安全狀況調(diào)查表樣本

安全狀況調(diào)查表1.安全管理機(jī)構(gòu)

安全組織體系與否健全，管理職責(zé)與否明確，安全管理機(jī)構(gòu)崗位設(shè)立、人員配備與否充分合理。序號(hào)檢查項(xiàng)

成果備注1.信息安全管理機(jī)構(gòu)設(shè)立□如下發(fā)公文方式正式設(shè)立了信息安全管理工作專門(mén)職能機(jī)構(gòu)。

□設(shè)立了信息安全管理工作職能機(jī)構(gòu)，但還不是專門(mén)職能機(jī)構(gòu)?！跗渌?。2.信息安全管理職責(zé)分工狀況

□信息安全管理各個(gè)方面職責(zé)有正式書(shū)面分工，并明確詳細(xì)負(fù)責(zé)人。

□有明確職責(zé)分工，但負(fù)責(zé)人不明確?！跗渌?.人員配備□配備一定數(shù)量系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、安全管理人員等;

安全管理人員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員等。

□配備一定數(shù)量系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、安全管理人員等，但安全管理人員兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員等?！跗渌?。4.核心安全管理活動(dòng)授權(quán)和審批□定義核心安全管理活動(dòng)列表，并有正式成文審批程序，審批活動(dòng)有完整記錄。

□有正式成文審批程序，但審批活動(dòng)沒(méi)有完整記錄。

□其他。

5.與外部組織溝通合伙□與外部組織建立溝通合伙機(jī)制，并形成正式文獻(xiàn)和程序。

□與外部組織僅進(jìn)行了溝通合伙口頭承諾?！跗渌?。6.與組織機(jī)構(gòu)內(nèi)部溝通合伙□各部門(mén)之間建立溝通合伙機(jī)制，并形成正式文獻(xiàn)和程序。

□各部門(mén)之間溝通合伙基于慣例，未形成正式文獻(xiàn)和程序。

□其他。

2.安全管理制度

安全方略及管理規(guī)章制度完善性、可行性和科學(xué)性關(guān)于規(guī)章制度制定、發(fā)布、修訂及執(zhí)行狀況。

檢查項(xiàng)成果備注1信息安全方略

□明確信息安全方略，涉及總體目的、范疇、原則和安全框架等內(nèi)容。

□涉及有關(guān)文獻(xiàn)，但內(nèi)容覆蓋不全面?！跗渌?安全管理制度□安全管理制度覆蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、建設(shè)和管理等層面重要管理內(nèi)容。

□有安全管理制度，但不全而面?！跗渌?。3操作規(guī)程□應(yīng)對(duì)安全管理人員或操作人員執(zhí)行重要管理操作建立操作規(guī)程。

□有操作規(guī)程，但不全面?！跗渌?。4安全管理制度論證和審定□組織有關(guān)人員進(jìn)行正式論證和審定，具備論證或?qū)彾ńY(jié)論。

□其他。5安全管理制度發(fā)布

□文獻(xiàn)發(fā)布具備明確流程、方式和對(duì)象范疇。

□某些文獻(xiàn)發(fā)布不明確?！跗渌?。6安全管理制度維護(hù)

□有正式文獻(xiàn)進(jìn)行授權(quán)專門(mén)部門(mén)或人員負(fù)責(zé)安全管理制度制定、保存、銷毀、版本控制，并定期評(píng)審與修訂。

□安全管理制度分散管理，缺少定期修訂?！跗渌?。7執(zhí)行狀況

□所有操作規(guī)程執(zhí)行都具備詳細(xì)記錄文檔。

□某些操作規(guī)程執(zhí)行都具備詳細(xì)記錄文檔?！跗渌?。

3.人員安全管理

人員安全和保密意識(shí)教誨、安全技能培訓(xùn)狀況，重點(diǎn)、敏感崗位人員有無(wú)特殊管理辦法以及對(duì)外來(lái)人員管理狀況。序號(hào)檢查項(xiàng)成果備注1.重點(diǎn)、敏感崗位人員錄取和審查

□為與信息安全密切有關(guān)重點(diǎn)、敏感崗位人員制定特殊錄取規(guī)定。對(duì)被錄取人身份、背景和專業(yè)資格進(jìn)行審查，對(duì)技術(shù)人員技術(shù)技能進(jìn)行考核，有嚴(yán)格制度規(guī)定規(guī)定。

□其他。2保密合同簽署□與從事核心崗位人員訂立保密合同，涉及保密范疇、保密責(zé)任、違約責(zé)任、合同有效期限和負(fù)責(zé)人簽字等內(nèi)容。

□其他。3人員離崗

□規(guī)范人員離崗過(guò)程，有詳細(xì)離崗控制辦法，及時(shí)終結(jié)離崗人員所有訪問(wèn)權(quán)限并取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供軟硬件設(shè)備。

□其他。4安全意識(shí)教誨

□依照崗位規(guī)定進(jìn)行有針對(duì)性信息安全意識(shí)培訓(xùn)。

□未依照崗位規(guī)定進(jìn)行有針對(duì)性信息安全意識(shí)培訓(xùn)，僅開(kāi)展全員安全意識(shí)教誨?！跗渌?。5安全技能培訓(xùn)

□制定了有針對(duì)性安全技能培訓(xùn)籌劃，培訓(xùn)內(nèi)容包括信息安全基本知識(shí)、崗位操作規(guī)程等，并認(rèn)真實(shí)行，并且有培訓(xùn)記錄。

□安全技能培訓(xùn)針對(duì)性不強(qiáng)，效果不明顯?！跗渌?。6在崗人員考核

□定期對(duì)所有人員進(jìn)行安全技能及安全知識(shí)考核，對(duì)重點(diǎn)、敏感崗位人員進(jìn)行全面、嚴(yán)格安全審查。

□僅對(duì)重點(diǎn)、敏感崗位人員進(jìn)行全面、嚴(yán)格安全審查，未普及到全員?！跗渌?懲戒辦法

□告知人員有關(guān)安全責(zé)任和懲戒辦法，并對(duì)違背違背安全方略和規(guī)定人員進(jìn)行懲戒。

□有懲戒辦法，但效果不佳?！跗渌?外部人員訪問(wèn)管理□外部人員訪問(wèn)受控區(qū)域前得到授權(quán)或?qū)徟?，批?zhǔn)后由專人全程陪伴或監(jiān)督，并登記備案。

□外部人員訪問(wèn)受控區(qū)域前得到授權(quán)或?qū)徟?，但不能全程陪伴或監(jiān)督。□其他。

4.系統(tǒng)建設(shè)管理

核心資產(chǎn)采購(gòu)時(shí)與否進(jìn)行了安全性測(cè)評(píng)，對(duì)服務(wù)機(jī)構(gòu)和人員保密約束狀況如何，在服務(wù)提供過(guò)程中與否采用了管控辦法。信息系統(tǒng)開(kāi)發(fā)過(guò)程中設(shè)計(jì)、開(kāi)發(fā)和驗(yàn)收管理狀況。序號(hào)檢查項(xiàng)成果備注1核心資產(chǎn)采購(gòu)時(shí)進(jìn)行安全性測(cè)評(píng)

□有關(guān)專門(mén)部門(mén)負(fù)責(zé)產(chǎn)品采購(gòu)，產(chǎn)品選用符合國(guó)家關(guān)于規(guī)定。資產(chǎn)采購(gòu)之邁進(jìn)行選型測(cè)試，擬定產(chǎn)品候選范疇，具備產(chǎn)品選型測(cè)試成果、候選產(chǎn)品名單審定記錄或更新候選產(chǎn)品名單，通過(guò)主管信息安全領(lǐng)導(dǎo)批準(zhǔn)。

□專門(mén)部門(mén)負(fù)責(zé)產(chǎn)品采購(gòu)，產(chǎn)品選用符合國(guó)家關(guān)于規(guī)定?！鹾诵馁Y產(chǎn)采購(gòu)未進(jìn)行安全性測(cè)試或未通過(guò)主管信息安全領(lǐng)導(dǎo)批準(zhǔn)。2服務(wù)機(jī)構(gòu)和人員選取□在具備資格服務(wù)機(jī)構(gòu)中進(jìn)行選取，通過(guò)內(nèi)部和專家評(píng)比。對(duì)服務(wù)機(jī)構(gòu)人員，審查其所具備資格。

□對(duì)服務(wù)機(jī)構(gòu)能力進(jìn)行了詳細(xì)審查?！醴?wù)機(jī)構(gòu)和人員選取未通過(guò)審查和篩選。3保密約束

□訂立安全責(zé)任合同書(shū)或保密合同包括服務(wù)內(nèi)容、保密范疇、安全責(zé)任、違約責(zé)任、合同有效期限和負(fù)責(zé)人簽字等。定期考察其服務(wù)質(zhì)量和保密狀況。

□訂立安全責(zé)任合同書(shū)或保密合同明確規(guī)定各項(xiàng)內(nèi)容。但無(wú)監(jiān)督考察機(jī)制?！跷从喠⒑霞s或訂立了安全責(zé)任合同書(shū)或保密合同，但服務(wù)范疇、安全責(zé)任等未明確規(guī)定。4服務(wù)管控辦法

□制定了詳細(xì)服務(wù)審核規(guī)定和規(guī)范。對(duì)服務(wù)提供過(guò)程中重要操作進(jìn)行審核，并規(guī)定服務(wù)機(jī)構(gòu)定期提供服務(wù)狀況匯總。每半年組織內(nèi)部檢查，審查服務(wù)機(jī)構(gòu)服務(wù)質(zhì)量。

□定期進(jìn)行檢查。但缺少規(guī)范檢查內(nèi)容和規(guī)定?！跷床捎萌魏喂芸剞k法。5系統(tǒng)安全方案制定□依照信息系統(tǒng)安全保障規(guī)定，書(shū)面形式加以描述，形成能指引安全系統(tǒng)建設(shè)、安全產(chǎn)品采購(gòu)和使用詳細(xì)設(shè)計(jì)方案，并通過(guò)專家論證和審定。

□形成能指引安全系統(tǒng)建設(shè)、安全產(chǎn)品采購(gòu)和使用概要設(shè)計(jì)方案，內(nèi)部有關(guān)部門(mén)審定。□缺少體系化安全方案。6信息系統(tǒng)開(kāi)發(fā)

□依照軟件開(kāi)發(fā)管理制度，各類開(kāi)發(fā)文檔齊全，信息系統(tǒng)均通過(guò)功能、安全測(cè)試，并形成測(cè)試報(bào)告。

□開(kāi)發(fā)文檔不全面，僅在內(nèi)部進(jìn)行功能測(cè)試?！鯚o(wú)開(kāi)發(fā)文檔，或外包開(kāi)發(fā)，沒(méi)有源代碼或有源代碼但未通過(guò)全面安全測(cè)試。7信息系統(tǒng)建設(shè)實(shí)行過(guò)程進(jìn)度和質(zhì)量控制

□制定詳細(xì)實(shí)行方案，并通過(guò)審定和批準(zhǔn)，指定或授權(quán)專門(mén)部門(mén)或人員按照實(shí)行方案規(guī)定控制整個(gè)過(guò)程。

□制定簡(jiǎn)要實(shí)行方案，指定或授權(quán)專門(mén)部門(mén)或人員控制整個(gè)過(guò)程?！鯚o(wú)實(shí)行方案或無(wú)專人管理實(shí)行過(guò)程。8.信息系統(tǒng)驗(yàn)收□制定驗(yàn)收方案，組織有關(guān)部門(mén)和有關(guān)人員對(duì)系統(tǒng)測(cè)實(shí)驗(yàn)收?qǐng)?bào)告進(jìn)行審定，詳細(xì)記錄驗(yàn)收成果，形成驗(yàn)收?qǐng)?bào)告。重要信息系統(tǒng)在驗(yàn)收前，組織專業(yè)第三方測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)。

□組織了驗(yàn)收活動(dòng)，但缺少專業(yè)人員進(jìn)行全面驗(yàn)收測(cè)試?！跷唇M織驗(yàn)收。5.系統(tǒng)運(yùn)維管理

設(shè)備、系統(tǒng)操作和維護(hù)記錄，變更管理，安全事件分析和報(bào)告；運(yùn)營(yíng)環(huán)境與開(kāi)發(fā)環(huán)境分離狀況；安全審計(jì)、補(bǔ)丁升級(jí)管理、安全漏洞檢測(cè)、網(wǎng)管、權(quán)限管理及密碼管理等狀況，重點(diǎn)檢查系統(tǒng)性能監(jiān)控辦法及運(yùn)營(yíng)狀況。序號(hào)檢查項(xiàng)成果

備注1.環(huán)境管理□有機(jī)房安全管理制度，并配備機(jī)房安全管理人員，對(duì)機(jī)房供配電等設(shè)施、設(shè)備和人員出入機(jī)房進(jìn)行嚴(yán)格管理。

□配備機(jī)房安全管理人員，對(duì)機(jī)房供配電等設(shè)施、設(shè)備和人員出入機(jī)房進(jìn)行管理?！跗渌?。2.

資產(chǎn)管理□資產(chǎn)清單記錄內(nèi)容與實(shí)際使用計(jì)算機(jī)設(shè)備及其屬性內(nèi)容完全一致。

□資產(chǎn)清單內(nèi)容與實(shí)際使用計(jì)算機(jī)設(shè)備及其屬性內(nèi)容，在數(shù)量上一致，但在某些屬性記錄上有偏差?！跗渌?。3.介質(zhì)管理

□對(duì)介質(zhì)存儲(chǔ)環(huán)境、使用、維護(hù)和銷毀等方面采用嚴(yán)格控制辦法。

□對(duì)介質(zhì)存儲(chǔ)環(huán)境、使用、維護(hù)和銷毀等方面采用了某些控制辦法。□其他。4.設(shè)備管理□對(duì)信息系統(tǒng)有關(guān)各種設(shè)備、線路等指定專門(mén)部門(mén)或人員定期進(jìn)行維護(hù)管理。

□對(duì)信息系統(tǒng)有關(guān)各種設(shè)備、線路等指定專門(mén)部門(mén)或人員不定期進(jìn)行維護(hù)管理。

□其他。5.生產(chǎn)環(huán)境與開(kāi)發(fā)環(huán)境分離

□生產(chǎn)環(huán)境與開(kāi)發(fā)環(huán)境隔離。

□其他。6.系統(tǒng)監(jiān)控

□對(duì)通信線路、核心服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件運(yùn)營(yíng)狀況可以實(shí)時(shí)監(jiān)測(cè)，并能及時(shí)分析報(bào)警日記。

□對(duì)通信線路、核心服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件運(yùn)營(yíng)狀況可以不定期監(jiān)測(cè)，并能定期分析報(bào)警日記。□其他。7.變更管理□系統(tǒng)發(fā)生重要變更前，以書(shū)面形式向主管領(lǐng)導(dǎo)申請(qǐng)，審批后實(shí)行變更，并在實(shí)行后向有關(guān)人員告示，有關(guān)記錄保存完好。

□系統(tǒng)發(fā)生重要變更前，向主管領(lǐng)導(dǎo)申請(qǐng)，審批后實(shí)行變更，并在實(shí)行后向有關(guān)人員告示?！跗渌?.

補(bǔ)丁管理□補(bǔ)丁更新及時(shí)，并能在測(cè)試環(huán)境測(cè)試后安裝到運(yùn)營(yíng)環(huán)境。

□大某些計(jì)算機(jī)設(shè)備補(bǔ)丁更新及時(shí)，只有少數(shù)由于應(yīng)用軟件代碼不兼容而導(dǎo)致服務(wù)器補(bǔ)丁更新不及時(shí)。□其他。9.安全事件管理□制定安全事件報(bào)告和處置管理制度，能及時(shí)響應(yīng)安全事故，并從安全事故中學(xué)習(xí)總結(jié)。

□能及時(shí)響應(yīng)安全事故。□其他。10.風(fēng)險(xiǎn)評(píng)估□信息系統(tǒng)投入運(yùn)營(yíng)后，應(yīng)每年至少進(jìn)行一次核心業(yè)務(wù)或核心風(fēng)險(xiǎn)點(diǎn)信息安全風(fēng)險(xiǎn)評(píng)估，每三年或信息系統(tǒng)發(fā)生重大變更時(shí)，進(jìn)行一次全面信息安全風(fēng)險(xiǎn)評(píng)估工作。

□信息系統(tǒng)投入運(yùn)營(yíng)后，每?jī)赡赀M(jìn)行一次核心業(yè)務(wù)信息安全風(fēng)險(xiǎn)評(píng)估?！跗渌?。

6.物理安全

機(jī)房安全管控辦法、防災(zāi)辦法、供電和通信系統(tǒng)保障辦法等。序號(hào)檢查項(xiàng)成果備注1物理位置選取。機(jī)房和辦公場(chǎng)地所在建筑，抗拒人為破壞和自然災(zāi)害能力?！鯔C(jī)房和辦公場(chǎng)地所在建筑周邊具備防止無(wú)關(guān)人員接近辦法，并且依照本地自然環(huán)境設(shè)立了必要防震、防火和防水辦法。

□機(jī)房和辦公場(chǎng)地所在建筑具備基本抗拒人為破壞和自然災(zāi)害能力，但防護(hù)強(qiáng)度有待提高?！跗渌?機(jī)房出入控制狀況

□設(shè)立專人和自動(dòng)化技術(shù)辦法，對(duì)出入機(jī)房人員進(jìn)行全面鑒別、監(jiān)控和記錄。

□設(shè)立專人或自動(dòng)化技術(shù)辦法，對(duì)出入機(jī)房人員進(jìn)行鑒別，但沒(méi)有監(jiān)控和完整記錄?！跗渌?。3機(jī)房環(huán)境。機(jī)房配備防火、防水、防雷、防靜電、溫度濕度調(diào)節(jié)等辦法，并提供充分穩(wěn)定電源，為機(jī)房中設(shè)備提供良好運(yùn)營(yíng)環(huán)境?！鯔C(jī)房環(huán)境保障完全達(dá)到有關(guān)國(guó)標(biāo)規(guī)定。

□少某些機(jī)房環(huán)境保障辦法沒(méi)有達(dá)到關(guān)于原則規(guī)定，但可以在短時(shí)間內(nèi)有效整治?！跗渌?電磁防護(hù)。電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾?！醪捎媒拥胤绞椒乐雇饨珉姶鸥蓴_和設(shè)備寄生耦合干擾;電源線和通信線纜隔離，避免互相干擾。

□其他。

7.網(wǎng)絡(luò)安全

安全域劃分、邊界防護(hù)、內(nèi)網(wǎng)防護(hù)、外部設(shè)備接入控制等狀況。網(wǎng)絡(luò)和信息系統(tǒng)體系構(gòu)造、各類安全保障辦法組合與否合理。序號(hào)檢查項(xiàng)成果備注1網(wǎng)絡(luò)拓?fù)錁?gòu)造圖

□有正式文檔化網(wǎng)絡(luò)拓?fù)錁?gòu)造圖，且完全與實(shí)際運(yùn)營(yíng)網(wǎng)絡(luò)構(gòu)造相吻合。

□有文檔化網(wǎng)絡(luò)拓?fù)錁?gòu)造圖，核心某些吻合?！跗渌?。2網(wǎng)絡(luò)冗余設(shè)計(jì)

□對(duì)核心網(wǎng)絡(luò)設(shè)備進(jìn)行了冗余設(shè)計(jì)，以增強(qiáng)網(wǎng)絡(luò)健壯性和可用性。

□對(duì)某些核心網(wǎng)絡(luò)設(shè)備進(jìn)行了冗余設(shè)計(jì)?！跗渌?。3網(wǎng)絡(luò)安全域劃分

□按照信息資源重要限度進(jìn)行了細(xì)致安全域劃分。

□按照信息資源重要限度進(jìn)行了基本安全域劃分。□其他。4安全域訪問(wèn)控制

□依照業(yè)務(wù)需要實(shí)行了嚴(yán)格訪問(wèn)控制辦法。

□實(shí)行了訪問(wèn)控制辦法，但訪問(wèn)控制粒度較粗?！跗渌?網(wǎng)絡(luò)準(zhǔn)入控制。防止未授權(quán)人員接入到網(wǎng)絡(luò)中來(lái)，以引入安全風(fēng)險(xiǎn)?！跤芯W(wǎng)絡(luò)準(zhǔn)入控制辦法，且嚴(yán)格執(zhí)行。

□己有準(zhǔn)入控制辦法，但未嚴(yán)格執(zhí)行。

□其他。

6網(wǎng)絡(luò)入侵防范□檢測(cè)網(wǎng)絡(luò)邊界處網(wǎng)絡(luò)襲擊行為，發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警，并能及時(shí)響應(yīng)和解決。

□檢測(cè)網(wǎng)絡(luò)邊界處網(wǎng)絡(luò)襲擊行為，并提供報(bào)警?！跗渌?安全審計(jì)。便于安全事件發(fā)生后進(jìn)行溯源追蹤□配備審計(jì)設(shè)備且進(jìn)行了良好配備，可以定期查看和分析審計(jì)日記。

□配備審計(jì)設(shè)備且進(jìn)行了良好配備，但未能定期查看和分析審計(jì)日記?！跗渌?。

8.設(shè)備和主機(jī)安全

網(wǎng)絡(luò)互換設(shè)備、安全設(shè)備、主機(jī)和終端設(shè)備安全性，操作系統(tǒng)安全配備、病毒防護(hù)、惡意代碼防范等。1)

網(wǎng)絡(luò)設(shè)備、安全設(shè)備和終端設(shè)備防護(hù)序號(hào)檢查項(xiàng)成果備注1.

設(shè)備顧客身份標(biāo)記?！趺總€(gè)設(shè)備顧客擁有自己唯一身份標(biāo)記。

□依照顧客職責(zé)以小組為單位分派身份標(biāo)記?！跗渌?。2.管理員登錄地址限制。通過(guò)對(duì)管理員登錄地址限制，減少非法網(wǎng)絡(luò)接入后獲得設(shè)備使用權(quán)限也許?！豕芾韱T只能通過(guò)有限、固定IP地址和MAC地址登錄。

□管理員職能在一種固定IP地址段登錄?！跗渌?.設(shè)備顧客身份鑒別。通過(guò)嚴(yán)格口令設(shè)立和管理，保障身份鑒別精確性?！踉O(shè)備登錄密碼復(fù)雜不易猜測(cè)、定期更換且加密存儲(chǔ)。

□設(shè)備登錄密碼復(fù)雜不易猜測(cè)且加密存儲(chǔ)，但沒(méi)有做到定期更換?！跗渌?。4.登錄失敗解決。采用有效辦法，對(duì)于失敗和異常登錄活動(dòng)進(jìn)行妥善解決□采用結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等辦法。

□采用結(jié)束會(huì)話、限制非法登錄次數(shù)辦法?！跗渌?。5.

管理信息防竊聽(tīng)。采用有效辦法對(duì)設(shè)備管理信息進(jìn)行加密□對(duì)所有管理通信進(jìn)行了加密。

□對(duì)鑒別信息通信進(jìn)行了加密?！跗渌?。

2）操作系統(tǒng)安全序號(hào)檢查項(xiàng)成果備注1.身份標(biāo)記。為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)顧客建立身份標(biāo)記?！跛胁僮飨到y(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)為其所有顧客建立了唯一顧客標(biāo)記。

□核心主機(jī)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)為其所有顧客建立了唯一顧客標(biāo)記，而其他主機(jī)和終端操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)沒(méi)有為其所有顧客建立了唯一顧客標(biāo)記?！跗渌?.身份鑒別。通過(guò)嚴(yán)格口令設(shè)立和管理，保障對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)身份鑒別精確性?！跛胁僮飨到y(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)登錄密碼復(fù)雜不易猜測(cè)、定期更換且加密存儲(chǔ)。

□核心主機(jī)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)登錄密碼復(fù)雜不易猜測(cè)、定期更換且加密存儲(chǔ)，而其他主機(jī)和終端操作系統(tǒng)和數(shù)據(jù)庫(kù)登錄密碼則不夠嚴(yán)格?！跗渌?。3.訪問(wèn)控制。加強(qiáng)服務(wù)器顧客權(quán)限管理?！跛蟹?wù)器操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)顧客權(quán)限分離，默認(rèn)賬戶和口令進(jìn)行了修改，無(wú)用賬戶已刪除

□核心主機(jī)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)機(jī)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)顧客權(quán)限分離，默認(rèn)賬戶和口令進(jìn)行了修改，無(wú)用賬戶已刪除；而其他主機(jī)和終端沒(méi)有做到?！跗渌?。4.安全審計(jì)。為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)布置有效審計(jì)辦法?！鯇徲?jì)范疇覆蓋重要服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫(kù)所有顧客行為、資源使用狀況和重要命令執(zhí)行，以及這些活動(dòng)時(shí)間、主體標(biāo)記、客體標(biāo)記以及成果；審計(jì)記錄被妥善保存。

□建立了針對(duì)重要服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫(kù)審計(jì)辦法，但沒(méi)有達(dá)到以上所有規(guī)定?！鯚o(wú)審計(jì)辦法。5.入侵防范。通過(guò)嚴(yán)格安全配備和補(bǔ)丁更新消除也許被入侵者運(yùn)用安全漏洞?！醪僮飨到y(tǒng)僅安裝了必要組件和應(yīng)用程序，僅開(kāi)放了必要服務(wù)，并且及時(shí)保持補(bǔ)丁更新以消除嚴(yán)重安全漏洞。

□操作系統(tǒng)僅安裝了必要應(yīng)用程序，關(guān)閉了大多數(shù)無(wú)用端口，刪除了大多數(shù)無(wú)用系統(tǒng)組件，進(jìn)行了某些補(bǔ)丁更新。□其他。6.惡意代碼防范。通過(guò)防病毒技術(shù)辦法，對(duì)惡意代碼進(jìn)行有效監(jiān)控□為服務(wù)器和終端安裝防惡意代碼軟件，及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)；支持防惡意代碼軟件統(tǒng)一管理。

□為服務(wù)器和終端安裝防惡意代碼軟件，但防惡意代碼軟件版本和惡意代碼庫(kù)更新不及時(shí)；支持防惡意代碼軟件統(tǒng)一管理，但少量服務(wù)器和終端未覆蓋到?！跗渌?。7.資源控制。對(duì)顧客使用操作系統(tǒng)資源狀況進(jìn)行合理限制?！鯇?duì)重要服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范疇等條件限制終端登錄，并當(dāng)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)服務(wù)水平減少到預(yù)先規(guī)定最小值時(shí)，可以監(jiān)測(cè)和報(bào)警。

□當(dāng)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)服務(wù)水平減少到預(yù)先規(guī)定最小值時(shí)，可以監(jiān)測(cè)和報(bào)警?！跗渌?。

9.應(yīng)用安全

數(shù)據(jù)庫(kù)、WEB網(wǎng)站、尋常辦公和業(yè)務(wù)系統(tǒng)等應(yīng)用安全設(shè)計(jì)、配備和管理狀況；核心應(yīng)用系統(tǒng)開(kāi)發(fā)過(guò)程中質(zhì)量控制和安全性測(cè)試狀況。序號(hào)檢查項(xiàng)成果備注1.身份標(biāo)記和鑒別。采用專用登錄控制模塊對(duì)登錄顧客進(jìn)行身份標(biāo)記和鑒別□各個(gè)應(yīng)用系統(tǒng)均采用專用登錄模塊，提供顧客身份標(biāo)記唯一和鑒別信息復(fù)雜度檢查功能，提供登錄失敗解決功能。對(duì)核心應(yīng)用系統(tǒng)中同一顧客采用兩種或兩種以上組合鑒別技術(shù)實(shí)現(xiàn)顧客身份鑒別。

□核心系統(tǒng)中采用了身份標(biāo)記和鑒別，但鑒別信息復(fù)雜度檢查功能局限性，弱口令現(xiàn)象存在。對(duì)核心應(yīng)用系統(tǒng)中同一顧客采用一種鑒別技術(shù)實(shí)現(xiàn)顧客身份鑒別?！醺鱾€(gè)系統(tǒng)均未采用身份標(biāo)記與鑒別。2.

訪問(wèn)控制功能□不同帳戶為完畢各自承擔(dān)任務(wù)所需最小權(quán)限，嚴(yán)格限制默認(rèn)帳戶訪問(wèn)權(quán)限，特權(quán)顧客權(quán)限分離，權(quán)限之間互相制約。訪問(wèn)控制粒度到數(shù)據(jù)級(jí)。

□不同帳戶權(quán)限不是最小。訪問(wèn)控制粒度到功能級(jí)?！踉L問(wèn)控制無(wú)限制。3.

應(yīng)用系統(tǒng)安全審計(jì)□應(yīng)用系統(tǒng)提供審計(jì)功能，對(duì)顧客各類操作均進(jìn)行細(xì)致審計(jì)（例如，顧客標(biāo)記與鑒別、訪問(wèn)控制所有操作記錄、重要顧客行為、系統(tǒng)資源異常使用、重要系統(tǒng)命令使用等），并定期相應(yīng)用系統(tǒng)重要安全事件審計(jì)記錄進(jìn)行檢查，分析異常狀況產(chǎn)生因素。

□應(yīng)用系統(tǒng)提供審計(jì)功能，但審計(jì)不全面，僅記錄重要事件和操作。□對(duì)顧客操作不進(jìn)行審計(jì)。4.通信完整性。

采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)完整性?！鯇?duì)重要信息系統(tǒng)中核心數(shù)據(jù)采用數(shù)據(jù)完整性校驗(yàn)技術(shù)。

□其他。5.通信保密性。通信過(guò)程中整個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)行加密□應(yīng)用系統(tǒng)敏感數(shù)據(jù)通信過(guò)程均采用國(guó)家關(guān)于部門(mén)規(guī)定密碼技術(shù)保證保密性。

□應(yīng)用系統(tǒng)敏感數(shù)據(jù)通信時(shí)采用密碼技術(shù)保證保密性，但未采用國(guó)家關(guān)于部門(mén)規(guī)定密碼技術(shù)?！跷床捎棉k法保護(hù)通信保密性。6.應(yīng)用系統(tǒng)業(yè)務(wù)軟件容錯(cuò)功能□提供數(shù)據(jù)有效性檢查功能，保證輸入數(shù)據(jù)格式和長(zhǎng)度符合系統(tǒng)設(shè)定規(guī)定。重要應(yīng)用系統(tǒng)提供自動(dòng)保護(hù)功能，當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)可以進(jìn)行恢復(fù)。

□提供數(shù)據(jù)有效性檢查功能，但系統(tǒng)浮現(xiàn)問(wèn)題時(shí)不能自動(dòng)恢復(fù)。□不提供軟件容錯(cuò)功能。7.

應(yīng)用系統(tǒng)資源控制能力□對(duì)于重要應(yīng)用系統(tǒng)，限制單個(gè)帳戶多重并發(fā)會(huì)話，當(dāng)應(yīng)用系統(tǒng)服務(wù)水平減少到預(yù)先設(shè)定最小值時(shí)，系統(tǒng)報(bào)警。

□對(duì)于重要應(yīng)用系統(tǒng)，限制單個(gè)帳戶多重并發(fā)會(huì)話?！鯌?yīng)用系統(tǒng)不提供資源控制功能。

10.數(shù)據(jù)安全

數(shù)據(jù)訪問(wèn)控制狀況，服務(wù)器、顧客終端、數(shù)據(jù)庫(kù)等數(shù)據(jù)加密保護(hù)能力，磁盤(pán)、光盤(pán)、U盤(pán)和移動(dòng)硬盤(pán)等存儲(chǔ)介質(zhì)管理狀況，數(shù)據(jù)備份與恢復(fù)手段等。序號(hào)檢查項(xiàng)成果備注1.業(yè)務(wù)數(shù)據(jù)完整性

□對(duì)重要業(yè)務(wù)數(shù)據(jù)在傳播和存儲(chǔ)時(shí)采用了必要完整性保證辦法。

□其他。2.業(yè)務(wù)數(shù)據(jù)保密性□對(duì)重要業(yè)務(wù)數(shù)據(jù)在傳播和存儲(chǔ)時(shí)采用了加密辦法。

□其他。3.配備數(shù)據(jù)文獻(xiàn)□重要設(shè)備配備數(shù)據(jù)文獻(xiàn)離線存儲(chǔ)，統(tǒng)一管理。

□重要設(shè)備配備文獻(xiàn)離線存儲(chǔ)，但無(wú)統(tǒng)一管理?！跗渌?.敏感文檔管理制度□制定敏感文檔管理制度，專人保管敏感文檔。

□有專人保管敏感文檔，但無(wú)敏感文檔管理制度?！跗渌?。5傳播敏感文檔□敏感文檔原則上不得通過(guò)互聯(lián)網(wǎng)傳播，確需通過(guò)互聯(lián)網(wǎng)傳播時(shí)應(yīng)采用加密辦法，并在傳播完畢后及時(shí)刪除。

□其他。6存儲(chǔ)介質(zhì)存儲(chǔ)安全

□應(yīng)有介質(zhì)歸檔和查詢記錄，并對(duì)存檔介質(zhì)目錄清單定期盤(pán)點(diǎn)。對(duì)介質(zhì)進(jìn)行分類和標(biāo)