系统建设的管理等级保护测评作业指导书四级Word文件下载.docx
《系统建设的管理等级保护测评作业指导书四级Word文件下载.docx》由会员分享,可在线阅读,更多相关《系统建设的管理等级保护测评作业指导书四级Word文件下载.docx(35页珍藏版)》请在冰豆网上搜索。
WORD格式.可编辑
修改页
修订号1
控制编号
版号/章节号
修改人
修订原因
批准人
批准日期
备注
SGISL/OP-SA92-10
李焕
按公安部要求修订
詹雄
2010.3.8
一、系统定级
1.信息系统边界和安全保护等级
测评项编号
ADT-JSGL-01-A
对应要求
应明确信息系统的边界和安全保护等级
测评项名称
信息系统边界和安全保护等级
测评分项1:
检查系统边界和安全保护等级。
操作步骤
访谈管理员,询问是否明确了信息系统的边界范围,是否明确系统安全保护等级。
适用版本任何版本
无实施风险
符合性判定
如果信息系统边界范围明确,确定了系统安全保护等级,判定结果为符合;
如果信息系统边界范围不明确,或未确定系统安全保护等级,判定结果为不符合。
2.信息系统定级方法和理由
ADT-JSGL-01-B
应以书面的形式说明确定信息系统为某个安全保护等级的方法和理由
信息系统定级方法和理由
检查系统定级情况。
访谈管理员,询问系统定级是否参照定级指南的指导,是否对其进行明
是否有书面说明确定系统为某个安全保护等级的方法和理由,确描述,说明。
适用版本
任何版本
实施风险
无
符合性判定
说明确定系统如果系统定级参照定级指南的指导,有书面相关的说明,为某个安全保护等级的方法和理由,判定结果为符合;
未能说明如果系统定级未参照定级指南的指导,或无书面相关的说明,确定系统为某个安全保护等级的方法和理由,判定结果为不符合。
备注
3.定级结果论证和审定
测评项编号
ADT-JSGL-01-C
应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定
定级结果论证和审定
:
检查系统定级的审定情况。
测评分项1
操作步骤
询问系统定级是否组织相关部门和有关安全技术专家对定访谈管理员,级结果进行论证和审定,检查论证和审定记录。
任何版本适用版本
无实施风险
相如果组织相关部门和有关安全技术专家对定级结果进行论证和审定,
关的论证和审定记录,判定结果为符合;
如果未组织相关部门和有关安全技术专家对定级结果进行论证和审定,相关的论证和审定记录,判定结果为不符合。
4.定级结果经过相关部门批准
ADT-JSGL-01-D
对应要求
应确保信息系统的定级结果经过相关部门的批准
测评项名称
定级结果经过相关部门批准
1:
测评分项
访谈管理员,询问系统定级记录是否经过相关部门(如上级主管部门)的批准。
查看相关的文件。
无实施风险
如果系统定级结果经过相关部门的批准盖章,判定结果为符合;
如果系统定级结果未经过相关部门的批准盖章,判定结果为不符合。
二、安全方案设计.选择基本安全措施及补充调整1整理分享.技术资料
ADT-JSGL-02-A
应根据系统的安全保护等级选择基本安依据风险分析的结果补充和调整全措施,安全措施
选择基本安全措施及补充调整
检查安全方案设计。
是访谈管理员,询问是否根据系统的安全保护等级选择基本安全措施,否依据风险分析的结果来补充和调整安全措施。
任何版本适用版本
实施风险无
依据风险分析的结果如果根据系统的安全保护等级选择基本安全措施,补充和调整安全措施,判定结果为符合;
或未依据风险分析如果未根据系统的安全保护等级选择基本安全措施,的结果补充和调整安全措施,判定结果为不符合。
.安全建设总体规划2
ADT-JSGL-02-B
应指定和授权专门的部门对信息系统的制定近期和远期安全建设进行总体规划,的安全建设工作计划
安全建设总体规划
