XXXX网络与信息安全自查表.docx
《XXXX网络与信息安全自查表.docx》由会员分享,可在线阅读,更多相关《XXXX网络与信息安全自查表.docx(14页珍藏版)》请在冰豆网上搜索。
XXXX网络与信息安全自查表
XXXX网络与信息安全自查表
一、网络与信息安全自查基本情况
部门(单位)名称
(公章)
地址
信息安全检查主管领导(责任人)
职务
信息安全检查责任部门
信息安全检查责任部门负责人
职务
电话
参与信息安全检查工作人员
姓名
职务
隶属部门
检查信息系统
个
其中网站
个
检查服务器
台
检查终端计算机
台
检查网络设备
台
检查安全设备
台/套
发现安全隐患
处
已完成整改
处
通过自查发现本单位在信息安全方面存在的主要问题
□信息安全意识和观念淡薄□缺乏网络安全管理制度或制度不落实
□网络安全保障经费投入不足□安全管理人员不足,技术水平低
□缺乏与信息安全主管部门的沟通,缺乏安全信息共享
□信息安全产品不能满足安全要求□信息安全服务公司不能满足要求
□缺乏信息安全培训□其他:
__________________
二、网络与信息系统基本情况
信息系统名称
(含网站系统)
是否与互联网物理隔离
是否委托外单位进行运维管理
本年度是否经过专业机构安全评估或安全测评
是否向社会公众提供服务
等级保护定级情况
○是○否
○是○否
○是○否
○是○否
○是○否
○是○否
○是○否
○是○否
○是○否
○是○否
○是○否
○是○否
○是○否
○是○否
○是○否
○是○否
如有网站
名称
域名
IP地址
运行维护单位
维护单位联系人
电话
网站服务器是否托管
○是○否
托管单位
网站提供的服务
□信息发布□业务办理□论坛□邮件服务
接入了何种网络
□互联网□省公务外网□省公务内网
□行业系统内部使用的广域网或城域网□内部局域网□无
网络总带宽
○10M○100M○1000M○其它_____
网络接入规模
○100节点以下○300节点以下○500节点以下○500节点以上
是否有涉密网络
○是;其中是否经保密部门审批○是○否
○否
涉密网络与其他网络是否物理隔离
○是;其中采取的措施:
_____________________________
○否
三、网络与信息安全管理情况
信息安全主管领导
职务
信息安全主管部门
信息安全部门责任人
职务
电话
信息安全管理员情况
姓名
所学专业
受过何种培训
持有何种资质
电话
制定的相关安全制度
□信息安全责任制□信息安全通报管理制度
□资产安全管理制度□物理和环境安全管理制度
□信息安全人事管理制度□系统运行安全管理制度
□数据信息安全管理制度□信息安全应急处理管理制度
□其他:
本年度开展的信息安全日常管理工作
□信息安全测评□系统安全定级□信息安全检查
□信息安全风险评估□信息安全管理体系建设□其它:
________
人员管理
1已制定重要岗位信息安全和保密责任制度:
○是○否
2已制定了岗位职责文件和相关操作规程:
○是○否
3已制定人员离岗离职时信息安全管理规定:
○是○否
4本年度信息安全责任追究情况:
通报批评____人,警告处分_____人,记过及以上_____人。
系统管理
①已制定办公用计算机及软件备案管理制度:
○是○否
②已制定存储介质的报废、销毁管理规定:
○是○否
③已制定计算机及相关设备维修、维护管理规定:
○是○否
④业务数据存储在国外:
○有○无
教育培训情况
本单位年度接受信息安全教育培训的人数:
_____人,
占总人数的比例____.
