核查与访谈
在客户现场梳理甲方提供的整套管理制度时,根据以下内容进行查漏补缺。
|
序号 |
类型 | 缺少内容 | 描述 | 备注 |
| 1 | 安全策略 | 总体方针和安全策略文件 | 明确机构安全工作的总体目标、范围、原则和各类安全策略的文件 | |
| 2 | 管理制度 | 制度制定和发布要求管理文档 | 明确制度的制定和发布程序、格式要求及版本编号等相关内容的文档 | 访谈:由哪个部门(或人员)负责制定管理制度 |
| 3 | 记录表单 | 管理文档收发记录 | 管理制度文档的发布、更新、撤销的记录表单 | |
| 4 | 记录表单 | 管理文档审定记录 | 对各安全管理制度的合理性和适用性进行审定或论证的记录表单 | 需明确多久论证一次(如每年/每三年) |
| 5 | 管理制度 | 成立领导小组文档(红头文件) | 明确领导小组的组织架构及成员构成情况和相关职责的文档 | |
| 6 | 管理制度 | 部门职责文档 | 明确网络安全职能部门职责与部门内各负责人职责的文档 | 部门职责应包含各类审批事项 |
| 7 | 管理制度 | 岗位职责文档 | 明确划分各管理岗位(如系统管理员、审计管理员、安全管理员)及各岗位职责的文档 | 岗位职责应包含具体审批事项 |
| 8 | 记录表单 | 人员配备表单 | 明确各岗位人员配备情况的记录表单 | |
| 9 | 操作规程 | 重要事项逐级审批规程文档 | 明确重要事项(如系统变更、重要操作、物理访问和系统接入)审批流程的文档 | |
| 10 | 记录表单 | 重要事项审批记录 | ||
| 11 | 记录表单 | 定期审定“重要事项逐级审批规程文档”记录 | 对“重要事项逐级审批规程文档”的合理性、适用性进行审定或更新的记录表单 | 需明确多久审定一次(如每年) |
| 12 | 记录表单 | 内部网络安全协调会议记录 | 单位内部各部门、管理人员组织开展的网络安全相关会议的记录表单 | |
| 13 | 记录表单 | 外部网络安全协调会议记录 | 单位与外部机构组织开展的网络安全相关会议的记录表单 | |
| 14 | 记录表单 | 外联单位联系表 | 包含外联单位名称、合作内容、联系人和联系方式等信息的记录表单 | |
| 15 | 记录表单 | 常规安全检查记录 | 日常安全检查(如设备运行、系统漏洞、数据备份情况)的记录表单 | |
| 16 | 记录表单 | 全面安全检查记录 | 全面安全检查(如安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况)的记录表单 | |
| 17 | 记录表单 | 安全检查报告/通报记录 | 依据日常/全面安全检查的结果形成的检查报告或通报记录 | |
| 18 | 管理制度 | 人员安全管理制度 | 明确人员录用条件、人员离岗要求、安全意识教育、岗位技能培训及考核要求的制度文档 | |
| 19 | 记录表单 | 录用人员审查记录 | 对被录用人员的身份、安全背景、专业资格或资质等进行审查的记录表单 | |
| 20 | 记录表单 | 录用人员考核记录 | 对被录用人员的专业能力/技术技能进行考核的记录表单 | |
| 21 | 记录表单 | 保密协议 | 明确保密范围、保密责任、违约责任、协议的有效期限和责任人的签字的记录表单 | 若人员录用合同中包含该内容可说明 |
| 22 | 记录表单 | 关键岗位责任协议 | 明确关键岗位安全责任定义、协议的有效期限和责任人签字的记录表单 | 若人员录用合同中包含该内容可说明 |
| 23 | 记录表单 | 离岗交接记录 | 终止离岗人员访问权限、交还身份证件、软硬件设备等的登记记录表单 | |
| 24 | 记录表单 | 离职保密承诺 | 若人员录用合同中包含该内容可说明 | |
| 25 | 管理制度 | 安全意识教育及岗位技能培训制度文档 | 明确培训周期、培训方式、培训内容和考核方式等相关内容的管理制度文档 | |
| 26 | 管理制度 | 安全责任和惩戒措施管理文档 | 明确具体的安全责任和惩戒措施的文档 | |
| 27 | 记录表单 | 安全意识教育及岗位技能培训计划文档 | 包括培训人员、具体培训内容(例如安全基础知识、岗位操作规程)的文档 | |
| 28 | 记录表单 | 安全意识教育及岗位技能培训记录 | 包括培训人员、培训内容、培训结果等描述的记录表单 | |
| 29 | 记录表单 | 岗位技能考核记录 | ||
| 30 | 管理制度 | 第三方人员管理制度 | 1、明确外部人员访问重要区域(如机房、档案室等)的范围、外部人员进入的条件、外部人员进入的控制措施等的制度文档 2、明确外部人员接入系统/网络的申请审批流程的制度文档 3、明确外部人员离场清除所有访问权限的制度文档 |
