(表格3)2017年重点单位网络安全自查表
网络安全自查表
网络安全自查表一、基础网络设施1、检查网络设备(如路由器、交换机)是否及时更新了固件和软件,以修复已知的安全漏洞。
2、确认网络拓扑结构是否合理,是否存在单点故障或易受攻击的环节。
3、检查网络访问控制策略,是否仅允许授权的设备和用户接入网络。
二、操作系统和软件1、确保所有计算机和服务器的操作系统(如 Windows、Linux)及时安装了安全补丁。
2、检查常用软件(如办公软件、浏览器)是否为最新版本,旧版本可能存在安全风险。
3、核实是否安装了正版软件,避免使用盗版软件带来的潜在安全威胁。
三、用户账号和密码管理1、审查用户账号是否存在多余或长期未使用的情况,及时清理。
2、确认密码强度是否足够,是否定期更改密码。
3、检查是否启用了多因素身份验证,以增加账号的安全性。
四、数据备份与恢复1、评估数据备份策略,是否定期进行完整备份,备份数据是否存储在安全的位置。
2、测试数据恢复流程,确保在发生灾难或数据丢失时能够快速恢复数据。
五、网络防火墙和入侵检测系统1、检查防火墙规则是否合理,是否有效地阻止了未经授权的访问。
2、确认入侵检测系统是否正常运行,是否能够及时发现和报警异常网络活动。
六、移动设备管理1、对于企业中的移动设备(如手机、平板电脑),是否安装了安全软件和进行了设备加密。
2、规范移动设备的接入政策,防止未经授权的设备接入企业网络。
七、员工网络安全意识培训1、询问员工是否接受过网络安全培训,了解基本的网络安全知识和防范措施。
2、观察员工在日常工作中的网络安全行为,如是否随意点击可疑链接、是否随意分享敏感信息。
八、网络安全应急预案1、查看是否制定了网络安全应急预案,包括应急响应流程、责任分工等。
2、模拟网络安全事件,检验应急预案的可行性和有效性。
九、第三方服务提供商管理1、如果使用了第三方服务提供商(如云服务、外包服务),评估其网络安全措施是否符合要求。
2、签订服务合同时,明确网络安全责任和义务。
十、物理安全1、检查服务器机房、网络设备存放地点等是否有适当的物理访问控制措施,如门禁系统、监控摄像头。
网络安全检查自查表
责任部门联系人
姓名 办公电话
职务/职称 移动电话
单位信息系统 总数
单位信息系统 等级测评总数
单位信息系统 安全建设整改总 数
单位信息系统 安全自查总数
第四级系统 数 第二级系统 数 第四级系统 数 第二级系统 数 第四级系统 数 第二级系统 数 第四级系统 数
第二级系统 数
第三级系统 数 未定级系统 数 第三级系统 数 未测评系统 数 第三级系统 数 未整改系统 数 第三级系统 数
6、单位网络安全管理制度的制定和实施情况 (重点包括:单位信息系统建设和网络安全“同步规划、同步建设、同步 运行”措施的落实情况;单位人员管理,信息系统机房管理、设备管理、 介质管理、网络安全建设管理、运维管理、服务外包等管理制度的建设情 况;管理制度的监督保障和运行情况等。) 7、单位重要数据的保护情况 (重点包括:单位数据中心建设情况;单位重要数据存储和安全保护情况; 单位重要数据备份恢复情况,单位重要数据存储和应用是否由社会第三方 提供?提供服务单位的具体情况等) 8、单位网络安全监测和预警情况 (重点包括:单位开展日常网络安全监测情况;单位网络安全监测技术手 段建设情况;单位网络安全预警工作情况等。) 