共30頁
附件1
網(wǎng)絡(luò)安全檢查表
填表單位蓋章
聯(lián)系人
姓名
聯(lián)系方式
座機(jī)
手機(jī)
一、部門基本情況
部門名稱
分管網(wǎng)絡(luò)安全工作的領(lǐng)導(dǎo)
(如副部長)
①姓名:______秋桑_________
②職務(wù):_______________
網(wǎng)絡(luò)安全管理機(jī)構(gòu)
(如辦公室)
①名稱:_____辦公室______________
②負(fù)責(zé)人:_____________職務(wù):________________
③聯(lián)系人:_____________辦公電話:________________
移動電話:________________
網(wǎng)絡(luò)安全專職工作處室
(如網(wǎng)絡(luò)安全處)
①名稱:_____網(wǎng)絡(luò)信息中心______________
②負(fù)責(zé)人:_____________辦公電話:________________
移動電話:________________
網(wǎng)絡(luò)安全從業(yè)人員
①本單位網(wǎng)絡(luò)安全從業(yè)人員總數(shù):_______,其中有網(wǎng)絡(luò)安全從業(yè)
資質(zhì)的人員數(shù)量:_____1__
②網(wǎng)絡(luò)安全從業(yè)人員缺口:_______
二、信息系統(tǒng)基本情況
信息系統(tǒng)情況
①信息系統(tǒng)總數(shù):________________
②網(wǎng)絡(luò)連接情況
與其它網(wǎng)絡(luò)物理隔離的系統(tǒng)數(shù)量:_________
應(yīng)用系統(tǒng)名稱_________,本單位使用終端_______個
可以通過電子政務(wù)外網(wǎng)訪問的系統(tǒng)數(shù)量:_________
應(yīng)用系統(tǒng)名稱_________,本單位使用終端_______個
可以通過互聯(lián)網(wǎng)訪問的系統(tǒng)數(shù)量:_________
應(yīng)用系統(tǒng)名稱_________,本單位使用終端_______個
③面向社會公眾提供服務(wù)的系統(tǒng)數(shù)量:_________
④本年度經(jīng)過安全測評的系統(tǒng)數(shù)量:_________
(如有多個應(yīng)用系統(tǒng),可在此表項(xiàng)內(nèi)增加應(yīng)用系統(tǒng)名稱,每個系統(tǒng)均應(yīng)填
寫)
互聯(lián)網(wǎng)接入互聯(lián)網(wǎng)接入口總數(shù):_____
—2—
情況□接入中國聯(lián)通接入口數(shù)量:_____接入帶寬:_______MB
□接入中國電信接入口數(shù)量:_____接入帶寬:_______MB
□其他:________接入口數(shù)量:_____接入帶寬:_______MB
系統(tǒng)等級
保護(hù)情況
第一級:_______個第二級:_______個
第三級:_______個已開展年度測評_______個測評通過率______
第四級:_______個已開展年度測評_______個測評通過率______
第五級:_______個已開展年度測評_______個測評通過率______
未定級:_______個
三、網(wǎng)絡(luò)安全日常管理情況(如有多個系統(tǒng),可擴(kuò)展此項(xiàng))
人員管理
①崗位網(wǎng)絡(luò)安全責(zé)任制度:□已建立□未建立
②重點(diǎn)崗位人員安全保密協(xié)議:□全部簽訂□部分簽訂□均未簽訂
③人員離崗離職安全管理規(guī)定:□已制定□未制定
④外部人員訪問機(jī)房等重要區(qū)域?qū)徟贫龋骸跻呀ⅰ跷唇?/p>
資產(chǎn)管理
①資產(chǎn)管理制度:□已建立□未建立
②設(shè)備維修維護(hù)和報(bào)廢管理:
□已建立管理制度,且記錄完整
□已建立管理制度,但記錄不完整
□未建立管理制度
網(wǎng)絡(luò)安全規(guī)劃
規(guī)劃制定情況(單選):
□制定了部門的網(wǎng)絡(luò)安全規(guī)劃
□在部門總體發(fā)展規(guī)劃中涵蓋了網(wǎng)絡(luò)安全規(guī)劃
□無
四、網(wǎng)絡(luò)安全防護(hù)情況(如有多個系統(tǒng),可擴(kuò)展此項(xiàng))
網(wǎng)絡(luò)邊界
安全防護(hù)
①網(wǎng)絡(luò)安全防護(hù)設(shè)備部署(可多選):
□防火墻□訪問控制設(shè)備□入侵防御設(shè)備□入侵檢測設(shè)備
□安全審計(jì)設(shè)備□防病毒網(wǎng)關(guān)□流量控制設(shè)備□抗拒絕服務(wù)攻擊設(shè)
備
□其它:________________________
②設(shè)備安全策略配置:□使用默認(rèn)配置□根據(jù)需要配置
③網(wǎng)絡(luò)訪問日志:□留存日志留存時間:________□未留存日志
無線網(wǎng)絡(luò)
安全防護(hù)
①本單位使用無線路由器數(shù)量:
②無線路由器用途:
□訪問互聯(lián)網(wǎng):_______個
□訪問電子政務(wù)外網(wǎng):_______個
□訪問業(yè)務(wù)/辦公網(wǎng)絡(luò):_______個
③安全防護(hù)策略(可多選):
□采取身份鑒別措施□采取地址過濾措施
—3—
□未設(shè)置安全防護(hù)策略
④無線路由器使用默認(rèn)管理地址情況:□存在□不存在
⑤無線路由器使用默認(rèn)管理口令情況:□存在□不存在
網(wǎng)站
安全防護(hù)
①門戶網(wǎng)站域名:_。net__________________________________
黨政機(jī)關(guān)網(wǎng)□是√否加掛黨政機(jī)關(guān)網(wǎng)站標(biāo)識情況□是□否
②門戶網(wǎng)站IP地址:______221.10.42。
