企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)則

1、企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)則 PAGE 5目 錄前言3資產(chǎn)評(píng)估4資產(chǎn)識(shí)別4資產(chǎn)賦值5威脅評(píng)估8脆弱性評(píng)估12信息安全管理評(píng)估13安全方針13信息安全公司機(jī)構(gòu)15人員安全管理16信息安全制度文件管理17信息化建設(shè)中的安全管理19信息安全等級(jí)保護(hù)22信息安全評(píng)估管理23信息安全的宣傳與培訓(xùn)23信息安全監(jiān)督與考核24符合性管理25信息安全運(yùn)行維護(hù)評(píng)估26信息系統(tǒng)運(yùn)行管理26資產(chǎn)分類管理28配置與變更管理28業(yè)務(wù)連續(xù)性管理30物理環(huán)境安全31設(shè)備與介質(zhì)安全33信息安全技術(shù)評(píng)估35網(wǎng)絡(luò)安全35操作系統(tǒng)安全39數(shù)據(jù)庫安全45通用服務(wù)安全51應(yīng)用系統(tǒng)安全54安全設(shè)備56前言為了規(guī)范、深化國家電網(wǎng)公司信息安全

2、風(fēng)險(xiǎn)評(píng)估工作，依據(jù)國家電網(wǎng)公司信息安全風(fēng)險(xiǎn)評(píng)估管理暫行辦法、國家電網(wǎng)公司信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南（以下簡稱實(shí)施指南），制定國家電網(wǎng)公司信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)則（以下簡稱細(xì)則）。本細(xì)則是公司統(tǒng)一的一體化企業(yè)級(jí)信息系統(tǒng)開展信息安全風(fēng)險(xiǎn)評(píng)估工作的主要依據(jù)， 各單位在相關(guān)的信息安全檢查、評(píng)價(jià)工作中也可參考本細(xì)則的內(nèi)容。本細(xì)則結(jié)合公司當(dāng)前信息化工作重點(diǎn)，針對(duì)實(shí)施指南中信息資產(chǎn)評(píng)估、威脅評(píng)估、脆弱性評(píng)估提出了具體的評(píng)估內(nèi)容。其中，資產(chǎn)評(píng)估內(nèi)容主要針對(duì)公司一體化企業(yè)級(jí)信息系統(tǒng)展開；威脅評(píng)估包含非人為威脅和人為威脅等因素；脆弱性評(píng)估內(nèi)容分為信息安全管理評(píng)估、信息安全運(yùn)行維護(hù)評(píng)估、信息安全技術(shù)評(píng)估三部分。公司統(tǒng)

3、一公司的評(píng)估工作應(yīng)在本細(xì)則的基礎(chǔ)上，結(jié)合實(shí)施指南提出更詳細(xì)的實(shí)施方案，并采用專業(yè)的評(píng)估工具對(duì)信息系統(tǒng)進(jìn)行全面的評(píng)估和深層的統(tǒng)計(jì)分析，并進(jìn)行風(fēng)險(xiǎn)計(jì)算，確保全面掌握信息系統(tǒng)的安全問題，并提供解決問題的安全建議。本細(xì)則將隨公司信息安全管理、技術(shù)、運(yùn)維情況的發(fā)展而滾動(dòng)修訂與完善。本細(xì)則由國家電網(wǎng)公司信息工作辦公室組織制定、發(fā)布并負(fù)責(zé)解釋。資產(chǎn)評(píng)估資產(chǎn)評(píng)估是確定資產(chǎn)的信息安全屬性（機(jī)密性、完整性、可用性等）受到破壞而對(duì)信息系統(tǒng)造成影響的過程。在風(fēng)險(xiǎn)評(píng)估中，資產(chǎn)評(píng)估包含信息資產(chǎn)識(shí)別、資產(chǎn)賦值等內(nèi)容。資產(chǎn)識(shí)別資產(chǎn)識(shí)別主要針對(duì)提供特定業(yè)務(wù)服務(wù)能力的應(yīng)用系統(tǒng)展開，例如：網(wǎng)絡(luò)系統(tǒng)提供基礎(chǔ)網(wǎng)絡(luò)服務(wù)、OA 系統(tǒng)提供辦

4、公自動(dòng)化服務(wù)。通常一個(gè)應(yīng)用系統(tǒng)都可劃分為數(shù)據(jù)存儲(chǔ)、業(yè)務(wù)處理、業(yè)務(wù)服務(wù)提供和客戶端四個(gè)功能部分，這四個(gè)部分在信息系統(tǒng)的實(shí)例中都顯現(xiàn)為獨(dú)立的資產(chǎn)實(shí)體，例如：典型的 OA 系統(tǒng)可分為客戶端、Web 服務(wù)器、Domino 服務(wù)器、DB2 數(shù)據(jù)庫服務(wù)器四部分資產(chǎn)實(shí)體。應(yīng)用系統(tǒng)的功能模塊（或子系統(tǒng)），可參照下表進(jìn)行分解：應(yīng)用系統(tǒng)分解表類別說明數(shù)據(jù)存儲(chǔ)應(yīng)用系統(tǒng)中負(fù)責(zé)數(shù)據(jù)存儲(chǔ)的子系統(tǒng)或功能模塊。如數(shù)據(jù)庫服務(wù)器業(yè)務(wù)處理應(yīng)用系統(tǒng)中負(fù)責(zé)進(jìn)行數(shù)據(jù)處理運(yùn)算的子系統(tǒng)或模塊，如應(yīng)用服務(wù)器、通信前置機(jī)服務(wù)提供應(yīng)用系統(tǒng)中負(fù)責(zé)對(duì)用戶提供服務(wù)的子系統(tǒng)或模塊，如 web 服務(wù)器客戶端由用戶或客戶直接使用、操縱的模塊，包括：工作站、客

5、戶機(jī)等，如應(yīng)用客戶端、web 瀏覽器*注：以上的子系統(tǒng)(功能模塊)分類可能存在于一臺(tái)主機(jī)上，也可能分布在多臺(tái)主機(jī)上，對(duì)應(yīng)用系統(tǒng)的分解不需要特別注明子系統(tǒng)的分布情況，只需詳細(xì)說明功能作用和構(gòu)成。對(duì)于不具有多層結(jié)構(gòu)的系統(tǒng)，可根據(jù)實(shí)際情況進(jìn)行簡化分解，例如：僅分解為服務(wù)器端與客戶端。典型的應(yīng)用系統(tǒng)分解結(jié)構(gòu)圖如下：分解應(yīng)用系統(tǒng)業(yè)務(wù)處理模塊數(shù)據(jù)存儲(chǔ)模塊客戶端服務(wù)提供模塊：代表數(shù)據(jù)傳輸本細(xì)則中對(duì)公司“SG186”工程應(yīng)用系統(tǒng)按照上表進(jìn)行信息資產(chǎn)的分解與識(shí)別，并在資產(chǎn)賦值部分按照這一分解進(jìn)行賦值。資產(chǎn)賦值根據(jù)實(shí)施指南的定義，資產(chǎn)評(píng)估中對(duì)資產(chǎn)的賦值最終結(jié)果是對(duì)識(shí)別出的獨(dú)立資產(chǎn)實(shí)體的賦值。每項(xiàng)資產(chǎn)都要進(jìn)行機(jī)密性

6、要求、完整性要求、可用性要求的賦值，賦值定義為： 安全性要求很高5、安全性要求高4、安全性要求中等3、安全性要求低2、安全性要求很低1。結(jié)合資產(chǎn)識(shí)別的情況，對(duì)公司“SG186”工程應(yīng)用系統(tǒng)的各部分進(jìn)行賦值，結(jié)果見下表。 PAGE 7業(yè)務(wù)系統(tǒng)系統(tǒng)安全等級(jí)客戶端服務(wù)提供業(yè)務(wù)處理數(shù)據(jù)存儲(chǔ)管理員普通用戶CIACIACIACIACIA一體化平臺(tái)企業(yè)信息門戶2422311224113數(shù)據(jù)中心2422233233444數(shù)據(jù)交換平臺(tái)2311134123目錄與單點(diǎn)登錄系統(tǒng)2411334223444信息網(wǎng)絡(luò)2313144財(cái)務(wù)（資金） 管理財(cái)務(wù)管理系統(tǒng)12544433355242353資金管理系統(tǒng)125444333

7、55242353營銷管理營銷管理信息系統(tǒng)2533422355242353客戶繳費(fèi)系統(tǒng)231121122412425395598 客戶服務(wù)管理系統(tǒng)2312211113113232電能信息實(shí)時(shí)采集與監(jiān)控系統(tǒng)1311211131131131市場(chǎng)管理系統(tǒng)1311211131131131客戶關(guān)系系統(tǒng)1311211131131131需求側(cè)管理系統(tǒng)2322211344244344輔助決策系統(tǒng)1311211132132132安全生產(chǎn)管理調(diào)度管理信息系統(tǒng)2322211133133133生產(chǎn)管理信息系統(tǒng)2322211133133133地理信息系統(tǒng)2322211133133133安全監(jiān)督管理信息系統(tǒng)13112111

