国模大胆视频日韩亚Av|99人成天堂无码在线视频|renrencao在线|日韩黄色中文字幕电影|日本成人大全Av制服操|亚洲无码美女自拍图片!|免费在线观看一级AV|影音先锋丝袜人妻熟女|深夜午夜福利在线|亚洲天堂在线无码观看

投標(biāo)單位名稱

招標(biāo)項(xiàng)目名稱

招標(biāo)文件編號(hào)

聯(lián)系人

姓名

移動(dòng)電話

電子郵箱

投標(biāo)單位支付項(xiàng)目投****銀行詳細(xì)名稱及賬號(hào)

開戶銀行：

賬 號(hào)：

****銀行賬號(hào)退還投標(biāo)保證金)

投標(biāo)人簽字

招標(biāo)公告要求提供證明文件

資質(zhì)證明文件(投標(biāo)方填寫)

報(bào)名文件所在頁(yè)碼

1

營(yíng)業(yè)執(zhí)照

2

網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)與檢測(cè)評(píng)估機(jī)構(gòu)服務(wù)認(rèn)證證書

發(fā)證單位：

有效期：

3

2020年1月1日之后簽訂的**省內(nèi)單機(jī)容量300MW及以上燃煤機(jī)組信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)合同業(yè)績(jī)

合同（合同名稱，承包范圍，簽訂頁(yè)面）

序號(hào)

測(cè)評(píng)指標(biāo)

測(cè)評(píng)內(nèi)容

測(cè)評(píng)方法

1

物理位置的選擇

應(yīng)訪談物理安全負(fù)責(zé)人，詢問(wèn)現(xiàn)有機(jī)房和辦公場(chǎng)地（放置終端計(jì)算機(jī)設(shè)備）的環(huán)境條件是否能夠滿足信息系統(tǒng)業(yè)務(wù)需求和安全管理需求，是否具有基本的防震、防風(fēng)和防雨等能力； 應(yīng)檢查機(jī)房和辦公場(chǎng)地的設(shè)計(jì)/驗(yàn)收文檔，是否有機(jī)房和辦公場(chǎng)地所在建筑具有防震、防風(fēng)和防雨等能力的說(shuō)明； 應(yīng)檢查機(jī)房和辦公場(chǎng)地是否在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。

訪談、核查

2

物理訪問(wèn)控制

應(yīng)訪談機(jī)房安全負(fù)責(zé)人，了解具有哪些控制機(jī)房進(jìn)出的能力； 應(yīng)檢查機(jī)房安全管理制度，查看是否有關(guān)于機(jī)房出入方面的規(guī)定； 應(yīng)檢查機(jī)房是否有進(jìn)出機(jī)房的登記記錄； 應(yīng)檢查機(jī)房出入口是否有專人值守，是否有值守記錄，以及進(jìn)出機(jī)房的人員登記記錄；檢查機(jī)房是否不存在專人值守之外的出入口； 應(yīng)檢查機(jī)房是否有進(jìn)入機(jī)房的人員身份鑒別措施，如戴有可見的身份辨識(shí)標(biāo)識(shí)； 應(yīng)檢查是否有來(lái)訪人員進(jìn)入機(jī)房的審批記錄； 訪談機(jī)房安全負(fù)責(zé)人，了解通過(guò)哪些措施限制和監(jiān)控來(lái)訪人員的活動(dòng)范圍。

訪談、核查

3

防盜竊和防破壞

應(yīng)訪談機(jī)房安全負(fù)責(zé)人，詢問(wèn)目前采取了哪些防止設(shè)備、介質(zhì)等丟失的保護(hù)措施； 應(yīng)檢查主要設(shè)備是否放置在機(jī)房?jī)?nèi)或其它不易被盜竊和破壞的可控范圍內(nèi)； 應(yīng)檢查是否有設(shè)備管理制度文檔； 應(yīng)檢查主要設(shè)備或設(shè)備的主要部件的固定情況，是否不易被移動(dòng)或被搬走，是否設(shè)置明顯的無(wú)法除去的標(biāo)記； 應(yīng)訪談機(jī)房維護(hù)人員，詢問(wèn)通信線纜是否鋪設(shè)在隱蔽處,并檢查通信線纜鋪設(shè)是否在隱蔽處（如鋪設(shè)在地下或管道中等）； 應(yīng)檢查是否有通信線路布線文檔； 應(yīng)訪談資產(chǎn)管理員，在介質(zhì)管理中，是否進(jìn)行了分類標(biāo)識(shí)，是****檔案室中； 應(yīng)檢查介質(zhì)的管理情況，查看介質(zhì)是否有正確的分類標(biāo)識(shí)，是****檔案室中； 應(yīng)檢查是否有介質(zhì)管理制度文檔，介質(zhì)清單和使用記錄； 應(yīng)檢查機(jī)房是否安裝了防盜報(bào)警設(shè)施，設(shè)施是否正常運(yùn)行； 應(yīng)訪談機(jī)房維護(hù)人員，詢問(wèn)是否對(duì)機(jī)房安裝的防盜報(bào)警設(shè)施進(jìn)行定期維護(hù)檢查，并查看運(yùn)行和報(bào)警記錄； 應(yīng)檢查是否有機(jī)房防盜報(bào)警設(shè)施的安裝測(cè)試/驗(yàn)收?qǐng)?bào)告。

訪談、核查

4

防雷擊

應(yīng)訪談物理安全負(fù)責(zé)人，詢問(wèn)為防止雷擊事件導(dǎo)致重要設(shè)備被破壞采取了哪些防護(hù)措施，機(jī)房建筑是否設(shè)置了避雷裝置，是否通過(guò)驗(yàn)收或國(guó)家有關(guān)部門的技術(shù)檢測(cè)； 應(yīng)訪談機(jī)房維護(hù)人員，詢問(wèn)機(jī)房建筑避雷裝置是否有人定期進(jìn)行檢查和維護(hù)； 應(yīng)檢查機(jī)房是否有建筑防雷設(shè)計(jì)/驗(yàn)收文檔； 應(yīng)訪談物理安全負(fù)責(zé)人，詢問(wèn)機(jī)房計(jì)算機(jī)供電系統(tǒng)是否有交流電源地線； 應(yīng)訪談機(jī)房維護(hù)人員，詢問(wèn)機(jī)房計(jì)算機(jī)系統(tǒng)接地（交流工作接地、安全保護(hù)接地、防雷接地）是否符合GB50174－93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)協(xié)議》的要求（交流工作接地的接地電阻不應(yīng)大于4Ω，安全保護(hù)地的接地電阻不應(yīng)大于4Ω；防雷保護(hù)地（處在有防雷設(shè)施的建筑群中可不設(shè)此地）的接地電阻不應(yīng)大于10Ω）； 查看建筑防雷設(shè)計(jì)/驗(yàn)收文檔中是否有地線連接要求的描述。

訪談、核查

5

防火

應(yīng)訪談物理安全負(fù)責(zé)人，詢問(wèn)機(jī)房是否設(shè)置了滅火設(shè)備，是否設(shè)置了火災(zāi)自動(dòng)報(bào)警系統(tǒng),是否有人負(fù)責(zé)維護(hù)該系統(tǒng)的運(yùn)行； 應(yīng)訪談機(jī)房值守人員，詢問(wèn)對(duì)機(jī)房出現(xiàn)的消防安全隱患是否能夠及時(shí)報(bào)告并得到排除；是否能夠正確使用滅火設(shè)備和火災(zāi)自動(dòng)報(bào)警系統(tǒng)； 應(yīng)檢查機(jī)房是否設(shè)置了滅火設(shè)備，擺放位置是否合理，有效期是否合格； 應(yīng)檢查機(jī)房火災(zāi)自動(dòng)報(bào)警系統(tǒng)是否正常工作，查看是否有運(yùn)行記錄、報(bào)警記錄、定期檢查和維修記錄；應(yīng)檢查是否有有關(guān)機(jī)房消防的管理制度文檔，機(jī)房防火設(shè)計(jì)/驗(yàn)收文檔，火災(zāi)自動(dòng)報(bào)警系統(tǒng)的設(shè)計(jì)/驗(yàn)收文檔。

