记录类文档和机房

核查所在建筑是否具有建筑物抗震设防审批文档

核查机房是否不存在雨水渗漏

核查门窗是否不存在因风导致的尘土严重

核查屋顶、墙体、门窗和地面等是否不存在破损开裂

均为肯定，则符合本测评单元指标要求，否则不符合或部分符合

机房

核查机房是否不位于所在建筑物的顶层或地下室，如果否，，则核查机房是否采取了防火和防潮措施

是则符合，否则不符合

机房电子门禁系统

核查出入口是否配置电子门禁系统

核查电子门禁系统是否可以鉴别、记录进入的人员信息

均为肯定则符合，否则不符合或部分符合

机房设备或主要部件

核查机房内设备或主要部件是否固定

核查机房内设备或主要部件上是否设置了明显且不易除去的标识

均为肯定则符合，否则不符合或部分符合

机房通信线缆

核查机房内通信线缆是否铺设在隐蔽安全处，如桥架中等

肯定则符合，否则不符合

机房防盗报警系统或视频监控系统

核查机房内是否配置防盗报警系统或专人值守的视频监控系统

核查防盗报警系统或视频监控系统是否启用

均为肯定则符合，否则不符合或部分符合

机房

核查机房内机柜、设施和设备等是否进行接地处理

肯定则符合，否则不符合

机房防雷设施

核查机房内是否设置防感应雷措施

核查防雷装置是否通过验收或国家有关部门的技术检测

均为肯定则符合，否则不符合或部分符合

机房防火设施

核查机房内是否设置火灾自动消防系统

核查火灾自动消防系统是否可以自动检测火情、自动报警并自动灭火

均肯定则符合，否自不符合或部分符合

机房验收类文档

核查机房验收文档是否明确相关建筑材料的耐火等级

肯定则符合，否则不符合

机房管理员和机房

访谈机房管理员是否进行了区域划分

核查各区域间是否采取了防火措施进行隔离

均为肯定则符合，否则不符合或部分符合

机房

核查窗户、屋顶和墙壁是否采取了防雨水渗透的措施

肯定则符合，否则不符合

机房

核查机房内是否采取了防止水蒸气结露的措施

核查机房内是否采取了排泄地下积水，防止地下积水渗透的措施

均为肯定则符合，否则不符合或部分符合

机房防水检测设施

核查机房内是否安装了对水敏感的检测装置

核查防水检测和报警装置是否启用

均为肯定则符合，否则不符合或部分符合

机房

核查机房内是否安装了防静电地板或地面

核查机房内是否采用了接地防静电措施

均为肯定则符合，否则不符合或部分符合

机房

核查机房内是否配备了防静电设备

肯定则符合，否则不符合

机房温湿度调节设施

核查机房内是否配备了专用空调

核查机房内温湿度是否在设备运行允许的范围之内

均为肯定则符合，否则不符合或部分符合

机房供电设施

核查供电线路上是否配置了稳压器或过电压防护设备

肯定则符合，否则不符合

机房备用供电设施

核查是否配备UPS等后备电源系统

核查UPS等后备电源系统是否满足设备在断电情况下的正常运行要求

均为肯定则符合，否则不符合或部分符合

机房

核查机房内是否设置了冗余或并行的电力电缆线路为计算机系统供电

肯定则符合，否则不符合

机房线缆

核查机房内电源线缆和通信线缆是否隔离铺设

肯定则符合，否则不符合

机房关键设备

核查机房内是否为关键设备配备了电磁屏蔽装置

可定则符合，否则不符合

路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件

核查业务高峰时期一段时间内主要网络设备的CPU使用率和内存使用率是否满足需要

核查网络设备是否从未出现过因设备性能问题导致的宕机情况

测试验证设备是否满足业务高峰期需求

均为肯定则符合，否则不符合或部分符合

综合网管系统

核查综合网管系统各通信链路带宽是否满足高峰时段的业务流量需要

测试验证网络带宽是否满足业务高峰期需求

均肯定则符合，否则不符合或部分符合

路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件

核查是否依据重要性、部门等因素划分不同的网络区域

核查相关网络设备配置信息，验证划分的网络区域是否与划分原则一致

均为肯定，则符合，否则不符合或部分符合

网络拓扑

核查网络拓扑图是否与实际网络运行环境一致

核查重要网络区域是否未部署在网络边界处

核查重要网络区域与其他网络区域之间是否采取可靠的技术隔离手段，如网闸、防火墙和设备访问控制列表（ACL）等

均为肯定则符合，否则不符合或部分符合

网络管理员和网络拓扑

核查是否有关键网络设备、安全设备和关键计算设备的硬件冗余（主备或双活等）和通信线路冗余

肯定则符合，否则不符合

提供校验技术活密码技术保证通信过程中数据的完整性

核查是否在数据传输过程中使用校验技术活密码技术来保证其完整性

测试验证密码技术设备或组件能否保证通信过程中数据的完整性

均为肯定怎符合，否则不符合或部分符合

提供密码技术功能的设备或组件

核查是否在通信过程中采取保密措施，具体采用哪里技术措施

测试验证在通信过程中是否对数据进行加密

均为肯定则符合，否则不符合或部分符合

提供可信验证的设备或组件、提供集中审计功能的系统

核查是否基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证

核查是否在应用程序的关键执行环节进行动态可信验证

测试验证当检测到通信设备的可信性收到破坏后是否进行报警

测试验证结果是否以审计记录的形式送至安全管理中心

均为肯定则符合，否则不符合或部分符合

网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件

核查在网络边界处是否部署访问控制设备

核查设备配置信息是否指定端口进行跨域边界的网络通信，指定端口是否配置并启用了安全策略

采用其他技术手段（如非法无线网络设备定位、核查设备配置信息等）核查或测试验证是否不存在其他为受控端口进行跨域边界的网络通信

均为肯定则符合，负责不符合或部分符合

终端管理系统或相关设备

核查是否采用技术措施防止非授权设备接入内部网络

核查所有路由器和交换机等相关设备闲置端口是否均已关闭

均为肯定则符合，否则不符合或部分符合

终端管理系统或相关设备

核查是否采用技术措施防止内部用户存在非法外联行为

肯定则符合，否则不符合

网络拓扑和无线网络设备

核查无线网络的部署方式，是否单独组网后再连接到有限网络

核查无线网络是否通过受控的边界防护设备接入到内部有线网络

均为肯定则符合，否则不符合或部分符合

网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关

核查在网络边界或区域之间是否部署访问控制设备并启用访问控制策略

核查设备的最后一条访问控制策略是否为禁止所有网络通信

均为肯定则符合，否则不符合或部分符合

网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关

