信息安全風險評估表匯總

檢查工作負責人（簽字）檢查工作負責人（簽字）表1:基本信息調查1.單位基本情況單位名稱單位地址（公章）聯(lián)系人Email信息安全主管領導（簽字）聯(lián)系電話填表時間

職務

職務信息安全風險評估表#-表2:安全狀況調查1.安全管理機構安全組織體系是否健全,管理職責是否明確,安全管理機構崗位設置、人員配備是否充分合理。序號檢杳項結果備注1。信息安全管理機構設置□以下發(fā)公文方式正式設置了信息安全管理工作的專門職能機構?！踉O立了信息安全管理工作的職能機構，但還不是專門的職能機構。□其它。2。信息安全管理職責分工情況□信息安全管理的各個方面職責有正式的書面分工，并明確具體的責任人?！跤忻鞔_的職責分工，但責任人不明確。□其它。3.人員配備□配備一定數(shù)量的系統(tǒng)管理人員、網絡管理人員、安全管理人員等；安全管理人員不能兼任網絡管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等?！跖鋫湟欢〝?shù)量的系統(tǒng)管理人員、網絡管理人員、安全管理人員等，但安全管理人員兼任網絡管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等。□其它。4。關鍵安全管理活動的授權和審批□定義關鍵安全管理活動的列表，并有正式成文的審批程序，審批活動有完整的記錄?！跤姓匠晌牡膶徟绦?，但審批活動沒有完整的記錄.□其它.5.與外部組織溝通合作□與外部組織建立溝通合作機制，并形成正式文件和程序?！跖c外部組織僅進行了溝通合作的口頭承諾.□其它。6。與組織機構內部溝通合作□各部門之間建立溝通合作機制，并形成正式文件和程序?！醺鞑块T之間的溝通合作基于慣例，未形成正式文件和程序?！跗渌?。

2。安全管理制度安全策略及管理規(guī)章制度的完善性、可行性和科學性的有關規(guī)章制度的制定、發(fā)布、修訂及執(zhí)行情況。檢杳項結果備注1信息安全朿略□明確信息安全策略，包括總體目標、范圍、原則和安全框架等內容。□包括相關文件，但內容覆蓋不全面?！跗渌?安全管理制度□安全管理制度覆蓋物理、網絡、主機系統(tǒng)、數(shù)據(jù)、應用、建設和管理等層面的重要管理內容。□有安全管理制度,但不全而面。□其它。3操作規(guī)程□應對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程?！跤胁僮饕?guī)程，但不全面?！跗渌?4安全管理制度的論證和審定□組織相關人員進行正式的論證和審定，具備論證或審定結論。□其它。5安全管理制度的發(fā)布□文件發(fā)布具備明確的流程、方式和對象范圍?！醪糠治募陌l(fā)布不明確?！跗渌?。6安全管理制度的維護□有正式的文件進行授權專門的部門或人員負責安全管理制度的制定、保存、銷毀、版本控制，并定期評審與修訂?！醢踩芾碇贫确稚⒐芾恚狈Χㄆ谛抻??！跗渌?。7執(zhí)行情況□所有操作規(guī)程的執(zhí)行都具備詳細的記錄文檔.□部分操作規(guī)程的執(zhí)行都具備詳細的記錄文檔?！跗渌?。3。人員安全管理人員的安全和保密意識教育、安全技能培訓情況，重點、敏感崗位人員有無特殊管理措施以及對外來人員的管理情況.序號檢杳項結果備注1。重點、敏感崗位人員錄用和審查□為與信息安全密切相關的重點、敏感崗位人員制定特殊的錄用要求。對被錄用人的身份、背景和專業(yè)資格進行審查，對技術人員的技術技能進行考核，有嚴格的制度規(guī)定要求?！跗渌?2保密協(xié)議的簽署□與從事關鍵崗位的人員簽署保密協(xié)議，包括保密范圍、保密責任、違約責任、協(xié)議的有效期限和責任人簽字等內容?！跗渌?人員離崗□規(guī)范人員離崗過程，有具體的離崗控制方法，及時終止離崗人員的所有訪問權限并取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備?！