外包服务管理
①是否存在由国外公司进行设备维修的情况:
○是○否
②是否存在由国外公司进行系统维护的情况:
○是远程维护系统个数____现场维护系统个数____
○否
③委托专业机构提供信息安全服务情况:
○委托○未委托
④若委托专业机构提供信息安全服务,是否同专业机构签订安全保密协议:
○全部签订○部分签订○没有签订
⑤采用社会第三方提供的网络存储服务、信息处理服务:
○有○无
安全经费
①是否将信息安全防护设施的建设、运行、维护、检查和管理费用纳入到年度预算:
○是○否
②年度实际投入安全防护的设施、建设、运行、维护、检查和管理的费用_________万元,占信息化建设费用的比例:
○无○少于5%
○5%-10%○11%-15%○多于15%○难以估计
四、网络与信息安全技术防范情况
接入互联网采取的主要安全防护措施
1互联网接入口个数:
_________,
2接入互联网的IP地址:
_________
②互联网接入○安装了防火墙○全部安装○部分安装○没有
③互联网接入○安装了入侵检测设备○全部安装○部分安装○没有
④留存了互联网访问日志○全部留存○部分留存○没有
⑤终端接入互联网时安全信息提示○全部有○部分有○没有
⑥对IP、MAC地址进行绑定○全部○部分○没有
⑦计算机指定了固定上网IP地址○全部○部分○没有
网站采取了哪些防范措施
□防止信息泄漏□防止SQL注入□防止跨站脚本攻击
□定期进行弱口令检查□定期进行网站挂马检查
□定期进行漏洞扫描□定期对网站发布系统进行升级
□关闭了不必要的端口□关闭或删除了不必要的链接
□关停了不必要的账户□关闭了不必要的服务或应用
□其它:
_____________________________
操作系统更新、升级方式
□自动在线升级;□到操作系统厂商网站在线升级;
□利用第三方软件升级;□上级单位或有关部门分发补丁
□接上级或信息安全服务商通知,到可信站点升级;
□其它:
_____________________________
是否使用防病毒系统
○是○否
安全产品中漏洞库或病毒库的升级方式
□在线升级□产品厂商邮寄
□其它:
_____________________________
系统、病毒库升级和打补丁包程序情况
○每天○每周○每月
○每季度○半年○从不
对信息安全产品的是否进行安全配置
○是
○否
信息安全产品和网络产品的配置文档是否齐全
○齐全,非常详细;○没有;
○有,但不详细或不全面
系统在开发和运行过程中保存了哪些必要的文档与记录
□操作日志□故障记录□值班记录
□开发文档□变更记录
□其它:
_________________
是否有设备、主机、系统和应用软件运行日志的管理措施
○是;其中采取的措施:
_____________________________
○否
是否有安全审计
○是;其中采取了□主机和服务器审计
□网络审计□数据库审计
○否
是否有在公务外网和互联网上处理内部敏感信息
○是○否
数字证书使用情况
○未采用
○采用
□面向社会公众服务系统
□使用第三方CA
□使用自建CA
□内部系统
□使用第三方CA
□使用自建CA
在访问计算机、重要资源或信息时,是否所有用户都需要进行身份鉴别(认证)
○是
○没有鉴别
○只有部分用户进行了鉴别
列举本单位采取的鉴别机制
□口令□智能卡□数字证书CA□生物识别
□其它:
_____________________________
多余默认帐号和无关服务是否关停
○是○否
○不清楚默认帐号和无关服务情况
采取了哪些口令管理措施
□口令难以猜测(例如要求口令包括数字、大小写字母、特殊字符等,并设定最小长度);□口令定期修改;
□及时删除离职员工帐号和口令;
□迅速替换厂家提供的默认口令;
□系统管理员在分发口令、处理丢失或泄漏的口令时有严格的流程;□口令在系统中加密存储;
□设置帐户锁定阀值(防口令猜测)
是否制定了详细的授权管理和访问控制策略
○是○否
是否有内部用户非法外联的监控措施和管理措施
○是;其中采取的措施_____________________________
○否
五、信息安全保密技术防范情况
是否按照保密管理规定管理涉密存储介质
○是○否
涉密计算机和涉密人员数量
涉密计算机数量:
涉密人员数量:
本单位对软盘、USB盘以及笔记本电脑的使用采取了哪些措施
□实施了管理措施;措施说明:
_____________________________
□实施了技术措施;措施说明:
_____________________________
□无
本单位对涉密信息和敏感信息采取了哪些保护措施
□没有涉密、敏感信息;□单机处理;
□实施严格的访问控制与授权管理措施;
□接入专门网络与非涉密网络物理隔离;
□专人管理涉密、敏感信息;
□禁止电子形式涉密、敏感信息被拷贝;
□监视涉密信息系统的各台终端;
□涉密信息有相应的密级标识,密级标识不与正文分离;
□其它:
_____________________________
所有重要信息是否进行了明确分类并记录在案
○是○否
○只有涉密信息进行了定密和统计
对哪些存储信息进行加密
□没有使用加密措施□涉密信息
