DB11北京市質量技術監督局發布 楊瀟、石浩、王佳、趙勇、羅錚、袁靜、于東升、霍珊珊、劉健、張益信息安全等級保護檢查規范檢查人員使用預定的方法/工具使被檢查對象（各類設備或安全配置）產生特定的結果，將運行結——制定檢查組工作計劃，計劃內容應包括檢查對象、檢查針對被檢查單位信息系統安全保護能力出具書面結若機房出入口沒有進出機房的人員登記記錄，則檢查結果b)查驗機房是否配備符合要求的滅火設備，滅火設備擺放是否合理，有效期是b)若機房內沒有配備符合要求的滅火設備，滅火設備擺放不合理或已c)若機房內沒有配備溫濕度自動調節設施，或當前溫若網絡拓撲圖中無法定位核心交換機、核心服務器、邊界防火墻等關鍵b)若沒有部署入侵檢測設備或入侵檢測設備的特征庫未及時更新，則查驗主要網絡設備、服務器操作系統、數據庫管理系統和應用系統的身份鑒別查驗主要服務器操作系統和重要數據庫管理系統是否已禁用或者限制匿名/默認賬戶的訪a)操作系統和數據庫管理系統默認賬戶名未重命名，默認口令），若缺乏主要網絡設備、主要數據庫管理系統和主要應用系統的重要信息的備份介質，則查驗系統、網絡、安全方面的管理規定，記錄系統管理員、網絡管理員、數據庫管理員、安若信息安全管理制度（網絡、主機、密碼、審計等制度）中沒有明確角色和職責定義，沒有若沒有制定日常信息安全管理制度，如機房管a)查驗關鍵崗位人員的勞動合同，記錄負責人員錄用的b)查驗離崗人員辦理過的調離手續記錄，記錄離崗員工被終止的訪問應檢查系統設計、系統實施、系統驗收、系統運維等生命周期各階段的安全管理制度和相應a)查驗定級報告，記錄定級報告名稱和蓋b)查驗安全設計方案，記錄安全設計h)查驗設備管理的部門名稱或人員姓名，記錄部門名稱或人員姓名，查驗設a)若無法提供系統定級報告書，無單位信息安全領導（小組h)若無法提供設備管理的部門名稱或人員姓名及設備維護記錄，則查驗機房所在樓宇的驗收報告是否明確機房所在建筑的防震、防風和若無法提供機房所在建筑物樓宇的驗收報告，或未采取防風和防雨等措a)查驗機房所有出入口是否有值守記錄以及進出機b)查驗是否有來訪人員進入機房的審批記錄，正常工作，查看是否有運行記錄、報警記錄、定期d)訪談物理安全負責人，詢問機房主要設備是正常工作，運行記錄、報警記錄、定期檢查和維修記錄缺失，則6a)查驗防火墻等邊界安全設備是否配置網b)查驗網絡邊界設備是否采取技術手段防d)查驗邊界完整性檢查設備是否設置了對非法連接到外網的行為進c)若沒有部署入侵檢測設備或入侵檢測設備的特征庫b)查驗操作系統、應用系統是否具備登錄失敗賬戶a)查驗主要服務器操作系統和重要數據庫管理系統是否已禁用或a)操作系統和數據庫管理系統默認賬戶名未重），a)查驗網絡設備、操作系統、數據庫和應用系統是否具備了審計日志;a)不具備網絡設備、操作系統、數據庫和應a)查驗網絡設備的配置文件中用戶口令是否加密存儲；b)查驗應用系統存儲用戶信息的數據表中用戶口令字段是否加密存儲；息安全管理崗位人員名單，未設置專職的信息安全管理員，或安全管理員存在兼任現象，則應檢查信息安全工作的總體方針和安全策略制定、發布方式和定期評審修評審人員和評審結論，修訂記錄是否至少包b)若安全管理制度沒有采用文件、郵件或辦公網等密范圍、保密責任、違約責任、協議有效期和責姓名、調離崗位、調離時間、收回權限及物品、核對人簽字、批準人地點等，查驗培訓記錄是否至少包括培訓人員、培訓內容、培訓結果應檢查系統設計、系統開發、系統實施、系統測評、系統驗收、系統交付、系統運維等生命若為外包軟件開發，請被檢查機構的配合人員提供軟件的惡意代碼檢測記錄和用的管理規定；查驗信息處理設備帶離機房或辦公地點的統漏洞掃描報告，掃描時間間隔與掃描周期是否一致；查驗系統安全管理制度，內容是否覆變更申報、審批程序，是否規定需要申報的變更類型、申報流程、審批部門、批準人等方面a)若無法提供系統定級報告書，無單位信o)若無法提供變更管理制度，或內容未覆蓋系統上線變更、配置變更和其他重要變更等，則a)若無法提供業務中斷影響分析