信息安全检查表
信息安全策略达标检查表
√
3
信息安全协调
是否与组织内不同部门相关角色和工作职责的代表进行协调
有。公司有信息安全协调小组,协调相关工作
√
4
信息安全职责的分配
所有的信息安全职责是否清晰地定义
有,手册附录中清晰的定义了
√
5
信息处理设施的授权过程
信息处理设施的领用及相应变更是否经过授权,有无授权文件或证明材料
信息安全策略达标检查表
日期:2023-2-10被检查部门:检查人:内审员(建议技术人员)频率:6个月一次
序号
检查项(控制措施)
点检内容
事实记录(备注)
点检结果
合格
不合格
1
信息安全方针
是否了解公司信息安全相关规定,对公司信息安全方针和目标是否获悉
了解,公司公告栏中有张贴
√
2
信息安全的管理承诺
组织是否通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认
有,文件审批单,有移动设备借用登记表
√
6
保密协议
是否与第三方签订安全保密协议、查核员工保密协议的签订情况
有
√
7
口令设置
一般用户口令长度8位以上,并由字母、数字混合构成,重要系统管理员口令长度12位以上,并由字母、数字、特殊字符混合构成
是
√
8
病毒防范
是否安装公司允许安装的杀毒软件,是否定期查杀病毒
是
√
有,文件审批单,有移动设备借用登记表
√
6
保密协议
是否与第三方签订安全保密协议、查核员工保密协议的签订情况
有
√
口令设置
一般用户口令长度8位以上,并由字母、数字混合构成,重要系统管理员口令长度12位以上,并由字母、数字、特殊字符混合构成
学校网络与信息安全检查表(2023最新版)
学校网络与信息安全检查表学校网络与信息安全检查表⒈网络基础设施检查⑴网络拓扑图是否详细、准确,并定期更新?⑵网络设备是否按照规定位置安装且固定稳妥?⑶是否有合理的网络设备接地保护措施?⒉网络设备安全检查⑴路由器、交换机等网络设备的管理口是否设置安全口令?⑵管理口是否单独存在于安全网络段内?⑶是否定期对网络设备进行安全漏洞扫描和修复?⑷是否禁止使用默认的管理口令和弱密码?⒊网络访问控制检查⑴是否设立了合理的网络访问控制策略?⑵是否定期审查和更新网络访问控制策略?⑶是否使用防火墙等设备对外网和内网进行隔离保护?⑷是否对网络外部访问进行监控和记录?⑸是否禁止非法的网络访问以及违规的网络活动?⒋信息系统安全检查⑴是否定期对操作系统和应用软件进行安全更新补丁的安装?⑵是否禁止使用盗版软件和非法软件?⑶是否设置了合理的操作系统和应用软件访问权限?⑷是否对信息系统进行定期备份并测试恢复?⒌用户账号与密码安全检查⑴是否采用合理的账号管理制度?⑵是否禁止用户共享账号和密码?⑶是否定期审查和清理不再使用的账号?⑷是否设置了强制密码策略,要求用户定期更换密码?⒍防和防恶意软件检查⑴是否安装并定期更新防护软件?⑵是否设置扫描和自动修复功能?⑶是否定期进行扫描并记录结果?⒎网络安全事件监测与处置检查⑴是否配置了网络安全事件监测系统?⑵是否建立了网络安全事件处置预案?⑶是否定期进行网络安全事件演练?⒏数据备份与恢复检查⑴是否制定了数据备份策略并进行定期备份?⑵是否对备份数据进行加密和存储安全控制?⑶是否定期进行数据备份的恢复测试?附件:⒈网络拓扑图⒉管理口口令要求⒊网络访问控制策略表⒋操作系统和应用软件更新补丁记录⒌账号管理制度说明⒍防护软件更新记录⒎网络安全事件处置预案⒏数据备份与恢复策略法律名词及注释:⒈信息安全法:《中华人民共和国网络安全法》,简称《网络安全法》,是中华人民共和国的一部法律,旨在规范网络安全领域的行为。
网络与信息安全检查表
