安全檢查表格式大匯總

1、安全狀況調(diào)查表1. 安全管理機(jī)構(gòu)安全組織體系是否健全，管理職責(zé)是否明確，安全管理機(jī)構(gòu)崗位 設(shè)置、人員配備是否充分合理。序號檢查項結(jié)果備注1.信息安全管理機(jī)構(gòu) 設(shè)置口以下發(fā)公文方式正式設(shè)置了信息安全管理工 作的專門職能機(jī)構(gòu)。口設(shè)立了信息安全管理工作的職能機(jī)構(gòu)，但還不 是專門的職能機(jī)構(gòu)?？谄渌?。2.信息安全管理職責(zé) 分工情況口信息安全管理的各個方面職責(zé)有正式的書面 分工，并明確具體的責(zé)任人。有明確的職責(zé)分工，但責(zé)任人不明確?？谄渌?.人員配備口配備一定數(shù)量的系統(tǒng)管理人員、網(wǎng)絡(luò)管理人 員、安全管理人員等；安全管理人員不能兼任網(wǎng) 絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等?？谂鋫湟欢〝?shù)量的系統(tǒng)管理人員、網(wǎng)

2、絡(luò)管理人 員、安全管理人員等，但安全管理人員兼任網(wǎng)絡(luò) 管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等?？谄渌?。4.關(guān)鍵Jc王呂理活動 的授權(quán)和審批口定義關(guān)鍵安全管理活動的列表，并有正式成文 的審批程序，審批活動有完整的記錄。口有正式成文的審批程序，但審批活動沒有完整 的記錄?？谄渌?.與外部組織溝通合 作口與外部組織建立溝通合作機(jī)制，并形成正式文 件和程序?？谂c外部組織僅進(jìn)行了溝通合作的口頭承諾?？谄渌?。6.與組織機(jī)構(gòu)內(nèi)部溝 通合作口各部門之間建立溝通合作機(jī)制，并形成正式文 件和程序 ?？诟鞑块T之間的溝通合作基于慣例，未形成正式 文件和程序?？谄渌?. 安全管理制度安全策略及管理規(guī)章制度的完善性、 可

3、行性和科學(xué)性的有關(guān)規(guī)章 制度的制定、發(fā)布、修訂及執(zhí)行情況。檢查項結(jié)果備注1信息安全策略口明確信息安全策略，包括總體目標(biāo)、范圍、原則和 安全框架等內(nèi)容?？诎ㄏ嚓P(guān)文件，但內(nèi)容覆蓋不全面?？谄渌?安全管理制度口安全管理制度覆蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、 應(yīng)用、建設(shè)和管理等層面的重要管理內(nèi)容。口有安全管理制度，但不全而面?？谄渌?操作規(guī)程口應(yīng)對安全管理人員或操作人員執(zhí)行的重要管理操作 建立操作規(guī)程?？谟胁僮饕?guī)程，但不全面。口其它。4安全管理制度的論證和審定口組織相關(guān)人員進(jìn)行正式的論證和審定，具備論證或 審定結(jié)論?？谄渌?。5安全管理制度 的發(fā)布口文件發(fā)布具備明確的流程、方式和對象范圍。口部分文件的

4、發(fā)布不明確?？谄渌?。6安全管理制度 的維護(hù)口有正式的文件進(jìn)行授權(quán)專門的部門或人員負(fù)責(zé)安全 管理制度的制定、保存、銷毀、版本控制，并定期評 審與修訂?？诎踩芾碇贫确稚⒐芾恚敝ㄆ谛抻??？谄渌?執(zhí)行情況口所有操作規(guī)程的執(zhí)行都具備詳細(xì)的記錄文檔。邙6分操作規(guī)程的執(zhí)行都具備詳細(xì)的記錄文檔?？谄渌?. 人員安全管理人員的安全和保密意識教育、安全技能培訓(xùn)情況，重點(diǎn)、敏感崗 位人員有無特殊管理措施以及對外來人員的管理情況。序號檢查項結(jié)果備注1.重點(diǎn)、敏感 崗位人員 錄用和審 查口為與信息安全密切相關(guān)的重點(diǎn)、敏感崗位人員制定特殊的 錄用要求。對被錄用人的身份、背景和專業(yè)資格進(jìn)行審查， 對技術(shù)人貝的技術(shù)

