信息安全服务资质证后监督调查表

合集下载

信息安全检查表

本年度信息安全事件统计
门户网站受攻击
情况
本单位入侵检测设备检测到的门户网站受攻击次数：
网页被篡改情况
门户网站网页被篡改（含内嵌恶意代码）次数：
设备违规
使用情况
①使用非涉密终端计算机处理涉密信息事件数：
②终端计算机在非涉密系统和涉密系统间混用事件数：
③移动存储介质在非涉密系统和涉密系统间交叉使用事件数：
□尚未建立管理制度
三、信息安全防护管理情况
网络边界
防护管理
①网络区域划分是否合理：□合理 □不合理
②安全防护设备策略：□使用默认配置 □根据应用自主配置
③互联网访问控制： □有访问控制措施 □无访问控制措施
④互联网访问日志： □留存日志 □未留存日志
信息系统
安全管理
①服务器安全防护：
□已关闭不必要的应用、服务、端口□未关闭
□帐户口令满足8位，包含数字、字母或符号 □不满足
□定期更新帐户口令 □未能定期更新
□定期进行漏洞扫描、病毒木马检测□未进行
②网络设备防护：
□安全策略配置有效 □无效
□帐户口令满足8位，包含数字、字母或符号 □不满足
□定期更新帐户口令 □未能定期更新
□定期进行漏洞扫描、病毒木马检测□未进行
③信息安全设备部署及使用：
八、信息安全经费预算投入情况
经费预算
本年度信息安全经费预算额：万元
实际经费投入
本年度信息安全经费实际投入额：万元
九、本年度信息安全事件情况
本年度安全技术检测结果
病毒木马等
恶意代码检测结果
①进行过病毒木马等恶意代码检测的服务器台数：
其中感染恶意代码的服务器台数：
②进行过病毒木马等恶意代码检测的终端计算机台数：

(信息安全标准化)全套信息检查表

(信息安全标准化)全套信息检查表信息安全标准化全套信息检查表
目的
本检查表旨在帮助组织进行信息安全标准化建设，全面评估组
织安全现状，发现安全风险和问题，并提出相应的改进和优化措施。

使用方法
1. 逐一检查以下两个方面，确认组织是否已做好相应准备：
- 安全管理制度、规范、流程等是否完整、符合法律法规要求
和组织的内部要求；
- 安全技术措施是否到位，能否有效预防、检测、响应、恢复
各类安全事件和威胁。

2. 对照具体检查项目，回答相应内容是否符合标准要求，标记“√”或“×”或“N/A”表示。

3. 根据检查结果，及时采取相应的改进和优化措施。

检查项目
总结
通过使用本信息安全标准化全套信息检查表，组织能够全面了解自身安全现状，并及时发现和解决安全风险和问题，不断提升信息安全保障能力和水平，为组织发展提供保障和支持。

信息安全管理体系审核检查表

信息安全管理体系审核检查表一、引言本审核检查表用于评估组织的信息安全管理体系（ISMS）是否符合国际标准ISO/IEC :2013的要求。

通过对该体系的审核，旨在确保组织的信息资源得到合理的保护，从而降低信息安全风险。

本检查表包括了ISO/IEC :2013标准的要求，并指导审核员进行系统的审核，并向组织提供改进和提升建议。

二、审核准备在审核开始之前，审核员应完成以下准备工作：1. 确定审核的范围和目标；2. 审核员应熟悉ISO/IEC :2013标准的要求；3. 准备适当的审核检查表和相关文档。

三、检查表请按照以下要求，对组织的信息安全管理体系进行审核，并记录相关的问题和发现：1. 上级管理对信息安全的承诺- 信息安全政策是否存在，并得到组织上级管理的正式批准和支持？- 是否有明确的信息安全目标和指标？- 上级管理是否对信息安全管理体系提供持续的支持和资源？2. 风险管理- 是否有完善的风险管理过程和程序？- 是否对关键信息资产进行分析和评估风险？- 是否定期进行风险评估和风险处理？- 是否建立了应对突发事件和灾难恢复计划？3. 资产管理- 是否对信息资产进行了明确的分类和归档？- 是否进行了明确的信息资产所有权和责任分配？- 是否制定了信息资产的安全控制措施？- 是否对信息资产进行了定期的核查和授权？4. 安全策略和控制措施- 是否制定了明确的安全策略和控制措施，并得到相关人员的理解和遵守？- 是否有效地实施了访问控制和身份认证机制？- 是否建立了网络安全防护和监控机制？- 是否制定了合理的安全事件响应和处理流程？5. 组织与人员- 是否对员工和相关人员进行了信息安全培训和教育？- 是否建立了合适的人员管理措施和安全意识提升机制？- 是否分配了适当的信息安全责任和权限？- 是否进行了合理的人员背景调查和授权管理？6. 合同与供应商管理- 是否与供应商建立了合适的信息安全协议或合同？- 是否对供应商进行了信息安全审核和评估？- 是否对供应商提供的产品和服务进行了管理和监控？四、总结和改进建议根据以上审核结果，结合ISO/IEC :2013标准的要求，审核员应向组织提供有关信息安全管理体系的总结和改进建议，包括发现的问题、不足和风险，以及相关的纠正和预防措施。

