企業(yè)信息安全管理體系自評(píng)工具表一、工具概述本工具旨在幫助企業(yè)系統(tǒng)化、規(guī)范化地開(kāi)展信息安全管理體系（ISMS）自評(píng)工作，通過(guò)對(duì)照國(guó)家標(biāo)準(zhǔn)（如GB/T22080-2022《信息技術(shù)安全技術(shù)信息安全管理體系要求》及行業(yè)規(guī)范），全面梳理ISMS建設(shè)的合規(guī)性、有效性和適宜性，識(shí)別管理短板與風(fēng)險(xiǎn)點(diǎn)，為體系持續(xù)改進(jìn)提供依據(jù)。自評(píng)結(jié)果可作為企業(yè)內(nèi)部管理優(yōu)化、第三方認(rèn)證審核及監(jiān)管合規(guī)的重要支撐。二、適用范圍與使用場(chǎng)景（一）適用對(duì)象已建立并運(yùn)行信息安全管理體系的企業(yè)，需定期開(kāi)展內(nèi)部自評(píng)以驗(yàn)證體系有效性；計(jì)劃申請(qǐng)信息安全管理體系認(rèn)證（如ISO27001認(rèn)證）的企業(yè)，可通過(guò)自評(píng)預(yù)判認(rèn)證符合性；因業(yè)務(wù)擴(kuò)張、法律法規(guī)更新或組織架構(gòu)調(diào)整，需評(píng)估ISMS適用性的企業(yè)；行業(yè)監(jiān)管機(jī)構(gòu)要求開(kāi)展信息安全自查的企業(yè)（如金融、能源、醫(yī)療等重點(diǎn)行業(yè)）。（二）使用場(chǎng)景年度體系評(píng)審：每年結(jié)合體系運(yùn)行情況，開(kāi)展全面自評(píng)，形成年度管理評(píng)審輸入；專(zhuān)項(xiàng)問(wèn)題整改后驗(yàn)證：針對(duì)內(nèi)外部審核（如認(rèn)證審核、監(jiān)管檢查）發(fā)覺(jué)的不符合項(xiàng)，完成整改后通過(guò)自評(píng)驗(yàn)證整改效果；新業(yè)務(wù)/系統(tǒng)上線前評(píng)估：在引入新業(yè)務(wù)、新技術(shù)或信息系統(tǒng)上線前，評(píng)估現(xiàn)有ISMS對(duì)新增場(chǎng)景的覆蓋能力；法規(guī)合規(guī)性對(duì)標(biāo)：當(dāng)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等新法規(guī)實(shí)施時(shí)，通過(guò)自評(píng)判斷體系合規(guī)性并及時(shí)更新。三、自評(píng)工作實(shí)施流程（一）準(zhǔn)備階段：明確目標(biāo)與資源保障成立自評(píng)小組由企業(yè)最高管理者指定自評(píng)組組長(zhǎng)（如信息安全負(fù)責(zé)人或管理者代表），成員包括各部門(mén)負(fù)責(zé)人、IT運(yùn)維人員、業(yè)務(wù)骨干及內(nèi)審員（可邀請(qǐng)外部專(zhuān)家參與，如*顧問(wèn)）；明確分工：組長(zhǎng)統(tǒng)籌自評(píng)工作，技術(shù)組負(fù)責(zé)IT系統(tǒng)與數(shù)據(jù)安全評(píng)估，管理組負(fù)責(zé)制度與流程合規(guī)性檢查，業(yè)務(wù)組評(píng)估ISMS對(duì)業(yè)務(wù)支撐的有效性。制定自評(píng)計(jì)劃內(nèi)容包括：自評(píng)范圍（覆蓋全部門(mén)/特定業(yè)務(wù)域）、依據(jù)標(biāo)準(zhǔn)（如GB/T22080-2022、行業(yè)補(bǔ)充規(guī)范）、時(shí)間節(jié)點(diǎn)（啟動(dòng)會(huì)、現(xiàn)場(chǎng)檢查、報(bào)告編制）、人員職責(zé)及輸出文檔清單；示例：計(jì)劃周期為2周，第1周完成資料收集與現(xiàn)場(chǎng)檢查，第2周匯總問(wèn)題并編制報(bào)告。