企業信息安全風險評估評估實施細則企業信息安全風險評估評估實施細則PAGEPAGE94企業信息安全風險評估評估實施細則企業信息安全風險評估實施細則二〇〇八年五月目錄1. 前言 12. 資產評估 22.1. 資產識別 22.2. 資產賦值 33. 威脅評估 64. 脆弱性評估 104.1. 信息安全管理評估 114.1.1. 安全方針 114.1.2. 信息安全機構 134.1.3. 人員安全管理 174.1.4. 信息安全制度文件管理 194.1.5. 信息化建設中的安全管理 234.1.6. 信息安全等級保護 294.1.7. 信息安全評估管理 324.1.8. 信息安全的宣傳與培訓 324.1.9. 信息安全監督與考核 344.1.10. 符合性管理 364.2. 信息安全運行維護評估 374.2.1. 信息系統運行管理 374.2.2. 資產分類管理 414.2.3. 配置與變更管理 424.2.4. 業務連續性管理 434.2.5. 設備與介質安全 464.3. 信息安全技術評估 504.3.1. 物理安全 504.3.2. 網絡安全 534.3.3. 操作系統安全 604.3.4. 數據庫安全 724.3.5. 通用服務安全 814.3.6. 應用系統安全 854.3.7. 安全措施 904.3.8. 數據安全及備份恢復 94前言為了規范、深化XXX公司信息安全風險評估工作，依據國家《信息系統安全等級保護基本要求》、《XXX公司信息化“SG186”工程安全防護總體方案》、《XXX公司網絡與信息系統安全隔離實施指導意見》、《XXX公司信息安全風險評估管理暫行辦法》、《XXX公司信息安全風險評估實施指南》（以下簡稱《實施指南》），組織對《XXX公司信息安全風險評估實施細則》進行了完善。本細則是開展信息系統安全風險評估工作實施內容的主要依據，各單位在相關的信息安全檢查、安全評價、信息系統安全等級保護評估工作中也可參考本細則的內容。本細則結合公司當前信息化工作重點，針對《實施指南》中信息資產評估、威脅評估、脆弱性評估提出了具體的評估內容。其中，資產評估內容主要針對公司一體化企業級信息系統展開；威脅評估包含非人為威脅和人為威脅等因素；脆弱性評估內容分為信息安全管理評估、信息安全運行維護評估、信息安全技術評估三部分。公司的評估工作應在本細則的基礎上，結合《實施指南》提出更詳細的實施方案，并采用專業的評估工具對信息系統進行全面的評估和深層的統計分析，并進行風險計算，確保全面掌握信息系統的安全問題，并提供解決問題的安全建議。本細則將隨公司信息安全管理、技術、運維情況的發展而滾動修訂與完善。本標準由XXX公司信息化工作部組織制定、發布并負責解釋。

資產評估資產評估是確定資產的信息安全屬性（機密性、完整性、可用性等）受到破壞而對信息系統造成的影響的過程。在風險評估中，資產評估包含信息資產識別、資產賦值等內容。資產識別資產識別主要針對提供特定業務服務能力的應用系統展開，例如：網絡系統提供基礎網絡服務、OA系統提供辦公自動化服務。通常一個應用系統都可劃分為數據存儲、業務處理、業務服務提供和客戶端四個功能部分，這四個部分在信息系統的實例中都顯現為獨立的資產實體，例如：典型的OA系統可分為客戶端、Web服務器、Domino服務器、DB2數據庫服務器四部分資產實體。應用系統的功能模塊（或子系統），可參照下表進行分解：應用系統分解表類別說明數據存儲應用系統中負責數據存儲的子系統或功能模塊。如數據庫服務器業務處理應用系統中負責進行數據處理運算的子系統或模塊，如應用服務器、通信前置機服務提供應用系統中負責對用戶提供服務的子系統或模塊，如web服務器客戶端由用戶或客戶直接使用、操縱的模塊，包括：工作站、客戶機等，如應用客戶端、web瀏覽器*注：以上的子系統(功能模塊)分類可能存在于一臺主機上，也可能分布在多臺主機上，對應用系統的分解不需要特別注明子系統的分布情況，只需詳細說明功能作用和構成。對于不具有多層結構的系統，可根據實際情況進行簡化分解，例如：僅分解為服務器端與客戶端。典型的應用系統分解結構圖如下：：代表數據傳輸數據存：代表數據傳輸數據存儲模塊業務處理模塊服務提供模塊客戶端應用系統分解本細則中對公司“SG186”工程應用系統按照上表進行信息資產的分解與識別，并在資產賦值部分按照這一分解進行賦值。資產賦值根據《實施指南》的定義，資產評估中對資產的賦值最終結果是對識別出的獨立資產實體的賦值。每項資產都要進行機密性要求、完整性要求、可用性要求的賦值，賦值定義為：安全性要求很高＝5、安全性要求高＝4、安全性要求中等＝3、安全性要求低＝2、安全性要求很低＝1。結合資產識別的情況，對公司“SG186”工程應用系統的各部分進行賦值，結果見下表。業務系統系統安全等級客戶端服務提供業務處理數據存儲管理員普通用戶CIACIACIACIACIA一體化平臺企業信息門戶2422311224113數據中心2422233233444數據交換平臺2311134123目錄與單點登錄系統2411334223444信息網絡2313144財務資金財務管理系統3544433355242353資金管理系統3544433355242353營銷管理營銷管理信息系統3533422355242353客戶繳費系統331121122412425395598客戶服務管理系統3312211113113232電能信息實時采集與監控系統2311211131131131市場管理系統2311211131131131客戶關系系統2311211131131131需求側管理系統3322211344244344輔助決策系統2311211132132132安全生產調度管理信息系統2322211133133133生產管理信息系統2322211133133133地理信息系統2322211133133133安全監督管理信息系統2311211131131131電力市場交易系統3422322244244244協同辦公協同辦公2424323434323434人力資源人力資源管理系統2322211131131331物資管理物資管理系統2311211131131131招投標系統2431321331331331項目管理項目管理系統2311211131131131綜合管理規劃計劃管理系統2311211131131131審計管理系統2311211331331331金融信息管理系統2311211131131131法律事務管理系統2311211331331331國際合作業務應用系統2311211331331331紀檢監察管理系統2311211131131131ERP系統ERP系統3433322344344344說明：（1）C代表機密性賦值、I代表完整性賦值、A代表可用性賦值。（2）系統安全等級作為業務系統資產權值與每項賦值相乘后參與風險計算過程。（3）對各單位不包括在“SG186”工程中的應用系統，系統安全等級按照《XXX公司信息系統安全保護等級定級指南》定義方法計算出來，資產賦值按照《實施指南》定義的方法進行識別和賦值，同時可參考上的表賦值結果。威脅評估在信息安全風險評估中，威脅評估也分為威脅識別和威脅賦值兩部分內容。威脅識別通常依據威脅列表對歷史事件進行分析和判斷獲得的。由于信息系統運行環境千差萬別，威脅可能性賦值無法給出統一定義，例如：海邊城市受到臺風威脅的可能性要大。本細則中僅給出威脅對信息資產機密性、完整性和可用性破壞的嚴重程度賦值。賦值定義為：破壞嚴重程度很大＝5、破壞嚴重程度大＝4、破壞嚴重程度中等＝3、破壞嚴重程度小＝2、破壞嚴重程度很小＝1。在評估實施時需要依據《實施指南》定義的方法，結合實際情況對威脅可能性進行判斷。下表是常見的威脅列表。