核查是否不存在多余或无效的访问控制策略

核查不同的访问控制策略之间的逻辑关系及前后排列顺序是否合理

均为肯定则符合，否则不符合或部分符合

网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关

核查设备的访问控制策略中是否设定了源地址、目的地址、源端口、目的端口和协议等相关配置参数

测试验证访问控制策略中设定的相关配置参数是否有效

均为肯定则符合，否则不符合或部分符合

网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关

核查是否采用会话认证等机制为进出数据提供明确的允许/拒绝访问的能力

测试验证是否为进出数据流提供明确的允许/拒绝访问的能力

均为肯定则符合，否则不符合或部分符合

第二代防火墙等提供应用层访问控制功能的设备或相关组件

核查是否部署访问控制设备并启用访问控制策略

测试验证设备访问控制策略是否能够对进出网络的数据流实现基于应用协议和应用内容的访问控制

均为肯定则符合，否则不符合或部分符合

抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击系统和入侵保护系统或相关组件

核查相关系统或组件是否能够检测从外部发起的网络攻击行为

核查相关系统或组件的规则库版本或威胁情报库是否已经更新到最新版本

核查相关系统或组件的配置信息或安全策略是否能够覆盖网络所有关键节点

测试验证相关系统或组件的配置信息或安全策略是否有效

均为肯定则符合，否则不符合或部分符合

抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击系统和入侵保护系统或相关组件

核查相关系统或组件是否能够检测到从内部发起的网络攻击行为

核查相关系统或组件的规则库版本或威胁情报库是否已经更新到最新版本

核查相关系统或组件的配置信息或安全策略是否能够覆盖网络所有关键节点

测试验证相关系统或组件的配置信息或安全策略是否有效

均为肯定则符合，否则不符合或部分符合

抗APT攻击系统、网络回溯系统和威胁情报检测系统或相关组件

核查是否部署相关系统或组件对新型网络攻击进行检测和分析

测试验证是否对网络行为进行分析，实现对网络攻击特别是未知的新型网络攻击的检测和分析

均为肯定则符合，否则不符合或部分符合

抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击系统和入侵保护系统或相关组件

核查相关系统或组件的记录是否包含攻击源IP、攻击类型、攻击目标、攻击时间等相关内容

测试验证相关系统或组件的报警策略是否有效

均为肯定则符合，否则不符合或部分符合

防病毒网关和UTM等提供恶意代码功能的系统或相关组件

核查在关键网络节点处是否部署防恶意代码产品等技术措施

核查防恶意代码产品运行是否正常，恶意代码库是否已经更新到最新

测试验证相关系统或组件的安全策略是否有效

均为肯定则符合，否则不符合或部分符合

放垃圾邮件网关等提供放垃圾邮件功能的系统或相关组件

核查在关键网络节点处是否部署了防垃圾邮件产品等技术措施

核查防垃圾邮件产品运行是否正常，防垃圾邮件规则库是否已经更新到最新

测试验证相关系统或组件的安全策略是否有效

均为肯定则符合，否则不符合或部分符合

综合安全审计系统等

核查是否部署了综合安全审计系统或类似功能的系统平台

核查安全审计范围是否覆盖到每个用户

核查是否对重要的用户行为和重要的安全事件进行了审计

均为肯定则符合，否则不符合或部分符合

综合安全审计系统等

核查审计记录信息是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息

肯定则符合，否则不符合

综合安全审计系统等

核查是否采取了技术措施对审计记录进行保护

核查是否采取技术措施对审计记录进行定期备份，并核查其备份策略

均为肯定则符合，否则不符合或部分符合

上网行为管理系统或综合安全审计系统

核查是否对远程访问用户及互联网访问用户行为单独进行审计分析

肯定则符合，否则不符合

提供可信验证的设备或组件、提供集中审计功能的系统

核查是否基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序进行可信验证

核查是否在应用程序的关键执行环节进行动态可信验证

测试验证当检测到边界设备的可信性收到破坏后是否进行报警

测试验证结果是否以审计记录的形式送至安全管理中心

均为肯定则符合，否则不符合或部分符合

终端和服务器等设备中的操作系统（包括宿主机和虚拟机操作系统）、网络设备（包括虚拟网络设备）、安全设备（包括虚拟安全设备）、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等

核查用户在登录时是否采用了身份鉴别措施

核查用户列表确认用户身份标识是否具有唯一性

核查用户配置信息或测试验证是否不存在空口令用户

核查用户鉴别信息是否具有复杂度要求并定期更换

均为肯定则符合，否则不符合或部分符合

终端和服务器等设备中的操作系统（包括宿主机和虚拟机操作系统）、网络设备（包括虚拟网络设备）、安全设备（包括虚拟安全设备）、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等

核查是否配置并启动了登录失败处理功能

核查是否配置并启用了限制非法登录功能，非法登录达到一定次数后采取特定动作，如账户锁定等

核查是否配置并启用了登录连接超时及自动退出功能

均为肯定则符合，否则不符合或部分符合

终端和服务器等设备中的操作系统（包括宿主机和虚拟机操作系统）、网络设备（包括虚拟网络设备）、安全设备（包括虚拟安全设备）、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等

核查是否采用加密等安全方式对系统进行远程管理，防止鉴别信息在网络传输过程中被窃听

肯定则符合，否则不符合

终端和服务器等设备中的操作系统（包括宿主机和虚拟机操作系统）、网络设备（包括虚拟网络设备）、安全设备（包括虚拟安全设备）、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等

核查是否采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别

核查其中一种鉴别技术是否使用密码技术来实现

均为肯定则符合，否则不符合或部分符合

终端和服务器等设备中的操作系统（包括宿主机和虚拟机操作系统）、网络设备（包括虚拟网络设备）、安全设备（包括虚拟安全设备）、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等

