企業(yè)信息的安全風險評估實施細則-2017年

1、.wd.wd.wd.企業(yè)信息安全風險評估實施細則二八年五月目 錄TOC o 1-3 h z uHYPERLINK l _Toc1980098531.前言 PAGEREF _Toc198009853 h 1HYPERLINK l _Toc1980098542.資產(chǎn)評估 PAGEREF _Toc198009854 h 2HYPERLINK l _Toc1980098552.1.資產(chǎn)識別 PAGEREF _Toc198009855 h 2HYPERLINK l _Toc1980098562.2.資產(chǎn)賦值 PAGEREF _Toc198009856 h 3HYPERLINK l _Toc1980098

2、573.威脅評估 PAGEREF _Toc198009857 h 6HYPERLINK l _Toc1980098584.脆弱性評估 PAGEREF _Toc198009858 h 10HYPERLINK l _Toc1980098594.1.信息安全管理評估 PAGEREF _Toc198009859 h 11HYPERLINK l _Toc1980098604.1.1.安全方針 PAGEREF _Toc198009860 h 11HYPERLINK l _Toc1980098614.1.2.信息安全機構(gòu) PAGEREF _Toc198009861 h 13HYPERLINK l _Toc1

3、980098624.1.3.人員安全管理 PAGEREF _Toc198009862 h 17HYPERLINK l _Toc1980098634.1.4.信息安全制度文件管理 PAGEREF _Toc198009863 h 19HYPERLINK l _Toc1980098644.1.5.信息化建設(shè)中的安全管理 PAGEREF _Toc198009864 h 23HYPERLINK l _Toc1980098654.1.6.信息安全等級保護 PAGEREF _Toc198009865 h 29HYPERLINK l _Toc1980098664.1.7.信息安全評估管理 PAGEREF _T

4、oc198009866 h 32HYPERLINK l _Toc1980098674.1.8.信息安全的宣傳與培訓 PAGEREF _Toc198009867 h 32HYPERLINK l _Toc1980098684.1.9.信息安全監(jiān)視與考核 PAGEREF _Toc198009868 h 34HYPERLINK l _Toc1980098694.1.10.符合性管理 PAGEREF _Toc198009869 h 36HYPERLINK l _Toc1980098704.2.信息安全運行維護評估 PAGEREF _Toc198009870 h 37HYPERLINK l _Toc198

5、0098714.2.1.信息系統(tǒng)運行管理 PAGEREF _Toc198009871 h 37HYPERLINK l _Toc1980098724.2.2.資產(chǎn)分類管理 PAGEREF _Toc198009872 h 41HYPERLINK l _Toc1980098734.2.3.配置與變更管理 PAGEREF _Toc198009873 h 42HYPERLINK l _Toc1980098744.2.4.業(yè)務連續(xù)性管理 PAGEREF _Toc198009874 h 43HYPERLINK l _Toc1980098754.2.5.設(shè)備與介質(zhì)安全 PAGEREF _Toc19800987

6、5 h 46HYPERLINK l _Toc1980098764.3.信息安全技術(shù)評估 PAGEREF _Toc198009876 h 50HYPERLINK l _Toc1980098774.3.1.物理安全 PAGEREF _Toc198009877 h 50HYPERLINK l _Toc1980098784.3.2.網(wǎng)絡安全 PAGEREF _Toc198009878 h 53HYPERLINK l _Toc1980098794.3.3.操作系統(tǒng)安全 PAGEREF _Toc198009879 h 60HYPERLINK l _Toc1980098804.3.4.數(shù)據(jù)庫安全 PAGER

7、EF _Toc198009880 h 72HYPERLINK l _Toc1980098814.3.5.通用服務安全 PAGEREF _Toc198009881 h 81HYPERLINK l _Toc1980098824.3.6.應用系統(tǒng)安全 PAGEREF _Toc198009882 h 85HYPERLINK l _Toc1980098834.3.7.安全措施 PAGEREF _Toc198009883 h 90HYPERLINK l _Toc1980098844.3.8.數(shù)據(jù)安全及備份恢復 PAGEREF _Toc198009884 h 94前言為了標準、深化XXX公司信息安全風險評估

8、工作，依據(jù)國家?信息系統(tǒng)安全等級保護 根本要求?、?XXX公司信息化“SG186工程安全防護總體方案?、?XXX公司網(wǎng)絡與信息系統(tǒng)安全隔離實施指導意見?、?XXX公司信息安全風險評估管理暫行方法?、?XXX公司信息安全風險評估實施指南?以下簡稱?實施指南?，組織對?XXX公司信息安全風險評估實施細則?進展了完善。本細則是開展信息系統(tǒng)安全風險評估工作實施內(nèi)容的主要依據(jù)，各單位在相關(guān)的信息安全檢查、安全評價、信息系統(tǒng)安全等級保護評估工作中也可參考本細則的內(nèi)容。本細則結(jié)合公司當前信息化工作重點，針對?實施指南?中信息資產(chǎn)評估、威脅評估、脆弱性評估提出了具體的評估內(nèi)容。其中，資產(chǎn)評估內(nèi)容主要針對公司一

9、體化企業(yè)級信息系統(tǒng)展開；威脅評估包含非人為威脅和人為威脅等因素；脆弱性評估內(nèi)容分為信息安全管理評估、信息安全運行維護評估、信息安全技術(shù)評估三局部。公司的評估工作應在本細則的根基上，結(jié)合?實施指南?提出更詳細的實施方案，并采用專業(yè)的評估工具對信息系統(tǒng)進展全面的評估和深層的統(tǒng)計分析，并進展風險計算，確保全面掌握信息系統(tǒng)的安全問題，并提供解決問題的安全建議。本細則將隨公司信息安全管理、技術(shù)、運維情況的開展而滾動修訂與完善。本標準由XXX公司信息化工作部組織制定、發(fā)布并負責解釋。資產(chǎn)評估資產(chǎn)評估是確定資產(chǎn)的信息安全屬性機密性、完整性、可用性等受到破壞而對信息系統(tǒng)造成的影響的過程。在風險評估中，資產(chǎn)評估

10、包含信息資產(chǎn)識別、資產(chǎn)賦值等內(nèi)容。資產(chǎn)識別資產(chǎn)識別主要針對提供特定業(yè)務服務能力的應用系統(tǒng)展開，例如：網(wǎng)絡系統(tǒng)提供根基網(wǎng)絡服務、OA系統(tǒng)提供辦公自動化服務。通常一個應用系統(tǒng)都可劃分為數(shù)據(jù)存儲、業(yè)務處理、業(yè)務服務提供和客戶端四個功能局部，這四個局部在信息系統(tǒng)的實例中都顯現(xiàn)為獨立的資產(chǎn)實體，例如：典型的OA系統(tǒng)可分為客戶端、Web服務器、Domino服務器、DB2數(shù)據(jù)庫服務器四局部資產(chǎn)實體。應用系統(tǒng)的功能模塊或子系統(tǒng)，可參照下表進展分解：應用系統(tǒng)分解表類別說明數(shù)據(jù)存儲應用系統(tǒng)中負責數(shù)據(jù)存儲的子系統(tǒng)或功能模塊。如數(shù)據(jù)庫服務器業(yè)務處理應用系統(tǒng)中負責進展數(shù)據(jù)處理運算的子系統(tǒng)或模塊，如應用服務器、通信前置機

