重要信息系统和网站安全专项检查自查表(填写完毕)
填报重要信息系统和网站安全专项检查自查表(填完)
4、单位信息系统定级备案工作情况 (重点包括:单位信息系统是否全部定级备案单位系统调整是否及时进行备案变更单位新建 信息系统是否落实定级备案等工作。)
5、单位信息系统安全测评和安全建设整改工作情况 (重点包括:单位信息系统安全检测和整改经费落实情况;单位信息系统恶意代码扫描、渗 透性测试、等级测评和风险评估的安全检测情况;信息系统安全建设整改方案制定和实施情 况;单位网络安全保护状况的了解掌握等情况。)
重视情况
开展网站安全工作的经费是否纳入年度预算
□是 □否
是否明确了网站建设单位、运维单位和内容更新单位
□是 □否
3 单位网站网络安 等部门的责任
全责任制落实情 是否对发生的网站安全事件(事故)按照安全责任制 □是 □否
况
进行追责
关键岗位人员配 是否有明确的安全管理员,并签订保密协议
4
备情况
是否有内容管理员,并签订保密协议
11、单位信息技术产品、服务国产化情况 (重点包括:单位操作系统、服务器、数据库、交换机等核心信息技术产品的国产化比率情 况;单位网络安全设备的国产化比率情况;单位信息技术产品国产化替换工作计划情况;单 位新建信息系统是否采用国产化设备;单位信息安全服务情况等。)
12、单位网络安全宣传培训情况 (重点包括:单位组织开展网络安全宣传教育情况;单位组织开展网络安全岗位培训和网络 安全员培训等情况。)
2、行业网络安全等级保护工作保障情况
依据信息安全等级保护有关政策和标准,通过组织开展信息安全等级保护安全管理制度建 设、技术措施建设和等级测评,落实等级保护制度的各项要求,使信息系统安全管理水平明 显提高,安全防范能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展。
3、行业网络安全责任追究制度执行情况
重要信息系统和政府网站安全专项检查自查表
安全专项检查自查表
单位名称(加盖单位公章)
自查时间
一、单位基本情况
单位名称
单位地址
省(区、市)地(区、市、州、盟)
县(区、市、旗)
邮政编码
单位所在地
行政区划编码
网络安全工作
分管领导
姓名
职务/职称
网络安全责任部门
责任部门负责人
姓名
职务/职称
办公电话
移动电话
责任部门联系人
姓名
职务/职称
填表人:网络安全分管领导:填表时间:
三、政府网站安全工作情况(每个政府网站填写一份)
网站中文名
IP地址
网址
网站责任单位
网站运行单位
网站责任单位负责人
联系电话
网站运行安全责任人
联系电话
网站服务器存放地址
网站责任单位所在地
行政区划编码
服务器存放地行政区划编码
工信部ICP备案号
国际联网备案号
等级保护定级备案
(包括网站安全技术规划、安全技术方案、安全技术实施、安全措施评估、安全运维等情况,如网站防攻击、防篡改、防窃密等安全技术落实情况)
6.政府网站应急处置落实情况
(包括网站安全日常监测预警机制的建立和落实情况,应急预案的制定、应急保障技术支撑队伍的组织、定期应急演练等情况)
备注:此表不含文字的空表模版可在首页下载。行政区划编码可在国家统计局网站”统计标准”栏目中查询,以2012年10月31日版为准。
□二级□三级□四级□未定级
等级测评
□已开展□未开展
网站服务栏目
□新闻发布□政策宣传□事项办理□论坛□即时通信
□电子邮件□留言版□政务公开□其他
网站安全情况自查表
二、网站的联网信息
域名注册服务机构和联系方式
.cn域名的NS记录
.cn域名的A记录
主站IP地址范围
主要协议/端口
操作系统版本
接入运营商及联系方式
物理接入位置
接入带宽
CDN IP地址范围
CDN 服务提供商
CDN 联系人姓名
手机号码
域名服务联系人
姓名
手机号码
网站安全情况自查表
一、网站的基本情况
网站中文名
IP地址
网址
网站责任单位
网站责任单位所在地
网站责任单位负责
人及职务
联系电话
网站运维单位
网站运维单位所在地
网站运维安全责任人及职务
联系电话
工信部ICP备案号
公安网安备案号
网站备案地
隶属关系
