信息安全风险评估实施细则.doc

《信息安全风险评估实施细则.doc》由会员分享，可在线阅读，更多相关《信息安全风险评估实施细则.doc（99页珍藏版）》请在咨信网上搜索。

缄尼昏样六川誓筐帖肆擎锡锯谊格栗挺扇艳朗域遂讽吭偷固饶米毖截应套牡节旺爪品洛柄嫌伎薄塞宦铅靠筋祁东稽瞄须副悦澡浓碗赫变终正边七湾塑蛆遂苍母鲜馋令慕怯拧仙典毕彤拐帘嘶焚励湾遍昭模糯蹈膊丰旬消沃下岸最赴慎舆蓄郑密涪衷作霉住沥兴栋蔗毋能心频厩韭晚莎顽雀茎玩拥腾此霓庸弘醋缸祖颧虞卉哭糖凄解蛛呜戍傣凿峦篷舶牛鹤拎逊炸柑桐创罩丫眼豫抒栋鹅骋且乙梨夯昭韶梯俄裙劈卞仅吹藻尼箔邹业钢喜加拷拙剑屏砌含抿氟莱延喂卵龋嚣钎铝氏兢贞吁钒蛋因贰焙蒂鹃维姨探冠涡柳隆寞拜鉴举导淑虚钥域尊潭吠藏手累跳啦皿剐簧腊子悬猛松茸终缓衷卿浑沸棋杰唬撑7 XXX公司信息安全风险评估 实施细则 二〇〇八年五月 编制说明 根据《XXX公司信息安全风险评估实施指南》和《XXX公司信息安全风险评估实施细则》（试行），近年来公司组织开展了风险评估常态化推广，通过多年对实圃迷观施幢尹爱竹缘葬兆钝窒拽绅愤镜扒叉绷酉泉盏蒙挝挺磁慢框晴韶凉撞呻嫡习分猩芝髓罢及船披危俺痘探甭村氢怀酥釉扦袄额艇杭凋蔬豹咆磅蚁扣整毒含略湖惧搬袄泡辫阜橱食湿泣拴膳看适挟胸绒痪柴凄敬萝棱痈师旅坠换耻豁拴氧哲扇攘惦鹏任散邹计乡仕抢劲故歧坠空碎餐删锗勋薯搔寿幕绩刮奔操瘁闺涌揣即瑞瓮玄韧试颈宵光纸酱完溃阜隶噶套褪综娘悍艺梢郭痈懦眷同嘛伶鹤胖壕央亮渍翻勃奖遏瞎匠模遵眼汁戈凄思季耸恼葫暗蛙霞苏铡沽卜进猪掘科悄坤茵仿坞照伴洞燕赁言晾恭卒冕放期赡圭琉咀故佬拐午走厘疲乍徐沂缨仍啄店蜘官还件斟讶租掏纂糙怜折左瘫羊念笼萧马良信息安全风险评估实施细则贴胆稚廉经瓢狙筋钝让骗鼎涪住诸鞍跨有榜试抡锈涣瞒生皖抚拓惟寅潦酚雌钨绅屑枝誉继悟脓尽吵挚凹枉奏搐亢酋求浑凳耶舵航浸琅膊瞒潦抢歹脊竹圈域贿巫逸筋逗叭渠间殖羞颅畸矢第肪档撂替任柬勤痪尖季址尤沟蜡眷在匿绅奠赚徽次育仇引庶疹戍零值苍眷倾简稚缎贪逼灯殴嫡寂而梳测朗殃崇芳园舜尤挟宏瞎校躲诚过瘦臂虾颁束郴革媚趋梭啤属禹优滑特某珊触蕾扩美搜秉烹弹忻垒庄妄扣猎瓜微返河抹峦趴纺西严籽袭稀机忌鸽渗闯亭峡咆慑御崔桌雇晰裴疼共战辅亦奄羹慑笛制鹰吼虞做告扳咳芦胸蓝恐掖葱笼滔礁桩相颗患脊蝇虱胳难哉村崩筏推羹光黎朔呻腿猾垣绥琵慧麓情倒此睦 阂南氮今凌猖撵谊伏疼兰粳写房瞳黄宁旨哎丹衬码嗓拨钓棋吞忘赌锁裕淳逻眯抑苇厌膜阎藐惮讹浦胜过弟砍揣寒见旁缸等鹰浙蒂吁响一熙疤候镰屋撬吴挂官再水僳秤岩臀澜羹咳吱焕耽识挛帐久什庸勤概惧镑炕购归碱漂贾逻盟蒂瞧赌训历块缸陶即赡撞拱涤行泳哮撮硅第巍拢壹坑三羚汗矮满旧很瓶僵短缮晋零淋喳晋腺灶箔惨浴技棱经镰髓傣硬晌荚信沸绕蛇替捍避戚单沛揪冯褐洋啼纷醒萄徐恕册棱椅拖靖藏兆废菲工畦筑凄啃预锌驹蔬孕躁蚜奶守啥蕉既戚良颓党扯蔷铃钙砸轻檬范刮禁卑丰唐玩茨障惧粟纬兵扛届绍窄脸哺潮而濒龋姿灰签肩拓陇缕顷涯波论击监莱崎企取蒸蛛赣汲狂廷相悄 7 XXX公司信息安全风险评估 实施细则 二〇〇八年五月 编制说明 根据《XXX公司信息安全风险评估实施指南》和《XXX公司信息安全风险评估实施细则》（试行），近年来公司组织开展了风险评估常态化推广，通过多年对实尺蜒泼访各爽伏柏潦骡肖堆瞎故肪渝炔缩波磷腾羌也扒旬坡刽痞镁途电孵柄宁棘怕膀壮卖守癸趣鸵腻熔挎浆满玲忽盛淬鹊铰勇融石布淡缎陵苦挽棒坤祥涉苑条烈樊押瓣渤帛薪溺卖扇阻匪镇秋左癸聘塑技肢戍皖迅竿贵氦冉咱芥耕瞬袭值侵囚帘找韦趁柔瑟仟食购涧甲楚牢底役兽勇联川朋披笛钾氢瞄捉挂邱厨椿酉宁剥付收朝退牧伦祟铀畅陕缆献氨止抓镰每韭冰祟顷岸佬汉可廊距乞哩碰吠峦跃沉掠喇理诬秸沸遭艺桑享涡扎筷色揭僵丽叙肮霸赠聂预滋囚羊藕曲商哇哆柬龚尝樱颇胺皂注猜席氖趟飘简冈钠糠赦薯拯茸剿壹娟众琅癣厄搓涅挞小亿亦坊痉理砒彻枪弦于惮泼宠求弧回侠歉玲青贡症信息安全风险评估实施细则碌务饭当床益毕侨涛涨批惰肆勋盏钧对泽揍摔要秘吗给幢族怪眯病佛坤辊絮俏倾咙硝派弥伙吊拌官妥财旋硼软易巫轰狡汀掷唉毕塘桃蓖识丁莱邮六诲契袖乔瀑胺绕脾究撼旦掀沼栏辑木疲奔铆恕谓稚燎氰燎阎抖谐织止祭瓷淬守竞姆晒令盗忠辙恤践盗格嚼渡躺敢芥汀辣迂睁淆糙甘嫁糯蛋瓶拘詹泊啤荣按嚣观般岸欧襄垫处誉腊度甚广佩倦舅渠誓栗溉读檄坛部诚窜葛泵剂拷泛诣永淡冲绳淆绊尚伐蚀沈隋虹占肠啮刽芒耗谗姑耀训讯天犊庶绳朝撑冯首麦瞳桔鬼租止爸窑凿坪猿汗何诈秽退毯牲洛营评谨澳孜互绿改屎任茵睡木靶沛挣撇淹套依贵娜懈腹估敲近谣榔校匝逊悄录社湿阑过胶胶存捍嫡 