公安机关网络安全执法检查自查表

关于开展网络安全防护工作的自查报告根据《国科院办公厅关于印发政府网站发展指引的通知》、《互联网安全保护基础措施规定》等相关政策法规的要求，我单位接到**市公安局《关于开展“2018年**市公安机关网络安全执法检查工作”的通知》后，我单位领导高度重视，及时安排部署组织开展本年度网络安全检查，认真查找我单位网络与信息安全工作中存在的隐患及漏洞，完善安全管理措施，减少安全风险，提高应急处置能力，确保网络和信息安全，现将本单位自查工作情况汇报如下：一、成立网络安全领导小组及落实相关网络安全人员我单位高度重视网络安全工作，成立了由主要领导任组长，技术分管领导任副组长，全体干部为组员的网络安全领导小组，领导小组下设办公室，办公室设在技术部办公室。

同时针对网络安全人员的配备及责任落实情况做了明确要求（附件一：《**日报网络传媒中心网络安全人员及相关责任登记表》），为确保网络安全工作顺利开展，我单位要求全体干部充分认识网络安全工作的重要性，认真学习网络安全知识，都能按照网络安全的各种规定，正确使用计算机网络和各类信息系统，并制定了《**日报网络传媒中心网络安全规划方案》（附件五）。

二、基本情况及网络安全管理现状我单位目前共有内网线路1条，即中国电信宽带网，由光纤接入办公室，共连接非涉密计算机244 台；政务内网1条、档案专线1条，涉密计算机2台。

上述所有电脑都配备了杀毒软件，能定期杀毒与升级。

对涉密计算机的管理，明确了一名分管领导具体负责，并制定专人从事计算机保密管理工作。

对非涉密计算机的管理，明确非涉密计算机不得处理涉密信息。

对于计算机磁介质（软盘、U 盘、移动硬盘等）的管理，采取专人保管、涉密文件单独存放，严禁携带存有涉密内容的磁介质到上网的计算机上加工、储存、传递处理文件。

另外，我单位在电信托管有7台服务器，维护**市市委、市政府、市直部门及党群单位网站共计30余个（附件六：《**市市委、市政府、市直部门及党群单位登记表》），在日常进行安防、备份等方面的维护工作方面，能做到对网站和应用系统的程序升级、账户、口令、软件补丁、查杀病毒、外部接口以及网站维护等方面的问题逐一进行清理、排查，能及时更新升级的更新升级，进一步强化安全防范措施，及时堵塞漏洞、消除隐患、化解风险。

附件3 2022年公安机关网络安全执法检查自查表表一：信息系统运营使用单位填写一、信息系统运营使用单位基本情况单位名称单位地址网络安全分管领导网络安全责任部门责任部门负责人责任部门联系人单位信息系统总数单位信息系统等级测评总数单位信息系统安全建设整改总数单位信息系统安全自查总数姓名姓名办公电话姓名办公电话第四级系统数第二级系统数第四级系统数第二级系统数第四级系统数第二级系统数第四级系统数第二级系统数职务/职称职务/职称挪移电话职务/职称挪移电话第三级系统数未定级系统数第三级系统数未测评系统数第三级系统数未整改系统数第三级系统数未自查系统数二、信息系统运营使用单位网络安全工作情况1、单位网络安全等级保护工作的组织领导情况(重点包括：单位网络安全领导机构或者网络安全等级保护工作领导机构成立情况；单位网络安全或者网络安全等级保护工作的职责部门和具体职能情况；单位网络安全等级保护工作部署情况等。

)2、单位对网络安全等级保护工作的保障情况(重点包括：单位网络安全等级保护工作年度考核情况；单位组织开展网络安全自查情况；单位网络安全工作经费是否纳入年度预算?单位网络安全工作的经费约占单位信息化建设经费的百分比情况等。

)3、单位网络安全责任追究制度执行情况(重点包括：是否建立了单位网络安全责任追究制度？是否依据责任追究制度对单位发生的网络安全事件(事故)进行追责等情况。

)4、单位信息系统定级备案工作情况(重点包括：单位信息系统是否全部定级备案？单位系统调整是否及时进行备案变更？单位新建信息系统是否落实定级备案等工作。

)5 、单位信息系统安全测评和安全建设整改工作情况(重点包括：单位信息系统安全检测和整改经费落实情况；单位信息系统恶意代码扫描、渗透性测试、等级测评和风险评估的安全检测情况；信息系统安全建设整改方案制定和实施情况；单位网络安全保护状况的了解掌握等情况。

