等保2.0管理测评文档清单(三级)

理
22
恶意代码防范管理制度
23
密码管理 检测报告或密码产品型号证书
24
变更方案
25
变更控制的申报、审批程序
26
变更管理 重要系统的变更申请书
27
变更方案评审记录和变更过程记录文档
28
变更失败恢复程序
29
备份清单或列表
30 备份与恢复管理 备份和恢复管理制度
31
数据备份和恢复策略文档
32
安全事件报告和处置管理制度
如系统维护手册和用户操作规程等
说明安全管理制度的制定和发布程序、格式要求及版 本编号等相关内容
需有相关人员的评审意见
收发通过正式的方式，如正式发文、领导签署和单位 盖章；需有发布范围要求 记录的日期间隔与评审周期需一致，应有相关人员的 评审意见
设置安全主管、安全管理各个方面的负责人；机房管 理员、系统管理员、网络管理员、安全管理员等各个 岗位的职责范围；安全管理机构的职责，机构内各部 门的职责和分工，各个岗位人员应具有的技能要求； 明确各部门、各岗位的职责和授权范围；明确设备维 护管理的责任部门 需具有被测单位主管领导的授权签字
根据安全等级选择安全措施，根据安全需求调整安全 措施
设计方案中应包括密码相关内容
相关部门和有关安全技术专家对总体安全策略、安全 技术框架、安全管理策略、总体建设规划、详细设计 方案等相关配套文件的论证意见 产品性能指标，确定产品的候选范围，通过招投标等 方式确定采购产品及人员行为准则等方面 产品选型测试结果记录、候选产品名单审定记录或更 新的候选产品名单
记录考核内容和考核结果
保密范围、保密责任、违约责任、协议的有效期限和 责任人的签字等内容 岗位安全责任、违约责任、协议的有效期限和责任人 签字等内容
规定了人员调离手续和离岗要求
如交还身份证件、设备等的登记记录
需具有离岗人员的签字
明确培训周期、培训方式、培训内容和考核方式等相 关内容
包含具体的安全责任和惩戒措施
12
安全测评报告
13
网络和系统安全管理文档
14
账户的审批记录或流程
15
网络和系统安全管理制度
16
网络和系统安全 重要设备（如操作系统、数据库、网络设
管理
备、安全设备、应用和组件）的配置和操
作手册
17
运维操作日志
18
日志、监测和报警数据分析报告
19
运维审批记录
20
内部网络外联的授权批准书
21
恶意代码检测记录、恶意代码库升级记录 恶意代码防范管 和分析处理报告
需主管领导的批准签字
此处可举一个重要系统变更的案例
规定变更失败后的恢复流程
具有定期备份的重要业务信息、系统数据、软件系统 的列表或清单
备份方式、备份频度、存储介质和保存期等方面内容
覆盖数据的存放场所、文件命名规则、介质替换频率 、数据离站传输方法等方面 系统已发生的和需要防止发生的安全事件类型，明确 安全事件的现场处理、事件报告和后期恢复的管理职 责 记录引发安全事件的系统弱点、不同安全事件发生的 原因、处置过程、经验教训总结、补救措施等内容； 根据不同安全事件制定不同的处理和报告程序，明确 具体报告方式、报告内容、报告人等方面内容 覆盖启动应急预案的条件、应急处理流程、系统恢复 流程、事后教育和培训等方面 根据应急预案框架制定重要事件的应急预案（如针对 机房、系统、网络等各个层面）
具有批准人允许访问的批准签字
外部人员访问重要区域的进入时间、离开时间、访问 区域、陪同人等 明确外部人员的访问权限，具有允许访问的批准签字 等 记录外部人员访问的权限、时限、账户；记录访问权 限清除时间 明确人员的保密义务(如不得进行非授权操作，不得复 制信息等）
系统的近期安全建设计划和远期安全建设计划
等保2.0管理测评列表
序号
类别
文档名称
Ⅰ安全策略和管理制度
1
安全策略 信息安全工作的总体方针和安全策略
2
各项安全管理制度
管理制度
3
日常管理操作的操作规程
4
制度制定和发布要求管理文档
5
制定和发布 管理制度评审记录
6
安全管理制度的收发登记记录
7
评审和修订 安全管理制度的审定/论证记录
Ⅱ安全管理机构和人员
工程时间限制、进度控制和质量控制等方面内容
按照实施方案形成的阶段性工程报告等文档
明确了工程进展、时间计划、控制措施等方面内容
工程实施过程的控制方法、实施参与人员的行为准则 等方面内容 说明参与测试的部门、人员、测试验收的内容、现场 操作过程等内容 测试通过的结论（如果报告中提出了存在的问题，则 检查是否有针对这些问题的改进报告）；第三方测试 机构的签字或盖章
