等保标准符合自查表-技术要求-物理安全-S4

等保2.0梳理表(含1-4级)excel表格

四级四级四级四级四级四级
安全通用要求
安全通用要求安全通用要求安全通用要求安全通用要求安全通用要求安全通用要求
四级安全通用要求
四级四级四级四级
四级
安全通用要求安全通用要求安全通用要求安全通用要求
安全通用要求
四级安全通用要求
四级安全通用要求
四级安全通用要求
四级
四级四级四级四级四级
环境管理环境管理环境管理
资产管理资产管理资产管理介质管理
四级安全通用要求四级安全通用要求
四级安全通用要求
四级安全通用要求
四级安全通用要求
四级四级四级四级
安全通用要求安全通用要求安全通用要求安全通用要求
四级安全通用要求
四级四级
安全通用要求安全通用要求
四级安全通用要求
安全运维管理安全运维管理安全运维管理
安全运维管理安全运维管理安全运维管理安全运维管理
自行软件开发自行软件开发外包软件开发外包软件开发外包软件开发测试验收测试验收系统交付系统交付系统交付等级测评等级测评等级测评服务供应商选择服务供应商选择服务供应商选择环境管理
制定和发布评审和修订
岗位设置
岗位设置
岗位设置人员配备人员配备人员配备授权和审批授权和审批授权和审批沟通和合作沟通和合作沟通和合作审核和检查审核和检查
审核和检查人员录用人员录用人员录用人员录用人员离岗人员离岗
四级四级四级四级
安全通用要求安全通用要求安全通用要求安全通用要求
四级安全通用要求
安全计算环境安全计算环境安全计算环境安全计算环境安全计算环境

等保测评技术方案

一、等级保护测评方案（一）测评范围与方法《基本要求》中对不同等级信息系统的安全功能和措施作出具体要求，信息安全等级测评要根据信息系统的等级从中选取相应等级的安全测评指标，并根据《测评要求》的要求，对信息系统实施安全现状测评。

因此，本次测评将根据信息系统的等级选取相应级别的测评指标。

1.测评指标三级基本指标依据定级结果，甲方的安全测评指标应包括《基本要求》第7节“第三级基本要求”中的3级通用指标类（G3），3级业务信息安全性指标类（S3）和3级业务服务保证类（A3）。

所包括的安全控制指标类型情况具体如下表：系统测评指标统计列表二级基本指标依据定级结果，甲方的安全测评指标应包括《基本要求》第7节“第三级基本要求”中的2级通用指标类（G2），2级业务信息安全性指标类（S2）和2级业务服务保证类（A2）。

所包括的安全控制指标类型情况具体如下表特殊指标无。

（二）测评对象1.测评对象选择方法测评对象包括网络互联与安全设备操作系统、应用软件系统、主机操作系统、数据库管理系统、安全相关人员、机房、介质以及管理文档。

选择过程中综合考虑了信息系统的安全保护等级、业务应用特点和对象所在具体设备的重要情况等要素，并兼顾了工作投入与结果产出两者的平衡关系。

2.测评对象选择结果2.1.物理机房测评对象-物理机房列表2.2.网络设备测评对象-网络设备列表3.安全设备测评对象-安全设备列表4.服务器或存储设备测评对象-服务器或存储设备列表5.终端或现场设备测评对象-终端或现场设备列表6.系统管理软件或平台测评对象-系统管理软件或平台列表7.业务应用系统或平台测评对象-业务应用系统或平台列表8.关键数据类型测评对象-关键数据类型列表测评对象-数据类型列表9.安全相关人员测评对象-安全相关人员列表10.安全管理文档测评对象-安全管理文档列表（三）测评方法本次等级测评现场实施过程中将综合采用访谈、检查和测试等测评方法。

