贛州市交通局信息系統(tǒng)安全檢查實施方案

1、贛州市交通局信息系統(tǒng)安全檢查實施方案為規(guī)范和加強贛州市交通局信息系統(tǒng)安全工作，提高信息安全保障能力，保證贛州市交通局信息系統(tǒng)和信息內(nèi)容安全，根據(jù)國務(wù)院辦公廳印發(fā)的政府信息系統(tǒng)安全檢查辦法和2009年度江西省政府信息系統(tǒng)安全檢查指南要求，結(jié)合我局實際情況，制訂本實施方案。一、檢查目的針對當(dāng)前境外敵對勢力大肆利用各種手段對我各級政府信息系統(tǒng)進行網(wǎng)絡(luò)攻擊、破壞、竊密活動的嚴(yán)峻形勢，通過定期開展全面的安全檢查，進行信息系統(tǒng)安全風(fēng)險評估、安全測評等工作，及時掌握政府信息系統(tǒng)安全狀況和面臨的威脅，認真查找隱患，堵塞安全漏洞，落實和完善安全措施，建立健全信息安全保障機制，減少安全風(fēng)險，提高應(yīng)急處置能力，確保

2、政府信息系統(tǒng)持續(xù)安全穩(wěn)定運行。二、檢查范圍市交通局局機關(guān)及其下屬企、事業(yè)單位自行運行和維護管理以及委托其他機構(gòu)運行和維護管理的辦公系統(tǒng)、重要業(yè)務(wù)系統(tǒng)、網(wǎng)站系統(tǒng)。三、檢查內(nèi)容重點檢查與網(wǎng)絡(luò)和信息系統(tǒng)相關(guān)的硬件、軟件、服務(wù)、信息和人員的基本情況，對信息系統(tǒng)存在的管理和技術(shù)薄弱環(huán)節(jié)進行查找、分析歸納；對已有安全管理體系、安全措施進行核實和評價，主要包括以下內(nèi)容：（一）安全管理制度建立與落實。是否按照要求建立健全了信息安全責(zé)任制，做到了機構(gòu)到位、人員到位、責(zé)任到位、措施到位。運維管理、保密管理、密碼管理、等級保護、重要部門（重點、敏感崗位）人員管理制度建立和落實情況。（二）安全防范措施。是否有明確的安

3、全需求及解決方案，是否采取了整體的安全防護措施。重點檢查身份認證、訪問控制、數(shù)據(jù)加密、安全審計、責(zé)任認定以及防篡改、防病毒、防攻擊、防癱瘓、防泄密等技術(shù)措施的有效性。檢測信息系統(tǒng)是否存在安全漏洞，以及計算機、移動存儲設(shè)備、電子文檔的安全防護措施的落實情況。（三）應(yīng)急響應(yīng)機制。應(yīng)急機構(gòu)是否健全，應(yīng)急責(zé)任人員及措施是否到位，是否按照要求制定了應(yīng)急預(yù)案，是否對預(yù)案進行了宣傳貫徹和培訓(xùn)，是否開展了演練，是否明確了應(yīng)急技術(shù)支援隊伍。重大信息安全事故發(fā)生及處置情況，重要數(shù)據(jù)和業(yè)務(wù)系統(tǒng)采取的備份措施及備份方式情況。（四）信息技術(shù)產(chǎn)品和服務(wù)。計算機、公文處理軟件、信息安全產(chǎn)品等使用國產(chǎn)產(chǎn)品情況，重點是信息系統(tǒng)

4、關(guān)鍵部位的服務(wù)器、路由器、交換機等使用國產(chǎn)產(chǎn)品的情況，以及信息安全服務(wù)外包情況。對因特殊原因選用國外信息安全技術(shù)產(chǎn)品和信息安全服務(wù)是否進行了安全審查工作，以及審查的方式。（五）安全教育培訓(xùn)情況。是否對工作人員進行了安全和保密意識教育、安全技能培訓(xùn)，以及對信息安全常識和技能掌握情況進行考核。重點、敏感崗位人員是否制定了針對外包服務(wù)人員等外來人員的安全管理規(guī)定。（六）責(zé)任追究情況。重點檢查對違反信息安全規(guī)定行為和造成泄密事故、信息安全事故的查處情況，對責(zé)任人和有關(guān)負責(zé)人追究以及懲處措施的落實情況。（七）運維管理。是否根據(jù)制度維護信息系統(tǒng)，是否存在詳細設(shè)備、系統(tǒng)運維記錄和安全日志分析報告，系統(tǒng)性能的

5、監(jiān)控措施及運行狀況。（八）開展風(fēng)險評估、安全測評情況。是否對信息系統(tǒng)進行了風(fēng)險評估和安全評測，開展方式是自行開展還是委托開展，委托開展是否簽訂了安全保密協(xié)議。（九）信息安全經(jīng)費保障情況。信息安全經(jīng)費數(shù)額、信息安全經(jīng)費在信息化建設(shè)經(jīng)費中所占比重及信息安全經(jīng)費是否按預(yù)算計劃執(zhí)行。（十）物理環(huán)境。物理環(huán)境的建設(shè)是否符合國家的相關(guān)標(biāo)準(zhǔn)和規(guī)范，是否按照國家的相關(guān)規(guī)定建立機房安全管理制度，機房安全管控措施、防災(zāi)措施、供電和通信系統(tǒng)的保障措施是否有效。（十一）安全隱患排查及整改情況。對以往開展的信息安全檢查、風(fēng)險評估和安全測評，發(fā)現(xiàn)安全隱患和問題的整改情況。四、檢查步驟及時間安排（一）時間安排。從2009年