)6、单位网络安全管理制度的制定和实施情况(重点包括：单位信息系统建设和网络安全“同步规划、同步建设、同步运行”措施的落实情况；单位人员管理，信息系统机房管理、设备管理、介质管理、网络安全建设管理、运维管理、服务外包等管理制度的建设情况；管理制度的监督保障和运行情况等。

网络安全检查表格(总24页)--本页仅作为文档封面，使用时请直接删除即可----内页可以根据需求调整合适字体及大小--附件1网络安全检查表1本表所称恶意代码，是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。

2本表所称高风险漏洞，是指计算机硬件、软件或信息系统中存在的严重安全缺陷，利用这些缺陷可完全控制或部分控制计算机及信息系统，对计算机及信息系统实施攻击、破坏、信息窃取等行为。

附件2网络安全管理工作自评估表9101112131415附件3重点行业网络安全检查结果统计表3网络安全事件分级标准参见《国家网络与信息安全事件应急预案》（国办函〔2008〕168号）附件4重点网络与信息系统商用密码检查情况汇总表统计密码设备时，国内指取得国家密码管理局型号的产品，国外指未取得国家密码管理局型号的产品（包括国外的产品）。

附件5重点网络与信息系统商用密码检查情况表备注：1. 表中的“密码机类”主要包括以下产品：IPSec/SSL VPN密码机、网络密码机、链路密码机、密码认证网关、存储加密机、磁带库/磁盘阵列存储加密机、密钥管理密码机、终端密钥分发器、量子密码机、服务器密码机、终端密码机、金融数据密码机、签名验证服务器、税控密码机、支付服务密码机、传真密码机、电话密码机等。

2. 表中的“密码系统”主要包括以下系统：动态令牌认证系统、数字证书认证系统、证书认证密钥管理系统、IC卡密钥管理系统、身份认证系统、数据加密传输系统、密码综合服务系统、密码设备管理系统等。

3. 表中的“网络通信”主要包括以下产品：无线接入点、无线上网卡、加密电话机、加密传真机、加密VOIP终端等。

4. 表中“密码设备使用情况”的“产品型号”栏，应填写国家密码行政主管部门审批的商用密码产品型号，若产品无商用密码产品型号，可填写产品相关资质证书上标注的型号或生产厂家自定义的型号。

