GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求.pdf
- 文档部分内容预览:
6.1.1.5防水和防潮
该测评单元包括以下要求: 测评指标:应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。 b) 测评对象:机房。 测评实施:应核查窗户、屋顶和墙壁是否采取了防雨水渗透的措施。 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单 元指标要求
该测评单元包括以下要求: a)测评指标:应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。 b) 测评对象:机房。 测评实施:应核查窗户、屋顶和墙壁是否采取了防雨水渗透的措施。 单元判定:如果以上测评实施内容为肯定垫圈标准,则符合本测评单元指标要求,否则不符合本测评 元指标要求
6.1.1.6温湿度控制
GB/T 284482019
该测评单元包括以下要求: a)测评指标:应设置必要的温湿度调节设施,使机房温湿度的变化在设备运行所允许的范围 之内。 b) 测评对象:机房温湿度控制设施。 测评实施包括以下内容: 1)应核查机房内是否配备了温湿度调节设施; 2)应核查温湿度是否在设备运行所允许的范围之内。 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求
该测评单元包括以下要求: 测评指标:应设置必要的温湿度调节设施,使机房温湿度的变化在设备运行所允许的范围 之内。 b) 测评对象:机房温湿度控制设施。 测评实施包括以下内容: 1)应核查机房内是否配备了温湿度调节设施; 2)应核查温湿度是否在设备运行所允许的范围之内。 d 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求
6.1.1.7 电力供应
该测评单元包括以下要求: 测评指标:应在机房供电线路上配置稳压器和过电压防护设备 测评对象:机房供电设施。 测评实施:应核查供电线路上是否配置了稳压器和过电压防护设备。 单元判定:如果以上测评实施内容为定,则符合本测评单元指标要求,否则不符合本测评单 元指标要求
该测评单元包括以下要求: 测评指标:应在机房供电线路上配置稳压器和过电压防护设备 测评对象:机房供电设施。 测评实施:应核查供电线路上是否配置了稳压器和过电压防护设备。 单元判定:如果以上测评实施内容为定,则符合本测评单元指标要求,否则不符合本测评单 元指标要求
6.1.2安全通信网络
6.1.2.1通信传输
该测评单元包括以下要求: a) 测评指标:应采用校验技术保证通信过程中数据的完整性。 b 测评对象:提供校验技术功能的设备或组件。 C 测评实施:应核查是否在数据传输过程中使用校验技术来保护其完整性。 d) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单 元指标要求
6.1.2.2可信验证
该测评单元包括以下要求: 测评指标:可基于可信根对通信设备的系统引导程序、系统程序等进行可信验证,并在检测到 其可信性受到破坏后进行报警 b) 测评对象:提供可信验证的设备或组件。 测评实施包括以下内容: 1)应核查是否基于可信根对通信设备的系统引导程序、系统程序等进行可信验证:
2)应核查当检测到通信设备的可信性受到破坏后是否进行报警。 d) 单元判定:如果1)和2)均为背定,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求
6.1.3安全区域边界
6.1.3.1边界防护
该测评单元包括以下要求: a 测评指标:应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 b) 测评对象:网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相 关组件。 测评实施包括以下内容: 1 应核查在网络边界处是否部署访问控制设备; 2) 应核查设备配置信息是否指定端口进行跨越边界的网络通信,指定端口是否配置并启用 了安全策略; 3) 应采用其他技术手段(如非法无线网络设备定位、核查设备配置信息等)核查是否不存在 其他未受控端口进行跨越边界的网络通信。 d)单元判定:如果1)~3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求
6.1.3.2访问控制
该测评单元包括以下要求: 测评指标:应在网络边界根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控 接口拒绝所有通信。 b 测评对象:网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相 关组件。 测评实施包括以下内容: 1)应核查在网络边界是否部署访问控制设备并启用访问控制策略; 2)应核查设备的最后一条访问控制策略是否为禁止所有网络通信。 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求,
该测评单元包括以下要求: a 测评指标:应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量 最小化。 b) 测评对象:网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相 关组件。 测评实施包括以下内容: 1)应核查是否不存在多余或无效的访问控制策略;
GB/T 284482019
2)应核查不同的访问控制策略之间的逻辑关系及前后排列顺序是否合理。 d) 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求
该测评单元包括以下要求: a)测评指标:应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包 进出。 b) 测评对象:网闸、防火墙、路由器、交换机和无线接人网关设备等提供访问控制功能的设备或相 关组件。 测评实施:应核查设备的访问控制策略中是否设定了源地址、目的地址、源端口、目的端口和协 议等相关配置参数。 ) 单元判定:如果以上测评实施内容为背定,则符合本测评单元指标要求,否则不符合本测评单 元指标要求
