DB11 T 1344-2016 信息安全等级保护检查规范.pdf

《DB11 T 1344-2016 信息安全等级保护检查规范.pdf》由会员分享，可在线阅读，更多相关《DB11 T 1344-2016 信息安全等级保护检查规范.pdf（43页珍藏版）》请在麦多课文档分享上搜索。

1、ICS 13.310 A 90 DB11 北京市地方 标准 DB11/T 1344 2016 信息安全等级保护检查规范 Examination specification for information security classified protection 2016 - 08 - 10发布 2016 - 12 - 01实施 北京市质量技术监督局 发布DB11/T 1344 2016 I 目 次 前 言 . II 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 检查流程 . 1 5 一级信息系统检查 . 2 6 二级信息系统检查 . 7 7 三级信息系统检查 1

2、6 8 四级信息系统检查 27 DB11/T 1344 2016 II 前 言 本标准按照 GB/T 1.12009 给出的规则起草。 本标准由北京市公安局提出并归口。 本标准由北京市公安局组织实施。 本标准主要起草单位：北京市公安局网络安全保卫总队、公安部信息安全等级保护评估中心、信息 产业信息安全测评中心、北京中软华泰信息技术有限责任公司。 本标准主要起草人：叶漫青、朱华池、白 鸥 、 石锐 、 吴贤 、 俞诗源 、朱 晓莉 、 高媛 、 马荣欣 、 周永 战 、 游书明 、 赵悦 、 徐燕、 赵志巍 、 金镁 、 王峥 、 周堃 、 李小玲 、 王凯晨 、 梁萌萌 、 张淮 、 王 一婷

3、 、 赵 永军、 李梦娇 、陈益 、宋扬 、 张昕 、菅强 、高瑗泽 、傅珩轩 、刘晓雪 、李君 白、张远彬 、王熙 、张玮、 杨潇、 石浩 、王佳 、赵勇 、罗铮 、袁静 、于东升 、霍珊珊 、刘健 、张益 、董晶晶。 DB11/T 1344 2016 1 信息安全等级保护检查规范 1 范围 本标准规定 了对 信息安全等级保护 状况进行 检查的流程和 内容 要求，其 中 内容要 求包括对 信息安全 等级保护 第一级信息系统、 第 二级信息系统、 第三级信息系统和 第四级信息系统进行 安全检查的要求。 本标准 适用 于信息安全等级保护检查 工作 。 2 规范性引用文件 下列文件 对于 本文件的

4、 应用 是必不可少 的。 凡是注日期的引用文件 ， 仅所注日期的 版本 适用 于 本文 件。凡是不注日期 的引用文件，其 最新版 本（ 包括 所有的 修改 单）适 用于 本文件。 GB/T 5271.8 信息技术 词汇 第 8部分: 安全 GB 17859 计算机 信息系统安全保护等级 划分 准则 GB/T 22239 信息安全技术 信息系统安全等级保护基 本要 求 GB/T 25069 信息安全技术 术语 GB/T 25070 信息安全技术 信息系统等级保护安全设计技术要 求 3 术语和定义 GB/T 5271.8、GB 17859 、 GB/T 22239、GB/T 25069 和 GB/

5、T 25070界定的 以及下列术语和定义 适 用于本文件。 3.1 访谈 interview 检查人 员通过 引导 信息系统 相关 人员 进行 有目 的的 （有 针对 性的 ）交 流 以帮助检查人 员理解、 分析 或取得证据 的过 程。 3.2 查验 check 检查人 员通过 对被 检查 对象（如制度 文档、 各类设备 、安全 配置 等 ） 进行 观察 、查 阅 、核 查 以帮助 检查人 员理解 、分析或取得证据 的过 程。 3.3 测试 test 检查人员使用预定的 方法 /工具使被检查对象（各类设备或安全配置） 产生特定的结果，将运行结 果与预期 的结果 进行 比对 的过程。 4 检查流

6、程 DB11/T 1344 2016 2 4.1 前期准备 前 期 准备 包括 的内容 ： 调阅被 检查单位信息系统的 备案材料； 了解被 检查单位 情况 ； 成立检查 小组 ； 准 备必 要的检查 材料 和检查 工具； 制定检查组 工作计划 ，计划 内容 应包括 检查 对象 、检查人 员、检查 各个阶段 的工作 安排 等。 4.2 现场检查 现场检查 是通过 对被 检查单位的 沟通 访谈 、文 档 审 查、 配置 检查、 工具 测试 和实地 查验 ， 并 调阅自 查、总 结或 等级测评 报告等 资 料，对 被 检查单位信息安全保护 现状进行 检查 ， 取得 检查总 结活动 所需的 资 料 。

