2022年等级保护三级管理测评.doc

三级管理规定(S3A3G3) 级别保护三级管理类测评控制点(S3A3G3) 类别 序号 测 评 内 容 测评措施 成果记录 符合状况 Y N O 安全管理机构 岗位设立 1. 应设立信息安全管理工作职能部门，设立安全主管人、安全管理各个方面负责人岗位，定义各负责人职责。 访谈，检查。安全主管，安全管理某方面负责人，部门、岗位职责文献。 2. 应设立系统管理人员、网络管理人员、安全管理人员岗位，定义各个工作岗位职 责。 3. 应成立指引和管理信息安全工作委员会或领导小组，其最高领导由单位主管领导委任或授权。 4. 应制定文献明确安全管理机构各个部门和岗位职责、分工和技能规定。 人员配备 5. 应配备一定数量系统管理员、网络管理员、安全管理员等。 访谈，检查。安全主管，人员配备规定有关文档，管理人员名单。 6. 应配备专职安全管理员，不可兼任。 7. 核心事务岗位应配备多人共同管理。 授权和审批 8. 应根据各个部门和岗位职责明确授权审批事项、审批部门和批准人等。 访谈，检查。安全主管，核心活动批准人，审批事项列表，审批文档。 9. 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度。 10. 应定期审查审批事项，及时更新需授权和审批项目、审批部门和审批人等信息。 11. 应记录审批过程并保存审批文档。 沟通和合伙 12. 应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部合伙与沟通，定期或不定期召开协调会议，共同协作解决信息安全问题。 访谈，检查。安全主管，安全管理人员，会议文献，会议记录，外联单位阐明文档。 ` 13. 应加强与兄弟单位、公安机关、电信公司合伙与沟通。 14. 应加强与供应商、业界专家、专业安全公司、安全组织合伙与沟通。 15. 应建立外联单位联系列表，波及外联单位名称、合伙内容、联系人和联系方式等信息。 16. 应聘任信息安全专家作为常年安全顾问，指引信息安全建设，参与安全规划和安全评审等。 审核和检查 17. 安全管理员应负责定期进行安全检查，检查内容波及系统寻常运营、系统漏洞和数据备份等状况。 访谈，检查。安全主管，安全员，安全检查记录。 18. 应由内部人员或上级单位定期进行全面安全检查，检查内容波及既有安全技术措施有效性、安全配备与安全方略一致性、安全管理制度执行状况等。 19. 应制定安全检查表格实行安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查成果进行通报。 20. 应制定安全审核和安全检查制度规范安全审核和安全检查工作，定期按照程序进行安全审核和安全检查活动。 安全管理制度 管理制度 21. 应制定信息安全工作总体方针和安全方略，阐明机构安全工作总体目旳、范畴、原则和安全框架等。 访谈，检查。安全主管，总体方针、政策性文献和安全方略文献，安全管理制度清单，操作规程。 22. 应对安全管理活动中各类管理内容建立安全管理制度。 23. 应对规定管理人员或操作人员执行寻常管理操作建立操作规程。 24. 应形成由安全方略、管理制度、操作规程等构成全面信息安全管理制度体系。 制定和发布 25. 应指定或授权专门部门或人员负责安全管理制度制定。 访谈，检查。安全主管，制度制定和发布规定管理文档，评审记录，安全管理制度。 26. 安全管理制度应具有统一格式，并进行版本控制。 27. 应组织有关人员对制定安全管理制度进行论证和审定。 28. 安全管理制度应通过正式、有效方式发布。 29. 安全管理制度应注明发布范畴，并对收发文进行登记。 评审和修订 30. 信息安全领导小组应负责定期组织有关部门和有关人员对安全管理制度体系合理性和合用性进行审定。 访谈，检查。安全主管，安全管理制度列表，评审记录。 31. 应定期或不定期对安全管理制度进行检查和审定，对存在局限性或需要改善安全管理制度进行修订。 