度信息安全检查表.docx

1、度信息安全检查表附件1：网络安全检查材料（2014年） 部 门： （签章） 联 系 人： 联系电话： 填表时间： 填表说明：一、如实认真填写各表各项内容。二、如本单位有下属单位或部门，应组织下属单位或部门一并开展信息安全检查，并填写检查材料。下属单位的外包服务机构情况表及重要信息系统情况调查表与本单位表格一并装订。三、外包服务机构情况表及重要信息系统情况调查表如不够填写，可自行复制增补。四、网络安全检查总结附在本材料末，统一装订后上交。五、涉密信息系统不在此次调查范围内。网络安全自查表评估指标评价要素权重(V)评价标准（P为量化值）计分（P*V）组织管理分管领导3明确一名主管领导负责本部门网络

2、安全工作。已明确，本年度就网络安全工作作出批示或主持召开专题会议，P=1;已明确，本年度未就网络安全工作作出批示或主持召开专题会议，P=0.5; 未明确，P=0。责任部门2明确一个部门具体承担网络安全管理工作。（应为本单位二级机构 ）。已以正式文件等形式明确其职责，P=1;未明确，P=0。信息安全员2各本单位及下属部门指定一名专职或兼职信息安全员。P=指定网络安全员的机构数量与机构总数的比率。网络安全日常管理规章制度制度完整性3建立网络安全管理制度体系，涵盖人员管理、资产管理、采购管理、外包管理 、教育培训等方面。制度完整，P=1；制度不完整，P=0.5；无制度,P=0。制度发布2安全管理制度

3、以正式文件等形式发布。符合，P=1;不符合，P=0。人员管理保密协议2重点岗位人员（系统管理员、网络管理员、网络安全员等）签订网络安全与保密协议。P=重点岗位人员中签订网络安全与保密协议的比率。离岗管理2人员离岗离职时，收回其相关权限，签署安全保密承诺书。符合，P=1；不符合，P=0。到访管理2外部人员访问机房等重要区域时采取审批、人员陪同、进出记录等安全管理措施。符合，P=1；不符合，P=0。资产管理责任落实2指定专人负责资产管理 ，并明确责任人职责。符合，P=1；不符合，P=0。建立台账2建立完整资产台账，统一编号、统一标识、统一发放。符合，P=1；不符合，P=0。评估指标评价要素权重(V

4、)评价标准（P为量化值）计分（P*V）网络安全日常管理资产管理账物相符2资产台账和设备相一致。符合，P=1；不符合，P=0。维修报废2完整记录设备维修维护和报废信息（时间、地点、内容、责任人等）。记录完整，P=1；记录不完整，P=0.5；无记录，P=0。经费保障3将网络安全设施运维、日常管理、教育培训、检查评估等费用纳入年度预算 。符合，P=1；不符合，P=0。外包管理服务协议2与信息技术外包服务提供商签订网络安全与保密协议 ，或在服务合同中明确网络安全与保密责任。符合，P=1；不符合，P=0。现场管理2现场服务过程中安排专人管理，并记录服务过程。记录完整，P=1；记录不完整，P=0.5；无记

5、录 ，P=0。开发管理2外包开发的系统、软件上线前通过信息安全测评。P=外包开发的系统、软件上线前通过信息安全测评的比率。运维方式2原则上不得采用远程在线方式，确需采用时采取书面审批、访问控制、在线监测、日志审计等安全防护措施。符合，P=1；不符合，P=0。网络安全防护管理物理环境机房安全2具备防盗窃、防破坏、防雷击、防火、防水、防潮、防静电及备用电力供应、温湿度控制、电磁防护等安全措施。符合，P=1；不符合，P=0。2访问控制1机房配备门禁系统或有专人值守。符合，P=1；不符合，P=0。1边界安全访问控制3网络边界部署访问控制设备，能够阻断非授权访问。符合，P=1；有设备。但未配置侧咧，P=

6、0.5；无设备,P=0。3入侵检测2网络边界部署入侵检测设备 ，定期更新检测规则库。符合，P=1；有设备，但未定期更新，P=0.5；无设备，P=0。0评估指标评价要素权重(V)评价标准（P为量化值）计分（P*V）网络安全防护管理边界安全安全审计2网络边界部署安全审计设备，对网络访问情况进行定期分析审计并记录审计情况。符合，P=1；有设备，但未定期分析，P=0.5；无设备，P=0。0入口数量2同一办公区域内互联网接入口不超过2个。符合，P=1；不符合，P=0。2设备安全恶意代码2部署防病毒网关或统一安装防病毒软件，并定期更新恶意代码库。符合，P=1；有设备，但未定期更新，P=0.5；无设备，P=

