（10）、应用系统是否提供会话超时处理功能，长时间未操作进 行页面锁定或退出登录？ （11）、应用系统是否能够限制单个账户多重并发会话？ （12）、应用系统是否能够对一个访问帐户或一个请求进程占用 的资源分配最大限额和最小限额？ （13）、是否对应用系统服务水平（性能指标）进行检测、报 警？ （1）、是否采用校验技术/措施对数据传输过程中完整性、保密 性进行检测并采取修改措施？ （2）、是否对系统管理数据、鉴别信息和重要业务数据加密存 储？ （3）、是否能够对备份数据进行异地备份存储？ （4）、是否能提供主要网络设备、通信线路和数据处理系统的 硬件冗余？ （1）、是否形成全面的信息安全管理制度体系，制度体系是否 由安全政策、管理制度、操作规程等构成？ （2）、是否制定信息安全工作的总体方针和安全策略，说明机 构安全工作的总体目标、范围、原则和安全框架等？ （3）、各项安全管理制度是否覆盖安全管理活动中的各类管理 内容（制度管理、机构管理、人员管理、系统建设管理和运维管 （4）、是否具有对重要管理操作的操作规程，如系统维护手册 和用户操作规程等？ （5）、是否具有安全管理制度制定和发布要求管理文档，其内 容是否说明安全管理制度的格式要求、版本编号，是否说明安全 管理制度的制定、发布程序和发布范围等各项要求？ （1）、是否具有部门、岗位职责文件，文件是否明确安全管理 机构的职责，是否明确机构内各部门和各负责人的职责和分工？ （2）、设置了哪些工作岗位（如安全主管、安全管理各个方面 的负责人、机房管理员、系统管理员、网络管理员、安全管理员 等重要岗位），岗位职责文档是否明确各岗位的职责范围、任职 （3）、是否设立指导和管理信息安全工作的委员会或领导小 组，其最高领导是否由单位主管领导委任或授权的人员担任？ （4）、是否有职责文件明确信息安全管理委员会或领导小组的 职责？是否明确委员会安全管理机构的职责？ （5）、是否制定事项审批程序明确哪些事项（（如系统变更、 重要操作、物理访问和系统接入、重要管理制度的制定和发布、 人员的配备和培训、产品的采购、外部人员的访问等））需要哪 些责任人、领导进行审批，审批程序如何？是否明确重要事项需 （6）、是否具有信息安全管理委员会或领导小组安全管理工作 执行情况的文件或工作记录（如会议记录/纪要，信息安全工作 （7）、是否有外联单位联系列表，外联单位是否包含公安机关 、电信公司、兄弟公司、供应商、业界专家、专业的安全公司、 安全组织等，是否说明外联单位的名称、联系人、合作内容和联 （8）、是否具有安全顾问指导信息安全建设、参与安全规划和 安全评审的相关文档或记录？ （9）、是否具有安全检查制度，否明确检查内容包括技术措施 有效性和安全管理制度执行情况等方面，是否规定检查内容、检 查程序和检查周期等，检查内容是否包括现有安全技术措施的有 效性、安全配置与安全策略的一致性、安全管理制度的执行情况 等？是否具有相应的安全检查表和检查报告？ 1、是否有人员录用要求管理文档，说明录用人员应具备的条件 （如学历、学位要求，技术人员应具备的专业技术水平，管理人 员应具备的安全管理知识等）？ 2、是否具有人员录用时对录用人身份、背景、专业资格和资质 等进行审查的相关文档或记录？ 3、是否与录用后的技术人员签署保密协议？保密协议是否具有 保密范围、保密责任、违约责任、协议的有效期限和责任人的签 4、对从事关键岗位的人员是否从内部人员中选拔，是否要求其 签署岗位安全协议，其是否具有岗位安全责任、违约责任、协议 的有效期限和责任人签字等内容？ 5、是否具有人员离岗管理文档，文档是否规定了调离手续和离 岗要求，是否规范人员离岗过程，并明确终止离岗人员的访问权
