武汉市精神卫生中心信息系统安全等级保护测评服务项目推介会公告

1

物理位置

选择

1) 应核查所在建筑物是否具有建筑物抗震设防审批文档；

2) 应核查机房是否不存在雨水渗漏；
3) 应核查门窗是否不存在因风导致的尘土严重；
4) 应核查屋顶、墙体、门窗和地面等是否不存在破损开裂。

2

应核查机房是否不位于所在建筑物的顶层或地下室，如果否，则核查机房是否采取了防水和防潮措施；

3

物理访问

控制

1) 应核查出入口是否配置电子门禁系统；
2) 应核查电子门禁系统是否可以鉴别、记录进入的人员信息。

4

防盗窃和防破坏

1) 应核查机房内设备或主要部件是否固定；
2) 应核查机房内设备或主要部件上是否设置了明显且不易除去的标识。

5

应核查机房内通信线缆是否铺设在隐蔽安全处，如桥架中等；

6

1) 应核查机房内是否配置防盗报警系统或专人值守的视频监控系统；
2) 应核查防盗报警系统或视频监控系统是否启用。

7

防雷击

应核查机房内机柜、设施和设备等是否进行接地处理；

8

1) 应核查机房内是否设置防感应雷措施；
2) 应核查防雷装置是否通过验收或国家有关部门的技术检测。

9

防火

1) 应核查机房内是否设置火灾自动消防系统；

2) 应核查火灾自动消防系统是否可以自动检测火情、自动报警并自动灭火。

10

应核查机房验收文档是否明确相关建筑材料的耐火等级；

11

1) 应访谈机房管理员是否进行了区域划分；
2)应核查各区域间是否采取了防火措施进行隔离。

12

防水和防潮

应核查窗户、屋顶和墙壁是否采取了防雨水渗透的措施；

13

1) 应核查机房内是否采取了防止水蒸气结露的措施；
2) 应核查机房内是否采取了排泄地下积水，防止地下积水渗透的措施。

14

1) 应核查机房内是否安装了对水敏感的检测装置；
2) 应核查防水检测和报警装置是否启用。

15

防静电

1) 应核查机房内是否安装了防静电地板或地面；
2) 应核查机房内是否采用了接地防静电措施。

16

应核查机房内是否配备了防静电设备；

17

温湿度控制

1) 应核查机房内是否配备了专用空调；
2) 应核查机房内温湿度是否在设备运行所允许的范围之内。

18

电力供应

应核查供电线路上是否配置了稳压器和过电压防护设备；

19

1) 应核查是否配备UPS等后备电源系统；
2) 应核查UPS等后备电源系统是否满足设备在断电情况下的正常运行要求。

20

应核查机房内是否设置了冗余或并行的电力电缆线路为计算机系统供电；

21

电磁防护

应核查机房内电源线缆和通信线缆是否隔离铺设；

22

应核查机房内是否为关键设备配备了电磁屏蔽装置；

1

网络架构

1) 应核查业务高峰时期一段时间内主要网络设备的CPU使用率和内存使用率是否满足需要；
2) 应核查网络设备是否从未出现过因设备性能问题导致的宕机情况；
3) 应测试验证设备是否满足业务高峰期需求。

2

1) 应核查综合网管系统各通信链路带宽是否满足高峰时段的业务流量需要；
2) 应测试验证网络带宽是否满足业务高峰期需求。

3

1) 应核查是否依据重要性、部门等因素划分不同的网络区域；
2) 应核查相关网络设备配置信息，验证划分的网络区域是否与划分原则一致。

4

1) 应核查网络拓扑图是否与实际网络运行环境一致；
2) 应核查重要网络区域是否未部署在网络边界处；
3) 应核查重要网络区域与其他网络区域之间是否采取可靠的技术隔离手段，网闸、防火墙和设备访问控制列表（ACL）等。

5

应核查是否有关键网络设备、安全设备和关键计算设备的硬件冗余（主备或双活等）和通信线路冗余；

6

通信传输

1) 应核查是否在数据传输过程中使用校验技术或密码技术来保证其完整性；
2) 应测试验证密码技术设备或组件能否保证通信过程中数据的完整性。

7

1) 应核查是否在通信过程中采取保密措施，具体采用哪些技术措施；
2) 应测试验证在通信过程中是否对数据进行加密。

8

可信验证

1) 应核查是否基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证；
2) 应核查是否在应用程序的关键执行环节进行动态可信验证；
3) 应测试验证当检测到通信设备的可信性受到破坏后是否进行报警；
4) 应测试验证结果是否以审计记****管理中心。

1

边界防护

1) 应核查在网络边界处是否部署访问控制设备；
2) 应核查设备配置信息是否指定端口进行跨越边界的网络通信，指定端口是否配置并启用了安全策略；
3) 应采用其他技术手段（如非法无线网络设备定位、核查设备配置信息等）核查或测试验证是否不存在其他未受控端口进行跨越边界的网络通信。

