信息安全检查表
学校网络与信息安全检查表
学校网络与信息安全检查表学校网络与信息安全检查表一、网络设备与配置1.是否存在网络设备清单?2.是否制定了网络设备管理制度?3.是否有专门的负责网络设备配置的人员?4.是否对网络设备进行了定期维护和更新?二、网络访问控制1.是否对网络进行了适当的访问控制?2.是否制定了网络访问控制策略?3.是否对网络用户进行了身份验证?4.是否限制了对敏感信息的访问权限?5.是否安装了防火墙来保护网络安全?三、网络传输安全1.是否对网络通信进行了加密?2.是否采取了安全传输协议(如SSL、IPSec等)来保护数据传输安全?3.是否禁止了非法的网络传输行为(如P2P、BT等)?4.是否对网络通信进行了监控和审计?四、网站和应用程序安全1.是否存在网站和应用程序清单?2.是否对网站和应用程序进行了安全评估和漏洞扫描?3.是否制定了网站和应用程序安全管理制度?4.是否对网站和应用程序进行了定期更新和维护?五、信息安全教育与培训1.是否向师生进行了信息安全教育和培训?2.是否制定了信息安全管理制度?3.是否定期组织信息安全演练和应急演练?六、物理安全1.是否存在机房和服务器房的进出记录?2.是否采取了物理访问控制措施(如门禁系统、监控系统等)?3.是否对机房和服务器房进行了定期检查和维护?七、安全事件管理1.是否建立了安全事件管理制度?2.是否采取了安全事件监测、报告和处置机制?3.是否对安全事件进行了记录和分析?附件:1.网络设备清单2.网站和应用程序清单3.安全事件记录表法律名词及注释:1.信息安全:指对信息进行保密、完整性和可用性的保护。
2.访问控制:指限制用户或系统对资源的访问权限。
3.防火墙:用于在网络与外界之间建立安全防护的设备。
4.SSL(Secure Socket Layer):一种用于保护网络通信安全的协议。
5.IPSec(Internet Protocol Security):一种用于保护IP 数据传输安全的协议。
信息安全策略达标检查表
√
3
信息安全协调
是否与组织内不同部门相关角色和工作职责的代表进行协调
有。公司有信息安全协调小组,协调相关工作
√
4
信息安全职责的分配
所有的信息安全职责是否清晰地定义
有,手册附录中清晰的定义了
√
5
信息处理设施的授权过程
信息处理设施的领用及相应变更是否经过授权,有无授权文件或证明材料
信息安全策略达标检查表
日期:2023-2-10被检查部门:检查人:内审员(建议技术人员)频率:6个月一次
序号
检查项(控制措施)
点检内容
事实记录(备注)
点检结果
合格
不合格
1
信息安全方针
是否了解公司信息安全相关规定,对公司信息安全方针和目标是否获悉
了解,公司公告栏中有张贴
√
2
信息安全的管理承诺
组织是否通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认
有,文件审批单,有移动设备借用登记表
√
6
保密协议
是否与第三方签订安全保密协议、查核员工保密协议的签订情况
有
√
7
口令设置
一般用户口令长度8位以上,并由字母、数字混合构成,重要系统管理员口令长度12位以上,并由字母、数字、特殊字符混合构成
是
√
8
病毒防范
是否安装公司允许安装的杀毒软件,是否定期查杀病毒
是
√
有,文件审批单,有移动设备借用登记表
√
6
保密协议
是否与第三方签订安全保密协议、查核员工保密协议的签订情况
有
√