6.1.3.3可信验证
该测评单元包括以下要求: 测评指标:可基于可信根对边界设备的系统引导程序、系统程序等进行可信验证,并在检测到 其可信性受到破坏后进行报警。 ) 测评对象:提供可信验证的设备或组件。 C 测评实施包括以下内容: 1)应核查是否基于可信根对边界设备的系统引导程序、系统程序等进行可信验证; 2)应核查当检测到边界设备的可信性受到破坏后是否进行报警。 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求
6.1.4安全计算环境
6.1.4.1身份鉴别
该测评单元包括以下要求: 测评指标:应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复 杂度要求并定期更换, ) 测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包 括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管 理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和 系统管理软件及系统设计文档等。 测评实施包括以下内容: 1)应核查用户在登录时是否采用了身份鉴别措施; 2)应核查用户列表确认用户身份标识是否具有唯一性; 3)应核查用户配置信息是否不存在空口令用户
4)应核查用户鉴别信息是否具有复杂度要求并定期更换, d) 单元判定:如果1)和4)均为背定,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求
该测评单元包括以下要求: a)测评指标:应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连 接超时自动退出等相关措施, b 测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包 括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管 理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和 系统管理软件及系统设计文档等。 测评实施包括以下内容: 1)应核查是否配置并启用了登录失败处理功能; 2 应核查是否配置并启用了限制非法登录功能,非法登录达到一定次数后采取特定动作,如 账户锁定等: 3 应核查是否配置并启用了登录连接超时及自动退出功能。 d)单元判定:如果1)~3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求
6.1.4.2访问控制
该测评单元包括以下要求: a)测评指标:应对登录的用户分配账户和权限, b 测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包 括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管 理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和 系统管理软件及系统设计文档等 测评实施包括以下内容: 1)应核查用户账户和权限设置情况; 2)应核查是否已禁用或限制匿名、默认账户的访问权限 单元判定:如果1)和2)均为背定,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求,
该测评单元包括以下要求: a 测评指标:应重命名或删除默认账户,修改默认账户的默认口令。 b 测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包 括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管 理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和 系统管理软件及系统设计文档等。 测评实施包括以下内容:
GB/T 284482019
1)应核查是否已经重命名默认账户或默认账户已被删除; 2)应核查是否已修改默认账户的默认口令。 d) 单元判定:如果1)或2)为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单 元指标要求,
该测评单元包括以下要求: 测评指标:应及时删除或停用多余的、过期的账户,避免共享账户的存在, b)测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包 括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管 理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和 系统管理软件及系统设计文档等。 测评实施包括以下内容: 1)应核查是否不存在多余或过期账户,管理员用户与账户之间是否一一对应; 2)应核查多余的、过期的账户是否被删除或停用。 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求
6.1.4.3入侵防范
该测评单元包括以下要求: a) 测评指标:应遵循最小安装的原则,仅安装需要的组件和应用程序。 b) 测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包 括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管 理客户端、感知节点设备、网关节点设备和控制设备等。 C 测评实施包括以下内容: 1)应核查是否遵循最小安装原则; 2)应确认是否未安装非必要的组件和应用程序。 d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求,