信息系统安全情况调查表

使用国产操作系统的计算机台数：
使用Windows操作系统的计算机台数：
使用其他操作系统的计算机台数：
数据库
总套数：，其中国产套数：
公文处理软件
（终端计算机安装）
安装国产公文处理软件的终端计算机台数：
安装国外公文处理软件的终端计算机台数：
信息安全产品
①防火墙等访问控制设备（不含终端软件防火墙）台数：
其中，国产台数：
重要数据备份地点：
应急技术支援队伍
□部门所属单位□外部专业机构□无
六、信安全教育培训情况
培训次数
本年度开展信息安全教育培训的次数：次
培训人数
本年度接受信息安全教育培训的人数：人
占本单位总人数的比例：％
专业培训
本年度信息安全管理和技术人员参加专业培训：人次
七、信息技术产品应用情况
服务器
总台数：，其中国产台数：
□已建立管理制度，但记录不完整
□未建立管理制度
四、信息安全防护情况
网络边界安全防护
①互联网接入口总数：个
其中：□联通接入口数量：个
□电信接入口数量：个
□其他：接入口数量：个
②网络安全防护设备部署（可多选）：
□ 防火墙 □ 入侵检测设备 □ 安全审计设备
□ 防病毒网关□抗拒绝服务攻击设备□身份认证系统
①重点岗位人员安全保密协议：□全部签订 □部分签订 □均未签订
②人员离岗离职安全管理规定：□已制定□未制定
③外部人员访问机房等重要区域审批制度：□已建立 □未建立
④系统维护人员维护操作记录制度：
□已建立，且维护记录完整
□已建立，但维护记录不完整
□未建立
软、硬件资产管理
软、硬件资产管理制度：

信息安全管理制度检查表

信息安全管理制度检查表序号:检查项目:责任人:检查时间:检查结果:整改措施:整改完成时间:复查时间:一、组织架构和职责分工1.信息安全管理机构是否建立，机构设置是否合理。

2.信息安全管理制度是否明确相关部门的信息安全职责。

3.各部门信息安全管理责任是否明确。

4.信息安全管理机构的信息安全管理人员是否复核相关岗位。

5.信息安全管理人员是否具备信息安全相关资质。

二、信息安全政策和目标1.信息安全政策是否制定并经过批准。

2.信息安全政策是否向所有相关方传达。

3.信息安全政策内容是否能被理解和遵守。

4.信息安全目标是否明确，并与组织目标保持一致。

5.信息安全目标是否评估并确定能否实现。

三、信息资产管理1.信息资产是否明确定义。

2.信息资产是否分类存储和有权访问。

3.信息资产归属和责任是否明确。

4.信息资产价值是否评估并确定保护等级。

5.信息资产的丢失或泄露是否能快速发现、报告和解决。

四、信息安全风险管理1.信息安全风险管理机制是否建立。

2.信息安全风险评估是否按计划开展。

3.信息安全风险分析是否细致全面。

4.信息安全风险评估结果是否通知相关部门并做出相应的整改措施。

5.信息安全风险管理是否持续更新和改进。

五、人员安全管理1.人员管理制度是否建立并明确规范。

2.人员入职和离职的安全管理是否规范。

3.人员信息安全教育和培训是否全面实施。

4.人员信息安全意识是否形成且能得到有效的普及。

5.人员信息安全管理评估是否定期检查并持续改进。

六、物理环境安全管理1.办公室、机房等信息设备存放位置是否合理。

2.其他设备如打印机、复印机等信息设备是否有合适的安全防护措施。

3.物理环境的安全防护措施是否有效并是否定期检查。

4.应急预案是否制定和定期演练。

5.物理环境的监控和管理是否高效且能得到及时通知。

七、系统安全运营管理1.系统设备是否定期检查和更新安全补丁。

2.系统账号和密码是否安全管理。

3.系统日志是否定期检查和记录。

信息安全风险评估调查表

表1：基本信息调查1 / 222 / 22网络设备：路由器、网关、交换机等。

安全设备：防火墙、入侵检测系统、身份鉴别等。

服务器设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等。

终端设备：办公计算机、移动存储设备。

重要程度：依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。

3 / 22填写说明系统软件：操作系统、系统服务、中间件、数据库管理系统、开发系统等。

应用软件：项目管理软件、网管软件、办公软件等。

4 / 22服务类型包括：1.网络服务；2.安全工程；3.灾难恢复；4.安全运维服务；5.安全应急响应；6.安全培训；7.安全咨询；8.安全风险评估；9.安全审计；10.安全研发。

