等保20测评表安全建设管理.docx
- 文档编号:1082848
- 上传时间:2022-10-16
- 格式:DOCX
- 页数:13
- 大小:19.84KB
等保20测评表安全建设管理.docx
《等保20测评表安全建设管理.docx》由会员分享,可在线阅读,更多相关《等保20测评表安全建设管理.docx(13页珍藏版)》请在冰豆网上搜索。
等保20测评表安全建设管理
序号测评对象测评指标
1
2
定级和备案
3
4
5
6
安全方案设计
7
控制项
a)应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由;
b)应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定;
c)应确保定级结果经过相关部门的批准;
d)应将备案材料报主管部门和相应公安机关备案。
a)应根据安全保护等级选择
基本安全措施,依据风险分析的结果补充和调整安全措施;
b)应根据保护对象的安全保护等级及与其他级别保护对象
的关系进行安全整体规划和安全方案设计,设计内容应包含密码相关内容,并形成配套文件;
c)应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定,经过批准后才能正式实施。
描述
对定级结果的合理性和正确性进行论证和审
定后,确定测评系统的定级结果报相关部门
进行批准。
设计合理的安全方案是保障信息系统安全建
设和运行的基础。
安全设计方案应当对系统
安全保障体系的总体安全策略、安全技术框
架、安全管理策略、总体建设规划、详细设
计方案等内容做出具体的规划和设计,并形
成配套的文件。
针对总体安全策略、安全技术框架、安全管
理策略、总体建设规划、详细设计方案等的
相关配套文件,相关部门和有关安全技术专
家对其进行合理性和正确性的论证和审定,
在经过审批批准流程后方可正式实施。
要选择符合国家及相关部门规定和要求的安
8
a)应确保信息安全产品采购
全产品,如符合由中国信息安全产品测评认
和使用符合国家的有关规定;
证中心编制的《信息安全产品政府采购指南
》。
要采购和使用符合国家密码主管部门相关要
求的密码产品。
密码产品可以是数字证书
b)应确保密码产品与服务的
(如CA认证)、令牌同环、生物识别等,且
符合国家相关规定如由国家信息安全,国家
9
采购和使用符合国家密码管理
密码局、科学技术部、公安部、国家安全部
主管部门的要求;
、财政部、信息产业部、商务部、国家保密
产品采购和使用
局、国家信息化工作办公室联合制定了《含
有密码技术的信息产品政府采购规定》。
c)应预先对产品进行选型测
试,确定产品的候选范围,并
10
定期审定和更新候选产品名单
。
a)应确保开发环境与实际运
为避免开发过程中对系统造成影响,要保证
开发环境与实际运行环境物理分开。
而且,
11
行环境物理分开,测试数据和
系统开发文档的保管、使用以及后续程序资
测试结果受到控制;
源库的维护都应严格管理,加以限制。
b)应制定软件开发管理制
为保证开发过程的安全性,要制定开发方面
12
度,明确说明开发过程的控制
的管理制度,规定开发过程的控制方法和人
方法和人员行为准则;
员行为准则。
c)应制定代码编写安全规
13
范,要求开发人员参照规范编
写代码;
d)应确保具备软件设计的相
14
自行软件开发
关文档和使用指南,并对文档
使用进行控制;
e)应确保在软件开发过程中
安全建设管理
对安全性进行测试,在软件安
15
装前对可能存在的恶意代码进
行检测;
f)应确保对程序资源库的修
16
改、更新、发布进行授权和批
准,并严格进行版本控制;
g)应确保开发人员为专职人
为有效测试软件,找出软件各方面缺陷问
题,要保证测试人员与开发人员分离,并确
17
员,开发人员的开发活动受到
保开发人员为专职人员,且开发活动受到控
控制、监视和审查。
制、监视和审查。
18
a)应在软件交付前检测其中
可能存在的恶意代码;
19
b)应要求开发单位提供软件
设计文档和使用指南;
外包软件开发
c)应要求开发单位提供软件
20
源代码,并审查软件中可能存
在的后门和隐蔽信道。
a)应指定或授权专门的部门
21
或人员负责工程实施过程的管
理;
信息系统工程实施应当由具有资质的专业工
工程实施
b)应制定工程实施方案控制
程实施单位来完成,并与其签订安全建设协
22
安全工程实施过程;
议,制定详细的工程实施方案,用来约束和
控制工程实施方的行为。
23
c)应通过第三方工程监理控
制项目的实施过程。
a)在制订测试验收方案,并
24
依据测试验收方案实施测试验
收,形成测试验收报告;
测试验收
b)应进行上线前的安全性测
25
试,并出具安全测试报告,安
全测试报告应包含密码应用安
全性测试相关内容。
a)应制定交付清单,并根据
26
交付清单对所交接的设备、软
件和文档等进行清点;
系统交付
27
b)应对负责运行维护的技术
人员进行相应的技能培训;
c)应确保提供建设过程中的
28
文档和指导用户进行运行维护
的文档。
a)应定期进行等级测评,发
29
现不符合相应等级保护标准要
求的及时整改;
等级测评
30
b)应在发生重大变更或级别
发生变化时进行等级测评;
31
c)应确保测评机构的选择符
合国家有关规定。
32
a)应确保服务供应商的选择
符合国家的有关规定;
b)应与选定的服务供应商签
