信息安全等级保护工作检查表
网络信息安全检查表
网络与信息安全检查项目表类别检查项目检查内容检查要求明确信息安全主管领导、责任人、信息安全管理员,制定岗位职责文件和组织管理与规章制度网络与信息安全管理组织日常管理工作规章制度情况信息安全责任制落实情况信息安全培训情况信息安全管理策略情况信息安全测评、系统安全定级、信息安全检查和风险评估工作网络与信息安全政策落实情况信息安全管理职责、信息安全情况报告制度、资产安全管理制度、系统运行安全管理制度、安全应急响应及事故管理制度等操作规程等(要提供相应文档)信息安全责任人、管理员定期参加有关单位的信息安全培训。
对本单位全体人员进行了信息安全培训(提供培训计划、培训内容、培训成绩、人员)制定了详细的信息安全管理策略,并有专人负责,定期进行检查(要提供检查纪录)有工作开展的相关文档、记录、总结国家有关网络与信息安全文件(计算机信息网络国际联网安全保护管理办法等)的落实情况制定了严格的规章制度,并认真落实(提供所有制度文档)。
保密承诺书重要岗位、涉密岗位人员保密承诺书是否签订,是否及时更新,新入岗、离岗人员均要签订保密承诺。
网络运行及关键安全设备情况网络基本情况网络使用情况网络设计使用符合相关规定要求。
网络与信息系统集成、设计与监理情况集成商、设计单位、监理单位必须具备相关资质(要有资质证书复印件)网络与信息安全产品防火墙、入侵检测、安全审计、漏洞扫描、违规外联监控、网页防篡改、网络安全隔离网闸、病毒防范等安全产品以及密码设备必须采用通过国家保密局涉密信息系统安全保密测评机构、国家及省级信息安全测评机构测评的测评资质证书,公安部销售许可证;密码产品及研发、生产、销售企业必须具有国家密码管理局的许可资质(各类资质要有资质证书复印件)(续)类别检查项目检查内容检查要求数据备份情况本地备份情况制定了备份策略并定期进行备份(提供备份记录、查看存储设备)网络与信息安全应急管理情况信息安全应急处置机房环境安全网络与信息安全应急处置预案信息安全事件处置检查机房是否在防火、防静电、温湿度、防水防潮、防雷、防电磁泄漏、防电力故障等方面达到相应标准涉密计算机网络管理制定详细的应急处置预案,并进行演练(提供预案文档和演练记录或总结)。
信息安全等级保护工作自查表(精)
4-2是否建立防范计算机病毒、网络入侵和攻击破坏等技术措施
□是 □否
4-3是否建立系统运行和用户日志记录保存在60日以上措施
□是 □否
4-4使用内部IP地址,通过网络地址转换技术上网的用户,上网日志应包括上下网时间,用户名,网卡地址、内外地址的对应关系等
□是 □否
五、信息安全产品选择和使用情况
信息安全等级保护工作自查表
01单位名称
02单位地址
省(自治区、直辖市)地(区、市、州、盟)
县(区、市、旗)
03邮政编码
04单位
负责人
姓名
职务/职称
办公电话
电子邮件
05责任部门
06责任部门
联系人
姓 名
职务/职称
办公电话
电子邮件
移动电话
07隶属关系
1中央2省(自治区、直辖市)3地(区、市、州、盟)
4县(区、市、旗)9其他
7-1是否组织本单位的安全管理人员进行培训
□是 □否
7-2安全管理人员是否经过公安机关培训(不少于2人)
□是 □否
八、其它应当检查的情况
情况说明
(单位印章)
年月日
单位主管人员(签名)
5-1选择使用的信息安全产品是否经过公安部许可,省公安厅备案
□是 □否
六、定期自查情况
6-1是否定期对信息系统安全状况、安全保护制度及安全技术措施的落实情况进行自查。
□是 □否
6-2经自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位是否进一步进行安全建设整改
□是 □否
七、信息安全知识和技能培训情况
三、信息安全管理制度建立和落实情况
3-1是否建立基本安全管理制度,包括机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、备份与恢复、密码管理等制度
信息安全检查表1
□本年度是否组织开展信息安全教育培训,次数:
参训人员比例
本年度参加信息安全教育培训的人员占总人数比例为:
七、信息安全检查情况
信息安全检查工作情况
