網(wǎng)絡(luò)安全等級保護(hù)2.0-等保三級合規(guī)基線表(管理要求)
網(wǎng)絡(luò)安全等級保護(hù)2.0-等保三級合規(guī)基線表(管理要求)
1.安全管理制度
分類 | 項(xiàng)目 | 內(nèi)容 | 測評對象 | 要求項(xiàng)說明 | 現(xiàn)狀分析 | 檢查結(jié)果 | 條目來源 | 備注 |
符合/不符合/部分符合/不適用 | ||||||||
管理制度 | 安全策略 | a) 應(yīng)制定網(wǎng)絡(luò)安全工作的總體方針和安全策略,闡明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等。 | 總體方針策略類文檔 | 應(yīng)核查網(wǎng)絡(luò)安全工作的總體方針和安全策略文件是否明確機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和各類安全策略。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||
管理制度 | a) 應(yīng)對安全管理活動(dòng)中的各類管理內(nèi)容建立安全管理制度; | 安全管理制度類文檔 | 應(yīng)核實(shí)各項(xiàng)安全管理制度是否覆蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、建設(shè)和運(yùn)維等管理內(nèi)容。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 應(yīng)對管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程; | 操作規(guī)程類文檔 | 應(yīng)核查是否具有日常管理操作的操作規(guī)程,如系統(tǒng)維護(hù)手冊和用戶操作規(guī)程等。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
c) 應(yīng)形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系。 | 總體方針策略類文檔、文檔制度類文檔、操作規(guī)程類文檔和記錄表單類文檔 | 應(yīng)核查總體方針策略文件、管理制度和操作規(guī)程、記錄表單是否全面且具有關(guān)聯(lián)性和一致性。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
制定和發(fā)布 | a) 應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定; | 部門/人員職責(zé)文件等 | 應(yīng)核查是否由專門的部門或人員負(fù)責(zé)制定安全管理制度。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 安全管理制度應(yīng)通過正式、有效的方式發(fā)布,并進(jìn)行版本控制; | 管理制度類文檔和記錄表單類文檔 |
1、應(yīng)核查制度制定和發(fā)布要求管理文檔是否說明安全管理制度的制定和發(fā)布程序、格式要求及版本編號等相關(guān)內(nèi)容; 2、應(yīng)核查安全管理制度的收發(fā)登記記錄是否通過正式、有效的方式收發(fā),如正式發(fā)文、領(lǐng)導(dǎo)簽署和單位蓋章等。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
評審和修訂 | a) 應(yīng)定期對安全管理制度的合理性和適用性進(jìn)行論證和審定,對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂; | 信息/網(wǎng)絡(luò)安全主管和記錄表單類文檔 |
1、應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否定期對安全管理制度的合理性和適用性進(jìn)行審定; 2、應(yīng)核查是否具有安全管理制度的審定或論證記錄,如果對制度做過修訂,核查是否有修訂版本的安全管理制度。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 |
分類 | 項(xiàng)目 | 內(nèi)容 | 測評對象 | 要求項(xiàng)說明 | 現(xiàn)狀分析 | 檢查結(jié)果 | 條目來源 | 備注 |
符合/不符合/部分符合/不適用 | ||||||||
安全管理機(jī)構(gòu) | 崗位設(shè)置 | a) 應(yīng)成立指導(dǎo)和管理網(wǎng)絡(luò)安全工作的委員會或領(lǐng)導(dǎo)小組,其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)擔(dān)任或授權(quán); | 信息/網(wǎng)絡(luò)安全主管、管理制度類文檔和記錄表單類文檔 |
1、應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否成立了指導(dǎo)和管理網(wǎng)絡(luò)安全工作的委員會或領(lǐng)導(dǎo)小組; 2、應(yīng)核查相關(guān)文檔是否明確了網(wǎng)絡(luò)安全工作委員會或領(lǐng)導(dǎo)小組構(gòu)成情況和相關(guān)職責(zé); 3、應(yīng)核查委員會或領(lǐng)導(dǎo)小組的最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)擔(dān)任或由其進(jìn)行了授權(quán)。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||
b) 應(yīng)設(shè)立網(wǎng)絡(luò)安全管理工作的職能部門,設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位,并定義各負(fù)責(zé)人的職責(zé); | 信息/網(wǎng)絡(luò)安全主管、管理制度類文檔和記錄表單類文檔 |
1、應(yīng)訪談信息/信息網(wǎng)絡(luò)安全主管是否設(shè)立網(wǎng)絡(luò)安全管理工作的職能部門; 2、應(yīng)核查部門職責(zé)文檔是否明確網(wǎng)絡(luò)安全管理工作的職能部門和各負(fù)責(zé)人職責(zé); 3、應(yīng)核查崗位職責(zé)文檔是否有崗位劃分情況和崗位職責(zé)。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
c) 應(yīng)設(shè)立系統(tǒng)管理員、審計(jì)管理員和安全管理員等崗位,并定義部門及各個(gè)工作崗位的職責(zé); | 信息/網(wǎng)絡(luò)安全主管、管理制度類文檔和記錄表單類文檔 |
1、應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否進(jìn)行了安全管理崗位的劃分; 2、應(yīng)核查崗位職責(zé)文檔是否明確了各部門及崗位職責(zé)。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
人員配備 | a) 應(yīng)配備一定數(shù)量的系統(tǒng)管理員、審計(jì)管理員和安全管理員等; | 信息/網(wǎng)絡(luò)安全主管、管理制度類文檔和記錄表單類文檔 |
1、應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否配備系統(tǒng)管理員、審計(jì)管理員和安全管理員; 2、應(yīng)核查人員配備文檔是否明確各崗位人員配備情況。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 應(yīng)配備專職安全管理員,不可兼任; | 記錄表單類文檔 | 應(yīng)核查人員配備文檔是否配備了專職安全管理員。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
授權(quán)和審批 | a) 應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審批部門和批準(zhǔn)人等; | 管理制度類文檔和記錄表單類文檔 |
1、應(yīng)核查部門職責(zé)文檔是否明確各部門審批事項(xiàng); 2、應(yīng)核查崗位職責(zé)文檔是否明確各崗位審批事項(xiàng)。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 應(yīng)針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項(xiàng)建立審批程序,按照審批程序執(zhí)行審批過程,對重要活動(dòng)建立逐級審批制度; | 操作規(guī)程類文檔和記錄表單類文檔 |
