三级标准评价解析.doc

等级保护三级信息系统 等级保护实施现状评价标准 2008年12月 目 录 0.概述 1 0.1引言 1 0.2规范引用 1 0.3适用范围 1 0.4评分规则 1 0.5填写说明 1 1.技术要求 1 1.1.物理安全 1 1.2.网络安全 8 1.3.主机安全 13 1.4.应用安全 20 1.5.数据安全及备份恢复 25 2.管理要求 28 2.1.安全管理制度 28 2.2.安全管理机构 30 2.3.人员安全管理 34 2.4.系统建设管理 37 2.5.系统运维管理 44 0.概述 0.1适用范围 本标准适用于对定为等级保护三级的信息系统的等级保护实施现状的调研和评价。 0.2规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。 类 控制项 《基本要求》内容 问题数量 选择项数量 权值（分数） 0 71 245 100 1 技术要求 34 118 50 　 1.1 　 物理安全 10 35 6 1.1.1 物理位置的选择 1 4 0.4 1.1.2 物理访问控制 1 4 1 1.1.3 防盗窃和防破坏 1 7 0.7 1.1.4 防雷击 1 2 0.2 1.1.5 防火 1 4 1 1.1.6 防水和防潮 1 3 0.3 1.1.7 防静电 1 3 0.3 1.1.8 温湿度控制 1 2 1 1.1.9 电力供应 1 3 0.8 1.1.10 电磁防护 1 3 0.3 　 1.2 　 网络安全 7 22 10 1.2.1 结构安全 1 5 2.5 1.2.2 访问控制 1 4 2 1.2.3 安全审计 1 2 1.5 1.2.4 边界完整性检查 1 1 1 1.2.5 入侵防范 1 2 1 1.2.6 恶意代码防范 1 2 1 1.2.7 网络设备防护 1 6 1 　 1.3 　 主机安全 7 31 14 1.3.1 身份鉴别 1 6 2.1 1.3.2 访问控制 1 5 2.5 1.3.3 安全审计 1 4 3.2 1.3.4 剩余信息保护 1 4 1 1.3.5 入侵防范 1 4 1.2 1.3.6 恶意代码防范 1 3 2 1.3.7 资源控制 1 5 2 　 1.4 　 应用安全 9 22 14 1.4.1 身份鉴别 1 3 3 1.4.2 访问控制 1 4 2 1.4.3 安全审计 1 3 2 1.4.4 剩余信息保护 1 2 1 1.4.5 通信完整性 1 1 1 1.4.6 通信必威体育官网网址性 1 2 2 1.4.7 抗抵赖 1 1 1 1.4.8 软件容错 1 2 1 1.4.9 资源控制 1 4 1 　 1.5 　 数据安全及备份恢复 1 8 6 1.5.1 备份和恢复 1 8 6 2 管理要求 37 127 50 　 2.1 　 安全管理制度 3 9 7 2.1.1 管理制度 1 3 3 2.1.2 制定和发布 1 4 2 2.1.3 评审和修订 1 2 2 　 2.2 　 安全管理机构 5 18 7 2.2.1 岗位设置 1 5 1 2.2.2 人员配备 1 3 1 2.2.3 授权和审批 1 3 2 2.2.4 沟通和合作 1 4 1 2.2.5 审核和检查 1 3 2 　 2.3 　 人员安全管理 5 15 7 2.3.1 人员录用 1 4 1 2.3.2 人员离岗 1 3 1 2.3.3 人员考核 1 2 2 2.3.4 安全意识教育和培训 1 4 2 2.3.5 外部人员访问管理 1 2 1 　 2.4 　 系统建设管理 11 36 13 2.4.1 系统定级 1 3 2 2.4.2 安全方案设计 1 4 2 2.4.3 产品采购和使用 1 4 1 2.4.4 自行软件开发 1 4 0.5 2.4.5 外包软件开发 1 2 1 2.4.6 工程实施 1 3 1 2.4.7 测试验收 1 4 1 2.4.8 系统交付 1 5 1 2.4.9 系统备案 1 2 0.5 2.4.10 等级测评 1 3 1.5 2.4.11 安全服务商选择 1 2 1.5 　 2.5 　 系统运维管理 13 49 16 2.5.1 环境管理 1 3 1 2.5.2 资产管理 1 2 2 2.5.3 介质管理 1 4 1