信息安全風(fēng)險(xiǎn)評估表匯總

1、信息安全風(fēng)險(xiǎn)評估表基本信息調(diào)查1. 單位基本情況單位名稱單位地址（公章）聯(lián)系人聯(lián)系電話Email填表時(shí)間信息安全主管領(lǐng)導(dǎo)（簽字）職務(wù)檢查工作負(fù)責(zé)人（簽字）職務(wù)2. 硬件資產(chǎn)情況2.1. 網(wǎng)絡(luò)設(shè)備情況網(wǎng)絡(luò)設(shè)備名稱型號物理位置所屬網(wǎng)絡(luò) 區(qū)域IP 地址/掩碼 /網(wǎng)關(guān)系統(tǒng)軟件及版本端口類型 及數(shù)量主要用途是否熱備重要程度2.2. 安全設(shè)備情況安全設(shè)備名稱型號 （軟件 / 硬件）物理位 置所屬網(wǎng)絡(luò) 區(qū)域IP 地址 /掩碼 /網(wǎng) 關(guān)系統(tǒng)及運(yùn)行 平臺(tái)端口類型及 數(shù)量主要用途是否熱備重要程 度2.3. 服務(wù)器設(shè)備情況設(shè)備名稱型號物理位置所屬網(wǎng)絡(luò) 區(qū)域IP 地址 /掩碼 /網(wǎng)關(guān)操作系統(tǒng) 版本 /補(bǔ)丁安裝應(yīng)用系統(tǒng)

2、軟件名稱主要業(yè)務(wù)應(yīng) 用涉及數(shù)據(jù)是否熱備2.4. 終端設(shè)備情況終端設(shè)備名稱型號物理位置所屬網(wǎng)絡(luò) 區(qū)域設(shè)備數(shù)量IP 地址/掩碼 /網(wǎng)關(guān)操作系統(tǒng)安裝應(yīng)用系統(tǒng)軟 件名稱涉及數(shù)據(jù)主要用途填寫說明網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機(jī)等。安全設(shè)備：防火墻、入侵檢測系統(tǒng)、身份鑒別等。 服務(wù)器設(shè)備：大型機(jī)、小型機(jī)、服務(wù)器、工作站、臺(tái)式計(jì)算機(jī)、便攜計(jì)算機(jī)等。 終端設(shè)備：辦公計(jì)算機(jī)、移動(dòng)存儲(chǔ)設(shè)備。重要程度：依據(jù)被檢查機(jī)構(gòu)數(shù)據(jù)所有者認(rèn)為資產(chǎn)對業(yè)務(wù)影響的重要性填寫非常重要、重要、一般。3. 軟件資產(chǎn)情況3.1. 系統(tǒng)軟件情況系統(tǒng)軟件名稱版本軟件廠商硬件平臺(tái)涉及應(yīng)用系統(tǒng)3.2. 應(yīng)用軟件情況應(yīng)用系統(tǒng)軟件名稱開發(fā)商硬件 /軟件平

3、臺(tái)C/S 或 B/S 模式涉及數(shù)據(jù)現(xiàn)有用戶數(shù)量主要用戶角色填寫說明 系統(tǒng)軟件：操作系統(tǒng)、系統(tǒng)服務(wù)、中間件、數(shù)據(jù)庫管理系統(tǒng)、開發(fā)系統(tǒng)等。 應(yīng)用軟件：項(xiàng)目管理軟件、網(wǎng)管軟件、辦公軟件等。4. 服務(wù)資產(chǎn)情況4.1.本年度信息安全服務(wù)情況服務(wù)類型服務(wù)方單位名稱服務(wù)內(nèi)容服務(wù)方式 （現(xiàn)場、非現(xiàn)場 ）填寫說明服務(wù)類型包括： 1.網(wǎng)絡(luò)服務(wù)； 2.安全工程； 3.災(zāi)難恢復(fù)； 4.安全運(yùn)維服務(wù)； 5.安全應(yīng)急響應(yīng)； 6.安全培訓(xùn)； 7.安全咨詢； 8.安全風(fēng)險(xiǎn)評估； 9.安全審計(jì)； 10.安全研發(fā)。5. 人員資產(chǎn)情況.1、信息系統(tǒng)人員情況崗位名稱崗位描述人數(shù)兼任人數(shù)填寫說明崗位名稱： 1、數(shù)據(jù)錄入員； 2、軟件開

4、發(fā)員； 3、桌面管理員； 4、系統(tǒng)管理員； 5、安全管理員； 6、數(shù)據(jù)庫管理員； 7、網(wǎng)絡(luò)管理員； 8、質(zhì)量管理員。6. 文檔資產(chǎn)情況6.1.信息系統(tǒng)安全文檔列表文檔類別文檔名稱填寫說明信息系統(tǒng)文檔類別：信息系統(tǒng)組織機(jī)構(gòu)及管理制度、信息系統(tǒng)安全設(shè)計(jì)、實(shí)施、運(yùn)維文檔；系統(tǒng)開發(fā)程序文件、資料等。7. 信息系統(tǒng)情況7.1、系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D網(wǎng)絡(luò)結(jié)構(gòu)圖要求：1、應(yīng)該標(biāo)識(shí)出網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備和主要終端設(shè)備及其名稱；2、應(yīng)該標(biāo)識(shí)出服務(wù)器設(shè)備的 IP 地址；3、應(yīng)該標(biāo)識(shí)網(wǎng)絡(luò)區(qū)域劃分等情況；4、應(yīng)該標(biāo)識(shí)網(wǎng)絡(luò)與外部的連接等情況；5、應(yīng)該能夠?qū)φ站W(wǎng)絡(luò)結(jié)構(gòu)圖說明所有業(yè)務(wù)流程和系統(tǒng)組成。 如果一張圖無法表示，可以將核心

