范围

控制点

检查项

三级要求

二级要求

安全管理制度

安全策略

应制定网络安全工作的总体方针和安全策略，阐明机构安全工作的总体目标、范围、原则和安全框架等。

应核查网络安全工作的总体方针和安全策略文件是否明确机构安全工作的总体目标、范围、原则和各类安全策略。

应核查网络安全工作的总体方针和安全策略文件是否明确机构安全工作的总体目标、范围、原则和各类安全策略。

管理制度

a) 应对安全管理活动中的各类管理内容建立安全管理制度；

应核实各项安全管理制度是否覆盖物理、网络、主机系统、数据、应用、建设和运维等管理内容。

应核实各项安全管理制度是否覆盖物理、网络、主机系统、数据、应用、建设和运维等管理内容。

b) 应对管理人员或操作人员执行的日常管理操作建立操作规程；

应核查是否具有日常管理操作的操作规程，如系统维护手册和用户操作规程等。

应核查是否具有日常管理操作的操作规程，如系统维护手册和用户操作规程等。

c) 应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。

应核查总体方针策略文件、管理制度和操作规程、记录表单是否全面且具有关联性和一致性。

不要求

制定和发布

a) 应指定或授权专门的部门或人员负责安全管理制度的制定；

应核查是否由专门的部门或人员负责制定安全管理制度。

应核查是否由专门的部门或人员负责制定安全管理制度。

b) 安全管理制度应通过正式、有效的方式发布，并进行版本控制。

1、应核查制度制定和发布要求管理文档是否说明安全管理制度的制定和发布程序、格式要求及版本编号等相关内容；
2、应核查安全管理制度的收发登记记录是否通过正式、有效的方式收发，如正式发文、领导签署和单位盖章等。

1、应核查制度制定和发布要求管理文档是否说明安全管理制度的制定和发布程序、格式要求及版本编号等相关内容；
2、应核查安全管理制度的收发登记记录是否通过正式、有效的方式收发，如正式发文、领导签署和单位盖章等。

评审和修订

应定期对安全管理制度的合理性和适用性进行论证和审定，对存在不足或需要改进的安全管理制度进行修订。

1、应访谈信息/网络安全主管是否定期对安全管理制度的合理性和适用性进行审定；
2、应核查是否具有安全管理制度的审定或论证记录，如果对制度做过修订，核查是否有修订版本的安全管理制度。

1、应访谈信息/网络安全主管是否定期对安全管理制度的合理性和适用性进行审定；
2、应核查是否具有安全管理制度的审定或论证记录，如果对制度做过修订，核查是否有修订版本的安全管理制度。

安全管理机构

岗位设置

a) 应成立指导和管理网络安全工作的委员会或领导小组，其最高领导由单位主管领导担任或授权；

1、应访谈信息/网络安全主管是否成立了指导和管理网络安全工作的委员会或领导小组；
2、应核查相关文档是否明确了网络安全工作委员会或领导小组构成情况和相关职责；
3、应核查委员会或领导小组的最高领导是否由单位主管领导担任或由其进行了授权。

不要求

b) 应设立网络安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责；

1、应访谈信息/信息网络安全主管是否设立网络安全管理工作的只能部门；
2、应核查部门职责文档是否明确网络安全管理工作的职能部门和各负责人职责；
3、应核查岗位职责文档是否有岗位划分情况和岗位职责。

1、应访谈信息/信息网络安全主管是否设立网络安全管理工作的只能部门；
2、应核查部门职责文档是否明确网络安全管理工作的职能部门和各负责人职责；
3、应核查岗位职责文档是否有岗位划分情况和岗位职责。

c) 应设立系统管理员、审计管理员和安全管理员等岗位，并定义部门及各个工作岗位的职责。

1、应访谈信息/网络安全主管是否进行了安全管理岗位的划分；
2、应核查岗位职责文档是否明确了各部门及岗位职责。

1、应访谈信息/网络安全主管是否进行了安全管理岗位的划分；
2、应核查岗位职责文档是否明确了各部门及岗位职责。

人员配备

a) 应配备一定数量的系统管理员、审计管理员和安全管理员等；

1、应访谈信息/网络安全主管是否配备系统管理员、审计管理员和安全管理员；
2、应核查人员配备文档是否明确各岗位人员配备情况。

1、应访谈信息/网络安全主管是否配备系统管理员、审计管理员和安全管理员；
2、应核查人员配备文档是否明确各岗位人员配备情况。

b) 应配备专职安全管理员，不可兼任。

应核查人员配备文档是否配备了专职安全管理员。

授权和审批

a) 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等；

1、应核查部门职责文档是否明确各部门审批事项；
2、应核查岗位职责文档是否明确各岗位审批事项。

1、应核查部门职责文档是否明确各部门审批事项；
2、应核查岗位职责文档是否明确各岗位审批事项。

b) 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度；

1、应核查系统变更、重要操作、物理访问和系统接入等事项的操作规范是否明确建立了逐级审批程序；
2、应核查审批记录、操作记录，审批结果是否与相关制度一致。

应核查各类审批记录是否针对系统变更、重要操作、物理访问和系统接入等事项进行审批。

c) 应定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息。

1、应访谈信息/网络安全主管是否对各类审批事项进行更新；
2、应核查是否具有定期审查审批事项的记录。

不要求

沟通和合作

a) 应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通，定期召开协调会议，共同协作处理网络安全问题；

