【文章內(nèi)容簡(jiǎn)介】 查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn) 實(shí)際得分CIA人員錄用對(duì)單位的新錄用人員要簽署保密協(xié)議人員安全管理101) 檢查是否有相關(guān)管理要求(不符合扣4分)2) 檢查是否有簽署的保密協(xié)議文件(不符合扣6分)√指定或授權(quán)專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)人員錄用人員安全管理10檢查是否有專(zhuān)門(mén)部門(mén)或人員負(fù)責(zé)人員錄用(不符合扣10分)√√嚴(yán)格規(guī)范人員錄用過(guò)程，對(duì)被錄用人的身份、背景、專(zhuān)業(yè)資格和資質(zhì)等進(jìn)行審查，對(duì)其所具有的技術(shù)技能進(jìn)行考核人員安全管理10檢查人員錄用時(shí)是否對(duì)被錄用人的身份、背景、專(zhuān)業(yè)資格和資質(zhì)進(jìn)行審查，對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核(不符合扣10分)√√從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員，并簽署崗位安全協(xié)議人員安全管理10檢查對(duì)從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議(不符合扣10分)√人員離崗對(duì)即將離崗的員工立即終止其在信息系統(tǒng)中的所有訪(fǎng)問(wèn)權(quán)限人員安全管理101) 查看員工離崗流程中是否有相關(guān)要求(不符合扣4分)2) 檢查是否有終止訪(fǎng)問(wèn)權(quán)限的表單(不符合扣6分)√取回離崗人員的各種身份證件、鑰匙、徽章等以及單位提供的軟硬件設(shè)備人員安全管理101) 查看員工離崗流程中是否有相關(guān)要求(不符合扣4分)2) 檢查是否有設(shè)備、證件等上繳表單記錄(無(wú)記錄扣6分)√√離崗人員由人事部門(mén)辦理調(diào)離手續(xù)，并由離崗人員書(shū)面承諾調(diào)離后的保密義務(wù)人員安全管理101) 查看員工離崗流程中是否有相關(guān)要求(不符合扣4分)2) 檢查是否有簽署的離崗保密承諾文件(無(wú)記錄扣6分) √第三方人員管理要求第三方人員在訪(fǎng)問(wèn)前與公司簽署安全責(zé)任合同書(shū)或保密協(xié)議安全管理101) 查看是否有對(duì)第三方訪(fǎng)問(wèn)進(jìn)行管理的規(guī)定(不符合扣4分)2) 檢查是否有書(shū)面保證文件(不符合扣6分) √對(duì)第三方人員訪(fǎng)問(wèn)重要區(qū)域以書(shū)面形式批準(zhǔn)，并由專(zhuān)人全程陪同或監(jiān)督，記錄備案人員安全管理10檢查是否有審批記錄或監(jiān)督記錄(不符合扣10分)√√√對(duì)第三方人員允許訪(fǎng)問(wèn)的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容進(jìn)行書(shū)面的規(guī)定，并按照規(guī)定執(zhí)行人員安全管理10檢查是否有文件進(jìn)行了規(guī)定(不符合扣10分)√√√. 信息安全制度文件管理（小計(jì)：230）檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn) 