消防安全等级

消防安全等级（共4篇）

消防安全等级 篇1

摘要：对中国消防协会正在开展的全国消防行业信用等级评价工作进行了介绍, 对2011-2014年四批次全国消防行业信用等级评价情况进行了分析和研究。分别统计了生产型和安装施工型企业2011-2014年间各等级的分布情况, 以及各指标的得分情况, 提出了企业在信用等级评价中存在的问题和改进意见。

关键词：消防企业,信用等级,信用等级评价

信用等级评价是根据规范的指标体系和科学的评估方法, 以客观公正的立场, 对企业的信用状况进行的综合评价, 是建立在定量基础上的定性判断, 并以一定的符号表示其信用等级, 向社会公示和推广的活动。为加强消防行业信用体系建设, 提升行业信用管理水平, 推动行业自律, 保障行业健康、持续发展, 根据《国务院办公厅关于社会信用体系建设的若干意见》 (国办发[2007]17号) 和商务部、国务院国资委联合印发的《商会协会行业信用建设工作指导意见》的精神, 经商务部批准, 中国消防协会自2011年起开展全国消防行业信用等级评价工作, 至2014年底已评审四批。为使广大消防企业更清楚地了解信评工作, 笔者将中国消防协会自2011年在全国消防行业开展信评工作以来的评价工作有关情况进行了分析。

1 中国消防信用等级评价的主要内容和信用等级

(1) 信用等级评价的主要内容包括基础信用、经营能力、质量管理 (生产型企业) 或工程管理及质量控制 (安装施工型企业) 、管理能力、社会责任履行、财务实力、信用记录等7个方面。

基础信用:评价企业的注册资本规模、连续经营年限、股东情况、消防施工资质、会员年限等基础信用能力。

经营能力:评价企业的经营业绩、技术研发, 生产型企业还包括品牌建设、设备状况等。经营业绩是指考核企业近三年的年均销售额、年均利税总额、人均产值等。技术研发是指考核产品更新换代和拥有自主知识产权的能力。品牌建设是指考核品牌建设投入资金量、品牌建设时间的长短及自有商标产品销售所占比重等。设备状况考核固定资产净值率、工艺装备水平。

质量管理:评价质量保证能力建设、产品质量管理、售后服务管理等。三年内产品或工程质量出现严重质量事故的不予评定信用等级。质量保证能力建设是指考核企业的质量管理体系认证情况。产品质量管理是指考核企业的产品市场准入管理、产品质量监督抽查结果。售后服务管理是指考核企业的售后服务管理体系和售后服务保障团队建设情况。

工程管理和质量控制:评价安装施工型企业的合同管理、材料采购管理、安全生产和文明施工管理、工程质量验收合格率、工程获奖、工程售后服务满意度等。

管理能力:评价企业的公司治理结构、人力资源、营销管理、客户管理、应收账款管理等。

社会责任履行:评价企业对环境、职工权益、职工人身健康等的保障能力。

财务能力:评价企业的偿债能力、获利能力、运营效率、成长能力。偿债能力是指评估资产负债率、流动比率和速动比率等指标。获利能力是指评估资产收益率、资产净利率、销售净利率等指标。运营效率是指评估总资产周转率、存货周转率和应收账款周转率等指标。成长能力是指评估企业业务增长状况以及在一定时期内的资本变动水平。

社会信用记录:包括社会影响、信用纪录、行政处罚和失信行为等。对信用表现优秀的企业予以加分奖励。

(2) 信用等级划分为:AAA、AA、A, B, C三等五级。

2 2011-2014年度信用等级评价概况

自2011年起, 中国消防协会连续4年对消防企业进行了四批企业信用等级评价。评审工作期间, 共完成了281家参评企业信用评价工作。其中, 生产企业192家, 安装施工企业89家。共有267家企业获得了A级以上信用等级单位 (其中, 生产企业181家, 安装施工企业86家) , 有4家企业获得B级, 10家企业取消信用等级评级资格, 如表1~2所示。

根据《中国消防协会信用等级评价管理办法》第二十一条中关于取消企业信用等级的规定“产品质量由省级以上消防、安全、质量检测等机构抽查不合格, 并受到通报的”, 应取消其信用级别。