5、技能進(jìn)行考核，有嚴(yán)格的制度規(guī)7E要求。口其它。2保密協(xié)議的簽署口與從事關(guān)鍵崗位的人員簽署保密協(xié)議，包括保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人簽字等內(nèi)容。口其它。3人員離崗口規(guī)范人員離崗過程，有具體的離崗控制方法，及時終止離 崗人員的所有訪問權(quán)限并取回各種身份證件、 鑰匙、徽章等 以及機(jī)構(gòu)提供的軟硬件設(shè)備。口其它。4安全意識 教育口根據(jù)崗位要求進(jìn)行有針對性的信息安全意識培訓(xùn)。口未根據(jù)崗位要求進(jìn)行有針對性的信息安全意識培訓(xùn)，僅開展全員安全意識教育。口其它。5安全技能 培訓(xùn)口制定了有針對性的安全技能培訓(xùn)計劃，培訓(xùn)內(nèi)容包含信息安全基礎(chǔ)知識、崗位操作規(guī)程等，并認(rèn)真實(shí)施，而且有培訓(xùn) 記錄。r

6、 口安全技能培訓(xùn)針對性不強(qiáng)，效果不顯著。口其它。6在崗人員 考核定期對所有人員進(jìn)行安全技能及安全知識的考核，對重 點(diǎn)、敏感岡位的人貝進(jìn)行全面、嚴(yán)格的安全申查?？趦H對重點(diǎn)、敏感岡位的人貝進(jìn)仃全面、嚴(yán)格的安全申查， 未普及到全員?？谄渌?。7懲戒措施口 h人員相關(guān)的安全責(zé)任和懲戒措施，并對違反違背安全 策略和規(guī)定的人員進(jìn)行懲戒。有懲戒措施，但效果不佳。口其它。8外部人員訪問管理口外部人員訪問受控區(qū)咐得到授權(quán)或?qū)徟?，批?zhǔn)后由專人 全程陪同或監(jiān)督，并登記備案。口外部人員訪問受控區(qū)咐得到授權(quán)或?qū)徟?，但不能全程?同或監(jiān)督?？谄渌?. 系統(tǒng)建設(shè)管理關(guān)鍵資產(chǎn)采購時是否進(jìn)行了安全性測評， 對服務(wù)機(jī)構(gòu)和人員的保

7、密約束情況如何，在服務(wù)提供過程中是否采取了管控措施。 信息系統(tǒng)開發(fā)過程中設(shè)計、開發(fā)和驗(yàn)收的管理情況序號檢查項結(jié)果備注1關(guān)鍵資產(chǎn)米購時進(jìn)行安全性測評3目關(guān)專門部門負(fù)責(zé)產(chǎn)品的米購，產(chǎn)品的選用符合國家的有關(guān)規(guī)定。 資產(chǎn)采購之前進(jìn)行選型測試，確定產(chǎn)品的候選范圍，具。品選型測試結(jié)果、 候選產(chǎn)品名單審定記錄 或更新的候選廣品名單，經(jīng)過主管信息安全領(lǐng)導(dǎo)批準(zhǔn)。口專門部門負(fù)葉品的米購，產(chǎn)品的選用符合國家的有關(guān)規(guī) 定。口關(guān)鍵資產(chǎn)米購未進(jìn)行安全性測試或未經(jīng)過主管信息安全 領(lǐng)導(dǎo)批準(zhǔn)。2服務(wù)機(jī)構(gòu)和人員的選擇口在具有資格的服務(wù)機(jī)構(gòu)中進(jìn)行選擇，通過內(nèi)部和專家的評選。對服務(wù)機(jī)構(gòu)的人員，審查其所具有的資格?？趯Ψ?wù)機(jī)構(gòu)的能力進(jìn)

