信息安全風(fēng)險(xiǎn)評(píng)估調(diào)查表

表1:

基本信息調(diào)查

1.單位基本狀況

單位名稱單位地址

（公章）

聯(lián)系人聯(lián)系電話

Email填表時(shí)間

信息平安主管領(lǐng)導(dǎo)職務(wù)

檢查工作負(fù)貢人職務(wù)

2.硬件資產(chǎn)狀況

2.1.網(wǎng)絡(luò)設(shè)備狀況

網(wǎng)絡(luò)設(shè)務(wù)名稱型號(hào)物理位筲所典網(wǎng)絡(luò)IP地址/掩碼/網(wǎng)美系統(tǒng)軟件端口類型主要用途是否熱備笊要程度

區(qū)域及版本及數(shù)量

2.2.平安設(shè)備狀況

平安設(shè)備名稱型號(hào)（軟件/物理位所屬同絡(luò)IP地址/掩碼/網(wǎng)系統(tǒng)及運(yùn)行端口類型及主要用途是否熱備重要程

硬件）置區(qū)域關(guān)平臺(tái)數(shù)量度

2.3.服務(wù)席設(shè)備狀況

設(shè)備名冰型號(hào)物理位置所屈網(wǎng)務(wù)IP地址/施碼/網(wǎng)關(guān)操作系統(tǒng)安裝應(yīng)用系統(tǒng)軟主要業(yè)務(wù)應(yīng)涉及數(shù)據(jù)是否熱備

區(qū)域版本，補(bǔ)r件名稱用

2.4.終端設(shè)備;大況

終端設(shè)務(wù)名稱型號(hào)物理位過(guò)所屬網(wǎng)力設(shè)得數(shù)量IP地址，掩碼/網(wǎng)關(guān)操作系統(tǒng)安袋應(yīng)用系統(tǒng)較涉及數(shù)據(jù)主要用途

區(qū)域件名稱

填寫(xiě)說(shuō)明

網(wǎng)絡(luò)設(shè)冬：路由器、網(wǎng)關(guān)、交換機(jī)等，

平安設(shè)吊：防火墻、入侵檢測(cè)系統(tǒng)、身份鑒別等。

服務(wù)器殳備：大型機(jī)、小型機(jī)、服務(wù)器、工作站、臺(tái)式計(jì)算機(jī)、便攜計(jì)算機(jī)等.

終端設(shè)務(wù)；辦公計(jì)算機(jī)、移動(dòng)存儲(chǔ)設(shè)符，

苴要程度：依據(jù)被檢查機(jī)構(gòu)數(shù)據(jù)全部者認(rèn)為資產(chǎn)對(duì)業(yè)務(wù)彩咱的苴要件填寫(xiě)特殊重要、重要、一股.

3.軟件資產(chǎn)狀況

3.1.系統(tǒng)軟件狀況

系統(tǒng)軟件名粽版本軟件廠商埋件平臺(tái)涉及應(yīng)用系統(tǒng)

3.2.應(yīng)用軟件狀況

應(yīng)用系疣軟件名稱開(kāi)發(fā)商硬件/軟件平臺(tái)CS或BfS模式涉及數(shù)據(jù)現(xiàn)行用戶數(shù)fit主要用戶角色

培月說(shuō)明

系統(tǒng)軟外：操作系統(tǒng)、系統(tǒng)服務(wù)、中間件、數(shù)據(jù)庫(kù)管理系統(tǒng)、開(kāi)發(fā)系統(tǒng)等.

應(yīng)用軟，牛：項(xiàng)目笆理軟件、網(wǎng)管軟件、辦公軟件等。

4.服務(wù)資產(chǎn)狀況

4.1.本年度信息平安服務(wù)狀指

服務(wù)類型服務(wù)方單位名稱服務(wù)內(nèi)容服務(wù)方式（現(xiàn)場(chǎng)、非現(xiàn)場(chǎng)）

填寫(xiě)說(shuō)明

服務(wù)類型包括：1.網(wǎng)絡(luò)服務(wù)；2.平安工程；3.災(zāi)玳史原；4.平安運(yùn)維服務(wù)：5.平安應(yīng)急響應(yīng)；6.平安坪訓(xùn)；7.平安詢問(wèn)；8.平安風(fēng)險(xiǎn)過(guò)（古；9.平安審計(jì):

10.平安研發(fā).

5.人員資產(chǎn)狀況

.1、信息系統(tǒng)人員狀況

崗位名務(wù)崗位描述人數(shù)兼任人數(shù)

填寫(xiě)說(shuō)明

崗位名％:1、數(shù)據(jù)錄入員：2,軟件開(kāi)發(fā)員；3、桌面管理員：4、系統(tǒng)管理員：5.平安管理員；6.數(shù)據(jù)庫(kù)管理員；7、網(wǎng)絡(luò)管理員；8、質(zhì)量管理員.

6.文檔資產(chǎn)狀況

6.1.信息系統(tǒng)平安文檔列表

文檔類別文檔名稱

填寫(xiě)說(shuō)明

信息系統(tǒng)文檔類別：信息系統(tǒng)組織機(jī)構(gòu)及管理制度、信息系統(tǒng)平安設(shè)計(jì)、實(shí)施、運(yùn)睢文檔；系統(tǒng)開(kāi)發(fā)程序文件、資料等.