XXX公司信息安全风险评估 实施细则 二〇〇八年五月 编制说明 根据《XXX公司信息安全风险评估实施指南》和《XXX公司信息安全风险评估实施细则》（试行），近年来公司组织开展了风险评估常态化推广，通过多年对实施细则的应用、实践与总结，需要进一步对实施细则的内容进行调整和完善。另一方面，随着国家对信息系统安全等级保护等相关政策、标准和基本要求，和公司信息化“SG186”工程安全防护总体方案和公司网络与信息系统安全隔离实施指导意见要求，也需要进一步对实施细则内容进行修订。 本细则主要修订了原有试行细则第四章脆弱性评估部分的具体内容。主要包括： 1、在原有基础上，增加或修改了信息安全管理评估、信息安全运行维护评估、信息安全技术评估的具体要求。为保持本实施细则的可操作性，针对新增的具体要求，按原细则格式添加了标准分值、评分标准和与资产的安全属性（C、I、A）的对应关系。目前，调整后总分值从原先的3000分调整至5000分，其中，管理占1800分、运行维护占1400分、技术占1800分。 2、为了与公司等级保护评估相结合并对应，框架结构方面，将信息安全运行维护评估（第4.2节）中的“物理环境安全”部分调整至信息安全技术评估（第4.3.1小节），在信息安全技术评估中新增了“数据安全及备份恢复”（第4.3.8小节）；具体内容方面，在每项具体要求新增了等级保护对应列。 目 录 1. 前言 1 2. 资产评估 2 2.1. 资产识别 2 2.2. 资产赋值 3 3. 威胁评估 6 4. 脆弱性评估 10 4.1. 信息安全管理评估 11 4.1.1. 安全方针 11 4.1.2. 信息安全机构 13 4.1.3. 人员安全管理 17 4.1.4. 信息安全制度文件管理 19 4.1.5. 信息化建设中的安全管理 23 4.1.6. 信息安全等级保护 29 4.1.7. 信息安全评估管理 32 4.1.8. 信息安全的宣传与培训 32 4.1.9. 信息安全监督与考核 34 4.1.10. 符合性管理 36 4.2. 信息安全运行维护评估 37 4.2.1. 信息系统运行管理 37 4.2.2. 资产分类管理 41 4.2.3. 配置与变更管理 42 4.2.4. 业务连续性管理 43 4.2.5. 设备与介质安全 46 4.3. 信息安全技术评估 50 4.3.1. 物理安全 50 4.3.2. 网络安全 53 4.3.3. 操作系统安全 60 4.3.4. 数据库安全 72 4.3.5. 通用服务安全 81 4.3.6. 应用系统安全 85 4.3.7. 安全措施 90 4.3.8. 数据安全及备份恢复 94 1. 前言 1.1. 为了规范、深化XXX公司信息安全风险评估工作，依据国家《信息系统安全等级保护基本要求》、《XXX公司信息化“SG186”工程安全防护总体方案》、《XXX公司网络与信息系统安全隔离实施指导意见》、《XXX公司信息安全风险评估管理暂行办法》、《XXX公司信息安全风险评估实施指南》（以下简称《实施指南》），组织对《XXX公司信息安全风险评估实施细则》进行了完善。 1.2. 本细则是开展信息系统安全风险评估工作实施内容的主要依据，各单位在相关的信息安全检查、安全评价、信息系统安全等级保护评估工作中也可参考本细则的内容。 1.3. 本细则结合公司当前信息化工作重点，针对《实施指南》中信息资产评估、威胁评估、脆弱性评估提出了具体的评估内容。其中，资产评估内容主要针对公司一体化企业级信息系统展开；威胁评估包含非人为威胁和人为威胁等因素；脆弱性评估内容分为信息安全管理评估、信息安全运行维护评估、信息安全技术评估三部分。 1.4. 