6、9月開始至2009年12月31日止，用4個月的時間開展交通信息系統(tǒng)安全檢查工作。（二）檢查準(zhǔn)備及自查。成立安全檢查領(lǐng)導(dǎo)小組，明確檢查責(zé)任人，并參照本實施方案對檢查工作進行安排部署并開始自查。同時，按照要求認真填寫基本信息調(diào)查表和安全狀況調(diào)查表，并由主管領(lǐng)導(dǎo)簽字并加蓋單位公章。（三）分析總結(jié)。根據(jù)自查情況，各單位系統(tǒng)分析信息系統(tǒng)的安全狀況和安全隱患，查找問題產(chǎn)生的原因，11月底前上報自查報告和附表1、2。（四）問題整改。對檢查過程中發(fā)現(xiàn)的安全問題，短時間內(nèi)能完成的要及時整改，不能在短時間內(nèi)整改的要制訂相應(yīng)整改計劃，在一個月內(nèi)完成整改，并提交整改報告。（五）檢查實施。將組織對各單位信息安全檢查整改

7、工作進行抽查。重點檢查安全檢查領(lǐng)導(dǎo)機構(gòu)是否完善，責(zé)任落實是否到位，基本信息調(diào)查表和安全狀況調(diào)查表是否如實填寫等。五、具體要求（一）市交通系統(tǒng)單位要把政府信息安全檢查工作列入重要議事日程，加強組織領(lǐng)導(dǎo)，明確責(zé)任，落實人員和經(jīng)費，保證檢查工作順利進行。為保證此項工作的順利開展，市局成立“政府信息系統(tǒng)檢查領(lǐng)導(dǎo)小組”，組長為劉昌民調(diào)研員，成員楊北林、郇為民、范華榮、蘇代煥、鐘衛(wèi)東、王庭基。下設(shè)辦公室，辦公室主任為鐘衛(wèi)東。請各單位于2009年11月30日前按文件要求將本單位信息安全檢查情況書面報送“政府信息系統(tǒng)檢查領(lǐng)導(dǎo)小組辦公室”，并提交電子文檔。聯(lián)系人員和方式：周華珍：0797-、劉堯源0797-、傳

8、真：0797- 郵箱：（二）實施安全檢查的機構(gòu)及人員要嚴(yán)格遵守工作紀(jì)律，周密制訂應(yīng)急預(yù)案，控制安全風(fēng)險，加強保密措施，保證被檢查信息系統(tǒng)安全正常運行。檢查結(jié)果除按規(guī)定報送外，不得提供給其他單位和個人。對違反信息安全和保密管理規(guī)定造成的泄密事件和信息安全事故的，要依法追究當(dāng)事人和有關(guān)負責(zé)人的責(zé)任。（三）建立信息安全檢查工作責(zé)任制。凡開展信息安全檢查工作，要明確一位檢查負責(zé)人，檢查負責(zé)人必須對檢查結(jié)果負責(zé)，未能及時發(fā)現(xiàn)問題或漏洞導(dǎo)致安全事故的，要承擔(dān)相應(yīng)的責(zé)任。附：基本信息調(diào)查表表1 安全狀況調(diào)查表表2表1：基本信息調(diào)查1. 單位基本情況單位名稱（公章）單位地址聯(lián)系人聯(lián)系電

9、話Email填表時間信息安全主管領(lǐng)導(dǎo)（簽字）職務(wù)檢查工作負責(zé)人（簽字）職務(wù)2. 硬件資產(chǎn)情況2.1. 網(wǎng)絡(luò)設(shè)備情況網(wǎng)絡(luò)設(shè)備名稱型號物理位置所屬網(wǎng)絡(luò)區(qū)域IP地址/掩碼/網(wǎng)關(guān)系統(tǒng)軟件及版本端口類型及數(shù)量主要用途是否熱備重要程度2.2. 安全設(shè)備情況安全設(shè)備名稱型號(軟件/硬件)物理位置所屬網(wǎng)絡(luò)區(qū)域IP地址/掩碼/網(wǎng)關(guān)系統(tǒng)及運行平臺端口類型及數(shù)量主要用途是否熱備重要程度2.3. 服務(wù)器設(shè)備情況設(shè)備名稱型號物理位置所屬網(wǎng)絡(luò)區(qū)域IP地址/掩碼/網(wǎng)關(guān)操作系統(tǒng)版本/補丁安裝應(yīng)用系統(tǒng)軟件名稱主要業(yè)務(wù)應(yīng)用涉及數(shù)據(jù)是否熱備2.4. 終端設(shè)備情況終端設(shè)備名稱型號物理位置所屬網(wǎng)絡(luò)區(qū)域設(shè)備數(shù)量IP地址/掩碼/網(wǎng)關(guān)操作系