9、单位网络安全应急预案和演练情况 (重点包括:是否制定了单位网络安全预案?单位网络安全预案是否进行 了演练?是否根据演练情况对预案进行了修改完善等情况。) 10、单位网络安全事件(事故)的处置情况 (重点包括:是否明确了单位网络安全事件(事故)发现、报告和处置流 程?年内是否发生重大网络安全事件(事故)?是否与相关部门建立了网 络安全应急处置机制等情况。) 11、单位信息技术产品、服务国产化情况 (重点包括:单位操作系统、服务器、数据库、交换机等核心信息技术产 品的国产化比率情况;单位网络安全设备的国产化比率情况;单位信息技 术产品国产化替换工作计划情况;单位新建信息系统是否采用国产化设备;
网络安全自查表
网络安全自查表网络安全自查表1、网络基础设施1.1、网络拓扑结构1.2、网络设备配置1.3、网络访问控制1.4、IP地质管理1.5、网络连接安全性2、数据安全管理2.1、数据分类和标记2.2、数据备份计划2.3、数据加密措施2.4、数据传输安全性2.5、数据丢失和泄露防护3、用户访问控制3.1、用户账号管理3.2、用户权限分配3.3、用户密码策略3.4、用户登录监控3.5、用户身份验证4、应用程序安全4.1、应用程序开发规范 4.2、应用程序漏洞扫描 4.3、应用程序权限控制 4.4、应用程序日志管理4.5、应用程序补丁和更新5、网络安全监测与警告系统 5.1、安全事件监控5.2、安全事件响应计划 5.3、安全事件记录和分析 5.4、网络入侵检测5.5、安全告警系统6、物理安全6.1、数据中心安全6.2、网络设备安全6.3、无线网络安全6.4、办公场所安全6.5、电子设备安全7、员工安全意识培训7.1、安全政策和规范7.2、安全意识培训计划7.3、安全演练和模拟测试7.4、安全报告和沟通7.5、安全意识奖励机制附件:1、网络拓扑图3、用户权限分配表4、应用程序漏洞扫描工具报告样本5、安全事件响应流程图注释:1、IP地质管理:对网络中的IP地质进行统一管理和分配。
2、数据加密措施:使用密码学技术对敏感数据进行加密,确保数据在存储和传输过程中不被窃取或篡改。
3、用户登录监控:监控用户登录行为、检测异常登录尝试,及时发现并阻止未经授权的访问。
4、应用程序补丁和更新:及时应用最新的安全补丁和更新,修补已知漏洞,提高应用程序的安全性。
5、网络入侵检测:使用专业的入侵检测系统,实时监测网络流量和活动,发现并阻止潜在的入侵行为。
6、数据中心安全:确保数据中心的物理安全,包括访问控制、视频监控、消防系统等措施。
7、无线网络安全:采取合适的加密协议和访问控制措施,保护无线网络免受未经授权的访问。
8、安全意识培训计划:制定员工安全意识培训计划,提高员工对安全风险的认识和应对能力。
网络安全自查表
1-5防火墙规则是否适当(仅开放必需的网络端口)
是否
1-6是否安装防病毒软件
是否
1-7防病毒软件是否更新病毒库,是否定期杀毒
是否
1-8是否已经更新操作系统及软件的补丁
是否
1-9是否留存6个月以上的操作系统日志
是否
1-10是否定期异地备份操作系统重要数据
是否
2、信息系统或网站自查
2-1是否有固定系统管理员
是否
2-2信息系统或网站运行状况是否正常
是否
2-3信息系统或网站是否存在弱密码账号
是否
2-4账号密码是否有强度要求(至少6位,数字、字母、特殊符号的组合)