7、现场 检查 不应 影响 系统的 正常 运行 。 4.3 检查总结 检查总 结是 根据 现场 检查 结果和本标准的 相关 要求， 列 举并 分析被 检查单位信息系统 存在 的问题， 针 对 被检查单位信息系统安全保护 能力 出具 书面 结果材料 。 5 一级信息系统检查 5.1 物理安全要求 5.1.1 物理访问控制 5.1.1.1 检查内容 检查内容 如下 ： 应 检查 物理 访问控 制措 施。 5.1.1.2 检查方法 检查方法如下 ： 查 验 是否 有进 出机 房的人 员登记记录 。 5.1.1.3 检查结果判定 检查结果 判定 如下 ： 若 机 房出 入口 没有 进出 机房 的人 员登记

8、记录 ，则检查 结果 为不 符合 。 5.1.2 支撑设施保障 5.1.2.1 检查内容 检查内容 如下 ： a) 应检查 防水措 施； b) 应检查 防火措 施； c) 应检查 温湿 度控 制措 施； d) 应检查 稳压 设备 。 DB11/T 1344 2016 3 5.1.2.2 检查方法 检查方法如下 ： a) 查验是 否具备 防止 机房地 下积水转移 与渗透 的措 施， 是 否 对防水防潮处 理结果 和除湿装 置运行 情 况进行 记录 ； b) 查验机 房是 否配备 符合 要求 的 灭火 设备 ，灭火 设备 摆放是 否合 理， 有效 期是 否合格 ； c) 查验温湿 度自动 调节 设

9、施 是否能够正常 运行， 查验温湿度 控制是 否合 理； d) 查验机 房内 是否 有稳压 设备 。 5.1.2.3 检查结果判定 检查结果 判定 如下 ： a) 若机房 的墙壁 或楼板 的管道没有 采取必 要的 防渗透防漏等 防水 保护 措施 ， 或 防水防潮处 理结果 及 除湿装 置运 行记录缺失 ，则5.1.2.2 a ）检查 结果为 不 符合 ； b) 若机房 内没有 配备 符合要 求的灭火 设备 ，灭火 设备 摆放不 合理或 已过期 ， 则5.1.2.2 b） 检查 结果为 不符合 ； c) 若机房 内没有 配备 温湿度 自动调 节设施 ，或 当前温湿 度不 合理， 则5.1.2.2

10、 c ）检查 结果为 不 符合； d) 若机房 内没 有设置 稳压器 ，则5.1.2.2 d ）检查 结果为 不 符合 。 5.2 安全技术要求 5.2.1 网络结构安全 5.2.1.1 检查内容 检查内容 如下 ： 应 检查网络 拓扑图 。 5.2.1.2 检查方法 检查方法如下 ： 查 验 实际环境 中的 核心 交换 机 、 核 心服务器 、 边 界防火墙等 是否能够在 网络 拓扑 结 构图 中定位。 5.2.1.3 检查结果判定 检查结果 判定 如下 ： 若 网络 拓扑图 中无 法定位 核心交 换机、 核心 服务器 、边界 防火墙 等关 键设备 ，则5.2.1.2 检查 结果为 不符合

11、。 5.2.2 边界安全防护 5.2.2.1 检查内容 检查内容 如下 ： 应 检查网络 边界 入侵 检测 措施。 5.2.2.2 检查方法 检查方法如下 ： a) 查验网络 边界设备是 否采 取技术 手段 防止地 址欺骗 ； DB11/T 1344 2016 4 b) 查验网络 入侵 检测 设备是 否能检测 以下 攻击 行为 ： 端 口 扫描 、 漏 洞扫描 、 缓冲区溢 出攻击、 拒 绝 服务 攻击 等， 查看 其规则 库 是否为 最新 。 5.2.2.3 检查结果判定 检查结果 判定 如下 ： a) 若重要 地址 没有 采用 IP/MAC绑 定等 手段 防止地 址欺骗， 则 5.2.2.

12、2 a）检查 结果为 不 符合 ； b) 若没有部 署 入侵 检测 设备或 入侵 检测设备 的特 征库未 及 时更 新 ，则 5.2.2.2 b）检查 结果为 不 符合。 5.2.3 用户身份鉴别 5.2.3.1 检查内容 检查内容 如下 ： 应 检查网络 设备 、操 作系统、数 据库 管理 系统和 应用系统的 身份鉴别 措施。 5.2.3.2 检查方法 检查方法如下 ： 查 验 主要网络 设备 、服务器 操 作系统、 数据 库管 理系统和 应用系统的 身份鉴别 是 否开启 。 5.2.3.3 检查结果判定 检查结果 判定 如下 ： 若 主要网络 设备 、 服务器 操 作系统、主要 数据 库管

