企業(yè)信息安全風險評估實施細則

1、企業(yè)信息安全風險評估實施細則二00八年五月 TOC o 1-5 h z 前言1資產評估2資產識別2資產賦值3威脅評估6脆弱性評估 10信息安全管理評估 11安全方針11信息安全機構 13人員安全管理17信息安全制度文件管理 19信息化建設中的安全管理 23信息安全等級保護 29信息安全評估管理 32信息安全的宣傳與培訓 32信息安全監(jiān)督與考核 34符合性管理36信息安全運行維護評估 37信息系統(tǒng)運行管理 37資產分類管理 41配置與變更管理 一.，42業(yè)務連續(xù)性管理 43設備與介質安全 46信息安全技術評估 50物理安全50網(wǎng)絡安全53操作系統(tǒng)安全60數(shù)據(jù)庫安全72通用服務安全81應用系統(tǒng)安全

2、85安全措施90數(shù)據(jù)安全及備份恢復 94. 前言為了規(guī)范、深化 XXX公司信息安全風險評估工作，依據(jù)國家信息系統(tǒng)安全等級保護基本要求、XXX公司信息化“ SG186工程安全防護總體方案、 XXX公司網(wǎng)絡與信息 系統(tǒng)安全隔離實施指導意見、 XXX公司信息安全風險評估管理暫行辦法、 XXX公司信息安全風險評估實施指南（以下簡稱實施指南），組織對XXX公司信息安全風險評估實施細則進行了完善。本細則是開展信息系統(tǒng)安全風險評估工作實施內容的主要依據(jù)，各單位在相關的信息安全檢查、安全評價、信息系統(tǒng)安全等級保護評估工作中也可參考本細則的內容。本細則結合公司當前信息化工作重點，針對實施指南中信息資產評估、 威

3、脅評估、脆弱性評估提出了具體的評估內容。其中，資產評估內容主要針對公司一體化企業(yè)級信息系統(tǒng)展開；威脅評估包含非人為威脅和人為威脅等因素；脆弱性評估內容分為信息安全管理評估、信息安全運行維護評估、信息安全技術評估三部分。公司的評估工作應在本細則的基礎上，結合實施指南提出更詳細的實施方案，并采用專業(yè)的評估工具對信息系統(tǒng)進行全面的評估和深層的統(tǒng)計分析，并進行風險計算，確保全面掌握信息系統(tǒng)的安全問題，并提供解決問題的安全建議。本細則將隨公司信息安全管理、技術、運維情況的發(fā)展而滾動修訂與完善。本標準由XXX公司信息化工作部組織制定、發(fā)布并負責解釋。.資產評估資產評估是確定資產的信息安全屬性（機密性、完整

4、性、可用性等）受到破壞而對信息系統(tǒng)造成的影響的過程。在風險評估中，資產評估包含信息資產識別、資產賦值等內容。資產識別資產識別主要針對提供特定業(yè)務服務能力的應用系統(tǒng)展開，例如：網(wǎng)絡系統(tǒng)提供基礎網(wǎng)絡服務、OA系統(tǒng)提供辦公自動化服務。 通常一個應用系統(tǒng)都可劃分為數(shù)據(jù)存儲、業(yè)務處理、業(yè)務服務提供和客戶端四個功能部分，這四個部分在信息系統(tǒng)的實例中都顯現(xiàn)為獨立的資產實體，例如：典型的 OA系統(tǒng)可分為客戶端、Web服務器、Domino服務器、DB2數(shù)據(jù)庫服務器四部分資產實體。應用系統(tǒng)的功能模塊（或子系統(tǒng)），可參照下表進行分解：應用系統(tǒng)分解表類別說明數(shù)據(jù)存儲應用系統(tǒng)中負責數(shù)據(jù)存儲的子系統(tǒng)或功能模塊。如數(shù)據(jù)庫服

5、務器業(yè)務處理應用系統(tǒng)中負責進行數(shù)據(jù)處理運算的子系統(tǒng)或模塊，如應用服務器、 通信前置機服務提供應用系統(tǒng)中負責對用戶提供服務的子系統(tǒng)或模塊，如web服務器客戶端由用戶或客戶直接使用、操縱的模塊，包括：工作站、客戶機等，如 應用客戶端、web瀏覽器*注：以上的子系統(tǒng)（功能模塊）分類可能存在一臺主機上， 也可能分布在多臺主機上， 對應用系統(tǒng)的分解不需要特別注明子系統(tǒng)的分布情況，只需詳細說明功能作用和構成。對于不具有多層結構的系統(tǒng)， 可根據(jù)實際情況進行簡化分解，例如：僅分解為服務器端與客戶端。典型的應用系統(tǒng)分解結構圖如下:代表數(shù)據(jù)傳輸本細則中對公司“ SG186”工程應用系統(tǒng)按照上表進行信息資產的分解與

6、識別，并在資產賦值部分按照這一分解進行賦值。資產賦值根據(jù)實施指南的定義，資產評估中對資產的賦值最終結果是對識別出的獨立資產實 體的賦值。每項資產都要進行機密性要求、完整性要求、可用性要求的賦值，賦值定義為： 安全性要求很高=5、安全性要求高=4、安全性要求中等=3、安全性要求低=2、安全性要 求很低=1。結合資產識別的情況，對公司“SG186”工程應用系統(tǒng)的各部分進行賦值，結果見下表。業(yè)務系統(tǒng)系統(tǒng)安全 等級客戶端服務提供業(yè)務處理數(shù)據(jù)存儲管理員普通用戶CIACIACIACIACIA一體化平臺企業(yè)信息門戶2422311224113數(shù)據(jù)中心2422233233444數(shù)據(jù)交換平臺2311134123目

7、錄與單點登錄系統(tǒng)2411334223444信息網(wǎng)絡2313144財務資金財務管理系統(tǒng)3544433355242353資金管理系統(tǒng)3544433355242353營銷管理營銷管理信息系統(tǒng)3533422355242353客戶繳費系統(tǒng)331121122412425395598客戶服務管理系統(tǒng)3312211-113113232電能信息實時采集與監(jiān)控系 統(tǒng)2311211131131131市場管理系統(tǒng)2311211131131131客戶關系系統(tǒng)2311211131131131需求側管理系統(tǒng)3322211344244344輔助決策系統(tǒng)2311211132132132安全生產調度管理信息系統(tǒng)232221113

8、3133133生產管理信息系統(tǒng)2322211133133133地理信息系統(tǒng)2322211133133133安全監(jiān)督管理信息系統(tǒng)2311211131131131電力市場交易系統(tǒng)3422322244244244協(xié)同辦公協(xié)同辦公2424323434323434人力資源人力資源管理系統(tǒng)2322211131131331業(yè)務系統(tǒng)系統(tǒng)安全 等級客戶端服務提供業(yè)務處理數(shù)據(jù)存儲管理員普通用戶CIACIACIACIACIA物資管理物資管理系統(tǒng)2311211131131131招投標系統(tǒng)2431321331331331項目管理項目管理系統(tǒng)2311211131131131綜合管理規(guī)劃計劃管理系統(tǒng)231121113113

