有对应的人员。2）应检查管理人员名单，查看其是否明确机房管理员、系统管理员、网络管理员、安全管理员等重要岗位人员的信息。b）应配备专职安全管理员，不可兼任。1）应访谈安全主管，询问安全管理员的配备情况，是否是专职。1）具有岗位与人员对应关系表。2）确认表中的安全管理员是专职人员。安全管理员不得兼任同一系统的系统管理员2）应检查管理人员名单，确认安全管理员是否是专职人员。c）关键事务岗位应配备多人共同管理。1）应访谈安全主管，询问哪些关键事物需要配备2人或2人以上共同管理，人员具体配备情况如何。1）具有岗位与人员对应关系表。2）确认表中关键岗位配备多人。2）应检查管理人员名单，查看关键岗位是否配备多人。3授权和审批a）应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。1）应访谈安全主管，询问对哪些信息系统活动进行审批，审批部门是何部门，审批人是何人。1）明确了各项审批事项的审批部门和审批人。b）应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度。1）应访谈安全主管，询问其对重要活动的审批范围（如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等），审批程序如何，其中是否需要需要逐级审批。1）与审批活动相关的制度（如变更管理、产品采购、机房管理等）中明确了审批程序以及重要活动的逐级审批流程。2）具有经过逐级审批的文档。2）应检查各类管理制度文档，查看文档中是否明确事项的审批程序（如列表说明哪些事项应经过信息安全领导小组审批，哪些事项应经过安全管理机构审批等），是否明确对重要活动进行逐级审批，由哪些部门/人员逐级审批。3）应检查经逐级审批的文档，查看是否具有各级批准人的签字和审批部门的盖章。c）应定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息。1）应检查审批事项的审查记录，查看是否对审批事项、审批部门、审批人的变更进行评审。1）具有审查记录。2）记录与文件要求一致。d）应记录审批过程并保存审批文档。1）应检查关键活动的审批过程记录，查看记录的审批程序与文件要求是否一致。1）具有各项活动的审批过程记录。2）记录与文件要求一致。4沟通和合作a）应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通，定期或不定期召开协调会议，共同协作处理信息安全问题。 1）应访谈安全主管，询问与其它部门之间及内部各部门管理人员之间的沟通、合作机制。部门间、，安全管理职能部门内部以及信息安全领导小组或者安全管理委员会是否定期召开会议。1）具有会议文件或会议记录。2）文件或记录中有会议内容等描述。2）应检查组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录，查看是否具有会议内容、会议时间、参加人员和会议结果等描述。3）应检查是否具有信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录（如会议记录/纪要，信息安全工作决策文档等）。b）应加强与兄弟单位、公安机关、电信公司的合作与沟通。1）应访谈安全主管，询问是否建立与公安机关、电信公司和兄弟单位等的沟通、合作机制。1）与兄弟单位等建立了某种方式的沟通合作机制。2）具有外联单位联系列表。3）列表说明外联单位包含公安机关等。2）应检查外联单位联系列表，查看外联单位是否包含公安机关、电信公司、兄弟公司等，是否说明外联单位的名称、联系人、合作内容和联系方式等内容。c）应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。1）应访谈安全主管，询问是否与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。1）与供应商等建立了某种方式的沟通合作机制。2）外联单位联系列表说明外联单位包含供应商等。2）应检查外联单位联系列表，查看外联单位是否包含供应商、业界专家、专业的安全公司和安全组织等，是否说明外联单位的名称、联系人、合作内容和联系方式等内容。d）应建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息。