訪談、核查

6

防水和防潮

應(yīng)訪談物理安全負(fù)責(zé)人，詢問(wèn)機(jī)房建設(shè)是否有防水防潮措施；如果機(jī)房?jī)?nèi)有上/下水管安裝，是否穿過(guò)屋頂和活動(dòng)地板下，穿過(guò)墻壁和樓板的水管是否采取了可靠的保護(hù)措施； 應(yīng)訪談機(jī)房維護(hù)人員，詢問(wèn)機(jī)房是否出現(xiàn)過(guò)漏水和返潮事件；如果機(jī)房?jī)?nèi)有上下水管安裝，是否經(jīng)常檢查是否有漏水情況； 應(yīng)檢查機(jī)房是否有建筑防水和防潮設(shè)計(jì)/驗(yàn)收文檔，是否能夠滿足機(jī)房防水和防潮的需求；如果有管道穿過(guò)主機(jī)房墻壁和樓板處，應(yīng)檢查是否置套管，管道與套管之間是否采取可靠的密封措施； 應(yīng)檢查機(jī)房是否不存在屋頂和墻壁等出現(xiàn)過(guò)漏水、滲透和返潮現(xiàn)象，機(jī)房及其環(huán)境是否不存在明顯的漏水和返潮的威脅；如果出現(xiàn)漏水、滲透和返潮現(xiàn)是否能夠及時(shí)修復(fù)解決； 應(yīng)訪談物理安全負(fù)責(zé)人，詢問(wèn)在濕度較高地區(qū)或季節(jié)是否有人負(fù)責(zé)機(jī)房防水防潮事宜，配備除濕裝置，并有濕度記錄； 應(yīng)訪談機(jī)房維護(hù)人員，如果出現(xiàn)機(jī)房水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透現(xiàn)象是否及時(shí)采取防范措施； 應(yīng)訪談機(jī)房維護(hù)人員，詢問(wèn)是否有防止出現(xiàn)機(jī)房地下積水的轉(zhuǎn)移與滲透的措施，是否有防水防潮處理記錄。

訪談、核查

7

防靜電

應(yīng)訪談物理安全負(fù)責(zé)人，詢問(wèn)機(jī)房關(guān)鍵設(shè)備是否采用必要的接地防靜電措施； 應(yīng)訪談機(jī)房維護(hù)人員，詢問(wèn)機(jī)房是否存在靜電問(wèn)題或因靜電引起的故障事件； 應(yīng)檢查機(jī)房是否有防靜電設(shè)計(jì)/驗(yàn)收文檔； 應(yīng)檢查機(jī)房是否有安全接地，查看機(jī)房是否明顯存在靜電現(xiàn)象。

訪談、核查

8

溫濕度控制

應(yīng)訪談物理安全負(fù)責(zé)人，詢問(wèn)機(jī)房是否配備了溫濕度自動(dòng)調(diào)節(jié)設(shè)施，保證溫濕度能夠滿足計(jì)算機(jī)設(shè)備運(yùn)行的要求，是否在機(jī)房管理制度中規(guī)定了溫濕度控制的要求，是否有人負(fù)責(zé)此項(xiàng)工作； 應(yīng)訪談機(jī)房維護(hù)人員，詢問(wèn)是否定期檢查和維護(hù)機(jī)房的溫濕度自動(dòng)調(diào)節(jié)設(shè)施，詢問(wèn)是否出現(xiàn)過(guò)溫濕度影響系統(tǒng)運(yùn)行的事件； 應(yīng)檢查機(jī)房是否有溫濕度控制設(shè)計(jì)/驗(yàn)收文檔； 應(yīng)檢查溫濕度自動(dòng)調(diào)節(jié)設(shè)施是否能夠正常運(yùn)行，查看溫濕度記錄、運(yùn)行記錄和維護(hù)記錄；查看機(jī)房溫濕度是否滿足GB 2887-89《計(jì)算站場(chǎng)地技術(shù)條件》的要求（：溫度夏季23±2℃，冬季20±2℃，濕度45~65%；B級(jí)：溫度15~30℃，濕度40~70%）。

訪談、核查

9

電力供應(yīng)

應(yīng)訪談物理安全負(fù)責(zé)人，詢問(wèn)計(jì)算機(jī)系統(tǒng)供電線路上是否設(shè)置了穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備； 應(yīng)檢查機(jī)房，查看計(jì)算機(jī)系統(tǒng)供電線路上的穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備是否正常運(yùn)行； 應(yīng)訪談機(jī)房維護(hù)人員，詢問(wèn)是否對(duì)在計(jì)算機(jī)系統(tǒng)供電線路上的穩(wěn)壓器、過(guò)電壓防護(hù)設(shè)備等進(jìn)行定期檢查和維護(hù)，是否有檢查和維護(hù)記錄；是否能夠控制電源穩(wěn)壓范圍滿足計(jì)算機(jī)系統(tǒng)運(yùn)行正常； 應(yīng)檢查機(jī)房是否有電力供應(yīng)安全設(shè)計(jì)/驗(yàn)收文檔，是否在其中標(biāo)明配備穩(wěn)壓器、過(guò)電壓防護(hù)設(shè)備等要求； 應(yīng)訪談物理安全負(fù)責(zé)人，詢問(wèn)是否設(shè)置了短期備用電源設(shè)備（如UPS），供電時(shí)間是否滿足系統(tǒng)最低電力供應(yīng)需求； 應(yīng)檢查機(jī)房，查看計(jì)算機(jī)系統(tǒng)供電線路上的短期備用電源設(shè)備是否正常運(yùn)行； 應(yīng)訪談機(jī)房維護(hù)人員，詢問(wèn)是否對(duì)在計(jì)算機(jī)系統(tǒng)供電線路上的短期備用電源設(shè)備等進(jìn)行定期檢查和維護(hù)，是否有檢查和維護(hù)記錄； 應(yīng)檢查機(jī)房是否有電力供應(yīng)安全設(shè)計(jì)/驗(yàn)收文檔，是否在其中標(biāo)明配備短期備用電源設(shè)備等要求。

訪談、核查

10

電磁防護(hù)

應(yīng)訪談機(jī)房維護(hù)人員，詢問(wèn)是否做到電源線和通信線纜隔離；是否出現(xiàn)過(guò)因外界電磁干擾等問(wèn)題引發(fā)的故障； 應(yīng)檢查機(jī)房是否有電磁防護(hù)設(shè)計(jì)/驗(yàn)收文檔； 應(yīng)檢查機(jī)房布線，查看是否做到電源線和通信線纜隔離。

訪談、核查

序號(hào)

測(cè)評(píng)指標(biāo)

測(cè)評(píng)內(nèi)容

測(cè)評(píng)方法

1

結(jié)構(gòu)安全

1、訪談關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力情況； 2、通過(guò)監(jiān)控平臺(tái)查看關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力； 1、訪談接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬使用情況； 2、通過(guò)監(jiān)控平臺(tái)查看接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的使用情況； 檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖； 子網(wǎng)或網(wǎng)段的劃分，以及為各子網(wǎng)、網(wǎng)段分配的地址段。

訪談、核查

2

訪問(wèn)控制

1、詢問(wèn)網(wǎng)絡(luò)訪問(wèn)控制措施有哪些；詢問(wèn)訪問(wèn)控制策略的設(shè)計(jì)原則是什么； 2、登錄相關(guān)設(shè)備查看訪問(wèn)控制功能的啟用情況； 1、檢查邊界網(wǎng)絡(luò)設(shè)備，查看其是否根據(jù)會(huì)話狀態(tài)信息對(duì)數(shù)據(jù)流進(jìn)行控制，控制粒度是否為網(wǎng)段級(jí)； 2、網(wǎng)絡(luò)邊界的設(shè)備是否關(guān)閉了不必要的服務(wù)； 查看是否有正確的訪問(wèn)控制列表（如ACL）限制撥號(hào)用戶對(duì)系統(tǒng)**的訪問(wèn)； 查看是否限制了撥號(hào)用戶的數(shù)量。

訪談、核查

3

邊界完整性檢查

查看檢查邊界完整性檢查設(shè)備，或確定其他同等的監(jiān)控措施。

訪談、核查

4

入侵防范

系統(tǒng)在網(wǎng)絡(luò)邊界安裝的入侵檢測(cè)設(shè)備。

訪談、核查

5

安全審計(jì)

查看設(shè)備是否開啟了日志審計(jì)功能； 查看設(shè)備操作日志、運(yùn)行狀況的記錄內(nèi)容。

訪談、核查

6

網(wǎng)絡(luò)設(shè)備防護(hù)