岗位名称：1、数据录入员；2、软件开发员；3、桌面管理员；4、系统管理员；5、安全管理员；6、数据库管理员；7、网络管理员；8、质量管理员。

5 / 22填写说明信息系统文档类别：信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档；系统开发程序文件、资料等。

6 / 227 / 221、用户分布范围栏填写全国、全省、本地区、本单位2、业务处理信息类别一栏填写：a) 国家秘密信息；b) 非密敏感信息(机构或公民的专有信息) ；c) 可公开信息3、重要程度栏填写非常重要、重要、一般4、如通过测评，请填写时间和测评机构名称。

1、网络区域主要包括：服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等；2、重要程度填写非常重要、重要、一般。

8 / 22注：安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》9 / 2210 / 22表2：安全状况调查1. 安全管理机构安全组织体系是否健全，管理职责是否明确，安全管理机构岗位安全策略及管理规章制度的完善性、可行性和科学性的有关规章人员的安全和保密意识教育、安全技能培训情况，重点、敏感岗4. 系统建设管理关键资产采购时是否进行了安全性测评，对服务机构和人员的保密约束情况如何，在服务提供过程中是否采取了管控措施。

2013年度资质认定专项监督检查表

附件2013年度资质认定专项监督检查表实验室名称联系人及其电话、手机号资质认定（计量认证）证书编号证书有效期年月日- 年月日资质认定（审查认可）证书编号（适用时）证书有效期年月日- 年月日实验室认可证书编号（适用时）证书有效期年月日- 年月日检查项目条款序号自查内容检查条款符合情况(符合、基本符合、不符合)自查情况说明（列举证据名称，采取的措施以及形成的文件、记录等）一、遵守法律法规，诚实规范检测服务1.1具有明确的法律地位和法律责任追溯关系，有关法律地位的证明文件完整，法律关系清晰。

独立法人实验室的注册或登记文件、非独立法人实验室的所属法人注册或登记文件失效；实验室生产、制造、经营与授权检验范围相同的产品；或其母体组织生产、制造、经营与国家中心授权检验范围相同的产品，但没有有效措施保证独立性、公正性的。

实验室的法律地位、法律责任追溯关系不清晰，存在隐患.1.2 资质认定证书在有效期限内。

证书超过有效期限，（或未申请的,或新证书尚未获得的），任然出报告。

1.3未超出资质认定核准范围向社会提供具有证明作用的数据和结果，并采取了措施避免出现超范围检验的情况。

出具的报告中所依据的标准不在资质认定证书范围内；检验项目超出资质认定证书限定的适用范围；依据未经资质认定的变更标准出具具有具有证明作用的数据和结果；检验检测报告中的实验室名称与资质认定证书不符；资质暂停期间对外出具检验检测报告。

1.4未发生伪造检测数据或结果的行为，并采取了措施避免相关情况。

无相应的仪器设备(标准物质)、设施、环境、标准出具数据和结果的；明知设备、设施、人员已经损坏或缺失依然出具数据或结果的；无检验原始记录，或检验原始记录不支持检验检测报告的；其他可以确认实验室出具虚假、不实的检验检测数据和结果的。

1.5申请资质认定时提供的材料真实、准确，不存在隐瞒、虚报及提供不实材料的情况。

伪造、冒用其他机构资质认定证书、标志的；实验室实际情况与资质认定时提供材料或者报告的情况严重不符，且未申报的；临时借用它人设备、场所、人员取得资质认定证书的。

山东省信息安全企业发展情况调查表

三、企业研发及生产产品品牌及产品名称
四、企业代理产品品牌及产品名称
五、产品获得销售许可及服务获得资质情况
六、产品获得国家专利情况
七、企业自2005年起获得国家和省、市专项资金支持情况
八、企业技术中心建设情况及获国家和省、市评定的重点实验室等情况
九、企业近三年合同收入，安全产品研发、生产投入，安全产品销售收入及安全服务收入情况（万
十一、产品及服务面向的层次（多选）
□物理安全 □网络安全 □主机安全 □应用安全十二、产品及服务主要涉及哪些网络安全产品（多选）
□数据安全
□防火墙 □统一威胁及异常监控系统（UTM） □网页防篡改 □信息安全审计 □数据库和业务应用安全审计 □入侵检测 □入侵防御 □流量控制 □账号集中管理与审计系统 □安全扫描 □DDOS防御网关 □VPN □移动存储介质安全管理系统 □病毒查杀系统 □桌面安全管理系统 □其他
十三、企业下一步重点发展的安全产品（多选）
□防火墙 □统一威胁及异常监控系统（UTM） □网页防篡改 □信息安全审计 □数据库和业务应用安全审计 □入侵检测 □入侵防御 □流量控制 □账号集中管理与审计系统 □安全扫描 □DDOS防御网关 □VPN □移动存储介质安全管理系统 □病毒查杀系统 □桌面安全管理系统 □其他
元） 2008年 2009年 2010年
合同收入：合入同：收入：入合：同收入：入：
十、产品及服务等级（多选）
研发生产投入：研发生产投入：研发生产投入：
产品销售收入：产品销售收入：产品销售收入：
安全服务收安全服务收安全服务收
□专控保护级：主要对象为涉及国家安全、社会秩序、经济建设和公共利益的重要信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害 □强制保护级：主要对象为涉及国家安全、社会秩序、经济建设和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害 □监督保护级：主要对象为涉及国家安全、社会秩序、经济建设和公共利益的信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害 □指导保护级：主要对象为一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。 □自主保护级：主要对象为一般的信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。

