【文章內(nèi)容簡介】 ) 檢查是否定期分析、評審異常行為的審計(jì)記錄(不符合扣3分)3) 檢查安全檢查報(bào)告，查看報(bào)告日期與檢查周期是否一致(不符合扣3分)√√√由內(nèi)部人員或上級單位定期進(jìn)行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；安全管理機(jī)構(gòu)101) 檢查是否要求內(nèi)部人員或上級單位定期對信息系統(tǒng)進(jìn)行全面安全檢查(不符合扣4分)2) 檢查內(nèi)容是否包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等(不符合扣3分)3) 檢查安全檢查報(bào)告，查看報(bào)告日期與檢查周期是否一致(不符合扣3分)√√√制定安全檢查表格實(shí)施安全檢查，匯總安全檢查數(shù)據(jù)，形成安全檢查報(bào)告，并對安全檢查結(jié)果進(jìn)行通報(bào)；安全管理機(jī)構(gòu)101) 檢查是否具有安全檢查表格(不符合扣4分)2) 檢查安全檢查報(bào)告，查看報(bào)告日期與檢查周期是否一致，報(bào)告中是否有檢查內(nèi)容、檢查人員、檢查數(shù)據(jù)匯總表、檢查結(jié)果等的描述(不符合扣6分)√√√制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作，定期按照程序進(jìn)行安全審核和安全檢查活動(dòng)安全管理機(jī)構(gòu)101) 檢查是否具有安全審核和安全檢查制度(不符合扣6分)2) 檢查安全審核和安全檢查過程記錄(不符合扣4分)√√√. 人員安全管理（小計(jì)：100分）檢查項(xiàng)目檢查內(nèi)容等級保護(hù)標(biāo)準(zhǔn)分值評分標(biāo)準(zhǔn) 實(shí)際得分CIA人員錄用對單位的新錄用人員要簽署保密協(xié)議人員安全管理101) 檢查是否有相關(guān)管理要求(不符合扣4分)2) 檢查是否有簽署的保密協(xié)議文件(不符合扣6分)√指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用人員安全管理10檢查是否有專門部門或人員負(fù)責(zé)人員錄用(不符合扣10分)√√嚴(yán)格規(guī)范人員錄用過程，對被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查，對其所具有的技術(shù)技能進(jìn)行考核人員安全管理10檢查人員錄用時(shí)是否對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查，對技術(shù)人員的技術(shù)技能進(jìn)行考核(不符合扣10分)√√從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員，并簽署崗位安全協(xié)議人員安全管理10檢查對從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議(不符合扣10分)√人員離崗對即將離崗的員工立即終止其在信息系統(tǒng)中的所有訪問權(quán)限人員安全管理101) 查看員工離崗流程中是否有相關(guān)要求(不符合扣4分)2) 檢查是否有終止訪問權(quán)限的表單(不符合扣6分)√取回離崗人員的各種身份證件、鑰匙、徽章等以及單位提供的軟硬件設(shè)備人員安全管理101) 查看員工離崗流程中是否有相關(guān)要求(不符合扣4分)2) 檢查是否有設(shè)備、證件等上繳表單記錄(無記錄扣6分)√√離崗人員由人事部門辦理調(diào)離手續(xù)，并由離崗人員書面承諾調(diào)離后的保密義務(wù)人員安全管理101) 查看員工離崗流程中是否有相關(guān)要求(不符合扣4分)2) 檢查是否有簽署的離崗保密承諾文件(無記錄扣6分) √第三方人員管理要求第三方人員在訪問前與公司簽署安全責(zé)任合同書或保密協(xié)議安全管理101) 查看是否有對第三方訪問進(jìn)行管理的規(guī)定(不符合扣4分)2) 檢查是否有書面保證文件(不符合扣6分) √對第三方人員訪問重要區(qū)域以書面形式批準(zhǔn)，并由專人全程陪同或監(jiān)督，記錄備案人員安全管理10檢查是否有審批記錄或監(jiān)督記錄(不符合扣10分)√√√對第三方人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容進(jìn)行書面的規(guī)定，并按照規(guī)定執(zhí)行人員安全管理10檢查是否有文件進(jìn)行了規(guī)定(不符合扣10分)√√√. 