安全資訊

網(wǎng)絡(luò )安全等級保護2.0-等保三級合規基線(xiàn)表(管理要求)

【時(shí)間】2021-05-07

【編輯】Admin

【瀏覽量】

【等級保護QQ交流群】881590869

網(wǎng)絡(luò )安全等級保護2.0-等保三級合規基線(xiàn)表(管理要求)

1.安全管理制度

分類(lèi)	項目	內容	測評對象	要求項說(shuō)明	現狀分析	檢查結果	條目來(lái)源	備注
分類(lèi)	項目	內容	測評對象	要求項說(shuō)明	現狀分析	符合/不符合/部分符合/不適用	條目來(lái)源	備注
管理制度	安全策略	a) 應制定網(wǎng)絡(luò )安全工作的總體方針和安全策略，闡明機構安全工作的總體目標、范圍、原則和安全框架等。	總體方針策略類(lèi)文檔	應核查網(wǎng)絡(luò )安全工作的總體方針和安全策略文件是否明確機構安全工作的總體目標、范圍、原則和各類(lèi)安全策略。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	管理制度	a) 應對安全管理活動(dòng)中的各類(lèi)管理內容建立安全管理制度；	安全管理制度類(lèi)文檔	應核實(shí)各項安全管理制度是否覆蓋物理、網(wǎng)絡(luò )、主機系統、數據、應用、建設和運維等管理內容。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		b) 應對管理人員或操作人員執行的日常管理操作建立操作規程；	操作規程類(lèi)文檔	應核查是否具有日常管理操作的操作規程，如系統維護手冊和用戶(hù)操作規程等。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		c) 應形成由安全策略、管理制度、操作規程等構成的全面的信息安全管理制度體系。	總體方針策略類(lèi)文檔、文檔制度類(lèi)文檔、操作規程類(lèi)文檔和記錄表單類(lèi)文檔	應核查總體方針策略文件、管理制度和操作規程、記錄表單是否全面且具有關(guān)聯(lián)性和一致性。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	制定和發(fā)布	a) 應指定或授權專(zhuān)門(mén)的部門(mén)或人員負責安全管理制度的制定；	部門(mén)/人員職責文件等	應核查是否由專(zhuān)門(mén)的部門(mén)或人員負責制定安全管理制度。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	制定和發(fā)布	b) 安全管理制度應通過(guò)正式、有效的方式發(fā)布，并進(jìn)行版本控制；	管理制度類(lèi)文檔和記錄表單類(lèi)文檔	1、應核查制度制定和發(fā)布要求管理文檔是否說(shuō)明安全管理制度的制定和發(fā)布程序、格式要求及版本編號等相關(guān)內容； 2、應核查安全管理制度的收發(fā)登記記錄是否通過(guò)正式、有效的方式收發(fā)，如正式發(fā)文、領(lǐng)導簽署和單位蓋章等。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	評審和修訂	a) 應定期對安全管理制度的合理性和適用性進(jìn)行論證和審定，對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂；	信息/網(wǎng)絡(luò )安全主管和記錄表單類(lèi)文檔	1、應訪(fǎng)談信息/網(wǎng)絡(luò )安全主管是否定期對安全管理制度的合理性和適用性進(jìn)行審定； 2、應核查是否具有安全管理制度的審定或論證記錄，如果對制度做過(guò)修訂，核查是否有修訂版本的安全管理制度。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求

