信息安全風(fēng)險(xiǎn)評(píng)價(jià)表匯總

1、精品表1:基本信息調(diào)查1.單位基本情況單位名稱單位地址（公章）聯(lián)系人聯(lián)系電話Email填表時(shí)間信息安全主管領(lǐng)導(dǎo)（簽字）職務(wù)檢查工作負(fù)責(zé)人（簽字）職務(wù)可修改編輯精品2.硬件資產(chǎn)情況2.1.網(wǎng)絡(luò)設(shè)備情況網(wǎng)絡(luò)設(shè)備名稱型號(hào)物理位置所屬網(wǎng)絡(luò) 區(qū)域IP地址/掩碼/網(wǎng)關(guān)系統(tǒng)軟件 及版本端口類型 及數(shù)量主要用途是否熱備重要程度2.2.安全設(shè)備情況安全設(shè)備名稱型號(hào)（軟件/ 硬件）物理位 置所屬網(wǎng)絡(luò) 區(qū)域IP地址/掩碼/網(wǎng) 關(guān)系統(tǒng)及運(yùn)行 平臺(tái)端口類型及 數(shù)量主要用途是否熱備重要程 度可修改編輯精品2.3.服務(wù)器設(shè)備情況設(shè)備名稱型號(hào)物理位置所屬網(wǎng)絡(luò) 區(qū)域IP地址/掩碼/網(wǎng)關(guān)操作系統(tǒng) 版本/補(bǔ)丁安裝應(yīng)用系統(tǒng)軟 件名稱

2、主要業(yè)務(wù)應(yīng) 用涉及數(shù)據(jù)是否熱備2.4.終端設(shè)備情況終端設(shè)備名稱型號(hào)物理位置所屬網(wǎng)絡(luò) 區(qū)域設(shè)備數(shù)量IP地址/掩碼/網(wǎng)關(guān)操作系統(tǒng)安裝應(yīng)用系統(tǒng)軟 件名稱涉及數(shù)據(jù)主要用途填寫說(shuō)明網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機(jī)等。安全設(shè)備：防火墻、入侵檢測(cè)系統(tǒng)、身份鑒別等。服務(wù)器設(shè)備：大型機(jī)、小型機(jī)、服務(wù)器、工作站、臺(tái)式計(jì)算機(jī)、便攜計(jì)算機(jī)等。終端設(shè)備：辦公計(jì)算機(jī)、移動(dòng)存儲(chǔ)設(shè)備。重要程度：依據(jù)被檢查機(jī)構(gòu)數(shù)據(jù)所有者認(rèn)為資產(chǎn)對(duì)業(yè)務(wù)影響的重要性填寫非常重要、重要、一般?？尚薷木庉嬀?.軟件資產(chǎn)情況3.1.系統(tǒng)軟件情況系統(tǒng)軟件名稱版本軟件1商硬件平臺(tái)涉及應(yīng)用系統(tǒng)3.2.應(yīng)用軟件情況應(yīng)用系統(tǒng)軟件名稱開發(fā)商硬件/軟件平臺(tái)C/S或B

3、/S模式涉及數(shù)據(jù)現(xiàn)有用戶數(shù)量主要用戶角色填寫說(shuō)明系統(tǒng)軟件：操作系統(tǒng)、系統(tǒng)服務(wù)、中間件、數(shù)據(jù)庫(kù)管理系統(tǒng)、開發(fā)系統(tǒng)等。應(yīng)用軟件：項(xiàng)目管理軟件、網(wǎng)管軟件、辦公軟件等?？尚薷木庉嬀?服務(wù)資產(chǎn)情況4.1本年度信息安全服務(wù)情況服務(wù)類型服務(wù)方單位名稱服務(wù)內(nèi)容服務(wù)方式（現(xiàn)場(chǎng)、非現(xiàn)場(chǎng)）填寫說(shuō)明服務(wù)類型包括：1.網(wǎng)絡(luò)服務(wù)；2.安全工程；3.災(zāi)難恢復(fù)；4安全運(yùn)維服務(wù)；5.安全應(yīng)急響應(yīng)；6.安全培訓(xùn)；7.安全咨詢；8.安全風(fēng)險(xiǎn)評(píng)估；9.安全審計(jì);10安全研發(fā)。.人員資產(chǎn)情況.1、信息系統(tǒng)人員情況崗位名稱崗位描述人數(shù)兼任人數(shù)填寫說(shuō)明崗位名稱：1、數(shù)據(jù)錄入員；2、軟件開發(fā)員；3、桌面管理員；4、系統(tǒng)管理員；5、安全管理

4、員；6、數(shù)據(jù)庫(kù)管理員；7、網(wǎng)絡(luò)管理員；8、質(zhì)量管理員?？尚薷木庉嬀?文檔資產(chǎn)情況6.1怎息系統(tǒng)安全文檔列表文檔類別文檔名稱填寫說(shuō)明信息系統(tǒng)文檔類別：信息系統(tǒng)組織機(jī)構(gòu)及管理制度、信息系統(tǒng)安全設(shè)計(jì)、實(shí)施、運(yùn)維文檔；系統(tǒng)開發(fā)程序文件、資料等?？尚薷木庉嬀?信息系統(tǒng)情況系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D網(wǎng)絡(luò)結(jié)構(gòu)圖要求：1、應(yīng)該標(biāo)識(shí)出網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備和主要終端設(shè)備及其名稱;2、應(yīng)該標(biāo)識(shí)出服務(wù)器設(shè)備的IP地址；3、應(yīng)該標(biāo)識(shí)網(wǎng)絡(luò)區(qū)域劃分等情況；4、應(yīng)該標(biāo)識(shí)網(wǎng)絡(luò)與外部的連接等情況；5、應(yīng)該能夠?qū)φ站W(wǎng)絡(luò)結(jié)構(gòu)圖說(shuō)明所有業(yè)務(wù)流程和系統(tǒng)組成?？尚薷木庉嬀啡绻粡垐D無(wú)法表示，可以將核心部分和接入部分分別畫出，或以多張圖表示。7.