2

1) 应核查是否采用技术措施防止非授权设备接入内部网络；
2) 应核查所有路由器和交换机等相关设备闲置端口是否均已关闭。

3

应核查是否采用技术措施防止内部用户存在非法外联行为；

4

1) 应核查无线网络的部署方式，是否单独组网后再连接到有线网络；
2) 应核查无线网络是否通过受控的边界防护设备接入到内部有线网络。

5

访问控制

1) 应核查在网络边界或区域之间是否部署访问控制设备并启用访问控制策略；
2) 应核查设备的最后一条访问控制策略是否为禁止所有网络通信。

6

1) 应核查是否不存在多余或无效的访问控制策略；
2) 应核查不同的访问控制策略之间的逻辑关系及前后排列顺序是否合理。

7

1) 应核查设备的访问控制策略中是否设定了源地址、目的地址、源端口、目的端口和协议等相关配置参数；
2) 应测试验证访问控制策略中设定的相关配置参数是否有效。

8

1) 应核查是否采用会话认证等机制为进出数据流提供明确的允许/拒绝访问的能力；
2) 应测试验证是否为进出数据流提供明确的允许/拒绝访问的能力。

9

1) 应核查是否部署访问控制设备并启用访问控制策略；
2) 应测试验证设备访问控制策略是否能够对进出网络的数据流实现基于应用协议和应用内容的访问控制。

10

入侵防范

1) 应核查相关系统或组件是否能够检测从外部发起的网络攻击行为；
2) 应核查相关系统或组件的规则库版本或威胁情报库是否已经更新到最新版本；
3) 应核查相关系统或组件的配置信息或安全策略是否能够覆盖网络所有关键节点；
4) 应测试验证相关系统或组件的配置信息或安全策略是否有效。

11

1) 应核查相关系统或组件是否能够检测到从内部发起的网络攻击行为；

2) 应核查相关系统或组件的规则库版本或威胁情报库是否已经更新到最新版本；

3) 应核查相关系统或组件的配置信息或安全策略是否能够覆盖网络所有关键节点；

4) 应测试验证相关系统或组件的配置信息或安全策略是否有效。

12

1) 应核查是否部署相关系统或组件对新型网络攻击进行检测和分析；

2) 应测试验证是否对网络行为进行分析，实现对网络攻击特别是未知的新型网络攻击的检测和分析。

13

1) 应核查相关系统或组件的记录是否包括攻击源IP、攻击类型、攻击目标、攻击时间等相关内容；

2) 应测试验证相关系统或组件的报警策略是否有效。

14

恶意代码和垃圾邮件防范

1) 应核查在关键网络节点处是否部署防恶意代码产品等技术措施；

2) 应核查防恶意代码产品运行是否正常，恶意代码库是否已经更新到最新； 3) 应测试验证相关系统或组件的安全策略是否有效。

15

1) 应核查在关键网络节点处是否部署了防垃圾邮件产品等技术措施；

2) 应核查防垃圾邮件产品运行是否正常，防垃圾邮件规则库是否已经更新到最新；
3) 应测试验证相关系统或组件的安全策略是否有效。

16

安全审计

1) 应核查是否部署了综合安全审计系统或类似功能的系统平台；
2) 应核查安全审计范围是否覆盖到每个用户；
3) 应核查是否对重要的用户行为和重要安全事件进行了审计。

17

应核查审计记录信息是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

18

1) 应核查是否采取了技术措施对审计记录进行保护；
2) 应核查是否采取技术措施对审计记录进行定期备份，并核查其备份策略。

19

应核查是否对远程访问用户及互联网访问用户行为单独进行审计分析；

20

可信验证

1) 应核查是否基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证；
2) 应核查是否在应用程序的关键执行环节进行动态可信验证；
3) 应测试验证当检测到边界设备的可信性受到破坏后是否进行报警；
4) 应测试验证结果是否以审计记****管理中心。

1

身份鉴别

1) 应核查用户在登录时是否采用了身份鉴别措施；
2) 应核查用户列表确认用户身份标识是否具有唯一性；
3) 应核查用户配置信息或测试验证是否不存在空口令用户；
4) 应核查用户鉴别信息是否具有复杂度要求并定期更换。

2

1) 应核查是否配置并启用了登录失败处理功能；
2) 应核查是否配置并启用了限制非法登录功能，非法登录达到一定次数后采取特定动作，如账户锁定等；
3) 应核查是否配置并启用了登录连接超时及自动退出功能。

3

应核查是否采用加密等安全方式对系统进行远程管理，防止鉴别信息在网络传输过程中被窃听；

4

1) 应核查是否采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别；
2) 应核查其中一种鉴别技术是否使用密码技术来实现。

