网络安全管理工作自评估表
网络安全自查评估表(学校版)
根据已登记的网络资产开展全面的风险排查,形成问题清单,清理废旧资产,整改安全问题。
6
针对公共区域LED电子显示屏进行风险排查,专机专用,专人负责,单机控制,控制主机禁止联网,关闭WiFi、蓝牙、投屏等无线连接控制功能。开展应急演练,发生问题能第一时间断电关屏。
7
全面排查“双非”系统、僵尸系统、废旧域名,排查过程中凡发现互联网上署有单位名称,但不属于本单位管理的信息系统、网站、公众号、微博号、抖音号等,立即在相关平台采取举报、申诉、澄清、报警等措施处理,谨防冒用盗用本单位名义的信息网站存在。
8
开展电子邮件系统风险排查,清理账户,审计访问行为,关闭自动转发功能,加强人员邮件安全意识教育,不点击来历不明的邮件。
9
关闭非必要运行的系统(网站),排查部署在互联网上的系统。不能关停的系统应指派专人负责,制定应急预案并开展演练,确保出现安全问题时能立即关停。
10
及时修复高危漏洞、整改弱口令。
11
电脑终端安装集中防护软件,及时更新补丁,定期查杀病毒。
网络安全自查评估表
(学校版)
单位名称:(单位盖章) 日期:
序号
具体内容
自查情况
1
制定网络安全保障工作方案并落实。
2
完善网络安全应急预案,组建充足的应急力量。
3
加强供应链管理,以协议等形式明确供应链单位网络安全责任。
4
按要求在“网络安全运维管理平台”中登记所有网络资产,包括信息系统、数据资产、电脑终端、LED大屏、摄像头等,完善资产台账。
12
对重要数据进行定期备份。
13
落实个人信息安全保护措施。
14
单位网络安全第一责任人、直接责任人、具体负责人变动时及时在莞教通平台更新人员信息。
信息安全应急处理自评估表(信息安全服务资质)
应急抑制处理方案的变更管理(变更 管理涉及的文档)。 抑制措施的内容。
抑制过程中用到的可信工具列表、工 具简介。
根除建议(方案)的内容。
应急处理根除阶段涉及的风险阐述 及告知记录。 安全事件得到根除的证明材料。
根除过程中用到的可信工具列表、工 具简介。 应急处理恢复阶段涉及的风险阐述 及告知记录。
(如需重建系统时适用该条款)对于不 重建系统的相关过程记录。
序 要点
号
33. 34. 35.
36. 37.
根除阶段 38. 39. 40.
恢复阶段 41.
条款 存在的风险。
需提供证明材料 及告知记录。
自评估 结论 不
符 符
合 合
严格执行抑制处理方案中规定的内容, 如有必要更改,须获得客户的授权。 抑制措施应能够限制受攻击的范围,抑 制潜在的或进一步的攻击和破坏行为。 仅一级要求:应使用可信的工具进行安 全事件的抑制处理,不得使用受害系统 已有的不可信文件。 协助客户检查所有受影响的系统,提出 根除的方案建议,并协助客户进行具体 实施。 应明确告知客户所采取的根除措施可能 带来的风险。 找出导致网络或信息安全事件发生的原 因,并予以彻底消除。 仅一级要求:应使用可信的工具进行安 全事件的根除处理,不得使用受害系统 已有的不可信文件。 告知客户网络或信息安全事件的恢复方 法及可能存在的风险。
与客户充分沟通,并预测应急处理方案 应急处理方案涉及的风险阐述(风险
可能造成的影响。
识别与风险控制措施)。
应急处理工作流程或其他文档中约 检测工作应在客户的监督与配合下完
定的工作配合/监督机制,相关过程 成。
记录。
仅二级/一级要求:建立有针对常规应用 提供相应的检测技术规范列表及各 系统、安全设备、常见网络与信息安全 规范内容(范本或应用本),如针对
网络安全检查表
米取技术措施对重要数据和系统进行定期备份。
2
定性
符合,P=1;不符合,P=0。
1
数据中心、灾备中 心设立
数据中心、灾备中心应设立在境内。
1
定性
符合,P=1;不符合,P=0。
网络安全 应急管理
(7)
应急预案
制定信息安全事件应急预案(为部门级预案,非单 个信息系统的安全应急预案),并使相关人员熟悉 应急预案。
米取集中统一管理方式对终端进行防护,统一软件 下发、安装系统补丁。
2
定性
P=补丁得到及时更新的服务器比率。
1
终端计算机 接入控制
米取技术措施(如部署集中管理系统,将IP地址
与MCA地址绑定等)对接入本单位的终端计算机进 行控制。
1
定性
P=网络设备和安全设备(指重要设 备)中配置了口令策略的比率。
应用系统 安全
三、网络安全防护情况
①网络安全防护设备部署(可多选)
:
2防火墙□入侵检测设备
□安全审计设备
网络边界
□防病毒网关□抗拒绝服务攻击设备
安全防护
□其它:
②2设备安全策略:□使用默认配置
□根据需要配置
③网络访问日志:□留存日志
2未留存日志
无线网络 安全防护
1本单位使用无线路由器的数量:
2无线路由器用途:
1个
2
定性
符合,P=1;不符合,P=0。
经费保障
经费预算
将信息安全设施运维、日常管理、教育培训、检查 评估等费用纳入年度预算。
3
定性
符合,P=1;不符合,P=0。
