1、ICS 13.310 A 90 DB11 北京市地方 标准 DB11/T 1344 2016 信息安全等级保护检查规范 Examination specification for information security classified protection 2016 - 08 - 10发布 2016 - 12 - 01实施 北京市质量技术监督局 发布DB11/T 1344 2016 I 目 次 前 言 . II 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 检查流程 . 1 5 一级信息系统检查 . 2 6 二级信息系统检查 . 7 7 三级信息系统检查 1
2、6 8 四级信息系统检查 27 DB11/T 1344 2016 II 前 言 本标准按照 GB/T 1.12009 给出的规则起草。 本标准由北京市公安局提出并归口。 本标准由北京市公安局组织实施。 本标准主要起草单位:北京市公安局网络安全保卫总队、公安部信息安全等级保护评估中心、信息 产业信息安全测评中心、北京中软华泰信息技术有限责任公司。 本标准主要起草人:叶漫青、朱华池、白 鸥 、 石锐 、 吴贤 、 俞诗源 、朱 晓莉 、 高媛 、 马荣欣 、 周永 战 、 游书明 、 赵悦 、 徐燕、 赵志巍 、 金镁 、 王峥 、 周堃 、 李小玲 、 王凯晨 、 梁萌萌 、 张淮 、 王 一婷
3、 、 赵 永军、 李梦娇 、陈益 、宋扬 、 张昕 、菅强 、高瑗泽 、傅珩轩 、刘晓雪 、李君 白、张远彬 、王熙 、张玮、 杨潇、 石浩 、王佳 、赵勇 、罗铮 、袁静 、于东升 、霍珊珊 、刘健 、张益 、董晶晶。 DB11/T 1344 2016 1 信息安全等级保护检查规范 1 范围 本标准规定 了对 信息安全等级保护 状况进行 检查的流程和 内容 要求,其 中 内容要 求包括对 信息安全 等级保护 第一级信息系统、 第 二级信息系统、 第三级信息系统和 第四级信息系统进行 安全检查的要求。 本标准 适用 于信息安全等级保护检查 工作 。 2 规范性引用文件 下列文件 对于 本文件的
4、 应用 是必不可少 的。 凡是注日期的引用文件 , 仅所注日期的 版本 适用 于 本文 件。凡是不注日期 的引用文件,其 最新版 本( 包括 所有的 修改 单)适 用于 本文件。 GB/T 5271.8 信息技术 词汇 第 8部分: 安全 GB 17859 计算机 信息系统安全保护等级 划分 准则 GB/T 22239 信息安全技术 信息系统安全等级保护基 本要 求 GB/T 25069 信息安全技术 术语 GB/T 25070 信息安全技术 信息系统等级保护安全设计技术要 求 3 术语和定义 GB/T 5271.8、GB 17859 、 GB/T 22239、GB/T 25069 和 GB/
5、T 25070界定的 以及下列术语和定义 适 用于本文件。 3.1 访谈 interview 检查人 员通过 引导 信息系统 相关 人员 进行 有目 的的 (有 针对 性的 )交 流 以帮助检查人 员理解、 分析 或取得证据 的过 程。 3.2 查验 check 检查人 员通过 对被 检查 对象(如制度 文档、 各类设备 、安全 配置 等 ) 进行 观察 、查 阅 、核 查 以帮助 检查人 员理解 、分析或取得证据 的过 程。 3.3 测试 test 检查人员使用预定的 方法 /工具使被检查对象(各类设备或安全配置) 产生特定的结果,将运行结 果与预期 的结果 进行 比对 的过程。 4 检查流
