GB/T 28448-2019 信息安全技術 網絡安全等級保護測評要求6.1 安全測評通用要求
6.1 安全測評通用要求
6.1.1 安全物理環境
6.1.1.1 物理訪問控制
6.1.1.1.1 測評單元(L1-PES1-01)
該測評單元包括以下要求:
a) 測評指標:機房出入口應安排專人值守或配置電子門禁系統,控制、鑒別和記錄進入的人員;
b) 測評對象:機房電子門禁系統和值守記錄;
c) 測評實施:應核查是否安排專人值守或配置電子門禁系統;
6.1.1.2 防盜竊和防破壞
6.1.1.2.1 測評單元(L1-PES1-02)
該測評單元包括以下要求:
a) 測評指標:應將設備或主要部件進行固定,并設置明顯的不易除去的標識;
b) 測評對象:機房設備或主要部件;
c) 測評實施包括以下內容:
1) 應核查機房內設備或主要部件是否固定;
2) 應核查機房內設備或主要部件上是否設置了明顯且不易除去的標識。
6.1.1.3 防雷擊
6.1.1.3.1 測評單元(L1-PES1-03)
該測評單元包括以下要求:
a) 測評指標:應將各類機柜、設施和設備等通過接地系統安全接地;
b) 測評對象:機房;
c) 測評實施:應核查機房內機柜、設施和設備等是否進行接地處理;
6.1.1.4 防火
6.1.1.4.1 測評單元(L1-PES1-04)
該測評單元包括以下要求:
a) 測評指標:機房應設置滅火設備;
b) 測評對象:機房滅火設備;
c) 測評實施:應核查機房內是否配備滅火設備;
6.1.1.5 防水和防潮
6.1.1.5.1 測評單元(L1-PES1-05)
該測評單元包括以下要求:
a) 測評指標:應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透;
b) 測評對象:機房;
c) 測評實施:應核查窗戶、屋頂和墻壁是否采取了防雨水滲透的措施;
6.1.1.6 溫濕度控制
6.1.1.6.1 測評單元(L1-PES1-06)
該測評單元包括以下要求:
a) 測評指標:應設置必要的溫濕度調節設施,使機房溫濕度的變化在設備運行所允許的范圍之內;
b) 測評對象:機房溫濕度控制設施;
c) 測評實施包括以下內容:
1) 應核查機房內是否配備了溫濕度調節設施;
2) 應核查溫濕度是否在設備運行所允許的范圍之內。
6.1.1.7 電力供應
6.1.1.7.1 測評單元(L1-PES1-07)
該測評單元包括以下要求:
a) 測評指標:應在機房供電線路上配置穩壓器和過電壓防護設備;
b) 測評對象:機房供電設施;
c) 測評實施:應核查供電線路上是否配置了穩壓器和過電壓防護設備;
6.1.2 安全通信網絡
6.1.2.1 通信傳輸
6.1.2.1.1 測評單元(L1-CNS1-01)
該測評單元包括以下要求:
a) 測評指標:應采用校驗技術保證通信過程中數據的完整性;
b) 測評對象:提供校驗技術功能的設備或組件;
c) 測評實施:應核查是否在數據傳輸過程中使用校驗技術來保護其完整性;
6.1.2.2 可信驗證
6.1.2.2.1 測評單元(L1-CNS1-02)
該測評單元包括以下要求:
a) 測評指標:可基于可信根對通信設備的系統引導程序、系統程序等進行可信驗證,并在檢測到其可信性受到破壞后進行報警;
b) 測評對象:提供可信驗證的設備或組件;
c) 測評實施包括以下內容:
1) 應核查是否基于可信根對通信設備的系統引導程序、系統程序等進行可信驗證;
2) 應核查當檢測到通信設備的可信性受到破壞后是否進行報警。
6.1.3 安全區域邊界
6.1.3.1 邊界防護
6.1.3.1.1 測評單元(L1-ABS1-01)
該測評單元包括以下要求:
a) 測評指標:應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信;
b) 測評對象:網閘、防火墻、路由器、交換機和無線接入網關設備等提供訪問控制功能的設備或相關組件;