1、应访谈信息/网络安全主管是否建立了各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通机制；
2、应核查会议记录是否明确各类管理员、组织内部机构和网络安全管理部门之间开展了合作与沟通。

1、应访谈信息/网络安全主管是否建立了各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通机制；
2、应核查会议记录是否明确各类管理员、组织内部机构和网络安全管理部门之间开展了合作与沟通。

b) 应加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通；

1、应访谈信息/网络安全主管是否建立了与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通机制；
2、应核查会议记录是否与网络安全职能部门、各类供应商、业界专家及安全组织开展了合作与沟通。

1、应访谈信息/网络安全主管是否建立了与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通机制；
2、应核查会议记录是否与网络安全职能部门、各类供应商、业界专家及安全组织开展了合作与沟通。

c) 应建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息。

应核查外联单位联系列表是否记录了外联单位名称、合作内容、联系人和联系方式等信息。

应核查外联单位联系列表是否记录了外联单位名称、合作内容、联系人和联系方式等信息。

审核和检查

a) 应定期进行常规安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况；

1、应访谈信息/网络安全主管是否定期进行了常规安全检查；
2、应核查常规安全检查记录是否包括了系统日常运行、系统漏洞和数据备份等情况。

1、应访谈信息/网络安全主管是否定期进行了常规安全检查；
2、应核查常规安全检查记录是否包括了系统日常运行、系统漏洞和数据备份等情况。

b) 应定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等；

1、应访谈信息/网络安全主管是否定期进行了全面检查；
2、应核查全面安全检查记录是否包括了现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。

不要求

c) 应制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报。

应核查是否具有安全检查表格、安全检查记录、安全检查报告、安全检查结果通报记录。

不要求

安全管理人员

人员录用

a) 应指定或授权专门的部门或人员负责人员录用；

应访谈信息/网络安全主管是否由专门的部门或人员负责人员的录用工作。

应访谈信息/网络安全主管是否由专门的部门或人员负责人员的录用工作。

b) 应对被录用人员的身份、安全背景、专业资格或资质等进行审查，对其所具有的技术技能进行考核；

1、应核查人员安全管理文档是否说明录用人员应具备的条件（如学历、学位要求，技术人员应具备的专业技术水平，管理人员应具备的安全管理知识等）；
2、应核查是否具有人员录用时对录用人身份、安全背景、专业资格或资质等进行审查的相关文档或记录，是否记录审查内容和审查结果等）；
3、应核查人员录用时的能考核文档或记录是否记录考核内容和考核结果等。

1、应核查人员安全管理文档是否说明录用人员应具备的条件（如学历、学位要求，技术人员应具备的专业技术水平，管理人员应具备的安全管理知识等）；
2、应核查是否具有人员录用时对录用人身份、安全背景、专业资格或资质等进行审查的相关文档或记录，是否记录审查内容和审查结果等）；
3、应核查人员录用时的能考核文档或记录是否记录考核内容和考核结果等。

c) 应与被录用人员签署保密协议，与关键岗位人员签署岗位责任协议。

1、应核查保密协议是否有保密范围、保密职责、违约职责、协议的有效期限和责任人的签字等内容；
2、应核查岗位安全协议是否有岗位安全责任书定义、协议的有效期限和责任人签字等内容。

不要求

人员离岗

a) 应及时终止离岗人员的所有访问权限，取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备；

应核查是否具有离职人员终止其访问权限、交还身份证件、软硬件设备等的登录记录。

应核查是否具有离职人员终止其访问权限、交还身份证件、软硬件设备等的登录记录。

b) 应办理严格的调离手续，并承诺调离后的保密义务后方可离开。

1、应核查人员离岗的管理文档是否规定了人员调离手续和离岗要求等；
2、应核查是否具有按照离岗程序办理调离手续的记录；
3、应核查保密承诺文档是否有调离人员的签字。

不要求

安全意识教育和培训

a) 应对各类人员进行安全意识教育和岗位技能培训，并告知相关的安全责任和惩戒措施；

1、应核查安全意识教育及岗位技能培训文档是否明确培训周期、培训方式、培训内容和考核方式等相关内容；
2、应核查安全责任和惩戒措施管理文档或培训文档是否包含具体的安全职责和惩戒措施。

1、应核查安全意识教育及岗位技能培训文档是否明确培训周期、培训方式、培训内容和考核方式等相关内容；
2、应核查安全责任和惩戒措施管理文档或培训文档是否包含具体的安全职责和惩戒措施。

b) 应针对不同岗位制定不同的培训计划，对安全基础知识、岗位操作规程等进行培训；

1、应核查安全教育和培训计划文档是否具有不同岗位的培训计划；
2、应核查培训内容是否包含安全基础知识、岗位操作规程等；
3、应核查安全教育和培训记录是否有培训人员、培训内容、培训结果等描述。