7.信息系統(tǒng)狀況

7.1、系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D

網(wǎng)絡(luò)結(jié)溝圖要求：

1、應(yīng)當(dāng)標(biāo)識(shí)出網(wǎng)絡(luò)設(shè)備、眼務(wù)器設(shè)分和主要終端設(shè)符及其名稱：

2、應(yīng)當(dāng)標(biāo)識(shí)出服務(wù)泯設(shè)備的IP地址：

3、應(yīng)當(dāng)標(biāo)識(shí)網(wǎng)絡(luò)區(qū)域劃分等狀況；

4、應(yīng)當(dāng)標(biāo)識(shí)網(wǎng)絡(luò)與外部的連接等狀況：

5、應(yīng)當(dāng)能夠比照網(wǎng)絡(luò)結(jié)構(gòu)圖說(shuō)明全部業(yè)芬流程和系統(tǒng)組成,_________________

假如一張圖無(wú)法表示，“I以將核心部分和接入部分分別畫(huà)出，或以多張圖表示.

7.2、信息系統(tǒng)承載業(yè)務(wù)狀況

信息系琉名稱業(yè)務(wù)描述業(yè)務(wù)處理信息用戶數(shù)量用戶分布他國(guó)亞要程度是否通過(guò)第三方平安

類別測(cè)評(píng)

填寫(xiě)說(shuō)明:

K用戶分布范圍欄填寫(xiě)全國(guó)、全省、本地區(qū)、本旗位

2.業(yè)務(wù)處理信息類別一欄填寫(xiě)：a）國(guó)家隱私信息；b：非密敏感信息（機(jī)構(gòu)或公民的專有信總）；0可公開(kāi)信息

3、重要程度欄填寫(xiě)特殊重要、重要、-一般

4、如通過(guò)測(cè)評(píng)，清埴有時(shí)間和測(cè)評(píng)機(jī)構(gòu)名稱。

7.3、，者息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)狀況

網(wǎng)絡(luò)區(qū)城名稱主要業(yè)務(wù)和信息描述IP網(wǎng)段地如服務(wù)器與其連接的其它冏絡(luò)區(qū)域邊揖要程度賁任部門(mén)

數(shù)星忖絡(luò)區(qū)域界設(shè)各

填寫(xiě)說(shuō)明：

1、網(wǎng)絡(luò)區(qū)域主要包括：服務(wù)器域'數(shù)據(jù)存慵域、網(wǎng)管域,數(shù)據(jù)中心域、核心交換域、涉密終端域'辦公域、接入域和外聯(lián)域等;

2、1ft要程度填寫(xiě)特殊重要、重要、一般.

7.4、外聯(lián)線肖，及設(shè)備端口（網(wǎng)絡(luò)邊界）狀況

外聯(lián)線路名稱所屬網(wǎng)絡(luò)區(qū)域連接對(duì)象接入線路種類傳輸速率（帶寬）戲躋接入設(shè)備承載主要業(yè)務(wù)應(yīng)用需注

（邊界名稱）

7.5、業(yè)務(wù)數(shù)據(jù)狀況

數(shù)據(jù)名游數(shù)據(jù)運(yùn)用者或管理數(shù)據(jù)平安性要求數(shù)把總累及口增涉及業(yè)務(wù)應(yīng)用涉及存儲(chǔ)系統(tǒng)與

者及其訪問(wèn)權(quán)限保密完整可用量處理設(shè)備

注:數(shù)據(jù)平安性要，W每項(xiàng)填寫(xiě)高、中、底

7.6、數(shù)據(jù)備傷r狀況

備份數(shù)據(jù)名介質(zhì)類型備份周期保存期是否異地保存過(guò)期處理方法所屬備份系統(tǒng)備注

7.7、?年來(lái)信息平安事務(wù)狀況

平安事務(wù)類別特殊重大事重大事務(wù)次數(shù)較大事務(wù)次數(shù)一般事務(wù)次數(shù)線路接入設(shè)得承載主要業(yè)務(wù)應(yīng)用備注

務(wù)次數(shù)

仃害程序平安事務(wù)

網(wǎng)絡(luò)攻擊事務(wù)

信息破壞事芬

信息內(nèi)容平安事務(wù)

設(shè)備設(shè)施故障

災(zāi)難性上務(wù)

其它事務(wù)

注：平安事務(wù)的類別和級(jí)別定義請(qǐng)參照GB/Z2098&2007《信息平安事務(wù)分類分娘指南X

表2：

平安狀況調(diào)查

1.平安管理機(jī)構(gòu)