检查工作和经费落实情况: □已落实 □未落实
检查工作方案制定情况: □已制定 □未制定
安全保密和风险控制措施: □已采取 □未采取
组织开展技术检测情况: □已开展 □未开展
□博客内容经审核后发布 □未经审核即可发布
终端计算机
安全管理
①终端计算机安全管理方式:
□使用统一平台对终端计算机进行集中管理 □用户分散管理
②帐户口令管理:
□无:空口令、弱口令和默认口令 □有
③接入互联网安全控制措施:
□有控制措施(如实名接入、绑定计算机IP和MAC地址等)
□无控制措施
④漏洞扫描、木马检测: □定期进行 □未进行
其中感染恶意代码的终端计算机台数:
漏洞检测结果
①进行过漏洞扫描的服务器台数:_______ ,其中存在漏洞的服务器台数:______ ,存在高风险漏洞的服务器台数:_______
②进行过漏洞扫描的终端计算机台数:______ ,其中存在漏洞的终端计算机台数:____ ,存在高风险漏洞的终端计算机台数:
安装Linux操作系统的计算机台数:
安装其他操作系统的计算机台数:
数据库
总套数:,其中国产套数:
信息安全设备
①安装国产防病毒产品的终端计算机台数:
②防火墙(不含终端软件防火墙)台数:
其中国产防火墙的台数:
六、信息安全教育培训情况
参加培训情况
□本年度是否派员参加信息安全相关业务培训,人次数:,培训部门名称
□已部署有防病毒、防火墙、入侵检测、安全审计等功能的设备 □未部署
信息安全检查表
如果开展了安全措施评估,评估结果是什么
○有效○基本有效○不足
本年度是否开展了网站安全风险评估或等级测评
○自评估委托专业评估○没有开展
是否进行了下列安全检查
○SQL注入攻击隐患○跨站脚本攻击隐患
○弱口令○操作系统补丁安装情况
○网站服务系统及其他应用系统补丁安装情况○防病毒软件升级情况○网站是否已被“挂马”
○是○否
是否对自管的域名解析系统采取了安全防护措施
○是○否○无自管域名解析系统
是否与托管方签订了安全协议
○是○否○未采取托管
是否制定了奥运会期间网站安全突发事件应急预案
○是○否
是否根据应急预案组织过应急演练
○是○否
是否采取了备份措施
○备机○备件○网站数据备份○其他措施
是否明确了技术支援队伍
○是○否
是否有24小时值班制度
○是○否
是否关闭或删除了不必要的服务
○是○否
是否关闭或删除了不必要的端口
○是○否
系统管理和数据库管理口令更换周期是多少
○每周或更短○半个月○一个月
○一个月以上○从未更换或偶尔更换
系统管理和数据库管理口令长度是多少位
○小于等于8位○大于8位
是否存在多台服务器或多个帐户使用同一口令的情况
○是○否
对网站进行远程维护时,是否采取了加密防护措施
○是○否
系统安全日志察看的周期是多少
○每天○每周○每月○偶尔或从不
是否具有独立的安全审计系统
○是○否
网站服务器和同一网段内其他服务器之间是否有访问控制措施
○是○否
操作系统最近一次升级的日期
月日
Web服务器最近一次升级的日期
月日
网络安全检查现场记录表(信息系统安全保护情况)
是□否
□不适用
是否使用数据库超级管理员作为应用系统连接账号?
□是否
□不适用
是否对重要数据进行加密存储?(公民个人信息、单位重要业务数据)
是□否
□不适用
是否已对系统重要数据进行备份?
是□否
□不适用
互联网应用安全
是否落实了防篡改安全技术措施?
是□否
□不适用
是否落实了先审后发?(网站)
是□否
□不适用
应用系统日志是否只能由审计员才能进行修改、删除?
是□否
□不适用
应用系统已留存的日志是否达到6个月及以上?
是□否
□不适用
应用系统中间件是否已留存日志?
是□否
□不适用
IIS
应用系统中间件已留存的日志是否达到6个月及以上?
是□否
□不适用
主机安全
服务器、终端是否安装杀毒软件?
是□否
□不适用
杀毒软件是否及时更新病毒库?
□不适用
是否对网络各区域进行隔离?(防火墙、网闸、IPS、VLan划分等)
是□否
□不适用
网络边界是否配置访问控制策略?
是□否
□不适用
各区域边界是否屏蔽了不必要的服务/端口?(包括但不限于135、137-139、445、3389等)
是□否
□不适用
NAT转换是否未导致内网无法获取外网访问者的真实互联网IP地址?
