《系统建设管理等级保护测评作业指导》.docVIP

控制编号 控制编号：SGISL/OP-SA92-10 信息安全等级保护测评作业指导书 系统建设管理（三级） 版 号： 第 2 版 修 改 次 数： 第 0 次 生 效 日 期： 20 中国电力科学研究院信息安全实验室  中国电力科学研究院信息安全实验室 控制编号：SGISL/OP-SA92-10 第 PAGE 18 页 共 SECTIONPAGES 37 页 系统建设管理等级保护测评作业指导书（三级） 第 2 版 第 0 次修订 发布日期：2010年01月06日 修改页 修订号 控制编号 版号/ 章节号 修改人 修订原因 批准人 批准日期 备注 1 SGISL/OP-SA92-10 李焕 按公安部要求修订 詹雄 2010.3.8 一、系统定级 1．信息系统边界和安全保护等级 测评项编号 ADT-JSGL-01-A 对应要求 应明确信息系统的边界和安全保护等级 测评项名称 信息系统边界和安全保护等级 测评分项1：检查系统边界和安全保护等级。 操作步骤 访谈管理员，询问是否明确了信息系统的边界范围，是否明确系统安全保护等级。 适用版本 任何版本 实施风险 无 符合性判定 如果信息系统边界范围明确，确定了系统安全保护等级，判定结果为符合； 如果信息系统边界范围不明确，或未确定系统安全保护等级，判定结果为不符合。 备注 2．信息系统定级方法和理由 测评项编号 ADT-JSGL-01-B 对应要求 应以书面的形式说明确定信息系统为某个安全保护等级的方法和理由 测评项名称 信息系统定级方法和理由 测评分项1：检查系统定级情况。 操作步骤 访谈管理员，询问系统定级是否参照定级指南的指导，是否对其进行明确描述，说明确定系统为某个安全保护等级的方法和理由，是否有书面说明。 适用版本 任何版本 实施风险 无 符合性判定 如果系统定级参照定级指南的指导，有书面相关的说明，说明确定系统为某个安全保护等级的方法和理由，判定结果为符合； 如果系统定级未参照定级指南的指导，或无书面相关的说明，未能说明确定系统为某个安全保护等级的方法和理由，判定结果为不符合。 备注 3．定级结果论证和审定 测评项编号 ADT-JSGL-01-C 对应要求 应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定 测评项名称 定级结果论证和审定 测评分项1：检查系统定级的审定情况。 操作步骤 访谈管理员，询问系统定级是否组织相关部门和有关安全技术专家对定级结果进行论证和审定，检查论证和审定记录。 适用版本 任何版本 实施风险 无 符合性判定 如果组织相关部门和有关安全技术专家对定级结果进行论证和审定，相关的论证和审定记录，判定结果为符合； 如果未组织相关部门和有关安全技术专家对定级结果进行论证和审定，相关的论证和审定记录，判定结果为不符合。 备注 4．定级结果经过相关部门批准 测评项编号 ADT-JSGL-01-D 对应要求 应确保信息系统的定级结果经过相关部门的批准 测评项名称 定级结果经过相关部门批准 测评分项1：检查系统定级的审定情况。 操作步骤 访谈管理员，询问系统定级记录是否经过相关部门（如上级主管部门）的批准。查看相关的文件。 适用版本 任何版本 实施风险 无 符合性判定 如果系统定级结果经过相关部门的批准盖章，判定结果为符合； 如果系统定级结果未经过相关部门的批准盖章，判定结果为不符合。 备注 二、安全方案设计 1．选择基本安全措施及补充调整 测评项编号 ADT-JSGL-02-A 对应要求 应根据系统的安全保护等级选择基本安全措施，依据风险分析的结果补充和调整安全措施 测评项名称 选择基本安全措施及补充调整 测评分项1：检查安全方案设计。 操作步骤 访谈管理员，询问是否根据系统的安全保护等级选择基本安全措施，是否依据风险分析的结果来补充和调整安全措施。 适用版本 任何版本 实施风险 无 符合性判定 如果根据系统的安全保护等级选择基本安全措施，依据风险分析的结果补充和调整安全措施，判定结果为符合； 如果未根据系统的安全保护等级选择基本安全措施，或未依据风险分析的结果补充和调整安全措施，判定结果为不符合。 备注 2．安全建设总体规划 测评项编号 ADT-JSGL-02-B 对应要求 应指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划 测评项名称 安全建设总体规划 测评分项1：检查安全方案设计。 操作步骤 访谈管理员，询问是否指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划，查看工作计划。 适用版本 任何版本 实施风险 无 符合性判定 如果有专门的部门对信息系统的安全建设进行总体规划，有安全建设工作计划，判定结果为符合