DB11 T 1344-2016 信息安全等级保护检查规范.pdf

资源描述

1、ICS 13.310 A 90 DB11 北京市地方标准 DB11/T 1344 2016 信息安全等级保护检查规范 Examination specification for information security classified protection 2016 - 08 - 10发布 2016 - 12 - 01实施北京市质量技术监督局发布DB11/T 1344 2016 I 目次前言 . II 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 检查流程 . 1 5 一级信息系统检查 . 2 6 二级信息系统检查 . 7 7 三级信息系统检查 1

2、6 8 四级信息系统检查 27 DB11/T 1344 2016 II 前言本标准按照 GB/T 1.12009 给出的规则起草。本标准由北京市公安局提出并归口。本标准由北京市公安局组织实施。本标准主要起草单位：北京市公安局网络安全保卫总队、公安部信息安全等级保护评估中心、信息产业信息安全测评中心、北京中软华泰信息技术有限责任公司。本标准主要起草人：叶漫青、朱华池、白鸥、石锐、吴贤、俞诗源、朱晓莉、高媛、马荣欣、周永战、游书明、赵悦、徐燕、赵志巍、金镁、王峥、周堃、李小玲、王凯晨、梁萌萌、张淮、王一婷

3、、赵永军、李梦娇、陈益、宋扬、张昕、菅强、高瑗泽、傅珩轩、刘晓雪、李君白、张远彬、王熙、张玮、杨潇、石浩、王佳、赵勇、罗铮、袁静、于东升、霍珊珊、刘健、张益、董晶晶。 DB11/T 1344 2016 1 信息安全等级保护检查规范 1 范围本标准规定了对信息安全等级保护状况进行检查的流程和内容要求，其中内容要求包括对信息安全等级保护第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全检查的要求。本标准适用于信息安全等级保护检查工作。 2 规范性引用文件下列文件对于本文件的

4、应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 5271.8 信息技术词汇第 8部分: 安全 GB 17859 计算机信息系统安全保护等级划分准则 GB/T 22239 信息安全技术信息系统安全等级保护基本要求 GB/T 25069 信息安全技术术语 GB/T 25070 信息安全技术信息系统等级保护安全设计技术要求 3 术语和定义 GB/T 5271.8、GB 17859 、 GB/T 22239、GB/T 25069 和 GB/

5、T 25070界定的以及下列术语和定义适用于本文件。 3.1 访谈 interview 检查人员通过引导信息系统相关人员进行有目的的（有针对性的）交流以帮助检查人员理解、分析或取得证据的过程。 3.2 查验 check 检查人员通过对被检查对象（如制度文档、各类设备、安全配置等）进行观察、查阅、核查以帮助检查人员理解、分析或取得证据的过程。 3.3 测试 test 检查人员使用预定的方法 /工具使被检查对象（各类设备或安全配置）产生特定的结果，将运行结果与预期的结果进行比对的过程。 4 检查流

6、程 DB11/T 1344 2016 2 4.1 前期准备前期准备包括的内容：调阅被检查单位信息系统的备案材料；了解被检查单位情况；成立检查小组；准备必要的检查材料和检查工具；制定检查组工作计划，计划内容应包括检查对象、检查人员、检查各个阶段的工作安排等。 4.2 现场检查现场检查是通过对被检查单位的沟通访谈、文档审查、配置检查、工具测试和实地查验，并调阅自查、总结或等级测评报告等资料，对被检查单位信息安全保护现状进行检查，取得检查总结活动所需的资料。

7、现场检查不应影响系统的正常运行。 4.3 检查总结检查总结是根据现场检查结果和本标准的相关要求，列举并分析被检查单位信息系统存在的问题，针对被检查单位信息系统安全保护能力出具书面结果材料。 5 一级信息系统检查 5.1 物理安全要求 5.1.1 物理访问控制 5.1.1.1 检查内容检查内容如下：应检查物理访问控制措施。 5.1.1.2 检查方法检查方法如下：查验是否有进出机房的人员登记记录。 5.1.1.3 检查结果判定检查结果判定如下：若机房出入口没有进出机房的人员登记

