重要信息系统自查表
信息安全自查排查记录表
信息安全自查排查记录表一、基本信息单位名称:联系人:联系电话:电子邮箱:二、自查内容1. 信息系统安全- 是否建立并有效执行信息安全管理制度- 是否定期进行信息安全风险评估- 是否对信息系统进行安全加固- 是否定期备份重要数据2. 网络安全- 是否建立并有效执行网络安全隐患排查制度- 是否对网络设备进行定期安全检查- 是否对网络进行隔离和访问控制- 是否对网络流量进行监控和分析3. 数据安全- 是否对敏感数据进行加密存储和传输- 是否建立并有效执行数据备份和恢复策略- 是否对数据访问权限进行严格控制- 是否定期进行数据安全审计4. 应用安全- 是否对应用系统进行安全审查- 是否对应用系统进行安全加固- 是否定期进行应用系统安全漏洞扫描- 是否对应用系统进行安全测试5. 物理安全- 是否对信息系统设备进行物理隔离- 是否对信息系统设备进行定期检查和维护- 是否对信息系统设备进行安全加固- 是否对信息系统设备进行监控和报警三、自查发现的问题及整改措施请根据自查内容,详细记录发现的问题,并提出针对性的整改措施。
问题描述:整改措施:四、自查总结请对本次信息安全自查工作进行总结,并对下一步信息安全工作提出建议。
总结:建议:五、自查时间本次信息安全自查时间为____年__月__日。
六、签字单位负责人签字:信息安全负责人签字:请各相关单位按照要求认真填写本信息安全自查排查记录表,并对存在的安全隐患进行及时整改。
如在自查过程中遇到问题,请及时与我们联系。
感谢您的支持与配合!。
网络信息安全自检自查表及报告
网络信息安全自检自查表及报告网络信息安全自检自查表及报告1.信息资产清单1.1 硬件设备1.1.1 服务器1.1.2 路由器1.1.3 防火墙1.1.4 交换机1.1.5 存储设备1.1.6 其他设备(如打印机、摄像头等)1.2 软件应用1.2.1 操作系统1.2.2 数据库1.2.3 网络应用软件1.2.4 客户端软件2.网络架构2.1 网段划分2.2 子网掩码配置2.3 网络设备配置2.4 网络拓扑图3.访问控制3.1 用户账号管理3.2 密码策略3.3 账号权限管理3.4 访问控制列表配置3.5 安全组配置4.数据保护4.1 敏感数据分类4.2 数据备份策略4.3 数据恢复测试4.4 数据加密策略4.5 安全删除机制5.系统安全5.1 操作系统更新5.2 安全补丁管理5.3 强化系统安全配置5.4 安全审计配置5.5 系统日志监控6.网络安全6.1 防火墙配置6.2 网络隔离策略6.3 VPN配置6.4 IDS/IPS配置6.5 网络入侵检测与防护7.应用安全7.1 应用安全评估7.2 应用漏洞扫描7.3 安全开发规范7.4 安全代码审计7.5 应用安全测试8.物理环境安全8.1 机房访问控制8.2 机房环境监控8.3 电源与供电备份8.4 硬件设备防盗措施8.5 火灾与水灾预防9.员工安全意识9.1 安全培训计划9.2 安全政策知晓度9.3 安全知识测试9.4 安全事件处理流程9.5 安全风险上报机制10.漏洞管理10.1 漏洞扫描策略10.2 漏洞评估与修复10.3 漏洞跟踪与升级10.4 漏洞演练与应急演练附件:附件一:网络拓扑图附件二:访问控制列表配置文件附件三:数据备份计划法律名词及注释:1.信息资产:指企业拥有并管理的各类信息资源,包括硬件设备、软件应用及相关数据等。
2.子网掩码:用于划分IP地质的网络标识和主机标识部分的边界。
3.访问控制列表(ACL):用于控制数据包的流动与过滤,以实现网络安全防护的一种机制。
网络安全检查自查表
责任部门联系人
姓名 办公电话
职务/职称 移动电话
单位信息系统 总数
单位信息系统 等级测评总数
单位信息系统 安全建设整改总 数
单位信息系统 安全自查总数
第四级系统 数 第二级系统 数 第四级系统 数 第二级系统 数 第四级系统 数 第二级系统 数 第四级系统 数
第二级系统 数
第三级系统 数 未定级系统 数 第三级系统 数 未测评系统 数 第三级系统 数 未整改系统 数 第三级系统 数
