信息技術(shù)安全檢查清單模板標(biāo)準(zhǔn)一、適用范圍與應(yīng)用場(chǎng)景本標(biāo)準(zhǔn)適用于各類組織（包括企業(yè)、事業(yè)單位、部門等）的信息技術(shù)安全管理工作，具體場(chǎng)景包括但不限于：日常安全巡檢：定期對(duì)信息系統(tǒng)運(yùn)行狀態(tài)、安全措施有效性進(jìn)行核查，保證持續(xù)合規(guī)；系統(tǒng)上線前評(píng)估：新系統(tǒng)或重大功能部署前，全面檢查安全配置、漏洞防護(hù)及數(shù)據(jù)保護(hù)機(jī)制；合規(guī)性審計(jì)：滿足《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等法規(guī)要求，配合內(nèi)外部審計(jì)工作；安全事件響應(yīng)后復(fù)查：發(fā)生安全事件后，通過檢查清單排查隱患，完善防護(hù)體系；第三方合作安全評(píng)估：對(duì)合作單位（如云服務(wù)商、外包團(tuán)隊(duì)）的信息安全能力進(jìn)行核查。二、標(biāo)準(zhǔn)化檢查流程指引（一）檢查準(zhǔn)備階段明確檢查范圍與目標(biāo)根據(jù)業(yè)務(wù)需求確定檢查對(duì)象（如服務(wù)器、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)存儲(chǔ)等）及重點(diǎn)領(lǐng)域（如數(shù)據(jù)安全、訪問控制、漏洞管理等）；制定檢查計(jì)劃，包括時(shí)間安排、參與人員（如安全負(fù)責(zé)人、系統(tǒng)管理員、審計(jì)人員*）及資源需求（工具、文檔等）。組建檢查團(tuán)隊(duì)與分工指定檢查負(fù)責(zé)人，統(tǒng)籌整體進(jìn)度；技術(shù)組：負(fù)責(zé)系統(tǒng)配置、漏洞掃描等技術(shù)檢測(cè)；管理組：負(fù)責(zé)安全制度、人員培訓(xùn)等管理措施核查；文檔組：收集并整理檢查相關(guān)文檔（如安全策略、操作記錄、應(yīng)急預(yù)案等）。準(zhǔn)備檢查工具與資料工具：漏洞掃描器（如Nessus、OpenVAS）、配置核查工具（如Tripwire）、日志分析工具（如ELK）、滲透測(cè)試工具等；資料：安全管理制度、上次檢查報(bào)告、系統(tǒng)架構(gòu)圖、資產(chǎn)清單、合規(guī)性法規(guī)文件等。（二）實(shí)施檢查階段信息收集與初步分析通過訪談（如詢問安全負(fù)責(zé)人*關(guān)于日常安全監(jiān)控流程）、文檔審查（如查看《網(wǎng)絡(luò)安全應(yīng)急預(yù)案》版本有效性）及資產(chǎn)盤點(diǎn)（確認(rèn)服務(wù)器數(shù)量與臺(tái)賬一致），掌握被檢對(duì)象的基本情況。分項(xiàng)檢查與記錄按照“信息技術(shù)安全檢查清單模板”（見第三部分）逐項(xiàng)開展檢查，采用“技術(shù)檢測(cè)+人工核查”相結(jié)合的方式：技術(shù)檢測(cè)：使用工具掃描系統(tǒng)漏洞、檢查防火墻策略有效性、分析日志異常行為；人工核查：核對(duì)安全配置是否符合標(biāo)準(zhǔn)（如密碼復(fù)雜度策略）、訪問控制權(quán)限是否與崗位匹配、數(shù)據(jù)備份記錄是否完整。對(duì)檢查過程進(jìn)行詳細(xì)記錄，包括檢測(cè)工具輸出截圖、訪談?dòng)涗?