6、程 DB11/T 1344 2016 2 4.1 前期准备 前 期 准备 包括 的内容 : 调阅被 检查单位信息系统的 备案材料; 了解被 检查单位 情况 ; 成立检查 小组 ; 准 备必 要的检查 材料 和检查 工具; 制定检查组 工作计划 ,计划 内容 应包括 检查 对象 、检查人 员、检查 各个阶段 的工作 安排 等。 4.2 现场检查 现场检查 是通过 对被 检查单位的 沟通 访谈 、文 档 审 查、 配置 检查、 工具 测试 和实地 查验 , 并 调阅自 查、总 结或 等级测评 报告等 资 料,对 被 检查单位信息安全保护 现状进行 检查 , 取得 检查总 结活动 所需的 资 料 。
7、现场 检查 不应 影响 系统的 正常 运行 。 4.3 检查总结 检查总 结是 根据 现场 检查 结果和本标准的 相关 要求, 列 举并 分析被 检查单位信息系统 存在 的问题, 针 对 被检查单位信息系统安全保护 能力 出具 书面 结果材料 。 5 一级信息系统检查 5.1 物理安全要求 5.1.1 物理访问控制 5.1.1.1 检查内容 检查内容 如下 : 应 检查 物理 访问控 制措 施。 5.1.1.2 检查方法 检查方法如下 : 查 验 是否 有进 出机 房的人 员登记记录 。 5.1.1.3 检查结果判定 检查结果 判定 如下 : 若 机 房出 入口 没有 进出 机房 的人 员登记
8、记录 ,则检查 结果 为不 符合 。 5.1.2 支撑设施保障 5.1.2.1 检查内容 检查内容 如下 : a) 应检查 防水措 施; b) 应检查 防火措 施; c) 应检查 温湿 度控 制措 施; d) 应检查 稳压 设备 。 DB11/T 1344 2016 3 5.1.2.2 检查方法 检查方法如下 : a) 查验是 否具备 防止 机房地 下积水转移 与渗透 的措 施, 是 否 对防水防潮处 理结果 和除湿装 置运行 情 况进行 记录 ; b) 查验机 房是 否配备 符合 要求 的 灭火 设备 ,灭火 设备 摆放是 否合 理, 有效 期是 否合格 ; c) 查验温湿 度自动 调节 设
9、施 是否能够正常 运行, 查验温湿度 控制是 否合 理; d) 查验机 房内 是否 有稳压 设备 。 5.1.2.3 检查结果判定 检查结果 判定 如下 : a) 若机房 的墙壁 或楼板 的管道没有 采取必 要的 防渗透防漏等 防水 保护 措施 , 或 防水防潮处 理结果 及 除湿装 置运 行记录缺失 ,则5.1.2.2 a )检查 结果为 不 符合 ; b) 若机房 内没有 配备 符合要 求的灭火 设备 ,灭火 设备 摆放不 合理或 已过期 , 则5.1.2.2 b) 检查 结果为 不符合 ; c) 若机房 内没有 配备 温湿度 自动调 节设施 ,或 当前温湿 度不 合理, 则5.1.2.2
10、 c )检查 结果为 不 符合; d) 若机房 内没 有设置 稳压器 ,则5.1.2.2 d )检查 结果为 不 符合 。 5.2 安全技术要求 5.2.1 网络结构安全 5.2.1.1 检查内容 检查内容 如下 : 应 检查网络 拓扑图 。 5.2.1.2 检查方法 检查方法如下 : 查 验 实际环境 中的 核心 交换 机 、 核 心服务器 、 边 界防火墙等 是否能够在 网络 拓扑 结 构图 中定位。 5.2.1.3 检查结果判定 检查结果 判定 如下 : 若 网络 拓扑图 中无 法定位 核心交 换机、 核心 服务器 、边界 防火墙 等关 键设备 ,则5.2.1.2 检查 结果为 不符合
11、。 5.2.2 边界安全防护 5.2.2.1 检查内容 检查内容 如下 : 应 检查网络 边界 入侵 检测 措施。 5.2.2.2 检查方法 检查方法如下 : a) 查验网络 边界设备是 否采 取技术 手段 防止地 址欺骗 ; DB11/T 1344 2016 4 b) 查验网络 入侵 检测 设备是 否能检测 以下 攻击 行为 : 端 口 扫描 、 漏 洞扫描 、 缓冲区溢 出攻击、 拒 绝 服务 攻击 等, 查看 其规则 库 是否为 最新 。 5.2.2.3 检查结果判定 检查结果 判定 如下 : a) 若重要 地址 没有 采用 IP/MAC绑 定等 手段 防止地 址欺骗, 则 5.2.2.