6、单位网络安全管理制度的制定和实施情况 (重点包括:单位信息系统建设和网络安全“同步规划、同步建设、同步 运行”措施的落实情况;单位人员管理,信息系统机房管理、设备管理、 介质管理、网络安全建设管理、运维管理、服务外包等管理制度的建设情 况;管理制度的监督保障和运行情况等。) 7、单位重要数据的保护情况 (重点包括:单位数据中心建设情况;单位重要数据存储和安全保护情况; 单位重要数据备份恢复情况,单位重要数据存储和应用是否由社会第三方 提供?提供服务单位的具体情况等) 8、单位网络安全监测和预警情况 (重点包括:单位开展日常网络安全监测情况;单位网络安全监测技术手 段建设情况;单位网络安全预警工作情况等。) 9、单位网络安全应急预案和演练情况 (重点包括:是否制定了单位网络安全预案?单位网络安全预案是否进行 了演练?是否根据演练情况对预案进行了修改完善等情况。) 10、单位网络安全事件(事故)的处置情况 (重点包括:是否明确了单位网络安全事件(事故)发现、报告和处置流 程?年内是否发生重大网络安全事件(事故)?是否与相关部门建立了网 络安全应急处置机制等情况。) 11、单位信息技术产品、服务国产化情况 (重点包括:单位操作系统、服务器、数据库、交换机等核心信息技术产 品的国产化比率情况;单位网络安全设备的国产化比率情况;单位信息技 术产品国产化替换工作计划情况;单位新建信息系统是否采用国产化设备;
重要信息系统和政府网站安全专项检查自查表
安全专项检查自查表
单位名称(加盖单位公章)
自查时间
一、单位基本情况
单位名称
单位地址
省(区、市)地(区、市、州、盟)
县(区、市、旗)
邮政编码
单位所在地
行政区划编码
网络安全工作
分管领导
姓名
职务/职称
网络安全责任部门
责任部门负责人
姓名
职务/职称
办公电话
移动电话
责任部门联系人
姓名
职务/职称
填表人:网络安全分管领导:填表时间:
三、政府网站安全工作情况(每个政府网站填写一份)
网站中文名
IP地址
网址
网站责任单位
网站运行单位
网站责任单位负责人
联系电话
网站运行安全责任人
联系电话
网站服务器存放地址
网站责任单位所在地
行政区划编码
服务器存放地行政区划编码
工信部ICP备案号
国际联网备案号
等级保护定级备案
(包括网站安全技术规划、安全技术方案、安全技术实施、安全措施评估、安全运维等情况,如网站防攻击、防篡改、防窃密等安全技术落实情况)
6.政府网站应急处置落实情况
(包括网站安全日常监测预警机制的建立和落实情况,应急预案的制定、应急保障技术支撑队伍的组织、定期应急演练等情况)
备注:此表不含文字的空表模版可在首页下载。行政区划编码可在国家统计局网站”统计标准”栏目中查询,以2012年10月31日版为准。
□二级□三级□四级□未定级
等级测评
□已开展□未开展
网站服务栏目
□新闻发布□政策宣传□事项办理□论坛□即时通信
□电子邮件□留言版□政务公开□其他
信息安全自查表
有口无口
3-2定第一级信息系统(定一级系统数量:个)
有口无口
3-3信息系统所承载的业务、服务范围、安全需求等是
否发生变化
有口无口
3-4信息系统安全保护等级是否变更(变更系统数量:
个)
有口无口
3-5新建信息系统在规划、设计阶段确定安全保护等
级并备案(新建信息系统数量:个,其中定级
每年进行一次自查,第四级信息系统是否每半年进
行一次自查
有口无口
7-2经自查,信息系统安全状况未达到安全保护等级要
求的,运营、使用单位是否进一步进行建设整改
有口无口
四、工作建议
填表人:
联系电话:
个,未定级个)
有口无口
4.信息安全设施建设情况和信息安全整改情况
4-1部署和组织开展信息安全建设整改工作
有
□
无
□
4-2制定本行业(部门)信息安全等级保护实施方案
有
□
无
□
4-3信息安全等级保护实施方案报同级公安机关备案
有
□
无
□
4-4制定信息安全建设规划、信息系统安全整改方案
有
□
无
□
4-5按照国家标准或行业标准建设安全设施,落实安
全措施
有
□
无
□
4-6部署和组织开展信息安全建设整改工作
有
□
无
□
4-7制定本行业(部门)信息安全等级保护实施方案
有
口
无
口
5.信息安全产品选择和使用情况
5-1按照《信息安全等级保护管理办法》要求的条件
选择使用信息安全产品
有口无口
网络与信息安全自查表定稿版
