第三级信息系统运营使用单位填写.docx
《第三级信息系统运营使用单位填写.docx》由会员分享,可在线阅读,更多相关《第三级信息系统运营使用单位填写.docx(26页珍藏版)》请在冰豆网上搜索。
第三级信息系统运营使用单位填写
一、信息系统运营使用单位基本情况
单位名称
单位地址
网络安全分管领导
姓名
职务/职称
网络安全责任部门
责任部门负责人
姓名
职务/职称
办公电话
移动电话
责任部门联系人
姓名
职务/职称
办公电话
移动电话
单位信息系统
总数
第四级系统数
第三级系统数
第二级系统数
未定级系统数
单位信息系统
等级测评总数
第四级系统数
第三级系统数
第二级系统数
未测评系统数
单位信息系统
安全建设整改总数
第四级系统数
第三级系统数
第二级系统数
未整改系统数
单位信息系统
安全自查总数
第四级系统数
第三级系统数
第二级系统数
未自查系统数
附件 1:
第三级信息系统运营使用单位填写
二、信息系统运营使用单位网络安全工作情况
1、单位信息安全等级保护工作的组织领导情况
(重点包括:
单位网络安全领导机构或信息安全等级保护工作领导机构成立情况;单位网络
安全或信息安全等级保护工作的职责部门和具体职能情况;单位信息安全等级保护工作部署
情况等。
)
2、单位对信息安全等级保护工作的重视情况
(重点包括:
单位信息安全等级保护工作年度考核情况;单位组织开展网络安全自查情况;
单位网络安全工作经费是否纳入年度预算?
单位网络安全工作的经费约占单位信息化建设经
费的百分比情况等。
)
3、单位网络安全责任追究制度执行情况
(重点包括:
是否建立了单位网络安全责任追究制度?
是否依据责任追究制度对单位发生的
网络安全事件(事故)进行追责等情况。
)
4、单位信息系统定级备案工作情况
(重点包括:
单位信息系统是否全部定级备案?
单位系统调整是否及时进行备案变更?
单位
新建信息系统是否落实定级备案等工作。
)
5、单位信息系统安全测评和安全建设整改工作情况
(重点包括:
单位信息系统安全检测和整改经费落实情况;单位信息系统恶意代码扫描、渗
透性测试、等级测评和风险评估的安全检测情况;信息系统安全建设整改方案制定和实施情
况;单位网络安全保护状况的了解掌握等情况。
)
6、单位网络安全管理制度的制定和实施情况
(重点包括:
单位信息系统建设和网络安全“同步规划、同步建设、同步运行”措施的落实情
况;单位人员管理,信息系统机房管理、设备管理、介质管理、网络安全建设管理、运维管
理、服务外包等管理制度的建设情况;管理制度的监督保障和运行情况等。
)
7、单位重要数据的保护情况
(重点包括:
单位数据中心建设情况;单位重要数据存储和安全保护情况;单位重要数据备
份恢复情况,单位重要数据存储和应用是否由社会第三方提供?
提供服务单位的具体情况等)
8、单位网络安全监测和预警情况
(重点包括:
单位开展日常网络安全监测情况;单位网络安全监测技术手段建设情况;单位
网络安全预警工作情况等。
)
9、单位网络安全应急预案和演练情况
(重点包括:
是否制定了单位网络安全预案?
单位网络安全预案是否进行了演练?
是否根据
演练情况对预案进行了修改完善等情况。
)
10、单位网络安全事件(事故)的处置情况
(重点包括:
是否明确了单位网络安全事件(事故)发现、报告和处置流程?
年内是否发生
重大网络安全事件(事故)?