3 四批次信用等级评价结果分析

3.1 生产型参评企业评价结果对比

图1为2011-2014年生产企业信用等级分布图。从统计数据来看, 第一批 (2011年度) 和第二批 (2012年度) 参评企业中, 获得A级和AA级信用等级的企业数量之和, 与获得AAA级的信用等级企业数量各占约50%。第三批 (2013年度) 和第四批 (2014年度) 参评企业中获得AAA级别信用等级的企业数量, 较前两个批次均有较大提高, AAA级企业分别占60.71%和70.56%, AA级、A级企业数量呈现下降趋势, 说明企业整体信用状况呈现出提高之势。

表3为四批次生产型参评企业各项得分对比表。从四批次各项得分情况来看, 基础信用能力、管理能力、社会责任履行能力逐年提高。经营能力、财务实力随市场波动, 与当年全国的经济形势大体相当。质量管理、信用记录情况平稳。第四批参评企业各项得分与首批、二批、三批参评企业持平或略有提高, 尤其在社会责任履行和信用奖励方面平均得分上升明显。企业经营能力方面的得分普遍较低, 今后需重点建设。

3.2 安装施工型参评企业评价结果对比

图2为2011-2014年安装施工型企业信用等级分布图。从统计数据来看, 首批 (2011年度) AAA获评企业比重较小, A和AA获评企业比重较大, 第二批 (2012年度) 和第三批参评企业中获得AAA比重较大, 第四批AAA级别仍占有较高的比例, 企业整体信用状况呈现出提高之势。

表4为四批次安装施工型参评企业各项得分对比表。从各项得分情况来看, 第四批参评企业各项得分较前三批参评企业保持稳定, 在整体规模、经营业绩、管理能力和信用状况方面均呈现了良好的发展态势。尤其表现在工程管理与质量控制方面较前三批明显提高, 反映了企业信评对工程质量提高的促进作用。从四个批次看, 企业的财务实力和信用记录波动较大, 需加强建设。

4 四批次各级别企业得分情况分析

4.1 生产型企业分析

图3为四批次生产型企业各级别企业得分情况。从各项得分中可以看到, AAA级企业在企业综合素质、经营状况、管理能力、产品质量管理、财务实力、社会信用记录等各方面均处于良好水平, 各项得分均高于平均得分。尤其是在信用奖励得分方面, 明显高于其他信用等级企业, 显示了AAA级企业在品牌、技术等方面的优势。A级企业在基础信用能力、管理能力、财务实力 (偿债能力和获利能力) 和信用奖励 (社会贡献度、社会影响力) 等方面均得分偏低。

4.2 四批次生产企业存在的问题

四批次参评企业的综合评价、统计分析显示, 消防行业生产型企业在企业内部制度建设、质量管理、社会信用记录表现等方面情况良好, 且各等级企业之间的差距不明显。同时, 我们也发现参评企业普遍存在如下问题:

(1) 企业技术研发实力及成果转化仍需加强。参评的消防生产企业虽然在技术研发方面进行了一些投入, 提高了产品技术含量, 但在新产品研发、附加值高的高端产品开发方面仍然欠缺, 企业申请发明专利的数量极少。另外, 消防产品的品牌知名度不高, 除了消费者对消防产品品牌关注不高之外, 消防生产企业在品牌宣传推广方面的意识和投入也略显不足。

(2) 企业在生产过程中对环境、员工权益保障所应承担的社会责任越来越多的受到关注, 也成为评价企业信用的一个重要方面。但在评价过程中, 我们发现企业普遍没有通过环境管理体系认证和职业健康安全管理体系认证的审核, 参评企业在社会责任履行方面的意愿和行动需要加强。

(3) 企业盈利能力和运营效率仍需要提高。一方面企业需要加强成本控制, 提高利润率;另一方面, 企业需要加强存货规模控制、加快应收账款的回收, 以提高资产的流动性。

4.3 安装施工型企业的分析

图4为四批次安装施工型企业各级别企业得分情况。从各项得分可以看到, AAA级企业在企业综合素质、经营状况、工程管理与质量控制、社会信用记录、信用奖励等各方面均处于良好水平, 各项得分均高于平均得分。AA级与A级企业在管理能力、财务实力、信用记录、信用奖励等方面没有明显的差距。A级企业主要在社会责任履行方面失分较多。B级企业在规模、业务实力、经营状况、信用记录等方面均存在较大的差距。