10、統(tǒng)安裝應(yīng)用系統(tǒng)軟件名稱涉及數(shù)據(jù)主要用途填寫說明網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機等。 安全設(shè)備：防火墻、入侵檢測系統(tǒng)、身份鑒別等。 服務(wù)器設(shè)備：大型機、小型機、服務(wù)器、工作站、臺式計算機、便攜計算機等。 終端設(shè)備：辦公計算機、移動存儲設(shè)備。 重要程度：依據(jù)被檢查機構(gòu)數(shù)據(jù)所有者認為資產(chǎn)對業(yè)務(wù)影響的重要性填寫非常重要、重要、一般。 3. 軟件資產(chǎn)情況3.1. 系統(tǒng)軟件情況系統(tǒng)軟件名稱版本 軟件廠商硬件平臺涉及應(yīng)用系統(tǒng)3.2. 應(yīng)用軟件情況應(yīng)用系統(tǒng)軟件名稱開發(fā)商硬件/軟件平臺C/S或B/S模式涉及數(shù)據(jù)現(xiàn)有用戶數(shù)量主要用戶角色 填寫說明 系統(tǒng)軟件：操作系統(tǒng)、系統(tǒng)服務(wù)、中間件、數(shù)據(jù)庫管理系統(tǒng)、開發(fā)系統(tǒng)等。應(yīng)

11、用軟件：項目管理軟件、網(wǎng)管軟件、辦公軟件等。4. 人員資產(chǎn)情況.1、信息系統(tǒng)人員情況崗位名稱崗位描述人數(shù)兼任人數(shù) 填寫說明崗位名稱： 1、數(shù)據(jù)錄入員；2、軟件開發(fā)員；3、桌面管理員；4、系統(tǒng)管理員； 5、安全管理員；6、數(shù)據(jù)庫管理員；7、網(wǎng)絡(luò)管理員； 8、質(zhì)量管理員。5. 文檔資產(chǎn)情況5.1.信息系統(tǒng)安全文檔列表 文檔類別文檔名稱填寫說明信息系統(tǒng)文檔類別：信息系統(tǒng)組織機構(gòu)及管理制度、信息系統(tǒng)安全設(shè)計、實施、運維文檔。6. 信息系統(tǒng)情況6.1、系統(tǒng)網(wǎng)絡(luò)拓撲圖 網(wǎng)絡(luò)結(jié)構(gòu)圖要求：1、應(yīng)該標(biāo)識出網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備和主要終端設(shè)備及其名稱；2、應(yīng)該標(biāo)識出服務(wù)器設(shè)備的IP地址；3、應(yīng)該標(biāo)識網(wǎng)絡(luò)區(qū)域劃分等情

12、況；4、應(yīng)該標(biāo)識網(wǎng)絡(luò)與外部的連接等情況；5、應(yīng)該能夠?qū)φ站W(wǎng)絡(luò)結(jié)構(gòu)圖說明所有業(yè)務(wù)流程和系統(tǒng)組成。如果一張圖無法表示，可以將核心部分和接入部分分別畫出，或以多張圖表示。6.2、信息系統(tǒng)承載業(yè)務(wù)情況 信息系統(tǒng)名稱業(yè)務(wù)描述業(yè)務(wù)處理信息類別用戶數(shù)量用戶分布范圍重要程度是否通過第三方安全測評填寫說明: 1、用戶分布范圍欄填寫全國、全省、本地區(qū)、本單位 2、業(yè)務(wù)處理信息類別一欄填寫：a) 國家秘密信息；b) 非密敏感信息 (機構(gòu)或公民的專有信息) ；c) 可公開信息 3、重要程度欄填寫非常重要、重要、一般 4、如通過測評，請?zhí)顚憰r間和測評機構(gòu)名稱。 6.3、信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)情況網(wǎng)絡(luò)區(qū)域名稱主要業(yè)務(wù)和信息描述

13、IP網(wǎng)段地址服務(wù)器數(shù)量與其連接的其它網(wǎng)絡(luò)區(qū)域網(wǎng)絡(luò)區(qū)域邊界設(shè)備重要程度責(zé)任部門填寫說明：1、網(wǎng)絡(luò)區(qū)域主要包括： 服務(wù)器域、數(shù)據(jù)存儲域、網(wǎng)管域、數(shù)據(jù)中心域、核心交換域、涉密終端域、辦公域、接入域和外聯(lián)域等； 2、重要程度填寫非常重要、重要、一般。6.4、外聯(lián)線路及設(shè)備端口(網(wǎng)絡(luò)邊界)情況外聯(lián)線路名稱(邊界名稱)所屬網(wǎng)絡(luò)區(qū)域連接對象接入線路種類傳輸速率(帶寬)線路接入設(shè)備承載主要業(yè)務(wù)應(yīng)用備注6.5、業(yè)務(wù)數(shù)據(jù)情況數(shù)據(jù)名稱數(shù)據(jù)使用者或管理者及其訪問權(quán)限數(shù)據(jù)安全性要求數(shù)據(jù)總量及日增量涉及業(yè)務(wù)應(yīng)用涉及存儲系統(tǒng)與處理設(shè)備保密完整可用注:數(shù)據(jù)安全性要求每項填寫高、中、底6.6、數(shù)據(jù)備份情況備份數(shù)據(jù)名介質(zhì)類型備份

