【正文】 )√√√對外來工作人員進(jìn)行本單位信息安全政策的宣傳和提示人員安全管理10查看是否有對外來工作人員進(jìn)行本單位信息安全政策和管理要求進(jìn)行提示或宣傳的證明(不符合扣10分)√√√信息安全培訓(xùn)對公司單位相關(guān)人員進(jìn)行信息安全普及性培訓(xùn)與宣傳工作人員安全管理10查看是否有信息安全普及性培訓(xùn)的工作記錄(不符合扣10分)√對定期安全教育和培訓(xùn)進(jìn)行書面規(guī)定，制定專業(yè)人員的信息安全培訓(xùn)計(jì)劃、并進(jìn)行專業(yè)的信息安全培訓(xùn)（包括信息安全基礎(chǔ)知識、崗位操作規(guī)程等）人員安全管理201) 查看是否有對專業(yè)人員進(jìn)行信息安全培訓(xùn)的管理要求(不符合，該項(xiàng)不得分)2) 檢查安全教育和培訓(xùn)計(jì)劃文檔，查看是否具有不同崗位的培訓(xùn)計(jì)劃(不符合扣10分)3) 檢查計(jì)劃是否明確了培訓(xùn)目的、培訓(xùn)方式、培訓(xùn)對象、培訓(xùn)內(nèi)容、培訓(xùn)時間和地點(diǎn)等(不符合扣5分)4) 檢查培訓(xùn)內(nèi)容是否包含信息安全基礎(chǔ)知識、崗位操作規(guī)程等(不符合扣5分)√各單位信息化管理、運(yùn)行等部門負(fù)責(zé)人、信息安全管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員等在上崗前應(yīng)經(jīng)過網(wǎng)絡(luò)與信息安全培訓(xùn)人員安全管理101) 查看是否有相關(guān)管理規(guī)定(不符合扣5分)2) 查看有是否進(jìn)行過崗前培訓(xùn)的證明(不符合扣5分)√對安全責(zé)任和懲戒措施進(jìn)行書面規(guī)定并告知相關(guān)人員，對違反違背安全策略和規(guī)定的人員進(jìn)行懲戒； 人員安全管理10考查安全員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和數(shù)據(jù)庫管理員其對工作相關(guān)的信息安全基礎(chǔ)知識、安全責(zé)任和懲戒措施等的理解程度(不符合扣10分)√√√對安全教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄并歸檔保存。人員安全管理101) 檢查是否具有安全教育和培訓(xùn)記錄(不符合，該項(xiàng)不得分)2) 檢查記錄是否有培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等的描述(不符合扣5分)3) 檢查記錄與培訓(xùn)計(jì)劃是否一致(不符合扣5分)√√. 信息安全監(jiān)督與考核（小計(jì)：90分）檢查項(xiàng)目檢查內(nèi)容等級保護(hù)標(biāo)準(zhǔn)分值評分標(biāo)準(zhǔn)實(shí)際得分CIA信息安全監(jiān)督建立信息安全監(jiān)督機(jī)制，對所轄單位信息安全工作情況進(jìn)行定期評價(jià)安全管理機(jī)構(gòu)141) 查看是否有信息安全監(jiān)督的文檔(不符合扣7分)2) 查看是否有監(jiān)督的記錄(不符合扣7分)√√√建立信息安全檢查機(jī)制，確保在春秋安全大檢查中對信息安全情況進(jìn)行檢查安全管理機(jī)構(gòu)101) 查看是否有管理制度規(guī)定將信息安全納入春秋安全大檢查的工作中(不符合扣4分)2) 檢查當(dāng)年的春檢或秋檢中是否進(jìn)行了信息安全方面的檢查工作(不符合扣6分)√√√落實(shí)公司同業(yè)對標(biāo)工作安全管理10檢查是否落實(shí)了公司同業(yè)對標(biāo)工作(不符合扣10分)√√√信息安全考核建立信息安全考核辦法，根據(jù)各單位信息安全狀況、信息安全工作執(zhí)行情況進(jìn)行考核安全管理10檢查信息安全考核相關(guān)管理規(guī)定中是否對信息安全狀況、工作執(zhí)行情況等提出了具體的考核辦法(不符合扣10分)√√√將網(wǎng)絡(luò)與信息安全防護(hù)工作的表現(xiàn)納入員工的崗位責(zé)任制安全管理10查看相關(guān)崗位職責(zé)文件(不符合扣10分)√√√信息安全考核制度中明確了獎、懲辦法安全管理6查看信息安全考核相關(guān)管理規(guī)定中是否有明確了獎懲辦法(不符合扣6分)√√√定期對各個崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核人員安全管理10檢查是否有人負(fù)責(zé)定期對各個崗位人員進(jìn)行安全技能及安全知識的考核(不符合扣10分)√√√對關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核人員安全管理101) 檢查近年的考核記錄(不符合扣10分)2) 檢查記錄的考核人員是否包括各個崗位的人員(不符合扣5分)3) 檢查考核內(nèi)容是否包含安全知識、安全技能等(不符合扣3分)4) 檢查記錄日期與考核周期是否一致(不符合扣2分)√√√對考核結(jié)果進(jìn)行記錄并保存人員安全管理101) 檢查是否對考核結(jié)果進(jìn)行記錄(不符合扣10分)2) 考核記錄至少保存五年(不符合扣5分)√√. 