中国证券监督管理委员会公告
(〔2011〕39号)
现公布金融行业推荐性标准《证券期货业信息系统安全等级保护测评要求(试行)》(JR/T 0067-2011),自公布之日起施行。
中国证券监督管理委员会
二○一一年十二月二十二日
中华人民共和国金融行业标准
ICS 03.060
A11 JR
备案号
证券期货业信息系统安全
等级保护测评要求
(试行)
Securities and futures industry-
Testing and evaluation requirement for classified protection of information system
(Trial basis)
2011-12-22发布 2011-12-22实施
中国证券监督管理委员会 发布
目次
前言
引言
1范围
2规范性引用文件
3术语和定义
4概述
4.1测评框架
4.2等级测评内容
4.3测评力度
4.4使用方法
5第一级信息系统单元测评
5.1安全技术测评
5.1.1物理安全
5.1.2网络安全
5.1.3主机安全
5.1.4应用安全
5.1.5数据安全及备份恢复
5.2安全管理测评
5.2.1安全管理制度
5.2.2安全管理机构
5.2.3人员安全管理
5.2.4系统建设管理
5.2.5系统运维管理
6第二级信息系统单元测评
6.1安全技术测评
6.1.1物理安全
6.1.2网络安全
6.1.3主机安全
6.1.4应用安全
6.1.5数据安全及备份恢复
6.2安全管理测评
6.2.1安全管理制度
6.2.2安全管理机构
6.2.3人员安全管理
6.2.4系统建设管理
6.2.5系统运维管理
7第三级信息系统单元测评
7.1安全技术测评
7.1.1物理安全
7.1.2网络安全
7.1.3主机安全
7.1.4应用安全
7.1.5数据安全及备份恢复
7.2安全管理测评
7.2.1安全管理制度
7.2.2安全管理机构
7.2.3人员安全管理
7.2.4系统建设管理
7.2.5系统运维管理
8第四级信息系统单元测评
8.1安全技术测评
8.1.1物理安全
8.1.2网络安全
8.1.3主机安全
8.1.4应用安全
8.1.5数据安全及备份恢复
8.2安全管理测评
8.2.1安全管理制度
8.2.2安全管理机构
8.2.3人员安全管理
8.2.4系统建设管理
8.2.5系统运维管理
9第五级信息系统单元测评
10信息系统整体测评
10.1概述
10.2安全控制点间测评
10.3层面间测评
10.4区域间测评
11等级测评结论
11.1各层面的测评结论
11.2风险分析和评价
11.3测评结论
附录A(资料性附录)测评力度
A.1 测评方法的测评力度描述
A.2 信息系统测评力度
附录B(资料性附录)关于整体测评的进一步说明
B.1 区域和层面
B.1.1 区域
B.1.2 层面
B.2 信息系统整体测评实例
B.2.1 安全控制点间安全测评实例
B.2.2 层面间安全测评实例
B.2.3 区域间安全测评实例
图4.1 概念性框架(略)
图B.1文档结构图 (略)
表A.1 测评方法的测评力度
表A.2 不同安全保护等级信息系统的测评力度要求
前言
本标准附录A、B是资料性附录。
本标准由全国金融标准化技术委员会证券分技术委员会提出。
本标准由全国金融标准化技术委员会归口管理。
本标准已经征得公安部同意。
本标准起草单位:中国证券监督管理委员会信息中心、上海证券交易所、深圳证券交易所、郑州商品交易所、中国证券登记结算公司、海通证券股份有限公司、国泰君安证券股份有限公司、兴业证券股份有限公司、南方基金管理有限公司。
本标准主要起草人:张野、戴文华、杨淑琴、罗凯、邹胜、陈恺、马晨、王孝伟、王玥、周桉、应力、俞枫、刘斌、吴越、葛峰、王伟强、陈凯辉。
本标准为首次发布。
引言
本标准依据《证券期货业信息系统安全等级保护基本要求(试行)》(JR/T 0060-2010),主要参考《信息安全技术 信息系统安全等级保护测评要求(报批稿)》等有关标准制定,提出了证券期货业不同等级信息系统的测评要求,适用于指导证券期货业信息系统测评工作。
本标准是证券期货业信息安全等级保护相关系列标准之一。
与本标准相关的标准包括:
--JR/T 0060-2010 证券期货业信息系统安全等级保护基本要求(试行)。
一般来说,信息系统需要靠多种安全措施进行综合防范以降低其面临的安全风险。本标准针对证券期货业信息系统中的单项安全措施和多个安全措施的综合防范,对应地提出单元测评和整体测评的技术要求,用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。整体测评根据安全控制点间、层面间和区域间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。
本标准给出了等级测评结论中应包括的主要内容,未规定给出测评结论的具体方法和量化指标。
