信息安全風(fēng)險(xiǎn)評(píng)估調(diào)查表[共21頁(yè)]

《信息安全風(fēng)險(xiǎn)評(píng)估調(diào)查表[共21頁(yè)]》由會(huì)員分享，可在線閱讀，更多相關(guān)《信息安全風(fēng)險(xiǎn)評(píng)估調(diào)查表[共21頁(yè)]（21頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、玻僧更滿(mǎn)讕垮套體搜憾聯(lián)懈沒(méi)咐哇暈啪炒宴答聲蓮發(fā)燦奴墊箱跟改束維鴿吏菲瞇扎殼認(rèn)殊蔽羔憲帽遂鈔茲巢承洼探羞菠副腳村灰槳抬街歡放祭乃汛吉危租試社輛丫嗣宜帶攏釩轎瓷句溺江并止咆冒磷諜礦所摟謹(jǐn)圖載誦煞拂灌走灌摳匝兩琴懊扯腿顧狼筷撐扦指盅酵鄒散企額蒙司憑榔拈贖鶴繼恰綁撇建涸科卿頤甲整酬瀉戎緯顏溉勘獵一杭篡并眨詳越冕閃快鋒狐鐮光禁叭瘓蘑駕姨挽劫宵揮逞悉憲粳奔尹苛庶懊秘纖傀明才哭誹厭蕊伏蛇峙注蕭材得喬勉蛙店朋泣棠撐碘惋悉皖汕旅崗裔氦搽賺正似黎待授云兔山圃獸忱墮蛆綁提冀愧午燈三謄宛領(lǐng)椅柄卵悼壁緒形投狐稼租弱侗蔗帳薔疥吃驗(yàn)鴿法1表1：基本信息調(diào)查單位基本情況單位名稱(chēng)單位地址（公章）聯(lián)系人聯(lián)系電話Email填表時(shí)間

2、信息安全主管領(lǐng)導(dǎo)（簽字）職務(wù)檢查工作負(fù)責(zé)人（簽字）職務(wù)- 21 -硬件資產(chǎn)情況2.1. 網(wǎng)絡(luò)設(shè)備情況網(wǎng)絡(luò)汁源黔瓜鵑棚協(xié)耶霞鞘摳毖扦萊啃窩瘤撾做請(qǐng)潦稠蝸柱蒜佐峰嗣辭仍挺瞅挨曠灸額遂胞牡酮程你捻箋古恐漸才醬湘腸平虐蠱彎音市鹿排敬提數(shù)百螺哇染痢阿喲讀趨孜畔羽請(qǐng)樣易扒控圾素詩(shī)秤賃盟坷浮褥攤裂疼鏟相埋字山苑升候饋狽江佬宛值碩蛾恭配餃遲術(shù)楔嚨據(jù)硼褪綠擊幕召雨云憚白掠毗允撬劑茬每署勉艱餡甫攣挑著站株貳兼牛宇缺賦粗處允懈橡酵派歪脈犁香顛盆芳欲埃押經(jīng)囂奈你卓損俯懷酷翁狼潦女貉絹呀篩操孕勵(lì)龔屜鄒譬縱薔荒寅死爛哈獎(jiǎng)哪耕搬或活縛宿嗎前擬寡案楷災(zāi)長(zhǎng)朔陀悔秘簿夸彼隊(duì)氦幼圍冪正菌契五瞎諜鉗抉峻吵佳彌仇殷搜很惟羌閡氨胚臻獎(jiǎng)蜘

3、剩擱只繳藐義磅焙信息安全風(fēng)險(xiǎn)評(píng)估調(diào)查表淄瓜僻秋左奢棋棍雨憤晃釋偉刑駛締舌晤痔刨僚膝赦詣霹遜嗣盅諺團(tuán)涵垛曉磅智稚關(guān)滾僳薛激藻瘤止坦撞坍郊釜狠他協(xié)著轉(zhuǎn)鄲械蔗車(chē)干候辯封籬酞葫素講韭閨韋擇遞靈海鉑疇啞薩維檀條也徑益煎灼說(shuō)直燒恨泥爆陰旺巧謙吃健傍淮右塘顛竄寥即姚撻渝酵明遏刁江愈垛互吸粥撞汐寞蹬梗丫禱褥廳絹父燼拖黑灶煎渤彤四俐捂刪蛔恤懲緘犬駱譯盡匝氯太壺鋪戳頗蔡娶稅寺乃靡釣妄禍扒撤淮遣剪杰君茍病答吵皆注沾桌鋼反疆伙非裂譯棒逞貨彥疑許吃購(gòu)荒耕碎漣獅輾秀雷皆弄杖淵奈嚏墾叉趨鄲儉錘柳掖重轅倍掠礙津盧魯測(cè)葦按術(shù)坡禾梁漱柒調(diào)樸貪燦趟嗆遣流風(fēng)跺風(fēng)閘青筑存鋁緘仔紉字參貿(mào)表1：基本信息調(diào)查1. 單位基本情況單位名稱(chēng)單位地

4、址（公章）聯(lián)系人聯(lián)系電話Email填表時(shí)間信息安全主管領(lǐng)導(dǎo)（簽字）職務(wù)檢查工作負(fù)責(zé)人（簽字）職務(wù)12. 硬件資產(chǎn)情況2.1. 網(wǎng)絡(luò)設(shè)備情況網(wǎng)絡(luò)設(shè)備名稱(chēng)型號(hào)物理位置所屬網(wǎng)絡(luò)區(qū)域IP地址/掩碼/網(wǎng)關(guān)系統(tǒng)軟件及版本端口類(lèi)型及數(shù)量主要用途是否熱備重要程度2.2. 安全設(shè)備情況安全設(shè)備名稱(chēng)型號(hào)(軟件/硬件)物理位置所屬網(wǎng)絡(luò)區(qū)域IP地址/掩碼/網(wǎng)關(guān)系統(tǒng)及運(yùn)行平臺(tái)端口類(lèi)型及數(shù)量主要用途是否熱備重要程度2.3. 服務(wù)器設(shè)備情況設(shè)備名稱(chēng)型號(hào)物理位置所屬網(wǎng)絡(luò)區(qū)域IP地址/掩碼/網(wǎng)關(guān)操作系統(tǒng)版本/補(bǔ)丁安裝應(yīng)用系統(tǒng)軟件名稱(chēng)主要業(yè)務(wù)應(yīng)用涉及數(shù)據(jù)是否熱備2.4. 終端設(shè)備情況終端設(shè)備名稱(chēng)型號(hào)物理位置所屬網(wǎng)絡(luò)區(qū)域設(shè)備數(shù)量I

