【正文】 ”標準中，要求只能采用可信計算技術(shù)，而此處卻只有查殺病毒方面的要求。四、標準草案第四稿，截止2016年8月22日，等級測評機構(gòu)反饋意見，2016年8月23日填寫36.第4章第4章中出現(xiàn) “等級保護測評”、“安全等級保護測評”、“等級測評”名詞，建議在第3章中明確其定義，并在全文使用中進行統(tǒng)一。37.“等級保護測評實施”的介紹或者解釋，因此建議將“等級保護測評實施的基本方法是針對特定的測評對象……”修改為“等級保護測評實施是針對特定的測評對象……”，并將“……給出達到特定級別安全保護能力的評判”修改為“……給出是否達到特定級別安全保護能力的評判”。電力行業(yè)信息安全等級保護測評中心第四實驗室部分采納：已做調(diào)整。電力行業(yè)信息安全等級保護測評中心第四實驗室采納：已做調(diào)整。電力行業(yè)信息安全等級保護測評中心第四實驗室采納：已做調(diào)整。電力行業(yè)信息安全等級保護測評中心第四實驗室采納：已做調(diào)整。電力行業(yè)信息安全等級保護測評中心第四實驗室采納：已做調(diào)整。電力行業(yè)信息安全等級保護測評中心第四實驗室采納：已做調(diào)整。電力行業(yè)信息安全等級保護測評中心第四實驗室采納：已做調(diào)整。45.）條，建議修改為“應測試用戶是否不存在可越權(quán)訪問情形”。46.“安全控制點測評是指對其所有要求項的符合程度進行分析和判定。電力行業(yè)信息安全等級保護測評中心第四實驗室采納：已做調(diào)整。48.建議機房安全的測評對象可細化到機房內(nèi)的對應設(shè)施。江蘇金盾楊超采納：已做調(diào)整。江蘇金盾楊超不采納：具體監(jiān)控內(nèi)容由各單位自行定義，需針對不同對象分別設(shè)置，如廠商人員和檢查人員的監(jiān)控內(nèi)容就不一樣。江蘇金盾楊超不采納：監(jiān)控視頻保存時間由各單位自行要求。江蘇金盾楊超不采納：測評流程中已明確，先進行整體測評，然后才能給出測評結(jié)論。江西神舟信息安全評估中心有限公司不采納：單項判定已明確哪些是必須要做到。55. a) a)機房場地應避免設(shè)在建筑物的頂層或地下室，否則應加強防水和防潮措施。江西神舟信息安全評估中心有限公司不采納：機房承重加固等屬于基礎(chǔ)設(shè)施建設(shè)相關(guān)范疇。建議增加應檢查門禁系統(tǒng)最長保存的記錄時間，門禁系統(tǒng)記錄數(shù)據(jù)是否保存3個月。具體保存時間各單位要求不一樣，不做規(guī)定，或建議至少保存3個月。建議機房內(nèi)設(shè)備或主要部件應明確包含通信線纜。58. c) c)1) 應檢查機房內(nèi)通信線纜是否鋪設(shè)在隱蔽處。江西神舟信息安全評估中心有限公司采納：調(diào)整為 應檢查機房內(nèi)通信線纜是否鋪設(shè)在隱蔽處或橋架中。建議改為“機房應設(shè)置視頻監(jiān)控系統(tǒng)，并設(shè)置防盜報警系統(tǒng)或安排專人值守”。60. c) c)2）應檢查防盜報警系統(tǒng)或視頻監(jiān)控系統(tǒng)是否啟用。江西神舟信息安全評估中心有限公司不采納：由其他標準規(guī)定。江西神舟信息安全評估中心有限公司不采納：。江西神舟信息安全評估中心有限公司不采納：備用供電時間與設(shè)備規(guī)模密切相關(guān)，各單位對斷電事故的容忍度不一。江西神舟信息安全評估中心有限公司采納：已做調(diào)整。65. a) a) 應能夠?qū)?nèi)部用戶私自聯(lián)到外部網(wǎng)絡的行為進行限制或檢查；建議改為“應能夠?qū)?nèi)部用戶私自聯(lián)到外部網(wǎng)絡的行為進行檢查和限制；”江西神舟信息安全評估中心有限公司不采納：這是基本要求原條款要求。建議增加“安全管理系統(tǒng)”江西神舟信息安全評估中心有限公司不采納：無法定義安全管理系統(tǒng)。江西神舟信息安全評估中心有限公司不采納：標準要求的是進行收集匯總和集中分析。建議明確復雜度具體要求，如口令長度，數(shù)字、字母、字符組合；明確定期更換時間。