跗渌?。4安全意識教育□根據(jù)崗位要求進行有針對性的信息安全意識培訓。□未根據(jù)崗位要求進行有針對性的信息安全意識培訓，僅開展全員安全意識教育.□其它。5安全技能培訓□制定了有針對性的安全技能培訓計劃，培訓內容包含信息安全基礎知識、崗位操作規(guī)程等，并認真實施，而且有培訓記錄。□安全技能培訓針對性不強,效果不顯著?！跗渌?在崗人員考核□定期對所有人員進行安全技能及安全知識的考核，對重點、敏感崗位的人員進行全面、嚴格的安全審查?！鮾H對重點、敏感崗位的人員進行全面、嚴格的安全審查，未普及到全員。□其它。7懲戒措施□告知人員相關的安全責任和懲戒措施，并對違反違背安全朿略和規(guī)定的人員進行懲戒.□有懲戒措施，但效果不佳?！跗渌?。8外部人員訪問管理□外部人員訪問受控區(qū)域前得到授權或審批，批準后由專人全程陪同或監(jiān)督，并登記備案?！跬獠咳藛T訪問受控區(qū)域前得到授權或審批，但不能全程陪同或監(jiān)督.□其它。4。系統(tǒng)建設管理關鍵資產采購時是否進行了安全性測評，對服務機構和人員的保密約束情況如何，在服務提供過程中是否采取了管控措施。信息系統(tǒng)開發(fā)過程中設計、開發(fā)和驗收的管理情況。I序號|檢查項|結果I備注1關鍵資產采購時進行安全性測評□相關專門部門負責產品的采購，產品的選用符合國家的有關規(guī)定。資產采購之前進行選型測試，確定產品的候選范圍，具有產品選型測試結果、候選產品名單審定記錄或更新的候選產品名單，經過主管信息安全領導批準?！鯇ｉT部門負責產品的采購,產品的選用符合國家的有關規(guī)定?！蹶P鍵資產米購未進行安全性測試或未經過主管信息安全領導批準.2服務機構和人員的選擇□在具有資格的服務機構中進行選擇，通過內部和專家的評選?對服務機構的人員，審查其所具有的資格?！鯇Ψ諜C構的能力進行了詳細的審查?！醴諜C構和人員的選擇未經過審查和篩選.3保密約束□簽訂的安全責任合冋書或保密協(xié)議包含服務內容、保密范圍、安全責任、違約責任、協(xié)議的有效期限和責任人的簽字等?定期考察其服務質量和保密情況?！鹾炗喌陌踩熑魏蟽諘虮Ｃ軈f(xié)議明確規(guī)定各項內容?但無監(jiān)督考察機制?！跷春炗喓霞s或簽訂了安全責任合冋書或保密協(xié)議，但服務范圍、安全責任等未明確規(guī)定。4服務管控措施□制定了詳細的服務審核要求和規(guī)范。對服務提供過程中的重要操作進行審核，并要求服務機構定期提供服務的情況匯總.每半年組織內部檢查，審查服務機構的服務質量?！醵ㄆ谶M行檢查。但缺乏規(guī)范的檢查內容和要求.□未采用任何管控措施.5系統(tǒng)安全方案制定□根據(jù)信息系統(tǒng)安全保障要求，書面形式加以描述，形成能指導安全系統(tǒng)建設、安全產品采購和使用的詳細設計方案，并經過專家論證和審定?！跣纬赡苤笇О踩到y(tǒng)建設、安全產品采購和使用的概要設計方案,內部相關部門審定。□缺之體系化的安全方案。6信息系統(tǒng)開發(fā)□根據(jù)軟件開發(fā)管理制度，各類開發(fā)文檔齊全，信息系統(tǒng)均經過功能、安全測試，并形成測試報告?！蹰_發(fā)文檔不全面，僅在內部進行功能測試。□無開發(fā)文檔，或外包開發(fā)，沒有源代碼或有源代碼但未經過全面的安全測試。7信息系統(tǒng)建設實施過程進度和質量控制□制定詳細的實施方案，并經過申定和批準，指定或授權專門的部門或人員按照實施方案的要求控制整個過程?！踔贫ê喴獙嵤┓桨?指定或授權專門的部門或人員控制整個過程.□無實施方案或無專人管理實施過程。8。信息系統(tǒng)驗收□制定驗收方案，組織相關部門和相關人員對系統(tǒng)測試驗收報告進行審定，詳細記錄驗收結果，形成驗收報告。重要的信息系統(tǒng)在驗收前，組織專業(yè)的第三方測評機構進行測評?！踅M織了驗收活動，但缺乏專業(yè)人員進行全面的驗收測試。