1、安全狀況調查表1. 安全管理機構安全組織體系是否健全，管理職責是否明確，安全管理機構崗位 設置、人員配備是否充分合理。序號檢查項結果備注1.信息安全管理機構 設置口以下發公文方式正式設置了信息安全管理工 作的專門職能機構?？谠O立了信息安全管理工作的職能機構，但還不 是專門的職能機構?？谄渌?.信息安全管理職責 分工情況口信息安全管理的各個方面職責有正式的書面 分工，并明確具體的責任人。有明確的職責分工，但責任人不明確。口其它。3.人員配備口配備一定數量的系統管理人員、網絡管理人 員、安全管理人員等；安全管理人員不能兼任網 絡管理員、系統管理員、數據庫管理員等。口配備一定數量的系統管理人員、網

2、絡管理人 員、安全管理人員等，但安全管理人員兼任網絡 管理員、系統管理員、數據庫管理員等?？谄渌?。4.關鍵Jc王呂理活動 的授權和審批口定義關鍵安全管理活動的列表，并有正式成文 的審批程序，審批活動有完整的記錄。口有正式成文的審批程序，但審批活動沒有完整 的記錄。口其它。5.與外部組織溝通合 作口與外部組織建立溝通合作機制，并形成正式文 件和程序?？谂c外部組織僅進行了溝通合作的口頭承諾?？谄渌?.與組織機構內部溝 通合作口各部門之間建立溝通合作機制，并形成正式文 件和程序 。口各部門之間的溝通合作基于慣例，未形成正式 文件和程序?？谄渌?。2. 安全管理制度安全策略及管理規章制度的完善性、 可

3、行性和科學性的有關規章 制度的制定、發布、修訂及執行情況。檢查項結果備注1信息安全策略口明確信息安全策略，包括總體目標、范圍、原則和 安全框架等內容?？诎ㄏ嚓P文件，但內容覆蓋不全面。口其它2安全管理制度口安全管理制度覆蓋物理、網絡、主機系統、數據、 應用、建設和管理等層面的重要管理內容?？谟邪踩芾碇贫龋蝗??？谄渌?操作規程口應對安全管理人員或操作人員執行的重要管理操作 建立操作規程。口有操作規程，但不全面?？谄渌?。4安全管理制度的論證和審定口組織相關人員進行正式的論證和審定，具備論證或 審定結論?？谄渌?。5安全管理制度 的發布口文件發布具備明確的流程、方式和對象范圍?？诓糠治募?/p>

4、發布不明確。口其它。6安全管理制度 的維護口有正式的文件進行授權專門的部門或人員負責安全 管理制度的制定、保存、銷毀、版本控制，并定期評 審與修訂?？诎踩芾碇贫确稚⒐芾?，缺之定期修訂?？谄渌?。7執行情況口所有操作規程的執行都具備詳細的記錄文檔。邙6分操作規程的執行都具備詳細的記錄文檔?？谄渌?。3. 人員安全管理人員的安全和保密意識教育、安全技能培訓情況，重點、敏感崗 位人員有無特殊管理措施以及對外來人員的管理情況。序號檢查項結果備注1.重點、敏感 崗位人員 錄用和審 查口為與信息安全密切相關的重點、敏感崗位人員制定特殊的 錄用要求。對被錄用人的身份、背景和專業資格進行審查， 對技術人貝的技術

5、技能進行考核，有嚴格的制度規7E要求。口其它。2保密協議的簽署口與從事關鍵崗位的人員簽署保密協議，包括保密范圍、保密責任、違約責任、協議的有效期限和責任人簽字等內容。口其它。3人員離崗口規范人員離崗過程，有具體的離崗控制方法，及時終止離 崗人員的所有訪問權限并取回各種身份證件、 鑰匙、徽章等 以及機構提供的軟硬件設備。口其它。4安全意識 教育口根據崗位要求進行有針對性的信息安全意識培訓?？谖锤鶕徫灰筮M行有針對性的信息安全意識培訓，僅開展全員安全意識教育。口其它。5安全技能 培訓口制定了有針對性的安全技能培訓計劃，培訓內容包含信息安全基礎知識、崗位操作規程等，并認真實施，而且有培訓 記錄。r

