网络与信息安全检查表

网络与信息安全检查表

单位名称：嘉兴市妇幼保健院 一、信息安全组织机构基本情况 信息安全责任部门 分管信息安全工作的领导 （如单位正/副职领导） 信息安全管理机构 （如信息中心） 信息安全专职工作处室 （如信息科） 信息科 ① 姓名：王立中；职务：副院长； ② 姓名：_______________；职务：_______________； ① 名称：信息科； ② 负责人：沈碧飞；职务：科长； ③ 联系人：龚林峰；电话：0573-82098123； ① 名称：___________________； ② 联系人：_____________；电话：________________； 信息安全责任部门职责 (可附件另附) 二、重要信息系统基本情况 重要信息系统总数：____ （请另附系统简介清单） 系统定级情况 第一级：____个 第二级：____个 第三级：____个 第四级：____个 第五级：____个 未定级：____个 完成等级保护测评系统的名称及对应等级： ① _______________________________； 等级保护测评 ② _______________________________； ③ _______________________________； ④ _______________________________； 服务对象统计 ① 面向社会公众提供服务的系统数量及等级：________； ② 非面向社会公众提供服务的系统数量及等级：________； ① 通过互联网可直接访问的系统数量及等级：________； 联网情况统计 ② 通过互联网不能直接访问的系统数量及等级：________； 其中，与互联网物理隔离的系统数量及等级：________； ① 省级数据集中的系统数量及数据类型：________； 数据集中性统计 ② 市级数据集中的系统数量及数据类型：________； ③ 县级数据集中的系统数量及数据类型：________； ④ 未进行数据集中的系统数量：________； ① 可容忍RTO值小于1小时的系统数量：________； 业务连续性统计 ② 可容忍RTO值大于1小时，小于6小时的系统数量：________； ③ 可容忍RTO值大于12小时的系统数量：________； ① 定期对系统级进行灾备的系统数量：________； 系统灾备统计 ② 仅对数据库定期进行灾备的系统数量：________； ③ 无灾备措施的系统数量：________； ① 自主设计开发（不含二次开发）的套数：________； 业务应用软件系统 （统计3年内数据） ② 外包国内服务商开发的套数：________； 外包国外服务商开发的套数：________； ③ 直接采购国内服务商产品的套数：________； 直接采购国外服务商产品的套数：________； 三、日常信息安全运维管理情况 ①重点岗位人员安全保密协议：?全部签订 ?部分签订 ?均未签订； 人员安全管理 ②人员离岗离职安全管理规定：?已制定 ?未制定； ③外部人员机房访问管理制度及权限审批制度：?已建立 ?未建立； ① 资产管理制度：?已建立 ?未建立； ② 机房设备标签：?全部标签合格 ?部分标签合格 ?无标签； 设备资产管理 ③ 设备维修维护和报废管理： ?已建立管理制度，且维修维护和报废记录完整； ?已建立管理制度，但维修维护和报废记录不完整； ?未建立管理制度； ① 机房管理制度：?已建立 ?未建立； 机房安全管理 ② 机房日常运维记录：?完整详实 ?部分简略 ?无记录； ③ 人员进出机房记录：?完整详实 ?部分简略 ?无记录； ④ 机房物理环境：?达标 ?未达标； ① 年度采购方案及预算：?已建立 ?未建立； 采购预算保障 ② 采购合同：?完整 ?部分完整； ③ 安全设备采购比例：?>80% ?>60% ?<50%； 外包服务管理 ① 外包服务商资质证书：?齐全 ?部分齐全； ② 外包服务合同：?完整 ?部分完整； ③ 外包服务保密条款：?明确 ?未明确； ① 安全审计部署：?已部署 ?未部署； 安全审计管理 ?专员审计 ?常规审计 ?无审计； ② 运维操作审计：?已部署 ?未部署； ?专员审计 ?常规审计 ?无审计； 四、信息安全网络防护情况 ① 互联网接入口总数：_____个；其中： ?电信接入口数量：_____个 ； ?移动接入口数量：_____个； ?联通接入口数量：_____个； ?其他： ____________ 接入口数量：_____个； 网络边界安全防护 ② 网络安全防护设备部署（可多选）： ?防火墙 ?防篡改 ?入侵检测设备 ?安全审计设备 ?防病毒网关 ?