企业信息安全风险评估实施细则-2017.doc

企业信息安全风险评估实施细则二八年五月96目 录1.前言12.资产评估22.1.资产识别22.2.资产赋值33.威胁评估64.脆弱性评估104.1.信息安全管理评估114.1.1.安全方针114.1.2.信息安全机构134.1.3.人员安全管理174.1.4.信息安全制度文件管理194.1.5.信息化建设中的安全管理234.1.6.信息安全等级保护294.1.7.信息安全评估管理324.1.8.信息安全的宣传与培训324.1.9.信息安全监督与考核344.1.10.符合性管理364.2.信息安全运行维护评估374.2.1.信息系统运行管理374.2.2.资产分类管理414.2.3.配置与变更管理424.2.4.业务连续性管理434.2.5.设备与介质安全464.3.信息安全技术评估504.3.1.物理安全504.3.2.网络安全534.3.3.操作系统安全604.3.4.数据库安全724.3.5.通用服务安全814.3.6.应用系统安全854.3.7.安全措施904.3.8.数据安全及备份恢复941. 前言1.1. 为了规范、深化XXX公司信息安全风险评估工作，依据国家信息系统安全等级保护基本要求、XXX公司信息化“SG186”工程安全防护总体方案、XXX公司网络与信息系统安全隔离实施指导意见、XXX公司信息安全风险评估管理暂行办法、XXX公司信息安全风险评估实施指南（以下简称实施指南），组织对XXX公司信息安全风险评估实施细则进行了完善。1.2. 本细则是开展信息系统安全风险评估工作实施内容的主要依据，各单位在相关的信息安全检查、安全评价、信息系统安全等级保护评估工作中也可参考本细则的内容。1.3. 本细则结合公司当前信息化工作重点，针对实施指南中信息资产评估、威胁评估、脆弱性评估提出了具体的评估内容。其中，资产评估内容主要针对公司一体化企业级信息系统展开；威胁评估包含非人为威胁和人为威胁等因素；脆弱性评估内容分为信息安全管理评估、信息安全运行维护评估、信息安全技术评估三部分。1.4. 公司的评估工作应在本细则的基础上，结合实施指南提出更详细的实施方案，并采用专业的评估工具对信息系统进行全面的评估和深层的统计分析，并进行风险计算，确保全面掌握信息系统的安全问题，并提供解决问题的安全建议。1.5. 本细则将随公司信息安全管理、技术、运维情况的发展而滚动修订与完善。1.6. 本标准由XXX公司信息化工作部组织制定、发布并负责解释。2. 资产评估资产评估是确定资产的信息安全属性（机密性、完整性、可用性等）受到破坏而对信息系统造成的影响的过程。在风险评估中，资产评估包含信息资产识别、资产赋值等内容。2.1. 资产识别资产识别主要针对提供特定业务服务能力的应用系统展开，例如：网络系统提供基础网络服务、OA系统提供办公自动化服务。通常一个应用系统都可划分为数据存储、业务处理、业务服务提供和客户端四个功能部分，这四个部分在信息系统的实例中都显现为独立的资产实体，例如：典型的OA系统可分为客户端、Web服务器、Domino服务器、DB2数据库服务器四部分资产实体。应用系统的功能模块（或子系统），可参照下表进行分解：应用系统分解表类别说明数据存储应用系统中负责数据存储的子系统或功能模块。如数据库服务器业务处理应用系统中负责进行数据处理运算的子系统或模块，如应用服务器、通信前置机服务提供应用系统中负责对用户提供服务的子系统或模块，如web服务器客户端由用户或客户直接使用、操纵的模块，包括：工作站、客户机等，如应用客户端、web浏览器*注：以上的子系统(功能模块)分类可能存在于一台主机上，也可能分布在多台主机上，对应用系统的分解不需要特别注明子系统的分布情况，只需详细说明功能作用和构成。对于不具有多层结构的系统，可根据实际情况进行简化分解，例如：仅分解为服务器端与客户端。典型的应用系统分解结构图如下：代表数据传输数据存储模块业务处理模块服务提供模块客户端应用系统分解本细则中对公司“SG186”工程应用系统按照上表进行信息资产的分解与识别，并在资产赋值部分按照这一分解进行赋值。2.2. 资产赋值根据实施指南的定义，资产评估中对资产的赋值最终结果是对识别出的独立资产实体的赋值。