如果没有特殊指定,本标准中的信息系统主要指计算机信息系统。
在本标准文本中,黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。
相对于《信息安全技术 信息系统安全等级保护测评要求(报批稿)》,本标准文字中,明确、细化和调整的内容以楷体字表示。
证券期货业信息系统安全等级保护测评要求(试行)
1 范围
本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求,包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测评要求。本标准略去对第五级信息系统进行单元测评的具体内容要求。
本标准适用于信息安全测评服务机构、运营使用单位对证券期货业信息系统安全等级保护状况进行的安全测试评估。国家信息安全监管职能部门及证券期货监管部门依法进行的信息安全等级保护监督检查可以参考使用。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注明日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 5271.8 信息技术 词汇 第8部分:安全
JR/T 0060-2010 证券期货业信息系统安全等级保护基本要求(试行)
3 术语和定义
GB/T 5271.8和JR/T 0060-2010所确立的以及下列术语和定义适用于本标准。
3.1 访谈 interview
访谈是指测评人员通过引导信息系统相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、澄清或取得证据的过程。
3.2 检查 examination
检查是指测评人员通过对测评对象(如制度文档、各类设备、安全配置等)进行观察、查验、分析以帮助测评人员理解、澄清或取得证据的过程。
3.3 测试
testing
测试是指测评人员使用预定的方法/工具使测评对象(各类设备或安全配置)产生特定的结果,将运行结果与预期的结果进行比对的过程。
4 概述
4.1 测评框架
信息系统安全等级保护测评(以下简称等级测评)的概念性框架由三部分构成:测评输入、测评过程和测评输出。测评输入包括JR/T 0060-2010第四级目录(即安全控制点的唯一标识符)和采用该安全控制的信息系统的安全保护等级(含业务信息安全保护等级和系统服务保护等级)。过程组件为一组与输入组件中所标识的安全控制相关的特定测评对象和测评方法,输出组件包括一组由测评人员使用的用于确定安全控制有效性的程序化陈述。图4.1给出了框架。
图4.1 概念性框架(略)
测评对象是指测评实施的对象,即测评过程中涉及到的制度文档、各类设备及其安全配置和相关人员等。
制度文档是指针对信息系统所制定的相关联的文件(如:政策、程序、计划、系统安全需求、功能规格及建筑设计)。各类设备是指安装在信息系统之内或边界,能起到特定保护作用的相关部件(如:硬件、软件、固件或物理设施)。安全配置是指信息系统所使用的设备为了贯彻安全策略而进行的设置。相关人员或部门,是指应用上述制度、设备及安全配置的人。
对于框架来说,每一个被测安全控制(不同级别)均有一组与之相关的预先定义的测评对象(如制度文档、各类设备及其安全配置和相关人员)。
测评方法:在框架的测评过程组件中,测评方法包括:访谈、检查和测试,测评人员通过这些方法试图获取证据。上述三种测评方法(访谈、检查和测评)的测评结果都用以对安全控制的有效性进行评估。
上述的评估方法都由一组相关属性来规范测评方法的测评力度。这些属性是:广度(覆盖面)和深度。对于每一种测评方法都标识(定义)了唯一属性,深度特性适用于访谈和检查,而覆盖面特性则适用于全部三种测评方法。具体的描述参见附录A。
4.2 等级测评内容
等级测评的实施过程由单元测评和整体测评两部分构成。
针对基本要求各安全控制点的测评称为单元测评。单元测评是等级测评工作的基本活动,支持测评结果的可重复性和可再现性。每个单元测评包括测评指标、测评实施和结果判定三部分。其中,测评指标来源于JR/T 0060-2010第四级目录下的各要求项,测评实施描述对测评活动输入、测评对象、测评步骤和方法的要求,结果判定描述测评人员执行测评实施并产生各种测评输出数据后,如何依据这些测评输出数据来判定被测系统是否满足测评指标要求的原则和方法。
单元测评满足概念性框架的三部分内容:测评输入、测评过程和测评输出。
整体测评是在单元测评的基础上,通过进一步分析信息系统安全保护功能的整体相关性,对信息系统实施的综合安全测评。整体测评主要包括安全控制点间、层面间和区域间相互作用的安全测评。整体测评需要与信息系统的实际情况相结合,因此全面地给出整体测评要求的全部输入,测评实施的具体对象、步骤和方法以及明确的结果判定方法是非常困难的,测评人员应根据被测系统的实际情况,结合本标准的要求,实施整体测评。
