中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)-法搜-中国法律信息搜索网

　　e）应检查安全管理员定期实施安全检查的报告，查看报告日期间隔与检查周期是否一致，检查内容是否包括系统日常运行、系统漏洞和数据备份等情况；
　　f）应检查是否具有执行安全检查时的安全检查表、安全检查记录和结果通告记录，查看安全检查记录中记录的检查程序与制度要求是否一致。
　　检查是否至少每月开展一次安全检查，并查验相关记录。
　　8.2.2.5.3　结果判定
　　如果8.2.2.5.2 a）-f）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合本单元测评指标要求。
　　8.2.3　人员安全管理
　　8.2.3.1　人员录用
　　8.2.3.1.1　测评指标
　　见JR/T 0060-2010 8.2.3.1。
　　8.2.3.1.2　测评实施
　　本项要求包括：
　　a）应访谈人事负责人，询问是否由专门的部门或人员负责人员的录用工作；
　　b）应访谈人事负责人，询问在人员录用时是否对被录用人的身份、背景、专业资格和资质进行审查，对技术人员的技术技能进行考核；
　　c）应访谈人事负责人，询问是否与被录用人员签署保密协议；
　　d）应访谈人事负责人，询问对从事关键岗位的人员是否从内部人员中选拔，是否要求其签署岗位安全协议；
　　e）应检查人员录用管理文档，查看是否说明录用人员应具备的条件（如学历、学位要求，技术人员应具备的专业技术水平，管理人员应具备的安全管理知识等）；
　　f）应检查是否具有人员录用时对录用人身份、背景、专业资格和资质等进行审查的相关文档或记录，查看是否记录审查内容和审查结果等；
　　g）应检查人员录用时的技能考核文档或记录，查看是否记录考核内容和考核结果等；
　　h）应检查保密协议，查看是否有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容；
　　i）应检查岗位安全协议，查看是否有岗位安全责任定义、协议的有效期限和责任人签字等内容。
　　8.2.3.1.3　结果判定
　　如果8.2.3.1.2 a）-i）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合本单元测评指标要求。
　　8.2.3.2　人员离岗
　　8.2.3.2.1　测评指标
　　见JR/T 0060-2010 8.2.3.2。
　　8.2.3.2.2　测评实施
　　本项要求包括：
　　a）应访谈安全主管，询问对即将离岗人员是否及时终止离岗人员的所有访问权限，是否取回各种身份证件、钥匙、徽章以及机构提供的软硬件设备等；
　　b）应访谈人事负责人，询问人员离岗是否遵循严格的调离手续，是否要求人员调离时须承诺相关保密义务后方可离开；
　　c）应检查人员离岗的管理制度文档，查看是否说明人员离岗要求、人员调离手续等相关内容；
　　d）应检查是否具有离岗人员交还身份证件、设备等的登记记录；
　　e）应检查是否具有按照离职程序办理调离手续的记录，查看调离手续与文件规定是否一致；
　　f）应检查保密承诺文档，查看是否有调离人员的签字。
　　8.2.3.2.3　结果判定
　　如果8.2.3.2.2 a）-f）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合本单元测评指标要求。
　　8.2.3.3　人员考核
　　8.2.3.3.1　测评指标
　　见JR/T 0060-2010 8.2.3.3。
　　8.2.3.3.2　测评实施
　　本项要求包括：
　　a）应访谈安全主管，询问是否定期对各个岗位人员进行安全技能及安全知识的考核，是否对关键岗位人员定期进行安全审查和技能考核；
　　b）应访谈安全主管，询问是否对安全保密制度执行情况进行检查或考核；
　　c）应检查保密制度文档，查看是否包括保密内容、保密责任和义务等内容；
　　d）应检查考核记录，查看记录的考核人员是否包括各个岗位的人员，考核内容是否包含保密知识、安全知识、安全技能等；查看记录日期与考核周期是否一致；