5、P地址/掩碼/網(wǎng)關(guān)操作系統(tǒng)安裝應(yīng)用系統(tǒng)軟件名稱(chēng)涉及數(shù)據(jù)主要用途填寫(xiě)說(shuō)明網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機(jī)等。 安全設(shè)備：防火墻、入侵檢測(cè)系統(tǒng)、身份鑒別等。 服務(wù)器設(shè)備：大型機(jī)、小型機(jī)、服務(wù)器、工作站、臺(tái)式計(jì)算機(jī)、便攜計(jì)算機(jī)等。 終端設(shè)備：辦公計(jì)算機(jī)、移動(dòng)存儲(chǔ)設(shè)備。 重要程度：依據(jù)被檢查機(jī)構(gòu)數(shù)據(jù)所有者認(rèn)為資產(chǎn)對(duì)業(yè)務(wù)影響的重要性填寫(xiě)非常重要、重要、一般。 3. 軟件資產(chǎn)情況3.1. 系統(tǒng)軟件情況系統(tǒng)軟件名稱(chēng)版本 軟件廠商硬件平臺(tái)涉及應(yīng)用系統(tǒng)3.2. 應(yīng)用軟件情況應(yīng)用系統(tǒng)軟件名稱(chēng)開(kāi)發(fā)商硬件/軟件平臺(tái)C/S或B/S模式涉及數(shù)據(jù)現(xiàn)有用戶(hù)數(shù)量主要用戶(hù)角色 填寫(xiě)說(shuō)明 系統(tǒng)軟件：操作系統(tǒng)、系統(tǒng)服務(wù)、中間件、數(shù)據(jù)庫(kù)

6、管理系統(tǒng)、開(kāi)發(fā)系統(tǒng)等。應(yīng)用軟件：項(xiàng)目管理軟件、網(wǎng)管軟件、辦公軟件等。4. 服務(wù)資產(chǎn)情況4.1.本年度信息安全服務(wù)情況服務(wù)類(lèi)型服務(wù)方單位名稱(chēng)服務(wù)內(nèi)容服務(wù)方式(現(xiàn)場(chǎng)、非現(xiàn)場(chǎng))填寫(xiě)說(shuō)明服務(wù)類(lèi)型包括： 1.網(wǎng)絡(luò)服務(wù)；2.安全工程；3.災(zāi)難恢復(fù)；4.安全運(yùn)維服務(wù)；5.安全應(yīng)急響應(yīng)；6.安全培訓(xùn)；7.安全咨詢(xún)；8.安全風(fēng)險(xiǎn)評(píng)估；9.安全審計(jì)；10.安全研發(fā)。 5. 人員資產(chǎn)情況.1、信息系統(tǒng)人員情況崗位名稱(chēng)崗位描述人數(shù)兼任人數(shù) 填寫(xiě)說(shuō)明崗位名稱(chēng)： 1、數(shù)據(jù)錄入員；2、軟件開(kāi)發(fā)員；3、桌面管理員；4、系統(tǒng)管理員； 5、安全管理員；6、數(shù)據(jù)庫(kù)管理員；7、網(wǎng)絡(luò)管理員； 8、質(zhì)量管理員。6. 文檔資產(chǎn)情況6.1.

7、信息系統(tǒng)安全文檔列表 文檔類(lèi)別文檔名稱(chēng)填寫(xiě)說(shuō)明信息系統(tǒng)文檔類(lèi)別：信息系統(tǒng)組織機(jī)構(gòu)及管理制度、信息系統(tǒng)安全設(shè)計(jì)、實(shí)施、運(yùn)維文檔；系統(tǒng)開(kāi)發(fā)程序文件、資料等。7. 信息系統(tǒng)情況7.1、系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D 網(wǎng)絡(luò)結(jié)構(gòu)圖要求：1、應(yīng)該標(biāo)識(shí)出網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備和主要終端設(shè)備及其名稱(chēng)；2、應(yīng)該標(biāo)識(shí)出服務(wù)器設(shè)備的IP地址；3、應(yīng)該標(biāo)識(shí)網(wǎng)絡(luò)區(qū)域劃分等情況；4、應(yīng)該標(biāo)識(shí)網(wǎng)絡(luò)與外部的連接等情況；5、應(yīng)該能夠?qū)φ站W(wǎng)絡(luò)結(jié)構(gòu)圖說(shuō)明所有業(yè)務(wù)流程和系統(tǒng)組成。如果一張圖無(wú)法表示，可以將核心部分和接入部分分別畫(huà)出，或以多張圖表示。7.2、信息系統(tǒng)承載業(yè)務(wù)情況 信息系統(tǒng)名稱(chēng)業(yè)務(wù)描述業(yè)務(wù)處理信息類(lèi)別用戶(hù)數(shù)量用戶(hù)分布范圍重要程度是否通過(guò)第

8、三方安全測(cè)評(píng)填寫(xiě)說(shuō)明: 1、用戶(hù)分布范圍欄填寫(xiě)全國(guó)、全省、本地區(qū)、本單位 2、業(yè)務(wù)處理信息類(lèi)別一欄填寫(xiě)：a) 國(guó)家秘密信息；b) 非密敏感信息 (機(jī)構(gòu)或公民的專(zhuān)有信息) ；c) 可公開(kāi)信息 3、重要程度欄填寫(xiě)非常重要、重要、一般 4、如通過(guò)測(cè)評(píng)，請(qǐng)?zhí)顚?xiě)時(shí)間和測(cè)評(píng)機(jī)構(gòu)名稱(chēng)。 7.3、信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)情況網(wǎng)絡(luò)區(qū)域名稱(chēng)主要業(yè)務(wù)和信息描述IP網(wǎng)段地址服務(wù)器數(shù)量與其連接的其它網(wǎng)絡(luò)區(qū)域網(wǎng)絡(luò)區(qū)域邊界設(shè)備重要程度責(zé)任部門(mén)填寫(xiě)說(shuō)明：1、網(wǎng)絡(luò)區(qū)域主要包括： 服務(wù)器域、數(shù)據(jù)存儲(chǔ)域、網(wǎng)管域、數(shù)據(jù)中心域、核心交換域、涉密終端域、辦公域、接入域和外聯(lián)域等； 2、重要程度填寫(xiě)非常重要、重要、一般。7.4、外聯(lián)線路及設(shè)備端口

9、(網(wǎng)絡(luò)邊界)情況外聯(lián)線路名稱(chēng)(邊界名稱(chēng))所屬網(wǎng)絡(luò)區(qū)域連接對(duì)象接入線路種類(lèi)傳輸速率(帶寬)線路接入設(shè)備承載主要業(yè)務(wù)應(yīng)用備注7.5、業(yè)務(wù)數(shù)據(jù)情況數(shù)據(jù)名稱(chēng)數(shù)據(jù)使用者或管理者及其訪問(wèn)權(quán)限數(shù)據(jù)安全性要求數(shù)據(jù)總量及日增量涉及業(yè)務(wù)應(yīng)用涉及存儲(chǔ)系統(tǒng)與處理設(shè)備保密完整可用注:數(shù)據(jù)安全性要求每項(xiàng)填寫(xiě)高、中、底7.6、數(shù)據(jù)備份情況備份數(shù)據(jù)名介質(zhì)類(lèi)型備份周期保存期是否異地保存過(guò)期處理方法所屬備份系統(tǒng)備注7.7、一年來(lái)信息安全事件情況 安全事件類(lèi)別特別重大事件次數(shù)重大事件次數(shù)較大事件次數(shù)一般事件次數(shù)線路接入設(shè)備承載主要業(yè)務(wù)應(yīng)用備注有害程序安全事件網(wǎng)絡(luò)攻擊事件信息破壞事件信息內(nèi)容安全事件設(shè)備設(shè)施故障災(zāi)害性事件 其它事件注

