网络安全评估表调研及汇总.docx
《网络安全评估表调研及汇总.docx》由会员分享,可在线阅读,更多相关《网络安全评估表调研及汇总.docx(39页珍藏版)》请在冰豆网上搜索。
网络安全评估表调研及汇总
表1:
基本信息调查
1.单位基本情况
单位名称
单位地址
(公章)
联系人
联系电话
Email
填表时间
信息安全主管领导
(签字)
职务
检查工作负责人
(签字)
职务
2.硬件资产情况
2.1.网络设备情况
网络设备名称
型号
物理位置
所属网络区域
IP地址/掩码/网关
系统软件
及版本
端口类型及数量
主要用途
是否热备
重要程度
2.2.安全设备情况
安全设备名称
型号(软件/硬件)
物理位置
所属网络区域
IP地址/掩码/网关
系统及运行平台
端口类型及数量
主要用途
是否热备
重要程度
2.3.服务器设备情况
设备名称
型号
物理位置
所属网络区域
IP地址/掩码/网关
操作系统版本/补丁
安装应用系统软件名称
主要业务应用
涉及数据
是否热备
2.4.终端设备情况
终端设备名称
型号
物理位置
所属网络区域
设备数量
IP地址/掩码/网关
操作系统
安装应用系统软件名称
涉及数据
主要用途
填写说明
网络设备:
路由器、网关、交换机等。
安全设备:
防火墙、入侵检测系统、身份鉴别等。
服务器设备:
大型机、小型机、服务器、工作站、台式计算机、便携计算机等。
终端设备:
办公计算机、移动存储设备。
重要程度:
依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。
3.
软件资产情况
3.1.系统软件情况
系统软件名称
版本
软件厂商
硬件平台
涉及应用系统
3.2.应用软件情况
应用系统软件名称
开发商
硬件/软件平台
C/S或B/S模式
涉及数据
现有用户数量
主要用户角色
填写说明
系统软件:
操作系统、系统服务、中间件、数据库管理系统、开发系统等。
应用软件:
项目管理软件、网管软件、办公软件等。
4.
服务资产情况
4.1.本年度信息安全服务情况
服务类型
服务方单位名称
服务内容
服务方式(现场、非现场)
填写说明
服务类型包括:
1.网络服务;2.安全工程;3.灾难恢复;4.安全运维服务;5.安全应急响应;6.安全培训;7.安全咨询;8.安全风险评估;9.安全审计;
10.安全研发。
5.人员资产情况
.1、信息系统人员情况
岗位名称
岗位描述
人数
兼任人数
填写说明
岗位名称:
1、数据录入员;2、软件开发员;3、桌面管理员;4、系统管理员;5、安全管理员;6、数据库管理员;7、网络管理员;8、质量管理员。
6.
文档资产情况
6.1.信息系统安全文档列表
文档类别
文档名称
填写说明
信息系统文档类别:
信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档;系统开发程序文件、资料等。
7.
信息系统情况
7.1、系统网络拓扑图
网络结构图要求:
1、应该标识出网络设备、服务器设备和主要终端设备及其名称;
2、应该标识出服务器设备的IP地址;
3、应该标识网络区域划分等情况;
4、应该标识网络与外部的连接等情况;
5、应该能够对照网络结构图说明所有业务流程和系统组成。
如果一张图无法表示,可以将核心部分和接入部分分别画出,或以多张图表示。
7.2、信息系统承载业务情况
信息系统名称
业务描述
业务处理信息类别
用户数量
用户分布范围
重要程度
是否通过第三方安全测评
填写说明:
1、用户分布范围栏填写全国、全省、本地区、本单位
2、业务处理信息类别一栏填写:
a)国家秘密信息;b)非密敏感信息(机构或公民的专有信息);c)可公开信息
3、重要程度栏填写非常重要、重要、一般
4、如通过测评,请填写时间和测评机构名称。
7.3、信息系统网络结构情况
网络区域名称
主要业务和信息描述
IP网段地址
服务器数量
与其连接的其它
网络区域
网络区域边界设备
重要程度
责任部门
填写说明:
1、网络区域主要包括:
服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等;
2、重要程度填写非常重要、重要、一般。
7.4、外联线路及设备端口(网络边界)情况
外联线路名称
(边界名称)
所属网络区域
连接对象
接入线路种类
传输速率(带宽)
线路接入设备
承载主要业务应用
备注
7.5、业务数据情况
数据名称
数据使用者或管理者及其访问权限
数据安全性要求
数据总量及日增量
涉及业务应用
涉及存储系统与
处理设备
保密
完整
可用
注:
数据安全性要求每项填写高、中、底
7.6、数据备份情况
备份数据名
介质类型
备份周期
保存期
是否异地保存
过期处理方法
所属备份系统
备注
7.7、一年来信息安全事件情况
安全事件类别
特别重大事件次数
重大事件次数
较大事件次数
一般事件次数
线路接入设备
承载主要业务应用
备注
有害程序安全事件
网络攻击事件
信息破坏事件
信息内容安全事件
设备设施故障
灾害性事件
其它事件
注:
安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》
表2:
安全状况调查
1.安全管理机构
安全组织体系是否健全,管理职责是否明确,安全管理机构岗位设置、人员配备是否充分合理。
序号
检查项
结果
备注
1.