報告，內容未包括業務中斷的可能性和造成的影響分析，則c)若無法提供備份與恢復管理相關的安全管理制度，未明確系統和數據備份頻率和方式，則a)查驗機房所在樓宇的驗收報告是否明確a)若無法提供機房所在建筑物樓宇的驗收b)查驗是否有來訪人員進入機房的審批記錄，查驗審批記錄是否包d)查驗電子門禁系統是否能正常工作；是否正常工作，是否有運行記錄、報警記錄、定期檢b)若機房內沒有設置對水敏感的檢測儀表或元件對），絕服務攻擊等，查看其規則庫是否為最新，并對發現的入侵e)查驗邊界完整性檢查設備是否設置了對非法連接到外網和非法連接到內網的行為進行監控并應檢查網絡設備、操作系統、數據庫管理系統和應用系統的身份鑒別措施、口令策略和強化默認口令、空口令，設置少于8位且僅由數字或字母組成的口令，則7.2.3.2a）檢查結果為a)查驗主要服務器操作系統和重要數據庫管理系統是否已禁用或a)操作系統和數據庫管理系統默認賬戶名未重），），權書名稱；通過訪談了解是否成立信息安全管理工作的職能部門，并檢查安全主管的職責范錄和報告，核對記錄是否至少包括檢查時間、檢查人員、檢查對象、檢查結果，核對報告是安全工作的總體方針、抽查的安全策略文檔名稱、抽查的管理制度名稱、抽查的操作規程名評審人員和評審結論，修訂記錄是否至少包），應檢查重要崗位人員勞動合同、保密協議、人員培訓、考核記錄、人員離崗管理制度和離崗姓名、調離崗位、調離時間、收回權限及物品、承諾的保密義務、核對人簽字、批準人簽字記錄是否至少包括考核時間、考核對象、考核內容、考核和培訓記錄，核對培訓記錄是否至少包括培訓人員、培訓內容、培訓結應檢查系統設計、系統開發、系統實施、系統測評、系統驗收、系統交付、系統運維等生命等級保護備案表》、系統拓撲結構及說明、系統安全組織機構和管理制度、系統安全保護設施設計實施方案或者改建實施方案、系統使用的信息安全產品清單及其認證、銷售許可證明副本、信息系統安全保護等級專家評審意見、主管部門審核批準信息系統安全保護等級的意有無代碼編寫安全規范；若為外包軟件開發，查驗軟件的惡意代碼檢測記錄和稱及數量、文檔名稱及數量等；查驗系統交付后的培訓記錄，核對培訓記錄是否至少包括培測評機構是否是《全國等級保護測評機構推薦目錄》查驗工作人員離開情況下終端計算機的狀態是否為鎖定狀態，桌面是否沒有包含敏感信息的少包括資產管理和使用的行為；核對是否對數據信息的分類與標識方法作出規定，查閱信息用的管理規定；查驗信息處理設備帶離機房或辦公地點的審批記錄；查驗配套設施、軟硬件計等安全相關事項的集中監控和管理；查驗監測與報警記錄與分存時間、口令更新周期等方面內容；通過訪談了解是否定期對網絡設備進行漏洞掃描，記錄嚴重級別和結果處理等方面，掃描時間間隔與掃描周期是統漏洞掃描報告，確認掃描時間間隔與掃描周期是否一致；查驗系統安全管理制度，內容是否覆蓋系統安全策略、安全配置、日志管理和日常操作流程等方面；通過訪談詢問是否指定專門的部門或人員負責系統管理，詢問是否對系統管理員用戶進行分類，明確各個角色的權的升級情況，對截獲的危險病毒或惡意代碼是否及時進行分析處理，查驗書面的報表和總結匯報；查驗惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告，查驗升級記錄是否記錄升級時間、升級版本等內容，查驗分析報告是否描述惡意代碼的特征、修補措施變更申報、審批程序，是否規定需要申報的變更類型、申報流程、審批部門、批準人等方面b)若無法提供符合公安機關要求的定級備案材料，資料不完整，未獲得公安機關備案證明，則開發，無法提供軟件的惡意代碼掃描記錄和檢測收應至少包含應用安全，網絡環境驗收應至少包含網絡安全等），或無測試報告結果的評審和分類方法、信息存儲和保存發放等；無法提供資產借出/收回記等安全相關事項的集中監控和管理；未配置報警策略，未根據監控和報警情況進行匯報和處流程等方面；無法提供定期對服務器進行漏洞掃描的報告，未指定專人負責系統的運維，則病毒庫不是最新；或對惡意代碼事件未及時變更