9、1131審計管理系統(tǒng)2311211331331331金融信息管理系統(tǒng)2311211131131131法律事務管理系統(tǒng)2311211331331331國際合作業(yè)務應用系統(tǒng)2311211331331331紀檢監(jiān)察管理系統(tǒng)2311211131131131ERP系統(tǒng)ERP系統(tǒng)3433322344344344說明：(1) C代表機密性賦值、I代表完整性賦值、A代表可用性賦值。(2)系統(tǒng)安全等級作為業(yè)務系統(tǒng)資產權值與每項賦值相乘后參與風險計算過程。(3)對各單位不包括在“ SG186”工程中的應用系統(tǒng)，系統(tǒng)安全等級按照 XXX公司信息系統(tǒng)安全保護等級定級指南定義方法計算出來，資產賦值按照實施指南定義的方法

10、進行識別和賦值，同時可參考上的表賦值結果。. 威脅評估在信息安全風險評估中，威脅評估也分為威脅識別和威脅賦值兩部分內容。威脅識別通常依據(jù)威脅列表對歷史事件進行分析和判斷獲得的。由于信息系統(tǒng)運行環(huán)境千差萬別，威脅可能性賦值無法給出統(tǒng)一定義，例如：海邊城市受到臺風威脅的可能性要大。本細則中僅給出威脅對信息資產機密性、完整性和可用性破壞的嚴重程度賦值。賦值定義為：破壞嚴重程度很大=5、破壞嚴重程度大=4、破壞嚴重程度中等=3、破壞嚴重程度小=2、破壞嚴重程 度很小=1。在評估實施時需要依據(jù)實施指南定義的方法，結合實際情況對威脅可能性 進行判斷。下表是常見的威脅列表。威脅分類威脅名稱說明威脅可能性嚴重

11、程度CIA非人為威脅火山爆發(fā)由火山爆發(fā)引起的故障N/A55颶風由于颶風引起的系統(tǒng)故障N/A45地震由地震引起的系統(tǒng)故障N/A45人員喪失由于各種原因，如疾病、道路故障、暴動等原因導致人員 無法正常工作引起的系統(tǒng)無法使用故障N/AN/A3硬件故障系統(tǒng)由于硬件設備老舊、損壞等造成的無法使用問題N/A45雷電由雷電引起的系統(tǒng)故障N/A55火災由火災引起的系統(tǒng)故障，包括在火災發(fā)生后進行消防工作 中引起的設備/、可用問題N/A45水災由水災引起的系統(tǒng)故障，包括在水災發(fā)生后進行消防工作 中引起的設備/、可用問題N/A45雪崩由于雪崩引起的問題N/A24溫度異常由溫度超標引起的故障N/A44濕度異常由濕度超

12、標引起的故障N/A33灰塵、塵土由灰塵超標引起的故障N/A33強磁場干擾由磁場干擾引起的故障N/A33電力故障由于電力中斷、用電波動、供電設備損壞導致系統(tǒng)停止運 行等導致的系統(tǒng)故障N/A44系統(tǒng)軟件故障由于系統(tǒng)軟件故障所產生的問題344應用軟件故障由于應用軟件故障所產生的問題445軟件缺陷軟件缺陷導致的安全問題444通信故障由于通信故障所產生的問題N/A24DNS失敗由于DNS的問題導致的問題114人為威脅由于誤操作傳輸錯誤 的或小應傳送的數(shù)據(jù)個人失誤導致的安全問題431關鍵員工的離職由于關鍵員工的離職造成系統(tǒng)的安全問題N/AN/A4威脅分類威脅名稱說明威脅可能性嚴重程度CIA離開時未鎖門由十

13、離開時未鎖門造成系統(tǒng)的安全問題431離開時屏保未鎖7E由十離開時屏保未鎖7E造成的安全問題411在不恰當?shù)娜藛T中討 論敏感義檔由于在不恰當?shù)娜藛T中討論敏感文檔造成的安全問題5N/AN/A不恰當?shù)呐渲煤筒僮鞑磺‘數(shù)墓芾硐到y(tǒng)、數(shù)據(jù)庫、無意的數(shù)據(jù)操作，導致安全 問題344拒絕服務攻擊攻擊者以一種或者多種損害信息資源訪問或使用能力的 方式消耗信息系統(tǒng)資源N/A35由于設備（如筆記本） 丟失導致泄密等安全問題444過時的規(guī)定由于采用過時的規(guī)定所造成的安全問題443 1不遵守安全策略可能導致各種可能的安全威脅444不恰當?shù)氖褂迷O備、系 統(tǒng)與軟件不當?shù)氖褂迷O備造成的安全威脅N/A44惡意破壞系統(tǒng)設施對系統(tǒng)設

14、備、存儲介質等資產進行惡意破壞 N/A45 1濫用由于某授權的用戶（有意或無意的）執(zhí)行了授權他人要執(zhí) 行的舉動、可能會發(fā)生檢測不到的信息資產損害543設備或軟件被控制或 破壞惡意的控制或破壞設備，以取得機密信息54N/A遠程維護端口被非授 權的使用惡意的使用遠程維護端口，控制主機444數(shù)據(jù)傳輸或電話被監(jiān) 聽惡意截獲傳輸數(shù)據(jù)4N/AN/A辦公地點被非授權的 控制惡意監(jiān)控辦公地點、重要地帶，獲取重要信息544偵察通過系統(tǒng)開放的服務進行信息收集，獲取系統(tǒng)的相關信 息，包括系統(tǒng)的軟件、硬件和用戶情況等信息44N/A威脅分類威脅名稱說明威脅可能性嚴重程度CIA口令的暴力攻擊惡意的暴力嘗試口令533各類軟

15、件后門或后門 軟件軟件預留的后門或其他專門的后門軟件帶來的信息泄露 威脅432偷竊移動設備帶有機密信息的移動設備被竊取5N/A3惡意軟件計算機病毒、蠕蟲帶來的安全問題354偽裝標識的仿冒等信息安全問題44N/A分析信息流分析信息流帶來的信息安全問題4N/AN/A非法閱讀機密信息非授權的從辦公環(huán)境中取得可獲得的機密信息或復制數(shù) 據(jù)5N/AN/A社會工程學攻擊通過email、msn電話號碼、交談等欺騙或其他方式取得 內部人員的信任，進而取得機密信息5N/AN/A未經(jīng)授權將設備連接 到網(wǎng)絡未經(jīng)授權對外開放內部網(wǎng)絡或設備453密碼猜測攻擊對系統(tǒng)賬號和口令進行猜測，導致系統(tǒng)中的敏感信息泄漏531偽造證書