不要求

c) 应定期对不同岗位的人员进行技能考核。

应核查是否具有针对各岗位人员的技能考核记录。

不要求

外部人员访问管理

a) 应在外部人员物理访问受控区域前先提出书面申请，批准后由专人全程陪同，并登记备案；

1、应核查外部人员访问管理文档是否明确允许外部人员访问的范围、外部人员进入的条件、外部人员进入的访问控制措施等；
2、应核查外部人员访问重要区域的书面申请文档是否具有批准人允许访问的批准签字等；
3、应核查外部人员访问重要区域的登录记录是否记录了外部人员访问重要区域的进入时间、离开时间、访问区域及陪同人等；

1、应核查外部人员访问管理文档是否明确允许外部人员访问的范围、外部人员进入的条件、外部人员进入的访问控制措施等；
2、应核查外部人员访问重要区域的书面申请文档是否具有批准人允许访问的批准签字等；
3、应核查外部人员访问重要区域的登录记录是否记录了外部人员访问重要区域的进入时间、离开时间、访问区域及陪同人等；

b) 应在外部人员接入受控网络访问系统前先提出书面申请，批准后由专人开设账户、分配权限， 并登记备案；

1、应核查外部人员访问管理文档是否明确外部人员接入受控网络前的申请审批流程；
2、应核查外部人员访问系统的书面申请文档是否明确外部人员的访问权限、是否具有允许访问的批准签字等；
3、应核查外部人员访问系统的登录记录是否记录了外部人员访问的权限、时限、账户等。

1、应核查外部人员访问管理文档是否明确外部人员接入受控网络前的申请审批流程；
2、应核查外部人员访问系统的书面申请文档是否明确外部人员的访问权限、是否具有允许访问的批准签字等；
3、应核查外部人员访问系统的登录记录是否记录了外部人员访问的权限、时限、账户等。

c) 外部人员离场后应及时清除其所有的访问权限；

1、应核查外部人员访问管理文档是否明确外部人员离开后及时清除其所有访问权限；
2、应核查外部人员访问系统的登记记录是否记录了访问权限清除时间。

1、应核查外部人员访问管理文档是否明确外部人员离开后及时清除其所有访问权限；
2、应核查外部人员访问系统的登记记录是否记录了访问权限清除时间。

d) 获得系统访问授权的外部人员应签署保密协议，不得进行非授权操作，不得复制和泄露任何敏感信息。

应核查外部人员访问保密协议是否明确人员的保密义务（如不得进行非授权操作，不得复制信息等）。

不要求

安全建设管理

定级和备案

a) 应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由；

应核查定级文档是否明确保护对象的安全保护等级，是否说明定级的方法和理由。

应核查定级文档是否明确保护对象的安全保护等级，是否说明定级的方法和理由。

b) 应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定；

应核查定级结果的论证评审会议记录是否有相关部门和相关安全技术专家对定级结果的论证意见。

应核查定级结果的论证评审会议记录是否有相关部门和相关安全技术专家对定级结果的论证意见。

c) 应保证定级结果经过相关部门的批准；

应核查定级结果部门审批文档是否有上级主管部门或本单位相关部门的审批意见。

应核查定级结果部门审批文档是否有上级主管部门或本单位相关部门的审批意见。

d) 应将备案材料报主管部门和相应公安机关备案。

应核查是否具有公安机关出具的备案证明文档。

应核查是否具有公安机关出具的备案证明文档。

安全方案设计

a) 应根据安全保护等级选择基本安全措施，依据风险分析的结果补充和调整安全措施；

应核查安全设计文档是否根据安全保护等级选择安全措施，是否跟安全需求调整安全措施。

应核查安全设计文档是否根据安全保护等级选择安全措施，是否跟安全需求调整安全措施。

b) 应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计，设计内容应包含密码技术相关内容，并形成配套文件；

应核查是否有总体规划和安全设计方案等配套文件，设计方案中应包含密码技术相关内容。

应核查安全设计方案是否有根据安全保护等级进行设计规划。

c) 应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定，经过批准后才能正式实施。

应核查配套文件的论证评审记录或文档是否有相关部门和相关安全技术专家对总体安全规划、安全设计方案等相关配套文件的批准意见和论证意见。

应核查配套文件的论证评审记录或文档是否有相关部门和相关安全技术专家对总体安全规划、安全设计方案等相关配套文件的批准意见和论证意见。

产品采购和使用

a) 应确保网络安全产品采购和使用符合国家的有关规定；

应核查有关网络安全产品是否符合国家的相关规定，如网络安全产品获得了销售许可等。

应核查有关网络安全产品是否符合国家的相关规定，如网络安全产品获得了销售许可等。

b) 应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求；

1、应访谈建设负责人是否采用了密码产品及相关服务；
2、应核查密码产品与服务的采购和使用是否符合国家密码管理主管部门的要求。

1、应访谈建设负责人是否采用了密码产品及相关服务；
2、应核查密码产品与服务的采购和使用是否符合国家密码管理主管部门的要求。

c) 应预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单。

应核查是否具有产品选型测试结果文档、候选产品采购清单及审定或更新的记录。

不要求

自行软件开发

a) 应将开发环境与实际运行环境物理分开，测试数据和测试结果受到控制；

1、应访谈建设负责人自主开发软件是否在独立的物理环境中完成编写和调试，与实际运行环境分开；
2、应核查测试数据和结果是否受控使用。

1、应访谈建设负责人自主开发软件是否在独立的物理环境中完成编写和调试，与实际运行环境分开；
2、应核查测试数据和结果是否受控使用。"