口令的設(shè)置； 遠(yuǎn)程管理的訪問(wèn)控制； 用戶標(biāo)識(shí)的唯一性； 采用口令加密及高強(qiáng)度口令； 非授權(quán)登錄失敗次數(shù)限制及登錄超時(shí)措施； 啟用SSH方式進(jìn)行遠(yuǎn)程管理，關(guān)閉HTTP服務(wù)及SNMP服務(wù)，若啟用SNMP服務(wù)則應(yīng)修改默認(rèn)通信字并對(duì)其訪問(wèn)進(jìn)行控制。

訪談、核查

序號(hào)

測(cè)評(píng)指標(biāo)

測(cè)評(píng)內(nèi)容

測(cè)評(píng)方法

1

身份鑒別

1、登錄系統(tǒng)或訪問(wèn)系統(tǒng)**是否需要密碼； 檢查服務(wù)器操作系統(tǒng)的身份鑒別策略，查看是否提供了身份鑒別措施； 檢查是否提供了身份鑒別措施，身份鑒別信息是否具有不易被冒用的特定，如對(duì)用戶登錄口令的最小長(zhǎng)度、復(fù)雜度和更換周期進(jìn)行了要求和限制； 密碼策略： 1、密碼必須符合復(fù)雜性要求； 2、密碼長(zhǎng)度最小值； 3、密碼最長(zhǎng)使用期限； 4、密碼最短使用期限； 5、強(qiáng)制密碼歷史； 6、密碼永不過(guò)期屬性； 帳戶鎖定策略： 1、復(fù)位帳戶鎖定計(jì)數(shù)器； 2、帳戶鎖定時(shí)間； 3、帳戶鎖定閾值； 檢查服務(wù)器操作系統(tǒng)的身份鑒別策略，查看是否配置了鑒別失敗功能，并設(shè)置了非法登錄次數(shù)的限制值；查看是否設(shè)置網(wǎng)絡(luò)登錄連接超時(shí)，并自動(dòng)退出； 如果服務(wù)器操作系統(tǒng)采用遠(yuǎn)程管理方式，查看是否具有防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽的措施； 1、禁用telnet服務(wù)； 2、查看是否啟用Terminal Services服務(wù)（遠(yuǎn)程桌面）； 3、詢問(wèn)是否采取其它安全的遠(yuǎn)程管理方式； 詢問(wèn)是否存在多個(gè)用戶使用同一帳戶的情況； 檢查服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)賬戶列表，查看管理員用戶名分配是否唯一；詢問(wèn)管理員，是否存在多個(gè)用戶使用同一帳戶的情況； 檢查數(shù)據(jù)庫(kù)系統(tǒng)是否對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別； 檢查所有用戶的口令長(zhǎng)度及復(fù)雜度； 查看SQL Server是否可對(duì)登錄失敗進(jìn)行處理；如：采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施； 1、詢問(wèn)是否加密； 2、使用截包工具進(jìn)行分析。

訪談、核查

2

訪問(wèn)控制

1、查看服務(wù)器操作系統(tǒng)管理員是否能提供用戶權(quán)限對(duì)照表； 2、設(shè)置的用戶是否與權(quán)限表一致； 查看用戶權(quán)限表； 權(quán)限分離； 檢查數(shù)據(jù)庫(kù)管理系統(tǒng)的特權(quán)用戶和服務(wù)器操作系統(tǒng)的特權(quán)用戶，查看不同管理員的系統(tǒng)賬戶權(quán)限是否不同，且不應(yīng)由同一人擔(dān)任； 檢查服務(wù)器操作系統(tǒng)的訪問(wèn)控制策略，查看是否已禁用或者限制匿名/默認(rèn)賬戶的訪問(wèn)權(quán)限，是否重命名系統(tǒng)默認(rèn)賬戶、修改這些賬戶的默認(rèn)口令； 重命名**和系統(tǒng)管理員帳戶； 刪除多余過(guò)期帳戶； 檢查服務(wù)器操作系統(tǒng)的訪問(wèn)控制策略，是否刪除了系統(tǒng)中多余的、過(guò)期的以及共享的賬戶； 1、查看數(shù)據(jù)庫(kù)管理員是否能提供用戶權(quán)限對(duì)照表； 2、設(shè)置的用戶是否與權(quán)限表一致； 3、是否將應(yīng)用系統(tǒng)所使用的數(shù)據(jù)庫(kù)的操作權(quán)限授予適合的用戶； 查看是否重命名了系統(tǒng)默認(rèn)帳戶，并對(duì)修改了默認(rèn)用戶口令； 刪除多余過(guò)期帳號(hào)。

訪談、核查

3

安全審計(jì)

檢查服務(wù)器操作系統(tǒng)的安全審計(jì)策略，查看安全審計(jì)配置是否包括系統(tǒng)內(nèi)重要用戶行為、系統(tǒng)**的異常和重要系統(tǒng)命令的使用等重要的安全相關(guān)事件； 審核策略； 審核策略： 1、審核策略更改； 2、審核登錄事件； 3、審核對(duì)象訪問(wèn)； 4、審核過(guò)程跟蹤； 5、審核目錄服務(wù)訪問(wèn)； 6、審核特權(quán)使用； 7、審核系統(tǒng)事件； 8、審核帳戶登錄事件； 9、審核帳戶管理； 檢查服務(wù)器操作系統(tǒng)的安全審計(jì)策略，查看安全審計(jì)內(nèi)容是否包括系統(tǒng)內(nèi)重要用戶行為、系統(tǒng)**的異常和重要系統(tǒng)命令的使用等重要的安全相關(guān)事件； 檢查服務(wù)器操作系統(tǒng)的安全審計(jì)策略，查看審計(jì)記錄信息是否包括事件發(fā)生的日期與時(shí)間、出發(fā)時(shí)間的主體與客體、事件的類型、事件成功或失敗、事件的結(jié)果等內(nèi)容； 詢問(wèn)是否保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等； 檢查服務(wù)器和重要客戶端操作系統(tǒng)的安全審計(jì)策略，查看是否通過(guò)日志覆蓋周期、存儲(chǔ)方式、日志文件/空間大小、日志文件操作權(quán)限等設(shè)置，實(shí)現(xiàn)了對(duì)審計(jì)記錄的保護(hù)，使其避免受到未預(yù)期的刪除、修改或覆蓋等； 通過(guò)SQL Server管理程序查看是否開啟日志審計(jì)功能； 審計(jì)策略； 審計(jì)日志開啟； 查看是否對(duì)審計(jì)日志進(jìn)行了保護(hù)、是否配有審計(jì)員權(quán)限的用戶。

訪談、核查

4

入侵防范

1、檢查服務(wù)器操作系統(tǒng)中所安裝的系統(tǒng)組件和應(yīng)用程序是否都是必須的； 2、檢查是否設(shè)置了專門的升級(jí)服務(wù)器實(shí)現(xiàn)對(duì)服務(wù)器操作系統(tǒng)的升級(jí)，是否具有操作系統(tǒng)補(bǔ)丁更新策略； 3、檢查服務(wù)器操作系統(tǒng)的補(bǔ)丁是否得到了及時(shí)更新； 1、系統(tǒng)安全補(bǔ)丁安裝； 2、補(bǔ)丁更新方式； 3、是否啟用必要的端口服務(wù)； 4、最小安裝； 5、是否關(guān)閉了默認(rèn)共享； 1、數(shù)據(jù)庫(kù)安全補(bǔ)丁安裝； 2、補(bǔ)丁更新方式。

訪談、核查

5

惡意代碼防范

1、查看安裝的防病毒軟件； 2、查看惡意代碼庫(kù)版本； 3、是否開啟Windows Defender； 防病毒軟件； 防惡意代碼的各類軟件、設(shè)備應(yīng)進(jìn)行統(tǒng)一管理； 防病毒軟件的統(tǒng)一管理。

訪談、核查

6

**控制

終端限制； 檢查服務(wù)器操作系統(tǒng)的**訪問(wèn)策略，查看是否設(shè)定了終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄； 檢查訪問(wèn)服務(wù)器操作系統(tǒng)的終端是否都設(shè)置了操作超時(shí)鎖定的配置； 1、是否啟用屏保密碼； 2、空閑的會(huì)話時(shí)間； 1、是否對(duì)主機(jī)**的使用情況進(jìn)行監(jiān)控； 2、是否采取了措施限制單個(gè)用戶對(duì)系統(tǒng)**的最大使用限度（如：?jiǎn)⒂昧朔⻊?wù)器磁盤配額管理措施等）； 3、主機(jī)當(dāng)前的**使用情況是否滿足實(shí)際需要； 檢查服務(wù)器操作系統(tǒng)的**訪問(wèn)策略，查看是否設(shè)置了單個(gè)用戶或應(yīng)用對(duì)系統(tǒng)**最大值或最小使用限度； 詢問(wèn)管理員，是否對(duì)終端連接方式、對(duì)登錄的終端進(jìn)行限制； 遠(yuǎn)程查詢超時(shí)值； 詢問(wèn)管理員，并查看是否對(duì)系統(tǒng)**的最大或最小使用限度進(jìn)行了限制。

