信息安全等级保护工作检查表
信息安全等级保护工作自查表(精)
4-2是否建立防范计算机病毒、网络入侵和攻击破坏等技术措施
□是 □否
4-3是否建立系统运行和用户日志记录保存在60日以上措施
□是 □否
4-4使用内部IP地址,通过网络地址转换技术上网的用户,上网日志应包括上下网时间,用户名,网卡地址、内外地址的对应关系等
□是 □否
五、信息安全产品选择和使用情况
信息安全等级保护工作自查表
01单位名称
02单位地址
省(自治区、直辖市)地(区、市、州、盟)
县(区、市、旗)
03邮政编码
04单位
负责人
姓名
职务/职称
办公电话
电子邮件
05责任部门
06责任部门
联系人
姓 名
职务/职称
办公电话
电子邮件
移动电话
07隶属关系
1中央2省(自治区、直辖市)3地(区、市、州、盟)
4县(区、市、旗)9其他
7-1是否组织本单位的安全管理人员进行培训
□是 □否
7-2安全管理人员是否经过公安机关培训(不少于2人)
□是 □否
八、其它应当检查的情况
情况说明
(单位印章)
年月日
单位主管人员(签名)
5-1选择使用的信息安全产品是否经过公安部许可,省公安厅备案
□是 □否
六、定期自查情况
6-1是否定期对信息系统安全状况、安全保护制度及安全技术措施的落实情况进行自查。
□是 □否
6-2经自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位是否进一步进行安全建设整改
□是 □否
七、信息安全知识和技能培训情况
三、信息安全管理制度建立和落实情况
3-1是否建立基本安全管理制度,包括机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、备份与恢复、密码管理等制度
网络信息安全检查表(Word)
网络信息安全检查表(Word)网络信息安全检查表一、网络设备安全检查1\路由器安全检查1\1 检查路由器是否使用了默认的管理用户名和密码。
1\2 检查路由器固件是否是最新版本。
1\3 检查路由器是否开启了防火墙功能。
1\4 检查路由器是否开启了远程管理功能。
1\5 检查路由器的无线网络是否加密,并且使用了强密码。
2\防火墙安全检查2\1 检查防火墙是否开启了所有必要的端口。
2\2 检查防火墙是否配置了入站和出站规则。
2\3 检查防火墙是否配置了 IDS/IPS 功能。
2\4 检查防火墙的日志记录是否开启。
2\5 检查防火墙是否定期更新了规则库。
3\交换机安全检查3\1 检查交换机是否开启了端口安全功能。
3\2 检查交换机是否配置了 VLAN。
3\3 检查交换机是否启用了 STP。
3\4 检查交换机是否开启了端口镜像功能。
3\5 检查交换机是否采用了安全的远程管理方式。
二、网络服务安全检查1\Web 服务器安全检查1\1 检查 Web 服务器是否使用了最新版本的软件。
1\2 检查 Web 服务器是否安装了必要的安全补丁。
1\3 检查 Web 服务器的配置文件是否安全。
1\4 检查 Web 服务器的访问日志是否开启。
1\5 检查 Web 服务器是否配置了 SSL/TLS 加密。
2\数据库服务器安全检查2\1 检查数据库服务器是否使用了最新版本的软件。
2\2 检查数据库服务器是否安装了必要的安全补丁。
2\3 检查数据库服务器是否开启了必要的认证和授权机制。
2\4 检查数据库服务器的访问日志是否开启。
2\5 检查数据库服务器是否配置了合理的备份策略。
3\邮件服务器安全检查3\1 检查邮件服务器是否使用了最新版本的软件。
3\2 检查邮件服务器是否安装了必要的安全补丁。
3\3 检查邮件服务器是否配置了合理的反垃圾邮件机制。
3\4 检查邮件服务器是否开启了合理的认证和授权机制。
3\5 检查邮件服务器的访问日志是否开启。
XX局信息安全等级保护-测评调查表
XX省XX局信息系统基本情况调查表(XX省XX)20XX年6月说明1、请提供信息系统的最新网络结构图(拓扑图)2、请根据信息系统的网络结构图填写各类调查表格。
表1-1. 单位基本情况调查表1-2. 参与人员名单表1-3. 物理环境情况注:物理环境包括主机房、辅机房、办公环境等。
