等保2.0管理测评文档清单(三级)

序号类别文档名称1安全策略信息安全工作的总体方针和安全策略2各项安全管理制度3日常管理操作的操作规程4制度制定和发布要求管理文档5管理制度评审记录6安全管理制度的收发登记记录7评审和修订安全管理制度的审定/论证记录1部门、岗位职责文件2信息安全管理委员会委任授权书3信息安全管理委员会职责文件4安全管理工作记录5人员配备人员配备文档6审批管理制度文档7关键活动的审批过程记录8组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录9与公安机关、各类供应商、业界专家及安全组织会议文件或会议记录11外联单位联系列表12日常安全检查记录等保2.0管理测评列表管理制度制定和发布Ⅰ安全策略和管理制度Ⅱ安全管理机构和人员岗位设置授权和审批沟通和合作审核和检查13全面安全检查记录14安全检查时的安全检查表、安全检查记录和结果通告记录15人员安全管理文档16人员录用审查记录17人员录用时的技能考核文档或记录18保密协议19岗位安全协议20人员离岗的管理文档21离岗人员的安全处理记录22离岗人员保密承诺文档23信息安全教育及技能培训管理文档24安全责任和惩戒措施管理文档25安全教育和培训计划文档26安全教育和培训记录记录27各岗位人员的技能考核记录28外部人员访问管理文档29外部人员访问重要区域的书面申请文档30外部人员访问重要区域的登记记录31外部人员访问系统的书面申请文档32外部人员访问系统的登记记录33外部人员访问保密协议III安全建设管理安全意识教育和培训外部人员访问管理人员离岗审核和检查人员录用1系统的安全建设工作计划2安全设计文档3总体规划和安全设计方案等配套文件4专家论证文档5产品采购管理文档6候选产品名单7产品采购清单8软件开发管理制度9代码编写安全规范10软件设计的相关文档、软件使用指南或操作手册和维护手册11软件安全测试报告12程序资源库的修改、更新、发布进行授权和审批的文档或记录13外包软件协议14外包软件相关文档15软件安全性检查报告或证明16工程实施方案17阶段性工程报告18工程监理报告（如果安全建设为第三方实施时则需要提供）19工程实施管理制度20工程测试验收方案21测试验收报告22测试验收报告审定文档23安全测试报告安全方案设计产品采购和使用自行软件开发外包软件开发工程实施测试验收24系统交付清单分类25技术人员技能培训（系统上线前）的记录26系统建设文档27系统交付管理文档28与服务供应商签订的服务合同或安全责任书29安全服务报告30服务审核报告31安全服务商评价审核管理制度1机房基础设施维护记录2机房出入登记记录3机房安全管理制度4资产清单5资产管理制度6信息分类文档7介质管理介质管理记录8系统相关设备的维护记录9设备维护管理制度10设备带离机房或办公地点的审批记录11漏洞扫描报告12安全测评报告13网络和系统安全管理文档14账户的审批记录或流程Ⅳ系统运维管理网络和系统安全管理环境管理资产管理设备维护管理漏洞和风险管理系统交付服务供应商管理15网络和系统安全管理制度16重要设备（如操作系统、数据库、网络设备、安全设备、应用和组件）的配置和操作手册17运维操作日志18日志、监测和报警数据分析报告19运维审批记录20内部网络外联的授权批准书21恶意代码检测记录、恶意代码库升级记录和分析处理报告22恶意代码防范管理制度23密码管理检测报告或密码产品型号证书24变更方案25变更控制的申报、审批程序26重要系统的变更申请书27变更方案评审记录和变更过程记录文档28变更失败恢复程序29备份清单或列表30备份和恢复管理制度31数据备份和恢复策略文档32安全事件报告和处置管理制度33安全事件报告和响应处理程序34应急预案框架35应急预案应急预案管理安全事件处置变更管理备份与恢复管理网络和系统安全管理恶意代码防范管理36应急预案培训记录37应急预案演练记录38应急预案修订记录39外包运维管理外包运维服务协议应急预案管理文档说明备注信