6、 口安全技能培訓針對性不強，效果不顯著?？谄渌?。6在崗人員 考核定期對所有人員進行安全技能及安全知識的考核，對重 點、敏感岡位的人貝進行全面、嚴格的安全申查?？趦H對重點、敏感岡位的人貝進仃全面、嚴格的安全申查， 未普及到全員?？谄渌?懲戒措施口 h人員相關的安全責任和懲戒措施，并對違反違背安全 策略和規定的人員進行懲戒。有懲戒措施，但效果不佳。口其它。8外部人員訪問管理口外部人員訪問受控區咐得到授權或審批，批準后由專人 全程陪同或監督，并登記備案。口外部人員訪問受控區咐得到授權或審批，但不能全程陪 同或監督?？谄渌?。4. 系統建設管理關鍵資產采購時是否進行了安全性測評， 對服務機構和人員的保

7、密約束情況如何，在服務提供過程中是否采取了管控措施。 信息系統開發過程中設計、開發和驗收的管理情況序號檢查項結果備注1關鍵資產米購時進行安全性測評3目關專門部門負責產品的米購，產品的選用符合國家的有關規定。 資產采購之前進行選型測試，確定產品的候選范圍，具。品選型測試結果、 候選產品名單審定記錄 或更新的候選廣品名單，經過主管信息安全領導批準?？趯ｉT部門負葉品的米購，產品的選用符合國家的有關規 定?？陉P鍵資產米購未進行安全性測試或未經過主管信息安全 領導批準。2服務機構和人員的選擇口在具有資格的服務機構中進行選擇，通過內部和專家的評選。對服務機構的人員，審查其所具有的資格。口對服務機構的能力進

8、行了詳細的宙查?？诜諜C構和人員的選擇未經過審查和篩選。3保密約束口簽訂的安全責任合同書或保密協議包含服務內容、保密范圍、安全責任、違約責任、協議的有效期限和責任人的簽字 等。定期考察其服務質量和保密情況。口簽訂的安全責任合同書或保密協議明確規定各項內容。但無監督考察機制?？谖春炗喓霞s或簽訂了安全責任合問書或保密協議，但服務氾圍、女全責任等未明確規7E。4服務管控措 施口制定了詳細的服務審核要求和規范。對服務提供過程中的重要操作進行審核，并要求服務機構定期提供服務的情況匯 總。每半年組織內部檢查，審查服務機構的服務質量。r口定期進行檢查。但缺之規范的檢查內容和要求。r 未米用任何呂控指施。5系

9、統安全方案制7E口根據信息系統安全保障要求，書而心日以描述，形成能 指導安全系統建設、安全產品采購和使用的詳細設計方案， 并經過專家論證和審定?？谛纬赡苤笇О踩到y建設、安全產品米購和使用的概要設 計方案，內部相關部門審定?？谌敝w系化的安全方案。6信息系統開 發口根據軟件開發管理制度，各類開發文檔齊全，信息系統均 經過功能、安全測試，并形成測試報告。口開發文檔不全面，僅在內部進行功能測試。口無開發文檔，或外包開發，沒有源代碼或有源代碼但未經 過全面的安全測試。7信息系統建 設實施過程 進度和質里 控制制正詳細的頭施方案， 并經過審正和批準，指7E或授權專 門的部門或人員按照實施方案的要求控制

10、整個過程。制正間要頭施方案，指7E或授權專門的部門或人貝控制整 個過程。口無實施方案或無專人管理實施過程。8.信息系統驗口制定驗收方案，組織相關部門和相關人員對系統測試驗收收報告進行審定，詳細記錄驗收結果，形成驗收報告。重要的信息系統在驗收前，組織專業的第三方測評機構進行測評。口組織了驗收活動，但缺乏專業人員進行全面的驗收測試。口未組織驗收。5. 系統運維管理設備、系統的操作和維護記錄，變更管理，安全事件分析和報告;運行環境與開發環境的分離情況；安全審計、補丁升級管理、安全漏洞檢測、網管、權限管理及密碼管理等情況，重點檢查系統性能的監 控措施及運行狀況序號檢查項結果備注1.環境管理口有機房安全

11、管理制度，并配備機房安全管理人員，對機房 供配電等設施、設備和人員出入機房進行嚴格管理?？谂鋫錂C房安全管理人員，對機房供配電等設施、設備和人 員出入機房進行管理。口其它。2.資產管理口資產清單記錄內容與實際使用的計算機設備及其屬性內 容完全一致。口資產清單內容與實際使用的計算機設備及其屬性內容，在數量上一致，但在部分屬性記錄上有偏差。口其它。3.介質管理口對介質的存放環境、使用、維護和銷毀等方面米取嚴格的 控制措施?？趯橘|的存放環境、使用、維護和銷毀等方面米取了部分 控制措施。口其它。4.設備管理口對信息系統相關的各種設備、線路等指定專門的部門或人 員定期進行維護管理?？趯π畔⑾到y相關的各種