4.4 四批次安装施工型参评企业存在的问题

通过对四批参评企业的综合评价、统计分析, 发现消防行业安装施工型企业在工程管理与质量控制、管理能力、社会信用记录等方面整体表现良好。但也发现参评企业普遍存在如下问题:

(1) 企业盈利能力普遍偏低, 且部分企业存在获利能力大幅度下降的趋势。另外, 企业应收账款规模高, 且账款回收时间长, 造成了企业资产运营效率低, 在一定程度上导致企业流动资金困难, 进而影响企业正常的生产经营活动。

(2) 与消防生产型企业类似, 安装施工型企业普遍没有通过环境管理体系认证和职业健康安全管理体系认证的审核, 参评企业在社会责任履行方面的意愿和行动需要加强。

5 结语

信用是市场经济的“基石”。加快建设社会信用体系, 是完善社会主义市场经济体制的基础性工程, 既有利于发挥市场在资源配置中的决定性作用、规范市场秩序、降低交易成本、增强经济社会活动的可预期性和效率, 也是推动政府职能转变、简政放权的必要条件。党中央国务院高度重视信用体系建设工作, 商务部和国务院国资委都设有信用工作管理机构, 已先期批准部分行业开展了企业信用等级的评价工作。消防事业是关系到全社会千家万户的大事, 消防器材的质量问题是其中的重中之重, 而建立保障合格产品和有序的市场经营秩序是做好这一工作的前提。为加强中国消防企业的诚信建设, 提升行业信用管理水平, 中国消防协会正在建立起科学的信用等级评价制度和评价体系, 努力构筑诚实守信的消防市场环境。

参考文献

[1]任少云, 黄敬.化工企业消防安全评价的研究[J].消防科学与技术, 2006, 25 (4) :530-532.

[2]曹顺学.消防产品技术标准与现行防火设计规范的衔接问题[J].消防科学与技术, 2010, 29 (7) :636-637.

[3]胡群明, 陆曦, 余威, 等.消防产品强制性认证企业跟踪检查分类管理[J].消防科学与技术, 2010, 29 (7) :638-640.

[4]中国消防协会近日发出2014年度企业信用等级评价工作的通知[J].消防科学与技术, 2014, 33 (4) :475.

[5]消防行业首批信用等级评价A级以上企业发布[J].消防科学与技术, 2011, 30 (6) :459.

[6]中国消防协会关于开展2013年中国消防协会信用等级评价工作的通知[J].消防科学与技术, 2013, 32 (4) :467-468.

消防安全等级 篇2

暂行办法

第一章 总 则

第一条

为进一步提高新区消防安全重点单位落实消防安全管理主体责任能力，有效预防和减少火灾事故。全面创新管理模式，通过对消防安全重点单位存在的火灾隐患、消防管理情况、消防设施设备、单位队伍管理等情况进行综合评估，评定等级，实行“星级达标管理”，提高重点单位自主管理水平，根据《中华人民共和国消防法》、《深圳经济特区消防条例》、《消防监督检查规定》、《机关、团体、企业、事业单位消防安全管理规定》等相关法律法规的规定，制定本办法。

第二条

消防安全重点单位星级级管理是以科学发展观为指导，通过对消防安全重点单位存在的火灾隐患和消防管理情况进行综合评估，评定星级，消防监督管理大队及派出所对其实行挂牌监管、分类督导。

第三条

消防安全重点单位星级评定分为四星级（优秀级）、三星级（良好级）、二星级（一般级）和一星级（不达标级）四个等级。规范重点单位消防安全管理，达到组织制度规范化，安全提示统一化，设施器材标识化，重点部位警示化，培训演练经常化，检查巡查常态化，重点单位管理档案化的目标。

第四条

消防监督管理大队和派出所要将重点单位消防监督管理责任划分到每名消防监督员，实行定人定时帮扶指导重点单位整改火灾隐患，加强消防管理，争创等级达标。

第五条

消防安全重点单位应自觉遵守消防法律法规，履行单位消防安全管理主体责任，确定消防安全“明白人”，建立单位消防安全管理档案，积极整改并消除火灾隐患，不断提高自身消防安全管理水平，争创等级达标先进单位。

