指标类

测评指标

测评标准

安全物理环境

物理位置选择

通过访谈物理安全负责人，检查机房，测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。

物理访问控制

通过访谈物理安全负责人，检查机房出入口等过程，测评信息系统在物理访问控制方面的安全防范能力。

防盗窃和防破坏

通过访谈物理安全负责人，检查机房内的主要设备、介质和防盗报警设施等过程，测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。

防雷击

通过访谈物理安全负责人，检查机房设计/验收文档，测评信息系统是否采取相应的措施预防雷击。

防火

通过访谈物理安全负责人，检查机房防火方面的安全管理制度，检查机房防火设备等过程，测评信息系统是否采取必要的措施防止火灾的发生。

防水和防潮

通过访谈物理安全负责人，检查机房及其除潮设备等过程，测评信息系统是否采取必要措施来防止水灾和机房潮湿。

防静电

通过访谈物理安全负责人，检查机房等过程，测评信息系统是否采取必要措施防止静电的产生。

温湿度控制

通过访谈物理安全负责人，检查机房的温湿度自动调节系统，测评信息系统是否采取必要措施对机房内的温湿度进行控制。

电力供应

通过访谈物理安全负责人，检查机房供电线路、设备等过程，测评是否具备为信息系统提供一定电力供应的能力。

电磁防护

通过访谈物理安全负责人，检查主要设备等过程，测评信息系统是否具备一定的电磁防护能力。

安全通信网络

网络架构

测评分析网络架构与网段划分、隔离等情况的合理性和有效性。

通信传输

测评通信过程中的完整性、保密性等。

可信验证

基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等 进行可信验证，并在应用程序的关键执行环节进行动态可信验证。

安全区域边界

边界防护

测评分析信息系统网络边界安全防护的状况。

访问控制

测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力。

入侵防范

测评分析信息系统对攻击行为的识别和处理情况。

恶意代码和垃圾邮件防范

测评分析信息系统网络边界和核心网段对病毒等恶意代码及垃圾邮件的防护情况。

安全审计

测评分析信息系统审计配置和审计记录保护情况。

可信验证

基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等 进行可信验证，并在应用程序的关键执行环节进行动态可信验证。

安全计算环境

身份鉴别

检查服务器的身份标识与鉴别和用户登录的配置情况。

访问控制

检查服务器的访问控制设置情况，包括安全策略覆盖、控制粒度以及权限设置情况等。

安全审计

检查服务器的安全审计的配置情况，如覆盖范围、记录的项目和内容等；检查安全审计进程和记录的保护情况。

入侵防范

检查服务器在运行过程中的入侵防范措施，如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。

恶意代码防范

检查服务器的恶意代码防范情况，如服务器是否安装统一管理的恶意代码防范软件，是否及时升级病毒库等。

可信验证

基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证。

数据完整性

测评操作系统、数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的完整性保护情况。

数据保密性

测评操作系统和数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的保密性保护情况。

数据备份恢复

测评信息系统的安全备份情况，如重要信息的备份、硬件和线路的冗余等。

剩余信息保护

测评鉴别信息所在的存储空间被释放或重新分配前是否得到完全清除。

个人信息保护

测评是否仅采集和保存业务必需的用户个人信息；是否禁止未授权访问和使用用户个人信息。

安全管理中心

系统管理

测评信息系统的系统管理员对系统的管理情况。

审计管理

测评信息系统的安全审计员对系统的审计情况。

安全管理

测评信息系统的安全管理员对系统的安全策略的配置情况。

集中管控

测评网络链路、安全设备、网络设备和服务器等设备的运行状况的集中监测、分析、报警等。

安全管理制度

安全策略

测评信息安全工作的总体方针、安全策略，总体目标、范围、原则和安全框架等。

管理制度

测评信息系统管理制度内容覆盖上是否全面、完善。

制定和发布

测评信息系统管理制度的制定和发布过程是否遵循一定的流程。

评审和修订

测评信息系统管理制度定期评审和修订情况。

安全管理机构

岗位设置

测评信息系统安全主管部门设置情况以及各岗位设置和岗位职责情况。

人员配备

测评信息系统各个岗位人员配备情况。

授权和审批

测评信息系统对关键活动的授权和审批情况。

沟通与合作

测评信息系统内部部门间、与外部单位间的沟通与合作情况。

审核和检查

检查信息系统安全工作的审核和测评情况。

安全管理人员

人员录用

测评信息系统录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。

人员离岗

测评信息系统人员离岗时是否按照一定的手续办理。

安全意识教育和培训

测评是否对人员进行安全方面的教育和培训。

外部人员访问管理

测评对第三方人员访问（物理、逻辑）系统是否采取必要控制措施。

安全建设管理

定级和备案

测评是否按照一定要求确定系统的安全等级并完成备案工作。

安全方案设计

测评系统整体的安全规划设计是否按照一定流程进行。

产品采购和使用

测评是否按照一定的要求进行系统的产品采购。

自行软件开发

测评自行开发的软件是否采取必要的措施保证开发过程的安全性。

外包软件开发

测评外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。

工程实施

测评系统建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。

测试验收

测评系统运行前是否对其进行测试验收工作。

系统交付

测评是否采取必要的措施对系统交付过程进行有效控制。

等级测评

测评是否依据国家要求完成等级测评和整改工作。

服务供应商选择

测评是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。

安全运维管理

环境管理

测评是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。

资产管理

测评是否采取必要的措施对系统的资产进行分类标识管理。

介质管理

测评是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。

设备维护管理

测评是否采取必要的措施确保设备在使用、维护和销毁等过程安全。

漏洞和风险管理

测评是否采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补。测评是否定期开展安全测评。

网络和系统安全管理

测评是否采取必要的措施对网络和系统的安全配置、系统账户、漏洞扫描和审计日志等方面进行有效的管理。

恶意代码防范管理

测评是否采取必要的措施对恶意代码进行有效管理，确保系统具有恶意代码防范能力。

配置管理

测评是否记录和保存系统的基本配置信息

密码管理

测评是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。

变更管理

测评是否采取必要的措施对系统发生的变更进行有效管理。

备份与恢复管理

测评是否采取必要的措施对重要业务信息，系统数据和系统软件进行备份，并确保必要时能够对这些数据有效地恢复。

安全事件处置

测评是否采取必要的措施对安全事件进行等级划分和对安全事件的报告、处理过程进行有效的管理。

应急预案管理

测评是否针对不同安全事件制定相应的应急预案，是否对应急预案展开培训、演练和审查等。

外包运维管理

测评外包运维服务商的选择是否符合国家的有关规定并签订相关协议。