口令设置
一般用户口令长度8位以上,并由字母、数字混合构成,重要系统管理员口令长度12位以上,并由字母、数字、特殊字符混合构成
学校网络与信息安全检查表(2023最新版)
学校网络与信息安全检查表学校网络与信息安全检查表⒈网络基础设施检查⑴网络拓扑图是否详细、准确,并定期更新?⑵网络设备是否按照规定位置安装且固定稳妥?⑶是否有合理的网络设备接地保护措施?⒉网络设备安全检查⑴路由器、交换机等网络设备的管理口是否设置安全口令?⑵管理口是否单独存在于安全网络段内?⑶是否定期对网络设备进行安全漏洞扫描和修复?⑷是否禁止使用默认的管理口令和弱密码?⒊网络访问控制检查⑴是否设立了合理的网络访问控制策略?⑵是否定期审查和更新网络访问控制策略?⑶是否使用防火墙等设备对外网和内网进行隔离保护?⑷是否对网络外部访问进行监控和记录?⑸是否禁止非法的网络访问以及违规的网络活动?⒋信息系统安全检查⑴是否定期对操作系统和应用软件进行安全更新补丁的安装?⑵是否禁止使用盗版软件和非法软件?⑶是否设置了合理的操作系统和应用软件访问权限?⑷是否对信息系统进行定期备份并测试恢复?⒌用户账号与密码安全检查⑴是否采用合理的账号管理制度?⑵是否禁止用户共享账号和密码?⑶是否定期审查和清理不再使用的账号?⑷是否设置了强制密码策略,要求用户定期更换密码?⒍防和防恶意软件检查⑴是否安装并定期更新防护软件?⑵是否设置扫描和自动修复功能?⑶是否定期进行扫描并记录结果?⒎网络安全事件监测与处置检查⑴是否配置了网络安全事件监测系统?⑵是否建立了网络安全事件处置预案?⑶是否定期进行网络安全事件演练?⒏数据备份与恢复检查⑴是否制定了数据备份策略并进行定期备份?⑵是否对备份数据进行加密和存储安全控制?⑶是否定期进行数据备份的恢复测试?附件:⒈网络拓扑图⒉管理口口令要求⒊网络访问控制策略表⒋操作系统和应用软件更新补丁记录⒌账号管理制度说明⒍防护软件更新记录⒎网络安全事件处置预案⒏数据备份与恢复策略法律名词及注释:⒈信息安全法:《中华人民共和国网络安全法》,简称《网络安全法》,是中华人民共和国的一部法律,旨在规范网络安全领域的行为。
信息安全检查表模板
是/否
4. 网络安全防护
是否安装了防火墙、入侵检测系统等网络安全设备,是否定期进行安全漏洞扫描和修复?
Hale Waihona Puke 是/否5. 数据备份和恢复
是否建立了完善的数据备份和恢复机制,确保数据的安全性和完整性?
是/否
6. 访问控制
是否对不同用户和角色进行了访问控制,确保只有授权人员能够访问敏感数据和系统?
是/否
7. 应急响应计划
是否制定了应急响应计划,包括应急响应流程、联系人、联系方式等信息,以应对突发事件或攻击?
是/否
8. 安全审计和监控
是否建立了安全审计和监控机制,对系统和数据进行实时监控和审计,及时发现和处理安全问题?
是/否
9. 合规性检查
是否定期进行合规性检查,确保公司业务符合相关法律法规和标准的要求?
信息安全检查表模板
以下是一个信息安全检查表模板,您可以根据实际情况进行修改和调整:
检查项
检查内容
检查结果
1. 信息安全政策
是否有完善的信息安全政策,包括信息保密、信息安全、信息完整性等方面的规定?
是/否
2. 信息安全培训
员工是否接受过信息安全培训,了解信息安全的重要性、基本概念和操作方法?
是/否
3. 密码管理
是/否
10. 其他安全措施
其他与信息安全相关的措施,如加密技术、物理安全等是否得到妥善实施和管理?
