核查与访谈

	安全策略	总体方针和安全策略文件	明确机构安全工作的总体目标、范围、原则和各类安全策略的文件
		制度制定和发布要求管理文档	明确制度的制定和发布程序、格式要求及版本编号等相关内容的文档	访谈：由哪个部门（或人员）负责制定管理制度
		管理文档收发记录	管理制度文档的发布、更新、撤销的记录表单
		管理文档审定记录	对各安全管理制度的合理性和适用性进行审定或论证的记录表单	需明确多久论证一次（如每年/每三年）
		成立领导小组文档（红头文件）	明确领导小组的组织架构及成员构成情况和相关职责的文档
		部门职责文档	明确网络安全职能部门职责与部门内各负责人职责的文档	部门职责应包含各类审批事项
		岗位职责文档	明确划分各管理岗位（如系统管理员、审计管理员、安全管理员）及各岗位职责的文档	岗位职责应包含具体审批事项
		人员配备表单	明确各岗位人员配备情况的记录表单
		重要事项逐级审批规程文档	明确重要事项（如系统变更、重要操作、物理访问和系统接入）审批流程的文档
		重要事项审批记录
		定期审定“重要事项逐级审批规程文档”记录	对“重要事项逐级审批规程文档”的合理性、适用性进行审定或更新的记录表单	需明确多久审定一次（如每年）
		内部网络安全协调会议记录	单位内部各部门、管理人员组织开展的网络安全相关会议的记录表单
		外部网络安全协调会议记录	单位与外部机构组织开展的网络安全相关会议的记录表单
		外联单位联系表	包含外联单位名称、合作内容、联系人和联系方式等信息的记录表单
		常规安全检查记录	日常安全检查（如设备运行、系统漏洞、数据备份情况）的记录表单
		全面安全检查记录	全面安全检查（如安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况）的记录表单
		安全检查报告/通报记录	依据日常/全面安全检查的结果形成的检查报告或通报记录
		人员安全管理制度	明确人员录用条件、人员离岗要求、安全意识教育、岗位技能培训及考核要求的制度文档
		录用人员审查记录	对被录用人员的身份、安全背景、专业资格或资质等进行审查的记录表单
		录用人员考核记录	对被录用人员的专业能力/技术技能进行考核的记录表单
		保密协议	明确保密范围、保密责任、违约责任、协议的有效期限和责任人的签字的记录表单
		关键岗位责任协议	明确关键岗位安全责任定义、协议的有效期限和责任人签字的记录表单
		离岗交接记录	终止离岗人员访问权限、交还身份证件、软硬件设备等的登记记录表单
		离职保密承诺
		安全意识教育及岗位技能培训制度文档	明确培训周期、培训方式、培训内容和考核方式等相关内容的管理制度文档
		安全责任和惩戒措施管理文档	明确具体的安全责任和惩戒措施的文档
		安全意识教育及岗位技能培训计划文档	包括培训人员、具体培训内容（例如安全基础知识、岗位操作规程）的文档
		安全意识教育及岗位技能培训记录	包括培训人员、培训内容、培训结果等描述的记录表单
		岗位技能考核记录
		第三方人员管理制度	1、明确外部人员访问重要区域（如机房、档案室等）的范围、外部人员进入的条件、外部人员进入的控制措施等的制度文档 2、明确外部人员接入系统/网络的申请审批流程的制度文档 3、明确外部人员离场清除所有访问权限的制度文档
		第三方人员访问重要区域申请/审批记录
		第三方人员访问重要区域登记记录
		第三方人员接入系统申请/审批记录
		第三方人员接入系统登记记录
		第三方人员离场清除访问权限记录
		第三方人员访问保密协议
		安全设计文件/安全设计方案	依据安全保护等级选择安全措施，规划网络&系统&管理整体安全的安全设计方案
		“安全设计方案”专家评审记录	含有专家批准意见和论证意见的记录表单
		产品选型测试/采购清单	对采购的网络安全产品、密码产品进行评审测试的记录表单
		恶意代码检测报告（交付前）	系统交付前的软件恶意代码检测报告
		软件开发相关记录文档	系统开发相关的文档，如需求分析、软件设计说明书、软件操作指南或使用指南等
		软件源代码审计报告	包含后门、隐蔽信道等审计结果的报告
		工程实施方案	包含开发时间限制、进度控制、质量控制等的软件开发实施方案
		第三方工程监理报告	第三方工程监理汇报的，包含软件开发进展、时间计划、控制措施等方面内容的报告
		测试验收方案	包含参与系统验收的部门及人员、测试验收内容、现场操作过程等的方案
		测试验收报告	包含相关部门和人员审定意见的测试验收报告
		安全测试报告（上线前）	系统上线前的系统（软件）安全测试报告
		系统交付清单	包含交付的各类设备、软件、文档等的记录表单
		交付技术培训记录	对系统运维人员进行技术培训的记录表单