长沙市就业与社保数据服务中心:长沙市人力资源和社会保障局2023年至2024年度信息系统等级保护测评项目采购需求公开
微信分享
关注项目
标讯收藏
项目名称 | 省份 | ||
业主单位 |
认领
立即查看
|
业主类型 | |
总投资 | 建设年限 | ||
建设地点 | |||
审批机关 | 审批事项 | ||
审批代码 | 批准文号 | ||
审批时间 | 审批结果 | ||
建设内容 |
一、功能及要求:
长沙市人力资源和社会保障局2023年至2024年度信息系统等级保护测评
等级保护是相关法律法规要求实施的网络与信息安全的基本措施,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号,以下简称“27 号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2007年6月发布的关于印发《信息安全等级保护管理办法》的通知(公通字[2007]43 号,以下简称“43号文件”)规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,网络安全法第二十一条明确规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
二、相关标准:
评估标准
投标人应依据国家相关政策标准开展工作,依据标准包括但不限于如下国家政策标准:
关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号)
关于印发《信息安全等级保护管理办法》的通知(公通字[2007]43号)
关于开展全省重要信息系统安全等级保护定级工作的通知(湘公通[2007]94号)
关于进一步推进全省信息安全等级保护工作的函(湘公函[2011]21号)
关于对全省重要信息系统开展信息安全等级保护专项检查工作的函(湘公函[2011]74号)
《 信息安全技术网络安全等级保护基本要求》GB/T 22239-2019
《信息安全技术网络安全等级保护定级指南》-GB/T 22240-2020
三、技术规格:
2.1等级保护测评服务
2.1.1评估对象
按照人社部下发的等级保护定级指南,长沙市人社局当前需要开展等级保护测评工作的主要系统及级别如下:
长沙市人力资源和社会保障局信息系统等级保护测评系统表
测评对象包括传统网络信息系统、云平台上信息系统、APP以及公众号等。
2.1.2.评估标准
投标人应依据国家相关政策标准开展工作,依据标准包括但不限于如下国家政策标准:
关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号)
关于印发《信息安全等级保护管理办法》的通知(公通字[2007]43号)
关于开展全省重要信息系统安全等级保护定级工作的通知(湘公通[2007]94号)
关于进一步推进全省信息安全等级保护工作的函(湘公函[2011]21号)
关于对全省重要信息系统开展信息安全等级保护专项检查工作的函(湘公函[2011]74号)
《 信息安全技术网络安全等级保护基本要求》GB/T 22239-2019
《信息安全技术网络安全等级保护定级指南》-GB/T 22240-2020
2.1.3.测评工作内容
测评单元分为安全技术测评和安全管理测评两大类。安全技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。
2.1.3.1.安全技术测评
安全技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个层面。
2.1.3.1.1.安全物理环境
测试内容:被测信息系统对应重要的物理安全设置,如物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等做必要配置。
测试方法:访谈、检查。
2.1.3.1.2.安全通信网络
(1)路由交换设备:路由器、交换机
测试内容:被测路由交换设备应对结构安全与网段划分、网络访问控制、网络安全审计、网络设备防护等做必要配置。
测试方法:命令检查、配置界面、日志报表检查、安全测试。
(2)安全设备(防火墙、IDS/IPS、防病毒系统)
测试内容:被测安全设备应对重要操作,结构安全与网段划分、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、网络设备防护等做必要配置,应用程序的关键执行环节进行动态可信验证。
测试方法:命令检查、配置界面、日志报表检查、安全测试。
2.1.3.1.3.安全区域边界
测试内容:被测网络边界防护情况,对进出网络的数据流的访问控制情况,关键节点是否进行入侵防范的检测分析和报警,远程用户及互联网用户的行为是否进行单独审计和数据分析,应用程序的关键执行环节进行动态可信验证。
2.1.3.1.4.安全计算环境
(1)服务器设备
测试内容:被测操作系统应对重要操作,如令牌的使用、帐户认证、密码管理、登录限制、身份标识和鉴别、主体和客体的访问控制、用户授权、安全审计、报警、监控、系统保护、恶意代码防护、剩余信息保护、资源控制等做必要配置。
测试方法:命令检查、配置界面、日志报表检查、安全测试。
数据安全
测试内容:被测数据库应对重要操作,如软件完整性、数据完整性、访问控制、安全管理、审计等做必要配置。
测试方法:命令检查、配置界面、日志报表检查、安全测试。
(2)应用系统
测试方法:命令检查、配置界面、日志报表检查、安全测试
2.1.3.1.5.安全管理中心
测试内容:网络中是否单独划分有安全管理区域,可以实现对系统中的安全策略进行集中化管理;对网络链路、安全设备、网络设备和服务器运行状况进行集中监测;对安全策略、恶意代码、补丁升级等安全相关事项进行集中管控。
2.1.3.2.安全管理测评
安全管理评估包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面。
2.1.3.2.1.安全管理机构
安全管理机构方面的测评内容,具体如下表所示:
2.1.3.2.2.安全管理制度
安全管理制度方面的测评对象主要为安全主管人员、安全管理人员等,具体如下表所示:
2.1.3.2.3.人员安全管理
人员安全管理方面的测评内容,具体如下表所示:
2.1.3.2.4.系统建设管理
系统建设管理方面的测评内容,具体如下表所示:
2.1.3.2.5.系统运维管理
系统运维管理方面的测评内容,具体如下表所示:
2.1.3.3.云计算安全扩展测评
2.1.3.3.1.物理和环境安全
物理位置选择
应确保云计算基础设施位于中国境内。
2.1.3.3.2.网络和通信安全
1、结构安全
(1)应确保云计算平台不承载高于其安全保护等级的业务应用系统;
(2)应绘制与当前运行情况相符的虚拟化网络拓扑结构图;
(3)应实现不同云服务客户虚拟网络之间的隔离;
(4)应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。
2、访问控制
(1)应禁止云服务客户虚拟机访问宿主机;
(2)应在虚拟化网络边界部署访问控制机制,并设置访问控制规则;
(3)应保证当虚拟机迁移时,访问控制策略随其迁移;
(4)应允许云服务客户设置不同虚拟机之间的访问控制策略。
3、入侵防范
(1)应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;
(2)应能检测到对虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;
(3)应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量。
2.1.3.3.3.设备和计算安全
1、身份鉴别
应在网络策略控制器和网络设备(或设备代理)之间建立通信时验证身份。
2、访问控制
应确保只有在云服务客户授权下,云服务商或第三方才具有云服务客户数据的管理权限。
3、安全审计
应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计。
4、资源控制
(1)应屏蔽虚拟资源故障,某个虚拟机宕机后不影响虚拟机监视器及其他虚拟机;
(2)应对物理资源和虚拟资源按照策略做统一管理调度与分配;
(3)应确保云计算平台具有虚拟机内存隔离措施。
2.1.3.3.4.应用和数据安全
1、数据完整性
应确保虚拟机迁移过程中,重要数据的完整性,并在检测到完整性受到破坏时采取必要的恢复措施。
2、数据备份恢复
应提供查询云服务客户数据及备份存储位置的方式;
3、剩余信息保护
应保证虚拟机所使用的内存和存储空间回收时得到完全清除;
云服务客户删除业务应用数据时,云计算平台应确保云存储中所有副本被删除。
4、个人信息保护
应确保云服务客户账户信息、鉴别信息、系统信息存储于中国境内,如需出境应遵循国家相关规定。
2.1.3.3.5.安全建设管理
1、云服务商选择
(1)应选择安全合规的云服务商,其所提供的云平台应为其所承载的业务应用系统提供相应等级的安全保护能力;
(2)应在服务水平协议中规定云服务的各项服务内容和具体技术指标;
(3)应在服务水平协议中规定云服务商的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等;
(4)应在服务水平协议中规定服务合约到期时,完整地返还云服务客户信息,并承诺相关信息在云计算平台上清除。
2、供应链管理
(1)应确保供应商的选择符合国家有关规定;
(2)应确保供应链安全事件信息或威胁信息能够及时传达到云服务客户。
2.1.3.3.6.安全运维管理
环境管理
云计算平台的运维地点应位于中国境内,境外对境内云计算平台实施运维操作应遵循国家相关规定;
云计算平台运维过程产生的配置数据、日志信息等存储于中国境内,如需出境应遵循国家相关规定。
2.1.3.4. 漏洞扫描
漏洞扫描是发现安全漏洞的快捷方式,本地测试过程中将会从主机系统层面和应用层面进行漏洞扫描,全面发现系统发现的安全漏洞,针对扫描工具发现的安全漏洞进行人工测试确认,以消除工具扫描误报和漏洞影响。
2.1.3.5.渗透测试内容
1、SQL 注入类
测试人员通过自动化工具或手工编写SQL语句方式,构造特殊的SQL代码传入到应用程序中,从而通过执行非设计预期的SQL代码,检测其是否能够被非法攻击者窃取数据或破坏。
2、跨站脚本类
测试人员利用自动化工具或手工编写Script脚本代码,将其提交到对被测系统的每个动态页面上,通过返回信息判断其是否存在跨站脚本漏洞。
3、文件上传类
测试人员将对提供上传服务的页面进行模拟上传测试,用以检测目标系统对上传文件的处理、放置和过滤等限制措施。
4、弱口令类
测试人员通过构建的密码本,利用自动化工具尝试登录应用程序。
5、目录浏览类
测试人员利用漏洞扫描工具发现可能存在该漏洞的URL,之后通过构造特殊的URL请求,验证扫描工具的准确性并获得配置文件、密码文件等信息。
