信息安全等级保护检查规范
信息安全等级保护检查规范
ICS 13.310 A 90 DB11 北 京 市 地 方 标 准 DB11/T 1344—2016 信息安全等级保护检查规范 Examination specification for information security classified protection 2016 - 08 - 10 发布 北京市质量技术监督局 2016 - 12 - 01 实施 发 布 DB11/T 1344—2016 目 前 次 言............................................................................. II 1 范围............................................................................... 1 2 规范性引用文件..................................................................... 1 3 术语和定义......................................................................... 1 4 检查流程........................................................................... 1 5 一级信息系统检查 ................................................................... 2 6 二级信息系统检查 ................................................................... 7 7 三级信息系统检查 .................................................................. 16 8 四级信息系统检查 .................................................................. 27 I DB11/T 1344—2016 前 言 本标准按照GB/T 1.1—2009给出的规则起草。 本标准由北京市公安局提出并归口。 本标准由北京市公安局组织实施。 本标准主要起草单位:北京市公安局网络安全保卫总队、公安部信息安全等级保护评估中心、信息 产业信息安全测评中心、北京中软华泰信息技术有限责任公司。 本标准主要起草人:叶漫青、朱华池、白鸥、石锐、吴贤、俞诗源、朱晓莉、高媛、马荣欣、周永 战、游书明、赵悦、徐燕、赵志巍、金镁、王峥、周堃、李小玲、王凯晨、梁萌萌、张淮、王一婷、赵 永军、李梦娇、陈益、宋扬、张昕、菅强、高瑗泽、傅珩轩、刘晓雪、李君白、张远彬、王熙、张玮、 杨潇、石浩、王佳、赵勇、罗铮、袁静、于东升、霍珊珊、刘健、张益、董晶晶。 II DB11/T 1344—2016 信息安全等级保护检查规范 1 范围 本标准规定了对信息安全等级保护状况进行检查的流程和内容要求,其中内容要求包括对信息安全 等级保护第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全检查的要求。 本标准适用于信息安全等级保护检查工作。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 5271.8 信息技术 词汇 第 8 部分:安全 GB 17859 计算机信息系统安全保护等级划分准则 GB/T 22239 信息安全技术 信息系统安全等级保护基本要求 GB/T 25069 信息安全技术 术语 GB/T 25070 信息安全技术 信息系统等级保护安全设计技术要求 3 术语和定义 GB/T 5271.8、GB 17859、 GB/T 22239、GB/T 25069 和 GB/T 25070 界定的以及下列术语和定义适 用于本文件。 3.1 访谈 interview 检查人员通过引导信息系统相关人员进行有目的的(有针对性的)交流以帮助检查人员理解、分析 或取得证据的过程。 3.2 查验 check 检查人员通过对被检查对象(如制度文档、各类设备、安全配置等)进行观察、查阅、核查以帮助 检查人员理解、分析或取得证据的过程。 3.3 测试 test 检查人员使用预定的方法/工具使被检查对象(各类设备或安全配置)产生特定的结果,将运行结 果与预期的结果进行比对的过程。 4 检查流程 1 DB11/T 1344—2016 4.1 前期准备 前期准备包括的内容: ——调阅被检查单位信息系统的备案材料; ——了解被检查单位情况; ——成立检查小组; ——准备必要的检查材料和检查工具; ——制定检查组工作计划,计划内容应包括检查对象、检查人员、检查各个阶段的工作安排等。 4.2 现场检查 现场检查是通过对被检查单位的沟通访谈、文档审查、配置检查、工具测试和实地查验,并调阅自 查、总结或等级测评报告等资料,对被检查单位信息安全保护现状进行检查,取得检查总结活动所需的 资料。现场检查不应影响系统的正常运行。 4.3 检查总结 检查总结是根据现场检查结果和本标准的相关要求,列举并分析被检查单位信息系统存在的问题, 针对被检查单位信息系统安全保护能力出具书面结果材料。 5 一级信息系统检查 5.1 物理安全要求 5.1.1 物理访问控制 5.1.1.1 检查内容 检查内容如下: 应检查物理访问控制措施。 5.1.1.2 检查方法 检查方法如下: 查验是否有进出机房的人员登记记录。 5.1.1.3 检查结果判定 检查结果判定如下: 若机房出入口没有进出机房的人员登记记录,则检查结果为不符合。 5.1.2 支撑设施保障 5.1.2.1 检查内容 检查内容如下: a) 应检查防水措施; b) 应检查防火措施; c) 应检查温湿度控制措施; d) 应检查稳压设备。 2 DB11/T 1344—2016 5.1.2.2 检查方法 检查方法如下: a) 查验是否具备防止机房地下积水转移与渗透的措施,是否对防水防潮处理结果和除湿装置运行 情况进行记录; b) 查验机房是否配备符合要求的灭火设备,灭火设备摆放是否合理,有效期是否合格; c) 查验温湿度自动调节设施是否能够正常运行,查验温湿度控制是否合理; d) 查验机房内是否有稳压设备。 5.1.2.3 检查结果判定 检查结果判定如下: a) 若机房的墙壁或楼板的管道没有采取必要的防渗透防漏等防水保护措施,或防水防潮处理结果 及除湿装置运行记录缺失,则5.1.2.2 a)检查结果为不符合; b) 若机房内没有配备符合要求的灭火设备,灭火设备摆放不合理或已过期,则5.1.2.2 b)检查 结果为不符合; c) 若机房内没有配备温湿度自动调节设施,或当前温湿度不合理,则5.1.2.2 c)检查结果为不 符合; d) 若机房内没有设置稳压器,则5.1.2.2 d)检查结果为不符合。 5.2 安全技术要求 5.2.1 网络结构安全 5.2.1.1 检查内容 检查内容如下: 应检查网络拓扑图。 5.2.1.2 检查方法 检查方法如下: 查验实际环境中的核心交换机、核心服务器、边界防火墙等是否能够在网络拓扑结构图中定位。 5.2.1.3 检查结果判定 检查结果判定如下: 若网络拓扑图中无法定位核心交换机、核心服务器、边界防火墙等关键设备,则5.2.1.2检查 结果为不符合。 5.2.2 边界安全防护 5.2.2.1 检查内容 检查内容如下: 应检查网络边界入侵检测措施。 5.2.2.2 检查方法 检查方法如下: a) 查验网络边界设备是否采取技术手段防止地址欺骗; 3 DB11/T 1344—2016 b) 查验网络入侵检测设备是否能检测以下攻击行为:端口扫描、漏洞扫描、缓冲区溢出攻击、拒 绝服务攻击等,查看其规则库是否为最新。 5.2.2.3 检查结果判定 检查结果判定如下: a) 若重要地址没有采用IP/MAC绑定等手段防止地址欺骗,则5.2.2.2 a)检查结果为不符合; b) 若没有部署入侵检测设备或入侵检测设备的特征库未及时更新,则5.2.2.2 b)检查结果为不 符合。 5.2.3 用户身份鉴别 5.2.3.1 检查内容 检查内容如下: 应检查网络设备、操作系统、数据库管理系统和应用系统的身份鉴别措施。 5.2.3.2 检查方法 检查方法如下: 查验主要网络设备、服务器操作系统、数据库管理系统和应用系统的身份鉴别是否开启。 5.2.3.3 检查结果判定 检查结果判定如下: 若主要网络设备、服务器操作系统、主要数据库管理系统和应用系统无需身份鉴别,则5.2.3.2 检查结果为不符合。 5.2.4 访问控制 5.2.4.1 检查内容 检查内容如下: 应检查操作系统、数据库管理系统的默认账户权限。 5.2.4.2 检查方法 检查方法如下: 查验主要服务器操作系统和重要数据库管理系统是否已禁用或者限制匿名/默认账户的访问权 限,是否重命名系统默认账户名并修改默认账户的默认口令。 5.2.4.3 检查结果判定 检查结果判定如下: a) 操作系统和数据库管理系统默认账户名未重命名,默认口令未修改,则5.2.4.2检查结果为不 符合; b) Windows操作系统未禁用Guest默认账户、Linux操作系统未禁用默认用户(如daemon、bin、sys、 adm等),则5.2.4.2检查结果为不符合; c) 其他操作系统存在未重命名的默认系统用户,则5.2.4.2检查结果为不符合。 5.2.5 系统数据保护 4 DB11/T 1344—2016 5.2.5.1 检查内容 检查内容如下: 应检查应用系统数据备份介质。 5.2.5.2 检查方法 检查方法如下: 查验是否对主要网络设备、主要数据库管理系统和主要应用系统的重要信息进行了本地备份。 5.2.5.3 检查结果判定 检查结果判定如下: 若缺乏主要网络设备、主要数据库管理系统和主要应用系统的重要信息的备份介质,则 5.2.5.2检查结果为不符合。 5.3 安全管理要求 5.3.1 安全管理机构 5.3.1.1 检查内容 检查内容如下: 应检查安全岗位人员配备情况。 5.3.1.2 检查方法 检查方法如下: 查验系统、网络、安全方面的管理规定,记录系统管理员、网络管理员、数据库管理员、安 全管理员的姓名。 5.3.1.3 检查结果判定 检查结果判定如下: 若信息安全管理制度(网络、主机、密码、审计等制度)中没有明确角色和职责定义,没有 信息安全管理岗位人员名单,则5.3.1.2检查结果为不符合。 5.3.2 安全管理制度 5.3.2.1 检查内容 检查内容如下: 应检查信息安全工作日常安全管理制度。 5.3.2.2 检查方法 检查方法如下: 查验是否制定日常信息安全管理制度,如机房管理制度等。 5.3.2.3 检查结果判定 检查结果判定如下: 若没有制定日常信息安全管理制度,如机房管理制度等,则5.3.2.2检查结果为不符合。 5 DB11/T 1344—2016 5.3.3 系统人员安全 5.3.3.1 检查内容 检查内容如下: 应检查关键岗位人员劳动合同和人员离岗记录。 5.3.3.2 检查方法 检查方法如下: a) 查验关键岗位人员的劳动合同,记录负责人员录用的部门名称或人员姓名; b) 查验离岗人员办理过的调离手续记录,记录离岗员工被终止的访问权限内容。 5.3.3.3 检查结果判定 检查结果判定如下: a) 若无法提供信息安全相关岗位人员劳动合同,则5.3.3.2 a)检查结果为不符合; b) 若对离岗人员未及时终止访问权限,则5.3.3.2 b)检查结果为不符合。 5.3.4 系统安全生命周期 5.3.4.1 检查内容 检查内容如下: 应检查系统设计、系统实施、系统验收、系统运维等生命周期各阶段的安全管理制度和相应 记录保存情况。 