7SQL Server2000测评指导书-三级S3A3G3-1.0 版

第1页共8页

第3页共8页

第4页共8页

第5页共8页

第6页共8页

第7页共8页

第8页共8页

建设工程施工安全监督评价指导书标准范本

管理制度编号：LX-FS-A92797 建设工程施工安全监督评价指导书标准范本 In The Daily Work Environment, The Operation Standards Are Restricted, And Relevant Personnel Are Required To Abide By The Corresponding Procedures And Codes Of Conduct, So That The Overall Behavior Can Reach The Specified Standards 编写：_________________________ 审批：_________________________ 时间：________年_____月_____日 A4打印/ 新修订/ 完整/ 内容可编辑

建设工程施工安全监督评价指导书标准范本使用说明：本管理制度资料适用于日常工作环境中对既定操作标准、规范进行约束，并要求相关人员共同遵守对应的办事规程与行动准则，使整体行为或活动达到或超越规定的标准。资料内容可按真实状况进行条款调整，套用时请仔细阅读。为加强我站建筑施工现场安全生产的监督检查，根据《中华人民共和国安全生产法》、《建设工程安全生产管理条例》（国务院令第393号）和《四川省建筑施工现场安全监督检查暂行办法》，现将有关意事项告知如下：一、开工安全生产条件审查（一）建设单位在申领《施工许可证》前，必须持下列资料到我站安全可进行施工安全监督备案： 1、中标施工企业安全生产许可证； 2、中标施工企业项目经理、安全员经建设行政

安全管理测评作业指导书

安全管理测评作业指导书编制：校对：审核：批准： 2009－－发布2009－－实施

修订页

1 目的安全管理贯穿于信息系统的整个生命周期，在保障信息系统的安全中发挥了重要作用，与安全技术占据同等重要的地位。安全管理通常是指在信息系统中对需要人来参与的活动采取必要的管理控制措施，通过文档化的管理体系，为保障系统正常运行所涉及的人员活动做出明确规定。本手册的编写目的是为了指导管理测评实施人员的实际工作，根据实际工作的深入开展，会及时对本作业指导书进行更新，以保证指导书的高指导性。 2 适用范围本手册适用于在现场测评实施中负责安全管理测评检查的测评人员。 3职责 3.1测评师 1）测评师应在客观、公正的情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方式和解释，实施测评活动； 2）测评师应正确理解测评项，并具有良好的判断； 3）测评师应注意测评记录和证据的接收、处理、存储和销毁，保护其在测评期间免遭改变和遗失，并保守秘密； 4）测评师应遵循正确的测评方法进行现场测评和结果判定，以确保满足相关标准的要求。 4 相关文件 4.1依据标准 GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》 4.2参考标准《信息系统安全等级保护测评要求》（送审稿）

《信息系统安全等级保护测评过程指南》（送审稿）上述文件中的条款通过本手册的引用而成为本手册的内容。凡是注明日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本手册。凡是不注明日期的引用文件，其最新版本适用于本手册。 5 测评方法人员访谈测评师通过与被检查人员进行交流，对测评检查项进行细化。所获得测评所需数据，进行查验、分析等活动，获取证据以证明信息系统安全等级保护措施是否有效。文档检查测评师通过文档检查验证用户的现有文档与测评要求的符合程度，获取证据以证明信息系统安全等级保护措施是否有效。 6 操作步骤 6.1测评前准备确定安全管理检查的测评内容。根据《信息系统安全等级保护基本要求》中的管理要求，安全管理测评包括五个部分，分别为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。确定安全管理检查的测评对象。安全管理检查分为管理访谈与管理文档检查两个部分。管理访谈在进入现场实施访谈工作之前，需要与被测方进行沟通，确认对方被访谈对象的名单，确认其中是否存在同一被访谈对象对应多个访谈岗位的状况，在与被测方就“岗位——人员”对应关系取得一致性意见后，编写访谈工作实施计划，并提交被测方，确认访谈工作开展的时间、地点、被访谈对象的先后顺序。同时进入现场之前，需确认所有安全管理访谈检查表已准备妥当，并熟悉列表中的内容。管理文档检查在进入现场实施检查工作之前，需要与被测方进行沟通，确认配合文档检查的人员等。同时进入现场之前，需确认所有文档检查表已准备妥当，并

