企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)則

1、企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)則二00八年五月 TOC o 1-5 h z 前言1資產(chǎn)評(píng)估2資產(chǎn)識(shí)別2資產(chǎn)賦值3威脅評(píng)估6脆弱性評(píng)估 10信息安全管理評(píng)估 11安全方針11信息安全機(jī)構(gòu) 13人員安全管理17信息安全制度文件管理 19信息化建設(shè)中的安全管理 23信息安全等級(jí)保護(hù) 29信息安全評(píng)估管理 32信息安全的宣傳與培訓(xùn) 32信息安全監(jiān)督與考核 34符合性管理36信息安全運(yùn)行維護(hù)評(píng)估 37信息系統(tǒng)運(yùn)行管理 37資產(chǎn)分類管理 41配置與變更管理 一.，42業(yè)務(wù)連續(xù)性管理 43設(shè)備與介質(zhì)安全 46信息安全技術(shù)評(píng)估 50物理安全50網(wǎng)絡(luò)安全53操作系統(tǒng)安全60數(shù)據(jù)庫(kù)安全72通用服務(wù)安全81應(yīng)用系統(tǒng)安全

2、85安全措施90數(shù)據(jù)安全及備份恢復(fù) 94. 前言為了規(guī)范、深化 XXX公司信息安全風(fēng)險(xiǎn)評(píng)估工作，依據(jù)國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)基本要求、XXX公司信息化“ SG186工程安全防護(hù)總體方案、 XXX公司網(wǎng)絡(luò)與信息 系統(tǒng)安全隔離實(shí)施指導(dǎo)意見(jiàn)、 XXX公司信息安全風(fēng)險(xiǎn)評(píng)估管理暫行辦法、 XXX公司信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南（以下簡(jiǎn)稱實(shí)施指南），組織對(duì)XXX公司信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)則進(jìn)行了完善。本細(xì)則是開(kāi)展信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作實(shí)施內(nèi)容的主要依據(jù)，各單位在相關(guān)的信息安全檢查、安全評(píng)價(jià)、信息系統(tǒng)安全等級(jí)保護(hù)評(píng)估工作中也可參考本細(xì)則的內(nèi)容。本細(xì)則結(jié)合公司當(dāng)前信息化工作重點(diǎn)，針對(duì)實(shí)施指南中信息資產(chǎn)評(píng)估、 威

3、脅評(píng)估、脆弱性評(píng)估提出了具體的評(píng)估內(nèi)容。其中，資產(chǎn)評(píng)估內(nèi)容主要針對(duì)公司一體化企業(yè)級(jí)信息系統(tǒng)展開(kāi)；威脅評(píng)估包含非人為威脅和人為威脅等因素；脆弱性評(píng)估內(nèi)容分為信息安全管理評(píng)估、信息安全運(yùn)行維護(hù)評(píng)估、信息安全技術(shù)評(píng)估三部分。公司的評(píng)估工作應(yīng)在本細(xì)則的基礎(chǔ)上，結(jié)合實(shí)施指南提出更詳細(xì)的實(shí)施方案，并采用專業(yè)的評(píng)估工具對(duì)信息系統(tǒng)進(jìn)行全面的評(píng)估和深層的統(tǒng)計(jì)分析，并進(jìn)行風(fēng)險(xiǎn)計(jì)算，確保全面掌握信息系統(tǒng)的安全問(wèn)題，并提供解決問(wèn)題的安全建議。本細(xì)則將隨公司信息安全管理、技術(shù)、運(yùn)維情況的發(fā)展而滾動(dòng)修訂與完善。本標(biāo)準(zhǔn)由XXX公司信息化工作部組織制定、發(fā)布并負(fù)責(zé)解釋。.資產(chǎn)評(píng)估資產(chǎn)評(píng)估是確定資產(chǎn)的信息安全屬性（機(jī)密性、完整

4、性、可用性等）受到破壞而對(duì)信息系統(tǒng)造成的影響的過(guò)程。在風(fēng)險(xiǎn)評(píng)估中，資產(chǎn)評(píng)估包含信息資產(chǎn)識(shí)別、資產(chǎn)賦值等內(nèi)容。資產(chǎn)識(shí)別資產(chǎn)識(shí)別主要針對(duì)提供特定業(yè)務(wù)服務(wù)能力的應(yīng)用系統(tǒng)展開(kāi)，例如：網(wǎng)絡(luò)系統(tǒng)提供基礎(chǔ)網(wǎng)絡(luò)服務(wù)、OA系統(tǒng)提供辦公自動(dòng)化服務(wù)。 通常一個(gè)應(yīng)用系統(tǒng)都可劃分為數(shù)據(jù)存儲(chǔ)、業(yè)務(wù)處理、業(yè)務(wù)服務(wù)提供和客戶端四個(gè)功能部分，這四個(gè)部分在信息系統(tǒng)的實(shí)例中都顯現(xiàn)為獨(dú)立的資產(chǎn)實(shí)體，例如：典型的 OA系統(tǒng)可分為客戶端、Web服務(wù)器、Domino服務(wù)器、DB2數(shù)據(jù)庫(kù)服務(wù)器四部分資產(chǎn)實(shí)體。應(yīng)用系統(tǒng)的功能模塊（或子系統(tǒng)），可參照下表進(jìn)行分解：應(yīng)用系統(tǒng)分解表類別說(shuō)明數(shù)據(jù)存儲(chǔ)應(yīng)用系統(tǒng)中負(fù)責(zé)數(shù)據(jù)存儲(chǔ)的子系統(tǒng)或功能模塊。如數(shù)據(jù)庫(kù)服

5、務(wù)器業(yè)務(wù)處理應(yīng)用系統(tǒng)中負(fù)責(zé)進(jìn)行數(shù)據(jù)處理運(yùn)算的子系統(tǒng)或模塊，如應(yīng)用服務(wù)器、 通信前置機(jī)服務(wù)提供應(yīng)用系統(tǒng)中負(fù)責(zé)對(duì)用戶提供服務(wù)的子系統(tǒng)或模塊，如web服務(wù)器客戶端由用戶或客戶直接使用、操縱的模塊，包括：工作站、客戶機(jī)等，如 應(yīng)用客戶端、web瀏覽器*注：以上的子系統(tǒng)（功能模塊）分類可能存在一臺(tái)主機(jī)上， 也可能分布在多臺(tái)主機(jī)上， 對(duì)應(yīng)用系統(tǒng)的分解不需要特別注明子系統(tǒng)的分布情況，只需詳細(xì)說(shuō)明功能作用和構(gòu)成。對(duì)于不具有多層結(jié)構(gòu)的系統(tǒng)， 可根據(jù)實(shí)際情況進(jìn)行簡(jiǎn)化分解，例如：僅分解為服務(wù)器端與客戶端。典型的應(yīng)用系統(tǒng)分解結(jié)構(gòu)圖如下:代表數(shù)據(jù)傳輸本細(xì)則中對(duì)公司“ SG186”工程應(yīng)用系統(tǒng)按照上表進(jìn)行信息資產(chǎn)的分解與

6、識(shí)別，并在資產(chǎn)賦值部分按照這一分解進(jìn)行賦值。資產(chǎn)賦值根據(jù)實(shí)施指南的定義，資產(chǎn)評(píng)估中對(duì)資產(chǎn)的賦值最終結(jié)果是對(duì)識(shí)別出的獨(dú)立資產(chǎn)實(shí) 體的賦值。每項(xiàng)資產(chǎn)都要進(jìn)行機(jī)密性要求、完整性要求、可用性要求的賦值，賦值定義為： 安全性要求很高=5、安全性要求高=4、安全性要求中等=3、安全性要求低=2、安全性要 求很低=1。結(jié)合資產(chǎn)識(shí)別的情況，對(duì)公司“SG186”工程應(yīng)用系統(tǒng)的各部分進(jìn)行賦值，結(jié)果見(jiàn)下表。業(yè)務(wù)系統(tǒng)系統(tǒng)安全 等級(jí)客戶端服務(wù)提供業(yè)務(wù)處理數(shù)據(jù)存儲(chǔ)管理員普通用戶CIACIACIACIACIA一體化平臺(tái)企業(yè)信息門戶2422311224113數(shù)據(jù)中心2422233233444數(shù)據(jù)交換平臺(tái)2311134123目

7、錄與單點(diǎn)登錄系統(tǒng)2411334223444信息網(wǎng)絡(luò)2313144財(cái)務(wù)資金財(cái)務(wù)管理系統(tǒng)3544433355242353資金管理系統(tǒng)3544433355242353營(yíng)銷管理營(yíng)銷管理信息系統(tǒng)3533422355242353客戶繳費(fèi)系統(tǒng)331121122412425395598客戶服務(wù)管理系統(tǒng)3312211-113113232電能信息實(shí)時(shí)采集與監(jiān)控系 統(tǒng)2311211131131131市場(chǎng)管理系統(tǒng)2311211131131131客戶關(guān)系系統(tǒng)2311211131131131需求側(cè)管理系統(tǒng)3322211344244344輔助決策系統(tǒng)2311211132132132安全生產(chǎn)調(diào)度管理信息系統(tǒng)232221113