平安組織體系是否健全，管理職責(zé)是否明確，平安管理機(jī)構(gòu)崗位

設(shè)置、人員配備是否充分合理。

序號(hào)檢查項(xiàng)結(jié)果備注

1.信息平安管理□以下發(fā)公文方式正式設(shè)置了信息平安管理工作的

機(jī)構(gòu)設(shè)置特地職能機(jī)構(gòu)。

□設(shè)立了信息平安管理工作的職能機(jī)構(gòu)，但還不是特

地的職能機(jī)構(gòu)。

□其它。

2.信息平安管理□信息平安管理的各個(gè)方面職責(zé)有正式的1弓面分工，

職責(zé)分工狀況并明確詳細(xì)的責(zé)任人。

□有明確的職責(zé)分工，但責(zé)任人不明確。

□其它。

3.人員配備□配備確定數(shù)量的系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、平

安管理人員等；平安管理人員不能兼任網(wǎng)絡(luò)管理員、

系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員等。

□配備確定數(shù)量的系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、平

安管理人員等，但平安管理人員兼任網(wǎng)絡(luò)管理員、系

統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員等。

□其它。

4.關(guān)鍵平安管理□定義關(guān)鍵平安管理活動(dòng)的列表，并有正式成文的審

活動(dòng)的授權(quán)和批程序，審批活動(dòng)有完整的記錄。

審批

□有正式成文的審批程序，但審批活動(dòng)沒(méi)有完整的記

錄。

□其它。

5.與外部組織溝□與外部組織建立溝通合作機(jī)制，并形成正式文件和

通合作程序。

□與外部組織僅進(jìn)行了溝通合作的口頭承諾。

□其它。

6.與組織機(jī)構(gòu)內(nèi)□各部門(mén)之間建立溝通合作機(jī)制，并形成正式文件和

部溝通合作程序。

□各部門(mén)之間的溝通合作基丁慣例，未形成正式文件

和程序。

□其它。

2.平安管理制度

平安策略及管理規(guī)章制度的完善性、可行性和科學(xué)性的有關(guān)規(guī)章

制度的制定、發(fā)布、修訂及執(zhí)行狀況。

檢查項(xiàng)結(jié)果備注

1信息平安策略□明確信息平安策略，包括總體目標(biāo)、范圍、原則

和平安框架等內(nèi)容。

□包括相關(guān)文件，但內(nèi)容覆蓋不全面。

□其它

2平安管理制度□平安管理制度覆蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、

應(yīng)用、建設(shè)和管理等層面的重要管理內(nèi)容。

□有平安管理制度，但不全而面。

□其它。

3操作規(guī)程□應(yīng)對(duì)平安管理人員或操作人員執(zhí)行的重要管理操

作建立操作規(guī)程。

□有操作規(guī)程，但不全面。

□其它。

4平安管理制度□組織相關(guān)人員進(jìn)行正式的論證和審定，具備論證

的論證和審定或?qū)彾ńY(jié)論。

□其它。

5平安管理制度□文件發(fā)布具備明確的流程、方式和對(duì)象范圍。

的發(fā)布□部分文件的發(fā)布不明確。

□其它。

6平安管理制度□有正式的文件進(jìn)行授權(quán)特地的部門(mén)或人員負(fù)責(zé)平

的維護(hù)安管理制度的制定、保存、銷毀、版本限制，并定期

評(píng)審與修訂。

□平安管理制度分散管理，缺乏定期修訂。

□其它。

7執(zhí)行狀況□全部操作規(guī)程的執(zhí)行都具備詳細(xì)的記錄文檔。

□部分操作規(guī)程的執(zhí)行都具備詳細(xì)的記錄文檔。

□其它。

3.人員平安管理

人員的平安和保密意識(shí)教化、平安技能培訓(xùn)狀況，重點(diǎn)、敏感崗

位人員有無(wú)特殊管理措施以及對(duì)外來(lái)人員的管理狀況。

序號(hào)檢查項(xiàng)結(jié)果備注

1.重點(diǎn)、敏感□為與信息平安密切相關(guān)的重點(diǎn)、敏感崗位人員制定特殊

崗位人員的錄用要求。對(duì)被錄用人的身份、背景和專業(yè)資格進(jìn)行審

錄用和審杳，對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核，有嚴(yán)格的制度規(guī)定

查要求。

□其它。

2保密協(xié)議□與從事關(guān)鍵崗位的人員簽署保密協(xié)議，包括保密范圍、

的簽保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人簽字等內(nèi)

暑容。

□其它。

3人員離崗□規(guī)范人員離崗過(guò)程，有詳細(xì)的離崗限制方法，剛好終止

離崗人員的全部訪問(wèn)權(quán)限并取1可各種身份證件、鑰匙、徽

章等以及機(jī)構(gòu)供應(yīng)的軟硬件設(shè)備。

□其它。

4平安意識(shí)□依據(jù)崗位要求進(jìn)行有針對(duì)性的信息平安意識(shí)培訓(xùn)。

教化□未依據(jù)崗位要求進(jìn)行有針對(duì)性的信息平安意識(shí)培訓(xùn)，僅

開(kāi)展全員平安意識(shí)教化。

□其它。

5平安技能□制定了有針對(duì)性的平安技能培訓(xùn)支配，培訓(xùn)內(nèi)容包含信

培訓(xùn)息平安基礎(chǔ)學(xué)問(wèn)、崗位操作規(guī)程等，并細(xì)致實(shí)施，而且有

培訓(xùn)記錄。

□平安技能培訓(xùn)針對(duì)性不強(qiáng)，效果不顯著。

□其它。

6在崗人員□定期對(duì)全部人員進(jìn)行平安技能及平安學(xué)問(wèn)的考核，對(duì)重

考核點(diǎn)、敏感崗位的人員進(jìn)行全面、嚴(yán)格的平安審查。

□僅對(duì)重點(diǎn)、敏感崗位的人員進(jìn)行全面、嚴(yán)格的平安審查，

未普及到全員。

□其它。

7懲戒措施n告知人員相關(guān)的平安責(zé)任和懲戒措施,并對(duì)違反違反平

安策略和規(guī)定的人員進(jìn)行懲戒。

□有懲戒措施，但效果不佳。

□其它。

8外部人員□外部人員訪問(wèn)受控區(qū)域前得到授權(quán)或?qū)徟?，批?zhǔn)后由專

訪問(wèn)管理人全程陪伴或監(jiān)督，并登記備案。

□外部人員訪問(wèn)受控區(qū)域前得到授權(quán)或?qū)徟?，但不能全?/p>

陪伴或監(jiān)督。

□其它。

4.系統(tǒng)建設(shè)管理

關(guān)鍵資產(chǎn)選購(gòu)時(shí)是否進(jìn)行了平安性測(cè)評(píng)，對(duì)服務(wù)機(jī)構(gòu)和人員的