8、记录，则检查结果为不符合。 5.1.2 支撑设施保障 5.1.2.1 检查内容检查内容如下： a) 应检查防水措施； b) 应检查防火措施； c) 应检查温湿度控制措施； d) 应检查稳压设备。 DB11/T 1344 2016 3 5.1.2.2 检查方法检查方法如下： a) 查验是否具备防止机房地下积水转移与渗透的措施，是否对防水防潮处理结果和除湿装置运行情况进行记录； b) 查验机房是否配备符合要求的灭火设备，灭火设备摆放是否合理，有效期是否合格； c) 查验温湿度自动调节设

9、施是否能够正常运行，查验温湿度控制是否合理； d) 查验机房内是否有稳压设备。 5.1.2.3 检查结果判定检查结果判定如下： a) 若机房的墙壁或楼板的管道没有采取必要的防渗透防漏等防水保护措施，或防水防潮处理结果及除湿装置运行记录缺失，则5.1.2.2 a ）检查结果为不符合； b) 若机房内没有配备符合要求的灭火设备，灭火设备摆放不合理或已过期，则5.1.2.2 b）检查结果为不符合； c) 若机房内没有配备温湿度自动调节设施，或当前温湿度不合理，则5.1.2.2

10、 c ）检查结果为不符合； d) 若机房内没有设置稳压器，则5.1.2.2 d ）检查结果为不符合。 5.2 安全技术要求 5.2.1 网络结构安全 5.2.1.1 检查内容检查内容如下：应检查网络拓扑图。 5.2.1.2 检查方法检查方法如下：查验实际环境中的核心交换机、核心服务器、边界防火墙等是否能够在网络拓扑结构图中定位。 5.2.1.3 检查结果判定检查结果判定如下：若网络拓扑图中无法定位核心交换机、核心服务器、边界防火墙等关键设备，则5.2.1.2 检查结果为不符合

11、。 5.2.2 边界安全防护 5.2.2.1 检查内容检查内容如下：应检查网络边界入侵检测措施。 5.2.2.2 检查方法检查方法如下： a) 查验网络边界设备是否采取技术手段防止地址欺骗； DB11/T 1344 2016 4 b) 查验网络入侵检测设备是否能检测以下攻击行为：端口扫描、漏洞扫描、缓冲区溢出攻击、拒绝服务攻击等，查看其规则库是否为最新。 5.2.2.3 检查结果判定检查结果判定如下： a) 若重要地址没有采用 IP/MAC绑定等手段防止地址欺骗，则 5.2.2.

12、2 a）检查结果为不符合； b) 若没有部署入侵检测设备或入侵检测设备的特征库未及时更新，则 5.2.2.2 b）检查结果为不符合。 5.2.3 用户身份鉴别 5.2.3.1 检查内容检查内容如下：应检查网络设备、操作系统、数据库管理系统和应用系统的身份鉴别措施。 5.2.3.2 检查方法检查方法如下：查验主要网络设备、服务器操作系统、数据库管理系统和应用系统的身份鉴别是否开启。 5.2.3.3 检查结果判定检查结果判定如下：若主要网络设备、服务器操作系统、主要数据库管

13、理系统和应用系统无需身份鉴别，则5.2.3.2 检查结果为不符合。 5.2.4 访问控制 5.2.4.1 检查内容检查内容如下：应检查操作系统、数据库管理系统的默认账户权限。 5.2.4.2 检查方法检查方法如下：查验主要服务器操作系统和重要数据库管理系统是否已禁用或者限制匿名/ 默认账户的访问权限，是否重命名系统默认账户名并修改默认账户的默认口令。 5.2.4.3 检查结果判定检查结果判定如下： a) 操作系统和数据库管理系统默认账户名未重命名，默认口令未修改，则 5.2.4

14、.2检查结果为不符合； b) Windows操作系统未禁用 Guest默认账户、 Linux操作系统未禁用默认用户（如 daemon、 bin、 sys、 adm等），则5.2.4.2 检查结果为不符合； c) 其他操作系统存在未重命名的默认系统用户，则5.2.4.2检查结果为不符合。 5.2.5 系统数据保护 DB11/T 1344 2016 5 5.2.5.1 检查内容检查内容如下：应检查应用系统数据备份介质。 5.2.5.2 检查方法检查方法如下：查验是否对主要网络设备、主要数据库管理系统和主