、現(xiàn)場(chǎng)照片等，保證可追溯。問題分級(jí)與風(fēng)險(xiǎn)判定根據(jù)問題影響范圍和嚴(yán)重程度，將發(fā)覺的安全隱患分為三級(jí)：高風(fēng)險(xiǎn)：可能導(dǎo)致核心業(yè)務(wù)中斷、數(shù)據(jù)泄露或系統(tǒng)被控制（如存在未修復(fù)的遠(yuǎn)程代碼執(zhí)行漏洞）；中風(fēng)險(xiǎn)：可能影響部分業(yè)務(wù)功能或存在局部安全隱患（如備份策略未覆蓋關(guān)鍵數(shù)據(jù)）；低風(fēng)險(xiǎn)：對(duì)業(yè)務(wù)影響較小，但不符合管理規(guī)范（如安全日志未保留90天）。（三）問題整改與跟蹤階段編制整改通知對(duì)檢查中發(fā)覺的不符合項(xiàng)，明確問題描述、風(fēng)險(xiǎn)等級(jí)、整改依據(jù)（如“《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》GB/T22239-2019中8.2.1條款”）及整改期限（高風(fēng)險(xiǎn)問題建議7日內(nèi)完成，中風(fēng)險(xiǎn)15日，低風(fēng)險(xiǎn)30日）。落實(shí)整改責(zé)任向責(zé)任部門（如運(yùn)維部、開發(fā)部）下發(fā)整改通知，指定整改責(zé)任人（如系統(tǒng)管理員*），明確整改措施（如“修復(fù)漏洞CVE-2023-”“調(diào)整密碼策略為長(zhǎng)度12位且包含特殊字符”）。整改進(jìn)度監(jiān)控與復(fù)查整改期限前3天提醒責(zé)任人，到期后組織技術(shù)組對(duì)整改結(jié)果進(jìn)行復(fù)查：技術(shù)復(fù)查：再次掃描漏洞、核查配置變更；管理復(fù)查：確認(rèn)制度更新、人員培訓(xùn)記錄等；對(duì)未按期完成整改的，需說(shuō)明原因并調(diào)整計(jì)劃，必要時(shí)上報(bào)管理層協(xié)調(diào)解決。（四）報(bào)告輸出與歸檔階段編制檢查報(bào)告內(nèi)容包括：檢查概況（范圍、時(shí)間、人員）、總體評(píng)價(jià)（如“系統(tǒng)整體安全等級(jí)為‘良’，但存在3項(xiàng)高風(fēng)險(xiǎn)問題需立即整改”）、問題清單（分風(fēng)險(xiǎn)等級(jí)列出）、整改建議（如“建議部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，加強(qiáng)數(shù)據(jù)操作監(jiān)控”）及后續(xù)改進(jìn)計(jì)劃。報(bào)告審核與分發(fā)檢查報(bào)告經(jīng)安全負(fù)責(zé)人*、分管領(lǐng)導(dǎo)審核后，分發(fā)至相關(guān)部門（如管理層、運(yùn)維部、審計(jì)部），并抄送上級(jí)主管部門（如需）。資料歸檔將檢查計(jì)劃、原始記錄（掃描截圖、訪談?dòng)涗洠?、整改通知、?fù)查報(bào)告、最終檢查報(bào)告等資料整理歸檔，保存期限不少于3年，以備后續(xù)審計(jì)或追溯。三、信息技術(shù)安全檢查清單模板檢查大類檢查項(xiàng)目檢查內(nèi)容與標(biāo)準(zhǔn)檢查方法檢查結(jié)果（符合/不符合/不適用）問題描述（不符合項(xiàng)填寫）整改措施責(zé)任人整改期限復(fù)查狀態(tài)（待復(fù)查/已整改）物理安全機(jī)房環(huán)境安全1.