6、未授权访问类
测试人员利用漏洞扫描工具发现可能存在的管理后台或其他可访问信息。
7、信息未加密类
检查用户口令等鉴别信息的存储是否加密,包括主机操作系统用户鉴别信息以及应用程序的用户鉴别信息。
8、认证会话管理类
测试人员利用工具或经验,会检查Cookie与Session的令牌是否是由一种安全的、不可逆推的方法生成,提交过期的Cookie访问已知页面,验证目标网站是否存在认证管理失败等问题。
9、文件包含类
测试人员利用漏洞扫描工具发现可能存在该漏洞的URL,之后通过构造特殊的URL请求,验证扫描工具的准确性并获得配置文件、密码文件等信息。
10、不安全的 URL 访问类
测试人员利用漏洞扫描工具发现可能存在该漏洞的URL,之后通过构造特殊的URL请求,验证扫描工具的准确性并获得配置文件、密码文件等信息。
11、溢出漏洞类
溢出测试可以对服务器端所有的存在输入的应用程序进行验证。
12、信息泄露类
使用漏洞扫描工具对目标系统进行测试。
2.2.等保测评咨询服务
对信息系统测评之后,出具的测评报告中指出的信息系统存在的问题提供咨询服务,其中包含对系统开发商提供咨询服务和对业务部门提供咨询服务。每年对我局的网络安全、系统安全、数据安全、硬件安全、物理环境安全等与等级保护相关的工作提供一份工作建议或者优化调整方案一份。
2.3.等保测评驻场服务
派驻一名等保测评工程师驻场提供现场等级保护测评服务技术支持,协助开展等保测评日常服务工作。人员需具备CISP资质。具体服务内容包括但不仅限于此:
1、安全监测
对安全监测平台、防火墙、IPS等安全管理系统日志进行综合分析和研判,掌握综合的威胁情报信息,发现相关攻击和入侵前奏、正在发生的攻击行为,以及已经发生的网络安全事件,及时进行响应和处置。
2、漏洞扫描
通过漏洞扫描工具定期开展信息系统漏洞扫描,并向相关单位下发漏洞整改工单,并对整改结果进行跟踪测试。
3、安全工单处理
对网络安全监管部门通报的相关网络安全风险隐患进行排查和处置,并协助反馈处置结果。
对单位内部相关部门和处室反馈的网络安全疑难问题、安全事件提供现场技术支持服务。
2.4.等保测评培训服务
协助培养信息安全团队等保测评专业人员。如组织开展等保测评工作交流、学术讨论、外出学习同类项目的测评情况等了解信息安全最新态势;每年度组织相关工作人员进行一次等保测评知识普及培训。每年组织等保测评专业技术人员进行等保测评专业技术培训,可以扩展到安全从业人员的安全专业知识培训。
2.5.等保测评应急响应服务
针对服务期内出现的网络安全事件,提供本地应急服务支持。服务内容包括但不限于以下方面:
1)事件调查分析:对事件进行分级,对相关的安全设备、网络设备、服务器、数据库等进行分析,定位事件原因;
2)事件取证:对确定有问题的严重事件进行调查后取证,将实际证据保存下来,形成文档提供给用户;
3)事件解决方案和恢复:根据事件发生的实际情况调整网络设备、安全设备、服务器等的安全策略,修复存在的隐患,恢复业务运行;
4)书写事件总结报告:针对发生的事件前因后果书写总结报告;
5)提出整改建议:对影响面大,后续可能还会发生的事件提出全面整改建议。
三、项目考核:制定对项目实施的考核基本标准,按照考核标准给项目进行总体评分,年度考核必须≥90分,低于90分成交供应商应当在30个工作日内补充完成待改进的服务内容,如30个工作日内仍然不能达到90分,每年度扣除本年度合同金额20%。项目评分不足70分的项目不予验收,在向相关部门报备的同时保留追责的权利。
四、交付时间和地点:
服务时间及地点
1.1服务时间:服务时间二年,以合同签订时间为准,合同一年一签。
1.2服务地点:采购人指定地点。
五、服务标准:
服务要求:
1.新建系统协助开展定级备案工作,组织召开定级评审专家会,协助获取备案证明;每年完成等级保护测评后,提交等级保护测评报告,协助到公安机关完成备案。
2.2年内,每年按照我方计划对目标系统开展一次测评工作,对测评发现的问题,提出优化建议,协助我方进行整改已达到国家标准要求。
3.信息安全应急支持服务针对重大信息安全突发事件提供应急处理服务。服务期内提供7*24小时现场应急服务支撑,现场响应时间<1小时。
4.如在合同服务期内信息系统停用、增加、替换、在双方协商后,服务商应尽量满足长沙市人社局对系统数量变更的要求,原则上不再增加费用。
5.服务商应当协助开展国家网络安全宣传周相关活动,负责资料物质保障,协助活动的具体实施。
6. 积极协调落实等级保护测评主管部门对等级保护工作相关要求,配合落实网络与数据安全工作部门落实安全工作要求,根据等级保护相关要提供相关技术支持,配合做好安全整改。
六、验收标准:
验收要求:
本项目服务期为两年,合同一年一签,每年对服务执行情况进行一次验收,验收申请必须满足以下两个条件,缺一不可。1、按要求完成测评服务内容,测评报告等相关资料整备全齐。2、按照项目考核标准进行考核,考核得分90以上。达到以上条件后按照简易程序进行验收。
1、本项目采用简易程序验收。项目验收另有国家有强制性规定的,按国家规定执行,验收费用由中标人承担,验收报告作为申请付款的凭证之一;
2、验收过程中产生纠纷的,由质量技术监督部门认定的检测机构检测,如为中标人原因造成的,由中标人承担检测费用;否则,由采购人承担;
3、项目验收不合格,由中标人返工直至合格,有关返工、再行验收,以及给采购人造成的损失等费用由中标人承担。连续两次项目验收不合格的,采购人可终止合同,另行按规定选择其他供应商采购,由此带来的一切损失由中标人承担。
七、其他要求:
其他要求
1、服务时间及地点
1.1服务时间:服务时间二年,以合同签订时间为准,合同一年一签。
1.2服务地点:采购人指定地点。
2、结算方法
2.1付款人:长沙市就业与社保数据服务中心(国库集中支付)
2.2付款方式:按照合同一年一签的要求,在合同签订之后,按照年度合同款的40%支付合同首付款,项目验收合格后支付年度合同款的60%。第二年的合同签订和付款遵照此方式进行。
3、采购方所有费用为无息支付、成交供应商需按采购方要求开具相应发票。
4、本项目采用费用包干方式建设,投标人应根据项目要求和现场情况,详细列明项目所需的设备及材料购置,以及服务项目相关运输保险保管、项目安装调试、试运行测试通过验收、培训、质保期免费保修维护等所有人工、管理、财务等所用费用,一旦中标,如在项目是始终出现任何遗漏,均由成交供应商免费提供,采购方不再支付任何费用。
5、投标人在投标前,如须踏勘现场,有关费用自理,踏勘期间发生的意外自负。
采购需求仅供参考,相关内容以采购文件为准。
长沙市人力资源和社会保障局2023年至2024年度信息系统等级保护测评
等级保护是相关法律法规要求实施的网络与信息安全的基本措施,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号,以下简称“27 号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2007年6月发布的关于印发《信息安全等级保护管理办法》的通知(公通字[2007]43 号,以下简称“43号文件”)规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,网络安全法第二十一条明确规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
二、相关标准:
评估标准
投标人应依据国家相关政策标准开展工作,依据标准包括但不限于如下国家政策标准:
关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号)
关于印发《信息安全等级保护管理办法》的通知(公通字[2007]43号)
关于开展全省重要信息系统安全等级保护定级工作的通知(湘公通[2007]94号)
关于进一步推进全省信息安全等级保护工作的函(湘公函[2011]21号)
关于对全省重要信息系统开展信息安全等级保护专项检查工作的函(湘公函[2011]74号)
《 信息安全技术网络安全等级保护基本要求》GB/T 22239-2019
《信息安全技术网络安全等级保护定级指南》-GB/T 22240-2020
三、技术规格:
2.1等级保护测评服务
2.1.1评估对象
按照人社部下发的等级保护定级指南,长沙市人社局当前需要开展等级保护测评工作的主要系统及级别如下:
长沙市人力资源和社会保障局信息系统等级保护测评系统表
序号 | 系统名称 | 级别 | 备注 |
1. | 长沙市社会保险统一登记平台 | 三级 | |
2. | 人事人才综合管理系统 | 三级 | |
3. | 长沙市12333公共服务平台 | 三级 | |
4. | 就业登记、社保登记、劳动用工备案“三合一”信息系统 | 三级 | |
5. | 长沙市人力资源和社会保障局电子档案管理系统 | 三级 | |
6. | 长株潭城市群人社服务一体化系统 | 三级 | |
7. | 长沙市人社一码通管理平台 | 三级 | |
8. | 长沙人社APP | 三级 | |
9. | 劳动监察两网化信息管理系统 | 二级 | |
10. | IT运维管理系统 | 二级 | |
11. | OA办公自动化系统 | 二级 | |
12. | 长沙市人力资源和社会保障自助服务一体机支撑系统 | 二级 | |
13. | 就业专项资金系统 | 二级 | |
14. | 被征地农民社会保障信息系统 | 二级 | |
15. | 长沙市退休人员社会化管理系统 | 二级 | |
测评对象包括传统网络信息系统、云平台上信息系统、APP以及公众号等。
2.1.2.评估标准
投标人应依据国家相关政策标准开展工作,依据标准包括但不限于如下国家政策标准:
关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号)
关于印发《信息安全等级保护管理办法》的通知(公通字[2007]43号)
关于开展全省重要信息系统安全等级保护定级工作的通知(湘公通[2007]94号)
关于进一步推进全省信息安全等级保护工作的函(湘公函[2011]21号)
关于对全省重要信息系统开展信息安全等级保护专项检查工作的函(湘公函[2011]74号)
《 信息安全技术网络安全等级保护基本要求》GB/T 22239-2019
《信息安全技术网络安全等级保护定级指南》-GB/T 22240-2020
2.1.3.测评工作内容
测评单元分为安全技术测评和安全管理测评两大类。安全技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。
2.1.3.1.安全技术测评
安全技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个层面。
2.1.3.1.1.安全物理环境
测试内容:被测信息系统对应重要的物理安全设置,如物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等做必要配置。
