信息安全检查表
学校网络与信息安全检查表
学校网络与信息安全检查表学校网络与信息安全检查表一、网络设备与配置1.是否存在网络设备清单?2.是否制定了网络设备管理制度?3.是否有专门的负责网络设备配置的人员?4.是否对网络设备进行了定期维护和更新?二、网络访问控制1.是否对网络进行了适当的访问控制?2.是否制定了网络访问控制策略?3.是否对网络用户进行了身份验证?4.是否限制了对敏感信息的访问权限?5.是否安装了防火墙来保护网络安全?三、网络传输安全1.是否对网络通信进行了加密?2.是否采取了安全传输协议(如SSL、IPSec等)来保护数据传输安全?3.是否禁止了非法的网络传输行为(如P2P、BT等)?4.是否对网络通信进行了监控和审计?四、网站和应用程序安全1.是否存在网站和应用程序清单?2.是否对网站和应用程序进行了安全评估和漏洞扫描?3.是否制定了网站和应用程序安全管理制度?4.是否对网站和应用程序进行了定期更新和维护?五、信息安全教育与培训1.是否向师生进行了信息安全教育和培训?2.是否制定了信息安全管理制度?3.是否定期组织信息安全演练和应急演练?六、物理安全1.是否存在机房和服务器房的进出记录?2.是否采取了物理访问控制措施(如门禁系统、监控系统等)?3.是否对机房和服务器房进行了定期检查和维护?七、安全事件管理1.是否建立了安全事件管理制度?2.是否采取了安全事件监测、报告和处置机制?3.是否对安全事件进行了记录和分析?附件:1.网络设备清单2.网站和应用程序清单3.安全事件记录表法律名词及注释:1.信息安全:指对信息进行保密、完整性和可用性的保护。
2.访问控制:指限制用户或系统对资源的访问权限。
3.防火墙:用于在网络与外界之间建立安全防护的设备。
4.SSL(Secure Socket Layer):一种用于保护网络通信安全的协议。
5.IPSec(Internet Protocol Security):一种用于保护IP 数据传输安全的协议。
信息安全策略达标检查表
√
3
信息安全协调
是否与组织内不同部门相关角色和工作职责的代表进行协调
有。公司有信息安全协调小组,协调相关工作
√
4
信息安全职责的分配
所有的信息安全职责是否清晰地定义
有,手册附录中清晰的定义了
√
5
信息处理设施的授权过程
信息处理设施的领用及相应变更是否经过授权,有无授权文件或证明材料
信息安全策略达标检查表
日期:2023-2-10被检查部门:检查人:内审员(建议技术人员)频率:6个月一次
序号
检查项(控制措施)
点检内容
事实记录(备注)
点检结果
合格
不合格
1
信息安全方针
是否了解公司信息安全相关规定,对公司信息安全方针和目标是否获悉
了解,公司公告栏中有张贴
√
2
信息安全的管理承诺
组织是否通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认
有,文件审批单,有移动设备借用登记表
√
6
保密协议
是否与第三方签订安全保密协议、查核员工保密协议的签订情况
有
√
7
口令设置
一般用户口令长度8位以上,并由字母、数字混合构成,重要系统管理员口令长度12位以上,并由字母、数字、特殊字符混合构成
是
√
8
病毒防范
是否安装公司允许安装的杀毒软件,是否定期查杀病毒
是
√
有,文件审批单,有移动设备借用登记表
√
6
保密协议
是否与第三方签订安全保密协议、查核员工保密协议的签订情况
有
√
