信息安全等级保护测评前期调查问卷

1、信信息息安安全全等等级级保保护护- -三三级级系系统统预预测测评评调调查查问问卷卷序序号号控控制制域域1 1物物理理安安全全类类2 23 34 45 56 67 78 89 91010111112121313141415151616物物理理安安全全类类1717181819192020212122222323物物理理安安全全类类2424252526262727网网络络安安全全类类28282929物物理理安安全全类类303031313232333334343535网网络络安安全全类类36363737383839394040主主机机安安全全类类网网络络安安全全类类4141424243434444主主

2、机机安安全全类类45454646474748484949主主机机安安全全类类505051515252应应用用安安全全类类53535454主主机机安安全全类类5555565657575858595960606161应应用用安安全全类类6262636364646565数数据据安安全全类类6666676768686969安安全全管管理理制制度度类类应应用用安安全全类类7070717172727373安安全全管管理理制制度度类类7474安安全全管管理理机机构构类类757576767777787879798080安安全全管管理理机机构构类类818182828383人人员员安安全全管管理理类类8484安安

3、全全管管理理机机构构类类8585868687878888人人员员安安全全管管理理类类8989909091919292人人员员安安全全管管理理类类93939494系系统统建建设设管管理理类类959596969797人人员员安安全全管管理理类类98989999100100101101102102103103系系统统建建设设管管理理类类104104105105106106107107系系统统建建设设管管理理类类108108109109110110111111112112113113系系统统运运维维管管理理类类系系统统建建设设管管理理类类114114115115116116117117系系统统运运维维

4、管管理理类类118118119119120120系系统统运运维维管管理理类类121121122122123123系系统统运运维维管管理理类类124124125125126126127127系系统统运运维维管管理理类类128128129129130130系系统统运运维维管管理理类类131131132132133133134134135135系系统统运运维维管管理理类类136136137137138138139139140140141141系系统统运运维维管管理理类类142142143143144144145145系系统统运运维维管管理理类类146146147147148148系系统统运运维维管管

5、理理类类需需求求项项（根据等级保护基本要求的具体项制定而得）安安全全防防护护情情况况备备注注是是否否防防护护品品牌牌/ /型型号号/ /文文档档名名称称（1）、机房所在地是否具有基本的防震、防风和防雨等能力？（2）、机房出入口是否安排人员值守，控制、鉴别和记录进入的人员？（3）、是否在机房重要区域前设置交付或安装等过渡区域；是否在不同机房间和同一机房不同区域间设置了有效的物理隔离装置？（4）、重要区域是否配置电子门禁系统，控制、鉴别和记录进入的人员？（5）、设备或主要部件是否固定在机柜上，并设置明显不易去除的标记？（6）、通信线缆是否铺设在活动地板下或管道中？（7）、机房是否安装利用光、电等技

6、术设置机房的防盗报警系统？（8）、机房所在建筑物是否设置避雷装置？信信息息安安全全等等级级保保护护- -三三级级系系统统预预测测评评调调查查问问卷卷（9）、是否设置防雷保安器，防止感应雷？（10）、主要设备是否设置交流电源地线？（11）、机房是否设置灭火设备和火灾自动报警系统？（12）、机房及相关的工作房间和辅助房是否采用具有耐火等级的建筑材料（如彩钢板、防火门）？（13）、机房是否采取区域隔离防火措施，将重要设备与其他设备隔离开（如UPS间与配电间应与重要区域物理隔离）？（14）、机房内的导水管安装部署是否满足不穿过机房屋顶和活动地板下？（15）、是否采取措施防止雨水通过机房窗户、屋顶和墙壁

7、渗透（如保温棉、管道设置套管等）？（16）、机房否设置水敏感的检测仪表或元件，对机房进行防水检测和报警（漏水报警绳）？（17）、机房是否采取措施防止机房内水蒸气结露和地下积水的转移与渗透（除湿装置）？（18）、机房是否采用了防静电工作台、静电消除剂和/或静电消除器等防静电措施？（19）、机房是否采用了防静电地板？（20）、机房是否设置温、湿度自动调节设施（精密空调等）？（21）、机房计算机系统供电线路上是否设置了稳压器和过电压防护设备等装置？（22）、机房是否配备UPS、发电机等备用供电系统？（23）、机房是否设置冗余或并行的电力电缆线路为计算机系统供电？（24）、是否有防止外界电磁干扰和设备