12、設備、線路等指定專門的部門或人 員不定期進行維護管理?？谄渌?。5.生產環境與開發環境的分離口生產環境與開發環境隔離?？谄渌?。6.系統監控口對通信線路、關鍵服務器、網絡設備和應用軟件的運行情 況能夠實時監測，并能及時分析報警日志?？趯νㄐ啪€路、關鍵服務器、網絡設備和應用軟件的運行情 況能夠不定期監測，并能定期分析報警日志。口其它。7.變更管理口系統發生重要變更前， 以書面形式向主管領導申請， 審批 后實施變更，并在實施后向相關人員通告，相關記錄保存完好?？谙到y發生重要變更前，向主管領導申請，審批后實施變更， 并在實施后向相關人員通告。口其它。8.補丁管理P口補丁更新及時，并能在測試環境測試后安裝

13、到運行環境?？诖蟛糠钟嬎銠C設備的補丁更新及時，只有少數由于應用軟件代碼不兼容而導致服務器補丁更新不及時。口其它。9.安全事件 管理口制定安全事件報告和處置管理制度，能及時響應安全事 故，并從安全事故中學習總結。口能及時響應安全事故。口其它。10.風險評估口信息系統投入運行后，應每年至少進行一次關鍵業務或關 鍵風險點的信息安全風險評估， 每三年或信息系統發生重大 變更時，進行一次全面的信息安全風險評估工作?？谛畔⑾到y投入運行后，每兩年進行一次關鍵業務的信息安 全風險評估?？谄渌?。6. 物理安全機房安全管控措施、防災措施、供電和通信系統的保障措施等。序號檢查項結果備注1物理位置選擇。機房和辦公場地

14、所在的 建筑，抗拒人為破壞和 自然災害的能力?？跈C房和辦公場地所在的建筑周邊具備防止 無關人員接近的措施，并且根據當地的自然環 境設置了必要的防震、防火和防水的措施。口機房和辦公場地所在的建筑具備基本的抗 拒人為破壞和自然災害的能力，但防護強度有 待提高?？谄渌?。2機房出入控制情況口設置專人和自動化技術措施，對出入機房的 人員進行全面的鑒別、監控和記錄。匚設置專人或自動化技術措施，對出入機房的 人員進行鑒別，但沒有監控和完整的記錄?？谄渌?。3機房環境。機房配備防火、防水、 防雷、防靜電、溫度濕 度調節等措施，并提供口機房環境保障完全達到相關國家標準的要 求。口少部分機房環境保障措施沒有達到有關

15、標 準要求，但可以在短時間內有效整改。充足穩定的電源，為機房中的 設備提供良好的運行環 境?？谄渌?。4電磁防護。電源線和通信線纜 應隔離鋪設，避免 互相干擾?？诿子媒拥胤绞椒乐雇饨珉姶鸥蓴_和設備寄生耦合干擾；電源線和通信線纜隔離， 避免互相 干擾。口其它。7. 網絡安全安全域劃分、邊界防護、內網防護、外部設備接入控制等情況。網絡和信息系統的體系結構、各類安全保障措施的組合是否合理。序號檢查項結果備注1網絡拓撲結構圖口有正式的文檔化的網絡拓撲結構圖，且完全與實際運行的網絡結構相吻合。口有文檔化的網絡拓撲結構圖，關鍵部分吻合?？谄渌?網絡冗余設計口對關鍵網絡設備進行了冗余設計，以增強網絡的健壯性

16、和可用性。口對部分關鍵網絡設備進行了冗余設計。口其它。3網絡安全域劃分口按照信息資源的重要程度進行了細致的安全 域劃分?？诎凑招畔①Y源的重要程度進行了基本的安全 域劃分?？谄渌?安全域訪1可控制口根據業務需要實施了嚴格的訪問控制措施?？趯嵤┝嗽L1可控制措施，但訪1可控制粒度較粗?？谄渌?網絡準入控制。防止未授權人員接入到網絡中來，以引入 安全風險。口有網絡準入控制措施，且嚴格執行。口己有準入控制措施，但未嚴格執行?？谄渌?。6網絡入侵防范口檢測網絡邊界處的網絡攻擊行為，發生嚴重入侵事件時提供報警，并能及時響應和處理。口檢測網絡邊界處的網絡攻擊行為，并提供報 警?？谄渌?。安全審計。便于安全事件發