保密約束狀況如何，在服務(wù)供應(yīng)過(guò)程中是否實(shí)行了管控措施。信息系

統(tǒng)開(kāi)發(fā)過(guò)程中設(shè)計(jì)、開(kāi)發(fā)和驗(yàn)收的管理狀況。

序號(hào)檢查項(xiàng)結(jié)果備注

1關(guān)鍵資產(chǎn)選口相關(guān)特地部門(mén)負(fù)責(zé)產(chǎn)品的選購(gòu)，產(chǎn)品的選用符合

購(gòu)時(shí)進(jìn)行國(guó)家的有關(guān)規(guī)定。資產(chǎn)選購(gòu)之前進(jìn)行選型測(cè)試，確定

平安性測(cè)評(píng)產(chǎn)品的侯選范圍，具有產(chǎn)品選型測(cè)試結(jié)果、候選產(chǎn)品名單

審定記錄或更新的候選產(chǎn)品名單，經(jīng)過(guò)主管信息平安領(lǐng)導(dǎo)

批準(zhǔn)。

□特地部門(mén)負(fù)責(zé)產(chǎn)品的選購(gòu)，產(chǎn)品的選用符合國(guó)家的

有關(guān)規(guī)定。

□關(guān)鍵資產(chǎn)選購(gòu)未進(jìn)行平安性測(cè)試或未經(jīng)過(guò)主管信息

平安領(lǐng)導(dǎo)批準(zhǔn)。

2服務(wù)機(jī)構(gòu)和□在X有資格的服務(wù)機(jī)構(gòu)中進(jìn)行選擇，通過(guò)內(nèi)

人員的選擇部和專家的評(píng)比。對(duì)服務(wù)機(jī)構(gòu)的人員，隼查其所具有的資

格。

□對(duì)服務(wù)機(jī)構(gòu)的實(shí)力進(jìn)行了詳細(xì)的審查。

□服務(wù)機(jī)構(gòu)和人員的選擇未經(jīng)過(guò)審查和篩選。

3保密約束：□簽訂的平安責(zé)任合同書(shū)或保密協(xié)議包含服務(wù)內(nèi)容、保

密范圍、平安責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人

的簽字等。定期考察其服務(wù)質(zhì)量和保密狀況。

□簽匯的平安責(zé)任合同書(shū)或保密協(xié)議明確規(guī)定各項(xiàng)內(nèi)

容。但無(wú)監(jiān)督考察機(jī)制。

□未簽訂合約或簽訂了平安貢任合同書(shū)或保密協(xié)議，但

服務(wù)范圍、平安責(zé)任等未明確規(guī)定。

4服務(wù)管控措□制定了詳細(xì)的服務(wù)審核要求和規(guī)范。對(duì)服務(wù)供應(yīng)過(guò)程

施中的重要操作進(jìn)行審核，并要求服務(wù)機(jī)構(gòu)定期供應(yīng)服務(wù)的

狀況匯總。每半年組織內(nèi)部檢查，審查服務(wù)機(jī)構(gòu)的服務(wù)質(zhì)

量。

□定期進(jìn)行檢查。但缺乏規(guī)范的檢查內(nèi)容和要求。

□未接受任何管控措施。

5系統(tǒng)平安方□依據(jù)信息系統(tǒng)平安保障要求，書(shū)面形式加以描述，形

案制定成能指導(dǎo)平安系統(tǒng)建設(shè)、平安產(chǎn)品選購(gòu)和運(yùn)用的詳細(xì)

設(shè)計(jì)方案，并經(jīng)過(guò)專家論證和審定。

□形成能指導(dǎo)平安系統(tǒng)建設(shè)、平安產(chǎn)品走購(gòu)和運(yùn)用的

概要設(shè)計(jì)方案，內(nèi)部相關(guān)部門(mén)審定。

□缺乏體系化的平安方案。

6信息系統(tǒng)開(kāi)□依據(jù)軟件開(kāi)發(fā)管理制度，各類開(kāi)發(fā)文檔齊全，信息系

發(fā)統(tǒng)均經(jīng)過(guò)功能、平安測(cè)試，并形成測(cè)試報(bào)告。

□開(kāi)發(fā)文檔不全面，僅在內(nèi)部進(jìn)行功能測(cè)試。

□無(wú)開(kāi)發(fā)文檔，或外包開(kāi)發(fā)，沒(méi)有源代碼或有源代碼但

未經(jīng)過(guò)全面的平安測(cè)試。

7信息系統(tǒng)建□制定詳細(xì)的實(shí)施方案，并經(jīng)過(guò)審定和批準(zhǔn)，指定或授

設(shè)實(shí)施過(guò)程權(quán)特地的部門(mén)或人員依據(jù)實(shí)施方案的要求限制整個(gè)過(guò)程。

進(jìn)度和質(zhì)量□制定簡(jiǎn)要實(shí)施方案，指定或授權(quán)特地的部門(mén)或人員限

限制制整個(gè)過(guò)程。

□無(wú)坎施方案或無(wú)專人管理實(shí)施過(guò)程.

8.信息系統(tǒng)驗(yàn)□制定驗(yàn)收方案，組織相關(guān)部門(mén)和相關(guān)人員對(duì)系統(tǒng)測(cè)試

收驗(yàn)收?qǐng)?bào)告進(jìn)行審定，詳細(xì)記錄驗(yàn)收結(jié)果，形成驗(yàn)收?qǐng)?bào)告。

重要的信息系統(tǒng)在驗(yàn)收前，組織專業(yè)的第三方測(cè)評(píng)機(jī)構(gòu)進(jìn)

行測(cè)評(píng)。

□組織了驗(yàn)收活動(dòng)，但缺乏專業(yè)人員進(jìn)行全面的驗(yàn)收測(cè)

試。

II口未組織驗(yàn)收。_________

5.系統(tǒng)運(yùn)維管理

設(shè)備、系統(tǒng)的操作和維護(hù)記錄，變更管理，平安事務(wù)分析和報(bào)告;