是否
2-5信息系统或后台是否存在师生敏感信息(个人身份证、手机等)泄露
是否
2-7是否存在不良外链(外链黄赌毒网站、未备案网站)
网络安全自查表
单位名称
自查时间
自查对象(IP或域名,可多个汇总)
自查项目
1、服务器自查(无独立服务器或虚拟机的可忽略此项)
1-1操作系统密码是否已经托管到信息化处,是否使用堡垒机运维
是否
1-2操作系统密码是否复杂(至少8位,数字、字母、特殊符号的组合)
是否
1-3系统运行状况是否正常
是否
1-4是否开启操作系统防火墙
是否
2-8是否存在广告、非法言论、木马等不良信息
是否
2-9是否定期备份信息系统或网站重要数据
是否
3、数据库自查(无独立数据库可忽略此项)
3-1数据库管理员密码是否复杂(至少8位,数字、字母、特殊符号的组合)
是否
3-2数据库管理是否有限制(仅限某些用户或IP)
是否
3-3是否定期异地备份数据库
网络安全自查表
网络安全自查表一、账号与密码安全1. 是否使用强密码,包括字母、数字和符号的组合?2. 是否定期更改密码,以确保账号的安全性?3. 是否避免在公共场所或不安全的网络环境下输入密码?4. 是否使用多因素身份验证来增加账号的安全性?二、软件与系统更新1. 是否定期更新操作系统和应用程序的安全补丁?2. 是否使用合法且可靠的软件?3. 是否定期检测并更新防病毒软件和防火墙?三、网络浏览与下载1. 是否避免访问不安全的网站或点击可疑的广告链接?2. 是否注意域名的正确拼写,以避免访问钓鱼网站?3. 是否仅从可信任的来源下载软件和文件?4. 是否对下载的文件进行病毒扫描,以确保安全性?四、电子邮件与信息传输1. 是否避免打开未知发件人或可疑邮件的附件或链接?2. 是否警惕钓鱼邮件,确认发件人的身份和内容的真实性?3. 是否使用加密通道发送敏感信息,以保护数据的机密性?五、移动设备与无线网络1. 是否设置密码保护移动设备,并使用远程擦除功能,以防止设备丢失或被盗?2. 是否连接到安全的无线网络,避免使用公共无线网络传输敏感信息?3. 是否定期备份移动设备中的重要数据,以防止数据丢失?六、员工培训与意识提升1. 是否定期组织网络安全培训,提高员工的安全意识和技能?2. 是否制定并执行网络安全政策与准则,明确规定员工在使用网络时的责任和义务?3. 是否建立应急响应机制,及时处理网络安全事件并进行数据恢复?以上是网络安全自查表的内容,通过对照自查表,可以定期检查自身网络安全的现状,及时采取相应的安全措施,保护个人和企业的信息安全。
网络安全意识和行为习惯的培养是建立强大网络安全防线的关键,希望每个人都能积极参与网络安全的建设与维护。
2017年重点单位网络安全自查表
二、网站的联网信息
.
.
域名注册服务机构 和联系方式
.cn 域名的 NS 记录
.cn 域名的 A 记录
主站 IP 地址范围
主要协议/端口 接入运营商及联系
方式 物理接入位置
接入带宽 CDN IP 地址范围 CDN 服务提供商 CDN 联系人姓名
操作系统版本 手机号
三、网站安全保护情况 1 网站安全责任部 是否落实了单位网站安全责任部门?
4、单位信息系统定级备案工作情况 (重点包括:单位信息系统是否全部定级备案?单位系统调整是否及时进行备案变更?单位 新建信息系统是否落实定级备案等工作。)
5、单位信息系统安全测评和安全建设整改工作情况
.
.