c) 測評實施包括以下內容:
1) 應核查在網絡邊界處是否部署訪問控制設備;
2) 應核查設備配置信息是否指定端口進行跨越邊界的網絡通信,指定端口是否配置并啟用了安全策略;
3) 應采用其他技術手段(如非法無線網絡設備定位、核查設備配置信息等)核查是否不存在其他未受控端口進行跨越邊界的網絡通信。
6.1.3.2 訪問控制
6.1.3.2.1 測評單元(L1-ABS1-02)
該測評單元包括以下要求:
a) 測評指標:應在網絡邊界根據訪問控制策略設置訪問控制規則,默認情況下除允許通信外受控接口拒絕所有通信;
b) 測評對象:網閘、防火墻、路由器、交換機和無線接入網關設備等提供訪問控制功能的設備或相關組件;
c) 測評實施包括以下內容:
1) 應核查在網絡邊界是否部署訪問控制設備并啟用訪問控制策略;
2) 應核查設備的最后一條訪問控制策略是否為禁止所有網絡通信。
6.1.3.2.2 測評單元(L1-ABS1-03)
該測評單元包括以下要求:
a) 測評指標:應刪除多余或無效的訪問控制規則,優化訪問控制列表,并保證訪問控制規則數量最小化;
b) 測評對象:網閘、防火墻、路由器、交換機和無線接入網關設備等提供訪問控制功能的設備或相關組件;
c) 測評實施包括以下內容:
1) 應核查是否不存在多余或無效的訪問控制策略;
2) 應核查不同的訪問控制策略之間的邏輯關系及前后排列順序是否合理。
6.1.3.2.3 測評單元(L1-ABS1-04)
該測評單元包括以下要求:
a) 測評指標:應對源地址、目的地址、源端口、目的端口和協議等進行檢查,以允許/拒絕數據包進出;
b) 測評對象:網閘、防火墻、路由器、交換機和無線接入網關設備等提供訪問控制功能的設備或相關組件;
c) 測評實施:應核查設備的訪問控制策略中是否設定了源地址、目的地址、源端口、目的端口和協議等相關配置參數;
6.1.3.3 可信驗證
6.1.3.3.1 測評單元(L1-ABS1-05)
該測評單元包括以下要求:
a) 測評指標:可基于可信根對邊界設備的系統引導程序、系統程序等進行可信驗證,并在檢測到其可信性受到破壞后進行報警;
b) 測評對象:提供可信驗證的設備或組件;
c) 測評實施包括以下內容:
1) 應核查是否基于可信根對邊界設備的系統引導程序、系統程序等進行可信驗證;
2) 應核查當檢測到邊界設備的可信性受到破壞后是否進行報警。
6.1.4 安全計算環境
6.1.4.1 身份鑒別
6.1.4.1.1 測評單元(L1-CES1-01)
該測評單元包括以下要求:
a) 測評指標:應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求并定期更換;
b) 測評對象:終端和服務器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網絡設備(包括虛擬網絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統、移動終端管理客戶端、感知節點設備、網關節點設備、控制設備、業務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等;
c) 測評實施包括以下內容:
1) 應核查用戶在登錄時是否采用了身份鑒別措施;
2) 應核查用戶列表確認用戶身份標識是否具有唯一性;
3) 應核查用戶配置信息是否不存在空口令用戶;
4) 應核查用戶鑒別信息是否具有復雜度要求并定期更換。
6.1.4.1.2 測評單元(L1-CES1-02)
該測評單元包括以下要求:
a) 測評指標:應具有登錄失敗處理功能,應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施;