核查是否为用户分配了账户和权限及相关设置情况

核查是否已禁用或限制匿名、默认账户的访问权限

均为肯定则符合，否则不符合或部分符合

终端和服务器等设备中的操作系统（包括宿主机和虚拟机操作系统）、网络设备（包括虚拟网络设备）、安全设备（包括虚拟安全设备）、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等

核查是否已经重命名默认账户或默认账户已经被删除

核查是否已修改默认账户的默认口令

均为肯定则符合，否则不符合或部分符合

终端和服务器等设备中的操作系统（包括宿主机和虚拟机操作系统）、网络设备（包括虚拟网络设备）、安全设备（包括虚拟安全设备）、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等

核查是否不存在多余或过期账户，管理员用户与账户之间是否一一对应

测试验证多余的、过期的账户是否被铲除或停用

均为肯定则符合，否则不符合或部分符合

终端和服务器等设备中的操作系统（包括宿主机和虚拟机操作系统）、网络设备（包括虚拟网络设备）、安全设备（包括虚拟安全设备）、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等

核查是否进行角色划分

核查管理用户的权限是否已进行分离

核查管理用户权限是否为其工作任务所需的最小权限

均为肯定则符合，否则不符合或部分符合

终端和服务器等设备中的操作系统（包括宿主机和虚拟机操作系统）、网络设备（包括虚拟网络设备）、安全设备（包括虚拟安全设备）、移动终端、移动终端管理系统、移动终端管理客户端、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等

核查是否由授权主体（如管理用户）负责配置访问控制设备策略

核查授权主体是否依据安全策略配置了主体对客体的访问规则

测试验证用户是否有可越权访问情形

均为肯定则符合，否则不符合或部分符合

终端和服务器等设备中的操作系统（包括宿主机和虚拟机操作系统）、网络设备（包括虚拟网络设备）、安全设备（包括虚拟安全设备）、移动终端、移动终端管理系统、移动终端管理客户端、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等

核查访问控制策略的控制粒度是否达到主体为用户级或进程级，客体为文件、数据库表、记录或字段级

肯定则符合，否则不符合

终端和服务器等设备中的操作系统（包括宿主机和虚拟机操作系统）、网络设备（包括虚拟网络设备）、安全设备（包括虚拟安全设备）、移动终端、移动终端管理系统、移动终端管理客户端、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等

核查是否对主体、客体设置了安全标记

测试验证是否依据主体、客体安全标记控制主体对客体访问的强制访问控制策略

均为肯定则符合，否则不符合或部分符合

终端和服务器等设备中的操作系统（包括宿主机和虚拟机操作系统）、网络设备（包括虚拟网络设备）、安全设备（包括虚拟安全设备）、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等

核查是否开启了安全设计功能

核查安全审计范围是否覆盖到每个用户

核查是否对重要的用户行为和重要安全事件进行审计

均为肯定则符合，否则不符合或部分符合

终端和服务器等设备中的操作系统（包括宿主机和虚拟机操作系统）、网络设备（包括虚拟网络设备）、安全设备（包括虚拟安全设备）、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等

核查审计记录信息是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息

肯定则符合，否则不符合

终端和服务器等设备中的操作系统（包括宿主机和虚拟机操作系统）、网络设备（包括虚拟网络设备）、安全设备（包括虚拟安全设备）、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等

核查是否采取了保护措施对审计记录进行保护

核查是否采取技术措施对审计记录进行定期备份，并核查其备份策略

均为肯定则符合，否则不符合或部分符合

终端和服务器等设备中的操作系统（包括宿主机和虚拟机操作系统）、网络设备（包括虚拟网络设备）、安全设备（包括虚拟安全设备）、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等

测试验证通过非审计管理员的其他账户来中断审计进程，验证审计进程是否受到

肯定则符合，否则不符合

终端和服务器等设备中的操作系统（包括宿主机和虚拟机操作系统）、网络设备（包括虚拟网络设备）、安全设备（包括虚拟安全设备）、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备和控制设备

核查是否遵循最小安装原则

核查是否未安装非必要的组件和应用程序

均为肯定则符合，否则不符合或部分符合

终端和服务器等设备中的操作系统（包括宿主机和虚拟机操作系统）、网络设备（包括虚拟网络设备）、安全设备（包括虚拟安全设备）、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备和控制设备

核查是否关闭了非必要的系统服务和默认共享

核查是否不存在非必要的高危端口

均为肯定则符合，否则不符合或部分符合

终端和服务器等设备中的操作系统（包括宿主机和虚拟机操作系统）、网络设备（包括虚拟网络设备）、安全设备（包括虚拟安全设备）、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备和控制设备

核查配置文件或参数是否对终端接入范围进行限制

肯定则符合，否则不符合

业务应用系统、中间件和系统管理软件及系统设计文档等

核查系统设计文档的内容是否包括数据有效性检验功能的内容和模块

测试验证是否对人机接口或通信接口输入的内容进行有效性检验

均为肯定则符合，否则不符合或部分符合

终端和服务器等设备中的操作系统（包括宿主机和虚拟机操作系统）、网络设备（包括虚拟网络设备）、安全设备（包括虚拟安全设备）、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等

通过漏洞扫描、渗透测试等方式核查是否不存在高风险漏洞

核查是否在经过充分测试评估后及时修补漏洞

均为肯定则符合，否则不符合或部分符合

终端和服务器等设备中的操作系统（包括宿主机和虚拟机操作系统）、网络设备（包括虚拟网络设备）、安全设备（包括虚拟安全设备）、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备和控制设备等

访谈并核查是否有入侵检测的措施

核查在发生严重入侵事件时是否提供报警

均为肯定则符合，否则不符合或部分符合

终端和服务器等设备中的操作系统（包括宿主机和虚拟机操作系统）、移动终端、移动终端管理系统、移动终端管理客户端和控制设备等

核查是否安装了防恶意代码软件或相应功能的软件，定期进行升级和更新防恶意代码库

核查是否采用主动免疫可信验证技术及时识别入侵和病毒行为

核查当识别入侵和病毒行为时是否将其有效阻断

1）和3）或2）和3）均为肯定则符合，否则不符合或部分符合

提供可信验证的设备或组件、提供集中审计功能的系统

核查是否基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证

核查是否在应用程序的杆件执行环节进行动态可信验证

测试验证当检测到计算设备的可信性受到破坏后是否进行报警

测试验证结果是否已审计记录的形式送至安全管理中心

均为肯定则符合，否则不符合或部分符合

业务应用系统、数据库管理系统、中间件、系统管理软件及系统设计文档、数据安全保护系统、终端和服务器等设备中的操作系统及网络设备和安全设备等

核查系统设计文档，鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等在传输过程中是否采用了校验技术或密码技术保证完整性