5、2、信息系統(tǒng)承載業(yè)務(wù)情況信息系統(tǒng)名稱業(yè)務(wù)描述業(yè)務(wù)處理信息 類別用戶數(shù)量用戶分布范圍重要程度是否通過(guò)第三方安全 測(cè)評(píng)填寫說(shuō)明：1、用戶分布范圍欄填寫全國(guó)、全省、本地區(qū)、本單位2、業(yè)務(wù)處理信息類別一欄填寫：a）國(guó)家秘密信息；b）非密敏感信息（機(jī)構(gòu)或公民的專有信息）；c）可公開信息3、重要程度欄填寫非常重要、重要、一般4、如通過(guò)測(cè)評(píng)，請(qǐng)?zhí)顚憰r(shí)間和測(cè)評(píng)機(jī)構(gòu)名稱。73信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)情況網(wǎng)絡(luò)區(qū)域名稱主要業(yè)務(wù)和信息描述ip網(wǎng)段地址服務(wù)器 數(shù)量與其連接的其它 網(wǎng)絡(luò)區(qū)域網(wǎng)絡(luò)區(qū)域邊 界設(shè)備重要程度責(zé)任部門填寫說(shuō)明：1、網(wǎng)絡(luò)區(qū)域主要包括：服務(wù)器域、數(shù)據(jù)存儲(chǔ)域、網(wǎng)管域、數(shù)據(jù)中心域、核心交換域、涉密終端域、辦公域、接

6、入域和外聯(lián)域等;2、重要程度填寫非常重要、重要、一般。74外聯(lián)線路及設(shè)備端口（網(wǎng)絡(luò)邊界）情況外聯(lián)線路名稱所屬網(wǎng)絡(luò)區(qū)域|連接對(duì)象接入線路種類傳輸速率（帶寬）P線路接入設(shè)備承載主要業(yè)務(wù)應(yīng)用備注可修改編輯精品（邊界名稱）75業(yè)務(wù)數(shù)據(jù)情況數(shù)據(jù)名稱數(shù)據(jù)使用者或管理 者及其訪問權(quán)限數(shù)據(jù)安全性要求數(shù)據(jù)總量及日增 量涉及業(yè)務(wù)應(yīng)用涉及存儲(chǔ)系統(tǒng)與 處理設(shè)備保密完整可用注:數(shù)據(jù)安全性要求每項(xiàng)填寫高、中、底76數(shù)據(jù)備份情況備份數(shù)據(jù)名介質(zhì)類型備份周期保存期是否異地保存:過(guò)期處理方法所屬備份系統(tǒng)備注7.7、一年來(lái)信息安全事件情況安全事件類別特別重大事 件次數(shù)重大事件次數(shù)較大事件次數(shù)一般事件次數(shù)線路接入設(shè)備承載主要業(yè)務(wù)應(yīng)用

7、備注有害程序安全事件網(wǎng)絡(luò)攻擊事件信息破壞事件信息內(nèi)容安全事件設(shè)備設(shè)施故障可修改編輯精品災(zāi)害性事件其它事件注：安全事件的類別和級(jí)別定義請(qǐng)參照GB/Z20986-2007信息安全事件分類分級(jí)指南可修改編輯精品表2:安全狀況調(diào)查.安全管理機(jī)構(gòu)安全組織體系是否健全，管理職責(zé)是否明確，安全管理機(jī)構(gòu)崗位 設(shè)置、人員配備是否充分合理。序號(hào)檢查項(xiàng)結(jié)果備注1.信息安全管理 機(jī)構(gòu)設(shè)置口以下發(fā)公文方式正式設(shè)置了信息安全管理工作的 專門職能機(jī)構(gòu)?？谠O(shè)立了信息安全管理工作的職能機(jī)構(gòu)，但還不是專門的職能機(jī)構(gòu)?？谄渌?。2.信息安全管理 職責(zé)分工情況口信息安全管理的各個(gè)方卸職責(zé)有正式的書面分工， 并明確具體的責(zé)任人?？谟忻鞔_

8、的職責(zé)分，但責(zé)任人不明確?？谄渌?。3.人員配備口配備一定數(shù)量的系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、安全管理人員等；安全管理人員不能兼任網(wǎng)絡(luò)管理員、 系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員等?？谂鋫湟欢〝?shù)量的系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、安全管理人員等，但安全管理人員兼任網(wǎng)絡(luò)管理員、系 統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員等?？谄渌?。4.關(guān)鍵安全管理 活動(dòng)的授權(quán)和 審批口定義關(guān)鍵安全管理活動(dòng)的列表， 并有正式成文的審 批程序，審批活動(dòng)有完整的記錄。口有正式成文的審批程序， 但審批活動(dòng)沒有完整的記 錄。:口其它。5.與外部組織溝 通合作口與外部組織建立溝通合作機(jī)制，并形成正式文件和 程序?？谂c外部組織僅進(jìn)行了溝通合作的口頭承諾?？谄渌?/p>