信息安全制度文件管理（小計(jì)：230）檢查項(xiàng)目檢查內(nèi)容等級保護(hù)標(biāo)準(zhǔn)分值評分標(biāo)準(zhǔn) 實(shí)際得分CIA信息安全策略體系建立信息安全策略體系，明確本單位需要的信息安全制度內(nèi)容安全管理制度20檢查是否有描述信息安全策略體系的相關(guān)文件或定義信息安全管理制度的文件內(nèi)容(不符合扣20分)√√√對安全管理活動(dòng)中的各類管理內(nèi)容建立安全管理制度安全管理制度10檢查安全管理制度清單中是否覆蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用和管理等層面(不符合扣10分)√√√對要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程；安全管理制度10檢查是否具有重要管理操作的操作規(guī)程，如系統(tǒng)維護(hù)手冊和用戶操作規(guī)程等(不符合扣10分)√√√形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系安全管理制度10檢查安全制度體系是否由安全政策、安全策略、管理制度、操作規(guī)程等構(gòu)成(不符合扣10分)√√√信息安全制度管理定期對信息安全管理制度進(jìn)行審核、修訂、更新、廢除過時(shí)的管理制度，制定、發(fā)布、宣貫新的管理要求 安全管理制度10檢查是否有制度管理文件(不符合扣10分)檢查制度管理文件內(nèi)容是否明確了制度審核的周期（沒有扣6分）√√√指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定；安全管理制度10安全管理制度是否在信息安全領(lǐng)導(dǎo)小組或委員會(huì)的總體負(fù)責(zé)下統(tǒng)一制定(不符合扣10分)√√√安全管理制度具有統(tǒng)一的格式，并進(jìn)行版本控制；安全管理制度101) 檢查安全管理制度文檔，查看是否注明適用和發(fā)布范圍，是否有版本標(biāo)識(shí)，是否有密級標(biāo)注，是否有管理層的簽字或蓋章；(不符合扣6分)2) 檢查各項(xiàng)制度文檔格式是否統(tǒng)一(不符合扣4分)√√√組織相關(guān)人員對制定的安全管理制度進(jìn)行論證和審定；安全管理制度101) 檢查安全管理制度的制定程序，檢查是否對制定的安全管理制度進(jìn)行論證和審定，論證和評審方式如何（如召開評審會(huì)、函審、內(nèi)部審核等）(不符合扣10分)2) 檢查管理制度評審記錄，查看是否有相關(guān)人員的評審意見(不符合扣5分)√√√信息安全工作的總體方針和安全策略得到管理者的正式批準(zhǔn)和授權(quán)；安全管理制度10檢查信息安全總體方案和安全策略文檔中是否標(biāo)明得到管理者的正式批準(zhǔn)和授權(quán)(不符合扣10分)√√√安全管理制度通過正式、有效的方式發(fā)布；安全管理制度10檢查是否有安全管理制度的發(fā)布程序(不符合扣10分)√√√安全管理制度注明發(fā)布范圍，并對收發(fā)文進(jìn)行登記。安全管理制度101) 檢查安全管理制度的收發(fā)登記記錄(不符合扣10分)2) 檢查收發(fā)是否符合規(guī)定程序和發(fā)布范圍要求(不符合扣5分)√√√信息安全制度審核信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進(jìn)行審定，并進(jìn)行信息安全制度的修訂、更新和廢除。安全管理制度101) 檢查信息安全領(lǐng)導(dǎo)小組職責(zé)中是否明確要求定期組織相關(guān)部門和人員對安全管理制度進(jìn)行評審(不符合扣5分)2) 檢查制度修訂、更新和廢除的相關(guān)工作記錄或證明(不符合扣3分)3) 現(xiàn)有管理制度是否有明顯過時(shí)或已經(jīng)不適用的內(nèi)容(有則扣2分)√√√建立相關(guān)機(jī)制，確保定期對安全管理制度體系進(jìn)行檢查和審定，對存在不足或需要改進(jìn)的體系制度和流程進(jìn)行修訂。