威脅分類威脅名稱說明威脅可能性嚴重程度CIA非人為威脅火山爆發由火山爆發引起的故障N/A55颶風由于颶風引起的系統故障N/A45地震由地震引起的系統故障N/A45人員喪失由于各種原因,如疾病、道路故障、暴動等原因導致人員無法正常工作引起的系統無法使用故障N/AN/A3硬件故障系統由于硬件設備老舊、損壞等造成的無法使用問題N/A45雷電由雷電引起的系統故障N/A55火災由火災引起的系統故障,包括在火災發生后進行消防工作中引起的設備不可用問題N/A45水災由水災引起的系統故障,包括在水災發生后進行消防工作中引起的設備不可用問題N/A45雪崩由于雪崩引起的問題N/A24溫度異常由溫度超標引起的故障N/A44濕度異常由濕度超標引起的故障N/A33灰塵、塵土由灰塵超標引起的故障N/A33強磁場干擾由磁場干擾引起的故障N/A33電力故障由于電力中斷、用電波動、供電設備損壞導致系統停止運行等導致的系統故障N/A44系統軟件故障由于系統軟件故障所產生的問題344應用軟件故障由于應用軟件故障所產生的問題445軟件缺陷軟件缺陷導致的安全問題444通信故障由于通信故障所產生的問題N/A24DNS失敗由于DNS的問題導致的問題114人為威脅由于誤操作傳輸錯誤的或不應傳送的數據個人失誤導致的安全問題431關鍵員工的離職由于關鍵員工的離職造成系統的安全問題N/AN/A4離開時未鎖門由于離開時未鎖門造成系統的安全問題431離開時屏保未鎖定由于離開時屏保未鎖定造成的安全問題411在不恰當的人員中討論敏感文檔由于在不恰當的人員中討論敏感文檔造成的安全問題5N/AN/A不恰當的配置和操作不恰當的管理系統、數據庫、無意的數據操作，導致安全問題344拒絕服務攻擊攻擊者以一種或者多種損害信息資源訪問或使用能力的方式消耗信息系統資源N/A35由于設備（如筆記本）丟失導致泄密等安全問題444過時的規定由于采用過時的規定所造成的安全問題443不遵守安全策略可能導致各種可能的安全威脅444不恰當的使用設備、系統與軟件不當的使用設備造成的安全威脅N/A44惡意破壞系統設施對系統設備、存儲介質等資產進行惡意破壞N/A45濫用由于某授權的用戶（有意或無意的）執行了授權他人要執行的舉動、可能會發生檢測不到的信息資產損害543設備或軟件被控制或破壞惡意的控制或破壞設備，以取得機密信息54N/A遠程維護端口被非授權的使用惡意的使用遠程維護端口，控制主機444數據傳輸或電話被監聽惡意截獲傳輸數據4N/AN/A辦公地點被非授權的控制惡意監控辦公地點、重要地帶，獲取重要信息544偵察通過系統開放的服務進行信息收集，獲取系統的相關信息，包括系統的軟件、硬件和用戶情況等信息44N/A口令的暴力攻擊惡意的暴力嘗試口令533各類軟件后門或后門軟件軟件預留的后門或其他專門的后門軟件帶來的信息泄露威脅432偷竊移動設備帶有機密信息的移動設備被竊取5N/A3惡意軟件計算機病毒、蠕蟲帶來的安全問題354偽裝標識的仿冒等信息安全問題44N/A分析信息流分析信息流帶來的信息安全問題4N/AN/A非法閱讀機密信息非授權的從辦公環境中取得可獲得的機密信息或復制數據5N/AN/A社會工程學攻擊通過email、msn、電話號碼、交談等欺騙或其他方式取得內部人員的信任，進而取得機密信息5N/AN/A未經授權將設備連接到網絡未經授權對外開放內部網絡或設備453密碼猜測攻擊對系統賬號和口令進行猜測，導致系統中的敏感信息泄漏531偽造證書惡意的偽造證書，進而取得機密信息551遠程溢出攻擊攻擊者利用系統調用中不合理的內存分配執行了非法的系統操作，從而獲取了某些系統特權，進而威脅到系統完整性553權限提升通過非法手段獲得系統更高的權限，進而威脅到系統完整性553遠程文件訪問對服務器上的數據進行遠程文件訪問,導致敏感數據泄漏532法律糾紛由企業或信息系統行為導致的法律糾紛造成信譽和資產損失333不能或錯誤地響應和恢復系統無法或錯誤地響應和恢復導致故障和損失334流量過載由于網絡中通信流量過大導致的網絡無法訪問N/A35說明：C代表對機密性的破壞程度、I代表對完整性的破壞程度、A代表對可用性的破壞程度。N/A表示對此項安全屬性無破壞或無意義。脆弱性評估脆弱性評估內容包括管理、運維和技術三方面的內容。脆弱性評估過程是對信息系統中存在的可被威脅利用的管理和運維缺陷、技術漏洞分析與發現，并確定脆弱性被利用威脅的難易程度（賦值）的過程。在本實施細則中，列出了信息安全管理、運維和技術三方面的檢查點，這些檢查點都是對信息安全防護工作的具體要求，如果信息系統的管理、運維和技術條件不滿足這些點的檢查要求，則視為一個缺陷或漏洞。脆弱性檢查表中標記了每個檢查點對機密性（C）、完整性（I）、可用性（A）的是否有影響存（√表示有影響）。檢查表結果參與《實施指南》中定義的風險計算和分析時，以每一檢查點的實際得分情況和該檢查點的標準分值的比率來確定賦值，并由公司內專業技術支撐隊伍進行計算，方法如下：首先，按（1－實際得分/標準分值）%，算出該檢查點的不滿足程度；然后按下表對應賦值：標識等級（1－實際得分/標準分值）%很高5大于等于80%高4大于等于60%，但小于80%中3大于等于40%，但小于60%低2大于等于20%，但小于40%很低1小于20%舉例說明：某檢查點標準分值10分，實際得分8分，則脆弱性賦值：首先取(1－8/10)%＝20%，然后按照上表對應，賦值結果為2＝“低”。信息安全管理評估（總計：1800分）安全方針（小計：130分）檢查項目檢查內容等級保護標準分值評分標準實際得分CIA信息安全方針文件滿足國家、公司政策要求和本單位信息安全需求的獨立信息安全方針文件安全管理制度20檢查是否有獨立的信息安全方針文件，或者有包含信息安全方針內容的綱領性文件(沒有則該項不得分)√√√信息安全方針文件中對信息安全整體目標和信息安全工作范圍的定義安全管理制度20檢查方針文件是否對信息安全整體目標進行了闡述(不符合扣10分)檢查方針文件是否對信息安全工作涉及的內容范圍進行了明確界定(不符合扣6分)檢查方針文件是否對信息安全相關工作的協調和配合提出了要求(不符合扣4分)√√√信息安全方針文件內容對國家信息安全等級保護制度的落實情況安全管理10檢查方針文件是否提出了以下要求相關內容：提出滿足信息安全等級保護制度的要求(不符合扣4分)對信息系統進行了明確等級劃分(不符合扣4分)提出了分等級保護的工作要求(不符合扣2分)√√√信息安全方針文件內容對公司信息安全工作原則與要求的貫徹情況安全管理制度20檢查方針文件是否符合：信息安全納入安全生產范疇的要求(不符合扣8分)公司信息安全三同步原則(不符合扣8分)主要業務系統的安全目標要求(不符合扣4分)√√√信息安全方針對信息安全工作主要內容的闡述安全管理制度10檢查方針文件：是否列出了信息安全工作內容(不符合扣8分)工作內容是否符合國家、公司的要求(不符合扣2分)√√√信息安全方針文件應經過單位最高層領導的審批、授權，在單位內部進行討論和宣貫安全管理制度10檢查獨立的信息安全方針文件，或者包含信息安全方針內容的綱領性文件：是否經過本單位最高層領導的審批。(不符合扣4分)制定過程是否廣泛征求了各相關業務部門的意見（檢查征求意見相關記錄）(不符合扣4分)發布后是否進行了內部宣傳和學習。(不符合扣2分)√√√信息安全方針文件中對信息安全方針落實情況進行考核、評價的要求安全管理10檢查信息安全方針文件或包含相關內容的文件中是否提出了考核或評價的要求、方法和內容。(有考核要求無具體內容扣4分)√√√信息安全方針文件中對各關鍵內容的支持性管理制度要求安全管理制度10檢查是否在涉及具體管理細節的內容點列出了相應的支持性管理制度文件名稱，例如：內部用戶不得訪問外部非法網站時列出了《內網用戶行為管理辦法》(有明顯制度文件缺失的點，每點扣2分，扣完為止)√√√信息安全方針文件對自身的保密要求安全管理10檢查方針文件是否規定了本身的傳播范圍(不符合扣8分)檢查傳播范圍是否合理(不符合扣2分)√信息安全方針文件中對進行修訂和審核的周期以及負責審核部門的要求安全管理10檢查是否定義了審核周期(不符合扣6分)檢查是否明確了負責審核的部門(不符合扣4分)√√√信息安全機構（小計：250分）檢查項目檢查內容等級保護標準分值評分標準實際得分CIA公司機構信息化領導小組應承擔信息安全領導職責，或者成立了包括高層領導的信息安全領導小組安全管理機構30檢查是否有機構成立的相關文件(不符合扣30分)√√√信息安全第一責任人應為單位高層領導安全管理10檢查本單位是否自行制定了文件(不符合本條扣10分)或者直接沿用上級單位下發的文件(僅符合本條得4分)√√√成立跨部門的信息安全工作協調機構來協調整體信息安全工作安全管理機構20檢查是否有機構成立的相關正式文件。