15、要应用系统的重要信息进行了本地备份。 5.2.5.3 检查结果判定检查结果判定如下：若缺乏主要网络设备、主要数据库管理系统和主要应用系统的重要信息的备份介质，则 5.2.5.2检查结果为不符合。 5.3 安全管理要求 5.3.1 安全管理机构 5.3.1.1 检查内容检查内容如下：应检查安全岗位人员配备情况。 5.3.1.2 检查方法检查方法如下：查验系统、网络、安全方面的管理规定，记录系统管理员、网络管理员、数据库管理员、安全管理员的姓名。 5.3.1.3 检查结果判定检查结果

16、判定如下：若信息安全管理制度（网络、主机、密码、审计等制度）中没有明确角色和职责定义，没有信息安全管理岗位人员名单，则 5.3.1.2检查结果为不符合。 5.3.2 安全管理制度 5.3.2.1 检查内容检查内容如下：应检查信息安全工作日常安全管理制度。 5.3.2.2 检查方法检查方法如下：查验是否制定日常信息安全管理制度，如机房管理制度等。 5.3.2.3 检查结果判定检查结果判定如下：若没有制定日常信息安全管理制度，如机房管理制度等，则 5.3.2.2检查结果为不

17、符合。 DB11/T 1344 2016 6 5.3.3 系统人员安全 5.3.3.1 检查内容检查内容如下：应检查关键岗位人员劳动合同和人员离岗记录。 5.3.3.2 检查方法检查方法如下： a) 查验关键岗位人员的劳动合同，记录负责人员录用的部门名称或人员姓名； b) 查验离岗人员办理过的调离手续记录，记录离岗员工被终止的访问权限内容。 5.3.3.3 检查结果判定检查结果判定如下： a) 若无法提供信息安全相关岗位人员劳动合同，则5.3.3.2 a ）检查结果为不符合；

18、b) 若对离岗人员未及时终止访问权限，则5.3.3.2 b ）检查结果为不符合。 5.3.4 系统安全生命周期 5.3.4.1 检查内容检查内容如下：应检查系统设计、系统实施、系统验收、系统运维等生命周期各阶段的安全管理制度和相应记录保存情况。 5.3.4.2 检查方法检查方法如下： a) 查验定级报告，记录定级报告名称和盖章批准的部门名称； b) 查验安全设计方案，记录安全设计方案的名称； c) 查验安全产品的销售许可证副本； d) 查验负责工程实施过程管理的部门名称或人员姓名

19、； e) 查验安全性验收测试方案和测试验收报告，记录报告的名称； f) 查验机房安全管理制度，记录制度文档名称，核对是否规定机房物理访问、物品带入带出等； g) 查验与信息系统相关的资产清单，记录资产清单名称，核对清单是否至少包括资产名称、资产位置、资产责任部门或责任人等； h) 查验设备管理的部门名称或人员姓名，记录部门名称或人员姓名，查验设备维护记录； i) 查验网络管理的部门名称或人员姓名，查验网络管理的日常监控记录，核对记录是否至

20、少包括监控时间、监控内容、监控人员等； j) 查验系统漏洞扫描报告，记录扫描报告的名称，核对记录是否至少包括扫描时间、扫描范围、发现的漏洞、处理措施等； k) 查验和记录员工所用杀毒软件的名称和版本； l) 查验安全事件报告和处置管理制度，是否规定安全事件的现场处理、事件报告和后期恢复的管理职责。 5.3.4.3 检查结果判定检查结果判定如下： DB11/T 1344 2016 7 a) 若无法提供系统定级报告书，无单位信息安全领导（小组）的批准盖章，

21、则5.3.4.2 a）检查结果为不符合； b) 若无法提供安全设计方案，则5.3.4.2 b ）检查结果为不符合； c) 若无法提供安全产品销售许可证副本，则 5.3.4.2 c）检查结果为不符合； d) 若无法提供负责工程实施过程管理的部门名称或人员姓名，则5.3.4.2 d ）检查结果为不符合； e) 若无法提供安全验收测试方案和测试报告，则 5.3.4.2 e）检查结果为不符合； f) 若无法提供机房安全管理制度，对机房环境、重要区域的访问、人员和物品的出入