人员安全管理 人员录取 32. 应指定或授权专门部门或人员负责人员录取。 访谈，检查。人事负责人，人事工作人员，人员录取规定管理文档，人员审查文档或记录，考核文档 或记录，保密合同。 33. 应严格规范人员录取过程，对被录取人身份、背景、专业资格和资质等进行审查，对其所具有技术技能进行考核。 34. 应签订保密合同。 35. 应从内部人员中选拔从事核心岗位人员，并签订岗位安全合同。 人员离岗 36. 应严格规范人员离岗过程，及时终结离岗员工所有访问权限。 访谈，检查。安全主管，人事工作人员，安全解决记录，保密承诺文档。 37. 应取回多种身份证件、钥匙、徽章等以及机构提供软硬件设备。 38. 应办理严风格离手续，核心岗位人员离岗须承诺调离后保密义务后方可离开。 人员考核 39. 应定期对各个岗位人员进行安全技能及安全认知考核。 访谈。安全主管，人事工作人员。 40. 应对核心岗位人员进行全面、严格安全审查和技能考核。 41. 应对考核成果进行记录并保存。 安全意识教导和培训 42. 应对各类人员进行安全意识教导、岗位技能培训和有关安全技术培训。 访谈，检查。安全主管，安全员，系统管理员，网络管理员，培训筹划，培训记录. 43. 应对安全责任和惩戒措施进行书面规定并告知有关人员，对违背违背安全方略和规定人员进行惩戒。 44. 应对定期安全教导和培训进行书面规定，针对不同岗位制定不同培训筹划，对信息安全基本知识、岗位操作规程等进行培训。 45. 应对安全教导和培训状况和成果进行记录并归档保存。 外部人员访问管理 46. 应保证在外部人员访问受控区域前先提出书面申请，批准后由专人全程陪伴或监督，并登记备案。 访谈，检查。安全主管，安全管理人员，安全责任合同书或保密合同，第三方人员访问管理文档，登 记记录。 47. 对外部人员容许访问区域、系统、设备、信息等内容应进行书面规定，并按照规定执行。 系统运维管理 环境管理 48. 应指定专门部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理。 访谈，检查。物理安全负责人，机房安全管理制度，机房进出登记表。 49. 应指定部门负责机房安全，并配备机房安全管理人员，对机房出入、服务器开机或关机等工作进行管理。 50. 应建立机房安全管理制度，对有关机房物理访问，物品带进、带出机房和机房环境安全等方面管理作出规定。 51. 应加强对办公环境保密性管理，规范办公环境人员行为，波及工作人员调离办公室应及时交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应保证终端计算机退出登录状态和桌面上没有涉及敏感信息纸档文献等。 资产管理 52. 应编制并保存与信息系统有关资产清单，波及资产责任部门、重要限度和所处位置等内容。 访谈，检查。安全主管，资产管理员，资产清单，资产安全管理制度，设备。 53. 应建立资产安全管理制度，规定信息系统资产管理负责人员或责任部门，并规范资产管理和使用行为。 54. 应根据资产重要限度对资产进行标记管理，根据资产价值选用相应管理措施。 55. 应对信息分类与标记措施作出规定，并对信息使用、传播和存储等进行规范化管理。 介质管理 56. 应建立介质安全管理制度，对介质存储环境、使用、维护和销毁等方面作出规定。 访谈，检查。资产管理员，介质管理记录，各类介质。 57. 应保证介质存储在安全环境中，对各类介质进行控制和保护，并实行存储环境专人管理。 58. 应对介质在物理传播过程中人员选用、打包、交付等状况进行控制，对介质归档和查询等进行登记记录，并根据存档介质目录清单定期盘点。 59. 应对存储介质使用过程、送出维修以及销毁等进行严格管理，对带出工作环境存储介质进行内容加密和监控管理，对送出维修或销毁介质应一方面清除介质中敏感数据，对保密性较高存储介质未经批准不得自行销毁。 60. 应根据数据备份需要对某些介质实行异地存储，存储地环境规定和管理措施应与本地相似。 