信息安全检查表

信息安全自查表
-标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
信息安全自查表
自查单位：
填表日期：
一、单位基本情况
1.单位基本情况
2.信息网络系统主要设备、安全设备情况
二、安全自查内容1．安全管理制度
2．定期检测升级措施
3．日志留存、数据备份措施
4．安全审计措施
5．有害信息过滤措施和群发信息限制措施
6．已采取的防范网络攻击技术措施
7．重要网站网页自动恢复措施
8．安全管理责任人、信息审查员的任免和安全责任制度（如开设有网站，应有信息审查员，否则不需要）
9．信息发布制度
10．用户登记制度
11．用户主叫号码、网络地址映射记录措施（互联网接入服务单位）
12．身份登记和识别确认措施
13．安全隐患消除情况
14．应急联动机制建立
三、信息安全等级保护自查内容
1．部署和组织实施情况
2．信息安全管理制度建立和落实情况
3．信息系统安全等级保护定级备案情况
4. 信息安全设施建设情况和信息安全整改情况
5. 信息安全产品选择和使用情况
6. 聘请测评机构开展技术测评情况（包括差距测评和整改后的测评）
7. 定期自查情况
四、工作建议
填表人：联系电话：。

网络信息系统安全检查表网络信息系统安全检查表⒈信息系统背景及概述⑴网络信息系统的名称和版本⑵系统所属部门/单位及申请人信息⑶系统功能和用途介绍⑷系统的重要性和敏感性评估⒉网络安全管理⑴系统管理员及权限管理⑵安全策略和政策制定情况⑶安全培训和意识提升措施⑷安全事件和漏洞管理⑸安全备份和恢复策略⒊访问控制与身份认证⑴用户身份验证方式⑵用户权限管理和访问控制机制⑶两步验证或多因素身份认证配置⑷客户端设备访问控制⒋网络通信安全⑴网络设备配置安全⑵网络传输数据加密⑶防火墙和入侵检测系统配置情况⑷ VPN或其他网络隧道的安全性⑸网络隔离、安全分区和端口过滤⒌应用系统安全⑴应用系统的漏洞扫描和修复情况⑵应用系统的审计和日志记录机制⑶数据库权限和访问控制⑷应用系统的加密和数据保护措施⑸应用系统的异常检测和响应机制⒍物理安全⑴机房和服务器安全控制⑵硬件设备的防护和管理⑶存储介质或备份介质的安全管理⑷物理访问控制措施⒎网络安全监控与事件响应⑴安全事件监控和日志分析⑵安全事件的报警机制和响应流程⑶安全事件的追踪和溯源工作⑷安全事件的处理和评估⒏法律合规性⑴相关网络安全法律法规的遵守情况⑵网络信息安全保护措施的合规性⑶隐私权保护和数据处理规范的合规性附件：相关文件、配置、报告、记录等法律名词及注释：⒈网络安全法：指中华人民共和国《网络安全法》。

⒉个人信息：指可以单独或者与其他信息结合识别个人身份的信息。

⒊数据处理：指采用自动化或非自动化手段进行收集、登录、存储、使用、传输、披露、删除等操作的过程。

⒋隐私权保护：指保障公民的个人隐私和个人信息不受非法获取、非法使用、非法处理和非法披露的法律权利。

网络与信息安全检查表网络与信息安全检查表单位名称：嘉兴市妇幼保健院一、信息安全组织机构基本情况信息安全责任部门信息科分管信息安全工作的领导（如单位正副职领导）①姓名：王立中；职务：副院长；②姓名：；职务：；信息安全管理机构（如信息中心）①名称：信息科；②负责人：沈碧飞；职务：科长；③联系人：龚林峰；电话：；信息安全专职工作处室（如信息科）①名称：；②联系人：；电话：；信息安全责任部门职责(可附件另附)二、重要信息系统基本情况重要信息系统总数：（请另附系统简介清单）系统定级情况第一级：个第二级：个第三级：个第四级：个第五级：个未定级：个等级保护测评完成等级保护测评系统的名称及对应等级：①；②；③；④；服务对象统计①面向社会公众提供服务的系统数量及等级：；②非面向社会公众提供服务的系统数量及等级：；联网情况统计①通过互联网可直接访问的系统数量及等级：；②通过互联网不能直接访问的系统数量及等级：；其中，与互联网物理隔离的系统数量及等级：；数据集中性统计①省级数据集中的系统数量及数据类型：；②市级数据集中的系统数量及数据类型：；③县级数据集中的系统数量及数据类型：；④未进行数据集中的系统数量：；业务连续性统计①可容忍值小于小时的系统数量：；②可容忍值大于小时，小于小时的系统数量：；③可容忍值大于小时的系统数量：；系统灾备统计①定期对系统级进行灾备的系统数量：；②仅对数据库定期进行灾备的系统数量：；③无灾备措施的系统数量：；业务应用软件系统（统计年内数据）①自主设计开发（不含二次开发）的套数：；②外包国内服务商开发的套数：；外包国外服务商开发的套数：；③直接采购国内服务商产品的套数：；直接采购国外服务商产品的套数：；三、日常信息安全运维管理情况人员安全管理①重点岗位人员安全保密协议：全部签订部分签订均未签订；②人员离岗离职安全管理规定：已制定未制定；③外部人员机房访问管理制度及权限审批制度：已建立未建立；设备资产管理①资产管理制度：已建立未建立；②机房设备标签：全部标签合格部分标签合格无标签；③设备维修维护和报废管理：已建立管理制度，且维修维护和报废记录完整；已建立管理制度，但维修维护和报废记录不完整；未建立管理制度；机房安全管理①机房管理制度：已建立未建立；②机房日常运维记录：完整详实部分简略无记录；③人员进出机房记录：完整详实部分简略无记录；④机房物理环境：达标未达标；采购预算保障①年度采购方案及预算：已建立未建立；②采购合同：完整部分完整；③安全设备采购比例：> > <；外包服务管理①外包服务商资质证书：齐全部分齐全；②外包服务合同：完整部分完整；。