1.访谈访谈是指测评人员通过与被测系统有关人员（个人/群体）进行交流、询问等活动，获取证据以证明信息系统安全保护措施是否有效的一类方法。

等保2.0自查表

3.定期检测主备切换的可用性，确保备机及备用线路可正常使用。
28
安全通信网络
通信传输
a)应采用校验技术或加解密技术保证通信过程中数据的完整性；
VPN、加密机、SSH、SSL、MD5、防篡改等
1.要求业务应用和运维管理的通信过程都采用非对称加密、哈希校验等密码技术，保障数据传输过程安全可靠。
2.检查所选设备是否具有国家相关部门加解密认证证书及其证书有效性，如国密算法、商密算法等。
3.测试设备是否满足业务高峰期需求。
4.按照业务系统服务的重要次序定义带宽分配的优先级，在网络拥堵时优先保障重要主机；
24
安全通信网络
网络架构
b)应保证网络各个部分的带宽满足业务高峰期需要；
关键网络节点双机冗余、网管软件、QoS监控、CDN网络加速
1.要求网络进出口和核心网络的流量满足高峰期需求；
2.尽量采用不同运营商网络通信线路，保障网络业务的连续性
防盗报警系统、视频监控系统、机房动力环境监控系统
要求部署防盗报警系统或视频监控系统，对于监控信息需保存6个月以上
机房专人值守，定期复查视频记录等，并进行记录告
7
安全物理环境
防雷击
a)应将各类机柜、设施和设备等通过接地系统安全接地；
建设接地网、机房动力环境监控系统
管理制度中规定范围内的设备必须接地
定期检查接地电阻，并进行记录
复合岩棉彩钢板、铯钾防火玻璃等
1.要求对机房中重要信息或者关键业务系统需要和常规信息系统和设备进行隔离；
2.要求隔断防火设备需采用复合岩棉彩钢板、铯钾防火玻璃等;
1.检查存储重要信息和关键信息系统是否有与普通信息系统进行隔离，隔离方式是否满足要求，并出具分析报告；

等保标准符合自查表-管理要求-G4

安全服务商选择
G4
环境管理
G4
资产管理
G4
介质管理
G4
设备管理
G4
监控管理和安全管理中心
G4
网络安恶意代码防范管理密码管理
G4 G4
变更管理
G4
应与选定的安全服务商签订与安全相关的协应确保选定的安全服务商提供技术培训和服务应指定专门的部门或人员定期对机房供配电、应指定部门负责机房安全，并配备机房安全管应建立机房安全管理制度，对有关机房物理访应加强对办公环境的保密性管理，规范办公环应对机房和办公环境实行统一策略的安全管应编制并保存与信息系统相关的资产清单，包应建立资产安全管理制度，规定信息系统资产应根据资产的重要程度对资产进行标识管理，应对信息分类与标识方法作出规定，并对信息应建立介质安全管理制度，对介质的存放环境应确保介质存放在安全的环境中，对各类介质应对介质在物理传输过程中的人员选择、打包应对存储介质的使用过程、送出维修以及销毁应根据数据备份的需要对某些介质实行异地存应对重要介质中的数据和软件采取加密存储，应对信息系统相关的各种设备（包括备份和冗应建立基于申报、审批和专人负责的设备安全应建立配套设施、软硬件维护方面的管理制应对终端计算机、工作站、便携机、系统和网应确保信息处理设备必须经过审批才能带离机应对通信线路、主机、网络设备和应用软件的应组织相关人员定期对监测和报警记录进行分应建立安全管理中心，对设备状态、恶意代码应指定专人对网络进行管理，负责运行日志、应建立网络安全管理制度，对网络安全配置、应根据厂家提供的软件升级版本对网络设备进应定期对网络系统进行漏洞扫描，对发现的网应实现设备的最小服务配置和优化配置，并对应保证所有与外部系统的连接均得到授权和批应禁止便携式和移动式设备接入网络应定期检查违反规定拨号上网或其他违反网络应严格控制网络管理用户的授权，授权程序中应根据业务需求和系统安全分析确定系统的访应定期进行漏洞扫描，对发现的系统安全漏洞应安装系统的最新补丁程序，在安装系统补丁应建立系统安全管理制度，对系统安全策略、应指定专人对系统进行管理，划分系统管理员应依据操作手册对系统进行维护，详细记录操应定期对运行日志和审计数据进行分析，以便应对系统资源的使用进行预测，以确保充足的应提高所有用户的防病毒意识，及时告知防病应指定专人对网络和主机进行恶意代码检测并应对防恶意代码软件的授权使用、恶意代码库应定期检查信息系统内各种产品的恶意代码库应建立密码使用管理制度，使用符合国家密码应确认系统中要发生的变更，并制定变更方案应建立变更管理制度，系统发生变更前，向主应建立变更控制的申报和审批文件化程序，对