1、應(yīng)核查系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項(xiàng)的操作規(guī)范是否明確建立了逐級審批程序; 2、應(yīng)核查審批記錄、操作記錄,審批結(jié)果是否與相關(guān)制度一致。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
c) 應(yīng)定期審查審批事項(xiàng),及時(shí)更新需授權(quán)和審批的項(xiàng)目、審批部門和審批人等信息; | 信息/網(wǎng)絡(luò)安全主管、管理制度類文檔和記錄表單類文檔 |
1、應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否對各類審批事項(xiàng)進(jìn)行更新; 2、應(yīng)核查是否具有定期審查審批事項(xiàng)的記錄。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
溝通和合作 | a) 應(yīng)加強(qiáng)各類管理人員、組織內(nèi)部機(jī)構(gòu)和網(wǎng)絡(luò)安全管理部門之間的合作與溝通,定期召開協(xié)調(diào)會議,共同協(xié)作處理網(wǎng)絡(luò)安全問題; | 信息/網(wǎng)絡(luò)安全主管、管理制度類文檔和記錄表單類文檔 |
1、應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否建立了各類管理人員、組織內(nèi)部機(jī)構(gòu)和網(wǎng)絡(luò)安全管理部門之間的合作與溝通機(jī)制; 2、應(yīng)核查會議記錄是否明確各類管理人員、組織內(nèi)部機(jī)構(gòu)和網(wǎng)絡(luò)安全管理部門之間開展了合作與溝通。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 應(yīng)加強(qiáng)與網(wǎng)絡(luò)安全職能部門、各類供應(yīng)商、業(yè)界專家及安全組織的合作與溝通; | 信息/網(wǎng)絡(luò)安全主管、管理制度類文檔和記錄表單類文檔 |
1、應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否建立了與網(wǎng)絡(luò)安全職能部門、各類供應(yīng)商、業(yè)界專家及安全組織的合作與溝通機(jī)制; 2、應(yīng)核查會議記錄是否與網(wǎng)絡(luò)安全職能部門、各類供應(yīng)商、業(yè)界專家及安全組織開展了合作與溝通。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
c) 應(yīng)建立外聯(lián)單位聯(lián)系列表,包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息; | 記錄表單類文檔 | 應(yīng)核查外聯(lián)單位聯(lián)系列表是否記錄了外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
審核和檢查 | a) 應(yīng)定期進(jìn)行常規(guī)安全檢查,檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況; | 信息/網(wǎng)絡(luò)安全主管、管理制度類文檔和記錄表單類文檔 |
1、應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否定期進(jìn)行了常規(guī)安全檢查; 2、應(yīng)核查常規(guī)安全檢查記錄是否包括了系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 應(yīng)定期進(jìn)行全面安全檢查,檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等; | 信息/網(wǎng)絡(luò)安全主管、管理制度類文檔和記錄表單類文檔 |
1、應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否定期進(jìn)行了全面檢查; 2、應(yīng)核查全面安全檢查記錄是否包括了現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
c) 應(yīng)制定安全檢查表格實(shí)施安全檢查,匯總安全檢查數(shù)據(jù),形成安全檢查報(bào)告,并對安全檢查結(jié)果進(jìn)行通報(bào); | 記錄表單類文檔 | 應(yīng)核查是否具有安全檢查表格、安全檢查記錄、安全檢查報(bào)告、安全檢查結(jié)果通報(bào)記錄。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 |
分類 | 項(xiàng)目 | 內(nèi)容 | 測評對象 | 要求項(xiàng)說明 | 現(xiàn)狀分析 | 檢查結(jié)果 | 條目來源 | 備注 |
符合/不符合/部分符合/不適用 | ||||||||
人員安全管理 | 人員錄用 | a) 應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用; | 信息/網(wǎng)絡(luò)安全主管 | 應(yīng)訪談信息/網(wǎng)絡(luò)安全主管是否由專門的部門或人員負(fù)責(zé)人員的錄用工作。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||
b) 應(yīng)對被錄用人員的身份、安全背景、專業(yè)資格或資質(zhì)等進(jìn)行審查,對其所具有的技術(shù)技能進(jìn)行考核; | 管理制度類文檔和記錄表單類文檔 |
1、應(yīng)核查人員安全管理文檔是否說明錄用人員應(yīng)具備的條件(如學(xué)歷、學(xué)位要求,技術(shù)人員應(yīng)具備的專業(yè)技術(shù)水平,管理人員應(yīng)具備的安全管理知識等); 2、應(yīng)核查是否具有人員錄用時(shí)對錄用人身份、安全背景、專業(yè)資格或資質(zhì)等進(jìn)行審查的相關(guān)文檔或記錄,是否記錄審查內(nèi)容和審查結(jié)果等); 3、應(yīng)核查人員錄用時(shí)的能考核文檔或記錄是否記錄考核內(nèi)容和考核結(jié)果等。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
c) 應(yīng)與被錄用人員簽署保密協(xié)議,與關(guān)鍵崗位人員簽署崗位責(zé)任協(xié)議; | 記錄表單類文檔 |
1、應(yīng)核查保密協(xié)議是否有保密范圍、保密職責(zé)、違約職責(zé)、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容; 2、應(yīng)核查崗位安全協(xié)議是否有崗位安全責(zé)任書定義、協(xié)議的有效期限和責(zé)任人簽字等內(nèi)容。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
人員離崗 | a) 應(yīng)及時(shí)終止離崗人員的所有訪問權(quán)限,取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備; | 記錄表單類文檔 | 應(yīng)核查是否具有離職人員終止其訪問權(quán)限、交還身份證件、軟硬件設(shè)備等的登錄記錄。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 應(yīng)辦理嚴(yán)格的調(diào)離手續(xù),并承諾調(diào)離后的保密義務(wù)后方可離開。 | 管理制度類文檔和記錄表單類文檔 |
1、應(yīng)核查人員離崗的管理文檔是否規(guī)定了人員調(diào)離手續(xù)和離崗要求等; 2、應(yīng)核查是否具有按照離崗程序辦理調(diào)離手續(xù)的記錄; 3、應(yīng)核查保密承諾文檔是否有調(diào)離人員的簽字。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
安全意識教育和培訓(xùn) | a) 應(yīng)對各類人員進(jìn)行安全意識教育和崗位技能培訓(xùn),并告知相關(guān)的安全責(zé)任和懲戒措施; | 管理制度類文檔 |
1、應(yīng)核查安全意識教育及崗位技能培訓(xùn)文檔是否明確培訓(xùn)周期、培訓(xùn)方式、培訓(xùn)內(nèi)容和考核方式等相關(guān)內(nèi)容; 2、應(yīng)核查安全責(zé)任和懲戒措施管理文檔或培訓(xùn)文檔是否包含具體的安全職責(zé)和懲戒措施。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 應(yīng)針對不同崗位制定不同的培訓(xùn)計(jì)劃,對安全基礎(chǔ)知識、崗位操作規(guī)程等進(jìn)行培訓(xùn); | 記錄表單類文檔 |
