(一)項(xiàng)目清單
|
序號(hào)
|
名稱
|
數(shù)量
|
|
1
|
HIS等保三級(jí)測(cè)評(píng)服務(wù)
|
1
|
|
2
|
PACS等保二級(jí)測(cè)評(píng)服務(wù)
|
1
|
(二)參數(shù)要求
1.測(cè)評(píng)對(duì)象
|
系統(tǒng)名稱
|
安全等級(jí)
|
數(shù)量
|
|
HIS
|
三級(jí)
|
1
|
|
PACS
|
二級(jí)
|
1
|
2.測(cè)評(píng)要求
根據(jù)項(xiàng)目需求�����,為保障信息安全現(xiàn)場(chǎng)測(cè)評(píng)過程安全可控�,明確測(cè)評(píng)人員職責(zé)分配、規(guī)范測(cè)評(píng)人員操作��,保障測(cè)評(píng)結(jié)果有效��,至少包括以下幾個(gè)流程:
|
序號(hào)
|
關(guān)鍵實(shí)施階段
|
工作要求
|
|
1
|
確定測(cè)評(píng)范圍
|
明確本次被測(cè)評(píng)信息系統(tǒng)的范圍����,包括每個(gè)信息系統(tǒng)的范圍、信息系統(tǒng)的邊界等��。
|
|
2
|
獲得信息系統(tǒng)的信息
|
通過調(diào)查或查閱資料的方式���,了解被測(cè)評(píng)信息系統(tǒng)的構(gòu)成����,包括網(wǎng)絡(luò)拓?fù)���、業(yè)務(wù)應(yīng)用���、業(yè)務(wù)流程、設(shè)備信息��、安全措施狀況等���。
|
|
3
|
確定具體的測(cè)評(píng)對(duì)象
|
初步確定每個(gè)信息系統(tǒng)的被測(cè)評(píng)對(duì)象��,包括整體對(duì)象�,如機(jī)房�����、辦公環(huán)境����、網(wǎng)絡(luò)等,也包括具體對(duì)象��,如邊界設(shè)備���、網(wǎng)關(guān)設(shè)備�、服務(wù)器設(shè)備、工作站�、應(yīng)用系統(tǒng)等。
|
|
4
|
確定測(cè)評(píng)工作的方法
|
根據(jù)信息系統(tǒng)安全等級(jí)情況����、系統(tǒng)規(guī)模大小等,明確本次測(cè)評(píng)的方法��。
|
|
5
|
制定測(cè)評(píng)工作計(jì)劃
|
制定測(cè)評(píng)工作計(jì)劃或方案�����,說明測(cè)評(píng)范圍����、測(cè)評(píng)對(duì)象、工作方法��、人員組成����、角色職責(zé)、時(shí)間計(jì)劃等。
|
|
6
|
實(shí)施等級(jí)保護(hù)測(cè)評(píng)
|
實(shí)施測(cè)評(píng)�����,包括人工檢查���、工具掃描等方式。
|
|
7
|
項(xiàng)目總結(jié)
|
提供測(cè)試報(bào)告�,對(duì)測(cè)評(píng)結(jié)果進(jìn)行總結(jié)、匯報(bào)
|
3.測(cè)評(píng)內(nèi)容
按照信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)依據(jù)開展測(cè)評(píng)工作(包括不限于以下項(xiàng)目)���。
3.1 物理安全
物理安全檢查主要是了解信息系統(tǒng)的物理安全保障情況�。涉及對(duì)象為機(jī)房����。在內(nèi)容上,物理安全層面測(cè)評(píng)實(shí)施過程涉及的工作單元���,具體如下表:
表1 物理安全測(cè)評(píng)內(nèi)容:
|
序號(hào)
|
工作單元名稱
|
工作單元描述
|
|
1
|
物理位置的選擇
|