(不符合扣20分)√√√信息安全領導機構和信息安全工作協調機構的職責安全管理機構10檢查是否有領導機構職責定義文件(不符合扣6分)檢查是否有工作協調機構職責定義文件(不符合扣4分)√√√專業信息管理部門應獲得高層授權開展日常的信息安全相關審核、審批工作安全管理10檢查信息管理部門是否有信息安全相關審核、審批權力(不符合扣6分)檢查是否有相關審核、審批記錄(不符合扣4分)√√應設置信息安全管理崗位，有專人負責信息安全整體工作的公司、協調和落實工作安全管理機構10檢查是否進行了有專人負責(不符合扣6分)檢查是否設置了信息安全管理崗位(不符合扣4分)√√√設立系統管理員、網絡管理員、安全管理員等崗位，并定義各個工作崗位的職責安全管理機構10檢查是否設立安全管理各個方面的負責人，設置了哪些工作崗位（如安全主管、安全管理各個方面的負責人、機房管理員、系統管理員、網絡管理員、安全員等重要崗位）(不符合扣6分)檢查是否明確各個崗位的職責分工(不符合扣4分)√√√人員配備配備一定數量的系統管理員、網絡管理員、安全管理員等安全管理機構10檢查各個安全管理崗位人員（按照崗位職責文件詢問，包括機房管理員、系統管理員、數據庫管理員、網絡管理員、安全員等重要崗位人員）配備情況，包括數量、專職還是兼職等(不符合扣10分)√√√安排了專職信息安全管理員安全管理機構10檢查是否安全管理員沒有兼任網絡管理員、系統管理員、數據庫管理員；(不符合扣4分)√√√實行主、副崗備用制度安全管理機構10查看是否所有崗位都指定了主、副負責人員(不符合扣10分)√授權和審批根據各個部門和崗位的職責明確授權審批事項、審批部門和批準人等；安全管理機構10檢查職責文件中是否包含需審批事項列表(不符合扣6分)檢查審批事項列表是否明確審批事項、審批部門、批準人及審批程序等(不符合扣4分)√√針對系統變更、重要操作、物理訪問和系統接入等事項批實行工作票、操作票制度，建立審批程序，按照審批程序執行審批過程，對重要活動建立逐級審批制度；安全管理機構10檢查是否針對系統變更、重要操作、物理訪問和系統接入等重要事項建立審批程序文件；(不符合扣6分)檢查關鍵活動的工作票、操作票記錄，并查看記錄的審批程序與文件要求是否一致(不符合扣4分)√√定期審查審批事項，及時更新需授權和審批的項目、審批部門和審批人等信息；安全管理機構10檢查制度文件是否說明應定期審查、更新需審批的項目和審查周期等(不符合扣6分)檢查審查記錄，查看記錄日期是否與審查周期一致(不符合扣4分)√√記錄審批過程并保存審批文檔。安全管理機構10檢查是否保存至少三個月的工作票、操作票的審批記錄；√√√溝通和合作加強各類管理人員之間、組織內部機構之間以及信息安全職能部門內部的合作與溝通，定期或不定期召開協調會議，共同協作處理信息安全問題安全管理機構10檢查是否召開過部門間協調會議，組織其它部門人員共同協助處理信息系統安全有關問題(不符合扣4分)檢查安全管理機構內部是否召開過安全工作會議部署安全工作的實施，參加會議的部門和人員有哪些，會議結果如何；(不符合扣3分)檢查信息安全領導小組或者安全管理委員會是否定期召開例會(不符合扣3分)√√√與外部信息安全專業機構或專家溝通順暢，在需要時能及時獲得外部信息安全機構或專家的建議和技術支持安全管理機構10檢查是否建立了經常聯系的專業機構，是否包含公安機關、電信公司、兄弟單位、供應商、業界專家、專業的安全公司、安全組織等(不符合扣6分)專業機構能夠及時提供技術支持(不符合扣4分)√√√建立外聯單位聯系列表，包括外聯單位名稱、合作內容、聯系人和聯系方式等信息安全管理機構10檢查外聯單位說明文檔，是否說明外聯單位的聯系人和聯系方式等內容(不符合扣10分)√聘請信息安全專家作為常年的安全顧問，指導信息安全建設，參與安全規劃和安全評審等安全管理機構10檢查是否具有安全顧問名單或者聘請安全顧問的證明文件(不符合扣6分)檢查由安全顧問指導信息安全建設、參與安全規劃和安全評審的相關文檔或記錄，是否具有由安全顧問簽字的相關建議(不符合扣4分)√√√審核和檢查安全管理員負責定期進行安全檢查，檢查內容包括系統日常運行、系統漏洞和數據備份等情況；安全管理機構10檢查是否定期對信息系統進行安全檢查(不符合扣4分)檢查是否定期分析、評審異常行為的審計記錄(不符合扣3分)檢查安全檢查報告，查看報告日期與檢查周期是否一致(不符合扣3分)√√√由內部人員或上級單位定期進行全面安全檢查，檢查內容包括現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等；安全管理機構10檢查是否要求內部人員或上級單位定期對信息系統進行全面安全檢查(不符合扣4分)檢查內容是否包括現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等(不符合扣3分)檢查安全檢查報告，查看報告日期與檢查周期是否一致(不符合扣3分)√√√制定安全檢查表格實施安全檢查，匯總安全檢查數據，形成安全檢查報告，并對安全檢查結果進行通報；安全管理機構10檢查是否具有安全檢查表格(不符合扣4分)檢查安全檢查報告，查看報告日期與檢查周期是否一致，報告中是否有檢查內容、檢查人員、檢查數據匯總表、檢查結果等的描述(不符合扣6分)√√√制定安全審核和安全檢查制度規范安全審核和安全檢查工作，定期按照程序進行安全審核和安全檢查活動安全管理機構10檢查是否具有安全審核和安全檢查制度(不符合扣6分)檢查安全審核和安全檢查過程記錄(不符合扣4分)√√√人員安全管理（小計：100分）檢查項目檢查內容等級保護標準分值評分標準實際得分CIA人員錄用對單位的新錄用人員要簽署保密協議人員安全管理10檢查是否有相關管理要求(不符合扣4分)檢查是否有簽署的保密協議文件(不符合扣6分)√指定或授權專門的部門或人員負責人員錄用人員安全管理10檢查是否有專門部門或人員負責人員錄用(不符合扣10分)√√嚴格規范人員錄用過程，對被錄用人的身份、背景、專業資格和資質等進行審查，對其所具有的技術技能進行考核人員安全管理10檢查人員錄用時是否對被錄用人的身份、背景、專業資格和資質進行審查，對技術人員的技術技能進行考核(不符合扣10分)√√從內部人員中選拔從事關鍵崗位的人員，并簽署崗位安全協議人員安全管理10檢查對從事關鍵崗位的人員是否從內部人員中選拔，是否要求其簽署崗位安全協議(不符合扣10分)√人員離崗對即將離崗的員工立即終止其在信息系統中的所有訪問權限人員安全管理10查看員工離崗流程中是否有相關要求(不符合扣4分)檢查是否有終止訪問權限的表單(不符合扣6分)√取回離崗人員的各種身份證件、鑰匙、徽章等以及單位提供的軟硬件設備人員安全管理10查看員工離崗流程中是否有相關要求(不符合扣4分)檢查是否有設備、證件等上繳表單記錄(無記錄扣6分)√√離崗人員由人事部門辦理調離手續，并由離崗人員書面承諾調離后的保密義務人員安全管理10查看員工離崗流程中是否有相關要求(不符合扣4分)檢查是否有簽署的離崗保密承諾文件(無記錄扣6分)√第三方人員管理要求第三方人員在訪問前與公司簽署安全責任合同書或保密協議安全管理10查看是否有對第三方訪問進行管理的規定(不符合扣4分)檢查是否有書面保證文件(不符合扣6分)√對第三方人員訪問重要區域以書面形式批準，并由專人全程陪同或監督，記錄備案人員安全管理10檢查是否有審批記錄或監督記錄(不符合扣10分)√√√對第三方人員允許訪問的區域、系統、設備、信息等內容進行書面的規定，并按照規定執行人員安全管理10檢查是否有文件進行了規定(不符合扣10分)√√√信息安全制度文件管理（小計：230）檢查項目檢