【文章內(nèi)容簡介】 查項目檢查內(nèi)容等級保護標(biāo)準(zhǔn)分值評分標(biāo)準(zhǔn) 實際得分CIA人員錄用對單位的新錄用人員要簽署保密協(xié)議人員安全管理101) 檢查是否有相關(guān)管理要求(不符合扣4分)2) 檢查是否有簽署的保密協(xié)議文件(不符合扣6分)√指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用人員安全管理10檢查是否有專門部門或人員負(fù)責(zé)人員錄用(不符合扣10分)√√嚴(yán)格規(guī)范人員錄用過程，對被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進行審查，對其所具有的技術(shù)技能進行考核人員安全管理10檢查人員錄用時是否對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進行審查，對技術(shù)人員的技術(shù)技能進行考核(不符合扣10分)√√從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員，并簽署崗位安全協(xié)議人員安全管理10檢查對從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議(不符合扣10分)√人員離崗對即將離崗的員工立即終止其在信息系統(tǒng)中的所有訪問權(quán)限人員安全管理101) 查看員工離崗流程中是否有相關(guān)要求(不符合扣4分)2) 檢查是否有終止訪問權(quán)限的表單(不符合扣6分)√取回離崗人員的各種身份證件、鑰匙、徽章等以及單位提供的軟硬件設(shè)備人員安全管理101) 查看員工離崗流程中是否有相關(guān)要求(不符合扣4分)2) 檢查是否有設(shè)備、證件等上繳表單記錄(無記錄扣6分)√√離崗人員由人事部門辦理調(diào)離手續(xù)，并由離崗人員書面承諾調(diào)離后的保密義務(wù)人員安全管理101) 查看員工離崗流程中是否有相關(guān)要求(不符合扣4分)2) 檢查是否有簽署的離崗保密承諾文件(無記錄扣6分) √第三方人員管理要求第三方人員在訪問前與公司簽署安全責(zé)任合同書或保密協(xié)議安全管理101) 查看是否有對第三方訪問進行管理的規(guī)定(不符合扣4分)2) 檢查是否有書面保證文件(不符合扣6分) √對第三方人員訪問重要區(qū)域以書面形式批準(zhǔn)，并由專人全程陪同或監(jiān)督，記錄備案人員安全管理10檢查是否有審批記錄或監(jiān)督記錄(不符合扣10分)√√√對第三方人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容進行書面的規(guī)定，并按照規(guī)定執(zhí)行人員安全管理10檢查是否有文件進行了規(guī)定(不符合扣10分)√√√. 信息安全制度文件管理（小計：230）檢查項目檢查內(nèi)容等級保護標(biāo)準(zhǔn)分值評分標(biāo)準(zhǔn) 實際得分CIA信息安全策略體系建立信息安全策略體系，明確本單位需要的信息安全制度內(nèi)容安全管理制度20檢查是否有描述信息安全策略體系的相關(guān)文件或定義信息安全管理制度的文件內(nèi)容(不符合扣20分)√√√對安全管理活動中的各類管理內(nèi)容建立安全管理制度安全管理制度10檢查安全管理制度清單中是否覆蓋物理、網(wǎng)絡(luò)、主機系統(tǒng)、數(shù)據(jù)、應(yīng)用和管理等層面(不符合扣10分)√√√對要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程；安全管理制度10檢查是否具有重要管理操作的操作規(guī)程，如系統(tǒng)維護手冊和用戶操作規(guī)程等(不符合扣10分)√√√形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系安全管理制度10檢查安全制度體系是否由安全政策、安全策略、管理制度、操作規(guī)程等構(gòu)成(不符合扣10分)√√√信息安全制度管理定期對信息安全管理制度進行審核、修訂、更新、廢除過時的管理制度，制定、發(fā)布、宣貫新的管理要求 