18/18安全狀況調查表1.安全治理機構

安全組織體系是否健全，治理職責是否明確，安全治理機構崗位設置、人員配備是否充分合理。序號檢查項

結果備注1.信息安全治理機構設置□以下發公文方式正式設置了信息安全治理工作的專門職能機構。

□設立了信息安全治理工作的職能機構，但還不是專門的職能機構。□其它。2.信息安全治理職責分工情況

□信息安全治理的各個方面職責有正式的書面分工，并明確具體的責任人。

□有明確的職責分工，但責任人不明確。□其它。3.人員配備□配備一定數量的系統治理人員、網絡治理人員、安全治理人員等;

安全治理人員不能兼任網絡治理員、系統治理員、數據庫治理員等。

□配備一定數量的系統治理人員、網絡治理人員、安全治理人員等，但安全治理人員兼任網絡治理員、系統治理員、數據庫治理員等。□其它。4.關鍵安全治理活動的授權和審批□定義關鍵安全治理活動的列表，并有正式成文的審批程序，審批活動有完整的記錄。

□有正式成文的審批程序，但審批活動沒有完整的記錄。

□其它。

5.與外部組織溝通合作□與外部組織建立溝通合作機制，并形成正式文件和程序。

□與外部組織僅進行了溝通合作的口頭承諾。□其它。6.與組織機構內部溝通合作□各部門之間建立溝通合作機制，并形成正式文件和程序。

□各部門之間的溝通合作基于慣例，未形成正式文件和程序。

□其它。

2.安全治理制度

安全策略及治理規章制度的完善性、可行性和科學性的有關規章制度的制定、公布、修訂及執行情況。

檢查項結果備注1信息安全策略

□明確信息安全策略，包括總體目標、范圍、原則和安全框架等內容。

□包括相關文件，但內容覆蓋不全面。□其它2安全治理制度□安全治理制度覆蓋物理、網絡、主機系統、數據、應用、建設和治理等層面的重要治理內容。

□有安全治理制度，但不全而面。□其它。3操作規程□應對安全治理人員或操作人員執行的重要治理操作建立操作規程。

□有操作規程，但不全面。□其它。4安全治理制度的論證和審定□組織相關人員進行正式的論證和審定，具備論證或審定結論。

□其它。5安全治理制度的公布

□文件公布具備明確的流程、方式和對象范圍。

□部分文件的公布不明確。□其它。6安全治理制度的維護

□有正式的文件進行授權專門的部門或人員負責安全治理制度的制定、保存、銷毀、版本操縱，并定期評審與修訂。

□安全治理制度分散治理，缺乏定期修訂。□其它。7執行情況

□所有操作規程的執行都具備詳細的記錄文檔。

□部分操作規程的執行都具備詳細的記錄文檔。□其它。

3.人員安全治理

人員的安全和保密意識教育、安全技能培訓情況，重點、敏感崗位人員有無專門治理措施以及對外來人員的治理情況。序號檢查項結果備注1.重點、敏感崗位人員錄用和審查

□為與信息安全緊密相關的重點、敏感崗位人員制定專門的錄用要求。對被錄用人的身份、背景和專業資格進行審查，對技術人員的技術技能進行考核，有嚴格的制度規定要求。

□其它。2保密協議的簽署□與從事關鍵崗位的人員簽署保密協議，包括保密范圍、保密責任、違約責任、協議的有效期限和責任人簽字等內容。

□其它。3人員離崗

□規范人員離崗過程，有具體的離崗操縱方法，及時終止離崗人員的所有訪問權限并取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備。