運(yùn)行環(huán)境與開(kāi)發(fā)環(huán)境的分別狀況；平安審計(jì)、補(bǔ)丁升級(jí)管理、平安漏

洞檢測(cè)、網(wǎng)管、權(quán)限管理及密碼管理等狀況，重點(diǎn)檢查系統(tǒng)性能的監(jiān)

控措施及運(yùn)行狀況。

序號(hào)檢查項(xiàng)結(jié)果備注

1.環(huán)境管理□有機(jī)房平安管理制度，并配備機(jī)房平安管理人員，對(duì)機(jī)

房供配電等設(shè)施、設(shè)備和人員出入機(jī)房進(jìn)行嚴(yán)格管理。

□配備機(jī)歷平安管理人員，時(shí)機(jī)房供配電等設(shè)施、設(shè)備和

人員出入機(jī)房進(jìn)行管理。

□其它。

2.資產(chǎn)管理□資產(chǎn)清單記錄內(nèi)容與實(shí)際運(yùn)用的計(jì)算機(jī)設(shè)備及其屬性

內(nèi)容完全一樣。

□資產(chǎn)清單內(nèi)容與實(shí)際運(yùn)用的計(jì)算機(jī)設(shè)備及其屬性內(nèi)容，

在數(shù)量上一樣，但在部分屬性記錄上有偏差。

□其它。

3.介質(zhì)管理□對(duì)介質(zhì)的存放環(huán)境、運(yùn)用、維護(hù)和銷毀等方面實(shí)行嚴(yán)格

的限制措施。

□對(duì)介質(zhì)的存放環(huán)境、運(yùn)用、維護(hù)和銷毀等方面實(shí)行了部

分限制措施。

□其它。

4.設(shè)備管理□對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備、線路等指定特地的部門(mén)或

人員定期進(jìn)行維護(hù)管理。

□對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備、線路等指定特地的部門(mén)或

人員不定期進(jìn)行維護(hù)管理。

□其它。

5.生產(chǎn)環(huán)境□生產(chǎn)環(huán)境與開(kāi)發(fā)環(huán)境隔離。

與開(kāi)發(fā)環(huán)□其它。

境的分別

6.系統(tǒng)監(jiān)控□對(duì)通信線路、關(guān)鍵服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行

狀況能夠?qū)崟r(shí)監(jiān)測(cè)，并能剛好分析報(bào)警U志。

□對(duì)通信線路、關(guān)鍵服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行

狀況能夠不定期監(jiān)測(cè)，并能定期分析報(bào)警日志。

□其它。

7.變更管理□系統(tǒng)發(fā)生重要變更前，以書(shū)面形式向主管領(lǐng)導(dǎo)申請(qǐng)，申

批后實(shí)施變更，并在實(shí)施后向相關(guān)人員通告，相關(guān)記錄保

存完好。

□系統(tǒng)發(fā)生重要變更前，向主管領(lǐng)導(dǎo)申請(qǐng)，審批后實(shí)施變

更，并在實(shí)施后向相關(guān)人員通告。

□其它。

8.補(bǔ)丁管理□補(bǔ)丁更新剛好，并能在測(cè)試環(huán)境測(cè)試后安裝到運(yùn)行環(huán)

境。

□大部分計(jì)算機(jī)設(shè)備的補(bǔ)丁更新剛好，只有少數(shù)由于應(yīng)用

軟件代碼不兼容而導(dǎo)致服務(wù)器補(bǔ)丁更新不剛好。

□其它。

9.平安事務(wù)□制定平安事務(wù)報(bào)告和處置管理制度，能剛好響應(yīng)平安事

管理故，并從平安事故中學(xué)習(xí)總結(jié)。

□能剛好響應(yīng)平安事故。

□其它。

10.風(fēng)險(xiǎn)評(píng)估□信息系統(tǒng)投入運(yùn)行后，應(yīng)每年至少進(jìn)行一次關(guān)鍵業(yè)務(wù)或

關(guān)鍵風(fēng)險(xiǎn)點(diǎn)的信息平安風(fēng)險(xiǎn)評(píng)估，每三年或信息系統(tǒng)發(fā)生

重大變更時(shí)，進(jìn)行?次全面的信息平安風(fēng)險(xiǎn)評(píng)估工作。

□信息系統(tǒng)投入運(yùn)行后，每?jī)赡赀M(jìn)行一次關(guān)鍵業(yè)務(wù)的信息

平安風(fēng)險(xiǎn)評(píng)估。

□其它。

6.物理平安

機(jī)房平安管控措施、防災(zāi)措施、供電和通信系統(tǒng)的保障!昔施等.

序號(hào)檢查項(xiàng)結(jié)果備注

1物理位置選擇?！鯔C(jī)房和辦公場(chǎng)地所在的建筑周邊具備防止

機(jī)房和辦公場(chǎng)地所在的無(wú)關(guān)人員接近的措施，并且依據(jù)當(dāng)?shù)氐淖匀画h(huán)

建筑，抗拒人為破壞和境設(shè)置了必要的防震、防火沏防水的措施。

自然災(zāi)難的實(shí)力?！鯔C(jī)房和辦公場(chǎng)地所在的建筑具備基本的抗

拒人為破壞和自然災(zāi)難的實(shí)力，但防護(hù)強(qiáng)度有

待提高。

□其它。

2機(jī)房出入限制狀況□設(shè)置專人和自動(dòng)化技術(shù)措施，對(duì)出入機(jī)房

的人員進(jìn)行全面的鑒別、監(jiān)控和記錄。

□設(shè)置專人或自動(dòng)化技術(shù)措施，對(duì)出入機(jī)歷的

人員進(jìn)行鑒別，但沒(méi)有監(jiān)控和完整的記錄。

□其它。

3機(jī)房環(huán)境。□機(jī)房環(huán)境保障完全達(dá)到相關(guān)國(guó)家標(biāo)準(zhǔn)的要

機(jī)房配備防火、防水、求。

防雷、防靜電、溫度濕□少部分機(jī)房環(huán)境保障措施沒(méi)有達(dá)到有關(guān)標(biāo)