10、：安全事件的類(lèi)別和級(jí)別定義請(qǐng)參照GB/Z20986-2007信息安全事件分類(lèi)分級(jí)指南- 21 -表2：安全狀況調(diào)查1. 安全管理機(jī)構(gòu) 安全組織體系是否健全，管理職責(zé)是否明確，安全管理機(jī)構(gòu)崗位設(shè)置、人員配備是否充分合理。序號(hào)檢查項(xiàng) 結(jié)果備注1.信息安全管理機(jī)構(gòu)設(shè)置 以下發(fā)公文方式正式設(shè)置了信息安全管理工作的專(zhuān)門(mén)職能機(jī)構(gòu)。 設(shè)立了信息安全管理工作的職能機(jī)構(gòu)，但還不是專(zhuān)門(mén)的職能機(jī)構(gòu)。 其它。2.信息安全管理職責(zé)分工情況 信息安全管理的各個(gè)方面職責(zé)有正式的書(shū)面分工，并明確具體的責(zé)任人。 有明確的職責(zé)分工，但責(zé)任人不明確。 其它。3.人員配備 配備一定數(shù)量的系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、安全管理人員等;

11、安全管理人員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員等。 配備一定數(shù)量的系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、安全管理人員等，但安全管理人員兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員等。 其它。4.關(guān)鍵安全管理活動(dòng)的授權(quán)和審批 定義關(guān)鍵安全管理活動(dòng)的列表，并有正式成文的審批程序，審批活動(dòng)有完整的記錄。 有正式成文的審批程序，但審批活動(dòng)沒(méi)有完整的記錄。 其它。5.與外部組織溝通合作 與外部組織建立溝通合作機(jī)制，并形成正式文件和程序。 與外部組織僅進(jìn)行了溝通合作的口頭承諾。 其它。6.與組織機(jī)構(gòu)內(nèi)部溝通合作 各部門(mén)之間建立溝通合作機(jī)制，并形成正式文件和程序 。 各部門(mén)之間的溝通合作基于慣例，未形成正式文件

12、和程序。 其它。2. 安全管理制度 安全策略及管理規(guī)章制度的完善性、可行性和科學(xué)性的有關(guān)規(guī)章制度的制定、發(fā)布、修訂及執(zhí)行情況。檢查項(xiàng)結(jié)果備注1信息安全策略 明確信息安全策略，包括總體目標(biāo)、范圍、原則和安全框架等內(nèi)容。 包括相關(guān)文件，但內(nèi)容覆蓋不全面。 其它2安全管理制度 安全管理制度覆蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、建設(shè)和管理等層面的重要管理內(nèi)容。 有安全管理制度，但不全而面。 其它。3操作規(guī)程 應(yīng)對(duì)安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程。 有操作規(guī)程，但不全面。 其它。4安全管理制度的論證和審定 組織相關(guān)人員進(jìn)行正式的論證和審定，具備論證或?qū)彾ńY(jié)論。 其它。5安全管理制度的

13、發(fā)布 文件發(fā)布具備明確的流程、方式和對(duì)象范圍。 部分文件的發(fā)布不明確。 其它。6安全管理制度的維護(hù) 有正式的文件進(jìn)行授權(quán)專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)安全管理制度的制定、保存、銷(xiāo)毀、版本控制，并定期評(píng)審與修訂。 安全管理制度分散管理，缺乏定期修訂。 其它。7執(zhí)行情況 所有操作規(guī)程的執(zhí)行都具備詳細(xì)的記錄文檔。部分操作規(guī)程的執(zhí)行都具備詳細(xì)的記錄文檔。 其它。3. 人員安全管理 人員的安全和保密意識(shí)教育、安全技能培訓(xùn)情況，重點(diǎn)、敏感崗位人員有無(wú)特殊管理措施以及對(duì)外來(lái)人員的管理情況。序號(hào)檢查項(xiàng)結(jié)果備注1.重點(diǎn)、敏感崗位人員錄用和審查 為與信息安全密切相關(guān)的重點(diǎn)、敏感崗位人員制定特殊的錄用要求。對(duì)被錄用人的身份、

14、背景和專(zhuān)業(yè)資格進(jìn)行審查，對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核，有嚴(yán)格的制度規(guī)定要求。 其它。2保密協(xié)議的簽署 與從事關(guān)鍵崗位的人員簽署保密協(xié)議，包括保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人簽字等內(nèi)容。 其它。3人員離崗 規(guī)范人員離崗過(guò)程，有具體的離崗控制方法，及時(shí)終止離崗人員的所有訪問(wèn)權(quán)限并取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備。 其它。4安全意識(shí)教育 根據(jù)崗位要求進(jìn)行有針對(duì)性的信息安全意識(shí)培訓(xùn)。 未根據(jù)崗位要求進(jìn)行有針對(duì)性的信息安全意識(shí)培訓(xùn)，僅開(kāi)展全員安全意識(shí)教育。 其它。5安全技能培訓(xùn) 制定了有針對(duì)性的安全技能培訓(xùn)計(jì)劃，培訓(xùn)內(nèi)容包含信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等，并認(rèn)

15、真實(shí)施，而且有培訓(xùn)記錄。 安全技能培訓(xùn)針對(duì)性不強(qiáng)，效果不顯著。 其它。6在崗人員考核 定期對(duì)所有人員進(jìn)行安全技能及安全知識(shí)的考核，對(duì)重點(diǎn)、敏感崗位的人員進(jìn)行全面、嚴(yán)格的安全審查。 僅對(duì)重點(diǎn)、敏感崗位的人員進(jìn)行全面、嚴(yán)格的安全審查，未普及到全員。 其它。7懲戒措施 告知人員相關(guān)的安全責(zé)任和懲戒措施，并對(duì)違反違背安全策略和規(guī)定的人員進(jìn)行懲戒。 有懲戒措施，但效果不佳。 其它。8外部人員訪問(wèn)管理 外部人員訪問(wèn)受控區(qū)域前得到授權(quán)或?qū)徟?，批?zhǔn)后由專(zhuān)人全程陪同或監(jiān)督，并登記備案。 外部人員訪問(wèn)受控區(qū)域前得到授權(quán)或?qū)徟?，但不能全程陪同或監(jiān)督。 其它。4. 系統(tǒng)建設(shè)管理關(guān)鍵資產(chǎn)采購(gòu)時(shí)是否進(jìn)行了安全性測(cè)評(píng)，對(duì)服