1、應(yīng)核查安全教育和培訓(xùn)計(jì)劃文檔是否具有不同崗位的培訓(xùn)計(jì)劃; 2、應(yīng)核查培訓(xùn)內(nèi)容是否包含安全基礎(chǔ)知識、崗位操作規(guī)程等; 3、應(yīng)核查安全教育和培訓(xùn)記錄是否有培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等描述。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
c) 應(yīng)定期對不同崗位的人員進(jìn)行技能考核。 | 記錄表單類文檔 | 應(yīng)核查是否具有針對各崗位人員的技能考核記錄。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
外部人員訪問管理 | a) 應(yīng)在外部人員物理訪問受控區(qū)域前先提出書面申請,批準(zhǔn)后由專人全程陪同,并登記備案; | 管理制度類文檔和記錄表單類文檔 |
1、應(yīng)核查外部人員訪問管理文檔是否明確允許外部人員訪問的范圍、外部人員進(jìn)入的條件、外部人員進(jìn)入的訪問控制措施等; 2、應(yīng)核查外部人員訪問重要區(qū)域的書面申請文檔是否具有批準(zhǔn)人允許訪問的批準(zhǔn)簽字等; 3、應(yīng)核查外部人員訪問重要區(qū)域的登錄記錄是否記錄了外部人員訪問重要區(qū)域的進(jìn)入時(shí)間、離開時(shí)間、訪問區(qū)域及陪同人等; |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 應(yīng)在外部人員接入受控網(wǎng)絡(luò)訪問系統(tǒng)前先提出書面申請,批準(zhǔn)后由專人開設(shè)賬戶、分配權(quán)限,并登記備案; | 管理制度類文檔和記錄表單類文檔 |
1、應(yīng)核查外部人員訪問管理文檔是否明確外部人員接入受控網(wǎng)絡(luò)前的申請審批流程; 2、應(yīng)核查外部人員訪問系統(tǒng)的書面申請文檔是否明確外部人員的訪問權(quán)限、是否具有允許訪問的批準(zhǔn)簽字等; 3、應(yīng)核查外部人員訪問系統(tǒng)的登錄記錄是否記錄了外部人員訪問的權(quán)限、時(shí)限、賬戶等。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
c) 外部人員離場后應(yīng)及時(shí)清除其所有的訪間權(quán)限; | 管理制度類文檔和記錄表單類文檔 |
1、應(yīng)核查外部人員訪問管理文檔是否明確外部人員離開后及時(shí)清除其所有訪問權(quán)限; 2、應(yīng)核查外部人員訪問系統(tǒng)的登記記錄是否記錄了訪問權(quán)限清除時(shí)間。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
d) 獲得系統(tǒng)訪間授權(quán)的外部人員應(yīng)簽署保密協(xié)議,不得進(jìn)行非授權(quán)操作,不得復(fù)制和泄露任何敏感信息。 | 記錄表單類文檔 | 應(yīng)核查外部人員訪問保密協(xié)議是否明確人員的保密義務(wù)(如不得進(jìn)行非授權(quán)操作,不得復(fù)制信息等)。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 |
4.安全建設(shè)管理
分類 | 項(xiàng)目 | 內(nèi)容 | 測評對象 | 要求項(xiàng)說明 | 現(xiàn)狀分析 | 檢查結(jié)果 | 條目來源 | 備注 |
符合/不符合/部分符合/不適用 | ||||||||
系統(tǒng)建設(shè)管理 | 定級和備案 | a) 應(yīng)以書面的形式說明保護(hù)對象的安全保護(hù)等級及確定等級的方法和理由; | 記錄表單類文檔 | 應(yīng)核查定級文檔是否明確保護(hù)對象的安全保護(hù)等級,是否說明定級的方法和理由。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||
b) 應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對定級結(jié)果的合理性和正確性進(jìn)行論證和審定; | 記錄表單類文檔 | 應(yīng)核查定級結(jié)果的論證評審會議記錄是否有相關(guān)部門和相關(guān)安全技術(shù)專家對定級結(jié)果的論證意見。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
c) 應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對信息系統(tǒng)定級結(jié)果的合理性和正確性進(jìn)行論證和審定; | 記錄表單類文檔 | 應(yīng)核查定級結(jié)果部門審批文檔是否有上級主管部門或本單位相關(guān)部門的審批意見。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
d) 應(yīng)將備案材料報(bào)主管部門和相應(yīng)公安機(jī)關(guān)備案。 | 記錄表單類文檔 | 應(yīng)核查是否具有公安機(jī)關(guān)出具的備案證明文檔。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
安全方案設(shè)計(jì) | a) 應(yīng)根據(jù)安全保護(hù)等級選擇基本安全措施,依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施; | 安全規(guī)劃設(shè)計(jì)類文檔 | 應(yīng)核查安全設(shè)計(jì)文檔是否根據(jù)安全保護(hù)等級選擇安全措施,是否跟安全需求調(diào)整安全措施。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 應(yīng)根據(jù)保護(hù)對象的安全保護(hù)等級及與其他級別保護(hù)對象的關(guān)系進(jìn)行安全整體規(guī)劃和安全方案設(shè)計(jì),設(shè)計(jì)內(nèi)容應(yīng)包含密碼技術(shù)相關(guān)內(nèi)容,并形成配套文件; | 安全規(guī)劃設(shè)計(jì)類文檔 | 應(yīng)核查是否有總體規(guī)劃和安全設(shè)計(jì)方案等配套文件,設(shè)計(jì)方案中應(yīng)包含密碼技術(shù)相關(guān)內(nèi)容。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
c) 應(yīng)組織相關(guān)部門和有關(guān)安全專家對安全整體規(guī)劃及其配套文件的合理性和正確性進(jìn)行論證和審定,經(jīng)過批準(zhǔn)后才能正式實(shí)施。 | 記錄表單類文檔 | 應(yīng)核查配套文件的論證評審記錄或文檔是否有相關(guān)部門和相關(guān)安全技術(shù)專家對總體安全規(guī)劃、安全設(shè)計(jì)方案等相關(guān)配套文件的批準(zhǔn)意見和論證意見。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
產(chǎn)品采購和使用 | a) 應(yīng)確保網(wǎng)絡(luò)安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定; | 記錄表單類文檔 | 應(yīng)核查有關(guān)網(wǎng)絡(luò)安全產(chǎn)品是否符合國家的相關(guān)規(guī)定,如網(wǎng)絡(luò)安全產(chǎn)品獲得了銷售許可等。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 應(yīng)確保密碼產(chǎn)品與服務(wù)的采購和使用符合國家密碼管理主管部門的要求; | 建設(shè)負(fù)責(zé)人和記錄表單類文檔 |
1、應(yīng)訪談建設(shè)負(fù)責(zé)人是否采用了密碼產(chǎn)品及相關(guān)服務(wù); 2、應(yīng)核查密碼產(chǎn)品與服務(wù)的采購和使用是否符合國家密碼管理主管部門的要求。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
