安全狀況調(diào)查表樣本

安全狀況調(diào)查表1.安全管理機構(gòu)

安全組織體系與否健全，管理職責與否明確，安全管理機構(gòu)崗位設立、人員配備與否充分合理。序號檢查項

成果備注1.信息安全管理機構(gòu)設立□如下發(fā)公文方式正式設立了信息安全管理工作專門職能機構(gòu)。

□設立了信息安全管理工作職能機構(gòu)，但還不是專門職能機構(gòu)?！跗渌?。2.信息安全管理職責分工狀況

□信息安全管理各個方面職責有正式書面分工，并明確詳細負責人。

□有明確職責分工，但負責人不明確?！跗渌?。3.人員配備□配備一定數(shù)量系統(tǒng)管理人員、網(wǎng)絡管理人員、安全管理人員等;

安全管理人員不能兼任網(wǎng)絡管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等。

□配備一定數(shù)量系統(tǒng)管理人員、網(wǎng)絡管理人員、安全管理人員等，但安全管理人員兼任網(wǎng)絡管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等?！跗渌?。4.核心安全管理活動授權和審批□定義核心安全管理活動列表，并有正式成文審批程序，審批活動有完整記錄。

□有正式成文審批程序，但審批活動沒有完整記錄。

□其他。

5.與外部組織溝通合伙□與外部組織建立溝通合伙機制，并形成正式文獻和程序。

□與外部組織僅進行了溝通合伙口頭承諾?！跗渌?。6.與組織機構(gòu)內(nèi)部溝通合伙□各部門之間建立溝通合伙機制，并形成正式文獻和程序。

□各部門之間溝通合伙基于慣例，未形成正式文獻和程序。

□其他。

2.安全管理制度

安全方略及管理規(guī)章制度完善性、可行性和科學性關于規(guī)章制度制定、發(fā)布、修訂及執(zhí)行狀況。

檢查項成果備注1信息安全方略

□明確信息安全方略，涉及總體目的、范疇、原則和安全框架等內(nèi)容。

□涉及有關文獻，但內(nèi)容覆蓋不全面。□其他2安全管理制度□安全管理制度覆蓋物理、網(wǎng)絡、主機系統(tǒng)、數(shù)據(jù)、應用、建設和管理等層面重要管理內(nèi)容。

□有安全管理制度，但不全而面?！跗渌?。3操作規(guī)程□應對安全管理人員或操作人員執(zhí)行重要管理操作建立操作規(guī)程。

□有操作規(guī)程，但不全面。□其他。4安全管理制度論證和審定□組織有關人員進行正式論證和審定，具備論證或?qū)彾ńY(jié)論。

□其他。5安全管理制度發(fā)布

□文獻發(fā)布具備明確流程、方式和對象范疇。

□某些文獻發(fā)布不明確?！跗渌?安全管理制度維護

□有正式文獻進行授權專門部門或人員負責安全管理制度制定、保存、銷毀、版本控制，并定期評審與修訂。

□安全管理制度分散管理，缺少定期修訂?！跗渌?執(zhí)行狀況

□所有操作規(guī)程執(zhí)行都具備詳細記錄文檔。

□某些操作規(guī)程執(zhí)行都具備詳細記錄文檔?！跗渌?。

3.人員安全管理

人員安全和保密意識教誨、安全技能培訓狀況，重點、敏感崗位人員有無特殊管理辦法以及對外來人員管理狀況。序號檢查項成果備注1.重點、敏感崗位人員錄取和審查

□為與信息安全密切有關重點、敏感崗位人員制定特殊錄取規(guī)定。對被錄取人身份、背景和專業(yè)資格進行審查，對技術人員技術技能進行考核，有嚴格制度規(guī)定規(guī)定。