9、。6.與組織機(jī)構(gòu)內(nèi) 部溝通合作口各部門之間建立溝通合作機(jī)制，并形成正式文件和 程序?？诟鞑块T之間的溝通合作基于慣例，未形成正式文件 和程序?？谄渌??？尚薷木庉嬀?安全管理制度安全策略及管理規(guī)章制度的完善性、 可行性和科學(xué)性的有關(guān)規(guī)章 制度的制定、發(fā)布、修訂及執(zhí)行情況。檢查項(xiàng)結(jié)果備注1信息安全策略口明確信息安全策略，包括總體目標(biāo)、范圍、原則 和安全框架等內(nèi)容?？诎ㄏ嚓P(guān)文件，但內(nèi)容覆蠱/、全面?？谄渌?安全管理制度口安全管理制度覆蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、 應(yīng)用、建設(shè)和管理等層面的重要管理內(nèi)容?？谟邪踩芾碇贫?，但不全而面?？谄渌?操作規(guī)程口應(yīng)對(duì)安全管理人員或操作人員執(zhí)行的重要管理操 作

10、建立操作規(guī)程?？谟胁僮饕?guī)程，但不全面?？谄渌?。4安全管理制度 的論證和審定口組織相關(guān)人員進(jìn)行正式的論證和審定，具備論證 或?qū)彾ńY(jié)論?？谄渌?。5安全管理制度 的發(fā)布口文件發(fā)布具備明確的流程、方式和對(duì)象范圍。口部分文件的發(fā)布不明確?？谄渌?。6安全管理制度 的維護(hù)口有正式的文件進(jìn)行授權(quán)專門的部門或人員負(fù)責(zé)安 全管理制度的制定、保存、銷毀、版本控制，并定期 評(píng)審與修訂?？诎踩芾碇贫确稚⒐芾?，缺之定期修訂?？谄渌?執(zhí)行情況口所有操作規(guī)程的執(zhí)行都具備詳細(xì)的記錄文檔?？诓糠植僮饕?guī)程的執(zhí)行都具備詳細(xì)的記錄文檔?？谄渌??？尚薷木庉嬀?人員安全管理人員的安全和保密意識(shí)教育、安全技能培訓(xùn)情況，重點(diǎn)、敏感崗 位

11、人員有無(wú)特殊管理措施以及對(duì)外來(lái)人員的管理情況。序號(hào)檢查項(xiàng)結(jié)果備注1.重點(diǎn)、敏感 崗位人員 錄用和審 查口為與信息安全密切相關(guān)的重點(diǎn)、敏感崗位人員制定特殊 的錄用要求。對(duì)被錄用人的身份、背景和專業(yè)資格進(jìn)行審 查，對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核，有嚴(yán)格的制度規(guī)定 要求?？谄渌?。2保密協(xié)議 的簽署口與從事關(guān)鍵崗位的人員簽署保密協(xié)議，包括保密范圍、 保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人簽字等內(nèi) 容?？谄渌?。3人員離崗口規(guī)范人員離商過(guò)程，有具體的離崗控制方法， 及時(shí)終止 離崗人員的所有訪問權(quán)限并取回各種身份證件、鑰匙、徽 章等以及機(jī)構(gòu)提供的軟硬件設(shè)備?？谄渌?。4安全意識(shí) 教育口根據(jù)崗位要求進(jìn)行有針對(duì)

12、性的信息安全意識(shí)培訓(xùn)?？谖锤鶕?jù)崗位要求進(jìn)行有針對(duì)性的信息安全意識(shí)培訓(xùn)，僅開展全員安全意識(shí)教育?？谄渌?。5安全技能 培訓(xùn)口制定了有針對(duì)性的安全技能培訓(xùn)計(jì)劃，培訓(xùn)內(nèi)容包含信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等，并認(rèn)真實(shí)施，而且有 培訓(xùn)記錄?？诎踩寄芘嘤?xùn)針對(duì)性不強(qiáng)，效果不顯著?？谄渌?。6在崗人員 考核口定期對(duì)所有人員進(jìn)行安全技能及安全知識(shí)的考核，對(duì)重點(diǎn)、敏感崗位的人員進(jìn)行全面、嚴(yán)格的安全審查?？趦H對(duì)重點(diǎn)、敏感崗位的人員進(jìn)行全面、嚴(yán)格的安全審查， 未普及到全員?？谄渌?。7懲戒措施口告知人員相關(guān)的安全責(zé)任和懲戒措施，并對(duì)違反違背安全策略和規(guī)定的人員進(jìn)行懲戒?？谟袘徒浯胧?，但效果不佳?？谄渌?。8外部人員 訪問

