企业信息安全风险评估评估实施细则

企业信息安全风险评估评估实施细则企业信息安全风险评估评估实施细则PAGEPAGE94企业信息安全风险评估评估实施细则企业信息安全风险评估实施细则二〇〇八年五月目录1. 前言 12. 资产评估 22.1. 资产识别 22.2. 资产赋值 33. 威胁评估 64. 脆弱性评估 104.1. 信息安全管理评估 114.1.1. 安全方针 114.1.2. 信息安全机构 134.1.3. 人员安全管理 174.1.4. 信息安全制度文件管理 194.1.5. 信息化建设中的安全管理 234.1.6. 信息安全等级保护 294.1.7. 信息安全评估管理 324.1.8. 信息安全的宣传与培训 324.1.9. 信息安全监督与考核 344.1.10. 符合性管理 364.2. 信息安全运行维护评估 374.2.1. 信息系统运行管理 374.2.2. 资产分类管理 414.2.3. 配置与变更管理 424.2.4. 业务连续性管理 434.2.5. 设备与介质安全 464.3. 信息安全技术评估 504.3.1. 物理安全 504.3.2. 网络安全 534.3.3. 操作系统安全 604.3.4. 数据库安全 724.3.5. 通用服务安全 814.3.6. 应用系统安全 854.3.7. 安全措施 904.3.8. 数据安全及备份恢复 94前言为了规范、深化XXX公司信息安全风险评估工作，依据国家《信息系统安全等级保护基本要求》、《XXX公司信息化“SG186”工程安全防护总体方案》、《XXX公司网络与信息系统安全隔离实施指导意见》、《XXX公司信息安全风险评估管理暂行办法》、《XXX公司信息安全风险评估实施指南》（以下简称《实施指南》），组织对《XXX公司信息安全风险评估实施细则》进行了完善。本细则是开展信息系统安全风险评估工作实施内容的主要依据，各单位在相关的信息安全检查、安全评价、信息系统安全等级保护评估工作中也可参考本细则的内容。本细则结合公司当前信息化工作重点，针对《实施指南》中信息资产评估、威胁评估、脆弱性评估提出了具体的评估内容。其中，资产评估内容主要针对公司一体化企业级信息系统展开；威胁评估包含非人为威胁和人为威胁等因素；脆弱性评估内容分为信息安全管理评估、信息安全运行维护评估、信息安全技术评估三部分。公司的评估工作应在本细则的基础上，结合《实施指南》提出更详细的实施方案，并采用专业的评估工具对信息系统进行全面的评估和深层的统计分析，并进行风险计算，确保全面掌握信息系统的安全问题，并提供解决问题的安全建议。本细则将随公司信息安全管理、技术、运维情况的发展而滚动修订与完善。本标准由XXX公司信息化工作部组织制定、发布并负责解释。

资产评估资产评估是确定资产的信息安全属性（机密性、完整性、可用性等）受到破坏而对信息系统造成的影响的过程。在风险评估中，资产评估包含信息资产识别、资产赋值等内容。资产识别资产识别主要针对提供特定业务服务能力的应用系统展开，例如：网络系统提供基础网络服务、OA系统提供办公自动化服务。通常一个应用系统都可划分为数据存储、业务处理、业务服务提供和客户端四个功能部分，这四个部分在信息系统的实例中都显现为独立的资产实体，例如：典型的OA系统可分为客户端、Web服务器、Domino服务器、DB2数据库服务器四部分资产实体。应用系统的功能模块（或子系统），可参照下表进行分解：应用系统分解表类别说明数据存储应用系统中负责数据存储的子系统或功能模块。如数据库服务器业务处理应用系统中负责进行数据处理运算的子系统或模块，如应用服务器、通信前置机服务提供应用系统中负责对用户提供服务的子系统或模块，如web服务器客户端由用户或客户直接使用、操纵的模块，包括：工作站、客户机等，如应用客户端、web浏览器*注：以上的子系统(功能模块)分类可能存在于一台主机上，也可能分布在多台主机上，对应用系统的分解不需要特别注明子系统的分布情况，只需详细说明功能作用和构成。对于不具有多层结构的系统，可根据实际情况进行简化分解，例如：仅分解为服务器端与客户端。典型的应用系统分解结构图如下：：代表数据传输数据存：代表数据传输数据存储模块业务处理模块服务提供模块客户端应用系统分解本细则中对公司“SG186”工程应用系统按照上表进行信息资产的分解与识别，并在资产赋值部分按照这一分解进行赋值。资产赋值根据《实施指南》的定义，资产评估中对资产的赋值最终结果是对识别出的独立资产实体的赋值。每项资产都要进行机密性要求、完整性要求、可用性要求的赋值，赋值定义为：安全性要求很高＝5、安全性要求高＝4、安全性要求中等＝3、安全性要求低＝2、安全性要求很低＝1。结合资产识别的情况，对公司“SG186”工程应用系统的各部分进行赋值，结果见下表。业务系统系统安全等级客户端服务提供业务处理数据存储管理员普通用户CIACIACIACIACIA一体化平台企业信息门户2422311224113数据中心2422233233444数据交换平台2311134123目录与单点登录系统2411334223444信息网络2313144财务资金财务管理系统3544433355242353资金管理系统3544433355242353营销管理营销管理信息系统3533422355242353客户缴费系统331121122412425395598客户服务管理系统3312211113113232电能信息实时采集与监控系统2311211131131131市场管理系统2311211131131131客户关系系统2311211131131131需求侧管理系统3322211344244344辅助决策系统2311211132132132安全生产调度管理信息系统2322211133133133生产管理信息系统2322211133133133地理信息系统2322211133133133安全监督管理信息系统2311211131131131电力市场交易系统3422322244244244协同办公协同办公2424323434323434人力资源人力资源管理系统2322211131131331物资管理物资管理系统2311211131131131招投标系统2431321331331331项目管理项目管理系统2311211131131131综合管理规划计划管理系统2311211131131131审计管理系统2311211331331331金融信息管理系统2311211131131131法律事务管理系统2311211331331331国际合作业务应用系统2311211331331331纪检监察管理系统2311211131131131ERP系统ERP系统3433322344344344说明：（1）C代表机密性赋值、I代表完整性赋值、A代表可用性赋值。（2）系统安全等级作为业务系统资产权值与每项赋值相乘后参与风险计算过程。（3）对各单位不包括在“SG186”工程中的应用系统，系统安全等级按照《XXX公司信息系统安全保护等级定级指南》定义方法计算出来，资产赋值按照《实施指南》定义的方法进行识别和赋值，同时可参考上的表赋值结果。威胁评估在信息安全风险评估中，威胁评估也分为威胁识别和威胁赋值两部分内容。威胁识别通常依据威胁列表对历史事件进行分析和判断获得的。由于信息系统运行环境千差万别，威胁可能性赋值无法给出统一定义，例如：海边城市受到台风威胁的可能性要大。本细则中仅给出威胁对信息资产机密性、完整性和可用性破坏的严重程度赋值。赋值定义为：破坏严重程度很大＝5、破坏严重程度大＝4、破坏严重程度中等＝3、破坏严重程度小＝2、破坏严重程度很小＝1。在评估实施时需要依据《实施指南》定义的方法，结合实际情况对威胁可能性进行判断。下表是常见的威胁列表。