系统建设管理安全测评指导书

1、系统建设管理安全测评指导书序号测评指标测评项检查方法预期结果1系统定级a)访谈，检查。安全主管，系统划分文档，系统定级文档，专家论证文档，系统属性说明文档。访谈： 安全主管，是否参照定级指南做指导。信息系统参照定级指南进行定级。b)访谈，检查。安全主管，系统划分文档，系统定级文档，专家论证文档，系统属性说明文档。检查： 系统定级文档。查看定级结果是否有相关部门的批准盖章。信息系统具备定级报告，并且定级报告有当地公安部门的批准盖章。c)访谈，检查。安全主管，系统划分文档，系统定级文档，专家论证文档，系统属性说明文档。访谈： 安全主管，是否对定级结果进行论证、审定。 检查： 专家论证文档，查看是否

2、有专家对定级结果的论证意见。1）信息系统定级结果通过专家的论证和审定，并且定级结果获得了相关部门（如上级主管部门）的批准； 2）具备相应论证意见文档； 3）定级结果已递交当地公安机关备案。d)访谈，检查。安全主管，系统划分文档，系统定级文档，专家论证文档，系统属性说明文档。检查： 查看定级结果是否有相关部门的批准盖章。定级结果均已得到相关部门的批准盖章。2安全方案设计a)访谈，检查。安全主管，系统建设负责人，总体安全策略文档，安全技术框架，安全管理策略文档，总体建设规划书，详细设计方案，专家论证文档，维护记录访谈： 系统建设负责人，是否根据信息系统的安全级别选择基本安全措施，是否依据风险分析的

3、结果补充和调整安全措施，做过哪些调整。根据信息系统的安全级别选择了基本的安全措施，对于存在风险的，结合风险分析进行调整。b)访谈，检查。安全主管，系统建设负责人，总体安全策略文档，安全技术框架，安全管理策略文档，总体建设规划书，详细设计方案，专家论证文档，维护记录访谈： 安全主管，何部门、何人负责制定安全建设总体规划。 检查： 检查系统的安全建设工作计划。1）授权专门的部门或者人员负责制定安全建设总体规划； 2）制定了近期和远期的安全建设工作计划。c)访谈，检查。安全主管，系统建设负责人，总体安全策略文档，安全技术框架，安全管理策略文档，总体建设规划书，详细设计方案，专家论证文档，维护记录访谈

4、： 系统建设负责人，是否根据信息系统等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案等。根据信息系统等级划分情况，统一考虑了安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案等。d)访谈，检查。安全主管，系统建设负责人，总体安全策略文档，安全技术框架，安全管理策略文档，总体建设规划书，详细设计方案，专家论证文档，维护记录访谈： 系统建设负责人，安全保障体系的配套文件是否经过论证和审定，如何审批，有无调整和修订、维护周期。 检查： 1）系统总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等

5、配套文件是否经过管理部门的批准； 2）专家论证文档。1）安全保障体系和配套文件通过论证和审定，定期的进行维护； 2）系统总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等配套文件经过管理部门的批准； 3）具备专家论证文档。e)访谈，检查。安全主管，系统建设负责人，总体安全策略文档，安全技术框架，安全管理策略文档，总体建设规划书，详细设计方案，专家论证文档，维护记录访谈： 系统建设负责人，是否进行了安全测评、是否根据结果定期调整和修订配套方案，维护周期。 检查： 各方案的维护记录或修订版本的记录日期与维护周期是否一致。1）定期进行安全测评，并且根据安全测评结果调整和修订配套方

6、案； 2）各个方案的维护记录或修订版本的记录日期与维护周期一致。3产品采购a)访谈，检查。安全主管，系统建设负责人，产品采购管理制度，产品选型测试结果记录，候选产品名单审定记录。检查： 信息安全产品是否符合国家的有关规定。信息安全产品符合国家的有关规定。b)访谈，检查。安全主管，系统建设负责人，产品采购管理制度，产品选型测试结果记录，候选产品名单审定记录。检查： 密码产品的使用情况是否符合密码产品使用、管理的相关规定，例如商用密码管理条例规定任何单位只能使用经过国家密码管理机构认可的商用密码产品，商用密码产品发生故障，必须有国家密码管理机构指定的单位维修，报废商用密码产品应向国家密码管理机构备

7、案，计算机信息系统保密工作暂行规定规定涉密系统配置合格的保密专用设备，所采取的保密措施应与所处理信息的密级要求相一致等。密码产品的使用情况符合密码产品使用、管理的相关规定。c)访谈，检查。安全主管，系统建设负责人，产品采购管理制度，产品选型测试结果记录，候选产品名单审定记录。访谈： 安全主管，何部门何人负责产品采购。授权专门的部门或者人员负责产品的采购。d)访谈，检查。安全主管，系统建设负责人，产品采购管理制度，产品选型测试结果记录，候选产品名单审定记录。访谈： 系统建设负责人，是否制定了产品采购清单，产品采购清单的审定以及审定周期。 检查： 1）产品采购管理制度，查看内容是否明确采购过程的控

