【正文】 要求變動(dòng)進(jìn)行修訂。34. 惡意代碼防范管理，缺少相對(duì)應(yīng)的對(duì)可信計(jì)算技術(shù)的管理要求。IBM采納：隨基本要求變動(dòng)進(jìn)行修訂。35. 惡意代碼防范管理，在“基本要求”標(biāo)準(zhǔn)中，要求只能采用可信計(jì)算技術(shù)，而此處卻只有查殺病毒方面的要求。IBM采納：隨基本要求變動(dòng)進(jìn)行修訂。四、標(biāo)準(zhǔn)草案第四稿，截止2016年8月22日，等級(jí)測評(píng)機(jī)構(gòu)反饋意見，2016年8月23日填寫36.第4章第4章中出現(xiàn) “等級(jí)保護(hù)測評(píng)”、“安全等級(jí)保護(hù)測評(píng)”、“等級(jí)測評(píng)”名詞，建議在第3章中明確其定義，并在全文使用中進(jìn)行統(tǒng)一。電力行業(yè)信息安全等級(jí)保護(hù)測評(píng)中心第四實(shí)驗(yàn)室采納：全文調(diào)整。37.“等級(jí)保護(hù)測評(píng)實(shí)施”的介紹或者解釋，因此建議將“等級(jí)保護(hù)測評(píng)實(shí)施的基本方法是針對(duì)特定的測評(píng)對(duì)象……”修改為“等級(jí)保護(hù)測評(píng)實(shí)施是針對(duì)特定的測評(píng)對(duì)象……”，并將“……給出達(dá)到特定級(jí)別安全保護(hù)能力的評(píng)判”修改為“……給出是否達(dá)到特定級(jí)別安全保護(hù)能力的評(píng)判”。，可以考慮合并。電力行業(yè)信息安全等級(jí)保護(hù)測評(píng)中心第四實(shí)驗(yàn)室部分采納：已做調(diào)整。38. ，“單項(xiàng)測評(píng)”。電力行業(yè)信息安全等級(jí)保護(hù)測評(píng)中心第四實(shí)驗(yàn)室采納：已做調(diào)整。39.）條，建議修改為“應(yīng)檢查設(shè)備訪問控制策略，訪談安全管理員每一條策略的用途，查看是否不存在多余或無效的訪問控制策略”。電力行業(yè)信息安全等級(jí)保護(hù)測評(píng)中心第四實(shí)驗(yàn)室采納：已做調(diào)整。40.）條，與測評(píng)指標(biāo)無關(guān)，建議修改為“應(yīng)檢查管理用戶權(quán)限是否為其工作任務(wù)所需的最小權(quán)限”。電力行業(yè)信息安全等級(jí)保護(hù)測評(píng)中心第四實(shí)驗(yàn)室采納：已做調(diào)整。41.，建議不要列出測評(píng)對(duì)象“服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)”，與“b) 測評(píng)對(duì)象無法對(duì)應(yīng)”，在理解上容易混淆。電力行業(yè)信息安全等級(jí)保護(hù)測評(píng)中心第四實(shí)驗(yàn)室采納：已做調(diào)整。42.）條，建議修改為“應(yīng)確認(rèn)是否已關(guān)閉非必要的高危端口”。電力行業(yè)信息安全等級(jí)保護(hù)測評(píng)中心第四實(shí)驗(yàn)室采納：已做調(diào)整。43.）條，建議修改為“應(yīng)進(jìn)行漏洞掃描，檢查是否不存在高風(fēng)險(xiǎn)漏洞”。電力行業(yè)信息安全等級(jí)保護(hù)測評(píng)中心第四實(shí)驗(yàn)室采納：已做調(diào)整。44. 節(jié)測評(píng)實(shí)施第5）條，建議修改為“應(yīng)檢查用戶配置信息或訪談應(yīng)用系統(tǒng)管理員，查看是否不存在空密碼用戶”電力行業(yè)信息安全等級(jí)保護(hù)測評(píng)中心第四實(shí)驗(yàn)室采納：已做調(diào)整。