是/否
网络与信息安全检查表
网络与信息安全检查表网络与信息安全检查表单位名称:嘉兴市妇幼保健院一、信息安全组织机构基本情况信息安全责任部门信息科分管信息安全工作的领导(如单位正副职领导)①姓名:王立中;职务:副院长;②姓名:;职务:;信息安全管理机构(如信息中心)①名称:信息科;②负责人:沈碧飞;职务:科长;③联系人:龚林峰;电话:;信息安全专职工作处室(如信息科)①名称:;②联系人:;电话:;信息安全责任部门职责(可附件另附)二、重要信息系统基本情况重要信息系统总数:(请另附系统简介清单)系统定级情况第一级:个第二级:个第三级:个第四级:个第五级:个未定级:个等级保护测评完成等级保护测评系统的名称及对应等级:①;②;③;④;服务对象统计①面向社会公众提供服务的系统数量及等级:;②非面向社会公众提供服务的系统数量及等级:;联网情况统计①通过互联网可直接访问的系统数量及等级:;②通过互联网不能直接访问的系统数量及等级:;其中,与互联网物理隔离的系统数量及等级:;数据集中性统计①省级数据集中的系统数量及数据类型:;②市级数据集中的系统数量及数据类型:;③县级数据集中的系统数量及数据类型:;④未进行数据集中的系统数量:;业务连续性统计①可容忍值小于小时的系统数量:;②可容忍值大于小时,小于小时的系统数量:;③可容忍值大于小时的系统数量:;系统灾备统计①定期对系统级进行灾备的系统数量:;②仅对数据库定期进行灾备的系统数量:;③无灾备措施的系统数量:;业务应用软件系统(统计年内数据)①自主设计开发(不含二次开发)的套数:;②外包国内服务商开发的套数:;外包国外服务商开发的套数:;③直接采购国内服务商产品的套数:;直接采购国外服务商产品的套数:;三、日常信息安全运维管理情况人员安全管理①重点岗位人员安全保密协议:全部签订部分签订均未签订;②人员离岗离职安全管理规定:已制定未制定;③外部人员机房访问管理制度及权限审批制度:已建立未建立;设备资产管理①资产管理制度:已建立未建立;②机房设备标签:全部标签合格部分标签合格无标签;③设备维修维护和报废管理:已建立管理制度,且维修维护和报废记录完整;已建立管理制度,但维修维护和报废记录不完整;未建立管理制度;机房安全管理①机房管理制度:已建立未建立;②机房日常运维记录:完整详实部分简略无记录;③人员进出机房记录:完整详实部分简略无记录;④机房物理环境:达标未达标;采购预算保障①年度采购方案及预算:已建立未建立;②采购合同:完整部分完整;③安全设备采购比例:> > <;外包服务管理①外包服务商资质证书:齐全部分齐全;②外包服务合同:完整部分完整;。
ISO27001信息安全检查表
审核结果
审查时间:
判定/处置
序 号
审核内容
44 是否定期对权限进行了审核
ISO27001信息安全检查表
审查要点 定期审核记录
45 是否制定了口令策略
管理人员的密码设定。 是否有员工号等容易推断的密码。 1个帐号是否有多个用户。 密码是否记录在便条上。 密码为6位英文数字以上
46 是否执行了口令策略
1.检查其访问权限设定。 2.是否有备份
确认项目或其他敏感信息是否在发送前经过授 权者确认,是否经过信息所有人的授权。
和交换涉及方签订NDA(保密协议)
1. 检查包装合理性 2. 搬运方法合理性 确认是否有电子邮件使用规则,和实施情况(如发送 重要文件时是否有文件加密等) 1.互联网使用的检查。 2.互联是否有访问控制,权限分配规则 如果有文件共享请确认: 1.确认是否设置了全员都可以访问的权限。 2.确认对于长时间不使用的人员是否暂停其帐号。 3.确认共享文件的访问权限范围。
确认修理及报废时的HDD的对应方法。
审批记录
变更申请记录 确认部门系统和个人PC的手都已经部署并且状态正常 。
是否有备份策略的制订?
是否有备份的实施?
是否有备份的验证
是否有备份保护
是否有网络访问方面的限制 1.Web访问服务的安全 2.Mail 服务的安全 1.是否有管理清单 2.记录重要信息的外部存贮介质(例如:外置 硬盘,CD,DVD,U盘,PCMCIA移动存储卡,存储 备份资料用的备份设备等),是否被保管在带锁 的文件柜中?