□其它。4安全意識教育

□依照崗位要求進行有針對性的信息安全意識培訓。

□未依照崗位要求進行有針對性的信息安全意識培訓，僅開展全員安全意識教育。□其它。5安全技能培訓

□制定了有針對性的安全技能培訓打算，培訓內容包含信息安全基礎知識、崗位操作規程等，并認真實施，而且有培訓記錄。

□安全技能培訓針對性不強，效果不顯著。□其它。6在崗人員考核

□定期對所有人員進行安全技能及安全知識的考核，對重點、敏感崗位的人員進行全面、嚴格的安全審查。

□僅對重點、敏感崗位的人員進行全面、嚴格的安全審查，未普及到全員。□其它。7懲戒措施

□告知人員相關的安全責任和懲戒措施，并對違反違背安全策略和規定的人員進行懲戒。

□有懲戒措施，但效果不佳。□其它。8外部人員訪問治理□外部人員訪問受控區域前得到授權或審批，批準后由專人全程陪同或監督，并登記備案。

□外部人員訪問受控區域前得到授權或審批，但不能全程陪同或監督。□其它。

4.系統建設治理

關鍵資產采購時是否進行了安全性測評，對服務機構和人員的保密約束情況如何，在服務提供過程中是否采取了管控措施。信息系統開發過程中設計、開發和驗收的治理情況。序號檢查項結果備注1關鍵資產采購時進行安全性測評

□相關專門部門負責產品的采購，產品的選用符合國家的有關規定。資產采購之前進行選型測試，確定產品的候選范圍，具有產品選型測試結果、候選產品名單審定記錄或更新的候選產品名單，通過主管信息安全領導批準。

□專門部門負責產品的采購，產品的選用符合國家的有關規定。□關鍵資產采購未進行安全性測試或未通過主管信息安全領導批準。2服務機構和人員的選擇□在具有資格的服務機構中進行選擇，通過內部和專家的評選。對服務機構的人員，審查其所具有的資格。

□對服務機構的能力進行了詳細的審查。□服務機構和人員的選擇未通過審查和篩選。3保密約束

□簽訂的安全責任合同書或保密協議包含服務內容、保密范圍、安全責任、違約責任、協議的有效期限和責任人的簽字等。定期考察其服務質量和保密情況。

□簽訂的安全責任合同書或保密協議明確規定各項內容。但無監督考察機制。□未簽訂合約或簽訂了安全責任合同書或保密協議，但服務范圍、安全責任等未明確規定。4服務管控措施

□制定了詳細的服務審核要求和規范。對服務提供過程中的重要操作進行審核，并要求服務機構定期提供服務的情況匯總。每半年組織內部檢查，審查服務機構的服務質量。

□定期進行檢查。但缺乏規范的檢查內容和要求。□未采納任何管控措施。5系統安全方案制定□依照信息系統安全保障要求，書面形式加以描述，形成能指導安全系統建設、安全產品采購和使用的詳細設計方案，并通過專家論證和審定。

□形成能指導安全系統建設、安全產品采購和使用的概要設計方案，內部相關部門審定。□缺乏體系化的安全方案。6信息系統開發

□依照軟件開發治理制度，各類開發文檔齊全，信息系統均通過功能、安全測試，并形成測試報告。

□開發文檔不全面，僅在內部進行功能測試。□無開發文檔，或外包開發，沒有源代碼或有源代碼但未通過全面的安全測試。7信息系統建設實施過程進度和質量操縱

□制定詳細的實施方案，并通過審定和批準，指定或授權專門的部門或人員按照實施方案的要求操縱整個過程。

□制定簡要實施方案，指定或授權專門的部門或人員操縱整個過程。□無實施方案或無專人治理實施過程。8.信息系統驗收□制定驗收方案，組織相關部門和相關人員對系統測試驗收報告進行審定，詳細記錄驗收結果，形成驗收報告。重要的信息系統在驗收前，組織專業的第三方測評機構進行測評。

□組織了驗收活動，但缺乏專業人員進行全面的驗收測試。□未組織驗收。5.系統運維治理

設備、系統的操作和維護記錄，變更治理，安全事件分析和報告；運行環境與開發環境的分離情況；安全審計、補丁升級治理、安全漏洞檢測、網管、權限治理及密碼治理等情況，重點檢查系統性能的監控措施及運行狀況。序號檢查項結果

備注1.環境治理□有機房安全治理制度，并配備機房安全治理人員，對機房供配電等設施、設備和人員出入機房進行嚴格治理。

□配備機房安全治理人員，對機房供配電等設施、設備和人員出入機房進行治理。□其它。2.