檢查機(jī)房�,測(cè)評(píng)機(jī)房物理場(chǎng)所在位置上是否具有防震�����、防風(fēng)和防雨等多方面的安全防范能力。
|
|
2
|
物理訪問控制
|
檢查機(jī)房出入口等過程����,測(cè)評(píng)信息系統(tǒng)在物理訪問控制方面的安全防范能力。
|
|
3
|
防盜竊和防破壞
|
檢查機(jī)房?jī)?nèi)的主要設(shè)備����、介質(zhì)和防盜報(bào)警設(shè)施等過程,測(cè)評(píng)信息系統(tǒng)是否采取必要的措施預(yù)防設(shè)備�、介質(zhì)等丟失和被破壞。
|
|
4
|
防雷擊
|
檢查機(jī)房設(shè)計(jì)/驗(yàn)收文檔����,測(cè)評(píng)信息系統(tǒng)是否采取相應(yīng)的措施預(yù)防雷擊。
|
|
5
|
防火
|
檢查機(jī)房防火方面的安全管理制度����,檢查機(jī)房防火設(shè)備等過程,測(cè)評(píng)信息系統(tǒng)是否采取必要的措施防止火災(zāi)的發(fā)生�����。
|
|
6
|
防水和防潮
|
檢查機(jī)房及其除潮設(shè)備等過程��,測(cè)評(píng)信息系統(tǒng)是否采取必要措施來防止水災(zāi)和機(jī)房潮濕�����。
|
|
7
|
防靜電
|
檢查機(jī)房等過程,測(cè)評(píng)信息系統(tǒng)是否采取必要措施防止靜電的產(chǎn)生�。
|
|
8
|
溫濕度控制
|
檢查機(jī)房的溫濕度自動(dòng)調(diào)節(jié)系統(tǒng),測(cè)評(píng)信息系統(tǒng)是否采取必要措施對(duì)機(jī)房?jī)?nèi)的溫濕度進(jìn)行控制���。
|
|
9
|
電力供應(yīng)
|
檢查機(jī)房供電線路、設(shè)備等過程���,測(cè)評(píng)是否具備為信息系統(tǒng)提供一定電力供應(yīng)的能力���。
|
|
10
|
電磁防護(hù)
|
檢查主要設(shè)備等過程,測(cè)評(píng)信息系統(tǒng)是否具備一定的電磁防護(hù)能力�����。
|
3.2網(wǎng)絡(luò)安全
網(wǎng)絡(luò)設(shè)備�����、網(wǎng)絡(luò)安全設(shè)備以及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等三大類對(duì)象����。在內(nèi)容上,網(wǎng)絡(luò)安全層面測(cè)評(píng)過程涉及的工作單元,具體如下表:
表2 網(wǎng)絡(luò)安全測(cè)評(píng)內(nèi)容
|
序號(hào)
|
工作單元名稱
|
工作單元描述
|
|
1
|
網(wǎng)絡(luò)結(jié)構(gòu)安全
|
檢查網(wǎng)絡(luò)拓?fù)淝闆r����、核查核心交換機(jī)、路由器��,測(cè)評(píng)分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分���、隔離等情況的合理性和有效性��。
|
|
2
|
網(wǎng)絡(luò)訪問控制
|
檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備�����,測(cè)試系統(tǒng)對(duì)外暴露安全漏洞情況等�,測(cè)評(píng)分析信息系統(tǒng)對(duì)網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力�。
|
|
3
|
網(wǎng)絡(luò)安全審計(jì)
|
檢查核心交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的安全審計(jì)情況�,測(cè)評(píng)分析信息系統(tǒng)審計(jì)配置和審計(jì)記錄保護(hù)情況。