16、惡意的偽造證書，進而取得機密信息551遠程溢出攻擊攻擊者利用系統(tǒng)調用中不合理的內存分配執(zhí)行了非法的 系統(tǒng)操作，從而獲取了某些系統(tǒng)特權，進而威脅到系統(tǒng)完 整性553權限提升通過非法手段獲得系統(tǒng)更高的權限，進而威脅到系統(tǒng)完整 性553遠程文件訪問對服務器上的數(shù)據(jù)進行遠程文件訪問，導致敏感數(shù)據(jù)泄漏532法律糾紛,一由企業(yè)或信息系統(tǒng)行為導致的法律糾紛造成信譽和資產 損失333不能或錯誤地響應和 恢復系統(tǒng)無法或錯誤地響應和恢復導致故障和損失334由于網(wǎng)絡中通信流量過大導致的網(wǎng)絡無法訪問N/A35說明：C代表對機密性的破壞程度、I代表對完整性的破壞程度、A代表對可用性的破壞程度。N/A表示對此項安全屬性無

17、破壞或無意義。.脆弱性評估脆弱性評估內容包括管理、運維和技術三方面的內容。脆弱性評估過程是對信息系統(tǒng)中 存在的可被威脅利用的管理和運維缺陷、 技術漏洞分析與發(fā)現(xiàn)，并確定脆弱性被利用威脅的 難易程度（賦值）的過程。在本實施細則中，列出了信息安全管理、 運維和技術三方面的檢查點，這些檢查點都是對信息安全防護工作的具體要求，如果信息系統(tǒng)的管理、運維和技術條件不滿足這些點的檢查要求，則視為一個缺陷或漏洞。脆弱性檢查表中標記了每個檢查點對機密性（C）、完整性（I）、可用性（A）的是否有影響存（，表示有影響）。檢查表結果參與實施指南中定 義的風險計算和分析時， 以每一檢查點的實際得分情況和該檢查點的標準分

18、值的比率來確定 賦值，并由公司內專業(yè)技術支撐隊伍進行計算，方法如下：首先，按（1實際得分/標準分值）,算出該檢查點的不滿足程度；然后按下表對應賦值：標識等級（1實際得分/標準分值）%很高5大于等于80%高4大于等于60%,但小于80%中3大于等于40%,但小于60%低2大于等于20%,但小于40%很低1小于20%舉例說明：某檢查點標準分值10分，實際得分8分，則脆弱性賦值：首先?。? 8/10）%= 20%,然后按照上表對應，賦值結果為2= “低”。信息安全管理評估（總計：1800分）安全方針（小計：130分）檢查項目檢查內容等級保護標準分 值評分標準實際得分CIA信息安全 方針文件滿足國家、

19、公司政策要求和 本單位信息安全需求的獨立 信息安全方針文件安全管理 制度20檢查是否有獨立的信息安全方針文件，或者有包含信息安 全方針內容的綱領性文件（沒有則該項不得分）VVV信息安全方針文件中對信息 安全整體目標和信息安全工 作范圍的定義安全管理 制度201）檢查方針文件是否對信息安全整體目標進行了闡述（不符合扣10分）2）檢查方針義件是否對信息安全工作涉及的內容范圍進 行了明確界定（不符合扣6分）3）檢查方針文件是否對信息安全相關工作的協(xié)調和配合提出要求（不符合扣4分）VVV信息安全方針文件內容對國 家信息安全等級保護制度的 落實情況安全管理10檢查方針文件是否提出了以下耍求相關內容：1）

20、提出滿足信息安全等級保護制度的要求（不符合扣4分）2）對信息系統(tǒng)進行了明確等級劃分（不符合扣4分）3） 提出了分等級保護的工作要求（不符合扣2分）VVV信息安全方針文件內容對公司 信息安全工作原則與要求的貫 徹情況安全管理 制度20檢查方針文件是否符合：1）信息安全納入安全生產范疇的要求（不符合扣8分）公司信息安全三同步原則（不符合扣8分）主要業(yè)務系統(tǒng)的安全目標要求（不符合扣4分）VVV信息安全方針對信息安全工作 主要內容的闡述安全管理 制度10檢查方針文件：是否列出了信息安全工作內容 （不符合扣8分）工作內容是否符合國冢、公司的要求（不符合扣2分）VVV檢查項目檢查內容等級保護標準分 值評分

21、標準實際得分CIA信息安全方針文件應經(jīng)過單位 最高層領導的審批、授權，在 單位內部進行討論和宣貫安全管理 制度10檢查獨立的信息安全方針文件，或者包含信息安全方針內容的綱領，莊文件：1）是否經(jīng)過本單位最高層領導的審批。（不符合扣4分）2）制定過程是否廣泛征求了各相關業(yè)務部門的意見（檢查征求意見相關記錄）（不符合扣4分）3） 發(fā)布后是否進行了內部宣傳和學習。（不符合扣2分）VVV信息安全方針文件中對信息安 全方針落實情況進行考核、評 價的要求安全管理10檢查信息安全方針文件或包含相關內容的文件中是否提出 了考核或評價的要求、方法和內容。（有考核要求無具體內 容扣4分）VVV信息安全方針文件中對各

22、關鍵 內容的支持性管理制度要求安全管理 制度10檢查是否在涉及具體管理細節(jié)的內容點列出了相應的支持性管理制度文件名稱，例如：內部用戶不得訪問外部非法 網(wǎng)站時列出了內網(wǎng)用戶行為管理辦法（有明顯制度文件 缺失的點，每點扣 2分，扣完為止）VVV信息安全方針文件對自身的保 密要求安全管理101）檢查方針文件是否規(guī)定了本身的傳播范圍（不符合扣8分）2）檢查傳播范圍是否合理（不符合扣2分）V信息安全方針文件中對進行修 訂和審核的周期以及負責審核 部門的要求安全管理101）檢查是否定義了審核周期（不符合扣6分）2）檢查是否明確了負責審核的部門（不符合扣4分）VVV信息安全機構（小計：250分）檢查項目檢查

23、內容等級保護標準分 值評分標準實際得分CIA公司機構信息化領導小組應承擔信息安 全領導職責，或者成立了包括 高層領導的信息安全領導小組安全管理 機構30檢查是否有機構成立的相關文件（不符合扣30分）VVV信息安全第一責任人應為單位 高層領導安全管理101）檢查本單位是否自行制定了文件（不符合本條扣10分）2）或者直接沿用上級單位下發(fā)的文件（僅符合本條得4分）VVV成立跨部門的信息安全工作協(xié) 調機構來協(xié)調整體信息安全工 作安全管理 機構20檢查是否有機構成立白相關正式文件。（不符合扣20分）VVV信息安全領導機構和信息安全 工作協(xié)調機構的職責安全管理 機構101）檢查是否有領導機本軸定義文件（不