12、2 a)检查 结果为 不 符合 ; b) 若没有部 署 入侵 检测 设备或 入侵 检测设备 的特 征库未 及 时更 新 ,则 5.2.2.2 b)检查 结果为 不 符合。 5.2.3 用户身份鉴别 5.2.3.1 检查内容 检查内容 如下 : 应 检查网络 设备 、操 作系统、数 据库 管理 系统和 应用系统的 身份鉴别 措施。 5.2.3.2 检查方法 检查方法如下 : 查 验 主要网络 设备 、服务器 操 作系统、 数据 库管 理系统和 应用系统的 身份鉴别 是 否开启 。 5.2.3.3 检查结果判定 检查结果 判定 如下 : 若 主要网络 设备 、 服务器 操 作系统、主要 数据 库管
13、 理系统和应 用系统 无需 身份鉴别 , 则5.2.3.2 检查结果 为不 符合 。 5.2.4 访问控制 5.2.4.1 检查内容 检查内容 如下 : 应 检查 操作 系统、 数据 库管 理 系统的 默认账户权 限。 5.2.4.2 检查方法 检查方法如下 : 查 验 主要 服务器 操作 系统和 重 要数 据 库管 理系统是 否已禁 用或者 限制 匿名/ 默认账户 的访问 权 限,是 否重命名 系统 默认账户名 并修改 默认账户 的默认口 令。 5.2.4.3 检查结果判定 检查结果 判定 如下 : a) 操作系统和数 据库 管理系统 默认账户名未重命名, 默认口 令未修改 ,则 5.2.4
14、.2检查 结果为 不 符合; b) Windows操作 系统 未禁 用 Guest默认账户 、 Linux操作 系统 未禁 用默认 用户 (如 daemon、 bin、 sys、 adm等 ), 则5.2.4.2 检查 结果为 不符合 ; c) 其他操 作系统 存在 未重命名 的 默认 系统用 户, 则5.2.4.2检查 结果 为不 符合 。 5.2.5 系统数据保护 DB11/T 1344 2016 5 5.2.5.1 检查内容 检查内容 如下 : 应 检查 应用系统 数据备 份介质。 5.2.5.2 检查方法 检查方法如下 : 查 验 是否 对主要网络 设备 、主要 数据 库管 理系统和主
15、要应 用系统的 重要信息 进行了 本 地 备 份 。 5.2.5.3 检查结果判定 检查结果 判定 如下 : 若缺 乏主要网络 设备 、主要 数据 库 管理 系统和主要 应用系统的 重要信息的 备份介质 ,则 5.2.5.2检查 结果 为不 符合。 5.3 安全管理要求 5.3.1 安全管理机构 5.3.1.1 检查内容 检查内容 如下 : 应 检查安全 岗位人 员配备情 况 。 5.3.1.2 检查方法 检查方法如下 : 查 验 系统、网络、安全 方面 的 管理 规定 ,记录 系统 管理员 、网络 管理员 、数 据库管 理员、安 全管理员 的姓名 。 5.3.1.3 检查结果判定 检查结果
16、判定 如下 : 若 信息安全管 理制度( 网络、主 机、密码 、 审计 等制度) 中没有 明确角色 和职 责定义 , 没有 信息安全 管理 岗位人 员名 单,则 5.3.1.2检查 结果 为 不符合 。 5.3.2 安全管理制度 5.3.2.1 检查内容 检查内容 如下 : 应 检查信息安全 工作日 常安全管 理制度 。 5.3.2.2 检查方法 检查方法如下 : 查 验 是否 制定 日常 信息安全 管 理制度 ,如机 房管 理制度等。 5.3.2.3 检查结果判定 检查结果 判定 如下 : 若没有 制定 日常 信息安全 管理制度 ,如机 房管 理制度 等 ,则 5.3.2.2检查 结果为 不
17、 符合 。 DB11/T 1344 2016 6 5.3.3 系统人员安全 5.3.3.1 检查内容 检查内容 如下 : 应 检查 关键 岗位人 员劳 动合 同 和人 员离岗 记录 。 5.3.3.2 检查方法 检查方法如下 : a) 查验关 键岗 位人 员的 劳动合 同 ,记录 负责人 员录 用的部门名称 或人 员姓名 ; b) 查验离岗 人员 办理过 的调 离手续 记录 ,记录 离岗 员工被终 止的 访问 权限 内容 。 5.3.3.3 检查结果判定 检查结果 判定 如下 : a) 若无法 提供 信息安全 相关 岗位人 员劳 动合 同, 则5.3.3.2 a )检查 结果 为不 符合 ;
18、b) 若对离岗 人员 未及 时终 止访问权 限, 则5.3.3.2 b ) 检查结果 为不 符合 。 5.3.4 系统安全 生命周 期 5.3.4.1 检查内容 检查内容 如下 : 应 检查系统设计 、系统实施、系统 验 收、系统 运维 等生命 周期各阶段的安全 管理制度 和 相应 记录保 存情 况。 5.3.4.2 检查方法 检查方法如下 : a) 查验定级 报告 ,记录 定级 报告名称 和盖章批 准的部 门名称 ; b) 查验安全 设计方案 ,记录 安全设计方案 的名称 ; c) 查验安全产 品的 销售许 可证 副 本; d) 查验负 责工 程实施 过程 管理 的部 门名称 或人 员姓名
