网络安全检查表格Word下载.docx

1、面向社会公众提供服务的系统数量：本年度经过安全测评的系统数量：（如有多个应用系统，可在此表项内增加应用系统名称，每个系统均应填写）互联网接入情况互联网接入口总数：_ 接入中国联通接入口数量：_ 接入带宽：_MB 接入中国电信接入口数量： 其他：_接入口数量：系统等级保护情况第一级：_个第二级：_个第三级：_个已开展年度测评_个测评通过率_第四级：第五级：未定级：三、网络安全日常管理情况（如有多个系统，可扩展此项）人员管理岗位网络安全责任制度：已建立 未建立重点岗位人员安全保密协议：全部签订 部分签订 均未签订人员离岗离职安全管理规定：已制定 未制定外部人员访问机房等重要区域审批制度：资产管理资

2、产管理制度：设备维修维护和报废管理： 已建立管理制度，且记录完整 已建立管理制度，但记录不完整 未建立管理制度网络安全规划规划制定情况（单选）： 制定了部门的网络安全规划 在部门总体发展规划中涵盖了网络安全规划无四、网络安全防护情况（如有多个系统，可扩展此项）网络边界安全防护网络安全防护设备部署（可多选）：防火墙 访问控制设备 入侵防御设备 入侵检测设备安全审计设备 防病毒网关 流量控制设备 抗拒绝服务攻击设备其它：_设备安全策略配置：使用默认配置 根据需要配置网络访问日志：留存日志 留存时间：_ 未留存日志无线网络本单位使用无线路由器数量：无线路由器用途：访问互联网：访问电子政务外网：访问业

3、务/办公网络：安全防护策略（可多选）：采取身份鉴别措施 采取地址过滤措施未设置安全防护策略无线路由器使用默认管理地址情况：存在 不存在无线路由器使用默认管理口令情况：网站门户网站域名：_党政机关网 是 否 加挂党政机关网站标识情况 是 否门户网站IP地址：_221.10.42.144_本单位及其内设机构具有独立域名的网站域名：_（可另附页）网页防篡改措施：采取 未采取漏洞扫描：定期，周期 不定期 未进行信息发布管理：已建立审核制度，且记录完整 已建立审核制度，但记录不完整 未建立审核制度运维方式：自行运维 委托第三方运维域名解析系统情况：自行建设 委托第三方：电子邮件建设方式：自行建设使用第三

4、方服务邮件服务提供商帐户数量： 个注册管理：须经审批 任意注册口令管理：使用技术措施控制口令强度没有采取技术措施控制口令强度安全防护：（可多选）采取病毒木马防护措施部署防火墙、入侵检测等设备采取反垃圾邮件措施其他：终端计算机管理方式： 集中统一管理（可多选）规范软硬件安装统一补丁升级统一病毒防护统一安全审计 对移动存储介质接入实施控制统一身份管理 分散管理接入互联网安全控制措施： 有控制措施（如实名接入、绑定计算机IP和MAC地址等）终端网络隔离措施：_ 无控制措施接入电子政务外网安全控制措施：接入办公系统安全控制措施：移动存储介质 集中管理，统一登记、配发、收回、维修、报废、销毁 未采取集中

5、管理方式信息销毁：已配备信息消除和销毁设备 未配备信息消除和销毁设备重要漏洞修复情况重大漏洞处置率：_处置平均时长： _五、网络安全应急工作情况应急预案已制定本年度修订情况：修订 未修订未制定应急演练本年度已开展，演练时间：_ 本年度未开展灾难备份数据备份：采取备份措施，备份周期：实时，日，周，月，不定期未采取备份措施系统备份：采取实时备份措施的系统数量：未采取系统备份措施的系统数量: _应急技术队伍本部门所属 外部服务机构 无六、网络安全教育培训情况培训次数本年度开展网络安全教育培训的次数：培训人数本年度参加网络安全教育培训的人数：占本部门总人数的比例：_七、信息技术产品使用情况服务器总台数