11、服務提供應用系統(tǒng)中負責對用戶提供服務的子系統(tǒng)或模塊，如web服務器客戶端由用戶或客戶直接使用、操縱的模塊，包括：工作站、客戶機等，如應用客戶端、web瀏覽器*注：以上的子系統(tǒng)(功能模塊)分類可能存在于一臺主機上，也可能分布在多臺主機上，對應用系統(tǒng)的分解不需要特別注明子系統(tǒng)的分布情況，只需詳細說明功能作用和構(gòu)成。對于不具有多層構(gòu)造的系統(tǒng)，可根據(jù)實際情況進展簡化分解，例如：僅分解為服務器端與客戶端。典型的應用系統(tǒng)分解構(gòu)造圖如下：代表數(shù)據(jù)傳輸數(shù)據(jù)存儲模塊業(yè)務處理模塊服務提供模塊客戶端應用系統(tǒng)分解本細則中對公司“SG186工程應用系統(tǒng)按照上表進展信息資產(chǎn)的分解與識別，并在資產(chǎn)賦值局部按照這一分解進展賦

12、值。資產(chǎn)賦值根據(jù)?實施指南?的定義，資產(chǎn)評估中對資產(chǎn)的賦值最終結(jié)果是對識別出的獨立資產(chǎn)實體的賦值。每項資產(chǎn)都要進展機密性要求、完整性要求、可用性要求的賦值，賦值定義為：安全性要求很高5、安全性要求高4、安全性要求中等3、安全性要求低2、安全性要求很低1。結(jié)合資產(chǎn)識別的情況，對公司“SG186工程應用系統(tǒng)的各局部進展賦值，結(jié)果見下表。業(yè)務系統(tǒng)系統(tǒng)安全等級客戶端服務提供業(yè)務處理數(shù)據(jù)存儲管理員普通用戶CIACIACIACIACIA一體化平臺企業(yè)信息門戶2422311224113數(shù)據(jù)中心2422233233444數(shù)據(jù)交換平臺2311134123目錄與單點登錄系統(tǒng)2411334223444信息網(wǎng)絡231

13、3144財務資金財務管理系統(tǒng)3544433355242353資金管理系統(tǒng)3544433355242353營銷管理營銷管理信息系統(tǒng)3533422355242353客戶繳費系統(tǒng)331121122412425395598客戶服務管理系統(tǒng)3312211113113232電能信息實時采集與監(jiān)控系統(tǒng)2311211131131131市場管理系統(tǒng)2311211131131131客戶關(guān)系系統(tǒng)2311211131131131需求側(cè)管理系統(tǒng)3322211344244344輔助決策系統(tǒng)2311211132132132安全生產(chǎn)調(diào)度管理信息系統(tǒng)2322211133133133生產(chǎn)管理信息系統(tǒng)232221113313313

14、3地理信息系統(tǒng)2322211133133133安全監(jiān)視管理信息系統(tǒng)2311211131131131電力市場交易系統(tǒng)3422322244244244協(xié)同辦公協(xié)同辦公2424323434323434人力資源人力資源管理系統(tǒng)2322211131131331物資管理物資管理系統(tǒng)2311211131131131招投標系統(tǒng)2431321331331331工程管理工程管理系統(tǒng)2311211131131131綜合管理規(guī)劃方案管理系統(tǒng)2311211131131131審計管理系統(tǒng)2311211331331331金融信息管理系統(tǒng)2311211131131131法律事務管理系統(tǒng)2311211331331331國際合作

15、業(yè)務應用系統(tǒng)2311211331331331紀檢監(jiān)察管理系統(tǒng)2311211131131131ERP系統(tǒng)ERP系統(tǒng)3433322344344344說明：1C代表機密性賦值、I代表完整性賦值、A代表可用性賦值。2系統(tǒng)安全等級作為業(yè)務系統(tǒng)資產(chǎn)權(quán)值與每項賦值相乘后參與風險計算過程。3對各單位不包括在“SG186工程中的應用系統(tǒng)，系統(tǒng)安全等級按照?XXX公司信息系統(tǒng)安全保護等級定級指南?定義方法計算出來，資產(chǎn)賦值按照?實施指南?定義的方法進展識別和賦值，同時可參考上的表賦值結(jié)果。威脅評估在信息安全風險評估中，威脅評估也分為威脅識別和威脅賦值兩局部內(nèi)容。威脅識別通常依據(jù)威脅列表對歷史事件進展分析和判斷獲得

16、的。由于信息系統(tǒng)運行環(huán)境千差萬別，威脅可能性賦值無法給出統(tǒng)一定義，例如：海邊城市受到臺風威脅的可能性要大。本細則中僅給出威脅對信息資產(chǎn)機密性、完整性和可用性破壞的嚴重程度賦值。賦值定義為：破壞嚴重程度很大5、破壞嚴重程度大4、破壞嚴重程度中等3、破壞嚴重程度小2、破壞嚴重程度很小1。在評估實施時需要依據(jù)?實施指南?定義的方法，結(jié)合實際情況對威脅可能性進展判斷。下表是常見的威脅列表。威脅分類威脅名稱說明威脅可能性嚴重程度CIA非人為威脅火山爆發(fā)由火山爆發(fā)引起的故障N/A55颶風由于颶風引起的系統(tǒng)故障N/A45地震由地震引起的系統(tǒng)故障N/A45人員喪失由于各種原因,如疾病、道路故障、暴動等原因?qū)е?/p>

17、人員無法正常工作引起的系統(tǒng)無法使用故障N/AN/A3硬件故障系統(tǒng)由于硬件設(shè)備老舊、損壞等造成的無法使用問題N/A45雷電由雷電引起的系統(tǒng)故障N/A55火災由火災引起的系統(tǒng)故障,包括在火災發(fā)生后進展消防工作中引起的設(shè)備不可用問題N/A45水災由水災引起的系統(tǒng)故障,包括在水災發(fā)生后進展消防工作中引起的設(shè)備不可用問題N/A45雪崩由于雪崩引起的問題N/A24溫度異常由溫度超標引起的故障N/A44濕度異常由濕度超標引起的故障N/A33灰塵、塵土由灰塵超標引起的故障N/A33強磁場干擾由磁場干擾引起的故障N/A33電力故障由于電力中斷、用電波動、供電設(shè)備損壞導致系統(tǒng)停頓運行等導致的系統(tǒng)故障N/A44系統(tǒng)

