度信息安全检查表.docx
《度信息安全检查表.docx》由会员分享,可在线阅读,更多相关《度信息安全检查表.docx(29页珍藏版)》请在冰点文库上搜索。
度信息安全检查表
附件1:
网络安全检查材料
(2014年)
部门:
(签章)
联系人:
联系电话:
填表时间:
填表说明:
一、如实认真填写各表各项内容。
二、如本单位有下属单位或部门,应组织下属单位或部门一并开展信息安全检查,并填写检查材料。
下属单位的《外包服务机构情况表》及《重要信息系统情况调查表》与本单位表格一并装订。
三、《外包服务机构情况表》及《重要信息系统情况调查表》如不够填写,可自行复制增补。
四、网络安全检查总结附在本材料末,统一装订后上交。
五、涉密信息系统不在此次调查范围内。
网络安全自查表
评估指标
评价要素
权重(V)
评价标准(P为量化值)
计分
(P*V)
组织管理
分管领导
3
明确一名主管领导负责本部门网络安全工作。
已明确,本年度就网络安全工作作出批示或主持召开专题会议,P=1;已明确,本年度未就网络安全工作作出批示或主持召开专题会议,P=0.5;未明确,P=0。
责任部门
2
明确一个部门具体承担网络安全管理工作。
(应为本单位二级机构)。
已以正式文件等形式明确其职责,P=1;未明确,P=0。
信息安全员
2
各本单位及下属部门指定一名专职或兼职信息安全员。
P=指定网络安全员的机构数量与机构总数的比率。
网络安全
日常管理
规章制度
制度完整性
3
建立网络安全管理制度体系,涵盖人员管理、资产管理、采购管理、外包管理、教育培训等方面。
制度完整,P=1;制度不完整,P=0.5;无制度,P=0。
制度发布
2
安全管理制度以正式文件等形式发布。
符合,P=1;不符合,P=0。
人员管理
保密协议
2
重点岗位人员(系统管理员、网络管理员、网络安全员等)签订网络安全与保密协议。
P=重点岗位人员中签订网络安全与保密协议的比率。
离岗管理
2
人员离岗离职时,收回其相关权限,签署安全保密承诺书。
符合,P=1;不符合,P=0。
到访管理
2
外部人员访问机房等重要区域时采取审批、人员陪同、进出记录等安全管理措施。
符合,P=1;不符合,P=0。
资产管理
责任落实
2
指定专人负责资产管理,并明确责任人职责。
符合,P=1;不符合,P=0。
建立台账
2
建立完整资产台账,统一编号、统一标识、统一发放。
符合,P=1;不符合,P=0。
评估指标
评价要素
权重(V)
评价标准(P为量化值)
计分
(P*V)
网络安全
日常管理
资产管理
账物相符
2
资产台账和设备相一致。
符合,P=1;不符合,P=0。
维修报废
2
完整记录设备维修维护和报废信息(时间、地点、内容、责任人等)。
记录完整,P=1;记录不完整,P=0.5;无记录,P=0。
经费保障
3
将网络安全设施运维、日常管理、教育培训、检查评估等费用纳入年度预算。
符合,P=1;不符合,P=0。
外包管理
服务协议
2
与信息技术外包服务提供商签订网络安全与保密协议,或在服务合同中明确网络安全与保密责任。
符合,P=1;不符合,P=0。
现场管理
2
现场服务过程中安排专人管理,并记录服务过程。
记录完整,P=1;记录不完整,P=0.5;无记录,P=0。
开发管理
2
外包开发的系统、软件上线前通过信息安全测评。
P=外包开发的系统、软件上线前通过信息安全测评的比率。
运维方式
2
原则上不得采用远程在线方式,确需采用时采取书面审批、访问控制、在线监测、日志审计等安全防护措施。
符合,P=1;不符合,P=0。
网络安全
防护管理
物理环境
机房安全
