安全状况调查表
平安状况调查表 1. 平安管理机构 平安组织体系是否健全,管理职责是否明确,平安管理机构岗位设置、人员配备是否充分合理。 序号 检查项 结果 备注 1. 信息平安管理机构设置 □ 以下发公文方式正式设置了信息平安管理工作的专门职能机构。 □ 设立了信息平安管理工作的职能机构,但还不是专门的职能机构。 □ 其它。 2. 信息平安管理职责分工情况 □ 信息平安管理的各个方面职责有正式的书面分工,并明确具体的责任人。 □ 有明确的职责分工,但责任人不明确。 □ 其它。 3. 人员配备 □ 配备一定数量的系统管理人员、网络管理人员、平安管理人员等; 平安管理人员不能兼任网络管理员、系统管理员、数据库管理员等。 □ 配备一定数量的系统管理人员、网络管理人员、平安管理人员等,但平安管理人员兼任网络管理员、系统管理员、数据库管理员等。 □ 其它。 4. 关键平安管理活动的授权和审批 □ 定义关键平安管理活动的列表,并有正式成文的审批程序,审批活动有完整的记录。 □ 有正式成文的审批程序,但审批活动没有完整的记录。 □ 其它。 5. 与外部组织沟通合作 □ 与外部组织建立沟通合作机制,并形成正式文件和程序。 □ 与外部组织仅进行了沟通合作的口头承诺。 □ 其它。 6. 与组织机构内部沟通合作 □ 各部门之间建立沟通合作机制,并形成正式文件和程序 。 □ 各部门之间的沟通合作基于惯例,未形成正式文件和程序。 □ 其它。 2. 平安管理制度 平安策略及管理规章制度的完善性、可行性和科学性的有关规章制度的制定、发布、修订及执行情况。 检查项 结果 备注 1 信息平安策略 □ 明确信息平安策略,包括总体目标、范围、原那么和平安框架等内容。 □ 包括相关文件,但内容覆盖不全面。 □ 其它 2 平安管理制度 □ 平安管理制度覆盖物理、网络、主机系统、数据、应用、建设和管理等层面的重要管理内容。 □ 有平安管理制度,但不全而面。 □ 其它。 3 操作规程 □ 应对平安管理人员或操作人员执行的重要管理操作建立操作规程。 □ 有操作规程,但不全面。 □ 其它。 4 平安管理制度 的论证和审定 □ 组织相关人员进行正式的论证和审定,具备论证或审定结论。 □ 其它。 5 平安管理制度 的发布 □ 文件发布具备明确的流程、方式和对象范围。 □ 局部文件的发布不明确。 □ 其它。 6 平安管理制度 的维护 □ 有正式的文件进行授权专门的部门或人员负责平安管理制度的制定、保存、销毁、版本控制,并定期评审与修订。 □ 平安管理制度分散管理,缺乏定期修订。 □ 其它。 7 执行情况 □ 所有操作规程的执行都具备详细的记录文档。 □局部操作规程的执行都具备详细的记录文档。 □ 其它。 3. 人员平安管理 人员的平安和保密意识教育、平安技能培训情况,重点、敏感岗位人员有无特殊管理措施以及对外来人员的管理情况。 序号 检查项 结果 备注 1. 重点、敏感岗位人员录用和审查 □ 为与信息平安密切相关的重点、敏感岗位人员制定特殊的录用要求。对被录用人的身份、背景和专业资格进行审查,对技术人员的技术技能进行考核,有严格的制度规定要求。 □ 其它。 2 保密协议的签 署 □ 与从事关键岗位的人员签署保密协议,包括保密范围、保密责任、违约责任、协议的有效期限和责任人签字等内容。 □ 其它。 3 人员离岗 □ 标准人员离岗过程,有具体的离岗控制方法,及时终止离岗人员的所有访问权限并取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。 □ 其它。 4 平安意识教育 □ 根据岗位要求进行有针对性的信息平安意识培训。 □ 未根据岗位要求进行有针对性的信息平安意识培训,仅开展全员平安意识教育。 □ 其它。 5 平安技能培训 □ 制定了有针对性的平安技能培训方案,培训内容包含信息平安根底知识、岗位操作规程等,并认真实施,而且有培训记录。 □ 平安技能培训针对性不强,效果不显著。 □ 其它。 6 在岗人员考核 □ 定期对所有人员进行平安技能及平安知识的考核,对重点、敏感岗位的人员进行全面、严格的平安审查。 □ 仅对重点、敏感岗位的人员进行全面、严格的平安审查,未普及到全员。 □ 其它。 7 惩戒措施 □ 告知人员相关的平安责任和惩戒措施,并对违反违背平安策略和规定的人员进行惩戒。 □ 有惩戒措施,但效果不佳。 □ 其它。 8 外部人员访问管理 □ 外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案。 □ 外部人员访问受控区域前得到授权或审批,但不能全程陪同或监督。 □ 其它。 4. 系统建设管理 关键资产采购时是否进行了平安性测评,对效劳机构和人员的保密约束情况如何,在效劳提供过程中是否采取了管控措施。信息系统开发过程中设计、开发和验收的管理情况。 序号 检查项 结果 备注 1 关键资产采购时进行平安性测评 □相关专门部门负责产品的采购,产品的选用符合 国家的有关规定。资产采购之前进行选型测试,确定产品的候选范围,具有产品选型测试结果、候选产品名单审定记录或更新的候选产品名单,经过主管信息平安领导批准。 □ 专门部门负责产品的采购,产品的选用符合国家的有关规定。 □ 关键资产采购未进行平安性测试或未经过主管信息平安领导批准。 2 效劳机构和人员的选择 □ 在具有资格的效劳机构中进行选择,通过内 部和专家的评选。对效劳机构的人员,审查其所具有的资格。 □ 对效劳机构的能力进行了详细的审查。 □ 效劳机构和人员的选择未经过审查和筛选。 3 保密约束 □ 签订的平安责任合同书或保密协议包含效劳内容、保密范围、平安责任、违约责任、协议的有效期限和责任人的签字等。定期考察其效劳质量和保密情况。 □ 签订的平安责任合同书或保密协议明确规定各项内容。但无监督考察机制。 □ 未签订合约或签订了平安责任合同书或保密协议,但效劳范围、平安责任等未明确规定。 4 效劳管控措施 □ 制定了详细的效劳审核要求和标准。对效劳提供过程中的重要操作进行审核,并要求效劳机构定期提供效劳的情况汇总。每半年组织内部检查,审查效劳机构的效劳质量。 □ 定期进行检查。但缺乏标准的检查内容和要求。 □ 未采用任何管控措施。 5 系统平安方案制定 □ 根据信息系统平安保障要求,书面形式加以描述,形成能指导平安系统建设、平安产品采购和使用的详细设计方案,并经过专家论证和审定。 □ 形成能指导平安系统建设、平安产品采购和使用的概要设计方案,内部相关部门审定。 □