网络安全检查自查表1.docx
《网络安全检查自查表1.docx》由会员分享,可在线阅读,更多相关《网络安全检查自查表1.docx(37页珍藏版)》请在冰豆网上搜索。
网络安全检查自查表1
附件
网络安全检查自查表
表一:
行业主管部门填写
一、行业主管部门基本情况
行业主管部门名
称
单位地址
网络安全分管领导
姓名
职务/职称
网络安全责任部门
责任部门负责人
姓名
职务/职称
办公电话
移动电话
责任部门联系人
姓名
职务/职称
办公电话
移动电话
传真
邮箱地址
全行业信息系统总数
第四级系统数
第三级系统
数
第二级系统
数
未定级系统数
工业控制系统总数
网站总数
全行业信息系统等级测评总数
第四级系统数
第三级系统
数
第二级系统
数
未测评系统数
全行业信息系统安全建设整改总
第四级系统数
第三级系统
数
数
第二级系统
数
未整改系统数
本级单位信息系统
总数
第四级系统数
第三级系统
数
第二级系统
数
未整改系统数
二、行业主管部门网络安全工作情况
1、行业信息安全网络安全工作的组织领导情况
(重点包括:
行业网络安全领导机构或信息安全等级保护工作领导机构成立情况;行业网络安全或信息安全等级保护工作的职责部门和具体职能情况;全行业信息安全等级保护工作部署情况等。
)
2、行业对信息安全等级保护工作的重视情况
(重点包括:
行业信息安全等级保护工作年度考核情况;行业主管部门组织对地方对口部门或所属企事业单位网络安全检查情况;行业网络安全工作经费是否纳入年度预算?
行业网络安全工作的经费约占行业信息化建设经费的百分比情况等。
)
3、行业网络安全责任追究制度执行情况
(重点包括:
是否建立了行业网络安全责任追究制度?
是否依据责任追究制度对行业发生的网络安全事件(事故)进行追责等情况。
)
4、行业网络安全与信息通报工作情况
(重点包括:
是否加入了国家网络与信息安全通报机制?
是否建立了本行业网络与信息安全通报机制?
行业组织幵展日常网络安全监测情况;本行业幵展网络与信息安全通报预警工作的总体情况等。
)
5、行业重要网络安全政策和技术标准的制定情况
(重点包括:
行业出台网络安全或等级保护政策、管理办法、管理规定等规范性文件情况,具体文件名字和出台时间;行业出台网络安全或等级保护标准规范情况,具体文件名字和出台时间等情况。
)
6、行业网络安全顶层设计和统筹规划情况
(重点包括:
行业网络安全顶层设计情况;行业网络安全工作的短期目标
和长远规划制定情况;全行业的网络安全保护策略制定情况等。
)
7、行业数据资源保护情况
(重点包括:
行业数据中心建设情况;行业数据资源存储情况;行业数据
资源安全保护情况;行业数据资源的灾备中心建设情况和数据备份恢复情
况,行业数据资源存储和应用是否由社会第三方提供?
提供服务单位的具
体情况等)
8、行业网络安全应急预案和演练情况
(重点包括:
是否制定了行业网络安全预案?
行业网络安全预案是否进行
了演练?
是否根据演练情况对预案进行了修改完善等情况)
9、行业网络安全应急队伍建设情况
(重点包括:
是否建立了本行业网络安全应急队伍?
是否组建了行业网络
安全专家队伍?
是否与社会企业签订了应急支持协议?
行业应急队伍建设
规划等情况。
)
10、行业网络安全事件(事故)的处置情况
(重点包括:
是否明确了行业网络安全事件(事故)发现、报告和处置流
程?
年内是否发生重大网络安全事件(事故)?