24、符合扣6分）2）檢查是杳后，作協(xié)調機構職責定義文件（不符合扣4分）VVV專業(yè)信息管理部門應獲得高層 授權開展日常的信息安全相關 審核、審批工作安全管理101）檢查信息管理部門是否有信息安全相關審核、審批權力（不符合扣6分）2）檢查是否有相關審核、審批記錄（不符合扣4分）VV應設置信息安全管理崗位，有 專人負責信息安全整體工作的 公司、協(xié)調和落實工作安全管理 機構101）檢查是否進行了有專人負責（不符合扣6分）2）檢查是否設置了信息安全管理崗位（不符合扣4分）VVV設立系統(tǒng)管理員、網(wǎng)絡管理員、 安全管理員等崗位，并定義各 個工作崗位的職責安全管理 機構101） 檢查是否設立安全管理各個方面的負責

25、人，設置了哪些工作崗位（如安全主管、安全管理各個方面的負責人、 機房管理員、系統(tǒng)管理員、網(wǎng)絡管理員、安全員等重要 崗位）（不符合扣6分）2）檢查是否明確各個崗位的職責分工（不符合扣4分）VVV檢查項目檢查內容等級保護標準分 值評分標準實際得分CIA人員配備配備一定數(shù)量的系統(tǒng)管理員、 網(wǎng)絡管理員、安全管理員等安全管理 機構10檢查各個安全管理崗位人員（按照崗位職責文件詢問，包括 機房管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡管理員、安 全員等重要崗位人員）配備情況，包括數(shù)量、專職還是兼職 等（不符合扣10分）VVV安排了專職信息安全管理員安全管理 機構10檢查是否安全管理員沒有兼任網(wǎng)絡管理員、系統(tǒng)管

26、理員、數(shù)據(jù)庫管理員；（不符合扣4分）VVV實行主、副崗備用制度安全管理 機構10查看是否所有崗位都指定了主、副負責人員（不符合扣1（分）V授權和審批根據(jù)各個部門和崗位的職責明 確授權審批事項、審批部門和 批準人等；安全管理 機構101）檢查職責文件中是否包含需審批事項列表（不符合扣6分）2） 檢查審批事項列表是否明確審批事項、審批部門、批準人及審批程序等（不符合扣4分）VV針對系統(tǒng)變更、重要操作、物 理訪問和系統(tǒng)接入等事項批實 行工作票、操作票制度，建立 審批程序，按照審批程序執(zhí)行 審批過程，對重要活動建立逐 級審批制度；安全管理 機構10檢查是否針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接 入等

27、重要事項建立審批程序文件；（不符合扣6分）檢查關鍵活動的工作票、 操作票記錄，并查看記錄的審 批程序與文件要求是否一致（不符合扣4分）VV定期審查審批事項，及時更新 需授權和審批的項目、審批部 門和審批人等信息；安全管理 機構101）檢查制度文件是否說明應定期審查、更新需審批的項目和審查周期等（不符合扣6分）2） 檢查審查記錄，查看記錄日期是否與審查周期一致（4符合扣4分）VV記錄審批過程并保存審批文 檔。安全管理 機構10檢查是否保存至少三個月的工作票、操作票的審批記錄；VVV溝通和合作加強各類管理人員之間、組織 內部機構之間以及信息安全職 能部門內部的合作與溝通，定 期或不定期召開協(xié)調會議

28、，共安全管理 機構101）檢查是否召開過部門間協(xié)調會議，組織其它部門人員共向協(xié)助處理信息系統(tǒng)安全有關問題（不符合扣4分）2） 檢查安全管理機構內部是否召開過安全工作會議部署安全工作的實施，參加會議的部門和人員有哪些，會議VVV檢查項目檢查內容等級保護標準分 值評分標準實際得分CIA同協(xié)作處理信息安全問題結果如何；（不符合扣3分）3）檢查信息安全領導小組或者安全管理委員會是否定期 召開例會（不符合扣3分）與外部信息安全專業(yè)機構或專 家溝通順暢，在需要時能及時 獲得外部信息安全機構或專家 的建議和技術支持安全管理 機構101） 檢查是否建立了經(jīng)常聯(lián)系的專業(yè)機構，是否包含公安機關、電信公司、兄弟單位

29、、供應商、業(yè)界專家、專業(yè)的 安全公司、安全組織等（不符合扣6分）2）專業(yè)機構能夠及時提供技術支持（不符合扣4分）VVV建立外聯(lián)單位聯(lián)系列表，包括 外聯(lián)單位名稱、合作內容、聯(lián) 系人和聯(lián)系方式等信息安全管理 機構10檢查外聯(lián)單位說明文檔，是否說明外聯(lián)單位的聯(lián)系人和聯(lián)系力式等內容（不符合扣10分）V聘請信息安全專家作為常年的 安全顧問，指導信息安全建設， 參與安全規(guī)劃和安全評審等安全管理 機構101）檢查是否具有安全顧問名單或者聘請安全顧問的證明 文件（不符合扣6分）2）檢查由安全顧問指導信息安全建設、參與安全規(guī)劃和安全評審的相關文檔或記錄，是否具有由安全顧問簽字的 相關建議（不符合扣4分）VVV審

30、核和檢 查安全管理員負責定期進行安 全檢查，檢查內谷包括系統(tǒng)日 常運行、系統(tǒng)漏洞和數(shù)據(jù)備份 等情況；安全管理 機構101）檢查是否定期對信息系統(tǒng)進行安全檢查（不符合扣4分）2）檢查是否定期分析、評審異常行為的審計記錄（不符合扣3分）3） 檢查安全檢查報告， 查看報告日期與檢查周期是否一致（不符合扣3分）VVV由內部人員或上級單位定期 進行全向安全檢查， 檢查內容 包括現(xiàn)有安全技術措施的有 效性、安全配置與安全策略的 一致性、安全管理制度的執(zhí)行 情況等；安全管理 機構101）檢查是否要求內席B人員或上級單位定期對信息系統(tǒng)進行全卸安全檢查（不符合扣4分）2）檢查內容是否包括現(xiàn)有安全技術措施的有效性

31、、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等（不符合扣3分）3） 檢查安全檢查報告， 查看報告日期與檢查周期是否一致（不符合扣3分）VVV制定安全檢查表格實施安全安全管理101）檢查是否具有安全檢查表格（不符合扣4分）VVV檢查項目檢查內容等級保護標準分 值評分標準實際得分CiA檢查，匯總安全檢查數(shù)據(jù)， 形 成安全檢查報告，并對安全檢 查結果進行通報；機構2）檢查安全檢查報告，查看報告日期與檢查周期是否一 致，報告中是否有檢查內容、檢查人員、檢查數(shù)據(jù)匯總 表、檢查結果等的描述（不符合扣6分）制定安全審核和安全檢查制 度規(guī)范安全審核和安全檢查 工作，定期按照程序進行安全 審核和安全檢查