　　检查相关岗位的安全技能和安全认知的考核记录，查验安全技能和安全认知的考核是否至少每年一次。
　　e）应检查是否具有对关键岗位人员的安全审查记录。
　　8.2.3.3.3　结果判定
　　如果8.2.3.3.2 a）-e）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合本单元测评指标要求。
　　8.2.3.4　安全意识教育和培训
　　8.2.3.4.1　测评指标
　　见JR/T 0060-2010 8.2.3.4。
　　8.2.3.4.2　测评实施
　　本项要求包括：
　　a）应访谈安全主管，询问是否制定培训计划并按计划对各个岗位人员进行安全教育和培训；是否对违反安全策略和规定的人员进行惩戒；
　　b）应访谈安全管理员、系统管理员、网络管理员，考查其是否了解其工作相关的信息安全基础知识、安全责任和惩戒措施等；
　　c）应检查安全责任和惩戒措施管理文档，查看是否包含具体的安全责任和惩戒措施；
　　d）应检查信息安全教育及技能培训和考核管理文档，查看是否明确培训周期、培训方式、培训内容和考核方式等相关内容；
　　e）应检查安全教育和培训计划文档，查看是否具有不同岗位的培训计划；查看计划是否明确了培训方式、培训对象、培训内容、培训时间和地点等，培训内容是否包含信息安全基础知识、岗位操作规程等；
　　f）应检查安全教育和培训记录，查看记录是否有培训人员、培训内容、培训结果等的描述；查看记录与培训计划是否一致。
　　8.2.3.4.3　结果判定
　　如果8.2.3.4.2 a）-f）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合本单元测评指标要求。
　　8.2.3.5　外部人员访问管理
　　8.2.3.5.1　测评指标
　　见JR/T 0060-2010 8.2.3.5。
　　8.2.3.5.2　测评实施
　　本项要求包括：
　　a）应访谈安全主管，询问外部人员访问重要区域（如访问机房、重要服务器或设备区等）是否需经有关部门或负责人书面批准，是否由专人全程陪同或监督，是否进行记录并备案管理；
　　b）应检查外部人员访问管理文档，查看是否明确允许外部人员访问的范围（区域、系统、设备、信息等内容，对哪些关键区域不允许外部人员访问），外部人员进入的条件（对哪些重要区域的访问须提出书面申请批准后方可进入），外部人员进入的访问控制措施（由专人全程陪同或监督等）等；
　　c）应检查外部人员访问重要区域的书面申请文档，是否具有批准人允许访问的批准签字等；
　　d）应检查外部人员访问重要区域的登记记录，查看是否记录了外部人员访问重要区域的进入时间、离开时间、访问区域及陪同人等信息。
　　8.2.3.5.3　结果判定
　　如果8.2.3.5.2 a）-d）均为肯定，则该测评指标符合要求，否则，信息系统不符合或部分符合本单元测评指标要求。
　　8.2.4　系统建设管理
　　8.2.4.1　系统定级
　　8.2.4.1.1　测评指标
　　见JR/T 0060-2010 8.2.4.1。
　　8.2.4.1.2　测评实施
　　本项要求包括：
　　a）应访谈系统建设负责人，询问是否参照定级指南确定信息系统安全保护等级，是否组织相关部门和有关安全技术专家对定级结果进行论证和审定；
　　b）应检查系统定级文档，查看文档是否明确信息系统的边界和信息系统的安全保护等级，是否说明定级的方法和理由，是否有相关部门或主管领导的盖章或签名；
　　c）应检查定级结果的论证评审会议文档，查看是否有相关部门和有关安全技术专家对定级结果的论证意见。
　　8.2.4.1.3　结果判定
　　如果8.2.4.1.2 a）-c）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合本单元测评指标要求。
　　8.2.4.2　安全方案设计
　　8.2.4.2.1　测评指标
　　见JR/T 0060-2010 8.2.4.2。
　　8.2.4.2.2　测评实施
　　本项要求包括：
　　a）应访谈系统建设负责人，询问是否授权专门的部门对信息系统的安全建设进行总体规划，由何部门负责；