网络与信息安全检查表网络与信息安全检查表单位名称:嘉兴市妇幼保健院一、信息安全组织机构基本情况信息安全责任部门信息科分管信息安全工作的领导(如单位正副职领导)①姓名:王立中;职务:副院长;②姓名:;职务:;信息安全管理机构(如信息中心)①名称:信息科;②负责人:沈碧飞;职务:科长;③联系人:龚林峰;电话:;信息安全专职工作处室(如信息科)①名称:;②联系人:;电话:;信息安全责任部门职责(可附件另附)二、重要信息系统基本情况重要信息系统总数:(请另附系统简介清单)系统定级情况第一级:个第二级:个第三级:个第四级:个第五级:个未定级:个等级保护测评完成等级保护测评系统的名称及对应等级:①;②;③;④;服务对象统计①面向社会公众提供服务的系统数量及等级:;②非面向社会公众提供服务的系统数量及等级:;联网情况统计①通过互联网可直接访问的系统数量及等级:;②通过互联网不能直接访问的系统数量及等级:;其中,与互联网物理隔离的系统数量及等级:;数据集中性统计①省级数据集中的系统数量及数据类型:;②市级数据集中的系统数量及数据类型:;③县级数据集中的系统数量及数据类型:;④未进行数据集中的系统数量:;业务连续性统计①可容忍值小于小时的系统数量:;②可容忍值大于小时,小于小时的系统数量:;③可容忍值大于小时的系统数量:;系统灾备统计①定期对系统级进行灾备的系统数量:;②仅对数据库定期进行灾备的系统数量:;③无灾备措施的系统数量:;业务应用软件系统(统计年内数据)①自主设计开发(不含二次开发)的套数:;②外包国内服务商开发的套数:;外包国外服务商开发的套数:;③直接采购国内服务商产品的套数:;直接采购国外服务商产品的套数:;三、日常信息安全运维管理情况人员安全管理①重点岗位人员安全保密协议:全部签订部分签订均未签订;②人员离岗离职安全管理规定:已制定未制定;③外部人员机房访问管理制度及权限审批制度:已建立未建立;设备资产管理①资产管理制度:已建立未建立;②机房设备标签:全部标签合格部分标签合格无标签;③设备维修维护和报废管理:已建立管理制度,且维修维护和报废记录完整;已建立管理制度,但维修维护和报废记录不完整;未建立管理制度;机房安全管理①机房管理制度:已建立未建立;②机房日常运维记录:完整详实部分简略无记录;③人员进出机房记录:完整详实部分简略无记录;④机房物理环境:达标未达标;采购预算保障①年度采购方案及预算:已建立未建立;②采购合同:完整部分完整;③安全设备采购比例:> > <;外包服务管理①外包服务商资质证书:齐全部分齐全;②外包服务合同:完整部分完整;。
网络信息安全检查表参考模板范本
网络信息安全检查表
序号
检查内容
检查方法
检查结果
备注
1
查制度及预案:检查各单位网络管理的各项制度,网络安全的保障方案,报汛网络的应急预案,以及落实情况(工作日志记录)
查资料
2
查信息发布、审核、登记:应该有书面制度和审核登记记录
查资料
3
查信息的监视、保存和备份:对BBS的帖子应先审后贴;对交互式栏目发布的信息应有监视措施
询问
测试
7
实战测试:抽查网络管理人员网络配置管理、网络故障管理、网络性能管理和网络安全管理等方面的应用能力。
查现场
8
查外部安全:查灭火器配置品种、数量是否符合要求,有无失效或挪作他用;查防盗措施是否有效。
查现场
9
查工作纪律:无关人员是否能随意进入
查现场
存在的主要问题及其它异常情况
整改
具体
要求
检查单位:检查负责人:
查资料
4
查IP地址分配和管理:接入互联网的公网和私网IP地址要求一台机器一个地址;有详细的IP地址分配记录
查资料
5
查线路及硬件等的物理安全ቤተ መጻሕፍቲ ባይዱ包括防雷):检查各单位网络线路、网络结构、网络设备、网络终端、防雷措施等,及早发现安全隐患,及时处理存在的问题,确保汛期网络系统各环节的正常运转
查现场
6
查系统安全:应用服务器的安全措施;计算机网络病毒的防控措施;防黑客攻击技术措施;定期对系统漏洞进行扫描并打补丁
信息安全检查表
如果开展了安全措施评估,评估结果是什么
○有效○基本有效○不足
本年度是否开展了网站安全风险评估或等级测评
○自评估委托专业评估○没有开展
是否进行了下列安全检查
○SQL注入攻击隐患○跨站脚本攻击隐患
○弱口令○操作系统补丁安装情况
○网站服务系统及其他应用系统补丁安装情况○防病毒软件升级情况○网站是否已被“挂马”
