【正文】 人員安全管理101) 檢查是否具有安全教育和培訓(xùn)記錄(不符合，該項(xiàng)不得分)2) 檢查記錄是否有培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等的描述(不符合扣5分)3) 檢查記錄與培訓(xùn)計(jì)劃是否一致(不符合扣5分)√√. 信息安全監(jiān)督與考核（小計(jì)：90分）檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA信息安全監(jiān)督建立信息安全監(jiān)督機(jī)制，對(duì)所轄單位信息安全工作情況進(jìn)行定期評(píng)價(jià)安全管理機(jī)構(gòu)141) 查看是否有信息安全監(jiān)督的文檔(不符合扣7分)2) 查看是否有監(jiān)督的記錄(不符合扣7分)√√√建立信息安全檢查機(jī)制，確保在春秋安全大檢查中對(duì)信息安全情況進(jìn)行檢查安全管理機(jī)構(gòu)101) 查看是否有管理制度規(guī)定將信息安全納入春秋安全大檢查的工作中(不符合扣4分)2) 檢查當(dāng)年的春檢或秋檢中是否進(jìn)行了信息安全方面的檢查工作(不符合扣6分)√√√落實(shí)公司同業(yè)對(duì)標(biāo)工作安全管理10檢查是否落實(shí)了公司同業(yè)對(duì)標(biāo)工作(不符合扣10分)√√√信息安全考核建立信息安全考核辦法，根據(jù)各單位信息安全狀況、信息安全工作執(zhí)行情況進(jìn)行考核安全管理10檢查信息安全考核相關(guān)管理規(guī)定中是否對(duì)信息安全狀況、工作執(zhí)行情況等提出了具體的考核辦法(不符合扣10分)√√√將網(wǎng)絡(luò)與信息安全防護(hù)工作的表現(xiàn)納入員工的崗位責(zé)任制安全管理10查看相關(guān)崗位職責(zé)文件(不符合扣10分)√√√信息安全考核制度中明確了獎(jiǎng)、懲辦法安全管理6查看信息安全考核相關(guān)管理規(guī)定中是否有明確了獎(jiǎng)懲辦法(不符合扣6分)√√√定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核人員安全管理10檢查是否有人負(fù)責(zé)定期對(duì)各個(gè)崗位人員進(jìn)行安全技能及安全知識(shí)的考核(不符合扣10分)√√√對(duì)關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核人員安全管理101) 檢查近年的考核記錄(不符合扣10分)2) 檢查記錄的考核人員是否包括各個(gè)崗位的人員(不符合扣5分)3) 檢查考核內(nèi)容是否包含安全知識(shí)、安全技能等(不符合扣3分)4) 檢查記錄日期與考核周期是否一致(不符合扣2分)√√√對(duì)考核結(jié)果進(jìn)行記錄并保存人員安全管理101) 檢查是否對(duì)考核結(jié)果進(jìn)行記錄(不符合扣10分)2) 考核記錄至少保存五年(不符合扣5分)√√. 符合性管理（小計(jì)：100分）檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA法律符合性在信息系統(tǒng)相關(guān)的合同條文中明確適用的法律、法規(guī)條文安全管理10抽查1～2個(gè)信息系統(tǒng)建設(shè)合同文本，檢查是否包含了相關(guān)法律、法規(guī)責(zé)任(不符合扣10分)√√√所有信息系統(tǒng)相關(guān)的合同應(yīng)經(jīng)過(guò)法律事務(wù)部門的審核安全管理10抽查1～2個(gè)信息系統(tǒng)建設(shè)合同文本，檢查是否經(jīng)過(guò)法律事務(wù)部門的審核(不符合扣10分)√√√制定系統(tǒng)運(yùn)行管理技術(shù)人員不得利用職權(quán)侵犯他人隱私的管理規(guī)定安全管理10檢查是否有相關(guān)管理內(nèi)容(不符合扣10分)√√√知識(shí)產(chǎn)權(quán)保護(hù)制定或沿用上級(jí)單位知識(shí)產(chǎn)權(quán)管理的制度安全管理10檢查是否有明確的知識(shí)產(chǎn)權(quán)相關(guān)管理制度(不符合扣10分)√√√在所有軟件開(kāi)發(fā)合同、協(xié)議中明確知識(shí)產(chǎn)權(quán)的歸屬安全管理20抽查相關(guān)合同、協(xié)議文件，查看知識(shí)產(chǎn)權(quán)保護(hù)的內(nèi)容(不符合扣20分)√√√確保軟件知識(shí)產(chǎn)權(quán)證書、文檔、手冊(cè)、源代碼及可執(zhí)行程序都已提交相關(guān)管理部門安全管理10抽查1～2個(gè)信息系統(tǒng)建設(shè)的歸檔文件，查看相關(guān)內(nèi)容、記錄是否齊全(一項(xiàng)缺失扣5分)√√√在集成、開(kāi)發(fā)、采購(gòu)合同中向乙方提出確保系統(tǒng)來(lái)源合法，提交相應(yīng)產(chǎn)權(quán)證明材料的要求安全管理20抽查1～2個(gè)信息系統(tǒng)集成或采購(gòu)合同文本，查看是否有相關(guān)的要求(不符合扣10分)√√√制定限制內(nèi)部員工在單位設(shè)備上私自使用、安裝盜版軟件的管理內(nèi)容安全管理10查看是否有相關(guān)管理內(nèi)容(不符合扣10分)√√√. 