第三级测评要求
1.1.1 安全物理環境
物理位置選擇
測評單元(L3-PES1-01)
該測評單元包括以下要求:
a)???測評指標:機房場地應選擇在具有防震、防風和防雨等能力的建筑內;
b)???測評對象:記錄類文檔和機房;
c)???測評實施包括以下內容:
1)???應核查所在建筑物是否具有建筑物抗震設防審批文檔;
2)???應核查機房是否不存在雨水滲漏;
3)???應核查門窗是否不存在因風導致的塵土嚴重;
4)???應核查屋頂、墻體、門窗和地面等是否不存在破損開裂。
d)???單元判定:如果1)-4)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-PES1-02)
該測評單元包括以下要求:
a)???測評指標:機房場地應避免設在建筑物的頂層或地下室,否則應加強防水和防潮措施;
b)???測評對象:機房;
c)???測評實施:應核查機房是否不位于所在建筑物的頂層或地下室,如果否,則核查機房是否采取了防水和防潮措施;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
物理訪問控制
測評單元(L3-PES1-03)
該測評單元包括以下要求:
a)???測評指標:機房出入口應配置電子門禁系統,控制、鑒別和記錄進入的人員;
b)???測評對象:機房電子門禁系統;
c)???測評實施包括以下內容:
1)???應核查出入口是否配置電子門禁系統;
2)???應核查電子門禁系統是否可以鑒別、記錄進入的人員信息。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
防盜竊和防破壞
測評單元(L3-PES1-04)
該測評單元包括以下要求:
a)???測評指標:應將設備或主要部件進行固定,并設置明顯的不易除去的標識;
b)???測評對象:機房設備或主要部件;
c)???測評實施包括以下內容:
1)???應核查機房內設備或主要部件是否固定;
2)???應核查機房內設備或主要部件上是否設置了明顯且不易除去的標識。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-PES1-05)
該測評單元包括以下要求:
a)???測評指標:應將通信線纜鋪設在隱蔽安全處;
b)???測評對象:機房通信線纜;
c)???測評實施:應核查機房內通信線纜是否鋪設在隱蔽安全處,如橋架中等;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-PES1-06)
該測評單元包括以下要求:
a)???測評指標:應設置機房防盜報警系統或設置有專人值守的視頻監控系統;
b)???測評對象:機房防盜報警系統或視頻監控系統;
c)???測評實施包括以下內容:
1)???應核查機房內是否配置防盜報警系統或專人值守的視頻監控系統;
2)???應核查防盜報警系統或視頻監控系統是否啟用。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
防雷擊
測評單元(L3-PES1-07)
該測評單元包括以下要求:
a)???測評指標:應將各類機柜、設施和設備等通過接地系統安全接地;
b)???測評對象:機房;
c)???測評實施:應核查機房內機柜、設施和設備等是否進行接地處理;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-PES1-08)
該測評單元包括以下要求:
a)???測評指標:應采取措施防止感應雷,例如設置防雷保安器或過壓保護裝置等;
b)???測評對象:機房防雷設施;
c)???測評實施包括以下內容:
1)???應核查機房內是否設置防感應雷措施;
2)???應核查防雷裝置是否通過驗收或國家有關部門的技術檢測。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
防火
測評單元(L3-PES1-09)
該測評單元包括以下要求:
a)???測評指標:機房應設置火災自動消防系統,能夠自動檢測火情、自動報警,并自動滅火;
b)???測評對象:機房防火設施;
c)???測評實施包括以下內容:
1)???應核查機房內是否設置火災自動消防系統;
2)???應核查火災自動消防系統是否可以自動檢測火情、自動報警并自動滅火。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-PES1-10)
該測評單元包括以下要求:
a)???測評指標:機房及相關的工作房間和輔助房應采用具有耐火等級的建筑材料;
b)???測評對象:機房驗收類文檔;
c)???測評實施:應核查機房驗收文檔是否明確相關建筑材料的耐火等級;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-PES1-11)
該測評單元包括以下要求:
a)???測評指標:應對機房劃分區域進行管理,區域和區域之間設置隔離防火措施;
b)???測評對象:機房管理員和機房;
c)???測評實施包括以下內容:
1)???應訪談機房管理員是否進行了區域劃分;
2)???應核查各區域間是否采取了防火措施進行隔離。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
防水和防潮
測評單元(L3-PES1-12)
該測評單元包括以下要求:
a)???測評指標:應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透;
b)???測評對象:機房;
c)???測評實施:應核查窗戶、屋頂和墻壁是否采取了防雨水滲透的措施;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-PES1-13)
該測評單元包括以下要求:
a)???測評指標:應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透;
b)???測評對象:機房;
c)???測評實施包括以下內容:
1)???應核查機房內是否采取了防止水蒸氣結露的措施;
2)???應核查機房內是否采取了排泄地下積水,防止地下積水滲透的措施。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-PES1-14)
該測評單元包括以下要求:
a)???測評指標:應安裝對水敏感的檢測儀表或元件,對機房進行防水檢測和報警;
b)???測評對象:機房防水檢測設施;
c)???測評實施包括以下內容:
1)???應核查機房內是否安裝了對水敏感的檢測裝置;
2)???應核查防水檢測和報警裝置是否啟用。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
防靜電
測評單元(L3-PES1-15)
該測評單元包括以下要求:
a)???測評指標:應采用防靜電地板或地面并采用必要的接地防靜電措施;
b)???測評對象:機房;
c)???測評實施包括以下內容:
1)???應核查機房內是否安裝了防靜電地板或地面;
2)???應核查機房內是否采用了接地防靜電措施。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-PES1-16)
該測評單元包括以下要求:
a)???測評指標:應采取措施防止靜電的產生,例如采用靜電消除器、佩戴防靜電手環等;
b)???測評對象:機房;
c)???測評實施:應核查機房內是否配備了防靜電設備;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
溫濕度控制
測評單元(L3-PES1-17)
該測評單元包括以下要求:
a)???測評指標:應設置溫、濕度自動調節設施,使機房溫、濕度的變化在設備運行所允許的范圍之內;
b)???測評對象:機房溫濕度調節設施;
c)???測評實施包括以下內容:
1)???應核查機房內是否配備了專用空調;
2)???應核查機房內溫濕度是否在設備運行所允許的范圍之內。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
電力供應
測評單元(L3-PES1-18)
該測評單元包括以下要求:
a)???測評指標:應在機房供電線路上配置穩壓器和過電壓防護設備;
b)???測評對象:機房供電設施;
c)???測評實施:應核查供電線路上是否配置了穩壓器和過電壓防護設備;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-PES1-19)
該測評單元包括以下要求:
a)???測評指標:應提供短期的備用電力供應,至少滿足設備在斷電情況下的正常運行要求;
b)???測評對象:機房備用供電設施;
c)???測評實施包括以下內容:
1)???應核查是否配備UPS等后備電源系統;
2)???應核查UPS等后備電源系統是否滿足設備在斷電情況下的正常運行要求。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-PES1-20)
該測評單元包括以下要求:
a)???測評指標:應設置冗余或并行的電力電纜線路為計算機系統供電;
b)???測評對象:機房;
c)???測評實施:應核查機房內是否設置了冗余或并行的電力電纜線路為計算機系統供電;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
電磁防護
測評單元(L3-PES1-21)
該測評單元包括以下要求:
a)???測評指標:電源線和通信線纜應隔離鋪設,避免互相干擾;
b)???測評對象:機房線纜;
c)???測評實施:應核查機房內電源線纜和通信線纜是否隔離鋪設;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-PES1-22)
該測評單元包括以下要求:
a)???測評指標:應對關鍵設備實施電磁屏蔽;
b)???測評對象:機房關鍵設備;
c)???測評實施:應核查機房內是否為關鍵設備配備了電磁屏蔽裝置;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
1.1.2 安全通信網絡
網絡架構
測評單元(L3-CNS1-01)
該測評單元包括以下要求:
a)???測評指標:應保證網絡設備的業務處理能力滿足業務高峰期需要;
b)???測評對象:路由器、交換機、無線接入設備和防火墻等提供網絡通信功能的設備或相關組件;
c)???測評實施包括以下內容:
1)???應核查業務高峰時期一段時間內主要網絡設備的CPU使用率和內存使用率是否滿足需要;
2)???應核查網絡設備是否從未出現過因設備性能問題導致的宕機情況;
3)???應測試驗證設備是否滿足業務高峰期需求。
d)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-CNS1-02)
該測評單元包括以下要求:
a)???測評指標:應保證網絡各個部分的帶寬滿足業務高峰期需要;
b)???測評對象:綜合網管系統等;
c)???測評實施包括以下內容:
1)???應核查綜合網管系統各通信鏈路帶寬是否滿足高峰時段的業務流量需要;
2)???應測試驗證網絡帶寬是否滿足業務高峰期需求。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-CNS1-03)
該測評單元包括以下要求:
a)???測評指標:應劃分不同的網絡區域,并按照方便管理和控制的原則為各網絡區域分配地址;
b)???測評對象:路由器、交換機、無線接入設備和防火墻等提供網絡通信功能的設備或相關組件;
c)???測評實施包括以下內容:
1)???應核查是否依據重要性、部門等因素劃分不同的網絡區域;
2)???應核查相關網絡設備配置信息,驗證劃分的網絡區域是否與劃分原則一致。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-CNS1-04)
該測評單元包括以下要求:
a)???測評指標:應避免將重要網絡區域部署在邊界處,重要網絡區域與其他網絡區域之間應采取可靠的技術隔離手段;
b)???測評對象:網絡拓撲;
c)???測評實施包括以下內容:
1)???應核查網絡拓撲圖是否與實際網絡運行環境一致;
2)???應核查重要網絡區域是否未部署在網絡邊界處;
3)???應核查重要網絡區域與其他網絡區域之間是否采取可靠的技術隔離手段,如網閘、防火墻和設備訪問控制列表(ACL)等。
d)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-CNS1-05)
該測評單元包括以下要求:
a)???測評指標:應提供通信線路、關鍵網絡設備和關鍵計算設備的硬件冗余,保證系統的可用性;
b)???測評對象:網絡管理員和網絡拓撲;
c)???測評實施:應核查是否有關鍵網絡設備、安全設備和關鍵計算設備的硬件冗余(主備或雙活等)和通信線路冗余;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
通信傳輸
測評單元(L3-CNS1-06)
該測評單元包括以下要求:
a)???測評指標:應采用校驗技術或密碼技術保證通信過程中數據的完整性;
b)???測評對象:提供校驗技術或密碼技術功能的設備或組件;
c)???測評實施包括以下內容:
1)???應核查是否在數據傳輸過程中使用校驗技術或密碼技術來保證其完整性;
2)???應測試驗證密碼技術設備或組件能否保證通信過程中數據的完整性。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-CNS1-07)
該測評單元包括以下要求:
a)???測評指標:應采用密碼技術保證通信過程中數據的保密性;
b)???測評對象:提供密碼技術功能的設備或組件;
c)???測評實施包括以下內容:
1)???應核查是否在通信過程中采取保密措施,具體采用哪些技術措施;
2)???應測試驗證在通信過程中是否對數據進行加密。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
可信驗證
測評單元(L3-CNS1-08)
該測評單元包括以下要求:
a)???測評指標:可基于可信根對通信設備的系統引導程序、系統程序、重要配置參數和通信應用程序等進行可信驗證,并在應用程序的關鍵執行環節進行動態可信驗證,在檢測到其可信性受到破壞后進行報警,并將驗證結果形成審計記錄送至安全管理中心;
b)???測評對象:提供可信驗證的設備或組件、提供集中審計功能的系統;
c)???測評實施包括以下內容:
1)???應核查是否基于可信根對通信設備的系統引導程序、系統程序、重要配置參數和通信應用程序等進行可信驗證;
2)???應核查是否在應用程序的關鍵執行環節進行動態可信驗證;
3)???應測試驗證當檢測到通信設備的可信性受到破壞后是否進行報警;
4)???應測試驗證結果是否以審計記錄的形式送至安全管理中心。
d)???單元判定:如果1)-4)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
1.1.3 安全區域邊界
邊界防護
測評單元(L3-ABS1-01)
該測評單元包括以下要求:
a)???測評指標:應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信;
b)???測評對象:網閘、防火墻、路由器、交換機和無線接入網關設備等提供訪問控制功能的設備或相關組件;
c)???測評實施包括以下內容:
1)???應核查在網絡邊界處是否部署訪問控制設備;
2)???應核查設備配置信息是否指定端口進行跨越邊界的網絡通信,指定端口是否配置并啟用了安全策略;
3)???應采用其他技術手段(如非法無線網絡設備定位、核查設備配置信息等)核查或測試驗證是否不存在其他未受控端口進行跨越邊界的網絡通信。
d)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-ABS1-02)
該測評單元包括以下要求:
a)???測評指標:應能夠對非授權設備私自聯到內部網絡的行為進行檢查或限制;
b)???測評對象:終端管理系統或相關設備;
c)???測評實施包括以下內容:
1)???應核查是否采用技術措施防止非授權設備接入內部網絡;
2)???應核查所有路由器和交換機等相關設備閑置端口是否均已關閉。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-ABS1-03)
該測評單元包括以下要求:
a)???測評指標:應能夠對內部用戶非授權聯到外部網絡的行為進行檢查或限制;
b)???測評對象:終端管理系統或相關設備;
c)???測評實施:應核查是否采用技術措施防止內部用戶存在非法外聯行為;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-ABS1-04)
該測評單元包括以下要求:
a)???測評指標:應限制無線網絡的使用,保證無線網絡通過受控的邊界設備接入內部網絡;
b)???測評對象:網絡拓撲和無線網絡設備;
c)???測評實施包括以下內容:
1)???應核查無線網絡的部署方式,是否單獨組網后再連接到有線網絡;
2)???應核查無線網絡是否通過受控的邊界防護設備接入到內部有線網絡。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
訪問控制
測評單元(L3-ABS1-05)
該測評單元包括以下要求:
a)???測評指標:應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則,默認情況下除允許通信外受控接口拒絕所有通信;
b)???測評對象:網閘、防火墻、路由器、交換機和無線接入網關設備等提供訪問控制功能的設備或相關組件;
c)???測評實施包括以下內容:
1)???應核查在網絡邊界或區域之間是否部署訪問控制設備并啟用訪問控制策略;
2)???應核查設備的最后一條訪問控制策略是否為禁止所有網絡通信。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-ABS1-06)
該測評單元包括以下要求:
a)???測評指標:應刪除多余或無效的訪問控制規則,優化訪問控制列表,并保證訪問控制規則數量最小化;
b)???測評對象:網閘、防火墻、路由器、交換機和無線接入網關設備等提供訪問控制功能的設備或相關組件;
c)???測評實施包括以下內容:
1)???應核查是否不存在多余或無效的訪問控制策略;
2)???應核查不同的訪問控制策略之間的邏輯關系及前后排列順序是否合理。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-ABS1-07)
該測評單元包括以下要求:
a)???測評指標:應對源地址、目的地址、源端口、目的端口和協議等進行檢查,以允許/拒絕數據包進出;
b)???測評對象:網閘、防火墻、路由器、交換機和無線接入網關設備等提供訪問控制功能的設備或相關組件;
c)???測評實施包括以下內容:
1)???應核查設備的訪問控制策略中是否設定了源地址、目的地址、源端口、目的端口和協議等相關配置參數;
2)???應測試驗證訪問控制策略中設定的相關配置參數是否有效。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-ABS1-08)
該測評單元包括以下要求:
a)???測評指標:應能根據會話狀態信息為進出數據流提供明確的允許/拒絕訪問的能力;
b)???測評對象:網閘、防火墻、路由器、交換機和無線接入網關設備等提供訪問控制功能的設備或相關組件;
c)???測評實施包括以下內容:
1)???應核查是否采用會話認證等機制為進出數據流提供明確的允許/拒絕訪問的能力;
2)???應測試驗證是否為進出數據流提供明確的允許/拒絕訪問的能力。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-ABS1-09)
該測評單元包括以下要求:
a)???測評指標:應對進出網絡的數據流實現基于應用協議和應用內容的訪問控制;
b)???測評對象:第二代防火墻等提供應用層訪問控制功能的設備或相關組件;
c)???測評實施包括以下內容:
1)???應核查是否部署訪問控制設備并啟用訪問控制策略;
2)???應測試驗證設備訪問控制策略是否能夠對進出網絡的數據流實現基于應用協議和應用內容的訪問控制。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
入侵防范
測評單元(L3-ABS1-10)
該測評單元包括以下要求:
a)???測評指標:應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為;
b)???測評對象:抗APT攻擊系統、網絡回溯系統、威脅情報檢測系統、抗DDoS攻擊系統和入侵保護系統或相關組件;
c)???測評實施包括以下內容:
1)???應核查相關系統或組件是否能夠檢測從外部發起的網絡攻擊行為;
2)???應核查相關系統或組件的規則庫版本或威脅情報庫是否已經更新到最新版本;
3)???應核查相關系統或組件的配置信息或安全策略是否能夠覆蓋網絡所有關鍵節點;
4)???應測試驗證相關系統或組件的配置信息或安全策略是否有效。
d)???單元判定:如果1)-4)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-ABS1-11)
該測評單元包括以下要求:
a)???測評指標:應在關鍵網絡節點處檢測、防止或限制從內部發起的網絡攻擊行為;
b)???測評對象:抗APT攻擊系統、網絡回溯系統、威脅情報檢測系統、抗DDoS攻擊系統和入侵保護系統或相關組件;
c)???測評實施包括以下內容:
1)???應核查相關系統或組件是否能夠檢測到從內部發起的網絡攻擊行為;
2)???應核查相關系統或組件的規則庫版本或威脅情報庫是否已經更新到最新版本;
3)???應核查相關系統或組件的配置信息或安全策略是否能夠覆蓋網絡所有關鍵節點;
4)???應測試驗證相關系統或組件的配置信息或安全策略是否有效。
d)???單元判定:如果1)-4)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-ABS1-12)
該測評單元包括以下要求:
a)???測評指標:應采取技術措施對網絡行為進行分析,實現對網絡攻擊特別是新型網絡攻擊行為的分析;
b)???測評對象:抗APT攻擊系統、網絡回溯系統和威脅情報檢測系統或相關組件;
c)???測評實施包括以下內容:
1)???應核查是否部署相關系統或組件對新型網絡攻擊進行檢測和分析;
2)???應測試驗證是否對網絡行為進行分析,實現對網絡攻擊特別是未知的新型網絡攻擊的檢測和分析。
d)???單元判定:如果1)- 2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-ABS1-13)
該測評單元包括以下要求:
a)???測評指標:當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目標、攻擊時間,在發生嚴重入侵事件時應提供報警;
b)???測評對象:抗APT攻擊系統、網絡回溯系統、威脅情報檢測系統、抗DDoS攻擊系統和入侵保護系統或相關組件;
c)???測評實施包括以下內容:
1)???應核查相關系統或組件的記錄是否包括攻擊源IP、攻擊類型、攻擊目標、攻擊時間等相關內容;
2)???應測試驗證相關系統或組件的報警策略是否有效。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
惡意代碼和垃圾郵件防范
測評單元(L3-ABS1-14)
該測評單元包括以下要求:
a)???測評指標:應在關鍵網絡節點處對惡意代碼進行檢測和清除,并維護惡意代碼防護機制的升級和更新;
b)???測評對象:防病毒網關和UTM等提供防惡意代碼功能的系統或相關組件;
c)???測評實施包括以下內容:
1)???應核查在關鍵網絡節點處是否部署防惡意代碼產品等技術措施;
2)???應核查防惡意代碼產品運行是否正常,惡意代碼庫是否已經更新到最新;
3)???應測試驗證相關系統或組件的安全策略是否有效。
d)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-ABS1-15)
該測評單元包括以下要求:
a)???測評指標:應在關鍵網絡節點處對垃圾郵件進行檢測和防護,并維護垃圾郵件防護機制的升級和更新;
b)???測評對象:防垃圾郵件網關等提供防垃圾郵件功能的系統或相關組件;
c)???測評實施包括以下內容:
1)???應核查在關鍵網絡節點處是否部署了防垃圾郵件產品等技術措施;
2)???應核查防垃圾郵件產品運行是否正常,防垃圾郵件規則庫是否已經更新到最新;
3)???應測試驗證相關系統或組件的安全策略是否有效。
d)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
安全審計
測評單元(L3-ABS1-16)
該測評單元包括以下要求:
a)???測評指標:應在網絡邊界、重要網絡節點進行安全審計,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;
b)???測評對象:綜合安全審計系統等;
c)???測評實施包括以下內容:
1)???應核查是否部署了綜合安全審計系統或類似功能的系統平臺;
2)???應核查安全審計范圍是否覆蓋到每個用戶;
3)???應核查是否對重要的用戶行為和重要安全事件進行了審計。
d)???單元判定:如果?1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-ABS1-17)
該測評單元包括以下要求:
a)???測評指標:審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;
b)???測評對象:綜合安全審計系統等;
c)???測評實施:應核查審計記錄信息是否包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-ABS1-18)
該測評單元包括以下要求:
a)???測評指標:應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等;
b)???測評對象:綜合安全審計系統等;
c)???測評實施包括以下內容:
1)???應核查是否采取了技術措施對審計記錄進行保護;
2)???應核查是否采取技術措施對審計記錄進行定期備份,并核查其備份策略。
d)???單元判定:如果?1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-ABS1-19)
該測評單元包括以下要求:
a)???測評指標:應能對遠程訪問的用戶行為、訪問互聯網的用戶行為等單獨進行行為審計和數據分析;
b)???測評對象:上網行為管理系統或綜合安全審計系統;
c)???測評實施:應核查是否對遠程訪問用戶及互聯網訪問用戶行為單獨進行審計分析;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
可信驗證
測評單元(L3-ABS1-20)
該測評單元包括以下要求:
a)???測評指標:可基于可信根對邊界設備的系統引導程序、系統程序、重要配置參數和邊界防護應用程序等進行可信驗證,并在應用程序的關鍵執行環節進行動態可信驗證,在檢測到其可信性受到破壞后進行報警,并將驗證結果形成審計記錄送至安全管理中心;
b)???測評對象:提供可信驗證的設備或組件、提供集中審計功能的系統;
c)???測評實施包括以下內容:
1)???應核查是否基于可信根對邊界設備的系統引導程序、系統程序、重要配置參數和邊界防護應用程序等進行可信驗證;
2)???應核查是否在應用程序的關鍵執行環節進行動態可信驗證;
3)???應測試驗證當檢測到邊界設備的可信性受到破壞后是否進行報警;
4)???應測試驗證結果是否以審計記錄的形式送至安全管理中心。
d)???單元判定:如果1)-4)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
1.1.4 安全計算環境
身份鑒別
測評單元(L3-CES1-01)
該測評單元包括以下要求:
a)???測評指標:應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求并定期更換;
b)???測評對象:終端和服務器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網絡設備(包括虛擬網絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統、移動終端管理客戶端、感知節點設備、網關節點設備、控制設備、業務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等;
c)???測評實施包括以下內容:
1)???應核查用戶在登錄時是否采用了身份鑒別措施;
2)???應核查用戶列表確認用戶身份標識是否具有唯一性;
3)???應核查用戶配置信息或測試驗證是否不存在空口令用戶;
4)???應核查用戶鑒別信息是否具有復雜度要求并定期更換。
d)???單元判定:如果1)-4)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-CES1-02)
該測評單元包括以下要求:
a)???測評指標:應具有登錄失敗處理功能,應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施;
b)???測評對象:終端和服務器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網絡設備(包括虛擬網絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統、移動終端管理客戶端、感知節點設備、網關節點設備、控制設備、業務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等;
c)???測評實施包括以下內容:
1)???應核查是否配置并啟用了登錄失敗處理功能;
2)???應核查是否配置并啟用了限制非法登錄功能,非法登錄達到一定次數后采取特定動作,如賬戶鎖定等;
3)???應核查是否配置并啟用了登錄連接超時及自動退出功能。
d)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-CES1-03)
該測評單元包括以下要求:
a)???測評指標:當進行遠程管理時,應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽;
b)???測評對象:終端和服務器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網絡設備(包括虛擬網絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統、移動終端管理客戶端、感知節點設備、網關節點設備、控制設備、業務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等;
c)???測評實施:應核查是否采用加密等安全方式對系統進行遠程管理,防止鑒別信息在網絡傳輸過程中被竊聽;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-CES1-04)
該測評單元包括以下要求:
a)???測評指標:應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別,且其中一種鑒別技術至少應使用密碼技術來實現;
b)???測評對象:終端和服務器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網絡設備(包括虛擬網絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統、移動終端管理客戶端、感知節點設備、網關節點設備、控制設備、業務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等;
c)???測評實施包括以下內容:
1)???應核查是否采用動態口令、數字證書、生物技術和設備指紋等兩種或兩種以上組合的鑒別技術對用戶身份進行鑒別;
2)???應核查其中一種鑒別技術是否使用密碼技術來實現。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
訪問控制
測評單元(L3-CES1-05)
該測評單元包括以下要求:
a)???測評指標:應對登錄的用戶分配賬戶和權限;