b) 測評對象:終端和服務器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網絡設備(包括虛擬網絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統、移動終端管理客戶端、感知節點設備、網關節點設備、控制設備、業務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等;
c) 測評實施包括以下內容:
1) 應核查是否配置并啟用了登錄失敗處理功能;
2) 應核查是否配置并啟用了限制非法登錄功能,非法登錄達到一定次數后采取特定動作,如賬戶鎖定等;
3) 應核查是否配置并啟用了登錄連接超時及自動退出功能。
6.1.4.2 訪問控制
6.1.4.2.1 測評單元(L1-CES1-03)
該測評單元包括以下要求:
a) 測評指標:應對登錄的用戶分配賬戶和權限;
b) 測評對象:終端和服務器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網絡設備(包括虛擬網絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統、移動終端管理客戶端、感知節點設備、網關節點設備、控制設備、業務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等;
c) 測評實施包括以下內容:
1) 應核查用戶賬戶和權限設置情況;
2) 應核查是否已禁用或限制匿名、默認賬戶的訪問權限。
6.1.4.2.2 測評單元(L1-CES1-04)
該測評單元包括以下要求:
a) 測評指標:應重命名或刪除默認賬戶,修改默認賬戶的默認口令;
b) 測評對象:終端和服務器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網絡設備(包括虛擬網絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統、移動終端管理客戶端、感知節點設備、網關節點設備、控制設備、業務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等;
c) 測評實施包括以下內容:
1) 應核查是否已經重命名默認賬戶或默認賬戶已被刪除;
2) 應核查是否已修改默認賬戶的默認口令。
6.1.4.2.3 測評單元(L1-CES1-05)
該測評單元包括以下要求:
a) 測評指標:應及時刪除或停用多余的、過期的賬戶,避免共享賬戶的存在;
b) 測評對象:終端和服務器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網絡設備(包括虛擬網絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統、移動終端管理客戶端、感知節點設備、網關節點設備、控制設備、業務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等;
c) 測評實施包括以下內容:
1) 應核查是否不存在多余或過期賬戶,管理員用戶與賬戶之間是否一一對應;
2) 應核查多余的、過期的賬戶是否被刪除或停用。
6.1.4.3 入侵防范
6.1.4.3.1 測評單元(L1-CES1-06)
該測評單元包括以下要求:
a) 測評指標:應遵循最小安裝的原則,僅安裝需要的組件和應用程序;
b) 測評對象:終端和服務器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網絡設備(包括虛擬網絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統、移動終端管理客戶端、感知節點設備、網關節點設備和控制設備等;
c) 測評實施包括以下內容:
1) 應核查是否遵循最小安裝原則;