第二章 星级的评定与管理

第六条

各办事处消防安全委员会负责本辖区消防安全重点单位星级管理工作的领导，由消防安全委员会办公室负责组织和实施，成立重点单位消防安全管理星级考核评定小组，评定小组成员由部分消防安全委员会成员、重点单位负责人代表、公安消防机构相关人员组成。

新区消防安全委员会办公室负责对各办事处重点单位星级管理工作进行指导和督导。

第七条

重点单位星级管理评定本着公平、公正、公开的原则，坚持统一标准，从火灾隐患和消防管理两个方面进行综合评估，火灾隐患评定参照《重大火灾隐患判定标准》，消防管理评定总分为100分，参照《光明新区消防安全重点单位星级管理考评细则》（见附件）。第八条

下列情形的评定为一星级（不达标级）：

（一）存在重大火灾隐患的；

（二）消防管理评分60分以下的。

第九条

消防管理评分60分以上80分以下的评定为二星级。第十条

消防管理评分在80分以上的评定为三星级。第十一条

消防管理评分在90分以上的评定为四星级。第十二条

星级评定时间为每年的第一季度，评定星级后，消防监督管理大队、派出所要督促重点单位不断加强管理，每名消防监督员要加大对列管重点单位的指导，督促提高消防管理星级，重点单位经过整改后，可申请上调管理星级，评定三个月之后方可对申请上调星级的单位进行重新评定，并及时进行更新星级。

公安消防机构在日常检查中发现重点单位消防安全管理水平下降，达不到初次评定星级时，应立即下调管理星级。

第十三条

消防监督管理大队、派出所要明确专人负责整理星级评定结果，并对评定结果向各重点单位进行告知。

第十四条

消防安全重点单位应积极整改隐患，加强管理，制定阶段性等级达标计划，力争在半年内火灾隐患整改或消防管理得到明显提升。

第三章 星级评定结果应用

第十五条 对评定为一星级（不达标级）的消防安全重点单位采取以下措施：

（一）以消防安全委员会的名义制发“消防安全管理一星级单位（不达标）”牌匾挂于单位醒目位置；

（二）以消防安全委员会的名义函告综治办、纪检、监察、工商、安监及其相关上级主管单位；

（三）以消防安全委员会的名义进行通报（向社会进行公告）；

（四）公安消防机构依法责令单位改正、并依法实施行政处罚或采取临时查封措施；

（五）符合重大火灾隐患标准的提请政府挂牌督办整改；

（六）公安消防机构每月进行一次检查指导。

第十六条

对评定为二、三、四星的消防安全重点单位采取以下措施：

（一）公安消防机构对评定为四星级的重点单位每年检查不少于一次，评定为三星级的重点单位每半年检查不少于一次，评定为二星级的重点单位每季度检查不少于一次；

（二）重点单位半年以上未采取措施提高消防管理水平，未申请评定高一级管理星级的（四星级除外），可依照有关规定对直接负责的主管人员和其他直接责任人员给予处罚或责任追究。

第四章 附 则

第十七条

本办法适用于光明新区明确的消防安全重点单位。第十八条

本办法由新区消防安全委员会办公室负责解释。第十九条

本办法自发布之日起施行。

网御神州保障金农等级安全 篇3

不久前，农业部信息中心金农工程一期信息系统安全等级测评和风险评估公示发布，对金农工程的信息安全保障工作给予了肯定。金农工程是国家电子政务“十二金”工程之一，其一期工程对网络信息系统的安全性提出了很高的要求。对于这样一个大型的系统工程来说，信息安全不但要有技术、设备方面的保障，更要有过硬的理论指引。

等级保护指导

金农安全

“金农”工程是1994年12月在国家经济信息化联席会议第三次会议上提出的，目的是加速和推进农业和农村信息化。该工程被称为国家电子政务“十二金”工程之一。据农业部相关人士介绍，金农工程主要有以下四点任务：一是网络的控制管理和信息交换服务，包括与其他涉农系统的信息交换与共享；二是建立和维护国家级农业数据库群及其应用系统；三是协调制定统一的信息采集、发布的标准规范，对区域中心、行业中心实施技术指导和管理；四是组织农业现代化信息服务及促进各类计算机应用系统，如专家系统、地理信息系统、卫星遥感信息系统的开发和应用。