1）应检查外联单位联系列表，查看外联单位是否包含公安机关、电信公司、兄弟公司、供应商、业界专家、专业的安全公司和安全组织等，是否说明外联单位的名称、联系人、合作内容和联系方式等内容。1）具有外联单位联系列表。2）列表说明外联单位的名称等内容。e）应聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等。1）应访谈安全主管，询问是否聘请信息安全专家作为常年的安全顾问。1）安全顾问名单或者聘请安全顾问的证明文件。2）具有安全顾问参与评审的文档或记录。2）应检查是否具有安全顾问名单或者聘请安全顾问的证明文件。3）应检查是否具有安全顾问指导信息安全建设、参与安全规划和安全评审的相关文档或记录。5审核和检查a）安全管理员应负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。1）应访谈安全主管，询问是否组织人员定期对信息系统进行安全检查 查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况。1）定期实施安全检查。b）应由内部人员或上级单位定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。1）应访谈安全管理员，询问是否定期进行全面安全检查，安全检查是否包含现行技术措施有效性和管理制度执行情况等方面。1）具有安全检查制度。2）制度中明确了相关检查内容。2）应检查安全检查制度，查看是否明确检查内容包括技术措施有效性和安全管理制度执行情况等方面。c）应制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报。1）应访谈安全管理员，询问是否制定安全检查表格实施安全检查，是否对检查结果进行通报。1）具有安全检查表。2）具有安全检查报告。3）具有检查结果通告记录。2）应检查是否具有安全检查表格。3）应检查安全检查报告，查看报告日期与检查周期是否一致，报告中是否具有检查内容、检查时间、检查人员、检查数据汇总表、检查结果等的描述。d）应制定安全审核和安全检查制度规范安全审核和安全检查工作，定期按照程序进行安全审核和安全检查活动。1）应检查安全检查制度文档，查看文档是否规定检查内容、检查程序和检查周期等，检查内容是否包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。1）具有安全检查制度。2）制度中明确了定期进行全面安全检查，明确了检查内容等。3、 人员安全管理序号类别测评项测评实施预期结果说明1人员录用a）应指定或授权专门的部门或人员负责人员录用。1）应访谈安全主管，询问由何部门/何人负责安全管理和技术人员的录用工作。1）指定或授权专门的部门或人员负责录用工作。b）应严格规范人员录用过程，对被录用人的身份、背景、专业资格和资质等进行审查，对其所具有的技术技能进行考核。1）应访谈人事负责人，询问在人员录用时是否对被录用人的身份、背景、专业资格和资质进行审查，对技术人员的技术技能进行考核。1）文档中有人员录用的要求，说明录用人员应具备的条件。2）文档或记录中有审查内容和审查结果。3）具有技能考核文档或记录。2）应检查人员录用要求管理文档，查看是否说明录用人员应具备的条件，如学历、学位要求，技术人员应具备的专业技术水平，管理人员应具备的安全管理知识等。3）应检查技能考核文档或记录，查看是否记录考核内容和考核结果等。c）应签署保密协议。1）应访谈人事负责人，询问是否与录用后的技术人员签署保密协议。1）具有保密协议。2）协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容。2）应检查保密协议，查看是否具有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容。d）应从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议。1）应访谈人事负责人，询问是否设定关键岗位，对从事关键岗位的人员是否从内部人员中选拔，是否要求其签署岗位安全协议。1）具有岗位安全协议。2）协议中有安全责任定义、协议的有效期限和责任人签字等内容。2）应检查岗位安全协议，查看是否具有岗位安全责任、违约责任、协议的有效期限和责任人签字等内容。2人员离岗a）应严格规范人员离岗过程，及时终止即将离岗员工的所有访问权限。