网络安全检查现场记录表
(信息系统安全保护情况)
一、信息系统基本情况
被检系统名称
交易平台
部署地址
中心的机房
等保级别
□一级□二级三级 □未定级
域名(URL)
应用系统版本
Net5.2
信息安全检查表
○入侵检测系统升级情况
○漏洞扫描系统升级情况
○执行漏洞扫描情况
10、是否有网页防篡改措施?
○安装了防篡改系统
○人工监看
○无防篡改措施
11、是否具有边界保护措施?
○防火墙○其它○无
12、是否有抗拒绝服务攻击措施?
○是○否
13、是否安装了入侵检测系统?
○是○否
14、是展了安全防护措施评估,评估结果是什么?
○有效○基本有效○不足
8、本年度是否开展了网站安全风险评估或等级测评?
○自评估
○委托专业评估
○没有开展
9、是否进行了下列安全检查?
○SQL注入攻击隐患
○跨站脚本攻击隐患
○弱口令
○操作系统补丁安装情况
○网站服务系统及其他应用系统补丁安装情况
○防病毒软件升级情况
○从未更换或偶尔更换
○一个月以上
○一个月
○半个月
○每周或更短
28、系统管理和数据库管理的口令长度是多少?
○小于8位
○大于8位
29、是否存在多台服务器或多个账户使用同一口令的情况?
○是○否
30、对网站进行远程维护时,是否采取了加密措施?
○是○否
31、是否对自管的域名解析系统采取了安全防护措施?
○是○否
信息安全检查表
单位名称
联系人/联系电话
信息安全主管领导
职务
网站安全第一责任人
职务
1、网站名称
2、网站安全等级保护级别
○四级○三级○二级○未定级
3、网站主机服务器运行维护管理方式
○自行管理○委托管理
4、是否对安全规章制度进行了梳理?
○是○否
5、是否有明确的网站安全责任处罚规定?
等保信息安全检查表
信息安全检查表
单位名称
联系人/联系电话
信息安全主管领导
职务
网站安全第一负责人
职务
1、是否有网络信息安全领导小组、负责机构?
○是○否
2、是否有网络信息安全管理制度?
○是○否
3、是否制定了网络安全突发事件应急预案?
○是○否
3、是否根据应急预案组织过应急演练?
○是○否
4、是否成立网络信息安全应急小分队?
_____月_____日
26、数据库系统最近一次升级的日期
_____月_____日
27、是否关闭或删除了不必要的帐户?
○是○否
28、是否关闭或删除了不必要的应用?
○是○否
29、是否关闭或删除了不必要的服务?
○是○否
30、是否关闭或删除了不必要的端口?
○是○否
31、系统管理和数据库管理的口令更换周期是多少?
○漏洞扫描升级情况
○执行漏洞扫描情况
14、是否有网页防篡改措施?
○安装了防篡改系统
○人工监看
○无防篡改措施
15、是否具有边界保护措施?
○防火墙○其它○无
16、是否有抗拒服务攻击措施?
○是○否
17、是否安装了入侵检测系统?
○是○否
18、是否安装了防病毒系统?
○是○否
19、防病毒系统最近一次升级的日期
_____月_____日
○无自管域名解析系统பைடு நூலகம்
36、是否与托管方签订了安全协议?
○是○否
○未采用托管方式
37、是否采取了备份措施?
○备机○备件
○网站数据备份
○其他措施
38、是否明确了技术支援队伍?
○是○否
信息系统安全等级保护自查项目表
信息系统详细名称
备注
未定级、立案系统数量总计:
未立案单位
单位全称
信息化(安全)部门负责人
姓名
职务
办公
移动
信息化(安全)部门联络人
姓名
职务
办公
移动
信息系统记录
序号
信息系统详细名称
备注
二、等级保护工作开展状况
(一)等级保护工作旳组织布署和实行状况
序号
自查内容自查情况1来自1等级保护工作组织机构设置、贯彻信息安全责任制状况。
1-2
等级保护工作责任部门和岗位人员确定状况。
1-3
等级保护工作旳文献,有关工作意见或方案旳制定状况。
1-4
根据国家、省、市等级保护政策法规、原则规范和行业主管部门等规定,组织开展各项工作状况。
1-5
等级保护工作会议、业务技能培训状况。
1-6
单位重要领导对等级保护工作指示、指示状况。
(二)信息系统安全等级保护定级立案状况
3-5
新建、续建信息系统与否按立案等级旳保护规定同步进行安全建设,并经等级测评符合规定后竣工验收,投入运行。
(四)信息安全产品使用、信息安全事件等状况。
4-1
与否按照国家《信息安全等级保护管理措施》规定旳条件选择使用信息安全产品;采用国外信息安全产品旳,与否经主管部门同意,并请有关单位对产品进行专门技术检测。
3-1
与否对本单位信息系统等级测评和安全建设整改工作进行总体布署,详细工作计划是什么?
