指標(biāo)類

測評指標(biāo)

測評標(biāo)準(zhǔn)

安全物理環(huán)境

物理位置選擇

通過訪談物理安全負(fù)責(zé)人，檢查機房，測評機房物理場所在位置上是否具有防震、防風(fēng)和防雨等多方面的安全防范能力。

物理訪問控制

通過訪談物理安全負(fù)責(zé)人，檢查機房出入口等過程，測評信息系統(tǒng)在物理訪問控制方面的安全防范能力。

防盜竊和防破壞

通過訪談物理安全負(fù)責(zé)人，檢查機房內(nèi)的主要設(shè)備、介質(zhì)和防盜報警設(shè)施等過程，測評信息系統(tǒng)是否采取必要的措施預(yù)防設(shè)備、介質(zhì)等丟失和被破壞。

防雷擊

通過訪談物理安全負(fù)責(zé)人，檢查機房設(shè)計/驗收文檔，測評信息系統(tǒng)是否采取相應(yīng)的措施預(yù)防雷擊。

防火

通過訪談物理安全負(fù)責(zé)人，檢查機房防火方面的安全管理制度，檢查機房防火設(shè)備等過程，測評信息系統(tǒng)是否采取必要的措施防止火災(zāi)的發(fā)生。

防水和防潮

通過訪談物理安全負(fù)責(zé)人，檢查機房及其除潮設(shè)備等過程，測評信息系統(tǒng)是否采取必要措施來防止水災(zāi)和機房潮濕。

防靜電

通過訪談物理安全負(fù)責(zé)人，檢查機房等過程，測評信息系統(tǒng)是否采取必要措施防止靜電的產(chǎn)生。

溫濕度控制

通過訪談物理安全負(fù)責(zé)人，檢查機房的溫濕度自動調(diào)節(jié)系統(tǒng)，測評信息系統(tǒng)是否采取必要措施對機房內(nèi)的溫濕度進行控制。

電力供應(yīng)

通過訪談物理安全負(fù)責(zé)人，檢查機房供電線路、設(shè)備等過程，測評是否具備為信息系統(tǒng)提供一定電力供應(yīng)的能力。

電磁防護

通過訪談物理安全負(fù)責(zé)人，檢查主要設(shè)備等過程，測評信息系統(tǒng)是否具備一定的電磁防護能力。

安全通信網(wǎng)絡(luò)

網(wǎng)絡(luò)架構(gòu)

測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性。

通信傳輸

測評通信過程中的完整性、保密性等。

可信驗證

基于可信根對通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進行可信驗證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證。

安全區(qū)域邊界

邊界防護

測評分析信息系統(tǒng)網(wǎng)絡(luò)邊界安全防護的狀況。

訪問控制

測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力。

入侵防范

測評分析信息系統(tǒng)對攻擊行為的識別和處理情況。

惡意代碼和垃圾郵件防范

測評分析信息系統(tǒng)網(wǎng)絡(luò)邊界和核心網(wǎng)段對病毒等惡意代碼及垃圾郵件的防護情況。

安全審計

測評分析信息系統(tǒng)審計配置和審計記錄保護情況。

可信驗證

基于可信根對通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進行可信驗證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證。

安全計算環(huán)境

身份鑒別

檢查服務(wù)器的身份標(biāo)識與鑒別和用戶登錄的配置情況。

訪問控制

檢查服務(wù)器的訪問控制設(shè)置情況，包括安全策略覆蓋、控制粒度以及權(quán)限設(shè)置情況等。

安全審計

檢查服務(wù)器的安全審計的配置情況，如覆蓋范圍、記錄的項目和內(nèi)容等；檢查安全審計進程和記錄的保護情況。

入侵防范

檢查服務(wù)器在運行過程中的入侵防范措施，如關(guān)閉不需要的端口和服務(wù)、最小化安裝、部署入侵防范產(chǎn)品等。

惡意代碼防范

檢查服務(wù)器的惡意代碼防范情況，如服務(wù)器是否安裝統(tǒng)一管理的惡意代碼防范軟件，是否及時升級病毒庫等。

可信驗證

基于可信根對通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進行可信驗證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證。

數(shù)據(jù)完整性

測評操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)的管理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在傳輸和保存過程中的完整性保護情況。

數(shù)據(jù)保密性

測評操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的管理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在傳輸和保存過程中的保密性保護情況。

數(shù)據(jù)備份恢復(fù)

測評信息系統(tǒng)的安全備份情況，如重要信息的備份、硬件和線路的冗余等。

剩余信息保護

測評鑒別信息所在的存儲空間被釋放或重新分配前是否得到完全清除。

個人信息保護

測評是否僅采集和保存業(yè)務(wù)必需的用戶個人信息；是否禁止未授權(quán)訪問和使用用戶個人信息。

安全管理中心

系統(tǒng)管理

測評信息系統(tǒng)的系統(tǒng)管理員對系統(tǒng)的管理情況。

審計管理

測評信息系統(tǒng)的安全審計員對系統(tǒng)的審計情況。

安全管理

測評信息系統(tǒng)的安全管理員對系統(tǒng)的安全策略的配置情況。

集中管控

測評網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等設(shè)備的運行狀況的集中監(jiān)測、分析、報警等。