测试方法:访谈、检查。
2.1.3.1.2.安全通信网络
(1)路由交换设备:路由器、交换机
测试内容:被测路由交换设备应对结构安全与网段划分、网络访问控制、网络安全审计、网络设备防护等做必要配置。
测试方法:命令检查、配置界面、日志报表检查、安全测试。
(2)安全设备(防火墙、IDS/IPS、防病毒系统)
测试内容:被测安全设备应对重要操作,结构安全与网段划分、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、网络设备防护等做必要配置,应用程序的关键执行环节进行动态可信验证。
测试方法:命令检查、配置界面、日志报表检查、安全测试。
2.1.3.1.3.安全区域边界
测试内容:被测网络边界防护情况,对进出网络的数据流的访问控制情况,关键节点是否进行入侵防范的检测分析和报警,远程用户及互联网用户的行为是否进行单独审计和数据分析,应用程序的关键执行环节进行动态可信验证。
2.1.3.1.4.安全计算环境
(1)服务器设备
测试内容:被测操作系统应对重要操作,如令牌的使用、帐户认证、密码管理、登录限制、身份标识和鉴别、主体和客体的访问控制、用户授权、安全审计、报警、监控、系统保护、恶意代码防护、剩余信息保护、资源控制等做必要配置。
测试方法:命令检查、配置界面、日志报表检查、安全测试。
数据安全
测试内容:被测数据库应对重要操作,如软件完整性、数据完整性、访问控制、安全管理、审计等做必要配置。
测试方法:命令检查、配置界面、日志报表检查、安全测试。
(2)应用系统
序号 | 单元名称 | 测评项 | 测评对象 | 测评方法及步骤 |
| 身份鉴别 | a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; | 终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等 | 1、应核查用户在登陆时是否采用了身份鉴别措施; 2、应核查用户列表确认用户身份标识是否具有唯一性; 3、应核查用户配置信息或测试验证是否不存在空口令用户; 4、应核查用户鉴别信息是否具有复杂度要求并定期更换。 |
| b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施; | 终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等 | 1、应核查是否配置并启用了登录失败处理功能; 2、应核查是否配置并启用了限制非法登录功能,非法登录达到一定次数后采取特定动作,如账号锁定等; 3、应核查是否配置并启用了登录连续超时及自动退出功能。 | |
| c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; | 终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等 | 应核查是否采用加密等安全方式对系统进行远程管理,防止鉴别信息在网络传输过程中被窃听。 | |
| d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别, 且其中一种鉴别技术至少应使用密码技术来实现。 | 终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等 | 1、应核查是否采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别; 2、应核查其中一种鉴别技术是否使用密码技术来实现。 | |
| 访问控制 | a) 应对登录的用户分配账户和权限; | 终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等 | 1、应核查是否为用户分配了账户和权限及相关设置情况; 2、应核查是否已禁用或限制匿名、默认账户的访问权限。 |
| b) 应重命名或删除默认账户,修改默认账户的默认口令; | 终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等 | 1、应核查是否已经重命名默认账户或默认账户已被删除; 2、应核查是否已修改默认账户的默认口令。 | |
| c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在; | 终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等 | 1、应核查是否不存在多余或过期账户,管理员用户与账户之间是否一一对应; 2、应测试验证多余的、过期的账户是否被删除或停用。 | |
| d) 应授予管理用户所需的最小权限,实现管理用户的权限分离; | 终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等 | 1、应核查是否进行角色划分; 2、应核查管理用户的权限是否已进行分离; 3、应核查管理用户权限是否为其工作任务所需的最小权限。 | |
| e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则; | 终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等 | 1、应核查是否由授权主体(如管理用户)负责配置访问控制策略; 2、应核查授权主体是否依据安全策略配置了主体对客体的访问规则; 3、应测试验证用户是否有可越权访问情形。 | |
| f) 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级; | 终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等 | 应核查访问控制策略的控制粒度是否达到主体为用户级别或进程级,客体为文件、数据库表、记录或字段级。 | |
| g) 应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。 | 终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等 | 1、应核查是否对主体、客体设置了安全标记; 2、应测试验证是否依据主体、客体安全标记控制主体对客体访问的强制访问控制策略。 | |
| 安全审计 | a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; | 终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等 | 1、应核查是否开启了安全审计功能; 2、应核查安全审计范围是否覆盖到每个用户; 3、应核查是否对重要的用户行为和重要安全事件进行审计。 |
| b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; | 终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等 | 应核查审计记录信息是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 | |
| c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; | 终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等 | 1、应核查是否采取了保护措施对审计记录进行保护; 2、应核查是否采取技术措施对审计记录进行定期备份,并核查其备份策略。 | |
| d) 应对审计进程进行保护,防止未经授权的中断。 | 终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等 | 应测试验证通过非审计管理员的其他账户来中断审计进程,验证审计进程是否受到保护。 | |
| 入侵防范 | a) 应遵循最小安装的原则,仅安装需要的组件和应用程序; | 终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备等 | 1、应核查是否遵循最小安装原则; 2、应核查是否未安装非必要的组件和应用程序。 |
| b) 应关闭不需要的系统服务、默认共享和高危端口; | 终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备等 | 1、应核查是否关闭了非必要的系统服务和默认共享; 2、应核查是否不存在非必要的高危端口。 | |
| c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制; | 终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备等 | 应核查配置文件或参数是否对终端接入范围进行限制。 | |
| d) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求; | 业务应用系统、中间件和系统管理软件及系统设计文档等 | 1、应核查系统设计文档的内容是否包括数据有效性检验功能的内容或模块; 2、应测试验证是否对人机接口或通信接口输入的内容进行有效性检验。 | |
| e) 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞; | 终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等 | 1、应通过漏洞扫描、渗透测试等方式核查是否不存在高风险漏洞; 2、应核查是否在经过充分测试评估后及时修补漏洞。 | |
| f) 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 | 终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备等 | 1、应访谈并核查是否有入侵检测的措施; 2、应核查在发生严重入侵事件时是否提供报警。 | |
| 恶意代码防范 | 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。 | 终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、移动终端、移动终端管系统、移动终端管理客户端和控制设备等 | 1、应核查是否安装了防恶意代码软件或相应功能的软件,定期进行升级和更新防恶意代码库; 2、应核查是否采用主动免疫可信验证技术及时识别入侵和病毒行为; 3、应核查当识别入侵和病毒行为时是否将其有效阻断。 |