口令设置
一般用户口令长度8位以上,并由字母、数字混合构成,重要系统管理员口令长度12位以上,并由字母、数字、特殊字符混合构成
学校网络与信息安全检查表(2023最新版)
学校网络与信息安全检查表学校网络与信息安全检查表⒈网络基础设施检查⑴网络拓扑图是否详细、准确,并定期更新?⑵网络设备是否按照规定位置安装且固定稳妥?⑶是否有合理的网络设备接地保护措施?⒉网络设备安全检查⑴路由器、交换机等网络设备的管理口是否设置安全口令?⑵管理口是否单独存在于安全网络段内?⑶是否定期对网络设备进行安全漏洞扫描和修复?⑷是否禁止使用默认的管理口令和弱密码?⒊网络访问控制检查⑴是否设立了合理的网络访问控制策略?⑵是否定期审查和更新网络访问控制策略?⑶是否使用防火墙等设备对外网和内网进行隔离保护?⑷是否对网络外部访问进行监控和记录?⑸是否禁止非法的网络访问以及违规的网络活动?⒋信息系统安全检查⑴是否定期对操作系统和应用软件进行安全更新补丁的安装?⑵是否禁止使用盗版软件和非法软件?⑶是否设置了合理的操作系统和应用软件访问权限?⑷是否对信息系统进行定期备份并测试恢复?⒌用户账号与密码安全检查⑴是否采用合理的账号管理制度?⑵是否禁止用户共享账号和密码?⑶是否定期审查和清理不再使用的账号?⑷是否设置了强制密码策略,要求用户定期更换密码?⒍防和防恶意软件检查⑴是否安装并定期更新防护软件?⑵是否设置扫描和自动修复功能?⑶是否定期进行扫描并记录结果?⒎网络安全事件监测与处置检查⑴是否配置了网络安全事件监测系统?⑵是否建立了网络安全事件处置预案?⑶是否定期进行网络安全事件演练?⒏数据备份与恢复检查⑴是否制定了数据备份策略并进行定期备份?⑵是否对备份数据进行加密和存储安全控制?⑶是否定期进行数据备份的恢复测试?附件:⒈网络拓扑图⒉管理口口令要求⒊网络访问控制策略表⒋操作系统和应用软件更新补丁记录⒌账号管理制度说明⒍防护软件更新记录⒎网络安全事件处置预案⒏数据备份与恢复策略法律名词及注释:⒈信息安全法:《中华人民共和国网络安全法》,简称《网络安全法》,是中华人民共和国的一部法律,旨在规范网络安全领域的行为。
信息安全检查表模板
是/否
4. 网络安全防护
是否安装了防火墙、入侵检测系统等网络安全设备,是否定期进行安全漏洞扫描和修复?
Hale Waihona Puke 是/否5. 数据备份和恢复
是否建立了完善的数据备份和恢复机制,确保数据的安全性和完整性?
是/否
6. 访问控制
是否对不同用户和角色进行了访问控制,确保只有授权人员能够访问敏感数据和系统?
是/否
7. 应急响应计划
是否制定了应急响应计划,包括应急响应流程、联系人、联系方式等信息,以应对突发事件或攻击?
是/否
8. 安全审计和监控
是否建立了安全审计和监控机制,对系统和数据进行实时监控和审计,及时发现和处理安全问题?
是/否
9. 合规性检查
是否定期进行合规性检查,确保公司业务符合相关法律法规和标准的要求?
信息安全检查表模板
以下是一个信息安全检查表模板,您可以根据实际情况进行修改和调整:
检查项
检查内容
检查结果
1. 信息安全政策
是否有完善的信息安全政策,包括信息保密、信息安全、信息完整性等方面的规定?
是/否
2. 信息安全培训
员工是否接受过信息安全培训,了解信息安全的重要性、基本概念和操作方法?
是/否
3. 密码管理
是/否
10. 其他安全措施
其他与信息安全相关的措施,如加密技术、物理安全等是否得到妥善实施和管理?