14、周期保存期是否異地保存過期處理方法所屬備份系統(tǒng)備注6.7、一年來信息安全事件情況 安全事件類別特別重大事件次數(shù)重大事件次數(shù)較大事件次數(shù)一般事件次數(shù)線路接入設(shè)備承載主要業(yè)務(wù)應(yīng)用備注有害程序安全事件網(wǎng)絡(luò)攻擊事件信息破壞事件信息內(nèi)容安全事件設(shè)備設(shè)施故障災(zāi)害性事件 其它事件注：安全事件的類別和級別定義請參照GB/Z20986-2007信息安全事件分類分級指南表2：安全狀況調(diào)查1. 安全管理機構(gòu) 安全組織體系是否健全，管理職責(zé)是否明確，安全管理機構(gòu)崗位設(shè)置、人員配備是否充分合理。序號檢查項 結(jié)果備注1.信息安全管理機構(gòu)設(shè)置 以下發(fā)公文方式正式設(shè)置了信息安全管理工作的專門職能機構(gòu)。 設(shè)立了信息安全管理工作

15、的職能機構(gòu)，但還不是專門的職能機構(gòu)。 其它。2.信息安全管理職責(zé)分工情況 信息安全管理的各個方面職責(zé)有正式的書面分工，并明確具體的責(zé)任人。 有明確的職責(zé)分工，但責(zé)任人不明確。 其它。3.人員配備 配備一定數(shù)量的系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、安全管理人員等; 安全管理人員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等。 配備一定數(shù)量的系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、安全管理人員等，但安全管理人員兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等。 其它。4.關(guān)鍵安全管理活動的授權(quán)和審批 定義關(guān)鍵安全管理活動的列表，并有正式成文的審批程序，審批活動有完整的記錄。 有正式成文的審批程序，但審批活動沒有完整的記錄。

16、 其它。5.與外部組織溝通合作 與外部組織建立溝通合作機制，并形成正式文件和程序。 與外部組織僅進行了溝通合作的口頭承諾。 其它。6.與組織機構(gòu)內(nèi)部溝通合作 各部門之間建立溝通合作機制，并形成正式文件和程序 。 各部門之間的溝通合作基于慣例，未形成正式文件和程序。 其它。2. 安全管理制度 安全策略及管理規(guī)章制度的完善性、可行性和科學(xué)性的有關(guān)規(guī)章制度的制定、發(fā)布、修訂及執(zhí)行情況。檢查項結(jié)果備注1信息安全策略 明確信息安全策略，包括總體目標(biāo)、范圍、原則和安全框架等內(nèi)容。 包括相關(guān)文件，但內(nèi)容覆蓋不全面。 其它2安全管理制度 安全管理制度覆蓋物理、網(wǎng)絡(luò)、主機系統(tǒng)、數(shù)據(jù)、應(yīng)用、建設(shè)和管理等層面的重要

17、管理內(nèi)容。 有安全管理制度，但不全而面。 其它。3操作規(guī)程 應(yīng)對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程。 有操作規(guī)程，但不全面。 其它。4安全管理制度的論證和審定 組織相關(guān)人員進行正式的論證和審定，具備論證或?qū)彾ńY(jié)論。 其它。5安全管理制度的發(fā)布 文件發(fā)布具備明確的流程、方式和對象范圍。 部分文件的發(fā)布不明確。 其它。6安全管理制度的維護 有正式的文件進行授權(quán)專門的部門或人員負責(zé)安全管理制度的制定、保存、銷毀、版本控制，并定期評審與修訂。 安全管理制度分散管理，缺乏定期修訂。 其它。7執(zhí)行情況 所有操作規(guī)程的執(zhí)行都具備詳細的記錄文檔。部分操作規(guī)程的執(zhí)行都具備詳細的記錄文檔。 其它

18、。3. 人員安全管理 人員的安全和保密意識教育、安全技能培訓(xùn)情況，重點、敏感崗位人員有無特殊管理措施以及對外來人員的管理情況。序號檢查項結(jié)果備注1.重點、敏感崗位人員錄用和審查 為與信息安全密切相關(guān)的重點、敏感崗位人員制定特殊的錄用要求。對被錄用人的身份、背景和專業(yè)資格進行審查，對技術(shù)人員的技術(shù)技能進行考核，有嚴(yán)格的制度規(guī)定要求。 其它。2保密協(xié)議的簽署 與從事關(guān)鍵崗位的人員簽署保密協(xié)議，包括保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人簽字等內(nèi)容。 其它。3人員離崗 規(guī)范人員離崗過程，有具體的離崗控制方法，及時終止離崗人員的所有訪問權(quán)限并取回各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬

19、件設(shè)備。 其它。4安全意識教育 根據(jù)崗位要求進行有針對性的信息安全意識培訓(xùn)。 未根據(jù)崗位要求進行有針對性的信息安全意識培訓(xùn)，僅開展全員安全意識教育。 其它。5安全技能培訓(xùn) 制定了有針對性的安全技能培訓(xùn)計劃，培訓(xùn)內(nèi)容包含信息安全基礎(chǔ)知識、崗位操作規(guī)程等，并認真實施，而且有培訓(xùn)記錄。 安全技能培訓(xùn)針對性不強，效果不顯著。 其它。6在崗人員考核 定期對所有人員進行安全技能及安全知識的考核，對重點、敏感崗位的人員進行全面、嚴(yán)格的安全審查。 僅對重點、敏感崗位的人員進行全面、嚴(yán)格的安全審查，未普及到全員。 其它。7懲戒措施 告知人員相關(guān)的安全責(zé)任和懲戒措施，并對違反違背安全策略和規(guī)定的人員進行懲戒。 有

