2010年重要信息系统基本安全 要求自查表(二级自查)

信息系统安全等级保护测评自查（二级）单位全称：XXX项目联系人：XX X 电话：XXX 邮箱：XXX1被测信息系统情况1.1承载的业务情况深圳市XXX系统，XX年投入使用，包括X台服务器、X台网络设备和X台安全设备。

深圳市XXX系统是为深圳市XXX(系统简介)。

1.2网络结构给出被测信息系统的拓扑结构示意图，并基于示意图说明被测信息系统的网络结构基本情况，包括功能/安全区域划分、隔离与防护情况、关键网络和主机设备的部署情况和功能简介、与其他信息系统的互联情况和边界设备以及本地备份和灾备中心的情况。

深圳市XXX系统由边界安全域、核心安全域和服务器安全域等三个功能区域组成，主要有XXX功能。

各功能区都位于XX机房。

具体拓扑如下：图 2-1 深圳市XXX系统拓扑图备注：需注明网络出口（电信，电子资源政务中心、XXX等）1.3系统备案情况深圳市XXX系统备案为X级，系统备案编号为X，备案软件显示系统防护为SXAXGX2系统构成2.1机房序号 机房名称 物理位置1 XXX机房XX大楼XX2.2网络设备以列表形式给出被测信息系统中的网络设备。

序号 设备名称 操作系统 品牌 设备信息 用途数量（台/套）重要程度1 华为交换机OS 华为S9700IP:192.168.1.1接入交换机 2 高2 华为路由器OS2.3安全设备以列表形式给出被测信息系统中的安全设备。

序号 设备名称 操作系统 品牌 设备信息 用途数量（台/套）重要程度序号 设备名称 操作系统 品牌 设备信息 用途数量（台/套）重要程度1 华为信防火墙防火墙OS 华为型号：XXXIP：192.168.1.1策略限制、访问控制3 高2 NIP 绿盟 型号：XXXIP：192.168.1.1入侵检测1高3 SSLVPN 深信服 型号：XXXIP：192.168.1.1VPN1高4 负载均衡 深信服 型号：XXXIP：192.168.1.1负载均衡1中2.4服务器/存储设备以列表形式给出被测信息系统中的服务器和存储设备，描述服务器和存储设备的项目包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统。

网络与信息安全自查表网络与信息安全自查表1、网络基础设施1.1 网络拓扑结构检查1.2 网络设备配置和管理1.3 防火墙设置与管理1.4 网络流量监控1.5 安全策略和措施评估1.6 网络备份与恢复机制2、系统与应用安全2.1 操作系统安全补丁更新2.2 权限和访问控制2.3 账号和密码管理2.4 数据加密和传输安全2.5 应用程序安全性评估2.6 弱点扫描和漏洞管理3、数据安全3.1 敏感数据分类和标记 3.2 数据备份和灾难恢复 3.3 数据存储和传输加密 3.4 数据访问控制和审计 3.5 数据泄漏防止和检测3.6 数据销毁和归档策略4、网络安全事件应对4.1 安全事件监测和报警 4.2 安全事件响应和处理 4.3 安全事件调查和取证 4.4 业务连续性和恢复计划 4.5 紧急通信和协调机制4.6 安全事件后评估和改进5、员工安全意识和培训5.1 安全政策和规程宣贯 5.2 社会工程学识别和防范5.3 网络安全意识培训计划5.4 安全演练和模拟攻击5.5 员工违规行为监测5.6 奖惩机制和绩效考核附件：1、网络拓扑图2、设备配置文件3、防火墙规则表4、安全策略和措施文件5、应用程序漏洞扫描报告6、数据备份和恢复方案7、安全事件响应指南8、员工安全意识培训材料法律名词及注释：1、《中华人民共和国网络安全法》：中华人民共和国全国人民代表大会常务委员会于2016年11月7日通过的一部涉及网络安全的综合性法律。

