控制点 | 测评项 | 测评方式 | 测评对象 | 测评实施 | 预测结果 |
数据完整性 | a) 应能够检测到系统管理数据、鉴别信息和用户数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施; b) 应能够检测到系统管理数据、鉴别信息和用户数据在存储过程中完整性受到破,并在检测到完整性错误时采取必要的恢复措施; c) 应能够检测到重要系统的完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施。 | 访谈,检查。 | 安全员,主要应用系统,设计/验收文档,相关证明性材料(如证书、检验报告等) | a) 可访谈安全员,询问业务系统数据在存储、传输过程中是否有完整性保证措施,具体措施有哪些;在检测到完整性错误时是否能恢复,恢复措施有哪些; b) 应检查操作系统、网络设备、数据库管理系统的设计/验收文档或相关证明性材料(如证书、检验报告等)等,查看其是否有能检测/验证到系统管理数据(如 WINDOWS域管理、目录管理数据)、鉴别信息(如用户名和口令)和用户数据(如用户数据 文件)在传输过程中完整性受到破坏,能检测到系统管理数据、身份鉴别信息和用户数据(如防火墙的访问控制规则)在存储过程中完整性受到破坏,能检测到重要系统完整性受到破坏,在检测到完整性错误时采取必要的恢复措施的描述;如果有相关信息,查看其配置是否正确; c) 应检查主要应用系统,查看其是否配备检测/验证系统管理数据、鉴别信息和用户数据在传输过程中完整性受到破坏的功能;是否配备检测/验证系统管理数据、身份鉴别信息和用户数据在存储过程中完整性受到破坏的功能;是否配备检测/验证重要系统/模块完整性受到破坏的功能;在检测/验证到完整性错误时能采取必要的恢复措施; d) 应检查主要应用系统,查看其是否配备检测系统完整性受到破坏的功能;并在检测到完整性错误时采取必要的恢复措施。 | a) 如果测评实施b)缺少相关材料,则该项为否定; b) 测评实施 b)-d)均为肯定,则信息系统符合本单元测评项要求。 |
数据保密性 | a) 网络设备、操作系统、数据库管理系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据应采用加密或其他有效措施实现传输保密性; b) 网络设备、操作系统、数据库管理系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据应采用加密或其他保护措施实现存储保密性; c) 当使用便携式和移动式设备时,应加密或者采用可移动磁盘存储敏感信息; d) 用于特定业务通信的通信信道应符合相关的国家规定。 | 访谈,检查,测试。 | 系统管理员、网络管理员、安全员、数据库管理员,主要应用系统,设计/验收文档,相关证明性材料(如证书等)。 | a) 可访谈网络管理员,询问信息系统中的网络设备的鉴别信息、敏感的系统管理数据和敏感的用户数据是否采用加密或其他有效措施实现传输保密性;是否采用加密或其他保护措施实现存储保密性; b) 可访谈系统管理员,询问信息系统中的操作系统的鉴别信息、敏感的系统管理数据和敏感的用户数据是否采用加密或其他有效措施实现传输保密性;是否采用加密或其他保护措施实现存储保密性; c) 可访谈数据库管理员,询问信息系统中的数据库管理系统的鉴别信息、敏感的系统管理数据和敏感的用户数据是否采用加密或其他有效措施实现传输保密性;是否采用加密或其他保护措施实现存储保密性; d) 可访谈安全员,询问信息系统中的应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据是否采用加密或其他有效措施实现传输保密性;是否采用加密或其他保护措施实现存储保密性; e) 可访谈安全员,询问当使用便携式和移动式设备时,是否加密或者采用可移动磁盘存储敏感信息; f) 应检查操作系统、网络设备、数据库管理系统、关键应用系统的设计/验收文档,查看其是否有关于鉴别信息、敏感的系统管理数据和敏感的用户数据采用加密或其他有效措施实现传输保密性描述,是否有采用加密或其他保护措施实现存储保密性 的描述; g) 应检查相关证明性材料(如证书或其他相关材料等),查看其是否有特定业务通信的通信信道符合相关的国家规定的说明; h) 应检查主要应用系统,查看其鉴别信息、敏感的系统管理数据和敏感的用户数据是否采用加密或其他有效措施实现传输保密性描述,是否采用加密或其他保护措施实现存储保密性; i) 应测试主要应用系统,通过用嗅探工具获取系统传输数据包,查看其是否采用了加密或其他有效措施实现传输保密性。 | a) 如果测评实施f)缺少相关材料,则该项为否定; b) 如果没有相关证明性材料(如证书、检验报告等),测评实施 g)为否定; c) 测评实施 f)-i)均为肯定,则信息系统符合本单元测评项要求。 |
数据备份和恢复 | a) 应提供自动备份机制对重要信息进行本地和异地备份; b) 应提供恢复重要信息的功能; c) 应提供重要网络设备、通信线路和服务器的硬件冗余; d) 应提供重要业务系统的本地系统级热备份。 | 访谈,检查。 | 系统管理员,网络管理员,数据库管理员,操作系统,网络设备,数据库管理系统,主要应用系统,设计/验收文档。 | a) 可访谈网络管理员,询问信息系统中的网络设备是否提供自动备份机制对重要信息进行本地和异地备份功能;是否提供对重要信息进行恢复的功能;是否提供重要网络设备、通信线路和服务器的硬件冗余; b) 可访谈系统管理员,询问信息系统中的操作系统是否提供自动备份机制对重要信息进行本地和异地备份功能;是否提供对重要信息进行恢复的功能; c) 可访谈数据库管理员,询问信息系统中的数据库管理系统是否提供自动备份机制对重要信息进行本地和异地备份功能;是否提供重要业务系统的本地系统级热备份;是否提供对重要信息进行恢复的功能; d) 应检查设计/验收文档,查看其是否有关于操作系统、网络设备、数据库管理系统、应用系统配置有本地系统级热备份和重要信息恢复功能的描述; e) 应检查操作系统、网络设备、数据库管理系统、主要应用系统,查看其是否配置有本地/异地备份和重要信息恢复的功能,其配置是否正确; f) 应检查重要网络设备、通信线路和服务器是否提供硬件冗余; g) 应检查重要业务系统是否配备本地系统级热备份的功能。 | a) 如果没有设计/验收文档,测评实施 d)否定则该项为否定; b) 测评实施 d)-e)均为肯定,则信息系统符合本单元测评项要求。 |
本文发布于:2023-05-05 14:08:30,感谢您对本站的认可!
本文链接:https://patent.en369.cn/patent/1/88945.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
| 留言与评论(共有 0 条评论) |