訪談、核查

序號(hào)

測(cè)評(píng)指標(biāo)

測(cè)評(píng)內(nèi)容

測(cè)評(píng)方法

1

身份鑒別

系統(tǒng)設(shè)置專用登錄控制模塊，使用戶在系統(tǒng)內(nèi)實(shí)施任何其它操作之前先識(shí)別自己； 1、應(yīng)確保用戶身份標(biāo)識(shí)具有唯一性； 2、系統(tǒng)要求具備對(duì)提供的秘密（如口令等）執(zhí)行規(guī)定的質(zhì)量量度和生成滿足規(guī)定的量度的秘密的機(jī)制； 對(duì)應(yīng)用系統(tǒng)用戶登錄失敗次數(shù)設(shè)置一定門限，超過(guò)門限次數(shù)時(shí)應(yīng)采取一定行動(dòng)（如鎖定、報(bào)警等措施）； 應(yīng)將代表用戶活動(dòng)的主體與用戶的安全屬性關(guān)聯(lián)；應(yīng)確保用戶身份標(biāo)識(shí)具有唯一性；系統(tǒng)要求具備對(duì)提供的秘密（如口令等）執(zhí)行規(guī)定的質(zhì)量量度和生成滿足規(guī)定的量度的秘密的機(jī)制；系統(tǒng)具有登錄失敗處理處理措施。

訪談、核查

2

訪問(wèn)控制

應(yīng)用系統(tǒng)訪問(wèn)控制功能的設(shè)計(jì)實(shí)現(xiàn)機(jī)制中的“客體”是文件、數(shù)據(jù)庫(kù)表而不是應(yīng)用菜單或功能等界面或訪問(wèn)路徑； 系統(tǒng)應(yīng)能根據(jù)訪問(wèn)控制規(guī)則正確實(shí)施對(duì)**的控制； 系統(tǒng)中應(yīng)有專門的用戶管理模塊對(duì)用戶的安全屬性進(jìn)行配置，對(duì)用戶可訪問(wèn)**進(jìn)行授權(quán)；若存在默認(rèn)用戶的，檢查默認(rèn)賦予的訪問(wèn)權(quán)限是否會(huì)產(chǎn)生風(fēng)險(xiǎn)； 1、系統(tǒng)應(yīng)維護(hù)不同的管理角色； 2、特權(quán)用戶的權(quán)限分離，例如將管理與審計(jì)的權(quán)限分配給不同的用戶； 3、權(quán)限分離應(yīng)采用最小授權(quán)原則。

訪談、核查

3

安全審計(jì)

系統(tǒng)有審計(jì)功能，能夠?qū)τ脩舻闹匾僮鬟M(jìn)行記錄； 審計(jì)記錄不能刪除、修改或覆蓋； 審計(jì)記錄包含對(duì)事件操作的關(guān)鍵記錄。

訪談、核查

4

通信完整性

系統(tǒng)采用校驗(yàn)碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性。

訪談、核查

5

通信保密性

系統(tǒng)采用加密方式建立會(huì)話； 系統(tǒng)采用加密方式對(duì)敏感信息的數(shù)據(jù)包進(jìn)行加密。

訪談、核查

6

軟件容錯(cuò)

系統(tǒng)在數(shù)據(jù)輸入界面提供數(shù)據(jù)有效性檢驗(yàn)功能； 系統(tǒng)提供對(duì)輸入數(shù)據(jù)進(jìn)行保護(hù)的功能。

訪談、核查

7

**控制

系統(tǒng)應(yīng)具有超時(shí)結(jié)束會(huì)話功能； 應(yīng)用系統(tǒng)有最大并發(fā)會(huì)話連接數(shù)限制； 系統(tǒng)限制單個(gè)用戶多重并發(fā)會(huì)話數(shù)。

訪談、核查

序號(hào)

測(cè)評(píng)指標(biāo)

測(cè)評(píng)內(nèi)容

測(cè)評(píng)方法

1

數(shù)據(jù)完整性

關(guān)鍵主機(jī)操作系統(tǒng)、關(guān)鍵網(wǎng)絡(luò)設(shè)備操作系統(tǒng)、關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)和關(guān)鍵應(yīng)用系統(tǒng)的鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在網(wǎng)絡(luò)傳輸中是否采取完整性檢測(cè)措施,采取什么樣的檢測(cè)措施，具體如何實(shí)現(xiàn)； 。

訪談、核查

2

數(shù)據(jù)保密性

關(guān)鍵主機(jī)操作系統(tǒng)、關(guān)鍵網(wǎng)絡(luò)設(shè)備操作系統(tǒng)、關(guān)鍵數(shù)據(jù)庫(kù)管理系統(tǒng)和關(guān)鍵應(yīng)用系統(tǒng)的鑒別信息和重要業(yè)務(wù)數(shù)據(jù)是否采用加密或其他有效措施保護(hù)其存儲(chǔ)保密性，具體采取什么樣的保護(hù)措施，如何實(shí)現(xiàn)。

訪談、核查

3

備份和恢復(fù)

1、主要網(wǎng)絡(luò)設(shè)備的配置文件是否進(jìn)行備份，備份和恢復(fù)策略具體是什么； 2、主要主機(jī)操作系統(tǒng)的重要信息是否進(jìn)行備份，備份和恢復(fù)策略具體是什么； 3、主要數(shù)據(jù)庫(kù)管理系統(tǒng)的關(guān)鍵數(shù)據(jù)是否備份，備份和恢復(fù)策略是什么； 4、主要應(yīng)用系統(tǒng)的應(yīng)用程序是否備份，備份和恢復(fù)策略是什么； 1、關(guān)鍵網(wǎng)絡(luò)設(shè)備、安全設(shè)備是否采取備份措施，具體采取什么措施； 2、通信線路是否采取備份措施，具體采取什么措施； 3、關(guān)鍵服務(wù)器是否采取硬件冗余措施，具體采取什么措施。

訪談、核查

序號(hào)

測(cè)評(píng)指標(biāo)

測(cè)評(píng)內(nèi)容

測(cè)評(píng)方法

1

管理制度

應(yīng)檢查總體方針、政策性文件和安全策略文件，查看文件是否明確機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、方針、原則、責(zé)任等； 1、應(yīng)檢查安全管理制度清單，查看是否覆蓋文件控制、安全檢查、人力**及培訓(xùn)、設(shè)備管理、軟件開發(fā)/外包開發(fā)項(xiàng)目管理，機(jī)房安全管理、信息分類及管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼管理、變更控制、備份及介質(zhì)管理、事件管理、應(yīng)急預(yù)案等； 應(yīng)檢查是否具有重要管理操作的操作規(guī)程，如系統(tǒng)維護(hù)手冊(cè)和用戶操作規(guī)程等。

訪談、核查

2

制定和發(fā)布

應(yīng)訪談安全主管，詢問(wèn)是否有專人負(fù)責(zé)制訂安全管理制度，負(fù)責(zé)人是何人； 應(yīng)訪談是否對(duì)制定的安全管理制度進(jìn)行論證和審定，論證和審定方式如何（如召開評(píng)審會(huì)、函審、內(nèi)部審核等），應(yīng)檢查管理制度評(píng)審記錄，查看是否具有相關(guān)人員的評(píng)審意見； 應(yīng)訪談管理人員（負(fù)責(zé)制定管理制度的人員），詢問(wèn)安全管理制度的制定程序，發(fā)布方式有哪些。

訪談、核查

3

評(píng)審和修訂

應(yīng)訪談管理人員（負(fù)責(zé)定期評(píng)審、修訂和日常維護(hù)的人員），詢問(wèn)定期對(duì)安全管理制度的評(píng)審、修訂情況和日常維護(hù)情況，評(píng)審周期多長(zhǎng)，評(píng)審、修訂程序如何，維護(hù)措施如何。

訪談、核查

序號(hào)

測(cè)評(píng)指標(biāo)

