丽水学院信息系统(网站)安全自查表【模板】

学校网络与信息安全检查表学校网络与信息安全检查表⒈网络基础设施检查⑴网络拓扑图是否详细、准确，并定期更新？⑵网络设备是否按照规定位置安装且固定稳妥？⑶是否有合理的网络设备接地保护措施？⒉网络设备安全检查⑴路由器、交换机等网络设备的管理口是否设置安全口令？⑵管理口是否单独存在于安全网络段内？⑶是否定期对网络设备进行安全漏洞扫描和修复？⑷是否禁止使用默认的管理口令和弱密码？⒊网络访问控制检查⑴是否设立了合理的网络访问控制策略？⑵是否定期审查和更新网络访问控制策略？⑶是否使用防火墙等设备对外网和内网进行隔离保护？⑷是否对网络外部访问进行监控和记录？⑸是否禁止非法的网络访问以及违规的网络活动？⒋信息系统安全检查⑴是否定期对操作系统和应用软件进行安全更新补丁的安装？⑵是否禁止使用盗版软件和非法软件？⑶是否设置了合理的操作系统和应用软件访问权限？⑷是否对信息系统进行定期备份并测试恢复？⒌用户账号与密码安全检查⑴是否采用合理的账号管理制度？⑵是否禁止用户共享账号和密码？⑶是否定期审查和清理不再使用的账号？⑷是否设置了强制密码策略，要求用户定期更换密码？⒍防和防恶意软件检查⑴是否安装并定期更新防护软件？⑵是否设置扫描和自动修复功能？⑶是否定期进行扫描并记录结果？⒎网络安全事件监测与处置检查⑴是否配置了网络安全事件监测系统？⑵是否建立了网络安全事件处置预案？⑶是否定期进行网络安全事件演练？⒏数据备份与恢复检查⑴是否制定了数据备份策略并进行定期备份？⑵是否对备份数据进行加密和存储安全控制？⑶是否定期进行数据备份的恢复测试？附件：⒈网络拓扑图⒉管理口口令要求⒊网络访问控制策略表⒋操作系统和应用软件更新补丁记录⒌账号管理制度说明⒍防护软件更新记录⒎网络安全事件处置预案⒏数据备份与恢复策略法律名词及注释：⒈信息安全法：《中华人民共和国网络安全法》，简称《网络安全法》，是中华人民共和国的一部法律，旨在规范网络安全领域的行为。

信息系统网络安全检查表时间: 年月日系统名称负责人联系电话网络拓扑图: 接入方式(服务商) _______________________(附后) 账号(电话) _____________________________联网主机数 _______________________________ 联网情况 IP地址___________________________________ 服务内容_________________________________联网用途 _________________________________单位成立网络安全小组，确立安全小组负责人(单位领导任组长)，确立组长负责制组长落实小组人员岗位工作职责组织制度配备2到4名计算机安全员，须持证上岗制定网络安全事故处置措施计算机机房安全保护管理制度用户登记制度和操作权限管理制度网络安全漏洞检测和系统升级管理制度交互式栏目24小时巡查制度安全保护电子公告系统用户登记制度管理制度信息发布审核、登记、保存、清除和备份制度，信息群发服务管理制度违法案件报告和协助查处制度备案制度具有保存60天以上系统网络运行日志和用户使用日志记录功能，内容包括IP地址分配及使用情况，交互式信息发布者、主页维护者、邮箱使用者和拨号用户上网的起止时间和对应IP地址，交互式栏目的信息等安全审计及预警措施安全保护网络攻击防范、追踪措施技术措施计算机病毒防治措施身份登记和识别确认措施交互式栏目具有关键字过滤技术措施开设短信息服务的具有短信群发限制、过滤和删除等技术措施开设邮件服务的，具有垃圾邮件清理功能1信息系统检查项目表,安全技术措施,是否符合类别检查项目安全标准备注安全标准物理位置机房和办公场地应选择在具有防震、防的选择风和防雨等能力的建筑内。

机房出入口应安排专人值守，控制、鉴别和记录进入的人员物理访问控制需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围应将主要设备放置在机房内应将设备或主要部件进行固定，并设置明显的不易除去的标记;防盗窃和应将通信线缆铺设在隐蔽处，可铺设在防破坏地下或管道中应对介质分类标识，存储在介质库或档案室中;主机房应安装必要的防盗报警设施机房建筑应设置避雷装置; 防雷击机房应设置交流电源地线物理机房应设置灭火设备和火灾自动报警系防火安全统水管安装，不得穿过机房屋顶和活动地板下;防水和防应采取措施防止雨水通过机房窗户、屋潮顶和墙壁渗透;应采取措施防止机房内水蒸气结露和地下积水的转移与渗透防静电关键设备应采用必要的接地防静电措施机房应设置温、湿度自动调节设施，使温湿度控机房温、湿度的变化在设备运行所允许制的范围之内。