8、制方法（如采购前对产品做选型测试，明确需要的产品性能指标，确定产品的候选范围，通过招投标方式确定采购产品等）和人员行为准则等方面； 2）选型结果记录、候选名单。1）制定了产品采购清单； 2）制定了产品采购管理制度，查看内容明确采购过程的控制方法和人员行为准则等方面。4自行软件开发a)访谈，检查。系统建设负责人，软件设计相关文档和使用指南，审批文档或记录，文档使用控制记录。访谈： 系统建设负责人，开发人员和测试人员是否分离，是否在独立的模拟环境中编写、调试和完成。 检查： 开发环境与运行环境物理分开。开发人员和测试人员分离在不同的物理环境办公，在独立的模拟环境中编写、调试和完成。b)访谈，检查。

9、系统建设负责人，软件设计相关文档和使用指南，审批文档或记录，文档使用控制记录。检查： 软件开发管理制度。具备软件开发管理制度。c)访谈，检查。系统建设负责人，软件设计相关文档和使用指南，审批文档或记录，文档使用控制记录。访谈： 开发人员，是否参照代码编写安全规范进行软件开发。 检查: 代码编写安全规范，查看规范中是否明确代码编写规则。1）参照代码编写安全规范进行软件开发； 2）具备代码编写安全规范，规范中明确了代码编写规则。d)访谈，检查。系统建设负责人，软件设计相关文档和使用指南，审批文档或记录，文档使用控制记录。访谈: 软件设计相关文档和使用指南是否由专人负责保管。 检查: 软件设计关文档

10、、软件使用指南或操作手册和维护手册。1）指定专人负责软件设计相关文档和使用指南的保管； 2）具备软件设计关文档、软件使用指南或操作手册和维护手册。e)访谈，检查。系统建设负责人，软件设计相关文档和使用指南，审批文档或记录，文档使用控制记录。检查： 程序资源库的修改、更新、发布进行授权和审批的文档或记录，查看是否有批准人的签字。程序资源库的修改、更新、发布有批准人的签字。5外包软件开发a)访谈，检查。系统建设负责人，软件开发安全协议，软件开发文档，软件培训文档。访谈： 系统建设负责人，交付前进行验收测试。 检查： 软件开发协议,知识产权归属、安全行为等内容。1）软件交付前进行验收测试； 2）软件

11、开发具备软件开发协议,明确知识产权归属、安全行为等内容。b)访谈，检查。系统建设负责人，软件开发安全协议，软件开发文档，软件培训文档。访谈： 系统建设负责人，软件安装前是否检测软件中恶意代码。软件安装前检测软件中恶意代码。c)访谈，检查。系统建设负责人，软件开发安全协议，软件开发文档，软件培训文档。检查： 需求分析说明书、软件设计说明书、软件操作手册、软件源代码文档等软件开发文档和使用指南。由软件开发商提供需求分析说明书、软件设计说明书、软件操作手册、软件源代码文档等软件开发文档和使用指南。d)访谈，检查。系统建设负责人，软件开发安全协议，软件开发文档，软件培训文档。访谈： 系统建设负责人，要

12、求开发单位提供源代码，是否根据源代码对软件中可能存在的后门进行审查； 检查： 软件源代码审查记录。1）由软件开发商提供源代码，检查源代码可能存在的后门； 2）具备软件源代码审查记录。6工程实施a)访谈，检查。系统建设负责人，工程安全建设协议，工程实施方案，工程实施管理制度。访谈： 系统建设负责人，是否有专门部门或人员负责工程实施管理工作。指定专门部门或人员负责工程实施管理工作。b)访谈，检查。系统建设负责人，工程安全建设协议，工程实施方案，工程实施管理制度。访谈： 系统建设负责人，是否对工程实施过程进行进度和质量控制，是否将控制方法和工程人员行为规范制度化，工程实施单位是否具备安全实施系统建设

13、的资质证明和能力保证。 检查： 工程实施方案。1）指定专门的部门或人员对实施过程的进度和质量进行控制； 2）工程实施单位是否具备安全实施系统建设的资质证明和能力保证； 3）具备过程实施方案。c)访谈，检查。系统建设负责人，工程安全建设协议，工程实施方案，工程实施管理制度。检查： 检查工程实施管理制度，查看其是否规定工程实施过程的控制方法（如内部阶段性控制或外部监理单位控制）、实施参与人员的各种行为等方面内容。具备工程实施管理制度，规定了工程实施过程的控制方法（如内部阶段性控制或外部监理单位控制）、实施参与人员的各种行为等方面内容。7测试验收a)访谈，检查。系统建设负责人，测试方案，测试记录，测