每项资产都要进行机密性要求、完整性要求、可用性要求的赋值，赋值定义为：安全性要求很高5、安全性要求高4、安全性要求中等3、安全性要求低2、安全性要求很低1。结合资产识别的情况，对公司“SG186”工程应用系统的各部分进行赋值，结果见下表。业务系统系统安全等级客户端服务提供业务处理数据存储管理员普通用户CIACIACIACIACIA一体化平台企业信息门户2422311224113数据中心2422233233444数据交换平台2311134123目录与单点登录系统2411334223444信息网络2313144财务资金财务管理系统3544433355242353资金管理系统3544433355242353营销管理营销管理信息系统3533422355242353客户缴费系统331121122412425395598客户服务管理系统3312211113113232电能信息实时采集与监控系统2311211131131131市场管理系统2311211131131131客户关系系统2311211131131131需求侧管理系统3322211344244344辅助决策系统2311211132132132安全生产调度管理信息系统2322211133133133生产管理信息系统2322211133133133地理信息系统2322211133133133安全监督管理信息系统2311211131131131电力市场交易系统3422322244244244协同办公协同办公2424323434323434人力资源人力资源管理系统2322211131131331物资管理物资管理系统2311211131131131招投标系统2431321331331331项目管理项目管理系统2311211131131131综合管理规划计划管理系统2311211131131131审计管理系统2311211331331331金融信息管理系统2311211131131131法律事务管理系统2311211331331331国际合作业务应用系统2311211331331331纪检监察管理系统2311211131131131ERP系统ERP系统3433322344344344说明：（1）C代表机密性赋值、I代表完整性赋值、A代表可用性赋值。（2）系统安全等级作为业务系统资产权值与每项赋值相乘后参与风险计算过程。（3）对各单位不包括在“SG186”工程中的应用系统，系统安全等级按照XXX公司信息系统安全保护等级定级指南定义方法计算出来，资产赋值按照实施指南定义的方法进行识别和赋值，同时可参考上的表赋值结果。3. 威胁评估在信息安全风险评估中，威胁评估也分为威胁识别和威胁赋值两部分内容。威胁识别通常依据威胁列表对历史事件进行分析和判断获得的。由于信息系统运行环境千差万别，威胁可能性赋值无法给出统一定义，例如：海边城市受到台风威胁的可能性要大。本细则中仅给出威胁对信息资产机密性、完整性和可用性破坏的严重程度赋值。赋值定义为：破坏严重程度很大5、破坏严重程度大4、破坏严重程度中等3、破坏严重程度小2、破坏严重程度很小1。在评估实施时需要依据实施指南定义的方法，结合实际情况对威胁可能性进行判断。下表是常见的威胁列表。威胁分类威胁名称说明威胁可能性严重程度CIA非人为威胁火山爆发由火山爆发引起的故障N/A55飓风由于飓风引起的系统故障N/A45地震由地震引起的系统故障N/A45人员丧失由于各种原因,如疾病、道路故障、暴动等原因导致人员无法正常工作引起的系统无法使用故障N/AN/A3硬件故障系统由于硬件设备老旧、损坏等造成的无法使用问题N/A45雷电由雷电引起的系统故障N/A55火灾由火灾引起的系统故障,包括在火灾发生后进行消防工作中引起的设备不可用问题N/A45水灾由水灾引起的系统故障,包括在水灾发生后进行消防工作中引起的设备不可用问题N/A45雪崩由于雪崩引起的问题N/A24温度异常由温度超标引起的故障N/A44湿度异常由湿度超标引起的故障N/A33灰尘、尘土由灰尘超标引起的故障N/A33强磁场干扰由磁场干扰引起的故障N/A33电力故障由于电力中断、用电波动、供电设备损坏导致系统停止运行等导致的系统故障N/A44系统软件故障由于系统软件故障所产生的问题344应用软件故障由于应用软件故障所产生的问题445软件缺陷软件缺陷导致的安