（8）、是否采取措施对内部网络中出现的内部用户未通过准许 私自联到外部网络的行为进行检测和检查？ （9）、是否部署终端管理软件或采取其它技术手段防止非法外 联行为，并进行验证？ （10）、是否在网络边界处部署恶意代码防范技术措施，是否启 用了检测和阻断功能？ （11）、是否开启对网络系统中的网络设备运行状况、网络流量 、用户行为等进行日志记录或使用第三方安全审计系统进行审 （12）、是否采取措施在网络边界处监视以下攻击行为：端口扫 描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击 、IP碎片攻击和网络蠕虫攻击等，并能报警和阻断？ （13）、系统是否有主要网络设备、通信线路和数据处理系统的 硬件冗余？ （1）、服务器远程管理采用什么方式，什么软件，例如：KVM/ 远程桌面/PcAnywhere/Radmin等？ （2）、是否采取特别的措施进行防止鉴别信息在传输过程中被 嗅探？服务器是否启用了远程管理加密措施？若有第三方的远程 管理工具，则记录该工具使用的加密方式。 （3）、是否采用两种或两种以上组合的鉴别技术对管理用户进 行身份鉴别？ （4）、是否安装有第三方审计工具或系统，审计是否能够覆盖 到服务器、客户端上的每个操作系统用户？ （5）、是否安装有第三方软件或系统能够对重要用户行为和重 要系统命令的使用作审计（Windows系统组策略不能对重要用户 行为和重要系统命令的使用作审计）？ （6）、是否采取措施能够检测到对重要服务器进行入侵的行 为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时 间，并在发生严重入侵事件时提供报警？ （）、是否安装防恶意代码软件，并及时更新防恶意代码软件 版本和恶意代码库？ （8）、网络防病毒软件和主机防病毒软件分别采用什么病毒 库？ （9）、是否通过网络设备或硬件防火墙实现“通过设定终端接 入方式、网络地址范围等条件限制终端登录”？ （10）、是否经常查看“系统资源监控器”或第三方监控软件对 重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网 络等资源的使用情况？ （11）、是否使用第三方主机监控程序对系统的服务水平降低到 预先规定的最小值进行检测和报警，且其提供主动的声、光、电 、短信、邮件等形式的一种或多种报警方式？ （12）、是否满足主要网络设备、通信线路和数据处理系统的硬 件冗余？ （1）、应用系统是否采用两种或两种以上身份认证技术对用户 身份进行验证？ （2）、应用系统是否对密码复杂度做要求，例如要求密码满足8 位以上，且由数字、字母、符号等至少两种组成？ （3）、应用系统是否提供登录失败处理功能（身份认证信息输 错自动退出会话并3~5次锁定）？ （4）、应用系统是否提供敏感信息标记功能，例如个人身份证 号码、银行账号等部分字符用星号（*）代替显示？ （5）、应用系统是否能提供覆盖各个用户的安全审计功能，以 记录个用户操作痕迹？ （6）、应用系统是否采用密码技术保证通信过程中数据的完整 性和机密性？ （7）、应用系统是否在通信双方建立连接之前利用密码技术进 行会话初始化验证（安装数字证书）？ （8）、应用系统是否提供数据有效性校验功能对输入数据进行 格式、长度等进行校验？ （9）、应用系统是否提供自动保护功能确保发生故障时自动保 存未完成的业务信息？
128
129 130 131 132 133 134
系 统 运 维 管 理 类
135 136 137 138 139 140 141 142 143 144 145 146
147 148
信息安全等级保护-三级系统预测评调查问卷
需求项
（根据等级保护基本要求的具体项制定而得）
安全防护情况
是否防护 品牌/型号 /文档名称
信息安全等级保护-三级系统预测评调查问卷
序号
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 网 络 安 全 类 物 理 安 全 类
控制域
34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60