□未組織驗收。5.系統(tǒng)運維管理設備、系統(tǒng)的操作和維護記錄，變更管理，安全事件分析和報告；運行環(huán)境與開發(fā)環(huán)境的分離情況;安全審計、補丁升級管理、安全漏洞檢測、網管、權限管理及密碼管理等情況，重點檢查系統(tǒng)性能的監(jiān)控措施及運行狀況。序號檢杳項結果備注1.環(huán)境管理□有機房安全管理制度，并配備機房安全管理人員，對機房供配電等設施、設備和人員出入機房進行嚴格管理.□配備機房安全管理人員，對機房供配電等設施、設備和人員出入機房進行管理?！跗渌?2。資產管理□資產清單記錄內容與實際使用的計算機設備及其屬性內容完全一致。□資產清單內容與實際使用的計算機設備及其屬性內容，在數(shù)量上一致，但在部分屬性記錄上有偏差.□其它。3.介質管理□對介質的存放環(huán)境、使用、維護和銷毀等方面米取嚴格的控制措施?！鯇橘|的存放環(huán)境、使用、維護和銷毀等方面米取了部分控制措施.□其它。4.設備管理□對信息系統(tǒng)相關的各種設備、線路等指定專門的部門或人員定期進行維護管理。□對信息系統(tǒng)相關的各種設備、線路等指定專門的部門或人員不定期進行維護管理?！跗渌?5。生產環(huán)境與開發(fā)環(huán)境的分離□生產環(huán)境與開發(fā)環(huán)境隔離.□其它.6.系統(tǒng)監(jiān)控□對通信線路、關鍵服務器、網絡設備和應用軟件的運行情況能夠實時監(jiān)測，并能及時分析報警日志.□對通信線路、關鍵服務器、網絡設備和應用軟件的運行情況能夠不定期監(jiān)測，并能定期分析報警日志。□其它。7。變更管理□系統(tǒng)發(fā)生重要變更前，以書面形式向主管領導申請，審批后實施變更，并在實施后向相關人員通告，相關記錄保存完好?！跸到y(tǒng)發(fā)生重要變更前，向主管領導申請,審批后實施變更，并在實施后向相關人員通告?！跗渌?。8。補丁管理□補丁更新及時，并能在測試環(huán)境測試后安裝到運行環(huán)境?！醮蟛糠钟嬎銠C設備的補丁更新及時，只有少數(shù)由于應用軟件代碼不兼容而導致服務器補丁更新不及時。□其它.9。安全事件管理□制定安全事件報告和處置管理制度，能及時響應安全事故，并從安全事故中學習總結。□能及時響應安全事故.□其它。

10。10。風險評估□信息系統(tǒng)投入運行后，應每年至少進行一次關鍵業(yè)務或關鍵風險點的信息安全風險評估，每三年或信息系統(tǒng)發(fā)生重大變更時，進行一次全面的信息安全風險評估工作。□信息系統(tǒng)投入運行后，每兩年進行一次關鍵業(yè)務的信息安全風險評估.□其它.6.物理安全機房安全管控措施、防災措施、供電和通信系統(tǒng)的保障措施等。序號檢杳項結果備注1物理位置選擇。機房和辦公場地所在的建筑，抗拒人為破壞和自然災害的能力?！鯔C房和辦公場地所在的建筑周邊具備防止無關人員接近的措施，并且根據(jù)當?shù)氐淖匀画h(huán)境設置了必要的防震、防火和防水的措施?！鯔C房和辦公場地所在的建筑具備基本的抗拒人為破壞和自然災害的能力,但防護強度有待提咼?！跗渌?。2機房出入控制情況□設置專人和自動化技術措施，對出入機房的人員進行全面的鑒別、監(jiān)控和記錄.□設置專人或自動化技術措施,對出入機房的人員進行鑒別，但沒有監(jiān)控和完整的記錄。□其它。3機房環(huán)境。機房配備防火、防水、防雷、防靜電、溫度濕度調節(jié)等措施，并提供充足穩(wěn)定的電源，為機房中的設備提供良好的運行環(huán)境?！鯔C房環(huán)境保障完全達到相關國家標準的要求.□少部分機房環(huán)境保障措施沒有達到有關標準要求，但可以在短時間內有效整改。□其它。4電磁防護。電源線和通信線纜應隔離鋪設，避免互相干擾。□米用接地方式防止外界電磁干擾和設備寄生耦合干擾；電源線和通信線纜隔離，避免互相干擾.□其它.