c) 應(yīng)預(yù)先對產(chǎn)品進(jìn)行選型測試,確定產(chǎn)品的候選范圍,并定期審定和更新候選產(chǎn)品名單。 | 記錄表單類文檔 | 應(yīng)核查是否具有產(chǎn)品選型測試結(jié)果文檔、候選產(chǎn)品采購清單及審定或更新的記錄。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
自行軟件開發(fā) | a) 應(yīng)將開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開,測試數(shù)據(jù)和測試結(jié)果受到控制; | 建設(shè)負(fù)責(zé)人 |
1、應(yīng)訪談建設(shè)負(fù)責(zé)人自主開發(fā)軟件是否在獨(dú)立的物理環(huán)境中完成編寫和調(diào)試,與實(shí)際運(yùn)行環(huán)境分開; 2、應(yīng)核查測試數(shù)據(jù)和結(jié)果是否受控使用。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 應(yīng)制定軟件開發(fā)管理制度,明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則; | 管理制度類文檔 | 應(yīng)核查軟件開發(fā)管理制度是否明確軟件設(shè)計(jì)、開發(fā)、測試和驗(yàn)收過程的控制方法和人員行為準(zhǔn)則,是否明確哪些開發(fā)活動(dòng)應(yīng)經(jīng)過授權(quán)和審批。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
c) 應(yīng)制定代碼編寫安全規(guī)范,要求開發(fā)人員參照規(guī)范編寫代碼; | 管理制度類文檔 | 應(yīng)核查代碼編寫安全規(guī)范是否明確代碼安全編寫規(guī)則。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
d) 應(yīng)具備軟件設(shè)計(jì)的相關(guān)文檔和使用指南,并對文檔使用進(jìn)行控制; | 軟件開發(fā)類文檔 | 應(yīng)核查是否具有軟件開發(fā)文檔和使用指南,并對文檔使用進(jìn)行控制。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
e) 應(yīng)保證在軟件開發(fā)過程中對安全性進(jìn)行測試,在軟件安裝前對可能存在的惡意代碼進(jìn)行檢測; | 記錄表單類文檔 | 應(yīng)核查是否具有軟件安全測試報(bào)告和代碼審計(jì)報(bào)告,明確軟件存在的安全問題及可能存在的惡意代碼。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
f) 應(yīng)對程序資源庫的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn),并嚴(yán)格進(jìn)行版本控制; | 記錄表單類文檔 | 應(yīng)核查對程序資源庫的修改、更新、發(fā)布進(jìn)行授權(quán)和審批的文檔或記錄是否有批準(zhǔn)人的簽字。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
g) 應(yīng)保證開發(fā)人員為專職人員,開發(fā)人員的開發(fā)活動(dòng)受到控制、監(jiān)視和審查。 | 建設(shè)負(fù)責(zé)人 | 應(yīng)訪談建設(shè)負(fù)責(zé)人開發(fā)人員是否為專職,是否對開發(fā)人員活動(dòng)進(jìn)行控制等。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
外包及其管理 | a) 應(yīng)在軟件交付前檢測其中可能存在的惡意代碼; | 記錄表單類文檔 | 應(yīng)核查是否具有交付前的惡意代碼檢查報(bào)告。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 應(yīng)保證開發(fā)單位提供軟件設(shè)計(jì)文檔和使用指南; | 操作規(guī)程類文檔和記錄表單類文檔 | 應(yīng)核查是否具有軟件開發(fā)的相關(guān)文檔,如需求分析說明書、軟件設(shè)計(jì)說明書等,是否具有軟件操作手冊或使用指南。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
c) 應(yīng)保證開發(fā)單位提供軟件源代碼,并審查軟件中可能存在的后門和隱蔽信道; | 操作規(guī)程類文檔和記錄表單類文檔 |
1、應(yīng)訪談建設(shè)負(fù)責(zé)人委托開發(fā)單位是否提供軟件源代碼; 2、應(yīng)核查軟件測試報(bào)告是否審查了軟件可能存在的后門和隱蔽信道。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
工程實(shí)施 | a) 應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實(shí)施過程的管理; | 記錄表單類文檔 | 應(yīng)核查是否指定專門部門或人員對工程實(shí)施進(jìn)行進(jìn)度和質(zhì)量控制。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 應(yīng)制定安全工程實(shí)施方案控制工程實(shí)施過程; | 記錄表單類文檔 | 應(yīng)核查安全工程實(shí)施方案是否包括工程時(shí)間限制、進(jìn)度控制和質(zhì)量控制等方面內(nèi)容,是否按照工程實(shí)施方面的管理制度進(jìn)行各類控制、產(chǎn)生階段性文檔等。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
c) 應(yīng)通過第三方工程監(jiān)理控制項(xiàng)目的實(shí)施過程; | 記錄表單類文檔 | 應(yīng)核查工程監(jiān)理報(bào)告是否明確了工程進(jìn)度、時(shí)間計(jì)劃、控制措施等方面內(nèi)容。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
測試驗(yàn)收 | a) 應(yīng)制訂測試驗(yàn)收方案,并依據(jù)測試驗(yàn)收方案實(shí)施測試驗(yàn)收,形成測試驗(yàn)收報(bào)告; | 記錄表單類文檔 |
1、應(yīng)核查工程測試驗(yàn)收方案是否明確說明參與測試的部門、人員、測試驗(yàn)收內(nèi)容、現(xiàn)場操作過程等內(nèi)容; 2、應(yīng)核查測試驗(yàn)收報(bào)告是否有相關(guān)部門和人員對測試驗(yàn)收報(bào)告進(jìn)行審定的意見。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 應(yīng)進(jìn)行上線前的安全性測試,并出具安全測試報(bào)告,安全測試報(bào)告應(yīng)包含密碼應(yīng)用安全性測試先關(guān)內(nèi)容; | 記錄表單類文檔 | 應(yīng)核查是否具有上線前的安全測試報(bào)告,報(bào)告應(yīng)包含密碼應(yīng)用安全性測試相關(guān)內(nèi)容。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
系統(tǒng)交付 | a) 應(yīng)制定交付清單,并根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn); | 記錄表單類文檔 | 應(yīng)核查交付清單是否說明交付的各類設(shè)備、軟件、文檔等。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 應(yīng)對負(fù)責(zé)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn); | 記錄表單類文檔 | 應(yīng)核查系統(tǒng)交付技術(shù)培訓(xùn)記錄是否包括培訓(xùn)內(nèi)容、培訓(xùn)時(shí)間和參與人員等。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
c) 應(yīng)提供建設(shè)過程文檔和運(yùn)行維護(hù)文檔。 | 記錄表單類文檔 | 應(yīng)核查交付文檔是否包括建設(shè)過程文檔和運(yùn)行維護(hù)文檔等,提供的文檔是否符合管理規(guī)定的要求。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
等級測評 | a) 應(yīng)定期進(jìn)行等級測評,發(fā)現(xiàn)不符合相應(yīng)等級保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改; | 運(yùn)維負(fù)責(zé)人和記錄表單類文檔 |