应用安全测评指导书

1应用安全测评指导书应用系统安全测评序号测评指标测评项检查方法预期结果 1身份鉴别a)检查应用系统的身份标识与鉴别功能设置和使用配置情况；检查应用系统对用户登录各种情况的处理，如登录失败处理、登录连接超时等。访谈: 1)访谈应用系统管理员，询问应用系统的身份标识和鉴别机制采用何种措施实现； 2)登录应用系统，查看是否提示输入用户口令，然后以正确口令登录系统，再以错误口令或空口令重新登录，观察是否成功。 1)应用系统使用口令鉴别机制对用户进行身份标识和鉴别； 2) 登录时提示输入用户名和口令；以错误口令或空口令登录时提示登录失败，验证了登录控制功能的有效性； 3)应用系统不存在密码为空的用户。 b)检查应用系统的身份标识与鉴别功能设置和使用配置情况；检查应用系统对用户登录各种情况的处理，如登录失败处理、登录连接超时等。访谈: 1）访谈应用系统管理员，询问应用系统是否采用了两种及两种以上身份鉴别技术的组合来进行身份鉴别（如采用用户名/ 口令、挑战应答、动态口令、物理设备、生物识别技术中的任意两种组合）；手工检查： 1）通过注册用户，并以一种身份鉴别技术登录，验证是否可以登录。用户的认证方式选择两种或两种以上组合的鉴别技术，只用一种技术无法认证成功。 c)检查应用系统的身份标识与鉴别功能设置和使用配置情况；检查应用系统对用户登录各种情况的处访谈： 1）访谈应用系统管理员，询问应用系统采取何种措施防止身份鉴别信息被冒用（如复杂性混有大、小写字母、数字和特殊字符，口令周期等）；手工检查： 1）以弱口令用户注册，验证其用 1)应用系统配备身份标识（如建立帐号）和鉴别（如口令等）功能；其身份鉴别信息具有不易被冒用的特点，规定字符混有大、小写字母、数字和特殊字符）； 2)以不符合复杂度要求和不符合长度要求

安全评价指导书

吉木萨尔县龙腾海加气站安全评价指导书编制部门：吉木萨尔县龙腾海加气站 2012年4月1日

一、评价组织由加气站站长负责对公司进行安全评价。主要评价人员由安全领导小组组成。评价组组长：张红健（站长）成员：王辉（副站长）张玉新（专职安全员）二、评价目的确保安全生产活动获得最佳秩序，保证安全管理及生产条件达到法律、行政法规、部门规章和标准等要求制定的规则。三、评价范围公司确立评价范围为：加气站内的各类设施、各种作业活动、设备丢弃、废弃、拆除与处置、气候、地震及其他自然灾害。包括地下储气井、干燥器、压缩机，供配电、仪表自动化等公用工程。四、评价方法公司采用了安全检查表（SCL）分析方法和工作危害（JHA）分析方法。根据风险评价的结果、自身经营情况、财务状况和可选技术等因素，确定优先顺序，制定措施消减风险，将风险控制在可以接受的程度，防止事故的发生。五、评价准则风险评价S、L值取值方法

1、评估危害及影响后果的严重性（S）等级分数人员伤亡程度财产损失停工时间法规及规章制度符合状况形象受损程度管理失控 5 死亡终身残废丧失劳动能力 ≥50万元生产装置停工 3天以上违法加气站影响加气站管理失控 4 部分丧失劳动能力职业病慢性病住院治疗 ≥10万元生产装置停工 1天以上潜在不符合法律法规加气站影响加气站管理失控 3 需要去医院治疗，但不需住院 ≥2万元生产装置停工 12小时以上不符合公司规章制度标准加气站影响加气站管理失控 2 皮外伤短时间身体不适＜2万元生产装置停工 12小时以下不符合公司规章制度加气站影响其他小范围的管理失控 1 没有受伤无没有停工完全符合无影响没有失控 2、危害发生的可能性及频率(L) 等级分数偏差发生频率安全检查操作规程员工胜任程度（意识、技能、经验）防范、控制措施 5 每天发生、经常发生从来没有检查没有操作规程不胜任（无任何培训、意训不够、缺乏经验）无任何防范或控制措施 4 每月发生偶尔按标准检查有，但只是偶尔执行或操作规程规定不具体不够胜任防范、控制措施不完善 3 每季度发生部分时间按标准检查有操作规程，只是部分执行一般胜任有，但没有完全使用如个人防护用品 2 每年发生偶乐不按标准检查有、但偶尔不执行胜任，但偶然出差错有，偶尔失去作用或出差错 1 以往未发生、偶尔或一年以上发生按标准检查有操作规程，而且严格执行高度胜任（培训充分，经验丰富，意识强）有效防范控制措施。注：偏差发生的频率是指危害、超过标准、偏差原因、失效模式发生的频率。风险控制措施及实施期限风险度等级应采取的行动/控制措施实施期限 20－25不可容忍在采取措施降低危害前,不能继续作业, 对改进措施进行评估立刻 15－16巨大风险采取紧急措施降低风险，建立运行控制程序，定期检查、测量及评估。立即或近期整改 9－12中等可考虑建立目标、建立操作规程，加强培训及沟通 1年内治理 4－8可容忍可考虑建立操作规程、作业指导书但需定期检查有条件、有经费时治理 <4轻微或可忽略的风险无需采用控制措施，一般不用考虑