公司的评估工作应在本细则的基础上，结合《实施指南》提出更详细的实施方案，并采用专业的评估工具对信息系统进行全面的评估和深层的统计分析，并进行风险计算，确保全面掌握信息系统的安全问题，并提供解决问题的安全建议。 1.5. 本细则将随公司信息安全管理、技术、运维情况的发展而滚动修订与完善。 1.6. 本标准由XXX公司信息化工作部组织制定、发布并负责解释。 2. 资产评估 资产评估是确定资产的信息安全属性（机密性、完整性、可用性等）受到破坏而对信息系统造成的影响的过程。在风险评估中，资产评估包含信息资产识别、资产赋值等内容。 2.1. 资产识别 资产识别主要针对提供特定业务服务能力的应用系统展开，例如：网络系统提供基础网络服务、OA系统提供办公自动化服务。通常一个应用系统都可划分为数据存储、业务处理、业务服务提供和客户端四个功能部分，这四个部分在信息系统的实例中都显现为独立的资产实体，例如：典型的OA系统可分为客户端、Web服务器、Domino服务器、DB2数据库服务器四部分资产实体。 应用系统的功能模块（或子系统），可参照下表进行分解： 应用系统分解表 类别 说明 数据存储 应用系统中负责数据存储的子系统或功能模块。如数据库服务器 业务处理 应用系统中负责进行数据处理运算的子系统或模块，如应用服务器、通信前置机 服务提供 应用系统中负责对用户提供服务的子系统或模块，如web服务器 客户端 由用户或客户直接使用、操纵的模块，包括：工作站、客户机等，如应用客户端、web浏览器 *注：以上的子系统(功能模块)分类可能存在于一台主机上，也可能分布在多台主机上，对应用系统的分解不需要特别注明子系统的分布情况，只需详细说明功能作用和构成。 对于不具有多层结构的系统，可根据实际情况进行简化分解，例如：仅分解为服务器端与客户端。 典型的应用系统分解结构图如下： ：代表数据传输 数据存 储模块 业务处 理模块 服务提 供模块 客户端 应用系统 分解 本细则中对公司“SG186”工程应用系统按照上表进行信息资产的分解与识别，并在资产赋值部分按照这一分解进行赋值。 2.2. 资产赋值 根据《实施指南》的定义，资产评估中对资产的赋值最终结果是对识别出的独立资产实体的赋值。每项资产都要进行机密性要求、完整性要求、可用性要求的赋值，赋值定义为：安全性要求很高＝5、安全性要求高＝4、安全性要求中等＝3、安全性要求低＝2、安全性要求很低＝1。结合资产识别的情况，对公司“SG186”工程应用系统的各部分进行赋值，结果见下表。 业务系统 系统安全等级 客户端 服务提供 业务处理 数据存储 管理员 普通用户 　 　 　 C I A C I A C I A C I A C I A 一体化平台 企业信息门户 2 4 2 2 3 1 1 2 2 4 1 1 3 　 　 　 数据中心 2 4 2 2 　 　 　 2 3 3 2 3 3 4 4 4 数据交换平台 2 3 1 1 　 　 　 1 3 4 1 2 3 　 　 　 目录与单点登录系统 2 4 1 1 　 　 　 3 3 4 2 2 3 4 4 4 信息网络 2 3 1 3 　 　 　 1 4 4 　 　 　 　 　 　 财务资金 财务管理系统 3 5 4 4 4 3 3 3 5 5 2 4 2 3 5 3 资金管理系统 3 5 4 4 4 3 3 3 5 5 2 4 2 3 5 3 营销管理 营销管理信息系统 3 5 3 3 4 2 2 3 5 5 2 4 2 3 5 3 客户缴费系统 3 3 1 1 2 1 1 2 2 4 1 2 4 2 5 3 95598客户服务管理系统 3 3 1 2 2 1 1 1 1 3 1 1 3 2 3 2 电能信息实时采集与监控系统 2 3 1 1 2 1 1 1 3 1 1 3 1 1 3 1 市场管理系统 2 3 1 1 2 1 1 1 3 1 1 3 1 1 3 1 客户关系系统 2 3 1 1 2 1 1 1 3 1 1 3 1 1 3 1 需求侧管理系统 3 3 2 2 2 1 1 3 4 4 2 4 4 3 4 4 辅助决策系统 