144_____________________________
③本單位及其內(nèi)設(shè)機(jī)構(gòu)具有獨(dú)立域名的網(wǎng)站域名:
_____________________________________________(可另附頁)
④網(wǎng)頁防篡改措施:√采取□未采取
⑤漏洞掃描:□定期,周期√不定期□未進(jìn)行
⑥信息發(fā)布管理:√已建立審核制度,且記錄完整
□已建立審核制度,但記錄不完整
□未建立審核制度
⑦運(yùn)維方式:√自行運(yùn)維□委托第三方運(yùn)維
⑧域名解析系統(tǒng)情況:□自行建設(shè)√委托第三方:________________
電子郵件
安全防護(hù)
①建設(shè)方式:√自行建設(shè)
□使用第三方服務(wù)郵件服務(wù)提供商
②帳戶數(shù)量:個
③注冊管理:□須經(jīng)審批□任意注冊
④口令管理:□使用技術(shù)措施控制口令強(qiáng)度
□沒有采取技術(shù)措施控制口令強(qiáng)度
⑤安全防護(hù):(可多選)
□采取病毒木馬防護(hù)措施
□部署防火墻、入侵檢測等設(shè)備
□采取反垃圾郵件措施
□其他:
終端計(jì)算機(jī)
安全防護(hù)
①管理方式:
□集中統(tǒng)一管理(可多選)
□規(guī)范軟硬件安裝□統(tǒng)一補(bǔ)丁升級□統(tǒng)一病毒防護(hù)
□統(tǒng)一安全審計(jì)□對移動存儲介質(zhì)接入實(shí)施控制
□統(tǒng)一身份管理
□分散管理
②接入互聯(lián)網(wǎng)安全控制措施:
□有控制措施(如實(shí)名接入、綁定計(jì)算機(jī)IP和MAC地址等)
終端網(wǎng)絡(luò)隔離措施:____________________________
□無控制措施
③接入電子政務(wù)外網(wǎng)安全控制措施:
—4—
□有控制措施(如實(shí)名接入、綁定計(jì)算機(jī)IP和MAC地址等)
終端網(wǎng)絡(luò)隔離措施:____________________________
□無控制措施
④接入辦公系統(tǒng)安全控制措施:
□有控制措施(如實(shí)名接入、綁定計(jì)算機(jī)IP和MAC地址等)
終端網(wǎng)絡(luò)隔離措施:____________________________
□無控制措施
移動存儲介質(zhì)
安全防護(hù)
①管理方式:
√集中管理,統(tǒng)一登記、配發(fā)、收回、維修、報(bào)廢、銷毀
□未采取集中管理方式
②信息銷毀:
□已配備信息消除和銷毀設(shè)備√未配備信息消除和銷毀設(shè)備
重要漏洞
修復(fù)情況
重大漏洞處置率:_____________處置平均時長:______________
五、網(wǎng)絡(luò)安全應(yīng)急工作情況
應(yīng)急預(yù)案
□已制定本年度修訂情況:□修訂□未修訂
□未制定
應(yīng)急演練□本年度已開展,演練時間:_____________□本年度未開展
災(zāi)難備份
①數(shù)據(jù)備份:
□采取備份措施,備份周期:□實(shí)時,□日,□周,□月,√不定期
□未采取備份措施
②系統(tǒng)備份:
采取實(shí)時備份措施的系統(tǒng)數(shù)量:________________
未采取系統(tǒng)備份措施的系統(tǒng)數(shù)量:________________
應(yīng)急技術(shù)
隊(duì)伍
□本部門所屬□外部服務(wù)機(jī)構(gòu)□無
六、網(wǎng)絡(luò)安全教育培訓(xùn)情況
培訓(xùn)次數(shù)本年度開展網(wǎng)絡(luò)安全教育培訓(xùn)的次數(shù):_____
培訓(xùn)人數(shù)
本年度參加網(wǎng)絡(luò)安全教育培訓(xùn)的人數(shù):_____
占本部門總?cè)藬?shù)的比例:_____%
七、信息技術(shù)產(chǎn)品使用情況
服務(wù)器
①總臺數(shù):__________
②品牌情況:國內(nèi)品牌臺數(shù):______,其中,使用國產(chǎn)CPU的臺數(shù):______
國外品牌臺數(shù):______
③操作系統(tǒng)情況:使用國產(chǎn)操作系統(tǒng)的臺數(shù):______
使用國外操作系統(tǒng)的臺數(shù):______
—5—
終端計(jì)算機(jī)
(含筆記本)
①總臺數(shù):___________
②品牌情況:國內(nèi)品牌臺數(shù):______,其中,使用國產(chǎn)CPU的臺數(shù):______
國外品牌臺數(shù):______
③操作系統(tǒng)情況:使用國產(chǎn)操作系統(tǒng)的臺數(shù):______
使用國外操作系統(tǒng)的臺數(shù):______
其中,使用WindowsXP的臺數(shù):______
④安裝國產(chǎn)字處理軟件的終端計(jì)算機(jī)臺數(shù):______
⑤安裝國產(chǎn)防病毒軟件的終端計(jì)算機(jī)臺數(shù):______
路由器
①總臺數(shù):__________
②品牌情況:國內(nèi)品牌臺數(shù):______
國外品牌臺數(shù):______
交換機(jī)
①總臺數(shù):__________
②品牌情況:國內(nèi)品牌臺數(shù):______
國外品牌臺數(shù):______
存儲設(shè)備
①總臺數(shù):__________
②品牌情況:國內(nèi)品牌臺數(shù):______
國外品牌臺數(shù):______
數(shù)據(jù)庫
管理系統(tǒng)
①總套數(shù):__________
②品牌情況:國內(nèi)品牌臺數(shù):______
國外品牌臺數(shù):______
郵件系統(tǒng)
總數(shù):__________
品牌:_______________數(shù)量:______
品牌:_______________數(shù)量:______
負(fù)載均衡設(shè)備