三级等保评测文件资料资料

信息系统安全等级测评报告模板项目名称：委托单位：测评单位：年月日

报告摘要一、测评工作概述概要描述被测信息系统的基本情况（可参考信息系统安全等级保护备案表），包括但不限于：系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。（见附件：信息系统安全等级保护备案表）描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程，包括投入测评人员与设备情况、完成的具体工作容统计（涉及的测评分类与项目数量，检查的网络互联与安全设备、主机、应用系统、管理文档数量，访谈人员次数）。二、等级测评结果依据第4、5章的结果对等级测评结果进行汇总统计（测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果）；通过对信息系统基本安全保护状态的分析给出等级测评结论（结论为达标、基本达标、不达标）。三、系统存在的主要问题依据6.3章节的分析结果，列出被测信息系统中存在的主要问题以及可能造成的后果（如，未部署DDos防御措施，易遭受DDos攻击，导致系统无法提供正常服务）。

四、系统安全建设、整改建议针对系统存在的主要问题提出安全建设、整改建议，是对第七章容的提炼和简要描述。

报告基本信息

声明声明是测评单位对于测评报告容以及用途等有关事项做出的约定性述，包含但不限于以下容：本报告中给出的结论仅对目标系统的当时状况有效，当测评工作完成后系统出现任何变更，涉及到的模块（或子系统）都应重新进行测评，本报告不再适用。本报告中给出的结论不能作为对系统相关产品的测评结论。本报告结论的有效性建立在用户提供材料的真实性基础上。在任何情况下，若需引用本报告中的结果或数据都应保持其本来的意义，不得擅自进行增加、修改、伪造或掩盖事实。测评单位机构名称年月

网络安全-通用网络设备测评指导书-三级

编号: 测评指导书《信息系统安全等级保护基本要求》基础网络安全-通用网络设备-第三级 V1.0 f天融信丿TOPSEC 天融信信息安全等保中心 1、测评对象

序号类别测评项测评实施预期结果符合情况 a）应在网络边界部署访问控制设备，启用访问控制功能；检查：检查网络拓扑结构和相关交换机配置，查看是否在交换机上启用了访问控制功能。输入命令show access-lists 检查配置文件中是否存在以下类似配置项 ip access-list 1 deny x.x.x.x 交换机启用了访问控制功能，根据需要配置了访问控制列表。 b）访问控制设备应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；检查：输入命令shou running，检查访问控制列表的控制粒度是否为端口级，女口access-list 101 permit udp any 192.168.10.0 0.0.0.255 eq 21 根据会话状态信息为数据流提供了明确的访问控制策略，控制粒度为端口级。 1访问控制C）应对进岀网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、 POP3等协议命令级的控制；检查：检查防火墙或IPS安全策略是否对重要数据流启用应用层协议检测、过滤功能。防火墙或IPS开启了重要数据流应用层协议检测、过滤功能，可以对应用层 HTTP、FTP、TELNET、SMTP、 POP3等协议进行控制。 d）应在会话处于非活跃一定时间或会话结束后终止网络连接；访谈：访谈系统管理员，是否在会话处于非活跃一定时间或会话结束后终止网络连接；检查：输入命令show running，查看配置中是否存在命令设定管理会话的超时时间： line vty 0 4 exec-timeout x x 1）会话处于非活跃一定时间或会话结束后，交换机会终止网络连接； 2）交换机配置中存在会话超时相关配置。 e）应限制网络最大流量数及网络连接数；检查： 1）在网络岀口和核心网络处的交换机是否配置了网络最大流量数及网络连接数； 2）是否有专用的流量控制设备限制网络最大流量数及网络连接数。 1）网络岀口和核心网络处的交换机配置了合理QOS策略，优化了网络最大流量数； 2）通过专用的流量控制设备限制网络最大流量数及网络连接数。

