现场测评指导书(三级)日期: 2019.9.30现场测评指导书(三级)安全控制点控制项检查内容安全通用要求环境管理资产管理a)应指定专门的部门或人员负责机房安全,对机房出入进行管理,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理;1) 应访谈物理安全负责人是否指定部门和人员负责机房安全管理工作,对机房的出入进行管理、对基础设施(如空调、供配电设备、灭火设备等)进行定期维护;2) 应核查部门或人员岗位职责文档是否明确机房安全的责任部门及人员;3) 应核查机房的出入登记记录是否记录来访人员、来访时间、离开时间、携带物品等信息;4) 应核查机房的基础设施的维护记录是否记录维护日期、维护人、维护设备、故障原因、维护结果等方面内容。b)应建立机房安全管理制度,对有关物理访问、物品带进出和环境安全等方面的管理作出规定;1) 应核查机房安全管理制度是否覆盖物理访问、物品进出和环境安全等方面内容;2) 应核查物理访问、物品进出和环境安全等相关记录是否与制度相符。c)应不在重要区域接待来访人员,不随意放置含有敏感信息的纸档文件和移动介质等。1) 应核查机房安全管理制度是否明确来访人员的接待区域;2) 应核查办公桌面上等位置是否未随意放置了含有敏感信息的纸档文件和移动介质等。a)应编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容;应核查资产清单是否包括资产类别(含设备设施、软件、文档等)、资产责任部门、重要程度和所处位置等内容。资产管理介质管理设备维护管理b)应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施;1) 应访谈资产管理员是否依据资产的重要程度对资产进行标识,不同类别的资产在管理措施的选取上是否不同;2) 应核查资产管理制度是否明确资产的标识方法以及不同资产的管理措施要求;3) 应核查资产清单中的设备是否具有相应标识,标识方法是否符合 2)中相关要求。c)应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。1) 应核查信息分类文档是否规定了分类标识的原则和方法(如根据信息的重要程度、敏感程度或用途不同进行分类);2) 应核查信息资产管理办法是否规定了不同类信息的使用、传输和存储等要求。a)应将介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点;1) 应访谈资产管理员介质存放环境是否安全,存放环境是否由专人管理;2) 应核查介质管理记录是否记录介质归档、使用和定期盘点等情况。b)应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归档和查询等进行登记记录。1) 应访谈资产管理员介质在物理传输过程中的人员选择、打包、交付等情况是否进行控制;2) 应核查是否对介质的归档和查询等进行登记记录。a)应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理;1) 应访谈设备管理员是否对各类设备、线路指定专人或专门部门进行定期维护;2) 应核查部门或人员岗位职责文档是否明确设备维护管理的责任部门。设备维护管理漏洞和风险管理网络和系统安全管理b)应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等;1) 应核查设备维护管理制度是否明确维护人员的责任、维修和服务的审批、维修过程的监督控制等方面内容;2) 应核查是否具有维修和服务的审批、维修过程等记录,审批、记录内容是否与制度相符。c)信息处理设备应经过审批才能带离机房或办公地点,含有存储介质的设备带出工作环境时其中重要数据应加密;1) 应访谈设备管理员含有重要数据的设备带出工作环境是否有加密措施;2) 应访谈设备管理员对带离机房的设备是否经过审批;3) 应核查是否具有设备带离机房或办公地点的审批记录。d)含有存储介质的设备在报废或重用前,应进行完全清除或被安全覆盖,保证该设备上的敏感数据和授权软件无法被恢复重用。应访谈设备管理员含有存储介质的设备在报废或重用前...