该测评单元包括以下要求: 测评指标:应关闭不需要的系统服务、默认共享和高危端口。 b) 测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包 括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管 理客户端、感知节点设备、网关节点设备和控制设备等。 测评实施包括以下内容: 1)应核查是否关闭了非必要的系统服务和默认共享; 2)应核查是否不存在非必要的高危端口。 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求
6.1.4.4恶意代码防范
该测评单元包括以下要求: 测评指标:应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意 代码库。 b) 测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)和移动终端等 测评实施内容包括以下: 1)应核查是否安装了防恶意代码软件或相应功能的软件; 2)应核查是否定期进行升级和更新防恶意代码库。 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求
6.1.4.5可信验证
该测评单元包括以下要求: a 测评指标:可基于可信根对计算设备的系统引导程序、系统程序等进行可信验证,并在检测到 其可信性受到破坏后进行报警。 测评对象:提供可信验证的设备或组件。 测评实施包括以下内容: 1)应核查是否基于可信根对计算设备的系统引导程序、系统程序等进行可信验证; 2)应核查当检测到计算设备的可信性受到破坏后是否进行报警。 d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求
6.1.4.6数据完整性
该测评单元包括以下要求: 测评指标:应采用校验技术保证重要数据在传输过程中的完整性。 b) 测评对象:业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。 测评实施:应核查系统设计文档,重要管理数据、重要业务数据在传输过程中是否采用了校验 技术或密码技术保证完整性。 d) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单 元指标要求
该测评单元包括以下要求: a)测评指标:应采用校验技术保证重要数据在传输过程中的完整性。 b 测评对象:业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等 测评实施:应核查系统设计文档,重要管理数据、重要业务数据在传输过程中是否采用了校验 技术或密码技术保证完整性。 d) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单 元指标要求
6.1.4.7数据备份恢复
该测评单元包括以下要求: a) 测评指标:应提供重要数据的本地数据备份与恢复功能。 b) 测评对象:配置数据和业务数据。 c)测评实施包括以下内容:
GB/T 284482019
1)应核查是否按照备份策略进行本地备份; 2)应核查备份策略设置是否合理、配置是否正确; 3)应核查备份结果是否与备份策略一致; 4)应核查近期恢复测试记录,是否能够进行正常的数据恢复。 单元判定:如果1)~4)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求
1)应核查是否按照备份策略进行本地备份; 2)应核查备份策略设置是否合理、配置是否正确; 3)应核查备份结果是否与备份策略一致; 4)应核查近期恢复测试记录,是否能够进行正常的数据恢复。 单元判定:如果1)~4)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求
6.1.5安全管理制度
6.1.5.1管理制度
该测评单元包括以下要求: a 测评指标:应建立日常管理活动中常用的安全管理制度。 b)测评对象:安全管理制度类文档 c) 测评实施:应核查各项安全管理制度是否覆盖日常管理活动中的管理内容。 d) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单 元指标要求
该测评单元包括以下要求: a 测评指标:应建立日常管理活动中常用的安全管理制度。 b) 测评对象:安全管理制度类文档。 测评实施:应核查各项安全管理制度是否覆盖日常管理活动中的管理内容。 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单 元指标要求
6.1.6安全管理机构
6.1.6.1 岗位设置
该测评单元包括以下要求: 测评指标:应设立系统管理员等岗位,并定义各个工作岗位的职责。 测评对象:信息/网络安全主管和管理制度类文档。 测评实施包括以下内容: 1)应访谈信息/网络安全主管是否进行了系统管理员等岗位的划分; 2)应核查岗位职责文档是否明确了各岗位职责。 d) 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求
6.1.6.2人员配备
该测评单元包括以下要求: a 测评指标:应配备一定数量的系统管理员。 b 测评对象:信息/网络安全主管和记录表单类文档。 测评实施包括以下内容: 1)应访谈信息/网络安全主管是否配备一定数量的系统管理员; 2)应核查人员配备文档是否有各岗位人员配备情况。 d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求,
6.1.6.3授权和审批
该测评单元包括以下要求: a)测评指标:应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。 b 测评对象:管理制度类文档和记录表单类文档。 ) 测评实施包括以下内容: 1)应核查部门职责文档是否明确各部门审批事项; 2)应核查岗位职责文档是否明确各岗位审批事项, 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求