全问题444通信故障由于通信故障所产生的问题N/A24DNS失败由于DNS的问题导致的问题114人为威胁由于误操作传输错误的或不应传送的数据个人失误导致的安全问题431关键员工的离职由于关键员工的离职造成系统的安全问题N/AN/A4离开时未锁门由于离开时未锁门造成系统的安全问题431离开时屏保未锁定由于离开时屏保未锁定造成的安全问题411在不恰当的人员中讨论敏感文档由于在不恰当的人员中讨论敏感文档造成的安全问题5N/AN/A不恰当的配置和操作不恰当的管理系统、数据库、无意的数据操作，导致安全问题344拒绝服务攻击攻击者以一种或者多种损害信息资源访问或使用能力的方式消耗信息系统资源N/A35由于设备（如笔记本）丢失导致泄密等安全问题444过时的规定由于采用过时的规定所造成的安全问题443不遵守安全策略可能导致各种可能的安全威胁444不恰当的使用设备、系统与软件不当的使用设备造成的安全威胁N/A44恶意破坏系统设施对系统设备、存储介质等资产进行恶意破坏N/A45滥用由于某授权的用户（有意或无意的）执行了授权他人要执行的举动、可能会发生检测不到的信息资产损害543设备或软件被控制或破坏恶意的控制或破坏设备，以取得机密信息54N/A远程维护端口被非授权的使用恶意的使用远程维护端口，控制主机444数据传输或电话被监听恶意截获传输数据4N/AN/A办公地点被非授权的控制恶意监控办公地点、重要地带，获取重要信息544侦察通过系统开放的服务进行信息收集，获取系统的相关信息，包括系统的软件、硬件和用户情况等信息44N/A口令的暴力攻击恶意的暴力尝试口令533各类软件后门或后门软件软件预留的后门或其他专门的后门软件带来的信息泄露威胁432偷窃移动设备带有机密信息的移动设备被窃取5N/A3恶意软件计算机病毒、蠕虫带来的安全问题354伪装标识的仿冒等信息安全问题44N/A分析信息流分析信息流带来的信息安全问题4N/AN/A非法阅读机密信息非授权的从办公环境中取得可获得的机密信息或复制数据5N/AN/A社会工程学攻击通过email、msn、电话号码、交谈等欺骗或其他方式取得内部人员的信任，进而取得机密信息5N/AN/A未经授权将设备连接到网络未经授权对外开放内部网络或设备453密码猜测攻击对系统账号和口令进行猜测，导致系统中的敏感信息泄漏531伪造证书恶意的伪造证书，进而取得机密信息551远程溢出攻击攻击者利用系统调用中不合理的内存分配执行了非法的系统操作，从而获取了某些系统特权，进而威胁到系统完整性553权限提升通过非法手段获得系统更高的权限，进而威胁到系统完整性553远程文件访问对服务器上的数据进行远程文件访问,导致敏感数据泄漏532法律纠纷由企业或信息系统行为导致的法律纠纷造成信誉和资产损失333不能或错误地响应和恢复系统无法或错误地响应和恢复导致故障和损失334流量过载由于网络中通信流量过大导致的网络无法访问N/A35说明：C代表对机密性的破坏程度、I代表对完整性的破坏程度、A代表对可用性的破坏程度。N/A 表示对此项安全属性无破坏或无意义。4. 脆弱性评估脆弱性评估内容包括管理、运维和技术三方面的内容。脆弱性评估过程是对信息系统中存在的可被威胁利用的管理和运维缺陷、技术漏洞分析与发现，并确定脆弱性被利用威胁的难易程度（赋值）的过程。在本实施细则中，列出了信息安全管理、运维和技术三方面的检查点，这些检查点都是对信息安全防护工作的具体要求，如果信息系统的管理、运维和技术条件不满足这些点的检查要求，则视为一个缺陷或漏洞。脆弱性检查表中标记了每个检查点对机密性（C）、完整性（I）、可用性（A）的是否有影响存（表示有影响）。检查表结果参与实施指南中定义的风险计算和分析时，以每一检查点的实际得分情况和该检查点的标准分值的比率来确定赋值，并由公司内专业技术支撑队伍进行计算，方法如下：首先，按（1实际得分/标准分值）%，算出该检查点的不满足程度；然后按下表对应赋值：标识等级（1实际得分/标准分值）%很高5大于等于80%高4大于等于60%，但小于80%中3大于等于40%，但小于60%低2大于等于20%，但小于40%很低1小于20%举例说明：某检查点标准分值10分，实际得分8分，则脆弱性赋值：首先取(18/10)%20%，然后按照上表对应，赋值结果为2“低”。