非金融机构支付服务系统机房设施现场评估规范.docx
- 文档编号:9046700
- 上传时间:2023-02-02
- 格式:DOCX
- 页数:20
- 大小:20.77KB
非金融机构支付服务系统机房设施现场评估规范.docx
《非金融机构支付服务系统机房设施现场评估规范.docx》由会员分享,可在线阅读,更多相关《非金融机构支付服务系统机房设施现场评估规范.docx(20页珍藏版)》请在冰豆网上搜索。
非金融机构支付服务系统机房设施现场评估规范
非金融机构支付服务系统机房设施现场评估规范
一、检查依据
1、GB/T50174-2008电子信息系统机房设计规范
2、GB/T20988-2007信息安全技术信息系统灾难恢复规范
4、GB/T20271-2006信息安全技术信息系统通用安全技术要求
5、GB/T18336-2008信息技术安全技术信息技术安全性评估准则
6、GB/T8567-2006计算机软件文档编制规范
7、GB/T14394-2008计算机软件可靠性和可维护性管理
8、GB17859-1999计算机信息系统安全保护等级划分准则
9、《非金融机构支付服务管理办法》(中国人民银行令〔2010〕第2号)
二、检查内容
1.机房物理环境
检查机房物理环境,对机房的内外部物理建设提出评价,主要从以下几个方面进行检查:
编号
检查项
检查内容
检查方式
检查结果
1
机房等级
国家机房等级标准
文档审核
机房等级__________
2
物理位置
周围易燃、易爆等隐患
现场查看
周围有无易燃、易爆等隐患:
□有□无
周围危险建筑:
□有□无
自身危险建筑:
□是□否
主、备机房距离__________
周围危险建筑
现场查看
自身危险建筑
现场查看
主、备机房距离
现场查看
6
门禁系统
个人身份识别措施
现场查看
个人身份识别措施:
□有□无
权限划分:
□有□无,如何划分______________
门禁记录:
□有□无
门禁信息数据管理权限分配:
□有□无,如何分配________________
门禁系统应急措施:
□有□无
门禁监控;□有□无
权限划分
文档审核、现场查看
门禁记录
文档审核
门禁信息数据管理权限分配
文档审核
门禁系统应急措施
文档审核
门禁监控
现场查看
12
消防措施和设备
灭火系统类型
现场查看
灭火系统类型_____________
自动预警消防系统:
□有□无
排风系统:
□有□无
消防部门联动:
□有□无
消防统一监控:
□有□无
消防救生门:
□有□无
手动消防器材数量和位置_____________
应急照明设备:
□有□无
自动预警消防系统
现场查看
排风系统
现场查看
消防部门联动
现场查看
消防统一监控
现场查看
消防救生门
现场查看
手动消防器材数量和位置
现场查看
应急照明设备
现场查看
20
供电系统
供电异常报警装置
现场查看
供电异常报警装置:
□有□无
发电机配备:
□有□无
UPS供电时间:
□有□无
UPS负荷情况___________________
供电部门协议:
□有□无
接地电阻值:
□有□无
专用插座:
□有□无
电路冗余:
□有□无
防雷设备:
□有□无
市电双回路供电:
□有□无
发电机配备
现场查看
UPS供电时间
文档审核、现场查看
UPS负荷情况
文档审核、现场查看
供电部门协议
文档审核
接地电阻值
现场查看
专用插座
现场查看
电路冗余
文档审核、现场查看
防雷设备
现场查看
市电双回路供电
现场查看
27
综合布线
走线方式
文档审核、现场查看
走线方式_____________________
线槽架空高度_________________
走线规整:
□是□否
统一标识:
□是□否
线槽架空高度
文档审核、现场查看
走线规整
文档审核、现场查看
统一标识
文档审核、现场查看
31
机房分区
机房区域划分情况
现场查看
机房区域划分情况_______________
32
空调系统
专用空调
现场查看
专用空调:
□有□无
不间断运行能力:
□有□无
异常报警:
□有□无
机房温度______________
机房湿度______________
空调冗余:
□有□无
统一监控:
□有□无
漏水报警:
□有□无
不间断运行能力
文档审核、现场查看
异常报警
文档审核、现场查看
机房温度
文档审核、现场查看
机房湿度
文档审核、现场查看
空调冗余
文档审核、现场查看
统一监控
文档审核、现场查看
漏水报警
现场查看
40
机房访问人员控制