4.3 测评力度
测评力度是在测评过程中实施测评工作的力度,反映测评的广度和深度,体现为测评工作的实际投入程度。测评广度越大,测评实施的范围越大,测评实施包含的测评对象就越多;测评深度越深,越需要在细节上展开,测评就越严格,因此就越需要更多的投入。投入越多,测评力度就越强,测评就越有保证。测评的广度和深度落实到访谈、检查和测试三种不同的测评方法上,能体现出测评实施过程中访谈、检查和测试的投入程度的不同。
信息安全等级保护要求不同安全保护等级的信息系统应具有不同的安全保护能力,满足相应等级的保护要求。为了检验不同安全保护等级的信息系统是否具有相应等级的安全保护能力,是否满足相应等级的保护要求,需要实施与其安全保护等级相适应的测评,付出相应的工作投入,达到应有的测评力度。第一级到第四级信息系统的测评力度反映在访谈、检查和测试等三种基本测评方法的测评广度和深度上,落实在不同单元测评中具体的测评实施上。不同安全保护等级的信息系统在总体上所对应的测评力度在附录A中描述。
4.4 使用方法
本标准第5章到第8章分别描述了第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统所有单元测评的内容,在章节上分别对应JR/T 0060-2010的第5章到第8章。在JR/T 0060-2010第5章到第8章中,各章的二级目录都分为安全技术和安全管理两部分,三级目录从安全层面(如物理安全、网络安全、主机安全等)进行划分和描述,四级目录按照安全控制点进行划分和描述(如主机安全层面下分为身份鉴别、访问控制、安全审计等),第五级目录是每一个安全控制点下面包括的具体安全要求项(以下简称“要求项”,这些要求项在本标准中被称为“测评指标”)。本标准中针对每一个安全控制点的测评就构成一个单元测评,单元测评中的每一个具体测评实施要求项(以下简称“测评要求项”)是与安全控制点下面所包括的要求项(测评指标)相对应的。在对每一要求项进行测评时,可能用到访谈、检查和测试三种测试方法,也可能用到其中一种或两种,为了描述简洁,在测评要求项中,没有针对每一个要求项分别进行描述,而是对具有相同测评方法的多个要求项进行了合并描述,但测评实施的内容完全覆盖了JR/T 0060-2010中所有要求项的测评要求,使用时,应当从单元测评的测评实施中抽取出对于JR/T 0060-2010中每一个要求项的测评要求,并按照这些测评要求开发测评指导书,以规范和指导安全等级测评活动。
测评过程中,测评人员应注意对测评记录和证据的采集、处理、存储和销毁,保护其在测评期间免遭破坏、更改或遗失,并保守秘密。
测评的最终输出是测评报告,测评报告应结合第11章的要求给出等级测评结论。
5 第一级信息系统单元测评
5.1 安全技术测评
5.1.1 物理安全
5.1.1.1 物理访问控制
5.1.1.1.1 测评指标
见JR/T 0060-2010 5.1.1.1。
5.1.1.1.2 测评实施
本项要求包括:
a)应检查机房出入口是否有专人负责控制人员出入;
检查是否由专人负责管理机房出入,人员进出监控记录是否保存3个月以上。
b)应检查是否有来访人员进入机房的登记记录。
5.1.1.1.3 结果判定
如果5.1.1.1.2a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.1.2 防盗窃和防破坏
5.1.1.2.1 测评指标
见JR/T 0060-2010 5.1.1.2。
5.1.1.2.2 测评实施
本项要求包括:
a)应检查关键设备是否放置在机房内;
b)应检查关键设备或主要部件是否固定;
检查关键设备是否安装、固定在机柜内或机架上。
c)应检查关键设备或主要部件上是否设置明显的不易除去的标记。
5.1.1.2.3 结果判定
如果5.1.1.2.2a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.1.3 防雷击
5.1.1.3.1 测评指标
见JR/T 0060-2010 5.1.1.3。
5.1.1.3.2 测评实施
本项要求包括:
a)应访谈物理安全负责人,询问机房所在建筑物是否设置了避雷装置,是否通过验收或国家有关部门的技术检测;
b)应检查机房所在建筑物的防雷验收文档是否有设置避雷装置的说明。
5.1.1.3.3 结果判定
如果5.1.1.3.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.1.4 防火
5.1.1.4.1 测评指标
见JR/T 0060-2010 5.1.1.4。
5.1.1.4.2 测评实施
应检查机房是否设置了灭火设备,灭火设备是否是经消防检测部门检测合格的产品,其有效期是否合格。
