2024重点领域网络与信息安全密码检查指南

重点领域网络与信息安全密码检查指南目录一、概述 11、检查目的 12、检查方式 1二、检查内容 11、信息系统基本情况 12、信息系统中密码设备部署及安全配置情况 43、信息系统密码服务 104、密码相关制度的建立和落实情况 13三、检查工作总结 15PAGE14一、概述为做好重点领域网络与信息安全密码检查工作，依据《商用密码管理条例》和《政府信息系统安全检查办法》、《信息安全等级保护商用密码管理办法》等，制定本指南。1、检查目的通过检查，了解被检查对象的商用密码应用情况，分析相关行业密码应用现状和存在问题，便于在今后的管理中有针对性采取措施推动商用密码在行业中的应用。2、检查方式检查人员采取访谈、查看、测试等方式检查被检查系统。二、检查内容1、信息系统基本情况被查单位信息系统基本情况、信息系统基本信息以及系统密码使用情况，检查记录见表1。

表1被查单位信息系统基本情况表一、被查单位基本情况单位名称：单位性质：□机关□事业单位□企业□其他单位地址：邮编：单位网址：行业主管部门：二、信息系统建设情况1、是否有专门负责信息系统建设工作的部门？□是：□否：；如有，专业技术人员：人责任部门名称：联系人：电话：E-mail:传真：2、如没有专门负责信息系统建设的部门，目前由哪个部门负责此方面的工作？部门名称：联系人：电话：E-mail:传真：3、本单位在用信息系统数量：个4、本单位在建信息系统数量：个5、每年信息系统建设中的信息安全投入：万元，其中财政拨款：万元单位自筹：万元

表2信息系统基本情况调研表编号：一、信息系统基本信息1、系统名称安全保护等级2、系统部署范围□全国□区域：系统主机机房地点：3、系统运行环境□Windows□Linux□Unix□其他___________4、开发方式□上级下发□自行开发□合作开发若为合作开发，开发单位名称：5、运维方式□自行维护□外包若为外包，单位名称：6、是否开展过系统测评？□是□否；如有，测评机构名称：证书编号：二、信息系统密码使用情况1、系统主要功能2、是否使用密码设备？□是□否；如有，密码设备数量：，含密产品数量：取得国家密码管理局型号数量，未取得国家密码管理局型号数量3、实现的密码功能：□电子门禁□安全访问路径□身份鉴别□访问控制□审计记录□程序安全□数据传输□数据存储□密钥管理4、是否物理隔离密码设备？□是□否5、是否有专员负责密码设备的操作？□是□否；如无，操作人员隶属部门：6、是否建立密码相关制度？□是□否注：如有多个信息系统，请按顺序编号，另行附表。

2、信息系统中密码设备部署及安全配置情况检查人员调阅系统中使用的密码设备及密码部件清单、了解信息系统中各种密码设备及部件的名称、类型、型号、生产厂家、使用时间及部署方式、配置管理方式、配置信息及运行状态等。检查记录见表3，表4-1、4-2、4-3、4-4。

表3信息系统中密码设备部署情况检查记录表产品类别产品类型使用情况数量基础密码产品密码应用软件□使用□未使用智能卡□使用□未使用智能密码钥匙□使用□未使用服务器密码机□使用□未使用密码管理产品密钥管理系统□使用□未使用密码设备管理系统□使用□未使用密码设备监控系统□使用□未使用证据管理系统□使用□未使用权限管理系统□使用□未使用身份管理系统□使用□未使用可信时间管理系统□使用□未使用证书管理系统□使用□未使用传输加密设备□使用□未使用存储加密设备□使用□未使用鉴别认证设备□使用□未使用行业专用密码设备□使用□未使用信息安全产品安全防火墙□使用□未使用安全路由器□使用□未使用综合安全网关□使用□未使用安全隔离与信息交换□使用□未使用通信网络产品无线接入点□使用□未使用无线上网卡□使用□未使用加密电话机□使用□未使用加密传真机□使用□未使用加密手机□使用□未使用加密VOIP终端□使用□未使用计算机系统产品安全操作系统□使用□未使用可信计算机□使用□未使用安全数据库□使用□未使用主机安全防护系统□使用□未使用安全应用系统□使用□未使用智能终端产品智能仪表□使用□未使用

表4-1信息系统中密码应用软件检查记录表系统名称检查项检查信息密码应用软件名称型号软件版本生产厂家使用时间是否接入互联网□是□否如接入，IP地址/网址用途算法使用情况□SM1□SM4□AES□DES□3DES□SM2□RSA1024□RSA2048□SM3□SHA-1□SHA-256□MD5其它实现的密码功能□电子门禁□安全访问路径□身份鉴别□访问控制□审计记录□程序安全□数据传输□数据存储□密钥管理采用的安全策略密钥管理：□是□否密码协议：□IPSec□SSL□其他注：如系统有多款密码应用软件，请自行复印填写。

