3安全管理测评指导书-三级S3A3G3-10版1282.docx

《3安全管理测评指导书-三级S3A3G3-10版1282.docx》由会员分享，可在线阅读，更多相关《3安全管理测评指导书-三级S3A3G3-10版1282.docx（59页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、公安部信息安全等级保护评估中心1、 安全管理理制度序号类别测评项测评实施施预期结果果说明1管理制度度a）应制制定信息息安全工工作的总总体方针针和安全全策略，说说明机构构安全工工作的总总体目标标、范围围、原则则和安全全框架等等。1）应检检查信息息安全工工作的总总体方针针和安全全策略，查查看文件件是否明明确机构构安全工工作的总总体目标标、范围围、原则则和安全全框架等等。1）具有有信息安安全工作作的总体体方针和和安全策策略。2）总体体方针和和安全策策略里明明确了机机构安全全工作的的总体目目标、范范围、原原则和安安全框架架等。b）应对对安全管管理活动动中的各各类管理理内容建建立安全全管理制制度。1）应

2、检检查各项项安全管管理制度度，查看看是否覆覆盖安全全管理活活动中的的各类管管理内容容（制度管管理、机机构管理理、人员员管理、系系统建设设管理和运运维管理理等方面面）。1）建立立了安全全管理制制度。2）安全全管理制制度覆盖盖了机构构管理、制度管管理、人人员管理理、系统统建设和和运维等等层面的的管理内内容。c）应对对安全管管理人员员或操作作人员执执行的日日常管理理操作建建立操作作规程。1）应检检查是否否具有对对重要管管理操作作的操作作规程，如如系统维维护手册册和用户户操作规规程等。1）具有有日常管管理操作作的操作作规程。2）操作作规程覆覆盖了物物理、网网络、主主机、应应用等层层面的重重要操作作规程

3、（如如系统维维护手册册和用户户操作规规程等）。d）应形形成由安安全政策策、管理理制度、操操作规程程等构成成的全面面的信息息安全管管理制度度体系。1）应访访谈安全全主管，询询问机构构是否形形成全面面的信息息安全管管理制度度体系，制制度体系系是否由由安全政政策、管管理制度度、操作作规程等等构成。1）具有有各项管管理制度度。2）内容容覆盖全全面，由由总体方方针、安安全策略略、管理理制度、操操作规程程等构成成，形成成了全面面的信息息安全管管理制度度体系。2制定和发发布a）应指指定或授授权专门门的部门门或人员员负责安安全管理理制度的的制定。1）应访访谈安全全主管，询询问由何何部门或或人员负负责安全全管理

4、制制度的制制定，参参与制定定人员有有哪些。1）具有有人员职职责或岗岗位设置置等相关关文件。2）文件件明确了了由专门门的部门门或人员员负责安安全管理理制度的的制定工工作。2）应检检查人员员职责、岗岗位设置置等相关关管理制制度文件件，查看看是否明明确由专专门的部部门或人人员负责责安全管管理制度度的制定定工作。b）安全全管理制制度应具具有统一一的格式式，并进进行版本本控制。1）应检检查安全全管理制制度制定定和发布布要求管管理文档档，查看看文档是是否说明明安全管管理制度度的格式式要求、版版本编号号。1）具有有关于管管理制度度的格式式和版本控制制的相关关文档。2）相关关管理文文档内容容覆盖了了包括管管理

5、制度度的格式式标准或或要求以以及版本本控制等等内容。3）各项项安全管管理制度度具有统统一的格格式并进进行了版版本控制制。2）应检检查安全全管理制制度文档档，查看看是否具具有版本本标识，查查看各项项制度文文档格式式是否统统一。c）应组组织相关关人员对对制定的的安全管管理进行行论证和和审定。1）应访访谈安全全主管，询询问安全全管理制制度的制制定程序序，是否否对制定定的安全全管理制制度进行行论证和和审定，论论证和审审定方式式如何（如如召开评评审会、函函审、内内部审核核等）。1）具有有管理制制度评审审记录，有有评审意意见。2）应检检查管理理制度评评审记录录，查看看是否具具有相关关人员的的评审意意见。d

6、）安全全管理制制度应通通过正式式、有效效的方式式发布。1）应检检查安全全管理制制度制定定和发布布要求管管理文档档，查看看文档是是否说明明安全管管理制度度的制定定、发布布程序和和发布范范围等各各项要求求。1）具有有制度制制定和发发布要求求的管理理文档。2）文档档内容覆覆盖安全全管理制制度制定定和发布布程序。3）各项项安全管管理制度度文档都都是通过过正式、有有效的方方式发布布的，如如具有版版本标识识和管理理层的签签字或单单位盖章章。e）安全全管理制制度应注注明发布布范围，并并对收发发文进行行登记。1）应检检查安全全管理制制度的收收发登记记记录，查查看收发发是否通通过正式式、有效效的方式式（如正正式