網絡安全安全域劃分、邊界防護、內網防護、外部設備接入控制等情況。網絡和信息系統(tǒng)的體系結構、各類安全保障措施的組合是否合理。序號檢杳項結果備注1網絡拓撲結構圖□有正式的文檔化的網絡拓撲結構圖，且完全與實際運行的網絡結構相吻合.□有文檔化的網絡拓撲結構圖，關鍵部分吻合.□其它。2網絡冗余設計□對關鍵網絡設備進行了冗余設計，以增強網絡的健壯性和可用性?！鯇Σ糠株P鍵網絡設備進行了冗余設計.□其它。3網絡安全域劃分□按照信息資源的重要程度進行了細致的安全域劃分。□按照信息資源的重要程度進行了基本的安全域劃分?！跗渌?。4安全域訪問控制□根據(jù)業(yè)務需要實施了嚴格的訪問控制措施?！鯇嵤┝嗽L問控制措施，但訪問控制粒度較粗?！跗渌?網絡準入控制。防止未授權人員接入到網絡中來，以引入安全風險?！跤芯W絡準入控制措施，且嚴格執(zhí)行。□己有準入控制措施，但未嚴格執(zhí)行?！跗渌?6網絡入侵防范□檢測網絡邊界處的網絡攻擊行為，發(fā)生嚴重入侵事件時提供報警，并能及時響應和處理.□檢測網絡邊界處的網絡攻擊行為，并提供報警言?□其它。7安全審計.便于安全事件發(fā)生后進行溯源追蹤□配備審計設備且進行了良好配置，能夠定期查看和分析審計日志.□配備審計設備且進行了良好配置，但未能定期查看和分析審計日志。□其它.

設備和主機安全網絡交換設備、安全設備、主機和終端設備的安全性，操作系統(tǒng)的安全配置、病毒防護、惡意代碼防范等。1）網絡設備、安全設備和終端設備防護序號檢杳項序號檢杳項結果備注1。設備用戶身份標識.□每個設備的用戶擁有自己唯一的身份標識?！醺鶕?jù)用戶職責以小組為單位分配身份標識?！跗渌?。2.管理員登錄地址限制。通過對管理員登錄地址的限制，降低非法網絡接入后取得設備使用權限的可能.□管理員只能通過有限的、固定的IP地址和MAC地址登錄?！豕芾韱T職能在一個固定的IP地址段登錄?！跗渌?.設備用戶身份鑒別。通過嚴格的口令設置和管理，保障身份鑒別的準確性?！踉O備的登錄密碼復雜不易猜測、定期更換且加密存儲.□設備的登錄密碼復雜不易猜測且加密存儲，但沒有做到定期更換.□其它。4.登錄失敗處理.采用有效措施，對于失敗和異常的登錄活動進彳丁妥善處理□米取結束會話、限制非法登錄次數(shù)和當網絡登錄連接超時自動退出等措施?！趺兹〗Y束會話、限制非法登錄次數(shù)的措施。□其它。5.管理信息防竊聽。米用有效措施對設備的管理信息進行加密□對所有管理通信進行了加密。□對鑒別信息的通信進行了加密。□其它.2）操作系統(tǒng)安全序號檢杳項結果備注1.身份標識。為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶建立身份標識?！跛胁僮飨到y(tǒng)和數(shù)據(jù)庫系統(tǒng)為其所有用戶建立了唯一的用戶標識?！蹶P鍵主機的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)為其所有用戶建立了唯一的用戶標識，而其它主機和終端的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)沒有為其所有用戶建立了唯一的用戶標識.□其它。2。身份鑒別.