企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估評(píng)估實(shí)施細(xì)則

企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估評(píng)估實(shí)施細(xì)則企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估評(píng)估實(shí)施細(xì)則PAGEPAGE94企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估評(píng)估實(shí)施細(xì)則企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)則二〇〇八年五月目錄1. 前言 12. 資產(chǎn)評(píng)估 22.1. 資產(chǎn)識(shí)別 22.2. 資產(chǎn)賦值 33. 威脅評(píng)估 64. 脆弱性評(píng)估 104.1. 信息安全管理評(píng)估 114.1.1. 安全方針 114.1.2. 信息安全機(jī)構(gòu) 134.1.3. 人員安全管理 174.1.4. 信息安全制度文件管理 194.1.5. 信息化建設(shè)中的安全管理 234.1.6. 信息安全等級(jí)保護(hù) 294.1.7. 信息安全評(píng)估管理 324.1.8. 信息安全的宣傳與培訓(xùn) 324.1.9. 信息安全監(jiān)督與考核 344.1.10. 符合性管理 364.2. 信息安全運(yùn)行維護(hù)評(píng)估 374.2.1. 信息系統(tǒng)運(yùn)行管理 374.2.2. 資產(chǎn)分類管理 414.2.3. 配置與變更管理 424.2.4. 業(yè)務(wù)連續(xù)性管理 434.2.5. 設(shè)備與介質(zhì)安全 464.3. 信息安全技術(shù)評(píng)估 504.3.1. 物理安全 504.3.2. 網(wǎng)絡(luò)安全 534.3.3. 操作系統(tǒng)安全 604.3.4. 數(shù)據(jù)庫安全 724.3.5. 通用服務(wù)安全 814.3.6. 應(yīng)用系統(tǒng)安全 854.3.7. 安全措施 904.3.8. 數(shù)據(jù)安全及備份恢復(fù) 94前言為了規(guī)范、深化XXX公司信息安全風(fēng)險(xiǎn)評(píng)估工作，依據(jù)國家《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《XXX公司信息化“SG186”工程安全防護(hù)總體方案》、《XXX公司網(wǎng)絡(luò)與信息系統(tǒng)安全隔離實(shí)施指導(dǎo)意見》、《XXX公司信息安全風(fēng)險(xiǎn)評(píng)估管理暫行辦法》、《XXX公司信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》（以下簡稱《實(shí)施指南》），組織對(duì)《XXX公司信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)則》進(jìn)行了完善。本細(xì)則是開展信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作實(shí)施內(nèi)容的主要依據(jù)，各單位在相關(guān)的信息安全檢查、安全評(píng)價(jià)、信息系統(tǒng)安全等級(jí)保護(hù)評(píng)估工作中也可參考本細(xì)則的內(nèi)容。本細(xì)則結(jié)合公司當(dāng)前信息化工作重點(diǎn)，針對(duì)《實(shí)施指南》中信息資產(chǎn)評(píng)估、威脅評(píng)估、脆弱性評(píng)估提出了具體的評(píng)估內(nèi)容。其中，資產(chǎn)評(píng)估內(nèi)容主要針對(duì)公司一體化企業(yè)級(jí)信息系統(tǒng)展開；威脅評(píng)估包含非人為威脅和人為威脅等因素；脆弱性評(píng)估內(nèi)容分為信息安全管理評(píng)估、信息安全運(yùn)行維護(hù)評(píng)估、信息安全技術(shù)評(píng)估三部分。公司的評(píng)估工作應(yīng)在本細(xì)則的基礎(chǔ)上，結(jié)合《實(shí)施指南》提出更詳細(xì)的實(shí)施方案，并采用專業(yè)的評(píng)估工具對(duì)信息系統(tǒng)進(jìn)行全面的評(píng)估和深層的統(tǒng)計(jì)分析，并進(jìn)行風(fēng)險(xiǎn)計(jì)算，確保全面掌握信息系統(tǒng)的安全問題，并提供解決問題的安全建議。本細(xì)則將隨公司信息安全管理、技術(shù)、運(yùn)維情況的發(fā)展而滾動(dòng)修訂與完善。本標(biāo)準(zhǔn)由XXX公司信息化工作部組織制定、發(fā)布并負(fù)責(zé)解釋。

資產(chǎn)評(píng)估資產(chǎn)評(píng)估是確定資產(chǎn)的信息安全屬性（機(jī)密性、完整性、可用性等）受到破壞而對(duì)信息系統(tǒng)造成的影響的過程。在風(fēng)險(xiǎn)評(píng)估中，資產(chǎn)評(píng)估包含信息資產(chǎn)識(shí)別、資產(chǎn)賦值等內(nèi)容。資產(chǎn)識(shí)別資產(chǎn)識(shí)別主要針對(duì)提供特定業(yè)務(wù)服務(wù)能力的應(yīng)用系統(tǒng)展開，例如：網(wǎng)絡(luò)系統(tǒng)提供基礎(chǔ)網(wǎng)絡(luò)服務(wù)、OA系統(tǒng)提供辦公自動(dòng)化服務(wù)。通常一個(gè)應(yīng)用系統(tǒng)都可劃分為數(shù)據(jù)存儲(chǔ)、業(yè)務(wù)處理、業(yè)務(wù)服務(wù)提供和客戶端四個(gè)功能部分，這四個(gè)部分在信息系統(tǒng)的實(shí)例中都顯現(xiàn)為獨(dú)立的資產(chǎn)實(shí)體，例如：典型的OA系統(tǒng)可分為客戶端、Web服務(wù)器、Domino服務(wù)器、DB2數(shù)據(jù)庫服務(wù)器四部分資產(chǎn)實(shí)體。應(yīng)用系統(tǒng)的功能模塊（或子系統(tǒng)），可參照下表進(jìn)行分解：應(yīng)用系統(tǒng)分解表類別說明數(shù)據(jù)存儲(chǔ)應(yīng)用系統(tǒng)中負(fù)責(zé)數(shù)據(jù)存儲(chǔ)的子系統(tǒng)或功能模塊。如數(shù)據(jù)庫服務(wù)器業(yè)務(wù)處理應(yīng)用系統(tǒng)中負(fù)責(zé)進(jìn)行數(shù)據(jù)處理運(yùn)算的子系統(tǒng)或模塊，如應(yīng)用服務(wù)器、通信前置機(jī)服務(wù)提供應(yīng)用系統(tǒng)中負(fù)責(zé)對(duì)用戶提供服務(wù)的子系統(tǒng)或模塊，如web服務(wù)器客戶端由用戶或客戶直接使用、操縱的模塊，包括：工作站、客戶機(jī)等，如應(yīng)用客戶端、web瀏覽器*注：以上的子系統(tǒng)(功能模塊)分類可能存在于一臺(tái)主機(jī)上，也可能分布在多臺(tái)主機(jī)上，對(duì)應(yīng)用系統(tǒng)的分解不需要特別注明子系統(tǒng)的分布情況，只需詳細(xì)說明功能作用和構(gòu)成。對(duì)于不具有多層結(jié)構(gòu)的系統(tǒng)，可根據(jù)實(shí)際情況進(jìn)行簡化分解，例如：僅分解為服務(wù)器端與客戶端。典型的應(yīng)用系統(tǒng)分解結(jié)構(gòu)圖如下：：代表數(shù)據(jù)傳輸數(shù)據(jù)存：代表數(shù)據(jù)傳輸數(shù)據(jù)存儲(chǔ)模塊業(yè)務(wù)處理模塊服務(wù)提供模塊客戶端應(yīng)用系統(tǒng)分解本細(xì)則中對(duì)公司“SG186”工程應(yīng)用系統(tǒng)按照上表進(jìn)行信息資產(chǎn)的分解與識(shí)別，并在資產(chǎn)賦值部分按照這一分解進(jìn)行賦值。資產(chǎn)賦值根據(jù)《實(shí)施指南》的定義，資產(chǎn)評(píng)估中對(duì)資產(chǎn)的賦值最終結(jié)果是對(duì)識(shí)別出的獨(dú)立資產(chǎn)實(shí)體的賦值。每項(xiàng)資產(chǎn)都要進(jìn)行機(jī)密性要求、完整性要求、可用性要求的賦值，賦值定義為：安全性要求很高＝5、安全性要求高＝4、安全性要求中等＝3、安全性要求低＝2、安全性要求很低＝1。結(jié)合資產(chǎn)識(shí)別的情況，對(duì)公司“SG186”工程應(yīng)用系統(tǒng)的各部分進(jìn)行賦值，結(jié)果見下表。業(yè)務(wù)系統(tǒng)系統(tǒng)安全等級(jí)客戶端服務(wù)提供業(yè)務(wù)處理數(shù)據(jù)存儲(chǔ)管理員普通用戶CIACIACIACIACIA一體化平臺(tái)企業(yè)信息門戶2422311224113數(shù)據(jù)中心2422233233444數(shù)據(jù)交換平臺(tái)2311134123目錄與單點(diǎn)登錄系統(tǒng)2411334223444信息網(wǎng)絡(luò)2313144財(cái)務(wù)資金財(cái)務(wù)管理系統(tǒng)3544433355242353資金管理系統(tǒng)3544433355242353營銷管理營銷管理信息系統(tǒng)3533422355242353客戶繳費(fèi)系統(tǒng)331121122412425395598客戶服務(wù)管理系統(tǒng)3312211113113232電能信息實(shí)時(shí)采集與監(jiān)控系統(tǒng)2311211131131131市場(chǎng)管理系統(tǒng)2311211131131131客戶關(guān)系系統(tǒng)2311211131131131需求側(cè)管理系統(tǒng)3322211344244344輔助決策系統(tǒng)2311211132132132安全生產(chǎn)調(diào)度管理信息系統(tǒng)2322211133133133生產(chǎn)管理信息系統(tǒng)2322211133133133地理信息系統(tǒng)2322211133133133安全監(jiān)督管理信息系統(tǒng)2311211131131131電力市場(chǎng)交易系統(tǒng)3422322244244244協(xié)同辦公協(xié)同辦公2424323434323434人力資源人力資源管理系統(tǒng)2322211131131331物資管理物資管理系統(tǒng)2311211131131131招投標(biāo)系統(tǒng)2431321331331331項(xiàng)目管理項(xiàng)目管理系統(tǒng)2311211131131131綜合管理規(guī)劃計(jì)劃管理系統(tǒng)2311211131131131審計(jì)管理系統(tǒng)2311211331331331金融信息管理系統(tǒng)2311211131131131法律事務(wù)管理系統(tǒng)2311211331331331國際合作業(yè)務(wù)應(yīng)用系統(tǒng)2311211331331331紀(jì)檢監(jiān)察管理系統(tǒng)2311211131131131ERP系統(tǒng)ERP系統(tǒng)3433322344344344說明：（1）C代表機(jī)密性賦值、I代表完整性賦值、A代表可用性賦值。（2）系統(tǒng)安全等級(jí)作為業(yè)務(wù)系統(tǒng)資產(chǎn)權(quán)值與每項(xiàng)賦值相乘后參與風(fēng)險(xiǎn)計(jì)算過程。（3）對(duì)各單位不包括在“SG186”工程中的應(yīng)用系統(tǒng)，系統(tǒng)安全等級(jí)按照《XXX公司信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》定義方法計(jì)算出來，資產(chǎn)賦值按照《實(shí)施指南》定義的方法進(jìn)行識(shí)別和賦值，同時(shí)可參考上的表賦值結(jié)果。威脅評(píng)估在信息安全風(fēng)險(xiǎn)評(píng)估中，威脅評(píng)估也分為威脅識(shí)別和威脅賦值兩部分內(nèi)容。威脅識(shí)別通常依據(jù)威脅列表對(duì)歷史事件進(jìn)行分析和判斷獲得的。由于信息系統(tǒng)運(yùn)行環(huán)境千差萬別，威脅可能性賦值無法給出統(tǒng)一定義，例如：海邊城市受到臺(tái)風(fēng)威脅的可能性要大。本細(xì)則中僅給出威脅對(duì)信息資產(chǎn)機(jī)密性、完整性和可用性破壞的嚴(yán)重程度賦值。賦值定義為：破壞嚴(yán)重程度很大＝5、破壞嚴(yán)重程度大＝4、破壞嚴(yán)重程度中等＝3、破壞嚴(yán)重程度?。?、破壞嚴(yán)重程度很小＝1。在評(píng)估實(shí)施時(shí)需要依據(jù)《實(shí)施指南》定義的方法，結(jié)合實(shí)際情況對(duì)威脅可能性進(jìn)行判斷。