安全管理评估检查表(评估人员内部使用)说明:1.核查活动:检查:主要看有无。审查或核查:需要看内容及执行情况。2.等级:高:迫切需要近期内解决,如:1年以内。中:需要解决,但时间可以宽限,如:2-3年内。低:看情况解决,没有时间限制或时间可以较长,如:4年以上。编号检查对象问题核查活动等级结果1安全策略与安全计划1.1安全策略1.1.1策略建立是否建立组织的安全策略体系?包括总体安全策略、问题相关安全策略。检查安全策略高1.1.2策略支持安全策略是否经过管理高层的批准?高1.1.3策略内容是否在策略中指定了安全管理组织、职责、安全管理方法等?策略文档审查高1.1.4策略公布员工是否了解组织的安全策略?询问单个员工低1.1.5策略维护是否指定了专门机构维护策略?包括策略内容,文档管理。维护记录检查中是否定义策略审查或维护时机?如:出现安全事故、组织及系统变更等。策略变更记录检查中是否具有策略维护流程?维护流程文档检查中1.2安全计划1.2.1计划建立是否建立组织的安全计划或规划?检查安全计划高安全计划是否符合安全策略?安全计划文档审查高1.2.2计划执行安全计划或规划是否得到执行?检查执行记录或安全方案或实施计划等等高1.2.3计划实施回顾是否对实施结果与计划的一致性进行审查?检查变更记录低2组织和人员安全2.1安全组织2.1.1安全管理机构建立是否建立信息安全管理机构,统一负责组织的信息安全管理工作?检查组织机构表高2.1.2安全管理机构组成机构成员是否来自相关各方?如:业务部门、IT部门。低安全管理机构是否包括安全专业人士?检查人员简历或资质低是否聘请外部专业人士?低2.1.3管理职责管理机构内是否有明确的分工?核查组织机构表高2.1.4管理流程是否有相应的管理授权流程来处理安全规划、安全规划实施。检查流程文档高是否有相应的安全事件上报流程?检查流程文档高是否具有安全弱点上报流程?检查流程文档高2.1.5行业合作是否与相关行业或组织机构,如:CNCERT、电信、公安等有联系?定期获取相关信息。低2.1.6角色分离安全管理工作是否设置不同角色?检查岗位表低2.2个人安全2.2.1员工安全手册是否具有员工安全手册?检查员工安全手册高2.2.2个人职责个人对安全管理的责任是否明确?如:个人不能在PC上散播病毒?核查员工安全手册高2.2.3员工安全使用原则是否对员工的资格进行限定与审核?如:品德、学历、工作经历?低是否与员工签署保密协议?低2.2.4员工培训是否对员工进行内部或外部安全培训?培训实施计划高2.2.5岗位轮转是否在一定范围内进行岗位轮转?低2.2.6奖惩机制是否建立安全事故奖惩机制?低3安全评估3.1安全评估3.1.1安全评估方法是否建立安全评估方法论?检查安全评估手册低3.1.2评估实施是否定期或不定期进行风险评估?评估时机?检查评估记录或方案高3.1.3第三方评估是否聘请第三方评估?中4第三方组织与外包安全4.1第三方组织安全4.1.1第三方访问的风险评估是否具有第三方访问评估措施或活动?例如:标识哪些组织是可以访问的,标识是组织受限的,标识组织是不能访问的?中4.1.2控制流程是否建立第三方访问控制流程?检查第三方访问策略或流程或记录高4.1.3第三方访问控制措施是否对第三方的访问进行控制?如:特殊标识、访问记录等?高4.1.4第三方合同是否签定保密协议?中4.1.5与第三方的信是否签定保密协议?中息及软件交换4.2外包安全4.2.1外包合同是否在合同中明确组织的安全需求?如:保密要求、开发环境的安全要求、技术支持的要求、对代码质量的明确要求中5信息资产分类、分级5.1信息资产分类5.1.1信息资产登记是否对所有重要的信息资产进行了登记?包括设备、介质、信息系统、信息等。检查登记表高5.1.2信息资产归类是否对信息资产进行了归类以进行不同的管理?低5.1.3信息资产责任人是否对信息资产指定了责任人?低5.1.4信息资产清查是否定期或不定期清查信息资产?