是否与相关部门建立了网络安全应急处置机制等情况。
)
11、单位信息技术产品、服务国产化情况
(重点包括:
单位操作系统、服务器、数据库、交换机等核心信息技术产品的国产化比率情
况;单位网络安全设备的国产化比率情况;单位信息技术产品国产化替换工作计划情况;单
位新建信息系统是否采用国产化设备;单位信息安全服务情况等。
)
12、单位网络安全宣传培训情况
(重点包括:
单位组织开展网络安全宣传教育情况;单位组织开展网络安全岗位培训和网络
安全员培训等情况。
)
一、工业控制系统基本情况
系统名称
系统安全保护等级
□二级 □三级 □四级 □未定级 □未备案
系统运营使用单位
系统所属行业
(电力、通信、铁路、航空、航天、交通、石油、石化、核工业、矿
系
统
基
本
情
况
系统功能描述
系统集成厂商
名称:
□国内 □国外
核心控制器情况
类型
厂商
型号
数量
分布式控制系统(DCS)
可编程逻辑控制器
(PLC)
远程终端单元(RTU)
其他
工作站情况
类型
硬件厂
型号
操作系统
数量
操作员站
商
工程师站
维护工作站
其他
服务器情况
类型
硬件厂
型号
操作系统
数量
数据库服务器
商
应用服务器
通信服务器
其他
据进行采集、监测,在计算机调配下,实现设施自动化运行和业务流程管理与监控。
网络设备情况
类型
厂商
型号
数量
核心汇聚交换机
接入交换机
安全设备情况
类型
厂商
型号
数量
防火墙
网闸
加密装置
入侵检测
漏洞扫描
防病毒
其他
组态软件情况
组态软件名称:
组态软件厂商:
数据库情况
□实时数据库 品牌:
型号:
□历史数据库 品牌:
型号:
□其他数据库 品牌:
型号:
云桌面情况
是否部署 □否 □是 厂商:
型号:
系
统
服
务
情
况
服务范围
□全国□跨省(区、市)跨_____个
□全省(区、市) □跨地(市、区)跨_____个
□地(市、区)内
□其它_____
服务对象
□单位内部人员 □社会公众人员 □两者均包括
□其他_____
系
统
数
据
数据存储
方式
□本地存储 □异地存储 □云存储 □其它_____
年存储数据量级
_____ GB
系统网络互联情况
□与互联网连接 □否 □是
□与办公网连接 □否 □是
□与其他系统连接 □否 □是
系统运维或技术支持
单位
名称
何时投入运行使用
______年___月 ___日
二、工业控制系统安全保护情况
1
工控安
全组织
建设情
况
是否建立工控信息安全管理的组织?
□是 □否
是否设置专门的工控信息安全管理相关的岗位、明确定义
工控安全的职责?
□是 □否
是否定期开展工控信息安全相关的培训?
□是 □否
2
核心设
备和资
产管理
情况
是否指定专人负责资产管理,并明确责任人职责?
□是 □否
是否建立完整资产台账,统一编号、统一标识、统一发放?
□是 □否
是否定期对资产台账的一致性进行评审(核查)?
□是 □否
是否定期对资产台账进行更新?
□是 □否
是否完整记录设备维修维护和报废信息(时间、地点、内
容、责任人等)?
□是 □否
3
安全经
费年度
预算
是否将设备设施运维、日常管理、教育培训、等级测评和
安全建设整改等费用纳入年度预算?
□是 □否
是否能够保障网络安全所需的费用?
□是 □否
年度网络安全经费情况?
_____万元
4
网络安
全保护
策略制
定情况
网络安全是否遵循国家、行业相关安全标准?
□是 □否
是否制定了网络安全保护策略?
□是 □否
是否编制网络拓扑图并保持更新?
□是 □否
5
系统等
级测评、
建设整
改情况
信息系统是否每年聘请符合国家资质要求的测评单位对信
息系统进行测评?
□是 □否
信息系统是否依据测评结果制定整改方案?
□是 □否
是否对信息系统的整改结果进行跟踪验证?
□是 □否
6
网络安
全管理
制度制
定情况
是否制定了完善的网络安全管理制度?
□是 □否
是否有网络安全管理操作规程?
□是 □否
是否制定了网络设备相关的配置基线?
□是 □否
是否监督管理制度的贯彻落实?
□是 □否
7
网络边
界管理
信息系统是否有明确的安全域划分?
□是 □否
是否对系统边界有严格的安全策略控制?
□是 □否
是否允许无线在网络系统中部署无线网络设备?
□是 □否
是否运用供应商通过远程连接方式开展运维支持?
□是 □否
网络边界是否部署有安全产品?
□是 □否
8
日志及
安全审
计管理
是否对信息系统操作行为、设备运行状态进行日志记录?
□是 □否
是否对信息系统操作行为、设备运行状态有安全审计措施?
□是 □否
是否对网络日志或审计执行情况进行定期检查?
□是 □否
9
组态软
件用户
权限管
理
组态软件的用户权限分发和变更是否执行审批?
□是 □否
是否定期对用户权限情况进行评审(核查)?
□是 □否
10
恶意代
码防范
管理
上位机或服务器是否部署了防病毒软件并定期查杀?
□是 □否
是否定期进行信息系统防病毒软件更新?