信息安全等级保护工作检查表

信息安全等级保护工作检查表单位信息安全等级保护工作检查表一、备案单位基本情况单位全称等级保护工作责任部门责任部门负责人姓名职务或职称办公电话移动电话责任部门联系人姓名职务或职称办公电话移动电话本行业定级备案的信息系统数量四级系统三级系统二级系统合计本单位定级备案的信息系统数量四级系统三级系统二级系统合计二、备案单位等级保护工作开展情况（一）信息安全工作的基本情况检查内容检查内容和所需材料工作情况等级保护工作的组织部署1.1等级保护协调领导机构设置情况是否成立等级保护专门协调领导机构，检查相关文件。

1.2等级保护责任部门和岗位确定情况是否明确等级保护责任部门和工作岗位，检查相关文件。

1.3行业等级保护工作的组织部署情况是否对全行业等级保护工作进行部署，检查具体部署文件。

1.4等级保护工作文件制定情况是否制定贯彻落实等级保护各项工作文件或方案，检查2007年以来有关等级保护工作的文件、方案。

1.5等级保护工作会议、业务培训情况是否召开等级保护工作会议或组织人员培训，检查会议或培训通知。

1.6单位主要领导对等级保护工作的重视情况单位主要领导是否重视等级保护工作，检查是否有领导讲话，是否有领导批示。

1.7制定行业标准规范是否制定出台行业等级保护配套标准，检查相关文件和标准。

信息安全责任制落实情况1.8信息安全领导机构设置情况是否建立由单位主管领导任组长的信息安全协调领导机构，检查相关文件。

1.9信息安全职能部门的建立情况是否成立专门信息安全职能部门或明确信息安全责任部门，检查相关文件。

1.10信息安全责任追究制度制定情况是否制定信息安全责任追究制度，检查相关文件。

信息安全制度建设情况1.11人员安全管理制度建设情况检查是否制定了本单位人员录用、离岗、考核、安全保密、教育培训、外来人员管理等安全管理制度，查看制度文件。

1.12机房安全管理制度建设情况检查是否对本单位机房进出人员管理和对机房进行日常监控。

1.13系统建设管理制度制定情况检查是否制定了本单位产品采购、工程实施、验收交付、服务外包等系统建设相关管理制度，查看制度文件。

信息安全尽职调查问卷模板

尊敬的受访者：您好！为了更好地了解贵单位的信息安全状况，加强信息安全管理，我们特制定此问卷。

本问卷旨在收集贵单位在信息安全方面的相关情况，所有信息将严格保密，仅用于本次调查分析。

请您根据实际情况认真填写，感谢您的支持与配合！一、基本信息1. 单位名称：2. 所属行业：3. 单位规模（员工人数）：4. 单位所在地：二、组织架构与人员配备1. 请简要介绍贵单位的信息安全管理部门及职责。