新版等级保护三级管理测评.pdf

三级管理要求(S3A3G3) 等级保护三级管理类测评控制点(S3A3G3) 类别序号测评内容测评方法结果记录符合情况 Y N O 安全管理机构岗位设置 1. 应设立信息安全管理工作的职能部门，设立安全主管人、安全管理各个方面的负责人岗位，定义各负责人的职责。访谈，检查。安全主管，安全管理某方面的负责人，部门、岗位职责文件。 2. 应设立系统管理人员、网络管理人员、安全管理人员岗位，定义各个工作岗位的职责。 3. 应成立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领导委任或授权。 4. 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。人员配备 5. 应配备一定数量的系统管理员、网络管理员、安全管理员等。访谈，检查。安全主管，人员配备要求的相关文档，管理人员名单。 6.应配备专职安全管理员，不可兼任。 7.关键事务岗位应配备多人共同管理。授权和审批 8. 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。访谈，检查。安全主管，关键活动的批准人，审批事项列表，审批文档。 9. 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度。 10.应定期审查审批事项，及时更新需授权和审批的项目、

等级保护三级管理类测评控制点(S3A3G3) 类别序号测评内容测评方法结果记录符合情况 Y N O 审批部门和审批人等信息。 11.应记录审批过程并保存审批文档。沟通和合作12. 应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通，定期或不定期召开协调会议，共同协作处理信息安全问题。访谈，检查。安全主管，安全管理人员，会议文件，会议记录，外联单位说明文档。 ` 13. 应加强与兄弟单位、公安机关、电信公司的合作与沟通。 14. 应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。 15. 应建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息。 16. 应聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等。审核和检查17. 安全管理员应负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。访谈，检查。安全主管，安全员，安全检查记录。 18. 应由内部人员或上级单位定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。 19. 应制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报。

安全监督评价指导书(修订版).doc

安监［］年号建设工程施工安全监督评价指导书工程名称：建设单位：监理单位：施工单位：监督部门：四川省宝兴县建设工程质量安全监督总站

安全监督须知为加强我站建筑施工现场安全生产的监督检查，根据《中华人民共和国安全生产法》、《建设工程安全生产管理条例》（国务院令第393号）和《四川省建筑施工现场安全监督检查暂行办法》，现将有关意事项告知如下：一、开工安全生产条件审查（一）建设单位在申领《施工许可证》前，必须持下列资料到我站安全可进行施工安全监督备案： 1、中标施工企业安全生产许可证； 2、中标施工企业项目经理、安全员经建设行政主管部门安全生产能力考核合格的证明材料； 3、施工现场及毗邻区域内供水、排水、供电、供气、供热、通信、广播电视等地下管线资料，气象和水文观测资料，相邻建筑物和构筑物、地下工程的有关资料的交接证明材料。 4、填报《建设工程施工安全监督评价指导书》一式四份；（二）建设工程办理安全生产监督备案手续后，应由建设单位组织监理单位、施工单位进行安全生产条件自查，符合安全生产条件后，共同签署自查意见，向我站申请施工现场安全生产条件现场勘验。收到勘验申请后，我站将于三个工作日内到现场进行勘验，现场勘验包括以下内容： 1、建设单位与施工单位在施工合同中已经明确项目安全防护、文明施工措施总费用，以及费用预付计划、支付方式、使用要求、调整方式等条款； 2、建设单位、监理单位、施工单位已制定建设工程项目安全生产责任制度，并已确定本单位施工现场安全管理人员。施工单位已建立健全安全生产教育培训制度和安全技术交底制度等规章制度和操作规程，已签订文明施工责任书； 3、施工单位已结合工程特点编制了有针对性的施工组织设计和专项施工方案，并

医院等保三级测评方案、网络信息安全等级保护测评方案

医院网络信息系统三级等保测评方案北京XX科技有限公司 2019年8月

目录第1章方案概述 (5) 1.1 背景 (5) 1.2 方案设计目标 (7) 1.3 方案设计原则 (8) 1.4 方案设计依据 (9) 第2章信息系统定级情况 (12) 第3章安全需求分析 (13) 3.1 安全指标与需求分析 (13) 第4章信息安全体系框架设计 (16) 第5章管理体系整改方案 (17) 5.1 安全制度制定解决方案 (17) 5.1.1 策略结构描述 (17) 5.1.2 安全制度制定 (20) 5.1.3 满足指标 (21) 5.2 安全制度管理解决方案 (21) 5.2.1 安全制度发布 (21) 5.2.2 安全制度修改与废止 (22) 5.2.3 安全制度监督和检查 (22) 5.2.4 安全制度管理流程 (23) 5.2.5 满足指标 (26) 5.3 安全教育与培训解决方案 (27) 5.3.1 信息安全培训的对象 (27) 5.3.2 信息安全培训的内容 (28) 5.3.3 信息安全培训的管理 (29) 5.3.4 满足指标 (30) 5.4 人员安全管理解决方案 (30) 5.4.1 普通员工安全管理 (30) 5.4.2 安全岗位人员管理 (32) 5.4.3 满足指标 (37) 5.5 第三方人员安全管理解决方案 (37) 5.5.1 第三方人员短期访问安全管理 (38) 5.5.2 第三方人员长期访问安全管理 (39) 5.5.3 第三方人员访问申请审批流程信息表 (41) 5.5.4 第三方人员访问申请审批流程图 (42) 5.5.5 满足指标 (42) 5.6 系统建设安全管理解决方案 (43) 5.6.1 系统安全建设审批流程 (43) 5.6.2 项目立项安全管理 (44) 5.6.3 信息安全项目建设管理 (46) 5.6.4 满足指标 (50)