表1-4. 信息系统基本情况表1-5. 国家XX局广域网-外联(网络边界)情况调查表1-6. 国家XX局广域网-网络设备情况调查表1-8. 计算机网络系统-外联(网络边界)情况调查表1-9. 计算机网络系统-网络设备情况调查表1-10. 计算机网络系统-安全设备情况调查表1-11. 服务器设备情况调查表1-12. 应用系统情况调查填表人:日期:注:1、用户分布范围栏填写全国、全省、本地区、本单位表1-13. 业务数据情况调查表1-14. 数据备份情况表1-17. 终端设备情况调查表1-18. 管理文档情况调查制度类文档填表人:日期:表1-19. 人员抽样情况调查表1-19. 安全威胁情况表序号安全事件调查调查结果7 是否发生过硬件故障□有(注明时间、概率)□无造成的影响是:8 是否发生过软件故障□有(注明时间、概率)□无造成的影响是:9 是否发生过维护失误□有(注明时间、概率)□无造成的影响是:10 是否发生过因用户操作失误引起的安全事件□有(注明时间、概率)□无造成的影响是:11 是否发生过物理设施/设备被物理破坏□有(注明时间、概率)□无造成的影响是:12 有无遭受自然性破坏(如雷击等)□有(注明时间、概率)□无有请注明时间、时间后果13 是否发生过莫名其妙的故障□有(注明时间、概率)□无有请注明时间、时间后果。
信息安全检查表
是否定义了公共访问/交接区域?
确认定义文件
是否监控了公共访问和交接区域?
实地查看是否有监控措施
服务器是否得到了妥善的安置和防护?
1. 重要的服务器放在安全的区域(如机房)
2. 是否有UPS
3. 温度和湿度合适
个人电脑是否得到了安置和防护?
1. 笔记本安装PoinSec,配有物理锁
2. 所有电脑使用密码屏幕保护
和信息交换方是否签订了协议
和交换涉及方签订NDA
物理介质传输是否得到了保护
1. 检查包装合理性
2. 搬运方法合理性
是否按照公司规程实施了电子信息交换
确认是否有电子邮件使用规则,和实施情况(如发送重要文件时是否有文件加密等)
是否按照公司规程实施业务信息互联
1. 互联网使用的检查。
2. 户(FX/XC)之间的互联是否有访问控制,权限分配规则
是否有访问控制方针制订
如果有文件共享请确认:
1. 确认是否设置了全员都可以访问的权限。
2. 确认对于长时间不使用的人员是否暂停其帐号。
3. 确认共享文件的访问权限范围。
3. 所有对PC的访问都有密码保护
是否对访问控制方针进行了评审
是否有定期的Review
是否有用户注册的管理
1. 确认用户账号是否有申请书。
是否制定了口令策略
管理人员的密码设定。
是否有员工号等容易推断的密码。
1个帐号是否有多个用户。
密码是否记录在便条上。
密码为6位英文数字以上。
是否执行了口令策略
是否实施了网络隔离(不同功能和密级网络的隔离,物理或逻辑)?
1. 是否有隔离区
2. 从隔离区外是否可以访问区内网络资源
网络安全检查现场记录表(信息系统安全保护情况)
是□否
□不适用
是否使用数据库超级管理员作为应用系统连接账号?
□是否
□不适用
是否对重要数据进行加密存储?(公民个人信息、单位重要业务数据)
是□否
□不适用
是否已对系统重要数据进行备份?
是□否
□不适用
互联网应用安全
是否落实了防篡改安全技术措施?
是□否
□不适用
是否落实了先审后发?(网站)
是□否
□不适用
应用系统日志是否只能由审计员才能进行修改、删除?
是□否
□不适用
应用系统已留存的日志是否达到6个月及以上?
是□否
□不适用
应用系统中间件是否已留存日志?
是□否
□不适用
IIS
应用系统中间件已留存的日志是否达到6个月及以上?
是□否
□不适用
主机安全
服务器、终端是否安装杀毒软件?
是□否
□不适用
杀毒软件是否及时更新病毒库?
□不适用
是否对网络各区域进行隔离?(防火墙、网闸、IPS、VLan划分等)
是□否
□不适用
网络边界是否配置访问控制策略?
是□否
□不适用
各区域边界是否屏蔽了不必要的服务/端口?(包括但不限于135、137-139、445、3389等)
是□否
□不适用
NAT转换是否未导致内网无法获取外网访问者的真实互联网IP地址?