网站内容 管理
网站信息发布
网站信息发布前米取内容核查、审批等安全管理措 施。
网络安全工作评分参考
3
加大财力物力支持和保障力度
(3分)
1.通过财政预算渠道,切实保障网络系统的安全防护加固、安全运维、安全检测评估、系统安全升级改造、网络安全教育培训、网络安全事件应急处置等支出。(1分)
2.新建信息化项目的网络安全预算不低于项目总预算的5%。(1分)
3.审计部门将网络安全建设和绩效纳入审计范围。(1分)
未及时对安全设备进行恶意代码库更新升级,不得分。
12、抽查核验设备系统补丁更新升级至最新版本。
13、核查恶意代码库(不超过180天)是否及时更新升级。
3
恶意代码防护
(1分)
14. 防护工具或应用(如防病毒软件):
□已安装 □未安装
14、分值:1
安装防护工具或应用(安装即可),得分;
未安全防护工具或应用,不得分。
查阅相关佐证材料
2
开展经常性的网络安全宣传教育培训
(3分)
1.本地区每年按照国家统一安排开展网络安全宣传周活动。(1分)
2.本部门在职人员人均接受网络安全培训时间不少于4个学时。未开展的,有工作计划或布置的,视为开展;(1分)
3.对网络安全专业技术岗位人员开展专业技能培训,年度人均接受相关培训时间不少于8个学时,且获得网络安全专业资质人员占比达到60%以上或虽未达到60%但逐年提高。(1分)
1、分值:2
根据承载业务的重要性对网络进行分区分域管理,得分;
没有进行分区分域管理,不得分。
2、分值:2
采用技术措施对不同的网络区域实施访问控制,得分;没有采用技术措施对不同的网络区域实施访问控制,不得分。
3、分值:2
部署了网络安全防护设备(根据实际情况,有一项即可),得分;
没有部署网络安全设备,不得分。
网络安全评估表调研及汇总
网络安全评估表调研及汇总网络安全风险咨询调研表表1:基本信息调查1.单位基本情况单位名称。
单位地址。
联系人。
联系电话。
Email。
填表时间。
信息安全主管领导(签字)。
职务。
检查工作负责人(签字)。
职务。
2.硬件资产情况2.1.网络设备情况网络设备名称型号物理位置所属网络区域 IP地址/掩码/网关系统软件及版本端口类型及数量主要用途是否热备重要程度2.2.安全设备情况安全设备名称型号(软件/硬件) 物理位置所属网络区域 IP 地址/掩码/网关系统及运行平台端口类型及数量主要用途是否热备重要程度2.3.服务器设备情况设备名称型号物理位置所属网络区域 IP地址/掩码/网关操作系统版本/补丁安装应用系统软件名称主要业务应用涉及数据是否热备终端设备名称型号物理位置所属网络区域设备数量 IP 地址/掩码/网关操作系统安装应用系统软件名称注:网络设备包括路由器、网关、交换机等;安全设备包括防火墙、入侵检测系统、身份鉴别等;服务器设备包括大型机、小型机、服务器、工作站、台式计算机、便携计算机等;终端设备包括办公计算机、移动存储设备。
重要程度:依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。
3.软件资产情况3.1.系统软件情况系统软件名称版本软件厂商硬件平台涉及应用系统3.2.应用软件情况应用系统软件名称开发商硬件/软件平台 C/S或B/S模式填写说明注:系统软件包括操作系统、系统服务、中间件、数据库管理系统、开发系统等;应用软件包括项目管理软件、网管软件、办公软件等。
涉及数据现有用户数量主要用户角色4.服务资产情况4.1.本年度信息安全服务情况服务类型服务方单位名称服务内容服务方式(现场、非现场) 填写说明注:服务类型包括:1.网络服务;2.安全工程;3.灾难恢复;4.安全运维服务;5.安全应急响应;6.安全培训;7.安全咨询;8.安全风险评估;9.安全审计;10.安全研发。
5.人员资产情况5.1.信息系统人员情况岗位名称岗位描述人数兼任人数填写说明作制定了相应的操作规程,并有明确的执行程序和记录。
网络安全检查表格
网络安全检查表格(总24页)--本页仅作为文档封面,使用时请直接删除即可----内页可以根据需求调整合适字体及大小--附件1网络安全检查表1本表所称恶意代码,是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。
2本表所称高风险漏洞,是指计算机硬件、软件或信息系统中存在的严重安全缺陷,利用这些缺陷可完全控制或部分控制计算机及信息系统,对计算机及信息系统实施攻击、破坏、信息窃取等行为。
附件2网络安全管理工作自评估表9101112131415附件3重点行业网络安全检查结果统计表3网络安全事件分级标准参见《国家网络与信息安全事件应急预案》(国办函〔2008〕168号)附件4重点网络与信息系统商用密码检查情况汇总表统计密码设备时,国内指取得国家密码管理局型号的产品,国外指未取得国家密码管理局型号的产品(包括国外的产品)。