收集與梳理資料收集體系文件：ISMS手冊(cè)、程序文件、管理制度（如《信息安全事件應(yīng)急預(yù)案》《數(shù)據(jù)分類(lèi)分級(jí)指南》）、操作規(guī)程；收集運(yùn)行記錄：風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處理計(jì)劃、培訓(xùn)記錄、訪問(wèn)控制日志、事件處置記錄、合規(guī)性評(píng)價(jià)報(bào)告等；收集外部要求：相關(guān)法律法規(guī)、行業(yè)標(biāo)準(zhǔn)（如金融行業(yè)的《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》）、客戶(hù)或合作方安全要求。（二）實(shí)施階段：現(xiàn)場(chǎng)檢查與評(píng)分記錄召開(kāi)自評(píng)啟動(dòng)會(huì)參與人員：自評(píng)小組成員、各部門(mén)負(fù)責(zé)人、管理層代表；內(nèi)容：明確自評(píng)目的、流程、要求及時(shí)間安排，強(qiáng)調(diào)自評(píng)的客觀性與保密性。依據(jù)條款逐項(xiàng)檢查對(duì)照《企業(yè)信息安全管理體系自評(píng)表》（見(jiàn)第四部分），按“一級(jí)條款→二級(jí)條款→評(píng)分項(xiàng)”逐項(xiàng)開(kāi)展檢查；檢查方式包括：文件審閱：查閱制度文件的完整性、適宜性及審批流程；記錄核查：抽查關(guān)鍵記錄（如培訓(xùn)簽到表、漏洞修復(fù)記錄）的真實(shí)性、完整性；現(xiàn)場(chǎng)訪談：與崗位員工（如系統(tǒng)管理員、業(yè)務(wù)操作員）訪談，知曉其對(duì)安全制度的執(zhí)行情況；技術(shù)檢測(cè)：通過(guò)工具掃描（如漏洞掃描、配置審計(jì)）驗(yàn)證技術(shù)控制措施的有效性（需由技術(shù)組實(shí)施）。記錄檢查發(fā)覺(jué)與證據(jù)對(duì)每個(gè)評(píng)分項(xiàng)，詳細(xì)記錄檢查情況：符合項(xiàng)：注明依據(jù)文件（如“符合《訪問(wèn)控制程序》第3.2條”）、證據(jù)編號(hào)（如“記錄編號(hào)：XC-2024-001”）；部分符合項(xiàng)：說(shuō)明不符合的具體環(huán)節(jié)（如“部分員工未完成年度安全復(fù)訓(xùn)，記錄編號(hào)：PX-2024-005”）；不符合項(xiàng)：描述問(wèn)題描述、發(fā)生時(shí)間、涉及部門(mén)及人員（如“2024年3月服務(wù)器A未啟用登錄失敗鎖定策略，負(fù)責(zé)人：*工”）。保證證據(jù)可追溯：文件記錄需標(biāo)注版本號(hào)與日期，訪談需記錄被訪談人（*經(jīng)理）、崗位及時(shí)間。（三）報(bào)告階段：?jiǎn)栴}匯總與改進(jìn)建議匯總自評(píng)結(jié)果統(tǒng)計(jì)各條款得分：計(jì)算“符合率”（符合項(xiàng)分值/總分值×100%），識(shí)別薄弱環(huán)節(jié)（如“物理與環(huán)境安全”條款符合率僅65%，為最低得分域）；分類(lèi)整理問(wèn)題：將不符合項(xiàng)與部分符合項(xiàng)按“管理類(lèi)”（如制度缺失、流程未執(zhí)行）、“技術(shù)類(lèi)”（如漏洞未修復(fù)、配置錯(cuò)誤）、“人員類(lèi)”（如意識(shí)不足、培訓(xùn)缺失）分類(lèi)。