企业自查表文档格式.docx
《企业自查表文档格式.docx》由会员分享,可在线阅读,更多相关《企业自查表文档格式.docx(18页珍藏版)》请在冰豆网上搜索。
企业应配备与业务规模相适应的信息安全管理人员(例如:
每接入1万个网站至少配备2名专职网络和信息安全工作人员)
是否配备了专职信息安全管理人员:
专职信息安全管理人员人数:
接入网站数量
(仅限于提供网站接入服务的企业)
信息安全管理人员是否具备相关资质认证:
获得资质人数:
具备的资质名称:
信息安全管理制度建设情况
企业应建立健全信息安全管理制度
是否建立了包含信息安全管理责任制、信息安全评估、用户信息安全管理、违法违规互联网信息服务和违法信息巡查与处置、重大信息安全事件应急处置和报告、信息安全教育培训、用户举报和投诉处理等制度:
如否,请填写缺失的制度名称:
信息安全技术手段建设和运行情况
检查内容
互联网信息安全管理系统建设
互联网信息安全管理系统功能与运行可靠性(含对接)应符合相关标准要求。
互联网信息安全管理系统功能是否符合标准要求:
□是
□否请填写测试指标和测试结果情况:
互联网信息安全管理系统与部/省管局侧系统间是否出现连接中断情况:
□否如是,请填写中断情况:
互联网信息安全管理系统是否可以有效执行部/省管局系统下发的指令:
互联网信息安全管理系统是否支持IPv6数据流量的采集、分析和管理:
备注:
系统功能测试要求请参照:
《互联网数据中心和互联网接入服务信息安全管理系统技术要求》(YD/T2248-2015)
《互联网数据中心和互联网接入服务信息安全管理系统及接口测试方法》(YD/T2406-2017)
《互联网资源协作服务信息安全管理系统技术要求》(YD/T3164-2016)
《互联网资源协作服务信息安全管理系统及接口测试方法》(YD/T3215-2017)
《内容分发网络服务信息安全管理系统技术要求》(YD/T3165-2016)
《内容分发网络服务信息安全管理系统及接口测试方法》(YD/T3213-2017)
企业应落实互联网信息安全管理系统与IDC(含互联网资源协作服务)/ISP/CDN业务发展同步扩容、升级或改造,确保系统对其网络和业务的全面覆盖。
是否建立业务链路扩容改造与信安系统同步配套制度:
现有业务是否同步配套建设了信安系统,是否进行合规性评测并与部/省管局侧系统完成对接:
□是(需提供证明文件,例如测试报告等)
对于信安系统所覆盖链路,是否有扩容或扩容计划:
是否在系统扩容、升级或改造前5个工作日向对接系统所属电信管理机构报告:
□是(需提供证明材料,如邮件截图等)
互联网信息安全管理系统使用情况
企业应按照有关要求,做好系统基础数据和活跃资源数据的管理、核验和上报,确保数据完整、准确;
按照电信管理机构的要求,改正与更新异常数据。
互联网信息安全管理系统采集和上报数据是否符合有关管理规定和行业标准要求:
企业是否按照电信管理机构的要求,在5个工作日内对异常数据进行更新上报:
□是(请提供相关证明材料)
企业应利用系统对所传输的信息进行监测,并对发现的违法信息及时处置。
互联网信息安全管理系统违法有害信息监测处置能力是否符合有关管理规定和行业标准要求:
本年度企业利用互联网信息安全管理系统自主发现的违法有害信息和处置情况:
企业应按要求执行部/省管局系统下达的违法信息监测处置、违法网站处置的要求。
互联网信息安全管理系统是否可以有效执行部/省管局系统下达的违法信息监测处置、违法网站处置的要求:
本年度企业利用互联网信息安全管理系统执行电信主管部门违法有害信息监测处置、违法网站处置要求情况:
企业应按照有关法律法规、管理规定和通信行业标准要求利用本企业系统留存访问日志,并按照电信主管部门要求做好查询使用。
互联网信息安全管理系统日志留存的时间(至少6个月)和内容是否满足要求:
□否请填写测试结果情况:
本年度企业信安系统访问日志的查询使用情况:
互联网信息安全管理系统运行维护
