51SGISLOPSA9210 系统建设管理等级保护测评作业指导书三级.docx
- 文档编号:30416976
- 上传时间:2023-08-14
- 格式:DOCX
- 页数:33
- 大小:26.04KB
51SGISLOPSA9210 系统建设管理等级保护测评作业指导书三级.docx
《51SGISLOPSA9210 系统建设管理等级保护测评作业指导书三级.docx》由会员分享,可在线阅读,更多相关《51SGISLOPSA9210 系统建设管理等级保护测评作业指导书三级.docx(33页珍藏版)》请在冰豆网上搜索。
51SGISLOPSA9210系统建设管理等级保护测评作业指导书三级
信息安全等级保护测评作业指导书
系统建设管理(三级)
版号:
第2版
修改次数:
第0次
生效日期:
2010年01月06日
中国电力科学研究院信息安全实验室
修改页
修订号
控制编号
版号/
章节号
修改人
修订原因
批准人
批准日期
备注
1
SGISL/OP-SA92-10
李焕
按公安部要求修订
詹雄
2010.3.8
一、系统定级
1.信息系统边界和安全保护等级
测评项编号
ADT-JSGL-01-A
对应要求
应明确信息系统的边界和安全保护等级
测评项名称
信息系统边界和安全保护等级
测评分项1:
检查系统边界和安全保护等级。
操作步骤
访谈管理员,询问是否明确了信息系统的边界范围,是否明确系统安全保护等级。
适用版本
任何版本
实施风险
无
符合性判定
如果信息系统边界范围明确,确定了系统安全保护等级,判定结果为符合;
如果信息系统边界范围不明确,或未确定系统安全保护等级,判定结果为不符合。
备注
2.信息系统定级方法和理由
测评项编号
ADT-JSGL-01-B
对应要求
应以书面的形式说明确定信息系统为某个安全保护等级的方法和理由
测评项名称
信息系统定级方法和理由
测评分项1:
检查系统定级情况。
操作步骤
访谈管理员,询问系统定级是否参照定级指南的指导,是否对其进行明确描述,说明确定系统为某个安全保护等级的方法和理由,是否有书面说明。
适用版本
任何版本
实施风险
无
符合性判定
如果系统定级参照定级指南的指导,有书面相关的说明,说明确定系统为某个安全保护等级的方法和理由,判定结果为符合;
如果系统定级未参照定级指南的指导,或无书面相关的说明,未能说明确定系统为某个安全保护等级的方法和理由,判定结果为不符合。
备注
3.定级结果论证和审定
测评项编号
ADT-JSGL-01-C
对应要求
应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定
测评项名称
定级结果论证和审定
测评分项1:
检查系统定级的审定情况。
操作步骤
访谈管理员,询问系统定级是否组织相关部门和有关安全技术专家对定级结果进行论证和审定,检查论证和审定记录。
适用版本
任何版本
实施风险
无
符合性判定
如果组织相关部门和有关安全技术专家对定级结果进行论证和审定,相关的论证和审定记录,判定结果为符合;
如果未组织相关部门和有关安全技术专家对定级结果进行论证和审定,相关的论证和审定记录,判定结果为不符合。
备注
4.定级结果经过相关部门批准
测评项编号
ADT-JSGL-01-D
对应要求
应确保信息系统的定级结果经过相关部门的批准
测评项名称
定级结果经过相关部门批准
测评分项1:
检查系统定级的审定情况。
操作步骤
访谈管理员,询问系统定级记录是否经过相关部门(如上级主管部门)的批准。
查看相关的文件。
适用版本
任何版本
实施风险
无
符合性判定
如果系统定级结果经过相关部门的批准盖章,判定结果为符合;
如果系统定级结果未经过相关部门的批准盖章,判定结果为不符合。
备注
二、安全方案设计
1.选择基本安全措施及补充调整
测评项编号
ADT-JSGL-02-A
对应要求
应根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施
测评项名称
选择基本安全措施及补充调整
测评分项1:
检查安全方案设计。
操作步骤
访谈管理员,询问是否根据系统的安全保护等级选择基本安全措施,是否依据风险分析的结果来补充和调整安全措施。
适用版本
任何版本
实施风险
无
符合性判定
如果根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施,判定结果为符合;
如果未根据系统的安全保护等级选择基本安全措施,或未依据风险分析的结果补充和调整安全措施,判定结果为不符合。