編制自評(píng)報(bào)告報(bào)告結(jié)構(gòu)包括：自評(píng)概述：目的、范圍、依據(jù)、時(shí)間、參與人員；自評(píng)結(jié)論：體系運(yùn)行總體評(píng)價(jià)（如“ISMS基本符合標(biāo)準(zhǔn)要求，但數(shù)據(jù)安全管理存在薄弱環(huán)節(jié)”）、符合率統(tǒng)計(jì)、重大不符合項(xiàng)說(shuō)明；問(wèn)題清單：按問(wèn)題嚴(yán)重程度排序，詳細(xì)描述問(wèn)題描述、責(zé)任部門(mén)、整改建議；改進(jìn)建議：針對(duì)系統(tǒng)性問(wèn)題（如制度體系不完善），提出體系優(yōu)化建議；針對(duì)具體問(wèn)題（如漏洞修復(fù)滯后），明確短期整改措施。報(bào)告需經(jīng)自評(píng)組組長(zhǎng)審核、最高管理者審批后發(fā)布。（四）改進(jìn)階段：整改落實(shí)與效果驗(yàn)證制定整改計(jì)劃責(zé)任部門(mén)針對(duì)問(wèn)題清單，制定《整改計(jì)劃表》，明確整改措施、負(fù)責(zé)人、完成時(shí)限（如“IT部于2024年6月30日前完成所有服務(wù)器登錄失敗策略配置”）；整改措施需符合“SMART原則”（具體、可衡量、可實(shí)現(xiàn)、相關(guān)、有時(shí)限）。跟蹤整改進(jìn)度自評(píng)小組每月召開(kāi)整改推進(jìn)會(huì)，核查責(zé)任部門(mén)整改進(jìn)展，對(duì)延期整改的原因進(jìn)行分析（如資源不足、技術(shù)難度大），并協(xié)調(diào)解決。驗(yàn)證整改效果整改期限屆滿(mǎn)后，自評(píng)小組對(duì)整改結(jié)果進(jìn)行驗(yàn)證：文件類(lèi)整改：檢查制度文件是否修訂、發(fā)布（如《訪問(wèn)控制程序》V2.0版審批記錄）；技術(shù)類(lèi)整改：通過(guò)技術(shù)檢測(cè)確認(rèn)措施是否生效（如服務(wù)器登錄失敗策略配置核查）；人員類(lèi)整改：抽查培訓(xùn)記錄、考核結(jié)果（如安全意識(shí)培訓(xùn)合格率≥95%）；驗(yàn)證通過(guò)后，關(guān)閉不符合項(xiàng)；未通過(guò)則重新制定整改計(jì)劃。四、企業(yè)信息安全管理體系自評(píng)表（模板）一級(jí)條款二級(jí)條款評(píng)分項(xiàng)評(píng)分標(biāo)準(zhǔn)得分證據(jù)記錄問(wèn)題描述責(zé)任部門(mén)整改期限4.信息安全方針4.1方針的建立最高管理者批準(zhǔn)了信息安全方針，方針包含目標(biāo)、框架和承諾符合：方針已批準(zhǔn)且內(nèi)容完整；部分符合：方針未包含所有要素；不符合：無(wú)正式方針5ISM-001管理部2024-05-314.2方針的溝通方針通過(guò)內(nèi)部郵件、公告欄等方式傳達(dá)至全體員工，并可為相關(guān)方獲取符合：有傳達(dá)記錄；部分符合：僅部分員工知曉；不符合：未傳達(dá)5XC-002人力資源部2024-06-155.信息安全風(fēng)險(xiǎn)評(píng)估5.1風(fēng)險(xiǎn)評(píng)估方法建立了風(fēng)險(xiǎn)評(píng)估方法，明確評(píng)估范圍、準(zhǔn)則、流程（如使用LEC法或風(fēng)險(xiǎn)矩陣法）符合：方法文件化且執(zhí)行；部分符合：方法未文件化；不符合：無(wú)風(fēng)險(xiǎn)評(píng)估方法5FX-001風(fēng)險(xiǎn)管理部2024-06-305.2風(fēng)險(xiǎn)評(píng)估實(shí)施定期開(kāi)展風(fēng)險(xiǎn)評(píng)估（至少每年1次），覆蓋資產(chǎn)、威脅、脆弱性分析，形成風(fēng)險(xiǎn)報(bào)告符合：按計(jì)劃執(zhí)行且報(bào)告完整；部分符合：未覆蓋所有資產(chǎn)；不符合：未開(kāi)展評(píng)估10FX-0022023年未開(kāi)展風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)管理部2024-07-316.