测试验证在传输过程中对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等进行篡改，是否能够检测到数据在传输过程中的完整性受到破坏并能够及时恢复

均为肯定则符合，否则不符合或部分符合

业务应用系统、数据库管理系统、中间件、系统管理软件及系统设计文档、数据安全保护系统、终端和服务器等设备中的操作系统及网络设备和安全设备等

核查设计文档，是否采用了校验技术或密码技术保证鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等在存储过程中的完整性

核查是否采用技术措施（如数据安全保护系统等）保证鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等在存储过程中的完整性

测试验证在存储过程中对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等进行篡改，是否能够检测到数据在存储过程中的完整性受到破坏并能够及时恢复

均为肯定则符合，否者不符合或部分符合

业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等

核查系统设计文档，鉴别数据、重要业务数据和重要个人信息等在传输过程中是否采用密码技术保证保密性

通过嗅探等方式抓取传输过程中的数据包，鉴别数据、重要业务数据和重要个人信息等在传输过程中是否进行了加密处理

均为肯定则符合，否则不符合或部分符合

业务应用系统、数据库管理系统、中间件、系统管理软件及系统设计文档、数据安全保护系统、终端和服务器等设备中的操作系统及网络设备和安全设备中的重要配置数据

核查是否采用密码技术保证鉴别数据、重要业务数据和重要个人信息等在存储过程中的保密性

核查是否采用技术措施（如数据安全保护系统等）保证鉴别数据、重要业务数据和重要个人信息等在存储过程中的保密性

测试验证是否对指定的数据进行加密处理

均为肯定则符合，否则不符合或部分符合

配置数据和业务数据

核查是否按照备份策略进行本地备份

核查备份策略设置是否合理、配置是否正确

核查备份结果是否与备份策略一致

核查近期恢复测试记录是否能够进行正常的数据恢复

均为肯定则符合，否则不符合过部分符合

配置数据和业务数据

核查是否提供异地实时备份功能，并通过网络将重要配置数据、重要业务数据实时备份至备份场地

肯定则符合，否则不符合

配置数据和业务数据

核查重要数据处理系统（包括边界路由器、边界防火墙、核心交换机、应用服务器和数据库服务器等）是否采用热冗余方式部署

肯定则符合，否则不符合

终端和服务器等设备中的操作系统、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等

核查相关配置信息或系统设计文档，用户的鉴别信息所在的存储空间被释放或重新分配前是否得到完全清除

肯定则符合，否则不符合

终端和服务器等设备中的操作系统、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等

核查相关配置信息或系统设计文档，敏感数据所在的存储空间被释放或重新分配给其他用户前是否得到完全清除

肯定则符合，否则不符合

测评对象

测评实施内容

测评判定

业务应用系统和数据库管理系统等

核查是否采用技术措施限制对用户个人信息的访问和使用

核查是否制定了有关用户个人信息保护的管理制度和流程

均为肯定则符合，否则不符合或部分符合

提供集中系统管理功能的系统

核查是否对系统管理员进行身份鉴别

核查是否只允许系统管理员通过特定的命令或操作界面进行系统管理操作

核查是否对系统管理的操作进行审计

均为肯定则符合，否则不符合或部分符合

提供集中系统管理功能的系统

核查是否通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份、资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等

肯定则符合，否则不符合

综合安全审计系统、数据库审计系统等提供集中审计功能的系统

核查是否对审计管理员进行身份鉴别

核查是否只允许审计管理员通过特定的命令或操作界面进行安全审计操作

核查是否对安全审计操作进行审计

均为肯定则符合，否则不符合或部分符合

综合安全审计系统、数据库审计系统等提供集中审计功能的系统

核查是否通过审计管理员对审计记录进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等

肯定则符合，否则不符合

提供集中安全管理功能的系统

核查是否对安全管理员进行身份鉴别

核查是否只允许安全管理员通过特定的命令或操作界面进行安全审计操作

核查是否对安全管理操作进行审计

均为肯定则符合，否则不符合或部分符合

提供集中安全管理功能的系统

核查是否通过安全管理员对系统中的安全策略进行配置，包括安全参数的设置，主体、客体进行统一安全标记，对主体进行授权，配置可信验证策略等

肯定则符合，否则不符合

网络拓扑

核查是否划分出单独的网络区域用于部署安全设备或安全组件

核查各个安全设备或组件是否集中部署在单独的网络区域中

均为肯定则符合，否则不符合或部分符合

路由器、交换机和防火墙等设备或相关组件

核查是否采用安全方式（如SSH、HTTPS、IPSec、VPN等）对安全设备或安全组件进行管理

核查是否使用独立的带外管理网络对安全设备或组件进行管理

均为肯定则符合，否则不符合

综合网管系统等提供运行状态监测功能的系统

核查是否部署了具备运行状态监测功能的系统或设备，能够对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测