7、发文文、领导导签署和和单位盖盖章等），是是否注明明管理制制度的发发布范围围。1）具有有安全管管理制度度的收发发登记记记录。2）注明明了安全全制度发发布范围围。若以电子子形式发发布的管管理制度度，关注注版本控控制和发发布范围围3评审和修修订a）信息息安全领领导小组组应负责责定期组组织相关关部门和和相关人人员对安安全管理理制度体体系的合合理性和和适用性性进行审审定。1）应访访谈安全全主管，询询问是否否由信息息安全领领导小组组负责定定期对安安全管理理制度体体系的合合理性和和适用性性进行审审定，审审定周期期多长。1）具有有安全管管理制度度体系的的评审记记录。2）评审审内容符符合要求求。3）评审审周期符

8、符合要求求。2）应检检查是否否具有安安全管理理制度体体系的评评审记录录，查看看实际评审审周期是是否符合合要求，是是否记录录了相关关人员的的评审意意见。b）应定定期或不不定期对对安全管管理制度度进行检检查和审审定，对对存在不不足或需需要改进进的安全全管理制制度进行行修订。1）应访访谈安全全主管，询询问是否否对管理理制度定定期修订订，修订订周期多多长。询问系系统发生生重大安安全事故故、出现现新的安安全漏洞洞以及技技术基础础结构和和组织结结构等发发生变更更时是否否对安全全管理制制度进行行检查，对对需要改改进的制制度进行行修订。1）具有有安全管管理制度度的检查查或评审审记录。2）如果果有修订订版本，具

9、具有修订订版本的的安全管管理制度度。2）应检检查是否否具有安安全管理理制度修修订记录录。2、 安全管理理机构序号类别测评项测评实施施预期结果果说明1岗位设置置a）应设设立信息息安全管管理工作作的职能能部门，设设立安全全主管、安安全管理理各个方方面的负负责人岗岗位，并并定义各各负责人人的职责责。1）应访访谈安全全主管，询询问是否否设立安安全管理理机构（即即信息安安全管理理工作的的职能部部门）。机构内内部门设设置情况况如何，是是否设立立安全主主管及安安全管理理各个方方面的负负责人，是是否明确确各部门门和各负负责人的的职责。1）具有有部门、岗岗位职责责文件。2）文件件中明确确了职能能部门、安安全主管

10、管、负责责人等相相关职责责。2）应检检查部门门、岗位位职责文文件，查查看文件件是否明明确安全全管理机机构的职职责，是是否明确确机构内内各部门门和各负负责人的的职责和和分工。b）应设设立系统统管理员员、网络络管理员员、安全全管理员员等岗位，并并定义各各个工作作岗位的的职责。1）应访访谈安全全主管，询询问设置置了哪些些工作岗岗位（如如安全主主管、安安全管理理各个方方面的负负责人、机机房管理理员、系系统管理理员、网网络管理理员、安安全管理理员等重重要岗位位），是是否明确确各个岗岗位的职职责分工工。1）具有有部门、岗岗位职责责文件。2）文件件中明确确了系统统管理员员等相关关岗位的的工作职职责。2）应检

11、检查文件件是否明明确设置置安全主主管、安安全管理理各个方方面的负负责人、机机房管理理员、系系统管理理员、网网络管理理员、安安全管理理员等各各个岗位位，各个个岗位的的职责范范围是否否清晰、明明确。c）应成成立指导导和管理理信息安安全工作作的委员员会或领领导小组组，其最最高领导导由单位位主管领领导委任任或授权权。1）应访访谈安全全主管，询询问是否否设立指指导和管管理信息息安全工工作的委委员会或或领导小小组，其其最高领领导是否否由单位位主管领领导委任任或授权权的人员员担任。1）具有有成立信信息安全全工作委委员会或或领导小小组的正正式文件件。2）具有有委员会会或领导导小组职职责文件件。3）文件件中明确

12、确了领导导小组职职责和最最高领导导岗位职职责。2）应检检查信息息安全工工作委员员会或领领导小组组的成立立文件，查查看最高高领导是是否由单单位主管管领导委委任或授授权。3）应检检查部门门、岗位位职责文文件，查查看是否否明确信信息安全全管理委委员会或或领导小小组的职职责。d）应制制定文件件明确安安全管理理机构各各个部门门和岗位位的职责责、分工工和技能能要求。1）应检检查部门门、岗位位职责文文件，查查看文件件是否明明确委员员会的职职责和安安全管理理机构的的职责。是否明明确机构构内各部部门的职职责和分分工。是否明明确设置置安全主主管、安安全管理理各个方方面的负负责人、机机房管理理员、系系统管理理员、网