□其他。2保密合同簽署□與從事核心崗位人員訂立保密合同，涉及保密范疇、保密責任、違約責任、合同有效期限和負責人簽字等內(nèi)容。

□其他。3人員離崗

□規(guī)范人員離崗過程，有詳細離崗控制辦法，及時終結(jié)離崗人員所有訪問權限并取回各種身份證件、鑰匙、徽章等以及機構(gòu)提供軟硬件設備。

□其他。4安全意識教誨

□依照崗位規(guī)定進行有針對性信息安全意識培訓。

□未依照崗位規(guī)定進行有針對性信息安全意識培訓，僅開展全員安全意識教誨。□其他。5安全技能培訓

□制定了有針對性安全技能培訓籌劃，培訓內(nèi)容包括信息安全基本知識、崗位操作規(guī)程等，并認真實行，并且有培訓記錄。

□安全技能培訓針對性不強，效果不明顯。□其他。6在崗人員考核

□定期對所有人員進行安全技能及安全知識考核，對重點、敏感崗位人員進行全面、嚴格安全審查。

□僅對重點、敏感崗位人員進行全面、嚴格安全審查，未普及到全員?！跗渌?懲戒辦法

□告知人員有關安全責任和懲戒辦法，并對違背違背安全方略和規(guī)定人員進行懲戒。

□有懲戒辦法，但效果不佳?！跗渌?外部人員訪問管理□外部人員訪問受控區(qū)域前得到授權或?qū)徟?，批準后由專人全程陪伴或監(jiān)督，并登記備案。

□外部人員訪問受控區(qū)域前得到授權或?qū)徟荒苋膛惆榛虮O(jiān)督。□其他。

4.系統(tǒng)建設管理

核心資產(chǎn)采購時與否進行了安全性測評，對服務機構(gòu)和人員保密約束狀況如何，在服務提供過程中與否采用了管控辦法。信息系統(tǒng)開發(fā)過程中設計、開發(fā)和驗收管理狀況。序號檢查項成果備注1核心資產(chǎn)采購時進行安全性測評

□有關專門部門負責產(chǎn)品采購，產(chǎn)品選用符合國家關于規(guī)定。資產(chǎn)采購之邁進行選型測試，擬定產(chǎn)品候選范疇，具備產(chǎn)品選型測試成果、候選產(chǎn)品名單審定記錄或更新候選產(chǎn)品名單，通過主管信息安全領導批準。

□專門部門負責產(chǎn)品采購，產(chǎn)品選用符合國家關于規(guī)定。□核心資產(chǎn)采購未進行安全性測試或未通過主管信息安全領導批準。2服務機構(gòu)和人員選取□在具備資格服務機構(gòu)中進行選取，通過內(nèi)部和專家評比。對服務機構(gòu)人員，審查其所具備資格。

□對服務機構(gòu)能力進行了詳細審查?！醴諜C構(gòu)和人員選取未通過審查和篩選。3保密約束

□訂立安全責任合同書或保密合同包括服務內(nèi)容、保密范疇、安全責任、違約責任、合同有效期限和負責人簽字等。定期考察其服務質(zhì)量和保密狀況。

□訂立安全責任合同書或保密合同明確規(guī)定各項內(nèi)容。但無監(jiān)督考察機制。□未訂立合約或訂立了安全責任合同書或保密合同，但服務范疇、安全責任等未明確規(guī)定。4服務管控辦法

□制定了詳細服務審核規(guī)定和規(guī)范。對服務提供過程中重要操作進行審核，并規(guī)定服務機構(gòu)定期提供服務狀況匯總。每半年組織內(nèi)部檢查，審查服務機構(gòu)服務質(zhì)量。

□定期進行檢查。但缺少規(guī)范檢查內(nèi)容和規(guī)定?！跷床捎萌魏喂芸剞k法。5系統(tǒng)安全方案制定□依照信息系統(tǒng)安全保障規(guī)定，書面形式加以描述，形成能指引安全系統(tǒng)建設、安全產(chǎn)品采購和使用詳細設計方案，并通過專家論證和審定。

□形成能指引安全系統(tǒng)建設、安全產(chǎn)品采購和使用概要設計方案，內(nèi)部有關部門審定?！跞鄙袤w系化安全方案。6信息系統(tǒng)開發(fā)

□依照軟件開發(fā)管理制度，各類開發(fā)文檔齊全，信息系統(tǒng)均通過功能、安全測試，并形成測試報告。

□開發(fā)文檔不全面，僅在內(nèi)部進行功能測試。□無開發(fā)文檔，或外包開發(fā)，沒有源代碼或有源代碼但未通過全面安全測試。7信息系統(tǒng)建設實行過程進度和質(zhì)量控制