19、; e) 查验安全性 验收 测试 方案 和测试验 收报告 ,记录报告 的 名称 ; f) 查验机 房安全 管理制度 ,记录制度 文档 名称 ,核 对是 否 规定 机房物 理访问 、物 品带 入 带 出等; g) 查验与 信息系统 相关 的资 产清单 , 记录资 产清 单名称 , 核 对清 单是 否至 少包括 资 产名称 、 资产 位置、 资产责任部 门或 责任人等 ; h) 查验设备 管理 的部 门名称 或人员 姓名 ,记录 部门名称 或 人员 姓名 ,查 验设备 维护记录 ; i) 查验网络 管理 的部 门名称 或人员 姓名 , 查 验网络 管理 的 日常 监控记录 , 核 对记录是 否至
20、少 包括 监 控 时间 、监 控内容 、监 控人员 等; j) 查验系统 漏洞扫描 报告 ,记录扫描 报告 的名称 ,核 对记录 是否 至少 包括 扫描时间、 扫描 范围、 发 现 的漏 洞、 处理 措施等 ; k) 查验和 记录 员工所 用杀毒 软件的 名称 和版 本; l) 查验安全 事件 报告 和处 置管 理制度 , 是 否规定安全 事件的 现场处 理、 事件 报告 和 后期 恢复的管 理 职 责。 5.3.4.3 检查结果判定 检查结果 判定 如下 : DB11/T 1344 2016 7 a) 若无法 提供系统定级 报告 书,无 单位信息安全 领 导( 小 组) 的 批准 盖章 ,
21、则5.3.4.2 a) 检查 结果为 不符合 ; b) 若无法 提供 安全 设计方案 ,则5.3.4.2 b )检查 结果为 不 符合 ; c) 若无法 提供 安全产 品销售许 可证 副本 ,则 5.3.4.2 c) 检查 结果 为不 符合 ; d) 若无法 提供负 责工 程实施 过程管 理的部 门名称 或人 员姓名 , 则5.3.4.2 d ) 检查 结果 为不 符合; e) 若无法 提供 安全 验收 测试 方案和测 试报告 ,则 5.3.4.2 e) 检查 结果 为不 符合 ; f) 若无法 提供 机房 安全 管理制度,对 机 房环境 、 重 要区域 的 访问 、人 员 和 物 品 的出入
22、 未 进行 规定 , 则 5.3.4.2 f)检查 结果 为 不符合 ; g) 若无法 提供 与信息系统 相关 的 资产 清单, 清单 未包括 资 产名称 、 资产位 置、 资产责任部 门或 责 任人等 ,则 5.3.4.2 g)检查 结果 为不 符合 ; h) 若无法 提供设备 管理 的部 门名称 或人员 姓名 及设备 维护记录 , 则5.3.4.2 h ) 检查结果 为 不符 合 ; i) 若无法 提供 网络 管理 的部 门名称 或人 员姓名 , 网络 管理的 日常 监控记录 中未 包括监 控时间、 监 控 内容 、监 控人 员, 则5.3.4.2 i )检查 结果 为不 符合 ; j)
23、若无法 提供 系统 漏洞扫描 报告, 记录 中未 包括 扫描时间、 扫描 范围、 发现 的漏洞 、 处理 措施等 , 则5.3.4.2 j )检查 结果 为 不符合 ; k) 若员工 未使 用杀毒 软件 或病毒库未 及时更 新, 则5.3.4.2 k )检查 结果 为不 符合 ; l) 若无法 提供 安全 事件 报告 和处置 管理制度 , 或 内容 未覆盖事 件处 理、 报告 和后 期 恢复 的管理职 责 , 则5.3.4.2 l )检查 结果 为 不符合 。 6 二级信息系统检查 6.1 物理安全要求 6.1.1 物理位置选择 6.1.1.1 检查内容 检查内容 如下 : 应 检查 机房 的
24、选址 和所 在建筑物 的防 护能力 。 6.1.1.2 检查方法 检查方法如下 : 查 验 机房 所在楼 宇的 验收 报告是 否明 确机 房所 在建筑 的 防震 、防 风和 防雨 等能力。 6.1.1.3 检查结果判定 检查结果 判定 如下 : 若无法 提供机 房所 在建筑 物楼宇 的验收 报告 ,或未 采取防 风和防 雨等 措施, 则6.1.1.2检查结 果 为 不符合 。 6.1.2 物理访问控制 6.1.2.1 检查内容 检查内容 如下 : 应 检查 物理 访问控 制措 施。 DB11/T 1344 2016 8 6.1.2.2 检查方法 检查方法如下 : a) 查验机 房所 有出 入口
25、 是否 有值守 记录 以及 进出 机房 的人员 登记记录 ; b) 查验是 否有 来访 人员 进入 机房的 审批 记录 ,查 验审 批记录 是否 包括 来访 人员 的访问 范围。 6.1.2.3 检查结果判定 检查结果 判定 如下 : a) 若机房 任何 一个 出入 口没 有值守 记录 和进 出人 员登记记录 , 则6.1.2.2 a ) 检查 结果 为不 符合; b) 若不具 有来 访人 员进 入机 房的审 批记录 , 或 审批 记录 中 不具备 来访 人员 的访问 范围、 所进行的 操 作 等审 批项 ,则 6.1.2.2 b)检查 结果 为不 符合 。 6.1.3 支撑设施保障 6.1.