威胁分类威胁名称说明威胁可能性严重程度CIA非人为威胁火山爆发由火山爆发引起的故障N/A55飓风由于飓风引起的系统故障N/A45地震由地震引起的系统故障N/A45人员丧失由于各种原因,如疾病、道路故障、暴动等原因导致人员无法正常工作引起的系统无法使用故障N/AN/A3硬件故障系统由于硬件设备老旧、损坏等造成的无法使用问题N/A45雷电由雷电引起的系统故障N/A55火灾由火灾引起的系统故障,包括在火灾发生后进行消防工作中引起的设备不可用问题N/A45水灾由水灾引起的系统故障,包括在水灾发生后进行消防工作中引起的设备不可用问题N/A45雪崩由于雪崩引起的问题N/A24温度异常由温度超标引起的故障N/A44湿度异常由湿度超标引起的故障N/A33灰尘、尘土由灰尘超标引起的故障N/A33强磁场干扰由磁场干扰引起的故障N/A33电力故障由于电力中断、用电波动、供电设备损坏导致系统停止运行等导致的系统故障N/A44系统软件故障由于系统软件故障所产生的问题344应用软件故障由于应用软件故障所产生的问题445软件缺陷软件缺陷导致的安全问题444通信故障由于通信故障所产生的问题N/A24DNS失败由于DNS的问题导致的问题114人为威胁由于误操作传输错误的或不应传送的数据个人失误导致的安全问题431关键员工的离职由于关键员工的离职造成系统的安全问题N/AN/A4离开时未锁门由于离开时未锁门造成系统的安全问题431离开时屏保未锁定由于离开时屏保未锁定造成的安全问题411在不恰当的人员中讨论敏感文档由于在不恰当的人员中讨论敏感文档造成的安全问题5N/AN/A不恰当的配置和操作不恰当的管理系统、数据库、无意的数据操作，导致安全问题344拒绝服务攻击攻击者以一种或者多种损害信息资源访问或使用能力的方式消耗信息系统资源N/A35由于设备（如笔记本）丢失导致泄密等安全问题444过时的规定由于采用过时的规定所造成的安全问题443不遵守安全策略可能导致各种可能的安全威胁444不恰当的使用设备、系统与软件不当的使用设备造成的安全威胁N/A44恶意破坏系统设施对系统设备、存储介质等资产进行恶意破坏N/A45滥用由于某授权的用户（有意或无意的）执行了授权他人要执行的举动、可能会发生检测不到的信息资产损害543设备或软件被控制或破坏恶意的控制或破坏设备，以取得机密信息54N/A远程维护端口被非授权的使用恶意的使用远程维护端口，控制主机444数据传输或电话被监听恶意截获传输数据4N/AN/A办公地点被非授权的控制恶意监控办公地点、重要地带，获取重要信息544侦察通过系统开放的服务进行信息收集，获取系统的相关信息，包括系统的软件、硬件和用户情况等信息44N/A口令的暴力攻击恶意的暴力尝试口令533各类软件后门或后门软件软件预留的后门或其他专门的后门软件带来的信息泄露威胁432偷窃移动设备带有机密信息的移动设备被窃取5N/A3恶意软件计算机病毒、蠕虫带来的安全问题354伪装标识的仿冒等信息安全问题44N/A分析信息流分析信息流带来的信息安全问题4N/AN/A非法阅读机密信息非授权的从办公环境中取得可获得的机密信息或复制数据5N/AN/A社会工程学攻击通过email、msn、电话号码、交谈等欺骗或其他方式取得内部人员的信任，进而取得机密信息5N/AN/A未经授权将设备连接到网络未经授权对外开放内部网络或设备453密码猜测攻击对系统账号和口令进行猜测，导致系统中的敏感信息泄漏531伪造证书恶意的伪造证书，进而取得机密信息551远程溢出攻击攻击者利用系统调用中不合理的内存分配执行了非法的系统操作，从而获取了某些系统特权，进而威胁到系统完整性553权限提升通过非法手段获得系统更高的权限，进而威胁到系统完整性553远程文件访问对服务器上的数据进行远程文件访问,导致敏感数据泄漏532法律纠纷由企业或信息系统行为导致的法律纠纷造成信誉和资产损失333不能或错误地响应和恢复系统无法或错误地响应和恢复导致故障和损失334流量过载由于网络中通信流量过大导致的网络无法访问N/A35说明：C代表对机密性的破坏程度、I代表对完整性的破坏程度、A代表对可用性的破坏程度。N/A表示对此项安全属性无破坏或无意义。脆弱性评估脆弱性评估内容包括管理、运维和技术三方面的内容。脆弱性评估过程是对信息系统中存在的可被威胁利用的管理和运维缺陷、技术漏洞分析与发现，并确定脆弱性被利用威胁的难易程度（赋值）的过程。在本实施细则中，列出了信息安全管理、运维和技术三方面的检查点，这些检查点都是对信息安全防护工作的具体要求，如果信息系统的管理、运维和技术条件不满足这些点的检查要求，则视为一个缺陷或漏洞。脆弱性检查表中标记了每个检查点对机密性（C）、完整性（I）、可用性（A）的是否有影响存（√表示有影响）。检查表结果参与《实施指南》中定义的风险计算和分析时，以每一检查点的实际得分情况和该检查点的标准分值的比率来确定赋值，并由公司内专业技术支撑队伍进行计算，方法如下：首先，按（1－实际得分/标准分值）%，算出该检查点的不满足程度；然后按下表对应赋值：标识等级（1－实际得分/标准分值）%很高5大于等于80%高4大于等于60%，但小于80%中3大于等于40%，但小于60%低2大于等于20%，但小于40%很低1小于20%举例说明：某检查点标准分值10分，实际得分8分，则脆弱性赋值：首先取(1－8/10)%＝20%，然后按照上表对应，赋值结果为2＝“低”。信息安全管理评估（总计：1800分）安全方针（小计：130分）检查项目检查内容等级保护标准分值评分标准实际得分CIA信息安全方针文件满足国家、公司政策要求和本单位信息安全需求的独立信息安全方针文件安全管理制度20检查是否有独立的信息安全方针文件，或者有包含信息安全方针内容的纲领性文件(没有则该项不得分)√√√信息安全方针文件中对信息安全整体目标和信息安全工作范围的定义安全管理制度20检查方针文件是否对信息安全整体目标进行了阐述(不符合扣10分)检查方针文件是否对信息安全工作涉及的内容范围进行了明确界定(不符合扣6分)检查方针文件是否对信息安全相关工作的协调和配合提出了要求(不符合扣4分)√√√信息安全方针文件内容对国家信息安全等级保护制度的落实情况安全管理10检查方针文件是否提出了以下要求相关内容：提出满足信息安全等级保护制度的要求(不符合扣4分)对信息系统进行了明确等级划分(不符合扣4分)提出了分等级保护的工作要求(不符合扣2分)√√√信息安全方针文件内容对公司信息安全工作原则与要求的贯彻情况安全管理制度20检查方针文件是否符合：信息安全纳入安全生产范畴的要求(不符合扣8分)公司信息安全三同步原则(不符合扣8分)主要业务系统的安全目标要求(不符合扣4分)√√√信息安全方针对信息安全工作主要内容的阐述安全管理制度10检查方针文件：是否列出了信息安全工作内容(不符合扣8分)工作内容是否符合国家、公司的要求(不符合扣2分)√√√信息安全方针文件应经过单位最高层领导的审批、授权，在单位内部进行讨论和宣贯安全管理制度10检查独立的信息安全方针文件，或者包含信息安全方针内容的纲领性文件：是否经过本单位最高层领导的审批。(不符合扣4分)制定过程是否广泛征求了各相关业务部门的意见（检查征求意见相关记录）(不符合扣4分)发布后是否进行了内部宣传和学习。(不符合扣2分)√√√信息安全方针文件中对信息安全方针落实情况进行考核、评价的要求安全管理10检查信息安全方针文件或包含相关内容的文件中是否提出了考核或评价的要求、方法和内容。(有考核要求无具体内容扣4分)√√√信息安全方针文件中对各关键内容的支持性管理制度要求安全管理制度10检查是否在涉及具体管理细节的内容点列出了相应的支持性管理制度文件名称，例如：内部用户不得访问外部非法网站时列出了《内网用户行为管理办法》(有明显制度文件缺失的点，每点扣2分，扣完为止)√√√信息安全方针文件对自身的保密要求安全管理10检查方针文件是否规定了本身的传播范围(不符合扣8分)检查传播范围是否合理(不符合扣2分)√信息安全方针文件中对进行修订和审核的周期以及负责审核部门的要求安全管理10检查是否定义了审核周期(不符合扣6分)检查是否明确了负责审核的部门(不符合扣4分)√√√信息安全机构（小计：250分）检查项目检查内容等级保护标准分值评分标准实际得分CIA公司机构信息化领导小组应承担信息安全领导职责，或者成立了包括高层领导的信息安全领导小组安全管理机构30检查是否有机构成立的相关文件(不符合扣30分)√√√信息安全第一责任人应为单位高层领导安全管理10检查本单位是否自行制定了文件(不符合本条扣10分)或者直接沿用上级单位下发的文件(仅符合本条得4分)√√√成立跨部门的信息安全工作协调机构来协调整体信息安全工作安全管理机构20检查是否有机构成立的相关正式文件。