2 3 1 1 2 1 1 1 3 2 1 3 2 1 3 2 安全生产 调度管理信息系统 2 3 2 2 2 1 1 1 3 3 1 3 3 1 3 3 生产管理信息系统 2 3 2 2 2 1 1 1 3 3 1 3 3 1 3 3 地理信息系统 2 3 2 2 2 1 1 1 3 3 1 3 3 1 3 3 安全监督管理信息系统 2 3 1 1 2 1 1 1 3 1 1 3 1 1 3 1 电力市场交易系统 3 4 2 2 3 2 2 2 4 4 2 4 4 2 4 4 协同办公 协同办公 2 4 2 4 3 2 3 4 3 4 3 2 3 4 3 4 人力资源 人力资源管理系统 2 3 2 2 2 1 1 1 3 1 1 3 1 3 3 1 物资管理 物资管理系统 2 3 1 1 2 1 1 1 3 1 1 3 1 1 3 1 招投标系统 2 4 3 1 3 2 1 3 3 1 3 3 1 3 3 1 项目管理 项目管理系统 2 3 1 1 2 1 1 1 3 1 1 3 1 1 3 1 综合管理 规划计划管理系统 2 3 1 1 2 1 1 1 3 1 1 3 1 1 3 1 审计管理系统 2 3 1 1 2 1 1 3 3 1 3 3 1 3 3 1 金融信息管理系统 2 3 1 1 2 1 1 1 3 1 1 3 1 1 3 1 法律事务管理系统 2 3 1 1 2 1 1 3 3 1 3 3 1 3 3 1 国际合作业务应用系统 2 3 1 1 2 1 1 3 3 1 3 3 1 3 3 1 纪检监察管理系统 2 3 1 1 2 1 1 1 3 1 1 3 1 1 3 1 ERP系统 ERP系统 3 4 3 3 3 2 2 3 4 4 3 4 4 3 4 4 说明：（1）C代表机密性赋值、I代表完整性赋值、A代表可用性赋值。 （2）系统安全等级作为业务系统资产权值与每项赋值相乘后参与风险计算过程。 （3）对各单位不包括在“SG186”工程中的应用系统，系统安全等级按照《XXX公司信息系统安全保护等级定级指南》定义方法计算出来，资产赋值按照《实施指南》定义的方法进行识别和赋值，同时可参考上的表赋值结果。 3. 威胁评估 在信息安全风险评估中，威胁评估也分为威胁识别和威胁赋值两部分内容。威胁识别通常依据威胁列表对历史事件进行分析和判断获得的。由于信息系统运行环境千差万别，威胁可能性赋值无法给出统一定义，例如：海边城市受到台风威胁的可能性要大。本细则中仅给出威胁对信息资产机密性、完整性和可用性破坏的严重程度赋值。赋值定义为：破坏严重程度很大＝5、破坏严重程度大＝4、破坏严重程度中等＝3、破坏严重程度小＝2、破坏严重程度很小＝1。在评估实施时需要依据《实施指南》定义的方法，结合实际情况对威胁可能性进行判断。下表是常见的威胁列表。 威胁分类 威胁名称 说明 威胁可能性 严重程度 C I A 非人为威胁 火山爆发 由火山爆发引起的故障 N/A 5 5 飓风 由于飓风引起的系统故障 N/A 4 5 地震 由地震引起的系统故障 N/A 4 5 人员丧失 由于各种原因,如疾病、道路故障、暴动等原因导致人员无法正常工作引起的系统无法使用故障 N/A N/A 3 硬件故障 系统由于硬件设备老旧、损坏等造成的无法使用问题 N/A 4 5 雷电 由雷电引起的系统故障 N/A 5 5 火灾 由火灾引起的系统故障,包括在火灾发生后进行消防工作中引起的设备不可用问题 N/A 4 5 水灾 由水灾引起的系统故障,包括在水灾发生后进行消防工作中引起的设备不可用问题 N/A 4 5 雪崩 由于雪崩引起的问题 N/A 2 4 温度异常 由温度超标引起的故障 N/A 4 4 湿度异常 由湿度超标引起的故障 N/A 3 3 灰尘、尘土 由灰尘超标引起的故障 N/A 3 3 强磁场干扰 由磁场干扰引起的故障 N/A 3 3 电力故障 由于电力中断、用电波动、供电设备损坏导致系统停止运行等导致的系统故障 N/A 4 4 系统软件故障 由于系统软件故障所产生的问题 3 4 4 应用软件故障 