18、軟件故障由于系統(tǒng)軟件故障所產(chǎn)生的問題344應用軟件故障由于應用軟件故障所產(chǎn)生的問題445軟件缺陷軟件缺陷導致的安全問題444通信故障由于通信故障所產(chǎn)生的問題N/A24DNS失敗由于DNS的問題導致的問題114人為威脅由于誤操作傳輸錯誤的或不應傳送的數(shù)據(jù)個人失誤導致的安全問題431關(guān)鍵員工的離職由于關(guān)鍵員工的離職造成系統(tǒng)的安全問題N/AN/A4離開時未鎖門由于離開時未鎖門造成系統(tǒng)的安全問題431離開時屏保未鎖定由于離開時屏保未鎖定造成的安全問題411在不恰當?shù)娜藛T中討論敏感文檔由于在不恰當?shù)娜藛T中討論敏感文檔造成的安全問題5N/AN/A不恰當?shù)呐渲煤筒僮鞑磺‘數(shù)墓芾硐到y(tǒng)、數(shù)據(jù)庫、無意的數(shù)據(jù)操作，

19、導致安全問題344拒絕服務攻擊攻擊者以一種或者多種損害信息資源訪問或使用能力的方式消耗信息系統(tǒng)資源N/A35由于設(shè)備如筆記本喪失導致泄密等安全問題444過時的規(guī)定由于采用過時的規(guī)定所造成的安全問題443不遵守安全策略可能導致各種可能的安全威脅444不恰當?shù)氖褂迷O(shè)備、系統(tǒng)與軟件不當?shù)氖褂迷O(shè)備造成的安全威脅N/A44惡意破壞系統(tǒng)設(shè)施對系統(tǒng)設(shè)備、存儲介質(zhì)等資產(chǎn)進展惡意破壞N/A45濫用由于某授權(quán)的用戶有意或無意的執(zhí)行了授權(quán)他人要執(zhí)行的舉動、可能會發(fā)生檢測不到的信息資產(chǎn)損害543設(shè)備或軟件被控制或破壞惡意的控制或破壞設(shè)備，以取得機密信息54N/A遠程維護端口被非授權(quán)的使用惡意的使用遠程維護端口，控制主

20、機444數(shù)據(jù)傳輸或 被監(jiān)聽惡意截獲傳輸數(shù)據(jù)4N/AN/A辦公地點被非授權(quán)的控制惡意監(jiān)控辦公地點、重要地帶，獲取重要信息544偵察通過系統(tǒng)開放的服務進展信息收集，獲取系統(tǒng)的相關(guān)信息，包括系統(tǒng)的軟件、硬件和用戶情況等信息44N/A口令的暴力攻擊惡意的暴力嘗試口令533各類軟件后門或后門軟件軟件預留的后門或其他專門的后門軟件帶來的信息泄露威脅432偷竊移動設(shè)備帶有機密信息的移動設(shè)備被竊取5N/A3惡意軟件計算機病毒、蠕蟲帶來的安全問題354偽裝標識的仿冒等信息安全問題44N/A分析信息流分析信息流帶來的信息安全問題4N/AN/A非法閱讀機密信息非授權(quán)的從辦公環(huán)境中取得可獲得的機密信息或復制數(shù)據(jù)5N/

21、AN/A社會工程學攻擊通過email、msn、 號碼、交談等欺騙或其他方式取得內(nèi)部人員的信任，進而取得機密信息5N/AN/A未經(jīng)授權(quán)將設(shè)備連接到網(wǎng)絡未經(jīng)授權(quán)對外開放內(nèi)部網(wǎng)絡或設(shè)備453密碼猜想攻擊對系統(tǒng)賬號和口令進展猜想，導致系統(tǒng)中的敏感信息泄漏531偽造證書惡意的偽造證書，進而取得機密信息551遠程溢出攻擊攻擊者利用系統(tǒng)調(diào)用中不合理的內(nèi)存分配執(zhí)行了非法的系統(tǒng)操作，從而獲取了某些系統(tǒng)特權(quán)，進而威脅到系統(tǒng)完整性553權(quán)限提升通過非法手段獲得系統(tǒng)更高的權(quán)限，進而威脅到系統(tǒng)完整性553遠程文件訪問對服務器上的數(shù)據(jù)進展遠程文件訪問,導致敏感數(shù)據(jù)泄漏532法律糾紛由企業(yè)或信息系統(tǒng)行為導致的法律糾紛造成信

22、譽和資產(chǎn)損失333不能或錯誤地響應和恢復系統(tǒng)無法或錯誤地響應和恢復導致故障和損失334流量過載由于網(wǎng)絡中通信流量過大導致的網(wǎng)絡無法訪問N/A35說明：C代表對機密性的破壞程度、I代表對完整性的破壞程度、A代表對可用性的破壞程度。N/A 表示對此項安全屬性無破壞或無意義。脆弱性評估脆弱性評估內(nèi)容包括管理、運維和技術(shù)三方面的內(nèi)容。脆弱性評估過程是對信息系統(tǒng)中存在的可被威脅利用的管理和運維缺陷、技術(shù)漏洞分析與發(fā)現(xiàn)，并確定脆弱性被利用威脅的難易程度賦值的過程。在本實施細則中，列出了信息安全管理、運維和技術(shù)三方面的檢查點，這些檢查點都是對信息安全防護工作的具體要求，如果信息系統(tǒng)的管理、運維和技術(shù)條件不滿

23、足這些點的檢查要求，那么視為一個缺陷或漏洞。脆弱性檢查表中標記了每個檢查點對機密性C、完整性I、可用性A的是否有影響存表示有影響。檢查表結(jié)果參與?實施指南?中定義的風險計算和分析時，以每一檢查點的實際得分情況和該檢查點的標準分值的比率來確定賦值，并由公司內(nèi)專業(yè)技術(shù)支撐隊伍進展計算，方法如下：首先，按1實際得分/標準分值%，算出該檢查點的不滿足程度；然后按下表對應賦值：標識等級1實際得分/標準分值%很高5大于等于80%高4大于等于60%，但小于80%中3大于等于40%，但小于60%低2大于等于20%，但小于40%很低1小于20%舉例說明：某檢查點標準分值10分，實際得分8分，那么脆弱性賦值：首先

24、取(18/10)%20%，然后按照上表對應，賦值結(jié)果為2“低。信息安全管理評估總計：1800分安全方針小計：130分檢查工程檢查內(nèi)容等級保護標準分值評分標準 實際得分CIA信息安全方針文件滿足國家、公司政策要求和本單位信息安全需求的獨立信息安全方針文件安全管理制度20檢查是否有獨立的信息安全方針文件，或者有包含信息安全方針內(nèi)容的綱領(lǐng)性文件(沒有那么該項不得分)信息安全方針文件中對信息安全整體目標和信息安全工作范圍的定義安全管理制度20檢查方針文件是否對信息安全整體目標進展了闡述(不符合扣10分)檢查方針文件是否對信息安全工作涉及的內(nèi)容范圍進展了明確界定(不符合扣6分)檢查方針文件是否對信息安全

