1)检查是否在确保系统运行安全和效率的前提下,启用系统审计或采用第三方安全审计产品实现审计要求;
2)检查审计内容是否至少包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限的变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)等。
b)应检查重要服务器操作系统和重要数据库管理系统的安全审计策略,查看审计记录信息是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等内容;
c)应检查重要服务器操作系统和重要数据库管理系统的安全审计策略,查看是否通过日志覆盖周期、存储方式、日志文件/空间大小、日志文件操作权限等设置,实现了对审计记录的保护,使其避免受到未预期的删除、修改或覆盖等。
检查审计记录是否至少保存6个月。
6.1.3.3.3 结果判定
如果6.1.3.3.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.1.3.4 入侵防范
6.1.3.4.1 测评指标
见JR/T 0060-2010 6.1.3.4。
6.1.3.4.2 测评实施
本项要求包括:
a)应访谈系统管理员,询问重要服务器操作系统和重要数据库管理系统中所安装的系统组件和应用程序是否都是必须的;
b)应检查是否设置了专门的升级服务器实现对重要服务器操作系统补丁的升级;
c)应检查重要服务器操作系统和重要数据库管理系统的补丁是否得到了及时更新。
检查是否持续跟踪厂商提供的系统升级更新情况,对关键性补丁是否进行充分的评估测试,并记录了相关评估情况和升级过程。
6.1.3.4.3 结果判定
如果6.1.3.4.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.1.3.5 恶意代码防范
6.1.3.5.1 测评指标
见JR/T 0060-2010 6.1.3.5。
6.1.3.5.2 测评实施
本项要求包括:
a)应检查重要服务器的恶意代码防范策略,查看是否安装了实时检测与查杀恶意代码的软件产品,并且及时更新了软件版本和恶意代码库;
应检查关键服务器的恶意代码防范策略,对支持安装防恶意代码软件的主机操作系统,查看是否安装了实时检测与查杀恶意代码的软件产品,并且及时更新了软件版本和恶意代码库。
b)应检查防恶意代码软件是否实现了统一管理。
6.1.3.5.3 结果判定
如果6.1.3.5.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.1.3.6 资源控制
6.1.3.6.1 测评指标
见JR/T 0060-2010 6.1.3.6。
6.1.3.6.2 测评实施
本项要求包括:
a)应检查重要服务器操作系统和重要数据库管理系统的资源控制策略,查看是否设定终端接入方式、网络地址范围等条件限制终端登录;
b)应检查访问重要服务器的终端是否都设置了操作超时锁定的配置;
c)应检查重要服务器操作系统和重要数据库管理系统的资源控制策略,查看是否设置了单个用户或应用对系统资源的最大或最小使用限度。
6.1.3.6.3 结果判定
如果6.1.3.6.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.1.4 应用安全
6.1.4.1 身份鉴别
6.1.4.1.1 测评指标
见JR/T 0060-2010 6.1.4.1。
6.1.4.1.2 测评实施
本项要求包括:
a)应检查关键应用系统,查看是否提供身份标识和鉴别功能;
b)应检查关键应用系统,查看是否采用了措施保证身份标识具有唯一性,是否对登录用户的口令最小长度、复杂度和更换周期等进行了要求和限制,保证身份鉴别信息不易被冒用;
c)应检查关键应用系统,查看其提供的登录失败处理功能,是否根据安全策略设置了登录失败次数等参数;
d)应测试关键应用系统,可通过试图以合法和非法用户分别登录系统,查看是否成功,验证身份标识和鉴别功能是否有效;
e)应测试关键应用系统,可通过多次输入错误的密码,查看系统的处理方式,验证登录失败处理功能是否有效。
6.1.4.1.3 结果判定
如果6.1.4.1.2 a)-e)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.1.4.2 访问控制