b) 应制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则；

应核查软件开发管理制度是否明确软件设计、开发、测试和验收过程的控制方法和人员行为准则，是否明确哪些开发活动应经过授权和审批。

不要求

c) 应制定代码编写安全规范，要求开发人员参照规范编写代码；

应核查代码编写安全规范是否明确代码安全编写规则。

不要求

d) 应具备软件设计的相关文档和使用指南，并对文档使用进行控制；

应核查是否具有软件开发文档和使用指南，并对文档使用进行控制。

不要求

e) 应保证在软件开发过程中对安全性进行测试，在软件安装前对可能存在的恶意代码进行检测；

应核查是否具有软件安全测试报告和代码审计报告，明确软件存在的安全问题及可能存在的恶意代码。

应核查是否具有软件安全测试报告和代码审计报告，明确软件存在的安全问题及可能存在的恶意代码。

f) 应对程序资源库的修改、更新、发布进行授权和批准，并严格进行版本控制；

应核查对程序资源库的修改、更新、发布进行授权和审批的文档或记录是否有批准人的签字。

不要求

g) 应保证开发人员为专职人员，开发人员的开发活动受到控制、监视和审查。

应访谈建设负责人开发人员是否为专职，是否对开发人员活动进行控制等。

不要求

外包软件开发

a) 应在软件交付前检测其中可能存在的恶意代码；

应核查是否具有交付前的恶意代码检查报告。

应核查是否具有交付前的恶意代码检查报告。

b) 应保证开发单位提供软件设计文档和使用指南；

应核查是否具有软件开发的相关文档，如需求分析说明书、软件设计说明书等，是否具有软件操作手册或使用指南。

应核查是否具有软件开发的相关文档，如需求分析说明书、软件设计说明书等，是否具有软件操作手册或使用指南。

c) 应保证开发单位提供软件源代码，并审查软件中可能存在的后门和隐蔽信道。

1、应访谈建设负责人委托开发单位是否提供软件源代码；
2、应核查软件测试报告是否审查了软甲可能存在的后门和隐蔽信道。

不要求

工程实施

a) 应指定或授权专门的部门或人员负责工程实施过程的管理；

应核查是否指定专门部门或人员对工程实施进行进度和质量控制。

应核查是否指定专门部门或人员对工程实施进行进度和质量控制。

b) 应制定安全工程实施方案控制工程实施过程；

应核查安全工程实施方案是否包括工程时间限制、进度控制和质量控制等方面内容，是否按照工程实施方面的管理制度进行各类控制、产生阶段性文档等。

应核查安全工程实施方案是否包括工程时间限制、进度控制和质量控制等方面内容，是否按照工程实施方面的管理制度进行各类控制、产生阶段性文档等。

c) 应通过第三方工程监理控制项目的实施过程。

应核查工程监理报告是否明确了工程进度、时间计划、控制措施等方面内容。

不要求

测试验收

a) 应制订测试验收方案，并依据测试验收方案实施测试验收，形成测试验收报告；

1、应核查工程测试验收方案是否明确说明参与测试的部门、人员、测试验收内容、现场操作过程等内容；
2、应核查测试验收报告是否有相关部门和人员对测试验收报告进行审定的意见。

1、应核查工程测试验收方案是否明确说明参与测试的部门、人员、测试验收内容、现场操作过程等内容；
2、应核查测试验收报告是否有相关部门和人员对测试验收报告进行审定的意见。