8、行了詳細(xì)的宙查?？诜?wù)機(jī)構(gòu)和人員的選擇未經(jīng)過審查和篩選。3保密約束口簽訂的安全責(zé)任合同書或保密協(xié)議包含服務(wù)內(nèi)容、保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字 等。定期考察其服務(wù)質(zhì)量和保密情況?？诤炗喌陌踩?zé)任合同書或保密協(xié)議明確規(guī)定各項內(nèi)容。但無監(jiān)督考察機(jī)制。口未簽訂合約或簽訂了安全責(zé)任合問書或保密協(xié)議，但服務(wù)氾圍、女全責(zé)任等未明確規(guī)7E。4服務(wù)管控措 施口制定了詳細(xì)的服務(wù)審核要求和規(guī)范。對服務(wù)提供過程中的重要操作進(jìn)行審核，并要求服務(wù)機(jī)構(gòu)定期提供服務(wù)的情況匯 總。每半年組織內(nèi)部檢查，審查服務(wù)機(jī)構(gòu)的服務(wù)質(zhì)量。r口定期進(jìn)行檢查。但缺之規(guī)范的檢查內(nèi)容和要求。r 未米用任何呂控指施。5系

9、統(tǒng)安全方案制7E口根據(jù)信息系統(tǒng)安全保障要求，書而心日以描述，形成能 指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采購和使用的詳細(xì)設(shè)計方案， 并經(jīng)過專家論證和審定?？谛纬赡苤笇?dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品米購和使用的概要設(shè) 計方案，內(nèi)部相關(guān)部門審定。口缺之體系化的安全方案。6信息系統(tǒng)開 發(fā)口根據(jù)軟件開發(fā)管理制度，各類開發(fā)文檔齊全，信息系統(tǒng)均 經(jīng)過功能、安全測試，并形成測試報告?？陂_發(fā)文檔不全面，僅在內(nèi)部進(jìn)行功能測試。口無開發(fā)文檔，或外包開發(fā)，沒有源代碼或有源代碼但未經(jīng) 過全面的安全測試。7信息系統(tǒng)建 設(shè)實(shí)施過程 進(jìn)度和質(zhì)里 控制制正詳細(xì)的頭施方案， 并經(jīng)過審正和批準(zhǔn)，指7E或授權(quán)專 門的部門或人員按照實(shí)施方案的要求控制

10、整個過程。制正間要頭施方案，指7E或授權(quán)專門的部門或人貝控制整 個過程?？跓o實(shí)施方案或無專人管理實(shí)施過程。8.信息系統(tǒng)驗(yàn)口制定驗(yàn)收方案，組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗(yàn)收收報告進(jìn)行審定，詳細(xì)記錄驗(yàn)收結(jié)果，形成驗(yàn)收報告。重要的信息系統(tǒng)在驗(yàn)收前，組織專業(yè)的第三方測評機(jī)構(gòu)進(jìn)行測評。口組織了驗(yàn)收活動，但缺乏專業(yè)人員進(jìn)行全面的驗(yàn)收測試。口未組織驗(yàn)收。5. 系統(tǒng)運(yùn)維管理設(shè)備、系統(tǒng)的操作和維護(hù)記錄，變更管理，安全事件分析和報告;運(yùn)行環(huán)境與開發(fā)環(huán)境的分離情況；安全審計、補(bǔ)丁升級管理、安全漏洞檢測、網(wǎng)管、權(quán)限管理及密碼管理等情況，重點(diǎn)檢查系統(tǒng)性能的監(jiān) 控措施及運(yùn)行狀況序號檢查項結(jié)果備注1.環(huán)境管理口有機(jī)房安全