8、寄生耦合干扰的措施（包括设备外壳有良好的接地，电源线和通信线缆隔离等）；是否对处理秘密级信息的设备和磁介质采取了防止电磁泄漏的措施？（25）、磁介质是否存放在具有电磁屏蔽功能的容器中（磁介质需配备屏蔽机柜）？（26）、电源线和通信线缆是否隔离铺设（分不同线槽或分层桥架）？（1）、是否根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段？（2）、重要网段是否部署在网络边界处且直接连接外部信息系统？（3）、重要网段与其他网段之间是否采取可靠的技术隔离手段，如网闸、防火墙、ACL等？（4）、是否配置QoS的具体设备（如防火墙、路由、交换设备或专用带宽管理设备）对网络带宽、流

9、量进行管理？（5）、在网络边界处是否部署了访问控制设备，并开启和配置相应的访问控制功能？（6）、是否采取措施确保主要网络设备的同一用户能够选择两种或两种以上组合的鉴别技术来进行身份鉴别？（7）、能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级？（8）、是否采取措施对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检测和检查？（9）、是否部署终端管理软件或采取其它技术手段防止非法外联行为，并进行验证？（10）、是否在网络边界处部署恶意代码防范技术措施，是否启用了检测和阻断功能？（11）、是否开启对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录

10、或使用第三方安全审计系统进行审计？（12）、是否采取措施在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等，并能报警和阻断？（13）、系统是否有主要网络设备、通信线路和数据处理系统的硬件冗余？（1）、服务器远程管理采用什么方式，什么软件，例如：KVM/远程桌面/PcAnywhere/Radmin等？（2）、是否采取特别的措施进行防止鉴别信息在传输过程中被嗅探？服务器是否启用了远程管理加密措施？若有第三方的远程管理工具，则记录该工具使用的加密方式。（3）、是否采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别？（4）、是

11、否安装有第三方审计工具或系统，审计是否能够覆盖到服务器、客户端上的每个操作系统用户？（5）、是否安装有第三方软件或系统能够对重要用户行为和重要系统命令的使用作审计（Windows系统组策略不能对重要用户行为和重要系统命令的使用作审计）？（6）、是否采取措施能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警？（7）、是否安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库？（8）、网络防病毒软件和主机防病毒软件分别采用什么病毒库？（9）、是否通过网络设备或硬件防火墙实现“通过设定终端接入方式、网络地址范围等条件限

12、制终端登录”？（10）、是否经常查看“系统资源监控器”或第三方监控软件对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况？（11）、是否使用第三方主机监控程序对系统的服务水平降低到预先规定的最小值进行检测和报警，且其提供主动的声、光、电、短信、邮件等形式的一种或多种报警方式？（12）、是否满足主要网络设备、通信线路和数据处理系统的硬件冗余？（1）、应用系统是否采用两种或两种以上身份认证技术对用户身份进行验证？（2）、应用系统是否对密码复杂度做要求，例如要求密码满足8位以上，且由数字、字母、符号等至少两种组成？（3）、应用系统是否提供登录失败处理功能（身份认证信息输错

13、自动退出会话并35次锁定）？（4）、应用系统是否提供敏感信息标记功能，例如个人身份证号码、银行账号等部分字符用星号（*）代替显示？（5）、应用系统是否能提供覆盖各个用户的安全审计功能，以记录个用户操作痕迹？（6）、应用系统是否采用密码技术保证通信过程中数据的完整性和机密性？（7）、应用系统是否在通信双方建立连接之前利用密码技术进行会话初始化验证（安装数字证书）？（8）、应用系统是否提供数据有效性校验功能对输入数据进行格式、长度等进行校验？（9）、应用系统是否提供自动保护功能确保发生故障时自动保存未完成的业务信息？（10）、应用系统是否提供会话超时处理功能，长时间未操作进行页面锁定或退出登录？（

14、11）、应用系统是否能够限制单个账户多重并发会话？（12）、应用系统是否能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额？（13）、是否对应用系统服务水平（性能指标）进行检测、报警？（1）、是否采用校验技术/措施对数据传输过程中完整性、保密性进行检测并采取修改措施？（2）、是否对系统管理数据、鉴别信息和重要业务数据加密存储？（3）、是否能够对备份数据进行异地备份存储？（4）、是否能提供主要网络设备、通信线路和数据处理系统的硬件冗余？（1）、是否形成全面的信息安全管理制度体系，制度体系是否由安全政策、管理制度、操作规程等构成？（2）、是否制定信息安全工作的总体方针和安全策略，说明