信息安全風(fēng)險(xiǎn)處理6.1風(fēng)險(xiǎn)處理計(jì)劃針對(duì)高風(fēng)險(xiǎn)項(xiàng)制定處理計(jì)劃，明確措施（規(guī)避、降低、轉(zhuǎn)移、接受）、責(zé)任人和時(shí)限符合：計(jì)劃完整且落實(shí)；部分符合：部分風(fēng)險(xiǎn)無(wú)處理計(jì)劃；不符合：無(wú)處理計(jì)劃10FX-0032項(xiàng)高風(fēng)險(xiǎn)項(xiàng)未明確責(zé)任人IT部2024-08-156.2風(fēng)險(xiǎn)處理措施實(shí)施風(fēng)險(xiǎn)處理措施按計(jì)劃實(shí)施，并記錄實(shí)施效果（如漏洞修復(fù)率≥90%）符合：措施落實(shí)且有效；部分符合：部分措施未完成；不符合：措施未實(shí)施10FX-004漏洞修復(fù)率75%IT部2024-09-307.人力資源安全7.1崗位安全職責(zé)關(guān)鍵崗位（如系統(tǒng)管理員、數(shù)據(jù)分析師）明確安全職責(zé)，并在崗位說(shuō)明書(shū)中體現(xiàn)符合：職責(zé)清晰且文件化；部分符合：部分崗位未明確；不符合：無(wú)職責(zé)劃分5HR-001數(shù)據(jù)分析師職責(zé)未明確人力資源部2024-07-157.2安全意識(shí)培訓(xùn)新員工入職安全培訓(xùn)率100%，在職員工年度安全復(fù)訓(xùn)率≥90%，培訓(xùn)有記錄與考核符合：達(dá)標(biāo)；部分符合：復(fù)訓(xùn)率80%；不符合：復(fù)訓(xùn)率＜80%5PX-001復(fù)訓(xùn)率75%人力資源部2024-08-318.資產(chǎn)管理8.1資產(chǎn)清單建立信息資產(chǎn)清單（包括硬件、軟件、數(shù)據(jù)、人員），明確責(zé)任人及分類(lèi)級(jí)別符合：清單完整且更新及時(shí)（每季度）；部分符合：清單未更新；不符合：無(wú)清單5ZC-001未更新季度清單IT部2024-06-308.2資產(chǎn)分類(lèi)分級(jí)根據(jù)敏感度對(duì)資產(chǎn)進(jìn)行分類(lèi)分級(jí)（如公開(kāi)、內(nèi)部、秘密、機(jī)密），并采取相應(yīng)保護(hù)措施符合：分級(jí)合理且措施到位；部分符合：部分資產(chǎn)未分級(jí)；不符合：無(wú)分級(jí)機(jī)制5ZC-002客戶(hù)數(shù)據(jù)未分級(jí)業(yè)務(wù)部2024-07-159.訪問(wèn)控制9.1用戶(hù)注冊(cè)與注銷(xiāo)用戶(hù)賬號(hào)申請(qǐng)、變更、注銷(xiāo)流程規(guī)范，離職賬號(hào)24小時(shí)內(nèi)禁用符合：流程執(zhí)行嚴(yán)格；部分符合：離職賬號(hào)禁用超時(shí)；不符合：無(wú)流程控制5GL-001離職賬號(hào)3天后禁用人力資源部2024-06-309.2特權(quán)賬號(hào)管理管理員賬號(hào)實(shí)行“雙人共管”，定期（每季度）review賬號(hào)權(quán)限符合：符合要求；部分符合：未定期review；不符合：無(wú)雙人共管5GL-002未季度reviewIT部2024-07-3110.