重要信息系统安全监督检查记录表金融 3.docx
《重要信息系统安全监督检查记录表金融 3.docx》由会员分享,可在线阅读,更多相关《重要信息系统安全监督检查记录表金融 3.docx(10页珍藏版)》请在冰豆网上搜索。
重要信息系统安全监督检查记录表金融3
文件编号:
GA-XXAQ-JDJC-2013-
山东省重要信息系统
安全监督检查记录表
存档材料
(金融机构)
被检查单位名称
检查时间
检查地点
检查单位
检查人员
检查组长
被检查单位基本情况表
单位名称
单位地址
主管部门
主管部门领导及联系人
职务
办公电话
手机
系统总数
在公安机关备案数
三级
二级
一级
该单位等级保护工作开展情况:
单位已(未)定级备案信息系统详细情况
系统名称
系统
级别
系统描述
系统备案号
山东省公安厅
重要信息系统安全监督检查记录单
鲁公信安检字[2013]号
检查民警(签名)
被检查单位名称
检查时间
检查地点
被检查单位等级保护工作责任部门:
被检查单位分管领导
联系电话
被检查单位责任部门领导
联系电话
被检查单位联系人
联系电话
记录人(签名):
重要信息系统安全监督检查记录单
检查内容
结果
备注
一、等级保护工作部署和组织实施情况
1、落实中国人民银行、银监会有关安全等级保护工作指导意见的实施方案;
2、本单位开展等级保护工作的有关会议记录、通知或有关活动的音像图片资料;
3、本单位开展等级保护工作有关宣传教育、业务技术培训记录或证书证件
4、本单位近两年内组织网络安全和信息安全等级保护工作自查报告、总结;
5、本单位信息系统安全建设整改方案;
6、信息安全等级保护定级备案报告、专家评审意见、上级主管部门批准意见和公安机关备案证明;
7、信息安全等级保护测评报告;
8、信息安全等级保护建设整改方案;
二、管理制度落实情况
1、本单位安全工作总体方针和安全策略文件
2、本单位基于相应安全等级的物理安全、网络安全、主机安全、应用安全、数据备份与恢复方面的管理制度以及相应的控制程序文件;
3、网络维护手册和用户操作规程;
4、用户登记管理制度、操作权限管理制度、违法案件报告协助查处制度、帐号使用登记和操作权限管理制度;
5、安全管理制度评审修订记录;
6、安全管理制度收发登记记录;
三、管理机构落实情况
1、本单位信息安全与保密领导小组名单;本单位信息与网络安全管理责任部门和专业技术人员岗位设置文件,安全管理和技术人员名单;
2、本单位信息安全与保密领导小组职责、责任部门职责、专职信息安全管理员职责及系统管理员、网络管理员、安全审计员、计算机病毒管理员、保密员职责;
3、本单位信息安全领导小组及责任部门定期协调处理网络安全会议记录;
4、本单位与第三方安全服务商签订的服务合同、保密协议;
5、专家小组或外聘顾问名单;
四、人员管理落实情况
1、信息安全关键岗位人员录用、考核、离岗、管理制度;第三方人员访问管理制度及记录;
2、对员工违反信息安全与保密管理制度的惩戒措施;
3、关键岗位人员保密协议、岗位安全协议、年度审核记录;
4、离岗人员登记表;
5、本年度信息安全专业管理和技术人员岗位技能培训、继续教育培训工作计划及培训记录;
6、第三方人员访问审批登记表
五、系统建设安全管理落实情况
1、系统建设方案及验收报告(主管部门统一进行系统建设的,提供系统验收报告复印件);
2、风险评估报告;
3、内控管理评估报告;
4、自行开发应用软件的安全检测报告;
5、外包应用软件开发的安全检测报告;
六、运行维护管理落实情况
1、本单位机房管理制度,进出机房登记表、和对机房供配电、空调、温湿度等控制设备的日常维护记录;电子门禁管理制度;
2、办公环境保密管理制度及检查记录;
3、资产管理、介质管理、设备管理制度及安全检查记录;
4、重要信息资产登记表;
5、重要信息设备的标识规定;
6、冗余系统、冗余设备、冗余链路、冗余路由的管理规定;
7、介质管理登记表;
8、备份和恢复策略文档、软件版本升级记录、重要文件备份记录、网络漏洞扫描报告、配置文件备份记录;
9、离线备份记录;