13、网络管理理员、安安全管理理员等各各个岗位位的职责责范围。查看文文件是否否明确各各个岗位位人员应应具有的的技能要要求。1）具有有部门、岗岗位职责责的正式式文件。2）文件件中包含含管理机机构内各各部门和和岗位职职责，包包含各个个岗位人人员的技技能要求求。2人员配备备a）应配配备一定定数量的的系统管管理员、网网络管理理员、安安全管理理员等。1）应访访谈安全全主管，询询问各个个安全管管理岗位位人员（如如机房管管理员、系系统管理理员、网网络管理理员、安安全管理理员等重重要岗位位人员）配配备情况况。1）具有有岗位与与人员对对应关系系表。2）表中中每个岗岗位都有有对应的的人员。2）应检检查管理理人员名名单，

14、查查看其是是否明确确机房管管理员、系系统管理理员、网网络管理理员、安安全管理理员等重重要岗位位人员的的信息。b）应配配备专职职安全管管理员，不不可兼任任。1）应访访谈安全全主管，询询问安全全管理员员的配备备情况，是是否是专专职。1）具有有岗位与与人员对对应关系系表。2）确认认表中的的安全管管理员是是专职人人员。安全管理理员不得得兼任同同一系统统的系统统管理员员2）应检检查管理理人员名名单，确确认安全全管理员员是否是是专职人人员。c）关键键事务岗岗位应配配备多人人共同管管理。1）应访访谈安全全主管，询询问哪些些关键事事物需要要配备22人或2人以上上共同管管理，人人员具体体配备情情况如何何。1）具

15、有有岗位与与人员对对应关系系表。2）确认认表中关关键岗位位配备多多人。2）应检检查管理理人员名名单，查查看关键键岗位是是否配备备多人。3授权和审审批a）应根根据各个个部门和和岗位的的职责明明确授权权审批事事项、审审批部门门和批准准人等。1）应访访谈安全全主管，询询问对哪哪些信息息系统活活动进行行审批，审审批部门门是何部部门，审审批人是是何人。1）明确确了各项项审批事事项的审审批部门门和审批批人。b）应针针对系统统变更、重重要操作作、物理理访问和和系统接接入等事事项建立立审批程程序，按按照审批批程序执执行审批批过程，对对重要活活动建立立逐级审审批制度度。1）应访访谈安全全主管，询询问其对对重要活

16、活动的审审批范围围（如系系统变更更、重要要操作、物物理访问问和系统统接入、重重要管理理制度的的制定和和发布、人人员的配配备和培培训、产产品的采采购、外外部人员员的访问问等），审审批程序序如何，其其中是否否需要需需要逐级级审批。1）与审审批活动动相关的的制度（如如变更管管理、产产品采购购、机房房管理等等）中明明确了审审批程序序以及重重要活动动的逐级级审批流流程。2）具有有经过逐逐级审批批的文档档。2）应检检查各类类管理制制度文档档，查看看文档中中是否明明确事项项的审批批程序（如如列表说说明哪些些事项应应经过信信息安全全领导小小组审批批，哪些些事项应应经过安安全管理理机构审审批等），是是否明确确对

17、重要要活动进进行逐级级审批，由由哪些部部门/人员逐逐级审批批。3）应检检查经逐逐级审批批的文档档，查看看是否具具有各级级批准人人的签字字和审批批部门的的盖章。c）应定定期审查查审批事事项，及及时更新新需授权权和审批批的项目目、审批批部门和和审批人人等信息息。1）应检检查审批批事项的的审查记记录，查查看是否否对审批批事项、审审批部门门、审批批人的变变更进行行评审。1）具有有审查记记录。2）记录录与文件件要求一一致。d）应记记录审批批过程并并保存审审批文档档。1）应检检查关键键活动的的审批过过程记录录，查看看记录的的审批程程序与文文件要求求是否一一致。1）具有有各项活活动的审审批过程程记录。2）记