2. 请说明贵单位信息安全管理人员数量及构成。

3. 请说明贵单位信息安全技术人员数量及构成。

4. 请说明贵单位信息安全培训情况。

三、信息安全管理制度1. 请列举贵单位制定的信息安全管理制度。

2. 请说明贵单位信息安全制度执行情况。

3. 请说明贵单位信息安全制度更新情况。

四、信息安全技术措施1. 请列举贵单位采用的信息安全技术手段。

2. 请说明贵单位网络安全防护措施。

3. 请说明贵单位数据安全防护措施。

4. 请说明贵单位应用安全防护措施。

5. 请说明贵单位物理安全防护措施。

五、信息安全事件与事故1. 请说明贵单位近一年内发生的信息安全事件及事故情况。

2. 请说明贵单位信息安全事件及事故的处理流程。

3. 请说明贵单位信息安全事件及事故的应急响应措施。

六、信息安全意识与培训1. 请说明贵单位信息安全意识普及情况。

2. 请说明贵单位信息安全培训情况。

3. 请说明贵单位信息安全宣传情况。

七、信息安全合规与审计1. 请说明贵单位信息安全合规情况。

2. 请说明贵单位信息安全审计情况。

八、信息安全需求与建议1. 请说明贵单位在信息安全方面存在的不足。

2. 请提出贵单位在信息安全方面的需求和建议。

感谢您的支持与配合！请您在填写问卷过程中，如有疑问，请随时与我们联系。

祝您工作顺利！联系人：________联系电话：________电子邮箱：________问卷填写截止日期：________（以下为问卷填写部分，请根据实际情况填写）一、基本信息1. 单位名称：____________________2. 所属行业：____________________3. 单位规模（员工人数）：____________________4. 单位所在地：____________________二、组织架构与人员配备1. 请简要介绍贵单位的信息安全管理部门及职责：____________________2. 请说明贵单位信息安全管理人员数量及构成：____________________3. 请说明贵单位信息安全技术人员数量及构成：____________________4. 请说明贵单位信息安全培训情况：____________________三、信息安全管理制度1. 请列举贵单位制定的信息安全管理制度：____________________2. 请说明贵单位信息安全制度执行情况：____________________3. 请说明贵单位信息安全制度更新情况：____________________四、信息安全技术措施1. 请列举贵单位采用的信息安全技术手段：____________________2. 请说明贵单位网络安全防护措施：____________________3. 请说明贵单位数据安全防护措施：____________________4. 请说明贵单位应用安全防护措施：____________________5. 请说明贵单位物理安全防护措施：____________________五、信息安全事件与事故1. 请说明贵单位近一年内发生的信息安全事件及事故情况：____________________2. 请说明贵单位信息安全事件及事故的处理流程：____________________3. 请说明贵单位信息安全事件及事故的应急响应措施：____________________六、信息安全意识与培训1. 请说明贵单位信息安全意识普及情况：____________________2. 请说明贵单位信息安全培训情况：____________________3. 请说明贵单位信息安全宣传情况：____________________七、信息安全。

信息安全系统监管记录簿表(原)

医院信息网络安全监管记录表监督检查时间：2016年6月6 日检查人员签名:检查完成时间:监督检查时间：2016年6月27 日监督检查时间：2016年7月4 日监督检查时间：2016年7月11 日监督检查时间：2016年7月18 日监督检查时间：2016年7月25 日监督检查时间：2016年8月1 日监督检查时间：2016年8月8 日监督检查时间：2016年8月15日检查人员签名:检查完成时间:监督检查时间：2016年9月12日监督检查时间：2016年9月19日监督检查时间：2016年9月26 日机房例行年检被检科室监督检查时间：2016年10月3 日监督检查时间：2016年10月10 日监督检查时间：2016年10月31日监督检查时间：2016年11月7日监督检查时间：2016年11月14日监督检查时间：2016年11月21日监督检查时间：2016年11月28日监督检查时间：2016年12月5日监督检查时间：2012年6月23日监督检查时间：2012年7月24日监督检查时间：2012年8月21日监督检查时间：2012年9月26日各类打印机、传真机被检设备监督检查时间：2012年10月21日全院各科室被检科室监督检查时间：2012年11月21日被检科室、设备机房以及通信设备，电脑主机等例行年监督检查时间：2012年12月26日检查人员签名:检查完成时间:监督检查时间：2013年3月24 日监督检查时间：2013年4月18 日监督检查时间：2013年5月22 日监督检查时间：2013年6月10 日。

信息安全服务资质认证监督调查表单(doc 8页)

信息安全服务资质认证监督调查表单(doc 8页)信息安全服务资质认证监督调查表（安全工程类二级）填表日期：4.组织机构情况（须提供现有的组织结构图，应明确涉及安全服务的管理、研发、安全工程实施、质量保证、客户服务、人力资源管理、培训和合同管理等部门的变化情况）5.资产运营状况（须提供本年度审计机构提供的资产状况良好的证明材料，若财务亏损或发生其它异常状况，须说明情况，并提供审计机构的营业执照）6.信息安全工程基本能力情况（安全服务人员；自主开发产品；工作环境设施；常用安全服务工具情况。

）7.质量体系运行情况（应说明当前质量体系运行情况，提供相应的质量手册、程序文件、与安全工程有关的三级文件清单）8.安全工程技术能力提高情况（在实施一年的过程中，技术能力是否提高并运用到实际工程中）9. 认证后一年的安全工程服务业绩情况10. 在这一年中是否有质量投诉情况三、对我中心信息安全服务资质认证及证后监督工作的意见和建议给出意见与建议组织盖章：四、申请组织近一年安全工程服务项目汇总表对象系统应用架构图及描述：通过项目实施发现和解决的主要安全问题和风险组织盖章：五、提供的附件1.组织法人营业执照复印件一份；2.中华人民共和国组织机构代码证复印件一份；3.组织负责人变化后，新负责人的简历、任职及相应证明文件的复印件；4.在本组织正式任职的CISP人员证书各一份及其有效联系方式（座机和手机）；5.最近的财务审计报告一份，并附上审计单位的营业执照；6.本年度实施的信息安全工程项目，选取一项提交项目合同、工程实施方案和验收报告的复印件一份；7.填写“质量手册、程序文件的文件清单列表”（见表一）；8.填写“安全工程相关的三级文件清单列表”（见表二）；9.组织其它需要说明的问题。