1）应访谈人事负责人，询问是否及时终止离岗人员的所有访问权限。1）文档有离岗管理的内容，规定了人员离岗要求。2）具有离岗人员所有访问权限终止的记录。2) 应检查人员离岗管理文档，查看是否规范人员离岗过程，并明确终止离岗人员的访问权限。b）应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。1）应访谈人事负责人，询问是否及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等。1）具有离岗人员交还身份证件、设备等的登记记录。2）应检查是否具有交还身份证件和设备等的登记记录。c）应办理严格的调离手续，关键岗位人员离岗须承诺调离后的保密义务后方可离开。1）应访谈人事负责人，询问人员离岗是否办理调离手续，是否要求关键岗位调离人员承诺相关保密义务后方可离开。 1）管理文档中规定了人员调离手续。2）具有按照离岗程序办理调离手续的记录。3）具有保密承诺文档。4）文档有调离人员的签字。2）应检查人员离岗管理文档，查看是否规定了调离手续和离岗要求等。 3）应检查保密承诺文档，查看是否具有调离人员签字。3人员考核a）应定期对各个岗位的人员进行安全技能及安全认知的考核。1）应访谈安全主管，询问对各个岗位人员是否定期进行安全技能考核。 1）具有安全技能考核记录。2）考核内容要求包含安全知识、安全技能等。2）应检查考核记录，查看记录的考核人员是否包括各个岗位的人员，考核内容是否包含安全知识、安全技能等。查看记录日期与考核周期是否一致。b）应对关键岗位的人员进行全面、严格的安全审查和技能考核。1）应访谈人员录用负责人员，询问对关键岗位人员的安全审查和考核与一般岗位人员有何不同，审查内容是否包括操作行为和社会关系等。1）对关键岗位人员进行安全审查。c）应对考核结果进行记录并保存。1）应检查是否具有各岗位人员考核记录，查看考核内容是否包含安全知识、安全技能等。查看记录日期与考核周期是否一致。1）具有考核记录。2）具有关键岗位的安全审查记录。2）应检查是否具有关键岗位人员的安全审查和考核记录，查看审查和考核内容是否包含安全知识、安全技能、操作行为和社会关系等。查看记录日期与考核周期是否一致。4安全意识教育和培训a）应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。1）应访谈安全主管，询问是否对各类人员（普通用户、运维人员、单位领导等）进行安全教育、岗位技能和安全技术培训。1）对各岗位人员进行了安全技能和意识培训。b）应对安全责任和惩戒措施进行书面规定并告知相关人员，对违反违背安全策略和规定的人员进行惩戒。 1）应访谈安全管理员、系统管理员、网络管理员和数据库管理员，考查其是否了解与工作相关的安全责任和惩戒措施等。 1）具有安全责任和惩戒措施管理文档。2）文档包含具体的安全责任和惩戒措施。2）应检查安全责任和惩戒措施管理文档，查看包括哪些具体的安全责任和惩戒措施。c）应对安全教育和培训进行书面规定，针对不同岗位制定不同的培训计划，对信息安全基础知识、岗位操作规程等进行培训。1）应访谈安全主管，询问是否针对不同岗位制定不同的培训计划，并按照计划对各个岗位人员进行安全教育和培训。1）具有安全教育和培训管理文档。2）不同岗位的培训计划。3）文档中明确了培训方式、培训对象、培训内容、培训时间和地点等，培训内容应包含信息安全基础知识、岗位操作规程等。2）应检查安全教育和培训管理文档，查看是否明确规定应进行安全教育和培训。 3) 应检查安全培训计划文档，查看是否具有不同岗位的培训计划。查看计划是否明确了培训目的、培训方式、培训对象、培训内容、培训时间和地点等，培训内容是否包含信息安全基础知识、岗位操作规程等。d）应对安全教育和培训的情况和结果进行记录并归档保存。1）应检查是否具有安全教育和培训的结果记录，查看记录中是否具有培训人员、培训内容、培训结果等的描述。查看记录与培训计划是否一致。1）具有安全教育和培训的结果记录。2）记录中有培训人员、培训内容、培训结果等的描述。3）记录应与培训计划一致。5外部人员访问管理a）应确保在外部人员访问机房等重要区域前先提出书面申请，批准后由专人全程陪同或监督，并登记备案。1）应检查外部人员访问相关规定，查看是否明确外部人员包括哪些人员，外部人员进入条件（对哪些重要区域的访问须提出书面申请批准后方可进入），外部人员进入的访问控制（由专人全程陪同或监督等）和外部人员的离开条件等。 