收藏
下载资源

信息安全等级保护测评作业指导书(系统管理建设三级)

上传人:工**** 文档编号:507502040 上传时间:2022-09-02 格式:DOC 页数:33 大小:388.50KB
返回 下载 相关 举报
信息安全等级保护测评作业指导书(系统管理建设三级)_第1页
第1页 / 共33页
信息安全等级保护测评作业指导书(系统管理建设三级)_第2页
第2页 / 共33页
信息安全等级保护测评作业指导书(系统管理建设三级)_第3页
第3页 / 共33页
信息安全等级保护测评作业指导书(系统管理建设三级)_第4页
第4页 / 共33页
信息安全等级保护测评作业指导书(系统管理建设三级)_第5页
第5页 / 共33页
点击查看更多>>
资源描述

《信息安全等级保护测评作业指导书(系统管理建设三级)》由会员分享,可在线阅读,更多相关《信息安全等级保护测评作业指导书(系统管理建设三级)(33页珍藏版)》请在金锄头文库上搜索。

1、 .wd.信息安全等级保护测评作业指导书系统建设管理三级修改页修订号控制编号版号/章节号修改人修订原因批准人批准日期备注1SGISL/OP-SA92-10xx按公安部要求修订詹雄2010.3.8一、系统定级1信息系统边界和安全保护等级测评项编号ADT-JSGL-01-A对应要求应明确信息系统的边界和安全保护等级测评项名称信息系统边界和安全保护等级测评分项1:检查系统边界和安全保护等级。操作步骤访谈管理员,询问是否明确了信息系统的边界范围,是否明确系统安全保护等级。适用版本任何版本实施风险无符合性判定如果信息系统边界范围明确,确定了系统安全保护等级,判定结果为符合;如果信息系统边界范围不明确,或

2、未确定系统安全保护等级,判定结果为不符合。备注2信息系统定级方法和理由测评项编号ADT-JSGL-01-B对应要求应以书面的形式说明确定信息系统为某个安全保护等级的方法和理由测评项名称信息系统定级方法和理由测评分项1:检查系统定级情况。操作步骤访谈管理员,询问系统定级是否参照定级指南的指导,是否对其进展明确描述,说明确定系统为某个安全保护等级的方法和理由,是否有书面说明。适用版本任何版本实施风险无符合性判定如果系统定级参照定级指南的指导,有书面相关的说明,说明确定系统为某个安全保护等级的方法和理由,判定结果为符合;如果系统定级未参照定级指南的指导,或无书面相关的说明,未能说明确定系统为某个安全

3、保护等级的方法和理由,判定结果为不符合。备注3定级结果论证和审定测评项编号ADT-JSGL-01-C对应要求应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进展论证和审定测评项名称定级结果论证和审定测评分项1:检查系统定级的审定情况。操作步骤访谈管理员,询问系统定级是否组织相关部门和有关安全技术专家对定级结果进展论证和审定,检查论证和审定记录。适用版本任何版本实施风险无符合性判定如果组织相关部门和有关安全技术专家对定级结果进展论证和审定,相关的论证和审定记录,判定结果为符合;如果未组织相关部门和有关安全技术专家对定级结果进展论证和审定,相关的论证和审定记录,判定结果为不符合。

4、备注4定级结果经过相关部门批准测评项编号ADT-JSGL-01-D对应要求应确保信息系统的定级结果经过相关部门的批准测评项名称定级结果经过相关部门批准测评分项1:检查系统定级的审定情况。操作步骤访谈管理员,询问系统定级记录是否经过相关部门如上级主管部门的批准。查看相关的文件。适用版本任何版本实施风险无符合性判定如果系统定级结果经过相关部门的批准盖章,判定结果为符合;如果系统定级结果未经过相关部门的批准盖章,判定结果为不符合。备注二、安全方案设计1选择 根本安全措施及补充调整测评项编号ADT-JSGL-02-A对应要求应根据系统的安全保护等级选择 根本安全措施,依据风险分析的结果补充和调整安全措

5、施测评项名称选择 根本安全措施及补充调整测评分项1:检查安全方案设计。操作步骤访谈管理员,询问是否根据系统的安全保护等级选择 根本安全措施,是否依据风险分析的结果来补充和调整安全措施。适用版本任何版本实施风险无符合性判定如果根据系统的安全保护等级选择 根本安全措施,依据风险分析的结果补充和调整安全措施,判定结果为符合;如果未根据系统的安全保护等级选择 根本安全措施,或未依据风险分析的结果补充和调整安全措施,判定结果为不符合。备注2安全建设总体规划测评项编号ADT-JSGL-02-B对应要求应指定和授权专门的部门对信息系统的安全建设进展总体规划,制定近期和远期的安全建设工作方案测评项名称安全建设

6、总体规划测评分项1:检查安全方案设计。操作步骤访谈管理员,询问是否指定和授权专门的部门对信息系统的安全建设进展总体规划,制定近期和远期的安全建设工作方案,查看工作方案。适用版本任何版本实施风险无符合性判定如果有专门的部门对信息系统的安全建设进展总体规划,有安全建设工作方案,判定结果为符合;如果无专门的部门对信息系统的安全建设进展总体规划,无安全建设工作方案,判定结果为不符合。备注3细化系统安全方案测评项编号ADT-JSGL-02-C对应要求应根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件测评项名称细化系统安