学校网络与信息安全检查表XXX网络与信息安全检查表一、日常信息安全运维管理情况重点岗位人员安全保密协议：全部签订。

人员离岗离职安全管理规定：已制定。

外部人员机房访问管理制度及权限审批制度：已建立。

资产管理制度：已建立。

机房设备标签：全部标签合格。

设备维修维护和报废管理：已建立管理制度，且维修维护和报废记录完整。

机房管理制度：已建立。

机房日常运维记录：完整详实。

人员进出机房记录：完整详实。

机房物理环境：达标。

二、信息安全网络防护情况互联网接入口总数：_____个；其中：电信接入口数量：_____个；移动接入口数量：_____个；XXX接入口数量：_____个；其他：____________接入口数量：_____个；网络安全防护设备部署：防火墙、防篡改、入侵检测设备、安全审计设备、防病毒网关、抗拒绝服务攻击设备、其他：________________________。

网络访问日志：留存日志周期_____。

安全防护设备策略：根据应用自主配置。

办公区域无线局域网接入设备（无线路由器）数量：个。

网络用途：访问互联网：_____个；访问业务/办公网络：_____个。

安全防护策略：采取身份鉴别措施：_____个；采取地址过滤措施：_____个；未设置：_____个。

入侵检测系统：已部署。

防火墙技术：已部署。

漏洞扫描技术：已部署。

访问权限设置：有。

数据库管理制度：完整并落实。

Root账户权限设置：分级设置。

数据备份周期：定期：周期_____。

网页防篡改措施：采用。

漏洞扫描：定期扫描，周期_____。

信息发布管理：已建立审核制度，且审核记录完整。

已建立审核制度，但审核记录不完整。

网站安全防护方面未建立审核制度，需要进一步完善。

管理员口令复杂度策略分为高、中、低三种，建议采用高强度口令。

邮箱安全防护方面，建议设置有效时间和审批注册账号，使用技术措施控制和管理口令强度，定期删除邮件。

在安全管理方式方面，建议采用集中统一管理，规范软硬件安装，统一补丁升级，统一病毒防护，统一安全审计等措施。

1.单位基本情况12.人员资产情况2.1人员组织架构XXX组织架构图如图所示。

（请提供本单位组织架构图）人员职责描述：本人已确认以上所填内容及结果，确认无误。

填表人：22.2信息安全人员情况表2-1 信息安全人员调查表填写说明：1.此表主要涉及与网络安全相关的人员及部门；2.岗位名称：网络管理员、系统管理员、安全管理员、运维管理员、数据库管理员等。

32.3信息安全培训情况表2-2 信息安全培训调查表43.网络资产情况3.1网络拓扑情况表3-1 网络拓扑调查表填写说明：1.此表主要是提供本单位实际的网络拓扑图2.拓扑图中需标明出口、核心架构区域，以及其他网络区域。

53.2单位外联情况表3-2 单位外联调查表填写说明：1.连接对象为外联的单位名称；2.线路类型包括：SDH、MSTP、PTN、VPN（SSL、IPsec）等；63.3网络区域划分情况表3-3 网络区域划分调查表填写说明：1.网络区域包括：服务器域、核心交换域、办公域、外联域、存储域、运维域、终端域等。

74.信息系统资产情况4.1.信息系统等保备案情况表4-1 信息系统等保备案调查表1.定级备案：等级保护一级、等级保护二级、等级保护三级、等级保护四级、等级保护五级。

84.2.信息系统基本情况表4-2 信息系统基本信息调查表1.架构：C/S、B/S；2.维保情况：维保中、已过保（说明过保原因）；3.重要程度：非常重要、重要、一般。

94.3.信息系统详细情况表4-3 信息系统详细信息调查表1.业务处理信息类别：a.国家秘密信息、b.非密敏感信息（机构或公民的专有信息）、c.可公开信息；2.用户范围：全国、全省、本地区、本单位；3.访问方式：互联网访问、专网访问、内网访问；4.信息系统的日志类型：访问日志、操作日志。