安全管理制度

安全策略

測評信息安全工作的總體方針、安全策略，總體目標(biāo)、范圍、原則和安全框架等。

管理制度

測評信息系統(tǒng)管理制度內(nèi)容覆蓋上是否全面、完善。

制定和發(fā)布

測評信息系統(tǒng)管理制度的制定和發(fā)布過程是否遵循一定的流程。

評審和修訂

測評信息系統(tǒng)管理制度定期評審和修訂情況。

安全管理機構(gòu)

崗位設(shè)置

測評信息系統(tǒng)安全主管部門設(shè)置情況以及各崗位設(shè)置和崗位職責(zé)情況。

人員配備

測評信息系統(tǒng)各個崗位人員配備情況。

授權(quán)和審批

測評信息系統(tǒng)對關(guān)鍵活動的授權(quán)和審批情況。

溝通與合作

測評信息系統(tǒng)內(nèi)部部門間、與外部單位間的溝通與合作情況。

審核和檢查

檢查信息系統(tǒng)安全工作的審核和測評情況。

安全管理人員

人員錄用

測評信息系統(tǒng)錄用人員時是否對人員提出要求以及是否對其進行各種審查和考核。

人員離崗

測評信息系統(tǒng)人員離崗時是否按照一定的手續(xù)辦理。

安全意識教育和培訓(xùn)

測評是否對人員進行安全方面的教育和培訓(xùn)。

外部人員訪問管理

測評對第三方人員訪問（物理、邏輯）系統(tǒng)是否采取必要控制措施。

安全建設(shè)管理

定級和備案

測評是否按照一定要求確定系統(tǒng)的安全等級并完成備案工作。

安全方案設(shè)計

測評系統(tǒng)整體的安全規(guī)劃設(shè)計是否按照一定流程進行。

產(chǎn)品采購和使用

測評是否按照一定的要求進行系統(tǒng)的產(chǎn)品采購。

自行軟件開發(fā)

測評自行開發(fā)的軟件是否采取必要的措施保證開發(fā)過程的安全性。

外包軟件開發(fā)

測評外包開發(fā)的軟件是否采取必要的措施保證開發(fā)過程的安全性和日后的維護工作能夠正常開展。

工程實施

測評系統(tǒng)建設(shè)的實施過程是否采取必要的措施使其在機構(gòu)可控的范圍內(nèi)進行。

測試驗收

測評系統(tǒng)運行前是否對其進行測試驗收工作。

系統(tǒng)交付

測評是否采取必要的措施對系統(tǒng)交付過程進行有效控制。

等級測評

測評是否依據(jù)國家要求完成等級測評和整改工作。

服務(wù)供應(yīng)商選擇

測評是否選擇符合國家有關(guān)規(guī)定的安全服務(wù)單位進行相關(guān)的安全服務(wù)工作。

安全運維管理

環(huán)境管理

測評是否采取必要的措施對機房的出入控制以及辦公環(huán)境的人員行為等方面進行安全管理。

資產(chǎn)管理

測評是否采取必要的措施對系統(tǒng)的資產(chǎn)進行分類標(biāo)識管理。

介質(zhì)管理

測評是否采取必要的措施對介質(zhì)存放環(huán)境、使用、維護和銷毀等方面進行管理。

設(shè)備維護管理

測評是否采取必要的措施確保設(shè)備在使用、維護和銷毀等過程安全。

漏洞和風(fēng)險管理

測評是否采取必要的措施識別安全漏洞和隱患，對發(fā)現(xiàn)的安全漏洞和隱患及時進行修補。測評是否定期開展安全測評。

網(wǎng)絡(luò)和系統(tǒng)安全管理

測評是否采取必要的措施對網(wǎng)絡(luò)和系統(tǒng)的安全配置、系統(tǒng)賬戶、漏洞掃描和審計日志等方面進行有效的管理。

惡意代碼防范管理

測評是否采取必要的措施對惡意代碼進行有效管理，確保系統(tǒng)具有惡意代碼防范能力。

配置管理

測評是否記錄和保存系統(tǒng)的基本配置信息

密碼管理

測評是否能夠確保信息系統(tǒng)中密碼算法和密鑰的使用符合國家密碼管理規(guī)定。

變更管理

測評是否采取必要的措施對系統(tǒng)發(fā)生的變更進行有效管理。

備份與恢復(fù)管理

測評是否采取必要的措施對重要業(yè)務(wù)信息，系統(tǒng)數(shù)據(jù)和系統(tǒng)軟件進行備份，并確保必要時能夠?qū)@些數(shù)據(jù)有效地恢復(fù)。

安全事件處置

測評是否采取必要的措施對安全事件進行等級劃分和對安全事件的報告、處理過程進行有效的管理。

應(yīng)急預(yù)案管理

測評是否針對不同安全事件制定相應(yīng)的應(yīng)急預(yù)案，是否對應(yīng)急預(yù)案展開培訓(xùn)、演練和審查等。

外包運維管理

測評外包運維服務(wù)商的選擇是否符合國家的有關(guān)規(guī)定并簽訂相關(guān)協(xié)議。