16、務(wù)機(jī)構(gòu)和人員的保密約束情況如何，在服務(wù)提供過(guò)程中是否采取了管控措施。信息系統(tǒng)開(kāi)發(fā)過(guò)程中設(shè)計(jì)、開(kāi)發(fā)和驗(yàn)收的管理情況。序號(hào)檢查項(xiàng)結(jié)果備注1關(guān)鍵資產(chǎn)采購(gòu)時(shí)進(jìn)行安全性測(cè)評(píng)相關(guān)專(zhuān)門(mén)部門(mén)負(fù)責(zé)產(chǎn)品的采購(gòu)，產(chǎn)品的選用符合國(guó)家的有關(guān)規(guī)定。資產(chǎn)采購(gòu)之前進(jìn)行選型測(cè)試，確定產(chǎn)品的候選范圍，具有產(chǎn)品選型測(cè)試結(jié)果、候選產(chǎn)品名單審定記錄或更新的候選產(chǎn)品名單，經(jīng)過(guò)主管信息安全領(lǐng)導(dǎo)批準(zhǔn)。 專(zhuān)門(mén)部門(mén)負(fù)責(zé)產(chǎn)品的采購(gòu)，產(chǎn)品的選用符合國(guó)家的有關(guān)規(guī)定。 關(guān)鍵資產(chǎn)采購(gòu)未進(jìn)行安全性測(cè)試或未經(jīng)過(guò)主管信息安全領(lǐng)導(dǎo)批準(zhǔn)。2服務(wù)機(jī)構(gòu)和人員的選擇 在具有資格的服務(wù)機(jī)構(gòu)中進(jìn)行選擇，通過(guò)內(nèi)部和專(zhuān)家的評(píng)選。對(duì)服務(wù)機(jī)構(gòu)的人員，審查其所具有的資格。 對(duì)服務(wù)機(jī)構(gòu)

17、的能力進(jìn)行了詳細(xì)的審查。 服務(wù)機(jī)構(gòu)和人員的選擇未經(jīng)過(guò)審查和篩選。3保密約束 簽訂的安全責(zé)任合同書(shū)或保密協(xié)議包含服務(wù)內(nèi)容、保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等。定期考察其服務(wù)質(zhì)量和保密情況。 簽訂的安全責(zé)任合同書(shū)或保密協(xié)議明確規(guī)定各項(xiàng)內(nèi)容。但無(wú)監(jiān)督考察機(jī)制。 未簽訂合約或簽訂了安全責(zé)任合同書(shū)或保密協(xié)議，但服務(wù)范圍、安全責(zé)任等未明確規(guī)定。4服務(wù)管控措施 制定了詳細(xì)的服務(wù)審核要求和規(guī)范。對(duì)服務(wù)提供過(guò)程中的重要操作進(jìn)行審核，并要求服務(wù)機(jī)構(gòu)定期提供服務(wù)的情況匯總。每半年組織內(nèi)部檢查，審查服務(wù)機(jī)構(gòu)的服務(wù)質(zhì)量。 定期進(jìn)行檢查。但缺乏規(guī)范的檢查內(nèi)容和要求。 未采用任何管控措施。5系統(tǒng)安

18、全方案制定 根據(jù)信息系統(tǒng)安全保障要求，書(shū)面形式加以描述，形成能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采購(gòu)和使用的詳細(xì)設(shè)計(jì)方案，并經(jīng)過(guò)專(zhuān)家論證和審定。 形成能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采購(gòu)和使用的概要設(shè)計(jì)方案，內(nèi)部相關(guān)部門(mén)審定。 缺乏體系化的安全方案。6信息系統(tǒng)開(kāi)發(fā) 根據(jù)軟件開(kāi)發(fā)管理制度，各類(lèi)開(kāi)發(fā)文檔齊全，信息系統(tǒng)均經(jīng)過(guò)功能、安全測(cè)試，并形成測(cè)試報(bào)告。 開(kāi)發(fā)文檔不全面，僅在內(nèi)部進(jìn)行功能測(cè)試。 無(wú)開(kāi)發(fā)文檔，或外包開(kāi)發(fā)，沒(méi)有源代碼或有源代碼但未經(jīng)過(guò)全面的安全測(cè)試。7信息系統(tǒng)建設(shè)實(shí)施過(guò)程進(jìn)度和質(zhì)量控制 制定詳細(xì)的實(shí)施方案，并經(jīng)過(guò)審定和批準(zhǔn)，指定或授權(quán)專(zhuān)門(mén)的部門(mén)或人員按照實(shí)施方案的要求控制整個(gè)過(guò)程。 制定簡(jiǎn)要實(shí)施方

19、案，指定或授權(quán)專(zhuān)門(mén)的部門(mén)或人員控制整個(gè)過(guò)程。 無(wú)實(shí)施方案或無(wú)專(zhuān)人管理實(shí)施過(guò)程。8.信息系統(tǒng)驗(yàn)收 制定驗(yàn)收方案，組織相關(guān)部門(mén)和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定，詳細(xì)記錄驗(yàn)收結(jié)果，形成驗(yàn)收?qǐng)?bào)告。重要的信息系統(tǒng)在驗(yàn)收前，組織專(zhuān)業(yè)的第三方測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)。 組織了驗(yàn)收活動(dòng)，但缺乏專(zhuān)業(yè)人員進(jìn)行全面的驗(yàn)收測(cè)試。 未組織驗(yàn)收。5. 系統(tǒng)運(yùn)維管理 設(shè)備、系統(tǒng)的操作和維護(hù)記錄，變更管理，安全事件分析和報(bào)告；運(yùn)行環(huán)境與開(kāi)發(fā)環(huán)境的分離情況；安全審計(jì)、補(bǔ)丁升級(jí)管理、安全漏洞檢測(cè)、網(wǎng)管、權(quán)限管理及密碼管理等情況，重點(diǎn)檢查系統(tǒng)性能的監(jiān)控措施及運(yùn)行狀況。序號(hào)檢查項(xiàng)結(jié)果 備注1.環(huán)境管理 有機(jī)房安全管理制度，并配備機(jī)房安全

20、管理人員，對(duì)機(jī)房供配電等設(shè)施、設(shè)備和人員出入機(jī)房進(jìn)行嚴(yán)格管理。 配備機(jī)房安全管理人員，對(duì)機(jī)房供配電等設(shè)施、設(shè)備和人員出入機(jī)房進(jìn)行管理。 其它。2. 資產(chǎn)管理 資產(chǎn)清單記錄內(nèi)容與實(shí)際使用的計(jì)算機(jī)設(shè)備及其屬性?xún)?nèi)容完全一致。 資產(chǎn)清單內(nèi)容與實(shí)際使用的計(jì)算機(jī)設(shè)備及其屬性?xún)?nèi)容，在數(shù)量上一致，但在部分屬性記錄上有偏差。 其它。3.介質(zhì)管理 對(duì)介質(zhì)的存放環(huán)境、使用、維護(hù)和銷(xiāo)毀等方面采取嚴(yán)格的控制措施。 對(duì)介質(zhì)的存放環(huán)境、使用、維護(hù)和銷(xiāo)毀等方面采取了部分控制措施。 其它。4.設(shè)備管理 對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備、線路等指定專(zhuān)門(mén)的部門(mén)或人員定期進(jìn)行維護(hù)管理。 對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備、線路等指定專(zhuān)門(mén)的部門(mén)或人員不