附件5重点网络与信息系统商用密码检查情况表备注:1. 表中的“密码机类”主要包括以下产品:IPSec/SSL VPN密码机、网络密码机、链路密码机、密码认证网关、存储加密机、磁带库/磁盘阵列存储加密机、密钥管理密码机、终端密钥分发器、量子密码机、服务器密码机、终端密码机、金融数据密码机、签名验证服务器、税控密码机、支付服务密码机、传真密码机、电话密码机等。
2. 表中的“密码系统”主要包括以下系统:动态令牌认证系统、数字证书认证系统、证书认证密钥管理系统、IC卡密钥管理系统、身份认证系统、数据加密传输系统、密码综合服务系统、密码设备管理系统等。
3. 表中的“网络通信”主要包括以下产品:无线接入点、无线上网卡、加密电话机、加密传真机、加密VOIP终端等。
4. 表中“密码设备使用情况”的“产品型号”栏,应填写国家密码行政主管部门审批的商用密码产品型号,若产品无商用密码产品型号,可填写产品相关资质证书上标注的型号或生产厂家自定义的型号。
单位网络安全自查报告
网络安全自查报告本次信息安全检查内容主要包括信息系统基本情况、安全管理情况、安全技术防护情况、信息安全应急工作情况、信息安全教育培训情况、安全保密情况、安全问题整改情况等七个方面。
(一)信息系统的基本情况至今为止,我所建立了局域网和外网网站。
局域网部署了办公自动化系统和“三率”调查的业务系统和正准备投入使用的财务预算执行管理系统;外部网站有单位门户网站和国家工程中心网站。
单位目前有物理服务器11台,其中局统一配备的6台,单位自行购置5台。
有台式计算机144台,笔记本电脑107台。
有保密计算机的业务处室,保密计算机由处室内部管理,不允许接入网络。
局域网划分为内外网服务器区、并按楼层划分了Vlan,通过在核心交换机上做路由,使本单位通过地调局专线接入局视频会议、IP电话和地调局业务网、地质图书馆。
目前局域网因部分设备已达使用年限,再加上突发断电故障、周边施工建设造成机房很难保持洁净,近几年个别设备时有故障,经过临时维修或者替换新设备,目前基本满足日常性工作需求,由于大多是服务设备,网络安全设备投入很少,要加大网络安全,必须后续陆续投入一些安全产品才能做到安全无死角。
(二)信息安全工作情况本单位信息安全遵循“上网不涉密、涉密不上网”原则。
门户网站的消息发布由地调处指定专人负责,所发信息经领导审核同意才能发布。
内部网站各个栏目分别由所属部门的负责人或指定人员实名发布,采用动态口令卡验证才能访问。
涉密计算机和存储介质有专门台帐详细记录其使用情况,不允许涉密设备与非涉密设备交叉使用。
各信息系统的数据库都制定了完善的备份计划:公文系统和信息发布系统等各数据系统采用同步备份方式自动备份。
所内设有由所领导带头的安全检查班子,网络安全检查也属于其检查范围,基本保证每年至少一检,检查发现问题,必须改正到位。
(三)信息安全自查工作组织开展情况本单位高度重视信息安全保密工作,定期组织相关人员对信息安全工作进行检查。
本单位7月份对信息安全保密情况进行了全面的检查。
网络管理员考核评分表模板-月度(标准版)
网络管理员考核评分表(月度)网络管理员考核评分表模板-月度(标准版)使用说明一、模板概述本网络管理员考核评分表模板(月度)旨在为公司网络管理员的月度工作表现提供一个全面、客观的评估体系。
通过细化的业绩考核与行为考核两大模块,结合具体的考核项目和权重设置,实现对网络管理员工作绩效的系统性评价。
该模板不仅有助于提升网络管理员的工作效率和服务质量,还能为公司的绩效管理提供有力支持。
二、模板结构解析考核期间:位于表格顶部,用于填写具体的考核月份,确保考核的时效性和针对性。
业绩考核:序号:用于区分不同的考核项目,便于管理和统计。
考核项目:具体列出了网络管理员需要达成的各项业绩指标,如网络安全、网站建设、网络维护、信息化建设、网络运行制度标准的制定及完善等。
权重:反映了各考核项目在整体考核中的重要性,通过百分比形式体现。
目标值要求:明确规定了每项考核项目应达到的具体目标或标准。
评分等级:根据完成情况设定了不同的评分等级和对应的分数,如达到目标值20分、有小事故发生但未造成不良后果10分、重大事故0分等。
自评/上级:分别由被考核人及其直接上级填写评分,确保评价的全面性和公正性。
加权合计:根据各考核项目的得分和权重计算出的加权总分,反映被考核人在业绩方面的整体表现。
行为考核:考核项目包括学习力和服务细致两个关键指标,分别评估网络管理员的学习能力和服务态度。
权重:同样采用百分比形式,表明两个行为指标在整体考核中的重要性。
指标说明:详细描述了每个行为指标的评级标准和具体表现,如学习力的五个级别从有学习意识但无行动到学习后实践并得到良好效果,服务细致的五个级别从完成公司KPI服务流程到能给客户带来意想不到的服务知识与感受。
考核评分:根据行为表现对照指标说明进行评分,同样区分自评和上级评分。
加权合计:根据行为考核得分和权重计算出的加权总分,反映被考核人在行为方面的综合表现。