b) 应进行上线前的安全性测试，并出具安全测试报告，安全测试报告应包含密码应用安全性测试相关内容。

应核查是否具有上线前的安全测试报告，报告应包含密码应用安全性测试相关内容。

应核查是否具有上线前的安全测试报告。

系统交付

a) 应制定交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点；

应核查交付清单是否说明交付的各类设备、软件、文档等。

应核查交付清单是否说明交付的各类设备、软件、文档等。

b) 应对负责运行维护的技术人员进行相应的技能培训；

应核查系统交付技术培训记录是否包括培训内容、培训时间和参与人员等。

应核查系统交付技术培训记录是否包括培训内容、培训时间和参与人员等。

c) 应提供建设过程文档和运行维护文档。

应核查交付文档是否包括建设过程文档和运行维护文档等，提供的文档是否符合管理规定的要求。

应核查交付文档是否包括建设过程文档和运行维护文档等，提供的文档是否符合管理规定的要求。

等级测评

a) 应定期进行等级测评，发现不符合相应等级保护标准要求的及时整改；

1、应访谈运维负责人本次测评是否为首次，若非首次，是否根据以往测评结果进行相应的安全整改；
2、应核查是否具有以往等级测评报告和安全整改方案。

1、应访谈运维负责人本次测评是否为首次，若非首次，是否根据以往测评结果进行相应的安全整改；
2、应核查是否具有以往等级测评报告和安全整改方案。

b) 应在发生重大变更或级别发生变化时进行等级测评；

1、应核查是否有过重大变更或级别发生过变化及是否进行相应的等级测评；
2、应核查是否具有相应情况下的等级测评报告。

1、应核查是否有过重大变更或级别发生过变化及是否进行相应的等级测评；
2、应核查是否具有相应情况下的等级测评报告。

c) 应确保测评机构的选择符合国家有关规定。

应核查以往等级测评的测评单位是否具有等级测评机构资质。

应核查以往等级测评的测评单位是否具有等级测评机构资质。

服务供应商选择

a) 应确保服务供应商的选择符合国家的有关规定；

应访谈建设负责人选择的安全服务商是否符合国家相关规定。

应访谈建设负责人选择的安全服务商是否符合国家相关规定。

b) 应与选定的服务供应商签订相关协议，明确整个服务供应链各方需履行的网络安全相关义务；

应核查与服务供应商签订的服务合同或安全责任书是否明确了后期的技术支持和服务承诺等内容。

应核查与服务供应商签订的服务合同或安全责任书是否明确了后期的技术支持和服务承诺等内容。

c) 应定期监督、评审和审核服务供应商提供的服务，并对其变更服务内容加以控制。

1、应核查是否具有服务供应商定期提交的安全服务报告；
2、应核查是否定期审核评价服务供应商所提供的服务及服务内容变更情况，是否具有服务审核报告；
应核查是否具有服务供应商评价审核管理制度，明确针对服务供应商的评价指标、考核内容等。

不要求

安全运维管理

环境管理

a) 应指定专门的部门或人员负责机房安全，对机房出入进行管理，定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理；

1、应访谈物理安全负责人是否指定部门和人员负责机房安全管理工作，对机房的出入进行管理、对基础设施（如空调、供电设备、灭火器等）进行定期维护；
2、应核查部门或人员岗位职责文档是否定期明确机房安全的责任部门及人员；
3、应核查机房的出入登记记录是否记录来访人员、来访时间、离开时间、携带物品等信息；
4、应核查机房的基础设施的维护记录是否记录维护日期、维护人、维护设备、故障原因、维护结果等方面内容。

1、应访谈物理安全负责人是否指定部门和人员负责机房安全管理工作，对机房的出入进行管理、对基础设施（如空调、供电设备、灭火器等）进行定期维护；
2、应核查部门或人员岗位职责文档是否定期明确机房安全的责任部门及人员；
3、应核查机房的出入登记记录是否记录来访人员、来访时间、离开时间、携带物品等信息；
4、应核查机房的基础设施的维护记录是否记录维护日期、维护人、维护设备、故障原因、维护结果等方面内容。

b) 应建立机房安全管理制度，对有关物理访问、物品带进出和环境安全等方面的管理作出规定；

1、应核查机房安全管理制度是否覆盖物理访问、物品进出和环境安全等方面内容；
2、应核查物理访问、物品进出和环境安全等相关记录是否与制度相符。

1、应核查机房安全管理制度是否覆盖物理访问、物品进出和环境安全等方面内容；
2、应核查物理访问、物品进出和环境安全等相关记录是否与制度相符。

c) 应不在重要区域接待来访人员，不随意放置含有敏感信息的纸档文件和移动介质等。

1、应核查机房安全管理制度是否明确来访人员的接待区域；
2、应核查办公桌面上等位置是否未随意放置了敏感信息的纸档文件和移动介质等。

1、应核查机房安全管理制度是否明确来访人员的接待区域；
2、应核查办公桌面上等位置是否未随意放置了敏感信息的纸档文件和移动介质等。

资产管理

a) 应编制并保存与保护对象相关的资产清单，包括资产责任部门、重要程度和所处位置等内容；

应核查资产清单是否包括资产类别（含设备设施、软件、文档等）、资产责任部门、重要程度和所处位置等内容。

应核查资产清单是否包括资产类别（含设备设施、软件、文档等）、资产责任部门、重要程度和所处位置等内容。

b) 应根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施；

1、应访谈资产管理员是否依据资产的重要程度对资产进行标识，不同类别的资产在管理措施的选取上是否不同；
2、应核查资产管理制度是否明确资产的标识方法以及不同资产的管理措施要求；
3、应核查资产清单中的设备是否具有相应标识，标识方法是否符合2相关要求。

不要求

c) 应对信息分类与标识方法作出规定，并对信息的使用、传输和存储等进行规范化管理。

1、应核查信息分类文档是否规定了分类标识的原则和方法（如根据信息的重要程度、敏感程度或用途不同进行分类）；
2、应核查信息资产管理办法是否规定了不同类信息的使用、传输和存储等要求。

不要求

介质管理

a) 应将介质存放在安全的环境中，对各类介质进行控制和保护，实行存储环境专人管理，并根据存档介质的目录清单定期盘点；

1、应访谈资产管理员介质存放环境是否安全，存放环境是否由专人管理；
2、应核查介质管理记录是否记录介质归档、使用和定期盘点等情况。

1、应访谈资产管理员介质存放环境是否安全，存放环境是否由专人管理；
2、应核查介质管理记录是否记录介质归档、使用和定期盘点等情况。

b) 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制，并对介质的归档和查询等进行登记记录。

1、应访谈资产管理员介质在物理传输过程中的人员选择、打包、交付等情况是否进行控制；
2、核查是否对介质的归档和查询等进行登记记录。

1、应访谈资产管理员介质在物理传输过程中的人员选择、打包、交付等情况是否进行控制；
2、核查是否对介质的归档和查询等进行登记记录。

设备维护管理

a) 应对各种设备（包括备份和冗余设备）、线路等指定专门的部门或人员定期进行维护管理；

1、应访谈设备管理员是否对各类设备、线路指定专人或专门部门进行定期维护；
2、应核查部门或人员岗位职责文档是否明确设备维护管理的职责部门。

1、应访谈设备管理员是否对各类设备、线路指定专人或专门部门进行定期维护；
2、应核查部门或人员岗位职责文档是否明确设备维护管理的职责部门。

b) 应建立配套设施、软硬件维护方面的管理制度，对其维护进行有效的管理，包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等；