表一：质量手册、程序文件的文件清单列表组织盖章：表二：安全工程相关的三级文件清单列表序号文件名称文件编号批准人发布日期备注组织盖章：。

重要信息系统安全监督检查记录表（金融）3

重要信息系统安全监督检查记录表（金融）3文件编号：GA-XXAQ-JDJC-2013-山东省重要信息系统安全监督检查记录表存档材料（金融机构）被检查单位名称检查时间检查地点检查单位检查人员检查组长被检查单位基本情况表单位名称单位地址主管部门职务办公电话手机主管部门领导及联系人系统总数在公安机关备案数三级二级一级该单位等级保护工作开展情况：单位已（未）定级备案信息系统详细情况系统名称系统系统描述系统备案号山东省公安厅重要信息系统安全监督检查记录单鲁公信安检字[2013] 号检查民警（签名）被检查单位名称检查时间检查地点被检查单位等级保护工作责任部门：被检查单位分管领导联系电话被检查单位责任部门领导联系电话被检查单位联系人联系电话记录人（签名）：重要信息系统安全监督检查记录单检查内容结果备注一、等级保护工作部署和组织实施情况1、落实中国人民银行、银监会有关安全等级保护工作指导意见的实施方案；2、本单位开展等级保护工作的有关会议记录、通知或有关活动的音像图片资料；3、本单位开展等级保护工作有关宣传教育、业务技术培训记录或证书证件4、本单位近两年内组织网络安全和信息安全等级保护工作自查报告、总结；5、本单位信息系统安全建设整改方案；6、信息安全等级保护定级备案报告、专家评审意见、上级主管部门批准意见和公安机关备案证明；7、信息安全等级保护测评报告；8、信息安全等级保护建设整改方案；二、管理制度落实情况1、本单位安全工作总体方针和安全策略文件2、本单位基于相应安全等级的物理安全、网络安全、主机安全、应用安全、数据备份与恢复方面的管理制度以及相应的控制程序文件；3、网络维护手册和用户操作规程；4、用户登记管理制度、操作权限管理制度、违法案件报告协助查处制度、帐号使用登记和操作权限管理制度；5、安全管理制度评审修订记录；6、安全管理制度收发登记记录；三、管理机构落实情况1、本单位信息安全与保密领导小组名单；本单位信息与网络安全管理责任部门和专业技术人员岗位设置文件，安全管理和技术人员名单；2、本单位信息安全与保密领导小组职责、责任部门职责、专职信息安全管理员职责及系统管理员、网络管理员、安全审计员、计算机病毒管理员、保密员职责；3、本单位信息安全领导小组及责任部门定期协调处理网络安全会议记录；4、本单位与第三方安全服务商签订的服务合同、保密协议；5、专家小组或外聘顾问名单；四、人员管理落实情况1、信息安全关键岗位人员录用、考核、离岗、管理制度；第三方人员访问管理制度及记录；2、对员工违反信息安全与保密管理制度的惩戒措施；3、关键岗位人员保密协议、岗位安全协议、年度审核记录；4、离岗人员登记表；5、本年度信息安全专业管理和技术人员岗位技能培训、继续教育培训工作计划及培训记录；6、第三方人员访问审批登记表五、系统建设安全管理落实情况1、系统建设方案及验收报告（主管部门统一进行系统建设的，提供系统验收报告复印件）；2、风险评估报告；3、内控管理评估报告；4、自行开发应用软件的安全检测报告；5、外包应用软件开发的安全检测报告；六、运行维护管理落实情况1、本单位机房管理制度，进出机房登记表、和对机房供配电、空调、温湿度等控制设备的日常维护记录；电子门禁管理制度；2、办公环境保密管理制度及检查记录；3、资产管理、介质管理、设备管理制度及安全检查记录；4、重要信息资产登记表；5、重要信息设备的标识规定；6、冗余系统、冗余设备、冗余链路、冗余路由的管理规定；7、介质管理登记表；8、备份和恢复策略文档、软件版本升级记录、重要文件备份记录、网络漏洞扫描报告、配置文件备份记录；9、离线备份记录；10、恢复记录；介质有效性测试记录；11、便携和移动设备、无线设备网络接入登记表；12、信息安全管理员、网络管理员、安全审计员权限分配及使用登录口令记录；13、系统漏洞扫描报告、系统操作、运行日志审计记录；14、恶意代码、计算机病毒防范管理制度、病毒检测分析报告、病毒库升级记录；15、安全专用产品管理制度及日常巡检、维修记录；16、密码使用管理制度；17、安全事件定级规定、安全事件报告制度和处理程序文档，安全事件分析报告、本年度安全事件处置统计表；18、安全管理中心对设备状态、恶意代码、补丁升级、安全审计等安全事项进行集中管理的记录；19、灾难恢复预案评审修订记录、培训与演练记录；20、信息安全事件应急处置预案评审修订记录、培训与演练记录；21、与公安机关建立信息安全事件协查与应急处置联动机制有关文档。