33
订相关协议,明确整个服务供
应链各方需履行的信息安全相
服务供应商选择
关义务;
c)应定期监视、评审和审核
34
服务供应商提供的服务,并对
其变更服务内容加以控制。
确认人:
确认时间:
检查方法
应访谈安全主管,询问确定信息系统安全保护等级的方法是否
参照定级指南的指导,定级过程是否有书面描述。
应检查系统定级文档,查看文档是否说明定级的方法和理由。
应访谈安全主管,询问是否组织相关部门和有关安全技术专家
对定级结果进行论证和审定。
应检查专家论证文档,查看是否有专家对定级结果的论证意见
。
应访谈安全主管,询问定级结果是否获得了相关部门的批准。
应检查系统定级文档,查看定级结果是否有相关部门的批准盖
章。
应检查是否具有将系统等级相关材料报主管部门备案的记录或
备案文档。
应访谈系统建设负责人,询问是否根据系统的安全级别选择基
本安全措施,是否依据风险分析的结果补充和调整安全措施,
具体做过哪些调整。
应访谈系统建设负责人,询问是否根据信息系统的等级划分情
况统一考虑总体安全策略、安全技术框架、安全管理策略、总
体建设规划和详细设计方案等。
应访谈系统建设负责人,是否对上述相关配套文件经过论证、
审定和审批。
应检查系统总体安全策略、安全技术框架、安全管理策略、总
体建设规划、详细设计方案等配套文件,查看各个文件是否有
机构管理层的批准。
应检查专家论证文档,查看是否有相关部门和有关安全技术专
家对总体安全策略、安全技术框架、安全管理策略、总体建设
规划、详细设计方案等相关配套文件的论证意见。
应检查系统使用的有关信息安全产品是否符合国家的有关规定
。
应访谈系统建设负责人,询问系统是否采用了密码产品,密码
产品的采购和使用是否符合国家密码主管部门的要求。
应检查密码产品的使用情况是否符合密码产品使用、管理的相
关规定。
应访谈系统建设负责人,询问采购产品前是否预先对产品进行
选型测试确定产品的候选范围;是否定期审定和更新候选产品
名单,审定周期多长。
应检查产品采购管理文档,查看内容是否明确需要的产品性能
指标,确定产品的候选范围,通过招投标等方式确定采购产品
及人员行为准则等方面。
应检查是否具有产品选型测试结果记录、候选产品名单审定记
录或更新的候选产品名单。
应访谈系统建设负责人,询问是否进行自主开发软件,自主开
发软件是否在独立的模拟环境中编写、调试和完成。
应访谈系统建设负责人,询问测试数据和测试结果是否受到控
制。
应检查是否具有软件开发相关文档(软件设计和开发程序文件
、测试数据、测试结果、维护手册等)的使用控制记录。
应检查软件开发管理制度,查看文件是否明确软件设计、开发
、测试、验收过程的控制方法和人员行为准则,是否明确哪些
开发活动应经过授权、审批,是否明确软件开发相关文档的管
理等。
应访谈软件开发人员,询问其是否参照代码编写安全规范进行
软件开发,开发之后是否交给测试人员测试软件。
应检查代码编写安全规范,查看规范中是否明确代码编写规则
。
查看是否存在软件设计的相关文档和使用指南,对文档的使用
进行控制。
查看是否存在软件测试文档。
应访谈系统建设负责人,是否对程序资源库的修改、更新、发
布进行授权和批准,授权部门是何部门,批准人是何人。
应检查对程序资源库的修改、更新、发布进行授权和审批的文
档或记录,查看是否有批准人的签字。
应访谈系统建设负责人,询问是否要求开发人员不能做测试人
员(即二者分离),开发人员有哪些人,是否是专职人员。
应访谈系统建设负责人,询问对开发人员的开发活动采取哪些
控制措施,是否有专人监控、审查。
应检查是否具有对开发人员的审查记录,查看审查记录是否记
录审查结果等。
应访谈系统建设负责人,询问软件安装之前是否检测软件中的
恶意代码,检测工具是否是第三方的商业产品。
应检查是否具有需求分析说明书、软件设计说明书、软件操作
手册、软件源代码文档等软件开发文档和使用指南。
应访谈系统建设负责人,询问是否要求开发单位提供源代码,
是否根据源代码对软件中可能存在的后门进行审查。
应检查软件源代码审查记录,查看是否包括对可能存在后门的
审查结果。
应访谈系统建设负责人,询问是否有专门部门或人员负责工程
实施管理工作,由何部门/何人负责。
应检查工程实施方案,查看其是否包括工程时间限制、进度控
制和质量控制等方面内容。
应检查是否具有按照实施方案形成的阶段性工程报告等文档。
询问安全管理员项目实施时是否有监理全程控制。
应检查工程测试验收方案,查看其是否明确说明参与测试的部
门、人员、测试验收的内容、现场操作过程等内容。
应检查测试验收记录是否详细记录了测试时间、人员、现场操
作过程和测试验收结果等方面内容。
应检查是否具有系统测试验收报告。
应检查是否存在软件安全测试报告,测试模块中是否存在对密
码强度和密码加密等的测试。
应访谈系统建设负责人,询问系统交接时是否根据交付清单对
所交接的设备、文档、软件等进行清点。
应检查是否具有系统交付清单分类详细列项系统交付的各类设
备、软件、文档等。
应访谈系统建设负责人,询问目前的信息系统是否由内部人员
独立运行维护,如果是,系统正式运行前是否对运行维护人员
进行过培训,针对哪些方面进行过培训。
应检查培训记录,查看是否包括培训内容、培训时间和参与人
员等。
应检
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 20 测评 安全 建设 管理