人员进入审批
文档审核、现场查看
人员进入审批:
□有□无
身份核实:
□有□无
专人陪同:
□有□无
访问记录:
□有□无
身份核实
现场查看
专人陪同
现场查看
访问记录
文档审核、现场查看
41
机房所在地安保
进出人员身份核实
现场查看
进出人员身份核实:
□有□无
外来人员登记:
□有□无
视频监控系统:
□有□无
双人值守:
□有□无
报警措施:
□有□无
应急处理流程:
□有□无
外来人员登记
文档审核、现场查看
视频监控系统
现场查看
双人值守
现场查看
报警措施
现场查看
应急处理流程
文档审核
42
安全管理制度
机房安全管理制度
文档审核
机房安全管理制度:
□有□无
操作规程:
□有□无
落实情况_________________
操作规程
文档审核
落实情况
文档审核、现场查看
43
设备的访问控制
访问控制制度
文档审核、现场查看
访问控制制度:
□有□无
访问记录:
□有□无
访问记录
文档审核、现场查看
45
设备维护
维护制度
文档审核
维护制度:
□有□无
维护记录:
□有□无
维护记录
文档审核
46
设备报废
报废制度
文档审核
报废制度:
□有□无
报废记录:
□有□无
报废记录
文档审核
签字
被检查方
检查方
2.网络安全
对系统网络环境进行现场检查,检查网络系统传输数据的安全性以及网络系统所连接设备的安全性,评估系统网络环境是否能防止信息资产的损坏、丢失,敏感信息的泄漏,是否能够保障业务的持续运营、保护信息资产安全。
主要从以下几个方面进行检查:
编号
检查项
检查内容
检查方式
检查结果
1
结构安全
网络接入方式的安全性(专线、VPN)
文档审核、现场查看
网络接入方式的安全性(专线、VPN):
□有□无
网络冗余和备份
文档审核、现场查看
网络冗余和备份:
□有□无
网络安全路由器
文档审核、现场查看
网络安全路由器:
□有□无
网络安全防火墙
文档审核、现场查看
网络安全防火墙:
□有□无
网络拓扑结构
文档审核、现场查看
网络拓扑结构:
□有□无
IP子网划分
文档审核
IP子网划分:
□有□无
QoS保证
文档审核
QoS保证:
□有□无
8
网络访问控制
网络域安全隔离和限制
文档审核、现场查看
网络域安全隔离和限制:
□有□无
地址转换和绑定
文档审核
地址转换和绑定:
□有□无
内容过滤
文档审核
内容过滤:
□有□无
访问控制
文档审核、现场查看
访问控制:
□有□无
流量控制
文档审核
流量控制:
□有□无
会话控制
文档审核
会话控制:
□有□无
14
拨号访问控制
远程拨号访问控制和记录
文档审核
远程拨号访问控制和记录:
□有□无
15
网络安全审计
日志信息
文档审核、现场查看
日志信息:
□有□无
网络系统故障分析
文档审核
网络系统故障分析:
□有□无
网络对象操作审计
文档审核
网络对象操作审计:
□有□无
日志权限和保护
文档审核、现场查看
日志权限和保护:
□有□无
审计工具
文档审核、现场查看
审计工具:
□有□无
20
边界完整性检查
内外网非法连接阻断和定位
文档审核、现场查看
内外网非法连接阻断和定位:
□有□无
21
网络入侵防范
网络ARP欺骗攻击
文档审核
防范网络ARP欺骗攻击:
□有□无
信息窃取
文档审核
防范信息窃取:
□有□无
DOS/DDOS攻击
文档审核
防范DOS/DDOS攻击:
□有□无
安全设备配置
文档审核、现场查看
安全设备配置:
□有□无
网络入侵防范设备
文档审核、现场查看
网络入侵防范设备:
□有□无
26
恶意代码防范
防范软件安装部署
文档审核、现场查看
防范软件安装部署:
□有□无
定时在线更新
文档审核
定时在线更新:
□有□无
控制措施
文档审核
控制措施:
□有□无
定期安装必要的补丁
文档审核、现场查看
定期安装必要的补丁:
□有□无
30
网络设备防护
设备登录设置
文档审核、现场查看
设备登录设置:
□有□无
设备登录口令安全性
文档审核、现场查看
设备登录口令安全性:
□有□无
登录地址限制
文档审核、现场查看
登录地址限制:
□是□否
远程管理安全
文档审核、现场查看
远程管理安全:
□有□无
设备用户设置策略
文档审核
设备用户设置策略:
□有□无
权限分离
文档审核
权限分离:
□是□否
最小化服务
文档审核、现场查看
最小化服务:
□是□否
37
网络安全管理
网络设备运维手册
文档审核、现场查看
网络设备运维手册:
□有□无
网络配置变更管理
文档审核
网络配置变更管理:
□有□无
设备参数配置
文档审核
设备参数配置:
□有□无
网络事故管理
文档审核
网络事故管理:
□有□无
漏洞扫描
文档审核
漏洞扫描:
□是□否
网络数据传输加密
文档审核、现场查看
网络数据传输加密:
□是□否
安全产品管理
文档审核
安全产品管理:
□有□无
签字
被检查方
检查方
3.主机安全
对系统主机安全防护进行现场检查,检查主机的安全控制能力。
主要从以下几个方面进行检查:
编号
检查项
检查内容
检查方式
检查结果
1
身份鉴别
系统与应用管理员用户设置
文档审核、现场查看
系统与应用管理员用户设置:
□有□无
系统与应用管理员口令安全性
文档审核、现场查看
系统与应用管理员口令安全性:
□有□无
登录策略
文档审核、现场查看
登录策略:
□有□无
非法访问警示
现场查看
非法访问警示:
□有□无
5
自主访问控制
自主访问控制范围
文档审核、现场查看
自主访问控制范围:
□有□无
主机信任关系
文档审核看
主机信任关系:
□有□无
默认过期用户
文档审核、现场查看
默认过期用户:
□有□无
8
强制访问控制
资源访问记录
文档审核、现场查看
资源访问记录:
□有□无
重要系统文件强制访问控制范围
文档审核、现场查看
重要系统文件强制访问控制范围:
□有□无
共享目录
文档审核、现场查看
共享目录:
□有□无
远程登录控制
文档审核、现场查看
远程登录控制:
□有□无
12
安全审计
日志信息
现场查看
日志信息:
□有□无
日志保护
文档审核、现场查看
日志保护:
□有□无
系统信息分析
文档审核、现场查看
系统信息分析:
□有□无
对象操作审计
文档审核、现场查看
对象操作审计:
□有□无
日志权限
文档审核、现场查看
日志权限:
□有□无
关键数据删除制度和记录
文档审核
关键数据删除制度和记录:
□有□无
18
系统保护
系统备份
文档审核
系统备份:
□有□无
故障恢复策略
文档审核
故障恢复策略:
□有□无
安全配置
文档审核、现场查看
安全配置:
□有□无
磁盘空间安全
文档审核
磁盘空间安全:
□有□无
主机加固
文档审核
主机加固:
□有□无
安全产品管理
文档审核
安全产品管理:
□有□无
24
剩余信息保护
过期信息、文档处理
文档审核
过期信息、文档处理:
□有□无
25
入侵防范
入侵防范记录
文档审核
入侵防范记录:
□有□无
关闭服务
文档审核、现场查看
关闭服务:
□有□无
最小安装原则
文档审核、现场查看
最小安装原则:
□有□无
28
恶意代码防范
防范软件安装部署
文档审核、现场查看
防范软件安装部署:
□有□无
定时在线更新
文档审核
定时在线更新:
□有□无
控制措施
文档审核
控制措施:
□有□无
定期安装系统必要的补丁
文档审核、现场查看
定期安装系统必要的补丁:
□有□无
漏洞扫描
文档审核
漏洞扫描:
□有□无
33
资源控制
连接控制
文档审核、现场查看
连接控制:
□有□无
资源监控和预警
文档审核、现场查看
资源监控和预警:
□有□无
签字
被检查方
检查方
4.数据安全
对系统数据安全防护进行现场检查,检查数据的传输、存储及备份与恢复能力。
主要从以下几个方面进行检查:
编号
检查项
检查内容
检查方式
检查结果
1
数据存储
存储方式
现场查看
存储方式______________
存储内容______________
存储内容
现场查看
2
数据存储设备
设备类型
现场查看
设备类型______________
设备型号______________
设备供应商____________
设备安全性____________
设备型号
文档审核、现场查看
设备供应商
文档审核、现场查看
设备安全性
现场查看
3
数据备份
备份周期
文档审核
备份周期______________
备份介质______________
备份方式______________
备份内容______________
异地备份:
□有□无
备份介质
现场查看
备份方式
文档审核、现场查看
备份内容
文档审核、现场查看
异地备份
文档审核、现场查看
4
数据备份介质保存
介质保存方式
现场查看
介质保存方式__________
备份介质的安全:
□是□否
备份介质的安全
现场查看
5
数据备份恢复管理制度
恢复制度
文档审核
恢复制度:
□有□无
恢复演练:
□有□无
恢复记录:
□有□无
恢复演练
文档审核
恢复记录
文档审核
签字
被检查方
检查方
5.系统安全
