2019年公安机关网络安全执法检查自查表

网络安全检查自查表网络安全检查自查表1.网络设备安全检查1.1 进行设备清单核对1.2 确保设备固件及软件版本更新及安全性1.3 检查设备是否存在默认用户名和密码1.4 验证设备配置是否按照最佳安全实践进行1.5 检查设备是否启用了所需的安全功能（如访问控制列表、入侵检测系统等）2.用户账户和权限管理2.1 确认是否存在未授权的账户2.2 审核并删除不再使用的用户账户2.3 确定账户密码强度要求，并检查是否符合2.4 检查账户是否采用多因素身份验证2.5 检查用户权限是否合理分配，以避免权限过大或过小3.数据备份和恢复检查3.1 确保所有重要数据都进行了备份3.2 验证备份数据的完整性和可读性3.3 确认备份数据存储在安全位置，防止未授权访问3.4 定期测试和验证数据恢复过程4.网络访问控制4.1 检查防火墙和网络边界设备的配置4.2 验证网络设备上的安全策略是否有效4.3 检查网络中的流量监测和入侵检测系统是否正常工作4.4 确保网络服务的访问控制措施得到实施5.应用程序安全检查5.1 确保所有应用程序都经过安全审计和测试5.2 验证各应用程序的权限设置是否合理5.3 检查应用程序是否有任何已知的漏洞，并及时修复5.4 确认应用程序是否防御常见攻击（如跨站脚本、SQL注入等）6.密码和身份验证6.1 确认密码策略和密码复杂性要求6.2 检查密码是否以安全加密方式存储6.3 审核密码重置和恢复过程是否安全可靠6.4 确保多因素身份验证机制得到有效使用7.事件响应和日志检查7.1 确认安全事件和异常活动的记录是否启用和审查7.2 检查日志记录是否包含必要的信息（如时间戳、事件类型等）7.3 验证日志记录是否存储在安全位置，防止篡改7.4 确保事件响应流程和应急计划得到制定和测试附件:1.设备清单2.用户账户列表3.安全策略配置文件4.应用程序审计报告5.日志记录样本法律名词及注释:1.数据保护法: 一种法律框架，用于保护个人及其数据的隐私和安全。

附件2
网络与信息安全专项整治行动检查工作自查表
- 1 -
- 2 -
- 4 -
- 6 -
说明：
1.本自评标准的评分项目根据《国家网络安全检查操作指南》设置，共37小项。

其中，第1至34小项设置总分值为100分；第35至36小项为加重扣分项，不设分值；第37小项为否决项。

2.单位对照项目自评，未达到项目要求的扣除相应分值，在得分栏中注明得分分值；累计扣分超过项目分值的，扣分分值不超过项目分值上限。

3.发生第35至36小项严重违规行为和网络安全事件的，直接扣除相应分值；发生第37小项严重网络安全案件的，直接评定为不符合要求。

单位名称：（盖章）
单位负责人：信息部门负责人：
填表日期：
- 8 -。

附件3 2022年公安机关网络安全执法检查自查表表一：信息系统运营使用单位填写一、信息系统运营使用单位基本情况单位名称单位地址网络安全分管领导网络安全责任部门责任部门负责人责任部门联系人单位信息系统总数单位信息系统等级测评总数单位信息系统安全建设整改总数单位信息系统安全自查总数姓名姓名办公电话姓名办公电话第四级系统数第二级系统数第四级系统数第二级系统数第四级系统数第二级系统数第四级系统数第二级系统数职务/职称职务/职称挪移电话职务/职称挪移电话第三级系统数未定级系统数第三级系统数未测评系统数第三级系统数未整改系统数第三级系统数未自查系统数二、信息系统运营使用单位网络安全工作情况1、单位网络安全等级保护工作的组织领导情况(重点包括：单位网络安全领导机构或者网络安全等级保护工作领导机构成立情况；单位网络安全或者网络安全等级保护工作的职责部门和具体职能情况；单位网络安全等级保护工作部署情况等。

)2、单位对网络安全等级保护工作的保障情况(重点包括：单位网络安全等级保护工作年度考核情况；单位组织开展网络安全自查情况；单位网络安全工作经费是否纳入年度预算?单位网络安全工作的经费约占单位信息化建设经费的百分比情况等。