8、3133133生產(chǎn)管理信息系統(tǒng)2322211133133133地理信息系統(tǒng)2322211133133133安全監(jiān)督管理信息系統(tǒng)2311211131131131電力市場(chǎng)交易系統(tǒng)3422322244244244協(xié)同辦公協(xié)同辦公2424323434323434人力資源人力資源管理系統(tǒng)2322211131131331業(yè)務(wù)系統(tǒng)系統(tǒng)安全 等級(jí)客戶端服務(wù)提供業(yè)務(wù)處理數(shù)據(jù)存儲(chǔ)管理員普通用戶CIACIACIACIACIA物資管理物資管理系統(tǒng)2311211131131131招投標(biāo)系統(tǒng)2431321331331331項(xiàng)目管理項(xiàng)目管理系統(tǒng)2311211131131131綜合管理規(guī)劃計(jì)劃管理系統(tǒng)231121113113

9、1131審計(jì)管理系統(tǒng)2311211331331331金融信息管理系統(tǒng)2311211131131131法律事務(wù)管理系統(tǒng)2311211331331331國(guó)際合作業(yè)務(wù)應(yīng)用系統(tǒng)2311211331331331紀(jì)檢監(jiān)察管理系統(tǒng)2311211131131131ERP系統(tǒng)ERP系統(tǒng)3433322344344344說(shuō)明：(1) C代表機(jī)密性賦值、I代表完整性賦值、A代表可用性賦值。(2)系統(tǒng)安全等級(jí)作為業(yè)務(wù)系統(tǒng)資產(chǎn)權(quán)值與每項(xiàng)賦值相乘后參與風(fēng)險(xiǎn)計(jì)算過(guò)程。(3)對(duì)各單位不包括在“ SG186”工程中的應(yīng)用系統(tǒng)，系統(tǒng)安全等級(jí)按照 XXX公司信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南定義方法計(jì)算出來(lái)，資產(chǎn)賦值按照實(shí)施指南定義的方法

10、進(jìn)行識(shí)別和賦值，同時(shí)可參考上的表賦值結(jié)果。. 威脅評(píng)估在信息安全風(fēng)險(xiǎn)評(píng)估中，威脅評(píng)估也分為威脅識(shí)別和威脅賦值兩部分內(nèi)容。威脅識(shí)別通常依據(jù)威脅列表對(duì)歷史事件進(jìn)行分析和判斷獲得的。由于信息系統(tǒng)運(yùn)行環(huán)境千差萬(wàn)別，威脅可能性賦值無(wú)法給出統(tǒng)一定義，例如：海邊城市受到臺(tái)風(fēng)威脅的可能性要大。本細(xì)則中僅給出威脅對(duì)信息資產(chǎn)機(jī)密性、完整性和可用性破壞的嚴(yán)重程度賦值。賦值定義為：破壞嚴(yán)重程度很大=5、破壞嚴(yán)重程度大=4、破壞嚴(yán)重程度中等=3、破壞嚴(yán)重程度小=2、破壞嚴(yán)重程 度很小=1。在評(píng)估實(shí)施時(shí)需要依據(jù)實(shí)施指南定義的方法，結(jié)合實(shí)際情況對(duì)威脅可能性 進(jìn)行判斷。下表是常見(jiàn)的威脅列表。威脅分類威脅名稱說(shuō)明威脅可能性嚴(yán)重

11、程度CIA非人為威脅火山爆發(fā)由火山爆發(fā)引起的故障N/A55颶風(fēng)由于颶風(fēng)引起的系統(tǒng)故障N/A45地震由地震引起的系統(tǒng)故障N/A45人員喪失由于各種原因，如疾病、道路故障、暴動(dòng)等原因?qū)е氯藛T 無(wú)法正常工作引起的系統(tǒng)無(wú)法使用故障N/AN/A3硬件故障系統(tǒng)由于硬件設(shè)備老舊、損壞等造成的無(wú)法使用問(wèn)題N/A45雷電由雷電引起的系統(tǒng)故障N/A55火災(zāi)由火災(zāi)引起的系統(tǒng)故障，包括在火災(zāi)發(fā)生后進(jìn)行消防工作 中引起的設(shè)備/、可用問(wèn)題N/A45水災(zāi)由水災(zāi)引起的系統(tǒng)故障，包括在水災(zāi)發(fā)生后進(jìn)行消防工作 中引起的設(shè)備/、可用問(wèn)題N/A45雪崩由于雪崩引起的問(wèn)題N/A24溫度異常由溫度超標(biāo)引起的故障N/A44濕度異常由濕度超

12、標(biāo)引起的故障N/A33灰塵、塵土由灰塵超標(biāo)引起的故障N/A33強(qiáng)磁場(chǎng)干擾由磁場(chǎng)干擾引起的故障N/A33電力故障由于電力中斷、用電波動(dòng)、供電設(shè)備損壞導(dǎo)致系統(tǒng)停止運(yùn) 行等導(dǎo)致的系統(tǒng)故障N/A44系統(tǒng)軟件故障由于系統(tǒng)軟件故障所產(chǎn)生的問(wèn)題344應(yīng)用軟件故障由于應(yīng)用軟件故障所產(chǎn)生的問(wèn)題445軟件缺陷軟件缺陷導(dǎo)致的安全問(wèn)題444通信故障由于通信故障所產(chǎn)生的問(wèn)題N/A24DNS失敗由于DNS的問(wèn)題導(dǎo)致的問(wèn)題114人為威脅由于誤操作傳輸錯(cuò)誤 的或小應(yīng)傳送的數(shù)據(jù)個(gè)人失誤導(dǎo)致的安全問(wèn)題431關(guān)鍵員工的離職由于關(guān)鍵員工的離職造成系統(tǒng)的安全問(wèn)題N/AN/A4威脅分類威脅名稱說(shuō)明威脅可能性嚴(yán)重程度CIA離開(kāi)時(shí)未鎖門由十

13、離開(kāi)時(shí)未鎖門造成系統(tǒng)的安全問(wèn)題431離開(kāi)時(shí)屏保未鎖7E由十離開(kāi)時(shí)屏保未鎖7E造成的安全問(wèn)題411在不恰當(dāng)?shù)娜藛T中討 論敏感義檔由于在不恰當(dāng)?shù)娜藛T中討論敏感文檔造成的安全問(wèn)題5N/AN/A不恰當(dāng)?shù)呐渲煤筒僮鞑磺‘?dāng)?shù)墓芾硐到y(tǒng)、數(shù)據(jù)庫(kù)、無(wú)意的數(shù)據(jù)操作，導(dǎo)致安全 問(wèn)題344拒絕服務(wù)攻擊攻擊者以一種或者多種損害信息資源訪問(wèn)或使用能力的 方式消耗信息系統(tǒng)資源N/A35由于設(shè)備（如筆記本） 丟失導(dǎo)致泄密等安全問(wèn)題444過(guò)時(shí)的規(guī)定由于采用過(guò)時(shí)的規(guī)定所造成的安全問(wèn)題443 1不遵守安全策略可能導(dǎo)致各種可能的安全威脅444不恰當(dāng)?shù)氖褂迷O(shè)備、系 統(tǒng)與軟件不當(dāng)?shù)氖褂迷O(shè)備造成的安全威脅N/A44惡意破壞系統(tǒng)設(shè)施對(duì)系統(tǒng)設(shè)

14、備、存儲(chǔ)介質(zhì)等資產(chǎn)進(jìn)行惡意破壞 N/A45 1濫用由于某授權(quán)的用戶（有意或無(wú)意的）執(zhí)行了授權(quán)他人要執(zhí) 行的舉動(dòng)、可能會(huì)發(fā)生檢測(cè)不到的信息資產(chǎn)損害543設(shè)備或軟件被控制或 破壞惡意的控制或破壞設(shè)備，以取得機(jī)密信息54N/A遠(yuǎn)程維護(hù)端口被非授 權(quán)的使用惡意的使用遠(yuǎn)程維護(hù)端口，控制主機(jī)444數(shù)據(jù)傳輸或電話被監(jiān) 聽(tīng)惡意截獲傳輸數(shù)據(jù)4N/AN/A辦公地點(diǎn)被非授權(quán)的 控制惡意監(jiān)控辦公地點(diǎn)、重要地帶，獲取重要信息544偵察通過(guò)系統(tǒng)開(kāi)放的服務(wù)進(jìn)行信息收集，獲取系統(tǒng)的相關(guān)信 息，包括系統(tǒng)的軟件、硬件和用戶情況等信息44N/A威脅分類威脅名稱說(shuō)明威脅可能性嚴(yán)重程度CIA口令的暴力攻擊惡意的暴力嘗試口令533各類軟