抗拒绝服务攻击设备 ?其它：________________________； ③ 网络访问日志：?留存日志 周期_____ ?未留存日志 ④ 安全防护设备策略：?使用默认配置 ?根据应用自主配置 办公区域无线局域网接入设备（无线路由器）数量：个； ① 网络用途： 无线局域网安全防护 ?访问互联网：_____个； ?访问业务/办公网络：_____个； ② 安全防护策略（可多选）：?采取身份鉴别措施：_____个； ?采取地址过滤措施：_____个； ?未设置：_____个； ① 入侵检测系统：?已部署 ?未部署； 信息系统安全防护 ② 防火墙技术：?已部署 ?未部署； ③ 漏洞扫描技术：?已部署 ?未部署； ④ 访问权限设置：?有 ?无； ① 数据库管理制度：?完整并落实 ?未落实 ?无； 数据库安全防护 ② Root账户权限设置：?分级设置 ?未分级设置； ③ 数据备份周期：?实时，?定期：周期_____， ?不定期； ① 网页防篡改措施：?采用、?未采用； 网站安全防护 ② 漏洞扫描：?定期扫描，周期_____ ?不定期、?未进行； ③ 信息发布管理： ?已建立审核制度，且审核记录完整； ?已建立审核制度，但审核记录不完整； ?未建立审核制度； ④ 管理员口令复杂度策略： ?高(包含数字、大小写字母、特殊符号，8位以上 )； ?中 (数字、字母，6位以上)； ?低 (单一数字、字母，6位以下)； 邮箱安全防护 是否设置有效时间：?是 周期：_____ ?否； ① 邮箱注册：?注册邮箱账号须经审批 ?任意注册使用； ② 账户口令防护： ?使用技术措施控制和管理口令强度； ?无口令强度限制技术措施； ③ 定期删除邮件：?定期 周期_____ ?未定期； ① 安全管理方式： ?集中统一管理（可多选） ?规范软硬件安装 ?统一补丁升级 ?统一病毒防护 ?统一安全审计 ?对移动存储介质接入实施控制 ?分散管理 ② 接入互联网安全控制措施： 终端计算机安全防护 ?有控制措施（如实名接入、绑定计算机IP和MAC地址等）； ?无控制措施； ③ 访问口令复杂度策略： ?高(包含数字、大小写字母、特殊符号，8位以上 )； ?中 (数字、字母，6位以上) ； ?低 (单一数字、字母，6位以下)； 是否设置有效时间：?是 周期____ ?否； ① 安全管理方式： ?集中管理，统一登记、杀毒、配发、收回、维修、报废、销毁； 移动介质安全防护 ?未采取集中管理方式 ② 电子信息保护： ?已配备信息消除和销毁设备 ?未配备信息消除和销毁设备 五、信息安全应急工作情况 信息安全应急预案 预案全面性及可行性：?全面到位 ?未到位 年度修订评估情况：?修订评估 ?未修订评估 ?未制定 信息安全应急演练 ?年度演练次数及时间：，?年度未开展 信息安全灾难备份 应急技术支援队伍 ① 重要信息系统： ?已备份，备份周期____，?不定期，?异地备份，?本地备份； ?未备份； ② 重要业务数据： ?已备份，备份周期____，?不定期，?异地备份，?本地备份； ?未备份； ?有应急技术团队 ?单位所属责任部门：____________； ?外部专业机构名称:____________； 是否取得资质：?是(附件证明)， ?否； ?无 六、信息安全培训及宣传教育情况 年度开展信息安全培训教育的次数：_____次， 时间1：___________，培训主题：______________________； 时间2：___________，培训主题：______________________； 时间3：___________，培训主题：______________________； 年度接受信息安全培训教育的人数：_____人； 占本部门总人数的比例：_____％； 年度信息安全管理和技术人员专业培训：______人次； 年度面向单位及社会群体的信息安全宣传教育次数：_____次； 七、信息系统技术产品应用情况 信息安全培训次数 信息安全培训人数 信息安全专业培训 信息安全宣传教育 单位网络架构拓扑图及安全设备产品配置： 附件说明 硬 件 软 件 配 置 国产1量 （台/套） 非国产量 （台/套） 路由器 防火墙 交换机 堡垒机 服务器 漏洞扫描 数据库 防病毒系统 操作系统 入侵检测系统 磁盘阵列 数据备份系统 国产量 （台/套） 非国产量 （台/套） 终端计算机 （含笔记本） 总台数：__________，其中国产台数：___________； 公文处理软件 安装国产公文处理软件的终端计算机台数：_________________； （终端计算机安装） 安装国外公文处理软件的终端计算机台数：_________________； 1