61. 应对重要介质中数据和软件采用加密存储，并根据所承载数据和软件重要限度对介质进行分类和标记管理。 设备管理 62. 应对信息系统有关多种设备（波及备份和冗余设备）、线路等指定专门部门或人员定期进行维护管理 访谈，检查。资产管理员，系统管理员，审计员，服务器操作规程，设备审批、发放管理文档，设备 使用管理文档，服务器操作日记。 63. 应建立基于申报、审批和专人负责设备安全管理制度，对信息系统多种软硬件设备选型、采购、发放和领用等过程进行规范化管理。 64. 应建立配套设施、软硬件维护方面管理制度，对其维护进行有效管理，波及明确维护人员责任、涉外维修和服务审批、维修过程监督控制等。 65. 应对终端计算机、工作站、便携机、系统和网络等设备操作和使用进行规范化管理，按操作规程实现重要设备（波及备份和冗余设备）启动/停止、加电/断电等操作。 66. 应保证信息解决设备必要通过审批才干带离机房或办公地点。 监控管理和安全管理中心(G3) 67. 应对通信线路、主机、网络设备和应用软件运营状况、网络流量、顾客行为等进行监测和报警，形成记录并妥善保存。 访谈，检查。 系统运维负责人，监测记录文档，监测分析报告，安全管理中心。 68. 应组织有关人员定期对监测和报警记录进行分析、评审，发现可疑行为，形成分析报告，并采用必要应对措施。 69. 应建立安全管理中心，对设备状态、歹意代码、补丁升级、安全审计等安全有关事项进行集中管理。 网络安全管理 70. 应指定专人对网络进行管理，负责运营日记、网络监控记录寻常维护和报警信息分析和解决工作。 访谈，检查。 安全主管，安全管理员，网络管理员，网络漏洞扫描报告，网络安全管理制度，系统外联授权书，网络设备备份配备文献，网络审计日记。 71. 应建立网络安全管理制度，对网络安全配备、日记保存时间、安全方略、升级与打补丁、口令更新周期等方面作出规定。 72. 应根据厂家提供软件升级版本对网络设备进行更新，并在更新前对既有重要文献进行备份。 73. 应定期对网络系统进行漏洞扫描，对发现网络系统安全漏洞进行及时修补。 74. 应实现设备最小服务配备，并对配备文献进行定期离线备份。 75. 应保证所有与外部系统连接均得到授权和批准。 76. 应根据安全方略容许或者回绝便携式和移动式设备网络接入。 77. 应定期检查违背规定拨号上网或其她违背网络安全方略行为。 系统安全管理 78. 应根据业务需求和系统安全分析拟定系统访问控制方略。 访谈，检查。 安全管理员，系统管理员，系统操作手册，系统安全管理制度，具体操作日记，系统审计分析记录，系统漏洞扫描报告。 79. 应定期进行漏洞扫描，对发现系统安全漏洞及时进行修补。 80. 应安装系统最新补丁程序，在安装系统补丁前，一方面在测试环境中测试通过，并对重要文献进行备份后，方可实行系统补丁程序安装。 81. 应建立系统安全管理制度，对系统安全方略、安全配备、日记管理和寻常操作流程等方面作出具体规定。 82. 应指定专人对系统进行管理，划分系统管理员角色，明确各个角色权限、责任和风险，权限设定应当遵循最小授权原则。 83. 应根据操作手册对系统进行维护，具体记录操作日记，波及重要寻常操作、运营维护记录、参数设立和修改等内容，严禁进行未经授权操作。 84. 应定期对运营日记和审计数据进行分析，以便及时发现异常行为。 歹意代码防备管理 85. 应提高所有顾客防病毒意识，及时告知防病毒软件版本，在读取移动存储设备上数据以及网络上接受文献或邮件之前，先进行病毒检查，对外来计算机或存储设备接入网络系统之前也应进行病毒检查。 访谈，检查。 安全管理员，歹意代码防备管理文档，歹意代码检测记录，歹意代码升级记录，歹意代码分析报告。 86. 应指定专人对网络和主机进行歹意代码检测并保存检测记录。 87. 应对防歹意代码软件授权使用、歹意代码库升级、定期报告等作出明确规定。 88. 