密碼學(xué)10.1密碼策略采用強(qiáng)密碼策略（長(zhǎng)度≥12位，包含大小寫(xiě)字母、數(shù)字、特殊符號(hào)），定期更換（90天）符合：策略執(zhí)行；部分符合：部分用戶(hù)未更換密碼；不符合：無(wú)密碼策略5GL-00330%用戶(hù)未更換密碼IT部2024-08-1511.物理與環(huán)境安全11.1機(jī)房訪問(wèn)控制機(jī)房實(shí)行“雙人雙鎖”管理，出入登記完整，監(jiān)控覆蓋無(wú)死角符合：達(dá)標(biāo)；部分符合：監(jiān)控存在盲區(qū)；不符合：無(wú)門(mén)禁系統(tǒng)5WL-001監(jiān)控盲區(qū)2處行政部2024-07-1511.2設(shè)備與環(huán)境安全機(jī)房配備溫濕度監(jiān)控、消防設(shè)備（如氣體滅火系統(tǒng)），定期（每月）檢查記錄符合：記錄完整；部分符合：部分設(shè)備未檢查；不符合：無(wú)消防設(shè)備5WL-0024月未檢查消防行政部2024-06-3012.運(yùn)營(yíng)安全12.1惡意代碼防范終端與服務(wù)器安裝殺毒軟件，病毒庫(kù)自動(dòng)更新，定期（每周）全盤(pán)掃描符合：掃描無(wú)病毒；部分符合：病毒庫(kù)未更新；不符合：未安裝殺毒軟件5YY-00110臺(tái)終端病毒庫(kù)過(guò)期IT部2024-06-3012.2補(bǔ)丁管理高危漏洞補(bǔ)丁7天內(nèi)修復(fù)，一般漏洞30天內(nèi)修復(fù)，修復(fù)率≥95%符合：達(dá)標(biāo)；部分符合：高危補(bǔ)丁修復(fù)延遲；不符合：未跟蹤補(bǔ)丁狀態(tài)5YY-0022項(xiàng)高危補(bǔ)丁超期IT部2024-07-0713.通信安全13.1網(wǎng)絡(luò)隔離業(yè)務(wù)網(wǎng)與辦公網(wǎng)邏輯隔離，無(wú)線網(wǎng)絡(luò)采用WPA3加密，禁止私自接入符合：隔離有效；部分符合：無(wú)線網(wǎng)絡(luò)未加密；不符合：存在私自接入5TX-0013臺(tái)辦公機(jī)接入業(yè)務(wù)網(wǎng)IT部2024-07-1513.2遠(yuǎn)程訪問(wèn)控制遠(yuǎn)程訪問(wèn)采用VPN+雙因素認(rèn)證，訪問(wèn)日志留存≥90天符合：日志完整；部分符合：未啟用雙因素認(rèn)證；不符合：無(wú)VPN控制5TX-002未啟用雙因素認(rèn)證IT部2024-08-3114.系統(tǒng)獲取/開(kāi)發(fā)/維護(hù)14.1開(kāi)發(fā)安全自研系統(tǒng)安全開(kāi)發(fā)生命周期（SDLC）包含需求分析、設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、上線各階段安全控制符合：流程完整；部分符合：測(cè)試階段未做安全測(cè)試；不符合：無(wú)SDLC控制5KF-001未做滲透測(cè)試研發(fā)部2024-09-3015.供應(yīng)商關(guān)系管理15.1供應(yīng)商安全評(píng)估對(duì)供應(yīng)商（如云服務(wù)商、外包團(tuán)隊(duì)）開(kāi)展安全評(píng)估，簽訂保密協(xié)議符合：評(píng)估記錄完整；部分符合：部分供應(yīng)商未評(píng)估；不符合：無(wú)評(píng)估機(jī)制5GY-0012家云服務(wù)商未評(píng)估采購(gòu)部2024-08-1516.