等保2.0测评表-安全建设管理

序号测评对象测评指标控制项描述1a)应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由；2b)应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定；3c)应确保定级结果经过相关部门的批准；对定级结果的合理性和正确性进行论证和审定后，确定测评系统的定级结果报相关部门进行批准。4d)应将备案材料报主管部门和相应公安机关备案。5a)应根据安全保护等级选择基本安全措施，依据风险分析的结果补充和调整安全措施；6b)应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计，设计内容应包含密码相关内容，并形成配套文件；设计合理的安全方案是保障信息系统安全建设和运行的基础。安全设计方案应当对系统安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等内容做出具体的规划和设计，并形成配套的文件。7c)应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定，经过批准后才能正式实施。针对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等的相关配套文件，相关部门和有关安全技术专家对其进行合理性和正确性的论证和审定，在经过审批批准流程后方可正式实施。安全建设管理安全方案设计定级和备案8a)应确保信息安全产品采购和使用符合国家的有关规定；要选择符合国家及相关部门规定和要求的安全产品，如符合由中国信息安全产品测评认证中心编制的《信息安全产品政府采购指南》。9b)应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求；要采购和使用符合国家密码主管部门相关要求的密码产品。密码产品可以是数字证书（如CA认证）、令牌同环、生物识别等，且符合国家相关规定如由国家信息安全，国家密码局、科学技术部、公安部、国家安全部、财政部、信息产业部、商务部、国家保密局、国家信息化工作办公室联合制定了《含有密码技术的信息产品政府采购规定》。10c)应预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单。11a)应确保开发环境与实际运行环境物理分开，测试数据和测试结果受到控制；为避免开发过程中对系统造成影响，要保证开发环境与实际运行环境物理分开。而且，系统开发文档的保管、使用以及后续程序资源库的维护都应严格管理，加以限制。12b)应制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则；为保证开发过程的安全性，要制定开发方面的管理制度，规定开发过程的控制方法和人员行为准则。13c)应制定代码编写安全规范，要求开发人员参照规范编写代码；安全建设管理产品采购和使用自行软件开发14d)应确保具备软件设计的相关文档和使用指南，并对文档使用进行控制；15e)应确保在软件开发过程中对安全性进行测试，在软件安装前对可能存在的恶意代码进行检测；16f)应确保对程序资源库的修改、更新、发布进行授权和批准，并严格进行版本控制；17g)应确保开发人员为专职人员，开发人员的开发活动受到控制、监视和审查。为有效测试软件，找出软件各方面缺陷问题，要保证测试人员与开发人员分离，并确保开发人员为专职人员，且开发活动受到控制、监视和审查。18a)应在软件交付前检测其中可能存在的恶意代码；19b)应要求开发单位提供软件设计文档和使用指南；20c)应要求开发单位提供软件源代码，并审查软件中可能存在的后门和隐蔽信道。21a)应指定或授权专门的部门或人员负责工程实施过程的管理；22b)应制定工程实施方案控制安全工程实施过程；信息系统工程实施应当由具有资质的专业工程实施单位来完成，并与其签订安全建设协议，制定详细的工程实施方案，用来约束和控制工程实施方的行为。23c)应通过第三方工程监理控制项目的实施过程。安全建设管理自行软件开发外包软件开发工程实施24a)在制订测试验收方案，并依据测试验收方案实施测试验收，形成测试验收报告；25b)应进行上线前的安全性测试，并出具安全测试报告，安全测试报告应包含密码应用安全性测试相关内容。26a)应制定交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点；27b)应对负责运行维护的技术人员进行相应的技能培训；28c)应确保提供建设过程中的文档和指导用户进行运行维护的文档。29a)应定期进行等级测评，发现不符合相应等级保护标准要求的及时整改；30b)应在发生重大变更或级别发生变化时进行等级测评；31c)应确保测评机构的选择符合国家有关规定。32a)应确保服务供应商的选择符合国家的有关规定；系统交付等级测评服务供应商选择安全建设管理测试验收33b)应与选定的服务供应商签订相关协议，明确整个服务供应链各方需履行的信息安全相关义务；34c)应定期监视、评审和审核服务供应商提供的服务，并对其变更服务内容加以控制。确认人:确认时间:服务供应商选择安全建设管理检查方法应访谈安全主管，询问确定信息系统安全保护等级的方法是否参照定级指南的指导，定级过程是否有书面描述。应检查系统定级文档，查看文档是否说明定级的方法和理由。