度調(diào)整等措施，并供應(yīng)準(zhǔn)要求，但可以在短時(shí)間內(nèi)有?效整改。

足夠穩(wěn)定的電源，為機(jī)□其它。

房中的設(shè)備供應(yīng)良好的

運(yùn)行環(huán)境。

4電磁防護(hù)。□接受接地方式防止外界電磁干擾和設(shè)備寄

電源線和通信線纜生耦合干擾;電源線和通信線纜隔離，避開(kāi)相

應(yīng)隔離鋪設(shè)，避開(kāi)互干擾。

相互干擾?！跗渌?。

7.網(wǎng)絡(luò)平安

平安域劃分、邊界防護(hù)、內(nèi)網(wǎng)防護(hù)、外部設(shè)備接入限制等狀況。

網(wǎng)絡(luò)和信息系統(tǒng)的體系結(jié)構(gòu)、各類平安保障措施的組合是否合理。

序號(hào)檢查項(xiàng)結(jié)果備注

1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖□有正式的文檔化的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，且完全

與實(shí)際運(yùn)行的網(wǎng)絡(luò)結(jié)構(gòu)相吻合。

□有文檔化的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，關(guān)鍵部分吻

合。

□其它。

2網(wǎng)絡(luò)冗余設(shè)計(jì)□對(duì)關(guān)犍網(wǎng)絡(luò)設(shè)備進(jìn)行了冗余設(shè)計(jì)，以增加網(wǎng)

絡(luò)的健壯性和可用性。

□對(duì)部分關(guān)鍵網(wǎng)絡(luò)設(shè)備進(jìn)行了冗余設(shè)計(jì)。

□其它。

3網(wǎng)絡(luò)平安域劃分□依據(jù)信息資源的重要程度進(jìn)行了細(xì)致的平

安域劃分。

□依據(jù)信息資源的重要程度進(jìn)行了基本的平

安域劃分。

□其它。

4平安域訪問(wèn)限制□依據(jù)業(yè)務(wù)須要實(shí)施r嚴(yán)格的訪問(wèn)限制措施。

□實(shí)施了訪問(wèn)限制措施，但訪問(wèn)限制粒度較

粗。

□其它

5網(wǎng)絡(luò)準(zhǔn)入限制?！跤芯W(wǎng)絡(luò)準(zhǔn)入限制措施，且嚴(yán)格執(zhí)行。

防止未授權(quán)人員接入□己有準(zhǔn)入限制措施，但未嚴(yán)格執(zhí)行。

到網(wǎng)絡(luò)中來(lái)，以引入□其它。

平安風(fēng)險(xiǎn)。

6網(wǎng)絡(luò)入侵防范□檢測(cè)網(wǎng)絡(luò)邊界處的網(wǎng)絡(luò)攻擊行為，發(fā)牛.嚴(yán)峻

入侵事務(wù)時(shí)供應(yīng)報(bào)警，并能剛好響應(yīng)和處理。

□檢測(cè)網(wǎng)絡(luò)邊界處的網(wǎng)絡(luò)攻擊行為，并供應(yīng)報(bào)

警。

□其它。

7平安審計(jì)?！跖鋫鋵徲?jì)設(shè)備且進(jìn)行了良好配置.能夠定期

便宇平安事務(wù)發(fā)生后

查看和分析審計(jì)日志。

進(jìn)行溯源追蹤□配備審計(jì)設(shè)備且進(jìn)行了良好配置，但未能定

期杳看和分析審計(jì)日志。

□其它。

8.設(shè)備和主機(jī)平安

網(wǎng)絡(luò)交換設(shè)備、平安設(shè)備、主機(jī)和終端設(shè)備的平安性，操作系統(tǒng)

的平安配置、病毒防護(hù)、惡意代碼防范等。

1）網(wǎng)絡(luò)設(shè)備、平安設(shè)備和終端設(shè)備防護(hù)

序檢查項(xiàng)結(jié)果備注

號(hào)

1.設(shè)備用戶身份標(biāo)識(shí)。□每個(gè)設(shè)備的用戶擁有自己唯一的身份標(biāo)識(shí)。

□依據(jù)用戶職責(zé)以小組為單位支配身份標(biāo)識(shí)。

□其它。

2.管理員登錄地址限n管理員只能通過(guò)有限的、固定的IP地址和MAC

制。地址登錄。

通過(guò)對(duì)管理員登錄□管理員職能在一個(gè)固定的1P地址段登錄。

地址的限制，降低非□其它

法網(wǎng)絡(luò)接入后取得

設(shè)備運(yùn)用權(quán)限的可

能。

3.設(shè)備用戶身份鑒別。□設(shè)備的登錄密碼困難不易揣測(cè)、定期更換且加

通過(guò)嚴(yán)格的口令設(shè)密存儲(chǔ)。

置和管理.，保障身份□設(shè)備的登錄密碼困難不易揣測(cè)且加密存儲(chǔ)，但

鑒別的精確性。沒(méi)有做到定期更換。

□其它.