15、件后門或后門 軟件軟件預(yù)留的后門或其他專門的后門軟件帶來(lái)的信息泄露 威脅432偷竊移動(dòng)設(shè)備帶有機(jī)密信息的移動(dòng)設(shè)備被竊取5N/A3惡意軟件計(jì)算機(jī)病毒、蠕蟲帶來(lái)的安全問(wèn)題354偽裝標(biāo)識(shí)的仿冒等信息安全問(wèn)題44N/A分析信息流分析信息流帶來(lái)的信息安全問(wèn)題4N/AN/A非法閱讀機(jī)密信息非授權(quán)的從辦公環(huán)境中取得可獲得的機(jī)密信息或復(fù)制數(shù) 據(jù)5N/AN/A社會(huì)工程學(xué)攻擊通過(guò)email、msn電話號(hào)碼、交談等欺騙或其他方式取得 內(nèi)部人員的信任，進(jìn)而取得機(jī)密信息5N/AN/A未經(jīng)授權(quán)將設(shè)備連接 到網(wǎng)絡(luò)未經(jīng)授權(quán)對(duì)外開(kāi)放內(nèi)部網(wǎng)絡(luò)或設(shè)備453密碼猜測(cè)攻擊對(duì)系統(tǒng)賬號(hào)和口令進(jìn)行猜測(cè)，導(dǎo)致系統(tǒng)中的敏感信息泄漏531偽造證書

16、惡意的偽造證書，進(jìn)而取得機(jī)密信息551遠(yuǎn)程溢出攻擊攻擊者利用系統(tǒng)調(diào)用中不合理的內(nèi)存分配執(zhí)行了非法的 系統(tǒng)操作，從而獲取了某些系統(tǒng)特權(quán)，進(jìn)而威脅到系統(tǒng)完 整性553權(quán)限提升通過(guò)非法手段獲得系統(tǒng)更高的權(quán)限，進(jìn)而威脅到系統(tǒng)完整 性553遠(yuǎn)程文件訪問(wèn)對(duì)服務(wù)器上的數(shù)據(jù)進(jìn)行遠(yuǎn)程文件訪問(wèn)，導(dǎo)致敏感數(shù)據(jù)泄漏532法律糾紛,一由企業(yè)或信息系統(tǒng)行為導(dǎo)致的法律糾紛造成信譽(yù)和資產(chǎn) 損失333不能或錯(cuò)誤地響應(yīng)和 恢復(fù)系統(tǒng)無(wú)法或錯(cuò)誤地響應(yīng)和恢復(fù)導(dǎo)致故障和損失334由于網(wǎng)絡(luò)中通信流量過(guò)大導(dǎo)致的網(wǎng)絡(luò)無(wú)法訪問(wèn)N/A35說(shuō)明：C代表對(duì)機(jī)密性的破壞程度、I代表對(duì)完整性的破壞程度、A代表對(duì)可用性的破壞程度。N/A表示對(duì)此項(xiàng)安全屬性無(wú)

17、破壞或無(wú)意義。.脆弱性評(píng)估脆弱性評(píng)估內(nèi)容包括管理、運(yùn)維和技術(shù)三方面的內(nèi)容。脆弱性評(píng)估過(guò)程是對(duì)信息系統(tǒng)中 存在的可被威脅利用的管理和運(yùn)維缺陷、 技術(shù)漏洞分析與發(fā)現(xiàn)，并確定脆弱性被利用威脅的 難易程度（賦值）的過(guò)程。在本實(shí)施細(xì)則中，列出了信息安全管理、 運(yùn)維和技術(shù)三方面的檢查點(diǎn)，這些檢查點(diǎn)都是對(duì)信息安全防護(hù)工作的具體要求，如果信息系統(tǒng)的管理、運(yùn)維和技術(shù)條件不滿足這些點(diǎn)的檢查要求，則視為一個(gè)缺陷或漏洞。脆弱性檢查表中標(biāo)記了每個(gè)檢查點(diǎn)對(duì)機(jī)密性（C）、完整性（I）、可用性（A）的是否有影響存（，表示有影響）。檢查表結(jié)果參與實(shí)施指南中定 義的風(fēng)險(xiǎn)計(jì)算和分析時(shí)， 以每一檢查點(diǎn)的實(shí)際得分情況和該檢查點(diǎn)的標(biāo)準(zhǔn)分

18、值的比率來(lái)確定 賦值，并由公司內(nèi)專業(yè)技術(shù)支撐隊(duì)伍進(jìn)行計(jì)算，方法如下：首先，按（1實(shí)際得分/標(biāo)準(zhǔn)分值）,算出該檢查點(diǎn)的不滿足程度；然后按下表對(duì)應(yīng)賦值：標(biāo)識(shí)等級(jí)（1實(shí)際得分/標(biāo)準(zhǔn)分值）%很高5大于等于80%高4大于等于60%,但小于80%中3大于等于40%,但小于60%低2大于等于20%,但小于40%很低1小于20%舉例說(shuō)明：某檢查點(diǎn)標(biāo)準(zhǔn)分值10分，實(shí)際得分8分，則脆弱性賦值：首先?。? 8/10）%= 20%,然后按照上表對(duì)應(yīng)，賦值結(jié)果為2= “低”。信息安全管理評(píng)估（總計(jì)：1800分）安全方針（小計(jì)：130分）檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分 值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA信息安全 方針文件滿足國(guó)家、

19、公司政策要求和 本單位信息安全需求的獨(dú)立 信息安全方針文件安全管理 制度20檢查是否有獨(dú)立的信息安全方針文件，或者有包含信息安 全方針內(nèi)容的綱領(lǐng)性文件（沒(méi)有則該項(xiàng)不得分）VVV信息安全方針文件中對(duì)信息 安全整體目標(biāo)和信息安全工 作范圍的定義安全管理 制度201）檢查方針文件是否對(duì)信息安全整體目標(biāo)進(jìn)行了闡述（不符合扣10分）2）檢查方針義件是否對(duì)信息安全工作涉及的內(nèi)容范圍進(jìn) 行了明確界定（不符合扣6分）3）檢查方針文件是否對(duì)信息安全相關(guān)工作的協(xié)調(diào)和配合提出要求（不符合扣4分）VVV信息安全方針文件內(nèi)容對(duì)國(guó) 家信息安全等級(jí)保護(hù)制度的 落實(shí)情況安全管理10檢查方針文件是否提出了以下耍求相關(guān)內(nèi)容：1）

20、提出滿足信息安全等級(jí)保護(hù)制度的要求（不符合扣4分）2）對(duì)信息系統(tǒng)進(jìn)行了明確等級(jí)劃分（不符合扣4分）3） 提出了分等級(jí)保護(hù)的工作要求（不符合扣2分）VVV信息安全方針文件內(nèi)容對(duì)公司 信息安全工作原則與要求的貫 徹情況安全管理 制度20檢查方針文件是否符合：1）信息安全納入安全生產(chǎn)范疇的要求（不符合扣8分）公司信息安全三同步原則（不符合扣8分）主要業(yè)務(wù)系統(tǒng)的安全目標(biāo)要求（不符合扣4分）VVV信息安全方針對(duì)信息安全工作 主要內(nèi)容的闡述安全管理 制度10檢查方針文件：是否列出了信息安全工作內(nèi)容 （不符合扣8分）工作內(nèi)容是否符合國(guó)冢、公司的要求（不符合扣2分）VVV檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分 值評(píng)分

21、標(biāo)準(zhǔn)實(shí)際得分CIA信息安全方針文件應(yīng)經(jīng)過(guò)單位 最高層領(lǐng)導(dǎo)的審批、授權(quán)，在 單位內(nèi)部進(jìn)行討論和宣貫安全管理 制度10檢查獨(dú)立的信息安全方針文件，或者包含信息安全方針內(nèi)容的綱領(lǐng)，莊文件：1）是否經(jīng)過(guò)本單位最高層領(lǐng)導(dǎo)的審批。（不符合扣4分）2）制定過(guò)程是否廣泛征求了各相關(guān)業(yè)務(wù)部門的意見(jiàn)（檢查征求意見(jiàn)相關(guān)記錄）（不符合扣4分）3） 發(fā)布后是否進(jìn)行了內(nèi)部宣傳和學(xué)習(xí)。（不符合扣2分）VVV信息安全方針文件中對(duì)信息安 全方針落實(shí)情況進(jìn)行考核、評(píng) 價(jià)的要求安全管理10檢查信息安全方針文件或包含相關(guān)內(nèi)容的文件中是否提出 了考核或評(píng)價(jià)的要求、方法和內(nèi)容。（有考核要求無(wú)具體內(nèi) 容扣4分）VVV信息安全方針文件中對(duì)各

22、關(guān)鍵 內(nèi)容的支持性管理制度要求安全管理 制度10檢查是否在涉及具體管理細(xì)節(jié)的內(nèi)容點(diǎn)列出了相應(yīng)的支持性管理制度文件名稱，例如：內(nèi)部用戶不得訪問(wèn)外部非法 網(wǎng)站時(shí)列出了內(nèi)網(wǎng)用戶行為管理辦法（有明顯制度文件 缺失的點(diǎn)，每點(diǎn)扣 2分，扣完為止）VVV信息安全方針文件對(duì)自身的保 密要求安全管理101）檢查方針文件是否規(guī)定了本身的傳播范圍（不符合扣8分）2）檢查傳播范圍是否合理（不符合扣2分）V信息安全方針文件中對(duì)進(jìn)行修 訂和審核的周期以及負(fù)責(zé)審核 部門的要求安全管理101）檢查是否定義了審核周期（不符合扣6分）2）檢查是否明確了負(fù)責(zé)審核的部門（不符合扣4分）VVV信息安全機(jī)構(gòu)（小計(jì)：250分）檢查項(xiàng)目檢查