网络安全检查现场记录表
(信息系统安全保护情况)
一、信息系统基本情况
被检系统名称
交易平台
部署地址
中心的机房
等保级别
□一级□二级三级 □未定级
域名(URL)
应用系统版本
Net5.2
信息安全检查表
○入侵检测系统升级情况
○漏洞扫描系统升级情况
○执行漏洞扫描情况
10、是否有网页防篡改措施?
○安装了防篡改系统
○人工监看
○无防篡改措施
11、是否具有边界保护措施?
○防火墙○其它○无
12、是否有抗拒绝服务攻击措施?
○是○否
13、是否安装了入侵检测系统?
○是○否
14、是展了安全防护措施评估,评估结果是什么?
○有效○基本有效○不足
8、本年度是否开展了网站安全风险评估或等级测评?
○自评估
○委托专业评估
○没有开展
9、是否进行了下列安全检查?
○SQL注入攻击隐患
○跨站脚本攻击隐患
○弱口令
○操作系统补丁安装情况
○网站服务系统及其他应用系统补丁安装情况
○防病毒软件升级情况
○从未更换或偶尔更换
○一个月以上
○一个月
○半个月
○每周或更短
28、系统管理和数据库管理的口令长度是多少?
○小于8位
○大于8位
29、是否存在多台服务器或多个账户使用同一口令的情况?
○是○否
30、对网站进行远程维护时,是否采取了加密措施?
○是○否
31、是否对自管的域名解析系统采取了安全防护措施?
○是○否
信息安全检查表
单位名称
联系人/联系电话
信息安全主管领导
职务
网站安全第一责任人
职务
1、网站名称
2、网站安全等级保护级别
○四级○三级○二级○未定级
3、网站主机服务器运行维护管理方式
○自行管理○委托管理
4、是否对安全规章制度进行了梳理?
○是○否
5、是否有明确的网站安全责任处罚规定?
等保信息安全检查表
信息安全检查表
单位名称
联系人/联系电话
信息安全主管领导
职务
网站安全第一负责人
职务
1、是否有网络信息安全领导小组、负责机构?
○是○否
2、是否有网络信息安全管理制度?
○是○否
3、是否制定了网络安全突发事件应急预案?
○是○否
3、是否根据应急预案组织过应急演练?
○是○否
4、是否成立网络信息安全应急小分队?
_____月_____日
26、数据库系统最近一次升级的日期
_____月_____日
27、是否关闭或删除了不必要的帐户?
○是○否
28、是否关闭或删除了不必要的应用?
○是○否
29、是否关闭或删除了不必要的服务?
○是○否
30、是否关闭或删除了不必要的端口?
○是○否
31、系统管理和数据库管理的口令更换周期是多少?
○漏洞扫描升级情况
○执行漏洞扫描情况
14、是否有网页防篡改措施?
○安装了防篡改系统
○人工监看
○无防篡改措施
15、是否具有边界保护措施?
○防火墙○其它○无
16、是否有抗拒服务攻击措施?
○是○否
17、是否安装了入侵检测系统?
○是○否
18、是否安装了防病毒系统?
○是○否
19、防病毒系统最近一次升级的日期
_____月_____日
○无自管域名解析系统பைடு நூலகம்
36、是否与托管方签订了安全协议?
○是○否
○未采用托管方式
37、是否采取了备份措施?
○备机○备件
○网站数据备份
○其他措施
38、是否明确了技术支援队伍?