5.3.4.2 检查方法 检查方法如下: a) 查验定级报告,记录定级报告名称和盖章批准的部门名称; b) 查验安全设计方案,记录安全设计方案的名称; c) 查验安全产品的销售许可证副本; d) 查验负责工程实施过程管理的部门名称或人员姓名; e) 查验安全性验收测试方案和测试验收报告,记录报告的名称; f) 查验机房安全管理制度,记录制度文档名称,核对是否规定机房物理访问、物品带入带出等; g) 查验与信息系统相关的资产清单,记录资产清单名称,核对清单是否至少包括资产名称、资产 位置、资产责任部门或责任人等; h) 查验设备管理的部门名称或人员姓名,记录部门名称或人员姓名,查验设备维护记录; i) 查验网络管理的部门名称或人员姓名,查验网络管理的日常监控记录,核对记录是否至少包括 监控时间、监控内容、监控人员等; j) 查验系统漏洞扫描报告,记录扫描报告的名称,核对记录是否至少包括扫描时间、扫描范围、 发现的漏洞、处理措施等; k) 查验和记录员工所用杀毒软件的名称和版本; l) 查验安全事件报告和处置管理制度,是否规定安全事件的现场处理、事件报告和后期恢复的管 理职责。 5.3.4.3 检查结果判定 检查结果判定如下: 6 DB11/T 1344—2016 a) 若无法提供系统定级报告书,无单位信息安全领导(小组)的批准盖章,则5.3.4.2 a)检查 结果为不符合; b) 若无法提供安全设计方案,则5.3.4.2 b)检查结果为不符合; c) 若无法提供安全产品销售许可证副本,则5.3.4.2 c)检查结果为不符合; d) 若无法提供负责工程实施过程管理的部门名称或人员姓名,则5.3.4.2 d)检查结果为不符合; e) 若无法提供安全验收测试方案和测试报告,则5.3.4.2 e)检查结果为不符合; f) 若无法提供机房安全管理制度,对机房环境、重要区域的访问、人员和物品的出入未进行规定, 则5.3.4.2 f)检查结果为不符合; g) 若无法提供与信息系统相关的资产清单,清单未包括资产名称、资产位置、资产责任部门或责 任人等,则5.3.4.2 g)检查结果为不符合; h) 若无法提供设备管理的部门名称或人员姓名及设备维护记录,则5.3.4.2 h)检查结果为不符 合; i) 若无法提供网络管理的部门名称或人员姓名,网络管理的日常监控记录中未包括监控时间、监 控内容、监控人员,则5.3.4.2 i)检查结果为不符合; j) 若无法提供系统漏洞扫描报告,记录中未包括扫描时间、扫描范围、发现的漏洞、处理措施等, 则5.3.4.2 j)检查结果为不符合; k) 若员工未使用杀毒软件或病毒库未及时更新,则5.3.4.2 k)检查结果为不符合; l) 若无法提供安全事件报告和处置管理制度,或内容未覆盖事件处理、报告和后期恢复的管理职 责,则5.3.4.2 l)检查结果为不符合。 6 二级信息系统检查 6.1 物理安全要求 6.1.1 物理位置选择 6.1.1.1 检查内容 检查内容如下: 应检查机房的选址和所在建筑物的防护能力。 6.1.1.2 检查方法 检查方法如下: 查验机房所在楼宇的验收报告是否明确机房所在建筑的防震、防风和防雨等能力。 6.1.1.3 检查结果判定 检查结果判定如下: 若无法提供机房所在建筑物楼宇的验收报告,或未采取防风和防雨等措施,则6.1.1.2检查结 果为不符合。 6.1.2 物理访问控制 6.1.2.1 检查内容 检查内容如下: 应检查物理访问控制措施。 7 DB11/T 1344—2016 6.1.2.2 检查方法 检查方法如下: a) 查验机房所有出入口是否有值守记录以及进出机房的人员登记记录; b) 查验是否有来访人员进入机房的审批记录,查验审批记录是否包括来访人员的访问范围。 6.1.2.3 检查结果判定 检查结果判定如下: a) 若机房任何一个出入口没有值守记录和进出人员登记记录,则6.1.2.2 a)检查结果为不符合; b) 若不具有来访人员进入机房的审批记录,或审批记录中不具备来访人员的访问范围、所进行的 操作等审批项,则6.1.2.2 b)检查结果为不符合。 6.1.3 支撑设施保障 6.1.3.1 检查内容 检查内容如下: a) 应检查防水措施; b) 应检查防火措施; c) 应检查温湿度控制措施; d) 应检查防静电措施; e) 应检查短期备用电源设备。 6.1.3.2 检查方法 检查方法如下: a) 查验是否具备防止机房地下积水转移与渗透的措施,是否对防水防潮处理结果和除湿装置运行 情况进行记录; b) 查验机房是否设置了自动消防系统,是否有人负责维护该系统的运行;查验自动消防系统是否 正常工作,查看是否有运行记录、报警记录、定期检查和维修记录; c) 查验温湿度自动调节设施是否能够正常运行,查验是否有温湿度记录、运行记录和维护记录; d) 访谈物理安全负责人,询问机房主要设备是否采取必要的接地防静电措施; e) 查验计算机系统的短期备用电源设备是否正常运行,查验是否有短期备用电源设备的检查和维 护记录。 6.1.3.3 检查结果判定 检查结果判定如下: a) 若机房的墙壁或楼板的管道没有采取必要的防渗透防漏等防水保护措施,或防水防潮处理结果 及除湿装置运行记录缺失,则6.1.3.2 a)检查结果为不符合; b) 若机房内没有设置自动检测火情、自动报警、自动灭火的自动消防系统,或自动消防系统无法 正常工作,运行记录、报警记录、定期检查和维修记录缺失,则6.1.3.2 b)检查结果为不符 合; c) 若机房内没有配备温湿度自动调节设施,或温湿度记录、运行记录和维护记录缺失,则6.1.3.2 c)检查结果为不符合; d) 若机房内没有设置静电接地,则6.1.3.2 d)检查结果为不符合; 8 DB11/T 1344—2016 e) 若机房内没有设置短期备用电源设备(如UPS),或短期备用电源设备的检查和维护记录缺失, 则6.1.3.2 e)检查结果为不符合。 6.2 安全技术要求 6.2.1 网络结构安全 6.2.1.1 检查内容 检查内容如下: 应检查网络拓扑图和重要网段划分情况。 6.2.1.2 检查方法 检查方法如下: a) 查验实际环境中的核心交换机、核心服务器、边界防火墙等是否能够在网络拓扑结构图中定位; b) 访谈网络管理员,询问网段划分情况以及划分的原则。 6.2.1.3 检查结果判定 检查结果判定如下: a) 若网络拓扑图中无法定位核心交换机、核心服务器、边界防火墙等关键设备,则6.2.1.2 a) 检查结果为不符合; b) 若网络没有划分子网,则6.2.1.2 b)检查结果为不符合。 6.2.2 边界安全防护 6.2.2.1 检查内容 检查内容如下: 应检查网络边界访问控制、网络入侵检测措施。 6.2.2.2 检查方法 检查方法如下: a) 查验防火墙等边界安全设备是否配置网段级的访问控制策略; b) 查验网络边界设备是否采取技术手段防止地址欺骗; c) 查验网络入侵检测设备是否能检测以下攻击行为:端口扫描、漏洞扫描、缓冲区溢出攻击、拒 绝服务攻击等,查看其规则库是否为最新; d) 查验边界完整性检查设备是否设置了对非法连接到外网的行为进行监控并有效阻断的配置。 6.2.2.3 检查结果判定 检查结果判定如下: a) 若没有在网络边界部署防火墙等访问控制设备或访问控制策略没有到网段级,则6.2.2.2 a) 检查结果为不符合; b) 若重要地址没有采用IP/MAC绑定等手段防止地址欺骗,则6.2.2.2 b)检查结果为不符合; c) 若没有部署入侵检测设备或入侵检测设备的特征库未及时更新,则6.2.2.2 c)检查结果为不 符合; d) 若没有相应的手段监控和阻止内部用户非法连接到外网,则6.2.2.2 d)检查结果为不符合。 9 DB11/T 1344—2016 6.2.3 用户身份鉴别 6.2.3.1 检查内容 检查内容如下: 应检查网络设备、操作系统、数据库管理系统和应用系统的身份鉴别措施和口令策略。 6.2.3.2 检查方法 检查方法如下: a) 查验主要网络设备、服务器操作系统、数据库管理系统和应用系统的身份鉴别是否开启,口令 的复杂度情况; b) 查验操作系统、应用系统是否具备登录失败账户锁定功能。 6.2.3.3 检查结果判定 检查结果判定如下: a) 若主要网络设备、服务器操作系统、数据库管理系统和应用系统无需身份鉴别,或出现弱口令、 默认口令、空口令,设置少于8位且仅由数字或字母组成的口令,则6.2.3.2 a)检查结果为不 符合; b) 未设置连续登录失败账户锁定功能,则6.2.3.2 b)检查结果为不符合。 6.2.4 访问控制 6.2.4.1 检查内容 检查内容如下: 应检查操作系统、数据库管理系统和应用该系统的默认账户和系统账户的权限分配情况。 6.2.4.2 检查方法 检查方法如下: a) 查验主要服务器操作系统和重要数据库管理系统是否已禁用或者限制匿名/默认账户的访问权 限,是否重命名系统默认账户名并修改默认账户的默认口令; b) 通过访谈询问应用系统的访问控制策略及粒度;以不同权限的用户登录应用系统,查看其拥有 的权限是否与系统赋予的权限一致,验证应用系统访问控制功能是否有效。 6.2.4.3 检查结果判定 检查结果判定如下: a) 操作系统和数据库管理系统默认账户名未重命名,默认口令未修改,则6.2.4.2 a)检查结果 为不符合; b) Windows操作系统未禁用Guest默认账户、Linux操作系统未禁用默认用户(如daemon、bin、sys、 adm等),则6.2.4.2 a)检查结果为不符合; c) 其他操作系统存在未重命名的默认系统用户,则6.2.4.2 a)检查结果为不符合; d) 应用系统普通用户登录后具备系统管理等管理员同样的权限,则6.2.4.2 b)检查结果为不符 合; e) 权限之间未形成相互制约,如未做到管理权限和审计权限的分离,则6.2.4.2 b)检查结果为 不符合。 10 DB11/T 1344—2016 6.2.5 审计日志管理 6.2.5.1 检查内容 检查内容如下: 应检查网络设备的日志、操作系统日志、数据库日志、应用系统日志的保存情况。 6.2.5.2 检查方法 检查方法如下: a) 查验网络设备、操作系统、数据库和应用系统是否具备了审计日志; b) 查验是否通过日志覆盖周期、覆盖方式、日志文件/空间大小、日志文件操作权限等设置,实 现对审计记录的保护。 6.2.5.3 检查结果判定 检查结果判定如下: a) 不具备网络设备、操作系统、数据库和应用系统的审计日志,则6.2.5.2 a)检查结果为不符 合; b) 未合理配置网络设备日志缓冲区大小,则6.2.5.2 b)检查结果为不符合; c) 未对各层面的审计日志设定覆盖周期、覆盖方式、读写权限等,则6.2.5.2 b)检查结果为不 符合; d) 未对各层面的审计日志进行备份,则6.2.5.2 b)检查结果为不符合; e) 应用系统为用户提供日志单条删除功能,则6.2.5.2 b)检查结果为不符合。 6.2.6 系统数据保护 6.2.6.1 检查内容 检查内容如下: a) 应检查网络设备、应用系统中的口令加密情况; b) 应检查应用系统数据备份介质。 6.2.6.2 检查方法 检查方法如下: a) 查验网络设备的配置文件中用户口令是否加密存储; b) 查验应用系统存储用户信息的数据表中用户口令字段是否加密存储; c) 查验是否对主要网络设备、主要数据库管理系统和主要应用系统的重要信息进行了本地备份, 备份介质是否场外存放。 6.2.6.3 检查结果判定 检查结果判定如下: a) 若网络设备配置文件中存储了明文用户口令,则6.2.6.2 a)检查结果为不符合; b) 若应用系统的数据库中存储了明文用户口令,则6.2.6.2 b)检查结果为不符合; c) 若缺乏主要网络设备、主要数据库管理系统和主要应用系统重要信息的备份,则6.2.6.2 c) 检查结果为不符合; d) 备份介质若无场外存放,则6.2.6.2 c)检查结果为不符合。 11 DB11/T 1344—2016 6.3 安全管理要求 6.3.1 安全管理机构 6.3.1.1 检查内容 检查内容如下: 应检查安全岗位人员配备情况和安全制度审批机制建立情况。 6.3.1.2 检查方法 检查方法如下: a) 查验岗位设置管理制度和工作责任书,检查是否有安全主管、安全管理员、系统管理员、网络 管理员等岗位的工作职责描述; b) 查验系统、网络、安全方面的管理规定,记录系统管理员、网络管理员、数据库管理员、安全 管理员的姓名,核对安全管理员是否专职; c) 查验审批流程规定和审批记录,记录审批流程规定和审批记录的名称,核对审批记录是否至少 包括审批时间、申请人、审批内容、审批人; d) 查验外联单位联系列表,核对是否至少包括外联单位名称、合作内容、联系人和联系方式等信 息; e) 查验安全检查制度,记录安全检查制度的名称,查验定期安全检查记录,核对记录是否至少包 括检查时间、检查人员、检查对象、检查结果。 