22、未进行规定，则 5.3.4.2 f）检查结果为不符合； g) 若无法提供与信息系统相关的资产清单，清单未包括资产名称、资产位置、资产责任部门或责任人等，则 5.3.4.2 g）检查结果为不符合； h) 若无法提供设备管理的部门名称或人员姓名及设备维护记录，则5.3.4.2 h ）检查结果为不符合； i) 若无法提供网络管理的部门名称或人员姓名，网络管理的日常监控记录中未包括监控时间、监控内容、监控人员，则5.3.4.2 i ）检查结果为不符合； j)

23、若无法提供系统漏洞扫描报告，记录中未包括扫描时间、扫描范围、发现的漏洞、处理措施等，则5.3.4.2 j ）检查结果为不符合； k) 若员工未使用杀毒软件或病毒库未及时更新，则5.3.4.2 k ）检查结果为不符合； l) 若无法提供安全事件报告和处置管理制度，或内容未覆盖事件处理、报告和后期恢复的管理职责，则5.3.4.2 l ）检查结果为不符合。 6 二级信息系统检查 6.1 物理安全要求 6.1.1 物理位置选择 6.1.1.1 检查内容检查内容如下：应检查机房的

24、选址和所在建筑物的防护能力。 6.1.1.2 检查方法检查方法如下：查验机房所在楼宇的验收报告是否明确机房所在建筑的防震、防风和防雨等能力。 6.1.1.3 检查结果判定检查结果判定如下：若无法提供机房所在建筑物楼宇的验收报告，或未采取防风和防雨等措施，则6.1.1.2检查结果为不符合。 6.1.2 物理访问控制 6.1.2.1 检查内容检查内容如下：应检查物理访问控制措施。 DB11/T 1344 2016 8 6.1.2.2 检查方法检查方法如下： a) 查验机房所有出入口

25、是否有值守记录以及进出机房的人员登记记录； b) 查验是否有来访人员进入机房的审批记录，查验审批记录是否包括来访人员的访问范围。 6.1.2.3 检查结果判定检查结果判定如下： a) 若机房任何一个出入口没有值守记录和进出人员登记记录，则6.1.2.2 a ）检查结果为不符合； b) 若不具有来访人员进入机房的审批记录，或审批记录中不具备来访人员的访问范围、所进行的操作等审批项，则 6.1.2.2 b）检查结果为不符合。 6.1.3 支撑设施保障 6.1.

26、3.1 检查内容检查内容如下： a) 应检查防水措施； b) 应检查防火措施； c) 应检查温湿度控制措施； d) 应检查防静电措施； e) 应检查短期备用电源设备。 6.1.3.2 检查方法检查方法如下： a) 查验是否具备防止机房地下积水转移与渗透的措施，是否对防水防潮处理结果和除湿装置运行情况进行记录； b) 查验机房是否设置了自动消防系统，是否有人负责维护该系统的运行；查验自动消防系统是否正常工作，查看是否有运行记录、报警记录、定期检查和维修记录； c) 查

27、验温湿度自动调节设施是否能够正常运行，查验是否有温湿度记录、运行记录和维护记录； d) 访谈物理安全负责人，询问机房主要设备是否采取必要的接地防静电措施； e) 查验计算机系统的短期备用电源设备是否正常运行，查验是否有短期备用电源设备的检查和维护记录。 6.1.3.3 检查结果判定检查结果判定如下： a) 若机房的墙壁或楼板的管道没有采取必要的防渗透防漏等防水保护措施，或防水防潮处理结果及除湿装置运行记录缺失，则6.1.3.2 a ）检查结果为不符合； b)

28、若机房内没有设置自动检测火情、自动报警、自动灭火的自动消防系统，或自动消防系统无法正常工作，运行记录、报警记录、定期检查和维修记录缺失，则6.1.3.2 b ）检查结果为不符合； c) 若机房内没有配备温湿度自动调节设施，或温湿度记录、运行记录和维护记录缺失，则6.1.3.2 c）检查结果为不符合； d) 若机房内没有设置静电接地，则 6.1.3.2 d）检查结果为不符合； DB11/T 1344 2016 9 e) 若机房内没有设置短期备用电源设备（如 U