17、生后進行溯源追蹤口配備審計設備且進行了良好配置，能夠定期查看和分析審計日志?？谂鋫鋵徲嬙O備且進行了良好配置,但未能定期查看和分析審計日志。口其它。8. 設備和主機安全網絡交換設備、安全設備、主機和終端設備的安全性，操作系統 的安全配置、病毒防護、惡意代碼防范等。1)網絡設備、安全設備和終端設備防護序號檢查項結果備注1.設備用戶身份標識?？诿總€設備的用戶擁有自己唯一的身份標識?？诟鶕脩袈氊熞孕〗M為單位分配身份標識?？谄渌?。2.管理員登錄地址限 制。通過對管理員登錄 地址的限制，降低非 法網絡接入后取得 設備使用權限的可 能?？诠芾韱T只能通過有限的、固定的 IP地址和MAC 地址登錄?？诠芾韱T職

18、能在一個固定的IP地址段登錄?？谄渌?.設備用戶身份鑒別。通過嚴格的口令設 同管理，保障身份 鑒別的準確性。口設備的登錄密碼復雜不易猜測、定期更換且加密 存儲。口設備的登錄密碼復雜不易猜測且加密存儲，但沒 有做到定期更換。口其它。4.登錄失敗處理。米用有效措施，對于 失敗和異常的登錄 活動進行妥善處理米取結束會話、限制非法登錄次數和當網絡登錄 連接超時自動退出等措施?？诿兹〗Y束會話、限制非法登錄次數的措施。口其它。5.管理信息防竊聽。米用有效措施對設 備的管理信息進行 加密口對所有管理通信進行了加密?？趯﹁b別信息的通信進行了加密。口其它。2)操作系統安全序號檢查項結果備注1.身份標識。為操作系

19、統和數 據庫系統用戶建 立身份標識。口所有操作系統和數據庫系統為其所有用戶建立了唯 一的用戶標識?？陉P鍵主機的操作系統和數據庫系統為其所有用戶建 立了唯一的用戶標識，而其它主機和終端的操作系統 和數據庫系統沒有為其所有用戶建立了唯一的用戶標 識?？谄渌?.身份鑒別。通過嚴格的口令 設饋管理，保障 對操作系統和數 據庫系統身份鑒 別的準確性?？谒胁僮飨到y和數據庫系統的登錄密碼復雜不易猜 測、定期更換且加密存儲?？陉P鍵主機的操作系統和數據庫系統登錄密碼復雜不 易猜測、定期更換且加密存儲，而其它主機和終端的 操作系統和數據庫的登錄密碼則不夠嚴格?？谄渌?。3.訪問控制。加強服務器的用 戶權限管理。

20、口所有服務器的操作系統和數據庫系統的特權用戶權 限分離，默認賬戶和口令進行了修改，無用的賬戶已 刪除口關鍵主機的操作系統和數據庫系統機操作系統和數 據庫系統的特權用戶權限分離，默認賬戶和口令進行 了修改，無用的賬戶已刪除；而其它主機和終端沒有 做到。口其它。4.安全審計。為操作系統和數 據庫系統部署有 效的審計措施?？趯徲嫹秶采w重要服務器操作系統和數據庫的所有 用戶的行為、資源使用情況和重要命令的執行，以及 這些活動的時間、主體標識、客體標識以及結果；審 計記錄被妥善保存?？诮⒘酸槍χ匾掌鞑僮飨到y和數據庫的審計措 施，但沒有達到以上所有的要求。無審計措施。5.入侵防范。通過嚴格的安全

21、配置和補丁更新 消除可能被入侵 者利用的安全漏 洞?？诓僮飨到y僅安裝了必要的組件和應用程序，僅開放 了必要的服務，并且及時保持補丁更新以消除嚴重的 安全漏洞。口操作系統僅安裝了必要應用程序，關閉了大多數無 用的端口，刪除了大多數無用的系統組件，進行了部 分補丁更新?？谄渌?.惡意代碼防范。通過防病毒技術 措施，對惡意代碼 進行有效監控口為服務器和終端安裝防惡意代碼軟件，及時更新防 惡意代碼軟件版本和惡意代碼庫；支持防惡意代碼軟 件的統一管理?？跒榉掌骱徒K端安裝防惡意代碼軟件，但防惡意代 碼軟件版本和惡息代俏庫更新不及時；支持防惡息代 碼軟件的統一管理，但少量服務器和終端未覆蓋到?？谄渌?。7