(不符合扣20分)√√√信息安全领导机构和信息安全工作协调机构的职责安全管理机构10检查是否有领导机构职责定义文件(不符合扣6分)检查是否有工作协调机构职责定义文件(不符合扣4分)√√√专业信息管理部门应获得高层授权开展日常的信息安全相关审核、审批工作安全管理10检查信息管理部门是否有信息安全相关审核、审批权力(不符合扣6分)检查是否有相关审核、审批记录(不符合扣4分)√√应设置信息安全管理岗位，有专人负责信息安全整体工作的公司、协调和落实工作安全管理机构10检查是否进行了有专人负责(不符合扣6分)检查是否设置了信息安全管理岗位(不符合扣4分)√√√设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责安全管理机构10检查是否设立安全管理各个方面的负责人，设置了哪些工作岗位（如安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全员等重要岗位）(不符合扣6分)检查是否明确各个岗位的职责分工(不符合扣4分)√√√人员配备配备一定数量的系统管理员、网络管理员、安全管理员等安全管理机构10检查各个安全管理岗位人员（按照岗位职责文件询问，包括机房管理员、系统管理员、数据库管理员、网络管理员、安全员等重要岗位人员）配备情况，包括数量、专职还是兼职等(不符合扣10分)√√√安排了专职信息安全管理员安全管理机构10检查是否安全管理员没有兼任网络管理员、系统管理员、数据库管理员；(不符合扣4分)√√√实行主、副岗备用制度安全管理机构10查看是否所有岗位都指定了主、副负责人员(不符合扣10分)√授权和审批根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等；安全管理机构10检查职责文件中是否包含需审批事项列表(不符合扣6分)检查审批事项列表是否明确审批事项、审批部门、批准人及审批程序等(不符合扣4分)√√针对系统变更、重要操作、物理访问和系统接入等事项批实行工作票、操作票制度，建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度；安全管理机构10检查是否针对系统变更、重要操作、物理访问和系统接入等重要事项建立审批程序文件；(不符合扣6分)检查关键活动的工作票、操作票记录，并查看记录的审批程序与文件要求是否一致(不符合扣4分)√√定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息；安全管理机构10检查制度文件是否说明应定期审查、更新需审批的项目和审查周期等(不符合扣6分)检查审查记录，查看记录日期是否与审查周期一致(不符合扣4分)√√记录审批过程并保存审批文档。安全管理机构10检查是否保存至少三个月的工作票、操作票的审批记录；√√√沟通和合作加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通，定期或不定期召开协调会议，共同协作处理信息安全问题安全管理机构10检查是否召开过部门间协调会议，组织其它部门人员共同协助处理信息系统安全有关问题(不符合扣4分)检查安全管理机构内部是否召开过安全工作会议部署安全工作的实施，参加会议的部门和人员有哪些，会议结果如何；(不符合扣3分)检查信息安全领导小组或者安全管理委员会是否定期召开例会(不符合扣3分)√√√与外部信息安全专业机构或专家沟通顺畅，在需要时能及时获得外部信息安全机构或专家的建议和技术支持安全管理机构10检查是否建立了经常联系的专业机构，是否包含公安机关、电信公司、兄弟单位、供应商、业界专家、专业的安全公司、安全组织等(不符合扣6分)专业机构能够及时提供技术支持(不符合扣4分)√√√建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息安全管理机构10检查外联单位说明文档，是否说明外联单位的联系人和联系方式等内容(不符合扣10分)√聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等安全管理机构10检查是否具有安全顾问名单或者聘请安全顾问的证明文件(不符合扣6分)检查由安全顾问指导信息安全建设、参与安全规划和安全评审的相关文档或记录，是否具有由安全顾问签字的相关建议(不符合扣4分)√√√审核和检查安全管理员负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况；安全管理机构10检查是否定期对信息系统进行安全检查(不符合扣4分)检查是否定期分析、评审异常行为的审计记录(不符合扣3分)检查安全检查报告，查看报告日期与检查周期是否一致(不符合扣3分)√√√由内部人员或上级单位定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等；安全管理机构10检查是否要求内部人员或上级单位定期对信息系统进行全面安全检查(不符合扣4分)检查内容是否包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等(不符合扣3分)检查安全检查报告，查看报告日期与检查周期是否一致(不符合扣3分)√√√制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报；安全管理机构10检查是否具有安全检查表格(不符合扣4分)检查安全检查报告，查看报告日期与检查周期是否一致，报告中是否有检查内容、检查人员、检查数据汇总表、检查结果等的描述(不符合扣6分)√√√制定安全审核和安全检查制度规范安全审核和安全检查工作，定期按照程序进行安全审核和安全检查活动安全管理机构10检查是否具有安全审核和安全检查制度(不符合扣6分)检查安全审核和安全检查过程记录(不符合扣4分)√√√人员安全管理（小计：100分）检查项目检查内容等级保护标准分值评分标准实际得分CIA人员录用对单位的新录用人员要签署保密协议人员安全管理10检查是否有相关管理要求(不符合扣4分)检查是否有签署的保密协议文件(不符合扣6分)√指定或授权专门的部门或人员负责人员录用人员安全管理10检查是否有专门部门或人员负责人员录用(不符合扣10分)√√严格规范人员录用过程，对被录用人的身份、背景、专业资格和资质等进行审查，对其所具有的技术技能进行考核人员安全管理10检查人员录用时是否对被录用人的身份、背景、专业资格和资质进行审查，对技术人员的技术技能进行考核(不符合扣10分)√√从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议人员安全管理10检查对从事关键岗位的人员是否从内部人员中选拔，是否要求其签署岗位安全协议(不符合扣10分)√人员离岗对即将离岗的员工立即终止其在信息系统中的所有访问权限人员安全管理10查看员工离岗流程中是否有相关要求(不符合扣4分)检查是否有终止访问权限的表单(不符合扣6分)√取回离岗人员的各种身份证件、钥匙、徽章等以及单位提供的软硬件设备人员安全管理10查看员工离岗流程中是否有相关要求(不符合扣4分)检查是否有设备、证件等上缴表单记录(无记录扣6分)√√离岗人员由人事部门办理调离手续，并由离岗人员书面承诺调离后的保密义务人员安全管理10查看员工离岗流程中是否有相关要求(不符合扣4分)检查是否有签署的离岗保密承诺文件(无记录扣6分)√第三方人员管理要求第三方人员在访问前与公司签署安全责任合同书或保密协议安全管理10查看是否有对第三方访问进行管理的规定(不符合扣4分)检查是否有书面保证文件(不符合扣6分)√对第三方人员访问重要区域以书面形式批准，并由专人全程陪同或监督，记录备案人员安全管理10检查是否有审批记录或监督记录(不符合扣10分)√√√对第三方人员允许访问的区域、系统、设备、信息等内容进行书面的规定，并按照规定执行人员安全管理10检查是否有文件进行了规定(不符合扣10分)√√√信息安全制度文件管理（小计：230）检查项目检查内容等级保护标准分值评分标准实际得分CIA信息安全策略体系建立信息安全