11、管理制度，并配備機(jī)房安全管理人員，對機(jī)房 供配電等設(shè)施、設(shè)備和人員出入機(jī)房進(jìn)行嚴(yán)格管理。口配備機(jī)房安全管理人員，對機(jī)房供配電等設(shè)施、設(shè)備和人 員出入機(jī)房進(jìn)行管理?？谄渌?。2.資產(chǎn)管理口資產(chǎn)清單記錄內(nèi)容與實(shí)際使用的計算機(jī)設(shè)備及其屬性內(nèi) 容完全一致?？谫Y產(chǎn)清單內(nèi)容與實(shí)際使用的計算機(jī)設(shè)備及其屬性內(nèi)容，在數(shù)量上一致，但在部分屬性記錄上有偏差?？谄渌?。3.介質(zhì)管理口對介質(zhì)的存放環(huán)境、使用、維護(hù)和銷毀等方面米取嚴(yán)格的 控制措施。口對介質(zhì)的存放環(huán)境、使用、維護(hù)和銷毀等方面米取了部分 控制措施。口其它。4.設(shè)備管理口對信息系統(tǒng)相關(guān)的各種設(shè)備、線路等指定專門的部門或人 員定期進(jìn)行維護(hù)管理?？趯π畔⑾到y(tǒng)相關(guān)的各種

12、設(shè)備、線路等指定專門的部門或人 員不定期進(jìn)行維護(hù)管理?？谄渌?.生產(chǎn)環(huán)境與開發(fā)環(huán)境的分離口生產(chǎn)環(huán)境與開發(fā)環(huán)境隔離。口其它。6.系統(tǒng)監(jiān)控口對通信線路、關(guān)鍵服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行情 況能夠?qū)崟r監(jiān)測，并能及時分析報警日志?？趯νㄐ啪€路、關(guān)鍵服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行情 況能夠不定期監(jiān)測，并能定期分析報警日志。口其它。7.變更管理口系統(tǒng)發(fā)生重要變更前， 以書面形式向主管領(lǐng)導(dǎo)申請， 審批 后實(shí)施變更，并在實(shí)施后向相關(guān)人員通告，相關(guān)記錄保存完好。口系統(tǒng)發(fā)生重要變更前，向主管領(lǐng)導(dǎo)申請，審批后實(shí)施變更， 并在實(shí)施后向相關(guān)人員通告?？谄渌?。8.補(bǔ)丁管理P口補(bǔ)丁更新及時，并能在測試環(huán)境測試后安裝

13、到運(yùn)行環(huán)境。口大部分計算機(jī)設(shè)備的補(bǔ)丁更新及時，只有少數(shù)由于應(yīng)用軟件代碼不兼容而導(dǎo)致服務(wù)器補(bǔ)丁更新不及時?？谄渌?。9.安全事件 管理口制定安全事件報告和處置管理制度，能及時響應(yīng)安全事 故，并從安全事故中學(xué)習(xí)總結(jié)。口能及時響應(yīng)安全事故?？谄渌?0.風(fēng)險評估口信息系統(tǒng)投入運(yùn)行后，應(yīng)每年至少進(jìn)行一次關(guān)鍵業(yè)務(wù)或關(guān) 鍵風(fēng)險點(diǎn)的信息安全風(fēng)險評估， 每三年或信息系統(tǒng)發(fā)生重大 變更時，進(jìn)行一次全面的信息安全風(fēng)險評估工作?？谛畔⑾到y(tǒng)投入運(yùn)行后，每兩年進(jìn)行一次關(guān)鍵業(yè)務(wù)的信息安 全風(fēng)險評估?？谄渌?。6. 物理安全機(jī)房安全管控措施、防災(zāi)措施、供電和通信系統(tǒng)的保障措施等。序號檢查項結(jié)果備注1物理位置選擇。機(jī)房和辦公場地