(重点包括:单位信息系统安全检测和整改经费落实情况;单位信息系统恶意代码扫描、渗 透性测试、等级测评和风险评估的安全检测情况;信息系统安全建设整改方案制定和实施情 况;单位网络安全保护状况的了解掌握等情况。)
2、单位对网络安全等级保护工作的保障情况 (重点包括:单位网络安全等级保护工作年度考核情况;单位组织开展网络安全自查情况; 单位网络安全工作经费是否纳入年度预算?单位网络安全工作的经费约占单位信息化建设经 费的百分比情况等。)
3、单位网络安全责任追究制度执行情况 (重点包括:是否建立了单位网络安全责任追究制度?是否依据责任追究制度对单位发生的 网络安全事件(事故)进行追责等情况。)
6、行业网络安全顶层设计和统筹规划情况 (重点包括:行业网络安全顶层设计情况;行业网络安全工作的短期目标和长远规划制定情 况;全行业的网络安全保护策略制定情况等。)
7、行业数据资源保护情况 (重点包括:行业数据中心建设情况;行业数据资源存储情况;行业数据资源安全保护情况; 行业数据资源的灾备中心建设情况和数据备份恢复情况,行业数据资源存储和应用是否由社 会第三方提供?提供服务单位的具体情况等)
网络安全检查自查表
网络安全检查自查表一、系统与软件更新1、操作系统检查操作系统是否为最新版本,包括补丁更新。
确认自动更新功能是否开启,并检查更新历史记录。
2、应用程序梳理常用的应用程序,如办公软件、浏览器等,查看是否均已更新到最新版。
对于关键业务应用程序,核实是否有定期的更新计划和维护机制。
二、用户账号与权限管理1、用户账号清查系统中的用户账号,删除或禁用不再使用的账号。
检查是否存在弱密码或默认密码的账号,强制用户修改为强密码。
2、权限分配审查用户的权限设置,确保权限与工作职责相匹配,避免权限过高或过低。
对于管理员账号,严格限制其使用范围,并定期审查其操作记录。
三、网络访问控制1、防火墙规则检查防火墙规则是否合理,只允许必要的网络流量通过。
确认防火墙是否启用了入侵检测和防御功能。
2、远程访问评估远程访问的安全性,如 VPN 的配置和使用是否合规。
限制远程访问的来源和时间,确保只有授权人员能够在特定时段进行远程访问。
四、数据备份与恢复1、备份策略制定完善的数据备份计划,包括备份的频率、存储位置和保留周期。
验证备份数据的完整性和可恢复性,定期进行恢复测试。
2、数据加密对于敏感数据,检查是否进行了加密处理,加密算法是否足够安全。
确保加密密钥的安全存储和管理。
五、防病毒与恶意软件防护1、防病毒软件确认所有终端设备都安装了有效的防病毒软件,并保持病毒库更新。
检查防病毒软件的扫描设置和日志,及时处理发现的病毒和恶意软件。
2、恶意软件检测部署恶意软件检测工具,定期对网络进行扫描,发现潜在的威胁。
培训用户识别和防范恶意软件的技巧。
六、网络设备安全1、路由器与交换机检查网络设备的配置,如登录密码强度、访问控制列表等。
确保网络设备的固件是最新版本,修复已知的安全漏洞。
2、无线设备强化无线网络的安全设置,如使用 WPA2 或更高的加密方式。
隐藏无线网络的 SSID,防止未经授权的连接。
七、安全意识培训1、培训计划制定定期的网络安全培训计划,覆盖全体员工。
网络安全自查表
