等级保护现场检测表
测试记录:
1.
访谈安全主管,询问是否指定资产管理的责任人员或部门?
否 □
是 □ 〇由何部门/何人负责?
2.
是否对资产管理要求文档化和制度化?
否 □ 是 □
3.
是否依据资产的重要程度对资产进行赋值和标识管理?
否 □
是 □ 〇不同类别的资产是否采取不同的管理措施?
否 □ 是 □
4.
资产清单是否覆盖资产责任人、所属级别、所处位置、所属部门等方面?
否 □ 是 □
5.
资产安全管理制度是否覆盖资产使用、借用、维护等方面?
否 □ 是 □
6.
信息分类文档是否规定了分类标识的原则和方法(如根据信息的重要程度、敏感程度或
用途不同进行分类)?
否 □ 是 □
7.
资产清单中的设备是否具有相应标识?
否 □ 是 □
测试结果: □符合 □部分符合 □不符合
备注:
1、 如果测试记录3中访谈人员能够描述出不同的资产管理措施,则该项为肯定;
2、 如果测试记录 7 中设备标识与信息分类标识文档中所要求的一致,则该项为肯定;
3、 测试记录 1-7 项全部符合即视为符合.
测试类别
测试对象
测 试 类
测 试 项
等级测评(三级)
安全管理
系统运维管理
介质管理
测试要求:
1.
应建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定;
2.
应有介质的归档和查询记录,并对存档介质的目录清单定期盘点;
3.
对于需要送出维修或销毁的介质,应首先清除介质中的敏感数据,防止信息的非法泄漏;
4.
应根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本
地相同;
5.
应根据所承载数据和软件的重要程度对介质进行分类和标识管理,并实行存储环境专人
管理;
6.
应对介质的物理传输过程中人员选择、打包、交付等情况进行控制;
7.
应对存储介质的使用过程、送出维修以及销毁进行严格的管理,保密性较高的信息存储
介质未经批准不得自行销毁;
8.
必要时应对重要介质的数据和软件采取加密存储,对带出工作环境的存储介质进行内容
第 4 页 共 17 页