网络与信息安全自查表定稿版一、物理环境安全1、机房环境机房是否具备防火、防水、防潮、防雷、防静电等设施?机房的温度和湿度是否在设备正常运行的范围内?机房是否有监控系统,能够实时监测环境状况?2、设备存放服务器、网络设备等重要设备是否放置在安全的机柜中,并进行了固定?存储介质(如硬盘、磁带等)是否妥善保管,防止丢失或被盗?二、网络安全1、网络架构网络拓扑结构是否清晰合理,便于管理和维护?是否划分了不同的网络区域(如内网、外网、DMZ 区等),并进行了有效的访问控制?2、网络设备路由器、防火墙、交换机等网络设备的配置是否安全合理?是否定期对网络设备进行固件升级和漏洞修复?3、网络访问控制是否实施了访问控制策略,限制外部网络对内部网络的访问?内部用户的网络访问权限是否根据其工作需求进行了合理的分配?4、无线网络安全无线网络是否启用了加密措施(如 WPA2 等)?是否对无线网络的接入进行了身份验证和授权?三、系统安全1、操作系统服务器和客户端操作系统是否及时安装了安全补丁?是否关闭了不必要的服务和端口?2、应用系统业务应用系统是否存在已知的安全漏洞?应用系统的用户认证和授权机制是否健全?3、数据库系统数据库是否进行了定期备份,并存储在安全的位置?数据库的访问权限是否进行了严格的控制?四、数据安全1、数据备份重要数据是否定期进行备份,备份数据的存储介质是否安全可靠?是否制定了数据恢复预案,并定期进行演练?2、数据加密敏感数据在传输和存储过程中是否进行了加密处理?加密算法是否足够安全,密钥管理是否规范?3、数据销毁不再使用的敏感数据是否进行了彻底的销毁,防止数据泄露?五、用户安全1、用户认证用户的账号和密码是否符合复杂度要求?是否启用了多因素认证(如短信验证码、指纹识别等)?2、用户权限管理用户的权限是否定期进行审查和调整,确保权限与职责相符?是否存在离职员工的账号未及时删除或禁用的情况?3、用户培训是否对员工进行了网络与信息安全培训,提高员工的安全意识?员工是否了解如何正确处理敏感信息和避免常见的安全风险?六、安全管理制度1、安全策略是否制定了完善的网络与信息安全策略,并得到了有效执行?安全策略是否根据业务的变化和安全形势的发展进行及时的更新?2、安全组织是否设立了专门的网络与信息安全管理岗位,明确其职责?是否成立了应急响应小组,能够在发生安全事件时迅速采取行动?3、安全审计是否对网络与信息系统的活动进行了审计,记录用户的操作和系统的运行情况?审计日志是否定期进行分析和审查,及时发现异常行为?4、安全应急预案是否制定了详细的安全应急预案,包括应急响应流程、联络方式等?应急预案是否定期进行演练,确保在紧急情况下能够有效执行?通过以上这份网络与信息安全自查表,您可以对自身的网络与信息安全状况进行全面的检查和评估。
重要信息系统安全执法检查自查表
重要信息系统安全执法检查自查表一、信息系统运营使用单位基本情况单位名称单位地址网络安全分管领导姓名职务 /职称网络安全责任部门姓名职务 /职称责任部门负责人办公电话移动电话姓名职务 /职称责任部门联系人办公电话移动电话第四级系统数第三级系统数单位信息系统总数第二级系统数未定级系统数第四级系统数第三级系统数单位信息系统等级测评总数第二级系统数未测评系统数第四级系统数第三级系统数单位信息系统安全建设整改总数第二级系统数未整改系统数第四级系统数第三级系统数单位信息系统安全自查总数第二级系统数未自查系统数二、信息系统运营使用单位网络安全工作情况1、单位网络安全等级保护工作的组织领导情况(重点包括:单位网络安全领导机构或网络安全等级保护工作领导机构成立情况;单位网络安全或网络安全等级保护工作的职责部门和具体职能情况;单位网络安全等级保护工作部署情况等。
)2、单位对网络安全等级保护工作的保障情况(重点包括:单位网络安全等级保护工作年度考核情况;单位组织开展网络安全自查情况;单位网络安全工作经费是否纳入年度预算 ?单位网络安全工作的经费约占单位信息化建设经费的百分比情况等。
)3、单位网络安全责任追究制度执行情况(重点包括:是否建立了单位网络安全责任追究制度?是否依据责任追究制度对单位发生的网络安全事件(事故)进行追责等情况。
)4、单位信息系统定级备案工作情况(重点包括:单位信息系统是否全部定级备案?单位系统调整是否及时进行备案变更?单位新建信息系统是否落实定级备案等工作。
