欢迎来到天天文库
浏览记录
ID:50726513
大小:218.00 KB
页数:13页
时间:2020-03-07
《安全检查表格式大汇总.doc》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、安全状况调查表1.安全管理机构安全组织体系是否健全,管理职责是否明确,安全管理机构岗位设置、人员配备是否充分合理。序号检查项结果备注1.信息安全管理机构设置□以下发公文方式正式设置了信息安全管理工作的专门职能机构。□设立了信息安全管理工作的职能机构,但还不是专门的职能机构。□其它。2.信息安全管理职责分工情况□信息安全管理的各个方面职责有正式的书面分工,并明确具体的责任人。□有明确的职责分工,但责任人不明确。□其它。3.人员配备□配备一定数量的系统管理人员、网络管理人员、安全管理人员等;安全管理人员不能兼任网络管理员、系统管理员、数据库管理员等。□
2、配备一定数量的系统管理人员、网络管理人员、安全管理人员等,但安全管理人员兼任网络管理员、系统管理员、数据库管理员等。□其它。4.关键安全管理活动的授权和审批□定义关键安全管理活动的列表,并有正式成文的审批程序,审批活动有完整的记录。□有正式成文的审批程序,但审批活动没有完整的记录。□其它。5.与外部组织沟通合作□与外部组织建立沟通合作机制,并形成正式文件和程序。□与外部组织仅进行了沟通合作的口头承诺。□其它。6.与组织机构内部沟通合作□各部门之间建立沟通合作机制,并形成正式文件和程序。□各部门之间的沟通合作基于惯例,未形成正式文件和程序。□其它。2
3、.安全管理制度安全策略及管理规章制度的完善性、可行性和科学性的有关规章制度的制定、发布、修订及执行情况。检查项结果备注1信息安全策略□明确信息安全策略,包括总体目标、范围、原则和安全框架等内容。□包括相关文件,但内容覆盖不全面。□其它2安全管理制度□安全管理制度覆盖物理、网络、主机系统、数据、应用、建设和管理等层面的重要管理内容。□有安全管理制度,但不全而面。□其它。3操作规程□应对安全管理人员或操作人员执行的重要管理操作建立操作规程。□有操作规程,但不全面。□其它。4安全管理制度的论证和审定□组织相关人员进行正式的论证和审定,具备论证或审定结论。
4、□其它。5安全管理制度的发布□文件发布具备明确的流程、方式和对象范围。□部分文件的发布不明确。□其它。6安全管理制度的维护□有正式的文件进行授权专门的部门或人员负责安全管理制度的制定、保存、销毁、版本控制,并定期评审与修订。□安全管理制度分散管理,缺乏定期修订。□其它。7执行情况□所有操作规程的执行都具备详细的记录文档。□部分操作规程的执行都具备详细的记录文档。□其它。3.人员安全管理人员的安全和保密意识教育、安全技能培训情况,重点、敏感岗位人员有无特殊管理措施以及对外来人员的管理情况。序号检查项结果备注1.重点、敏感岗位人员录用和审查□为与信息安
5、全密切相关的重点、敏感岗位人员制定特殊的录用要求。对被录用人的身份、背景和专业资格进行审查,对技术人员的技术技能进行考核,有严格的制度规定要求。□其它。2保密协议的签署□与从事关键岗位的人员签署保密协议,包括保密范围、保密责任、违约责任、协议的有效期限和责任人签字等内容。□其它。3人员离岗□规范人员离岗过程,有具体的离岗控制方法,及时终止离岗人员的所有访问权限并取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。□其它。4安全意识教育□根据岗位要求进行有针对性的信息安全意识培训。□未根据岗位要求进行有针对性的信息安全意识培训,仅开展全员安全意识
6、教育。□其它。5安全技能培训□制定了有针对性的安全技能培训计划,培训内容包含信息安全基础知识、岗位操作规程等,并认真实施,而且有培训记录。□安全技能培训针对性不强,效果不显著。□其它。6在岗人员考核□定期对所有人员进行安全技能及安全知识的考核,对重点、敏感岗位的人员进行全面、严格的安全审查。□仅对重点、敏感岗位的人员进行全面、严格的安全审查,未普及到全员。□其它。7惩戒措施□告知人员相关的安全责任和惩戒措施,并对违反违背安全策略和规定的人员进行惩戒。□有惩戒措施,但效果不佳。□其它。8外部人员访问管理□外部人员访问受控区域前得到授权或审批,批准后由
7、专人全程陪同或监督,并登记备案。□外部人员访问受控区域前得到授权或审批,但不能全程陪同或监督。□其它。4.系统建设管理关键资产采购时是否进行了安全性测评,对服务机构和人员的保密约束情况如何,在服务提供过程中是否采取了管控措施。信息系统开发过程中设计、开发和验收的管理情况。序号检查项结果备注1关键资产采购时进行安全性测评□相关专门部门负责产品的采购,产品的选用符合国家的有关规定。资产采购之前进行选型测试,确定产品的候选范围,具有产品选型测试结果、候选产品名单审定记录或更新的候选产品名单,经过主管信息安全领导批准。□专门部门负责产品的采购,产品的选用符
8、合国家的有关规定。□关键资产采购未进行安全性测试或未经过主管信息安全领导批准。2服务机构和人员的选择□在具有资格的服务机构
此文档下载收益归作者所有