測(cè)評(píng)內(nèi)容

測(cè)評(píng)方法

1

崗位設(shè)置

應(yīng)訪談管理人員，詢問(wèn)是否設(shè)立安全主管、安全管理各方面的負(fù)責(zé)人，并定義了各負(fù)責(zé)人的職責(zé)； 應(yīng)訪談安全主管，詢問(wèn)單位設(shè)置了哪些工作崗位（如安全主管、安全管理各個(gè)方面的負(fù)責(zé)人、機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和安全員等重要崗位），是否明確各個(gè)崗位的職責(zé)分工。

訪談、核查

2

人員配備

應(yīng)訪談安全主管，詢問(wèn)各崗位（包括機(jī)房管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員、安全管路員等重要崗位人員）人員配備情況，包括數(shù)量、專職還是兼職等； 應(yīng)檢查管理人員名單，查看其是否明確機(jī)房管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員、安全員等重要崗位人員的信息，確認(rèn)安全管理員是專職，沒(méi)有兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員等。

訪談、核查

3

授權(quán)和審批

應(yīng)訪談安全主管，詢問(wèn)是否對(duì)信息系統(tǒng)中的關(guān)鍵活動(dòng)進(jìn)行審批(包括系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接入和重要**的訪問(wèn)等)，審批部門是何部門，批準(zhǔn)人是何人，他們的審批活動(dòng)是否得到授權(quán)； 應(yīng)訪談安全主管，詢問(wèn)是否對(duì)信息系統(tǒng)中的關(guān)鍵活動(dòng)建立審批程序，檢查是否明確須審批事項(xiàng)、審批部門、批準(zhǔn)人及審批程序等；檢查相關(guān)記錄是否有批準(zhǔn)人批準(zhǔn)。

訪談、核查

4

溝通和**

應(yīng)訪談安全主管，詢問(wèn)是否召開部門間協(xié)調(diào)會(huì)議，是否召開信息安全職能部門內(nèi)部工作會(huì)議； 應(yīng)訪談安全主管，詢****機(jī)關(guān)、電信公司和兄弟單位聯(lián)系，聯(lián)系方式有哪些，與組織機(jī)構(gòu)內(nèi)其他部門之間有哪些**內(nèi)容，溝通、**方式有哪些。

訪談、核查

5

審核和檢查

應(yīng)訪談安全主管，詢問(wèn)安全員是否定期對(duì)信息系統(tǒng)進(jìn)行安全檢查，檢查周期多長(zhǎng)，是否明確檢查內(nèi)容； 應(yīng)訪談安全員，詢問(wèn)安全檢查包含哪些內(nèi)容，檢查人員有哪些，檢查程序是否按照系統(tǒng)相關(guān)策略和要求進(jìn)行，檢查結(jié)果如何； 應(yīng)檢查安全檢查記錄，查看記錄時(shí)間與檢查周期是否一致，文檔中是否有檢查內(nèi)容、檢查人員、檢查結(jié)果等的描述。

訪談、核查

序號(hào)

測(cè)評(píng)指標(biāo)

測(cè)評(píng)內(nèi)容

測(cè)評(píng)方法

1

人員錄用

詢問(wèn)是否有授權(quán)專門部門或人員負(fù)責(zé)人員錄用； 應(yīng)檢查是否具有人員錄用時(shí)對(duì)錄用人身份、專業(yè)資格等進(jìn)行審查的相關(guān)文檔或記錄，查看是否記錄審查內(nèi)容和審查結(jié)果等； 應(yīng)檢查保密協(xié)議，查看是否有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人簽字等。

訪談、核查

2

人員離崗

應(yīng)訪談安全主管，詢問(wèn)是否及時(shí)終止離崗人員所有訪問(wèn)權(quán)限； 應(yīng)檢查是否具有對(duì)離崗人員的安全處理記錄，如取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備等登記記錄； 應(yīng)訪談人事工作人員，詢問(wèn)調(diào)離手續(xù)包括哪些，是否要求調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開；應(yīng)檢查保密承諾文檔，查看是否有調(diào)離人員的簽字。

訪談、核查

3

人員考核

應(yīng)訪談安全主管，詢問(wèn)是否有人負(fù)責(zé)定期對(duì)各個(gè)崗位人員進(jìn)行安全技能及安全知識(shí)的考核。

訪談、核查

4

安全意識(shí)教育和培訓(xùn)

應(yīng)訪談安全主管，詢問(wèn)是否制**全教育和培訓(xùn)計(jì)劃并按計(jì)劃對(duì)各個(gè)崗位人員進(jìn)行安全教育和培訓(xùn)，以什么形式進(jìn)行，效果如何； 應(yīng)訪談安全員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和數(shù)據(jù)庫(kù)管理員，考查其對(duì)工作相關(guān)的信息安全基礎(chǔ)知識(shí)、安全責(zé)任和懲戒措施等的理解程度； 應(yīng)檢查安全教育和培訓(xùn)計(jì)劃文檔，查看是否具有不同崗位的培訓(xùn)計(jì)劃；查看計(jì)劃是否明確了培訓(xùn)目的、培訓(xùn)方式、培訓(xùn)對(duì)象、培訓(xùn)內(nèi)容、培訓(xùn)時(shí)間和地點(diǎn)等，培訓(xùn)內(nèi)容是否包含信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等。

訪談、核查

5

外部人員訪問(wèn)管理

應(yīng)訪談安全管理人員，詢問(wèn)對(duì)第三方人員訪問(wèn)重要區(qū)域（如訪問(wèn)主機(jī)房等）采取哪些措施，是否經(jīng)有關(guān)負(fù)責(zé)人批準(zhǔn)才能訪問(wèn)，是否由專人陪同或監(jiān)督，是否進(jìn)行記錄并管理。

訪談、核查

序號(hào)

測(cè)評(píng)指標(biāo)

測(cè)評(píng)內(nèi)容

測(cè)評(píng)方法

1

系統(tǒng)定級(jí)

應(yīng)訪談安全主管，詢問(wèn)確定信息系統(tǒng)安全保護(hù)等級(jí)的方法是否參照定級(jí)指南的指導(dǎo)，是否對(duì)其進(jìn)行明確描述； 應(yīng)檢查系統(tǒng)屬性說(shuō)明文檔，查看文檔是否明確了系統(tǒng)邊界； 應(yīng)檢查系統(tǒng)定級(jí)文檔，查看文檔是否給出信息系統(tǒng)的安全保護(hù)等級(jí)； 應(yīng)訪談安全主管，詢問(wèn)定級(jí)結(jié)果是否獲得了相關(guān)部門（如上級(jí)主管部門）的批準(zhǔn)； 應(yīng)檢查系統(tǒng)定級(jí)文檔，查看定級(jí)結(jié)果是否有相關(guān)部門的批準(zhǔn)蓋章。

訪談、核查

2

安全方案設(shè)計(jì)

應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)是否根據(jù)系統(tǒng)的安全級(jí)別選擇基本安全措施，是否依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果補(bǔ)充和調(diào)整安全措施，做過(guò)哪些調(diào)整； 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)是否制定系統(tǒng)的安全方案； 應(yīng)檢查系統(tǒng)的安全方案，查看方案是否描述系統(tǒng)的安全保護(hù)要求，是否詳細(xì)描述了系統(tǒng)的安全策略，是否詳細(xì)描述了系統(tǒng)對(duì)應(yīng)的安全措施等內(nèi)容； 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)是否根據(jù)安全方案制定出系統(tǒng)詳細(xì)設(shè)計(jì)方案指導(dǎo)安全系統(tǒng)建設(shè)和安全產(chǎn)品采購(gòu)； 應(yīng)檢查系統(tǒng)的詳細(xì)設(shè)計(jì)方案，查看詳細(xì)設(shè)計(jì)方案是否對(duì)應(yīng)安全方案進(jìn)行細(xì)化，是否有安全建設(shè)方案和安全產(chǎn)品采購(gòu)方案； 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)是否組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)安全設(shè)計(jì)方案進(jìn)行論證和審定，安全設(shè)計(jì)方案是否經(jīng)過(guò)安全主管領(lǐng)導(dǎo)或管理層的批準(zhǔn)； 應(yīng)檢查系統(tǒng)的詳細(xì)設(shè)計(jì)方案，查看方案是否有經(jīng)****管理部門的批準(zhǔn)蓋章； 應(yīng)檢查專家論證文檔，查看是否有相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)安全設(shè)計(jì)方案的評(píng)審意見。