符合性管理（小計(jì)：100分）檢查項(xiàng)目檢查內(nèi)容等級保護(hù)標(biāo)準(zhǔn)分值評分標(biāo)準(zhǔn)實(shí)際得分CIA法律符合性在信息系統(tǒng)相關(guān)的合同條文中明確適用的法律、法規(guī)條文安全管理10抽查1～2個信息系統(tǒng)建設(shè)合同文本，檢查是否包含了相關(guān)法律、法規(guī)責(zé)任(不符合扣10分)√√√所有信息系統(tǒng)相關(guān)的合同應(yīng)經(jīng)過法律事務(wù)部門的審核安全管理10抽查1～2個信息系統(tǒng)建設(shè)合同文本，檢查是否經(jīng)過法律事務(wù)部門的審核(不符合扣10分)√√√制定系統(tǒng)運(yùn)行管理技術(shù)人員不得利用職權(quán)侵犯他人隱私的管理規(guī)定安全管理10檢查是否有相關(guān)管理內(nèi)容(不符合扣10分)√√√知識產(chǎn)權(quán)保護(hù)制定或沿用上級單位知識產(chǎn)權(quán)管理的制度安全管理10檢查是否有明確的知識產(chǎn)權(quán)相關(guān)管理制度(不符合扣10分)√√√在所有軟件開發(fā)合同、協(xié)議中明確知識產(chǎn)權(quán)的歸屬安全管理20抽查相關(guān)合同、協(xié)議文件，查看知識產(chǎn)權(quán)保護(hù)的內(nèi)容(不符合扣20分)√√√確保軟件知識產(chǎn)權(quán)證書、文檔、手冊、源代碼及可執(zhí)行程序都已提交相關(guān)管理部門安全管理10抽查1～2個信息系統(tǒng)建設(shè)的歸檔文件，查看相關(guān)內(nèi)容、記錄是否齊全(一項(xiàng)缺失扣5分)√√√在集成、開發(fā)、采購合同中向乙方提出確保系統(tǒng)來源合法，提交相應(yīng)產(chǎn)權(quán)證明材料的要求安全管理20抽查1～2個信息系統(tǒng)集成或采購合同文本，查看是否有相關(guān)的要求(不符合扣10分)√√√制定限制內(nèi)部員工在單位設(shè)備上私自使用、安裝盜版軟件的管理內(nèi)容安全管理10查看是否有相關(guān)管理內(nèi)容(不符合扣10分)√√√. 信息安全運(yùn)行維護(hù)評估（總計(jì)：1400分）. 信息系統(tǒng)運(yùn)行管理（小計(jì)：455分）檢查項(xiàng)目檢查內(nèi)容等級保護(hù)標(biāo)準(zhǔn)分值評分標(biāo)準(zhǔn)實(shí)際得分CIA運(yùn)行管理根據(jù)公司總部頒發(fā)的信息系統(tǒng)運(yùn)行管理規(guī)程制訂本單位的運(yùn)行管理規(guī)程安全管理20檢查是否有運(yùn)行管理規(guī)程(沒有扣20分)√√√機(jī)房出入管理制度張貼于恰當(dāng)?shù)奈恢冒踩芾?5檢查相關(guān)制度是否張貼于機(jī)房墻壁上(沒有扣15分)√√√近3個月的機(jī)房進(jìn)出情況安全管理20檢查近三個月機(jī)房的進(jìn)出記錄(沒有扣20分)√√√運(yùn)行值班制度中應(yīng)規(guī)定普通情況下5＊8小時、關(guān)鍵時期7＊24小時的現(xiàn)場值班內(nèi)容安全管理20檢查是否有相關(guān)的值班要求(沒有扣20分)√√√對值班人員的值班計(jì)劃進(jìn)行安排，近3個月值班記錄內(nèi)容安全管理15檢查近三個月的值班安排和記錄表(沒有扣15分)√√√監(jiān)控管理和安全管理中心對通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測和報(bào)警，形成記錄并妥善保存；系統(tǒng)運(yùn)維管理151) 檢查相關(guān)管理制度中是否明確要求對通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件進(jìn)行監(jiān)測和報(bào)警(沒有扣10分)2) 檢查近三個月的監(jiān)測記錄(沒有扣5分)√√組織相關(guān)人員定期對監(jiān)測和報(bào)警記錄進(jìn)行分析、評審，發(fā)現(xiàn)可疑行為，形成分析報(bào)告，并采取必要的應(yīng)對措施；系統(tǒng)運(yùn)維管理201) 檢查是否明確相關(guān)人員定期對監(jiān)測和報(bào)警記錄進(jìn)行分析、評審(沒有扣10分)2) 檢查分析報(bào)告和應(yīng)對措施記錄(沒有扣10分)√√√建立安全管理中心，對設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級、安全審計(jì)等安全相關(guān)事項(xiàng)進(jìn)行集中管理。