|
|
4
|
邊界完整性檢查
|
檢查邊界完整性檢查設(shè)備�����,測(cè)評(píng)分析信息系統(tǒng)違規(guī)聯(lián)到外部網(wǎng)絡(luò)的行為�。
|
|
5
|
網(wǎng)絡(luò)入侵防范
|
測(cè)評(píng)分析信息系統(tǒng)對(duì)攻擊行為的識(shí)別和處理情況���。
|
|
6
|
惡意代碼防范
|
檢查網(wǎng)絡(luò)防惡意代碼產(chǎn)品等過程,測(cè)評(píng)分析信息系統(tǒng)網(wǎng)絡(luò)邊界和核心網(wǎng)段對(duì)病毒等惡意代碼的防護(hù)情況���。
|
|
7
|
網(wǎng)絡(luò)設(shè)備防護(hù)
|
檢查交換機(jī)�、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備����,查看它們的安全配置情況,包括身份鑒別�、登錄失敗處理�、限制非法登錄和登錄連接超時(shí)等,考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況��。
|
3.3主機(jī)安全
主機(jī)系統(tǒng)安全檢查是為了了解評(píng)測(cè)目標(biāo)系統(tǒng)的主機(jī)系統(tǒng)安全保障情況���。在內(nèi)容上����,主機(jī)系統(tǒng)安全層面測(cè)評(píng)實(shí)施過程涉及的工作單元��,具體如下表:
表3 主機(jī)安全測(cè)評(píng)內(nèi)容
|
序號(hào)
|
工作單元名稱
|
工作單元描述
|
|
1
|
身份鑒別
|
檢查服務(wù)器的身份標(biāo)識(shí)與鑒別和用戶登錄的配置情況����。
|
|
2
|
訪問控制
|
檢查服務(wù)器的訪問控制設(shè)置情況���,包括安全策略覆蓋、控制粒度以及權(quán)限設(shè)置情況等����。
|
|
3
|
安全審計(jì)
|
檢查服務(wù)器的安全審計(jì)的配置情況,如覆蓋范圍���、記錄的項(xiàng)目和內(nèi)容等���;檢查安全審計(jì)進(jìn)程和記錄的保護(hù)情況。
|
|
4
|
入侵防范
|
檢查服務(wù)器在運(yùn)行過程中的入侵防范措施�����,如關(guān)閉不需要的端口和服務(wù)�����、最小化安裝����、部署入侵防范產(chǎn)品等����。
|
|
5
|
剩余信息保護(hù)
|
檢查服務(wù)器鑒別信息的存儲(chǔ)空間�,被釋放或再分配給其他用戶前得到完全清除。
|
|
6
|
惡意代碼防范
|
檢查服務(wù)器的惡意代碼防范情況��。
|
|
7
|
資源控制
|
檢查服務(wù)器對(duì)單個(gè)用戶的登錄方式��、網(wǎng)絡(luò)地址范圍����、會(huì)話數(shù)量等的限制情況。
|
3.4應(yīng)用系統(tǒng)安全
應(yīng)用安全檢查是為了了解評(píng)測(cè)“五險(xiǎn)合一”業(yè)務(wù)應(yīng)用系統(tǒng)的應(yīng)用安全保障情況�。在內(nèi)容上,應(yīng)用安全層面測(cè)評(píng)實(shí)施過程涉及的工作單元�����,具體如下表:
表4應(yīng)用系統(tǒng)安全測(cè)評(píng)內(nèi)容
|
序號(hào)
|
工作單元名稱
|
工作單元描述
|
|
1
|
身份鑒別
|
檢查應(yīng)用系統(tǒng)的身份標(biāo)識(shí)與鑒別功能設(shè)置和使用配置情況���;
|
|
檢查應(yīng)用系統(tǒng)對(duì)用戶登錄各種情況的處理,如登錄失敗處理�����、登錄連接超時(shí)等。
|
|
2
|
訪問控制
|