○是○否
是否对自管的域名解析系统采取了安全防护措施
○是○否○无自管域名解析系统
是否与托管方签订了安全协议
○是○否○未采取托管
是否制定了奥运会期间网站安全突发事件应急预案
○是○否
是否根据应急预案组织过应急演练
○是○否
是否采取了备份措施
○备机○备件○网站数据备份○其他措施
是否明确了技术支援队伍
○是○否
是否有24小时值班制度
○是○否
是否关闭或删除了不必要的服务
○是○否
是否关闭或删除了不必要的端口
○是○否
系统管理和数据库管理口令更换周期是多少
○每周或更短○半个月○一个月
○一个月以上○从未更换或偶尔更换
系统管理和数据库管理口令长度是多少位
○小于等于8位○大于8位
是否存在多台服务器或多个帐户使用同一口令的情况
○是○否
对网站进行远程维护时,是否采取了加密防护措施
○是○否
系统安全日志察看的周期是多少
○每天○每周○每月○偶尔或从不
是否具有独立的安全审计系统
○是○否
网站服务器和同一网段内其他服务器之间是否有访问控制措施
○是○否
操作系统最近一次升级的日期
月日
Web服务器最近一次升级的日期
月日
ISO27001信息安全检查表
审核结果
审查时间:
判定/处置
序 号
审核内容
44 是否定期对权限进行了审核
ISO27001信息安全检查表
审查要点 定期审核记录
45 是否制定了口令策略
管理人员的密码设定。 是否有员工号等容易推断的密码。 1个帐号是否有多个用户。 密码是否记录在便条上。 密码为6位英文数字以上
46 是否执行了口令策略
1.检查其访问权限设定。 2.是否有备份
确认项目或其他敏感信息是否在发送前经过授 权者确认,是否经过信息所有人的授权。
和交换涉及方签订NDA(保密协议)
1. 检查包装合理性 2. 搬运方法合理性 确认是否有电子邮件使用规则,和实施情况(如发送 重要文件时是否有文件加密等) 1.互联网使用的检查。 2.互联是否有访问控制,权限分配规则 如果有文件共享请确认: 1.确认是否设置了全员都可以访问的权限。 2.确认对于长时间不使用的人员是否暂停其帐号。 3.确认共享文件的访问权限范围。
确认修理及报废时的HDD的对应方法。
审批记录
变更申请记录 确认部门系统和个人PC的手都已经部署并且状态正常 。
是否有备份策略的制订?
是否有备份的实施?
是否有备份的验证
是否有备份保护
是否有网络访问方面的限制 1.Web访问服务的安全 2.Mail 服务的安全 1.是否有管理清单 2.记录重要信息的外部存贮介质(例如:外置 硬盘,CD,DVD,U盘,PCMCIA移动存储卡,存储 备份资料用的备份设备等),是否被保管在带锁 的文件柜中?
审核结果
审查时间:
判定/处置
序 号
审核内容
32 是否有移动介质报废管理
33 系统文件是否得到了保护 34 是否有信息交换策略制订 35 和信息交换方是否签订了协议 36 物理介质传输是否得到了保护 37 是否按照公司规程实施了电子信息交换 38 是否按照公司规程实施业务信息互联
(信息安全标准化)全套信息检查表
(信息安全标准化)全套信息检查表信息安全标准化全套信息检查表
目的
本检查表旨在帮助组织进行信息安全标准化建设,全面评估组
织安全现状,发现安全风险和问题,并提出相应的改进和优化措施。
使用方法
1. 逐一检查以下两个方面,确认组织是否已做好相应准备:
- 安全管理制度、规范、流程等是否完整、符合法律法规要求
和组织的内部要求;
- 安全技术措施是否到位,能否有效预防、检测、响应、恢复
各类安全事件和威胁。
2. 对照具体检查项目,回答相应内容是否符合标准要求,标记“√”或“×”或“N/A”表示。
3. 根据检查结果,及时采取相应的改进和优化措施。
检查项目
总结
通过使用本信息安全标准化全套信息检查表,组织能够全面了解自身安全现状,并及时发现和解决安全风险和问题,不断提升信息安全保障能力和水平,为组织发展提供保障和支持。
信息安全检查情况报告表
信息安全检查情况报告表信息安全检查情况报告表