6.1.4.2.1 测评指标
见JR/T 0060-2010 6.1.4.2。
6.1.4.2.2 测评实施
本项要求包括:
a)应检查关键应用系统,查看系统是否提供访问控制功能控制用户对客体的访问;
b)应检查关键应用系统,查看其访问控制的覆盖范围是否包括与信息安全直接相关的主体、客体及它们之间的操作;访问控制的粒度是否达到主体为用户级,客体为文件、数据库表级;
c)应检查关键应用系统,查看是否有由授权用户设置其它用户访问系统功能和用户数据的权限的功能,是否限制默认用户的访问权限,是否修改了这些账户的默认口令;
d)应检查关键应用系统,查看是否删除多余的、过期的账户;
e)应检查关键应用系统用户角色或权限的分配情况,查看是否授予不同帐户为完成各自承担任务所需的最小权限,特权用户的权限是否分离,权限之间是否相互制约;
f)应测试关键应用系统,可通过以不同权限的用户登录系统,查看其拥有的权限是否与系统赋予的权限一致,验证应用系统访问控制功能是否有效。
6.1.4.2.3 结果判定
如果6.1.4.2.2 a)-f)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.1.4.3 安全审计
6.1.4.3.1 测评指标
见JR/T 0060-2010 6.1.4.3。
6.1.4.3.2 测评实施
本项要求包括:
a)应检查关键应用系统,查看审计范围是否覆盖到每个用户,审计策略是否覆盖系统内重要的安全相关事件,例如,用户标识与鉴别、访问控制的所有操作记录、重要用户行为、系统资源的异常使用、重要系统命令的使用等;
b)应检查关键应用系统的审计记录,查看是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、身份鉴别事件中请求的来源、事件的结果等内容;
检查审计记录是否至少保存6个月。
c)应测试重要应用系统,在应用系统上试图产生一些重要的安全相关事件(如用户登录、修改用户权限等),查看应用系统是否对其进行了审计,验证应用系统安全审计的覆盖情况是否覆盖到每个用户;如果进行了审计则查看审计记录内容是否包含事件的日期、时间、发起者信息、类型、描述和结果等;
d)应测试重要应用系统,试图非授权删除、修改或覆盖审计记录,验证安全审计的保护情况是否无法非授权删除、修改或覆盖审计记录。
6.1.4.3.3 结果判定
如果6.1.4.3.2 a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.1.4.4 通信完整性
6.1.4.4.1 测评指标
见JR/T 0060-2010 6.1.4.4。
6.1.4.4.2 测评实施
本项要求包括:
a)应检查设计、验收文档或源代码,查看是否有关于保护通信完整性的描述,如果有则查看是否依据校验码判断对方数据包的有效性;
b)应测试关键应用系统,可通过获取通信双方的数据包,查看通信报文中是否含有校验码。
对于通过互联网、卫星网进行通信的系统,应通过截包分析,检查通信报文是否经过加密保护。
6.1.4.4.3 结果判定
如果6.1.4.4.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.1.4.5 通信保密性
6.1.4.5.1 测评指标
见JR/T 0060-2010 6.1.4.5。
6.1.4.5.2 测评实施
本项要求包括:
a)应检查设计、验收文档或源代码,查看是否有关于保护通信保密性的说明,如果有则查看在通信双方建立连接之前利用密码技术进行会话初始化验证的描述,以及对通信过程中的敏感信息字段进行加密的描述;
b)应测试关键应用系统,通过查看通信双方数据包的内容,查看系统是否能在通信双方建立连接之前,利用密码技术进行会话初始化验证(如SSL建立加密通道前是否利用密码技术进行了会话初始化验证);并系统在通信过程中,对敏感信息字段是否进行加密。
对通过互联网、卫星网进行通信的系统,检查是否对整个报文或会话过程进行加密。
6.1.4.5.3 结果判定
如果6.1.4.5.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.1.4.6 软件容错
6.1.4.6.1 测评指标
见JR/T 0060-2010 6.1.4.6。
6.1.4.6.2 测评实施
本项要求包括:
a)应检查设计或验收文档,查看是否有对人机接口输入或通信接口输入的数据进行有效性检验,在故障发生时继续提供一部分功能确保实施必要的措施的描述;
b)应测试关键应用系统,查看应用系统是否能明确拒绝不符合格式要求数据;
c)应测试关键应用系统,验证在故障发生时是否继续提供一部分功能,确保能够实施必要的措施。
6.1.4.6.3 结果判定
如果6.1.4.6.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.1.4.7 资源控制
6.1.4.7.1 测评指标
见JR/T 0060-2010 6.1.4.7。
6.1.4.7.2 测评实施
本项要求包括:
a)应检查关键应用系统的配置参数,查看是否提供对最大并发会话连接数进行限制;
b)应测试关键应用系统,查看能否对单个帐户的多重并发会话进行限制;
c)应测试关键应用系统,当通信双方中的一方在一段时间内未作任何响应,查看另一方是否能够自动结束会话。
6.1.4.7.3 结果判定
如果6.1.4.7.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.1.5 数据安全及备份恢复
6.1.5.1 数据完整性
6.1.5.1.1 测评指标
见JR/T 0060-2010 6.1.5.1。
6.1.5.1.2 测评实施
本项要求包括:
a)如果关键网络设备、关键主机操作系统和关键数据库管理系统能够进行远程管理,则应查看其能否检测鉴别信息在传输过程中完整性受到了破坏;
b)应检查应用系统的设计、验收文档或源代码,查看是否有关于能检测鉴别信息和重要业务数据传输过程中完整性受到破坏的描述。
6.1.5.1.3 结果判定
如果6.1.5.1.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.1.5.2 数据保密性
6.1.5.2.1 测评指标
见JR/T 0060-2010 6.1.5.2。
6.1.5.2.2 测评实施
应检查关键网络设备、关键主机操作系统、关键数据库管理系统和关键应用系统,查看其鉴别信息是否采用加密或其他有效措施实现了存储保密性。
6.1.5.2.3 结果判定
如果6.1.5.2.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.1.5.3 备份和恢复
6.1.5.3.1 测评指标
见JR/T 0060-2010 6.1.5.3。
6.1.5.3.2 测评实施
本项要求包括:
a)应检查是否对关键网络设备、关键主机操作系统、关键数据库管理系统和关键应用系统的重要信息进行了备份,并定期进行恢复测试;
b)应检查关键网络设备、通信线路和数据处理系统(如包含数据库管理系统在内的数据库服务器)是否提供硬件冗余。
6.1.5.3.3 结果判定
如果6.1.5.3.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.2 安全管理测评
6.2.1 安全管理制度
6.2.1.1 管理制度
6.2.1.1.1 测评指标
见JR/T 0060-2010 6.2.1.1。
6.2.1.1.2 测评实施
本项要求包括:
a)应检查信息安全工作的总体方针和安全策略文件,查看文件是否明确机构安全工作的总体目标、范围、原则和安全框架等;
b)应检查各项安全管理制度,查看是否覆盖物理、网络、主机系统、数据、应用、建设和运维等层面的管理内容;
c)应检查是否具有重要管理操作的操作规程(如系统维护手册和用户操作规程等)。
6.2.1.1.3 结果判定
如果6.2.1.1.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.2.1.2 制定和发布
6.2.1.2.1 测评指标
见JR/T 0060-2010 6.2.1.2。
6.2.1.2.2 测评实施
本项要求包括:
a)应访谈安全主管,询问是否由专门的部门或人员负责制定安全管理制度;
b)应访谈安全主管,询问安全管理制度是否能够发布到相关人员手中,是否对制定的安全管理制度进行论证和审定;
c)应检查管理制度评审记录,查看是否有相关人员的评审意见。
6.2.1.2.3 结果判定
如果6.2.1.2.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.2.1.3 评审和修订