1、應(yīng)訪談運(yùn)維負(fù)責(zé)人本次測評是否為首次,若非首次,是否根據(jù)以往測評結(jié)果進(jìn)行相應(yīng)的安全整改; 2、應(yīng)核查是否具有以往等級測評報(bào)告和安全整改方案。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 應(yīng)在發(fā)生重大變更或級別發(fā)生變化時(shí)進(jìn)行等級測評; | 運(yùn)維負(fù)責(zé)人和記錄表單類文檔 |
1、應(yīng)核查是否有過重大變更或級別發(fā)生過變化及是否進(jìn)行相應(yīng)的等級測評; 2、應(yīng)核查是否具有相應(yīng)情況下的等級測評報(bào)告。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
c) 應(yīng)確保測評機(jī)構(gòu)的選擇符合國家有關(guān)規(guī)定。 | 等級測評報(bào)告和相關(guān)資質(zhì)文件 | 應(yīng)核查以往等級測評的測評單位是否具有等級測評機(jī)構(gòu)資質(zhì)。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
服務(wù)供應(yīng)商選擇 | a) 應(yīng)確保服務(wù)供應(yīng)商的選擇符合國家的有關(guān)規(guī)定; | 建設(shè)負(fù)責(zé)人 | 應(yīng)訪談建設(shè)負(fù)責(zé)人選擇的安全服務(wù)商是否符合國家相關(guān)規(guī)定。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 應(yīng)與選定的服務(wù)供應(yīng)商簽訂相關(guān)協(xié)議,明確整個(gè)服務(wù)供應(yīng)鏈各方需履行的網(wǎng)絡(luò)安全相關(guān)義務(wù); | 記錄表單類文檔 | 應(yīng)核查與服務(wù)供應(yīng)商簽訂的服務(wù)合同或安全責(zé)任書是否明確了后期的技術(shù)支持和服務(wù)承諾等內(nèi)容。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
c) 應(yīng)定期監(jiān)督、評審和審核服務(wù)供應(yīng)商提供的服務(wù),并對其變更服務(wù)內(nèi)容加以控制。 | 管理制度類文檔和記錄表單類文檔 |
1、應(yīng)核查是否具有服務(wù)供應(yīng)商定期提交的安全服務(wù)報(bào)告; 2、應(yīng)核查是否定期審核評價(jià)服務(wù)供應(yīng)商所提供的服務(wù)及服務(wù)內(nèi)容變更情況,是否具有服務(wù)審核報(bào)告; 應(yīng)核查是否具有服務(wù)供應(yīng)商評價(jià)審核管理制度,明確針對服務(wù)供應(yīng)商的評價(jià)指標(biāo)、考核內(nèi)容等。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 |
5.安全運(yùn)維管理
分類 | 項(xiàng)目 | 內(nèi)容 | 測評對象 | 要求項(xiàng)說明 | 現(xiàn)狀分析 | 檢查結(jié)果 | 條目來源 | 備注 |
符合/不符合/部分符合/不適用 | ||||||||
系統(tǒng)運(yùn)維管理 | 環(huán)境管理 |
a) 應(yīng)指定專門的部門或人員負(fù)責(zé)機(jī)房安全,對機(jī)房出入進(jìn)行管理,定期對機(jī)房供配電、空調(diào)、溫濕 度控制、消防等設(shè)施進(jìn)行維護(hù)管理; |
物理安全負(fù)責(zé)人和記錄表單類文檔 |
1、應(yīng)訪談物理安全負(fù)責(zé)人是否指定部門和人員負(fù)責(zé)機(jī)房安全管理工作,對機(jī)房的出入進(jìn)行管理、對基礎(chǔ)設(shè)施(如空調(diào)、供電設(shè)備、滅火器等)進(jìn)行定期維護(hù); 2、應(yīng)核查部門或人員崗位職責(zé)文檔是否定期明確機(jī)房安全的責(zé)任部門及人員; 3、應(yīng)核查機(jī)房的出入登記記錄是否記錄來訪人員、來訪時(shí)間、離開時(shí)間、攜帶物品等信息; 4、應(yīng)核查機(jī)房的基礎(chǔ)設(shè)施的維護(hù)記錄是否記錄維護(hù)日期、維護(hù)人、維護(hù)設(shè)備、故障原因、維護(hù)結(jié)果等方面內(nèi)容。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||
b) 應(yīng)建立機(jī)房安全管理制度,對有關(guān)物理訪間、物品帶進(jìn)出和環(huán)境安全等方面的管理作出規(guī)定; | 管理制度類文檔和記錄表單類文檔 |
1、應(yīng)核查機(jī)房安全管理制度是否覆蓋物理訪問、物品進(jìn)出和環(huán)境安全等方面內(nèi)容; 2、應(yīng)核查物理訪問、物品進(jìn)出和環(huán)境安全等相關(guān)記錄是否與制度相符。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
c) 應(yīng)不在重要區(qū)域接待來訪人員,不隨意放置含有敏感信息的紙檔文件和移動(dòng)介質(zhì)等。 | 管理制度類文檔和辦公環(huán)境 |
1、應(yīng)核查機(jī)房安全管理制度是否明確來訪人員的接待區(qū)域; 2、應(yīng)核查辦公桌面上等位置是否未隨意放置了敏感信息的紙檔文件和移動(dòng)介質(zhì)等。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
資產(chǎn)管理 | a) 應(yīng)編制并保存與保護(hù)對象相關(guān)的資產(chǎn)清單,包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容; | 記錄表單類文檔 | 應(yīng)核查資產(chǎn)清單是否包括資產(chǎn)類別(含設(shè)備設(shè)施、軟件、文檔等)、資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 應(yīng)根據(jù)資產(chǎn)的重要程度對資產(chǎn)進(jìn)行標(biāo)識管理,根據(jù)資產(chǎn)的價(jià)值選擇相應(yīng)的管理措施; | 資產(chǎn)管理員、管理制度類文檔和設(shè)備 |
1、應(yīng)訪談資產(chǎn)管理員是否依據(jù)資產(chǎn)的重要程度對資產(chǎn)進(jìn)行標(biāo)識,不同類別的資產(chǎn)在管理措施的選取上是否不同; 2、應(yīng)核查資產(chǎn)管理制度是否明確資產(chǎn)的標(biāo)識方法以及不同資產(chǎn)的管理措施要求; 3、應(yīng)核查資產(chǎn)清單中的設(shè)備是否具有相應(yīng)標(biāo)識,標(biāo)識方法是否符合2相關(guān)要求。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
c) 應(yīng)對信息分類與標(biāo)識方法作出規(guī)定,并對信息的使用、傳輸和存儲等進(jìn)行規(guī)范化管理。 | 管理制度類文檔 |
1、應(yīng)核查信息分類文檔是否規(guī)定了分類標(biāo)識的原則和方法(如根據(jù)信息的重要程度、敏感程度或用途不同進(jìn)行分類); 2、應(yīng)核查信息資產(chǎn)管理辦法是否規(guī)定了不同類信息的使用、傳輸和存儲等要求。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
介質(zhì)管理 | a) 應(yīng)將介質(zhì)存放在安全的環(huán)境中,對各類介質(zhì)進(jìn)行控制和保護(hù),實(shí)行存儲環(huán)境專人管理,并根據(jù)存檔介質(zhì)的目錄清單定期盤點(diǎn); | 資產(chǎn)管理員和記錄表單類文檔 |
1、應(yīng)訪談資產(chǎn)管理員介質(zhì)存放環(huán)境是否安全,存放環(huán)境是否由專人管理; 2、應(yīng)核查介質(zhì)管理記錄是否記錄介質(zhì)歸檔、使用和定期盤點(diǎn)等情況。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 應(yīng)對介質(zhì)在物理傳輸過程中的人員選擇、打包、交付等情況進(jìn)行控制,并對介質(zhì)的歸檔和查詢等進(jìn)行登記記錄。 | 資產(chǎn)管理員和記錄表單類文檔 |