1、应核查设备维护管理制度是否明确维护人员的责任、维修和服务的审批、维修过程的监督控制等方面内容；
2、应核查是否留有维修和服务的审批、维修过程等记录，审批、记录内容是否与制度相符。

1、应核查设备维护管理制度是否明确维护人员的责任、维修和服务的审批、维修过程的监督控制等方面内容；
2、应核查是否留有维修和服务的审批、维修过程等记录，审批、记录内容是否与制度相符。

c) 信息处理设备应经过审批才能带离机房或办公地点，含有存储介质的设备带出工作环境时其中重要数据应加密；

1、应访谈设备管理员含有重要数据的设备带出工作环境是否加密措施；
2、应访谈设备管理员对带离机房的设备是否经过审批；
3、应核查是否具有设备带离机房或办公地点的审批记录。

不要求

d) 含有存储介质的设备在报废或重用前，应进行完全清除或被安全覆盖，保证该设备上的敏感数据和授权软件无法被恢复重用。

应访谈设备管理员含有存储介质的设备在报废或重用前，是否采取措施进行完全清除或被安全覆盖。

不要求

漏洞和风险管理

a) 应采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补；

1、应核查是否有识别安全漏洞和隐患的安全报告或记录（如漏洞扫描报告、渗透测试报告和安全通报等）；
2、应核查相关记录是否对发现的漏洞及时进行修补或评估可能的影响后进行修补。

1、应核查是否有识别安全漏洞和隐患的安全报告或记录（如漏洞扫描报告、渗透测试报告和安全通报等）；
2、应核查相关记录是否对发现的漏洞及时进行修补或评估可能的影响后进行修补。

b) 应定期开展安全测评，形成安全测评报告，采取措施应对发现的安全问题。

1、应访谈安全管理员是否定期开展安全测评；
2、应核查是否具有安全测评报告；
3、应核查是否具有安全整改应对措施文档。

不要求

网络和系统安全管理

a) 应划分不同的管理员角色进行网络和系统的运维管理，明确各个角色的责任和权限；

应核查网络和系统安全管理文档，系统管理员是否划分了不同角色，并定义各个角色的责任和权限。

应核查网络和系统安全管理文档，系统管理员是否划分了不同角色，并定义各个角色的责任和权限。

b) 应指定专门的部门或人员进行账户管理，对申请账户、建立账户、删除账户等进行控制；

1、应访谈运维负责人是否指定专门的部门或人员进行账户管理；
2、应核查相关审批记录或流程是否对申请账单、建立账户、删除账户等进行控制。

1、应访谈运维负责人是否指定专门的部门或人员进行账户管理；
2、应核查相关审批记录或流程是否对申请账单、建立账户、删除账户等进行控制。

c) 应建立网络和系统安全管理制度，对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定；

应核查网络和系统安全管理制度是否覆盖网络和系统的安全策略、账户管理（用户责任、、义务、风险、权限审批、权限分配、账户注销等）、配置文件的生成及备份、变更审批、授权访问、最小服务、升级与打补丁、审计日志管理、登录设备和系统的口令更新周期等方面。

应核查网络和系统安全管理制度是否覆盖网络和系统的安全策略、账户管理（用户责任、、义务、风险、权限审批、权限分配、账户注销等）、配置文件的生成及备份、变更审批、授权访问、最小服务、升级与打补丁、审计日志管理、登录设备和系统的口令更新周期等方面。

d) 应制定重要设备的配置和操作手册，依据手册对设备进行安全配置和优化配置等；

应核查重要设备或系统（如操作系统、数据库、网络设备、安全设备、应用和组件）的配置和操作手册是否明确操作步骤、参数配置等内容。

应核查重要设备或系统（如操作系统、数据库、网络设备、安全设备、应用和组件）的配置和操作手册是否明确操作步骤、参数配置等内容。

e) 应详细记录运维操作日志，包括日常巡检工作、运行维护记录、参数的设置和修改等内容；

应核查运维操作日志是否覆盖网络和系统的日常巡检、运行维护、参数的设置和修改等内容。

应核查运维操作日志是否覆盖网络和系统的日常巡检、运行维护、参数的设置和修改等内容。

f) 应指定专门的部门或人员对日志、监测和报警数据等进行分析、统计，及时发现可疑行为；

1、应访谈网络和系统相关人员是否指定专门部门或人员对日志、监测和报警数据等进行分析统计；
2、应核查是否具有对日志、监测和报警数据等进行分析统计的报告。

不要求

g) 应严格控制变更性运维，经过审批后才可改变连接、安装系统组件或调整配置参数，操作过程中应保留不可更改的审计日志，操作结束后应同步更新配置信息库；

1、应访谈网络和系统相关人员调整配置参数结束后是否同步更新配置信息库，并核实配置信息库是否为最新版本；
2、应核查是否具有变更运维的审批记录，如系统连接、安装系统组件或调整配置参数等活动；
3、应核查是否具有变更运维的操作过程记录。