23、內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分 值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA公司機(jī)構(gòu)信息化領(lǐng)導(dǎo)小組應(yīng)承擔(dān)信息安 全領(lǐng)導(dǎo)職責(zé)，或者成立了包括 高層領(lǐng)導(dǎo)的信息安全領(lǐng)導(dǎo)小組安全管理 機(jī)構(gòu)30檢查是否有機(jī)構(gòu)成立的相關(guān)文件（不符合扣30分）VVV信息安全第一責(zé)任人應(yīng)為單位 高層領(lǐng)導(dǎo)安全管理101）檢查本單位是否自行制定了文件（不符合本條扣10分）2）或者直接沿用上級(jí)單位下發(fā)的文件（僅符合本條得4分）VVV成立跨部門的信息安全工作協(xié) 調(diào)機(jī)構(gòu)來(lái)協(xié)調(diào)整體信息安全工 作安全管理 機(jī)構(gòu)20檢查是否有機(jī)構(gòu)成立白相關(guān)正式文件。（不符合扣20分）VVV信息安全領(lǐng)導(dǎo)機(jī)構(gòu)和信息安全 工作協(xié)調(diào)機(jī)構(gòu)的職責(zé)安全管理 機(jī)構(gòu)101）檢查是否有領(lǐng)導(dǎo)機(jī)本軸定義文件（不

24、符合扣6分）2）檢查是杳后，作協(xié)調(diào)機(jī)構(gòu)職責(zé)定義文件（不符合扣4分）VVV專業(yè)信息管理部門應(yīng)獲得高層 授權(quán)開(kāi)展日常的信息安全相關(guān) 審核、審批工作安全管理101）檢查信息管理部門是否有信息安全相關(guān)審核、審批權(quán)力（不符合扣6分）2）檢查是否有相關(guān)審核、審批記錄（不符合扣4分）VV應(yīng)設(shè)置信息安全管理崗位，有 專人負(fù)責(zé)信息安全整體工作的 公司、協(xié)調(diào)和落實(shí)工作安全管理 機(jī)構(gòu)101）檢查是否進(jìn)行了有專人負(fù)責(zé)（不符合扣6分）2）檢查是否設(shè)置了信息安全管理崗位（不符合扣4分）VVV設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、 安全管理員等崗位，并定義各 個(gè)工作崗位的職責(zé)安全管理 機(jī)構(gòu)101） 檢查是否設(shè)立安全管理各個(gè)方面的負(fù)責(zé)

25、人，設(shè)置了哪些工作崗位（如安全主管、安全管理各個(gè)方面的負(fù)責(zé)人、 機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全員等重要 崗位）（不符合扣6分）2）檢查是否明確各個(gè)崗位的職責(zé)分工（不符合扣4分）VVV檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分 值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA人員配備配備一定數(shù)量的系統(tǒng)管理員、 網(wǎng)絡(luò)管理員、安全管理員等安全管理 機(jī)構(gòu)10檢查各個(gè)安全管理崗位人員（按照崗位職責(zé)文件詢問(wèn)，包括 機(jī)房管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員、安 全員等重要崗位人員）配備情況，包括數(shù)量、專職還是兼職 等（不符合扣10分）VVV安排了專職信息安全管理員安全管理 機(jī)構(gòu)10檢查是否安全管理員沒(méi)有兼任網(wǎng)絡(luò)管理員、系統(tǒng)管

26、理員、數(shù)據(jù)庫(kù)管理員；（不符合扣4分）VVV實(shí)行主、副崗備用制度安全管理 機(jī)構(gòu)10查看是否所有崗位都指定了主、副負(fù)責(zé)人員（不符合扣1（分）V授權(quán)和審批根據(jù)各個(gè)部門和崗位的職責(zé)明 確授權(quán)審批事項(xiàng)、審批部門和 批準(zhǔn)人等；安全管理 機(jī)構(gòu)101）檢查職責(zé)文件中是否包含需審批事項(xiàng)列表（不符合扣6分）2） 檢查審批事項(xiàng)列表是否明確審批事項(xiàng)、審批部門、批準(zhǔn)人及審批程序等（不符合扣4分）VV針對(duì)系統(tǒng)變更、重要操作、物 理訪問(wèn)和系統(tǒng)接入等事項(xiàng)批實(shí) 行工作票、操作票制度，建立 審批程序，按照審批程序執(zhí)行 審批過(guò)程，對(duì)重要活動(dòng)建立逐 級(jí)審批制度；安全管理 機(jī)構(gòu)10檢查是否針對(duì)系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接 入等

27、重要事項(xiàng)建立審批程序文件；（不符合扣6分）檢查關(guān)鍵活動(dòng)的工作票、 操作票記錄，并查看記錄的審 批程序與文件要求是否一致（不符合扣4分）VV定期審查審批事項(xiàng)，及時(shí)更新 需授權(quán)和審批的項(xiàng)目、審批部 門和審批人等信息；安全管理 機(jī)構(gòu)101）檢查制度文件是否說(shuō)明應(yīng)定期審查、更新需審批的項(xiàng)目和審查周期等（不符合扣6分）2） 檢查審查記錄，查看記錄日期是否與審查周期一致（4符合扣4分）VV記錄審批過(guò)程并保存審批文 檔。安全管理 機(jī)構(gòu)10檢查是否保存至少三個(gè)月的工作票、操作票的審批記錄；VVV溝通和合作加強(qiáng)各類管理人員之間、組織 內(nèi)部機(jī)構(gòu)之間以及信息安全職 能部門內(nèi)部的合作與溝通，定 期或不定期召開(kāi)協(xié)調(diào)會(huì)議

28、，共安全管理 機(jī)構(gòu)101）檢查是否召開(kāi)過(guò)部門間協(xié)調(diào)會(huì)議，組織其它部門人員共向協(xié)助處理信息系統(tǒng)安全有關(guān)問(wèn)題（不符合扣4分）2） 檢查安全管理機(jī)構(gòu)內(nèi)部是否召開(kāi)過(guò)安全工作會(huì)議部署安全工作的實(shí)施，參加會(huì)議的部門和人員有哪些，會(huì)議VVV檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分 值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA同協(xié)作處理信息安全問(wèn)題結(jié)果如何；（不符合扣3分）3）檢查信息安全領(lǐng)導(dǎo)小組或者安全管理委員會(huì)是否定期 召開(kāi)例會(huì)（不符合扣3分）與外部信息安全專業(yè)機(jī)構(gòu)或?qū)?家溝通順暢，在需要時(shí)能及時(shí) 獲得外部信息安全機(jī)構(gòu)或?qū)＜?的建議和技術(shù)支持安全管理 機(jī)構(gòu)101） 檢查是否建立了經(jīng)常聯(lián)系的專業(yè)機(jī)構(gòu)，是否包含公安機(jī)關(guān)、電信公司、兄弟單位

29、、供應(yīng)商、業(yè)界專家、專業(yè)的 安全公司、安全組織等（不符合扣6分）2）專業(yè)機(jī)構(gòu)能夠及時(shí)提供技術(shù)支持（不符合扣4分）VVV建立外聯(lián)單位聯(lián)系列表，包括 外聯(lián)單位名稱、合作內(nèi)容、聯(lián) 系人和聯(lián)系方式等信息安全管理 機(jī)構(gòu)10檢查外聯(lián)單位說(shuō)明文檔，是否說(shuō)明外聯(lián)單位的聯(lián)系人和聯(lián)系力式等內(nèi)容（不符合扣10分）V聘請(qǐng)信息安全專家作為常年的 安全顧問(wèn)，指導(dǎo)信息安全建設(shè)， 參與安全規(guī)劃和安全評(píng)審等安全管理 機(jī)構(gòu)101）檢查是否具有安全顧問(wèn)名單或者聘請(qǐng)安全顧問(wèn)的證明 文件（不符合扣6分）2）檢查由安全顧問(wèn)指導(dǎo)信息安全建設(shè)、參與安全規(guī)劃和安全評(píng)審的相關(guān)文檔或記錄，是否具有由安全顧問(wèn)簽字的 相關(guān)建議（不符合扣4分）VVV審

30、核和檢 查安全管理員負(fù)責(zé)定期進(jìn)行安 全檢查，檢查內(nèi)谷包括系統(tǒng)日 常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份 等情況；安全管理 機(jī)構(gòu)101）檢查是否定期對(duì)信息系統(tǒng)進(jìn)行安全檢查（不符合扣4分）2）檢查是否定期分析、評(píng)審異常行為的審計(jì)記錄（不符合扣3分）3） 檢查安全檢查報(bào)告， 查看報(bào)告日期與檢查周期是否一致（不符合扣3分）VVV由內(nèi)部人員或上級(jí)單位定期 進(jìn)行全向安全檢查， 檢查內(nèi)容 包括現(xiàn)有安全技術(shù)措施的有 效性、安全配置與安全策略的 一致性、安全管理制度的執(zhí)行 情況等；安全管理 機(jī)構(gòu)101）檢查是否要求內(nèi)席B人員或上級(jí)單位定期對(duì)信息系統(tǒng)進(jìn)行全卸安全檢查（不符合扣4分）2）檢查內(nèi)容是否包括現(xiàn)有安全技術(shù)措施的有效性