| 可信验证 | 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证, 并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证 结果形成审计记录送至安全管理中心。 | 提供可信验证的设备或组价、提供集中审计功能的系统 | 1、应核查是否基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证; 2、应核查是否在应用程序的关键执行环节进行动态可信验证; 3、应测试验证当检测到计算设备的可信性受到破坏后是否进行报警; 4、应测试验证结果是否以审计记录的形式送至安全管理中心。 |
| 数据完整性 | a) 应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等; | 业务应用系统、数据库管理系统、中间件、系统管理软件及系统设计文档、数据安全保护系统、终端和服务器等设备中的操作系统及网络设备和安全设备等 | 1、应核查系统设计文档,鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等在传输过程中是否采用了校验技术和密码技术保证完整性; 2、应测试验证在传输过程中对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等进行篡改、是否能否检测到数据在传输过程中的完整性收到破坏并能够及时恢复。 |
| b) 应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 | 业务应用系统、数据库管理系统、中间件、系统管理软件及系统设计文档、数据安全保护系统、终端和服务器等设备中的操作系统及网络设备和安全设备等 | 业务应用系统、数据库管理系统、中间件、系统管理软件及系统设计文档、数据安全保护系统、终端和服务器等设备中的操作系统及网络设备和安全设备中等。 | |
| 数据保密性 | a) 应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等; | 业务应用系统、数据库管理系统、中间件、系统管理软件及系统设计文档等 | 1、应核查系统设计文档,鉴别数据、重要业务数据和重要个人信息等在传输过程中是否采用密码技术保证保密性; 2、应通过嗅探等方式抓取传输过程中的数据包,鉴别数据、重要业务数据和重要个人信息等在传输过程中是否进行了加密处理。 |
| b) 应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。 | 业务应用系统、数据库管理系统、中间件、系统管理软件及系统设计文档、数据安全保护系统、终端和服务器等设备中的操作系统及网络设备和安全设备中的重要配置数据。 | 业务应用系统、数据库管理系统、中间件、系统管理软件及系统设计文档、数据安全保护系统、终端和服务器等设备中的操作系统及网络设备和安全设备中的重要配置数据等。 | |
| 数据备份恢复 | a) 应提供重要数据的本地安全管理中心功能; | 配置数据和业务数据 | 1、应核查是否安装备份策略进行本地备份; 2、应核查备份策略设置是否合理、配置是否正确; 3、应核查备份结果是否与备份策略一致; 4、应核查近期恢复测试记录是否能够进行正常的数据恢复。 |
| b) 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地; | 配置数据和业务数据 | 应核查是否提供异地实时备份功能,并通过网络将重要配置数据、重要业务数据实时备份至备份场地。 | |
| c) 应提供重要数据处理系统的热冗余,保证系统的高可用性。 | 重要数据处理系统 | 应核查重要数据处理系统(包括边界路由器、边界防火墙、核心交换机、应用服务器和数据库服务器等)是否采用热冗余方式部署。 | |
| 剩余信息保护 | a) 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除; | 终端和服务器等设备中的操作系统、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等 | 应核查相关配置信息或系统设计文档,用户的鉴别信息所在的存储空间被释放或重新分配前是否得到完全清除。 |
| b) 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。 | 终端和服务器等设备中的操作系统、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等 | 应核查相关配置信息或系统设计文档,敏感数据所在的存储空间被释放或重新分配给其他用户前是否得到完全清除。 | |
| 个人信息保护 | a) 应仅采集和保存业务必需的用户个人信息; | 业务应用系统和数据库管理系统等 | 1、应核查采集的用户个人信息是否是业务应用必须的; 2、应核查是否制定了相关用户个人信息保护的管理制度和流程。 |
| b) 应禁止未授权访问和非法使用用户个人信息。 | 业务应用系统和数据库管理系统等 | 1、应核查是否采用技术措施限制对用户个人信息的访问和使用; 2、应核查是否制定了有关用户个人信息保护的管理制度和流程。 |
测试方法:命令检查、配置界面、日志报表检查、安全测试
2.1.3.1.5.安全管理中心
测试内容:网络中是否单独划分有安全管理区域,可以实现对系统中的安全策略进行集中化管理;对网络链路、安全设备、网络设备和服务器运行状况进行集中监测;对安全策略、恶意代码、补丁升级等安全相关事项进行集中管控。
2.1.3.2.安全管理测评
安全管理评估包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面。
2.1.3.2.1.安全管理机构
安全管理机构方面的测评内容,具体如下表所示:
序号 | 测评指标 | 测评内容描述 |
1 | 岗位设置 | a) 应访谈安全主管,询问是否设立指导和管理信息安全工作的委员会或领导小组,其最高领导是否由单位主管领导委任或授权的人员担任; b) 应访谈安全主管,询问是否设立专职的安全管理机构(即信息安全管理工作的职能部门);机构内部门设置情况如何,是否明确各部门的职责分工; c) 应访谈安全主管,询问信息系统设置了哪些工作岗位,各个岗位的职责分工是否明确;询问是否设立安全管理各个方面的负责人; d) 应访谈安全主管、安全管理某方面的负责人、信息安全管理委员会或领导小组日常管理工作的负责人、系统管理员、网络管理员和安全管理员,询问其岗位职责包括哪些内容; e) 应检查部门、岗位职责文件,查看文件是否明确安全管理机构的职责,是否明确机构内各部门的职责和分工,部门职责是否涵盖物理、网络和系统安全等各个方面;查看文件是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等各个岗位,各个岗位的职责范围是否清晰、明确;查看文件是否明确各个岗位人员应具有的技能要求; f) 应检查信息安全管理委员会或领导小组最高领导是否具有委任授权书,查看授权书中是否有本单位主管领导的授权签字; g) 应检查信息安全管理委员会职责文件,查看是否明确委员会职责和其最高领导岗位的职责; h) 应检查安全管理各部门和信息安全管理委员会或领导小组是否具有日常管理工作执行情况的文件或工作记录。 a)-h)均为肯定,则信息系统符合本单元测评指标要求 |
2 | 人员配备 | a) 应访谈安全主管,询问各个安全管理岗位人员的配备情况,包括数量、专职还是兼职等,对关键事务的管理人员配备情况如何,是否配备2人或2人以上共同管理; b) 应检查人员配备要求管理文档,查看是否明确应配备哪些安全管理人员,是否包括机房管理员、系统管理员、数据库管理员、网络管理员、安全管理员等重要岗位人员并明确应配备专职的安全管理员;查看是否明确对哪些关键事务的管理人员应配备2人或2人以上共同管理,是否明确对配备人员的具体要求; c) 应检查安全管理各岗位人员信息表,查看其是否明确机房管理员、系统管理员、数据库管理员、网络管理员、安全管理员等重要岗位人员的信息,确认安全管理员是否是专职人员。 b)和c)均为肯定,则信息系统符合本单元测评指标要求。 |
3 | 授权和审批 | a) 应访谈安全主管,询问其是否规定对信息系统中的重要活动进行审批,审批部门是何部门,批准人是何人,他们的审批活动是否得到授权;询问是否定期审查、更新审批项目,审查周期多长; b) 应访谈重要活动的批准人,询问其对重要活动的审批范围包括哪些,审批程序如何; c) 应检查审批管理制度文档,查看文档中是否明确审批事项、需逐级审批的事项、审批部门、批准人及审批程序等,是否明确对系统变更、重要操作、物理访问和系统接入等事项的审批流程;是否明确需定期审查、更新审批的项目、审批部门、批准人和审查周期等; d) 应检查经逐级审批的文档,查看是否具有各级批准人的签字和审批部门的盖章; e) 应检查关键活动的审批过程记录,查看记录的审批程序与文件要求是否一致。 a)-e)均为肯定,则该测评指标符合要求 |
4 | 沟通和合作 | a) 应访谈安全主管,询问是否建立与外单位(公安机关、电信公司、兄弟单位、供应商、业界专家、专业的安全公司、安全组织等),与组织机构内其它部门之间及内部各部门管理人员之间的沟通、合作机制,与外单位和其他部门有哪些合作内容,沟通、合作方式有哪些; b) 应访谈安全主管,询问是否召开过部门间协调会议,组织其它部门人员共同协助处理信息系统安全有关问题,安全管理机构内部是否召开过安全工作会议部署安全工作的实施;信息安全领导小组或者安全管理委员会是否定期召开例会; c) 应访谈安全主管,询问是否聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等; d) 应检查组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,查看是否有会议内容、会议时间、参加人员和会议结果等的描述; e) 应检查信息安全领导小组或者安全管理委员会定期例会会议文件或会议记录,查看是否有会议内容、会议时间、参加人员、会议结果等的描述; f) 应检查是否有组织机构内部人员联系表; g) 应检查外联单位联系列表,查看外联单位是否包含公安机关、电信公司、兄弟单位、供应商、业界专家、专业的安全公司和安全组织等,是否说明外联单位的名称、合作内容、联系人和联系方式等内容; h) 应检查是否具有安全顾问名单或者聘请安全顾问的证明文件,查看是否有安全顾问指导信息安全建设、参与安全规划和安全评审的相关文档或记录。 a)-h)均为肯定,则信息系统符合本单元测评指标要求 |