不要求

h) 应严格控制运维工具的使用，经过审批后才可接入进行操作，操作过程中应保留不可更改的审计日志，操作结束后应删除工具中的敏感数据；

1、应访谈系统管理员使用运维工具结束后是否删除工具中的敏感数据；
2、应核查是否具有运维工具接入系统的审计记录；
3、应核查运维工具的审计日志记录，审计日志是否不可以更改。

不要求

i) 应严格控制远程运维的开通，经过审批后才可开通远程运维接口或通道，操作过程中应保留不可更改的审计日志，操作结束后立即关闭接口或通道；

1、应访谈系统相关人员日常运维过程中是否存在远程运维，若存在，远程运维结束后是否立即关闭了接口或通道；
2、应核查开通远程运维的审批记录；
3、应核查针对远程运维的审计日志是否不可以更改。

不要求

j) 应保证所有与外部的连接均得到授权和批准，应定期检查违反规定无线上网及其他违反网络安全策略的行为。

1、应访谈系统相关人员往来外联连接（如互联网、合作伙伴企业网、上级部门网络等）是否都得到授权与批准；
2、应访谈网络管理员是否定期核查违规联网行为；
3、应核查是否具有外联授权的记录文件。

不要求

恶意代码防范管理

a) 应提高所有用户的防恶意代码意识，对外来计算机或存储设备接入系统前进行恶意代码检查等；

1、应访谈运维负责人是否采取培训和告知等方式提升员工的防恶意代码意识；
2、应核查恶意代码防范管理制度是否明确对外来计算机或存储设备接入系统前进行恶意代码检查。

1、应访谈运维负责人是否采取培训和告知等方式提升员工的防恶意代码意识；
2、应核查恶意代码防范管理制度是否明确对外来计算机或存储设备接入系统前进行恶意代码检查。

b) 应定期验证防范恶意代码攻击的技术措施的有效性。

1、若采用可信验证技术，应访谈安全管理员是否未发生过恶意代码攻击事件；
2、若采用防恶意代码产品，应访谈安全管理员是否定期对恶意代码库进行升级，且对升级情况进行记录，对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报，是否未出现过大规模的病毒事件；
3、应核查是否具有恶意代码检测记录、恶意代码库升级记录和分析报告。

应核查恶意代码防范管理制度是否包括防恶意代码软件的授权使用、恶意代码库升
级、定期查杀等内容。

c) 应定期检查恶意代码库的升级情况，对截获的恶意代码进行及时分析处理。

不要求

1、应访谈安全管理员是否定期对恶意代码库进行升级，且对升级情况进行记录，对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报，是否出现过大规模的病毒事件，如何
处理；
2、应核查是否具有恶意代码检测记录、恶意代码库升级记录和分析报告。

配置管理

a) 应记录和保存基本配置信息，包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等；

应访谈系统管理员是否对基本配置信息进行记录和保存。

应访谈系统管理员是否对基本配置信息进行记录和保存。

b) 应将基本配置信息改变纳入变更范畴，实施对配置信息改变的控制，并及时更新基本配置信息库。

1、应访谈配置管理人员基本配置信息改变后是否及时更新基本配置信息库；
2、应核查配置信息的变更流程是否具有相应的申报审批程序。

不要求

密码管理

a) 应遵循密码相关国家标准和行业标准；

应访谈安全管理员密码管理过程中是否遵循密码相关的国家标准和行业标准要求。

应访谈安全管理员密码管理过程中是否遵循密码相关的国家标准和行业标准要求。

b) 应使用国家密码管理主管部门认证核准的密码技术和产品。

应核查相关产品是否获得有效的国家密码管理主管部门规定的检测报告或密码产品型号证书。

应核查相关产品是否获得有效的国家密码管理主管部门规定的检测报告或密码产品型号证书。

变更管理

a) 应明确变更需求，变更前根据变更需求制定变更方案，变更方案经过评审、审批后方可实施；

1、应核查变更方案是否包含变更类型、变更原因、变更过程、变更前评估等内容；
2、应核查是否具有变更方案评审记录和变更过程记录文档。

1、应核查变更方案是否包含变更类型、变更原因、变更过程、变更前评估等内容；
2、应核查是否具有变更方案评审记录和变更过程记录文档。

b) 应建立变更的申报和审批控制程序，依据程序控制所有的变更，记录变更实施过程；

1、应核查变更控制的申报、审批程序其是否规定需要申报的变更类型、申报流程、审批部门、批准人等方面内容；
2、应核查是否具有变更实施过程的记录文档。

不要求

c) 应建立中止变更并从失败变更中恢复的程序，明确过程控制方法和人员职责，必要时对恢复过程进行演练。

1、应访谈运维负责人变更终止或变更失败后的恢复程序、工作方法和职责是否文档化，恢复过程是否经过演练；
2、应核查是否具有变更恢复演练记录；
3、应核查变更恢复程序是否规定变更终止或失败后的恢复流程。