2.安全管理機構

分類(lèi)	項目	內容	測評對象	要求項說(shuō)明	現狀分析	檢查結果	條目來(lái)源	備注
分類(lèi)	項目	內容	測評對象	要求項說(shuō)明	現狀分析	符合/不符合/部分符合/不適用	條目來(lái)源	備注
安全管理機構	崗位設置	a) 應成立指導和管理網(wǎng)絡(luò )安全工作的委員會(huì )或領(lǐng)導小組，其最高領(lǐng)導由單位主管領(lǐng)導擔任或授權；	信息/網(wǎng)絡(luò )安全主管、管理制度類(lèi)文檔和記錄表單類(lèi)文檔	1、應訪(fǎng)談信息/網(wǎng)絡(luò )安全主管是否成立了指導和管理網(wǎng)絡(luò )安全工作的委員會(huì )或領(lǐng)導小組； 2、應核查相關(guān)文檔是否明確了網(wǎng)絡(luò )安全工作委員會(huì )或領(lǐng)導小組構成情況和相關(guān)職責； 3、應核查委員會(huì )或領(lǐng)導小組的最高領(lǐng)導是否由單位主管領(lǐng)導擔任或由其進(jìn)行了授權。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		b) 應設立網(wǎng)絡(luò )安全管理工作的職能部門(mén)，設立安全主管、安全管理各個(gè)方面的負責人崗位，并定義各負責人的職責；	信息/網(wǎng)絡(luò )安全主管、管理制度類(lèi)文檔和記錄表單類(lèi)文檔	1、應訪(fǎng)談信息/信息網(wǎng)絡(luò )安全主管是否設立網(wǎng)絡(luò )安全管理工作的職能部門(mén)； 2、應核查部門(mén)職責文檔是否明確網(wǎng)絡(luò )安全管理工作的職能部門(mén)和各負責人職責； 3、應核查崗位職責文檔是否有崗位劃分情況和崗位職責。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		c) 應設立系統管理員、審計管理員和安全管理員等崗位，并定義部門(mén)及各個(gè)工作崗位的職責；	信息/網(wǎng)絡(luò )安全主管、管理制度類(lèi)文檔和記錄表單類(lèi)文檔	1、應訪(fǎng)談信息/網(wǎng)絡(luò )安全主管是否進(jìn)行了安全管理崗位的劃分； 2、應核查崗位職責文檔是否明確了各部門(mén)及崗位職責。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	人員配備	a) 應配備一定數量的系統管理員、審計管理員和安全管理員等；	信息/網(wǎng)絡(luò )安全主管、管理制度類(lèi)文檔和記錄表單類(lèi)文檔	1、應訪(fǎng)談信息/網(wǎng)絡(luò )安全主管是否配備系統管理員、審計管理員和安全管理員； 2、應核查人員配備文檔是否明確各崗位人員配備情況。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	人員配備	b) 應配備專(zhuān)職安全管理員，不可兼任；	記錄表單類(lèi)文檔	應核查人員配備文檔是否配備了專(zhuān)職安全管理員。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	授權和審批	a) 應根據各個(gè)部門(mén)和崗位的職責明確授權審批事項、審批部門(mén)和批準人等；	管理制度類(lèi)文檔和記錄表單類(lèi)文檔	1、應核查部門(mén)職責文檔是否明確各部門(mén)審批事項； 2、應核查崗位職責文檔是否明確各崗位審批事項。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		b) 應針對系統變更、重要操作、物理訪(fǎng)問(wèn)和系統接入等事項建立審批程序，按照審批程序執行審批過(guò)程，對重要活動(dòng)建立逐級審批制度；	操作規程類(lèi)文檔和記錄表單類(lèi)文檔	1、應核查系統變更、重要操作、物理訪(fǎng)問(wèn)和系統接入等事項的操作規范是否明確建立了逐級審批程序； 2、應核查審批記錄、操作記錄，審批結果是否與相關(guān)制度一致。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		c) 應定期審查審批事項，及時(shí)更新需授權和審批的項目、審批部門(mén)和審批人等信息；	信息/網(wǎng)絡(luò )安全主管、管理制度類(lèi)文檔和記錄表單類(lèi)文檔	1、應訪(fǎng)談信息/網(wǎng)絡(luò )安全主管是否對各類(lèi)審批事項進(jìn)行更新； 2、應核查是否具有定期審查審批事項的記錄。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	溝通和合作	a) 應加強各類(lèi)管理人員、組織內部機構和網(wǎng)絡(luò )安全管理部門(mén)之間的合作與溝通，定期召開(kāi)協(xié)調會(huì )議，共同協(xié)作處理網(wǎng)絡(luò )安全問(wèn)題；	信息/網(wǎng)絡(luò )安全主管、管理制度類(lèi)文檔和記錄表單類(lèi)文檔	1、應訪(fǎng)談信息/網(wǎng)絡(luò )安全主管是否建立了各類(lèi)管理人員、組織內部機構和網(wǎng)絡(luò )安全管理部門(mén)之間的合作與溝通機制； 2、應核查會(huì )議記錄是否明確各類(lèi)管理人員、組織內部機構和網(wǎng)絡(luò )安全管理部門(mén)之間開(kāi)展了合作與溝通。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		b) 應加強與網(wǎng)絡(luò )安全職能部門(mén)、各類(lèi)供應商、業(yè)界專(zhuān)家及安全組織的合作與溝通；	信息/網(wǎng)絡(luò )安全主管、管理制度類(lèi)文檔和記錄表單類(lèi)文檔	1、應訪(fǎng)談信息/網(wǎng)絡(luò )安全主管是否建立了與網(wǎng)絡(luò )安全職能部門(mén)、各類(lèi)供應商、業(yè)界專(zhuān)家及安全組織的合作與溝通機制； 2、應核查會(huì )議記錄是否與網(wǎng)絡(luò )安全職能部門(mén)、各類(lèi)供應商、業(yè)界專(zhuān)家及安全組織開(kāi)展了合作與溝通。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		c) 應建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱(chēng)、合作內容、聯(lián)系人和聯(lián)系方式等信息；	記錄表單類(lèi)文檔	應核查外聯(lián)單位聯(lián)系列表是否記錄了外聯(lián)單位名稱(chēng)、合作內容、聯(lián)系人和聯(lián)系方式等信息。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	審核和檢查	a）應定期進(jìn)行常規安全檢查，檢查內容包括系統日常運行、系統漏洞和數據備份等情況；	信息/網(wǎng)絡(luò )安全主管、管理制度類(lèi)文檔和記錄表單類(lèi)文檔	1、應訪(fǎng)談信息/網(wǎng)絡(luò )安全主管是否定期進(jìn)行了常規安全檢查； 2、應核查常規安全檢查記錄是否包括了系統日常運行、系統漏洞和數據備份等情況。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		b) 應定期進(jìn)行全面安全檢查，檢查內容包括現有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等；	信息/網(wǎng)絡(luò )安全主管、管理制度類(lèi)文檔和記錄表單類(lèi)文檔	1、應訪(fǎng)談信息/網(wǎng)絡(luò )安全主管是否定期進(jìn)行了全面檢查； 2、應核查全面安全檢查記錄是否包括了現有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		c) 應制定安全檢查表格實(shí)施安全檢查，匯總安全檢查數據，形成安全檢查報告，并對安全檢查結果進(jìn)行通報；	記錄表單類(lèi)文檔	應核查是否具有安全檢查表格、安全檢查記錄、安全檢查報告、安全檢查結果通報記錄。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求