機(jī)房門禁系統(tǒng)正常，非授權(quán)人員無(wú)法進(jìn)入；2.溫度控制在18-27℃，濕度40%-60%；3.消防設(shè)備（如氣體滅火系統(tǒng)）在有效期內(nèi)現(xiàn)場(chǎng)查看+設(shè)備運(yùn)行記錄機(jī)房管理員*2024–設(shè)備標(biāo)識(shí)與維護(hù)1.服務(wù)器、網(wǎng)絡(luò)設(shè)備張貼資產(chǎn)標(biāo)簽，包含編號(hào)、責(zé)任人；2.設(shè)備維護(hù)記錄完整，包括維修時(shí)間、操作人、問題描述文檔審查+現(xiàn)場(chǎng)核對(duì)運(yùn)維部*2024–網(wǎng)絡(luò)安全防火墻策略1.禁用高危端口（如3389、22對(duì)公網(wǎng)開放）；2.策略按“最小權(quán)限”原則配置，冗余策略已清理配置核查+策略模擬測(cè)試網(wǎng)絡(luò)管理員*2024–入侵檢測(cè)/防御系統(tǒng)（IDS/IPS）1.IDS/IPS規(guī)則庫(kù)更新至最新版本（近7天內(nèi)）；2.啟用實(shí)時(shí)告警功能，告警日志保留90天工具版本檢查+日志分析安全工程師*2024–網(wǎng)絡(luò)設(shè)備口令1.設(shè)備登錄口令長(zhǎng)度≥12位，包含大小寫字母、數(shù)字及特殊字符；2.默認(rèn)口令已修改（如admin/admin123）遠(yuǎn)程登錄測(cè)試+口令復(fù)雜度檢測(cè)網(wǎng)絡(luò)管理員*2024–系統(tǒng)安全操作系統(tǒng)安全1.關(guān)補(bǔ)丁已安裝（近30天內(nèi)高危漏洞補(bǔ)?。?；2.默認(rèn)賬戶（如guest）已禁用或重命名；3.日志審計(jì)功能開啟，記錄登錄、權(quán)限變更等事件漏洞掃描+系統(tǒng)配置核查系統(tǒng)管理員*2024–數(shù)據(jù)庫(kù)安全1.數(shù)據(jù)庫(kù)用戶權(quán)限分配最小化，禁止使用sa超級(jí)用戶（SQLServer）或root用戶（MySQL）日常操作；2.敏感數(shù)據(jù)（如證件號(hào)碼號(hào)、銀行卡號(hào)）加密存儲(chǔ)權(quán)限核查+數(shù)據(jù)加密檢測(cè)數(shù)據(jù)庫(kù)管理員*2024–服務(wù)器訪問控制1.服務(wù)器僅開放必要端口（如Web服務(wù)80/443端口）；2.遠(yuǎn)程登錄僅允許特定IP地址訪問，并采用雙因素認(rèn)證端口掃描+訪問策略審查系統(tǒng)管理員*2024–數(shù)據(jù)安全數(shù)據(jù)備份與恢復(fù)1.關(guān)鍵數(shù)據(jù)（業(yè)務(wù)數(shù)據(jù)庫(kù)、重要文件）每日全量備份+增量備份；2.備份數(shù)據(jù)異地存放，備份數(shù)據(jù)可成功恢復(fù)備份日志檢查+恢復(fù)測(cè)試備份管理員*2024–數(shù)據(jù)傳輸與存儲(chǔ)安全1.數(shù)據(jù)傳輸采用/SSL加密；2.存儲(chǔ)介質(zhì)（如硬盤、U盤）加密管理，廢棄數(shù)據(jù)徹底銷毀流程核查+加密工具檢測(cè)數(shù)據(jù)安全專員*2024–應(yīng)用安全身份認(rèn)證與訪問控制1.應(yīng)用系統(tǒng)登錄失敗鎖定策略（如5次失敗鎖定30分鐘）；2.