安全管理制度10檢查是否有制度管理文件(不符合扣10分)檢查制度管理文件內(nèi)容是否明確了制度審核的周期（沒有扣6分）√√√指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定；安全管理制度10安全管理制度是否在信息安全領(lǐng)導(dǎo)小組或委員會的總體負(fù)責(zé)下統(tǒng)一制定(不符合扣10分)√√√安全管理制度具有統(tǒng)一的格式，并進行版本控制；安全管理制度101) 檢查安全管理制度文檔，查看是否注明適用和發(fā)布范圍，是否有版本標(biāo)識，是否有密級標(biāo)注，是否有管理層的簽字或蓋章；(不符合扣6分)2) 檢查各項制度文檔格式是否統(tǒng)一(不符合扣4分)√√√組織相關(guān)人員對制定的安全管理制度進行論證和審定；安全管理制度101) 檢查安全管理制度的制定程序，檢查是否對制定的安全管理制度進行論證和審定，論證和評審方式如何（如召開評審會、函審、內(nèi)部審核等）(不符合扣10分)2) 檢查管理制度評審記錄，查看是否有相關(guān)人員的評審意見(不符合扣5分)√√√信息安全工作的總體方針和安全策略得到管理者的正式批準(zhǔn)和授權(quán)；安全管理制度10檢查信息安全總體方案和安全策略文檔中是否標(biāo)明得到管理者的正式批準(zhǔn)和授權(quán)(不符合扣10分)√√√安全管理制度通過正式、有效的方式發(fā)布；安全管理制度10檢查是否有安全管理制度的發(fā)布程序(不符合扣10分)√√√安全管理制度注明發(fā)布范圍，并對收發(fā)文進行登記。安全管理制度101) 檢查安全管理制度的收發(fā)登記記錄(不符合扣10分)2) 檢查收發(fā)是否符合規(guī)定程序和發(fā)布范圍要求(不符合扣5分)√√√信息安全制度審核信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進行審定，并進行信息安全制度的修訂、更新和廢除。安全管理制度101) 檢查信息安全領(lǐng)導(dǎo)小組職責(zé)中是否明確要求定期組織相關(guān)部門和人員對安全管理制度進行評審(不符合扣5分)2) 檢查制度修訂、更新和廢除的相關(guān)工作記錄或證明(不符合扣3分)3) 現(xiàn)有管理制度是否有明顯過時或已經(jīng)不適用的內(nèi)容(有則扣2分)√√√建立相關(guān)機制，確保定期對安全管理制度體系進行檢查和審定，對存在不足或需要改進的體系制度和流程進行修訂。安全管理制度101) 檢查是否具有所有安全管理制度對應(yīng)相應(yīng)負(fù)責(zé)人或者負(fù)責(zé)部門的清單，清單是否注明評審周期(不符合扣5分)2) 檢查對安全管理制度進行審定的記錄(不符合扣5分)√√√信息安全管理制度機房管理制度，包括機房環(huán)境管理、機房進出管理、機房內(nèi)工作管理等內(nèi)容系統(tǒng)運維管理8檢查機房管理相關(guān)制度文件，缺少一項內(nèi)容扣2分√√√U盤、光盤使用管理制度系統(tǒng)運維管理6缺U盤使用管理制度，扣除4分，缺光盤使用管理制度，扣除2分√主機設(shè)備安全管理制度系統(tǒng)運維管理8檢查是否有相關(guān)管理制度(不符合扣8分)√√√網(wǎng)絡(luò)設(shè)施安全管理制度系統(tǒng)運維管理8檢查是否有相關(guān)管理制度(不符合扣8分)√√√物理設(shè)施分類標(biāo)記管理制度系統(tǒng)運維管理6檢查是否有相關(guān)管理制度(不符合扣8分)√√√安全配置管理制度、系統(tǒng)分發(fā)和操作規(guī)章制度、系統(tǒng)文檔安全管理制度、測試和評估制度、系統(tǒng)信息安全備份制度系統(tǒng)運維管理10缺少一項管理內(nèi)容,扣除2分√√√網(wǎng)絡(luò)連接檢查評估制度、網(wǎng)絡(luò)使用授權(quán)制度、網(wǎng)絡(luò)檢測制度、網(wǎng)絡(luò)設(shè)施（設(shè)備和協(xié)議）變更控制制度等系統(tǒng)運維管理8缺少一項管理內(nèi)容,扣除2分√√應(yīng)用系統(tǒng)上線前測評制度、應(yīng)用系統(tǒng)