非金融机构支付服务业务系统现场检查列表.docx
《非金融机构支付服务业务系统现场检查列表.docx》由会员分享,可在线阅读,更多相关《非金融机构支付服务业务系统现场检查列表.docx(26页珍藏版)》请在冰豆网上搜索。
非金融机构支付服务业务系统现场检查列表
XXX公司XXX业务系统现场检查列表
(2011版)
1・机房物理环境
给号
检査项
检査点
检査方式
检査结果
1
场地选择
周围强电磁环境
现场查看、现场访谈
有无强电场:
□有□无;有无强磁场:
□有□无
周围易燃、易爆等隐患
现场查看、现场访谈
周围有无易燃、易爆等隐患:
□有口无
周围危险建筑
现场查看、现场访谈
周围有无危险建筑:
□有□无
自身建筑情况
现场查看、现场访谈
自身是否为危险建筑:
匚是□否
机房在建筑物中的位置
现场查看、现场访谈
是否位于建筑物咼层或地下室、用水设备的下层或隔壁:
匸是□否
备份机房
现场查看、现场访谈
有无备份机房:
□有□无
主、备机房距离
现场查看、现场访谈
主、备机房距离
集号
检査项
检査点
检査方式
检査结果
建筑物内独立区域
现场查看、现场访谈
机房在建筑物内是否为独立区域:
□是□否
2
门禁系统
个人身份识别措施
现场查看、现场访谈
有无个人身份识别措施:
□有□无
权限划分
调阅文档、现场查看、现场访谈
有无权限划分:
□有□无.如何划分
门禁记录
调阅文档
有无门禁记录:
□有□无
门禁系统应急措施
调阅文档
有无门禁系统应急措施:
□有□无
门禁监控
现场查看、现场访谈
有无门禁监控:
□有□无
3
灾害预防措施和设备
灭火系统
现场查看、现场访谈
灭火系统
自动预警消防系统
现场查看、现场访谈
有无自动预警消防系统:
□有□无
排风系统
现场查看、现场访谈
有无排风系统:
□有□无
消防联动
现场查看、现场访谈
有无消防联动:
□有□无
消防监控
现场查看、现场访谈
有无消防监控:
□有□无
消防救生门
现场查看、现场访谈
有无消防救生门:
□有□无□小于100平米不适用
集号
检査项
检査点
检査方式
检査结果
手动消防器材数虽和位置
现场查看、现场访谈
手动消防器材数量和位置
区域隔离措施
现场查看、现场访谈
是否将重要设备与其他设备隔离开:
□是□否
建筑材料的耐火等级
调阅文档、现场查看、现场访谈
建筑材料的耐火等级:
应急照明设备
现场查看、现场访谈
有无应急照明设备:
□有□无
防雷击措施
现场查看、现场访谈
是否设置避雷装置:
口是□否
是否设置交流电源地线:
□是□否
屋顶和活动地板下是否有无关水管:
□是□否;穿
防水防潮措施
现场查看、现场访谈
过墙壁和楼板的水管是否有管套:
□是□否;有无
防雨水、水蒸气和地下积水措施:
□有□无
防静电措施
现场查看、现场访谈
地板是否为防静电地板:
□是□否
防尘
现场查看、现场访谈
机房是否具有防尘措施:
□是□否
防鼠書
现场查看、现场访谈
机房是否具有防鼠害措施:
□是□否
集号
检査项
检査点
检査方式
检査结果
4
供电系统
供电异常报警装置
现场查看、现场访谈
有无供电异常报警装置:
□有□无
发电机配备
现场查看、现场访谈
有无与UPS功率匹配的发电机设备:
C有□无
UPS负荷情况
调阅文档、现场查看、现场访谈
UPS负荷情况
供电部门保障协议
调阅文档
有无供电部门保障协议:
□有□无
电路冗余
调阅文档、现场查看、现场访谈
有无电路冗余:
□有□无
稳压器和过电压防护设备
现场查看、现场访谈
有无稳压器和过电压防护设备:
□有□无
供电通信线缆隔离
现场查看、现场访谈
电源线缆和通信线缆是否隔离:
匚是O否
设备电磁屏蔽
现场查看、现场访谈
关键设备和磁介质是否有电磁屏蔽:
□是□否
市电双回路供电
现场查看、现场访谈
有无市电双回路供电:
□有□无
5
综合布线
走线方式