20、懲戒措施，但效果不佳。 其它。8外部人員訪問管理 外部人員訪問受控區(qū)域前得到授權(quán)或?qū)徟?，批?zhǔn)后由專人全程陪同或監(jiān)督，并登記備案。 外部人員訪問受控區(qū)域前得到授權(quán)或?qū)徟荒苋膛阃虮O(jiān)督。 其它。4. 系統(tǒng)建設(shè)管理 關(guān)鍵資產(chǎn)采購時是否進行了安全性測評，對服務(wù)機構(gòu)和人員的保密約束情況如何，在服務(wù)提供過程中是否采取了管控措施。信息系統(tǒng)開發(fā)過程中設(shè)計、開發(fā)和驗收的管理情況。序號檢查項結(jié)果備注1關(guān)鍵資產(chǎn)采購時進行安全性測評相關(guān)專門部門負責(zé)產(chǎn)品的采購，產(chǎn)品的選用符合國家的有關(guān)規(guī)定。資產(chǎn)采購之前進行選型測試，確定產(chǎn)品的候選范圍，具有產(chǎn)品選型測試結(jié)果、候選產(chǎn)品名單審定記錄或更新的候選產(chǎn)品名單，經(jīng)過主管信息

21、安全領(lǐng)導(dǎo)批準(zhǔn)。 專門部門負責(zé)產(chǎn)品的采購，產(chǎn)品的選用符合國家的有關(guān)規(guī)定。 關(guān)鍵資產(chǎn)采購未進行安全性測試或未經(jīng)過主管信息安全領(lǐng)導(dǎo)批準(zhǔn)。2服務(wù)機構(gòu)和人員的選擇 在具有資格的服務(wù)機構(gòu)中進行選擇，通過內(nèi)部和專家的評選。對服務(wù)機構(gòu)的人員，審查其所具有的資格。 對服務(wù)機構(gòu)的能力進行了詳細的審查。 服務(wù)機構(gòu)和人員的選擇未經(jīng)過審查和篩選。3保密約束 簽訂的安全責(zé)任合同書或保密協(xié)議包含服務(wù)內(nèi)容、保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等。定期考察其服務(wù)質(zhì)量和保密情況。 簽訂的安全責(zé)任合同書或保密協(xié)議明確規(guī)定各項內(nèi)容。但無監(jiān)督考察機制。 未簽訂合約或簽訂了安全責(zé)任合同書或保密協(xié)議，但服務(wù)范圍、安全

22、責(zé)任等未明確規(guī)定。4服務(wù)管控措施 制定了詳細的服務(wù)審核要求和規(guī)范。對服務(wù)提供過程中的重要操作進行審核，并要求服務(wù)機構(gòu)定期提供服務(wù)的情況匯總。每半年組織內(nèi)部檢查，審查服務(wù)機構(gòu)的服務(wù)質(zhì)量。 定期進行檢查。但缺乏規(guī)范的檢查內(nèi)容和要求。 未采用任何管控措施。5系統(tǒng)安全方案制定 根據(jù)信息系統(tǒng)安全保障要求，書面形式加以描述，形成能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采購和使用的詳細設(shè)計方案，并經(jīng)過專家論證和審定。 形成能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采購和使用的概要設(shè)計方案，內(nèi)部相關(guān)部門審定。 缺乏體系化的安全方案。6信息系統(tǒng)開發(fā) 根據(jù)軟件開發(fā)管理制度，各類開發(fā)文檔齊全，信息系統(tǒng)均經(jīng)過功能、安全測試，并形成測試報告。

23、開發(fā)文檔不全面，僅在內(nèi)部進行功能測試。 無開發(fā)文檔，或外包開發(fā)，沒有源代碼或有源代碼但未經(jīng)過全面的安全測試。7信息系統(tǒng)建設(shè)實施過程進度和質(zhì)量控制 制定詳細的實施方案，并經(jīng)過審定和批準(zhǔn)，指定或授權(quán)專門的部門或人員按照實施方案的要求控制整個過程。 制定簡要實施方案，指定或授權(quán)專門的部門或人員控制整個過程。 無實施方案或無專人管理實施過程。8.信息系統(tǒng)驗收 制定驗收方案，組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗收報告進行審定，詳細記錄驗收結(jié)果，形成驗收報告。重要的信息系統(tǒng)在驗收前，組織專業(yè)的第三方測評機構(gòu)進行測評。 組織了驗收活動，但缺乏專業(yè)人員進行全面的驗收測試。 未組織驗收。5. 系統(tǒng)運維管理 設(shè)備、