上線后安全評估制度、應(yīng)用系統(tǒng)使用授權(quán)制度、應(yīng)用系統(tǒng)配置管理制度、應(yīng)用系統(tǒng)文檔管理制度等系統(tǒng)建設(shè)管理10缺少一項管理內(nèi)容,扣除2分√√√人員安全管理制度、安全意識和安全技術(shù)教育制度、操作安全管理制度、操作系統(tǒng)和數(shù)據(jù)庫管理制度、系統(tǒng)運行記錄編寫制度、病毒防護管理制度、網(wǎng)絡(luò)互聯(lián)安全管理制度、安全審計管理制度、安全事件報告制度、事故處理制度、應(yīng)急管理制度和災(zāi)難恢復(fù)管理制度等安全管理18缺少一項管理內(nèi)容,扣除2分，扣完為止√√√信息分類標(biāo)記制度、涉密信息安全管理制度、技術(shù)文檔管理制度、存儲介質(zhì)管理制度、信息披露與發(fā)布審批管理制度等系統(tǒng)運維管理8缺少一項管理內(nèi)容,扣除2分，扣完為止√√√. 信息化建設(shè)中的安全管理（小計：520分）檢查項目檢查內(nèi)容等級保護標(biāo)準(zhǔn)分值評分標(biāo)準(zhǔn)實際得分CIA規(guī)劃設(shè)計階段的信息安全管理信息系統(tǒng)規(guī)劃過程中進行明確的信息安全需求分析系統(tǒng)建設(shè)管理20抽取1～2個新建成系統(tǒng)，查看規(guī)劃階段形成的文件：1) 是否有管理要求明確系統(tǒng)建設(shè)規(guī)劃階段必須進行信息安全需求分析(不符合扣10分)2) 是否對建成后的系統(tǒng)運行環(huán)境進行了安全需求分析(不符合扣5分)3) 是否對業(yè)務(wù)應(yīng)用本身進行了安全需求分析(不符合扣5分)√√√在新系統(tǒng)建設(shè)或已有系統(tǒng)改造方案中，包括安全要求系統(tǒng)建設(shè)管理201) 查看是否有管理要求對系統(tǒng)開發(fā)/采購過程提出明確的信息安全要求，沒有明確要求扣10分2) 抽查2個新系統(tǒng)的建設(shè)方案，沒有提出明確安全要求，每個系統(tǒng)扣5分√√√信息系統(tǒng)設(shè)計方案中對軟件安全功能進行了設(shè)計系統(tǒng)建設(shè)管理20檢查信息系統(tǒng)設(shè)計方案中的安全功能設(shè)計是否與提出的安全需求向符(不符合扣6分)√√√軟件開發(fā)過程中實現(xiàn)設(shè)計方案中提出的安全功能系統(tǒng)建設(shè)管理20抽查1個已建系統(tǒng)是否實現(xiàn)了設(shè)計方案中提出的安全功能，無相關(guān)實現(xiàn)的，則該項不得分。實現(xiàn)部分的，則扣10分√系統(tǒng)開發(fā)的安全管理驗證應(yīng)用系統(tǒng)輸入的數(shù)據(jù)、驗證不同類型輸入的出錯消息、響應(yīng)驗證錯誤的流程、定義所有數(shù)據(jù)輸入過程中所涉及人員的職責(zé)等安全管理20抽取一個新建或在建系統(tǒng)的設(shè)計、開發(fā)文檔，查看管理/技術(shù)要求中對系統(tǒng)安全性的規(guī)定，無相關(guān)要求的，該項不得分。抽查系統(tǒng)測試記錄，若內(nèi)容中無相關(guān)測試驗證結(jié)果說明扣10分√確保對程序資源庫的修改、更新、發(fā)布進行授權(quán)和批準(zhǔn)系統(tǒng)建設(shè)管理10查看管理要求中的相關(guān)規(guī)定，無相關(guān)要求的，該項不得分。抽查授權(quán)和批準(zhǔn)記錄，不能提供的該項不得分√√√制定代碼編寫安全規(guī)范，要求開發(fā)人員參照規(guī)范編寫代碼系統(tǒng)建設(shè)管理101) 檢查是否制定了代碼編寫規(guī)范(不符合該項不得分)2) 抽查了解開發(fā)人員是否按規(guī)范編寫代碼(不符合扣6分)√√√確保提供軟件設(shè)計的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保管系統(tǒng)建設(shè)管理101) 檢查是否具有需求分析說明書、軟件設(shè)計說明書和軟件操作手冊等開發(fā)文檔(不符合扣5分)2) 