机房等保三级要求

机房等保三级要求1.物理安全要求：-具备完善的门禁系统，包括身份验证、门禁权限控制和出入记录管理等。

-采用视频监控系统，对机房的进出和关键区域进行全天候的监控和记录。

-采用防火墙、灭火系统和独立消防通道等消防设施，确保机房火灾的预防和扑灭能力。

-机房应具备恒温恒湿设施，确保设备正常运行和数据安全。

2.信息安全管理要求：-要建立健全的信息安全责任制和安全管理组织机构，明确各级人员的安全职责和权限。

-制定安全管理制度和规范，对机房的设备、人员和数据进行全面管理和控制。

-健全的安全培训和教育体系，提升机房人员的安全意识和技能。

-建立完善的安全审计和评估机制，对机房的安全工作进行定期检查和评估。

3.安全技术措施要求：-部署防火墙、入侵检测和防病毒系统，实施对网络流量、入侵和病毒的实时监测和管理。

-配备足够的安全设备和安全管理软件，对机房设备和系统进行全面监控和管理。

-配置安全加固措施，对机房的操作系统、数据库和应用程序进行加固，提高系统的安全性能。

-部署安全审计系统，对机房的各类操作和行为进行审计和记录，以便后续的安全追溯和分析。

4.应急响应要求：-制定应急预案，明确各类安全事件的处理措施和流程，确保能够及时有效地应对各类安全威胁。

-配备应急响应人员和安全事件处理团队，定期进行安全演练和培训，提高应急响应能力。

-建立安全事件上报和处理机制，对机房的各类安全事件进行报告和处理，并持续改进应对能力。

以上是机房等保三级要求的主要内容。

通过严格遵守这些要求，可以提高机房的信息系统安全等级，保障机房的设备、数据和服务的安全性，为用户提供稳定可靠的服务。

等级保护差距分析表--物理安全

√
1）应将主要设备放置在机房内；
√
防盗窃和防破坏
2）应将设备和主要部件进行固定，并设置明显的不易除去的标记；
3）应将通信线缆铺设在隐蔽处，可铺设在地下或管道中； 4）应对介质分类标识，存储在介质库或档案中；
√√Biblioteka √防雷击防火5）主机房应安装必要的防盗报警设施，以防进入机房的盗窃和破坏行为。 √
1）机房建筑应设置避雷装置；
等保技术要求
符合
部分符合
不符合
工作记录
物理位置选择 1）机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
√
托管机房电信机房
1）机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁；
√
2）机房出入口应有专人值守，鉴别进入的人员身份并登记在案；
√
物理访问控制
3）进入机房的来访人员需经过申请和审批流程，并限制和监控其活动范围。
询问电信工作人员对介质进行分类和标识机房配备有防火、防盗、防水等报警装置机房建筑设置有避雷装置
机房有灭火装置
2）应对穿过墙壁和楼板的水管增加必要的保护措施，如设置套管；防水和防潮
3）应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透； 4）应采取措施防止机房内水蒸气结露和地下积水的转移和渗透。
√
2）机房应设置交流电源底线。
√
1）机房应设置灭火设备和火灾自动报警系统，并保持灭火设备和火灾自动报警系统的良好状态。
√
1）水管安装，不得穿过机房屋顶和活动地板下；
√
机房位置在2和3楼，整栋楼单独为机房专用机房出入有电信工作人员值守，并进行身份证登记进入机房前首先在浦东教育局机房专职部门申请和审批，进入机房后又电信工作人员配合并监控工作活动数据中心主要设备都部署在机房设备都进行固定并标示机柜位置，但是缺少用户标识的设备标签