是否与相关部门建立了网
络安全应急处置机制等情况。
)
11、行业网络安全宣传培训情况
(重点包括:
行业组织幵展网络安全宣传教育情况;行业组织幵展网络安
全领导干部培训、业务骨干培训和网络安全员培训等情况。
)
12、行业新技术、新应用安全保护情况
(重点包括:
行业大数据、云计算、物联网、工业控制系统等应用情况;
是否幵展等级保护工作情况;新技术、新应用网络安全保护等情况。
)
表二:
信息系统运营使用单位填写
一、信息系统运营使用单位基本情况
单位名称
单位地址
网络安全分管领导
姓名
职务/职称
网络安全责任部门
责任部门负责人
姓名
职务/职称
办公电话
移动电话
责任部门联系人
姓名
职务/职称
办公电话
移动电话
单位信息系统
总数
第四级系统数
第三级系统
数
第二级系统
数
未定级系统数
单位信息系统等级测评总数
第四级系统数
第三级系统数
第二级系统
数
未测评系统数
单位信息系统安全建设整改总数
第四级系统数
第三级系统
数
第二级系统
数
未整改系统数
单位信息系统安全自查总数
第四级系统数
第三级系统
数
第二级系统
数
未自查系统数
、信息系统运营使用单位网络安全工作情况
1、单位信息安全等级保护工作的组织领导情况
(重点包括:
单位网络安全领导机构或信息安全等级保护工作领导机构成立情况;单位网络安全或信息安全等级保护工作的职责部门和具体职能情况;单位信息安全等级保护工作部署情况等。
)
2、单位对信息安全等级保护工作的重视情况
(重点包括:
单位信息安全等级保护工作年度考核情况;单位组织幵展网
络安全自查情况;单位网络安全工作经费是否纳入年度预算?
单位网络安全
工作的经费约占单位信息化建设经费的百分比情况等。
)
3、单位网络安全责任追究制度执行情况
(重点包括:
是否建立了单位网络安全责任追究制度?
是否依据责任追究制度对单位发生的网络安全事件(事故)进行追责等情况。
)
4、单位信息系统定级备案工作情况
(重点包括:
单位信息系统是否全部定级备案?
单位系统调整是否及时进行备案变更?
单位新建信息系统是否落实定级备案等工作。
)
5、单位信息系统安全测评和安全建设整改工作情况
(重点包括:
单位信息系统安全检测和整改经费落实情况;单位信息系统恶意代码扫描、渗透性测试、等级测评和风险评估的安全检测情况;信息系统安全建设整改方案制定和实施情况;单位网络安全保护状况的了解掌握等情况。
)
6、单位网络安全管理制度的制定和实施情况
(重点包括:
单位信息系统建设和网络安全“同步规划、同步建设、同步运行”措施的落实情况;单位人员管理,信息系统机房管理、设备管理、介质管理、网络安全建设管理、运维管理、服务外包等管理制度的建设情况;管理制度的监督保障和运行情况等。
)
7、单位重要数据的保护情况
(重点包括:
单位数据中心建设情况;单位重要数据存储和安全保护情况;
单位重要数据备份恢复情况,单位重要数据存储和应用是否由社会第三方提供?
提供服务单位的具体情况等)
8、单位网络安全监测和预警情况
(重点包括:
单位幵展日常网络安全监测情况;单位网络安全监测技术手段建设情况;单位网络安全预警工作情况等。
)
9、单位网络安全应急预案和演练情况
(重点包括:
是否制定了单位网络安全预案?
单位网络安全预案是否进行
了演练?
是否根据演练情况对预案进行了修改完善等情况。
)
10、单位网络安全事件(事故)的处置情况
(重点包括:
是否明确了单位网络安全事件(事故)发现、报告和处置流程?
年内是否发生重大网络安全事件(事故)?
是否与相关部门建立了网络安全应急处置机制等情况。
)
11、单位信息技术产品、服务国产化情况
(重点包括:
单位操作系统、服务器、数据库、交换机等核心信息技术产品的国产化比率情况;单位网络安全设备的国产化比率情况;单位信息技术产品国产化替换工作计划情况;单位新建信息系统是否采用国产化设备;
单位信息安全服务情况等。
)
12、单位网络安全宣传培训情况
(重点包括:
单位组织幵展网络安全宣传教育情况;单位组织幵展网络安全岗位培训和网络安全员培训等情况。
)
表二:
国家级重要信息系统自查表
一、国家级重要信息系统基本情况
系统名称
系统安全保护等级
□三级□四级□未定级
系统运营使用单位
系统承载业务情况
业务类型
□生产作业□指挥调度□管理控制□内部办公
□公众服务□其他
功能描述
系统服务情况
服务范围
□全国□跨省(区、市)跨个
□全省(区、市)□跨地(市、区)跨个
□地(市、区)内
□其它
服务对象
□单位内部人员□社会公众人员□两者均包括
□其他
系统
数据
数据存储方
式
□本地存储□异地存储□云存储□其它
年存储数据
量级
□仃GB□10TGB□100TGB□1000TGB□其它
系统网络平台
覆盖范围
□局域网□城域网□广域网□其他
网络性质
□业务专网□互联网□其它
系统互联情况
□与其他行业系统连接□与本行业其他单位系统连
接
□与本单位其他系统连接□其它
系统经费投入情况
系统建设投入万元;系统安全建设投入
万元
何时投入运行使用
年月日
二、国家级重要信息系统安全保护情况
1
设备和资产
管理情况
是否指定专人负责资产管理,并明确责
任人职责?