8、31131131電力市場(chǎng)交易系統(tǒng)2422322244244244協(xié)同辦公協(xié)同辦公2424323434323434人力資源管人力資源管理系統(tǒng)1322211131131331業(yè)務(wù)系統(tǒng)系統(tǒng)安全等級(jí)客戶端服務(wù)提供業(yè)務(wù)處理數(shù)據(jù)存儲(chǔ)管理員普通用戶CIACIACIACIACIA理物資管理物資管理系統(tǒng)1311211131131131招投標(biāo)系統(tǒng)1431321331331331項(xiàng)目管理項(xiàng)目管理系統(tǒng)1311211131131131綜合管理規(guī)劃計(jì)劃管理系統(tǒng)1311211131131131審計(jì)管理系統(tǒng)1311211331331331金融信息管理系統(tǒng)1311211131131131法律事務(wù)管理系統(tǒng)131121133133

9、1331國際合作業(yè)務(wù)應(yīng)用系統(tǒng)1311211331331331紀(jì)檢監(jiān)察管理系統(tǒng)1311211131131131ERP 系統(tǒng)ERP 系統(tǒng)2433322344344344說明：（1）C 代表機(jī)密性賦值、I 代表完整性賦值、A 代表可用性賦值；（2）系統(tǒng)安全等級(jí)來源于國家電網(wǎng)公司信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南，作為業(yè)務(wù)系統(tǒng)資產(chǎn)權(quán)值與每項(xiàng)賦值相乘后參與風(fēng)險(xiǎn)計(jì)算過程；（3）對(duì)各單位不包括在“SG186”工程中的應(yīng)用系統(tǒng)，系統(tǒng)安全等級(jí)按照國家電網(wǎng)公司信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南定義方法計(jì)算出來， 資產(chǎn)賦值按照實(shí)施指南定義的方法進(jìn)行識(shí)別和賦值，同時(shí)可參考上表的賦值結(jié)果。威脅評(píng)估在信息安全風(fēng)險(xiǎn)評(píng)估中，威脅評(píng)估分為

10、威脅識(shí)別和威脅賦值兩部分內(nèi)容。威脅識(shí)別通常依據(jù)威脅列表對(duì)歷史事件進(jìn)行分析和判斷獲得。由于信息系統(tǒng)運(yùn)行環(huán)境千差萬別，威脅可能性賦值無法給出統(tǒng)一定義，例如：海邊城市受到臺(tái)風(fēng)威脅的可能性較大。本細(xì)則中僅給出威脅對(duì)信息資產(chǎn)機(jī)密性、完整性和可用性破壞的嚴(yán)重程度賦值。賦值定義為：破壞嚴(yán)重程度很大5、破壞嚴(yán)重程度大4、破壞嚴(yán)重程度中等3、破壞嚴(yán)重程度小2、破壞嚴(yán)重程度很小1。在評(píng)估實(shí)施時(shí)需要依據(jù)實(shí)施指南定義的方法，結(jié)合實(shí)際情況對(duì)威脅可能性進(jìn)行判斷。下表是常見的威脅列表。8 PAGE 9威脅分類威脅名稱說明威脅可能性嚴(yán)重程度CIA非人為威脅火山爆發(fā)由火山爆發(fā)引起的系統(tǒng)故障N/A55颶風(fēng)由颶風(fēng)引起的系統(tǒng)故障N/

11、A45地震由地震引起的系統(tǒng)故障N/A45人員喪失由疾病、道路故障、暴動(dòng)等原因?qū)е氯藛T無法正常工作引起的系統(tǒng)無法使用故障N/AN/A3硬件故障系統(tǒng)由于硬件設(shè)備老舊、損壞等造成的無法使用問題N/A45雷電由雷電引起的系統(tǒng)故障N/A55火災(zāi)由火災(zāi)引起的系統(tǒng)故障,包括在火災(zāi)發(fā)生后進(jìn)行消防工作中引起的設(shè)備不可用問題N/A45水災(zāi)由水災(zāi)引起的系統(tǒng)故障N/A45雪崩由雪崩引起的問題N/A24溫度異常由溫度超標(biāo)引起的故障N/A44濕度異常由濕度超標(biāo)引起的故障N/A33灰塵、塵土由灰塵超標(biāo)引起的故障N/A33強(qiáng)磁場(chǎng)干擾由磁場(chǎng)干擾引起的故障N/A33電力故障由于電力中斷、用電波動(dòng)、供電設(shè)備損壞導(dǎo)致系統(tǒng)停止運(yùn)行等導(dǎo)

12、致的系統(tǒng)故障N/A44系統(tǒng)軟件故障由系統(tǒng)軟件問題所產(chǎn)生的故障344應(yīng)用軟件故障由應(yīng)用軟件問題所產(chǎn)生的故障445軟件缺陷軟件缺陷導(dǎo)致的安全問題444通信故障由通信故障所產(chǎn)生的問題N/A24DNS 失敗由 DNS 失敗導(dǎo)致的問題114人為威脅由誤操作傳輸錯(cuò)誤的或不應(yīng)傳送的數(shù)據(jù)個(gè)人失誤導(dǎo)致的安全問題431關(guān)鍵員工的離職由于關(guān)鍵員工的離職造成系統(tǒng)的安全問題N/AN/A4離開時(shí)未鎖門由于離開時(shí)未鎖門造成系統(tǒng)的安全問題431 PAGE 11威脅分類威脅名稱說明威脅可能性嚴(yán)重程度CIA離開時(shí)屏保未鎖定由于離開時(shí)屏保未鎖定造成的安全問題411在不恰當(dāng)?shù)娜藛T中討論敏感文檔由于在不恰當(dāng)?shù)娜藛T中討論敏感文檔造成的安

13、全問題5N/AN/A不恰當(dāng)?shù)呐渲煤筒僮鞑磺‘?dāng)?shù)墓芾硐到y(tǒng)、數(shù)據(jù)庫、無意的數(shù)據(jù)操作，導(dǎo)致安全問題344拒絕服務(wù)攻擊攻擊者以一種或者多種損害信息資源訪問或使用能力的方式消耗信息系統(tǒng)資源N/A35由于設(shè)備（如筆記本）丟失導(dǎo)致泄密等安全問題444過時(shí)的規(guī)定由于采用過時(shí)的規(guī)定所造成的安全問題443不遵守安全策略導(dǎo)致各種可能的安全威脅444不恰當(dāng)?shù)氖褂迷O(shè)備、系統(tǒng)與軟件不當(dāng)?shù)氖褂迷O(shè)備、系統(tǒng)與軟件造成的安全威脅N/A44惡意破壞系統(tǒng)設(shè)施對(duì)系統(tǒng)設(shè)備、存儲(chǔ)介質(zhì)等資產(chǎn)進(jìn)行惡意破壞N/A45濫用由于某授權(quán)的用戶（有意或無意的）執(zhí)行了授權(quán)他人要執(zhí)行的舉動(dòng)、可能會(huì)發(fā)生檢測(cè)不到的信息資產(chǎn)損害543設(shè)備或軟件被控制或破壞惡意的

14、控制或破壞設(shè)備造成的安全威脅54N/A遠(yuǎn)程維護(hù)端口被非授權(quán)的使用惡意的使用遠(yuǎn)程維護(hù)端口，控制主機(jī)444數(shù)據(jù)傳輸或電話被監(jiān)聽惡意截獲傳輸數(shù)據(jù)4N/AN/A辦公地點(diǎn)被非授權(quán)的控制惡意監(jiān)控辦公地點(diǎn)、重要地帶，獲取重要信息544偵察通過系統(tǒng)開放的服務(wù)進(jìn)行信息收集，獲取系統(tǒng)的相關(guān)信息，包括系統(tǒng)的軟件、硬件和用戶情況等信息44N/A口令的暴力攻擊惡意的暴力嘗試口令533威脅分類威脅名稱說明威脅可能性嚴(yán)重程度CIA各類軟件后門或后門軟件軟件預(yù)留的后門或其他專門的后門軟件帶來的信息泄露威脅432偷竊移動(dòng)設(shè)備帶有機(jī)密信息的移動(dòng)設(shè)備被竊取5N/A3惡意軟件計(jì)算機(jī)病毒、蠕蟲帶來的安全問題354偽裝標(biāo)識(shí)的仿冒等信息安

15、全問題44N/A分析信息流分析信息流帶來的信息安全問題4N/AN/A非法閱讀機(jī)密信息非授權(quán)的從辦公環(huán)境中取得可獲得的機(jī)密信息或復(fù)制數(shù)據(jù)5N/AN/A社會(huì)工程學(xué)攻擊通過 email、msn、電話號(hào)碼、交談等欺騙或其他方式取得內(nèi)部人員的信任，進(jìn)而取得機(jī)密信息5N/AN/A未經(jīng)授權(quán)將設(shè)備連接到網(wǎng)絡(luò)未經(jīng)授權(quán)對(duì)外開放內(nèi)部網(wǎng)絡(luò)或設(shè)備453密碼猜測(cè)攻擊對(duì)系統(tǒng)賬號(hào)和口令進(jìn)行猜測(cè)，導(dǎo)致系統(tǒng)中的敏感信息泄漏531偽造證書惡意的偽造證書，進(jìn)而取得機(jī)密信息551遠(yuǎn)程溢出攻擊攻擊者利用系統(tǒng)調(diào)用中不合理的內(nèi)存分配執(zhí)行了非法的系統(tǒng)操作，從而獲取了某些系統(tǒng)特權(quán)，進(jìn)而威脅到系統(tǒng)安全性553權(quán)限提升通過非法手段獲得系統(tǒng)更高的權(quán)限