18、录录与文件件要求一一致。4沟通和合合作a）应加加强各类类管理人人员之间间、组织织内部机机构之间间以及信信息安全全职能部部门内部部的合作作与沟通通，定期期或不定定期召开开协调会会议，共共同协作作处理信信息安全全问题。1）应访访谈安全全主管，询询问与其其它部门门之间及及内部各各部门管管理人员员之间的的沟通、合合作机制制。部门间间、，安全全管理职职能部门门内部以及信息息安全领领导小组组或者安安全管理理委员会会是否定定期召开开会议。1）具有有会议文文件或会会议记录录。2）文件件或记录录中有会会议内容容等描述述。2）应检检查组织织内部机机构之间间以及信信息安全全职能部部门内部部的安全全工作会会议文件件或

19、会议议记录，查查看是否否具有会会议内容容、会议议时间、参参加人员员和会议议结果等等描述。3）应检检查是否否具有信信息安全全管理委委员会或或领导小小组安全全管理工工作执行行情况的的文件或或工作记记录（如如会议记记录/纪要，信信息安全全工作决决策文档档等）。b）应加加强与兄兄弟单位位、公安安机关、电电信公司司的合作作与沟通通。1）应访访谈安全全主管，询询问是否否建立与与公安机机关、电电信公司司和兄弟弟单位等等的沟通通、合作作机制。1）与兄兄弟单位位等建立立了某种种方式的的沟通合合作机制制。2）具有有外联单单位联系系列表。3）列表表说明外外联单位位包含公公安机关关等。2）应检检查外联联单位联联系列表

20、表，查看看外联单单位是否否包含公公安机关关、电信信公司、兄兄弟公司司等，是是否说明明外联单单位的名名称、联联系人、合合作内容容和联系系方式等等内容。c）应加加强与供供应商、业业界专家家、专业业的安全全公司、安安全组织织的合作作与沟通通。1）应访访谈安全全主管，询询问是否否与供应应商、业业界专家家、专业业的安全全公司、安安全组织织等建立立沟通、合合作机制制。1）与供供应商等等建立了了某种方方式的沟沟通合作作机制。2）外联联单位联联系列表表说明外外联单位位包含供供应商等等。2）应检检查外联联单位联联系列表表，查看看外联单单位是否否包含供供应商、业业界专家家、专业业的安全全公司和和安全组组织等，是是

21、否说明明外联单单位的名名称、联联系人、合合作内容容和联系系方式等等内容。d）应建建立外联联单位联联系列表表，包括括外联单单位名称称、合作作内容、联联系人和和联系方方式等信信息。1）应检检查外联联单位联联系列表表，查看看外联单单位是否否包含公公安机关关、电信信公司、兄兄弟公司司、供应应商、业业界专家家、专业业的安全全公司和和安全组组织等，是是否说明明外联单单位的名名称、联联系人、合合作内容容和联系系方式等等内容。1）具有有外联单单位联系系列表。2）列表表说明外外联单位位的名称称等内容容。e）应聘聘请信息息安全专专家作为为常年的的安全顾顾问，指指导信息息安全建建设，参参与安全全规划和和安全评评审等

22、。1）应访访谈安全全主管，询询问是否否聘请信信息安全全专家作作为常年年的安全全顾问。1）安全全顾问名名单或者者聘请安安全顾问问的证明明文件。2）具有有安全顾顾问参与与评审的的文档或或记录。2）应检检查是否否具有安安全顾问问名单或或者聘请请安全顾顾问的证证明文件件。3）应检检查是否否具有安全全顾问指指导信息息安全建建设、参参与安全全规划和和安全评评审的相相关文档档或记录录。5审核和检检查a）安全全管理员员应负责责定期进进行安全全检查，检检查内容容包括系系统日常常运行、系系统漏洞洞和数据据备份等等情况。1）应访访谈安全全主管，询询问是否否组织人人员定期期对信息息系统进进行安全全检查查查看检查查内容

23、是是否包括括系统日日常运行行、系统统漏洞和和数据备备份等情情况。1）定期期实施安安全检查查。b）应由由内部人人员或上上级单位位定期进进行全面面安全检检查，检检查内容容包括现现有安全全技术措措施的有有效性、安安全配置置与安全全策略的的一致性性、安全全管理制制度的执执行情况况等。1）应访访谈安全全管理员员，询问问是否定定期进行行全面安安全检查查，安全全检查是是否包含含现行技技术措施施有效性性和管理理制度执执行情况况等方面面。1）具有有安全检检查制度度。2）制度度中明确确了相关关检查内内容。2）应检检查安全全检查制制度，查查看是否否明确检检查内容容包括技技术措施施有效性性和安全全管理制制度执行行情况