總數(shù):__________
品牌:_______________數(shù)量:______
品牌:_______________數(shù)量:______
防火墻
總數(shù):__________
品牌:_______________數(shù)量:______
品牌:_______________數(shù)量:______
入侵檢測設(shè)備
(入侵防御)
總數(shù):__________
品牌:_______________數(shù)量:______
品牌:_______________數(shù)量:______
安全審計(jì)設(shè)備
總數(shù):__________
品牌:_______________數(shù)量:______
品牌:_______________數(shù)量:______
八、商用密碼使用情況
①密碼功能用途(可多選):
—6—
□身份認(rèn)證□訪問控制□電子簽名□安全審計(jì)
□傳輸保護(hù)□存儲保護(hù)□密鑰管理
②密碼機(jī)數(shù)量:______密碼系統(tǒng)數(shù)量:______
智能IC卡數(shù)量:______智能密碼鑰匙數(shù)量:______
動態(tài)令牌數(shù)量:______
③所采用的密碼算法:
對稱算法:SM1___個SM4___個SM7___個AES___個DES___個3DES___個
非對稱算法:SM2___個SM9___個RSA1024___個RSA2048___個
雜湊算法:SM3___個SHA-1___個SHA—256___個SHA-384___個SHA—512___個
MD5___個
其它:____________________________________________________________
九、網(wǎng)絡(luò)安全經(jīng)費(fèi)預(yù)算投入情況
經(jīng)費(fèi)保障
①上一年度網(wǎng)絡(luò)安全預(yù)算:_______萬元,實(shí)際到位情況:_______萬元
②本年度信息化建設(shè)總預(yù)算(含網(wǎng)絡(luò)安全預(yù)算):_______萬元,其中網(wǎng)絡(luò)安
全預(yù)算:_______萬元
十、本年度技術(shù)檢測及網(wǎng)絡(luò)安全事件情況
技術(shù)檢
測情況
滲透測試
進(jìn)行滲透測試的系統(tǒng)數(shù)量:________________
其中,可以成功控制的系統(tǒng)數(shù)量:________________
惡意代碼1
檢測
①進(jìn)行病毒木馬等惡意代碼檢測的服務(wù)器臺數(shù):___________
其中,存在惡意代碼的服務(wù)器臺數(shù):___________
②進(jìn)行病毒木馬等惡意代碼檢測的終端計(jì)算機(jī)臺數(shù):_________
其中,存在惡意代碼的終端計(jì)算機(jī)臺數(shù):___________
安全漏洞
檢測結(jié)果
①進(jìn)行漏洞掃描的服務(wù)器臺數(shù):___________
其中,存在高風(fēng)險(xiǎn)漏洞2的服務(wù)器臺數(shù):___________
②進(jìn)行漏洞掃描的終端計(jì)算機(jī)臺數(shù):___________
其中,存在高風(fēng)險(xiǎn)漏洞的終端計(jì)算機(jī)臺數(shù):___________
網(wǎng)絡(luò)安
全事件
情況
門戶網(wǎng)站受
攻擊情況
安全防護(hù)設(shè)備檢測到的門戶網(wǎng)站受攻擊次數(shù):___________
網(wǎng)頁被篡
改情況
門戶網(wǎng)站網(wǎng)頁被篡改(含內(nèi)嵌惡意代碼)次數(shù):______0_____
十一、信息技術(shù)外包服務(wù)機(jī)構(gòu)情況(包括參與技術(shù)檢測的外部專業(yè)機(jī)構(gòu))
外包服務(wù)機(jī)構(gòu)1機(jī)構(gòu)名稱
1本表所稱惡意代碼,是指病毒木馬等具有避開安全保護(hù)措施、竊取他人信息、損害他人計(jì)算機(jī)及信息系統(tǒng)資源、對
他人計(jì)算機(jī)及信息系統(tǒng)實(shí)施遠(yuǎn)程控制等功能的代碼或程序。
2本表所稱高風(fēng)險(xiǎn)漏洞,是指計(jì)算機(jī)硬件、軟件或信息系統(tǒng)中存在的嚴(yán)重安全缺陷,利用這些缺陷可完全控制或部分
控制計(jì)算機(jī)及信息系統(tǒng),對計(jì)算機(jī)及信息系統(tǒng)實(shí)施攻擊、破壞、信息竊取等行為。
—7—
機(jī)構(gòu)性質(zhì)□國有單位□民營企業(yè)□外資企業(yè)
服務(wù)內(nèi)容
□系統(tǒng)集成□系統(tǒng)運(yùn)維□風(fēng)險(xiǎn)評估
□安全檢測□安全加固□應(yīng)急支持
□數(shù)據(jù)存儲□災(zāi)難備份
□其他:____________
網(wǎng)絡(luò)安全保密協(xié)議□已簽訂□未簽訂
信息安全管理體系
認(rèn)證情況
□已通過認(rèn)證
認(rèn)證機(jī)構(gòu):______________________
□未通過認(rèn)證
外包服務(wù)機(jī)構(gòu)2
機(jī)構(gòu)名稱
機(jī)構(gòu)性質(zhì)□國有單位□民營企業(yè)□外資企業(yè)
服務(wù)內(nèi)容
□系統(tǒng)集成□系統(tǒng)運(yùn)維□風(fēng)險(xiǎn)評估
□安全檢測□安全加固□應(yīng)急支持
□數(shù)據(jù)存儲□災(zāi)難備份
□其他:____________
網(wǎng)絡(luò)安全保密協(xié)議□已簽訂□未簽訂
信息安全管理體系認(rèn)
證情況
□已通過認(rèn)證
認(rèn)證機(jī)構(gòu):______________________
□未通過認(rèn)證
(如有2個以上外包機(jī)構(gòu),每個機(jī)構(gòu)均應(yīng)填寫,可另附頁)
—8—
附件2
網(wǎng)絡(luò)安全管理工作自評估表