1）具有外部人员访问管理文档。2）文档中明确允许外部人员访问的范围，外部人员进入的条件，外部人员进入的访问控制措施等。3）具有外部人员访问重要区域的书面申请文档。4）文档中有批准人允许访问的批准签字等。5）具有外部人员访问重要区域的登记记录。6）记录中有外部人员访问重要区域的进入时间、离开时间、访问区域及陪同人等。2）应检查外部人员访问重要区域批准文档，查看是否具有外部人员访问重要区域的书面申请，是否具有允许访问的批准签字等。3）应检查外部人员访问重要区域的登记记录，查看记录是否描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等。b）对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定，并按照规定执行。1）应检查外部人员访问相关规定，查看是否对允许外部人员访问的区域、系统、设备和信息等进行明确规定。1）具有外部人员访问相关规定。2）规定中应对允许外部人员访问的区域、系统、设备和信息等进行明确规定。4、 系统建设管理序号类别测评项测评实施预期结果说明1系统定级a）应明确信息系统的边界和安全保护等级。1）应访谈安全主管，询问是否明确信息系统的边界和安全保护等级。1）具有定级文档。2）定级文档中明确了信息系统边界。3）定级文档中明确了信息系统安全保护等级。2）应检查系统边界说明文档，查看文档是否明确信息系统边界和确定边界的理由。b）应以书面的形式说明确定信息系统为某个安全保护等级的方法和理由。1）应检查系统定级文档，查看文档是否明确信息系统的安全保护等级确定的方法和理由。 1）具有定级文档。2）定级文档中说明了确定信息系统安全保护等级的方法及理由。c）应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定。1）应访谈安全主管，询问是否组织相关部门和有关安全技术专家对定级结果进行论证和审定。1）具有定级结果论证评审会议文档。2）文档中包含有相关部门和有关安全技术专家对定级结果的论证意见。2）应检查定级结果论证文档，查看是否具有相关部门和专家对定级结果的论证意见。d）应确保信息系统的定级结果经过相关部门的批准。1）应访谈安全主管，询问定级结果是否获得了相关部门（如上级主管部门）的批准。 1）具有相关部门对信息系统定级结果的批复文件或者定级文档中有相关部门的盖章或签字。2）应检查系统定级文档，查看定级结果是否具有相关部门的批准盖章。2安全方案设计a）应根据系统的安全级别选择基本安全措施，并依据风险分析的结果补充和调整安全措施。1）应访谈系统建设负责人，询问系统选择基本安全措施的依据，是否依据安全保护等级选择，是否依据风险分析的结果补充和调整安全措施。1）系统建设/整改方案中有根据系统的安全级别选择基本安全措施的方法描述。2）系统建设/整改方案中有根据风险分析结果调整安全措施的内容。2）应检查系统建设/整改方案，是否根据系统的安全级别选择了基本安全措施。3）应检查系统建设/整改方案，是否依据风险分析结果调整和补偿了安全措施。b）应指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划。1）应访谈安全主管，询问是否授权专门的部门对信息系统的安全建设进行总体规划，由何部门/何人负责。1）部门岗位职责文档中说明有部门负责对信息系统的安全建设进行总体规划，或者有相关的授权文件。2）具有系统安全建设工作计划。3）系统安全建设工作计划中明确了近期和远期的安全建设计划。2）应检查系统的安全建设工作计划，查看文件是否明确了系统的近期安全建设计划和远期安全建设计划。c）应根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案，并形成配套文件。1）应访谈系统建设负责人，询问是否根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案等。1）具有包含系统总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等方面内容的文件。2）如是多个文件，文件内容之间相互保持一致。2）应检查是否有系统总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等配套文件。3）应检查配套文件之间是否保持一致。