网络安全检查企业自查表.docx
《网络安全检查企业自查表.docx》由会员分享,可在线阅读,更多相关《网络安全检查企业自查表.docx(10页珍藏版)》请在冰豆网上搜索。
网络安全检查企业自查表
网络安全检查企业自查表
表一:
本单位网络安全自查表
一、单位基本情况
单位名称
单位地址
网络安全
分管领导
姓名
职务/职称
网络安全
责任部门
责任部门
负责人
姓名
职务/职称
办公电话
移动电话
责任部门
联系人
姓名
职务/职称
办公电话
移动电话
数据保护责任部门
责任部门联系人
姓名
办公电话
职务/职称
移动电话
二、单位信息系统基本情况
(注:
如系统不与公共互联网连接可不填写对外服务IP地址及服务端口)
序号
系统名称
是否定级/
定级等级
系统用途描述
对外服务
IP地址
服务端口
1
2
……
三、网络安全管理落实情况
检查项目
自查标准
1、网络安全机构设置
是否成立单位网络安全领导机构:
□是(若是,需具体说明)□否
是否明确网络安全责任部门、具体职能:
□是(若是,需具体说明)□否
2、网络安全责任追究制定制度执行情况
是否建立网络安全责任追究制度:
□是(若是,需具体说明)□否
2109年至今是否依据责任追究制度对单位发生的网络安全事件(事故)进行追责等情况:
□未发生网络安全事件
□发生了网络安全事件,依据责任追究制度对责任人进行追责(是需具体说明)
□发生了网络安全事件,未依据责任追究制度对责任人进行追责
3、网络安全管理制度的制定和实施情况
是否建立健全的网络安全管理制度,包括单位人员管理、信息系统机房管理、设备管理、介质管理、网络安全建设管理、运维管理、服务外包等管理制度:
□是(若是,需具体说明)□否
上述管理制度是否有效落实:
□是(若是,需具体说明管理制度的监督保障和运行情况)
□否
4、网络安全服务可管可控
是否采购通过网络安全服务能力评定的机构提供的安全服务的:
□是(若是,需提供安全服务机构名称)□否
是否所有外包服务均签署了正式协议,明确双方的安全责任:
□是(若是,需具体说明)□否
5、网络安全教育和培训
开展情况
是否针对不同岗位制定了相对应的网络安全教育和培训计划:
□是(若是,请具体填写:
企业培训相关制度建设及培训开展情况:
)
□否
四、定级备案、符合性评测和风险评估情况
检查项目
自查标准
定级备案、符合性评测和风险评估情况
已定级备案的网络单元数量/应定级备案的全部网络单元数量的具体数值:
定级备案信息不准确的网络单元数量:
已进行符合性评测的网络单元数量/应进行符合性评测(检查时应能提供符合性评测报告)的全部网络单元数量的具体数值:
已进行风险评估的网络单元数量/应进行风险评估(检查时应能提供风险评估报告)的全部网络单元数量的具体数值:
符合性评测和风险评估报告是否包括整改情况:
□是□否□部分:
五、网络安全技术防护情况
检查项目
自查标准
1、网络安全防护技术手段
网络隔离、身份鉴别、访问控制、口令管理、边界防护、数据保护、容灾备份、安全审计等网络安全防护技术措施是否符合标准、有效:
□是(若是,需具体说明)□否□部分
2、网络安全监测手段建设、运行情况
是否建设相关网络安全监测技术手段:
□是(若是,需具体说明技术手段建设和运行情况)
□否
3、日常监测工作开展情况
是否组织开展日常网络安全监测工作:
□是(若是,需具体说明)□否
六、数据安全和用户个人信息保护
检查项目
具体检查内容
1、数据安全管理制度建立
情况
是否明确数据安全管理牵头责任部门:
□是(若是,需具体说明)□否
是否建立完善的数据安全管理制度:
□是(若是,需具体说明)□否
是否建立重大突发数据安全事件应急响应机制,对重大数据安全事件及时采取有效补救措施并向电信主管部门报告:
□是(若是,需具体说明)□否
2、收集、存储和使用用户个人信息合法合规情况
是否未经用户同意收集、存储和使用用户个人信息的情况:
□是□否
是否存在强制、过渡收集用户个人信息行为:
□是□否
是否在用户终止使用服务后停止对用户个人信息的收集和使用,并提供注销号码或账号的服务:
□是□否
是否存在非法出售、非法向他人提供用户个人信息行为:
□是□否
3、技术保障措施
是否建立配套数据安全技术保障措施
□是(若是,需具体说明)□否
4、内部人员安全管控
是否开展内部权限管理和安全审计:
□是(若是,需具体说明)□否
5、业务合作方数据安全监督管理
是否与数据业务合作方签订数据安全协议,对合作方数据安全风险进行监督管理,业务合作结束后应采取有效措施督促业务合作方依照合同约定删除数据:
□是(若是,需具体说明)□否
七、网络安全应急处置工作情况
检查项目
具体检查内容
1、应急响应组织机构的建设情况