据介绍，金农工程一期的建设目标是通过两年时间，初步形成农业电子政务体系框架。框架中需构建农业监测预警系统、农产品和农业生产资料市场监管信息系统、农村市场与科技信息服务系统，迅速增强农业部门的经济调节、市场监管和公共服务能力；开发国内、国际两类信息资源，建立农业数据中心和粮食流通数据中心，健全采集渠道，增加信息总量，加强统筹规划，改善内容结构，加大整合力度，统一标准规范，建立协作机制，提高共享程度；应用计算机网络技术装备县乡农业信息服务机构，培训信息服务队伍，初步形成延伸到基层的农村信息服务网络，迅速扩大信息服务的覆盖面。

虽然时间紧、任务急，信息系统及安全保障体系的建设却容不得一点马虎。“信息网络安全是一项政策指导性较强的工作，项目的关键在于如何在‘金’字工程中落实国家等级保护政策要求。”金农工程项目负责人解释说，该工程系统结构的核心是金农工程的国家中心，而其基础是国家重点农业县、大中型农产品市场、主要的农业科研教育单位和各农业专业学会、协会等，因此金农工程一期建设的业务系统和网络系统需要考虑如何与国家等级保护标准相结合。而等级保护制度所要求的信息系统定级、备案、建设整改、测评和监督检查等环节如何落实在项目整体中，起初并没有相关经验的积累，需要深入分析和研究。具体来说，项目实施一方面要深刻理解国家等级保护的政策要求，另一方面要深入分析金农工程的重要意义和主要内容，以及各个系统面临的主要安全风险。只有两方面结合起来考虑，才能保证工程建设的正确无误。

同时，据透露，有关部门还要求本期项目要进一步深入落实我国《国家信息化领导小组关于加强信息安全保障工作的意见》中的各项工作，夯实农业行业关于信息安全保障的体系化建设基础，在风险评估、监控体系、信任体系、标准化建设和人才队伍积累等方面都做出深入积累。尤其是对在建设期间如何落实风险评估工作加大了实践力度，在信息系统需求总结、设计和上线等过程中充分融合风险评估工作，为后期的安全运维奠定基础。

有了相关文件、条例做指引，金农工程的规划建设也就有了理论依据。但由于该项目是国家”金”字头重点工程，不可避免地涉及多家承建商，需要在完成初步设计要求的同时全面统一地落实国家等级保护政策要求，所以具有复杂度大、技术难度大、管理难度大等特点，对信息安全服务企业的实施能力、技术水平和服务保障能力都提出很大的挑战。

完善方案

保驾金农工程

“网御神州根据多年积累的对农业行业整体需求的理解，针对本项目制定了完善的技术及支持方案，在业内几乎所有安全厂商都参与的激烈竞争中脱颖而出，力拔头筹。”据金农工程项目负责人介绍，网御神州之所以能中标安全服务和安全集成包，就是凭借其完善的技术支持服务能力及对国家等级保护政策和农业行业的深刻理解。

据了解，金农一期项目的安全建设目标是：在国家信息系统安全等级保护相关政策和标准的指导下，结合金农工程一期网络信息系统的安全需求分析，通过信息安全保障总体规划、信息安全管理体系建设、信息安全技术策略设计以及信息安全产品集成实施等，全面提升金农工程一期网络信息系统的安全性,能面对目前和未来一段时期内的安全威胁，实现对全网安全状况的统一管理，更好地保障金农工程各系统的正常运行，全面提升金农工程一期信息系统的安全防护水平，达到国家信息安全等级保护相关标准的要求。

针对这样高规格的安全需求，网御神州为金农工程量身打造了一套完整的信息安全解决方案。该方案具体包括信息安全体系现状及需求分析、信息安全保障总体规划、信息安全管理体系建设、信息安全技术策略设计、信息安全服务、信息安全培训及信息安全产品集成实施七项服务，并围绕着金农工程一期的安全要求全面落实和执行国家等级保护制度。