檢查應(yīng)用系統(tǒng)的訪問控制功能設(shè)置情況�,如訪問控制的策略、訪問控制粒度����、權(quán)限設(shè)置情況等。
|
|
3
|
安全審計(jì)
|
檢查應(yīng)用系統(tǒng)的安全審計(jì)配置情況�����,如覆蓋范圍�、記錄的項(xiàng)目和內(nèi)容等;
|
|
檢查應(yīng)用系統(tǒng)安全審計(jì)進(jìn)程和記錄的保護(hù)情況����。
|
|
4
|
剩余信息保護(hù)
|
檢查應(yīng)用系統(tǒng)的剩余信息保護(hù)情況,如將用戶鑒別信息以及文件���、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間再分配時(shí)的處理情況��。
|
|
5
|
通信完整性
|
檢查應(yīng)用系統(tǒng)客戶端和服務(wù)器端之間的通信完整性保護(hù)情況�����。
|
|
6
|
通信保密性
|
檢查應(yīng)用系統(tǒng)客戶端和服務(wù)器端之間的通信保密性保護(hù)情況����。
|
|
7
|
抗抵賴
|
檢查應(yīng)用系統(tǒng)對(duì)原發(fā)方和接收方的抗抵賴實(shí)現(xiàn)情況。
|
|
8
|
軟件容錯(cuò)
|
檢查應(yīng)用系統(tǒng)的軟件容錯(cuò)能力����,如輸入輸出格式檢查、自我狀態(tài)監(jiān)控�、自我保護(hù)、回退等能力�����。
|
|
9
|
資源控制
|
檢查應(yīng)用系統(tǒng)的資源控制情況�����,如會(huì)話限定�、用戶登錄限制、最大并發(fā)連接以及服務(wù)優(yōu)先級(jí)設(shè)置等��。
|
3.5數(shù)據(jù)安全及備份恢復(fù)
數(shù)據(jù)安全及備份恢復(fù)評(píng)估是為了了解評(píng)測(cè)系統(tǒng)的數(shù)據(jù)安全及備份恢復(fù)保障情況����。本次測(cè)評(píng)重點(diǎn)檢查系統(tǒng)的數(shù)據(jù)在采集����、傳輸�、處理和存儲(chǔ)過程中的安全及安全備份恢復(fù)情況�。在內(nèi)容上,實(shí)施過程涉及的工作單元��,具體如下表:
表5數(shù)據(jù)安全及備份恢復(fù)測(cè)評(píng)內(nèi)容
|
序號(hào)
|
工作單元名稱
|
工作單元描述
|
|
1
|
數(shù)據(jù)完整性
|
檢查操作系統(tǒng)���、數(shù)據(jù)庫(kù)管理系統(tǒng)的管理數(shù)據(jù)����、鑒別信息和用戶數(shù)據(jù)在傳輸和保存過程中的完整性保護(hù)情況�。
|
|
2
|
數(shù)據(jù)保密性
|
檢查操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)的管理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在傳輸和保存過程中的保密性保護(hù)情況�����。
|
|
3
|
安全備份和恢復(fù)
|
檢查信息系統(tǒng)的安全備份情況��,如重要信息的備份�、硬件和線路的冗余等。
|
3.6安全管理制度
安全管理制度測(cè)評(píng)是為了了解評(píng)測(cè)安全管理制度的制定�、發(fā)布、評(píng)審和修訂等情況。主要涉及安全主管人員���、安全管理人員��、各類其它人員�����、各類管理制度����、各類操作規(guī)程文件等對(duì)象��。在內(nèi)容上�����,安全管理制度測(cè)評(píng)實(shí)施過程涉及的工作單元���,具體如下表:
表6安全管理制度測(cè)評(píng)內(nèi)容
|
序號(hào)
|
工作單元名稱
|
工作單元描述
|
|
1
|
管理制度
|