信息安全運(yùn)行維護(hù)評(píng)估（總計(jì)：1400分）. 信息系統(tǒng)運(yùn)行管理（小計(jì)：455分）檢查項(xiàng)目檢查內(nèi)容等級(jí)保護(hù)標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA運(yùn)行管理根據(jù)公司總部頒發(fā)的信息系統(tǒng)運(yùn)行管理規(guī)程制訂本單位的運(yùn)行管理規(guī)程安全管理20檢查是否有運(yùn)行管理規(guī)程(沒(méi)有扣20分)√√√機(jī)房出入管理制度張貼于恰當(dāng)?shù)奈恢冒踩芾?5檢查相關(guān)制度是否張貼于機(jī)房墻壁上(沒(méi)有扣15分)√√√近3個(gè)月的機(jī)房進(jìn)出情況安全管理20檢查近三個(gè)月機(jī)房的進(jìn)出記錄(沒(méi)有扣20分)√√√運(yùn)行值班制度中應(yīng)規(guī)定普通情況下5＊8小時(shí)、關(guān)鍵時(shí)期7＊24小時(shí)的現(xiàn)場(chǎng)值班內(nèi)容安全管理20檢查是否有相關(guān)的值班要求(沒(méi)有扣20分)√√√對(duì)值班人員的值班計(jì)劃進(jìn)行安排，近3個(gè)月值班記錄內(nèi)容安全管理15檢查近三個(gè)月的值班安排和記錄表(沒(méi)有扣15分)√√√監(jiān)控管理和安全管理中心對(duì)通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測(cè)和報(bào)警，形成記錄并妥善保存；系統(tǒng)運(yùn)維管理151) 檢查相關(guān)管理制度中是否明確要求對(duì)通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件進(jìn)行監(jiān)測(cè)和報(bào)警(沒(méi)有扣10分)2) 檢查近三個(gè)月的監(jiān)測(cè)記錄(沒(méi)有扣5分)√√組織相關(guān)人員定期對(duì)監(jiān)測(cè)和報(bào)警記錄進(jìn)行分析、評(píng)審，發(fā)現(xiàn)可疑行為，形成分析報(bào)告，并采取必要的應(yīng)對(duì)措施；系統(tǒng)運(yùn)維管理201) 檢查是否明確相關(guān)人員定期對(duì)監(jiān)測(cè)和報(bào)警記錄進(jìn)行分析、評(píng)審(沒(méi)有扣10分)2) 檢查分析報(bào)告和應(yīng)對(duì)措施記錄(沒(méi)有扣10分)√√√建立安全管理中心，對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等安全相關(guān)事項(xiàng)進(jìn)行集中管理。(不符合扣5分)√√√指定和授權(quán)專門的部門對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃系統(tǒng)建設(shè)管理101) 檢查是否指定和授權(quán)專門的部門對(duì)信息系統(tǒng)安全建設(shè)進(jìn)行安全總體規(guī)劃；(不符合扣5分)2) 檢查是否制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃(不符合扣5分)√√√組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)等級(jí)保護(hù)方案的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過(guò)批準(zhǔn)后，才能正式實(shí)施；系統(tǒng)建設(shè)管理101) 檢查是否組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)信息系統(tǒng)等級(jí)保護(hù)方案的合理性和正確性進(jìn)行論證和審定(不符合扣5分)2) 檢查信息系統(tǒng)等級(jí)保護(hù)方案是否有相關(guān)部門的批準(zhǔn)才能正式實(shí)施(不符合扣5分)√√√根據(jù)等級(jí)測(cè)評(píng)、安全評(píng)估的結(jié)果定期調(diào)整和修訂等級(jí)保護(hù)方案。