不要求

备份与恢复管理

a) 应识别需要定期备份的重要业务信息、系统数据及软件系统等；

1、应访谈系统管理员有哪些需要定期备份的业务信息、系统数据及软件系统；
2、应核查是否具有定期备份的重要业务信息、系统数据、软件系统的列表或清单。

1、应访谈系统管理员有哪些需要定期备份的业务信息、系统数据及软件系统；
2、应核查是否具有定期备份的重要业务信息、系统数据、软件系统的列表或清单。

b) 应规定备份信息的备份方式、备份频度、存储介质、保存期等；

应核查备份与恢复管理制度是否明确备份方式、频度、介质、保质期等内容。

应核查备份与恢复管理制度是否明确备份方式、频度、介质、保质期等内容。

c) 应根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略、备份程序和恢复程序等。

应核查备份和恢复的策略文档是否根据数据的重要程度制定相应备份恢复策略和程序等。

应核查备份和恢复的策略文档是否根据数据的重要程度制定相应备份恢复策略和程序等。

安全事件处置

a) 应及时向安全管理部门报告所发现的安全弱点和可疑事件；

1、应访谈运维负责人是否告知用户在发现安全弱点和可疑事件时及时向安全管理部门报告；
2、应核查在发现安全弱点和可疑事件后是否具备对应的报告或相关文档。

1、应访谈运维负责人是否告知用户在发现安全弱点和可疑事件时及时向安全管理部门报告；
2、应核查在发现安全弱点和可疑事件后是否具备对应的报告或相关文档。

b) 应制定安全事件报告和处置管理制度，明确不同安全事件的报告、处置和响应流程，规定安全事件的现场处理、事件报告和后期恢复的管理职责等；

应核查安全事件报告和处理管理制度是否明确了与安全事件有关的工作职责、不同安全事件的报告、处置和相应流程等。

应核查安全事件报告和处理管理制度是否明确了与安全事件有关的工作职责、不同安全事件的报告、处置和相应流程等。

c) 应在安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程， 总结经验教训；

应核查安全事件报告和响应处置记录是否记录引发安全事件的原因、证据、处置过程、经验教训、补救措施等内容。

应核查安全事件报告和响应处置记录是否记录引发安全事件的原因、证据、处置过程、经验教训、补救措施等内容。

d) 对造成系统中断和造成信息泄漏的重大安全事件应采用不同的处理程序和报告程序。

1、应访谈运维负责人不同安全事件的报告流程；
2、应核查对重大安全事件是否制定不同安全事件报告和处理流程，是否明确具体报告方式、报告内容、报告人等方面内容。

不要求

应急预案管理

a) 应规定统一的应急预案框架，包括启动预案的条件、应急组织构成、应急资源保障、事后教育和培训等内容；

应核查应急预案框架是否覆盖启动应急预案的条件、应急组织构成、应急资源保障、事后教育和培训等方面。

应核查制定重要事件的应急预案（如针对机房、系统、网络等各个方面）。

b) 应制定重要事件的应急预案，包括应急处理流程、系统恢复流程等内容；

应核查是否具有重要事件的应急预案（如针对机房、系统、网络等各方面）。

1、应访谈运维负责人是否定期对相关人员进行应急预案培训和演练；
2、应核查应急预案培训记录是否明确培训对象、培训内容、培训结果等；
3、应核查应急预案演练记录是否记录演练时间、主要操作内容、演练结果等。

c) 应定期对系统相关的人员进行应急预案培训，并进行应急预案的演练；

1、应访谈运维负责人是否定期对相关人员进行应急预案培训和演练；
2、应核查应急预案培训记录是否明确培训对象、培训内容、培训结果等；
3、应核查应急预案记录是否记录演练时间、主要操作内容、演练结果等。

不要求

d) 应定期对原有的应急预案重新评估，修订完善。

应核查应急预案修订记录是否定期评估并修订完善等。

不要求

外包运维管理

a) 应确保外包运维服务商的选择符合国家的有关规定；

1、应访谈运维负责人是否有外包运维服务情况；
2、应访谈运维负责人外包运维服务单位是否符合国家相关规定。

1、应访谈运维负责人是否有外包运维服务情况；
2、应访谈运维负责人外包运维服务单位是否符合国家相关规定。

b) 应与选定的外包运维服务商签订相关的协议，明确约定外包运维的范围、工作内容；

应核查外部运维服务协议是否明确约定外包运维的范围和工作内容。

应核查外部运维服务协议是否明确约定外包运维的范围和工作内容。

c) 应保证选择的外包运维服务商在技术和管理方面均应具有按照等级保护要求开展安全运维工作的能力，并将能力要求在签订的协议中明确；

应核查与外部运维服务商签订的协议中是否明确其具有等级保护要求的服务能力。

不要求

d) 应在与外包运维服务商签订的协议中明确所有相关的安全要求，如可能涉及对敏感信息的访问、处理、存储要求，对 IT 基础设施中断服务的应急保障要求等。

应核查外包运维服务协议是否包含可能涉及对敏感信息的访问、处理、存储要求，对IT基础设施中断服务的应急保障要求等内容。

不要求