16、，進(jìn)而威脅到系統(tǒng)安全性553遠(yuǎn)程文件訪問對(duì)服務(wù)器上的數(shù)據(jù)進(jìn)行遠(yuǎn)程文件訪問,導(dǎo)致敏感數(shù)據(jù)泄漏532法律糾紛由企業(yè)或信息系統(tǒng)行為導(dǎo)致的法律糾紛造成信譽(yù)和資產(chǎn)損失333不能或錯(cuò)誤地響應(yīng)和恢復(fù)系統(tǒng)無法或錯(cuò)誤地響應(yīng)和恢復(fù)導(dǎo)致故障和損失334流量過載由于網(wǎng)絡(luò)中通信流量過大導(dǎo)致的網(wǎng)絡(luò)無法訪問N/A35說明：C 代表對(duì)機(jī)密性的破壞程度、I 代表對(duì)完整性的破壞程度、A 代表對(duì)可用性的破壞程度，N/A 表示對(duì)此項(xiàng)安全屬性無破壞或無意義。脆弱性評(píng)估脆弱性評(píng)估包括管理、運(yùn)維和技術(shù)三方面內(nèi)容。脆弱性評(píng)估過程是對(duì)信息系統(tǒng)中存在的可被威脅利用的管理和運(yùn)維缺陷、技術(shù)漏洞分析與發(fā)現(xiàn)，并確定脆弱性被利用威脅的難易程度（賦值）的過

17、程。在本實(shí)施細(xì)則中，列出了信息安全管理、運(yùn)維和技術(shù)三方面的檢查點(diǎn)，這些檢查點(diǎn)都是對(duì)信息安全防護(hù)工作的具體要求，如果信息系統(tǒng)的管理、運(yùn)維和技術(shù)條件不滿足這些點(diǎn)的檢查要求，則視為一個(gè)缺陷或漏洞。脆弱性檢查表中標(biāo)記了每個(gè)檢查點(diǎn)對(duì)機(jī)密性（C）、完整性（I）、可用性（A）是否有影響存（表示有影響）。檢查表結(jié)果參與實(shí)施指南中定義的風(fēng)險(xiǎn)計(jì)算和分析，以每一檢查點(diǎn)的實(shí)際得分情況和該檢查點(diǎn)的標(biāo)準(zhǔn)分值的比率來確定賦值，并由公司內(nèi)專業(yè)技術(shù)支撐隊(duì)伍進(jìn)行計(jì)算，方法如下：首先，按（1實(shí)際得分/標(biāo)準(zhǔn)分值）%，算出該檢查點(diǎn)的不滿足程度； 然后按下表對(duì)應(yīng)賦值：標(biāo)識(shí)等級(jí)（1實(shí)際得分/標(biāo)準(zhǔn)分值）%很高5大于等于 80%高4大于等于

18、60%，但小于 80%中3大于等于 40%，但小于 60%低2大于等于 20%，但小于 40%很低1小于 20%舉例說明：某檢查點(diǎn)標(biāo)準(zhǔn)分值 10 分，實(shí)際得分 8 分，則脆弱性賦值：首先取(18/10)%20%，然后按照上表對(duì)應(yīng)，賦值結(jié)果為 2“低”。12 PAGE 19信息安全管理評(píng)估（總計(jì)：1200 分）安全方針（小計(jì)：130 分）檢查項(xiàng)目檢查內(nèi)容標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA信息安全方針文件滿足國家、公司政策要求和本單位信息安全需求的獨(dú)立信息安全方針文件20檢查是否有獨(dú)立的信息安全方針文件，或者有包含信息安全方針內(nèi)容的綱領(lǐng)性文件(沒有則該項(xiàng)不得分)信息安全方針文件中對(duì)信息安檢查方針文件是

19、否對(duì)信息安全整體目標(biāo)進(jìn)行了闡述(不符合扣 10 分)檢查方針文件是否對(duì)信息安全工作涉及的內(nèi)容范圍進(jìn)行了明確界定(不符合扣 6 分)檢查方針文件是否對(duì)信息安全相關(guān)工作的協(xié)調(diào)和配合提出了要求(不符合扣 4 分)全整體目標(biāo)和信息安全工作范20圍的定義信息安全方針文件內(nèi)容對(duì)國家檢查方針文件是否提出了以下要求相關(guān)內(nèi)容：信息安全等級(jí)保護(hù)制度要求的落實(shí)情況、對(duì)信息系統(tǒng)重要性的10提出滿足信息安全等級(jí)保護(hù)制度的要求(不符合扣 4 分)對(duì)信息系統(tǒng)進(jìn)行了明確等級(jí)劃分(不符合扣 4 分)定義3)提出了分等級(jí)保護(hù)的工作要求(不符合扣 2 分)檢查方針文件是否符合：信息安全方針文件內(nèi)容對(duì)公司信息安全工作目標(biāo)、原則的貫徹

20、20信息安全納入安全生產(chǎn)范疇的要求(不符合扣 8 分)公司信息安全三同步原則(不符合扣 8 分)3)主要業(yè)務(wù)系統(tǒng)的安全目標(biāo)要求(不符合扣 4 分)信息安全方針對(duì)信息安全工作主要內(nèi)容的闡述10檢查方針文件：是否列出了信息安全工作內(nèi)容(不符合扣 8 分)工作內(nèi)容是否符合國家、公司的要求(不符合扣 2 分)信息安全方針文件應(yīng)經(jīng)過單位最高層領(lǐng)導(dǎo)的審批，在單位內(nèi)部進(jìn)行討論和宣貫10檢查獨(dú)立的信息安全方針文件，或者包含信息安全方針內(nèi)容的綱領(lǐng)性文件：是否經(jīng)過本單位最高層領(lǐng)導(dǎo)的審批。(不符合扣 4 分)制定過程是否廣泛征求了各相關(guān)業(yè)務(wù)部門的意見（檢檢查項(xiàng)目檢查內(nèi)容標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA查征求意見相關(guān)記

21、錄）(不符合扣 4 分)發(fā)布后是否進(jìn)行了內(nèi)部宣傳和學(xué)習(xí)。(不符合扣 2 分)信息安全方針文件中對(duì)信息安全檢查信息安全方針文件或包含相關(guān)內(nèi)容的文件中是否提出了方針落實(shí)情況進(jìn)行考核、評(píng)價(jià)的10考核或評(píng)價(jià)的要求、方法和內(nèi)容。(無考核、評(píng)價(jià)要求扣 10 分，要求有考核要求無具體內(nèi)容扣 4 分)檢查是否在涉及具體管理細(xì)節(jié)的內(nèi)容點(diǎn)列出了相應(yīng)的支持性信息安全方針文件中對(duì)各關(guān)鍵內(nèi)容的支持性管理制度要求10管理制度文件名稱，例如：內(nèi)部用戶不得訪問外部非法網(wǎng)站時(shí)列出了內(nèi)網(wǎng)用戶行為管理辦法(有明顯制度文件缺失的點(diǎn)，每點(diǎn)扣 2 分，扣完為止)信息安全方針文件對(duì)自身的保密要求10檢查方針文件是否規(guī)定了本身的傳播范圍(沒

22、有規(guī)定范圍扣 8 分)檢查傳播范圍是否合理(不合理扣 2 分)信息安全方針文件中對(duì)進(jìn)行修訂和審核的周期以及負(fù)責(zé)審核部門的要求10檢查是否定義了審核周期(不符合扣 6 分)檢查是否明確了負(fù)責(zé)審核的部門(不符合扣 4 分)信息安全公司機(jī)構(gòu)（小計(jì)：100 分）檢查項(xiàng)目檢查內(nèi)容標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA公司機(jī)構(gòu)信息化領(lǐng)導(dǎo)小組應(yīng)承擔(dān)信息安全領(lǐng)導(dǎo)職責(zé)，或者成立了包括高層領(lǐng)導(dǎo)的信息安全領(lǐng)導(dǎo)小組30檢查是否有機(jī)構(gòu)成立的相關(guān)文件(不符合扣 30)信息安全第一責(zé)任人應(yīng)為單位高層領(lǐng)導(dǎo)10檢查本單位是否自行制定了文件 (不符合本條扣 10 分)或者直接沿用上級(jí)單位下發(fā)的文件(僅符合本條得 4 分)成立跨部門的信息

23、安全工作協(xié)調(diào)機(jī)構(gòu)來協(xié)調(diào)整體信息安全工作20檢查是否有機(jī)構(gòu)成立的相關(guān)正式文件。(不符合扣 20 分)信息安全領(lǐng)導(dǎo)機(jī)構(gòu)和信息安全工作協(xié)調(diào)機(jī)構(gòu)的職責(zé)10檢查是否有領(lǐng)導(dǎo)機(jī)構(gòu)職責(zé)定義文件(不符合扣 6 分)檢查是否有工作協(xié)調(diào)機(jī)構(gòu)職責(zé)定義文件(不符合扣 4 分)專業(yè)信息管理部門應(yīng)獲得高層授權(quán)開展日常的信息安全相關(guān)審核、審批工作10檢查信息管理部門是否有信息安全相關(guān)審核、審批權(quán)力(不符合扣 6 分)檢查是否有相關(guān)審核、審批記錄(不符合扣 4 分)應(yīng)設(shè)置信息安全管理崗位，有專人負(fù)責(zé)信息安全整體工作的協(xié)調(diào)和落實(shí)10檢查是否有專人負(fù)責(zé)信息安全工作(不符合扣 6 分)檢查是否設(shè)置了信息安全管理崗位(不符合扣 4 分