2) 應確認是否未安裝非必要的組件和應用程序。
6.1.4.3.2 測評單元(L1-CES1-07)
該測評單元包括以下要求:
a) 測評指標:應關閉不需要的系統服務、默認共享和高危端口;
b) 測評對象:終端和服務器等設備中的操作系統(包括宿主機和虛擬機操作系統)、網絡設備(包括虛擬網絡設備)、安全設備(包括虛擬安全設備)、移動終端、移動終端管理系統、移動終端管理客戶端、感知節點設備、網關節點設備和控制設備等;
c) 測評實施包括以下內容:
1) 應訪核查是否關閉了非必要的系統服務和默認共享;
2) 應核查是否不存在非必要的高危端口。
6.1.4.4 惡意代碼防范
6.1.4.4.1 測評單元(L1-CES1-08)
該測評單元包括以下要求:
a) 測評指標:應安裝防惡意代碼軟件或配置具有相應功能的軟件,并定期進行升級和更新防惡意代碼庫;
b) 測評對象:終端和服務器等設備中的操作系統(包括宿主機和虛擬機操作系統)和移動終端等;
c) 測評實施內容包括以下:
1) 應核查是否安裝了防惡意代碼軟件或相應功能的軟件;
2) 應核查是否定期進行升級和更新防惡意代碼庫。
6.1.4.5 可信驗證
6.1.4.5.1 測評單元(L1-CES1-09)
該測評單元包括以下要求:
a) 測評指標:可基于可信根對計算設備的系統引導程序、系統程序等進行可信驗證,并在檢測到其可信性受到破壞后進行報警;
b) 測評對象:提供可信驗證的設備或組件;
c) 測評實施包括以下內容:
1) 應核查是否基于可信根對計算設備的系統引導程序、系統程序等進行可信驗證;
2) 應核查當檢測到計算設備的可信性受到破壞后是否進行報警。
6.1.4.6 數據完整性
6.1.4.6.1 測評單元(L1-CES1-10)
該測評單元包括以下要求:
a) 測評指標:應采用校驗技術保證重要數據在傳輸過程中的完整性;
b) 測評對象:業務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計文檔等;
c) 測評實施:應核查系統設計文檔,重要管理數據、重要業務數據在傳輸過程中是否采用了校驗技術或密碼技術保證完整性;
6.1.4.7 數據備份恢復
6.1.4.7.1 測評單元(L1-CES1-11)
該測評單元包括以下要求:
a) 測評指標:應提供重要數據的本地數據備份與恢復功能;
b) 測評對象:配置數據和業務數據;
c) 測評實施包括以下內容:
1) 應核查是否按照備份策略進行本地備份;
2) 應核查備份策略設置是否合理、配置是否正確;
3) 應核查備份結果是否與備份策略一致;
4) 應核查近期恢復測試記錄,是否能夠進行正常的數據恢復。
6.1.5 安全管理制度
6.1.5.1 管理制度
6.1.5.1.1 測評單元(L1-PSS1-01)
該測評單元包括以下要求:
a) 測評指標:應建立日常管理活動中常用的安全管理制度;
b) 測評對象:安全管理制度類文檔;
c) 測評實施:應核查各項安全管理制度是否覆蓋日常管理活動中的管理內容;
6.1.6 安全管理機構
6.1.6.1 崗位設置
6.1.6.1.1 測評單元(L1-ORS1-01)
該測評單元包括以下要求:
a) 測評指標:應設立系統管理員等崗位,并定義各個工作崗位的職責;
b) 測評對象:信息/網絡安全主管和管理制度類文檔;
c) 測評實施包括以下內容:
1) 應訪談信息/網絡安全主管是否進行了系統管理員等崗位的劃分;
2) 應核查崗位職責文檔是否明確了各崗位職責。
6.1.6.2 人員配備
6.1.6.2.1 測評單元(L1-ORS1-02)
該測評單元包括以下要求:
a) 測評指標:應配備一定數量的系統管理員;
b) 測評對象:信息/網絡安全主管和記錄表單類文檔;
c) 測評實施包括以下內容:
1) 應訪談信息/網絡安全主管是否配備一定數量的系統管理員;
2) 應核查人員配備文檔是否有各崗位人員配備情況。
6.1.6.3 授權和審批