10、恢复记录;介质有效性测试记录;
11、便携和移动设备、无线设备网络接入登记表;
12、信息安全管理员、网络管理员、安全审计员权限分配及使用登录口令记录;
13、系统漏洞扫描报告、系统操作、运行日志审计记录;
14、恶意代码、计算机病毒防范管理制度、病毒检测分析报告、病毒库升级记录;
15、安全专用产品管理制度及日常巡检、维修记录;
16、密码使用管理制度;
17、安全事件定级规定、安全事件报告制度和处理程序文档,安全事件分析报告、本年度安全事件处置统计表;
18、安全管理中心对设备状态、恶意代码、补丁升级、安全审计等安全事项进行集中管理的记录;
19、灾难恢复预案评审修订记录、培训与演练记录;
20、信息安全事件应急处置预案评审修订记录、培训与演练记录;
21、与公安机关建立信息安全事件协查与应急处置联动机制有关文档。
七、安全技术措施落实情况
1、数据库及系统、设备、链路、路由部分的冗灾备份技术措施;
2、防范计算机病毒、恶意代码、网络入侵和攻击破坏及追踪等技术措施;
3、记录并留存用户登录和退出时间、主叫号码、账号、系统维护日志技术措施;
4、记录并留存用户注册信息的技术措施;
5、访问控制和用户身份识别确认的双重身份认证技术措施;
6、留存至少保存90天记录备份的技术措施;
7、安装防火墙、入侵检测系统、安全审计系统、数据备份与恢复系统、计算机病毒防护系统;
8、具有网络和系统漏洞扫描、网络安全评估等安全检测工具;
八、网站安全防护情况
1、内容管理制度;
2、信息发布审核制度;
3、电子证书管理制度;
4、安装Web防火墙、网站防篡改系统、入侵检测系统、安全审计系统、数据备份与恢复系统、防DDOS攻击、防垃圾邮件系统、身份认证系统;
5、网上银行安全保护技术措施;
6、Web应用安全扫描报告、主机漏洞扫描报告、网站安全评估报告;
其他情况说明:
记录确认
经核对,以上检查记录情况属实。
被检查单位分管领导、责任部门领导签字:
网站安全检查表
网站名称
网站域名
接入IP地址段
□互联网:
□内网:
网站管理员姓名
联系方式
所属行业
□政府;□教育科研;□金融业;□信息传输、计算机服务和软件业;
□电力、能源;□制造业;□商业贸易;□其他
网站接入的网络
□联通□移动□电信□其他
主机运维方式
□自行管理□委托管理
网站主要用途
□办公应用;□互联网信息和上网服务;□业务经营应用;□电子商务、电子政务;□其他_____________________________
接入带宽
□10M□100M□1000M□其他:
ICP备案情况
□已备案,备案编号□未备案
公安机关备案情况
□已备案,备案编号□未备案
落实管理措施情况
1、建立了完善的网站管理制度
□人员管理□设备管理□运维管理□事件管理□信息发布
2、成立了网站管理组织
□安全小组□职能部门□应急处置小组□其他
3、设置了管理和技术工作岗位
□网站管理员□系统管理员□安全审计员□其他技术人员
4、加强了技术人员业务培训
□运维管理□内容管理□安全教育□其他
5、有效开展了安全管理活动
□安全教育□安全检查□应急处置□安全测评
落实技术防护措施情况
Web防火墙
□有,品牌:
型号:
□无
防病毒系统
□有,品牌:
型号:
□无
网站防篡改系统
□有,品牌:
型号:
□无
入侵检测系统
□有,品牌:
型号:
□无
安全审计系统
□有,品牌:
型号:
□无
数据备份与恢复系统
□有,品牌:
型号:
□无
防Ddos攻击系统
□有,品牌:
型号:
□无
防垃圾邮件系统
□有,品牌:
型号:
□无
Web应用安全检查工具
□有,品牌:
型号:
□无
安全事件处置情况
□跨站脚本攻击□账户攻击□操作系统安全漏洞攻击□服务器系统安全漏洞攻击
□端口扫描攻击□DOS(DDOS)攻击□lIS服务漏洞攻击□缓冲区溢出攻击
□远程IP攻击□windowsPnP远程执行代码漏洞攻击□执行恶意代码
□木马攻击□蠕虫和病毒□网络钓鱼程序□网站挂马□网站篡改
前次网站安全检查测评情况
检查人签名
升级会员 