13、 理系统和应 用系统 无需 身份鉴别 ， 则5.2.3.2 检查结果 为不 符合 。 5.2.4 访问控制 5.2.4.1 检查内容 检查内容 如下 ： 应 检查 操作 系统、 数据 库管 理 系统的 默认账户权 限。 5.2.4.2 检查方法 检查方法如下 ： 查 验 主要 服务器 操作 系统和 重 要数 据 库管 理系统是 否已禁 用或者 限制 匿名/ 默认账户 的访问 权 限，是 否重命名 系统 默认账户名 并修改 默认账户 的默认口 令。 5.2.4.3 检查结果判定 检查结果 判定 如下 ： a) 操作系统和数 据库 管理系统 默认账户名未重命名， 默认口 令未修改 ，则 5.2.4

14、.2检查 结果为 不 符合； b) Windows操作 系统 未禁 用 Guest默认账户 、 Linux操作 系统 未禁 用默认 用户 （如 daemon、 bin、 sys、 adm等 ）， 则5.2.4.2 检查 结果为 不符合 ； c) 其他操 作系统 存在 未重命名 的 默认 系统用 户， 则5.2.4.2检查 结果 为不 符合 。 5.2.5 系统数据保护 DB11/T 1344 2016 5 5.2.5.1 检查内容 检查内容 如下 ： 应 检查 应用系统 数据备 份介质。 5.2.5.2 检查方法 检查方法如下 ： 查 验 是否 对主要网络 设备 、主要 数据 库管 理系统和主

15、要应 用系统的 重要信息 进行了 本 地 备 份 。 5.2.5.3 检查结果判定 检查结果 判定 如下 ： 若缺 乏主要网络 设备 、主要 数据 库 管理 系统和主要 应用系统的 重要信息的 备份介质 ，则 5.2.5.2检查 结果 为不 符合。 5.3 安全管理要求 5.3.1 安全管理机构 5.3.1.1 检查内容 检查内容 如下 ： 应 检查安全 岗位人 员配备情 况 。 5.3.1.2 检查方法 检查方法如下 ： 查 验 系统、网络、安全 方面 的 管理 规定 ，记录 系统 管理员 、网络 管理员 、数 据库管 理员、安 全管理员 的姓名 。 5.3.1.3 检查结果判定 检查结果

16、判定 如下 ： 若 信息安全管 理制度（ 网络、主 机、密码 、 审计 等制度） 中没有 明确角色 和职 责定义 ， 没有 信息安全 管理 岗位人 员名 单，则 5.3.1.2检查 结果 为 不符合 。 5.3.2 安全管理制度 5.3.2.1 检查内容 检查内容 如下 ： 应 检查信息安全 工作日 常安全管 理制度 。 5.3.2.2 检查方法 检查方法如下 ： 查 验 是否 制定 日常 信息安全 管 理制度 ，如机 房管 理制度等。 5.3.2.3 检查结果判定 检查结果 判定 如下 ： 若没有 制定 日常 信息安全 管理制度 ，如机 房管 理制度 等 ，则 5.3.2.2检查 结果为 不

17、 符合 。 DB11/T 1344 2016 6 5.3.3 系统人员安全 5.3.3.1 检查内容 检查内容 如下 ： 应 检查 关键 岗位人 员劳 动合 同 和人 员离岗 记录 。 5.3.3.2 检查方法 检查方法如下 ： a) 查验关 键岗 位人 员的 劳动合 同 ，记录 负责人 员录 用的部门名称 或人 员姓名 ； b) 查验离岗 人员 办理过 的调 离手续 记录 ，记录 离岗 员工被终 止的 访问 权限 内容 。 5.3.3.3 检查结果判定 检查结果 判定 如下 ： a) 若无法 提供 信息安全 相关 岗位人 员劳 动合 同， 则5.3.3.2 a ）检查 结果 为不 符合 ；

18、b) 若对离岗 人员 未及 时终 止访问权 限， 则5.3.3.2 b ） 检查结果 为不 符合 。 5.3.4 系统安全 生命周 期 5.3.4.1 检查内容 检查内容 如下 ： 应 检查系统设计 、系统实施、系统 验 收、系统 运维 等生命 周期各阶段的安全 管理制度 和 相应 记录保 存情 况。 5.3.4.2 检查方法 检查方法如下 ： a) 查验定级 报告 ，记录 定级 报告名称 和盖章批 准的部 门名称 ； b) 查验安全 设计方案 ，记录 安全设计方案 的名称 ； c) 查验安全产 品的 销售许 可证 副 本； d) 查验负 责工 程实施 过程 管理 的部 门名称 或人 员姓名

19、； e) 查验安全性 验收 测试 方案 和测试验 收报告 ，记录报告 的 名称 ； f) 查验机 房安全 管理制度 ，记录制度 文档 名称 ，核 对是 否 规定 机房物 理访问 、物 品带 入 带 出等； g) 查验与 信息系统 相关 的资 产清单 ， 记录资 产清 单名称 ， 核 对清 单是 否至 少包括 资 产名称 、 资产 位置、 资产责任部 门或 责任人等 ； h) 查验设备 管理 的部 门名称 或人员 姓名 ，记录 部门名称 或 人员 姓名 ，查 验设备 维护记录 ； i) 查验网络 管理 的部 门名称 或人员 姓名 ， 查 验网络 管理 的 日常 监控记录 ， 核 对记录是 否至

