ISO27000及等保管理要求（三级）控制点对照表(4)

c) 应根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设管理策略、总体建设规划和详细设计方案等； d) 应访谈系统建设负责人，询问是否组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定，并经过管理部门的 档，维护记录。 计方案，并形成配套文件； 批准； d) 应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全e) 应访谈系统建设负责人，询问是否根据安全测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、 A.12.2 应用系统的正确处理 防止应用系统内信息的错误、遗失、未授权修改或误用。 管理策略、总体建设规划、总体建设规划、详细设计方案等相关配套文详细设计方案等相关配套文件的合理性和正确性进行论证和审定，并且经过批准后，才能正式实施； 件，维护周期多长； f) 应检查系统的安全建设工作计划，查看文件是否明确了系统的近期安全建设计划和远期安全建设计划； g) 应检查系统总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等配套文件，查看各个文件是否有机e) 应根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。 构管理层的批准； h) 应检查专家论证文档，查看是否有相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的论证意见； i) 应检查是否具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本，查看记录日期与维护周期是否一致。 a) 应访谈安全主管，询问是否有专门的部门a) 应确保安全产品采购和使用符合国家的有关规定； 负责产品的采购，由何部门负责； b) 应访谈系统建设负责人，询问系统信息安全产品的采购情况，采购产品前是否预先对产品进行选型测试确定产品的候选范围，是否有产品采购清单指导产品采购，采购过程b) 应确保密码产品采购和使用符合国家密码主管部门的要求； 如何控制，是否定期审定和更新候选产品名单，审定周期多长； c) 应访谈系统建设负责人，询问系统是否采用了密码产品，密码产品的使用是否符合国家密码主管部门的要求； 7.2.4.3 产品采购和使用（G3） c) 应指定或授权专门的部门负责产品的采购； d) 应检查产品采购管理制度，查看内容是否明确采购过程的控制方法（如采购前对产品做选型测试，明确需要的产品性能指标，确定产品的候选范围，通过招投标方式确定采购产品等）和人员行为准则等方面； e) 应检查系统使用的有关信息安全产品（边界安全设备、重要服务器操作系统、数据库等）是否符合国家的有关规定； d) 应预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单。 f) 应检查密码产品的使用情况是否符合密码产品使用、管理的相关规定，例如《商用密码管理条例》规定任何单位只能使用经过国家密码管理机构认可的商用密码产品，商用密码产品发生故障，必须有国家密码管理机构指定的单位维修，报废商用密码产品应向国家密码管理机构备案，《计算机信息系 访谈，检查。 安全主管，系统建设负责人，产品采购管理制度，产品选型测试结果记录，候选产品名单审定记录。 a) 如果7.2.4.4.4 c）访谈说明没有采用密码产品，则测评实施c）、f）为不适用； 统保密工作暂行规定》规定涉密系统配臵合格的保密专用设备，所采取的保密措施应与所处理信息的密级要求相一致等； g) 应检查是否具有产品选型测试结果记录、候选产品名单审定记录或更新的候选产品名单。 