1、信息安全等级保护测评作业指导书数据安全(二级)版 号: 第 2 版修 改 次 数: 第 0 次生 效 日 期: 2010 年 01 月 06 日中国电力科学研究院信息安全实验室控制编号:SGISL/OP-SA73-10控制编号:SGISL/OP-SA73-10中国电力科学研究院信息安全实验室第 1 页 共 4 页第 2 版 第 0 次修订数据安全及备份恢复等级保护测评作业指导书(二级) 发布日期:2010 年 01 月 06 日修改页修订号 控制编号 版号/章节号 修改人 修订原因 批准人 批准日期 备注1 SGISL/OP-SA73-10 李鹏 按公安部要求修订 詹雄 2010.3.8控制编
2、号:SGISL/OP-SA73-10中国电力科学研究院信息安全实验室第 2 页 共 4 页第 2 版 第 0 次修订数据安全及备份恢复等级保护测评作业指导书(二级) 发布日期:2010 年 01 月 06 日一、数据完整性1数据传输过程中完整性测评项编号 ADT-SJAQ -01 对应要求应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏测评项名称 传输过程中的数据完整性测评分项 1:检查信息在传输过程中的完整性访谈管理员,询问鉴别信息和业务系统数据在传输过程中是否有完整性保证措施,具体措施有哪些;检查操作系统、网络设备、数据库管理系统的设计/验收文档或相关证明性材料(如证书、检验报
3、告等)等,查看其是否有能检测/验证到系统管理数据(如WINDOWS 域管理、目录管理数据) 、鉴别信息(如用户名和口令)和用户数据(如用户数据文件)在传输过程中完整性受到破坏适用版本 任何版本操作步骤实施风险 无符合性判定鉴别信息和业务系统数据在传输过程中有完整性保证措施,判定结果为符合;鉴别信息和业务系统数据在传输过程中无完整性保证措施,判定结果为不符合。二、数据保密性1鉴别信息的存储保密性测评项编号 ADT-SJAQ -02 对应要求应采用加密或其他保护措施实现鉴别信息的存储保密性控制编号:SGISL/OP-SA73-10中国电力科学研究院信息安全实验室第 3 页 共 4 页第 2 版 第
4、 0 次修订数据安全及备份恢复等级保护测评作业指导书(二级) 发布日期:2010 年 01 月 06 日测评项名称 鉴别信息的存储保密性测评分项 1: 检查是否采用加密或其他保护措施实现鉴别信息的存储保密性访谈安全管理员,询问系统管理数据、鉴别信息和重要业务数据在存储过程中是否采取保密措施(如在通信双方建立连接之前利用密码技术进行会话初始化验证,在通信过程中对敏感信息字段进行加密等) ,具体措施有哪些,是否所有应用系统的通信都采取了上述措施;采用的密码算法是否符合国家有关部门要求适用版本 任何版本操作步骤实施风险 无符合性判定采取了加密或其他有效措施来保证存储过程中的数据保密性,判定结果为符合
5、;没有采取加密或其他有效措施来保证存储过程中的数据保密性,判定结果为不符合。三、备份与恢复1重要信息备份和恢复测评项编号 ADT-SJAQ -03 对应要求 应能够对重要信息进行备份和恢复测评项名称 重要信息备份和恢复测评分项 1: 检查重要信息是否进行备份和恢复访谈管理员,询问是否有备份和恢复制度,采用何种备份设备和恢复机制,是否有专门的备份设备提供备份;检查备份设备是否工作正常适用版本 任何版本操作步骤实施风险 无控制编号:SGISL/OP-SA73-10中国电力科学研究院信息安全实验室第 4 页 共 4 页第 2 版 第 0 次修订数据安全及备份恢复等级保护测评作业指导书(二级) 发布日
6、期:2010 年 01 月 06 日符合性判定存在备份和恢复制度对本地数据进行备份和恢复,判定结果为符合;无备份和恢复制度对本地数据进行备份和恢复,判定结果为不符合。2系统的硬件冗余测评项编号 ADT-SJAQ -03 对应要求应提供关键网络设备、通信线路和数据处理系统的硬件冗余,保证系统的可用性测评项名称 系统的硬件冗余测评分项 1: 检查关键网络设备、通信线路和数据处理系统的硬件冗余访谈管理员是否有通信线路、网络设备和数据处理的硬件冗余,保证灾难恢复时能正常使用,是否提供自动机制在灾难发生时实现实时无缝业务切换和恢复的功能适用版本 任何版本操作步骤实施风险 无符合性判定存在通信线路、网络设备和数据处理的硬件冗余,判定结果为符合;不存在通信线路、网络设备和数据处理的硬件冗余,判定结果为不符合。
