3．运维管理。查阅相关文档和记录，检查信息系统运营和使用权限管理、重要变更审批备案、日常运维操作管理、安全日志定期备份和分析等情况。对于委托外单位运行管理的，应查看服务合同和安全保密协议等。
　　(三)等级保护与风险评估。
　　1．等级保护。检查信息安全等级保护有关文件要求的落实情况。通过查看等级保护定级备案、等级测评报告等相关文档，检查信息系统定级、测评、整改等情况。
　　2．风险评估。检查信息安全风险评估有关文件要求的落实情况。通过查看风险评估报告等，检查风险评估工作的开展情况。
　　(四)技术防护手段建设。
　　1．网络边界安全防护。检查系统总体网络架构、子系统分布、终端节点、区域划分及边界防护、网络管理等情况；互联网接人情况；终端接人互联网时是否有安全信息提示措施等。
　　2．信息安全产品部署及使用。检查防火墙、入侵检测、安全审计、病毒防护等信息安全产品部署及使用情况，以及信息安全产品策略配置有效性等。
　　3．服务器安全防护。检查服务器上应用、服务、端口、链接以及系统补丁等情况，是否关闭了不必要的应用、服务、端口、链接；账号口令强度和更新情况；病毒木马防护措施，是否定期进行漏洞扫描、病毒木马检测等。
　　4．网络设备安全防护。检查安全配置有效性；账号口令强度和更新情况；是否定期进行漏洞扫描等。
　　5．终端计算机和移动存储设备安全防护。检查终端计算机是否采取集中安全管理措施；计算机账号口令强度和更新情况；终端计算机接人互联网安全控制措施(如实名接人、对计算机IP和MAC地址进行绑定、指定固定上网IP地址等)；是否安装病毒防护软件，定期进行漏洞扫描、病毒木马检测；是否在非涉密和涉密信息系统间混用了计算机和移动存储设备，是否使用了非涉密计算机处理涉密信息等。
　　6．门户网站安全防护。检查网站信息发布审批制度建立及落实情况；边界防护、抗拒绝服务攻击、网页防篡改等安全防护设备的部署情况，以及安全配置策略的有效性；是否定期进行漏洞扫描、木马检测等。
　　7．密码技术防护。检查采用密码技术对信息系统、终端计算机、电子文档等进行保护的情况，使用的密码技术产品及含有密码技术的信息技术产品是否符合国家密码管理规定。
　　8．网络信任措施。检查采用数字证书方式实现身份认证和授权管理的情况，使用的数字证书是否符合国家电子认证服务管理规定。
　　(五)应急管理工作开展。

第 [1] [2] [3] [4] [5] 页 共[6]页