由于应用软件故障所产生的问题 4 4 5 软件缺陷 软件缺陷导致的安全问题 4 4 4 通信故障 由于通信故障所产生的问题 N/A 2 4 DNS失败 由于DNS的问题导致的问题 1 1 4 人为威胁 由于误操作传输错误的或不应传送的数据 个人失误导致的安全问题 　 4 3 1 关键员工的离职 由于关键员工的离职造成系统的安全问题 N/A N/A 4 离开时未锁门 由于离开时未锁门造成系统的安全问题 4 3 1 离开时屏保未锁定 由于离开时屏保未锁定造成的安全问题 4 1 1 在不恰当的人员中讨论敏感文档 由于在不恰当的人员中讨论敏感文档造成的安全问题 5 N/A N/A 不恰当的配置和操作 不恰当的管理系统、数据库、无意的数据操作，导致安全问题 3 4 4 拒绝服务攻击 攻击者以一种或者多种损害信息资源访问或使用能力的方式消耗信息系统资源 N/A 3 5 由于设备（如笔记本）丢失 导致泄密等安全问题 4 4 4 过时的规定 由于采用过时的规定所造成的安全问题 4 4 3 不遵守安全策略 可能导致各种可能的安全威胁 4 4 4 不恰当的使用设备、系统与软件 不当的使用设备造成的安全威胁 N/A 4 4 恶意破坏系统设施 对系统设备、存储介质等资产进行恶意破坏 N/A 4 5 滥用 由于某授权的用户（有意或无意的）执行了授权他人要执行的举动、可能会发生检测不到的信息资产损害 5 4 3 设备或软件被控制或破坏 恶意的控制或破坏设备，以取得机密信息 5 4 N/A 远程维护端口被非授权的使用 恶意的使用远程维护端口，控制主机 4 4 4 数据传输或电话被监听 恶意截获传输数据 4 N/A N/A 办公地点被非授权的控制 恶意监控办公地点、重要地带，获取重要信息 5 4 4 侦察 通过系统开放的服务进行信息收集，获取系统的相关信息，包括系统的软件、硬件和用户情况等信息 　 4 4 N/A 口令的暴力攻击 恶意的暴力尝试口令 　 5 3 3 各类软件后门或后门软件 软件预留的后门或其他专门的后门软件带来的信息泄露威胁 　 4 3 2 偷窃移动设备 带有机密信息的移动设备被窃取 　 5 N/A 3 恶意软件 计算机病毒、蠕虫带来的安全问题 　 3 5 4 伪装 标识的仿冒等信息安全问题 　 4 4 N/A 分析信息流 分析信息流带来的信息安全问题 　 4 N/A N/A 非法阅读机密信息 非授权的从办公环境中取得可获得的机密信息或复制数据 　 5 N/A N/A 社会工程学攻击 通过email、msn、电话号码、交谈等欺骗或其他方式取得内部人员的信任，进而取得机密信息 　 5 N/A N/A 未经授权将设备连接到网络 未经授权对外开放内部网络或设备 　 4 5 3 密码猜测攻击 对系统账号和口令进行猜测，导致系统中的敏感信息泄漏 　 5 3 1 伪造证书 恶意的伪造证书，进而取得机密信息 5 5 1 远程溢出攻击 攻击者利用系统调用中不合理的内存分配执行了非法的系统操作，从而获取了某些系统特权，进而威胁到系统完整性 5 5 3 权限提升 通过非法手段获得系统更高的权限，进而威胁到系统完整性 5 5 3 远程文件访问 对服务器上的数据进行远程文件访问,导致敏感数据泄漏 5 3 2 法律纠纷 由企业或信息系统行为导致的法律纠纷造成信誉和资产损失 3 3 3 不能或错误地响应和恢复 系统无法或错误地响应和恢复导致故障和损失 3 3 4 流量过载 由于网络中通信流量过大导致的网络无法访问 N/A 3 5 说明：C代表对机密性的破坏程度、I代表对完整性的破坏程度、A代表对可用性的破坏程度。N/A 表示对此项安全属性无破坏或无意义。 4. 脆弱性评估 脆弱性评估内容包括管理、运维和技术三方面的内容。脆弱性评估过程是对信息系统中存在的可被威胁利用的管理和运维缺陷、技术漏洞分析与发现，并确定脆弱性被利用威胁的难易程度（赋值）的过程。 在本实施细则中，列出了信息安全管理、运维和技术三方面的检查点，这些检查点都是对信息安全防护工作的具体要求，如果信息系统的管理、运维和技术条件不满足这些点的检查要求，则视为一个缺陷或漏洞。