信息安全等级保护测评作业指导书(系统管理建设三级)

1、信息平安等级保护测评作业指导书系统建设治理三级修改页修订号限制编号版号/章节号修改人修订原因批准人批准日期备注1SGISL/OP-SA92-10XX按公安部要求修订詹雄20213.8确描述,说明确定系统为某个平安保护等级的方法和理由,是否有书面说明.适用版本任何版本实施风险无符合性判定如果系统定级参照定级指南的指导,有书面相关的说明,说明确定系统为某个平安保护等级的方法和理由,判定结果为符合；如果系统定级未参照定级指南的指导,或无书面相关的说明,未能说明确定系统为某个平安保护等级的方法和理由,判定结果为不符合.备注3.定级结果论证和审定测评项编号ADT-JSGL-01-C对应要求应组织相关部门

2、和有关平安技术专家对信息系统定级结果的合理性和正确性进行论证和审定测评项名称定级结果论证和审定测评分项1:检查系统定级的审定情况.操作步骤访谈治理员,询问系统定级是否组织相关部门和有关平安技术专家对定级结果进行论证和审定,检查论证和审定记录.适用版本任何版本实施风险无符合性判定如果组织相关部门和有关平安技术专家对定级结果进行论证和审定,相关的论证和审定记录,判定结果为符合；如果未组织相关部门和有关平安技术专家对定级结果进行论证和审定,相关的论证和审定记录,判定结果为不符合.备注4.定级结果经过相关部门批准测评项编号ADT-JSGL-01-D对应要求应保证信息系统的定级结果经过相关部门的批准测评

3、项名称定级结果经过相关部门批准测评分项1:检查系统定级的审定情况.操作步骤访谈治理员,询问系统定级记录是否经过相关部门如上级主管部门的批准.查看相关的文件.适用版本任何版本实施风险无符合性判定如果系统定级结果经过相关部门的批准盖章,判定结果为符合；如果系统定级结果未经过相关部门的批准盖章,判定结果为不符合.备注二、平安方案设计1.选择根本平安举措及补充调整测评项编号ADT-JSGL-02-A对应要求应根据系统的平安保护等级选择根本安全举措,依据风险分析的结果补充和调整平安举措测评项名称选择根本平安举措及补充调整测评分项1:检查平安方案设计.操作步骤访谈治理员,询问是否根据系统的平安保护等级选择

4、根本平安举措,是否依据风险分析的结果来补充和调整平安举措.适用版本任何版本实施风险无符合性判定如果根据系统的平安保护等级选择根本平安举措,依据风险分析的结果补充和调整平安举措,判定结果为符合；如果未根据系统的平安保护等级选择根本平安举措,或未依据风险分析的结果补充和调整平安举措,判定结果为不符合.备注2.平安建设总体规划测评项编号ADT-JSGL-02-B对应要求应指定和授权专门的部门对信息系统的平安建设进行总体规划,制定近期和远期的平安建设工作方案测评项名称平安建设总体规划测评分项1:检查平安方案设计.操作步骤访谈治理员,询问是否指定和授权专门的部门对信息系统的平安建设进行总体规划,制定近期

5、和远期的平安建设工作方案,查看工作方案.适用版本任何版本实施风险无符合性判定如果有专门的部门对信息系统的平安建设进行总体规划,有平安建设工作方案,判定结果为符合；如果无专门的部门对信息系统的平安建设进行总体规划,无平安建设工作方案,判定结果为不符合.备注3.细化系统平安方案测评项编号ADT-JSGL-02-C对应要求应根据信息系统的等级划分情况,统一考虑平安保证体系的总体平安策略、平安技术框架、平安治理策略、总体建设规划和详细设计方案,并形成配套文件测评项名称细化系统平安方案测评分项1:检查平安方案设计.操作步骤访谈治理员,询问是否根据信息系统的等级划分情况,统一考虑平安保障体系的总体平安策略

6、、平安技术框架、平安治理策略、总体建设规划和详细设计方案,并形成配套文件,查看相关的详细设计方案.适用版本任何版本实施风险无符合性判定如果有总体建设规划和详细设计方案,判定结果为符合；如果无总体建设规划和详细设计方案,判定结果为不符合.备注4.平安技术专家论证和审定测评项编号ADT-JSGL-02-D对应要求应组织相关部门和有关平安技术专家对总体平安的策略、平安技术框架、平安管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施测评项名称平安技术专家论证和审定测评分项1:检查平安方案设计.操作步骤访谈治理员,询问平安建设方案是否经过专家的

7、详细周全的论证和讨论,批准后才开始实施.适用版本任何版本实施风险无符合性判定如果平安建设方案经过专家的详细周全的论证和讨论,判定结果为符合；如果平安建设方案未经过专家的详细周全的论证和讨论,判定结果为不符合.备注5.平安方案调整和修订测评项编号ADT-JSGL-02-E对应要求应根据等级测评、平安评估的结果定期调整和修订总体平安策略、平安技术框架、平安治理策略、总体建设规划、详细设计方案等相关配套文件测评项名称平安方案调整和修订测评分项1:检查平安方案的调整和修订.操作步骤访谈治理员,询问是否根据等级测评、平安评估的结果定期调整和修订总体平安策略、平安技术框架、平安治理策略、总体建设规划、详细

