安全管理核查表(模板)

编号:B2-1安全管理核查表*********信息系统委托单位：*************委托单位：*************报告日期：年月（本页空白）

安全管理核查表测试项测试内容测试方法测试记录管理安全机构安全信息管理部门访谈相关人员，是否设立有安全信息管理工作的部门，设立安全主管，对应有相关的岗位职责管理员岗位设置访谈相关人员设立有系统管理员、网络管理员、安全管理员岗位，对应有相关的岗位职责信息安全委员会或领导小组访谈安全主管，询问是否设立指导和管理信息安全工作的委员会或领导小组，其最高领导是否由单位主管领导委任或授权的人员担任。管理员数量配备有一定数量的系统管理、网络管理员、安全管理员关键的事物岗位访谈相关人员，关键的事物岗位配备是否为多人共同管理审批流程访谈相关人员，设立对于系统变更、重要操作、物理访问和系统接入的审批流程，审核相关文档审批和授权制度访谈相关人员，是否设立审批和授权规范以及制度文档，审核相关记录系统核查访谈相关人员，是否有安全管理员是否有定期的进行系统检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况安全报告访谈相关人员，是否有安全检查表格指导实施安全检查，以及汇总安全检查数据，形成安全检查报告，审核是否有相关报告以及记录审核制度是否有制定安全审核和安全检查制度规范，定期按照程序进行安全审核和安全检查活动，审核相关文档与监管机构的联系访谈相关管理人员，检验被评估单位是否保持与相关监管机构的适当联系，如本地网监等。人员管理安全管理员访谈相关人员，是否设置了专职的安全管理员岗位维护人员权限和责任访谈相关人员，明确系统维护岗位人员的安全权限和安全责任安全管理人员权限和责任访谈相关人员，是否存在安全管理岗位相关人员的权限和责任安全管理人员入职申明管理员的安全责任和义务需在入职说明中被申明保密协议信息技术人员在应聘时需签订安全保密协议，承诺数据保密的安全人员离岗交接访谈相关人员，信息技术离岗人员在办理离岗手续之前需要交回了所有的密钥、口令、技术文档，审核相关文档是否存在技术人员定期审查和考访谈相关人员，是否有定期对信息技术人员进行技术或任职资格审查和考核，是否有相关文档记录，如存

核在需提供培训和教育访谈相关人员，是否对所有员工进行过计算机安全管理的普及培训教育，是否有相关文档记录，如存在需提供技术人员培训访谈相关人员，定期对信息技术人员进行安全技术培训，是否有相关文档记录，如存在需提供外部人员管理访谈相关人员，外部人员访问受控区域是否进行书面申请，其访问过程是否有专人全程陪同，核查相关文档，检验被评估单位是否依照本单位或上级单位的信息安全策略明确规定第三方合作单位相关人员的安全角色与职责。规章制度信息安全工作总体方针和安全策略访谈相关人员，是否制定信息安全工作的总体方针和安全策略，是否说明了机构安全工作的总体目标、范围、原则和安全框架等互联网相关制度访谈相关管理人员，核查相关文档，检验被评估单位内部所有访问互联网络的设备是否全部使用本单位或上级单位的唯一互联网络出口。核查相关文档，检验是否被评估单位所有包含本单位标志的对外服务应用系统，全部托管在本单位或上级单位机房。系统建设管理系统建设管理制度是否有系统建设管理制度，通过访谈人员以及核查文档相关记录系统建设管理流程、规范是否有系统建设管理流程和规范，通过访谈人员以及核查文档相关记录产品采购方案、标书是否有产品采购方案、标书，通过访谈人员以及核查文档相关记录信息系统安全建设总体规划访谈相关人员，是否有信息系统安全建设总体规划信息系统安全建设总体安全策略访谈相关人员，是否有信息系统安全建设总体安全策略信息系统安全建设详细设计方案访谈相关人员，是否有信息系统安全建设详细设计方案代码编写安全规范访谈相关人员，并核查是否有代码编写安全规范自行软件开发管理制度访谈相关人员，并核查是否有自行软件开发管理制度软件修改、更新、发布授权与批准访谈相关人员，并核查是否有对软件修改、更新、发布授权与批准外包软件开发管理制度访谈相关人员，并核查是否有外包软件开发管理制度