5、部分和接入部分分別畫出，或以多張圖表示。7.2、信息系統(tǒng)承載業(yè)務(wù)情況信息系統(tǒng)名稱業(yè)務(wù)描述業(yè)務(wù)處理信息 類別用戶數(shù)量用戶分布范圍重要程度是否通過第三方安全測評填寫說明 :1、用戶分布范圍欄填寫全國、全省、本地區(qū)、本單位2、業(yè)務(wù)處理信息類別一欄填寫：a） 國家秘密信息； b） 非密敏感信息 （機(jī)構(gòu)或公民的專有信息 ） ； c） 可公開信息3、重要程度欄填寫非常重要、重要、一般4、如通過測評，請?zhí)顚憰r(shí)間和測評機(jī)構(gòu)名稱。7.3、信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)情況網(wǎng)絡(luò)區(qū)域名稱主要業(yè)務(wù)和信息描述IP 網(wǎng)段地址服務(wù)器數(shù)量與其連接的其它 網(wǎng)絡(luò)區(qū)域網(wǎng)絡(luò)區(qū)域邊 界設(shè)備重要程度責(zé)任部門填寫說明：1、網(wǎng)絡(luò)區(qū)域主要包括： 服務(wù)器域

6、、數(shù)據(jù)存儲(chǔ)域、網(wǎng)管域、數(shù)據(jù)中心域、核心交換域、涉密終端域、辦公域、接入域和外聯(lián)域等； 2、重要程度填寫非常重要、重要、一般。7.4、外聯(lián)線路及設(shè)備端口 （網(wǎng)絡(luò)邊界 ）情況外聯(lián)線路名稱 （邊界名稱 ）所屬網(wǎng)絡(luò)區(qū)域連接對象接入線路種類傳輸速率 （帶寬 ）線路接入設(shè)備承載主要業(yè)務(wù)應(yīng)用備注7.5、業(yè)務(wù)數(shù)據(jù)情況數(shù)據(jù)名稱數(shù)據(jù)使用者或管理者及其訪問權(quán)限數(shù)據(jù)安全性要求數(shù)據(jù)總量及日增 量涉及業(yè)務(wù)應(yīng)用涉及存儲(chǔ)系統(tǒng)與 處理設(shè)備保密完整可用注:數(shù)據(jù)安全性要求每項(xiàng)填寫高、中、底7.6、數(shù)據(jù)備份情況備份數(shù)據(jù)名介質(zhì)類型備份周期保存期是否異地保存過期處理方法所屬備份系統(tǒng)備注7.7、一年來信息安全事件情況安全事件類別特別重大事

7、 件次數(shù)重大事件次數(shù)較大事件次數(shù)一般事件次數(shù)線路接入設(shè)備承載主要業(yè)務(wù)應(yīng)用備注有害程序安全事件網(wǎng)絡(luò)攻擊事件信息破壞事件信息內(nèi)容安全事件設(shè)備設(shè)施故障災(zāi)害性事件其它事件注：安全事件的類別和級別定義請參照 GB/Z20986-2007 信息安全事件分類分級指南- 9 -信息安全風(fēng)險(xiǎn)評估表安全狀況調(diào)查1. 安全管理機(jī)構(gòu)安全組織體系是否健全， 管理職責(zé)是否明確， 安全管理機(jī)構(gòu)崗位 設(shè)置、人員配備是否充分合理。序號檢查項(xiàng)結(jié)果備注1.信息安全管理機(jī)構(gòu)設(shè)置 以下發(fā)公文方式正式設(shè)置了信息安全管理工作的 專門職能機(jī)構(gòu)。 設(shè)立了信息安全管理工作的職能機(jī)構(gòu)， 但還不是專 門的職能機(jī)構(gòu)。 其它。2.信息安全管理 職責(zé)分工

8、情況 信息安全管理的各個(gè)方面職責(zé)有正式的書面分工， 并明確具體的責(zé)任人。 有明確的職責(zé)分工，但責(zé)任人不明確。 其它。3.人員配備 配備一定數(shù)量的系統(tǒng)管理人員、 網(wǎng)絡(luò)管理人員、 安 全管理人員等 ; 安全管理人員不能兼任網(wǎng)絡(luò)管理員、 系統(tǒng)管理員、數(shù)據(jù)庫管理員等。 配備一定數(shù)量的系統(tǒng)管理人員、 網(wǎng)絡(luò)管理人員、 安 全管理人員等，但安全管理人員兼任網(wǎng)絡(luò)管理員、系 統(tǒng)管理員、數(shù)據(jù)庫管理員等。 其它。4.關(guān)鍵安全管理 活動(dòng)的授權(quán)和 審批 定義關(guān)鍵安全管理活動(dòng)的列表， 并有正式成文的審 批程序，審批活動(dòng)有完整的記錄。 有正式成文的審批程序， 但審批活動(dòng)沒有完整的記 錄。 其它。5.與外部組織溝 通合作 與