策略体系，明确本单位需要的信息安全制度内容安全管理制度20检查是否有描述信息安全策略体系的相关文件或定义信息安全管理制度的文件内容(不符合扣20分)√√√对安全管理活动中的各类管理内容建立安全管理制度安全管理制度10检查安全管理制度清单中是否覆盖物理、网络、主机系统、数据、应用和管理等层面(不符合扣10分)√√√对要求管理人员或操作人员执行的日常管理操作建立操作规程；安全管理制度10检查是否具有重要管理操作的操作规程，如系统维护手册和用户操作规程等(不符合扣10分)√√√形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系安全管理制度10检查安全制度体系是否由安全政策、安全策略、管理制度、操作规程等构成(不符合扣10分)√√√信息安全制度管理定期对信息安全管理制度进行审核、修订、更新、废除过时的管理制度，制定、发布、宣贯新的管理要求安全管理制度10检查是否有制度管理文件(不符合扣10分)检查制度管理文件内容是否明确了制度审核的周期（没有扣6分）√√√指定或授权专门的部门或人员负责安全管理制度的制定；安全管理制度10安全管理制度是否在信息安全领导小组或委员会的总体负责下统一制定(不符合扣10分)√√√安全管理制度具有统一的格式，并进行版本控制；安全管理制度10检查安全管理制度文档，查看是否注明适用和发布范围，是否有版本标识，是否有密级标注，是否有管理层的签字或盖章；(不符合扣6分)检查各项制度文档格式是否统一(不符合扣4分)√√√组织相关人员对制定的安全管理制度进行论证和审定；安全管理制度10检查安全管理制度的制定程序，检查是否对制定的安全管理制度进行论证和审定，论证和评审方式如何（如召开评审会、函审、内部审核等）(不符合扣10分)检查管理制度评审记录，查看是否有相关人员的评审意见(不符合扣5分)√√√信息安全工作的总体方针和安全策略得到管理者的正式批准和授权；安全管理制度10检查信息安全总体方案和安全策略文档中是否标明得到管理者的正式批准和授权(不符合扣10分)√√√安全管理制度通过正式、有效的方式发布；安全管理制度10检查是否有安全管理制度的发布程序(不符合扣10分)√√√安全管理制度注明发布范围，并对收发文进行登记。安全管理制度10检查安全管理制度的收发登记记录(不符合扣10分)检查收发是否符合规定程序和发布范围要求(不符合扣5分)√√√信息安全制度审核信息安全领导小组负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定，并进行信息安全制度的修订、更新和废除。安全管理制度10检查信息安全领导小组职责中是否明确要求定期组织相关部门和人员对安全管理制度进行评审(不符合扣5分)检查制度修订、更新和废除的相关工作记录或证明(不符合扣3分)现有管理制度是否有明显过时或已经不适用的内容(有则扣2分)√√√建立相关机制，确保定期对安全管理制度体系进行检查和审定，对存在不足或需要改进的体系制度和流程进行修订。安全管理制度10检查是否具有所有安全管理制度对应相应负责人或者负责部门的清单，清单是否注明评审周期(不符合扣5分)检查对安全管理制度进行审定的记录(不符合扣5分)√√√信息安全管理制度机房管理制度，包括机房环境管理、机房进出管理、机房内工作管理等内容系统运维管理8检查机房管理相关制度文件，缺少一项内容扣2分√√√U盘、光盘使用管理制度系统运维管理6缺U盘使用管理制度，扣除4分，缺光盘使用管理制度，扣除2分√主机设备安全管理制度系统运维管理8检查是否有相关管理制度(不符合扣8分)√√√网络设施安全管理制度系统运维管理8检查是否有相关管理制度(不符合扣8分)√√√物理设施分类标记管理制度系统运维管理6检查是否有相关管理制度(不符合扣8分)√√√安全配置管理制度、系统分发和操作规章制度、系统文档安全管理制度、测试和评估制度、系统信息安全备份制度系统运维管理10缺少一项管理内容,扣除2分√√√网络连接检查评估制度、网络使用授权制度、网络检测制度、网络设施（设备和协议）变更控制制度等系统运维管理8缺少一项管理内容,扣除2分√√应用系统上线前测评制度、应用系统上线后安全评估制度、应用系统使用授权制度、应用系统配置管理制度、应用系统文档管理制度等系统建设管理10缺少一项管理内容,扣除2分√√√人员安全管理制度、安全意识和安全技术教育制度、操作安全管理制度、操作系统和数据库管理制度、系统运行记录编写制度、病毒防护管理制度、网络互联安全管理制度、安全审计管理制度、安全事件报告制度、事故处理制度、应急管理制度和灾难恢复管理制度等安全管理18缺少一项管理内容,扣除2分，扣完为止√√√信息分类标记制度、涉密信息安全管理制度、技术文档管理制度、存储介质管理制度、信息披露与发布审批管理制度等系统运维管理8缺少一项管理内容,扣除2分，扣完为止√√√信息化建设中的安全管理（小计：520分）检查项目检查内容等级保护标准分值评分标准实际得分CIA规划设计阶段的信息安全管理信息系统规划过程中进行明确的信息安全需求分析系统建设管理20抽取1～2个新建成系统，查看规划阶段形成的文件：是否有管理要求明确系统建设规划阶段必须进行信息安全需求分析(不符合扣10分)是否对建成后的系统运行环境进行了安全需求分析(不符合扣5分)是否对业务应用本身进行了安全需求分析(不符合扣5分)√√√在新系统建设或已有系统改造方案中，包括安全要求系统建设管理20查看是否有管理要求对系统开发/采购过程提出明确的信息安全要求，没有明确要求扣10分抽查2个新系统的建设方案，没有提出明确安全要求，每个系统扣5分√√√信息系统设计方案中对软件安全功能进行了设计系统建设管理20检查信息系统设计方案中的安全功能设计是否与提出的安全需求向符(不符合扣6分)√√√软件开发过程中实现设计方案中提出的安全功能系统建设管理20抽查1个已建系统是否实现了设计方案中提出的安全功能，无相关实现的，则该项不得分。实现部分的，则扣10分√系统开发的安全管理验证应用系统输入的数据、验证不同类型输入的出错消息、响应验证错误的流程、定义所有数据输入过程中所涉及人员的职责等安全管理20抽取一个新建或在建系统的设计、开发文档，查看管理/技术要求中对系统安全性的规定，无相关要求的，该项不得分。抽查系统测试记录，若内容中无相关测试验证结果说明扣10分√确保对程序资源库的修改、更新、发布进行授权和批准系统建设管理10查看管理要求中的相关规定，无相关要求的，该项不得分。抽查授权和批准记录，不能提供的该项不得分√√√制定代码编写安全规范，要求开发人员参照规范编写代码系统建设管理10检查是否制定了代码编写规范(不符合该项不得分)抽查了解开发人员是否按规范编写代码(不符合扣6分)√√√确保提供软件设计的相关文档和使用指南，并由专人负责保管系统建设管理10检查是否具有需求分析说明书、软件设计说明书和软件操作手册等开发文档(不符合扣5分)检查文档是否由专人负责保管(不符合扣5分)√√√外包软件开发:根据开发需求检测软件质量系统建设管理10检查是否要求外包软件开发商检测软件质量(不符合扣5分)检查是否保存软件质量测试报告(不符合扣5分)√√外包软件开发:要求开发单位提供软件源代码，并审查软件中可能存在的后门系统建设管理10检查是否要求开发单位提供软件源代码(不符合扣5分)检查是否审查软件中可能存在的后门，抽查相关记录(不符合扣5分)√√软件开发外包：在与软件开发单位签订的协议中，明确知识产权的归属和安全方面的要求安全管理10查看管理要求中的相关规定，无相关要求的，该项不得分。抽查文档记录，若缺少相关文档,则该项不得分√√软件开发外包：在软件安装之前检测软件包中可能存在的恶意代码，并保留完整的测试记录系统建设管理10查看管理/技术要求中的相关规定，无相关要求的，该项不得分。抽查测试记录,没有则该项为0分√软件开发外包：要求开发单位提供软件设计的相关文档和使用指南系统建设管理10查看管理要求中的相关规定，无相关要求的，该项不得分。