□是□否
是否建立完整资产台账,统一编号、统
□是□否
一标识、统一发放?
资产台账与实际设备是否相致?
□是□否
是否完整记录设备维修维护和报废信息
(时间、地点、内容、责任人等)?
□是
□否
是否将信息安全设施运维、日常管理、
教育培训、等级测评和安全建设整改等
□是
□否
2
安全经费年
费用纳入年度预算?
度预算
是否能够保障网络安全所需的费用?
□是
□否
年度网络安全经费情况
万元
年度网络安全经费执行情况
执行比率:
网络安全规戈1」、保护策略制定情况
是否制定了网络安全规划?
□是
□否
3
网络安全规划是否遵循国家、行业相关
安全标准?
□是
□否
是否制定了网络安全保护策略?
□是
□否
疋级备案、
等级测评、
风险评估及建设整改情况
信息系统是否已按照信息安全等级保护要求进行定级?
□是
□否
4
信息系统是否到属地公安机关定级备
案?
□是
□否
信息系统是否每年聘请符合国家资质要
求的测评单位对信息系统进行测评?
□是
□否
信息系统是否依据测评结果制定整改方
案?
□是
□否
信息系统是否幵展了风险评估?
□是
□否
信息系统是否完成安全建设整改?
□是
□否
网络安全管
是否制定了完善的网络安全管理制度?
□是
□否
5
理制度制定
是否有网络安全管理操作规程?
□是
□否
情况
是否监督管理制度的贯彻落实?
□是
□否
网络边界管
理
信息系统是否有明确的安全域划分?
□是
□否
6
是否对系统边界有严格的安全策略控
制?
□是
□否
7
日志及安全
是否对信息系统操作行为、设备运行状态有完善的日志记录?
□是
□否
审计管理
是否对信息系统操作行为、设备运行状
态有安全审计措施?
□是
□否
8
恶意代码防
是否定期进行系统恶意代码扫描、查
杀?
□是
□否
范管理
是否定期进行信息系统防病毒软件进行
更新?
□是
□否
安全漏洞管
理
是否对系统安全漏洞定期检查、分析?
□是
□否
9
是否对系统发现的安全漏洞进行加固整
改?
□是
□否
10
终端管理
是否对系统终端安全进行统一管理?
□是
□否
11
数据的备份
是否具有本地数据备份与恢复策略?
□是
□否
与恢复
系统备份数据是否场外存放?
□是
□否
核心网络设备、关键主机设备是否具有冗余备份?
□是□否
是否具有冗余链路备份?
□是□否
重要应用是否有备份恢复措施?
□是□否
12
数据安全保
护
是否对系统重要数据采取加密措施?
□是□否
是否对系统重要数据米取校验措施保障数据的完整性?
□是□否
是否对系统重要数据的应用、流转等情
况进行管理?
□是□否
13
安全事件处置、报告、追责情况
是否制定信息系统网络安全事件(事故)处置操作手册?
□是□否
是否要求信息系统发生网络安全事件
(事故)第一时间向公安机关报告?
□是□否
是否制定安全事件责任制度?
□是□否
14
应急队伍建
设检查
是否建立了应急联络方式?
□是□否
是否建立了应急技术支援队伍?
□是□否
是否与相关单位建立了应急协调机制?
□是□否
15
应急预案和
演练
是否已制定了网络安全应急预案?
□是□否
本年度是否已幵展了应急演练?
□是□否
系统本年度是否出现过异常中断?
□是□否
系统异常中断造成的影响范围?