总分计算:通过业绩考核得分与行为考核得分的加权求和得出总分,具体权重比例为业绩考核85%,行为考核15%。
山东省教育厅关于开展网络安全检查工作的通知
山东省教育厅关于开展网络安全检查工作的通知文章属性•【制定机关】山东省教育厅•【公布日期】2014.09.27•【字号】鲁教信函[2014]3号•【施行日期】2014.09.27•【效力等级】地方规范性文件•【时效性】现行有效•【主题分类】公共信息网络安全监察正文山东省教育厅关于开展网络安全检查工作的通知(鲁教信函〔2014〕3号)各市教育局、各高等学校、厅属各单位:按照教育部《关于加强教育行业网络与信息安全工作的指导意见》(教技[2014]4号)、省经济和信息化委《关于印发〈2014年山东省网络安全检查工作方案〉的通知》(鲁经信安[2014]425号)要求,为全面加强我省教育行业信息系统(含网站系统)的安全工作,切实保障信息系统的安全运行,决定组织开展网络安全检查工作,现就有关事项通知如下:一、检查目的通过开展网络安全检查,摸清重要信息系统的底数,建立健全网络安全责任制,深入分析安全风险,系统评估安全状况,全面排查安全隐患,提升网络安全技术防护能力,构建可信、可控、可查的网络安全环境,预防和减少网络安全事件的发生,切实保障信息系统的安全运行。
二、检查对象各市教育局、各高等学校、厅属各单位。
三、检查范围检查范围主要包括基础网络设施和各类信息系统。
对事关广大学生、家长和社会公众利益,对正常教育管理公共服务及教学活动具有较大影响的信息系统,进行重点检查。
涉及国家秘密的信息系统不在本次检查范围内。
四、检查内容(一)网络与信息安全管理情况按照国家网络安全政策和标准规范要求,建立健全网络安全管理制度及落实情况。
重点检查网络安全主管领导、管理机构和工作人员履职情况,人员、资产、采购、外包服务等日常安全管理情况,网络安全经费保障情况等。
(二)信息系统基本情况信息系统建设与运行情况,主要包括域名或IP地址、责任单位、运维单位、定级与备案、安全管理等情况。
我们将根据各单位报送的信息系统情况汇总形成信息系统名录。
(三)技术防护情况按照国家网络安全政策和标准规范要求,建立健全技术防护体系及安全防护情况。
网络与信息安全专项整治行动检查工作自查表
附件2
网络与信息安全专项整治行动检查工作自查表
- 1 -
- 2 -
- 4 -
- 6 -
说明:
1.本自评标准的评分项目根据《国家网络安全检查操作指南》设置,共37小项。
其中,第1至34小项设置总分值为100分;第35至36小项为加重扣分项,不设分值;第37小项为否决项。
2.单位对照项目自评,未达到项目要求的扣除相应分值,在得分栏中注明得分分值;累计扣分超过项目分值的,扣分分值不超过项目分值上限。
3.发生第35至36小项严重违规行为和网络安全事件的,直接扣除相应分值;发生第37小项严重网络安全案件的,直接评定为不符合要求。
单位名称:(盖章)
单位负责人:信息部门负责人:
填表日期:
- 8 -。
网络安全风险评估报告
XXX 有限公司20XX 年 X 月X 日一、概述 (3)1.1 工作方法 (3)1.2 评估依据 (3)1.3 评估范围 (3)1.4 评估方法 (3)1.5 基本信息 (4)二、资产分析 (4)2.1 信息资产识别概述 (4)2.2 信息资产识别 (4)三、评估说明 (5)3.1 无线网络安全检查项目评估 (5)3.2 无线网络与系统安全评估 (5)3.3 ip 管理与补丁管理 (5)3.4 防火墙 (6)四、威胁细类分析 (6)4.1 威胁分析概述 (6)4.2 威胁分类 (7)4.3 威胁主体 (7)五、安全加固与优化 (8)5.1 加固流程 (8)5.2 加固措施对照表 (9)六、评估结论 (10)XXX 有限公司通过自评估的方式对网络安全进行检查,发现系统当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。
在本次网络安全风险评测中将主要采用的评测方法包括:人工评测、工具评测。
根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[ 2022 ] 15 号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[2022]48 号)以及公司文件、检查方案要求, 开展 XXX 有限公司网络安全评估。
此次系统测评的范围主要针对该业务系统所涉及的服务器、应用、数据库、网络设备、安全设备、终端等资产。
主要涉及以下方面:业务系统的应用环境;网络及其主要基础设施,例如路由器、交换机等;安全保护措施和设备,例如防火墙、 IDS 等;信息安全管理体系。
采用自评估方法。
资产被定义为对组织具有价值的信息或者资源,资产识别的目标就是识别出资产的价值,风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在其安全属性——机密性、完整性和可用性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。