4.1. 信息安全管理评估（总计：1800分）4.1.1. 安全方针（小计：130分）检查项目检查内容等级保护标准分值评分标准 实际得分CIA信息安全方针文件满足国家、公司政策要求和本单位信息安全需求的独立信息安全方针文件安全管理制度20检查是否有独立的信息安全方针文件，或者有包含信息安全方针内容的纲领性文件(没有则该项不得分)信息安全方针文件中对信息安全整体目标和信息安全工作范围的定义安全管理制度201) 检查方针文件是否对信息安全整体目标进行了阐述(不符合扣10分)2) 检查方针文件是否对信息安全工作涉及的内容范围进行了明确界定(不符合扣6分)3) 检查方针文件是否对信息安全相关工作的协调和配合提出了要求(不符合扣4分)信息安全方针文件内容对国家信息安全等级保护制度的落实情况安全管理10检查方针文件是否提出了以下要求相关内容：1) 提出满足信息安全等级保护制度的要求(不符合扣4分)2) 对信息系统进行了明确等级划分(不符合扣4分)3) 提出了分等级保护的工作要求(不符合扣2分)信息安全方针文件内容对公司信息安全工作原则与要求的贯彻情况安全管理制度20检查方针文件是否符合：1) 信息安全纳入安全生产范畴的要求(不符合扣 8分)2) 公司信息安全三同步原则(不符合扣8分)3) 主要业务系统的安全目标要求(不符合扣4分)信息安全方针对信息安全工作主要内容的阐述安全管理制度10检查方针文件：1) 是否列出了信息安全工作内容(不符合扣8分)2) 工作内容是否符合国家、公司的要求(不符合扣2分)信息安全方针文件应经过单位最高层领导的审批、授权，在单位内部进行讨论和宣贯安全管理制度10检查独立的信息安全方针文件，或者包含信息安全方针内容的纲领性文件：1) 是否经过本单位最高层领导的审批。(不符合扣4分)2) 制定过程是否广泛征求了各相关业务部门的意见（检查征求意见相关记录）(不符合扣4分)3) 发布后是否进行了内部宣传和学习。(不符合扣2分)信息安全方针文件中对信息安全方针落实情况进行考核、评价的要求安全管理10检查信息安全方针文件或包含相关内容的文件中是否提出了考核或评价的要求、方法和内容。(有考核要求无具体内容扣4分)信息安全方针文件中对各关键内容的支持性管理制度要求安全管理制度10检查是否在涉及具体管理细节的内容点列出了相应的支持性管理制度文件名称，例如：内部用户不得访问外部非法网站时列出了内网用户行为管理办法(有明显制度文件缺失的点，每点扣2分，扣完为止)信息安全方针文件对自身的保密要求安全管理101) 检查方针文件是否规定了本身的传播范围(不符合扣8分)2) 检查传播范围是否合理(不符合扣2分)信息安全方针文件中对进行修订和审核的周期以及负责审核部门的要求 安全管理101) 检查是否定义了审核周期(不符合扣6分)2) 检查是否明确了负责审核的部门(不符合扣4分)4.1.2. 信息安全机构（小计：250分）检查项目检查内容等级保护标准分值评分标准 实际得分CIA公司机构信息化领导小组应承担信息安全领导职责，或者成立了包括高层领导的信息安全领导小组安全管理机构30检查是否有机构成立的相关文件(不符合扣 30分)信息安全第一责任人应为单位高层领导安全管理101) 检查本单位是否自行制定了文件 (不符合本条扣10分)2) 或者直接沿用上级单位下发的文件(仅符合本条得4分)成立跨部门的信息安全工作协调机构来协调整体信息安全工作安全管理机构20检查是否有机构成立的相关正式文件。(不符合扣 20分)信息安全领导机构和信息安全工作协调机构的职责安全管理机构101) 检查是否有领导机构职责定义文件(不符合扣 6分)2) 检查是否有工作协调机构职责定义文件(不符合扣4分)专业信息管理部门应获得高层授权开展日常的信息安全相关审核、审批工作安全管理101) 检查信息管理部门是否有信息安全相关审核、审批权力(不符合扣6分)2) 检查是否有相关审核、审批记录(不符合扣4分)应设置信息安全管理岗位，有专人负责信息安全整体工作的公司、协调和落实工作安全管理机构101) 检查是否进行了有专人负责(不符合扣6分) 2) 检查是否设置了信息安全管理岗位(不符合扣4分)设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责安全管理机构101) 