备注
2.安全建设总体规划
测评项编号
ADT-JSGL-02-B
对应要求
应指定和授权专门的部门对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划
测评项名称
安全建设总体规划
测评分项1:
检查安全方案设计。
操作步骤
访谈管理员,询问是否指定和授权专门的部门对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划,查看工作计划。
适用版本
任何版本
实施风险
无
符合性判定
如果有专门的部门对信息系统的安全建设进行总体规划,有安全建设工作计划,判定结果为符合;
如果无专门的部门对信息系统的安全建设进行总体规划,无安全建设工作计划,判定结果为不符合。
备注
3.细化系统安全方案
测评项编号
ADT-JSGL-02-C
对应要求
应根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件
测评项名称
细化系统安全方案
测评分项1:
检查安全方案设计。
操作步骤
访谈管理员,询问是否根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件,查看相关的详细设计方案。
适用版本
任何版本
实施风险
无
符合性判定
如果有总体建设规划和详细设计方案,判定结果为符合;
如果无总体建设规划和详细设计方案,判定结果为不符合。
备注
4.安全技术专家论证和审定
测评项编号
ADT-JSGL-02-D
对应要求
应组织相关部门和有关安全技术专家对总体安全的策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施
测评项名称
安全技术专家论证和审定
测评分项1:
检查安全方案设计。
操作步骤
访谈管理员,询问安全建设方案是否经过专家的详细周全的论证和讨论,批准后才开始实施。
适用版本
任何版本
实施风险
无
符合性判定
如果安全建设方案经过专家的详细周全的论证和讨论,判定结果为符合;
如果安全建设方案未经过专家的详细周全的论证和讨论,判定结果为不符合。
备注
5.安全方案调整和修订
测评项编号
ADT-JSGL-02-E
对应要求
应根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件
测评项名称
安全方案调整和修订
测评分项1:
检查安全方案的调整和修订。
操作步骤
访谈管理员,询问是否根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件;询问调整和修订的周期,检查相应的调整和修订记录。
适用版本
任何版本
实施风险
无
符合性判定
如果定期根据等级测评、安全评估的结果调整安全方案,判定结果为符合;
如果未定期根据等级测评、安全评估的结果调整安全方案,判定结果为不符合。
备注
三、产品采购和使用
1.安全产品采购和使用符合国家有关规定
测评项编号
ADT-JSGL-03-A
对应要求
应确保安全产品采购和使用符合国家有关规定
测评项名称
安全产品采购和使用符合国家有关规定
测评分项1:
检查安全产品采购和使用是否符合国家有关安全产品的规定。
操作步骤
访谈管理员,询问系统采购和使用的安全产品是否符合国家有关规定,得到国家相关部门的认证。
适用版本
任何版本
实施风险
无
符合性判定
如果系统采购和使用的安全产品符合国家有关规定,得到国家相关部门的认证,判定结果为符合;
如果系统采购和使用的安全产品不符合国家有关规定,或未得到国家相关部门的认证,判定结果为不符合。
备注
2.保密码产品采购和使用符合国家密码主管部门要求
测评项编号
ADT-JSGL-03-B
对应要求
应确保密码产品采购和使用符合国家密码主管部门的要求
测评项名称
保密码产品采购和使用符合国家密码主管部门要求
测评分项1:
检查密码产品采购和使用是否符合国家密码主管部门的规定。
操作步骤
访谈管理员,询问系统采购和使用的密码产品是否符合国家密码主管部门的规定,得到国家相关部门的认证。
适用版本
任何版本
实施风险
无
符合性判定
如果系统采购和使用的密码产品符合国家有关规定,得到国家相关部门的认证,判定结果为符合;
如果系统采购和使用的密码产品不符合国家有关规定,或未得到国家相关部门的认证,判定结果为不符合。
备注
3.专门部门负责产品采购
测评项编号
ADT-JSGL-03-C