风险评估是对本司范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦住手运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总。
网络安全工作评分参考
4. 用于采购国产硬软件产品的支出比例符合中央提出的要求。(0.5 分)
记载详细的关键信息基础设施数量、主要功能、分布、服务范围、主管单位等 查阅相关资料 情况。(2 分,缺一项信息的扣 0.5 分,扣完为止)
以文件或其他方式明确关键信息基础设施管理机构和运维机构(1 分),负责
人和关键岗位人员安全背景审查(1 分)、职能(1 分)、保密条款(1 分)、 实 地 查 看 和 查 阅
查阅相关资料
网络安全应急处置工作机制 (3 分)
1. 以文件方式建立应急处置工作机制。(1 分) 2. 机制明确了应急事件处置部门、负责人、处置流程。(2 分)
3 查阅相关资料
4
网络应急预案及演练情况 (4 分)
1. 本部门、本地区制定出台了网络应急预案。(2 分) 2. 每年至少开展一次演练。(2 分)
表 1 现场检测评分参考总表
评分办法
分值
备注
3
查阅会议记录
3 查阅正式文件或 会议纪要
3
查阅正式文件或 会议纪要
3 查阅正式文件
1
项目
内容
加大财力物力支持和保障力度 (3 分)
网络安 全工作 责任制 落实情
况 (30 分)
开展经常性的网络安全宣传教育培 训 (3 分)
统筹协调开展网络安全检查 (7 分)
标准 1、分值:2 根据承载业务的重要性对网络进行分区分域管理,得 分; 没有进行分区分域管理,不得分。 2、分值:2 采用技术措施对不同的网络区域实施访问控制,得 分;没有采用技术措施对不同的网络区域实施访问控 制,不得分。 3、分值:2 部署了网络安全防护设备(根据实际情况,有一项即 可),得分; 没有部署网络安全设备,不得分。
网络安全检查表
定性
符合,P=1;不符合,P=0。
账物符合度
资产台账与实际设备相一致。
1
定性
符合,P=1;不符合,P=0。
设备维修维护和
报废管理措施
完整记录设备维修维护和报废信息(时间、地点、内容、责任人等)。
2
定性
记录完整,P=1;记录基本完整,P=;记录不完整或无记录,P=0。
评估指私服
评价要素
评价标准
权重
(V)
□统一安排审计 □对移动存储介质接入实施控制
√分散管理
②接入互联网安全控制措施:
□有控制措施(如实名接入、绑定计算机IP和MAC地址等)
√无控制措施
③接入办公系统安全措施措施:
√有控制措施(如实名接入、绑定计算机IP和MAC地址等)
□无控制措施
移动存储介质
安全防护
①管理方式:
□集中管理,统一登记、配发、收回、维修、报废、销毁
上一年度网络安全经费实际投入额:万元
网页被篡改情况
门户网站网页被篡改(含内嵌恶意代码)次数:
六、信息技术外包服务机构情况(包括参与技术检测的外部专业机构)
外包服务机构1
机构名称
武汉三佳医疗信息技术有限公司
机构性质
□国有单位√民营企业 □外资企业
服务内容
√系统集成□系统运维□风险评估
□安全检测□安全加固 □应急支持
3
定性
已明确,本年度就信息安全工作作出批示或主持召开专题会议,P=1;
已明确,本年度未就信息安全工作作出批示或主持召开专题会议,P=;
尚未明确,P=0。
信息安全
管理机构
指定一个机构具体承担信息安全管理工作(管理机构应为本部门二级机构)。
学校校园网络安全管理制度[7]
![学校校园网络安全管理制度[7]](https://img.taocdn.com/s3/m/17696af9d4bbfd0a79563c1ec5da50e2524dd1bb.png)
学校校园网络安全管理制度一、总则1.为了保障学校校园网络的正常运行,维护学校信息资源的安全,防范网络安全风险和威胁,规范网络使用行为,提高网络安全意识和能力,制定本制度。
3.学校校园网络是指由学校信息化管理部门负责建设、运维和管理的覆盖学校各个区域和场所的有线和无线网络系统,包括但不限于教学区、办公区、宿舍区、图书馆、体育馆等。
4.学校信息化管理部门是指负责学校信息化建设和管理的部门,包括但不限于信息技术中心、网络与信息安全中心、教育技术中心等。
5.学校网络安全工作遵循“预防为主,谨防为辅,综合管理”的原则,坚持“谁使用,谁负责”的责任制,实行“分级管理,层层负责”的管理制度。
二、网络使用规范违反国家宪法和法律法规的行为,如危害国家安全、泄露国家秘密、侵犯他人合法权益等;破坏网络安全的行为,如非法侵入他人计算机系统、传播计算机病毒或者恶意软件、攻击或者干扰网络正常运行等;干扰网络管理的行为,如未经授权擅自更改网络配置、篡改或者删除网络数据、妨碍网络监管等;伤害学校声誉或者利益的行为,如在网络上发布或者转发不实或者负面的信息、诽谤或者诋毁学校或者相关人员等;违反社会公序良俗的行为,如在网络上发布或者传播色情、暴力、恐怖、赌博等违法或者不良信息等;其他违反法律法规或者学校规定的行为。