调阅文档、现场查看、现场访谈
走线方式
布线规整
调阅文档、现场查看、现场访谈
布线是否规整:
□是□否
统一标识
调阅文档、现场查看、现场访谈
有无统一标识:
□有□无
集号
检査项
检査点
检査方式
检査结果
6
机房分区
机房区域划分情况
现场查看、现场访谈
机房区域划分情况:
区域和区域之间是否设置物理隔离装置:
□是□否;在重要区域前是否设置交付或安装等过渡区域:
□是□否
7
空调系统
专用空调
现场查看、现场访谈
有无专用空调:
□有□无
不间断运行能力
调阅文档、现场查看、现场访谈
有无不间断运行能力:
□有□无
异常报警
调阅文档、现场查看、现场访谈
有无异常报警机制:
□有□无
机房温度
调阅文档、现场查看、现场访谈
机房温度
机房湿度
调阅文档、现场查看、现场访谈
机房湿度
空调冗余
调阅文档、现场查看、现场访谈
有无空调冗余:
□有□无
统一监控
调阅文档、现场查看、现场访谈
有无统一监控:
□有□无
漏水报警
现场查看、现场访谈
是否能够漏水报警:
口是□否
8
机房访问人员控制
人员进入审批
调阅文档、现场查看、现场访谈
人员进入是否审批:
口是□否
集号
检査项
检査点
检査方式
检査结果
身份核实
现场查看、现场访谈
有无身份核实:
□有□无
专人陪同
现场查看、现场访谈
有无专人陪同:
□有□无
访问记录
调阅文档、现场查看、现场访谈
有无访问记录:
□有□无
9
机房所在地安保
进出人员身份核实
现场查看、现场访谈
进出人员是否进行身份核实:
C是O否
外来人员登记
调阅文档、现场查看、现场访谈
外来人员是否登记:
口是□否
视频监控系统
现场查看、现场访谈
有无视频监控系统:
□有□无
双人值守
现场查看、现场访谈
是否双人值守:
□是□否
报警措施
现场查看、现场访谈
有无报警措施:
□有□无
应急处理流程
调阅文档
有无应急处理流程:
□有□无
10
设备安全管理
固定设备或主要部件,并设置明
显的不易除去的标记
现场查看、现场访谈
设备或主要部件是否固定:
□是□否;
是否设置明显的不易除去的标记:
□是□否
集号
检査项
检査点
检査方式
检査结果
介质的分类管理
现场查看、现场访谈
是否对介质分类标识,存储在介质库或档案室中:
□是□否
设备的监控
现场查看、现场访谈
设备或存储介质携带出工作环境时,是否监控和记
录:
□是□否
11
安全管理制度
机房安全管理制度
调阅文档
有无机房安全管理制度:
□有□无
落实情况
调阅文档、现场查看、现场访谈
落实情况
操作规程
调阅文档
有无操作规程:
□有□无
12
机房设备维护
维护制度
调阅文档
有无维护制度:
□有□无
维护记录
调阅文档
有无维护记录:
□有□无
签宇
被检杳方
檜杳方
2•网络安全
塢号
检査項
检査点
检査方式
检査结果
1
结构安全
网络冗余和备份
调阅文档、现场查看、现场访谈
有无网络冗余和备份:
匸有□无
路由器安全控制
调阅文档、现场查看、现场访谈
有无路由安全控制措施:
□有□无
防火墙安全控制
调阅文档、现场查看、现场访谈
有无防火墙安全控制措施:
□有□无
网络拓扑结构
调阅文档、现场查看、现场访谈
有无网络拓扑结构图:
匚有□无
IP子网划分
调阅文档
有无IP子网划分:
□有□无
QoS保证
调阅文档
有无QoS保证:
□有□无
2
网络访问控制
网络域安全隔离和限制
调阅文档、现场查看、现场访谈
有无网络域安全隔离和限制:
□有口无
地址转换和绑定
调阅文档
有无地址转换和绑定:
匚有□无
内容过滤
调阅文档
有无内容过滤:
□有□无
访问控制
调阅文档、现场查看、现场访谈
有无访问控制:
□有□无
塢号
检査项
检査点
检査方式
检査结果
流虽控制
调阅文档、现场查看、现场访谈
有无流星控制:
□有□无
会话控制
调阅文档
有无会话控制:
□有□无
3