22
离岗人员保密承诺文档
23
信息安全教育及技能培训管理文档
24
安全责任和惩戒措施管理文档
25
安全意识教育和 培训
安全教育和培训计划文档
26
安全教育和培训记录记录
27
各岗位人员的技能考核记录
28
外部人员访问管理文档
29
外部人员访问重要区域的书面申请文档
30
外部人员访问管 外部人员访问重要区域的登记记录
覆盖网络和系统的日常巡检、运行维护、参数的设置 和修改等内容
具有对日志、监测和报警数据等进行分析统计的报告
具有变更运维的审批记录，如系统连接、安装系统组 件或调整配置参数等活动；具有运维工具接入系统的 审批记录；具有开通远程运维的审批记录
内网主机在安全策略允许之外通过modem、无线设备 （如CDMA、GSM，Wireless LAN等）等途径与外部网 络进行连接时，需提供相关授权批准证明
19
工程实施管理制度
20
工程测试验收方案
21
测试验收报告
测试验收
22
测试验收报告审定文档
Байду номын сангаас23
安全测试报告
24
系统交付清单分类
25
技术人员技能培训（系统上线前）的记录
系统交付
26
系统建设文档
27
系统交付管理文档
28
与服务供应商签订的服务合同或安全责任 书
29
安全服务报告
服务供应商管理
30
服务审核报告
对申请账户、建立账户、删除账户等进行控制
覆盖网络和系统的安全策略，账户管理（用户责任、 义务、风险、权限审批、权限分配、账户注销等）， 配置文件的生成、备份，变更审批、符合性检查等， 授权访问，最小服务，升级与打补丁，审计日志，登 录设备和系统的口令更新周期等方面
明确操作步骤、维护记录、参数配置等内容
会议内容、会议时间、参加人员和会议结果等的描述
会议内容、会议时间、参加人员、会议结果等的描述
外联单位名称、合作内容、联系人和联系方式等信息 关于系统日常运行、系统漏洞和数据备份等情况；检 查内容、检查人员、检查数据汇总表、检查结果等的 描述
备注
包括现有安全技术措施的有效性、安全配置与安全策 略的一致性、安全管理制度的执行情况等 具有安全检查表格、安全检查记录、安全检查报告、 安全检查结果通报记录 说明录用人员应具备的条件（如学历、学位要求，技 术人员应具备的专业技术水平，管理人员应具备的安 全管理知识等） 对录用人身份、背景、专业资格和资质等进行审查的 相关文档或记录；记录审查内容和审查结果
记录介质的存储、归档、查询和使用等情况
包括备份和冗余设备
明确维护人员的责任、维修和服务的审批、维修过程 的监督控制管理等
设备带离机房或办公地点的申报材料或审批记录
描述存在的漏洞、严重级别、原因分析和改进意见等 方面
具有安全整改应对措施文档
明确要求对网络和系统管理员用户进行分类，并定义 各个角色的责任和权限（比如：划分不同的管理角 色，系统管理权限与安全审计权限分离等）
安全事件处置
33
安全事件报告和响应处理程序
34
应急预案框架
35
应急预案
应急预案管理
36
应急预案管理 应急预案培训记录
37
应急预案演练记录
38
应急预案修订记录
39
外包运维管理 外包运维服务协议
等保2.0管理测评列表
文档说明
信息安全工作的总体方针和安全策略，说明机构安全 工作的总体目标、范围、原则和安全框架 覆盖物理、网络、主机系统、数据、应用、建设和管 理等层面的各类管理内容
明确委员会职责和其最高领导岗位的职责
安全管理各部门和信息安全管理委员会或领导小组日 常管理工作执行情况的文件或工作记录 明确系统管理员、网络管理员和安全管理员各岗位人 员配备情况 ；明确应配备专职的安全管理员 明确定期审查、更新审批的项目、审批部门、批准人 和审查周期等；明确对系统变更、重要操作、物理访 问和系统接入等事项的审批流程 需具有各级批准人的签字和审批部门的盖章；记录的 审批程序与文件要求需一致
定期审核评价安全服务供应商所提供的服务
针对服务商的评价指标和考核内容等