5

访问控制

1) 应核查是否为用户分配了账户和权限及相关设置情况；
2) 应核查是否已禁用或限制匿名、默认账户的访问权限。

6

1) 应核查是否已经重命名默认账户或默认账户已被删除；
2) 应核查是否已修改默认账户的默认口令。

7

1) 应核查是否不存在多余或过期账户，管理员用户与账户之间是否一一对应；
2) 应测试验证多余的、过期的账户是否被删除或停用。

8

1) 应核查是否进行角色划分；
2) 应核查管理用户的权限是否已进行分离；
3) 应核查管理用户权限是否为其工作任务所需的最小权限。

9

1) 应核查是否由授权主体（如管理用户）负责配置访问控制策略；
2) 应核查授权主体是否依据安全策略配置了主体对客体的访问规则；
3) 应测试验证用户是否有可越权访问情形。

10

应核查访问控制策略的控制粒度是否达到主体为用户级或进程级，客体为文件、数据库表、记录或字段级；

11

1) 应核查是否对主体、客体设置了安全标记；
2) 应测试验证是否依据主体、客体安全标记控制主体对客体访问的强制访问控制策略。

12

安全审计

1) 应核查是否开启了安全审计功能；
2) 应核查安全审计范围是否覆盖到每个用户；
3) 应核查是否对重要的用户行为和重要安全事件进行审计。

13

应核查审计记录信息是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

14

1) 应核查是否采取了保护措施对审计记录进行保护；
2) 应核查是否采取技术措施对审计记录进行定期备份，并核查其备份策略。

15

应测试验证通过非审计管理员的其他账户来中断审计进程，验证审计进程是否受到保护；

16

入侵防范

1) 应核查是否遵循最小安装原则；
2) 应核查是否未安装非必要的组件和应用程序。

17

1) 应核查是否关闭了非必要的系统服务和默认共享；
2) 应核查是否不存在非必要的高危端口。

18

应核查配置文件或参数是否对终端接入范围进行限制；

19

1) 应核查系统设计文档的内容是否包括数据有效性检验功能的内容或模块；
2) 应测试验证是否对人机接口或通信接口输入的内容进行有效性检验。

20

1) 应通过漏洞扫描、渗透测试等方式核查是否不存在高风险漏洞；
2) 应核查是否在经过充分测试评估后及时修补漏洞。

21

1) 应访谈并核查是否有入侵检测的措施；
2) 应核查在发生严重入侵事件时是否提供报警。

22

恶意代码防范

1) 应核查是否安装了防恶意代码软件或相应功能的软件，定期进行升级和更新防恶意代码库；
2) 应核查是否采用主动免疫可信验证技术及时识别入侵和病毒行为；
3) 应核查当识别入侵和病毒行为时是否将其有效阻断。

23

可信验证

1) 应核查是否基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证；
2) 应核查是否在应用程序的关键执行环节进行动态可信验证；
3) 应测试验证当检测到计算设备的可信性受到破坏后是否进行报警；
4) 应测试验证结果是否以审计记****管理中心。

24

数据完整性

1) 应核查系统设计文档，鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等在传输过程中是否采用了校验技术或密码技术保证完整性；
2) 应测试验证在传输过程中对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等进行篡改，是否能够检测到数据在传输过程中的完整性受到破坏并能够及时恢复。

25

1) 应核查设计文档，是否采用了校验技术或密码技术保证鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等在存储过程中的完整性；
2) 应核查是否采用技术措施（如数据安全保护系统等）保证鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等在存储过程中的完整性；
3) 应测试验证在存储过程中对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等进行篡改，是否能够检测到数据在存储过程中的完整性受到破坏并能够及时恢复。

26

数据保密性

1) 应核查系统设计文档，鉴别数据、重要业务数据和重要个人信息等在传输过程中是否采用密码技术保证保密性；
2) 应通过嗅探等方式抓取传输过程中的数据包，鉴别数据、重要业务数据和重要个人信息等在传输过程中是否进行了加密处理。

27

1) 应核查是否采用密码技术保证鉴别数据、重要业务数据和重要个人信息等在存储过程中的保密性；
2) 应核查是否采用技术措施（如数据安全保护系统等）保证鉴别数据、重要业务数据和重要个人信息等在存储过程中的保密性；
3) 应测试验证是否对指定的数据进行加密处理。

28

数据备份恢复

1) 应核查是否按照备份策略进行本地备份；
2) 应核查备份策略设置是否合理、配置是否正确；
3) 应核查备份结果是否与备份策略一致；
4) 应核查近期恢复测试记录是否能够进行正常的数据恢复。

