信息系统安全等级保护测评准则.doc

信息系统安全等级保护测评准则

目   录

1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 总则 2
4.1 测评原则 2
4.2 测评内容 2
4.2.1   基本内容 2
4.2.2   工作单元 3
4.2.3   测评强度 4
4.3 结果重用 4
4.4 使用方法 4
5 第一级安全控制测评 5
5.1 安全技术测评 5
5.1.1   物理安全 5
5.1.2   网络安全 7
5.1.3 主机系统安全 9
5.1.4 应用安全 11
5.1.5 数据安全 13
5.2 安全管理测评 15
5.2.1 安全管理机构 15
5.2.2 安全管理制度 17
5.2.3 人员安全管理 17
5.2.4 系统建设管理 19
5.2.5 系统运维管理 23
6 第二级安全控制测评 27
6.1 安全技术测评 27
6.1.1 物理安全 27
6.1.2 网络安全 33
6.1.3 主机系统安全 37
6.1.4 应用安全 42
6.1.5 数据安全 47
6.2 安全管理测评 50
6.2.1 安全管理机构 50
6.2.2 安全管理制度 52
6.2.3 人员安全管理 54
6.2.4 系统建设管理 56
6.2.5 系统运维管理 61
7 第三级安全控制测评 69
7.1 安全技术测评 69
7.1.1 物理安全 69
7.1.2 网络安全 76
7.1.3 主机系统安全 82
7.1.4 应用安全 90
7.1.5 数据安全 97
7.2 安全管理测评 99
7.2.1 安全管理机构 99
7.2.2 安全管理制度 104
7.2.3 人员安全管理 106
7.2.4 系统建设管理 109
7.2.5 系统运维管理 115
8 第四级安全控制测评 126
8.1 安全技术测评 126
8.1.1 物理安全 126
8.1.2 网络安全 134
8.1.3 主机系统安全 140
8.1.4 应用安全 149
8.1.5 数据安全 157
8.2 安全管理测评 160
8.2.1 安全管理机构 160
8.2.2 安全管理制度 164
8.2.3 人员安全管理 166
8.2.4 系统建设管理 169
8.2.5 系统运维管理 176
9 第五级安全控制测评 188
10 系统整体测评 188
10.1 安全控制间安全测评 188
10.2 层面间安全测评 189
10.3 区域间安全测评 189
10.4 系统结构安全测评 190
附录A（资料性附录）测评强度 191
A.1测评方式的测评强度描述 191
A.2信息系统测评强度 191
附录B（资料性附录）关于系统整体测评的进一步说明 197
B.1区域和层面 197
B.1.1区域 197
B.1.2层面 198
B.2信息系统测评的组成说明 200
B.3系统整体测评举例说明 201
B.3.1被测系统和环境概述 201
B.3.1安全控制间安全测评举例 202
B.3.2层面间安全测评举例 202
B.3.3区域间安全测评举例 203
B.3.4系统结构安全测评举例 203