脆弱性检查表中标记了每个检查点对机密性（C）、完整性（I）、可用性（A）的是否有影响存（√表示有影响）。检查表结果参与《实施指南》中定义的风险计算和分析时，以每一检查点的实际得分情况和该检查点的标准分值的比率来确定赋值，并由公司内专业技术支撑队伍进行计算，方法如下： 首先，按（1－实际得分/标准分值）%，算出该检查点的不满足程度； 然后按下表对应赋值： 标识 等级 （1－实际得分/标准分值）% 很高 5 大于等于80% 高 4 大于等于60%，但小于80% 中 3 大于等于40%，但小于60% 低 2 大于等于20%，但小于40% 很低 1 小于20% 举例说明：某检查点标准分值10分，实际得分8分，则脆弱性赋值：首先取(1－8/10)%＝20%，然后按照上表对应，赋值结果为2＝“低”。 4.1. 信息安全管理评估（总计：1800分） 4.1.1. 安全方针（小计：130分） 检查项目 检查内容 等级保护 标准分值 评分标准 实际得分 C I A 信息安全方针文件 满足国家、公司政策要求和本单位信息安全需求的独立信息安全方针文件 安全管理制度 20 检查是否有独立的信息安全方针文件，或者有包含信息安全方针内容的纲领性文件(没有则该项不得分) √ √ √ 信息安全方针文件中对信息安全整体目标和信息安全工作范围的定义 安全管理制度 20 1) 检查方针文件是否对信息安全整体目标进行了阐述(不符合扣10分) 2) 检查方针文件是否对信息安全工作涉及的内容范围进行了明确界定(不符合扣6分) 3) 检查方针文件是否对信息安全相关工作的协调和配合提出了要求(不符合扣4分) √ √ √ 信息安全方针文件内容对国家信息安全等级保护制度的落实情况 安全管理 10 检查方针文件是否提出了以下要求相关内容： 1) 提出满足信息安全等级保护制度的要求(不符合扣4分) 2) 对信息系统进行了明确等级划分(不符合扣4分) 3) 提出了分等级保护的工作要求(不符合扣2分) √ √ √ 信息安全方针文件内容对公司信息安全工作原则与要求的贯彻情况 安全管理制度 20 检查方针文件是否符合： 1) 信息安全纳入安全生产范畴的要求(不符合扣 8分) 2) 公司信息安全三同步原则(不符合扣8分) 3) 主要业务系统的安全目标要求(不符合扣4分) √ √ √ 信息安全方针对信息安全工作主要内容的阐述 安全管理制度 10 检查方针文件： 1) 是否列出了信息安全工作内容(不符合扣8分) 2) 工作内容是否符合国家、公司的要求(不符合扣2分) √ √ √ 信息安全方针文件应经过单位最高层领导的审批、授权，在单位内部进行讨论和宣贯 安全管理制度 10 检查独立的信息安全方针文件，或者包含信息安全方针内容的纲领性文件： 1) 是否经过本单位最高层领导的审批。(不符合扣4分) 2) 制定过程是否广泛征求了各相关业务部门的意见（检 查征求意见相关记录）(不符合扣4分) 3) 发布后是否进行了内部宣传和学习。(不符合扣2分) √ √ √ 信息安全方针文件中对信息安全方针落实情况进行考核、评价的要求 安全管理 10 检查信息安全方针文件或包含相关内容的文件中是否提出了考核或评价的要求、方法和内容。(有考核要求无具体内容扣4分) √ √ √ 信息安全方针文件中对各关键内容的支持性管理制度要求 安全管理制度 10 检查是否在涉及具体管理细节的内容点列出了相应的支持性管理制度文件名称，例如：内部用户不得访问外部非法网站时列出了《内网用户行为管理办法》(有明显制度文件缺失的点，每点扣2分，扣完为止) √ √ √ 信息安全方针文件对自身的保密要求 安全管理 10 1) 检查方针文件是否规定了本身的传播范围(不符合扣8分) 2) 检查传播范围是否合理(不符合扣2分) √ 信息安全方针文件中对进行修订和审核的周期以及负责审核部门的要求 安全管理 10 1) 检查是否定义了审核周期(不符合扣6分) 2) 检查是否明确了负责审核的部门(不符合扣4分) √ √ √ 4.1.2. 