24、等等方面。c）应制制定安全全检查表表格实施施安全检检查，汇汇总安全全检查数数据，形形成安全全检查报报告，并并对安全全检查结结果进行行通报。1）应访访谈安全全管理员员，询问问是否制制定安全全检查表表格实施施安全检检查，是是否对检检查结果果进行通通报。1）具有有安全检检查表。2）具有有安全检检查报告告。3）具有有检查结结果通告告记录。2）应检检查是否否具有安安全检查查表格。3）应检检查安全全检查报报告，查查看报告告日期与与检查周周期是否否一致，报报告中是是否具有有检查内内容、检检查时间间、检查查人员、检检查数据据汇总表表、检查查结果等等的描述述。d）应制制定安全全审核和和安全检检查制度度规范安安全

25、审核核和安全全检查工工作，定定期按照照程序进进行安全全审核和和安全检检查活动动。1）应检检查安全全检查制制度文档档，查看看文档是是否规定定检查内内容、检检查程序序和检查查周期等等，检查查内容是是否包括括现有安安全技术术措施的的有效性性、安全全配置与与安全策策略的一一致性、安安全管理理制度的的执行情情况等。1）具有有安全检检查制度度。2）制度度中明确确了定期期进行全全面安全全检查，明明确了检检查内容容等。3、 人员安全全管理序号类别测评项测评实施施预期结果果说明1人员录用用a）应指指定或授授权专门门的部门门或人员员负责人人员录用用。1）应访访谈安全全主管，询询问由何何部门/何人负负责安全全管理和

26、和技术人人员的录录用工作作。1）指定定或授权权专门的的部门或或人员负负责录用用工作。b）应严严格规范范人员录录用过程程，对被被录用人人的身份份、背景景、专业业资格和和资质等等进行审审查，对对其所具具有的技技术技能能进行考考核。1）应访访谈人事事负责人人，询问问在人员员录用时时是否对对被录用用人的身身份、背背景、专专业资格格和资质质进行审审查，对对技术人人员的技技术技能能进行考考核。1）文档档中有人人员录用用的要求求，说明明录用人人员应具具备的条条件。2）文档档或记录录中有审审查内容容和审查查结果。3）具有有技能考考核文档档或记录录。2）应检检查人员员录用要要求管理理文档，查查看是否否说明录录用

27、人员员应具备备的条件件，如学学历、学学位要求求，技术术人员应应具备的的专业技技术水平平，管理理人员应应具备的的安全管管理知识识等。3）应检检查技能能考核文文档或记记录，查查看是否否记录考考核内容容和考核核结果等等。c）应签签署保密密协议。1）应访访谈人事事负责人人，询问问是否与与录用后后的技术术人员签签署保密密协议。1）具有有保密协协议。2）协议议中有保保密范围围、保密密责任、违违约责任任、协议议的有效效期限和和责任人人的签字字等内容容。2）应检检查保密密协议，查查看是否否具有保保密范围围、保密密责任、违违约责任任、协议议的有效效期限和和责任人人的签字字等内容容。d）应从从内部人人员中选选拔从

28、事事关键岗岗位的人人员，并并签署岗岗位安全全协议。1）应访访谈人事事负责人人，询问问是否设设定关键键岗位，对对从事关关键岗位位的人员员是否从从内部人人员中选选拔，是是否要求求其签署署岗位安安全协议议。1）具有有岗位安安全协议议。2）协议议中有安安全责任任定义、协协议的有有效期限限和责任任人签字字等内容容。2）应检检查岗位位安全协协议，查查看是否否具有岗岗位安全全责任、违违约责任任、协议议的有效效期限和和责任人人签字等等内容。2人员离岗岗a）应严严格规范范人员离离岗过程程，及时时终止即即将离岗岗员工的的所有访访问权限限。1）应访访谈人事事负责人人，询问问是否及及时终止止离岗人人员的所所有访问问权

29、限。1）文档档有离岗岗管理的的内容，规规定了人人员离岗岗要求。2）具有有离岗人人员所有有访问权权限终止止的记录录。2) 应应检查人人员离岗岗管理文文档，查查看是否否规范人人员离岗岗过程，并并明确终终止离岗岗人员的的访问权权限。b）应取取回各种种身份证证件、钥钥匙、徽徽章等以以及机构构提供的的软硬件件设备。1）应访访谈人事事负责人人，询问问是否及及时取回回离岗人人员的各各种身份份证件、钥钥匙、徽徽章等以以及机构构提供的的软硬件件设备等等。1）具有有离岗人人员交还还身份证证件、设设备等的的登记记记录。2）应检检查是否否具有交交还身份份证件和和设备等等的登记记记录。c）应办办理严格格的调离离手续，关