4.登錄失敗處理?！鯇?shí)行結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登

接受有效措施，對(duì)于錄連接超時(shí)自動(dòng)退出等措施。

失敗和異樣的登錄□實(shí)行結(jié)束會(huì)話、限制非法登錄次數(shù)的措施。

活動(dòng)進(jìn)行妥當(dāng)處理□其它。

5.管理信息防竊聽(tīng)?！鯇?duì)全部管理通信進(jìn)行了加密。

接受有效措施對(duì)設(shè)□對(duì)鑒別信息的通信進(jìn)行了加密,

備的管理信息進(jìn)行□其它。

加密

2）操作系統(tǒng)平安

序檢查項(xiàng)結(jié)果備注

號(hào)

1.身份標(biāo)識(shí)。□全部操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)為其全部用戶建立了

為操作系統(tǒng)和數(shù)唯一的用戶標(biāo)識(shí)。

據(jù)庫(kù)系統(tǒng)用戶建□關(guān)鍵主機(jī)的操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)為其全部用戶

立身份標(biāo)識(shí)。建立了唯一的用戶標(biāo)識(shí)，而其它主機(jī)和終端的操作系

統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)沒(méi)有為其全部用戶建立了唯一的用

戶標(biāo)識(shí)。

□其它。

2.身份鑒別?！跞坎僮飨到y(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的登錄密碼困難不易

通過(guò)嚴(yán)格的口令揣測(cè)、定期更換且加密存儲(chǔ)。

設(shè)置和管理，保障□關(guān)鍵主機(jī)的操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)登錄密碼困難

對(duì)操作系統(tǒng)和數(shù)不易揣測(cè)、定期更換且加密存儲(chǔ)，而其它主機(jī)和終端

據(jù)庫(kù)系統(tǒng)身份鑒的操作系統(tǒng)和數(shù)據(jù)庫(kù)的登錄密碼則不夠嚴(yán)格。

別的精確性。□其它。

3.訪問(wèn)限制?！跞糠?wù)器的操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的特權(quán)用戶

加強(qiáng)服務(wù)器的用權(quán)限分別，默認(rèn)賬戶和口令進(jìn)行了修改，無(wú)用的賬戶

戶權(quán)限管理。已刪除

□關(guān)鍵主機(jī)的操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)機(jī)操作系統(tǒng)和

數(shù)據(jù)庫(kù)系統(tǒng)的特權(quán)用戶權(quán)限分別，默認(rèn)賬戶和口令進(jìn)

行了修改，無(wú)用的賬戶已刪除：而其它主機(jī)和終端沒(méi)

有做到。

□其它。

4.平安審計(jì)?！鯇徲?jì)范圍想蓋重:要服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫(kù)的全

為操作系統(tǒng)和數(shù)部用戶的行為、資源運(yùn)用狀況和重要叮囑的執(zhí)行，以

據(jù)庫(kù)系統(tǒng)部署有及這些活動(dòng)的時(shí)間、主體標(biāo)識(shí)、客體標(biāo)識(shí)以及結(jié)果：

效的審計(jì)措施。審計(jì)記錄被妥當(dāng)保存。

□建立J'針對(duì)重要服務(wù)耀操作系統(tǒng)和數(shù)據(jù)庫(kù)的審計(jì)

措施，但沒(méi)有達(dá)到以上全部的要求。

□無(wú)審計(jì)措施。

5.入侵防范?！醪僮飨到y(tǒng)僅安裝了必要的組件和應(yīng)用程序，僅開(kāi)

通過(guò)嚴(yán)格的平安放了必要的服務(wù)，井R剛好保持補(bǔ)丁更新以消退嚴(yán)峻

配置和補(bǔ)丁更新的平安漏洞。

消退可能被入侵□操作系統(tǒng)僅安裝了必要應(yīng)用程序，關(guān)閉了大多數(shù)

者利用的平安漏無(wú)用的端口，刪除了大多數(shù)無(wú)用的系統(tǒng)組件、進(jìn)行了

洞。部分補(bǔ)丁更新。

□其它。

6.惡意代碼防范?！鯙榉?wù)器和終端安裝防惡意代碼軟件，剛好更新

通過(guò)防病毒技術(shù)防惡意代碼軟件版本和惡意代碼庫(kù)；支持防惡意代碼

措施，對(duì)惡意代碼軟件的統(tǒng)一管理。

進(jìn)行有效監(jiān)控□為服務(wù)器和終端安裝防惡意代碼軟件，但防惡意

代碼軟件版本和惡意代碼庫(kù)更新不刖好：支持防惡意

代碼軟件的統(tǒng)一管理，但少量服務(wù)器和終端未覆蓋

到。

□其它。

7.資源限制?！鯇?duì)重要服務(wù)器的操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)通過(guò)設(shè)定

對(duì)用戶運(yùn)用操作終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄，

系統(tǒng)資源的狀況并當(dāng)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的服務(wù)水平降低到預(yù)先

進(jìn)行合理的限制。規(guī)定的最小值時(shí)，能夠監(jiān)測(cè)和報(bào)警。

□當(dāng)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的服務(wù)水平降低到預(yù)先

規(guī)定的最小值時(shí)，能夠監(jiān)測(cè)和報(bào)警。

□其它。

9.應(yīng)用平安

數(shù)據(jù)庫(kù)、WEB網(wǎng)站、日常辦公和業(yè)務(wù)系統(tǒng)等應(yīng)用的平安設(shè)計(jì)、

配置和管理狀況；關(guān)鍵應(yīng)用系統(tǒng)開(kāi)發(fā)過(guò)程中的質(zhì)量限制和平安性測(cè)試

狀況。

序號(hào)檢查項(xiàng)結(jié)果備注

1.身份標(biāo)識(shí)和鑒別?！醺鱾€(gè)應(yīng)用系統(tǒng)均接受專用的登錄模塊，供應(yīng)用

接受專用的登錄戶身份標(biāo)識(shí)唯一和鑒別信息困難度檢查功能，供應(yīng)