□中央 □省(自□其他_____
单位类型
□政府机关 □事业单位 □国企
□互联网 □其他_____
行业类别
如:财政(根据等级保护备案表行业分类划分)
等级保护定级备案
□一级 □二级 □三级 □四级 □未定级
等级测评
□2023年已开展 □2024年已开展 □未开展
网站安全责任书
□已签订 □未签订
网站服务栏目
□新闻发布 □政策宣传 □事项办理 □论 坛 □即时通信
网络与信息安全自查表定稿版
网络与信息安全自查表定稿版一、物理环境安全1、机房环境机房是否具备防火、防水、防潮、防雷、防静电等设施?机房的温度和湿度是否在设备正常运行的范围内?机房是否有监控系统,能够实时监测环境状况?2、设备存放服务器、网络设备等重要设备是否放置在安全的机柜中,并进行了固定?存储介质(如硬盘、磁带等)是否妥善保管,防止丢失或被盗?二、网络安全1、网络架构网络拓扑结构是否清晰合理,便于管理和维护?是否划分了不同的网络区域(如内网、外网、DMZ 区等),并进行了有效的访问控制?2、网络设备路由器、防火墙、交换机等网络设备的配置是否安全合理?是否定期对网络设备进行固件升级和漏洞修复?3、网络访问控制是否实施了访问控制策略,限制外部网络对内部网络的访问?内部用户的网络访问权限是否根据其工作需求进行了合理的分配?4、无线网络安全无线网络是否启用了加密措施(如 WPA2 等)?是否对无线网络的接入进行了身份验证和授权?三、系统安全1、操作系统服务器和客户端操作系统是否及时安装了安全补丁?是否关闭了不必要的服务和端口?2、应用系统业务应用系统是否存在已知的安全漏洞?应用系统的用户认证和授权机制是否健全?3、数据库系统数据库是否进行了定期备份,并存储在安全的位置?数据库的访问权限是否进行了严格的控制?四、数据安全1、数据备份重要数据是否定期进行备份,备份数据的存储介质是否安全可靠?是否制定了数据恢复预案,并定期进行演练?2、数据加密敏感数据在传输和存储过程中是否进行了加密处理?加密算法是否足够安全,密钥管理是否规范?3、数据销毁不再使用的敏感数据是否进行了彻底的销毁,防止数据泄露?五、用户安全1、用户认证用户的账号和密码是否符合复杂度要求?是否启用了多因素认证(如短信验证码、指纹识别等)?2、用户权限管理用户的权限是否定期进行审查和调整,确保权限与职责相符?是否存在离职员工的账号未及时删除或禁用的情况?3、用户培训是否对员工进行了网络与信息安全培训,提高员工的安全意识?员工是否了解如何正确处理敏感信息和避免常见的安全风险?六、安全管理制度1、安全策略是否制定了完善的网络与信息安全策略,并得到了有效执行?安全策略是否根据业务的变化和安全形势的发展进行及时的更新?2、安全组织是否设立了专门的网络与信息安全管理岗位,明确其职责?是否成立了应急响应小组,能够在发生安全事件时迅速采取行动?3、安全审计是否对网络与信息系统的活动进行了审计,记录用户的操作和系统的运行情况?审计日志是否定期进行分析和审查,及时发现异常行为?4、安全应急预案是否制定了详细的安全应急预案,包括应急响应流程、联络方式等?应急预案是否定期进行演练,确保在紧急情况下能够有效执行?通过以上这份网络与信息安全自查表,您可以对自身的网络与信息安全状况进行全面的检查和评估。
网络与信息安全专项整治行动检查工作自查表
附件2
网络与信息安全专项整治行动检查工作自查表
- 1 -
- 2 -
- 4 -
- 6 -
说明:
1.本自评标准的评分项目根据《国家网络安全检查操作指南》设置,共37小项。
其中,第1至34小项设置总分值为100分;第35至36小项为加重扣分项,不设分值;第37小项为否决项。
2.单位对照项目自评,未达到项目要求的扣除相应分值,在得分栏中注明得分分值;累计扣分超过项目分值的,扣分分值不超过项目分值上限。
3.发生第35至36小项严重违规行为和网络安全事件的,直接扣除相应分值;发生第37小项严重网络安全案件的,直接评定为不符合要求。
单位名称:(盖章)
单位负责人:信息部门负责人:
填表日期:
- 8 -。
网站安全专项检查自查表
3.网络安全人员管理制度建立和执行情况
网站安全专项检查自查表