(⼀)基本信息⾃查
表1 单位基本情况
表2 信息安全应急响应组织机构和经费落实情况
表3 信息安全教育培训情况
表4 信息安全检查情况
表5 ⽇常安全管理制度建⽴和落实情况
表6.1 系统基本情况
表6.2 系统特征及等保定级情况
表6.3 系统技术防护情况
表7.1 主要硬件品牌及数量
表7.2 安全设备情况
表8.1 主要软件品牌及数量
表8.2 安全软件情况
表1-9 信息服务资产情况
表10 信息系统⼈员资产情况
表11 ⽂档资产情况
表12.1 信息系统分域防护情况
表12.2 ⽹站基本情况
表12.3 ⽹站托管情况
表12.4 外联线路(⽹络边界)情况
表12.5 业务数据情况
表12.6 数据备份情况
表1-13 安全隐患排查及整改情况
表1-14 受赠信息技术产品情况
表15.1 重点领域信息系统类型与构成情况检查记录表。
网站信息系统安全检查表
网站信息系统安全检查表一、物理环境安全1、机房环境机房是否具备防火、防水、防潮、防雷、防静电等设施?温度和湿度是否控制在设备正常运行的范围内?机房是否有门禁系统,限制未经授权的人员进入?2、设备设施服务器、网络设备等硬件是否放置在稳固的机柜中,防止物理损坏?电源供应是否稳定,是否有备用电源(如 UPS)以应对突发停电?二、网络安全1、网络架构网络拓扑结构是否合理,是否存在单点故障?不同区域(如内网、外网、DMZ 区)之间的访问控制策略是否得当?2、防火墙防火墙规则是否配置正确,是否能够有效阻止非法访问和攻击?防火墙是否定期进行策略更新和漏洞修复?3、入侵检测/防御系统(IDS/IPS)IDS/IPS 是否正常运行,能够及时发现和阻止入侵行为?其告警信息是否得到及时处理和分析?4、 VPN如果使用 VPN 进行远程访问,VPN 连接是否安全可靠,加密强度是否足够?用户认证和授权机制是否严格?三、系统安全1、操作系统服务器操作系统是否及时更新补丁,修复已知漏洞?系统账号和密码管理是否严格,是否存在弱密码?系统服务是否仅开启必要的服务,关闭不必要的服务?2、数据库系统数据库是否进行定期备份,备份数据是否可恢复?数据库访问权限是否合理设置,防止数据泄露?数据库是否采取加密措施,保护敏感数据?四、应用安全1、网站程序网站代码是否经过安全审计,是否存在 SQL 注入、跨站脚本(XSS)等漏洞?上传功能是否存在文件上传漏洞?验证码机制是否有效,防止暴力破解?2、中间件如 Web 服务器(Apache、Nginx 等)、应用服务器(Tomcat、JBoss 等)是否配置正确,是否存在安全漏洞?3、内容管理系统(CMS)如果使用 CMS 搭建网站,CMS 是否及时更新版本,修复安全漏洞?CMS 插件和模板是否来自官方或可信来源?五、数据安全1、数据备份数据备份策略是否制定并执行,包括全量备份和增量备份?备份数据是否存储在异地,以防止本地灾难?2、数据加密敏感数据(如用户密码、信用卡信息等)在传输和存储过程中是否加密?加密算法是否足够强度,密钥管理是否安全?3、数据销毁当不再需要的数据被删除时,是否采取安全的数据销毁方法,防止数据恢复?六、用户认证与授权1、用户注册与登录用户注册流程是否验证邮箱或手机号,防止恶意注册?登录是否采取双因素认证(如密码+短信验证码)?2、权限管理用户权限是否根据其职责进行最小化授权?权限变更是否经过审批流程?七、安全管理制度1、安全策略是否制定了完善的网站信息系统安全策略,包括访问控制、数据保护、应急响应等?2、人员管理员工是否接受过安全培训,了解基本的安全知识和操作规范?离职员工的账号是否及时删除或禁用?3、应急响应是否制定了应急响应预案,包括数据恢复、系统恢复等措施?定期进行应急演练,检验预案的有效性?八、日志与审计1、系统日志服务器、网络设备、应用系统等是否开启日志功能,记录重要操作和事件?日志是否定期进行备份和分析?2、审计功能对关键操作(如数据修改、用户权限变更等)是否进行审计,审计记录是否完整?通过以上网站信息系统安全检查表,可以全面、系统地评估网站的安全性。