26、3.1 检查内容 检查内容 如下 : a) 应检查 防水措 施; b) 应检查 防火措 施; c) 应检查 温湿 度控 制措 施; d) 应检查 防静 电措 施; e) 应检查 短期备 用电 源设备 。 6.1.3.2 检查方法 检查方法如下 : a) 查验是 否具备 防止 机房地 下积水转移 与渗透 的措 施, 是 否 对防水防潮处 理结果 和除湿装 置运行 情 况进行 记录 ; b) 查验机 房是 否设置 了自动 消防系统 , 是 否有人 负责 维护该 系统的 运行 ; 查 验自动消 防系统是否 正常工作 ,查 看是 否有 运行 记录 、报 警记录 、定 期检查和 维修 记录 ; c) 查
27、验温湿 度自动 调节 设施 是否能够正常 运行, 查验 是否有 温湿 度记录 、运 行记录和 维 护 记录; d) 访谈物 理安全 负责人 ,询 问机房 主要 设备是 否采 取必 要的 接地防 静电 措施 ; e) 查验计算机 系统的 短期备 用电源 设备是 否正常 运行, 查 验 是否 有短 期备 用电 源设备的检查和维 护 记录 。 6.1.3.3 检查结果判定 检查结果 判定 如下 : a) 若机房 的墙壁 或楼板 的管道没有 采取必 要的 防渗透防漏等 防水 保护 措施 , 或 防水防潮处 理结果 及 除湿装 置运 行记录缺失 ,则6.1.3.2 a )检查 结果为 不 符合 ; b)
28、 若机房 内没 有设置 自动 检测 火 情、 自动报 警、 自动灭火 的 自动 消防 系统, 或自动 消 防系统 无法 正常工作 , 运行 记录 、 报警 记录 、定期 检查和 维 修记录缺失 , 则6.1.3.2 b ) 检查结果 为 不符 合 ; c) 若机房 内没 有配备 温湿 度自动调 节设 施, 或温湿 度记录 、 运行 记录 和维 护记录缺失 , 则6.1.3.2 c) 检查 结果 为不 符合 ; d) 若机房 内没 有设置 静电接 地,则 6.1.3.2 d)检查 结果 为 不符合 ; DB11/T 1344 2016 9 e) 若机房 内没 有设置 短期备 用电源 设备(如 U
29、PS) , 或短 期备 用电 源设备 的检查和 维 护记录缺失 , 则6.1.3.2 e )检查 结果 为 不符合 。 6.2 安全技术要求 6.2.1 网络结构安全 6.2.1.1 检查内容 检查内容 如下 : 应 检查网络 拓扑图 和重 要网 段划分情 况。 6.2.1.2 检查方法 检查方法如下 : a) 查验实 际环境 中的 核心 交换 机 、 核 心服务器 、 边 界防火墙等 是否能够在 网络 拓扑 结 构图 中定位; b) 访谈网络 管理员 ,询 问网 段划分情 况以及划分 的原 则。 6.2.1.3 检查结果判定 检查结果 判定 如下 : a) 若网络 拓扑图 中无 法定位 核心
30、交 换机、 核心 服务器 、边界 防火墙 等关 键设备 ,则6.2.1.2 a ) 检查结果 为不 符合 ; b) 若网络 没有 划分 子网 ,则 6.2.1.2 b) 检查 结果 为不 符合。 6.2.2 边界安全防护 6.2.2.1 检查内容 检查内容 如下 : 应 检查网络 边界 访问控 制、网络 入侵 检测 措施。 6.2.2.2 检查方法 检查方法如下 : a) 查验防火墙 等边 界安全 设备是否 配置 网段 级的 访问控 制 策略 ; b) 查验网络 边界设备是 否采 取技术 手段 防止地 址欺骗 ; c) 查验网络 入侵 检测 设备是 否能检测 以下 攻击 行为 : 端 口 扫描
31、 、 漏 洞扫描 、 缓冲区溢 出攻击、 拒 绝 服务 攻击 等, 查看 其规则 库 是否为 最新; d) 查验边 界完整 性检查 设备是 否 设置 了对 非法 连接到外 网的 行为 进行 监控 并有 效阻断 的配置 。 6.2.2.3 检查结果判定 检查结果 判定 如下 : a) 若没有 在网络 边界 部署防火墙等 访问控 制设备或访问控制 策略没 有到 网段级 ,则6.2.2.2 a ) 检查结果 为不 符合 ; b) 若重要 地址 没有 采用 IP/MAC绑 定等 手段 防止地 址欺骗, 则 6.2.2.2 b)检查 结果为 不 符合 ; c) 若没有部 署 入侵 检测 设备或 入侵 检
32、测设备 的特 征库未 及 时更 新 ,则 6.2.2.2 c)检查 结果为 不 符合; d) 若没有 相应 的手 段监 控和 阻止内 部用 户非 法连接到外 网 ,则 6.2.2.2 d)检查结果为 不符合 。 DB11/T 1344 2016 10 6.2.3 用户身份鉴别 6.2.3.1 检查内容 检查内容 如下 : 应 检查网络 设备 、操 作系统、数 据库 管理 系统和 应用系统的 身份鉴别 措施和口 令 策略 。 6.2.3.2 检查方法 检查方法如下 : a) 查验主要网络 设备、 服务器 操 作系统、 数 据库 管理系统和 应用系统的 身份鉴别 是 否开启 , 口令 的复杂 度情