□单位敏感信息□其它:
_____________________________
是否对传输信息进行了加密
○是○否
涉密文档是否使用了基于密级标识的访问控制措施
○是○否○不知道○没有涉密电子文档
六、网络与信息安全应急情况
应急管理
①信息安全应急预案:
○有○无
②应急技术支援队伍:
○内部○外部○无
③本年度应急演练情况:
○已开展○未开展
信息安全事件
本年度发生特别重大事件(Ⅰ级)次数:
_______
本年度发生重大事件(Ⅱ级)次数:
_______
本年度发生较大事件(Ⅲ级)次数:
_______
本年度发生一般事件(Ⅳ级)次数:
_______
本年度涉密信息系统和非涉密信息系统间混用移动存储介质的事件数:
___
本年度涉密信息系统和非涉密信息系统间混用计算机的事件数:
___
本年度用非密信息系统处理涉密信息的事件数:
___
本年度检查中发现高风险漏洞的服务器台数:
_______
本年度检查中发现高风险漏洞的终端台数:
_______
本年度检查中发现木马的服务器台数:
________
本年度检查中发现木马的终端计算机台数:
________
没有防篡改措施的网站个数:
________
本年度网站网页被篡改(含挂马)的次数:
________
发生安全事件类型
□感染病毒、蠕虫、特洛伊木马程序□拒绝服务攻击
□端口扫描攻击□数据窃取
□破坏数据或网络□篡改网页
□垃圾邮件□内部人员有意破坏
□内部人员滥用网络端口和系统资源□网络诈骗和盗窃
□被利用发送和传播有害信息□其他:
______________
导致发生安全事件的原因
□未修补系统或软件漏洞□网络、系统或软件配置错误
□登录密码过于简单或未修改原始密码□缺少访问控制
□攻击者使用拒绝服务攻击□攻击者利用软件默认设置
□利用内部用户安全管理漏洞或内部人员作案
□内部网络违规外联□攻击者使用欺诈方法
□缺少身份认证措施□不知原因
□其他:
发现安全事件后采取的措施
□向相关部门报案□向上级业务主管部门报告
□请安全服务单位协助解决□请开发维护单位协助解决
□请安全事件应急响应组织解决□自行解决
□未采取任何措施□其他:
可能攻击来源
○内部○外部○内外都有
○不清楚○其他原因:
重要服务器、网站备份情况
○重要服务器、网站均进行了备份○部分备份
○未备份
如有备份,备份方式
□磁带机□磁盘阵列□光盘□其他(请注明)________
本地备份频率
○实时○天○星期○月
有无异地容灾备份需求
○有;如有,是否已实现异地容灾备份○是○否
○无
七、产品国产化情况
服务器
①台数:
②国产化率:
终端计算机
(含笔记本)
①台数:
②国产化率:
桌面操作系统
①使用Windows操作系统的终端计算机台数:
其中使用WindowsXP的台数:
②使用Linux操作系统的终端计算机台数:
其他操作系统:
使用台数:
字处理软件
①安装微软Office字处理软件的终端计算机台数:
②安装国产字处理软件终端计算机台数:
主要信息安全产品
1安装防病毒产品的终端计算机台数:
其中:
安装国产产品的终端计算机台数
②防火墙(不含终端软件防火墙)台数:
,
其中:
国产产品的台数:
③入侵检测产品台数:
,其中:
国产产品台数:
④安全审计产品台数:
其中:
国产产品台数:
⑤漏洞扫描产品台数:
,其中:
国产产品台数:
⑥非法外联监控产品台数:
其中:
国产产品台数:
⑦网页防篡改产品套数:
,其中:
国产产品套数:
⑧隔离网闸产品台数:
,其中:
国产产品台数:
⑨密码产品台数:
,其中:
国产产品台数:
其他单价在1万元以上的信息安全产品(含软件产品)
国产化率:
八、参与检查的专业机构及人员情况
参与检查的外部机构名称
机构地址
联系人
电话
参与检查的主要工作内容
参与检查的人员名单
序
号
姓名
职称/单位职务
角色(组长、组员)
身份证号码
1
2
3
4
填表说明:
1、各单位按照网络与信息安全检查内容和相关要求完成自查后,如实填写本表。
填写内容不实等情况引起后果由填表人承担,本表须盖单位公章后有效。
本表填写完成后,由各部门根据实际情况确定密级。
2、表中各选项前为“○”标记表示为单选项;“□"标记为可多选项。
凡有“其他"项的,在后面注明具体内容。
3、网络与信息安全事件的分级按照《河北省网络与信息安全事件应急预案》执行。
4、表中所指国产终端计算机、国产字处理软件、国产信息安全产品,按国家相关规定认定如下:
(1)国产终端计算机应具有国内品牌,最终产品在中国境内生产,并符合法律法规和政策规定的其他条件。
(2)国产字处理软件应具有国内品牌,最终产品在中国境内生产,拥有核心模块的自主知识产权和源程序,并符合法律法规和政策规定的其他条件。
(3)国产信息安全产品应具有国内品牌,最终产品在中国境内生产,拥有核心模块的自主知识产权和源程序,通过国家认定的信息安全产品检测实验室的检测,并符合法律法规和政策规定的其他条件。
5、参与检查的机构及人员情况,参与检查的机构指委托的专业机构,如有多个机构同时参与检查时,每个机构均应填写一个表格.
6、如表格预留空间不足,可自行复印或续页填写。
升级会员 