13、管理口外部人員訪問受控區(qū)域前得到授權(quán)或?qū)徟?，批?zhǔn)后曲專人全程陪同或監(jiān)督，并登記備案?？谕獠咳藛T訪問受控區(qū)域前得到授權(quán)或?qū)徟?，但不能全程陪同或監(jiān)督。口其它?？尚薷木庉嬀?系統(tǒng)建設(shè)管理關(guān)鍵資產(chǎn)采購(gòu)時(shí)是否進(jìn)行了安全性測(cè)評(píng)， 對(duì)服務(wù)機(jī)構(gòu)和人員的保 密約束情況如何，在服務(wù)提供過(guò)程中是否采取了管控措施。 信息系統(tǒng) 開發(fā)過(guò)程中設(shè)計(jì)、開發(fā)和驗(yàn)收的管理情況。序號(hào)檢查項(xiàng)結(jié)果備注1關(guān)鍵資產(chǎn)米 購(gòu)時(shí)進(jìn)行安 全性測(cè)評(píng)口相關(guān)專門部門負(fù)責(zé)產(chǎn)品的米購(gòu)，產(chǎn)品的選用符合 國(guó)家的有美規(guī)定。資產(chǎn)采購(gòu)之前進(jìn)行選型測(cè)試，確定產(chǎn)品 的候選范圍，具有產(chǎn)品選型測(cè)試結(jié)果、候選產(chǎn)品名單審定 記錄或更新的候選產(chǎn)品名單，經(jīng)過(guò)主管信息安全領(lǐng)導(dǎo)批準(zhǔn)?？?/p>

14、專門部門負(fù)責(zé)產(chǎn)品的米購(gòu)，產(chǎn)品的選用符合國(guó)家的有美 規(guī)定?？陉P(guān)鍵資產(chǎn)米購(gòu)未進(jìn)行安全性測(cè)試或未經(jīng)過(guò)主管信息安 全領(lǐng)導(dǎo)批準(zhǔn)。2服務(wù)機(jī)構(gòu)和 人員的選擇口在具有資格的服務(wù)機(jī)構(gòu)中進(jìn)行選擇，通過(guò)內(nèi)部和專家的評(píng)選。對(duì)服務(wù)機(jī)構(gòu)的人員，審查具所具有的資 格?？趯?duì)服務(wù)機(jī)構(gòu)的能力進(jìn)行了詳細(xì)的審查?？诜?wù)機(jī)構(gòu)和人員的選擇未經(jīng)過(guò)審查和篩選。3保密約束口簽訂的安全責(zé)任合同書或保密協(xié)議包含服務(wù)內(nèi)容、保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的 簽字等。定期考察其服務(wù)質(zhì)量和保密情況。口簽訂的安全責(zé)任合同書或保密協(xié)議明確規(guī)定各項(xiàng)內(nèi)容。 但無(wú)監(jiān)督考察機(jī)制?？谖春炗喓霞s或簽訂了安全責(zé)任合同書或保密協(xié)議，但服務(wù)范圍、安全責(zé)任

15、等未明確規(guī)定。4服務(wù)管控措 施口制定了詳細(xì)的服務(wù)審核要求和規(guī)范。對(duì)服務(wù)提供過(guò)程中的重要操作進(jìn)行審核，并要求服務(wù)機(jī)構(gòu)定期提供服務(wù)的情 況匯總。每半年組織內(nèi)部檢查， 審查服務(wù)機(jī)構(gòu)的服務(wù)質(zhì)量?？诙ㄆ谶M(jìn)行檢查。但缺之規(guī)范的檢查內(nèi)容和要求?？谖床捎萌魏喂芸卮胧?。5系統(tǒng)安全方 案制定口根據(jù)信息系統(tǒng)安全保障要求，書面形式加以描述， 形成能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采購(gòu)和使用的詳細(xì)設(shè)計(jì)方 案，并經(jīng)過(guò)專家論證和審定?？谛纬赡苤笇?dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品米購(gòu)和使用的概要 設(shè)計(jì)方案，內(nèi)部相關(guān)部門審定?？谌敝w系化的安全方案。6信息系統(tǒng)開 發(fā)口根據(jù)軟件開發(fā)管理制度， 各類開發(fā)文檔齊全，信息系統(tǒng) 均經(jīng)過(guò)功能、安全測(cè)試，并

16、形成測(cè)試報(bào)告?？陂_發(fā)文檔不全面，僅在內(nèi)部進(jìn)行功能測(cè)試?？跓o(wú)開發(fā)文檔，或外包開發(fā)，沒有源代碼或有源代碼但未 經(jīng)過(guò)全面的安全測(cè)試。7信息系統(tǒng)建 設(shè)實(shí)施過(guò)程口制定詳細(xì)的實(shí)施方案， 并經(jīng)過(guò)審定和批準(zhǔn)， 指定或授權(quán) 專門的部門或人員按照實(shí)施方案的要求控制整個(gè)過(guò)程?？尚薷木庉嬀愤M(jìn)度和質(zhì)里 控制口制定簡(jiǎn)要實(shí)施方案，指定或授權(quán)專門的部門或人員控制 整個(gè)過(guò)程?？跓o(wú)實(shí)施方案或無(wú)專人管理實(shí)施過(guò)程。8.信息系統(tǒng)驗(yàn) 收口制定驗(yàn)收方案，組織相關(guān)部門和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn) 收?qǐng)?bào)告進(jìn)行審定，詳細(xì)記錄驗(yàn)收結(jié)果，形成驗(yàn)收?qǐng)?bào)告。重 要的信息系統(tǒng)在驗(yàn)收前，組織專業(yè)的第二方測(cè)評(píng)機(jī)構(gòu)進(jìn)行 測(cè)評(píng)。口組織了驗(yàn)收活動(dòng)，但缺乏專業(yè)人員進(jìn)行全面