33、 况; b) 查验操 作系统、 应用系统 是否具备 登录失 败账户 锁定 功 能。 6.2.3.3 检查结果判定 检查结果 判定 如下 : a) 若主要网络 设备 、 服务器 操 作系统、 数据 库管 理系统和应 用系统 无需 身份鉴别 , 或出 现 弱口 令、 默认口 令、 空 口令 , 设置少 于 8位 且仅 由数 字或 字母组 成 的口 令 , 则 6.2.3.2 a) 检查 结果为 不 符合; b) 未设置 连续 登录失 败账户 锁定功 能, 则6.2.3.2 b ) 检查结果 为不 符合 。 6.2.4 访问控制 6.2.4.1 检查内容 检查内容 如下 : 应 检查 操作 系统、
34、数据 库管 理 系统和 应用 该系统的 默认账户 和系统 账户 的权 限分配情 况。 6.2.4.2 检查方法 检查方法如下 : a) 查验主要 服务器 操作 系统和 重 要数 据 库管 理系统是 否已禁 用或者 限制 匿名/ 默认账户 的访问 权 限,是 否重命名 系统 默认账户名 并修改 默认账户 的默认口 令; b) 通过访谈 询问 应用系统的 访问控 制策略 及粒 度;以不 同权 限的用 户登录 应用系统, 查看 其 拥 有 的权限 是否 与系统 赋予 的权 限一 致, 验证应 用系统 访问控 制功 能是 否有 效。 6.2.4.3 检查结果判定 检查结果 判定 如下 : a) 操作系
35、统和数 据库 管理系统 默认账户名未重命名, 默认口 令未修改 ,则 6.2.4.2 a) 检查结果 为 不 符合 ; b) Windows操作 系统 未禁 用 Guest默认账户 、 Linux操作 系统 未禁 用默认 用户 (如 daemon、 bin、 sys、 adm等 ), 则6.2.4.2 a) 检查结果 为不 符合 ; c) 其他操 作系统 存在 未重命名 的 默认 系统用 户, 则6.2.4.2 a )检查 结果 为不 符合 ; d) 应用系统 普 通用 户登录后 具备系统 管 理等 管理员同 样的权 限,则 6.2.4.2 b) 检查结果 为 不符 合 ; e) 权限之 间未
36、形 成相 互制约 ,如未 做到管 理权 限和审 计权限的 分 离, 则 6.2.4.2 b)检查 结果 为 不符合 。 DB11/T 1344 2016 11 6.2.5 审计日志 管理 6.2.5.1 检查内容 检查内容 如下 : 应 检查网络 设备 的日 志、 操作系统 日志 、数 据库 日志 、 应用系统 日志 的保 存情 况 。 6.2.5.2 检查方法 检查方法如下 : a) 查验网络 设备 、操 作系统、 数 据库 和应 用系统 是否 具备了 审计日 志; b) 查验是 否通过日 志覆盖周 期、覆盖 方 式、 日志 文件 /空间大 小、日 志文件 操 作权 限等 设置, 实 现对审
37、 计记录 的保护。 6.2.5.3 检查结果判定 检查结果 判定 如下 : a) 不具备 网络设备 、操 作 系统、数 据库和 应用系统的 审计日 志,则 6.2.5.2 a) 检查结果 为 不符 合 ; b) 未合理配置 网络 设备日 志缓冲区 大小, 则6.2.5.2 b) 检查 结果 为不 符合 ; c) 未对各 层面的 审计日 志 设定 覆盖 周期、 覆盖 方式、 读写权 限等, 则6.2.5.2 b )检查 结果为 不 符合; d) 未对各 层面 的审 计日 志进行 备 份, 则6.2.5.2 b )检查 结果 为不 符合 ; e) 应用系统 为用 户提 供日 志单 条删 除功 能,
38、 则6.2.5.2 b)检查 结果 为不 符合 。 6.2.6 系统数据保护 6.2.6.1 检查内容 检查内容 如下 : a) 应检查网络 设备 、应 用系统中的口 令加 密情 况; b) 应检查 应用系统 数据备 份介质。 6.2.6.2 检查方法 检查方法如下 : a) 查验网络 设备 的配置 文件中用户 口令 是否 加密 存储 ; b) 查验应 用系统 存储 用户 信息的数 据表 中用 户口 令字 段是否 加密 存储 ; c) 查验是 否对 主要网络 设备 、主要 数据 库管 理系统和主要应 用系统的 重要信息 进行了 本地 备 份 , 备份介质 是否场 外存放 。 6.2.6.3 检
39、查结果判定 检查结果 判定 如下 : a) 若网络 设备配置 文件中 存储 了明 文用 户口 令, 则6.2.6.2 a )检查 结果 为不 符合 ; b) 若应用系统的 数据 库中 存储 了明 文用 户口 令, 则6.2.6.2 b )检查 结果 为不 符合 ; c) 若缺乏 主要网络 设备 、主要 数 据库 管 理系统和主要 应用系统 重 要信息的 备 份, 则 6.2.6.2 c) 检查结果 为不 符合 ; d) 备份介质 若无场 外存放 ,则 6.2.6.2 c)检查 结果 为 不符合 。 DB11/T 1344 2016 12 6.3 安全管理要求 6.3.1 安全管理机构 6.3.