　　b）应访谈系统建设负责人，询问是否根据信息系统的等级划分情况统一考虑总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案等；
　　c）应访谈系统建设负责人，询问是否对安全建设的配套文件进行论证和审定，是否根据等级测评、安全评估的结果定期调整和修订安全建设的配套文件；
　　d）应检查是否有系统安全建设的工作计划，查看文件是否明确了系统的近期安全建设计划和远期安全建设计划；
　　e）应检查是否有系统总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等配套文件，查看各个文件是否有机构管理层的批准；
　　f）应检查配套文件的论证评审记录或文档，查看是否有相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的论证意见；
　　g）应检查是否具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本。
　　8.2.4.2.3　结果判定
　　如果8.2.4.2.2 a）-g）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合本单元测评指标要求。
　　8.2.4.3　产品采购和使用
　　8.2.4.3.1　测评指标
　　见JR/T 0060-2010 8.2.4.3。
　　8.2.4.3.2　测评实施
　　本项要求包括：
　　a）应访谈系统建设负责人，询问是否有专门的部门负责产品的采购，由何部门负责；
　　b）应访谈系统建设负责人，询问系统是否采用了密码产品，密码产品的采购和使用是否符合国家密码主管部门的要求；
　　c）应访谈系统建设负责人，询问系统使用的有关信息安全产品是否符合国家的有关规定，如安全产品获得了销售许可证等；
　　d）应访谈系统建设负责人，询问采购产品前是否预先对产品进行选型测试确定产品的候选范围，是否有产品采购清单指导产品采购，是否定期审定和更新候选产品采购清单，审定周期多长；
　　e）应访谈系统建设负责人，询问是否对重要部位的产品委托专业测评单位进行专项测试，是否有专项测试报告；
　　f）应抽样检查安全产品和密码产品的相关凭证，如销售许可等，查看是否使用了符合国家有关规定产品；
　　g）应检查是否具有产品选型测试结果文档、候选产品采购清单及审定或更新的记录，是否有重要部位的产品的专项测试报告。
　　8.2.4.3.3　结果判定
　　如果8.2.4.3.2 a）-g）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合本单元测评指标要求。
　　8.2.4.4　自行软件开发
　　8.2.4.4.1　测评指标
　　见JR/T 0060-2010 8.2.4.4。
　　8.2.4.4.2　测评实施
　　本项要求包括：
　　a）应访谈系统建设负责人，询问是否进行自主开发软件，是否对程序资源库的修改、更新、发布进行授权和批准，授权部门是何部门，批准人是何人，是否要求开发人员不能做测试人员（即二者分离），自主开发软件是否在独立的模拟环境中完成编码和调试，如相对独立的网络区域；
　　b）应访谈系统建设负责人，询问软件设计相关文档是否由专人负责保管，负责人是何人，如何控制使用，测试数据和测试结果是否受到控制；
　　c）应访谈系统建设负责人，询问开发人员有哪些人，是否是专职人员，询问对开发人员的开发活动采取哪些控制措施，是否有专门的监控、审查措施；
　　d）应访谈软件开发人员，询问其是否了解软件开发管理制度，是否了解代码编写安全规范，是否按照代码编写安全规范进行软件开发；
　　e）应检查软件开发管理制度，查看文件是否明确软件设计、开发、测试、验收过程的控制方法和人员行为准则，是否明确哪些开发活动应经过授权、审批；
　　f）应检查代码编写安全规范，查看规范中是否明确代码编写规则，应抽样部分源代码，检查是否按照代码编写安全规范开发；
　　g）应检查对程序资源库的修改、更新、发布进行授权和审批的文档或记录，查看是否有批准人的签字；