9、外部組織建立溝通合作機(jī)制， 并形成正式文件和 程序。 與外部組織僅進(jìn)行了溝通合作的口頭承諾。 其它。6.與組織機(jī)構(gòu)內(nèi)部溝通合作 各部門之間建立溝通合作機(jī)制， 并形成正式文件和 程序 。 各部門之間的溝通合作基于慣例， 未形成正式文件 和程序。 其它。2. 安全管理制度安全策略及管理規(guī)章制度的完善性、 可行性和科學(xué)性的有關(guān)規(guī)章制度的制定、發(fā)布、修訂及執(zhí)行情況。檢查項(xiàng)結(jié)果備注1信息安全策略 明確信息安全策略，包括總體目標(biāo)、范圍、原則 和安全框架等內(nèi)容。 包括相關(guān)文件，但內(nèi)容覆蓋不全面。 其它2安全管理制度 安全管理制度覆蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、 應(yīng)用、建設(shè)和管理等層面的重要管理內(nèi)容。 有安全

10、管理制度，但不全而面。 其它。3操作規(guī)程 應(yīng)對安全管理人員或操作人員執(zhí)行的重要管理操 作建立操作規(guī)程。 有操作規(guī)程，但不全面。 其它。4安全管理制度 的論證和審定 組織相關(guān)人員進(jìn)行正式的論證和審定，具備論證 或?qū)彾ńY(jié)論。 其它。5安全管理制度 的發(fā)布 文件發(fā)布具備明確的流程、方式和對象范圍。 部分文件的發(fā)布不明確。 其它。6安全管理制度 的維護(hù) 有正式的文件進(jìn)行授權(quán)專門的部門或人員負(fù)責(zé)安 全管理制度的制定、保存、銷毀、版本控制，并定期 評審與修訂。 安全管理制度分散管理，缺乏定期修訂。 其它。7執(zhí)行情況 所有操作規(guī)程的執(zhí)行都具備詳細(xì)的記錄文檔。部分操作規(guī)程的執(zhí)行都具備詳細(xì)的記錄文檔。 其它。3

11、. 人員安全管理人員的安全和保密意識(shí)教育、安全技能培訓(xùn)情況，重點(diǎn)、敏感崗位人員有無特殊管理措施以及對外來人員的管理情況。序號檢查項(xiàng)結(jié)果備注1.重點(diǎn)、敏感 崗位人員 錄用和審 查 為與信息安全密切相關(guān)的重點(diǎn)、 敏感崗位人員制定特殊 的錄用要求。對被錄用人的身份、背景和專業(yè)資格進(jìn)行審 查，對技術(shù)人員的技術(shù)技能進(jìn)行考核，有嚴(yán)格的制度規(guī)定 要求。 其它。2保密協(xié)議 的簽 署 與從事關(guān)鍵崗位的人員簽署保密協(xié)議，包括保密范圍、 保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人簽字等內(nèi) 容。 其它。3人員離崗 規(guī)范人員離崗過程， 有具體的離崗控制方法， 及時(shí)終止 離崗人員的所有訪問權(quán)限并取回各種身份證件、鑰匙、徽

12、 章等以及機(jī)構(gòu)提供的軟硬件設(shè)備。 其它。4安全意識(shí) 教育 根據(jù)崗位要求進(jìn)行有針對性的信息安全意識(shí)培訓(xùn)。 未根據(jù)崗位要求進(jìn)行有針對性的信息安全意識(shí)培訓(xùn)， 僅 開展全員安全意識(shí)教育。 其它。5安全技能 培訓(xùn) 制定了有針對性的安全技能培訓(xùn)計(jì)劃， 培訓(xùn)內(nèi)容包含信 息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等，并認(rèn)真實(shí)施，而且有 培訓(xùn)記錄。 安全技能培訓(xùn)針對性不強(qiáng)，效果不顯著。 其它。6在崗人員 考核 定期對所有人員進(jìn)行安全技能及安全知識(shí)的考核， 對重 點(diǎn)、敏感崗位的人員進(jìn)行全面、嚴(yán)格的安全審查。 僅對重點(diǎn)、敏感崗位的人員進(jìn)行全面、 嚴(yán)格的安全審查， 未普及到全員。 其它。7懲戒措施 告知人員相關(guān)的安全責(zé)任和懲戒措施