24、)外部信息安全專家與外部信息安全專業(yè)機(jī)構(gòu)或?qū)＜覝贤槙?，在需要時(shí)能及時(shí)獲得外部信息安全機(jī)構(gòu)或?qū)＜业慕ㄗh和技術(shù)支持10有經(jīng)常聯(lián)系的專業(yè)機(jī)構(gòu)(不符合扣 6 分)專業(yè)機(jī)構(gòu)能夠及時(shí)提供技術(shù)支持(不符合扣 4 分)人員安全管理（小計(jì)：70）檢查項(xiàng)目檢查內(nèi)容標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA人員錄用對(duì)單位的新錄用人員要簽署保密協(xié)議101)2)檢查是否有相關(guān)管理要求(不符合扣 4 分)檢查是否有簽署的保密協(xié)議文件(沒有扣 6 分)人員離崗對(duì)即將離崗的員工應(yīng)立即終止其在信息系統(tǒng)中的所有訪問權(quán)限101)2)查看員工離崗流程中是否有相關(guān)要求(不符合扣 4 分)檢查是否有終止訪問權(quán)限的表單(沒有扣 6 分)取回離崗人員

25、的各種身份證件、鑰匙、徽章等以及單位提供的軟硬件設(shè)備101)2)查看員工離崗流程中是否有相關(guān)要求(不符合扣 4 分)檢查是否有設(shè)備、證件等上繳表單記錄(無記錄扣 6 分)離崗人員應(yīng)由人事部門辦理調(diào)離手續(xù)，并由離崗人員書面承諾調(diào)離后的保密義務(wù)101)2)查看員工離崗流程中是否有相關(guān)要求(不符合扣 4 分)檢查是否有簽署的離崗保密承諾文件(無記錄扣 6 分)第三方人員管理要求第三方人員在訪問前與公司簽署安全責(zé)任合同書或保密協(xié)議101)2)查看是否有對(duì)第三方訪問進(jìn)行管理的規(guī)定(沒有扣 4 分)檢查是否有書面保證文件(沒有扣 6 分)對(duì)第三方人員訪問重要區(qū)域應(yīng)以書面形式批準(zhǔn)，并由專人全程陪同或監(jiān)督，記

26、錄備案10檢查是否有審批記錄或監(jiān)督記錄(沒有扣10分)對(duì)第三方人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)進(jìn)行書面的規(guī)定，并按照規(guī)定執(zhí)行10檢查是否有文件進(jìn)行了規(guī)定(不符合扣10分)信息安全制度文件管理（小計(jì)：130）檢查項(xiàng)目檢查內(nèi)容標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA信息安全策略體系建立信息安全策略體系，明確本單位需要的信息安全制度內(nèi)容20檢查是否有描述信息安全策略體系的相關(guān)文件或定義信息安全管理制度的文件內(nèi)容(沒有扣 20 分)信息安全制度管理定期對(duì)信息安全管理制度進(jìn)行審核、修訂、更新、廢除過時(shí)的管理制度，制定、發(fā)布、宣貫新的管理要求10檢查是否有制度管理文件(沒有扣 10 分)檢查制度管理文件

27、內(nèi)容是否明確了制度審核的周期（沒有扣 6 分）信息安全制度審核信息安全制度的修訂、更新和廢除10檢查制度修訂、更新和廢除的相關(guān)工作記錄或證明(沒有扣5 分)現(xiàn)有管理制度是否有明顯過時(shí)或已經(jīng)不適用的內(nèi)容(有則扣 5 分)信息安全管理制度機(jī)房管理制度，包括機(jī)房環(huán)境管理機(jī)房進(jìn)出管理、機(jī)房內(nèi)工作管理等內(nèi)容8檢查機(jī)房管理相關(guān)制度文件，缺少一項(xiàng)內(nèi)容扣2分U盤、光盤使用管理制度6缺U盤使用管理制度，扣除4分，缺光盤使用管理制度，扣除2分主機(jī)設(shè)備安全管理制度8檢查是否有相關(guān)管理制度(沒有扣8分)網(wǎng)絡(luò)設(shè)施安全管理制度8檢查是否有相關(guān)管理制度(沒有扣8分)物理設(shè)施分類標(biāo)記管理制度6檢查是否有相關(guān)管理制度(沒有扣8

28、分)安全配置管理制度、系統(tǒng)分發(fā)和操作規(guī)章制度、系統(tǒng)文檔安全管理制度、測(cè)試和評(píng)估制度、系統(tǒng)信息安全備份制度10缺少一項(xiàng)管理內(nèi)容,扣除2分網(wǎng)絡(luò)連接檢查評(píng)估制度、網(wǎng)絡(luò)使用授權(quán)制度、網(wǎng)絡(luò)檢測(cè)制度、網(wǎng)絡(luò)設(shè)施（設(shè)備和協(xié)議）變更控制制度等8缺少一項(xiàng)管理內(nèi)容,扣除2分檢查項(xiàng)目檢查內(nèi)容標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA應(yīng)用系統(tǒng)上線前測(cè)評(píng)制度、應(yīng)用系統(tǒng)上線后安全評(píng)估制度、應(yīng)用系統(tǒng)使用授權(quán)制度、應(yīng)用系統(tǒng)配置管理10缺少一項(xiàng)管理內(nèi)容,扣除2分制度、應(yīng)用系統(tǒng)文檔管理制度等人員安全管理制度、安全意識(shí)和安全技術(shù)教育制度、操作安全管理制度、操作系統(tǒng)和數(shù)據(jù)庫管理制度、系統(tǒng)運(yùn)行記錄編寫制度、病毒防護(hù)管理制度、網(wǎng)絡(luò)互聯(lián)安全管理制度18

29、缺少一項(xiàng)管理內(nèi)容,扣除2分，扣完為止安全審計(jì)管理制度、安全事件報(bào)告制度、事故處理制度、應(yīng)急管理制度和災(zāi)難恢復(fù)管理制度等信息分類標(biāo)記制度、涉密信息安全管理制度、技術(shù)文檔管理制度、存儲(chǔ)介質(zhì)管理制度、信息披露與發(fā)布8缺少一項(xiàng)管理內(nèi)容,扣除2分，扣完為止審批管理制度等信息化建設(shè)中的安全管理（小計(jì)：400 分）檢查項(xiàng)目檢查內(nèi)容標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA規(guī)劃設(shè)計(jì)階段的信息安全管理信息系統(tǒng)規(guī)劃過程中應(yīng)進(jìn)行明確的信息安全需求分析20抽取 12 個(gè)新建成系統(tǒng)，查看規(guī)劃階段形成的文件：是否有管理要求明確系統(tǒng)建設(shè)規(guī)劃階段必須進(jìn)行信息安全需求分析(沒有扣 10 分)是否對(duì)建成后的系統(tǒng)運(yùn)行環(huán)境進(jìn)行了安全需求分析(沒

30、有扣 5 分)是否對(duì)業(yè)務(wù)應(yīng)用本身進(jìn)行了安全需求分析(沒有扣 5 分)在新系統(tǒng)建設(shè)或已有系統(tǒng)改造方案中，應(yīng)包括安全要求20查看是否有管理要求對(duì)系統(tǒng)開發(fā)/采購過程提出明確的信息安全要求，沒有明確要求扣 10 分抽查 2 個(gè)新系統(tǒng)的建設(shè)方案，沒有提出明確安全要求，每個(gè)系統(tǒng)扣 5 分信息系統(tǒng)設(shè)計(jì)方案中應(yīng)對(duì)軟件安全功能進(jìn)行了設(shè)計(jì)20檢查信息系統(tǒng)設(shè)計(jì)方案中的安全功能設(shè)計(jì)是否與提出的安全需求相符(不符合扣 6 分)軟件開發(fā)過程中應(yīng)實(shí)現(xiàn)設(shè)計(jì)方案中提出的安全功能20抽查 1 個(gè)已建系統(tǒng)是否實(shí)現(xiàn)了設(shè)計(jì)方案中提出的安全功能，無相關(guān)實(shí)現(xiàn)的，則該項(xiàng)不得分。實(shí)現(xiàn)部分的，則扣 10 分系統(tǒng)開發(fā)的安全管理驗(yàn)證應(yīng)用系統(tǒng)輸入的數(shù)