2
具备防盗窃、防破坏、防雷击、防火、防水、防潮、防静电及备用电力供应、温湿度控制、电磁防护等安全措施。
符合,P=1;不符合,P=0。
2
访问控制
1
机房配备门禁系统或有专人值守。
符合,P=1;不符合,P=0。
1
边界安全
访问控制
3
网络边界部署访问控制设备,能够阻断非授权访问。
符合,P=1;有设备。
但未配置侧咧,P=0.5;无设备,P=0。
3
入侵检测
2
网络边界部署入侵检测设备,定期更新检测规则库。
符合,P=1;有设备,但未定期更新,P=0.5;无设备,P=0。
0
评估指标
评价要素
权重(V)
评价标准(P为量化值)
计分
(P*V)
网络安全防护管理
边界安全
安全审计
2
网络边界部署安全审计设备,对网络访问情况进行定期分析审计并记录审计情况。
符合,P=1;有设备,但未定期分析,P=0.5;无设备,P=0。
0
入口数量
2
同一办公区域内互联网接入口不超过2个。
符合,P=1;不符合,P=0。
2
设备安全
恶意代码
2
部署防病毒网关或统一安装防病毒软件,并定期更新恶意代码库。
符合,P=1;有设备,但未定期更新,P=0.5;无设备,P=0。
0
漏洞扫描
2
定期对服务器、网络设备、安全设备等进行安全漏洞扫描。
符合,P=1;不符合,P=0。
0
服务器
口令策略
1
配置口令策略保证服务器口令强度和更新频率。
P=配置了口令策略的服务器比率。
0
服务器
安全审计
1
启用安全审计功能并进行定期分析。
P=安全审计日志进行定期分析的服务器比率。
0
服务器
补丁更新
2
及时对服务器操作系统补丁和数据库管理系统补丁进行更新。
P=补丁得到及时更新的服务器比率。
2
网络设备和安全设备
口令策略
1
配置口令策略保证网络设备和安全设备(指重要设备)口令强度和更新频率。
P=网络设备和安全设备中配置了口令策略的比率。
0
终端计算机统一防护
2
采取集中统一管理方式对终端进行防护,统一软件下发、安装系统补丁。
符合,P=1;不符合,P=0。
0
终端计算机接入控制
1
采取技术措施(如部署集中管理系统、将IP地址与MAC地址绑定等)对接入单位网络的终端计算机进行控制。
符合,P=1;不符合,P=0。
1
存储安全
1
配备必要的电子信息消除和销毁设备,对变更用途的存储介质进行信息消除,对废弃的存储介质进行销毁。
符合,P=1;不符合,P=0。
1
评估指标
评价要素
权重(V)
评价标准(P为量化值)
计分
(P*V)
网络安全防护管理
应用系统
(无门户网站或邮件系统则相应项P=1)
风险评估与等级保护
2
按《信息化条例》要求,对本单位信息系统实施等级保护,开展风险评估。
等级保护定级未备案或风险评估未采取备案机构开展P=0.5;未实施等级保护或未开展风险评估P=0。
2
门户网站
防篡改
2
门户网站采取网页防篡改措施。
符合,P=1;不符合,P=0。
2
门户网站
抗拒绝服务攻击措施
1
门户网站采取抗拒绝服务攻击措施。
符合,P=1;不符合,P=0。
1
门户网站信息发布审核
2
网站信息发布前采取内容核查、审批等安全管理措施。
符合,P=1;不符合,P=0。
2
电子邮件账号审批注册
1
建立邮件账号开通审批程序,防止邮件账号任意注册使用。
符合,P=1;不符合,P=0。
电子邮箱账户口令策略
1
配置口令策略保证电子邮箱口令强度和更新频率。
符合,P=1;不符合,P=0。
邮件清理
1
定期清理工作邮件。
符合,P=1;不符合,P=0。
数据安全
存储保护
2
采取技术措施(如加密、分区存储等)对存储的重要数据进行保护。
符合,P=1;不符合,P=0。