資產治理□資產清單記錄內容與實際使用的計算機設備及其屬性內容完全一致。

□資產清單內容與實際使用的計算機設備及其屬性內容，在數量上一致，但在部分屬性記錄上有偏差。□其它。3.介質治理

□對介質的存放環境、使用、維護和銷毀等方面采取嚴格的操縱措施。

□對介質的存放環境、使用、維護和銷毀等方面采取了部分操縱措施。□其它。4.設備治理□對信息系統相關的各種設備、線路等指定專門的部門或人員定期進行維護治理。

□對信息系統相關的各種設備、線路等指定專門的部門或人員不定期進行維護治理。

□其它。5.生產環境與開發環境的分離

□生產環境與開發環境隔離。

□其它。6.系統監控

□對通信線路、關鍵服務器、網絡設備和應用軟件的運行情況能夠實時監測，并能及時分析報警日志。

□對通信線路、關鍵服務器、網絡設備和應用軟件的運行情況能夠不定期監測，并能定期分析報警日志。□其它。7.變更治理□系統發生重要變更前，以書面形式向主管領導申請，審批后實施變更，并在實施后向相關人員通告，相關記錄保存完好。

□系統發生重要變更前，向主管領導申請，審批后實施變更，并在實施后向相關人員通告。□其它。8.

補丁治理□補丁更新及時，并能在測試環境測試后安裝到運行環境。

□大部分計算機設備的補丁更新及時，只有少數由于應用軟件代碼不兼容而導致服務器補丁更新不及時。□其它。9.安全事件治理□制定安全事件報告和處置治理制度，能及時響應安全事故，并從安全事故中學習總結。

□能及時響應安全事故。□其它。10.風險評估□信息系統投入運行后，應每年至少進行一次關鍵業務或關鍵風險點的信息安全風險評估，每三年或信息系統發生重大變更時，進行一次全面的信息安全風險評估工作。

□信息系統投入運行后，每兩年進行一次關鍵業務的信息安全風險評估。□其它。

6.物理安全

機房安全管控措施、防災措施、供電和通信系統的保障措施等。序號檢查項結果備注1物理位置選擇。機房和辦公場地所在的建筑，抗拒人為破壞和自然災難的能力。□機房和辦公場地所在的建筑周邊具備防止無關人員接近的措施，同時依照當地的自然環境設置了必要的防震、防火和防水的措施。

□機房和辦公場地所在的建筑具備差不多的抗拒人為破壞和自然災難的能力，但防護強度有待提高。□其它。2機房出入操盡情況

□設置專人和自動化技術措施，對出入機房的人員進行全面的鑒不、監控和記錄。

□設置專人或自動化技術措施，對出入機房的人員進行鑒不，但沒有監控和完整的記錄。□其它。3機房環境。機房配備防火、防水、防雷、防靜電、溫度濕度調節等措施，并提供充足穩定的電源，為機房中的設備提供良好的運行環境。□機房環境保障完全達到相關國家標準的要求。

□少部分機房環境保障措施沒有達到有關標準要求，但能夠在短時刻內有效整改。□其它。4電磁防護。電源線和通信線纜應隔離鋪設，幸免互相干擾。□采納接地點式防止外界電磁干擾和設備寄生耦合干擾;電源線和通信線纜隔離，幸免互相干擾。

□其它。

7.網絡安全

安全域劃分、邊界防護、內網防護、外部設備接入操縱等情況。網絡和信息系統的體系結構、各類安全保障措施的組合是否合理。序號檢查項結果備注1網絡拓撲結構圖

□有正式的文檔化的網絡拓撲結構圖，且完全與實際運行的網絡結構相吻合。

□有文檔化的網絡拓撲結構圖，關鍵部分吻合。□其它。2網絡冗余設計

□對關鍵網絡設備進行了冗余設計，以增強網絡的健壯性和可用性。

□對部分關鍵網絡設備進行了冗余設計。□其它。3網絡安全域劃分

□按照信息資源的重要程度進行了細致的安全域劃分。

□按照信息資源的重要程度進行了差不多的安全域劃分。□其它。4安全域訪問操縱

□依照業務需要實施了嚴格的訪問操縱措施。

□實施了訪問操縱措施，但訪問操縱粒度較粗。□其它5網絡準入操縱。防止未授權人員接入到網絡中來，以引入安全風險。□有網絡準入操縱措施，且嚴格執行。

□己有準入操縱措施，但未嚴格執行。

□其它。

6網絡入侵防范□檢測網絡邊界處的網絡攻擊行為，發生嚴峻入侵事件時提供報警，并能及時響應和處理。

□檢測網絡邊界處的網絡攻擊行為，并提供報警。□其它。7安全審計。便于安全事件發生后進行溯源追蹤□配備審計設備且進行了良好配置，能夠定期查看和分析審計日志。

□配備審計設備且進行了良好配置，但未能定期查看和分析審計日志。□其它。

8.設備和主機安全

網絡交換設備、安全設備、主機和終端設備的安全性，操作系統的安全配置、病毒防護、惡意代碼防范等。1)

網絡設備、安全設備和終端設備防護序號檢查項結果備注1.