现场检测安全作业指导书

安全作业指导书二零一四年七月

一、目的全体员工树立“安全第一，预防为主”的方针，组织全体员工学习各种安全生产的规章制度，提高全员“安全生产”的意识。做好项目的安全建设工作，完善现场的安全设施，搞好现场安全管理工作，努力实现工程安全生产无死亡的目标。二、范围适用于从事现场检测工作人员的安全防护工作。三、职责 1、由主管领导和各部部长组成安全工作小组，全面负责检测现场的安全检查工作； 2、检查部质量监督员负责本部门安全保卫防护工作的日常监督管理； 3、企业管理部负责本机构安全保卫防护工作的日常管理、监督检查及验证； 4、企业管理部负责消防器材和防盗设备的配备、更新和查验。四、工作程序 1、安全教育检查部经常开展安全教育，学习安全常识，建立与检查工作相适应的安全责任制度，提高员工安全意识，并将安全工作落实到相关责任人。建立“安全教育制度”做好现场人员进场安全教育工作，建立现场“安全交底制度”，进场人员必须接受安全教育及培训。新入场人员要进行三级安全教育。 1.1、公司教育有： ①、一般教育（建筑工程的特点、安全要求和企业、项目当前的安全生产形势教育）； ②、安全生产法律法规和制度教育；

③、安全知识教育； ④、安全事故典型案例教育； 1.2、施工现场进行安全教育： ①、进入施工现场必须带好安全帽，扣好帽带，并正确使用个人劳动防护用品。 ②、2米以上的高处，悬空作业、无安全设施的，必须戴好安全带，扣好保险钩。 ③、高处作业时不准往上或往下乱抛材料和工具等物件。 ④、各种电动机械设备必须有可靠有效的安全接地和防雷装置，方能开动使用。 ⑤、无操作证人员，严禁使用机电设备（不含手持电动工具）。 1.3、各操作岗位安全教育：岗位教育包括经理（项目经理）教育、技术管理负责人员教育、安全管理负责人教育、安全员教育、劳务队管理人员教育、其他人员的教育。 1.3.1、项目经理教育包括： ①、国家有关安全生产的方针、政策、法律法规和标准的教育。 ②、上级有关安全生产的标准、规定、制度和要求的教育。 ③、安全生产工作决策、建立安全生产保证体系和安全生产责任制教育。 ④、处理好安全、进度、质量、效益的关系的教育。 ⑤、事故发生机理、预防工作和安全技术教育。 ⑥、典型事故案例分析和事故处理教育。 ⑦、安全检查要求和安全性评价知识教育。 ⑧、遵章指挥和其他安全管理注意事项教育。 1.3.2、安全管理负责人教育包括：

建设工程施工安全监督评价指导书详细版

文件编号：GD/FS-4394 （管理制度范本系列）建设工程施工安全监督评价指导书详细版 The Daily Operation Mode, It Includes All Implementation Items, And Acts To Regulate Individual Actions, Regulate Or Limit All Their Behaviors, And Finally Simplify The Management Process. 编辑：_________________ 单位：_________________ 日期：_________________

建设工程施工安全监督评价指导书详细版提示语：本管理制度文件适合使用于日常的规则或运作模式中，包含所有的执行事项，并作用于规范个体行动，规范或限制其所有行为，最终实现简化管理过程，提高管理效率。，文档所展示内容即为所得，可在下载完成后直接进行编辑。为加强我站建筑施工现场安全生产的监督检查，根据《中华人民共和国安全生产法》、《建设工程安全生产管理条例》（国务院令第393号）和《四川省建筑施工现场安全监督检查暂行办法》，现将有关意事项告知如下：一、开工安全生产条件审查（一）建设单位在申领《施工许可证》前，必须持下列资料到我站安全可进行施工安全监督备案： 1、中标施工企业安全生产许可证； 2、中标施工企业项目经理、安全员经建设行政主管部门安全生产能力考核合格的证明材料；