查內容等級保護標準分值評分標準實際得分CIA信息安全策略體系建立信息安全策略體系，明確本單位需要的信息安全制度內容安全管理制度20檢查是否有描述信息安全策略體系的相關文件或定義信息安全管理制度的文件內容(不符合扣20分)√√√對安全管理活動中的各類管理內容建立安全管理制度安全管理制度10檢查安全管理制度清單中是否覆蓋物理、網絡、主機系統、數據、應用和管理等層面(不符合扣10分)√√√對要求管理人員或操作人員執行的日常管理操作建立操作規程；安全管理制度10檢查是否具有重要管理操作的操作規程，如系統維護手冊和用戶操作規程等(不符合扣10分)√√√形成由安全策略、管理制度、操作規程等構成的全面的信息安全管理制度體系安全管理制度10檢查安全制度體系是否由安全政策、安全策略、管理制度、操作規程等構成(不符合扣10分)√√√信息安全制度管理定期對信息安全管理制度進行審核、修訂、更新、廢除過時的管理制度，制定、發布、宣貫新的管理要求安全管理制度10檢查是否有制度管理文件(不符合扣10分)檢查制度管理文件內容是否明確了制度審核的周期（沒有扣6分）√√√指定或授權專門的部門或人員負責安全管理制度的制定；安全管理制度10安全管理制度是否在信息安全領導小組或委員會的總體負責下統一制定(不符合扣10分)√√√安全管理制度具有統一的格式，并進行版本控制；安全管理制度10檢查安全管理制度文檔，查看是否注明適用和發布范圍，是否有版本標識，是否有密級標注，是否有管理層的簽字或蓋章；(不符合扣6分)檢查各項制度文檔格式是否統一(不符合扣4分)√√√組織相關人員對制定的安全管理制度進行論證和審定；安全管理制度10檢查安全管理制度的制定程序，檢查是否對制定的安全管理制度進行論證和審定，論證和評審方式如何（如召開評審會、函審、內部審核等）(不符合扣10分)檢查管理制度評審記錄，查看是否有相關人員的評審意見(不符合扣5分)√√√信息安全工作的總體方針和安全策略得到管理者的正式批準和授權；安全管理制度10檢查信息安全總體方案和安全策略文檔中是否標明得到管理者的正式批準和授權(不符合扣10分)√√√安全管理制度通過正式、有效的方式發布；安全管理制度10檢查是否有安全管理制度的發布程序(不符合扣10分)√√√安全管理制度注明發布范圍，并對收發文進行登記。安全管理制度10檢查安全管理制度的收發登記記錄(不符合扣10分)檢查收發是否符合規定程序和發布范圍要求(不符合扣5分)√√√信息安全制度審核信息安全領導小組負責定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定，并進行信息安全制度的修訂、更新和廢除。安全管理制度10檢查信息安全領導小組職責中是否明確要求定期組織相關部門和人員對安全管理制度進行評審(不符合扣5分)檢查制度修訂、更新和廢除的相關工作記錄或證明(不符合扣3分)現有管理制度是否有明顯過時或已經不適用的內容(有則扣2分)√√√建立相關機制，確保定期對安全管理制度體系進行檢查和審定，對存在不足或需要改進的體系制度和流程進行修訂。安全管理制度10檢查是否具有所有安全管理制度對應相應負責人或者負責部門的清單，清單是否注明評審周期(不符合扣5分)檢查對安全管理制度進行審定的記錄(不符合扣5分)√√√信息安全管理制度機房管理制度，包括機房環境管理、機房進出管理、機房內工作管理等內容系統運維管理8檢查機房管理相關制度文件，缺少一項內容扣2分√√√U盤、光盤使用管理制度系統運維管理6缺U盤使用管理制度，扣除4分，缺光盤使用管理制度，扣除2分√主機設備安全管理制度系統運維管理8檢查是否有相關管理制度(不符合扣8分)√√√網絡設施安全管理制度系統運維管理8檢查是否有相關管理制度(不符合扣8分)√√√物理設施分類標記管理制度系統運維管理6檢查是否有相關管理制度(不符合扣8分)√√√安全配置管理制度、系統分發和操作規章制度、系統文檔安全管理制度、測試和評估制度、系統信息安全備份制度系統運維管理10缺少一項管理內容,扣除2分√√√網絡連接檢查評估制度、網絡使用授權制度、網絡檢測制度、網絡設施（設備和協議）變更控制制度等系統運維管理8缺少一項管理內容,扣除2分√√應用系統上線前測評制度、應用系統上線后安全評估制度、應用系統使用授權制度、應用系統配置管理制度、應用系統文檔管理制度等系統建設管理10缺少一項管理內容,扣除2分√√√人員安全管理制度、安全意識和安全技術教育制度、操作安全管理制度、操作系統和數據庫管理制度、系統運行記錄編寫制度、病毒防護管理制度、網絡互聯安全管理制度、安全審計管理制度、安全事件報告制度、事故處理制度、應急管理制度和災難恢復管理制度等安全管理18缺少一項管理內容,扣除2分，扣完為止√√√信息分類標記制度、涉密信息安全管理制度、技術文檔管理制度、存儲介質管理制度、信息披露與發布審批管理制度等系統運維管理8缺少一項管理內容,扣除2分，扣完為止√√√信息化建設中的安全管理（小計：520分）檢查項目檢查內容等級保護標準分值評分標準實際得分CIA規劃設計階段的信息安全管理信息系統規劃過程中進行明確的信息安全需求分析系統建設管理20抽取1～2個新建成系統，查看規劃階段形成的文件：是否有管理要求明確系統建設規劃階段必須進行信息安全需求分析(不符合扣10分)是否對建成后的系統運行環境進行了安全需求分析(不符合扣5分)是否對業務應用本身進行了安全需求分析(不符合扣5分)√√√在新系統建設或已有系統改造方案中，包括安全要求系統建設管理20查看是否有管理要求對系統開發/采購過程提出明確的信息安全要求，沒有明確要求扣10分抽查2個新系統的建設方案，沒有提出明確安全要求，每個系統扣5分√√√信息系統設計方案中對軟件安全功能進行了設計系統建設管理20檢查信息系統設計方案中的安全功能設計是否與提出的安全需求向符(不符合扣6分)√√√軟件開發過程中實現設計方案中提出的安全功能系統建設管理20抽查1個已建系統是否實現了設計方案中提出的安全功能，無相關實現的，則該項不得分。實現部分的，則扣10分√系統開發的安全管理驗證應用系統輸入的數據、驗證不同類型輸入的出錯消息、響應驗證錯誤的流程、定義所有數據輸入過程中所涉及人員的職責等安全管理20抽取一個新建或在建系統的設計、開發文檔，查看管理/技術要求中對系統安全性的規定，無相關要求的，該項不得分。抽查系統測試記錄，若內容中無相關測試驗證結果說明扣10分√確保對程序資源庫的修改、更新、發布進行授權和批準系統建設管理10查看管理要求中的相關規定，無相關要求的，該項不得分。抽查授權和批準記錄，不能提供的該項不得分√√√制定代碼編寫安全規范，要求開發人員參照規范編寫代碼系統建設管理10檢查是否制定了代碼編寫規范(不符合該項不得分)抽查了解開發人員是否按規范編寫代碼(不符合扣6分)√√√確保提供軟件設計的相關文檔和使用指南，并由專人負責保管系統建設管理10檢查是否具有需求分析說明書、軟件設計說明書和軟件操作手冊等開發文檔(不符合扣5分)檢查文檔是否由專人負責保管(不符合扣5分)√√√外包軟件開發:根據開發需求檢測軟件質量系統建設管理10檢查是否要求外包軟件開發商檢測軟件質量(不符合扣5分)檢查是否保存軟件質量測試報告(不符合扣5分)√√外包軟件開發:要求開發單位提供軟件源代碼，并審查軟件中可能存在的后門系統建設管理10檢查是否要求開發單位提供軟件源代碼(不符合扣5分)檢查是否審查軟件中可能存在的后門，抽查相關記錄(不符合扣5分)√√軟件開發外包：在與軟件開發單位簽訂的協議中，明確知識產權的歸屬和安全方面的要求安全管理10查看管理要求中的相關規定，無相關要求的，該項不得分。抽查文檔記錄，若缺少相關文檔,則該項不得分√√軟件開發外包：在軟件安裝之前檢測軟件包中可能存在的惡意代碼，并保留完整的測試記錄系統建設管理10查看管理/技術要求中的相關規定，無相關要求的，該項不得分。抽查測試記錄,沒有則該項為0分√軟件開發外包：要求開發單位提供軟件設計的相關文檔和使用指南系統建設管理10查看管理要求中的相關規定，無相關要求的，該項不得分。