20、少 包括 监 控 时间 、监 控内容 、监 控人员 等； j) 查验系统 漏洞扫描 报告 ，记录扫描 报告 的名称 ，核 对记录 是否 至少 包括 扫描时间、 扫描 范围、 发 现 的漏 洞、 处理 措施等 ； k) 查验和 记录 员工所 用杀毒 软件的 名称 和版 本； l) 查验安全 事件 报告 和处 置管 理制度 ， 是 否规定安全 事件的 现场处 理、 事件 报告 和 后期 恢复的管 理 职 责。 5.3.4.3 检查结果判定 检查结果 判定 如下 ： DB11/T 1344 2016 7 a) 若无法 提供系统定级 报告 书，无 单位信息安全 领 导（ 小 组） 的 批准 盖章 ，

21、则5.3.4.2 a） 检查 结果为 不符合 ； b) 若无法 提供 安全 设计方案 ，则5.3.4.2 b ）检查 结果为 不 符合 ； c) 若无法 提供 安全产 品销售许 可证 副本 ，则 5.3.4.2 c） 检查 结果 为不 符合 ； d) 若无法 提供负 责工 程实施 过程管 理的部 门名称 或人 员姓名 ， 则5.3.4.2 d ） 检查 结果 为不 符合； e) 若无法 提供 安全 验收 测试 方案和测 试报告 ，则 5.3.4.2 e） 检查 结果 为不 符合 ； f) 若无法 提供 机房 安全 管理制度，对 机 房环境 、 重 要区域 的 访问 、人 员 和 物 品 的出入

22、 未 进行 规定 ， 则 5.3.4.2 f）检查 结果 为 不符合 ； g) 若无法 提供 与信息系统 相关 的 资产 清单， 清单 未包括 资 产名称 、 资产位 置、 资产责任部 门或 责 任人等 ，则 5.3.4.2 g）检查 结果 为不 符合 ； h) 若无法 提供设备 管理 的部 门名称 或人员 姓名 及设备 维护记录 ， 则5.3.4.2 h ） 检查结果 为 不符 合 ； i) 若无法 提供 网络 管理 的部 门名称 或人 员姓名 ， 网络 管理的 日常 监控记录 中未 包括监 控时间、 监 控 内容 、监 控人 员， 则5.3.4.2 i ）检查 结果 为不 符合 ； j)

23、若无法 提供 系统 漏洞扫描 报告， 记录 中未 包括 扫描时间、 扫描 范围、 发现 的漏洞 、 处理 措施等 ， 则5.3.4.2 j ）检查 结果 为 不符合 ； k) 若员工 未使 用杀毒 软件 或病毒库未 及时更 新， 则5.3.4.2 k ）检查 结果 为不 符合 ； l) 若无法 提供 安全 事件 报告 和处置 管理制度 ， 或 内容 未覆盖事 件处 理、 报告 和后 期 恢复 的管理职 责 ， 则5.3.4.2 l ）检查 结果 为 不符合 。 6 二级信息系统检查 6.1 物理安全要求 6.1.1 物理位置选择 6.1.1.1 检查内容 检查内容 如下 ： 应 检查 机房 的

24、选址 和所 在建筑物 的防 护能力 。 6.1.1.2 检查方法 检查方法如下 ： 查 验 机房 所在楼 宇的 验收 报告是 否明 确机 房所 在建筑 的 防震 、防 风和 防雨 等能力。 6.1.1.3 检查结果判定 检查结果 判定 如下 ： 若无法 提供机 房所 在建筑 物楼宇 的验收 报告 ，或未 采取防 风和防 雨等 措施， 则6.1.1.2检查结 果 为 不符合 。 6.1.2 物理访问控制 6.1.2.1 检查内容 检查内容 如下 ： 应 检查 物理 访问控 制措 施。 DB11/T 1344 2016 8 6.1.2.2 检查方法 检查方法如下 ： a) 查验机 房所 有出 入口

25、 是否 有值守 记录 以及 进出 机房 的人员 登记记录 ； b) 查验是 否有 来访 人员 进入 机房的 审批 记录 ，查 验审 批记录 是否 包括 来访 人员 的访问 范围。 6.1.2.3 检查结果判定 检查结果 判定 如下 ： a) 若机房 任何 一个 出入 口没 有值守 记录 和进 出人 员登记记录 ， 则6.1.2.2 a ） 检查 结果 为不 符合； b) 若不具 有来 访人 员进 入机 房的审 批记录 ， 或 审批 记录 中 不具备 来访 人员 的访问 范围、 所进行的 操 作 等审 批项 ，则 6.1.2.2 b）检查 结果 为不 符合 。 6.1.3 支撑设施保障 6.1.