等保二级系统信息安全自查表

3-1数据库管理员密码是否复杂（至少8位，混合数字、字母、特殊符号）
是否
3-2数据库是否实施访问控制
ቤተ መጻሕፍቲ ባይዱ是否
3-3是否定期备份数据库
是否
系统管理员签名(加盖单位公章)：联系电话：
检查日期：
等保二级系统信息安全自查表
单位名称
系统名称
IP地址
域名
操作系统
自查项目
1、服务器自查
1-1固定系统管理人员
是否
1-2系统用户密码是否复杂（至少8位，混合数字、字母、特殊符号）
是否
1-3系统运行状况是否正常
是否
1-4是否安装系统防火墙
是否
1-5防火墙中是否仅开放必要的网络端口
是否
1-6是否安装防病毒软件
是否
1-7防病毒软件是否定期升级
是否
1-8是否定期升级系统及软件补丁
是否
1-9是否有系统日志
是否
1-10是否定期备份重要数据
是否
1-11是否定期巡查系统
是否
1-12是否建立了安全应急响应机制
是否
2、网站自查（不含网站的服务器忽略此项）
2-1是否有固定系统管理人员
是否
2-2网站运行状况是否正常
是否
2-3网站后台密码是否复杂（至少8位，混合数字、字母、特殊符号）
是否
2-4网站后台登录是否有验证码
是否
2-5是否定期备份网站代码
是否
2-6是否定期备份网站数据及数据库
是否
2-7是否定期检查网站中有无广告、木马、非法言论等不良信息
是否
2-8是否及时过滤、删除不良信息
是否
2-9是否保留60天以上的web访问日志

网络安全自查表要求(等保三标准)

2）保证存有敏感数据的存储空间被释放或重新分配前得到完全清除
1
a)应仅采集和保存业务必需的用户个人信息；
b)应禁止未授权访问和非法使用用户个人信息。
措施：
仅采集需要信息和保存业务必需。技术限制授权。
三、安全区域网络
1、
a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信；
b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制；
a) 应遵循最小安装的原则，仅安装需要的组件和应用程序；
b) 应关闭不需要的系统服务、默认共享和高危端口；
c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；
d) 应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；
e) 应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；
2）机房场地加强了防水和防潮措施。
3）机房场地未加强防水和防潮措施。
2、物理访问控制
机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员；
措施：1）机房出入口配置了电子门禁系统，系统运行正常。
2）有进入记录，且相关记录能够明确标识进入人员信息。
3、
a) 应将设备或主要部件进行固定，并设置明显的不易除去的标记；
1）具有安全审计功能。
2）审计要覆盖到每个用户，以及对重要的用户行为和重要的安全事件进行审计。
3）审计记录是包括事件的日期和时间、事件类型、事件是否成功及其他与审计相关的信息。
4）对审计记录进行保护，有定期备份审计记录
5）对审计进程进行保护，防止未经授权的中断。
（注：可以用安全厂商的审计系统完成）
4、
措施：

等级保护主机安全检查表

应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警
应能够检测到对重要服务器进行入侵的来自为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警
应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警
应限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令
应及时删除多余的、过期的帐户，避免共享帐户的存在
在用户对系统进行访问时，系统与用户之间应能够建立一条安全的信息传输路径
在用户对系统进行访问时，系统与用户之间应能够建立一条安全的信息传输路径
安全审计 G2
审计范围应覆盖到服务器上的每个操作系统用户和数据库用户
应依据安全策略和所有主体和客体设置的敏感标记控制主体对客体的访问
应依据安全策略和所有主体和客体设置的敏感标记控制主体对客体的访问
应依据安全策略和所有主体和客体设置的敏感标记控制主体对客体的访问
应依据安全策略和所有主体和客体设置的敏感标记控制主体对客体的访问
应依据安全策略和所有主体和客体设置的敏感标记控制主体对客体的访问
控制点分类等保级别访问控制 S1
访问控制 S4
控制点描述应启用访问控制功能，依据安全策略控制用户对资源的访问
应依据安全策略和所有主体和客体设置的敏感标记控制主体对客体的访问
访问控制 S4 访问控制 S4
访问控制 S4 访问控制 S4 访问控制 S4 访问控制 S1
访问控制 S1 可信路径 S4 可信路径 S4
应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警