3-2
信息系统等级测评和安全建设整改工作与否纳入年度经费预算,怎样予以保障?
3-3
与否与测评机构签订保密协议并对测评过程进行监督。
3-4
与否根据保护等级,按照对应国标或行业原则建设安全设施,贯彻安全措施;与否根据等级测评成果汇报,对不符合原则规定旳编制整改方案,并详细实行安全整改。
信息系统安全等级三级保护备案条件机房硬件部分检查表
□异地备份
有备份
满足
重要数据处理系统热冗余(对数据处理可用性要求较高的三级系统)
□重要服务器热冗余
□重要数据库热冗余
服务器
数据库未检查
部分满足
敏感数据
完善的敏感数据释放或清除机制
□敏感信息清除
□敏感信息不能非授权访问
未检查
管理安全
管理制度
建立与安全管理活动相关的管理制度
没有检查
数据加密
用户身份认证信息、个人敏感信息数据、重要业务数据、行业主管部门定义的非明文存储类数据等以加密方式存储
□数据存储加密
□区域隔离
□数据库审计
没有检查
个人信息采集使用
授权后收集个人信息,不可随意查询导出个人信息
□不存在未授权收集个人信息情况
□不存在可随意查询导出个人信息功能
没有检查
数据备份
□按制度实施
未检查
上线测评
上线前通过安全性测试
□第三方机构检测证明
未检查
应急预案
未检查
应急预案培训和演练
定期对相关人员进行应急预案培训,进行过应急预案的演练
□应急培训记录
□应急演练记录
未检查
源代码审查(涉及金融、民生、基础设施等重要行业的业务核心系统)
上线前对外包公司开发的系统进行源代码审查
□https□ssh
□vpn加密
□密码技术实现传输完整性
□校验码技术实现传输完整性
无
不满足
网络设备/安全设备/服务
器/数据库
设备管理
不能通过不可控网络环境远程进行管理,管理帐户口令以明文方式传输,使用截获的帐号可远程登录
□堡垒机
等保2.0基本要求-3级检查表
备份与恢复 管理
安全事件处 置
应急预案管 理
外包运维管 理
网络安全等级保护(等保V2.0)-基本要求
测评指标
a) 机房场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。 a)机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。 a) 应将机房设备或主要部件进行固定,并设置明显的不易除去的标记; b) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; c) 应设置机房防盗报警系统或设置有专人值守的视频监控系统。 a) 应将各类机柜、设施和设备等通过接地系统安全接地; b) 应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等。 a) 应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c) 应对机房划分区域进行管理,区域和区域之间设置隔离防火措施。 a) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; b) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; c) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 a) 应安装防静电地板并采用必要的接地防静电措施; b) 应采用措施防止静电的产生,例如采用静电消除器、佩戴防静电手环等。 a)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求; c) 应设置冗余或并行的电力电缆线路为计算机系统供电。 a) 电源线和通信线缆应隔离铺设,避免互相干扰; b) 应对关键设备实施电磁屏蔽。 a) 应保证网络设备的业务处理能力满足业务高峰期需要; b) 应保证网络各个部分的带宽满足业务高峰期需要; c) 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址; d) 应避免将重要网络区域部署在网络边界处且没有边界防护措施; e) 应提供通信线路、关键网络设备的硬件冗余,保证系统的可用性。 a) 应采用校验码技术或加解密技术保证通信过程中数据的完整性; b) 应采用加解密技术保证通信过程中敏感信息字段或整个报文的保密性。 