自用4
测评实施包括以下内容:
应核查是否对系统管理员进行身份鉴别;
应核查是否只允许系统管理员通过特定的命令或操作界面进行系统管理操作;
应核查是否对系统管理的操作进行审计。
单元判定:如果1)〜3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"
测评对象:提供集中系统管理功能的系统。
测评实施:应核查是否通过系统管理员对系统的资源和运行进行配置、控制和管理,
包括用户 身份、资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
测评对象:综合安全审计系统、数据库审计系统等提供集中审计功能的系统。
测评实施包括以下内容:
应核查是否对审计管理员进行身份鉴别;
应核查是否只允许审计管理员通过特定的命令或操作界面进行安全审计操作;
应核查是否对安全审计操作进行审计。
单元判定:如果1)〜3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"
测评对象:综合安全审计系统、数据库审计系统等提供集中审计功能的系统。
测评实施:应核查是否通过审计管理员对审计记录进行分析,并根据分析结果进行处理,
包括 根据安全审计策略对审计记录进行存储、管理和查询等。
单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。"
测评对象:提供集中安全管理功能的系统。
测评实施包括以下内容:
应核查是否对安全管理员进行身份鉴别;
应核查是否只允许安全管理员通过特定的命令或操作界面进行安全审计操作;
应核查是否对安全管理操作进行审计。
单元判定:如果1)〜3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"
测评对象:提供集中安全管理功能的系统。
测评实施:应核查是否通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,
主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。
单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。"
测评对象:网络拓扑。
测评实施包括以下内容:
应核查是否划分出单独的网络区域用于部署安全设备或安全组件;
应核查各个安全设备或安全组件是否集中部署在单独的网络区域内。
单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"
测评对象:路由器、交换机和防火墙等设备或相关组件。
测评实施包括以下内容:
应核查是否采用安全方式(如SSH、HTTPS、IPSecVPN等)对安全设备或安全组件进行 管理;
应核查是否使用独立的带外管理网络对安全设备或安全组件进行管理。
单元判定:如果1)或2)为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。"
测评对象:综合网管系统等提供运行状态监测功能的系统。
测评实施包括以下内容:
应核查是否部署了具备运行状态监测功能的系统或设备,能够对网络链路、安全设备、
网 络设备和服务器等的运行状况进行集中监测;
应测试验证运行状态监测系统是否根据网络链路、安全设备、网络设备和服务器等的工作 状态、
依据设定的阀值(或默认阀值)实时报警。"
测评对象:综合安全审计系统、数据库审计系统等提供集中审计功能的系统。
测评实施包括以下内容:
应核查各个设备是否配置并启用了相关策略,将审计数据发送到独立于设备自身的外部 集中安全审计系统中;
应核查是否部署统一的集中安全审计系统,统一收集和存储各设备日志,并根据需要进行 集中审计分析;
应核查审计记录的留存时间是否至少为6个月。
单元判定:如果1)〜3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"
测评对象:提供集中安全管控功能的系统。
测评实施包括以下内容:
应核查是否能够对安全策略(如防火墙访问控制策略、人侵保护系统防护策略、WAF安 全防护策略等)进行集中管理;
应核查是否实现对操作系统防恶意代码系统及网络恶意代码防护设备的集中管理,
实现对防恶意代码病毒规则库的升级进行集中管理;
应核查是否实现对各个系统或设备的补丁升级进行集中管理。
单元判定:如果1)〜3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"
测评对象:提供集中安全管控功能的系统。
测评实施包括以下内容:
应核查是否部署了相关系统}台能够对各类安全事件进行分析并通过声光等方式实时 报警;
应核查监测范围是否能够覆盖网络所有关键路径。
单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"
测评对象:路由器、交换机、无线接人设备和防火墙等提供网络通信功能的设备或相关组件。
测评实施包括以下内容:
应核查业务高峰时期一段时间内主要网络设备的CPU使用率和内存使用率是否满足 需要;
应核查网络设备是否从未出现过因设备性能问题导致的宕机情况;
应测试验证设备是否满足业务高峰期需求。
单元判定:如果1)〜3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"
测评对象:综合网管系统等。
测评实施包括以下内容:
应核查综合网管系统各通信链路带宽是否满足高峰时段的业务流量需要;
应测试验证网络带宽是否满足业务高峰期需求。
单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"
测评对象:路由器、交换机、无线接人设备和防火墙等提供网络通信功能的设备或相关组件。
测评实施包括以下内容:
应核查是否依据重要性、部门等因素划分不同的网络区域;
核查相关网络设备配置信息,验证划分的网络区域是否与划分原则一致。
单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"
测评对象:网络拓扑。
测评实施包括以下内容:
应核查网络拓扑图是否与实际网络运行环境一致;
应核查重要网络区域是否未部署在网络边界处;
应核查重要网络区域与其他网络区域之间是否采取可靠的技术隔离手段,
网闸、防火墙 和设备访问控制列表(ACL)等。
单元判定:如果1)〜3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"
测评对象:网络管理员和网络拓扑。
测评实施:应核查是否有关键网络设备、安全设备和关键计算设备的硬件冗余(主备或双活等) 和通信线路冗余。
单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。"