长期占用公共计算机或者无线网接入点,影响他人正常使用;非法或者大量影视音乐等文件,占用过多网络流量;使用非法软件或者工具破解或者绕过网络限制,如使用代理服务器、V PN等访问被屏蔽的网站或者服务;搭建或者使用私人服务器或者路由器等设备,影响网络稳定性或者安全性;其他影响网络资源公平分配或者合理利用的行为。
将自己的网络账号和密码泄露、出借、转让或者出售给他人;使用他人的网络账号和密码登录网络或者使用网络服务;盗取或者破解他人的网络账号和密码;其他危害网络账号安全或者违反网络账号管理规定的行为。
三、网络安全管理措施9.学校信息化管理部门应建立健全网络安全管理制度,制定网络安全规范和标准,定期对校园网络进行安全检查和评估,及时发现和处理网络安全隐患和事件。
网络安全自查表
网络安全自查表
附件3
网络安全检查总结报告参考格式
一、报告名称
×××(单位名称)×××年网络安全检查总结报告。
二、检查总结报告组成
检查总结报告包括主报告、检查结果统计表二部分。
三、主报告内容要求
(一)网络安全检查工作组织开展情况
概述检查工作组织开展情况、所梳理的关键信息基础设施情况。
(二)关键信息基础设施确定情况
此次检查确定关键信息基础设施的数量、分布、功能等情况。
(三)×××年网络安全主要工作情况
详细描述本单位×××年在网络安全管理、技术防护、应急管理、宣传教育等方面开展的工作情况。
(四)检查发现的主要问题和面临的威胁分析
1. 发现的主要问题和薄弱环节
2. 面临的安全威胁与风险
3. 整体安全状况的基本判断
(五)改进措施与整改效果
1. 改进措施
2. 整改效果
(六)关于加强网络安全工作的意见和建议。
等保三级——网络安全检查技术检查评分表
应具体记录策略符合情况。
22
4
访问控制措施合理。
L检查有无超级用户。
2.检查访问控制措施按照不同需求用户分配不同访问权限。
1.未按用户功能分配访问权限,本项O分。
2.有部分用户角色设置,但不够详细或部分管理用户未分权,本项3分。
3.无超级用户,按照不同需求用户分配不同访问权限,本项4分。
应简要记录权限划分情况,不同权限管理员情况。
3.无法单独中断审计进程,无法删除、修改和覆盖审计记录。
以上全部满足则本项3分。
应具体记录策略符合情况。
24
网络安全应急工作情况
2
应制定网络安全事件应急预案,原则上每年评估一次,并根据实际情况适时修订。根据网络变化情况更新并进行演练。
L查看应急预案文本等文件。
2.检查应急预案制定和年度评估修订情况
1.未制定网络安全事件应急预案,本项O分。
2.无线网络采取地址过滤措施。
3.无线路由器未使用默认设置。以上满足则本项3分。
应具体记录无线设备情况,简要记录部分措施。
15
电子邮件系统安全防护情况
2
应加强电子邮件系统安全防护,采取反垃圾邮件等技术措
施。
L检查电子邮件系统建设方式。
2.检查电子邮件系统安全防护情况,采取反垃圾邮件等技术措施情况。
L无电子邮件系统安全防护,本项。分。
应具体记录设备类型以及其记录的日志记录情况。
14
无线网络安全防护
情况
3
无线网络安全防护。
1.登录无线网络设备管理端,检查安全防护策略配置情况,包括设置对接入设备采取身份鉴别认证措施和地址过滤措施。
2.查看无线网络采取身份鉴别措施、地址过滤措施,无线路由器未使用默认设置。
信息系统安全运维服务资质认证自评价表
实施健康检查服务:完成安全设备、业务系统的健康检查服务。
安全设备、业务系统的健康检查服务记录,主要关注可靠性、可用性、持续性等。
33.
仅二级/一级要求:收集与建立配置管理数据库,确保配置项目的机密性、完整性、可用性(专职管理)。
配置数据库,应能初步收集资产与配置项,并确保配置项目的机密性、完整性、可用性(专职管理),如安全设备的配置项有安全策略、管理员账户、IP等。
服务级别协议中,安全运维第三方之间的服务级别设计与内部团队之间的安全运营级别协议应一致。
10.
仅一级要求:安全组织中要设定安全领导小组。
安全组织架构图,其中应有安全领导小组。
11.
准备阶段—签订服务协议
与客户签订服务协议,明确范围、目标、时间、内容、金额、质量和输出等。
项目合同及保密协议,合同内容应至少包含服务范围、目标、时间、内容、金额、质量和输出等。
信息系统安全运维服务资质认证自评估表
组织名称
申报级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
服务技术要求
建立信息系统安全运维服务流程。
信息系统安全运维服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
2.