是/否
网络与信息安全检查表
网络与信息安全检查表网络与信息安全检查表单位名称:嘉兴市妇幼保健院一、信息安全组织机构基本情况信息安全责任部门信息科分管信息安全工作的领导(如单位正副职领导)①姓名:王立中;职务:副院长;②姓名:;职务:;信息安全管理机构(如信息中心)①名称:信息科;②负责人:沈碧飞;职务:科长;③联系人:龚林峰;电话:;信息安全专职工作处室(如信息科)①名称:;②联系人:;电话:;信息安全责任部门职责(可附件另附)二、重要信息系统基本情况重要信息系统总数:(请另附系统简介清单)系统定级情况第一级:个第二级:个第三级:个第四级:个第五级:个未定级:个等级保护测评完成等级保护测评系统的名称及对应等级:①;②;③;④;服务对象统计①面向社会公众提供服务的系统数量及等级:;②非面向社会公众提供服务的系统数量及等级:;联网情况统计①通过互联网可直接访问的系统数量及等级:;②通过互联网不能直接访问的系统数量及等级:;其中,与互联网物理隔离的系统数量及等级:;数据集中性统计①省级数据集中的系统数量及数据类型:;②市级数据集中的系统数量及数据类型:;③县级数据集中的系统数量及数据类型:;④未进行数据集中的系统数量:;业务连续性统计①可容忍值小于小时的系统数量:;②可容忍值大于小时,小于小时的系统数量:;③可容忍值大于小时的系统数量:;系统灾备统计①定期对系统级进行灾备的系统数量:;②仅对数据库定期进行灾备的系统数量:;③无灾备措施的系统数量:;业务应用软件系统(统计年内数据)①自主设计开发(不含二次开发)的套数:;②外包国内服务商开发的套数:;外包国外服务商开发的套数:;③直接采购国内服务商产品的套数:;直接采购国外服务商产品的套数:;三、日常信息安全运维管理情况人员安全管理①重点岗位人员安全保密协议:全部签订部分签订均未签订;②人员离岗离职安全管理规定:已制定未制定;③外部人员机房访问管理制度及权限审批制度:已建立未建立;设备资产管理①资产管理制度:已建立未建立;②机房设备标签:全部标签合格部分标签合格无标签;③设备维修维护和报废管理:已建立管理制度,且维修维护和报废记录完整;已建立管理制度,但维修维护和报废记录不完整;未建立管理制度;机房安全管理①机房管理制度:已建立未建立;②机房日常运维记录:完整详实部分简略无记录;③人员进出机房记录:完整详实部分简略无记录;④机房物理环境:达标未达标;采购预算保障①年度采购方案及预算:已建立未建立;②采购合同:完整部分完整;③安全设备采购比例:> > <;外包服务管理①外包服务商资质证书:齐全部分齐全;②外包服务合同:完整部分完整;。
ISO27001信息安全检查表
审核结果
审查时间:
判定/处置
序 号
审核内容
44 是否定期对权限进行了审核
ISO27001信息安全检查表
审查要点 定期审核记录
45 是否制定了口令策略
管理人员的密码设定。 是否有员工号等容易推断的密码。 1个帐号是否有多个用户。 密码是否记录在便条上。 密码为6位英文数字以上
46 是否执行了口令策略
1.检查其访问权限设定。 2.是否有备份
确认项目或其他敏感信息是否在发送前经过授 权者确认,是否经过信息所有人的授权。
和交换涉及方签订NDA(保密协议)
1. 检查包装合理性 2. 搬运方法合理性 确认是否有电子邮件使用规则,和实施情况(如发送 重要文件时是否有文件加密等) 1.互联网使用的检查。 2.互联是否有访问控制,权限分配规则 如果有文件共享请确认: 1.确认是否设置了全员都可以访问的权限。 2.确认对于长时间不使用的人员是否暂停其帐号。 3.确认共享文件的访问权限范围。
确认修理及报废时的HDD的对应方法。
审批记录
变更申请记录 确认部门系统和个人PC的手都已经部署并且状态正常 。
是否有备份策略的制订?
是否有备份的实施?
是否有备份的验证
是否有备份保护
是否有网络访问方面的限制 1.Web访问服务的安全 2.Mail 服务的安全 1.是否有管理清单 2.记录重要信息的外部存贮介质(例如:外置 硬盘,CD,DVD,U盘,PCMCIA移动存储卡,存储 备份资料用的备份设备等),是否被保管在带锁 的文件柜中?