询问是否指定和授权专门的部门对信息系统的安全建设进访谈管理员,行总体规划,制定近期和远期的安全建设工作计划,查看工作计划。
实施风险
有安全建设工如果有专门的部门对信息系统的安全建设进行总体规划,作计划,判定结果为符合;
无安全建设工如果无专门的部门对信息系统的安全建设进行总体规划,作计划,判定结果为不符合。
3.细化系统安全方案
ADT-JSGL-02-C
统一考应根据信息系统的等级划分情况,安全技虑安全保障体系的总体安全策略、总体建设规划和术框架、安全管理策略、详细设计方案,并形成配套文件
细化系统安全方案
统一考虑安全保询问是否根据信息系统的等级划分情况,访谈管理员,总体建设规划安全管理策略、障体系的总体安全策略、安全技术框架、和详细设计方案,并形成配套文件,查看相关的详细设计方案。
如果有总体建设规划和详细设计方案,判定结果为符合;
如果无总体建设规划和详细设计方案,判定结果为不符合。
4.安全技术专家论证和审定
ADT-JSGL-02-D
应组织相关部门和有关安全技术专家对安全管总体安全的策略、安全技术框架、详细设计方案等理策略、总体建设规划、相关配套文件的合理性和正确性进行论才能正式实证和审定,并且经过批准后,施
安全技术专家论证和审定
访谈管理员,询问安全建设方案是否经过专家的详细周全的论证和讨论,批准后才开始实施。
如果安全建设方案经过专家的详细周全的论证和讨论,判定结果为符合;
判定结果为不如果安全建设方案未经过专家的详细周全的论证和讨论,符合。
.安全方案调整和修订5
ADT-JSGL-02-E
安全评估的结果定期调应根据等级测评、整和修订总体安全策略、安全技术框架、详细设计安全管理策略、总体建设规划、方案等相关配套文件
安全方案调整和修订
检查安全方案的调整和修订。
安全评估的结果定期调整和修订访谈管理员,询问是否根据等级测评、详细设总体安全策略、安全技术框架、安全管理策略、总体建设规划、检查相应的调整和修计方案等相关配套文件;
询问调整和修订的周期,订记录。
判定结果为符安全评估的结果调整安全方案,如果定期根据等级测评、合;
判定结果为安全评估的结果调整安全方案,如果未定期根据等级测评、不符合。
三、产品采购和使用整理分享.技术资料
1.安全产品采购和使用符合国家有关规定
ADT-JSGL-03-A
应确保安全产品采购和使用符合国家有关规定
安全产品采购和使用符合国家有关规定
检查安全产品采购和使用是否符合国家有关安全产品的规定。
访谈管理员,询问系统采购和使用的安全产品是否符合国家有关规定,得到国家相关部门的认证。
如果系统采购和使用的安全产品符合国家有关规定,得到国家相关部门的认证,判定结果为符合;
如果系统采购和使用的安全产品不符合国家有关规定,或未得到国家相关部门的认证,判定结果为不符合。
2.保密码产品采购和使用符合国家密码主管部门要求
ADT-JSGL-03-B
应确保密码产品采购和使用符合国家密码主管部门的要求
保密码产品采购和使用符合国家密码主管部门要求
检查密码产品采购和使用是否符合国家密码主管部门的规定。
访谈管理员,询问系统采购和使用的密码产品是否符合国家密码主管部
门的规定,得到国家相关部门的认证。
得到国家相关部门如果系统采购和使用的密码产品符合国家有关规定,的认证,判定结果为符合;
或未得到国家相如果系统采购和使用的密码产品不符合国家有关规定,关部门的认证,判定结果为不符合。
3.专门部门负责产品采购
ADT-JSGL-03-C
应指定或授权专门的部门负责产品的采购
专门部门负责产品采购
检查产品的采购。
访谈管理员,询问是否有专门的部门负责产品的采购。
如果有专门的部门负责产品的采购,判定结果为符合;
如果无专门的部门负责产品的采购,判定结果为不符合。
4.预先产品选型测试
ADT-JSGL-03-D
升级会员 