制定信息系统安全运维服务规范并按照规范实施。
信息系统安全运维服务规范并按照规范实施。
仅一级要求:编制安全运维项目作业指导书。
安全运维作业指导书,例如:配置核查操作手册、常见安全事件处理指南等。
23.
仅一级要求:建立应急响应和灾难恢复机制,形成业务连续性计划。
发布且通过审批的业务连续性计划。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
附件2网络安全管理工作自评估表评估指标评价要素评价标准权重(V)指标属性量化方法(P为量化值)评估得分(V×P)网络安全组织管理网络安全主管领导明确一名主管领导负责本单位网络安全工作(主管领导应为本单位正职或副职领导)。
3 定性已明确,本年度就网络安全工作作出批示或主持召开专题会议,P = 1;已明确,本年度未就网络安全工作作出批示或主持召开专题会议,P = 0.5;尚未明确,P = 0。
网络安全管理机构指定一个机构具体承担网络安全管理工作(管理机构应为本单位二级机构)。
2 定性已指定,并以正式文件等形式明确其职责,P = 1;未指定,P = 0。
网络安全联络员各内设机构指定一名专职或兼职网络安全员。
2 定量P = 指定网络安全员的内设机构数量和内设机构总数的比率。
网络安全日常管理规章制度制度完整性建立网络安全管理制度体系,涵盖人员管理、资产管理、采购管理、外包管理、教育培训等方面。
3 定性制度完整,P = 1;制度不完整,P = 0.5;无制度,P = 0。
制度发布安全管理制度以正式文件等形式发布。
2 定性符合,P = 1;不符合,P = 0。
人员管理重点岗位人员签订安全保密协议重点岗位人员(系统管理员、网络管理员、网络安全员等)签订网络安全和保密协议。
2 定量P = 重点岗位人员中签订网络安全和保密协议的比率。
人员离岗离职管理措施人员离岗离职时,收回其相关权限,签署安全保密承诺书。
2 定性符合,P = 1;不符合,P = 0。
评估指标评价要素评价标准权重(V)指标属性量化方法(P为量化值)评估得分(V×P)网络安全日常管理人员管理外部人员访问管理措施外部人员访问机房等重要区域时采取审批、人员陪同、进出记录等安全管理措施。
2 定性符合,P = 1;不符合,P = 0。
资产管理责任落实指定专人负责资产管理,并明确责任人职责。
2 定性符合,P = 1;不符合,P = 0。
建立台账建立完整资产台账,统一编号、统一标识、统一发放。
2 定性符合,P = 1;不符合,P = 0。
账物符合度资产台账和实际设备相一致。
2 定性符合,P = 1;不符合,P = 0。
设备维修维护和报废管理措施完整记录设备维修维护和报废信息(时间、地点、内容、责任人等)。
2 定性记录完整,P = 1;记录基本完整,P = 0.5;记录不完整或无记录,P = 0。
外包管理若无外包则P均为1外包服务协议和信息技术外包服务提供商签订网络安全和保密协议,或在服务合同中明确网络安全和保密责任。
2 定性符合,P = 1;不符合,P = 0。
现场服务管理现场服务过程中安排专人管理,并记录服务过程。
2 定性记录完整,P = 1;记录不完整,P = 0.5;无记录,P = 0。
外包开发管理外包开发的系统、软件上线前通过信息安全测评。
2 定量P =外包开发的系统、软件上线前通过信息安全测评的比率。
运维服务方式原则上不得采用远程在线方式,确需采用时采取书面审批、访问控制、在线监测、日志审计等安全防护措施。
2 定性符合,P = 1;不符合,P = 0。
经费保障经费预算将网络安全设施运维、日常管理、教育培训、检查评估等费用纳入年度预算。
3 定性符合,P = 1;不符合,P = 0。
评估指标评价要素评价标准权重(V)指标属性量化方法(P为量化值)评估得分(V×P)网络安全日常管理网站内容管理网站信息发布网站信息发布前采取内容核查、审批等安全管理措施。
2 定性符合,P = 1;不符合,P = 0。
电子信息管理介质销毁和信息消除配备必要的电子信息消除和销毁设备,对变更用途的存储介质进行信息消除,对废弃的存储介质进行销毁。
1 定性符合,P = 1;不符合,P = 0。
信息安全防护管理物理环境安全机房安全具备防盗窃、防破坏、防雷击、防火、防水、防潮、防静电及备用电力供应、温湿度控制、电磁防护等安全措施。
2 定性符合,P = 1;不符合,P = 0。
物理访问控制机房配备门禁系统或有专人值守。
1 定性符合,P = 1;不符合,P = 0。
网络边界安全访问控制网络边界部署访问控制设备,能够阻断非授权访问。
3 定性符合,P = 1;有设备,但未配置策略,P = 0.5;无设备,P = 0。
入侵检测网络边界部署入侵检测设备,定期更新检测规则库。
2 定性符合,P = 1;有设备,但未定期更新,P = 0.5;无设备,P = 0。
安全审计网络边界部署安全审计设备,对网络访问情况进行定期分析审计并记录审计情况。