3.安全管理人員

分類(lèi)	項目	內容	測評對象	要求項說(shuō)明	現狀分析	檢查結果	條目來(lái)源	備注
分類(lèi)	項目	內容	測評對象	要求項說(shuō)明	現狀分析	符合/不符合/部分符合/不適用	條目來(lái)源	備注
人員安全管理	人員錄用	a) 應指定或授權專(zhuān)門(mén)的部門(mén)或人員負責人員錄用；	信息/網(wǎng)絡(luò )安全主管	應訪(fǎng)談信息/網(wǎng)絡(luò )安全主管是否由專(zhuān)門(mén)的部門(mén)或人員負責人員的錄用工作。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		b) 應對被錄用人員的身份、安全背景、專(zhuān)業(yè)資格或資質(zhì)等進(jìn)行審查，對其所具有的技術(shù)技能進(jìn)行考核；	管理制度類(lèi)文檔和記錄表單類(lèi)文檔	1、應核查人員安全管理文檔是否說(shuō)明錄用人員應具備的條件（如學(xué)歷、學(xué)位要求，技術(shù)人員應具備的專(zhuān)業(yè)技術(shù)水平，管理人員應具備的安全管理知識等）； 2、應核查是否具有人員錄用時(shí)對錄用人身份、安全背景、專(zhuān)業(yè)資格或資質(zhì)等進(jìn)行審查的相關(guān)文檔或記錄，是否記錄審查內容和審查結果等）； 3、應核查人員錄用時(shí)的能考核文檔或記錄是否記錄考核內容和考核結果等。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		c) 應與被錄用人員簽署保密協(xié)議，與關(guān)鍵崗位人員簽署崗位責任協(xié)議;	記錄表單類(lèi)文檔	1、應核查保密協(xié)議是否有保密范圍、保密職責、違約職責、協(xié)議的有效期限和責任人的簽字等內容； 2、應核查崗位安全協(xié)議是否有崗位安全責任書(shū)定義、協(xié)議的有效期限和責任人簽字等內容。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	人員離崗	a) 應及時(shí)終止離崗人員的所有訪(fǎng)問(wèn)權限，取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備；	記錄表單類(lèi)文檔	應核查是否具有離職人員終止其訪(fǎng)問(wèn)權限、交還身份證件、軟硬件設備等的登錄記錄。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	人員離崗	b) 應辦理嚴格的調離手續，并承諾調離后的保密義務(wù)后方可離開(kāi)。	管理制度類(lèi)文檔和記錄表單類(lèi)文檔	1、應核查人員離崗的管理文檔是否規定了人員調離手續和離崗要求等； 2、應核查是否具有按照離崗程序辦理調離手續的記錄； 3、應核查保密承諾文檔是否有調離人員的簽字。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	安全意識教育和培訓	a) 應對各類(lèi)人員進(jìn)行安全意識教育和崗位技能培訓，并告知相關(guān)的安全責任和懲戒措施；	管理制度類(lèi)文檔	1、應核查安全意識教育及崗位技能培訓文檔是否明確培訓周期、培訓方式、培訓內容和考核方式等相關(guān)內容； 2、應核查安全責任和懲戒措施管理文檔或培訓文檔是否包含具體的安全職責和懲戒措施。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		b) 應針對不同崗位制定不同的培訓計劃，對安全基礎知識、崗位操作規程等進(jìn)行培訓；	記錄表單類(lèi)文檔	1、應核查安全教育和培訓計劃文檔是否具有不同崗位的培訓計劃； 2、應核查培訓內容是否包含安全基礎知識、崗位操作規程等； 3、應核查安全教育和培訓記錄是否有培訓人員、培訓內容、培訓結果等描述。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		c) 應定期對不同崗位的人員進(jìn)行技能考核。	記錄表單類(lèi)文檔	應核查是否具有針對各崗位人員的技能考核記錄。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	外部人員訪(fǎng)問(wèn)管理	a) 應在外部人員物理訪(fǎng)問(wèn)受控區域前先提出書(shū)面申請，批準后由專(zhuān)人全程陪同，并登記備案；	管理制度類(lèi)文檔和記錄表單類(lèi)文檔	1、應核查外部人員訪(fǎng)問(wèn)管理文檔是否明確允許外部人員訪(fǎng)問(wèn)的范圍、外部人員進(jìn)入的條件、外部人員進(jìn)入的訪(fǎng)問(wèn)控制措施等； 2、應核查外部人員訪(fǎng)問(wèn)重要區域的書(shū)面申請文檔是否具有批準人允許訪(fǎng)問(wèn)的批準簽字等； 3、應核查外部人員訪(fǎng)問(wèn)重要區域的登錄記錄是否記錄了外部人員訪(fǎng)問(wèn)重要區域的進(jìn)入時(shí)間、離開(kāi)時(shí)間、訪(fǎng)問(wèn)區域及陪同人等；			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		b) 應在外部人員接入受控網(wǎng)絡(luò )訪(fǎng)問(wèn)系統前先提出書(shū)面申請，批準后由專(zhuān)人開(kāi)設賬戶(hù)、分配權限，并登記備案；	管理制度類(lèi)文檔和記錄表單類(lèi)文檔	1、應核查外部人員訪(fǎng)問(wèn)管理文檔是否明確外部人員接入受控網(wǎng)絡(luò )前的申請審批流程； 2、應核查外部人員訪(fǎng)問(wèn)系統的書(shū)面申請文檔是否明確外部人員的訪(fǎng)問(wèn)權限、是否具有允許訪(fǎng)問(wèn)的批準簽字等； 3、應核查外部人員訪(fǎng)問(wèn)系統的登錄記錄是否記錄了外部人員訪(fǎng)問(wèn)的權限、時(shí)限、賬戶(hù)等。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		c) 外部人員離場(chǎng)后應及時(shí)清除其所有的訪(fǎng)間權限；	管理制度類(lèi)文檔和記錄表單類(lèi)文檔	1、應核查外部人員訪(fǎng)問(wèn)管理文檔是否明確外部人員離開(kāi)后及時(shí)清除其所有訪(fǎng)問(wèn)權限； 2、應核查外部人員訪(fǎng)問(wèn)系統的登記記錄是否記錄了訪(fǎng)問(wèn)權限清除時(shí)間。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		d) 獲得系統訪(fǎng)間授權的外部人員應簽署保密協(xié)議，不得進(jìn)行非授權操作，不得復制和泄露任何敏感信息。	記錄表單類(lèi)文檔	應核查外部人員訪(fǎng)問(wèn)保密協(xié)議是否明確人員的保密義務(wù)（如不得進(jìn)行非授權操作，不得復制信息等）。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求

