信息系统安全等级保护等级（第三级别）基本要求检查表.xlsVIP

Sheet3 技术要求、管理要求 1.4.8软件容错 a) 是否提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求 b) 是否提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复 b) 是否能够对系统的最大并发会话连接数进行限制 c) 是否能够对单个帐户的多重并发会话进行限制 d) 是否能够对一个时间段内可能的并发会话连接数进行限制 e) 是否能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额 f) 是否能够对系统服务水平降低到预先规定的最小值进行检测和报警 g) 是否提供服务优先级设定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先级，根据优先级分配系统资源 1.5数据安全及备份恢复 1.5.2数据保密性 1.5.3备份和恢复 a) 是否能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施 b) 是否能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施 a) 是否采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性 b) 是否采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性 a) 是否提供本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放 b) 是否提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地 c) 是否采用冗余技术设计网络拓扑结构，避免关键节点存在单点故障 d) 是否提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性 2.1安全管理制度 a) 是否制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架等 b) 是否对安全管理活动中的各类管理内容建立安全管理制度 c) 是否对要求管理人员或操作人员执行的日常管理操作建立操作规程 d) 是否形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系 a)??是否指定或授权专门的人员负责安全管理制度的制定 c) 是否组织相关人员对制定的安全管理制度进行论证和审定 d) 安全管理制度是否通过正式、有效的方式发布 e) 安全管理制度是否注明发布范围，并对收发文进行登记 a) 信息安全领导小组是否负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定 b) 是否定期或不定期对安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度进行修订 a) 是否设立信息安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责 b) 是否设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责 c) 是否成立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领导委任或授权 d) 是否制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求 b) 是否配备专职安全管理员，不可兼任 c) 关键事务岗位是否配备多人共同管理 a) 是否根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等 b) 是否针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度 c) 是否定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息 d) 是否记录审批过程并保存审批文档 b) 是否加强与兄弟单位、公安机关、电信公司的合作与沟通 a) 是否加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通，定期或不定期召开协调会议，共同协作处理信息安全问题 d) 是否建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息 e) 是否聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等 b) 是否由内部人员或上级单位定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等 c) 是否制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报 d) 是否制定安全审核和安全检查制度规范安全审核和安全检查工作，定期按照程序进行安全审核和安全检查活动 2.2安全管理机构 a)?是否指定或授权专门的部门或人员负责人员录用 b) 是否严格规范人员录用过程，对被录用人的身份、背景、专业资格和资质等进行审查，对其所具有的技术技能进行考核 c) 是否签署保密协议 d) 是否从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议 c) 是否办理严格的调离手续，关键