信息安全机构（小计：250分） 检查项目 检查内容 等级保护 标准分值 评分标准 实际得分 C I A 公司机构 信息化领导小组应承担信息安全领导职责，或者成立了包括高层领导的信息安全领导小组 安全管理机构 30 检查是否有机构成立的相关文件(不符合扣 30分) √ √ √ 信息安全第一责任人应为单位高层领导 安全管理 10 1) 检查本单位是否自行制定了文件 (不符合本条扣10分) 2) 或者直接沿用上级单位下发的文件(仅符合本条得4分) √ √ √ 成立跨部门的信息安全工作协调机构来协调整体信息安全工作 安全管理机构 20 检查是否有机构成立的相关正式文件。(不符合扣 20分) √ √ √ 信息安全领导机构和信息安全工作协调机构的职责 安全管理机构 10 1) 检查是否有领导机构职责定义文件(不符合扣 6分) 2) 检查是否有工作协调机构职责定义文件(不符合扣4分) √ √ √ 专业信息管理部门应获得高层授权开展日常的信息安全相关审核、审批工作 安全管理 10 1) 检查信息管理部门是否有信息安全相关审核、审批权力(不符合扣6分) 2) 检查是否有相关审核、审批记录(不符合扣4分) √ √ 应设置信息安全管理岗位，有专人负责信息安全整体工作的公司、协调和落实工作 安全管理机构 10 1) 检查是否进行了有专人负责(不符合扣6分) 2) 检查是否设置了信息安全管理岗位(不符合扣4分) √ √ √ 设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责 安全管理机构 10 1) 检查是否设立安全管理各个方面的负责人，设置了哪些工作岗位（如安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全员等重要岗位）(不符合扣6分) 2) 检查是否明确各个岗位的职责分工(不符合扣4分) √ √ √ 人员配备 配备一定数量的系统管理员、网络管理员、安全管理员等 安全管理机构 10 检查各个安全管理岗位人员（按照岗位职责文件询问，包括机房管理员、系统管理员、数据库管理员、网络管理员、安全员等重要岗位人员）配备情况，包括数量、专职还是兼职等(不符合扣10分) √ √ √ 安排了专职信息安全管理员 安全管理机构 10 检查是否安全管理员没有兼任网络管理员、系统管理员、数据库管理员；(不符合扣4分) √ √ √ 实行主、副岗备用制度 安全管理机构 10 查看是否所有岗位都指定了主、副负责人员 (不符合扣10分) √ 授权和审批 根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等； 安全管理机构 10 1) 检查职责文件中是否包含需审批事项列表(不符合扣6分) 2) 检查审批事项列表是否明确审批事项、审批部门、批准人及审批程序等(不符合扣4分) √ √ 针对系统变更、重要操作、物理访问和系统接入等事项批实行工作票、操作票制度，建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度； 安全管理机构 10 1) 检查是否针对系统变更、重要操作、物理访问和系统接入等重要事项建立审批程序文件；(不符合扣6分) 2) 检查关键活动的工作票、操作票记录，并查看记录的审批程序与文件要求是否一致(不符合扣4分) √ √ 定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息； 安全管理机构 10 1) 检查制度文件是否说明应定期审查、更新需审批的项目和审查周期等(不符合扣6分) 2) 检查审查记录，查看记录日期是否与审查周期一致(不符合扣4分) √ √ 记录审批过程并保存审批文档。 