应定期检查信息系统内多种产品歹意代码库升级状况并进行记录，对主机防病毒产品、防病毒网关和邮件防病毒网关上截获危险病毒或歹意代码进行及时分析解决，并形成书面报表和总结报告。 密码管理 89. 应建立密码使用管理制度，使用符合国家密码管理规定密码技术和产品。 访谈，检查。 安全管理员，密码管理制度。 变更管理 90. 应确认系统中要发生变更，并制定变更方案。 访谈，检查。 系统运维负责人，系统变更申请书，变更方案，变更管理制度，变更申报和审批程序，变更失败恢复程序文档，变更方案评审记录，变更过程记录文档。 91. 应建立变更管理制度，系统发生变更前，向主管领导申请，变更和变更方案通过评审、审批后方可实行变更，并在实行后将变更状况向有关人员告示。 92. 应建立变更控制申报和审批文献化程序，对变更影响进行分析并文档化，记录变更实行过程，并妥善保存所有文档和记录。 93. 应建立中断变更并从失败变更中恢复文献化程序，明确过程控制措施和人员职责，必要时对恢复过程进行演习。 备份与恢复管理 94. 应辨认需要定期备份重要业务信息、系统数据及软件系统等。 访谈，检查。 系统运维负责人，系统管理员，数据库管理员，网络管理员，备份和恢复管理制度文档，备份和恢复方略文档，备份和恢复程序文档，备份过程记录文档，检查劫难恢复筹划文档 95. 应建立备份与恢复管理有关安全管理制度，对备份信息备份方式、备份频度、存储介质和保存期等进行规范。 96. 应根据数据重要性和数据对系统运营影响，制定数据备份方略和恢复方略，备份方略须指明备份数据放置场合、文献命名规则、介质替代频率和将数据离站运送措施。 97. 应建立控制数据备份和恢复过程程序，对备份过程进行记录，所有文献和记录应妥善保存。 98. 应定期执行恢复程序，检查和测试备份介质有效性，保证可以在恢复程序规定期间内完毕备份恢复。 安全事件处置 99. 应报告所发现安全弱点和可疑事件，但任何状况下顾客均不应尝实验证弱点。 访谈，检查。 系统运维负责人，工作人员，安全事件报告和处置管理制度，安全事件定级文档，安全事件记录分析文档，安全事件报告和解决程序文档。 100. 应制定安全事件报告和处置管理制度，明确安全事件类型，规定安全事件现场解决、事件报告和后期恢复管理职责。 101. 应根据国家有关管理部门对计算机安全事件级别划分措施和安全事件对本系统产生影响，对本系记录算机安全事件进行级别划分。 102. 应制定安全事件报告和响应解决程序，拟定事件报告流程，响应和处置范畴、限度，以及解决措施。 103. 应在安全事件报告和响应解决过程中，分析和鉴定事件产生因素，收集证据，记录解决过程，总结经验教训，制定避免再次发生补救措施，过程形成所有文献和记录均应妥善保存。 104. 对导致系统中断和导致信息泄密安全事件应采用不同解决程序和报告程。 应急预案管理 105. 应在统一应急预案框架下制定不同事件应急预案，应急预案框架应波及启动应急预案条件、应急解决流程、系统恢复流程、事后教导和培训等内容。 访谈，检查。 系统运维负责人，应急响应预案文档，应急预案培训记录，应急预案演习记录，应急预案审查记录。 106. 应从人力、设备、技术和财务等方面保证应急预案执行有足够资源保障。 107. 应对系统有关人员进行应急预案培训，应急预案培训应至少每年举办一次。 108. 应定期相应急预案进行演习，根据不同应急恢复内容，拟定演习周期。 109. 应规定应急预案需要定期审查和根据实际状况更新内容，并按照执行。 系统建设管理 系统定级 110. 应明确信息系统边界和安全保护级别。 访谈，检查。 111. 应以书面形式阐明拟定信息系统为某个安全保护级别措施和理由。 112. 应组织有关部门和有关安全技术专家对信息系统定级成果合理性和对旳性进行论证和审定。 113. 应保证信息系统定级成果通过有关部门批准。 安全方案设计 114. 应根据系统安全保护级别选用基本安全措施，并根据风险分析成果补充和调节安全措施。 访谈，检查。 115. 应指定和授权专门部门对信息系统安全建设进行总体规划，制定近期和远期安全建设工作筹划。 