审核结果
审查时间:
判定/处置
序 号
审核内容
32 是否有移动介质报废管理
33 系统文件是否得到了保护 34 是否有信息交换策略制订 35 和信息交换方是否签订了协议 36 物理介质传输是否得到了保护 37 是否按照公司规程实施了电子信息交换 38 是否按照公司规程实施业务信息互联
(信息安全标准化)全套信息检查表
(信息安全标准化)全套信息检查表信息安全标准化全套信息检查表
目的
本检查表旨在帮助组织进行信息安全标准化建设,全面评估组
织安全现状,发现安全风险和问题,并提出相应的改进和优化措施。
使用方法
1. 逐一检查以下两个方面,确认组织是否已做好相应准备:
- 安全管理制度、规范、流程等是否完整、符合法律法规要求
和组织的内部要求;
- 安全技术措施是否到位,能否有效预防、检测、响应、恢复
各类安全事件和威胁。
2. 对照具体检查项目,回答相应内容是否符合标准要求,标记“√”或“×”或“N/A”表示。
3. 根据检查结果,及时采取相应的改进和优化措施。
检查项目
总结
通过使用本信息安全标准化全套信息检查表,组织能够全面了解自身安全现状,并及时发现和解决安全风险和问题,不断提升信息安全保障能力和水平,为组织发展提供保障和支持。
信息安全检查情况报告表
信息安全检查情况报告表信息安全检查情况报告表
(⼀)基本信息⾃查
表1 单位基本情况
表2 信息安全应急响应组织机构和经费落实情况
表3 信息安全教育培训情况
表4 信息安全检查情况
表5 ⽇常安全管理制度建⽴和落实情况
表6.1 系统基本情况
表6.2 系统特征及等保定级情况
表6.3 系统技术防护情况
表7.1 主要硬件品牌及数量
表7.2 安全设备情况
表8.1 主要软件品牌及数量
表8.2 安全软件情况
表1-9 信息服务资产情况
表10 信息系统⼈员资产情况
表11 ⽂档资产情况
表12.1 信息系统分域防护情况
表12.2 ⽹站基本情况
表12.3 ⽹站托管情况
表12.4 外联线路(⽹络边界)情况
表12.5 业务数据情况
表12.6 数据备份情况
表1-13 安全隐患排查及整改情况
表1-14 受赠信息技术产品情况
表15.1 重点领域信息系统类型与构成情况检查记录表。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
是否定义了公共访问/交接区域?
确认定义文件
是否监控了公共访问和交接区域?
实地查看是否有监控措施
服务器是否得到了妥善的安置和防护?
1. 重要的服务器放在安全的区域(如机房)
2. 是否有UPS
3. 温度和湿度合适
个人电脑是否得到了安置和防护?
1. 笔记本安装PoinSec,配有物理锁
2. 所有电脑使用密码屏幕保护
和信息交换方是否签订了协议
和交换涉及方签订NDA
物理介质传输是否得到了保护
1. 检查包装合理性
2. 搬运方法合理性
是否按照公司规程实施了电子信息交换
确认是否有电子邮件使用规则,和实施情况(如发送重要文件时是否有文件加密等)
是否按照公司规程实施业务信息互联
1. 互联网使用的检查。
2. 户(FX/XC)之间的互联是否有访问控制,权限分配规则
是否有访问控制方针制订
如果有文件共享请确认:
1. 确认是否设置了全员都可以访问的权限。
2. 确认对于长时间不使用的人员是否暂停其帐号。
3. 确认共享文件的访问权限范围。
3. 所有对PC的访问都有密码保护
是否对访问控制方针进行了评审
是否有定期的Review
是否有用户注册的管理
1. 确认用户账号是否有申请书。
是否制定了口令策略
管理人员的密码设定。
是否有员工号等容易推断的密码。
1个帐号是否有多个用户。
密码是否记录在便条上。
密码为6位英文数字以上。
是否执行了口令策略
是否实施了网络隔离(不同功能和密级网络的隔离,物理或逻辑)?
1. 是否有隔离区
2. 从隔离区外是否可以访问区内网络资源
是否对网络连接实施了控制
接入网络前是否经过IM或者ISM的安全检查
是否对网络服务的安全进行了控制
1.Web访问服务Байду номын сангаас安全
2.Mail 服务的安全
是否有移动介质清单的管理
1. 是否有管理清单
2. 记录重要信息的外部存贮介质(例如:外置硬盘,CD,DVD,U盘,PCMCIA移动存储卡,存储备份资料用的备份设备等),是否被保管在带锁的文件柜中?
是否有移动介质报废管理
1. 报废的申请和审批记录
是否使所有员工和信息安全相关人员签署了保密协议/合同?
是否有信息安全意识、教育和培训计划?