信息安全管理机构设置
□以下发公文方式正式设置了信息安全管理工作的专门职能机构。
□设立了信息安全管理工作的职能机构,但还不是专门的职能机构。
□其它。
2.
信息安全管理职责分工情况
□信息安全管理的各个方面职责有正式的书面分工,并明确具体的责任人。
□有明确的职责分工,但责任人不明确。
□其它。
3.
人员配备
□配备一定数量的系统管理人员、网络管理人员、安全管理人员等;安全管理人员不能兼任网络管理员、系统管理员、数据库管理员等。
□配备一定数量的系统管理人员、网络管理人员、安全管理人员等,但安全管理人员兼任网络管理员、系统管理员、数据库管理员等。
□其它。
4.
关键安全管理活动的授权和审批
□定义关键安全管理活动的列表,并有正式成文的审批程序,审批活动有完整的记录。
□有正式成文的审批程序,但审批活动没有完整的记录。
□其它。
5.
与外部组织沟通合作
□与外部组织建立沟通合作机制,并形成正式文件和程序。
□与外部组织仅进行了沟通合作的口头承诺。
□其它。
6.
与组织机构内部沟通合作
□各部门之间建立沟通合作机制,并形成正式文件和程序。
□各部门之间的沟通合作基于惯例,未形成正式文件和程序。
□其它。
2.安全管理制度
安全策略及管理规章制度的完善性、可行性和科学性的有关规章制度的制定、发布、修订及执行情况。
检查项
结果
备注
1
信息安全策略
□明确信息安全策略,包括总体目标、范围、原则和安全框架等内容。
□包括相关文件,但内容覆盖不全面。
□其它
2
安全管理制度
□安全管理制度覆盖物理、网络、主机系统、数据、应用、建设和管理等层面的重要管理内容。
□有安全管理制度,但不全而面。
□其它。
3
操作规程
□应对安全管理人员或操作人员执行的重要管理操作建立操作规程。
□有操作规程,但不全面。
□其它。
4
安全管理制度
的论证和审定
□组织相关人员进行正式的论证和审定,具备论证或审定结论。
□其它。
5
安全管理制度
的发布
□文件发布具备明确的流程、方式和对象范围。
□部分文件的发布不明确。
□其它。
6
安全管理制度
的维护
□有正式的文件进行授权专门的部门或人员负责安全管理制度的制定、保存、销毁、版本控制,并定期评审与修订。
□安全管理制度分散管理,缺乏定期修订。
□其它。
7
执行情况
□所有操作规程的执行都具备详细的记录文档。
□部分操作规程的执行都具备详细的记录文档。
□其它。
3.人员安全管理
人员的安全和保密意识教育、安全技能培训情况,重点、敏感岗位人员有无特殊管理措施以及对外来人员的管理情况。
序号
检查项
结果
备注
1.