　　h）应检查是否具有软件开发相关文档（源代码、测试数据、测试结果等）的使用控制记录；
　　i）应检查是否具有软件使用指南或操作手册等；
　　j）应检查网络拓扑图和实际开发环境，查看是否实际运行环境和开发环境有效隔离；
　　k）应检查是否具有对开发人员的审查记录，查看审查记录是否记录审查结果等。
　　8.2.4.4.3　结果判定
　　如果8.2.4.4.2 a）-k）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合本单元测评指标要求。
　　8.2.4.5　外包软件开发
　　8.2.4.5.1　测评指标
　　见JR/T 0060-2010 8.2.4.5。
　　8.2.4.5.2　测评实施
　　本项要求包括：
　　a）应访谈系统建设负责人，询问软件交付前是否依据开发要求的技术指标对软件功能和性能等进行验收测试，软件安装之前是否检测软件中的恶意代码；
　　b）应访谈系统建设负责人，是否要求开发单位提供源代码，是否根据源代码对软件中可能存在的后门和隐蔽信道进行审查；
　　c）应检查是否具有软件开发的相关文档，如需求分析说明书、软件设计说明书等，是否具有软件操作手册或使用指南。
　　d）应检查部分软件源代码，查看是否具有源代码，应检查软件源代码审查记录，查看是否包括对可能存在后门和隐蔽信道的审查结果。
　　8.2.4.5.3　结果判定
　　如果8.2.4.5.2 a）-d）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合本单元测评指标要求。
　　8.2.4.6　工程实施
　　8.2.4.6.1　测评指标
　　见JR/T 0060-2010 8.2.4.6。
　　8.2.4.6.2　测评实施
　　本项要求包括：
　　a）应访谈系统建设负责人，询问是否指定专门部门或人员对工程实施过程进行进度和质量控制，由何部门/何人负责；
　　b）应访谈系统建设负责人，询问是否要求工程实施单位提供其能够实施安全工程的资质证明和能力保证；
　　c）应访谈系统建设负责人，询问是否由第三方工程监理单位对工程实施过程进行进度和质量控制；
　　d）应检查系统建设方面的管理制度，查看其是否包括工程实施过程的控制方法、实施参与人员的行为准则等方面内容；
　　e）应检查工程实施方案，查看其是否包括工程时间限制、进度控制和质量控制等方面内容，是否按照工程实施方面的管理制度进行各类控制、产生阶段性文档等；
　　f）应检查是否具有第三方工程监理单位出具的工程监理报告。
　　8.2.4.6.3　结果判定
　　如果8.2.4.6.2 a）-f）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合本单元测评指标要求。
　　8.2.4.7　测试验收
　　8.2.4.7.1　测评指标
　　见JR/T 0060-2010 8.2.4.7。
　　8.2.4.7.2　测评实施
　　本项要求包括：
　　a）应访谈系统建设负责人，询问是否有专门的部门负责测试验收工作，由何部门负责；是否委托第三方测试机构对信息系统进行独立的安全性测试；
　　b）应访谈系统建设负责人，询问是否根据设计方案或合同要求组织相关部门和人员制定工程测试验收方案，并对系统测试验收报告进行审定；
　　c）应检查系统建设方面的管理制度，查看其是否包括对系统测试验收的控制方法和人员行为准则规定；
　　d）应检查是否具有工程测试验收方案，查看其是否明确说明参与测试的部门、人员、测试验收内容、现场操作过程等内容，过程控制是否符合管理规定的要求；
　　e）应检查是否具有系统测试验收报告，是否有相关部门和人员对系统测试验收报告进行审定的意见，是否有第三方测试机构的签字或盖章。
　　8.2.4.7.3　结果判定
　　如果8.2.4.7.2 a）-e）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合本单元测评指标要求。
　　8.2.4.8　系统交付
　　8.2.4.8.1　测评指标
　　见JR/T 0060-2010 8.2.4.8。