抽查測試記錄,沒有則該項不得分√自行軟件開發：確保開發環境與實際運行環境物理分開，開發人員和測試人員分離，測試數據和測試結果受到控制系統建設管理10查看是否有管理制度予以要求(不符合扣5分)檢查開發和測試人員是否分離(不符合扣3分)是否保留測試數據和測試結果并由專人保管(不符合扣2分)√√√自行開發：制定開發方面的管理制度，以明確說明開發過程的控制方法和人員行為準則系統建設管理10若無相關制度，則該項為0分√√√系統集成與采購中的安全管理對廠商交付的主機操作系統、數據庫系統等進行了配置安全加固審核、操作系統安全補丁安裝情況審核安全管理10查看管理要求中的相關規定是否有主機操作系統安全加固方面相關規定(不符合扣5分)是否有數據庫系統安全加固方面相關規定(不符合扣5分)√√√確保密碼產品采購和使用符合國家密碼主管部門的要求系統建設管理10檢查系統是否采用了密碼產品(不符合扣5分)密碼產品的使用是否符合國家密碼主管部門的要求(不符合扣5分)√√√指定或授權專門的部門負責產品的采購系統建設管理10查看管理要求中的相關規定，是否指定或授權專門的部門負責產品的采購(不符合扣10分)√√√預先對產品進行選型測試，確定產品的候選范圍，并定期審定和更新候選產品名單系統建設管理10檢查管理要求中的相關規定，是否要求預先對產品進行選型測試(不符合扣5分)檢查是否存在候選產品名單，是否定期審定并更新(不符合扣5分)√√√應有機制確保采購和集成中的安全設備都通過了國家、公司相關機構的測評、認證系統建設管理10查看產品采購管理制度中是否有相關規定。(不符合扣10分)√√√要求廠家針對其提供的系統或設備提供信息安全方面的技術服務安全管理10查看產品采購管理制度中是否有相關規定。(不符合扣10分)√√√工程實施指定或授權專門的部門或人員負責工程實施過程的管理；系統建設管理10檢查是否指定專門人員或部門按照工程實施方案的要求對工程實施過程進行進度和質量控制(不符合扣10分)√√√制定詳細的工程實施方案控制實施過程，并要求工程實施單位能正式地執行安全工程過程；系統建設管理10檢查是否制定工程實施方案(沒有該項不得分)查看其內容是否覆蓋工程時間限制、進度控制和質量控制等方面內容(不符合扣5分)√√√制定工程實施方面的管理制度，明確說明實施過程的控制方法和人員行為準則系統建設管理10檢查工程實施管理制度，查看其是否規定工程實施過程的控制方法（如內部階段性控制或外部監理單位控制）、實施參與人員的各種行為等方面內容(不符合扣10分)√√測試驗收委托公正的第三方測試單位對系統進行安全性測試，并出具安全性測試報告；系統建設管理10檢查在信息系統正式運行前，是否委托第三方測試機構根據設計方案或合同要求對信息系統進行獨立的安全性測試抽查系統安全性測試報告(不符合扣10分)√√√在測試驗收前根據設計方案或合同要求等制訂測試驗收方案，在測試驗收過程中詳細記錄測試驗收結果，并形成測試驗收報告；系統建設管理10檢查是否在在測試驗收前根據設計方案或合同要求等制訂測試驗收方案；(不符合扣4分)查看測試記錄是否詳細記錄了測試時間、人員、操作過程、測試結果等方面內容，是否提出存在問題及改進意見等(不符合扣3分)檢查是否形成測試驗收報告(不符合扣3分)√√√對系統測試驗收的控制方法和人員行為準則進行書面規定；系統建設管理10檢查驗收測試管理制度是否對系統驗收測試的過程控制、參與人員的行為等進行規定(不符合扣10分)√√指定或授權專門的部門負責系統測試驗收的管理，并按照管理規定的要求完成系統測試驗收工作；系統建設管理10檢查是否指定專門部門負責測試驗收工作(不符合扣5分)檢查是否對測試過程（包括測試前、測試中和測試后）進行文檔化要求和制度化要求(不符合扣5分)√√√組織相關部門和相關人員對系統測試驗收報告進行審定，并簽字確認。系統建設管理10檢查是否根據設計方案或合同要求組織相關部門和人員對測試報告進行符合性審定，并簽字確認(不符合扣10分)√√系統交付制定詳細的系統交付清單，并根據交付清單對所交接的設備、軟件和文檔等進行清點；系統建設管理10檢查系統交付清單，查看其是否具有系統建設文檔（如系統建設方案）、指導用戶進行系統運維的文檔（如服務器操作規程書）以及系統培訓手冊等文檔名稱(不符合扣10分)√√對負責系統運行維護的技術人員進行相應的技能培訓；系統建設管理10檢查信息系統建設實施方是否對運維技術人員進行過培訓(不符合扣4分)檢查是否以書面形式承諾對系統運行維護提供一定的技術支持服務(不符合扣2分)檢查是否按照服務承諾書的要求進行過技術支持(不符合扣2分)檢查培訓記錄(不符合扣2分)√√√確保提供系統建設過程中的文檔和指導用戶進行系統運行維護的文檔；系統建設管理10檢查系統是否具有建設過程中的文檔(不符合扣5分)檢查系統是否具有支持其獨立運行維護所需的文檔(不符合扣5分)√√√對系統交付的控制方法和人員行為準則進行書面規定；系統建設管理10檢查系統交付管理制度，查看其是否規定了交付過程的控制方法和對交付參與人員的行為限制等方面內容(不符合扣10分)√√√指定或授權專門的部門負責系統交付的管理工作，并按照管理規定的要求完成系統交付工作。系統建設管理10檢查系統交付的管理工作是否由專門部門負責(不符合扣5分)抽查系統交付相關記錄，查看是否按照管理規定要求完成交付工作(不符合扣5分)√√√密碼技術應用控制確定數據的敏感程度和所需的保護級別安全管理10若沒有相關策略,則該項為0分√√√使用數字簽名保護電子文檔的真實性和完整性安全管理10查看管理方法中的相關規定，無相關要求的，該項不得分。若確定了保護等級,但缺少加密技術保護數據,則該項為10分;若未確定保護等級,則該項為0分√√使用不可否認服務安全管理10若未使用,則該項為0分√√√新設備和新系統的接入管理新系統、新設備接入網絡運行的審核、審批管理制度系統運維管理16查看管理要求中的相關規定，無相關要求的，則該項不得分√√√不經過信息安全審核的系統不能接入單位網絡運行安全管理16查看管理要求中的相關規定，無相關要求的，則該項不得分√√√新建系統或新采購設備接入單位網絡時應經過信息安全的審批安全管理16查看管理要求中的相關規定，無相關要求的，則該項不得分√√√信息安全監理制定信息安全監理管理相關規定安全管理10查看管理要求中的相關規定，無相關要求的，則該項不得分√√√重大系統建設應引入第三方信息安全監理機制，確保系統建設過程中各環節的安全性安全管理6查看管理要求中的相關規定，無相關要求的，則該項不得分√√√對監理方的意見應給予充分的考慮安全管理6檢查相關會議記錄、問題答復(不符合扣6分)√√√安全服務商選擇確保安全服務商的選擇符合國家的有關規定；系統建設管理10檢查安全服務商的選擇符合國家的相關規定(不符合扣10分)√√√與選定的安全服務商簽訂與安全相關的協議，明確約定相關責任；系統建設管理10檢查與選定的安全服務商是否簽訂與安全相關的協議(不符合扣5分)檢查協議內容是否約定相關安全責任(不符合扣5分)√√√確保選定的安全服務商提供技術培訓和服務承諾，必要的與其簽訂服務合同。