29

应核查是否提供异地实时备份功能，并通过网络将重要配置数据、重要业务数据实时备份至备份场地；

30

应核查重要数据处理系统（包括边界路由器、边界防火墙、核心交换机、应用服务器和数据库服务器等）是否采用热冗余方式部署；

31

剩余信息保护

应核查相关配置信息或系统设计文档，用户的鉴别信息所在的存储空间被释放或重新分配前是否得到完全清除；

32

应核查相关配置信息或系统设计文档，敏感数据所在的存储空间被释放或重新分配给其他用户前是否得到完全清除；

33

个人信息保护

1) 应核查采集的用户个人信息是否是业务应用必需的；
2) 应核查是否制定了有关用户个人信息保护的管理制度和流程。

34

1) 应核查是否采用技术措施限制对用户个人信息的访问和使用；
2) 应核查是否制定了有关用户个人信息保护的管理制度和流程。

1

系统管理

1) 应核查是否对系统管理员进行身份鉴别；
2) 应核查是否只允许系统管理员通过特定的命令或操作界面进行系统管理操作；
3) 应核查是否对系统管理的操作进行审计。

2

应核查是否通过系统管理员对系统的**和运行进行配置、控制和管理，包括用户身份、**配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等；

3

审计管理

1) 应核查是否对审计管理员进行身份鉴别；
2) 应核查是否只允许审计管理员通过特定的命令或操作界面进行安全审计操作；
3) 应核查是否对安全审计操作进行审计。

4

应核查是否通过审计管理员对审计记录进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等；

5

安全管理

1) 应核查是否对安全管理员进行身份鉴别；
2) 应核查是否只允许安全管理员通过特定的命令或操作界面进行安全审计操作；
3) 应核查是否对安全管理操作进行审计。

6

应核查是否通过安全管理员对系统中的安全策略进行配置，包括安全参数的设置，主体、客体进行统一安全标记，对主体进行授权，配置可信验证策略等；

7

集中管控

1) 应核查是否划分出单独的网络区域用于部署安全设备或安全组件；
2) 应核查各个安全设备或安全组件是否集中部署在单独的网络区域内。

8

1) 应核查是否采用安全方式（如SSH、HTTPS、IPSec VPN等）对安全设备或安全组件进行管理；
2) 应核查是否使用独立的带外管理网络对安全设备或安全组件进行管理。

9

1) 应核查是否部署了具备运行状态监测功能的系统或设备，能够对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测；
2) 应测试验证运行状态监测系统是否根据网络链路、安全设备、网络设备和服务器等的工作状态、依据设定的阀值（或默认阀值）实时报警。

10

1) 应核查各个设备是否配置并启用了相关策略，将审计数据发送到独立于设备自身的外部集中安全审计系统中；
2) 应核查是否部署统一的集中安全审计系统，统一收集和存储各设备日志，并根据需要进行集中审计分析；
3) 应核查审计记录的留存时间是否至少为6个月。

11

1) 应核查是否能够对安全策略（如防火墙访问控制策略、入侵保护系统防护策略、WAF安全防护策略等）进行集中管理；
2) 应核查是否实现对操作系统防恶意代码系统及网络恶意代码防护设备的集中管理，实现对防恶意代码病毒规则库的升级进行集中管理；
3) 应核查是否实现对各个系统或设备的补丁升级进行集中管理。

12

1) 应核查是否部署了相关系统平台能够对各类安全事件进行分析并通过声光等方式实时报警；
2) 应核查监测范围是否能够覆盖网络所有关键路径。

1

安全策略

应核查网络安全工作的总体方针和安全策略文件是否明确机构安全工作的总体目标、范围、原则和各类安全策略；

2

管理制度

应核查是否具有日常管理操作的操作规程，如系统维护手册和用户操作规程等；

3

4

应核查总体方针策略文件、管理制度和操作规程、记录表单是否全面且具有关联性和一致性；

5

制定和发布

应核查是否由专门的部门或人员负责制**全管理制度；

6

1) 应核查制度制定和发布要求管理文档是否说明安全管理制度的制定和发布程序、格式要求及版本编号等相关内容；
2) 应核查安全管理制度的收发登记记录是否通过正式、有效的方式收发，如正式发文、领导签署和单位盖章等。

7

评审和修订

1) 应访谈信息网络安全负责人是否定期对安全管理制度的合理性和适用性进行审定；
2) 应核查是否具有安全管理制度的审定或论证记录，如果对制度做过修订，核查是否有修订版本的安全管理制度。

1

岗位设置

1) 应访谈信息/网络安全主管是否成立了指导和管****委员会****小组；
2) 应核查相关文档是否明****委员会****小组构成情况和相关职责；
3) ****领导小组的最高领导是否由单位主管领导担任或由其进行了授权。

2

1) 应访谈信息/网络安全主管是否设立网络安全管理工作的职能部门；
2) 应核查部门职责文档是否明确网络安全管理工作的职能部门和各负责人职责；
3) 应核查岗位职责文档是否有岗位划分情况和岗位职责。