b)???測評對象:終端和服務器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網絡設備(包括虛擬網絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統、移動終端管理客戶端、感知節點設備、網關節點設備、控制設備、業務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等;
c)???測評實施包括以下內容:
1)???應核查是否為用戶分配了賬戶和權限及相關設置情況;
2)???應核查是否已禁用或限制匿名、默認賬戶的訪問權限。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-CES1-06)
該測評單元包括以下要求:
a)???測評指標:應重命名或刪除默認賬戶,修改默認賬戶的默認口令;
b)???測評對象:終端和服務器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網絡設備(包括虛擬網絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統、移動終端管理客戶端、感知節點設備、網關節點設備、控制設備、業務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等;
c)???測評實施包括以下內容:
1)???應核查是否已經重命名默認賬戶或默認賬戶已被刪除;
2)???應核查是否已修改默認賬戶的默認口令。
d)???單元判定:如果1)或2)為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-CES1-07)
該測評單元包括以下要求:
a)???測評指標:應及時刪除或停用多余的、過期的賬戶,避免共享賬戶的存在;
b)???測評對象:終端和服務器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網絡設備(包括虛擬網絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統、移動終端管理客戶端、感知節點設備、網關節點設備、控制設備、業務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等;
c)???測評實施包括以下內容:
1)???應核查是否不存在多余或過期賬戶,管理員用戶與賬戶之間是否一一對應;
2)???應測試驗證多余的、過期的賬戶是否被刪除或停用。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-CES1-08)
該測評單元包括以下要求:
a)???測評指標:應授予管理用戶所需的最小權限,實現管理用戶的權限分離;
b)???測評對象:終端和服務器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網絡設備(包括虛擬網絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統、移動終端管理客戶端、感知節點設備、網關節點設備、控制設備、業務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等;
c)???測評實施包括以下內容:
1)???應核查是否進行角色劃分;
2)???應核查管理用戶的權限是否已進行分離;
3)???應核查管理用戶權限是否為其工作任務所需的最小權限。
d)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-CES1-09)
該測評單元包括以下要求:
a)???測評指標:應由授權主體配置訪問控制策略,訪問控制策略規定主體對客體的訪問規則;
b)???測評對象:終端和服務器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網絡設備(包括虛擬網絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統、移動終端管理客戶端、業務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等;
c)???測評實施包括以下內容:
1)???應核查是否由授權主體(如管理用戶)負責配置訪問控制策略;
2)???應核查授權主體是否依據安全策略配置了主體對客體的訪問規則;
3)???應測試驗證用戶是否有可越權訪問情形。
d)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-CES1-10)
該測評單元包括以下要求:
a)???測評指標:訪問控制的粒度應達到主體為用戶級或進程級,客體為文件、數據庫表級;
b)???測評對象:終端和服務器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網絡設備(包括虛擬網絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統、移動終端管理客戶端、業務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等;
c)???測評實施:應核查訪問控制策略的控制粒度是否達到主體為用戶級或進程級,客體為文件、數據庫表、記錄或字段級;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-CES1-11)
該測評單元包括以下要求:
a)???測評指標:應對重要主體和客體設置安全標記,并控制主體對有安全標記信息資源的訪問;
b)???測評對象:終端和服務器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網絡設備(包括虛擬網絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統、移動終端管理客戶端、業務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等;
c)???測評實施包括以下內容:
1)???應核查是否對主體、客體設置了安全標記;
2)???應測試驗證是否依據主體、客體安全標記控制主體對客體訪問的強制訪問控制策略。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
安全審計
測評單元(L3-CES1-12)
該測評單元包括以下要求:
a)???測評指標:應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;
b)???測評對象:終端和服務器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網絡設備(包括虛擬網絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統、移動終端管理客戶端、感知節點設備、網關節點設備、控制設備、業務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等;
c)???測評實施包括以下內容:
1)???應核查是否開啟了安全審計功能;
2)???應核查安全審計范圍是否覆蓋到每個用戶;
3)???應核查是否對重要的用戶行為和重要安全事件進行審計。
d)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-CES1-13)
該測評單元包括以下要求:
a)???測評指標:審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;
b)???測評對象:終端和服務器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網絡設備(包括虛擬網絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統、移動終端管理客戶端、感知節點設備、網關節點設備、控制設備、業務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等;
c)???測評實施:應核查審計記錄信息是否包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-CES1-14)
該測評單元包括以下要求:
a)???測評指標:應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等;
b)???測評對象:終端和服務器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網絡設備(包括虛擬網絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統、移動終端管理客戶端、感知節點設備、網關節點設備、控制設備、業務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等;
c)???測評實施包括以下內容:
1)???應核查是否采取了保護措施對審計記錄進行保護;
2)???應核查是否采取技術措施對審計記錄進行定期備份,并核查其備份策略。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-CES1-15)
該測評單元包括以下要求:
a)???測評指標:應對審計進程進行保護,防止未經授權的中斷;
b)???測評對象:終端和服務器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網絡設備(包括虛擬網絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統、移動終端管理客戶端、感知節點設備、網關節點設備、控制設備、業務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等;
c)???測評實施:應測試驗證通過非審計管理員的其他賬戶來中斷審計進程,驗證審計進程是否受到保護;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
入侵防范
測評單元(L3-CES1-17)
該測評單元包括以下要求:
a)???測評指標:應遵循最小安裝的原則,僅安裝需要的組件和應用程序;
b)???測評對象:終端和服務器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網絡設備(包括虛擬網絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統、移動終端管理客戶端、感知節點設備、網關節點設備和控制設備等;
c)???測評實施包括以下內容:
1)???應核查是否遵循最小安裝原則;
2)???應核查是否未安裝非必要的組件和應用程序。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-CES1-18)
該測評單元包括以下要求:
a)???測評指標:應關閉不需要的系統服務、默認共享和高危端口;
b)???測評對象:終端和服務器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網絡設備(包括虛擬網絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統、移動終端管理客戶端、感知節點設備、網關節點設備和控制設備等;
c)???測評實施包括以下內容:
1)???應核查是否關閉了非必要的系統服務和默認共享;
2)???應核查是否不存在非必要的高危端口。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-CES1-19)
該測評單元包括以下要求:
a)???測評指標:應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制;
b)???測評對象:終端和服務器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網絡設備(包括虛擬網絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統、移動終端管理客戶端、感知節點設備、網關節點設備和控制設備等;
c)???測評實施:應核查配置文件或參數是否對終端接入范圍進行限制;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-CES1-20)
該測評單元包括以下要求:
a)???測評指標:應提供數據有效性檢驗功能,保證通過人機接口輸入或通過通信接口輸入的內容符合系統設定要求;
b)???測評對象:業務應用系統、中間件和系統管理軟件及系統設計文檔等;
c)???測評實施包括以下內容:
1)???應核查系統設計文檔的內容是否包括數據有效性檢驗功能的內容或模塊;
2)???應測試驗證是否對人機接口或通信接口輸入的內容進行有效性檢驗。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-CES1-21)
該測評單元包括以下要求:
a)???測評指標:應能發現可能存在的已知漏洞,并在經過充分測試評估后,及時修補漏洞;
b)???測評對象:終端和服務器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網絡設備(包括虛擬網絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統、移動終端管理客戶端、感知節點設備、網關節點設備、控制設備、業務應用系統、數據庫管理系統、中間件和系統管理軟件等;
c)???測評實施包括以下內容:
1)???應通過漏洞掃描、滲透測試等方式核查是否不存在高風險漏洞;
2)???應核查是否在經過充分測試評估后及時修補漏洞。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-CES1-22)
該測評單元包括以下要求:
a)???測評指標:應能夠檢測到對重要節點進行入侵的行為,并在發生嚴重入侵事件時提供報警;
b)???測評對象:終端和服務器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網絡設備(包括虛擬網絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統、移動終端管理客戶端、感知節點設備、網關節點設備和控制設備等;
c)???測評實施包括以下內容:
1)???應訪談并核查是否有入侵檢測的措施;
2)???應核查在發生嚴重入侵事件時是否提供報警。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
惡意代碼防范
測評單元(L3-CES1-23)
該測評單元包括以下要求:
a)???測評指標:應采用免受惡意代碼攻擊的技術措施或主動免疫可信驗證機制及時識別入侵和病毒行為,并將其有效阻斷;
b)???測評對象:終端和服務器等設備中的操作系統(包括宿主機和虛擬機操作系統)、移動終端、移動終端管理系統、移動終端管理客戶端和控制設備等;
c)???測評實施包括以下內容:
1)???應核查是否安裝了防惡意代碼軟件或相應功能的軟件,定期進行升級和更新防惡意代碼庫;
2)???應核查是否采用主動免疫可信驗證技術及時識別入侵和病毒行為;
3)???應核查當識別入侵和病毒行為時是否將其有效阻斷。
d)???單元判定:如果1)、3)或2)、3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
可信驗證
測評單元(L3-CES1-24)
該測評單元包括以下要求:
a)???測評指標:可基于可信根對計算設備的系統引導程序、系統程序、重要配置參數和應用程序等進行可信驗證,并在應用程序的關鍵執行環節進行動態可信驗證,在檢測到其可信性受到破壞后進行報警,并將驗證結果形成審計記錄送至安全管理中心;
b)???測評對象:提供可信驗證的設備或組件、提供集中審計功能的系統;
c)???測評實施包括以下內容:
1)???應核查是否基于可信根對計算設備的系統引導程序、系統程序、重要配置參數和應用程序等進行可信驗證;
2)???應核查是否在應用程序的關鍵執行環節進行動態可信驗證;
3)???應測試驗證當檢測到計算設備的可信性受到破壞后是否進行報警;
4)???應測試驗證結果是否以審計記錄的形式送至安全管理中心。