3、施工现场及毗邻区域内供水、排水、供电、供气、供热、通信、广播电视等地下管线资料，气象和水文观测资料，相邻建筑物和构筑物、地下工程的有关资料的交接证明材料。 4、填报《建设工程施工安全监督评价指导书》一式四份；（二）建设工程办理安全生产监督备案手续后，应由建设单位组织监理单位、施工单位进行安全生产条件自查，符合安全生产条件后，共同签署自查意见，向我站申请施工现场安全生产条件现场勘验。收到勘验申请后，我站将于三个工作日内到现场进行勘验，现场勘验包括以下内容： 1、建设单位与施工单位在施工合同中已经明确项目安全防护、文明施工措施总费用，以及费用预付计划、支付方式、使用要求、调整方式等条款；

系统运维管理安全测评指导书

系统运维管理安全测评指导书序号测评指标测评项检查方法预期结果 1环境管理a)访谈物理安全负责人，检查机房安全管理制度，机房进出登记表访谈： 1）运维负责人，何部门何人负责机房定期维护、周期； 2）运维负责人，何部门何人负责机房管理。检查：机房维护记录。 1）指定专门部门或专门人员负责机房定期维护； 2）指定专门部门或专门人员负责机房管理； 3）具备机房维护记录。 b)访谈物理安全负责人，检查机房安全管理制度，机房进出登记表访谈：运维负责人，何部门何人负责机房安全管理。指定专门部门或专门人员负责机房管理。 c)访谈物理安全负责人，检查机房安全管理制度，机房进出登记表检查：机房安全管理制度，覆盖机房物理访问、物品带进和带出机房、机房环境安全。具备机房安全管理制度，覆盖机房物理访问、物品带进和带出机房、机房环境安全。 d)访谈物理安全负责人，检查机房安全管理制度，机房进出登记表访谈：安全主管，保证办公环境的保密性采取了的控制措施。检查：办公环境管理文档，包括员工日常工作规范。制定了办公环境管理文档，内容包括规范办公环境人员行为，包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等。 2资产管理a)访谈安全主管，资产管理员，检查资产清单，资产安全管理制度。访谈：安全主管，何部门何人负责资产管理。检查：资产清单，覆盖资产责任部门、责任人、所处位置和重要程度。 1）指定专门的部门或人员负责资产管理； 2）具备资产清单，资产清单的内容覆盖资产责任部门、责任人、所处位置和重要程度等。 b)访谈安全检查：资产安全管理建立了资产安全管理

数据安全测评指导书

数据安全测评指导书测评单位名称：云南信龙科技有限公司被测单位名称：年月日 V1.0

一、系统概述本次需要进行测评的系统是（以下简称）。已经完成建设和验收工作。为单位规范、高效和系统的管理提供了一个稳定的计算机和网络系统平台，从而需要对该系统进行等级保护工作。二、安全保护等级通过自主定级为三级等级保护。本标准依据GB 17859-1999的五个安全保护等级的划分，根据数据安全在信息系统中的作用，规定了各个安全等级的数据安全所需要的基础安全技术的要求。本标准适用于按等级化的要求进行的数据安全的设计和实现，对按等级化要求进行的数据安全的测试和管理可参照使用。三、数据安全范围数据安全的范围包括：数据完整性（S3）、数据保密性（S3）、数据备份和恢复（A3）。四、测评指标 1、数据完整性（S3）：

a) 应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施； b) 应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。 2、数据保密性（S3）： a) 应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性； b) 应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。 3、数据备份和恢复（A3）： a) 应提供本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放； b) 应提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地； c) 应采用冗余技术设计网络拓扑结构，避免关键节点存在单点故障； d) 应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。五、控制点详细

建设工程施工安全监督评价指导书(正式)

编订：__________________ 单位：__________________ 时间：__________________ 建设工程施工安全监督评价指导书(正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑

文件编号：KG-AO-2159-97 建设工程施工安全监督评价指导书 (正式) 使用备注：本文档可用在日常工作场景，通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范，从而使得组织内人员按照既定标准、规范的要求进行操作，使日常工作或活动达到预期的水平。下载后就可自由编辑。为加强我站建筑施工现场安全生产的监督检查，根据《中华人民共和国安全生产法》、《建设工程安全生产管理条例》（国务院令第393号）和《四川省建筑施工现场安全监督检查暂行办法》，现将有关意事项告知如下：一、开工安全生产条件审查（一）建设单位在申领《施工许可证》前，必须持下列资料到我站安全可进行施工安全监督备案： 1、中标施工企业安全生产许可证； 2、中标施工企业项目经理、安全员经建设行政主管部门安全生产能力考核合格的证明材料； 3、施工现场及毗邻区域内供水、排水、供电、供气、供热、通信、广播电视等地下管线资料，气象和