检查是否设立安全管理各个方面的负责人，设置了哪些工作岗位（如安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全员等重要岗位）(不符合扣6分)2) 检查是否明确各个岗位的职责分工(不符合扣4分)人员配备配备一定数量的系统管理员、网络管理员、安全管理员等安全管理机构10检查各个安全管理岗位人员（按照岗位职责文件询问，包括机房管理员、系统管理员、数据库管理员、网络管理员、安全员等重要岗位人员）配备情况，包括数量、专职还是兼职等(不符合扣10分)安排了专职信息安全管理员安全管理机构10检查是否安全管理员没有兼任网络管理员、系统管理员、数据库管理员；(不符合扣4分)实行主、副岗备用制度安全管理机构10查看是否所有岗位都指定了主、副负责人员 (不符合扣10分)授权和审批根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等；安全管理机构101) 检查职责文件中是否包含需审批事项列表(不符合扣6分)2) 检查审批事项列表是否明确审批事项、审批部门、批准人及审批程序等(不符合扣4分)针对系统变更、重要操作、物理访问和系统接入等事项批实行工作票、操作票制度，建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度；安全管理机构101) 检查是否针对系统变更、重要操作、物理访问和系统接入等重要事项建立审批程序文件；(不符合扣6分)2) 检查关键活动的工作票、操作票记录，并查看记录的审批程序与文件要求是否一致(不符合扣4分)定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息；安全管理机构101) 检查制度文件是否说明应定期审查、更新需审批的项目和审查周期等(不符合扣6分)2) 检查审查记录，查看记录日期是否与审查周期一致(不符合扣4分)记录审批过程并保存审批文档。安全管理机构10检查是否保存至少三个月的工作票、操作票的审批记录；沟通和合作加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通，定期或不定期召开协调会议，共同协作处理信息安全问题安全管理机构101) 检查是否召开过部门间协调会议，组织其它部门人员共同协助处理信息系统安全有关问题(不符合扣4分)2) 检查安全管理机构内部是否召开过安全工作会议部署安全工作的实施，参加会议的部门和人员有哪些，会议结果如何；(不符合扣3分)3) 检查信息安全领导小组或者安全管理委员会是否定期召开例会(不符合扣3分)与外部信息安全专业机构或专家沟通顺畅，在需要时能及时获得外部信息安全机构或专家的建议和技术支持安全管理机构101) 检查是否建立了经常联系的专业机构，是否包含公安机关、电信公司、兄弟单位、供应商、业界专家、专业的安全公司、安全组织等(不符合扣6分)2) 专业机构能够及时提供技术支持(不符合扣4分)建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息安全管理机构10检查外联单位说明文档，是否说明外联单位的联系人和联系方式等内容(不符合扣10分)聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等安全管理机构101) 检查是否具有安全顾问名单或者聘请安全顾问的证明文件(不符合扣6分)2) 检查由安全顾问指导信息安全建设、参与安全规划和安全评审的相关文档或记录，是否具有由安全顾问签字的相关建议(不符合扣4分)审核和检查安全管理员负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况；安全管理机构101) 检查是否定期对信息系统进行安全检查(不符合扣4分)2) 检查是否定期分析、评审异常行为的审计记录(不符合扣3分)3) 检查安全检查报告，查看报告日期与检查周期是否一致(不符合扣3分)由内部人员或上级单位定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等；安全管理机构101) 