下表是常見的威脅列表。威脅分類威脅名稱說明威脅可能性嚴(yán)重程度CIA非人為威脅火山爆發(fā)由火山爆發(fā)引起的故障N/A55颶風(fēng)由于颶風(fēng)引起的系統(tǒng)故障N/A45地震由地震引起的系統(tǒng)故障N/A45人員喪失由于各種原因,如疾病、道路故障、暴動(dòng)等原因?qū)е氯藛T無法正常工作引起的系統(tǒng)無法使用故障N/AN/A3硬件故障系統(tǒng)由于硬件設(shè)備老舊、損壞等造成的無法使用問題N/A45雷電由雷電引起的系統(tǒng)故障N/A55火災(zāi)由火災(zāi)引起的系統(tǒng)故障,包括在火災(zāi)發(fā)生后進(jìn)行消防工作中引起的設(shè)備不可用問題N/A45水災(zāi)由水災(zāi)引起的系統(tǒng)故障,包括在水災(zāi)發(fā)生后進(jìn)行消防工作中引起的設(shè)備不可用問題N/A45雪崩由于雪崩引起的問題N/A24溫度異常由溫度超標(biāo)引起的故障N/A44濕度異常由濕度超標(biāo)引起的故障N/A33灰塵、塵土由灰塵超標(biāo)引起的故障N/A33強(qiáng)磁場(chǎng)干擾由磁場(chǎng)干擾引起的故障N/A33電力故障由于電力中斷、用電波動(dòng)、供電設(shè)備損壞導(dǎo)致系統(tǒng)停止運(yùn)行等導(dǎo)致的系統(tǒng)故障N/A44系統(tǒng)軟件故障由于系統(tǒng)軟件故障所產(chǎn)生的問題344應(yīng)用軟件故障由于應(yīng)用軟件故障所產(chǎn)生的問題445軟件缺陷軟件缺陷導(dǎo)致的安全問題444通信故障由于通信故障所產(chǎn)生的問題N/A24DNS失敗由于DNS的問題導(dǎo)致的問題114人為威脅由于誤操作傳輸錯(cuò)誤的或不應(yīng)傳送的數(shù)據(jù)個(gè)人失誤導(dǎo)致的安全問題431關(guān)鍵員工的離職由于關(guān)鍵員工的離職造成系統(tǒng)的安全問題N/AN/A4離開時(shí)未鎖門由于離開時(shí)未鎖門造成系統(tǒng)的安全問題431離開時(shí)屏保未鎖定由于離開時(shí)屏保未鎖定造成的安全問題411在不恰當(dāng)?shù)娜藛T中討論敏感文檔由于在不恰當(dāng)?shù)娜藛T中討論敏感文檔造成的安全問題5N/AN/A不恰當(dāng)?shù)呐渲煤筒僮鞑磺‘?dāng)?shù)墓芾硐到y(tǒng)、數(shù)據(jù)庫、無意的數(shù)據(jù)操作，導(dǎo)致安全問題344拒絕服務(wù)攻擊攻擊者以一種或者多種損害信息資源訪問或使用能力的方式消耗信息系統(tǒng)資源N/A35由于設(shè)備（如筆記本）丟失導(dǎo)致泄密等安全問題444過時(shí)的規(guī)定由于采用過時(shí)的規(guī)定所造成的安全問題443不遵守安全策略可能導(dǎo)致各種可能的安全威脅444不恰當(dāng)?shù)氖褂迷O(shè)備、系統(tǒng)與軟件不當(dāng)?shù)氖褂迷O(shè)備造成的安全威脅N/A44惡意破壞系統(tǒng)設(shè)施對(duì)系統(tǒng)設(shè)備、存儲(chǔ)介質(zhì)等資產(chǎn)進(jìn)行惡意破壞N/A45濫用由于某授權(quán)的用戶（有意或無意的）執(zhí)行了授權(quán)他人要執(zhí)行的舉動(dòng)、可能會(huì)發(fā)生檢測(cè)不到的信息資產(chǎn)損害543設(shè)備或軟件被控制或破壞惡意的控制或破壞設(shè)備，以取得機(jī)密信息54N/A遠(yuǎn)程維護(hù)端口被非授權(quán)的使用惡意的使用遠(yuǎn)程維護(hù)端口，控制主機(jī)444數(shù)據(jù)傳輸或電話被監(jiān)聽惡意截獲傳輸數(shù)據(jù)4N/AN/A辦公地點(diǎn)被非授權(quán)的控制惡意監(jiān)控辦公地點(diǎn)、重要地帶，獲取重要信息544偵察通過系統(tǒng)開放的服務(wù)進(jìn)行信息收集，獲取系統(tǒng)的相關(guān)信息，包括系統(tǒng)的軟件、硬件和用戶情況等信息44N/A口令的暴力攻擊惡意的暴力嘗試口令533各類軟件后門或后門軟件軟件預(yù)留的后門或其他專門的后門軟件帶來的信息泄露威脅432偷竊移動(dòng)設(shè)備帶有機(jī)密信息的移動(dòng)設(shè)備被竊取5N/A3惡意軟件計(jì)算機(jī)病毒、蠕蟲帶來的安全問題354偽裝標(biāo)識(shí)的仿冒等信息安全問題44N/A分析信息流分析信息流帶來的信息安全問題4N/AN/A非法閱讀機(jī)密信息非授權(quán)的從辦公環(huán)境中取得可獲得的機(jī)密信息或復(fù)制數(shù)據(jù)5N/AN/A社會(huì)工程學(xué)攻擊通過email、msn、電話號(hào)碼、交談等欺騙或其他方式取得內(nèi)部人員的信任，進(jìn)而取得機(jī)密信息5N/AN/A未經(jīng)授權(quán)將設(shè)備連接到網(wǎng)絡(luò)未經(jīng)授權(quán)對(duì)外開放內(nèi)部網(wǎng)絡(luò)或設(shè)備453密碼猜測(cè)攻擊對(duì)系統(tǒng)賬號(hào)和口令進(jìn)行猜測(cè)，導(dǎo)致系統(tǒng)中的敏感信息泄漏531偽造證書惡意的偽造證書，進(jìn)而取得機(jī)密信息551遠(yuǎn)程溢出攻擊攻擊者利用系統(tǒng)調(diào)用中不合理的內(nèi)存分配執(zhí)行了非法的系統(tǒng)操作，從而獲取了某些系統(tǒng)特權(quán)，進(jìn)而威脅到系統(tǒng)完整性553權(quán)限提升通過非法手段獲得系統(tǒng)更高的權(quán)限，進(jìn)而威脅到系統(tǒng)完整性553遠(yuǎn)程文件訪問對(duì)服務(wù)器上的數(shù)據(jù)進(jìn)行遠(yuǎn)程文件訪問,導(dǎo)致敏感數(shù)據(jù)泄漏532法律糾紛由企業(yè)或信息系統(tǒng)行為導(dǎo)致的法律糾紛造成信譽(yù)和資產(chǎn)損失333不能或錯(cuò)誤地響應(yīng)和恢復(fù)系統(tǒng)無法或錯(cuò)誤地響應(yīng)和恢復(fù)導(dǎo)致故障和損失334流量過載由于網(wǎng)絡(luò)中通信流量過大導(dǎo)致的網(wǎng)絡(luò)無法訪問N/A35說明：C代表對(duì)機(jī)密性的破壞程度、I代表對(duì)完整性的破壞程度、A代表對(duì)可用性的破壞程度。N/A表示對(duì)此項(xiàng)安全屬性無破壞或無意義。脆弱性評(píng)估脆弱性評(píng)估內(nèi)容包括管理、運(yùn)維和技術(shù)三方面的內(nèi)容。脆弱性評(píng)估過程是對(duì)信息系統(tǒng)中存在的可被威脅利用的管理和運(yùn)維缺陷、技術(shù)漏洞分析與發(fā)現(xiàn)，并確定脆弱性被利用威脅的難易程度（賦值）的過程。在本實(shí)施細(xì)則中，列出了信息安全管理、運(yùn)維和技術(shù)三方面的檢查點(diǎn)，這些檢查點(diǎn)都是對(duì)信息安全防護(hù)工作的具體要求，如果信息系統(tǒng)的管理、運(yùn)維和技術(shù)條件不滿足這些點(diǎn)的檢查要求，則視為一個(gè)缺陷或漏洞。脆弱性檢查表中標(biāo)記了每個(gè)檢查點(diǎn)對(duì)機(jī)密性（C）、完整性（I）、可用性（A）的是否有影響存（√表示有影響）。檢查表結(jié)果參與《實(shí)施指南》中定義的風(fēng)險(xiǎn)計(jì)算和分析時(shí)，以每一檢查點(diǎn)的實(shí)際得分情況和該檢查點(diǎn)的標(biāo)準(zhǔn)分值的比率來確定賦值，并由公司內(nèi)專業(yè)技術(shù)支撐隊(duì)伍進(jìn)行計(jì)算，方法如下：首先，按（1－實(shí)際得分/標(biāo)準(zhǔn)分值）%，算出該檢查點(diǎn)的不滿足程度；然后按下表對(duì)應(yīng)賦值：標(biāo)識(shí)等級(jí)（1－實(shí)際得分/標(biāo)準(zhǔn)分值）%很高5大于等于80%高4大于等于60%，但小于80%中3大于等于40%，但小于60%低2大于等于20%，但小于40%很低1小于20%舉例說明：某檢查點(diǎn)標(biāo)準(zhǔn)分值10分，實(shí)際得分8分，則脆弱性賦值：首先取(1－8/10)%＝20%，然后按照上表對(duì)應(yīng)，賦值結(jié)果為2＝“低”。信息安全管理評(píng)估（總計(jì)：1800分）安全方針（小計(jì)：130分）檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA信息安全方針文件滿足國家、公司政策要求和本單位信息安全需求的獨(dú)立信息安全方針文件安全管理制度20檢查是否有獨(dú)立的信息安全方針文件，或者有包含信息安全方針內(nèi)容的綱領(lǐng)性文件(沒有則該項(xiàng)不得分)√√√信息安全方針文件中對(duì)信息安全整體目標(biāo)和信息安全工作范圍的定義安全管理制度20檢查方針文件是否對(duì)信息安全整體目標(biāo)進(jìn)行了闡述(不符合扣10分)檢查方針文件是否對(duì)信息安全工作涉及的內(nèi)容范圍進(jìn)行了明確界定(不符合扣6分)檢查方針文件是否對(duì)信息安全相關(guān)工作的協(xié)調(diào)和配合提出了要求(不符合扣4分)√√√信息安全方針文件內(nèi)容對(duì)國家信息安全等級(jí)保護(hù)制度的落實(shí)情況安全管理10檢查方針文件是否提出了以下要求相關(guān)內(nèi)容：提出滿足信息安全等級(jí)保護(hù)制度的要求(不符合扣4分)對(duì)信息系統(tǒng)進(jìn)行了明確等級(jí)劃分(不符合扣4分)提出了分等級(jí)保護(hù)的工作要求(不符合扣2分)√√√信息安全方針文件內(nèi)容對(duì)公司信息安全工作原則與要求的貫徹情況安全管理制度20檢查方針文件是否符合：信息安全納入安全生產(chǎn)范疇的要求(不符合扣8分)公司信息安全三同步原則(不符合扣8分)主要業(yè)務(wù)系統(tǒng)的安全目標(biāo)要求(不符合扣4分)√√√信息安全方針對(duì)信息安全工作主要內(nèi)容的闡述安全管理制度10檢查方針文件：是否列出了信息安全工作內(nèi)容(不符合扣8分)工作內(nèi)容是否符合國家、公司的要求(不符合扣2分)√√√信息安全方針文件應(yīng)經(jīng)過單位最高層領(lǐng)導(dǎo)的審批、授權(quán)，在單位內(nèi)部進(jìn)行討論和宣貫安全管理制度10檢查獨(dú)立的信息安全方針文件，或者包含信息安全方針內(nèi)容的綱領(lǐng)性文件：是否經(jīng)過本單位最高層領(lǐng)導(dǎo)的審批。(不符合扣4分)制定過程是否廣泛征求了各相關(guān)業(yè)務(wù)部門的意見（檢查征求意見相關(guān)記錄）(不符合扣4分)發(fā)布后是否進(jìn)行了內(nèi)部宣傳和學(xué)習(xí)。(不符合扣2分)√√√信息安全方針文件中對(duì)信息安全方針落實(shí)情況進(jìn)行考核、評(píng)價(jià)的要求安全管理10檢查信息安全方針文件或包含相關(guān)內(nèi)容的文件中是否提出了考核或評(píng)價(jià)的要求、方法和內(nèi)容。(有考核要求無具體內(nèi)容扣4分)√√√信息安全方針文件中對(duì)各關(guān)鍵內(nèi)容的支持性管理制度要求安全管理制度10檢查是否在涉及具體管理細(xì)節(jié)的內(nèi)容點(diǎn)列出了相應(yīng)的支持性管理制度文件名稱，例如：內(nèi)部用戶不得訪問外部非法網(wǎng)站時(shí)列出了《內(nèi)網(wǎng)用戶行為管理辦法》(有明顯制度文件缺失的點(diǎn)，每點(diǎn)扣2分，扣完為止)√√√信息安全方針文件對(duì)自身的保密要求安全管理10檢查方針文件是否規(guī)定了本身的傳播范圍(不符合扣8分)檢查傳播范圍是否合理(不符合扣2分)√信息安全方針文件中對(duì)進(jìn)行修訂和審核的周期以及負(fù)責(zé)審核部門的要求安全管理10檢查是否定義了審核周期(不符合扣6分)檢查是否明確了負(fù)責(zé)審核的部門(不符合扣4分)√√√信息安全機(jī)構(gòu)（小計(jì)：250分）檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA公司機(jī)構(gòu)信息化領(lǐng)導(dǎo)小組應(yīng)承擔(dān)信息安全領(lǐng)導(dǎo)職責(zé)，或者成立了包括高層領(lǐng)導(dǎo)的信息安全領(lǐng)導(dǎo)小組安全管理機(jī)構(gòu)30檢查是否有機(jī)構(gòu)成立的相關(guān)文件(不符合扣30分)√√√信息安全第一責(zé)任人應(yīng)為單位高層領(lǐng)導(dǎo)安全管理10檢查本單位是否自行制定了文件(不符合本條扣10分)或者直接沿用上級(jí)單位下發(fā)的文件(僅符合本條得4分)√√√成立跨部門的信息安全工作協(xié)調(diào)機(jī)構(gòu)來協(xié)調(diào)整體信息安全工作安全管理機(jī)構(gòu)20檢查是否有機(jī)構(gòu)成立的相關(guān)正式文件。