24、系統(tǒng)的操作和維護記錄，變更管理，安全事件分析和報告；運行環(huán)境與開發(fā)環(huán)境的分離情況；安全審計、補丁升級管理、安全漏洞檢測、網(wǎng)管、權(quán)限管理及密碼管理等情況，重點檢查系統(tǒng)性能的監(jiān)控措施及運行狀況。序號檢查項結(jié)果 備注1.環(huán)境管理 有機房安全管理制度，并配備機房安全管理人員，對機房供配電等設(shè)施、設(shè)備和人員出入機房進行嚴(yán)格管理。 配備機房安全管理人員，對機房供配電等設(shè)施、設(shè)備和人員出入機房進行管理。 其它。2. 資產(chǎn)管理 資產(chǎn)清單記錄內(nèi)容與實際使用的計算機設(shè)備及其屬性內(nèi)容完全一致。 資產(chǎn)清單內(nèi)容與實際使用的計算機設(shè)備及其屬性內(nèi)容，在數(shù)量上一致，但在部分屬性記錄上有偏差。 其它。3.介質(zhì)管理 對介質(zhì)的存放

25、環(huán)境、使用、維護和銷毀等方面采取嚴(yán)格的控制措施。 對介質(zhì)的存放環(huán)境、使用、維護和銷毀等方面采取了部分控制措施。 其它。4.設(shè)備管理 對信息系統(tǒng)相關(guān)的各種設(shè)備、線路等指定專門的部門或人員定期進行維護管理。 對信息系統(tǒng)相關(guān)的各種設(shè)備、線路等指定專門的部門或人員不定期進行維護管理。 其它。5.生產(chǎn)環(huán)境與開發(fā)環(huán)境的分離 生產(chǎn)環(huán)境與開發(fā)環(huán)境隔離。 其它。6.系統(tǒng)監(jiān)控 對通信線路、關(guān)鍵服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運行情況能夠?qū)崟r監(jiān)測，并能及時分析報警日志。 對通信線路、關(guān)鍵服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運行情況能夠不定期監(jiān)測，并能定期分析報警日志。 其它。7.變更管理 系統(tǒng)發(fā)生重要變更前，以書面形式向主管領(lǐng)

26、導(dǎo)申請，審批后實施變更，并在實施后向相關(guān)人員通告，相關(guān)記錄保存完好。 系統(tǒng)發(fā)生重要變更前，向主管領(lǐng)導(dǎo)申請，審批后實施變更，并在實施后向相關(guān)人員通告。 其它。8. 補丁管理 補丁更新及時，并能在測試環(huán)境測試后安裝到運行環(huán)境。 大部分計算機設(shè)備的補丁更新及時，只有少數(shù)由于應(yīng)用軟件代碼不兼容而導(dǎo)致服務(wù)器補丁更新不及時。 其它。9.安全事件管理 制定安全事件報告和處置管理制度，能及時響應(yīng)安全事故，并從安全事故中學(xué)習(xí)總結(jié)。 能及時響應(yīng)安全事故。 其它。10.風(fēng)險評估 信息系統(tǒng)投入運行后，應(yīng)每年至少進行一次關(guān)鍵業(yè)務(wù)或關(guān)鍵風(fēng)險點的信息安全風(fēng)險評估，每三年或信息系統(tǒng)發(fā)生重大變更時，進行一次全面的信息安全風(fēng)險評

27、估工作。 信息系統(tǒng)投入運行后，每兩年進行一次關(guān)鍵業(yè)務(wù)的信息安全風(fēng)險評估。 其它。6. 物理安全 機房安全管控措施、防災(zāi)措施、供電和通信系統(tǒng)的保障措施等。序號檢查項結(jié)果備注1物理位置選擇。機房和辦公場地所在的建筑，抗拒人為破壞和自然災(zāi)害的能力。 機房和辦公場地所在的建筑周邊具備防止無關(guān)人員接近的措施，并且根據(jù)當(dāng)?shù)氐淖匀画h(huán)境設(shè)置了必要的防震、防火和防水的措施。 機房和辦公場地所在的建筑具備基本的抗拒人為破壞和自然災(zāi)害的能力，但防護強度有待提高。 其它。2機房出入控制情況 設(shè)置專人和自動化技術(shù)措施，對出入機房的人員進行全面的鑒別、監(jiān)控和記錄。設(shè)置專人或自動化技術(shù)措施，對出入機房的人員進行鑒別，但沒有

28、監(jiān)控和完整的記錄。 其它。3機房環(huán)境。機房配備防火、防水、防雷、防靜電、溫度濕度調(diào)節(jié)等措施，并提供充足穩(wěn)定的電源，為機房中的設(shè)備提供良好的運行環(huán)境。 機房環(huán)境保障完全達到相關(guān)國家標(biāo)準(zhǔn)的要求。 少部分機房環(huán)境保障措施沒有達到有關(guān)標(biāo)準(zhǔn)要求，但可以在短時間內(nèi)有效整改。 其它。4電磁防護。電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾。 采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾;電源線和通信線纜隔離，避免互相干擾。 其它。7.網(wǎng)絡(luò)安全 安全域劃分、邊界防護、內(nèi)網(wǎng)防護、外部設(shè)備接入控制等情況。網(wǎng)絡(luò)和信息系統(tǒng)的體系結(jié)構(gòu)、各類安全保障措施的組合是否合理。序號檢查項結(jié)果備注1網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖 有正式的文檔化的網(wǎng)