)3、单位网络安全责任追究制度执行情况(重点包括：是否建立了单位网络安全责任追究制度？是否依据责任追究制度对单位发生的网络安全事件(事故)进行追责等情况。

)4、单位信息系统定级备案工作情况(重点包括：单位信息系统是否全部定级备案？单位系统调整是否及时进行备案变更？单位新建信息系统是否落实定级备案等工作。

)5 、单位信息系统安全测评和安全建设整改工作情况(重点包括：单位信息系统安全检测和整改经费落实情况；单位信息系统恶意代码扫描、渗透性测试、等级测评和风险评估的安全检测情况；信息系统安全建设整改方案制定和实施情况；单位网络安全保护状况的了解掌握等情况。

)6、单位网络安全管理制度的制定和实施情况(重点包括：单位信息系统建设和网络安全“同步规划、同步建设、同步运行”措施的落实情况；单位人员管理，信息系统机房管理、设备管理、介质管理、网络安全建设管理、运维管理、服务外包等管理制度的建设情况；管理制度的监督保障和运行情况等。

网络安全检查表格(总24页)--本页仅作为文档封面，使用时请直接删除即可----内页可以根据需求调整合适字体及大小--附件1网络安全检查表1本表所称恶意代码，是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。

2本表所称高风险漏洞，是指计算机硬件、软件或信息系统中存在的严重安全缺陷，利用这些缺陷可完全控制或部分控制计算机及信息系统，对计算机及信息系统实施攻击、破坏、信息窃取等行为。

附件2网络安全管理工作自评估表9101112131415附件3重点行业网络安全检查结果统计表3网络安全事件分级标准参见《国家网络与信息安全事件应急预案》（国办函〔2008〕168号）附件4重点网络与信息系统商用密码检查情况汇总表统计密码设备时，国内指取得国家密码管理局型号的产品，国外指未取得国家密码管理局型号的产品（包括国外的产品）。

附件5重点网络与信息系统商用密码检查情况表备注：1. 表中的“密码机类”主要包括以下产品：IPSec/SSL VPN密码机、网络密码机、链路密码机、密码认证网关、存储加密机、磁带库/磁盘阵列存储加密机、密钥管理密码机、终端密钥分发器、量子密码机、服务器密码机、终端密码机、金融数据密码机、签名验证服务器、税控密码机、支付服务密码机、传真密码机、电话密码机等。

2. 表中的“密码系统”主要包括以下系统：动态令牌认证系统、数字证书认证系统、证书认证密钥管理系统、IC卡密钥管理系统、身份认证系统、数据加密传输系统、密码综合服务系统、密码设备管理系统等。

3. 表中的“网络通信”主要包括以下产品：无线接入点、无线上网卡、加密电话机、加密传真机、加密VOIP终端等。

4. 表中“密码设备使用情况”的“产品型号”栏，应填写国家密码行政主管部门审批的商用密码产品型号，若产品无商用密码产品型号，可填写产品相关资质证书上标注的型号或生产厂家自定义的型号。