等保自查表

国家级重要信息系统和重点网站安全执法检查自查表表一：行业主管部门填写
行业主管部门名称
单位地址
网络安全分管领导
网络安全责任部门
全行业信息系统总数
全行业信息系统等级测评总数
全行业信息系统安全建设整改总数本单位信息系统总数
一、行业主管部门基本情况
姓名职务/职称
责任部门负责人姓名职务/职称办公电话移动电话
责任部门联系人姓名职务/职称办公电话移动电话第四级系统数第三级系统数
第二级系统数未定级系统数
第四级系统数第三级系统数
第二级系统数未定级系统数
第四级系统数第三级系统数
第二级系统数未定级系统数
第四级系统数第三级系统数
第二级系统数未定级系统数
二、行业主管部门等级保护工作情况。

等保标准符合自查表-技术要求-应用安全-S4

自查资产数量自查资产类型资产编号自查情况说明自查资产类型资产编号自查情况说明自查资产类型资产编号请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择请选择
单位自查填写填写项目资产1（必填）资产2（可选）
资产3（可选）
资产3（可选）
自查情况说明

标准条款编号
8.1.4.01.a 8.1.4.01.b 8.1.4.01.c 8.1.4.01.d 8.1.4.01.e 8.1.4.02.a 8.1.4.03.a 8.1.4.03.b 8.1.4.03.c 8.1.4.03.d 8.1.4.03.e 8.1.4.04.a 8.1.4.04.b 8.1.4.06.a 8.1.4.06.b 8.1.4.07.a 8.1.4.08.a 8.1.4.08.b 8.1.4.08.c
可信路径剩余信息保护通信完整性通信保密性 S4 S4 S4 S4 访问控制 S4 安全标记 S4 身份鉴别 S4
检查要求检查层面检查项要求类型
检查内容
自查符合情况
技术要求应用安全
应提供专用的登录控制模块请选择对登录用户进行身份标识和应对同一用户采用两种或两请选择种以上组合的鉴别技术实现应提供用户身份标识唯一和请选择鉴别信息复杂度检查功能，应提供登录失败处理功能，请选择可采取结束会话、限制非法应启用身份鉴别、用户身份请选择标识唯一性检查、用户身份应提供为主体和客体设置安请选择全标记的功能并在安装后启应提供自主访问控制功能，请选择依据安全策略控制用户对文自主访问控制的覆盖范围应请选择包括与信息安全直接相关的应由授权主体配置访问控制请选择策略，并禁止默认账户的访应授予不同账户为完成各自请选择承担任务所需的最小权限，应通过比较安全标记来确定请选择是授予还是拒绝主体对客体在应用系统对用户进行身份请选择鉴别时，应能够加你一条安在用户通过应用系统对资源请选择进行访问时，应用系统应保应保证用户鉴别信息所在的请选择存储空间被释放或再分配给应保证系统内的文件、目录请选择和数据库记录等资源所在的应采用密码技术保证通信过请选择程中数据的完整性在通信双方建立连接之前，请选择应用系统应利用密码技术进应对通信过程中的整个报文请选择或会话过程进行加密应基于硬件化的设备对重要请选择通信过程进行加解密运算和