5 | 审核和检查 | a) 应访谈安全主管,询问是否组织人员定期对信息系统进行全面安全检查,检查周期多长,检查内容有哪些; b) 应访谈安全管理员,询问是否定期检查系统日常运行、系统漏洞和数据备份等情况,检查周期多长;询问系统全面安全检查情况,检查周期多长,检查人员有哪些,检查程序如何,是否对检查结果进行通报,通报形式、范围如何; c) 应检查安全检查管理制度文档,查看文档是否规定定期进行全面安全检查,是否规定检查内容、检查程序和检查周期等,检查内容是否包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等; d) 应检查全面安全检查报告,查看报告日期间隔与检查周期是否一致,报告中是否有检查内容、检查人员、检查数据汇总表、检查结果等的描述,检查内容是否包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等; e) 应检查安全管理员定期实施安全检查的报告,查看报告日期间隔与检查周期是否一致,检查内容是否包括系统日常运行、系统漏洞和数据备份等情况; f) 应检查是否具有执面安全检查时的安全检查表、安全检查记录和结果通告记录,查看安全检查记录中记录的检查程序与文件要求是否一致。 a)-f)均为肯定,则信息系统符合本单元测评指标要求 |
2.1.3.2.2.安全管理制度
安全管理制度方面的测评对象主要为安全主管人员、安全管理人员等,具体如下表所示:
序号 | 测评指标 | 测评内容描述 |
1 | 管理制度 | a) 应访谈安全主管,询问机构是否形成全面的信息安全管理制度体系,制度体系是否由总体方针、安全策略、管理制度、操作规程等构成; b) 应检查信息安全工作的总体方针和安全策略文件,查看文件是否明确机构安全工作的总体目标、范围、原则和安全框架等; c) 应检查各项安全管理制度,查看是否覆盖物理、网络、主机系统、数据、应用、建设和管理等层面的各类管理内容; d) 应检查是否具有日常管理操作的操作规程(如系统维护手册和用户操作规程等)。 b)-d)均为肯定,则信息系统符合本单元测评指标要求 |
2 | 制定和发布 | a) 应访谈安全主管,询问是否有专门的部门或人员负责制定安全管理制度; b) 应访谈负责制定管理制度的人员,询问安全管理制度的制定程序和发布方式,是否对制定的安全管理制度进行论证和审定,论证和评审方式如何,是否按照统一的格式标准或要求制定; c) 应检查制度制定和发布要求管理文档,查看文档是否说明安全管理制度的制定和发布程序、格式要求及版本编号等相关内容; d) 应检查管理制度评审记录,查看是否有相关人员的评审意见; e) 应检查各项安全管理制度文档,查看文档是否是正式发布的文档,是否注明适用和发布范围,是否有版本标识,是否有管理层的签字或单位盖章;查看各项制度文档格式是否统一; f) 应检查安全管理制度的收发登记记录,查看收发是否通过正式、有效的方式(如正式发文、领导签署和单位盖章等),是否有发布范围要求。 a)-f)均为肯定,则信息系统符合本单元测评指标要求 |
3 | 评审和修订 | a) 应访谈安全主管,询问是否由信息安全领导小组负责定期对安全管理制度体系的合理性和适用性进行审定,评审周期多长;是否定期或不定期对安全管理制度进行检查、审定,由何部门/何人负责; b) 应访谈负责制、修订管理制度的人员,询问对安全管理制度的安全检查及修订情况,评审、修订程序如何; c) 应访谈负责制、修订管理制度的人员,询问系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时是否对安全管理制度进行审定,对需要改进的制度是否进行修订; d) 应检查是否具有安全管理制度体系的评审记录,查看记录的日期间隔与评审周期是否一致,是否记录了相关人员的评审意见; e) 应检查是否具有安全管理制度的检查/评审记录;如果对制度做过修订,检查是否有修订版本的安全管理制度。 a)-e)均为肯定,则信息系统符合本单元测评指标要求 |
2.1.3.2.3.人员安全管理
人员安全管理方面的测评内容,具体如下表所示:
序号 | 测评指标 | 测评内容描述 |
1 | 人员录用 | a) 应访谈安全主管,询问是否有专门的部门或人员负责人员的录用工作,由何部门/何人负责; b) 应访谈人员录用负责人,询问在人员录用时对人员条件有哪些要求,是否对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核,是否与被录用人员都签署保密协议; c) 应访谈人员录用负责人,询问对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全协议; d) 应检查人员录用要求管理文档,查看是否说明录用人员应具备的条件(如学历、学位要求,技术人员应具备的专业技术水平,管理人员应具备的安全管理知识等); e) 应检查是否具有人员录用时对录用人身份、背景、专业资格和资质等进行审查的相关文档或记录,查看是否记录审查内容和审查结果等; f) 应检查人员录用时的技能考核文档或记录,查看是否记录考核内容和考核结果等; g) 应检查保密协议,查看是否有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容; h) 应检查岗位安全协议,查看是否有岗位安全责任、违约责任、协议的有效期限和责任人签字等内容。 a)-h)均为肯定,则信息系统符合本单元测评指标要求 |
2 | 人员离岗 | a) 应访谈安全主管,询问对即将离岗人员有哪些控制方法,是否及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章以及机构提供的软硬件设备等; b) 应访谈人员录用负责人,询问调离手续包括哪些,是否要求关键岗位人员调离须承诺相关保密义务后方可离开; c) 应检查人员离岗的管理文档,查看是否规定了人员调离手续和离岗要求等; d) 应检查是否具有对离岗人员的安全处理记录(如交还身份证件、设备等的登记记录); e) 应检查是否具有按照离职程序办理调离手续的记录; f) 应检查保密承诺文档,查看是否有调离人员的签字。 a)-f)均为肯定,则信息系统符合本单元测评指标要求 |
3 | 人员考核 | a) 应访谈安全主管,询问是否有人负责定期对各个岗位人员进行安全技能及安全知识的考核; b) 应访谈人员录用负责人员,询问对各个岗位人员的考核情况,考核周期多长,考核内容有哪些;询问对人员的安全审查情况,审查人员是否包含所有岗位人员,审查内容有哪些;对关键岗位人员的审查和考核是否有特殊要求; c) 应检查考核文档和记录,查看考核人员是否包括各个岗位的人员,考核内容是否包含安全知识、安全技能等,是否有对关键岗位人员特殊的考核内容;查看记录日期与考核周期是否一致; d) 应检查人员安全审查记录,查看记录的审查人员是否包括各个岗位的人员,是否有对关键岗位人员特殊的安全审查内容。 b)-d)均为肯定,则信息系统符合本单元测评指标要求 |
4 | 安全意识教育和培训 | a) 应访谈安全主管,询问是否制定培训计划并按计划对各个岗位人员进行安全教育和培训,具体的培训方式有哪些;是否对违反策略和规定的人员进行惩戒,如何惩戒; b) 应访谈安全管理员、系统管理员、网络管理员和数据库管理员,考查其对工作相关的信息安全基础知识、安全责任和惩戒措施等的理解程度; c) 应检查安全责任和惩戒措施管理文档,查看是否包含具体的安全责任和惩戒措施; d) 应检查信息安全教育及技能培训和考核管理文档,查看是否明确培训周期、培训方式、培训内容和考核方式等相关内容; e) 应检查安全教育和培训计划文档,查看是否具有不同岗位的培训计划;查看计划是否明确了培训方式、培训对象、培训内容、培训时间和地点等,培训内容是否包含信息安全基础知识、岗位操作规程等; f) 应检查是否具有安全教育和培训记录,查看记录是否有培训人员、培训内容、培训结果等的描述; a)-f)均为肯定,则信息系统符合本单元测评指标要求 |
5 | 外部人员访问管理 | a) 应访谈安全管理员,询问对外部人员访问重要区域(如访问机房、重要服务器或设备区等)采取了哪些安全措施,是否经有关部门或负责人书面批准,是否由专人全程陪同或监督,是否进行记录并备案管理; b) 应检查外部人员访问管理文档,查看是否明确允许外部人员访问的范围(区域、系统、设备、信息等内容),外部人员进入的条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制措施(由专人全程陪同或监督等)和外部人员离开的条件等; c) 应检查外部人员访问重要区域的批准文档,查看是否有外部人员访问重要区域的书面申请,是否有批准人允许访问的批准签字等; d) 应检查外部人员访问重要区域的登记记录,查看是否记录了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等。 a)-d)均为肯定,则该测评指标符合要求 |
2.1.3.2.4.系统建设管理
系统建设管理方面的测评内容,具体如下表所示:
序号 | 测评指标 | 测评内容描述 |
1 | 系统定级 | a) 应访谈安全主管,询问确定信息系统安全保护等级的方法是否参照定级指南的指导,定级过程是否有书面描述;是否组织相关部门和有关安全技术专家对定级结果进行论证和审定,定级结果是否获得了相关部门的批准; b) 应检查系统定级文档,查看文档是否明确信息系统的边界和信息系统的安全保护等级,查看是否说明确定为某个安全等级的方法和理由,查看定级结果是否有相关部门的批准盖章; c) 应检查专家论证文档,查看是否有专家对定级结果的论证意见。 单位没有上级主管部门,但定级结果有本单位信息安全主管领导的批准,则为肯定;如果a)-c)均为肯定,则信息系统符合本单元测评指标要求 |
2 | 安全方案设计 | a) 应访谈安全主管,询问是否授权专门的部门对信息系统的安全建设进行总体规划,由何部门负责; b) 应访谈系统建设负责人,询问是否根据系统的安全级别选择基本安全措施,是否依据风险分析的结果补充和调整安全措施,具体做过哪些调整; c) 应访谈系统建设负责人,询问是否根据信息系统的等级划分情况统一考虑总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案等,是否经过论证和审定,是否经过审批,是否根据等级测评、安全评估的结果定期调整和修订,维护周期多长; d) 应检查系统的安全建设工作计划,查看文件是否明确了系统的近期安全建设计划和远期安全建设计划; e) 应检查系统总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等配套文件,查看各个文件是否有机构管理层的批准; f) 应检查专家论证文档,查看是否有相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的论证意见; g) 应检查是否具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本,查看维护记录日期间隔与维护周期是否一致。 a)-g)均为肯定,则信息系统符合本单元测评指标要求 |