|
| 31 | 记录表单 | 第三方人员访问重要区域申请/审批记录 | ||
| 32 | 记录表单 | 第三方人员访问重要区域登记记录 | ||
| 33 | 记录表单 | 第三方人员接入系统申请/审批记录 | ||
| 34 | 记录表单 | 第三方人员接入系统登记记录 | ||
| 35 | 记录表单 | 第三方人员离场清除访问权限记录 | ||
| 36 | 记录表单 | 第三方人员访问保密协议 | ||
| 37 | 安全策略 | 安全设计文件/安全设计方案 | 依据安全保护等级选择安全措施,规划网络&系统&管理整体安全的安全设计方案 | 补充:安全设计方案应包含密码技术相关内容 |
| 38 | 记录表单 | “安全设计方案”专家评审记录 | 含有专家批准意见和论证意见的记录表单 | |
| 39 | 记录表单 | 产品选型测试/采购清单 | 对采购的网络安全产品、密码产品进行评审测试的记录表单 | |
| 40 | 记录表单 | 恶意代码检测报告(交付前) | 系统交付前的软件恶意代码检测报告 | 系统为外包开发时需提供 |
| 41 | 记录表单 | 软件开发相关记录文档 | 系统开发相关的文档,如需求分析、软件设计说明书、软件操作指南或使用指南等 | 系统为外包开发时需提供 |
| 42 | 记录表单 | 软件源代码审计报告 | 包含后门、隐蔽信道等审计结果的报告 | 系统为外包开发时需提供 |
| 43 | 安全策略 | 工程实施方案 | 包含开发时间限制、进度控制、质量控制等的软件开发实施方案 | |
| 44 | 记录表单 | 第三方工程监理报告 | 第三方工程监理汇报的,包含软件开发进展、时间计划、控制措施等方面内容的报告 | |
| 45 | 安全策略 | 测试验收方案 | 包含参与系统验收的部门及人员、测试验收内容、现场操作过程等的方案 | |
| 46 | 记录表单 | 测试验收报告 | 包含相关部门和人员审定意见的测试验收报告 | |
| 47 | 记录表单 | 安全测试报告(上线前) | 系统上线前的系统(软件)安全测试报告 | 报告应包含密码应用安全性测试内容 |
| 48 | 记录表单 | 系统交付清单 | 包含交付的各类设备、软件、文档等的记录表单 | |
| 49 | 记录表单 | 交付技术培训记录 | 对系统运维人员进行技术培训的记录表单 | |
| 50 | 操作规程 | 系统运行维护操作规程 | 包含系统日常运行维护操作手册或指导方法的文档 | |
| 51 | 记录表单 | 服务合同/安全责任书 | 与提供各种服务的单位(包括但不限于开发单位、各设备供应商等)签订的,含有后期的技术支持与服务承诺的服务合同 | |
| 52 | 管理制度 | 服务供应商评价审核管理制度 | 明确评价指标、考核内容的制度文件 | |
| 53 | 记录表单 | 安全服务报告 | 提供各种服务的单位是否向本单位定期提供安全服务报告 | 需明确多久(如每月/每季度)提供一次 |
| 54 | 记录表单 | 服务情况评价表 | 本单位是否对提供各种服务的单位进度定期评价 | 需明确多久(如每季度/每年)评价一次 |
| 55 | 记录表单 | 云服务合同/云服务水平协议 | 与云服务商签订的,含有云服务商各项服务内容和具体指标、云服务商与云租户权限与责任划分、数据安全等内容的合同 | 存在云计算服务时需提供 |
| 56 | 管理制度 | 机房安全管理制度 | 明确物理访问、物品进出和环境安全的制度文档 | 拥有自建机房时需提供 |
| 57 | 记录表单 | 机房出入登记记录 | 包含来访人员、来访时间、离开时间、携带物品等内容的记录表单 | 拥有自建机房时需提供 |
| 58 | 记录表单 | 机房基础设施维护记录 | 包含维护目期、维护人、维护设备、故障原因、维护结果等内容的记录表单 | 拥有自建机房时需提供 |
| 59 | 记录表单 | 资产清单 | 包含资产类别(如设备设施、软件、文档等)、资产责任部门、重要程度和所处位置等内容的清单 | |
| 60 | 管理制度 | 资产管理制度 | 明确不同重要程度资产的标识方法、管理措施的制度文档 | |
| 61 | 管理制度 | 信息资产管理办法 | 明确信息资产分类标识的原则和方法(如根据信息的重要程度、敏感程度或用途不同进行分类)、不同类信息的使用、传输和存储等要求的管理文档 | |
| 62 | 记录表单 | 介质管理记录 | 介质(如U盘、光盘、磁盘等)归档、使用和定期盘点等情况的记录表单 | |
| 63 | 记录表单 | 介质传输记录 | 介质物理传输过程中的人员选择、打包、交付等情况的记录表单 | |