对应要求
应指定或授权专门的部门负责产品的采购
测评项名称
专门部门负责产品采购
测评分项1:
检查产品的采购。
操作步骤
访谈管理员,询问是否有专门的部门负责产品的采购。
适用版本
任何版本
实施风险
无
符合性判定
如果有专门的部门负责产品的采购,判定结果为符合;
如果无专门的部门负责产品的采购,判定结果为不符合。
备注
4.预先产品选型测试
测评项编号
ADT-JSGL-03-D
对应要求
应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单
测评项名称
预先产品选型测试
测评分项1:
检查采购产品的选型。
操作步骤
访谈管理员,询问制定采购过程的控制策略,采购前对产品做选型测试,对重要部位的产品是否委托专业的测评单位进行专项测试,确定产品的候选范围,通过招投标方式确定采购产品,是否定期审定和更新候选产品名单。
适用版本
任何版本
实施风险
无
符合性判定
如果有采购控制策略,采购前对产品做选型测试,确定产品的候选范围,通过招投标方式确定要采购的产品,定期审定和更新候选产品名单,判定结果为符合;
如果无采购控制策略,采购前未对产品做选型测试,确定产品的候选范围,或未通过招投标方式确定要采购的产品,定期审定和更新候选产品名单,判定结果为不符合。
备注
四、自行软件开发
1.开发环境与实际运行环境物理分开,测试数据和测试结果受到控制
测评项编号
ADT-JSGL-04-A
对应要求
应确保开发环境与实际运行环境物理分开,测试数据和测试结果受到控制
测评项名称
开发环境与实际运行环境物理分开,测试数据和测试结果受到控制
测评分项1:
检查开发环境。
操作步骤
需访谈管理员是否自主开发软件,查看开发环境,开发环境与实际运行环境物理上是否分开;查看软件开发是否有控制措施,对测试数据和测试结果进行管理。
适用版本
任何版本
实施风险
无
符合性判定
如果开发环境与实际运行环境物理上分开,制定软件开发的控制措施,能对测试数据和测试结果进行有效控制,判定结果为符合;
如果开发环境与实际运行环境物理上未分开,未制定软件开发的控制措施,对测试数据和测试结果进行有效控制,判定结果为不符合。
备注
2.软件开发管理制度
测评项编号
ADT-JSGL-04-B
对应要求
应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则
测评项名称
软件开发管理制度
测评分项1:
检查软件开发管理制度。
操作步骤
访谈管理员,检查软件开发管理制度,查看文件是否明确软件设计、开发、测试、验收过程的控制方法和人员行为准则,是否明确哪些开发活动应经过授权、审批,是否明确软件开发相关文档的管理等。
适用版本
任何版本
实施风险
无
符合性判定
如果有软件开发管理制度,对软件的开发过程和人员进行管理,判定结果为符合;
如果无软件开发管理制度,对软件的开发过程和人员进行管理,判定结果为不符合。
备注
3.代码编写安全规范
测评项编号
ADT-JSGL-04-C
对应要求
应制定代码编写安全规范,要求开发人员参照规范编写代码
测评项名称
代码编写安全规范
测评分项1:
检查代码编写规范。
操作步骤
访谈管理员,检查是否有代码编写安全规范,开发人员参照规范编写代码。
适用版本
任何版本
实施风险
无
符合性判定
如果有代码编写安全规范,开发软件参照规范编写,判定结果为符合;
如果无代码编写安全规范,开发软件未参照规范编写,判定结果为不符合。
备注
4.软件设计相关文档和使用指南
测评项编号
ADT-JSGL-04-D
对应要求
应确保提供软件设计的相关文档和使用指南,并由专人负责保管
测评项名称
软件设计相关文档和使用指南
测评分项1:
检查软件设计相关文档的保管。
操作步骤
访谈管理员,询问软件设计相关文档是否有专人负责保管。
适用版本
任何版本
实施风险
无
符合性判定
如果有专人负责保管软件设计相关文档,判定结果为符合;
如果无专人负责保管软件设计相关文档,判定结果为不符合。
备注
5.程序资源库修改、更新、发布进行授权和批准
测评项编号
ADT-JSGL-04-E
对应要求
应确保对程序资源库的修改、更新、发布进行授权和批准
测评项名称
程序资源库修改、更新、发布进行授权和批准
测评分项1:
检查程序资源库的修改、更新、发布进行授权和批准。
操作步骤
访谈管理员,查看是否制定软件开发管理制度,对程序资源库的修改、更新、发布进行授权和批准等方面进行要求。
适用版本