2、《个人信息保护法》：中华人民共和国全国人民代表大会常务委员会拟制的一部保护个人信息的法律。

3、《信息安全技术个人信息安全规范》：中华人民共和国国家标准化管理委员会发布的一项关于个人信息安全技术规范的国家标准。

4、《数据安全管理办法》：中华人民共和国工业和信息化部发布的一项关于数据安全管理的规章。

5、《网络数据安全管理办法》：中华人民共和国公安部发布的一项关于网络数据安全管理的规章。

网络安全自查表在当今数字化时代，网络安全已成为企业和个人不容忽视的重要问题。

为了保障自身在网络世界中的安全，我们需要定期进行网络安全自查。

下面为您提供一份详细的网络安全自查表，帮助您全面评估和提升网络安全水平。

一、设备与系统1、操作系统检查操作系统是否为最新版本，及时更新补丁。

确认是否启用了自动更新功能。

检查系统防火墙是否开启，并设置合理的规则。

2、应用软件查看常用应用软件（如浏览器、办公软件等）是否为最新版本。

卸载不再使用的软件，避免潜在的安全风险。

检查软件的权限设置，确保只授予必要的权限。

3、防病毒和防恶意软件确认安装了可靠的防病毒软件，并保持病毒库为最新。

定期进行全盘扫描，检查是否存在恶意软件。

4、移动设备设置密码、指纹或面部识别等锁屏方式。

检查是否安装了来自官方应用商店的应用。

对重要数据进行备份。

二、网络连接1、无线网络更改无线路由器的默认登录密码。

使用强密码保护无线网络，并定期更改。

关闭无线网络的 WPS 功能，防止被轻易破解。

2、有线网络确保网络连接设备（如交换机、路由器）的固件为最新版本。

限制对网络设备的物理访问，防止未经授权的更改。

3、公共网络避免在公共无线网络上进行敏感操作，如网上银行、购物等。

不随意连接未知的公共网络。

三、账号与密码1、密码强度检查所有重要账号（如电子邮件、银行账户等）的密码强度，使用包含字母、数字和特殊字符的组合。

避免使用常见的密码，如生日、电话号码等。

2、多因素认证启用多因素认证，如短信验证码、指纹识别等，增加账号安全性。

检查重要账号是否支持多因素认证，并开启该功能。

3、密码管理避免在多个网站使用相同的密码。

可以使用密码管理器来生成和保存复杂的密码。

四、数据保护1、数据备份定期备份重要数据，如文档、照片、视频等。

存储备份数据在不同的物理位置，如外部硬盘、云存储等。

2、数据加密对敏感数据进行加密，如个人信息、财务数据等。

了解和使用操作系统提供的加密功能。

3、数据删除在丢弃旧设备或出售时，确保彻底删除个人数据。

信息系统网络安全检查表信息系统网络安全检查表1.网络设备安全检查1.1 路由器安全检查- 配置是否加密，是否使用强密码- 是否开启远程管理功能，如果开启，是否有安全认证措施- 是否启用访问控制列表（ACL），是否配置正确1.2 防火墙安全检查- 防火墙是否处于最新版本，是否有安全漏洞- 防火墙配置是否允许合法的网络流量，是否存在安全隐患- 是否配置防火墙日志，是否启用及定期分析防火墙日志1.3 交换机安全检查- 是否配置了端口安全功能，限制非法设备接入- 是否启用了端口镜像功能，用于网络流量监测- 是否定期检查交换机配置，防止未授权的更改1.4 无线网络安全检查- Wi-Fi是否采用WPA2加密，是否启用了强密码策略 - Wi-Fi信号是否泄露至社会区域，是否有合适的覆盖范围- 是否定期更换Wi-Fi密码，避免密码被2.软件安全检查2.1 操作系统安全检查- 是否安装最新的安全补丁，是否定期更新操作系统- 是否开启了防火墙，是否定期检查防火墙配置- 是否禁用了不必要的服务和端口2.2 应用软件安全检查- 是否安装合法和具备信誉的应用软件- 是否禁用了不必要的应用软件，避免安全隐患- 是否配置正确的应用软件权限，限制恶意软件的利用2.3 数据库安全检查- 数据库是否设置了强密码，是否定期更换密码- 数据库是否加密存储敏感数据- 是否有访问控制机制，限制数据库访问权限3.用户安全检查3.1 用户权限管理检查- 用户账号是否处于最小权限原则，是否存在未授权的特权- 用户账号是否使用强密码，是否定期更换密码- 是否禁用了未使用的或已过期的用户账号3.2 员工安全意识培训检查- 员工是否接受了网络安全培训，了解基本安全意识- 是否定期组织网络安全演练，提高员工应对安全事件的能力- 是否存在员工违规操作行为，是否有相应的纠正措施4.日志与监测检查4.1 安全事件日志- 是否启用了日志记录功能，记录重要的安全事件- 是否定期分析安全事件日志，及时发现异常行为- 是否设置了日志保留期限，以满足法律和合规要求4.2 安全设备监测- 是否有专门的安全设备进行网络流量监测- 是否定期检查安全设备性能和配置- 安全设备是否能够及时响应并处理安全事件附件：附件1：网络设备配置清单附件2：安全漏洞扫描报告附件3：安全事件日志法律名词及注释：1.信息安全法：指中华人民共和国国家信息安全法，于2017年6月1日正式实施，主要对信息安全管理、网络安全要求等方面进行了规定。