29、絡(luò)拓撲結(jié)構(gòu)圖，且完全與實際運行的網(wǎng)絡(luò)結(jié)構(gòu)相吻合。 有文檔化的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖，關(guān)鍵部分吻合。 其它。2網(wǎng)絡(luò)冗余設(shè)計 對關(guān)鍵網(wǎng)絡(luò)設(shè)備進行了冗余設(shè)計，以增強網(wǎng)絡(luò)的健壯性和可用性。 對部分關(guān)鍵網(wǎng)絡(luò)設(shè)備進行了冗余設(shè)計。 其它。3網(wǎng)絡(luò)安全域劃分 按照信息資源的重要程度進行了細致的安全域劃分。 按照信息資源的重要程度進行了基本的安全域劃分。 其它。4安全域訪問控制 根據(jù)業(yè)務(wù)需要實施了嚴(yán)格的訪問控制措施。 實施了訪問控制措施，但訪問控制粒度較粗。 其它5網(wǎng)絡(luò)準(zhǔn)入控制。防止未授權(quán)人員接入到網(wǎng)絡(luò)中來，以引入安全風(fēng)險。 有網(wǎng)絡(luò)準(zhǔn)入控制措施，且嚴(yán)格執(zhí)行。 己有準(zhǔn)入控制措施，但未嚴(yán)格執(zhí)行。 其它。6網(wǎng)絡(luò)入侵防范 檢測網(wǎng)

30、絡(luò)邊界處的網(wǎng)絡(luò)攻擊行為，發(fā)生嚴(yán)重入侵事件時提供報警，并能及時響應(yīng)和處理。 檢測網(wǎng)絡(luò)邊界處的網(wǎng)絡(luò)攻擊行為，并提供報警。 其它。7安全審計。便于安全事件發(fā)生后進行溯源追蹤 配備審計設(shè)備且進行了良好配置，能夠定期查看和分析審計日志。 配備審計設(shè)備且進行了良好配置，但未能定期查看和分析審計日志。 其它。8.設(shè)備和主機安全 網(wǎng)絡(luò)交換設(shè)備、安全設(shè)備、主機和終端設(shè)備的安全性，操作系統(tǒng)的安全配置、病毒防護、惡意代碼防范等。1) 網(wǎng)絡(luò)設(shè)備、安全設(shè)備和終端設(shè)備防護序號檢查項結(jié)果備注1. 設(shè)備用戶身份標(biāo)識。 每個設(shè)備的用戶擁有自己唯一的身份標(biāo)識。 根據(jù)用戶職責(zé)以小組為單位分配身份標(biāo)識。 其它。2.管理員登錄地址限制

31、。通過對管理員登錄地址的限制，降低非法網(wǎng)絡(luò)接入后取得設(shè)備使用權(quán)限的可能。 管理員只能通過有限的、固定的IP地址和MAC地址登錄。 管理員職能在一個固定的 IP地址段登錄。 其它3.設(shè)備用戶身份鑒別。通過嚴(yán)格的口令設(shè)置和管理，保障身份鑒別的準(zhǔn)確性。 設(shè)備的登錄密碼復(fù)雜不易猜測、定期更換且加密存儲。 設(shè)備的登錄密碼復(fù)雜不易猜測且加密存儲，但沒有做到定期更換。 其它。4.登錄失敗處理。采用有效措施，對于失敗和異常的登錄活動進行妥善處理 采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時自動退出等措施。 采取結(jié)束會話、限制非法登錄次數(shù)的措施。 其它。5. 管理信息防竊聽。采用有效措施對設(shè)備的管理信息進

32、行加密 對所有管理通信進行了加密。 對鑒別信息的通信進行了加密。 其它。 2）操作系統(tǒng)安全序號檢查項結(jié)果備注1.身份標(biāo)識。為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶建立身份標(biāo)識。 所有操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)為其所有用戶建立了唯一的用戶標(biāo)識。 關(guān)鍵主機的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)為其所有用戶建立了唯一的用戶標(biāo)識，而其它主機和終端的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)沒有為其所有用戶建立了唯一的用戶標(biāo)識。 其它。2.身份鑒別。通過嚴(yán)格的口令設(shè)置和管理，保障對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)身份鑒別的準(zhǔn)確性。 所有操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的登錄密碼復(fù)雜不易猜測、定期更換且加密存儲。 關(guān)鍵主機的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)登錄密碼復(fù)雜不易猜測、定期更換且加密存儲，

33、而其它主機和終端的操作系統(tǒng)和數(shù)據(jù)庫的登錄密碼則不夠嚴(yán)格。 其它。3.訪問控制。加強服務(wù)器的用戶權(quán)限管理。 所有服務(wù)器的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的特權(quán)用戶權(quán)限分離，默認賬戶和口令進行了修改，無用的賬戶已刪除 關(guān)鍵主機的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)機操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的特權(quán)用戶權(quán)限分離，默認賬戶和口令進行了修改，無用的賬戶已刪除；而其它主機和終端沒有做到。 其它。4.安全審計。為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)部署有效的審計措施。 審計范圍覆蓋重要服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫的所有用戶的行為、資源使用情況和重要命令的執(zhí)行，以及這些活動的時間、主體標(biāo)識、客體標(biāo)識以及結(jié)果；審計記錄被妥善保存。 建立了針對重要服務(wù)器操作系統(tǒng)和數(shù)據(jù)