网络与信息系统安全检查(自查模版) 网络与信息系统安全检查(自查模版)1、信息安全政策和流程1.1 是否建立了信息安全政策和流程？1.2 信息安全政策是否进行了定期评估和更新？1.3 全体员工是否知悉并理解了信息安全政策和流程？1.4 是否建立了异常事件报告和处理机制？2、用户访问控制2.1 是否建立了用户账号管理制度？2.2 是否对用户账号进行动态管理，保证账号的及时停用和删除？2.3 是否限制员工的权限，根据需要分配最低权限原则？2.4 是否定期审查并更新员工的权限？2.5 是否建立了密码策略，要求员工使用强密码并定期更换？3、网络安全3.1 是否建立了网络拓扑图，并规划了安全设备的布局？3.2 是否定期检查网络设备的安全配置，更新并修复漏洞？3.3 是否安装了防火墙、入侵检测系统和其他安全设备？3.4 是否及时更新安全设备的固件和签名库，以防止新的攻击？3.5 是否对内外网流量进行监控和分析，发现异常行为及时采取应对措施？4、数据存储与备份4.1 是否进行了数据分类，根据数据敏感性进行存储和备份？4.2 是否定期备份重要数据，并验证备份数据的完整性和可恢复性？4.3 是否建立了灾备和恢复计划，并进行了定期测试和演练？4.4 是否对不再需要的数据进行安全销毁？5、应用系统安全5.1 是否对应用系统进行评估和审计，发现漏洞并及时修复？5.2 是否采用了安全编码和安全配置的最佳实践？5.3 是否建立了应急漏洞修补机制，以防止漏洞被利用？5.4 是否对系统日志进行分析和监控，发现异常行为并采取措施？5.5 是否建立了应用程序安全测试机制，定期对应用程序进行安全测试？6、物理安全6.1 是否建立了严格的物理访问控制制度，控制人员进出？6.2 是否应用视频监控和入侵报警系统，对重要区域进行监控？6.3 是否定期对监控记录进行审查，发现异常行为并采取措施？6.4 是否建立了机房环境安全机制，包括温度、湿度和灾难备份等？7、第三方合作安全7.1 是否制定了与第三方合作伙伴的安全合作准则和安全审查要求？7.2 是否对第三方合作伙伴进行信息安全审查和监管？7.3 是否制定了应急响应机制，以应对第三方合作伙伴的安全事故？7.4 是否对第三方合作伙伴的安全事件进行跟踪和应对？附件：- 信息安全政策和流程文件- 网络拓扑图- 应急漏洞修补机制文件- 灾备和恢复计划文件法律名词及注释：1、《网络安全法》：指中华人民共和国于2016年11月7日通过的法律。