○是○否
等保二级系统信息安全自查表
是否
3-2数据库是否实施访问控制
ቤተ መጻሕፍቲ ባይዱ是否
3-3是否定期备份数据库
是否
系统管理员签名(加盖单位公章):联系电话:
检查日期:
等保二级系统信息安全自查表
单位名称
系统名称
IP地址
域名
操作系统
自查项目
1、服务器自查
1-1固定系统管理人员
是否
1-2系统用户密码是否复杂(至少8位,混合数字、字母、特殊符号)
是否
1-3系统运行状况是否正常
是否
1-4是否安装系统防火墙
是否
1-5防火墙中是否仅开放必要的网络端口
是否
1-6是否安装防病毒软件
是否
1-7防病毒软件是否定期升级
是否
1-8是否定期升级系统及软件补丁
是否
1-9是否有系统日志
是否
1-10是否定期备份重要数据
是否
1-11是否定期巡查系统
是否
1-12是否建立了安全应急响应机制
是否
2、网站自查(不含网站的服务器忽略此项)
2-1是否有固定系统管理人员
是否
2-2网站运行状况是否正常
是否
2-3网站后台密码是否复杂(至少8位,混合数字、字母、特殊符号)
是否
2-4网站后台登录是否有验证码
是否
2-5是否定期备份网站代码
是否
2-6是否定期备份网站数据及数据库
是否
2-7是否定期检查网站中有无广告、木马、非法言论等不良信息
是否
2-8是否及时过滤、删除不良信息
是否
2-9是否保留60天以上的web访问日志
信息安全检查表(1)
□已备案 □已制定但未备案 □未制定
应急技术
支援队伍
□本单位自身力量 □外部专业机构 □未明确
信息安全备份
①重要数据: □备份 □未备份
②重要信息系统:□备份 □未备份
③容灾备份服务:□位于境内 □位于境外 □无
五、信息技术产品使用情况
服务器
总台数:,其中国产台数:
使用国产CPU的服务器台数:
□有技术措施用于控制和管理口令强度 □无技术措施
□无:空口令、弱口令和默认口令 □有
②留言板功能(□开设 □未开设)
□留言内容经审核后发布 □未经审核即可发布
③论坛功能(□开设 □未开设)
□已备案 □未备案
□论坛内容经审核后发布 □未经审核即可发布
④博客功能(□开设 □未开设)
□已作清理,仅限本部门或有关人员使用□未作清理
⑤在非涉密信息系统和涉密信息系统间混用情况:
□不存在 □存在
⑥是否存在使用非涉密计算机处理涉密信息情况:
□不存在 □存在
存储设备
安全管理
①移动存储设备管理方式:
□集中管理,统一登记、配发、收回、维修、报废、销毁
□未采取集中管理相关措施
②在非涉密信息系统和涉密信息系统间混用情况:
□不存在 □存在
四、信息安全应急管理情况
终端计算机
(含笔记本)
总台数:,其中国产台数:
使用国产CPU的计算机台数:
网络设备
总台数:,其中国产台数:
操作系统
①服务器操作系统情况:
安装Windows操作系统的服务器台数:
安装Linux操作系统的服务器台数:
安装其他操作系统的服务器台数:
②终端计算机操作系统情况:
ISO27001信息安全检查表
5
是否使所有员工和信息安全相关人员签署了保密 协议/合同?
6 是否有信息安全意识、教育和培训计划?
确认培训计划
7 是否执行了信息安全意识、教育和培训?
培训记录(实施日期,培训内容/教材,参加人员
8 是否制定了信息安全惩戒规程?
9 邮件用户是否清除了?
抽查是否有离职人员的用户权限没有被清除
10 门禁权限是否清除了?
确认定义文件
16 是否监控了公共访问和交接区域?
实地查看是否有监控措施
审核结果
审查时间:
判定/处置
序 号
审核内容
17 服务器是否得到了妥善的安置和防护?
18 是否制订服务器维护计划?
19
设备处置是否经过了申请?(设备维修,销毁 等)
20 设备处置是否经过了管理
21
服务器,网络和应用系统的变更是否经过了管 理?