等保2.0梳理表内容

网络和系统安全管理
安全运维管理
网络和系统安全管理
安全运维管理安全运维管理
网络和系统安全管理网络和系统安全管理
四级四级
安全通用要求安全通用要求
四级安全通用要求
四级四级四级四级四级四级四级四级四级四级四级
安全通用要求安全通用要求安全通用要求安全通用要求安全通用要求安全通用要求安全通用要求安全通用要求安全通用要求安全通用要求安全通用要求
安全运维管理安全运维管理安全运维管理
安全运维管理安全运维管理安全运维管理安全运维管理
自行软件开发自行软件开发外包软件开发外包软件开发外包软件开发测试验收测试验收系统交付系统交付系统交付等级测评等级测评等级测评服务供应商选择服务供应商选择服务供应商选择环境管理
四级四级四级四级四级四级
安全通用要求
安全通用要求安全通用要求安全通用要求安全通用要求安全通用要求安全通用要求
四级安全通用要求
四级四级四级四级
四级
安全通用要求安全通用要求安全通用要求安全通用要求
安全通用要求
四级安全通用要求
四级安全通用要求
四级安全通用要求
四级
四级四级四级四级四级
四级安全通用要求
四级四级四级四级四级四级四级
安全通用要求安全通用要求安全通用要求安全通用要求安全通用要求安全通用要求安全通用要求
安全运维管理安全运维管理
安全运维管理
安全运维管理安全运维管理安全运维管理安全运维管理安全运维管理安全运维管理安全运维管理安全运维管理安全运维管理安全运维管理安全运维管理