检查是否要求内部人员或上级单位定期对信息系统进行全面安全检查(不符合扣4分)2) 检查内容是否包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等(不符合扣3分)3) 检查安全检查报告，查看报告日期与检查周期是否一致(不符合扣3分)制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报；安全管理机构101) 检查是否具有安全检查表格(不符合扣4分)2) 检查安全检查报告，查看报告日期与检查周期是否一致，报告中是否有检查内容、检查人员、检查数据汇总表、检查结果等的描述(不符合扣6分)制定安全审核和安全检查制度规范安全审核和安全检查工作，定期按照程序进行安全审核和安全检查活动安全管理机构101) 检查是否具有安全审核和安全检查制度(不符合扣6分)2) 检查安全审核和安全检查过程记录(不符合扣4分)4.1.3. 人员安全管理（小计：100分）检查项目检查内容等级保护标准分值评分标准 实际得分CIA人员录用对单位的新录用人员要签署保密协议人员安全管理101) 检查是否有相关管理要求(不符合扣4分)2) 检查是否有签署的保密协议文件(不符合扣6分)指定或授权专门的部门或人员负责人员录用人员安全管理10检查是否有专门部门或人员负责人员录用(不符合扣10分)严格规范人员录用过程，对被录用人的身份、背景、专业资格和资质等进行审查，对其所具有的技术技能进行考核人员安全管理10检查人员录用时是否对被录用人的身份、背景、专业资格和资质进行审查，对技术人员的技术技能进行考核(不符合扣10分)从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议人员安全管理10检查对从事关键岗位的人员是否从内部人员中选拔，是否要求其签署岗位安全协议(不符合扣10分)人员离岗对即将离岗的员工立即终止其在信息系统中的所有访问权限人员安全管理101) 查看员工离岗流程中是否有相关要求(不符合扣4分)2) 检查是否有终止访问权限的表单(不符合扣6分)取回离岗人员的各种身份证件、钥匙、徽章等以及单位提供的软硬件设备人员安全管理101) 查看员工离岗流程中是否有相关要求(不符合扣4分)2) 检查是否有设备、证件等上缴表单记录(无记录扣6分)离岗人员由人事部门办理调离手续，并由离岗人员书面承诺调离后的保密义务人员安全管理101) 查看员工离岗流程中是否有相关要求(不符合扣4分)2) 检查是否有签署的离岗保密承诺文件(无记录扣6分) 第三方人员管理要求第三方人员在访问前与公司签署安全责任合同书或保密协议安全管理101) 查看是否有对第三方访问进行管理的规定(不符合扣4分)2) 检查是否有书面保证文件(不符合扣6分) 对第三方人员访问重要区域以书面形式批准，并由专人全程陪同或监督，记录备案人员安全管理10检查是否有审批记录或监督记录(不符合扣10分)对第三方人员允许访问的区域、系统、设备、信息等内容进行书面的规定，并按照规定执行人员安全管理10检查是否有文件进行了规定(不符合扣10分)4.1.4. 信息安全制度文件管理（小计：230）检查项目检查内容等级保护标准分值评分标准 实际得分CIA信息安全策略体系建立信息安全策略体系，明确本单位需要的信息安全制度内容安全管理制度20检查是否有描述信息安全策略体系的相关文件或定义信息安全管理制度的文件内容(不符合扣20分)对安全管理活动中的各类管理内容建立安全管理制度安全管理制度10检查安全管理制度清单中是否覆盖物理、网络、主机系统、数据、应用和管理等层面(不符合扣10分)对要求管理人员或操作人员执行的日常管理操作建立操作规程；安全管理制度10检查是否具有重要管理操作的操作规程，如系统维护手册和用户操作规程等(不符合扣10分)形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系安全管理制度10检查安全制度体系是否由安全政策、安全策略、管理制度、操作规程等构成(不符合扣10分)信息安全制度管理定期对信息安全管理制度进行审核、修订、更新、废除过时的管理制度，制定、发布、宣贯新的管理要求 