7、0。0漏洞扫描2定期对服务器、网络设备、安全设备等进行安全漏洞扫描。符合，P=1；不符合，P=0。0服务器口令策略1配置口令策略保证服务器口令强度和更新频率。P=配置了口令策略的服务器比率。0服务器安全审计1启用安全审计功能并进行定期分析。P=安全审计日志进行定期分析的服务器比率。0服务器补丁更新2及时对服务器操作系统补丁和数据库管理系统补丁进行更新。P=补丁得到及时更新的服务器比率。2网络设备和安全设备口令策略1配置口令策略保证网络设备和安全设备（指重要设备）口令强度和更新频率。P=网络设备和安全设备中配置了口令策略的比率。0终端计算机统一防护2采取集中统一管理方式对终端进行防护，统一软件下

8、发、安装系统补丁。符合，P=1；不符合，P=0。0终端计算机接入控制1采取技术措施（如部署集中管理系统、将IP地址与MAC地址绑定等）对接入单位网络的终端计算机进行控制。符合，P=1；不符合，P=0。1存储安全1配备必要的电子信息消除和销毁设备，对变更用途的存储介质进行信息消除，对废弃的存储介质进行销毁。符合，P=1；不符合，P=0。1评估指标评价要素权重(V)评价标准（P为量化值）计分（P*V）网络安全防护管理应用系统（无门户网站或邮件系统则相应项P=1）风险评估与等级保护2按信息化条例要求，对本单位信息系统实施等级保护，开展风险评估。等级保护定级未备案或风险评估未采取备案机构开展P=0.5

9、;未实施等级保护或未开展风险评估P=0。2门户网站防篡改2门户网站采取网页防篡改措施。符合，P=1；不符合，P=0。2门户网站抗拒绝服务攻击措施1门户网站采取抗拒绝服务攻击措施。符合，P=1；不符合，P=0。1门户网站信息发布审核2网站信息发布前采取内容核查、审批等安全管理措施。符合，P=1；不符合，P=0。2电子邮件账号审批注册1建立邮件账号开通审批程序，防止邮件账号任意注册使用。符合，P=1；不符合，P=0。电子邮箱账户口令策略1配置口令策略保证电子邮箱口令强度和更新频率。符合，P=1；不符合，P=0。邮件清理1定期清理工作邮件。符合，P=1；不符合，P=0。数据安全存储保护2采取技术措施

10、 （如加密、分区存储等）对存储的重要数据进行保护。符合，P=1；不符合，P=0。2传输保护2采取技术措施对传输的重要数据进行加密和校验。符合，P=1；不符合，P=0。2数据和系统备份2采取技术措施对重要数据和系统进行定期备份。符合，P=1；不符合，P=0。2数据中心、灾备中心设立1数据中心、灾备中心应设在境内。符合，P=1；不符合，P=0。1网络安全应急管理应急预案2制定网络安全事件应急预案（部门级预案，非单个系统的应急预案），并使相关人员熟悉应急预案。符合，P=1; 不符合，P=0。评估指标评价要素权重(V)评价标准（P为量化值）计分（P*V）网络安全应急管理应急演练2开展应急演练，留存演练

11、计划、方案、记录、总结等文档。符合，P=1; 不符合，P=0。应急资源1制定应急技术支援队伍，配备必要的备件等应急物质。符合，P=1; 不符合，P=0。事件处理2发生网络安全事件后，及时向主管领导报告，按照预案开展处置工作；重大事件及时通报网络安全主管部门。及时按照省信息安全主管部门处置网络安全事件。发生过事件并按要求及时处置，或未发生事件，P=1; 发生过事件未按要求及时处置，P=0。网络安全教育培训意识教育3面向全体人员开展网络安全形势与警示教育、基本技能培训等活动。本年度开展活动的次数2，P=1; 次数=2，P=0.7; 次数=1，P=0.3; 次数=0，P=0。专业培训3参加全省统一组

12、织的管理人员和技术人员专业培训。符合，P=1; 不符合，P=0。网络安全检查工作部署1下发检查工作相关文件或者组织召开专题会议，对年度检查工作进行部署。符合，P=1; 不符合，P=0。工作机制1明确检查工作负责人、检查机构和检查人员。符合，P=1；不符合，P=0。技术检测2使用技术手段进行安全检测。符合，P=1；不符合，P=0。检查经费1安排并落实检查工作经费。符合，P=1；不符合，P=0。整改落实3完成上一年度信息安全检查整改，并针对本年度自查问题制定整改工作方案。符合，P=1；无前一年度整改记录或本年度整改方案，P=0.5；不符合，P=0。网络安全情况表部门组织情况分管领导姓名职务责任处室