填表單位:(蓋章)聯(lián)系人:電話:
評估指標(biāo)評價(jià)要素評價(jià)標(biāo)準(zhǔn)
權(quán)重
(V)
指標(biāo)
屬性
量化方法(P為量化值)
評估得分
(V×P)
網(wǎng)絡(luò)安全組織管理
網(wǎng)絡(luò)安全
主管領(lǐng)導(dǎo)
明確一名主管領(lǐng)導(dǎo)負(fù)責(zé)本部門網(wǎng)絡(luò)安全工
作(主管領(lǐng)導(dǎo)應(yīng)為本部門正職或副職領(lǐng)導(dǎo))。
3定性
已明確,本年度就網(wǎng)絡(luò)安全工作作出
批示或主持召開專題會議,P=1;
已明確,本年度未就網(wǎng)絡(luò)安全工作作
出批示或主持召開專題會議,P=0.5;
尚未明確,P=0。
3
網(wǎng)絡(luò)安全
管理機(jī)構(gòu)
指定一個機(jī)構(gòu)具體承擔(dān)網(wǎng)絡(luò)安全管理工作
(管理機(jī)構(gòu)應(yīng)為本部門二級機(jī)構(gòu))。
2定性
已指定,并以正式文件等形式明確其
職責(zé),P=1;
未指定,P=0。
2
網(wǎng)絡(luò)安全員
各內(nèi)設(shè)機(jī)構(gòu)指定一名專職或兼職網(wǎng)絡(luò)安全
員。
2定量
P=指定網(wǎng)絡(luò)安全員的內(nèi)設(shè)機(jī)構(gòu)數(shù)量
與內(nèi)設(shè)機(jī)構(gòu)總數(shù)的比率。
網(wǎng)絡(luò)
安全
日常
管理
規(guī)章制度
制度完整性
建立網(wǎng)絡(luò)安全管理制度體系,涵蓋人員管
理、資產(chǎn)管理、采購管理、外包管理、教
育培訓(xùn)等方面。
3定性
制度完整,P=1;
制度不完整,P=0.5;
無制度,P=0。
制度發(fā)布安全管理制度以正式文件等形式發(fā)布。2定性符合,P=1;不符合,P=0。
—9—
評估指標(biāo)評價(jià)要素評價(jià)標(biāo)準(zhǔn)
權(quán)重
(V)
指標(biāo)
屬性
量化方法(P為量化值)
評估得分
(V×P)
人員管理
重點(diǎn)崗位人
員簽訂安全
保密協(xié)議
重點(diǎn)崗位人員(系統(tǒng)管理員、網(wǎng)絡(luò)管理員、
網(wǎng)絡(luò)安全員等)簽訂網(wǎng)絡(luò)安全與保密協(xié)議。
2定量
P=重點(diǎn)崗位人員中簽訂網(wǎng)絡(luò)安全與
保密協(xié)議的比率。
人員離崗離
職管理措施
人員離崗離職時,收回其相關(guān)權(quán)限,簽署
安全保密承諾書。
2定性
符合,P=1;
不符合,P=0。
網(wǎng)絡(luò)
安全
日常
管理
人員管理
外部人員訪
問管理措施
外部人員訪問機(jī)房等重要區(qū)域時采取審
批、人員陪同、進(jìn)出記錄等安全管理措施。
2定性
符合,P=1;
不符合,P=0。
資產(chǎn)管理
責(zé)任落實(shí)
指定專人負(fù)責(zé)資產(chǎn)管理,并明確責(zé)任人職
責(zé).
2定性符合,P=1;不符合,P=0。
建立臺賬
建立完整資產(chǎn)臺賬,統(tǒng)一編號、統(tǒng)一標(biāo)識、
統(tǒng)一發(fā)放.
2定性符合,P=1;不符合,P=0。
賬物符合度資產(chǎn)臺賬與實(shí)際設(shè)備相一致.2定性符合,P=1;不符合,P=0.
設(shè)備維修維
護(hù)和報(bào)廢管
理措施
完整記錄設(shè)備維修維護(hù)和報(bào)廢信息(時間、
地點(diǎn)、內(nèi)容、責(zé)任人等).
2定性
記錄完整,P=1;
記錄基本完整,P=0.5;
記錄不完整或無記錄,P=0。
外包管理
外包服務(wù)協(xié)
議
與信息技術(shù)外包服務(wù)提供商簽訂網(wǎng)絡(luò)安全
與保密協(xié)議,或在服務(wù)合同中明確網(wǎng)絡(luò)安
全與保密責(zé)任.
2定性
符合,P=1;
不符合,P=0。
—10—
評估指標(biāo)評價(jià)要素評價(jià)標(biāo)準(zhǔn)
權(quán)重
(V)
指標(biāo)
屬性
量化方法(P為量化值)
評估得分
(V×P)
現(xiàn)場服務(wù)管
理
現(xiàn)場服務(wù)過程中安排專人管理,并記錄服
務(wù)過程。
2定性
記錄完整,P=1;
記錄不完整,P=0。5;
無記錄,P=0。
外包開發(fā)管
理
外包開發(fā)的系統(tǒng)、軟件上線前通過信息安
全測評。
2定量
P=外包開發(fā)的系統(tǒng)、軟件上線前通過
信息安全測評的比率.
運(yùn)維服務(wù)方
式
原則上不得采用遠(yuǎn)程在線方式,確需采用
時采取書面審批、訪問控制、在線監(jiān)測、
日志審計(jì)等安全防護(hù)措施。
2定性
符合,P=1;
不符合,P=0。
經(jīng)費(fèi)保障經(jīng)費(fèi)預(yù)算
將網(wǎng)絡(luò)安全設(shè)施運(yùn)維、日常管理、教育培
訓(xùn)、檢查評估等費(fèi)用納入年度預(yù)算。
3定性
符合,P=1;
不符合,P=0.
網(wǎng)絡(luò)
安全
日常
管理
網(wǎng)站內(nèi)容
管理
網(wǎng)站信息發(fā)
布
網(wǎng)站信息發(fā)布前采取內(nèi)容核查、審批等安
全管理措施。
2定性
符合,P=1;
不符合,P=0。
電子信息
管理
介質(zhì)銷毀和
信息消除
配備必要的電子信息消除和銷毀設(shè)備,對
變更用途的存儲介質(zhì)進(jìn)行信息消除,對廢
棄的存儲介質(zhì)進(jìn)行銷毀。
1定性
符合,P=1;
不符合,P=0。
信息
安全
防護(hù)
管理
物理環(huán)境
安全
機(jī)房安全
具備防盜竊、防破壞、防雷擊、防火、防
水、防潮、防靜電及備用電力供應(yīng)、溫濕
度控制、電磁防護(hù)等安全措施。
2定性
符合,P=1;
不符合,P=0。
物理訪問控
制
機(jī)房配備門禁系統(tǒng)或有專人值守。1定性符合,P=1;不符合,P=0.