3 | 产品采购和使用 | a) 应访谈安全主管,询问是否有专门的部门负责产品的采购,由何部门负责; b) 应访谈系统建设负责人,询问信息安全产品的采购情况,采购产品前是否预先对产品进行选型测试确定产品的候选范围,是否有产品采购清单指导产品采购,采购过程如何控制,是否定期审定和更新候选产品名单,审定周期多长; c) 应访谈系统建设负责人,询问系统是否采用了密码产品,密码产品的采购和使用是否符合国家密码主管部门的要求; d) 应检查产品采购管理文档,查看内容是否明确需要的产品性能指标,确定产品的候选范围,通过招投标等方式确定采购产品及人员行为准则等方面; e) 应检查系统使用的有关信息安全产品是否符合国家的有关规定; f) 应检查密码产品的使用情况是否符合密码产品使用、管理的相关规定; g) 应检查是否具有产品选型测试结果记录、候选产品名单审定记录或更新的候选产品名单。 a)-g)均为肯定,则信息系统符合本单元测评指标要求 |
4 | 自行软件开发 | a) 应访谈系统建设负责人,询问是否进行自主开发软件,是否对程序资源库的修改、更新、发布进行授权和批准,授权部门是何部门,批准人是何人,是否要求开发人员不能做测试人员(即二者分离),自主开发软件是否在独立的模拟环境中编写、调试和完成; b) 应访谈系统建设负责人,询问软件设计相关文档和使用指南是否由专人负责保管,负责人是何人,如何控制使用,测试数据和测试结果是否受到控制; c) 应访谈软件开发人员,询问其是否参照代码编写安全规范进行软件开发,开发之后是否交给测试人员测试软件; d) 应检查软件开发管理制度,查看文件是否明确软件设计、开发、测试、验收过程的控制方法和人员行为准则,是否明确哪些开发活动应经过授权、审批,是否明确软件开发相关文档的管理等; e) 应检查代码编写安全规范,查看规范中是否明确代码编写规则; f) 应检查是否具有软件设计的相关文档(应用软件设计程序文件、源代码文档等)、软件使用指南或操作手册和维护手册等; g) 应检查对程序资源库的修改、更新、发布进行授权和审批的文档或记录,查看是否有批准人的签字; h) 应检查是否具有软件开发相关文档(软件设计和开发程序文件、测试数据、测试结果、维护手册等)的使用控制记录。 a)-h)均为肯定,则信息系统符合本单元测评指标要求 |
5 | 外包软件开发 | a) 应访谈系统建设负责人,询问软件交付前是否依据开发要求的技术指标对软件功能和性能等进行验收测试,软件安装之前是否检测软件中的恶意代码,检测工具是否是第三方的商业产品;是否要求开发单位提供源代码,是否根据源代码对软件中可能存在的后门进行审查; b) 应检查是否具有需求分析说明书、软件设计说明书、软件操作手册、软件源代码文档等软件开发文档和使用指南; c) 应检查软件源代码审查记录,查看是否包括对可能存在后门的审查结果。 a)-c)均为肯定,则信息系统符合本单元测评指标要求 |
| | a) 应访谈系统建设负责人,询问是否有专门部门或人员负责工程实施管理工作,由何部门/何人负责,是否按照工程实施方案的要求对工程实施过程进行进度和质量控制,是否要求工程实施单位提供其能够安全实施系统建设的资质证明和能力保证; |
6 | 工程实施 | b) 应检查工程实施方案,查看其是否包括工程时间限制、进度控制和质量控制等方面内容; c) 应检查是否具有按照实施方案形成的阶段性工程报告等文档; d) 应检查工程实施管理制度,查看其是否包括工程实施过程的控制方法、实施参与人员的行为准则等方面内容。 a)-d)均为肯定,则信息系统符合本单元测评指标要求 |
7 | 测试验收 | a) 应访谈系统建设负责人,询问是否有专门的部门负责测试验收工作,由何部门负责;是否委托第三方测试机构对信息系统进行独立的安全性测试; b) 应访谈系统建设负责人,询问是否根据设计方案或合同要求组织相关部门和人员对系统测试验收报告进行审定; c) 应检查工程测试验收方案,查看其是否明确说明参与测试的部门、人员、测试验收的内容、现场操作过程等内容; d) 应检查测试验收记录是否详细记录了测试时间、人员、现场操作过程和测试验收结果等方面内容; e) 应检查是否具有系统安全性测试报告,查看报告是否给出测试通过的结论(如果报告中提出了存在的问题,则检查是否有针对这些问题的改进报告),是否有第三方测试机构的签字或盖章; f) 应检查是否具有系统测试验收报告,是否有对测试验收报告的审定文档,查看文档是否有相关人员的审定意见; g) 应检查测试验收管理文档是否包括系统测试验收的过程控制方法、参与人员的行为规范等内容。 a)-g)均为肯定,则信息系统符合本单元测评指标要求 |
8 | 系统交付 | a) 应访谈系统建设负责人,询问是否有专门的部门负责系统交接工作,系统交接时是否根据交付清单对所交接的设备、文档、软件等进行清点; b) 应访谈系统建设负责人,询问目前的信息系统是否由内部人员独立运行维护,如果是,系统正式运行前是否对运行维护人员进行过培训,针对哪些方面进行过培训; c) 应检查是否具有系统交付清单分类详细列项系统交付的各类设备、软件、文档等; d) 应检查是否具有系统建设文档、指导用户进行系统运维的文档、系统培训手册等; e) 应检查系统交付管理文档,查看其是否包括交付过程的控制方法和对交付参与人员的行为限制等方面内容; f) 应检查培训记录,查看是否包括培训内容、培训时间和参与人员等。 a)-f)均为肯定,则信息系统符合本单元测评指标要求 |
9 | 系统备案 | a) 应访谈安全主管,询问是否有专门的部门或人员负责管理系统定级相关文档,由何部门/何人负责; b) 应访谈文档管理员,询问对系统定级相关备案文档采取哪些控制措施; c) 应检查是否具有将系统等级相关材料报主管部门备案的记录或备案文档; d) 应检查是否具有将系统等级相关备案材料报相应公安机关备案的记录或证明; e) 应检查是否具有系统定级相关材料的使用控制记录。 a)-e)均为肯定,则信息系统符合本单元测评指标要求 |
10 | 等级测评 | a)应检查是否具有自系统运行至今(信息系统等级保护政策全面施行以来)的每年的等级测评报告; b)应检查是否具有针对每年的等级测评报告中的不符合项的整改记录; c)应检查重大变更后是否进行过等级测评; d)如果系统级别有所提高,应检查是否具有系统整改记录; e)应检查测评单位是否具有国家相关技术资质和安全资质; f)应检查部门或人员岗位职责文档,是否明确等级测评的职责部门。 a)-f)均为肯定,则信息系统符合本单元测评指标要求 |
11 | 安全服务商选择 | a) 应访谈系统建设负责人,询问信息系统选择的安全服务商有哪些,是否符合国家有关规定; b) 应检查是否具有与安全服务商签订的安全责任合同书或保密协议等文档,查看其内容是否包含保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等; c) 应检查是否具有与安全服务商签订的服务合同,查看是否包括服务内容、服务期限、双方签字或盖章等。 a)-c)均为肯定,则信息系统符合本单元测评指标要求 |
2.1.3.2.5.系统运维管理
系统运维管理方面的测评内容,具体如下表所示:
序号 | 测评指标 | 测评内容描述 |
1 | 环境管理 | a) 应访谈物理安全负责人,询问是否有专门的部门或人员对机房基础设施进行定期维护,由何部门/何人负责,维护周期多长,是否有专门的部门和人员负责机房环境安全管理工作; b) 应访谈办公环境负责人,询问为保证办公环境的保密性采取了哪些控制措施; c) 应检查机房安全管理制度,查看其内容是否覆盖机房物理访问、物品带进/带出机房、机房环境安全等方面; d) 应检查办公环境管理文档,查看其是否包括工作人员离开座位时退出登陆状态/桌面没有敏感信息文件、人员调离办公室时立即收回钥匙、不在办公区接待来访人员等方面内容; e) 应检查机房基础设施维护记录,查看是否记录维护日期、维护人、维护设备、故障原因、维护结果等方面内容。 a)-e)均为肯定,则信息系统符合本单元测评指标要求 |
2 | 资产管理 | a) 应访谈安全主管,询问是否有资产管理的责任人员或部门,由何部门/何人负责; b) 应访谈资产管理员,询问是否依据资产的重要程度对资产进行分类和标识管理,不同类别的资产是否采取不同的管理措施; c) 应检查资产清单,查看其内容是否覆盖资产责任部门、责任人、所处位置和重要程度等方面; d) 应检查资产安全管理制度,查看其是否明确信息资产管理的责任部门、责任人,查看其内容是否覆盖资产使用、传输、存储、维护等方面; e) 应检查信息分类文档,查看其内容是否明确了信息分类标识的原则和方法。 a)-e)均为肯定,则信息系统符合本单元测评指标要求 |
3 | 介质管理 | a) 应访谈资产管理员,询问介质的存放环境是否采取保护措施防止介质被盗、被毁、介质内存储信息被未授权修改以及非法泄漏等,是否有专人管理; b) 应访谈资产管理员,询问是否根据介质的目录清单对介质的使用现状进行定期检查,是否定期对其完整性(数据是否损坏或丢失)和可用性(介质是否受到物理破坏)进行检查,是否根据所承载数据和软件的重要性对介质进行分类和标识管理; c) 应访谈资产管理员,询问对介质带出工作环境和重要介质中的数据和软件是否进行保密性处理;对保密性较高的介质销毁前是否有领导批准,对送出维修或销毁的介质在送出之前是否对介质内存储数据进行净化处理;询问对介质的物理传输过程是否要求选择可靠传输人员、严格介质的打包、选择安全的物理传输途径、双方在场交付等环节的控制; d) 应访谈资产管理员,询问是否对某些重要介质实行异地存储,异地存储环境是否与本地环境相同; e) 应检查介质管理记录,查看其是否记录介质的存储、归档、查询和借用等情况; f) 应检查介质管理制度,查看其内容是否覆盖介质的存放环境、使用、维护和销毁等方面; g) 应检查介质,查看是否对其进行了分类,并具有不同标识。 a)-g)均为肯定,则信息系统符合本单元测评指标要求 |
4 | 设备管理 | a) 应访谈资产管理员,询问是否有专门的部门或人员对各种设备、线路进行定期维护,对各类测试工具进行有效性检查,由何部门/何人负责,维护周期多长; b) 应访谈资产管理员,询问是否对设备选用的各个环节(选型、采购、发放和领用、涉外维修和服务及信息处理设备带离机构等)进行审批控制; c) 应访谈系统管理员,询问对主要设备(包括备份和冗余设备)的操作是否按操作规程进行; d) 应访谈审计员,询问对主要设备(包括备份和冗余设备)的操作是否建立日志,日志文件如何管理,是否定期检查管理情况; e) 应检查设备安全管理制度,查看其内容是否明确对各种软硬件设备的选型、采购、发放和领用以及带离机构等环节进行申报和审批; f) 应检查配套设施、软硬件维护方面的管理制度,查看其是否对配套设施、软硬件维护进行有效的管理,包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制管理等; g) 应检查设备使用管理文档,查看其内容是否覆盖终端计算机、便携机和网络设备等使用、操作原则、注意事项等方面; h) 应检查主要设备(包括备份和冗余设备)的操作规程,查看其内容是否覆盖服务器如何启动、停止、加电、断电等操作; i) 应检查是否具有设备的选型、采购、发放和领用以及带离机构等的申报材料和审批报告; j) 应检查是否具有设备维护记录和主要设备的操作日志。 a)-j)均为肯定,则信息系统符合本单元测评指标要求 |