测评对象:提供校验技术或密码技术功能的设备或组件。
测评实施包括以下内容:
应核查是否在数据传输过程中使用校验技术或密码技术来保证其完整性;
应测试验证密码技术设备或组件能否保证通信过程中数据的完整性。
单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
测评对象:提供密码技术功能的设备或组件。
评实施包括以下内容:
应核查是否在通信过程中采取保密措施,具体采用哪些技术措施;
应测试验证在通信过程中是否对数据进行加密。
单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求"
测评对象:提供可信验证的设备或组件、提供集中审计功能的系统。
测评实施包括以下内容:
应核查是否基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用 程序等进行可信验证;
应核查是否在应用程序的关键执行环节进行动态可信验证;
应测试验证当检测到通信设备的可信性受到破坏后是否进行报警;
应测试验证结果是否以审计记录的形式送至安全管理中心。
单元判定:如果1)〜4)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
测评实施包括以下内容:
应核查用户在登录时是否采用了身份鉴别措施;
应核查用户列表确认用户身份标识是否具有唯一性;
应核查用户配置信息或测试验证是否不存在空口令用户;
应核查用户鉴别信息是否具有复杂度要求并定期更换。"
测评实施包括以下内容:
应核查是否配置并启用了登录失败处理功能;
应核查是否配置并启用了限制非法登录功能,非法登录达到一定次数后采取特定动作,如 账户锁定等;
应核查是否配置并启用了登录连接超时及自动退出功能。
单元判定:如果1)〜3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"
测评实施:应核查是否采用加密等安全方式对系统进行远程管理,防止鉴别信息在网络传输过 程中被窃听。
单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。"
测评实施包括以下内容:
应核查是否采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别 技术对用户身份进行鉴别;
应核查其中一种鉴别技术是否使用密码技术来实现。
单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"
测评实施包括以下内容:
应核查是否为用户分配了账户和权限及相关设置情况;
应核查是否已禁用或限制匿名、默认账户的访问权限。
单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"
测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、
网络设备(包 括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、
移动终端管 理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、
中间件和 系统管理软件及系统设计文档等。
测评实施包括以下内容:
应核查是否已经重命名默认账户或默认账户已被删除;
应核查是否已修改默认账户的默认口令。
单元判定:如果1)或2)为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"
测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、
网络设备(包 括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、
移动终端管 理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、
中间件和 系统管理软件及系统设计文档等。
测评实施包括以下内容:
应核查是否不存在多余或过期账户,管理员用户与账户之间是否一一对应;
应测试验证多余的、过期的账户是否被删除或停用。
单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"
测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、
网络设备(包 括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、
移动终端管 理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、
中间件和 系统管理软件及系统设计文档等。
测评实施包括以下内容:
应核查是否进行角色划分;
应核查管理用户的权限是否已进行分离;
应核查管理用户权限是否为其工作任务所需的最小权限。
单元判定:如果1)〜3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"
测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、
网络设备(包 括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、
移动终端管 理客户端、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。
测评实施包括以下内容:
应核查是否由授权主体(如管理用户)负责配置访问控制策略;
应核查授权主体是否依据安全策略配置了主体对客体的访问规则;
应测试验证用户是否有可越权访问情形。
单元判定:如果1)〜3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"
测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、
网络设备(包 括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、
移动终端管 理客户端、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。
测评实施:应核查访问控制策略的控制粒度是否达到主体为用户级或进程级,客体为文件、数 据库表、记录或字段级。
单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。"
测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、