网络信息安全自检自查表表1 网络信息安全自检自查情况报告表注：以上仅是针对青少年信息网做的统计，不包括团市委其它网站（如：哈尔滨少先队，志愿者信息网等）和团市委使用的办公系统或应用软件，打印时请删除本条红字- 4 -表2 系统基本情况检查记录表- 5 -表3 系统特征情况分析记录表注：对业务和社会公众的影响请自行修改，打印时删除本条。

表4 系统主要硬件检查记录表- 8 -表5 系统主要软件检查记录表- 9 -表6 信息技术外包服务情况检查记录表注：服务内容（类型）主要有：系统集成、软件开发、系统运维、风险评估、安全检测、安全加固、应急支持、数据存储、规划咨询、系统托管、灾难备份等。

表7 信息安全责任制建立及落实情况检查记录表表8 日常安全管理制度建立和落实情况检查记录表- 12 -表9 信息安全经费投入情况表- 13 -表10 技术防护情况检查记录表（每个系统分别填写，如有更多系统，请复制本表填写）表11 应急处置及容灾备份情况检查记录表表12 问题和威胁分析记录表- 18 -表13 信息安全保障情况记录表- 20 -表14 信息系统密码产品使用记录表（每个系统分别填写）- 21 -表15 系统网站安全自检自查记录表（每个系统分别填写）填表说明：1.表间逻辑关系及填写要求：表1为表2至表15的汇总报告表。

其中表10、表14、表15按信息系统分别填写，其余表格按单位填写。

2.应如实填写，填写内容不实引发的后果由填表人承担，须盖单位公章后有效。

3.表中各选项前为“○”标记表示为单选项，“□”标记为可多选项。

凡有“其它”项的，在后面注明具体内容。

4.表中所指国产字处理软件、国产信息安全产品，按国家相关规定认定如下：国产信息安全产品应具有国内品牌，最终产品在中国境内生产，拥有核心模块的自主知识产权和源程序，通过国家认定的信息安全产品检测实验室的检测，并符合法律法规和政策规定的其它条件。

5.参与检查的机构指委托的专业机构，如有多个机构同时参与检查时，每个机构均应填写一个表格。

说明:
（1）：（2）：（3）：
（4）：分管信息安全工作：按照《国务院办公厅关于加强政府信息系统安全和保密客理工作的通知》要求，各部门应明确一名副职领导主管信息安全工作；
一、信息安全组织机构
信息安全具体管理部门：按照《国务院办公厅关于加强政府信息系统安全和保密客理工作的通知》要求，各部门应指定一个专门机构负责信息安全工作；
信息安全员：各内设机构应指定一名专职或兼职信息安全员。

各内设机构是指部门内部各处、科、室等职能机构；
[均已指定]：本部门内设机构中，各处室均指定了一名工作人员担任本处室的信息安全员；
[部分指定]：本部门内设机构中，部分处室指定了一名工作人员担任本处室的信息安全员；部分处室没有指定；
根据具体检查情况，在对应的空格内打勾“√”。

[没有指定]：本部门内设机构中，没有处室指定工作人员担任本处室的信息安全员；
[由信息中心承担]：内设处室内没有指定信息安全员，但指定信息中心至少一名工作人员作为本部门信息安全工作的信息安全员。

1。

信息安全隐患自查排查纪录
1. 项目背景
为了确保信息系统的安全性和保护机构的核心信息资产，进行信息安全隐患自查排查是至关重要的。

本文档记录了信息安全自查排查的过程和结果。

2. 自查排查过程
2.1 确定自查范围
我们首先明确了自查范围，包括所有关键信息系统和相关网络设备。

2.2 制定自查计划
根据自查范围，制定了详细的自查计划，包括自查的时间、地点和参与人员等。

2.3 进行自查
按照自查计划，我们对每个信息系统进行了全面的自查，包括硬件设备、软件应用、网络配置、权限管理等方面。

2.4 发现隐患并记录
在自查过程中，我们发现了一些信息安全隐患，包括：网络设备未及时更新补丁、密码管理不规范、权限设置存在问题等。

我们将这些隐患进行了详细记录，并标记了优先级。

3. 隐患排查和整改
3.1 制定整改方案
针对每一个发现的隐患，我们制定了相应的整改方案，包括具体的整改措施和整改责任人。

3.2 实施整改措施
根据整改方案，我们迅速采取了相应的整改措施，包括更新补丁、加强密码管理、优化权限设置等。

3.3 隐患排查复查
在整改措施实施后，我们进行了隐患排查复查，确保每一个隐患都得到了有效的整改，并记录了复查结果。

4. 结果总结
通过信息安全隐患自查排查，我们发现并整改了多个信息安全隐患，提升了信息系统的安全性和稳定性。

我们将继续保持高度的警惕性，定期进行信息安全自查排查，以确保信息资产的安全。