6.3.1.3 检查结果判定 检查结果判定如下: a) 若没有提供岗位设置管理制度和工作责任书,未明确安全主管、安全管理员、系统管理员、网 络管理员等岗位设置和工作职责,则6.3.1.2 a)检查结果为不符合; b) 若信息安全管理制度(网络、主机、密码、审计等制度)中没有明确角色和职责定义,没有信 息安全管理岗位人员名单,未设置专职的信息安全管理员,或安全管理员存在兼任现象,则 6.3.1.2 b)检查结果为不符合; c) 若没有建立对机房及重要区域进出、系统或网络重要操作(系统上线变更、配置变更、加固、 安全管理等)的审批程序,或无法提供相关事件的审批记录,则6.3.1.2 c)检查结果为不符 合; d) 若没有建立外联单位联系列表,或内容不完整,则6.3.1.2 d)检查结果为不符合; e) 若没有制定安全检查工作制度和流程,没有定期进行安全检查活动并保留检查记录,则6.3.1.2 e)检查结果为不符合。 6.3.2 安全管理制度 6.3.2.1 检查内容 检查内容如下: 应检查信息安全工作的总体方针和安全策略制定、发布方式和定期评审修订情况。 6.3.2.2 检查方法 检查方法如下: 12 DB11/T 1344—2016 a) 查验信息安全管理体系总体方针、安全策略方面的相关文档,记录信息安全工作的总体方针、 抽查的安全策略文档名称等; b) 查验安全管理制度发布到相关人员手中的方式; c) 查验安全管理制度的审定和修订记录,核对评审记录是否至少包括评审时间、评审地点、参与 评审人员和评审结论,修订记录是否至少包括修订时间、修订内容、修订人等信息。 6.3.2.3 检查结果判定 检查结果判定如下: a) 若没有制定信息安全工作的总体方针和安全策略,则6.3.2.2 a)检查结果为不符合; b) 若安全管理制度没有采用文件、邮件或办公网等有效途径发布,则6.3.2.2 b)检查结果为不 符合; c) 若没有定期对安全管理制度进行检查,组织召开评审会,或评审记录内容不完整,则6.3.2.2 c) 检查结果为不符合。 6.3.3 系统人员安全 6.3.3.1 检查内容 检查内容如下: 应检查重要岗位人员劳动合同、人员离岗记录、保密协议、人员培训和考核记录。 6.3.3.2 检查方法 检查方法如下: a) 查验重要岗位人员的劳动合同和保密协议,记录保密协议名称,核对协议内容是否至少包括保 密范围、保密责任、违约责任、协议有效期和责任人签字等; b) 查验重要岗位(如安全管理员)离岗人员办理过的调离手续记录,核对记录是否至少包括人员 姓名、调离岗位、调离时间、收回权限及物品、核对人签字、批准人签字等; c) 查验各岗位人员的安全技能和安全认知考核记录,核对记录是否至少包括考核时间、考核对象、 考核内容、考核结果等; d) 查验安全教育和培训计划,核对计划是否明确了培训方式、培训对象、培训内容、培训时间和 地点等,查验培训记录是否至少包括培训人员、培训内容、培训结果等描述。 6.3.3.3 检查结果判定 检查结果判定如下: a) 若无法提供信息安全相关岗位人员的劳动合同或保密协议,则6.3.3.2 a)检查结果为不符合; b) 若重要岗位人员离岗记录中,未包括人员姓名、调离岗位、调离时间、收回权限及物品、核对 人签字、批准人签字等,则6.3.3.2 b)检查结果为不符合; c) 若无法提供针对不同岗位人员的安全技能和安全意识考核记录,则6.3.3.2 c)检查结果为不 符合; d) 若无法提供安全教育和培训计划,计划或记录内容不完整,则6.3.3.2 d)检查结果为不符合。 6.3.4 系统安全生命周期 6.3.4.1 检查内容 检查内容如下: 13 DB11/T 1344—2016 应检查系统设计、系统开发、系统实施、系统测评、系统验收、系统交付、系统运维等生命 周期各阶段的安全管理制度和相应记录保存情况。 6.3.4.2 检查方法 检查方法如下: a) 查验定级报告,记录定级报告名称和盖章批准的部门名称; b) 查验安全设计方案,记录安全设计方案的名称; c) 查验安全产品和密码产品的销售许可证副本; d) 查验软件开发管理制度,记录制度文档名称,核实有无开发过程的控制方法和人员行为准则; 若为外包软件开发,请被检查机构的配合人员提供软件的恶意代码检测记录和报告; e) 查验工程实施方案,记录实施方案名称,核对实施方案是否至少包括背景、目的、内容、进度 安排、实施人员和风险管理等; f) 查验安全性验收测试方案和测试验收报告,记录报告的名称;查验测试验收报告的审定记录, 记录报告签字人姓名等; g) 查验系统交付清单,记录系统交付清单的名称,核对是否包括交接的设备名称及数量、软件名 称及数量、文档名称及数量等; h) 查验机房安全管理制度,记录制度文档名称,核对是否规定机房物理访问、物品带入带出等; i) 查验资产安全管理制度,记录制度文档名称、规定的资产管理责任人或责任部门,核对是否至 少包括资产管理和使用的行为; j) 查验介质安全管理制度,记录制度文档名称,查阅对介质的存放环境、使用、维护和销毁的规 范化规定; k) 查验设备安全管理制度,记录制度文档名称,查阅是否有软硬件设备的选型、采购、发放和领 用的管理规定;查验信息处理设备带离机房或办公地点的审批记录; l) 查验网络安全管理制度,是否覆盖网络安全配置、安全策略、升级与补丁、授权访问、日志保 存时间、口令更新周期等方面内容; m) 通过访谈了解是否定期对系统进行漏洞扫描,记录扫描周期,发现漏洞是否及时修补;查验系 统漏洞扫描报告,扫描时间间隔与扫描周期是否一致;查验系统安全管理制度,内容是否覆 盖系统安全策略、安全配置、日志管理和日常操作流程等方面; n) 查验是否有恶意代码防范方面的管理制度,查看其内容是否覆盖防恶意代码软件的授权使用、 恶意代码库升级、定期汇报等方面; o) 查验变更管理制度,是否覆盖变更前审批、变更过程记录、变更后通报等方面内容,是否包括 变更申报、审批程序,是否规定需要申报的变更类型、申报流程、审批部门、批准人等方面 内容; p) 查验安全事件报告和处置管理制度,是否明确安全事件类型,规定安全事件的现场处理、事件 报告和后期恢复的管理职责。 6.3.4.3 检查结果判定 检查结果判定如下: a) 若无法提供系统定级报告书,无单位信息安全领导(小组)的批准盖章,则6.3.4.2 a)检查 结果为不符合; b) 若无法提供安全设计方案,则6.3.4.2 b)检查结果为不符合; c) 若无法提供安全产品和密码产品的销售许可证副本,则6.3.4.2 c)检查结果为不符合; 14 DB11/T 1344—2016 d) 若无法提供软件开发管理制度,若为外包软件开发,无法提供软件的恶意代码扫描记录和检测 报告,则6.3.4.2 d)检查结果为不符合; e) 若无法提供工程实施方案,实施方案未包括背景、目的、内容、进度安排、实施人员和风险管 理等,则6.3.4.2 e)检查结果为不符合; f) 若无法提供安全验收测试方案和测试报告,或无测试报告结果的评审记录,则6.3.4.2 f)检 查结果为不符合; g) 若无法提供详细的系统交付清单,清单中的信息不完整,或各环节无负责人员签字,则6.3.4.2 g)检查结果为不符合; h) 若无法提供机房安全管理制度,对机房环境、重要区域的访问、人员和物品的出入未进行规定, 则6.3.4.2 h)检查结果为不符合; i) 若无法提供资产安全管理制度,未明确资产管理责任部门和人员、管理和使用行为、资产编号 和分类方法、信息存储和保存发放等,则6.3.4.2 i)检查结果为不符合; j) 若无法提供介质安全管理制度,或内容未包含对介质的存放环境、使用、维护和销毁的规范化 规定,则6.3.4.2 j)检查结果为不符合; k) 若无法提供设备安全管理制度,或内容不合理、不完整;无法提供设备带离办公场所或机房的 审批记录,则6.3.4.2 k)检查结果为不符合; l) 若无法提供网络安全管理制度,或内容未覆盖网络安全配置、日志保存时间、安全策略、升级 与补丁、口令更新周期等方面,则6.3.4.2 l)检查结果为不符合; m) 若无法提供系统安全管理制度,或内容未覆盖系统安全策略、安全配置、日志管理和日常操作 流程等方面;无法提供定期对服务器进行漏洞扫描的报告,则6.3.4.2 m)检查结果为不符合; n) 若无法提供恶意代码防范方面的管理制度,其内容未覆盖防恶意代码软件的授权使用、恶意代 码库升级、定期汇报等方面,则6.3.4.2 n)检查结果为不符合; o) 若无法提供变更管理制度,或内容未覆盖系统上线变更、配置变更和其他重要变更等,则 6.3.4.2 o)检查结果为不符合; p) 若无法提供安全事件报告和处置管理制度,或内容未覆盖安全事件类型,事件处理、报告和后 期恢复的管理职责,则6.3.4.2 p)检查结果为不符合。 6.3.5 系统连续性保障 6.3.5.1 检查内容 检查内容如下: 应检查业务中断影响分析报告、业务连续性技术环境、备份恢复管理制度和应急响应机制。 6.3.5.2 检查方法 检查方法如下: a) 查验业务中断影响分析报告,是否对业务中断的可能性和造成的影响进行分析; b) 查验网络链路、网络设备、服务器和数据存储设备列表和说明,是否不存在关键节点单点故障; c) 查验备份与恢复方面的管理制度,是否明确了备份方式、备份频度、存储介质和保存期等方面 内容; d) 查验应急预案;通过访谈系统运维负责人了解是否定期对应急预案进行演练并保留演练记录。 6.3.5.3 检查结果判定 检查结果判定如下: 15 DB11/T 1344—2016 a) 若无法提供业务中断影响分析报告,内容未包括业务中断的可能性和造成的影响分析,则 6.3.5.2 a)检查结果为不符合; b) 若无法提供网络链路、网络设备、服务器和数据存储设备列表和说明,关键节点存在单点故障, 则6.3.5.2 b)检查结果为不符合; c) 若无法提供备份与恢复管理相关的安全管理制度,未明确系统和数据备份频率和方式,则 6.3.5.2 c)检查结果为不符合; d) 若未制定应急预案,内容未覆盖应急预案启动的条件、应急处理所需要的人力、物力和流程、 系统恢复流程、事后教育和培训等内容;或未定期开展应急预案演练并未保留记录,则6.3.5.2 d)检查结果为不符合。 7 三级信息系统检查 7.1 物理安全要求 7.1.1 物理位置选择 7.1.1.1 检查内容 检查内容如下: 应检查机房的选址和所在建筑物的防护能力。 7.1.1.2 检查方法 检查方法如下: a) 查验机房所在楼宇的验收报告是否明确机房所在建筑的防震、防风和防雨等能力; b) 查验机房是否在建筑物的顶层或地下室,是否加强防水和防潮措施。 7.1.1.3 检查结果判定 检查结果判定如下: a) 若无法提供机房所在建筑物楼宇的验收报告,或未采取防风和防雨等措施,则7.1.1.2 a)检 查结果为不符合; b) 如果机房选址在地下室或顶层,且未加强防水和防潮措施,则7.1.1.2 b)检查结果为不符合。 7.1.2 物理访问控制 7.1.2.1 检查内容 检查内容如下: 应检查物理访问控制措施。 7.1.2.2 检查方法 检查方法如下: a) 查验机房所有出入口是否有值守记录以及进出机房的人员登记记录; b) 查验是否有来访人员进入机房的审批记录,查验审批记录是否包括来访人员的访问范围; c) 查验机房内的运维区域和设备区域是否有隔离措施; d) 查验电子门禁系统是否能正常工作;查验是否有电子门禁系统的运行和维护记录。 7.1.2.3 检查结果判定 16 DB11/T 1344—2016 检查结果判定如下: a) 若机房任何一个出入口没有值守记录和进出人员登记记录,则7.1.2.2 a)检查结果为不符合; b) 若没有来访人员进入机房的审批记录,或审批记录中不具备来访人员的访问范围以及所要执行 的操作等审批项,则7.1.2.2 b)检查结果为不符合; c) 若机房内的运维区域和设备区域间没有隔离措施,如玻璃门等,则7.1.2.2 c)检查结果为不 符合; d) 若机房内没有设置电子门禁系统,或者电子门禁系统无法正常工作,或没有电子门禁系统运行 和维护记录,则7.1.2.2 d)检查结果为不符合。 7.1.3 支撑设施保障 7.1.3.1 检查内容 检查内容如下: a) 应检查防水措施; b) 应检查防火措施; c) 应检查温湿度控制措施; d) 应检查防静电措施; e) 应检查电力保障措施和通信线缆保护措施。 