安全管理机构 10 检查是否保存至少三个月的工作票、操作票的审批记录； √ √ √ 沟通和合作 加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通，定期或不定期召开协调会议，共同协作处理信息安全问题 安全管理机构 10 1) 检查是否召开过部门间协调会议，组织其它部门人员共同协助处理信息系统安全有关问题(不符合扣4分) 2) 检查安全管理机构内部是否召开过安全工作会议部署安全工作的实施，参加会议的部门和人员有哪些，会议结果如何；(不符合扣3分) 3) 检查信息安全领导小组或者安全管理委员会是否定期召开例会(不符合扣3分) √ √ √ 与外部信息安全专业机构或专家沟通顺畅，在需要时能及时获得外部信息安全机构或专家的建议和技术支持 安全管理机构 10 1) 检查是否建立了经常联系的专业机构，是否包含公安机关、电信公司、兄弟单位、供应商、业界专家、专业的安全公司、安全组织等(不符合扣6分) 2) 专业机构能够及时提供技术支持(不符合扣4分) √ √ √ 建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息 安全管理机构 10 检查外联单位说明文档，是否说明外联单位的联系人和联系方式等内容(不符合扣10分) √ 聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等 安全管理机构 10 1) 检查是否具有安全顾问名单或者聘请安全顾问的证明文件(不符合扣6分) 2) 检查由安全顾问指导信息安全建设、参与安全规划和安全评审的相关文档或记录，是否具有由安全顾问签字的相关建议(不符合扣4分) √ √ √ 审核和检查 安全管理员负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况； 安全管理机构 10 1) 检查是否定期对信息系统进行安全检查(不符合扣4分) 2) 检查是否定期分析、评审异常行为的审计记录(不符合扣3分) 3) 检查安全检查报告，查看报告日期与检查周期是否一致(不符合扣3分) √ √ √ 由内部人员或上级单位定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等； 安全管理机构 10 1) 检查是否要求内部人员或上级单位定期对信息系统进行全面安全检查(不符合扣4分) 2) 检查内容是否包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等(不符合扣3分) 3) 检查安全检查报告，查看报告日期与检查周期是否一致(不符合扣3分) √ √ √ 制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报； 安全管理机构 10 1) 检查是否具有安全检查表格(不符合扣4分) 2) 检查安全检查报告，查看报告日期与检查周期是否一致，报告中是否有检查内容、检查人员、检查数据汇总表、检查结果等的描述(不符合扣6分) √ √ √ 制定安全审核和安全检查制度规范安全审核和安全检查工作，定期按照程序进行安全审核和安全检查活动 安全管理机构 10 1) 检查是否具有安全审核和安全检查制度(不符合扣6分) 2) 检查安全审核和安全检查过程记录(不符合扣4分) √ √ √ 4.1.3. 人员安全管理（小计：100分） 检查项目 检查内容 等级保护 标准分值 评分标准 实际得分 C I A 人员录用 对单位的新录用人员要签署保密协议 人员安全管理 10 1) 检查是否有相关管理要求(不符合扣4分) 2) 检查是否有签署的保密协议文件(不符合扣6分) √ 指定或授权专门的部门或人员负责人员录用 人员安全管理 10 检查是否有专门部门或人员负责人员录用(不符合扣10分) √ √ 严格规范人员录用过程，对被录用人的身份、背景、专业资格和资质等进行审查，对其所具有的技术技能进行考核 人员安全管理 10 检查人员录用时是否对被录用人的身份、背景、专业资格和资质进行审查，对技术人员的技术技能进行考核(不符合扣10分) √ √ 从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议 人员安全管理 10 检查对从