17、的驗(yàn)收測(cè) 試?？谖唇M織驗(yàn)收。5,系統(tǒng)運(yùn)維管理設(shè)備、系統(tǒng)的操作和維護(hù)記錄，變更管理，安全事件分析和報(bào)告; 運(yùn)行環(huán)境與開發(fā)環(huán)境的分離情況；安全審計(jì)、補(bǔ)丁升級(jí)管理、安全漏 洞檢測(cè)、網(wǎng)管、權(quán)限管理及密碼管理等情況，重點(diǎn)檢查系統(tǒng)性能的監(jiān) 控措施及運(yùn)行狀況。序號(hào)檢查項(xiàng)結(jié)果備注1.環(huán)境管理口有機(jī)房安全管理制度，并配備機(jī)房安全管理人員，對(duì)機(jī) 房供配電等設(shè)施、設(shè)備和人員出入機(jī)房進(jìn)行嚴(yán)格管理?？谂鋫錂C(jī)房安全管理人員，對(duì)機(jī)房供配電等設(shè)施、設(shè)備和 人員出入機(jī)房進(jìn)行管理?？谄渌?。2.資產(chǎn)管理口資產(chǎn)清單記錄內(nèi)容與實(shí)際使用的計(jì)算機(jī)設(shè)備及其屬性 內(nèi)容完全一致?？谫Y產(chǎn)清單內(nèi)容與實(shí)際使用的計(jì)算機(jī)設(shè)備及其屬性內(nèi)容， 在數(shù)量上一致，

18、但在部分屬性記錄上有偏差?？谄渌?。3.介質(zhì)管理口對(duì)介質(zhì)的存放環(huán)境、使用、維護(hù)和銷毀等方面米取嚴(yán)格 的控制措施?？趯?duì)介質(zhì)的存放環(huán)境、使用、維護(hù)和銷毀等方面米取了部 分控制措施?？谄渌?。4.設(shè)備管理口對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備、線路等指定專門的部門或 人員定期進(jìn)行維護(hù)管理?？趯?duì)信息系統(tǒng)相關(guān)的各種設(shè)備、線路等指定專門的部門或 人員不定期進(jìn)行維護(hù)管理?？谄渌?.生產(chǎn)環(huán)境 與開發(fā)環(huán) 境的分離口生產(chǎn)環(huán)境與開發(fā)環(huán)境隔離?？谄渌?。6.系統(tǒng)監(jiān)控口對(duì)通信線路、關(guān)鍵服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行 情況能夠?qū)崟r(shí)監(jiān)測(cè)，并能及時(shí)分析報(bào)警日志?？趯?duì)通信線路、關(guān)鍵服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行 情況能夠不定期監(jiān)測(cè)，并能定

19、期分析報(bào)警日志。可修改編輯精品口其它。7.變更臂埋口系統(tǒng)發(fā)生重要變更前， 以書面形式向主管領(lǐng)導(dǎo)申請(qǐng)，審批后實(shí)施變更，并在實(shí)施后向相關(guān)人員通告，相關(guān)記錄保 存完好?？谙到y(tǒng)發(fā)生重要變更前， 向主管領(lǐng)導(dǎo)申請(qǐng)，審批后實(shí)施變 更，并在實(shí)施后向相關(guān)人員通告?？谄渌?。8.補(bǔ)丁管理口補(bǔ)丁更新及時(shí)，并能在測(cè)試環(huán)境測(cè)試后安裝到運(yùn)行環(huán) 境?？诖蟛糠钟?jì)算機(jī)設(shè)備的補(bǔ)丁更新及時(shí)，只有少數(shù)由于應(yīng)用軟件代他不兼容而導(dǎo)致服務(wù)器補(bǔ)更新不及時(shí)?？谄渌?。9.安全事件 管理口制定安全事件報(bào)告和處置管理制度，能及時(shí)響應(yīng)安全事故，并從安全事故中學(xué)習(xí)總結(jié)?？谀芗皶r(shí)響應(yīng)安全事故?？谄渌?。10.風(fēng)險(xiǎn)評(píng)估口信息系統(tǒng)投入運(yùn)行后，應(yīng)每年至少進(jìn)彳L次關(guān)

20、鍵業(yè)務(wù)或 關(guān)鍵風(fēng)險(xiǎn)點(diǎn)的信息安全風(fēng)險(xiǎn)評(píng)估，每三年或信息系統(tǒng)發(fā)生 重大變更時(shí)，進(jìn)彳L次全面的信息安全風(fēng)險(xiǎn)評(píng)估工作?？谛畔⑾到y(tǒng)投入運(yùn)行后，每?jī)赡赀M(jìn)彳L次關(guān)鍵業(yè)務(wù)的信息 安全風(fēng)險(xiǎn)評(píng)估?？谄渌?。.物理安全機(jī)房安全管控措施、防災(zāi)措施、供電和通信系統(tǒng)的保障措施等。序號(hào)檢查項(xiàng)結(jié)果備注1物理位置選擇。機(jī)房和辦公場(chǎng)地所在的 建筑，抗拒人為破壞和 自然災(zāi)害的能力?？跈C(jī)房和辦公場(chǎng)地所在的建筑周邊具備防止 無(wú)關(guān)人員接近的措施，并且根據(jù)當(dāng)?shù)氐淖匀画h(huán) 境設(shè)置了必要的防震、防火和防水的措施?？跈C(jī)房和辦公場(chǎng)地所在的建筑具備基本的抗 拒人為破壞和自然災(zāi)害的能力，但防護(hù)強(qiáng)度后待提高?？谄渌?。2機(jī)房出入控制情況口設(shè)置專人和自動(dòng)化技術(shù)