29、PS），或短期备用电源设备的检查和维护记录缺失，则6.1.3.2 e ）检查结果为不符合。 6.2 安全技术要求 6.2.1 网络结构安全 6.2.1.1 检查内容检查内容如下：应检查网络拓扑图和重要网段划分情况。 6.2.1.2 检查方法检查方法如下： a) 查验实际环境中的核心交换机、核心服务器、边界防火墙等是否能够在网络拓扑结构图中定位； b) 访谈网络管理员，询问网段划分情况以及划分的原则。 6.2.1.3 检查结果判定检查结果判定如下： a) 若网络拓扑图中无法定位核心

30、交换机、核心服务器、边界防火墙等关键设备，则6.2.1.2 a ）检查结果为不符合； b) 若网络没有划分子网，则 6.2.1.2 b）检查结果为不符合。 6.2.2 边界安全防护 6.2.2.1 检查内容检查内容如下：应检查网络边界访问控制、网络入侵检测措施。 6.2.2.2 检查方法检查方法如下： a) 查验防火墙等边界安全设备是否配置网段级的访问控制策略； b) 查验网络边界设备是否采取技术手段防止地址欺骗； c) 查验网络入侵检测设备是否能检测以下攻击行为：端口扫描

31、、漏洞扫描、缓冲区溢出攻击、拒绝服务攻击等，查看其规则库是否为最新； d) 查验边界完整性检查设备是否设置了对非法连接到外网的行为进行监控并有效阻断的配置。 6.2.2.3 检查结果判定检查结果判定如下： a) 若没有在网络边界部署防火墙等访问控制设备或访问控制策略没有到网段级，则6.2.2.2 a ）检查结果为不符合； b) 若重要地址没有采用 IP/MAC绑定等手段防止地址欺骗，则 6.2.2.2 b）检查结果为不符合； c) 若没有部署入侵检测设备或入侵检

32、测设备的特征库未及时更新，则 6.2.2.2 c）检查结果为不符合； d) 若没有相应的手段监控和阻止内部用户非法连接到外网，则 6.2.2.2 d）检查结果为不符合。 DB11/T 1344 2016 10 6.2.3 用户身份鉴别 6.2.3.1 检查内容检查内容如下：应检查网络设备、操作系统、数据库管理系统和应用系统的身份鉴别措施和口令策略。 6.2.3.2 检查方法检查方法如下： a) 查验主要网络设备、服务器操作系统、数据库管理系统和应用系统的身份鉴别是否开启，口令的复杂度情

33、况； b) 查验操作系统、应用系统是否具备登录失败账户锁定功能。 6.2.3.3 检查结果判定检查结果判定如下： a) 若主要网络设备、服务器操作系统、数据库管理系统和应用系统无需身份鉴别，或出现弱口令、默认口令、空口令，设置少于 8位且仅由数字或字母组成的口令，则 6.2.3.2 a）检查结果为不符合； b) 未设置连续登录失败账户锁定功能，则6.2.3.2 b ）检查结果为不符合。 6.2.4 访问控制 6.2.4.1 检查内容检查内容如下：应检查操作系统、

34、数据库管理系统和应用该系统的默认账户和系统账户的权限分配情况。 6.2.4.2 检查方法检查方法如下： a) 查验主要服务器操作系统和重要数据库管理系统是否已禁用或者限制匿名/ 默认账户的访问权限，是否重命名系统默认账户名并修改默认账户的默认口令； b) 通过访谈询问应用系统的访问控制策略及粒度；以不同权限的用户登录应用系统，查看其拥有的权限是否与系统赋予的权限一致，验证应用系统访问控制功能是否有效。 6.2.4.3 检查结果判定检查结果判定如下： a) 操作系

35、统和数据库管理系统默认账户名未重命名，默认口令未修改，则 6.2.4.2 a）检查结果为不符合； b) Windows操作系统未禁用 Guest默认账户、 Linux操作系统未禁用默认用户（如 daemon、 bin、 sys、 adm等），则6.2.4.2 a）检查结果为不符合； c) 其他操作系统存在未重命名的默认系统用户，则6.2.4.2 a ）检查结果为不符合； d) 应用系统普通用户登录后具备系统管理等管理员同样的权限，则 6.2.4.2 b）检查结果为不符合； e) 权限之间未