系統建設管理10檢查選定的安全服務商是否提供技術培訓和服務承諾；(不符合扣5分)檢查是否與長期提供服務、或關鍵系統的安全服務商簽訂服務合同(不符合扣5分)√√√信息安全等級保護（小計：220分）檢查項目檢查內容等級保護標準分值評分標準實際得分CIA等級保護定級按照公司信息系統統一定級情況對本單位信息系統定級進行核實系統建設管理10查看是否有定級情況核實工作的記錄(不符合扣10分)√√√對不屬于公司統一定級范疇的信息系統自行開展定級工作安全管理10查看是否有定級文件(不符合扣10分)√√√明確信息系統的邊界和安全保護等級系統建設管理10檢查信息系統是否明確邊界和安全保護等級(不符合扣10分)√√√以書面的形式說明確定信息系統為某個安全保護等級的方法和理由系統建設管理10檢查信息系統定級文檔是否說明信息系統定級的方法和理由(不符合扣10分)√√√組織相關部門和有關安全技術專家對信息系統定級結果的合理性和正確性進行論證和審定系統建設管理10檢查是否組織相關部門和有關安全技術專家對信息系統定級結果的合理性和正確性進行論證和審定(不符合扣5分)抽查部分信息系統的定級論證和審定記錄或報告(不符合扣5分)√√√確保信息系統的定級結果經過相關部門的批準系統建設管理10檢查信息系統定級報告是否經過相關部門的批準記錄（授權部門的批準文件、蓋章或簽字）(不符合扣10分)√√信息系統定級情況對各業務部門進行通報安全管理10查看是否有對各業務部門進行定級情況通報的文件(不符合扣10分)√√√等級防護工作根據各業務系統的定級進行安全域的劃分安全管理20查看是否根據業務系統的信息安全等級進行了安全域的劃分(不符合扣20分)√√√針對不同等級信息系統制定等級保護方案系統建設管理20查看是否制定了等級保護方案(沒有該項不得分)查看等級保護方案是否統一考慮安全保障體系的總體安全策略、安全技術框架、安全管理策略、總體建設規劃和詳細設計方案(不符合扣10分)√√√根據系統的安全保護等級選擇基本安全措施，并依據風險分析的結果補充和調整安全措施系統建設管理10檢查是否制定定級系統的基本安全措施(不符合扣5分)檢查是否要求定期開展風險分析，并根據結果對安全措施進行補充或調整。(不符合扣5分)√√√指定和授權專門的部門對信息系統的安全建設進行總體規劃，制定近期和遠期的安全建設工作計劃系統建設管理10檢查是否指定和授權專門的部門對信息系統安全建設進行安全總體規劃；(不符合扣5分)檢查是否制定近期和遠期的安全建設工作計劃(不符合扣5分)√√√組織相關部門和有關安全技術專家對等級保護方案的合理性和正確性進行論證和審定，并且經過批準后，才能正式實施；系統建設管理10檢查是否組織相關部門和有關安全技術專家對信息系統等級保護方案的合理性和正確性進行論證和審定(不符合扣5分)檢查信息系統等級保護方案是否有相關部門的批準才能正式實施(不符合扣5分)√√√根據等級測評、安全評估的結果定期調整和修訂等級保護方案。系統建設管理10檢查是否開展等級測評或安全評估，并根據結果定期調整和修訂等級保護方案(不符合扣10分)√√√系統備案指定專門的部門或人員負責管理系統定級的相關材料，并控制這些材料的使用；系統建設管理10檢查是否有專門的人員或部門負責管理系統定級報告的相關文檔，并嚴格控制相關文檔的使用(不符合扣10分)√√√將系統等級及相關材料報系統主管部門備案；系統建設管理10檢查是否系統主管部門是否保留系統定級備案材料(不符合扣10分)√√將系統等級及其他要求的備案材料報相應公安機關備案系統建設管理10檢查是否將備案材料上報相應的公安機關，并保存備案的記錄或證明(不符合扣10分)√√等級測評在系統運行過程中，至少每年對系統進行一次等級測評，發現不符合相應等級保護標準要求的及時整改；系統建設管理10檢查信息系統是否有等級保護測評報告(沒有該項不得分)檢查等級保護測評報告的時間，是否每年至少進行一次(不符合扣5分)抽查等級保護測評報告中的不符合項是否有整改計劃和實施記錄(不符合扣5分)√√√在系統發生變更時及時對系統進行等級測評，發現級別發生變化的及時調整級別并進行安全改造，發現不符合相應等級保護標準要求的及時整改；系統建設管理10檢查管理要求中的相關規定，是否明確系統發生變更時要進行等級保護測評；(沒有該項不得分)抽查發生變更的系統是否有等級測評報告(不符合扣5分)等級保護測評報告中的不符合項是否有整改計劃和實施記錄(不符合扣5分)√√√選擇具有相關技術資質和安全資質的測評單位進行等級測評；系統建設管理10檢查管理要求中的相關規定，是否明確要求選擇具有相關技術資質和安全資質的測評單位進行等級測評(沒有該項不得分)抽查等級保護測評報告，查看測評單位是否符合相關要求(不符合扣5分)√√√指定或授權專門的部門或人員負責等級測評的管理系統建設管理10檢查管理要求中的相關規定，是否明確指定或授權專門的部門或人員負責等級測評的管理(不符合扣10分)√√√信息安全評估管理（小計：80分）檢查項目檢查內容等級保護標準分值評分標準實際得分CIA信息安全評估、評測管理制定評估、評測管理辦法安全管理20查看評估、評測管理相關文件(不符合扣20分)確定管理辦法文件經過高層審批并頒發(不符合扣16分)√√√評估管理辦法中應對規劃、設計階段的信息系統提出安全性評估要求安全管理10查看評估管理規定是否有相關要求(不符合扣10分)√√√新系統上線必須通過運行環境安全性評估、系統軟件安全性評測安全管理20查看評測管理相關文件是否有相關內容(不符合扣10分)抽查1～2個系統，查看是否進行了相關安全評估和評測工作(不符合扣10分)√√√管理信息系統定期開展信息安全風險評估工作安全管理20查看是否有定期對管理信息系統風險評估的記錄或報告(不符合扣20分)√√√系統更新或設備報廢時，對廢棄系統和設備中殘留數據執行評估和銷毀程序系統運維管理10查看是否有系統更新或設備報廢的數據清除或銷毀記錄(不符合扣10分)√√√信息安全的宣傳與培訓（小計：80分）檢查項目檢查內容等級保護標準分值評分標準實際得分CIA信息安全宣傳協調政工等部門進行信息安全宣傳工作人員安全管理10查看是否有信息安全相關宣傳工作的記錄(不符合扣10分)√√√對外來工作人員進行本單位信息安全政策的宣傳和提示人員安全管理10查看是否有對外來工作人員進行本單位信息安全政策和管理要求進行提示或宣傳的證明(不符合扣10分)√√√信息安全培訓對公司單位相關人員進行信息安全普及性培訓與宣傳工作人員安全管理10查看是否有信息安全普及性培訓的工作記錄(不符合扣10分)√對定期安全教育和培訓進行書面規定，制定專業人員的信息安全培訓計劃、并進行專業的信息安全培訓（包括信息安全基礎知識、崗位操作規程等）人員安全管理20查看是否有對專業人員進行信息安全培訓的管理要求(不符合，該項不得分)檢查安全教育和培訓計劃文檔，查看是否具有不同崗位的培訓計劃(不符合扣10分)檢查計劃是否明確了培訓目的、培訓方式、培訓對象、培訓內容、培訓時間和地點等(不符合扣5分)檢查培訓內容是否包含信息安全基礎知識、崗位操作規程等(不符合扣5分)√各單位信息化管理、運行等部門負責人、信息安全管理員、系統管理員、數據庫管理員、網絡管理員等在上崗前應經過網絡與信息安全培訓人員安全管理10查看是否有相關管理規定(不符合扣5分)查看有是否進行過崗前培訓的證明(不符合扣5分)√對安全責任和懲戒措施進行書面規定并告知相關人員，對違反違背安全策略和規定的人員進行懲戒；人員安全管理10考查安全員、系統管理員、網絡管理員和數據庫管理員其對工作相關的信息安全基礎知識、安全責任和懲戒措施等的理解程度(不符合扣10分)√√√對安全教育和培訓的情況和結果進行記錄并歸檔保存。人員安全管理10檢查是否具有安全教育和培訓記錄(不符合，該項不得分)檢查記錄是否有培訓人員、培訓內容、培訓結果等的描述(不符合扣5分)檢查記錄與培訓計劃是否一致(不符合扣5分)√√信息安全監督與考核（小計：90分）檢查項目檢查內容等級保護標準分值評分標準實際得分CIA信息安全監督建立信息安全監督機制，對所轄單位信息安全工作情況進行定期評價安全管理機構14查看是否有信息安全監督的文檔(不符合扣7分)查看是否有監督的記錄(不符合扣7分)√√√建立信息安全檢查機制，確保在春秋安全大檢查中對信息安全情況進行檢查安全管理機構10查看是否有管理制度規定將信息安全納入春秋安全大檢查的工作中(不符合扣4分)檢查當年的春檢或秋檢中是否進行了信息安全方面的檢查工作(不符合扣6分)√√√落實公司同業對標工作安全管理10檢查是否落實了公司同業對標工作(不符合扣10分)√√√信息安全考核建立信息安全考核辦法，根據各單位信息安全狀況、信息安全工作執行情況進行考核安全管理10檢查信息安全考核相關管理規定中是否對信息安全狀況、工作執行情況等提出了具體的考核辦法(不符合扣10分)√√√將網絡與信息安全防護工作的表現納入員工的崗位責任制安全管理10查看相關崗位職責文件(不符