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架覆盖物理、网络、主机系统、数据、应用、建设和管理等层面的各类管理内容如系统维护手册和用户操作规程等说明安全管理制度的制定和发布程序、格式要求及版本编号等相关内容需有相关人员的评审意见收发通过正式的方式，如正式发文、领导签署和单位盖章；需有发布范围要求记录的日期间隔与评审周期需一致，应有相关人员的评审意见设置安全主管、安全管理各个方面的负责人；机房管理员、系统管理员、网络管理员、安全管理员等各个岗位的职责范围；安全管理机构的职责，机构内各部门的职责和分工，各个岗位人员应具有的技能要求；明确各部门、各岗位的职责和授权范围；明确设备维护管理的责任部门需具有被测单位主管领导的授权签字明确委员会职责和其最高领导岗位的职责安全管理各部门和信息安全管理委员会或领导小组日常管理工作执行情况的文件或工作记录明确系统管理员、网络管理员和安全管理员各岗位人员配备情况；明确应配备专职的安全管理员明确定期审查、更新审批的项目、审批部门、批准人和审查周期等；明确对系统变更、重要操作、物理访问和系统接入等事项的审批流程需具有各级批准人的签字和审批部门的盖章；记录的审批程序与文件要求需一致会议内容、会议时间、参加人员和会议结果等的描述会议内容、会议时间、参加人员、会议结果等的描述外联单位名称、合作内容、联系人和联系方式等信息关于系统日常运行、系统漏洞和数据备份等情况；检查内容、检查人员、检查数据汇总表、检查结果等的描述等保2.0管理测评列表Ⅰ安全策略和管理制度Ⅱ安全管理机构和人员包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等具有安全检查表格、安全检查记录、安全检查报告、安全检查结果通报记录说明录用人员应具备的条件（如学历、学位要求，技术人员应具备的专业技术水平，管理人员应具备的安全管理知识等）对录用人身份、背景、专业资格和资质等进行审查的相关文档或记录；记录审查内容和审查结果记录考核内容和考核结果保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容岗位安全责任、违约责任、协议的有效期限和责任人签字等内容规定了人员调离手续和离岗要求如交还身份证件、设备等的登记记录需具有离岗人员的签字明确培训周期、培训方式、培训内容和考核方式等相关内容包含具体的安全责任和惩戒措施具有不同岗位的培训计划；培训方式、培训对象、培训内容、培训时间和地点等；培训内容包含信息安全基础知识、岗位操作规程等培训人员、培训内容、培训结果等的描述记录日期与考核周期需一致，具有针对各岗位人员的技能考核记录允许外部人员访问的范围、外部人员进入的条件、外部人员进入的访问控制措施等；明确外部人员接入受控网络前的申请审批流程；明确外部人员离开后及时清除其所有访问权限具有批准人允许访问的批准签字外部人员访问重要区域的进入时间、离开时间、访问区域、陪同人等明确外部人员的访问权限，具有允许访问的批准签字等记录外部人员访问的权限、时限、账户；记录访问权限清除时间明确人员的保密义务(如不得进行非授权操作，不得复制信息等）III安全建设管理系统的近期安全建设计划和远期安全建设计划根据安全等级选择安全措施，根据安全需求调整安全措施设计方案中应包括密码相关内容相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的论证意见产品性能指标，确定产品的候选范围，通过招投标等方式确定采购产品及人员行为准则等方面产品选型测试结果记录、候选产品名单审定记录或更新的候选产品名单指导产品采购的清单说明软件设计、开发、测试、验收过程的控制方法和人员行为准则；明确哪些开发活动应经过授权和审批明确代码的编写规则应用软件设计程序文件、源代码文档明确软件存在的安全问题及可能存在的恶意代码；需具有批准人的签字软件质量检测的规定需求分析说明书、软件设计说明书、软件操作手册、软件源代码文档等软件开发文档和使用指南确保软件不存在后门、隐蔽信道或恶意代码的证