7.1.3.2 检查方法 检查方法如下: a) 查验是否具备防止机房地下积水转移与渗透的措施,是否对防水防潮处理结果和除湿装置运行 情况进行记录; b) 查验是否设置对水敏感的检测仪表或元件对机房进行防水检测和报警;查验该仪表或元件是否 正常运行,是否有日常状态运行监测记录,是否有人负责其运行管理工作; c) 查验机房是否设置了自动检测火情、自动报警、自动灭火的自动消防系统,查验自动消防系统 是否正常工作,是否有运行记录、报警记录、定期检查和维修记录; d) 查验机房及相关的工作房间和辅助房是否采用具有耐火等级的建筑材料; e) 查验温湿度自动调节设施是否能够正常运行,查验是否有温湿度记录、运行记录和维护记录; f) 访谈物理安全负责人,询问机房主要设备是否采取必要的接地防静电措施,查验机房是否采用 了防静电地板; g) 查验是否有短期备用电源设备或备用供电系统及其检查和维护记录,是否有冗余或并行的电力 电缆线路切换记录、备用供电系统运行记录; h) 查验机房是否采取通信线缆与电源线隔离铺设等通信线缆保护措施。 7.1.3.3 检查结果判定 检查结果判定如下: a) 若机房的墙壁或楼板的管道没有采取必要的防渗透防漏等防水保护措施,或防水防潮处理结果 及除湿装置运行记录缺失,则7.1.3.2 a)检查结果为不符合; b) 若机房内没有设置对水敏感的检测仪表或元件对机房进行防水检测和报警,则7.1.3.2 b)检 查结果为不符合; 17 DB11/T 1344—2016 c) 若机房内没有设置自动检测火情、自动报警、自动灭火的自动消防系统,或自动消防系统无法 正常工作,运行记录、报警记录、定期检查和维修记录缺失,则7.1.3.2 c)检查结果为不符 合; d) 若机房及相关的工作房间和辅助房没有采用具有耐火等级的建筑材料,则7.1.3.2 d)不符合; e) 若机房内没有配备温湿度自动调节设施,或温湿度记录、运行记录和维护记录缺失,则7.1.3.2 e)检查结果为不符合; f) 若机房内没有设置静电接地,或机房未采用防静电地板,则7.1.3.2 f)检查结果为不符合; g) 若机房内没有设置短期备用电源设备(如UPS)或备用供电系统,则7.1.3.2 g)检查结果为不 符合; h) 若机房没有采取通信线缆与电源线隔离铺设,则7.1.3.2 h)检查结果为不符合。 7.2 安全技术要求 7.2.1 网络结构安全 7.2.1.1 检查内容 检查内容如下: 应检查网络拓扑图和重要网段划分情况;应检查网络线路部署的冗余措施。 7.2.1.2 检查方法 检查方法如下: a) 查验实际环境中的核心交换机、核心服务器、边界防火墙等是否能够在网络拓扑结构图中定位; b) 访谈网络管理员,询问网段划分情况以及划分的原则; c) 查验重要网段间的核心交换机或防火墙是否配置了访问控制策略; d) 查验是否提供关键网络设备、主要通信线路和核心数据处理系统的热备。 7.2.1.3 检查结果判定 检查结果判定如下: a) 若网络拓扑图中无法定位核心交换机、核心服务器、边界防火墙等关键设备,则7.2.1.2 a) 检查结果为不符合; b) 若网络没有划分子网,则7.2.1.2 b)检查结果为不符合; c) 核心交换机或防火墙没有设置访问控制策略(ACL),则7.2.1.2 c)检查结果为不符合; d) 若网络内关键网络设备、主要通信线路和核心数据处理系统存在单点故障,则7.2.1.2 d)检 查结果为不符合。 7.2.2 边界安全防护 7.2.2.1 检查内容 检查内容如下: 应检查网络边界访问控制、网络入侵检测和网络恶意代码防范措施。 7.2.2.2 检查方法 检查方法如下: a) 查验防火墙等边界安全设备是否配置协议端口级的访问控制策略; b) 查验网络边界设备是否采取技术手段防止地址欺骗; 18 DB11/T 1344—2016 c) 查验网络入侵检测设备是否能检测以下攻击行为:端口扫描、漏洞扫描、缓冲区溢出攻击、拒 绝服务攻击等,查看其规则库是否为最新,并对发现的入侵行为进行阻拦; d) 查验防恶意代码产品是否正常运行,恶意代码库是否为最新版本; e) 查验边界完整性检查设备是否设置了对非法连接到外网和非法连接到内网的行为进行监控并 有效阻断的配置。 7.2.2.3 检查结果判定 检查结果判定如下: a) 若没有在网络边界部署防火墙等访问控制设备或访问控制策略没有到端口级,则7.2.2.2 a) 检查结果为不符合; b) 若重要地址没有采用IP/MAC绑定等手段防止地址欺骗,则7.2.2.2 b)检查结果为不符合; c) 若没有部署入侵检测设备或入侵检测设备的特征库未及时更新,则7.2.2.2 c)检查结果为不 符合; d) 如果系统与互联网存在接口,未在边界部署网络防恶意代码产品,病毒库未进行过至少每周一 次的更新,则7.2.2.2 d)检查结果为不符合; e) 若没有相应的手段监控和阻止内部用户非法连接到外网,则7.2.2.2 e)检查结果为不符合; f) 若没有相应的手段监控和阻止非授权用户连接到内网,则7.2.2.2 e)检查结果为不符合。 7.2.3 用户身份鉴别 7.2.3.1 检查内容 检查内容如下: 应检查网络设备、操作系统、数据库管理系统和应用系统的身份鉴别措施、口令策略和强化 的身份鉴别技术。 7.2.3.2 检查方法 检查方法如下: a) 查验主要网络设备、服务器操作系统、数据库管理系统和应用系统的身份鉴别是否开启,口令 的复杂度情况和定期修改时间; b) 查验操作系统、应用系统是否具备登录失败账户锁定功能; c) 查验是否采用两种或两种以上组合鉴别技术对管理用户进行身份鉴别。 7.2.3.3 检查结果判定 检查结果判定如下: a) 若主要网络设备、服务器操作系统、数据库管理系统和应用系统无需身份鉴别,或出现弱口令、 默认口令、空口令,设置少于8位且仅由数字或字母组成的口令,则7.2.3.2 a)检查结果为 不符合; b) 若口令修改未达到至少3个月一次,则7.2.3.2 a)检查结果为不符合; c) 未设置连续登录失败账户锁定功能,则7.2.3.2 b)检查结果为不符合; d) 若未采用两种或两种以上组合鉴别技术,则7.2.3.2 c)检查结果为不符合。 7.2.4 访问控制 7.2.4.1 检查内容 19 DB11/T 1344—2016 检查内容如下: 应检查操作系统、数据库管理系统和应用该系统的默认账户和系统账户的权限分配情况。 7.2.4.2 检查方法 检查方法如下: a) 查验主要服务器操作系统和重要数据库管理系统是否已禁用或者限制匿名/默认账户的访问权 限,是否重命名系统默认账户名并修改默认账户的默认口令; b) 通过访谈询问应用系统的访问控制策略及粒度;以不同权限的用户登录应用系统,查看其拥有 的权限是否与系统赋予的权限一致,验证应用系统访问控制功能是否有效。 7.2.4.3 检查结果判定 检查结果判定如下: a) 操作系统和数据库管理系统默认账户名未重命名,默认口令未修改,则7.2.4.2 a)检查结果 为不符合; b) Windows操作系统未禁用Guest默认账户、Linux操作系统未禁用默认用户(如daemon、bin、sys、 adm等),则7.2.4.2 a)检查结果为不符合; c) 其他操作系统存在未重命名的默认系统用户,则7.2.4.2 a)检查结果为不符合; d) 应用系统普通用户登录后具备系统管理等管理员同样的权限,则7.2.4.2 b)检查结果为不符 合; e) 权限之间未形成相互制约,如未做到管理权限和审计权限的分离,则7.2.4.2 b)检查结果为 不符合; f) 超级管理员未禁止远程登录,其他默认账户未限制访问权限,则7.2.4.2 b)检查结果为不符 合。 7.2.5 审计日志管理 7.2.5.1 检查内容 检查内容如下: 应检查网络设备的日志、操作系统日志、数据库日志、应用系统日志的保存和分析情况。 7.2.5.2 检查方法 检查方法如下: a) 查验网络设备、操作系统、数据库和应用系统是否具备了审计日志; b) 查验是否对网络设备日志、操作系统日志、数据库日志、应用系统日志进行浏览和分析,并根 据需要生成审计报告; c) 查验是否通过日志覆盖周期、覆盖方式、日志存储的空间大小、日志文件操作权限等设置,实 现对审计记录的保护,日志信息是否至少保存两个月以上。 7.2.5.3 检查结果判定 检查结果判定如下: a) 不具备网络设备、操作系统、数据库和应用系统的审计日志,则7.2.5.2 a)检查结果为不符 合; b) 应用系统日志字段的内容未至少包括日期、时间、用户源、访问对象、事件描述、事件结果, 则7.2.5.2 a)检查结果为不符合; 20 DB11/T 1344—2016 c) 未对各层面的审计日志进行分析并生成报告,则7.2.5.2 b)检查结果为不符合; d) 未合理配置网络设备日志缓冲区大小,则7.2.5.2 c)检查结果为不符合; e) 操作系统日志文件权限设置不安全(如Windows的日志文件被授予Everyone权限;Linux日志文 件权限为-rwxrwxrwx(777)),则7.2.5.2 c)检查结果为不符合; f) 未对各层面的审计日志设定覆盖周期、覆盖方式、读写权限等,则7.2.5.2 c)检查结果为不 符合; g) 未对各层面的审计日志进行备份,则7.2.5.2 c)检查结果为不符合; h) 应用系统为用户提供日志单条删除功能,则7.2.5.2 c)检查结果为不符合; i) 未部署网络设备日志集中收集系统(如Syslog服务器)对日志进行集中管理与备份,则7.2.5.2 c)检查结果为不符合。 7.2.6 系统数据保护 7.2.6.1 检查内容 检查内容如下: a) 应检查网络设备、应用系统中的口令加密情况; b) 应检查应用系统数据备份介质。 7.2.6.2 检查方法 检查方法如下: a) 查验网络设备的配置文件中用户口令是否加密存储; b) 查验应用系统存储用户信息的数据表中用户口令字段是否加密存储; c) 查验主要网络设备、应用系统远程管理时是否对用户口令进行了加密保护; d) 查验是否对主要网络设备、主要数据库管理系统和主要应用系统的重要信息进行了本地备份, 备份介质是否场外存放。 7.2.6.3 检查结果判定 检查结果判定如下: a) 若网络设备配置文件中存储了明文用户口令,则7.2.6.2 a)检查结果为不符合; b) 若应用系统的数据库中存储了明文用户口令,则7.2.6.2 b)检查结果为不符合; c) 若网络设备采用Telnet协议进行远程管理,则7.2.6.2 c)检查结果为不符合; d) 若应用系统采用Http协议并且通过获取数据包验证未对口令进行加密,则7.2.6.2 c)检查结 果为不符合; e) 若缺乏主要网络设备、主要数据库管理系统和主要应用系统重要信息的备份,则7.2.6.2 d) 检查结果为不符合。 7.3 安全管理要求 7.3.1 安全管理机构 7.3.1.1 检查内容 检查内容如下: 应检查安全管理组织架构情况、安全岗位人员配备情况和安全制度审批机制建立情况。 7.3.1.2 检查方法 21 DB11/T 1344—2016 检查方法如下: a) 查验信息安全工作委员会或领导小组名单、信息安全工作委员会的最高领导的授权书,记录授 权书名称;通过访谈了解是否成立信息安全管理工作的职能部门,并检查安全主管的职责范 围; b) 查验系统、网络、安全方面的管理规定,记录系统管理员、网络管理员、数据库管理员、安全 管理员的姓名,核对安全管理员是否专职; c) 查验审批流程规定和审批记录,记录审批流程规定和审批记录的名称,核对审批记录是否至少 包括审批时间、申请人、审批内容、审批人; d) 查验外联单位联系列表,核对是否至少包括外联单位名称、合作内容、联系人和联系方式等信 息; e) 查验安全审核和安全检查制度,记录安全审核和安全检查制度的名称,检查定期安全检查的记 录和报告,核对记录是否至少包括检查时间、检查人员、检查对象、检查结果,核对报告是 否至少包括报告时间、报告结论、报告撰写人、报告批准人等。 