訪談、核查

3

產(chǎn)品采購(gòu)和使用

應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)系統(tǒng)信息安全產(chǎn)品的采購(gòu)情況，是否有產(chǎn)品采購(gòu)清單指導(dǎo)產(chǎn)品采購(gòu)，采購(gòu)過(guò)程如何控制； 應(yīng)檢查系統(tǒng)使用的有關(guān)信息安全產(chǎn)品（邊界安全設(shè)備、重要服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)等）是否符合國(guó)家的有關(guān)規(guī)定； 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)系統(tǒng)是否采用了密碼產(chǎn)品，密碼產(chǎn)品的使用是否符合國(guó)家密碼主管部門的要求； 應(yīng)檢查密碼產(chǎn)品的品牌及型號(hào)，確認(rèn)該產(chǎn)品是否經(jīng)過(guò)國(guó)家密碼主管部門許可；應(yīng)檢查密碼產(chǎn)品的使用情況是否符合密碼產(chǎn)品使用、管理的相關(guān)規(guī)定，例如《商用密碼管理?xiàng)l例》規(guī)定任何單位只能使用經(jīng)過(guò)國(guó)家密碼管理機(jī)構(gòu)認(rèn)可的商用密碼產(chǎn)品，商用密碼產(chǎn)品發(fā)生故障，必須有國(guó)家密碼管理機(jī)構(gòu)指定的單位維修，報(bào)廢商用密碼產(chǎn)品應(yīng)向國(guó)家密碼管理機(jī)構(gòu)備案，《計(jì)算機(jī)信息系統(tǒng)保密工作暫行規(guī)定》規(guī)定涉密系統(tǒng)配置合格的保密專用設(shè)備，所采取的保密措施應(yīng)與所處理信息的密級(jí)要求相一致等； 應(yīng)訪談安全主管，詢問(wèn)是否有專門的部門負(fù)責(zé)產(chǎn)品的采購(gòu)，由何部門負(fù)責(zé)。

訪談、核查

4

自行軟件開發(fā)

應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)系統(tǒng)是否自主開發(fā)軟件，自主開發(fā)是否有相應(yīng)的控制措施，是否在獨(dú)立的模擬環(huán)境中編寫、調(diào)試和完成； 應(yīng)檢查軟件開發(fā)環(huán)境與系統(tǒng)運(yùn)行環(huán)境在物理上是否是分開的； 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)是否將自行軟件開發(fā)過(guò)程的控制方法和人員行為準(zhǔn)則協(xié)議制度化； 應(yīng)檢查軟件開發(fā)管理制度，查看其是否規(guī)定軟件開發(fā)過(guò)程的控制方法和人員的各種行為等方面內(nèi)容； 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)軟件設(shè)計(jì)的相關(guān)文檔和使用指南文檔是否由專人負(fù)責(zé)保管，負(fù)責(zé)人是何人，如何控制使用（如限制使用人員范圍并做使用登記等）； 應(yīng)檢查是否具有軟件設(shè)計(jì)的相關(guān)文檔（應(yīng)用軟件設(shè)計(jì)程序文件、源代碼說(shuō)明文檔等）和軟件使用指南或操作手冊(cè)和維護(hù)手冊(cè)等；是否具有軟件設(shè)計(jì)相關(guān)文檔的使用控制記錄。

訪談、核查

5

外包軟件開發(fā)

應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)軟件交付前是否依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測(cè)，驗(yàn)收檢測(cè)是否是由開發(fā)商和委托方共同參與；詢問(wèn)在外包軟件前是否對(duì)軟件開發(fā)單位以書面文檔形式（如軟件開發(fā)安全協(xié)議）協(xié)議軟件開發(fā)單位的責(zé)任、開發(fā)過(guò)程中的安全行為、開發(fā)環(huán)境要求、軟件質(zhì)量、開發(fā)后的服務(wù)承諾等內(nèi)容； 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)是否具有獨(dú)立對(duì)軟件進(jìn)行日常維護(hù)和使用所需的文檔，開發(fā)單位是否為軟件的正常運(yùn)行和維護(hù)提供過(guò)技術(shù)支持，以何種方式進(jìn)行； 應(yīng)檢查是否具有需求分析說(shuō)明書、軟件設(shè)計(jì)說(shuō)明書、軟件操作手冊(cè)等開發(fā)文檔以及用戶培訓(xùn)計(jì)劃、程序員培訓(xùn)手冊(cè)等后期技術(shù)支持文檔； 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)軟件安裝之前是否檢測(cè)軟件中的惡意代碼，檢測(cè)工具是否是第三方的商業(yè)產(chǎn)品； 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)是否會(huì)審查軟件中可能存在的后門； 應(yīng)檢查軟件開發(fā)協(xié)議是否要求開發(fā)單位提供源代碼。

訪談、核查

6

工程實(shí)施

應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)是否指定專門人員或部門按照工程實(shí)施方案的要求對(duì)工程實(shí)施過(guò)程進(jìn)行進(jìn)度和質(zhì)量控制； 應(yīng)檢查工程實(shí)施方案，查看其是否規(guī)定工程時(shí)間限制、進(jìn)度控制、質(zhì)量控制等方面內(nèi)容，工程實(shí)施過(guò)程是否按照實(shí)施方案形成各種文檔，如階段性工程報(bào)告。

訪談、核查

7

測(cè)試驗(yàn)收

應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)是否對(duì)系統(tǒng)進(jìn)行安全性測(cè)試驗(yàn)收； 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)是否根據(jù)設(shè)計(jì)方案或合同要求組織相關(guān)部門和人員對(duì)測(cè)試報(bào)告進(jìn)行符合性審定； 應(yīng)檢查工程測(cè)試方案，查看其是否對(duì)參與測(cè)試部門、人員、現(xiàn)場(chǎng)操作過(guò)程等進(jìn)行要求；查看測(cè)試記錄是否詳細(xì)記錄了測(cè)試時(shí)間、人員、操作過(guò)程、測(cè)試結(jié)果等方面內(nèi)容；查看測(cè)試報(bào)告是否提出存在問(wèn)題及改進(jìn)意見等； 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)是否組織相關(guān)部門和相關(guān)人員，哪些部門哪些人員，對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定，是否由雙方簽字進(jìn)行確認(rèn)； 應(yīng)檢查系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告，是否有審定部門的人員的簽字。

訪談、核查

8

系統(tǒng)交付

應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)交接手續(xù)是什么，系統(tǒng)交接工作是否由專門部門按照該手續(xù)辦理，是否根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)，交付清單是否滿足合同的有關(guān)要求；是否對(duì)交付工作進(jìn)行制度化要求； 應(yīng)檢查系統(tǒng)交付清單，查看其是否具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊(cè)等文檔名稱； 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)目前的信息系統(tǒng)是否由內(nèi)部人員獨(dú)立運(yùn)行維護(hù)，如果是，系統(tǒng)建設(shè)實(shí)施方是否對(duì)運(yùn)維技術(shù)人員進(jìn)行過(guò)培訓(xùn)，針對(duì)哪些方面進(jìn)行過(guò)培訓(xùn)； 應(yīng)檢查是否具有對(duì)系統(tǒng)運(yùn)維技術(shù)人員進(jìn)行的培訓(xùn)記錄； 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)系統(tǒng)是否具有支持其獨(dú)立運(yùn)行維護(hù)所需的文檔； 應(yīng)檢查系統(tǒng)交付清單，查看其是否具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊(cè)等文檔名稱。

訪談、核查

9

安全服務(wù)商選擇

應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)對(duì)信息系統(tǒng)進(jìn)行安全規(guī)劃、設(shè)計(jì)、實(shí)施、維護(hù)、測(cè)評(píng)等服務(wù)的安全服務(wù)單位是否符合國(guó)家有關(guān)規(guī)定； 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)是否與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，在協(xié)議內(nèi)明確約定相關(guān)責(zé)任； 應(yīng)查看與安全服務(wù)商簽訂的協(xié)議中是否有安全要求，是否明確約定相關(guān)責(zé)任； 應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)選定的安全服務(wù)商是否提供技術(shù)支持和服務(wù)承諾，是否與其簽訂服務(wù)合同； 應(yīng)查看與安全服務(wù)商簽訂的協(xié)議中是否包含技術(shù)支持和服務(wù)承諾的相關(guān)條款。

訪談、核查

序號(hào)

測(cè)評(píng)指標(biāo)