25、相關(guān)工作的協(xié)調(diào)和配合提出了要求(不符合扣4分)信息安全方針文件內(nèi)容對國家信息安全等級保護制度的落實情況安全管理10檢查方針文件是否提出了以下要求相關(guān)內(nèi)容：提出滿足信息安全等級保護制度的要求(不符合扣4分)對信息系統(tǒng)進展了明確等級劃分(不符合扣4分)提出了分等級保護的工作要求(不符合扣2分)信息安全方針文件內(nèi)容對公司信息安全工作原那么與要求的貫徹情況安全管理制度20檢查方針文件是否符合：信息安全納入安全生產(chǎn)范疇的要求(不符合扣 8分)公司信息安全三同步原那么(不符合扣8分)主要業(yè)務系統(tǒng)的安全目標要求(不符合扣4分)信息安全方針對信息安全工作主要內(nèi)容的闡述安全管理制度10檢查方針文件：是否列出了信

26、息安全工作內(nèi)容(不符合扣8分)工作內(nèi)容是否符合國家、公司的要求(不符合扣2分)信息安全方針文件應經(jīng)過單位最高層領(lǐng)導的審批、授權(quán)，在單位內(nèi)部進展討論和宣貫安全管理制度10檢查獨立的信息安全方針文件，或者包含信息安全方針內(nèi)容的綱領(lǐng)性文件：是否經(jīng)過本單位最高層領(lǐng)導的審批。(不符合扣4分)制定過程是否廣泛征求了各相關(guān)業(yè)務部門的意見檢查征求意見相關(guān)記錄(不符合扣4分)發(fā)布后是否進展了內(nèi)部宣傳和學習。(不符合扣2分)信息安全方針文件中對信息安全方針落實情況進展考核、評價的要求安全管理10檢查信息安全方針文件或包含相關(guān)內(nèi)容的文件中是否提出了考核或評價的要求、方法和內(nèi)容。(有考核要求無具體內(nèi)容扣4分)信息安全

27、方針文件中對各關(guān)鍵內(nèi)容的支持性管理制度要求安全管理制度10檢查是否在涉及具體管理細節(jié)的內(nèi)容點列出了相應的支持性管理制度文件名稱，例如：內(nèi)部用戶不得訪問外部非法網(wǎng)站時列出了?內(nèi)網(wǎng)用戶行為管理方法?(有明顯制度文件缺失的點，每點扣2分，扣完為止)信息安全方針文件對自身的保密要求安全管理10檢查方針文件是否規(guī)定了本身的傳播范圍(不符合扣8分)檢查傳播范圍是否合理(不符合扣2分)信息安全方針文件中對進展修訂和審核的周期以及負責審核部門的要求 安全管理10檢查是否認義了審核周期(不符合扣6分)檢查是否明確了負責審核的部門(不符合扣4分)信息安全機構(gòu)小計：250分檢查工程檢查內(nèi)容等級保護標準分值評分標準

28、實際得分CIA公司機構(gòu)信息化領(lǐng)導小組應承當信息安全領(lǐng)導職責，或者成立了包括高層領(lǐng)導的信息安全領(lǐng)導小組安全管理機構(gòu)30檢查是否有機構(gòu)成立的相關(guān)文件(不符合扣 30分)信息安全第一責任人應為單位高層領(lǐng)導安全管理10檢查本單位是否自行制定了文件 (不符合本條扣10分)或者直接沿用上級單位下發(fā)的文件(僅符合本條得4分)成立跨部門的信息安全工作協(xié)調(diào)機構(gòu)來協(xié)調(diào)整體信息安全工作安全管理機構(gòu)20檢查是否有機構(gòu)成立的相關(guān)正式文件。(不符合扣 20分)信息安全領(lǐng)導機構(gòu)和信息安全工作協(xié)調(diào)機構(gòu)的職責安全管理機構(gòu)10檢查是否有領(lǐng)導機構(gòu)職責定義文件(不符合扣 6分)檢查是否有工作協(xié)調(diào)機構(gòu)職責定義文件(不符合扣4分)專業(yè)信

29、息管理部門應獲得高層授權(quán)開展日常的信息安全相關(guān)審核、審批工作安全管理10檢查信息管理部門是否有信息安全相關(guān)審核、審批權(quán)力(不符合扣6分)檢查是否有相關(guān)審核、審批記錄(不符合扣4分)應設(shè)置信息安全管理崗位，有專人負責信息安全整體工作的公司、協(xié)調(diào)和落實工作安全管理機構(gòu)10檢查是否進展了有專人負責(不符合扣6分) 檢查是否設(shè)置了信息安全管理崗位(不符合扣4分)設(shè)立系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等崗位，并定義各個工作崗位的職責安全管理機構(gòu)10檢查是否設(shè)立安全管理各個方面的負責人，設(shè)置了哪些工作崗位如安全主管、安全管理各個方面的負責人、機房管理員、系統(tǒng)管理員、網(wǎng)絡管理員、安全員等重要崗位(不符合扣6

30、分)檢查是否明確各個崗位的職責分工(不符合扣4分)人員配備配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等安全管理機構(gòu)10檢查各個安全管理崗位人員按照崗位職責文件詢問，包括機房管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡管理員、安全員等重要崗位人員配備情況，包括數(shù)量、專職還是兼職等(不符合扣10分)安排了專職信息安全管理員安全管理機構(gòu)10檢查是否安全管理員沒有兼任網(wǎng)絡管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員；(不符合扣4分)實行主、副崗備用制度安全管理機構(gòu)10查看是否所有崗位都指定了主、副負責人員 (不符合扣10分)授權(quán)和審批根據(jù)各個部門和崗位的職責明確授權(quán)審批事項、審批部門和批準人等；安全管理機構(gòu)10檢

31、查職責文件中是否包含需審批事項列表(不符合扣6分)檢查審批事項列表是否明確審批事項、審批部門、批準人及審批程序等(不符合扣4分)針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項批實行工作票、操作票制度，建設(shè)審批程序，按照審批程序執(zhí)行審批過程，對重要活動建設(shè)逐級審批制度；安全管理機構(gòu)10檢查是否針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等重要事項建設(shè)審批程序文件；(不符合扣6分)檢查關(guān)鍵活動的工作票、操作票記錄，并查看記錄的審批程序與文件要求是否一致(不符合扣4分)定期審查審批事項，及時更新需授權(quán)和審批的工程、審批部門和審批人等信息；安全管理機構(gòu)10檢查制度文件是否說明應定期審查、更新需審批的工

32、程和審查周期等(不符合扣6分)檢查審查記錄，查看記錄日期是否與審查周期一致(不符合扣4分)記錄審批過程并保存審批文檔。安全管理機構(gòu)10檢查是否保存至少三個月的工作票、操作票的審批記錄；溝通和合作加強各類管理人員之間、組織內(nèi)部機構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通，定期或不定期召開協(xié)調(diào)會議，共同協(xié)作處理信息安全問題安全管理機構(gòu)10檢查是否召開過部門間協(xié)調(diào)會議，組織其它部門人員共同協(xié)助處理信息系統(tǒng)安全有關(guān)問題(不符合扣4分)檢查安全管理機構(gòu)內(nèi)部是否召開過安全工作會議部署安全工作的實施，參加會議的部門和人員有哪些，會議結(jié)果若何；(不符合扣3分)檢查信息安全領(lǐng)導小組或者安全管理委員會是否認期召開