14、所在的 建筑，抗拒人為破壞和 自然災(zāi)害的能力?？跈C(jī)房和辦公場地所在的建筑周邊具備防止 無關(guān)人員接近的措施，并且根據(jù)當(dāng)?shù)氐淖匀画h(huán) 境設(shè)置了必要的防震、防火和防水的措施?？跈C(jī)房和辦公場地所在的建筑具備基本的抗 拒人為破壞和自然災(zāi)害的能力，但防護(hù)強(qiáng)度有 待提高?？谄渌?機(jī)房出入控制情況口設(shè)置專人和自動化技術(shù)措施，對出入機(jī)房的 人員進(jìn)行全面的鑒別、監(jiān)控和記錄。匚設(shè)置專人或自動化技術(shù)措施，對出入機(jī)房的 人員進(jìn)行鑒別，但沒有監(jiān)控和完整的記錄。口其它。3機(jī)房環(huán)境。機(jī)房配備防火、防水、 防雷、防靜電、溫度濕 度調(diào)節(jié)等措施，并提供口機(jī)房環(huán)境保障完全達(dá)到相關(guān)國家標(biāo)準(zhǔn)的要 求。口少部分機(jī)房環(huán)境保障措施沒有達(dá)到有關(guān)

15、標(biāo) 準(zhǔn)要求，但可以在短時間內(nèi)有效整改。充足穩(wěn)定的電源，為機(jī)房中的 設(shè)備提供良好的運(yùn)行環(huán) 境?？谄渌?。4電磁防護(hù)。電源線和通信線纜 應(yīng)隔離鋪設(shè)，避免 互相干擾?？诿子媒拥胤绞椒乐雇饨珉姶鸥蓴_和設(shè)備寄生耦合干擾；電源線和通信線纜隔離， 避免互相 干擾。口其它。7. 網(wǎng)絡(luò)安全安全域劃分、邊界防護(hù)、內(nèi)網(wǎng)防護(hù)、外部設(shè)備接入控制等情況。網(wǎng)絡(luò)和信息系統(tǒng)的體系結(jié)構(gòu)、各類安全保障措施的組合是否合理。序號檢查項結(jié)果備注1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖口有正式的文檔化的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，且完全與實(shí)際運(yùn)行的網(wǎng)絡(luò)結(jié)構(gòu)相吻合。口有文檔化的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，關(guān)鍵部分吻合?？谄渌?網(wǎng)絡(luò)冗余設(shè)計口對關(guān)鍵網(wǎng)絡(luò)設(shè)備進(jìn)行了冗余設(shè)計，以增強(qiáng)網(wǎng)絡(luò)的健壯性

16、和可用性?？趯Σ糠株P(guān)鍵網(wǎng)絡(luò)設(shè)備進(jìn)行了冗余設(shè)計?？谄渌?。3網(wǎng)絡(luò)安全域劃分口按照信息資源的重要程度進(jìn)行了細(xì)致的安全 域劃分。口按照信息資源的重要程度進(jìn)行了基本的安全 域劃分?？谄渌?。4安全域訪1可控制口根據(jù)業(yè)務(wù)需要實(shí)施了嚴(yán)格的訪問控制措施。口實(shí)施了訪1可控制措施，但訪1可控制粒度較粗?？谄渌?網(wǎng)絡(luò)準(zhǔn)入控制。防止未授權(quán)人員接入到網(wǎng)絡(luò)中來，以引入 安全風(fēng)險?？谟芯W(wǎng)絡(luò)準(zhǔn)入控制措施，且嚴(yán)格執(zhí)行?？诩河袦?zhǔn)入控制措施，但未嚴(yán)格執(zhí)行?？谄渌?。6網(wǎng)絡(luò)入侵防范口檢測網(wǎng)絡(luò)邊界處的網(wǎng)絡(luò)攻擊行為，發(fā)生嚴(yán)重入侵事件時提供報警，并能及時響應(yīng)和處理?？跈z測網(wǎng)絡(luò)邊界處的網(wǎng)絡(luò)攻擊行為，并提供報 警?？谄渌?。安全審計。便于安全事件發(fā)