安全管理制度10检查是否有制度管理文件(不符合扣10分)检查制度管理文件内容是否明确了制度审核的周期（没有扣6分）指定或授权专门的部门或人员负责安全管理制度的制定；安全管理制度10安全管理制度是否在信息安全领导小组或委员会的总体负责下统一制定(不符合扣10分)安全管理制度具有统一的格式，并进行版本控制；安全管理制度101) 检查安全管理制度文档，查看是否注明适用和发布范围，是否有版本标识，是否有密级标注，是否有管理层的签字或盖章；(不符合扣6分)2) 检查各项制度文档格式是否统一(不符合扣4分)组织相关人员对制定的安全管理制度进行论证和审定；安全管理制度101) 检查安全管理制度的制定程序，检查是否对制定的安全管理制度进行论证和审定，论证和评审方式如何（如召开评审会、函审、内部审核等）(不符合扣10分)2) 检查管理制度评审记录，查看是否有相关人员的评审意见(不符合扣5分)信息安全工作的总体方针和安全策略得到管理者的正式批准和授权；安全管理制度10检查信息安全总体方案和安全策略文档中是否标明得到管理者的正式批准和授权(不符合扣10分)安全管理制度通过正式、有效的方式发布；安全管理制度10检查是否有安全管理制度的发布程序(不符合扣10分)安全管理制度注明发布范围，并对收发文进行登记。安全管理制度101) 检查安全管理制度的收发登记记录(不符合扣10分)2) 检查收发是否符合规定程序和发布范围要求(不符合扣5分)信息安全制度审核信息安全领导小组负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定，并进行信息安全制度的修订、更新和废除。安全管理制度101) 检查信息安全领导小组职责中是否明确要求定期组织相关部门和人员对安全管理制度进行评审(不符合扣5分)2) 检查制度修订、更新和废除的相关工作记录或证明(不符合扣3分)3) 现有管理制度是否有明显过时或已经不适用的内容(有则扣2分)建立相关机制，确保定期对安全管理制度体系进行检查和审定，对存在不足或需要改进的体系制度和流程进行修订。安全管理制度101) 检查是否具有所有安全管理制度对应相应负责人或者负责部门的清单，清单是否注明评审周期(不符合扣5分)2) 检查对安全管理制度进行审定的记录(不符合扣5分)信息安全管理制度机房管理制度，包括机房环境管理、机房进出管理、机房内工作管理等内容系统运维管理8检查机房管理相关制度文件，缺少一项内容扣2分U盘、光盘使用管理制度系统运维管理6缺U盘使用管理制度，扣除4分，缺光盘使用管理制度，扣除2分主机设备安全管理制度系统运维管理8检查是否有相关管理制度(不符合扣8分)网络设施安全管理制度系统运维管理8检查是否有相关管理制度(不符合扣8分)物理设施分类标记管理制度系统运维管理6检查是否有相关管理制度(不符合扣8分)安全配置管理制度、系统分发和操作规章制度、系统文档安全管理制度、测试和评估制度、系统信息安全备份制度系统运维管理10缺少一项管理内容,扣除2分网络连接检查评估制度、网络使用授权制度、网络检测制度、网络设施（设备和协议）变更控制制度等系统运维管理8缺少一项管理内容,扣除2分应用系统上线前测评制度、应用系统上线后安全评估制度、应用系统使用授权制度、应用系统配置管理制度、应用系统文档管理制度等系统建设管理10缺少一项管理内容,扣除2分人员安全管理制度、安全意识和安全技术教育制度、操作安全管理制度、操作系统和数据库管理制度、系统运行记录编写制度、病毒防护管理制度、网络互联安全管理制度、安全审计管理制度、安全事件报告制度、事故处理制度、应急管理制度和灾难恢复管理制度等安全管理18缺少一项管理内容,扣除2分，扣完为止信息分类标记制度、涉密信息安全管理制度、技术文档管理制度、存储介质管理制度、信息披露与发布审批管理制度等系统运维管理8缺少一项管理内容,扣除2分，扣完为止4.1.5. 