ISO27000及等保管理要求（三级）控制点对照表(5)

b) 在测试验收前应根据设计方案或合同要求等制订测试验收方案，在测试验收过程中应详细记录测试验收结果，并形成测试验收报告； c) 应对系统测试验收的控制方法和人员行为准则进行书面规定； d) 应指定或授权专门的部门负责系统测试验收的管理，并按照管理规定的要求完成系统测试验收工作； e) 应组织相关部门和相关人员对系统测试验收报告进行审定，并签字确认。 a) 应制定详细的系统交付清单，并根据交付清单对所软件和文档等7.2.4.8 交接的设备、系统交付（G3） 进行清点； b) 应对负责系统运行维护的技术人员进行相应的技能培训； b) 应访谈系统建设负责人，询问是否指定专门部门负责测试验收工作，由何部门负责，是否对测试过程（包括测试前、测试中和测试后）进行文档化要求和制度化要求； c) 应访谈系统建设负责人，询问是否根据设计方案或合同要求组织相关部门和人员对测试报告进行符合性审定； d) 应检查工程测试方案，查看其是否对参与测试部门、人员、现场操作过程等进行要求；查看测试记录是否详细记录了测试时间、人员、操作过程、测试结果等方面内容；查看测试报告是否提出存在问题及改进意见等； e) 应检查是否具有系统验收报告； f) 应检查验收测试管理制度是否对系统验收测试的过程控制、参与人员的行为等进行规定。 a) 应访谈系统建设负责人，询问交接手续是什么，系统交接工作是否由专门部门按照该手续办理，是否根据交付清单对所交接的设备、文档、软件等进行清点，交付清单是否满足合同的有关要求；是否对交付工作进行制度化要求； b) 应访谈系统建设负责人，询问目前的信息 测试。 试报告，验收报告，验收测试管理制度。 访谈，检查。 系统建设负责人，系统交付清单，服务承诺书，系统培训记录，系统交付管理制 c) 应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档； d) 应对系统交付的控制方法和人员行为准则进行书面规定； 系统是否由内部人员独立运行维护，如果是，系统建设实施方是否对运维技术人员进行过培训，针对哪些方面进行过培训，是否以书面形式承诺对系统运行维护提供一定的技术支持服务，是否按照服务承诺书的要求进行过技术支持，以何形式进行，系统是否具有支持其独立运行维护所需的文档； c) 应检查系统交付清单，查看其是否具有系统建设文档（如系统建设方案）、指导用户 A.12.4 系统档案的安全 确保系统档案的安全。 度。 e) 应指定或授权专门的部门负责系统交付的管理工作，并按照管理规定的要求完成系统交付工作。 进行系统运维的文档（如服务器操作规程书）以及系统培训手册等文档名称； d) 应检查是否具有系统建设方的服务承诺书和对系统进行的培训记录； e) 应检查系统交付管理制度，查看其是否规定了交付过程的控制方法和对交付参与人员的行为限制等方面内容。 a) 应指定专门的部门或人员负责管理系统定级的相关材料，并控制这些材料的7.2.4.9 系统备案（G3） 使用； b) 应将系统等级及相关材料报系统主管部门备案； c) 应将系统等级及其他要求的备案材料报相应公安机关备案。 a) 应访谈安全主管，询问是否有专门的人员或部门负责管理系统定级、系统属性等文档，由何部门/何人负责； b) 应访谈文档管理员，询问对系统定级、系统属性等文档采取哪些控制措施（如限制使用范围、使用登记记录等）； c) 应检查是否具有将系统定级文档和系统属性说明文件等材料报主管部门备案的记录或备案文档； d) 应检查是否具有将系统等级、系统属性和 访谈，检查。 安全主管，文档管理员，备案记录。 等级划分理由等备案材料报相应公安机关备案的记录或证明； e) 应检查是否具有系统定级文档和系统属性说明文件等相关材料的使用控制记录。 a) 在系统运行过程中，应至少每年对系统进行一次等级测评，发现不符合相应等级保护标准要求的及时整改； b) 应在系统发生变更时及时对系统进行等级测评，发7.2.4.10 现级别发生变化的及时调等级测评（G3） 整级别并进行安全改造，发现不符合相应等级保护标准要求的及时整改； c) 应选择具有国家相关技术资质和安全资质的测评单位进行等级测评； d) 应指定或授权专门的部门或人员负责等级测评的管理。 