—11—
評估指標(biāo)評價(jià)要素評價(jià)標(biāo)準(zhǔn)
權(quán)重
(V)
指標(biāo)
屬性
量化方法(P為量化值)
評估得分
(V×P)
網(wǎng)絡(luò)邊界
安全
訪問控制
網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,能夠阻斷非
授權(quán)訪問。
3定性
符合,P=1;
有設(shè)備,但未配置策略,P=0.5;
無設(shè)備,P=0。
入侵檢測
網(wǎng)絡(luò)邊界部署入侵檢測設(shè)備,定期更新檢
測規(guī)則庫.
2定性
符合,P=1;
有設(shè)備,但未定期更新,P=0。5;
無設(shè)備,P=0。
安全審計(jì)
網(wǎng)絡(luò)邊界部署安全審計(jì)設(shè)備,對網(wǎng)絡(luò)訪問
情況進(jìn)行定期分析審計(jì)并記錄審計(jì)情況。
2定性
符合,P=1;
有設(shè)備,但未定期分析,P=0。5;
無設(shè)備,P=0。
互聯(lián)網(wǎng)接入
口數(shù)量
各單位同一辦公區(qū)域內(nèi)互聯(lián)網(wǎng)接入口不超
過2個。
2定性
符合,P=1;
不符合,P=0。
設(shè)備安全
惡意代碼防
護(hù)
部署防病毒網(wǎng)關(guān)或統(tǒng)一安裝防病毒軟件,
并定期更新惡意代碼庫。
2定性
符合,P=1;
有設(shè)備,但未定期更新,P=0。5;
無設(shè)備,P=0.
信息
安全
防護(hù)
管理
設(shè)備安全
設(shè)備漏洞掃
描
定期對服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)
行安全漏洞掃描。
2定性
掃描周期小于1個月,P=1;
掃描周期為2到3個月,P=0.5;
掃描周期為4到6個月,P=0。2;
其他,P=0。
服務(wù)器
口令策略
配置口令策略保證服務(wù)器口令強(qiáng)度和更新
頻率。
1定量P=配置了口令策略的服務(wù)器比率。
—12—
評估指標(biāo)評價(jià)要素評價(jià)標(biāo)準(zhǔn)
權(quán)重
(V)
指標(biāo)
屬性
量化方法(P為量化值)
評估得分
(V×P)
服務(wù)器
安全審計(jì)
啟用安全審計(jì)功能并進(jìn)行定期分析。1定量
P=對安全審計(jì)日志進(jìn)行定期分析的
服務(wù)器比率。
服務(wù)器
補(bǔ)丁更新
及時對服務(wù)器操作系統(tǒng)補(bǔ)丁和數(shù)據(jù)庫管理
系統(tǒng)補(bǔ)丁進(jìn)行更新。
2定量
P=補(bǔ)丁得到及時更新的服務(wù)器比
率。
網(wǎng)絡(luò)設(shè)備和
安全設(shè)備口
令策略
配置口令策略保證網(wǎng)絡(luò)設(shè)備和安全設(shè)備口
令強(qiáng)度和更新頻率。
1定量
P=網(wǎng)絡(luò)設(shè)備和安全設(shè)備(指重要設(shè)
備)中配置了口令策略的比率。
終端計(jì)算機(jī)
統(tǒng)一防護(hù)
采取集中統(tǒng)一管理方式對終端進(jìn)行防護(hù),
統(tǒng)一軟件下發(fā)、安裝系統(tǒng)補(bǔ)丁。
2定性
符合,P=1;
不符合,P=0。
終端計(jì)算機(jī)
接入控制
采取技術(shù)措施(如部署集中管理系統(tǒng)、將IP
地址與MAC地址綁定等)對接入本單位
網(wǎng)絡(luò)的終端計(jì)算機(jī)進(jìn)行控制。
1定性
符合,P=1;
不符合,P=0。
應(yīng)用系統(tǒng)
安全
應(yīng)用系統(tǒng)安
全漏洞掃描
定期對服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)
行安全漏洞掃描。
2定性
掃描周期小于1個月,P=1;
掃描周期為2到3個月,P=0。5;
掃描周期為4到6個月,P=0.2;
其他,P=0.
門戶網(wǎng)站防
篡改措施
門戶網(wǎng)站采取網(wǎng)頁防篡改措施。2定性
符合,P=1;
不符合,P=0.
信息
安全
應(yīng)用系統(tǒng)
安全
門戶網(wǎng)站抗
拒絕服務(wù)攻
擊措施
門戶網(wǎng)站采取抗拒絕服務(wù)攻擊措施。1定性
符合,P=1;
不符合,P=0。
—13—
評估指標(biāo)評價(jià)要素評價(jià)標(biāo)準(zhǔn)
權(quán)重
(V)
指標(biāo)
屬性
量化方法(P為量化值)
評估得分
(V×P)
防護(hù)
管理
電子郵件賬
號注冊審批
建立郵件賬號開通審批程序,防止郵件賬
號任意注冊使用。
1定性
符合,P=1;
不符合,P=0。
電子郵箱賬
戶口令策略
配置口令策略保證電子郵箱口令強(qiáng)度和更
新頻率。
1定性
符合,P=1;
不符合,P=0.
郵件清理定期清理工作郵件。1定性符合,P=1;不符合,P=0。
數(shù)據(jù)安全
數(shù)據(jù)存儲保
護(hù)
采取技術(shù)措施(如加密、分區(qū)存儲等)對存
儲的重要數(shù)據(jù)進(jìn)行保護(hù)。
2定性
符合,P=1;
不符合,P=0。
數(shù)據(jù)傳輸保
護(hù)
采取技術(shù)措施對傳輸?shù)闹匾獢?shù)據(jù)進(jìn)行加密
和校驗(yàn)。
2定性
符合,P=1;
不符合,P=0。
數(shù)據(jù)和系統(tǒng)
備份
采取技術(shù)措施對重要數(shù)據(jù)和系統(tǒng)進(jìn)行定期
備份。
2定性符合,P=1;不符合,P=0。
數(shù)據(jù)中心、災(zāi)
備中心設(shè)立
數(shù)據(jù)中心、災(zāi)備中心應(yīng)設(shè)立在境內(nèi).1定性
符合,P=1;
不符合,P=0。
網(wǎng)絡(luò)安全應(yīng)急管理
應(yīng)急預(yù)案
制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案(為部門級預(yù)
案,非單個信息系統(tǒng)的安全應(yīng)急預(yù)案),并使
相關(guān)人員熟悉應(yīng)急預(yù)案。
2定性
符合,P=1;
不符合,P=0。
應(yīng)急演練
開展應(yīng)急演練,并留存演練計(jì)劃、方案、
記錄、總結(jié)等文檔.