应访谈安全主管，询问是否组织相关部门和有关安全技术专家对定级结果进行论证和审定。应检查专家论证文档，查看是否有专家对定级结果的论证意见。应访谈安全主管，询问定级结果是否获得了相关部门的批准。应检查系统定级文档，查看定级结果是否有相关部门的批准盖章。应检查是否具有将系统等级相关材料报主管部门备案的记录或备案文档。应访谈系统建设负责人，询问是否根据系统的安全级别选择基本安全措施，是否依据风险分析的结果补充和调整安全措施，具体做过哪些调整。应访谈系统建设负责人，询问是否根据信息系统的等级划分情况统一考虑总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案等。应访谈系统建设负责人，是否对上述相关配套文件经过论证、审定和审批。应检查系统总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等配套文件，查看各个文件是否有机构管理层的批准。应检查专家论证文档，查看是否有相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的论证意见。应检查系统使用的有关信息安全产品是否符合国家的有关规定。应访谈系统建设负责人，询问系统是否采用了密码产品，密码产品的采购和使用是否符合国家密码主管部门的要求。应检查密码产品的使用情况是否符合密码产品使用、管理的相关规定。应访谈系统建设负责人，询问采购产品前是否预先对产品进行选型测试确定产品的候选范围；是否定期审定和更新候选产品名单，审定周期多长。应检查产品采购管理文档，查看内容是否明确需要的产品性能指标，确定产品的候选范围，通过招投标等方式确定采购产品及人员行为准则等方面。应检查是否具有产品选型测试结果记录、候选产品名单审定记录或更新的候选产品名单。应访谈系统建设负责人，询问是否进行自主开发软件，自主开发软件是否在独立的模拟环境中编写、调试和完成。应访谈系统建设负责人，询问测试数据和测试结果是否受到控制。应检查是否具有软件开发相关文档（软件设计和开发程序文件、测试数据、测试结果、维护手册等）的使用控制记录。应检查软件开发管理制度，查看文件是否明确软件设计、开发、测试、验收过程的控制方法和人员行为准则，是否明确哪些开发活动应经过授权、审批，是否明确软件开发相关文档的管理等。应访谈软件开发人员，询问其是否参照代码编写安全规范进行软件开发，开发之后是否交给测试人员测试软件。应检查代码编写安全规范，查看规范中是否明确代码编写规则。查看是否存在软件设计的相关文档和使用指南，对文档的使用进行控制。查看是否存在软件测试文档。应访谈系统建设负责人，是否对程序资源库的修改、更新、发布进行授权和批准，授权部门是何部门，批准人是何人。应检查对程序资源库的修改、更新、发布进行授权和审批的文档或记录，查看是否有批准人的签字。应访谈系统建设负责人，询问是否要求开发人员不能做测试人员（即二者分离），开发人员有哪些人，是否是专职人员。应访谈系统建设负责人，询问对开发人员的开发活动采取哪些控制措施，是否有专人监控、审查。应检查是否具有对开发人员的审查记录，查看审查记录是否记录审查结果等。应访谈系统建设负责人，询问软件安装之前是否检测软件中的恶意代码，检测工具是否是第三方的商业产品。应检查是否具有需求分析说明书、软件设计说明书、软件操作手册、软件源代码文档等软件开发文档和使用指南。应访谈系统建设负责人，询问是否要求开发单位提供源代码，是否根据源代码对软件中可能存在的后门进行审查。应检查软件源代码审查记录，查看是否包括对可能存在后门的审查结果。应访谈系统建设负责人，询问是否有专门部门或人员负责工程实施管理工作，由何部门/何人负责。应检查工程实施方案，查看其是否包括工程时间限制、进度控制和质量控制等方面内容。应检查是否具有按照实施方案形成的阶段性工程报告等文档。询问安全管理员项目实施时是否有监理全程控制。应检查工程测试验收方案，查看其是否明确说明参与测试的部门、人员、测试验收的内容、现场操作过程等内容。应检查测试验收记录是否详细记录了测试时间、人员、现场操作过程和测试验收结果等方面内容。应检查是否具有系统测试验收报告。应检查是否存在软件安全测试报告，测试模块中是否存在对密码强度和密码加密等的测试。应访谈系统建设负责人，询问系统交接时是否根据交付清单对所交接的设备、文档、软件等进行清点。应检查是否具有系统交付清单分类详细列项系统交付的各类设备、软件、文档等。应访谈系统建设负责人，询问目前的信息系统是否由内部人员独立运行维护，如果是，系统正式运行前是否对运行维护人员进行过培训，针对哪些方面进行过培训。应检查培训记录，查看是否包括培训内容、培训时间和参与人员等。应检查是否具有系统建设文档、指导用户进行系统运维的文档、系统培训手册等。应访谈安全主管，询问在系统发生变更或级别发生变化时是否针对相应的等级保护标准要求进行及时的整改。检查被测信息系统等级测评报告，检查该报告中是否有不符合相应等级保护标准要求的整改项。检查被测信息系统整改记录。一般不会出现问题，默认为符合符合应访谈系统建设负责人，询问信息系统选择的安全服务商有哪些，是否符合国家有关规定。默认符合应检查是否具有与安全服务商签订的安全责任合同书或保密协议等文档，查看其内容是否包含保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等。默认符合