40、1.1 检查内容 检查内容 如下 : 应 检查安全 岗位人 员配备情 况 和安全 制度 审批 机制 建立情 况。 6.3.1.2 检查方法 检查方法如下 : a) 查验岗 位设置 管理制度 和工作责任 书, 检查 是否 有安全主 管、安全 管理员 、系统管 理员 、网络 管 理员 等岗 位的 工作 职责 描述; b) 查验系统、网络、安全 方 面的管 理规定 , 记录 系统 管理员 、网络 管理员、 数 据库管 理员 、安全 管 理员 的姓名 ,核 对安全 管理员是 否专 职; c) 查验审 批流程规定和 审批 记录, 记录审 批流程规定和 审 批记录 的名称 , 核 对审 批 记录 是否至少
41、 包括审 批时间 、申请 人、 审批内容 、审 批人 ; d) 查验外联 单位 联系 列表, 核 对 是否 至少 包括 外联 单位 名称 、 合作 内容 、 联系人和 联 系方 式等信 息; e) 查验安全检查 制度, 记录安全检查 制度 的名称 , 查 验定期 安全检查 记录 , 核 对记录 是否 至少 包 括检查 时间 、检查人 员、检查对 象、检查 结果 。 6.3.1.3 检查结果判定 检查结果 判定 如下 : a) 若没有提 供岗 位设置 管理制度和 工作 责任 书, 未明 确安全主 管、安全 管理员 、系统 管理员、网 络 管 理员 等岗 位设置 和工作 职 责, 则6.3.1.2
42、 a )检查 结果 为不 符合 ; b) 若信息安全 管理制度( 网络、主 机 、密码 、 审计 等制度) 中没 有明 确角色 和职 责定义 , 没 有信 息安全 管理岗 位人 员名单 ,未设置 专 职的信息安全 管理员 ,或安全 管理员存在 兼 任现 象,则 6.3.1.2 b)检查 结果 为不符合; c) 若没有 建立 对机 房及 重要 区域进 出、系统 或网络 重要 操 作( 系统 上线变 更、 配置变 更、 加固、 安全管 理等 )的 审批 程序 ,或无 法提 供相关 事件的 审批记录 ,则 6.3.1.2 c)检查结果 为不符 合 ; d) 若没有 建立 外联 单位 联系 列表, 或
43、内容 不完整 ,则 6.3.1.2 d) 检查 结果 为不 符合; e) 若没有 制定安全检查 工作制度和流程 , 没 有定 期进行安全检查 活动 并保 留检查 记录, 则6.3.1.2 e) 检查 结果 为不 符合 。 6.3.2 安全管理制度 6.3.2.1 检查内容 检查内容 如下 : 应 检查信息安全 工作 的总 体方针 和安全 策略 制定、 发布方 式和定 期评 审修 订情 况 。 6.3.2.2 检查方法 检查方法如下 : DB11/T 1344 2016 13 a) 查验信息安全 管理 体系总 体方针 、安全 策略 方面 的相关文 档, 记录 信息安全 工作的总 体方针、 抽 查
44、的安全 策略 文档 名称 等; b) 查验安全 管理制度 发布到 相关人 员手 中的 方式 ; c) 查验安全 管理制度 的审 定和 修 订记录 , 核对 评审记录 是 否至 少包括 评审 时间 、评 审地 点 、 参 与 评审人 员和评 审结 论, 修订 记录 是否 至少 包括 修订 时间、 修订 内容 、修 订人等信息。 6.3.2.3 检查结果判定 检查结果 判定 如下 : a) 若没有 制定信息安全 工作 的总体 方针 和安全 策略 ,则 6.3.2.2 a)检查 结果 为 不符合 ; b) 若安全 管理制度 没有 采 用文件、 邮件或 办公网等有 效途径 发布, 则6.3.2.2 b
