序号 标准 条文号 意 见 内 容 洞扫描,检查是否不存在高风险漏洞”。 提出专家 /提出单位 信息安全等级保护测评中心第四实验室 已做调整。 处理意见 备 注 44. 7.1.4.1.1 电力行业信息安全第7.1.4.1.1 节测评实施第5)条,建议修改为“应检查用户等级保护配置信息或访谈应用系统管理员,查看是否不存在空密码用测评中心户” 第四实验室 电力行业信息安全第7.1.4.2.5节测评实施第3)条,建议修改为“应测试用户等级保护是否不存在可越权访问情形”。 测评中心第四实验室 电力行业信息安全第10.1节中“安全控制点测评是指对其所有要求项的符合程等级保护度进行分析和判定。”中“其”理解上容易有歧义,建议修改测评中心为“单个控制点中”。 第四实验室 第10.3和10.4节中第2段内容均只给出了“如果经过综合分析单项测评中的不符合项或部分符合项不造成系统整体安全保护能力的缺失,该安全控制点的测评结论应调整为符合”的情况,那如果在安全控制点间和层面间分析时发现不电力行业信息安全等级保护测评中心采纳: 已做调整。 45. 7.1.4.2.5 采纳: 已做调整。 46. 10.1 采纳: 已做调整。 47. 10.3 10.4 不采纳: “安全控制点、安全控制点间、层面间”测评是并列关系,有一个不符合则该控制点为不 序号 标准 条文号 意 见 内 容 提出专家 /提出单位 符合。 处理意见 备 注 能完全形成弥补效果,即相应控制点测评结论无法调整为符第四实验合时应该怎么处理?是否也应该在此说明? 室 48. 5.1.1 建议机房安全的测评对象可细化到机房内的对应设施。 江苏金盾杨超 不采纳: 标准粒度不宜过于细化 采纳: 已做调整。 不采纳: 具体监控内容由各单位自行定义,需针对不同对象分别设置,如厂商人员和检查人员的监控内容就不一样。 不采纳: 监控视频保存时间由各单位自行要求。 不采纳: 测评流程中已明确,先进行整体测评,然后才能给出测评结论。 不采纳: 单项判定已明确哪些是必须要做到。 不采纳: 本标准根据基本要求条款编制。 49. 6.1.1.2.1 6.1.1.2.1 测评单元(L2-PES1-03)C)测评实施中1)和2)江苏金盾感觉内容上有重复,建议删掉一条,再增加一条对专人值守杨超 记录或机房人员进出记录验证的条款。 6.1.1.2.2 测评单元(L2-PES1-04)c) 测评实施中建议对监控记录进行细化,明确监控记录需包含哪些内容,如人员进江苏金盾出记录、视频监控记录等,如果这里包含了人员进出记录那杨超 么上面6.1.1.2.1一条建议就可不必修改。 建议7.1.1.3.3 测评单元(L3-PES1-06)C)测评实施中增加监控视频可回放时间要求,如至少90天。 江苏金盾杨超 50. 6.1.1.2.2 51. 7.1.1.3.3 52. 11.3 建议11.3中也注明测评结论是对整体测评之后单项测评结江苏金盾果的风险分析给出的。 杨超 江西神舟测评实施及单项判断中未明确一票否决项,即哪一分项不符信息安全合则该指标项直接判定为不符合。 评估中心有限公司 网络设备“安全审计”部分归入“网络和通信安全”层面,但江西神舟“身份鉴别”等层面确归入“设备与计算安全层面”,现场测评信息安全与结果记录如何明确? 评估中心 53. 第9章 54. 全文 序号 标准 条文号 意 见 内 容 提出专家 /提出单位 有限公司 处理意见 备 注 55. 7.1.1.1.2 a) 江西神舟7.1.1.1.2 a)机房场地应避免设在建筑物的顶层或地下室,否信息安全则应加强防水和防潮措施。建议增加一个指标项:UPS电池评估中心间应采取承重加固。 有限公司 江西神舟7.1.1.2.1 c)-2)应检查电子门禁系统是否可以鉴别、记录进信息安全入的人员信息。