网络设备(包 括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、
移动终端管 理客户端、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。
测评实施包括以下内容:
应核查是否对主体、客体设置了安全标记;
应测试验证是否依据主体、客体安全标记控制主体对客体访问的强制访问控制策略。
单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评
单元指标要求。"
测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)
网络设备(包 括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、
移动终端管理系统、移动终端管 理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、
数据库管理系统、中间件和 系统管理软件及系统设计文档等。
测评实施包括以下内容:
应核查是否开启了安全审计功能;
应核查安全审计范围是否覆盖到每个用户;
应核查是否对重要的用户行为和重要安全事件进行审计。
单元判定:如果1)〜3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"
测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)
网络设备(包 括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、
移动终端管理系统、移动终端管 理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、
数据库管理系统、中间件和 系统管理软件及系统设计文档等。
测评实施:应核查审计记录信息是否包括事件的日期和时间、用户、事件类型、
事件是否成功及 其他与审计相关的信息。
单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。"
测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)
网络设备(包 括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端
、移动终端管理系统、移动终端管 理客户端、感知节点设备、网关节点设备、控制设备、
业务应用系统、数据库管理系统、中间件和 系统管理软件及系统设计文档等。
测评实施包括以下内容:
应核查是否采取了保护措施对审计记录进行保护;
应核查是否采取技术措施对审计记录进行定期备份,并核查其备份策略。
单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"
测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)
、网络设备(包 括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端
、移动终端管理系统、移动终端管 理客户端、感知节点设备、网关节点设备、
控制设备、业务应用系统、数据库管理系统、中间件和 系统管理软件及系统设计文档等。
测评实施:应测试验证通过非审计管理员的其他账户来中断审计进程,验证审计进程是否受到 保护。
单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。"
测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、
网络设备(包 括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、
移动终端管
理客户端、感知节点设备、网关节点设备和控制设备等。
测评实施包括以下内容:
应核查是否遵循最小安装原则;
应核查是否未安装非必要的组件和应用程序。
单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"
测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、
网络设备(包 括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、
移动终端管理系统、移动终端管 理客户端、感知节点设备、网关节点设备和控制设备等。
测评实施包括以下内容:
应核查是否关闭了非必要的系统服务和默认共享;
应核查是否不存在非必要的高危端口。
单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"
测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、
网络设备(包 括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、
移动终端管理系统、移动终端管 理客户端、感知节点设备、网关节点设备和控制设备等。
测评实施:应核查配置文件或参数是否对终端接人范围进行限制。
单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。"
测评对象:业务应用系统、中间件和系统管理软件及系统设计文档等。
测评实施包括以下内容:
应核查系统设计文档的内容是否包括数据有效性检验功能的内容或模块;
应测试验证是否对人机接口或通信接口输人的内容进行有效性检验。
单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"
测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、
网络设备(包 括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、
移动终端管理系统、移动终端管 理客户端、感知节点设备、网关节点设备、控制设备、
业务应用系统、数据库管理系统、中间件和 系统管理软件等。
测评实施包括以下内容:
应通过漏洞扫描、渗透测试等方式核查是否不存在高风险漏洞;
应核查是否在经过充分测试评估后及时修补漏洞。
单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"
测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、
网络设备(包 括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、
移动终端管理系统、移动终端管 理客户端、感知节点设备、网关节点设备和控制设备等。