45.）條，建議修改為“應(yīng)測試用戶是否不存在可越權(quán)訪問情形”。電力行業(yè)信息安全等級(jí)保護(hù)測評(píng)中心第四實(shí)驗(yàn)室采納：已做調(diào)整。46.“安全控制點(diǎn)測評(píng)是指對(duì)其所有要求項(xiàng)的符合程度進(jìn)行分析和判定?！敝小捌洹崩斫馍先菀子衅缌x，建議修改為“單個(gè)控制點(diǎn)中”。電力行業(yè)信息安全等級(jí)保護(hù)測評(píng)中心第四實(shí)驗(yàn)室采納：已做調(diào)整。47.“如果經(jīng)過綜合分析單項(xiàng)測評(píng)中的不符合項(xiàng)或部分符合項(xiàng)不造成系統(tǒng)整體安全保護(hù)能力的缺失，該安全控制點(diǎn)的測評(píng)結(jié)論應(yīng)調(diào)整為符合”的情況，那如果在安全控制點(diǎn)間和層面間分析時(shí)發(fā)現(xiàn)不能完全形成彌補(bǔ)效果，即相應(yīng)控制點(diǎn)測評(píng)結(jié)論無法調(diào)整為符合時(shí)應(yīng)該怎么處理？是否也應(yīng)該在此說明？電力行業(yè)信息安全等級(jí)保護(hù)測評(píng)中心第四實(shí)驗(yàn)室不采納：“安全控制點(diǎn)、安全控制點(diǎn)間、層面間”測評(píng)是并列關(guān)系，有一個(gè)不符合則該控制點(diǎn)為不符合。48.建議機(jī)房安全的測評(píng)對(duì)象可細(xì)化到機(jī)房內(nèi)的對(duì)應(yīng)設(shè)施。江蘇金盾楊超不采納：標(biāo)準(zhǔn)粒度不宜過于細(xì)化49. 測評(píng)單元（L2PES103）C）測評(píng)實(shí)施中1）和2）感覺內(nèi)容上有重復(fù)，建議刪掉一條，再增加一條對(duì)專人值守記錄或機(jī)房人員進(jìn)出記錄驗(yàn)證的條款。江蘇金盾楊超采納：已做調(diào)整。50. 測評(píng)單元（L2PES104）c) 測評(píng)實(shí)施中 建議對(duì)監(jiān)控記錄進(jìn)行細(xì)化，明確監(jiān)控記錄需包含哪些內(nèi)容，如人員進(jìn)出記錄、視頻監(jiān)控記錄等。江蘇金盾楊超不采納：具體監(jiān)控內(nèi)容由各單位自行定義，需針對(duì)不同對(duì)象分別設(shè)置，如廠商人員和檢查人員的監(jiān)控內(nèi)容就不一樣。51. 測評(píng)單元（L3PES106）C）測評(píng)實(shí)施中增加監(jiān)控視頻可回放時(shí)間要求，如至少90天。江蘇金盾楊超不采納：監(jiān)控視頻保存時(shí)間由各單位自行要求。52.。江蘇金盾楊超不采納：測評(píng)流程中已明確，先進(jìn)行整體測評(píng)，然后才能給出測評(píng)結(jié)論。53.第9章測評(píng)實(shí)施及單項(xiàng)判斷中未明確一票否決項(xiàng)，即哪一分項(xiàng)不符合則該指標(biāo)項(xiàng)直接判定為不符合。江西神舟信息安全評(píng)估中心有限公司不采納：單項(xiàng)判定已明確哪些是必須要做到。54.全文網(wǎng)絡(luò)設(shè)備“安全審計(jì)”部分歸入“網(wǎng)絡(luò)和通信安全”層面，但“身份鑒別”等層面確歸入“設(shè)備與計(jì)算安全層面”，現(xiàn)場測評(píng)與結(jié)果記錄如何明確？江西神舟信息安全評(píng)估中心有限公司不采納：本標(biāo)準(zhǔn)根據(jù)基本要求條款編制。