信息技術(shù)安全風(fēng)險評估檢查清單一、引言信息技術(shù)的快速發(fā)展，信息系統(tǒng)已成為企業(yè)運營的核心支撐，但同時也面臨著來自內(nèi)外部的安全威脅。為規(guī)范信息技術(shù)安全風(fēng)險評估流程，全面、系統(tǒng)地識別信息系統(tǒng)存在的安全隱患，降低安全事件發(fā)生概率，特制定本檢查清單。本清單可作為企業(yè)、機構(gòu)開展安全風(fēng)險評估的通用工具，幫助評估人員有序完成評估工作，保證評估結(jié)果的客觀性與準(zhǔn)確性。二、適用范圍本檢查清單適用于以下場景：新建系統(tǒng)上線前評估：對即將投入運行的信息系統(tǒng)進行全面安全風(fēng)險檢查，保證系統(tǒng)滿足安全要求。現(xiàn)有系統(tǒng)定期評估：對運行中的信息系統(tǒng)進行周期性安全風(fēng)險復(fù)查，及時發(fā)覺并處置新出現(xiàn)的風(fēng)險。合規(guī)性審計評估：滿足法律法規(guī)（如《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》）或行業(yè)標(biāo)準(zhǔn)（如等保2.0）對安全風(fēng)險評估的合規(guī)要求。重大變更后評估：當(dāng)系統(tǒng)架構(gòu)、功能、運行環(huán)境等發(fā)生重大變更后，評估變更帶來的安全風(fēng)險。三、操作流程（一）評估準(zhǔn)備階段明確評估對象與范圍根據(jù)評估目標(biāo)，確定待評估的信息系統(tǒng)（如業(yè)務(wù)系統(tǒng)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等），明確系統(tǒng)的邊界、包含的資產(chǎn)清單（硬件、軟件、數(shù)據(jù)等）及關(guān)鍵業(yè)務(wù)功能。示例：若評估“企業(yè)OA系統(tǒng)”，范圍需涵蓋OA服務(wù)器、終端設(shè)備、相關(guān)網(wǎng)絡(luò)設(shè)備、系統(tǒng)內(nèi)存儲的敏感數(shù)據(jù)（如員工信息、公文數(shù)據(jù)）等。組建評估團隊團隊成員應(yīng)包括：評估組長（負責(zé)統(tǒng)籌協(xié)調(diào)）、技術(shù)專家（網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)等領(lǐng)域安全專家）、業(yè)務(wù)代表（熟悉系統(tǒng)業(yè)務(wù)流程，協(xié)助識別業(yè)務(wù)相關(guān)風(fēng)險）、合規(guī)人員（熟悉相關(guān)法律法規(guī)及標(biāo)準(zhǔn)）。明確各成員職責(zé)，保證覆蓋評估所需的全部專業(yè)領(lǐng)域。制定評估計劃結(jié)合評估范圍和資源，制定詳細的評估計劃，內(nèi)容包括：評估時間節(jié)點、工作步驟、人員分工、檢查方法、輸出文檔（如評估報告、整改清單）等。計劃需經(jīng)相關(guān)負責(zé)人（如信息技術(shù)部負責(zé)人、分管領(lǐng)導(dǎo)）審批后執(zhí)行。收集基礎(chǔ)信息收集系統(tǒng)相關(guān)文檔，包括：系統(tǒng)架構(gòu)圖、網(wǎng)絡(luò)拓撲圖、安全配置手冊、應(yīng)急預(yù)案、過往安全事件記錄、用戶權(quán)限清單等。知曉系統(tǒng)業(yè)務(wù)流程、數(shù)據(jù)流向、用戶群體及外部接口（如第三方系統(tǒng)對接接口）。（二）現(xiàn)場檢查與信息收集階段文檔審查對照收集的文檔，檢查其完整性、合規(guī)性及與實際情況的一致性。示例：檢查防火墻配置文檔是否與實際策略一致；應(yīng)急預(yù)案是否定期更新并組織演練。人員訪談與系統(tǒng)管理員、運維人員、業(yè)務(wù)用戶等進行訪談，知曉系統(tǒng)運行狀況、安全措施執(zhí)行情況及遇到的問題。示例：訪談系統(tǒng)管理員，知曉服務(wù)器賬號密碼管理策略；訪談業(yè)務(wù)用戶，知曉是否接受過安全意識培訓(xùn)。