6、：_ 品牌情况：国内品牌台数：_，其中，使用国产CPU的台数：_国外品牌台数：操作系统情况：使用国产操作系统的台数：使用国外操作系统的台数：（含笔记本）_其中，使用Windows XP的台数：安装国产字处理软件的终端计算机台数：安装国产防病毒软件的终端计算机台数：路由器_交换机存储设备数据库管理系统总套数：邮件系统总数：品牌：_ 数量：负载均衡设备防火墙入侵检测设备（入侵防御）安全审计设备八、商用密码使用情况密码功能用途（可多选）：身份认证 访问控制 电子签名 安全审计传输保护 存储保护 密钥管理密码机数量：_ 密码系统数量：智能IC卡数量：_ 智能密码钥匙数量：动态令牌数量：所采用的密码算法

7、：对称算法：SM1_个 SM4_个 SM7_个 AES_个 DES_个 3DES_个非对称算法：SM2_个 SM9_个 RSA1024_个 RSA2048_个杂凑算法：SM3_个 SHA-1_个 SHA-256_个 SHA-384_个 SHA-512_个 MD5_个其它：_九、网络安全经费预算投入情况经费保障上一年度网络安全预算：_万元，实际到位情况：_万元本年度信息化建设总预算（含网络安全预算）：_万元，其中网络安全预算：十、本年度技术检测及网络安全事件情况技术检测情况渗透测试进行渗透测试的系统数量：其中，可以成功控制的系统数量：恶意代码检测进行病毒木马等恶意代码检测的服务器台数：其中，存在

8、恶意代码的服务器台数：进行病毒木马等恶意代码检测的终端计算机台数：其中，存在恶意代码的终端计算机台数：安全漏洞检测结果进行漏洞扫描的服务器台数：其中，存在高风险漏洞的服务器台数：进行漏洞扫描的终端计算机台数：其中，存在高风险漏洞的终端计算机台数：网络安全事件情况门户网站受攻击情况安全防护设备检测到的门户网站受攻击次数：网页被篡改情况门户网站网页被篡改（含内嵌恶意代码）次数：_0_十一、信息技术外包服务机构情况（包括参与技术检测的外部专业机构）外包服务机构1机构名称机构性质国有单位 民营企业 外资企业服务内容系统集成 系统运维 风险评估安全检测 安全加固 应急支持数据存储 灾难备份_网络安全保密

9、协议已签订 未签订信息安全管理体系认证情况已通过认证认证机构：_未通过认证外包服务机构2信息安全管理体系认证情况（如有2个以上外包机构，每个机构均应填写，可另附页）附件2网络安全管理工作自评估表填表单位： （盖章） 联系人： 电话：评估指标评价要素评价标准权重（V）指标属性量化方法（P为量化值）评估得分（VP）网络安全组织管理网络安全主管领导明确一名主管领导负责本部门网络安全工作（主管领导应为本部门正职或副职领导）。3定性已明确，本年度就网络安全工作作出批示或主持召开专题会议，P = 1；已明确，本年度未就网络安全工作作出批示或主持召开专题会议，P = 0.5；尚未明确，P = 0。管理机构指

10、定一个机构具体承担网络安全管理工作（管理机构应为本部门二级机构）。2已指定，并以正式文件等形式明确其职责，P = 1；未指定，P = 0。网络安全员各内设机构指定一名专职或兼职网络安全员。定量P = 指定网络安全员的内设机构数量与内设机构总数的比率。网络安全日常管理规章制度制度完整性建立网络安全管理制度体系，涵盖人员管理、资产管理、采购管理、外包管理、教育培训等方面。制度完整，P = 1；制度不完整，P = 0.5；无制度，P = 0。制度发布安全管理制度以正式文件等形式发布。符合，P = 1；不符合，P = 0。重点岗位人员签订安全保密协议重点岗位人员（系统管理员、网络管理员、网络安全员等）

11、签订网络安全与保密协议。P = 重点岗位人员中签订网络安全与保密协议的比率。人员离岗离职管理措施人员离岗离职时，收回其相关权限，签署安全保密承诺书。外部人员访问管理措施外部人员访问机房等重要区域时采取审批、人员陪同、进出记录等安全管理措施。责任落实指定专人负责资产管理，并明确责任人职责。建立台账建立完整资产台账，统一编号、统一标识、统一发放。账物符合度资产台账与实际设备相一致。设备维修维护和报废管理措施完整记录设备维修维护和报废信息（时间、地点、内容、责任人等）。记录完整，P = 1；记录基本完整，P = 0.5；记录不完整或无记录，P = 0。外包管理外包服务协议与信息技术外包服务提供商签订