工程实施管理部门访谈相关人员，是否有工程实施管理部门工程实施管理制度访谈相关人员，并核查是否有工程实施管理制度测试验收管理部门访谈相关人员，是否有测试验收管理部门安全性测试验收报告访谈相关人员，并核查是否有安全性测试验收报告，访谈管理人员，核查相关文档（须包括20n年全年新系统上线评估报告或记录），检验被评估单位是否在应用系统上线前进行安全测评，并对发现的安全风险实施适当的安全控制。上线前的安全测评至少包括安全审计、漏洞扫描和渗透测试。测试验收方案访谈相关人员，并核查是否有测试验收方案测试验收结果、报告访谈相关人员，并核查是否有测试验收结果、报告系统交付清单访谈相关人员，并核查是否有系统交付清单系统技能培训访谈相关人员，并核查是否有进行系统技能培训系统运行维护文档访谈相关人员，并核查是否有系统运行维护文档系统交付控制方法及人员行为准则访谈相关人员，并核查是否有系统交付控制方法及人员行为准则，核查相关文档，检验被评估单位是否根据既定的备份策略对信息和软件进行备份并定期测试。信息系统定级、备案部门或专员访谈相关人员，是否有信息系统定级、备案部门或专员信息系统备案访谈相关人员，并核查是否有信息系统备案安全服务商服务合同访谈相关人员，并核查是否有安全服务商服务合同，访谈相关管理人员，核查相关文档，检验被评估单位是否评估与第三方合作单位的安全风险，并实施适当的安全控制安全服务商其它与安全相关协议访谈相关人员，并核查是否有安全服务商其它与安全相关协议，核查相关文档，检验被评估单位是否针对涉及存取、处理、通讯或管理组织的信息或信息处理设施，要求在与第三方签署的合作协议中涵盖所有相关的安全要求。系统运维管理系统运维管理制度是否有系统运维管理制度，通过访谈人员以及核查文档相关记录系统运维管理流程、规范是否有系统运维管理流程和规范，通过访谈人员以及核查文档相关记录

资产管理制度核查相关文档，检验被评估单位是否对本单位所有IT资产进行登记，访谈相关管理人员，核查相关文档，检验被评估单位所有的IT资产是否均指定责任部门，确定所有权关系。核查相关文档，检验被评估单位是否在结束聘用关系、合同或协议时，要求相关员工、合同方和第三方单位应归还所使用的单位资产。核查相关文档，检验被评估单位是否在结束聘用关系、合同或协议时，要求相关员工、合同方和第三方单位应归还所使用的单位资产。核查相关文档（须包括资产转移记录），检验被评估单位是否对设备、信息或软件在未经授权前不应带出使用区域做出了明确的规定或要求。机房安全管理人员访谈相关人员，是否有机房安全管理人员机房安全管理制度访谈相关人员，并核查是否有机房安全管理制度，现场考察，检验被评估单位是否使用安全边界（例如墙、卡片控制的进入信道或人工驻守的柜台等屏障），以保护含有信息与信息处理设施的区域。现场考察，检验被评估单位安全区域是否有适当的进入控制措施加以保护，以确保只有授权人员方可允许进入。核查相关文档（须包括资产转移记录），检验被评估单位是否对设备、信息或软件在未经授权前不应带出使用区域做出了明确的规定或要求。介质安全管理制度访谈相关人员，并核查是否有介质安全管理制度系统运行日志监测、报警记录访谈相关人员，并核查是否有系统运行日志监测、报警记录，核查相关文档，检验被评估单位是否要求对重要设备的日志进行定期的安全分析。访谈管理人员，核查相关文档，检验被评估单位是否对本单位应用系统的安全漏洞进行监控和跟踪处理，如定期的漏洞扫描和加固等。网络安全管理制度访谈相关人员，并核查是否有网络安全管理制度系统管理专员及特权用户的管理访谈相关人员，是否有系统管理专员，核查相关文档，检验被评估单位是否要求限制与控制特权用户的分配与使用。密码使用管理制度访谈相关人员，并核查是否有密码使用管理制度变更管理制度访谈相关人员，并核查是否有变更管理制度备份与恢复制度、规范访谈相关