6.1.6.3.1 測評單元(L1-ORS1-03)
該測評單元包括以下要求:
a) 測評指標:應根據各個部門和崗位的職責明確授權審批事項、審批部門和批準人等;
b) 測評對象:管理制度類文檔和記錄表單類文檔;
c) 測評實施包括以下內容:
1) 應核查部門職責文檔是否明確各部門審批事項;
2) 應核查崗位職責文檔是否明確各崗位審批事項。
6.1.7 安全管理人員
6.1.7.1 人員錄用
6.1.7.1.1 測評單元(L1-HRS1-01)
該測評單元包括以下要求:
a) 測評指標:應指定或授權專門的部門或人員負責人員錄用;
b) 測評對象:信息/網絡安全主管;
c) 測評實施:應訪談信息/網絡安全主管是否由專門的部門或人員負責人員的錄用工作;
6.1.7.2 人員離崗
6.1.7.2.1 測評單元(L1-HRS1-02)
該測評單元包括以下要求:
a) 測評指標:應及時終止離崗人員的所有訪問權限,取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備;
b) 測評對象:記錄表單類文檔;
c) 測評實施:應核查是否具有離崗人員終止其訪問權限、交還身份證件、軟硬件設備等的登記記錄;
6.1.7.3 安全意識教育和培訓
6.1.7.3.1 測評單元(L1-HRS1-03)
該測評單元包括以下要求:
a) 測評指標:應對各類人員進行安全意識教育和崗位技能培訓,并告知相關的安全責任和懲戒措施;
b) 測評對象:管理制度類文檔;
c) 測評實施包括以下內容:
1) 應核查安全意識教育及崗位技能培訓文檔是否明確培訓周期、培訓方式、培訓內容和考核方式等相關內容;
2) 應核查安全責任和懲戒措施管理文檔或培訓文檔是否包含具體的安全責任和懲戒措施。
6.1.7.4 外部人員訪問管理
6.1.7.4.1 測評單元(L1-HRS1-04)
該測評單元包括以下要求:
a) 測評指標:應保證在外部人員訪問受控區域前得到授權或審批;
b) 測評對象:管理制度類文檔和記錄表單類文檔;
c) 測評實施包括以下內容:
1) 應核查外部人員訪問管理文檔是否明確允許外部人員訪問的范圍(區域、系統、設備、信息等內容),外部人員進入的條件(對哪些重要區域的訪問須提出書面申請批準后方可進入),外部人員進入的訪問控制措施(由專人全程陪同或監督等)等;
2) 應核查外部人員訪問重要區域的書面申請文檔是否具有批準人允許訪問的批準簽字等。
6.1.8 安全建設管理
6.1.8.1 定級和備案
6.1.8.1.1 測評單元(L1-CMS1-01)
該測評單元包括以下要求:
a) 測評指標:應以書面的形式說明保護對象的安全保護等級及確定等級的方法和理由;
b) 測評對象:記錄表單類文檔;
c) 測評實施:應核查定級文檔是否明確保護對象的安全保護等級,是否說明定級的方法和理由;
6.1.8.2 安全方案設計
6.1.8.2.1 測評單元(L1-CMS1-02)
該測評單元包括以下要求:
a) 測評指標:應根據安全保護等級選擇基本安全措施,依據風險分析的結果補充和調整安全措施;
b) 測評對象:安全規劃設計類文檔;
c) 測評實施:應核查安全設計文檔是否根據安全保護等級選擇安全措施,是否根據安全需求調整安全措施;
6.1.8.3 產品采購和使用
6.1.8.3.1 測評單元(L1-CMS1-03)
該測評單元包括以下要求:
a) 測評指標:應確保網絡安全產品采購和使用符合國家的有關規定;
b) 測評對象:記錄表單類文檔;
c) 測評實施:應核查有關網絡安全產品是否符合國家的有關規定,如網絡安全產品獲得了銷售許可等;
6.1.8.4 工程實施
6.1.8.4.1 測評單元(L1-CMS1-04)
該測評單元包括以下要求:
a) 測評指標:應指定或授權專門的部門或人員負責工程實施過程的管理;
b) 測評對象:記錄表單類文檔;
c) 測評實施:應核查是否指定專門部門或人員對工程實施進行進度和質量控制;