3

1) 应访谈信息/网络安全主管是否进行了安全管理岗位的划分；
2) 应核查岗位职责文档是否明确了各部门及各岗位职责。

4

人员配备

1) 应访谈信息/网络安全主管是否配备系统管理员、审计管理员和安全管理员；
2) 应核查人员配备文档是否明确各岗位人员配备情况。

5

应核查人员配备文档是否配备了专职安全管理员；

6

授权和审批

1) 应核查部门职责文档是否明确各部门审批事项；
2) 应核查岗位职责文档是否明确各岗位审批事项。

7

1) 应核查系统变更、重要操作、物理访问和系统接入等事项的操作规范是否明确建立了逐级审批程序；
2) 应核查审批记录、操作记录，审批结果是否与相关制度一致。

8

1) 应访谈信息/网络安全主管是否对各类审批事项进行更新；
2) 应核查是否具有定期审查审批事项的记录。

9

沟通和**

1) 应访谈信息/网络安全主管是否建立了各类管理人员、组织内****管理部门之间的**与沟通机制；
2) 应核查会议记录是否明确各类管理人员、组织内****管理部门之间开展了**与沟通。

10

1) 应访谈信息/网络安全主管是否建立了与网络安全职能部门、各类投标人、业界专家及安全组织的**与沟通机制；
2) 应核查会议记录是否与网络安全职能部门、各类投标人、业界专家及安全组织开展了**与沟通。

11

应核查外联单位联系列表是否记录了外联单位名称、**内容、联系人和联系方式等信息；

12

审核和检查

1) 应访谈信息/网络安全主管是否定期进行了常规安全检查；
2) 应核查常规安全检查记录是否包括了系统日常运行、系统漏洞和数据备份等情况。

13

1) 应访谈信息/网络安全主管是否定期进行了全面安全检查；
2) 应核查全面安全检查记录是否包括了现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。

14

应核查是否具有安全检查表格、安全检查记录、安全检查报告、安全检查结果通报记录；

1

人员录用

应访谈信息/网络安全主管是否由专门的部门或人员负责人员的录用工作；

2

1) 应核查人员安全管理文档是否说明录用人员应具备的条件（如学历、学位要求，技术人员应具备的专业技术水平，管理人员应具备的安全管理知识等）；
2) 应核查是否具有人员录用时对录用人身份、安全背景、专业资格或资质等进行审查的相关文档或记录，是否记录审查内容和审查结果等；
3) 应核查人员录用时的技能考核文档或记录是否记录考核内容和考核结果等。

3

1) 应核查保密协议是否有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容；
2) 应核查岗位安全协议是否有岗位安全责任定义、协议的有效期限和责任人签字等内容。

4

人员离岗

应核查是否具有离岗人员终止其访问权限、交还身份证件、软硬件设备等的登记记录；

5

1) 应核查人员离岗的管理文档是否规定了人员调离手续和离岗要求等；
2) 应核查是否具有按照离岗程序办理调离手续的记录；
3) 应核查保密承诺文档是否有调离人员的签字。

6

安全意识教育和培训

1) 应核查安全意识教育及岗位技能培训文档是否明确培训周期、培训方式、培训内容和考核方式等相关内容；
2) 应核查安全责任和惩戒措施管理文档或培训文档是否包含具体的安全责任和惩戒措施。

7

1) 应核查安全教育和培训计划文档是否具有不同岗位的培训计划；
2) 应核查培训内容是否包含安全基础知识、岗位操作规程等；
3) 应核查安全教育和培训记录是否有培训人员、培训内容、培训结果等描述。

8

应核查是否具有针对各岗位人员的技能考核记录；

9

外部人员访问管理

1) 应核查外部人员访问管理文档是否明确允许外部人员访问的范围、外部人员进入的条件、外部人员进入的访问控制措施等；
2) 应核查外部人员访问重要区域的书面申请文档是否具有批准人允许访问的批准签字等；
3) 应核查外部人员访问重要区域的登记记录是否记录了外部人员访问重要区域的进入时间、离开时间、访问区域及陪同人等。
4) 应核查外部人员访问管理文档是否明确允许外部人员访问的范围、外部人员进入的条件、外部人员进入的访问控制措施等；
5) 应核查外部人员访问重要区域的书面申请文档，是否具有批准人允许访问的批准签字等；
6) 应核查外部人员访问重要区域的登记记录是否记录了外部人员访问重要区域的进入时间、离开时间、访问区域及陪同人等

10

1) 应核查外部人员访问管理文档是否明确外部人员接入受控网络前的申请审批流程；
2) 应核查外部人员访问系统的书面申请文档是否明确外部人员的访问权限，是否具有允许访问的批准签字等；
3) 应核查外部人员访问系统的登记记录是否记录了外部人员访问的权限、时限、账户等。