31、、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等（不符合扣3分）3） 檢查安全檢查報(bào)告， 查看報(bào)告日期與檢查周期是否一致（不符合扣3分）VVV制定安全檢查表格實(shí)施安全安全管理101）檢查是否具有安全檢查表格（不符合扣4分）VVV檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分 值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CiA檢查，匯總安全檢查數(shù)據(jù)， 形 成安全檢查報(bào)告，并對(duì)安全檢 查結(jié)果進(jìn)行通報(bào)；機(jī)構(gòu)2）檢查安全檢查報(bào)告，查看報(bào)告日期與檢查周期是否一 致，報(bào)告中是否有檢查內(nèi)容、檢查人員、檢查數(shù)據(jù)匯總 表、檢查結(jié)果等的描述（不符合扣6分）制定安全審核和安全檢查制 度規(guī)范安全審核和安全檢查 工作，定期按照程序進(jìn)行安全 審核和安全檢查

32、活動(dòng)安全管理 機(jī)構(gòu)101）檢查是否具有安全審核和安全檢查制度（不符合扣6分）2）檢查安全審核和安全檢查過(guò)程記錄（不符合扣4分）VV人員安全管理（小計(jì)：100分）檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分 值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA人員錄用對(duì)單位的新錄用人員要簽署保 密協(xié)議人員安全 管理101）檢查是否有相關(guān)管理要求（不符合扣4分）2）檢查是否后簽署的保密協(xié)議文件（不符合扣6分）V指定或授權(quán)專門的部門或人員 負(fù)責(zé)人員錄用人員安全 管理10檢查是否有專門部門或人員負(fù)責(zé)人員錄用（不符合扣10分）VV嚴(yán)格規(guī)范人員錄用過(guò)程，對(duì)被 錄用人的身份、背景、專業(yè)資 格和資質(zhì)等進(jìn)行審查，對(duì)其所 具有的技術(shù)技能進(jìn)行考核人員安全

33、管理10檢查人員錄用時(shí)是否對(duì)被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查，對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核（不符合扣10分）VV從內(nèi)部人員中選拔從事關(guān)鍵崗 位的人員，并簽署崗位安全協(xié) 議人員安全 管理10檢查對(duì)從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要 求其簽署崗位安全協(xié)議（不符合扣10分）V人員離崗對(duì)即將離崗的員工立即終止其 在信息系統(tǒng)中的所有訪問(wèn)權(quán)限人員安全 管理101）查看員工離崗流程中是否有相關(guān)要求（不符合扣4分）2）檢查是否有終止訪問(wèn)權(quán)限的表單（不符合扣6分）V取回離崗人員的各種身份證 件、鑰匙、徽章等以及單位提 供的軟硬件設(shè)備人員安全 管理101）查看員工離崗流程中是否有相關(guān)要求（

34、不符合扣4分）2） 檢查是否有設(shè)備、證彳等上繳表單記錄（無(wú)記錄扣6分）VV離崗人員由人事部門辦理調(diào)離 手續(xù)，并由離崗人員書面承諾 調(diào)離后的保密義務(wù)人員安全 管理101）查看員工離崗流程中是否有相關(guān)要求（不符合扣4分）2）檢查是否有簽署的離崗保密承諾文件（無(wú)記錄扣6分）V第三方人員 管理要求第二方人員在訪問(wèn)前與公 司簽署安全責(zé)任合同書或保密 協(xié)議安全管理101）查看是否有對(duì)第二方訪問(wèn)進(jìn)行管理的規(guī)定（不符合扣4分）2）檢查是否有書面保證文件（不符合扣6分）V對(duì)第二方人員訪問(wèn)重要區(qū)域以 書面形式批準(zhǔn)，并曲專人全程 陪同或監(jiān)督，記錄備案人員安全 管理10檢查是否有審批記錄或監(jiān)督記錄（不符合扣10分）V

35、VV檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分 值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CiA對(duì)第二方人員允許訪問(wèn)的區(qū) 域、系統(tǒng)、設(shè)備、信息等內(nèi)容 進(jìn)行書面的規(guī)定，并按照規(guī)定 執(zhí)行人員安全 管理10檢查是否有義件進(jìn)行了規(guī)定（不符合扣10分）VV信息安全制度文件管理（小計(jì)：230）檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分 值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA信息安全策 略體系建立信息安全策略體系，明確 本單位需要的信息安全制度內(nèi) 容安全管理 制度20檢查是否有描述信息安全策略體系的相關(guān)文件或定義信息安 全管理制度白文件內(nèi)容（不符合扣20分）VVV對(duì)安全管理活動(dòng)中的各類管理 內(nèi)容建立安全管理制度安全管理 制度10檢查安全管理制度清單中是否覆蓋物理、網(wǎng)絡(luò)

36、、主機(jī)系統(tǒng)、 數(shù)據(jù)、應(yīng)用和管理等層面（不符合扣10分）VVV對(duì)要求管理人員或操作人員執(zhí) 行的日常管理操作建立操作規(guī) 程；安全管理 制度10檢查是否具有重要管理操作的操作規(guī)程，如系統(tǒng)維護(hù)手冊(cè)和 用戶操作規(guī)程等（不符合扣10分）VVV形成由安全策略、管理制度、 操作規(guī)程等構(gòu)成的全面的信息 安全管理制度體系安全管理 制度10檢查安全制度體系是否由安全政策、安全策略、管理制度、 操作規(guī)程等構(gòu)成（不符合扣10分）VVV信息安全制 度管理定期對(duì)信息安全管理制度進(jìn)行 審核、修訂、更新、廢除過(guò)時(shí) 的管理制度，制定、發(fā)布、宣 貫新的管理要求安全管理 制度10檢查是否有制度管理文件（不符合扣10分）檢查制度管理文

37、件內(nèi)容是否明確了制度審核的周期（沒(méi)有扣6分）VVV指定或授權(quán)專門的部門或人員 負(fù)責(zé)安全管理制度的制定；安全管理 制度10安全管理制度是否在信息安全領(lǐng)導(dǎo)小組或委員會(huì)的總體負(fù)責(zé) 下統(tǒng)一希1定（不符合扣10分）VVV安全管理制度具有統(tǒng)一的格 式，并進(jìn)行版本控制；安全管理 制度101）檢查安全管理制度文檔， 查看是否注明適用和發(fā)布范圍， 是否有版本標(biāo)識(shí)，是臺(tái)后密級(jí)標(biāo)注，是否有管理層的簽 字或蓋章；（不符合扣6分）2）檢查各項(xiàng)制度文檔格式是否統(tǒng)一 （不符合扣4分）VVV組織相關(guān)人員對(duì)制定的安全管 理制度進(jìn)行論證和審定；安全管理 制度101）檢查安全管理制度的制定程序，檢查是否對(duì)制定的安全 管理制度進(jìn)行論

38、證和審定，論證和評(píng)審方式如何（如召 開(kāi)評(píng)審會(huì)、函審、內(nèi)部審核等）（不符合扣10分）2）檢查管理制度評(píng)審記錄，查看是否有相關(guān)人員的評(píng)審意VVV檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分 值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA見(jiàn)（不符合扣5分）估息安全工作的總體方針和安 全策略得到管理者的正式批準(zhǔn) 和授權(quán)；安全管理 制度10檢查信息安全總體方案和安全策略文檔中是否標(biāo)明得到管理 者的正式批準(zhǔn)和授權(quán)（不符合扣10分）VVV安全管理制度通過(guò)正式、有效 的方式發(fā)布;安全管理 制度10檢查是否有安全管理制度的發(fā)布程序（不符合扣10分）VVV安全管理制度注明發(fā)布范圍， 并對(duì)收發(fā)文進(jìn)行登記。安全管理 制度101）檢查安全管理制度的收發(fā)登

39、記記錄（不符合扣10分）2）檢查收發(fā)是否符合規(guī)定程序和發(fā)布范圍要求（不符合扣5分）VVV信息安全制 度審核信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)定期組 織相關(guān)部門和相關(guān)人員對(duì)安全 管理制度體系的合理性和適用 性進(jìn)行審定，并進(jìn)行信息安全 制度的修訂、更新而廢除。安全管理 制度101）檢查信息安全領(lǐng)導(dǎo)小組職責(zé)中是否明確要求定期組織相關(guān)部門和人員對(duì)安全管理制度進(jìn)行評(píng)審（不符合扣5分）2）檢查制度修訂、更新而廢除的相關(guān)工作記錄或證明（不符 合扣3分）3）現(xiàn)有管理制度是否有明顯過(guò)時(shí)或已經(jīng)不適用的內(nèi)容（有則扣2分）VVV建立相關(guān)機(jī)制，確保定期對(duì)安 全管理制度體系進(jìn)行檢查和審 定，對(duì)存在不足或需要改進(jìn)的 體系制度和流程進(jìn)行修