□制定詳細實行方案，并通過審定和批準，指定或授權專門部門或人員按照實行方案規(guī)定控制整個過程。

□制定簡要實行方案，指定或授權專門部門或人員控制整個過程?！鯚o實行方案或無專人管理實行過程。8.信息系統(tǒng)驗收□制定驗收方案，組織有關部門和有關人員對系統(tǒng)測實驗收報告進行審定，詳細記錄驗收成果，形成驗收報告。重要信息系統(tǒng)在驗收前，組織專業(yè)第三方測評機構(gòu)進行測評。

□組織了驗收活動，但缺少專業(yè)人員進行全面驗收測試?！跷唇M織驗收。5.系統(tǒng)運維管理

設備、系統(tǒng)操作和維護記錄，變更管理，安全事件分析和報告；運營環(huán)境與開發(fā)環(huán)境分離狀況；安全審計、補丁升級管理、安全漏洞檢測、網(wǎng)管、權限管理及密碼管理等狀況，重點檢查系統(tǒng)性能監(jiān)控辦法及運營狀況。序號檢查項成果

備注1.環(huán)境管理□有機房安全管理制度，并配備機房安全管理人員，對機房供配電等設施、設備和人員出入機房進行嚴格管理。

□配備機房安全管理人員，對機房供配電等設施、設備和人員出入機房進行管理。□其他。2.

資產(chǎn)管理□資產(chǎn)清單記錄內(nèi)容與實際使用計算機設備及其屬性內(nèi)容完全一致。

□資產(chǎn)清單內(nèi)容與實際使用計算機設備及其屬性內(nèi)容，在數(shù)量上一致，但在某些屬性記錄上有偏差?！跗渌?。3.介質(zhì)管理

□對介質(zhì)存儲環(huán)境、使用、維護和銷毀等方面采用嚴格控制辦法。

□對介質(zhì)存儲環(huán)境、使用、維護和銷毀等方面采用了某些控制辦法。□其他。4.設備管理□對信息系統(tǒng)有關各種設備、線路等指定專門部門或人員定期進行維護管理。

□對信息系統(tǒng)有關各種設備、線路等指定專門部門或人員不定期進行維護管理。

□其他。5.生產(chǎn)環(huán)境與開發(fā)環(huán)境分離

□生產(chǎn)環(huán)境與開發(fā)環(huán)境隔離。

□其他。6.系統(tǒng)監(jiān)控

□對通信線路、核心服務器、網(wǎng)絡設備和應用軟件運營狀況可以實時監(jiān)測，并能及時分析報警日記。

□對通信線路、核心服務器、網(wǎng)絡設備和應用軟件運營狀況可以不定期監(jiān)測，并能定期分析報警日記。□其他。7.變更管理□系統(tǒng)發(fā)生重要變更前，以書面形式向主管領導申請，審批后實行變更，并在實行后向有關人員告示，有關記錄保存完好。

□系統(tǒng)發(fā)生重要變更前，向主管領導申請，審批后實行變更，并在實行后向有關人員告示?！跗渌?。8.

補丁管理□補丁更新及時，并能在測試環(huán)境測試后安裝到運營環(huán)境。

□大某些計算機設備補丁更新及時，只有少數(shù)由于應用軟件代碼不兼容而導致服務器補丁更新不及時?！跗渌?。9.安全事件管理□制定安全事件報告和處置管理制度，能及時響應安全事故，并從安全事故中學習總結(jié)。

□能及時響應安全事故?！跗渌?0.風險評估□信息系統(tǒng)投入運營后，應每年至少進行一次核心業(yè)務或核心風險點信息安全風險評估，每三年或信息系統(tǒng)發(fā)生重大變更時，進行一次全面信息安全風險評估工作。

□信息系統(tǒng)投入運營后，每兩年進行一次核心業(yè)務信息安全風險評估。□其他。

6.物理安全

機房安全管控辦法、防災辦法、供電和通信系統(tǒng)保障辦法等。序號檢查項成果備注1物理位置選取。機房和辦公場地所在建筑，抗拒人為破壞和自然災害能力。□機房和辦公場地所在建筑周邊具備防止無關人員接近辦法，并且依照本地自然環(huán)境設立了必要防震、防火和防水辦法。