通過嚴格的口令設置和管理，保障對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)身份鑒別的準確性。□所有操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的登錄密碼復雜不易猜測、定期更換且加密存儲?！蹶P鍵主機的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)登錄密碼復雜不易猜測、定期更換且加密存儲，而其它主機和終端的操作系統(tǒng)和數(shù)據(jù)庫的登錄密碼則不夠嚴格。□其它。3。訪問控制。加強服務器的用戶權限管理?！跛蟹掌鞯牟僮飨到y(tǒng)和數(shù)據(jù)庫系統(tǒng)的特權用戶權限分離，默認賬戶和口令進行了修改，無用的賬戶已刪除

□關鍵主機的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)機操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的特權用戶權限分離，默認賬戶和口令進行了修改，無用的賬戶已刪除；而其它主機和終端沒有做到。□其它.4。安全審計。為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)部署有效的審計措施?！跎暧嫹秶采w重要服務器操作系統(tǒng)和數(shù)據(jù)庫的所有用戶的行為、資源使用情況和重要命令的執(zhí)行，以及這些活動的時間、主體標識、客體標識以及結果；申計記錄被妥善保存。□建立了針對重要服務器操作系統(tǒng)和數(shù)據(jù)庫的審計措施，但沒有達到以上所有的要求?！鯚o審計措施。5。入侵防范。通過嚴格的安全配置和補丁更新消除可能被入侵者利用的安全漏洞?！醪僮飨到y(tǒng)僅安裝了必要的組件和應用程序，僅開放了必要的服務,并且及時保持補丁更新以消除嚴重的安全漏洞?！醪僮飨到y(tǒng)僅安裝了必要應用程序，關閉了大多數(shù)無用的端口，刪除了大多數(shù)無用的系統(tǒng)組件，進行了部分補丁更新?！跗渌?。惡意代碼防范。通過防病毒技術措施，對惡意代碼進行有效監(jiān)控□為服務器和終端安裝防惡意代碼軟件，及時更新防惡意代碼軟件版本和惡意代碼庫;支持防惡意代碼軟件的統(tǒng)一管理?！鯙榉掌骱徒K端安裝防惡意代碼軟件，但防惡意代碼軟件版本和惡意代碼庫更新不及時；支持防惡意代碼軟件的統(tǒng)一管理，但少量服務器和終端未覆蓋至I」.□其它。7。資源控制。對用戶使用操作系統(tǒng)資源的情況進行合理的限制?！鯇χ匾掌鞯牟僮飨到y(tǒng)和數(shù)據(jù)庫系統(tǒng)通過設定終端接入方式、網絡地址范圍等條件限制終端登錄，并當操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的服務水平降低到預先規(guī)定的最小值時，能夠監(jiān)測和報警.□當操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的服務水平降低到預先規(guī)定的最小值時，能夠監(jiān)測和報警。□其它.