6.1.7安全管理人员
[6. 1.7.1人员录用
该测评单元包括以下要求: 测评指标:应指定或授权专门的部门或人员负责人员录用。 测评对象:信息/网络安全主管。 ) 测评实施:应访谈信息/网络安全主管是否由专门的部门或人员负责人员的录用工作。 ) 单元判定:如果以上测评实施内容为背定,则符合本测评单元指标要求,否则不符合本测评单 元指标要求。
该测评单元包括以下要求: 测评指标:应指定或授权专门的部门或人员负责人员录用。 测评对象:信息/网络安全主管。 测评实施:应访谈信息/网络安全主管是否由专门的部门或人员负责人员的录用工作。 d 单元判定:如果以上测评实施内容为背定,则符合本测评单元指标要求,否则不符合本测评单 元指标要求。
6. 1.7.2 人员离岗
该测评单元包括以下要求: a) 测评指标:应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提 供的软硬件设备。 b) 测评对象:记录表单类文档。 测评实施:应核查是否具有离岗人员终止其访问权限、交还身份证件、软硬件设备等的登记 记录。 d) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单 元指标要求
该测评单元包括以下要求: a)测评指标:应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提 供的软硬件设备。 b) 测评对象:记录表单类文档。 测评实施:应核查是否具有离岗人员终止其访问权限、交还身份证件、软硬件设备等的登记 记录。 d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单 元指标要求
6.1.7.3安全意识教育和培训
该测评单元包括以下要求: a) 测评指标:应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒 措施。 测评对象:管理制度类文档。 C) 测评实施包括以下内容:
该测评单元包括以下要求: a) 测评指标:应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩 措施。 b) 测评对象:管理制度类文档。 c)测评实施包括以下内容:
GB/T 284482019
1)应核查安全意识教育及岗位技能培训文档是否明确培训周期、培训方式、培训内容和考核 方式等相关内容; 2)应核查安全责任和惩戒措施管理文档或培训文档是否包含具体的安全责任和惩戒措施。 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求
6.1.7.4外部人员访问管理
该测评单元包括以下要求: a 测评指标:应保证在外部人员访问受控区域前得到授权或审批。 测评对象:管理制度类文档和记录表单类文档。 C 测评实施包括以下内容: 1)应核查外部人员访问管理文档是否明确允许外部人员访问的范围(区域、系统、设备、信息 等内容),外部人员进入的条件(对哪些重要区域的访问须提出书面申请批准后方可进 人),外部人员进人的访问控制措施(由专人全程陪同或监督等)等; 2)应核查外部人员访问重要区域的书面申请文档是否具有批准人允许访问的批准签字等 d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求
6.1.8 安全建设管理
6.1.8.1定级和备案
该测评单元包括以下要求: a)测评指标:应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由。 b) 测评对象:记录表单类文档。 测评实施:应核查定级文档是否明确保护对象的安全保护等级,是否说明定级的方法和理由 d 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单 元指标要求
6.1.8.2安全方案设计
该测评单元包括以下要求: a 测评指标:应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安 措施。 b) 测评对象:安全规划设计类文档。 测评实施:应核查安全设计文档是否根据安全保护等级选择安全措施,是否根据安全需求调 安全措施, d) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评 元指标要求
该测评单元包括以下要求: a 测评指标:应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全 措施。 b) 测评对象:安全规划设计类文档。 测评实施:应核查安全设计文档是否根据安全保护等级选择安全措施,是否根据安全需求调整 安全措施, d) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单 元指标要求
[6.1.8.3产品采购和使用
该测评单元包括以下要求: a) 测评指标:应确保网络安全产品采购和使用符合国家的有关规定。 测评对象:记录表单类文档。 C) 测评实施:应核查有关网络安全产品是否符合国家的有关规定,如网络安全产品获得了销售许 可等。 d 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单 元指标要求
6.1.8.4工程实施
该测评单元包括以下要求: a)测评指标:应指定或授权专门的部门或人员负责工程实施过程的管理。 b) 测评对象:记录表单类文档。 c 测评实施:应核查是否指定专门部门或人员对工程实施进行进度和质量控制。 d) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单 元指标要求
该测评单元包括以下要求: a) 测评指标:应指定或授权专门的部门或人员负责工程实施过程的管理。 D 测评对象:记录表单类文档。 C 测评实施:应核查是否指定专门部门或人员对工程实施进行进度和质量控制。 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单 元指标要求
