系统建设管理安全测评指导书.doc

系统建设管理安全测评指导书 序号 测评指标 测评项 检查方法 预期结果 1 系统定级 a)访谈，检查。安全主管，系统划分文档，系统定级文档，专家论证文档，系统属性说明文档。 访谈： 安全主管，是否参照定级指南做指导。 信息系统参照定级指南进行定级。 b)访谈，检查。安全主管，系统划分文档，系统定级文档，专家论证文档，系统属性说明文档。 检查： 系统定级文档。查看定级结果是否有相关部门的批准盖章。 信息系统具备定级报告，并且定级报告有当地公安部门的批准盖章。 c)访谈，检查。安全主管，系统划分文档，系统定级文档，专家论证文档，系统属性说明文档。 访谈： 安全主管，是否对定级结果进行论证、审定。 检查： 专家论证文档，查看是否有专家对定级结果的论证意见。 1）信息系统定级结果通过专家的论证和审定，并且定级结果获得了相关部门（如上级主管部门）的批准； 2）具备相应论证意见文档； 3）定级结果已递交当地公安机关备案。 d)访谈，检查。安全主管，系统划分文档，系统定级文档，专家论证文档，系统属性说明文档。 检查： 查看定级结果是否有相关部门的批准盖章。 定级结果均已得到相关部门的批准盖章。 2 安全方案设计 a)访谈，检查。安全主管，系统建设负责人，总体安全策略文档，安全技术框架，安全管理策略文档，总体建设规划书，详细设计方案，专家论证文档，维护记录 访谈： 系统建设负责人，是否根据信息系统的安全级别选择基本安全措施，是否依据风险分析的结果补充和调整安全措施，做过哪些调整。 根据信息系统的安全级别选择了基本的安全措施，对于存在风险的，结合风险分析进行调整。 b)访谈，检查。安全主管，系统建设负责人，总体安全策略文档，安全技术框架，安全管理策略文档，总体建设规划书，详细设计方案，专家论证文档，维护记录 访谈： 安全主管，何部门、何人负责制定安全建设总体规划。 检查： 检查系统的安全建设工作计划。 1）授权专门的部门或者人员负责制定安全建设总体规划； 2）制定了近期和远期的安全建设工作计划。 c)访谈，检查。安全主管，系统建设负责人，总体安全策略文档，安全技术框架，安全管理策略文档，总体建设规划书，详细设计方案，专家论证文档，维护记录 访谈： 系统建设负责人，是否根据信息系统等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案等。 根据信息系统等级划分情况，统一考虑了安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案等。 d)访谈，检查。安全主管，系统建设负责人，总体安全策略文档，安全技术框架，安全管理策略文档，总体建设规划书，详细设计方案，专家论证文档，维护记录 访谈： 系统建设负责人，安全保障体系的配套文件是否经过论证和审定，如何审批，有无调整和修订、维护周期。 检查： 1）系统总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等配套文件是否经过管理部门的批准； 2）专家论证文档。 1）安全保障体系和配套文件通过论证和审定，定期的进行维护； 2）系统总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等配套文件经过管理部门的批准； 3）具备专家论证文档。 e)访谈，检查。安全主管，系统建设负责人，总体安全策略文档，安全技术框架，安全管理策略文档，总体建设规划书，详细设计方案，专家论证文档，维护记录 访谈： 系统建设负责人，是否进行了安全测评、是否根据结果定期调整和修订配套方案，维护周期。 检查： 各方案的维护记录或修订版本的记录日期与维护周期是否一致。 1）定期进行安全测评，并且根据安全测评结果调整和修订配套方案； 2）各个方案的维护记录或修订版本的记录日期与维护周期一致。 3 产品采购 a)访谈，检查。安全主管，系统建设负责人，产品采购管理制度，产品选型测试结果记录，候选产品名单审定记录。 检查： 信息安全产品是否符合国家的有关规定。 信息安全产品符合国家的有关规定。 b)访谈，检查。安全主管，系统建设负责人，产品采购管理制度，产品选型测试结果记录，候选产品名单审定记录。 检查： 密码产品的使用情况是否符合密码产品使用、管理的相关规定，例如《商用密码管理条例》规定任何单位只能使用经过国家密码管理机构认可的商用密码产品，商用密码产品发生故障，必须有国家密码管理机构指定的单位维修，报废商用密码产品应向国家密码管理机构备案，《计算机信息系统保密工作暂行规定》规定涉密系统配置合格的保密专用设备，所采取的保密措施应与所处理信息的密级要求相一致等。 密码产品的使用情况符合密码产品使用、管理的相关规定。 c)访谈，检查。安全主管，系统建设负责人，产品采购管理制度，产品选型测试结果记录，候选产品名单审定记录。 访谈： 安全主管，何部门