5 | 监控管理和安全管理中心 | a) 应访谈系统运维负责人,询问是否建立安全管理中心,对通信线路、主机、网络设备和应用软件的运行状况,对设备状态、恶意代码、网络流量、补丁升级、安全审计等安全相关事项进行集中管理,是否形成监测记录文档,是否组织人员对监测记录进行整理并保管; b) 应访谈系统运维负责人,询问其是否组织人员定期对监测记录进行分析、评审,是否发现可疑行为并对其采取必要的措施,是否形成分析报告; c) 应检查是否具有安全管理中心,安全管理中心是否对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理; d) 应检查监控记录,查看是否记录监控对象、监控内容、监控的异常现象处理等方面; e) 应检查监测分析报告,查看是否包括监测的异常现象、处理措施等。 a)-e)均为肯定,则信息系统符合本单元测评指标要求 |
6 | 网络安全管理 | a) 应访谈安全主管,询问是否指定专人负责维护网络运行日志、监控记录和分析处理报警信息等网络安全管理工作;网络的外联种类有哪些,是否都得到授权与批准,由何部门/何人批准; b) 应访谈网络管理员,询问是否根据厂家提供的软件升级版本对网络设备进行过升级,目前的版本号为多少,升级前是否对重要文件(帐户数据、设备配置文件等)进行备份,采取什么方式; c) 应访谈网络管理员,询问是否实现网络设备的最小服务配置,对配置文件是否进行定期离线备份,采取什么方式;是否定期检查拨号上网等违反网络安全策略的行为; d) 应访谈安全管理员,询问是否定期对网络设备进行漏洞扫描,扫描周期多长,发现漏洞是否及时修补; e) 应检查网络漏洞扫描报告,查看其内容是否包含网络存在的漏洞、严重级别和结果处理等方面,检查扫描时间间隔与扫描周期是否一致; f) 应检查网络安全管理制度,查看其是否覆盖网络安全配置、安全策略、升级与打补丁、最小服务、授权访问、日志保存时间、口令更新周期、文件备份等方面内容,查看安全策略是否包括允许或者拒绝便携式和移动式设备的网络接入; g) 应检查是否具有内部网络外联的授权批准书; h) 应检查是否具有网络设备配置文件的离线备份文件; i) 应检查是否具有网络审计日志,检查日志是否在规定的保存时间范围内。 a)-i)均为肯定,则信息系统符合本单元测评指标要求 |
7 | 系统安全管理 | a) 应访谈安全主管,询问是否指定专人对系统进行管理,对系统管理员用户是否进行分类,明确各个角色的权限、责任和风险,权限设定是否遵循最小授权原则; b) 应访谈系统管理员,询问是否根据业务需求和系统安全分析制定系统的访问控制策略,控制分配信息系统、文件及服务的访问权限; c) 应访谈系统管理员,询问是否定期对系统安装安全补丁程序,在安装系统补丁前是否对重要文件进行备份,采取什么方式进行,是否先在测试环境中测试通过再安装; d) 应访谈安全管理员,询问是否定期对系统进行漏洞扫描,扫描周期多长,发现漏洞是否及时修补; e) 应检查系统安全管理制度,查看其内容是否覆盖系统安全策略、安全配置、日志管理、日常操作流程等具体内容; f) 应检查是否有详细操作日志(包括重要的日常操作、运行维护记录、参数的设置和修改等内容); g) 应检查是否有定期对运行日志和审计结果进行分析的分析报告,查看报告是否能够记录帐户的连续多次登录失败、非工作时间的登录、访问受限系统或文件的失败尝试、系统错误等非正常事件; h) 应检查系统漏洞扫描报告,查看其内容是否包含系统存在的漏洞、严重级别和结果处理等方面,检查扫描时间间隔与扫描周期是否一致。 a)-h)均为肯定,则信息系统符合本单元测评指标要求 |
8 | 恶意代码防范管理 | a) 应访谈系统运维负责人,询问是否对员工进行基本恶意代码防范意识教育,是否告知应及时升级软件版本,使用外来设备、网络上接收文件和外来计算机或存储设备接入网络系统之前应进行病毒检查等; b) 应访谈系统运维负责人,询问是否指定专人对恶意代码进行检测,发现病毒后是否及时处理; c) 应访谈安全管理员,询问是否定期检查恶意代码库的升级情况,对截获的危险病毒或恶意代码是否及时进行分析处理,并形成书面的报表和总结汇报; d) 应检查恶意代码防范管理文档,查看其内容是否覆盖防恶意代码软件的授权使用、恶意代码库升级、定期汇报等方面; e) 应检查是否具有恶意代码检测记录、恶意代码库升级记录和分析报告,查看升级记录是否记录升级时间、升级版本等内容;查看分析报告是否描述恶意代码的特征、修补措施等内容。 a)-e)均为肯定,则信息系统符合本单元测评指标要求 |
9 | 密码管理 | a) 应访谈安全管理员,询问密码技术和产品的使用是否遵照国家密码管理规定; b) 应检查是否具有密码使用管理制度。 a)和b)均为肯定,则信息系统符合本单元测评指标要求 |
10 | 变更管理 | a) 应访谈系统运维负责人,询问是否制定变更方案指导系统执行变更,目前系统发生过哪些变更,变更方案是否经过评审,变更过程是否文档化; b) 应访谈系统运维负责人,询问重要系统变更前是否根据申报和审批程序得到有关领导的批准,由何人批准,对发生的变更情况是否通知了所有相关人员,以何种方式通知; c) 应访谈系统运维负责人,询问变更失败后的恢复程序、工作方法和人员职责是否文档化,恢复过程是否经过演练; d) 应检查系统变更方案,查看其是否覆盖变更类型、变更原因、变更过程、变更前评估等方面内容; e) 应检查重要系统的变更申请书,查看其是否有主管领导的批准签字; f) 应检查变更管理制度,查看其是否覆盖变更前审批、变更过程记录、变更后通报等方面内容; g) 应检查变更控制的申报、审批程序,查看其是否规定需要申报的变更类型、申报流程、审批部门、批准人等方面内容; h) 应检查变更失败恢复程序,查看其是否规定变更失败后的恢复流程; i) 应检查是否具有变更方案评审记录和变更过程记录文档。 a)-i)均为肯定,则信息系统符合本单元测评指标要求 |
11 | 备份与恢复管理 | a) 应访谈系统管理员、数据库管理员和网络管理员,询问是否识别出需要定期备份的业务信息、系统数据及软件系统,主要有哪些; b) 应访谈系统管理员、数据库管理员和网络管理员,询问是否定期执行恢复程序,周期多长,系统是否按照恢复程序完成恢复,如有问题,是否针对问题改进恢复程序或调整其他因素; c) 应检查备份和恢复管理制度,查看其是否明确备份方式、备份频度、存储介质和保存期等方面内容; d) 应检查数据备份和恢复策略文档,查看其内容是否覆盖数据的存放场所、文件命名规则、介质替换频率、数据离站传输方法等方面; e) 应检查备份和恢复记录,查看其是否包含备份内容、备份操作、备份介质存放等内容,记录内容与备份和恢复策略是否一致。 a)-e)均为肯定,则信息系统符合本单元测评指标要求 |
12 | 安全事件处置 | a) 应访谈系统运维负责人,询问是否告知用户在发现安全弱点和可疑事件时应及时报告,不同安全事件是否采取不同的处理和报告程序; b) 应访谈系统运维负责人,询问是否根据本系统已发生的和需要防止发生的安全事件对系统的影响程度划分不同等级,划分为几级,划分方法是否参照了国家相关管理部门的技术资料,主要参照哪些; c) 应检查安全事件报告和处置管理制度,查看其是否明确本系统已发生的和需要防止发生的安全事件类型,是否明确安全事件的现场处理、事件报告和后期恢复的管理职责; d) 应检查安全事件定级文档,查看其是否明确安全事件的定义、安全事件等级划分原则、等级描述等方面内容; e) 应检查安全事件记录分析文档,查看其是否记录引发安全事件的原因,是否记录事件处理过程,不同安全事件是否采取不同措施避免其再次发生; f) 应检查安全事件报告和处理程序文档,查看其是否根据不同安全事件制定不同的处理和报告程序,及响应和处置的范围、程度、处理方法,是否明确具体报告方式、报告内容、报告人等方面内容。 a)-f)均为肯定,则信息系统符合本单元测评指标要求 |
13 | 应急预案管理 | a) 应访谈系统运维负责人,询问是否制定不同事件的应急预案,是否对系统相关人员进行应急预案培训,多长时间举办一次,是否定期对应急预案进行演练,演练周期多长,是否对应急预案定期进行审查; b) 应访谈系统运维负责人,询问是否具有应急预案小组,是否具备应急设备并能正常工作,应急预案执行所需资金是否做过预算并能够落实; c) 应检查应急预案框架,查看其内容是否覆盖启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等方面; d) 应检查是否具有根据应急预案框架制定的不同事件的应急预案; e) 应检查是否具有定期审查应急预案的管理规定,查看是否明确应急预案中需要定期审查和根据实际情况更新的内容; f) 应检查是否具有应急预案培训记录、演练记录和审查记录。 a)-f)均为肯定,则信息系统符合本单元测评指标要求 |
2.1.3.3.云计算安全扩展测评
2.1.3.3.1.物理和环境安全
物理位置选择
应确保云计算基础设施位于中国境内。
2.1.3.3.2.网络和通信安全
1、结构安全
(1)应确保云计算平台不承载高于其安全保护等级的业务应用系统;
(2)应绘制与当前运行情况相符的虚拟化网络拓扑结构图;
(3)应实现不同云服务客户虚拟网络之间的隔离;
(4)应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。
2、访问控制
(1)应禁止云服务客户虚拟机访问宿主机;
(2)应在虚拟化网络边界部署访问控制机制,并设置访问控制规则;
(3)应保证当虚拟机迁移时,访问控制策略随其迁移;
(4)应允许云服务客户设置不同虚拟机之间的访问控制策略。
3、入侵防范
(1)应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;
(2)应能检测到对虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;
(3)应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量。
2.1.3.3.3.设备和计算安全
1、身份鉴别
应在网络策略控制器和网络设备(或设备代理)之间建立通信时验证身份。
2、访问控制
应确保只有在云服务客户授权下,云服务商或第三方才具有云服务客户数据的管理权限。
3、安全审计
应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计。
4、资源控制
(1)应屏蔽虚拟资源故障,某个虚拟机宕机后不影响虚拟机监视器及其他虚拟机;