)5、单位信息系统安全测评和安全建设整改工作情况(重点包括:单位信息系统安全检测和整改经费落实情况;单位信息系统恶意代码扫描、渗透性测试、等级测评和风险评估的安全检测情况;信息系统安全建设整改方案制定和实施情况;单位网络安全保护状况的了解掌握等情况。
)6、单位网络安全管理制度的制定和实施情况(重点包括:单位信息系统建设和网络安全“同步规划、同步建设、同步运行”措施的落实情况;单位人员管理,信息系统机房管理、设备管理、介质管理、网络安全建设管理、运维管理、服务外包等管理制度的建设情况;管理制度的监督保障和运行情况等。
网络信息安全自检自查表及报告
附件1:网络信息安全自检自查表单位名称(公章):注:以上仅是针对青少年信息网做的统计,不包括团市委其它网站(如:哈尔滨少先队,志愿者信息网等)和团市委使用的办公系统或应用软件,打印时请删除本条红字注:对业务和社会公众的影响请自行修改,打印时删除本条。
表5 系统主要软件检查记录表表6 信息技术外包服务情况检查记录表注:服务内容(类型)主要有:系统集成、软件开发、系统运维、风险评估、安全检测、安全加固、应急支持、数据存储、规划咨询、系统托管、灾难备份等。
表9 信息安全经费投入情况表表10 技术防护情况检查记录表表14 信息系统密码产品使用记录表(每个系统分别填写)表15 系统网站安全自检自查记录表(每个系统分别填写)填表说明:1.表间逻辑关系及填写要求:表1为表2至表15的汇总报告表。
其中表10、表14、表15按信息系统分别填写,其余表格按单位填写。
2.应如实填写,填写内容不实引发的后果由填表人承担,须盖单位公章后有效。
3.表中各选项前为“○”标记表示为单选项,“□”标记为可多选项。
凡有“其它”项的,在后面注明具体内容。
4.表中所指国产字处理软件、国产信息安全产品,按国家相关规定认定如下:国产信息安全产品应具有国内品牌,最终产品在中国境内生产,拥有核心模块的自主知识产权和源程序,通过国家认定的信息安全产品检测实验室的检测,并符合法律法规和政策规定的其它条件。
5.参与检查的机构指委托的专业机构,如有多个机构同时参与检查时,每个机构均应填写一个表格。
6.如表格预留空间不足,可自行复印或附页填写。
附件2:网络信息安全自检自查报告单位名称2013年4月一、信息安全自检自查工作组织开展情况概述此次安全检查工作组织开展情况、所检查的重要网络与信息系统基本情况。
二、检查结果对照通知中要求的8个方面检查内容,逐项、详细描述检查结果。
三、主要问题和威胁分析1.发现的主要问题和薄弱环节2.面临的安全威胁与风险3.整体安全状况的基本判断四、改进措施与整改效果1.改进措施2.整改效果五、加强网络信息安全工作的意见和建议注:红字部分为我填写的内容,其中有些是我的建议,打印时请删除。
信息系统安全等级保护自查项目表
信息系统详细名称
备注
未定级、立案系统数量总计:
未立案单位
单位全称
信息化(安全)部门负责人
姓名
职务
办公
移动
信息化(安全)部门联络人
姓名
职务
办公
移动
信息系统记录
序号
信息系统详细名称
备注
二、等级保护工作开展状况
(一)等级保护工作旳组织布署和实行状况
序号
自查内容自查情况1来自1等级保护工作组织机构设置、贯彻信息安全责任制状况。
1-2
等级保护工作责任部门和岗位人员确定状况。
1-3
等级保护工作旳文献,有关工作意见或方案旳制定状况。
1-4
根据国家、省、市等级保护政策法规、原则规范和行业主管部门等规定,组织开展各项工作状况。
1-5
等级保护工作会议、业务技能培训状况。
1-6
单位重要领导对等级保护工作指示、指示状况。
(二)信息系统安全等级保护定级立案状况
3-5
新建、续建信息系统与否按立案等级旳保护规定同步进行安全建设,并经等级测评符合规定后竣工验收,投入运行。
(四)信息安全产品使用、信息安全事件等状况。
4-1
与否按照国家《信息安全等级保护管理措施》规定旳条件选择使用信息安全产品;采用国外信息安全产品旳,与否经主管部门同意,并请有关单位对产品进行专门技术检测。
3-1
与否对本单位信息系统等级测评和安全建设整改工作进行总体布署,详细工作计划是什么?
3-2
信息系统等级测评和安全建设整改工作与否纳入年度经费预算,怎样予以保障?