實(shí)際得分CIA信息安全策略體系建立信息安全策略體系，明確本單位需要的信息安全制度內(nèi)容安全管理制度20檢查是否有描述信息安全策略體系的相關(guān)文件或定義信息安全管理制度的文件內(nèi)容(不符合扣20分)√√√對(duì)安全管理活動(dòng)中的各類(lèi)管理內(nèi)容建立安全管理制度安全管理制度10檢查安全管理制度清單中是否覆蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用和管理等層面(不符合扣10分)√√√對(duì)要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程；安全管理制度10檢查是否具有重要管理操作的操作規(guī)程，如系統(tǒng)維護(hù)手冊(cè)和用戶(hù)操作規(guī)程等(不符合扣10分)√√√形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系安全管理制度10檢查安全制度體系是否由安全政策、安全策略、管理制度、操作規(guī)程等構(gòu)成(不符合扣10分)√√√信息安全制度管理定期對(duì)信息安全管理制度進(jìn)行審核、修訂、更新、廢除過(guò)時(shí)的管理制度，制定、發(fā)布、宣貫新的管理要求 安全管理制度10檢查是否有制度管理文件(不符合扣10分)檢查制度管理文件內(nèi)容是否明確了制度審核的周期（沒(méi)有扣6分）√√√指定或授權(quán)專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)安全管理制度的制定；安全管理制度10安全管理制度是否在信息安全領(lǐng)導(dǎo)小組或委員會(huì)的總體負(fù)責(zé)下統(tǒng)一制定(不符合扣10分)√√√安全管理制度具有統(tǒng)一的格式，并進(jìn)行版本控制；安全管理制度101) 檢查安全管理制度文檔，查看是否注明適用和發(fā)布范圍，是否有版本標(biāo)識(shí)，是否有密級(jí)標(biāo)注，是否有管理層的簽字或蓋章；(不符合扣6分)2) 檢查各項(xiàng)制度文檔格式是否統(tǒng)一(不符合扣4分)√√√組織相關(guān)人員對(duì)制定的安全管理制度進(jìn)行論證和審定；安全管理制度101) 檢查安全管理制度的制定程序，檢查是否對(duì)制定的安全管理制度進(jìn)行論證和審定，論證和評(píng)審方式如何（如召開(kāi)評(píng)審會(huì)、函審、內(nèi)部審核等）(不符合扣10分)2) 檢查管理制度評(píng)審記錄，查看是否有相關(guān)人員的評(píng)審意見(jiàn)(不符合扣5分)√√√信息安全工作的總體方針和安全策略得到管理者的正式批準(zhǔn)和授權(quán)；安全管理制度10檢查信息安全總體方案和安全策略文檔中是否標(biāo)明得到管理者的正式批準(zhǔn)和授權(quán)(不符合扣10分)√√√安全管理制度通過(guò)正式、有效的方式發(fā)布；安全管理制度10檢查是否有安全管理制度的發(fā)布程序(不符合扣10分)√√√安全管理制度注明發(fā)布范圍，并對(duì)收發(fā)文進(jìn)行登記。安全管理制度101) 檢查安全管理制度的收發(fā)登記記錄(不符合扣10分)2) 檢查收發(fā)是否符合規(guī)定程序和發(fā)布范圍要求(不符合扣5分)√√√信息安全制度審核信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)定期組織相關(guān)部門(mén)和相關(guān)人員對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定，并進(jìn)行信息安全制度的修訂、更新和廢除。安全管理制度101) 檢查信息安全領(lǐng)導(dǎo)小組職責(zé)中是否明確要求定期組織相關(guān)部門(mén)和人員對(duì)安全管理制度進(jìn)行評(píng)審(不符合扣5分)2) 檢查制度修訂、更新和廢除的相關(guān)工作記錄或證明(不符合扣3分)3) 現(xiàn)有管理制度是否有明顯過(guò)時(shí)或已經(jīng)不適用的內(nèi)容(有則扣2分)√√√建立相關(guān)機(jī)制，確保定期對(duì)安全管理制度體系進(jìn)行檢查和審定，對(duì)存在不足或需要改進(jìn)的體系制度和流程進(jìn)行修訂。