6.1.8.5测试验收
该测评单元包括以下要求: 测评指标:应进行安全性测试验收。 b) 测评对象:建设负责人。 测评实施:应访谈建设负责人是否进行了安全性测试验收。 d 单元判定:如果以上测评内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指 标要求。
该测评单元包括以下要求: 测评指标:应进行安全性测试验收。 b) 测评对象:建设负责人。 测评实施:应访谈建设负责人是否进行了安全性测试验收。 d) 单元判定:如果以上测评内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元 标要求。
6.1.8.6系统交付
该测评单元包括以下要求: a) 测评指标:应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点。 b) 测评对象:记录表单类文档。 测评实施:应核查是否制定交付清单并说明交付的各类设备、软件、文档等。 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单 元指标要求
该测评单元包括以下要求: a)测评指标:应对负责运行维护的技术人员进行相应的技能培训
GB/T 284482019
b)测评对象:记录表单类文档。 测评实施:应核查交付技术培训记录是否包括培训内容、培训时间和参与人员等 d 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单 元指标要求。
6.1.8.7服务供应商管理
该测评单元包括以下要求: a 测评指标:应确保服务供应商的选择符合国家的有关规定。 b) 测评对象:建设负责人。 测评实施:应访谈建设负责人选择的安全服务商是否符合国家有关规定。 & 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评 元指标要求
该测评单元包括以下要求: a 测评指标:应与选定的服务供应商签订与安全相关的协议,明确约定相关责任。 b 测评对象:记录表单类文档。 测评实施:应核查是否具有与服务供应商签订的服务合同或安全责任书,是否明确了相关 责任。 d 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单 元指标要求,
6.1.9安全运维管理
6.1.9.1 环境管理
该测评单元包括以下要求: 测评指标:应指定专门的部门或人员负责机房安全,对机房出人进行管理,定期对机房供配电 空调、温湿度控制、消防等设施进行维护管理。 b 测评对象:物理安全负责人和记录表单类文档 测评实施包括以下内容: 1)应访谈物理安全负责人是否指定部门和人员负责机房安全管理工作,对机房的出人进行 管理、对基础设施(如空调、供配电设备、灭火设备等)进行定期维护: 2 应核查部门或人员岗位职责文档是否明确机房安全的责任部门及人员 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求,
该测评单元包括以下要求: a)测评指标:应对机房的安全管理做出规定,包括物理访问、物品进出和环境安全等方面 b)测评对象:管理制度类文档和记录表单类文档
c)测评实施包括以下内容: 1)应核查机房安全管理制度是否覆盖物理访问、物品进出和环境安全等方面内容 2)应核查物理访问、物品进出和环境安全等的相关记录是否与制度相符。 d 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测 单元指标要求
6.1.9.2介质管理
该测评单元包括以下要求: a)测评指标:应将介质存放在安全的环境中,对各类介质进行控制和保护,实行存储介质专人管 理,并根据存档介质的目录清单定期盘点。 b 测评对象:资产管理员和记录表单类文档。 测评实施包括以下内容: 1)应访谈资产管理员介质存放环境是否安全,存放环境是否由专人管理; 2)应核查介质管理记录是否记录介质归档、使用和定期盘点等情况 单元判定:如果1)和2)均为肯定灭火系统标准规范范本,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求
6.1.9.3设备维护管理
该测评单元包括以下要求: a 测评指标:应对各种设备(包括备份和穴余设备)、线路等指定专门的部门或人员定期进行维护 管理。 b 测评对象:设备管理员和管理制度类文档。 ) 测评实施包括以下内容: 1)应访谈设备管理员是否对各类设备、线路指定专人或专门部门进行定期维护; 2)应核查部门或人员岗位职责文档是否明确设备维护管理的责任部门。 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评 单元指标要求,
6.1.9.4漏洞和风险管理
该测评单元包括以下要求: a) 测评指标:应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或 评估可能的影响后进行修补。 b) 测评对象:记录表单类文档。 C 测评实施包括以下内容: 1 应核查是否有识别安全漏洞和隐患的安全报告或记录(如漏洞扫描报告、渗透测试报告和 安全通报等); 2 应核查相关记录是否对发现的漏洞及时进行修补或评估可能的影响后进行修补。 d) 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评
6.1.9.5网络和系统安全管理
认证标准GB/T 284482019
该测评单元包括以下要求: a 测评指标:应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和 权限。 b 测评对象:记录表单类文档。 C 测评实施:应核查网络和系统安全管理文档,是否划分了网络和系统管理员等不同角色,并定 义各个角色的责任和权限 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单 元指标要求,
....- 相关专题: 信息安全