网络安全自查表一、网络设备和基础设施的安全性自查1. 是否定期更新网络设备的固件和软件版本,以修复已知漏洞和提升安全性能?2. 是否对网络设备设置强密码,并定期更换密码,以防止被猜解或暴力破解?3. 是否针对网络设备的管理界面进行访问控制,限制只有授权用户才能远程管理设备?4. 是否开启网络设备的防火墙功能,以过滤恶意流量和保护网络免受攻击?5. 是否对网络设备进行实时监控和日志记录,以及时发现异常活动和安全事件?二、网络访问控制和身份验证的安全性自查1. 是否对公司内部网络进行分段并设置访问控制列表,以限制不同部门或岗位的员工只能访问必要的资源?2. 是否对所有网络服务和应用程序实施身份认证和授权机制,以确保只有合法用户才能访问?3. 是否对员工账号进行合理的权限划分,根据岗位需要进行细分,避免权限过大或过小?4. 是否对未激活的员工账号及时禁用或删除,以避免未经授权的访问?5. 是否对员工远程访问设备进行多因素身份验证,如使用令牌、生物特征等,提升访问安全性?三、数据保护和加密的安全性自查1. 是否对重要的公司数据和敏感信息进行加密存储,以防止数据泄露或意外丢失?2. 是否定期备份公司重要数据,并将备份数据存储在安全可靠的位置,以便在数据丢失时能够恢复?3. 是否对数据传输过程中采用加密协议,如SSL、SSH等,以保护数据传输的机密性?4. 是否对移动设备和存储介质进行加密,以防止设备丢失或被盗后数据泄露?5. 是否对用户密码进行加密存储,以提升用户账号的安全性?四、恶意软件防护和安全审计的安全性自查1. 是否安装并定期更新反病毒软件,以及时发现和清除计算机中的恶意软件?2. 是否对电子邮件和下载文件进行筛选和扫描,以过滤垃圾邮件和恶意文件?3. 是否定期进行系统和应用程序的漏洞扫描,并及时进行修补和升级以防范已知漏洞?4. 是否对网络流量进行监测和分析,以发现异常流量和恶意攻击?5. 是否对网络安全事件进行记录和报告,并进行安全审计和事后分析?五、员工安全意识和培训的安全性自查1. 是否对员工进行网络安全意识培训,提醒他们识别和应对常见的网络威胁和攻击?2. 是否定期进行网络安全知识测试,以评估员工的安全意识和培训效果?3. 是否建立网络安全联系人,并为员工提供快速报告安全事件的渠道?4. 是否定期组织安全演练和模拟攻击,以检验员工的应对能力和反应速度?5. 是否对员工的设备进行安全策略的强制执行,如禁止使用外部存储设备、限制安装非法软件等?结束语:通过进行网络安全自查和定期整改,可以提升企业的网络安全防护能力,防范各种网络威胁和攻击。
网络安全自查情况表
技术防护措施
防攻击
防火墙、WAF、IPS入侵防御检测
网站保护
IP白名单机制,WAF
邮件攻击
黑名单、白名单、反病毒、反垃圾邮件、安全锁功能
供应链安全
签订保密协议
新技术应用
大数据、云计算、物联网、互联网+,LED等
无系统部署在私有云上
国产化比例
操作系统
国产数
1
总数
4
国产比例
25%
服务器
国产数
5Hale Waihona Puke 总数附件3网络安全自查情况表(示例)
检查项目
示例
网络安全工作组织领导
是否成立网络安全领导小组
是
是否一把手任组长
是
是否建立责任制
是
网络安全工作保障情况
网络安全经费
是否纳入年度预算
是
网络安全经费金额(万元)
35
关设
关键信息基础设施数量(个)
4
网络安全保护平台
是否建设网络安全保护平台
是
重要数据
重要数据保护措施
XXX
联络员(单位部门负责人)
XXX
联络员(具体负责人)
XXX
网络及等级测评
系统总数
200
三级数量
30
二级数量
70
一级数量
10
未定级数量
90
其中省级卫生健康委
委本级数量
10
5
国产比例
100%
数据库
国产数
2
总数
2
国产比例
100%
交换机国产化
国产数
50
总数
50
国产比例
100%
网络安全自查表
网络安全自查表在当今数字化时代,网络安全已成为企业和个人不容忽视的重要问题。
为了保障自身在网络世界中的安全,我们需要定期进行网络安全自查。
下面为您提供一份详细的网络安全自查表,帮助您全面评估和提升网络安全水平。
一、设备与系统1、操作系统检查操作系统是否为最新版本,及时更新补丁。
确认是否启用了自动更新功能。
检查系统防火墙是否开启,并设置合理的规则。