應用安全數(shù)據(jù)庫、WEB網站、日常辦公和業(yè)務系統(tǒng)等應用的安全設計、配置和管理情況；關鍵應用系統(tǒng)開發(fā)過程中的質量控制和安全性測試情況。序號檢杳項結果備注1.身份標識和鑒別。采用專用的登錄控制模塊對登錄用戶進行身份標識和鑒別□各個應用系統(tǒng)均米用專用的登錄模塊，提供用戶身份標識唯一和鑒別信息復雜度檢查功能，提供登錄失敗處理功能.對關鍵應用系統(tǒng)中的同一用戶米用兩種或兩種以上組合的鑒別技術實現(xiàn)用戶身份鑒別?！蹶P鍵系統(tǒng)中采用了身份標識和鑒別，但鑒別信息復雜度檢查功能不足，弱口令現(xiàn)象存在.對關鍵應用系統(tǒng)中的同一用戶采用一種鑒別技術實現(xiàn)用戶身份鑒別.□各個系統(tǒng)均未采用身份標識與鑒別.2.訪問控制功能□不同帳戶為完成各自承擔任務所需的最小權限，嚴格限制默認帳戶的訪問權限，特權用戶的權限分離，權限之間相互制約。訪問控制的粒度到數(shù)據(jù)級。□不同帳戶權限不是最小的。訪問控制的粒度到功能級?！踉L問控制無限制。3。應用系統(tǒng)安全審計□應用系統(tǒng)提供審計功能，對用戶的各類操作均進行細致的審計（例如，用戶標識與鑒別、訪問控制的所有操作記錄、重要用戶行為、系統(tǒng)資源的異常使用、重要系統(tǒng)命令的使用等），并定期對應用系統(tǒng)重要安全事件的審計記錄進行檢查，分析異常情況產生的原因?！鯌孟到y(tǒng)提供審計功能，但審計不全面，僅記錄重要的事件和操作?！鯇τ脩舻牟僮鞑贿M行審計。4。通信完整性.采用密碼技術保證通信過程中數(shù)據(jù)的完整性。□對重要信息系統(tǒng)中的關鍵數(shù)據(jù)米用數(shù)據(jù)完整性校驗技術.□其它。5.通信保密性.通信過程中的整個報文或會話過程進行加密□應用系統(tǒng)的敏感數(shù)據(jù)通信過程均米用國家有關部門要求的密碼技術保證保密性.□應用系統(tǒng)的敏感數(shù)據(jù)通信時米用密碼技術保證保密性，但未采用國家有關部門要求的密碼技術?！跷床捎么胧┍Ｗo通信保密性。6。應用系統(tǒng)業(yè)務軟件容錯功能□提供數(shù)據(jù)有效性檢驗功能，保證輸入的數(shù)據(jù)格式和長度符合系統(tǒng)設定要求。重要應用系統(tǒng)提供自動保護功能，當故障發(fā)生時自動保護當前所有狀態(tài)，保證系統(tǒng)能夠進行恢復?！跆峁?shù)據(jù)有效性檢驗功能,但系統(tǒng)出現(xiàn)問題時不能自動恢復?！醪惶峁┸浖蒎e功能。

7。7。應用系統(tǒng)資源控制能力□對于重要的應用系統(tǒng)，限制單個帳戶的多重并發(fā)會話，當應用系統(tǒng)的服務水平降低到預先設定的最小值時，系統(tǒng)報警?！鯇τ谥匾膽孟到y(tǒng)，限制單個帳戶的多重并發(fā)會話?！鯌孟到y(tǒng)不提供資源控制功能。10.數(shù)據(jù)安全數(shù)據(jù)訪問控制情況,服務器、用戶終端、數(shù)據(jù)庫等數(shù)據(jù)加密保護能力，磁盤、光盤、U盤和移動硬盤等存儲介質管理情況，數(shù)據(jù)備份與恢復手段等。序號檢杳項結果備注1。業(yè)務數(shù)據(jù)完整性□對重要業(yè)務數(shù)據(jù)在傳輸和存儲時米取了必要的完整性保證措施?！跗渌?。2。業(yè)務數(shù)據(jù)保密性□對重要業(yè)務數(shù)據(jù)在傳輸和存儲時米取了加密措施。□其它.3.配置數(shù)據(jù)文件□重要設備的配置數(shù)據(jù)文件離線存放，統(tǒng)一管理?！踔匾O備的配置文件離線存放，但無統(tǒng)一管理?！跗渌?.敏感文檔管理制度□制定敏感文檔管理制度，專人保管敏感文檔?！跤袑Ｈ吮９苊舾形臋n，但無敏感文檔管理制度?！跗渌?5傳輸敏感文檔□敏感文檔原則上不得通過互聯(lián)網傳輸,確需通過互聯(lián)網傳輸時應米取加密措施，并在傳輸完成后及時刪除。□其它.6存儲介質的存放安全□應有介質的歸檔和查詢記錄，并對存檔介質的目錄清單定期盤點。對介