32、活動安全管理 機構101）檢查是否具有安全審核和安全檢查制度（不符合扣6分）2）檢查安全審核和安全檢查過程記錄（不符合扣4分）VV人員安全管理（小計：100分）檢查項目檢查內容等級保護標準分 值評分標準實際得分CIA人員錄用對單位的新錄用人員要簽署保 密協(xié)議人員安全 管理101）檢查是否有相關管理要求（不符合扣4分）2）檢查是否后簽署的保密協(xié)議文件（不符合扣6分）V指定或授權專門的部門或人員 負責人員錄用人員安全 管理10檢查是否有專門部門或人員負責人員錄用（不符合扣10分）VV嚴格規(guī)范人員錄用過程，對被 錄用人的身份、背景、專業(yè)資 格和資質等進行審查，對其所 具有的技術技能進行考核人員安全

33、管理10檢查人員錄用時是否對被錄用人的身份、背景、專業(yè)資格和資質進行審查，對技術人員的技術技能進行考核（不符合扣10分）VV從內部人員中選拔從事關鍵崗 位的人員，并簽署崗位安全協(xié) 議人員安全 管理10檢查對從事關鍵崗位的人員是否從內部人員中選拔，是否要 求其簽署崗位安全協(xié)議（不符合扣10分）V人員離崗對即將離崗的員工立即終止其 在信息系統(tǒng)中的所有訪問權限人員安全 管理101）查看員工離崗流程中是否有相關要求（不符合扣4分）2）檢查是否有終止訪問權限的表單（不符合扣6分）V取回離崗人員的各種身份證 件、鑰匙、徽章等以及單位提 供的軟硬件設備人員安全 管理101）查看員工離崗流程中是否有相關要求（

34、不符合扣4分）2） 檢查是否有設備、證彳等上繳表單記錄（無記錄扣6分）VV離崗人員由人事部門辦理調離 手續(xù)，并由離崗人員書面承諾 調離后的保密義務人員安全 管理101）查看員工離崗流程中是否有相關要求（不符合扣4分）2）檢查是否有簽署的離崗保密承諾文件（無記錄扣6分）V第三方人員 管理要求第二方人員在訪問前與公 司簽署安全責任合同書或保密 協(xié)議安全管理101）查看是否有對第二方訪問進行管理的規(guī)定（不符合扣4分）2）檢查是否有書面保證文件（不符合扣6分）V對第二方人員訪問重要區(qū)域以 書面形式批準，并曲專人全程 陪同或監(jiān)督，記錄備案人員安全 管理10檢查是否有審批記錄或監(jiān)督記錄（不符合扣10分）V

35、VV檢查項目檢查內容等級保護標準分 值評分標準實際得分CiA對第二方人員允許訪問的區(qū) 域、系統(tǒng)、設備、信息等內容 進行書面的規(guī)定，并按照規(guī)定 執(zhí)行人員安全 管理10檢查是否有義件進行了規(guī)定（不符合扣10分）VV信息安全制度文件管理（小計：230）檢查項目檢查內容等級保護標準分 值評分標準實際得分CIA信息安全策 略體系建立信息安全策略體系，明確 本單位需要的信息安全制度內 容安全管理 制度20檢查是否有描述信息安全策略體系的相關文件或定義信息安 全管理制度白文件內容（不符合扣20分）VVV對安全管理活動中的各類管理 內容建立安全管理制度安全管理 制度10檢查安全管理制度清單中是否覆蓋物理、網(wǎng)絡

36、、主機系統(tǒng)、 數(shù)據(jù)、應用和管理等層面（不符合扣10分）VVV對要求管理人員或操作人員執(zhí) 行的日常管理操作建立操作規(guī) 程；安全管理 制度10檢查是否具有重要管理操作的操作規(guī)程，如系統(tǒng)維護手冊和 用戶操作規(guī)程等（不符合扣10分）VVV形成由安全策略、管理制度、 操作規(guī)程等構成的全面的信息 安全管理制度體系安全管理 制度10檢查安全制度體系是否由安全政策、安全策略、管理制度、 操作規(guī)程等構成（不符合扣10分）VVV信息安全制 度管理定期對信息安全管理制度進行 審核、修訂、更新、廢除過時 的管理制度，制定、發(fā)布、宣 貫新的管理要求安全管理 制度10檢查是否有制度管理文件（不符合扣10分）檢查制度管理文

37、件內容是否明確了制度審核的周期（沒有扣6分）VVV指定或授權專門的部門或人員 負責安全管理制度的制定；安全管理 制度10安全管理制度是否在信息安全領導小組或委員會的總體負責 下統(tǒng)一希1定（不符合扣10分）VVV安全管理制度具有統(tǒng)一的格 式，并進行版本控制；安全管理 制度101）檢查安全管理制度文檔， 查看是否注明適用和發(fā)布范圍， 是否有版本標識，是臺后密級標注，是否有管理層的簽 字或蓋章；（不符合扣6分）2）檢查各項制度文檔格式是否統(tǒng)一 （不符合扣4分）VVV組織相關人員對制定的安全管 理制度進行論證和審定；安全管理 制度101）檢查安全管理制度的制定程序，檢查是否對制定的安全 管理制度進行論

38、證和審定，論證和評審方式如何（如召 開評審會、函審、內部審核等）（不符合扣10分）2）檢查管理制度評審記錄，查看是否有相關人員的評審意VVV檢查項目檢查內容等級保護標準分 值評分標準實際得分CIA見（不符合扣5分）估息安全工作的總體方針和安 全策略得到管理者的正式批準 和授權；安全管理 制度10檢查信息安全總體方案和安全策略文檔中是否標明得到管理 者的正式批準和授權（不符合扣10分）VVV安全管理制度通過正式、有效 的方式發(fā)布;安全管理 制度10檢查是否有安全管理制度的發(fā)布程序（不符合扣10分）VVV安全管理制度注明發(fā)布范圍， 并對收發(fā)文進行登記。安全管理 制度101）檢查安全管理制度的收發(fā)登

39、記記錄（不符合扣10分）2）檢查收發(fā)是否符合規(guī)定程序和發(fā)布范圍要求（不符合扣5分）VVV信息安全制 度審核信息安全領導小組負責定期組 織相關部門和相關人員對安全 管理制度體系的合理性和適用 性進行審定，并進行信息安全 制度的修訂、更新而廢除。安全管理 制度101）檢查信息安全領導小組職責中是否明確要求定期組織相關部門和人員對安全管理制度進行評審（不符合扣5分）2）檢查制度修訂、更新而廢除的相關工作記錄或證明（不符 合扣3分）3）現(xiàn)有管理制度是否有明顯過時或已經(jīng)不適用的內容（有則扣2分）VVV建立相關機制，確保定期對安 全管理制度體系進行檢查和審 定，對存在不足或需要改進的 體系制度和流程進行修