6.2.1.3.1 测评指标
见JR/T 0060-2010 6.2.1.3。
6.2.1.3.2 测评实施
本项要求包括:
a)应访谈安全主管,询问是否定期对安全管理制度进行评审,发现存在不足或需要改进的是否进行修订;
b)应检查是否具有安全管理制度评审记录;如果对制度做过修订,检查是否有修订版本的安全管理制度。
检查是否至少每年或在发生重大变更时对安全管理制度进行了检查,评审记录是否完整,对存在不足或需要改进的安全管理制度进行了修订。
6.2.1.3.3 结果判定
如果6.2.1.3.2 a)和 b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.2.2 安全管理机构
6.2.2.1 岗位设置
6.2.2.1.1 测评指标
见JR/T 0060-2010 6.2.2.1。
6.2.2.1.2 测评实施
本项要求包括:
a)应访谈安全主管,询问信息系统是否设置了系统管理员、网络管理员和安全管理员等岗位,各个岗位的职责分工是否明确;是否设立安全管理各个方面的负责人;
b)应检查岗位职责文档,查看文档是否明确设置安全主管、安全管理各个方面的负责人、系统管理员、网络管理员和安全管理员等各个岗位,各个岗位的职责范围是否清晰、明确。
6.2.2.1.3 结果判定
如果6.2.2.1.2 a)和 b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.2.2.2 人员配备
6.2.2.2.1 测评指标
见JR/T 0060-2010 6.2.2.2。
6.2.2.2.2 测评实施
本项要求包括:
a)应访谈安全主管,询问各个安全管理岗位是否配备了一定数量的人员;
b)应检查安全管理各岗位人员信息表,查看其是否明确系统管理员、网络管理员、安全管理员等重要岗位人员的信息,查看安全管理员是否没有兼任网络管理员、系统管理员、数据库管理员等岗位。
6.2.2.2.3 结果判定
如果6.2.2.2.2a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.2.2.3 授权和审批
6.2.2.3.1 测评指标
见JR/T 0060-2010 6.2.2.3。
6.2.2.3.2 测评实施
本项要求包括:
a)应访谈安全主管,询问其是否对信息系统中的关键活动进行审批,审批活动是否得到授权;
b)应调阅相关内部审批记录,抽查部分授权和审批过程。
c)应检查审批管理制度文档,查看文档是否明确系统投入运行、网络系统接入和重要资源的访问等关键活动的审批部门、批准人和审批程序;
d)应检查经审批的文档,查看审批程序与文件要求是否一致,是否有批准人的签字和审批部门的盖章。
6.2.2.3.3 结果判定
如果6.2.2.3.2 a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.2.2.4 沟通和合作
6.2.2.4.1 测评指标
见JR/T 0060-2010 6.2.2.4。
6.2.2.4.2 测评实施
本项要求包括:
a)应访谈安全主管,询问是否与公安机关、电信公司和兄弟单位建立联系,信息安全职能部门内部之间、各类管理人员之间以及与组织机构内其他部门之间是否建立交流和沟通机制;
检查是否同时与供电部门、银行等单位和部门建立了沟通、合作机制。
b)应检查部门间和部门内部沟通和合作的相关文档,查看是否包括工作内容、参加人员等的描述;
c)应检查外联单位说明文档,查看外联单位是否包含公安机关、电信公司及兄弟单位等,是否说明外联单位的联系人和联系方式等内容。
6.2.2.4.3 结果判定
如果6.2.2.4.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.2.2.5 审核和检查
6.2.2.5.1 测评指标
见JR/T 0060-2010 6.2.2.5。
6.2.2.5.2 测评实施
本项要求包括:
a)应访谈安全管理员,询问是否定期检查系统日常运行、系统漏洞和数据备份等情况;
b)应检查安全管理员定期实施安全检查的记录,查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况。
6.2.2.5.3 结果判定