2
传输保护
2
采取技术措施对传输的重要数据进行加密和校验。
符合,P=1;不符合,P=0。
2
数据和系统备份
2
采取技术措施对重要数据和系统进行定期备份。
符合,P=1;不符合,P=0。
2
数据中心、灾备中心设立
1
数据中心、灾备中心应设在境内。
符合,P=1;不符合,P=0。
1
网络安全应急管理
应急预案
2
制定网络安全事件应急预案(部门级预案,非单个系统的应急预案),并使相关人员熟悉应急预案。
符合,P=1;不符合,P=0。
评估指标
评价要素
权重(V)
评价标准(P为量化值)
计分
(P*V)
网络安全应急管理
应急演练
2
开展应急演练,留存演练计划、方案、记录、总结等文档。
符合,P=1;不符合,P=0。
应急资源
1
制定应急技术支援队伍,配备必要的备件等应急物质。
符合,P=1;不符合,P=0。
事件处理
2
发生网络安全事件后,及时向主管领导报告,按照预案开展处置工作;重大事件及时通报网络安全主管部门。
及时按照省信息安全主管部门处置网络安全事件。
发生过事件并按要求及时处置,或未发生事件,P=1;发生过事件未按要求及时处置,P=0。
网络安全教育培训
意识教育
3
面向全体人员开展网络安全形势与警示教育、基本技能培训等活动。
本年度开展活动的次数>2,P=1;次数=2,P=0.7;次数=1,P=0.3;次数=0,P=0。
专业培训
3
参加全省统一组织的管理人员和技术人员专业培训。
符合,P=1;不符合,P=0。
网络安全检查
工作部署
1
下发检查工作相关文件或者组织召开专题会议,对年度检查工作进行部署。
符合,P=1;不符合,P=0。
工作机制
1
明确检查工作负责人、检查机构和检查人员。
符合,P=1;不符合,P=0。
技术检测
2
使用技术手段进行安全检测。
符合,P=1;不符合,P=0。
检查经费
1
安排并落实检查工作经费。
符合,P=1;不符合,P=0。
整改落实
3
完成上一年度信息安全检查整改,并针对本年度自查问题制定整改工作方案。
符合,P=1;无前一年度整改记录或本年度整改方案,P=0.5;不符合,P=0。
网络安全情况表
部门组织情况
分管领导
姓名
职务
责任处室
名称
负责人
职务
电话
信息安全员
姓名
移动电话
电话
信息系统基本情况
信息系统情况
信息系统总数
可以通过互联网访问的系统数量
不能通过互联网访问的系统数量
面向社会公众提供服务的系统数量
重要信息系统数量
本年度经过安全测评的系统数量
互联网接入情况
互联网入口总数
电信入口数量
带宽(M)
联通入口数量
带宽(M)
其他入口数量
带宽(M)
系统定级数量
第一级
第二级
第三级
第四级
第五级
未定级
门户网站情况
域名
IP地址
运维主体
信息技术产品使用情况
服务器
总台数
国内品牌台数
其中国产CPU台数:
国外品牌台数
使用国产操作系统台数:
使用国外操作系统台数:
终端计算机
(含笔记本)
总台数
国内品牌台数
其中国产CPU台数:
国外品牌台数
使用国产操作系统台数:
使用国外操作系统台数:
使用windowsXP台数:
安装国产字处理软件的终端计算机台数:
安装国产防病毒软件的终端计算机台数:
路由器
总台数
国内品牌台数
国外品牌台数
交换机
总台数
国内品牌台数
国外品牌台数
存储设备
总台数
国内品牌台数
国外品牌台数
数据库管理系统
总台数
国内品牌台数
国外品牌台数
邮件系统
总数
品牌
数量
品牌
数量
负载均衡设备
总数
品牌
数量
品牌
数量
防火墙
总数
品牌
数量
品牌
数量
入侵检测设备
总数
品牌
数量
品牌
数量
安全审计设备