33、例會(不符合扣3分)與外部信息安全專業(yè)機構(gòu)或?qū)＜覝贤槙?，在需要時能及時獲得外部信息安全機構(gòu)或?qū)＜业慕ㄗh和技術(shù)支持安全管理機構(gòu)10檢查是否建設(shè)了經(jīng)常聯(lián)系的專業(yè)機構(gòu)，是否包含公安機關(guān)、電信公司、兄弟單位、供給商、業(yè)界專家、專業(yè)的安全公司、安全組織等(不符合扣6分)專業(yè)機構(gòu)能夠及時提供技術(shù)支持(不符合扣4分)建設(shè)外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息安全管理機構(gòu)10檢查外聯(lián)單位說明文檔，是否說明外聯(lián)單位的聯(lián)系人和聯(lián)系方式等內(nèi)容(不符合扣10分)聘請信息安全專家作為常年的安全參謀，指導信息安全建設(shè)，參與安全規(guī)劃和安全評審等安全管理機構(gòu)10檢查是否具有安全參謀名單或者聘請

34、安全參謀的證明文件(不符合扣6分)檢查由安全參謀指導信息安全建設(shè)、參與安全規(guī)劃和安全評審的相關(guān)文檔或記錄，是否具有由安全參謀簽字的相關(guān)建議(不符合扣4分)審核和檢查安全管理員負責定期進展安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況；安全管理機構(gòu)10檢查是否認期對信息系統(tǒng)進展安全檢查(不符合扣4分)檢查是否認期分析、評審異常行為的審計記錄(不符合扣3分)檢查安全檢查報告，查看報告日期與檢查周期是否一致(不符合扣3分)由內(nèi)部人員或上級單位定期進展全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；安全管理機構(gòu)10檢查是否要求內(nèi)部

35、人員或上級單位定期對信息系統(tǒng)進展全面安全檢查(不符合扣4分)檢查內(nèi)容是否包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等(不符合扣3分)檢查安全檢查報告，查看報告日期與檢查周期是否一致(不符合扣3分)制定安全檢查表格實施安全檢查，匯總安全檢查數(shù)據(jù)，形成安全檢查報告，并對安全檢查結(jié)果進展通報；安全管理機構(gòu)10檢查是否具有安全檢查表格(不符合扣4分)檢查安全檢查報告，查看報告日期與檢查周期是否一致，報告中是否有檢查內(nèi)容、檢查人員、檢查數(shù)據(jù)匯總表、檢查結(jié)果等的描述(不符合扣6分)制定安全審核和安全檢查制度標準安全審核和安全檢查工作，定期按照程序進展安全審核和安全檢查

36、活動安全管理機構(gòu)10檢查是否具有安全審核和安全檢查制度(不符合扣6分)檢查安全審核和安全檢查過程記錄(不符合扣4分)人員安全管理小計：100分檢查工程檢查內(nèi)容等級保護標準分值評分標準 實際得分CIA人員錄用對單位的新錄用人員要簽署保密協(xié)議人員安全管理10檢查是否有相關(guān)管理要求(不符合扣4分)檢查是否有簽署的保密協(xié)議文件(不符合扣6分)指定或授權(quán)專門的部門或人員負責人員錄用人員安全管理10檢查是否有專門部門或人員負責人員錄用(不符合扣10分)嚴格標準人員錄用過程，對被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進展審查，對其所具有的技術(shù)技能進展考核人員安全管理10檢查人員錄用時是否對被錄用人的身份、背景

37、、專業(yè)資格和資質(zhì)進展審查，對技術(shù)人員的技術(shù)技能進展考核(不符合扣10分)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員，并簽署崗位安全協(xié)議人員安全管理10檢查對從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議(不符合扣10分)人員離崗對即將離崗的員工立即終止其在信息系統(tǒng)中的所有訪問權(quán)限人員安全管理10查看員工離崗流程中是否有相關(guān)要求(不符合扣4分)檢查是否有終止訪問權(quán)限的表單(不符合扣6分)取回離崗人員的各種身份證件、鑰匙、徽章等以及單位提供的軟硬件設(shè)備人員安全管理10查看員工離崗流程中是否有相關(guān)要求(不符合扣4分)檢查是否有設(shè)備、證件等上繳表單記錄(無記錄扣6分)離崗人員由人事部門辦理

38、調(diào)離手續(xù)，并由離崗人員書面承諾調(diào)離后的保密義務人員安全管理10查看員工離崗流程中是否有相關(guān)要求(不符合扣4分)檢查是否有簽署的離崗保密承諾文件(無記錄扣6分) 第三方人員管理要求第三方人員在訪問前與公司簽署安全責任合同書或保密協(xié)議安全管理10查看是否有對第三方訪問進展管理的規(guī)定(不符合扣4分)檢查是否有書面保證文件(不符合扣6分) 對第三方人員訪問重要區(qū)域以書面形式批準，并由專人全程陪同或監(jiān)視，記錄備案人員安全管理10檢查是否有審批記錄或監(jiān)視記錄(不符合扣10分)對第三方人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容進展書面的規(guī)定，并按照規(guī)定執(zhí)行人員安全管理10檢查是否有文件進展了規(guī)定(不符合扣1

39、0分)信息安全制度文件管理小計：230檢查工程檢查內(nèi)容等級保護標準分值評分標準 實際得分CIA信息安全策略體系建設(shè)信息安全策略體系，明確本單位需要的信息安全制度內(nèi)容安全管理制度20檢查是否有描述信息安全策略體系的相關(guān)文件或定義信息安全管理制度的文件內(nèi)容(不符合扣20分)對安全管理活動中的各類管理內(nèi)容建設(shè)安全管理制度安全管理制度10檢查安全管理制度清單中是否覆蓋物理、網(wǎng)絡、主機系統(tǒng)、數(shù)據(jù)、應用和管理等層面(不符合扣10分)對要求管理人員或操作人員執(zhí)行的日常管理操作建設(shè)操作規(guī)程；安全管理制度10檢查是否具有重要管理操作的操作規(guī)程，如系統(tǒng)維護手冊和用戶操作規(guī)程等(不符合扣10分)形成由安全策略、管理

40、制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系安全管理制度10檢查安全制度體系是否由安全政策、安全策略、管理制度、操作規(guī)程等構(gòu)成(不符合扣10分)信息安全制度管理定期對信息安全管理制度進展審核、修訂、更新、廢除過時的管理制度，制定、發(fā)布、宣貫新的管理要求 安全管理制度10檢查是否有制度管理文件(不符合扣10分)檢查制度管理文件內(nèi)容是否明確了制度審核的周期沒有扣6分指定或授權(quán)專門的部門或人員負責安全管理制度的制定；安全管理制度10安全管理制度是否在信息安全領(lǐng)導小組或委員會的總體負責下統(tǒng)一制定(不符合扣10分)安全管理制度具有統(tǒng)一的格式，并進展版本控制；安全管理制度10檢查安全管理制度文檔，查看

