1.人事管理方面
a.信息安全的责任体系是怎样的？是否能确保落实到人？
b.各类劳务用工是否纳入信息安全责任体系？所有相关人员是否都签订了保密协议？

2.法务方面
a.保密协议等各类涉及信息安全的文书是否完备？是否全部于流程规定时间签订？
b.信息安全方面的各项制度是否合法、切实可行？

3.办公环境及场所管理
a.使用何种方式接入互联网，如果使用LAN，安全性如何？
b.通讯设备、存储介质的管理是否符合企业需要？
c.员工工作电脑软件安装是否有统一管理措施？管理是否到位？未经授权的下载及安装是否有对应惩处规定？
d.员工工作用电脑密码管理是否有统一规定？执行如何？
e.是否使用了正确方式部署安全防护措施？（曾经有一个企业，内邮系统与外邮系统集成在一起，安装在广域网的服务器上，局域网网关服务器装有邮件防火墙，内邮系统使用SSL通信，结果内邮系统（外邮系统收到，员工通过内邮收取）上收到的病毒附件未被防火墙检出，后果可想而知）。
f.信息安全内部培训是否到位？数据备份、杀毒软件升级等是否都严格按规定执行并有相应检查制度？
g.涉密数据是否运行于足够安全的系统上？签入签出权限、流程是否合理且可控？
h.涉密数据管理、操作方式是否有不便利之处（很多人因为操作方式的繁琐而将“自认为不重要”的涉密数据暴露于不安全处）？
i.员工使用VPN接入办公时，获得的（对涉密数据操作的）授权是否合理？

4.网站服务器
a.软件（包括操作系统和应用软件）补丁是否及时？密码管理规定是否涵盖足够多的复杂情况？
b.通过业务平台连接时，单机的安全是否能只依赖软件而不依赖人？
c.业务与IT支持权限分置（负责支持的应无权接触涉密业务数据，要从系统管理上实现）做的如何？
d.重要的业务数据（比如会员数据库，当系统足够大时，系统管理员也应无权接触用户密码等资料，用户如果忘记密码，只能重置，不能取回）安全防护措施是否足够？
e.机房的安全性如何？
f.安全防护所使用的软、硬件是否满足需求？是否按厂商提供的说明书一直升级？
g.网站是否存在设计缺陷？缺陷发现后的修补流程（应急措施）是否足够？