敏感操作（如修改密碼、刪除數(shù)據(jù)）需二次驗(yàn)證登錄測(cè)試+功能驗(yàn)證開發(fā)負(fù)責(zé)人*2024–應(yīng)用漏洞管理1.應(yīng)用系統(tǒng)無(wú)已知高危漏洞（如OWASPTop10中的SQL注入、XSS）；2.新上線代碼通過安全掃描漏洞掃描+代碼審查報(bào)告安全開發(fā)工程師*2024–日志審計(jì)1.應(yīng)用系統(tǒng)日志記錄用戶登錄、關(guān)鍵操作、異常事件；2.日志保留不少于180天，可追溯至具體用戶日志分析+留存期限核查應(yīng)用管理員*2024–管理安全安全制度建設(shè)1.制定《網(wǎng)絡(luò)安全管理辦法》《數(shù)據(jù)安全管理制度》等，并發(fā)布最新版本；2.制度每年至少評(píng)審一次文檔審查+版本記錄安全管理部*2024–人員安全管理1.關(guān)鍵崗位（如系統(tǒng)管理員、安全運(yùn)維員）背景調(diào)查記錄完整；2.離職員工權(quán)限已及時(shí)回收，賬號(hào)已禁用人員檔案核查+權(quán)限回收記錄人力資源部*2024–安全培訓(xùn)與應(yīng)急演練1.員工每年至少參加1次信息安全培訓(xùn)（如釣魚郵件識(shí)別、密碼安全）；2.每半年開展1次網(wǎng)絡(luò)安全應(yīng)急演練，記錄完整培訓(xùn)記錄+演練報(bào)告安全培訓(xùn)專員*2024–四、使用規(guī)范與關(guān)鍵提示（一）檢查規(guī)范性要求全面覆蓋與重點(diǎn)突出結(jié)合：檢查清單需覆蓋所有檢查大類，但可根據(jù)業(yè)務(wù)優(yōu)先級(jí)調(diào)整檢查項(xiàng)目（如金融行業(yè)重點(diǎn)檢查數(shù)據(jù)安全，互聯(lián)網(wǎng)企業(yè)重點(diǎn)檢查應(yīng)用安全）；客觀記錄與證據(jù)支撐：對(duì)不符合項(xiàng)的描述需具體、客觀，避免主觀判斷（如“防火墻策略存在冗余”而非“防火墻配置不合規(guī)”），并附檢測(cè)截圖、日志等證據(jù)；動(dòng)態(tài)更新與持續(xù)優(yōu)化：每年至少對(duì)檢查清單評(píng)審一次，結(jié)合新威脅（如新型勒索病毒）、新法規(guī)（如《式人工智能服務(wù)安全管理暫行辦法》）更新檢查項(xiàng)目。（二）風(fēng)險(xiǎn)防控關(guān)鍵點(diǎn)高風(fēng)險(xiǎn)問題“零容忍”：發(fā)覺高風(fēng)險(xiǎn)問題（如未修復(fù)的遠(yuǎn)程代碼執(zhí)行漏洞），須立即啟動(dòng)應(yīng)急響應(yīng)，優(yōu)先整改，避免業(yè)務(wù)中斷或數(shù)據(jù)泄露；整改閉環(huán)管理：所有不符合項(xiàng)需明確“整改措施-責(zé)任人-期限-復(fù)查”全流程，保證問題徹底解決，防止“屢查屢犯”；跨部門協(xié)同：檢查過程中涉及多部門時(shí)，需由安全負(fù)責(zé)人*牽頭協(xié)調(diào)，避免責(zé)任推諉，保證整改資源到位。（三）人員與工具要求人員資質(zhì)：檢查人員需具備信息安全相關(guān)專業(yè)背景或認(rèn)證（如CISP、CISSP），熟悉被檢系統(tǒng)業(yè)務(wù)及安全標(biāo)準(zhǔn)；工具有效性：檢測(cè)工具需定期校準(zhǔn)和更新（如漏洞庫(kù)、規(guī)則庫(kù)），保證掃描結(jié)果準(zhǔn)確，避免因工具版本過漏導(dǎo)致誤判。（