40、訂。安全管理 制度101）檢查是否具有所有安全管理制度對(duì)應(yīng)相應(yīng)負(fù)責(zé)人或者負(fù)責(zé)部門的清單，清單是否注明評(píng)審周期（不符合扣5分）2）檢查對(duì)安全管理制度進(jìn)行審定的記錄（不符合扣5分）VVV信息安全管 理制度機(jī)房管理制度，包括機(jī)房環(huán)境 管理、機(jī)房進(jìn)出管理、機(jī)房?jī)?nèi) 工作管理等內(nèi)容系統(tǒng)運(yùn)維 管理8檢查機(jī)房管理相關(guān)制度文彳%缺少一項(xiàng)內(nèi)容扣2分VVVU盤、光盤使用管理制度系統(tǒng)運(yùn)維 管理6缺ua使用管理制度，扣除4分，缺光盤使用管理制度，扣除 2 分：V主機(jī)設(shè)備安全管理制度系統(tǒng)運(yùn)維 管理8檢查是否有相關(guān)管理制度（不符合扣8分）VVV網(wǎng)絡(luò)設(shè)施安全管理制度系統(tǒng)運(yùn)維 管理8檢查是否有相關(guān)管理制度（不符合扣8分）VVV

41、檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分 值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA物理設(shè)施分類標(biāo)記管理制度系統(tǒng)運(yùn)維 管理6檢查是否有相關(guān)管理制度（不符合扣8分）VVV安全配置管理制度、系統(tǒng)分發(fā) 和操作規(guī)章制度、系統(tǒng)文檔安 全管理制度、測(cè)試和評(píng)估制度、 系統(tǒng)信息安全備份制度系統(tǒng)運(yùn)維 管理10缺少一項(xiàng)管理內(nèi)容，扣除2分VVV網(wǎng)絡(luò)連接檢查評(píng)估制度、網(wǎng)絡(luò) 使用授權(quán)制度、網(wǎng)絡(luò)檢測(cè)制度、 網(wǎng)絡(luò)設(shè)施（設(shè)備和協(xié)議）變更 控制制度等系統(tǒng)運(yùn)維 管理8缺少一項(xiàng)管理內(nèi)容，扣除2分VV應(yīng)用系統(tǒng)上線前測(cè)評(píng)制度、應(yīng) 用系統(tǒng)上線后安全評(píng)估制度、 應(yīng)用系統(tǒng)使用授權(quán)制度、應(yīng)用 系統(tǒng)配置管理制度、應(yīng)用系統(tǒng) 文檔管理制度等系統(tǒng)建設(shè) 管理10缺少一項(xiàng)管理內(nèi)容，

42、扣除2分VVV人員安全管理制度、安全意識(shí) 和安全技術(shù)教育制度、操作安 全管理制度、操作系統(tǒng)和數(shù)據(jù) 庫(kù)管理制度、系統(tǒng)運(yùn)行記錄編 寫制度、病毒防護(hù)管理制度、 網(wǎng)絡(luò)互聯(lián)安全管理制度、安全 審計(jì)管理制度、安全事件報(bào)告 制度、事故處理制度、應(yīng)急管 理制度和災(zāi)難恢復(fù)管理制度等安全管理18缺少一項(xiàng)管理內(nèi)容，扣除2分，扣完為止VVV信息分類標(biāo)記制度、涉密信息 安全管理制度、技術(shù)文檔管理 制度、存儲(chǔ)介質(zhì)管理制度、信 息披露與發(fā)布審批管理制度等系統(tǒng)運(yùn)維 管理8缺少一項(xiàng)管理內(nèi)容，扣除2分，扣完為止VVV信息化建設(shè)中的安全管理（小計(jì)：520分）檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分 值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA規(guī)劃設(shè)計(jì)階 段的信

43、息安 全管理信息系統(tǒng)規(guī)劃過(guò)程中進(jìn)行明確 的信息安全需求分析系統(tǒng)建設(shè) 管理20抽取12個(gè)新建成系統(tǒng)，查看規(guī)劃階段形成的文件：是否有管理要求明確系統(tǒng)建設(shè)規(guī)劃階段必須進(jìn)行信息安 全需求分析（不符合扣10分）.B是否對(duì)建成后的系統(tǒng)運(yùn)行環(huán)境進(jìn)行了安全需求分析（不符合扣5分）是否對(duì)業(yè)務(wù)應(yīng)用本身進(jìn)行了安全需求分析（不符合扣5分）VVV在新系統(tǒng)建設(shè)或已由系統(tǒng)改造 方案中，包括安全要求系統(tǒng)建設(shè) 管理201） 查看是否有管理要求對(duì)系統(tǒng)開(kāi)發(fā)/米購(gòu)過(guò)程提出明確的信息安全要求，沒(méi)有明確要求扣10分2）抽查2個(gè)新系統(tǒng)的建設(shè)方案，沒(méi)有提出明確安全要求， 每個(gè)系統(tǒng)扣5分VVV信息系統(tǒng)設(shè)計(jì)方案中對(duì)軟件安 全功能進(jìn)行了設(shè)計(jì)系統(tǒng)建

44、設(shè) 管理20檢查信息系統(tǒng)設(shè)計(jì)方案中的安全功能設(shè)計(jì)是否與提出的安全 需求向符（不符合扣6分）VVV軟件開(kāi)發(fā)過(guò)程中實(shí)現(xiàn)設(shè)計(jì)方案 中提出的安全功能系統(tǒng)建設(shè) 管理20抽查1個(gè)已建系統(tǒng)是否實(shí)現(xiàn)了設(shè)計(jì)方案中提出的安全功能，無(wú)相關(guān)實(shí)現(xiàn)的，則該項(xiàng)/、得分。實(shí)現(xiàn)部分的，則扣10分V系統(tǒng)開(kāi)發(fā)的 安全管理驗(yàn)證應(yīng)用系統(tǒng)輸入的數(shù)據(jù)、驗(yàn) 證不同類型輸入的出錯(cuò)消息、 響應(yīng)驗(yàn)證錯(cuò)誤的流程、定義所 有數(shù)據(jù)輸入過(guò)程中所涉及人員 的職責(zé)等安全管理20抽取一個(gè)新建或在建系統(tǒng)的設(shè)計(jì)、開(kāi)發(fā)文檔，查看管理/技術(shù)要求中對(duì)系統(tǒng)安全性的規(guī)定，無(wú)相關(guān)要求的，該項(xiàng)不得分。抽查系統(tǒng)測(cè)試記錄，若內(nèi)容中無(wú)相關(guān)測(cè)試驗(yàn)證結(jié)果說(shuō)明扣1（分V確保對(duì)程序資源庫(kù)的修

45、改、更 新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)系統(tǒng)建設(shè) 管理10查看管理要求中的相關(guān)規(guī)定，無(wú)相關(guān)要求的，該項(xiàng)不得分。 抽查授權(quán)和批準(zhǔn)記錄，不能提供的該項(xiàng)不得分VVV制定代碼編寫安全規(guī)范，要求 開(kāi)發(fā)人員參照規(guī)范編寫代碼系統(tǒng)建設(shè) 管理10檢查是否制定了彳t碼編寫規(guī)范（不符合該項(xiàng)不得分）抽查了解開(kāi)發(fā)人員是否按規(guī)范編寫代碼（不符合扣6分）VVV確保提供軟件設(shè)計(jì)的相關(guān)文檔;系統(tǒng)建設(shè)101） 檢查是否具有需求分析說(shuō)明書、軟件設(shè)計(jì)說(shuō)明書和軟件VVV檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分 值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA和使用指南，并由專人負(fù)責(zé)保 管管理操作手冊(cè)等開(kāi)發(fā)文檔（不符合扣5分）2）檢查文檔是否的專人負(fù)責(zé)保管（不符合扣5分）外包軟件

46、開(kāi)發(fā)：根據(jù)開(kāi)發(fā)需求 檢測(cè)軟件質(zhì)量系統(tǒng)建設(shè) 管理101）檢查是否要求外包軟件開(kāi)發(fā)商檢測(cè)軟件質(zhì)量（不符合扣5分）2）檢查是否保存軟件質(zhì)量測(cè)試報(bào)告（不符合扣5分）VV外包軟件開(kāi)發(fā)：要求開(kāi)發(fā)單位 提供軟件源代碼，并審查軟件 中可能存在的后門系統(tǒng)建設(shè) 管理10檢查是否要求開(kāi)發(fā)單位提供軟件源代碼（不符合扣5分）檢查是否審查軟件中可能存在的后門，抽查相關(guān)記錄（不符合扣5分）VV軟件開(kāi)發(fā)外包：在與軟件開(kāi)發(fā) 單位簽訂的協(xié)議中，明確知識(shí) 產(chǎn)權(quán)的歸屬和安全方面的要求安全管理10查看管理要求中的相關(guān)規(guī)定，無(wú)相關(guān)要求的，該項(xiàng)不得分。 抽查文檔記錄，若缺少相關(guān)文檔，則該項(xiàng)不得分VV軟件開(kāi)發(fā)外包：在軟件安裝之 前檢測(cè)軟件包