□是 □否
11
安全漏
洞管理
是否对系统安全漏洞定期检查、分析?
□是 □否
是否对系统发现的安全漏洞进行加固整改?
□是 □否
12
终端管
理
是否对系统终端安全进行统一管理?
□是 □否
13
数据的
备份与
恢复
是否具有本地数据备份与恢复策略?
□是 □否
是否定期对备份数据执行恢复性测试?
□是 □否
核心网络设备、关键主机设备是否具有冗余备份?
□是 □否
重要应用是否有备份恢复措施?
□是 □否
14
数据安
全保护
是否对系统重要数据采取加密措施?
□是 □否
是否对系统重要数据的完整性进行校验?
□是 □否
是否对系统重要数据的应用、流转等情况进行管理?
□是 □否
15
安全事
件处置、
报告、
追责情
况
是否制定信息系统网络安全事件处置操作手册?
□是 □否
是否对安全事件进行分级分类管理?
□是 □否
是否第一时间向公安机关报告网络安全事件?
□是 □否
是否制定安全事件责任制度?
□是 □否
本年发生过几次工控安全事件
______次
16
应急队
伍建设
检查
是否建立了应急联络方式?
□是 □否
是否建立了应急技术支援队伍?
□是 □否
是否与相关单位建立了应急协调机制?
□是 □否
17
应急预
案和演
练
是否已制定了网络安全应急预案?
□是 □否
是否每年制定应急演练计划
□是 □否
是否开展应急演练业务影响分析
□是 □否
本年度是否已开展了应急演练?
□是 □否
系统本年度是否出现过异常中断?
□是 □否
18
国产化
情况
是否制定核心设备的国产化替代工程计划?
□是 □否
19
运维服
务检查
是否委托社会第三方提供日常运维管理服务?
□是 □否
是否与受托单位签订了保密协议?
□是 □否
是否与受托单位运维人员签署保密承诺书?
□是 □否
受托单位是否是国外安全服务机构?
□是 □否
外包人员现场维护是否有本单位人员全程陪同?
□是 □否
是否每日对工控进行巡检?
□是 □否
巡检记录是否保存完整并有专人进行核实?
□是 □否
20
工控安
全教育
培训
是否每年制定工控信息安全培训计划?
□是 □否
本年度开展工控安全教育培训的次数?
_______次
一、网站的基本情况
网站中文名
IP 地址
网址
网站责任单位
网站运行单位
网站责任单位负责
人及职务
联系电话
网站运行安全责任人
及职务
联系电话
网站责任单位
所在地
工信部 ICP 备案号
国际联网备案号
隶属关系
□中央 □省(自治区、直辖市) □地(区、市、州、盟)
□县(区、市、旗) □其他_____
单位类型
□政府机关 □事业单位 □国企
□互联网 □其他_____
行业类别
如:
财政(根据等级保护备案表行业分类划分)
等级保护定级备案
□二级 □三级 □四级 □未定级
等级测评
□已开展 □未开展
网站安全责任书
□已签订 □未签订
网站服务栏目
□新闻发布 □政策宣传 □事项办理 □论 坛 □即时通信
□电子邮件 □留言版 □政务公开 □其他_____
附件 3:
网站安全情况自查表
二、网站安全保护情况
1
网站安全责任部
门和安全责任人
落实情况
是否落实了单位网站安全责任部门?
□是 □否
是否落实了单位网站安全责任人?
□是 □否
2
主要领导对网站
网络安全工作的
重视情况
是否将网站安全工作的执行情况纳入到年度考核指标?
□是 □否
开展网站安全工作的经费是否纳入年度预算?
□是 □否
3
单位网站网络安
全责任制落实情
况
是否明确了网站建设单位、运维单位和内容更新单位
等部门的责任?
□是 □否
是否对发生的网站安全事件(事故)按照安全责任制
进行追责?
□是 □否
4
关键岗位人员配
备情况
是否有明确的安全管理员,并签订保密协议?
□是 □否
是否有内容管理员,并签订保密协议?
□是 □否
5
网站定级备案执
行情况
单位网站是否确定了安全保护等级?
□是 □否
单位网站是否按要求到公安机关进行了备案?
□是 □否
6
网站等级测评情
况
是否从《全国信息安全等级保护测评机构推荐目录》
中选择测评机构开展等级测评?
□是 □否
是否对网站系统定期进行安全测评?
□是 □否
是否对网站系统进行了外部渗透测试?
□是 □否
是否根据测评和渗透测试结果对网站进行安全加固改
造?