7.3.1.3 检查结果判定 检查结果判定如下: a) 若没有提供信息安全工作委员会或领导小组名单、授权书和职责文件,或没有设立信息安全管 理工作职能部门,没有岗位责任书,则7.3.1.2 a)检查结果为不符合; b) 若信息安全管理制度(网络、主机、密码、审计等制度)中没有明确角色和职责定义,没有信 息安全管理岗位人员名单,未设置专职的信息安全管理员,则7.3.1.2 b)检查结果为不符合; c) 若没有建立对机房及重要区域进出、系统或网络重要操作(系统上线变更、配置变更、加固、 安全管理等)的审批程序,或无法提供相关事件的审批记录,则7.3.1.2 c)检查结果为不符 合; d) 若没有建立外联单位联系列表,或内容不完整,则7.3.1.2 d)为不符合; e) 若没有制定安全审核和安全检查工作制度和流程,没有定期进行安全审核和安全检查活动并保 留检查记录;或没有对检查报告进行上报,并制定处理意见或计划,则7.3.1.2 e)检查结果 为不符合。 7.3.2 安全管理制度 7.3.2.1 检查内容 检查内容如下: 应检查信息安全工作的总体方针和安全策略制定、发布方式和定期评审修订情况。 7.3.2.2 检查方法 检查方法如下: a) 查验信息安全管理体系总体方针、安全策略、管理制度、操作规程方面的相关文档,记录信息 安全工作的总体方针、抽查的安全策略文档名称、抽查的管理制度名称、抽查的操作规程名 称等; b) 查验安全管理制度的版本控制记录、安全管理制度及其收发登记记录,记录安全管理制度的版 本号; c) 查验安全管理制度的审定和修订记录,核对评审记录是否至少包括评审时间、评审地点、参与 评审人员和评审结论,修订记录是否至少包括修订时间、修订内容、修订人等信息。 22 DB11/T 1344—2016 7.3.2.3 检查结果判定 检查结果判定如下: a) 若没有制定信息安全工作的总体方针并形成文件下发;没有形成全面的信息安全管理制度体系 (包括但不限于:信息安全策略、机房管理制度、网络/主机/数据/密码管理等管理制度、设 备操作规程、数据备份恢复操作规程等),则7.3.2.2 a)检查结果为不符合; b) 若没有对安全管理制度编写规范、格式进行统一,没有版本控制记录;或安全管理制度没有通 过正式文件、邮件或办公网等有效途径发布,则7.3.2.2 b)检查结果为不符合; c) 若没有定期对安全管理制度进行检查,组织召开评审会,或评审记录内容不完整,则7.3.2.2 c) 检查结果为不符合。 7.3.3 系统人员安全 7.3.3.1 检查内容 检查内容如下: 应检查重要岗位人员劳动合同、保密协议、人员培训、考核记录、人员离岗管理制度和离岗 记录。 7.3.3.2 检查方法 检查方法如下: a) 查验内部人员的劳动合同和保密协议,记录保密协议名称,核对协议内容是否至少包括保密范 围、保密责任、违约责任、协议有效期和责任人签字等;查验重要岗位人员的岗位安全协议; b) 查验重要岗位(如安全管理员)离岗人员办理过的调离手续记录,核对记录是否至少包括人员 姓名、调离岗位、调离时间、收回权限及物品、承诺的保密义务、核对人签字、批准人签字 等; c) 查验各岗位人员的安全技能和安全认知考核记录、重要岗位人员的安全审查和考核记录,核对 记录是否至少包括考核时间、考核对象、考核内容、考核结果等; d) 查验安全教育和培训的书面规定,查验不同岗位是否有不同的培训计划;查验归档的培训计划 和培训记录,核对培训记录是否至少包括培训人员、培训内容、培训结果等描述。 7.3.3.3 检查结果判定 检查结果判定如下: a) 若无法提供信息安全相关岗位人员劳动合同或保密协议,则7.3.3.2 a)检查结果为不符合; b) 若无法提供重要岗位人员离岗管理制度和流程,离岗过程各环节无确认签字;或离岗人员未签 订保密义务,则7.3.3.2 b)检查结果为不符合; c) 若无法提供针对不同岗位人员的安全技能和安全意识考核记录,则7.3.3.2 c)检查结果为不 符合; d) 若未定期开展安全教育,未定期针对关键岗位人员进行安全技能培训,未针对不同岗位人员制 定年度培训计划,未对培训内容和结果进行记录和归档,则7.3.3.2 d)检查结果为不符合。 7.3.4 系统安全生命周期 7.3.4.1 检查内容 检查内容如下: 23 DB11/T 1344—2016 应检查系统设计、系统开发、系统实施、系统测评、系统验收、系统交付、系统运维等生命 周期各阶段的安全管理制度和相应记录保存情况。 7.3.4.2 检查方法 检查方法如下: a) 查验定级结果审定记录,核对记录是否至少包括审定时间、审定内容和审定人等,并记录定级 报告名称和盖章批准的部门名称; b) 查验信息系统等级备案材料是否报相应公安机关备案,核对备案材料是否至少包括《信息安全 等级保护备案表》、系统拓扑结构及说明、系统安全组织机构和管理制度、系统安全保护设 施设计实施方案或者改建实施方案、系统使用的信息安全产品清单及其认证、销售许可证明 副本、信息系统安全保护等级专家评审意见、主管部门审核批准信息系统安全保护等级的意 见; c) 查验总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案组成的配套 文件; d) 查验软件开发管理制度,记录制度文档名称,核实有无开发过程的控制方法和人员行为准则, 有无代码编写安全规范;若为外包软件开发,查验软件的恶意代码检测记录和报告; e) 查验工程实施方面的管理制度,记录制度文档名称,核实是否包括实施过程的控制方法和人员 行为准则; f) 查验用于验收的第三方安全性测试报告,记录报告的名称和第三方单位名称;查验测试验收报 告的审定记录,记录报告签字人姓名等; g) 查验系统交付清单,记录系统交付清单的名称,核对是否包括交接的设备名称及数量、软件名 称及数量、文档名称及数量等;查验系统交付后的培训记录,核对培训记录是否至少包括培 训人员、培训内容、培训结果等的描述; h) 查验系统等级测评报告,记录报告名称和测评时间;查验整改方案,记录方案名称;查验等级 测评机构是否是《全国等级保护测评机构推荐目录》中的机构; i) 查验机房安全管理制度,记录制度文档名称,核对是否规定机房物理访问、物品带入带出等; 查验工作人员离开情况下终端计算机的状态是否为锁定状态,桌面是否没有包含敏感信息的 纸质文档; j) 查验资产安全管理制度,记录制度文档名称、规定的资产管理责任人或责任部门,核对是否至 少包括资产管理和使用的行为;核对是否对数据信息的分类与标识方法作出规定,查阅信息 的使用、传输和存储方面的规范化规定; k) 查验介质安全管理制度,记录制度文档名称,查阅对介质的存放环境、使用、维护和销毁的规 范化规定; l) 查验设备安全管理制度,记录制度文档名称,查阅是否有软硬件设备的选型、采购、发放和领 用的管理规定;查验信息处理设备带离机房或办公地点的审批记录;查验配套设施、软硬件 维护方面的管理制度,记录制度文档名称; m) 查验是否具有安全集中管理的相关工具,可以实施对设备状态、恶意代码、补丁升级、安全审 计等安全相关事项的集中监控和管理;查验监测与报警记录与分析报告; n) 查验网络安全管理制度,是否覆盖网络安全配置、安全策略、升级与补丁、授权访问、日志保 存时间、口令更新周期等方面内容;通过访谈了解是否定期对网络设备进行漏洞扫描,记录 扫描周期,发现漏洞是否及时修补;查验网络漏洞扫描报告,内容是否包含网络存在的漏洞、 严重级别和结果处理等方面,扫描时间间隔与扫描周期是否一致; 24 DB11/T 1344—2016 o) 通过访谈了解是否定期对系统进行漏洞扫描,记录扫描周期,发现漏洞是否及时修补;查验系 统漏洞扫描报告,确认扫描时间间隔与扫描周期是否一致;查验系统安全管理制度,内容是 否覆盖系统安全策略、安全配置、日志管理和日常操作流程等方面;通过访谈询问是否指定 专门的部门或人员负责系统管理,询问是否对系统管理员用户进行分类,明确各个角色的权 限、责任和风险; p) 通过访谈询问是否指定专门的人员对网络和主机进行恶意代码检测;查验定期检查恶意代码库 的升级情况,对截获的危险病毒或恶意代码是否及时进行分析处理,查验书面的报表和总结 汇报;查验恶意代码检测记录、恶意代码库升级记录和分析报告,查验升级记录是否记录升 级时间、升级版本等内容,查验分析报告是否描述恶意代码的特征、修补措施等内容; q) 查验变更管理制度,是否覆盖变更前审批、变更过程记录、变更后通报等方面内容,是否包括 变更申报、审批程序,是否规定需要申报的变更类型、申报流程、审批部门、批准人等方面 内容; r) 查验安全事件报告和处置管理制度,是否明确安全事件类型,规定安全事件的现场处理、事件 报告和后期恢复的管理职责。 7.3.4.3 检查结果判定 检查结果判定如下: a) 若无法提供信息系统定级结果专家意见;未制定系统定级报告书,无单位信息安全领导(小组) 的批准盖章,则7.3.4.2 a)检查结果为不符合; b) 若无法提供符合公安机关要求的定级备案材料,资料不完整,未获得公安机关备案证明,则 7.3.4.2 b)检查结果为不符合; c) 若无法提供完整的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方 案,则7.3.4.2 c)检查结果为不符合; d) 若无法提供软件开发管理制度,未根据不同开发语言制定相应的安全编码规范;若为外包软件 开发,无法提供软件的恶意代码扫描记录和检测报告,则7.3.4.2 d)检查结果为不符合; e) 若无法提供工程实施方面的管理制度,内容未包含在实施过程中控制方法和人员行为准则,则 7.3.4.2 e)检查结果为不符合; f) 若无法提供用于验收的第三方安全性测试报告,报告内容与被验收的对象不匹配的(如系统验 收应至少包含应用安全,网络环境验收应至少包含网络安全等),或无测试报告结果的评审 记录,则7.3.4.2 f)检查结果为不符合; g) 若无法提供详细的系统交付清单,清单中的信息不完整,各环节无负责人员签字,或无系统交 付后的培训记录,则7.3.4.2 g)检查结果为不符合; h) 若无法提供每年一次的等级测评报告,或测评机构不是《全国等级保护测评机构推荐目录》中 的测评机构;未根据测评情况制定整改方案和计划,则7.3.4.2 h)检查结果为不符合; i) 若无法提供机房安全管理制度和办公环境安全管理要求,对机房环境、重要区域的访问、人员 和物品的出入未进行规定;或未对办公环境的安全性进行规定,则7.3.4.2 i)检查结果为不 符合; j) 若无法提供资产安全管理制度,未明确资产管理责任部门和人员、管理和使用行为、资产编号 和分类方法、信息存储和保存发放等;无法提供资产借出/收回记录;未对资产进行分类与标 识,则7.3.4.2 j)检查结果为不符合; k) 若无法提供介质安全管理制度,或内容未包含对介质的存放环境、使用、维护和销毁的规范化 规定,则7.3.4.2 k)检查结果为不符合; 25 DB11/T 1344—2016 l) 若无法提供设备安全管理制度,或内容不合理、不完整;无法提供设备带离办公场所或机房的 审批记录;无法提供设备及基础设施的运维管理制度,则7.3.4.2 l)检查结果为不符合; m) 若未采用集中监控管理工具对所有运行的设备进行设备状态、恶意代码、补丁升级、安全审计 等安全相关事项的集中监控和管理;未配置报警策略,未根据监控和报警情况进行汇报和处 理并形成分析报告,则7.3.4.2 m)检查结果为不符合; n) 若无法提供网络安全管理制度,或内容未覆盖网络安全配置、日志保存时间、安全策略、升级 与补丁、口令更新周期等方面;无法提供定期对网络设备进行漏洞扫描的报告,则7.3.4.2 n) 检查结果为不符合; o) 若无法提供系统安全管理制度,或内容未覆盖系统安全策略、安全配置、日志管理和日常操作 流程等方面;无法提供定期对服务器进行漏洞扫描的报告,未指定专人负责系统的运维,则 7.3.4.2 o)检查结果为不符合; p) 若未指定专职人员进行网络和主机的恶意代码防范管理;未定期进行病毒库升级,当前程序及 病毒库不是最新;或对恶意代码事件未及时处理并留有记录,则7.3.4.2 p)检查结果为不符 合; q) 若无法提供变更管理制度,或内容未覆盖系统上线变更、配置变更和其他重要变更等;未制定 变更流程,没有变更审批、过程记录和通报记录,则7.3.4.2 q)检查结果为不符合; r) 若无法提供安全事件报告和处置管理制度,或内容未覆盖安全事件类型、事件处理、报告和后 期恢复的管理职责,则7.3.4.2 r)检查结果为不符合。 