測(cè)評(píng)內(nèi)容

測(cè)評(píng)方法

1

環(huán)境管理

應(yīng)訪談物理安全負(fù)責(zé)人，詢問(wèn)是否指定專人或部門對(duì)機(jī)房基本設(shè)施（如空調(diào)、供配電設(shè)備等）進(jìn)行定期維護(hù)，由何部門/何人負(fù)責(zé)，維護(hù)周期多長(zhǎng)； 應(yīng)檢查機(jī)房基礎(chǔ)設(shè)施維護(hù)記錄，查看是否記錄維護(hù)日期、維護(hù)人、維護(hù)設(shè)備、故障原因、維護(hù)結(jié)果等方面內(nèi)容； 應(yīng)訪談物理安全負(fù)責(zé)人，詢問(wèn)是否指定人員負(fù)責(zé)機(jī)房安全管理工作，對(duì)機(jī)房的出入管理是否要求進(jìn)行制度化和文檔化； 應(yīng)檢查機(jī)房進(jìn)出登記表，查看其是否記錄外來(lái)人員進(jìn)出時(shí)間、人員姓名和訪問(wèn)原因等方面內(nèi)容； 應(yīng)檢查機(jī)房安全管理制度，查看其內(nèi)容是否覆蓋機(jī)房物理訪問(wèn)、物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面； 應(yīng)訪談物理安全負(fù)責(zé)人，詢問(wèn)是否對(duì)保證辦公環(huán)境的保密性采取相應(yīng)措施，如人員調(diào)離后權(quán)力收回等。

訪談、核查

2

資產(chǎn)管理

應(yīng)訪談安全主管，詢問(wèn)是否指定資產(chǎn)管理的責(zé)任人員或部門，由何部門/何人負(fù)責(zé)； 應(yīng)檢查資產(chǎn)清單，查看其內(nèi)容是否覆蓋資產(chǎn)責(zé)任人、所屬級(jí)別、所處位置和所屬部門等方面； 應(yīng)檢查資產(chǎn)安全管理制度，詢問(wèn)是否明確資產(chǎn)管理的責(zé)任部門、責(zé)任人等方面要求,協(xié)議資產(chǎn)管理和使用 。

訪談、核查

3

介質(zhì)管理

應(yīng)訪談資產(chǎn)管理員，詢問(wèn)介質(zhì)的存放環(huán)境是否有保護(hù)措施，防止其被盜、被毀、被未授權(quán)修改以及信息的非法泄漏，是否有專人管理； 應(yīng)訪談資產(chǎn)管理員，詢問(wèn)是否對(duì)介質(zhì)的使用管理要求文檔化，是否根據(jù)介質(zhì)的目錄清單對(duì)介質(zhì)的使用現(xiàn)狀進(jìn)行定期檢查; 應(yīng)檢查介質(zhì)管理記錄，查看其是否記錄介質(zhì)的存儲(chǔ)、歸檔和借用等情況； 應(yīng)訪談資產(chǎn)管理員，詢問(wèn)對(duì)送出維修或銷毀介質(zhì)之前是否做過(guò)安全處理（如清除其中的敏感數(shù)據(jù)）； 應(yīng)訪談資產(chǎn)管理員，詢問(wèn)是否對(duì)介質(zhì)進(jìn)行分類和標(biāo)識(shí)管理； 應(yīng)檢查介質(zhì)，查看是否對(duì)其進(jìn)行了分類，并具有不同標(biāo)識(shí)。

訪談、核查

4

設(shè)備管理

應(yīng)訪談資產(chǎn)管理員，詢問(wèn)是否對(duì)各類設(shè)施、設(shè)備指定專人或?qū)ｉT部門進(jìn)行定期維護(hù)，由何部門/何人維護(hù)，維護(hù)周期多長(zhǎng)； 應(yīng)訪談資產(chǎn)管理員，詢問(wèn)是否對(duì)設(shè)備選用的各個(gè)環(huán)節(jié)（選型、采購(gòu)和發(fā)放等）進(jìn)行審批控制，設(shè)備的操作和使用是否要求協(xié)議化管理； 應(yīng)檢查設(shè)備審批、發(fā)放管理文檔，查看其內(nèi)容是否對(duì)設(shè)備選型、采購(gòu)和發(fā)放等環(huán)節(jié)的申報(bào)和審批作出規(guī)定； 應(yīng)訪談系統(tǒng)管理員，詢問(wèn)是否對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行協(xié)議化管理； 應(yīng)檢查設(shè)備使用管理文檔，查看其內(nèi)容是否覆蓋終端計(jì)算機(jī)、便攜機(jī)和網(wǎng)絡(luò)設(shè)備等使用、操作原則、注意事項(xiàng)等方面； 應(yīng)檢查服務(wù)器操作規(guī)程，查看其內(nèi)容是否覆蓋服務(wù)器如何啟動(dòng)、停止、加電、斷電等操作； 應(yīng)訪談資產(chǎn)管理員，是否對(duì)設(shè)備帶離機(jī)構(gòu)進(jìn)行審批控制。

訪談、核查

5

網(wǎng)絡(luò)安全管理

應(yīng)訪談安全主管，詢問(wèn)是否指定專人負(fù)責(zé)維護(hù)網(wǎng)絡(luò)運(yùn)行日志、監(jiān)控記錄和分析處理報(bào)警信息等網(wǎng)絡(luò)安全管理工作； 應(yīng)檢查網(wǎng)絡(luò)安全管理制度，查看其是否覆蓋網(wǎng)絡(luò)設(shè)備的安全策略、授權(quán)訪問(wèn)、最小服務(wù)、升級(jí)與打補(bǔ)丁、維護(hù)記錄、日志內(nèi)容、日志保存時(shí)間等方面內(nèi)容； 應(yīng)訪談網(wǎng)絡(luò)管理員，詢問(wèn)是否根據(jù)廠家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行過(guò)升級(jí)，目前的版本號(hào)為多少，升級(jí)前是否對(duì)重要文件（帳戶數(shù)據(jù)、配置數(shù)據(jù)等）進(jìn)行備份，采取什么方式進(jìn)行備份； 應(yīng)訪談網(wǎng)絡(luò)管理員，詢問(wèn)是否對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行過(guò)漏洞掃描，對(duì)掃描出的漏洞是否及時(shí)修補(bǔ)； 應(yīng)訪談網(wǎng)絡(luò)管理員，詢問(wèn)是否對(duì)網(wǎng)絡(luò)設(shè)備的配置文件進(jìn)行定期備份； 應(yīng)訪談安全員，詢問(wèn)系統(tǒng)網(wǎng)絡(luò)的外聯(lián)種類有哪些（互聯(lián)網(wǎng)、**伙伴企業(yè)網(wǎng)、上級(jí)部門網(wǎng)絡(luò)等），是否都得到授權(quán)與批準(zhǔn)，由何部門/何人批準(zhǔn)； 應(yīng)檢查是否具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書。

訪談、核查

6

系統(tǒng)安全管理

應(yīng)訪談安全主管，詢問(wèn)是否指定專人負(fù)責(zé)系統(tǒng)安全管理； 應(yīng)訪談安全員，詢問(wèn)是否根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)訪問(wèn)控制策略； 應(yīng)訪談安全員，是否對(duì)系統(tǒng)進(jìn)行過(guò)漏洞掃描，發(fā)現(xiàn)漏洞是否及時(shí)修補(bǔ)； 應(yīng)訪談系統(tǒng)管理員，詢問(wèn)是否定期對(duì)系統(tǒng)安裝安全補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前是否對(duì)重要文件（系統(tǒng)配置、系統(tǒng)用戶數(shù)據(jù)等）進(jìn)行備份，采取什么方式進(jìn)行； 應(yīng)訪談系統(tǒng)管理員，詢問(wèn)是否對(duì)系統(tǒng)安全進(jìn)行制度化管理； 應(yīng)檢查系統(tǒng)安全管理制度，查看其內(nèi)容是否覆蓋系統(tǒng)安全策略、授權(quán)訪問(wèn)、最小服務(wù)、升級(jí)與打補(bǔ)丁、維護(hù)記錄、日志、系統(tǒng)帳戶等方面做出具體要求； 應(yīng)訪談系統(tǒng)管理員，詢問(wèn)是否有系統(tǒng)的操作手冊(cè)；是否詳細(xì)記錄操作日志； 應(yīng)訪談審計(jì)員，詢問(wèn)是否規(guī)定系統(tǒng)審計(jì)日志的保存時(shí)間，多長(zhǎng)時(shí)間；是否對(duì)運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析； 應(yīng)檢查在規(guī)定的保存時(shí)間范圍內(nèi)是否存在系統(tǒng)審計(jì)日志。