信息安全等级保护 篇4

一、物理安全

1、应具有机房和办公场地的设计/验收文档（机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施）

2、应具有有来访人员进入机房的申请、审批记录；来访人员进入机房的登记记录

3、应配置电子门禁系统(三级明确要求)；电子门禁系统有验收文档或产品安全认证资质，电子门禁系统运行和维护记录

4、主要设备或设备的主要部件上应设置明显的不易除去的标记

5、介质有分类标识；介质分类存放在介质库或档案室内，磁介质、纸介质等分类存放

6、应具有摄像、传感等监控报警系统；机房防盗报警设施的安全资质材料、安装测试和验收报告；机房防盗报警系统的运行记录、定期检查和维护记录；

7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告；机房监控报警系统的运行记录、定期检查和维护记录

8、应具有机房建筑的避雷装置；通过验收或国家有关部门的技术检测；

9、应在电源和信号线上增加有资质的防雷保安器；具有防雷检测资质的检测部门对防雷装置的检测报告

10、应具有自动检测火情、自动报警、自动灭火的自动消防系统；自动消防系统的运行记录、检查和定期维护记录；消防产品有效期合格；自动消防系统是经消防检测部门检测合格的产品

11、应具有除湿装置；空调机和加湿器；温湿度定期检查和维护记录

12、应具有水敏感的检测仪表或元件；对机房进行防水检测和报警；防水检测装置的运行记录、定期检查和维护记录

13、应具有温湿度自动调节设施；温湿度自动调节设施的运行记录、定期检查和维护记录

14、应具有短期备用电力供应设备（如UPS）；短期备用电力供应设备的运行记录、定期检查和维护记录

15、应具有冗余或并行的电力电缆线路（如双路供电方式）

16、应具有备用供电系统（如备用发电机）；备用供电系统运行记录、定期检查和维护记录

二、安全管理制度

1、应具有对重要管理操作的操作规程，如系统维护手册和用户操作规程

2、应具有安全管理制度的制定程序：

3、应具有专门的部门或人员负责安全管理制度的制定（发布制度具有统一的格式，并进行版本控制）

4、应对制定的安全管理制度进行论证和审定，论证和审定方式如何（如召开评审会、函审、内部审核等），应具有管理制度评审记录

5、应具有安全管理制度的收发登记记录，收发应通过正式、有效的方式（如正式发文、领导签署和单位盖章等）----安全管理制度应注明发布范围，并对收发文进行登记。

6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定，审定周期多长。（安全管理制度体系的评审记录）

7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查，对需要改进的制度进行修订。（应具有安全管理制度修订记录）

三、安全管理机构

1、应设立信息安全管理工作的职能部门

2、应设立安全主管、安全管理各个方面的负责人

3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位（分工明确，各司其职），数量情况（管理人员名单、岗位与人员对应关系表）

4、安全管理员应是专职人员

5、关键事物需要配备2人或2人以上共同管理，人员具体配备情况如何。

6、应设立指导和管理信息安全工作的委员会或领导小组（最高领导是否由单位主管领导委任或授权的人员担任）

7、应对重要信息系统活动进行审批（如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等），审批部门是何部门，审批人是何人。审批程序：

8、应与其它部门之间及内部各部门管理人员定期进行沟通（信息安全领导小组或者安全管理委员会应定期召开会议）

9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录，定期：

10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录（如会议记录/纪要，信息安全工作决策文档等）

11、应与公安机关、电信公司和兄弟单位等的沟通合作（外联单位联系列表）

12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。

13、聘请信息安全专家作为常年的安全顾问（具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录）

14、应组织人员定期对信息系统进行安全检查（查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况）

15、应定期进行全面安全检查（安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格，安全检查报告，检查结果通告记录）