安全管理制度101) 檢查是否具有所有安全管理制度對應(yīng)相應(yīng)負(fù)責(zé)人或者負(fù)責(zé)部門的清單，清單是否注明評審周期(不符合扣5分)2) 檢查對安全管理制度進(jìn)行審定的記錄(不符合扣5分)√√√信息安全管理制度機(jī)房管理制度，包括機(jī)房環(huán)境管理、機(jī)房進(jìn)出管理、機(jī)房內(nèi)工作管理等內(nèi)容系統(tǒng)運(yùn)維管理8檢查機(jī)房管理相關(guān)制度文件，缺少一項(xiàng)內(nèi)容扣2分√√√U盤、光盤使用管理制度系統(tǒng)運(yùn)維管理6缺U盤使用管理制度，扣除4分，缺光盤使用管理制度，扣除2分√主機(jī)設(shè)備安全管理制度系統(tǒng)運(yùn)維管理8檢查是否有相關(guān)管理制度(不符合扣8分)√√√網(wǎng)絡(luò)設(shè)施安全管理制度系統(tǒng)運(yùn)維管理8檢查是否有相關(guān)管理制度(不符合扣8分)√√√物理設(shè)施分類標(biāo)記管理制度系統(tǒng)運(yùn)維管理6檢查是否有相關(guān)管理制度(不符合扣8分)√√√安全配置管理制度、系統(tǒng)分發(fā)和操作規(guī)章制度、系統(tǒng)文檔安全管理制度、測試和評估制度、系統(tǒng)信息安全備份制度系統(tǒng)運(yùn)維管理10缺少一項(xiàng)管理內(nèi)容,扣除2分√√√網(wǎng)絡(luò)連接檢查評估制度、網(wǎng)絡(luò)使用授權(quán)制度、網(wǎng)絡(luò)檢測制度、網(wǎng)絡(luò)設(shè)施（設(shè)備和協(xié)議）變更控制制度等系統(tǒng)運(yùn)維管理8缺少一項(xiàng)管理內(nèi)容,扣除2分√√應(yīng)用系統(tǒng)上線前測評制度、應(yīng)用系統(tǒng)上線后安全評估制度、應(yīng)用系統(tǒng)使用授權(quán)制度、應(yīng)用系統(tǒng)配置管理制度、應(yīng)用系統(tǒng)文檔管理制度等系統(tǒng)建設(shè)管理10缺少一項(xiàng)管理內(nèi)容,扣除2分√√√人員安全管理制度、安全意識(shí)和安全技術(shù)教育制度、操作安全管理制度、操作系統(tǒng)和數(shù)據(jù)庫管理制度、系統(tǒng)運(yùn)行記錄編寫制度、病毒防護(hù)管理制度、網(wǎng)絡(luò)互聯(lián)安全管理制度、安全審計(jì)管理制度、安全事件報(bào)告制度、事故處理制度、應(yīng)急管理制度和災(zāi)難恢復(fù)管理制度等安全管理18缺少一項(xiàng)管理內(nèi)容,扣除2分，扣完為止√√√信息分類標(biāo)記制度、涉密信息安全管理制度、技術(shù)文檔管理制度、存儲(chǔ)介質(zhì)管理制度、信息披露與發(fā)布審批管理制度等系統(tǒng)運(yùn)維管理8缺少一項(xiàng)管理內(nèi)容,扣除2分，扣完為止√√√. 信息化建設(shè)中的安全管理（小計(jì)：520分）檢查項(xiàng)目檢查內(nèi)容等級保護(hù)標(biāo)準(zhǔn)分值評分標(biāo)準(zhǔn)實(shí)際得分CIA規(guī)劃設(shè)計(jì)階段的信息安全管理信息系統(tǒng)規(guī)劃過程中進(jìn)行明確的信息安全需求分析系統(tǒng)建設(shè)管理20抽取1～2個(gè)新建成系統(tǒng)，查看規(guī)劃階段形成的文件：1) 是否有管理要求明確系統(tǒng)建設(shè)規(guī)劃階段必須進(jìn)行信息安全需求分析(不符合扣10分)2) 是否對建成后的系統(tǒng)運(yùn)行環(huán)境進(jìn)行了安全需求分析(不符合扣5分)3) 是否對業(yè)務(wù)應(yīng)用本身進(jìn)行了安全需求分析(不符合扣5分)√√√在新系統(tǒng)建設(shè)或已有系統(tǒng)改造方案中，包括安全要求系統(tǒng)建設(shè)管理201) 查看是否有管理要求對系統(tǒng)開發(fā)/采購過程提出明確的信息安全要求，沒有明確要求扣10分2) 抽查2個(gè)新系統(tǒng)的建設(shè)方案，沒有提出明確安全要求，每個(gè)系統(tǒng)扣5分√√√信息系統(tǒng)設(shè)計(jì)方案中對軟件安全功能進(jìn)行了設(shè)計(jì)系統(tǒng)建設(shè)管理20檢查信息系統(tǒng)設(shè)計(jì)方案中的安全功能設(shè)計(jì)是否與提出的安全需求向符(不符合扣6分)√√√軟件開發(fā)過程中實(shí)現(xiàn)設(shè)計(jì)方案中提出的安全功能系統(tǒng)建設(shè)管理20抽查1個(gè)已建系統(tǒng)是否實(shí)現(xiàn)了設(shè)計(jì)方案中提出的安全功能，無相關(guān)實(shí)現(xiàn)的，則該項(xiàng)不得分。