30、关键岗位位人员离离岗须承承诺调离离后的保保密义务务后方可可离开。1）应访访谈人事事负责人人，询问问人员离离岗是否否办理调调离手续续，是否否要求关关键岗位位调离人人员承诺诺相关保保密义务务后方可可离开。1）管理理文档中中规定了了人员调调离手续续。2）具有有按照离离岗程序序办理调调离手续续的记录录。3）具有有保密承承诺文档档。4）文档档有调离离人员的的签字。2）应检检查人员员离岗管管理文档档，查看看是否规规定了调调离手续续和离岗岗要求等等。3）应检检查保密密承诺文文档，查查看是否否具有调调离人员员签字。3人员考核核a）应定定期对各各个岗位位的人员员进行安安全技能能及安全全认知的的考核。1）应访访谈

31、安全全主管，询询问对各各个岗位位人员是是否定期期进行安安全技能能考核。1）具有有安全技技能考核核记录。2）考核核内容要要求包含含安全知知识、安安全技能能等。2）应检检查考核核记录，查查看记录录的考核核人员是是否包括括各个岗岗位的人人员，考考核内容容是否包包含安全全知识、安安全技能能等。查看记记录日期期与考核核周期是是否一致致。b）应对对关键岗岗位的人人员进行行全面、严严格的安安全审查查和技能能考核。1）应访访谈人员员录用负负责人员员，询问问对关键键岗位人人员的安安全审查查和考核核与一般般岗位人人员有何何不同，审审查内容容是否包包括操作作行为和和社会关关系等。1）对关关键岗位位人员进进行安全全审

32、查。c）应对对考核结结果进行行记录并并保存。1）应检检查是否否具有各各岗位人人员考核核记录，查查看考核核内容是是否包含含安全知知识、安安全技能能等。查看记记录日期期与考核核周期是是否一致致。1）具有有考核记记录。2）具有有关键岗岗位的安安全审查查记录。2）应检检查是否否具有关关键岗位位人员的的安全审审查和考考核记录录，查看看审查和和考核内内容是否否包含安安全知识识、安全全技能、操操作行为为和社会会关系等等。查看记记录日期期与考核核周期是是否一致致。4安全意识识教育和和培训a）应对对各类人人员进行行安全意意识教育育、岗位位技能培培训和相相关安全全技术培培训。1）应访访谈安全全主管，询询问是否否对

33、各类类人员（普普通用户户、运维维人员、单单位领导导等）进进行安全全教育、岗岗位技能能和安全全技术培培训。1）对各各岗位人人员进行行了安全全技能和和意识培培训。b）应对对安全责责任和惩惩戒措施施进行书书面规定定并告知知相关人人员，对对违反违违背安全全策略和和规定的的人员进进行惩戒戒。1）应访访谈安全全管理员员、系统统管理员员、网络络管理员员和数据据库管理理员，考考查其是是否了解解与工作作相关的的安全责责任和惩惩戒措施施等。1）具有有安全责责任和惩惩戒措施施管理文文档。2）文档档包含具具体的安安全责任任和惩戒戒措施。2）应检检查安全全责任和和惩戒措措施管理理文档，查查看包括括哪些具具体的安安全责任

34、任和惩戒戒措施。c）应对对安全教教育和培培训进行行书面规规定，针针对不同同岗位制制定不同同的培训训计划，对对信息安安全基础础知识、岗岗位操作作规程等等进行培培训。1）应访访谈安全全主管，询询问是否否针对不不同岗位位制定不不同的培培训计划划，并按按照计划划对各个个岗位人人员进行行安全教教育和培培训。1）具有有安全教教育和培培训管理理文档。2）不同同岗位的的培训计计划。3）文档档中明确确了培训训方式、培培训对象象、培训训内容、培培训时间间和地点点等，培培训内容容应包含含信息安安全基础础知识、岗岗位操作作规程等等。2）应检检查安全全教育和和培训管管理文档档，查看看是否明明确规定定应进行行安全教教育和

35、培培训。3) 应应检查安安全培训训计划文文档，查查看是否否具有不不同岗位位的培训训计划。查看计计划是否否明确了了培训目目的、培培训方式式、培训训对象、培培训内容容、培训训时间和和地点等等，培训训内容是是否包含含信息安安全基础础知识、岗岗位操作作规程等等。d）应对对安全教教育和培培训的情情况和结结果进行行记录并并归档保保存。1）应检检查是否否具有安安全教育育和培训训的结果果记录，查查看记录录中是否否具有培培训人员员、培训训内容、培培训结果果等的描描述。查看记记录与培培训计划划是否一一致。1）具有有安全教教育和培培训的结结果记录录。2）记录录中有培培训人员员、培训训内容、培培训结果果等的描描述。3