填表单位(盖章):
网站
名称
ICP备案
编号
首页
网址
网站主管单位及网站服务器存放地址
办公
地址
负责人
联系人
姓名
职务
办公电话
手机
电子邮箱
姓名
办公电话
手机
电子邮箱
单位负责人:审核人:填报人:联系电话:
填报日期:
二、网络安全工况(包括机构建立、组成、主要职责以及网络安全工作制度等具体情况)
网站信息系统安全检查表
网站信息系统安全检查表一、物理环境安全1、机房环境机房是否具备防火、防水、防潮、防雷、防静电等设施?温度和湿度是否控制在设备正常运行的范围内?机房是否有门禁系统,限制未经授权的人员进入?2、设备设施服务器、网络设备等硬件是否放置在稳固的机柜中,防止物理损坏?电源供应是否稳定,是否有备用电源(如 UPS)以应对突发停电?二、网络安全1、网络架构网络拓扑结构是否合理,是否存在单点故障?不同区域(如内网、外网、DMZ 区)之间的访问控制策略是否得当?2、防火墙防火墙规则是否配置正确,是否能够有效阻止非法访问和攻击?防火墙是否定期进行策略更新和漏洞修复?3、入侵检测/防御系统(IDS/IPS)IDS/IPS 是否正常运行,能够及时发现和阻止入侵行为?其告警信息是否得到及时处理和分析?4、 VPN如果使用 VPN 进行远程访问,VPN 连接是否安全可靠,加密强度是否足够?用户认证和授权机制是否严格?三、系统安全1、操作系统服务器操作系统是否及时更新补丁,修复已知漏洞?系统账号和密码管理是否严格,是否存在弱密码?系统服务是否仅开启必要的服务,关闭不必要的服务?2、数据库系统数据库是否进行定期备份,备份数据是否可恢复?数据库访问权限是否合理设置,防止数据泄露?数据库是否采取加密措施,保护敏感数据?四、应用安全1、网站程序网站代码是否经过安全审计,是否存在 SQL 注入、跨站脚本(XSS)等漏洞?上传功能是否存在文件上传漏洞?验证码机制是否有效,防止暴力破解?2、中间件如 Web 服务器(Apache、Nginx 等)、应用服务器(Tomcat、JBoss 等)是否配置正确,是否存在安全漏洞?3、内容管理系统(CMS)如果使用 CMS 搭建网站,CMS 是否及时更新版本,修复安全漏洞?CMS 插件和模板是否来自官方或可信来源?五、数据安全1、数据备份数据备份策略是否制定并执行,包括全量备份和增量备份?备份数据是否存储在异地,以防止本地灾难?2、数据加密敏感数据(如用户密码、信用卡信息等)在传输和存储过程中是否加密?加密算法是否足够强度,密钥管理是否安全?3、数据销毁当不再需要的数据被删除时,是否采取安全的数据销毁方法,防止数据恢复?六、用户认证与授权1、用户注册与登录用户注册流程是否验证邮箱或手机号,防止恶意注册?登录是否采取双因素认证(如密码+短信验证码)?2、权限管理用户权限是否根据其职责进行最小化授权?权限变更是否经过审批流程?七、安全管理制度1、安全策略是否制定了完善的网站信息系统安全策略,包括访问控制、数据保护、应急响应等?2、人员管理员工是否接受过安全培训,了解基本的安全知识和操作规范?离职员工的账号是否及时删除或禁用?3、应急响应是否制定了应急响应预案,包括数据恢复、系统恢复等措施?定期进行应急演练,检验预案的有效性?八、日志与审计1、系统日志服务器、网络设备、应用系统等是否开启日志功能,记录重要操作和事件?日志是否定期进行备份和分析?2、审计功能对关键操作(如数据修改、用户权限变更等)是否进行审计,审计记录是否完整?通过以上网站信息系统安全检查表,可以全面、系统地评估网站的安全性。
网络安全检查自查表
第三级系统数 未测评系统数 2
单位信息系统 1
安全建设整改总数
第四级系统数 第二级系统数
第三级系统数 未整改系统数 1
单位信息系统 1
安全自查总数
第四级系统数 第二级系统数
第三级系统数 未自查系统数 1
二、信息系统运营使用单位网络安全工作情况 1、单位信息安全等级保护工作的组织领导情况
重点包括:单位网络安全领导机构或信息安全等级保护工作领导机构成立情况;单位网络安全或 信息安全等级保护工作的职责部门和具体职能情况;单位信息安全等级保护工作部署情况等..