d)???單元判定:如果1)-4)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
數據完整性
測評單元(L3-CES1-25)
該測評單元包括以下要求:
a)???測評指標:應采用校驗技術或密碼技術保證重要數據在傳輸過程中的完整性,包括但不限于鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等;
b)???測評對象:業務應用系統、數據庫管理系統、中間件、系統管理軟件及系統設計文檔、數據安全保護系統、終端和服務器等設備中的操作系統及網絡設備和安全設備等;
c)???測評實施包括以下內容:
1)???應核查系統設計文檔,鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等在傳輸過程中是否采用了校驗技術或密碼技術保證完整性;
2)???應測試驗證在傳輸過程中對鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等進行篡改,是否能夠檢測到數據在傳輸過程中的完整性受到破壞并能夠及時恢復。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-CES1-26)
該測評單元包括以下要求:
a)???測評指標:應采用校驗技術或密碼技術保證重要數據在存儲過程中的完整性,包括但不限于鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等;
b)???測評對象:業務應用系統、數據庫管理系統、中間件、系統管理軟件及系統設計文檔、數據安全保護系統、終端和服務器等設備中的操作系統及網絡設備和安全設備中等;
c)???測評實施包括以下內容:
1)???應核查設計文檔,是否采用了校驗技術或密碼技術保證鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等在存儲過程中的完整性;
2)???應核查是否采用技術措施(如數據安全保護系統等)保證鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等在存儲過程中的完整性;
3)???應測試驗證在存儲過程中對鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等進行篡改,是否能夠檢測到數據在存儲過程中的完整性受到破壞并能夠及時恢復。
d)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
數據保密性
測評單元(L3-CES1-27)
該測評單元包括以下要求:
a)???測評指標:應采用密碼技術保證重要數據在傳輸過程中的保密性,包括但不限于鑒別數據、重要業務數據和重要個人信息等;
b)???測評對象:業務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等;
c)???測評實施包括以下內容:
1)???應核查系統設計文檔,鑒別數據、重要業務數據和重要個人信息等在傳輸過程中是否采用密碼技術保證保密性;
2)???應通過嗅探等方式抓取傳輸過程中的數據包,鑒別數據、重要業務數據和重要個人信息等在傳輸過程中是否進行了加密處理。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-CES1-28)
該測評單元包括以下要求:
a)???測評指標:應采用密碼技術保證重要數據在存儲過程中的保密性,包括但不限于鑒別數據、重要業務數據和重要個人信息等;
b)???測評對象:業務應用系統、數據庫管理系統、中間件、系統管理軟件及系統設計文檔、數據安全保護系統、終端和服務器等設備中的操作系統及網絡設備和安全設備中的重要配置數據;
c)???測評實施包括以下內容:
1)???應核查是否采用密碼技術保證鑒別數據、重要業務數據和重要個人信息等在存儲過程中的保密性;
2)???應核查是否采用技術措施(如數據安全保護系統等)保證鑒別數據、重要業務數據和重要個人信息等在存儲過程中的保密性;
3)???應測試驗證是否對指定的數據進行加密處理。
d)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
數據備份恢復
測評單元(L3-CES1-29)
該測評單元包括以下要求:
a)???測評指標:應提供重要數據的本地數據備份與恢復功能;
b)???測評對象:配置數據和業務數據;
c)???測評實施包括以下內容:
1)???應核查是否按照備份策略進行本地備份;
2)???應核查備份策略設置是否合理、配置是否正確;
3)???應核查備份結果是否與備份策略一致;
4)???應核查近期恢復測試記錄是否能夠進行正常的數據恢復。
d)???單元判定:如果1)-4)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-CES1-30)
該測評單元包括以下要求:
a)???測評指標:應提供異地實時備份功能,利用通信網絡將重要數據實時備份至備份場地;
b)???測評對象:配置數據和業務數據;
c)???測評實施:應核查是否提供異地實時備份功能,并通過網絡將重要配置數據、重要業務數據實時備份至備份場地;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-CES1-31)
該測評單元包括以下要求:
a)???測評指標:應提供重要數據處理系統的熱冗余,保證系統的高可用性;
b)???測評對象:重要數據處理系統;
c)???測評實施:應核查重要數據處理系統(包括邊界路由器、邊界防火墻、核心交換機、應用服務器和數據庫服務器等)是否采用熱冗余方式部署;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
剩余信息保護
測評單元(L3-CES1-32)
該測評單元包括以下要求:
a)???測評指標:應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除;
b)???測評對象:終端和服務器等設備中的操作系統、業務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等;
c)???測評實施:應核查相關配置信息或系統設計文檔,用戶的鑒別信息所在的存儲空間被釋放或重新分配前是否得到完全清除;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-CES1-33)
該測評單元包括以下要求:
a)???測評指標:應保證存有敏感數據的存儲空間被釋放或重新分配前得到完全清除;
b)???測評對象:終端和服務器等設備中的操作系統、業務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等;
c)???測評實施:應核查相關配置信息或系統設計文檔,敏感數據所在的存儲空間被釋放或重新分配給其他用戶前是否得到完全清除;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
個人信息保護
測評單元(L3-CES1-34)
該測評單元包括以下要求:
a)???測評指標:應僅采集和保存業務必需的用戶個人信息;
b)???測評對象:業務應用系統和數據庫管理系統等;
c)???測評實施包括以下內容:
1)???應核查采集的用戶個人信息是否是業務應用必需的;
2)???應核查是否制定了有關用戶個人信息保護的管理制度和流程。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-CES1-35)
該測評單元包括以下要求:
a)???測評指標:應禁止未授權訪問和非法使用用戶個人信息;
b)???測評對象:業務應用系統和數據庫管理系統等;
c)???測評實施包括以下內容:
1)???應核查是否采用技術措施限制對用戶個人信息的訪問和使用;
2)???應核查是否制定了有關用戶個人信息保護的管理制度和流程。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
1.1.5 安全管理中心
系統管理
測評單元(L3-SMC1-01)
該測評單元包括以下要求:
a)???測評指標:應對系統管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行系統管理操作,并對這些操作進行審計;
b)???測評對象:提供集中系統管理功能的系統;
c)???測評實施包括以下內容:
1)???應核查是否對系統管理員進行身份鑒別;
2)???應核查是否只允許系統管理員通過特定的命令或操作界面進行系統管理操作;
3)???應核查是否對系統管理的操作進行審計。
d)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-SMC1-02)
該測評單元包括以下要求:
a)???測評指標:應通過系統管理員對系統的資源和運行進行配置、控制和管理,包括用戶身份、資源配置、系統加載和啟動、系統運行的異常處理、數據和設備的備份與恢復等;
b)???測評對象:提供集中系統管理功能的系統;
c)???測評實施:應核查是否通過系統管理員對系統的資源和運行進行配置、控制和管理,包括用戶身份、資源配置、系統加載和啟動、系統運行的異常處理、數據和設備的備份與恢復等;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
審計管理
測評單元(L3-SMC1-03)
該測評單元包括以下要求:
e)???測評指標:應對審計管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行安全審計操作,并對這些操作進行審計;
f)???測評對象:綜合安全審計系統、數據庫審計系統等提供集中審計功能的系統;
g)???測評實施包括以下內容:
1)???應核查是否對審計管理員進行身份鑒別;
2)???應核查是否只允許審計管理員通過特定的命令或操作界面進行安全審計操作;
3)???應核查是否對安全審計操作進行審計。
h)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-SMC1-04)
該測評單元包括以下要求:
a)???測評指標:應通過審計管理員對審計記錄進行分析,并根據分析結果進行處理,包括根據安全審計策略對審計記錄進行存儲、管理和查詢等;
b)???測評對象:綜合安全審計系統、數據庫審計系統等提供集中審計功能的系統;
c)???測評實施:應核查是否通過審計管理員對審計記錄進行分析,并根據分析結果進行處理,包括根據安全審計策略對審計記錄進行存儲、管理和查詢等;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
安全管理
測評單元(L3-SMC1-05)
該測評單元包括以下要求:
a)???測評指標:應對安全管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行安全管理操作,并對這些操作進行審計;
b)???測評對象:提供集中安全管理功能的系統;
c)???測評實施包括以下內容:
1)???應核查是否對安全管理員進行身份鑒別;
2)???應核查是否只允許安全管理員通過特定的命令或操作界面進行安全審計操作;
3)???應核查是否對安全管理操作進行審計。
d)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-SMC1-06)
該測評單元包括以下要求:
a)???測評指標:應通過安全管理員對系統中的安全策略進行配置,包括安全參數的設置,主體、客體進行統一安全標記,對主體進行授權,配置可信驗證策略等;
b)???測評對象:提供集中安全管理功能的系統;
c)???測評實施:應核查是否通過安全管理員對系統中的安全策略進行配置,包括安全參數的設置,主體、客體進行統一安全標記,對主體進行授權,配置可信驗證策略等;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
集中管控
測評單元(L3-SMC1-07)
該測評單元包括以下要求:
a)???測評指標:應劃分出特定的管理區域,對分布在網絡中的安全設備或安全組件進行管控;
b)???測評對象:網絡拓撲;
c)???測評實施包括以下內容:
1)???應核查是否劃分出單獨的網絡區域用于部署安全設備或安全組件;
2)???應核查各個安全設備或安全組件是否集中部署在單獨的網絡區域內。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-SMC1-08)
該測評單元包括以下要求:
a)???測評指標:應能夠建立一條安全的信息傳輸路徑,對網絡中的安全設備或安全組件進行管理;
b)???測評對象:路由器、交換機和防火墻等設備或相關組件;
c)???測評實施包括以下內容:
1)???應核查是否采用安全方式(如SSH、HTTPS、IPSec VPN等)對安全設備或安全組件進行管理;
2)???應核查是否使用獨立的帶外管理網絡對安全設備或安全組件進行管理。
d)???單元判定:如果1)或2)為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-SMC1-09)
該測評單元包括以下要求:
a)???測評指標:應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測;
b)???測評對象:綜合網管系統等提供運行狀態監測功能的系統;
c)???測評實施包括以下內容:
1)???應核查是否部署了具備運行狀態監測功能的系統或設備,能夠對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測;
2)???應測試驗證運行狀態監測系統是否根據網絡鏈路、安全設備、網絡設備和服務器等的工作狀態、依據設定的閥值(或默認閥值)實時報警。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-SMC1-10)
該測評單元包括以下要求:
a)???測評指標:應對分散在各個設備上的審計數據進行收集匯總和集中分析,并保證審計記錄的留存時間符合法律法規要求;
b)???測評對象:綜合安全審計系統、數據庫審計系統等提供集中審計功能的系統;
c)???測評實施包括以下內容:
1)???應核查各個設備是否配置并啟用了相關策略,將審計數據發送到獨立于設備自身的外部集中安全審計系統中;
2)???應核查是否部署統一的集中安全審計系統,統一收集和存儲各設備日志,并根據需要進行集中審計分析;
3)???應核查審計記錄的留存時間是否至少為6個月。
d)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-SMC1-11)
該測評單元包括以下要求:
a)???測評指標:應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理;
b)???測評對象:提供集中安全管控功能的系統;
c)???測評實施包括以下內容:
1)???應核查是否能夠對安全策略(如防火墻訪問控制策略、入侵保護系統防護策略、WAF安全防護策略等)進行集中管理;
2)???應核查是否實現對操作系統防惡意代碼系統及網絡惡意代碼防護設備的集中管理,實現對防惡意代碼病毒規則庫的升級進行集中管理;
3)???應核查是否實現對各個系統或設備的補丁升級進行集中管理。
d)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-SMC1-12)
該測評單元包括以下要求:
a)???測評指標:應能對網絡中發生的各類安全事件進行識別、報警和分析;
b)???測評對象:提供集中安全管控功能的系統;
c)???測評實施包括以下內容:
1)???應核查是否部署了相關系統平臺能夠對各類安全事件進行分析并通過聲光等方式實時報警;
2)???應核查監測范圍是否能夠覆蓋網絡所有關鍵路徑。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
1.1.6 安全管理制度
安全策略
測評單元(L3-PSS1-01)
該測評單元包括以下要求:
a)???測評指標:應制定網絡安全工作的總體方針和安全策略,闡明機構安全工作的總體目標、范圍、原則和安全框架等;
b)???測評對象:總體方針策略類文檔;