45、 )检查 结果为 不 符合; c) 若没有定 期对 安全 管理制度 进行 检查 , 组织 召开 评审 会, 或评 审记录 内容 不完整 , 则6.3.2.2 c ) 检查结果 为不 符合 。 6.3.3 系统人员安全 6.3.3.1 检查内容 检查内容 如下 : 应 检查 重要 岗位人 员劳 动合 同 、人 员离岗 记录 、保 密协议 、人 员培训 和考 核记录。 6.3.3.2 检查方法 检查方法如下 : a) 查验重 要岗 位人 员的 劳动合 同 和保 密协议 , 记录 保密 协议 名称 , 核 对协议 内容 是 否至 少包括保 密 范围、保 密责任、 违约 责任、 协议 有效 期和责任人
46、 签字 等; b) 查验重 要岗 位 (如 安全 管 理员) 离岗 人员 办理过 的 调离手续 记录, 核对 记录是 否 至少 包括 人员 姓名、 调离岗 位、 调离时间 、 收回 权限 及物 品、 核对 人 签字 、批 准人 签字 等; c) 查验各 岗位人 员的安全技 能和安全 认知考 核记录 , 核对 记录 是否 至少 包括 考核 时间、 考核 对象 、 考核内容 、考 核结果 等; d) 查验安全 教育 和培训 计划 , 核对 计划是 否明 确了 培训 方 式、 培训 对象 、 培训 内容、 培训 时间和 地 点 等, 查验 培训 记录 是否 至 少包括 培训 人员 、培训 内容 、培
47、训 结果 等描 述。 6.3.3.3 检查结果判定 检查结果 判定 如下 : a) 若无法 提供 信息安全 相关 岗位人 员的 劳动合 同或 保密 协议 , 则6.3.3.2 a ) 检查 结果 为不 符合; b) 若重要 岗位人 员离岗 记录 中, 未 包括 人员 姓名 、 调 离岗位、 调离时间 、 收 回权 限 及物 品、 核对 人 签字 、批 准人 签字 等, 则6.3.3.2 b )检查 结果 为 不符合 ; c) 若无法 提供针 对不 同岗位人 员 的安全技 能和安全意 识考核 记录, 则6.3.3.2 c )检查 结果为 不 符合; d) 若无法 提供 安全 教育 和培训 计划
48、, 计划或 记录 内容 不完整 , 则6.3.3.2 d ) 检查 结果 为不 符合。 6.3.4 系统安全 生命周 期 6.3.4.1 检查内容 检查内容 如下 : DB11/T 1344 2016 14 应 检查系统设计 、系统 开发 、系统实施、系统测评、系统 验收、系统交 付、系统运 维等生 命 周 期各阶段 的安全 管理制度 和 相应 记录 保存 情况 。 6.3.4.2 检查方法 检查方法如下 : a) 查验定级 报告 ,记录 定级 报告名称 和盖章批 准的部 门名称 ; b) 查验安全 设计方案 ,记录 安全设计方案 的名称 ; c) 查验安全产 品和 密码 产品 的销售许 可证
49、 副本 ; d) 查验软件 开发 管理制度 ,记录制度 文档 名称 ,核 实有 无 开发 过程的 控制方法 和人员 行为 准则; 若为外 包软件 开发 ,请 被检查机 构的 配合 人员 提供 软件的 恶意 代码 检测 记录 和报告 ; e) 查验工 程实施 方案 , 记录 实施方案 名称 , 核 对实施 方案是 否至 少包括 背景 、 目 的、 内容 、 进 度 安排、实施人 员和 风险 管理 等 ; f) 查验安全性 验收 测试 方案 和测试验 收报告 ,记录报告 的 名称 ;查 验测 试验 收报告的 审定 记录, 记录报告 签字 人姓名 等; g) 查验系统 交付 清单, 记录系统交 付清 单的 名称 , 核 对是否 包括 交接 的设备 名称 及 数量、软件 名 称 及 数量 、文 档名称 及数 量等; h) 查验机 房安全 管理制度 ,记录制度 文档 名称 ,核 对是 否 规定 机房物 理访问 、物 品带 入 带 出等; i) 查验资 产安全 管理制度, 记录制度 文档 名称、规定的 资 产管 理责任人 或责任部 门, 核对 是否 至 少 包括 资产 管理 和使 用的 行为; j) 查验介质 安全 管理制度 , 记录制度 文档 名称 , 查 阅对 介质 的存放环境 、 使 用、 维 护和 销毁的规 范 化 规定