记录维护日期、维护人、维护设备、故障原因、维护 结果等方面内容 记录来访人员、来访时间、离开时间、携带物品等信 息 覆盖机房物理访问、物品带进/带出机房、机房环境安 全等方面，明确来访人员的接待区域 覆盖资产范围（含设备设施、软件、文档等）、资产 责任部门、重要程度和所处位置等内容 明确资产的标识方法以及不同资产的管理措施要求； 信息资产管理的责任部门、责任人，覆盖资产使用、 传输、存储、维护等方面 明确信息分类标识的原则和方法（如根据信息的重要 程度、敏感程度或用途不同进行分类）
理
31
外部人员访问系统的书面申请文档
32
外部人员访问系统的登记记录
33
外部人员访问保密协议
III安全建设管理
1
系统的安全建设工作计划
2
安全设计文档
3
安全方案设计 总体规划和安全设计方案等配套文件
4
专家论证文档
5
产品采购管理文档
6
产品采购和使用 候选产品名单
7
产品采购清单
8
软件开发管理制度
9
代码编写安全规范
指导产品采购的清单
说明软件设计、开发、测试、验收过程的控制方法和 人员行为准则；明确哪些开发活动应经过授权和审批
明确代码的编写规则
应用软件设计程序文件、源代码文档
明确软件存在的安全问题及可能存在的恶意代码；
需具有批准人的签字
软件质量检测的规定
需求分析说明书、软件设计说明书、软件操作手册、 软件源代码文档等软件开发文档和使用指南 确保软件不存在后门、 隐蔽信道或恶意代码的证明材 料
11
外联单位联系列表
12
日常安全检查记录
审核和检查
13
审核和检查 全面安全检查记录
14
安全检查时的安全检查表、安全检查记录 和结果通告记录
15
人员安全管理文档
16
人员录用审查记录
17
人员录用
人员录用时的技能考核文档或记录
18
保密协议
19
岗位安全协议
20
人员离岗的管理文档
21
人员离岗 离岗人员的安全处理记录
需具有相关人员的审定意见和签字确认
具有上线前的安全测试报告，报告应包含密码应用安 全性测试相关内容
详细列项系统交付的各类设备、软件、文档等
培训内容、培训时间和参与人员等
指导用户进行系统运维的文档、系统培训手册等
交付过程的控制方法和对交付参与人员的行为限制等 方面内容 明确了后期的技术支持和服务承诺等内容；保密范围 、安全责任、违约责任、协议的有效期限和责任人的 签 具字有等安；全服务商定期提交的安全服务报告，对其所提 供的安全服务的进行汇报（如月报、季度报等）
具有不同岗位的培训计划；培训方式、培训对象、培 训内容、培训时间和地点等；培训内容包含信息安全 基础知识、岗位操作规程等
培训人员、培训内容、培训结果等的描述
记录日期与考核周期需一致，具有针对各岗位人员的 技能考核记录 允许外部人员访问的范围、外部人员进入的条件、外 部人员进入的访问控制措施等；明确外部人员接入受 控网络前的申请审批流程；明确外部人员离开后及时 清除其所有访问权限
31
安全服务商评价审核管理制度
Ⅳ系统运维管理
1
机房基础设施维护记录
2
环境管理 机房出入登记记录
3
机房安全管理制度
4
资产清单
5
资产管理 资产管理制度
6
信息分类文档
7
介质管理 介质管理记录
8
系统相关设备的维护记录
9
设备维护管理 设备维护管理制度
10
设备带离机房或办公地点的审批记录
11
漏洞扫描报告
漏洞和风险管理
1
部门、岗位职责文件
2
岗位设置
信息安全管理委员会委任授权书
3
信息安全管理委员会职责文件
4
安全管理工作记录
5
人员配备 人员配备文档
6
审批管理制度文档
授权和审批
7
关键活动的审批过程记录
8
组织内部机构之间以及信息安全职能部门 内部的安全工作会议文件或会议记录
9
沟通和合作
与公安机关、各类供应商、业界专家及安 全组织会议文件或会议记录
可提供杀毒软件运行日志；分析报告需描述恶意代码 的特征、修补措施等内容 明确防恶意代码软件的授权使用、恶意代码库升级、 定期查杀等内容 获得有效的国家密码管理主管部门规定的检测报告或 密码产品型号证书 覆盖变更类型、变更原因、变更过程、变更前评估等 方面内容 规定需要申报的变更类型、申报流程、审批部门、批 准人等方面内容
10
自行软件开发
软件设计的相关文档、软件使用指南或操 作手册和维护手册
11
软件安全测试报告
12
程序资源库的修改、更新、发布进行授权 和审批的文档或记录
13
外包软件协议
14
外包软件开发 外包软件相关文档
15
软件安全性检查报告或证明
16
工程实施方案
17
阶段性工程报告
工程实施
18
工程监理报告（如果安全建设为第三方实 施时则需要提供）