信息安全检查表格.doc

信息安全
防护情况
1.网络边界架设网络安全设备的重要工业控制系统数量：套
2.安装防病毒软件或设备的重要工业控制系统数量：套
3.定期进行安全更新的重要工业控制系统数量：套
4.采取加密措施传输、存储敏感数据的重要工业控制系统数量：套
电力企业信息安全检查项目表
（2012版）
D
电力行业网络与信息安全领导小组办公室
ORG.2
第一责任人确立
组织主要负责人是本单位网络与信息安全的第一责任人，对本单位的网络与信息安全负全面责任。
符合/不符合判断法：
1)不符合，此项得0分；
2)符合，此项得1分。
第一责任人
ORG.3
责任落实
组织机构职责涵盖信息安全工作的主要方面，职责明确到责任部门、责任人员，并以正式文件形式发布。
符合/不符合判断法：
（三）存在的问题和面临的风险分析。
在完成基本情况调查和安全防护情况检查的基础上，各单位要围绕着以下三个方面对存在的问题和面临的主要风险进行分析。
1.当前安全管理和技术防护中的主要问题及薄弱环节，制定安全防护能力提高的主要因素（包括法律法规、政策制度、技术手段等方面）。
2. 统计国外产品和服务在主要软硬件设备和信息技术外包服务中所占的比例，分析网络与信息系统对国外产品和服务的依赖程度。
（按实时性进行统计）
1.非实时运行的系统数量
2.实时运行的系统数量
（按服务对象进行统计）
1.面向社会公众提供服务的系统数量
2.不面向社会公众提供服务的系统数量
（按联网情况进行统计）
1.直接连接互联网的系统数量
2.同互联网强逻辑隔离的系统数量
3.与互联网物理隔离的系统数量
（按数据集中情况进行统计）

信息安全事件调查记录表

有害程序事件
起因
起因
故意过失非人为未知信息篡改事件信息假冒事件信息篡改事件信息假冒事件信息泄漏事件信息窃取事件信息丢失事件其它信息破坏事件信息篡改事件信息假冒事件信息泄漏事件信息窃取事件信息丢失事件其它信息破坏事件违反宪法和法律、行政法规的信息安全事件针对社会事项进行讨论、评论形成网上敏感的舆论热点，出现一定规模炒作的信息安全事件；组织串连、煽动集会游行的信息安全事件；其他信息内容安全事件
故意过失非人为未知编号描述（包括相关序号、许可证和版本号）
受影响的资产（如果有的话）
事件对业务的负违背保密性（即未授权泄露）违背完整性（即未授权篡改）违背可用性（即不可用）违背抗抵赖性遭受破坏事件的全部恢复成本事件的解决事件调查开始日期事件结束日期涉及的人员/作恶者（选择一项）
信息安全事件调查记录表
事件日期事件当事人详细情况姓名事件处置人详细情况姓名信息安全事件描述事件的进一步描述发生了什么如何发生的为什么会发生受影响的部分对业务的负面影响任何已确定的脆弱性信息安全事件细节发生事件的日期和时间报告事件的日期和时间发现事件的日期和时间事件是否结束？是否部门职务部门职务事件编号
信息破坏事件
信息泄漏事件信息窃取事件信息丢失事件其它信息破坏事件
起因
故意过失非人为未知违反宪法和法律、行政法违反宪法和法律、行政法规的信息安全事件针对社会事项进行讨论、评论形成网上敏感的舆论规的信息安全事件针对社会事项进行讨论、评论形成网上敏感的舆论热点，出现一定规模炒作的信息安全事件；组织串连、煽动集会游行的信息安全事件；其他信息内容安全事件

各地信息安全基本情况调查表

附件4各地信息安全基本情况调查表一、系统基本情况梳理系统的实时性、服务对象、连接互联网情况、数据集中情况、灾备情况等基本情况，记录检查结果（表1）。

表1 系统基本情况检查记录表二、系统特征情况分析根据上述系统基本情况核查结果，分析系统停止运行后对主要业务的影响程度、系统遭受攻击破坏后对社会公众的影响程度等安全特征，记录分析结果（表2）。