合扣10分)√√√信息安全考核制度中明確了獎、懲辦法安全管理6查看信息安全考核相關管理規定中是否有明確了獎懲辦法(不符合扣6分)√√√定期對各個崗位的人員進行安全技能及安全認知的考核人員安全管理10檢查是否有人負責定期對各個崗位人員進行安全技能及安全知識的考核(不符合扣10分)√√√對關鍵崗位的人員進行全面、嚴格的安全審查和技能考核人員安全管理10檢查近年的考核記錄(不符合扣10分)檢查記錄的考核人員是否包括各個崗位的人員(不符合扣5分)檢查考核內容是否包含安全知識、安全技能等(不符合扣3分)檢查記錄日期與考核周期是否一致(不符合扣2分)√√√對考核結果進行記錄并保存人員安全管理10檢查是否對考核結果進行記錄(不符合扣10分)考核記錄至少保存五年(不符合扣5分)√√符合性管理（小計：100分）檢查項目檢查內容等級保護標準分值評分標準實際得分CIA法律符合性在信息系統相關的合同條文中明確適用的法律、法規條文安全管理10抽查1～2個信息系統建設合同文本，檢查是否包含了相關法律、法規責任(不符合扣10分)√√√所有信息系統相關的合同應經過法律事務部門的審核安全管理10抽查1～2個信息系統建設合同文本，檢查是否經過法律事務部門的審核(不符合扣10分)√√√制定系統運行管理技術人員不得利用職權侵犯他人隱私的管理規定安全管理10檢查是否有相關管理內容(不符合扣10分)√√√知識產權保護制定或沿用上級單位知識產權管理的制度安全管理10檢查是否有明確的知識產權相關管理制度(不符合扣10分)√√√在所有軟件開發合同、協議中明確知識產權的歸屬安全管理20抽查相關合同、協議文件，查看知識產權保護的內容(不符合扣20分)√√√確保軟件知識產權證書、文檔、手冊、源代碼及可執行程序都已提交相關管理部門安全管理10抽查1～2個信息系統建設的歸檔文件，查看相關內容、記錄是否齊全(一項缺失扣5分)√√√在集成、開發、采購合同中向乙方提出確保系統來源合法，提交相應產權證明材料的要求安全管理20抽查1～2個信息系統集成或采購合同文本，查看是否有相關的要求(不符合扣10分)√√√制定限制內部員工在單位設備上私自使用、安裝盜版軟件的管理內容安全管理10查看是否有相關管理內容(不符合扣10分)√√√信息安全運行維護評估（總計：1400分）信息系統運行管理（小計：455分）檢查項目檢查內容等級保護標準分值評分標準實際得分CIA運行管理根據公司總部頒發的信息系統運行管理規程制訂本單位的運行管理規程安全管理20檢查是否有運行管理規程(沒有扣20分)√√√機房出入管理制度張貼于恰當的位置安全管理15檢查相關制度是否張貼于機房墻壁上(沒有扣15分)√√√近3個月的機房進出情況安全管理20檢查近三個月機房的進出記錄(沒有扣20分)√√√運行值班制度中應規定普通情況下5＊8小時、關鍵時期7＊24小時的現場值班內容安全管理20檢查是否有相關的值班要求(沒有扣20分)√√√對值班人員的值班計劃進行安排，近3個月值班記錄內容安全管理15檢查近三個月的值班安排和記錄表(沒有扣15分)√√√監控管理和安全管理中心對通信線路、主機、網絡設備和應用軟件的運行狀況、網絡流量、用戶行為等進行監測和報警，形成記錄并妥善保存；系統運維管理15檢查相關管理制度中是否明確要求對通信線路、主機、網絡設備和應用軟件進行監測和報警(沒有扣10分)檢查近三個月的監測記錄(沒有扣5分)√√組織相關人員定期對監測和報警記錄進行分析、評審，發現可疑行為，形成分析報告，并采取必要的應對措施；系統運維管理20檢查是否明確相關人員定期對監測和報警記錄進行分析、評審(沒有扣10分)檢查分析報告和應對措施記錄(沒有扣10分)√√√建立安全管理中心，對設備狀態、惡意代碼、補丁升級、安全審計等安全相關事項進行集中管理。系統運維管理15檢查是否建立安全管理中心，對安全相關事項進行集中管理(沒有扣15分)√√√網絡安全管理指定專人對網絡進行管理，負責運行日志、網絡監控記錄的日常維護和報警信息分析和處理工作；系統運維管理20檢查是否指定專人對網絡進行管理(沒有扣10分)檢查網絡管理職責中是否明確要求其負責運行日志、網絡監控記錄的日常維護和報警信息分析和處理工作(沒有扣10分)√√√建立網絡安全管理制度，對網絡安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出規定；系統運維管理15檢查是否指定專人對網絡進行管理(沒有扣10分)檢查網絡管理職責中是否明確要求其負責運行日志、網絡監控記錄的日常維護和報警信息分析和處理工作(沒有扣5分)√√√根據廠家提供的軟件升級版本對網絡設備進行更新，并在更新前對現有的重要文件進行備份；系統運維管理15檢查網絡設備的軟件版本(不符合扣10分)檢查網絡設備軟件版本更新流程(不符合扣5分)√√定期對網絡系統進行漏洞掃描，對發現的網絡系統安全漏洞進行及時的修補；系統運維管理20檢查是否要求定期對網絡系統進行漏洞掃描(沒有扣10分)檢查漏洞掃描的修補或整改記錄(沒有扣10分)√√√實現設備的最小服務配置，并對配置文件進行定期離線備份；系統運維管理20抽查網絡設備是否按照最小服務原則進行配置(沒有扣10分)檢查網絡配置文件是否定期進行離線備份(沒有扣10分)√√保證所有與外部系統的連接均得到授權和批準；系統運維管理15檢查是否具有內部網絡所有外聯的授權批準書(沒有扣15分)√√√依據安全策略允許或者拒絕便攜式和移動式設備的網絡接入；系統運維管理20檢查是否按照安全策略對便攜或移動設備接入網絡進行嚴格控制(沒有扣20分)√√定期檢查違反規定撥號上網或其他違反網絡安全策略的行為系統運維管理20檢查管理要求中的相關規定中是否明確要求定期檢查違反規定撥號上網或其它違反網絡安全策略的行為(沒有扣20分)√√√系統安全管理定期進行漏洞掃描，對發現的系統安全漏洞及時進行修補；系統運維管理15檢查是否定期進行漏洞掃描(沒有扣10分)檢查漏洞掃描記錄和對發現漏洞的處理或整改記錄(沒有扣5分)√√√安裝系統的最新補丁程序，在安裝系統補丁前，首先在測試環境中測試通過，并對重要文件進行備份后，方可實施系統補丁程序的安裝；系統運維管理15檢查系統的安全補丁是否安裝到最新(沒有扣10分)檢查系統的安全補丁更新流程是否滿足相關要求(沒有扣5分)√√建立系統安全管理制度，對系統安全策略、安全配置、日志管理和日常操作流程等方面作出具體規定；系統運維管理15檢查是否將系統安全管理工作（包括系統安全配置、系統帳戶、審計日志等）制度化(沒有扣15分)√√√指定專人對系統進行管理，劃分系統管理員角色，明確各個角色的權限、責任和風險，權限設定應當遵循最小授權原則；系統運維管理20檢查是否指定專人負責系統安全管理(沒有扣10分)檢查是否根據系統管理員角色遵循最小授權原則進行權限劃分(沒有扣5分)對不常用的系統缺省用戶是否采取了一定的處理手段阻止其繼續使用(沒有扣5分)√√√依據操作手冊對系統進行維護，詳細記錄操作日志，包括重要的日常操作、運行維護記錄、參數的設置和修改等內容，嚴禁進行未經授權的操作；系統運維管理15檢查是否建立系統的操作手冊，并按操作手冊對系統進行維護(沒有扣5分)檢查操作日志，是否詳細記錄重要的日常操作、運行維護記錄、參數設備和修改等內容(沒有扣5分)核對系統日志，查看是否存在未經授權的操作記錄(沒有扣5分)√√√定期對運行日志和審計數據進行分析，以便及時發現異常行為系統運維管理15檢查是否定期對運行日志和審計數據進行分析(沒有扣10分)檢查分析報告，是否及時發現異常行為并查找原因，及時處理(沒有扣5分)√√√惡意代碼防范管理提高所有用戶的防病毒意識，及時告知防病毒軟件版本，在讀取移動存儲設備上的數據以及網絡上接收文件或郵件之前，先進行病毒檢查，對外來計算機或存儲設備接入網絡系統之前也應進行病毒檢查；系統運維管理15抽查用戶終端防病毒軟件的使用情況(沒有扣5分)檢查防病毒軟件的版本(沒有扣5分)檢查防病毒軟件設置的防護策略是否滿足要求(沒有扣5分)√√√指定專人對網絡和主機進行惡意代碼