安全管理核查表(模板)

1、编号：b2-1安全管理核查表*丫言息系统委托单位:报告日期:six sixsix six six six sixxjx xjx xjx jx jx xjx xjx xjx xjx xjx（本页空白）安全管理核查表测试项测试内容测试方法测试记录管理安全 机构安全信息管 理部门访谈相关人员，是否设立有安全信息管理工作的部 门，设立安全主管，对应冇相关的岗位职责管理员岗位设置访谈相关人员设立冇系统管理员、网络筲理员、安全 管理员岗位，对应有相关的岗位职责信息安全委 员会或领导 小组访谈安全主管，询问是否设立指导和管理信息安全工 作的委员会或领导小组，其最高领导是否由单位主管 领导委任或授权的人员担任

2、。管理员数量配备冇一定数量的系统管理、网络符理员、安全管理 员关键的爭物 岗位访谈相关人员，关键的事物岗位配备是否为多人共同 管理审批流程访谈相关人员，设立对于系统变更、重要操作、物理 访问和系统接入的审批流程，审核相关文档审批和授权制度访谈相关人员，是否设立审批和授权规范以及制度文 档，审核相关记录系统核查访谈相关人员，是否有安全管理员是否有定期的进行 系统检查，检查内容包括系统日常运行、系统漏洞利 数据备份等情况安全报告访谈相关人员，是否有安全检查表格指导实施安全检 查，以及汇总安全检查数据，形成安全检查报告，审 核是否有相关报告以及记录市核制度是否有制定安全审核和安全检查制度规范，定期按

3、照 程序进行安全审核和安全检查活动，审核相关文档与监管机构 的联系访谈相关管理人员，检验被评估单位是否保持与相关 监管机构的适当联系，如本地网监等。人员管理安全管理员访谈相关人员，是否设置了专职的安全管理员岗位维护人员权 限和责任访谈相关人员，明确系统维护岗位人员的安全权限和 安全责任安全管理人 员权限和责 任访谈相关人员，是否存在安全管理岗位相关人员的权 限和责任安全管理人 员入职申明管理员的安全责任和义务需在入职说明中被审明保密协议信息技术人员在应聘时需签订安全保密协议，承诺数 据保密的安全人员离岗交 接访谈相关人员，信息技术离岗人员在办理离岗手续之 前需要交回了所有的密钥、口令、技术文档

4、，审核相 关文档是否存在技术人员定 期审查和考访谈相关人员，是否有定期对信息技术人员进行技术 或任职资格审查和考核，是否冇相关文档记录，如存核在需提供培训和教育访谈相关人员，是否对所冇员工进行过计算机安全管 理的普及培训教育，是否有相关文档记录，如存在需 提供技术人员培 训访谈相关人员，定期对信息技术人员进行安全技术培 训，是否冇相关文档记录，如存在需提供外部人员管理访谈相关人员，外部人员访问受控区域是否进行书面 申请，其访问过程是否有专人全程陪同，核查和关文 档，检验被评估单位是否依照本单位或上级单位的信 息安全策略明确规定第三方合作单位相关人员的安 全角色与职责。规章制度信息安全工 作总体

5、方针 和安全策略访谈相关人员，是否制定信息安全工作的总体方针和 安全策略，是否说明了机构安全工作的总体目标、范 围、原则和安全框架等互联网相关制度访谈相关管理人员，核查相关文档，检验被评估单位 内部所冇访问互联网络的设备是否全部使用木单位 或上级单位的唯一互联网络出口。核查相关文档，检验是否被评估单位所有包含本单位 标志的对外服务应用系统，全部托管在木单位或上级 单位机房。系统建设 管理系统建设管 理制度是否有系统建设管理制度，通过访谈人员以及核查文 档相关记录系统建设管 理流程、规范是否有系统建设管理流程和规范，通过访谈人员以及 核查文档相关记录产品采购方 案、标书是否有产品采购方案、标书，

6、通过访谈人员以及核查 文档相关记录信息系统安 全建设总体 规划访谈相关人员，是否冇信息系统安全建设总体规划信息系统安 全建设总体 安全策略访谈相关人员，是否有信息系统安全建设总体安全策 略信息系统安 全建设详细 设计方案访谈相关人员，是否冇信息系统安全建设详细设计方 案代码编写安 全规范访谈相关人员，并核脊是否有代码编写安全规范自行软件开 发管理制度访谈相关人员，并核查是否冇自行软件开发管理制度软件修改、更 新、发布授权 与批准访谈相关人员，并核查是否有对软件修改、更新、发 布授权与批准外包软件开 发管理制度访谈相关人员，并核查是否有外包软件开发管理制度工程实施管理部门访谈相关人员，是否有工程