安全管理制度101) 檢查是否具有所有安全管理制度對(duì)應(yīng)相應(yīng)負(fù)責(zé)人或者負(fù)責(zé)部門(mén)的清單，清單是否注明評(píng)審周期(不符合扣5分)2) 檢查對(duì)安全管理制度進(jìn)行審定的記錄(不符合扣5分)√√√信息安全管理制度機(jī)房管理制度，包括機(jī)房環(huán)境管理、機(jī)房進(jìn)出管理、機(jī)房?jī)?nèi)工作管理等內(nèi)容系統(tǒng)運(yùn)維管理8檢查機(jī)房管理相關(guān)制度文件，缺少一項(xiàng)內(nèi)容扣2分√√√U盤(pán)、光盤(pán)使用管理制度系統(tǒng)運(yùn)維管理6缺U盤(pán)使用管理制度，扣除4分，缺光盤(pán)使用管理制度，扣除2分√主機(jī)設(shè)備安全管理制度系統(tǒng)運(yùn)維管理8檢查是否有相關(guān)管理制度(不符合扣8分)√√√網(wǎng)絡(luò)設(shè)施安全管理制度系統(tǒng)運(yùn)維管理8檢查是否有相關(guān)管理制度(不符合扣8分)√√√物理設(shè)施分類(lèi)標(biāo)記管理制度系統(tǒng)運(yùn)維管理6檢查是否有相關(guān)管理制度(不符合扣8分)√√√安全配置管理制度、系統(tǒng)分發(fā)和操作規(guī)章制度、系統(tǒng)文檔安全管理制度、測(cè)試和評(píng)估制度、系統(tǒng)信息安全備份制度系統(tǒng)運(yùn)維管理10缺少一項(xiàng)管理內(nèi)容,扣除2分√√√網(wǎng)絡(luò)連接檢查評(píng)估制度、網(wǎng)絡(luò)使用授權(quán)制度、網(wǎng)絡(luò)檢測(cè)制度、網(wǎng)絡(luò)設(shè)施（設(shè)備和協(xié)議）變更控制制度等系統(tǒng)運(yùn)維管理8缺少一項(xiàng)管理內(nèi)容,扣除2分√√應(yīng)用系統(tǒng)上線(xiàn)前測(cè)評(píng)制度、應(yīng)用系統(tǒng)上線(xiàn)后安全評(píng)估制度、應(yīng)用系統(tǒng)使用授權(quán)制度、應(yīng)用系統(tǒng)配置管理制度、應(yīng)用系統(tǒng)文檔管理制度等系統(tǒng)建設(shè)管理10缺少一項(xiàng)管理內(nèi)容,扣除2分√√√人員安全管理制度、安全意識(shí)和安全技術(shù)教育制度、操作安全管理制度、操作系統(tǒng)和數(shù)據(jù)庫(kù)管理制度、系統(tǒng)運(yùn)行記錄編寫(xiě)制度、病毒防護(hù)管理制度、網(wǎng)絡(luò)互聯(lián)安全管理制度、安全審計(jì)管理制度、安全事件報(bào)告制度、事故處理制度、應(yīng)急管理制度和災(zāi)難恢復(fù)管理制度等安全管理18缺少一項(xiàng)管理內(nèi)容,扣除2分，扣完為止√√√信息分類(lèi)標(biāo)記制度、涉密信息安全管理制度、技術(shù)文檔管理制度、存儲(chǔ)介質(zhì)管理制度、信息披露與發(fā)布審批管理制度等系統(tǒng)運(yùn)維管理8缺少一項(xiàng)管理內(nèi)容,扣除2分，扣完為止√√√. 信息化建設(shè)中的安全管理（小計(jì)：520分）檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA規(guī)劃設(shè)計(jì)階段的信息安全管理信息系統(tǒng)規(guī)劃過(guò)程中進(jìn)行明確的信息安全需求分析系統(tǒng)建設(shè)管理20抽取1～2個(gè)新建成系統(tǒng)，查看規(guī)劃階段形成的文件：1) 是否有管理要求明確系統(tǒng)建設(shè)規(guī)劃階段必須進(jìn)行信息安全需求分析(不符合扣10分)2) 是否對(duì)建成后的系統(tǒng)運(yùn)行環(huán)境進(jìn)行了安全需求分析(不符合扣5分)3) 是否對(duì)業(yè)務(wù)應(yīng)用本身進(jìn)行了安全需求分析(不符合扣5分)√√√在新系統(tǒng)建設(shè)或已有系統(tǒng)改造方案中，包括安全要求系統(tǒng)建設(shè)管理201) 