2、应用软件查看常用应用软件(如浏览器、办公软件等)是否为最新版本。
卸载不再使用的软件,避免潜在的安全风险。
检查软件的权限设置,确保只授予必要的权限。
3、防病毒和防恶意软件确认安装了可靠的防病毒软件,并保持病毒库为最新。
定期进行全盘扫描,检查是否存在恶意软件。
4、移动设备设置密码、指纹或面部识别等锁屏方式。
检查是否安装了来自官方应用商店的应用。
对重要数据进行备份。
二、网络连接1、无线网络更改无线路由器的默认登录密码。
使用强密码保护无线网络,并定期更改。
关闭无线网络的 WPS 功能,防止被轻易破解。
2、有线网络确保网络连接设备(如交换机、路由器)的固件为最新版本。
限制对网络设备的物理访问,防止未经授权的更改。
3、公共网络避免在公共无线网络上进行敏感操作,如网上银行、购物等。
不随意连接未知的公共网络。
三、账号与密码1、密码强度检查所有重要账号(如电子邮件、银行账户等)的密码强度,使用包含字母、数字和特殊字符的组合。
避免使用常见的密码,如生日、电话号码等。
2、多因素认证启用多因素认证,如短信验证码、指纹识别等,增加账号安全性。
检查重要账号是否支持多因素认证,并开启该功能。
3、密码管理避免在多个网站使用相同的密码。
可以使用密码管理器来生成和保存复杂的密码。
四、数据保护1、数据备份定期备份重要数据,如文档、照片、视频等。
存储备份数据在不同的物理位置,如外部硬盘、云存储等。
2、数据加密对敏感数据进行加密,如个人信息、财务数据等。
了解和使用操作系统提供的加密功能。
3、数据删除在丢弃旧设备或出售时,确保彻底删除个人数据。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
11、单位信息技术产品、服务国产化情况 (重点包括:单位操作系统、服务器、数据库、交换机等核心信息技术产品的国产化比率情 况;单位网络安全设备的国产化比率情况;单位信息技术产品国产化替换工作计划情况;单 位新建信息系统是否采用国产化设备;单位信息安全服务情况等。)
12、单位网络安全宣传培训情况 (重点包括:单位组织开展网络安全宣传教育情况;单位组织开展网络安全岗位培训和网络 安全员培训等情况。)
主要协议/端口 接入运营商及联系
方式 物理接入位置
接入带宽 CDN IP 地址范围 CDN 服务提供商 CDN 联系人姓名
操作系统版本
手机号 -12-
三、网站安全保护情况
网站安全责任部 是否落实了单位网站安全责任部门?
1 门和安全责任人
落实情况
是否落实了单位网站安全责任人?
主要领导对网站 是否将网站安全工作的执行情况纳入到年度考核指 2 网络安全工作的 标?
工信部 ICP 备案号
国际联网备案号
网站运行单位 联系电话 联系电话
隶属关系
□中央 □省(自治区、直辖市) □地(区、市、州、盟) □县(区、市、旗) □其他_____
单位类型
□政府机关 □事业单位 □国企
□互联网
□其他_____
行业类别
如:财政(根据等级保护备案表行业分类划分)
等级保护定级备案
□二级 □三级 □四级 □未定级
□是 □否
开展网站安全监 本单位是否开展日常网站安全监测? 8
测和预警情况 是否有网站安全监测记录?
□是 □否 □是 □否
-13-
是否有网站安全预警和处理记录?
□是 □否
9 网站内容管理
是否制定网站内容发布管理制度? 是否制定网站内容发布流程?
□是 □否 □是 □否
是否有应急预案,并有相应的预案文档?
重视情况
开展网站安全工作的经费是否纳入年度预算?
□是 □否 □是 □否 □是 □否 □是 □否
是否明确了网站建设单位、运维单位和内容更新单位
□是 □否
单位网站网络安 等部门的责任?
3
全责任制落实情 是否对发生的网站安全事件(事故)按照安全责任制
况
进行追责?