四、人员安全管理

1、何部门/何人负责安全管理和技术人员的录用工作（录用过程）

2、应对被录用人的身份、背景、专业资格和资质进行审查，对技术人员的技术技能进行考核，技能考核文档或记录

3、应与录用后的技术人员签署保密协议（协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容）

4、应设定关键岗位，对从事关键岗位的人员是否从内部人员中选拔，是否要求其签署岗位安全协议。

5、应及时终止离岗人员的所有访问权限（离岗人员所有访问权限终止的记录）

6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等（交还身份证件和设备等的登记记录）

7、人员离岗应办理调离手续，是否要求关键岗位调离人员承诺相关保密义务后方可离开（具有按照离岗程序办理调离手续的记录，调离人员的签字）

8、对各个岗位人员应定期进行安全技能考核；具有安全技能考核记录，考核内容要求包含安全知识、安全技能等。

9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同，审查内容是否包括操作行为和社会关系等。

10、应对各类人员（普通用户、运维人员、单位领导等）进行安全教育、岗位技能和安全技术培训。

11、应针对不同岗位制定不同的培训计划，并按照计划对各个岗位人员进行安全教育和培训（安全教育和培训的结果记录，记录应与培训计划一致）

12、外部人员进入条件（对哪些重要区域的访问须提出书面申请批准后方可进入），外部人员进入的访问控制（由专人全程陪同或监督等）

13、应具有外部人员访问重要区域的书面申请

14、应具有外部人员访问重要区域的登记记录（记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等）

五、系统建设管理

1、应明确信息系统的边界和安全保护等级（具有定级文档，明确信息系统安全保护等级）

2、应具有系统建设/整改方案

3、应授权专门的部门对信息系统的安全建设进行总体规划，由何部门/何人负责

4、应具有系统的安全建设工作计划（系统安全建设工作计划中明确了近期和远期的安全建设计划）

5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定（配套文件的论证评审记录或文档）

6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订

7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本

8、应按照国家的相关规定进行采购和使用系统信息安全产品

9、安全产品的相关凭证，如销售许可等，应使用符合国家有关规定产品

10、应具有专门的部门负责产品的采购

11、采购产品前应预先对产品进行选型测试确定产品的候选范围，形成候选产品清单，是否定期审定和更新候选产品名单

12、应具有产品选型测试结果记录和候选产品名单及更新记录（产品选型测试结果文档）

13、应具有软件设计相关文档，专人保管软件设计的相关文档，应具有软件使用指南或操作手册

14、对程序资源库的修改、更新、发布应进行授权和批准

15、应具有程序资源库的修改、更新、发布文档或记录

16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测

17、软件安装之前应检测软件中的恶意代码（该软件包的恶意代码检测报告），检测工具是否是第三方的商业产品

18、应具有软件设计的相关文档和使用指南

19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档

20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制

21、应具有工程实施过程应按照实施方案形成各种文档，如阶段性工程进程汇报报告，工程实施方案

22、在信息系统正式运行前，应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试（第三方测试机构出示的系统安全性测试验收报告）

23、应具有工程测试验收方案（测试验收方案与设计方案或合同要求内容一致）

24、应具有测试验收报告

25、应指定专门部门负责测试验收工作（具有对系统测试验收报告进行审定的意见）

26、根据交付清单对所交接的设备、文档、软件等进行清点（系统交付清单）

27、应具有系统交付时的技术培训记录

28、应具有系统建设文档（如系统建设方案）、指导用户进行系统运维的文档（如服务器操作规程书）以及系统培训手册等文档。

29、应指定部门负责系统交付工作

30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议（文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容

31、选定的安全服务商应提供一定的技术培训和服务

32、应与安全服务商签订的服务合同或安全责任合同书

11、采购产品前应预先对产品进行选型测试确定产品的候选范围，形成候选产品清单，是否定期审定和更新候选产品名单

12、应具有产品选型测试结果记录和候选产品名单及更新记录（产品选型测试结果文档）

13、应具有软件设计相关文档，专人保管软件设计的相关文档，应具有软件使用指南或操作手册

14、对程序资源库的修改、更新、发布应进行授权和批准

15、应具有程序资源库的修改、更新、发布文档或记录

16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测

17、软件安装之前应检测软件中的恶意代码（该软件包的恶意代码检测报告），检测工具是否是第三方的商业产品

18、应具有软件设计的相关文档和使用指南

19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档

20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制

21、应具有工程实施过程应按照实施方案形成各种文档，如阶段性工程进程汇报报告，工程实施方案

22、在信息系统正式运行前，应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试（第三方测试机构出示的系统安全性测试验收报告）

23、应具有工程测试验收方案（测试验收方案与设计方案或合同要求内容一致）

24、应具有测试验收报告

25、应指定专门部门负责测试验收工作（具有对系统测试验收报告进行审定的意见）

26、根据交付清单对所交接的设备、文档、软件等进行清点（系统交付清单）

27、应具有系统交付时的技术培训记录

28、应具有系统建设文档（如系统建设方案）、指导用户进行系统运维的文档（如服务器操作规程书）以及系统培训手册等文档。

29、应指定部门负责系统交付工作

30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议（文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容