a) 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序进行可信验 证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将 a)应保证跨越边界的访问和数据流通过边界防护设备提供的受控接地进行通信 b)应能够对非授权设备私自联到内部网络的行为进行限制或检查; c)应能够对内部用户非授权联到外部网络的行为进行限制或检查; d)应限制无线网络的使用,确保无线网络通过受控的边界防护设备接入内部往来; a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接 口拒绝所有通信; b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化; c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出; d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级; a) 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为; b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为; c) 应采取技术措施对网络行为进分析,实现对网络攻击特别是新型网络攻击的分析; d) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时 a) 应在关键网络节点处对恶意代码进行检测和清除,并维恶意代码护防机制的升级和更新; b) 应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。 a)应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安 全事件进行审计; b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
等保信息安全筛查表
等保信息安全筛查表1. 筛查目的本筛查表旨在评估公司的等保信息安全状况,帮助发现潜在的安全风险,并提供相应的改善措施,以确保公司信息资产的安全和保密性。
2. 筛查范围本次筛查主要针对以下方面进行评估:- 信息系统的硬件和软件设施- 网络安全措施的实施情况- 用户权限管理的有效性- 数据存储和备份措施- 安全事件的管理和应对能力3. 筛查内容3.1 信息系统设施- 服务器的硬件设施是否完好并得到合理的维护?- 操作系统和应用程序是否及时进行安全补丁和版本升级?- 是否存在未经授权的设备连接到公司网络?- 是否存在未知或弱密码的设备账户?3.2 网络安全措施- 是否配置了有效的防火墙和入侵检测系统?- 网络流量是否受到适当的监控和日志记录?- 是否设立了网络隔离和访问控制策略?- 是否定期进行网络安全漏洞评估和渗透测试?3.3 用户权限管理- 是否实施了适当的用户身份验证机制?- 是否对用户进行了权限分级管理?- 是否实施了定期的用户权限审计?- 是否提供了必要的安全意识和培训?3.4 数据存储和备份- 数据存储介质是否具备防护措施,如加密和物理安全防护?- 是否建立了数据备份和恢复的策略?- 是否进行定期的数据备份测试和恢复测试?3.5 安全事件管理- 是否建立了安全事件响应计划?- 安全事件是否得到及时的发现和处理?- 是否进行了安全事件的调查和分析?- 是否对安全事件进行了恢复和预防措施的改进?4. 筛查结果和建议根据对上述内容的评估,给出针对性的筛查结果和建议,包括存在的安全风险、风险级别,以及相应的改善措施和优先级。
建议公司及时采取措施,加强相关安全防护工作,并建立完善的信息安全管理体系。
以上为等保信息安全筛查表的草稿,如有任何修改或补充,请随时提出。
GBT22239-2019信息安全技术网络安全等级保护二级等保测评标准等保测评方法检查表
3、应核查门窗是否不存在因风导致的尘土严重;4、应核查屋顶、墙体、门窗和地面等是否不存在破损开裂。
符合
b) 机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
机房
应核查机房是否不位于所在建筑的顶层或地下室,如果否,则核查机房是否采取了防水和防潮措施。
1、应核查机房内设备或主要部件是否固定;
2、应核查机房内设备或主要部件上是否设置了明显且不易除去的标识。
符合
b) 应将通信线缆铺设在隐蔽安全处。
机房通信线缆
应核查机房内通信线缆是否铺设在隐蔽安全处,如桥架中等。
符合
7.1.1.4 防雷击
应将各类机柜、设施和设备等通过接地系统安全接地。
机房
应核查机房内机柜、设施和设备等是否进行接地处理。
2、应核查机房内是否采取了排泄地下积水,防止地下积水渗透的措施。
符合