年度公安机关网络安全执法检查自查表表五：网站安全情况自查表一、网站的基本情况网站中文名地址网址网站责任单位网站运行单位网站责任单位负责人及职务联系电话网站运行安全责任人及职务联系电话网站责任单位所在地工信部备案号国际联网备案号隶属关系□中央□省(自治区、直辖市) □地(区、市、州、盟) □县（区、市、旗）□其他单位类型□政府机关□事业单位□国企□互联网□其他行业类别如：财政（根据等级保护备案表行业分类划分）等级保护定级备案□二级□三级□四级□未定级等级测评□已开展□未开展网站安全责任书□已签订□未签订- 1 - / 6网站服务栏目□新闻发布□政策宣传□事项办理□论坛□即时通信□电子邮件□留言版□政务公开□其他二、网站安全保护情况网站安全责任部门和安全责任人落实情况是否落实了单位网站安全责任部门？□是□否是否落实了单位网站安全责任人？□是□否主要领导对网站网络安全工作的重视情况是否将网站安全工作的执行情况纳入到年度考核指标？□是□否开展网站安全工作的经费是否纳入年度预算？□是□否单位网站网络安全责任制落实情况是否明确了网站建设单位、运维单位和内容更新单位等部门的责任？□是□否是否对发生的网站安全事件（事故）按照安全责任制进行追责？□是□否关键岗位人员配备情况是否有明确的安全管理员，并签订保密协议？□是□否是否有内容管理员，并签订保密协议？□是□否网站定级备案执行情况单位网站是否确定了安全保护等级？□是□否单位网站是否按要求到公安机关进行了备案？□是□否网站等级测评情况是否从《全国信息安全等级保护测评机构推荐目录》中选择测评机构开展等级测评？□是□否是否对网站系统定期进行安全测评？□是□否是否对网站系统进行了外部渗透测试？□是□否是否根据测评和渗透测试结果对网站进行安全加固改造？□是□否安全事件报告处置是否制定网站安全事件（事故）报告制度？□是□否发生网站安全事件（事故）是否向属地公安机关报告？□是□否是否有完整网站安全事件处置记录？□是□否是否按照要求保留网站完整日志？□是□否开展网站安全监测和预警情况本单位是否开展日常网站安全监测？□是□否是否有网站安全监测记录？□是□否是否有网站安全预警和处理记录？□是□否网站内容管理是否制定网站内容发布管理制度？□是□否是否制定网站内容发布流程？□是□否应急预案的制定、演练和完善情况是否有应急预案，并有相应的预案文档？□是□否是否有应急保障队伍并有人员联系方式？□是□否是否定期应急演练并有应急演练的文档记录？□是□否是否根据演练结果对应急预案进行完善？□是□否机房安全管理制度执行情况本单位机房进出人员管理是否按照制度执行，并有详细记录？□是□否本单位机房日常监控是否制度执行并有监控记录？□是□否网络安全检查情况是否有网站安全自查工作总结报告？□是□否网站交互式栏目信息巡查情况单位网站是否有交互式栏目？□是□否是否有专人负责网站交互式栏目信息巡查？□是□否网络边界安全防护设备情况是否部署防火墙？□是□否是否对外屏蔽了不必要的服务端口？□是□否是否部署入侵检测（防护）设备？□是□否是否部署防病毒网关？□是□否是否部署抗拒绝服务攻击设备？□是□否是否部署应用防火墙？□是□否是否部署设备？□是□否网页防篡改措施是否定期对网站文件进行检测？□是□否- 3 - / 6是否采取网页防篡改措施？□是□否漏洞扫描措施及修复升级情况是否进行过系统层漏洞扫描，并有详细记录？□是□否是否进行过应用层漏洞扫描，并有详细记录？□是□否发现的漏洞是否及时修复？□是□否网站恶意代码防护是否有网页挂马检测系统？□是□否网站内容安全防护措施内容编辑、审核及发布权限是否分离？□是□否关键信息发布是否多级审核？□是□否网站发布内容是否过滤？□是□否管理终端安全防护措施是否有控制措施（如地址绑定，网络接入控制等）？□是□否网站后台管理系统防护措施是否对网站后台管理系统的接口进行隐藏？□是□否网站后台管理系统登录是否采取验证机制？□是□否是否对网站后台管理系统的登录失败尝试次数进行限制？□是□否是否对网站后台管理系统的用户口令复杂度进行强度限制？□是□否主要设备可用性网站服务器和数据库服务器是否双机热备？□是□否网站服务器和数据库服务器是否采用冷备方式？□是□否网站前、后台系统隔离情况是否采用逻辑隔离？□是□否网站应用远程管理情况是否不允许远程管理网站的应用？□是□否应用远程管理时是否采用加密通道？□是□否网站内容远程维护情况是否不允许远程维护网站内容？□是□否网站内容远程维护时是否采用加密通道？□是□否网站服务器操作系统安全措施网站服务器操作系统安全补丁是否及时更新？□是□否网站服务器操作系统是否存在弱口令？□是□否网站服务器数据库安全措施网站服务器数据库是否存在弱口令？□是□否网站服务器数据库是否共用同一管理口令？□是□否网站服务器中间件安全措施网站服务器中间件管理界面是否允许外部访问？□是□否网站服务器中间件是否存在弱口令？□是□否网站安全整治专项工作情况是否完成网站通信管理部门备案？□是□否是否完成网站等级保护备案？□是□否是否完成网站统一标识？□是□否三、互联网大型综合网站数据安全保护情况、互联网大型综合网站数据资源采集、存储、传输、应用和安全保护情况、利用互联网大型综合网站数据资源从事大数据分析挖掘、增值服务情况、互联网大型综合网站数据资源的转租情况及实际应用企业情况- 5 - / 6。