40、訂。安全管理 制度101）檢查是否具有所有安全管理制度對應相應負責人或者負責部門的清單，清單是否注明評審周期（不符合扣5分）2）檢查對安全管理制度進行審定的記錄（不符合扣5分）VVV信息安全管 理制度機房管理制度，包括機房環(huán)境 管理、機房進出管理、機房內 工作管理等內容系統(tǒng)運維 管理8檢查機房管理相關制度文彳%缺少一項內容扣2分VVVU盤、光盤使用管理制度系統(tǒng)運維 管理6缺ua使用管理制度，扣除4分，缺光盤使用管理制度，扣除 2 分：V主機設備安全管理制度系統(tǒng)運維 管理8檢查是否有相關管理制度（不符合扣8分）VVV網(wǎng)絡設施安全管理制度系統(tǒng)運維 管理8檢查是否有相關管理制度（不符合扣8分）VVV

41、檢查項目檢查內容等級保護標準分 值評分標準實際得分CIA物理設施分類標記管理制度系統(tǒng)運維 管理6檢查是否有相關管理制度（不符合扣8分）VVV安全配置管理制度、系統(tǒng)分發(fā) 和操作規(guī)章制度、系統(tǒng)文檔安 全管理制度、測試和評估制度、 系統(tǒng)信息安全備份制度系統(tǒng)運維 管理10缺少一項管理內容，扣除2分VVV網(wǎng)絡連接檢查評估制度、網(wǎng)絡 使用授權制度、網(wǎng)絡檢測制度、 網(wǎng)絡設施（設備和協(xié)議）變更 控制制度等系統(tǒng)運維 管理8缺少一項管理內容，扣除2分VV應用系統(tǒng)上線前測評制度、應 用系統(tǒng)上線后安全評估制度、 應用系統(tǒng)使用授權制度、應用 系統(tǒng)配置管理制度、應用系統(tǒng) 文檔管理制度等系統(tǒng)建設 管理10缺少一項管理內容，

42、扣除2分VVV人員安全管理制度、安全意識 和安全技術教育制度、操作安 全管理制度、操作系統(tǒng)和數(shù)據(jù) 庫管理制度、系統(tǒng)運行記錄編 寫制度、病毒防護管理制度、 網(wǎng)絡互聯(lián)安全管理制度、安全 審計管理制度、安全事件報告 制度、事故處理制度、應急管 理制度和災難恢復管理制度等安全管理18缺少一項管理內容，扣除2分，扣完為止VVV信息分類標記制度、涉密信息 安全管理制度、技術文檔管理 制度、存儲介質管理制度、信 息披露與發(fā)布審批管理制度等系統(tǒng)運維 管理8缺少一項管理內容，扣除2分，扣完為止VVV信息化建設中的安全管理（小計：520分）檢查項目檢查內容等級保護標準分 值評分標準實際得分CIA規(guī)劃設計階 段的信

43、息安 全管理信息系統(tǒng)規(guī)劃過程中進行明確 的信息安全需求分析系統(tǒng)建設 管理20抽取12個新建成系統(tǒng)，查看規(guī)劃階段形成的文件：是否有管理要求明確系統(tǒng)建設規(guī)劃階段必須進行信息安 全需求分析（不符合扣10分）.B是否對建成后的系統(tǒng)運行環(huán)境進行了安全需求分析（不符合扣5分）是否對業(yè)務應用本身進行了安全需求分析（不符合扣5分）VVV在新系統(tǒng)建設或已由系統(tǒng)改造 方案中，包括安全要求系統(tǒng)建設 管理201） 查看是否有管理要求對系統(tǒng)開發(fā)/米購過程提出明確的信息安全要求，沒有明確要求扣10分2）抽查2個新系統(tǒng)的建設方案，沒有提出明確安全要求， 每個系統(tǒng)扣5分VVV信息系統(tǒng)設計方案中對軟件安 全功能進行了設計系統(tǒng)建

44、設 管理20檢查信息系統(tǒng)設計方案中的安全功能設計是否與提出的安全 需求向符（不符合扣6分）VVV軟件開發(fā)過程中實現(xiàn)設計方案 中提出的安全功能系統(tǒng)建設 管理20抽查1個已建系統(tǒng)是否實現(xiàn)了設計方案中提出的安全功能，無相關實現(xiàn)的，則該項/、得分。實現(xiàn)部分的，則扣10分V系統(tǒng)開發(fā)的 安全管理驗證應用系統(tǒng)輸入的數(shù)據(jù)、驗 證不同類型輸入的出錯消息、 響應驗證錯誤的流程、定義所 有數(shù)據(jù)輸入過程中所涉及人員 的職責等安全管理20抽取一個新建或在建系統(tǒng)的設計、開發(fā)文檔，查看管理/技術要求中對系統(tǒng)安全性的規(guī)定，無相關要求的，該項不得分。抽查系統(tǒng)測試記錄，若內容中無相關測試驗證結果說明扣1（分V確保對程序資源庫的修

45、改、更 新、發(fā)布進行授權和批準系統(tǒng)建設 管理10查看管理要求中的相關規(guī)定，無相關要求的，該項不得分。 抽查授權和批準記錄，不能提供的該項不得分VVV制定代碼編寫安全規(guī)范，要求 開發(fā)人員參照規(guī)范編寫代碼系統(tǒng)建設 管理10檢查是否制定了彳t碼編寫規(guī)范（不符合該項不得分）抽查了解開發(fā)人員是否按規(guī)范編寫代碼（不符合扣6分）VVV確保提供軟件設計的相關文檔;系統(tǒng)建設101） 檢查是否具有需求分析說明書、軟件設計說明書和軟件VVV檢查項目檢查內容等級保護標準分 值評分標準實際得分CIA和使用指南，并由專人負責保 管管理操作手冊等開發(fā)文檔（不符合扣5分）2）檢查文檔是否的專人負責保管（不符合扣5分）外包軟件

46、開發(fā)：根據(jù)開發(fā)需求 檢測軟件質量系統(tǒng)建設 管理101）檢查是否要求外包軟件開發(fā)商檢測軟件質量（不符合扣5分）2）檢查是否保存軟件質量測試報告（不符合扣5分）VV外包軟件開發(fā)：要求開發(fā)單位 提供軟件源代碼，并審查軟件 中可能存在的后門系統(tǒng)建設 管理10檢查是否要求開發(fā)單位提供軟件源代碼（不符合扣5分）檢查是否審查軟件中可能存在的后門，抽查相關記錄（不符合扣5分）VV軟件開發(fā)外包：在與軟件開發(fā) 單位簽訂的協(xié)議中，明確知識 產權的歸屬和安全方面的要求安全管理10查看管理要求中的相關規(guī)定，無相關要求的，該項不得分。 抽查文檔記錄，若缺少相關文檔，則該項不得分VV軟件開發(fā)外包：在軟件安裝之 前檢測軟件包