36、）记录录应与培培训计划划一致。5外部人员员访问管管理a）应确确保在外外部人员员访问机机房等重重要区域域前先提提出书面面申请，批批准后由由专人全全程陪同同或监督督，并登登记备案案。1）应检检查外部部人员访访问相关关规定，查查看是否否明确外外部人员员包括哪哪些人员员，外部部人员进进入条件件（对哪哪些重要要区域的的访问须须提出书书面申请请批准后后方可进进入），外外部人员员进入的的访问控控制（由由专人全全程陪同同或监督督等）和和外部人人员的离离开条件件等。1）具有有外部人人员访问问管理文文档。2）文档档中明确确允许外外部人员员访问的的范围，外外部人员员进入的的条件，外外部人员员进入的的访问控控制措施施

37、等。3）具有有外部人人员访问问重要区区域的书书面申请请文档。4）文档档中有批批准人允允许访问问的批准准签字等等。5）具有有外部人人员访问问重要区区域的登登记记录录。6）记录录中有外外部人员员访问重重要区域域的进入入时间、离离开时间间、访问问区域及及陪同人人等。2）应检检查外部部人员访访问重要要区域批批准文档档，查看看是否具具有外部部人员访访问重要要区域的的书面申申请，是是否具有有允许访访问的批批准签字字等。3）应检检查外部部人员访访问重要要区域的的登记记记录，查查看记录录是否描描述了外外部人员员访问重重要区域域的进入入时间、离离开时间间、访问问区域、访访问设备备或信息息及陪同同人等。b）对外外

38、部人员员允许访访问的区区域、系系统、设设备、信信息等内内容应进进行书面面的规定定，并按按照规定定执行。1）应检检查外部部人员访访问相关关规定，查查看是否否对允许许外部人人员访问问的区域域、系统统、设备备和信息息等进行行明确规规定。1）具有有外部人人员访问问相关规规定。2）规定定中应对对允许外外部人员员访问的的区域、系系统、设设备和信信息等进进行明确确规定。4、 系统建设设管理序号类别测评项测评实施施预期结果果说明1系统定级级a）应明明确信息息系统的的边界和和安全保保护等级级。1）应访访谈安全全主管，询询问是否否明确信信息系统统的边界界和安全全保护等等级。1）具有有定级文文档。2）定级级文档中中

39、明确了了信息系系统边界界。3）定级级文档中中明确了了信息系系统安全全保护等等级。2）应检检查系统统边界说说明文档档，查看看文档是是否明确确信息系系统边界界和确定定边界的的理由。b）应以以书面的的形式说说明确定定信息系系统为某某个安全全保护等等级的方方法和理理由。1）应检检查系统统定级文文档，查查看文档档是否明明确信息息系统的的安全保保护等级级确定的的方法和和理由。1）具有有定级文文档。2）定级级文档中中说明了了确定信信息系统统安全保保护等级级的方法法及理由由。c）应组组织相关关部门和和有关安安全技术术专家对对信息系系统定级级结果的的合理性性和正确确性进行行论证和和审定。1）应访访谈安全全主管，

40、询询问是否否组织相相关部门门和有关关安全技技术专家家对定级级结果进进行论证证和审定定。1）具有有定级结结果论证证评审会会议文档档。2）文档档中包含含有相关关部门和和有关安安全技术术专家对对定级结结果的论论证意见见。2）应检检查定级级结果论论证文档档，查看看是否具具有相关关部门和和专家对对定级结结果的论论证意见见。d）应确确保信息息系统的的定级结结果经过过相关部部门的批批准。1）应访访谈安全全主管，询询问定级级结果是是否获得得了相关关部门（如如上级主主管部门门）的批批准。1）具有有相关部部门对信信息系统统定级结结果的批批复文件件或者定定级文档档中有相相关部门门的盖章章或签字字。2）应检检查系统统

41、定级文文档，查查看定级级结果是是否具有有相关部部门的批批准盖章章。2安全方案案设计a）应根根据系统统的安全全级别选选择基本本安全措措施，并并依据风风险分析析的结果果补充和和调整安安全措施施。1）应访访谈系统统建设负负责人，询询问系统统选择基基本安全全措施的的依据，是是否依据据安全保保护等级级选择，是是否依据据风险分分析的结结果补充充和调整整安全措措施。1）系统统建设/整改方案案中有根根据系统统的安全全级别选选择基本本安全措措施的方方法描述述。2）系统统建设/整改方案案中有根根据风险险分析结结果调整整安全措措施的内内容。2）应检检查系统统建设/整改方案案，是否否根据系系统的安安全级别别选择了了基