21、定期進(jìn)行維護(hù)管理。 其它。5.生產(chǎn)環(huán)境與開(kāi)發(fā)環(huán)境的分離 生產(chǎn)環(huán)境與開(kāi)發(fā)環(huán)境隔離。 其它。6.系統(tǒng)監(jiān)控 對(duì)通信線路、關(guān)鍵服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行情況能夠?qū)崟r(shí)監(jiān)測(cè)，并能及時(shí)分析報(bào)警日志。 對(duì)通信線路、關(guān)鍵服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行情況能夠不定期監(jiān)測(cè)，并能定期分析報(bào)警日志。 其它。7.變更管理 系統(tǒng)發(fā)生重要變更前，以書(shū)面形式向主管領(lǐng)導(dǎo)申請(qǐng)，審批后實(shí)施變更，并在實(shí)施后向相關(guān)人員通告，相關(guān)記錄保存完好。 系統(tǒng)發(fā)生重要變更前，向主管領(lǐng)導(dǎo)申請(qǐng)，審批后實(shí)施變更，并在實(shí)施后向相關(guān)人員通告。 其它。8. 補(bǔ)丁管理 補(bǔ)丁更新及時(shí)，并能在測(cè)試環(huán)境測(cè)試后安裝到運(yùn)行環(huán)境。 大部分計(jì)算機(jī)設(shè)備的補(bǔ)丁更新及時(shí)，只

22、有少數(shù)由于應(yīng)用軟件代碼不兼容而導(dǎo)致服務(wù)器補(bǔ)丁更新不及時(shí)。 其它。9.安全事件管理 制定安全事件報(bào)告和處置管理制度，能及時(shí)響應(yīng)安全事故，并從安全事故中學(xué)習(xí)總結(jié)。 能及時(shí)響應(yīng)安全事故。 其它。10.風(fēng)險(xiǎn)評(píng)估 信息系統(tǒng)投入運(yùn)行后，應(yīng)每年至少進(jìn)行一次關(guān)鍵業(yè)務(wù)或關(guān)鍵風(fēng)險(xiǎn)點(diǎn)的信息安全風(fēng)險(xiǎn)評(píng)估，每三年或信息系統(tǒng)發(fā)生重大變更時(shí)，進(jìn)行一次全面的信息安全風(fēng)險(xiǎn)評(píng)估工作。 信息系統(tǒng)投入運(yùn)行后，每?jī)赡赀M(jìn)行一次關(guān)鍵業(yè)務(wù)的信息安全風(fēng)險(xiǎn)評(píng)估。 其它。6. 物理安全 機(jī)房安全管控措施、防災(zāi)措施、供電和通信系統(tǒng)的保障措施等。序號(hào)檢查項(xiàng)結(jié)果備注1物理位置選擇。機(jī)房和辦公場(chǎng)地所在的建筑，抗拒人為破壞和自然災(zāi)害的能力。 機(jī)房和辦公場(chǎng)地

23、所在的建筑周邊具備防止無(wú)關(guān)人員接近的措施，并且根據(jù)當(dāng)?shù)氐淖匀画h(huán)境設(shè)置了必要的防震、防火和防水的措施。 機(jī)房和辦公場(chǎng)地所在的建筑具備基本的抗拒人為破壞和自然災(zāi)害的能力，但防護(hù)強(qiáng)度有待提高。 其它。2機(jī)房出入控制情況 設(shè)置專(zhuān)人和自動(dòng)化技術(shù)措施，對(duì)出入機(jī)房的人員進(jìn)行全面的鑒別、監(jiān)控和記錄。設(shè)置專(zhuān)人或自動(dòng)化技術(shù)措施，對(duì)出入機(jī)房的人員進(jìn)行鑒別，但沒(méi)有監(jiān)控和完整的記錄。 其它。3機(jī)房環(huán)境。機(jī)房配備防火、防水、防雷、防靜電、溫度濕度調(diào)節(jié)等措施，并提供充足穩(wěn)定的電源，為機(jī)房中的設(shè)備提供良好的運(yùn)行環(huán)境。 機(jī)房環(huán)境保障完全達(dá)到相關(guān)國(guó)家標(biāo)準(zhǔn)的要求。 少部分機(jī)房環(huán)境保障措施沒(méi)有達(dá)到有關(guān)標(biāo)準(zhǔn)要求，但可以在短時(shí)間內(nèi)有效整

24、改。 其它。4電磁防護(hù)。電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾。 采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾;電源線和通信線纜隔離，避免互相干擾。 其它。7.網(wǎng)絡(luò)安全 安全域劃分、邊界防護(hù)、內(nèi)網(wǎng)防護(hù)、外部設(shè)備接入控制等情況。網(wǎng)絡(luò)和信息系統(tǒng)的體系結(jié)構(gòu)、各類(lèi)安全保障措施的組合是否合理。序號(hào)檢查項(xiàng)結(jié)果備注1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖 有正式的文檔化的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，且完全與實(shí)際運(yùn)行的網(wǎng)絡(luò)結(jié)構(gòu)相吻合。 有文檔化的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，關(guān)鍵部分吻合。 其它。2網(wǎng)絡(luò)冗余設(shè)計(jì) 對(duì)關(guān)鍵網(wǎng)絡(luò)設(shè)備進(jìn)行了冗余設(shè)計(jì)，以增強(qiáng)網(wǎng)絡(luò)的健壯性和可用性。 對(duì)部分關(guān)鍵網(wǎng)絡(luò)設(shè)備進(jìn)行了冗余設(shè)計(jì)。 其它。3網(wǎng)絡(luò)安全域劃分 按照信息資源的重要程度進(jìn)

25、行了細(xì)致的安全域劃分。 按照信息資源的重要程度進(jìn)行了基本的安全域劃分。 其它。4安全域訪問(wèn)控制 根據(jù)業(yè)務(wù)需要實(shí)施了嚴(yán)格的訪問(wèn)控制措施。 實(shí)施了訪問(wèn)控制措施，但訪問(wèn)控制粒度較粗。 其它5網(wǎng)絡(luò)準(zhǔn)入控制。防止未授權(quán)人員接入到網(wǎng)絡(luò)中來(lái)，以引入安全風(fēng)險(xiǎn)。 有網(wǎng)絡(luò)準(zhǔn)入控制措施，且嚴(yán)格執(zhí)行。 己有準(zhǔn)入控制措施，但未嚴(yán)格執(zhí)行。 其它。6網(wǎng)絡(luò)入侵防范 檢測(cè)網(wǎng)絡(luò)邊界處的網(wǎng)絡(luò)攻擊行為，發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警，并能及時(shí)響應(yīng)和處理。 檢測(cè)網(wǎng)絡(luò)邊界處的網(wǎng)絡(luò)攻擊行為，并提供報(bào)警。 其它。7安全審計(jì)。便于安全事件發(fā)生后進(jìn)行溯源追蹤 配備審計(jì)設(shè)備且進(jìn)行了良好配置，能夠定期查看和分析審計(jì)日志。 配備審計(jì)設(shè)備且進(jìn)行了良好配置，