12、网络安全与保密协议，或在服务合同中明确网络安全与保密责任。现场服务管理现场服务过程中安排专人管理，并记录服务过程。记录不完整，P = 0.5；无记录，P = 0。外包开发管理外包开发的系统、软件上线前通过信息安全测评。P =外包开发的系统、软件上线前通过信息安全测评的比率。运维服务方式原则上不得采用远程在线方式，确需采用时采取书面审批、访问控制、在线监测、日志审计等安全防护措施。经费预算将网络安全设施运维、日常管理、教育培训、检查评估等费用纳入年度预算。网站内容网站信息发布网站信息发布前采取内容核查、审批等安全管理措施。电子信息介质销毁和信息消除配备必要的电子信息消除和销毁设备，对变更用途的存

13、储介质进行信息消除，对废弃的存储介质进行销毁。1信息防护物理环境机房安全具备防盗窃、防破坏、防雷击、防火、防水、防潮、防静电及备用电力供应、温湿度控制、电磁防护等安全措施。物理访问控制机房配备门禁系统或有专人值守。访问控制网络边界部署访问控制设备，能够阻断非授权访问。有设备，但未配置策略，P = 0.5；无设备，P = 0。入侵检测网络边界部署入侵检测设备，定期更新检测规则库。有设备，但未定期更新，P = 0.5；安全审计网络边界部署安全审计设备，对网络访问情况进行定期分析审计并记录审计情况。有设备，但未定期分析，P = 0.5；互联网接入口数量各单位同一办公区域内互联网接入口不超过2个。设备

14、安全恶意代码防护部署防病毒网关或统一安装防病毒软件，并定期更新恶意代码库。设备漏洞扫描定期对服务器、网络设备、安全设备等进行安全漏洞扫描。扫描周期小于1个月，P = 1；扫描周期为2到3个月，P = 0.5；扫描周期为4到6个月，P = 0.2；其他，P = 0。口令策略配置口令策略保证服务器口令强度和更新频率。P = 配置了口令策略的服务器比率。启用安全审计功能并进行定期分析。P = 对安全审计日志进行定期分析的服务器比率。补丁更新及时对服务器操作系统补丁和数据库管理系统补丁进行更新。P = 补丁得到及时更新的服务器比率。网络设备和安全设备口令策略配置口令策略保证网络设备和安全设备口令强度和

15、更新频率。P = 网络设备和安全设备（指重要设备）中配置了口令策略的比率。统一防护采取集中统一管理方式对终端进行防护，统一软件下发、安装系统补丁。接入控制采取技术措施（如部署集中管理系统、将IP地址与MAC地址绑定等）对接入本单位网络的终端计算机进行控制。应用系统应用系统安全漏洞扫描门户网站防篡改措施门户网站采取网页防篡改措施。门户网站抗拒绝服务攻击措施门户网站采取抗拒绝服务攻击措施。电子邮件账号注册审批建立邮件账号开通审批程序，防止邮件账号任意注册使用。电子邮箱账户口令策略配置口令策略保证电子邮箱口令强度和更新频率。邮件清理定期清理工作邮件。数据安全数据存储保护采取技术措施（如加密、分区存储

16、等）对存储的重要数据进行保护。数据传输保护采取技术措施对传输的重要数据进行加密和校验。数据和系统备份采取技术措施对重要数据和系统进行定期备份。数据中心、灾备中心设立数据中心、灾备中心应设立在境内。网络安全应急管理制定网络安全事件应急预案（为部门级预案，非单个信息系统的安全应急预案），并使相关人员熟悉应急预案。开展应急演练，并留存演练计划、方案、记录、总结等文档。应急资源指定应急技术支援队伍，配备必要的备机、备件等应急物资。事件处置发生网络安全事件后，及时向主管领导报告，按照预案开展处置工作；重大事件及时通报网络安全主管部门。发生过事件并按要求处置，或者未发生过安全事件，P = 1；发生过事件但未按要求处置，P = 0。网络安全教育培训意识教育面向全体人员开展网络安全形势与警示教育、基本技能培训等活动。本年度开展活动的次数3，P =