限制模塊對(duì)登錄登錄失敗處理功能。對(duì)關(guān)鍵應(yīng)用系統(tǒng)中的同一用戶

用戶進(jìn)行身份標(biāo)接受兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身

識(shí)和鑒別份鑒別。

□關(guān)鍵系統(tǒng)中接受了身份標(biāo)識(shí)和鑒別，但鑒別信

以困難度檢查功能不足，弱口令現(xiàn)象存在。對(duì)關(guān)鍵

應(yīng)用系統(tǒng)中的同一用戶接受一種鑒別技術(shù)實(shí)現(xiàn)用

戶身份鑒別。

□各個(gè)系統(tǒng)均未接受身份標(biāo)識(shí)與鑒別。

2.訪問(wèn)限制功能□不同帳戶為完成各自擔(dān)當(dāng)任務(wù)所需的最小權(quán)

限，嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限，特權(quán)用戶的權(quán)

限分別，權(quán)限之間相互制約。訪問(wèn)限制的粒度到數(shù)

據(jù)級(jí)。

□不同帳戶權(quán)限不是最小的。訪問(wèn)限制的粒度到

功能級(jí)c

□訪問(wèn)限制無(wú)限制。

3.應(yīng)用系統(tǒng)平安審□應(yīng)用系統(tǒng)供應(yīng)審計(jì)功能，對(duì)用戶的各類操作均

計(jì)進(jìn)行細(xì)致的審計(jì)（例如，用戶標(biāo)識(shí)與鑒別、訪問(wèn)限

制的全部操作記錄、重要用戶行為、系統(tǒng)資源的異

樣運(yùn)用、重要系統(tǒng)叮囑的運(yùn)用等），并定期對(duì)應(yīng)用

系統(tǒng)重要平安事務(wù)的審計(jì)記錄進(jìn)行檢查，分析異樣

狀況產(chǎn)生的緣由。

□應(yīng)用系統(tǒng)供應(yīng)審計(jì)功能，但審計(jì)不全面，僅記

錄重要的事務(wù)和操作。

□對(duì)用戶的操作不進(jìn)行審計(jì)。

4.通信完整性.□對(duì)重要信息系統(tǒng)中的關(guān)鍵數(shù)據(jù)接受數(shù)據(jù)完整性

接受密碼技術(shù)保校驗(yàn)技術(shù)。

證通信過(guò)程中數(shù)□其它。

據(jù)的完整性。

5.通信保密性?！鯌?yīng)用系統(tǒng)的敏感數(shù)據(jù)通信過(guò)程均接受國(guó)家有關(guān)

通信過(guò)程中的整部門(mén)要求的密碼技術(shù)保證保密性。

個(gè)報(bào)文或會(huì)話過(guò)□應(yīng)用系統(tǒng)的敏感數(shù)據(jù)通信時(shí)接受密碼技術(shù)保證

程進(jìn)行加密保密性，但未接受國(guó)家有關(guān)部門(mén)要求的密碼技術(shù)。

□未接受措施愛(ài)惜通信保密性。

6.應(yīng)用系統(tǒng)業(yè)務(wù)軟□供應(yīng)數(shù)據(jù)有效性檢驗(yàn)功能，保證輸入的數(shù)據(jù)格

件容錯(cuò)功能式和長(zhǎng)度符合系統(tǒng)設(shè)定要求。重要應(yīng)用系統(tǒng)供應(yīng)自

動(dòng)愛(ài)惜功能，當(dāng)故障發(fā)生時(shí)自動(dòng)愛(ài)惜當(dāng)前全部狀

杰，保證系統(tǒng)能夠進(jìn)行復(fù)原。

□供應(yīng)數(shù)據(jù)有效性檢驗(yàn)功能，但系統(tǒng)出現(xiàn)問(wèn)題時(shí)

不能自動(dòng)復(fù)原。

□不供應(yīng)軟件容錯(cuò)功能。

7.應(yīng)用系統(tǒng)資源限□對(duì)十重要的應(yīng)用系統(tǒng)，限制單個(gè)帳戶的多重并

制實(shí)力發(fā)會(huì)話，當(dāng)應(yīng)用系統(tǒng)的服務(wù)水平降低到預(yù)先設(shè)定的

最小值時(shí)，系統(tǒng)報(bào)警。

□對(duì)于重要的應(yīng)用系統(tǒng)，限制單個(gè)帳戶的多重并

發(fā)會(huì)話。

□應(yīng)用系統(tǒng)不供應(yīng)資源限制功能,

10.數(shù)據(jù)平安

數(shù)據(jù)訪問(wèn)限制狀況，服務(wù)器、用戶終端、數(shù)據(jù)庫(kù)等數(shù)據(jù)加密愛(ài)惜

實(shí)力，磁盤(pán)、光盤(pán)、U盤(pán)和移動(dòng)硬盤(pán)等存儲(chǔ)介質(zhì)管理狀況，數(shù)據(jù)備份

與復(fù)原手段等。

序號(hào)檢查項(xiàng)結(jié)果備注

1.業(yè)務(wù)數(shù)據(jù)完整性□對(duì)重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲(chǔ)時(shí)實(shí)行了必要

的完整性保證措施。

□其它。

2.業(yè)務(wù)數(shù)據(jù)保密性□對(duì)重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲(chǔ)時(shí)實(shí)行了加密

措施。

□其它。

3.配置數(shù)據(jù)文件□重要設(shè)備的配置數(shù)據(jù)文件離線存放，統(tǒng)?管

理。

□重要設(shè)備的配置文件離線存放.但無(wú)統(tǒng)一管

理。

□其它。

4.敏感文檔管理制度