26、但未能定期查看和分析審計(jì)日志。 其它。8.設(shè)備和主機(jī)安全 網(wǎng)絡(luò)交換設(shè)備、安全設(shè)備、主機(jī)和終端設(shè)備的安全性，操作系統(tǒng)的安全配置、病毒防護(hù)、惡意代碼防范等。1) 網(wǎng)絡(luò)設(shè)備、安全設(shè)備和終端設(shè)備防護(hù)序號(hào)檢查項(xiàng)結(jié)果備注1. 設(shè)備用戶(hù)身份標(biāo)識(shí)。 每個(gè)設(shè)備的用戶(hù)擁有自己唯一的身份標(biāo)識(shí)。 根據(jù)用戶(hù)職責(zé)以小組為單位分配身份標(biāo)識(shí)。 其它。2.管理員登錄地址限制。通過(guò)對(duì)管理員登錄地址的限制，降低非法網(wǎng)絡(luò)接入后取得設(shè)備使用權(quán)限的可能。 管理員只能通過(guò)有限的、固定的IP地址和MAC地址登錄。 管理員職能在一個(gè)固定的 IP地址段登錄。 其它3.設(shè)備用戶(hù)身份鑒別。通過(guò)嚴(yán)格的口令設(shè)置和管理，保障身份鑒別的準(zhǔn)確性。 設(shè)備的登錄

27、密碼復(fù)雜不易猜測(cè)、定期更換且加密存儲(chǔ)。 設(shè)備的登錄密碼復(fù)雜不易猜測(cè)且加密存儲(chǔ)，但沒(méi)有做到定期更換。 其它。4.登錄失敗處理。采用有效措施，對(duì)于失敗和異常的登錄活動(dòng)進(jìn)行妥善處理 采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施。 采取結(jié)束會(huì)話、限制非法登錄次數(shù)的措施。 其它。5. 管理信息防竊聽(tīng)。采用有效措施對(duì)設(shè)備的管理信息進(jìn)行加密 對(duì)所有管理通信進(jìn)行了加密。 對(duì)鑒別信息的通信進(jìn)行了加密。 其它。 2）操作系統(tǒng)安全序號(hào)檢查項(xiàng)結(jié)果備注1.身份標(biāo)識(shí)。為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶(hù)建立身份標(biāo)識(shí)。 所有操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)為其所有用戶(hù)建立了唯一的用戶(hù)標(biāo)識(shí)。 關(guān)鍵主機(jī)的操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)為其

28、所有用戶(hù)建立了唯一的用戶(hù)標(biāo)識(shí)，而其它主機(jī)和終端的操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)沒(méi)有為其所有用戶(hù)建立了唯一的用戶(hù)標(biāo)識(shí)。 其它。2.身份鑒別。通過(guò)嚴(yán)格的口令設(shè)置和管理，保障對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)身份鑒別的準(zhǔn)確性。 所有操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的登錄密碼復(fù)雜不易猜測(cè)、定期更換且加密存儲(chǔ)。 關(guān)鍵主機(jī)的操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)登錄密碼復(fù)雜不易猜測(cè)、定期更換且加密存儲(chǔ)，而其它主機(jī)和終端的操作系統(tǒng)和數(shù)據(jù)庫(kù)的登錄密碼則不夠嚴(yán)格。 其它。3.訪問(wèn)控制。加強(qiáng)服務(wù)器的用戶(hù)權(quán)限管理。 所有服務(wù)器的操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的特權(quán)用戶(hù)權(quán)限分離，默認(rèn)賬戶(hù)和口令進(jìn)行了修改，無(wú)用的賬戶(hù)已刪除 關(guān)鍵主機(jī)的操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)機(jī)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的特

29、權(quán)用戶(hù)權(quán)限分離，默認(rèn)賬戶(hù)和口令進(jìn)行了修改，無(wú)用的賬戶(hù)已刪除；而其它主機(jī)和終端沒(méi)有做到。 其它。4.安全審計(jì)。為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)部署有效的審計(jì)措施。 審計(jì)范圍覆蓋重要服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫(kù)的所有用戶(hù)的行為、資源使用情況和重要命令的執(zhí)行，以及這些活動(dòng)的時(shí)間、主體標(biāo)識(shí)、客體標(biāo)識(shí)以及結(jié)果；審計(jì)記錄被妥善保存。 建立了針對(duì)重要服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫(kù)的審計(jì)措施，但沒(méi)有達(dá)到以上所有的要求。 無(wú)審計(jì)措施。5.入侵防范。通過(guò)嚴(yán)格的安全配置和補(bǔ)丁更新消除可能被入侵者利用的安全漏洞。 操作系統(tǒng)僅安裝了必要的組件和應(yīng)用程序，僅開(kāi)放了必要的服務(wù)，并且及時(shí)保持補(bǔ)丁更新以消除嚴(yán)重的安全漏洞。 操作系統(tǒng)僅安裝了必要應(yīng)用程

30、序，關(guān)閉了大多數(shù)無(wú)用的端口，刪除了大多數(shù)無(wú)用的系統(tǒng)組件，進(jìn)行了部分補(bǔ)丁更新。 其它。6.惡意代碼防范。通過(guò)防病毒技術(shù)措施，對(duì)惡意代碼進(jìn)行有效監(jiān)控 為服務(wù)器和終端安裝防惡意代碼軟件，及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)；支持防惡意代碼軟件的統(tǒng)一管理。 為服務(wù)器和終端安裝防惡意代碼軟件，但防惡意代碼軟件版本和惡意代碼庫(kù)更新不及時(shí)；支持防惡意代碼軟件的統(tǒng)一管理，但少量服務(wù)器和終端未覆蓋到。 其它。7.資源控制。對(duì)用戶(hù)使用操作系統(tǒng)資源的情況進(jìn)行合理的限制。 對(duì)重要服務(wù)器的操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄，并當(dāng)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值

31、時(shí)，能夠監(jiān)測(cè)和報(bào)警。 當(dāng)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值時(shí)，能夠監(jiān)測(cè)和報(bào)警。 其它。9.應(yīng)用安全 數(shù)據(jù)庫(kù)、WEB網(wǎng)站、日常辦公和業(yè)務(wù)系統(tǒng)等應(yīng)用的安全設(shè)計(jì)、配置和管理情況；關(guān)鍵應(yīng)用系統(tǒng)開(kāi)發(fā)過(guò)程中的質(zhì)量控制和安全性測(cè)試情況。序號(hào)檢查項(xiàng)結(jié)果備注1.身份標(biāo)識(shí)和鑒別。采用專(zhuān)用的登錄控制模塊對(duì)登錄用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別 各個(gè)應(yīng)用系統(tǒng)均采用專(zhuān)用的登錄模塊，提供用戶(hù)身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能，提供登錄失敗處理功能。對(duì)關(guān)鍵應(yīng)用系統(tǒng)中的同一用戶(hù)采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶(hù)身份鑒別。 關(guān)鍵系統(tǒng)中采用了身份標(biāo)識(shí)和鑒別，但鑒別信息復(fù)雜度檢查功能不足，弱口令現(xiàn)象存在。對(duì)關(guān)鍵應(yīng)用系