34、庫的審計措施，但沒有達到以上所有的要求。 無審計措施。5.入侵防范。通過嚴(yán)格的安全配置和補丁更新消除可能被入侵者利用的安全漏洞。 操作系統(tǒng)僅安裝了必要的組件和應(yīng)用程序，僅開放了必要的服務(wù)，并且及時保持補丁更新以消除嚴(yán)重的安全漏洞。 操作系統(tǒng)僅安裝了必要應(yīng)用程序，關(guān)閉了大多數(shù)無用的端口，刪除了大多數(shù)無用的系統(tǒng)組件，進行了部分補丁更新。 其它。6.惡意代碼防范。通過防病毒技術(shù)措施，對惡意代碼進行有效監(jiān)控 為服務(wù)器和終端安裝防惡意代碼軟件，及時更新防惡意代碼軟件版本和惡意代碼庫；支持防惡意代碼軟件的統(tǒng)一管理。 為服務(wù)器和終端安裝防惡意代碼軟件，但防惡意代碼軟件版本和惡意代碼庫更新不及時；支持防惡意代

35、碼軟件的統(tǒng)一管理，但少量服務(wù)器和終端未覆蓋到。 其它。7.資源控制。對用戶使用操作系統(tǒng)資源的情況進行合理的限制。 對重要服務(wù)器的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄，并當(dāng)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值時，能夠監(jiān)測和報警。 當(dāng)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值時，能夠監(jiān)測和報警。 其它。9.應(yīng)用安全 數(shù)據(jù)庫、WEB網(wǎng)站、日常辦公和業(yè)務(wù)系統(tǒng)等應(yīng)用的安全設(shè)計、配置和管理情況；關(guān)鍵應(yīng)用系統(tǒng)開發(fā)過程中的質(zhì)量控制和安全性測試情況。序號檢查項結(jié)果備注1.身份標(biāo)識和鑒別。采用專用的登錄控制模塊對登錄用戶進行身份標(biāo)識和鑒別 各個應(yīng)用系統(tǒng)

36、均采用專用的登錄模塊，提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能，提供登錄失敗處理功能。對關(guān)鍵應(yīng)用系統(tǒng)中的同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別。 關(guān)鍵系統(tǒng)中采用了身份標(biāo)識和鑒別，但鑒別信息復(fù)雜度檢查功能不足，弱口令現(xiàn)象存在。對關(guān)鍵應(yīng)用系統(tǒng)中的同一用戶采用一種鑒別技術(shù)實現(xiàn)用戶身份鑒別。 各個系統(tǒng)均未采用身份標(biāo)識與鑒別。2. 訪問控制功能 不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，嚴(yán)格限制默認帳戶的訪問權(quán)限，特權(quán)用戶的權(quán)限分離，權(quán)限之間相互制約。訪問控制的粒度到數(shù)據(jù)級。 不同帳戶權(quán)限不是最小的。訪問控制的粒度到功能級。 訪問控制無限制。3. 應(yīng)用系統(tǒng)安全審計 應(yīng)用系統(tǒng)提供審計

37、功能，對用戶的各類操作均進行細致的審計（例如，用戶標(biāo)識與鑒別、訪問控制的所有操作記錄、重要用戶行為、系統(tǒng)資源的異常使用、重要系統(tǒng)命令的使用等），并定期對應(yīng)用系統(tǒng)重要安全事件的審計記錄進行檢查，分析異常情況產(chǎn)生的原因。 應(yīng)用系統(tǒng)提供審計功能，但審計不全面，僅記錄重要的事件和操作。 對用戶的操作不進行審計。4.通信完整性。 采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。 對重要信息系統(tǒng)中的關(guān)鍵數(shù)據(jù)采用數(shù)據(jù)完整性校驗技術(shù)。 其它。5.通信保密性。通信過程中的整個報文或會話過程進行加密 應(yīng)用系統(tǒng)的敏感數(shù)據(jù)通信過程均采用國家有關(guān)部門要求的密碼技術(shù)保證保密性。 應(yīng)用系統(tǒng)的敏感數(shù)據(jù)通信時采用密碼技術(shù)保證保密性，但未采用國家有關(guān)部門要求的密碼技術(shù)。 未采用措施保護通信保密性。6.應(yīng)用系統(tǒng)業(yè)務(wù)軟件容錯功能 提供數(shù)據(jù)有效性檢驗功能，保證輸入的數(shù)據(jù)格式和長度符合系統(tǒng)設(shè)定要求。重要應(yīng)用系統(tǒng)提供自動保護功能，當(dāng)故障發(fā)生時自動保護當(dāng)前所有狀態(tài)，保證系統(tǒng)能夠進行恢復(fù)。 提供數(shù)據(jù)有效性檢驗功能，但系統(tǒng)出現(xiàn)問題時不能自動恢復(fù)。 不提供軟件容錯功能。7. 應(yīng)用系統(tǒng)資源控制能力 對于重要的應(yīng)用系統(tǒng)，限制單個帳戶的多重并發(fā)會話，當(dāng)應(yīng)用系統(tǒng)的服務(wù)水平降低到預(yù)先設(shè)定的最小值時，系統(tǒng)報警。 對于重要的應(yīng)用系統(tǒng)，限制單個帳戶的