抽查测试记录,没有则该项不得分√自行软件开发：确保开发环境与实际运行环境物理分开，开发人员和测试人员分离，测试数据和测试结果受到控制系统建设管理10查看是否有管理制度予以要求(不符合扣5分)检查开发和测试人员是否分离(不符合扣3分)是否保留测试数据和测试结果并由专人保管(不符合扣2分)√√√自行开发：制定开发方面的管理制度，以明确说明开发过程的控制方法和人员行为准则系统建设管理10若无相关制度，则该项为0分√√√系统集成与采购中的安全管理对厂商交付的主机操作系统、数据库系统等进行了配置安全加固审核、操作系统安全补丁安装情况审核安全管理10查看管理要求中的相关规定是否有主机操作系统安全加固方面相关规定(不符合扣5分)是否有数据库系统安全加固方面相关规定(不符合扣5分)√√√确保密码产品采购和使用符合国家密码主管部门的要求系统建设管理10检查系统是否采用了密码产品(不符合扣5分)密码产品的使用是否符合国家密码主管部门的要求(不符合扣5分)√√√指定或授权专门的部门负责产品的采购系统建设管理10查看管理要求中的相关规定，是否指定或授权专门的部门负责产品的采购(不符合扣10分)√√√预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单系统建设管理10检查管理要求中的相关规定，是否要求预先对产品进行选型测试(不符合扣5分)检查是否存在候选产品名单，是否定期审定并更新(不符合扣5分)√√√应有机制确保采购和集成中的安全设备都通过了国家、公司相关机构的测评、认证系统建设管理10查看产品采购管理制度中是否有相关规定。(不符合扣10分)√√√要求厂家针对其提供的系统或设备提供信息安全方面的技术服务安全管理10查看产品采购管理制度中是否有相关规定。(不符合扣10分)√√√工程实施指定或授权专门的部门或人员负责工程实施过程的管理；系统建设管理10检查是否指定专门人员或部门按照工程实施方案的要求对工程实施过程进行进度和质量控制(不符合扣10分)√√√制定详细的工程实施方案控制实施过程，并要求工程实施单位能正式地执行安全工程过程；系统建设管理10检查是否制定工程实施方案(没有该项不得分)查看其内容是否覆盖工程时间限制、进度控制和质量控制等方面内容(不符合扣5分)√√√制定工程实施方面的管理制度，明确说明实施过程的控制方法和人员行为准则系统建设管理10检查工程实施管理制度，查看其是否规定工程实施过程的控制方法（如内部阶段性控制或外部监理单位控制）、实施参与人员的各种行为等方面内容(不符合扣10分)√√测试验收委托公正的第三方测试单位对系统进行安全性测试，并出具安全性测试报告；系统建设管理10检查在信息系统正式运行前，是否委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试抽查系统安全性测试报告(不符合扣10分)√√√在测试验收前根据设计方案或合同要求等制订测试验收方案，在测试验收过程中详细记录测试验收结果，并形成测试验收报告；系统建设管理10检查是否在在测试验收前根据设计方案或合同要求等制订测试验收方案；(不符合扣4分)查看测试记录是否详细记录了测试时间、人员、操作过程、测试结果等方面内容，是否提出存在问题及改进意见等(不符合扣3分)检查是否形成测试验收报告(不符合扣3分)√√√对系统测试验收的控制方法和人员行为准则进行书面规定；系统建设管理10检查验收测试管理制度是否对系统验收测试的过程控制、参与人员的行为等进行规定(不符合扣10分)√√指定或授权专门的部门负责系统测试验收的管理，并按照管理规定的要求完成系统测试验收工作；系统建设管理10检查是否指定专门部门负责测试验收工作(不符合扣5分)检查是否对测试过程（包括测试前、测试中和测试后）进行文档化要求和制度化要求(不符合扣5分)√√√组织相关部门和相关人员对系统测试验收报告进行审定，并签字确认。系统建设管理10检查是否根据设计方案或合同要求组织相关部门和人员对测试报告进行符合性审定，并签字确认(不符合扣10分)√√系统交付制定详细的系统交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点；系统建设管理10检查系统交付清单，查看其是否具有系统建设文档（如系统建设方案）、指导用户进行系统运维的文档（如服务器操作规程书）以及系统培训手册等文档名称(不符合扣10分)√√对负责系统运行维护的技术人员进行相应的技能培训；系统建设管理10检查信息系统建设实施方是否对运维技术人员进行过培训(不符合扣4分)检查是否以书面形式承诺对系统运行维护提供一定的技术支持服务(不符合扣2分)检查是否按照服务承诺书的要求进行过技术支持(不符合扣2分)检查培训记录(不符合扣2分)√√√确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档；系统建设管理10检查系统是否具有建设过程中的文档(不符合扣5分)检查系统是否具有支持其独立运行维护所需的文档(不符合扣5分)√√√对系统交付的控制方法和人员行为准则进行书面规定；系统建设管理10检查系统交付管理制度，查看其是否规定了交付过程的控制方法和对交付参与人员的行为限制等方面内容(不符合扣10分)√√√指定或授权专门的部门负责系统交付的管理工作，并按照管理规定的要求完成系统交付工作。系统建设管理10检查系统交付的管理工作是否由专门部门负责(不符合扣5分)抽查系统交付相关记录，查看是否按照管理规定要求完成交付工作(不符合扣5分)√√√密码技术应用控制确定数据的敏感程度和所需的保护级别安全管理10若没有相关策略,则该项为0分√√√使用数字签名保护电子文档的真实性和完整性安全管理10查看管理方法中的相关规定，无相关要求的，该项不得分。若确定了保护等级,但缺少加密技术保护数据,则该项为10分;若未确定保护等级,则该项为0分√√使用不可否认服务安全管理10若未使用,则该项为0分√√√新设备和新系统的接入管理新系统、新设备接入网络运行的审核、审批管理制度系统运维管理16查看管理要求中的相关规定，无相关要求的，则该项不得分√√√不经过信息安全审核的系统不能接入单位网络运行安全管理16查看管理要求中的相关规定，无相关要求的，则该项不得分√√√新建系统或新采购设备接入单位网络时应经过信息安全的审批安全管理16查看管理要求中的相关规定，无相关要求的，则该项不得分√√√信息安全监理制定信息安全监理管理相关规定安全管理10查看管理要求中的相关规定，无相关要求的，则该项不得分√√√重大系统建设应引入第三方信息安全监理机制，确保系统建设过程中各环节的安全性安全管理6查看管理要求中的相关规定，无相关要求的，则该项不得分√√√对监理方的意见应给予充分的考虑安全管理6检查相关会议记录、问题答复(不符合扣6分)√√√安全服务商选择确保安全服务商的选择符合国家的有关规定；系统建设管理10检查安全服务商的选择符合国家的相关规定(不符合扣10分)√√√与选定的安全服务商签订与安全相关的协议，明确约定相关责任；系统建设管理10检查与选定的安全服务商是否签订与安全相关的协议(不符合扣5分)检查协议内容是否约定相关安全责任(不符合扣5分)√√√确保选定的安全服务商提供技术培训和服务承诺，必要的与其签订服务合同。