表4-2信息系统中智能IC卡检查记录表系统名称检查项检查信息智能IC卡编号：名称型号生产厂家使用时间用途接口类型□接触式□非接触式算法使用情况□SM1□SM4□AES□DES□3DES□SM2□RSA1024□RSA2048□SM3□SHA-1□SHA-256□MD5其它检查项检查信息智能IC卡编号：名称型号生产厂家使用时间用途接口类型□接触式□非接触式算法使用情况□SM1□SM4□AES□DES□3DES□SM2□RSA1024□RSA2048□SM3□SHA-1□SHA-256□MD5其它注：如系统有多款智能IC卡，请按顺序编号，自行复印填写。

表4-3信息系统中智能密码钥匙检查记录表系统名称检查项检查信息智能密码钥匙编号：名称型号生产厂家使用时间用途个性化特征□有□无；如有，□指纹□按键□可视□其他算法使用情况□SM1□SM4□AES□DES□3DES□SM2□RSA1024□RSA2048□SM3□SHA-1□SHA-256□MD5其它检查项检查信息智能密码钥匙编号：名称型号生产厂家使用时间用途个性化特征□有□无；如有，□指纹□按键□可视□其他算法使用情况□SM1□SM4□AES□DES□3DES□SM2□RSA1024□RSA2048□SM3□SHA-1□SHA-256□MD5其它注：如系统有多款智能密码钥匙，请按顺序编号，自行复印填写。

表4-4信息系统中密码机检查记录表系统名称检查项设备情况密码机编号：名称型号生产厂家使用时间接入互联网□是□否如接入，IP地址/网址用途算法使用情况□SM1□SM4□AES□DES□3DES□SM2□RSA1024□RSA2048□SM3□SHA-1□SHA-256□MD5其它采用的安全策略密钥管理：□是□否密码协议：□IPSec□SSL□其他检查项设备情况密码机编号：名称型号生产厂家使用时间接入互联网□是□否如接入，IP地址/网址用途算法使用情况□SM1□SM4□AES□DES□3DES□SM2□RSA1024□RSA2048□SM3□SHA-1□SHA-256□MD5其它采用的安全策略密钥管理：□是□否密码协议：□IPSec□SSL□其他注：1、密码机主要检查：服务器密码机、安全网关、VPN、金融数据密码机等。2、如系统有多个密码机，请按顺序编号，自行复印填写。

3、信息系统密码服务检查密码信息系统密码服务有关情况，检查记录见表5-1、5-2、5-3。表5-1信息系统密码服务（系统建设或集成机构）检查结果记录表系统名称检查项检查结果系统建设或集成机构编号：机构名称机构性质□国有□民营□外资商密相关资质□生产定点单位□销售许可单位□无建设内容建设时间信息安全与保密协议□已签订□未签订检查项检查结果系统建设或集成机构编号：机构名称机构性质□国有□民营□外资商密相关资质□生产定点单位□销售许可单位□无建设内容建设时间信息安全与保密协议□已签订□未签订注：如系统有多个系统建设或集成机构，请按顺序编号，自行复印填写。

表5-2信息系统密码服务（系统运维机构）检查结果记录表系统名称检查项检查结果系统运维机构编号：机构名称机构性质□国有□民营□外资商密相关资质□生产定点单位□销售许可单位□无服务内容服务方式□远程在线服务□现场服务信息安全与保密协议□已签订□未签订检查项检查结果系统运维机构编号：机构名称机构性质□国有□民营□外资商密相关资质□生产定点单位□销售许可单位□无服务内容服务方式□远程在线服务□现场服务信息安全与保密协议□已签订□未签订注：如系统有多个系统建设或集成机构，请按顺序编号，自行复印填写。

表5-3信息系统密码服务（系统测评机构）检查结果记录表系统名称检查项检查结果系统测评机构编号：机构名称机构性质□国有□民营□外资测评时间测评内容是否具备测评证书□是□否如有，证书编号：检查项检查结果系统测评机构编号：机构名称机构性质□国有□民营□外资测评时间测评内容是否具备测评证书□是□否如有，证书编号：注：如系统有多个系统测评机构，请按顺序编号，自行复印填写。

4、密码相关制度的建立和落实情况检查人员访谈系统安全管理员，结合密码相关管理制度文件确定信息系统是否建立了有效的密码设备安全管理制度。检查人员访谈系统安全管理员、密码设备操作人员、密码设备维护人员，确定密码管理制度文件的落实情况。检查记录见表6、表7。表6信息系统密码相关制度建立和落实情况检查记录表序号检查项检查结果1分管密码安全工作的领导□有□无如有，姓名：职务：（本部门正职或副职领导）2密码安全管理机构□有□无如有，名称：负责人：职务：联系人：电话：3密码安全专职管理机构□有□无如有，名称：负责人：电话：4密码安全管理员本单位内设机构数量：密码安全员数量：专职密码安全员数量：5岗位责任和事故责任追究岗位密码安全责任制度：□已制定□未制定安全责任事故：□发生过□所有事故均已查处相关责任人□有事故未查处相关责任人□未发生

表7密码安全管理制度建立和落实情况检查记录表序号检查项检查结果1人员管理①重要岗位人员安全保密协议：□全部签订□部分签订□未签订②人员离岗离职安全管理规定：□已制定□未制定③外部人员访问审批制度：□已制定□未制定2资产管理①