15、机构安全工作的总体目标、范围、原则和安全框架等？（3）、各项安全管理制度是否覆盖安全管理活动中的各类管理内容（制度管理、机构管理、人员管理、系统建设管理和运维管理等方面）？（4）、是否具有对重要管理操作的操作规程，如系统维护手册和用户操作规程等？（5）、是否具有安全管理制度制定和发布要求管理文档，其内容是否说明安全管理制度的格式要求、版本编号，是否说明安全管理制度的制定、发布程序和发布范围等各项要求？（1）、是否具有部门、岗位职责文件，文件是否明确安全管理机构的职责，是否明确机构内各部门和各负责人的职责和分工？（2）、设置了哪些工作岗位（如安全主管、安全管理各个方面的负责人、机房管理员、系统管

16、理员、网络管理员、安全管理员等重要岗位），岗位职责文档是否明确各岗位的职责范围、任职要求和分工情况等？（3）、是否设立指导和管理信息安全工作的委员会或领导小组，其最高领导是否由单位主管领导委任或授权的人员担任？（4）、是否有职责文件明确信息安全管理委员会或领导小组的职责？是否明确委员会安全管理机构的职责？（5）、是否制定事项审批程序明确哪些事项（如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等）需要哪些责任人、领导进行审批，审批程序如何？是否明确重要事项需要逐级审批？（6）、是否具有信息安全管理委员会或领导小组安全管理工作执行情

17、况的文件或工作记录（如会议记录/纪要，信息安全工作决策文档等）？（7）、是否有外联单位联系列表，外联单位是否包含公安机关、电信公司、兄弟公司、供应商、业界专家、专业的安全公司、安全组织等，是否说明外联单位的名称、联系人、合作内容和联系方式等内容？（8）、是否具有安全顾问指导信息安全建设、参与安全规划和安全评审的相关文档或记录？（9）、是否具有安全检查制度，否明确检查内容包括技术措施有效性和安全管理制度执行情况等方面，是否规定检查内容、检查程序和检查周期等，检查内容是否包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等？是否具有相应的安全检查表和检查报告？1、是否

18、有人员录用要求管理文档，说明录用人员应具备的条件（如学历、学位要求，技术人员应具备的专业技术水平，管理人员应具备的安全管理知识等）？2、是否具有人员录用时对录用人身份、背景、专业资格和资质等进行审查的相关文档或记录？3、是否与录用后的技术人员签署保密协议？保密协议是否具有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容？4、对从事关键岗位的人员是否从内部人员中选拔，是否要求其签署岗位安全协议，其是否具有岗位安全责任、违约责任、协议的有效期限和责任人签字等内容？5、是否具有人员离岗管理文档，文档是否规定了调离手续和离岗要求，是否规范人员离岗过程，并明确终止离岗人员的访问权限？6、

19、是否具有交还身份证件和设备等的登记记录？是否具有关键岗位人员调离后的保密承诺书并具有调离人员的签字？7、是否具有各岗位人员考核记录，记录的考核人员是否包括各个岗位的人员，考核内容是否包含安全知识、安全技能等？对关键岗位人员的安全审查和考核与一般岗位人员是否有所不同，审查内容是否包括操作行为和社会关系等？8、是否有安全责任和惩戒措施管理文档，包括哪些具体的安全责任和惩戒措施？9、是否具有安全教育和培训管理文档，明确规定应进行安全教育和培训？10、是否制定安全教育和培训计划，是否具有不同岗位的培训计划，是否明确了培训目的、培训方式、培训对象、培训内容、培训时间和地点等，培训内容是否包含信息安全基础

20、知识、岗位操作规程等？11、是否有外部人员访问管理文档，明确允许外部人员访问的范围（区域、系统、设备、信息等内容），外部人员进入的条件（对哪些重要区域的访问须提出书面申请批准后方可进入），外部人员进入的访问控制措施（由专人全程陪同或监督等）和外部人员离开的条件等？（1）、是否具有经当地公安部网安支队批准的系统定级报告？（2）、系统建设/整改方案，是否依据风险分析结果调整和补偿了安全措施？（3）、是否具有系统的安全建设工作计划，文件是否明确了系统的近期安全建设计划和远期安全建设计划？（4）、是否有系统总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等配套文件？（5）、对于自主

21、开发的软件，是否具有软件开发相关文档（源代码、测试数据、测试结果等）的使用控制记录？（6）、是否制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则？不适用本单位所使用软件均属于外包开发或购买成熟软件，不存在开发业务。（7）、是否具有代码编写安全规范？（8）、软件安装之前是否检测软件中的恶意代码，检测工具是否是第三方的商业产品？（9）、是否具有软件设计的相关文档（应用软件设计程序文件、源代码文档等）、软件使用指南或操作手册和维护手册等？（10）、系统建设过程中是否制定详细的工程实施方案，其是否规定工程时间限制、进度、控制、质量控制等方面内容，工程实施过程是否按照实施方案形成各种文档，