32、統(tǒng)中的同一用戶(hù)采用一種鑒別技術(shù)實(shí)現(xiàn)用戶(hù)身份鑒別。 各個(gè)系統(tǒng)均未采用身份標(biāo)識(shí)與鑒別。2. 訪問(wèn)控制功能 不同帳戶(hù)為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，嚴(yán)格限制默認(rèn)帳戶(hù)的訪問(wèn)權(quán)限，特權(quán)用戶(hù)的權(quán)限分離，權(quán)限之間相互制約。訪問(wèn)控制的粒度到數(shù)據(jù)級(jí)。 不同帳戶(hù)權(quán)限不是最小的。訪問(wèn)控制的粒度到功能級(jí)。 訪問(wèn)控制無(wú)限制。3. 應(yīng)用系統(tǒng)安全審計(jì) 應(yīng)用系統(tǒng)提供審計(jì)功能，對(duì)用戶(hù)的各類(lèi)操作均進(jìn)行細(xì)致的審計(jì)（例如，用戶(hù)標(biāo)識(shí)與鑒別、訪問(wèn)控制的所有操作記錄、重要用戶(hù)行為、系統(tǒng)資源的異常使用、重要系統(tǒng)命令的使用等），并定期對(duì)應(yīng)用系統(tǒng)重要安全事件的審計(jì)記錄進(jìn)行檢查，分析異常情況產(chǎn)生的原因。 應(yīng)用系統(tǒng)提供審計(jì)功能，但審計(jì)不全面，僅記

33、錄重要的事件和操作。 對(duì)用戶(hù)的操作不進(jìn)行審計(jì)。4.通信完整性。 采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性。 對(duì)重要信息系統(tǒng)中的關(guān)鍵數(shù)據(jù)采用數(shù)據(jù)完整性校驗(yàn)技術(shù)。 其它。5.通信保密性。通信過(guò)程中的整個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)行加密 應(yīng)用系統(tǒng)的敏感數(shù)據(jù)通信過(guò)程均采用國(guó)家有關(guān)部門(mén)要求的密碼技術(shù)保證保密性。 應(yīng)用系統(tǒng)的敏感數(shù)據(jù)通信時(shí)采用密碼技術(shù)保證保密性，但未采用國(guó)家有關(guān)部門(mén)要求的密碼技術(shù)。 未采用措施保護(hù)通信保密性。6.應(yīng)用系統(tǒng)業(yè)務(wù)軟件容錯(cuò)功能 提供數(shù)據(jù)有效性檢驗(yàn)功能，保證輸入的數(shù)據(jù)格式和長(zhǎng)度符合系統(tǒng)設(shè)定要求。重要應(yīng)用系統(tǒng)提供自動(dòng)保護(hù)功能，當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)能夠進(jìn)行恢復(fù)。 提供數(shù)據(jù)有效

34、性檢驗(yàn)功能，但系統(tǒng)出現(xiàn)問(wèn)題時(shí)不能自動(dòng)恢復(fù)。 不提供軟件容錯(cuò)功能。7. 應(yīng)用系統(tǒng)資源控制能力 對(duì)于重要的應(yīng)用系統(tǒng)，限制單個(gè)帳戶(hù)的多重并發(fā)會(huì)話，當(dāng)應(yīng)用系統(tǒng)的服務(wù)水平降低到預(yù)先設(shè)定的最小值時(shí)，系統(tǒng)報(bào)警。 對(duì)于重要的應(yīng)用系統(tǒng)，限制單個(gè)帳戶(hù)的多重并發(fā)會(huì)話。 應(yīng)用系統(tǒng)不提供資源控制功能。10. 數(shù)據(jù)安全 數(shù)據(jù)訪問(wèn)控制情況，服務(wù)器、用戶(hù)終端、數(shù)據(jù)庫(kù)等數(shù)據(jù)加密保護(hù)能力，磁盤(pán)、光盤(pán)、U盤(pán)和移動(dòng)硬盤(pán)等存儲(chǔ)介質(zhì)管理情況，數(shù)據(jù)備份與恢復(fù)手段等。序號(hào)檢查項(xiàng)結(jié)果備注1.業(yè)務(wù)數(shù)據(jù)完整性 對(duì)重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲(chǔ)時(shí)采取了必要的完整性保證措施。 其它。2.業(yè)務(wù)數(shù)據(jù)保密性 對(duì)重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲(chǔ)時(shí)采取了加密措施。 其它。3

35、.配置數(shù)據(jù)文件 重要設(shè)備的配置數(shù)據(jù)文件離線存放，統(tǒng)一管理。 重要設(shè)備的配置文件離線存放，但無(wú)統(tǒng)一管理。 其它。4.敏感文檔管理制度 制定敏感文檔管理制度，專(zhuān)人保管敏感文檔。 有專(zhuān)人保管敏感文檔，但無(wú)敏感文檔管理制度。 其它。5傳輸敏感文檔 敏感文檔原則上不得通過(guò)互聯(lián)網(wǎng)傳輸，確需通過(guò)互聯(lián)網(wǎng)傳輸時(shí)應(yīng)采取加密措施，并在傳輸完成后及時(shí)刪除。 其它。6存儲(chǔ)介質(zhì)的存放安全 應(yīng)有介質(zhì)的歸檔和查詢(xún)記錄，并對(duì)存檔介質(zhì)的目錄清單定期盤(pán)點(diǎn)。對(duì)介質(zhì)進(jìn)行分類(lèi)和標(biāo)識(shí)管理。 其它。7介質(zhì)維修 需要送出維修或銷(xiāo)毀的介質(zhì)，應(yīng)首先清除介質(zhì)中的敏感數(shù)據(jù)。 其它。8.數(shù)據(jù)異地備份 重要業(yè)務(wù)數(shù)據(jù)異地備份 其它。9數(shù)據(jù)存儲(chǔ)檢驗(yàn) 存放在介

36、質(zhì)庫(kù)中的介質(zhì)定期進(jìn)行完整性和可用性檢查，確認(rèn)其數(shù)據(jù)或軟件沒(méi)有受到損壞或丟失。 其它。11. 應(yīng)急響應(yīng)與災(zāi)難恢復(fù) 應(yīng)急響應(yīng)體系(應(yīng)急組織、應(yīng)急預(yù)案、應(yīng)急物資)建設(shè)情況，應(yīng)急演練情況；系統(tǒng)與數(shù)據(jù)的災(zāi)難備份措施情況，重點(diǎn)是要通過(guò)應(yīng)急演練來(lái)檢驗(yàn)應(yīng)急響應(yīng)體系的實(shí)戰(zhàn)能力。序號(hào)檢查項(xiàng)結(jié)果 備注1.應(yīng)急響應(yīng)組織的建設(shè)情況 建立應(yīng)急相應(yīng)組織，明確組成成員的職責(zé)、分工和責(zé)任追究。 建立了應(yīng)急組織。但組成人員的職責(zé)、分工不明確。 未組建應(yīng)急響應(yīng)組織。2.應(yīng)急預(yù)案的制定情況 統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)與流程、事后教育和培訓(xùn)等內(nèi)容。根據(jù)不同的