信息安全检查表(1)
□已备案 □已制定但未备案 □未制定
应急技术
支援队伍
□本单位自身力量 □外部专业机构 □未明确
信息安全备份
①重要数据: □备份 □未备份
②重要信息系统:□备份 □未备份
③容灾备份服务:□位于境内 □位于境外 □无
五、信息技术产品使用情况
服务器
总台数:,其中国产台数:
使用国产CPU的服务器台数:
□有技术措施用于控制和管理口令强度 □无技术措施
□无:空口令、弱口令和默认口令 □有
②留言板功能(□开设 □未开设)
□留言内容经审核后发布 □未经审核即可发布
③论坛功能(□开设 □未开设)
□已备案 □未备案
□论坛内容经审核后发布 □未经审核即可发布
④博客功能(□开设 □未开设)
□已作清理,仅限本部门或有关人员使用□未作清理
⑤在非涉密信息系统和涉密信息系统间混用情况:
□不存在 □存在
⑥是否存在使用非涉密计算机处理涉密信息情况:
□不存在 □存在
存储设备
安全管理
①移动存储设备管理方式:
□集中管理,统一登记、配发、收回、维修、报废、销毁
□未采取集中管理相关措施
②在非涉密信息系统和涉密信息系统间混用情况:
□不存在 □存在
四、信息安全应急管理情况
终端计算机
(含笔记本)
总台数:,其中国产台数:
使用国产CPU的计算机台数:
网络设备
总台数:,其中国产台数:
操作系统
①服务器操作系统情况:
安装Windows操作系统的服务器台数:
安装Linux操作系统的服务器台数:
安装其他操作系统的服务器台数:
②终端计算机操作系统情况:
网络信息安全检查表(Word)
网络信息安全检查表(Word)网络信息安全检查表一、背景介绍为保障网络信息安全,预防和及时处置网络安全事件,制定本网络信息安全检查表,针对网络信息安全进行全面检查,确保网络系统的安全运行。
二、网络设备检查1·路由器检查1·1 路由器是否经过密码保护1·2 路由器固件是否及时更新1·3 路由器访问控制列表(ACL)配置情况1·4 路由器接口是否进行了安全配置2·防火墙检查2·1 防火墙是否开启2·2 防火墙规则是否符合安全策略2·3 防火墙固件是否及时更新2·4 防火墙日志是否定期检查3·交换机检查3·1 交换机管理口是否进行了安全配置3·2 交换机端口安全设置是否合理3·3 交换机固件是否及时更新3·4 交换机是否开启了端口镜像进行流量监测 4·虚拟专用网(VPN)检查4·1 VPN服务器是否进行了安全配置4·2 VPN用户权限是否合理4·3 VPN传输模式是否安全三、网络服务检查1·网络身份认证服务检查1·1 身份认证服务器是否进行了安全配置1·2 身份认证方式是否安全可靠1·3 身份认证日志是否定期检查分析2·网络存储服务检查2·1 存储设备是否设置访问控制权限2·2 存储设备是否进行了加密保护2·3 存储设备备份情况是否正常2·4 存储设备是否定期进行漏洞扫描3·电子邮件服务检查3·1 邮件服务器是否配置了安全策略3·2 邮件账户权限是否控制合理3·3 邮件系统是否进行了备份3·4 邮件流量是否进行了监测和过滤四、应用系统检查1·操作系统检查1·1 操作系统是否及时进行了补丁更新1·2 操作系统的访问权限是否控制合理1·3 操作系统是否开启了安全审计1·4 操作系统是否配置了合理的日志管理策略 2·数据库系统检查2·1 数据库是否设置了强密码策略2·2 数据库账户权限是否控制合理2·3 数据库备份情况是否正常2·4 数据库是否进行了审计日志监控3·网络应用检查3·1 网络应用是否进行了安全配置3·2 网络应用的访问权限是否控制合理3·3 网络应用是否进行了漏洞扫描和修复3·4 网络应用是否定期进行安全性能测试附件:网络设备配置文件备份、防火墙日志分析报告、安全漏洞扫描报告、网络应用安全性能测试报告、网络信息安全事件处置报告。
信息安全月度检查表
序号 检查项目
检查内容
k3、人事、考勤、消费数据库是否定 期进行备份
1
数据安全 垃圾文件、过期备份是否定期清理 及备份 文档资料是否妥善备份
