现场测评指导书(三级)日期: 2019.9.30现场测评指导书(三级)8. 关键数据类别日期: 2019.9.30安全控制点控制项检查内容安全通用要求数据完整性a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;1) 应核查系统设计文档,鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等在传输过程中是否采用了密码技术保证完整性;2) 应测试验证在传输过程中对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等进行篡改,是否能够检测到数据在传输过程中的完整性受到破坏并能够及时恢复。b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。1) 应核查设计文档,是否采用了密码技术保证鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等在存储过程中的完整性;2) 应核查是否采用技术措施(如数据安全保护系统等)保证鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等在存储过程中的完整性;3) 应测试验证在存储过程中对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等进行篡改,是否能够检测到数据在存储过程中的完整性受到破坏并能够及时恢复。数据保密性数据备份恢复a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;1) 应核查系统设计文档,鉴别数据、重要业务数据和重要个人信息等在传输过程中是否采用密码技术保证保密性;2) 应通过嗅探等方式抓取传输过程中的数据包,鉴别数据、重要业务数据和重要个人信息等在传输过程中是否进行了加密处理。b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。1)应核查是否采用密码技术保证鉴别数据、重要业务数据和重要个人信息等在存储过程中的保密性;2)应核查是否采用技术措施(如数据安全保护系统等)保证鉴别数据、重要业务数据和重要个人信息等在存储过程中的保密性;3)应测试验证是否对指定的数据进行加密处理。a)应提供重要数据的本地数据备份与恢复功能;1) 应核查是否按照备份策略进行本地备份;2) 应核查备份策略设置是否合理、配置是否正确;3) 应核查备份结果是否与备份策略一致;4) 应核查近期恢复测试记录是否能够进行正常的数据恢复。b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;应核查是否提供异地实时备份功能,并通过网络将重要配置数据、重要业务数据实时备份至备份场地。c)应提供重要数据处理系统的热冗余,保证系统的高可用性。应核查重要数据处理系统(包括边界路由器、边界防火墙、核心交换机、应用服务器和数据库服务器等)是否采用热冗余方式部署。剩余信息保护个人信息保护a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;应核查相关配置信息或系统设计文档,用户的鉴别信息所在的存储空间被释放或重新分配前是否得到完全清除。b)应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。应核查相关配置信息或系统设计文档,敏感数据所在的存储空间被释放或重新分配给其他用户前是否得到完全清除。a)应仅采集和保存业务必需的用户个人信息;1)应核查采集的用户个人信息是否是业务应用必需的;2)应核查是否制定了有关用户个人信息保护的管理制度和流程。b)应禁止未授权访问和非法使用用户个人信息。1)应核查是否采用技术措施限制对用户个人信息的访问和使用;2)应核查是否制定了有关用户个人信息保护的管理制度和流程。检查方法推荐值安全通用要求判断标准结果记录符合情况安全通用要求如果 1) 和 2) 均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。如果 1)~3) 均为肯定,...