系统建设管理10检查选定的安全服务商是否提供技术培训和服务承诺；(不符合扣5分)检查是否与长期提供服务、或关键系统的安全服务商签订服务合同(不符合扣5分)√√√信息安全等级保护（小计：220分）检查项目检查内容等级保护标准分值评分标准实际得分CIA等级保护定级按照公司信息系统统一定级情况对本单位信息系统定级进行核实系统建设管理10查看是否有定级情况核实工作的记录(不符合扣10分)√√√对不属于公司统一定级范畴的信息系统自行开展定级工作安全管理10查看是否有定级文件(不符合扣10分)√√√明确信息系统的边界和安全保护等级系统建设管理10检查信息系统是否明确边界和安全保护等级(不符合扣10分)√√√以书面的形式说明确定信息系统为某个安全保护等级的方法和理由系统建设管理10检查信息系统定级文档是否说明信息系统定级的方法和理由(不符合扣10分)√√√组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定系统建设管理10检查是否组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定(不符合扣5分)抽查部分信息系统的定级论证和审定记录或报告(不符合扣5分)√√√确保信息系统的定级结果经过相关部门的批准系统建设管理10检查信息系统定级报告是否经过相关部门的批准记录（授权部门的批准文件、盖章或签字）(不符合扣10分)√√信息系统定级情况对各业务部门进行通报安全管理10查看是否有对各业务部门进行定级情况通报的文件(不符合扣10分)√√√等级防护工作根据各业务系统的定级进行安全域的划分安全管理20查看是否根据业务系统的信息安全等级进行了安全域的划分(不符合扣20分)√√√针对不同等级信息系统制定等级保护方案系统建设管理20查看是否制定了等级保护方案(没有该项不得分)查看等级保护方案是否统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案(不符合扣10分)√√√根据系统的安全保护等级选择基本安全措施，并依据风险分析的结果补充和调整安全措施系统建设管理10检查是否制定定级系统的基本安全措施(不符合扣5分)检查是否要求定期开展风险分析，并根据结果对安全措施进行补充或调整。(不符合扣5分)√√√指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划系统建设管理10检查是否指定和授权专门的部门对信息系统安全建设进行安全总体规划；(不符合扣5分)检查是否制定近期和远期的安全建设工作计划(不符合扣5分)√√√组织相关部门和有关安全技术专家对等级保护方案的合理性和正确性进行论证和审定，并且经过批准后，才能正式实施；系统建设管理10检查是否组织相关部门和有关安全技术专家对信息系统等级保护方案的合理性和正确性进行论证和审定(不符合扣5分)检查信息系统等级保护方案是否有相关部门的批准才能正式实施(不符合扣5分)√√√根据等级测评、安全评估的结果定期调整和修订等级保护方案。系统建设管理10检查是否开展等级测评或安全评估，并根据结果定期调整和修订等级保护方案(不符合扣10分)√√√系统备案指定专门的部门或人员负责管理系统定级的相关材料，并控制这些材料的使用；系统建设管理10检查是否有专门的人员或部门负责管理系统定级报告的相关文档，并严格控制相关文档的使用(不符合扣10分)√√√将系统等级及相关材料报系统主管部门备案；系统建设管理10检查是否系统主管部门是否保留系统定级备案材料(不符合扣10分)√√将系统等级及其他要求的备案材料报相应公安机关备案系统建设管理10检查是否将备案材料上报相应的公安机关，并保存备案的记录或证明(不符合扣10分)√√等级测评在系统运行过程中，至少每年对系统进行一次等级测评，发现不符合相应等级保护标准要求的及时整改；系统建设管理10检查信息系统是否有等级保护测评报告(没有该项不得分)检查等级保护测评报告的时间，是否每年至少进行一次(不符合扣5分)抽查等级保护测评报告中的不符合项是否有整改计划和实施记录(不符合扣5分)√√√在系统发生变更时及时对系统进行等级测评，发现级别发生变化的及时调整级别并进行安全改造，发现不符合相应等级保护标准要求的及时整改；系统建设管理10检查管理要求中的相关规定，是否明确系统发生变更时要进行等级保护测评；(没有该项不得分)抽查发生变更的系统是否有等级测评报告(不符合扣5分)等级保护测评报告中的不符合项是否有整改计划和实施记录(不符合扣5分)√√√选择具有相关技术资质和安全资质的测评单位进行等级测评；系统建设管理10检查管理要求中的相关规定，是否明确要求选择具有相关技术资质和安全资质的测评单位进行等级测评(没有该项不得分)抽查等级保护测评报告，查看测评单位是否符合相关要求(不符合扣5分)√√√指定或授权专门的部门或人员负责等级测评的管理系统建设管理10检查管理要求中的相关规定，是否明确指定或授权专门的部门或人员负责等级测评的管理(不符合扣10分)√√√信息安全评估管理（小计：80分）检查项目检查内容等级保护标准分值评分标准实际得分CIA信息安全评估、评测管理制定评估、评测管理办法安全管理20查看评估、评测管理相关文件(不符合扣20分)确定管理办法文件经过高层审批并颁发(不符合扣16分)√√√评估管理办法中应对规划、设计阶段的信息系统提出安全性评估要求安全管理10查看评估管理规定是否有相关要求(不符合扣10分)√√√新系统上线必须通过运行环境安全性评估、系统软件安全性评测安全管理20查看评测管理相关文件是否有相关内容(不符合扣10分)抽查1～2个系统，查看是否进行了相关安全评估和评测工作(不符合扣10分)√√√管理信息系统定期开展信息安全风险评估工作安全管理20查看是否有定期对管理信息系统风险评估的记录或报告(不符合扣20分)√√√系统更新或设备报废时，对废弃系统和设备中残留数据执行评估和销毁程序系统运维管理10查看是否有系统更新或设备报废的数据清除或销毁记录(不符合扣10分)√√√信息安全的宣传与培训（小计：80分）检查项目检查内容等级保护标准分值评分标准实际得分CIA信息安全宣传协调政工等部门进行信息安全宣传工作人员安全管理10查看是否有信息安全相关宣传工作的记录(不符合扣10分)√√√对外来工作人员进行本单位信息安全政策的宣传和提示人员安全管理10查看是否有对外来工作人员进行本单位信息安全政策和管理要求进行提示或宣传的证明(不符合扣10分)√√√信息安全培训对公司单位相关人员进行信息安全普及性培训与宣传工作人员安全管理10查看是否有信息安全普及性培训的工作记录(不符合扣10分)√对定期安全教育和培训进行书面规定，制定专业人员的信息安全培训计划、并进行专业的信息安全培训（包括信息安全基础知识、岗位操作规程等）人员安全管理20查看是否有对专业人员进行信息安全培训的管理要求(不符合，该项不得分)检查安全教育和培训计划文档，查看是否具有不同岗位的培训计划(不符合扣10分)检查计划是否明确了培训目的、培训方式、培训对象、培训内容、培训时间和地点等(不符合扣5分)检查培训内容是否包含信息安全基础知识、岗位操作规程等(不符合扣5分)√各单位信息化管理、运行等部门负责人、信息安全管理员、系统管理员、数据库管理员、网络管理员等在上岗前应经过网络与信息安全培训人员安全管理10查看是否有相关管理规定(不符合扣5分)查看有是否进行过岗前培训的证明(不符合扣5分)√对安全责任和惩戒措施进行书面规定并告知相关人员，对违反违背安全策略和规定的人员进行惩戒；人员安全管理10考查安全员、系统管理员、网络管理员和数据库管理员其对工作相关的信息安全基础知识、安全责任和惩戒措施等的理解程度(不符合扣10分)√√√对安全教育和培训的情况和结果进行记录并归档保存。人员安全管理10检查是否具有安全教育和培训记录(不符合，该项不得分)检查记录是否有培训人员、培训内容、培训结果等的描述(不符合扣5分)检查记录与培训计划是否一致(不符合扣5分)√√信息安全监督与考核（小计：90分）检查项目检查内容等级保护标准分值评分标准实际得分CIA信息安全监督建立信息安全监督机制，对所辖单位信息安全工作情况进行定期评价安全管理机构14查看是否有信息安全监督的文档(不符合扣7分)查看是否有监督的记录(不符合扣7分)√√√建立信息安全检查机制，确保在春秋安全大检查中对信息安全情况进行检查安全管理机构10查看是否有管理制度规定将信息安全纳入春秋安全大检查的工作中(不符合扣4分)检查当年的春检或秋检中是否进行了信息安全方面的检查工作(不符合扣6分)√√√落实公司同业对标工作安全管理10检查是否落实了公司同业对标工作(不符合扣10分)√√√信息安全考核建立信息安全考核办法，根据各单位信息安全状况、信息安全工作执行情况进行考核安全管理10检查信息安全考核相关管理规定中是否对信息安全状况、工作执行情况等提出了具体的考核办法(不符合扣10分)√√√将网络与信息安全防护工作的表现纳入员工的岗位责任制安全管理10查看相关岗位职责文件(不符合扣10分)√√√信息安全考核制度中明确了奖、惩办法安全管理6查看信息安全考核相关管理规定中是否有明确了奖惩办法(不符合扣6分)√√√定期对各个岗位的人员进行安全技能及安全认知的考核人员安全管理10检查是否有人负责定期对各个岗位人员进行安全技能及安全