69.)) 應遵循最小安裝的原則，僅安裝需要的組件和應用程序。江西神舟信息安全評估中心有限公司不采納：。江西神舟信息安全評估中心有限公司不采納：可信計算技術(shù)具體實現(xiàn)的方式不是本標準范圍。建議增加一個測評指標：應根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定。72. c) c)4）應檢查鑒別信息是否具有復雜度要求并定期更換；建議明確口令復雜度要求和更換時間。73. d) d) 如果 1）2）均為肯定，則等級保護對象符合本單項測評指標要求，否則，等級保護對象不符合或部分符合本單項測評指標要求。江西神舟信息安全評估中心有限公司采納：改為1）或2）為肯定，則等級保護對象符合本單項測評指標要求，否則，等級保護對象不符合或部分符合本單項測評指標要求。江西神舟信息安全評估中心有限公司不采納：應用系統(tǒng)審計進程可以和系統(tǒng)進程在一起。江西神舟信息安全評估中心有限公司不采納：人員配備最低要求由單位根據(jù)實際設(shè)置，標準要求有專職人員。建議對環(huán)境管理的機房管理員應明確機房管理員的專業(yè)技能，特別是部分基礎(chǔ)設(shè)施和設(shè)備的使用操作。77.))1）應訪談物理安全負責人，詢問是否指定部門和人員負責機房安全管理工作，對機房的出入進行管理、對基礎(chǔ)設(shè)施（如空調(diào)、供配電設(shè)備、滅火設(shè)備等）進行定期維護，由何部門/何人負責；建議增加“查看機房基礎(chǔ)設(shè)施的巡檢記錄”要求。78. a) a) 應根據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標識管理，根據(jù)資產(chǎn)的價值選擇相應的管理措施；資產(chǎn)的范圍太廣泛，此處應重點強調(diào)信息系統(tǒng)相關(guān)的資產(chǎn)（含實體設(shè)備、信息資產(chǎn)及數(shù)據(jù)資產(chǎn)）。79. 安全事件處置?！?；等級保護定義中就明確了安全事件分級管理，這是國家信息安全保障體系中的重要環(huán)節(jié)，也是各單位在事件響應時如何界定和資源投入的關(guān)鍵指導。80. 建議增加對滅火設(shè)備放置位置的檢查內(nèi)容。81. 建議增加測試內(nèi)容，可以分析傳輸數(shù)據(jù)。82. 第3），應為“是否沒有其他未受控端口進行跨越邊界的網(wǎng)絡通信”。83. 第1）項應該是包含2）、3）吧？是否重復了？限制非法登錄次數(shù)后的處理機制不僅僅是鎖定賬戶，還可以鎖定IP、鎖定賬戶一段時間等，建議寫成開放性說法：“配置了非法登錄次數(shù)閾值及啟用了鎖定賬戶等處置措施。保留3）。84. 在這里的測試是否應該考慮權(quán)限的合理性？明確權(quán)限分配原則？“如果1）2）均為肯定”，應改為“如果2）為肯定”。85. 判定與要求不符，要求是“或”的關(guān)系，在判定里面是“且”的關(guān)系。86. 建議將“確認”改為“檢查”，測試方法中沒有“確認”。信息產(chǎn)業(yè)信息安全測評中心采納：調(diào)整為2) 應確認是否已經(jīng)關(guān)閉非必要的組件和應用程序。信息產(chǎn)業(yè)信息安全測評中心不采納：高危端口是基本要求中的提法。信息產(chǎn)業(yè)信息安全測評中心采納：測評實施調(diào)整為1) 應查看防惡意代碼工具的安裝和使用情況，檢查是否定期進行升級和更新防惡意代碼庫?！皯獪y試應用系統(tǒng)對用戶身份標識有效性是否進行鑒別”不太通順，意思是否是“應測試應用系統(tǒng)的用戶身份標識與鑒別措施是否有效”。90.全文全文，個人認為將“空密碼用戶”改為“不需要鑒別的用戶”更嚴謹。91. 1）應該包含3）了吧？信息產(chǎn)業(yè)信息安全測評中心不采納：1）測評的是有安全措施，3）測評的是具體的安全措施。信息產(chǎn)業(yè)信息安全測評中心采納已調(diào)整順序。信息產(chǎn)業(yè)信息安全測評中心不采納：標準內(nèi)容是或的關(guān)系，不是必要條件。