6、单位网络安全管理制度的制定和实施情况
重点包括:单位信息系统建设和网络安全“同步规划、同步建设、同步运行”措施的落实情况;单 位人员管理;信息系统机房管理、设备管理、介质管理、网络安全建设管理、运维管理、服务外包 等管理制度的建设情况;管理制度的监督保障和运行情况等..
我公司制定了相关工作规范和有效的技术方案; 确保本公司信息系统建设和网络安全能够 “同步规划、同步建设、同步运行”;为保障网络安全工作的实施;建立了人员管理制度、 信息系 统设备管理制度等管理制度;我单位对工作人员严格要求;对违反制度的人员进行严肃处理;保证制 度的有效实施..
网络安全分管领导
姓名
石锦生
职务/职称 总经理
网络安全责任部门 办公室
责任部门负责人
姓名 办公电话
石锦生
职务/职称 移动电话
总经理
责任部门联系人
姓名 办公电话
马海霞
职务/职称 移动电话
文员
单位信息系统
2
第四级系统数
第三级系统数
总数
第二级系统数
未定级系统数 2
单位信息系统 2
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
制订了包括人员录用、安全培训、技术考核、安全保密、人员离岗等方面在内的网络安全人员管理制度。录用专业人员,积极参加县政府组织的网络系统安全知识培训,并进行相应的考核。做到严格保密。
7.信息系统建设管理制度落实情况
(包括在信息系统建设过程中产品采购、服务外包签订安全保密责任书、信息系统投入使用前进行安全性测试等有关情况)
针对信息系统建设过程中的产品采购、服务外包、系统投入使用前进行安全测试等方面建立了相应的管理制度,服务外包签订安全保密责任书,信息系统投入使用前进行安全性测试。
8.信息系统定级备案、等级测评和安全建设整改工作开展情况
(本单位按照国家相关要求部署和开展等级保护有关工作情况,包括所有信息系统定级备案、业务变更后报备;等级测评、安全建设整改的实施和完成情况)
3.机房维护管理人员要建立网络防病毒系统,定期查杀系统病毒,并对防病毒软件进行安全评估,及时对其升级。
4.机房维护管理人员定期为机房内所有设备除尘,更换破旧的标签。定期对主机服务器、网络交换机、核心路由、防火墙等硬件设备进行维护,如发现设备存在故障问题,应及时处理,以确保系统运行的安全、可靠运行。
5.机房维护管理人员负责对学校网络上工作的各种终端设备进行规范管理,负责各类系统和应用软件、IP地址以及其他网络的安装、设置与维护。
11.信息系统安全保护技术落实情况
(包括机房、网络、主机、应用、数据等各方面的安全措施,如安全技术管理、监控报警、防攻击、防篡改、防泄漏及容灾备份等情况)
1.机房维护管理人员对学校信息化系统中网络、系统和数据等进行管理与维护,定时查看网络、系统、数据库和有关设备运行状况,并做好相关记录。
2.机房维护管理人员定期对学校信息化系统中运行各种设备参数、服务器系统和各种信息数据进行备份,以便出现软硬件故障系统崩溃时能够快速、有效地恢复。
依据信息安全等级保护有关政策和标准,通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评,落实等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全防范能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展。
9.网络安全监测预警及安全事件应急处置情况
(包括网络安全日常监测预警机制的建立和落实,应急预案制定、应急保障技术支撑队伍的组织、定期应急演练等情况)
1、制定了初步应急预案,并随着信息化程度的深入,结合我校实际,处于不断完善阶段。
2、坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜,并商定其给予镇应急技术以最大程度的支持。
3、严格文件的收发,完善了清点、修理、编号、签收制度,并要求信息管理:网络安全分管领导:填表时间:2013-11-7
1.行业信息系统底数梳理情况:出台了行业信息系统定级指导意见,了解本单位信息系统定级底数,了解本单位信息系统备案底数,及时根据信息系统变化情况更新备案信息。
2.举行行业网络安全培训,行业网络安全、等级保护标准规范的制定并发布。
3.积极对行业网络安全工作进行监督检查和指导。