26、3.1 检查内容 检查内容 如下 ： a) 应检查 防水措 施； b) 应检查 防火措 施； c) 应检查 温湿 度控 制措 施； d) 应检查 防静 电措 施； e) 应检查 短期备 用电 源设备 。 6.1.3.2 检查方法 检查方法如下 ： a) 查验是 否具备 防止 机房地 下积水转移 与渗透 的措 施， 是 否 对防水防潮处 理结果 和除湿装 置运行 情 况进行 记录 ； b) 查验机 房是 否设置 了自动 消防系统 ， 是 否有人 负责 维护该 系统的 运行 ； 查 验自动消 防系统是否 正常工作 ，查 看是 否有 运行 记录 、报 警记录 、定 期检查和 维修 记录 ； c) 查

27、验温湿 度自动 调节 设施 是否能够正常 运行， 查验 是否有 温湿 度记录 、运 行记录和 维 护 记录； d) 访谈物 理安全 负责人 ，询 问机房 主要 设备是 否采 取必 要的 接地防 静电 措施 ； e) 查验计算机 系统的 短期备 用电源 设备是 否正常 运行， 查 验 是否 有短 期备 用电 源设备的检查和维 护 记录 。 6.1.3.3 检查结果判定 检查结果 判定 如下 ： a) 若机房 的墙壁 或楼板 的管道没有 采取必 要的 防渗透防漏等 防水 保护 措施 ， 或 防水防潮处 理结果 及 除湿装 置运 行记录缺失 ，则6.1.3.2 a ）检查 结果为 不 符合 ； b)

28、 若机房 内没 有设置 自动 检测 火 情、 自动报 警、 自动灭火 的 自动 消防 系统， 或自动 消 防系统 无法 正常工作 ， 运行 记录 、 报警 记录 、定期 检查和 维 修记录缺失 ， 则6.1.3.2 b ） 检查结果 为 不符 合 ； c) 若机房 内没 有配备 温湿 度自动调 节设 施， 或温湿 度记录 、 运行 记录 和维 护记录缺失 ， 则6.1.3.2 c） 检查 结果 为不 符合 ； d) 若机房 内没 有设置 静电接 地，则 6.1.3.2 d）检查 结果 为 不符合 ； DB11/T 1344 2016 9 e) 若机房 内没 有设置 短期备 用电源 设备（如 U

29、PS） ， 或短 期备 用电 源设备 的检查和 维 护记录缺失 ， 则6.1.3.2 e ）检查 结果 为 不符合 。 6.2 安全技术要求 6.2.1 网络结构安全 6.2.1.1 检查内容 检查内容 如下 ： 应 检查网络 拓扑图 和重 要网 段划分情 况。 6.2.1.2 检查方法 检查方法如下 ： a) 查验实 际环境 中的 核心 交换 机 、 核 心服务器 、 边 界防火墙等 是否能够在 网络 拓扑 结 构图 中定位； b) 访谈网络 管理员 ，询 问网 段划分情 况以及划分 的原 则。 6.2.1.3 检查结果判定 检查结果 判定 如下 ： a) 若网络 拓扑图 中无 法定位 核心

30、交 换机、 核心 服务器 、边界 防火墙 等关 键设备 ，则6.2.1.2 a ） 检查结果 为不 符合 ； b) 若网络 没有 划分 子网 ，则 6.2.1.2 b） 检查 结果 为不 符合。 6.2.2 边界安全防护 6.2.2.1 检查内容 检查内容 如下 ： 应 检查网络 边界 访问控 制、网络 入侵 检测 措施。 6.2.2.2 检查方法 检查方法如下 ： a) 查验防火墙 等边 界安全 设备是否 配置 网段 级的 访问控 制 策略 ； b) 查验网络 边界设备是 否采 取技术 手段 防止地 址欺骗 ； c) 查验网络 入侵 检测 设备是 否能检测 以下 攻击 行为 ： 端 口 扫描

31、 、 漏 洞扫描 、 缓冲区溢 出攻击、 拒 绝 服务 攻击 等， 查看 其规则 库 是否为 最新； d) 查验边 界完整 性检查 设备是 否 设置 了对 非法 连接到外 网的 行为 进行 监控 并有 效阻断 的配置 。 6.2.2.3 检查结果判定 检查结果 判定 如下 ： a) 若没有 在网络 边界 部署防火墙等 访问控 制设备或访问控制 策略没 有到 网段级 ，则6.2.2.2 a ） 检查结果 为不 符合 ； b) 若重要 地址 没有 采用 IP/MAC绑 定等 手段 防止地 址欺骗， 则 6.2.2.2 b）检查 结果为 不 符合 ； c) 若没有部 署 入侵 检测 设备或 入侵 检