c)???測評實施:應核查網絡安全工作的總體方針和安全策略文件是否明確機構安全工作的總體目標、范圍、原則和各類安全策略;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
管理制度
測評單元(L3-PSS1-02)
該測評單元包括以下要求:
a)???測評指標:應對安全管理活動中的各類管理內容建立安全管理制度;
b)???測評對象:安全管理制度類文檔;
c)???測評實施:應核查各項安全管理制度是否覆蓋物理、網絡、主機系統、數據、應用、建設和運維等管理內容;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-PSS1-03)
該測評單元包括以下要求:
a)???測評指標:應對管理人員或操作人員執行的日常管理操作建立操作規程;
b)???測評對象:操作規程類文檔;
c)???測評實施:應核查是否具有日常管理操作的操作規程,如系統維護手冊和用戶操作規程等;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-PSS1-04)
該測評單元包括以下要求:
a)???測評指標:應形成由安全策略、管理制度、操作規程、記錄表單等構成的全面的安全管理制度體系;
b)???測評對象:總體方針策略類文檔、管理制度類文檔、操作規程類文檔和記錄表單類文檔;
c)???測評實施:應核查總體方針策略文件、管理制度和操作規程、記錄表單是否全面且具有關聯性和一致性;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
制定和發布
測評單元(L3-PSS1-05)
該測評單元包括以下要求:
a)???測評指標:應指定或授權專門的部門或人員負責安全管理制度的制定;
b)???測評對象:部門/人員職責文件等;
c)???測評實施:應核查否由專門的部門或人員負責制定安全管理制度;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-PSS1-06)
該測評單元包括以下要求:
a)???測評指標:安全管理制度應通過正式、有效的方式發布,并進行版本控制;
b)???測評對象:管理制度類文檔和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應核查制度制定和發布要求管理文檔是否說明安全管理制度的制定和發布程序、格式要求及版本編號等相關內容;
2)???應核查安全管理制度的收發登記記錄是否通過正式、有效的方式收發,如正式發文、領導簽署和單位蓋章等。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
評審和修訂
測評單元(L3-PSS1-07)
該測評單元包括以下要求:
a)???測評指標:應定期對安全管理制度的合理性和適用性進行論證和審定,對存在不足或需要改進的安全管理制度進行修訂;
b)???測評對象:信息/網絡安全主管和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應訪談信息/網絡安全主管是否定期對安全管理制度的合理性和適用性進行審定;
2)???應核查是否具有安全管理制度的審定或論證記錄,如果對制度做過修訂,核查是否有修訂版本的安全管理制度。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
1.1.7 安全管理機構
崗位設置
測評單元(L3-ORS1-01)
該測評單元包括以下要求:
a)???測評指標:應成立指導和網絡安全工作的委員會或領導小組,其最高領導由單位主管領導擔任或授權;
b)???測評對象:信息/網絡安全主管、管理制度類文檔和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應訪談信息/網絡安全主管是否成立了指導和管理網絡安全工作的委員會或領導小組;
2)???應核查相關文檔是否明確了網絡安全工作委員會或領導小組構成情況和相關職責;
3)???應核查委員會或領導小組的最高領導是否由單位主管領導擔任或由其進行了授權。
d)???單元判定:如果?1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-ORS1-02)
該測評單元包括以下要求:
a)???測評指標:應設立網絡安全管理工作的職能部門,設立安全主管、安全管理各個方面的負責人崗位,并定義各負責人的職責;
b)???測評對象:信息/網絡安全主管和管理制度類文檔;
c)???測評實施包括以下內容:
1)???應訪談信息/網絡安全主管是否設立網絡安全管理工作的職能部門;
2)???應核查部門職責文檔是否明確網絡安全管理工作的職能部門和各負責人職責;
3)???應核查崗位職責文檔是否有崗位劃分情況和崗位職責。
d)???單元判定:如果?1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-ORS1-03)
該測評單元包括以下要求:
a)???測評指標:應設立系統管理員、審計管理員和安全管理員等崗位,并定義部門及各個工作崗位的職責;
b)???測評對象:信息/網絡安全主管和管理制度類文檔;
c)???測評實施包括以下內容:
1)???應訪談信息/網絡安全主管是否進行了安全管理崗位的劃分;
2)???應核查崗位職責文檔是否明確了各部門及各崗位職責。
d)???單元判定:如果?1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
人員配備
測評單元(L3-ORS1-04)
該測評單元包括以下要求:
a)???測評指標:應配備一定數量的系統管理員、審計管理員和安全管理員等;
b)???測評對象:信息/網絡安全主管和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應訪談信息/網絡安全主管是否配備系統管理員、審計管理員和安全管理員;
2)???應核查人員配備文檔是否明確各崗位人員配備情況。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-ORS1-05)
該測評單元包括以下要求:
a)???測評指標:應配備專職安全管理員,不可兼任;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查人員配備文檔是否配備了專職安全管理員;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
授權和審批
測評單元(L4-ORS1-06)
該測評單元包括以下要求:
a)???測評指標:應根據各個部門和崗位的職責明確授權審批事項、審批部門和批準人等;
b)???測評對象:管理制度類文檔和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應核查部門職責文檔是否明確各部門審批事項;
2)???應核查崗位職責文檔是否明確各崗位審批事項。
d)???單元判定:如果?1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L4-ORS1-07)
該測評單元包括以下要求:
a)???測評指標:應針對系統變更、重要操作、物理訪問和系統接入等事項建立審批程序,按照審批程序執行審批過程,對重要活動建立逐級審批制度;
b)???測評對象:操作規程類文檔和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應核查系統變更、重要操作、物理訪問和系統接入等事項的操作規范是否明確建立了逐級審批程序;
2)???應核查審批記錄、操作記錄,審批結果是否與相關制度一致。
d)???單元判定:如果?1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L4-ORS1-08)
該測評單元包括以下要求:
a)???測評指標:應定期審查審批事項,及時更新需授權和審批的項目、審批部門和審批人等信息;
b)???測評對象:信息/網絡安全主管和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應訪談信息/網絡安全主管是否對各類審批事項進行更新;
2)???應核查是否具有定期審查審批事項的記錄。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
溝通和合作
測評單元(L3-ORS1-09)
該測評單元包括以下要求:
a)???測評指標:應加強各類管理人員、組織內部機構和網絡安全管理部門之間的合作與溝通,定期召開協調會議,共同協作處理網絡安全問題;
b)???測評對象:信息/網絡安全主管和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應訪談信息/網絡安全主管是否建立了各類管理人員、組織內部機構和網絡安全管理部門之間的合作與溝通機制;
2)???應核查會議記錄是否明確各類管理人員、組織內部機構和網絡安全管理部門之間開展了合作與溝通。
d)???單元判定:如果?1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-ORS1-10)
該測評單元包括以下要求:
a)???測評指標:應加強與網絡安全職能部門、各類供應商、業界專家及安全組織的合作與溝通;
b)???測評對象:信息/網絡安全主管和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應訪談信息/網絡安全主管是否建立了與網絡安全職能部門、各類供應商、業界專家及安全組織的合作與溝通機制;
2)???應核查會議記錄是否與網絡安全職能部門、各類供應商、業界專家及安全組織開展了合作與溝通。
d)???單元判定:如果?1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-ORS1-11)
該測評單元包括以下要求:
a)???測評指標:應建立外聯單位聯系列表,包括外聯單位名稱、合作內容、聯系人和聯系方式等信息;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查外聯單位聯系列表是否記錄了外聯單位名稱、合作內容、聯系人和聯系方式等信息;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
審核和檢查
測評單元(L3-ORS1-12)
該測評單元包括以下要求:
a)???測評指標:應定期進行常規安全檢查,檢查內容包括系統日常運行、系統漏洞和數據備份等情況;
b)???測評對象:信息/網絡安全主管和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應訪談信息/網絡安全主管是否定期進行了常規安全檢查;
2)???應核查常規安全檢查記錄是否包括了系統日常運行、系統漏洞和數據備份等情況。
d)???單元判定:如果?1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-ORS1-13)
該測評單元包括以下要求:
a)???測評指標:應定期進行全面安全檢查,檢查內容包括現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等;
b)???測評對象:信息/網絡安全主管和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應訪談信息/網絡安全主管是否定期進行了全面安全檢查;
2)???應核查全面安全檢查記錄是否包括了現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等。
d)???單元判定:如果?1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-ORS1-14)
該測評單元包括以下要求:
a)???測評指標:應制定安全檢查表格實施安全檢查,匯總安全檢查數據,形成安全檢查報告,并對安全檢查結果進行通報;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查是否具有安全檢查表格、安全檢查記錄、安全檢查報告、安全檢查結果通報記錄;
d)???單元判定:如果以上測評實施內容肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
1.1.8 安全管理人員
人員錄用
測評單元(L3-HRS1-01)
該測評單元包括以下要求:
a)???測評指標:應指定或授權專門的部門或人員負責人員錄用;
b)???測評對象:信息/網絡安全主管;
c)???測評實施:應訪談信息/網絡安全主管是否由專門的部門或人員負責人員的錄用工作;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-HRS1-02)
該測評單元包括以下要求:
a)???測評指標:應對被錄用人員的身份、安全背景、專業資格或資質等進行審查,對其所具有的技術技能進行考核;
b)???測評對象:管理制度類文檔和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應核查人員安全管理文檔是否說明錄用人員應具備的條件(如學歷、學位要求,技術人員應具備的專業技術水平,管理人員應具備的安全管理知識等);
2)???應核查是否具有人員錄用時對錄用人身份、安全背景、專業資格或資質等進行審查的相關文檔或記錄,是否記錄審查內容和審查結果等;
3)???應核查人員錄用時的技能考核文檔或記錄是否記錄考核內容和考核結果等。
d)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-HRS1-03)
該測評單元包括以下要求:
a)???測評指標:應與被錄用人員簽署保密協議,與關鍵崗位人員簽署崗位責任協議;
b)???測評對象:記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應核查保密協議是否有保密范圍、保密責任、違約責任、協議的有效期限和責任人的簽字等內容;
2)???應核查崗位安全協議是否有崗位安全責任定義、協議的有效期限和責任人簽字等內容。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
人員離崗
測評單元(L3-HRS1-04)
該測評單元包括以下要求:
a)???測評指標:應及時終止離崗人員的所有訪問權限,取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查是否具有離崗人員終止其訪問權限、交還身份證件、軟硬件設備等的登記記錄;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-HRS1-05)
該測評單元包括以下要求:
a)???測評指標:應辦理嚴格的調離手續,并承諾調離后的保密義務后方可離開;
b)???測評對象:管理制度類文檔和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應核查人員離崗的管理文檔是否規定了人員調離手續和離崗要求等;
2)???應核查是否具有按照離崗程序辦理調離手續的記錄;
3)???應核查保密承諾文檔是否有調離人員的簽字。
d)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
安全意識教育和培訓
測評單元(L3-HRS1-06)
該測評單元包括以下要求:
a)???測評指標:應對各類人員進行安全意識教育和崗位技能培訓,并告知相關的安全責任和懲戒措施;
b)???測評對象:管理制度類文檔;
c)???測評實施包括以下內容:
1)???應核查安全意識教育及崗位技能培訓文檔是否明確培訓周期、培訓方式、培訓內容和考核方式等相關內容;
2)???應核查安全責任和懲戒措施管理文檔或培訓文檔是否包含具體的安全責任和懲戒措施。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-HRS1-07)
該測評單元包括以下要求:
a)???測評指標:應針對不同崗位制定不同的培訓計劃,對安全基礎知識、崗位操作規程等進行培訓;
b)???測評對象:記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應核查安全教育和培訓計劃文檔是否具有不同崗位的培訓計劃;
2)???應核查培訓內容是否包含安全基礎知識、崗位操作規程等;