36、形成相互制约，如未做到管理权限和审计权限的分离，则 6.2.4.2 b）检查结果为不符合。 DB11/T 1344 2016 11 6.2.5 审计日志管理 6.2.5.1 检查内容检查内容如下：应检查网络设备的日志、操作系统日志、数据库日志、应用系统日志的保存情况。 6.2.5.2 检查方法检查方法如下： a) 查验网络设备、操作系统、数据库和应用系统是否具备了审计日志; b) 查验是否通过日志覆盖周期、覆盖方式、日志文件 /空间大小、日志文件操作权限等设置，实现对审

37、计记录的保护。 6.2.5.3 检查结果判定检查结果判定如下： a) 不具备网络设备、操作系统、数据库和应用系统的审计日志，则 6.2.5.2 a）检查结果为不符合； b) 未合理配置网络设备日志缓冲区大小，则6.2.5.2 b）检查结果为不符合； c) 未对各层面的审计日志设定覆盖周期、覆盖方式、读写权限等，则6.2.5.2 b ）检查结果为不符合； d) 未对各层面的审计日志进行备份，则6.2.5.2 b ）检查结果为不符合； e) 应用系统为用户提供日志单条删除功能，

38、则6.2.5.2 b）检查结果为不符合。 6.2.6 系统数据保护 6.2.6.1 检查内容检查内容如下： a) 应检查网络设备、应用系统中的口令加密情况； b) 应检查应用系统数据备份介质。 6.2.6.2 检查方法检查方法如下： a) 查验网络设备的配置文件中用户口令是否加密存储； b) 查验应用系统存储用户信息的数据表中用户口令字段是否加密存储； c) 查验是否对主要网络设备、主要数据库管理系统和主要应用系统的重要信息进行了本地备份，备份介质是否场外存放。 6.2.6.3 检

39、查结果判定检查结果判定如下： a) 若网络设备配置文件中存储了明文用户口令，则6.2.6.2 a ）检查结果为不符合； b) 若应用系统的数据库中存储了明文用户口令，则6.2.6.2 b ）检查结果为不符合； c) 若缺乏主要网络设备、主要数据库管理系统和主要应用系统重要信息的备份，则 6.2.6.2 c）检查结果为不符合； d) 备份介质若无场外存放，则 6.2.6.2 c）检查结果为不符合。 DB11/T 1344 2016 12 6.3 安全管理要求 6.3.1 安全管理机构 6.3.

40、1.1 检查内容检查内容如下：应检查安全岗位人员配备情况和安全制度审批机制建立情况。 6.3.1.2 检查方法检查方法如下： a) 查验岗位设置管理制度和工作责任书，检查是否有安全主管、安全管理员、系统管理员、网络管理员等岗位的工作职责描述； b) 查验系统、网络、安全方面的管理规定，记录系统管理员、网络管理员、数据库管理员、安全管理员的姓名，核对安全管理员是否专职； c) 查验审批流程规定和审批记录，记录审批流程规定和审批记录的名称，核对审批记录是否至少

41、包括审批时间、申请人、审批内容、审批人； d) 查验外联单位联系列表，核对是否至少包括外联单位名称、合作内容、联系人和联系方式等信息； e) 查验安全检查制度，记录安全检查制度的名称，查验定期安全检查记录，核对记录是否至少包括检查时间、检查人员、检查对象、检查结果。 6.3.1.3 检查结果判定检查结果判定如下： a) 若没有提供岗位设置管理制度和工作责任书，未明确安全主管、安全管理员、系统管理员、网络管理员等岗位设置和工作职责，则6.3.1.2

42、 a ）检查结果为不符合； b) 若信息安全管理制度（网络、主机、密码、审计等制度）中没有明确角色和职责定义，没有信息安全管理岗位人员名单，未设置专职的信息安全管理员，或安全管理员存在兼任现象，则 6.3.1.2 b）检查结果为不符合； c) 若没有建立对机房及重要区域进出、系统或网络重要操作（系统上线变更、配置变更、加固、安全管理等）的审批程序，或无法提供相关事件的审批记录，则 6.3.1.2 c）检查结果为不符合； d) 若没有建立外联单位联系列表，或

43、内容不完整，则 6.3.1.2 d）检查结果为不符合； e) 若没有制定安全检查工作制度和流程，没有定期进行安全检查活动并保留检查记录，则6.3.1.2 e）检查结果为不符合。 6.3.2 安全管理制度 6.3.2.1 检查内容检查内容如下：应检查信息安全工作的总体方针和安全策略制定、发布方式和定期评审修订情况。 6.3.2.2 检查方法检查方法如下： DB11/T 1344 2016 13 a) 查验信息安全管理体系总体方针、安全策略方面的相关文档，记录信息安全工作的总体方针、抽查

