信息技術(shù)系統(tǒng)安全評估檢查清單一、適用場景與對象本檢查清單適用于各類組織對信息技術(shù)系統(tǒng)（包括業(yè)務系統(tǒng)、支撐系統(tǒng)、云平臺等）進行安全評估時的場景，具體包括：新系統(tǒng)上線前安全基線核查：保證系統(tǒng)在設(shè)計、開發(fā)、部署階段符合安全要求，避免“帶病上線”；年度信息系統(tǒng)安全合規(guī)評估：對照國家法律法規(guī)（如《網(wǎng)絡安全法》《數(shù)據(jù)安全法》）、行業(yè)標準（如等保2.0）及內(nèi)部安全策略，定期檢驗系統(tǒng)安全狀態(tài)；重大漏洞修復后安全狀態(tài)確認：針對高危漏洞整改完成后的系統(tǒng)，驗證修復效果及是否存在衍生風險；系統(tǒng)架構(gòu)變更或功能升級安全評估：在系統(tǒng)擴容、遷移、新增功能等操作前，評估變更對安全性的影響。評估對象涵蓋系統(tǒng)的全生命周期要素，包括物理環(huán)境、網(wǎng)絡架構(gòu)、主機設(shè)備、應用軟件、數(shù)據(jù)資產(chǎn)、安全管理制度及人員操作等。二、評估實施流程（一）評估準備階段明確評估范圍與目標根據(jù)評估場景（如上線前合規(guī)、漏洞修復后復查），確定待評估系統(tǒng)的邊界（含硬件設(shè)備、軟件版本、網(wǎng)絡區(qū)域、數(shù)據(jù)范圍等）及核心目標（如驗證等保符合性、排查潛在漏洞等）。示例：若評估“企業(yè)客戶管理系統(tǒng)”，需明確系統(tǒng)部署的服務器IP段、使用的中間件版本、存儲的客戶數(shù)據(jù)類型（如證件號碼號、聯(lián)系方式）及涉及的內(nèi)外部網(wǎng)絡區(qū)域（如DMZ區(qū)、核心業(yè)務區(qū)）。組建評估團隊明確團隊角色及職責，保證覆蓋技術(shù)、管理、合規(guī)等維度：評估負責人（*）：統(tǒng)籌評估進度，協(xié)調(diào)資源，確認評估結(jié)果；技術(shù)專家（*）：負責技術(shù)層面（網(wǎng)絡、主機、應用、數(shù)據(jù)）的安全檢查；合規(guī)專員（*）：對照法律法規(guī)及標準，核查管理制度的符合性；系統(tǒng)運維人員（*）：提供系統(tǒng)配置、日志等資料，配合現(xiàn)場驗證。收集評估依據(jù)與資料收集與評估目標相關(guān)的標準、規(guī)范及系統(tǒng)資料，包括：法律法規(guī)：《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》等；行業(yè)標準：GB/T22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》、ISO/IEC27001等；內(nèi)部文檔：安全策略、操作手冊、網(wǎng)絡拓撲圖、系統(tǒng)架構(gòu)圖、權(quán)限分配表、應急響應預案等。（二）評估實施階段制定評估方案依據(jù)評估范圍、目標及資料，細化評估內(nèi)容、方法、時間節(jié)點及人員分工，形成《安全評估方案》。示例：技術(shù)評估可采用“文檔查閱+工具掃描+人工測試”組合方式，管理評估采用“制度文件審查+人員訪談”方式。分模塊執(zhí)行安全檢查按照物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全、管理安全六大模塊，逐項對照檢查清單開展評估：文檔查閱：檢查安全策略、管理制度、操作記錄等文檔的完整性、合規(guī)性及執(zhí)行痕跡；工具掃描：使用漏洞掃描器、配置檢查工具、滲透測試工具等，對系統(tǒng)進行自動化檢測；現(xiàn)場測試：對身份鑒別、訪問控制、數(shù)據(jù)加密等功能進行手動驗證（如模擬非授權(quán)訪問嘗試）；人員訪談：與系統(tǒng)管理員、運維人員、開發(fā)人員等溝通，知曉安全措施的實際執(zhí)行情況。記錄問題與證據(jù)對檢查中發(fā)覺的不符合項，詳細記錄問題描述、證據(jù)（如截圖、日志片段、文檔頁碼）、風險等級（高/中/低）及初步整改建議。示例：“應用系統(tǒng)密碼策略未要求復雜度（如未包含大小寫字母+數(shù)字+特殊字符），風險等級‘中’，證據(jù)：系統(tǒng)‘用戶管理配置界面’截圖，建議修改密碼策略為‘至少8位，包含大小寫字母、數(shù)字及特殊字符’”。（三）結(jié)果處理與報告階段匯總分析評估結(jié)果匯總各模塊檢查記錄，統(tǒng)計符合項、不符合項數(shù)量，分析高風險問題分布及共性問題（如“權(quán)限管理普遍存在過度授權(quán)”）。