□是 □否
关键岗位人员配 是否有明确的安全管理员,并签订保密协议?
-4-
12、行业新技术、新应用安全保护情况
(重点包括:行业大数据、云计算、物联网、工业控制系统等应用情况;是否开展等级保护 工作情况;新技术、新应用网络安全保护等情况。)
表二:信息系统运营使用单位填写
一、信息系统运营使用单位基本情况
单位名称 单位地址
网络安全分管领导
姓名
职务/职称
网络安全责任部门
责任部门负责人
修复升级情况 是否进行过应用层漏洞扫描,并有详细记录?
□是 □否 □是 □否
-14-
发现的漏洞是否及时修复?
网站恶意代码防
17
是否有网页挂马检测系统?
护
网站内容安全防 18
护措施
内容编辑、审核及发布权限是否分离? 关键信息发布是否多级审核? 网站发布内容是否过滤?
□是 □否 □是 □否 □是 □否 □是 □否 □是 □否
6、行业网络安全顶层设计和统筹规划情况 (重点包括:行业网络安全顶层设计情况;行业网络安全工作的短期目标和长远规划制定情 况;全行业的网络安全保护策略制定情况等。)
7、行业数据资源保护情况 (重点包括:行业数据中心建设情况;行业数据资源存储情况;行业数据资源安全保护情况; 行业数据资源的灾备中心建设情况和数据备份恢复情况,行业数据资源存储和应用是否由社 会第三方提供?提供服务单位的具体情况等)
管理终端安全防
19
是否有控制措施(如地址绑定,网络接入控制等)? □是 □否
护措施
是否对网站后台管理系统的接口进行隐藏?
□是 □否
网站后台管理系 20
统防护措施
网站后台管理系统登录是否采取验证机制?
是否对网站后台管理系统的登录失败尝试次数进行限 制?
是否部署入侵检测(防护)设备? 是否部署防病毒网关? 是否部署抗拒绝服务攻击设备?
□是 □否 □是 □否 □是 □否
是否部署 Web 应用防火墙?
□是 □否
是否部署设备?
□是 □否
是否定期对网站文件进行检测? 15 网页防篡改措施
是否采取网页防篡改措施?
□是 □否 □是 □否
漏洞扫描措施及 是否进行过系统层漏洞扫描,并有详细记录? 16
4
备情况
是否有内容管理员,并签订保密协议?
□是 □否 □是 □否
网站定级备案执 单位网站是否确定了安全保护等级?
5
行情况
单位网站是否按要求到公安机关进行了备案?
□是 □否 □是 □否
是否从《全国网络安全等级保护测评机构推荐目录》 □是 □否
中选择测评机构开展等级测评?
网站等级测评情 是否对网站系统定期进行安全测评?
2、行业网络安全等级保护工作保障情况 (重点包括:行业网络安全等级保护工作年度考核情况;行业主管部门组织对地方对口部门 或所属企事业单位网络安全检查情况;行业网络安全工作经费是否纳入年度预算?行业网络 安全工作的经费约占行业信息化建设经费的百分比情况等。)
3、行业网络安全责任追究制度执行情况 (重点包括:是否建立了行业网络安全责任追究制度?是否依据责任追究制度对行业发生的 网络安全事件(事故)进行追责等情况。)
8、单位网络安全监测和预警情况 (重点包括:单位开展日常网络安全监测情况;单位网络安全监测技术手段建设情况;单位 网络安全预警工作情况等。)
9、单位网络安全应急预案和演练情况 (重点包括:是否制定了单位网络安全预案?单位网络安全预案是否进行了演练?是否根据 演练情况对预案进行了修改完善等情况。)
10、单位网络安全事件(事故)的处置情况 (重点包括:是否明确了单位网络安全事件(事故)发现、报告和处置流程?年内是否发生 重大网络安全事件(事故)?是否与相关部门建立了网络安全应急处置机制等情况。)
2、单位对网络安全等级保护工作的保障情况 (重点包括:单位网络安全等级保护工作年度考核情况;单位组织开展网络安全自查情况; 单位网络安全工作经费是否纳入年度预算?单位网络安全工作的经费约占单位信息化建设经 费的百分比情况等。)
3、单位网络安全责任追究制度执行情况
-6-
(重点包括:是否建立了单位网络安全责任追究制度?是否依据责任追究制度对单位发生的 网络安全事件(事故)进行追责等情况。)
10、行业网络安全事件(事故)的处置情况 (重点包括:是否明确了行业网络安全事件(事故)发现、报告和处置流程?年内是否发生 重大网络安全事件(事故)?是否与相关部门建立了网络安全应急处置机制等情况。)
11、行业网络安全宣传培训情况 (重点包括:行业组织开展网络安全宣传教育情况;行业组织开展网络安全领导干部培训、 业务骨干培训和网络安全员培训等情况。)
□是 □否 □是 □否
网络安全检查情
12
是否有网站安全自查工作总结报告?