任何版本
实施风险
无
符合性判定
如果有软件开发管理制度,对程序资源库的修改、更新、发布进行授权和批准等方面进行要求,判定结果为符合;
如果无软件开发管理制度,对程序资源库的修改、更新、发布进行授权和批准等方面进行要求,判定结果为不符合。
备注
五、外包软件开发
1.软件质量测试
测评项编号
ADT-JSGL-05-A
对应要求
应根据开发要求测试软件质量
测评项名称
软件质量测试
测评分项1:
检查测试软件质量的要求。
操作步骤
访谈管理员,询问是否根据要求测试软件的质量。
适用版本
任何版本
实施风险
无
符合性判定
如果软件交付使用前,根据相关的要求测试软件的质量,判定结果为符合;
如果软件交付使用前,未根据相关的要求测试软件的质量,判定结果为不符合。
备注
2.检测软件包恶意代码
测评项编号
ADT-JSGL-05-B
对应要求
应在软件安装之前检测软件包中可能存在的恶意代码
测评项名称
检测软件包恶意代码
测评分项1:
恶意代码检查。
操作步骤
访谈管理员,在软件安装使用前是否有恶意代码检测的规定,是否进行了恶意代码测试。
适用版本
任何版本
实施风险
无
符合性判定
如果在软件安装使用前有进行恶意代码检测的规定,并进行了恶意代码测试,判定结果为符合;
如果在软件安装使用前无进行恶意代码检测的规定,未进行了恶意代码测试,判定结果为不符合。
备注
3.软件设计相关文档和使用指南
测评项编号
ADT-JSGL-05-C
对应要求
应要求开发单位提供软件设计的相关文档和使用指南
测评项名称
软件设计相关文档和使用指南
测评分项1:
检查设计文档使用指南
操作步骤
访谈管理员,是否要求开发单位提供软件设计的相关文档、使用指南,检查这些文档。
适用版本
任何版本
实施风险
无
符合性判定
如果有软件设计的相关文档和使用指南,判定结果为符合;
如果无软件设计的相关文档和使用指南,判定结果为不符合。
备注
4.软件源代码检查
测评项编号
ADT-JSGL-05-D
对应要求
应要求开发单位提供软件源代码,并审查软件中可能存在的后门
测评项名称
软件源代码检查
测评分项1:
软件源代码检查。
操作步骤
访谈管理员,是否要求开发单位提供软件源代码,是否审查软件中可能存在的后门。
适用版本
任何版本
实施风险
无
符合性判定
如果有开发单位提供软件源代码,在软件安装前对软件中可能存在的后门进行审查,判定结果为符合;
如果无开发单位提供软件源代码,在软件安装前对软件中可能存在的后门未进行审查,判定结果为不符合。
备注
六、工程实施
1.工程实施管理
测评项编号
ADT-JSGL-06-A
对应要求
应指定或授权专门的部门或人员负责工程实施过程的管理
测评项名称
工程实施管理
测评分项1:
检查工程实施管理。
操作步骤
访谈管理员,询问是否指定或授权专门的部门或人员负责工程实施过程的管理。
适用版本
任何版本
实施风险
无
符合性判定
如果应用专门的部门或人员负责工程实施和管理,判定结果为符合;
如果未应用专门的部门或人员负责工程实施和管理,判定结果为不符合。
备注
2.工程实施方案
测评项编号
ADT-JSGL-06-B
对应要求
应制定详细的工程实施方案控制实施过程,并要求工程实施单位能正式地执行安全工程过程
测评项名称
工程实施方案
测评分项1:
检查工程实施方案。
操作步骤
访谈管理员,询问是否制定详细的工程实施方案,控制工程实施过程,是否要求工程实施单位能正式地执行安全工程过程,查看工程实施方案。
适用版本
任何版本
实施风险
无
符合性判定
如果有工程实施方案,工程实施单位正式地执行安全工程过程,判定结果为符合;
如果无工程实施方案,工程实施单位未正式地执行安全工程过程,判定结果为不符合。
备注
3.工程实施管理制度
测评项编号
ADT-JSGL-06-C
对应要求
应制定工程实施方面的管理制度明确说明实施过程的控制方法和人员行为准则
测评项名称
工程实施管理制度
测评分项1:
检查工程实施管理制度。
操作步骤
访谈管理员,询问是否制定了工程实施方面的管理制度,对工程实施的进度、质量、过程等方面进行规范,是否将控制方法和工程人员行为规范制度化,否以书面形式(如工程安全建设协议)约束工程实施方的工程实施行为。
适用版本
任何版本
实施风险
无
符合性判定
如果有工程实施方面的管理制度,工程实施过程、控制方法、人员行为进行规范,判定结果为符合;
如果无工程实施方面的管理制度,工程实施过程、控制方法、人员行为进行规范,判定结果为不符合。
备注
七、测试验收