1、應(yīng)訪談資產(chǎn)管理員介質(zhì)在物理傳輸過程中的人員選擇、打包、交付等情況是否進(jìn)行控制; 2、核查是否對介質(zhì)的歸檔和查詢等進(jìn)行登記記錄。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
設(shè)備維護(hù)管理 | a) 應(yīng)對各種設(shè)備(包括備份和冗余設(shè)備)、線路等指定專門的部門或人員定期進(jìn)行維護(hù)管理; | 設(shè)備管理員和管理制度類文檔 |
1、應(yīng)訪談設(shè)備管理員是否對各類設(shè)備、線路指定專人或?qū)iT部門進(jìn)行定期維護(hù); 2、應(yīng)核查部門或人員崗位職責(zé)文檔是否明確設(shè)備維護(hù)管理的責(zé)任部門。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 應(yīng)建立配套設(shè)施、軟硬件維護(hù)方面的管理制度,對其維護(hù)進(jìn)行有效的管理,包括明確維護(hù)人員的責(zé)任、維修和服務(wù)的審批、維修過程的監(jiān)督控制等; | 管理制度類文檔和記錄表單類文檔 |
1、應(yīng)核查設(shè)備維護(hù)管理制度是否明確維護(hù)人員的責(zé)任、維修和服務(wù)的審批、維修過程的監(jiān)督控制等方面內(nèi)容; 2、應(yīng)核查是否留有維修和服務(wù)的審批、維修過程等記錄,審批、記錄內(nèi)容是否與制度相符。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
c) 信息處理設(shè)備應(yīng)經(jīng)過審批才能帶離機(jī)房或辦公地點(diǎn),含有存儲介質(zhì)的設(shè)備帶出工作環(huán)境時(shí)其中重要數(shù)據(jù)應(yīng)加密; | 設(shè)備管理員和記錄表單類文檔 |
1、應(yīng)訪談設(shè)備管理員含有重要數(shù)據(jù)的設(shè)備帶出工作環(huán)境是否加密措施; 2、應(yīng)訪談設(shè)備管理員對帶離機(jī)房的設(shè)備是否經(jīng)過審批; 3、應(yīng)核查是否具有設(shè)備帶離機(jī)房或辦公地點(diǎn)的審批記錄。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
d) 含有存儲介質(zhì)的設(shè)備在報(bào)廢或重用前,應(yīng)進(jìn)行完全清除或被安全覆蓋,保證該設(shè)備上的敏感數(shù)據(jù)和授權(quán)軟件無法被恢復(fù)重用。 | 設(shè)備管理員 | 應(yīng)訪談設(shè)備管理員含有存儲介質(zhì)的設(shè)備在報(bào)廢或重用前,是否采取措施進(jìn)行完全清除或被安全覆蓋。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
漏洞和風(fēng)險(xiǎn)管理 | a) 應(yīng)采取必要的措施識別安全漏洞和隱患,對發(fā)現(xiàn)的安全漏洞和隱患及時(shí)進(jìn)行修補(bǔ)或評估可能的影響后進(jìn)行修補(bǔ); | 記錄表單類文檔 |
1、應(yīng)核查是否有識別安全漏洞和隱患的安全報(bào)告或記錄(如漏洞掃描報(bào)告、滲透測試報(bào)告和安全通報(bào)等); 2、應(yīng)核查相關(guān)記錄是否對發(fā)現(xiàn)的漏洞及時(shí)進(jìn)行修補(bǔ)或評估可能的影響后進(jìn)行修補(bǔ)。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 應(yīng)定期開展安全測評,形成安全測評報(bào)告,采取措施應(yīng)對發(fā)現(xiàn)的安全間題。 | 安全管理員和記錄表單類文檔 |
1、應(yīng)訪談安全管理員是否定期開展安全測評; 2、應(yīng)核查是否具有安全測評報(bào)告; 3、應(yīng)核查是否具有安全整改應(yīng)對措施文檔。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
網(wǎng)絡(luò)和系統(tǒng)安全管理 | a) 應(yīng)劃分不同的管理員角色進(jìn)行網(wǎng)絡(luò)和系統(tǒng)的運(yùn)維管理,明確各個(gè)角色的責(zé)任和權(quán)限; | 記錄表單類文檔 | 應(yīng)核查網(wǎng)絡(luò)和系統(tǒng)安全管理文檔,系統(tǒng)管理員是否劃分了不同角色,并定義各個(gè)角色的責(zé)任和權(quán)限。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 應(yīng)指定專門的部門或人員進(jìn)行賬戶管理,對申請賬戶、建立賬戶、刪除賬戶等進(jìn)行控制; | 運(yùn)維負(fù)責(zé)人和記錄表單類文檔 |
1、應(yīng)訪談運(yùn)維負(fù)責(zé)人是否指定專門的部門或人員進(jìn)行賬戶管理; 2、應(yīng)核查相關(guān)審批記錄或流程是否對申請賬單、建立賬戶、刪除賬戶等進(jìn)行控制。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
c) 應(yīng)建立網(wǎng)絡(luò)和系統(tǒng)安全管理制度,對安全策略、賬戶管理、配置管理、日志管理、日常操作、升級與打補(bǔ)丁、口令更新周期等方面做出規(guī)定。 | 管理制度類文檔 | 應(yīng)核查網(wǎng)絡(luò)和系統(tǒng)安全管理制度是否覆蓋網(wǎng)絡(luò)和系統(tǒng)的安全策略、賬戶管理(用戶責(zé)任、、義務(wù)、風(fēng)險(xiǎn)、權(quán)限審批、權(quán)限分配、賬戶注銷等)、配置文件的生成及備份、變更審批、授權(quán)訪問、最小服務(wù)、升級與打補(bǔ)丁、審計(jì)日志管理、登錄設(shè)備和系統(tǒng)的口令更新周期等方面。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
d) 應(yīng)制定重要設(shè)備的配置和操作手冊、依據(jù)手冊對設(shè)備進(jìn)行安全配置和優(yōu)化配置等; | 操作規(guī)程類文檔 | 應(yīng)核查重要設(shè)備或系統(tǒng)(如操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用和組件)的配置和操作手冊是否明確操作步驟、參數(shù)配置等內(nèi)容。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
e) 應(yīng)詳細(xì)記錄運(yùn)維操作日志,包括日常巡檢工作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容; | 記錄表單類文檔 | 應(yīng)核查運(yùn)維操作日志是否覆蓋網(wǎng)絡(luò)和系統(tǒng)的日常巡檢、運(yùn)行維護(hù)、參數(shù)的設(shè)置和修改等內(nèi)容。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
f) 應(yīng)指定專門的部門或人員對日志、監(jiān)測和報(bào)警數(shù)據(jù)等進(jìn)行分析、統(tǒng)計(jì),及時(shí)發(fā)現(xiàn)可疑行為; | 系統(tǒng)管理員和記錄表單類文檔 |
1、應(yīng)訪談網(wǎng)絡(luò)和系統(tǒng)相關(guān)人員是否指定專門部門或人員對日志、監(jiān)測和報(bào)警數(shù)據(jù)等進(jìn)行分析統(tǒng)計(jì); 2、應(yīng)核查是否具有對日志、監(jiān)測和報(bào)警數(shù)據(jù)等進(jìn)行分析統(tǒng)計(jì)的報(bào)告。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
g) 應(yīng)嚴(yán)格控制變更性運(yùn)維,經(jīng)過審批后才可改變連接、安全系統(tǒng)組件或調(diào)整配置參數(shù),操作過程中保留不可更改的審計(jì)日志,操作結(jié)束后應(yīng)同步更新配置信息庫; | 系統(tǒng)管理員和記錄表單類文檔 |
1、應(yīng)訪談網(wǎng)絡(luò)和系統(tǒng)相關(guān)人員調(diào)整配置參數(shù)結(jié)束后是否同步更新配置信息庫,并核實(shí)配置信息庫是否為最新版本; 2、應(yīng)核查是否具有變更運(yùn)維的審批記錄,如系統(tǒng)連接、安裝系統(tǒng)組件或調(diào)整配置參數(shù)等活動(dòng); 3、應(yīng)核查是否具有變更運(yùn)維的操作過程記錄。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