　　8.2.4.8.2　测评实施
　　本项要求包括：
　　a）应访谈系统建设负责人，询问是否有专门的部门负责系统交接工作，系统交接工作是否根据交付清单对所交接的设备、文档、软件等进行清点；
　　b）应访谈系统建设负责人，询问系统正式运行前是否对运行维护人员进行过培训，针对哪些方面进行过培训；
　　c）应检查系统建设方面的管理制度，查看其是否包括系统交付的控制方法和人员行为准则的规定；
　　d）应检查是否具有系统交付清单，查看交付清单是否说明系统交付的各类设备、软件、文档等；
　　e）应检查系统交付提交的文档，查看是否有指导用户进行系统运维的文档等，提交的文档是否符合管理规定的要求；
　　f）应检查是否有系统交付技术培训记录，查看是否包括培训内容、培训时间和参与人员等。
　　8.2.4.8.3　结果判定
　　如果8.2.4.8.2 a）-f）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合本单元测评指标要求。
　　8.2.4.9　系统备案
　　8.2.4.9.1　测评指标
　　见JR/T 0060-2010 8.2.4.9。
　　8.2.4.9.2　测评实施
　　本项要求包括：
　　a）应访谈系统建设负责人，询问是否有专门的部门或人员负责管理系统定级的相关文档，由何部门/何人负责；询问对系统定级相关备案文档使用的控制方式；
　　b）应检查是否具有将系统等级及相关材料报主管部门备案的记录或备案文档；
　　c）应检查是否具有将系统等级及相关备案材料报相应公安机关备案的记录或证明；
　　8.2.4.9.3　结果判定
　　如果8.2.4.9.2 a）-c）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合本单元测评指标要求。
　　8.2.4.10　安全服务商选择
　　8.2.4.10.1　测评指标
　　见JR/T 0060-2010 8.2.4.11。
　　8.2.4.10.2　测评实施
　　本项要求包括：
　　a）应访谈系统建设负责人，询问信息系统选择的安全服务商有哪些，是否符合国家有关规定；
　　b）应检查是否具有与安全服务商签订的安全责任合同书或保密协议等文档，查看其内容是否包含保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等；
　　c）应检查是否具有与安全服务商签订的服务合同或安全责任合同书，查看是否明确了后期的技术支持和服务承诺等内容。
　　8.2.4.10.3　结果判定
　　如果8.2.4.10.2 a）-c）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合本单元测评指标要求。
　　8.2.5　系统运维管理
　　8.2.5.1　环境管理
　　8.2.5.1.1　测评指标
　　见JR/T 0060-2010 8.2.5.1。
　　8.2.5.1.2　测评实施
　　本项要求包括：
　　a）应访谈系统运维负责人，询问是否有专门的部门或人员对机房供配电、空调、温湿度控制等设施进行定期维护，由何部门/何人负责，维护周期多长；
　　b）应访谈系统运维负责人，询问是否有专门的部门或人员对机房的出入、服务器开机/关机等日常工作进行管理，由何部门/何人负责；
　　c）应访谈系统运维负责人，询问为保证办公环境的保密性采取了哪些控制措施，在哪个区域接待来访人员，工作人员调离时是否收回办公室钥匙等；
　　d）应检查是否有机房安全管理制度，查看其内容是否覆盖机房物理访问、物品带进/带出机房和机房环境安全等方面；
　　e）应检查是否具有空调、温湿度控制等机房设施的维护保养记录，表明定期对这些设施进行了维护保养；
　　1）检查维护记录，查验是否每季度对机房供配电、空调、UPS等设备进行维护管理；
　　2）检查维护记录，查验是否每年对防盗报警、防雷、消防等装置进行检测维护。
　　f）应检查办公环境，查看工作人员离开座位时是否退出登录状态、桌面没有敏感信息文件等；
　　g）应检查办公环境是否有与机房相同的物理安全措施，如门禁控制、摄像监控系统等，出入办公环境和机房不同区域是否要经过相应级别的授权。