21、措施，對(duì)出入機(jī)房 的人員進(jìn)行全面的鑒別、監(jiān)控和記錄?？谠O(shè)置專人或自動(dòng)化技術(shù)措施，對(duì)出入機(jī)房的人員進(jìn)行鑒別，但沒有監(jiān)控和完整的記錄?？谄渌?。3機(jī)房環(huán)境。機(jī)房配備防火、防水、 防雷、防靜電、溫度濕 度調(diào)節(jié)等措施，并提供口機(jī)房環(huán)境保障完全達(dá)到相關(guān)國(guó)家標(biāo)準(zhǔn)的要 求?？谏俨糠謾C(jī)房環(huán)境保障措施沒有達(dá)到有美標(biāo) 準(zhǔn)要求，但可以在短時(shí)間內(nèi)有效整改?？尚薷木庉嬀烦渥惴€(wěn)定的電源，為機(jī) 房中的設(shè)備提供良好的 運(yùn)行環(huán)境?？谄渌?電磁防護(hù)。電源線和通信線纜口米用接地方式防止外界電磁干擾和設(shè)備寄 生耦合干擾；電源線和通信線纜隔離，避免互 相干擾。業(yè)隔曷鋪設(shè)，避免 互相干擾?？谄渌？尚薷木庉嬀?網(wǎng)絡(luò)安全安全域劃分、邊

22、界防護(hù)、內(nèi)網(wǎng)防護(hù)、外部設(shè)備接入控制等情況。 網(wǎng)絡(luò)和信息系統(tǒng)的體系結(jié)構(gòu)、各類安全保障措施的組合是否合理。序號(hào)檢查項(xiàng)結(jié)果備注1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖口有正式的文檔化的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，且完全與實(shí)際運(yùn)行的網(wǎng)絡(luò)結(jié)構(gòu)相吻合。口有文檔化的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，關(guān)鍵部分吻 合?？谄渌?網(wǎng)絡(luò)冗余設(shè)計(jì)口對(duì)關(guān)鍵網(wǎng)絡(luò)設(shè)備進(jìn)行了冗余設(shè)計(jì)，以增強(qiáng)網(wǎng)絡(luò)的健壯性和可用性?？趯?duì)部分關(guān)鍵網(wǎng)絡(luò)設(shè)備進(jìn)行了冗余設(shè)計(jì)?？谄渌?網(wǎng)絡(luò)安全域劃分口按照信息資源的重要程度進(jìn)行了細(xì)致的安 全域劃分。口按照信息資源的重要程度進(jìn)行了基本的安 全域劃分。口其它。4安全域訪問控制口根據(jù)業(yè)務(wù)需要實(shí)施了嚴(yán)格的訪問控制措施。口實(shí)施了訪問控制措施，但訪問控制粒度較 粗?？?/p>

23、其它5網(wǎng)絡(luò)準(zhǔn)入控制。防止未授權(quán)人員接入 到網(wǎng)絡(luò)中來(lái)，以引入 安全風(fēng)險(xiǎn)。口有網(wǎng)絡(luò)準(zhǔn)入控制措施，且嚴(yán)格執(zhí)行?？诩河袦?zhǔn)入控制措施，但未嚴(yán)格執(zhí)行?？谄渌?。6網(wǎng)絡(luò)入侵防范口檢測(cè)網(wǎng)絡(luò)邊界處的網(wǎng)絡(luò)攻擊行為，發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警，并能及時(shí)響應(yīng)和處理?？跈z測(cè)網(wǎng)絡(luò)邊界處的網(wǎng)絡(luò)攻擊行為，并提供報(bào)警。口其它。7便于安全事件發(fā)生后 進(jìn)行溯源追蹤口配備審計(jì)設(shè)備且進(jìn)行了良好配置，能夠定期查看和分析審計(jì)日志。口配備審計(jì)設(shè)備且進(jìn)行了良好配置，但未能定期查看和分析審計(jì)日志?？谄渌？尚薷木庉嬀?設(shè)備和主機(jī)安全網(wǎng)絡(luò)交換設(shè)備、安全設(shè)備、主機(jī)和終端設(shè)備的安全性，操作系統(tǒng) 的安全配置、病毒防護(hù)、惡意代碼防范等。1）網(wǎng)絡(luò)設(shè)備、安全

24、設(shè)備和終端設(shè)備防護(hù)序 號(hào)檢查項(xiàng)結(jié)果備注1.設(shè)備用戶身份標(biāo)識(shí)?？诿總€(gè)設(shè)備的用戶擁有自己唯一的身份標(biāo)識(shí)。口根據(jù)用戶職責(zé)以小組為單位分配身份標(biāo)識(shí)。口其它。2.管理員登錄地址限 制。通過(guò)對(duì)管理員登錄 地址的限制，降低非 法網(wǎng)絡(luò)接入后取得 設(shè)備使用權(quán)限的可 能。口管理員只能通過(guò)有限的、 固定的IP地址和MAC 地址登錄?？诠芾韱T職能在一個(gè)固定的IP地址段登錄?？谄渌?.設(shè)備用戶身份鑒別。 通過(guò)嚴(yán)格的口令設(shè) 置和管理，保障身份 鑒別的準(zhǔn)確性。口設(shè)備的登錄密碼復(fù)雜不易猜測(cè)、定期更換且加 密存儲(chǔ)?？谠O(shè)備的登錄密碼復(fù)雜不易猜測(cè)且加密存儲(chǔ)，但 沒有做到定期更換?？谄渌?.登錄失敗處理。采用有效措施，對(duì)于失敗和異