42、本安安全措施施。3）应检检查系统统建设/整改方案案，是否否依据风风险分析析结果调调整和补补偿了安安全措施施。b）应指指定和授授权专门门的部门门对信息息系统的的安全建建设进行行总体规规划，制制定近期期和远期期的安全全建设工工作计划划。1）应访访谈安全全主管，询询问是否否授权专专门的部部门对信信息系统统的安全全建设进进行总体体规划，由由何部门门/何人负负责。1）部门门岗位职职责文档档中说明明有部门门负责对对信息系系统的安安全建设设进行总总体规划划，或者者有相关关的授权权文件。2）具有有系统安安全建设设工作计计划。3）系统统安全建建设工作作计划中中明确了了近期和和远期的的安全建建设计划划。2）应检检

43、查系统统的安全全建设工工作计划划，查看看文件是是否明确确了系统统的近期期安全建建设计划划和远期期安全建建设计划划。c）应根根据信息息系统的的等级划划分情况况，统一一考虑安安全保障障体系的的总体安安全策略略、安全全技术框框架、安安全管理理策略、总总体建设设规划和和详细设设计方案案，并形形成配套套文件。1）应访访谈系统统建设负负责人，询询问是否否根据信信息系统统的等级级划分情情况，统统一考虑虑安全保保障体系系的总体体安全策策略、安安全技术术框架、安安全管理理策略、总总体建设设规划和和详细设设计方案案等。1）具有有包含系系统总体体安全策策略、安安全技术术框架、安安全管理理策略、总总体建设设规划、详详

44、细设计计方案等等方面内内容的文文件。2）如是是多个文文件，文文件内容容之间相相互保持持一致。2）应检检查是否否有系统统总体安安全策略略、安全全技术框框架、安安全管理理策略、总总体建设设规划、详详细设计计方案等等配套文文件。3）应检检查配套套文件之之间是否否保持一一致。d）应组组织相关关部门和和有关安安全技术术专家对对总体安安全策略略、安全全技术框框架、安安全管理理策略、总总体建设设规划、详详细设计计方案等等相关配配套文件件的合理理性和正正确性进进行论证证和审定定，并且且经过批批准后，才才能正式式实施。1）应访访谈系统统建设负负责人，询询问是否否组织相相关部门门和有关关安全技技术专家家对总体体安

45、全策策略、安安全技术术框架、安安全管理理策略等等相关配配套文件件进行论论证和审审定。1）具有有针对配配套文件件的论证证和评审审记录或或文档，记记录或文文档中有有相关论论证意见见。2）应检检查配套套文件的的论证评评审记录录或文档档，查看看是否有有相关部部门和有有关安全全技术专专家对总总体安全全策略、安安全技术术框架、安安全管理理策略、总总体建设设规划、详详细设计计方案等等相关配配套文件件的论证证意见。3）应查查看各个个文件是是否有机机构管理理层的批批准。e）应根根据等级级测评、安安全评估估的结果果定期调调整和修修订总体体安全策策略、安安全技术术框架、安安全管理理策略、总总体建设设规划、详详细设计

46、计方案等等相关配配套文件件。1）应访访谈系统统建设负负责人，询询问总体体安全策策略、安安全技术术框架、安安全管理理策略等等相关配配套文件件是否定定期进行行调整和和修订。1）依据据等级测测评、安安全评估估的结果果调整和和修订前前述配套套文件的的维护记记录或修修订版本本。2）应检检查是否否具有总总体安全全策略、安安全技术术框架、安安全管理理策略、总总体建设设规划、详详细设计计方案等等相关配配套文件件的维护护记录或或修订版版本。3产品采购购和使用用a）应确确保安全全产品的的采购和和使用符符合国家家的有关关规定。1）应访访谈系统统建设负负责人，询询问是否否按照国国家的相相关规定定进行采采购和使使用系统统信息安安全产品品，。1）抽样样的安全全产品具具有相关关凭证。2）应抽抽样检查查安全产产品的相相关凭证证，如销销售许可可等，查查看是否否使用了了符合国国家有关关规定产产品。b）应确确保密码码产品的的采购和和使用符符合国家家密码主主管部门门的要求求。1）应访访谈系统统建设负负责人，询询问系统统是否采采用了密密码产品品，密码码产品的的使用是是否符合合国家密密码主管管部门的的要求。1）抽样样的密码码产品具具有相关关凭证。2）应抽抽样检查查密码产产品的相相关凭证证，如销销售许可可等，查查看是否否使用了了符合国国家有关关规定产产品。c）应指指定或授授权专门门的部门门负责产产品