　　8.2.5.1.3　结果判定
　　如果8.2.5.1.2 a）-g）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合本单元测评指标要求。
　　8.2.5.2　资产管理
　　8.2.5.2.1　测评指标
　　见JR/T 0060-2010 8.2.5.2。
　　8.2.5.2.2　测评实施
　　本项要求包括：
　　a）应访谈系统运维负责人，询问是否有资产管理的责任人员或部门，由何部门/何人负责；
　　b）应检查是否有资产清单，查看其内容是否覆盖资产责任部门、责任人、所处位置和重要程度等方面；
　　c）应检查是否有资产安全管理方面的制度，查看是否明确信息资产管理的责任部门、责任人，查看其内容是否覆盖资产使用、借用、维护等方面；
　　d）应检查是否有资产安全管理方面的制度，查看是否明确了依据资产的重要程度对资产进行分类和标识管理的方法，是否明确了信息分类标识的原则和方法，是否说明了不同类别的资产采取的不同管理措施。
　　8.2.5.2.3　结果判定
　　如果8.2.5.2.2 a）-d）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合本单元测评指标要求。
　　8.2.5.3　介质管理
　　8.2.5.3.1　测评指标
　　见JR/T 0060-2010 8.2.5.3。
　　8.2.5.3.2　测评实施
　　本项要求包括：
　　a）应访谈资产管理员，询问介质的存放环境是否采取保护措施防止介质被盗、被毁等；
　　b）应访谈资产管理员，询问是否根据介质的目录清单对介质的使用现状进行定期检查；
　　c）应访谈资产管理员，询问是否将介质保管在一个特定环境里，有专人负责，并根据重要性对介质进行分类和标识；
　　d）应访谈资产管理员，询问是否对某些重要介质实行异地存储，异地存储环境是否与本地环境相同；
　　e）应访谈资产管理员，询问是否定期对存储介质的完整性（数据是否损坏或丢失）和可用性（介质是否受到物理破坏）进行检查，是否对重要数据进行加密存储；
　　f）应访谈资产管理员，询问对送出维修或销毁的介质在送出之前是否对介质内存储数据进行净化处理，对介质带出工作环境和重要介质中的数据和软件是否进行保密性处理；对保密性较高的介质销毁前是否有领导批准；
　　g）应访谈资产管理员，询问对介质的物理传输过程是否要求选择可靠传输人员、严格介质的打包、选择安全的物理传输途径、双方在场交付等环节的控制；
　　h）应检查是否有介质安全管理制度，查看是否对介质的存放环境、使用、维护和销毁等方面作出规定，是否明确了保密性较高的信息存储介质应获得批准并在双人监控下才能销毁的要求；
　　i）应检查介质使用管理记录，查看其是否记录介质归档和使用等情况；
　　j）应检查介质存储环境，查看是否对其进行了分类，并具有不同标识；
　　k）应抽样检查重要介质，查看是否可以使用，查看需要加密存储的数据是否加密；
　　l）应模拟保密性介质销毁过程，查看其销毁过程是否符合管理规定要求。
　　8.2.5.3.3　结果判定
　　如果8.2.5.3.2 a）-l）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合本单元测评指标要求。
　　8.2.5.4　设备管理
　　8.2.5.4.1　测评指标
　　见JR/T 0060-2010 8.2.5.4。
　　8.2.5.4.2　测评实施
　　本项要求包括：
　　a）应访谈系统运维负责人，询问是否有专门的部门或人员对各种设备、线路进行定期维护，，由何部门/何人负责，维护周期多长；
　　检查配套设施、软硬件维护是否至少每季度进行一次。
　　b）应检查是否有设备安全管理制度，查看其内容是否对各种软硬件设备的选型、采购、发放和领用等环节进行规定；
　　c）应检查设备安全管理制度中是否有对终端计算机、便携机和网络设备等使用方式、操作原则、注意事项等方面的规定，是否有信息处理设备必须经过审批才能带离机房或办公地点的要求；
　　d）应检查设备安全管理制度中是否有对涉外维修和服务的审批、维修过程的监督控制管理等要求；