确认培训计划
是否执行了信息安全意识、教育和培训?
培训记录(实施日期,培训内容/教材,参加人员)
是否制定了信息安全惩戒规程?
是否执行了信息安全惩戒?
邮件用户是否清除了?
抽查是否有离职人员的用户权限没有被清除
门禁权限是否清除了?
内部OA权限是否清除了?
抽查是否有离职人员的用户权限没有被清除
SVN/CC/VSS权限是否清除了?部门服务器的权限是否清除了?
(要点:实地检查是否有离职员工/转出员工的访问权限没有被清除)
是否制订规则划分了安全区域?
确认风险评估时是否划分了安全区域等级
是否执行了安全区域划分规则?
对不同等级的区域是否有相应措施,措施是否被执行
审查内容
审查要点
检查时间
审核结果
发现
是否开展了信息安全的检查活动?
有安全检查记录或者报告,和改善记录
1,是否制定了资产清单,包含了所有的客户信息资产,包括服务器,个人电脑,网络设备,支持设备,人员,数据?
2,对这些资产清单是否有定期的更新?
1. 确认资产清单正确
2. 确认更新记录
3. 客户的资产的保护
是否实施了网络路由控制
是否制订了信息访问限制策略
访问策略定义文件
是否执行了信息访问限制策略
对照文件实地观察实施情况
是否对访问策略进行了审核
审核记录
是否定义了敏感系统
敏感系统列表
是否对敏感系统进行了网络隔离
实地查看
是否对敏感系统进行了物理隔离
实地查看
是否有客户软件的lisence管理
确认合法内容
是否制订安全区域出入规则?
1. 在公司内部,员工是否佩带可以识别身份的门卡。
2. 机房,实验室是否有出入管制规则
是否执行了安全区域出入规则(前台接待,机房,实验室访问控制)?
安装了防盗设施。(机房大门的上锁,ID卡的识别装置进入,离开的管理),实验室进出是否有管理记录
是否定期执行门/窗等入口安全检查?
3. 不用的笔记本是否放入带锁的柜中。
是否制订服务器维护计划?
确认计划内容
SecureID是否被管理
确认是否掌握远距离访问用户及SecureID的信息。
设备处置是否经过了申请?(设备维修,销毁等)
确认修理及报废时的HDD的对应方法。
设备处置是否经过了管理
审批记录
服务器,网络和应用系统的变更是否经过了管理?
上面的资产清单上是否标识了所有人和保管人?
(要点:确认资产的所有人和保管人被清楚的标识,并且和实际情况相符)
是否按客户文档的密级规则进行了适当的保护
确认对于机密信息(电子文档,打印文档),限定范围的信息(电子文档,打印文档)是否有‘明确标识’。根据需要,确认‘限定范围’,‘附带标识’,‘制定日期’,‘制定者’。
变更申请记录
是否进行了防病毒软件的部署
确认部门系统和个人PC的手都已经部署并且状态正常。
是否有及时的防病毒软件的升级
对防病毒软件的是否进行了检查?(执行一次检查)
备份策略制订
是否有备份策略的制订?
备份实施
是否有备份的实施?
备份验证
是否有备份的验证
备份保护
是否有备份保护
是否实施了网络控制
是否有网络访问方面的限制
1. 确认文本文件的废弃方法。
2. 确认是否将含有重要信息的文本文件就此扔在垃圾箱中或扔在可回收资源的箱子中。
3. 确认是否将垃圾箱和可回收资源的箱子放在安全的场所。
4. 打印机上是否留有文件没有被取走
系统文件是否得到了保护
1. 检查其访问权限设定。
2. 是否有备份
是否有信息交换策略制订
确认项目或其他敏感信息是否在发送前经过授权者确认,是否经过信息所有人(如PM)的授权?
确认用户ID及主要访问的清单,要求删除的用户或访问权限是否及时修改。
确认处理申请的记录。
是否有特权管理的管理
如果访问控制清单等是以纸张形式打印出来的,确认是否保管在上锁的地方。
电子文档是否保管在只有管理者才能打开的场所。
是否有口令的管理
有没有将口令写在便条上,或者告知他人
是否定期对权限进行了审核
定期审核记录