企业应建立互联网信息安全管理系统运行维护管理和故障处理机制,对本系统的运行和对接情况进行7*24小时实时监测,发现系统故障及时修复。
是否建立了互联网信息安全管理系统运行维护管理和故障处理机制:
企业是否对系统运行情况进行实时监测,并及时修复发现的系统故障:
请注明发生故障的次数:
次,具体处理措施:
企业应按照有关管理规定和通信行业标准对本互联网信息安全管理系统开展网络安全防护工作。
是否具备符合要求的网络安全防护措施:
□是(需提供证明文件,例如系统安全防护建设方案、评测报告等)
企业应对互联网信息安全管理系统工作人员依法依规实施权限管理,进行系统操作日志记录与定期审计,并保留至少6个月的操作日志与审计记录。
是否具备符合要求的操作权限管理措施:
日志记录时间和内容是否满足相关标准要求:
企业应对互联网信息安全管理系统开展定期巡检。
是否开展定期巡检工作:
巡查内容是否重点围绕“硬盘空间定期清理”、“基础数据符合性检查”和“故障预判与提前报备”:
互联网信息安全管理系统配套要求
企业应确立互联网信息安全管理系统的使用与运行维护责任部门和责任人。
是否在相关文件中明确互联网信息安全管理系统的使用与运行维护责任部门和责任人:
如是,请填写:
责任部门责任人
企业是否设立了系统工作联系人,并向对接系统所属电信管理机构报告:
工作联系人
上述工作联系人信息发生变化的,企业是否在5个工作日内重新报告:
企业应对互联网信息安全管理系统相关工作人员进行系统使用、运行维护、安全管理的培训。
是否对互联网信息安全管理系统相关工作人员进行系统使用、运行维护、安全管理的培训:
未经电信管理机构允许,企业不得利用本企业系统对外提供服务。
是否出现未经电信管理机构允许,私自利用系统对外提供服务:
网络数据安全管理情况
网络数据安全管理制度
企业应建立网络数据使用需求合规性评审制度,
是否在相关制度文件中明确了网络数据使用需求合规性审核制度:
企业应建立网络数据收集、使用及其相关活动的工作流程和安全管理制度。
是否在相关制度文件中明确了网络数据收集、使用及其相关活动的安全管理要求:
企业应根据网络数据属性和重要性,建立企业内部的网络数据分级分类管理制度。
收集的网络数据类型包括(用户身份信息、用户使用记录等)
企业内部是否按照统一的制度和方法进行网络数据分级分类管理:
企业应建立健全用户信息保护制度。
收集、使用个人信息的,是否公开收集、使用个人信息的规则,明示收集、使用信息的目的、方式和范围:
是否经用户同意:
用户发现收集、存储其个人信息有错误的,是否为用户提供更正渠道:
用户终止使用相关服务时,是否停止对其个人信息的收集、使用,是否为用户提供注销号码或者账号的服务:
是否建立保密管理制度,要求对用户个人信息严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
是否建立载体管理机制,妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体。
企业应建立网络数据安全风险评估制度,定期对数据安全状况进行风险评估,对出现的问题进行整改。
是否在相关制度文件中明确了网络数据安全风险评估及整改制度相关的安全管理要求:
是否每年至少开展一次网络数据安全自评估,自评估要点应涵盖个人信息保护相关组织保障、制度建设、日常管理、技术防范等重点内容。
企业应建立网络数据安全人员管理和培训制度。
是否建立网络数据安全教育培训制度,对网络数据安全管理人员定期举行教育培训:
培训重点是否围绕网络数据安全和用户个人信息保护相关知识、技能和安全责任等内容。
企业应建立网络数据安全投诉举报处理制度。
是否建立用户投诉处理机制,公布有效的联系方式,接受与网络数据安全和用户个人信息保护有关的投诉,并自接到投诉之日起十五日内答复投诉人:
网络数据安全管理技术手段建设
企业应建立网络数据访问控制权限管理体系和技术手段,防止数据非授权访问。