学校网络与信息安全检查表学校网络与信息安全检查表学校背景为了确保学校网络与信息安全的稳定和保障师生信息的私密性，学校定期进行网络与信息安全检查。

本文档旨在提供一个网络与信息安全检查表，以供学校进行定期的自查和评估。

1. 网络基础设施安全- [ ] 学校网络设备是否定期维护和更新？- [ ] 是否在网络设备中设置了防火墙和入侵检测系统？- [ ] 是否对网络设备进行了日志监控和分析？- [ ] 是否设置了访问控制列表来限制网络访问？- [ ] 是否配置了网络设备的备份和紧急恢复机制？2. 用户账户管理- [ ] 是否有有效的账户管理制度？- [ ] 是否限制学生和教师账户的权限？- [ ] 是否对账户密码进行定期更换？- [ ] 是否禁止使用弱密码，并要求设定密码复杂度要求？- [ ] 是否定期审查和清理不活跃或已离职的账户？3. 信息系统访问控制- [ ] 是否对学生和教师的访问进行身份验证？- [ ] 是否采用多因素身份验证方式，提高系统访问的安全性？- [ ] 是否限制对敏感信息的访问权限？- [ ] 是否记录和监控信息系统的访问日志？- [ ] 是否设定了账户锁定功能，以防止暴力？4. 数据备份与恢复- [ ] 是否定期进行数据备份？- [ ] 是否在备份数据中采用加密机制？- [ ] 是否定期进行数据恢复测试？- [ ] 是否将备份数据存储在安全可靠的地方？- [ ] 是否制定了数据恢复的紧急响应计划？5. 和恶意软件防护- [ ] 是否安装了和恶意软件防护软件？- [ ] 是否定期更新和扫描和恶意软件数据库？- [ ] 是否设置了实时监控和自动隔离感染设备的功能？- [ ] 是否对学生和教师进行和恶意软件防护知识培训？- [ ] 是否建立了和恶意软件事件的报告和处置机制？6. 网络使用监控- [ ] 是否对网络使用进行实时监控？- [ ] 是否建立网络使用规范，并对学生和教师进行宣传和培训？- [ ] 是否对违反网络使用规范的行为进行处罚和纠正？- [ ] 是否对学生和教师的网络使用行为进行定期审查和监督？- [ ] 是否设定了异常网络行为报警机制？7. 学生个人信息保护- [ ] 是否建立了学生个人信息保护制度？- [ ] 是否采用了匿名化处理和加密技术来保护学生个人敏感信息？- [ ] 是否对学生个人信息进行访问控制和告知？- [ ] 是否制定了泄露学生个人信息的紧急响应计划？- [ ] 是否对学生个人信息的处理过程进行监督和审查？8. 敏感信息传输和存储- [ ] 是否对敏感信息传输过程进行加密？- [ ] 是否对敏感信息存储进行加密或其他安全措施？- [ ] 是否采用了安全协议和安全传输通道来传输敏感信息？- [ ] 是否限制了敏感信息的传输和存储范围？- [ ] 是否制定了敏感信息传输和存储失误的应急处理措施？9. 安全事件响应和处置- [ ] 是否建立了安全事件响应和处置机制？- [ ] 是否定期进行安全演练和应急响应训练？- [ ] 是否设定了安全事件的分类和处理流程？- [ ] 是否建立了安全事件报告和通知机制？- [ ] 是否与公安机关或其他相关单位建立了安全事件的合作机制？总结本文档提供了一个学校网络与信息安全检查表，用于学校进行网络与信息安全的自查和评估。

附件2
网络与信息安全专项整治行动检查工作自查表
- 1 -
- 2 -
- 4 -
- 6 -
说明：
1.本自评标准的评分项目根据《国家网络安全检查操作指南》设置，共37小项。

其中，第1至34小项设置总分值为100分；第35至36小项为加重扣分项，不设分值；第37小项为否决项。

2.单位对照项目自评，未达到项目要求的扣除相应分值，在得分栏中注明得分分值；累计扣分超过项目分值的，扣分分值不超过项目分值上限。

3.发生第35至36小项严重违规行为和网络安全事件的，直接扣除相应分值；发生第37小项严重网络安全案件的，直接评定为不符合要求。

单位名称：（盖章）
单位负责人：信息部门负责人：
填表日期：
- 8 -。

学校网络与信息安全检查表学校网络与信息安全检查表1.背景说明本检查表旨在对学校网络和信息系统的安全措施进行全面检查，以确保学校的网络和信息系统能够有效地防范各类安全威胁，并保护学校师生的隐私和敏感信息。

2.网络基础设施安全检查2.1 网络设备2.1.1 确认网络设备的合法性及安全性2.1.1.1 网络设备采购记录是否完备，并在采购时是否进行了安全性评估2.1.1.2 确认网络设备的固件是否为最新版本，是否存在已知的安全漏洞2.1.1.3 确认网络设备的管理员账号和密码是否设置为强度足够的组合，并定期更改密码2.1.2 确认网络设备的配置安全性2.1.2.1 确认网络设备的访问控制策略是否规范，是否存在不必要的开放端口2.1.2.2 确认网络设备的防火墙设置是否合理，并能有效阻止非法访问2.1.2.3 确认网络设备的日志记录是否开启，并是否进行了定期的日志审计2.2 网络连接安全检查2.2.1 确认学校内部网络与外部网络之间的连接是否加密2.2.2 确认网络流量监控工具是否部署，是否能够及时检测和阻断网络攻击3.信息系统安全检查3.1 软件安全检查3.1.1 确认操作系统和应用软件是否为最新版本，并且及时进行安全补丁升级3.1.2 确认是否有合法的软件授权证书，并定期进行软件合规性检查3.1.3 确认是否有有效的杀毒软件和防火墙软件，并进行定期的库和软件更新3.2 访问授权与权限管理3.2.1 确认用户访问控制策略是否严格，并且进行了合理的权限分配3.2.2 确认用户账号和密码是否设置为强度足够的组合，并定期更改密码3.2.3 确认是否有定期的账号清理措施，包括离职人员账号的注销等3.3 数据备份与恢复3.3.1 确认是否有合理的数据备份策略，并进行定期的数据备份3.3.2 确认是否能够有效恢复备份数据，并进行定期的恢复测试4.教育和培训4.1 确认是否有针对师生的网络安全教育和培训计划，并进行定期的教育和培训活动4.2 确认是否有定期的网络安全演练，以检验网络安全响应和处置能力附件：________附件1：________网络设备采购记录附件2：________网络设备配置文件备份附件3：________安全补丁升级记录附件4：________用户账号和权限表附件5：________数据备份和恢复记录法律名词及注释：________1.隐私：________个人信息的保护，包括个人身份、健康、通信等各方面的隐私权利。