技術(shù)檢測使用專業(yè)工具或手動檢查，對系統(tǒng)技術(shù)層面的安全配置、漏洞進行檢測。示例：使用漏洞掃描工具掃描服務(wù)器操作系統(tǒng)及應(yīng)用的漏洞；檢查網(wǎng)絡(luò)設(shè)備（路由器、交換機）的默認(rèn)賬號是否修改?，F(xiàn)場觀察對物理環(huán)境、設(shè)備運行狀態(tài)等進行實地查看，核實是否符合安全要求。示例：檢查機房是否配備門禁系統(tǒng)、消防設(shè)施；查看服務(wù)器運行日志是否有異常記錄。（三）風(fēng)險分析與評估階段風(fēng)險識別從資產(chǎn)、威脅、脆弱性三個維度識別風(fēng)險：資產(chǎn)：識別系統(tǒng)中的關(guān)鍵資產(chǎn)（如核心業(yè)務(wù)數(shù)據(jù)、服務(wù)器設(shè)備），評估其重要性（高、中、低）。威脅：識別可能對資產(chǎn)造成危害的內(nèi)部或外部威脅（如黑客攻擊、病毒感染、誤操作、自然災(zāi)害等）。脆弱性：識別資產(chǎn)存在的安全弱點（如系統(tǒng)漏洞、配置錯誤、權(quán)限過度、物理防護不足等）。風(fēng)險計算根據(jù)威脅發(fā)生的可能性（高、中、低）和脆弱性被利用后對資產(chǎn)造成的影響程度（高、中、低），計算風(fēng)險值。示例：風(fēng)險值=可能性×影響程度（可采用定性或定量方法，如矩陣法）。風(fēng)險等級判定參照風(fēng)險矩陣（如下表），將風(fēng)險劃分為“高、中、低”三個等級，并確定處置優(yōu)先級。可能性高影響中影響低影響高可能性高風(fēng)險高風(fēng)險中風(fēng)險中可能性高風(fēng)險中風(fēng)險低風(fēng)險低可能性中風(fēng)險低風(fēng)險低風(fēng)險（四）報告編制與整改跟蹤階段編寫評估報告報告內(nèi)容應(yīng)包括：評估背景與范圍、評估方法與流程、風(fēng)險識別結(jié)果、風(fēng)險分析與評估結(jié)論、主要安全問題清單、整改建議等。報告需客觀、準(zhǔn)確反映評估情況，數(shù)據(jù)支撐充分，結(jié)論明確。制定整改計劃針對評估發(fā)覺的安全問題，制定整改計劃，明確整改內(nèi)容、責(zé)任人、整改期限及預(yù)期效果。示例：針對“服務(wù)器未安裝殺毒軟件”的問題，整改內(nèi)容為“安裝并啟用企業(yè)版殺毒軟件”，責(zé)任人為“系統(tǒng)管理員王*”，整改期限為“3個工作日內(nèi)”。跟蹤整改進度整改責(zé)任部門按照計劃落實整改措施，評估團隊定期跟蹤整改進度，對未按期完成整改的原因進行分析，協(xié)調(diào)資源解決。復(fù)查驗證整改期限結(jié)束后，評估團隊對整改結(jié)果進行復(fù)查，確認(rèn)問題是否徹底解決，必要時進行再次檢測，保證整改有效性。四、檢查清單模板信息技術(shù)安全風(fēng)險評估檢查表評估對象評估日期評估人員評估階段□準(zhǔn)備階段□現(xiàn)場檢查□風(fēng)險分析□報告整改系統(tǒng)名稱版本號（一）物理安全序號檢查內(nèi)容檢查方法檢查結(jié)果（符合/不符合/不適用）問題描述整改建議責(zé)任人整改期限1.1機房是否配備門禁系統(tǒng)，并嚴(yán)格管理訪問權(quán)限現(xiàn)場觀察、查閱門禁記錄1.2機房是否配備消防設(shè)施（如氣體滅火器、煙霧報警器），并定期檢查有效性現(xiàn)場觀察、查閱消防設(shè)施檢查記錄1.3服務(wù)器、網(wǎng)絡(luò)設(shè)備等關(guān)鍵設(shè)備是否放置在機柜內(nèi)，并固定牢固現(xiàn)場觀察1.4是否對機房溫濕度進行實時監(jiān)控，并記錄查閱溫濕度監(jiān)控記錄、現(xiàn)場觀察監(jiān)控設(shè)備（二）網(wǎng)絡(luò)安全序號檢查內(nèi)容檢查方法檢查結(jié)果（符合/不符合/不適用）問題描述整改建議責(zé)任人整改期限2.1防火墻是否啟用訪問控制策略，并按最小權(quán)限原則配置登錄防火墻查看策略、查閱策略配置文檔2.2互聯(lián)網(wǎng)出口是否部署入侵檢測/防御系統(tǒng)（IDS/IPS），并定期更新規(guī)則查看設(shè)備部署狀態(