原创力文档- 1、本文档共45页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
系统建设管理G3A3G3
PAGE45
序号
控制点
测评指标
测评结论
1
系统定级
a)应明确信息系统的边界和安全保护等级;
测评方法
检查系统定级说明文档,查看文档是否明确信息系统边界和安全保护等级。
符合描述
暂时为空
存在问题
缺少《信息安全等级保护定级报告》。
危害分析
可能导致信息系统的保护措施不足或过度。
整改建议
应明确信息系统边界和安全保护等级。
序号
控制点
测评指标
测评结论
2
系统定级
b)应以书面的形式说明确定信息系统为某个安全保护等级的方法和理由;
测评方法
检查系统定级文档,查看文档是否明确信息系统的安全保护等级确定的方法和理由。
符合描述
暂时为空
存在问题
缺少《信息安全等级保护定级报告》。
危害分析
可能导致信息系统的保护措施不足或过度。
整改建议
应说明确定信息系统为某个安全保护等级的方法和理由。
序号
控制点
测评指标
测评结论
3
系统定级
c)应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定;
测评方法
访谈安全主管,询问是否组织相关部门和有关安全技术专家对定级结果进行论证和审定;检查定级结果论证文档。
符合描述
暂时为空
存在问题
未对信息系统定级结果的合理性和正确性进行论证和审定。
危害分析
可能导致信息系统的保护措施不足或过度。
整改建议
1.应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定;
2.应具备定级结果论证文档。
序号
控制点
测评指标
测评结论
4
系统定级
d)应确保信息系统的定级结果经过相关部门的批准。
测评方法
检查系统定级文档,查看定级结果是否具有相关部门的批准盖章。
符合描述
暂时为空
存在问题
1.信息系统的定级结果未经过相关部门的批准;
2.未取得备案编号。
危害分析
管理不到位。
整改建议
1.信息系统的定级结果经过相关部门的批准;
2.定级结果应具有相关部门的批准盖章;
3.应具有备案编号
序号
控制点
测评指标
测评结论
5
安全方案设计
a)应根据系统的安全保护等级选择基本安全措施,并依据风险分析的结果补充和调整安全措施;
测评方法
访谈系统建设负责人,询问系统选择基本安全措施的依据,是否依据安全保护等级选择,是否依据风险分析的结果补充和调整安全措施,做过哪些调整。
符合描述
暂时为空
存在问题
1.未对信息系统进行风险分析;
2.未根据风险分析的结果对安全措施进行补充和调整。
危害分析
可能导致信息系统的保护措施不足或过度。
整改建议
1.应对信息系统进行风险分析;应具有风险分析资料;
2.应根据风险分析的结果对安全措施进行补充和调整,保留相关文档。
序号
控制点
测评指标
测评结论
6
安全方案设计
b)应指定和授权专门的部门对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划;
测评方法
访谈安全主管,询问是否授权专门的部门对信息系统的安全建设进行总体规划,由何部门/何人负责;检查系统的安全建设工作计划。
符合描述
暂时为空
存在问题
1.未对信息系统的安全建设进行整体规划;
2.未制定近期和远期的安全建设工作计划。
危害分析
可能导致信息系统的保护措施不足或过度。
整改建议
1.应对信息系统的安全建设进行整体规划,具备规划书、安全建设方案等资料;
2.应制定近期和远期的安全建设工作计划,具备安全建设工作计划。
序号
控制点
测评指标
测评结论
7
安全方案设计
c)应根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件;
测评方法
访谈系统建设负责人,询问是否根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案等。
符合描述
暂时为空
存在问题
1.缺少总体安全策略、安全技术框架、安全管理策略文档;
2.缺少安全建设的详细设计方案;或详细设计方案中没有安全建设方面的内容。
3.尚未统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案(金标三级、金标四级中还包括安全性需求分析),未形成配套文件。
危害分析
可能导致信息系统的保护措施不足或过度。
整改建议
1.应制定总体安全策略、安全技术框架,明确安全管理策略;应具备相关文档;
2.应具备安全建设详细设计方案,或详细设计
您可能关注的文档
最近下载
- 中医气功学导论期末试卷.docx
- 请你谈一下你为什么要加入中国共产党谈谈为什么加入中国共产党.pptx VIP
- 2024南方电网广西电网公司校园招聘公开引进高层次人才和急需紧缺人才笔试参考题库(共500题)答案详解版.docx
- DB37T19976—2011山东物业服务规范第1部分住宅物业.doc
- 七年级心理健康教案完整版.docx
- 赤泥综合利用项目可行性研究报告(完整案例).pdf
- 2024款比亚迪海豹06DM-i豪华型尊贵尊荣尊享旗舰_用户手册驾驶指南车主车辆说明书电子版.pdf
- 企业技术改造资金绩效评价总结报告.doc
- 《生物化学》全套教学课件(共13章完整版).pptx
- 15-彭向刚-学习领导科学提升领导力(清华)__(全国各校课件参考).ppt
文档评论(0)