低5.2信息资产分级5.2.1等级保护政策是否了解等级保护相关政策?低5.2.2信息及系统分级指南是否制定信息及信息系统分级指南?检查等级划分指南高5.2.3信息分级是否对信息进行安全保护分级?检查分级报告高5.2.4信息系统分级是否对信息系统进行安全保护分级?检查分级报告高5.2.5等级保护规划是否建立等级保护规划?高6物理及环境的安全6.1机房安全6.1.1机房安全手册是否制定机房安全手册?检查安全手册高6.1.2机房边界安全是否具有边界安全设施?如:围墙、保安、接待员、闭路监控等。检查边界安全设施或访问登记记录高6.1.3配套设施是否按国家标准提供配电、照明、湿度、防水、防火、防雷及防盗等最基本的环境条件?按国家标准审查各项设施高6.1.4机房分区是否根据不同安全要求进行机房物理分区?审查执行情况高是否存在外来人员办公区?中6.1.5机房区域安全敏感区域入口是否有控制措施?敏感区域包括服务器区、控制室等。审查门禁系统状态高6.1.6人员活动控制是否对机房人员活动进行限制?如:吃饭、抽烟、喝酒等。低6.1.7安全检查是否定期或不定期检查机房安全?中6.2设备安全6.2.1设备安全管理制度是否制定了设备安全管理制度?设备安全制度包含设备采购、出入、安装、使用、维护、废弃等方面的规定与流程。检查安全制度审查制度内容高6.2.2安全制度实施是否从正规渠道采购设备?中是否对采购设备进行测试?高设备出入是否经过授权?审查执行记录高设备是否放置在安全区域?设备使用是否经过授权?审查执行记录高是否采取了掉电保护措施?如:UPS。中是否对处理敏感信息的设备进行电磁干扰?低是否采取措施监控设备运行状况?如:发热、掉电等。低是否对设备进行定期维护?低是否保存设备维护记录?审查维护记录高6.2.3安全检查是否定期或不定期检查设备安全?低6.3介质安全6.3.1介质管理制度是否制定了介质管理制度?介质管理制度包含介质出入、使用、销毁等方面的规定与流程。检查安全制度高6.3.2制度实施是否对介质出入执行访问控制?介质包括纸介质、磁带、软盘、硬盘、U盘、磁卡、光盘等。审查执行记录高是否对介质的访问进行授权?高介质废弃时,是否销毁了敏感信息?高7安全开发管理7.1开发过程7.1.1开发过程定义是否定义一个标准的开发过程支持软件或系统的开发?检查开发过程文档高7.1.2变更管理是否建立变更流程?检查变更流程高是否执行变更流程?检查变更记录高7.1.3开发文档是否提供标准的开发文档模板?高7.2开发过程安全7.2.1安全开发管理制度是否建立安全开发管理制度?描述为控制所开发软件或系统的安全而在组织、技术、人员以及其它方面采取的安全控制流程或措施?检查安全开发管理制度高7.2.2安全开发实施是否进行开发培训?高是否进行风险评估?高是否进行设计审查?高是否具有缺陷报告流程?高是否记录每次缺陷纠正?高是否进行软件代码审查?高是否进行软件或系统安全测试?高是否进行过程文档审查?高是否对安全开发过程进行检查或审计?高7.3交付和运行7.3.1交付流程是否具有软件/系统交付流程?中7.3.2交付描述文档是否具有交付描述文档?内容包括:版本、环境要求、模块等。检查交付文档高7.3.3交付完整性是否采取措施保证交付软件或系统的不被篡改?低7.3.4缺省设置改变软件或系统在安装运行后是否修改了缺省设置?高8运行管理8.1日常操作与维护管理8.1.1制度与流程是否建立日常运行操作制度与流程?包括网络、主机、应用等方面的操作制度与流程。检查各项制度、流程高8.1.2职责是否明确相关部门和人员的职责?如:网络负责人、应用负责人。审查制度高8.1.3网络管理网络是否划分安全域?如:VLAN。高是否使用专业网管软件/硬件进行网络管理?包括日常管理、网络监控、故障报警/排除等。中是否使用集中授权与管理平台管理网络设备?低是否在内网子域边界实施访问控制?高是否在内外网边界实施访问控制?高是否对远程接入进行接入控制?高生产网络与开发测试网络是否分离?