檢測并保存檢測記錄；系統運維管理15檢查是否設置專人進行網絡和主機的惡意代碼檢測工作(沒有扣10分)檢查是否保存最近三個月的檢測記錄(沒有扣5分)√√√對防惡意代碼軟件的授權使用、惡意代碼庫升級、定期匯報等作出明確規定；系統運維管理15檢查惡意代碼防范管理制度，查看其內容是否覆蓋防惡意代碼軟件的授權使用、惡意代碼庫升級、定期匯報等方面(沒有扣15分)√√√定期檢查信息系統內各種產品的惡意代碼庫的升級情況并進行記錄，對主機防病毒產品、防病毒網關和郵件防病毒網關上截獲的危險病毒或惡意代碼進行及時分析處理，并形成書面的報表和總結匯報系統運維管理15檢查是否具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告(沒有扣5分)查看升級記錄是否記錄升級時間、升級版本等內容(沒有扣5分)查看分析報告是否描述惡意代碼的特征、修補措施等內容(沒有扣5分)√√√密碼管理建立密碼使用管理制度，使用符合國家密碼管理規定的密碼技術和產品系統運維管理15檢查是否具有密碼使用管理制度(沒有扣15分)檢查密碼算法和密鑰的使用是否遵照國家密碼管理規定(沒有扣10分)（扣完15分為止）√√√資產分類管理（小計：70分）檢查項目檢查內容等級保護標準分值評分標準實際得分CIA資產分類與標識編制并保存與信息系統相關的資產清單，包括資產責任部門、重要程度和所處位置等內容系統運維管理20查看資產清單(沒有扣20分)√√√建立資產安全管理制度，規定信息系統資產管理的責任人員或責任部門，并規范資產管理和使用的行為系統運維管理20檢查資產安全管理制度，查看其內容是否覆蓋了資產使用、借用、維護等方面(沒有扣10分)檢查是否指定資產管理的責任人員或部門(沒有扣5分)檢查資產管理和使用行為是否規范(沒有扣5分)√√√根據資產的重要程度對資產進行標識管理，根據資產的價值選擇相應的管理措施系統運維管理15檢查是否對資產進行賦值和標識管理，不同類別的資產是否采取不同的管理措施(沒有扣15分)√√√對信息分類與標識方法作出規定，并對信息的使用、傳輸和存儲等進行規范化管理系統運維管理15檢查相關管理要求中是否明確對信息分類與標識方法進行規定(沒有扣10分)查看其是否規定了分類標識的原則和方法（如根據數據的重要程度、敏感程度或用途不同進行分類）(沒有扣5分)查看是否根據分類文檔所描述的信息種類規定不同信息的使用、傳輸、存儲等方面內容(沒有扣5分)√√√配置與變更管理（小計105分）檢查項目檢查內容等級保護標準分值評分標準實際得分CIA配置管理對信息系統的配置參數進行管理、建立系統、設備的配置參數定義文件庫（如：所有防火墻的規則配置文件）安全管理20檢查是否建立了配置文件庫(沒有扣20分)√√對各系統初始化軟硬件配置環境進行記錄和備份系統運維管理20檢查是否有初始化配置清單、或文件庫(沒有扣20分)√√變更管理對系統中發生的變更，應有流程對其進行確認并制定變更方案系統運維管理15檢查是否有變更審核流程(沒有扣10分)檢查近一年的變更方案(沒有扣5分)√√建立變更管理制度，系統發生變更前，向主管領導申請，變更和變更方案經過評審、審批后方可實施變更，并在實施后將變更情況向相關人員通告系統運維管理15檢查重要系統變更前是否根據申報和審批程序得到有關領導的批準(沒有扣5分)檢查發生的變更情況是否通知了所有相關人員(沒有扣5分)檢查系統變更方案是否經過評審(沒有扣5分)檢查系統變更方案是否對變更類型、變更原因、變更過程、變更前評估等方面進行規定(沒有扣5分)（扣完15分為止）√√建立變更控制的申報和審批文件化程序，對變更影響進行分析并文檔化，記錄變更實施過程，并妥善保存所有文檔和記錄系統運維管理20檢查變更控制的申報、審批程序，查看其是否規定需要申報的變更類型、申報流程、審批部門、批準人等方面內容(沒有扣10分)檢查是否有系統變更影響分析文檔(沒有扣5分)檢查近一年的系統變更實施記錄(沒有扣5分)√√建立中止變更并從失敗變更中恢復的文件化程序，明確過程控制方法和人員職責，必要時對恢復過程進行演練系統運維管理15檢查是否建立變更失敗恢復程序(沒有扣10分)查看是否變更失敗后的恢復流程是否滿足相關要求(沒有扣5分)√√業務連續性管理（小計：460分）檢查項目檢查內容等級保護標準分值評分標準實際得分CIA應急預案根據公司應急預案管理辦法制定相應的應急預案系統運維管理15查看是否有針對公司信息安全事件的應急預案(沒有扣15分)√√√從人力、設備、技術和財務等方面確保應急預案的執行有足夠的資源保障系統運維管理15檢查是否建立應急預案小組(沒有扣5分)查看是否具備應急設備并能正常工作(沒有扣5分)查看應急預案執行所需資金是否做過預算并能夠落實(沒有扣5分)√√√對系統相關的人員進行應急預案培訓，應急預案的培訓應至少每年舉辦一次系統運維管理15檢查是否具有應急預案培訓記錄(沒有扣10分)檢查培訓時間間隔是否小于一年(沒有扣5分)√√√制定針對重要系統的專項應急預案系統運維管理15查看是否針對所有重要系統都有應急預案(沒有扣15分)√√√定期對應急預案進行演練，根據不同的應急恢復內容，確定演練的周期系統運維管理15查看一年內的應急預案演練記錄(沒有扣15分)√√√所有相關人員應清楚地知道自己在應急響應中的角色和職責安全管理15根據應急預案，抽查3名相關人員，檢查其是否明確自己的角色和職責(一人不清楚扣5分)√定期對應急預案進行評估和修訂系統運維管理15檢查近兩年應急預案的評估和修訂記錄(沒有扣15分)√√√安全事件處置按照XXX公司的要求建立及時的信息安全信息通報機制安全管理15檢查是否有專人負責信息安全通報(沒有扣9分)檢查是否有通寶記錄(沒有扣6分)√√√報告所發現的安全弱點和可疑事件，但任何情況下用戶均不應嘗試驗證弱點；系統運維管理15檢查是否告知用戶在發現安全弱點和可疑事件時應按相關要求及時報告并不嘗試驗證弱點(沒有扣10分)檢查是否對所報告的安全事件進行記錄并保存(沒有扣5分)√√√制定安全事件報告和處置管理制度，明確安全事件的類型，規定安全事件的現場處理、事件報告和后期恢復的管理職責；系統運維管理15檢查安全事件報告和處置管理制度，查看其是否明確與安全事件有關的工作職責，包括報告單位（人）、接報單位（人）和處置單位等職責(沒有扣15分)√√√根據國家相關管理部門對計算機安全事件等級劃分方法和安全事件對本系統產生的影響，對本系統計算機安全事件進行等級劃分；系統運維管理15檢查是否對系統已發生的和需要防止發生的安全事件分類(沒有扣5分)檢查對識別出的安全事件是否根據其對系統的影響程度劃分不同等級(沒有扣5分)檢查安全事件定級文檔，查看其內容是否明確安全事件的定義、安全事件等級劃分的原則、等級描述等方面內容(沒有扣5分)√√√制定安全事件報告和響應處理程序，確定事件的報告流程，響應和處置的范圍、程度，以及處理方法等；系統運維管理15檢查是否建立安全事件報告和處理程序(沒有扣15分)查看其是否根據不同安全事件制定不同的處理和報告程序，是否明確具體報告方式、報告內容、報告人等方面內容(沒有扣10分)（扣完15分為止）√√√在安全事件報告和響應處理過程中，分析和鑒定事件產生的原因，收集證據，記錄處理過程，總結經驗教訓，制定防止再次發生的補救措施，過程形成的所有文件和記錄均應妥善保存；系統運維管理15查看安全事件記錄分析文檔是否記錄引發安全事件的原因，是否記錄事件處理過程，不同安全事件是否采取不同措施避免其再次發生(沒有扣15分)√√√對造成系統中斷和造成信息泄密的安全事件應采用不同的處理程序和報告程序。系統運維管理15檢查對重大的失、泄密事件是否向公安、安全、保密等國家部門匯報(沒有扣15分)√√√主機備份關鍵業務系統主機應有備用設備安全管理15檢查關鍵系統主機是否有備用設備(沒有扣15分)√采用熱備份方式的主機應進行故障切換測試安全管理15檢查熱備系統是否進行過切換測試(沒有扣15分)√√采用負載均衡方式的系統主機應進行故障壓力測試安全管理15檢查負載均衡系