等保自查报告

等保自查报告随着信息技术的飞速发展，信息安全已成为企业和组织关注的重要问题。

为了确保信息系统的安全稳定运行，保障业务的正常开展，按照国家相关法律法规和标准要求，我们对本单位的信息系统进行了等级保护自查工作。

现将自查情况报告如下：一、单位概况本单位名称为_____，是一家从事_____业务的企业/组织。

单位拥有多个信息系统，包括办公自动化系统、业务管理系统、网站等，这些信息系统承载着单位的核心业务和重要数据。

二、等保工作开展情况（一）组织保障成立了以单位负责人为组长的信息安全领导小组，明确了小组成员的职责分工，确保等保工作的顺利开展。

同时，设立了专门的信息安全管理部门，配备了专业的信息安全管理人员，负责信息系统的日常安全管理和维护工作。

（二）制度建设制定了完善的信息安全管理制度，包括人员安全管理制度、设备安全管理制度、数据安全管理制度、应急响应管理制度等。

通过制度的建立和执行，规范了信息系统的安全管理流程，提高了信息安全管理水平。

（三）安全技术措施1、网络安全部署了防火墙、入侵检测系统、防病毒软件等安全设备，对网络边界进行了有效的防护。

划分了不同的网络区域，实现了网络访问控制，限制了非法访问和数据泄露的风险。

定期对网络设备进行安全漏洞扫描和加固，及时发现和处理安全隐患。

2、主机安全对服务器和终端计算机进行了操作系统的安全加固，关闭了不必要的服务和端口。

安装了防病毒软件，定期进行病毒查杀和更新，防止病毒的传播和感染。

采用了身份认证和访问控制技术，限制了用户对主机资源的访问权限。

3、应用安全对应用系统进行了安全开发和测试，避免了常见的安全漏洞。

采用了加密技术对重要数据进行加密存储和传输，保障了数据的保密性和完整性。

定期对应用系统进行安全漏洞扫描和修复，确保应用系统的安全稳定运行。

三、等保自查情况（一）安全管理方面1、人员安全管理对员工进行了信息安全培训，提高了员工的信息安全意识和防范能力。

与员工签订了保密协议，明确了员工的保密义务和责任。

等保自查报告

等保自查报告一、引言随着信息技术的飞速发展，信息安全问题日益凸显。

为了保障信息系统的安全稳定运行，我单位按照国家相关法律法规和标准要求，对信息系统进行了等级保护自查工作。

本报告将详细介绍自查的情况、发现的问题以及整改措施。

二、自查情况（一）安全管理制度1、制定了较为完善的安全管理制度，包括人员安全管理、系统建设管理、系统运维管理等方面。

但在制度的执行过程中，存在部分员工对制度不够熟悉，执行不到位的情况。

2、定期对安全管理制度进行修订和完善，但修订的及时性和针对性还有待加强。

（二）安全管理机构1、成立了信息安全领导小组，明确了各成员的职责，但在实际工作中，协调沟通机制不够顺畅，导致部分工作推进缓慢。

2、配备了专职的安全管理人员，但安全管理人员的专业技能和知识水平有待提高。

（三）人员安全管理1、对员工进行了信息安全培训，但培训的内容和方式不够丰富，效果不够理想。

2、与员工签订了保密协议，但对员工离职后的信息安全管理措施不够完善。

（四）系统建设管理1、在信息系统建设过程中，进行了安全需求分析和风险评估，但评估的深度和广度不够。

2、对系统供应商进行了资质审查和管理，但对供应商的监督和评估不够严格。

（五）系统运维管理1、制定了系统运维的操作规程和应急预案，但在应急预案的演练方面不够充分，部分员工对应急流程不够熟悉。

2、对系统的运行状况进行了监测和记录，但对监测数据的分析和利用不够深入。

（六）物理安全1、机房的环境符合相关标准要求，具备防火、防水、防雷等设施，但机房的访问控制措施不够严格，存在未经授权人员进入的风险。

2、对设备进行了定期维护和保养，但设备的更新换代不够及时，部分设备老化严重。

（七）网络安全1、网络拓扑结构合理，划分了不同的安全区域，并采取了相应的访问控制措施，但在网络边界防护方面还存在一些漏洞，容易受到外部攻击。

2、部署了防火墙、入侵检测等安全设备，但设备的配置和管理不够优化，部分功能未充分发挥作用。

等保四级-安全技术-物理安全

(单位)
系统
等级保护四级测评
现场检测表
测试对象范围：安全技术
测试对象名称：物理安全
配合人员签字：
测试人员签字：
核实人员签字：
测试日期：
结果统计:
测评项
测评结果
1
物理位置的选择
□符合□部分符合□不符合
2
物理访问控制
□符合□部分符合□不符合
3
防盗窃和防破坏
□符合□部分符合□不符合
4
防雷击
□符合□部分符合□不符合
○是否参加过机房灭火设备的使用培训：
否 □ 是 □
○是否能够正确使用灭火设备和自动消防系统（喷水不适用于机房）：
否 □ 是 □
○是否能够做到随时注意防止和消灭火灾隐患
否 □ 是 □
3、检查机房是否设置了自动检测火情（如使用温感、烟感探测器）、自动报警、自动灭火的自动消防系统：
否 □
是 □○摆放位置是否合理：
否□是□
○是否设置明显的无法除去的标记：
否□是□
○是否有设备物理位置图：
否□是□
○是否经常检查设备物理位置的变化
否□是□
5、检查通信线缆铺设是否在隐蔽处（如铺设在地下或管道中等）：
否□是□
6、检查介质的管理情况，查看介质是否有正确的分类标识：
否□是□
○是否存放在介质库或档案室中；
否□是□
○是否有异地保存的措施
否□是□
3、访谈资产管理员，在介质管理中，是否进行了分类标识：
否□是□
○是否存放在介质库或档案室中：
否□是□
○询问对设备或存储介质携带出工作环境是否规定了审批程序、内容加密、专人检查等安全保护的措施；
否□是□

保密自查自评标准表

机关、单位自查自评标准
.. .专业. .
.. .专业. .
.. .专业. .
.. .专业. .
.. .专业. .
.. .专业. .
.. .专业. .
.. .专业. .
说明：
1.本自评标准的评分项目根据《机关、单位自查自评工作规则》设置，共59小项。