知识的考核(不符合扣10分)√√√对关键岗位的人员进行全面、严格的安全审查和技能考核人员安全管理10检查近年的考核记录(不符合扣10分)检查记录的考核人员是否包括各个岗位的人员(不符合扣5分)检查考核内容是否包含安全知识、安全技能等(不符合扣3分)检查记录日期与考核周期是否一致(不符合扣2分)√√√对考核结果进行记录并保存人员安全管理10检查是否对考核结果进行记录(不符合扣10分)考核记录至少保存五年(不符合扣5分)√√符合性管理（小计：100分）检查项目检查内容等级保护标准分值评分标准实际得分CIA法律符合性在信息系统相关的合同条文中明确适用的法律、法规条文安全管理10抽查1～2个信息系统建设合同文本，检查是否包含了相关法律、法规责任(不符合扣10分)√√√所有信息系统相关的合同应经过法律事务部门的审核安全管理10抽查1～2个信息系统建设合同文本，检查是否经过法律事务部门的审核(不符合扣10分)√√√制定系统运行管理技术人员不得利用职权侵犯他人隐私的管理规定安全管理10检查是否有相关管理内容(不符合扣10分)√√√知识产权保护制定或沿用上级单位知识产权管理的制度安全管理10检查是否有明确的知识产权相关管理制度(不符合扣10分)√√√在所有软件开发合同、协议中明确知识产权的归属安全管理20抽查相关合同、协议文件，查看知识产权保护的内容(不符合扣20分)√√√确保软件知识产权证书、文档、手册、源代码及可执行程序都已提交相关管理部门安全管理10抽查1～2个信息系统建设的归档文件，查看相关内容、记录是否齐全(一项缺失扣5分)√√√在集成、开发、采购合同中向乙方提出确保系统来源合法，提交相应产权证明材料的要求安全管理20抽查1～2个信息系统集成或采购合同文本，查看是否有相关的要求(不符合扣10分)√√√制定限制内部员工在单位设备上私自使用、安装盗版软件的管理内容安全管理10查看是否有相关管理内容(不符合扣10分)√√√信息安全运行维护评估（总计：1400分）信息系统运行管理（小计：455分）检查项目检查内容等级保护标准分值评分标准实际得分CIA运行管理根据公司总部颁发的信息系统运行管理规程制订本单位的运行管理规程安全管理20检查是否有运行管理规程(没有扣20分)√√√机房出入管理制度张贴于恰当的位置安全管理15检查相关制度是否张贴于机房墙壁上(没有扣15分)√√√近3个月的机房进出情况安全管理20检查近三个月机房的进出记录(没有扣20分)√√√运行值班制度中应规定普通情况下5＊8小时、关键时期7＊24小时的现场值班内容安全管理20检查是否有相关的值班要求(没有扣20分)√√√对值班人员的值班计划进行安排，近3个月值班记录内容安全管理15检查近三个月的值班安排和记录表(没有扣15分)√√√监控管理和安全管理中心对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警，形成记录并妥善保存；系统运维管理15检查相关管理制度中是否明确要求对通信线路、主机、网络设备和应用软件进行监测和报警(没有扣10分)检查近三个月的监测记录(没有扣5分)√√组织相关人员定期对监测和报警记录进行分析、评审，发现可疑行为，形成分析报告，并采取必要的应对措施；系统运维管理20检查是否明确相关人员定期对监测和报警记录进行分析、评审(没有扣10分)检查分析报告和应对措施记录(没有扣10分)√√√建立安全管理中心，对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。系统运维管理15检查是否建立安全管理中心，对安全相关事项进行集中管理(没有扣15分)√√√网络安全管理指定专人对网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作；系统运维管理20检查是否指定专人对网络进行管理(没有扣10分)检查网络管理职责中是否明确要求其负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作(没有扣10分)√√√建立网络安全管理制度，对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定；系统运维管理15检查是否指定专人对网络进行管理(没有扣10分)检查网络管理职责中是否明确要求其负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作(没有扣5分)√√√根据厂家提供的软件升级版本对网络设备进行更新，并在更新前对现有的重要文件进行备份；系统运维管理15检查网络设备的软件版本(不符合扣10分)检查网络设备软件版本更新流程(不符合扣5分)√√定期对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进行及时的修补；系统运维管理20检查是否要求定期对网络系统进行漏洞扫描(没有扣10分)检查漏洞扫描的修补或整改记录(没有扣10分)√√√实现设备的最小服务配置，并对配置文件进行定期离线备份；系统运维管理20抽查网络设备是否按照最小服务原则进行配置(没有扣10分)检查网络配置文件是否定期进行离线备份(没有扣10分)√√保证所有与外部系统的连接均得到授权和批准；系统运维管理15检查是否具有内部网络所有外联的授权批准书(没有扣15分)√√√依据安全策略允许或者拒绝便携式和移动式设备的网络接入；系统运维管理20检查是否按照安全策略对便携或移动设备接入网络进行严格控制(没有扣20分)√√定期检查违反规定拨号上网或其他违反网络安全策略的行为系统运维管理20检查管理要求中的相关规定中是否明确要求定期检查违反规定拨号上网或其它违反网络安全策略的行为(没有扣20分)√√√系统安全管理定期进行漏洞扫描，对发现的系统安全漏洞及时进行修补；系统运维管理15检查是否定期进行漏洞扫描(没有扣10分)检查漏洞扫描记录和对发现漏洞的处理或整改记录(没有扣5分)√√√安装系统的最新补丁程序，在安装系统补丁前，首先在测试环境中测试通过，并对重要文件进行备份后，方可实施系统补丁程序的安装；系统运维管理15检查系统的安全补丁是否安装到最新(没有扣10分)检查系统的安全补丁更新流程是否满足相关要求(没有扣5分)√√建立系统安全管理制度，对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定；系统运维管理15检查是否将系统安全管理工作（包括系统安全配置、系统帐户、审计日志等）制度化(没有扣15分)√√√指定专人对系统进行管理，划分系统管理员角色，明确各个角色的权限、责任和风险，权限设定应当遵循最小授权原则；系统运维管理20检查是否指定专人负责系统安全管理(没有扣10分)检查是否根据系统管理员角色遵循最小授权原则进行权限划分(没有扣5分)对不常用的系统缺省用户是否采取了一定的处理手段阻止其继续使用(没有扣5分)√√√依据操作手册对系统进行维护，详细记录操作日志，包括重要的日常操作、运行维护记录、参数的设置和修改等内容，严禁进行未经授权的操作；系统运维管理15检查是否建立系统的操作手册，并按操作手册对系统进行维护(没有扣5分)检查操作日志，是否详细记录重要的日常操作、运行维护记录、参数设备和修改等内容(没有扣5分)核对系统日志，查看是否存在未经授权的操作记录(没有扣5分)√√√定期对运行日志和审计数据进行分析，以便及时发现异常行为系统运维管理15检查是否定期对运行日志和审计数据进行分析(没有扣10分)检查分析报告，是否及时发现异常行为并查找原因，及时处理(没有扣5分)√√√恶意代码防范管理提高所有用户的防病毒意识，及时告知防病毒软件版本，在读取移动存储设备上的数据以及网络上接收文件或邮件之前，先进行病毒检查，对外来计算机或存储设备接入网络系统之前也应进行病毒检查；系统运维管理15抽查用户终端防病毒软件的使用情况(没有扣5分)检查防病毒软件的版本(没有扣5分)检查防病毒软件设置的防护策略是否满足要求(没有扣5分)√√√指定专人对网络和主机进行恶意代码检测并保存检测记录；系统运维管理15检查是否设置专人进行网络和主机的恶意代码检测工作(没有扣10分)检查是否保存最近