41、是否注明適用和發(fā)布范圍，是否有版本標識，是否有密級標注，是否有管理層的簽字或蓋章；(不符合扣6分)檢查各項制度文檔格式是否統(tǒng)一(不符合扣4分)組織相關(guān)人員對制定的安全管理制度進展論證和審定；安全管理制度10檢查安全管理制度的制定程序，檢查是否對制定的安全管理制度進展論證和審定，論證和評審方式若何如召開評審會、函審、內(nèi)部審核等(不符合扣10分)檢查管理制度評審記錄，查看是否有相關(guān)人員的評審意見(不符合扣5分)信息安全工作的總體方針和安全策略得到管理者的正式批準和授權(quán)；安全管理制度10檢查信息安全總體方案和安全策略文檔中是否標明得到管理者的正式批準和授權(quán)(不符合扣10分)安全管理制度通過正式、有效

42、的方式發(fā)布；安全管理制度10檢查是否有安全管理制度的發(fā)布程序(不符合扣10分)安全管理制度注明發(fā)布范圍，并對收發(fā)文進展登記。安全管理制度10檢查安全管理制度的收發(fā)登記記錄(不符合扣10分)檢查收發(fā)是否符合規(guī)定程序和發(fā)布范圍要求(不符合扣5分)信息安全制度審核信息安全領(lǐng)導小組負責定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進展審定，并進展信息安全制度的修訂、更新和廢除。安全管理制度10檢查信息安全領(lǐng)導小組職責中是否明確要求定期組織相關(guān)部門和人員對安全管理制度進展評審(不符合扣5分)檢查制度修訂、更新和廢除的相關(guān)工作記錄或證明(不符合扣3分)現(xiàn)有管理制度是否有明顯過時或已經(jīng)不適用的

43、內(nèi)容(有那么扣2分)建設(shè)相關(guān)機制，確保定期對安全管理制度體系進展檢查和審定，對存在缺乏或需要改良的體系制度和流程進展修訂。安全管理制度10檢查是否具有所有安全管理制度對應相應負責人或者負責部門的清單，清單是否注明評審周期(不符合扣5分)檢查對安全管理制度進展審定的記錄(不符合扣5分)信息安全管理制度機房管理制度，包括機房環(huán)境管理、機房進出管理、機房內(nèi)工作管理等內(nèi)容系統(tǒng)運維管理8檢查機房管理相關(guān)制度文件，缺少一項內(nèi)容扣2分U盤、光盤使用管理制度系統(tǒng)運維管理6缺U盤使用管理制度，扣除4分，缺光盤使用管理制度，扣除2分主機設(shè)備安全管理制度系統(tǒng)運維管理8檢查是否有相關(guān)管理制度(不符合扣8分)網(wǎng)絡設(shè)施安

44、全管理制度系統(tǒng)運維管理8檢查是否有相關(guān)管理制度(不符合扣8分)物理設(shè)施分類標記管理制度系統(tǒng)運維管理6檢查是否有相關(guān)管理制度(不符合扣8分)安全配置管理制度、系統(tǒng)分發(fā)和操作規(guī)章制度、系統(tǒng)文檔安全管理制度、測試和評估制度、系統(tǒng)信息安全備份制度系統(tǒng)運維管理10缺少一項管理內(nèi)容,扣除2分網(wǎng)絡連接檢查評估制度、網(wǎng)絡使用授權(quán)制度、網(wǎng)絡檢測制度、網(wǎng)絡設(shè)施設(shè)備和協(xié)議變更控制制度等系統(tǒng)運維管理8缺少一項管理內(nèi)容,扣除2分應用系統(tǒng)上線前測評制度、應用系統(tǒng)上線后安全評估制度、應用系統(tǒng)使用授權(quán)制度、應用系統(tǒng)配置管理制度、應用系統(tǒng)文檔管理制度等系統(tǒng)建設(shè)管理10缺少一項管理內(nèi)容,扣除2分人員安全管理制度、安全意識和安全技

45、術(shù)教育制度、操作安全管理制度、操作系統(tǒng)和數(shù)據(jù)庫管理制度、系統(tǒng)運行記錄編寫制度、病毒防護管理制度、網(wǎng)絡互聯(lián)安全管理制度、安全審計管理制度、安全事件報告制度、事故處理制度、應急管理制度和災難恢復管理制度等安全管理18缺少一項管理內(nèi)容,扣除2分，扣完為止信息分類標記制度、涉密信息安全管理制度、技術(shù)文檔管理制度、存儲介質(zhì)管理制度、信息披露與發(fā)布審批管理制度等系統(tǒng)運維管理8缺少一項管理內(nèi)容,扣除2分，扣完為止信息化建設(shè)中的安全管理小計：520分檢查工程檢查內(nèi)容等級保護標準分值評分標準實際得分CIA規(guī)劃設(shè)計階段的信息安全管理信息系統(tǒng)規(guī)劃過程中進展明確的信息安全需求分析系統(tǒng)建設(shè)管理20抽取12個新建成系統(tǒng)，

46、查看規(guī)劃階段形成的文件：是否有管理要求明確系統(tǒng)建設(shè)規(guī)劃階段必須進展信息安全需求分析(不符合扣10分)是否對建成后的系統(tǒng)運行環(huán)境進展了安全需求分析(不符合扣5分)是否對業(yè)務應用本身進展了安全需求分析(不符合扣5分)在新系統(tǒng)建設(shè)或已有系統(tǒng)改造方案中，包括安全要求系統(tǒng)建設(shè)管理20查看是否有管理要求對系統(tǒng)開發(fā)/采購過程提出明確的信息安全要求，沒有明確要求扣10分抽查2個新系統(tǒng)的建設(shè)方案，沒有提出明確安全要求，每個系統(tǒng)扣5分信息系統(tǒng)設(shè)計方案中對軟件安全功能進展了設(shè)計系統(tǒng)建設(shè)管理20檢查信息系統(tǒng)設(shè)計方案中的安全功能設(shè)計是否與提出的安全需求向符(不符合扣6分)軟件開發(fā)過程中實現(xiàn)設(shè)計方案中提出的安全功能系統(tǒng)建

47、設(shè)管理20抽查1個已建系統(tǒng)是否實現(xiàn)了設(shè)計方案中提出的安全功能，無相關(guān)實現(xiàn)的，那么該項不得分。實現(xiàn)局部的，那么扣10分系統(tǒng)開發(fā)的安全管理驗證應用系統(tǒng)輸入的數(shù)據(jù)、驗證不同類型輸入的出錯消息、響應驗證錯誤的流程、定義所有數(shù)據(jù)輸入過程中所涉及人員的職責等安全管理20抽取一個新建或在建系統(tǒng)的設(shè)計、開發(fā)文檔，查看管理/技術(shù)要求中對系統(tǒng)安全性的規(guī)定，無相關(guān)要求的，該項不得分。抽查系統(tǒng)測試記錄，假設(shè)內(nèi)容中無相關(guān)測試驗證結(jié)果說明扣10分確保對程序資源庫的修改、更新、發(fā)布進展授權(quán)和批準系統(tǒng)建設(shè)管理10查看管理要求中的相關(guān)規(guī)定，無相關(guān)要求的，該項不得分。抽查授權(quán)和批準記錄，不能提供的該項不得分制定代碼編寫安全標準，