7.3.5 系统连续性保障 7.3.5.1 检查内容 检查内容如下: 应检查业务中断影响分析报告、业务连续性技术环境、备份恢复管理制度和应急响应机制。 7.3.5.2 检查方法 检查方法如下: a) 查验是否对业务中断的可能性和造成的影响进行分析,并形成灾难恢复时间目标和恢复点目标 值; b) 查验网络链路、网络设备、服务器和数据存储设备列表和说明,是否不存在关键节点单点故障; c) 查验备份与恢复方面的管理制度,是否明确了备份方式、备份频度、存储介质和保存期等方面 内容;查验是否记录恢复时间、恢复内容、恢复人、恢复结果等; d) 查验是否制定不同事件的应急预案;通过访谈系统运维负责人了解是否定期对应急预案进行演 练并保留演练记录,记录演练周期,是否对应急预案定期进行审查。 7.3.5.3 检查结果判定 检查结果判定如下: a) 若无法提供业务中断影响分析报告,内容未包括业务中断的可能性和造成的影响分析,未确定 灾难恢复时间(RTO)和灾难恢复点(RPO)目标值,则7.3.5.2 a)检查结果为不符合; b) 若无法提供网络链路、网络设备、服务器和数据存储设备列表和说明,关键节点存在单点故障, 则7.3.5.2 b)检查结果为不符合; c) 若无法提供备份与恢复管理相关的安全管理制度,没有备份与恢复操作流程,未明确系统和数 据备份频率和方式,或数据备份频率和方式不能够满足RTO和RPO目标值;未定期进行数据恢 复测试且未保留恢复过程和结果记录,则7.3.5.2 c)检查结果为不符合; 26 DB11/T 1344—2016 d) 若未制定应急预案框架,未根据不同事件制定不同的应急预案,内容未覆盖应急预案的条件、 应急处理流程、系统恢复流程、事后教育和培训等内容;或未定期开展应急预案培训和演练 并未保留记录,则7.3.5.2 d)检查结果为不符合。 8 四级信息系统检查 8.1 物理安全要求 8.1.1 物理位置选择 8.1.1.1 检查内容 检查内容如下: 应检查机房的选址和所在建筑物的防护能力。 8.1.1.2 检查方法 检查方法如下: a) 查验机房所在楼宇的验收报告是否明确机房所在建筑的防震、防风和防雨等能力; b) 查验机房是否在建筑物的顶层或地下室,是否加强防水和防潮措施; c) 检查机房与运维场地是否安排在一起或物理位置较近的地方。 8.1.1.3 检查结果判定 检查结果判定如下: a) 若无法提供机房所在建筑物楼宇的验收报告,或未采取防风和防雨等措施,则8.1.1.2 a)检 查结果为不符合; b) 如果机房选址在地下室或顶层,且未加强防水和防潮措施,则8.1.1.2 b)检查结果为不符合; c) 若机房与运维场地相距较远,则8.1.1.2 c)检查结果为不符合。 8.1.2 物理访问控制 8.1.2.1 检查内容 检查内容如下: 应检查物理访问控制措施。 8.1.2.2 检查方法 检查方法如下: a) 查验机房所有出入口是否有值守记录以及进出机房的人员登记记录; b) 查验是否有来访人员进入机房的审批记录,查验审批记录是否包括来访人员的访问范围,进出 机房的有关记录是否保存足够的时间; c) 查验机房内的运维区域和设备区域是否有隔离措施; d) 访谈机房管理员是否将重要设备放置在重要区域并严格控制,控制来访人员进入或一般不允许 来访人员进入; e) 查验电子门禁系统是否能正常工作;查验是否有电子门禁系统的运行和维护记录; f) 查验重要区域是否配置了第二道电子门禁系统,控制、鉴别和记录进入的人员。 27 DB11/T 1344—2016 8.1.2.3 检查结果判定 检查结果判定如下: a) 若机房任何一个出入口没有值守记录和进出人员登记记录,则8.1.2.2 a)检查结果为不符合; b) 若没有来访人员进入机房的审批记录,或审批记录中不具备来访人员的访问范围以及所要执行 的操作等审批项,且审批记录未保存一年以上,则8.1.2.2 b)检查结果为不符合; c) 若机房内的运维区域和设备区域间没有隔离措施,如玻璃门等,则8.1.2.2 c)检查结果为不 符合; d) 若没有明确控制措施控制外来人员对重要区域的访问,则8.1.2.2 d)检查结果为不符合; e) 若机房内没有设置电子门禁系统,或者电子门禁系统无法正常工作,或没有电子门禁系统运行 和维护记录,则8.1.2.2 e)检查结果为不符合; f) 若重要区域没有设置第二道电子门禁系统来控制、鉴别和记录进入的人员,则8.1.2.2 f)检 查结果为不符合。 8.1.3 支撑设施保障 8.1.3.1 检查内容 检查内容如下: a) 应检查防水措施; b) 应检查防火措施; c) 应检查温湿度控制措施; d) 应检查防静电措施; e) 应检查电力保障措施和通信线缆保护措施。 8.1.3.2 检查方法 检查方法如下: a) 查验是否具备防止机房地下积水转移与渗透的措施,是否对防水防潮处理结果和除湿装置运行 情况进行记录; b) 查验是否设置对水敏感的检测仪表或元件对机房进行防水检测和报警;查验该仪表或元件是否 正常运行,是否有日常状态运行监测记录; c) 查验机房是否设置了自动检测火情、自动报警、自动灭火的自动消防系统,查验自动消防系统 是否正常工作,是否有运行记录、报警记录、定期检查和维修记录; d) 查验机房及相关的工作房间和辅助房是否采用具有耐火等级的建筑材料; e) 查验机房是否采取区域隔离防火措施,将重要设备与其他设备隔离开; f) 访谈机房值守人员,询问对机房出现的消防安全隐患是否能够及时报告并得到排除;是否参加 过机房灭火设备的使用培训,是否能够正确使用灭火设备和自动消防系统;是否能够做到随 时注意防止和消灭火灾隐患; g) 查验机房消防方面的管理制度文档;查验是否有机房防火设计或验收文档;查验是否有机房自 动消防系统的设计或验收文档,文档是否与现有消防配置状况一致;查验是否有机房及相关 房间的建筑材料、区域隔离防火措施的验收文档或消防检查验收文档; h) 查验温湿度自动调节设施是否能够正常运行,查验是否有温湿度记录、运行记录和维护记录; i) 查验机房是否有温湿度控制设计或验收文档,是否能够满足系统运行需要,是否与当前实际情 况相符; 28 DB11/T 1344—2016 j) 访谈物理安全负责人,询问机房主要设备是否采取必要的接地防静电措施,查验机房是否采用 了防静电地板; k) 查验是否有防静电设计或验收文档,查看其描述内容与实际情况是否一致; l) 查验是否采用了防静电工作台、静电消除剂或静电消除器等防静电措施;查验是否有使用静电 消除剂或静电消除器等的消除静电操作记录; m) 查验是否有短期备用电源设备或备用供电系统及其检查和维护记录,是否有冗余或并行的电力 电缆线路切换记录,备用供电系统运行记录; n) 查验机房是否采取通信线缆与电源线隔离铺设等通信线缆保护措施; o) 查验机房是否有电力供应安全设计或验收文档,查验文档中是否标明配备备用电源设备、冗余 或并行的电力电缆线路以及备用供电系统等要求;查验与机房电力供应实际情况是否一致。 8.1.3.3 检查结果判定 检查结果判定如下: a) 若机房的墙壁或楼板的管道没有采取必要的防渗透防漏等防水保护措施,或防水防潮处理结果 及除湿装置运行记录缺失,则8.1.3.2 a)检查结果为不符合; b) 若机房内没有设置对水敏感的检测仪表或元件对机房进行防水检测和报警,或该仪表或元件无 法正常运行,日常状态运行监测记录缺失,则8.1.3.2 b)检查结果为不符合; c) 若机房内没有设置自动检测火情、自动报警、自动灭火的自动消防系统,或自动消防系统无法 正常工作,运行记录、报警记录、定期检查和维修记录缺失,则8.1.3.2 c)检查结果为不符 合; d) 若机房及相关的工作房间和辅助房没有采用具有耐火等级的建筑材料,则8.1.3.2 d)检查结 果为不符合; e) 若机房内没有采取区域隔离防火措施,则8.1.3.2 e)检查结果为不符合; f) 若机房值守人员不熟悉灭火设备和自动消防系统使用,或没有对机房进行消防巡检,检查防火 隐患,则8.1.3.2 f)检查结果为不符合; g) 若机房防火设计或验收文档、机房自动消防系统的设计或验收文档、机房的建筑材料、区域隔 离防火措施的验收文档的内容与实际情况不一致,则8.1.3.2 g)检查结果为不符合; h) 若机房内没有配备温湿度自动调节设施,或温湿度记录、运行记录和维护记录缺失,则8.1.3.2 h)检查结果为不符合; i) 若温湿度控制设计或验收文档中内容不能满足系统需求或与实际情况不相符,则8.1.3.2 i) 检查结果为不符合; j) 若机房内没有设置静电接地,或机房未采用防静电地板,则8.1.3.2 j)检查结果为不符合; k) 若防静电设计或验收文档与实际情况不符,则8.1.3.2 k)检查结果为不符合; l) 若机房内设置了办公场所,但没有设置防静电工作台、静电消除剂或静电消除器等防静电措施, 或静电消除剂或静电消除器等的消除静电操作记录缺失,则8.1.3.2 l)检查结果为不符合; m) 若机房内没有设置短期备用电源设备(如UPS)或备用供电系统,电力电缆线路在双路供电切 换时不能够对计算机系统正常供电,或备用供电系统不能够在规定时间内正常启动和正常供 电,则8.1.3.2 m)检查结果为不符合; n) 若机房没有采取通信线缆与电源线隔离铺设,则8.1.3.2 n)检查结果为不符合; o) 电力供应安全设计或验收文档与实际电力供应情况不相符,则8.1.3.2 o)检查结果为不符合。 8.2 安全技术要求 8.2.1 网络结构安全 29 DB11/T 1344—2016 8.2.1.1 检查内容 检查内容如下: 应检查网络拓扑图和重要网段划分情况;应网络线路部署的冗余措施。 8.2.1.2 检查方法 检查方法如下: a) 查验实际环境中的核心交换机、核心服务器、边界防火墙等是否能够在网络拓扑结构图中定位; b) 访谈网络管理员,询问网段划分情况以及划分的原则; c) 查验重要网段间的核心交换机或防火墙是否配置了访问控制策略; d) 查验是否提供关键网络设备、主要通信线路和核心数据处理系统的热备。 8.2.1.3 检查结果判定 检查结果判定如下: a) 若网络拓扑图中无法定位核心交换机、核心服务器、边界防火墙等关键设备,则8.2.1.2 a) 检查结果为不符合; b) 若网络没有划分子网,则8.2.1.2 b)检查结果为不符合; c) 核心交换机或防火墙没有设置访问控制策略(ACL),则8.2.1.2 c)检查结果为不符合; d) 若网络内关键网络设备、主要通信线路和核心数据处理系统存在单点故障,则8.2.1.2 d)检 查结果为不符合。 8.2.2 边界安全防护 8.2.2.1 检查内容 检查内容如下: 应检查网络边界访问控制、网络入侵检测和网络恶意代码防范措施。 8.2.2.2 检查方法 检查方法如下: a) 查验防火墙等边界安全设备是否配置协议端口级的访问控制策略; b) 查验网络边界设备是否采取技术手段防止地址欺骗; c) 查验网络入侵检测设备是否能检测以下攻击行为:端口扫描、漏洞扫描、缓冲区溢出攻击、拒 绝服务攻击等,查看其规则库是否为最新,并对发现的入侵行为进行阻拦; d) 查验防恶意代码产品是否正常运行,恶意代码库是否为最新版本; e) 查验边界完整性检查设备是否设置了对非法连接到外网和非法连接到内网的行为进行监控并 有效阻断的配置; f) 查验是禁止使用远程拨号访问功能。 8.2.2.3 检查结果判定 检查结果判定如下: a) 若没有在网络边界部署防火墙等访问控制设备或访问控制策略没有到端口级,则8.2.2.2 a) 检查结果为不符合; b) 若重要地址没有采用IP/MAC绑定等手段防止地址欺骗,则8.2.2.2 b)检查结果为不符合; 30 DB11/T 1344—2016 c) 若没有部署入侵检测设备或入侵检测设备的特征库未及时更新,则8.2.2.2 c)检查结果为不 符合; d) 如果系统与互联网存在接口,未在边界部署网络防恶意代码产品,病毒库未进行过至少每周一 次的更新,则8.2.2.2 d)检查结果为不符合; e) 若没有相应的手段监控和阻止内部用户非法连接到外网,则8.2.2.2 e)检查结果为不符合; f) 若没有相应的手段监控和阻止非授权用户连接到内网,则8.2.2.2 e)检查结果为不符合; g) 若未禁止使用远程拨号访问功能,则8.2.2.2 f)检查结果为不符合。 