　　e）应检查是否有关键设备的操作规程。
　　8.2.5.4.3　结果判定
　　如果8.2.5.4.2 a）-e）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合本单元测评指标要求。
　　8.2.5.5　监控管理和安全管理中心
　　8.2.5.5.1　测评指标
　　见JR/T 0060-2010 8.2.5.5。
　　8.2.5.5.2　测评实施
　　本项要求包括：
　　a）应访谈系统运维负责人，询问是否对通信线路、主机、网络设备和应用软件的运行状况，对设备状态、恶意代码、网络流量、补丁升级、安全审计等安全相关事项进行集中管理，是否形成监测记录文档，是否组织人员对监测记录进行整理并保管；
　　b）应访谈系统运维负责人，询问其是否组织人员定期对监测记录进行分析、评审，是否发现可疑行为并对其采取必要的措施，是否形成分析报告；
　　c）应检查是否具有安全集中管理的相关工具，可以实施对设备状态、恶意代码、补丁升级、安全审计等安全相关事项的集中监控和管理；
　　d）应检查监测记录，查看是否记录监控对象、监控内容、监控的异常现象处理等方面，查看是否对异常现象及处理措施形成分析报告。
　　8.2.5.5.3　结果判定
　　如果8.2.5.5.2 a）-d）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合本单元测评指标要求。
　　8.2.5.6　网络安全管理
　　8.2.5.6.1　测评指标
　　见JR/T 0060-2010 8.2.5.6。
　　8.2.5.6.2　测评实施
　　本项要求包括：
　　a）应访谈系统运维负责人，询问是否指定专门的部门或人员负责网络管理，维护网络运行日志、监控记录，分析处理报警信息等；
　　b）应访谈网络管理员，询问是否定期对网络进行漏洞扫描，扫描周期多长，发现漏洞是否及时修补；
　　1）询问是否持续跟踪网络设备的安全漏洞隐患的情况；
　　2）询问修补漏洞前是否进行了必要的测试评估。
　　c）应访谈网络管理员，询问是否根据厂家提供的软件升级版本对网络设备进行过升级，目前的版本号为多少，升级前是否对重要文件进行备份，采取什么方式备份；
　　d）应访谈网络管理员，网络的外联种类有哪些，是否都得到授权与批准，由何部门或何人批准，申请和批准的过程；
　　e）应检查是否有网络安全管理制度，查看其是否覆盖网络安全配置、安全策略、升级与打补丁、授权访问、日志保存时间、口令更新周期等方面内容；
　　f）应检查是否有网络安全管理制度，查看其是否明确了禁止便携式和移动式设备网络接入的规定，是否明确了网络帐户权限审批、权限分配、帐户注销等方面的规定；
　　g）应检查是否有网络漏洞扫描报告，检查扫描时间间隔与扫描周期是否一致，检查网络设备是否实现了最小服务配置；
　　1）检查是否至少每月进行一次漏洞扫描，并对漏洞风险持续跟踪，在经过充分的验证测试后，对必要的漏洞开展修补工作；
　　2）检查漏洞扫描和修补报告，查看扫描和修补工作是否在恰当的时间，对可能存在的风险进行充分评估和准备，制定回退方案，备份重要数据后进行的；
　　3）检查漏洞扫描和修补报告，查看完成扫描和修补工作后，是否进行了验证测试，以保证网络系统的正常运行。
　　h）应检查是否具有网络设备配置文件的备份文件，是否离线备份；
　　检查在设备配置变更前后，是否对网络设备的配置文件进行了备份。
　　i）应检查是否具有内部网络外联的授权批准书，检查是否有网络违规行为（如拨号上网等）的检查手段和工具。
　　8.2.5.6.3　结果判定
　　如果8.2.5.6.2 a）-i）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合本单元测评指标要求。
　　8.2.5.7　系统安全管理
　　8.2.5.7.1　测评指标
　　见JR/T 0060-2010 8.2.5.7。
　　8.2.5.7.2　测评实施
　　本项要求包括：
　　a）应访谈系统运维负责人，询问是否指定专门的部门或人员负责系统管理，如根据业务需求和系统安全分析制定系统的访问控制策略，控制分配文件及服务的访问权限；