2 定性符合,P = 1;有设备,但未定期分析,P = 0.5;无设备,P = 0。
互联网接入口数量各单位同一办公区域内互联网接入口不超过2个。
2 定性符合,P = 1;不符合,P = 0。
评估指标评价要素评价标准权重(V)指标属性量化方法(P为量化值)评估得分(V×P)设备安全恶意代码防护部署防病毒网关或统一安装防病毒软件,并定期更新恶意代码库。
2 定性符合,P = 1;有设备,但未定期更新,P = 0.5;无设备,P = 0。
信息安全防护管理设备安全设备漏洞扫描定期对服务器、网络设备、安全设备等进行安全漏洞扫描。
2 定性符合,P = 1;不符合,P = 0。
服务器口令策略配置口令策略保证服务器口令强度和更新频率。
1 定量P = 配置了口令策略的服务器比率。
服务器安全审计启用安全审计功能并进行定期分析。
1 定量P = 对安全审计日志进行定期分析的服务器比率。
服务器补丁更新及时对服务器操作系统补丁和数据库管理系统补丁进行更新。
2 定量P = 补丁得到及时更新的服务器比率。
网络设备和安全设备口令策略配置口令策略保证网络设备和安全设备口令强度和更新频率。
1 定量P = 网络设备和安全设备(指重要设备)中配置了口令策略的比率。
终端计算机统一防护采取集中统一管理方式对终端进行防护,统一软件下发、安装系统补丁。
2 定性符合,P = 1;不符合,P = 0。
终端计算机接入控制采取技术措施(如部署集中管理系统、将IP地址和MAC地址绑定等)对接入本单位网络的终端计算机进行控制。
1 定性符合,P = 1;不符合,P = 0。
使用系统安全使用系统安全漏洞扫描定期对服务器、网络设备、安全设备等进行安全漏洞扫描。
2 定性扫描周期小于1个月,P = 1;扫描周期为2到3个月,P = 0.5;扫描周期为4到6个月,P = 0.2;其他,P = 0。
评估指标评价要素评价标准权重(V)指标属性量化方法(P为量化值)评估得分(V×P)门户网站防篡改措施门户网站采取网页防篡改措施。
2 定性符合,P = 1;不符合,P = 0。
信息安全防护管理使用系统安全门户网站抗拒绝服务攻击措施门户网站采取抗拒绝服务攻击措施。
1 定性符合,P = 1;不符合,P = 0。
电子邮件账号注册审批建立邮件账号开通审批程序,防止邮件账号任意注册使用。
1 定性符合,P = 1;不符合,P = 0。
电子邮箱账户口令策略配置口令策略保证电子邮箱口令强度和更新频率。
1 定性符合,P = 1;不符合,P = 0。
邮件清理定期清理工作邮件。
1 定性符合,P = 1;不符合,P = 0。
数据安全数据存储保护采取技术措施(如加密、分区存储等)对存储的重要数据进行保护。
2 定性符合,P = 1;不符合,P = 0。
数据传输保护采取技术措施对传输的重要数据进行加密和校验。
2 定性符合,P = 1;不符合,P = 0。
数据和系统备份采取技术措施对重要数据和系统进行定期备份。
2 定性符合,P = 1;不符合,P = 0。
数据中心、灾备中心设立数据中心、灾备中心应设立在境内。
1 定性符合,P = 1;不符合,P = 0。
网络安全应急管理应急预案制定网络安全事件应急预案(为部门级预案,非单个信息系统的安全应急预案),并使相关人员熟悉应急预案。
2 定性符合,P = 1;不符合,P = 0。
应急演练开展应急演练,并留存演练计划、方案、记录、总结等文档。
2 定性符合,P = 1;不符合,P = 0。
评估指标评价要素评价标准权重(V)指标属性量化方法(P为量化值)评估得分(V×P)应急资源指定应急技术支援队伍,配备必要的备机、备件等应急物资。
1 定性符合,P = 1;不符合,P = 0。
网络安全应急管理事件处置发生网络安全事件后,及时向主管领导报告,按照预案开展处置工作;重大事件及时通报网络安全主管部门。
2 定性发生过事件并按要求处置,或者未发生过安全事件,P = 1;发生过事件但未按要求处置,P = 0。
网络安全教育培训意识教育面向全体人员开展网络安全形势和警示教育、基本技能培训等活动。
3 定量本年度开展活动的次数≥3,P = 1;次数=2,P = 0.7;次数=1,P = 0.3;次数=0,P = 0。
专业培训定期开展网络安全管理人员和技术人员专业培训。
3 定量P = 本年度网络安全管理和技术人员中参加专业培训的比率。
网络安全检查工作部署下发检查工作相关文件或者组织召开专题会议,对年度检查工作进行部署。
2 定性符合,P = 1;不符合,P = 0。
工作机制明确检查工作负责人、检查机构和检查人员。
2 定性符合,P = 1;不符合,P = 0。
技术检测使用技术手段进行安全检测。
2 定性符合,P = 1;不符合,P = 0。
检查经费安排并落实检查工作经费。
2 定性符合,P = 1;不符合,P = 0。
合计- - - - -。