事件管理16.1事件響應(yīng)預(yù)案制定信息安全事件應(yīng)急預(yù)案（如數(shù)據(jù)泄露、勒索病毒），明確處置流程與責(zé)任人符合：預(yù)案已演練；部分符合：預(yù)案未演練；不符合：無(wú)預(yù)案5SJ-001未開(kāi)展年度演練IT部2024-07-3116.2事件報(bào)告與處置事件發(fā)生后1小時(shí)內(nèi)上報(bào)IT部，24小時(shí)內(nèi)啟動(dòng)處置，事后形成分析報(bào)告符合：處置及時(shí)；部分符合：上報(bào)超時(shí)；不符合：未報(bào)告事件5SJ-0023月事件上報(bào)延遲2小時(shí)IT部2024-06-3017.業(yè)務(wù)連續(xù)性管理17.1業(yè)務(wù)影響分析開(kāi)展關(guān)鍵業(yè)務(wù)（如核心交易系統(tǒng)）影響分析，明確RTO（恢復(fù)時(shí)間目標(biāo)）、RPO（恢復(fù)點(diǎn)目標(biāo)）符合：分析報(bào)告完整；部分符合：未明確RTO/RPO；不符合：未開(kāi)展分析5YX-001未明確RTO業(yè)務(wù)部2024-08-3117.2災(zāi)備演練每年開(kāi)展1次災(zāi)備演練，驗(yàn)證恢復(fù)流程有效性，記錄演練結(jié)果并改進(jìn)符合：演練達(dá)標(biāo)；部分符合：演練未覆蓋關(guān)鍵業(yè)務(wù)；不符合：未開(kāi)展演練5YX-0022023年未演練IT部2024-09-3018.符合性18.1法律法規(guī)識(shí)別建立法律法規(guī)清單，識(shí)別適用的法律法規(guī)（如《個(gè)保法》），定期更新符合：清單更新及時(shí)；部分符合：漏識(shí)別法規(guī)；不符合：無(wú)清單5FH-001未更新2024年新規(guī)法務(wù)部2024-07-1518.2合規(guī)性評(píng)價(jià)每年開(kāi)展1次合規(guī)性評(píng)價(jià)，形成評(píng)價(jià)報(bào)告，針對(duì)不符合項(xiàng)整改符合：評(píng)價(jià)完整；部分符合：未整改不符合項(xiàng)；不符合：未開(kāi)展評(píng)價(jià)5FH-0022023年評(píng)價(jià)未整改法務(wù)部2024-08-31總分150五、自評(píng)工作關(guān)鍵注意事項(xiàng)（一）客觀公正，證據(jù)為王自評(píng)過(guò)程需以事實(shí)為依據(jù)，避免主觀臆斷。每個(gè)評(píng)分項(xiàng)的結(jié)論必須有對(duì)應(yīng)證據(jù)支撐（如文件記錄、檢測(cè)報(bào)告、訪談?dòng)涗洠?，證據(jù)需真實(shí)、可追溯，禁止憑經(jīng)驗(yàn)或猜測(cè)評(píng)分。（二）聚焦改進(jìn)，非追責(zé)導(dǎo)向自評(píng)目的是識(shí)別問(wèn)題并推動(dòng)改進(jìn)，而非追究個(gè)人責(zé)任。對(duì)發(fā)覺(jué)的不符合項(xiàng)，應(yīng)重點(diǎn)關(guān)注流程漏洞或資源不足等系統(tǒng)性原因，鼓勵(lì)員工主動(dòng)暴露問(wèn)題，營(yíng)造“安全無(wú)小事、改進(jìn)靠大家”的氛圍。（三）動(dòng)態(tài)更新，適配業(yè)務(wù)變化企業(yè)業(yè)務(wù)、技術(shù)及外部環(huán)境持續(xù)變化，自評(píng)工具需定期（如每年1次）評(píng)審更新，保證條款與最新標(biāo)準(zhǔn)（如GB/T22080-2022替代版）、業(yè)務(wù)場(chǎng)景（如云計(jì)算、物聯(lián)網(wǎng)應(yīng)用）及法規(guī)要求（如《式人工智能服務(wù)安全管理暫行辦法》）保持一致。（四）保密管理，防范信息泄露自評(píng)過(guò)程中接觸的企業(yè)敏感