对系统安全管理措施进行现场检查,检查安全管理落实情况。
主要从以下几个方面进行检查:
编号
检查项
检查内容
检查方式
检查结果
1
安全管理部门设置
专职部门
文档审核
专职部门:
□有□无______
专用岗位:
□有□无______
指导委员会:
□有□无_____
专用岗位
文档审核
指导委员会
文档审核
4
安全管理人员配备
信息安全专业人士
现场查看
信息安全专业人士:
□有□无
安全管理岗位:
□有□无
关键岗位人员:
□有□无
人员离岗/变动管理:
□有□无
安全管理岗位
现场查看
关键岗位人员
现场查看
人员离岗/变动管理
文档审核
8
设备管理
专人管理
现场查看
专人管理:
□有□无
设备登记、维护、报废制度:
□有□无
设备登记、维护、报废制度
文档审核
10
代码管理
代码访问权限控制
现场查看
代码访问权限控制:
□有□无
代码访问流程:
□有□无
安全测试:
□有□无
升级流程:
□有□无
旧版本废弃流程:
□有□无
测试验收流程:
□有□无
代码访问流程
现场查看
安全测试
现场查看
升级流程
文档审核
旧版本废弃流程
文档审核、现场查看
测试验收流程
文档审核、现场查看
16
日常操作与维护管理
漏洞扫描
文档审核、现场查看
漏洞扫描:
□有□无
版本更新:
□有□无
补丁管理:
□有□无
安全管理制度:
□有□无
安全培训:
□有□无
权限管理:
□有□无
审核日志:
□有□无
版本更新
文档审核、现场查看
补丁管理
文档审核、现场查看
安全管理制度
文档审核
安全培训
文档审核
权限管理
文档审核、现场查看
审核日志
文档审核、现场查看
23
审计
审计制度
文档审核、现场查看
审计制度:
□有□无
内部审计:
□有□无
外部审计:
□有□无
内部审计
文档审核、现场查看
外部审计
文档审核、现场查看
26
变更、备份与故障恢复
变更流程
文档审核、现场查看
变更流程:
□有□无
备份流程:
□有□无
故障恢复流程:
□有□无
故障恢复演练:
□有□无
备份流程
文档审核、现场查看
故障恢复流程
文档审核、现场查看
故障恢复演练
文档审核
30
业务持续性管理
业务持续性计划
文档审核
业务持续性计划:
□有□无
单点故障:
□有□无
系统冗余:
□有□无
异地灾备:
□有□无
单点故障
文档审核、现场查看
系统冗余
文档审核、现场查看
异地灾备
文档审核、现场查看
34
密钥安全管理
密钥生成
文档审核、现场查看
密钥生成是否安全:
□是□否
密钥使用是否安全:
□是□否
密钥存储是否安全:
□是□否
密钥更新:
□有□无
更新周期____________
密钥销毁是否安全:
□是□否
密钥使用
文档审核、现场查看
密钥存储
文档审核、现场查看
密钥更新
文档审核、现场查看
密钥销毁
文档审核、现场查看
37
个人标识码(PIN)管理
加密传输
文档审核、现场查看
加密传输:
□有□无
密码键盘安全:
□是□否
加密存储:
□有□无
硬件加密机:
□有□无
国产加密机:
□是□否
密码键盘安全
文档审核、现场查看
加密存储
文档审核、现场查看
硬件加密机(国产)
文档审核、现场查看
41
事件、事故报告机制
报告制度
文档审核
报告制度:
□有□无
报告流程:
□有□无
报告流程
文档审核
43
服务
关闭不必要的服务
现场查看
关闭不必要服务:
□是□否
44
端口
停用不使用的端口
现场查看
关闭不使用端口:
□是□否
签字
被检查方
检查方
6.应急演练
对系统应急演练制度进行现场检查,检查应急演练措施完备性及执行情况。
主要从以下几个方面进行检查:
编号
检查项
检查内容
检查方式
检查结果
1
应急演练对象
火灾、渗水、供电、空调、网络、主机、数据存储、发卡系统
文档审核、现场查看
□火灾、□渗水、□供电、□空调、□网络、□主机、□数据存储、□发卡系统
2
应急演练制度
应急演练方案
文档审核
应急演练方案:
□有□无
应急演练组织:
□有□无
应急演练改进:
□有□无
应急演练组织
文档审核
应急演练改进
文档审核
5
应急演练实施
风险评估
文档审核
风险评估:
□有□无
应急演练记录:
□有□无
应急演练报告:
□有□无
问题整改报告:
□有□无
应急演练记录
文档审核
应急演练报告
文档审核
问题整改报告
文档审核
签字
被检查方
检查方
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 金融机构 支付 服务 系统 机房 设施 现场 评估 规范