【正文】 制定（發(fā)布制度具有統(tǒng)一的格式，并進行版本控制）應對制定的安全管理制度進行論證和審定，論證和審定方式如何（如召開評審會、函審、內(nèi)部審核等），應具有管理制度評審記錄應具有安全管理制度的收發(fā)登記記錄，收發(fā)應通過正式、有效的方式（如正式發(fā)文、領導簽署和單位蓋章等）安全管理制度應注明發(fā)布范圍，并對收發(fā)文進行登記。信息安全領導小組定期對安全管理制度體系的合理性和適用性進行審定，審定周期多長。（安全管理制度體系的評審記錄）系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術基礎結構和組織結構等發(fā)生變更時應對安全管理制度進行檢查，對需要改進的制度進行修訂。（應具有安全管理制度修訂記錄）三、安全管理機構應設立信息安全管理工作的職能部門應設立安全主管、安全管理各個方面的負責人應設立機房管理員、系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等重要崗位（分工明確，各司其職），數(shù)量情況（管理人員名單、崗位與人員對應關系表）安全管理員應是專職人員關鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。應設立指導和管理信息安全工作的委員會或領導小組（最高領導是否由單位主管領導委任或授權的人員擔任）應對重要信息系統(tǒng)活動進行審批（如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓、產(chǎn)品的采購、外部人員的訪問等），審批部門是何部門，審批人是何人。審批程序：應與其它部門之間及內(nèi)部各部門管理人員定期進行溝通（信息安全領導小組或者安全管理委員會應定期召開會議）應組織內(nèi)部機構之間以及信息安全職能部門內(nèi)部的安全工作會議文件或會議記錄，定期：信息安全管理委員會或領導小組安全管理工作執(zhí)行情況的文件或工作記錄（如會議記錄/紀要，信息安全工作決策文檔等）1應與公安機關、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表）1應與供應商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機制。1聘請信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄）1應組織人員定期對信息系統(tǒng)進行安全檢查（查看檢查內(nèi)容是否包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）1應定期進行全面安全檢查（安全檢查是否包含現(xiàn)行技術措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格，安全檢查報告，檢查結果通告記錄）四、人員安全管理何部門/何人負責安全管理和技術人員的錄用工作（錄用過程）應對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進行審查，對技術人員的技術技能進行考核，技能考核文檔或記錄應與錄用后的技術人員簽署保密協(xié)議（協(xié)議中有保密范圍、保密責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容）應設定關鍵崗位，對從事關鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議。應及時終止離崗人員的所有訪問權限（離崗人員所有訪問權限終止的記錄）應及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備等（交還身份證件和設備等的登記記錄）人員離崗應辦理調(diào)離手續(xù)，是否要求關鍵崗位調(diào)離人員承諾相關保密義務后方可離開（具有按照離崗程序辦理調(diào)離手續(xù)的記錄，調(diào)離人員的簽字）對各個崗位人員應定期進行安全技能考核；具有安全技能考核記錄，考核內(nèi)容要求包含安全知識、安全技能等。對關鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內(nèi)容是否包括操作行為和社會關系等。應對各類人員（普通用戶、運維人員、單位領導等）進行安全教育、崗位技能和安全技術培訓。1應針對不同崗位制定不同的培訓計劃，并按照計劃對各個崗位人員進行安全教育和培訓（安全教育和培訓的結果記錄，記錄應與培訓計劃一致）1外部人員進入條件（對哪些重要區(qū)域的訪問須提出書面申請批準后方可進入），外部人員進入的訪問控制（由專人全程陪同或監(jiān)督等）1應具有外部人員訪問重要區(qū)域的書面申請1應具有外部人員訪問重要區(qū)域的登記記錄（記錄描述了外部人員訪問重要區(qū)域的進入時間、離開時間、訪問區(qū)域、訪問設備或信息及陪同人等）五、系統(tǒng)建設管理應明確信息系統(tǒng)的邊界和安全保護等級（具有定級文檔，明確信息系統(tǒng)安全保護等級）應具有系統(tǒng)建設/整改方案應授權專門的部門對信息系統(tǒng)的安全建設進行總體規(guī)劃，由何部門/何人負責應具有系統(tǒng)的安全建設工作計劃（系統(tǒng)安全建設工作計劃中明確了近期和遠期的安全建設計劃）應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略等相關配套文件進行論證和審定（配套文件的論證評審記錄或文檔）應對總體安全策略、安全技術框架、安全管理策略等相關配套文件應定期進行調(diào)整和修訂應具有總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃、詳細設計方案等相關配套文件的維護記錄或修訂版本應按照國家的相關規(guī)定進行采購和使用系統(tǒng)信息安全產(chǎn)品安全產(chǎn)品的相關憑證，如銷售許可等，應使用符合國家有關規(guī)定產(chǎn)品應具有專門的部門負責產(chǎn)品的采購1采購產(chǎn)品前應預先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單1應具有產(chǎn)品選型測試結果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結果文檔）1應具有軟件設計相關文檔，專人保管軟件設計的相關文檔，應具有軟件使用指南或操作手冊1對程序資源庫的修改、更新、發(fā)布應進行授權和批準1應具有程序資