h) 應(yīng)嚴(yán)格控制運(yùn)維工具的使用,經(jīng)過審批后才可接入進(jìn)行操作,操作過程中應(yīng)保留不可更改的審計(jì)日志,操作結(jié)束后應(yīng)刪除工具中的敏感數(shù)據(jù); | 系統(tǒng)管理員和記錄表單類文檔 |
1、應(yīng)訪談系統(tǒng)管理員使用運(yùn)維工具結(jié)束后是否刪除工具中的敏感數(shù)據(jù); 2、應(yīng)核查是否具有運(yùn)維工具接入系統(tǒng)的審計(jì)記錄; 3、應(yīng)核查運(yùn)維工具的審計(jì)日志記錄,審計(jì)日志是否不可以更改。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
i) 應(yīng)嚴(yán)格控制遠(yuǎn)程運(yùn)維的開通,經(jīng)過審批后才可開通遠(yuǎn)程運(yùn)維接口或通道,操作過程中應(yīng)保留不可更改的審計(jì)日志,操作結(jié)束后立即關(guān)閉接口或通道; | 系統(tǒng)管理員和記錄表單類文檔 |
1、應(yīng)訪談系統(tǒng)相關(guān)人員日常運(yùn)維過程中是否存在遠(yuǎn)程運(yùn)維,若存在,遠(yuǎn)程運(yùn)維結(jié)束后是否立即關(guān)閉了接口或通道; 2、應(yīng)核查開通遠(yuǎn)程運(yùn)維的審批記錄; 3、應(yīng)核查針對遠(yuǎn)程運(yùn)維的審計(jì)日志是否不可以更改。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
j) 應(yīng)保證所有與外部的連接暈得到授權(quán)和批準(zhǔn),應(yīng)定期檢查違反規(guī)定無線上網(wǎng)或其他違反網(wǎng)絡(luò)安全策略的行為。 | 安全管理員和記錄表單類文檔 |
1、應(yīng)訪談系統(tǒng)相關(guān)人員往來外聯(lián)連接(如互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級部門網(wǎng)絡(luò)等)是否都得到授權(quán)與批準(zhǔn); 2、應(yīng)訪談網(wǎng)絡(luò)管理員是否定期核查違規(guī)聯(lián)網(wǎng)行為; 3、應(yīng)核查是否具有外聯(lián)授權(quán)的記錄文件。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
惡意代碼防范管理 | a) 應(yīng)提高 所有用戶的防惡意代碼意識,對外來計(jì)算機(jī)或存儲設(shè)備接入系統(tǒng)前進(jìn)行惡意代碼檢查等。; | 運(yùn)維負(fù)責(zé)人和管理制度類文檔 |
1、應(yīng)訪談運(yùn)維負(fù)責(zé)人是否采取培訓(xùn)和告知等方式提升員工的防惡意代碼意識; 2、應(yīng)核查惡意代碼防范管理制度是否明確對外來計(jì)算機(jī)或存儲設(shè)備接入系統(tǒng)前進(jìn)行惡意代碼檢查。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 應(yīng)定期驗(yàn)證防范惡意代碼攻擊的技術(shù)措施的有效性; | 安全管理員和記錄表單類文檔 |
1、若采用可信驗(yàn)證技術(shù),應(yīng)訪談安全管理員是否未發(fā)生過惡意代碼攻擊事件; 2、若采用防惡意代碼產(chǎn)品,應(yīng)訪談安全管理員是否定期對惡意代碼庫進(jìn)行升級,且對升級情況進(jìn)行記錄,對各類防病毒產(chǎn)品上截獲的惡意代碼是否進(jìn)行分析并匯總上報(bào),是否未出現(xiàn)過大規(guī)模的病毒事件; 3、應(yīng)核查是否具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報(bào)告。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
配置管理 | a)應(yīng)記錄和保存基本配置信息,包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、各個(gè)設(shè)備安裝的軟件組件、軟件組件的版本和補(bǔ)丁信息、各個(gè)設(shè)備或軟件組件的配置參數(shù); | 系統(tǒng)管理員 | 應(yīng)訪談系統(tǒng)管理員是否對基本配置信息進(jìn)行記錄和保存。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 應(yīng)將基本配置信息改變納入變更范疇,實(shí)施對配置信息改變的控制,并及時(shí)更新基本配置信息庫; | 系統(tǒng)管理員和記錄表單類文檔 |
1、應(yīng)訪談配置管理人員基本配置信息改變后是否及時(shí)更新基本配置信息庫; 2、應(yīng)核查配置信息的變更流程是否具有相應(yīng)的申報(bào)審批程序。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
密碼管理 | a)應(yīng)遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn); | 系統(tǒng)管理員和記錄表單類文檔 | 應(yīng)訪談安全管理員密碼管理過程中是否遵循密碼相關(guān)的國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)要求。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 應(yīng)使用國家密碼管理主管部門認(rèn)證核準(zhǔn)的密碼技術(shù)和產(chǎn)品; | 安全管理員 | 應(yīng)核查相關(guān)產(chǎn)品是否獲得有效的國家密碼管理主管部門規(guī)定的檢測報(bào)告或密碼產(chǎn)品型號證書。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
變更管理 | a) 應(yīng)明確變更需求,變更前根據(jù)變更需求制定變更方案,變更方案經(jīng)過評審、審批后方可實(shí)施; | 安全管理員 |
1、應(yīng)核查變更方案是否包含變更類型、變更原因、變更過程、變更前評估等內(nèi)容; 2、應(yīng)核查是否具有變更方案評審記錄和變更過程記錄文檔。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 應(yīng)建立變更的申報(bào)和審批控制程序,依據(jù)程序控制所有的變更,記錄變更實(shí)施過程; | 記錄表單類文檔 |
1、應(yīng)核查變更控制的申報(bào)、審批程序其是否規(guī)定需要申報(bào)的變更類型、申報(bào)流程、審批部門、批準(zhǔn)人等方面內(nèi)容; 2、應(yīng)核查是否具有變更實(shí)施過程的記錄文檔。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
c) 應(yīng)建立中止變更并從失敗變更中恢復(fù)的程序,明確過程控制方法和人員職責(zé),必要時(shí)對恢復(fù)過程進(jìn)行演練。 | 記錄表單類文檔 |
1、應(yīng)訪談運(yùn)維負(fù)責(zé)人變更終止或變更失敗后的恢復(fù)程序、工作方法和職責(zé)是否文檔化,恢復(fù)過程是否經(jīng)過演練; 2、應(yīng)核查是否具有變更恢復(fù)演練記錄; 3、應(yīng)核查變更恢復(fù)程序是否規(guī)定變更終止或失敗后的恢復(fù)流程。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
備份與恢復(fù)管理 | a) 應(yīng)識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等; | 運(yùn)維負(fù)責(zé)人和記錄表單類文檔 |
1、應(yīng)訪談系統(tǒng)管理員有哪些需要定期備份的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng); 2、應(yīng)核查是否具有定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)、軟件系統(tǒng)的列表或清單。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 應(yīng)規(guī)定備份信息的備份方式、備份頻度、存儲介質(zhì)、保存期等; | 系統(tǒng)管理員和記錄表單類文檔 | 應(yīng)核查備份與恢復(fù)管理制度是否明確備份方式、頻度、介質(zhì)、保質(zhì)期等內(nèi)容。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