7.2.4.11 安全服务商选择（G3） a) 应确保安全服务商的选择符合国家的有关规定； b) 应与选定的安全服务商签订与安全相关的协议，明确约定相关责任； a) 应访谈系统建设负责人，询问对信息系统进行安全规划、设计、实施、维护、测评等服务的安全服务单位是否符合国家有关规定。 / / 访谈。 系统建设负责人。 c) 应确保选定的安全服务商提供技术培训和服务承诺，必要的与其签订服务合同。 a) 应访谈物理安全负责人，询问是否指定专人或部门对机房基本设施（如空调、供配电a) 应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理； 设备等）进行定期维护，由何部门/何人负责，维护周期多长； b) 应访谈物理安全负责人，询问是否指定人员负责机房安全管理工作，对机房进出管理是否要求制度化和文档化； c) 应访谈机房值守人员，询问对外来人员进7.2.5 系统运维管理 7.2.5.1 环境管理（G3） 出机房是否采用人工记录和电子记录双重控b) 应指定部门负责机房安全，并配备机房安全管理人员，对机房的出入、服务器的开机或关机等工作进行管理； c) 应建立机房安全管理制度，对有关机房物理访问，物品带进、带出机房和机房环境安全等方面的管理作出规定； 制； d) 应访谈工作人员，询问对办公环境的保密性要求事项； e) 应检查机房安全管理制度，查看其内容是否覆盖机房物理访问、物品带进、带出机房、机房环境安全等方面； f) 应检查办公环境管理文档，查看其内容是否对工作人员离开座位后的保密行为（如清理桌面文件和屏幕锁定等）、人员调离办公室后的行为等方面进行规定； g) 应检查机房进出登记表，查看是否记录外A.9.1.6公共存取、递送及装卸区 A9.1物理与环境安全 A.9.1.2实体进入控制措施 A.9.1.1实体安全周界 A.9.1.4对外部与环境威胁的保护 应使用安全周界（例如墙、卡片控制的进入信道或人工驻守的柜台等屏障），以保护含有信息与信息处理设施的区域。 应设计与运用实体保护，以避免遭受火灾、洪水、地震、爆炸、民众暴动及其它天然或人为灾难的损害 安全区域应藉由适当的进入控制措施加以保护，以确保只有授权人员方可允许进入。 诸如递送与装卸区以及其它未经授权人员可能进入作业场所之进入点应加以管制；并且，若可能，应将信息处理设施隔离，以避免未经授权的存取。 访谈，检查。 物理安全负责人，机房值守人员，机房工作人员，机房安全管理制度，办公环境管理文档，设备维护记录，机房进出登记表，机房电子门禁系统及其电子记录。 d) 应加强对办公环境的保密性管理，规范办公环境人员行为，包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等； e) 应对机房和办公环境实行统一策略的安全管理，对出入人员进行相应级别的授权，对进入重要安全区域的活动行为实时监视和记录。 来人员进出时间、人员姓名、访问原因等内容；查看是否具有电子门禁系统，电子记录文档是否有时间、人员等信息； h) 应检查机房基础设施维护记录，查看是否记录维护日期、维护人、维护设备、故障原因、维护结果等方面内容。 A.9.1.3安全的办公处所及设施 A.9.1.5安全区域内之工作 办公室、房间及设施的实体安全应加以设计与运用。 在安全区域内工作之实体保护与指引应加以设计与运用。 A9.1.2 a) 应访谈安全主管，询问是否指定资产管理a) 应编制并保存与信息系统相关的资产清单，包括资7.2.5.2 资产管理（G3） b) 应建立资产安全管理制度，规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行产责任部门、重要程度和所处位臵等内容； 的责任人员或部门,由何部门/何人负责； b) 应访谈物理安全负责人，询问是否对资产管理要求文档化和制度化； c) 应访谈资产管理员，询问是否依据资产的重要程度对资产进行赋值和标识管理，不同类别的资产是否采取不同的管理措施； d) 应检查资产清单，查看其内容是否覆盖资产责任人、所属级别、所处位臵、所属部门等方面； e) 应检查资产安全管理制度，查看其内容是A.7.1.2资产的所有权 A.7 资产管理 A.7.1.1资产清册 A.7.1.3资产可接受的使用方式 应明确鉴别所有资产，并制作与维持所有重要资产的清册。 与信息处理设施相关的信息与资产，其可接受的使用规则应予以鉴别、文件化及实施。 访谈，检查。 安全主管，物理安全负责人，资产管理员，资产清单，资产安全管理制度，信息分 类标识文档，设备。