重点、敏感岗位人员录用和审查
□为与信息安全密切相关的重点、敏感岗位人员制定特殊的录用要求。
对被录用人的身份、背景和专业资格进行审查,对技术人员的技术技能进行考核,有严格的制度规定要求。
□其它。
2
保密协议的签
署
□与从事关键岗位的人员签署保密协议,包括保密范围、保密责任、违约责任、协议的有效期限和责任人签字等内容。
□其它。
3
人员离岗
□规范人员离岗过程,有具体的离岗控制方法,及时终止离岗人员的所有访问权限并取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。
□其它。
4
安全意识教育
□根据岗位要求进行有针对性的信息安全意识培训。
□未根据岗位要求进行有针对性的信息安全意识培训,仅开展全员安全意识教育。
□其它。
5
安全技能培训
□制定了有针对性的安全技能培训计划,培训内容包含信息安全基础知识、岗位操作规程等,并认真实施,而且有培训记录。
□安全技能培训针对性不强,效果不显著。
□其它。
6
在岗人员考核
□定期对所有人员进行安全技能及安全知识的考核,对重点、敏感岗位的人员进行全面、严格的安全审查。
□仅对重点、敏感岗位的人员进行全面、严格的安全审查,未普及到全员。
□其它。
7
惩戒措施
□告知人员相关的安全责任和惩戒措施,并对违反违背安全策略和规定的人员进行惩戒。
□有惩戒措施,但效果不佳。
□其它。
8
外部人员访问管理
□外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案。
□外部人员访问受控区域前得到授权或审批,但不能全程陪同或监督。
□其它。
4.系统建设管理
关键资产采购时是否进行了安全性测评,对服务机构和人员的保密约束情况如何,在服务提供过程中是否采取了管控措施。
信息系统开发过程中设计、开发和验收的管理情况。
序号
检查项
结果
备注
1
关键资产采购时进行安全性测评
□相关专门部门负责产品的采购,产品的选用符合
国家的有关规定。
资产采购之前进行选型测试,确定产品的候选范围,具有产品选型测试结果、候选产品名单审定记录或更新的候选产品名单,经过主管信息安全领导批准。
□专门部门负责产品的采购,产品的选用符合国家的有关规定。
□关键资产采购未进行安全性测试或未经过主管信息安全领导批准。
2
服务机构和人员的选择
□在具有资格的服务机构中进行选择,通过内
部和专家的评选。
对服务机构的人员,审查其所具有的资格。
□对服务机构的能力进行了详细的审查。
□服务机构和人员的选择未经过审查和筛选。
3
保密约束
□签订的安全责任合同书或保密协议包含服务内容、保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等。
定期考察其服务质量和保密情况。
□签订的安全责任合同书或保密协议明确规定各项内容。
但无监督考察机制。
□未签订合约或签订了安全责任合同书或保密协议,但服务范围、安全责任等未明确规定。
4
服务管控措施
□制定了详细的服务审核要求和规范。
对服务提供过程中的重要操作进行审核,并要求服务机构定期提供服务的情况汇总。
每半年组织内部检查,审查服务机构的服务质量。
□定期进行检查。
但缺乏规范的检查内容和要求。
□未采用任何管控措施。
5
系统安全方案制定
□根据信息系统安全保障要求,书面形式加以描述,形成能指导安全系统建设、安全产品采购和使用的详细设计方案,并经过专家论证和审定。
□形成能指导安全系统建设、安全产品采购和使用的概要设计方案,内部相关部门审定。
□缺乏体系化的安全方案。
6
信息系统开发
□根据软件开发管理制度,各类开发文档齐全,信息系统均经过功能、安全测试,并形成测试报告。
□开发文档不全面,仅在内部进行功能测试。
□无开发文档,或外包开发,没有源代码或有源代码但未经过全面的安全测试。
7
信息系统建设实施过程进度和质量控制
□制定详细的实施方案,并经过审定和批准,指定或授权专门的部门或人员按照实施方案的要求控制整个过程。
□制定简要实施方案,指定或授权专门的部门或人员控制整个过程。
□无实施方案或无专人管理实施过程。
8.
信息系统验收
□制定验收方案,组织相关部门和相关人员对系统测试验收报告进行审定,详细记录验收结果,形成验收报告。
重要的信息系统在验收前,组织专业的第三方测评机构进行测评。
□组织了验收活动,但缺乏专业人员进行全面的验收测试。
□未组织验收。
5.系统运维管理
设备、系统的操作和维护记录,变更管理,安全事件分析和报告;运行环境与开发环境的分离情况;安全审计、补丁升级管理、安全漏洞检测、网管、权限管理及密码管理等情况,重点检查系统性能的监控措施及运行状况。
序号
检查项
结果
备注
1.
环境管理
□有机房安全管理制度,并配备机房安全管理人员,对机房供配电等设施、设备和人员出入机房进行严格管理。
□配备机房安全管理人员,对机房供配电等设施、设备和人员出入机房进行管理。
□其它。
2.
资产管理
□资产清单记录内容与实际使用的计算机设备及其属性内容完全一致。
□资产清单内容与实际使用的计算机设备及其属性内容,在数量上一致,但在部分属性记录上有偏差。
□其它。
3.
介质管理
□对介质的存放环境、使用、维护和销毁等方面采取严格的控制措施。
□对介质的存放环境、使用、维护和销毁等方面采取了部分控制措施。
□其它。
4.
设备管理
□对信息系统相关的各种设备、线路等指定专门的部门或人员定期进行维护管理。
□对信息系统相关的各种设备、线路等指定专门的部门或人员不定期进行维护管理。
□其它。
5.
生产环境与开发环境的分离
□生产环境与开发环境隔离。
□其它。
6.
系统监控
□对通信线路、关键服务器、网络设备和应用软件的运行情况能够实时监测,并能及时分析报警日志。
□对通信线路、关键服务器、网络设备和应用软件的运行情况能够不定期监测,并能定期分析报警日志。
□其它。
7.