25、常的登錄活動(dòng)進(jìn)行妥善處理口米取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登 錄連接超時(shí)自動(dòng)退出等措施。口米取結(jié)束會(huì)話、限制非法登錄次數(shù)的措施。口其它。5.管理信息防竊聽。米用有效措施對(duì)設(shè) 備的管理信息進(jìn)行 加密口對(duì)所有管理通信進(jìn)行了加密。口對(duì)鑒別信息的通信進(jìn)行了加密。口其它。2）操作系統(tǒng)安全序 號(hào)檢查項(xiàng)結(jié)果備注1.身份標(biāo)識(shí)。為操作系統(tǒng)和數(shù) 據(jù)庫(kù)系統(tǒng)用戶建 立身份標(biāo)識(shí)?？谒胁僮飨到y(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)為其所有用戶建立了 唯一的用戶標(biāo)識(shí)?？陉P(guān)鍵主機(jī)的操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)為其所有用戶 建立了唯一的用戶標(biāo)識(shí)，而具它主機(jī)和終端的操作系 統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)沒有為其所有用戶建立了唯一的用 戶標(biāo)識(shí)。口其它。2.身份鑒別。通過(guò)嚴(yán)

26、格的口令口所有操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的登錄密碼復(fù)雜不易 猜測(cè)、定期更換且加密存儲(chǔ)?？尚薷木庉嬀吩O(shè)置和管理，保障 對(duì)操作系統(tǒng)和數(shù) 據(jù)庫(kù)系統(tǒng)身份鑒 別的準(zhǔn)確性?？陉P(guān)鍵主機(jī)的操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)登錄密碼復(fù)雜 不易猜測(cè)、定期更換且加密存儲(chǔ)， 而其它主機(jī)和終端 的操作系統(tǒng)和數(shù)據(jù)庫(kù)的登錄密碼則不夠嚴(yán)格。口其它。3.訪問控制。加強(qiáng)服務(wù)器的用 戶權(quán)限管理?？谒蟹?wù)器的操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的特權(quán)用戶權(quán)限分離，默認(rèn)賬戶和口令進(jìn)行了修改， 無(wú)用的賬戶已刪除口關(guān)鍵主機(jī)的操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)機(jī)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的特權(quán)用戶權(quán)限分離， 默認(rèn)賬戶和口令進(jìn) 行了修改，無(wú)用的賬戶已刪除； 而具它主機(jī)和終端沒 后做到?？谄渌?/p>

27、4.為操作系統(tǒng)和數(shù) 據(jù)庫(kù)系統(tǒng)部署有 效的審計(jì)措施?？趯徲?jì)范圍覆蓋重要服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫(kù)的所有用戶的行為、資源使用情況和重要命令的執(zhí)行，以及這些活動(dòng)的時(shí)間、主體標(biāo)識(shí)、客體標(biāo)識(shí)以及結(jié)果； 審計(jì)記錄被妥善保存?？诮⒘酸槍?duì)重要服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫(kù)的審計(jì) 措施，但沒有達(dá)到以上所有的要求。口無(wú)審計(jì)措施。5.入侵防范。通過(guò)嚴(yán)格的安全 配置和補(bǔ)丁更新 消除可能被入侵 者利用的安全漏 洞。口操作系統(tǒng)僅安裝了必要的組件和應(yīng)用程序，僅開 放了必要的服務(wù)，并且及時(shí)保持補(bǔ)更新以消除嚴(yán)重 的安全漏洞。口操作系統(tǒng)僅安裝了必要應(yīng)用程序，關(guān)閉了大多數(shù) 無(wú)用的端口，刪除了大多數(shù)無(wú)用的系統(tǒng)組件，進(jìn)行了部分補(bǔ)更新?？谄渌?。6

28、.惡意代碼防范。通過(guò)防病毒技術(shù) 措施，對(duì)惡意代碼 進(jìn)行有效監(jiān)控口為服務(wù)器和終端安裝防惡意代碼軟件，及時(shí)更新 防惡意代碼軟件版本和惡意代碼庫(kù)；支持防惡意代碼軟件的統(tǒng)一管理?？跒榉?wù)器和終端安裝防惡意代碼軟件，但防惡意代碼軟件版本和惡意代碼庫(kù)更新不及時(shí)；支持防惡意代碼軟件的統(tǒng)一管理，但少量服務(wù)器和終端未覆蓋 到?？谄渌?.資源控制。對(duì)用戶使用操作 系統(tǒng)資源的情況 進(jìn)行合理的限制?？趯?duì)重要服務(wù)器的操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)通過(guò)設(shè)定 終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄， 并當(dāng)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的服務(wù)水平降低到預(yù)先 規(guī)定的最小值時(shí)，能夠監(jiān)測(cè)和報(bào)警。口當(dāng)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的服務(wù)水平降低到預(yù)先 規(guī)