3-3
与否与测评机构签订保密协议并对测评过程进行监督。
3-4
与否根据保护等级,按照对应国标或行业原则建设安全设施,贯彻安全措施;与否根据等级测评成果汇报,对不符合原则规定旳编制整改方案,并详细实行安全整改。
《信息安全自查情况记录表》
《信息安全自查情况记录表》信息安全自查情况记录表
1. 背景
为了确保信息系统的安全性和保护信息资源,本记录表用于记录信息安全自查情况。
2. 自查内容
自查内容包括但不限于以下方面:
- 网络安全
- 系统安全
- 数据安全
- 应用安全
- 设备安全
- 人员安全
- 物理安全
3. 自查步骤
自查步骤应包括以下环节:
1. 制定自查计划
2. 收集相关信息和资料
3. 进行系统漏洞扫描和安全测试
4. 分析自查结果及问题
5. 提出整改措施和改进建议
6. 实施整改并跟踪整改情况
7. 再次进行自查确认安全措施是否生效
5. 注意事项
- 自查人员应具备专业的信息安全知识和技能。
- 自查过程中应严格遵守相关法律法规和公司信息安全政策。
- 自查结果应及时详实地记录,问题应明确并提出改进建议和整改措施。
如有需要,请参考上述表格进行信息安全自查情况的记录。
如有疑问或需要进一步协助,请及时与我们联系。
重要信息系统和重点网站安全执法检查自查表
□是
□否
信息系统是否到属地公安机关定级备案? □是 □否
4
定级备案、等 级测评、风险
信息系统是否每年聘请符合国家资质要求 的测评单位对信息系统进行测评?
□是
□否
评估及建设整
改情况
信息系统是否依据测评结果制定整改方 案?
□是
□否
信息系统是否开展了风险评估?
□是 □否
信息系统是否完成安全建设整改?
□是 □否
2、单位对信息安全等级保护工作的重视情况
(重点包括:单位信息安全等级保护工作年度考核情况;单位组织开展网络安全自查 情况;单位网络安全工作经费是否纳入年度预算?单位网络安全工作的经费约占单位 信息化建设经费的百分比情况等。)
3、单位网络安全责任追究制度执行情况
(重点包括:是否建立了单位网络安全责任追究制度?是否依据责任追究制度对单位 发生的网络安全事件(事故)进行追责等情况。)
系统互联情况
□与其他行业系统连接□与本行业其他单位系统连接 □与本单位其他系统连接□其它_____
系统经费投入情况 系统建设投入 _____万元;系统安全建设投入 _____万元
何时投入运行使用
______年___月 ___日
二、重要信息系统安全保护情况
是否指定专人负责资产管理,并明确责任人 职责?
单位信息系统 总数 单位信息系统 等级测评总数
姓名 办公电话 姓名 办公电话
第四级系统数 第二级系统数 第四级系统数 第二级系统数
职务/职称
职务/职称 移动电话 职务/职称 移动电话
第三级系统数 未定级系统数 第三级系统数 未定级系统数
单位信息系统 安全建设整改总数
第四级系统数 第二级系统数
填报重要信息系统和网站安全专项检查自查表填完
4、行业网络安全与信息通报工作情况
2、单位对网络安全等级保护工作的保障情况 (重点包括:单位网络安全等级保护工作年度考核情况;单位组织开展网络安全自查情况; 单位网络安全工作经费是否纳入年度预算?单位网络安全工作的经费约占单位信息化建设经 费的百分比情况等。)
3、单位网络安全责任追究制度执行情况 (重点包括:是否建立了单位网络安全责任追究制度?是否依据责任追究制度对单位发生的 网络安全事件(事故)进行追责等情况。)
第三级系统数 未测评系统数
单位信息系统 安全建设整改总数
第四级系统数 第二级系统数
第三级系统数 未整改系统数
单位信息系统 安全自查总数
第四级系统数 第二级系统数
第三级系统数 未自查系统数
二、信息系统运营使用单位网络安全工作情况 1/1
填报重要信息系统和网站安全专项检查自查表填完
1、单位网络安全等级保护工作的组织领导情况 (重点包括:单位网络安全领导机构或网络安全等级保护工作领导机构成立情况;单位网络 安全或网络安全等级保护工作的职责部门和具体职能情况;单位网络安全等级保护工作部署 情况等。)
1/1
填报重要信息系统和网站安全专项检查自查表填完
4、单位信息系统定级备案工作情况 (重点包括:单位信息系统是否全部定级备案?单位系统调整是否及时进行备案变更?单位 新建信息系统是否落实定级备案等工作。)
5、单位信息系统安全测评和安全建设整改工作情况 (重点包括:单位信息系统安全检测和整改经费落实情况;单位信息系统恶意代码扫描、渗 透性测试、等级测评和风险评估的安全检测情况;信息系统安全建设整改方案制定和实施情 况;单位网络安全保护状况的了解掌握等情况。)