實(shí)現(xiàn)部分的，則扣10分√系統(tǒng)開發(fā)的安全管理驗(yàn)證應(yīng)用系統(tǒng)輸入的數(shù)據(jù)、驗(yàn)證不同類型輸入的出錯(cuò)消息、響應(yīng)驗(yàn)證錯(cuò)誤的流程、定義所有數(shù)據(jù)輸入過程中所涉及人員的職責(zé)等安全管理20抽取一個(gè)新建或在建系統(tǒng)的設(shè)計(jì)、開發(fā)文檔，查看管理/技術(shù)要求中對系統(tǒng)安全性的規(guī)定，無相關(guān)要求的，該項(xiàng)不得分。抽查系統(tǒng)測試記錄，若內(nèi)容中無相關(guān)測試驗(yàn)證結(jié)果說明扣10分√確保對程序資源庫的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)系統(tǒng)建設(shè)管理10查看管理要求中的相關(guān)規(guī)定，無相關(guān)要求的，該項(xiàng)不得分。抽查授權(quán)和批準(zhǔn)記錄，不能提供的該項(xiàng)不得分√√√制定代碼編寫安全規(guī)范，要求開發(fā)人員參照規(guī)范編寫代碼系統(tǒng)建設(shè)管理101) 檢查是否制定了代碼編寫規(guī)范(不符合該項(xiàng)不得分)2) 抽查了解開發(fā)人員是否按規(guī)范編寫代碼(不符合扣6分)√√√確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保管系統(tǒng)建設(shè)管理101) 檢查是否具有需求分析說明書、軟件設(shè)計(jì)說明書和軟件操作手冊等開發(fā)文檔(不符合扣5分)2) 檢查文檔是否由專人負(fù)責(zé)保管(不符合扣5分)√√√外包軟件開發(fā):根據(jù)開發(fā)需求檢測軟件質(zhì)量系統(tǒng)建設(shè)管理101) 檢查是否要求外包軟件開發(fā)商檢測軟件質(zhì)量(不符合扣5分)2) 檢查是否保存軟件質(zhì)量測試報(bào)告(不符合扣5分)√√外包軟件開發(fā):要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門系統(tǒng)建設(shè)管理101) 檢查是否要求開發(fā)單位提供軟件源代碼(不符合扣5分)2) 檢查是否審查軟件中可能存在的后門，抽查相關(guān)記錄(不符合扣5分)√√軟件開發(fā)外包：在與軟件開發(fā)單位簽訂的協(xié)議中，明確知識(shí)產(chǎn)權(quán)的歸屬和安全方面的要求安全管理10查看管理要求中的相關(guān)規(guī)定，無相關(guān)要求的，該項(xiàng)不得分。抽查文檔記錄，若缺少相關(guān)文檔,則該項(xiàng)不得分√√軟件開發(fā)外包：在軟件安裝之前檢測軟件包中可能存在的惡意代碼，并保留完整的測試記錄系統(tǒng)建設(shè)管理10查看管理/技術(shù)要求中的相關(guān)規(guī)定，無相關(guān)要求的，該項(xiàng)不得分。抽查測試記錄,沒有則該項(xiàng)為0分√軟件開發(fā)外包：要求開發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南系統(tǒng)建設(shè)管理10查看管理要求中的相關(guān)規(guī)定，無相關(guān)要求的，該項(xiàng)不得分。抽查測試記錄,沒有則該項(xiàng)不得分√自行軟件開發(fā)：確保開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開，開發(fā)人員和測試人員分離，測試數(shù)據(jù)和測試結(jié)果受到控制系統(tǒng)建設(shè)管理101) 查看是否有管理制度予以要求(不符合扣5分)2) 檢查開發(fā)和測試人員是否分離(不符合扣3分)3) 是否保留測試數(shù)據(jù)和測試結(jié)果并由專人保管(不符合扣2分)√√√