17、生后進(jìn)行溯源追蹤口配備審計設(shè)備且進(jìn)行了良好配置，能夠定期查看和分析審計日志。口配備審計設(shè)備且進(jìn)行了良好配置,但未能定期查看和分析審計日志?？谄渌?。8. 設(shè)備和主機(jī)安全網(wǎng)絡(luò)交換設(shè)備、安全設(shè)備、主機(jī)和終端設(shè)備的安全性，操作系統(tǒng) 的安全配置、病毒防護(hù)、惡意代碼防范等。1)網(wǎng)絡(luò)設(shè)備、安全設(shè)備和終端設(shè)備防護(hù)序號檢查項結(jié)果備注1.設(shè)備用戶身份標(biāo)識?？诿總€設(shè)備的用戶擁有自己唯一的身份標(biāo)識?？诟鶕?jù)用戶職責(zé)以小組為單位分配身份標(biāo)識?？谄渌?。2.管理員登錄地址限 制。通過對管理員登錄 地址的限制，降低非 法網(wǎng)絡(luò)接入后取得 設(shè)備使用權(quán)限的可 能?？诠芾韱T只能通過有限的、固定的 IP地址和MAC 地址登錄?？诠芾韱T職

18、能在一個固定的IP地址段登錄。口其它3.設(shè)備用戶身份鑒別。通過嚴(yán)格的口令設(shè) 同管理，保障身份 鑒別的準(zhǔn)確性?？谠O(shè)備的登錄密碼復(fù)雜不易猜測、定期更換且加密 存儲?？谠O(shè)備的登錄密碼復(fù)雜不易猜測且加密存儲，但沒 有做到定期更換?？谄渌?.登錄失敗處理。米用有效措施，對于 失敗和異常的登錄 活動進(jìn)行妥善處理米取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄 連接超時自動退出等措施?？诿兹〗Y(jié)束會話、限制非法登錄次數(shù)的措施?？谄渌?.管理信息防竊聽。米用有效措施對設(shè) 備的管理信息進(jìn)行 加密口對所有管理通信進(jìn)行了加密。口對鑒別信息的通信進(jìn)行了加密。口其它。2)操作系統(tǒng)安全序號檢查項結(jié)果備注1.身份標(biāo)識。為操作系

19、統(tǒng)和數(shù) 據(jù)庫系統(tǒng)用戶建 立身份標(biāo)識?？谒胁僮飨到y(tǒng)和數(shù)據(jù)庫系統(tǒng)為其所有用戶建立了唯 一的用戶標(biāo)識?？陉P(guān)鍵主機(jī)的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)為其所有用戶建 立了唯一的用戶標(biāo)識，而其它主機(jī)和終端的操作系統(tǒng) 和數(shù)據(jù)庫系統(tǒng)沒有為其所有用戶建立了唯一的用戶標(biāo) 識?？谄渌?。2.身份鑒別。通過嚴(yán)格的口令 設(shè)饋管理，保障 對操作系統(tǒng)和數(shù) 據(jù)庫系統(tǒng)身份鑒 別的準(zhǔn)確性?？谒胁僮飨到y(tǒng)和數(shù)據(jù)庫系統(tǒng)的登錄密碼復(fù)雜不易猜 測、定期更換且加密存儲?？陉P(guān)鍵主機(jī)的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)登錄密碼復(fù)雜不 易猜測、定期更換且加密存儲，而其它主機(jī)和終端的 操作系統(tǒng)和數(shù)據(jù)庫的登錄密碼則不夠嚴(yán)格。口其它。3.訪問控制。加強(qiáng)服務(wù)器的用 戶權(quán)限管理。

20、口所有服務(wù)器的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的特權(quán)用戶權(quán) 限分離，默認(rèn)賬戶和口令進(jìn)行了修改，無用的賬戶已 刪除口關(guān)鍵主機(jī)的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)機(jī)操作系統(tǒng)和數(shù) 據(jù)庫系統(tǒng)的特權(quán)用戶權(quán)限分離，默認(rèn)賬戶和口令進(jìn)行 了修改，無用的賬戶已刪除；而其它主機(jī)和終端沒有 做到?？谄渌?。4.安全審計。為操作系統(tǒng)和數(shù) 據(jù)庫系統(tǒng)部署有 效的審計措施?？趯徲嫹秶采w重要服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫的所有 用戶的行為、資源使用情況和重要命令的執(zhí)行，以及 這些活動的時間、主體標(biāo)識、客體標(biāo)識以及結(jié)果；審 計記錄被妥善保存?？诮⒘酸槍χ匾?wù)器操作系統(tǒng)和數(shù)據(jù)庫的審計措 施，但沒有達(dá)到以上所有的要求。無審計措施。5.入侵防范。通過嚴(yán)格的安全