信息系统安全防范措施自查情况报告表
信息系统安全防范措施自查情况报告表信息系统安全自查情况报告表(得分:分)一、单位基本情况(小计5分,得分)单位名称分管信息安全工作的领导(2分)姓名:职务:信息安全责任处(科)室(1.5分)名称:负责人:职务:电话:信息安全员(1.5分)姓名:职务:电话:二、信息系统基本情况(小计13分,得分)信息系统基本情况(3分)①信息系统总数: 1 个②面向社会公众提供服务的信息系统数: 1 个③委托社会第三方进行日常运维管理的信息系统数:个,其中签订运维外包服务合同的信息系统数:个互联网接入情况(此项为统计项,不计分1)互联网接入口总数: 2 个其中:□联通接入口数量: 1 个接入带宽: 100 兆□电信接入口数量: 2 个接入带宽: 100 兆□其他:接入口数量:个接入带宽:兆系统定级情况(2分)第一级:个第二级: 1 个第三级:个第四级:个第五级:个未定级:个系统安全测评情况(8分)最近2年开展安全测评(含风险评估、等级测评)系统数: 0 个三、日常信息安全管理情况(小计8分,得分)1本报告表未列明分值的选项均为统计调查项,不设分值,不计入总分。
人员管理(5分)①岗位信息安全和保密责任制度:□已建立□未建立②重要岗位人员信息安全和保密协议:□全部签订□部分签订□均未签订③人员离岗离职安全管理规定:□已制定□未制定④外部人员访问机房等重要区域管理制度:□已建立□未建立资产管理(3分)①信息安全设备运维管理:□已明确专人负责□未明确□定期进行配置检查、日志审计等□未进行②设备维修维护和报废销毁管理:□已建立管理制度,且维修维护和报废销毁记录完整□已建立管理制度,但维修维护和报废销毁记录不完整□尚未建立管理制度四、信息安全防护管理情况(小计37分,得分)网络边界防护管理(6分)①网络区域划分是否合理:□合理□不合理②安全防护设备策略:□使用默认配置□根据应用自主配置③互联网访问控制:□有访问控制措施□无访问控制措施④互联网访问日志:□留存日志□未留存日志信息系统安全管理(6分)①服务器安全防护:□已关闭不必要的应用、服务、端口□未关闭□帐户口令满足8位,包含数字、字母或符号□不满足□定期更新帐户口令□未能定期更新□定期进行漏洞扫描、病毒木马检测□未进行②网络设备防护:□安全策略配置有效□无效□帐户口令满足8位,包含数字、字母或符号□不满足□定期更新帐户口令□未能定期更新□定期进行漏洞扫描、病毒木马检测□未进行③信息安全设备部署及使用:□已部署有防病毒、防火墙、入侵检测、安全审计等功能的设备□未部署□安全策略配置有效□无效门户网站应用管理(15分)门户网站管理(3分)网站域名:_______________ IP地址:_____________ 是否申请中文域名:□是_______________ □否①网站是否备案:□是□否②门户网站账户安全管理:□已清理无关帐户□未清理□无空口令、弱口令和默认口令□有③清理网站临时文件、关闭网站目录遍历功能等情况:口已清理口未清理④门户网站信息发布管理:□已建立审核制度,且审核记录完整□已建立审核制度,但审核记录不完整□尚未建立审核制度其他应用管理(4分)①电子邮件功能(□开设□未开设)□已作清理,仅限本部门或有关人员使用□未作清理□有技术措施用于控制和管理口令强度□无技术措施□无空口令、弱口令和默认口令□有②留言板功能(□开设□未开设)□留言内容经审核后发布□未经审核即可发布③论坛功能(□开设□未开设)□已备案2□未备案□论坛内容经审核后发布□未经审核即可发布④博客功能(□开设□未开设)□已作清理,仅限本部门或有关人员使用□未作清理□博客内容经审核后发布□未经审核即可发布2根据《互联网电子公告服务管理规定》,拟开展电子论坛等电子公告服务的,应当向所在地电信管理机构进行专项备案。
网络信息安全自检自查表及报告
网络信息安全自检自查表及报告一、前言在当今数字化时代,网络信息安全已成为企业和个人面临的重要挑战。
为了确保网络系统的稳定运行,保护敏感信息不被泄露,我们有必要定期进行网络信息安全的自检自查。
本报告将详细介绍网络信息安全自检自查的相关内容和结果。
二、网络信息安全自检自查表(一)物理安全1、机房环境是否符合温度、湿度、防尘等要求。
2、服务器、网络设备等硬件是否有良好的防护措施,如机柜锁、防盗报警等。
(二)网络安全1、网络拓扑结构是否合理,是否存在单点故障。
2、防火墙、入侵检测系统等安全设备是否正常运行,规则配置是否合理。
3、网络访问控制策略是否严格,是否存在不必要的开放端口和服务。