(不符合扣20分)√√√信息安全領(lǐng)導(dǎo)機(jī)構(gòu)和信息安全工作協(xié)調(diào)機(jī)構(gòu)的職責(zé)安全管理機(jī)構(gòu)10檢查是否有領(lǐng)導(dǎo)機(jī)構(gòu)職責(zé)定義文件(不符合扣6分)檢查是否有工作協(xié)調(diào)機(jī)構(gòu)職責(zé)定義文件(不符合扣4分)√√√專業(yè)信息管理部門應(yīng)獲得高層授權(quán)開展日常的信息安全相關(guān)審核、審批工作安全管理10檢查信息管理部門是否有信息安全相關(guān)審核、審批權(quán)力(不符合扣6分)檢查是否有相關(guān)審核、審批記錄(不符合扣4分)√√應(yīng)設(shè)置信息安全管理崗位，有專人負(fù)責(zé)信息安全整體工作的公司、協(xié)調(diào)和落實(shí)工作安全管理機(jī)構(gòu)10檢查是否進(jìn)行了有專人負(fù)責(zé)(不符合扣6分)檢查是否設(shè)置了信息安全管理崗位(不符合扣4分)√√√設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個(gè)工作崗位的職責(zé)安全管理機(jī)構(gòu)10檢查是否設(shè)立安全管理各個(gè)方面的負(fù)責(zé)人，設(shè)置了哪些工作崗位（如安全主管、安全管理各個(gè)方面的負(fù)責(zé)人、機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全員等重要崗位）(不符合扣6分)檢查是否明確各個(gè)崗位的職責(zé)分工(不符合扣4分)√√√人員配備配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等安全管理機(jī)構(gòu)10檢查各個(gè)安全管理崗位人員（按照崗位職責(zé)文件詢問，包括機(jī)房管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、安全員等重要崗位人員）配備情況，包括數(shù)量、專職還是兼職等(不符合扣10分)√√√安排了專職信息安全管理員安全管理機(jī)構(gòu)10檢查是否安全管理員沒有兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員；(不符合扣4分)√√√實(shí)行主、副崗備用制度安全管理機(jī)構(gòu)10查看是否所有崗位都指定了主、副負(fù)責(zé)人員(不符合扣10分)√授權(quán)和審批根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審批部門和批準(zhǔn)人等；安全管理機(jī)構(gòu)10檢查職責(zé)文件中是否包含需審批事項(xiàng)列表(不符合扣6分)檢查審批事項(xiàng)列表是否明確審批事項(xiàng)、審批部門、批準(zhǔn)人及審批程序等(不符合扣4分)√√針對(duì)系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項(xiàng)批實(shí)行工作票、操作票制度，建立審批程序，按照審批程序執(zhí)行審批過程，對(duì)重要活動(dòng)建立逐級(jí)審批制度；安全管理機(jī)構(gòu)10檢查是否針對(duì)系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等重要事項(xiàng)建立審批程序文件；(不符合扣6分)檢查關(guān)鍵活動(dòng)的工作票、操作票記錄，并查看記錄的審批程序與文件要求是否一致(不符合扣4分)√√定期審查審批事項(xiàng)，及時(shí)更新需授權(quán)和審批的項(xiàng)目、審批部門和審批人等信息；安全管理機(jī)構(gòu)10檢查制度文件是否說明應(yīng)定期審查、更新需審批的項(xiàng)目和審查周期等(不符合扣6分)檢查審查記錄，查看記錄日期是否與審查周期一致(不符合扣4分)√√記錄審批過程并保存審批文檔。安全管理機(jī)構(gòu)10檢查是否保存至少三個(gè)月的工作票、操作票的審批記錄；√√√溝通和合作加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通，定期或不定期召開協(xié)調(diào)會(huì)議，共同協(xié)作處理信息安全問題安全管理機(jī)構(gòu)10檢查是否召開過部門間協(xié)調(diào)會(huì)議，組織其它部門人員共同協(xié)助處理信息系統(tǒng)安全有關(guān)問題(不符合扣4分)檢查安全管理機(jī)構(gòu)內(nèi)部是否召開過安全工作會(huì)議部署安全工作的實(shí)施，參加會(huì)議的部門和人員有哪些，會(huì)議結(jié)果如何；(不符合扣3分)檢查信息安全領(lǐng)導(dǎo)小組或者安全管理委員會(huì)是否定期召開例會(huì)(不符合扣3分)√√√與外部信息安全專業(yè)機(jī)構(gòu)或?qū)＜覝贤槙?，在需要時(shí)能及時(shí)獲得外部信息安全機(jī)構(gòu)或?qū)＜业慕ㄗh和技術(shù)支持安全管理機(jī)構(gòu)10檢查是否建立了經(jīng)常聯(lián)系的專業(yè)機(jī)構(gòu)，是否包含公安機(jī)關(guān)、電信公司、兄弟單位、供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織等(不符合扣6分)專業(yè)機(jī)構(gòu)能夠及時(shí)提供技術(shù)支持(不符合扣4分)√√√建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息安全管理機(jī)構(gòu)10檢查外聯(lián)單位說明文檔，是否說明外聯(lián)單位的聯(lián)系人和聯(lián)系方式等內(nèi)容(不符合扣10分)√聘請(qǐng)信息安全專家作為常年的安全顧問，指導(dǎo)信息安全建設(shè)，參與安全規(guī)劃和安全評(píng)審等安全管理機(jī)構(gòu)10檢查是否具有安全顧問名單或者聘請(qǐng)安全顧問的證明文件(不符合扣6分)檢查由安全顧問指導(dǎo)信息安全建設(shè)、參與安全規(guī)劃和安全評(píng)審的相關(guān)文檔或記錄，是否具有由安全顧問簽字的相關(guān)建議(不符合扣4分)√√√審核和檢查安全管理員負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況；安全管理機(jī)構(gòu)10檢查是否定期對(duì)信息系統(tǒng)進(jìn)行安全檢查(不符合扣4分)檢查是否定期分析、評(píng)審異常行為的審計(jì)記錄(不符合扣3分)檢查安全檢查報(bào)告，查看報(bào)告日期與檢查周期是否一致(不符合扣3分)√√√由內(nèi)部人員或上級(jí)單位定期進(jìn)行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；安全管理機(jī)構(gòu)10檢查是否要求內(nèi)部人員或上級(jí)單位定期對(duì)信息系統(tǒng)進(jìn)行全面安全檢查(不符合扣4分)檢查內(nèi)容是否包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等(不符合扣3分)檢查安全檢查報(bào)告，查看報(bào)告日期與檢查周期是否一致(不符合扣3分)√√√制定安全檢查表格實(shí)施安全檢查，匯總安全檢查數(shù)據(jù)，形成安全檢查報(bào)告，并對(duì)安全檢查結(jié)果進(jìn)行通報(bào)；安全管理機(jī)構(gòu)10檢查是否具有安全檢查表格(不符合扣4分)檢查安全檢查報(bào)告，查看報(bào)告日期與檢查周期是否一致，報(bào)告中是否有檢查內(nèi)容、檢查人員、檢查數(shù)據(jù)匯總表、檢查結(jié)果等的描述(不符合扣6分)√√√制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作，定期按照程序進(jìn)行安全審核和安全檢查活動(dòng)安全管理機(jī)構(gòu)10檢查是否具有安全審核和安全檢查制度(不符合扣6分)檢查安全審核和安全檢查過程記錄(不符合扣4分)√√√人員安全管理（小計(jì)：100分）檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA人員錄用對(duì)單位的新錄用人員要簽署保密協(xié)議人員安全管理10檢查是否有相關(guān)管理要求(不符合扣4分)檢查是否有簽署的保密協(xié)議文件(不符合扣6分)√指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用人員安全管理10檢查是否有專門部門或人員負(fù)責(zé)人員錄用(不符合扣10分)√√嚴(yán)格規(guī)范人員錄用過程，對(duì)被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查，對(duì)其所具有的技術(shù)技能進(jìn)行考核人員安全管理10檢查人員錄用時(shí)是否對(duì)被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查，對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核(不符合扣10分)√√從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員，并簽署崗位安全協(xié)議人員安全管理10檢查對(duì)從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議(不符合扣10分)√人員離崗對(duì)即將離崗的員工立即終止其在信息系統(tǒng)中的所有訪問權(quán)限人員安全管理10查看員工離崗流程中是否有相關(guān)要求(不符合扣4分)檢查是否有終止訪問權(quán)限的表單(不符合扣6分)√取回離崗人員的各種身份證件、鑰匙、徽章等以及單位提供的軟硬件設(shè)備人員安全管理10查看員工離崗流程中是否有相關(guān)要求(不符合扣4分)檢查是否有設(shè)備、證件等上繳表單記錄(無記錄扣6分)√√離崗人員由人事部門辦理調(diào)離手續(xù)，并由離崗人員書面承諾調(diào)離后的保密義務(wù)人員安全管理10查看員工離崗流程中是否有相關(guān)要求(不符合扣4分)檢查是否有簽署的離崗保密承諾文件(無記錄扣6分)√第三方人員管理要求第三方人員在訪問前與公司簽署安全責(zé)任合同書或保密協(xié)議安全管理10查看是否有對(duì)第三方訪問進(jìn)行管理的規(guī)定(不符合扣4分)檢查是否有書面保證文件(不符合扣6分)√對(duì)第三方人員訪問重要區(qū)域以書面形式批準(zhǔn)，并由專人全程陪同或監(jiān)督，記錄備案人員安全管理10檢查是否有審批記錄或監(jiān)督記錄(不符合扣10分)√√√對(duì)第三方人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容進(jìn)行書面的規(guī)定，并按照規(guī)定執(zhí)行人員安全管理10檢查是否有文件進(jìn)行了規(guī)定(不符合扣10分)√√√信息安全制度文件管理（小計(jì)：230）檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA信息安全策略體系建立信息安全策略體系，明確本單位需要的信息安全制度內(nèi)容安全管理制度20檢查是否有描述信息安全策略體系的相關(guān)文件或定義信息安全管理制度的文件內(nèi)容(不符合扣20分)√√√對(duì)安全管理活動(dòng)中的各類管理內(nèi)容建立安全管理制度安全管理制度10檢查安全管理制度清單中是否覆蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用和管理等層面(不符合扣10分)√√√對(duì)要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程；安全管理制度10檢查是否具有重要管理操作的操作規(guī)程，如系統(tǒng)維護(hù)手冊(cè)和用戶操作規(guī)程等(不符合扣10分)√√√形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系安全管理制度10檢查安全制度體系是否由安全政策、安全策略、管理制度、操作規(guī)程等構(gòu)成(不符合扣10分)√√√信息安全制度管理定期對(duì)信息安全管理制度進(jìn)行審核、修訂、更新、廢除過時(shí)的管理制度，制定、發(fā)布、宣貫新的管理要求安全管理制度10檢查是否有制度管理文件(不符合扣10分)檢查制度管理文件內(nèi)容是否明確了制度審核的周期（沒有扣6分）√√√指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定；安全管理制度10安全管理制度是否在信息安全領(lǐng)導(dǎo)小組或委員會(huì)的總體負(fù)責(zé)下統(tǒng)一制定(不符合扣10分)√√√安全管理制度具有統(tǒng)一的格式，并進(jìn)行版本控制；安全管理制度10檢查安全管理制度文檔，查看是否注明適用和發(fā)布范圍，是否有版本標(biāo)識(shí)，是否有密級(jí)標(biāo)注，是否有管理層的簽字或蓋章；(不符合扣6分)檢查各項(xiàng)制度文檔格式是否統(tǒng)一(不符合扣4分)√√√組織相關(guān)人員對(duì)制定的安全管理制度進(jìn)行論證和審定；安全管理制度10檢查安全管理制度的制定程序，檢查是否對(duì)制定的安全管理制度進(jìn)行論證和審定，論證和評(píng)審方式如何（如召開評(píng)審會(huì)、函審、內(nèi)部審核等）(不符合扣10分)檢查管理制度評(píng)審記錄，查看是否有相關(guān)人員的評(píng)審意見(不符合扣5分)√√√信息安全工作的總體方針和安全策略得到管理者的正式批準(zhǔn)和授權(quán)；安全管理制度10檢查信息安全總體方案和安全策略文檔中是否標(biāo)明得到管理者的正式批準(zhǔn)和授權(quán)(不符合扣10分)√√√安全管理制度通過正式、有效的方式發(fā)布；安全管理制度10檢查是否有安全管理制度的發(fā)布程序(不符合扣10分)√√√安全管理制度注明發(fā)布范圍，并對(duì)收發(fā)文進(jìn)行登記。