32、测设备 的特 征库未 及 时更 新 ，则 6.2.2.2 c）检查 结果为 不 符合； d) 若没有 相应 的手 段监 控和 阻止内 部用 户非 法连接到外 网 ，则 6.2.2.2 d）检查结果为 不符合 。 DB11/T 1344 2016 10 6.2.3 用户身份鉴别 6.2.3.1 检查内容 检查内容 如下 ： 应 检查网络 设备 、操 作系统、数 据库 管理 系统和 应用系统的 身份鉴别 措施和口 令 策略 。 6.2.3.2 检查方法 检查方法如下 ： a) 查验主要网络 设备、 服务器 操 作系统、 数 据库 管理系统和 应用系统的 身份鉴别 是 否开启 ， 口令 的复杂 度情

33、 况； b) 查验操 作系统、 应用系统 是否具备 登录失 败账户 锁定 功 能。 6.2.3.3 检查结果判定 检查结果 判定 如下 ： a) 若主要网络 设备 、 服务器 操 作系统、 数据 库管 理系统和应 用系统 无需 身份鉴别 ， 或出 现 弱口 令、 默认口 令、 空 口令 ， 设置少 于 8位 且仅 由数 字或 字母组 成 的口 令 ， 则 6.2.3.2 a） 检查 结果为 不 符合； b) 未设置 连续 登录失 败账户 锁定功 能， 则6.2.3.2 b ） 检查结果 为不 符合 。 6.2.4 访问控制 6.2.4.1 检查内容 检查内容 如下 ： 应 检查 操作 系统、

34、数据 库管 理 系统和 应用 该系统的 默认账户 和系统 账户 的权 限分配情 况。 6.2.4.2 检查方法 检查方法如下 ： a) 查验主要 服务器 操作 系统和 重 要数 据 库管 理系统是 否已禁 用或者 限制 匿名/ 默认账户 的访问 权 限，是 否重命名 系统 默认账户名 并修改 默认账户 的默认口 令； b) 通过访谈 询问 应用系统的 访问控 制策略 及粒 度；以不 同权 限的用 户登录 应用系统， 查看 其 拥 有 的权限 是否 与系统 赋予 的权 限一 致， 验证应 用系统 访问控 制功 能是 否有 效。 6.2.4.3 检查结果判定 检查结果 判定 如下 ： a) 操作系

35、统和数 据库 管理系统 默认账户名未重命名， 默认口 令未修改 ，则 6.2.4.2 a） 检查结果 为 不 符合 ； b) Windows操作 系统 未禁 用 Guest默认账户 、 Linux操作 系统 未禁 用默认 用户 （如 daemon、 bin、 sys、 adm等 ）， 则6.2.4.2 a） 检查结果 为不 符合 ； c) 其他操 作系统 存在 未重命名 的 默认 系统用 户， 则6.2.4.2 a ）检查 结果 为不 符合 ； d) 应用系统 普 通用 户登录后 具备系统 管 理等 管理员同 样的权 限，则 6.2.4.2 b） 检查结果 为 不符 合 ； e) 权限之 间未

36、形 成相 互制约 ，如未 做到管 理权 限和审 计权限的 分 离， 则 6.2.4.2 b）检查 结果 为 不符合 。 DB11/T 1344 2016 11 6.2.5 审计日志 管理 6.2.5.1 检查内容 检查内容 如下 ： 应 检查网络 设备 的日 志、 操作系统 日志 、数 据库 日志 、 应用系统 日志 的保 存情 况 。 6.2.5.2 检查方法 检查方法如下 ： a) 查验网络 设备 、操 作系统、 数 据库 和应 用系统 是否 具备了 审计日 志; b) 查验是 否通过日 志覆盖周 期、覆盖 方 式、 日志 文件 /空间大 小、日 志文件 操 作权 限等 设置， 实 现对审

37、 计记录 的保护。 6.2.5.3 检查结果判定 检查结果 判定 如下 ： a) 不具备 网络设备 、操 作 系统、数 据库和 应用系统的 审计日 志，则 6.2.5.2 a） 检查结果 为 不符 合 ； b) 未合理配置 网络 设备日 志缓冲区 大小， 则6.2.5.2 b） 检查 结果 为不 符合 ； c) 未对各 层面的 审计日 志 设定 覆盖 周期、 覆盖 方式、 读写权 限等， 则6.2.5.2 b ）检查 结果为 不 符合； d) 未对各 层面 的审 计日 志进行 备 份， 则6.2.5.2 b ）检查 结果 为不 符合 ； e) 应用系统 为用 户提 供日 志单 条删 除功 能，