3)???應核查安全教育和培訓記錄是否有培訓人員、培訓內容、培訓結果等描述。
d)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-HRS1-08)
該測評單元包括以下要求:
a)???測評指標:應定期對不同崗位的人員進行技能考核;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查是否具有針對各崗位人員的技能考核記錄;
d)???單元判定:如果以上測評實施為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
外部人員訪問管理
測評單元(L3-HRS1-09)
該測評單元包括以下要求:
a)???測評指標:應在外部人員物理訪問受控區域前先提出書面申請,批準后由專人全程陪同,并登記備案;
b)???測評對象:管理制度類文檔和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應核查外部人員訪問管理文檔是否明確允許外部人員訪問的范圍、外部人員進入的條件、外部人員進入的訪問控制措施等;
2)???應核查外部人員訪問重要區域的書面申請文檔是否具有批準人允許訪問的批準簽字等;
3)???應核查外部人員訪問重要區域的登記記錄是否記錄了外部人員訪問重要區域的進入時間、離開時間、訪問區域及陪同人等。
4)???應核查外部人員訪問管理文檔是否明確允許外部人員訪問的范圍、外部人員進入的條件、外部人員進入的訪問控制措施等;
5)???應核查外部人員訪問重要區域的書面申請文檔,是否具有批準人允許訪問的批準簽字等;
6)???應核查外部人員訪問重要區域的登記記錄是否記錄了外部人員訪問重要區域的進入時間、離開時間、訪問區域及陪同人等
d)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-HRS1-10)
該測評單元包括以下要求:
a)???測評指標:應在外部人員接入受控網絡訪問系統前先提出書面申請,批準后由專人開設賬戶、分配權限,并登記備案;
b)???測評對象:管理制度類文檔和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應核查外部人員訪問管理文檔是否明確外部人員接入受控網絡前的申請審批流程;
2)???應核查外部人員訪問系統的書面申請文檔是否明確外部人員的訪問權限,是否具有允許訪問的批準簽字等;
3)???應核查外部人員訪問系統的登記記錄是否記錄了外部人員訪問的權限、時限、賬戶等。
d)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-HRS1-11)
該測評單元包括以下要求:
a)???測評指標:外部人員離場后應及時清除其所有的訪問權限;
b)???測評對象:管理制度類文檔和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應核查外部人員訪問管理文檔是否明確外部人員離開后及時清除其所有訪問權限;
2)???應核查外部人員訪問系統的登記記錄是否記錄了訪問權限清除時間。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-HRS1-12)
該測評單元包括以下要求:
a)???測評指標:獲得系統訪問授權的外部人員應簽署保密協議,不得進行非授權操作,不得復制和泄露任何敏感信息;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查外部人員訪問保密協議是否明確人員的保密義務(如不得進行非授權操作,不得復制信息等);
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
1.1.9 安全建設管理
定級和備案
測評單元(L3-CMS1-01)
該測評單元包括以下要求:
a)???測評指標:應以書面的形式說明保護對象的安全保護等級及確定等級的方法和理由;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查定級文檔是否明確保護對象的安全保護等級,是否說明定級的方法和理由;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-CMS1-02)
該測評單元包括以下要求:
a)???測評指標:應組織相關部門和有關安全技術專家對定級結果的合理性和正確性進行論證和審定;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查定級結果的論證評審會議記錄是否有相關部門和有關安全技術專家對定級結果的論證意見;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-CMS1-03)
該測評單元包括以下要求:
a)???測評指標:應保證定級結果經過相關部門的批準;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查定級結果部門審批文檔是否有上級主管部門或本單位相關部門的審批意見;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-CMS1-04)
該測評單元包括以下要求:
a)???測評指標:應將備案材料報主管部門和公安機關備案;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查是否具有公安機關出具的備案證明文檔;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
安全方案設計
測評單元(L3-CMS1-05)
該測評單元包括以下要求:
a)???測評指標:應根據安全保護等級選擇基本安全措施,依據風險分析的結果補充和調整安全措施;
b)???測評對象:安全規劃設計類文檔;
c)???測評實施:應核查安全設計文檔是否根據安全保護等級選擇安全措施,是否根據安全需求調整安全措施;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-CMS1-06)
該測評單元包括以下要求:
a)???測評指標:應根據保護對象的安全保護等級及與其他級別保護對象的關系進行安全整體規劃和安全方案設計,設計內容應包含密碼技術相關內容,并形成配套文件;
b)???測評對象:安全規劃設計類文檔;
c)???測評實施:應核查是否有總體規劃和安全設計方案等配套文件,設計方案中應包含密碼技術相關內容;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-CMS1-07)
該測評單元包括以下要求:
a)???測評指標:應組織相關部門和有關安全專家對安全整體規劃及其配套文件的合理性和正確性進行論證和審定,經過批準后才能正式實施;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查配套文件的論證評審記錄或文檔是否有相關部門和有關安全技術專家對總體安全規劃、安全設計方案等相關配套文件的批準意見和論證意見;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
產品采購和使用
測評單元(L3-CMS1-08)
該測評單元包括以下要求:
a)???測評指標:應確保網絡安全產品采購和使用符合國家的有關規定;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查有關網絡安全產品是否符合國家的有關規定,如網絡安全產品獲得了銷售許可等;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-CMS1-09)
該測評單元包括以下要求:
a)???測評指標:應確保密碼產品與服務的采購和使用符合國家密碼主管部門的要求;
b)???測評對象:建設負責人和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應訪談建設負責人是否采用了密碼產品及其相關服務;
2)???應核查密碼產品與服務的采購和使用是否符合國家密碼管理主管部門的要求。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-CMS1-10)
該測評單元包括以下要求:
a)???測評指標:應預先對產品進行選型測試,確定產品的候選范圍,并定期審定和更新候選產品名單;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查是否具有產品選型測試結果文檔、候選產品采購清單及審定或更新的記錄;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
自行軟件開發
測評單元(L3-CMS1-11)
該測評單元包括以下要求:
a)???測評指標:應將開發環境與實際運行環境物理分開,測試數據和測試結果受到控制;
b)???測評對象:建設負責人;
c)???測評實施包括以下內容:
1)???應訪談建設負責人自主開發軟件是否在獨立的物理環境中完成編碼和調試,與實際運行環境分開;
2)???應核查測試數據和結果是否受控使用。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-CMS1-12)
該測評單元包括以下要求:
a)???測評指標:應制定軟件開發管理制度,明確說明開發過程的控制方法和人員行為準則;
b)???測評對象:管理制度類文檔;
c)???測評實施:應核查軟件開發管理制度是否明確軟件設計、開發、測試和驗收過程的控制方法和人員行為準則,是否明確哪些開發活動應經過授權和審批;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-CMS1-13)
該測評單元包括以下要求:
a)???測評指標:應制定代碼編寫安全規范,要求開發人員參照規范編寫代碼;
b)???測評對象:管理制度類文檔;
c)???測評實施:應核查代碼編寫安全規范是否明確代碼安全編寫規則;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-CMS1-14)
該測評單元包括以下要求:
a)???測評指標:應具備軟件設計的相關文檔和使用指南,并對文檔使用進行控制;
b)???測評對象:軟件開發類文檔;
c)???測評實施:應核查是否具有軟件開發文檔和使用指南,并對文檔使用進行控制;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-CMS1-15)
該測評單元包括以下要求:
a)???測評指標:應保證在軟件開發過程中對安全性進行測試,在軟件安裝前對可能存在的惡意代碼進行檢測;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查是否具有軟件安全測試報告和代碼審計報告,明確軟件存在的安全問題及可能存在的惡意代碼;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-CMS1-16)
該測評單元包括以下要求:
a)???測評指標:應對程序資源庫的修改、更新、發布進行授權和批準,并嚴格進行版本控制;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查對程序資源庫的修改、更新、發布進行授權和審批的文檔或記錄是否有批準人的簽字;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-CMS1-17)
該測評單元包括以下要求:
a)???測評指標:應保證開發人員為專職人員,開發人員的開發活動受到控制、監視和審查;
b)???測評對象:建設負責人;
c)???測評實施:應訪談建設負責人開發人員是否為專職,是否對開發人員活動進行控制等;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
外包軟件開發
測評單元(L3-CMS1-18)
該測評單元包括以下要求:
a)???測評指標:應在軟件交付前檢測軟件其中可能存在的惡意代碼;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查是否具有交付前的惡意代碼檢測報告;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-CMS1-19)
該測評單元包括以下要求:
a)???測評指標:應保證開發單位提供軟件設計文檔和使用指南;
b)???測評對象:操作規程類文檔和記錄表單類文檔;
c)???測評實施:應核查是否具有軟件開發的相關文檔,如需求分析說明書、軟件設計說明書等,是否具有軟件操作手冊或使用指南;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-CMS1-20)
該測評單元包括以下要求:
a)???測評指標:應保證開發單位提供軟件源代碼,并審查軟件中可能存在的后門和隱蔽信道;
b)???測評對象:建設負責人和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應訪談建設負責人委托開發單位是否提供軟件源代碼;
2)???應核查軟件測試報告是否審查了軟件可能存在的后門和隱蔽信道。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
工程實施
測評單元(L3-CMS1-21)
該測評單元包括以下要求:
a)???測評指標:應指定或授權專門的部門或人員負責工程實施過程的管理;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查是否指定專門部門或人員對工程實施進行進度和質量控制;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-CMS1-22)
該測評單元包括以下要求:
a)???測評指標:應制定安全工程實施方案控制工程實施過程;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查安全工程實施方案是否包括工程時間限制、進度控制和質量控制等方面內容,是否按照工程實施方面的管理制度進行各類控制、產生階段性文檔等;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-CMS1-23)
該測評單元包括以下要求:
a)???測評指標:應通過第三方工程監理控制項目的實施過程;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查工程監理報告是否明確了工程進展、時間計劃、控制措施等方面內容;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測試驗收
測評單元(L3-CMS1-24)
該測評單元包括以下要求:
a)???測評指標:應制訂測試驗收方案,并依據測試驗收方案實施測試驗收,形成測試驗收報告;
b)???測評對象:記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應核查工程測試驗收方案是否明確說明參與測試的部門、人員、測試驗收內容、現場操作過程等內容;
2)???應核查測試驗收報告是否有相關部門和人員對測試驗收報告進行審定的意見。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-CMS1-25)
該測評單元包括以下要求:
a)???測評指標:應進行上線前的安全性測試,并出具安全測試報告,安全測試報告應包含密碼應用安全性測試相關內容;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查是否具有上線前的安全測試報告,報告應包含密碼應用安全性測試相關內容;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
系統交付
測評單元(L3-CMS1-26)
該測評單元包括以下要求:
a)???測評指標:應制定交付清單,并根據交付清單對所交接的設備、軟件和文檔等進行清點;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查交付清單是否說明交付的各類設備、軟件、文檔等;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-CMS1-27)