若未確定保護(hù)等級(jí),則該項(xiàng)為0分√√使用不可否認(rèn)服務(wù) 安全管理10若未使用,則該項(xiàng)為0分√√√新設(shè)備和新系統(tǒng)的接入管理新系統(tǒng)、新設(shè)備接入網(wǎng)絡(luò)運(yùn)行的審核、審批管理制度系統(tǒng)運(yùn)維管理16查看管理要求中的相關(guān)規(guī)定，無(wú)相關(guān)要求的，則該項(xiàng)不得分√√√不經(jīng)過(guò)信息安全審核的系統(tǒng)不能接入單位網(wǎng)絡(luò)運(yùn)行安全管理16查看管理要求中的相關(guān)規(guī)定，無(wú)相關(guān)要求的，則該項(xiàng)不得分√√√新建系統(tǒng)或新采購(gòu)設(shè)備接入單位網(wǎng)絡(luò)時(shí)應(yīng)經(jīng)過(guò)信息安全的審批安全管理16查看管理要求中的相關(guān)規(guī)定，無(wú)相關(guān)要求的，則該項(xiàng)不得分√√√信息安全監(jiān)理制定信息安全監(jiān)理管理相關(guān)規(guī)定安全管理10查看管理要求中的相關(guān)規(guī)定，無(wú)相關(guān)要求的，則該項(xiàng)不得分√√√重大系統(tǒng)建設(shè)應(yīng)引入第三方信息安全監(jiān)理機(jī)制，確保系統(tǒng)建設(shè)過(guò)程中各環(huán)節(jié)的安全性安全管理6查看管理要求中的相關(guān)規(guī)定，無(wú)相關(guān)要求的，則該項(xiàng)不得分√√√對(duì)監(jiān)理方的意見(jiàn)應(yīng)給予充分的考慮安全管理6檢查相關(guān)會(huì)議記錄、問(wèn)題答復(fù)(不符合扣6分)√√√安全服務(wù)商選擇確保安全服務(wù)商的選擇符合國(guó)家的有關(guān)規(guī)定；系統(tǒng)建設(shè)管理10檢查安全服務(wù)商的選擇符合國(guó)家的相關(guān)規(guī)定(不符合扣10分)√√√與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任；系統(tǒng)建設(shè)管理101) 檢查與選定的安全服務(wù)商是否簽訂與安全相關(guān)的協(xié)議(不符合扣5分)2) 檢查協(xié)議內(nèi)容是否約定相關(guān)安全責(zé)任(不符合扣5分)√√√確保選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾，必要的與其簽訂服務(wù)合同。系統(tǒng)建設(shè)管理101) 檢查系統(tǒng)交付的管理工作是否由專門部門負(fù)責(zé)(不符合扣5分)2) 抽查系統(tǒng)交付相關(guān)記錄，查看是否按照管理規(guī)定要求完成交付工作(不符合扣5分)√√√密碼技術(shù)應(yīng)用控制確定數(shù)據(jù)的敏感程度和所需的保護(hù)級(jí)別安全管理10若沒(méi)有相關(guān)策略,則該項(xiàng)為0分√√√使用數(shù)字簽名保護(hù)電子文檔的真實(shí)性和完整性安全管理10查看管理方法中的相關(guān)規(guī)定，無(wú)相關(guān)要求的，該項(xiàng)不得分。(不符合扣10分)√√√工程實(shí)施指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實(shí)施過(guò)程的管理；系統(tǒng)建設(shè)管理10檢查是否指定專門人員或部門按照工程實(shí)施方案的要求對(duì)工程實(shí)施過(guò)程進(jìn)行進(jìn)度和質(zhì)量控制(不符合扣10分)√√√制定詳細(xì)的工程實(shí)施方案控制實(shí)施過(guò)程，并要求工程實(shí)施單位能正式地執(zhí)行安全工程過(guò)程；系統(tǒng)建設(shè)管理101) 檢查是否制定工程實(shí)施方案(沒(méi)有該項(xiàng)不得分)2) 查看其內(nèi)容是否覆蓋工程時(shí)間限制、進(jìn)度控制和質(zhì)量控制等方面內(nèi)容(不符合扣5分)√√√制定工程實(shí)施方面的管理制度，明確說(shuō)明實(shí)施過(guò)程的控制方法和人員行為準(zhǔn)則系統(tǒng)建設(shè)管理10檢查工程實(shí)施管理制度，查看其是否規(guī)定工程實(shí)施過(guò)程的控制方法（如內(nèi)部階段性控制或外部監(jiān)理單位控制）、實(shí)施參與人員的各種行為等方面內(nèi)容(不符合扣10分)√√測(cè)試驗(yàn)收委托公正的第三方測(cè)試單位對(duì)系統(tǒng)進(jìn)行安全性測(cè)試，并出具安全性測(cè)試報(bào)告；系統(tǒng)建設(shè)管理10檢查在信息系統(tǒng)正式運(yùn)行前，是否委托第三方測(cè)試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試抽查系統(tǒng)安全性測(cè)試報(bào)告(不符合扣10分)√√√在測(cè)試驗(yàn)收前根據(jù)設(shè)計(jì)方案或合同要求等制訂測(cè)試驗(yàn)收方案，在測(cè)試驗(yàn)收過(guò)程中詳細(xì)記錄測(cè)試驗(yàn)收結(jié)果，并形成測(cè)試驗(yàn)收?qǐng)?bào)告；系統(tǒng)建設(shè)管理101) 檢查是否在在測(cè)試驗(yàn)收前根據(jù)設(shè)計(jì)方案或合同要求等制訂測(cè)試驗(yàn)收方案；(不符合扣4分)2) 