8.2.3 用户身份鉴别 8.2.3.1 检查内容 检查内容如下: 应检查网络设备、操作系统、数据库管理系统和应用系统的身份鉴别措施、口令策略和强化 的身份鉴别技术。 8.2.3.2 检查方法 检查方法如下: a) 查验主要网络设备、服务器操作系统、数据库管理系统和应用系统的身份鉴别是否开启,口令 的复杂度情况和定期修改时间; b) 查验操作系统、应用系统是否具备登录失败账户锁定功能; c) 查验是否采用两种或两种以上组合鉴别技术对管理用户进行身份鉴别,身份鉴别信息至少应有 一种是不可伪造的。 8.2.3.3 检查结果判定 检查结果判定如下: a) 若主要网络设备、服务器操作系统、数据库管理系统和应用系统无需身份鉴别,或出现弱口令、 默认口令、空口令,设置少于8位且仅由数字或字母组成的口令,则8.2.3.2 a)检查结果为 不符合; b) 若口令修改未达到至少3个月一次,则8.2.3.2 a)检查结果为不符合; c) 未设置连续登录失败账户锁定功能,则8.2.3.2 b)检查结果为不符合; d) 若未采用两种或两种以上组合鉴别技术,则8.2.3.2 c)检查结果为不符合; e) 身份鉴别信息均可伪造,则8.2.3.2 c)检查结果为不符合。 8.2.4 访问控制 8.2.4.1 检查内容 检查内容如下: 应检查操作系统、数据库管理系统和应用该系统的默认账户和系统账户的权限分配情况。 8.2.4.2 检查方法 检查方法如下: a) 查验主要服务器操作系统和重要数据库管理系统是否已禁用或者限制匿名/默认账户的访问权 限,是否重命名系统默认账户名并修改默认账户的默认口令; 31 DB11/T 1344—2016 b) 通过访谈询问应用系统的访问控制策略及粒度是否达到主体为用户级或进程级,客体为文件、 数据库表、记录和字段级;以不同权限的用户登录应用系统,查看其拥有的权限是否与系统 赋予的权限一致,验证应用系统访问控制功能是否有效。 8.2.4.3 检查结果判定 检查结果判定如下: a) 操作系统和数据库管理系统默认账户名未重命名,默认口令未修改,则8.2.4.2 a)检查结果 为不符合; b) Windows操作系统未禁用Guest默认账户、Linux操作系统未禁用默认用户(如daemon、bin、sys、 adm等),则8.2.4.2 a)检查结果为不符合; c) 其他操作系统存在未重命名的默认系统用户,则7.2.4.2 a)检查结果为不符合; d) 应用系统普通用户登录后具备系统管理等管理员同样的权限,则8.2.4.2 b)检查结果为不符 合; e) 应用系统用户对于数据操作权限控制未达到文件、数据表、记录和字段级,则8.2.4.2 b)检 查结果为不符合; f) 权限之间未形成相互制约,如未做到管理权限和审计权限的分离,则8.2.4.2 b)检查结果为 不符合; g) 超级管理员未禁止远程登录,其他默认账户未限制访问权限,则8.2.4.2 b)检查结果为不符 合。 8.2.5 审计日志管理 8.2.5.1 检查内容 检查内容如下: 应检查网络设备的日志、操作系统日志、数据库日志、应用系统日志的保存和分析情况。 8.2.5.2 检查方法 检查方法如下: a) 查验网络设备、操作系统、数据库和应用系统是否具备了审计日志; b) 查验是否对网络设备日志、操作系统日志、数据库日志、应用系统日志进行浏览和分析,并根 据需要生成审计报告; c) 查验是否通过日志覆盖周期、覆盖方式、日志文件/空间大小、日志文件操作权限等设置,实 现了对审计记录的保护,日志信息是否至少保存两个月以上; d) 查验是否定义审计跟踪极限的阈值,当存储空间接近极限时,能采取必要的措施,当存储空间 被耗尽时,终止可审计事件的发生; e) 查验是否根据信息系统的统一安全策略,实现集中审计,时钟保持与时钟服务器同步。 8.2.5.3 检查结果判定 检查结果判定如下: a) 不具备网络设备、操作系统、数据库和应用系统的审计日志,则8.2.5.2 a)检查结果为不符 合; b) 应用系统日志字段的内容未至少包括日期、时间、用户源、访问对象、事件描述、事件结果, 则8.2.5.2 a)检查结果为不符合; c) 未对各层面的审计日志进行分析并生成报告,则8.2.5.2 b)检查结果为不符合; 32 DB11/T 1344—2016 d) 未合理配置网络设备日志缓冲区大小,则8.2.5.2 c)检查结果为不符合; e) 操作系统日志文件权限设置不安全(如Windows的日志文件被授予Everyone权限;Linux日志文 件权限为-rwxrwxrwx(777)),则8.2.5.2 c)检查结果为不符合; f) 未对各层面的审计日志设定覆盖周期、覆盖方式、读写权限等,则8.2.5.2 c)检查结果为不 符合; g) 未对各层面的审计日志进行备份,则8.2.5.2 c)检查结果为不符合; h) 应用系统为用户提供日志单条删除功能,则8.2.5.2 c)检查结果为不符合; i) 未对审计日志空间耗尽进行处理,则8.2.5.2 d)检查结果为不符合; j) 未部署网络设备日志集中收集系统(如Syslog服务器)对日志进行集中管理与备份,未部署时 钟服务,则8.2.5.2 e)检查结果为不符合。 8.2.6 系统数据保护 8.2.6.1 检查内容 检查内容如下: a) 应检查网络设备、应用系统中的口令加密情况; b) 应检查应用系统数据备份介质。 8.2.6.2 检查方法 检查方法如下: a) 查验网络设备的配置文件中用户口令是否加密存储; b) 查验应用系统存储用户信息的数据表中用户口令字段是否加密存储; c) 查验主要网络设备、应用系统远程管理时是否对用户口令进行了加密保护; d) 查验是否对主要网络设备、主要数据库管理系统和主要应用系统的重要信息进行了本地备份, 备份介质是否场外存放; e) 查验是否基于硬件化的设备对重要通信过程进行加解密运算和密钥管理。 8.2.6.3 检查结果判定 检查结果判定如下: a) 若网络设备配置文件中存储了明文用户口令,则8.2.6.2 a)检查结果为不符合; b) 若应用系统的数据库中存储了明文用户口令,则8.2.6.2 b)检查结果为不符合; c) 若网络设备采用Telnet协议进行远程管理,则8.2.6.2 c)检查结果为不符合; d) 若应用系统采用Http协议并且通过获取数据包验证未对口令进行加密,则8.2.6.2 c)检查结 果为不符合; e) 若缺乏主要网络设备、主要数据库管理系统和主要应用系统重要信息的备份,则8.2.6.2 d) 检查结果为不符合; f) 未采用基于硬件化的设备对重要通信过程进行加解密运算和密钥管理,则8.2.6.2 e)检查结 果为不符合。 8.3 安全管理要求 8.3.1 安全管理机构 8.3.1.1 检查内容 33 DB11/T 1344—2016 检查内容如下: 应检查安全管理组织架构情况、安全岗位人员配备情况和安全制度审批机制建立情况。 8.3.1.2 检查方法 检查方法如下: a) 查验信息安全工作委员会或领导小组名单、信息安全工作委员会的最高领导的授权书,记录授 权书名称;通过访谈了解是否成立信息安全管理工作的职能部门,并检查安全主管的职责范 围; b) 查验系统、网络、安全方面的管理规定,记录系统管理员、网络管理员、数据库管理员、安全 管理员的姓名,核对安全管理员是否专职; c) 查验审批流程规定和审批记录,记录审批流程规定和审批记录的名称,核对审批记录是否至少 包括审批时间、申请人、审批内容、审批人; d) 查验外联单位联系列表,核对是否至少包括外联单位名称、合作内容、联系人和联系方式等信 息; e) 查验安全审核和安全检查制度,记录安全审核和安全检查制度的名称,查验定期安全检查记录 和安全检查报告,核对记录是否至少包括检查时间、检查人员、检查对象、检查结果,核对 报告是否至少包括报告时间、报告结论、报告撰写人、报告批准人等。 8.3.1.3 检查结果判定 检查结果判定如下: a) 若没有提供信息安全工作委员会或领导小组名单、授权书和职责文件,或没有设立信息安全管 理工作职能部门,没有岗位责任书,则8.3.1.2 a)检查结果为不符合; b) 若信息安全管理制度(网络、主机、密码、审计等制度)中没有明确角色和职责定义,没有信 息安全管理岗位人员名单,未设置专职的信息安全管理员,则8.3.1.2 b)检查结果为不符合; c) 若没有建立对机房及重要区域进出、系统或网络重要操作(系统上线变更、配置变更、加固、 安全管理等)的审批程序,或无法提供相关事件的审批记录,则8.3.1.2 c)检查结果为不符 合; d) 若没有建立外联单位联系列表,或内容不完整,则8.3.1.2 d)检查结果为不符合; e) 若没有制定安全审核和安全检查工作制度和流程,没有定期进行安全审核和安全检查活动并保 留检查记录;或没有对检查报告进行上报,并制定处理意见或计划,则8.3.1.2 e)检查结果 为不符合。 8.3.2 安全管理制度 8.3.2.1 检查内容 检查内容如下: 应检查信息安全工作的总体方针和安全策略制定、发布方式和定期评审修订情况。 8.3.2.2 检查方法 检查方法如下: a) 查验信息安全管理体系总体方针、安全策略、管理制度、操作规程方面的相关文档,记录信息 安全工作的总体方针、抽查的安全策略文档名称、抽查的管理制度名称、抽查的操作规程名 称等; 34 DB11/T 1344—2016 b) 查验安全管理制度的版本控制记录、安全管理制度及其收发登记记录,记录安全管理制度的版 本号;若制定了带有密级的安全管理制度,询问并记录安全管理制度的密级; c) 查验安全管理制度的审定和修订记录,核对评审记录是否至少包括评审时间、评审地点、参与 评审人员和评审结论,修订记录是否至少包括修订时间、修订内容、修订人等信息;查验不 同密级安全管理制度评审和修订的操作范围。 8.3.2.3 检查结果判定 检查结果判定如下: a) 若没有制定信息安全工作的总体方针并形成文件下发;没有形成全面的信息安全管理制度体系 (包括但不限于:信息安全策略、机房管理制度、网络/主机/数据/密码管理等管理制度、设 备操作规程、数据备份恢复操作规程等),则8.3.2.2 a)检查结果为不符合; b) 若没有对安全管理制度编写规范、格式进行统一,没有版本控制记录;或安全管理制度没有通 过正式文件、邮件或办公网等有效途径发布;若未对涉密的安全管理制度标明密级,则8.3.2.2 b)检查结果为不符合; c) 若没有定期对安全管理制度进行检查,组织召开评审会,或评审记录内容不完整,若未明确涉 密管理制度的评审和修订的操作范围,则8.3.2.2 c)检查结果为不符合。 8.3.3 系统人员安全 8.3.3.1 检查内容 检查内容如下: 应检查重要岗位人员劳动合同、保密协议、人员培训、考核记录、人员离岗管理制度、离岗 记录和保密制度。 8.3.3.2 检查方法 检查方法如下: a) 查验内部人员的劳动合同和保密协议,记录保密协议名称,核对协议内容是否至少包括保密范 围、保密责任、违约责任、协议有效期和责任人签字等;查验重要岗位人员的岗位安全协议; b) 查验重要岗位(如安全管理员)离岗人员办理过的调离手续记录,核对记录是否至少包括人员 姓名、调离岗位、调离时间、收回权限及物品、承诺的保密义务、核对人签字、批准人签字 等; c) 查验各岗位人员的安全技能和安全认知考核记录、关键岗位人员的安全审查和考核记录,核对 记录是否至少包括考核时间、考核对象、考核内容、考核结果等;检查保密制度,记录保密 制度的名称和定期或不定期考核情况; d) 查验安全教育和培训的书面规定,查验不同岗位是否有不同的培训计划;查验归档的培训计划 和培训记录,核对培训记录是否至少包括培训人员、培训内容、培训结果等描述; e) 查验关键区域是否不允许外部人员访问。 8.3.3.3 检查结果判定 检查结果判定如下: a) 若无法提供信息安全相关岗位人员劳动合同或保密协议,则8.3.3.2 a)检查结果为不符合; b) 若无法提供重要岗位人员离岗管理制度和流程,离岗过程各环节无确认签字;或离岗人员未签 订保密义务,则8.3.3.2 b)检查结果为不符合; 35 DB11/T 1344—2016 c) 若无法提供针对不同岗位人员的安全技能和安全意识考核记录,则8.3.3.2 c)检查结果为不 符合; d) 若未定期开展安全教育,未定期针对关键岗位人员进行安全技能培训,未针对不同岗位人员制 定年度培训计划,并对培训内容和结果进行记录和归档,则8.3.3.2 d)检查结果为不符合; e) 若未建立保密制度,则8.3.3.2 d)检查结果为不符合; f) 若关键区域允许外部人员访问,则8.3.3.2 e)检查结果为不符合。 