47、中可能存在的惡 意代碼，并保留完整的測試記 錄系統(tǒng)建設 管理10查看管理/技術要求中的相關規(guī)定， 無相關要求的，該項不得 分。抽查測試記錄，沒有則該項為0分V軟件開發(fā)外包：要求開發(fā)單位 提供軟件設計的相關文檔和使 用指南系統(tǒng)建設 管理10查看管理要求中的相關規(guī)定，無相關要求的，該項不得分。 抽查測試記錄，沒有則該項不得分V自行軟件開發(fā)：確保開發(fā)環(huán)境 與實際運行環(huán)境物理分開，開發(fā)人員和測試人員分離，測試 數(shù)據(jù)和測試結果受到控制系統(tǒng)建設 管理101）查看是否有管理制度予以要求（不符合扣5分）2）檢查開發(fā)和測試人員是否分離（不符合扣3分）3）是否保留測試數(shù)據(jù)和測試結果并由專人保管（不符合扣2分）VV

48、V自行開發(fā)：制定開發(fā)方面的管 理制度，以明確說明開發(fā)過程 的控制方法和人員行為準則系統(tǒng)建設 管理10若無相關制度，則該項為 0分VVV系統(tǒng)集成與 采購中的安 全管理對1商交付的主機操作系統(tǒng)、 數(shù)據(jù)庫系統(tǒng)等進行了配置安全 加固審核、操作系統(tǒng)安全補丁安全管理10查看管理要求中的相關規(guī)定是否有主機操作系統(tǒng)安全加固方面相關規(guī)定（不符合扣5分）是否有數(shù)據(jù)庫系統(tǒng)安全加固方面相關規(guī)定（不符合扣5分）VVV檢查項目檢查內容等級保護標準分 值評分標準實際得分CIA安裝情況審核確保密碼產品米購和使用符合 國家密碼主管部門的要求系統(tǒng)建設 管理101）檢查系統(tǒng)是否米用了密碼產品（不符合扣5分）2）密碼產品的使用是否符

49、合國冢密他王管部門的要求（不符合扣5分）VV指定或授權專門的部門負責產 品的采購系統(tǒng)建設 管理10查看管理要求中的相關規(guī)定，是否指定或授權專門的部門負 責產品的米購（不符合扣10分）VVV預先對產品進行選型測試，確 定產品的候選范圍，并定期審 定和更新候選廣品名單系統(tǒng)建設 管理10檢查管理要求中的相關規(guī)定，是否要求預先對產品進行選型測試（不符合扣5分）檢查是否存在候選產品名單，是否定期審定并更新（不符合扣5分）VVV應有機制確保米購和集成中的 安全設備都通過了國家、公司 相關機構的測評、認證系統(tǒng)建設 管理10查看產品采購管理制度中是否有相關規(guī)定。（不符合扣10分）VVV要求廠家針對其提供的系統(tǒng)

50、或 設備提供信息安全方面的技術 服務安全管理10查看產品采購管理制度中是否有相關規(guī)定。（不符合扣10分）VVV工程實施指正或授權專門的部門或人 員負責工程實施過程的管理；系統(tǒng)建設 管理10檢查是否指定專門人員或部門按照工程實施方案的要求對工 程實施過程進行進度和質量控制（不符合扣10分）VVV制定詳細的工程實施方案控 制實施過程，并要求H程實施 單位能正式地執(zhí)行安全工程 過程；系統(tǒng)建設:管理10檢查是否制定工程實施方案（沒有該項不得分）查看其內容是否覆蓋工程時間限制、進度控制和質量控 制等方面內容（不符合扣5分）VVV制定工程實施方面的管理制 度，明確說明實施過程的控制 方法和人員行為準則系統(tǒng)

51、建設 管理10檢查工程實施管理制度，查看其是否規(guī)定工程實施過程的控 制方法（如內部階段性控制或外部監(jiān)理單位控制）、實施參與人員的各種行為等方面內容 （不符合扣10分）VV測試驗收委托公正的第二方測試單位 對系統(tǒng)進行安全性測試， 并出 具安全性測試報告；系統(tǒng)建設 管理10檢查在信息系統(tǒng)正式運行前，是否委托第三方測試機構根據(jù) 設計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試 抽查系統(tǒng)安全性測試報告 （不符合扣10分）VVV檢查項目檢查內容等級保護標準分 值評分標準實際得分CIA在測試驗收前根據(jù)設計方案 或合同要求等制訂測試驗收 方案，在測試驗收過程中詳細 記錄測試驗收結果，并形成測 試驗收報告；系

52、統(tǒng)建設 管理101）檢查是否在在測試驗收前根據(jù)設計方案或合同要求等制 訂測試驗收方案；（不符合扣4分）查看測試記錄是否詳細記錄了測試時間、人員、操作過 程、測試結果等方面內容，是否提出存在問題及改進意 見等（不符合扣3分）檢查是否形成測試驗收報告（不符合扣3分）VVV對系統(tǒng)測試驗收的控制方法 和人員行為準則進行書面規(guī) 士系統(tǒng)建設 管理10檢查驗收測試管理制度是否對系統(tǒng)驗收測試的過程控制、參 與人員的行為等進行規(guī)定（不符合扣10分）VV指定或授權專門的部門負責 系統(tǒng)測試驗收的管理，并按照 管理規(guī)定的要求完成系統(tǒng)測 試驗收工作；系統(tǒng)建設 管理10檢查是否指定專門部門負責測試驗收工作（不符合扣5分）

53、檢查是否對測試過程（包括測試前、測試中和測試后）進行 文檔化要求和制度化要求（不符合扣5分）VVV組織相關部門和相關人員對 系統(tǒng)測試驗收報告進行審定， 并簽字確認。系統(tǒng)建設 管理10檢查是否根據(jù)設計方案或合同要求組織相關部門和人員對測試報告進行符合性審定，并簽字確認（不符合扣10分）VV系統(tǒng)交付制定詳細的系統(tǒng)交付清單，并 根據(jù)交付清單對所交接的設 備、軟件和文檔等進行清點；系統(tǒng)建設 管理10檢查系統(tǒng)交付清單，查看其是否具有系統(tǒng)建設文檔（如系統(tǒng) 建設方案）、指導用戶進行系統(tǒng)運維的文檔（如服務器操作規(guī) 程書）以及系統(tǒng)培訓手冊等文檔名稱（不符合扣10分）VV對負責系統(tǒng)運行維護的技術 人員進行相應的技