該測評單元包括以下要求:
a)???測評指標:應對負責運行維護的技術人員進行相應的技能培訓;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查系統交付技術培訓記錄是否包括培訓內容、培訓時間和參與人員等;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-CMS1-28)
該測評單元包括以下要求:
a)???測評指標:應提供建設過程文檔和運行維護文檔;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查交付文檔是否包括建設過程文檔和運行維護文檔等,提交的文檔是否符合管理規定的要求;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
等級測評
測評單元(L3-CMS1-29)
該測評單元包括以下要求:
a)???測評指標:應定期進行等級測評,發現不符合相應等級保護標準要求的及時整改;
b)???測評對象:運維負責人和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應訪談運維負責人本次測評是否為首次,若非首次,是否根據以往測評結果進行相應的安全整改;
2)???應核查是否具有以往等級測評報告和安全整改方案。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-CMS1-30)
該測評單元包括以下要求:
a)???測評指標:應在發生重大變更或級別發生變化時進行等級測評;
b)???測評對象:運維負責人和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應核查是否有過重大變更或級別發生過變化及是否進行相應的等級測評;
2)???應核查是否具有相應情況下的等級測評報告。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-CMS1-31)
該測評單元包括以下要求:
a)???測評指標:應確保測評機構的選擇符合國家有關規定;
b)???測評對象:等級測評報告和相關資質文件;
c)???測評實施:應核查以往等級測評的測評單位是否具有等級測評機構資質;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
服務供應商管理
測評單元(L3-CMS1-32)
該測評單元包括以下要求:
a)???測評指標:應確保服務供應商的選擇符合國家的有關規定;
b)???測評對象:建設負責人;
c)???測評實施:應訪談建設負責人選擇的安全服務商是否符合國家有關規定;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-CMS1-33)
該測評單元包括以下要求:
a)???測評指標:應與選定的服務供應商簽訂相關協議,明確整個服務供應鏈各方需履行的網絡安全相關義務;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查與服務供應商簽訂的服務合同或安全責任書是否明確了后期的技術支持和服務承諾等內容;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-CMS1-34)
該測評單元包括以下要求:
a)???測評指標:應定期監督、評審和審核服務供應商提供的服務,并對其變更服務內容加以控制;
b)???測評對象:管理制度類文檔和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應核查是否具有服務供應商定期提交的安全服務報告;
2)???應核查是否定期審核評價服務供應商所提供的服務及服務內容變更情況,是否具有服務審核報告;
3)???應核查是否具有服務供應商評價審核管理制度,明確針對服務供應商的評價指標、考核內容等。
d)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
1.1.10 安全運維管理
環境管理
測評單元(L3-MMS1-01)
該測評單元包括以下要求:
a)???測評指標:應指定專門的部門或人員負責機房安全,對機房出入進行管理,定期對機房供配電、空調、溫濕度控制、消防等設施進行維護管理;
b)???測評對象:物理安全負責人和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應訪談物理安全負責人是否指定部門和人員負責機房安全管理工作,對機房的出入進行管理、對基礎設施(如空調、供配電設備、滅火設備等)進行定期維護;
2)???應核查部門或人員崗位職責文檔是否明確機房安全的責任部門及人員;
3)???應核查機房的出入登記記錄是否記錄來訪人員、來訪時間、離開時間、攜帶物品等信息;
4)???應核查機房的基礎設施的維護記錄是否記錄維護日期、維護人、維護設備、故障原因、維護結果等方面內容。
d)???單元判定:如果1)-4)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-MMS1-02)
該測評單元包括以下要求:
a)???測評指標:應建立機房安全管理制度,對有關物理訪問、物品進出和環境安全等方面的管理作出規定;
b)???測評對象:管理制度類文檔和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應核查機房安全管理制度是否覆蓋物理訪問、物品進出和環境安全等方面內容;
2)???應核查物理訪問、物品進出和環境安全等相關記錄是否與制度相符。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-MMS1-03)
該測評單元包括以下要求:
a)???測評指標:應不在重要區域接待來訪人員,不隨意放置含有敏感信息的紙檔文件和移動介質等;
b)???測評對象:管理制度類文檔和辦公環境;
c)???測評實施包括以下內容:
1)???應核查機房安全管理制度是否明確來訪人員的接待區域;
2)???應核查辦公桌面上等位置是否未隨意放置了含有敏感信息的紙檔文件和移動介質等。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
資產管理
測評單元(L3-MMS1-04)
該測評單元包括以下要求:
a)???測評指標:應編制并保存與保護對象相關的資產清單,包括資產責任部門、重要程度和所處位置等內容;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查資產清單是否包括資產類別(含設備設施、軟件、文檔等)、資產責任部門、重要程度和所處位置等內容;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-MMS1-05)
該測評單元包括以下要求:
a)???測評指標:應根據資產的重要程度對資產進行標識管理,根據資產的價值選擇相應的管理措施;
b)???測評對象:資產管理員、管理制度類文檔和設備;
c)???測評實施包括以下內容:
1)???應訪談資產管理員是否依據資產的重要程度對資產進行標識,不同類別的資產在管理措施的選取上是否不同;
2)???應核查資產管理制度是否明確資產的標識方法以及不同資產的管理措施要求;
3)???應核查資產清單中的設備是否具有相應標識,標識方法是否符合2)相關要求。
d)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-MMS1-06)
該測評單元包括以下要求:
a)???測評指標:應對信息分類與標識方法作出規定,并對信息的使用、傳輸和存儲等進行規范化管理;
b)???測評對象:管理制度類文檔;
c)???測評實施包括以下內容:
1)???應核查信息分類文檔是否規定了分類標識的原則和方法(如根據信息的重要程度、敏感程度或用途不同進行分類);
2)???應核查信息資產管理辦法是否規定了不同類信息的使用、傳輸和存儲等要求。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
介質管理
測評單元(L3-MMS1-07)
該測評單元包括以下要求:
a)???測評指標:應將介質存放在安全的環境中,對各類介質進行控制和保護,實行存儲介質專人管理,并根據存檔介質的目錄清單定期盤點;
b)???測評對象:資產管理員和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應訪談資產管理員介質存放環境是否安全,存放環境是否由專人管理;
2)???應核查介質管理記錄是否記錄介質歸檔、使用和定期盤點等情況。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-MMS1-08)
該測評單元包括以下要求:
a)???測評指標:應對介質在物理傳輸過程中的人員選擇、打包、交付等情況進行控制,并對介質的歸檔和查詢等進行登記記錄;
b)???測評對象:資產管理員和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應訪談資產管理員介質在物理傳輸過程中的人員選擇、打包、交付等情況是否進行控制;
2)???核查是否對介質的歸檔和查詢等進行登記記錄。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
設備維護管理
測評單元(L3-MMS1-09)
該測評單元包括以下要求:
a)???測評指標:應對各種設備(包括備份和冗余設備)、線路等指定專門的部門或人員定期進行維護管理;
b)???測評對象:設備管理員和管理制度類文檔;
c)???測評實施包括以下內容:
1)???應訪談設備管理員是否對各類設備、線路指定專人或專門部門進行定期維護;
2)???應核查部門或人員崗位職責文檔是否明確設備維護管理的責任部門。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-MMS1-10)
該測評單元包括以下要求:
a)???測評指標:應建立配套設施、軟硬件維護方面的管理制度,對其維護進行有效管理,包括明確維護人員的責任、維修和服務的審批、維修過程的監督控制等;
b)???測評對象:管理制度類文檔和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應核查設備維護管理制度是否明確維護人員的責任、維修和服務的審批、維修過程的監督控制等方面內容;
2)???應核查是否留有維修和服務的審批、維修過程等記錄,審批、記錄內容是否與制度相符。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-MMS1-11)
該測評單元包括以下要求:
a)???測評指標:信息處理設備必須經過審批才能帶離機房或辦公地點,含有存儲介質的設備帶出工作環境時其中重要數據必須加密;
b)???測評對象:設備管理員和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應訪談設備管理員含有重要數據的設備帶出工作環境是否有加密措施;
2)???應訪談設備管理員對帶離機房的設備是否經過審批;
3)???應核查是否具有設備帶離機房或辦公地點的審批記錄。
d)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-MMS1-12)
該測評單元包括以下要求:
a)???測評指標:含有存儲介質的設備在報廢或重用前,應進行完全清除或被安全覆蓋,保證該設備上的敏感數據和授權軟件無法被恢復重用;
b)???測評對象:設備管理員;
c)???測評實施:應訪談設備管理員含有存儲介質的設備在報廢或重用前,是否采取措施進行完全清除或被安全覆蓋;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
漏洞和風險管理
測評單元(L3-MMS1-13)
該測評單元包括以下要求:
a)???測評指標:應采取必要的措施識別安全漏洞和隱患,對發現的安全漏洞和隱患及時進行修補或評估可能的影響后進行修補;
b)???測評對象:記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應核查是否有識別安全漏洞和隱患的安全報告或記錄(如漏洞掃描報告、滲透測試報告和安全通報等);
2)???應核查相關記錄是否對發現的漏洞及時進行修補或評估可能的影響后進行修補。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-MMS1-14)
該測評單元包括以下要求:
a)???測評指標:應定期開展安全測評,形成安全測評報告,采取措施應對發現的安全問題;
b)???測評對象:安全管理員和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應訪談安全管理員是否定期開展安全測評;
2)???應核查是否具有安全測評報告;
3)???應核查是否具有安全整改應對措施文檔。
d)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
網絡和系統安全管理
測評單元(L3-MMS1-15)
該測評單元包括以下要求:
a)???測評指標:應劃分不同的管理員角色進行網絡和系統的運維管理,明確各個角色的責任和權限;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查網絡和系統安全管理文檔,系統管理員是否劃分了不同角色,并定義各個角色的責任和權限;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-MMS1-16)
該測評單元包括以下要求:
a)???測評指標:應指定專門的部門或人員進行賬戶管理,對申請賬戶、建立賬戶、刪除賬戶等進行控制;
b)???測評對象:運維負責人和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應訪談運維負責人是否指定專門的部門或人員進行賬戶管理;
2)???應核查相關審批記錄或流程是否對申請賬戶、建立賬戶、刪除賬戶等進行控制。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-MMS1-17)
該測評單元包括以下要求:
a)???測評指標:應建立網絡和系統安全管理制度,對安全策略、賬戶管理、配置管理、日志管理、日常操作、升級與打補丁、口令更新周期等方面作出規定;
b)???測評對象:管理制度類文檔;
c)???測評實施:應核查網絡和系統安全管理制度是否覆蓋網絡和系統的安全策略、賬戶管理(用戶責任、義務、風險、權限審批、權限分配、賬戶注銷等)、配置文件的生成及備份、變更審批、授權訪問、最小服務、升級與打補丁、審計日志管理、登錄設備和系統的口令更新周期等方面;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-MMS1-18)
該測評單元包括以下要求:
a)???測評指標:應制定重要設備的配置和操作手冊,依據手冊對設備進行安全配置和優化配置等;
b)???測評對象:操作規程類文檔;
c)???測評實施:應核查重要設備或系統(如操作系統、數據庫、網絡設備、安全設備、應用和組件)的配置和操作手冊是否明確操作步驟、參數配置等內容;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-MMS1-19)
該測評單元包括以下要求:
a)???測評指標:應詳細記錄運維操作日志,包括日常巡檢工作、運行維護記錄、參數的設置和修改等內容;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查運維操作日志是否覆蓋網絡和系統的日常巡檢、運行維護、參數的設置和修改等內容;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-MMS1-20)
該測評單元包括以下要求:
a)???測評指標:應指定專門的部門或人員對日志、監測和報警數據等進行分析、統計,及時發現可疑行為;
b)???測評對象:系統管理員和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應訪談網絡和系統相關人員是否指定專門部門或人員對日志、監測和報警數據等進行分析統計;