审核结果
审查时间:
判定/处置
序 号
审核内容
32 是否有移动介质报废管理
33 系统文件是否得到了保护 34 是否有信息交换策略制订 35 和信息交换方是否签订了协议 36 物理介质传输是否得到了保护 37 是否按照公司规程实施了电子信息交换 38 是否按照公司规程实施业务信息互联
(信息安全标准化)全套信息检查表
(信息安全标准化)全套信息检查表信息安全标准化全套信息检查表
目的
本检查表旨在帮助组织进行信息安全标准化建设,全面评估组
织安全现状,发现安全风险和问题,并提出相应的改进和优化措施。
使用方法
1. 逐一检查以下两个方面,确认组织是否已做好相应准备:
- 安全管理制度、规范、流程等是否完整、符合法律法规要求
和组织的内部要求;
- 安全技术措施是否到位,能否有效预防、检测、响应、恢复
各类安全事件和威胁。
2. 对照具体检查项目,回答相应内容是否符合标准要求,标记“√”或“×”或“N/A”表示。
3. 根据检查结果,及时采取相应的改进和优化措施。
检查项目
总结
通过使用本信息安全标准化全套信息检查表,组织能够全面了解自身安全现状,并及时发现和解决安全风险和问题,不断提升信息安全保障能力和水平,为组织发展提供保障和支持。
信息安全检查情况报告表
信息安全检查情况报告表信息安全检查情况报告表
(⼀)基本信息⾃查
表1 单位基本情况
表2 信息安全应急响应组织机构和经费落实情况
表3 信息安全教育培训情况
表4 信息安全检查情况
表5 ⽇常安全管理制度建⽴和落实情况
表6.1 系统基本情况
表6.2 系统特征及等保定级情况
表6.3 系统技术防护情况
表7.1 主要硬件品牌及数量
表7.2 安全设备情况
表8.1 主要软件品牌及数量
表8.2 安全软件情况
表1-9 信息服务资产情况
表10 信息系统⼈员资产情况
表11 ⽂档资产情况
表12.1 信息系统分域防护情况
表12.2 ⽹站基本情况
表12.3 ⽹站托管情况
表12.4 外联线路(⽹络边界)情况
表12.5 业务数据情况
表12.6 数据备份情况
表1-13 安全隐患排查及整改情况
表1-14 受赠信息技术产品情况
表15.1 重点领域信息系统类型与构成情况检查记录表。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
机房安全
机房建立红外线防盗报警器或视频监控系统。
网络机房建立烟雾传感器、火灾报警器等装置、灭火消防设施。
机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。(建议值:温度夏℃,湿度2℃,冬季220±季23±%。)45~65
业务系统内网迁移
冷链系统访问和设备数据传输迁移至内网。
会计核算软件访问迁移至内网。
:
检查人员(签字):
单位负责人(签字)
对网络安全设备远程登陆的管理地址进行限制,只允许某一网段或某些可以访问;IP
网络和安全设备的配置文件必须定期备份。
网WIFI严格控制无线路由器和随身对公众开放的无络共享设备的使用。线服务必须采取认证机制。
服务器安全
服务器的登陆账户,要求密Windows启用密码复杂位,码长度最小值为8锁定阀度要求;设置账户锁定时间,次无效登录。值为5
关闭不必删除Windows多余的账户,要的文件共享,及时升级系统补丁,安装杀毒软件。
设置了明确服务器边界部署防火墙,实现不同系统之间的访问控制策略,安全区域的有效隔离及访问控制。
数据库安全
2数据库定期备份,每天至少备份次,至少保留最近15天的备份数据。
SYSTEMSYS、修改数据库默认账户的删除系统中多余的账系统默认瓯海区卫计系统信息安全检查表
单位名称(盖章):
日期:年月日
指标
考核细则
检查结果
备注
管理制度
1、机房管理制度(上墙)
2、运维安全管理制度3、信息化保密管理制度、数据备份与安全管理制度4、信息安全应急制度5
终端计算机安全
终端计算机建立终端采取统一软件病毒查杀、漏洞扫下发、补丁更新、描等措施
账,终端计算机必须设置登陆密码分钟。户锁定时间为10
服务器等主要设备交换机、防火墙、及线缆设置不易除去的标签。
定期巡检要求医院信息人员或维保进出机房的外来公司每周巡检一次;人员执行进出登记。
网络安全
内网网络必须建立计算机准入控制,防止未审批的计算机接入内网网络。
边界部署内外网采取有效措施隔离,实施相应的访问控制策防火墙设备,略。
加密协网络和安全设备中配置SSH telnet议,禁止采用明文的协议。