7.1.1.7 防静电
应采用防静电地板或地面并采用必要的接地防静电措施。
机房
1、应核查机房内是否安装了防静电地板或地面;
2、应核查机房内是否采用了防静电措施。
符合
7.1.1.8 温湿度控制
应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。
GBT22239-2019信息安全技术网络安全等级保护二级等保测评标准等保测评方法检查表
安全物理环境
控制点
测评项
测评对象
测评方法及步骤
检查结果
结果判断
整改建议
7.1.1.1 物理位置选择
a) 机房场地应选择在具有防震、防风和防雨等能力的建筑内;
记录类文档和机房
1、应核查所在建筑物是否有建筑抗震设防审批文档;
信息安全等级保护自查评分表
信息安全等级保护自查评分表
一、单位基本情况
单位全称
信息安全工作责任部门
责任部门负责人
姓名
职务或职称
办公电话
移动电话
责任部门联系人
姓名
职务或职称
办公电话
移动电话
单位类型
党委机关政府机关事业单位企业其他
行业类别
财政税务银行证券工商行政管理科技教育文化卫生国防科技工业农业水利能源电力国土资源交通民航铁路邮政商业贸易公安宣传广电外交发展改革电信海关保险统计审计质量监督检验检疫人事劳动和社会保障经营性公众互联网司法其他
(四)自查和整改情况(6分)
1.25信息安全自查工作组织部署情况
3
组织开展年度信息安全全面自查的3分;组织开展年度自查但自查内容不全面的1分;未开展自查的0分。
1.26存在问题的整改工作情况
3
有关部门未通报相关整改意见或按照有关部门整改意见进行整改的3分;对有关部门通报的问题未进行整改的0分。
(五)第三级(含)以上信息系统测评和安全建设整改工作开展情况(30分,其中测评20分;安全建设整改10分)
1.10常规安全措施落实情况
6
采取计算机病毒防治、网络入侵和攻击破坏防范、重要数据库和主要设备冗灾备份、用户注册信息记录留存、维护和使用日志留存、统一互联网出口、安装安全管理系统、发布信息审核、电子公告栏目版主实名登记、微博实名登记等安全技术措施的6分;部分采取的2分;未采取的0分。
1.11网络隔离措施落实情况
3
办公网络与互联网络物理隔离或逻辑隔离的3分;未隔离的0分。
经费保障情况
1.13信息安全经费保障情况
4
已落实信息安全测评、建设、整改经费的4分;部分落实的2分;未落实经费的0分。
XX局信息安全等级保护-测评调查表(精编文档).doc
【最新整理,下载后即可编辑】XX省XX局信息系统基本情况调查表(XX省XX)20XX年6月说明1、请提供信息系统的最新网络结构图(拓扑图)【最新整理,下载后即可编辑】2、请根据信息系统的网络结构图填写各类调查表格。
表1-1. 单位基本情况调查填表人:日期:【最新整理,下载后即可编辑】【最新整理,下载后即可编辑】表1-2. 参与人员名单填表人:日期:【最新整理,下载后即可编辑】表1-3. 物理环境情况填表人:日期:【最新整理,下载后即可编辑】表1-4. 信息系统基本情况填表人:日期:【最新整理,下载后即可编辑】表1-5. 国家XX局广域网-外联(网络边界)情况调查填表人:日期:【最新整理,下载后即可编辑】【最新整理,下载后即可编辑】表1-6. 国家XX局广域网-网络设备情况调查填表人:日期:【最新整理,下载后即可编辑】【最新整理,下载后即可编辑】表1-8. 计算机网络系统-外联(网络边界)情况调查填表人:日期:【最新整理,下载后即可编辑】表1-9. 计算机网络系统-网络设备情况调查填表人:日期:【最新整理,下载后即可编辑】【最新整理,下载后即可编辑】【最新整理,下载后即可编辑】表1-10. 计算机网络系统-安全设备情况调查填表人:日期:【最新整理,下载后即可编辑】表1-11. 服务器设备情况调查填表人:日期:【最新整理,下载后即可编辑】【最新整理,下载后即可编辑】【最新整理,下载后即可编辑】【最新整理,下载后即可编辑】【最新整理,下载后即可编辑】【最新整理,下载后即可编辑】【最新整理,下载后即可编辑】表1-12. 应用系统情况调查【最新整理,下载后即可编辑】注:1、用户分布范围栏填写全国、全省、本地区、本单位【最新整理,下载后即可编辑】表1-13. 业务数据情况调查填表人:日期:【最新整理,下载后即可编辑】【最新整理,下载后即可编辑】【最新整理,下载后即可编辑】【最新整理,下载后即可编辑】【最新整理,下载后即可编辑】【最新整理,下载后即可编辑】表1-14. 数据备份情况填表人:日期:【最新整理,下载后即可编辑】表1-17. 终端设备情况调查填表人:日期:【最新整理,下载后即可编辑】表1-18. 管理文档情况调查制度类文档填表人:日期:【最新整理,下载后即可编辑】【最新整理,下载后即可编辑】表1-19. 人员抽样情况调查人员抽样调查文档【最新整理,下载后即可编辑】表1-19. 安全威胁情况表填表人:日期:【最新整理,下载后即可编辑】【最新整理,下载后即可编辑】【最新整理,下载后即可编辑】。