4.安全建設管理

分類(lèi)	項目	內容	測評對象	要求項說(shuō)明	現狀分析	檢查結果	條目來(lái)源	備注
分類(lèi)	項目	內容	測評對象	要求項說(shuō)明	現狀分析	符合/不符合/部分符合/不適用	條目來(lái)源	備注
系統建設管理	定級和備案	a) 應以書(shū)面的形式說(shuō)明保護對象的安全保護等級及確定等級的方法和理由；	記錄表單類(lèi)文檔	應核查定級文檔是否明確保護對象的安全保護等級，是否說(shuō)明定級的方法和理由。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		b) 應組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專(zhuān)家對定級結果的合理性和正確性進(jìn)行論證和審定；	記錄表單類(lèi)文檔	應核查定級結果的論證評審會(huì )議記錄是否有相關(guān)部門(mén)和相關(guān)安全技術(shù)專(zhuān)家對定級結果的論證意見(jiàn)。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		c) 應組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專(zhuān)家對信息系統定級結果的合理性和正確性進(jìn)行論證和審定；	記錄表單類(lèi)文檔	應核查定級結果部門(mén)審批文檔是否有上級主管部門(mén)或本單位相關(guān)部門(mén)的審批意見(jiàn)。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		d) 應將備案材料報主管部門(mén)和相應公安機關(guān)備案。	記錄表單類(lèi)文檔	應核查是否具有公安機關(guān)出具的備案證明文檔。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	安全方案設計	a) 應根據安全保護等級選擇基本安全措施，依據風(fēng)險分析的結果補充和調整安全措施；	安全規劃設計類(lèi)文檔	應核查安全設計文檔是否根據安全保護等級選擇安全措施，是否跟安全需求調整安全措施。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		b) 應根據保護對象的安全保護等級及與其他級別保護對象的關(guān)系進(jìn)行安全整體規劃和安全方案設計，設計內容應包含密碼技術(shù)相關(guān)內容，并形成配套文件；	安全規劃設計類(lèi)文檔	應核查是否有總體規劃和安全設計方案等配套文件，設計方案中應包含密碼技術(shù)相關(guān)內容。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		c) 應組織相關(guān)部門(mén)和有關(guān)安全專(zhuān)家對安全整體規劃及其配套文件的合理性和正確性進(jìn)行論證和審定，經(jīng)過(guò)批準后才能正式實(shí)施。	記錄表單類(lèi)文檔	應核查配套文件的論證評審記錄或文檔是否有相關(guān)部門(mén)和相關(guān)安全技術(shù)專(zhuān)家對總體安全規劃、安全設計方案等相關(guān)配套文件的批準意見(jiàn)和論證意見(jiàn)。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	產(chǎn)品采購和使用	a) 應確保網(wǎng)絡(luò )安全產(chǎn)品采購和使用符合國家的有關(guān)規定；	記錄表單類(lèi)文檔	應核查有關(guān)網(wǎng)絡(luò )安全產(chǎn)品是否符合國家的相關(guān)規定，如網(wǎng)絡(luò )安全產(chǎn)品獲得了銷(xiāo)售許可等。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		b) 應確保密碼產(chǎn)品與服務(wù)的采購和使用符合國家密碼管理主管部門(mén)的要求；	建設負責人和記錄表單類(lèi)文檔	1、應訪(fǎng)談建設負責人是否采用了密碼產(chǎn)品及相關(guān)服務(wù)； 2、應核查密碼產(chǎn)品與服務(wù)的采購和使用是否符合國家密碼管理主管部門(mén)的要求。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		c) 應預先對產(chǎn)品進(jìn)行選型測試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單。	記錄表單類(lèi)文檔	應核查是否具有產(chǎn)品選型測試結果文檔、候選產(chǎn)品采購清單及審定或更新的記錄。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	自行軟件開(kāi)發(fā)	a) 應將開(kāi)發(fā)環(huán)境與實(shí)際運行環(huán)境物理分開(kāi)，測試數據和測試結果受到控制；	建設負責人	1、應訪(fǎng)談建設負責人自主開(kāi)發(fā)軟件是否在獨立的物理環(huán)境中完成編寫(xiě)和調試，與實(shí)際運行環(huán)境分開(kāi)； 2、應核查測試數據和結果是否受控使用。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		b) 應制定軟件開(kāi)發(fā)管理制度，明確說(shuō)明開(kāi)發(fā)過(guò)程的控制方法和人員行為準則；	管理制度類(lèi)文檔	應核查軟件開(kāi)發(fā)管理制度是否明確軟件設計、開(kāi)發(fā)、測試和驗收過(guò)程的控制方法和人員行為準則，是否明確哪些開(kāi)發(fā)活動(dòng)應經(jīng)過(guò)授權和審批。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		c) 應制定代碼編寫(xiě)安全規范，要求開(kāi)發(fā)人員參照規范編寫(xiě)代碼；	管理制度類(lèi)文檔	應核查代碼編寫(xiě)安全規范是否明確代碼安全編寫(xiě)規則。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		d) 應具備軟件設計的相關(guān)文檔和使用指南，并對文檔使用進(jìn)行控制；	軟件開(kāi)發(fā)類(lèi)文檔	應核查是否具有軟件開(kāi)發(fā)文檔和使用指南，并對文檔使用進(jìn)行控制。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		e) 應保證在軟件開(kāi)發(fā)過(guò)程中對安全性進(jìn)行測試，在軟件安裝前對可能存在的惡意代碼進(jìn)行檢測；	記錄表單類(lèi)文檔	應核查是否具有軟件安全測試報告和代碼審計報告，明確軟件存在的安全問(wèn)題及可能存在的惡意代碼。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		f) 應對程序資源庫的修改、更新、發(fā)布進(jìn)行授權和批準，并嚴格進(jìn)行版本控制；	記錄表單類(lèi)文檔	應核查對程序資源庫的修改、更新、發(fā)布進(jìn)行授權和審批的文檔或記錄是否有批準人的簽字。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		g) 應保證開(kāi)發(fā)人員為專(zhuān)職人員，開(kāi)發(fā)人員的開(kāi)發(fā)活動(dòng)受到控制、監視和審查。	