22、如阶段性工程进程汇报报告？（11）、是否具有工程实施管理制度，其是否规定工程实施过程的控制方法（如内部阶段性控制或外部监理单位控制）和实施参与人员的各种行为等方面内容？（12）、信息系统正式运行前，是否委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试？（13）、是否具有工程测试验收方案，其是否对参与验收部门、人员、现场操作过程等进行要求？测试记录是否详细记录了测试时间、人员、操作过程、测试结果等方面内容？测试报告是否提出存在问题及改进意见等？（14）、是否具有测试验收管理制度，其是否规定系统验收测试的过程控制和参与人员的行为等方面内容？（15）、是否具有交付清单，系统交接

23、时是否根据交付清单对所交接的设备、文档、软件等进行清点？（16）、是否具有系统交付方面的管理制度，明确系统交付的控制方法和人员行为准则？（17）、是否具有系统定级文档和系统属性说明文件等材料报主管部门备案的记录或备案文档？（18）、是否具有将系统定级相关材料报相应公安机关备案的记录或证明？（19）、所选择的安全服务商（对信息系统进行安全规划、设计、实施、维护、测评等服务的安全服务单位）是否具有符合国家规定的资质？（1）、是否制定机房安全管理制度，其内容是否覆盖机房物理访问、物品带进/带出机房、机房环境安全等方面？（2）、是否制定了办公环境管理文档，其是否包括人员调离办公室时立即收回钥匙、不在办

24、公区接待来访人员等方面内容？（3）、是否制定了信息系统相关的资产清单，其内容是否覆盖资产责任部门、责任人、所处位置和重要程度等方面？（4）、是否制定了资产安全管理制度，其是否明确信息资产管理的责任部门、责任人，其内容是否覆盖资产使用、借用、维护等方面？（5）、是否具有信息分类文档，其内容是否规定了分类标识的原则和方法（如根据信息的重要程度、敏感程度或用途不同进行分类）？（6）、是否建立介质安全管理制度，其内容是否覆盖介质的使用、维修、销毁等过程的操作？是否包括对存储介质的使用过程、送出维修以及销毁等进行严格管理的方法和对带出工作环境的存储介质进行内容加密和监控管理的方法？制度中是否包括在介质物

25、理传输过程中的对人员选择、打包、交付等情况进行控制的内容？（7）、是否制定了设备安全管理制度，其是否对设备选型、采购、发放以及带离机构等环节的申报和审批作出规定？（8）、是否具备设备维护管理文档，是否覆盖维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等方面？（9）、是否具有设备操作手册，其内容是否覆盖设备启动、停止、加电、断电等操作，对象是否覆盖终端计算机、工作站、便携机、系统和网络等设备？（10）、是否有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警，是否有相关的监控运维记录，按类进行归档和保管？（11）、是否建立安

26、全管理中心或具有安全集中管理的相关工具，对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理？（12）、是否制定了网络安全管理制度，其内容是否覆盖网络安全配置（包括网络设备的安全策略、授权访问、最小服务、升级与打补丁）、审计日志保存时间、升级与打补丁等方面？是否明确了允许或者拒绝便携式和移动式设备网络接入的规定？（13）、是否具有网络漏洞扫描报告，其内容是否包含网络存在的漏洞、严重级别和结果处理等方面？（14）、是否具有系统安全访问控制策略说明文档，是否规定了根据业务需求和系统安全分析制定系统的访问控制策略，控制分配文件及服务的访问权限？（15）、是否具有系统漏洞扫描报告，其内容是否

27、包含系统存在的漏洞、严重级别和结果处理等方面？（16）、是否制定了系统安全管理制度，其内容是否覆盖系统安全配置（包括系统的安全策略、授权访问、最小服务、升级与打补丁）、系统账户（用户责任、义务、风险、权限审批、权限分配、账户注销等）、审计日志以及配置文件的生成、备份、变更审批、符合性检查等方面？是否对系统管理员用户进行分类（比如：划分不同的管理角色，系统管理权限与安全审计权限分离等）？（17）、是否具有系统操作手册，其内容是否覆盖操作步骤、维护记录、参数配置等方面？（18）、是否有定期对系统运行日志和审计数据的分析报告，报告是否能够记录帐户的连续多次登录失败、非工作时间的登录、访问受限系统或文件的失败尝试、系统错误等非正常事件？（19）、是否具有恶意代码检测记录、恶意代码库升级记录和分析报告，升级记录是否记录升级时间、升级版本等内容？（20）、是否具有恶意代码防范管理文档，其