查看是否有管理要求對(duì)系統(tǒng)開(kāi)發(fā)/采購(gòu)過(guò)程提出明確的信息安全要求，沒(méi)有明確要求扣10分2) 抽查2個(gè)新系統(tǒng)的建設(shè)方案，沒(méi)有提出明確安全要求，每個(gè)系統(tǒng)扣5分√√√信息系統(tǒng)設(shè)計(jì)方案中對(duì)軟件安全功能進(jìn)行了設(shè)計(jì)系統(tǒng)建設(shè)管理20檢查信息系統(tǒng)設(shè)計(jì)方案中的安全功能設(shè)計(jì)是否與提出的安全需求向符(不符合扣6分)√√√軟件開(kāi)發(fā)過(guò)程中實(shí)現(xiàn)設(shè)計(jì)方案中提出的安全功能系統(tǒng)建設(shè)管理20抽查1個(gè)已建系統(tǒng)是否實(shí)現(xiàn)了設(shè)計(jì)方案中提出的安全功能，無(wú)相關(guān)實(shí)現(xiàn)的，則該項(xiàng)不得分。實(shí)現(xiàn)部分的，則扣10分√系統(tǒng)開(kāi)發(fā)的安全管理驗(yàn)證應(yīng)用系統(tǒng)輸入的數(shù)據(jù)、驗(yàn)證不同類(lèi)型輸入的出錯(cuò)消息、響應(yīng)驗(yàn)證錯(cuò)誤的流程、定義所有數(shù)據(jù)輸入過(guò)程中所涉及人員的職責(zé)等安全管理20抽取一個(gè)新建或在建系統(tǒng)的設(shè)計(jì)、開(kāi)發(fā)文檔，查看管理/技術(shù)要求中對(duì)系統(tǒng)安全性的規(guī)定，無(wú)相關(guān)要求的，該項(xiàng)不得分。抽查系統(tǒng)測(cè)試記錄，若內(nèi)容中無(wú)相關(guān)測(cè)試驗(yàn)證結(jié)果說(shuō)明扣10分√確保對(duì)程序資源庫(kù)的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)系統(tǒng)建設(shè)管理10查看管理要求中的相關(guān)規(guī)定，無(wú)相關(guān)要求的，該項(xiàng)不得分。抽查授權(quán)和批準(zhǔn)記錄，不能提供的該項(xiàng)不得分√√√制定代碼編寫(xiě)安全規(guī)范，要求開(kāi)發(fā)人員參照規(guī)范編寫(xiě)代碼系統(tǒng)建設(shè)管理101) 檢查是否制定了代碼編寫(xiě)規(guī)范(不符合該項(xiàng)不得分)2) 抽查了解開(kāi)發(fā)人員是否按規(guī)范編寫(xiě)代碼(不符合扣6分)√√√確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南，并由專(zhuān)人負(fù)責(zé)保管系統(tǒng)建設(shè)管理101) 檢查是否具有需求分析說(shuō)明書(shū)、軟件設(shè)計(jì)說(shuō)明書(shū)和軟件操作手冊(cè)等開(kāi)發(fā)文檔(不符合扣5分)2) 檢查文檔是否由專(zhuān)人負(fù)責(zé)保管(不符合扣5分)√√√外包軟件開(kāi)發(fā):根據(jù)開(kāi)發(fā)需求檢測(cè)軟件質(zhì)量系統(tǒng)建設(shè)管理101) 檢查是否要求外包軟件開(kāi)發(fā)商檢測(cè)軟件質(zhì)量(不符合扣5分)2) 檢查是否保存軟件質(zhì)量測(cè)試報(bào)告(不符合扣5分)√√外包軟件開(kāi)發(fā):要求開(kāi)發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門(mén)系統(tǒng)建設(shè)管理101) 檢查是否要求開(kāi)發(fā)單位提供軟件源代碼(不符合扣5分)2) 檢查是否審查軟件中可能存在的后門(mén)，抽查相關(guān)記錄(不符合扣5分)√√軟件開(kāi)發(fā)外包：在與軟件開(kāi)發(fā)單位簽訂的協(xié)議中，明確知識(shí)產(chǎn)權(quán)的歸屬和安全方面的要求安全管理10查看管理要求中的相關(guān)規(guī)定，無(wú)相關(guān)要求的，該項(xiàng)不得分。