55. a) a)機(jī)房場地應(yīng)避免設(shè)在建筑物的頂層或地下室，否則應(yīng)加強(qiáng)防水和防潮措施。建議增加一個(gè)指標(biāo)項(xiàng)：UPS電池間應(yīng)采取承重加固。江西神舟信息安全評(píng)估中心有限公司不采納：機(jī)房承重加固等屬于基礎(chǔ)設(shè)施建設(shè)相關(guān)范疇。56. c) c）2）應(yīng)檢查電子門禁系統(tǒng)是否可以鑒別、記錄進(jìn)入的人員信息。建議增加應(yīng)檢查門禁系統(tǒng)最長保存的記錄時(shí)間，門禁系統(tǒng)記錄數(shù)據(jù)是否保存3個(gè)月。江西神舟信息安全評(píng)估中心有限公司部分采納：增加應(yīng)檢查門禁系統(tǒng)記錄數(shù)據(jù)的保存時(shí)間。具體保存時(shí)間各單位要求不一樣，不做規(guī)定，或建議至少保存3個(gè)月。57. c) c)1）應(yīng)檢查機(jī)房內(nèi)設(shè)備或主要部件是否固定；2）應(yīng)檢查機(jī)房內(nèi)設(shè)備或主要部件上是否設(shè)置了明顯且不易除去的標(biāo)記。建議機(jī)房內(nèi)設(shè)備或主要部件應(yīng)明確包含通信線纜。江西神舟信息安全評(píng)估中心有限公司不采納：標(biāo)準(zhǔn)中主要部件不宜一一列舉。58. c) c)1) 應(yīng)檢查機(jī)房內(nèi)通信線纜是否鋪設(shè)在隱蔽處。建議調(diào)整，因?yàn)橥ㄐ啪€纜除了可鋪設(shè)在隱蔽處（地下或管道中），還應(yīng)允許鋪設(shè)在橋架中。江西神舟信息安全評(píng)估中心有限公司采納：調(diào)整為 應(yīng)檢查機(jī)房內(nèi)通信線纜是否鋪設(shè)在隱蔽處或橋架中。59. a) a) 應(yīng)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)或設(shè)置有專人值守的視頻監(jiān)控系統(tǒng)。建議改為“機(jī)房應(yīng)設(shè)置視頻監(jiān)控系統(tǒng)，并設(shè)置防盜報(bào)警系統(tǒng)或安排專人值守”。江西神舟信息安全評(píng)估中心有限公司不采納：修改建議變成了必須要求有視頻監(jiān)控系統(tǒng)，違背了標(biāo)準(zhǔn)原要求。60. c) c)2）應(yīng)檢查防盜報(bào)警系統(tǒng)或視頻監(jiān)控系統(tǒng)是否啟用。建議明確監(jiān)控記錄保存時(shí)間。江西神舟信息安全評(píng)估中心有限公司不采納：由其他標(biāo)準(zhǔn)規(guī)定。61. c) c)1）應(yīng)訪談機(jī)房管理員是否進(jìn)行了區(qū)域劃分；建議增加細(xì)則要求，例如UPS電池應(yīng)與重要設(shè)備一定要設(shè)置防火隔離措施。江西神舟信息安全評(píng)估中心有限公司不采納：。62. a) a) 應(yīng)提供短期的備用電力供應(yīng)，至少滿足設(shè)備在斷電情況下的正常運(yùn)行要求；建議明確備用供電時(shí)間，例如2小時(shí)。江西神舟信息安全評(píng)估中心有限公司不采納：備用供電時(shí)間與設(shè)備規(guī)模密切相關(guān)，各單位對(duì)斷電事故的容忍度不一。63. c) c)1）應(yīng)訪談網(wǎng)絡(luò)管理員并查看網(wǎng)絡(luò)拓?fù)鋱D，檢查重要網(wǎng)路區(qū)域不能部署在網(wǎng)絡(luò)邊界處且直接連接外部等級(jí)保護(hù)對(duì)象；建議將網(wǎng)路改為“網(wǎng)絡(luò)”