116. 应根据信息系统级别划分状况，统一考虑安全保障体系总体安全方略、安全技术框架、安全管理方略、总体建设规划和具体设计方案，并形成配套文献。 117. 应组织有关部门和有关安全技术专家对总体安全方略、安全技术框架、安全管理方略、总体建设规划、具体设计方案等有关配套文献合理性和对旳性进行论证和审定，并且通过批准后，才干正式实行。 118. 应根据级别测评、安全评估成果定期调节和修订总体安全方略、安全技术框架、安全管理方略、总体建设规划、具体设计方案等有关配套文献。 产品采购和使用 119. 应保证安全产品采购和使用符合国家有关规定。 访谈，检查。 120. 应保证密码产品采购和使用符合国家密码主管部门规定。 121. 应指定或授权专门部门负责产品采购。 122. 应预先对产品进行选型测试，拟定产品候选范畴，并定期审定和更新候选产品名单。 自行软件开发 123. 应保证开发环境与实际运营环境物理分开，开发人员和测试人员分离，测试数据和测试成果受到控制。 访谈，检查。 124. 应制定软件开发管理制度，明确阐明开发过程控制措施和人员行为准则。 125. 应制定代码编写安全规范，规定开发人员参照规范编写代码。 126. 应保证提供软件设计有关文档和使用指南，并由专人负责保管。 127. 应保证对程序资源库修改、更新、发布进行授权和批准。 外包软件开发 128. 应根据开发需求检测软件质量。 访谈，检查。 129. 应根据开发需求检测软件质量。 130. 应规定开发单位提供软件设计有关文档和使用指南 131. 应规定开发单位提供软件源代码，并审查软件中也许存在后门。 工程实行 132. 应指定或授权专门部门或人员负责工程实行过程管理。 访谈，检查。 133. 应制定具体工程实行方案控制实行过程，并规定工程实行单位能正式地执行安全工程过程。 134. 应制定工程实行方面管理制度，明确阐明实行过程控制措施和人员行为准则。 测实验收 135. 应委托公正第三方测试单位对系统进行安全性测试，并出具安全性测试报告。 访谈，检查。 136. 在测实验收前应根据设计方案或合同规定等制定测实验收方案，在测实验收过程中应具体记录测实验收成果，并形成测实验收报告。 137. 应对系统测实验收控制措施和人员行为准则进行书面规定。 138. 应指定或授权专门部门负责系统测实验收管理，并按照管理规定规定完毕系统测实验收工作。 139. 应组织有关部门和有关人员对系统测实验收报告进行审定，并签字确认。 系统交付 140. 应制定具体系统交付清单，并根据交付清单对所交接设备、软件和文档等进行清点。 访谈，检查。 141. 应对负责系统运营维护技术人员进行相应技能培训。 142. 应保证提供系统建设过程中文档和指引顾客进行系统运营维护文档。 143. 应对系统交付控制措施和人员行为准则进行书面规定。 144. 应指定或授权专门部门负责系统交付管理工作，并按照管理规定规定完毕系统交付工作。 系统备案 145. 应指定或授权专门部门负责系统交付管理工作，并按照管理规定规定完毕系统交付工作。 访谈，检查。 146. 应将系统级别及有关材料报系统主管部门备案。 147. 应将系统级别及有关材料报系统主管部门备案。 级别测评 148. 在系统运营过程中，应至少每年对系统进行一次级别测评，发现不符合相应级别保护原则规定及时整治。 访谈，检查。 149. 应在系统发生变更时及时对系统进行级别测评，发现级别发生变化及时调节级别并进行安全改造，发现不符合相应级别保护原则规定及时整治。 150. 应选用品有国家有关技术资质和安全资质测评单位进行级别测评。 151. 应指定或授权专门部门或人员负责级别测评管理。 安全服务商选用 152. 应保证安全服务商选用符合国家有关规定。 访谈，检查。 153. 应与选定安全服务商签订与安全有关合同，明确商定有关责任。 154. 应保证选定安全服务商提供技术培训和服务承诺，必要与其签订服务合同。