1.第三方安全性测试
测评项编号
ADT-JSGL-07-A
对应要求
应委托工程的第三方测试单位对系统进行安全性测试,并出具安全性测试报告
测评项名称
第三方安全性测试
测评分项1:
检查系统安全性测试验收。
操作步骤
访谈管理员,询问在信息系统正式运行前,是否委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试,并出具安全性测试报告。
适用版本
任何版本
实施风险
无
符合性判定
如果在信息系统正式运行前,委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试,有安全性测试报告,判定结果为符合;
如果在信息系统正式运行前,未委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试,无安全性测试报告,判定结果为不符合。
备注
2.安全性测试验收报告
测评项编号
ADT-JSGL-07-B
对应要求
在测试验收前应根据设计方案或合同要求等制定测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告
测评项名称
安全性测试验收报告
测评分项1:
检查系统安全性测试验收。
操作步骤
访谈管理员,询问在信息系统正式运行前,是否根据设计方案或合同要求制订测试验收方案,对信息系统进行测试,并详细记录测试结构,查看形成测试验收报告。
适用版本
任何版本
实施风险
无
符合性判定
如果在信息系统正式运行前,制订测试验收方案,对信息系统进行测试,有测试验收报告,判定结果为符合;
如果在信息系统正式运行前,未制订测试验收方案,对信息系统进行测试,或无测试验收报告,判定结果为不符合。
备注
3.书面规定测试验收的控制方法和人员行为准则
测评项编号
ADT-JSGL-07-C
对应要求
应对系统测试验收的控制方法和人员行为准则进行书面规定
测评项名称
书面规定测试验收的控制方法和人员行为准则
测评分项1:
检查测试验收的控制方法和人员控制。
操作步骤
访谈管理员,询问是否有测试管理制度,对系统测试验收的控制方法和人员行为准则进行书面规定。
适用版本
任何版本
实施风险
无
符合性判定
如果有测试管理制度,对系统测试验收的控制方法和人员行为准则进行书面规定,判定结果为符合;
如果无测试管理制度,未对系统测试验收的控制方法和人员行为准则进行书面规定,判定结果为不符合。
备注
4.系统测试验收授权及完成
测评项编号
ADT-JSGL-07-D
对应要求
应指定或授权专门的部门负责系统测试验收的管理,并按照管理规定的要求完成系统测试的验收工作
测评项名称
系统测试验收授权及完成
测评分项1:
检查测试验收管理。
操作步骤
访谈管理员,询问是否指定或授权专门的部门负责系统测试验收的管理,并按照管理规定的要求完成系统测试的验收工作。
适用版本
任何版本
实施风险
无
符合性判定
如果有专门的部门负责系统测试验收工作,判定结果为符合;
如果无专门的部门负责系统测试验收工作,判定结果为不符合。
备注
5.测试验收报告审定
测评项编号
ADT-JSGL-07-E
对应要求
应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认
测评项名称
测试验收报告审定
测评分项1:
检查测试验收报告审定。
操作步骤
访谈管理员,询问是否组织相关部门和相关人员对系统测试验收报告进行审定,查看测试报告是否提出存在问题及改进意见等。
适用版本
任何版本
实施风险
无
符合性判定
如果组织了相关部门和相关人员对系统测试验收报告进行审定,判定结果为符合;
如果未组织相关部门和相关人员对系统测试验收报告进行审定,判定结果为不符合。
备注
八、系统交付
1.系统交付清单
测评项编号
ADT-JSGL-08-A
对应要求
应制定详细的系统缴费清单,并根据交付清单对所交接的设备、软件和文档等进行清点
测评项名称
系统交付清单
测评分项1:
检查交付清单。
操作步骤
访谈管理员,询问是否有交接手续,是否制订系统交付清单,交付清单是否满足合同的有关要求,是否根据交付清单对所交
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 51SGISLOPSA9210 系统建设管理等级保护测评作业指导书三级 51 SGISLOPSA9210 系统 建设 管理 等级 保护 测评 作业 指导书 三级