2定性
符合,P=1;
不符合,P=0。
應(yīng)急資源
指定應(yīng)急技術(shù)支援隊(duì)伍,配備必要的備機(jī)、
備件等應(yīng)急物資。
1定性
符合,P=1;
不符合,P=0。
—14—
評估指標(biāo)評價(jià)要素評價(jià)標(biāo)準(zhǔn)
權(quán)重
(V)
指標(biāo)
屬性
量化方法(P為量化值)
評估得分
(V×P)
網(wǎng)絡(luò)安全應(yīng)急管理事件處置
發(fā)生網(wǎng)絡(luò)安全事件后,及時向主管領(lǐng)導(dǎo)報(bào)
告,按照預(yù)案開展處置工作;重大事件及
時通報(bào)網(wǎng)絡(luò)安全主管部門。
2定性
發(fā)生過事件并按要求處置,或者未發(fā)
生過安全事件,P=1;
發(fā)生過事件但未按要求處置,P=0.
網(wǎng)絡(luò)安全教育培訓(xùn)
意識教育
面向全體人員開展網(wǎng)絡(luò)安全形勢與警示教
育、基本技能培訓(xùn)等活動。
3定量
本年度開展活動的次數(shù)≥3,P=1;
次數(shù)=2,P=0。7;
次數(shù)=1,P=0。3;
次數(shù)=0,P=0。
專業(yè)培訓(xùn)
定期開展網(wǎng)絡(luò)安全管理人員和技術(shù)人員專
業(yè)培訓(xùn)。
3定量
P=本年度網(wǎng)絡(luò)安全管理和技術(shù)人員
中參加專業(yè)培訓(xùn)的比率。
網(wǎng)絡(luò)安全檢查
工作部署
下發(fā)檢查工作相關(guān)文件或者組織召開專題
會議,對年度檢查工作進(jìn)行部署。
2定性
符合,P=1;
不符合,P=0。
工作機(jī)制
明確檢查工作負(fù)責(zé)人、檢查機(jī)構(gòu)和檢查人
員.
2定性
符合,P=1;
不符合,P=0。
技術(shù)檢測使用技術(shù)手段進(jìn)行安全檢測。2定性
符合,P=1;
不符合,P=0.
檢查經(jīng)費(fèi)安排并落實(shí)檢查工作經(jīng)費(fèi)。2定性符合,P=1;不符合,P=0。
評估得分合計(jì)
—15—
附件3
重點(diǎn)行業(yè)網(wǎng)絡(luò)安全檢查結(jié)果統(tǒng)計(jì)表
一、行業(yè)基本情況
行業(yè)名稱:
行業(yè)網(wǎng)絡(luò)安全管理機(jī)構(gòu)
①名稱:___________________
②負(fù)責(zé)人:_____________職務(wù):________________
③聯(lián)系人:_____________辦公電話:________________
移動電話:________________
二、行業(yè)網(wǎng)絡(luò)安全管理情況
培訓(xùn)情況
本年度開展的網(wǎng)絡(luò)安全培訓(xùn)次數(shù):___________________
培訓(xùn)人數(shù):___________________
應(yīng)急工作情況
①行業(yè)網(wǎng)絡(luò)安全應(yīng)急預(yù)案:□已建立
□本年度進(jìn)行過修訂
□未修訂
□未建立
②本年度開展行業(yè)網(wǎng)絡(luò)安全應(yīng)急演練次數(shù):
技術(shù)檢測情況
本年度開展面向全行業(yè)的網(wǎng)絡(luò)安全技術(shù)檢測次數(shù):
其中,按照檢測結(jié)果進(jìn)行整改的系統(tǒng)比例:
網(wǎng)絡(luò)安全通報(bào)機(jī)制建設(shè)
行業(yè)網(wǎng)絡(luò)安全通報(bào)機(jī)制:□已建立□未建立
規(guī)劃和標(biāo)準(zhǔn)化工作情況
①規(guī)劃制定情況(單選):
□制定了部門的網(wǎng)絡(luò)安全規(guī)劃
□在部門總體發(fā)展規(guī)劃中涵蓋了網(wǎng)絡(luò)安全規(guī)劃
□無
②行業(yè)標(biāo)準(zhǔn)化情況(單選):
—16—
□建立了行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作機(jī)制
□無
網(wǎng)絡(luò)安全從業(yè)人員
①本單位網(wǎng)絡(luò)安全從業(yè)人員總數(shù):_______,其中有網(wǎng)絡(luò)安全從業(yè)
資質(zhì)的人員數(shù)量:_______
②網(wǎng)絡(luò)安全從業(yè)人員缺口:_______
經(jīng)費(fèi)保障
本年度信息化建設(shè)總預(yù)算(含網(wǎng)絡(luò)安全預(yù)算):_______萬元
其中網(wǎng)絡(luò)安全預(yù)算:_______萬元
三、行業(yè)重要系統(tǒng)安全情況
基本
情況
重要系統(tǒng)總數(shù):______
系統(tǒng)類型
①信息系統(tǒng)數(shù)量:______
②工業(yè)控制系統(tǒng)數(shù)量:______
服務(wù)對象
①面向社會公眾提供服務(wù)的系統(tǒng)數(shù)量:______
②不面向社會公眾提供服務(wù)的系統(tǒng)數(shù)量:______
聯(lián)網(wǎng)情況
①通過互聯(lián)網(wǎng)可直接訪問的系統(tǒng)數(shù)量:______
②通過互聯(lián)網(wǎng)不能直接訪問的系統(tǒng)數(shù)量:______