测试验证运行状态监测系统是否根据网络链路、安全设备、网络设备和服务器等的工作状态、依据设定的阀值（或默认阀值）实时报警

均为肯定则符合，否则不符合或部分符合

综合安全审计系统、数据库审计系统等提供集中审计功能的系统

核查各个设备是否配置并启用了相关策略，将审计数据发送到独立于设备自身的外部集中安全审计系统中

核查是否部署统一的集中安全审计系统，统一收集和存储各设备日志，并根据需要进行集中审计分析

核查审计记录的留存时间是否至少为6个月

均为肯定则符合，否则不符合或部分符合

提供集中安全管控功能的系统

核查是否能够对安全策略（如防火墙访问控制策略、入侵防护系统防护策略、WAF安全防护策略等）进行集中管理

核查是否实现对操作系统防恶意代码系统及网络恶意代码防护设备的集中管理，实现对防恶意代码病毒规则库的升级进行集中管理

核查是否实现对各个系统或设备的补丁升级进行集中管理

均为肯定则符合，否则不符合或部分符合

提供集中安全管控功能的系统

核查是否部署了相关系统平台能够对各类安全事件进行分析并通过声光等方式实时报警

核查检测范围是否能够覆盖网络所有关键路径

均为肯定则符合，否则不符合或部分符合

总体方针策略类文档

核查网络安全工作的总体方针和安全策略文件是否明确机构安全工作的总体目标、范围、原则和各类安全策略

肯定则符合，否则不符合

安全管理制度类文档

核查各项安全管理制度是否覆盖物理、网络、主机系统、数据、应用、建设和运维等管理内容

肯定则符合，否则不符合

操作规程类文档

核查是否具有日常管理操作的操作规程，如系统维护手册和用户操作规程等

肯定则符合，否则不符合

总体方针策略类文档、管理制度、操作规程类文档和记录表单类文档

核查总体方针策略文件、管理制度和操作规程、记录表单是否全面且具有关联性和一致性

肯定则符合，否则不符合

部门/人员职责文件等

核查是否由专门的部门或人员负责制定安全管理制度

肯定则符合，否则不符合

管理制度类文档和记录表单类文档

核查制度制定和发布要求管理文档是否说明安全管理制度的制定和发布程序、格式要去 及版本编号等相关内容

核查安全管理制度的收发登记记录是否通过正式、有效的方式收发，如正式发文、领导签署和单位盖章等

均为肯定则符合，否则不符合或部分符合

信息/网络安全主管和记录表单类文档

访谈信息/网络安全主管是否定期对安全管理制度的合理性和适用性进行审定

核查是否具有安全管理制度的审定或论证记录，如果对制度做过修订，检查是否有修订版本的安全管理制度

均为肯定则符合，否则不符合或部分符合

信息/网络安全主管、管理制度类文档和记录表单类文档

访谈信息/网络安全主管是否成立了指导和管理网络安全工作的委员会或领导小组

核查相关文档是否明确了网络安全工作委员会或领导小组构成情况和相关职责

核查委员会或领导小组的最高领导是否由单位主管领导担任或由其进行了授权

均为肯定则符合，否则不符合或部分符合

信息/网络安全主管和管理制度类文档

访谈信息/网络安全主管是否设立网络安全管理工作的智能部门

核查部门职责文档是否明确网络安全管理工作的智能部门和各负责人职责

核查岗位职责文档是否有岗位划分情况和岗位职责

均为肯定则符合，否则不符合或部分符合

信息/网络安全主管和管理制度类文档

访谈信息/网络安全主管是否进行了安全管理岗位的划分

核查岗位职责文档是否明确了各部门及各岗位职责

均为肯定则符合，否则不符合或部分符合

信息/网络安全主管和记录表单类文档

访谈信息/网络安全主管是否配备系统管理员、审计管理员和安全管理员

核查人员配备文档是否明确各岗位人员配备情况

均为肯定则符合，否则不符合或部分符合

记录表单类文档

核查人员配备文档是否配备了专职安全管理员

肯定则符合，否则不符合

管理制度类文档和记录表单类文档

核查部门职责文档是否明确各部门审批事项

核查岗位职责文档是否明确各岗位审批事项

均为肯定则符合，否则不符合或部分符合

操作规程类文档和记录表单类文档

核查系统变更、重要操作、物理访问和系统接入等事项的操作规范是否明确建立了逐级审批程序

核查审批记录、操作记录，审批结果是否与相关制度一致

均为肯定则符合，否则不符合或部分符合

信息/网络安全主管和记录表单类文档

访谈信息/网络安全主管是否对各类审批事项进行更新

核查是否具有定期审查审批事项的记录

均为肯定则符合，否则不符合或部分符合

信息/网络安全主管和记录表单类文档

访谈信息/网络安全主管是否建立了各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通机制

核查会议记录师傅明确各类管理人员、组织内部机构和网络安全管理部门之间开展了合作与沟通

均为肯定则符合，否则不符合或部分符合

信息/网络安全主管和记录表单类文档

访谈信息/网络安全主管是否建立了与网络安全智能部门、各类供应商、业界专家及安全组织的合作与沟通机制

核查会议记录是否与网络安全智能部门、各类供应商、业界专家及安全组织开展了合作与沟通

均为肯定则符合，否则不符合或部分符合

记录表单类文档

核查外联单位联系列表是否记录了外联单位名称、合作内容、联系人和联系方式等信息

均为肯定则符合，否则不符合

信息/网络安全主管和记录表单类文档

访谈信息/网络安全主管是否定期进行了常规安全检查

核查常规安全检查记录是否包括了系统日常运行、系统漏洞和数据备份等情况

均为肯定则符合，否则不符合或部分符合

信息/网络安全主管和记录表单类文档

访谈信息/网络安全主管是否定期进行了全面安全检查

核查全面安全检查记录是否包括了现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等

均为肯定则符合，否则不符合或部分符合

记录表单类文档

核查是否具有安全检查表格、安全检查记录、安全检查报告、安全检查结果通报记录

均为肯定则符合，否则不符合

信息/网络安全主管

访谈信息/网络安全主管是否有专门的部门或人员负责人员的录用工作

肯定则符合，否则不符合

管理制度类文档和记录表单类文档

核查人员安全管理文档是否说明录用人员应具备的条件（如学历、学位要求，技术人员应具备的专业技术水平，管理人员应具备的安全管理知识等）