系統(tǒng)運(yùn)維管理15檢查是否建立安全管理中心，對安全相關(guān)事項(xiàng)進(jìn)行集中管理(沒有扣15分)√√√網(wǎng)絡(luò)安全管理指定專人對網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作；系統(tǒng)運(yùn)維管理201) 檢查是否指定專人對網(wǎng)絡(luò)進(jìn)行管理(沒有扣10分)2) 檢查網(wǎng)絡(luò)管理職責(zé)中是否明確要求其負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作(沒有扣10分)√√√建立網(wǎng)絡(luò)安全管理制度，對網(wǎng)絡(luò)安全配置、日志保存時間、安全策略、升級與打補(bǔ)丁、口令更新周期等方面作出規(guī)定；系統(tǒng)運(yùn)維管理151) 檢查是否指定專人對網(wǎng)絡(luò)進(jìn)行管理(沒有扣10分)2) 檢查網(wǎng)絡(luò)管理職責(zé)中是否明確要求其負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作(沒有扣5分)√√√根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前對現(xiàn)有的重要文件進(jìn)行備份；系統(tǒng)運(yùn)維管理151) 檢查網(wǎng)絡(luò)設(shè)備的軟件版本(不符合扣10分)2) 檢查網(wǎng)絡(luò)設(shè)備軟件版本更新流程(不符合扣5分)√√定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時的修補(bǔ)；系統(tǒng)運(yùn)維管理201) 檢查是否要求定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描(沒有扣10分)2) 檢查漏洞掃描的修補(bǔ)或整改記錄(沒有扣10分)√√√實(shí)現(xiàn)設(shè)備的最小服務(wù)配置，并對配置文件進(jìn)行定期離線備份；系統(tǒng)運(yùn)維管理201) 抽查網(wǎng)絡(luò)設(shè)備是否按照最小服務(wù)原則進(jìn)行配置(沒有扣10分)2) 檢查網(wǎng)絡(luò)配置文件是否定期進(jìn)行離線備份(沒有扣10分)√√保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)；系統(tǒng)運(yùn)維管理15檢查是否具有內(nèi)部網(wǎng)絡(luò)所有外聯(lián)的授權(quán)批準(zhǔn)書(沒有扣15分)√√√依據(jù)安全策略允許或者拒絕便攜式和移動式設(shè)備的網(wǎng)絡(luò)接入；系統(tǒng)運(yùn)維管理20檢查是否按照安全策略對便攜或移動設(shè)備接入網(wǎng)絡(luò)進(jìn)行嚴(yán)格控制(沒有扣20分)√√定期檢查違反規(guī)定撥號上網(wǎng)或其他違反網(wǎng)絡(luò)安全策略的行為系統(tǒng)運(yùn)維管理20檢查管理要求中的相關(guān)規(guī)定中是否明確要求定期檢查違反規(guī)定撥號上網(wǎng)或其它違反網(wǎng)絡(luò)安全策略的行為(沒有扣20分)√√√系統(tǒng)安全管理定期進(jìn)行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進(jìn)行修補(bǔ)；系統(tǒng)運(yùn)維管理151) 檢查是否定期進(jìn)行漏洞掃描(沒有扣10分)2) 檢查漏洞掃描記錄和對發(fā)現(xiàn)漏洞的處理或整改記錄(沒有扣5分)√√√安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，首先在測試環(huán)境中測試通過，并對重要文件進(jìn)行備份后，方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝；系統(tǒng)運(yùn)維管理151) 檢查系統(tǒng)的安全補(bǔ)丁是否安裝到最新(沒有扣10分)2) 