数据文档是否存在异常,是否感染病 毒
硬件运行状态是否稳定
状态
时间: 月
年
确认人签字
是否定期进行杀毒
2 服务器
是否升级安全补丁
服务器空间资源是否不足
ups不间断电源运行状态是否稳定
mode\路由器运行状态是否稳定
3 网络设备
企智通运行是否安全稳定
核心交换机运行是否稳定
办公电脑是否禁用USB接口
外网权限审查,临时权限及离职人员
权限撤消
入职人员邮箱建立及地址薄更新是否
4 权限审查
正确,外发外收邮件权限是否按需办 理;离职人员邮箱及地址薄是否清理
完毕
k3、权限人员岗位权限是否对应,离
职人员是否及时清理权限
Байду номын сангаас
人事、考勤系统权限清理及审查
服务器管理员密码是否安全
企智通、路由器管理员密码是否安全
5 密码安全 网站后台密码、vip邮箱密码是否安
全
高危不安全端口是否关闭
备注:
信息系统网络安全检查表
信息系统网络安全检查表信息系统网络安全检查表========1. 网络设备检查1.1 路由器和交换机是否设置了访问控制列表(ACL)来限制非授权访问?1.2 是否使用了强密码来保护网络设备的管理界面?1.3 是否启用了网络设备的日志功能并将日志信息保存在安全的地方?1.4 是否更新了网络设备的固件和补丁程序?1.5 是否关闭了未使用的服务和端口?1.6 是否配置了安全的无线网络,并启用了WPA2加密?2. 服务器安全检查2.1 服务器是否使用了最新的操作系统版本并安装了最新的安全补丁?2.2 是否限制了服务器的物理访问?2.3 是否启用了强密码策略来保护服务器的账户?2.4 是否配置了防火墙来限制进出服务器的网络流量?2.5 是否启用了安全审计日志来监控服务器的操作?2.6 是否禁用了未使用的服务和端口?3. 应用程序安全检查3.1 是否使用了最新的应用程序版本并安装了最新的安全补丁?3.2 是否限制了应用程序的访问权限?3.3 是否使用了安全的身份认证和授权机制?3.4 是否配置了应用程序的日志功能并将日志信息保存在安全的地方?3.5 是否对外部输入进行了有效的输入验证和过滤?3.6 是否进行了应用程序的安全代码审查和漏洞扫描?4. 数据库安全检查4.1 是否使用了最新的数据库版本并安装了最新的安全补丁?4.2 是否限制了数据库的物理访问?4.3 是否启用了数据库的安全审计功能?4.4 是否对敏感数据进行了加密存储?4.5 是否限制了数据库的网络访问权限?4.6 是否配置了数据库的备份和恢复策略?5. 远程访问安全检查5.1 是否限制了远程访问的网络地址和端口?5.2 是否使用了安全的远程访问协议,如SSH?5.3 是否配置了远程访问的身份认证和授权机制?5.4 是否启用了远程访问的日志功能并将日志信息保存在安全的地方?5.5 是否对远程访问进行了传输层加密?5.6 是否配置了远程访问的监控和报警机制?6. 附件本文档附带的附件包括:- 网络设备配置文件- 服务器配置文件- 应用程序代码审查报告- 数据库备份和恢复策略7. 法律名词及注释- 访问控制列表(ACL):用于控制网络设备的访问权限的列表。
信息安全督导检查记录表
是否□
是否单独卸载杀毒软件
是□否□
三、数据安全管理
电脑是否设置开机密码
有□ 无□
电脑开机密码复杂度是否满足要求(密码长度大于 8 位,包含大小写字母,不连续
数字,字符等)
是□否□
电脑是否设自动锁屏是□来自□是否私自接入 U 盘等移动存储设备 是否定期杀毒 远程端口是否关闭 防火墙是否开启
有□无□ 是□否□ 是□否□ 正常□不正常□
信息安全督导检查记录表
时 间: 一、硬件安全管理
科 室:
电脑是否专机专用 下班是否关闭计算机,切断电源 是否私自随意更换电脑
是□否□ 是□否□ 是□否□
是否携带电脑等网络设备私自进行安装
二、网络安全管理
是□否□
是否私自更改网络设备
是否□
是否私自更改网络接口
是□否□
是否私自使用无线网络
是□否□
是否随意接入网络设备