其中,與互聯(lián)網(wǎng)物理隔離的系統(tǒng)數(shù)量:______
數(shù)據(jù)集中情況
①全國數(shù)據(jù)集中的系統(tǒng)數(shù)量:______
②省級數(shù)據(jù)集中的系統(tǒng)數(shù)量:______
③未進(jìn)行數(shù)據(jù)集中的系統(tǒng)數(shù)量:______
④數(shù)據(jù)存放在境外的系統(tǒng)數(shù)量:______
基本
情況
業(yè)務(wù)連續(xù)性
①可容忍中斷時間小于30分鐘的系統(tǒng)數(shù)量:______
②可容忍中斷時間大于30分鐘、小于12小時的系統(tǒng)數(shù)量:______
③可容忍中斷時間大于12小時的系統(tǒng)數(shù)量:______
災(zāi)難備份情況
①進(jìn)行系統(tǒng)級災(zāi)備的系統(tǒng)數(shù)量:______
②僅對數(shù)據(jù)進(jìn)行災(zāi)備的系統(tǒng)數(shù)量:______
—17—
③無災(zāi)備的系統(tǒng)數(shù)量:______
外包服務(wù)情況
①采用遠(yuǎn)程在線方式進(jìn)行運(yùn)行維護(hù)的系統(tǒng)數(shù)量:______
②由國內(nèi)機(jī)構(gòu)提供運(yùn)行維護(hù)服務(wù)的系統(tǒng)數(shù)量:_______
③由國外機(jī)構(gòu)提供運(yùn)行維護(hù)服務(wù)的系統(tǒng)數(shù)量:______
④由國內(nèi)機(jī)構(gòu)提供云計(jì)算服務(wù)的系統(tǒng)數(shù)量:______
⑤由國外機(jī)構(gòu)提供云計(jì)算服務(wù)的系統(tǒng)數(shù)量:______
系統(tǒng)等級
保護(hù)情況
第一級:_______個第二級:_______個
第三級:_______個已開展年度測評_______個測評通過率______
第四級:_______個已開展年度測評_______個測評通過率______
第五級:_______個已開展年度測評_______個測評通過率______
未定級:_______個
系統(tǒng)
構(gòu)成
情況
主要硬
件和軟
件產(chǎn)品
服務(wù)
器
路由
器
交換
機(jī)
防火
墻
磁盤
陣列
磁帶
庫
操作
系統(tǒng)
數(shù)據(jù)
庫
國內(nèi)品牌數(shù)量
(臺/套)
國外品牌數(shù)量
(臺/套)
密碼
設(shè)備
密碼機(jī)智能IC卡
智能密碼
鑰匙
密碼系統(tǒng)動態(tài)令牌
國內(nèi)品牌數(shù)量
(臺/套)
國外品牌數(shù)量
(臺/套)
在用業(yè)務(wù)應(yīng)用
軟件系統(tǒng)
①自主設(shè)計(jì)開發(fā)(不含二次開發(fā))的套數(shù):______
②委托國內(nèi)廠商開發(fā)的套數(shù):______
委托國外廠商開發(fā)的套數(shù):______
③直接采購國內(nèi)廠商產(chǎn)品的套數(shù):______
—18—
直接采購國外廠商產(chǎn)品的套數(shù):______
四、本年度網(wǎng)絡(luò)安全事件
網(wǎng)絡(luò)安全事件3
情況
特別重大網(wǎng)絡(luò)安全事件次數(shù):______
重大網(wǎng)絡(luò)安全事件次數(shù):______
較大網(wǎng)絡(luò)安全事件次數(shù):______
一般網(wǎng)絡(luò)安全事件次數(shù):______
附件4
重點(diǎn)網(wǎng)絡(luò)與信息系統(tǒng)商用密碼檢查情況匯總表
填表日期:年月日
匯總單位阿壩州中等職業(yè)技術(shù)學(xué)校
聯(lián)系人
聯(lián)系電話
(座機(jī)、手機(jī))
本地
區(qū)、
本部
門
基本情況
抽查情況
自查單位數(shù)量
信息系
統(tǒng)數(shù)量
(個)
二級
抽查信
息系統(tǒng)
數(shù)量
(個)
二級
三級三級
四級四級
合計(jì)個合計(jì)個
密碼設(shè)備數(shù)
量統(tǒng)計(jì)(臺、
套、個)
密碼機(jī)類
國內(nèi)
密碼設(shè)
備數(shù)量
統(tǒng)計(jì)
(臺、
套、個)
密碼機(jī)類
國內(nèi)
國外國外
密碼系統(tǒng)類
國內(nèi)
密碼系統(tǒng)類
國內(nèi)
國外國外
智能IC卡
國內(nèi)
智能IC卡
國內(nèi)
國外國外
3網(wǎng)絡(luò)安全事件分級標(biāo)準(zhǔn)參見《國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》(國辦函〔2008〕168號)
—19—
智能密碼鑰
匙
國內(nèi)
智能密碼鑰
匙
國內(nèi)
國外國外
動態(tài)令牌
國內(nèi)
動態(tài)令牌
國內(nèi)
國外國外
其他密碼產(chǎn)
品
國內(nèi)
其他密碼產(chǎn)
品
國內(nèi)
國外國外
合計(jì)
國內(nèi):臺、套、個
合計(jì)
國內(nèi):臺、套、個
國外:臺、套、個國外:臺、套、個
注:統(tǒng)計(jì)密碼設(shè)備時,國內(nèi)指取得國家密碼管理局型號的產(chǎn)品,
國外指未取得國家密碼管理局型號的產(chǎn)品(包括國外的產(chǎn)品).