年度公安机关网络安全执法检查自查表表五：网站安全情况自查表一、网站的基本情况网站中文名地址网址网站责任单位网站运行单位网站责任单位负责人及职务联系电话网站运行安全责任人及职务联系电话网站责任单位所在地工信部备案号国际联网备案号隶属关系□中央□省(自治区、直辖市) □地(区、市、州、盟) □县（区、市、旗）□其他单位类型□政府机关□事业单位□国企□互联网□其他行业类别如：财政（根据等级保护备案表行业分类划分）等级保护定级备案□二级□三级□四级□未定级等级测评□已开展□未开展网站安全责任书□已签订□未签订- 1 - / 6网站服务栏目□新闻发布□政策宣传□事项办理□论坛□即时通信□电子邮件□留言版□政务公开□其他二、网站安全保护情况网站安全责任部门和安全责任人落实情况是否落实了单位网站安全责任部门？□是□否是否落实了单位网站安全责任人？□是□否主要领导对网站网络安全工作的重视情况是否将网站安全工作的执行情况纳入到年度考核指标？□是□否开展网站安全工作的经费是否纳入年度预算？□是□否单位网站网络安全责任制落实情况是否明确了网站建设单位、运维单位和内容更新单位等部门的责任？□是□否是否对发生的网站安全事件（事故）按照安全责任制进行追责？□是□否关键岗位人员配备情况是否有明确的安全管理员，并签订保密协议？□是□否是否有内容管理员，并签订保密协议？□是□否网站定级备案执行情况单位网站是否确定了安全保护等级？□是□否单位网站是否按要求到公安机关进行了备案？□是□否网站等级测评情况是否从《全国信息安全等级保护测评机构推荐目录》中选择测评机构开展等级测评？□是□否是否对网站系统定期进行安全测评？□是□否是否对网站系统进行了外部渗透测试？□是□否是否根据测评和渗透测试结果对网站进行安全加固改造？□是□否安全事件报告处置是否制定网站安全事件（事故）报告制度？□是□否发生网站安全事件（事故）是否向属地公安机关报告？□是□否是否有完整网站安全事件处置记录？□是□否是否按照要求保留网站完整日志？□是□否开展网站安全监测和预警情况本单位是否开展日常网站安全监测？□是□否是否有网站安全监测记录？□是□否是否有网站安全预警和处理记录？□是□否网站内容管理是否制定网站内容发布管理制度？□是□否是否制定网站内容发布流程？□是□否应急预案的制定、演练和完善情况是否有应急预案，并有相应的预案文档？□是□否是否有应急保障队伍并有人员联系方式？□是□否是否定期应急演练并有应急演练的文档记录？□是□否是否根据演练结果对应急预案进行完善？□是□否机房安全管理制度执行情况本单位机房进出人员管理是否按照制度执行，并有详细记录？□是□否本单位机房日常监控是否制度执行并有监控记录？□是□否网络安全检查情况是否有网站安全自查工作总结报告？□是□否网站交互式栏目信息巡查情况单位网站是否有交互式栏目？□是□否是否有专人负责网站交互式栏目信息巡查？□是□否网络边界安全防护设备情况是否部署防火墙？□是□否是否对外屏蔽了不必要的服务端口？□是□否是否部署入侵检测（防护）设备？□是□否是否部署防病毒网关？□是□否是否部署抗拒绝服务攻击设备？□是□否是否部署应用防火墙？□是□否是否部署设备？□是□否网页防篡改措施是否定期对网站文件进行检测？□是□否- 3 - / 6是否采取网页防篡改措施？□是□否漏洞扫描措施及修复升级情况是否进行过系统层漏洞扫描，并有详细记录？□是□否是否进行过应用层漏洞扫描，并有详细记录？□是□否发现的漏洞是否及时修复？□是□否网站恶意代码防护是否有网页挂马检测系统？□是□否网站内容安全防护措施内容编辑、审核及发布权限是否分离？□是□否关键信息发布是否多级审核？□是□否网站发布内容是否过滤？□是□否管理终端安全防护措施是否有控制措施（如地址绑定，网络接入控制等）？□是□否网站后台管理系统防护措施是否对网站后台管理系统的接口进行隐藏？□是□否网站后台管理系统登录是否采取验证机制？□是□否是否对网站后台管理系统的登录失败尝试次数进行限制？□是□否是否对网站后台管理系统的用户口令复杂度进行强度限制？□是□否主要设备可用性网站服务器和数据库服务器是否双机热备？□是□否网站服务器和数据库服务器是否采用冷备方式？□是□否网站前、后台系统隔离情况是否采用逻辑隔离？□是□否网站应用远程管理情况是否不允许远程管理网站的应用？□是□否应用远程管理时是否采用加密通道？□是□否网站内容远程维护情况是否不允许远程维护网站内容？□是□否网站内容远程维护时是否采用加密通道？□是□否网站服务器操作系统安全措施网站服务器操作系统安全补丁是否及时更新？□是□否网站服务器操作系统是否存在弱口令？□是□否网站服务器数据库安全措施网站服务器数据库是否存在弱口令？□是□否网站服务器数据库是否共用同一管理口令？□是□否网站服务器中间件安全措施网站服务器中间件管理界面是否允许外部访问？□是□否网站服务器中间件是否存在弱口令？□是□否网站安全整治专项工作情况是否完成网站通信管理部门备案？□是□否是否完成网站等级保护备案？□是□否是否完成网站统一标识？□是□否三、互联网大型综合网站数据安全保护情况、互联网大型综合网站数据资源采集、存储、传输、应用和安全保护情况、利用互联网大型综合网站数据资源从事大数据分析挖掘、增值服务情况、互联网大型综合网站数据资源的转租情况及实际应用企业情况- 5 - / 6。

网络安全自查表在这个数字化时代，网络安全问题日益突出，我们每个人都应该认识到保护自己的网络安全的重要性。

为了帮助大家更好地了解自身网络安全的状况，我整理了一份网络安全自查表。

通过这份自查表，我们可以检查自己在网络安全方面的薄弱环节，从而采取相应的措施加强保护。

一、个人信息保护1. 我是否定期更新并设置强密码来保护我的各个在线账户（包括电子邮件、社交媒体、电子银行等）？2. 我是否在所有在线账户上使用不同的密码？3. 我是否定期检查我的在线账户活动，以寻找任何异常活动迹象？4. 我是否通过启用多重身份验证来加强我的账户安全性？5. 我是否慎重选择分享个人信息的平台和渠道，避免泄露敏感信息？二、设备保护1. 我是否使用最新的操作系统和应用程序版本，以确保我获得最新的安全补丁？2. 我是否安装和更新了可靠的杀毒软件和防火墙？3. 我是否定期备份重要的文件和数据，以防止数据丢失或被黑客攻击？4. 我是否只从可信任的网站下载软件和应用程序，并验证其身份和来源？5. 我是否定期检查我的设备是否存在异常或不明的活动？三、社交媒体安全1. 我是否在社交媒体上仅与我认识的人互动，并小心避免与陌生人分享个人信息？2. 我是否定期审查我的社交媒体隐私设置，并只向信任的人公开我的个人信息？3. 我是否小心避免在社交媒体上发布敏感信息，如家庭地址、电话号码等？4. 我是否警觉并及时报告任何网络欺凌、骚扰或威胁行为？5. 我是否小心防范虚假信息和网络谣言，避免随意转发或分享未经证实的消息？四、网络支付安全1. 我是否只使用可信任的支付平台和网站进行在线购物和支付？2. 我是否经常检查我的银行和信用卡账单，以发现任何异常的支付记录？3. 我是否避免在公共无线网络上进行敏感的金融交易？4. 我是否小心验证商家的合法性和信誉度，以避免落入网络诈骗陷阱？5. 我是否定期更改我的支付密码和安全问题，以保护我的账户安全？五、教育和培训1. 我是否定期关注网络安全的最新动态和趋势？2. 我是否参与网络安全培训和教育活动，提高自己的网络安全意识和技能？3. 我是否向家人和朋友分享网络安全知识和经验，以帮助他们提升自我保护能力？4. 我是否定期检查并更新我的网络安全策略，以适应不断变化的威胁环境？5. 我是否与其他网络安全专家和爱好者交流，共同探讨和解决网络安全问题？通过回答上述问题，我们可以发现我们在网络安全方面的不足之处，并采取相应的措施进行改进。

附件2
网络与信息安全专项整治行动检查工作自查表
- 1 -
- 2 -
- 4 -
- 6 -
说明：
1.本自评标准的评分项目根据《国家网络安全检查操作指南》设置，共37小项。