tài)、查閱規(guī)則更新記錄2.3網(wǎng)絡(luò)設(shè)備（路由器、交換機）的默認(rèn)賬號是否已修改，并啟用復(fù)雜密碼登錄設(shè)備檢查賬號密碼2.4是否對網(wǎng)絡(luò)流量進行監(jiān)控，記錄異常訪問行為查閱流量監(jiān)控日志、現(xiàn)場觀察監(jiān)控系統(tǒng)（三）主機安全序號檢查內(nèi)容檢查方法檢查結(jié)果（符合/不符合/不適用）問題描述整改建議責(zé)任人整改期限3.1服務(wù)器操作系統(tǒng)是否及時安裝安全補丁，并定期更新查閱補丁更新記錄、使用漏洞掃描工具檢測3.2是否關(guān)閉服務(wù)器不必要的服務(wù)和端口（如Telnet、FTP）登錄服務(wù)器檢查服務(wù)狀態(tài)、使用端口掃描工具3.3是否啟用服務(wù)器日志功能，并記錄登錄、操作等關(guān)鍵行為查閱日志配置、檢查日志完整性3.4是否安裝并啟用防病毒軟件，定期進行病毒查殺查看防病毒軟件狀態(tài)、查閱病毒庫更新記錄（四）應(yīng)用安全序號檢查內(nèi)容檢查方法檢查結(jié)果（符合/不符合/不適用）問題描述整改建議責(zé)任人整改期限4.1應(yīng)用系統(tǒng)是否進行身份認(rèn)證，并強制復(fù)雜密碼策略訪問應(yīng)用系統(tǒng)測試登錄功能、查閱用戶管理策略4.2是否對應(yīng)用系統(tǒng)的輸入?yún)?shù)進行校驗，防止SQL注入、跨站腳本等攻擊使用滲透測試工具檢測、查閱代碼審計報告4.3應(yīng)用系統(tǒng)用戶權(quán)限是否按職責(zé)分離原則分配，避免權(quán)限過度查閱用戶權(quán)限清單、測試越權(quán)訪問4.4是否對應(yīng)用系統(tǒng)敏感操作（如刪除、修改數(shù)據(jù)）進行日志記錄查閱操作日志、驗證日志內(nèi)容（五）數(shù)據(jù)安全序號檢查內(nèi)容檢查方法檢查結(jié)果（符合/不符合/不適用）問題描述整改建議責(zé)任人整改期限5.1敏感數(shù)據(jù)（如個人信息、財務(wù)數(shù)據(jù)）是否加密存儲查閱數(shù)據(jù)加密方案、測試數(shù)據(jù)解密功能5.2數(shù)據(jù)傳輸過程中是否采用加密方式（如、VPN）使用抓包工具檢測傳輸數(shù)據(jù)、查閱傳輸加密配置5.3是否定期對重要數(shù)據(jù)進行備份，并備份數(shù)據(jù)有效性驗證查閱數(shù)據(jù)備份記錄、測試數(shù)據(jù)恢復(fù)5.4數(shù)據(jù)訪問權(quán)限是否嚴(yán)格控制，并定期審計訪問日志查閱數(shù)據(jù)訪問權(quán)限清單、分析訪問日志（六）管理安全序號檢查內(nèi)容檢查方法檢查結(jié)果（符合/不符合/不適用）問題描述整改建議責(zé)任人整改期限6.1是否制定安全管理制度（如賬號管理、密碼管理、應(yīng)急響應(yīng)制度）查閱安全管理制度文件6.2是否定期開展安全意識培訓(xùn)，并記錄培訓(xùn)情況查閱培訓(xùn)計劃、培訓(xùn)記錄、簽到表6.3是否制定安全事件應(yīng)急預(yù)案，并定期組織演練查閱應(yīng)急預(yù)案、演練記錄6.4是否對第三方人員（如外包運維）訪問系統(tǒng)進行審批和權(quán)限控制查閱第三方人員訪問審批記錄、權(quán)限清單五、使用要點（一）清單動態(tài)更新本清單需根據(jù)信息技術(shù)發(fā)展、法律法規(guī)變化及企業(yè)實際情況定期更新（建議每年修訂一次），新增或調(diào)整檢查項，保證評估內(nèi)容與時俱進。（二）評估團隊專業(yè)性評估團隊成員應(yīng)具備相應(yīng)的安全知識和技能，必要時可聘請外部專業(yè)機構(gòu)參與，保證評估結(jié)果的客觀性和權(quán)威性。（三）檢查方法結(jié)合采用“文檔審查+技術(shù)檢測+人員訪談+現(xiàn)場觀察”相結(jié)合的方法，多維度收集信息，避免單一方法導(dǎo)致的遺漏或偏差。（四）問題描述客觀對檢查中發(fā)覺的問題，需客觀描述事實（如“服務(wù)器未安裝最新補丁，存在漏洞”），避免主觀臆斷，保證問題描述清晰、可追溯。（五）整改