信息系统安全等级保护基础调查表
附件1:信息系统安全等级保护基础调查表填表人:__________填表日期:2006年月日【填表说明】1、本表主要用于调查信息系统及单位的基本情况;2、本表中的“单位”是指信息系统的运营、使用单位;3、本表主要由各级信息系统运营、使用单位负责填写;4、本表中位置不够填写的地方可自行调整或另附纸张说明;5、本表中有选择的地方,如未作特殊说明均为单选项。
用户在选择时请在左侧“0”内划“√”,如选择“其他”,请在其后的横线中注明详细内容;6、本表中需要填写数字代码的地方,请在“0”中直接填写;7、本表中02项“行政区划代码”中6位代码是指单位所在地地(区、市、州、盟)的代码,该代码需与《中华人民共和国行政区划代码》(GB 2260-1995)一致。
台州市标准6位地址码的构成如下:331100 台州市331001市辖区331002椒江区 331003黄岩区 331004 路桥区331021玉环县331022三门县 331023天台县 331024仙居县331081温岭市331082临海市8、表中第04项“隶属关系”填写时可以参考《单位隶属关系代码》(GB/T 12404-1997);9、本表中第06项,信息系统运营、使用单位所属行业类别可以多项选择;10、本表中第08项,“系统”是指依据《信息系统安全保护等级定级指南》,信息系统中可以为定级要素赋值的最小单元。
该名称的填写请遵循“信息系统名:业务子系统名”的命名规则,无业务子系统的直接填写信息系统名;11、本表中第09项,填写“系统情况”时可参考《信息系统安全保护等级定级指南》;12、本表中07项上级主管名称指上级业务单位名称,例如:临海市国土局的上级主管为台州市国土局。
信息安全等级保护工作检查表
1.7制定行业标准规范
是否制定出台行业等级保护配套标准,检查相关文件和标准。
信息安全责任
制落实情况
1.8信息安全领导机构设置情
况
是否建立由单位主管领导任组长的信息安全协调领导机构,
检查相关文件。
1.9信息安全职能部门的建立
情况
是否成立专门信息安全职能部门或明确信息安全责任部门,
检查相关文件。
1.10信息安全责任追究制度制
定情况
是否制定信息安全责任追究制度,检查相关文件。
信息安全制度
建设情况
1.11人员安全管理制度建设情
况
检查是否制定了本单位人员录用、离岗、考核、安全保密、
教育培训、外来人员管理等安全管理制度,查看制度文件。
1.12机房安全管理制度建设情
况
检查是否对本单位机房进出人员管理和对机房进行日常监控。
完善情况
检查是否制定了本单位应急处置预案,是否进行定期演练并
完善预案。
(二)信息系统定级备案情况
1.17信息系统定级指导
检查是否出台了行业信息系统定级指导意见,检查具体文件
和意见。
1.18信息系统定级工作情况
检查是否了解本行业、本单位信息系统定级底数。是否存在
定级不准的情况和存在重要信息系统未定级的情况。
1.4等级保护工作文件制定情
况
是否制定贯彻落实等级保护各项工作文件或方案,检查
2007年以来有关等级保护工作的文件、方案。
1.5等级保护工作会议、业务
培训情况
是否召开等级保护工作会议或组织人员培训,检查会议或培
训通知。
1.6单位主要领导对等级保护
工作的重视情况
单位主要领导是否重视等级保护工作,检查是否有领导讲话,
信息安全检查表
信息安全管理体系
认证情况
□已通过认证
认证机构:
□未通过认证
(如有2个以上外包机构,每个机构均应填写,可另附页)
填表人:_____________科室/职别:_______________电话:_______________
□其他:接入口数量:个
接入带宽:兆
系统定级情况
第一级:个 第二级:个 第三级:个
第四级:个 第五级:个 未定级:个
系统安全
测评情况
最近2年开展安全测评(含风险评估、等级测评)系统数:个
二、日常信息安全管理情况
人员管理
①岗位信息安全和保密责任制度:□已建立 □未建立
②重要岗位人员信息安全和保密协议:
□全部签订 □部分签订 □均未签订
组织培训情况
□本年度是否组织开展信息安全教育培训,次数:
参训人员比例
本年度参加信息安全教育培训的人员占总人数比例为:
七、信息安全检查情况
信息安全检查工作情况
检查工作和经费落实情况: □已落实 □未落实
检查工作方案制定情况: □已制定 □未制定
安全保密和风险控制措施: □已采取 □未采取