总数
品牌
数量
品牌
数量
外包服务机构情况表
外包服务机构1
机构名称
机构性质
□国有单位□民营企业□外资企业
服务内容
□系统集成□系统运维□风险评估
□安全检测□安全加固□应急支持
□数据存储□灾难备份
□其他:
_________________
网络安全保密协议
□已签订□未签订
信息安全管理体系认证
□已通过认证
认证机构:
_______________
□未通过认证
外包服务机构2
机构名称
机构性质
□国有单位□民营企业□外资企业
服务内容
□系统集成□系统运维□风险评估
□安全检测□安全加固□应急支持
□数据存储□灾难备份
□其他:
_________________
网络安全保密协议
□已签订□未签订
信息安全管理体系认证
□已通过认证
认证机构:
_______________
□未通过认证
重要信息系统情况调查表
信息系统基本情况
信息系统名称
信息系统类型
☐□互联网系统☐□内网/专网系统☐□工业控制系统
(请根据系统类型选填下表内容)
基本功能简介:
等级保护定级:
______级(未定级留空)
互联网系统
IP地址
域名
是否面向社会公众提供服务
☐□是☐□否
系统运转连续性要求
可容忍中断时间:
□小于30分钟
□30分钟至12小时
□大于12小时
日PV量
(页面浏览量)
日UV量
(IP访问量)
数据备份情况
☐□存储介质备份☐□数据级灾备☐□系统级灾备
开发单位简介:
运维单位简介:
内网/专网系统
是否与互联网数据交换
☐□是☐□否
系统运转连续性要求
可容忍中断时间:
□小于30分钟
□30分钟至12小时
□大于12小时
数据备份情况
☐□存储介质备份☐□数据级灾备☐□系统级灾备
开发单位简介:
运维单位简介:
工业控制系统
是否连接互联网
☐□是☐□否
系统运转连续性要求
可容忍中断时间:
□小于30分钟
□30分钟至12小时
□大于12小时
系统中断后可能造成的损失
☐□人身伤害☐□经济损失☐□环境污染☐□其它
简要描述可能损害情况:
信息系统密码应用情况
密码设备
使用情况
IPsecVPN密码机
□已采用□未采用
使用国产算法
□是□否
数量
厂家及型号
SSLVPN密码机
□已采用□未采用
使用国产算法
□是□否
数量
厂家及型号
服务器密码机
□已采用□未采用
使用国产算法
□是□否
数量
厂家及型号
第三方电子
认证证书
□已采用□未采用
认证机构名称
安全认证网关
□已采用□未采用
使用国产算法
□是□否
数量
厂家及型号
签名验证服务器
□已采用□未采用
使用国产算法
□是□否
数量
厂家及型号
智能密码钥匙
□已采用□未采用
使用国产算法
□是□否
数量
厂家及型号
电子签章系统
□已采用□未采用
使用国产算法
□是□否
数量
厂家及型号
动态令牌
□已采用□未采用
使用国产算法
□是□否
数量
厂家及型号
智能IC卡
□已采用□未采用
使用国产算法
□是□否
数量
厂家及型号
加密U盘/加密硬盘
□已采用□未采用
使用国产算法
□是□否
数量
厂家及型号
加密路由器
□已采用□未采用
使用国产算法
□是□否
数量
厂家及型号
自建证书认证系统
□自建□未自建
使用国产算法
□是□否
数量
厂家及型号
自建密钥管理系统
□已自建□未自建
使用国产算法
□是□否
数量
厂家及型号
金融数据密码机
□已采用□未采用
使用国产算法
□是□否
数量
厂家及型号
支付服务密码机
□已采用□未采用
使用国产算法
□是□否
数量
厂家及型号
密码产品备案
□已备案□未备案
系统密码测评
□已测评□未测评
密码方案审查
□已审查□未审查
升级会员 