　　b）应访谈系统运维负责人，询问是否对系统管理员用户进行分类，明确各个角色的权限、责任和风险，权限设定是否遵循最小授权原则；
　　c）应访谈系统管理员，询问系统日常管理的主要内容，是否有操作规程指导日常管理工作，包括重要的日常操作、参数的设置和修改等；
　　d）应访谈系统管理员，询问是否定期对系统进行漏洞扫描，扫描周期多长，发现漏洞是否及时修补，在安装系统补丁前是否对重要文件进行备份，是否先在测试环境中测试通过再安装；
　　1）检查是否至少每月进行一次漏洞扫描，并对漏洞风险持续跟踪，在经过充分的验证测试后，对必要的漏洞开展修补工作；
　　2）检查漏洞扫描和修补报告，查看扫描和修补工作是否在恰当的时间，对可能存在的风险进行充分评估和准备，制定回退方案，备份重要数据后进行的；
　　3）检查漏洞扫描和修补报告，查看完成扫描和修补工作后，是否进行了验证测试，以保证网络系统的正常运行。
　　e）应检查是否有系统安全管理制度，查看其内容是否覆盖系统安全策略、安全配置、日志管理和日常操作流程等方面，是否明确了系统帐户权限审批、权限分配、帐户注销等方面的规定；
　　f）应检查是否有系统漏洞扫描报告，检查扫描时间间隔与扫描周期是否一致，检查系统服务是否实现了最小服务配置；
　　g）应检查是否有详细日常运行维护操作日志，是否详细记录系统资源使用情况，如处理速度、存储容量等。
　　检查是否至少每月对运行日志和审计数据进行分析。
　　8.2.5.7.3　结果判定
　　如果8.2.5.7.2 a）-g）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合本单元测评指标要求。
　　8.2.5.8　恶意代码防范管理
　　8.2.5.8.1　测评指标
　　见JR/T 0060-2010 8.2.5.8。
　　8.2.5.8.2　测评实施
　　本项要求包括：
　　a）应访谈系统运维负责人，询问是否对员工进行基本恶意代码防范意识的教育，是否告知应及时升级软件版本，使用外来设备、网络上接收文件和外来计算机或存储设备接入网络系统之前进行病毒检查等；
　　b）应访谈系统运维负责人，询问是否指定专人对恶意代码进行检测，发现病毒后是否及时处理；
　　c）应访谈安全管理员，询问是否定期检查恶意代码库的升级情况，对截获的危险病毒或恶意代码是否及时进行分析处理，并形成书面的报表和总结汇报；
　　d）应检查是否有恶意代码防范方面的管理制度，查看其内容是否覆盖防恶意代码软件的授权使用、恶意代码库升级、定期汇报等方面；
　　e）应检查是否具有恶意代码检测记录、恶意代码库升级记录和分析报告，查看升级记录是否记录升级时间、升级版本等内容；查看分析报告是否描述恶意代码的特征、修补措施等内容。
　　8.2.5.8.3　结果判定
　　如果8.2.5.8.2 a）-e）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合本单元测评指标要求。
　　8.2.5.9　密码管理
　　8.2.5.9.1　测评指标
　　见JR/T 0060-2010 8.2.5.9。
　　8.2.5.9.2　测评实施
　　本项要求包括：
　　a）应访谈系统运维负责人，询问系统中是否使用密码技术和产品，密码技术和产品的使用是否遵照国家密码管理规定；
　　b）应检查是否具有密码使用方面的管理制度。
　　8.2.5.9.3　结果判定
　　如果8.2.5.9.2 a）和b）均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合本单元测评指标要求。
　　8.2.5.10　变更管理
　　8.2.5.10.1　测评指标
　　见JR/T 0060-2010 8.2.5.10。
　　8.2.5.10.2　测评实施
　　本项要求包括：
　　a）应访谈系统运维负责人，询问是否针对系统的重大变更制定变更方案指导系统变更工作的开展；
　　b）应访谈系统运维负责人，询问变更方案是否经过评审，重要系统变更前是否得到有关领导的批准，由何人批准，对发生的变更情况是否通知了所有相关人员，以何种方式通知；