是否建立了企业内部网络数据操作权限管理,对批量导出、复制、销毁信息实行审查:
是否留存了网络数据访问权限审批日志、网络数据访问操作行为日志,并定期审计。
企业应对重要数据采取加密存储等方式,并采取必要的安全防护措施。
是否针对个人信息和重要数据采取相应的安全储存措施:
是否对储存个人信息和重要数据的信息系统实行接入审查,并采取防入侵、防病毒等措施:
企业应建立重要数据容灾备份机制。
是否针对个人信息和重要数据建立了容灾备份机制:
网络数据共享安全管理
企业建立网络数据共享安全管理机制
网络数据共享合作前,是否对合作方进行了资质及背景审查。
企业已共享的网络数据类型是(如已去标识化的用户访问记录信息等)
向第三方提供用户个人信息是否经得用户同意,或是否进行了匿名化处理:
开展网络数据共享合作,是否通过签订安全协议等形式明确双方责任,是否核查合作方的数据安全保障能力:
企业应对网络数据共享合作过程中合作方的行为进行监督和核查。
在网络数据共享合作过程中,是否采取审计等必要手段,监督合作方按照双方约定目的和约定时间使用共享的数据,防止数据违规向他人提供等数据滥用行为:
网络数据跨境传输
企业应建立网络数据跨境传输安全管理机制
收集的重要数据是否境内存储:
是否存在网络数据跨境传输的情况:
如是,跨境传输的数据类型、数量、频率以及数据接收方基本情况、数据接收方所在国家或地区:
在网络数据跨境传输前,是否开展安全评估:
网络数据安全应急处置
企业应建立网络数据安全应急处置机制
是否制定了网络网络数据泄露等突发数据安全事件应急响应机制和应急预案:
是否建立网络数据泄露事件向行业主管部门报告机制:
网络环境治理与监管配合工作情况
网络违法有害信息巡查监测处置情况
企业应建立违法信息巡查监测机制,并采取技术和人工手段加强违法信息巡查监测,并及时处置发现的违法有害信息。
是否建立了违法有害信息监测巡查技术手段:
□是
是否配备了与业务规模相适应的专职安全管理人员,对违法有害信息内容进行巡查:
如是,配备人员数量为
本年度,自主监测发现并处置的违法有害信息条,平均处理时间为小时
配合开展防范和打击通讯信息诈骗、网络扫黄打非、维护网上政治安全和反恐维稳等专项工作情况
企业应配合行业主管部门开展网络信息安全专项工作。
本年度,配合行业主管部门处置违法有害信息条,其中涉诈类条,涉黄类条,涉政类条,涉恐类条;
本年度,配合行业主管部门关闭违法网站家;
是否为行业主管部门开展专项工作提供必要的技术支持:
新技术新业务安全评估工作开展情况
建立健全企业内部新技术新业务安全评估管理制度
企业应按照通信行业主管部门要求明确本企业的安全评估责任人,明确安全评估责任部门,落实相应安全评估管理制度措施。
是否设立了信息安全评估责任部门,明确相关责任人:
是否以文件形式明确健全完善安全评估责任制、新业务上线前评估机制、已上线业务定期核查机制和安全日常检查、绩效考核、教育培训等工作机制:
是否对相关人员进行互联网新技术新业务安全评估相关法律、政策、标准及技能培训和考核:
企业培训开展情况:
落实开展企业内新技术新业务安全评估实践工作
企业应按照通信行业主管部门要求,依据评估相关标准组织开展自评估工作。
是否在新技术、业务或应用上线(含合作推广、试点、商用等)前,重点存量业务基础资源配置、技术实现方式、业务功能或用户规模等方面发生较大变化时,开展安全评估工作:
如是,本年度已开展的安全评估实践共计项,其中属于新业务上线前评估的项,已上线业务定期核查的项;
依照《评估指南》开展安全评估实践的共计项;
是否将通讯信息诈骗、涉恐涉暴、淫秽色情等违法有害信息传播、用户个人信息泄露风险作为企业自评估重点:
针对业务安全风险,评估报告中是否提出了针对性的整改措施:
如否,请具体填写存在哪些问题:
新业务或在线运营业务如存在重大安全问题,整改未完成、隐患未消除前应是否要求不予上线或限制业务经营:
是否在安全评估完成30日内向电信主管部门提交书面评估报告:
升级会员 