2)???應核查是否具有對日志、監測和報警數據等進行分析統計的報告。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-MMS1-21)
該測評單元包括以下要求:
a)???測評指標:應嚴格控制變更性運維,經過審批后才可改變連接、安裝系統組件或調整配置參數,操作過程中應保留不可更改的審計日志,操作結束后應同步更新配置信息庫;
b)???測評對象:系統管理員和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應訪談網絡和系統相關人員調整配置參數結束后是否同步更新配置信息庫,并核實配置信息庫是否為最新版本;
2)???應核查是否具有變更運維的審批記錄,如系統連接、安裝系統組件或調整配置參數等活動;
3)???應核查是否具有變更運維的操作過程記錄。
d)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-MMS1-22)
該測評單元包括以下要求:
a)???測評指標:應嚴格控制運維工具的使用,經過審批后才可接入進行操作,操作過程中應保留不可更改的審計日志,操作結束后應刪除工具中的敏感數據;
b)???測評對象:系統管理員和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應訪談系統管理員使用運維工具結束后是否刪除工具中的敏感數據;
2)???應核查是否具有運維工具接入系統的審批記錄;
3)???應核查運維工具的審計日志記錄,審計日志是否不可以更改。
d)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-MMS1-23)
該測評單元包括以下要求:
a)???測評指標:應嚴格控制遠程運維的開通,經過審批后才可開通遠程運維接口或通道,操作過程中應保留不可更改的審計日志,操作結束后立即關閉接口或通道;
b)???測評對象:系統管理員和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應訪談系統相關人員日常運維過程中是否存在遠程運維,若存在,遠程運維結束后是否立即關閉了接口或通道;
2)???應核查開通遠程運維的審批記錄;
3)???應核查針對遠程運維的審計日志是否不可以更改。
d)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-MMS1-24)
該測評單元包括以下要求:
a)???測評指標:應保證所有與外部的連接均得到授權和批準,應定期檢查違反規定無線上網及其他違反網絡安全策略的行為;
b)???測評對象:安全管理員和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應訪談系統相關人員網絡外聯連接(如互聯網、合作伙伴企業網、上級部門網絡等)是否都得到授權與批準;
2)???應訪談網絡管理員是否定期核查違規聯網行為;
3)???應核查是否具有外聯授權的記錄文件。
d)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
惡意代碼防范管理
測評單元(L3-MMS1-25)
該測評單元包括以下要求:
a)???測評指標:應提高所有用戶的防惡意代碼意識,對外來計算機或存儲設備接入系統前進行惡意代碼檢查等;
b)???測評對象:運維負責人和管理制度類文檔;
c)???測評實施包括如下內容:
1)???應訪談運維負責人是否采取培訓和告知等方式提升員工的防惡意代碼意識;
2)???應核查惡意代碼防范管理制度是否明確對外來計算機或存儲設備接入系統前進行惡意代碼檢查。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-MMS1-26)
該測評單元包括以下要求:
a)???測評指標:應定期驗證防范惡意代碼攻擊的技術措施的有效性;
b)???測評對象:安全管理員和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???若采用可信驗證技術,應訪談安全管理員是否未發生過惡意代碼攻擊事件;
2)???若采用防惡意代碼產品,應訪談安全管理員是否定期對惡意代碼庫進行升級,且對升級情況進行記錄,對各類防病毒產品上截獲的惡意代碼是否進行分析并匯總上報,是否未出現過大規模的病毒事件;
3)???應核查是否具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告。
d)???單元判定:如果1)或2)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
配置管理
測評單元(L3-MMS1-27)
該測評單元包括以下要求:
a)???測評指標:應記錄和保存基本配置信息,包括網絡拓撲結構、各個設備安裝的軟件組件、軟件組件的版本和補丁信息、各個設備或軟件組件的配置參數等;
b)???測評對象:系統管理員;
c)???測評實施:應訪談系統管理員是否對基本配置信息進行記錄和保存;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-MMS1-28)
該測評單元包括以下要求:
a)???測評指標:應將基本配置信息改變納入變更范疇,實施對配置信息改變的控制,并及時更新基本配置信息庫;
b)???測評對象:系統管理員和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應訪談配置管理人員基本配置信息改變后是否及時更新基本配置信息庫;
2)???應核查配置信息的變更流程是否具有相應的申報審批程序。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
密碼管理
測評單元(L3-MMS1-29)
該測評單元包括以下要求:
a)???測評指標:應遵循密碼相關的國家標準和行業標準;
b)???測評對象:安全管理員;
c)???測評實施:應訪談安全管理員密碼管理過程中是否遵循密碼相關的國家標準和行業標準要求;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-MMS1-30)
該測評單元包括以下要求:
a)???測評指標:應使用國家密碼管理主管部門認證核準的密碼技術和產品;
b)???測評對象:安全管理員;
c)???測評實施:應核查相關產品是否獲得有效的國家密碼管理主管部門規定的檢測報告或密碼產品型號證書;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
變更管理
測評單元(L3-MMS1-31)
該測評單元包括以下要求:
a)???測評指標:應明確變更需求,變更前根據變更需求制定變更方案,變更方案經過評審、審批后方可實施;
b)???測評對象:記錄表單類文檔。
c)???測評實施包括以下內容:
1)???應核查變更方案是否包含變更類型、變更原因、變更過程、變更前評估等內容;
2)???應核查是否具有變更方案評審記錄和變更過程記錄文檔。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-MMS1-32)
該測評單元包括以下要求:
a)???測評指標:應建立變更的申報和審批控制程序,依據程序控制所有的變更,記錄變更實施過程;
b)???測評對象:記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應核查變更控制的申報、審批程序其是否規定需要申報的變更類型、申報流程、審批部門、批準人等方面內容;
2)???應核查是否具有變更實施過程的記錄文檔。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-MMS1-33)
該測評單元包括以下要求:
a)???測評指標:應建立中止變更并從失敗變更中恢復的程序,明確過程控制方法和人員職責,必要時對恢復過程進行演練;
b)???測評對象:運維負責人和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應訪談運維負責人變更中止或失敗后的恢復程序、工作方法和職責是否文檔化,恢復過程是否經過演練;
2)???應核查是否具有變更恢復演練記錄;
3)???應核查變更恢復程序是否規定變更中止或失敗后的恢復流程。
d)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
備份與恢復管理
測評單元(L3-MMS1-34)
該測評單元包括以下要求:
a)???測評指標:應識別需要定期備份的重要業務信息、系統數據及軟件系統等;
b)???測評對象:系統管理員和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應訪談系統管理員有哪些需定期備份的業務信息、系統數據及軟件系統;
2)???應核查是否具有定期備份的重要業務信息、系統數據、軟件系統的列表或清單。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-MMS1-35)
該測評單元包括以下要求:
a)???測評指標:應規定備份信息的備份方式、備份頻度、存儲介質、保存期等;
b)???測評對象:管理制度類文檔;
c)???測評實施:應核查備份與恢復管理制度是否明確備份方式、頻度、介質、保存期等內容;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-MMS1-36)
該測評單元包括以下要求:
a)???測評指標:應根據數據的重要性和數據對系統運行的影響,制定數據的備份策略和恢復策略、備份程序和恢復程序等;
b)???測評對象:管理制度類文檔;
c)???測評實施:應核查備份和恢復的策略文檔是否根據數據的重要程度制定相應備份恢復策略和程序等;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
安全事件處置
測評單元(L3-MMS1-37)
該測評單元包括以下要求:
a)???測評指標:應及時向安全管理部門報告所發現的安全弱點和可疑事件;
b)???測評對象:運維負責人和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應訪談運維負責人是否告知用戶在發現安全弱點和可疑事件時及時向安全管理部門報告;
2)???應核查在發現安全弱點和可疑事件后是否具備對應的報告或相關文檔。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-MMS1-38)
該測評單元包括以下要求:
a)???測評指標:應制定安全事件報告和處置管理制度,明確不同安全事件的報告、處置和響應流程,規定安全事件的現場處理、事件報告和后期恢復的管理職責等;
b)???測評對象:管理制度類文檔;
c)???測評實施:應核查安全事件報告和處置管理制度是否明確了與安全事件有關的工作職責、不同安全事件的報告、處置和響應流程等;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-MMS1-39)
該測評單元包括以下要求:
a)???測評指標:應在安全事件報告和響應處理過程中,分析和鑒定事件產生的原因,收集證據,記錄處理過程,總結經驗教訓;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查安全事件報告和響應處置記錄是否記錄引發安全事件的原因、證據、處置過程、經驗教訓、補救措施等內容;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-MMS1-40)
該測評單元包括以下要求:
a)???測評指標:對造成系統中斷和造成信息泄漏的重大安全事件應采用不同的處理程序和報告程序;
b)???測評對象:運維負責人和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應訪談運維負責人不同安全事件的報告流程;
2)???應核查針對重大安全事件是否制定不同安全事件報告和處理流程,是否明確具體報告方式、報告內容、報告人等方面內容。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
應急預案管理
測評單元(L3-MMS1-41)
該測評單元包括以下要求:
a)???測評指標:應規定統一的應急預案框架,包括啟動預案的條件、應急組織構成、應急資源保障、事后教育和培訓等內容;
b)???測評對象:管理制度類文檔;
c)???測評實施:應核查應急預案框架是否覆蓋啟動應急預案的條件、應急組織構成、應急資源保障、事后教育和培訓等方面;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-MMS1-42)
該測評單元包括以下要求:
a)???測評指標:應制定重要事件的應急預案,包括應急處理流程、系統恢復流程等內容;
b)???測評對象:管理制度類文檔;
c)???測評實施:應核查是否具有重要事件的應急預案(如針對機房、系統、網絡等各個方面);
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-MMS1-43)
該測評單元包括以下要求:
a)???測評指標:應定期對系統相關的人員進行應急預案培訓,并進行應急預案的演練;
b)???測評對象:運維負責人和記錄表單類文檔;
c)???測評實施包括以下內容:
1)???應訪談運維負責人是否定期對相關人員進行應急預案培訓和演練;
2)???應核查應急預案培訓記錄是否明確培訓對象、培訓內容、培訓結果等;
3)???應核查應急預案演練記錄是否記錄演練時間、主要操作內容、演練結果等。
d)???單元判定:如果1)-3)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-MMS1-44)
該測評單元包括以下要求:
a)???測評指標:應定期對原有的應急預案重新評估,修訂完善;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查應急預案修訂記錄是否定期評估并修訂完善等;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
外包運維管理
測評單元(L3-MMS1-45)
該測評單元包括以下要求:
a)???測評指標:應確保外包運維服務商的選擇符合國家的有關規定;
b)???測評對象:運維負責人;
c)???測評實施包括以下內容:
1)???應訪談運維負責人是否有外包運維服務情況;
2)???應訪談運維負責人外包運維服務單位是否符合國家有關規定。
d)???單元判定:如果1)-2)均為肯定,則符合本測評單元指標要求,否則不符合或部分符合本測評單元指標要求。
測評單元(L3-MMS1-46)
該測評單元包括以下要求:
a)???測評指標:應與選定的外包運維服務商簽訂相關的協議,明確約定外包運維的范圍、工作內容;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查外包運維服務協議是否明確約定外包運維的范圍和工作內容;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-MMS1-47)
該測評單元包括以下要求:
a)???測評指標:應保證選擇的外包運維服務商在技術和管理方面均應具有按照等級保護要求開展安全運維工作的能力,并將能力要求在簽訂的協議中明確;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查與外包運維服務商簽訂的協議中是否明確其具有等級保護要求的服務能力;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
測評單元(L3-MMS1-48)
該測評單元包括以下要求:
a)???測評指標:應在與外包運維服務商簽訂的協議中明確所有相關的安全要求,如可能涉及對敏感信息的訪問、處理、存儲要求,對IT基礎設施中斷服務的應急保障要求等;
b)???測評對象:記錄表單類文檔;
c)???測評實施:應核查外包運維服務協議是否包含可能涉及對敏感信息的訪問、處理、存儲要求,對IT基礎設施中斷服務的應急保障要求等內容;
d)???單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
總結
- 上一篇: DSP技术在移动通信中的应用
- 下一篇: linux 内核专题— drv术语