檢查有關(guān)管理制度文檔和重要操作規(guī)程等過程���,測(cè)評(píng)信息系統(tǒng)管理制度在內(nèi)容覆蓋上是否全面、完善��。
|
|
2
|
制定與發(fā)布
|
檢查有關(guān)制度制定要求文檔等過程�����,測(cè)評(píng)信息系統(tǒng)管理制度的制定和發(fā)布過程是否遵循一定的流程��。
|
|
3
|
評(píng)審和修訂
|
檢查管理制度評(píng)審記錄等過程���,測(cè)評(píng)信息系統(tǒng)管理制度定期評(píng)審和修訂情況��。
|
3.7安全管理機(jī)構(gòu)
安全管理機(jī)構(gòu)測(cè)評(píng)是為了了解評(píng)測(cè)安全管理機(jī)構(gòu)的組成情況和機(jī)構(gòu)工作組織情況����。主要涉及安全主管人員�、安全管理人員、相關(guān)的文件資料和工作記錄等對(duì)象�����。在內(nèi)容上���,安全管理機(jī)構(gòu)測(cè)評(píng)實(shí)施過程涉及的工作單元����,具體如下表:
表7安全管理機(jī)構(gòu)測(cè)評(píng)內(nèi)容
|
序號(hào)
|
工作單元名稱
|
工作單元描述
|
|
1
|
崗位設(shè)置
|
檢查部門/崗位職責(zé)文件,測(cè)評(píng)信息系統(tǒng)安全主管部門設(shè)置情況以及各崗位設(shè)置和崗位職責(zé)情況�。
|
|
2
|
人員配備
|
檢查人員名單等文檔,測(cè)評(píng)信息系統(tǒng)各個(gè)崗位人員配備情況��。
|
|
3
|
授權(quán)和審批
|
檢查相關(guān)文檔�,測(cè)評(píng)信息系統(tǒng)對(duì)關(guān)鍵活動(dòng)的授權(quán)和審批情況。
|
|
4
|
溝通與合作
|
檢查相關(guān)文檔�,測(cè)評(píng)信息系統(tǒng)內(nèi)部部門間、與外部單位間的溝通與合作情況�。
|
|
5
|
審核與檢查
|
檢查記錄文檔等過程,測(cè)評(píng)信息系統(tǒng)安全工作的審核和檢查情況�����。
|
3.8人員安全管理
人員安全管理測(cè)評(píng)是為了了解評(píng)測(cè)人員安全方面的情況�。主要涉及安全主管人員、人事管理人員���、相關(guān)管理制度�、相關(guān)工作記錄等對(duì)象���。在內(nèi)容上���,人員安全管理測(cè)評(píng)實(shí)施過程涉及的工作單元���,具體如下表:
表8人員安全管理測(cè)評(píng)內(nèi)容
|
序號(hào)
|
工作單元名稱
|
工作單元描述
|
|
1
|
人員錄用
|
檢查人員錄用文檔等過程,測(cè)評(píng)信息系統(tǒng)錄用人員時(shí)是否對(duì)人員提出要求以及是否對(duì)其進(jìn)行各種審查和考核����。
|
|
2
|
人員離崗
|
檢查人員離崗安全處理記錄等過程��,測(cè)評(píng)信息系統(tǒng)人員離崗時(shí)是否按照一定的手續(xù)辦理��。
|
|
3
|
人員考核
|
檢查有關(guān)考核記錄等過程���,測(cè)評(píng)是否對(duì)人員進(jìn)行日常的業(yè)務(wù)考核和工作審查����。
|
|
4
|
安全意識(shí)教育和培訓(xùn)
|
檢查培訓(xùn)計(jì)劃和執(zhí)行記錄等文檔���,測(cè)評(píng)是否對(duì)人員進(jìn)行安全方面的教育和培訓(xùn)�。
|
|
5
|
外部人員訪問管理
|
檢查有關(guān)文檔等過程����,測(cè)評(píng)對(duì)第三方人員訪問(物理、邏輯)系統(tǒng)是否采取必要控制措施���。
|
3.9系統(tǒng)建設(shè)管理