核查是否具有人员录用时对录用人身份、安全背景、专业资格或资质等进行审查的相关文档或记录，是否记录审查内容和审查结果等

核查人员录用时的技能考核文档或记录是否记录考核内容和考核结果等

均为肯定则符合，否则不符合或部分符合

记录表单类文档

核查保密协议是否有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容

核查岗位安全协议是否有岗位安全责任定义、协议的有效期限和责任人签字等内容

均为肯定则符合，否则不符合或部分符合

记录表单类文档

核查是否具有离岗人员终止其访问权限、交换身份证件、软硬件设备等的登记记录

肯定则符合，否则不符合

管理制度类文档和记录表单类文档

核查人员离岗的管理文档是否规定了人员调离手续和离岗要求等

核查是否具有按照离岗程序办理调离手续的记录

核查保密承诺文档是否有调离人员的签字

均为肯定则符合，否则不符合或部分符合

管理类文档

核查安全意识教育及岗位技能培训文档是否明确培训周期、培训方式、培训内容和考核方式等相关内容

核查安全责任和惩戒措施管理文档或培训文档是否包含具体的安全责任和惩戒措施

记录表单类文档

核查安全教育和培训计划文档是否具有不同岗位的培训计划

核查培训内容是否包含安全基础知识、岗位操作规程等

核查安全教育和培训记录是否有培训人员、培训内容、培训结果等描述

均肯定则符合，否则不符合或部分符合

记录表单类文档

核查是否具有针对各岗位人员的技能考核记录

肯定则符合，否则不符合

管理制度类文档和记录表单类文档

核查外部人员访问管理文档是否明确允许外部人员访问的范围、外部人员进入的条件、外部人员进入的访问控制措施等

核查外部人员访问重要区域的书面申请文档是否具有批准人允许访问的批准签字等

核查外部人员访问重要区域的登记记录是否记录了外部人员访问重要区域的进入时间、离开时间、访问区域及陪同人等

核查外部人员访问管理文档是否明确允许外部人员访问的范围、外部人员进入的条件、外部人员进入的访问控制措施等

核查外部人员访问重要区域的书面申请文档，是否具有批准人允许访问的批准签字等

核查外部人员访问重要区域的登记记录是否记录了外部人员访问重要区域的进入时间、离开时间、访问区域及陪同人等

均肯定则符合，否则不符合或部分符合

管理制度类文档和记录表单类文档

核查外部人员访问管理文档是否明确外部人员接入受控网络前的申请审批流程

核查外部人员访问系统的书面申请文档是否明确外部人员的访问权限，是否具有允许访问的批准签字等

核查外部人员访问系统的登记记录是否记录了外部人员访问的权限、时限、账户等

均为肯定则符合，否则不符合或部分符合

管理制度类文档和记录表单类文档

核查外部人员访问管理文档是否明确外部人员离开后及时清除其所有访问权限

核查外部人员访问系统的登记记录是否记录了访问权限清除时间

均为肯定则符合，否则不符合或部分符合

记录表单类文档

核查外部人员访问保密协议是否明确人员的保密义务（如不得进行非授权操作，不得复制信息等）

肯定则符合，否则不符合

记录表单类文档

核查定级文档是否明确保护对象的安全保护等级，是否说明定级的方法和理由

肯定则符合，否则不符合

记录表单类文档

核查定级结果的论证评审会议记录是否有相关部门和有关安全技术专家对定级结果的论证意见

肯定则符合，否则不符合

记录表单类文档

核查定级结果部门审批文档是否有上级主管部门或本单位相关部门的审批意见

肯定则符合，否则不符合

记录表单类文档

核查是否具有公安机关出具的备案证明文档

肯定则符合，否则不符合

安全规划设计类文档

核查安全设计文档是否根据安全保护等级选择安全措施，是否根据安全需求调整安全措施

肯定则符合，否则不符合

安全规划设计类文档

核查是否有总体规划和安全设计方案等配套文件，设计方案中应包含密码技术相关内容

肯定则符合，否则不符合

记录表单类文档

核查配套文件的论证评审记录或文档是否有相关部门和有关安全技术专家对总体安全规划、安全设计方案等相关配套文件的批准意见和论证意见

肯定则符合，否则不符合

记录表单类文档

核查有关网络安全产品是否符合国家的有关规定，如网络安全产品获得了销售许可等

肯定则符合，否则不符合

建设负责人和记录表单类文档

访谈建设负责人是否采用了密码产品及其相关服务

核查密码产品与服务的采购和使用是否符合国家密码管理主管部门的要求

均为肯定则符合，否则不符合或部分符合

记录表单类文档

核查是否具有产品选型测试结果文档、候选产品采购清单及审定或更新的记录

肯定则符合，否则不符合

建设负责人

访谈建设负责人自主开发软件是否在独立的物理环境中完成编码和调试，与实际运行环境分开

核查测试数据和结果是否受控使用

均为肯定则符合，否则不符合或部分符合

管理制度类文档

核查软件开发管理制度是否明确软件设计、开发、测试和验收过程的控制方法和人员行为准则，是否明确哪些开发活动应经过授权和审批

肯定则符合，否则不符合

管理制度类文档

核查代码编写安全规范是否明确代码安全编写规则

肯定则符合，否则不符合

软件开发类文档

核查是否具有软件开发文档和使用指南，并对文档使用进行控制

肯定则符合，否则不符合

记录表单类文档

核查是否具有软件安全测试报告和代码审计报告，明确软件存在的安全问题及可能存在的恶意代码

肯定则符合，否则不符合

记录表单类文档

核查对程序资源库的修改、更新、发布进行授权和审计的文档或记录是否有批准人的签字

肯定则符合，否则不符合

建设负责人

访谈建设负责人开发人员是否为专职，是否对开发人员活动进行控制等

肯定则符合，否则不符合

记录表单类文档

核查是否具有交付前的恶意代码检测报告

肯定则符合，否则不符合

操作规程类文档和记录表单类文档

核查是否具有软件开发的相关文档，如需求分析说明书、软件设计说明书等，是否具有软件操作手册或使用指南

肯定则符合，否则不符合

建设负责人和记录表单类文档

访谈建设负责人委托开发单位是否提供软件源代码

核查软件测试报告是否审查了软件可能存在的后门和隐蔽新信道

均为肯定则符合，否则不符合或部分符合

记录表单类文档

核查是否指定专门部门或人员对工程实施进行进度和质量控制

肯定则符合，否则不符合

记录表单类文档