建設負責人	應訪(fǎng)談建設負責人開(kāi)發(fā)人員是否為專(zhuān)職，是否對開(kāi)發(fā)人員活動(dòng)進(jìn)行控制等。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	外包及其管理	a) 應在軟件交付前檢測其中可能存在的惡意代碼；	記錄表單類(lèi)文檔	應核查是否具有交付前的惡意代碼檢查報告。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		b) 應保證開(kāi)發(fā)單位提供軟件設計文檔和使用指南；	操作規程類(lèi)文檔和記錄表單類(lèi)文檔	應核查是否具有軟件開(kāi)發(fā)的相關(guān)文檔，如需求分析說(shuō)明書(shū)、軟件設計說(shuō)明書(shū)等，是否具有軟件操作手冊或使用指南。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		c) 應保證開(kāi)發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門(mén)和隱蔽信道；	操作規程類(lèi)文檔和記錄表單類(lèi)文檔	1、應訪(fǎng)談建設負責人委托開(kāi)發(fā)單位是否提供軟件源代碼； 2、應核查軟件測試報告是否審查了軟件可能存在的后門(mén)和隱蔽信道。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	工程實(shí)施	a) 應指定或授權專(zhuān)門(mén)的部門(mén)或人員負責工程實(shí)施過(guò)程的管理；	記錄表單類(lèi)文檔	應核查是否指定專(zhuān)門(mén)部門(mén)或人員對工程實(shí)施進(jìn)行進(jìn)度和質(zhì)量控制。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		b) 應制定安全工程實(shí)施方案控制工程實(shí)施過(guò)程；	記錄表單類(lèi)文檔	應核查安全工程實(shí)施方案是否包括工程時(shí)間限制、進(jìn)度控制和質(zhì)量控制等方面內容，是否按照工程實(shí)施方面的管理制度進(jìn)行各類(lèi)控制、產(chǎn)生階段性文檔等。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		c) 應通過(guò)第三方工程監理控制項目的實(shí)施過(guò)程；	記錄表單類(lèi)文檔	應核查工程監理報告是否明確了工程進(jìn)度、時(shí)間計劃、控制措施等方面內容。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	測試驗收	a) 應制訂測試驗收方案，并依據測試驗收方案實(shí)施測試驗收，形成測試驗收報告；	記錄表單類(lèi)文檔	1、應核查工程測試驗收方案是否明確說(shuō)明參與測試的部門(mén)、人員、測試驗收內容、現場(chǎng)操作過(guò)程等內容； 2、應核查測試驗收報告是否有相關(guān)部門(mén)和人員對測試驗收報告進(jìn)行審定的意見(jiàn)。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	測試驗收	b) 應進(jìn)行上線(xiàn)前的安全性測試，并出具安全測試報告，安全測試報告應包含密碼應用安全性測試先關(guān)內容；	記錄表單類(lèi)文檔	應核查是否具有上線(xiàn)前的安全測試報告，報告應包含密碼應用安全性測試相關(guān)內容。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	系統交付	a) 應制定交付清單，并根據交付清單對所交接的設備、軟件和文檔等進(jìn)行清點(diǎn)；	記錄表單類(lèi)文檔	應核查交付清單是否說(shuō)明交付的各類(lèi)設備、軟件、文檔等。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		b) 應對負責運行維護的技術(shù)人員進(jìn)行相應的技能培訓；	記錄表單類(lèi)文檔	應核查系統交付技術(shù)培訓記錄是否包括培訓內容、培訓時(shí)間和參與人員等。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		c) 應提供建設過(guò)程文檔和運行維護文檔。	記錄表單類(lèi)文檔	應核查交付文檔是否包括建設過(guò)程文檔和運行維護文檔等，提供的文檔是否符合管理規定的要求。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	等級測評	a) 應定期進(jìn)行等級測評，發(fā)現不符合相應等級保護標準要求的及時(shí)整改；	運維負責人和記錄表單類(lèi)文檔	1、應訪(fǎng)談運維負責人本次測評是否為首次，若非首次，是否根據以往測評結果進(jìn)行相應的安全整改； 2、應核查是否具有以往等級測評報告和安全整改方案。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		b) 應在發(fā)生重大變更或級別發(fā)生變化時(shí)進(jìn)行等級測評；	運維負責人和記錄表單類(lèi)文檔	1、應核查是否有過(guò)重大變更或級別發(fā)生過(guò)變化及是否進(jìn)行相應的等級測評； 2、應核查是否具有相應情況下的等級測評報告。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		c) 應確保測評機構的選擇符合國家有關(guān)規定。	等級測評報告和相關(guān)資質(zhì)文件	應核查以往等級測評的測評單位是否具有等級測評機構資質(zhì)。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	服務(wù)供應商選擇	a) 應確保服務(wù)供應商的選擇符合國家的有關(guān)規定；	建設負責人	應訪(fǎng)談建設負責人選擇的安全服務(wù)商是否符合國家相關(guān)規定。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		b) 應與選定的服務(wù)供應商簽訂相關(guān)協(xié)議，明確整個(gè)服務(wù)供應鏈各方需履行的網(wǎng)絡(luò )安全相關(guān)義務(wù)；	記錄表單類(lèi)文檔	應核查與服務(wù)供應商簽訂的服務(wù)合同或安全責任書(shū)是否明確了后期的技術(shù)支持和服務(wù)承諾等內容。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		c) 應定期監督、評審和審核服務(wù)供應商提供的服務(wù)，并對其變更服務(wù)內容加以控制。	管理制度類(lèi)文檔和記錄表單類(lèi)文檔	1、應核查是否具有服務(wù)供應商定期提交的安全服務(wù)報告； 2、應核查是否定期審核評價(jià)服務(wù)供應商所提供的服務(wù)及服務(wù)內容變更情況，是否具有服務(wù)審核報告；應核查是否具有服務(wù)供應商評價(jià)審核管理制度，明確針對服務(wù)供應商的評價(jià)指標、考核內容等。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求