104.4.信息系统备份情况表4-4 信息系统备份调查表填写说明：1.备份周期：实时备份、非实时备份（请提供备份周期）；2.备份介质：NAS（阵列）、外置盘（U盘、硬盘）、网盘、内置硬盘、光盘等。

信息安全管理体系审核检查表一、组织运营情况1.组织机构概况：–组织名称：–组织性质：–成立时间：–主要业务范围：2.信息安全管理部门设置情况：–部门名称：–职责描述：–人员配备情况：二、信息资产管理1.信息资产清单：–是否建立信息资产清单？–清单更新频率：2.信息分类管理：–是否明确信息分类标准？–是否按照信息分类标准进行管理？三、风险管理1.风险评估：–是否定期进行风险评估？–是否建立风险评估报告？2.风险处理：–是否建立风险处理方案？–风险处理效果评估情况：四、安全访问控制1.用户权限管理：–是否进行用户权限管理？–是否建立权限分配流程？2.访问控制：–是否建立访问控制策略？–是否监控访问控制的执行情况？五、信息安全培训与意识1.培训计划：–是否建立信息安全培训计划？–培训内容涵盖范围：2.意识提升：–是否定期进行信息安全意识培训？–员工信息安全意识检查情况：六、内部安全检查与审计1.内部审计：–是否定期进行内部安全检查与审计？–审计报告执行情况：2.审计结果整改：–是否建立审计结果整改机制？–整改情况跟踪及反馈情况：七、应急响应和恢复1.应急响应预案：–是否建立应急响应预案？–是否进行应急演练？2.灾难恢复：–是否建立灾难恢复预案？–是否定期测试恢复预案有效性？八、外部服务提供商管理1.外部服务提供商审查：–是否对外部服务提供商进行审查？–外部服务提供商安全性考虑情况：2.外部服务提供商监管：–是否对外部服务提供商进行监管？–监管合规性检查情况：九、通信安全1.网络安全管理：–是否建立网络安全管理制度？–网络安全事件处理情况：2.通信加密：–是否对重要通信进行加密？–加密算法及密钥管理情况：十、环境安全1.信息系统物理安全：–是否建立信息系统物理安全措施？–安全设备检查维护情况：2.环境监控：–是否进行环境监控？–监控数据记录和分析情况：十一、文件与记录管理1.信息安全文件管理：–是否建立信息安全文件管理制度？–文件管理规范执行情况：2.记录管理：–是否建立信息安全记录管理制度？–记录存储及备份情况：十二、信息安全体系监测与改进1.安全监测：–是否建立信息安全监测机制？–安全监测数据分析情况：2.改进措施：–是否持续改进信息安全体系？–改进措施实施效果评估情况：以上为信息安全管理体系审核检查表，相关部门及人员应认真填写审核情况，及时整改存在的问题，确保信息安全管理体系的持续健康发展。

信息安全等级保护工作检查表单位信息安全等级保护工作检查表一、备案单位基本情况单位全称等级保护工作责任部门责任部门负责人姓名职务或职称办公电话移动电话责任部门联系人姓名职务或职称办公电话移动电话本行业定级备案的信息系统数量四级系统三级系统二级系统合计本单位定级备案的信息系统数量四级系统三级系统二级系统合计二、备案单位等级保护工作开展情况（一）信息安全工作的基本情况检查内容检查内容和所需材料工作情况等级保护工作的组织部署1.1等级保护协调领导机构设置情况是否成立等级保护专门协调领导机构，检查相关文件。

1.2等级保护责任部门和岗位确定情况是否明确等级保护责任部门和工作岗位，检查相关文件。

1.3行业等级保护工作的组织部署情况是否对全行业等级保护工作进行部署，检查具体部署文件。

1.4等级保护工作文件制定情况是否制定贯彻落实等级保护各项工作文件或方案，检查2007年以来有关等级保护工作的文件、方案。

1.5等级保护工作会议、业务培训情况是否召开等级保护工作会议或组织人员培训，检查会议或培训通知。

1.6单位主要领导对等级保护工作的重视情况单位主要领导是否重视等级保护工作，检查是否有领导讲话，是否有领导批示。

1.7制定行业标准规范是否制定出台行业等级保护配套标准，检查相关文件和标准。

信息安全责任制落实情况1.8信息安全领导机构设置情况是否建立由单位主管领导任组长的信息安全协调领导机构，检查相关文件。

1.9信息安全职能部门的建立情况是否成立专门信息安全职能部门或明确信息安全责任部门，检查相关文件。

1.10信息安全责任追究制度制定情况是否制定信息安全责任追究制度，检查相关文件。

信息安全制度建设情况1.11人员安全管理制度建设情况检查是否制定了本单位人员录用、离岗、考核、安全保密、教育培训、外来人员管理等安全管理制度，查看制度文件。

1.12机房安全管理制度建设情况检查是否对本单位机房进出人员管理和对机房进行日常监控。

1.13系统建设管理制度制定情况检查是否制定了本单位产品采购、工程实施、验收交付、服务外包等系统建设相关管理制度，查看制度文件。