檢查文檔是否由專人負(fù)責(zé)保管(不符合扣5分)√√√外包軟件開發(fā):根據(jù)開發(fā)需求檢測軟件質(zhì)量系統(tǒng)建設(shè)管理101) 檢查是否要求外包軟件開發(fā)商檢測軟件質(zhì)量(不符合扣5分)2) 檢查是否保存軟件質(zhì)量測試報告(不符合扣5分)√√外包軟件開發(fā):要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門系統(tǒng)建設(shè)管理101) 檢查是否要求開發(fā)單位提供軟件源代碼(不符合扣5分)2) 檢查是否審查軟件中可能存在的后門，抽查相關(guān)記錄(不符合扣5分)√√軟件開發(fā)外包：在與軟件開發(fā)單位簽訂的協(xié)議中，明確知識產(chǎn)權(quán)的歸屬和安全方面的要求安全管理10查看管理要求中的相關(guān)規(guī)定，無相關(guān)要求的，該項不得分。抽查文檔記錄，若缺少相關(guān)文檔,則該項不得分√√軟件開發(fā)外包：在軟件安裝之前檢測軟件包中可能存在的惡意代碼，并保留完整的測試記錄系統(tǒng)建設(shè)管理10查看管理/技術(shù)要求中的相關(guān)規(guī)定，無相關(guān)要求的，該項不得分。抽查測試記錄,沒有則該項為0分√軟件開發(fā)外包：要求開發(fā)單位提供軟件設(shè)計的相關(guān)文檔和使用指南系統(tǒng)建設(shè)管理10查看管理要求中的相關(guān)規(guī)定，無相關(guān)要求的，該項不得分。抽查測試記錄,沒有則該項不得分√自行軟件開發(fā)：確保開發(fā)環(huán)境與實際運行環(huán)境物理分開，開發(fā)人員和測試人員分離，測試數(shù)據(jù)和測試結(jié)果受到控制系統(tǒng)建設(shè)管理101) 查看是否有管理制度予以要求(不符合扣5分)2) 檢查開發(fā)和測試人員是否分離(不符合扣3分)3) 是否保留測試數(shù)據(jù)和測試結(jié)果并由專人保管(不符合扣2分)√√√自行開發(fā)：制定開發(fā)方面的管理制度，以明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則系統(tǒng)建設(shè)管理10若無相關(guān)制度，則該項為0分√√√系統(tǒng)集成與采購中的安全管理對廠商交付的主機操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等進行了配置安全加固審核、操作系統(tǒng)安全補丁安裝情況審核安全管理10查看管理要求中的相關(guān)規(guī)定是否有主機操作系統(tǒng)安全加固方面相關(guān)規(guī)定(不符合扣5分)是否有數(shù)據(jù)庫系統(tǒng)安全加固方面相關(guān)規(guī)定(不符合扣5分)√√√確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求系統(tǒng)建設(shè)管理101) 檢查系統(tǒng)是否采用了密碼產(chǎn)品(不符合扣5分)2) 密碼產(chǎn)品的使用是否符合國家密碼主管部門的要求(不符合扣5分)√√√指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購系統(tǒng)建設(shè)管理10查看管理要求中的相關(guān)規(guī)定，是否指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購(不符合扣10分)√√√預(yù)先對產(chǎn)品進行選型測試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單系統(tǒng)建設(shè)管理101) 檢查管理要求中的相關(guān)規(guī)定，是否要求預(yù)先對產(chǎn)品進行選型測試(不符合扣5分)2) 檢查是否存在候選產(chǎn)品名單，是否定期審定并更新(不符合扣5分)√√√應(yīng)有機制確保采購和集成中的安全設(shè)備都通過了國家、公司相關(guān)機構(gòu)的測評、認(rèn)證系統(tǒng)建設(shè)管理10查看產(chǎn)品采購管理制度中是否有