11

1) 应核查外部人员访问管理文档是否明确外部人员离开后及时清除其所有访问权限；
2) 应核查外部人员访问系统的登记记录是否记录了访问权限清除时间。

12

应核查外部人员访问保密协议是否明确人员的保密义务(如不得进行非授权操作，不得复制信息等）；

1

定级和备案

应核查定级文档是否明确等级保护对象的安全保护等级，是否说明定级的方法和理由。

2

应核查定级结果的论证评审会议记录是否有相关部门和有关安全技术专家对定级结果的论证意见；

3

应核查定级结果的部门审批文档是否有上级主管部门或本单位相关部门的审批意见；

4

应****机关出具的备案证明文档；

5

安全方案设计

应核查安全设计文档是否根据安全等级选择安全措施，是否根据安全需求调整安全措施；

6

应核查是否有总体规划和安全设计方案等配套文件，设计方案中应保护密码相关内容；

7

1) 应核查配套文件的论证评审记录或文档是否有相关部门和有关安全技术专家对总体安全规划、安全设计方案等相关配套文件的论证意见；
2) 应核查是否有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等配套文件，各个文件是否有机构管理层的批准。

8

产品采购和使用

应访谈建设负责人系统使用的有关信息安全产品是否符合国家的有关规定，如安全产品获得了销售许可证等；

9

应访谈建设负责人是否采用了密码产品及其相关服务，密码产品与服务的采购和使用是否符合国家密码管理主管部门的要求；

10

应核查是否具有产品选型测试结果文档、候选产品采购清单及审定或更新的记录；

11

自行软件开发

1) 应访谈建设负责人自主开发软件是否在独立的物理环境中完成编码和调试，与实际运行环境分开；
2) 应核查测试数据和结果是否受控使用。

12

应核查软件开发管理制度是否明确软件设计、开发、测试和验收过程的控制方法和人员行为准则，是否明确哪些开发活动应经过授权和审批；

13

应核查代码编写安全规范是否明确代码安全编写规则；

14

应核查是否具有软件开发文档和使用指南；

15

应核查是否具有软件安全测试报告，明确软件存在的安全问题及可能存在的恶意代码；

16

应核查对程序**库的修改、更新、发布进行授权和审批的文档或记录是否有批准人的签字；

17

应访谈建设负责人开发人员是否为专职，是否对开发人员活动进行控制等；

18

外包软件开发

应核查是否具有交付前的恶意代码检测报告；

19

应核查是否具有软件开发的相关文档，如需求分析说明书、软件设计说明书等，是否具有软件操作手册或使用指南；

20

1) 应访谈建设负责人委托开发单位是否提供软件源代码；
2) 应核查软件测试报告是否明确审查了软件可能存在的后门和隐蔽信道并记录。

21

工程实施

应访谈建设负责人是否指定专门部门或人员对工程实施过程进行进度和质量控制，由何部门/何人负责；

22

应核查工程实施方案是否包括工程时间限制、进度控制和质量控制等方面内容，是否按照工程实施方面的管理制度进行各类控制、产生阶段性文档等；

23

如果安全建设为第三方实施时，应核查工程监理报告是否明确了工程进展、时间计划、控制措施等方面内容；

24

测试验收

1) 应核查工程测试验收方案是否明确说明参与测试的部门、人员、测试验收内容、现场操作过程等内容；
2) 应核查测试验收报告是否有相关部门和人员对测试验收报告进行审定的意见。

25

应核查是否具有上线前的安全测试报告，报告应包含密码应用安全性测试相关内容；

26

系统交付

应核查交付清单是否说明交付的各类设备、软件、文档等；

27

应核查系统交付技术培训记录是否包括培训内容、培训时间和参与人员等；

28

应核查交付文档是否有指导用户进行运维的文档等，提交的文档是否符合管理规定的要求；

29

等级测评

1) 应访谈运维负责人本次测评是否为首次，若非首次，以往进行过几次测评，是否根据测评结果进行相应的安全整改；
2) 应核查是否具有以往等级测评报告和安全整改方案。

30

1) 应访谈运维负责人系统是否有过重大变更或级别发生过变化，若有，是否进行相应的等级测评；
2) 应核查是否具有相应情况下的等级测评报告。

31

应访谈运维负责人以往等级测评的测评单位是否具有国家相关等级测评资质的单位；

32

服务投标人选择

应访谈建设负责人选择的安全服务商是否符合国家有关规定；

33

应核查与安全服务商签订的服务合同或安全责任合同书是否明确了后期的技术支持和服务承诺等内容；

34

1) 应核查是否具有安全服务商定期提交的安全服务报告；
2) 应核查是否定期审核评价安全服务投标人所提供的服务，是否具有服务审核报告；
3) 应核查是否具有安全服务商评价审核管理制度，明确针对服务商的评价指标和考核内容等。