5.安全運維管理

分類(lèi)	項目	內容	測評對象	要求項說(shuō)明	現狀分析	檢查結果	條目來(lái)源	備注
分類(lèi)	項目	內容	測評對象	要求項說(shuō)明	現狀分析	符合/不符合/部分符合/不適用	條目來(lái)源	備注
系統運維管理	環(huán)境管理	a) 應指定專(zhuān)門(mén)的部門(mén)或人員負責機房安全，對機房出入進(jìn)行管理，定期對機房供配電、空調、溫濕度控制、消防等設施進(jìn)行維護管理；	物理安全負責人和記錄表單類(lèi)文檔	1、應訪(fǎng)談物理安全負責人是否指定部門(mén)和人員負責機房安全管理工作，對機房的出入進(jìn)行管理、對基礎設施（如空調、供電設備、滅火器等）進(jìn)行定期維護； 2、應核查部門(mén)或人員崗位職責文檔是否定期明確機房安全的責任部門(mén)及人員； 3、應核查機房的出入登記記錄是否記錄來(lái)訪(fǎng)人員、來(lái)訪(fǎng)時(shí)間、離開(kāi)時(shí)間、攜帶物品等信息； 4、應核查機房的基礎設施的維護記錄是否記錄維護日期、維護人、維護設備、故障原因、維護結果等方面內容。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		b) 應建立機房安全管理制度，對有關(guān)物理訪(fǎng)間、物品帶進(jìn)出和環(huán)境安全等方面的管理作出規定；	管理制度類(lèi)文檔和記錄表單類(lèi)文檔	1、應核查機房安全管理制度是否覆蓋物理訪(fǎng)問(wèn)、物品進(jìn)出和環(huán)境安全等方面內容； 2、應核查物理訪(fǎng)問(wèn)、物品進(jìn)出和環(huán)境安全等相關(guān)記錄是否與制度相符。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		c) 應不在重要區域接待來(lái)訪(fǎng)人員，不隨意放置含有敏感信息的紙檔文件和移動(dòng)介質(zhì)等。	管理制度類(lèi)文檔和辦公環(huán)境	1、應核查機房安全管理制度是否明確來(lái)訪(fǎng)人員的接待區域； 2、應核查辦公桌面上等位置是否未隨意放置了敏感信息的紙檔文件和移動(dòng)介質(zhì)等。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	資產(chǎn)管理	a) 應編制并保存與保護對象相關(guān)的資產(chǎn)清單，包括資產(chǎn)責任部門(mén)、重要程度和所處位置等內容；	記錄表單類(lèi)文檔	應核查資產(chǎn)清單是否包括資產(chǎn)類(lèi)別（含設備設施、軟件、文檔等）、資產(chǎn)責任部門(mén)、重要程度和所處位置等內容。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		b) 應根據資產(chǎn)的重要程度對資產(chǎn)進(jìn)行標識管理，根據資產(chǎn)的價(jià)值選擇相應的管理措施；	資產(chǎn)管理員、管理制度類(lèi)文檔和設備	1、應訪(fǎng)談資產(chǎn)管理員是否依據資產(chǎn)的重要程度對資產(chǎn)進(jìn)行標識，不同類(lèi)別的資產(chǎn)在管理措施的選取上是否不同； 2、應核查資產(chǎn)管理制度是否明確資產(chǎn)的標識方法以及不同資產(chǎn)的管理措施要求； 3、應核查資產(chǎn)清單中的設備是否具有相應標識，標識方法是否符合2相關(guān)要求。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		c) 應對信息分類(lèi)與標識方法作出規定，并對信息的使用、傳輸和存儲等進(jìn)行規范化管理。	管理制度類(lèi)文檔	1、應核查信息分類(lèi)文檔是否規定了分類(lèi)標識的原則和方法（如根據信息的重要程度、敏感程度或用途不同進(jìn)行分類(lèi)）； 2、應核查信息資產(chǎn)管理辦法是否規定了不同類(lèi)信息的使用、傳輸和存儲等要求。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	介質(zhì)管理	a) 應將介質(zhì)存放在安全的環(huán)境中，對各類(lèi)介質(zhì)進(jìn)行控制和保護，實(shí)行存儲環(huán)境專(zhuān)人管理，并根據存檔介質(zhì)的目錄清單定期盤(pán)點(diǎn)；	資產(chǎn)管理員和記錄表單類(lèi)文檔	1、應訪(fǎng)談資產(chǎn)管理員介質(zhì)存放環(huán)境是否安全，存放環(huán)境是否由專(zhuān)人管理； 2、應核查介質(zhì)管理記錄是否記錄介質(zhì)歸檔、使用和定期盤(pán)點(diǎn)等情況。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	介質(zhì)管理	b) 應對介質(zhì)在物理傳輸過(guò)程中的人員選擇、打包、交付等情況進(jìn)行控制，并對介質(zhì)的歸檔和查詢(xún)等進(jìn)行登記記錄。	資產(chǎn)管理員和記錄表單類(lèi)文檔	1、應訪(fǎng)談資產(chǎn)管理員介質(zhì)在物理傳輸過(guò)程中的人員選擇、打包、交付等情況是否進(jìn)行控制； 2、核查是否對介質(zhì)的歸檔和查詢(xún)等進(jìn)行登記記錄。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	設備維護管理	a) 應對各種設備（包括備份和冗余設備）、線(xiàn)路等指定專(zhuān)門(mén)的部門(mén)或人員定期進(jìn)行維護管理；	設備管理員和管理制度類(lèi)文檔	1、應訪(fǎng)談設備管理員是否對各類(lèi)設備、線(xiàn)路指定專(zhuān)人或專(zhuān)門(mén)部門(mén)進(jìn)行定期維護； 2、應核查部門(mén)或人員崗位職責文檔是否明確設備維護管理的責任部門(mén)。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		b) 應建立配套設施、軟硬件維護方面的管理制度，對其維護進(jìn)行有效的管理，包括明確維護人員的責任、維修和服務(wù)的審批、維修過(guò)程的監督控制等；	管理制度類(lèi)文檔和記錄表單類(lèi)文檔	1、應核查設備維護管理制度是否明確維護人員的責任、維修和服務(wù)的審批、維修過(guò)程的監督控制等方面內容； 2、應核查是否留有維修和服務(wù)的審批、維修過(guò)程等記錄，審批、記錄內容是否與制度相符。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		c) 信息處理設備應經(jīng)過(guò)審批才能帶離機房或辦公地點(diǎn)，含有存儲介質(zhì)的設備帶出工作環(huán)境時(shí)其中重要數據應加密；	設備管理員和記錄表單類(lèi)文檔	1、應訪(fǎng)談設備管理員含有重要數據的設備帶出工作環(huán)境是否加密措施； 2、應訪(fǎng)談設備管理員對帶離機房的設備是否經(jīng)過(guò)審批； 3、應核查是否具有設備帶離機房或辦公地點(diǎn)的審批記錄。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		d) 含有存儲介質(zhì)的設備在報廢或重用前，應進(jìn)行完全清除或被安全覆蓋，保證該設備上的敏感數據和授權軟件無(wú)法被恢復重用。	設備管理員	應訪(fǎng)談設備管理員含有存儲介質(zhì)的設備在報廢或重用前，是否采取措施進(jìn)行完全清除或被安全覆蓋。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	漏洞和風(fēng)險管理	a) 應采取必要的措施識別安全漏洞和隱患，對發(fā)現的安全漏洞和隱患及時(shí)進(jìn)行修補或評估可能的影響后進(jìn)行修補；	記錄表單類(lèi)文檔	1、應核查是否有識別安全漏洞和隱患的安全報告或記錄（如漏洞掃描報告、滲透測試報告和安全通報等）； 2、應核查相關(guān)記錄是否對發(fā)現的漏洞及時(shí)進(jìn)行修補或評估可能的影響后進(jìn)行修補。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	漏洞和風(fēng)險管理	b) 應定期開(kāi)展安全測評，形成安全測評報告，采取措施應對發(fā)現的安全間題。	安全管理員和記錄表單類(lèi)文檔	1、應訪(fǎng)談安全管理員是否定期開(kāi)展安全測評； 2、應核查是否具有安全測評報告； 3、應核查是否具有安全整改應對措施文檔。