水文观测资料，相邻建筑物和构筑物、地下工程的有关资料的交接证明材料。 4、填报《建设工程施工安全监督评价指导书》一式四份；（二）建设工程办理安全生产监督备案手续后，应由建设单位组织监理单位、施工单位进行安全生产条件自查，符合安全生产条件后，共同签署自查意见，向我站申请施工现场安全生产条件现场勘验。收到勘验申请后，我站将于三个工作日内到现场进行勘验，现场勘验包括以下内容： 1、建设单位与施工单位在施工合同中已经明确项目安全防护、文明施工措施总费用，以及费用预付计划、支付方式、使用要求、调整方式等条款； 2、建设单位、监理单位、施工单位已制定建设工程项目安全生产责任制度，并已确定本单位施工现场安全管理人员。施工单位已建立健全安全生产教育培训制度和安全技术交底制度等规章制度和操作规程，已签订文明施工责任书；

数据库安全测评指导书

1数据库安全测评指导书 MySQL安全测评序号测评指标测评项检查方法预期结果 1身份鉴别a)检查服务器的身份标识与鉴别和用户登录的配置情况。访谈: 1)访谈数据库管理员，询问数据库系统的身份标识和鉴别机制采用何种措施实现； 2)登录数据库系统，查看是否提示输入用户口令，然后以正确口令登录系统，再以错误口令或空口令重新登录，观察是否成功。 1)数据库系统使用口令鉴别机制对用户进行身份标识和鉴别； 2)登录时提示输入用户名和口令；以错误口令或空口令登录时提示登录失败，验证了登录控制功能的有效性； 3)数据库系统不存在密码为空的用户。 b)检查服务器的身份标识与鉴别和用户登录的配置情况。访谈： 1）访谈数据库管理员，询问数据库系统采取何种措施防止身份鉴别信息被冒用（如复杂性混有大小写字母、数字和特殊字符，口令周期等）；在安装时是否已经修改 root高权限用户的默认口令。并且在企业管理器中查看是否存在空口令用户； 2）询问数据库管理员，MySQL 数据库的口令管理要求(口令的长度、口令复杂性，口令更新周期)。 1)数据库的用户口令由大小写字母、数字和特殊字符组成； 2)以不符合复杂度要求和不符合长度要求的口令创建用户时均提示失败。 c)检查服务器的身份标识与鉴别和用户登录的配置情况。访谈：访谈数据库管理员，是否配置了鉴别失败处理功能，并设置了非法登录次数的限制值，对超过限制值的登录终止其鉴别会话或临时封闭帐号。手工检查： 1）查看 /etc/https://www.360docs.net/doc/aa12779097.html,f（Windows 1)数据库系统已启用登陆失败处理、结束会话、限制非法登录次数等措施； 2)当超过系统规定的非法登陆次数或时间时，系统锁定或自动断开连接。

等保三级基础知识

等保三级基础知识信息系统处理能力和连接能力在不断的提高。同时，基于网络连接的安全问题也日益突出，整体的网络安全主要表现在以下几个方面：网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。如何才能保证网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断，需要做到保证网络的物理安全，保证网络拓扑结构和系统的安全。一．如何才能保证网络的物理安全？物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故(如电磁污染等〉及人为操作失误或错误及各种计算机犯罪行为导致的破坏。物理安全是整个计算机信息系统安全的前提。为了获得完全的保护，物理安全措施是计算系统中必需的。物理安全主要包括三个方面：场地安全(环境安全):是指系统所在环境的安全，主要是场地与机房；设备安全:主要指设备的防盗、防毁、防电磁信息辐射、泄露、防止线路截获、抗电磁干扰及电源保护等)；介质安全（媒体安全）:包括媒体的数据的安全及媒体本身的安全。 1.场地安全

为了有效合理地对计算机机房进行保护，应对计算机机房划分出不同的安全等级，把应地提供不同的安全保护措施，根据GB9361-1988，计算机机房的安全等级分为A类、B类、C类三个基本类别。 A级机房:对计算机机房的安全有严格的要求，有完善的计算机计算机安全措施，具有最高的安全性和可靠性。 B级机房:对计算机机房的安全有严格的要求，有较完善的计算机计算机安全措施，安全性和可靠性介于A、C级之间。 C级机房:对计算机机房的安全有基本的要求，有基本的计算机安全措施，C级机房具有最低限度的安全性和可靠性。在实际的应用中，可根据使用的具体情况进行机房等级的设置，同一机房也可以对不同的设备(如电源、主机)设置不同的级别。 2.设备安全设备安全包括设备的防盗和防毁，防止电磁信息泄露，前置线路截获、抗电磁干扰一级电源的保护。其主要内容包括: (1)设备防盗。可以使用一定的防盗手段(如移动报警器、数字探测报警和部件上锁〉保护计算机系统设备和部件，以提高计算机信息系统设备和部件的安全性。

