52-SGISLOP-SA92-10系统建设处理等级保护测评作业指导书(四级).doc

《52-SGISLOP-SA92-10系统建设处理等级保护测评作业指导书(四级).doc》由会员分享，可在线阅读，更多相关《52-SGISLOP-SA92-10系统建设处理等级保护测评作业指导书(四级).doc（38页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、.信息安全等级保护测评作业指导书系统建设管理（三级）版 号： 第 2 版修 改 次 数： 第 0 次生 效 日 期： 2010 年 01 月 06 日中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA92-10.修改页修订号 控制编号 版号/章节号 修改人 修订原因 批准人 批准日期 备注1 SGISL/OP-SA92-10 李焕 按公安部要求修订 詹雄 2010.3.8.一、系统定级1信息系统边界和安全保护等级测评项编号 ADT-JSGL-01-A 对应要求 应明确信息系统的边界和安全保护等级测评项名称 信息系统边界和安全保护等级测评分项 1：检查系统边界和安全保护等级。访谈管

2、理员，询问是否明确了信息系统的边界范围，是否明确系统安全保护等级。适用版本 任何版本操作步骤实施风险 无符合性判定如果信息系统边界范围明确，确定了系统安全保护等级，判定结果为符合；如果信息系统边界范围不明确，或未确定系统安全保护等级，判定结果为不符合。备注2信息系统定级方法和理由测评项编号 ADT-JSGL-01-B 对应要求应以书面的形式说明确定信息系统为某个安全保护等级的方法和理由测评项名称 信息系统定级方法和理由测评分项 1：检查系统定级情况。操作步骤 访谈管理员，询问系统定级是否参照定级指南的指导，是否对其进行.明确描述，说明确定系统为某个安全保护等级的方法和理由，是否有书面说明。适用

3、版本 任何版本实施风险 无符合性判定如果系统定级参照定级指南的指导，有书面相关的说明，说明确定系统为某个安全保护等级的方法和理由，判定结果为符合；如果系统定级未参照定级指南的指导，或无书面相关的说明，未能说明确定系统为某个安全保护等级的方法和理由，判定结果为不符合。备注3定级结果论证和审定 测评项编号 ADT-JSGL-01-C 对应要求应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定测评项名称 定级结果论证和审定测评分项 1：检查系统定级的审定情况。访谈管理员，询问系统定级是否组织相关部门和有关安全技术专家对定级结果进行论证和审定，检查论证和审定记录。适用版本

4、 任何版本操作步骤实施风险 无符合性判定如果组织相关部门和有关安全技术专家对定级结果进行论证和审定，相关的论证和审定记录，判定结果为符合；.如果未组织相关部门和有关安全技术专家对定级结果进行论证和审定，相关的论证和审定记录，判定结果为不符合。备注4定级结果经过相关部门批准测评项编号 ADT-JSGL-01-D 对应要求应确保信息系统的定级结果经过相关部门的批准测评项名称 定级结果经过相关部门批准测评分项 1：检查系统定级的审定情况。访谈管理员，询问系统定级记录是否经过相关部门（如上级主管部门）的批准。查看相关的文件。适用版本 任何版本操作步骤实施风险 无符合性判定如果系统定级结果经过相关部门的

5、批准盖章，判定结果为符合；如果系统定级结果未经过相关部门的批准盖章，判定结果为不符合。备注二、安全方案设计1选择基本安全措施及补充调整测评项编号 ADT-JSGL-02-A 对应要求 应根据系统的安全保护等级选择基本安全措施，依据风险分析的结果补充和调.整安全措施测评项名称 选择基本安全措施及补充调整测评分项 1：检查安全方案设计。访谈管理员，询问是否根据系统的安全保护等级选择基本安全措施，是否依据风险分析的结果来补充和调整安全措施。适用版本 任何版本操作步骤实施风险 无符合性判定如果根据系统的安全保护等级选择基本安全措施，依据风险分析的结果补充和调整安全措施，判定结果为符合；如果未根据系统的

6、安全保护等级选择基本安全措施，或未依据风险分析的结果补充和调整安全措施，判定结果为不符合。备注2安全建设总体规划测评项编号 ADT-JSGL-02-B 对应要求应指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划测评项名称 安全建设总体规划测评分项 1：检查安全方案设计。操作步骤访谈管理员，询问是否指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划，查看工作计划。.适用版本 任何版本实施风险 无符合性判定如果有专门的部门对信息系统的安全建设进行总体规划，有安全建设工作计划，判定结果为符合；如果无专门的部门对信息系统的安全建

7、设进行总体规划，无安全建设工作计划，判定结果为不符合。备注3细化系统安全方案测评项编号 ADT-JSGL-02-C 对应要求应根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案，并形成配套文件测评项名称 细化系统安全方案测评分项 1：检查安全方案设计。访谈管理员，询问是否根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案，并形成配套文件，查看相关的详细设计方案。适用版本 任何版本操作步骤实施风险 无符合性判定如果有总体建设规划和详细设计方案，判定结果为符合；如

8、果无总体建设规划和详细设计方案，判定结果为不符合。.备注4安全技术专家论证和审定 测评项编号 ADT-JSGL-02-D 对应要求应组织相关部门和有关安全技术专家对总体安全的策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定，并且经过批准后，才能正式实施测评项名称 安全技术专家论证和审定测评分项 1：检查安全方案设计。访谈管理员，询问安全建设方案是否经过专家的详细周全的论证和讨论，批准后才开始实施。适用版本 任何版本操作步骤实施风险 无符合性判定如果安全建设方案经过专家的详细周全的论证和讨论，判定结果为符合；如果安全建设方案未经过专家的详细

9、周全的论证和讨论，判定结果为不符合。备注5安全方案调整和修订.测评项编号 ADT-JSGL-02-E 对应要求应根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件测评项名称 安全方案调整和修订测评分项 1：检查安全方案的调整和修订。访谈管理员，询问是否根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件；询问调整和修订的周期，检查相应的调整和修订记录。适用版本 任何版本操作步骤实施风险 无符合性判定如果定期根据等级测评、安全评估的结果调整安全方案，判定结果为符合；如果未定期根据等级测评、安全评估的结果调整安全方案，判定结果为不符合。备注三、产品采购和使用1安全产品采购和使用符合国家有关规定 测评项编号 ADT-JSGL-03-A 对应要求应确保安全产品采购和使用符合国家有关规定