建议增加应检查门禁系统最长保存的记录时评估中心间,门禁系统记录数据是否保存3个月。 有限公司 7.1.1.3.1 c)-1)应检查机房内设备或主要部件是否固定;2)应检查机房内设备或主要部件上是否设置了明显且不易除去的标记。建议机房内设备或主要部件应明确包含通信线缆。 江西神舟信息安全评估中心有限公司 不采纳: 机房承重加固等属于基础设施建设相关范畴。 56. 7.1.1.2.1 c) 部分采纳: 增加应检查门禁系统记录数据的保存时间。 具体保存时间各单位要求不一样,不做规定,或建议至少保存3个月。 不采纳: 标准中主要部件不宜一一列举。 采纳: 调整为应检查机房内通信线缆是否铺设在隐蔽处或桥架中。 57. 7.1.1.3.1 c) 58. 7.1.1.3.2 c) 江西神舟7.1.1.3.2 c)-1) 应检查机房内通信线缆是否铺设在隐蔽处。信息安全建议调整,因为通信线缆除了可铺设在隐蔽处(地下或管道评估中心中),还应允许铺设在桥架中。 有限公司 7.1.1.3.3 a) 应设置机房防盗报警系统或设置有专人值守的视频监控系统。建议改为“机房应设置视频监控系统,并设置防盗报警系统或安排专人值守”。 江西神舟信息安全评估中心有限公司 59. 7.1.1.3.3 a) 不采纳: 修改建议变成了必须要求有视频监控系统,违背了标准原要求。 不采纳: 由其他标准规定。 不采纳: 60. 7.1.1.3.3 c) 江西神舟7.1.1.3.3 c)-2)应检查防盗报警系统或视频监控系统是否启信息安全用。建议明确监控记录保存时间。 评估中心有限公司 7.1.1.5.3 c)-1)应访谈机房管理员是否进行了区域划分;建江西神舟 61. 7.1.1.5.3 c) 序号 标准 条文号 意 见 内 容 提出专家 /提出单位 处理意见 标准的7.1.1.5.3已做要求。 不采纳: 备用供电时间与设备规模密切相关,各单位对断电事故的容忍度不一。 采纳: 已做调整。 不采纳: 这是基本要求原条款要求。 备 注 议增加细则要求,例如UPS电池应与重要设备一定要设置信息安全防火隔离措施。 评估中心有限公司 江西神舟7.1.1.9.2 a) 应提供短期的备用电力供应,至少满足设备在断信息安全电情况下的正常运行要求;建议明确备用供电时间,例如2评估中心小时。 有限公司 江西神舟7.1.2.1.4 c)-1)应访谈网络管理员并查看网络拓扑图,检查信息安全重要网路区域不能部署在网络边界处且直接连接外部等级评估中心保护对象;建议将网路改为“网络”。 有限公司 7.1.2.3.2 a) 应能够对非授权设备私自联到内部网络的行为进行限制或检查;建议改为“应能够对非授权设备私自联到内部网络的行为进行检查和限制;” 7.1.2.3.3 a) 应能够对内部用户私自联到外部网络的行为进行限制或检查;建议改为“应能够对内部用户私自联到外部网络的行为进行检查和限制;” 江西神舟信息安全评估中心有限公司 江西神舟信息安全评估中心有限公司 江西神舟信息安全评估中心有限公司 江西神舟信息安全评估中心有限公司 62. 7.1.1.9.2 a) 63. 7.1.2.1.4 c) 64. 7.1.2.3.2 a) 65. 7.1.2.3.3 a) 不采纳: 这是基本要求原条款要求。 66. 7.1.2.8.1 b) 7.1.2.8.1 b) 安全管理员和网络拓扑图。建议增加“安全管理系统” 不采纳: 无法定义安全管理系统。 67. 7.1.2.8.4 a) 7.1.2.8.4 a) 应对分散在各个设备上的审计数据进行收集汇总和集中分析;建议明确审计数据保存时间。 不采纳: 标准要求的是进行收集汇总和集中分析。
相关推荐:
loading