31、选定的安全服务商应提供一定的技术培训和服务

32、应与安全服务商签订的服务合同或安全责任合同书

六、系统运维管理

1、应指定专人或部门对机房的基本设施（如空调、供配电设备等）进行定期维护，由何部门/何人负责。

2、应具有机房基础设施的维护记录，空调、温湿度控制等机房设施定期维护保养的记录

3、应指定部门和人员负责机房安全管理工作

4、应对办公环境保密性进行管理（工作人员离开座位确保终端计算机退出登录状态、桌面上没有包含敏感信息的纸档文件）

5、应具有资产清单（覆盖资产责任人、所属级别、所处位置、所处部门等方面）

6、应指定资产管理的责任部门或人员

7、应依据资产的重要程度对资产进行标识

8、介质存放于何种环境中，应对存放环境实施专人管理（介质存放在安全的环境（防潮、防盗、防火、防磁，专用存储空间））

9、应具有介质使用管理记录，应记录介质归档和使用等情况（介质存放、使用管理记录）

10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包（如采用防拆包装置）、选择安全的物理传输途径、双方在场交付等环节的控制

11、应对介质的使用情况进行登记管理，并定期盘点（介质归档和查询的记录、存档介质定期盘点的记录）

12、对送出维修或销毁的介质如何管理，销毁前应对数据进行净化处理。（对带出工作环境的存储介质是否进行内容加密并有领导批准。对保密性较高的介质销毁前是否有领导批准）（送修记录、带出记录、销毁记录）

13、应对某些重要介质实行异地存储，异地存储环境是否与本地环境相同（防潮、防盗、防火、防磁，专用存储空间）

14、介质上应具有分类的标识或标签

15、应对各类设施、设备指定专人或专门部门进行定期维护。

16、应具有设备操作手册

17、应对带离机房的信息处理设备经过审批流程，由何人审批（审批记录）

18、应监控主机、网络设备和应用系统的运行状况等

19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警

20、应具有日常运维的监控日志记录和运维交接日志记录

21、应定期对监控记录进行分析、评审

22、应具有异常现象的现场处理记录和事后相关的分析报告

23、应建立安全管理中心，对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理

24、应指定专人负责维护网络安全管理工作

25、应对网络设备进行过升级，更新前应对现有的重要文件是否进行备份（网络设备运维维护工作记录）

26、应对网络进行过漏洞扫描，并对发现的漏洞进行及时修补。

27、对设备的安全配置应遵循最小服务原则，应对配置文件进行备份（具有网络设备配置数据的离线备份）

28、系统网络的外联种类（互联网、合作伙伴企业网、上级部门网络等）应都得到授权与批准，由何人/何部门批准。应定期检查违规联网的行为。

29、对便携式和移动式设备的网络接入应进行限制管理

30、应具有内部网络外联的授权批准书，应具有网络违规行为（如拨号上网等）的检查手段和工具。

31、在安装系统补丁程序前应经过测试，并对重要文件进行备份。

32、应有补丁测试记录和系统补丁安装操作记录

33、应对系统管理员用户进行分类（比如：划分不同的管理角色，系统管理权限与安全审计权限分离等）

34、审计员应定期对系统审计日志进行分析（有定期对系统运行日志和审计数据的分析报告）

35、应对员工进行基本恶意代码防范意识的教育，如告知应及时升级软件版本（对员工的恶意代码防范教育的相关培训文档）

36、应指定专人对恶意代码进行检测，并保存记录。

37、应具有对网络和主机进行恶意代码检测的记录

38、应对恶意代码库的升级情况进行记录（代码库的升级记录），对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报。是否出现过大规模的病毒事件，如何处理

39、应具有恶意代码检测记录、恶意代码库升级记录和分析报告 40、应具有变更方案评审记录和变更过程记录文档。

41、重要系统的变更申请书，应具有主管领导的批准

42、系统管理员、数据库管理员和网络管理员应识别需定期备份的业务信息、系统数据及软件系统（备份文件记录）

43、应定期执行恢复程序，检查和测试备份介质的有效性

44、应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档

45、应对安全事件记录分析文档

46、应具有不同事件的应急预案

47、应具有应急响应小组，应具备应急设备并能正常工作，应急预案执行所需资金应做过预算并能够落实。

48、应对系统相关人员进行应急预案培训（应急预案培训记录）

49、应定期对应急预案进行演练（应急预案演练记录）50、应对应急预案定期进行审查并更新