□社会公众
□本单位
16
操作系统、服务器、数
据库国产化
情况
使用国外操作系统的比率
%
使用国外服务器的比率
%
使用国外数据库的比率
%
17
安全产品使
用情况
使用国外信息安全产品的比率
%
18
国产化替代工程计划和进展情况
是否制定核心网络设备、操作系统、数据库、服务器等软硬件产品的国产化替代工程计划?
□是□否
是否落实相关国产化替代工程经费?
□是□否
19
运维服务检
查
是否委托社会第二方提供日常运维管理
服务?
□是□否
是否与受托单位签订了保密协议?
□是□否
受托单位是否是国外安全服务机构?
□是□否
20
信息系统和
重要数据的
运维情况
信息系统和重要数据是否由本单位自行
维护?
□是□否
信息系统和重要数据的服务托管单位?
单位名称:
是否要求并落实了托管单位的数据安全
保护责任?
□是□否
表四:
工业控制系统自查表
、工业控制系统基本情况
系统名称
系统安全保护等
级
□二级□三级□四级□未定级□未备案
系统运营使用单
位
系统所属行业
(电业、通信、铁路、水水利航航环保、医疗、市政、其它)
草交造、石电、
石化、
讯、
系统基本情况
系统功能描
述
系统集成厂
商
名称:
□国内□国外
核心控制器
情况
类型
厂商
型号
数量
分布式控制系
统(DCS
可编程逻辑控
制器(PLC
远程终端单元
(RTU
其他
工作站情况
类型
硬件厂商
型号
操作系
数量
操作员站
工程师站
维护工作站
丿宀—'11-H
-其他
服务器情况
类型
硬件厂商
型号
操作系
数量
数据库服务器
应用服务器
通信服务器
其他
网络设备情
况
类型
厂商
型号
数量
核心汇聚交换
接入交换机
安全设备情
况
类型
厂商
型号
数量
防火墙
网闸
加密装置
入侵检测
漏洞扫描
防病毒
其他
组态软件情
况
组态软件名称:
组态软件厂商:
数据库情况
□实时数据库品牌:
型号:
□历史数据库品牌:
型号:
□其他数据库品牌:
型号:
云桌面情况
是否部署□否□是厂商:
型号:
服务范围
□全国□跨省(区、市)跨个
□全省(区、市)□跨地(市、区)跨个
□地(市、区)内
□其它
服务对象
□单位内部人员□社会公众人员□两者均包括
□其他
统
服
务
情
系
数据存储
□本地存储□异地存储□云存储□其它
方式
年存储数据
GB
量级
系统网络互联情
何时投入运行使
用
二、工业控制系统安全保护情况
1
工控安全组织建设情况
是否建立工控信息安全管理的组织?
□是□否
是否设置专门的工控信息安全管理相关的岗
位、明确定义工控安全的职责?
□是□否
是否定期幵展工控信息安全相关的培训?
□是□否
2
核心
设备
是否指定专人负责资产管理,并明确责任人职
责?
□是□否
和资
产管理情况
是否建立完整资产台账,统一编号、统一标识、
统一发放?
□是□否
是否定期对资产台账的致性进行评审(核
查)?
□是□否
是否定期对资产台账进行更新?
□是□否
是否完整记录设备维修维护和报废信息(时间、
地点、内容、责任人等)?
□是□否
3
安全经费年度预算
是否将设备设施运维、日常管理、教育培训、等级测评和安全建设整改等费用纳入年度预算?
□是□否
是否能够保障网络安全所需的费用?
□是□否
年度网络安全经费情况?
万
元
4
网络安全保护策略制定情况
网络安全是否遵循国家、行业相关安全标准?
□是□否
是否制定了网络安全保护策略?
□是□否
是否编制网络拓扑图并保持更新?
□是□否
5
系统
等级
信息系统是否每年聘请符合国家资质要求的测
评单位对信息系统进行测评?
□是□否
测评、
建设整改情况
信息系统是否依据测评结果制定整改方案?
□是□否
是否对信息系统的整改结果进行跟踪验证?
□是□否
6
网络安全管理制度制定情况
是否制定了完善的网络安全管理制度?
□是□否
是否有网络安全管理操作规程?
□是□否
是否制定了网络设备相关的配置基线?
□是□否
是否监督管理制度的贯彻落实?
□是□否
7
网络
边界
管理
信息系统是否有明确的安全域划分?