44、的安全策略文档名称等； b) 查验安全管理制度发布到相关人员手中的方式； c) 查验安全管理制度的审定和修订记录，核对评审记录是否至少包括评审时间、评审地点、参与评审人员和评审结论，修订记录是否至少包括修订时间、修订内容、修订人等信息。 6.3.2.3 检查结果判定检查结果判定如下： a) 若没有制定信息安全工作的总体方针和安全策略，则 6.3.2.2 a）检查结果为不符合； b) 若安全管理制度没有采用文件、邮件或办公网等有效途径发布，则6.3.2.2 b

45、）检查结果为不符合； c) 若没有定期对安全管理制度进行检查，组织召开评审会，或评审记录内容不完整，则6.3.2.2 c ）检查结果为不符合。 6.3.3 系统人员安全 6.3.3.1 检查内容检查内容如下：应检查重要岗位人员劳动合同、人员离岗记录、保密协议、人员培训和考核记录。 6.3.3.2 检查方法检查方法如下： a) 查验重要岗位人员的劳动合同和保密协议，记录保密协议名称，核对协议内容是否至少包括保密范围、保密责任、违约责任、协议有效期和责任人

46、签字等； b) 查验重要岗位（如安全管理员）离岗人员办理过的调离手续记录，核对记录是否至少包括人员姓名、调离岗位、调离时间、收回权限及物品、核对人签字、批准人签字等； c) 查验各岗位人员的安全技能和安全认知考核记录，核对记录是否至少包括考核时间、考核对象、考核内容、考核结果等； d) 查验安全教育和培训计划，核对计划是否明确了培训方式、培训对象、培训内容、培训时间和地点等，查验培训记录是否至少包括培训人员、培训内容、培

47、训结果等描述。 6.3.3.3 检查结果判定检查结果判定如下： a) 若无法提供信息安全相关岗位人员的劳动合同或保密协议，则6.3.3.2 a ）检查结果为不符合； b) 若重要岗位人员离岗记录中，未包括人员姓名、调离岗位、调离时间、收回权限及物品、核对人签字、批准人签字等，则6.3.3.2 b ）检查结果为不符合； c) 若无法提供针对不同岗位人员的安全技能和安全意识考核记录，则6.3.3.2 c ）检查结果为不符合； d) 若无法提供安全教育和培训计划

48、，计划或记录内容不完整，则6.3.3.2 d ）检查结果为不符合。 6.3.4 系统安全生命周期 6.3.4.1 检查内容检查内容如下： DB11/T 1344 2016 14 应检查系统设计、系统开发、系统实施、系统测评、系统验收、系统交付、系统运维等生命周期各阶段的安全管理制度和相应记录保存情况。 6.3.4.2 检查方法检查方法如下： a) 查验定级报告，记录定级报告名称和盖章批准的部门名称； b) 查验安全设计方案，记录安全设计方案的名称； c) 查验安全产品和密码产品的销售许可证

49、副本； d) 查验软件开发管理制度，记录制度文档名称，核实有无开发过程的控制方法和人员行为准则；若为外包软件开发，请被检查机构的配合人员提供软件的恶意代码检测记录和报告； e) 查验工程实施方案，记录实施方案名称，核对实施方案是否至少包括背景、目的、内容、进度安排、实施人员和风险管理等； f) 查验安全性验收测试方案和测试验收报告，记录报告的名称；查验测试验收报告的审定记录，记录报告签字人姓名等； g) 查验系统交付清单，记录系统交付清单的名称，核对是否包括交接的设备名称及数量、软件名称及数量、文档名称及数量等； h) 查验机房安全管理制度，记录制度文档名称，核对是否规定机房物理访问、物品带入带出等； i) 查验资产安全管理制度，记录制度文档名称、规定的资产管理责任人或责任部门，核对是否至少包括资产管理和使用的行为； j) 查验介质安全管理制度，记录制度文档名称，查阅对介质的存放环境、使用、维护和销毁的规范化规定

展开阅读全文