a) 应确保开发环境与实际运行环境物理分开，开发人员和测试人员分离，测试数据和测试结果受到控制； b) 应制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则； c) 应制定代码编写安全规7.2.4.4 范，要求开发人员参照规范自行软件开发（G3） 编写代码； d) 应确保提供软件设计的相关文档和使用指南，并由专人负责保管； a) 应访谈系统建设负责人，询问系统是否自主开发软件，是否对程序资源库的修改、更新、发布进行授权和批准，授权部门是何部门，批准人是何人，软件开发是否有相应的控制措施，是否要求开发人员不能做测试人员（即二者分离），是否在独立的模拟环境中编写、调试和完成； b) 应访谈系统建设负责人，询问系统开发文档是否由专人负责保管，负责人是何人，如何控制使用（如限制使用人员范围并做使用登记等），测试数据和测试结果是否受到控制； c) 应检查是否具有软件设计的相关文档（应用软件设计程序文件、源代码说明文档等）和软件使用指南或操作手册和维护手册等； e) 应确保对程序资源库的修改、更新、发布进行授权和批准。 d) 应检查软件开发环境与系统运行环境在物理上是否是分开的； e) 应检查对程序资源库的修改、更新、发布进行授权和审批的文档或记录，查看是否有批准人的签字； 访谈，检查。 系统建设负责人，软件设计相关文档和使用指南，审批文档或记录，文档使用控制记录。 A.10.1.4开发、测试及操作设施的分隔 应分隔开发、测试及操作设施，以降低对操作系统未经授权存取或变更的风险。 f) 应检查是否具有系统软件开发相关文档（软件设计和开发程序文件、测试数据、测试结果、维护手册等）的使用控制记录。 a) 应根据开发需求检测软件质量； a) 应访谈系统建设负责人，询问在外包软件前是否对软件开发单位以书面文档形式（如软件开发安全协议）规范软件开发单位的责任、开发过程中的安全行为、开发环境要求、软件质量、开发后的服务承诺等内容； b) 应访谈系统建设负责人，询问是否具有独立对软件进行日常维护和使用所需的文档，开发单位是否为软件的正常运行和维护提供过技术支持，以何种方式进行； c) 应访谈系统建设负责人，询问软件交付前是否依据开发协议的技术指标对软件功能和性能等进行验收检测，验收检测是否是由开发商和委托方共同参与；软件安装之前是否检测软件中的恶意代码，检测工具是否是d) 应要求开发单位提供软件源代码，并审查软件中可能存在的后门。 第三方的商业产品； d) 应检查软件开发协议，查看其是否规定知识产权归属、安全行为等内容； e) 应检查是否具有需求分析说明书、软件设计说明书、软件操作手册等开发文档以及用户培训计划、程序员培训手册等后期技术支持文档。 访谈，检查。 系统建设负责人，软件开发安全协议，软件开发文档，软件培训文档。 b) 应在软件安装之前检测软件包中可能存在的恶意代码； c) 应要求开发单位提供软7.2.4.5 外包软件开发（G3） 件设计的相关文档和使用指南； a) 应指定或授权专门的部门或人员负责工程实施过程的管理； b) 应制定详细的工程实施方案控制实施过程，并要求工程实施单位能正式地执行安全工程过程； 7.2.4.6 工程实施（G3） c) 应制定工程实施方面的管理制度，明确说明实施过程的控制方法和人员行为准则。 a) 应访谈系统建设负责人，询问是否以书面形式（如工程安全建设协议）约束工程实施方的工程实施行为； b) 应访谈系统建设负责人，询问是否指定专门人员或部门按照工程实施方案的要求对工程实施过程进行进度和质量控制，是否将控制方法和工程人员行为规范制度化，是否要求工程实施单位提供其能够安全实施系统建设的资质证明和能力保证； c) 应检查工程安全建设协议，查看其是否规定工程实施方的责任、任务要求、质量要求等方面内容，约束工程实施行为； d) 应检查工程实施方案，查看其是否规定工程时间限制、进度控制、质量控制等方面内容，工程实施过程是否按照实施方案形成各种文档，如阶段性工程报告； e) 应检查工程实施管理制度，查看其是否规定工程实施过程的控制方法（如内部阶段性控制或外部监理单位控制）、实施参与人员的各种行为等方面内容。 访谈，检查。 系统建设负责人，工程安全建设协议，工程实施方案，工程实施管理制度。 7.2.4.7 规划与验收（G3） a) 应委托公正的第三方测试单位对系统进行安全性测试，并出具安全性测试报告； a) 应访谈系统建设负责人，询问在信息系统正式运行前，是否委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试； A.10.3.2系统验收 对新的信息系统、系统升级及新版本的验收准则应加以建立，并且在开发期间与验收前应完成适当之系统访谈，检查。 系统建设负责人，测试方案，测试记录，测