审核结果
审查时间:
判定/处置
序 号
审核内容
44 是否定期对权限进行了审核
ISO27001信息安全检查表
审查要点 定期审核记录
45 是否制定了口令策略
管理人员的密码设定。 是否有员工号等容易推断的密码。 1个帐号是否有多个用户。 密码是否记录在便条上。 密码为6位英文数字以上
46 是否执行了口令策略
22 是否进行了防病毒软件的部署
23 是否有及时的防病毒软件的升级
24
对防病毒软件的是否进行了检查?(执行一次检 查)
25 备份策略制订
26 备份实施
27 备份验证
28 备份保护
29 是否实施了网络控制
30 是否对网络服务的安全进行了控制
31 是否有移动介质清单的管理
等保信息安全筛查表
等保信息安全筛查表1. 筛查目的本筛查表旨在评估公司的等保信息安全状况,帮助发现潜在的安全风险,并提供相应的改善措施,以确保公司信息资产的安全和保密性。
2. 筛查范围本次筛查主要针对以下方面进行评估:- 信息系统的硬件和软件设施- 网络安全措施的实施情况- 用户权限管理的有效性- 数据存储和备份措施- 安全事件的管理和应对能力3. 筛查内容3.1 信息系统设施- 服务器的硬件设施是否完好并得到合理的维护?- 操作系统和应用程序是否及时进行安全补丁和版本升级?- 是否存在未经授权的设备连接到公司网络?- 是否存在未知或弱密码的设备账户?3.2 网络安全措施- 是否配置了有效的防火墙和入侵检测系统?- 网络流量是否受到适当的监控和日志记录?- 是否设立了网络隔离和访问控制策略?- 是否定期进行网络安全漏洞评估和渗透测试?3.3 用户权限管理- 是否实施了适当的用户身份验证机制?- 是否对用户进行了权限分级管理?- 是否实施了定期的用户权限审计?- 是否提供了必要的安全意识和培训?3.4 数据存储和备份- 数据存储介质是否具备防护措施,如加密和物理安全防护?- 是否建立了数据备份和恢复的策略?- 是否进行定期的数据备份测试和恢复测试?3.5 安全事件管理- 是否建立了安全事件响应计划?- 安全事件是否得到及时的发现和处理?- 是否进行了安全事件的调查和分析?- 是否对安全事件进行了恢复和预防措施的改进?4. 筛查结果和建议根据对上述内容的评估,给出针对性的筛查结果和建议,包括存在的安全风险、风险级别,以及相应的改善措施和优先级。
建议公司及时采取措施,加强相关安全防护工作,并建立完善的信息安全管理体系。
以上为等保信息安全筛查表的草稿,如有任何修改或补充,请随时提出。
信息安全等级保护自查项目表
4-1
是否对本单位信息系统等级测评和安全建设整改工作进行总体部署,具体工作计划是什么?
4-2
重要信息系统等级测评和安全建设整改工作是否纳入年度经费预算,如何予以保障?
4-3
是否每年对第三级(含)以上信息系统进行等级测评,开展等级测评时,从《全国信息安全等级保护测评机构推荐目录》中选择测评机构。
总数
总数
填表人: 审核人: 填表日期:
附件3
跨省全国联网信息系统基本情况调查表
序号
行业名称
信息系统名称
所属单位
所属地区
安全保护等级
部署模式
省级分支数量
省级分支等级
地市分支数量
地市分支等级
数据存储方式
联网方式
系统状况
填表说明:1、为准确汇总、统计、本表统一按EXCEL格式填写,不漏填、错填,在表格内部不要合并单元格;2、“行业名称”填写格式为**行业,“所属地区为”**省**市,“安全保护等级”应填写“二级”、“三级”、“四级”等;3、“部署模式”分为: 部省两级部署 部省市三级部署;4、“省级分支”如果不是各省均有,请在表后标明分支系统所在省(区、市)名称;5、“省级分支等级”和“地市分支等级”如果不同意或未确定,可以填写拟定确定的安全保护等级;6、“数据存储方式”分为: 分支系统存储数据 分支系统不存数据,有网络设备或前置设备等 分支系统不存数据,仅为终端 不去适用;7、“联网方式”分为: 互联网连接 专网连接;8、“系统状况”分为: 在用 在建 撤销。
信息安全等级保护自查项目表一备案单位基本情况单位全称等级保护工作责任部门责任部门负责人姓名职务或职称办公电话移动电话责任部门联系人姓名职务或职称办公电话移动电话已定级备案的信息系统数量四级系统三级系统二级系统合计二备案单位等级保护工作开展情况一等级保护工作的组织部署和实施情况序号检查内容具体情况11等级保护协调领导机构设置落实信息安全责任情况
信息安全等级保护自查评分表
信息安全等级保护自查评分表
一、单位基本情况
单位全称
信息安全工作责任部门
责任部门负责人
姓名
职务或职称
办公电话
移动电话
责任部门联系人
姓名
职务或职称
办公电话
移动电话
单位类型
党委机关政府机关事业单位企业其他
行业类别
财政税务银行证券工商行政管理科技教育文化卫生国防科技工业农业水利能源电力国土资源交通民航铁路邮政商业贸易公安宣传广电外交发展改革电信海关保险统计审计质量监督检验检疫人事劳动和社会保障经营性公众互联网司法其他
(四)自查和整改情况(6分)
1.25信息安全自查工作组织部署情况
3
组织开展年度信息安全全面自查的3分;组织开展年度自查但自查内容不全面的1分;未开展自查的0分。
1.26存在问题的整改工作情况
3
有关部门未通报相关整改意见或按照有关部门整改意见进行整改的3分;对有关部门通报的问题未进行整改的0分。
(五)第三级(含)以上信息系统测评和安全建设整改工作开展情况(30分,其中测评20分;安全建设整改10分)
1.10常规安全措施落实情况
6
采取计算机病毒防治、网络入侵和攻击破坏防范、重要数据库和主要设备冗灾备份、用户注册信息记录留存、维护和使用日志留存、统一互联网出口、安装安全管理系统、发布信息审核、电子公告栏目版主实名登记、微博实名登记等安全技术措施的6分;部分采取的2分;未采取的0分。
1.11网络隔离措施落实情况
3
办公网络与互联网络物理隔离或逻辑隔离的3分;未隔离的0分。
经费保障情况
1.13信息安全经费保障情况
4
已落实信息安全测评、建设、整改经费的4分;部分落实的2分;未落实经费的0分。
2015年信息安全等级保护网络安全检查表-三级
#DIV/0!