48、要求開發(fā)人員參照標準編寫代碼系統(tǒng)建設(shè)管理10檢查是否制定了代碼編寫標準(不符合該項不得分)抽查了解開發(fā)人員是否按標準編寫代碼(不符合扣6分)確保提供軟件設(shè)計的相關(guān)文檔和使用指南，并由專人負責保管系統(tǒng)建設(shè)管理10檢查是否具有需求分析說明書、軟件設(shè)計說明書和軟件操作手冊等開發(fā)文檔(不符合扣5分)檢查文檔是否由專人負責保管(不符合扣5分)外包軟件開發(fā):根據(jù)開發(fā)需求檢測軟件質(zhì)量系統(tǒng)建設(shè)管理10檢查是否要求外包軟件開發(fā)商檢測軟件質(zhì)量(不符合扣5分)檢查是否保存軟件質(zhì)量測試報告(不符合扣5分)外包軟件開發(fā):要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門系統(tǒng)建設(shè)管理10檢查是否要求開發(fā)單位提供軟件源

49、代碼(不符合扣5分)檢查是否審查軟件中可能存在的后門，抽查相關(guān)記錄(不符合扣5分)軟件開發(fā)外包：在與軟件開發(fā)單位簽訂的協(xié)議中，明確知識產(chǎn)權(quán)的歸屬和安全方面的要求安全管理10查看管理要求中的相關(guān)規(guī)定，無相關(guān)要求的，該項不得分。抽查文檔記錄，假設(shè)缺少相關(guān)文檔,那么該項不得分軟件開發(fā)外包：在軟件安裝之前檢測軟件包中可能存在的惡意代碼，并保存完整的測試記錄系統(tǒng)建設(shè)管理10查看管理/技術(shù)要求中的相關(guān)規(guī)定，無相關(guān)要求的，該項不得分。抽查測試記錄,沒有那么該項為0分軟件開發(fā)外包：要求開發(fā)單位提供軟件設(shè)計的相關(guān)文檔和使用指南系統(tǒng)建設(shè)管理10查看管理要求中的相關(guān)規(guī)定，無相關(guān)要求的，該項不得分。抽查測試記錄,沒有

50、那么該項不得分自行軟件開發(fā)：確保開發(fā)環(huán)境與實際運行環(huán)境物理分開，開發(fā)人員和測試人員別離，測試數(shù)據(jù)和測試結(jié)果受到控制系統(tǒng)建設(shè)管理10查看是否有管理制度予以要求(不符合扣5分)檢查開發(fā)和測試人員是否別離(不符合扣3分)是否保存測試數(shù)據(jù)和測試結(jié)果并由專人保管(不符合扣2分)自行開發(fā)：制定開發(fā)方面的管理制度，以明確說明開發(fā)過程的控制方法和人員行為準那么系統(tǒng)建設(shè)管理10假設(shè)無相關(guān)制度，那么該項為0分系統(tǒng)集成與采購中的安全管理對廠商交付的主機操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等進展了配置安全加固審核、操作系統(tǒng)安全補丁安裝情況審核安全管理10查看管理要求中的相關(guān)規(guī)定是否有主機操作系統(tǒng)安全加固方面相關(guān)規(guī)定(不符合扣5分)是

51、否有數(shù)據(jù)庫系統(tǒng)安全加固方面相關(guān)規(guī)定(不符合扣5分)確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求系統(tǒng)建設(shè)管理10檢查系統(tǒng)是否采用了密碼產(chǎn)品(不符合扣5分)密碼產(chǎn)品的使用是否符合國家密碼主管部門的要求(不符合扣5分)指定或授權(quán)專門的部門負責產(chǎn)品的采購系統(tǒng)建設(shè)管理10查看管理要求中的相關(guān)規(guī)定，是否指定或授權(quán)專門的部門負責產(chǎn)品的采購(不符合扣10分)預先對產(chǎn)品進展選型測試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單系統(tǒng)建設(shè)管理10檢查管理要求中的相關(guān)規(guī)定，是否要求預先對產(chǎn)品進展選型測試(不符合扣5分)檢查是否存在候選產(chǎn)品名單，是否認期審定并更新(不符合扣5分)應有機制確保采購和集成中的安全設(shè)

52、備都通過了國家、公司相關(guān)機構(gòu)的測評、認證系統(tǒng)建設(shè)管理10查看產(chǎn)品采購管理制度中是否有相關(guān)規(guī)定。(不符合扣10分)要求廠家針對其提供的系統(tǒng)或設(shè)備提供信息安全方面的技術(shù)服務安全管理10查看產(chǎn)品采購管理制度中是否有相關(guān)規(guī)定。(不符合扣10分)工程實施指定或授權(quán)專門的部門或人員負責工程實施過程的管理；系統(tǒng)建設(shè)管理10檢查是否指定專門人員或部門按照工程實施方案的要求對工程實施過程進展進度和質(zhì)量控制(不符合扣10分)制定詳細的工程實施方案控制實施過程，并要求工程實施單位能正式地執(zhí)行安全工程過程；系統(tǒng)建設(shè)管理10檢查是否制定工程實施方案(沒有該項不得分)查看其內(nèi)容是否覆蓋工程時間限制、進度控制和質(zhì)量控制等方

53、面內(nèi)容(不符合扣5分)制定工程實施方面的管理制度，明確說明實施過程的控制方法和人員行為準那么系統(tǒng)建設(shè)管理10檢查工程實施管理制度，查看其是否規(guī)定工程實施過程的控制方法如內(nèi)部階段性控制或外部監(jiān)理單位控制、實施參與人員的各種行為等方面內(nèi)容(不符合扣10分)測試驗收委托公正的第三方測試單位對系統(tǒng)進展安全性測試，并出具安全性測試報告；系統(tǒng)建設(shè)管理10檢查在信息系統(tǒng)正式運行前，是否委托第三方測試機構(gòu)根據(jù)設(shè)計方案或合同要求對信息系統(tǒng)進展獨立的安全性測試抽查系統(tǒng)安全性測試報告(不符合扣10分)在測試驗收前根據(jù)設(shè)計方案或合同要求等制訂測試驗收方案，在測試驗收過程中詳細記錄測試驗收結(jié)果，并形成測試驗收報告；系統(tǒng)