47、中可能存在的惡 意代碼，并保留完整的測(cè)試記 錄系統(tǒng)建設(shè) 管理10查看管理/技術(shù)要求中的相關(guān)規(guī)定， 無(wú)相關(guān)要求的，該項(xiàng)不得 分。抽查測(cè)試記錄，沒(méi)有則該項(xiàng)為0分V軟件開(kāi)發(fā)外包：要求開(kāi)發(fā)單位 提供軟件設(shè)計(jì)的相關(guān)文檔和使 用指南系統(tǒng)建設(shè) 管理10查看管理要求中的相關(guān)規(guī)定，無(wú)相關(guān)要求的，該項(xiàng)不得分。 抽查測(cè)試記錄，沒(méi)有則該項(xiàng)不得分V自行軟件開(kāi)發(fā)：確保開(kāi)發(fā)環(huán)境 與實(shí)際運(yùn)行環(huán)境物理分開(kāi)，開(kāi)發(fā)人員和測(cè)試人員分離，測(cè)試 數(shù)據(jù)和測(cè)試結(jié)果受到控制系統(tǒng)建設(shè) 管理101）查看是否有管理制度予以要求（不符合扣5分）2）檢查開(kāi)發(fā)和測(cè)試人員是否分離（不符合扣3分）3）是否保留測(cè)試數(shù)據(jù)和測(cè)試結(jié)果并由專人保管（不符合扣2分）VV

48、V自行開(kāi)發(fā)：制定開(kāi)發(fā)方面的管 理制度，以明確說(shuō)明開(kāi)發(fā)過(guò)程 的控制方法和人員行為準(zhǔn)則系統(tǒng)建設(shè) 管理10若無(wú)相關(guān)制度，則該項(xiàng)為 0分VVV系統(tǒng)集成與 采購(gòu)中的安 全管理對(duì)1商交付的主機(jī)操作系統(tǒng)、 數(shù)據(jù)庫(kù)系統(tǒng)等進(jìn)行了配置安全 加固審核、操作系統(tǒng)安全補(bǔ)丁安全管理10查看管理要求中的相關(guān)規(guī)定是否有主機(jī)操作系統(tǒng)安全加固方面相關(guān)規(guī)定（不符合扣5分）是否有數(shù)據(jù)庫(kù)系統(tǒng)安全加固方面相關(guān)規(guī)定（不符合扣5分）VVV檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分 值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA安裝情況審核確保密碼產(chǎn)品米購(gòu)和使用符合 國(guó)家密碼主管部門的要求系統(tǒng)建設(shè) 管理101）檢查系統(tǒng)是否米用了密碼產(chǎn)品（不符合扣5分）2）密碼產(chǎn)品的使用是否符

49、合國(guó)冢密他王管部門的要求（不符合扣5分）VV指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn) 品的采購(gòu)系統(tǒng)建設(shè) 管理10查看管理要求中的相關(guān)規(guī)定，是否指定或授權(quán)專門的部門負(fù) 責(zé)產(chǎn)品的米購(gòu)（不符合扣10分）VVV預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試，確 定產(chǎn)品的候選范圍，并定期審 定和更新候選廣品名單系統(tǒng)建設(shè) 管理10檢查管理要求中的相關(guān)規(guī)定，是否要求預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試（不符合扣5分）檢查是否存在候選產(chǎn)品名單，是否定期審定并更新（不符合扣5分）VVV應(yīng)有機(jī)制確保米購(gòu)和集成中的 安全設(shè)備都通過(guò)了國(guó)家、公司 相關(guān)機(jī)構(gòu)的測(cè)評(píng)、認(rèn)證系統(tǒng)建設(shè) 管理10查看產(chǎn)品采購(gòu)管理制度中是否有相關(guān)規(guī)定。（不符合扣10分）VVV要求廠家針對(duì)其提供的系統(tǒng)

50、或 設(shè)備提供信息安全方面的技術(shù) 服務(wù)安全管理10查看產(chǎn)品采購(gòu)管理制度中是否有相關(guān)規(guī)定。（不符合扣10分）VVV工程實(shí)施指正或授權(quán)專門的部門或人 員負(fù)責(zé)工程實(shí)施過(guò)程的管理；系統(tǒng)建設(shè) 管理10檢查是否指定專門人員或部門按照工程實(shí)施方案的要求對(duì)工 程實(shí)施過(guò)程進(jìn)行進(jìn)度和質(zhì)量控制（不符合扣10分）VVV制定詳細(xì)的工程實(shí)施方案控 制實(shí)施過(guò)程，并要求H程實(shí)施 單位能正式地執(zhí)行安全工程 過(guò)程；系統(tǒng)建設(shè):管理10檢查是否制定工程實(shí)施方案（沒(méi)有該項(xiàng)不得分）查看其內(nèi)容是否覆蓋工程時(shí)間限制、進(jìn)度控制和質(zhì)量控 制等方面內(nèi)容（不符合扣5分）VVV制定工程實(shí)施方面的管理制 度，明確說(shuō)明實(shí)施過(guò)程的控制 方法和人員行為準(zhǔn)則系統(tǒng)

51、建設(shè) 管理10檢查工程實(shí)施管理制度，查看其是否規(guī)定工程實(shí)施過(guò)程的控 制方法（如內(nèi)部階段性控制或外部監(jiān)理單位控制）、實(shí)施參與人員的各種行為等方面內(nèi)容 （不符合扣10分）VV測(cè)試驗(yàn)收委托公正的第二方測(cè)試單位 對(duì)系統(tǒng)進(jìn)行安全性測(cè)試， 并出 具安全性測(cè)試報(bào)告；系統(tǒng)建設(shè) 管理10檢查在信息系統(tǒng)正式運(yùn)行前，是否委托第三方測(cè)試機(jī)構(gòu)根據(jù) 設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試 抽查系統(tǒng)安全性測(cè)試報(bào)告 （不符合扣10分）VVV檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分 值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA在測(cè)試驗(yàn)收前根據(jù)設(shè)計(jì)方案 或合同要求等制訂測(cè)試驗(yàn)收 方案，在測(cè)試驗(yàn)收過(guò)程中詳細(xì) 記錄測(cè)試驗(yàn)收結(jié)果，并形成測(cè) 試驗(yàn)收?qǐng)?bào)告；系

52、統(tǒng)建設(shè) 管理101）檢查是否在在測(cè)試驗(yàn)收前根據(jù)設(shè)計(jì)方案或合同要求等制 訂測(cè)試驗(yàn)收方案；（不符合扣4分）查看測(cè)試記錄是否詳細(xì)記錄了測(cè)試時(shí)間、人員、操作過(guò) 程、測(cè)試結(jié)果等方面內(nèi)容，是否提出存在問(wèn)題及改進(jìn)意 見(jiàn)等（不符合扣3分）檢查是否形成測(cè)試驗(yàn)收?qǐng)?bào)告（不符合扣3分）VVV對(duì)系統(tǒng)測(cè)試驗(yàn)收的控制方法 和人員行為準(zhǔn)則進(jìn)行書面規(guī) 士系統(tǒng)建設(shè) 管理10檢查驗(yàn)收測(cè)試管理制度是否對(duì)系統(tǒng)驗(yàn)收測(cè)試的過(guò)程控制、參 與人員的行為等進(jìn)行規(guī)定（不符合扣10分）VV指定或授權(quán)專門的部門負(fù)責(zé) 系統(tǒng)測(cè)試驗(yàn)收的管理，并按照 管理規(guī)定的要求完成系統(tǒng)測(cè) 試驗(yàn)收工作；系統(tǒng)建設(shè) 管理10檢查是否指定專門部門負(fù)責(zé)測(cè)試驗(yàn)收工作（不符合扣5分）

53、檢查是否對(duì)測(cè)試過(guò)程（包括測(cè)試前、測(cè)試中和測(cè)試后）進(jìn)行 文檔化要求和制度化要求（不符合扣5分）VVV組織相關(guān)部門和相關(guān)人員對(duì) 系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定， 并簽字確認(rèn)。系統(tǒng)建設(shè) 管理10檢查是否根據(jù)設(shè)計(jì)方案或合同要求組織相關(guān)部門和人員對(duì)測(cè)試報(bào)告進(jìn)行符合性審定，并簽字確認(rèn)（不符合扣10分）VV系統(tǒng)交付制定詳細(xì)的系統(tǒng)交付清單，并 根據(jù)交付清單對(duì)所交接的設(shè) 備、軟件和文檔等進(jìn)行清點(diǎn)；系統(tǒng)建設(shè) 管理10檢查系統(tǒng)交付清單，查看其是否具有系統(tǒng)建設(shè)文檔（如系統(tǒng) 建設(shè)方案）、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔（如服務(wù)器操作規(guī) 程書）以及系統(tǒng)培訓(xùn)手冊(cè)等文檔名稱（不符合扣10分）VV對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù) 人員進(jìn)行相應(yīng)的技

