38-SGISLOP-SA73-10-数据安全及备份恢复等级保护测评作业指导书(二级).doc

控制编号：SGISL/OP-SA73-10信息安全等级保护测评作业指导书数据安全（二级）版 号：第 2 版修 改 次 数：第 0 次生 效 日 期：2010年01月06日中国电力科学研究院信息安全实验室中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA73-10第 4 页 共 4 页数据安全及备份恢复等级保护测评作业指导书（二级）第 2 版 第 0 次修订发布日期：2010年01月06日修改页修订号控制编号版号/章节号修改人修订原因批准人批准日期备注1SGISL/OP-SA73-10李鹏按公安部要求修订詹雄2010.3.8一、数据完整性1数据传输过程中完整性测评项编号ADT-SJAQ -01对应要求应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏测评项名称传输过程中的数据完整性测评分项1：检查信息在传输过程中的完整性操作步骤访谈管理员，询问鉴别信息和业务系统数据在传输过程中是否有完整性保证措施，具体措施有哪些；检查操作系统、网络设备、数据库管理系统的设计/验收文档或相关证明性材料（如证书、检验报告等）等，查看其是否有能检测/验证到系统管理数据（如WINDOWS 域管理、目录管理数据）、鉴别信息（如用户名和口令）和用户数据（如用户数据文件）在传输过程中完整性受到破坏适用版本任何版本实施风险无符合性判定鉴别信息和业务系统数据在传输过程中有完整性保证措施，判定结果为符合；鉴别信息和业务系统数据在传输过程中无完整性保证措施，判定结果为不符合。二、数据保密性1鉴别信息的存储保密性测评项编号ADT-SJAQ -02对应要求应采用加密或其他保护措施实现鉴别信息的存储保密性测评项名称鉴别信息的存储保密性测评分项1： 检查是否采用加密或其他保护措施实现鉴别信息的存储保密性操作步骤访谈安全管理员，询问系统管理数据、鉴别信息和重要业务数据在存储过程中是否采取保密措施（如在通信双方建立连接之前利用密码技术进行会话初始化验证，在通信过程中对敏感信息字段进行加密等），具体措施有哪些，是否所有应用系统的通信都采取了上述措施；采用的密码算法是否符合国家有关部门要求适用版本任何版本实施风险无符合性判定采取了加密或其他有效措施来保证存储过程中的数据保密性，判定结果为符合；没有采取加密或其他有效措施来保证存储过程中的数据保密性，判定结果为不符合。三、备份与恢复1重要信息备份和恢复测评项编号ADT-SJAQ -03对应要求应能够对重要信息进行备份和恢复测评项名称重要信息备份和恢复测评分项1： 检查重要信息是否进行备份和恢复操作步骤访谈管理员，询问是否有备份和恢复制度，采用何种备份设备和恢复机制，是否有专门的备份设备提供备份；检查备份设备是否工作正常适用版本任何版本实施风险无符合性判定存在备份和恢复制度对本地数据进行备份和恢复，判定结果为符合；无备份和恢复制度对本地数据进行备份和恢复，判定结果为不符合。2系统的硬件冗余测评项编号ADT-SJAQ -03对应要求应提供关键网络设备、通信线路和数据处理系统的硬件冗余，保证系统的可用性测评项名称系统的硬件冗余测评分项1： 检查关键网络设备、通信线路和数据处理系统的硬件冗余操作步骤访谈管理员是否有通信线路、网络设备和数据处理的硬件冗余，保证灾难恢复时能正常使用，是否提供自动机制在灾难发生时实现实时无缝业务切换和恢复的功能适用版本任何版