1

环境管理

1) 应访谈物理安全负责人是否指定部门和人员负责机房安全管理工作，对机房的出入进行管理、对基础设施（如空调、供配电设备、灭火设备等）进行定期维护，由何部门/何人负责；
2) 应核查部门或人员岗位职责文档是否明确机房安全的责任部门及人员；
3) 应核查机房的出入登记记录是否记录来访人员、来访时间、离开时间、携带物品等信息；
4) 应核查机房的基础设施的维护记录是否记录维护日期、维护人、维护设备、故障原因、维护结果等方面内容。

2

1) 应核查机房安全管理制度是否覆盖物理访问、物品进出和环境安全等方面内容；
2) 应核查物理访问、物品进出和环境安全等相关记录是否与制度相符。

3

1) 应核查机房安全管理制度是否明确来访人员的接待区域；
2) 应核查办公桌面上是否不包含敏感信息的纸档文件和移动介质等。

4

资产管理

应核查资产清单是否覆盖资产范围（含设备设施、软件、文档等）、资产责任部门、重要程度和所处位置等内容。

5

1) 应访谈资产管理员是否依据资产的重要程度对资产进行标识，不同类别的资产在管理措施的选取上是否不同；
2) 应核查资产管理制度是否明确资产的标识方法以及不同资产的管理措施要求；
3) 应核查资产清单中的设备是否具有相应标识，标识方法是否符合2）相关要求。

6

1) 应核查信息分类文档是否规定了分类标识的原则和方法（如根据信息的重要程度、敏感程度或用途不同进行分类）；
2) 核查信息资产管理办法是否规定了不同类信息的使用、传输和存储等。

7

介质管理

1) 应访谈资产管理员介质存放于何种环境中，是否对存放介质实施专人管理；
2) 应核查介质使用管理记录是否记录介质归档和使用等情况。

8

1) 应访谈资产管理员介质在物理传输过程中的人员、打包交付等情况是否进行控制；
2) 应核查是否有对介质的归档和查询等的登记记录。

9

设备维护管理

1) 应访谈设备管理员是否对各类设施、设备指定专人或专门部门进行定期维护；
2) 应核查部门或人员岗位职责文档是否明确设备维护管理的责任部门。

10

1) 应核查设备维护管理制度是否明确维护人员的责任、维修和服务的审批、维修过程的监督控制等方面内容；
2) 应核查是否留有维修和服务的审批、维修过程等记录，审批、记录内容是否与制度相符。

11

1) 应访谈设备管理员对带离机房的设备是否经过审批，由何人审批；
2) 应核查是否具有设备带离机房或办公地点的审批记录；
3) 应访谈设备管理员含有重要数据的存储介质带出工作环境是否有加密措施，采取什么加密措施。

12

应访谈设备管理员含有存储介质的设备在报废或重用前，是否采取措施进行完全清除或被安全覆盖；

13

漏洞和风险管理

1) 应访谈安全管理员是否定期进行漏洞扫描，对发现的漏洞是否及时进行修补或评估可能的影响后进行修补；
2) 应核查漏洞扫描报告是否描述了存在的漏洞、严重级别、原因分析和改进意见等方面。

14

1) 应访谈安全管理员是否定期开展安全测评；
2) 应核查是否具有安全测评报告；
3) 应核查是否具有安全整改应对措施文档。

15

网络和系统安全管理

应核查网络和系统安全管理文档是否明确要求对网络和系统管理员用户进行分类，并定义各个角色的责任和权限（**：划分不同的管理角色，系统管理权限与安全审计权限分离等）；

16

1) 应访谈运维负责人是否指定专门的部门或人员进行账户管理；
2) 应核查相关审批记录或流程是否对申请账户、建立账户、删除账户等进行控制。

17

应核查网络和系统安全管理制度是否覆盖网络和系统的安全策略，账户管理（用户责任、义务、风险、权限审批、权限分配、账户注销等），配置文件的生成、备份，变更审批、符合性检查等，授权访问，最小服务，升级与打补丁，审计日志，登录设备和系统的口令更新周期等方面；

18

应核查重要设备（如操作系统、数据库、网络设备、安全设备、应用和组件）的配置和操作手册是否明确操作步骤、维护记录、参数配置等内容；

19

应核查运维操作日志，查看是否覆盖网络和系统的日常巡检、运行维护、参数的设置和修改等内容。

20

1) 应访谈网络和系统相关人员是否指定专门部门或人员对日志、监测和报警数据等进行分析统计；
2) 应核查是否具有对日志、监测和报警数据等进行分析统计的报告。

21

1) 应访谈网络和系统相关人员调整配置参数结束后是否同步更新配置信息库，并核实配置信息库是否为最新版本；
2) 应核查是否具有变更运维的审批记录，如系统连接、安装系统组件或调整配置参数等活动；
3) 应核查是否具有变更运维的操作过程记录。