編制安全評估報告報告內(nèi)容應包括：評估背景與范圍、評估方法、評估結(jié)果（含符合項、不符合項清單）、風險分析、整改建議及改進計劃。不符合項需明確問題描述、風險等級、整改責任部門（如“應用開發(fā)部”“信息運維部”）及整改期限。跟蹤整改與閉環(huán)向責任部門下發(fā)《整改通知單》，定期跟蹤整改進度；整改完成后，組織復查驗證，保證問題徹底解決，形成“評估-整改-復查”閉環(huán)。三、安全評估檢查清單模板評估模塊檢查項檢查標準檢查方法檢查結(jié)果問題描述（不符合項填寫）整改責任人整改期限整改狀態(tài)物理安全機房出入口是否配備門禁系統(tǒng)并記錄訪問日志GB/T22239-2019中物理安全要求“出入口應配置電子門禁系統(tǒng)，并保存記錄至少6個月”現(xiàn)場查看門禁設(shè)備及日志□符合□不符合□不適用服務器設(shè)備是否固定安裝并標識清晰等保2.0要求“設(shè)備應固定安裝，并有明顯的安全標識”現(xiàn)場檢查設(shè)備安裝及標識□符合□不符合□不適用網(wǎng)絡安全網(wǎng)絡邊界是否部署訪問控制設(shè)備（如防火墻），并啟用默認拒絕策略《網(wǎng)絡安全法》第21條“網(wǎng)絡運營者應當采取防范計算機病毒和網(wǎng)絡攻擊、網(wǎng)絡侵入等網(wǎng)絡安全危害措施”查看防火墻配置及策略□符合□不符合□不適用是否禁止網(wǎng)絡中存在未授權(quán)的無線接入點（AP）等保2.0要求“應禁止未經(jīng)授權(quán)的無線設(shè)備接入網(wǎng)絡”無線掃描工具檢測+現(xiàn)場檢查□符合□不符合□不適用主機安全操作系統(tǒng)用戶是否采用“最小權(quán)限”原則，禁用默認賬戶（如guest）等保2.0要求“應遵循最小權(quán)限分配原則，禁用或刪除多余、默認賬戶”查看用戶列表及權(quán)限配置□符合□不符合□不適用服務器是否開啟安全審計功能，記錄用戶登錄、關(guān)鍵操作等事件并保存至少6個月GB/T22239-2019中“安全審計應覆蓋到服務器上的每個用戶，對重要的用戶行為和重要安全事件進行審計”查看審計配置及日志文件□符合□不符合□不適用應用安全應用系統(tǒng)是否對用戶密碼進行加密存儲（如采用哈希加鹽算法）《個人信息保護法》第51條“處理個人信息應當采取相應的加密、去標識化等安全技術(shù)措施”查看代碼或數(shù)據(jù)庫存儲方式□符合□不符合□不適用是否防范SQL注入、跨站腳本（XSS）等常見Web攻擊OWASPTop10安全要求“應驗證所有輸入數(shù)據(jù)，防止注入攻擊”工具掃描（如AWVS）+人工測試□符合□不符合□不適用數(shù)據(jù)安全敏感數(shù)據(jù)（如證件號碼號、銀行卡號）是否在傳輸和存儲過程中加密《數(shù)據(jù)安全法》第27條“重要數(shù)據(jù)發(fā)生泄露、毀損、丟失的，應當立即采取補救措施，并向有關(guān)主管部門報告”抓包分析傳輸加密、查看存儲加密配置□符合□不符合□不適用是否建立數(shù)據(jù)備份機制，定期備份關(guān)鍵數(shù)據(jù)并測試恢復有效性等保2.0要求“應定期對重要數(shù)據(jù)進行備份，并根據(jù)數(shù)據(jù)進行恢復演練”查看備份策略及恢復測試記錄□符合□不符合□不適用管理安全是否制定安全事件應急響應預案，并定期組織演練《網(wǎng)絡安全法》第25條“網(wǎng)絡運營者應當制定網(wǎng)絡安全事件應急預案，并定期進行演練”查看預案文檔及演練記錄□符合□不符合□不適用是否對接觸敏感數(shù)據(jù)的員工進行背景審查和安全培訓等保2.0要求“應對安全崗位人員進行背景審查，并定期進行安全技能培訓”查看培訓記錄、背景審查檔案□符合□不符合□不適用四、使用要點提示評估前充分準備確認評估范圍與目標清晰，避免遺漏關(guān)鍵系統(tǒng)或模塊；提前收集完整資料，減少評估過程中的臨時溝通成本。檢查標準動態(tài)更新法律法規(guī)及行業(yè)標準（如等保2.0）可能更新，需定期核對檢查清單的合規(guī)性，保證評估依據(jù)時效性。問題記錄客觀準確不符合項描述需基于事實，附具體證據(jù)（如截圖、日志、文檔編號），避免主觀判斷；風險等級評估需結(jié)合數(shù)據(jù)敏感性、業(yè)務影響度綜合判定。團隊協(xié)作與專業(yè)性評估團隊需包含技術(shù)、管理、合規(guī)等多領(lǐng)域人員，保證評估全面；技術(shù)檢查應由具備相關(guān)資質(zhì)（如CISSP、CIS