查看測(cè)試記錄是否詳細(xì)記錄了測(cè)試時(shí)間、人員、操作過(guò)程、測(cè)試結(jié)果等方面內(nèi)容，是否提出存在問(wèn)題及改進(jìn)意見(jiàn)等(不符合扣3分)3) 檢查是否形成測(cè)試驗(yàn)收?qǐng)?bào)告(不符合扣3分)√√√對(duì)系統(tǒng)測(cè)試驗(yàn)收的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定；系統(tǒng)建設(shè)管理10檢查驗(yàn)收測(cè)試管理制度是否對(duì)系統(tǒng)驗(yàn)收測(cè)試的過(guò)程控制、參與人員的行為等進(jìn)行規(guī)定(不符合扣10分)√√指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)測(cè)試驗(yàn)收的管理，并按照管理規(guī)定的要求完成系統(tǒng)測(cè)試驗(yàn)收工作；系統(tǒng)建設(shè)管理10檢查是否指定專門部門負(fù)責(zé)測(cè)試驗(yàn)收工作(不符合扣5分)檢查是否對(duì)測(cè)試過(guò)程（包括測(cè)試前、測(cè)試中和測(cè)試后）進(jìn)行文檔化要求和制度化要求(不符合扣5分)√√√組織相關(guān)部門和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定，并簽字確認(rèn)。抽查測(cè)試記錄,沒(méi)有則該項(xiàng)不得分√自行軟件開(kāi)發(fā)：確保開(kāi)發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開(kāi)，開(kāi)發(fā)人員和測(cè)試人員分離，測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制系統(tǒng)建設(shè)管理101) 查看是否有管理制度予以要求(不符合扣5分)2) 檢查開(kāi)發(fā)和測(cè)試人員是否分離(不符合扣3分)3) 是否保留測(cè)試數(shù)據(jù)和測(cè)試結(jié)果并由專人保管(不符合扣2分)√√√自行開(kāi)發(fā)：制定開(kāi)發(fā)方面的管理制度，以明確說(shuō)明開(kāi)發(fā)過(guò)程的控制方法和人員行為準(zhǔn)則系統(tǒng)建設(shè)管理10若無(wú)相關(guān)制度，則該項(xiàng)為0分√√√系統(tǒng)集成與采購(gòu)中的安全管理對(duì)廠商交付的主機(jī)操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)等進(jìn)行了配置安全加固審核、操作系統(tǒng)安全補(bǔ)丁安裝情況審核安全管理10查看管理要求中的相關(guān)規(guī)定是否有主機(jī)操作系統(tǒng)安全加固方面相關(guān)規(guī)定(不符合扣5分)是否有數(shù)據(jù)庫(kù)系統(tǒng)安全加固方面相關(guān)規(guī)定(不符合扣5分)√√√確保密碼產(chǎn)品采購(gòu)和使用符合國(guó)家密碼主管部門的要求系統(tǒng)建設(shè)管理101) 檢查系統(tǒng)是否采用了密碼產(chǎn)品(不符合扣5分)2) 密碼產(chǎn)品的使用是否符合國(guó)家密碼主管部門的要求(不符合扣5分)√√√指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購(gòu)系統(tǒng)建設(shè)管理10查看管理要求中的相關(guān)規(guī)定，是否指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購(gòu)(不符合扣10分)√√√預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單系統(tǒng)建設(shè)管理101) 檢查管理要求中的相關(guān)規(guī)定，是否要求預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試(不符合扣5分)2) 檢查是否存在候選產(chǎn)品名單，是否定期審定并更新(不符合扣5分)√√√應(yīng)有機(jī)制確保采購(gòu)和集成中的安全設(shè)備都通過(guò)了國(guó)家、公司相關(guān)機(jī)構(gòu)的測(cè)評(píng)、認(rèn)證系統(tǒng)建設(shè)管理10查看產(chǎn)品采購(gòu)管理制度中是否有相關(guān)規(guī)定。抽查文檔記錄，若缺少相關(guān)文檔,則該項(xiàng)不得分√√軟件開(kāi)發(fā)外包：在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼，并保留完整的測(cè)試記錄系統(tǒng)建設(shè)管理10查看管理/技術(shù)要求中的相關(guān)規(guī)定，無(wú)相關(guān)要求的，該項(xiàng)不得分。抽查系