14、试报告，验收报告，验收测试管理制度。访谈： 系统建设负责人，是否委托第三方进行安全测试。 检查： 是否具有系统安全性测试报告，报告是否给出测试通过的结论，是否有第三方测试机构的签字或盖章。1）委托第三方测试机构进行了安全性测试； 2）第三方测试机构出具安全性测试报告，并通过报告给出测试结论，附有第三方测试机构的签字或盖章。b)访谈，检查。系统建设负责人，测试方案，测试记录，测试报告，验收报告，验收测试管理制度。检查： 1）测试验收方案，是否包含参与部门、人员、测试验收内容、测试过程等； 2）测试过程中的测试结果； 3）测试完成后形成的测试验收报告。1）具备测试验收方案，且内容包含参与部门、人员

15、、测试验收内容、测试过程等； 2）保留测评过程中的测试结果； 3）根据测试结果编制了测试验收报告。c)访谈，检查。系统建设负责人，测试方案，测试记录，测试报告，验收报告，验收测试管理制度。检查： 测试验收管理文档是否包括系统测试验收的过程控制方法、参与人员的行为规范等内容。具备测试验收管理文档，内容包括系统测试验收的过程控制方法、参与人员的行为规范等内容。d)访谈，检查。系统建设负责人，测试方案，测试记录，测试报告，验收报告，验收测试管理制度。访谈： 系统建设负责人，何部门负责验收工作。指定专门的部门负责测试验收工作。e)访谈，检查。系统建设负责人，测试方案，测试记录，测试报告，验收报告，验收

16、测试管理制度。访谈： 系统建设负责人，是否根据设计方案或合同要求组织相关部门和人员对系统测试验收报告进行审定。 检查： 1）测试验收记录是否详细记录了测试时间、人员、现场操作过程和测试验收结果等方面内容； 2）是否具备对测试验收报告的审定文档，查看文档是否有相关人员的审定意见。1）根据设计方案或合同要求组织相关部门和人员对系统测试验收报告进行审定； 2）测试验收记录记录了测试时间、人员、现场操作过程和测试验收结果等方面内容； 3）测试验收报告具有相关人员的审定意见。8系统交付a)访谈，检查。系统建设负责人，系统交付清单，服务承诺书，系统培训记录，系统交付管理制度。访谈： 系统建设负责人，是否按

17、照交付清单进行清点。 检查： 统交付清单。1）系统交付时按照交付清单进行清点； 2）制定了系统交付清单。b)访谈，检查。系统建设负责人，系统交付清单，服务承诺书，系统培训记录，系统交付管理制度。访谈： 系统建设负责人，内部维护人员是否参与过培训。 检查： 培训记录，包括培训内容、培训时间和参与人员等信息。1）内部维护人员参加过相关的技能培训； 2）保存了相关的培训记录，包括培训内容、培训时间和参与人员等信息。c)访谈，检查。系统建设负责人，系统交付清单，服务承诺书，系统培训记录，系统交付管理制度。检查： 系统建设文档、指导用户进行系统运维的文档、系统培训手册等是否完善。具备系统建设文档、指导用

18、户进行系统运维的文档、系统培训手册等。d)访谈，检查。系统建设负责人，系统交付清单，服务承诺书，系统培训记录，系统交付管理制度。检查： 系统交付管理文档，查看其是否包括交付过程的控制方法和对交付参与人员的行为限制等方面内容。具备系统交付管理文档，内容包括交付过程的控制方法和对交付参与人员的行为限制等方面。e)访谈，检查。系统建设负责人，系统交付清单，服务承诺书，系统培训记录，系统交付管理制度。访谈： 系统建设负责人，何部门负责系统交付管理工作。指定专门的部门或人员管理系统交付。9系统备案a)访谈，检查。安全主管，文档管理员，备案记录。访谈： 1）安全主管，何部门何人负责管理系统定级文档； 2）文档管理员，系统定级相关备案文档采取的控制措施。 检查： 系统定级相关材料的使用控制记录。1）指定专门的部门或人员负责管理系统定级文档； 2）具备定级相关材料的使用控制记录。b)访谈，检查。安全主管，文档管理员，备案记录。检查： 主管部门备案的记录或备案文档。具备信息系统相关备案材料。c)访谈，检查。安全主管，文档管理员，备案记录。检查： 公安机关备案的记录或证明。具备公安机关的备案记录或证明。10等级测评a)前一次的测评报告访谈： 安全主管，等级测评周期。 检查： 等级测评报告、建议报告、整改报告。1）定期对信息系统进行等级测评； 2）具备等级测评报告、建议报告、整改报