源庫的修改、更新、發(fā)布文檔或記錄1軟件交付前應依據(jù)開發(fā)協(xié)議的技術指標對軟件功能和性能等進行驗收檢測1軟件安裝之前應檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業(yè)產(chǎn)品1應具有軟件設計的相關文檔和使用指南1應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發(fā)文檔應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質(zhì)量控制2應具有工程實施過程應按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案2在信息系統(tǒng)正式運行前，應委托第三方測試機構根據(jù)設計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試（第三方測試機構出示的系統(tǒng)安全性測試驗收報告）2應具有工程測試驗收方案（測試驗收方案與設計方案或合同要求內(nèi)容一致）2應具有測試驗收報告2應指定專門部門負責測試驗收工作（具有對系統(tǒng)測試驗收報告進行審定的意見）2根據(jù)交付清單對所交接的設備、文檔、軟件等進行清點（系統(tǒng)交付清單）2應具有系統(tǒng)交付時的技術培訓記錄2應具有系統(tǒng)建設文檔（如系統(tǒng)建設方案）、指導用戶進行系統(tǒng)運維的文檔（如服務器操作規(guī)程書）以及系統(tǒng)培訓手冊等文檔。2應指定部門負責系統(tǒng)交付工作應具有與產(chǎn)品供應商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構等相關安全服務商簽訂的協(xié)議（文檔中有保密范圍、安全責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容3選定的安全服務商應提供一定的技術培訓和服務3應與安全服務商簽訂的服務合同或安全責任合同書1采購產(chǎn)品前應預先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單1應具有產(chǎn)品選型測試結果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結果文檔）1應具有軟件設計相關文檔，專人保管軟件設計的相關文檔，應具有軟件使用指南或操作手冊1對程序資源庫的修改、更新、發(fā)布應進行授權和批準1應具有程序資源庫的修改、更新、發(fā)布文檔或記錄1軟件交付前應依據(jù)開發(fā)協(xié)議的技術指標對軟件功能和性能等進行驗收檢測1軟件安裝之前應檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業(yè)產(chǎn)品1應具有軟件設計的相關文檔和使用指南1應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發(fā)文檔應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質(zhì)量控制2應具有工程實施過程應按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案2在信息系統(tǒng)正式運行前，應委托第三方測試機構根據(jù)設計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試（第三方測試機構出示的系統(tǒng)安全性測試驗收報告）2應具有工程測試驗收方案（測試驗收方案與設計方案或合同要求內(nèi)容一致）2應具有測試驗收報告2應指定專門部門負責測試驗收工作（具有對系統(tǒng)測試驗收報告進行審定的意見）2根據(jù)交付清單對所交接的設備、文檔、軟件等進行清點（系統(tǒng)交付清單）2應具有系統(tǒng)交付時的技術培訓記錄2應具有系統(tǒng)建設文檔（如系統(tǒng)建設方案）、指導用戶進行系統(tǒng)運維的文檔（如服務器操作規(guī)程書）以及系統(tǒng)培訓手冊等文檔。2應指定部門負責系統(tǒng)交付工作應具有與產(chǎn)品供應商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構等相關安全服務商簽訂的協(xié)議（文檔中有保密范圍、安全責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容3選定的安全服務商應提供一定的技術培訓和服務3應與安全服務商簽訂的服務合同或安全責任合同書六、系統(tǒng)運維管理應指定專人或部門對機房的基本設施（如空調(diào)、供配電設備等）進行定期維護，由何部門/何人負責。應具有機房基礎設施的維護記錄，空調(diào)、溫濕度控制等機房設施定期維護保養(yǎng)的記錄應指定部門和人員負責機房安全管理工作應對辦公環(huán)境保密性進行管理（工作人員離開座位確保終端計算機退出登錄狀態(tài)、桌面上沒有包含敏感信息的紙檔文件）應具有資產(chǎn)清單（覆蓋資產(chǎn)責任人、所屬級別、所處位置、所處部門等方面）應指定資產(chǎn)管理的責任部門或人員應依據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標識介質(zhì)存放于何種環(huán)境中，應對存放環(huán)境實施專人管理（介質(zhì)存放在安全的環(huán)境（防潮、防盜、防火、防磁，專用存儲空間））應具有介質(zhì)使用管理記錄，應記錄介質(zhì)歸檔和使用等情況（介質(zhì)存放、使用管理記錄）對介質(zhì)的物理傳輸過程應要求選擇可靠傳輸人員、嚴格介質(zhì)的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)的控制1應對介質(zhì)的使用情況進行登記管理，并定期盤點（介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤點的記錄）1對送出維修或銷毀的介質(zhì)如何管理，銷毀前應對數(shù)據(jù)進行凈化處理。（對帶出工作環(huán)境的存儲介質(zhì)是否進行內(nèi)容加密并有領導批準。對保密性較高的介質(zhì)銷毀前是否有領導批準）（送修記錄、帶出記錄、銷毀記錄）1應對某些重要介質(zhì)實行異地存儲，異地存儲環(huán)境是否與本地環(huán)境相同（防潮、防盜、防火、防磁