22、.資源控制。對用戶使用操作 系統資源的情況 進行合理的限制。口對重要服務器的操作系統和數據庫系統通過設定終 端接入方式、網絡地址范圍等條件限制終端登錄，并 當操作系統和數據庫系統的服務水平降低到預先規定 的最小值時，能夠監測和報警。口當操作系統和數據庫系統的服務水平降低到預先規 定的最小值時，能夠監測和報警。口其它。9. 應用安全數據庫、WEB網站、日常辦公和業務系統等應用的安全設計、 配置和管理情況；關鍵應用系統開發過程中的質量控制和安全性測試 情況。序號檢查項結果備注1.身份標識和鑒別。采用專用的登錄 控制模塊對登錄 用戶進行身份標 識和鑒別口各個應用系統均米用專用的登錄模塊，提供用戶 身

23、份標識唯一和鑒別信息復雜度檢查功能，提供登 錄失敗處理功能。對關鍵應用系統中的同一用戶采 用兩種或兩種以上組合的鑒別技術實現用戶身份鑒 別。口關鍵系統中采用了身份標識和鑒別，但鑒別信息 復雜度檢查功能不足，弱口令現象存在。對關鍵應 用系統中的問一用戶采用一種鑒別技術實現用戶身 份鑒別?？诟鱾€系統均未采用身份標識與鑒別。2.訪問控制功能口不同帳戶為完成各自承擔任務所需的最小權限， 嚴格限制默認帳戶的訪問權限，特權用戶的權限分 離，權限之間相互制約。訪問控制的粒度到數據級?？诓煌瑤魴嘞薏皇亲钚〉?。訪問控制的粒度到功 能級。訪問控制無限制。3.應用系統安全審 計口應用系統提供審計功能，對用戶的各類

24、操作均進 行細致的審計（例如，用戶標識與鑒別、訪問控制 的所有操作記錄、重要用戶行為、系統資源的異常 使用、重要系統命令的使用等），并定期對應用系統 重要安全事件的審計記錄進行檢查，分析異常情況 產生的原因。口應用系統提供審計功能，但審計不全面，僅記錄 重要的事件和操作。口對用戶的操作不進行審計。4.通信完整性。采用密碼技術保 證通信過程中數 據的完整性?？趯χ匾畔⑾到y中的關鍵數據米用數據完整性校 驗技術。口其它。5.通信保密性。通信過程中的整個報文或會話過程進行加密口應用系統的敏感數據通信過程均米用國家有關部 門要求的密碼技術保證保密性。口應用系統的敏感數據通信時米用密碼技術保證保 密性，

25、但未采用國家有關部門要求的密碼技術?？谖床捎么胧┍Ｗo通信保密性。6.應用系統業務軟 件容錯功能口提供數據有效性檢驗功能，保證輸入的數據格式 和長度符合系統設定要求。重要應用系統提供自動 保護功能，當故障發生時自動保護當前所有狀態， 保證系統能夠進行恢復?？谔峁祿行詸z驗功能，但系統出現問題時不 能自動恢復。口不提供軟件容錯功能。7.應用系統資源控 制能力口對于重要的應用系統，限制單個帳戶的多重并發 會話，當應用系統的服務水平降低到預先設定的最 小值時，系統報警。口對于重要的應用系統，限制單個帳戶的多重并發 會話?？趹孟到y不提供資源控制功能。10. 數據安全數據訪問控制情況，服務器、用戶終

26、端、數據庫等數據加密保護 能力，磁盤、光盤、U盤和移動硬盤等存儲介質管理情況，數據備份與恢復手段等。序號檢查項結果備注1.業務數據完整性口對重要業務數據在傳輸和存儲時米取了必要的 完整性保證措施。口其它。2.業務數據保密性口對重要業務數據在傳輸和存儲時米取了加密措 施?？谄渌?。3.配置數據文件口重要設備的配置數據文件離線存放，統一管理。口重要設備的配置文件離線存放，但無統一管理?？谄渌?。4.敏感文檔管理制度口制定敏感文檔管理制度，專人保管敏感文檔?？谟袑Ｈ吮９苊舾形臋n，但無敏感文檔管理制度?？谄渌?傳輸敏感文檔敏感文檔原則上不得通過互聯網傳輸，確需通過互聯網傳輸時應米取加密措施，并在傳輸完成后及 時刪除?？谄渌?存儲介質的存放安全口應有介質的歸檔和查詢記錄，并對存檔介質的目 錄清單定期盤點。對介質進行分類和標