6、是否具有交还身份证件和设备等的登记记录？是否具有关键 岗位人员调离后的保密承诺书并具有调离人员的签字？ 7、是否具有各岗位人员考核记录，记录的考核人员是否包括各 个岗位的人员，考核内容是否包含安全知识、安全技能等？对关 键岗位人员的安全审查和考核与一般岗位人员是否有所不同，审 查内容是否包括操作行为和社会关系等？ 8、是否有安全责任和惩戒措施管理文档，包括哪些具体的安全 责任和惩戒措施？ 9、是否具有安全教育和培训管理文档，明确规定应进行安全教 育和培训？ 10、是否制定安全教育和培训计划，是否具有不同岗位的培训计 划，是否明确了培训目的、培训方式、培训对象、培训内容、培 训时间和地点等，培训内容是否包含信息安全基础知识、岗位操 11、是否有外部人员访问管理文档，明确允许外部人员访问的范 围（区域、系统、设备、信息等内容），外部人员进入的条件 （对哪些重要区域的访问须提出书面申请批准后方可进入），外 部人员进入的访问控制措施（由专人全程陪同或监督等）和外部 （1）、是否具有经当地公安部网安支队批准的系统定级报告？ （2）、系统建设/整改方案，是否依据风险分析结果调整和补偿 了安全措施？ （3）、是否具有系统的安全建设工作计划，文件是否明确了系 统的近期安全建设计划和远期安全建设计划？ （4）、是否有系统总体安全策略、安全技术框架、安全管理策 略、总体建设规划、详细设计方案等配套文件？ （5）、对于自主开发的软件，是否具有软件开发相关文档（源 代码、测试数据、测试结果等）的使用控制记录？
备注
（1）、机房所在地是否具有基本的防震、防风和防雨等能力？ （2）、机房出入口是否安排人员值守，控制、鉴别和记录进入 的人员？ （3）、是否在机房重要区域前设置交付或安装等过渡区域；是 否在不同机房间和同一机房不同区域间设置了有效的物理隔离装 （4）、重要区域是否配置电子门禁系统，控制、鉴别和记录进 入的人员？ （5）、设备或主要部件是否固定在机柜上，并设置明显不易去 除的标记？ （6）、通信线缆是否铺设在活动地板下或管道中？ （7）、机房是否安装利用光、电等技术设置机房的防盗报警系 统？ （8）、机房所在建筑物是否设置避雷装置？ （9）、是否设置防雷保安器，防止感应雷？ （10）、主要设备是否设置交流电源地线？ （11）、机房是否设置灭火设备和火灾自动报警系统？ （12）、机房及相关的工作房间和辅助房是否采用具有耐火等级 的建筑材料（如彩钢板、防火门）？ （13）、机房是否采取区域隔离防火措施，将重要设备与其他设 备隔离开（如UPS间与配电间应与重要区域物理隔离）？ （14）、机房内的导水管安装部署是否满足不穿过机房屋顶和活 动地板下？ （15）、是否采取措施防止雨水通过机房窗户、屋顶和墙壁渗透 （如保温棉、管道设置套管等）？ （16）、机房否设置水敏感的检测仪表或元件，对机房进行防水 检测和报警（漏水报警绳）？ （17）、机房是否采取措施防止机房内水蒸气结露和地下积水的 转移与渗透（除湿装置）？ （18）、机房是否采用了防静电工作台、静电消除剂和/或静电 消除器等防静电措施？ （19）、机房是否采用了防静电地板？ （20）、机房是否设置温、湿度自动调节设施（精密空调等）？ （21）、机房计算机系统供电线路上是否设置了稳压器和过电压 防护设备等装置？ （22）、机房是否配备UPS、发电机等备用供电系统？ （23）、机房是否设置冗余或并行的电力电缆线路为计算机系统 供电？ （24）、是否有防止外界电磁干扰和设备寄生耦合干扰的措施 （包括设备外壳有良好的接地，电源线和通信线缆隔离等）；是 否对处理秘密级信息的设备和磁介质采取了防止电磁泄漏的措 （25）、磁介质是否存放在具有电磁屏蔽功能的容器中（磁介质 需配备屏蔽机柜）？ （26）、电源线和通信线缆是否隔离铺设（分不同线槽或分层桥 架）？ （1）、是否根据各部门的工作职能、重要性和所涉及信息的重 要程度等因素，划分不同的子网或网段？ （2）、重要网段是否部署在网络边界处且直接连接外部信息系 统？ （3）、重要网段与其他网段之间是否采取可靠的技术隔离手 段，如网闸、防火墙、ACL等？ （4）、是否配置QoS的具体设备（如防火墙、路由、交换设备或 专用带宽管理设备）对网络带宽、流量进行管理？ （5）、在网络边界处是否部署了访问控制设备，并开启和配置 相应的访问控制功能？ （6）、是否采取措施确保主要网络设备的同一用户能够选择两 种或两种以上组合的鉴别技术来进行身份鉴别？ （7）、能根据会话状态信息为数据流提供明确的允许/拒绝访问 的能力，控制粒度为网段级？