13、， 并對違反違背安 全策略和規(guī)定的人員進(jìn)行懲戒。 有懲戒措施，但效果不佳。 其它。8外部人員訪問管理 外部人員訪問受控區(qū)域前得到授權(quán)或?qū)徟?批準(zhǔn)后由專 人全程陪同或監(jiān)督，并登記備案。 外部人員訪問受控區(qū)域前得到授權(quán)或?qū)徟?但不能全程 陪同或監(jiān)督。 其它。4. 系統(tǒng)建設(shè)管理 關(guān)鍵資產(chǎn)采購時(shí)是否進(jìn)行了安全性測評， 對服務(wù)機(jī)構(gòu)和人員的保 密約束情況如何， 在服務(wù)提供過程中是否采取了管控措施。 信息系統(tǒng) 開發(fā)過程中設(shè)計(jì)、開發(fā)和驗(yàn)收的管理情況。序號檢查項(xiàng)結(jié)果備注1關(guān)鍵資產(chǎn)采 購時(shí)進(jìn)行安 全性測評相關(guān)專門部門負(fù)責(zé)產(chǎn)品的采購，產(chǎn)品的選用符合 國家的有關(guān)規(guī)定。資產(chǎn)采購之前進(jìn)行選型測試，確定產(chǎn)品 的候選范圍

14、，具有產(chǎn)品選型測試結(jié)果、候選產(chǎn)品名單審定 記錄或更新的候選產(chǎn)品名單， 經(jīng)過主管信息安全領(lǐng)導(dǎo)批準(zhǔn)。 專門部門負(fù)責(zé)產(chǎn)品的采購， 產(chǎn)品的選用符合國家的有關(guān) 規(guī)定。 關(guān)鍵資產(chǎn)采購未進(jìn)行安全性測試或未經(jīng)過主管信息安 全領(lǐng)導(dǎo)批準(zhǔn)。2服務(wù)機(jī)構(gòu)和 人員的選擇 在具有資格的服務(wù)機(jī)構(gòu)中進(jìn)行選擇，通過內(nèi) 部和專家的評選。對服務(wù)機(jī)構(gòu)的人員，審查其所具有的資 格。 對服務(wù)機(jī)構(gòu)的能力進(jìn)行了詳細(xì)的審查。 服務(wù)機(jī)構(gòu)和人員的選擇未經(jīng)過審查和篩選。3保密約束 簽訂的安全責(zé)任合同書或保密協(xié)議包含服務(wù)內(nèi)容、 保密 范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的 簽字等。定期考察其服務(wù)質(zhì)量和保密情況。 簽訂的安全責(zé)任合同書或保密協(xié)

15、議明確規(guī)定各項(xiàng)內(nèi)容。 但無監(jiān)督考察機(jī)制。 未簽訂合約或簽訂了安全責(zé)任合同書或保密協(xié)議， 但服 務(wù)范圍、安全責(zé)任等未明確規(guī)定。4服務(wù)管控措 施 制定了詳細(xì)的服務(wù)審核要求和規(guī)范。 對服務(wù)提供過程中 的重要操作進(jìn)行審核，并要求服務(wù)機(jī)構(gòu)定期提供服務(wù)的情 況匯總。 每半年組織內(nèi)部檢查， 審查服務(wù)機(jī)構(gòu)的服務(wù)質(zhì)量。 定期進(jìn)行檢查。但缺乏規(guī)范的檢查內(nèi)容和要求。 未采用任何管控措施。5系統(tǒng)安全方 案制定 根據(jù)信息系統(tǒng)安全保障要求， 書面形式加以描述， 形成 能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采購和使用的詳細(xì)設(shè)計(jì)方 案，并經(jīng)過專家論證和審定。 形成能指導(dǎo)安全系統(tǒng)建設(shè)、 安全產(chǎn)品采購和使用的概要 設(shè)計(jì)方案，內(nèi)部相關(guān)部門審

16、定。 缺乏體系化的安全方案。6信息系統(tǒng)開發(fā) 根據(jù)軟件開發(fā)管理制度， 各類開發(fā)文檔齊全， 信息系統(tǒng) 均經(jīng)過功能、安全測試，并形成測試報(bào)告。 開發(fā)文檔不全面，僅在內(nèi)部進(jìn)行功能測試。 無開發(fā)文檔， 或外包開發(fā)， 沒有源代碼或有源代碼但未 經(jīng)過全面的安全測試。7信息系統(tǒng)建 設(shè)實(shí)施過程 進(jìn)度和質(zhì)量 控制 制定詳細(xì)的實(shí)施方案， 并經(jīng)過審定和批準(zhǔn)， 指定或授權(quán) 專門的部門或人員按照實(shí)施方案的要求控制整個(gè)過程。 制定簡要實(shí)施方案， 指定或授權(quán)專門的部門或人員控制 整個(gè)過程。 無實(shí)施方案或無專人管理實(shí)施過程。8.信息系統(tǒng)驗(yàn) 收 制定驗(yàn)收方案， 組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗(yàn) 收報(bào)告進(jìn)行審定，詳細(xì)記錄驗(yàn)收結(jié)果