| 64 | 记录表单 | 设备/线路维护记录 | 各类设备、线路定期维护的记录表单 | 需明确多久维护一次(如每天/每周/每月) |
| 65 | 管理制度 | 设备维护管理制度 | 明确维护人员的责任、维修和服务的审批、维修过程的监督控制等方面内容的管理制度 | |
| 66 | 记录表单 | 设备维修申请/审批记录 | ||
| 67 | 记录表单 | 重要设备带离办公地点/机房申请审批记录 | ||
| 68 | 记录表单 | 漏洞扫描报告 | 需提供近期的漏洞扫描的报告 | 需告知多久进行一次安全检测/漏洞扫描(如每月/每季度) |
| 69 | 记录表单 | 漏洞分析/整改报告 | ||
| 70 | 管理制度 | 网络/系统安全管理制度 | 包含网络和系统的安全策略、账户管理(用户责任、义务、风险、权限审批、权限分配、账户注销等)、配置文件的生成及备份、变更审批、授权访问、最小服务、升级与打补丁、审计日志管理、登录设备和系统的口令更新周期等方面的管理制度 | |
| 71 | 操作规程 | 重要设备操作手册 | 明确操作步骤、参数配置的操作手册 | |
| 72 | 记录表单 | 运维日志记录 | 包含网络和系统的日常巡检、运行维护、参数的设置和修改的记录表单 | |
| 73 | 记录表单 | 运维监测数据分析报告 | 对系统/设备的日志、监测和报警数据等进行分析统计的报告 | |
| 74 | 记录表单 | 变更运维申请/审批记录 | 系统变更性运维(如系统连接、安装系统组件或调整配置参数)申请与审批的记录表单 | |
| 75 | 记录表单 | 变更运维操作过程记录 | ||
| 76 | 记录表单 | 运维工具接入系统申请/审批记录 | ||
| 77 | 记录表单 | 开通远程运维申请/审批记录 | ||
| 78 | 记录表单 | 违规联网行为核查记录 | 需明确多久核查一次(如每月/每季度) | |
| 79 | 管理制度 | 恶意代码防范管理制度 | 明确对外来计算机或存储设备接入系统前进行恶意代码检查的制度文档 | |
| 80 | 记录表单 | 恶意代码库升级记录 | 需明确多久升级一次(如每日自动更新/每周手动更新) | |
| 81 | 操作规程 | 系统变更申报/审批控制程序 | 明确不同变更类型事项的申报/审批流程、审批部门批准人等内容的文档 | |
| 82 | 操作规程 | 系统变更方案 | 包含变更类型、变更原因、变更过程、变更前评估、变更失败恢复程序等内容的方案 | |
| 83 | 记录表单 | 变更方案评审记录 | ||
| 84 | 记录表单 | 变更实施过程记录 | ||
| 85 | 记录表单 | 变更失败恢复程序演练记录 | ||
| 86 | 记录表单 | 备份数据清单 | 包含备份数据类型(如重要业务数据、系统配置数据、日志数据)、数据备份方式(如全量备份、增量备份)、备份频率(如实时、每日一次、每周一次)、备份存储逻辑位置(如xx备份一体机、备份服务器、云存储资源池)、备份存储物理位置(如本单位xx机房、云上存储)的清单 | |
| 87 | 管理制度 | 备份与恢复管理制度 | 明确备份方式、频度、介质、保存期、恢复策略等内容的管理制度 | |
| 88 | 记录表单 | 安全弱点/可疑事件报告 | 用户在发现安全弱点和可疑事件时向安全管理部门报告的记录 | |
| 89 | 管理制度 | 安全事件报告和响应处置管理制度 | 明确安全事件有关的工作职责、不同安全事件的报告、处置和响应流程的管理制度 | |
| 90 | 操作规程 | 重大安全事件报告和处理流程 | 明确重大安全事件具体报告方式、报告内容、报告人等方面内容的文档 | |
| 91 | 记录表单 | 安全事件报告和响应处置记录 | 包含引发安全事件的原因、证据、处置过程、经验教训、补救措施的记录表单 | |
| 92 | 管理制度 | 应急预案管理制度 | 明确启动应急预案的条件、应急组织构成、应急资源保障事后教育和培训的管理制度 | |
| 93 | 操作规程 | 重要事件应急预案 | ||
| 94 | 记录表单 | 应急预案培训记录 | 包含培训对象、培训内容、培训结果的记录表单 | |
| 95 | 记录表单 | 应急预案演练记录 | 包含演练时间、主要操作内容、演练结果的记录表单 | |
| 96 | 记录表单 | 应急预案修订记录 | 需明确多久评估一次(如每年/每两年) | |
| 97 | 记录表单 | 外包运维服务协议 | 明确约定外包运维的范围和工作内容、具有等级保护要求的服务能力、可能涉及对敏感信息的访问、处理、存储要求等内容的服务协议 |