信息系统安全等级保护测评准则.doc

信息系统安全等级保护测评准则 目 录 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 总则 2 4.1 测评原则 2 4.2 测评内容 2 4.2.1 基本内容 2 4.2.2 工作单元 3 4.2.3 测评强度 4 4.3 结果重用 4 4.4 使用方法 4 5 第一级安全控制测评 5 5.1 安全技术测评 5 5.1.1 物理安全 5 5.1.2 网络安全 7 5.1.3 主机系统安全 9 5.1.4 应用安全 11 5.1.5 数据安全 13 5.2 安全管理测评 15 5.2.1 安全管理机构 15 5.2.2 安全管理制度 17 5.2.3 人员安全管理 17 5.2.4 系统建设管理 19 5.2.5 系统运维管理 23 6 第二级安全控制测评 27 6.1 安全技术测评 27 6.1.1 物理安全 27 6.1.2 网络安全 33 6.1.3 主机系统安全 37 6.1.4 应用安全 42 6.1.5 数据安全 47 6.2 安全管理测评 50 6.2.1 安全管理机构 50 6.2.2 安全管理制度 52 6.2.3 人员安全管理 54 6.2.4 系统建设管理 56 6.2.5 系统运维管理 61 7 第三级安全控制测评 69 7.1 安全技术测评 69 7.1.1 物理安全 69 7.1.2 网络安全 76 7.1.3 主机系统安全 82 7.1.4 应用安全 90 7.1.5 数据安全 97 7.2 安全管理测评 99 7.2.1 安全管理机构 99 7.2.2 安全管理制度 104 7.2.3 人员安全管理 106 7.2.4 系统建设管理 109 7.2.5 系统运维管理 115 8 第四级安全控制测评 126 8.1 安全技术测评 126 8.1.1 物理安全 126 8.1.2 网络安全 134 8.1.3 主机系统安全 140 8.1.4 应用安全 149 8.1.5 数据安全 157 8.2 安全管理测评 160 8.2.1 安全管理机构 160 8.2.2 安全管理制度 164 8.2.3 人员安全管理 166 8.2.4 系统建设管理 169 8.2.5 系统运维管理 176 9 第五级安全控制测评 188 10 系统整体测评 188 10.1 安全控制间安全测评 188 10.2 层面间安全测评 189 10.3 区域间安全测评 189 10.4 系统结构安全测评 190 附录A（资料性附录）测评强度 191 A.1测评方式的测评强度描述 191 A.2信息系统测评强度 191 附录B（资料性附录）关于系统整体测评的进一步说明 197 B.1区域和层面 197 B.1.1区域 197 B.1.2层面 198 B.2信息系统测评的组成说明 200 B.3系统整体测评举例说明 201 B.3.1被测系统和环境概述 201 B.3.1安全控制间安全测评举例 202 B.3.2层面间安全测评举例 202 B.3.3区域间安全测评举例 203 B.3.4系统结构安全测评举例 203 信息系统安全等级保护测评准则 范围 本标准规定了安全等级保护要求。 本标准适用于对安全等级保护。下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB17859-1999 计算机信息系统安全保护等级划分准则 GB/T 5271.8-2001 信息技术 词汇 第8部分：安全 GB/T xxx-2005 信息系统安全等级保护基本要求 术语和定义 GB/T 5271.8-2001和GB/T xxx-2005信息系统安全等级保护基本要求所确立的以及下列术语和定义适用于本标准。 3.1 工作单元 work unit 工作单元是安全测评的最小工作单位，由测评项、测评方式、测评对象、测评实施和结果判定等组成，分别描述测评目的和内容、测评使用的方式方法、测试过程中涉及的测评对象、具体测试实施取证过程要求和测评证据的结果判定规则与方法。 3.2 测评强度 testingevaluation intensity 测评的广度和深度，体现测评工作的实际投入程度。 3.3 访谈 interview 测评人员通过与信息系统有关人员（个人/群体）进行交流、讨论等活动，获取证据以证明信息系统安全等级保护措施是否有效的一种方法。 3.4 检查 examination 不同于行政执法意义上的监督检查，是指测评人员通过对测评对象进行观察、查验、分析等活动，获取证据以证明信息系统安全等级保护措施是否有效的一种