□是 □否
7
安全事件报告处
置
是否制定网站安全事件(事故)报告制度?
□是 □否
发生网站安全事件(事故)是否向属地公安机关报告?
□是 □否
是否有完整网站安全事件处置记录?
□是 □否
是否按照要求保留网站完整日志?
□是 □否
8
开展网站安全监
测和预警情况
本单位是否开展日常网站安全监测?
□是 □否
是否有网站安全监测记录?
□是 □否
是否有网站安全预警和处理记录?
□是 □否
9
网站内容管理
是否制定网站内容发布管理制度?
□是 □否
是否制定网站内容发布流程?
□是 □否
10
应急预案的制定、
演练和完善情况
是否有应急预案,并有相应的预案文档?
□是 □否
是否有应急保障队伍并有人员联系方式?
□是 □否
是否定期应急演练并有应急演练的文档记录?
□是 □否
是否根据演练结果对应急预案进行完善?
□是 □否
11
机房安全管理制
度执行情况
本单位机房进出人员管理是否按照制度执行,并有详
细记录?
□是 □否
本单位机房日常监控是否制度执行并有监控记录?
□是 □否
12
网络安全检查情
况
是否有网站安全自查工作总结报告?
□是 □否
13
网站交互式栏目
信息巡查情况
单位网站是否有交互式栏目?
□是 □否
是否有专人负责网站交互式栏目信息巡查?
□是 □否
14
网络边界安全防
护设备情况
是否部署防火墙?
□是 □否
是否对外屏蔽了不必要的服务/端口?
□是 □否
是否部署入侵检测(防护)设备?
□是 □否
是否部署防病毒网关?
□是 □否
是否部署抗拒绝服务攻击设备?
□是 □否
是否部署 Web 应用防火墙?
□是 □否
是否部署设备?
□是 □否
15
网页防篡改措施
是否定期对网站文件进行检测?
□是 □否
是否采取网页防篡改措施?
□是 □否
16
漏洞扫描措施及
修复升级情况
是否进行过系统层漏洞扫描,并有详细记录?
□是 □否
是否进行过应用层漏洞扫描,并有详细记录?
□是 □否
发现的漏洞是否及时修复?
□是 □否
17
网站恶意代码防
护
是否有网页挂马检测系统?
□是 □否
18
网站内容安全防
护措施
内容编辑、审核及发布权限是否分离?
□是 □否
关键信息发布是否多级审核?
□是 □否
网站发布内容是否过滤?
□是 □否
19
管理终端安全防
护措施
是否有控制措施(如地址绑定,网络接入控制等)?
□是 □否
20
网站后台管理系
统防护措施
是否对网站后台管理系统的接口进行隐藏?
□是 □否
网站后台管理系统登录是否采取验证机制?
□是 □否
是否对网站后台管理系统的登录失败尝试次数进行限
制?
□是 □否
是否对网站后台管理系统的用户口令复杂度进行强度
限制?
□是 □否
21
主要设备可用性
网站服务器和数据库服务器是否双机热备?
□是 □否
网站服务器和数据库服务器是否采用冷备方式?
□是 □否
22
网站前、后台系
统隔离情况
是否采用逻辑隔离?
□是 □否
23
网站应用远程管
理情况
是否不允许远程管理网站的应用?
□是 □否
应用远程管理时是否采用加密通道?
□是 □否
24
网站内容远程维
护情况
是否不允许远程维护网站内容?
□是 □否
网站内容远程维护时是否采用加密通道?
□是 □否
25
网站服务器操作
系统安全措施
网站服务器操作系统安全补丁是否及时更新?
□是 □否
网站服务器操作系统是否存在弱口令?
□是 □否
26
网站服务器数据
库安全措施
网站服务器数据库是否存在弱口令?
□是 □否
网站服务器数据库是否共用同一管理口令?
□是 □否
27
网站服务器中间
件安全措施
网站服务器中间件管理界面是否允许外部访问?
□是 □否
网站服务器中间件是否存在弱口令?
□是 □否
28
网站安全整治
专项工作情况
是否完成网站通信管理部门备案?
□是 □否
是否完成网站等级保护备案?
□是 □否
是否完成网站统一标识?
□是 □否
三、互联网大型综合网站数据安全保护情况
29、互联网大型综合网站数据资源采集、存储、传输、应用和安全保护情况
30、利用互联网大型综合网站数据资源从事大数据分析挖掘、增值服务情况
31、互联网大型综合网站数据资源的转租情况及实际应用企业情况