如果6.2.2.5.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.2.3 人员安全管理
6.2.3.1 人员录用
6.2.3.1.1 测评指标
见JR/T 0060-2010 6.2.3.1。
6.2.3.1.2 测评实施
本项要求包括:
a)应访谈人事负责人,询问是否由专门的部门或人员负责人员的录用工作;
b)应访谈人事负责人,询问在人员录用时是否对被录用人的身份、背景和专业资格进行审查,对技术人员的技术技能进行考核;
c)应访谈人事负责人,询问录用后是否与从事关键岗位的人员签署保密协议;
d)应检查人员录用管理文档,查看是否说明录用人员应具备的条件(如学历、学位要求,技术人员应具备的专业技术水平,管理人员应具备的安全管理知识等);
e)应检查是否具有人员录用时对录用人身份、背景和专业资格等进行审查的相关文档或记录,查看是否记录审查内容和审查结果等;
f)应检查人员录用时的技能考核文档或记录,查看是否记录考核内容和考核结果等;
g)应检查保密协议,查看是否有保密范围、保密责任、违约责任、协议的有效期限和责任人签字等内容。
6.2.3.1.3 结果判定
如果6.2.3.1.2 a)-g)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.2.3.2 人员离岗
6.2.3.2.1 测评指标
见JR/T 0060-2010 6.2.3.2。
6.2.3.2.2 测评实施
本项要求包括:
a)应访谈安全主管,询问是否及时终止离岗人员的所有访问权限,是否取回各种身份证件、钥匙、徽章以及机构提供的软硬件设备等;
b)应访谈人事负责人,询问人员离岗是否遵循严格的调离手续;
c)应检查是否具有离岗人员交还身份证件、设备等的登记记录;
d)应检查是否具有按照离岗程序办理调离手续的记录。
6.2.3.2.3 结果判定
如果6.2.3.2.2 a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.2.3.3 人员考核
6.2.3.3.1 测评指标
见JR/T 0060-2010 6.2.3.3。
6.2.3.3.2 测评实施
本项要求包括:
a)应访谈安全主管,询问是否定期对各个岗位人员进行安全技能及安全知识的考核;
b)应检查考核记录,查看考核人员是否包括各个岗位的人员,考核内容是否包含安全知识、安全技能等。
检查相关岗位的安全技能和安全认知的考核记录,查验安全技能和安全认知的考核是否至少每年一次。
6.2.3.3.3 结果判定
如果6.2.3.3.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.2.3.4 安全意识教育和培训
6.2.3.4.1 测评指标
见JR/T 0060-2010 6.2.3.4。
6.2.3.4.2 测评实施
本项要求包括:
a)应访谈安全主管,询问是否制定培训计划并按计划对各个岗位人员进行安全教育和培训;是否对违反安全策略和规定的人员进行惩戒;
b)应检查安全教育和培训计划文档,查看计划是否明确了培训方式、培训对象、培训内容、培训时间和地点等,培训内容是否包含信息安全基础知识、岗位操作规程等;
c)应检查安全教育和培训记录,查看记录是否有培训人员、培训内容、培训结果等的描述。
6.2.3.4.3 结果判定
如果6.2.3.4.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.2.3.5 外部人员访问管理
6.2.3.5.1 测评指标
见JR/T 0060-2010 6.2.3.5。
6.2.3.5.2 测评实施
本项要求包括:
a)应访谈安全主管,询问外部人员访问重要区域(如访问机房、重要服务器或设备区等)是否需经有关部门或负责人批准,是否由专人全程陪同或监督,是否进行记录并备案管理;
b)应检查外部人员访问管理文档,查看是否具有规范外部人员访问机房等重要区域需经过相关部门或负责人批准的管理要求;
c)应检查外部人员访问重要区域的登记记录,查看是否记录了外部人员访问重要区域的进入时间、离开时间、访问区域及陪同人等信息。
6.2.3.5.3 结果判定
如果6.2.3.5.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.2.4 系统建设管理
6.2.4.1 系统定级
6.2.4.1.1 测评指标