c) 應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運(yùn)行的影響,制定數(shù)據(jù)的備份策略和恢復(fù)策略、備份程序和恢復(fù)程序等。 | 管理制度類文檔 | 應(yīng)核查備份和恢復(fù)的策略文檔是否根據(jù)數(shù)據(jù)的重要程度制定相應(yīng)備份恢復(fù)策略和程序等。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
安全事件處置 | a) 應(yīng)及時(shí)向安全管理部門報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件; | 管理制度類文檔 |
1、應(yīng)訪談運(yùn)維負(fù)責(zé)人是否告知用戶在發(fā)現(xiàn)安全弱點(diǎn)和可疑事件時(shí)及時(shí)向安全管理部門報(bào)告; 2、應(yīng)核查在發(fā)現(xiàn)安全弱點(diǎn)和可疑事件后是否具備對應(yīng)的報(bào)告或相關(guān)文檔。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 應(yīng)制定安全事件報(bào)告和處置管理制度,明確不同安全事件的報(bào)告、處置和響應(yīng)流程,規(guī)定安全事件的現(xiàn)場處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)等; | 運(yùn)維負(fù)責(zé)人和記錄表單類文檔 | 應(yīng)核查安全事件報(bào)告和處理管理制度是否明確了與安全事件有關(guān)的工作職責(zé)、不同安全事件的報(bào)告、處置和相應(yīng)流程等。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
c) 應(yīng)在安全事件報(bào)告和響應(yīng)處理過程中,分析和鑒定事件產(chǎn)生的原因,收集證據(jù),記錄處理過程,總結(jié)經(jīng)驗(yàn)教訓(xùn); | 管理制度類文檔 | 應(yīng)核查安全事件報(bào)告和響應(yīng)處置記錄是否記錄引發(fā)安全事件的原因、證據(jù)、處置過程、經(jīng)驗(yàn)教訓(xùn)、補(bǔ)救措施等內(nèi)容。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
d) 對造成系統(tǒng)中斷和造成信息泄漏的重大安全事件應(yīng)采用不同的處理程序和報(bào)告程序。 | 記錄表單類文檔 |
1、應(yīng)訪談運(yùn)維負(fù)責(zé)人不同安全事件的報(bào)告流程; 2、應(yīng)核查對重大安全事件是否制定不同安全事件報(bào)告和處理流程,是否明確具體報(bào)告方式、報(bào)告內(nèi)容、報(bào)告人等方面內(nèi)容。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
應(yīng)急預(yù)案管理 | a) 應(yīng)規(guī)定統(tǒng)一的應(yīng)急預(yù)案框架,包括啟動(dòng)預(yù)案的條件、應(yīng)急組織構(gòu)成、應(yīng)急資源保障、事后教育和培訓(xùn)等內(nèi)容; | 運(yùn)維負(fù)責(zé)人和記錄表單類文檔 | 應(yīng)核查應(yīng)急預(yù)案框架是否覆蓋啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急組織構(gòu)成、應(yīng)急資源保障、事后教育和培訓(xùn)等方面。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 應(yīng)制定重要事件的應(yīng)急預(yù)案,包括應(yīng)急處理流程、系統(tǒng)恢復(fù)流程等內(nèi)容; | 管理制度類文檔 | 應(yīng)核查是否具有重要事件的應(yīng)急預(yù)案(如針對機(jī)房、系統(tǒng)、網(wǎng)絡(luò)等各方面)。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
c) 應(yīng)定期對系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn),并進(jìn)行應(yīng)急預(yù)案的演練; | 運(yùn)維負(fù)責(zé)人和記錄表單類文檔 |
1、應(yīng)訪談運(yùn)維負(fù)責(zé)人是否定期對相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)和演練; 2、應(yīng)核查應(yīng)急預(yù)案培訓(xùn)記錄是否明確培訓(xùn)對象、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等; 3、應(yīng)核查應(yīng)急預(yù)案記錄是否記錄演練時(shí)間、主要操作內(nèi)容、演練結(jié)果等。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
d) 應(yīng)定期對原有的應(yīng)急預(yù)案重新評估,修訂完善。 | 記錄表單 | 應(yīng)核查應(yīng)急預(yù)案修訂記錄是否定期評估并修訂完善等。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
外包運(yùn)維管理 | a) 應(yīng)確保外包運(yùn)維服務(wù)商的選擇符合國家的有關(guān)規(guī)定; | 運(yùn)維負(fù)責(zé)人 |
1、應(yīng)訪談運(yùn)維負(fù)責(zé)人是否有外包運(yùn)維服務(wù)情況; 2、應(yīng)訪談運(yùn)維負(fù)責(zé)人外包運(yùn)維服務(wù)單位是否符合國家相關(guān)規(guī)定。 |
GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | ||||
b) 應(yīng)與選定的外包運(yùn)維服務(wù)商簽訂相關(guān)的協(xié)議,明確約定外包運(yùn)維的范圍、工作內(nèi)容; | 記錄表單類文檔 | 應(yīng)核查外部運(yùn)維服務(wù)協(xié)議是否明確約定外包運(yùn)維的范圍和工作內(nèi)容。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
c) 應(yīng)保證選擇的外包運(yùn)維服務(wù)商在技術(shù)和管理方面均應(yīng)具有按照等級保護(hù)要求開展安全運(yùn)維工作的能力,并將能力要求在簽訂的協(xié)議中明確; | 記錄表單類文檔 | 應(yīng)核查與外部運(yùn)維服務(wù)商簽訂的協(xié)議中是否明確其具有等級保護(hù)要求的服務(wù)能力。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 | |||||
d) 應(yīng)在與外包運(yùn)維服務(wù)商簽訂的協(xié)議中明確所有相關(guān)的安全要求,如可能涉及對敏感信息的訪間、處理、存儲要求,對IT基礎(chǔ)設(shè)施中斷服務(wù)的應(yīng)急保障要求等。 | 記錄表單類文檔 | 應(yīng)核查外包運(yùn)維服務(wù)協(xié)議是否包含可能涉及對敏感信息的訪問、處理、存儲要求,對IT基礎(chǔ)設(shè)施中斷服務(wù)的應(yīng)急保障要求等內(nèi)容。 | GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò)安全等級保護(hù)基本要求 |
測評結(jié)果
1.系統(tǒng)信息 | |||||||
系統(tǒng)名稱: | |||||||
系統(tǒng)等級: | |||||||
2.測評結(jié)果-管理類 | |||||||
針對本系統(tǒng)依照信息安全等級保護(hù)三級級信息系統(tǒng)安全管理類要求總共進(jìn)行了XXX項(xiàng)安全檢查,具體測評結(jié)果如下: | |||||||
檢查單元\符合情況 | 總檢查項(xiàng) | 符合 | 不符合 | 部分符合 | 不適用 | ||
安全管理制度 | 7 | 7 | |||||
安全管理機(jī)構(gòu) | 14 | 14 | |||||
員工安全管理 | 12 | 12 | |||||
系統(tǒng)建設(shè)管理 | 34 | 34 | |||||
系統(tǒng)運(yùn)維管理 | 48 | 48 | |||||