安全管理制度10檢查安全管理制度的收發(fā)登記記錄(不符合扣10分)檢查收發(fā)是否符合規(guī)定程序和發(fā)布范圍要求(不符合扣5分)√√√信息安全制度審核信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)定期組織相關(guān)部門和相關(guān)人員對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定，并進(jìn)行信息安全制度的修訂、更新和廢除。安全管理制度10檢查信息安全領(lǐng)導(dǎo)小組職責(zé)中是否明確要求定期組織相關(guān)部門和人員對(duì)安全管理制度進(jìn)行評(píng)審(不符合扣5分)檢查制度修訂、更新和廢除的相關(guān)工作記錄或證明(不符合扣3分)現(xiàn)有管理制度是否有明顯過時(shí)或已經(jīng)不適用的內(nèi)容(有則扣2分)√√√建立相關(guān)機(jī)制，確保定期對(duì)安全管理制度體系進(jìn)行檢查和審定，對(duì)存在不足或需要改進(jìn)的體系制度和流程進(jìn)行修訂。安全管理制度10檢查是否具有所有安全管理制度對(duì)應(yīng)相應(yīng)負(fù)責(zé)人或者負(fù)責(zé)部門的清單，清單是否注明評(píng)審周期(不符合扣5分)檢查對(duì)安全管理制度進(jìn)行審定的記錄(不符合扣5分)√√√信息安全管理制度機(jī)房管理制度，包括機(jī)房環(huán)境管理、機(jī)房進(jìn)出管理、機(jī)房內(nèi)工作管理等內(nèi)容系統(tǒng)運(yùn)維管理8檢查機(jī)房管理相關(guān)制度文件，缺少一項(xiàng)內(nèi)容扣2分√√√U盤、光盤使用管理制度系統(tǒng)運(yùn)維管理6缺U盤使用管理制度，扣除4分，缺光盤使用管理制度，扣除2分√主機(jī)設(shè)備安全管理制度系統(tǒng)運(yùn)維管理8檢查是否有相關(guān)管理制度(不符合扣8分)√√√網(wǎng)絡(luò)設(shè)施安全管理制度系統(tǒng)運(yùn)維管理8檢查是否有相關(guān)管理制度(不符合扣8分)√√√物理設(shè)施分類標(biāo)記管理制度系統(tǒng)運(yùn)維管理6檢查是否有相關(guān)管理制度(不符合扣8分)√√√安全配置管理制度、系統(tǒng)分發(fā)和操作規(guī)章制度、系統(tǒng)文檔安全管理制度、測(cè)試和評(píng)估制度、系統(tǒng)信息安全備份制度系統(tǒng)運(yùn)維管理10缺少一項(xiàng)管理內(nèi)容,扣除2分√√√網(wǎng)絡(luò)連接檢查評(píng)估制度、網(wǎng)絡(luò)使用授權(quán)制度、網(wǎng)絡(luò)檢測(cè)制度、網(wǎng)絡(luò)設(shè)施（設(shè)備和協(xié)議）變更控制制度等系統(tǒng)運(yùn)維管理8缺少一項(xiàng)管理內(nèi)容,扣除2分√√應(yīng)用系統(tǒng)上線前測(cè)評(píng)制度、應(yīng)用系統(tǒng)上線后安全評(píng)估制度、應(yīng)用系統(tǒng)使用授權(quán)制度、應(yīng)用系統(tǒng)配置管理制度、應(yīng)用系統(tǒng)文檔管理制度等系統(tǒng)建設(shè)管理10缺少一項(xiàng)管理內(nèi)容,扣除2分√√√人員安全管理制度、安全意識(shí)和安全技術(shù)教育制度、操作安全管理制度、操作系統(tǒng)和數(shù)據(jù)庫管理制度、系統(tǒng)運(yùn)行記錄編寫制度、病毒防護(hù)管理制度、網(wǎng)絡(luò)互聯(lián)安全管理制度、安全審計(jì)管理制度、安全事件報(bào)告制度、事故處理制度、應(yīng)急管理制度和災(zāi)難恢復(fù)管理制度等安全管理18缺少一項(xiàng)管理內(nèi)容,扣除2分，扣完為止√√√信息分類標(biāo)記制度、涉密信息安全管理制度、技術(shù)文檔管理制度、存儲(chǔ)介質(zhì)管理制度、信息披露與發(fā)布審批管理制度等系統(tǒng)運(yùn)維管理8缺少一項(xiàng)管理內(nèi)容,扣除2分，扣完為止√√√信息化建設(shè)中的安全管理（小計(jì)：520分）檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA規(guī)劃設(shè)計(jì)階段的信息安全管理信息系統(tǒng)規(guī)劃過程中進(jìn)行明確的信息安全需求分析系統(tǒng)建設(shè)管理20抽取1～2個(gè)新建成系統(tǒng)，查看規(guī)劃階段形成的文件：是否有管理要求明確系統(tǒng)建設(shè)規(guī)劃階段必須進(jìn)行信息安全需求分析(不符合扣10分)是否對(duì)建成后的系統(tǒng)運(yùn)行環(huán)境進(jìn)行了安全需求分析(不符合扣5分)是否對(duì)業(yè)務(wù)應(yīng)用本身進(jìn)行了安全需求分析(不符合扣5分)√√√在新系統(tǒng)建設(shè)或已有系統(tǒng)改造方案中，包括安全要求系統(tǒng)建設(shè)管理20查看是否有管理要求對(duì)系統(tǒng)開發(fā)/采購過程提出明確的信息安全要求，沒有明確要求扣10分抽查2個(gè)新系統(tǒng)的建設(shè)方案，沒有提出明確安全要求，每個(gè)系統(tǒng)扣5分√√√信息系統(tǒng)設(shè)計(jì)方案中對(duì)軟件安全功能進(jìn)行了設(shè)計(jì)系統(tǒng)建設(shè)管理20檢查信息系統(tǒng)設(shè)計(jì)方案中的安全功能設(shè)計(jì)是否與提出的安全需求向符(不符合扣6分)√√√軟件開發(fā)過程中實(shí)現(xiàn)設(shè)計(jì)方案中提出的安全功能系統(tǒng)建設(shè)管理20抽查1個(gè)已建系統(tǒng)是否實(shí)現(xiàn)了設(shè)計(jì)方案中提出的安全功能，無相關(guān)實(shí)現(xiàn)的，則該項(xiàng)不得分。實(shí)現(xiàn)部分的，則扣10分√系統(tǒng)開發(fā)的安全管理驗(yàn)證應(yīng)用系統(tǒng)輸入的數(shù)據(jù)、驗(yàn)證不同類型輸入的出錯(cuò)消息、響應(yīng)驗(yàn)證錯(cuò)誤的流程、定義所有數(shù)據(jù)輸入過程中所涉及人員的職責(zé)等安全管理20抽取一個(gè)新建或在建系統(tǒng)的設(shè)計(jì)、開發(fā)文檔，查看管理/技術(shù)要求中對(duì)系統(tǒng)安全性的規(guī)定，無相關(guān)要求的，該項(xiàng)不得分。抽查系統(tǒng)測(cè)試記錄，若內(nèi)容中無相關(guān)測(cè)試驗(yàn)證結(jié)果說明扣10分√確保對(duì)程序資源庫的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)系統(tǒng)建設(shè)管理10查看管理要求中的相關(guān)規(guī)定，無相關(guān)要求的，該項(xiàng)不得分。抽查授權(quán)和批準(zhǔn)記錄，不能提供的該項(xiàng)不得分√√√制定代碼編寫安全規(guī)范，要求開發(fā)人員參照規(guī)范編寫代碼系統(tǒng)建設(shè)管理10檢查是否制定了代碼編寫規(guī)范(不符合該項(xiàng)不得分)抽查了解開發(fā)人員是否按規(guī)范編寫代碼(不符合扣6分)√√√確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保管系統(tǒng)建設(shè)管理10檢查是否具有需求分析說明書、軟件設(shè)計(jì)說明書和軟件操作手冊(cè)等開發(fā)文檔(不符合扣5分)檢查文檔是否由專人負(fù)責(zé)保管(不符合扣5分)√√√外包軟件開發(fā):根據(jù)開發(fā)需求檢測(cè)軟件質(zhì)量系統(tǒng)建設(shè)管理10檢查是否要求外包軟件開發(fā)商檢測(cè)軟件質(zhì)量(不符合扣5分)檢查是否保存軟件質(zhì)量測(cè)試報(bào)告(不符合扣5分)√√外包軟件開發(fā):要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門系統(tǒng)建設(shè)管理10檢查是否要求開發(fā)單位提供軟件源代碼(不符合扣5分)檢查是否審查軟件中可能存在的后門，抽查相關(guān)記錄(不符合扣5分)√√軟件開發(fā)外包：在與軟件開發(fā)單位簽訂的協(xié)議中，明確知識(shí)產(chǎn)權(quán)的歸屬和安全方面的要求安全管理10查看管理要求中的相關(guān)規(guī)定，無相關(guān)要求的，該項(xiàng)不得分。抽查文檔記錄，若缺少相關(guān)文檔,則該項(xiàng)不得分√√軟件開發(fā)外包：在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼，并保留完整的測(cè)試記錄系統(tǒng)建設(shè)管理10查看管理/技術(shù)要求中的相關(guān)規(guī)定，無相關(guān)要求的，該項(xiàng)不得分。抽查測(cè)試記錄,沒有則該項(xiàng)為0分√軟件開發(fā)外包：要求開發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南系統(tǒng)建設(shè)管理10查看管理要求中的相關(guān)規(guī)定，無相關(guān)要求的，該項(xiàng)不得分。抽查測(cè)試記錄,沒有則該項(xiàng)不得分√自行軟件開發(fā)：確保開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開，開發(fā)人員和測(cè)試人員分離，測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制系統(tǒng)建設(shè)管理10查看是否有管理制度予以要求(不符合扣5分)檢查開發(fā)和測(cè)試人員是否分離(不符合扣3分)是否保留測(cè)試數(shù)據(jù)和測(cè)試結(jié)果并由專人保管(不符合扣2分)√√√自行開發(fā)：制定開發(fā)方面的管理制度，以明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則系統(tǒng)建設(shè)管理10若無相關(guān)制度，則該項(xiàng)為0分√√√系統(tǒng)集成與采購中的安全管理對(duì)廠商交付的主機(jī)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等進(jìn)行了配置安全加固審核、操作系統(tǒng)安全補(bǔ)丁安裝情況審核安全管理10查看管理要求中的相關(guān)規(guī)定是否有主機(jī)操作系統(tǒng)安全加固方面相關(guān)規(guī)定(不符合扣5分)是否有數(shù)據(jù)庫系統(tǒng)安全加固方面相關(guān)規(guī)定(不符合扣5分)√√√確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求系統(tǒng)建設(shè)管理10檢查系統(tǒng)是否采用了密碼產(chǎn)品(不符合扣5分)密碼產(chǎn)品的使用是否符合國家密碼主管部門的要求(不符合扣5分)√√√指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購系統(tǒng)建設(shè)管理10查看管理要求中的相關(guān)規(guī)定，是否指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購(不符合扣10分)√√√預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單系統(tǒng)建設(shè)管理10檢查管理要求中的相關(guān)規(guī)定，是否要求預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試(不符合扣5分)檢查是否存在候選產(chǎn)品名單，是否定期審定并更新(不符合扣5分)√√√應(yīng)有機(jī)制確保采購和集成中的安全設(shè)備都通過了國家、公司相關(guān)機(jī)構(gòu)的測(cè)評(píng)、認(rèn)證系統(tǒng)建設(shè)管理10查看產(chǎn)品采購管理制度中是否有相關(guān)規(guī)定。(不符合扣10分)√√√要求廠家針對(duì)其提供的系統(tǒng)或設(shè)備提供信息安全方面的技術(shù)服務(wù)安全管理10查看產(chǎn)品采購管理制度中是否有相關(guān)規(guī)定。(不符合扣10分)√√√工程實(shí)施指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實(shí)施過程的管理；系統(tǒng)建設(shè)管理10檢查是否指定專門人員或部門按照工程實(shí)施方案的要求對(duì)工程實(shí)施過程進(jìn)行進(jìn)度和質(zhì)量控制(不符合扣10分)√√√制定詳細(xì)的工程實(shí)施方案控制實(shí)施過程，并要求工程實(shí)施單位能正式地執(zhí)行安全工程過程；系統(tǒng)建設(shè)管理10檢查是否制定工程實(shí)施方案(沒有該項(xiàng)不得分)查看其內(nèi)容是否覆蓋工程時(shí)間限制、進(jìn)度控制和質(zhì)量控制等方面內(nèi)容(不符合扣5分)√√√制定工程實(shí)施方面的管理制度，明確說明實(shí)施過程的控制方法和人員行為準(zhǔn)則系統(tǒng)建設(shè)管理10檢查工程實(shí)施管理制度，查看其是否規(guī)定工程實(shí)施過程的控制方法（如內(nèi)部階段性控制或外部監(jiān)理單位控制）、實(shí)施參與人員的各種行為等方面內(nèi)容(不符合扣10分)√√測(cè)試驗(yàn)收委托公正的第三方測(cè)試單位對(duì)系統(tǒng)進(jìn)行安全性測(cè)試，并出具安全性測(cè)試報(bào)告；系統(tǒng)建設(shè)管理10檢查在信息系統(tǒng)正式運(yùn)行前，是否委托第三方測(cè)試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試抽查系統(tǒng)安全性測(cè)試報(bào)告(不符合扣10分)√√√在測(cè)試驗(yàn)收前根據(jù)設(shè)計(jì)方案或合同要求等制訂測(cè)試驗(yàn)收方案，在測(cè)試驗(yàn)收過程中詳細(xì)記錄測(cè)試驗(yàn)收結(jié)果，并形成測(cè)試驗(yàn)收?qǐng)?bào)告；系統(tǒng)建設(shè)管理10檢查是否在在測(cè)試驗(yàn)收前根據(jù)設(shè)計(jì)方案或合同要求等制訂測(cè)試驗(yàn)收方案；(不符合扣4分)查看測(cè)試記錄是否詳細(xì)記錄了測(cè)試時(shí)間、人員、操作過程、測(cè)試結(jié)果等方面內(nèi)容，是否提出存在問題及改進(jìn)意見等(不符合扣3分)檢查是否形成測(cè)試驗(yàn)收?qǐng)?bào)告(不符合扣3分)√√√對(duì)系統(tǒng)測(cè)試驗(yàn)收的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定；系統(tǒng)建設(shè)管理10檢查驗(yàn)收測(cè)試管理制度是否對(duì)系統(tǒng)驗(yàn)收測(cè)試的過程控制、參與人員的行為等進(jìn)行規(guī)定(不符合扣10分)√√指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)測(cè)試驗(yàn)收的管理，并按照管理規(guī)定的要求完成系統(tǒng)測(cè)試驗(yàn)收工作；系統(tǒng)建設(shè)管理10檢查是否指定專門部門負(fù)責(zé)測(cè)試驗(yàn)收工作(不符合扣5分)檢查是否對(duì)測(cè)試過程（包括測(cè)試前、測(cè)試中和測(cè)試后）進(jìn)行文檔化要求和制度化要求(不符合扣5分)√√√組織相關(guān)部門和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定，并簽字確認(rèn)。系統(tǒng)建設(shè)管理10檢查是否根據(jù)設(shè)計(jì)方案或合同要求組織相關(guān)部門和人員對(duì)測(cè)試報(bào)告進(jìn)行符合性審定，并簽字確認(rèn)(不符合扣10分)√√系統(tǒng)交付制定詳細(xì)的系統(tǒng)交付清單，并根據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)；系統(tǒng)建設(shè)管理10檢查系統(tǒng)交付清單，查看其是否具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊(cè)等文檔名稱(不符合扣10分)√√對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)；系統(tǒng)建設(shè)管理10檢查信息系統(tǒng)建設(shè)實(shí)施方是否對(duì)運(yùn)維技術(shù)人員進(jìn)行過培訓(xùn)(不符合扣4分)檢查是否以書面形式承諾對(duì)系統(tǒng)運(yùn)行維護(hù)提供一定的技術(shù)支持服務(wù)(不符合扣2分)檢查是否按照服務(wù)承諾書的要求進(jìn)行過技術(shù)支持(不符合扣2分)檢查培訓(xùn)記錄(不符合扣2分)√√√確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔；系統(tǒng)建設(shè)管理10檢查系統(tǒng)是否具有建設(shè)過程中的文檔(不符合扣5分)檢查系統(tǒng)是否具有支持其獨(dú)立運(yùn)行維護(hù)所需的文檔(不符合扣5分)√√√對(duì)系統(tǒng)交付的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定；系統(tǒng)建設(shè)管理10檢查系統(tǒng)交付管理制度，查看其是否規(guī)定了交付過程的控制方法和對(duì)交付參與人員的行為限制等方面內(nèi)容(不符合扣10分)√√√指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)交付的管理工作，并按照管理規(guī)定的要求完成系統(tǒng)交付工作。系統(tǒng)建設(shè)管理10檢查系統(tǒng)交付的管理工作是否由專門部門負(fù)責(zé)(不符合扣5分)抽查系統(tǒng)交付相關(guān)記錄，查看是否按照管理規(guī)定要求完成交付工作(不符合扣5分)√√√密碼技術(shù)應(yīng)用控制確定數(shù)據(jù)的敏感程度和所需的保護(hù)級(jí)別安全管理10若沒有相關(guān)策略,則該項(xiàng)為0分√√√使用數(shù)字簽名保護(hù)電子文檔的真實(shí)性和完整性安全管理10查看管理方法中的相關(guān)規(guī)定，無相關(guān)要求的，該項(xiàng)不得分。若確定了保護(hù)等級(jí),但缺少加密技術(shù)保護(hù)數(shù)據(jù),則該項(xiàng)為10分;若未確定保護(hù)等級(jí),則該項(xiàng)為0分√√使用不可否認(rèn)服務(wù)安全管理10若未使用,則該項(xiàng)為0分√√√新設(shè)備和新系統(tǒng)的接入管理新系統(tǒng)、新設(shè)備接入網(wǎng)絡(luò)運(yùn)行的審核、審批管理制度系統(tǒng)運(yùn)維管理16查看管理要求中的相關(guān)規(guī)定，無相關(guān)要求的，則該項(xiàng)不得分√√√不經(jīng)過信息安全審核的系統(tǒng)不能接入單位網(wǎng)絡(luò)運(yùn)行安全管理16查看管理要求中的相關(guān)規(guī)定，無相關(guān)要求的，則該項(xiàng)不得分√√√新建系統(tǒng)或新采購設(shè)備接入單位網(wǎng)絡(luò)時(shí)應(yīng)經(jīng)過信息安全的審批安全管理16查看管理要求中的相關(guān)規(guī)定，無相關(guān)要求的，則該項(xiàng)不得分√√√信息安全監(jiān)理制定信息安全監(jiān)理管理相關(guān)規(guī)定安全管理10查看管理要求中的相關(guān)規(guī)定，無相關(guān)要求的，則該項(xiàng)不得分√√√重大系統(tǒng)建設(shè)應(yīng)引入第三方信息安全監(jiān)理機(jī)制，確保系統(tǒng)建設(shè)過程中各環(huán)節(jié)的安全性安全管理6查看管理要求中的相關(guān)規(guī)定，無相關(guān)要求的，則該項(xiàng)不得分√√√對(duì)監(jiān)理方的意見應(yīng)給予充分的考慮安全管理6檢查相關(guān)會(huì)議記錄、問題答復(fù)(不符合扣6分)√√√安全服務(wù)商選擇確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定；系統(tǒng)建設(shè)管理10檢查安全服務(wù)商的選擇符合國家的相關(guān)規(guī)定(不符合扣10分)√√√與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任；系統(tǒng)建設(shè)管理10檢查與選定的安全服務(wù)商是否簽訂與安全相關(guān)的協(xié)議(不符合扣5分)檢查協(xié)議內(nèi)容是否約定相關(guān)安全責(zé)任(不符合扣5分)√√√確保選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾，必要的與其簽訂服務(wù)合同。系統(tǒng)建設(shè)管理10檢查選定的安全服務(wù)商是否提供技術(shù)培訓(xùn)和服務(wù)承諾；(不符合扣5分)檢查是否與長期提供服務(wù)、或關(guān)鍵系統(tǒng)的安全服務(wù)商簽訂服務(wù)合同(不符合扣5分)√√√信息安全等級(jí)保護(hù)（小計(jì)：220分）檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA等級(jí)保護(hù)定級(jí)按照公司信息系統(tǒng)統(tǒng)一定級(jí)情況對(duì)本單位信息系統(tǒng)定級(jí)進(jìn)行核實(shí)系統(tǒng)建設(shè)管理10查看是否有定級(jí)情況核實(shí)工作的記錄(不符合扣10分)√√√對(duì)不屬于公司統(tǒng)一定級(jí)范疇的信息系統(tǒng)自行開展定級(jí)工作安全管理10查看是否有定級(jí)文件(不符合扣10分)√√√明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)系統(tǒng)建設(shè)管理10檢查信息系統(tǒng)是否明確邊界和安全保護(hù)等級(jí)(不符合扣10分)√√√以書面的形式說明確定信息系統(tǒng)為某個(gè)安全保護(hù)等級(jí)的方法和理由系統(tǒng)建設(shè)管理10檢查信息系統(tǒng)定級(jí)文檔是否說明信息系統(tǒng)定級(jí)的方法和理由(不符合扣10分)√√√組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)信息系統(tǒng)定級(jí)結(jié)果的合理性和正確性進(jìn)行論證和審定系統(tǒng)建設(shè)管理10檢查是否組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)信息系統(tǒng)定級(jí)結(jié)果的合理性和正確性進(jìn)行論證和審定(不符合扣5分)抽查部分信息系統(tǒng)的定級(jí)論證和審定記錄或報(bào)告(不符合扣5分)√√√確保信息系統(tǒng)的定級(jí)結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)系統(tǒng)建設(shè)管理10檢查信息系統(tǒng)定級(jí)報(bào)告是否經(jīng)過相關(guān)部門的批準(zhǔn)記錄（授權(quán)部門的批準(zhǔn)文件、蓋章或簽字）(不符合扣10分)√√信息系統(tǒng)定級(jí)情況對(duì)各業(yè)務(wù)部門進(jìn)行通報(bào)安全管理10查看是否有對(duì)各業(yè)務(wù)部門進(jìn)行定級(jí)情況通報(bào)的文件(不符合扣10分)√√√等級(jí)防護(hù)工作根據(jù)各業(yè)務(wù)系統(tǒng)的定級(jí)進(jìn)行安全域的劃分安全管理20查看是否根據(jù)業(yè)務(wù)系統(tǒng)的信息安全等級(jí)進(jìn)行了安全域的劃分(不符合扣20分)√√√針對(duì)不同等級(jí)信息系統(tǒng)制定等級(jí)保護(hù)方案系統(tǒng)建設(shè)管理20查看是否制定了等級(jí)保護(hù)方案(沒有該項(xiàng)不得分)查看等級(jí)保護(hù)方案是否統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案(不符合扣10分)√√√根據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇基本安全措施，并依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施系統(tǒng)建設(shè)管理10檢查是否制定定級(jí)系統(tǒng)的基本安全措施(不符合扣5分)檢查是否要求定期開展風(fēng)險(xiǎn)分析，并根據(jù)結(jié)果對(duì)安全措施進(jìn)行補(bǔ)充或調(diào)整。(不符合扣5分)√√√指定和授權(quán)專門的部門對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃系統(tǒng)建設(shè)管理10檢查是否指定和授權(quán)專門的部門對(duì)信息系統(tǒng)安全建設(shè)進(jìn)行安全總體規(guī)劃；(不符合扣5分)檢查是否制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃(不符合扣5分)√√√組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)等級(jí)保護(hù)方案的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過批準(zhǔn)后，才能正式實(shí)施；系統(tǒng)建設(shè)管理10檢查是否組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)信息系統(tǒng)等級(jí)保護(hù)方案的合理性和正確性進(jìn)行論證和審定(不符合扣5分)檢查信息系統(tǒng)等級(jí)保護(hù)方案是否有相關(guān)部門的批準(zhǔn)才能正式實(shí)施(不符合扣5分)√√√根據(jù)等級(jí)測(cè)評(píng)、安全評(píng)估的結(jié)果定期調(diào)整和修訂等級(jí)保護(hù)方案。系統(tǒng)建設(shè)管理10檢查是否開展等級(jí)測(cè)評(píng)或安全評(píng)估，并根據(jù)結(jié)果定期調(diào)整和修訂等級(jí)保護(hù)方案(不符合扣10分)√√√系統(tǒng)備案指定專門的部門或人員負(fù)責(zé)管理系統(tǒng)定級(jí)的相關(guān)材料，并控制這些材料的使用；系統(tǒng)建設(shè)管理10檢查是否有專門的人員或部門負(fù)責(zé)管理系統(tǒng)定級(jí)報(bào)告的相關(guān)文檔，并嚴(yán)格控制相關(guān)文檔的使用(不符合扣10分)√√√將系統(tǒng)等級(jí)及相關(guān)材料報(bào)系統(tǒng)主管部門備案；系統(tǒng)建設(shè)管理10檢查是否系統(tǒng)主管部門是否保留系統(tǒng)定級(jí)備案材料(不符合扣10分)√√將系統(tǒng)等級(jí)及其他要求的備案材料報(bào)相應(yīng)公安機(jī)關(guān)備案系統(tǒng)建設(shè)管理10檢查是否將備案材料上報(bào)相應(yīng)的公安機(jī)關(guān)，并保存?zhèn)浒傅挠涗浕蜃C明(不符合扣10分)√√等級(jí)測(cè)評(píng)在系統(tǒng)運(yùn)行過程中，至少每年對(duì)系統(tǒng)進(jìn)行一次等級(jí)測(cè)評(píng)，發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改；系統(tǒng)建設(shè)管理10檢查信息系統(tǒng)是否有等級(jí)保護(hù)測(cè)評(píng)報(bào)告(沒有該項(xiàng)不得分)檢查等級(jí)保護(hù)測(cè)評(píng)報(bào)告的時(shí)間，是否每年至少進(jìn)行一次(不符合扣5分)抽查等級(jí)保護(hù)測(cè)評(píng)報(bào)告中的不符合項(xiàng)是否有整改計(jì)劃和實(shí)施記錄(不符合扣5分)√√√在系統(tǒng)發(fā)生變更時(shí)及時(shí)對(duì)系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)，發(fā)現(xiàn)級(jí)別發(fā)生變化的及時(shí)調(diào)整級(jí)別并進(jìn)行安全改造，發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改；系統(tǒng)建設(shè)管理10檢查管理要求中的相關(guān)規(guī)定，是否明確系統(tǒng)發(fā)生變更時(shí)要進(jìn)行等級(jí)保護(hù)測(cè)評(píng)；(沒有該項(xiàng)不得分)抽查發(fā)生變更的系統(tǒng)是否有等級(jí)測(cè)評(píng)報(bào)告(不符合扣5分)等級(jí)保護(hù)測(cè)評(píng)報(bào)告中的不符合項(xiàng)是否有整改計(jì)劃和實(shí)施記錄(不符合扣5分)√√√選擇具有相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測(cè)評(píng)單位進(jìn)行等級(jí)測(cè)評(píng)；系統(tǒng)建設(shè)管理10檢查管理要求中的相關(guān)規(guī)定，是否明確要求選擇具有相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測(cè)評(píng)單位進(jìn)行等級(jí)測(cè)評(píng)(沒有該項(xiàng)不得分)抽查等級(jí)保護(hù)測(cè)評(píng)報(bào)告，查看測(cè)評(píng)單位是否符合相關(guān)要求(不符合扣5分)√√√指定或授權(quán)專門的部門或人員負(fù)責(zé)等級(jí)測(cè)評(píng)的管理系統(tǒng)建設(shè)管理10檢查管理要求中的相關(guān)規(guī)定，是否明確指定或授權(quán)專門的部門或人員負(fù)責(zé)等級(jí)測(cè)評(píng)的管理(不符合扣10分)√√√信息安全評(píng)估管理（小計(jì)：80分）檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA信息安全評(píng)估、評(píng)測(cè)管理制定評(píng)估、評(píng)測(cè)管理辦法安全管理20查看評(píng)估、評(píng)測(cè)管理相關(guān)文件(不符合扣20分)確定管理辦法文件經(jīng)過高層審批并頒發(fā)(不符合扣16分)√√√評(píng)估管理辦法中應(yīng)對(duì)規(guī)劃、設(shè)計(jì)階段的信息系統(tǒng)提出安全性評(píng)估要求安全管理10查看評(píng)估管理規(guī)定是否有相關(guān)要求(不符合扣10分)√√√新系統(tǒng)上線必須通過運(yùn)行環(huán)境安全性評(píng)估、系統(tǒng)軟件安全性評(píng)測(cè)安全管理20查看評(píng)測(cè)管理相關(guān)文件是否有相關(guān)內(nèi)容(不符合扣10分)抽查1～2個(gè)系統(tǒng)，查看是否進(jìn)行了相關(guān)安全評(píng)估和評(píng)測(cè)工作(不符合扣10分)√√√管理信息系統(tǒng)定期開展信息安全風(fēng)險(xiǎn)評(píng)估工作安全管理20查看是否有定期對(duì)管理信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的記錄或報(bào)告(不符合扣20分)√√√系統(tǒng)更新或設(shè)備報(bào)廢時(shí)，對(duì)廢棄系統(tǒng)和設(shè)備中殘留數(shù)據(jù)執(zhí)行評(píng)估和銷毀程序系統(tǒng)運(yùn)維管理10查看是否有系統(tǒng)更新或設(shè)備報(bào)廢的數(shù)據(jù)清除或銷毀記錄(不符合扣10分)√√√信息安全的宣傳與培訓(xùn)（小計(jì)：80分）檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA信息安全宣傳協(xié)調(diào)政工等部門進(jìn)行信息安全宣傳工作人員安全管理10查看是否有信息安全相關(guān)宣傳工作的記錄(不符合扣10分)√√√對(duì)外來工作人員進(jìn)行本單位信息安全政策的宣傳和提示人員安全管理10查看是否有對(duì)外來工作人員進(jìn)行本單位信息安全政策和管理要求進(jìn)行提示或宣傳的證明(不符合扣10分)√√√信息安全培訓(xùn)對(duì)公司單位相關(guān)人員進(jìn)行信息安全普及性培訓(xùn)與宣傳工作人員安全管理10查看是否有信息安全普及性培訓(xùn)的工作記錄(不符合扣10分)√對(duì)定期安全教育和培訓(xùn)進(jìn)行書面規(guī)定，制定專業(yè)人員的信息安全培訓(xùn)計(jì)劃、并進(jìn)行專業(yè)的信息安全培訓(xùn)（包括信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等）人員安全管理20查看是否有對(duì)專業(yè)人員進(jìn)行信息安全培訓(xùn)的管理要求(不符合，該項(xiàng)不得分)檢查安全教育和培訓(xùn)計(jì)劃文檔，查看是否具有不同崗位的培訓(xùn)計(jì)劃(不符合扣10分)檢查計(jì)劃是否明確了培訓(xùn)目的、培訓(xùn)方式、培訓(xùn)對(duì)象、培訓(xùn)內(nèi)容、培訓(xùn)時(shí)間和地點(diǎn)等(不符合扣5分)檢查培訓(xùn)內(nèi)容是否包含信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等(不符合扣5分)√各單位信息化管理、運(yùn)行等部門負(fù)責(zé)人、信息安全管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員等在上崗前應(yīng)經(jīng)過網(wǎng)絡(luò)與信息安全培訓(xùn)人員安全管理10查看是否有相關(guān)管理規(guī)定(不符合扣5分)查看有是否進(jìn)行過崗前培訓(xùn)的證明(不符合扣5分)√對(duì)安全責(zé)任和懲戒措施進(jìn)行書面規(guī)定并告知相關(guān)人員，對(duì)違反違背安全策略和規(guī)定的人員進(jìn)行懲戒；人員安全管理10考查安全員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和數(shù)據(jù)庫管理員其對(duì)工作相關(guān)的信息安全基礎(chǔ)知識(shí)、安全責(zé)任和懲戒措施等的理解程度(不符合扣10分)√√√對(duì)安全教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄并歸檔保存。人員安全管理10檢查是否具有安全教育和培訓(xùn)記錄(不符合，該項(xiàng)不得分)檢查記錄是否有培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等的描述(不符合扣5分)檢查記錄與培訓(xùn)計(jì)劃是否一致(不符合扣5分)√√信息安全監(jiān)督與考核（小計(jì)：90分）檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA信息安全監(jiān)督建立信息安全監(jiān)督機(jī)制，對(duì)所轄單位信息安全工作情況進(jìn)行定期評(píng)價(jià)安全管理機(jī)構(gòu)14查看是否有信息安全監(jiān)督的文檔(不符合扣7分)查看是否有監(jiān)督的記錄(不符合扣7分)√√√建立信息安全檢查機(jī)制，確保在春秋安全大檢查中對(duì)信息安全情況進(jìn)行檢查安全管理機(jī)構(gòu)10查看是否有管理制度規(guī)定將信息安全納入春秋安全大檢查的工作中(不符合扣4分)檢查當(dāng)年的春檢或秋檢中是否進(jìn)行了信息安全方面的檢查工作(不符合扣6分)√√√落實(shí)公司同業(yè)對(duì)標(biāo)工作安全管理10檢查是否落實(shí)了公司同業(yè)對(duì)標(biāo)工作(不符合扣10分)√√√信息安全考核建立信息安全考核辦法，根據(jù)各單位信息安全狀況、信息安全工作執(zhí)行情況進(jìn)行考核安全管理10檢查信息安全考核相關(guān)管理規(guī)定中是否對(duì)信息安全狀況、工作執(zhí)行情況等提出了具體的考核辦法(不符合扣10分)√√√將網(wǎng)絡(luò)與信息安全防護(hù)工作的表現(xiàn)納入員工的崗位責(zé)任制安全管理10查看相關(guān)崗位職責(zé)文件(不符合扣10分)√√√信息安全考核制度中明確了獎(jiǎng)、懲辦法安全管理6查看信息安全考核相關(guān)管理規(guī)定中是否有明確了獎(jiǎng)懲辦法(不符合扣6分)√√√定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核人員安全管理10檢查是否有人負(fù)責(zé)定期對(duì)各個(gè)崗位人員進(jìn)行安全技能及安全知識(shí)的考核(不符合扣10分)√√√對(duì)關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核人員安全管理10檢查近年的考核記錄(不符合扣10分)檢查記錄的考核人員是否包括各個(gè)崗位的人員(不符合扣5分)檢查考核內(nèi)容是否包含安全知識(shí)、安全技能等(不符合扣3分)檢查記錄日期與考核周期是否一致(不符合扣2分)√√√對(duì)考核結(jié)果進(jìn)行記錄并保存人員安全管理10檢查是否對(duì)考核結(jié)果進(jìn)行記錄(不符合扣10分)考核記錄至少保存五年(不符合扣5分)√√符合性管理（小計(jì)：100分）檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA法律符合性在信息系統(tǒng)相關(guān)的合同條文中明確適用的法律、法規(guī)條文安全管理10抽查1～2個(gè)信息系統(tǒng)建設(shè)合同文本，檢查是否包含了相關(guān)法律、法規(guī)責(zé)任(不符合扣10分)√√√所有信息系統(tǒng)相關(guān)的合同應(yīng)經(jīng)過法律事務(wù)部門的審核安全管理10抽查1～2個(gè)信息系統(tǒng)建設(shè)合同文本，檢查是否經(jīng)過法律事務(wù)部門的審核(不符合扣10分)√√√制定系統(tǒng)運(yùn)行管理技術(shù)人員不得利用職權(quán)侵犯他人隱私的管理規(guī)定安全管理10檢查是否有相關(guān)管理內(nèi)容(不符合扣10分)√√√知識(shí)產(chǎn)權(quán)保護(hù)制定或沿用上級(jí)單位知識(shí)產(chǎn)權(quán)管理的制度安全管理10檢查是否有明確的知識(shí)產(chǎn)權(quán)相關(guān)管理制度(不符合扣10分)√√√在所有軟件開發(fā)合同、協(xié)議中明確知識(shí)產(chǎn)權(quán)的歸屬安全管理20抽查相關(guān)合同、協(xié)議文件，查看知識(shí)產(chǎn)權(quán)保護(hù)的內(nèi)容(不符合扣20分)√√√確保軟件知識(shí)產(chǎn)權(quán)證書、文檔、手冊(cè)、源代碼及可執(zhí)行程序都已提交相關(guān)管理部門安全管理10抽查1～2個(gè)信息系統(tǒng)建設(shè)的歸檔文件，查看相關(guān)內(nèi)容、記錄是否齊全(一項(xiàng)缺失扣5分)√√√在集成、開發(fā)、采購合同中向乙方提出確保系統(tǒng)來源合法，提交相應(yīng)產(chǎn)權(quán)證明材料的要求安全管理20抽查1～2個(gè)信息系統(tǒng)集成或采購合同文本，查看是否有相關(guān)的要求(不符合扣10分)√√√制定限制內(nèi)部員工在單位設(shè)備上私自使用、安裝盜版軟件的管理內(nèi)容安全管理10查看是否有相關(guān)管理內(nèi)容(不符合扣10分)√√√信息安全運(yùn)行維護(hù)評(píng)估（總計(jì)：1400分）信息系統(tǒng)運(yùn)行管理（小計(jì)：455分）檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA運(yùn)行管理根據(jù)公司總部頒發(fā)的信息系統(tǒng)運(yùn)行管理規(guī)程制訂本單位的運(yùn)行管理規(guī)程安全管理20檢查是否有運(yùn)行管理規(guī)程(沒有扣20分)√√√機(jī)房出入管理制度張貼于恰當(dāng)?shù)奈恢冒踩芾?5檢查相關(guān)制度是否張貼于機(jī)房墻壁上(沒有扣15分)√√√近3個(gè)月的機(jī)房進(jìn)出情況安全管理20檢查近三個(gè)月機(jī)房的進(jìn)出記錄(沒有扣20分)√√√運(yùn)行值班制度中應(yīng)規(guī)定普通情況下5＊8小時(shí)、關(guān)鍵時(shí)期7＊24小時(shí)的現(xiàn)場(chǎng)值班內(nèi)容安全管理20檢查是否有相關(guān)的值班要求(沒有扣20分)√√√對(duì)值班人員的值班計(jì)劃進(jìn)行安排，近3個(gè)月值班記錄內(nèi)容安全管理15檢查近三個(gè)月的值班安排和記錄表(沒有扣15分)√√√監(jiān)控管理和安全管理中心對(duì)通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測(cè)和報(bào)警，形成記錄并妥善保存；系統(tǒng)運(yùn)維管理15檢查相關(guān)管理制度中是否明確要求對(duì)通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件進(jìn)行監(jiān)測(cè)和報(bào)警(沒有扣10分)檢查近三個(gè)月的監(jiān)測(cè)記錄(沒有扣5分)√√組織相關(guān)人員定期對(duì)監(jiān)測(cè)和報(bào)警記錄進(jìn)行分析、評(píng)審，發(fā)現(xiàn)可疑行為，形成分析報(bào)告，并采取必要的應(yīng)對(duì)措施；系統(tǒng)運(yùn)維管理20檢查是否明確相關(guān)人員定期對(duì)監(jiān)測(cè)和報(bào)警記錄進(jìn)行分析、評(píng)審(沒有扣10分)檢查分析報(bào)告和應(yīng)對(duì)措施記錄(沒有扣10分)√√√建立安全管理中心，對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等安全相關(guān)事項(xiàng)進(jìn)行集中管理。系統(tǒng)運(yùn)維管理15檢查是否建立安全管理中心，對(duì)安全相關(guān)事項(xiàng)進(jìn)行集中管理(沒有扣15分)√√√網(wǎng)絡(luò)安全管理指定專人對(duì)網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作；系統(tǒng)運(yùn)維管理20檢查是否指定專人對(duì)網(wǎng)絡(luò)進(jìn)行管理(沒有扣10分)檢查網(wǎng)絡(luò)管理職責(zé)中是否明確要求其負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作(沒有扣10分)√√√建立網(wǎng)絡(luò)安全管理制度，對(duì)網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、口令更新周期等方面作出規(guī)定；系統(tǒng)運(yùn)維管理15檢查是否指定專人對(duì)網(wǎng)絡(luò)進(jìn)行管理(沒有扣10分)檢查網(wǎng)絡(luò)管理職責(zé)中是否明確要求其負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作(沒有扣5分)√√√根據(jù)廠家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前對(duì)現(xiàn)有的重要文件進(jìn)行備份；系統(tǒng)運(yùn)維管理15檢查網(wǎng)絡(luò)設(shè)備的軟件版本(不符合扣10分)檢查網(wǎng)絡(luò)設(shè)備軟件版本更新流程(不符合扣5分)√√定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ)；系統(tǒng)運(yùn)維管理20檢查是否要求定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描(沒有扣10分)檢查漏洞掃描的修補(bǔ)或整改記錄(沒有扣10分)√√√實(shí)現(xiàn)設(shè)備的最小服務(wù)配置，并對(duì)配置文件進(jìn)行定期離線備份；系統(tǒng)運(yùn)維管理20抽查網(wǎng)絡(luò)設(shè)備是否按照最小服務(wù)原則進(jìn)行配置(沒有扣10分)檢查網(wǎng)絡(luò)配置文件是否定期進(jìn)行離線備份(沒有扣10分)√√保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)；系統(tǒng)運(yùn)維管理15檢查是否具有內(nèi)部網(wǎng)絡(luò)所有外聯(lián)的授權(quán)批準(zhǔn)書(沒有扣15分)√√√依據(jù)安全策略允許或者拒絕便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入；系統(tǒng)運(yùn)維管理20檢查是否按照安全策略對(duì)便攜或移動(dòng)設(shè)備接入網(wǎng)絡(luò)進(jìn)行嚴(yán)格控制(沒有扣20分)√√定期檢查違反規(guī)定撥號(hào)上網(wǎng)或其他違反網(wǎng)絡(luò)安全策略的行為系統(tǒng)運(yùn)維管理20檢查管理要求中的相關(guān)規(guī)定中是否明確要求定期檢查違反規(guī)定撥號(hào)上網(wǎng)或其它違反網(wǎng)絡(luò)安全策略的行為(沒有扣20分)√√√系統(tǒng)安全管理定期進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)進(jìn)行修補(bǔ)；系統(tǒng)運(yùn)維管理15檢查是否定期進(jìn)行漏洞掃描(沒有扣10分)檢查漏洞掃描記錄和對(duì)發(fā)現(xiàn)漏洞的處理或整改記錄(沒有扣5分)√√√安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，首先在測(cè)試環(huán)境中測(cè)試通過，并對(duì)重要文件進(jìn)行備份后，方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝；系統(tǒng)運(yùn)維管理15檢查系統(tǒng)的安全補(bǔ)丁是否安裝到最新(沒有扣10分)檢查系統(tǒng)的安全補(bǔ)丁更新流程是否滿足相關(guān)要求(沒有扣5分)√√建立系統(tǒng)安全管理制度，對(duì)系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出具體規(guī)定；系統(tǒng)運(yùn)維管理15檢查是否將系統(tǒng)安全管理工作（包括系統(tǒng)安全配置、系統(tǒng)帳戶、審計(jì)日志等）制度化(沒有扣15分)√√√指定專人對(duì)系統(tǒng)進(jìn)行管理，劃分系統(tǒng)管理員角色，明確各個(gè)角色的權(quán)限、責(zé)任和風(fēng)險(xiǎn)，權(quán)限設(shè)定應(yīng)當(dāng)遵循最小授權(quán)原則；系統(tǒng)運(yùn)維管理20檢查是否指定專人負(fù)責(zé)系統(tǒng)安全管理(沒有扣10分)檢查是否根據(jù)系統(tǒng)管理員角色遵循最小授權(quán)原則進(jìn)行權(quán)限劃分(沒有扣5分)對(duì)不常用的系統(tǒng)缺省用戶是否采取了一定的處理手段阻止其繼續(xù)使用(沒有扣5分)√√√依據(jù)操作手冊(cè)對(duì)系統(tǒng)進(jìn)行維護(hù)，詳細(xì)記錄操作日志，包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容，嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作；系統(tǒng)運(yùn)維管理15檢查是否建立系統(tǒng)的操作手冊(cè)，并按操作手冊(cè)對(duì)系統(tǒng)進(jìn)行維護(hù)(沒有扣5分)檢查操作日志，是否詳細(xì)記錄重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)設(shè)備和修改等內(nèi)容(沒有扣5分)核對(duì)系統(tǒng)日志，查看是否存在未經(jīng)授權(quán)的操作記錄(沒有扣5分)√√√定期對(duì)運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析，以便及時(shí)發(fā)現(xiàn)異常行為系統(tǒng)運(yùn)維管理15檢查是否定期對(duì)運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析(沒有扣10分)檢查分析報(bào)告，是否及時(shí)發(fā)現(xiàn)異常行為并查找原因，及時(shí)處理(沒有扣5分)√√√惡意代碼防范管理提高所有用戶的防病毒意識(shí)，及時(shí)告知防病毒軟件版本，在讀取移動(dòng)存儲(chǔ)設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前，先進(jìn)行病毒檢查，對(duì)外來計(jì)算機(jī)或存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)行病毒檢查；系統(tǒng)運(yùn)維管理15抽查用戶終端防病毒軟件的使用情況(沒有扣5分)檢查防病毒軟件的版本(沒有扣5分)檢查防病毒軟件設(shè)置的防護(hù)策略是否滿足要求(沒有扣5分)√√√指定專人對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)并保存檢測(cè)記錄；系統(tǒng)運(yùn)維管理15檢查是否設(shè)置專人進(jìn)行網(wǎng)絡(luò)和主機(jī)的惡意代碼檢測(cè)工作(沒有扣10分)檢查是否保存最近三個(gè)月的檢測(cè)記錄(沒有扣5分)√√√對(duì)防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級(jí)、定期匯報(bào)等作出明確規(guī)定；系統(tǒng)運(yùn)維管理15檢查惡意代碼防范管理制度，查看其內(nèi)容是否覆蓋防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級(jí)、定期匯報(bào)等方面(沒有扣15分)√√√定期檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的惡意代碼庫的升級(jí)情況并進(jìn)行記錄，對(duì)主機(jī)防病毒產(chǎn)品、防病毒網(wǎng)關(guān)和郵件防病毒網(wǎng)關(guān)上截獲的危險(xiǎn)病毒或惡意代碼進(jìn)行及時(shí)分析處理，并形成書面的報(bào)表和總結(jié)匯報(bào)系統(tǒng)運(yùn)維管理15檢查是否具有惡意代碼檢測(cè)記錄、惡意代碼庫升級(jí)記錄和分析報(bào)告(沒有扣5分)查看升級(jí)記錄是否記錄升級(jí)時(shí)間、升級(jí)版本等內(nèi)容(沒有扣5分)查看分析報(bào)告是否描述惡意代碼的特征、修補(bǔ)措施等內(nèi)容(沒有扣5分)√√√密碼管理建立密碼使用管理制度，使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品系統(tǒng)運(yùn)維管理15檢查是否具有密碼使用管理制度(沒有扣15分)檢查密碼算法和密鑰的使用是否遵照國家密碼管理規(guī)定(沒有扣10分)（扣完15分為止）√√√資產(chǎn)分類管理（小計(jì)：70分）檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA資產(chǎn)分類與標(biāo)識(shí)編制并保存與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容系統(tǒng)運(yùn)維管理20查看資產(chǎn)清單(沒有扣20分)√√√建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門，并規(guī)范資產(chǎn)管理和使用的行為系統(tǒng)運(yùn)維管理20檢查資產(chǎn)安全管理制度，查看其內(nèi)容是否覆蓋了資產(chǎn)使用、借用、維護(hù)等方面(沒有扣10分)檢查是否指定資產(chǎn)管理的責(zé)任人員或部門(沒有扣5分)檢查資產(chǎn)管理和使用行為是否規(guī)范(沒有扣5分)√√√根據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)管理，根據(jù)資產(chǎn)的價(jià)值選擇相應(yīng)的管理措施系統(tǒng)運(yùn)維管理15檢查是否對(duì)資產(chǎn)進(jìn)行賦值和標(biāo)識(shí)管理，不同類別的資產(chǎn)是否采取不同的管理措施(沒有扣15分)√√√對(duì)信息分類與標(biāo)識(shí)方法作出規(guī)定，并對(duì)信息的使用、傳輸和存儲(chǔ)等進(jìn)行規(guī)范化管理系統(tǒng)運(yùn)維管理15檢查相關(guān)管理要求中是否明確對(duì)信息分類與標(biāo)識(shí)方法進(jìn)行規(guī)定(沒有扣10分)查看其是否規(guī)定了分類標(biāo)識(shí)的原則和方法（如根據(jù)數(shù)據(jù)的重要程度、敏感程度或用途不同進(jìn)行分類）(沒有扣5分)查看是否根據(jù)分類文檔所描述的信息種類規(guī)定不同信息的使用、傳輸、存儲(chǔ)等方面內(nèi)容(沒有扣5分)√√√配置與變更管理（小計(jì)105分）檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA配置管理對(duì)信息系統(tǒng)的配置參數(shù)進(jìn)行管理、建立系統(tǒng)、設(shè)備的配置參數(shù)定義文件庫（如：所有防火墻的規(guī)則配置文件）安全管理20檢查是否建立了配置文件庫(沒有扣20分)√√對(duì)各系統(tǒng)初始化軟硬件配置環(huán)境進(jìn)行記錄和備份系統(tǒng)運(yùn)維管理20檢查是否有初始化配置清單、或文件庫(沒有扣20分)√√變更管理對(duì)系統(tǒng)中發(fā)生的變更，應(yīng)有流程對(duì)其進(jìn)行確認(rèn)并制定變更方案系統(tǒng)運(yùn)維管理15檢查是否有變更審核流程(沒有扣10分)檢查近一年的變更方案(沒有扣5分)√√建立變更管理制度，系統(tǒng)發(fā)生變更前，向主管領(lǐng)導(dǎo)申請(qǐng)，變更和變更方案經(jīng)過評(píng)審、審批后方可實(shí)施變更，并在實(shí)施后將變更情況向相關(guān)人員通告系統(tǒng)運(yùn)維管理15檢查重要系統(tǒng)變更前是否根據(jù)申報(bào)和審批程序得到有關(guān)領(lǐng)導(dǎo)的批準(zhǔn)(沒有扣5分)檢查發(fā)生的變更情況是否通知了所有相關(guān)人員(沒有扣5分)檢查系統(tǒng)變更方案是否經(jīng)過評(píng)審(沒有扣5分)檢查系統(tǒng)變更方案是否對(duì)變更類型、變更原因、變更過程、變更前評(píng)估等方面進(jìn)行規(guī)定(沒有扣5分)（扣完15分為止）√√建立變更控制的申報(bào)和審批文件化程序，對(duì)變更影響進(jìn)行分析并文檔化，記錄變更實(shí)施過程，并妥善保存所有文檔和記錄系統(tǒng)運(yùn)維管理20檢查變更控制的申報(bào)、審批程序，查看其是否規(guī)定需要申報(bào)的變更類型、申報(bào)流程、審批部門、批準(zhǔn)人等方面內(nèi)容(沒有扣10分)檢查是否有系統(tǒng)變更影響分析文檔(沒有扣5分)檢查近一年的系統(tǒng)變更實(shí)施記錄(沒有扣5分)√√建立中止變更并從失敗變更中恢復(fù)的文件化程序，明確過程控制方法和人員職責(zé)，必要時(shí)對(duì)恢復(fù)過程進(jìn)行演練系統(tǒng)運(yùn)維管理15檢查是否建立變更失敗恢復(fù)程序(沒有扣10分)查看是否變更失敗后的恢復(fù)流程是否滿足相關(guān)要求(沒有扣5分)√√業(yè)務(wù)連續(xù)性管理（小計(jì)：460分）檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA應(yīng)急預(yù)案根據(jù)公司應(yīng)急預(yù)案管理辦法制定相應(yīng)的應(yīng)急預(yù)案系統(tǒng)運(yùn)維管理15查看是否有針對(duì)公司信息安全事件的應(yīng)急預(yù)案(沒有扣15分)√√√從人力、設(shè)備、技術(shù)和財(cái)務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障系統(tǒng)運(yùn)維管理15檢查是否建立應(yīng)急預(yù)案小組(沒有扣5分)查看是否具備應(yīng)急設(shè)備并能正常工作(沒有扣5分)查看應(yīng)急預(yù)案執(zhí)行所需資金是否做過預(yù)算并能夠落實(shí)(沒有扣5分)√√√對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次系統(tǒng)運(yùn)維管理15檢查是否具有應(yīng)急預(yù)案培訓(xùn)記錄(沒有扣10分)檢查培訓(xùn)時(shí)間間隔是否小于一年(沒有扣5分)√√√制定針對(duì)重要系統(tǒng)的專項(xiàng)應(yīng)急預(yù)案系統(tǒng)運(yùn)維管理15查看是否針對(duì)所有重要系統(tǒng)都有應(yīng)急預(yù)案(沒有扣15分)√√√定期對(duì)應(yīng)急預(yù)案進(jìn)行演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定演練的周期系統(tǒng)運(yùn)維管理15查看一年內(nèi)的應(yīng)急預(yù)案演練記錄(沒有扣15分)√√√所有相關(guān)人員應(yīng)清楚地知道自己在應(yīng)急響應(yīng)中的角色和職責(zé)安全管理15根據(jù)應(yīng)急預(yù)案，抽查3名相關(guān)人員，檢查其是否明確自己的角色和職責(zé)(一人不清楚扣5分)√定期對(duì)應(yīng)急預(yù)案進(jìn)行評(píng)估和修訂系統(tǒng)運(yùn)維管理15檢查近兩年應(yīng)急預(yù)案的評(píng)估和修訂記錄(沒有扣15分)√√√安全事件處置按照XXX公司的要求建立及時(shí)的信息安全信息通報(bào)機(jī)制安全管理15檢查是否有專人負(fù)責(zé)信息安全通報(bào)(沒有扣9分)檢查是否有通寶記錄(沒有扣6分)√√√報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件，但任何情況下用戶均不應(yīng)嘗試驗(yàn)證弱點(diǎn)；系統(tǒng)運(yùn)維管理15檢查是否告知用戶在發(fā)現(xiàn)安全弱點(diǎn)和可疑事件時(shí)應(yīng)按相關(guān)要求及時(shí)報(bào)告并不嘗試驗(yàn)證弱點(diǎn)(沒有扣10分)檢查是否對(duì)所報(bào)告的安全事件進(jìn)行記錄并保存(沒有扣5分)√√√制定安全事件報(bào)告和處置管理制度，明確安全事件的類型，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)；系統(tǒng)運(yùn)維管理15檢查安全事件報(bào)告和處置管理制度，查看其是否明確與安全事件有關(guān)的工作職責(zé)，包括報(bào)告單位（人）、接報(bào)單位（人）和處置單位等職責(zé)(沒有扣15分)√√√根據(jù)國家相關(guān)管理部門對(duì)計(jì)算機(jī)安全事件等級(jí)劃分方法和安全事件對(duì)本系統(tǒng)產(chǎn)生的影響，對(duì)本系統(tǒng)計(jì)算機(jī)安全事件進(jìn)行等級(jí)劃分；系統(tǒng)運(yùn)維管理15檢查是否對(duì)系統(tǒng)已發(fā)生的和需要防止發(fā)生的安全事件分類(沒有扣5分)檢查對(duì)識(shí)別出的安全事件是否根據(jù)其對(duì)系統(tǒng)的影響程度劃分不同等級(jí)(沒有扣5分)檢查安全事件定級(jí)文檔，查看其內(nèi)容是否明確安全事件的定義、安全事件等級(jí)劃分的原則、等級(jí)描述等方面內(nèi)容(沒有扣5分)√√√制定安全事件報(bào)告和響應(yīng)處理程序，確定事件的報(bào)告流程，響應(yīng)和處置的范圍、程度，以及處理方法等；系統(tǒng)運(yùn)維管理15檢查是否建立安全事件報(bào)告和處理程序(沒有扣15分)查看其是否根據(jù)不同安全事件制定不同的處理和報(bào)告程序，是否明確具體報(bào)告方式、報(bào)告內(nèi)容、報(bào)告人等方面內(nèi)容(沒有扣10分)（扣完15分為止）√√√在安全事件報(bào)告和響應(yīng)處理過程中，分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過程，總結(jié)經(jīng)驗(yàn)教訓(xùn)，制定防止再次發(fā)生的補(bǔ)救措施，過程形成的所有文件和記錄均應(yīng)妥善保存；系統(tǒng)運(yùn)維管理15查看安全事件記錄分析文檔是否記錄引發(fā)安全事件的原因，是否記錄事件處理過程，不同安全事件是否采取不同措施避免其再次發(fā)生(沒有扣15分)√√√對(duì)造成系統(tǒng)中斷和造成信息泄密的安全事件應(yīng)采用不同的處理程序和報(bào)告程序。系統(tǒng)運(yùn)維管理15檢查對(duì)重大的失、泄密事件是否向公安、安全、保密等國家部門匯報(bào)(沒有扣15分)√√√主機(jī)備份關(guān)鍵業(yè)務(wù)系統(tǒng)主機(jī)應(yīng)有備用設(shè)備安全管理15檢查關(guān)鍵系統(tǒng)主機(jī)是否有備用設(shè)備(沒有扣15分)√采用熱備份方式的主機(jī)應(yīng)進(jìn)行故障切換測(cè)試安全管理15檢查熱備系統(tǒng)是否進(jìn)行過切換測(cè)試(沒有扣15分)√√采用負(fù)載均衡方式的系統(tǒng)主機(jī)應(yīng)進(jìn)行故障壓力測(cè)試安全管理15檢查負(fù)載均衡系