信息安全等级保护测评指导书（三级）.docx

测评指导书(三级)

目录

第1章安全管理测评指导书 4

1.1安全管理机构测评 4

1.2安全管理制度测评 9

1.3人员安全管理测评 1

1.4系统建设管理测评 14

1.5系统运维管理测评 20

第2章物理安全测评指导书 32

2.1物理安全测评 32

第3章网络安全测评指导书 4

3.1网络全局安全测评 4

3.2路由器安全测评 47

3.3交换机安全测评 59

3.4防火墙安全测评 67

3.5入侵检测/防御系统安全测评 71

第4章操作系统安全测评指导书 75

4.1wwsows操作系统安全测评 75

4.2LNUx操作系统安全测评 82

4.3SouARS操作系统安全测评 92

4.4AIX操作系统安全测评 01

第5章应用系统安全测评指导书 109

5.1应用系统安全测评 109

5.2IS应用安全测评 114

5.3APACHE应用安全测评 116

第6章数据库安全测评指导书 120

6.1SQLSEVER数据库安全测评 120

第2页共135页

62ORACLE数据库安全测评 124

6.3SVeASE数据库安全测评 130

第3页共135页

第1章安全管理测评指导书

1.1安全管理机构测评

序号

测评指标

测评项

检测方法

预期结果

1

岗位设置(G3)

a)设定管理部，定义各个方面的负责人岗位和职责

访谈

安全主管，管理机构，部门和各负责人职责：检查

核查各岗位职责范围和技能要求；

制度类文档要求《部门设置、岗位设置及工作职责定义方面的管理制度》

证据类文档要求《机构安全管理人员岗位名单》

b)定义各个岗位和职责(系统、网络、安全管理)

访谈

安全主管，岗位分工及相关职责；

c)信息安全工作的委员会或领导小组

访谈

安全主管，最高领导是否由单位主管领导委任或授权的人员担任；

安全主管、安全管理某方面的负责人、领导小组委员会或日常管理工作的负责人、日常管理工作负责人及其岗位职责；

检查

领导小组委员会或日常管理工作的负责人具有单位领导对其最高领导其委任授权书：执行情况的文件或记录；

第4页共135页

序号

测评指标

测评项

检测方法

预期结果

d)制定文件明确分工

检查

安全管理委员会职责文件。

2

人员配备(G3)

a)配备系统、网络、安全管理员

访谈

安全主管，岗位人员配备情况：检查

安全管理人员名单：人员配备要求文档：

制度类文档要求《安全保障人事管理制度》

b)安全管理员是专职的

检查

安全管理人员名单；人员配备要求文档：

c)关键岗位定期轮岗

访谈

安全主管，定期轮岗情况。

3

授权和审批(G3)

a)明确授权审批事项

访谈

安全主管，关键活动的审批部门，批准人是否得到授权，更新审批项目，审查周期；检查

授权管理文件包括事项列表(审批、双重审批事项、程序),更新审批项目，审查周期：

制度类文档要求《授权和审批流程》

记录类文档要求《各项审批和批

b)列表说明须审批的事项

访谈

关键活动的批准人，审批范围，审查程序；

第5页共135页

序号

测评指标

测评项

检测方法

预期结果

c)建立各审批事项的审批程序

检查

审批过程记录，审批程序与文件要求是否一致；

准执行记录(来访人员进入机房审批、介质/设备外带审批、系统外联审批等)》(外联

接入、服务访问、配置变更、采购、外来人员访问和管理)

d)建立关键活动的双重审批制度

检查

审批的文档是否具有双重批准人的签字和审批部门的盖章：

e)不适用的权限应及时取消

检查

及时取消授权的记录；

f)定期审查，更新需授权和审批的项目

检查

审查记录的日期是否与周期一致；

g)记录授权过程并保存授权文档

检查

授权管理文件包括事项列表(双重审批事项、程序),更新审批项目，审查周期。

4

沟通和合作(G3)

a)内部沟通，定期召开会议

访谈

安全主管，与外单位和其他部门合作内容，沟通、合作方式有哪些；

安全主管，部门间协调会议，安全管理机构内部会议，信息安全领导小组例会；安全管理人员，与外单位和其他部门人员主要沟通内容；

检查

部门间协调会议文件；

记录类文档要求《各类会议