等保2.0管理測評文檔清單(三級)

等保2.0管理測評列表,,,,

序號,類別,文檔名稱,文檔說明,備注

Ⅰ安全策略和管理制度,,,,

1,安全策略,信息安全工作的總體方針和安全策略,信息安全工作的總體方針和安全策略，說明機構安全工作的總體目標、范圍、原則和安全框架,

2,管理制度,各項安全管理制度,覆蓋物理、網(wǎng)絡、主機系統(tǒng)、數(shù)據(jù)、應用、建設和管理等層面的各類管理內(nèi)容,

3,,日常管理操作的操作規(guī)程,如系統(tǒng)維護手冊和用戶操作規(guī)程等,

4,制定和發(fā)布,制度制定和發(fā)布要求管理文檔,說明安全管理制度的制定和發(fā)布程序、格式要求及版本編號等相關內(nèi)容,

5,,管理制度評審記錄,需有相關人員的評審意見,

6,,安全管理制度的收發(fā)登記記錄,收發(fā)通過正式的方式，如正式發(fā)文、領導簽署和單位蓋章；需有發(fā)布范圍要求,

7,評審和修訂,安全管理制度的審定/論證記錄,記錄的日期間隔與評審周期需一致，應有相關人員的評審意見,

Ⅱ安全管理機構和人員,,,,

1,崗位設置,部門、崗位職責文件,設置安全主管、安全管理各個方面的負責人；機房管理員、系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等各個崗位的職責范圍；安全管理機構的職責，機構內(nèi)各部門的職責和分工，各個崗位人員應具有的技能要求；明確各部門、各崗位的職責和授權范圍；明確設備維護管理的責任部門,

2,,信息安全管理委員會委任授權書,需具有被測單位主管領導的授權簽字,

3,,信息安全管理委員會職責文件,明確委員會職責和其最高領導崗位的職責,

4,,安全管理工作記錄,安全管理各部門和信息安全管理委員會或領導小組日常管理工作執(zhí)行情況的文件或工作記錄,

5,人員配備,人員配備文檔,明確系統(tǒng)管理員、網(wǎng)絡管理員和安全管理員各崗位人員配備情況；明確應配備專職的安全管理員,

6,授權和審批,審批管理制度文檔,明確定期審查、更新審批的項目、審批部門、批準人和審查周期等；明確對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項的審批流程,

7,,關鍵活動的審批過程記錄,需具有各級批準人的簽字和審批部門的蓋章；記錄的審批程序與文件要求需一致,

8,溝通和合作,組織內(nèi)部機構之間以及信息安全職能部門內(nèi)部的安全工作會議文件或會議記錄,會議內(nèi)容、會議時間、參加人員和會議結果等的描述,

9,,與公安機關、各類供應商、業(yè)界專家及安全組織會議文件或會議記錄,會議內(nèi)容、會議時間、參加人員、會議結果等的描述,

11,,外聯(lián)單位聯(lián)系列表,外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息,

12,審核和檢查,日常安全檢查記錄,關于系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況；檢查內(nèi)容、檢查人員、檢查數(shù)據(jù)匯總表、檢查結果等的描述,

13,,全面安全檢查記錄,包括現(xiàn)有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等,

14,,安全檢查時的安全檢查表、安全檢查記錄和結果通告記錄,具有安全檢查表格、安全檢查記錄、安全檢查報告、安全檢查結果通報記錄,

15,人員錄用,人員安全管理文檔,說明錄用人員應具備的條件（如學歷、學位要求，技術人員應具備的專業(yè)技術水平，管理人員應具備的安全管理知識等）,

16,,人員錄用審查記錄,對錄用人身份、背景、專業(yè)資格和資質(zhì)等進行審查的相關文檔或記錄；記錄審查內(nèi)容和審查結果,

17,,人員錄用時的技能考核文檔或記錄,記錄考核內(nèi)容和考核結果,

18,,保密協(xié)議,保密范圍、保密責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容,

19,,崗位安全協(xié)議,崗位安全責任、違約責任、協(xié)議的有效期限和責任人簽字等內(nèi)容,

20,人員離崗,人員離崗的管理文檔,規(guī)定了人員調(diào)離手續(xù)和離崗要求,

21,,離崗人員的安全處理記錄,如交還身份證件、設備等的登記記錄,

22,,離崗人員保密承諾文檔,需具有離崗人員的簽字,

23,安全意識教育和培訓,信息安全教育及技能培訓管理文檔,明確培訓周期、培訓方式、培訓內(nèi)容和考核方式等相關內(nèi)容,

24,,安全責任和懲戒措施管理文檔,包含具體的安全責任和懲戒措施,

25,,安全教育和培訓計劃文檔,具有不同崗位的培訓計劃；培訓方式、培訓對象、培訓內(nèi)容、培訓時間和地點等；培訓內(nèi)容包含信息安全基礎知識、崗位操作規(guī)程等,

26,,安全教育和培訓記錄記錄,培訓人員、培訓內(nèi)容、培訓結果等的描述,

27,,各崗位人員的技能考核記錄,記錄日期與考核周期需一致，具有針對各崗位人員的技能考核記錄,

28,外部人員訪問管理,外部人員訪問管理文檔,允許外部人員訪問的范圍、外部人員進入的條件、外部人員進入的訪問控制措施等；明確外部人員接入受控網(wǎng)絡前的申請審批流程；明確外部人員離開后及時清除其所有訪問權限,

29,,外部人員訪問重要區(qū)域的書面申請文檔,具有批準人允許訪問的批準簽字,

30,,外部人員訪問重要區(qū)域的登記記錄,外部人員訪問重要區(qū)域的進入時間、離開時間、訪問區(qū)域、陪同人等,

31,,外部人員訪問系統(tǒng)的書面申請文檔,明確外部人員的訪問權限，具有允許訪問的批準簽字等,

32,,外部人員訪問系統(tǒng)的登記記錄,記錄外部人員訪問的權限、時限、賬戶；記錄訪問權限清除時間,

33,,外部人員訪問保密協(xié)議,明確人員的保密義務(如不得進行非授權操作，不得復制信息等）,

III安全建設管理,,,,

1,安全方案設計,系統(tǒng)的安全建設工作計劃,系統(tǒng)的近期安全建設計劃和遠期安全建設計劃,

2,,安全設計文檔,根據(jù)安全等級選擇安全措施，根據(jù)安全需求調(diào)整安全措施,

3,,總體規(guī)劃和安全設計方案等配套文件,設計方案中應包括密碼相關內(nèi)容,

4,,專家論證文檔,相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃、詳細設計方案等相關配套文件的論證意見,

5,產(chǎn)品采購和使用,產(chǎn)品采購管理文檔,產(chǎn)品性能指標，確定產(chǎn)品的候選范圍，通過招投標等方式確定采購產(chǎn)品及人員行為準則等方面,

6,,候選產(chǎn)品名單,產(chǎn)品選型測試結果記錄、候選產(chǎn)品名單審定記錄或更新的候選產(chǎn)品名單,

7,,產(chǎn)品采購清單,指導產(chǎn)品采購的清單,

8,自行軟件開發(fā),軟件開發(fā)管理制度,說明軟件設計、開發(fā)、測試、驗收過程的控制方法和人員行為準則；明確哪些開發(fā)活動應經(jīng)過授權和審批,

9,,代碼編寫安全規(guī)范,明確代碼的編寫規(guī)則,

10,,軟件設計的相關文檔、軟件使用指南或操作手冊和維護手冊,應用軟件設計程序文件、源代碼文檔,

11,,軟件安全測試報告,明確軟件存在的安全問題及可能存在的惡意代碼；,

12,,程序資源庫的修改、更新、發(fā)布進行授權和審批的文檔或記錄,需具有批準人的簽字,

13,外包軟件開發(fā),外包軟件協(xié)議,軟件質(zhì)量檢測的規(guī)定,

14,,外包軟件相關文檔,需求分析說明書、軟件設計說明書、軟件操作手冊、軟件源代碼文檔等軟件開發(fā)文檔和使用指南,

15,,軟件安全性檢查報告或證明,確保軟件不存在后門、隱蔽信道或惡意代碼的證明材料,

16,工程實施,工程實施方案,工程時間限制、進度控制和質(zhì)量控制等方面內(nèi)容,

17,,階段性工程報告,按照實施方案形成的階段性工程報告等文檔,

18,,工程監(jiān)理報告（如果安全建設為第三方實施時則需要提供）,明確了工程進展、時間計劃、控制措施等方面內(nèi)容,

19,,工程實施管理制度,工程實施過程的控制方法、實施參與人員的行為準則等方面內(nèi)容,

20,測試驗收,工程測試驗收方案,說明參與測試的部門、人員、測試驗收的內(nèi)容、現(xiàn)場操作過程等內(nèi)容,

21,,測試驗收報告,測試通過的結論（如果報告中提出了存在的問題，則檢查是否有針對這些問題的改進報告）；第三方測試機構的簽字或蓋章,

22,,測試驗收報告審定文檔,需具有相關人員的審定意見和簽字確認,

23,,安全測試報告,具有上線前的安全測試報告，報告應包含密碼應用安全性測試相關內(nèi)容,

24,系統(tǒng)交付,系統(tǒng)交付清單分類,詳細列項系統(tǒng)交付的各類設備、軟件、文檔等,

25,,技術人員技能培訓（系統(tǒng)上線前）的記錄,培訓內(nèi)容、培訓時間和參與人員等,

26,,系統(tǒng)建設文檔,指導用戶進行系統(tǒng)運維的文檔、系統(tǒng)培訓手冊等,

27,,系統(tǒng)交付管理文檔,交付過程的控制方法和對交付參與人員的行為限制等方面內(nèi)容,

28,服務供應商管理,與服務供應商簽訂的服務合同或安全責任書,明確了后期的技術支持和服務承諾等內(nèi)容；保密范圍、安全責任、違約責任、協(xié)議的有效期限和責任人的簽字等；,

29,,安全服務報告,具有安全服務商定期提交的安全服務報告，對其所提供的安全服務的進行匯報（如月報、季度報等）,

30,,服務審核報告,定期審核評價安全服務供應商所提供的服務,

31,,安全服務商評價審核管理制度,針對服務商的評價指標和考核內(nèi)容等,

Ⅳ系統(tǒng)運維管理,,,,

1,環(huán)境管理,機房基礎設施維護記錄,記錄維護日期、維護人、維護設備、故障原因、維護結果等方面內(nèi)容,

2,,機房出入登記記錄,記錄來訪人員、來訪時間、離開時間、攜帶物品等信息,

3,,機房安全管理制度,覆蓋機房物理訪問、物品帶進/帶出機房、機房環(huán)境安全等方面，明確來訪人員的接待區(qū)域,

4,資產(chǎn)管理,資產(chǎn)清單,覆蓋資產(chǎn)范圍（含設備設施、軟件、文檔等）、資產(chǎn)責任部門、重要程度和所處位置等內(nèi)容,

5,,資產(chǎn)管理制度,明確資產(chǎn)的標識方法以及不同資產(chǎn)的管理措施要求；信息資產(chǎn)管理的責任部門、責任人，覆蓋資產(chǎn)使用、傳輸、存儲、維護等方面,

6,,信息分類文檔,明確信息分類標識的原則和方法（如根據(jù)信息的重要程度、敏感程度或用途不同進行分類）,

7,介質(zhì)管理,介質(zhì)管理記錄,記錄介質(zhì)的存儲、歸檔、查詢和使用等情況,

8,設備維護管理,系統(tǒng)相關設備的維護記錄,包括備份和冗余設備,

9,,設備維護管理制度,明確維護人員的責任、維修和服務的審批、維修過程的監(jiān)督控制管理等,

10,,設備帶離機房或辦公地點的審批記錄,設備帶離機房或辦公地點的申報材料或審批記錄,

11,漏洞和風險管理,漏洞掃描報告,描述存在的漏洞、嚴重級別、原因分析和改進意見等方面,

12,,安全測評報告,具有安全整改應對措施文檔,

13,網(wǎng)絡和系統(tǒng)安全管理,網(wǎng)絡和系統(tǒng)安全管理文檔,明確要求對網(wǎng)絡和系統(tǒng)管理員用戶進行分類，并定義各個角色的責任和權限（比如：劃分不同的管理角色，系統(tǒng)管理權限與安全審計權限分離等）,

14,,賬戶的審批記錄或流程,對申請賬戶、建立賬戶、刪除賬戶等進行控制,

15,,網(wǎng)絡和系統(tǒng)安全管理制度,覆蓋網(wǎng)絡和系統(tǒng)的安全策略，賬戶管理（用戶責任、義務、風險、權限審批、權限分配、賬戶注銷等），配置文件的生成、備份，變更審批、符合性檢查等，授權訪問，最小服務，升級與打補丁，審計日志，登錄設備和系統(tǒng)的口令更新周期等方面,

16,,重要設備（如操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡設備、安全設備、應用和組件）的配置和操作手冊,明確操作步驟、維護記錄、參數(shù)配置等內(nèi)容,

17,,運維操作日志,覆蓋網(wǎng)絡和系統(tǒng)的日常巡檢、運行維護、參數(shù)的設置和修改等內(nèi)容,

18,,日志、監(jiān)測和報警數(shù)據(jù)分析報告,具有對日志、監(jiān)測和報警數(shù)據(jù)等進行分析統(tǒng)計的報告,

19,,運維審批記錄,具有變更運維的審批記錄，如系統(tǒng)連接、安裝系統(tǒng)組件或調(diào)整配置參數(shù)等活動；具有運維工具接入系統(tǒng)的審批記錄；具有開通遠程運維的審批記錄,

20,,內(nèi)部網(wǎng)絡外聯(lián)的授權批準書,內(nèi)網(wǎng)主機在安全策略允許之外通過modem、無線設備（如CDMA、GSM，WirelessLAN等）等途徑與外部網(wǎng)絡進行連接時，需提供相關授權批準證明,

21,惡意代碼防范管理,惡意代碼檢測記錄、惡意代碼庫升級記錄和分析處理報告,可提供殺毒軟件運行日志；分析報告需描述惡意代碼的特征、修補措施等內(nèi)容,

22,,惡意代碼防范管理制度,明確防惡意代碼軟件的授權使用、惡意代碼庫升級、定期查殺等內(nèi)容,

23,密碼管理,檢測報告或密碼產(chǎn)品型號證書,獲得有效的國家密碼管理主管部門規(guī)定的檢測報告或密碼產(chǎn)品型號證書,

24,變更管理,變更方案,覆蓋變更類型、變更原因、變更過程、變更前評估等方面內(nèi)容,

25,,變更控制的申報、審批程序,規(guī)定需要申報的變更類型、申報流程、審批部門、批準人等方面內(nèi)容,

26,,重要系統(tǒng)的變更申請書,需主管領導的批準簽字,

27,,變更方案評審記錄和變更過程記錄文檔,此處可舉一個重要系統(tǒng)變更的案例,

28,,變更失敗恢復程序,規(guī)定變更失敗后的恢復流程,

29,備份與恢復管理,備份清單或列表,具有定期備份的重要業(yè)務信息、系統(tǒng)數(shù)據(jù)、軟件系統(tǒng)的列表或清單,

30,,備份和恢復管理制度,備份方式、備份頻度、存儲介質(zhì)和保存期等方面內(nèi)容,

31,,數(shù)據(jù)備份和恢復策略文檔,覆蓋數(shù)據(jù)的存放場所、文件命名規(guī)則、介質(zhì)替換頻率、數(shù)據(jù)離站傳輸方法等方面,

32,安全事件處置,安全事件報告和處置管理制度,系統(tǒng)已發(fā)生的和需要防止發(fā)生的安全事件類型，明確安全事件的現(xiàn)場處理、事件報告和后期恢復的管理職責,

33,,安全事件報告和響應處理程序,記錄引發(fā)安全事件的系統(tǒng)弱點、不同安全事件發(fā)生的原因、處置過程、經(jīng)驗教訓總結、補救措施等內(nèi)容；根據(jù)不同安全事件制定不同的處理和報告程序，明確具體報告方式、報告內(nèi)容、報告人等方面內(nèi)容,

34,應急預案管理,應急預案框架,覆蓋啟動應急預案的條件、應急處理流程、