1、系统停止运行后对主要业务的影响程度按如下标准判定：影响程度高：系统停止运行后，主要业务无法开展或对主要业务运行产生严重影响；影响程度中：系统停止运行后，对主要业务运行有一定影响，1 逻辑强隔离指使用逻辑强隔离设备（使用正向、反向或双向网闸）进行的网络隔离。

可用手工等传统方式替代；影响程度低：系统停止运行后，对主要业务运行影响较小或无影响。

2、系统遭受攻击破坏后对社会公众的影响程度按如下标准判定：影响程度高：系统遭受攻击破坏，造成系统无法正常运行、被劫持、信息泄露等后果后，对社会公众正常生活、公众利益等产生严重影响；影响程度中：系统遭受攻击破坏，造成系统无法正常运行、被劫持、信息泄露等后果后，对社会公众正常生活、公众利益等产生一定影响；影响程度低：系统遭受攻击破坏，造成系统无法正常运行、被劫持、信息泄露等后果后，对社会公众正常生活、公众利益等影响较小或无影响。

表2 系统特征情况分析记录表二、系统构成情况1. 检查主要硬件设备类型、数量、生产商（品牌）情况，记录检查结果（表3）。

硬件设备类型主要有：服务器、路由器、交换机、防火墙、磁盘阵列、磁带库及其他主要安全设备。

硬件设备生产商（品牌）按国内、国外两类进行记录。

其中，国内主要有浪潮、曙光、联想、方正、华为、中兴、天融信、启明星辰、绿盟、联想网御等，国外主要有IBM、HP、DELL、Cisco、Juniper、H3C等。

表3 信息系统主要硬件检查记录表2. 检查主要软件设备类型、套数、生产商（品牌）情况，记录检查结果（表4）。

信息安全基本情况调查表

信息安全基本情况调查表
说明：仅限于填写项目范围内的情况，不要填写超出项目范围之外的内容。

1．公司的员工数量50 ：（大概数量）
2．公司服务器数量（请填写数量）
A.小型机数量：。

B.PC服务器数量：。

其它：
3．贵公司近两年是否发生过重大IT运营及安全事件（比如业务中断、泄密等，请回答“是”或者“否”并举例）。

或者比较困惑的问题。

4．贵公司内部IT部门的基本情况（请填写数字或描述）
A.贵公司IT部门的人数：。

B.贵公司IT部门的主要岗位有：。

5、贵公司内部IT和保密的制度是否有涉及？如有请详细列出现有的制度和文件清单
6、以下是机房调查信息，请您协助填写；
备注：1、“调查项目”栏中在有的项目前打“√”。

2、“主要设备型号”栏中没有的设备不填。

计算机信息系统集成临时资质年度监督检查检查表

计算机信息系统集成临时资质年度监督检查表现资质级别：❒临时三级❒临时四级监督检查年度：2007年填表单位：证书号：获证年份：填表日期：目录监督检查年度单位基本情况表（表jdjc-t1） (1)监督检查年度资产运营情况表（表jdjc-t2） (2)监督检查年度计算机信息系统集成项目汇总表（表jdjc-t3） (3)填表说明 (4)监督检查年度单位基本情况表（表jdjc-t1）1监督检查年度资产运营情况表（表jdjc-t2）2监督检查年度计算机信息系统集成项目汇总表（表jdjc-t3）1、请填写监督检查年度内完成的所有系统集成项目，若属纯销货合同，则不在填报范围之内。

2、项目名称请严格按照合同填写；项目请务必按应用领域或行业顺序填写。

3、“软件费用”含系统设计、软件开发、系统集成和技术服务费用，不含外购或委托他人开发的软件费用、建筑工程费用、税金等费用（该部分费用填入“其他”一栏中）；“软件费用比例”=软件费用合计/合同金额*100%。

4、如果属于分包项目，请注明分包情况。

填表说明一、年审表封面1、“现资质级别”：按照资质证书的级别填写。

2、“填表单位”：以持证书的单位名称为准。

3、“填表日期”：填报监督检查材料的日期。

二、监督检查年度单位基本情况表（表jdjc-t1）1、“单位类型”、“成立时间”等：请严格按照营业执照填写。

2、“07年签订项目总额”：请填写2007年签订项目的总额，包括已完成和未完成的项目总额。

3、“07年完成项目总额”：请填写2007年已经完成项目的总额，应与（表jdjc-t3）的“合计金额”相符。

4、“最具优势的行业”：按用户所属行业分类统计已完成合同额，填写前三位。

5、“软件开发与系统集成相关人员构成”：主要包括研究开发、工程实施、技术支持、技术服务等与系统集成直接相关的人员，不包括销售、市场、人事、行政等人员。

三、监督检查年度资产运营情况表（表jdjc-t2）1、须由财务人员填制。