29、定的最小值時(shí)，能夠監(jiān)測(cè)和報(bào)警?？谄渌？尚薷木庉嬀?應(yīng)用安全數(shù)據(jù)庫(kù)、WEB網(wǎng)站、日常辦公和業(yè)務(wù)系統(tǒng)等應(yīng)用的安全設(shè)計(jì)、 配置和管理情況；關(guān)鍵應(yīng)用系統(tǒng)開發(fā)過(guò)程中的質(zhì)量控制和安全性測(cè)試 情況。序號(hào)檢查項(xiàng)結(jié)果備注1.身份標(biāo)識(shí)和鑒別。采用專用的登錄 控制模塊對(duì)登錄 用戶進(jìn)行身份標(biāo) 識(shí)和鑒別口各個(gè)應(yīng)用系統(tǒng)均米用專用的登錄模塊，提供用 戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能，提供 登錄失敗處理功能。對(duì)關(guān)鍵應(yīng)用系統(tǒng)中的同一用戶 采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身 份鑒別。口關(guān)鍵系統(tǒng)中采用了身份標(biāo)識(shí)和鑒別，但鑒別信 息復(fù)雜度檢查功能不足，弱口令現(xiàn)象存在。對(duì)關(guān)鍵 應(yīng)用系統(tǒng)中的同一用戶采用一種鑒別技術(shù)實(shí)現(xiàn)

30、用 戶身份鑒別。口各個(gè)系統(tǒng)均未采用身份標(biāo)識(shí)與鑒別。2.訪問控制功能口不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán) 限，嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限，特權(quán)用戶的權(quán) 限分離，權(quán)限之間相互制約。訪問控制的粒度到數(shù) 據(jù)級(jí)?？诓煌瑤魴?quán)限不是最小的。訪問控制的粒度到 功能級(jí)。口訪問控制無(wú)限制。3.應(yīng)用系統(tǒng)安全審 計(jì)口應(yīng)用系統(tǒng)提供審計(jì)功能，對(duì)用戶的各類操作均 進(jìn)行細(xì)致的審計(jì)（例如，用戶標(biāo)識(shí)與鑒別、訪問控 制的所有操作記錄、重要用戶行為、系統(tǒng)資源的異 常使用、重要系統(tǒng)命令的使用等），并定期對(duì)應(yīng)用系統(tǒng)重要安全事件的審計(jì)記錄進(jìn)行檢查，分析異常 情況產(chǎn)生的原因。口應(yīng)用系統(tǒng)提供審計(jì)功能，但審計(jì)不全面，僅記 錄重要的事件和操

31、作?？趯?duì)用戶的操作不進(jìn)行審計(jì)。4.通信完整性。采用密碼技術(shù)保 證通信過(guò)程中數(shù) 據(jù)的完整性?？趯?duì)重要信息系統(tǒng)中的關(guān)鍵數(shù)據(jù)米用數(shù)據(jù)完整性 校驗(yàn)技術(shù)?？谄渌?.通信保密性。通信過(guò)程中的整 個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)行加密口應(yīng)用系統(tǒng)的敏感數(shù)據(jù)通信過(guò)程均米用國(guó)家有關(guān) 部門要求的密碼技術(shù)保證保密性?？趹?yīng)用系統(tǒng)的敏感數(shù)據(jù)通信時(shí)米用密碼技術(shù)保證 保密性，但未采用國(guó)家有關(guān)部門要求的密碼技術(shù)?？谖床捎么胧┍Ｗo(hù)通信保密性。可修改編輯精品6.應(yīng)用系統(tǒng)業(yè)務(wù)軟 件容錯(cuò)功能口提供數(shù)據(jù)有效性檢驗(yàn)功能，保證輸入的數(shù)據(jù)格 式和長(zhǎng)度符合系統(tǒng)設(shè)定要求。重要應(yīng)用系統(tǒng)提供自 動(dòng)保護(hù)功能，當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有狀 態(tài)，保證系統(tǒng)能夠進(jìn)行恢復(fù)

32、。口提供數(shù)據(jù)有效性檢驗(yàn)功能，但系統(tǒng)出現(xiàn)問題時(shí) 不能自動(dòng)恢復(fù)。:口不提供軟件容錯(cuò)功能。7.應(yīng)用系統(tǒng)資源控 制能力口對(duì)于重要的應(yīng)用系統(tǒng)，限制單個(gè)帳戶的多重并 發(fā)會(huì)話，當(dāng)應(yīng)用系統(tǒng)的服務(wù)水平降低到預(yù)先設(shè)定的 最小值時(shí)，系統(tǒng)報(bào)警。口對(duì)于重要的應(yīng)用系統(tǒng)，限制單個(gè)帳戶的多重并 發(fā)會(huì)話?？趹?yīng)用系統(tǒng)不提供資源控制功能。.數(shù)據(jù)安全數(shù)據(jù)訪問控制情況，服務(wù)器、用戶終端、數(shù)據(jù)庫(kù)等數(shù)據(jù)加密保護(hù) 能力，磁盤、光盤、U盤和移動(dòng)硬盤等存儲(chǔ)介質(zhì)管理情況，數(shù)據(jù)備份 與恢復(fù)手段等。序號(hào)檢查項(xiàng)結(jié)果備注1.業(yè)務(wù)數(shù)據(jù)完整性口對(duì)重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲(chǔ)時(shí)米取了必要 的完整性保證措施?？谄渌?.業(yè)務(wù)數(shù)據(jù)保密性口對(duì)重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲(chǔ)時(shí)米取了加密 措施?？谄渌?。3.配置數(shù)據(jù)文件口重要設(shè)備的配置數(shù)據(jù)文件離線存放，統(tǒng)一管 理。口重要設(shè)備的配置文件離線存放，