5.1.1.4.3 结果判定
如果5.1.1.4.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.1.5 防水和防潮
5.1.1.5.1 测评指标
见JR/T 0060-2010 5.1.1.5。
5.1.1.5.2 测评实施
本项要求包括:
a)应检查穿过机房墙壁或楼板的给水排水管道是否采取防渗漏和防结露等保护措施;
1)检查与机房设备无关的水管是否穿过机房屋顶和活动地板下;
2)检查机房屋顶和活动地板下铺有水管的,是否采取了有效的防水措施。
b)应检查机房的窗户、屋顶和墙壁等是否未出现过漏水、渗透和返潮现象,机房的窗户、屋顶和墙壁是否进行过防水防渗处理。
5.1.1.5.3 结果判定
如果5.1.1.5.2a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.1.6 温湿度控制
5.1.1.6.1 测评指标
见JR/T 0060-2010 5.1.1.6。
5.1.1.6.2 测评实施
应检查机房内是否有温湿度控制设施,温湿度控制设施是否正常运行,机房温度、相对湿度是否满足电子信息设备的使用要求。
检查机房开机时温度是否控制在JR/T 0060-2010的相关要求之内。
5.1.1.6.3 结果判定
如果5.1.1.6.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.1.7 电力供应
5.1.1.7.1 测评指标
见JR/T 0060-2010 5.1.1.7。
5.1.1.7.2 测评实施
应检查机房的计算机系统供电线路上是否设置了稳压器和过电压防护设备,这些设备是否正常运行。
5.1.1.7.3 结果判定
如果5.1.1.7.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.2 网络安全
5.1.2.1 结构安全
5.1.2.1.1 测评指标
见JR/T 0060-2010 5.1.2.1。
5.1.2.1.2 测评实施
本项要求包括:
a)应访谈网络管理员,询问关键网络设备的业务处理能力是否满足基本业务需求;
b)应访谈网络管理员,询问接入网络及核心网络的带宽是否满足基本业务需要;
c)应检查网络拓扑结构图,查看其与当前运行的实际网络系统是否一致。
检查网络拓扑结构图是否完整,是否有相应的网络配置表,包含设备IP地址等主要信息,与当前运行情况相符,并及时更新。
5.1.2.1.3 结果判定
本项要求包括:
a)如果5.1.2.1.2 c)中缺少网络拓扑结构图,则为否定;
b)如果5.1.2.1.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.2.2 访问控制
5.1.2.2.1 测评指标
见JR/T 0060-2010 5.1.2.2。
5.1.2.2.2 测评实施
本项要求包括:
a)应访谈网络管理员,询问网络访问控制的措施有哪些;询问网络访问控制设备具备哪些访问控制功能;
b)应检查边界网络设备,查看是否有正确的访问控制列表,以通过源地址、目的地址、源端口、目的端口、协议等进行网络数据流控制,其控制粒度是否至少为用户组。
5.1.2.2.3 结果判定
如果5.1.2.2.2 b)为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.2.3 网络设备防护
5.1.2.3.1 测评指标
见JR/T 0060-2010 5.1.2.3。
5.1.2.3.2 测评实施
本项要求包括:
a)应检查边界和关键网络设备的设备防护策略,查看是否配置了对登录用户进行身份鉴别的功能;
b)应检查边界和关键网络设备的设备防护策略,查看是否配置了登录失败处理功能,包括结束会话、限制非法登录次数、登录连接超时自动退出等;
c)应检查边界和关键网络设备的设备防护策略,查看是否配置了对设备远程管理所产生的鉴别信息进行保护的功能。
5.1.2.3.3 结果判定
如果5.1.2.3.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.3 主机安全
5.1.3.1 身份鉴别
5.1.3.1.1 测评指标
见JR/T 0060-2010 5.1.3.1。
5.1.3.1.2 测评实施
应检查关键服务器操作系统和关键数据库管理系统的身份鉴别策略,查看是否提供了身份鉴别措施。
5.1.3.1.3 结果判定
如果5.1.3.1.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.3.2 访问控制
5.1.3.2.1 测评指标
见JR/T 0060-2010 5.1.3.2。
5.1.3.2.2 测评实施
本项要求包括:
a)应检查关键服务器操作系统的访问控制策略,查看是否对重要文件的访问权限进行了限制,对系统不需要的服务、共享路径等进行了禁用或删除;
b)应检查关键服务器操作系统和关键数据库管理系统的访问控制策略,查看是否已禁用或者限制匿名/默认帐户的访问权限,是否重命名系统默认帐户、修改这些帐户的默认口令;
c)应检查关键服务器操作系统和关键数据库管理系统的访问控制策略,是否删除了系统中多余的、过期的以及共享的帐户;
1)检查系统中的账号是否为用户工作必须的;
2)检查是否及时删除或禁用了不用或过期的账户。
d)应检查关键服务器操作系统和关键数据库管理系统的权限设置情况,查看是否依据安全策略对用户权限进行了限制。
5.1.3.2.3 结果判定
a)如果系统不支持修改、重命名特权用户,5.1.3.2.2 b)、d)为不适用;
b)如果5.1.3.2.2 a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.3.3 入侵防范
5.1.3.3.1 测评指标
见JR/T 0060-2010 5.1.3.3。
5.1.3.3.2 测评实施
本项要求包括:
a)应访谈系统管理员,询问关键服务器操作系统和关键数据库管理系统中所安装的系统组件和应用程序是否都是必须的;
b)应检查关键服务器操作系统和关键数据库管理系统的补丁是否得到了及时更新。
检查是否持续跟踪厂商提供的系统升级更新情况,对关键性补丁是否进行充分的评估测试,并记录了相关评估情况和升级过程。
5.1.3.3.3 结果判定
如果5.1.3.3.2 a)-b)肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.3.4 恶意代码防范
5.1.3.4.1 测评指标
见JR/T 0060-2010 5.1.3.4。
5.1.3.4.2 测评实施
应检查关键服务器的恶意代码防范策略,查看是否安装了实时检测与查杀恶意代码的软件产品,并且及时更新了软件版本和恶意代码库。
应检查关键服务器的恶意代码防范策略,对支持安装防恶意代码软件的主机操作系统,查看是否安装了实时检测与查杀恶意代码的软件产品,并且及时更新了软件版本和恶意代码库。
5.1.3.4.3 结果判定
如果5.1.3.4.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.4 应用安全
5.1.4.1 身份鉴别
5.1.4.1.1 测评指标
见JR/T 0060-2010 5.1.4.1。
5.1.4.1.2 测评实施
本项要求包括:
a)应检查关键应用系统,查看是否提供身份标识和鉴别功能;
b)应检查关键应用系统,查看是否提供登录失败处理功能,是否根据安全策略设置了登录失败次数等参数。
5.1.4.1.3 结果判定
如果5.1.4.1.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.4.2 访问控制
5.1.4.2.1 测评指标
见JR/T 0060-2010 5.1.4.2。
5.1.4.2.2 测评实施
本项要求包括:
a)应检查关键应用系统,查看系统是否提供访问控制功能控制用户组或用户对系统功能和用户数据的访问;
b)应检查关键应用系统,查看是否限制了默认账户的访问权限,是否修改了这些账户的默认口令;
c)应检查关键应用系统,查看是否删除多余的、过期的账户。
5.1.4.2.3 结果判定
如果5.1.4.2.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.4.3 通信完整性
5.1.4.3.1 测评指标
见JR/T 0060-2010 5.1.4.3。
5.1.4.3.2 测评实施
应检查设计、验收文档或源代码,查看是否有关于保护通信完整性的描述。
5.1.4.3.3 结果判定
如果5.1.4.3.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.4.4 软件容错
5.1.4.4.1 测评指标
见JR/T 0060-2010 5.1.4.4。
5.1.4.4.2 测评实施
本项要求包括:
a)应检查设计或验收文档,查看应用系统有对人机接口输入或通信接口输入的数据进行有效性检验功能的说明;
b)应测试关键应用系统,查看应用系统是否能明确拒绝不符合格式要求数据。
5.1.4.4.3 结果判定
如果5.1.4.4.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.5 数据安全及备份恢复
5.1.5.1 数据完整性
5.1.5.1.1 测评指标
见JR/T 0060-2010 5.1.5.1。
5.1.5.1.2 测评实施
应检查应用系统的设计、验收文档或源代码,查看是否有关于能检测重要业务数据传输过程中完整性受到破坏的描述。