组织开展技术检测情况: □已开展 □未开展
本年度信息安全事件统计
门户网站受攻击
情况
本单位入侵检测设备检测到的门户网站受攻击次数:
网页被篡改情况
门户网站网页被篡改(含内嵌恶意代码)次数:
设备违规
使用情况
①使用非涉密终端计算机处理涉密信息事件数:
②终端计算机在非涉密系统和涉密系统间混用事件数:
③移动存储介质在非涉密系统和涉密系统间交叉使用事件数:
⑤在非涉密信息系统和涉密信息系统间混用情况:
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.25等级测评机构的选择情况
检查等级测评报告,查看是否从《全国信息安全等级保护测 评机构推荐目录》中选择测评机构。
(四)等级保护自查和整改情况
1.26行业等级保护检查工作的组织开展情况
检查工作报告,查看是否每年组织行业等级保护检查工作。
1.27等级保护自查工作组织部署情况
1.21等级测评工作计划制定情况
检查是否制定了本行业、本单位等级测评工作总体安排和计 戈叽
1.22安全建设整改工作计划制定情况
检查是否制定了本行业、本单位安全建设整改工作总体安排 和计划。
1.23等级测评工作经费保障情况
检查是否落实了本单位等级测评经费,是否列入财政预算。
1.24安全建设整改工作经费保障情况
1.16应急预案的制定、演练和 完善情况
检查疋否制疋了本单位应急处置预案,疋否进仃疋期演练并 完善预案。
(二)信息系统定级备案情况
1.17信息系统疋级扌曰导
检查是否出台了行业信息系统定级指导意见,检查具体文件 和意见。
1.18信息系统定级工作情况
检查是否了解本行业、本单位信息系统定级底数。是否存在 定级不准的情况和存在重要信息系统未定级的情况。
1.4等级保护工作文件制定情 况
是否制定贯彻落实等级保护各项工作文件或方案,检查2007年以来有关等级保护工作的文件、方案。
1.5等级保护工作会议、业务 培训情况
是否召开等级保护工作会议或组织人员培训,检查会议或培 训通知。
1.6单位主要领导对等级保护 工作的重视情况
单位主要领导是否重视等级保护工作,检查是否有领导讲话, 是否有领导批示。
检查自查报告,查看是否组织本单位开展年度等级保护全面 自查工作。
1.28存在问题的整改工作情况
检查相关文件,查看去年公安部《检查反馈意见书》各项工 作的部署和开展情况。
1.13系统建设管理制度制定情 况
检查是否制定了本单位产品米购、工程实施、验收交付、服 务外包等系统建设相关管理制度,查看制度文件。
信息系统运维 情况
1.14开展日常信息安全监测和 预警情况
检查是否建立了信息安全监测和预警机制。
1.15安全事件的处置情况
检查是否制疋了本单位安全事件报告和响应处理程序。
1.7制定行业标准规范
是否制定出台行业等级保护配套标准,检查相关文件和标准。
信息安全责任 制落实情况
1.8信息安全领导机构设置情 况
是否建立由单位主管领导任组长的信息安全协调领导机构, 检查相关文件。
1.9信息安全职能部门的建立 情况
是否成立专门信息安全职能部门或明确信息安全责任部门, 检查相关文件。
(一)信息安全工作的基本情况
检杳内容
检查内容和所需材料
工作情况
等级保护工作1.1等级保护协调领导机构设
的组织部署置情况
是否成立等级保护专门协调领导机构,检杳相关文件。
1.2等级保护责任部门和岗位 确定情况
是否明确等级保护责任部门和工作岗位,检查相关文件。
1.3行业等级保护工作的组织 部署情况
是否对全行业等级保护工作进行部署,检查具体部署文件。
1.19信息系统备案工作情况
检查是否了解本行业、本单位信息系统备案底数。是否及时 根据信息系统变化情况更新备案信息,是否存在已定级信息 系统未备案情况。
1.20等级保护综合管理平台
检查是否利用等级保护综合管理平台开展行业等级保护日常 管理工作。
(三)信息系统等级测评和安况
是否制定信息安全责任追究制度,检查相关文件。
信息安全制度 建设情况
1.11人员安全管理制度建设情 况
检查是否制定了本单位人员录用、离岗、考核、安全保密、 教育培训、外来人员管理等安全管理制度,查看制度文件。
1.12机房安全管理制度建设情 况
检查是否对本单位机房进出人员管理和对机房进行日常监控。
单位信息安全等级保护工作检查表
—、备案单位基本情况
单位全称
等级保护工作责任部门
责任部门负责人
姓名
职务或职称
办公电话
移动电话
责任部门联系人
姓名
职务或职称
办公电话
移动电话
本行业定级备案的信 息系统数量
四级系统
二级系统
二级系统
合计
本单位定级备案的信 息系统数量
四级系统
二级系统
二级系统
合计
二、备案单位等级保护工作开展情况