等级保护测评指导书

1物理安全测评指导书 1.1机房安全测评序号测评指标测评项检查方法预期结果 1 物理位置的选择 a)通过访谈物理安全负责人，检查机房，测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。访谈：询问物理安全负责人，现有机房和办公场地的环境条件是否具有基本的防震、防风和防雨能力。检查：检查机房和办公场地的设计/ 验收文档，查看机房和办公场所的物理位置选择是否符合要求。机房和办公场地的设计/验收文档中有关于机房和办公场所的物理位置选择的内容,并符合防震、防风和防雨能力要求。 b)通过访谈物理安全负责人，检查机房，测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。检查：检查机房场地是否避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁；检查机房场地是否避免设在强电场、强磁场、强震动源、强噪声源、重度环境污染、易发生水灾、火灾、易遭受雷击的地区。 1）机房没有在建筑物的高层或地下室，附近无用水设备； 2）机房附近无强电场、强磁场、强震动源、强噪声源、重度环境污染，机房建筑地区不发生水灾、火灾，不易遭受雷击。 2 物理访问控制 a)检查机房出入口等过程，测评信息系统在物理访问控制方面的安全防范能力。访谈： 1）询问物理安全负责人，了解具有哪些控制机房进出的能力，是否安排专人值守； 2）访谈机房值守人员，询问是否认真执行有关机房出入的管理制度，是否对进入机房的人员记录在案。 1）有专人值守和电子门禁系统； 2）出入机房需要登记，有相关记录。 b)检查机房出入口访谈：询问物理安全负责人，了解是 1）来访人员进入机房需经过申请、审

放射科质量与安全管理工作方案完整版

编号：TQC/K537 放射科质量与安全管理工作方案完整版 Through the proposed methods and Countermeasures to deal with, common types such as planning scheme, design scheme, construction scheme, the essence is to build accessible bridge between people and products, realize matching problems, correct problems. 【适用制定规则/统一目标/规范行为/增强沟通等场景】编写：________________________ 审核：________________________ 时间：________________________ 部门：________________________

放射科质量与安全管理工作方案完整版下载说明：本解决方案资料适合用于解决各类问题场景，通过提出的方法与对策来应付，常见种类如计划方案、设计方案、施工方案、技术措施，本质是人和产品之间建立可触达的桥梁，实现匹配问题，修正问题，预防未来出现同类问题。可直接应用日常文档制作，也可以根据实际需要对其进行修改。根据卫生部《放射诊疗管理规定》、《临床技术操作规范》的有关精神，结合我科实际情况，制定《放射科质量与安全管理工作方案》。一.建立质量管理目标：提高影像专业技术和管理水平，获得最佳影像质量，减少放射剂量，为临床诊断提供准确依据，达到代价—危害—利益三方面的最优化。 1.提高各级影像专业技术水平； 2.改善影像科各专业人员间的关系，全

等级保护三级管理测评.doc

三级管理要求 (S3A3G3) 等级保护三级管理类测评控制点(S3A3G3) 符合情况类别序号测评内容测评方法结果记录 Y N O 应设立信息安全管理工作的职能部门，设立安全主管 1. 人、安全管理各个方面的负责人岗位，定义各负责人的职责。应设立系统管理人员、网络管理人员、安全管理人员岗岗位 2. 访谈，检查。安全主管，安全管理某方位，定义各个工作岗位的职责。安全设置面的负责人，部门、岗位职责文件。管理 3. 应成立指导和管理信息安全工作的委员会或领导小机构组，其最高领导由单位主管领导委任或授权。应制定文件明确安全管理机构各个部门和岗位的职 4. 责、分工和技能要求。人员应配备一定数量的系统管理员、网络管理员、安全管访谈，检查。安全主管，人员配备要求 5. 配备理员等。的相关文档，管理人员名单。

等级保护三级管理类测评控制点(S3A3G3) 类别序号测评内容符合情况测评方法结果记录 Y N O 授权和审6. 7. 8. 9. 应配备专职安全管理员，不可兼任。关键事务岗位应配备多人共同管理。应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度。访谈，检查。安全主管，关键活动的批准人，审批事项列表，审批文档。批应定期审查审批事项，及时更新需授权和审批的项目、 10. 审批部门和审批人等信息。 11. 应记录审批过程并保存审批文档。沟通应加强各类管理人员之间、组织内部机构之间以及信和合12.息安全职能部门内部的合作与沟通，定期或不定期召作开协调会议，共同协作处理信息安全问题。访谈，检查。安全主管，安全管理人员，会议文件，会议记录，外联单位说明文 ` 档。