三个月的检测记录(没有扣5分)√√√对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定；系统运维管理15检查恶意代码防范管理制度，查看其内容是否覆盖防恶意代码软件的授权使用、恶意代码库升级、定期汇报等方面(没有扣15分)√√√定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录，对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理，并形成书面的报表和总结汇报系统运维管理15检查是否具有恶意代码检测记录、恶意代码库升级记录和分析报告(没有扣5分)查看升级记录是否记录升级时间、升级版本等内容(没有扣5分)查看分析报告是否描述恶意代码的特征、修补措施等内容(没有扣5分)√√√密码管理建立密码使用管理制度，使用符合国家密码管理规定的密码技术和产品系统运维管理15检查是否具有密码使用管理制度(没有扣15分)检查密码算法和密钥的使用是否遵照国家密码管理规定(没有扣10分)（扣完15分为止）√√√资产分类管理（小计：70分）检查项目检查内容等级保护标准分值评分标准实际得分CIA资产分类与标识编制并保存与信息系统相关的资产清单，包括资产责任部门、重要程度和所处位置等内容系统运维管理20查看资产清单(没有扣20分)√√√建立资产安全管理制度，规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行为系统运维管理20检查资产安全管理制度，查看其内容是否覆盖了资产使用、借用、维护等方面(没有扣10分)检查是否指定资产管理的责任人员或部门(没有扣5分)检查资产管理和使用行为是否规范(没有扣5分)√√√根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施系统运维管理15检查是否对资产进行赋值和标识管理，不同类别的资产是否采取不同的管理措施(没有扣15分)√√√对信息分类与标识方法作出规定，并对信息的使用、传输和存储等进行规范化管理系统运维管理15检查相关管理要求中是否明确对信息分类与标识方法进行规定(没有扣10分)查看其是否规定了分类标识的原则和方法（如根据数据的重要程度、敏感程度或用途不同进行分类）(没有扣5分)查看是否根据分类文档所描述的信息种类规定不同信息的使用、传输、存储等方面内容(没有扣5分)√√√配置与变更管理（小计105分）检查项目检查内容等级保护标准分值评分标准实际得分CIA配置管理对信息系统的配置参数进行管理、建立系统、设备的配置参数定义文件库（如：所有防火墙的规则配置文件）安全管理20检查是否建立了配置文件库(没有扣20分)√√对各系统初始化软硬件配置环境进行记录和备份系统运维管理20检查是否有初始化配置清单、或文件库(没有扣20分)√√变更管理对系统中发生的变更，应有流程对其进行确认并制定变更方案系统运维管理15检查是否有变更审核流程(没有扣10分)检查近一年的变更方案(没有扣5分)√√建立变更管理制度，系统发生变更前，向主管领导申请，变更和变更方案经过评审、审批后方可实施变更，并在实施后将变更情况向相关人员通告系统运维管理15检查重要系统变更前是否根据申报和审批程序得到有关领导的批准(没有扣5分)检查发生的变更情况是否通知了所有相关人员(没有扣5分)检查系统变更方案是否经过评审(没有扣5分)检查系统变更方案是否对变更类型、变更原因、变更过程、变更前评估等方面进行规定(没有扣5分)（扣完15分为止）√√建立变更控制的申报和审批文件化程序，对变更影响进行分析并文档化，记录变更实施过程，并妥善保存所有文档和记录系统运维管理20检查变更控制的申报、审批程序，查看其是否规定需要申报的变更类型、申报流程、审批部门、批准人等方面内容(没有扣10分)检查是否有系统变更影响分析文档(没有扣5分)检查近一年的系统变更实施记录(没有扣5分)√√建立中止变更并从失败变更中恢复的文件化程序，明确过程控制方法和人员职责，必要时对恢复过程进行演练系统运维管理15检查是否建立变更失败恢复程序(没有扣10分)查看是否变更失败后的恢复流程是否满足相关要求(没有扣5分)√√业务连续性管理（小计：460分）检查项目检查内容等级保护标准分值评分标准实际得分CIA应急预案根据公司应急预案管理办法制定相应的应急预案系统运维管理15查看是否有针对公司信息安全事件的应急预案(没有扣15分)√√√从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障系统运维管理15检查是否建立应急预案小组(没有扣5分)查看是否具备应急设备并能正常工作(没有扣5分)查看应急预案执行所需资金是否做过预算并能够落实(没有扣5分)√√√对系统相关的人员进行应急预案培训，应急预案的培训应至少每年举办一次系统运维管理15检查是否具有应急预案培训记录(没有扣10分)检查培训时间间隔是否小于一年(没有扣5分)√√√制定针对重要系统的专项应急预案系统运维管理15查看是否针对所有重要系统都有应急预案(没有扣15分)√√√定期对应急预案进行演练，根据不同的应急恢复内容，确定演练的周期系统运维管理15查看一年内的应急预案演练记录(没有扣15分)√√√所有相关人员应清楚地知道自己在应急响应中的角色和职责安全管理15根据应急预案，抽查3名相关人员，检查其是否明确自己的角色和职责(一人不清楚扣5分)√定期对应急预案进行评估和修订系统运维管理15检查近两年应急预案的评估和修订记录(没有扣15分)√√√安全事件处置按照XXX公司的要求建立及时的信息安全信息通报机制安全管理15检查是否有专人负责信息安全通报(没有扣9分)检查是否有通宝记录(没有扣6分)√√√报告所发现的安全弱点和可疑事件，但任何情况下用户均不应尝试验证弱点；系统运维管理15检查是否告知用户在发现安全弱点和可疑事件时应按相关要求及时报告并不尝试验证弱点(没有扣10分)检查是否对所报告的安全事件进行记录并保存(没有扣5分)√√√制定安全事件报告和处置管理制度，明确安全事件的类型，规定安全事件的现场处理、事件报告和后期恢复的管理职责；系统运维管理15检查安全事件报告和处置管理制度，查看其是否明确与安全事件有关的工作职责，包括报告单位（人）、接报单位（人）和处置单位等职责(没有扣15分)√√√根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响，对本系统计算机安全事件进行等级划分；系统运维管理15检查是否对系统已发生的和需要防止发生的安全事件分类(没有扣5分)检查对识别出的安全事件是否根据其对系统的影响程度划分不同等级(没有扣5分)检查安全事件定级文档，查看其内容是否明确安全事件的定义、安全事件等级划分的原则、等级描述等方面内容(没有扣5分)√√√制定安全事件报告和响应处理程序，确定事件的报告流程，响应和处置的范围、程度，以及处理方法等；系统运维管理15检查是否建立安全事件报告和处理程序(没有扣15分)查看其是否根据不同安全事件制定不同的处理和报告程序，是否明确具体报告方式、报告内容、报告人等方面内容(没有扣10分)（扣完15分为止）√√√在安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训，制定防止再次发生的补救措施，过程形成的所有文件和记录均应妥善保存；系统运维管理15查看安全事件记录分析文档是否记录引发安全事件的原因，是否记录事件处理过程，不同安全事件是否采取不同措施避免其再次发生(没有扣15分)√√√对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。系统运维管理15检查对重大的失、泄密事件是否向公安、安全、保密等国家部门汇报(没有扣15分)√√√主机备份关键业务系统主机应有备用设备安全管理15检查关键系统主机是否有备用设备(没有扣15分)√采用热备份方式的主机应进行故障切换测试安全管理15检查热备系统是否进行过切换测试(没有扣15分)√√采用负载均衡方式的系统主机应进行故障压力测试安全管理15检查负载均衡系