信息系統(tǒng)現(xiàn)場測評所需資料序號測評項所需資料涉及內(nèi)容備注安全管理制度管理制度信息安全工作總體方針和安全策略包括安全工作總體目標、范圍、原則和安全框架等信息安全工作日常管理制度包括機房、網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)、運維等相關管理系統(tǒng)信息安全工作日常管理操作規(guī)程包括各工作流程、操作手冊等制定和發(fā)布安全管理制度編制、發(fā)布流程或制度包括編制、評審、審批、發(fā)布、通告、修訂、更新等評審和修訂安全管理制度定期評審、修訂、更新記錄管理制度評審記錄、評審會議簽到、修訂的管理制度安全管理機構崗位設置領導小組網(wǎng)絡安全領導小組組成和職責文檔系統(tǒng)管理部門組織結構圖包括安全主管、各安全負責人、各管理員崗位職責管理員崗位：機房管理員、網(wǎng)絡管理員、數(shù)據(jù)庫管理員、主機管理員、安全管理員等職能部門的職責職能部門職責文檔人員配備各崗位人員任命相關文件注：安全管理員需專崗專職授權和審批各授權審批事項記錄包括設備采購審批、維修審批、機房出入審批、設備操作/設置/更新審批、網(wǎng)絡接入審批等溝通與合作部門之內(nèi)及與其他部門之間會議紀要如各信息安全問題處理討論會議，部門之內(nèi)每周例會紀要等與外部單位的聯(lián)系溝通如與網(wǎng)安部門、信息安全專家、供應商等的溝通記錄或會議記錄審核和檢查定期安全檢查記錄包括機房日常安全檢查、系統(tǒng)日常運行狀態(tài)檢查、系統(tǒng)漏洞修補情況檢查、數(shù)據(jù)備份檢查，檢查通報文件人員安全管理人員錄用人員錄用相關資料/各工作人員保密協(xié)議保密要求、安全責任、離職保密義務等人員離崗人員離崗相關資料如權限撤銷、賬戶刪除等記錄人員培訓與考核各工作人員工作技能考核資料培訓考試成績、部門內(nèi)容信息安全工作考核記錄安全意識教育和培訓年度安全教育和培訓計劃針對不同崗位制定不同培訓計劃各安全教育及培訓記錄培訓記錄、培訓簽到表等信息安全責任及懲戒措施相關規(guī)定或制度/違反安全策略及規(guī)定的相關懲戒記錄/外部人員訪問管理外部人員訪問受控區(qū)域流程或規(guī)定如機房訪問等，包括申請、審批、授權、備案等內(nèi)容外部人員訪問受控網(wǎng)絡相應的管理制度、入網(wǎng)申請記錄、入網(wǎng)登記記錄、權限注銷記錄、入網(wǎng)保密協(xié)議系統(tǒng)建設管理安全方案設計信息系統(tǒng)的安全方案包括系統(tǒng)安全保護要求、策略和措施等內(nèi)容信息系統(tǒng)的詳細設計方案包括安全系統(tǒng)建設、安全產(chǎn)品采購和使用等內(nèi)容系統(tǒng)安全方案及詳細設計方案的評審記錄/產(chǎn)品采購和使用IT相關安全產(chǎn)品采購方式及相關使用規(guī)定/密碼相關產(chǎn)品采購方式及使用規(guī)定/自行軟件開發(fā)軟件開發(fā)管理制度包括開發(fā)過程控制方法和人員行為準則軟件設計文檔及使用指南軟件設計需求文檔、設計方案、源代碼、系統(tǒng)操作使用說明書等外包軟件開發(fā)惡意代碼檢測惡意代碼檢測報告軟件設計文檔和使用指南/安全性檢測如：源代碼審計報告工程實施信息系統(tǒng)建設工程實施方案工程管理制度、工程實施方案第三方監(jiān)理第三方監(jiān)理報告測試驗收系統(tǒng)安全性測試報告/系統(tǒng)測試驗收方案根據(jù)設計方案和相關合同要求制定的測試方案，驗收方案系統(tǒng)測試驗收報告包括驗收過程資料、驗收報告及報告評審記錄系統(tǒng)交付系統(tǒng)交付清單包括交接的設備、軟件及文檔系統(tǒng)維護、使用人員培訓記錄指導系統(tǒng)維護及使用人員進行系統(tǒng)維護及操作使用的培訓記錄系統(tǒng)建設文檔和指導運維的文檔系統(tǒng)安全方案、設計方案、建設施工方案、測試驗收方案、系統(tǒng)測試驗收報告、各方案及報告評審記錄、系統(tǒng)使用操作指南等安全服務商選擇設備采購、技術支持服務合同安全責任、違約責任、設備或服務清單等、定期的供應商服務評審報告系統(tǒng)運維管理環(huán)境管理機房管理制度包括機房安全、機房人員出入、機房設備出入、機房環(huán)境、機房維護等內(nèi)容機房設施維護維修記錄/辦公環(huán)境相關保密規(guī)定/資產(chǎn)管理信息系統(tǒng)相關資產(chǎn)清單/資產(chǎn)安全管理制度包括責任人員、責任部門、資產(chǎn)管理和使用行為規(guī)范等介質(zhì)管理介質(zhì)安全管理制度包括介質(zhì)管理、維修、外借、使用、標識、分類等內(nèi)容介質(zhì)歸檔、查詢及盤點記錄/介質(zhì)使用/維修/銷毀記錄/設備管理信息系統(tǒng)相關設備安全管理制度設備采購申報、審批、選型、發(fā)放、領用等內(nèi)容信息系統(tǒng)相關設備操作和使用規(guī)范包括設備啟動/停止、加電/斷電等信息系統(tǒng)相關設備維護維修記錄/信息處理設備外帶審批記錄/存儲介質(zhì)報廢或重用處理處理記錄網(wǎng)絡安全管理網(wǎng)絡安全管理制度包括網(wǎng)絡安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等網(wǎng)絡設備更新、升級記錄網(wǎng)絡設備操作系統(tǒng)補丁升級更新網(wǎng)絡系統(tǒng)定期漏洞掃描記錄/網(wǎng)絡配置文件定期備份記錄設備配置文件與外部系統(tǒng)連接審批記錄/系統(tǒng)安全管理系統(tǒng)安全管理制度包括系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等系統(tǒng)安全漏洞掃描、修補記錄/系統(tǒng)補丁安裝測試記錄/系統(tǒng)各維護記錄及相應審批記錄包括重要日常操作、運行維護記錄、參數(shù)設置和修改、系統(tǒng)補丁升級安裝系統(tǒng)運行日記和審計數(shù)據(jù)分析記錄/惡意代碼防范管理惡意代碼防范規(guī)范如及時升級病毒庫、設備接入系統(tǒng)前應先進行病毒檢查等網(wǎng)絡/主機惡意代碼檢測記錄/惡意代碼軟件相關規(guī)定包括授權使用、升級、定期匯報惡意代碼升級記錄/惡意代碼檢測記錄分析報告/配置管理基本配置信息庫/密碼管理密碼產(chǎn)品采購和使用的管理制度/變更管理信息系統(tǒng)變更方案變更需求文檔、變更方案、變更失敗回退措施等信息系統(tǒng)變更審批記錄/備份與恢復管理需備份的數(shù)據(jù)信息規(guī)定如操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng)、網(wǎng)絡設備參數(shù)、數(shù)據(jù)庫應用數(shù)據(jù)等備份與恢復管理制度包括備份方式、備份頻度、存儲介質(zhì)和保存期等數(shù)據(jù)備份策略和恢復策略包括備份數(shù)據(jù)放置場所、文件命名規(guī)則、介質(zhì)替換頻率和數(shù)據(jù)離站運輸方法安全事件處置安全弱點和可疑事件報告記錄/安全事件報告和處理管理制度包括明確安全事件類型、規(guī)定安全事件現(xiàn)場處理、事件報告和后期恢復等管理職責安全事件等級劃分根據(jù)安全事件造成的影響大小及損失程度安全事件的處理和分析過程記錄及相關的應對