流程，沒有變更審批、過程記錄和通報記據備份頻率和方式，或數據備份頻率和方式不能夠滿足RTO和RPO目標值；未定期進行數據恢應急處理流程、系統恢復流程、事后教育和培訓等內容；或未定期開展應急預案培訓和演練a)查驗機房所在樓宇的驗收報告是否明確a)若無法提供機房所在建筑物樓宇的驗收是否正常工作，是否有運行記錄、報警記錄、定期檢過機房滅火設備的使用培訓，是否能夠正確使用滅火設備和自動消防系統；是否能夠做到隨動消防系統的設計或驗收文檔，文檔是否與現有消防配置狀況一致；查驗是否有機房及相關或并行的電力電纜線路以及備用供電系統等要求；查驗與機房電力供應實際情m)若機房內沒有設置短期備用電源設備（如UPS）或備用供電系統，電力換時不能夠對計算機系統正常供電，或備用供電系統不能夠在規定時間內正常啟動和正常供），絕服務攻擊等，查看其規則庫是否為最新，并對發現的入侵e)查驗邊界完整性檢查設備是否設置了對非法連接到外網和非法連接到內網的行為進行監控并應檢查網絡設備、操作系統、數據庫管理系統和應用系統的身份鑒別措施、口令策略和強化默認口令、空口令，設置少于8位且僅由數字或字母組成的口令，則8.2.3.2a）檢查結果為a)查驗主要服務器操作系統和重要數據庫管理系統是否已禁用或數據庫表、記錄和字段級；以不同權限的用戶登錄應用系統，查看其擁有的權限是否與系統a)操作系統和數據庫管理系統默認賬戶名未重），現了對審計記錄的保護，日志信息是否至少保），權書名稱；通過訪談了解是否成立信息安全管理工作的職能部門，并檢查安全主管的職責范和安全檢查報告，核對記錄是否至少包括檢查時間、檢查人員、檢查對象、檢查結果，核對安全工作的總體方針、抽查的安全策略文檔名稱、抽查的管理制度名稱、抽查的操作規程名本號；若制定了帶有密級的安全管理制度，詢問并記錄安全管理制評審人員和評審結論，修訂記錄是否至少包括修訂時間、修訂內容、修訂人等信息；查驗不），應檢查重要崗位人員勞動合同、保密協議、人員培訓、考核記錄、人員離崗管理制度、離崗姓名、調離崗位、調離時間、收回權限及物品、承諾的保密義務、核對人簽字、批準人簽字記錄是否至少包括考核時間、考核對象、考核內容、考核結果等；檢查保密制度，記錄保密和培訓記錄，核對培訓記錄是否至少包括培訓人員、培訓內容、培訓結應檢查系統設計、系統開發、系統實施、系統測評、系統驗收、系統交付、系統運維等生命安全等級保護備案表》、系統拓撲結構及說明、系統安全組織機構和管理制度、系統安全保護設施設計實施方案或者改建實施方案、系統使用的信息安全產品清單及其認證、銷售許可證明副本、信息系統安全保護等級專家評審意見、主管部門審核批準信息系統安全保護等級的意見；查驗重要部位的產品是否委托專業測評單位進行專項測試，抽查測試有無代碼編寫安全規范；查驗開發人員是否為專職，記錄開發活動受到控制、監視和審查的措施；若為外包軟件開發，請被檢查機構的配合人員提供軟件的惡意代碼檢測記錄稱及數量、文檔名稱及數量等；查驗系統交付后的培訓記錄，核對培訓記錄是否至少包括培測評機構資質是否是《全國等級保護測評機構推薦目錄》查驗工作人員離開情況下終端計算機的狀態是否為鎖定狀態，桌面是否沒有包含敏感信息的少包括資產管理和使用的行為；核對是否對數據信息的分類與標識方法作出規定，查閱信息用的管理規定；查驗信息處理設備帶離機房或辦公地點的審批記錄；查驗配套設施、軟硬件計等安全相關事項的集中監控和管理；查驗監測與報警記錄與分存時間、口令更新周期等方面內容；通過訪談了解是否定期對網絡設備進行漏洞掃描，記錄嚴重級別和結果處理等方面，掃描時間間隔與掃描周期是否一致；查驗是否明確禁止便攜式統漏洞掃描報告，掃描時間間隔與掃描周期是否一致；查驗系統安全管理制度，內容是否覆蓋系統安全策略、安全配置、日志管理和日常操作流程等方面；通過訪談詢問是否指定專門的部門或人員負責系統管理，詢問是否對系統管理員用戶進行分類，明確各個角色的權限、的升級情況，對截獲的危險病毒或惡意代碼是否及時進行分析處理，查驗書面的報表和總結匯報；查驗惡意代碼檢測