38、 则6.2.5.2 b）检查 结果 为不 符合 。 6.2.6 系统数据保护 6.2.6.1 检查内容 检查内容 如下 ： a) 应检查网络 设备 、应 用系统中的口 令加 密情 况； b) 应检查 应用系统 数据备 份介质。 6.2.6.2 检查方法 检查方法如下 ： a) 查验网络 设备 的配置 文件中用户 口令 是否 加密 存储 ； b) 查验应 用系统 存储 用户 信息的数 据表 中用 户口 令字 段是否 加密 存储 ； c) 查验是 否对 主要网络 设备 、主要 数据 库管 理系统和主要应 用系统的 重要信息 进行了 本地 备 份 ， 备份介质 是否场 外存放 。 6.2.6.3 检

39、查结果判定 检查结果 判定 如下 ： a) 若网络 设备配置 文件中 存储 了明 文用 户口 令， 则6.2.6.2 a ）检查 结果 为不 符合 ； b) 若应用系统的 数据 库中 存储 了明 文用 户口 令， 则6.2.6.2 b ）检查 结果 为不 符合 ； c) 若缺乏 主要网络 设备 、主要 数 据库 管 理系统和主要 应用系统 重 要信息的 备 份， 则 6.2.6.2 c） 检查结果 为不 符合 ； d) 备份介质 若无场 外存放 ，则 6.2.6.2 c）检查 结果 为 不符合 。 DB11/T 1344 2016 12 6.3 安全管理要求 6.3.1 安全管理机构 6.3.

40、1.1 检查内容 检查内容 如下 ： 应 检查安全 岗位人 员配备情 况 和安全 制度 审批 机制 建立情 况。 6.3.1.2 检查方法 检查方法如下 ： a) 查验岗 位设置 管理制度 和工作责任 书， 检查 是否 有安全主 管、安全 管理员 、系统管 理员 、网络 管 理员 等岗 位的 工作 职责 描述； b) 查验系统、网络、安全 方 面的管 理规定 ， 记录 系统 管理员 、网络 管理员、 数 据库管 理员 、安全 管 理员 的姓名 ，核 对安全 管理员是 否专 职； c) 查验审 批流程规定和 审批 记录， 记录审 批流程规定和 审 批记录 的名称 ， 核 对审 批 记录 是否至少

41、 包括审 批时间 、申请 人、 审批内容 、审 批人 ； d) 查验外联 单位 联系 列表， 核 对 是否 至少 包括 外联 单位 名称 、 合作 内容 、 联系人和 联 系方 式等信 息； e) 查验安全检查 制度， 记录安全检查 制度 的名称 ， 查 验定期 安全检查 记录 ， 核 对记录 是否 至少 包 括检查 时间 、检查人 员、检查对 象、检查 结果 。 6.3.1.3 检查结果判定 检查结果 判定 如下 ： a) 若没有提 供岗 位设置 管理制度和 工作 责任 书， 未明 确安全主 管、安全 管理员 、系统 管理员、网 络 管 理员 等岗 位设置 和工作 职 责， 则6.3.1.2

42、 a ）检查 结果 为不 符合 ； b) 若信息安全 管理制度（ 网络、主 机 、密码 、 审计 等制度） 中没 有明 确角色 和职 责定义 ， 没 有信 息安全 管理岗 位人 员名单 ，未设置 专 职的信息安全 管理员 ，或安全 管理员存在 兼 任现 象，则 6.3.1.2 b）检查 结果 为不符合； c) 若没有 建立 对机 房及 重要 区域进 出、系统 或网络 重要 操 作（ 系统 上线变 更、 配置变 更、 加固、 安全管 理等 ）的 审批 程序 ，或无 法提 供相关 事件的 审批记录 ，则 6.3.1.2 c）检查结果 为不符 合 ； d) 若没有 建立 外联 单位 联系 列表， 或

43、内容 不完整 ，则 6.3.1.2 d） 检查 结果 为不 符合； e) 若没有 制定安全检查 工作制度和流程 ， 没 有定 期进行安全检查 活动 并保 留检查 记录， 则6.3.1.2 e） 检查 结果 为不 符合 。 6.3.2 安全管理制度 6.3.2.1 检查内容 检查内容 如下 ： 应 检查信息安全 工作 的总 体方针 和安全 策略 制定、 发布方 式和定 期评 审修 订情 况 。 6.3.2.2 检查方法 检查方法如下 ： DB11/T 1344 2016 13 a) 查验信息安全 管理 体系总 体方针 、安全 策略 方面 的相关文 档， 记录 信息安全 工作的总 体方针、 抽 查

44、的安全 策略 文档 名称 等； b) 查验安全 管理制度 发布到 相关人 员手 中的 方式 ； c) 查验安全 管理制度 的审 定和 修 订记录 ， 核对 评审记录 是 否至 少包括 评审 时间 、评 审地 点 、 参 与 评审人 员和评 审结 论， 修订 记录 是否 至少 包括 修订 时间、 修订 内容 、修 订人等信息。 6.3.2.3 检查结果判定 检查结果 判定 如下 ： a) 若没有 制定信息安全 工作 的总体 方针 和安全 策略 ，则 6.3.2.2 a）检查 结果 为 不符合 ； b) 若安全 管理制度 没有 采 用文件、 邮件或 办公网等有 效途径 发布， 则6.3.2.2 b