拨号访问控制
远程拨号访问控制和记录
调阅文档
有无远程拨号访问控制和记录:
匚有□无□不适用
4
网络安全审计
日志信息
调阅文档、现场查看、现场访谈
有无日志信息:
□有□无
日志权限和保护
调阅文档、现场查看、现场访谈
有无日志权限和保护:
□有□无
网络对象操作审计
调阅文档
有无网络对象操作审计:
□有□无
审计工具
调阅文档、现场查看、现场访谈
有无审计工具:
□有□无
5
边界完整性检查
内外网非法连接阻断和定位
调阅文档、现场查看、现场访谈
有无内外网非法连接阻断和定位:
匚有□无
6
网络入侵防范
网络ARP欺骗攻击
调阅文档
有无防范网络ARP欺骗攻击措施:
□有□无
信息窃取
调阅文档
有无防范信息窃取措施:
□有□无
DOS/DDOS攻击
调阅文档
有无防范DOS/DDOS攻击措施:
匚有□无□不适用
安全设备配置
调阅文档、现场查看、现场访谈
有无安全设备配置标准:
□有□无
塢号
检査项
检査点
检査方式
检査结果
网络入侵防范设备
调阅文档、现场查看、现场访谈
有无网络入侵防范设备:
□有□无
7
网络设备防护
设备登录设置
调阅文档、现场查看、现场访谈
有无设备登录设置:
U有□无
设备登录口令安全性
调阅文档、现场查看、现场访谈
有无设备登录口令安全性:
口有□无
登录地址限制
调阅文档、现场查看、现场访谈
有无登录地址限制:
□有口无
远程管理安全
调阅文档、现场查看、现场访谈
有无远程管理安全:
□有口无
设备用户设置策略
调阅文档
有无设备用户设置策略:
□有□无
最小化服务
调阅文档、现场查看、现场访谈
是否最小化服务:
□是□否
配置文件离线备份
调阅文档、现场查看、现场访谈
是否定期离线备份配置文件:
□是□否
8
网络安全管理
网络设备运维制度
调阅文档、现场查看、现场访谈
有无网络设备运维制度:
□有□无
网络配置变更管理
调阅文档
有无网络配置变更管理:
□有□无
设备参数配置
调阅文档
有无设备参数配置:
□有口无
网络事故管理
调阅文档
有无网络事故管理:
□有口无
塢号
检査项
检査点
检査方式
检査结果
网络关键数据传输加密
调阅文档、现场查看、现场访谈
是否对网络关键数据传输加密:
匚是□否
签宇
被检杳方
检查方
塢号
检査项
检査点
检査方式
检査结果
1
身份鉴别
系统与应用管理员用户设置
调阅文档、现场查看、现场访谈
有无分别设置系统与应用管理员用户:
□有□无
系统与应用管理员口令安全性
调阅文档、现场查看、现场访谈
系统与应用管理员□令复杂度是否符合要求:
口是口否
登录策略
调阅文档、现场查看、现场访谈
有无登录策略:
□有□无
非法访问警示
现场查看、现场访谈
有无非法访问警示:
□有□无
2
自主访问控制
主机信任关系
调阅文档、现场查看、现场访谈
有无主机信任关系:
□有口无
塢号
检査项
检査点
检査方式
检査结果
默认过期用户
调阅文档、现场查看、现场访谈
有无默认过期用户:
□有口无
用户最小授权原则
调阅文档、现场查看、现场访谈
是否按照最小授权原则分配用户权限:
□是O否
3
强制访问控制
重要系统文件强制访问控制范围
调阅文档、现场查看、现场访谈
有无重要系统文件强制访问控制范围:
□有□无
共享目录
调阅文档、现场查看、现场访谈
有无共享目录安全保护措施:
□有口无□不适用
远程登录控制
调阅文档、现场查看、现场访谈
有无远程登录控制:
□有口无
4
安全审计
日志信息
现场查看、现场访谈
有无日志信息:
□有□无
日志权限和保护
调阅文档、现场查看、现场访谈
有无日志权限和保护:
□有□无
系统信息分析
调阅文档、现场查看、现场访谈
有无系统信息分析:
□有口无
对象操作审计
调阅文档、现场查看、现场访谈
有无对象操作审计:
□有口无
关键数据删除制度和记录
调阅文档
有无关键数据删除制度和记录:
匚有□无
5
系统保护
系统备份
调阅文档
有无系统备份:
□有□无
故障恢复策略
调阅文档
有无故障恢复策略:
□有口无
塢号
检査项
检査点
检査方式
检査结果
安全配置
调阅文档、现场查看、现场访谈
有无安全配置:
□有□无
磁盘空间安全
调阅文档
有无磁盘空间安全保护措施:
□有口无
主机加固
调阅文档
主机有无加固:
□有□无
6
剩余信息保护
过期信息、文档处理
调阅文档
有无过期信息、文档处理:
□有□无
7
入侵防范
入侵防范记录
调阅文档
有无入侵防范记录:
□有口无
关闭服务
调阅文档、现场查看、现场访谈
是否关闭不必要的服务:
□是□否
最小安装原则
调阅文档、现场查看、现场访谈
是否最小安装:
□是□否
8
恶意代码防范
及时更新
调阅文档
有无及时更新:
□有□无□不适用
控制措施
调阅文档
有无控制措施:
□有□无□不适用
及时安装系统必要的补丁
调阅文档、现场查看、现场访谈
有无及时安装系统必要的补丁:
匚有口无
漏洞扫描
调阅文档
有无定期漏洞扫描:
□有口无
塢号
检査项
检査点
检査方式
检査结果
9
资源控制
连接控制
调阅文档、现场查看、现场访谈
有无连接控制:
□有□无
有无设置登录终端的操作超时锁定或退出:
匚有□无
资源监控和预警
调阅文档、现场查看、现场访谈
有无资源监控和预警措施:
□有□无
签宇
被检杳方
检查方
编号
检査项
检査点
检査方式
检査结果
1
数据存储
存储方式
现场查看、现场访谈
存储方式
存储内容
现场查看、现场访谈
存储内容包括:
□系统管理数据C鉴别信息□重要业务数据口其他
集号
检査项
检査点
检査方式
检査结果
2
数据存储设备
设备类型
现场查看、现场访谈
设备类型
设备型号
调阅文档、现场查看、现场访谈
设备型号
设备供应商
调阅文档、现场查看、现场访谈
设备供应商
设备安全性
现场查看、现场访谈
是否采取相应制度、措施保障设备安全性:
□是□
否”
3
数据备份
备份周期
调阅文档
备份周期
备份介质
现场查看、现场访谈
备份介质
备份方式
调阅文档、现场查看、现场访谈
备份方式
备份内容
调阅文档、现场查看、现场访谈
备份内容包括:
□系统管理数据匚鉴别信息□重要
业务数据口其他
异地备份
调阅文档、现场查看、现场访谈
有无异地备份:
□有□无
备份数据有效性检验
调阅文档、现场查看、现场访谈
有无检验备份数据有效性:
□有□无
集号
检査项
检査点
检査方式
检査结果
4
数据备份介质管理
介质保存方式
现场查看、现场访谈
介质保存方式
备份介质的安全
现场查看、现场访谈
备份介质是否安全:
口是□否
备份介质的销毁
调阅文档
有无制定备份介质销毁制度:
■□有。
无
5
数据备份恢复管理制度
恢复制度
调阅文档
有无数据备份恢复制度:
□有□无
恢复演练
调阅文档
有无数据备份恢复演练:
□有□无
恢复记录
调阅文档
有无数据备份恢复记录:
□有□无
签宇
被检杳方
粉杳方
5•管理安全
编号
检査项
检査点
检査方式
检査结果
1
安全管理部门设置
专职部门
调阅文档
有无专职安全管理部门:
□有□无
集号
检査项
检査点
检査方式
检査结果
专用岗位
调阅文档
有无安全管理专用岗位:
□有□无
指导委员会
调阅文档
有无安全管理指导委员会:
□有□无
2
安全管理制度
安全管理制度设置
调阅文档
有无建立完备的安全管理制度:
匚有口无
3
安全管理人员配备
信息安全专业人员
现场查看、现场访谈
有无信息安全专业人员:
□有□无
关键岗位人员
现场查看、现场访谈
有无关键岗位人员:
□有□无
人员离岗/变动管理
调阅文档
有无人员离岗/变动管理:
□有□无
4
设备管理
专人管理
现场查看、现场访谈
有无专人管理设备:
□有□无
设备登记、维护、报废制度
调阅文档
有无设备登记、维护、报废制度:
□有□无
5
代码管理
代码访问权限控制
现场查看、现场访谈
有无代码访问权限控制:
□有□无
代码访问流程
现场查看、现场访谈
有无代码访问流程:
□有□无
安全测试
现场查看、现场访谈
有无安全测试:
□有□无
代码版本管理
调阅文档
有无代码版本管理:
□有□无
集号
检査项
检査点
检査方式
检査结果
测试验收流程
调阅文档、现场查看、现场访谈
有无测试验收流程:
□有□无
6
审计
审计制度
调阅文档、现场查看、现场访谈
有无审计制度:
□有□无
内部审计
调阅文档、现场查看、现场访谈
有无内部审计:
□有□无
外部审计
调阅文档、现场查看、现场访谈
有无外部审计:
□有□无
7
变更、备份与故障恢复
变更流程
调阅文档、现场查看、现场访谈
有无变更流程:
□有□无
备份流程
调阅文档、现场查看、现场访谈
有无备份流程:
□有□无
故障恢复流程
调阅文档、现场查看、现场访谈
有无故障恢复流程:
□有□无
故障恢复演练
调阅文档
有无故障恢复演练:
□有□无
8
业务持续性管理
业务持续性计划
调阅文档
有无业务持续性计划:
□有□无
单点故障
调阅文档、现场查看、现场访谈
有无单点故障:
□有□无
系统冗余
调阅文档、现场查看、现场访谈
有无系统冗余:
□有□无
异地灾备
调阅文档、现场查看、现场访谈
有无异地灾备:
□有□无
集号
检査项
检査点
检査方式
检査结果
9
密钥安全管理
密钥生成
调阅文档、现场查看、现场访谈
密钥生成是否安全:
口是□否
密钥使用
调阅文档、现场查看、现场访谈
密钥使用是否安全:
口是□否
密钥存储
调阅文档、现场查看、现场访谈
密钥存储是否安全:
口是□否
密钥更新
调阅文档、现场查看、现场访谈
有无密钥更新:
□有□无
更新周期
密钥销毁
调阅文档、现场查看、现场访谈
密钥销毁是否安全:
口是□否
加密存储
调阅文档、现场查看、现场访谈
是否加密存储:
□是□否
硬件加密机(国产)
调阅文档、现场查看、现场访谈
硬件加密机(国产):
10
事件、事故报告机制
报告制度
调阅文档
有无报告制度:
□有□无
报告流程
调阅文档
有无报告流程:
□有□无
11
外包管理
外包管理制度
调阅文档
有无外包管理制度:
□有□无□不适用
集号
检査项
检査点
检査方式
检査结果
外包合同
调阅文档
有无与外包服务机构签订外包服务合同:
匚有□无
□不适用
保密协议
调阅文档
有无与外包服务机构签订保密协议:
□有□无□不
适用
签宇
被检杳方
榆杳方
塢号
检査项
检査点
检査方式
检査结果
1
应急预案管理
机房环境应急预案
调阅文档
有无机房环境应急预案:
□有□无
网络应急预案
调阅文档
有无网络应急预案:
□有□无
系统应急预案
调阅文档
有无系统应急预案:
□有□无
应急预案评估
调阅文档
有无定期进行应急预案评估:
□有口无
应急预案更新
调阅文档
有无及时进行应急预案更新:
□有口无
2
应急演练对象
机房环境应急演练
调阅文档、现场查看、现场访谈
有无开展机房环境应急演练:
□有□无
网络应急演练
调阅文档、现场查看、现场访谈
有无开展网络应急演练:
□有□无
系统应急演练
调阅文档、现场查看、现场访谈
有无开展系统应急演练:
□有□无
3
应急演练制度
应急演练方案
调阅文档
有无应急演练方案:
□有□无
应急演练组织
调阅文档
有无应急演练组织:
□有□无
应急演练计划
调阅文档
有无应急演练计划:
□有□无
应急演练培训
调阅文档
有无应急演练培训:
□有□无
4
应急演练实施
风险评估
调阅文档
有无应急演练风险评估:
□有□无
应急演练记录
调阅文档
有无应急演练记录:
□有□无
应急演练报告
调阅文档
有无应急演练报告:
□有□无
问题整改报告
调阅文档
有无问题整改报告:
□有□无
签宇
被检杳方
檜杳方
22