8、设计方案等相关配套文件；询问调整和修订的周期,检查相应的调整和修订记录.适用版本任何版本实施风险无符合性判定如果定期根据等级测评、平安评估的结果调整平安方案,判定结果为符合；如果未定期根据等级测评、平安评估的结果调整平安方案,判定结果为不符合.备注三、产品采购和使用1.平安产品采购和使用符合国家有关规定测评项编号ADT-JSGL-03-A对应要求应保证平安产品采购和使用符合国家有关规定测评项名称平安产品采购和使用符合国家有关规定测评分项1:检查平安产品采购和使用是否符合国家有关平安产品的规定.操作步骤访谈治理员,询问系统采购和使用的平安产品是否符合国家有关规定,得到国家相关部门的认证.适用版本

9、任何版本实施风险无符合性判定如果系统采购和使用的平安产品符合国家有关规定,得到国家相关部门的认证,判定结果为符合；如果系统采购和使用的平安产品不符合国家有关规定,或未得到国家相关部门的认证,判定结果为不符合.备注2.保密码产品采购和使用符合国家密码主管部门要求测评项编号ADT-JSGL-03-B对应要求应保证密码产品采购和使用符合国家密码主管部门的要求测评项名称保密码产品采购和使用符合国家密码主管部门要求测评分项1:检查密码产品采购和使用是否符合国家密码主管部门的规定.操作步骤访谈治理员,询问系统采购和使用的密码产品是否符合国家密码主管部门的规定,得到国家相关部门的认证.适用版本任何版本实施风

10、险无符合性判定如果系统采购和使用的密码产品符合国家有关规定,得到国家相关部门的认证,判定结果为符合；如果系统采购和使用的密码产品不符合国家有关规定,或未得到国家相关部门的认证,判定结果为不符合.备注3.专门部门负责产品采购测评项编号ADT-JSGL-03-C对应要求应指定或授权专门的部门负责产品的采购测评项名称专门部门负责产品采购测评分项1:检查产品的采购.操作步骤访谈治理员,询问是否有专门的部门负责产品的采购.适用版本任何版本实施风险无符合性判定如果有专门的部门负责产品的采购,判定结果为符合；如果无专门的部门负责产品的采购,判定结果为不符合.备注4.预先产品选型测试测评项编号ADT-JSGL

11、-03-D对应要求应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单测评项名称预先产品选型测试测评分项1:检查采购产品的选型.操作步骤访谈治理员,询问制定采购过程的限制策略,采购前对产品做选型测试,对重要部位的产品是否委托专业的测评单位进行专项测试,确定产品的候选范围,通过招投标方式确定采购产品,是否认期审定和更新候选产品名单.适用版本任何版本实施风险无符合性判定如果有采购限制策略,采购前对产品做选型测试,确定产品的候选范围,通过招投标方式确定要采购的产品,定期审定和更新候选产品名单,判定结果为符合；如果无采购限制策略,采购前未对产品做选型测试,确定产品的候选范围,或未

12、通过招投标方式确定要采购的产品,定期审定和更新候选产品名单,判定结果为不符合.备注四、自行软件开发1.开发环境与实际运行环境物理分开,测试数据和测试结果受到限制测评项编号ADT-JSGL-04-A对应要求应保证开发环境与实际运行环境物理分开,测试数据和测试结果受到限制测评项名称开发环境与实际运行环境物理分开,测试数据和测试结果受到限制测评分项1:检查开发环境.操作步骤需访谈治理员是否自主开发软件,查看开发环境,开发环境与实际运行环境物理上是否分开；查看软件开发是否有限制举措,对测试数据和测试结果进行治理.适用版本任何版本实施风险无符合性判定如果开发环境与实际运行环境物理上分开,制定软件开发的限

13、制举措,能对测试数据和测试结果进行有效限制,判定结果为符合；如果开发环境与实际运行环境物理上未分开,未制定软件开发的限制措施,对测试数据和测试结果进行有效限制,判定结果为不符合.备注2.软件开发治理制度测评项编号ADT-JSGL-04-B对应要求应制定软件开发治理制度,明确说明开发过程的限制方法和人员行为准那么测评项名称软件开发治理制度测评分项1：检查软件开发治理制度.操作步骤访谈治理员,检查软件开发治理制度,查看文件是否明确软件设计、开发、测试、验收过程的限制方法和人员行为准那么,是否明确哪些开发活动应经过授权、审批,是否明确软件开发相关文档的治理等.适用版本任何版本实施风险无符合性判定如果有软件开发治理制度,对软件的开发过程和人员进行治理,判定结果为符合；如果无软件开发治理制度,对软件的开发过程和人员进行治理,判定结果为不符合.