系統(tǒng)建設(shè)管理測(cè)評(píng)是為了了解評(píng)測(cè)系統(tǒng)建設(shè)管理過程中的安全控制情況����。主要涉及安全主管人員、系統(tǒng)建設(shè)負(fù)責(zé)人����、各類管理制度、操作規(guī)程文件�����、執(zhí)行過程記錄等對(duì)象�����。在內(nèi)容上��,系統(tǒng)建設(shè)管理測(cè)評(píng)實(shí)施過程涉及的工作單元�,具體如下表:
表9系統(tǒng)建設(shè)管理測(cè)評(píng)內(nèi)容
|
序號(hào)
|
工作單元名稱
|
工作單元描述
|
|
1
|
系統(tǒng)定級(jí)
|
檢查系統(tǒng)定級(jí)相關(guān)文檔等過程,測(cè)評(píng)是否按照一定要求確定系統(tǒng)的安全等級(jí)��。
|
|
2
|
安全方案設(shè)計(jì)
|
檢查系統(tǒng)安全建設(shè)方案等文檔�����,測(cè)評(píng)系統(tǒng)整體的安全規(guī)劃設(shè)計(jì)是否按照一定流程進(jìn)行。
|
|
3
|
產(chǎn)品采購(gòu)和使用
|
測(cè)評(píng)是否按照一定的要求進(jìn)行系統(tǒng)的產(chǎn)品采購(gòu)���。
|
|
4
|
自行軟件開發(fā)
|
檢查相關(guān)軟件開發(fā)文檔等�,測(cè)評(píng)自行開發(fā)的軟件是否采取必要的措施保證開發(fā)過程的安全性��。
|
|
5
|
外包軟件開發(fā)
|
檢查相關(guān)文檔�,測(cè)評(píng)外包開發(fā)的軟件是否采取必要的措施保證開發(fā)過程的安全性和日后的維護(hù)工作能夠正常開展�。
|
|
6
|
工程實(shí)施
|
檢查相關(guān)文檔,測(cè)評(píng)系統(tǒng)建設(shè)的實(shí)施過程是否采取必要的措施使其在機(jī)構(gòu)可控的范圍內(nèi)進(jìn)行����。
|
|
7
|
測(cè)試驗(yàn)收
|
檢查測(cè)試驗(yàn)收等相關(guān)文檔,測(cè)評(píng)系統(tǒng)運(yùn)行前是否對(duì)其進(jìn)行測(cè)試驗(yàn)收工作��。
|
|
8
|
系統(tǒng)交付
|
檢查系統(tǒng)交付清單等過程��,測(cè)評(píng)是否采取必要的措施對(duì)系統(tǒng)交付過程進(jìn)行有效控制�。
|
|
9
|
安全服務(wù)商選擇
|
測(cè)評(píng)是否選擇符合國(guó)家有關(guān)規(guī)定的安全服務(wù)單位進(jìn)行相關(guān)的安全服務(wù)工作。
|
3.10系統(tǒng)運(yùn)維管理
系統(tǒng)運(yùn)維管理測(cè)評(píng)是為了了解評(píng)測(cè)系統(tǒng)運(yùn)維管理過程中的安全控制情況���。主要涉及安全主管人員����、安全管理人員、各類運(yùn)維人員���、各類管理制度�����、操作規(guī)程文件�����、執(zhí)行過程記錄等對(duì)象��。在內(nèi)容上��,系統(tǒng)運(yùn)維管理測(cè)評(píng)實(shí)施過程涉及的工作單元�����,具體如下表:
表10系統(tǒng)運(yùn)維管理測(cè)評(píng)內(nèi)容
|
序號(hào)
|
工作單元名稱
|
工作單元描述
|
|
1
|
環(huán)境管理
|
檢查機(jī)房安全管理制度���,機(jī)房和辦公環(huán)境等過程,測(cè)評(píng)是否采取必要的措施對(duì)機(jī)房的出入控制以及辦公環(huán)境的人員行為等方面進(jìn)行安全管理����。
|
|
2
|
資產(chǎn)管理
|
檢查資產(chǎn)清單�,檢查系統(tǒng)���、網(wǎng)絡(luò)設(shè)備等過程��,測(cè)評(píng)是否采取必要的措施對(duì)系統(tǒng)的資產(chǎn)進(jìn)行分類標(biāo)識(shí)管理���。