信息化建设中的安全管理（小计：520分）检查项目检查内容等级保护标准分值评分标准实际得分CIA规划设计阶段的信息安全管理信息系统规划过程中进行明确的信息安全需求分析系统建设管理20抽取12个新建成系统，查看规划阶段形成的文件：1) 是否有管理要求明确系统建设规划阶段必须进行信息安全需求分析(不符合扣10分)2) 是否对建成后的系统运行环境进行了安全需求分析(不符合扣5分)3) 是否对业务应用本身进行了安全需求分析(不符合扣5分)在新系统建设或已有系统改造方案中，包括安全要求系统建设管理201) 查看是否有管理要求对系统开发/采购过程提出明确的信息安全要求，没有明确要求扣10分2) 抽查2个新系统的建设方案，没有提出明确安全要求，每个系统扣5分信息系统设计方案中对软件安全功能进行了设计系统建设管理20检查信息系统设计方案中的安全功能设计是否与提出的安全需求向符(不符合扣6分)软件开发过程中实现设计方案中提出的安全功能系统建设管理20抽查1个已建系统是否实现了设计方案中提出的安全功能，无相关实现的，则该项不得分。实现部分的，则扣10分系统开发的安全管理验证应用系统输入的数据、验证不同类型输入的出错消息、响应验证错误的流程、定义所有数据输入过程中所涉及人员的职责等安全管理20抽取一个新建或在建系统的设计、开发文档，查看管理/技术要求中对系统安全性的规定，无相关要求的，该项不得分。抽查系统测试记录，若内容中无相关测试验证结果说明扣10分确保对程序资源库的修改、更新、发布进行授权和批准系统建设管理10查看管理要求中的相关规定，无相关要求的，该项不得分。抽查授权和批准记录，不能提供的该项不得分制定代码编写安全规范，要求开发人员参照规范编写代码系统建设管理101) 检查是否制定了代码编写规范(不符合该项不得分)2) 抽查了解开发人员是否按规范编写代码(不符合扣6分)确保提供软件设计的相关文档和使用指南，并由专人负责保管系统建设管理101) 检查是否具有需求分析说明书、软件设计说明书和软件操作手册等开发文档(不符合扣5分)2) 检查文档是否由专人负责保管(不符合扣5分)外包软件开发:根据开发需求检测软件质量系统建设管理101) 检查是否要求外包软件开发商检测软件质量(不符合扣5分)2) 检查是否保存软件质量测试报告(不符合扣5分)外包软件开发:要求开发单位提供软件源代码，并审查软件中可能存在的后门系统建设管理101) 检查是否要求开发单位提供软件源代码(不符合扣5分)2) 检查是否审查软件中可能存在的后门，抽查相关记录(不符合扣5分)软件开发外包：在与软件开发单位签订的协议中，明确知识产权的归属和安全方面的要求安全管理10查看管理要求中的相关规定，无相关要求的，该项不得分。抽查文档记录，若缺少相关文档,则该项不得分软件开发外包：在软件安装之前检测软件包中可能存在的恶意代码，并保留完整的测试记录系统建设管理10查看管理/技术要求中的相关规定，无相关要求的，该项不得分。抽查测试记录,没有则该项为0分软件开发外包：要求开发单位提供软件设计的相关文档和使用指南系统建设管理10查看管理要求中的相关规定，无相关要求的，该项不得分。抽查测试记录,没有则该项不得分自行软件开发：确保开发环境与实际运行环境物理分开，开发人员和测试人员分离，测试数据和测试结果受到控制系统建设管理101) 查看是否有管理制度予以要求(不符合扣5分)2) 检查开发和测试人员是否分离(不符合扣3分)3) 是否保留测试数据和测试结果并由专人保管(不符合扣2分)自行开发：制定开发方面的管理制度，以明确说明开发过程的控制方法和人员行为准则系统建设管理10若无相关制度，则该项为0分系统集成与采购中的安全管理对厂商交付的主机操作系统、数据库系统等进行了配置安全加固审核、操作系统安全补丁安装情况审核安全管理10查看管理要求中的相关规定是否有主机操作系统安全加固方面相关规定(不符合扣5分)是否有数据库系统安全加固方面相关规定(不符合扣5分)确保密码产品采购和使用符合国家密码主管部门的要求系统建设管理101) 检查系统是否采用了密码产品(不符合扣5分)2) 密码产品的使用是否符合国家密码主管部门的要求(不符合扣5分)指定或授权专门的部门负责产品的采购系统建设管理10查看管理要求中的相关规定，是否指定或授权专门的部门负责产品的采购(不符合扣10分)预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单系统建设管理101) 检查管理要求中的相关规定，是否要求预先对产品进行选型测试(不符合扣5分)2) 检查是否存在候选产品名单，是否定期审定并更新(不符合扣5分)应有机制确保采购和集成中的安全设备都通过了国家、公司相