訪談、核查

7

惡意代碼防范管理

應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢問(wèn)是否對(duì)員工進(jìn)行基本惡意代碼防范意識(shí)的教育，如告知應(yīng)及時(shí)升級(jí)軟件版本，使用外來(lái)設(shè)備、網(wǎng)絡(luò)上接收文件和外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之**行病毒檢查； 應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢問(wèn)是否指定專人對(duì)惡意代碼進(jìn)行檢測(cè)，并保存記錄； 應(yīng)檢查是否具有惡意代碼檢測(cè)記錄； 應(yīng)檢查惡意代碼防范管理文檔，查看其內(nèi)容是否對(duì)防惡意代碼軟件的授權(quán)使用、惡意代碼庫(kù)升級(jí)、定期匯報(bào)等方面作出規(guī)定。

訪談、核查

8

密碼管理

應(yīng)訪談安全員，詢問(wèn)密碼算法和密鑰的使用是否遵照國(guó)家密碼管理規(guī)定。

訪談、核查

9

變更管理

應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢問(wèn)是否制定變更方案指導(dǎo)系統(tǒng)執(zhí)行變更； 應(yīng)檢查系統(tǒng)變更方案，查看其是否對(duì)變更類型、變更原因、變更過(guò)程、變更前評(píng)估等方面進(jìn)行說(shuō)明； 應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢問(wèn)重要系統(tǒng)變更前是否得到有關(guān)領(lǐng)導(dǎo)的批準(zhǔn)，由何人批準(zhǔn)，對(duì)發(fā)生的變更情況是否通知了所有相關(guān)人員，以何種方式通知； 應(yīng)檢查重要系統(tǒng)的變更申請(qǐng)書，查看其是否有主管領(lǐng)導(dǎo)的批準(zhǔn)。

訪談、核查

10

備份與恢復(fù)管理

應(yīng)訪談系統(tǒng)管理員和數(shù)據(jù)庫(kù)管理員，詢問(wèn)是否識(shí)別出需要定期備份的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)和軟件系統(tǒng)，主要有哪些； 對(duì)其備份工作是否以文檔形式協(xié)議了備份方式、頻度、介質(zhì)和保存期等內(nèi)容； 應(yīng)檢查備份管理文檔，查看其是否規(guī)定備份方式、頻度、介質(zhì)和保存期等方面內(nèi)容； 應(yīng)檢查是否具有規(guī)定備份方式、頻度、介質(zhì)、保存期的文檔； 應(yīng)訪談系統(tǒng)管理員和數(shù)據(jù)庫(kù)管理員，詢問(wèn)是否制定了數(shù)據(jù)的備份策略和恢復(fù)策略； 應(yīng)檢查數(shù)據(jù)備份和恢復(fù)策略文檔，查看其內(nèi)容是否覆蓋數(shù)據(jù)的存放場(chǎng)所、文件命名規(guī)則、介質(zhì)替換頻率、數(shù)據(jù)離站傳輸方法等方面。

訪談、核查

11

安全事件處置

應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢問(wèn)是否告知用戶在發(fā)現(xiàn)安全弱點(diǎn)和可疑事件時(shí)應(yīng)及時(shí)報(bào)告； 應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢問(wèn)是否對(duì)安全事件進(jìn)行分類處置管理；詢問(wèn)是否制定了安全事件報(bào)告和處理管理制度文件； 應(yīng)檢查安全事件報(bào)告和處置管理制度，查看其是否明確與安全事件有關(guān)的工作職責(zé)，包括報(bào)告單位（人）、接報(bào)單位（人）和處置單位等職責(zé)； 應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢問(wèn)本系統(tǒng)已發(fā)生的和需要防止發(fā)生的安全事件主要有哪幾類，對(duì)識(shí)別出的安全事件是否根據(jù)其對(duì)系統(tǒng)的影響程度劃分不同等級(jí)，劃分為幾級(jí)； 應(yīng)檢查安全事件定級(jí)文檔，查看其內(nèi)容是否明確安全事件的定義、安全事件等級(jí)劃分的原則、等級(jí)描述等方面內(nèi)容； 應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢問(wèn)是否對(duì)所報(bào)告的安全事件進(jìn)行記錄并保存； 應(yīng)檢查安全事件記錄分析文檔，查看其是否記錄引發(fā)安全事件的原因，是否記錄事件處理過(guò)程，是否采取措施避免其再次發(fā)生。

訪談、核查

12

應(yīng)急預(yù)案管理

應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢問(wèn)是否制定不同事件的應(yīng)急預(yù)案； 應(yīng)檢查應(yīng)急預(yù)案文檔，查看其內(nèi)容是否覆蓋啟動(dòng)預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程和事后教育等內(nèi)容； 是否對(duì)系統(tǒng)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，培訓(xùn)內(nèi)容是什么，多長(zhǎng)時(shí)間舉辦一次； 應(yīng)檢查是否具有應(yīng)急預(yù)案培訓(xùn)記錄。

訪談、核查

序號(hào)

招標(biāo)文件

投標(biāo)文件

條目

簡(jiǎn)要內(nèi)容

條目

簡(jiǎn)要內(nèi)容

項(xiàng)目名稱

投標(biāo)報(bào)價(jià)

工期

投標(biāo)聲明（明確稅率）

小寫（萬(wàn)元人民幣）

大寫

150天

序號(hào)

費(fèi)用名稱

價(jià)格（：萬(wàn)元）

備 注

合 計(jì)

序號(hào)

招標(biāo)文件

投標(biāo)文件

條目

簡(jiǎn)要內(nèi)容

條目

簡(jiǎn)要內(nèi)容

姓名

年齡

職稱

職務(wù)

從事專業(yè)

在本合同本項(xiàng)目中擔(dān)任的職務(wù)

身份證號(hào)碼

主要經(jīng)歷

年～年

曾參加項(xiàng)目名稱

擔(dān)任職務(wù)

備注

投標(biāo)人（公章）負(fù)責(zé)人（簽名）

日期：

姓名

年齡

職稱

職務(wù)

從事專業(yè)

在本合同本項(xiàng)目中擔(dān)任的職務(wù)

身份證號(hào)碼

主要經(jīng)歷

年～年

曾參加項(xiàng)目名稱

擔(dān)任職務(wù)

備注

投標(biāo)人（公章）負(fù)責(zé)人（簽名）

日期：

姓名

年齡

職稱或

技術(shù)等級(jí)

專業(yè)或工種

專業(yè)工齡

曾參加項(xiàng)目名稱

在項(xiàng)目中擔(dān)任的工作

身份證號(hào)碼

投標(biāo)人（公章）負(fù)責(zé)人（簽名）

日期：

序號(hào)

姓名

職務(wù)

職稱

專業(yè)

特殊工種證書編號(hào)及發(fā)證機(jī)構(gòu)

身份證號(hào)碼

備注

序號(hào)

機(jī)具儀器設(shè)備名稱

型號(hào)及規(guī)范

單位

數(shù)量

備注

姓名

年齡

職稱

職務(wù)

從事專業(yè)

在本合同本項(xiàng)目中擔(dān)任的職務(wù)

身份證號(hào)碼

主要經(jīng)歷

年～年

曾參加項(xiàng)目名稱

擔(dān)任職務(wù)

備注

投標(biāo)人（公章）負(fù)責(zé)人（簽名）

日期：

姓名

年齡

職稱

職務(wù)

從事專業(yè)

在本合同本項(xiàng)目中擔(dān)任的職務(wù)

身份證號(hào)碼

主要經(jīng)歷

年～年

曾參加項(xiàng)目名稱

擔(dān)任職務(wù)

備注

投標(biāo)人（公章）負(fù)責(zé)人（簽名）

日期：

姓名

年齡

職稱或

技術(shù)等級(jí)

專業(yè)或工種

專業(yè)工齡

曾參加項(xiàng)目名稱

在項(xiàng)目中擔(dān)任的工作

身份證號(hào)碼

投標(biāo)人（公章）負(fù)責(zé)人（簽名）

日期：

序號(hào)

姓名

職務(wù)

職稱

專業(yè)

特殊工種證書編號(hào)及發(fā)證機(jī)構(gòu)

身份證號(hào)碼

備注

序號(hào)

機(jī)具儀器設(shè)備名稱

型號(hào)及規(guī)范

單位

數(shù)量

備注