d）应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定，并且经过批准后，才能正式实施。1）应访谈系统建设负责人，询问是否组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定。1）具有针对配套文件的论证和评审记录或文档，记录或文档中有相关论证意见。2）应检查配套文件的论证评审记录或文档，查看是否有相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的论证意见。3）应查看各个文件是否有机构管理层的批准。e）应根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。1）应访谈系统建设负责人，询问总体安全策略、安全技术框架、安全管理策略等相关配套文件是否定期进行调整和修订。1）依据等级测评、安全评估的结果调整和修订前述配套文件的维护记录或修订版本。2）应检查是否具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本。3产品采购和使用a）应确保安全产品的采购和使用符合国家的有关规定。1）应访谈系统建设负责人，询问是否按照国家的相关规定进行采购和使用系统信息安全产品，。 1）抽样的安全产品具有相关凭证。2）应抽样检查安全产品的相关凭证，如销售许可等，查看是否使用了符合国家有关规定产品。b）应确保密码产品的采购和使用符合国家密码主管部门的要求。1）应访谈系统建设负责人，询问系统是否采用了密码产品，密码产品的使用是否符合国家密码主管部门的要求。1）抽样的密码产品具有相关凭证。2）应抽样检查密码产品的相关凭证，如销售许可等，查看是否使用了符合国家有关规定产品。c）应指定或授权专门的部门负责产品的采购。1）应访谈系统建设负责人，询问是否具有专门的部门负责产品的采购。1）部门职责文档中说明有专门的负责采购的部门，或者有相关的授权文件。2）应检查部门职责文档或授权文件，是否明确产品采购职责部门。d）应预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单。1）应访谈系统建设负责人，询问系统信息安全产品的采购情况，采购产品前是否预先对产品进行选型测试确定产品的候选范围，形成候选产品清单，是否定期审定和更新候选产品名单。1）具有产品选型测试结果文档。2）具有候选产品采购清单。3）具有候选产品的定期审定或更新记录。2）应检查是否具有产品选型测试结果记录和候选产品名单及更新记录。4自行软件开发a）应确保开发环境与实际运行环境物理分开，开发人员和测试人员分离，测试数据和测试结果受到控制。1）应访谈系统建设负责人，询问系统是否自主开发软件，是否在独立的开发环境中编写、调试和完成。是否要求开发人员不能做测试工作，是否控制测试数据和测试结果。1）网络拓扑图表明实际运行环境和开发环境间有效隔离。2）人员岗位对应关系表中的开发人员与测试人员不同。3）具有源代码、测试数据和测试结果的使用控制记录。2）应检查是否具有软件开发相关文档（源代码、测试数据、测试结果等）的使用控制记录。3）应检查网络拓扑图和实际开发环境，查看是否实际运行环境和开发环境有效隔离。b）应制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则。1）应检查是否具有软件开发管理制度。1）具有软件开发管理制度。2）软件开发管理制度中有相应内容。c）应制定代码编写安全规范，要求开发人员参照规范编写代码。1）应检查是否具有代码编写安全规范。1）具有代码编写安全规范。2）源代码按照代码编写安全规范开发。d）应确保提供软件设计的相关文档和使用指南，并由专人负责保管。1）应访谈系统建设负责人，询问是否由专人保管软件设计的相关文档。1）具有软件设计相关文档。2）软件使用指南或操作手册等。3）专人负责文档保管。2）应检查是否具有软件设计的相关文档（应用软件设计程序文件、源代码说明文档等）和软件使用指南或操作手册和维护手册等。e）应确保对程序资源库的修改、更新、发布进行授权和批准。1）应访谈系统建设负责人，询问是否对程序资源库的修改、更新、发布进行授权和批准。1）具体部门和人员负责对程序资源库的修改、更新、发布进行授权及批准。2）具有对程序资源库的修改、更新、发布进行授权和审批的文档或记录。