□是□否
是否对系统边界有严格的安全策略控制?
□是□否
是否允许无线在网络系统中部署无线网络设备?
□是□否
是否运用供应商通过远程连接方式幵展运维支
持?
□是□否
网络边界是否部署有安全产品?
□是□否
8
日志及安全审计管理
是否对信息系统操作行为、设备运行状态进行
日志记录?
□是□否
是否对信息系统操作行为、设备运行状态有安
全审计措施?
□是□否
是否对网络日志或审计执行情况进行定期检
□是□否
查?
9
组态软件用户权限管理
组态软件的用户权限分发和变更是否执行审批?
□是□否
是否定期对用户权限情况进行评审(核查)?
□是□否
10
恶意
代码防范管理
上位机或服务器是否部署了防病毒软件并定期查杀?
□是□否
是否定期进行信息系统防病毒软件更新?
□是□否
11
安全
漏洞
管理
是否对系统安全漏洞定期检查、分析?
□是□否
是否对系统发现的安全漏洞进行加固整改?
□是□否
12
终端
管理
是否对系统终端安全进行统一管理?
□是□否
13
数据的备份与恢复
是否具有本地数据备份与恢复策略?
□是□否
是否定期对备份数据执行恢复性测试?
□是□否
核心网络设备、关键主机设备是否具有冗余备
份?
□是□否
重要应用是否有备份恢复措施?
□是□否
14
数据
安全
是否对系统重要数据采取加密措施?
□是□否
是否对系统重要数据的完整性进行校验?
□是□否
保护
是否对系统重要数据的应用、流转等情况进行
管理?
□是
□否
安全
事件
是否制定信息系统网络安全事件处置操作手册?
□是
□否
15
处置、
是否对安全事件进行分级分类管理?
□是
□否
报告、
是否第时间向公安机关报告网络安全事件?
□是
□否
追责
是否制定安全事件责任制度?
□是
□否
情况
本年发生过几次工控安全事件
次
应急
是否建立了应急联络方式?
□是
□否
16
队伍
是否建立了应急技术支援队伍?
□是
□否
建设
检杳
是否与相关单位建立了应急协调机制?
□是
□否
应急预案和演练
是否已制定了网络安全应急预案?
□是
□否
是否每年制定应急演练计划
□是
□否
17
是否幵展应急演练业务影响分析
□是
□否
本年度是否已幵展了应急演练?
□是
□否
系统本年度是否出现过异常中断?
□是
□否
国产
18
化情
是否制定核心设备的国产化替代工程计划?
□是
□否
况
19
运维
是否委托社会第三方提供日常运维管理服务?
□是
□否
服务
是否与受托单位签订了保密协议?
□是
□否
检杳
是否与受托单位运维人员签署保密承诺书?
□是□否
受托单位是否是国外安全服务机构?
□是□否
外包人员现场维护是否有本单位人员全程陪同?
□是□否
是否每日对工控进行巡检?
□是□否
巡检记录疋否保存兀整并有专人进仃核头?
□是□否
20
工控
安全教育培训
是否每年制定工控信息安全培训计划?
□是□否
本年度幵展工控安全教育培训的次数?
次
表五:
网站安全情况自查表
一、网站的基本情况
网站中文名
IP地址
网址
网站责任单位
网站运行单
位
网站责任单位负
责
人及职务
联系电话
网站运行安全责
任人及职务
联系电话
网站责任单位
所在地
工信部ICP备案
号
国际联网备案号
隶属关系
□中央□省(自治区、直辖市)□地(区、市、州、盟)
□县(区、市、旗)□其他
单位类型
□政府机关□事业单位□国企
□互联网□其他
行业类别
女口:
财政(根据等级保护备案表行业分类划分)
等级保护定级备
案
□二级□三级□四级□未定级
等级测评
□已幵展□未幵展
网站安全责任书
□已签订□未签订
网站服务栏目
□新闻发布□政策宣传□事项办理□论坛□即时
通信
□电子邮件□留言版□政务公幵□其他
二、网站安全保护情况
1
网站安全责任部门和安全责任人落实情况
是否落实了单位网站安全责任部门?
□是□否
是否落实了单位网站安全责任人?
□是□否
2
主要领导对网站网络安全工作的重视情况
是否将网站
升级会员 