核查安全工程实施方案是否包括工程时间限制、进度控制和质量控制等方面内容，是否按照工程实施方面的管理制度进行各类控制、产生阶段性文档等

肯定则符合，否则不符合

记录表单类文档

核查工程监理报告是否明确了工程进展、时间计划、控制措施等方面内容

肯定则符合，否则不符合

记录表单类文档

核查工程测试验收方案是否明确说明参与测试的部门、人员、测试验收内容、现场操作过程等内容

核查测试验收报告是否有相关部门和人员对测试验收报告进行审定的意见

均为肯定则符合，否则不符合或部分符合

记录表单类文档

核查是否具有上线前的安全测试报告，报告应包含密码应用安全性测试相关内容

肯定则符合，否则不符合

记录表单类文档

核查交付清单是否说明交付的各类设备、软件、文档等

肯定则符合，否则不符合

记录表单类文档

核查系统交付技术培训记录是否包括培训内容、培训时间和参与人员等

肯定则符合，否则不符合

记录表单类文档

核查交付文档是否包括建设过程文档和运行维护文档等，提交的文档是否符合管理规定的要求

肯定则符合，否则不符合

运维负责人和记录表单类文档

访谈运维负责人本次测评是否为首次，若非首次，是否根据以往测评结果进行相应的安全整改

核查是否具有以往等级测评报告和安全整改方案

均为肯定则符合，否则不符合或部分符合

运维负责人和记录表单类文档

核查是否有过重大变更或级别发生过变化及是否进行相应的等级测评

核查是否具有相应情况下的等级测评报告

测评判定

等级测评报告和相关资质文件

核查以往等级测评的测评单位是否具有等级测评机构资质

肯定则符合，否则不符合

建设负责人

访谈建设负责人选择的安全服务商是否符合国家有关规定

肯定则符合，否则不符合

记录表单类文档

核查与服务供应商签订的服务合同或安全责任书是否明确了后期的技术支持和服务承诺等内容

肯定则符合，否则不符合

管理制度类文档和记录表单类文档

核查是否具有服务供应商定期提交的安全服务报告

核查是否定期审核评估服务供应商所提供的服务及服务内容变更情况，是否具有服务审核报告

核查是否具有服务供应商评价审核管理制度，明确针对服务供应商的评价指标、考核内容等

均为肯定则符合，否则不符合或部分符合

物理安全负责人和记录表单类文档

访谈物理安全负责人是否指定部门和人员负责机房安全管理工作，对机房的出入进行管理、对基础设施（如空调、供配电设备、灭火设备等）进行定期维护

核查部门或人员岗位职责文档是否明确机房安全的责任部门及人员

核查机房的出入登记记录是否记录来访人员、来访时间、离开时间、携带物品等信息

核查机房的基础设施的维护记录是否记录维护日期、维护人、维护设备、故障原因、维护结果等方面内容

均为肯定则符合，否则不符合或部分符合

管理制度类文档和记录表单类文档

核查机房安全管理制度是否覆盖物理访问、物品进出和环境安全等方面内容

核查物理访问、物品进出和环境安全等相关记录是否与制度相符

均为肯定则符合，否则不符合或部分符合

管理制度类文档和办公环境

核查机房安全管理制度是否明确来访人员的接待区域

核查办公桌面上等位置是否未随意放置了含有敏感信息的纸档文件和移动介质等

均为肯定则符合，否则不符合或部分符合

记录表单类文档

核查资产清单是否包括资产类别（含设备设施、软件、文档等）、资产责任部门、重要程度和所处位置等内容

肯定则符合，否则不符合

资产管理员、管理制度类文档和设备

（1） 访谈资产管理员是否依据资产的重要程度对资产进行标识，不同类别的资产在管理措施的选择上是否不同

（2） 核查资产管理制度是否明确资产的标识方法以及不同资产的管理措施要求

（3） 核查资产清单中的设备是否具有相应标识，标识方法是否符合2）的相关要求

均为肯定则符合，否则不符合或部分符合

管理制度类文档

（1） 核查信息分类文档是否规定了分类标识的原则和方法（如根据信息的重要程度、敏感程度或用途不同进行分类）

（2） 核查信息资产管理办法是否规定了不同类信息的使用、传输和存储等要求

均为肯定则符合，否则不符合或部分符合

资产管理员和记录表单类文档

（1） 访谈资产管理员介质存放环境是否安全，存放环境是否由专人管理

（2） 核查介质管理记录是否记录介质归档、使用和定期盘点等情况

均为肯定则符合，否则不符合或部分符合

资产管理员和记录表单类文档

（1） 访谈资产管理员介质在物理传输过程中的人员选择、打包、交付等情况是否进行控制

（2） 核查是否对介质的归档和查询等进行登记记录

均为肯定则符合，否则不符合或部分符合

设备管理员和管理制度类文档

（1） 访谈设备管理员是否对各类设备、线路指定专人或专门部门进行定期维护

（2） 核查部门或人员岗位职责文档是否明确设备维护管理的责任部门

均为肯定则符合，否则不符合或部分符合

管理制度类文档和记录表单类文档

（1） 核查设备维护管理制度是否明确维护人员的责任、维修和服务的审批、维修过程的监督控制等方面内容

（2） 核查是否留有维修和服务的审批、维修过程等记录，审批、记录内容是否与制度相符

均为肯定则符合，否则不符合或部分符合

设备管理员和记录表单类文档

（1） 访谈设备管理员含有重要数据的设备带出工作环境是否有加密措施

（2） 访谈设备管理员对带离机房的设备是否经过审批

（3） 核查是否具有设备带离机房或办公地点的审批记录

均为肯定则符合，否则不符合或部分符合

设备管理员

访谈设备管理员含有存储介质的设备在报废或重用前，是否采取措施进行完全清除或安全覆盖

肯定则符合，否则不符合

记录表单类文档

（1） 核查是否有识别安全漏洞和隐患的安全报告或记录（如漏洞扫描报告、渗透测试报告和安全通报等）

（2） 核查相关记录是否对发现的漏洞及时进行修补或评估可能的影响后进行修补

均为肯定则符合，否则不符合或部分符合

安全管理员和记录表单类文档

（1） 访谈安全管理员是否定期开展安全测评

（2） 核查是否具有安全测评报告

（3） 核查是否具有安全整改应对措施文档

均为肯定则符合，否则不符合或部分符合

记录表单类文档

核查网络和系统安全管理文档，系统管理员是否划分了不同角色，并定义各个角色的责任和权限

肯定则符合，否则不符合

运维负责人和记录表单类文档

（1） 访谈运维负责人是否指定专门的部门或人员进行账户管理

（2） 核查相关审批记录或流程是否对申请账户、建立账户、删除账户等进行控制