—20—
附件5
重點(diǎn)網(wǎng)絡(luò)與信息系統(tǒng)商用密碼檢查情況表
一、填報(bào)單位信息
單位名稱阿壩州中等職業(yè)技術(shù)學(xué)校
行業(yè)主管部門阿壩州教育局
聯(lián)系人
二、系統(tǒng)基本情況
網(wǎng)絡(luò)或系統(tǒng)名稱安全保護(hù)等級
類別
□政務(wù)信息系統(tǒng)√基礎(chǔ)信息網(wǎng)絡(luò)
□重要信息系統(tǒng)□重要工業(yè)控制系統(tǒng)
功能簡介
(不超過200字)
用戶數(shù)量部署范圍
□全國□全省
□本地區(qū)□本單位
上線時間是否接入互聯(lián)網(wǎng)√是□否
操作系統(tǒng)√Windows□Linux□Unix□其他
集成單位
運(yùn)維單位
√自行維護(hù)□外包
若為外包,單位名稱:
是否開展過系統(tǒng)測評?□是√否;
如有,測評機(jī)構(gòu)名稱:
測評證書(報(bào)告)編號:
是否使用了密碼設(shè)備或含有密碼技術(shù)的信息安全產(chǎn)品?□是□否
密碼機(jī)□無□有臺
(套)
密碼系統(tǒng)□無□有臺
(套)
智能IC卡□無□有臺
(套)
智能密碼鑰匙□無□有臺
(套)
動態(tài)令牌□無□有臺
(套)
—21—
網(wǎng)絡(luò)存儲設(shè)備□無□有臺
(套)
服務(wù)器□無□有臺
(套)
交換機(jī)□無□有臺
(套)
路由器□無□有臺
(套)
網(wǎng)關(guān)□無□有臺
(套)
防火墻□無□有臺
(套)
其他
產(chǎn)品名
稱
數(shù)
量
臺
(套)
產(chǎn)品名
稱
數(shù)
量
臺(套)
系統(tǒng)實(shí)現(xiàn)的密碼功能:
□安全門禁□安全訪問路徑□身份鑒別□訪問控制□安全
審計(jì)
□程序安全□傳輸保護(hù)□存儲保護(hù)□密鑰管理
系統(tǒng)中使用的密碼算法:
對稱算法:□SM1□SM4□SM7□AES□DES
□3DES
非對稱算法:□SM2□SM9□RSA1024□RSA2048
雜湊算法:□SM3□SHA—1□SHA—256□SHA-384
□SHA—512□MD5
其它算法:
三、密碼設(shè)備使用情況
類型
產(chǎn)品
名稱
產(chǎn)品
型號
數(shù)
量
生產(chǎn)廠商
及國別
使用的密
碼算法
主要用途
密碼
機(jī)類
密碼
系統(tǒng)
—22—
類
智能
IC卡
智能
密碼
鑰匙
動態(tài)
令牌
其他
密碼設(shè)備使
用綜合情況
□系統(tǒng)使用了(臺/套)密碼設(shè)備;其中,取得國家密碼
管理局審批型號的數(shù)量
(臺/套),未取得國家密碼管理局審批型號的國內(nèi)
產(chǎn)品數(shù)量(臺/套),國外產(chǎn)品數(shù)量(臺/套)。
□系統(tǒng)未使用密碼設(shè)備。
四、含有密碼模塊的軟硬件設(shè)備使用情況
類型
產(chǎn)品
名稱
產(chǎn)品型
號
數(shù)
量
生產(chǎn)廠商及國別
使用的密
碼算法
主要用途
含
VPN
的路
由器
含
VPN
的防
火墻
安全
網(wǎng)關(guān)
—23—
安全
隔離
與信
息交
換
網(wǎng)絡(luò)
安全
存儲
安全
操作
系統(tǒng)
安全
數(shù)據(jù)
庫
網(wǎng)絡(luò)
通信
類
可信
(安
全)計(jì)
算
其他
備注:1.表中的“密碼機(jī)類”主要包括以下產(chǎn)品:IPSec/SSLVPN
密碼機(jī)、網(wǎng)絡(luò)密碼機(jī)、鏈路密碼機(jī)、密碼認(rèn)證網(wǎng)關(guān)、存儲加密機(jī)、磁
帶庫/磁盤陣列存儲加密機(jī)、密鑰管理密碼機(jī)、終端密鑰分發(fā)器、量子
密碼機(jī)、服務(wù)器密碼機(jī)、終端密碼機(jī)、金融數(shù)據(jù)密碼機(jī)、簽名驗(yàn)證服
務(wù)器、稅控密碼機(jī)、支付服務(wù)密碼機(jī)、傳真密碼機(jī)、電話密碼機(jī)等。
2。表中的“密碼系統(tǒng)”主要包括以下系統(tǒng):動態(tài)令牌認(rèn)證系統(tǒng)、數(shù)
字證書認(rèn)證系統(tǒng)、證書認(rèn)證密鑰管理系統(tǒng)、IC卡密鑰管理系統(tǒng)、身
—24—
份認(rèn)證系統(tǒng)、數(shù)據(jù)加密傳輸系統(tǒng)、密碼綜合服務(wù)系統(tǒng)、密碼設(shè)備管理
系統(tǒng)等.
3。表中的“網(wǎng)絡(luò)通信”主要包括以下產(chǎn)品:無線接入點(diǎn)、無線上網(wǎng)
卡、加密電話機(jī)、加密傳真機(jī)、加密VOIP終端等.
4.表中“密碼設(shè)備使用情況”的“產(chǎn)品型號”欄,應(yīng)填寫國家密碼行
政主管部門審批的商用密碼產(chǎn)品型號,若產(chǎn)品無商用密碼產(chǎn)品型號,
可填寫產(chǎn)品相關(guān)資質(zhì)證書上標(biāo)注的型號或生產(chǎn)廠家自定義的型號。
5.每個系統(tǒng)應(yīng)填寫一張表,表中的設(shè)備欄目填寫不下時,可自行增
行或附頁.
本文發(fā)布于:2023-03-13 00:55:47,感謝您對本站的認(rèn)可!
本文鏈接:http://m.newhan.cn/zhishi/a/167864014727004.html
版權(quán)聲明:本站內(nèi)容均來自互聯(lián)網(wǎng),僅供演示用,請勿用于商業(yè)和其他非法用途。如果侵犯了您的權(quán)益請與我們聯(lián)系,我們將在24小時內(nèi)刪除。
本文word下載地址:安全檢查表格.doc
本文 PDF 下載地址:安全檢查表格.pdf
| 留言與評論(共有 0 條評論) |