本表所称国产，是指具有国内品牌，最终产品在中国境内生产，并符合法律法规和政策规定的其他条件。

信息安全设备产品 ① 防火墙等访问控制设备（不含终端软件防火墙）台数：_____； 其中，国产台数：_________________； ② 安装国产防病毒产品的设备台数：_________________； 八、信息安全经费预算投入情况 信息安全预算 信息安全投入 预算投入明细 年度信息安全建设经费预算：___万元；占信息化总额比：____ %； 年度信息安全经费实际投入：___万元；占信息化实际投入额比：____%； 信息安全经费预算及投入明细：______________；（附件说明） 九、年度信息安全事件及技术检测情况 信 息 安 全 事 件 情 况 门户网站 受攻击情况 网页被 篡改情况 重要系统 中断情况 安全防护设备检测到的门户网站受攻击次数：__________； 门户网站网页被篡改（含内嵌恶意代码）次数：___________； ① 重要系统异常中断时间：_________小时； ② 重要系统异常中断造成的数据丢失量：_______?MB ?GB ?TB； ③ 重要系统异常中断造成的影响范围： ?社会公众 ?本部门 ?部分下属单位 ?其他 渗透测试 本部门进行过渗透测试的信息系统数量：__________； 其中，可以成功控制的信息系统数量：__________； ①进行过病毒木马等恶意代码检测的服务器台数：___________； 技 术 检 测 情 况 恶意代码2检测结果 其中，存在恶意代码的服务器台数：___________； ②进行过病毒木马等恶意代码检测的终端计算机台数_________； 其中，存在恶意代码的终端计算机台数：___________； ①进行过漏洞扫描的服务器台数：___________； 其中，存在漏洞的服务器台数：___________； 安全漏洞 检测结果 存在高风险漏洞3的服务器台数：___________； ②进行过漏洞扫描的终端计算机台数：___________； 其中，存在漏洞的终端计算机台数：___________； 存在高风险漏洞的终端计算机台数：___________； 信息安全2

特别重大信息安全事件次数：___________，事件原因：___________； 重大信息安全事件次数：___________，事件原因：___________； 本表所称恶意代码，是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。 3

本表所称高风险漏洞，是指计算机硬件、软件或信息系统中存在的严重安全缺陷，利用这些缺陷可完全控制或部分控制计算机及信息系统，对计算机及信息系统实施攻击、破坏、信息窃取等行为。

事件4情况 较大信息安全事件次数：___________，事件原因：___________； 一般信息安全事件次数：___________，事件原因：___________； （安全事件报告附件说明） 十、信息技术外包服务机构情况（包括参与技术检测的外部专业机构） 机构名称 机构性质 外包服务机构1 服务内容 5 ?国有单位 ?民营企业 ?外资企业 信息安全与保密协议 ?已签订 ?未签订 信息安全管理体系认?已通过认证认证机构：______________________ 证情况 机构名称 机构性质 外包服务机构2 服务内容 ?未通过认证 ?国有单位 ?民营企业 ?外资企业 信息安全与保密协议 ?已签订 ?未签订 信息安全管理体系认?已通过认证认证机构：______________________ 证情况 ?未通过认证 （如有3个以上外包机构，每个机构均应填写，可另附页） 45

信息安全事件分级标准参见《国家网络与信息安全事件应急预案》（国办函〔2008〕168号）

本表所称服务内容，主要包括系统集成、系统运维、风险评估、安全检测、安全加固、应急支持、数据存储、灾难备份等。

本文来源：https://www.bwwdw.com/article/t4y3.html