有无私自考取单位保密数据
四、存在的主要问题、隐患及整改建议
是□否□
检查人员签名:
五、科室整改措施
年月日
被检查科室签名:
六、整改后追踪效果评价
年月日
检查人员签名:
年月日
信息系统网络安全检查表
信息系统网络安全检查表信息系统网络安全检查表一、基本信息1-信息系统名称:2-信息系统类型:3-审查日期:4-审查人员:5-审查目的:二、网络架构安全1-硬件设备安全1-1 服务器安全1-2 路由器安全1-3 防火墙安全1-4 交换机安全1-5 存储设备安全2-网络拓扑安全2-1 网络拓扑图2-2 网络隔离及子网划分 2-3 出口流量控制2-4 内部网络访问控制3-网络传输安全3-1 数据加密传输3-2 VPN安全3-3 WIFI安全三、系统安全1-系统软件安全1-1 操作系统安全1-2 应用程序安全1-3 补丁管理2-账户和权限管理2-1 用户账户安全2-2 角色和权限管理2-3 账户认证和授权机制3-数据库安全3-1 数据库访问控制3-2 数据备份和恢复3-3 数据库加密四、应用安全1-应用程序安全1-1 Web应用程序安全1-2 移动应用程序安全1-3 客户端应用程序安全2-代码安全2-1 代码审查2-2 安全编码规范2-3 测试覆盖率和安全测试3-安全策略和配置3-1 安全策略制定3-2 配置文件安全3-3 日志管理五、安全运维1-漏洞扫描与风险评估1-1 网络漏洞扫描1-2 应用程序漏洞扫描1-3 风险评估报告2-安全事件和漏洞响应2-1 安全事件响应计划2-2 漏洞修复与补丁管理2-3 安全事件追踪和记录3-安全培训与意识3-1 安全培训计划3-2 安全意识教育推广附件:{附件名称}法律名词及注释:1-数据保护法:保护个人数据不被未授权访问、使用、修改或删除的法律法规。
2-网络安全法:保护网络信息系统安全,预防、制止和打击网络犯罪的法律法规。
3-信息安全管理制度:组织内部针对信息安全的规章制度和管理要求。
4-漏洞扫描:通过扫描系统、应用程序或网络环境,发现潜在安全漏洞的过程。
5-安全事件响应计划:应对发生安全事件时,组织内部所采取的应急措施和处理流程。
公司信息安全检查表
信息安全自查记录表
增强标准
1、【制度更新】部门管理制度要持续更新,坚持合理性和有效性 2、【执行记录】部门管理制度的执行要有记录留底,以备审查
1、【协调员职责】明确定义部门及科室信息安全协调员工作职责 2、【部门责任人】明确部门信息安全责任人,职责定义清晰
1、【分级标准明确】信息资产分级时,明确需要重点保护的信息资产,即C2/C3级信息的 定义要清晰明确 2、【定级准确】信息资产定级准确,密级不得过高或过低,如部门管理文件不可定为C3 3、【明确传阅范围】涉密信息的传阅范围定义准确,传阅范围不得过于宽泛,如C3信息的 传阅范围不能为整个部门 4、【C3信息数量】C3信息数量不宜过多,其总量不超过部门信息总量的5%
1、【一人一卡】严格遵守一人一卡,禁止未佩戴牌证人员尾随进入 2、【门禁保持关闭】门禁要求时刻处于关闭状态,通过门禁后,务必随手关闭门 禁,严禁开启门禁后将门保持在敞开状态 3、【故障维修】门禁系统出现故障要立即维修,维护要有记录
1、【打印后及时取走】打印机、复印机、传真机上禁止出现文件资料长时间搁置不 取的情况 2、【电脑锁屏】离开电脑时必须锁屏 3、【目视化标识】张贴必要及合理的目视化标识,如禁止携带手机、禁止拍照等 4、【不得随意丢弃涉密材料】垃圾篓里不得出现图纸等涉密纸质文档 5、【妥善保管】涉密文档必须妥善看管和保存
1、【转岗流程】业务部门、人力资源部、要有专门的流程规范员工转岗尤其是涉密 人员转岗 2、【转岗后权限变更】涉密岗位员工转岗后,原岗位涉密信息的访问权限及门禁通 行权限应及时变更或注销 3、【资产处理】涉密岗位员工转岗后,原岗位系统账号、电脑等资产要及时删除或 移交 4、【信息清理】涉密岗位员工转岗后,原岗位掌握的涉密信息要进行移交和清理 5、【新岗位使用审批】若新岗位仍需使用原岗位涉密信息需经过批准