6.1.8.5 測試驗收
6.1.8.5.1 測評單元(L1-CMS1-05)
該測評單元包括以下要求:
a) 測評指標:應進行安全性測試驗收;
b) 測評對象:建設負責人;
c) 測評實施:應訪談建設負責人是否進行了安全性測試驗收;
6.1.8.6 系統交付
6.1.8.6.1 測評單元(L1-CMS1-06)
該測評單元包括以下要求:
a) 測評指標:應制定交付清單,并根據交付清單對所交接的設備、軟件和文檔等進行清點;
b) 測評對象:記錄表單類文檔;
c) 測評實施:應核查是否制定交付清單并說明交付的各類設備、軟件、文檔等;
6.1.8.6.2 測評單元(L1-CMS1-07)
該測評單元包括以下要求:
a) 測評指標:應對負責運行維護的技術人員進行相應的技能培訓;
b) 測評對象:記錄表單類文檔;
c) 測評實施:應核查交付技術培訓記錄是否包括培訓內容、培訓時間和參與人員等;
6.1.8.7 服務供應商管理
6.1.8.7.1 測評單元(L1-CMS1-08)
該測評單元包括以下要求:
a) 測評指標:應確保服務供應商的選擇符合國家的有關規定;
b) 測評對象:建設負責人;
c) 測評實施:應訪談建設負責人選擇的安全服務商是否符合國家有關規定;
6.1.8.7.2 測評單元(L1-CMS1-09)
該測評單元包括以下要求:
a) 測評指標:應與選定的服務供應商簽訂與安全相關的協議,明確約定相關責任;
b) 測評對象:記錄表單類文檔;
c) 測評實施:應核查是否具有與服務供應商簽訂的服務合同或安全責任書,是否明確了相關責任;
6.1.9 安全運維管理
6.1.9.1 環境管理
6.1.9.1.1 測評單元(L1-MMS1-01)
該測評單元包括以下要求:
a) 測評指標:應指定專門的部門或人員負責機房安全,對機房出入進行管理,定期對機房供配電、空調、溫濕度控制、消防等設施進行維護管理;
b) 測評對象:物理安全負責人和記錄表單類文檔;
c) 測評實施包括以下內容:
1) 應訪談物理安全負責人是否指定部門和人員負責機房安全管理工作,對機房的出入進行管理、對基礎設施(如空調、供配電設備、滅火設備等)進行定期維護;
2) 應核查部門或人員崗位職責文檔是否明確機房安全的責任部門及人員。
6.1.9.1.2 測評單元(L1-MMS1-02)
該測評單元包括以下要求:
a) 測評指標:應對機房的安全管理做出規定,包括物理訪問、物品進出和環境安全等方面;
b) 測評對象:管理制度類文檔和記錄表單類文檔;
c) 測評實施包括以下內容:
1) 應核查機房安全管理制度是否覆蓋物理訪問、物品進出和環境安全等方面內容;
2) 應核查物理訪問、物品進出和環境安全等的相關記錄是否與制度相符。
6.1.9.2 介質管理
6.1.9.2.1 測評單元(L1-MMS1-03)
該測評單元包括以下要求:
a) 測評指標:應將介質存放在安全的環境中,對各類介質進行控制和保護,實行存儲介質專人管理,并根據存檔介質的目錄清單定期盤點;
b) 測評對象:資產管理員和記錄表單類文檔;
c) 測評實施包括以下內容:
1) 應訪談資產管理員介質存放環境是否安全,存放環境是否由專人管理;
2) 應核查介質管理記錄是否記錄介質歸檔、使用和定期盤點等情況。
6.1.9.3 設備維護管理
6.1.9.3.1 測評單元(L1-MMS1-04)
該測評單元包括以下要求:
a) 測評指標:應對各種設備(包括備份和冗余設備)、線路等指定專門的部門或人員定期進行維護管理;
b) 測評對象:設備管理員和管理制度類文檔;
c) 測評實施包括以下內容:
1) 應訪談設備管理員是否對各類設備、線路指定專人或專門部門進行定期維護;
2) 應核查部門或人員崗位職責文檔是否明確設備維護管理的責任部門。
6.1.9.4 漏洞和風險管理
6.1.9.4.1 測評單元(L1-MMS1-05)
該測評單元包括以下要求:
a) 測評指標:應采取必要的措施識別安全漏洞和隱患,對發現的安全漏洞和隱患及時進行修補或評估可能的影響后進行修補;
b) 測評對象:記錄表單類文檔;
c) 測評實施包括以下內容:
1) 應核查是否有識別安全漏洞和隱患的安全報告或記錄(如漏洞掃描報告、滲透測試報告和安全通報等);
2) 應核查相關記錄是否對發現的漏洞及時進行修補或評估可能的影響后進行修補。
6.1.9.5 網絡和系統安全管理
6.1.9.5.1 測評單元(L1-MMS1-06)
該測評單元包括以下要求:
a) 測評指標:應劃分不同的管理員角色進行網絡和系統的運維管理,明確各個角色的責任和權限;
b) 測評對象:記錄表單類文檔;
c) 測評實施:應核查網絡和系統安全管理文檔,是否劃分了網絡和系統管理員等不同角色,并定義各個角色的責任和權限;
6.1.9.5.2 測評單元(L1-MMS1-07)
該測評單元包括以下要求:
a) 測評指標:應指定專門的部門或人員進行賬戶管理,對申請賬戶、建立賬戶、刪除賬戶等進行控制;
b) 測評對象:運維負責人和記錄表單類文檔;
c) 測評實施包括以下內容:
1) 應訪談運維負責人是否指定專門的部門或人員進行賬戶管理;
2) 應核查相關審批記錄或流程是否對申請賬戶、建立賬戶、刪除賬戶等進行控制。
6.1.9.6 惡意代碼防范管理
6.1.9.6.1 測評單元(L1-MMS1-08)
該測評單元包括以下要求:
a) 測評指標:應提高所有用戶的防惡意代碼意識,對外來計算機或存儲設備接入系統前進行惡意代碼檢查等;
b) 測評對象:運維負責人和管理制度類文檔;
c) 測評實施包括以下內容:
1) 應訪談運維負責人是否采取培訓和告知等方式提升員工的防惡意代碼意識;
2) 應核查惡意代碼防范管理制度是否明確對外來計算機或存儲設備接入系統前進行惡意代碼檢查。
6.1.9.6.2 測評單元(L1-MMS1-09)
該測評單元包括以下要求:
a) 測評指標:應對惡意代碼防范要求做出規定,包括防惡意代碼軟件的授權使用、惡意代碼庫升級、惡意代碼的定期查殺等;
b) 測評對象:管理制度類文檔;
c) 測評實施:應核查惡意代碼防范管理制度是否包括防惡意代碼軟件的授權使用、惡意代碼庫升級、定期查殺等內容;
6.1.9.7 備份與恢復管理
6.1.9.7.1 測評單元(L1-MMS1-10)
該測評單元包括以下要求:
a) 測評指標:應識別需要定期備份的重要業務信息、系統數據及軟件系統等;
b) 測評對象:系統管理員和管理制度類文檔;
c) 測評實施包括以下內容:
1) 應訪談系統管理員有哪些需定期備份的業務信息、系統數據及軟件系統;
2) 應核查是否具有定期備份的重要業務信息、系統數據、軟件系統的列表或清單。
6.1.9.7.2 測評單元(L1-MMS1-11)
該測評單元包括以下要求:
a) 測評指標:應規定備份信息的備份方式、備份頻度、存儲介質、保存期等;
b) 測評對象:管理制度類文檔;
c) 測評實施:應核查備份與恢復管理制度是否明確備份方式、頻度、介質、保存期等內容;
6.1.9.8 安全事件處置
6.1.9.8.1 測評單元(L1-MMS1-12)
該測評單元包括以下要求:
a) 測評指標:應及時向安全管理部門報告所發現的安全弱點和可疑事件;
b) 測評對象:運維負責人和管理制度類文檔;
c) 測評實施包括以下內容:
1) 應訪談運維負責人是否告知用戶在發現安全弱點和可疑事件時及時向安全管理部門報告;
2) 應核查在發現安全弱點和可疑事件后是否具備對應的報告或相關文檔。
6.1.9.8.2 測評單元(L1-MMS1-13)
該測評單元包括以下要求:
a) 測評指標:應明確安全事件的報告和處置流程,規定安全事件的現場處理、事件報告和后期恢復的管理職責;
b) 測評對象:管理制度類文檔;
c) 測評實施:應核查安全事件報告和處置流程是否明確了與安全事件有關的工作職責,包括報告單位(人)、接報單位(人)和處置單位等職責;
推薦文章: