信息安全等級(jí)保護(hù)測(cè)評(píng)前期調(diào)查問卷

1、信信息息安安全全等等級(jí)級(jí)保保護(hù)護(hù)- -三三級(jí)級(jí)系系統(tǒng)統(tǒng)預(yù)預(yù)測(cè)測(cè)評(píng)評(píng)調(diào)調(diào)查查問問卷卷序序號(hào)號(hào)控控制制域域1 1物物理理安安全全類類2 23 34 45 56 67 78 89 91010111112121313141415151616物物理理安安全全類類1717181819192020212122222323物物理理安安全全類類2424252526262727網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全類類28282929物物理理安安全全類類303031313232333334343535網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全類類36363737383839394040主主機(jī)機(jī)安安全全類類網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全類類4141424243434444主主

2、機(jī)機(jī)安安全全類類45454646474748484949主主機(jī)機(jī)安安全全類類505051515252應(yīng)應(yīng)用用安安全全類類53535454主主機(jī)機(jī)安安全全類類5555565657575858595960606161應(yīng)應(yīng)用用安安全全類類6262636364646565數(shù)數(shù)據(jù)據(jù)安安全全類類6666676768686969安安全全管管理理制制度度類類應(yīng)應(yīng)用用安安全全類類7070717172727373安安全全管管理理制制度度類類7474安安全全管管理理機(jī)機(jī)構(gòu)構(gòu)類類757576767777787879798080安安全全管管理理機(jī)機(jī)構(gòu)構(gòu)類類818182828383人人員員安安全全管管理理類類8484安安

3、全全管管理理機(jī)機(jī)構(gòu)構(gòu)類類8585868687878888人人員員安安全全管管理理類類8989909091919292人人員員安安全全管管理理類類93939494系系統(tǒng)統(tǒng)建建設(shè)設(shè)管管理理類類959596969797人人員員安安全全管管理理類類98989999100100101101102102103103系系統(tǒng)統(tǒng)建建設(shè)設(shè)管管理理類類104104105105106106107107系系統(tǒng)統(tǒng)建建設(shè)設(shè)管管理理類類108108109109110110111111112112113113系系統(tǒng)統(tǒng)運(yùn)運(yùn)維維管管理理類類系系統(tǒng)統(tǒng)建建設(shè)設(shè)管管理理類類114114115115116116117117系系統(tǒng)統(tǒng)運(yùn)運(yùn)維維

4、管管理理類類118118119119120120系系統(tǒng)統(tǒng)運(yùn)運(yùn)維維管管理理類類121121122122123123系系統(tǒng)統(tǒng)運(yùn)運(yùn)維維管管理理類類124124125125126126127127系系統(tǒng)統(tǒng)運(yùn)運(yùn)維維管管理理類類128128129129130130系系統(tǒng)統(tǒng)運(yùn)運(yùn)維維管管理理類類131131132132133133134134135135系系統(tǒng)統(tǒng)運(yùn)運(yùn)維維管管理理類類136136137137138138139139140140141141系系統(tǒng)統(tǒng)運(yùn)運(yùn)維維管管理理類類142142143143144144145145系系統(tǒng)統(tǒng)運(yùn)運(yùn)維維管管理理類類146146147147148148系系統(tǒng)統(tǒng)運(yùn)運(yùn)維維管管

5、理理類類需需求求項(xiàng)項(xiàng)（根據(jù)等級(jí)保護(hù)基本要求的具體項(xiàng)制定而得）安安全全防防護(hù)護(hù)情情況況備備注注是是否否防防護(hù)護(hù)品品牌牌/ /型型號(hào)號(hào)/ /文文檔檔名名稱稱（1）、機(jī)房所在地是否具有基本的防震、防風(fēng)和防雨等能力？（2）、機(jī)房出入口是否安排人員值守，控制、鑒別和記錄進(jìn)入的人員？（3）、是否在機(jī)房重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域；是否在不同機(jī)房間和同一機(jī)房不同區(qū)域間設(shè)置了有效的物理隔離裝置？（4）、重要區(qū)域是否配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員？（5）、設(shè)備或主要部件是否固定在機(jī)柜上，并設(shè)置明顯不易去除的標(biāo)記？（6）、通信線纜是否鋪設(shè)在活動(dòng)地板下或管道中？（7）、機(jī)房是否安裝利用光、電等技

6、術(shù)設(shè)置機(jī)房的防盜報(bào)警系統(tǒng)？（8）、機(jī)房所在建筑物是否設(shè)置避雷裝置？信信息息安安全全等等級(jí)級(jí)保保護(hù)護(hù)- -三三級(jí)級(jí)系系統(tǒng)統(tǒng)預(yù)預(yù)測(cè)測(cè)評(píng)評(píng)調(diào)調(diào)查查問問卷卷（9）、是否設(shè)置防雷保安器，防止感應(yīng)雷？（10）、主要設(shè)備是否設(shè)置交流電源地線？（11）、機(jī)房是否設(shè)置滅火設(shè)備和火災(zāi)自動(dòng)報(bào)警系統(tǒng)？（12）、機(jī)房及相關(guān)的工作房間和輔助房是否采用具有耐火等級(jí)的建筑材料（如彩鋼板、防火門）？（13）、機(jī)房是否采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開（如UPS間與配電間應(yīng)與重要區(qū)域物理隔離）？（14）、機(jī)房?jī)?nèi)的導(dǎo)水管安裝部署是否滿足不穿過機(jī)房屋頂和活動(dòng)地板下？（15）、是否采取措施防止雨水通過機(jī)房窗戶、屋頂和墻壁

7、滲透（如保溫棉、管道設(shè)置套管等）？（16）、機(jī)房否設(shè)置水敏感的檢測(cè)儀表或元件，對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警（漏水報(bào)警繩）？（17）、機(jī)房是否采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透（除濕裝置）？（18）、機(jī)房是否采用了防靜電工作臺(tái)、靜電消除劑和/或靜電消除器等防靜電措施？（19）、機(jī)房是否采用了防靜電地板？（20）、機(jī)房是否設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施（精密空調(diào)等）？（21）、機(jī)房計(jì)算機(jī)系統(tǒng)供電線路上是否設(shè)置了穩(wěn)壓器和過電壓防護(hù)設(shè)備等裝置？（22）、機(jī)房是否配備UPS、發(fā)電機(jī)等備用供電系統(tǒng)？（23）、機(jī)房是否設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電？（24）、是否有防止外界電磁干擾和設(shè)備

8、寄生耦合干擾的措施（包括設(shè)備外殼有良好的接地，電源線和通信線纜隔離等）；是否對(duì)處理秘密級(jí)信息的設(shè)備和磁介質(zhì)采取了防止電磁泄漏的措施？（25）、磁介質(zhì)是否存放在具有電磁屏蔽功能的容器中（磁介質(zhì)需配備屏蔽機(jī)柜）？（26）、電源線和通信線纜是否隔離鋪設(shè)（分不同線槽或分層橋架）？（1）、是否根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段？（2）、重要網(wǎng)段是否部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)？（3）、重要網(wǎng)段與其他網(wǎng)段之間是否采取可靠的技術(shù)隔離手段，如網(wǎng)閘、防火墻、ACL等？（4）、是否配置QoS的具體設(shè)備（如防火墻、路由、交換設(shè)備或?qū)Ｓ脦捁芾碓O(shè)備）對(duì)網(wǎng)絡(luò)帶寬、流

9、量進(jìn)行管理？（5）、在網(wǎng)絡(luò)邊界處是否部署了訪問控制設(shè)備，并開啟和配置相應(yīng)的訪問控制功能？（6）、是否采取措施確保主要網(wǎng)絡(luò)設(shè)備的同一用戶能夠選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別？（7）、能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為網(wǎng)段級(jí)？（8）、是否采取措施對(duì)內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢測(cè)和檢查？（9）、是否部署終端管理軟件或采取其它技術(shù)手段防止非法外聯(lián)行為，并進(jìn)行驗(yàn)證？（10）、是否在網(wǎng)絡(luò)邊界處部署惡意代碼防范技術(shù)措施，是否啟用了檢測(cè)和阻斷功能？（11）、是否開啟對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄

10、或使用第三方安全審計(jì)系統(tǒng)進(jìn)行審計(jì)？（12）、是否采取措施在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等，并能報(bào)警和阻斷？（13）、系統(tǒng)是否有主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余？（1）、服務(wù)器遠(yuǎn)程管理采用什么方式，什么軟件，例如：KVM/遠(yuǎn)程桌面/PcAnywhere/Radmin等？（2）、是否采取特別的措施進(jìn)行防止鑒別信息在傳輸過程中被嗅探？服務(wù)器是否啟用了遠(yuǎn)程管理加密措施？若有第三方的遠(yuǎn)程管理工具，則記錄該工具使用的加密方式。（3）、是否采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別？（4）、是

11、否安裝有第三方審計(jì)工具或系統(tǒng)，審計(jì)是否能夠覆蓋到服務(wù)器、客戶端上的每個(gè)操作系統(tǒng)用戶？（5）、是否安裝有第三方軟件或系統(tǒng)能夠?qū)χ匾脩粜袨楹椭匾到y(tǒng)命令的使用作審計(jì)（Windows系統(tǒng)組策略不能對(duì)重要用戶行為和重要系統(tǒng)命令的使用作審計(jì)）？（6）、是否采取措施能夠檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警？（7）、是否安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫？（8）、網(wǎng)絡(luò)防病毒軟件和主機(jī)防病毒軟件分別采用什么病毒庫？（9）、是否通過網(wǎng)絡(luò)設(shè)備或硬件防火墻實(shí)現(xiàn)“通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限

12、制終端登錄”？（10）、是否經(jīng)常查看“系統(tǒng)資源監(jiān)控器”或第三方監(jiān)控軟件對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況？（11）、是否使用第三方主機(jī)監(jiān)控程序?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警，且其提供主動(dòng)的聲、光、電、短信、郵件等形式的一種或多種報(bào)警方式？（12）、是否滿足主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余？（1）、應(yīng)用系統(tǒng)是否采用兩種或兩種以上身份認(rèn)證技術(shù)對(duì)用戶身份進(jìn)行驗(yàn)證？（2）、應(yīng)用系統(tǒng)是否對(duì)密碼復(fù)雜度做要求，例如要求密碼滿足8位以上，且由數(shù)字、字母、符號(hào)等至少兩種組成？（3）、應(yīng)用系統(tǒng)是否提供登錄失敗處理功能（身份認(rèn)證信息輸錯(cuò)

13、自動(dòng)退出會(huì)話并35次鎖定）？（4）、應(yīng)用系統(tǒng)是否提供敏感信息標(biāo)記功能，例如個(gè)人身份證號(hào)碼、銀行賬號(hào)等部分字符用星號(hào)（*）代替顯示？（5）、應(yīng)用系統(tǒng)是否能提供覆蓋各個(gè)用戶的安全審計(jì)功能，以記錄個(gè)用戶操作痕跡？（6）、應(yīng)用系統(tǒng)是否采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性和機(jī)密性？（7）、應(yīng)用系統(tǒng)是否在通信雙方建立連接之前利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證（安裝數(shù)字證書）？（8）、應(yīng)用系統(tǒng)是否提供數(shù)據(jù)有效性校驗(yàn)功能對(duì)輸入數(shù)據(jù)進(jìn)行格式、長(zhǎng)度等進(jìn)行校驗(yàn)？（9）、應(yīng)用系統(tǒng)是否提供自動(dòng)保護(hù)功能確保發(fā)生故障時(shí)自動(dòng)保存未完成的業(yè)務(wù)信息？（10）、應(yīng)用系統(tǒng)是否提供會(huì)話超時(shí)處理功能，長(zhǎng)時(shí)間未操作進(jìn)行頁面鎖定或退出登錄？（

14、11）、應(yīng)用系統(tǒng)是否能夠限制單個(gè)賬戶多重并發(fā)會(huì)話？（12）、應(yīng)用系統(tǒng)是否能夠?qū)σ粋€(gè)訪問帳戶或一個(gè)請(qǐng)求進(jìn)程占用的資源分配最大限額和最小限額？（13）、是否對(duì)應(yīng)用系統(tǒng)服務(wù)水平（性能指標(biāo)）進(jìn)行檢測(cè)、報(bào)警？（1）、是否采用校驗(yàn)技術(shù)/措施對(duì)數(shù)據(jù)傳輸過程中完整性、保密性進(jìn)行檢測(cè)并采取修改措施？（2）、是否對(duì)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)加密存儲(chǔ)？（3）、是否能夠?qū)浞輸?shù)據(jù)進(jìn)行異地備份存儲(chǔ)？（4）、是否能提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余？（1）、是否形成全面的信息安全管理制度體系，制度體系是否由安全政策、管理制度、操作規(guī)程等構(gòu)成？（2）、是否制定信息安全工作的總體方針和安全策略，說明

15、機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等？（3）、各項(xiàng)安全管理制度是否覆蓋安全管理活動(dòng)中的各類管理內(nèi)容（制度管理、機(jī)構(gòu)管理、人員管理、系統(tǒng)建設(shè)管理和運(yùn)維管理等方面）？（4）、是否具有對(duì)重要管理操作的操作規(guī)程，如系統(tǒng)維護(hù)手冊(cè)和用戶操作規(guī)程等？（5）、是否具有安全管理制度制定和發(fā)布要求管理文檔，其內(nèi)容是否說明安全管理制度的格式要求、版本編號(hào)，是否說明安全管理制度的制定、發(fā)布程序和發(fā)布范圍等各項(xiàng)要求？（1）、是否具有部門、崗位職責(zé)文件，文件是否明確安全管理機(jī)構(gòu)的職責(zé)，是否明確機(jī)構(gòu)內(nèi)各部門和各負(fù)責(zé)人的職責(zé)和分工？（2）、設(shè)置了哪些工作崗位（如安全主管、安全管理各個(gè)方面的負(fù)責(zé)人、機(jī)房管理員、系統(tǒng)管

16、理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位），崗位職責(zé)文檔是否明確各崗位的職責(zé)范圍、任職要求和分工情況等？（3）、是否設(shè)立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任？（4）、是否有職責(zé)文件明確信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組的職責(zé)？是否明確委員會(huì)安全管理機(jī)構(gòu)的職責(zé)？（5）、是否制定事項(xiàng)審批程序明確哪些事項(xiàng)（如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓(xùn)、產(chǎn)品的采購、外部人員的訪問等）需要哪些責(zé)任人、領(lǐng)導(dǎo)進(jìn)行審批，審批程序如何？是否明確重要事項(xiàng)需要逐級(jí)審批？（6）、是否具有信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組安全管理工作執(zhí)行情

17、況的文件或工作記錄（如會(huì)議記錄/紀(jì)要，信息安全工作決策文檔等）？（7）、是否有外聯(lián)單位聯(lián)系列表，外聯(lián)單位是否包含公安機(jī)關(guān)、電信公司、兄弟公司、供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織等，是否說明外聯(lián)單位的名稱、聯(lián)系人、合作內(nèi)容和聯(lián)系方式等內(nèi)容？（8）、是否具有安全顧問指導(dǎo)信息安全建設(shè)、參與安全規(guī)劃和安全評(píng)審的相關(guān)文檔或記錄？（9）、是否具有安全檢查制度，否明確檢查內(nèi)容包括技術(shù)措施有效性和安全管理制度執(zhí)行情況等方面，是否規(guī)定檢查內(nèi)容、檢查程序和檢查周期等，檢查內(nèi)容是否包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等？是否具有相應(yīng)的安全檢查表和檢查報(bào)告？1、是否

18、有人員錄用要求管理文檔，說明錄用人員應(yīng)具備的條件（如學(xué)歷、學(xué)位要求，技術(shù)人員應(yīng)具備的專業(yè)技術(shù)水平，管理人員應(yīng)具備的安全管理知識(shí)等）？2、是否具有人員錄用時(shí)對(duì)錄用人身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查的相關(guān)文檔或記錄？3、是否與錄用后的技術(shù)人員簽署保密協(xié)議？保密協(xié)議是否具有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容？4、對(duì)從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議，其是否具有崗位安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人簽字等內(nèi)容？5、是否具有人員離崗管理文檔，文檔是否規(guī)定了調(diào)離手續(xù)和離崗要求，是否規(guī)范人員離崗過程，并明確終止離崗人員的訪問權(quán)限？6、

19、是否具有交還身份證件和設(shè)備等的登記記錄？是否具有關(guān)鍵崗位人員調(diào)離后的保密承諾書并具有調(diào)離人員的簽字？7、是否具有各崗位人員考核記錄，記錄的考核人員是否包括各個(gè)崗位的人員，考核內(nèi)容是否包含安全知識(shí)、安全技能等？對(duì)關(guān)鍵崗位人員的安全審查和考核與一般崗位人員是否有所不同，審查內(nèi)容是否包括操作行為和社會(huì)關(guān)系等？8、是否有安全責(zé)任和懲戒措施管理文檔，包括哪些具體的安全責(zé)任和懲戒措施？9、是否具有安全教育和培訓(xùn)管理文檔，明確規(guī)定應(yīng)進(jìn)行安全教育和培訓(xùn)？10、是否制定安全教育和培訓(xùn)計(jì)劃，是否具有不同崗位的培訓(xùn)計(jì)劃，是否明確了培訓(xùn)目的、培訓(xùn)方式、培訓(xùn)對(duì)象、培訓(xùn)內(nèi)容、培訓(xùn)時(shí)間和地點(diǎn)等，培訓(xùn)內(nèi)容是否包含信息安全基礎(chǔ)

20、知識(shí)、崗位操作規(guī)程等？11、是否有外部人員訪問管理文檔，明確允許外部人員訪問的范圍（區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容），外部人員進(jìn)入的條件（對(duì)哪些重要區(qū)域的訪問須提出書面申請(qǐng)批準(zhǔn)后方可進(jìn)入），外部人員進(jìn)入的訪問控制措施（由專人全程陪同或監(jiān)督等）和外部人員離開的條件等？（1）、是否具有經(jīng)當(dāng)?shù)毓膊烤W(wǎng)安支隊(duì)批準(zhǔn)的系統(tǒng)定級(jí)報(bào)告？（2）、系統(tǒng)建設(shè)/整改方案，是否依據(jù)風(fēng)險(xiǎn)分析結(jié)果調(diào)整和補(bǔ)償了安全措施？（3）、是否具有系統(tǒng)的安全建設(shè)工作計(jì)劃，文件是否明確了系統(tǒng)的近期安全建設(shè)計(jì)劃和遠(yuǎn)期安全建設(shè)計(jì)劃？（4）、是否有系統(tǒng)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等配套文件？（5）、對(duì)于自主

21、開發(fā)的軟件，是否具有軟件開發(fā)相關(guān)文檔（源代碼、測(cè)試數(shù)據(jù)、測(cè)試結(jié)果等）的使用控制記錄？（6）、是否制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則？不適用本單位所使用軟件均屬于外包開發(fā)或購買成熟軟件，不存在開發(fā)業(yè)務(wù)。（7）、是否具有代碼編寫安全規(guī)范？（8）、軟件安裝之前是否檢測(cè)軟件中的惡意代碼，檢測(cè)工具是否是第三方的商業(yè)產(chǎn)品？（9）、是否具有軟件設(shè)計(jì)的相關(guān)文檔（應(yīng)用軟件設(shè)計(jì)程序文件、源代碼文檔等）、軟件使用指南或操作手冊(cè)和維護(hù)手冊(cè)等？（10）、系統(tǒng)建設(shè)過程中是否制定詳細(xì)的工程實(shí)施方案，其是否規(guī)定工程時(shí)間限制、進(jìn)度、控制、質(zhì)量控制等方面內(nèi)容，工程實(shí)施過程是否按照實(shí)施方案形成各種文檔，

22、如階段性工程進(jìn)程匯報(bào)報(bào)告？（11）、是否具有工程實(shí)施管理制度，其是否規(guī)定工程實(shí)施過程的控制方法（如內(nèi)部階段性控制或外部監(jiān)理單位控制）和實(shí)施參與人員的各種行為等方面內(nèi)容？（12）、信息系統(tǒng)正式運(yùn)行前，是否委托第三方測(cè)試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試？（13）、是否具有工程測(cè)試驗(yàn)收方案，其是否對(duì)參與驗(yàn)收部門、人員、現(xiàn)場(chǎng)操作過程等進(jìn)行要求？測(cè)試記錄是否詳細(xì)記錄了測(cè)試時(shí)間、人員、操作過程、測(cè)試結(jié)果等方面內(nèi)容？測(cè)試報(bào)告是否提出存在問題及改進(jìn)意見等？（14）、是否具有測(cè)試驗(yàn)收管理制度，其是否規(guī)定系統(tǒng)驗(yàn)收測(cè)試的過程控制和參與人員的行為等方面內(nèi)容？（15）、是否具有交付清單，系統(tǒng)交接

23、時(shí)是否根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)？（16）、是否具有系統(tǒng)交付方面的管理制度，明確系統(tǒng)交付的控制方法和人員行為準(zhǔn)則？（17）、是否具有系統(tǒng)定級(jí)文檔和系統(tǒng)屬性說明文件等材料報(bào)主管部門備案的記錄或備案文檔？（18）、是否具有將系統(tǒng)定級(jí)相關(guān)材料報(bào)相應(yīng)公安機(jī)關(guān)備案的記錄或證明？（19）、所選擇的安全服務(wù)商（對(duì)信息系統(tǒng)進(jìn)行安全規(guī)劃、設(shè)計(jì)、實(shí)施、維護(hù)、測(cè)評(píng)等服務(wù)的安全服務(wù)單位）是否具有符合國(guó)家規(guī)定的資質(zhì)？（1）、是否制定機(jī)房安全管理制度，其內(nèi)容是否覆蓋機(jī)房物理訪問、物品帶進(jìn)/帶出機(jī)房、機(jī)房環(huán)境安全等方面？（2）、是否制定了辦公環(huán)境管理文檔，其是否包括人員調(diào)離辦公室時(shí)立即收回鑰匙、不在辦

24、公區(qū)接待來訪人員等方面內(nèi)容？（3）、是否制定了信息系統(tǒng)相關(guān)的資產(chǎn)清單，其內(nèi)容是否覆蓋資產(chǎn)責(zé)任部門、責(zé)任人、所處位置和重要程度等方面？（4）、是否制定了資產(chǎn)安全管理制度，其是否明確信息資產(chǎn)管理的責(zé)任部門、責(zé)任人，其內(nèi)容是否覆蓋資產(chǎn)使用、借用、維護(hù)等方面？（5）、是否具有信息分類文檔，其內(nèi)容是否規(guī)定了分類標(biāo)識(shí)的原則和方法（如根據(jù)信息的重要程度、敏感程度或用途不同進(jìn)行分類）？（6）、是否建立介質(zhì)安全管理制度，其內(nèi)容是否覆蓋介質(zhì)的使用、維修、銷毀等過程的操作？是否包括對(duì)存儲(chǔ)介質(zhì)的使用過程、送出維修以及銷毀等進(jìn)行嚴(yán)格管理的方法和對(duì)帶出工作環(huán)境的存儲(chǔ)介質(zhì)進(jìn)行內(nèi)容加密和監(jiān)控管理的方法？制度中是否包括在介質(zhì)物

25、理傳輸過程中的對(duì)人員選擇、打包、交付等情況進(jìn)行控制的內(nèi)容？（7）、是否制定了設(shè)備安全管理制度，其是否對(duì)設(shè)備選型、采購、發(fā)放以及帶離機(jī)構(gòu)等環(huán)節(jié)的申報(bào)和審批作出規(guī)定？（8）、是否具備設(shè)備維護(hù)管理文檔，是否覆蓋維護(hù)人員的責(zé)任、涉外維修和服務(wù)的審批、維修過程的監(jiān)督控制等方面？（9）、是否具有設(shè)備操作手冊(cè)，其內(nèi)容是否覆蓋設(shè)備啟動(dòng)、停止、加電、斷電等操作，對(duì)象是否覆蓋終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備？（10）、是否有相關(guān)網(wǎng)絡(luò)監(jiān)控系統(tǒng)或技術(shù)措施能夠?qū)νㄐ啪€路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測(cè)和報(bào)警，是否有相關(guān)的監(jiān)控運(yùn)維記錄，按類進(jìn)行歸檔和保管？（11）、是否建立安

26、全管理中心或具有安全集中管理的相關(guān)工具，對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等相關(guān)事項(xiàng)進(jìn)行集中管理？（12）、是否制定了網(wǎng)絡(luò)安全管理制度，其內(nèi)容是否覆蓋網(wǎng)絡(luò)安全配置（包括網(wǎng)絡(luò)設(shè)備的安全策略、授權(quán)訪問、最小服務(wù)、升級(jí)與打補(bǔ)?。徲?jì)日志保存時(shí)間、升級(jí)與打補(bǔ)丁等方面？是否明確了允許或者拒絕便攜式和移動(dòng)式設(shè)備網(wǎng)絡(luò)接入的規(guī)定？（13）、是否具有網(wǎng)絡(luò)漏洞掃描報(bào)告，其內(nèi)容是否包含網(wǎng)絡(luò)存在的漏洞、嚴(yán)重級(jí)別和結(jié)果處理等方面？（14）、是否具有系統(tǒng)安全訪問控制策略說明文檔，是否規(guī)定了根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析制定系統(tǒng)的訪問控制策略，控制分配文件及服務(wù)的訪問權(quán)限？（15）、是否具有系統(tǒng)漏洞掃描報(bào)告，其內(nèi)容是否

27、包含系統(tǒng)存在的漏洞、嚴(yán)重級(jí)別和結(jié)果處理等方面？（16）、是否制定了系統(tǒng)安全管理制度，其內(nèi)容是否覆蓋系統(tǒng)安全配置（包括系統(tǒng)的安全策略、授權(quán)訪問、最小服務(wù)、升級(jí)與打補(bǔ)?。?、系統(tǒng)賬戶（用戶責(zé)任、義務(wù)、風(fēng)險(xiǎn)、權(quán)限審批、權(quán)限分配、賬戶注銷等）、審計(jì)日志以及配置文件的生成、備份、變更審批、符合性檢查等方面？是否對(duì)系統(tǒng)管理員用戶進(jìn)行分類（比如：劃分不同的管理角色，系統(tǒng)管理權(quán)限與安全審計(jì)權(quán)限分離等）？（17）、是否具有系統(tǒng)操作手冊(cè)，其內(nèi)容是否覆蓋操作步驟、維護(hù)記錄、參數(shù)配置等方面？（18）、是否有定期對(duì)系統(tǒng)運(yùn)行日志和審計(jì)數(shù)據(jù)的分析報(bào)告，報(bào)告是否能夠記錄帳戶的連續(xù)多次登錄失敗、非工作時(shí)間的登錄、訪問受限系統(tǒng)或文件的失敗嘗試、系統(tǒng)錯(cuò)誤等非正常事件？（19）、是否具有惡意代碼檢測(cè)記錄、惡意代碼庫升級(jí)記錄和分析報(bào)告，升級(jí)記錄是否記錄升級(jí)時(shí)間、升級(jí)版本等內(nèi)容？（20）、是否具有惡意代碼防范管理文檔，其