21、配置和補(bǔ)丁更新 消除可能被入侵 者利用的安全漏 洞。口操作系統(tǒng)僅安裝了必要的組件和應(yīng)用程序，僅開放 了必要的服務(wù)，并且及時保持補(bǔ)丁更新以消除嚴(yán)重的 安全漏洞。口操作系統(tǒng)僅安裝了必要應(yīng)用程序，關(guān)閉了大多數(shù)無 用的端口，刪除了大多數(shù)無用的系統(tǒng)組件，進(jìn)行了部 分補(bǔ)丁更新?？谄渌?。6.惡意代碼防范。通過防病毒技術(shù) 措施，對惡意代碼 進(jìn)行有效監(jiān)控口為服務(wù)器和終端安裝防惡意代碼軟件，及時更新防 惡意代碼軟件版本和惡意代碼庫；支持防惡意代碼軟 件的統(tǒng)一管理?？跒榉?wù)器和終端安裝防惡意代碼軟件，但防惡意代 碼軟件版本和惡息代俏庫更新不及時；支持防惡息代 碼軟件的統(tǒng)一管理，但少量服務(wù)器和終端未覆蓋到?？谄渌?。7

22、.資源控制。對用戶使用操作 系統(tǒng)資源的情況 進(jìn)行合理的限制。口對重要服務(wù)器的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)通過設(shè)定終 端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄，并 當(dāng)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定 的最小值時，能夠監(jiān)測和報警?？诋?dāng)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的服務(wù)水平降低到預(yù)先規(guī) 定的最小值時，能夠監(jiān)測和報警?？谄渌?。9. 應(yīng)用安全數(shù)據(jù)庫、WEB網(wǎng)站、日常辦公和業(yè)務(wù)系統(tǒng)等應(yīng)用的安全設(shè)計、 配置和管理情況；關(guān)鍵應(yīng)用系統(tǒng)開發(fā)過程中的質(zhì)量控制和安全性測試 情況。序號檢查項結(jié)果備注1.身份標(biāo)識和鑒別。采用專用的登錄 控制模塊對登錄 用戶進(jìn)行身份標(biāo) 識和鑒別口各個應(yīng)用系統(tǒng)均米用專用的登錄模塊，提供用戶 身

23、份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能，提供登 錄失敗處理功能。對關(guān)鍵應(yīng)用系統(tǒng)中的同一用戶采 用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒 別?？陉P(guān)鍵系統(tǒng)中采用了身份標(biāo)識和鑒別，但鑒別信息 復(fù)雜度檢查功能不足，弱口令現(xiàn)象存在。對關(guān)鍵應(yīng) 用系統(tǒng)中的問一用戶采用一種鑒別技術(shù)實(shí)現(xiàn)用戶身 份鑒別?？诟鱾€系統(tǒng)均未采用身份標(biāo)識與鑒別。2.訪問控制功能口不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限， 嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限，特權(quán)用戶的權(quán)限分 離，權(quán)限之間相互制約。訪問控制的粒度到數(shù)據(jù)級。口不同帳戶權(quán)限不是最小的。訪問控制的粒度到功 能級。訪問控制無限制。3.應(yīng)用系統(tǒng)安全審 計口應(yīng)用系統(tǒng)提供審計功能，對用戶的各類