54、建設(shè)管理10檢查是否在在測試驗收前根據(jù)設(shè)計方案或合同要求等制訂測試驗收方案；(不符合扣4分)查看測試記錄是否詳細記錄了測試時間、人員、操作過程、測試結(jié)果等方面內(nèi)容，是否提出存在問題及改良意見等(不符合扣3分)檢查是否形成測試驗收報告(不符合扣3分)對系統(tǒng)測試驗收的控制方法和人員行為準那么進展書面規(guī)定；系統(tǒng)建設(shè)管理10檢查驗收測試管理制度是否對系統(tǒng)驗收測試的過程控制、參與人員的行為等進展規(guī)定(不符合扣10分)指定或授權(quán)專門的部門負責系統(tǒng)測試驗收的管理，并按照管理規(guī)定的要求完成系統(tǒng)測試驗收工作；系統(tǒng)建設(shè)管理10檢查是否指定專門部門負責測試驗收工作(不符合扣5分)檢查是否對測試過程包括測試前、測試中

55、和測試后進展文檔化要求和制度化要求(不符合扣5分)組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗收報告進展審定，并簽字確認。系統(tǒng)建設(shè)管理10檢查是否根據(jù)設(shè)計方案或合同要求組織相關(guān)部門和人員對測試報告進展符合性審定，并簽字確認(不符合扣10分)系統(tǒng)交付制定詳細的系統(tǒng)交付清單，并根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進展清點；系統(tǒng)建設(shè)管理10檢查系統(tǒng)交付清單，查看其是否具有系統(tǒng)建設(shè)文檔如系統(tǒng)建設(shè)方案、指導用戶進展系統(tǒng)運維的文檔如服務器操作規(guī)程書以及系統(tǒng)培訓手冊等文檔名稱(不符合扣10分)對負責系統(tǒng)運行維護的技術(shù)人員進展相應的技能培訓；系統(tǒng)建設(shè)管理10檢查信息系統(tǒng)建設(shè)實施方是否對運維技術(shù)人員進展過培訓(不符合

56、扣4分)檢查是否以書面形式承諾對系統(tǒng)運行維護提供一定的技術(shù)支持服務(不符合扣2分)檢查是否按照服務承諾書的要求進展過技術(shù)支持(不符合扣2分)檢查培訓記錄(不符合扣2分)確保提供系統(tǒng)建設(shè)過程中的文檔和指導用戶進展系統(tǒng)運行維護的文檔；系統(tǒng)建設(shè)管理10檢查系統(tǒng)是否具有建設(shè)過程中的文檔(不符合扣5分)檢查系統(tǒng)是否具有支持其獨立運行維護所需的文檔(不符合扣5分)對系統(tǒng)交付的控制方法和人員行為準那么進展書面規(guī)定；系統(tǒng)建設(shè)管理10檢查系統(tǒng)交付管理制度，查看其是否規(guī)定了交付過程的控制方法和對交付參與人員的行為限制等方面內(nèi)容(不符合扣10分)指定或授權(quán)專門的部門負責系統(tǒng)交付的管理工作，并按照管理規(guī)定的要求完成系

57、統(tǒng)交付工作。系統(tǒng)建設(shè)管理10檢查系統(tǒng)交付的管理工作是否由專門部門負責(不符合扣5分)抽查系統(tǒng)交付相關(guān)記錄，查看是否按照管理規(guī)定要求完成交付工作(不符合扣5分)密碼技術(shù)應用控制確定數(shù)據(jù)的敏感程度和所需的保護級別安全管理10假設(shè)沒有相關(guān)策略,那么該項為0分使用數(shù)字簽名保護電子文檔的真實性和完整性安全管理10查看管理方法中的相關(guān)規(guī)定，無相關(guān)要求的，該項不得分。假設(shè)確定了保護等級,但缺少加密技術(shù)保護數(shù)據(jù),那么該項為10分;假設(shè)未確定保護等級,那么該項為0分使用不可否認服務 安全管理10假設(shè)未使用,那么該項為0分新設(shè)備和新系統(tǒng)的接入管理新系統(tǒng)、新設(shè)備接入網(wǎng)絡運行的審核、審批管理制度系統(tǒng)運維管理16查看管

58、理要求中的相關(guān)規(guī)定，無相關(guān)要求的，那么該項不得分不經(jīng)過信息安全審核的系統(tǒng)不能接入單位網(wǎng)絡運行安全管理16查看管理要求中的相關(guān)規(guī)定，無相關(guān)要求的，那么該項不得分新建系統(tǒng)或新采購設(shè)備接入單位網(wǎng)絡時應經(jīng)過信息安全的審批安全管理16查看管理要求中的相關(guān)規(guī)定，無相關(guān)要求的，那么該項不得分信息安全監(jiān)理制定信息安全監(jiān)理管理相關(guān)規(guī)定安全管理10查看管理要求中的相關(guān)規(guī)定，無相關(guān)要求的，那么該項不得分重大系統(tǒng)建設(shè)應引入第三方信息安全監(jiān)理機制，確保系統(tǒng)建設(shè)過程中各環(huán)節(jié)的安全性安全管理6查看管理要求中的相關(guān)規(guī)定，無相關(guān)要求的，那么該項不得分對監(jiān)理方的意見應給予充分的考慮安全管理6檢查相關(guān)會議記錄、問題答復(不符合扣6

59、分)安全服務商選擇確保安全服務商的選擇符合國家的有關(guān)規(guī)定；系統(tǒng)建設(shè)管理10檢查安全服務商的選擇符合國家的相關(guān)規(guī)定(不符合扣10分)與選定的安全服務商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責任；系統(tǒng)建設(shè)管理10檢查與選定的安全服務商是否簽訂與安全相關(guān)的協(xié)議(不符合扣5分)檢查協(xié)議內(nèi)容是否約定相關(guān)安全責任(不符合扣5分)確保選定的安全服務商提供技術(shù)培訓和服務承諾，必要的與其簽訂服務合同。系統(tǒng)建設(shè)管理10檢查選定的安全服務商是否提供技術(shù)培訓和服務承諾；(不符合扣5分)檢查是否與長期提供服務、或關(guān)鍵系統(tǒng)的安全服務商簽訂服務合同(不符合扣5分)信息安全等級保護小計：220分檢查工程檢查內(nèi)容等級保護標準分值評

60、分標準實際得分CIA等級保護定級按照公司信息系統(tǒng)統(tǒng)一定級情況對本單位信息系統(tǒng)定級進展核實系統(tǒng)建設(shè)管理10查看是否有定級情況核實工作的記錄(不符合扣10分)對不屬于公司統(tǒng)一定級范疇的信息系統(tǒng)自行開展定級工作安全管理10查看是否有定級文件(不符合扣10分)明確信息系統(tǒng)的邊界和安全保護等級系統(tǒng)建設(shè)管理10檢查信息系統(tǒng)是否明確邊界和安全保護等級(不符合扣10分)以書面的形式說明確定信息系統(tǒng)為某個安全保護等級的方法和理由系統(tǒng)建設(shè)管理10檢查信息系統(tǒng)定級文檔是否說明信息系統(tǒng)定級的方法和理由(不符合扣10分)組織相關(guān)部門和有關(guān)安全技術(shù)專家對信息系統(tǒng)定級結(jié)果的合理性和正確性進展論證和審定系統(tǒng)建設(shè)管理10檢查是