5.网络安全工作组织保障和考核情况
(包括定期召开网络安全工作会议或印发文件部署网络安全工作,网络安全工作考核纳入到年度考核指标、网络安全工作的经费预算等情况)
1.每月召开网络安全工作会议,定期印发文件部署网络安全工作。
2.网络安全工作考核纳入到年度考核指标。
3.严格落实网络安全经费预算,保证网络安全工作的经费投入。
6.网络安全人员管理制度建立和执行情况
12、信息系统使用国外信息技术产品和服务情况
(包括本单位在系统和应用软件(操作系统、数据库,办公软件)、硬件(服务器、防火墙,核心路由器)和服务中使用国外信息技术的具体情况及比率)
操作系统为windowsServer2003,数据库为SQLServer,办公软件为Microsoft Office等软件。本单位计算机、信息系统安全产品均为国产产品,包括使用360、卡巴斯基等安全软件。单位使用的数据传输平台系统、数据库等应用软件均为市委、市政府相关部门统一指定的产品系统。重点信息系统使用的服务器、防火墙、路由器等均为国产产品。
结合我局实际情况建立了网络安全协调(领导)机构,由网络安全工作领导、督察人员及日常管理人员组成,主要职责为网络工作安全的领导、监督、实施等,每月举行一次网络安全工作例会。
2.网络安全责任制落实情况
(包括安全责任分工、信息系统安全责任人、签订网络安全责任书及责任追究制度落实等具体情况)
1.成立了安全小组。明确了信息安全的主管领导和具体负责管护人员,安全小组为管理机构。
责任部门负责人
姓 名
职务/职称
办公电话
移动电话
责任部门联系人
姓 名
职务/职称
办公电话
移动电话
单位类型
党政机关事业单位企业其他
所属行业
网站数量
(统计本单位及内设机构具有独立域名的网站数量)
二、网络安全工作情况
1.网络安全协调(领导)机构的建立和运行情况
(包括机构建立、组成、主要职责以及网络安全工作议事或例会制度等具体情况)
3.制定相关工作规范,确保本单位的信息系统建设与安全建设同步规划、同步设计、同步实施,落实情况良好。
4.行业网络安全工作的组织部署情况(此项由行业主管部门填写)
(包括行业信息系统底数梳理情况,如行业系统定级数量、测评数量和整改数量。行业网络安全培训、行业网络安全、等级保护标准规范的制定和发布情况;对行业网络安全工作的监督检查和指导工作等情况)
2.建立了信息安全责任制。按责任规定:保密小组对信息安全负首责,主管领导负总责,具体管理人负主责。
3.制定了计算机及网络的保密管理制度,签订了网络安全责任书。网站的信息管护人员负责保密管理,密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄,如有外泄,追究其相应责任。
(包括安全检查工作的计划、部署、要求、方案实施、总结汇报、安全威胁发现和安全隐患整改等情况)
包括信息安全组织领导、工作机构和网站安全责任人落实情况;信息安全制度落实情况;网站应急值班、网站信息内容发布审核、安全责任追究等制度;主要技术防范措施,包括网页防篡改、防病毒、防攻击等技术措施,账户和口令的管理措施,操作系统、应用软件、病毒防护软件等的补丁升级,网站域名安全管理措施等;安全应急预案落实与应急演练情况,包括应急技术支撑队伍、值班制度的落实情况等;发现安全隐患及时整改。
关于填报重要信息系统和网站安全专项检查自查表的通知
附件1
重要信息系统和网站
安全专项检查自查表
单位名称(加盖单位公章)
自查时间2013年11月7日
一、单位基本情况
单位名称
单位地址
省(区、市)地(区、市、州、盟)
县(区、市、旗)
邮政编码
单位所在地
行政区划编码
网络安全工作
分管领导
姓 名
职务/职称
网络安全责任部门
3.网络安全规划、策略制定和落实情况
(包括网络安全工作的短期目标和长远规划、网络安全策略制定和执行、网络安全工作在信息化建设工作落实情况,如同步立项、同步设计、同步建设、同步验收,同步运维等)
1.网络安全工作的短期目标为自查安全设置,消除安全隐患。
2.网络安全策略为通过系统及网络安全配置,应用防火墙及入侵检测、安全扫描、网络防病毒等技术,对出入口的信息进行严格的控制;对网络中所有的装置(如Web服务器、路由器和内部网络等)进行检测、分析和评估,发现并报告系统内存在的弱点和漏洞,评估安全风险,找出补救措施,以便有效地防止黑客入侵和病毒扩散,监控整个网络的运行状况。