测评实施包括以下内容:
应访谈并核查是否有人侵检测的措施;
应核查在发生严重人侵事件时是否提供报警。
单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测
评单元指标要求。"
测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、
移动终端、移 动终端管理系统、移动终端管理客户端和控制设备等。
测评实施包括以下内容:
应核查是否安装了防恶意代码软件或相应功能的软件,定期进行升级和更新防恶意代 码库;
应核查是否采用主动免疫可信验证技术及时识别人侵和病毒行为;
应核查当识别人侵和病毒行为时是否将其有效阻断。
单元判定:如果1)和3)或2)和3)均为肯定,则符合本测评单元指标要求,
否则不符合或部分符合本测评单元指标要求。"
测评对象:提供可信验证的设备或组件、提供集中审计功能的系统。
测评实施包括以下内容:
应核查是否基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序
等进行可信验证;
应核查是否在应用程序的关键执行环节进行动态可信验证;
应测试验证当检测到计算设备的可信性受到破坏后是否进行报警;
应测试验证结果是否以审计记录的形式送至安全管理中心。
单元判定:如果1)〜4)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"
测评对象:业务应用系统、数据库管理系统、中间件、系统管理软件及系统设计文档、数据安全
保护系统、终端和服务器等设备中的操作系统及网络设备和安全设备等。
测评实施包括以下内容:
应核查系统设计文档,鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频
数据和重要个人信息等在传输过程中是否采用了校验技术或密码技术保证完整性;
应测试验证在传输过程中对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要
视频数据和重要个人信息等进行篡改,是否能够检测到数据在传输过程中的完整性受到 破坏并能够及时恢复。
单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"
测评对象:业务应用系统、数据库管理系统、中间件、系统管理软件及系统设计文档、数据安全
保护系统、终端和服务器等设备中的操作系统及网络设备和安全设备中等。
测评实施包括以下内容:计数据、重要配置数据、重要视频数据和重要个人信息等在存储过程中的完整性;
应核查是否采用技术措施(如数据安全保护系统等)保证鉴别数据、重要业务数据、重要审
计数据、重要配置数据、重要视频数据和重要个人信息等在存储过程中的完整性;
应测试验证在存储过程中对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要
视频数据和重要个人信息等进行篡改,是否能够检测到数据在存储过程中的完整性受到 破坏并能够及时恢复。
单元判定:如果1)〜3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"
测评对象:业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。
测评实施包括以下内容:
应核查系统设计文档,鉴别数据、重要业务数据和重要个人信息等在传输过程中是否采用 密码技术保证保密性;
应通过嗅探等方式抓取传输过程中的数据包,鉴别数据、重要业务数据和重要个人信息等
传输过程中是否进行了加密处理。
单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"
测评对象:业务应用系统、数据库管理系统、中间件、系统管理软件及系统设计文档、
数据安全 保护系统、终端和服务器等设备中的操作系统及网络设备和安全设备中的重要配置数据。
测评实施包括以下内容:
应核查是否采用密码技术保证鉴别数据、重要业务数据和重要个人信息等在存储过程中 的保密性;
应核查是否采用技术措施(如数据安全保护系统等)保证鉴别数据、重要业务数据和重要
个人信息等在存储过程中的保密性;
应测试验证是否对指定的数据进行加密处理。
单元判定:如果1)〜3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"
测评对象:配置数据和业务数据。
测评实施包括以下内容:
应核查是否按照备份策略进行本地备份;
应核查备份策略设置是否合理、配置是否正确;
应核查备份结果是否与备份策略一致;
应核查近期恢复测试记录是否能够进行正常的数据恢复。"
测评对象:配置数据和业务数据。
测评实施:应核查是否提供异地实时备份功能,并通过网络将重要配置数据、重要业务数据实 时备份至备份场地。
单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。"
测评对象:重要数据处理系统。
测评实施:应核查重要数据处理系统(包括边界路由器、边界防火墙、核心交换机、应用服务器
数据库服务器等)是否采用热冗余方式部署。
单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。"
测评对象:终端和服务器等设备中的操作系统、业务应用系统、数据库管理系统、中间件和系统
管理软件及系统设计文档等。
测评实施:应核查相关配置信息或系统设计文档,用户的鉴别信息所在的存储空间被释放或重
新分配前是否得到完全清除。
单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单 元指标要求。"
测评对象:终端和服务器等设备中的操作系统、业务应用系统、数据库管理系统、
中间件和系统 管理软件及系统设计文档等。
测评实施:应核查相关配置信息或系统设计文档,敏感数据所在的存储空间被释放或重新分配
给其他用户前是否得到完全清除。
单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。"
"
测评对象:业务应用系统和数据库管理系统等。
测评实施包括以下内容:
应核查采集的用户个人信息是否是业务应用必需的;
应核查是否制定了有关用户个人信息保护的管理制度和流程。
单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"
"
测评对象:业务应用系统和数据库管理系统等。
测评实施包括以下内容:
应核查是否采用技术措施限制对用户个人信息的访问和使用;
应核查是否制定了有关用户个人信息保护的管理制度和流程。
单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。"