变更管理
□系统发生重要变更前,以书面形式向主管领导申请,审批后实施变更,并在实施后向相关人员通告,相关记录保存完好。
□系统发生重要变更前,向主管领导申请,审批后实施变更,并在实施后向相关人员通告。
□其它。
8.
补丁管理
□补丁更新及时,并能在测试环境测试后安装到运行环境。
□大部分计算机设备的补丁更新及时,只有少数由于应用软件代码不兼容而导致服务器补丁更新不及时。
□其它。
9.
安全事件管理
□制定安全事件报告和处置管理制度,能及时响应安全事故,并从安全事故中学习总结。
□能及时响应安全事故。
□其它。
10.
风险评估
□信息系统投入运行后,应每年至少进行一次关键业务或关键风险点的信息安全风险评估,每三年或信息系统发生重大变更时,进行一次全面的信息安全风险评估工作。
□信息系统投入运行后,每两年进行一次关键业务的信息安全风险评估。
□其它。
6.物理安全
机房安全管控措施、防灾措施、供电和通信系统的保障措施等。
序号
检查项
结果
备注
1
物理位置选择。
机房和办公场地所在的建筑,抗拒人为破坏和自然灾害的能力。
□机房和办公场地所在的建筑周边具备防止无关人员接近的措施,并且根据当地的自然环境设置了必要的防震、防火和防水的措施。
□机房和办公场地所在的建筑具备基本的抗拒人为破坏和自然灾害的能力,但防护强度有待提高。
□其它。
2
机房出入控制情况
□设置专人和自动化技术措施,对出入机房的人员进行全面的鉴别、监控和记录。
□设置专人或自动化技术措施,对出入机房的人员进行鉴别,但没有监控和完整的记录。
□其它。
3
机房环境。
机房配备防火、防水、防雷、防静电、温度湿度调节等措施,并提供充足稳定的电源,为机房中的设备提供良好的运行环境。
□机房环境保障完全达到相关国家标准的要求。
□少部分机房环境保障措施没有达到有关标准要求,但可以在短时间内有效整改。
□其它。
4
电磁防护。
电源线和通信线缆
应隔离铺设,避免
互相干扰。
□采用接地方式防止外界电磁干扰和设备寄生耦合干扰;电源线和通信线缆隔离,避免互相干扰。
□其它。
7.网络安全
安全域划分、边界防护、内网防护、外部设备接入控制等情况。
网络和信息系统的体系结构、各类安全保障措施的组合是否合理。
序号
检查项
结果
备注
1
网络拓扑结构图
□有正式的文档化的网络拓扑结构图,且完全与实际运行的网络结构相吻合。
□有文档化的网络拓扑结构图,关键部分吻合。
□其它。
2
网络冗余设计
□对关键网络设备进行了冗余设计,以增强网络的健壮性和可用性。
□对部分关键网络设备进行了冗余设计。
□其它。
3
网络安全域划分
□按照信息资源的重要程度进行了细致的安全域划分。
□按照信息资源的重要程度进行了基本的安全域划分。
□其它。
4
安全域访问控制
□根据业务需要实施了严格的访问控制措施。
□实施了访问控制措施,但访问控制粒度较粗。
□其它
5
网络准入控制。
防止未授权人员接入到网络中来,以引入安全风险。
□有网络准入控制措施,且严格执行。
□己有准入控制措施,但未严格执行。
□其它。
6
网络入侵防范
□检测网络边界处的网络攻击行为,发生严重入侵事件时提供报警,并能及时响应和处理。
□检测网络边界处的网络攻击行为,并提供报警。
□其它。
7
安全审计。
便于安全事件发生后进行溯源追踪
□配备审计设备且进行了良好配置,能够定期查看和分析审计日志。
□配备审计设备且进行了良好配置,但未能定期查看和分析审计日志。
□其它。
8.设备和主机安全
网络交换设备、安全设备、主机和终端设备的安全性,操作系统的安全配置、病毒防护、恶意代码防范等。
1)网络设备、安全设备和终端设备防护
序号
检查项
结果
备注
1.
设备用户身份标识。
□每个设备的用户拥有自己唯一的身份标识。
□根据用户职责以小组为单位分配身份标识。
□其它。
2.
管理员登录地址限制。
通过对管理员登录地址的限制,降低非法网络接入后取得设备使用权限的可能。
□管理员只能通过有限的、固定的IP地址和MAC地址登录。
□管理员职能在一个固定的IP地址段登录。
□其它
3.
设备用户身份鉴别。
通过严格的口令设置和管理,保障身份鉴别的准确性。
□设备的登录密码复杂不易猜测、定期更换且加密存储。
□设备的登录密码复杂不易猜测且加密存储,但没有做到定期更换。
□其它。