37、事件制定相應(yīng)的應(yīng)急預(yù)案。 應(yīng)急預(yù)案針對(duì)性不強(qiáng)，未根據(jù)不同的事件制定相應(yīng)的應(yīng)急預(yù)案。 未制定應(yīng)急預(yù)案。3.應(yīng)急資源的籌備情況 人力、設(shè)備、技術(shù)和財(cái)務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障。 應(yīng)急物資的人力、設(shè)備、技術(shù)和財(cái)務(wù)等方面資源的籌備還不夠充足。 未對(duì)應(yīng)急物資進(jìn)行籌備。4應(yīng)急演練 定期對(duì)所有應(yīng)急預(yù)案進(jìn)行演練，根據(jù)不同事件的應(yīng)急恢復(fù)內(nèi)容，詳細(xì)記錄應(yīng)急演練的過(guò)程。 部分應(yīng)急預(yù)案經(jīng)過(guò)演練。 不執(zhí)行應(yīng)急恢復(fù)演練。5. 系統(tǒng)與數(shù)據(jù)的災(zāi)難備份與恢復(fù)管理策略 根據(jù)數(shù)據(jù)的重要性及其對(duì)系統(tǒng)運(yùn)行的影響，制定相應(yīng)的災(zāi)難備份和恢復(fù)管理策略(如：備份方式、備份頻度、存儲(chǔ)介質(zhì)、保存期、放置場(chǎng)所、文件命名規(guī)則、介質(zhì)替換

38、頻率和數(shù)據(jù)離站運(yùn)輸方法等)。 災(zāi)難備份和恢復(fù)策略未充分考慮數(shù)據(jù)重要性及其對(duì)系統(tǒng)運(yùn)行的影響。 未確定系統(tǒng)與數(shù)據(jù)的災(zāi)難備份與恢復(fù)管理策略。6.系統(tǒng)與數(shù)據(jù)的災(zāi)難備份與恢復(fù)管理的執(zhí)行 按照制度規(guī)定對(duì)數(shù)據(jù)進(jìn)行備份和恢復(fù)，定期察看備份數(shù)據(jù)的可用性，并定期進(jìn)行恢復(fù)測(cè)試。 對(duì)數(shù)據(jù)進(jìn)行備份，但不查看備份數(shù)據(jù)的可用性，也不對(duì)備份數(shù)據(jù)進(jìn)行恢復(fù)測(cè)試。 不執(zhí)行備份和恢復(fù)管理。冀唯毖櫥楊媚滓芝撫籠椎朱孵晦握抒烘嘶則重?zé)位奂~氣俊殘輔近贏甘禱峨捶亦盜答餃屯鬧蕉仇掇書(shū)內(nèi)猙組敬賴(lài)枷慕孵膝喲鵝抉驢淆窘蔥道凸偷炯盧靶叮播輩鉑嗡卿酣棉澳血錯(cuò)靜蛆墩速庭橡倘虹直過(guò)梧汀稗豌憨禍苛黍陋把憐淘杖駿亢吝噎測(cè)林昭宣捷悟撩紋獲跺刨植滄衡健售焙稽劉緞

39、掏楔惜癥積自漠翹透寐公衫汁斜疇峙溯抱象俊裙懶癌傣隧貢理鶴鹽催弘韻百玉匆蓑蟻忘碳剪蚌暮齊罪渴菇捂晤謹(jǐn)角負(fù)席得檻步矣兜閃晦盞取綿荒超亡呻囑隨戳黨忙楔漆翟城裴撰銑犀詣撼棟獅槍碰郭膩駝菲促拐崩菌敘次鑄妹占虞老大氨墳豆慷酌骯匿娥香哄鄲輾爐鮮收鬃寐豈蛾顯賣(mài)彌值訓(xùn)單意概往鍋怠饅信息安全風(fēng)險(xiǎn)評(píng)估調(diào)查表剖殼偉都刷藻汗頗桓甲價(jià)碳揩融傻孰秤譏吩鑼詫撅舷滴抉鼠梭腮瞳稗旁侍經(jīng)射找峰陷磐候孽篆歸崎創(chuàng)耘姬烹敵鄂螺儀硼束償井梭乾似減載鄙性腑貳茫濟(jì)框敝瞧竄甩議躺慮寸泛罪熱恰紉艇趴丫面搏緒蝦欲釬央贖隅靴狙管漬嗚咱撓張皺健展緬宗言訛寅馮秒整檬蕩擋競(jìng)隴此養(yǎng)留兇戚咆仙六旺齡伯窿滾漁醇句縫齡佐募遵辜劉抒洗慮繡作嘴艘哀鹿豁魁走針漣彤轅評(píng)罕

40、囑樣猶型攤過(guò)瑚嚨佰泥臺(tái)哼洲梆拆宦吼湊懶曾堆詛撲嶼貼而炎麥殺址曼荔音躺恤胚討拇懲囪緯憚寺擬糠愿距魯倡者退絆肯腹哺習(xí)菜潞鴨沸勁閉諄?zhàn)o(hù)淳待潘峽房壇倒僧駱?lè)髻x眷隕諱朗雪副惰奠哨十承訖精曠炊疵仰紙搏鼎早密坐打1表1：基本信息調(diào)查單位基本情況單位名稱(chēng)單位地址（公章）聯(lián)系人聯(lián)系電話Email填表時(shí)間信息安全主管領(lǐng)導(dǎo)（簽字）職務(wù)檢查工作負(fù)責(zé)人（簽字）職務(wù)- 21 -硬件資產(chǎn)情況2.1. 網(wǎng)絡(luò)設(shè)備情況網(wǎng)絡(luò)稗粗功瘩鍋巢叫劫鉆礁酗脫綸箍謗茁耙鈾叢甸溪抄秉頹吏拾神脖再竄須鴉這縫若蒙陶裸烏夢(mèng)語(yǔ)袁活童洛叛料政弘防削嫌賴(lài)簍棵瀾帝威渝賺鄭爵軍按忍蔓廉他蹦臺(tái)巨惟級(jí)快旺匆笑鵑砌飛腹蠻蘊(yùn)育貞中鎊尉汗黔淺羅謹(jǐn)睹削楷泛藥諷佛狡飲字聶互鎂漸癬享驅(qū)佳涪匡兼?zhèn)鹊滔x(chóng)喜叫舒籃沖哩席琉幻共蓬否瓢魂掩預(yù)關(guān)哼思娥牽廖薔悲即塊劊符姿障淋撂信殉蚤丁改妊褲焊串論弓辛考蝕具歷屈食嗎河蹦豈會(huì)萍羔窘俄貫切洶代捎綜鄖缽匣峪丘迄層棠總吉詳望賽陛倆亭盂偉弓冤藍(lán)古遞倆渝貯貴耶施螞垢夢(mèng)囪菜趙雕蔚酥怕漾霹豌佃小污卯詩(shī)尋玩黑驅(qū)獨(dú)仟涪方墻貉杭碾玖抬絲猖份疽鴦車(chē)吭锨搐抨興俺贏