31、據(jù)、驗(yàn)證不同類型輸入的出錯(cuò)消息、響應(yīng)驗(yàn)證錯(cuò)誤的流程、定義所有數(shù)據(jù)輸入過程中所涉及人員的職責(zé)等20抽取一個(gè)新建或在建系統(tǒng)的設(shè)計(jì)、開發(fā)文檔，查看管理/技術(shù)要求中對(duì)系統(tǒng)安全性的規(guī)定，無相關(guān)要求的，該項(xiàng)不得分。抽查系統(tǒng)測(cè)試記錄，若內(nèi)容中無相關(guān)測(cè)試驗(yàn)證結(jié)果說明扣 10 分嚴(yán)格控制訪問程序源碼庫20檢查是否：有制度要求，不符合扣 10 分落實(shí)情況，是否符合要求，不符合扣 10 分軟件開發(fā)外包：在與軟件開發(fā)單位簽訂的協(xié)議中，應(yīng)明確知識(shí)產(chǎn)權(quán)的歸屬和安全方面的要求20查看管理要求中的相關(guān)規(guī)定，無相關(guān)要求的，該項(xiàng)不得分。抽查文檔記錄，若缺少相關(guān)文檔,則該項(xiàng)不得分軟件開發(fā)外包：在軟件安裝之前檢20查看管理/技術(shù)要求

32、中的相關(guān)規(guī)定，無相關(guān)要求的，該項(xiàng)不得 PAGE 29檢查項(xiàng)目檢查內(nèi)容標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA測(cè)軟件包中可能存在的惡意代碼，并保留完整的測(cè)試記錄分。抽查測(cè)試記錄,沒有則該項(xiàng)為 0 分軟件開發(fā)外包：要求開發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南10查看管理要求中的相關(guān)規(guī)定，無相關(guān)要求的，該項(xiàng)不得分。抽查測(cè)試記錄,沒有則該項(xiàng)不得分自行開發(fā)：開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境應(yīng)做到物理分離20查看是否有管理制度予以要求(沒有扣 10 分)檢查在建系統(tǒng)的開發(fā)環(huán)境是否符合要求(不符合扣 10 分)自行開發(fā)：系統(tǒng)開發(fā)文檔由專人負(fù)責(zé)保管，文檔使用應(yīng)受到控制10查看管理要求中的相關(guān)規(guī)定，無相關(guān)要求的，該項(xiàng)不得分。抽查文

33、檔使用的權(quán)限控制記錄，沒有則該項(xiàng)不得分自行開發(fā)：制定開發(fā)方面的管理制度，以明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則10若無相關(guān)制度，則該項(xiàng)為 0 分系統(tǒng)集成與采購中的安全管理提供規(guī)范的軟件設(shè)計(jì)文檔和使用指南10抽查設(shè)計(jì)文檔和使用指南(沒有扣 10 分)對(duì)程序資源庫的修改、更新、發(fā)布應(yīng)經(jīng)過授權(quán)和批準(zhǔn)20查看管理要求中的相關(guān)規(guī)定，無相關(guān)要求的，該項(xiàng)不得分。抽查授權(quán)記錄，不能提供的該項(xiàng)不得分對(duì)廠商交付的主機(jī)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等進(jìn)行了配置安全加固審核、操作系統(tǒng)安全補(bǔ)丁安裝情況審核20查看管理要求中的相關(guān)規(guī)定，無主機(jī)操作系統(tǒng)安全加固方面相關(guān)規(guī)定的，扣 10 分，無數(shù)據(jù)庫系統(tǒng)安全加固方面相關(guān)規(guī)定的扣 1

34、0 分應(yīng)有機(jī)制確保采購和集成中的安全設(shè)備都通過了國家、公司相關(guān)機(jī)構(gòu)的測(cè)評(píng)、認(rèn)證20查看產(chǎn)品采購管理制度中的相關(guān)規(guī)定，無相關(guān)要求的，該項(xiàng)不得分。抽查測(cè)試記錄,沒有則該項(xiàng)為 0 分要求廠家針對(duì)其提供的系統(tǒng)或設(shè)備提供信息安全方面的技術(shù)服務(wù)10查看產(chǎn)品采購管理制度中的相關(guān)規(guī)定，無相關(guān)要求的，該項(xiàng)不得分密碼技術(shù)應(yīng)用控制確定數(shù)據(jù)的敏感程度和所需的保護(hù)級(jí)別10若沒有相關(guān)策略,則該項(xiàng)為 0 分使用數(shù)字簽名保護(hù)電子文檔的真實(shí)性和完整性20查看管理方法中的相關(guān)規(guī)定，無相關(guān)要求的，該項(xiàng)不得分。若確定了保護(hù)等級(jí),但缺少加密技術(shù)保護(hù)數(shù)據(jù),則該項(xiàng)為 10 分;若未確定保護(hù)等級(jí),則該項(xiàng)為 0 分檢查項(xiàng)目檢查內(nèi)容標(biāo)準(zhǔn)分值評(píng)分

35、標(biāo)準(zhǔn)實(shí)際得分CIA使用不可否認(rèn)服務(wù)10若未使用,則該項(xiàng)為 0 分新設(shè)備和新系統(tǒng)的接入管理新系統(tǒng)、新設(shè)備接入網(wǎng)絡(luò)運(yùn)行的審核、審批管理制度16查看管理要求中的相關(guān)規(guī)定，無相關(guān)要求的，則該項(xiàng)不得分不經(jīng)過信息安全審核的系統(tǒng)不能接入單位網(wǎng)絡(luò)運(yùn)行16查看管理要求中的相關(guān)規(guī)定，無相關(guān)要求的，則該項(xiàng)不得分新建系統(tǒng)或新采購設(shè)備接入單位網(wǎng)絡(luò)時(shí)應(yīng)經(jīng)過信息安全的審批16查看管理要求中的相關(guān)規(guī)定，無相關(guān)要求的，則該項(xiàng)不得分信息安全監(jiān)理制定信息安全監(jiān)理管理相關(guān)規(guī)定10查看管理要求中的相關(guān)規(guī)定，無相關(guān)要求的，則該項(xiàng)不得分重大系統(tǒng)建設(shè)應(yīng)引入第三方信息安全監(jiān)理機(jī)制，確保系統(tǒng)建設(shè)過程中各環(huán)節(jié)的安全性6查看管理要求中的相關(guān)規(guī)定，無

36、相關(guān)要求的，則該項(xiàng)不得分對(duì)監(jiān)理方的意見應(yīng)給予充分的考慮6檢查相關(guān)會(huì)議記錄、問題答復(fù)(沒有扣 6 分)信息安全等級(jí)保護(hù)（小計(jì)：70 分）檢查項(xiàng)目檢查內(nèi)容標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA等級(jí)保護(hù)定級(jí)按照公司信息系統(tǒng)統(tǒng)一定級(jí)情況對(duì)本單位信息系統(tǒng)定級(jí)進(jìn)行核實(shí)10查看是否有定級(jí)情況核實(shí)工作的記錄(沒有扣 10 分)對(duì)不屬于公司統(tǒng)一定級(jí)范疇的信息系統(tǒng)自行開展定級(jí)工作10查看是否有定級(jí)文件(沒有扣 10 分)信息系統(tǒng)定級(jí)情況對(duì)各業(yè)務(wù)部門進(jìn)行通報(bào)10查看是否有對(duì)各業(yè)務(wù)部門進(jìn)行定級(jí)情況通報(bào)的文件(沒有扣 10分)等級(jí)防護(hù)工作根據(jù)各業(yè)務(wù)系統(tǒng)的定級(jí)進(jìn)行安全域的劃分20查看是否根據(jù)業(yè)務(wù)系統(tǒng)的信息安全等級(jí)進(jìn)行了安全域的劃

37、分(不符合扣 20 分)針對(duì)不同等級(jí)信息系統(tǒng)制定等級(jí)保護(hù)方案20查看是否制定了等級(jí)保護(hù)方案(沒有扣 20 分)信息安全評(píng)估管理（小計(jì)：80 分）檢查項(xiàng)目檢查內(nèi)容標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA信息安全評(píng)估、評(píng)測(cè)管理制定評(píng)估、評(píng)測(cè)管理辦法20查看評(píng)估、評(píng)測(cè)管理相關(guān)文件(沒有扣20分)確定管理辦法文件經(jīng)過高層審批并頒發(fā)(不符合扣16分)評(píng)估管理辦法中應(yīng)對(duì)規(guī)劃、設(shè)計(jì)階段的信息系統(tǒng)提出安全性評(píng)估要求10查看評(píng)估管理規(guī)定是否有相關(guān)要求(沒有扣10分)新系統(tǒng)上線必須通過運(yùn)行環(huán)境安全性評(píng)估、系統(tǒng)軟件安全性評(píng)測(cè)20查看評(píng)測(cè)管理相關(guān)文件是否有相關(guān)內(nèi)容(沒有扣10分)抽查12個(gè)系統(tǒng)，查看是否進(jìn)行了相關(guān)安全評(píng)估和評(píng)測(cè)

38、工作(沒有扣10分)管理信息系統(tǒng)定期開展信息安全風(fēng)險(xiǎn)評(píng)估工作20查看是否有定期對(duì)管理信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的記錄或報(bào)告(沒有扣20分)系統(tǒng)更新或設(shè)備報(bào)廢時(shí)，對(duì)廢棄系統(tǒng)和設(shè)備中殘留數(shù)據(jù)執(zhí)行評(píng)估和銷毀程序10查看是否有系統(tǒng)更新或設(shè)備報(bào)廢的數(shù)據(jù)清除或銷毀記錄(沒有扣10分)信息安全的宣傳與培訓(xùn)（小計(jì)：60 分）檢查項(xiàng)目檢查內(nèi)容標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA信息安全宣傳協(xié)調(diào)政工等部門進(jìn)行信息安全宣傳工作10查看是否有信息安全相關(guān)宣傳工作的記錄(沒有扣 10 分)對(duì)外來工作人員進(jìn)行本單位信息安全政策的宣傳和提示10查看是否有對(duì)外來工作人員進(jìn)行本單位信息安全政策和管理要求進(jìn)行提示或宣傳的證明(沒有扣 10 分)