#DIV/0!
0.5
#DIV/0!
#DIV/0!
1
#DIV/0! #DIV/0!
#DIV/0!
0.5
#DIV/0!
#DIV/0!
0.5
#DIV/0!
#DIV/0!
0.5
#DIV/0!
#DIV/0!
0.5
#DIV/0!
#DIV/0!
1
#DIV/0!
#DIV/0!
1
#DIV/0! #DIV/0!
入侵防范
a) 应在网络边界处监视以下攻 击行为:端口扫描、强力攻击、 查看在网络边界处是否部署了包含 木马后门攻击、拒绝服务攻击、 入侵防范功能的设备。登录相应设 缓冲区溢出攻击、注入式攻击、 备,查看是否启用了检测功能 。 IP碎片攻击和网络蠕虫攻击等。
入侵防范
b)当检测到攻击行为时,记录攻 击源IP、攻击类型、攻击目的、 攻击时间,在发生严重入侵事件 时应提供报警。
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
1
#DIV/0!
#DIV/0!
0.5
#DIV/0! #DIV/0!
#DIV/0!
1
#DIV/0!
#DIV/0!
0.5
#DIV/0!
#DIV/0!
1
#DIV/0! #DIV/0!
#DIV/0!1#DIV/!#DIV/0!1
#DIV/0!
#DIV/0!
检查
询问采用何种技术手段或管理措施 对“非法接入”进行检查,对于技 术手段,在网络管理员配合下验证 其有效性。 询问采用了何种技术手段或管理措 施对“非法外联”行为进行检查, 对于技术手段,在网络管理员配合 下验证其有效性
信息安全等级保护工作检查表
1.7制定行业标准规范
是否制定出台行业等级保护配套标准,检查相关文件和标准。
信息安全责任
制落实情况
1.8信息安全领导机构设置情
况
是否建立由单位主管领导任组长的信息安全协调领导机构,
检查相关文件。
1.9信息安全职能部门的建立
情况
是否成立专门信息安全职能部门或明确信息安全责任部门,
检查相关文件。
1.10信息安全责任追究制度制
定情况
是否制定信息安全责任追究制度,检查相关文件。
信息安全制度
建设情况
1.11人员安全管理制度建设情
况
检查是否制定了本单位人员录用、离岗、考核、安全保密、
教育培训、外来人员管理等安全管理制度,查看制度文件。
1.12机房安全管理制度建设情
况
检查是否对本单位机房进出人员管理和对机房进行日常监控。
完善情况
检查是否制定了本单位应急处置预案,是否进行定期演练并
完善预案。
(二)信息系统定级备案情况
1.17信息系统定级指导
检查是否出台了行业信息系统定级指导意见,检查具体文件
和意见。
1.18信息系统定级工作情况
检查是否了解本行业、本单位信息系统定级底数。是否存在
定级不准的情况和存在重要信息系统未定级的情况。
1.4等级保护工作文件制定情
况
是否制定贯彻落实等级保护各项工作文件或方案,检查
2007年以来有关等级保护工作的文件、方案。
1.5等级保护工作会议、业务
培训情况
是否召开等级保护工作会议或组织人员培训,检查会议或培
训通知。
1.6单位主要领导对等级保护
工作的重视情况
单位主要领导是否重视等级保护工作,检查是否有领导讲话,
信息安全检查表
信息安全管理体系
认证情况
□已通过认证
认证机构:
□未通过认证
(如有2个以上外包机构,每个机构均应填写,可另附页)
填表人:_____________科室/职别:_______________电话:_______________
□其他:接入口数量:个
接入带宽:兆
系统定级情况
第一级:个 第二级:个 第三级:个
第四级:个 第五级:个 未定级:个
系统安全
测评情况
最近2年开展安全测评(含风险评估、等级测评)系统数:个
二、日常信息安全管理情况
人员管理
①岗位信息安全和保密责任制度:□已建立 □未建立
②重要岗位人员信息安全和保密协议:
□全部签订 □部分签订 □均未签订
组织培训情况
□本年度是否组织开展信息安全教育培训,次数:
参训人员比例
本年度参加信息安全教育培训的人员占总人数比例为:
七、信息安全检查情况
信息安全检查工作情况
检查工作和经费落实情况: □已落实 □未落实
检查工作方案制定情况: □已制定 □未制定
安全保密和风险控制措施: □已采取 □未采取
组织开展技术检测情况: □已开展 □未开展
本年度信息安全事件统计
门户网站受攻击
情况
本单位入侵检测设备检测到的门户网站受攻击次数:
网页被篡改情况
门户网站网页被篡改(含内嵌恶意代码)次数:
设备违规
使用情况
①使用非涉密终端计算机处理涉密信息事件数:
②终端计算机在非涉密系统和涉密系统间混用事件数:
③移动存储介质在非涉密系统和涉密系统间交叉使用事件数:
⑤在非涉密信息系统和涉密信息系统间混用情况:
信息安全检查表
附件2信息安全检查表单位名称 联系人/联系电话信息安全主管领导 职 务网 站 名 称检 查 项 目 检 查 结 果是否有制作机密信息的管理列表? ○是 ○否是否与委托对象签订保密合同? ○是 ○否信息安全场合是否设置了摄像头等? ○是 ○否员工和外来人员是否进行区别? ○是 ○否机密信息是否上锁被保管于文件柜中? ○是 ○否工作中是否使用私人电脑? ○是 ○否对于带出的业务上必要的电子媒体和电脑是否对机密信息实施加密?○是 ○否对于私密信息的相关资料,废弃是否用碎纸机粉碎或物理性破坏(硬盘)?○是 ○否是否有两个或两个以上的人共用使用一个ID? ○是 ○否是否有网页防篡改措施 ○安装了防篡改系统 ○人工监看 ○无措施 是否具有边界保护措施 ○是 ○否是否有抗拒服务器攻击措施 ○是 ○否是否安装了入侵检测系统 ○是 ○否是否安装了防病毒系统 ○是 ○否网站主机服务器运行维护管理方式 ○自行管理 ○委托管理是否进行了下列安全检查 ○SQL注入攻击隐患 ○跨站脚本攻击隐患○弱口令 ○操作系统补丁安装情况○网站服务系统及其他应用系统补丁安装情况○防病毒软件升级情况 ○网站是否已被“挂马”○入侵检测系统升级情况○漏洞扫描系统升级情况○执行漏洞扫描情况防病毒系统最近一次升级的日期 年 月 日1是否保留了系统安全日志 ○是 ○否系统安全日志察看的周期是多少 ○每天 ○每周 ○每月 ○偶尔或从不 服务器设置是否在可确保安全的合适场所? ○是 ○否网站服务器和同一网段内其他服务器之间是否有访问控制措施○是 ○否操作系统最近一次升级的日期 月 日Web服务器最近一次升级的日期 月 日数据库系统最近一次升级的日期 月 日是否关闭或删除了不必要的帐户 ○是 ○否是否关闭或删除了不必要的应用 ○是 ○否是否关闭或删除了不必要的服务 ○是 ○否是否关闭或删除了不必要的端口 ○是 ○否系统管理和数据库管理口令更换周期是多少 ○每周或更短 ○半个月 ○一个月 ○一个月以上 ○从未更换或偶尔更换系统管理和数据库管理口令长度是多少位 ○小于等于8位 ○大于8位对网站进行远程维护时,是否采取了加密防护措施○是 ○否是否对自管的域名解析系统采取了安全防护措施 ○是 ○否 ○无自管域名解析系统是否与托管方签订了安全协议 ○是 ○否 ○未采取托管是否根据应急预案组织过应急演练 ○是 ○否是否采取了备份措施? ○备机 ○备件 ○网站数据备份 ○其他措施 是否对员工进行了信息安全的教育和培训? ○是 ○否所有员工是否签订保密协议? ○是 ○否是否有组织地定期实施自主检查? ○是 ○否2。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
单位信息安全等级保护工作检查表
一、备案单位基本情况
单位全称等级保护工作责任部门
责任部门负责人姓名职务或职称办公电话移动电话
责任部门联系人姓名职务或职称办公电话移动电话
本行业定级备案的信