設備用戶身份標識。□每個設備的用戶擁有自己唯一的身份標識。

□依照用戶職責以小組為單位分配身份標識。□其它。2.治理員登錄地址限制。通過對治理員登錄地址的限制，降低非法網絡接入后取得設備使用權限的可能。□治理員只能通過有限的、固定的IP地址和MAC地址登錄。

□治理員職能在一個固定的IP地址段登錄。□其它3.設備用戶身份鑒不。通過嚴格的口令設置和治理，保障身份鑒不的準確性。□設備的登錄密碼復雜不易推測、定期更換且加密存儲。

□設備的登錄密碼復雜不易推測且加密存儲，但沒有做到定期更換。□其它。4.登錄失敗處理。采納有效措施，關于失敗和異常的登錄活動進行妥善處理□采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施。

□采取結束會話、限制非法登錄次數的措施。□其它。5.

治理信息防竊聽。采納有效措施對設備的治理信息進行加密□對所有治理通信進行了加密。

□對鑒不信息的通信進行了加密。□其它。

2）操作系統安全序號檢查項結果備注1.身份標識。為操作系統和數據庫系統用戶建立身份標識。□所有操作系統和數據庫系統為其所有用戶建立了唯一的用戶標識。

□關鍵主機的操作系統和數據庫系統為其所有用戶建立了唯一的用戶標識，而其它主機和終端的操作系統和數據庫系統沒有為其所有用戶建立了唯一的用戶標識。□其它。2.身份鑒不。通過嚴格的口令設置和治理，保障對操作系統和數據庫系統身份鑒不的準確性。□所有操作系統和數據庫系統的登錄密碼復雜不易推測、定期更換且加密存儲。

□關鍵主機的操作系統和數據庫系統登錄密碼復雜不易推測、定期更換且加密存儲，而其它主機和終端的操作系統和數據庫的登錄密碼則不夠嚴格。□其它。3.訪問操縱。加強服務器的用戶權限治理。□所有服務器的操作系統和數據庫系統的特權用戶權限分離，默認賬戶和口令進行了修改，無用的賬戶已刪除

□關鍵主機的操作系統和數據庫系統機操作系統和數據庫系統的特權用戶權限分離，默認賬戶和口令進行了修改，無用的賬戶已刪除；而其它主機和終端沒有做到。□其它。4.安全審計。為操作系統和數據庫系統部署有效的審計措施。□審計范圍覆蓋重要服務器操作系統和數據庫的所有用戶的行為、資源使用情況和重要命令的執行，以及這些活動的時刻、主體標識、客體標識以及結果；審計記錄被妥善保存。

□建立了針對重要服務器操作系統和數據庫的審計措施，但沒有達到以上所有的要求。□無審計措施。5.入侵防范。通過嚴格的安全配置和補丁更新消除可能被入侵者利用的安全漏洞。□操作系統僅安裝了必要的組件和應用程序，僅開放了必要的服務，同時及時保持補丁更新以消除嚴峻的安全漏洞。

□操作系統僅安裝了必要應用程序，關閉了大多數無用的端口，刪除了大多數無用的系統組件，進行了部分補丁更新。□其它。6.惡意代碼防范。通過防病毒技術措施，對惡意代碼進行有效監控□為服務器和終端安裝防惡意代碼軟件，及時更新防惡意代碼軟件版本和惡意代碼庫；支持防惡意代碼軟件的統一治理。

□為服務器和終端安裝防惡意代碼軟件，但防惡意代碼軟件版本和惡意代碼庫更新不及時；支持防惡意代碼軟件的統一治理，但少量服務器和終端未覆蓋到。□其它。7.資源操縱。對用戶使用操作系統資源的情況進行合理的限制。□對重要服務器的操作系統和數據庫系統通過設定終端接入方式、網絡地址范圍等條件限制終端登錄，并當操作系統和數據庫系統的服務水平降低到預先規定的最小值時，能夠監測和報警。