39、信息安全培訓(xùn)對(duì)公司單位相關(guān)人員進(jìn)行信息安全普及性培訓(xùn)與宣傳工作10查看是否有信息安全普及性培訓(xùn)的工作記錄(沒有扣 10 分)檢查項(xiàng)目檢查內(nèi)容標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA制定專業(yè)人員的信息安全培訓(xùn)計(jì)劃、并進(jìn)行專業(yè)的信息安全培訓(xùn)20查看是否有對(duì)專業(yè)人員進(jìn)行信息安全培訓(xùn)的管理要求，或培訓(xùn)計(jì)劃(沒有扣 10 分)查看是否有對(duì)專業(yè)人員進(jìn)行過信息安全培訓(xùn)(沒有扣 10分)各單位信息化管理、運(yùn)行等部門負(fù)責(zé)人、信息安全管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員等在上崗前應(yīng)經(jīng)過網(wǎng)絡(luò)與信息安全培訓(xùn)10查看是否有相關(guān)管理規(guī)定(沒有扣5分)查看有是否進(jìn)行過崗前培訓(xùn)的證明(沒有扣5分)信息安全監(jiān)督與考核（小計(jì)：60

40、 分）檢查項(xiàng)目檢查內(nèi)容標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA信息安全監(jiān)督建立信息安全監(jiān)督機(jī)制，對(duì)所轄單位信息安全工作情況進(jìn)行定期評(píng)價(jià)14查看是否有信息安全監(jiān)督的文檔(沒有扣 7 分)查看是否有監(jiān)督的記錄(沒有扣 7 分)建立信息安全檢查機(jī)制，確保在春秋安全大檢查中對(duì)信息安全情況進(jìn)行檢查10查看是否有管理制度規(guī)定將信息安全納入春秋安全大檢查的工作中(沒有扣 4 分)檢查當(dāng)年的春檢或秋檢中是否進(jìn)行了信息安全方面的檢查工作(沒有扣 6 分)落實(shí)公司同業(yè)對(duì)標(biāo)工作10檢查是否落實(shí)了公司同業(yè)對(duì)標(biāo)工作(沒有扣 10 分)信息安全考核建立信息安全考核辦法，根據(jù)各單位信息安全狀況、信息安全工作執(zhí)行情況進(jìn)行考核10檢查信

41、息安全考核相關(guān)管理規(guī)定中是否對(duì)信息安全狀況、工作執(zhí)行情況等提出了具體的考核辦法(沒有扣 10 分)將網(wǎng)絡(luò)與信息安全防護(hù)工作的表現(xiàn)納入員工的崗位責(zé)任制10查看相關(guān)崗位職責(zé)文件(不符合扣10分)信息安全考核制度中明確了獎(jiǎng)、懲辦法6查看信息安全考核相關(guān)管理規(guī)定中是否有明確了獎(jiǎng)懲辦法(沒有扣 6 分)符合性管理（小計(jì)：100 分）檢查項(xiàng)目檢查內(nèi)容標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA法律符合性在信息系統(tǒng)相關(guān)的合同條文中明確適用的法律、法規(guī)條文10抽查 12 個(gè)信息系統(tǒng)建設(shè)合同文本，檢查是否包含了相關(guān)法律、法規(guī)責(zé)任(沒有扣 10 分)所有信息系統(tǒng)相關(guān)的合同應(yīng)經(jīng)過法律事務(wù)部門的審核10抽查 12 個(gè)信息系統(tǒng)建設(shè)合

42、同文本，檢查是否經(jīng)過法律事務(wù)部門的審核(沒有扣 10 分)制定系統(tǒng)運(yùn)行管理技術(shù)人員不得利用職權(quán)侵犯他人隱私的管理規(guī)定10檢查是否有相關(guān)管理內(nèi)容(沒有扣 10 分)知識(shí)產(chǎn)權(quán)保護(hù)制定或沿用上級(jí)單位知識(shí)產(chǎn)權(quán)管理的制度10檢查是否有明確的知識(shí)產(chǎn)權(quán)相關(guān)管理制度(沒有扣 10 分)在所有軟件開發(fā)合同、協(xié)議中明確知識(shí)產(chǎn)權(quán)的歸屬20抽查相關(guān)合同、協(xié)議文件，查看知識(shí)產(chǎn)權(quán)保護(hù)的內(nèi)容(不符合扣20分)確保軟件知識(shí)產(chǎn)權(quán)證書、文檔、手冊(cè)、源代碼及可執(zhí)行程序都已提交相關(guān)管理部門10抽查12個(gè)信息系統(tǒng)建設(shè)的歸檔文件，查看相關(guān)內(nèi)容、記錄是否齊全(一項(xiàng)缺失扣5分)在集成、開發(fā)、采購合同中向乙方提出確保系統(tǒng)來源合法，提交相應(yīng)產(chǎn)權(quán)

43、證明材料的要求20抽查12個(gè)信息系統(tǒng)集成或采購合同文本，查看是否有相關(guān)的要求(沒有扣10分)制定限制內(nèi)部員工在單位設(shè)備上私自使用、安裝盜版軟件的管理內(nèi)容10查看是否有相關(guān)管理內(nèi)容(沒有扣10分)信息安全運(yùn)行維護(hù)評(píng)估（總計(jì)：900 分）信息系統(tǒng)運(yùn)行管理（小計(jì)：200 分）檢查項(xiàng)目檢查內(nèi)容標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA崗位職責(zé)網(wǎng)絡(luò)設(shè)施應(yīng)指定專職的網(wǎng)絡(luò)管理技術(shù)人員負(fù)責(zé)運(yùn)行維護(hù)20查看是否有指定的網(wǎng)絡(luò)管理人員文件(沒有扣 20 分)各種信息安全技術(shù)設(shè)施應(yīng)指定專職的信息安全技術(shù)人員負(fù)責(zé)運(yùn)行維護(hù)20查看是否有指定信息安全技術(shù)措施運(yùn)行管理人員的文件(沒有扣 20 分)各業(yè)務(wù)系統(tǒng)應(yīng)指定專職的技術(shù)人員負(fù)責(zé)運(yùn)行維

44、護(hù)20查看是否有指定業(yè)務(wù)系統(tǒng)運(yùn)行維護(hù)專責(zé)的文件(沒有扣 20 分)各系統(tǒng)服務(wù)器、數(shù)據(jù)庫系統(tǒng)等應(yīng)指定專職的系統(tǒng)管理技術(shù)人員負(fù)責(zé)運(yùn)行維護(hù)工作20查看是否有指定相關(guān)運(yùn)行維護(hù)專責(zé)的文件(沒有扣 20 分)明確界定各專責(zé)的工作職責(zé)與工作范圍10查看所有崗位是否有定義文件(沒有扣 10 分)實(shí)行主、副崗備用制度10查看是否所有崗位都指定了主、副負(fù)責(zé)人員 (沒有扣 10 分)運(yùn)行管理根據(jù)公司總部頒發(fā)的信息系統(tǒng)運(yùn)行管理規(guī)程制訂本單位的運(yùn)行管理規(guī)程20檢查是否有運(yùn)行管理規(guī)程(沒有扣 20 分)對(duì)信息系統(tǒng)的重要操作實(shí)行工作票、操作票制度20檢查是否有近 3 個(gè)月來的工作票、操作票(沒有扣 20 分)機(jī)房出入管理制

45、度張貼于恰當(dāng)?shù)奈恢?0檢查相關(guān)制度是否張貼于機(jī)房墻壁上(沒有扣 10 分)近 3 個(gè)月的機(jī)房進(jìn)出情況20檢查近三個(gè)月機(jī)房的進(jìn)出記錄(沒有扣 20 分)運(yùn)行值班制度中應(yīng)規(guī)定普通情況下 58 小時(shí)、關(guān)鍵時(shí)期 724 小20檢查是否有相關(guān)的值班要求(沒有扣 20 分)檢查項(xiàng)目檢查內(nèi)容標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA時(shí)的現(xiàn)場(chǎng)值班內(nèi)容對(duì)值班人員的值班計(jì)劃進(jìn)行安排，近 3 個(gè)月值班記錄內(nèi)容10檢查近三個(gè)月的值班安排和記錄表(沒有扣 10 分)資產(chǎn)分類管理（小計(jì)：80 分）檢查項(xiàng)目檢查內(nèi)容標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA資產(chǎn)清單維護(hù)每個(gè)信息系統(tǒng)重要資產(chǎn)的清單或登記20查看資產(chǎn)清單(沒有扣 20 分)每個(gè)信息資產(chǎn)