息系统数量
四级系统三级系统二级系统合计
本单位定级备案的信
息系统数量
四级系统三级系统二级系统合计
二、备案单位等级保护工作开展情况
(一)信息安全工作的基本情况
检查内容检查内容和所需材料工作情况
等级保护工作的组织部署1.1等级保护协调领导机构设
置情况
是否成立等级保护专门协调领导机构,检查相关文件。
1.2等级保护责任部门和岗位
确定情况
是否明确等级保护责任部门和工作岗位,检查相关文件。
1.3行业等级保护工作的组织
部署情况
是否对全行业等级保护工作进行部署,检查具体部署文件。
1.4等级保护工作文件制定情况是否制定贯彻落实等级保护各项工作文件或方案,检查2007年以来有关等级保护工作的文件、方案。
1.5等级保护工作会议、业务培训情况是否召开等级保护工作会议或组织人员培训,检查会议或培训通知。
1.6单位主要领导对等级保护工作的重视情况单位主要领导是否重视等级保护工作,检查是否有领导讲话,是否有领导批示。
1.7制定行业标准规范是否制定出台行业等级保护配套标准,检查相关文件和标准。
信息安全责任制落实情况1.8信息安全领导机构设置情
况
是否建立由单位主管领导任组长的信息安全协调领导机构,
检查相关文件。
1.9信息安全职能部门的建立
情况
是否成立专门信息安全职能部门或明确信息安全责任部门,
检查相关文件。
1.10信息安全责任追究制度制
定情况
是否制定信息安全责任追究制度,检查相关文件。
信息安全制度建设情况1.11人员安全管理制度建设情
况
检查是否制定了本单位人员录用、离岗、考核、安全保密、
教育培训、外来人员管理等安全管理制度,查看制度文件。
1.12机房安全管理制度建设情
况
检查是否对本单位机房进出人员管理和对机房进行日常监
控。
1.13系统建设管理制度制定情况检查是否制定了本单位产品采购、工程实施、验收交付、服务外包等系统建设相关管理制度,查看制度文件。
信息系统运维情况1.14开展日常信息安全监测和
预警情况
检查是否建立了信息安全监测和预警机制。
1.15安全事件的处置情况检查是否制定了本单位安全事件报告和响应处理程序。
1.16应急预案的制定、演练和
完善情况
检查是否制定了本单位应急处置预案,是否进行定期演练并
完善预案。
(二)信息系统定级备案情况
1.17信息系统定级指导检查是否出台了行业信息系统定级指导意见,检查具体文件和意见。
1.18信息系统定级工作情况检查是否了解本行业、本单位信息系统定级底数。
是否存在定级不准的情况和存在重要信息系统未定级的情况。
1.19信息系统备案工作情况检查是否了解本行业、本单位信息系统备案底数。
是否及时根据信息系统变化情况更新备案信息,是否存在已定级信息系统未备案情况。
1.20等级保护综合管理平台检查是否利用等级保护综合管理平台开展行业等级保护日常管理工作。
(三)信息系统等级测评和安全建设整改工作部署和经费保障情况
1.21等级测评工作计划制定情况检查是否制定了本行业、本单位等级测评工作总体安排和计划。
1.22安全建设整改工作计划制定情况检查是否制定了本行业、本单位安全建设整改工作总体安排和计划。
1.23等级测评工作经费保障情况检查是否落实了本单位等级测评经费,是否列入财政预算。
1.24安全建设整改工作经费保障情况检查是否落实本单位安全建设整改经费,是否列入财政预算。
1.25等级测评机构的选择情况检查等级测评报告,查看是否从《全国信息安全等级保护测评机构推荐目录》中选择测评机构。
(四)等级保护自查和整改情况
1.26行业等级保护检查工作的组织开展情况检查工作报告,查看是否每年组织行业等级保护检查工作。
1.27等级保护自查工作组织部署情况检查自查报告,查看是否组织本单位开展年度等级保护全面自查工作。
1.28存在问题的整改工作情况检查相关文件,查看去年公安部《检查反馈意见书》各项工作的部署和开展情况。