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	網(wǎng)絡(luò )和系統安全管理	a) 應劃分不同的管理員角色進(jìn)行網(wǎng)絡(luò )和系統的運維管理，明確各個(gè)角色的責任和權限；	記錄表單類(lèi)文檔	應核查網(wǎng)絡(luò )和系統安全管理文檔，系統管理員是否劃分了不同角色，并定義各個(gè)角色的責任和權限。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		b) 應指定專(zhuān)門(mén)的部門(mén)或人員進(jìn)行賬戶(hù)管理，對申請賬戶(hù)、建立賬戶(hù)、刪除賬戶(hù)等進(jìn)行控制；	運維負責人和記錄表單類(lèi)文檔	1、應訪(fǎng)談運維負責人是否指定專(zhuān)門(mén)的部門(mén)或人員進(jìn)行賬戶(hù)管理； 2、應核查相關(guān)審批記錄或流程是否對申請賬單、建立賬戶(hù)、刪除賬戶(hù)等進(jìn)行控制。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		c) 應建立網(wǎng)絡(luò )和系統安全管理制度，對安全策略、賬戶(hù)管理、配置管理、日志管理、日常操作、升級與打補丁、口令更新周期等方面做出規定。	管理制度類(lèi)文檔	應核查網(wǎng)絡(luò )和系統安全管理制度是否覆蓋網(wǎng)絡(luò )和系統的安全策略、賬戶(hù)管理（用戶(hù)責任、、義務(wù)、風(fēng)險、權限審批、權限分配、賬戶(hù)注銷(xiāo)等）、配置文件的生成及備份、變更審批、授權訪(fǎng)問(wèn)、最小服務(wù)、升級與打補丁、審計日志管理、登錄設備和系統的口令更新周期等方面。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		d) 應制定重要設備的配置和操作手冊、依據手冊對設備進(jìn)行安全配置和優(yōu)化配置等；	操作規程類(lèi)文檔	應核查重要設備或系統（如操作系統、數據庫、網(wǎng)絡(luò )設備、安全設備、應用和組件）的配置和操作手冊是否明確操作步驟、參數配置等內容。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		e) 應詳細記錄運維操作日志，包括日常巡檢工作、運行維護記錄、參數的設置和修改等內容；	記錄表單類(lèi)文檔	應核查運維操作日志是否覆蓋網(wǎng)絡(luò )和系統的日常巡檢、運行維護、參數的設置和修改等內容。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		f) 應指定專(zhuān)門(mén)的部門(mén)或人員對日志、監測和報警數據等進(jìn)行分析、統計，及時(shí)發(fā)現可疑行為；	系統管理員和記錄表單類(lèi)文檔	1、應訪(fǎng)談網(wǎng)絡(luò )和系統相關(guān)人員是否指定專(zhuān)門(mén)部門(mén)或人員對日志、監測和報警數據等進(jìn)行分析統計； 2、應核查是否具有對日志、監測和報警數據等進(jìn)行分析統計的報告。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		g) 應嚴格控制變更性運維，經(jīng)過(guò)審批后才可改變連接、安全系統組件或調整配置參數，操作過(guò)程中保留不可更改的審計日志，操作結束后應同步更新配置信息庫；	系統管理員和記錄表單類(lèi)文檔	1、應訪(fǎng)談網(wǎng)絡(luò )和系統相關(guān)人員調整配置參數結束后是否同步更新配置信息庫，并核實(shí)配置信息庫是否為最新版本； 2、應核查是否具有變更運維的審批記錄，如系統連接、安裝系統組件或調整配置參數等活動(dòng)； 3、應核查是否具有變更運維的操作過(guò)程記錄。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		h) 應嚴格控制運維工具的使用，經(jīng)過(guò)審批后才可接入進(jìn)行操作，操作過(guò)程中應保留不可更改的審計日志，操作結束后應刪除工具中的敏感數據；	系統管理員和記錄表單類(lèi)文檔	1、應訪(fǎng)談系統管理員使用運維工具結束后是否刪除工具中的敏感數據； 2、應核查是否具有運維工具接入系統的審計記錄； 3、應核查運維工具的審計日志記錄，審計日志是否不可以更改。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		i) 應嚴格控制遠程運維的開(kāi)通，經(jīng)過(guò)審批后才可開(kāi)通遠程運維接口或通道，操作過(guò)程中應保留不可更改的審計日志，操作結束后立即關(guān)閉接口或通道；	系統管理員和記錄表單類(lèi)文檔	1、應訪(fǎng)談系統相關(guān)人員日常運維過(guò)程中是否存在遠程運維，若存在，遠程運維結束后是否立即關(guān)閉了接口或通道； 2、應核查開(kāi)通遠程運維的審批記錄； 3、應核查針對遠程運維的審計日志是否不可以更改。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		j) 應保證所有與外部的連接暈得到授權和批準，應定期檢查違反規定無(wú)線(xiàn)上網(wǎng)或其他違反網(wǎng)絡(luò )安全策略的行為。	安全管理員和記錄表單類(lèi)文檔	1、應訪(fǎng)談系統相關(guān)人員往來(lái)外聯(lián)連接（如互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級部門(mén)網(wǎng)絡(luò )等）是否都得到授權與批準； 2、應訪(fǎng)談網(wǎng)絡(luò )管理員是否定期核查違規聯(lián)網(wǎng)行為； 3、應核查是否具有外聯(lián)授權的記錄文件。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	惡意代碼防范管理	a) 應提高所有用戶(hù)的防惡意代碼意識，對外來(lái)計算機或存儲設備接入系統前進(jìn)行惡意代碼檢查等。；	運維負責人和管理制度類(lèi)文檔	1、應訪(fǎng)談運維負責人是否采取培訓和告知等方式提升員工的防惡意代碼意識； 2、應核查惡意代碼防范管理制度是否明確對外來(lái)計算機或存儲設備接入系統前進(jìn)行惡意代碼檢查。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	惡意代碼防范管理	b) 應定期驗證防范惡意代碼攻擊的技術(shù)措施的有效性；	安全管理員和記錄表單類(lèi)文檔	1、若采用可信驗證技術(shù)，應訪(fǎng)談安全管理員是否未發(fā)生過(guò)惡意代碼攻擊事件； 2、若采用防惡意代碼產(chǎn)品，應訪(fǎng)談安全管理員是否定期對惡意代碼庫進(jìn)行升級，且對升級情況進(jìn)行記錄，對各類(lèi)防病毒產(chǎn)品上截獲的惡意代碼是否進(jìn)行分析并匯總上報，是否未出現過(guò)大規模的病毒事件； 3、應核查是否具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	配置管理	a）應記錄和保存基本配置信息，包括網(wǎng)絡(luò )拓撲結構、各個(gè)設備安裝的軟件組件、軟件組件的版本和補丁信息、各個(gè)設備或軟件組件的配置參數；	系統管理員	應訪(fǎng)談系統管理員是否對基本配置信息進(jìn)行記錄和保存。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	配置管理	b) 應將基本配置信息改變納入變更范疇，實(shí)施對配置信息改變的控制，并及時(shí)更新基本配置信息庫；	系統管理員和記錄表單類(lèi)文檔	1、應訪(fǎng)談配置管理人員基本配置信息改變后是否及時(shí)更新基本配置信息庫； 2、應核查配置信息的變更流程是否具有相應的申報審批程序。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	密碼管理	a）應遵循密碼相關(guān)國家標準和行業(yè)標準；	系統管理員和記錄表單類(lèi)文檔	應訪(fǎng)談安全管理員密碼管理過(guò)程中是否遵循密碼相關(guān)的國家標準和行業(yè)標準要求。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	密碼管理	b) 應使用國家密碼管理主管部門(mén)認證核準的密碼技術(shù)和產(chǎn)品；	安全管理員	應核查相關(guān)產(chǎn)品是否獲得有效的國家密碼管理主管部門(mén)規定的檢測報告或密碼產(chǎn)品型號證書(shū)。