□機房和辦公場地所在建筑具備基本抗拒人為破壞和自然災害能力，但防護強度有待提高?！跗渌?。2機房出入控制狀況

□設立專人和自動化技術辦法，對出入機房人員進行全面鑒別、監(jiān)控和記錄。

□設立專人或自動化技術辦法，對出入機房人員進行鑒別，但沒有監(jiān)控和完整記錄。□其他。3機房環(huán)境。機房配備防火、防水、防雷、防靜電、溫度濕度調(diào)節(jié)等辦法，并提供充分穩(wěn)定電源，為機房中設備提供良好運營環(huán)境?！鯔C房環(huán)境保障完全達到有關國標規(guī)定。

□少某些機房環(huán)境保障辦法沒有達到關于原則規(guī)定，但可以在短時間內(nèi)有效整治。□其他。4電磁防護。電源線和通信線纜應隔離鋪設，避免互相干擾。□采用接地方式防止外界電磁干擾和設備寄生耦合干擾;電源線和通信線纜隔離，避免互相干擾。

□其他。

7.網(wǎng)絡安全

安全域劃分、邊界防護、內(nèi)網(wǎng)防護、外部設備接入控制等狀況。網(wǎng)絡和信息系統(tǒng)體系構(gòu)造、各類安全保障辦法組合與否合理。序號檢查項成果備注1網(wǎng)絡拓撲構(gòu)造圖

□有正式文檔化網(wǎng)絡拓撲構(gòu)造圖，且完全與實際運營網(wǎng)絡構(gòu)造相吻合。

□有文檔化網(wǎng)絡拓撲構(gòu)造圖，核心某些吻合?！跗渌?。2網(wǎng)絡冗余設計

□對核心網(wǎng)絡設備進行了冗余設計，以增強網(wǎng)絡健壯性和可用性。

□對某些核心網(wǎng)絡設備進行了冗余設計?！跗渌?。3網(wǎng)絡安全域劃分

□按照信息資源重要限度進行了細致安全域劃分。

□按照信息資源重要限度進行了基本安全域劃分?！跗渌?。4安全域訪問控制

□依照業(yè)務需要實行了嚴格訪問控制辦法。

□實行了訪問控制辦法，但訪問控制粒度較粗?！跗渌?網(wǎng)絡準入控制。防止未授權人員接入到網(wǎng)絡中來，以引入安全風險。□有網(wǎng)絡準入控制辦法，且嚴格執(zhí)行。

□己有準入控制辦法，但未嚴格執(zhí)行。

□其他。

6網(wǎng)絡入侵防范□檢測網(wǎng)絡邊界處網(wǎng)絡襲擊行為，發(fā)生嚴重入侵事件時提供報警，并能及時響應和解決。

□檢測網(wǎng)絡邊界處網(wǎng)絡襲擊行為，并提供報警。□其他。7安全審計。便于安全事件發(fā)生后進行溯源追蹤□配備審計設備且進行了良好配備，可以定期查看和分析審計日記。

□配備審計設備且進行了良好配備，但未能定期查看和分析審計日記?！跗渌?。

8.設備和主機安全

網(wǎng)絡互換設備、安全設備、主機和終端設備安全性，操作系統(tǒng)安全配備、病毒防護、惡意代碼防范等。1)

網(wǎng)絡設備、安全設備和終端設備防護序號檢查項成果備注1.

設備顧客身份標記?！趺總€設備顧客擁有自己唯一身份標記。

□依照顧客職責以小組為單位分派身份標記?！跗渌?。2.管理員登錄地址限制。通過對管理員登錄地址限制，減少非法網(wǎng)絡接入后獲得設備使用權限也許?！豕芾韱T只能通過有限、固定IP地址和MAC地址登錄。

□管理員職能在一種固定IP地址段登錄?！跗渌?.設備顧客身份鑒別。通過嚴格口令設立和管理，保障身份鑒別精確性。□設備登錄密碼復雜不易猜測、定期更換且加密存儲。

□設備登錄密碼復雜不易猜測且加密存儲，但沒有做到定期更換?！跗渌?。4.登錄失敗解決。采用有效辦法，對于失敗和異常登錄活動進行妥善解決□采用結(jié)束會話、限制非法登錄次數(shù)和當網(wǎng)絡登錄連接超時自動退出等辦法。

□采用結(jié)束會話、限制非法登錄次數(shù)辦法?！跗渌?。5.