信息安全检查表
信息安全管理体系
认证情况
□已通过认证
认证机构:
□未通过认证
(如有2个以上外包机构,每个机构均应填写,可另附页)
填表人:_____________科室/职别:_______________电话:_______________
□其他:接入口数量:个
接入带宽:兆
系统定级情况
第一级:个 第二级:个 第三级:个
第四级:个 第五级:个 未定级:个
系统安全
测评情况
最近2年开展安全测评(含风险评估、等级测评)系统数:个
二、日常信息安全管理情况
人员管理
①岗位信息安全和保密责任制度:□已建立 □未建立
②重要岗位人员信息安全和保密协议:
□全部签订 □部分签订 □均未签订
组织培训情况
□本年度是否组织开展信息安全教育培训,次数:
参训人员比例
本年度参加信息安全教育培训的人员占总人数比例为:
七、信息安全检查情况
信息安全检查工作情况
检查工作和经费落实情况: □已落实 □未落实
检查工作方案制定情况: □已制定 □未制定
安全保密和风险控制措施: □已采取 □未采取
组织开展技术检测情况: □已开展 □未开展
本年度信息安全事件统计
门户网站受攻击
情况
本单位入侵检测设备检测到的门户网站受攻击次数:
网页被篡改情况
门户网站网页被篡改(含内嵌恶意代码)次数:
设备违规
使用情况
①使用非涉密终端计算机处理涉密信息事件数:
②终端计算机在非涉密系统和涉密系统间混用事件数:
③移动存储介质在非涉密系统和涉密系统间交叉使用事件数:
⑤在非涉密信息系统和涉密信息系统间混用情况:
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
冷链系统访问和设备数据传输迁移至内网。
会计核算软件访问迁移至内网。
检查人员(签字):
单位负责人(签字):
2017年瓯海区卫计系统信息安全检查表
单位名称(盖章):
日期: 年 月 日
指标
考核细则
检查结果
备注
管理制度
1、机房管理制度(上墙)
2、运维安全管理制度
3、信息化保密管理制度
4、数据备份与安全管理制度
5、信息安全应急制度
终端计算机安全
终端计算机建立终端采取统一软件下发、补丁更新、病毒查杀、漏洞扫描等措施
对网络安全设备远程登陆的管理地址进行限制,只允许某一网段或某些IP可以访问;
网络和安全设备的配置文件必须定期备份。
严格控制无线路由器和随身WIFI网络共享设备的使用。对公众开放的无线服务必须采取认证机的登陆账户,要求密码长度最小值为8位,启用密码复杂度要求;设置账户锁定时间,锁定阀值为5次无效登录。
防火墙、交换机、服务器等主要设备及线缆设置不易除去的标签。
定期巡检要求医院信息人员或维保公司每周巡检一次;进出机房的外来人员执行进出登记。
网络安全
内网网络必须建立计算机准入控制,防止未审批的计算机接入内网网络。
内外网采取有效措施隔离,边界部署防火墙设备,实施相应的访问控制策略。
网络和安全设备中配置SSH加密协议,禁止采用明文的telnet协议。
终端计算机必须设置登陆密码, 账户锁定时间为10分钟。(secpol.msc)
内网和外网重要信息系统使用的计算机必须严格控制U盘和光盘等移动存储介质。
机房安全
机房建立红外线防盗报警器或视频监控系统。
网络机房建立烟雾传感器、火灾报警器等装置、灭火消防设施。
机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。(建议值:温度夏季23±2℃,冬季20±2℃,湿度45~65%。)
删除Windows多余的账户,关闭不必要的文件共享,及时升级系统补丁,安装杀毒软件。
服务器边界部署防火墙,设置了明确的访问控制策略,实现不同系统之间安全区域的有效隔离及访问控制。
数据库安全
数据库定期备份,每天至少备份2次,至少保留最近15天的备份数据。
修改数据库默认账户的SYS、SYSTEM系统默认口令,删除系统中多余的账户,如SYSMAN、DBSNMP等。