网络信息安全自检自查表及报告网络信息安全自检自查表及报告一、引言在网络信息时代的背景下，网络安全问题日益凸显，为确保网络系统的安全性及保护用户的隐私，本自检自查表及报告旨在帮助组织进行网络信息安全自检，发现潜在的风险并提供相应的解决方案。

二、自检自查内容2.1 硬件设备安全2.1.1 确保服务器及网络设备的安全性2.1.2 确保硬件设备的完整性和可用性2.1.3 进行设备漏洞扫描和修补2.2 网络架构和拓扑安全2.2.1 审查网络拓扑图和安全策略2.2.2 防火墙和入侵检测系统的设置和管理2.2.3 安全网关和虚拟专用网络的配置2.3 身份认证和访问控制安全2.3.1 强化用户身份验证和访问控制机制2.3.2 管理用户和权限2.3.3 评估访问控制策略和权限配置的合理性2.4 数据加密和隐私保护2.4.1 确保敏感数据的加密传输2.4.2 定期备份和恢复数据2.4.3 确保数据隐私保护的合规性2.5 安全事件监测和应急响应2.5.1 配置和管理安全事件监测系统2.5.2 制定安全事件应急响应计划2.5.3 定期测试应急响应计划的有效性2.6 员工安全意识和培训2.6.1 组织安全培训活动并跟踪培训效果2.6.2 建立安全意识教育体系三、自检自查报告3.1 硬件设备安全自检自查报告3.2 网络架构和拓扑安全自检自查报告3.3 身份认证和访问控制安全自检自查报告3.4 数据加密和隐私保护自检自查报告3.5 安全事件监测和应急响应自检自查报告3.6 员工安全意识和培训自检自查报告附件：1：网络拓扑图2：应急响应计划3：培训材料和记录法律名词及注释：1：信息安全法：指中华人民共和国国家安全法规定的信息安全的法律规范。

2：个人隐私保护法：指中华人民共和国个人信息保护法规定的个人隐私的法律规范。

学校网络与信息安全检查表XXX网络与信息安全检查表一、日常信息安全运维管理情况重点岗位人员安全保密协议：全部签订。

人员离岗离职安全管理规定：已制定。

外部人员机房访问管理制度及权限审批制度：已建立。

资产管理制度：已建立。

机房设备标签：全部标签合格。

设备维修维护和报废管理：已建立管理制度，且维修维护和报废记录完整。

机房管理制度：已建立。

机房日常运维记录：完整详实。

人员进出机房记录：完整详实。

机房物理环境：达标。

二、信息安全网络防护情况互联网接入口总数：_____个；其中：电信接入口数量：_____个；移动接入口数量：_____个；XXX接入口数量：_____个；其他：____________接入口数量：_____个；网络安全防护设备部署：防火墙、防篡改、入侵检测设备、安全审计设备、防病毒网关、抗拒绝服务攻击设备、其他：________________________。

网络访问日志：留存日志周期_____。

安全防护设备策略：根据应用自主配置。

办公区域无线局域网接入设备（无线路由器）数量：个。

网络用途：访问互联网：_____个；访问业务/办公网络：_____个。

安全防护策略：采取身份鉴别措施：_____个；采取地址过滤措施：_____个；未设置：_____个。

入侵检测系统：已部署。

防火墙技术：已部署。

漏洞扫描技术：已部署。

访问权限设置：有。

数据库管理制度：完整并落实。

Root账户权限设置：分级设置。

数据备份周期：定期：周期_____。

网页防篡改措施：采用。

漏洞扫描：定期扫描，周期_____。

信息发布管理：已建立审核制度，且审核记录完整。

已建立审核制度，但审核记录不完整。

网站安全防护方面未建立审核制度，需要进一步完善。

管理员口令复杂度策略分为高、中、低三种，建议采用高强度口令。

邮箱安全防护方面，建议设置有效时间和审批注册账号，使用技术措施控制和管理口令强度，定期删除邮件。

在安全管理方式方面，建议采用集中统一管理，规范软硬件安装，统一补丁升级，统一病毒防护，统一安全审计等措施。