(三)系统安全1、操作系统是否及时更新补丁,是否存在已知的安全漏洞。
2、应用系统是否进行了安全配置,如用户权限管理、密码策略等。
(四)数据安全1、重要数据是否定期备份,备份数据是否可恢复。
2、数据存储是否采取了加密措施,数据传输是否安全。
(五)用户安全1、用户账号管理是否规范,是否存在弱密码、长期未修改密码等情况。
2、员工是否接受过网络信息安全培训,是否具备基本的安全意识。
(六)应急响应1、是否制定了网络信息安全应急预案,是否定期进行演练。
2、在发生安全事件时,是否能够及时发现、报告和处理。
三、自检自查结果(一)物理安全方面1、机房温度、湿度基本符合要求,但防尘措施有待加强,部分机柜存在积尘现象。
2、硬件防护措施基本到位,但机柜锁存在老化损坏情况,需要及时更换。
(二)网络安全方面1、网络拓扑结构较为合理,但部分网络设备存在单点故障风险。
2、防火墙和入侵检测系统运行正常,但部分规则配置需要进一步优化,以提高安全性。
3、网络访问控制策略存在一定漏洞,发现了一些不必要的开放端口和服务,需要立即关闭。
(三)系统安全方面1、部分操作系统未能及时更新补丁,存在一定的安全隐患。
2、应用系统的安全配置需要进一步完善,用户权限管理存在一些混乱情况。
信息安全自查统计表
附件2
平昌县2013年重点领域信息安全自查工作统计表
1本表所称国产,是指具有国内品牌,最终产品在中国境内生产,并符合法律法规和政策规定的其他条件。
2本表所称恶意代码,是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。
3本表所称高风险漏洞,是指计算机硬件、软件或信息系统中存在的严重安全缺陷,利用这些缺陷可完全控制或部分控制计算机及信息系统,对计算机及信息系统实施攻击、破坏、信息窃取等行为。
4本表所称服务内容,主要包括系统集成、系统运维、风险评估、安全检测、安全加固、应急支持、数据存储、灾难备份等。
民航系统信息安全自查统计表
按灾备情况进行统计
仅对数据进行灾备的系统数量 无灾备的系统数量 设备类型 服务器 路由器 交换机 防火墙 国内品牌数量 (台/套) 0 0 2 0 0 0 0 0
20 2 国外品牌数量 (台/套) 37 4 85 5 1 1 37 9
主要软硬件 系统 构成 情况 其他
磁盘阵列 磁带库 操作系统 数据库
重庆博恩科技有限公 数据库维保、机务系统维护 司 重庆罡立科技有限责 网络设备维保 任公司 信息 技术 外包 服务 重庆通信产业服务有 限公司信息技术分公 交换机维保 司 南京智恒科技有限公 服务器维保 司重庆分公司
重庆时代电子信息系 服务器维保、UPS维保、内部治安网络监控系 民营 统工程有限责任公司 统集成、防火墙维保 重庆莹软计算机技术 综合监控系统维保 开发有限责任公司 重庆松发科技有限公 防病毒维保升级 司 (如有更多,请插入行填写) 信息系统名称
√ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √
安全 状况 分析 结果
国航起降费系统重庆子系统 重庆分公司营业部业务支持 系统 重庆分公司耗材管理系统 重庆分公司内部网站 国航e-learnring系统重庆子 系统 重庆分公司ISO9001管理系统 重庆分公司旅客投诉管理系 统 重庆分公司旧OA办公自动 化系统 国航IT资产管理系统 国航IT监控系统重庆子系统 国航投资管理系统 重庆分公司邮件系统子系统 重庆分公司飞行安全监控预 警管理系统 网上通用考试平台系统 重庆分公司集中存储系统
国航FMS排班管理系统重庆飞 行子系统 重庆分公司例行工作单管理 系统 重庆分公司3MIS机务航材系 统
民营 民营
信息系统对国外产品 和服务的依赖程度 高 中 低 √ √ √
主要业务对信息系统 信息系统面临的安全 信息系统安全防护 的依赖程度 威胁程度 能力 高 中 低 √ √ √ 高 中 低 √ √ √ 高 √ √ √ 中 低
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
□全省(区、市) □ 跨地(市、区)跨 □地(市、区)内 □其他
7
日 志 及 安 是否对信息系统操作行为、 设备运行状态有完善的 □是□否 全 审 计 管 日志记录? 理 是否对信息系统操作行为、 设备运行状态有安全审 □是□否 计措施?
8
恶 意 代 码 是否定期进行系统恶意代码扫描、查杀? 防范管理 是否定期进行信息系统防病毒软件进行更新?