其中，第1至50小项设置总分值为100分；第51至58小项为加重扣分项，不设分值；第59小项为否决项。

2.根据《机关、单位自查自评工作规则》确定机关、单位及其设部门实有项目后，在“实有项目”一栏中标注“★”号，并在实有项目总分值栏目中注明总分值。

3.机关、单位及其设部门对照确定的实有项目自评，未达到实有项目要求的扣除相应分值，在得分栏中注明得分分值；累计扣分超过项目分值的，扣分分值不超过项目分值上限。

4.发生第51至58小项严重违规行为和泄密事件的，直接扣除相应分值；发生第59小项严重泄密案件的，直接评定为不符合要求。

5.计算出总得分与实有项目总分值百分比，并在相应应考评结果栏后划“√”。

.. .专业. .。

学校信息安全等级保护自查表

有口无口
4-14 安全事件报告和处置管理制度
有口无口
4-15 制定信息系统安全应急处置预案
有口无口
4-16 定期组织开展应急处置演练
有口无口
4-17 教育培训制度（开展信息安全知识和技能培训）
有口无口
检查内容
检查结果
（如否说明情况）
5. 信息安全产品选择和使用情况
5-1 按照《信息安全等级保护管理办法》要求的条件选择使用信息安全产品
有口无口
6-2 按照《信息安全等级保护管理办法》规定的条件选择测评机构
有口无口
6-3 要求技术测评机构提供相关材料。包括营业执照、声明、证明及资质材料等
有口无口
6-4 与测评机构签订保密协议
有口无口
6-5 要求测评机构制定技术检测方案
有口无口
6-6 对技术检测过程进行监督
有口无口
6-7 出具技术检测报告，检测报告是否规范、完整，检查结果是否客观、公正
有口无口
3-6部署和组织开展信息安全建设整改工作
有口无口
检查内容
检查结果
（如否说明情况）
4、信息安全管理制度建立和落实情况
4-1 机房安全管理制度
有口无口
4-2 网络安全管理制度
有口无口
4-3 系统运行维护管理
有口无口
4-4 系统安全风险管理制度
有口无口
4-5 资产和设备管理制度
有口无口
4-6 数据及信息安全管理制度
有口无口
6-8 根据技术检测结果，对不符合安全标准要求的，进一步进行安全整改
有口无口
7.定期自查情况
7-1定期对信息系统安全状况、安全保护制度及安全技术措施的落实情况进行自查。第三级信息系统是否每年进行一次自查，第四级信息系统是否每半年进行一次自查

用户等保自查表使用说明书

等保自查表使用说明一、适用范围本“用户自查说明”适用于指导信息系统安全等级之二级、三级、四级信息系统的用户进行等保自查使用。

二、引用文件下列文件中的有关说明、条款通过引用而成为本说明的一部分。

引用文件其后的任何修改（不包含勘误的内容）或修订版本都不适用于本说明，但推荐参考使用其最新版本。

《公安机关信息安全等级保护检查工作规范（试行）》《信息安全技术信息系统安全等级保护测评要求》《信息系统安全等级保护基本要求》三、概述根据736号文件要求，公安机关对信息系统进行等保检查时，检查七个项目：（一）等级保护工作部署和组织实施情况；（二）信息系统安全等级保护定级备案情况；（三）信息安全设施建设情况和信息安全整改情况；（四）信息安全管理制度建立和落实情况；（五）信息安全产品选择和使用情况；（六）聘请测评机构开展技术测评工作情况；（七）定期自查情况。

第七项“定期自查情况”主要指：定期对信息系统安全状况、安全保护制度及安全技术措施的落实情况进行自查。

第三级信息系统是否每年进行一次自查，第四级信息系统是否每半年进行一次自查。

即对于用户，自查应该是全方面的，应从管理要求和技术要求两大类型，十个层面来完成，其标准依据是《信息系统安全等级保护基本要求》。

用户开展等保信息系统自查工作是对自身信息系统安全威胁的全面评价和认识，是更好确保自身信息系统安全性的基本要求。

四、基本概念基本要求提出了级、类、层、项、点，即从“保护等级”——“要求类型”——“检查层面”——“检查项”到“检查内容点”的五级逐级递进、细分式安全概念。

从而将复杂的安全概念逐层分解，反过来将繁多的实现细节递归总结。

✓保护等级分为五级：即第一级、第二级、第三级、第四级、第五级；✓要求类型分为两类：即“技术要求”和“管理要求”；✓检查层面分为十层：技术要求分五层，即物理安全、网络安全、主机安全、应用安全和数据安全与恢复；管理要求也分五层：即安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。