高网络设备的接入与撤除是否经过授权?审查变更记录高网络设备的软件是否定期或不定期打补丁或升级?高是否采取监控手段监控网络的性能?监控内容包括:网络流量、网络设备利用率等。高是否采取监控手段监控网络的安全?如:定期扫描或实时监控?高是否记录管理及维护日志?检查维护日志高是否定期或不定期审查管理及维护日志?中8.1.4系统管理(含主机系统、重要服务器系统)是否对系统帐号实行权限分离?高是否具有统一的系统帐号管理流程?高系统上所有软件安装是否经过授权?审查变更记录高是否对系统定期或不定期打补丁或升级?高是否记录管理及维护日志?高是否采取措施监控系统安全?高是否定期或不定期审查管理及维护日志?高8.1.5应用管理是否对应用帐号实行权限分离?高是否具有统一的应用帐号管理流程?高是否对应用系统定期或不定期打补丁或升级?高是否记录管理及维护日志?高是否定期或不定期审查管理及维护日志?高8.2变更8.2.1变更流程是否建立变更流程?检查变更流程高8.2.2变更执行是否执行变更流程?检查变更记录高8.3备份与故障恢复8.3.1备份与故障恢复流程是否建立备份与故障恢复流程?检查流程高8.3.2备份与故障恢复演练是否进行过备份与故障恢复演练?中8.3.3备用站点是否具有备用站点?低8.3.4备用通讯线路是否具有备用通讯线路?中是否定期或不定期对备用通讯线路进行测试?中8.3.5备用设备或系统是否具有备用设备或系统?检查备用设备高是否定期或不定期对备用设备或系统进行测试?中8.3.6关键数据备份是否定期或不定进行关键数据备份?高关键数据备份是否被安全保管?中8.4应急处理8.4.1应急响应流程是否建立应急响应流程?含事件上报、处理流程。检查流程高8.4.2应急响应支持是否建立单独的组织处理紧急事件?中8.4.3应急响应培训是否对相关人员进行应急响应培训?中8.4.4应急响应演练是否组织实施应急响应演练?中8.5业务持续性管理8.5.1业务影响性分析是否标识造成业务中断的因素?如:电力故障、洪水等。中是否对造成业务中断的因素进行评估?中8.5.2业务持续性计划制定是否在风险分析的基础上制定业务持续性计划?检查业务持续性计划高8.5.3业务持续性计划落实是否建立相关组织负责业务持续性?中是否建立具体操作手册?中8.5.4业务持续性计划测试是否定期或不定期测试或演练业务持续性计划?中8.5.5业务持续性计划检查维护是否定期或不定期维护/变更业务持续性计划?中8.6认证/认可8.6.1系统运行授权对每个系统是否具有运行授权书?中9安全工程管理9.1项目保障9.1.1资质是否对开展安全工程服务的组织有资质要求?检查厂商资质高是否对开展安全工程服务的人员有资质要求?检查厂商人员资质高9.1.2组成人员是否对开展安全工程的项目人员组成有要求?高9.1.3方法论是否有安全工程方法论?低9.1.4项目管理是否有专门的项目管理人员?低是否有项目培训?中9.2实施过程9.2.1实施活动是否执行了风险评估?检查风险评估报告高是否执行了安全需求分析?检查安全需求说明书高是否制定了安全设计方案?检查安全设计方案高是否制定项目实施方案与计划?检查项目实施方案高在实施过程中是否有监理高是否执行了项目的验收高10安全产品管理10.1安全产品采购10.1.1采购流程是否具有安全产品采购流程?检查厂商资质高10.1.2一般安全产品采购采购产品是否具有公安部、测评中心相关资质?高10.1.3密码产品采购采购产品是否具有密码管理局、保密局相关资质?高10.2安全产品使用10.2.1安全产品废弃是否进行敏感信息消除处理?高11符合性11.1法律、法规符合性11.1.1标识法律法规是否了解国家/行业/地方信息安全相关的法律法规及制度?中是否将信息系统必须遵循的法律法规、合约文档化?检查符合性文档中11.1.2法律法规符合性控制是否具有控制涉及知识产权的软件或系统传播的措施与流程?低是否保存符合法律法规合约的记录?如:安全产品或服务资格