□當操作系統和數據庫系統的服務水平降低到預先規定的最小值時，能夠監測和報警。□其它。

9.應用安全

數據庫、WEB網站、日常辦公和業務系統等應用的安全設計、配置和治理情況；關鍵應用系統開發過程中的質量操縱和安全性測試情況。序號檢查項結果備注1.身份標識和鑒不。采納專用的登錄操縱模塊對登錄用戶進行身份標識和鑒不□各個應用系統均采納專用的登錄模塊，提供用戶身份標識唯一和鑒不信息復雜度檢查功能，提供登錄失敗處理功能。對關鍵應用系統中的同一用戶采納兩種或兩種以上組合的鑒不技術實現用戶身份鑒不。

□關鍵系統中采納了身份標識和鑒不，但鑒不信息復雜度檢查功能不足，弱口令現象存在。對關鍵應用系統中的同一用戶采納一種鑒不技術實現用戶身份鑒不。□各個系統均未采納身份標識與鑒不。2.

訪問操縱功能□不同帳戶為完成各自承擔任務所需的最小權限，嚴格限制默認帳戶的訪問權限，特權用戶的權限分離，權限之間相互制約。訪問操縱的粒度到數據級。

□不同帳戶權限不是最小的。訪問操縱的粒度到功能級。□訪問操縱無限制。3.

應用系統安全審計□應用系統提供審計功能，對用戶的各類操作均進行細致的審計（例如，用戶標識與鑒不、訪問操縱的所有操作記錄、重要用戶行為、系統資源的異常使用、重要系統命令的使用等），并定期對應用系統重要安全事件的審計記錄進行檢查，分析異常情況產生的緣故。

□應用系統提供審計功能，但審計不全面，僅記錄重要的事件和操作。□對用戶的操作不進行審計。4.通信完整性。

采納密碼技術保證通信過程中數據的完整性。□對重要信息系統中的關鍵數據采納數據完整性校驗技術。

□其它。5.通信保密性。通信過程中的整個報文或會話過程進行加密□應用系統的敏感數據通信過程均采納國家有關部門要求的密碼技術保證保密性。

□應用系統的敏感數據通信時采納密碼技術保證保密性，但未采納國家有關部門要求的密碼技術。□未采納措施愛護通信保密性。6.應用系統業務軟件容錯功能□提供數據有效性檢驗功能，保證輸入的數據格式和長度符合系統設定要求。重要應用系統提供自動愛護功能，當故障發生時自動愛護當前所有狀態，保證系統能夠進行恢復。

□提供數據有效性檢驗功能，但系統出現問題時不能自動恢復。□不提供軟件容錯功能。7.

應用系統資源操縱能力□關于重要的應用系統，限制單個帳戶的多重并發會話，當應用系統的服務水平降低到預先設定的最小值時，系統報警。

□關于重要的應用系統，限制單個帳戶的多重并發會話。□應用系統不提供資源操縱功能。

10.數據安全

數據訪問操盡情況，服務器、用戶終端、數據庫等數據加密愛護能力，磁盤、光盤、U盤和移動硬盤等存儲介質治理情況，數據備份與恢復手段等。序號檢查項結果備注1.業務數據完整性

□對重要業務數據在傳輸和存儲時采取了必要的完整性保證措施。

□其它。2.業務數據保密性□對重要業務數據在傳輸和存儲時采取了加密措施。

□其它。3.配置數據文件□重要設備的配置數據文件離線存放，統一治理。

□重要設備的配置文件離線存放，但無統一治理。□其它。4.敏感文檔治理制度□制定敏感文檔治理制度，專人保管敏感文檔。

□有專人保管敏感文檔，但無敏感文檔治理制度。□其它。5傳輸敏感文檔□敏感文檔原則上不得通過互聯網傳輸，確需通過互聯網傳輸時應采取加密措施，并在傳輸完成后及時刪除。

□其它。6存儲介質的存放安全

□應有介質的歸檔和查詢記錄，并對存檔介質的目錄清單定期盤點。對介質進行分類和標