均为肯定则符合，否则不符合或部分符合

管理制度类文档

肯定则符合，否则不符合

操作规章类文档

核查重要设备或系统（如操作系统、数据库、网络设备、安全设备、应用和组件）的配置和操作手册是否明确操作步骤、参数配置等内容

肯定则符合，否则不符合

记录表单类文档

核查运维操作日志是否覆盖网络和系统的日常巡检工作、运行维护记录、参数的设置和修改等内容

肯定则符合，否则不符合

系统管理员和记录表单类文档

（1） 访谈网络和系统相关人员是否指定专门部门或人员对日志、监测和报警数据等进行分析统计

（2） 核查是否具有对日志、监测和报警数据等进行分析统计的报告

均为肯定则符合，否则不符合或部分符合

系统管理员和记录表单类文档

（1） 访谈网络和系统相关人员调整配置参数结束后是否同步更新配置信息库，并核实配置信息库是否为最新版本

（2） 核查是否具有变更运维的审批记录，如系统连接、安装系统组件或调整配置参数等活动

（3） 核查是否具有变更运维的操作过程记录

均为肯定则符合，否则不符合或部分符合

系统管理员和记录表单类文档

（1） 访谈系统管理员使用运维工具结束后是否删除工具中的敏感数据

（2） 核查是否具有运维工具接入系统的审批记录

（3） 核查运维工具的审计日志记录，审计日志是否不可以更改

均为肯定则符合，否则不符合或部分符合

系统管理员和记录表单类文档

（1） 访谈系统相关人员日常运维过程中是否存在远程运维，若存在，远程运维结束后是否立即关闭了接口或通道

（2） 核查开通远程运维的审批记录

（3） 核查针对远程运维的审计日志是否不可以更改

均为肯定则符合，否则不符合或部分符合

安全管理员和记录表单类文档

（1） 访谈系统相关人员网络外联连接（如互联网、合作伙伴企业网、上级部门网络等）是否都得到授权与批准

（2） 访谈网络管理员是否定期核查违规联网行为

（3） 核查是否具有外联授权的记录文件

均为肯定则符合，否则不符合或部分符合

运维负责人和管理制度类文档

（1） 访谈运维负责人是否采取培训和告知等方式提升员工的防恶意代码意识

（2） 核查恶意代码防范管理制度是否明确对外来计算机或存储设备接入系统前进行恶意代码检查

均为肯定则符合，否则不符合或部分符合

安全管理员和记录表单类文档

（1） 若采用可信验证技术，应访谈安全管理员是否未发生过恶意代码攻击事件

（2） 若采用防恶意代码产品，应访谈安全管理员是否定期对恶意代码库进行升级，且对升级情况进行记录，对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报，是否未出现过大规模的病毒事件

（3） 核查是否具有恶意代码检测记录，恶意代码库升级记录和分析报告

如果（1）或（2）和（3）均为肯定则符合，否则不符合或部分符合

系统管理员

访谈系统管理员是否对基本配置信息进行记录和保存

肯定则符合，否则不符合

系统管理员和记录表单类文档

（1） 访谈配置管理人员基本配置信息改变后是否及时更新基本配置信息库

（2） 核查配置信息的变更流程是否具有相应的申报审批程序

均为肯定则符合，否则不符合或部分符合

安全管理员

访谈安全管理员密码管理过程中是否遵循密码相关的国家标准和行业标准要求

肯定则符合，否则不符合

安全管理员

核查相关产品是否获得有效的国家密码管理主管部门规定的检测报告或密码产品型号证书

肯定则符合，否则不符合

记录表单类文档

（1） 核查变更方案是否包含变更类型、变更原因、变更过程、变更前评估等内容

（2） 核查是否具有变更方案评审和变更过程记录文档

均为肯定则符合，否则不符合或部分符合

记录表单类文档

（1） 核查变更控制的申报、审批程序其是否规定需要申报的变更类型、申报流程、审批部门、批准人等方面内容

（2） 核查是否具有变更实施过程的记录文档

均为肯定则符合，否则不符合或部分符合

运维负责人和记录表单类文档

（1） 访谈运维负责人变更中止或失败后的恢复程序、工作方法和职责是否文档化，恢复过程是否经过演练

（2） 核查是否具有变更恢复演练记录

（3） 核查变更恢复程序是否规定变更中止或失败后的恢复流程

均为肯定则符合，否则不符合或部分符合

系统管理员和记录表单类文档

（1） 访谈系统管理员有哪些需定期备份的业务信息、系统数据及软件系统

（2） 核查是否具有定期备份的重要业务信息、系统数据、软件系统的列表或清单

均为肯定则符合，否则不符合或部分符合

管理制度类文档

核查备份与恢复管理制度是否明确备份方式、频度、介质、保存期等内容

肯定则符合，否则不符合

管理制度类文档

核查备份和恢复的策略文档是否根据数据的重要程度制定响应备份恢复策略和程序等

肯定则符合，否则不符合

运维负责人和记录表单类文档

（1） 访谈运维负责人是否告知用户在发现安全弱点和可疑事件时及时向安全管理部门报告

（2） 核查在发现安全弱点和可疑事件后是否具备对应的报告或相关文档

均为肯定则符合，否则不符合或部分符合

管理制度类文档

核查安全事件报告和处置管理制度是否明确了与安全事件有关的工作职责、不同安全事件的报告、处置和响应流程等

肯定则符合，否则不符合

记录表单类文档

核查安全事件报告和响应处置记录是否记录引发安全事件的原因、证据、处置过程、经验教训、补救措施等内容

肯定则符合，否则不符合

运维负责人和记录表单类文档

核查针对重大安全事件是否制定不同安全事件报告和处理流程，是否明确具体报告方式、报告内容、报告人等方面内容

均为肯定则符合，否则不符合或部分符合

管理制度类文档

核查应急预案框架是否覆盖启动应急预案的条件、应急组织构成、应急资源保障、事后教育和培训等方面

肯定则符合，否则不符合

管理制度类文档

核查是否具有重要事件的应急预案（如针对机房、系统、网络等各个方面）。

肯定则符合，否则不符合

运维负责人和记录表单类文档

（1） 访谈运维负责人是否定期对相关人员进行应急预案培训和演练

（2） 核查应急预案培训记录是否明确培训对象、培训内容、培训结果等

（3） 核查应急预案演练记录是否记录演练时间、主要操作内容、演练结果等

均为肯定则符合，否则不符合或部分符合

记录表单类文档

核查应急预案修订记录是否定期评估并修订完善等