|
|
3
|
介質(zhì)管理
|
檢查介質(zhì)管理記錄和各類介質(zhì)等過程,測(cè)評(píng)是否采取必要的措施對(duì)介質(zhì)存放環(huán)境�、使用、維護(hù)和銷毀等方面進(jìn)行管理���。
|
|
4
|
設(shè)備管理
|
檢查設(shè)備使用管理文檔和設(shè)備操作規(guī)程等過程,測(cè)評(píng)是否采取必要的措施確保設(shè)備在使用�����、維護(hù)和銷毀等過程安全����。
|
|
5
|
監(jiān)控管理和安全管理中心
|
測(cè)評(píng)是否采取必要的措施對(duì)重要主機(jī)的運(yùn)行和訪問權(quán)限進(jìn)行監(jiān)控管理。
|
|
6
|
網(wǎng)絡(luò)安全管理
|
檢查系統(tǒng)安全管理制度�����、系統(tǒng)審計(jì)日志和系統(tǒng)漏洞掃描報(bào)告等過程,測(cè)評(píng)是否采取必要的措施對(duì)系統(tǒng)的安全配置�����、系統(tǒng)賬戶��、漏洞掃描和審計(jì)日志等方面進(jìn)行有效的管理�。
|
|
7
|
系統(tǒng)安全管理
|
檢查網(wǎng)絡(luò)安全管理制度、網(wǎng)絡(luò)審計(jì)日志和網(wǎng)絡(luò)漏洞掃描報(bào)告等過程���,測(cè)評(píng)是否采取必要的措施對(duì)網(wǎng)絡(luò)的安全配置��、網(wǎng)絡(luò)用戶權(quán)限和審計(jì)日志等方面進(jìn)行有效的管理��,確保網(wǎng)絡(luò)安全運(yùn)行��。
|
|
8
|
惡意代碼防范管理
|
檢查惡意代碼防范管理文檔和惡意代碼檢測(cè)記錄等過程����,測(cè)評(píng)是否采取必要的措施對(duì)惡意代碼進(jìn)行有效管理�����,確保系統(tǒng)具有惡意代碼防范能力。
|
|
9
|
密碼管理
|
測(cè)評(píng)是否能夠確保信息系統(tǒng)中密碼算法和密鑰的使用符合國(guó)家密碼管理規(guī)定��。
|
|
10
|
變更管理
|
檢查變更方案和變更管理制度等過程����,測(cè)評(píng)是否采取必要的措施對(duì)系統(tǒng)發(fā)生的變更進(jìn)行有效管理。
|
|
11
|
備份和恢復(fù)管理
|
檢查系統(tǒng)備份管理文檔和記錄等過程����,測(cè)評(píng)是否采取必要的措施對(duì)重要業(yè)務(wù)信息,系統(tǒng)數(shù)據(jù)和系統(tǒng)軟件進(jìn)行備份�,并確保必要時(shí)能夠?qū)@些數(shù)據(jù)有效地恢復(fù)。
|
|
12
|
安全事件處置
|
檢查安全事件記錄分析文檔����、安全事件報(bào)告和處置管理制度等過程,測(cè)評(píng)是否采取必要的措施對(duì)安全事件進(jìn)行等級(jí)劃分和對(duì)安全事件的報(bào)告�����、處理過程進(jìn)行有效的管理�。
|
|
13
|
應(yīng)急預(yù)案管理
|
檢查應(yīng)急響應(yīng)預(yù)案文檔等過程��,測(cè)評(píng)是否針對(duì)不同安全事件制定相應(yīng)的應(yīng)急預(yù)案��,是否對(duì)應(yīng)急預(yù)案展開培訓(xùn)、演練和審查等����。
|
4. 交付產(chǎn)品
包括但不僅限于以下資料:
|
1
|
信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告(包含整改建議)
|
|
2
|
完成等保測(cè)評(píng)備忘工作
|
微信掃一掃,碼上報(bào)價(jià)
|