8.3.4 系统安全生命周期 8.3.4.1 检查内容 检查内容如下: 应检查系统设计、系统开发、系统实施、系统测评、系统验收、系统交付、系统运维等生命 周期各阶段的安全管理制度和相应记录保存情况。 8.3.4.2 检查方法 检查方法如下: a) 查验定级结果审定记录,核对记录是否至少包括审定时间、审定内容和审定人等,并记录定级 报告名称和盖章批准的部门名称; b) 查验信息系统等级备案材料是否报相应公安机关备案,核对备案材料是否至少包括《信息系统 安全等级保护备案表》、系统拓扑结构及说明、系统安全组织机构和管理制度、系统安全保 护设施设计实施方案或者改建实施方案、系统使用的信息安全产品清单及其认证、销售许可 证明副本、信息系统安全保护等级专家评审意见、主管部门审核批准信息系统安全保护等级 的意见;查验重要部位的产品是否委托专业测评单位进行专项测试,抽查测试报告; c) 查验总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案组成的配套 文件; d) 查验软件开发管理制度,记录制度文档名称,核实有无开发过程的控制方法和人员行为准则, 有无代码编写安全规范;查验开发人员是否为专职,记录开发活动受到控制、监视和审查的 措施;若为外包软件开发,请被检查机构的配合人员提供软件的恶意代码检测记录和报告; e) 查验工程实施方面的管理制度,记录制度文档名称,核实是否包括实施过程的控制方法和人员 行为准则;查验第三方工程监理控制项目的过程文档; f) 查验用于验收的第三方安全性测试报告,记录报告的名称和第三方单位名称;查验测试验收报 告的审定记录,记录报告签字人姓名等; g) 查验系统交付清单,记录系统交付清单的名称,核对是否包括交接的设备名称及数量、软件名 称及数量、文档名称及数量等;查验系统交付后的培训记录,核对培训记录是否至少包括培 训人员、培训内容、培训结果等的描述; h) 查验系统等级测评报告,记录报告名称和测评时间;查验整改方案,记录方案名称;查验等级 测评机构资质是否是《全国等级保护测评机构推荐目录》中的机构; i) 查验机房安全管理制度,记录制度文档名称,核对是否规定机房物理访问、物品带入带出等; 查验工作人员离开情况下终端计算机的状态是否为锁定状态,桌面是否没有包含敏感信息的 纸质文档; j) 查验资产安全管理制度,记录制度文档名称、规定的资产管理责任人或责任部门,核对是否至 少包括资产管理和使用的行为;核对是否对数据信息的分类与标识方法作出规定,查阅信息 的使用、传输和存储方面的规范化规定; 36 DB11/T 1344—2016 k) 查验介质安全管理制度,记录制度文档名称,查阅对介质的存放环境、使用、维护和销毁的规 范化规定; l) 查验设备安全管理制度,记录制度文档名称,查阅是否有软硬件设备的选型、采购、发放和领 用的管理规定;查验信息处理设备带离机房或办公地点的审批记录;查验配套设施、软硬件 维护方面的管理制度,记录制度文档名称; m) 查验是否具有安全集中管理的相关工具,可以实施对设备状态、恶意代码、补丁升级、安全审 计等安全相关事项的集中监控和管理;查验监测与报警记录与分析报告; n) 查验网络安全管理制度,是否覆盖网络安全配置、安全策略、升级与补丁、授权访问、日志保 存时间、口令更新周期等方面内容;通过访谈了解是否定期对网络设备进行漏洞扫描,记录 扫描周期,发现漏洞是否及时修补;查验网络漏洞扫描报告,内容是否包含网络存在的漏洞、 严重级别和结果处理等方面,扫描时间间隔与扫描周期是否一致;查验是否明确禁止便携式 和移动式设备网络接入; o) 通过访谈了解是否定期对系统进行漏洞扫描,记录扫描周期,发现漏洞是否及时修补;查验系 统漏洞扫描报告,扫描时间间隔与扫描周期是否一致;查验系统安全管理制度,内容是否覆 盖系统安全策略、安全配置、日志管理和日常操作流程等方面;通过访谈询问是否指定专门 的部门或人员负责系统管理,询问是否对系统管理员用户进行分类,明确各个角色的权限、 责任和风险; p) 通过访谈询问是否指定专门的人员对网络和主机进行恶意代码检测;查验定期检查恶意代码库 的升级情况,对截获的危险病毒或恶意代码是否及时进行分析处理,查验书面的报表和总结 汇报;查验恶意代码检测记录、恶意代码库升级记录和分析报告,升级记录是否记录升级时 间、升级版本等内容,查验分析报告是否描述恶意代码的特征、修补措施等内容;查验是否 有详细日常运行维护操作日志,是否详细记录系统资源使用情况,如处理速度、存储容量等; q) 访谈系统运维负责人,询问系统中是否使用密码技术和产品,密码技术和产品的使用是否遵照 国家密码管理规定;查验是否具有密码使用方面的管理制度; r) 查验变更管理制度,是否覆盖变更前审批、变更过程记录、变更后通报等方面内容,是否包括 变更申报、审批程序,是否规定需要申报的变更类型、申报流程、审批部门、批准人等方面 内容; s) 查验安全事件报告和处置管理制度,是否规定安全事件类型、安全事件的现场处理、事件报告 和后期恢复的管理职责。 8.3.4.3 检查结果判定 检查结果判定如下: a) 若无法提供信息系统定级结果专家意见;未制定系统定级报告书,无单位信息安全领导(小组) 的批准盖章,则8.3.4.2 a)检查结果为不符合; b) 若无法提供符合公安机关要求的定级备案材料,资料不完整,未获得公安机关备案证明,则为 不符合;若重要部位的产品未委托专业测评单位进行专项测试并出具抽查测试报告,则 8.3.4.2 b)检查结果为不符合; c) 若无法提供完整的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方 案,则8.3.4.2 c)检查结果为不符合; d) 若无法提供软件开发管理制度,未根据不同开发语言制定相应的安全编码规范;若开发人员不 是专职,或未采取措施对其开发活动进行控制、监视和审查;若为外包软件开发,无法提供 软件的恶意代码扫描记录和检测报告,则8.3.4.2 d)检查结果为不符合; 37 DB11/T 1344—2016 e) 若无法提供工程实施方面的管理制度,内容未包含在实施过程中控制方法和人员行为准则;若 未采用第三方工程监理控制项目的实施过程;则8.3.4.2 e)检查结果为不符合; f) 若无法提供用于验收的第三方安全性测试报告,报告内容与被验收的对象不匹配的(如系统验 收应至少包含应用安全,网络环境验收应至少包含网络安全等),或无测试报告结果的评审 记录,则8.3.4.2 f)检查结果为不符合; g) 若无法提供详细的系统交付清单,清单中的信息不完整,各环节无负责人员签字,或无系统交 付后的培训记录,则8.3.4.2 g)检查结果为不符合; h) 若无法提供每半年一次的等级测评报告,或测评机构不是《全国等级保护测评机构推荐目录》 中的测评机构;未根据测评情况制定整改方案和计划,则8.3.4.2 h)检查结果为不符合; i) 若无法提供机房安全管理制度和办公环境安全管理要求,对机房环境、重要区域的访问、人员 和物品的出入未进行规定;或未对办公环境的安全性进行规定,则8.3.4.2 i)检查结果为不 符合; j) 若无法提供资产安全管理制度,未明确资产管理责任部门和人员、管理和使用行为、资产编号 和分类方法、信息存储和保存发放等;无法提供资产借出/收回记录;未对资产进行分类与标 识,则8.3.4.2 j)检查结果为不符合; k) 若无法提供介质安全管理制度,或内容未包含对介质的存放环境、使用、维护和销毁的规范化 规定,则8.3.4.2 k)检查结果为不符合; l) 若无法提供设备安全管理制度,或内容不合理、不完整;无法提供设备带离办公场所或机房的 审批记录;无法提供设备及基础设施的运维管理制度,则8.3.4.2 l)检查结果为不符合; m) 若未采用集中监控管理工具对所有运行的设备进行设备状态、恶意代码、补丁升级、安全审计 等安全相关事项的集中监控和管理;未配置报警策略,未根据监控和报警情况进行汇报和处 理并形成分析报告,则8.3.4.2 m)检查结果为不符合; n) 若无法提供网络安全管理制度,或内容未覆盖网络安全配置、日志保存时间、安全策略、升级 与补丁、口令更新周期等方面;无法提供定期对网络设备进行漏洞扫描的报告,若没有明确 禁止便携式和移动式设备网络接入;则8.3.4.2 n)检查结果为不符合; o) 若无法提供系统安全管理制度,或内容未覆盖系统安全策略、安全配置、日志管理和日常操作 流程等方面;无法提供定期对服务器进行漏洞扫描的报告,未指定专人负责系统的运维,则 8.3.4.2 o)检查结果为不符合; p) 若未指定专职人员进行网络和主机的恶意代码防范管理;未定期进行病毒库升级,当前程序及 病毒库不是最新;或对恶意代码事件未及时处理并留有记录,若没有提供详细日常运行维护 操作日志,未详细记录系统资源使用情况,如处理速度、存储容量等,则8.3.4.2 p)检查结 果为不符合; q) 如果有使用密码技术和产品的,若密码技术和产品的使用未遵照国家密码管理规定,或没有指 定密码使用方面的管理制度,则8.3.4.2 q)检查结果为不符合; r) 若无法提供变更管理制度,或内容未覆盖系统上线变更、配置变更和其他重要变更等;未制定 变更流程,没有变更审批、过程记录和通报记录,则8.3.4.2 r)检查结果为不符合; s) 若无法提供安全事件报告和处置管理制度,或内容未覆盖安全事件类型、事件处理、报告和后 期恢复的管理职责,则8.3.4.2 s)检查结果为不符合。 8.3.5 系统连续性保障 8.3.5.1 检查内容 检查内容如下: 应检查业务中断影响分析报告、业务连续性技术环境、备份恢复管理制度和应急响应机制。 38 DB11/T 1344—2016 8.3.5.2 检查方法 检查方法如下: a) 查验业务中断影响分析报告,是否对业务中断的可能性和造成的影响进行分析,并形成灾难恢 复时间目标和恢复点目标值; b) 查验网络链路、网络设备、服务器和数据存储设备列表和说明,是否不存在关键节点单点故障; c) 查验备份与恢复方面的管理制度,是否明确了备份方式、备份频度、存储介质和保存期等方面 内容;查验执行定期数据恢复的记录,是否记录恢复时间、恢复内容、恢复人、恢复结果等; d) 查验安全事件等级划分原则和不同等级安全事件的应急预案;通过访谈系统运维负责人了解是 否定期对应急预案进行演练并保留演练记录,记录演练周期,是否保存演练记录,是否对应 急预案定期进行审查。 8.3.5.3 检查结果判定 检查结果判定如下: a) 若无法提供业务中断影响分析报告,内容未包括业务中断的可能性和造成的影响分析,未确定 灾难恢复时间(RTO)和灾难恢复点(RPO)目标值,则8.3.5.2 a)检查结果为不符合; b) 若无法提供网络链路、网络设备、服务器和数据存储设备列表和说明,关键节点存在单点故障, 则8.3.5.2 b)检查结果为不符合; c) 若无法提供备份与恢复管理相关的安全管理制度,没有备份与恢复操作流程,未明确系统和数 据备份频率和方式,或数据备份频率和方式不能够满足RTO和RPO目标值;未定期进行数据恢 复测试且未保留恢复过程和结果记录,则8.3.5.2 c)检查结果为不符合; d) 若未制定应急预案框架,未对安全事件进行分类,未根据不同等级安全事件制定不同的应急预 案,内容未覆盖应急预案启动的条件、应急处理所需要的人力、物力和流程、系统恢复流程、 事后教育和培训等内容;或未定期开展应急预案培训和演练并未保留记录,则8.3.5.2 d)检 查结果为不符合。 39 DB11/T 1344—2016 参 [1] [2] [3] [4] GB/T GB/T GB/T GB/T 22239-2008 22240-2008 25070-2010 28448-2012 信息安全技术 信息安全技术 信息安全技术 信息安全技术 考 文 献 信息系统安全等级保护基本要求 信息系统安全等级保护定级指南 信息系统安全等级保护设计技术要求 信息系统安全等级保护测评要求 _________________________________ 40