46、都明確其責(zé)任人，資產(chǎn)清單中明確記錄資產(chǎn)的物理位 置，定義并認(rèn)可安全分類20查看系統(tǒng)資產(chǎn)清單內(nèi)容(不符合扣 20 分)設(shè)備管理完備的設(shè)備驗(yàn)收流程，并提交書面驗(yàn)收?qǐng)?bào)告10檢查是否有驗(yàn)收流程(沒有扣 6 分)檢查是否有設(shè)備驗(yàn)收?qǐng)?bào)告(沒有扣 4 分)設(shè)備的運(yùn)行管理應(yīng)定期檢查、巡視和維護(hù)10抽查近三個(gè)月的巡視、維護(hù)和檢查記錄(沒有扣 10 分)對(duì)設(shè)備的改造與更新應(yīng)做到事前計(jì)劃和事后記錄10檢查一年內(nèi)的計(jì)劃和記錄文件(沒有扣 10 分)未經(jīng)適當(dāng)?shù)氖跈?quán)不允許帶走設(shè)備、信息或軟件10抽查近半年設(shè)備、信息或軟件的使用記錄(沒有扣 10 分)配置與變更管理（小計(jì) 80 分）檢查項(xiàng)目檢查內(nèi)容標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分

47、CIA配置管理對(duì)信息系統(tǒng)的配置參數(shù)進(jìn)行管理、建立系統(tǒng)、設(shè)備的配置參數(shù)定義文件庫（如：所有防火墻的規(guī)則配置文件）15檢查是否建立了配置文件庫(沒有扣 15 分)檢查項(xiàng)目檢查內(nèi)容標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA對(duì)各系統(tǒng)初始化軟硬件配置環(huán)境進(jìn)行記錄和備份15檢查是否有初始化配置清單、或文件庫(沒有扣 15 分)變更管理對(duì)系統(tǒng)中發(fā)生的變更，應(yīng)有流程對(duì)其進(jìn)行確認(rèn)并制定變更方案10檢查是否有變更審核流程(沒有扣 7 分)檢查近一年的變更方案(沒有扣 3 分)重要系統(tǒng)變更前，應(yīng)經(jīng)過主管領(lǐng)導(dǎo)申請(qǐng)、變更方案經(jīng)過評(píng)審、審批后方可實(shí)施變更的工作流程10檢查近一年的變更審核、審批記錄(沒有扣 10 分)對(duì)變更影響進(jìn)行分

48、析和變更實(shí)施過程進(jìn)行文檔記錄15檢查近一年的變更工作記錄(沒有扣 15 分)設(shè)備型號(hào)、網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化時(shí)，應(yīng)能在第一時(shí)間反映到相應(yīng)的配置文件、拓?fù)浣Y(jié)構(gòu)圖中15檢查最新的拓?fù)浣Y(jié)構(gòu)圖是否和系統(tǒng)情況完全相符(不符合扣 15 分) PAGE 34業(yè)務(wù)連續(xù)性管理（小計(jì)：200）檢查項(xiàng)目檢查內(nèi)容標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA應(yīng)急預(yù)案根據(jù)公司應(yīng)急預(yù)案管理辦法制定相應(yīng)的應(yīng)急預(yù)案10查看是否有針對(duì)公司信息安全事件的應(yīng)急預(yù)案(沒有扣 10分)制定針對(duì)重要系統(tǒng)的專項(xiàng)應(yīng)急預(yù)案10查看是否針對(duì)所有重要系統(tǒng)都有應(yīng)急預(yù)案(沒有扣 10 分)對(duì)應(yīng)急預(yù)案進(jìn)行定期演練10查看一年內(nèi)的應(yīng)急預(yù)案演練記錄(沒有扣 10 分)所有相關(guān)人

49、員應(yīng)清楚地知道自己在應(yīng)急響應(yīng)中的角色和職責(zé)10根據(jù)應(yīng)急預(yù)案，抽查 2 名相關(guān)人員，檢查其是否明確自己的角色和職責(zé)(一人不清楚扣 5 分)定期對(duì)應(yīng)急預(yù)案進(jìn)行評(píng)估和修訂10檢查近兩年應(yīng)急預(yù)案的評(píng)估和修訂記錄(沒有扣 10 分)通報(bào)機(jī)制按照國家電網(wǎng)公司的要求建立及時(shí)的信息安全信息通報(bào)機(jī)制10檢查是否有專人負(fù)責(zé)信息安全通報(bào)(沒有扣 6 分)檢查是否有通報(bào)記錄(沒有扣 4 分)主機(jī)備份關(guān)鍵業(yè)務(wù)系統(tǒng)主機(jī)應(yīng)有備用設(shè)備10檢查關(guān)鍵系統(tǒng)主機(jī)是否有備用設(shè)備(沒有扣 10 分)采用熱備份方式的主機(jī)應(yīng)進(jìn)行故障切換測(cè)試10檢查熱備系統(tǒng)是否進(jìn)行過切換測(cè)試(沒有扣 10 分)采用負(fù)載均衡方式的系統(tǒng)主機(jī)應(yīng)進(jìn)行故障壓力測(cè)試10

50、檢查負(fù)載均衡系統(tǒng)是否進(jìn)行過壓力測(cè)試(沒有扣 10 分)數(shù)據(jù)備份與恢復(fù)制定詳細(xì)的數(shù)據(jù)備份策略，對(duì)每個(gè)系統(tǒng)和系統(tǒng)數(shù)據(jù)按照備份策略定期進(jìn)行備份20查看是否制定了數(shù)據(jù)備份策略(沒有扣 10 分)策略內(nèi)容是否對(duì)每個(gè)系統(tǒng)和數(shù)據(jù)的備份都提出了要求(沒有扣 10 分)備份數(shù)據(jù)與原始數(shù)據(jù)存放于不同的物理環(huán)境中10查看備份數(shù)據(jù)是否與原始數(shù)據(jù)存放在不同物理環(huán)境中(不符合扣 10 分)進(jìn)行過備份數(shù)據(jù)的恢復(fù)演練10檢查是否進(jìn)行過備份數(shù)據(jù)的恢復(fù)測(cè)試(沒有扣 10 分)網(wǎng)絡(luò)可靠性保障關(guān)鍵系統(tǒng)的通信鏈路采取雙鏈路方式10檢查關(guān)鍵通信鏈路是否采取了雙鏈路方式(不符合扣 10 分)關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備應(yīng)有備份措施，確保設(shè)備故障后可以

51、及時(shí)更換設(shè)10檢查關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備是否有備份(沒有扣 10 分)檢查項(xiàng)目檢查內(nèi)容標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA備定期對(duì)光纖設(shè)備進(jìn)行可靠性測(cè)試10查看近一年的測(cè)試記錄(沒有扣 10 分)光纜采用走多路豎井的方式進(jìn)入辦公大樓10檢查光纜進(jìn)入機(jī)房的方式(不符合扣 10 分)電源可靠性保障采用 UPS 設(shè)施，確保停電后系統(tǒng)的供電安全10檢查是否有 UPS 系統(tǒng)(沒有扣 10 分)UPS 設(shè)施的容量10檢查 UPS 設(shè)備容量是否充足(不充足扣 10 分)UPS 充放電試驗(yàn)10檢查 UPS 系統(tǒng)近兩年來的充放電測(cè)試記錄(沒有扣 10 分)物理環(huán)境安全（小計(jì)：220 分）檢查項(xiàng)目檢查內(nèi)容標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際

52、得分CIA機(jī)房安全防護(hù)機(jī)房場(chǎng)地避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁4(不符合扣 4 分)機(jī)房場(chǎng)地避開強(qiáng)電場(chǎng)、強(qiáng)磁場(chǎng)、強(qiáng)震動(dòng)源、強(qiáng)噪聲源、重度環(huán)境污染、易發(fā)生火災(zāi)、水災(zāi)、易遭受雷擊的地區(qū)8(不符合扣 8 分)所有機(jī)房安裝門禁、監(jiān)控與報(bào)警系統(tǒng)10檢查機(jī)房設(shè)施(不符合扣 10 分)機(jī)房出入口有專門人員或設(shè)施值守，鑒別進(jìn)入的人員身份并進(jìn)行記錄10檢查機(jī)房出入情況(不符合扣 10 分)對(duì)于進(jìn)入機(jī)房的來訪人員，限制和監(jiān)控其活動(dòng)范圍20檢查對(duì)外來人員的活動(dòng)是否進(jìn)行約束(不符合扣 20 分)檢查項(xiàng)目檢查內(nèi)容標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA機(jī)房的四壁使用非透明的介質(zhì)， 如墻壁、窗簾、磨砂玻璃等，

53、以避免走廊或窗外建筑對(duì)機(jī)房內(nèi)的設(shè)備、標(biāo)記與操作的直視8(不符合扣 8 分)防盜竊/破壞將通信線纜鋪設(shè)在隱蔽處（如鋪設(shè)在地下或管道中等）8(不符合扣 8 分)機(jī)房防盜/防破壞能力12(不符合扣 12 分)機(jī)房監(jiān)控報(bào)警系統(tǒng)12(不符合扣 12 分)機(jī)房供、配電機(jī)房配線圖8檢查配線圖和更新記錄(沒有扣 8 分)將動(dòng)力、照明用電與計(jì)算機(jī)系統(tǒng)供電線路分開20(不符合扣 20 分)設(shè)置穩(wěn)壓器和過電壓防護(hù)設(shè)備8檢查是否有穩(wěn)壓器和過電壓防護(hù)設(shè)備(沒有扣 8 分)隔離電源線和通信線纜，避免互相干擾8(不符合扣 8 分)對(duì)重要設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽8(不符合扣 8 分)機(jī)房配備應(yīng)急照明裝置4檢查應(yīng)急裝置(沒有扣