45、 ）检查 结果为 不 符合； c) 若没有定 期对 安全 管理制度 进行 检查 ， 组织 召开 评审 会， 或评 审记录 内容 不完整 ， 则6.3.2.2 c ） 检查结果 为不 符合 。 6.3.3 系统人员安全 6.3.3.1 检查内容 检查内容 如下 ： 应 检查 重要 岗位人 员劳 动合 同 、人 员离岗 记录 、保 密协议 、人 员培训 和考 核记录。 6.3.3.2 检查方法 检查方法如下 ： a) 查验重 要岗 位人 员的 劳动合 同 和保 密协议 ， 记录 保密 协议 名称 ， 核 对协议 内容 是 否至 少包括保 密 范围、保 密责任、 违约 责任、 协议 有效 期和责任人

46、 签字 等； b) 查验重 要岗 位 （如 安全 管 理员） 离岗 人员 办理过 的 调离手续 记录， 核对 记录是 否 至少 包括 人员 姓名、 调离岗 位、 调离时间 、 收回 权限 及物 品、 核对 人 签字 、批 准人 签字 等； c) 查验各 岗位人 员的安全技 能和安全 认知考 核记录 ， 核对 记录 是否 至少 包括 考核 时间、 考核 对象 、 考核内容 、考 核结果 等； d) 查验安全 教育 和培训 计划 ， 核对 计划是 否明 确了 培训 方 式、 培训 对象 、 培训 内容、 培训 时间和 地 点 等， 查验 培训 记录 是否 至 少包括 培训 人员 、培训 内容 、培

47、训 结果 等描 述。 6.3.3.3 检查结果判定 检查结果 判定 如下 ： a) 若无法 提供 信息安全 相关 岗位人 员的 劳动合 同或 保密 协议 ， 则6.3.3.2 a ） 检查 结果 为不 符合； b) 若重要 岗位人 员离岗 记录 中， 未 包括 人员 姓名 、 调 离岗位、 调离时间 、 收 回权 限 及物 品、 核对 人 签字 、批 准人 签字 等， 则6.3.3.2 b ）检查 结果 为 不符合 ； c) 若无法 提供针 对不 同岗位人 员 的安全技 能和安全意 识考核 记录， 则6.3.3.2 c ）检查 结果为 不 符合； d) 若无法 提供 安全 教育 和培训 计划

48、， 计划或 记录 内容 不完整 ， 则6.3.3.2 d ） 检查 结果 为不 符合。 6.3.4 系统安全 生命周 期 6.3.4.1 检查内容 检查内容 如下 ： DB11/T 1344 2016 14 应 检查系统设计 、系统 开发 、系统实施、系统测评、系统 验收、系统交 付、系统运 维等生 命 周 期各阶段 的安全 管理制度 和 相应 记录 保存 情况 。 6.3.4.2 检查方法 检查方法如下 ： a) 查验定级 报告 ，记录 定级 报告名称 和盖章批 准的部 门名称 ； b) 查验安全 设计方案 ，记录 安全设计方案 的名称 ； c) 查验安全产 品和 密码 产品 的销售许 可证

49、 副本 ； d) 查验软件 开发 管理制度 ，记录制度 文档 名称 ，核 实有 无 开发 过程的 控制方法 和人员 行为 准则； 若为外 包软件 开发 ，请 被检查机 构的 配合 人员 提供 软件的 恶意 代码 检测 记录 和报告 ； e) 查验工 程实施 方案 ， 记录 实施方案 名称 ， 核 对实施 方案是 否至 少包括 背景 、 目 的、 内容 、 进 度 安排、实施人 员和 风险 管理 等 ； f) 查验安全性 验收 测试 方案 和测试验 收报告 ，记录报告 的 名称 ；查 验测 试验 收报告的 审定 记录， 记录报告 签字 人姓名 等； g) 查验系统 交付 清单， 记录系统交 付清 单的 名称 ， 核 对是否 包括 交接 的设备 名称 及 数量、软件 名 称 及 数量 、文 档名称 及数 量等； h) 查验机 房安全 管理制度 ，记录制度 文档 名称 ，核 对是 否 规定 机房物 理访问 、物 品带 入 带 出等； i) 查验资 产安全 管理制度， 记录制度 文档 名称、规定的 资 产管 理责任人 或责任部 门， 核对 是否 至 少 包括 资产 管理 和使 用的 行为； j) 查验介质 安全 管理制度 ， 记录制度 文档 名称 ， 查 阅对 介质 的存放环境 、 使 用、 维 护和 销毁的规 范 化 规定