7、实施管理部门工程实施管 理制度访谈相关人员，并核查是否有工程实施管理制度测试验收管理部门访谈相关人员，是否有测试验收管理部门安全性测试 验收报告访谈相关人员，并核查是否有安全性测试验收报告， 访谈管理人员，核查相关文档（须包括2011年全年 新系统上线评估报告或记录），检验被评估单位是否 在应用系统上线前进行安全测评，并对发现的安全风 险实施适当的安全控制。上线前的安全测评至少包括 安全审计、漏洞扫描和渗透测试。测试验收方案访谈相关人员，并核查是否有测试验收方案测试验收结 果、报告访谈相关人员，并核查是否有测试验收结果、报告系统交付消单访谈相关人员，并核查是否有系统交付清单系统技能培训访谈相关

8、人员，并核查是否有进行系统技能培训系统运行维 护文档访谈相关人员，并核查是否有系统运行维护文档系统交付控制方法及人员行为准则访谈相关人员，并核查是否有系统交付控制方法及人 员行为准则，核查相关文档，检验被评估单位是否根 据既定的备份策略对信息和软件进行备份并定期测 试。信息系统定 级、备案部门 或专员访谈相关人员，是否有信总系统定级、备案部门或专 员信息系统备案访谈相关人员，并核查是否有信息系统备案安全服务商 服务合同访谈相关人员，并核查是否冇安全服务商服务合同， 访谈相关管理人员，核查相关文档，检验被评估单位 是否评估与第三方合作单位的安全风险，并实施适当 的安全控制安全服务商 英它少安全

9、相关协议访谈相关人员，并核查是否有安全服务商其它与安全 相关协议，核查相关文档，检验被评估单位是否针对 涉及存取、处理、通讯或管理组织的信息或信息处理 设施，要求在与第三方签署的合作协议中涵盖所有相 关的安全要求。系统运维 管理系统运维管 理制度是否冇系统运维管理制度，通过访谈人员以及核查文 档相关记录系统运维管 理流程、规范是否有系统运维管理流程和规范，通过访谈人员以及 核查文档相关记录资产管理制度核查相关文档，检验被评估单位是否对木单位所冇 tt资产进行登记，访谈相关管理人员，核查相关文 档，检验被评估单位所有的tt资产是否均指定贵任 部门，确定所有权关系。核查相关文档，检验被评估单位是否

10、在结束聘用关 系、合同或协议时，要求相关员工、合同方和第三方 单位应归还所使用的单位资产。核查相关文档，检验被评估单位是否在结朿聘用关 系、合同或协议时，要求相关员工、合同方和第三方 单位应归还所使用的单位资产。核查相关文档（须包括资产转移记录），检验被评估 单位是否对设备、信息或软件在未经授权前不应带出 使用区域做出了明确的规定或要求。机房安全管 理人员访谈相关人员，是否冇机房安全管理人员机房安全管理制度访谈相关人员，并核査是否冇机房安全筲理制度，现 场考察，检验被评估单位是否使用安全边界（例如墙、 卡片控制的进入信道或人工驻守的柜台等屏障），以 保护含有信息与信息处理设施的区域。现场考察，

11、检验被评估单位安全区域是否有适当的进 入控制措施加以保护，以确保只有授权人员方可允许 进入。核查相关文档（须包括资产转移记录），检验被评估 单位是否对设备、信息或软件在未经授权前不应带出 使用区域做出了明确的规定或要求。介质安全管 理制度访谈相关人员，并核查是否有介质安全管理制度系统运行日 志监测、报警 记录访谈相关人员，并核查是否有系统运行日志监测、报 警记录，核查相关文档，检验被评估单位是否要求对 重要设备的日志进行定期的安全分析。访谈管理人员，核查相关文档，检验被评估单位是否 对木单位应用系统的安全漏洞进行监控和跟踪处理， 如定期的漏洞扫描和加固等。网络安全管 理制度访谈相关人员，并核脊是否有网络安全管理制度系统管理专 员及特权用 户的管理访谈相关人员，是否有系统管理专员，核查相关文档， 检验被评估单位是否要求限制与控制特权用户的分 配与使用。密码使用管 理制度访谈相关人员，并核查是否有密码使用管理制度变更管理制度访谈相关人员，并核查是否有变更管理制度备份与恢复 制度、规范访谈