明材料工程时间限制、进度控制和质量控制等方面内容按照实施方案形成的阶段性工程报告等文档明确了工程进展、时间计划、控制措施等方面内容工程实施过程的控制方法、实施参与人员的行为准则等方面内容说明参与测试的部门、人员、测试验收的内容、现场操作过程等内容测试通过的结论（如果报告中提出了存在的问题，则检查是否有针对这些问题的改进报告）；第三方测试机构的签字或盖章需具有相关人员的审定意见和签字确认具有上线前的安全测试报告，报告应包含密码应用安全性测试相关内容详细列项系统交付的各类设备、软件、文档等培训内容、培训时间和参与人员等指导用户进行系统运维的文档、系统培训手册等交付过程的控制方法和对交付参与人员的行为限制等方面内容明确了后期的技术支持和服务承诺等内容；保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等；具有安全服务商定期提交的安全服务报告，对其所提供的安全服务的进行汇报（如月报、季度报等）定期审核评价安全服务供应商所提供的服务针对服务商的评价指标和考核内容等记录维护日期、维护人、维护设备、故障原因、维护结果等方面内容记录来访人员、来访时间、离开时间、携带物品等信息覆盖机房物理访问、物品带进/带出机房、机房环境安全等方面，明确来访人员的接待区域覆盖资产范围（含设备设施、软件、文档等）、资产责任部门、重要程度和所处位置等内容明确资产的标识方法以及不同资产的管理措施要求；信息资产管理的责任部门、责任人，覆盖资产使用、传输、存储、维护等方面明确信息分类标识的原则和方法（如根据信息的重要程度、敏感程度或用途不同进行分类）记录介质的存储、归档、查询和使用等情况包括备份和冗余设备明确维护人员的责任、维修和服务的审批、维修过程的监督控制管理等设备带离机房或办公地点的申报材料或审批记录描述存在的漏洞、严重级别、原因分析和改进意见等方面具有安全整改应对措施文档明确要求对网络和系统管理员用户进行分类，并定义各个角色的责任和权限（比如：划分不同的管理角色，系统管理权限与安全审计权限分离等）对申请账户、建立账户、删除账户等进行控制Ⅳ系统运维管理覆盖网络和系统的安全策略，账户管理（用户责任、义务、风险、权限审批、权限分配、账户注销等），配置文件的生成、备份，变更审批、符合性检查等，授权访问，最小服务，升级与打补丁，审计日志，登录设备和系统的口令更新周期等方面明确操作步骤、维护记录、参数配置等内容覆盖网络和系统的日常巡检、运行维护、参数的设置和修改等内容具有对日志、监测和报警数据等进行分析统计的报告具有变更运维的审批记录，如系统连接、安装系统组件或调整配置参数等活动；具有运维工具接入系统的审批记录；具有开通远程运维的审批记录内网主机在安全策略允许之外通过modem、无线设备（如CDMA、GSM，WirelessLAN等）等途径与外部网络进行连接时，需提供相关授权批准证明可提供杀毒软件运行日志；分析报告需描述恶意代码的特征、修补措施等内容明确防恶意代码软件的授权使用、恶意代码库升级、定期查杀等内容获得有效的国家密码管理主管部门规定的检测报告或密码产品型号证书覆盖变更类型、变更原因、变更过程、变更前评估等方面内容规定需要申报的变更类型、申报流程、审批部门、批准人等方面内容需主管领导的批准签字此处可举一个重要系统变更的案例规定变更失败后的恢复流程具有定期备份的重要业务信息、系统数据、软件系统的列表或清单备份方式、备份频度、存储介质和保存期等方面内容覆盖数据的存放场所、文件命名规则、介质替换频率、数据离站传输方法等方面系统已发生的和需要防止发生的安全事件类型，明确安全事件的现场处理、事件报告和后期恢复的管理职责记录引发安全事件的系统弱点、不同安全事件发生的原因、处置过程、经验教训总结、补救措施等内容；根据不同安全事件制定不同的处理和报告程序，明确具体报告方式、报告内容、报告人等方面内容覆盖启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等方面根据应急预案框架制定重要事件的应急预案（如针对机