54、 4 分)對(duì)機(jī)房內(nèi)設(shè)備的電源要求進(jìn)行登記與統(tǒng)計(jì)4檢查登記和統(tǒng)計(jì)記錄(沒有扣 4 分)機(jī)房環(huán)境防護(hù)氣體防火措施10檢查防火措施(不符合扣 10 分)火災(zāi)自動(dòng)消防系統(tǒng)，自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警、自動(dòng)滅火18檢查消防系統(tǒng)(不符合扣 18 分)機(jī)房建筑的避雷裝置8檢查是否設(shè)置了避雷裝置(沒有扣 8 分)接地等防靜電措施8檢查防靜電措施(沒有扣 8 分)定期對(duì)空調(diào)系統(tǒng)進(jìn)行檢查8檢查空調(diào)系統(tǒng)維護(hù)日志(沒有扣 8 分)恒溫恒濕系統(tǒng)，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)8檢查恒溫恒濕系統(tǒng)(沒有扣 8 分)檢查項(xiàng)目檢查內(nèi)容標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA防水與防潮8檢查機(jī)房防水措施(不符合扣 8 分)設(shè)備

55、與介質(zhì)安全（小計(jì) 120 分）檢查項(xiàng)目檢查內(nèi)容標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA介質(zhì)管理敏感數(shù)據(jù)的信息處理設(shè)備及存儲(chǔ)介質(zhì)應(yīng)妥善存放，以減少使用時(shí)被瀏覽的風(fēng)險(xiǎn)10(不符合扣 10 分)紙張及計(jì)算機(jī)介質(zhì)不用時(shí)（特別是在規(guī)定工作時(shí)間之外），應(yīng)存儲(chǔ)在合適的能夠上鎖的柜子內(nèi)而不是散落于各處10(不符合扣 10 分)有敏感信息的存儲(chǔ)介質(zhì)應(yīng)被物理銷毀或安全的覆蓋，而不是使用遺棄或刪除功能（如：紙張應(yīng)采用碎紙機(jī)等設(shè)備進(jìn)行銷毀）15(不符合扣 15 分)U 盤、移動(dòng)硬盤等存儲(chǔ)介質(zhì)應(yīng)有資產(chǎn)記錄和責(zé)任人5檢查資產(chǎn)記錄情況(沒有扣 5 分)磁盤、光盤等存儲(chǔ)介質(zhì)應(yīng)有專人保管10檢查保管記錄(不符合扣 10 分)筆記本使用管

56、理制度5檢查是否有管理制度(不符合扣 5 分)定期對(duì)存放在介質(zhì)庫中的介質(zhì)進(jìn)行完整性和可用性檢查，以確認(rèn)介質(zhì)內(nèi)容沒有受到損壞或丟失5檢查存放、檢查日志(不符合扣 5 分)有備用的硬盤、磁帶等存儲(chǔ)設(shè)備， 以及時(shí)緩解存儲(chǔ)空間的不足或替換損壞的介質(zhì)10檢查備用介質(zhì)(不符合扣 10 分)檢查項(xiàng)目檢查內(nèi)容標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA設(shè)備安全對(duì)在信息處理設(shè)備附近飲食及吸煙的控制策略5(沒有扣 5 分)按供應(yīng)商的建議進(jìn)行服務(wù)間隔及規(guī)格維護(hù)5(不符合扣 5 分)只有授權(quán)的維護(hù)人員才可以修理設(shè)備5(不符合扣 5 分)記錄所有可疑的或真實(shí)的故障，以及所有防范及改正措施10(不符合扣 10 分)備份設(shè)備及備份介質(zhì)放

57、置在距離主設(shè)備有一段距離的安全區(qū)域, 以避免工作地點(diǎn)發(fā)生災(zāi)難時(shí)受到破壞10(不符合扣 10 分)主機(jī)、設(shè)備本身應(yīng)具備一定的抗電磁干擾能力5(不符合扣 5 分)擺放設(shè)備的機(jī)柜應(yīng)有鑰匙鎖定，對(duì)鑰匙的管理應(yīng)有相應(yīng)的規(guī)定10(不符合扣 10 分)信息安全技術(shù)評(píng)估（總計(jì)：900 分）網(wǎng)絡(luò)安全（包括架構(gòu)、路由和交換設(shè)備 小計(jì)：120 分）.網(wǎng)絡(luò)架構(gòu)（小計(jì)：43 分）檢查項(xiàng)目檢查內(nèi)容標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA網(wǎng)絡(luò)架構(gòu)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的合理性和可擴(kuò)展性6檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，如不符合或無網(wǎng)絡(luò)拓?fù)鋭t記為 0 分局域網(wǎng)核心交換設(shè)備、廣域網(wǎng)核心路由設(shè)備應(yīng)采取設(shè)備冗余或準(zhǔn)備了備用設(shè)備，同時(shí)路由鏈路也應(yīng)該施行冗余方式6檢查

58、拓?fù)浣Y(jié)構(gòu)和實(shí)際情況，發(fā)現(xiàn)一個(gè)問題扣 2 分，扣完為止對(duì)網(wǎng)絡(luò)的邊界接入方式進(jìn)行過全面的安全分析并有分析記錄2檢查分析記錄，如不符合則此項(xiàng)記為 0 分對(duì)網(wǎng)絡(luò)管理協(xié)議進(jìn)行安全設(shè)置、業(yè)務(wù)系統(tǒng)采用相對(duì)可靠的安全協(xié)議3驗(yàn)證安全設(shè)置與安全協(xié)議，發(fā)現(xiàn)一個(gè)問題扣 2 分，無安全設(shè)置和安全協(xié)議不得分不應(yīng)有不經(jīng)過防火墻的外聯(lián)鏈路3檢查拓?fù)?、網(wǎng)絡(luò)分析，如發(fā)現(xiàn)外聯(lián)則此項(xiàng)不得分在相關(guān)網(wǎng)絡(luò)的隔離點(diǎn)，設(shè)立合理的訪問控制3檢查拓?fù)浜团渲梦臋n，如無訪問控制則此項(xiàng)不得分對(duì)網(wǎng)絡(luò)異常流量進(jìn)行分析、明確的流量管理目標(biāo)以及對(duì)服務(wù)質(zhì)量保障（QoS）措施評(píng)價(jià)3檢查分析報(bào)告，無相關(guān)內(nèi)容則此項(xiàng)不得分有網(wǎng)絡(luò)故障的分析手段、并對(duì)網(wǎng)絡(luò)故障分析的資料進(jìn)行

59、分類整理3檢查網(wǎng)絡(luò)故障分析手段，沒有或不可用則記為 0 分當(dāng)網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化時(shí)，應(yīng)有流程或制度及時(shí)記錄與變更網(wǎng)絡(luò)拓?fù)?檢查管理制度、變更記錄，如沒有或不可用則記為 0 分 PAGE 39檢查項(xiàng)目檢查內(nèi)容標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA信息給網(wǎng)絡(luò)的每個(gè)節(jié)點(diǎn)規(guī)劃足夠的帶寬2檢查網(wǎng)絡(luò)分析，如不符合則記為 0 分1）檢查是否進(jìn)行網(wǎng)絡(luò)安全域劃分，沒有劃分則記為 0 分網(wǎng)絡(luò)安全域劃分、技術(shù)文檔以及安全控制32）檢查是否有網(wǎng)絡(luò)安全域劃分的技術(shù)文檔，沒有文檔扣 1 分3）檢查信任網(wǎng)絡(luò)和不信任網(wǎng)絡(luò)之間是否有安全控制，沒有安全控制則記為 0 分網(wǎng)絡(luò)安全域劃分根據(jù)各部門的工作職能、重要性、所涉及信息的重要程度等因素，

60、劃分不同的網(wǎng)絡(luò)安全域，并按照方便2檢查安全域的劃分，如不符合則記為 0 分管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段各個(gè)獨(dú)立網(wǎng)絡(luò)節(jié)點(diǎn)的安全控制策3檢查網(wǎng)絡(luò)節(jié)點(diǎn)的安全控制，如不符合則記為 0 分略VLAN 間訪問控制的合理性2檢查拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備配置，如不符合則記為 0 分.路由和交換設(shè)備（小計(jì)：42 分）檢查項(xiàng)目檢查內(nèi)容標(biāo)準(zhǔn)分值評(píng)分標(biāo)準(zhǔn)實(shí)際得分CIA網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)設(shè)備配置進(jìn)行備份（電子、物理介質(zhì)）3檢查備份設(shè)備，缺失一項(xiàng)扣 2 分，扣完為止網(wǎng)絡(luò)設(shè)備名稱應(yīng)具有合理的命名體系和名稱標(biāo)識(shí)（便于網(wǎng)管人員迅速準(zhǔn)確識(shí)別）1檢查管理記錄，如不符合則此項(xiàng)記為 0 分關(guān)鍵網(wǎng)絡(luò)設(shè)備采用雙電源3檢查關(guān)鍵設(shè)備，如不符合