况
□是 □否
网站交互式栏目 单位网站是否有交互式栏目? 13
信息巡查情况 是否有专人负责网站交互式栏目信息巡查?
□是 □否 □是 □否
是否部署防火墙?
□是 □否
是否对外屏蔽了不必要的服务/端口?
□是 □否
网络边界安全防 14
护设备情况
第三级系统数 未定级系统数
全行业信息系统 等级测评总数
第四级系统数 第二级系统数
第三级系统数 未测评系统数
全行业信息系统 安全建设整改总数
第四级系统数 第二级系统数
第三级系统数 未整改系统数
本级单位信息系统 总数
第四级系统数 第二级系统数
第三级系统数 未整改系统数
-1-
二、行业主管部门网络安全工作情况 1、行业网络安全工作的组织领导情况 (重点包括:行业网络安全领导机构或网络安全等级保护工作领导机构成立情况;行业网络 安全或网络安全等级保护工作的职责部门和具体职能情况;全行业网络安全等级保护工作部 署情况等。)
4、单位信息系统定级备案工作情况 (重点包括:单位信息系统是否全部定级备案?单位系统调整是否及时进行备案变更?单位 新建信息系统是否落实定级备案等工作。)
5、单位信息系统安全测评和安全建设整改工作情况 (重点包括:单位信息系统安全检测和整改经费落实情况;单位信息系统恶意代码扫描、渗 透性测试、等级测评和风险评估的安全检测情况;信息系统安全建设整改方案制定和实施情 况;单位网络安全保护状况的了解掌握等情况。)
应急预案的制 10 定、演练和完善
情况
是否有应急保障队伍并有人员联系方式? 是否定期应急演练并有应急演练的文档记录?
是否根据演练结果对应急预案进行完善?
□是 □否 □是 □否 □是 □否 □是 □否
机房安全管理制 11
度执行情况
本单位机房进出人员管理是否按照制度执行,并有详 细记录?
本单位机房日常监控是否制度执行并有监控记录?
等级测评
□已开展
□未开展
网站安全责任书
□已签订
□未签订
网站服务栏目
□新闻发布 □政策宣传 □事项办理 □论 坛 □即时通信 □电子邮件 □留言版 □政务公开 □其他_____
二、网站的联网信息
-11-
域名注册服务机构 和联系方式
.cn 域名的 NS 记录
.cn 域名的 A 记录
主站 IP 地址范围
单位信息系统 安全自查总数
第四级系统数 第二级系统数
第三级系统数 未自查系统数
二、信息系统运营使用单位网络安全工作情况
1、单位网络安全等级保护工作的组织领导情况 (重点包括:单位网络安全领导机构或网络安全等级保护工作领导机构成立情况;单位网络 安全或网络安全等级保护工作的职责部门和具体职能情况;单位网络安全等级保护工作部署 情况等。)