抽查文檔記錄，若缺少相關(guān)文檔,則該項(xiàng)不得分√√軟件開(kāi)發(fā)外包：在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼，并保留完整的測(cè)試記錄系統(tǒng)建設(shè)管理10查看管理/技術(shù)要求中的相關(guān)規(guī)定，無(wú)相關(guān)要求的，該項(xiàng)不得分。抽查測(cè)試記錄,沒(méi)有則該項(xiàng)為0分√軟件開(kāi)發(fā)外包：要求開(kāi)發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南系統(tǒng)建設(shè)管理10查看管理要求中的相關(guān)規(guī)定，無(wú)相關(guān)要求的，該項(xiàng)不得分。抽查測(cè)試記錄,沒(méi)有則該項(xiàng)不得分√自行軟件開(kāi)發(fā)：確保開(kāi)發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開(kāi)，開(kāi)發(fā)人員和測(cè)試人員分離，測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制系統(tǒng)建設(shè)管理101) 查看是否有管理制度予以要求(不符合扣5分)2) 檢查開(kāi)發(fā)和測(cè)試人員是否分離(不符合扣3分)3) 是否保留測(cè)試數(shù)據(jù)和測(cè)試結(jié)果并由專(zhuān)人保管(不符合扣2分)√√√自行開(kāi)發(fā)：制定開(kāi)發(fā)方面的管理制度，以明確說(shuō)明開(kāi)發(fā)過(guò)程的控制方法和人員行為準(zhǔn)則系統(tǒng)建設(shè)管理10若無(wú)相關(guān)制度，則該項(xiàng)為0分√√√系統(tǒng)集成與采購(gòu)中的安全管理對(duì)廠(chǎng)商交付的主機(jī)操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)等進(jìn)行了配置安全加固審核、操作系統(tǒng)安全補(bǔ)丁安裝情況審核安全管理10查看管理要求中的相關(guān)規(guī)定是否有主機(jī)操作系統(tǒng)安全加固方面相關(guān)規(guī)定(不符合扣5分)是否有數(shù)據(jù)庫(kù)系統(tǒng)安全加固方面相關(guān)規(guī)定(不符合扣5分)√√√確保密碼產(chǎn)品采購(gòu)和使用符合國(guó)家密碼主管部門(mén)的要求系統(tǒng)建設(shè)管理101) 檢查系統(tǒng)是否采用了密碼產(chǎn)品(不符合扣5分)2) 密碼產(chǎn)品的使用是否符合國(guó)家密碼主管部門(mén)的要求(不符合扣5分)√√√指定或授權(quán)專(zhuān)門(mén)的部門(mén)負(fù)責(zé)產(chǎn)品的采購(gòu)系統(tǒng)建設(shè)管理10查看管理要求中的相關(guān)規(guī)定，是否指定或授權(quán)專(zhuān)門(mén)的部門(mén)負(fù)責(zé)產(chǎn)品的采購(gòu)(不符合扣10分)√√√預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單系統(tǒng)建設(shè)管理101) 檢查管理要求中的相關(guān)規(guī)定，是否要求預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試(不符合扣5分)2) 檢查是否存在候選產(chǎn)品名單，是否定期審定并更新(不符合扣5分)√√√應(yīng)有機(jī)制確保采購(gòu)和集成中的安全設(shè)備都通過(guò)了國(guó)家、公司相關(guān)機(jī)構(gòu)的測(cè)評(píng)、認(rèn)證系統(tǒng)建設(shè)管理10查看產(chǎn)品采購(gòu)管理制度中是否有