5.1.5.1.3 结果判定
如果5.1.5.1.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.1.5.2 备份和恢复
5.1.5.2.1 测评指标
见JR/T 0060-2010 5.1.5.2。
5.1.5.2.2 测评实施
应检查是否对关键网络设备、关键主机操作系统、关键数据库管理系统和关键应用系统的重要信息进行了备份,并定期进行恢复测试。
5.1.5.2.3 结果判定
如果5.1.5.2.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.2 安全管理测评
5.2.1 安全管理制度
5.2.1.1 管理制度
5.2.1.1.1 测评指标
见JR/T 0060-2010 5.2.1.1。
5.2.1.1.2 测评实施
应检查各项安全管理制度,查看是否覆盖物理、网络、主机系统、数据、应用、建设和运维等层面。
5.2.1.1.3 结果判定
如果5.2.1.1.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.2.1.2 制定和发布
5.2.1.2.1 测评指标
见JR/T 0060-2010 5.2.1.2。
5.2.1.2.2 测评实施
本项要求包括:
a)应访谈系统安全负责人,询问是否由专人负责制定安全管理制度;
b)应访谈系统安全负责人,询问安全管理制度是否能够发布到相关人员手中。
5.2.1.2.3 结果判定
如果5.2.1.2.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.2.2 安全管理机构
5.2.2.1 岗位设置
5.2.2.1.1 测评指标
见JR/T 0060-2010 5.2.2.1。
5.2.2.1.2 测评实施
本项要求包括:
a)应访谈系统安全负责人,询问信息系统是否设置了相关管理岗位,各个岗位的职责分工是否明确;
b)应检查岗位职责分工文档,查看是否明确了相关岗位的职责。
5.2.2.1.3 结果判定
如果5.2.2.1.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.2.2.2 人员配备
5.2.2.2.1 测评指标
见JR/T 0060-2010 5.2.2.2。
5.2.2.2.2 测评实施
本项要求包括:
a)应访谈系统安全负责人,询问各个安全管理岗位是否配备了一定数量的人员;
b)应检查安全管理各岗位人员信息表,查看其是否明确相关岗位的人员信息。
5.2.2.2.3 结果判定
如果5.2.2.2.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.2.2.3 授权和审批
5.2.2.3.1 测评指标
见JR/T 0060-2010 5.2.2.3。
5.2.2.3.2 测评实施
应访谈系统安全负责人,询问是否对信息系统中的关键活动进行审批,审批活动是否得到授权;
应检查相关内部审批记录,查看部分授权和审批过程。
5.2.2.3.3 结果判定
如果5.2.2.3.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.2.2.4 沟通和合作
5.2.2.4.1 测评指标
见JR/T 0060-2010 5.2.2.4。
5.2.2.4.2 测评实施
本项要求包括:
a)应访谈系统安全负责人,询问是否与公安机关、电信公司和兄弟单位建立联系;
检查是否同时与供电部门、银行等单位和部门建立了沟通、合作机制。
b)应检查外联单位说明文档,查看外联单位是否包含公安机关、电信公司及兄弟单位,是否说明外联单位的联系人和联系方式等内容。
5.2.2.4.3 结果判定
如果5.2.2.4.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.2.3 人员安全管理
5.2.3.1 人员录用
5.2.3.1.1 测评指标
见JR/T 0060-2010 5.2.3.1。
5.2.3.1.2 测评实施
本项要求包括:
a)应访谈人事负责人,询问是否由专门的部门或人员负责人员的录用工作;
b)应访谈人事负责人,询问在人员录用时是否对被录用人的身份和专业资格进行审查;
c)应检查人员录用管理文档,查看是否说明录用人员应具备的条件(如学历、学位要求,技术人员应具备的专业技术水平,管理人员应具备的安全管理知识等);
d)应检查是否具有人员录用时对录用人身份、专业资格等进行审查的相关文档或记录等。
5.2.3.1.3 结果判定
如果5.2.3.1.2 a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
5.2.3.2 人员离岗