7、全方案测评分项1:检查安全方案设计。操作步骤访谈管理员,询问是否根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件,查看相关的详细设计方案。适用版本任何版本实施风险无符合性判定如果有总体建设规划和详细设计方案,判定结果为符合;如果无总体建设规划和详细设计方案,判定结果为不符合。备注4安全技术专家论证和审定测评项编号ADT-JSGL-02-D对应要求应组织相关部门和有关安全技术专家对总体安全的策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进展论证和审定,并且经过批准后,

8、才能正式实施测评项名称安全技术专家论证和审定测评分项1:检查安全方案设计。操作步骤访谈管理员,询问安全建设方案是否经过专家的详细周全的论证和讨论,批准后才开场实施。适用版本任何版本实施风险无符合性判定如果安全建设方案经过专家的详细周全的论证和讨论,判定结果为符合;如果安全建设方案未经过专家的详细周全的论证和讨论,判定结果为不符合。备注5安全方案调整和修订测评项编号ADT-JSGL-02-E对应要求应根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件测评项名称安全方案调整和修订测评分项1:检查安全方案的调整和修订。操作步骤

9、访谈管理员,询问是否根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件;询问调整和修订的周期,检查相应的调整和修订记录。适用版本任何版本实施风险无符合性判定如果定期根据等级测评、安全评估的结果调整安全方案,判定结果为符合;如果未定期根据等级测评、安全评估的结果调整安全方案,判定结果为不符合。备注三、产品采购和使用1安全产品采购和使用符合国家有关规定测评项编号ADT-JSGL-03-A对应要求应确保安全产品采购和使用符合国家有关规定测评项名称安全产品采购和使用符合国家有关规定测评分项1:检查安全产品采购和使用是否符合国家有

10、关安全产品的规定。操作步骤访谈管理员,询问系统采购和使用的安全产品是否符合国家有关规定,得到国家相关部门的认证。适用版本任何版本实施风险无符合性判定如果系统采购和使用的安全产品符合国家有关规定,得到国家相关部门的认证,判定结果为符合;如果系统采购和使用的安全产品不符合国家有关规定,或未得到国家相关部门的认证,判定结果为不符合。备注2保密码产品采购和使用符合国家密码主管部门要求测评项编号ADT-JSGL-03-B对应要求应确保密码产品采购和使用符合国家密码主管部门的要求测评项名称保密码产品采购和使用符合国家密码主管部门要求测评分项1:检查密码产品采购和使用是否符合国家密码主管部门的规定。操作步骤

11、访谈管理员,询问系统采购和使用的密码产品是否符合国家密码主管部门的规定,得到国家相关部门的认证。适用版本任何版本实施风险无符合性判定如果系统采购和使用的密码产品符合国家有关规定,得到国家相关部门的认证,判定结果为符合;如果系统采购和使用的密码产品不符合国家有关规定,或未得到国家相关部门的认证,判定结果为不符合。备注3专门部门负责产品采购测评项编号ADT-JSGL-03-C对应要求应指定或授权专门的部门负责产品的采购测评项名称专门部门负责产品采购测评分项1:检查产品的采购。操作步骤访谈管理员,询问是否有专门的部门负责产品的采购。适用版本任何版本实施风险无符合性判定如果有专门的部门负责产品的采购,

12、判定结果为符合;如果无专门的部门负责产品的采购,判定结果为不符合。备注4预先产品选型测试测评项编号ADT-JSGL-03-D对应要求应预先对产品进展选型测试,确定产品的候选范围,并定期审定和更新候选产品名单测评项名称预先产品选型测试测评分项1:检查采购产品的选型。操作步骤访谈管理员,询问制定采购过程的控制策略,采购前对产品做选型测试,对重要部位的产品是否委托专业的测评单位进展专项测试,确定产品的候选范围,通过招投标方式确定采购产品,是否认期审定和更新候选产品名单。适用版本任何版本实施风险无符合性判定如果有采购控制策略,采购前对产品做选型测试,确定产品的候选范围,通过招投标方式确定要采购的产品,

13、定期审定和更新候选产品名单,判定结果为符合;如果无采购控制策略,采购前未对产品做选型测试,确定产品的候选范围,或未通过招投标方式确定要采购的产品,定期审定和更新候选产品名单,判定结果为不符合。备注四、自行软件开发1开发环境与实际运行环境物理分开,测试数据和测试结果受到控制测评项编号ADT-JSGL-04-A对应要求应确保开发环境与实际运行环境物理分开,测试数据和测试结果受到控制测评项名称开发环境与实际运行环境物理分开,测试数据和测试结果受到控制测评分项1:检查开发环境。操作步骤需访谈管理员是否自主开发软件,查看开发环境,开发环境与实际运行环境物理上是否分开;查看软件开发是否有控制措施,对测试数

14、据和测试结果进展管理。适用版本任何版本实施风险无符合性判定如果开发环境与实际运行环境物理上分开,制定软件开发的控制措施,能对测试数据和测试结果进展有效控制,判定结果为符合;如果开发环境与实际运行环境物理上未分开,未制定软件开发的控制措施,对测试数据和测试结果进展有效控制,判定结果为不符合。备注2软件开发管理制度测评项编号ADT-JSGL-04-B对应要求应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则测评项名称软件开发管理制度测评分项1:检查软件开发管理制度。操作步骤访谈管理员,检查软件开发管理制度,查看文件是否明确软件设计、开发、测试、验收过程的控制方法和人员行为准则,是否明确哪些开发活动应经过授权、审批,是否明确软件开发相关文档的管理等。适用版本任何版本实施风险无符合性判定如

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 国内外标准规范

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号