2）应检查程序资源库的修改、更新、发布文档或记录，查看是否具有批准人的签字。5外包软件开发a）应根据开发需求检测软件质量。1）应访谈系统建设负责人，询问软件交付前是否依据开发协议的技术指标对软件功能和性能等进行验收检测。 1）具有软件验收测试结果记录。2）软件验收测试结果记录内容包括需求说明文档中的内容。2）应检查软件验收测试结果记录，并检查测试内容是否与软件需求说明文档一致。b）应在软件安装之前检测软件包中可能存在的恶意代码。1）应访谈系统建设负责人，软件安装之前是否检测软件中的恶意代码，检测工具是否是第三方的商业产品。1）具有针对软件包的恶意代码检测报告，如防病毒软件扫描结果等。2）应检查是否有针对该软件包的恶意代码检测报告。c）应要求开发单位提供软件设计的相关文档和使用指南。1）应访谈系统建设负责人，询问是否具有软件设计的相关文档和使用指南。1）具有软件开发的相关文档，如需求分析说明书、软件设计说明书、测试文档等。2）具有软件操作手册或使用指南。2）应检查是否具有需求分析说明书、软件设计说明书、软件操作手册等开发文档。d）应要求开发单位提供软件源代码，并审查软件中可能存在的后门。1）应访谈系统建设负责人，询问开发单位是否提供了软件源代码，对其是否经过审查明确不存在后门。1）具有软件源代码。2）具有源代码审查记录或表明不存在后门的证明文件。2）应检查软件源代码审查记录，查看是否包括对可能存在后门的审查结果。6工程实施a）应指定或授权专门的部门或人员负责工程实施过程的管理。1）应访谈系统建设负责人，询问是否指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制。1）部门职责文档中明确说明有部门或人员负责工程实施过程管理，或有相关授权文件。2）应检查部门或人员岗位职责文档或授权文件，是否将工程实施过程的管理职责指定或授权了某部门或人员负责。b）应制定详细的工程实施方案控制实施过程，并要求工程实施单位能正式地执行安全工程过程。1）应检查工程实施方案，查看其是否规定工程时间限制、进度、控制、质量控制等方面内容，工程实施过程是否按照实施方案形成各种文档，如阶段性工程进程汇报报告。1）具有工程实施方案。2）工程实施方案包括相关控制内容。3）具有按照工程实施方案进行各类控制的过程文档和阶段性文档。c）应制定工程实施方面的管理制度，明确说明实施过程的控制方法和人员行为准则。1）应检查工程实施管理制度，查看其是否规定工程实施过程的控制方法（如内部阶段性控制或外部监理单位控制）和实施参与人员的各种行为等方面内容。1）具有工程实施方面的管理制度。2）管理制度中有工程实施过程的控制方法、实施参与人员的行为准则等内容。7测试验收a）应委托公正的第三方测试单位对系统进行安全性测试，并出具安全性测试报告。1）应访谈系统建设负责人，询问在信息系统正式运行前，是否委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试。1）具有系统安全性测试报告。2）测试报告有第三方测试单位的签字或盖章。2）应检查是否具有第三方测试机构出示的系统安全性测试验收报告。b）应在测试验收前根据设计方案或合同要求等制订测试验收方案，测试验收过程中详细记录测试验收结果，形成测试验收报告。1）应检查工程测试验收方案，查看其是否对参与验收部门、人员、现场操作过程等进行要求。查看测试记录是否详细记录了测试时间、人员、操作过程、测试结果等方面内容。查看测试报告是否提出存在问题及改进意见等。1）具有测试验收方案。2）测试验收方案与设计方案或合同要求内容一致。3）测试验收方案中有参与测试的部门、人员、测试验收内容、现场操作过程等内容。4）具有测试验收报告。5）测试验收报告或测试验收记录中详细记录了验收结果。c）应对系统测试验收的控制方法和人员行为准则进行书面规定。1）应检查测试验收管理制度，查看其是否规定系统验收测试的过程控制和参与人员的行为等方面内容。1）具有系统测试验收方面的管理制度。2）管理制度中有对系统测试验收的控制方法和人员行为准则规定。d）应指定或授权专门的部门负责系统测试验收的管理，并按照管理制度的要求完成系统测试验收工作。1）应访谈系统建设负责人，询问是否指定专门部门负责测试验收工作。1）部门岗位职责文档中说明有部门负责系统测试验收的管理工作或者有相关的授权文件。2）应检查部门职责文档或授权文件，是否明确系统测试验收的职责部门。e）应组织相关部门和相关人员对系统测试验收报告进行审定，并签字确