17、，形成驗(yàn)收報(bào)告。重 要的信息系統(tǒng)在驗(yàn)收前，組織專業(yè)的第三方測評機(jī)構(gòu)進(jìn)行 測評。 組織了驗(yàn)收活動(dòng)，但缺乏專業(yè)人員進(jìn)行全面的驗(yàn)收測 試。 未組織驗(yàn)收。5. 系統(tǒng)運(yùn)維管理 設(shè)備、系統(tǒng)的操作和維護(hù)記錄， 變更管理，安全事件分析和報(bào)告； 運(yùn)行環(huán)境與開發(fā)環(huán)境的分離情況；安全審計(jì)、補(bǔ)丁升級管理、安全漏 洞檢測、網(wǎng)管、權(quán)限管理及密碼管理等情況，重點(diǎn)檢查系統(tǒng)性能的監(jiān) 控措施及運(yùn)行狀況。序號檢查項(xiàng)結(jié)果備注1.環(huán)境管理 有機(jī)房安全管理制度， 并配備機(jī)房安全管理人員， 對機(jī) 房供配電等設(shè)施、設(shè)備和人員出入機(jī)房進(jìn)行嚴(yán)格管理。 配備機(jī)房安全管理人員， 對機(jī)房供配電等設(shè)施、 設(shè)備和 人員出入機(jī)房進(jìn)行管理。 其它。2.資產(chǎn)管

18、理 資產(chǎn)清單記錄內(nèi)容與實(shí)際使用的計(jì)算機(jī)設(shè)備及其屬性 內(nèi)容完全一致。 資產(chǎn)清單內(nèi)容與實(shí)際使用的計(jì)算機(jī)設(shè)備及其屬性內(nèi)容， 在數(shù)量上一致，但在部分屬性記錄上有偏差。 其它。3.介質(zhì)管理 對介質(zhì)的存放環(huán)境、 使用、 維護(hù)和銷毀等方面采取嚴(yán)格 的控制措施。 對介質(zhì)的存放環(huán)境、 使用、 維護(hù)和銷毀等方面采取了部 分控制措施。 其它。4.設(shè)備管理 對信息系統(tǒng)相關(guān)的各種設(shè)備、 線路等指定專門的部門或 人員定期進(jìn)行維護(hù)管理。 對信息系統(tǒng)相關(guān)的各種設(shè)備、 線路等指定專門的部門或 人員不定期進(jìn)行維護(hù)管理。 其它。5.生產(chǎn)環(huán)境 與開發(fā)環(huán) 境的分離 生產(chǎn)環(huán)境與開發(fā)環(huán)境隔離。 其它。6.系統(tǒng)監(jiān)控 對通信線路、 關(guān)鍵服務(wù)器

19、、 網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行 情況能夠?qū)崟r(shí)監(jiān)測，并能及時(shí)分析報(bào)警日志。 對通信線路、 關(guān)鍵服務(wù)器、 網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行 情況能夠不定期監(jiān)測，并能定期分析報(bào)警日志。 其它。7.變更管理 系統(tǒng)發(fā)生重要變更前， 以書面形式向主管領(lǐng)導(dǎo)申請， 審 批后實(shí)施變更，并在實(shí)施后向相關(guān)人員通告，相關(guān)記錄保 存完好。 系統(tǒng)發(fā)生重要變更前， 向主管領(lǐng)導(dǎo)申請， 審批后實(shí)施變 更，并在實(shí)施后向相關(guān)人員通告。 其它。8.補(bǔ)丁管理 補(bǔ)丁更新及時(shí)，并能在測試環(huán)境測試后安裝到運(yùn)行環(huán) 境。 大部分計(jì)算機(jī)設(shè)備的補(bǔ)丁更新及時(shí)， 只有少數(shù)由于應(yīng)用 軟件代碼不兼容而導(dǎo)致服務(wù)器補(bǔ)丁更新不及時(shí)。 其它。9.安全事件 管理 制定安全事件

20、報(bào)告和處置管理制度， 能及時(shí)響應(yīng)安全事 故，并從安全事故中學(xué)習(xí)總結(jié)。 能及時(shí)響應(yīng)安全事故。 其它。10.風(fēng)險(xiǎn)評估 信息系統(tǒng)投入運(yùn)行后， 應(yīng)每年至少進(jìn)行一次關(guān)鍵業(yè)務(wù)或 關(guān)鍵風(fēng)險(xiǎn)點(diǎn)的信息安全風(fēng)險(xiǎn)評估，每三年或信息系統(tǒng)發(fā)生 重大變更時(shí)，進(jìn)行一次全面的信息安全風(fēng)險(xiǎn)評估工作。 信息系統(tǒng)投入運(yùn)行后， 每兩年進(jìn)行一次關(guān)鍵業(yè)務(wù)的信息 安全風(fēng)險(xiǎn)評估。 其它。6. 物理安全 機(jī)房安全管控措施、防災(zāi)措施、供電和通信系統(tǒng)的保障措施等。序號檢查項(xiàng)結(jié)果備注1物理位置選擇。 機(jī)房和辦公場地所在的 建筑，抗拒人為破壞和 自然災(zāi)害的能力。 機(jī)房和辦公場地所在的建筑周邊具備防止 無關(guān)人員接近的措施， 并且根據(jù)當(dāng)?shù)氐淖匀画h(huán) 境設(shè)置

21、了必要的防震、防火和防水的措施。 機(jī)房和辦公場地所在的建筑具備基本的抗 拒人為破壞和自然災(zāi)害的能力， 但防護(hù)強(qiáng)度有 待提高。 其它。2機(jī)房出入控制情況 設(shè)置專人和自動(dòng)化技術(shù)措施，對出入機(jī)房 的人員進(jìn)行全面的鑒別、監(jiān)控和記錄。設(shè)置專人或自動(dòng)化技術(shù)措施， 對出入機(jī)房的 人員進(jìn)行鑒別，但沒有監(jiān)控和完整的記錄。 其它。3機(jī)房環(huán)境。 機(jī)房配備防火、防水、 防雷、防靜電、溫度濕 度調(diào)節(jié)等措施，并提供 充足穩(wěn)定的電源，為機(jī) 房中的設(shè)備提供良好的 運(yùn)行環(huán)境。 機(jī)房環(huán)境保障完全達(dá)到相關(guān)國家標(biāo)準(zhǔn)的要 求。 少部分機(jī)房環(huán)境保障措施沒有達(dá)到有關(guān)標(biāo) 準(zhǔn)要求，但可以在短時(shí)間內(nèi)有效整改。 其它。4電磁防護(hù)。 電源線和通信線

22、纜 采用接地方式防止外界電磁干擾和設(shè)備寄 生耦合干擾 ;電源線和通信線纜隔離，避免互 相干擾。應(yīng)隔離鋪設(shè)，避免 互相干擾。 其它。7. 網(wǎng)絡(luò)安全安全域劃分、邊界防護(hù)、內(nèi)網(wǎng)防護(hù)、外部設(shè)備接入控制等情況。網(wǎng)絡(luò)和信息系統(tǒng)的體系結(jié)構(gòu)、各類安全保障措施的組合是否合理。序號檢查項(xiàng)結(jié)果備注1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖 有正式的文檔化的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖， 且完全 與實(shí)際運(yùn)行的網(wǎng)絡(luò)結(jié)構(gòu)相吻合。 有文檔化的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，關(guān)鍵部分吻 合。 其它。2網(wǎng)絡(luò)冗余設(shè)計(jì) 對關(guān)鍵網(wǎng)絡(luò)設(shè)備進(jìn)行了冗余設(shè)計(jì)， 以增強(qiáng)網(wǎng) 絡(luò)的健壯性和可用性。 對部分關(guān)鍵網(wǎng)絡(luò)設(shè)備進(jìn)行了冗余設(shè)計(jì)。 其它。3網(wǎng)絡(luò)安全域劃分 按照信息資源的重要程度進(jìn)行了細(xì)致的安 全域劃

23、分。 按照信息資源的重要程度進(jìn)行了基本的安 全域劃分。 其它。4安全域訪問控制 根據(jù)業(yè)務(wù)需要實(shí)施了嚴(yán)格的訪問控制措施。 實(shí)施了訪問控制措施，但訪問控制粒度較 粗。 其它5網(wǎng)絡(luò)準(zhǔn)入控制。 防止未授權(quán)人員接入 到網(wǎng)絡(luò)中來，以引入 安全風(fēng)險(xiǎn)。 有網(wǎng)絡(luò)準(zhǔn)入控制措施，且嚴(yán)格執(zhí)行。 己有準(zhǔn)入控制措施，但未嚴(yán)格執(zhí)行。 其它。6網(wǎng)絡(luò)入侵防范 檢測網(wǎng)絡(luò)邊界處的網(wǎng)絡(luò)攻擊行為， 發(fā)生嚴(yán)重 入侵事件時(shí)提供報(bào)警，并能及時(shí)響應(yīng)和處理。 檢測網(wǎng)絡(luò)邊界處的網(wǎng)絡(luò)攻擊行為， 并提供報(bào) 警。 其它。7安全審計(jì)。 便于安全事件發(fā)生后 進(jìn)行溯源追蹤 配備審計(jì)設(shè)備且進(jìn)行了良好配置， 能夠定期 查看和分析審計(jì)日志。 配備審計(jì)設(shè)備且進(jìn)行了良

24、好配置， 但未能定 期查看和分析審計(jì)日志。 其它。8. 設(shè)備和主機(jī)安全網(wǎng)絡(luò)交換設(shè)備、安全設(shè)備、主機(jī)和終端設(shè)備的安全性，操作系統(tǒng) 的安全配置、病毒防護(hù)、惡意代碼防范等。1) 網(wǎng)絡(luò)設(shè)備、安全設(shè)備和終端設(shè)備防護(hù)序 號檢查項(xiàng)結(jié)果備注1.設(shè)備用戶身份標(biāo)識(shí)。 每個(gè)設(shè)備的用戶擁有自己唯一的身份標(biāo)識(shí)。 根據(jù)用戶職責(zé)以小組為單位分配身份標(biāo)識(shí)。 其它。2.管理員登錄地址限 制。通過對管理員登錄 地址的限制， 降低非 法網(wǎng)絡(luò)接入后取得 設(shè)備使用權(quán)限的可 能。 管理員只能通過有限的、 固定的 IP 地址和 MAC 地址登錄。 管理員職能在一個(gè)固定的 IP 地址段登錄。 其它3.設(shè)備用戶身份鑒別。 通過嚴(yán)格的口令設(shè) 置

25、和管理，保障身份 鑒別的準(zhǔn)確性。 設(shè)備的登錄密碼復(fù)雜不易猜測、定期更換且加 密存儲(chǔ)。 設(shè)備的登錄密碼復(fù)雜不易猜測且加密存儲(chǔ)，但 沒有做到定期更換。 其它。4.登錄失敗處理。 采用有效措施， 對于 失敗和異常的登錄 活動(dòng)進(jìn)行妥善處理 采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登 錄連接超時(shí)自動(dòng)退出等措施。 采取結(jié)束會(huì)話、限制非法登錄次數(shù)的措施。 其它。5.管理信息防竊聽。 采用有效措施對設(shè) 備的管理信息進(jìn)行 加密 對所有管理通信進(jìn)行了加密。 對鑒別信息的通信進(jìn)行了加密。 其它。2)操作系統(tǒng)安全序 號檢查項(xiàng)結(jié)果備注1.身份標(biāo)識(shí)。 為操作系統(tǒng)和數(shù) 據(jù)庫系統(tǒng)用戶建 立身份標(biāo)識(shí)。 所有操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)為

26、其所有用戶建立了 唯一的用戶標(biāo)識(shí)。 關(guān)鍵主機(jī)的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)為其所有用戶 建立了唯一的用戶標(biāo)識(shí)， 而其它主機(jī)和終端的操作系 統(tǒng)和數(shù)據(jù)庫系統(tǒng)沒有為其所有用戶建立了唯一的用 戶標(biāo)識(shí)。 其它。2.身份鑒別。 通過嚴(yán)格的口令 設(shè)置和管理， 保障 對操作系統(tǒng)和數(shù) 據(jù)庫系統(tǒng)身份鑒 別的準(zhǔn)確性。 所有操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的登錄密碼復(fù)雜不易 猜測、定期更換且加密存儲(chǔ)。 關(guān)鍵主機(jī)的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)登錄密碼復(fù)雜 不易猜測、 定期更換且加密存儲(chǔ)， 而其它主機(jī)和終端 的操作系統(tǒng)和數(shù)據(jù)庫的登錄密碼則不夠嚴(yán)格。 其它。3.訪問控制。 加強(qiáng)服務(wù)器的用 戶權(quán)限管理。 所有服務(wù)器的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的特權(quán)用戶 權(quán)限

27、分離， 默認(rèn)賬戶和口令進(jìn)行了修改， 無用的賬戶 已刪除 關(guān)鍵主機(jī)的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)機(jī)操作系統(tǒng)和 數(shù)據(jù)庫系統(tǒng)的特權(quán)用戶權(quán)限分離， 默認(rèn)賬戶和口令進(jìn) 行了修改， 無用的賬戶已刪除； 而其它主機(jī)和終端沒 有做到。 其它。4.安全審計(jì)。 為操作系統(tǒng)和數(shù) 據(jù)庫系統(tǒng)部署有 效的審計(jì)措施。 審計(jì)范圍覆蓋重要服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫的所 有用戶的行為、 資源使用情況和重要命令的執(zhí)行， 以 及這些活動(dòng)的時(shí)間、主體標(biāo)識(shí)、客體標(biāo)識(shí)以及結(jié)果； 審計(jì)記錄被妥善保存。 建立了針對重要服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫的審計(jì) 措施，但沒有達(dá)到以上所有的要求。 無審計(jì)措施。5.入侵防范。 通過嚴(yán)格的安全 配置和補(bǔ)丁更新 消除可能被入侵

28、 者利用的安全漏 洞。 操作系統(tǒng)僅安裝了必要的組件和應(yīng)用程序，僅開 放了必要的服務(wù)， 并且及時(shí)保持補(bǔ)丁更新以消除嚴(yán)重 的安全漏洞。 操作系統(tǒng)僅安裝了必要應(yīng)用程序，關(guān)閉了大多數(shù) 無用的端口， 刪除了大多數(shù)無用的系統(tǒng)組件， 進(jìn)行了 部分補(bǔ)丁更新。 其它。6.惡意代碼防范。 通過防病毒技術(shù) 措施，對惡意代碼 進(jìn)行有效監(jiān)控 為服務(wù)器和終端安裝防惡意代碼軟件，及時(shí)更新 防惡意代碼軟件版本和惡意代碼庫； 支持防惡意代碼 軟件的統(tǒng)一管理。 為服務(wù)器和終端安裝防惡意代碼軟件，但防惡意 代碼軟件版本和惡意代碼庫更新不及時(shí)； 支持防惡意 代碼軟件的統(tǒng)一管理，但少量服務(wù)器和終端未覆蓋 到。 其它。7.資源控制。 對

29、用戶使用操作 系統(tǒng)資源的情況 進(jìn)行合理的限制。 對重要服務(wù)器的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)通過設(shè)定 終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄， 并當(dāng)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的服務(wù)水平降低到預(yù)先 規(guī)定的最小值時(shí)，能夠監(jiān)測和報(bào)警。 當(dāng)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的服務(wù)水平降低到預(yù)先 規(guī)定的最小值時(shí)，能夠監(jiān)測和報(bào)警。 其它。9. 應(yīng)用安全數(shù)據(jù)庫、 WEB 網(wǎng)站、日常辦公和業(yè)務(wù)系統(tǒng)等應(yīng)用的安全設(shè)計(jì)、 配置和管理情況； 關(guān)鍵應(yīng)用系統(tǒng)開發(fā)過程中的質(zhì)量控制和安全性測試 情況。序號檢查項(xiàng)結(jié)果備注1.身份標(biāo)識(shí)和鑒別。 采用專用的登錄 控制模塊對登錄 用戶進(jìn)行身份標(biāo) 識(shí)和鑒別 各個(gè)應(yīng)用系統(tǒng)均采用專用的登錄模塊，提供用 戶身份標(biāo)識(shí)

30、唯一和鑒別信息復(fù)雜度檢查功能，提供 登錄失敗處理功能。對關(guān)鍵應(yīng)用系統(tǒng)中的同一用戶 采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身 份鑒別。 關(guān)鍵系統(tǒng)中采用了身份標(biāo)識(shí)和鑒別，但鑒別信 息復(fù)雜度檢查功能不足，弱口令現(xiàn)象存在。對關(guān)鍵 應(yīng)用系統(tǒng)中的同一用戶采用一種鑒別技術(shù)實(shí)現(xiàn)用 戶身份鑒別。 各個(gè)系統(tǒng)均未采用身份標(biāo)識(shí)與鑒別。2.訪問控制功能 不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán) 限，嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限，特權(quán)用戶的權(quán) 限分離，權(quán)限之間相互制約。訪問控制的粒度到數(shù) 據(jù)級。 不同帳戶權(quán)限不是最小的。訪問控制的粒度到 功能級。 訪問控制無限制。3.應(yīng)用系統(tǒng)安全審計(jì) 應(yīng)用系統(tǒng)提供審計(jì)功能，對用戶的各類操作

31、均 進(jìn)行細(xì)致的審計(jì)（例如，用戶標(biāo)識(shí)與鑒別、訪問控 制的所有操作記錄、重要用戶行為、系統(tǒng)資源的異 常使用、重要系統(tǒng)命令的使用等） ，并定期對應(yīng)用 系統(tǒng)重要安全事件的審計(jì)記錄進(jìn)行檢查，分析異常 情況產(chǎn)生的原因。 應(yīng)用系統(tǒng)提供審計(jì)功能，但審計(jì)不全面，僅記 錄重要的事件和操作。 對用戶的操作不進(jìn)行審計(jì)。4.通信完整性。 采用密碼技術(shù)保 證通信過程中數(shù) 據(jù)的完整性。 對重要信息系統(tǒng)中的關(guān)鍵數(shù)據(jù)采用數(shù)據(jù)完整性 校驗(yàn)技術(shù)。 其它。5.通信保密性。 通信過程中的整 個(gè)報(bào)文或會(huì)話過 程進(jìn)行加密 應(yīng)用系統(tǒng)的敏感數(shù)據(jù)通信過程均采用國家有關(guān) 部門要求的密碼技術(shù)保證保密性。 應(yīng)用系統(tǒng)的敏感數(shù)據(jù)通信時(shí)采用密碼技術(shù)保證 保

32、密性，但未采用國家有關(guān)部門要求的密碼技術(shù)。 未采用措施保護(hù)通信保密性。6.應(yīng)用系統(tǒng)業(yè)務(wù)軟 件容錯(cuò)功能 提供數(shù)據(jù)有效性檢驗(yàn)功能，保證輸入的數(shù)據(jù)格 式和長度符合系統(tǒng)設(shè)定要求。重要應(yīng)用系統(tǒng)提供自 動(dòng)保護(hù)功能，當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有狀 態(tài)，保證系統(tǒng)能夠進(jìn)行恢復(fù)。 提供數(shù)據(jù)有效性檢驗(yàn)功能，但系統(tǒng)出現(xiàn)問題時(shí) 不能自動(dòng)恢復(fù)。 不提供軟件容錯(cuò)功能。7.應(yīng)用系統(tǒng)資源控制能力 對于重要的應(yīng)用系統(tǒng)，限制單個(gè)帳戶的多重并 發(fā)會(huì)話，當(dāng)應(yīng)用系統(tǒng)的服務(wù)水平降低到預(yù)先設(shè)定的 最小值時(shí)，系統(tǒng)報(bào)警。 對于重要的應(yīng)用系統(tǒng)，限制單個(gè)帳戶的多重并 發(fā)會(huì)話。 應(yīng)用系統(tǒng)不提供資源控制功能。10. 數(shù)據(jù)安全數(shù)據(jù)訪問控制情況，服務(wù)器、 用戶終端、數(shù)據(jù)庫等數(shù)據(jù)加密保護(hù) 能力，磁盤、光盤、 U 盤和移動(dòng)硬盤等存儲(chǔ)介質(zhì)管理情況，數(shù)據(jù)備份 與恢復(fù)手段等。序號檢查項(xiàng)結(jié)果備注1.業(yè)務(wù)數(shù)據(jù)完整性 對重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲(chǔ)時(shí)采取了必要 的完整性保證措施。 其它。2.業(yè)務(wù)數(shù)據(jù)保密性 對重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲(chǔ)時(shí)采取了加密 措施。 其它。3.配置數(shù)據(jù)文件 重要設(shè)備的配置數(shù)據(jù)文件離線存放，統(tǒng)一管 理。 重要設(shè)備的配置文件離線存放，但無統(tǒng)一管