24、操作均進(jìn) 行細(xì)致的審計（例如，用戶標(biāo)識與鑒別、訪問控制 的所有操作記錄、重要用戶行為、系統(tǒng)資源的異常 使用、重要系統(tǒng)命令的使用等），并定期對應(yīng)用系統(tǒng) 重要安全事件的審計記錄進(jìn)行檢查，分析異常情況 產(chǎn)生的原因?？趹?yīng)用系統(tǒng)提供審計功能，但審計不全面，僅記錄 重要的事件和操作?？趯τ脩舻牟僮鞑贿M(jìn)行審計。4.通信完整性。采用密碼技術(shù)保 證通信過程中數(shù) 據(jù)的完整性?？趯χ匾畔⑾到y(tǒng)中的關(guān)鍵數(shù)據(jù)米用數(shù)據(jù)完整性校 驗(yàn)技術(shù)?？谄渌?。5.通信保密性。通信過程中的整個報文或會話過程進(jìn)行加密口應(yīng)用系統(tǒng)的敏感數(shù)據(jù)通信過程均米用國家有關(guān)部 門要求的密碼技術(shù)保證保密性?？趹?yīng)用系統(tǒng)的敏感數(shù)據(jù)通信時米用密碼技術(shù)保證保 密性，

25、但未采用國家有關(guān)部門要求的密碼技術(shù)。口未采用措施保護(hù)通信保密性。6.應(yīng)用系統(tǒng)業(yè)務(wù)軟 件容錯功能口提供數(shù)據(jù)有效性檢驗(yàn)功能，保證輸入的數(shù)據(jù)格式 和長度符合系統(tǒng)設(shè)定要求。重要應(yīng)用系統(tǒng)提供自動 保護(hù)功能，當(dāng)故障發(fā)生時自動保護(hù)當(dāng)前所有狀態(tài)， 保證系統(tǒng)能夠進(jìn)行恢復(fù)?？谔峁?shù)據(jù)有效性檢驗(yàn)功能，但系統(tǒng)出現(xiàn)問題時不 能自動恢復(fù)?？诓惶峁┸浖蒎e功能。7.應(yīng)用系統(tǒng)資源控 制能力口對于重要的應(yīng)用系統(tǒng)，限制單個帳戶的多重并發(fā) 會話，當(dāng)應(yīng)用系統(tǒng)的服務(wù)水平降低到預(yù)先設(shè)定的最 小值時，系統(tǒng)報警?？趯τ谥匾膽?yīng)用系統(tǒng)，限制單個帳戶的多重并發(fā) 會話?？趹?yīng)用系統(tǒng)不提供資源控制功能。10. 數(shù)據(jù)安全數(shù)據(jù)訪問控制情況，服務(wù)器、用戶終

26、端、數(shù)據(jù)庫等數(shù)據(jù)加密保護(hù) 能力，磁盤、光盤、U盤和移動硬盤等存儲介質(zhì)管理情況，數(shù)據(jù)備份與恢復(fù)手段等。序號檢查項結(jié)果備注1.業(yè)務(wù)數(shù)據(jù)完整性口對重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲時米取了必要的 完整性保證措施?？谄渌?。2.業(yè)務(wù)數(shù)據(jù)保密性口對重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲時米取了加密措 施?？谄渌?.配置數(shù)據(jù)文件口重要設(shè)備的配置數(shù)據(jù)文件離線存放，統(tǒng)一管理。口重要設(shè)備的配置文件離線存放，但無統(tǒng)一管理?？谄渌?。4.敏感文檔管理制度口制定敏感文檔管理制度，專人保管敏感文檔。口有專人保管敏感文檔，但無敏感文檔管理制度?？谄渌?。5傳輸敏感文檔敏感文檔原則上不得通過互聯(lián)網(wǎng)傳輸，確需通過互聯(lián)網(wǎng)傳輸時應(yīng)米取加密措施，并在傳輸完成后及 時刪除?？谄渌?存儲介質(zhì)的存放安全口應(yīng)有介質(zhì)的歸檔和查詢記錄，并對存檔介質(zhì)的目 錄清單定期盤點(diǎn)。對介質(zhì)進(jìn)行分類和標(biāo)