管理信息防竊聽。采用有效辦法對設備管理信息進行加密□對所有管理通信進行了加密。

□對鑒別信息通信進行了加密?！跗渌?。

2）操作系統(tǒng)安全序號檢查項成果備注1.身份標記。為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)顧客建立身份標記?！跛胁僮飨到y(tǒng)和數(shù)據(jù)庫系統(tǒng)為其所有顧客建立了唯一顧客標記。

□核心主機操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)為其所有顧客建立了唯一顧客標記，而其他主機和終端操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)沒有為其所有顧客建立了唯一顧客標記?！跗渌?。2.身份鑒別。通過嚴格口令設立和管理，保障對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)身份鑒別精確性?！跛胁僮飨到y(tǒng)和數(shù)據(jù)庫系統(tǒng)登錄密碼復雜不易猜測、定期更換且加密存儲。

□核心主機操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)登錄密碼復雜不易猜測、定期更換且加密存儲，而其他主機和終端操作系統(tǒng)和數(shù)據(jù)庫登錄密碼則不夠嚴格?！跗渌?。3.訪問控制。加強服務器顧客權限管理。□所有服務器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權顧客權限分離，默認賬戶和口令進行了修改，無用賬戶已刪除

□核心主機操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)機操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權顧客權限分離，默認賬戶和口令進行了修改，無用賬戶已刪除；而其他主機和終端沒有做到?！跗渌?。4.安全審計。為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)布置有效審計辦法?！鯇徲嫹懂牳采w重要服務器操作系統(tǒng)和數(shù)據(jù)庫所有顧客行為、資源使用狀況和重要命令執(zhí)行，以及這些活動時間、主體標記、客體標記以及成果；審計記錄被妥善保存。

□建立了針對重要服務器操作系統(tǒng)和數(shù)據(jù)庫審計辦法，但沒有達到以上所有規(guī)定?！鯚o審計辦法。5.入侵防范。通過嚴格安全配備和補丁更新消除也許被入侵者運用安全漏洞?！醪僮飨到y(tǒng)僅安裝了必要組件和應用程序，僅開放了必要服務，并且及時保持補丁更新以消除嚴重安全漏洞。

□操作系統(tǒng)僅安裝了必要應用程序，關閉了大多數(shù)無用端口，刪除了大多數(shù)無用系統(tǒng)組件，進行了某些補丁更新?！跗渌?。6.惡意代碼防范。通過防病毒技術辦法，對惡意代碼進行有效監(jiān)控□為服務器和終端安裝防惡意代碼軟件，及時更新防惡意代碼軟件版本和惡意代碼庫；支持防惡意代碼軟件統(tǒng)一管理。

□為服務器和終端安裝防惡意代碼軟件，但防惡意代碼軟件版本和惡意代碼庫更新不及時；支持防惡意代碼軟件統(tǒng)一管理，但少量服務器和終端未覆蓋到?！跗渌?。7.資源控制。對顧客使用操作系統(tǒng)資源狀況進行合理限制?！鯇χ匾掌鞑僮飨到y(tǒng)和數(shù)據(jù)庫系統(tǒng)通過設定終端接入方式、網(wǎng)絡地址范疇等條件限制終端登錄，并當操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)服務水平減少到預先規(guī)定最小值時，可以監(jiān)測和報警。

□當操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)服務水平減少到預先規(guī)定最小值時，可以監(jiān)測和報警?！跗渌?。

9.應用安全

數(shù)據(jù)庫、WEB網(wǎng)站、尋常辦公和業(yè)務系統(tǒng)等應用安全設計、配備和管理狀況；核心應用系統(tǒng)開發(fā)過程中質(zhì)量控制和安全性測試狀況。序號檢查項成果備注1.身份標記和鑒別。采用專用登錄控制模塊對登錄顧客進行身份標記和鑒別□各個應用系統(tǒng)均采用專用登錄模塊，提供顧客身份標記唯一和鑒別信息復雜度檢查功能，提供登錄失敗解決功能。對核心應用系統(tǒng)中同一顧客采用兩種或兩種以上組合鑒別技術實現(xiàn)顧客身份鑒別。

□核心系統(tǒng)中采用了身份標記和鑒別，但鑒別信息復雜度檢查功能局限性，弱口令現(xiàn)象存在。對核心應用系統(tǒng)中同一顧客采用一種鑒別技術實現(xiàn)顧客身份鑒別?！醺鱾€系統(tǒng)均未采用身份標記與鑒別。2.