见JR/T 0060-2010 6.2.4.1。
6.2.4.1.2 测评实施
本项要求包括:
a)应访谈系统建设负责人,询问是否参照定级指南确定信息系统安全保护等级;
b)应检查系统定级文档,查看文档是否明确信息系统的边界和信息系统的安全保护等级,是否说明定级的方法和理由,是否有相关部门或主管领导的盖章或签名。
6.2.4.1.3 结果判定
如果6.2.4.1.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.2.4.2 安全方案设计
6.2.4.2.1 测评指标
见JR/T 0060-2010 6.2.4.2。
6.2.4.2.2 测评实施
本项要求包括:
a)应访谈系统建设负责人,询问是否依据风险分析的结果补充和调整过安全措施,具体做过哪些调整;
b)应访谈系统建设负责人,询问安全设计方案是否经过论证和审定,是否经过审批;
c)应检查系统的安全设计方案,查看方案是否描述系统的安全保护等级,是否描述系统的安全保护策略,是否根据系统的安全级别选择了安全措施;
d)应检查系统的安全设计方案,查看是否详细描述安全措施的实现内容,是否有安全产品的功能、性能和部署等描述,是否有安全建设的费用和计划等;
e)应检查安全设计方案专家论证评审记录或文档,查看是否有相关部门和有关安全技术专家对安全设计方案的评审意见。
6.2.4.2.3 结果判定
如果6.2.4.2.2 a)-e)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.2.4.3 产品采购和使用
6.2.4.3.1 测评指标
见JR/T 0060-2010 6.2.4.3。
6.2.4.3.2 测评实施
本项要求包括:
a)应访谈系统建设负责人,询问是否有专门的部门负责产品的采购,由何部门负责;
b)应访谈系统建设负责人,询问系统是否采用了密码产品,密码产品的采购和使用是否符合国家密码主管部门的要求;
c)应访谈系统建设负责人,询问系统使用的有关信息安全产品是否符合国家的有关规定,如安全产品获得了销售许可证等;
d)应抽样检查安全产品和密码产品的相关凭证,如销售许可等,查看是否使用了符合国家有关规定产品。
6.2.4.3.3 结果判定
如果6.2.4.3.2 a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.2.4.4 自行软件开发
6.2.4.4.1 测评指标
见JR/T 0060-2010 6.2.4.4。
6.2.4.4.2 测评实施
本项要求包括:
a)应访谈系统建设负责人,询问是否进行自主开发软件;
b)应访谈系统建设负责人,询问自主开发软件是否在独立的环境中完成编码和调试,如相对独立的网络区域,询问软件设计相关文档是否由专人负责保管,负责人是何人;
c)应检查是否有软件开发方面的管理制度,查看文件是否明确软件设计、开发、测试、验收过程的控制方法和人员行为准则,是否明确哪些开发活动应经过授权、审批等;
d)应检查是否具有软件使用指南或操作手册等。
e)应检查网络拓扑图和实际开发环境,查看是否实际运行环境和开发环境有效隔离。
6.2.4.4.3 结果判定
如果6.2.4.4.2 a)-e)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.2.4.5 外包软件开发
6.2.4.5.1 测评指标
见JR/T 0060-2010 6.2.4.5。
6.2.4.5.2 测评实施
本项要求包括:
a) 应访谈系统建设负责人,询问软件交付前是否依据开发要求的技术指标对软件功能和性能等进行验收测试,软件安装之前是否检测软件中的恶意代码;
b) 应访谈系统建设负责人,是否要求开发单位提供源代码,是否根据源代码对软件中可能存在的后门进行审查;
c) 应检查是否具有软件开发的相关文档,如需求分析说明书、软件设计说明书等,是否具有软件操作手册或使用指南。
d) 应检查部分软件源代码,查看是否具有源代码。
6.2.4.5.3 结果判定
如果6.2.4.5.2 a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.2.4.6 工程实施
6.2.4.6.1 测评指标
见JR/T 0060-2010 6.2.4.6。
6.2.4.6.2 测评实施
本项要求包括:
a) 应访谈系统建设负责人,询问是否指定专门部门或人员对工程实施过程进行进度和质量控制,由何部门/何人负责;
b) 应检查工程实施方案,查看其是否包括工程时间限制、进度控制和质量控制等方面内容。
6.2.4.6.3 结果判定
如果6.2.4.6.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.2.4.7 测试验收
6.2.4.7.1 测评指标
见JR/T 0060-2010 6.2.4.7。
6.2.4.7.2 测评实施
本项要求包括:
a)应访谈系统建设负责人,询问在信息系统建设完成后是否对其进行安全性测试验收;
b)应检查是否具有工程测试验收方案,查看其是否明确说明参与测试的部门、人员、测试验收内容、现场操作过程等内容;
c)应检查是否具有系统测试验收报告,是否有相关部门和人员对系统测试验收报告进行审定的意见。
6.2.4.7.3 结果判定
如果6.2.4.7.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.2.4.8 系统交付
6.2.4.8.1 测评指标
见JR/T 0060-2010 6.2.4.8。
6.2.4.8.2 测评实施
本项要求包括:
a) 应访谈系统建设负责人,询问系统交接工作是否根据交付清单对所交接的设备、文档、软件等进行清点;
b) 应访谈系统建设负责人,询问系统正式运行前是否对运行维护人员进行过培训,针对哪些方面进行过培训;
c) 应检查是否具有系统交付清单,查看交付清单是否说明系统交付的各类设备、软件、文档等;
d) 应检查系统交付提交的文档,查看是否有指导用户进行系统运维的文档等;
e) 应检查是否有系统交付技术培训记录,查看是否包括培训内容、培训时间和参与人员等。
6.2.4.8.3 结果判定
如果6.2.4.8.2 a)-e)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.2.4.9 安全服务商选择
6.2.4.9.1 测评指标
见JR/T 0060-2010 6.2.4.9。
6.2.4.9.2 测评实施
本项要求包括:
a) 应访谈系统建设负责人,询问信息系统选择的安全服务商有哪些,是否符合国家有关规定;
b) 应检查是否具有与安全服务商签订的安全责任合同书或保密协议等文档,查看其内容是否包含保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等;
c) 应检查是否具有与安全服务商签订的服务合同或安全责任合同书,查看是否明确了后期的技术支持和服务承诺等内容。
6.2.4.9.3 结果判定
如果6.2.4.9.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.2.5 系统运维管理
6.2.5.1 环境管理
6.2.5.1.1 测评指标
见JR/T 0060-2010 6.2.5.1。
6.2.5.1.2 测评实施
本项要求包括:
a)应访谈系统运维负责人,询问是否有专门的部门或人员对机房供配电、空调、温湿度控制等设施进行定期维护,由何部门/何人负责,维护周期多长;
b)应访谈系统运维负责人,询问是否有专门的部门或人员对机房的出入、服务器开机/关机等日常工作进行管理,由何部门/何人负责;
c)应访谈系统运维负责人,询问为保证办公环境的保密性采取了哪些控制措施,在哪个区域接待来访人员,工作人员调离时是否收回办公室钥匙等;
d)应检查是否有机房安全管理制度,查看其内容是否覆盖机房物理访问、物品带进/带出机房和机房环境安全等方面;
e)应检查是否具有空调、温湿度控制等机房设施的维护保养记录,表明定期对这些设施进行了维护保养。
1)检查维护记录,查验是否每季度对机房供配电、空调、UPS等设备进行维护管理;
2)检查维护记录,查验是否每年对防盗报警、防雷、消防等装置进行检测维护。
6.2.5.1.3 结果判定
如果6.2.5.1.2 a)-e)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
6.2.5.2 资产管理
6.2.5.2.1 测评指标
见JR/T 0060-2010 6.2.5.2。
6.2.5.2.2 测评实施
本项要求包括:
a)应访谈系统运维负责人,询问是否有资产管理的责任人员或部门,由何部门/何人负责;