13、名称负责人职务电话信息安全员姓名移动电话电话信息系统基本情况信息系统情况信息系统总数可以通过互联网访问的系统数量不能通过互联网访问的系统数量面向社会公众提供服务的系统数量重要信息系统数量本年度经过安全测评的系统数量互联网接入情况互联网入口总数电信入口数量带宽（M）联通入口数量带宽（M）其他入口数量带宽(M)系统定级数量第一级第二级第三级第四级第五级未定级门户网站情况域名IP地址运维主体信息技术产品使用情况服务器总台数国内品牌台数其中国产CPU台数 ：国外品牌台数使用国产操作系统台数：使用国外操作系统台数：终端计算机（含笔记本）总台数 国内品牌台数其中国产CPU台数：国外品牌台数使用国产操作系统

14、台数：使用国外操作系统台数：使用windowsXP台数：安装国产字处理软件的终端计算机台数：安装国产防病毒软件的终端计算机台数：路由器总台数 国内品牌台数国外品牌台数交换机总台数 国内品牌台数国外品牌台数存储设备总台数 国内品牌台数国外品牌台数数据库管理系统总台数 国内品牌台数国外品牌台数邮件系统总数品牌数量品牌数量负载均衡设备总数品牌数量品牌数量防火墙总数品牌数量品牌数量入侵检测设备总数品牌数量品牌数量安全审计设备总数品牌数量品牌数量外包服务机构情况表外包服务机构1机构名称机构性质国有单位 民营企业 外资企业服务内容系统集成 系统运维 风险评估安全检测 安全加固 应急支持数据存储 灾难备份其

15、他：_网络安全保密协议已签订 未签订信息安全管理体系认证 已通过认证认证机构：_ 未通过认证外包服务机构2机构名称机构性质国有单位 民营企业 外资企业服务内容系统集成 系统运维 风险评估安全检测 安全加固 应急支持数据存储 灾难备份其他：_网络安全保密协议已签订 未签订信息安全管理体系认证 已通过认证认证机构：_ 未通过认证重要信息系统情况调查表信息系统基本情况信息系统名称信息系统类型互联网系统 内网/专网系统 工业控制系统(请根据系统类型选填下表内容)基本功能简介：等级保护定级：_级（未定级留空）互联网系统IP地址域名是否面向社会公众提供服务是 否系统运转连续性要求可容忍中断时间：小于30分

16、钟30分钟至12小时大于12小时日PV量（页面浏览量）日UV量（IP访问量）数据备份情况存储介质备份 数据级灾备 系统级灾备开发单位简介：运维单位简介：内网/专网系统是否与互联网数据交换是 否系统运转连续性要求可容忍中断时间：小于30分钟30分钟至12小时大于12小时数据备份情况存储介质备份 数据级灾备 系统级灾备开发单位简介：运维单位简介：工业控制系统是否连接互联网是 否系统运转连续性要求可容忍中断时间：小于30分钟30分钟至12小时大于12小时系统中断后可能造成的损失人身伤害经济损失环境污染其它简要描述可能损害情况：信息系统密码应用情况密码设备使用情况IPsec VPN密码机已采用 未采用

17、使用国产算法是 否数 量厂家及型号SSL VPN密码机已采用 未采用使用国产算法是 否数 量厂家及型号服务器密码机已采用 未采用使用国产算法是 否数 量厂家及型号第三方电子认证证书已采用 未采用认证机构名称安全认证网关已采用 未采用使用国产算法是 否数 量厂家及型号签名验证服务器已采用 未采用使用国产算法是 否数 量厂家及型号智能密码钥匙已采用 未采用使用国产算法是 否数 量厂家及型号电子签章系统已采用 未采用使用国产算法是 否数 量厂家及型号动态令牌已采用 未采用使用国产算法是 否数 量厂家及型号智能IC卡已采用 未采用使用国产算法是 否数 量厂家及型号加密U盘/加密硬盘已采用 未采用使用国产算法是 否数 量厂家及型号加密路由器已采用 未采用使用国产算法是 否数 量厂家及型号自建证书认证系统自建 未自建使用国产算法是 否数 量厂家及型号自建密钥管理系统已自建 未自建使用国产算法是 否数 量厂家及型号金融数据密码机已采用 未采用使用国产算法是 否数 量厂家及型号支付服务密码机已采用 未采用使用国产算法是 否数 量厂家及型号密码产品备案已备案 未备案系统密码测评已测评 未测评密码方案审查已审查 未审查