檢查系統(tǒng)的安全補(bǔ)丁更新流程是否滿足相關(guān)要求(沒有扣5分)√√建立系統(tǒng)安全管理制度，對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出具體規(guī)定；系統(tǒng)運(yùn)維管理15檢查是否將系統(tǒng)安全管理工作（包括系統(tǒng)安全配置、系統(tǒng)帳戶、審計(jì)日志等）制度化(沒有扣15分)√√√指定專人對系統(tǒng)進(jìn)行管理，劃分系統(tǒng)管理員角色，明確各個角色的權(quán)限、責(zé)任和風(fēng)險(xiǎn)，權(quán)限設(shè)定應(yīng)當(dāng)遵循最小授權(quán)原則；系統(tǒng)運(yùn)維管理201) 檢查是否指定專人負(fù)責(zé)系統(tǒng)安全管理(沒有扣10分)2) 檢查是否根據(jù)系統(tǒng)管理員角色遵循最小授權(quán)原則進(jìn)行權(quán)限劃分(沒有扣5分)3) 對不常用的系統(tǒng)缺省用戶是否采取了一定的處理手段阻止其繼續(xù)使用(沒有扣5分)√√√依據(jù)操作手冊對系統(tǒng)進(jìn)行維護(hù)，詳細(xì)記錄操作日志，包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容，嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作；系統(tǒng)運(yùn)維管理151) 檢查是否建立系統(tǒng)的操作手冊，并按操作手冊對系統(tǒng)進(jìn)行維護(hù)(沒有扣5分)2) 檢查操作日志，是否詳細(xì)記錄重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)設(shè)備和修改等內(nèi)容(沒有扣5分)3) 核對系統(tǒng)日志，查看是否存在未經(jīng)授權(quán)的操作記錄(沒有扣5分)√√√定期對運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析，以便及時發(fā)現(xiàn)異常行為系統(tǒng)運(yùn)維管理151) 檢查是否定期對運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析(沒有扣10分)2) 檢查分析報(bào)告，是否及時發(fā)現(xiàn)異常行為并查找原因，及時處理(沒有扣5分)√√√惡意代碼防范管理提高所有用戶的防病毒意識，及時告知防病毒軟件版本，在讀取移動存儲設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前，先進(jìn)行病毒檢查，對外來計(jì)算機(jī)或存儲設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)行病毒檢查；系統(tǒng)運(yùn)維管理151) 抽查用戶終端防病毒軟件的使用情況(沒有扣5分)2) 檢查防病毒軟件的版本(沒有扣5分)3) 檢查防病毒軟件設(shè)置的防護(hù)策略是否滿足要求(沒有扣5分)√√√指定專人對網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測并保存檢測記錄；系統(tǒng)運(yùn)維管理151) 檢查是否設(shè)置專人進(jìn)行網(wǎng)絡(luò)和主機(jī)的惡意代碼檢測工作(沒有扣10分)2) 檢查是否保存最近三個月的檢測記錄(沒有扣5分)√√√對防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報(bào)等作出明確規(guī)定；系統(tǒng)運(yùn)維管理15檢查惡意代碼防范管理制度，查看其內(nèi)容是否覆蓋防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報(bào)等方面(沒有扣15分)√√√定期檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的惡意代碼庫的升級情況并進(jìn)行記錄，對主機(jī)防病毒產(chǎn)品、防病毒網(wǎng)關(guān)和郵件防病毒網(wǎng)關(guān)上截獲的危險(xiǎn)病毒或惡意代碼進(jìn)行及時分析處理，并形成書面的報(bào)表和總結(jié)匯報(bào)系統(tǒng)運(yùn)維管理151) 檢查是否具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報(bào)告(沒有扣5分)2) 查看升級記錄是否記錄升級時間、升級版本等內(nèi)容(沒有扣5分)3) 查看分析報(bào)告是否描述惡意代碼的特征、修補(bǔ)措施等內(nèi)容(沒有扣5分)√√