54、能培訓；系統(tǒng)建設 管理10檢查信息系統(tǒng)建設實施方是否對運維技術人員進行過培訓（不符合扣4分）檢查是否以書面形式承諾對系統(tǒng)運行維護提供一定的技術支持服務（不符合扣2分）檢查是否按照服務承諾書的要求進行過技術支持（不符合扣2分）檢查培訓記錄（不符合扣2分）VVV確保提供系統(tǒng)建設過程中的 文檔和指導用戶進行系統(tǒng)運系統(tǒng)建設 管理101）檢查系統(tǒng)是否具有建設過程中的文檔（不符合扣5分）2）檢查系統(tǒng)是否具有支持其獨立運行維護所需的文檔（不VVV檢查項目檢查內容等級保護標準分 值評分標準實際得分CIA行維護的文檔；對系統(tǒng)交付的控制方法和人 員行為準則進行書面規(guī)定；系統(tǒng)建設 管理10符合扣5分）檢查系統(tǒng)交付管

55、理制度，查看其是否規(guī)定了交付過程的控制方法和對交付參與人員的行為限制等方面內容（不符合扣1（分）VVV指定或授權專門的部門負責 系統(tǒng)交付的管理工作，并按照 管理規(guī)定的要求完成系統(tǒng)交 付工作。系統(tǒng)建設 管理101）檢查系統(tǒng)交付的管理工作是否曲專門部門負責（不符合扣5分）2） 抽查系統(tǒng)交付相關記錄，查看是否按照管理規(guī)定要求完 成交付工作（不符合扣5分）VVV密碼技術應 用控制確定數(shù)據(jù)的敏感程度和所需的 保護級別安全管理10若沒有相關策略，則該項為0分VVV使用數(shù)字簽名保護電子文檔的 真實性和完整性使用不可否認服務安全管理安全管理1010查看管理方法中的相關規(guī)定，無相關要求的，該項不得分。若確定了保

56、護等級，但缺少加密技術保護數(shù)據(jù) ，則該項為10分；若未確定保護等級，則該項為0分若未使用，則該項為0分VVVVV新設備和新 系統(tǒng)的接入 管理新系統(tǒng)、新設備接入網(wǎng)絡運行 的審核、審批管理制度系統(tǒng)運維 管理16查看管理要求中的相關規(guī)定，無相關要求的，則該項不得分VVV不經(jīng)過信息安全審核的系統(tǒng)不 能接入單位網(wǎng)絡運行安全管理16查看管理要求中的相關規(guī)定，無相關要求的，則該項不得分VVV新建系統(tǒng)或新米購設備接入單 位網(wǎng)絡時應經(jīng)過信息安全的審 批安全管理16查看管理要求中的相關規(guī)定，無相關要求的，則該項不得分VVV信息安全監(jiān) 理制定信息安全監(jiān)理管理相關規(guī)士7E安全管理10查看管理要求中的相關規(guī)定，無相關要

57、求的，則該項不得分VVV重大系統(tǒng)建設應引入第二方信 息安全監(jiān)理機制，確保系統(tǒng)建 設過程中各環(huán)節(jié)的安全性安全管理6查看管理要求中的相關規(guī)定，無相關要求的，則該項不得分VVV對監(jiān)理方的意見應給予充分的 考慮安全管理6檢查相關會議記錄、問題答復（不符合扣6分）VVV檢查項目檢查內容等級保護標準分 值評分標準實際得分CIA安全服務商 選擇確保安全服務商的選擇符合國 家的有關規(guī)定；系統(tǒng)建設 管理10檢查安全服務商的選擇符合國家的相關規(guī)定（不符合扣1（分）VVV與選定的安全服務商簽訂與安 全相關的協(xié)議，明確約定相關 責任；系統(tǒng)建設 管理10檢查與選定的安全服務商是否簽訂與安全相關的協(xié)議（不符合扣5分）檢查

58、協(xié)議內容是否約定相關安全責任（不符合扣5分）VVV確保選定的安全服務商提供 技術培訓和服務承諾，必要的 與其簽訂服務合同。系統(tǒng)建設 管理101） 檢查選定的安全服務商是否提供技術培訓和服務承諾；（不符合扣5分）2）檢查是否與長期提供服務、或關鍵系統(tǒng)的安全服務商簽 訂服務合同（不符合扣5分）VVV信息安全等級保護（小計： 220分）檢查項目檢查內容等級保護標準分值評分標準實際得分CIA等級保護定 級按照公司信息系統(tǒng)統(tǒng)一定級情況對 本單位信息系統(tǒng)定級進行核實系統(tǒng)建 設管理10查看是否有定級情況核實工作的記錄（不符合扣10分）VVV對不屬于公司統(tǒng)一定級范疇的信息 系統(tǒng)自行開展定級工作安全管 理10查

59、看是否有定級文件（不符合扣10分）VVV明確信息系統(tǒng)的邊界和安全保護等 級系統(tǒng)建 設管理10檢查信息系統(tǒng)是否明確邊界和安全保護等級（不符合扣10分）VVV以書面的形式說明確定信息系統(tǒng)為 某個安全保護等級的方法和理由系統(tǒng)建 設管理10檢查信息系統(tǒng)定級文檔是否說明信息系統(tǒng)定級的方法和理由 （不符合扣10分）VVV組織相關部門和有美安全技術專家 對信息系統(tǒng)定級結果的合理性和正 確性進行論證和審定系統(tǒng)建 設管理101）檢查是否組織相關部門和有美安全技術專家對信息系統(tǒng)定級結果的合理性和正確性進行論證和審定（不符合扣5分）2）抽查部分信息系統(tǒng)的定級論證和審定記錄或報告（不符合扣5分）VVV確保信息系統(tǒng)的定

60、級結果經(jīng)過相關 部門的批準系統(tǒng)建 設管理10檢查信息系統(tǒng)定級報告是否經(jīng)過相關部門的批準記錄（授權部 門的批準文件、蓋章或簽字）（不符合扣10分）VV信息系統(tǒng)定級情況對各業(yè)務部門進 行通報安全管 理10查看是否有對各業(yè)務部門進行定級情況通報的文件（不符合扣10分）VVV等級防護工 作根據(jù)各業(yè)務系統(tǒng)的定級進行安全域 的劃分安全管 理20查看是否根據(jù)業(yè)務系統(tǒng)的信息安全等級進行了安全域的劃分 （不符合扣20分）VVV針對/、同等級信息系統(tǒng)制定等級保 護方案系統(tǒng)建 設管理20查看是否制定了等級保護方案（沒有該項不得分） 查看等級保護方案是否統(tǒng)一考慮安全保障體系的總體安全策 略、安全技術框架、安全管理策略