54、能培訓(xùn)；系統(tǒng)建設(shè) 管理10檢查信息系統(tǒng)建設(shè)實(shí)施方是否對(duì)運(yùn)維技術(shù)人員進(jìn)行過(guò)培訓(xùn)（不符合扣4分）檢查是否以書面形式承諾對(duì)系統(tǒng)運(yùn)行維護(hù)提供一定的技術(shù)支持服務(wù)（不符合扣2分）檢查是否按照服務(wù)承諾書的要求進(jìn)行過(guò)技術(shù)支持（不符合扣2分）檢查培訓(xùn)記錄（不符合扣2分）VVV確保提供系統(tǒng)建設(shè)過(guò)程中的 文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)系統(tǒng)建設(shè) 管理101）檢查系統(tǒng)是否具有建設(shè)過(guò)程中的文檔（不符合扣5分）2）檢查系統(tǒng)是否具有支持其獨(dú)立運(yùn)行維護(hù)所需的文檔（不VVV檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分 值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA行維護(hù)的文檔；對(duì)系統(tǒng)交付的控制方法和人 員行為準(zhǔn)則進(jìn)行書面規(guī)定；系統(tǒng)建設(shè) 管理10符合扣5分）檢查系統(tǒng)交付管

55、理制度，查看其是否規(guī)定了交付過(guò)程的控制方法和對(duì)交付參與人員的行為限制等方面內(nèi)容（不符合扣1（分）VVV指定或授權(quán)專門的部門負(fù)責(zé) 系統(tǒng)交付的管理工作，并按照 管理規(guī)定的要求完成系統(tǒng)交 付工作。系統(tǒng)建設(shè) 管理101）檢查系統(tǒng)交付的管理工作是否曲專門部門負(fù)責(zé)（不符合扣5分）2） 抽查系統(tǒng)交付相關(guān)記錄，查看是否按照管理規(guī)定要求完 成交付工作（不符合扣5分）VVV密碼技術(shù)應(yīng) 用控制確定數(shù)據(jù)的敏感程度和所需的 保護(hù)級(jí)別安全管理10若沒(méi)有相關(guān)策略，則該項(xiàng)為0分VVV使用數(shù)字簽名保護(hù)電子文檔的 真實(shí)性和完整性使用不可否認(rèn)服務(wù)安全管理安全管理1010查看管理方法中的相關(guān)規(guī)定，無(wú)相關(guān)要求的，該項(xiàng)不得分。若確定了保

56、護(hù)等級(jí)，但缺少加密技術(shù)保護(hù)數(shù)據(jù) ，則該項(xiàng)為10分；若未確定保護(hù)等級(jí)，則該項(xiàng)為0分若未使用，則該項(xiàng)為0分VVVVV新設(shè)備和新 系統(tǒng)的接入 管理新系統(tǒng)、新設(shè)備接入網(wǎng)絡(luò)運(yùn)行 的審核、審批管理制度系統(tǒng)運(yùn)維 管理16查看管理要求中的相關(guān)規(guī)定，無(wú)相關(guān)要求的，則該項(xiàng)不得分VVV不經(jīng)過(guò)信息安全審核的系統(tǒng)不 能接入單位網(wǎng)絡(luò)運(yùn)行安全管理16查看管理要求中的相關(guān)規(guī)定，無(wú)相關(guān)要求的，則該項(xiàng)不得分VVV新建系統(tǒng)或新米購(gòu)設(shè)備接入單 位網(wǎng)絡(luò)時(shí)應(yīng)經(jīng)過(guò)信息安全的審 批安全管理16查看管理要求中的相關(guān)規(guī)定，無(wú)相關(guān)要求的，則該項(xiàng)不得分VVV信息安全監(jiān) 理制定信息安全監(jiān)理管理相關(guān)規(guī)士7E安全管理10查看管理要求中的相關(guān)規(guī)定，無(wú)相關(guān)要

57、求的，則該項(xiàng)不得分VVV重大系統(tǒng)建設(shè)應(yīng)引入第二方信 息安全監(jiān)理機(jī)制，確保系統(tǒng)建 設(shè)過(guò)程中各環(huán)節(jié)的安全性安全管理6查看管理要求中的相關(guān)規(guī)定，無(wú)相關(guān)要求的，則該項(xiàng)不得分VVV對(duì)監(jiān)理方的意見(jiàn)應(yīng)給予充分的 考慮安全管理6檢查相關(guān)會(huì)議記錄、問(wèn)題答復(fù)（不符合扣6分）VVV檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分 值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA安全服務(wù)商 選擇確保安全服務(wù)商的選擇符合國(guó) 家的有關(guān)規(guī)定；系統(tǒng)建設(shè) 管理10檢查安全服務(wù)商的選擇符合國(guó)家的相關(guān)規(guī)定（不符合扣1（分）VVV與選定的安全服務(wù)商簽訂與安 全相關(guān)的協(xié)議，明確約定相關(guān) 責(zé)任；系統(tǒng)建設(shè) 管理10檢查與選定的安全服務(wù)商是否簽訂與安全相關(guān)的協(xié)議（不符合扣5分）檢查

58、協(xié)議內(nèi)容是否約定相關(guān)安全責(zé)任（不符合扣5分）VVV確保選定的安全服務(wù)商提供 技術(shù)培訓(xùn)和服務(wù)承諾，必要的 與其簽訂服務(wù)合同。系統(tǒng)建設(shè) 管理101） 檢查選定的安全服務(wù)商是否提供技術(shù)培訓(xùn)和服務(wù)承諾；（不符合扣5分）2）檢查是否與長(zhǎng)期提供服務(wù)、或關(guān)鍵系統(tǒng)的安全服務(wù)商簽 訂服務(wù)合同（不符合扣5分）VVV信息安全等級(jí)保護(hù)（小計(jì)： 220分）檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA等級(jí)保護(hù)定 級(jí)按照公司信息系統(tǒng)統(tǒng)一定級(jí)情況對(duì) 本單位信息系統(tǒng)定級(jí)進(jìn)行核實(shí)系統(tǒng)建 設(shè)管理10查看是否有定級(jí)情況核實(shí)工作的記錄（不符合扣10分）VVV對(duì)不屬于公司統(tǒng)一定級(jí)范疇的信息 系統(tǒng)自行開(kāi)展定級(jí)工作安全管 理10查

59、看是否有定級(jí)文件（不符合扣10分）VVV明確信息系統(tǒng)的邊界和安全保護(hù)等 級(jí)系統(tǒng)建 設(shè)管理10檢查信息系統(tǒng)是否明確邊界和安全保護(hù)等級(jí)（不符合扣10分）VVV以書面的形式說(shuō)明確定信息系統(tǒng)為 某個(gè)安全保護(hù)等級(jí)的方法和理由系統(tǒng)建 設(shè)管理10檢查信息系統(tǒng)定級(jí)文檔是否說(shuō)明信息系統(tǒng)定級(jí)的方法和理由 （不符合扣10分）VVV組織相關(guān)部門和有美安全技術(shù)專家 對(duì)信息系統(tǒng)定級(jí)結(jié)果的合理性和正 確性進(jìn)行論證和審定系統(tǒng)建 設(shè)管理101）檢查是否組織相關(guān)部門和有美安全技術(shù)專家對(duì)信息系統(tǒng)定級(jí)結(jié)果的合理性和正確性進(jìn)行論證和審定（不符合扣5分）2）抽查部分信息系統(tǒng)的定級(jí)論證和審定記錄或報(bào)告（不符合扣5分）VVV確保信息系統(tǒng)的定

60、級(jí)結(jié)果經(jīng)過(guò)相關(guān) 部門的批準(zhǔn)系統(tǒng)建 設(shè)管理10檢查信息系統(tǒng)定級(jí)報(bào)告是否經(jīng)過(guò)相關(guān)部門的批準(zhǔn)記錄（授權(quán)部 門的批準(zhǔn)文件、蓋章或簽字）（不符合扣10分）VV信息系統(tǒng)定級(jí)情況對(duì)各業(yè)務(wù)部門進(jìn) 行通報(bào)安全管 理10查看是否有對(duì)各業(yè)務(wù)部門進(jìn)行定級(jí)情況通報(bào)的文件（不符合扣10分）VVV等級(jí)防護(hù)工 作根據(jù)各業(yè)務(wù)系統(tǒng)的定級(jí)進(jìn)行安全域 的劃分安全管 理20查看是否根據(jù)業(yè)務(wù)系統(tǒng)的信息安全等級(jí)進(jìn)行了安全域的劃分 （不符合扣20分）VVV針對(duì)/、同等級(jí)信息系統(tǒng)制定等級(jí)保 護(hù)方案系統(tǒng)建 設(shè)管理20查看是否制定了等級(jí)保護(hù)方案（沒(méi)有該項(xiàng)不得分） 查看等級(jí)保護(hù)方案是否統(tǒng)一考慮安全保障體系的總體安全策 略、安全技術(shù)框架、安全管理策略