是否建立应急响应组织机构,明确成员的职责、分工和责任追究:
□是(若是,需具体说明)□否
2、应急预案的制定
是否制定了总体的应急预案,并在同一的应急预案框架下制定不同事件的应急预案:
□是(若是,需具体说明)□否
3、应急资源的储备情况
人力、设备、技术和资金等方面是否确保应急预案的执行有资源保障;
□是(若是,需具体说明)□否
4、应急演练
是否定期对应急预案进行演练,根据不同事件的应急恢复内容,详细记录应急演练的过程,并根据演练情况对预案进行修订;
□是(若是,需具体说明)□否
5、重大网络安全事件(事故)的处置
是否将网络安全事件已按预案进行处置,并上报电信主管部门:
□未发生重大网络安全事件
□发生了及时上报电信主管部门(是需具体说明)
□发生了未及时上报电信主管部门
表二:
网站安全情况自查表
一、网站的基本情况
网站中文名
IP地址
网址
网站责任单位
网站运行单位
网站责任单位负责
人及职务
联系电话
网站运行安全责任人及职务
联系电话
网站责任单位
所在地
工信部ICP备案号
隶属关系
□中央□省(自治区、直辖市)□地(区、市、州、盟)
□县(区、市、旗)□其他_____
单位类型
□政府机关□事业单位□国企
□互联网□其他_____
定级备案
□二级□三级□四级□未定级
网站安全防护
技术手段
□防攻击手段(包括监测端口扫描、木马后门攻击、拒绝服务攻击等)
□防篡改□防恶意代码□网站数据备份□无防护手段
□其他_____
网站信息发布审核制度
□有信息发布管理制度和业务流程
□无相关制度
网站安全责任书
□已签订□未签订
网站服务栏目
□新闻发布□政策宣传□事项办理□论坛□即时通信
□电子邮件□留言版□政务公开□其他_____
二、网站的联网信息
域名注册服务机构和联系方式
域名的NS记录
域名的A记录
主站IP地址范围
主要协议/端口
操作系统版本
接入运营商及联系方式
物理接入位置
接入带宽
CDNIP地址范围
CDN服务提供商
CDN联系人姓名
手机号码
域名服务联系人
姓名
手机号码
表三:
本单位存储(含缓存)的重要数据用户个人信息统计表
单位名称
信息系统名称
包含的数据类型
数据量
(GB/TB/PB)
数据存储位置
数据库IP地址
数据库维护单位、联系人及联系方式
企业总部
分公司1
分公司2
……
注:
包含的数据类型:
业务数据/公民个人信息;数据存储位置:
互联网/互联网和业务专网/托管单位
附件3
网络安全检查工作依据的法律法规和标准
一、法律法规
1.《中华人民共和国网络安全法》
2.《通信网络安全防护管理办法》
3.《电信和互联网用户个人信息保护规定》
二、电信和互联网安全防护体系系列标准
1.《移动通信网安全防护要求》
2.《移动通信网安全防护检测要求》
3.《互联网安全防护要求》
4.《互联网安全防护检测要求》
5.《增值业务网—消息网安全防护要求》
6.《增值业务网—消息网安全防护检测要求》
7.《增值业务网—智能网安全防护要求》
8.《增值业务网—智能网安全防护检测要求》
9.《接入网安全防护要求》
10.《接入网安全防护检测要求》
11.《传送网安全防护要求》
12.《传送网安全防护检测要求》
13.《IP承载网安全防护要求》
14.《IP承载网安全防护检测要求》
15.《信令网安全防护要求》
16.《信令网安全防护检测要求》
17.《同步网安全防护要求》
18.《同步网安全防护检测要求》
19.《支撑网安全防护要求》
20.《支撑网安全防护检测要求》
21.《域名系统安全防护要求》
22.《域名系统安全防护检测要求》
23.《域名注册系统安全防护要求》
24.《域名注册系统安全防护检测要求》
25.《网上营业厅安全防护要求》
26.《网上营业厅安全防护检测要求》
27.《WAP网关系统安全防护要求》
28.《WAP网关系统安全防护检测要求》
29.《电信网和互联网信息服务业务系统安全防护要求》
30.《电信网和互联网信息服务业务系统安全防护检测要求》
31.《增值业务网即时消息业务系统安全防护要求》
32.《增值业务网即时消息业务系统安全防护检测要求》
33.《移动互联网应用商店安全防护要求》
34.《移动互联网应用商店安全防护检测要求》
35.《互联网内容分发网络安全防护要求》
36.《互联网内容分发网络安全防护检测要求》
37.《互联网数据中心安全防护要求》
38.《互联网数据中心安全防护检测要求》
39.《移动互联网联网应用安全防护要求》
40.《移动互联网联网应用安全防护检测要求》
41.《公众无线局域网安全防护要求》
42.《公众无线局域网安全防护检测要求》
43.《电信和互联网用户个人电子信息保护通用技术要求和管理要求》
44.《电信和互联网用户个人电子信息保护检测要求》
升级会员 