（一）信息安全组织机构。
　　检查信息安全工作主管领导、信息安全管理机构、各内设机构信息安全员等设置情况和及时调整情况。按照《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》要求，各县（区）、各部门应明确一名副职领导主管信息安全工作，应指定一个机构承担信息安全管理工作，各内设机构应指定一名专职或兼职信息安全员，并检查是否有相应文件明确机构、人员与责任等。
　　（二）日常信息安全管理。
　　1. 人员管理。查验相关文档、文件、记录等，检查信息安全和保密责任制建立及落实情况，人员离岗离职信息安全管理情况，外部人员访问机房等重要区域管理情况，违反制度规定造成信息安全事件的责任查处情况等。
　　2. 资产管理。查验相关文档、台帐、记录等，检查资产管理制度建立及落实情况，办公软件、应用软件等安装与使用情况，计算机及相关设备维修维护管理、存储设备报废销毁管理情况等。
　　3. 运维管理。查阅相关文档和记录，检查信息系统运营和使用权限管理、重要变更审批备案、日常运维操作管理、安全日志定期备份和分析等情况。对于委托外单位运行管理的，应查看服务合同和安全保密协议等。
　　（三）等级保护与风险评估。
　　1. 等级保护。检查信息安全等级保护有关文件要求的落实情况。通过查看等级保护定级备案、等级测评报告等相关文档，检查信息系统定级、测评、整改等情况。
　　2. 风险评估。检查信息安全风险评估有关文件要求的落实情况，通过查看风险评估报告等，检查风险评估工作的开展情况。
　　（四）技术防护手段建设。
　　1. 网络边界安全防护。检查系统总体网络架构、子系统分布、终端节点、区域划分及边界防护、网络管理等情况；互联网接入情况；终端接入互联网时是否有安全信息提示措施等。
　　2. 信息安全产品部署及使用。检查防火墙、入侵检测、安全审计、病毒防护等信息安全产品部署及使用情况，以及信息安全产品策略配置有效性等。
　　3. 服务器安全防护。检查服务器上应用、服务、端口、链接以及系统补丁等情况，是否关闭了不必要的应用、服务、端口、链接；账号口令强度和更新情况；病毒木马防护措施，是否定期进行漏洞扫描、病毒木马检测等。
　　4. 网络设备安全防护。检查安全配置有效性；账号口令强度和更新情况；是否定期进行漏洞扫描等。
　　5. 终端计算机和移动存储设备安全防护。检查终端计算机是否采取集中安全管理措施；计算机账号口令强度和更新情况；终端计算机接入互联网安全控制措施（如实名接入、对计算机IP和MAC地址进行绑定、指定固定上网IP地址等）；是否安装病毒防护软件，定期进行漏洞扫描、病毒木马检测；是否在非涉密和涉密信息系统间混用了计算机和移动存储设备，是否使用了非涉密计算机处理涉密信息等。

第 [1] [2] [3] [4] 页 共[5]页