22

1) 应访谈系统管理员使用运维工具结束后是否删除工具中的敏感数据；
2) 应核查是否具有运维工具接入系统的审批记录；
3) 应核查运维工具的审计日志记录，审计日志是否不可以更改。

23

1) 应访谈系统管理员日常运维过程中是否存在远程运维，如存在则远程运维结束后是否立即关闭了接口或通道；
2) 应核查是否具有开通远程运维的审批记录；
3) 应核查针对远程运维的操作过程记录，查看审计日志是否不可以更改。

24

1) 应访谈网络管理员外联种类（互联网、**伙伴企业网、上级部门网络等）是否都得到授权与批准，由何人、何部门批准；
2) 应访谈网络管理员是否定期核查违规联网行为；
3) 应核查是否具有外联授权的记录文件。

25

恶意代码防范管理

应访谈运维负责人是否采取告知方式提升员工的防病毒意识；

26

1) 若采用可信验证技术，应访谈安全管理员是否未发生过恶意代码攻击事件；
2) 若采用防恶意代码产品，应访谈安全管理员是否定期对恶意代码库进行升级，且对升级情况进行记录，对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报，是否未出现过大规模的病毒事件；
3) 应核查是否具有恶意代码检测记录、恶意代码库升级记录和分析报告。

27

配置管理

应访谈系统管理员是否对基本配置信息进行记录和保存；

28

1) 应访谈配置管理人员基本配置信息改变后是否及时更新基本配置信息库；
2) 应核查配置信息的变更流程是否具有相应的申报审批程序。

29

密码管理

应访谈安全管理员密码管理过程中是否遵循密码相关的国家标准和行业标准要求；

30

应核查相关产品是否获得有效的国家密码管理主管部门规定的检测报告或密码产品型号证书；

31

变更管理

1) 应核查变更方案，查看其是否包含变更类型、变更原因、变更过程、变更前评估等内容；
2) 应核查是否具有变更方案评审记录和变更过程记录文档。

32

1) 应核查变更控制的申报、审批程序其是否规定需要申报的变更类型、申报流程、审批部门、批准人等方面内容；
2) 应核查是否具有变更实施过程的记录文档；
3) 应核查是否针对发生变更的事件进行了影响分析。

33

1) 应访谈运维负责人变更失败后的恢复程序、工作方法和职责是否文档化，恢复过程是否经过演练；
2) 应核查是否具有变更恢复演练记录；
3) 应核查变更失败恢复程序是否规定变更失败后的恢复流程。

34

备份与恢复管理

1) 应访谈系统管理员、数据库管理员和网络管理员是否识别需定期备份的业务信息、系统数据及软件系统；
2) 应核查是否具有定期备份的重要业务信息、系统数据、软件系统的列表或清单。

35

应核查备份与恢复管理制度是否明确备份方式、频度、介质、保存期等内容；

36

应核查备份和恢复的策略是否明确备份策略和恢复策略文档规范了数据的存放场所、文件命名规则、介质替换频率、数据离站传输方法等方面；

37

安全事件

处置

1) 应访谈运维负责人是否告知用户在发现安全弱点和可疑事****管理部门报告；
2) 应核查是否有运维过程中发现的安全弱点和可疑事件对应的报告或相关文档，内容是否详实。

38

应核查安全事件报告和处置管理制度是否明确了与安全事件有关的工作职责，包括报告单位（人）、接报单位（人）和处置单位等职责；

39

应核查安全事件报告和响应处置记录是否记录引发安全事件的系统弱点、不**全事件发生的原因、处置过程、经验教训总结、补救措施等内容。

40

1) 应访谈运维负责人是否针对不**全事件形成不同的报告流程；
2) 应核查安全事件报告和处理程序文档是否根据不**全事件制定不同的处理和报告程序，是否明确具体报告方式、报告内容、报告人等方面内容。

41

应急预案

管理

应核查应急预案框架是否覆盖启动应急预案的条件、应急组织构成、应急**保障、事后教育和培训等方面；

42

应核查是否具有重要事件的应急预案（如针对机房、系统、网络等各个层面）；

43

1) 应访谈运维负责人是否定期对相关人员进行应急预案培训和演练；
2) 应核查应急预案培训记录是否明确培训对象、培训内容、培训结果等；
3) 应核查应急预案演练记录是否记录演练时间、主要操作内容、演练结果等。

44

应核查应急预案修订记录是否明确修订时间、修订内容等；

45

外包运维

管理

应访谈运维负责人是否有外包运维服务情况，若有，进行外包运维服务的服务单位是否符合国家有关规定；

46

应核查外包运维服务协议是否明确约定外包运维的范围和工作内容；

47

应核查与外包运维服务商签订的协议中是否明确其具有等级保护要求的服务能力要求；

48

应核查外包运维服务协议是否包含可能涉及对敏感信息的访问、处理、存储要求，对IT基础设施中断服务的应急保障要求等内容；