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	變更管理	a) 應明確變更需求，變更前根據變更需求制定變更方案，變更方案經(jīng)過(guò)評審、審批后方可實(shí)施；	安全管理員	1、應核查變更方案是否包含變更類(lèi)型、變更原因、變更過(guò)程、變更前評估等內容； 2、應核查是否具有變更方案評審記錄和變更過(guò)程記錄文檔。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		b) 應建立變更的申報和審批控制程序，依據程序控制所有的變更，記錄變更實(shí)施過(guò)程；	記錄表單類(lèi)文檔	1、應核查變更控制的申報、審批程序其是否規定需要申報的變更類(lèi)型、申報流程、審批部門(mén)、批準人等方面內容； 2、應核查是否具有變更實(shí)施過(guò)程的記錄文檔。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		c) 應建立中止變更并從失敗變更中恢復的程序，明確過(guò)程控制方法和人員職責，必要時(shí)對恢復過(guò)程進(jìn)行演練。	記錄表單類(lèi)文檔	1、應訪(fǎng)談運維負責人變更終止或變更失敗后的恢復程序、工作方法和職責是否文檔化，恢復過(guò)程是否經(jīng)過(guò)演練； 2、應核查是否具有變更恢復演練記錄； 3、應核查變更恢復程序是否規定變更終止或失敗后的恢復流程。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	備份與恢復管理	a) 應識別需要定期備份的重要業(yè)務(wù)信息、系統數據及軟件系統等；	運維負責人和記錄表單類(lèi)文檔	1、應訪(fǎng)談系統管理員有哪些需要定期備份的業(yè)務(wù)信息、系統數據及軟件系統； 2、應核查是否具有定期備份的重要業(yè)務(wù)信息、系統數據、軟件系統的列表或清單。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		b) 應規定備份信息的備份方式、備份頻度、存儲介質(zhì)、保存期等；	系統管理員和記錄表單類(lèi)文檔	應核查備份與恢復管理制度是否明確備份方式、頻度、介質(zhì)、保質(zhì)期等內容。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		c) 應根據數據的重要性和數據對系統運行的影響，制定數據的備份策略和恢復策略、備份程序和恢復程序等。	管理制度類(lèi)文檔	應核查備份和恢復的策略文檔是否根據數據的重要程度制定相應備份恢復策略和程序等。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	安全事件處置	a) 應及時(shí)向安全管理部門(mén)報告所發(fā)現的安全弱點(diǎn)和可疑事件；	管理制度類(lèi)文檔	1、應訪(fǎng)談運維負責人是否告知用戶(hù)在發(fā)現安全弱點(diǎn)和可疑事件時(shí)及時(shí)向安全管理部門(mén)報告； 2、應核查在發(fā)現安全弱點(diǎn)和可疑事件后是否具備對應的報告或相關(guān)文檔。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		b) 應制定安全事件報告和處置管理制度，明確不同安全事件的報告、處置和響應流程，規定安全事件的現場(chǎng)處理、事件報告和后期恢復的管理職責等；	運維負責人和記錄表單類(lèi)文檔	應核查安全事件報告和處理管理制度是否明確了與安全事件有關(guān)的工作職責、不同安全事件的報告、處置和相應流程等。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		c) 應在安全事件報告和響應處理過(guò)程中，分析和鑒定事件產(chǎn)生的原因，收集證據，記錄處理過(guò)程，總結經(jīng)驗教訓；	管理制度類(lèi)文檔	應核查安全事件報告和響應處置記錄是否記錄引發(fā)安全事件的原因、證據、處置過(guò)程、經(jīng)驗教訓、補救措施等內容。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		d) 對造成系統中斷和造成信息泄漏的重大安全事件應采用不同的處理程序和報告程序。	記錄表單類(lèi)文檔	1、應訪(fǎng)談運維負責人不同安全事件的報告流程； 2、應核查對重大安全事件是否制定不同安全事件報告和處理流程，是否明確具體報告方式、報告內容、報告人等方面內容。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	應急預案管理	a) 應規定統一的應急預案框架，包括啟動(dòng)預案的條件、應急組織構成、應急資源保障、事后教育和培訓等內容；	運維負責人和記錄表單類(lèi)文檔	應核查應急預案框架是否覆蓋啟動(dòng)應急預案的條件、應急組織構成、應急資源保障、事后教育和培訓等方面。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		b) 應制定重要事件的應急預案，包括應急處理流程、系統恢復流程等內容；	管理制度類(lèi)文檔	應核查是否具有重要事件的應急預案（如針對機房、系統、網(wǎng)絡(luò )等各方面）。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		c) 應定期對系統相關(guān)的人員進(jìn)行應急預案培訓，并進(jìn)行應急預案的演練；	運維負責人和記錄表單類(lèi)文檔	1、應訪(fǎng)談運維負責人是否定期對相關(guān)人員進(jìn)行應急預案培訓和演練； 2、應核查應急預案培訓記錄是否明確培訓對象、培訓內容、培訓結果等； 3、應核查應急預案記錄是否記錄演練時(shí)間、主要操作內容、演練結果等。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		d) 應定期對原有的應急預案重新評估，修訂完善。	記錄表單	應核查應急預案修訂記錄是否定期評估并修訂完善等。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
	外包運維管理	a) 應確保外包運維服務(wù)商的選擇符合國家的有關(guān)規定；	運維負責人	1、應訪(fǎng)談運維負責人是否有外包運維服務(wù)情況； 2、應訪(fǎng)談運維負責人外包運維服務(wù)單位是否符合國家相關(guān)規定。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		b) 應與選定的外包運維服務(wù)商簽訂相關(guān)的協(xié)議，明確約定外包運維的范圍、工作內容；	記錄表單類(lèi)文檔	應核查外部運維服務(wù)協(xié)議是否明確約定外包運維的范圍和工作內容。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		c) 應保證選擇的外包運維服務(wù)商在技術(shù)和管理方面均應具有按照等級保護要求開(kāi)展安全運維工作的能力，并將能力要求在簽訂的協(xié)議中明確；	記錄表單類(lèi)文檔	應核查與外部運維服務(wù)商簽訂的協(xié)議中是否明確其具有等級保護要求的服務(wù)能力。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求
		d) 應在與外包運維服務(wù)商簽訂的協(xié)議中明確所有相關(guān)的安全要求，如可能涉及對敏感信息的訪(fǎng)間、處理、存儲要求，對IT基礎設施中斷服務(wù)的應急保障要求等。	記錄表單類(lèi)文檔	應核查外包運維服務(wù)協(xié)議是否包含可能涉及對敏感信息的訪(fǎng)問(wèn)、處理、存儲要求，對IT基礎設施中斷服務(wù)的應急保障要求等內容。			GBT22239-2019-信息安全技術(shù)_網(wǎng)絡(luò )安全等級保護基本要求

測評結果

1.系統信息
系統名稱(chēng)：
系統名稱(chēng)：
系統等級：
系統等級：
2.測評結果-管理類(lèi)

針對本系統依照信息安全等級保護三級級信息系統安全管理類(lèi)要求總共進(jìn)行了XXX項安全檢查，具體測評結果如下：

	檢查單元\符合情況		總檢查項	符合	不符合	部分符合	不適用
	安全管理制度		7	7
	安全管理機構		14	14
	員工安全管理		12	12
	系統建設管理		34	34
	系統運維管理		48	48

咨詢(xún)在線(xiàn)客服

服務(wù)熱線(xiàn)

138-6598-3726

產(chǎn)品和特性

價(jià)格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò )公眾號

微信公眾號

午夜成人无码免费看网站_97国语自产拍在线_无码一区精油按摩视频_国产色婷婷五月精品综合在线