(2)应对物理资源和虚拟资源按照策略做统一管理调度与分配;
(3)应确保云计算平台具有虚拟机内存隔离措施。
2.1.3.3.4.应用和数据安全
1、数据完整性
应确保虚拟机迁移过程中,重要数据的完整性,并在检测到完整性受到破坏时采取必要的恢复措施。
2、数据备份恢复
应提供查询云服务客户数据及备份存储位置的方式;
3、剩余信息保护
应保证虚拟机所使用的内存和存储空间回收时得到完全清除;
云服务客户删除业务应用数据时,云计算平台应确保云存储中所有副本被删除。
4、个人信息保护
应确保云服务客户账户信息、鉴别信息、系统信息存储于中国境内,如需出境应遵循国家相关规定。
2.1.3.3.5.安全建设管理
1、云服务商选择
(1)应选择安全合规的云服务商,其所提供的云平台应为其所承载的业务应用系统提供相应等级的安全保护能力;
(2)应在服务水平协议中规定云服务的各项服务内容和具体技术指标;
(3)应在服务水平协议中规定云服务商的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等;
(4)应在服务水平协议中规定服务合约到期时,完整地返还云服务客户信息,并承诺相关信息在云计算平台上清除。
2、供应链管理
(1)应确保供应商的选择符合国家有关规定;
(2)应确保供应链安全事件信息或威胁信息能够及时传达到云服务客户。
2.1.3.3.6.安全运维管理
环境管理
云计算平台的运维地点应位于中国境内,境外对境内云计算平台实施运维操作应遵循国家相关规定;
云计算平台运维过程产生的配置数据、日志信息等存储于中国境内,如需出境应遵循国家相关规定。
2.1.3.4. 漏洞扫描
漏洞扫描是发现安全漏洞的快捷方式,本地测试过程中将会从主机系统层面和应用层面进行漏洞扫描,全面发现系统发现的安全漏洞,针对扫描工具发现的安全漏洞进行人工测试确认,以消除工具扫描误报和漏洞影响。
2.1.3.5.渗透测试内容
1、SQL 注入类
测试人员通过自动化工具或手工编写SQL语句方式,构造特殊的SQL代码传入到应用程序中,从而通过执行非设计预期的SQL代码,检测其是否能够被非法攻击者窃取数据或破坏。
2、跨站脚本类
测试人员利用自动化工具或手工编写Script脚本代码,将其提交到对被测系统的每个动态页面上,通过返回信息判断其是否存在跨站脚本漏洞。
3、文件上传类
测试人员将对提供上传服务的页面进行模拟上传测试,用以检测目标系统对上传文件的处理、放置和过滤等限制措施。
4、弱口令类
测试人员通过构建的密码本,利用自动化工具尝试登录应用程序。
5、目录浏览类
测试人员利用漏洞扫描工具发现可能存在该漏洞的URL,之后通过构造特殊的URL请求,验证扫描工具的准确性并获得配置文件、密码文件等信息。
6、未授权访问类
测试人员利用漏洞扫描工具发现可能存在的管理后台或其他可访问信息。
7、信息未加密类
检查用户口令等鉴别信息的存储是否加密,包括主机操作系统用户鉴别信息以及应用程序的用户鉴别信息。
8、认证会话管理类
测试人员利用工具或经验,会检查Cookie与Session的令牌是否是由一种安全的、不可逆推的方法生成,提交过期的Cookie访问已知页面,验证目标网站是否存在认证管理失败等问题。
9、文件包含类
测试人员利用漏洞扫描工具发现可能存在该漏洞的URL,之后通过构造特殊的URL请求,验证扫描工具的准确性并获得配置文件、密码文件等信息。
10、不安全的 URL 访问类
测试人员利用漏洞扫描工具发现可能存在该漏洞的URL,之后通过构造特殊的URL请求,验证扫描工具的准确性并获得配置文件、密码文件等信息。
11、溢出漏洞类
溢出测试可以对服务器端所有的存在输入的应用程序进行验证。
12、信息泄露类
使用漏洞扫描工具对目标系统进行测试。
2.2.等保测评咨询服务
对信息系统测评之后,出具的测评报告中指出的信息系统存在的问题提供咨询服务,其中包含对系统开发商提供咨询服务和对业务部门提供咨询服务。每年对我局的网络安全、系统安全、数据安全、硬件安全、物理环境安全等与等级保护相关的工作提供一份工作建议或者优化调整方案一份。
2.3.等保测评驻场服务
派驻一名等保测评工程师驻场提供现场等级保护测评服务技术支持,协助开展等保测评日常服务工作。人员需具备CISP资质。具体服务内容包括但不仅限于此:
1、安全监测
对安全监测平台、防火墙、IPS等安全管理系统日志进行综合分析和研判,掌握综合的威胁情报信息,发现相关攻击和入侵前奏、正在发生的攻击行为,以及已经发生的网络安全事件,及时进行响应和处置。
2、漏洞扫描
通过漏洞扫描工具定期开展信息系统漏洞扫描,并向相关单位下发漏洞整改工单,并对整改结果进行跟踪测试。
3、安全工单处理
对网络安全监管部门通报的相关网络安全风险隐患进行排查和处置,并协助反馈处置结果。
对单位内部相关部门和处室反馈的网络安全疑难问题、安全事件提供现场技术支持服务。
2.4.等保测评培训服务
协助培养信息安全团队等保测评专业人员。如组织开展等保测评工作交流、学术讨论、外出学习同类项目的测评情况等了解信息安全最新态势;每年度组织相关工作人员进行一次等保测评知识普及培训。每年组织等保测评专业技术人员进行等保测评专业技术培训,可以扩展到安全从业人员的安全专业知识培训。
2.5.等保测评应急响应服务
针对服务期内出现的网络安全事件,提供本地应急服务支持。服务内容包括但不限于以下方面:
1)事件调查分析:对事件进行分级,对相关的安全设备、网络设备、服务器、数据库等进行分析,定位事件原因;
2)事件取证:对确定有问题的严重事件进行调查后取证,将实际证据保存下来,形成文档提供给用户;
3)事件解决方案和恢复:根据事件发生的实际情况调整网络设备、安全设备、服务器等的安全策略,修复存在的隐患,恢复业务运行;
4)书写事件总结报告:针对发生的事件前因后果书写总结报告;
5)提出整改建议:对影响面大,后续可能还会发生的事件提出全面整改建议。
三、项目考核:制定对项目实施的考核基本标准,按照考核标准给项目进行总体评分,年度考核必须≥90分,低于90分成交供应商应当在30个工作日内补充完成待改进的服务内容,如30个工作日内仍然不能达到90分,每年度扣除本年度合同金额20%。项目评分不足70分的项目不予验收,在向相关部门报备的同时保留追责的权利。
序号 | 服务名称 | 考核内容 | 评分 | 备注 |
1 | 三级系统等级测评 | 完成各系统测评、提交各个系统信息安全等级保护测评报告、协助填写定级报告和备案表,并协助到公安机关完成备案。 | 20 | 工程师不具备资质的每人次扣5分 测评报告不符合监管要求扣10分 |
2 | 二级系统等级测评 | 完成各系统等级保护二级测评、提交各个系统信息安全等级保护测评报告、协助填写定级报告和备案表,并协助到公安机关完成备案。 | 20 | 工程师不具备资质的每人次扣5分 测评报告不符合监管要求扣10分 |
3 | 等级保护咨询服务 | 针对前期测评情况,每年对我局当前网络信息系统网络安全防护存在的不足,提出总体规划和优化方案一份,并协助我局对这些安全隐患进行处理,提升网络安全防护能力。 | 20 | 未给出规划和优化方案其中一项扣10分 |
4 | 驻场安全技术支付服务 | 常驻现场的驻场工程师日常工作必须按数据中心日常人员出勤管理进行工作。 必须按照数据中心工作管理规范开展日常技术支持工作。 | 20 | 未能按照数据中心日常出勤 的每人次扣5分。 未能按照数据中心日常日常工作规范开展技术支持的每人次扣5分。 |
5 | 信息安全培训服务 | 每年组织安排2名工作人员参加国家信息安全认证方面的专业培训(例:CISP等) | 10 | 未组织培训的扣10分 培训不达预期的扣5分 |
6 | 应急响应服务 | 针对重大信息安全突发事件提供应急处理服务,保障1小时内安全应急人员到场,迅速确定事件原因,缩小事件影响,遏制事态发展,快速恢复系统运维,并提交应急响应报告。 | 10 | 未能1小时内安全人员到场其中一项扣5分; 应急响应支持不能快速定位、解决问题的扣5分。 |
四、交付时间和地点:
服务时间及地点
1.1服务时间:服务时间二年,以合同签订时间为准,合同一年一签。
1.2服务地点:采购人指定地点。
五、服务标准:
服务要求:
1.新建系统协助开展定级备案工作,组织召开定级评审专家会,协助获取备案证明;每年完成等级保护测评后,提交等级保护测评报告,协助到公安机关完成备案。
2.2年内,每年按照我方计划对目标系统开展一次测评工作,对测评发现的问题,提出优化建议,协助我方进行整改已达到国家标准要求。
3.信息安全应急支持服务针对重大信息安全突发事件提供应急处理服务。服务期内提供7*24小时现场应急服务支撑,现场响应时间<1小时。
4.如在合同服务期内信息系统停用、增加、替换、在双方协商后,服务商应尽量满足长沙市人社局对系统数量变更的要求,原则上不再增加费用。
5.服务商应当协助开展国家网络安全宣传周相关活动,负责资料物质保障,协助活动的具体实施。
6. 积极协调落实等级保护测评主管部门对等级保护工作相关要求,配合落实网络与数据安全工作部门落实安全工作要求,根据等级保护相关要提供相关技术支持,配合做好安全整改。
六、验收标准:
验收要求:
本项目服务期为两年,合同一年一签,每年对服务执行情况进行一次验收,验收申请必须满足以下两个条件,缺一不可。1、按要求完成测评服务内容,测评报告等相关资料整备全齐。2、按照项目考核标准进行考核,考核得分90以上。达到以上条件后按照简易程序进行验收。
1、本项目采用简易程序验收。项目验收另有国家有强制性规定的,按国家规定执行,验收费用由中标人承担,验收报告作为申请付款的凭证之一;
2、验收过程中产生纠纷的,由质量技术监督部门认定的检测机构检测,如为中标人原因造成的,由中标人承担检测费用;否则,由采购人承担;
3、项目验收不合格,由中标人返工直至合格,有关返工、再行验收,以及给采购人造成的损失等费用由中标人承担。连续两次项目验收不合格的,采购人可终止合同,另行按规定选择其他供应商采购,由此带来的一切损失由中标人承担。
七、其他要求:
其他要求
1、服务时间及地点
1.1服务时间:服务时间二年,以合同签订时间为准,合同一年一签。
1.2服务地点:采购人指定地点。
2、结算方法
2.1付款人:长沙市就业与社保数据服务中心(国库集中支付)
2.2付款方式:按照合同一年一签的要求,在合同签订之后,按照年度合同款的40%支付合同首付款,项目验收合格后支付年度合同款的60%。第二年的合同签订和付款遵照此方式进行。
3、采购方所有费用为无息支付、成交供应商需按采购方要求开具相应发票。
4、本项目采用费用包干方式建设,投标人应根据项目要求和现场情况,详细列明项目所需的设备及材料购置,以及服务项目相关运输保险保管、项目安装调试、试运行测试通过验收、培训、质保期免费保修维护等所有人工、管理、财务等所用费用,一旦中标,如在项目是始终出现任何遗漏,均由成交供应商免费提供,采购方不再支付任何费用。
5、投标人在投标前,如须踏勘现场,有关费用自理,踏勘期间发生的意外自负。
采购需求仅供参考,相关内容以采购文件为准。