□是□否 □是□否 □是□否 □是□否 □是□否 □是□否 □是□否 □是□否 □是□否 □是□否 □是□否
是否完整记录设备维修维护和报废信息(时间、地 □是□否 点、内容、责任人等)? 2 安 全 经 费 是否将信息安全设施运维、日常管理、教育培训、 □是□否 年度预算 等级测评和安全建设整改等费用纳入年度预算? 是否能够保障网络安全所需的费用? 年度网络安全经费情况 年度网络安全经费执行情况 3 网 络 安 全 是否制定了网络安全规划? □是□否 万元 执行比率: □是□否
信息系统是否开展了风险评估? 信息系统是否完成安全建设整改? 5 网 络 安 全 是否制定了完善的网络安全管理制度? 管 理 制 度 是否有网络安全管理操作规程? 制定情况 6 是否监督管理制度的贯彻落实?
□是□否 □是□否 □是□否 □是□否 □是□否 □是□否 □是□否
网 络 边 界 信息系统是否有明确的安全域划分? 管理 是否对系统边界有严格的安全策略控制?
服务对象
□单位内部人员 □社会公众人员 □其他
□两者均包括
系统数据
数据存储方式 年数据存储量级
□本地存储 □异地存储 □云存储 □其他 □1TGB □1TGB □1TGB □1TGB □其他 □局域网 □城域网 □广域网 □其他 □业务专网 □互联网 □其他
系 统 网 格 覆盖范围 平台 网络性质
系统互联情况
□是□否 □是□否 □是□否 □是□否 单位名称:
20
信 息 系 统 信息系统和重要数据是否由本单位自行维护? 和 重 要 数 信息系统和重要数据的服务托管单位?
据 的 运 维 是否要求并落实了托管单位的数据安全保护责任? □是□否 情况
12
数 据 安 全 是否对系统重要数据采取加密措施?
保护
是否对系统重要数据采取校验措施保障数据的完 □是□否 整性? 是否对系统重要数据的应用、流转等情况进行管 □是□否 理?
13
安 全 事 件 是否制定信息系统网络安全事件 (事故)处置操作 □是□否 处 置 、 报 手册? 告、追责情 是否要求信息系统发生网络安全事件 (事故)第一 □是□否 况 时间向公安机关报告? 是否制定安全事件责任制度? □是□否 □是□否 □是□否 □是□否 □是□否 □是□否 □是□否 □社会公众 □本单位 □其他
% % %
17
安 全 产 品 使用国外信息安全产品的比率 使用情况
%
18
国 产 化 替 是否制定核心网络设备、操作系统、数据库、服务 □是□否 换 工 程 计 器等软硬件产品的国产化替代工程计划? 划 和 进 展 是否落实相关国产化替代工程经费? 情况 □是□否
19
运 维 服 务 是否委托社会第三方提供日常运维管理服务? 检查 是否与受托单位签订了保密协议? 受托单位是否有国外安全服务机构?
□与其他行业系统连接 □与本行业其他单位系统连接 □与本单位其他系统连接 □其它
系统经费投入情况 何时投入运行使用
系统建设投入 年
万元;系统安全建设投入 月 日
ห้องสมุดไป่ตู้万元
二、重要信息系统安全保护情况 1 设 备 和 资 是否指定专人负责资产管理,并明确责任人指责? □是□否
产 管 理 情 是否建立完整资产台帐,统一编号、统一标识、统 □是□否 况 一发放? 资产台帐与实际设备是否相一致? □是□否
14
应 急 队 伍 是否建立了应急联络方式? 建设检查 是否建立了应急技术支援队伍? 是否与相关单位建立了应急协调机制?
15
应 急 预 案 是否已制定了网络安全应急预案? 和演练 本年度是否已开展了应急演练? 系统本年度是否出现过异常中断? 系统异常中断造成的影响范围?
16
操作系统、 使用国外操作系统的比率 服务器、数 使用国外服务器的比率 据 库 国 产 使用国外数据库的比率 化情况
规划、 保护 网络安全规划是否遵循国家、行业相关安全标准? □是□否 策 略 制 定 是否制定了网络安全保护策略? 情况 4 定级备案、 信息系统是否已按照信息安全等级保护要求进行 □是□否 等级测评、 定级? 风 险 评 估 信息系统是否到属地公安机关定级备案? □是□否 □是□否
及 建 设 整 信息系统是否每年聘请符合国家资质要求的测评 □是□否 改情况 单位对信息系统进行测评? 信息系统是否依据测评结果制定整改方案? □是□否
9
安 全 漏 洞 是否对系统安全漏洞定期检查、分析? 管理 是否对系统发现的安全漏洞进行加固整改? 是否对系统终端安全进行统一管理?
10 11
终端管理
数 据 的 备 是否具有本地数据备份与恢复策略? 份与恢复 系统备份数据是否场外存放? 核心网络设备、关键主机是否具有冗余备份? 是否具有冗余链路备份? 重要应用是否有备份恢复措施?