訪問控制功能□不同帳戶為完畢各自承擔任務所需最小權限，嚴格限制默認帳戶訪問權限，特權顧客權限分離，權限之間互相制約。訪問控制粒度到數(shù)據(jù)級。

□不同帳戶權限不是最小。訪問控制粒度到功能級?！踉L問控制無限制。3.

應用系統(tǒng)安全審計□應用系統(tǒng)提供審計功能，對顧客各類操作均進行細致審計（例如，顧客標記與鑒別、訪問控制所有操作記錄、重要顧客行為、系統(tǒng)資源異常使用、重要系統(tǒng)命令使用等），并定期相應用系統(tǒng)重要安全事件審計記錄進行檢查，分析異常狀況產(chǎn)生因素。

□應用系統(tǒng)提供審計功能，但審計不全面，僅記錄重要事件和操作?！鯇︻櫩筒僮鞑贿M行審計。4.通信完整性。

采用密碼技術保證通信過程中數(shù)據(jù)完整性。□對重要信息系統(tǒng)中核心數(shù)據(jù)采用數(shù)據(jù)完整性校驗技術。

□其他。5.通信保密性。通信過程中整個報文或會話過程進行加密□應用系統(tǒng)敏感數(shù)據(jù)通信過程均采用國家關于部門規(guī)定密碼技術保證保密性。

□應用系統(tǒng)敏感數(shù)據(jù)通信時采用密碼技術保證保密性，但未采用國家關于部門規(guī)定密碼技術?！跷床捎棉k法保護通信保密性。6.應用系統(tǒng)業(yè)務軟件容錯功能□提供數(shù)據(jù)有效性檢查功能，保證輸入數(shù)據(jù)格式和長度符合系統(tǒng)設定規(guī)定。重要應用系統(tǒng)提供自動保護功能，當故障發(fā)生時自動保護當前所有狀態(tài)，保證系統(tǒng)可以進行恢復。

□提供數(shù)據(jù)有效性檢查功能，但系統(tǒng)浮現(xiàn)問題時不能自動恢復?！醪惶峁┸浖蒎e功能。7.

應用系統(tǒng)資源控制能力□對于重要應用系統(tǒng)，限制單個帳戶多重并發(fā)會話，當應用系統(tǒng)服務水平減少到預先設定最小值時，系統(tǒng)報警。

□對于重要應用系統(tǒng)，限制單個帳戶多重并發(fā)會話?！鯌孟到y(tǒng)不提供資源控制功能。

10.數(shù)據(jù)安全

數(shù)據(jù)訪問控制狀況，服務器、顧客終端、數(shù)據(jù)庫等數(shù)據(jù)加密保護能力，磁盤、光盤、U盤和移動硬盤等存儲介質(zhì)管理狀況，數(shù)據(jù)備份與恢復手段等。序號檢查項成果備注1.業(yè)務數(shù)據(jù)完整性

□對重要業(yè)務數(shù)據(jù)在傳播和存儲時采用了必要完整性保證辦法。

□其他。2.業(yè)務數(shù)據(jù)保密性□對重要業(yè)務數(shù)據(jù)在傳播和存儲時采用了加密辦法。

□其他。3.配備數(shù)據(jù)文獻□重要設備配備數(shù)據(jù)文獻離線存儲，統(tǒng)一管理。

□重要設備配備文獻離線存儲，但無統(tǒng)一管理?！跗渌?。4.敏感文檔管理制度□制定敏感文檔管理制度，專人保管敏感文檔。

□有專人保管敏感文檔，但無敏感文檔管理制度?！跗渌?。5傳播敏感文檔□敏感文檔原則上不得通過互聯(lián)網(wǎng)傳播，確需通過互聯(lián)網(wǎng)傳播時應采用加密辦法，并在傳播完畢后及時刪除。

□其他。6存儲介質(zhì)存儲安全

□應有介質(zhì)歸檔和查詢記錄，并對存檔介質(zhì)目錄清單定期盤點。對介質(zhì)進行分類和標