其中，第1至34小项设置总分值为100分；第35至36小项为加重扣分项，不设分值；第37小项为否决项。

2.单位对照项目自评，未达到项目要求的扣除相应分值，在得分栏中注明得分分值；累计扣分超过项目分值的，扣分分值不超过项目分值上限。

3.发生第35至36小项严重违规行为和网络安全事件的，直接扣除相应分值；发生第37小项严重网络安全案件的，直接评定为不符合要求。

单位名称：（盖章）
单位负责人：信息部门负责人：
填表日期：
- 8 -。

网络安全检查自查表一、系统与软件更新1、操作系统检查操作系统是否为最新版本，包括补丁更新。

确认自动更新功能是否开启，并检查更新历史记录。

2、应用程序梳理常用的应用程序，如办公软件、浏览器等，查看是否均已更新到最新版。

对于关键业务应用程序，核实是否有定期的更新计划和维护机制。

二、用户账号与权限管理1、用户账号清查系统中的用户账号，删除或禁用不再使用的账号。

检查是否存在弱密码或默认密码的账号，强制用户修改为强密码。

2、权限分配审查用户的权限设置，确保权限与工作职责相匹配，避免权限过高或过低。

对于管理员账号，严格限制其使用范围，并定期审查其操作记录。

三、网络访问控制1、防火墙规则检查防火墙规则是否合理，只允许必要的网络流量通过。

确认防火墙是否启用了入侵检测和防御功能。

2、远程访问评估远程访问的安全性，如 VPN 的配置和使用是否合规。

限制远程访问的来源和时间，确保只有授权人员能够在特定时段进行远程访问。

四、数据备份与恢复1、备份策略制定完善的数据备份计划，包括备份的频率、存储位置和保留周期。

验证备份数据的完整性和可恢复性，定期进行恢复测试。

2、数据加密对于敏感数据，检查是否进行了加密处理，加密算法是否足够安全。

确保加密密钥的安全存储和管理。

五、防病毒与恶意软件防护1、防病毒软件确认所有终端设备都安装了有效的防病毒软件，并保持病毒库更新。

检查防病毒软件的扫描设置和日志，及时处理发现的病毒和恶意软件。

2、恶意软件检测部署恶意软件检测工具，定期对网络进行扫描，发现潜在的威胁。

培训用户识别和防范恶意软件的技巧。

六、网络设备安全1、路由器与交换机检查网络设备的配置，如登录密码强度、访问控制列表等。

确保网络设备的固件是最新版本，修复已知的安全漏洞。

2、无线设备强化无线网络的安全设置，如使用 WPA2 或更高的加密方式。

隐藏无线网络的 SSID，防止未经授权的连接。

七、安全意识培训1、培训计划制定定期的网络安全培训计划，覆盖全体员工。

网络安全自检自查表1. 网络基础设施- [ ] 确保所有网络设备（路由器、交换机等）的固件和软件都是最新的版本。

- [ ] 检查网络设备的身份验证设置，确保只有授权人员可以访问。

- [ ] 检查网络设备的日志功能是否开启，并定期审核。

- [ ] 检查是否有未经授权的设备连接到网络。

2. 计算机安全- [ ] 确保所有计算机系统都安装了最新的操作系统和安全补丁。

- [ ] 启用防火墙并配置适当的网络访问策略。

- [ ] 定期更新和运行反恶意软件程序以检测和清除恶意软件。

- [ ] 检查是否有未经授权的软件程序安装在计算机上。

3. 数据安全- [ ] 确保重要数据有备份，并定期测试恢复过程。

- [ ] 为敏感数据设置访问控制，并限制其访问权限。

- [ ] 实施加密措施，保护敏感数据在传输和存储过程中的安全性。

- [ ] 定期检查数据的完整性和准确性。

4. 员工教育- [ ] 提供网络安全培训，并确保员工了解网络安全的基本概念和最佳实践。

- [ ] 制定和实施网络安全政策，并要求员工遵守。

- [ ] 检查员工的账号和访问权限，确保没有多余或未授权的权限。

- [ ] 定期审查员工的网络活动日志。

5. 外部合作伙伴和供应商- [ ] 检查与外部合作伙伴和供应商的网络连接安全性，并限制其访问权限。

- [ ] 确保与外部合作伙伴和供应商签订了合适的保密协议。

- [ ] 定期审查外部合作伙伴和供应商的网络安全措施。

6. 物理安全- [ ] 确保服务器和其他重要设备存放在安全的地方，只有授权人员可以访问。

- [ ] 监控整个网络环境，包括入口处和各个关键区域。

- [ ] 定期进行安全巡检，检查物理安全设施的有效性。

- [ ] 控制访客和访问者的进入，并采取适当的身份验证措施。

7. 灾难恢复和业务持续性计划- [ ] 制定灾难恢复和业务持续性计划，并定期测试和审查。

- [ ] 确保备份数据存储在安全的地方，并可以恢复到最新状态。

2018年驻马店市公安机关网络安全执法检查自查表表一：行业主管部门填写一、行业主管部门基本状况行业主管部门名称单位地点网络安全分管领导姓名职务 /职称网络安全责任部门姓名职务 /职称责任部门负责人办公电话挪动电话姓名职务 /职称责任部门联系人办公电话挪动电话传真邮箱地点第四级系统数第三级系统数全行业信息系统总数第二级系统数不决级系统数第四级系统数第三级系统数全行业信息系统等级测评总数第二级系统数未测评系统数第四级系统数第三级系统数全行业信息系统安全建设整顿总数第二级系统数未整顿系统数本级单位信息系统第四级系统数第三级系统数总数第二级系统数未整顿系统数二、行业主管部门网络安全工作状况1、行业网络安全工作的组织领导状况（要点包含：行业网络安全领导机构或网络安全等级保护工作领导机组成立状况；行业网络安全或网络安全等级保护工作的职责部门和详细职能状况；全行业网络安全等级保护工作部署状况等。

）2、行业网络安全等级保护工作保障状况（要点包含：行业网络安全等级保护工作年度查核状况；行业主管部门组织对地方对口部门或所属企事业单位网络安全检查状况；行业网络安全工作经费能否归入年度估算？行业网络安全工作的经费约占行业信息化建设经费的百分比状况等。

）3、行业网络安全责任追查制度履行状况（要点包含：能否成立了行业网络安全责任追查制度？能否依照责任追查制度对行业发生的网络安全事件（事故）进行追责等状况。

）4、行业网络安全与信息通告工作状况（要点包含：能否成立了本行业网络与信息安全通告体制？行业组织展开平时网络安全监测状况；本行业展开网络与信息安全通告预警工作的整体状况等。

）5、行业重要网络安全政策和技术标准的拟订状况（要点包含：行业出台网络安全或等级保护政策、管理方法、管理规定等规范性文件状况，详细文件名字和出台时间；行业出台网络安全或等级保护标准规范状况，详细文件名字和出台时间等状况。

）6、行业网络安全顶层设计和兼顾规划状况（要点包含：行业网络安全顶层设计状况；行业网络安全工作的短期目标和长久规划拟订状况；全行业的网络安全保护策略拟订状况等。