《网络与信息安全专项整治行动检查工作自查表》由会员分享,可在线阅读,更多相关《网络与信息安全专项整治行动检查工作自查表(8页珍藏版)》请在金锄头文库上搜索。
1、附件2网络与信息安全专项整治行动检查工作自查表序号自查内容分值评分方法自评得分网络安全责任制落实情况15分1明确一名主管领导,负责本单位网 络与安全管理工作,根据国家法律法规 有关要求,结合实际组织制定网络安全 管理制度,完善技术防护措施,协调处 理重大网络安全事件,保障网络安全工 作所需的人力、物力、财力。6分查验领导分工文件,检查是否明确网络安全主管领 导,未明确的,扣2分;查验网络安全主管领导关于网络安全相关工作批示或会议记录,没有的,扣1分;查验网络安全管理制度,未制定的,扣2分;查验单位预算等相关文件,未提供人力、物力、财 力等条件保障的,扣1分。2指定一个机构,具体承担网络安全 管
2、理工作,负责组织落实网络安全管理 制度和网络安全技术防护措施,开展网 络安全监督检查,并及时整改等。5分查验本单位各内设机构职责分工等文件,检查是否 指定了网络安全管理机构,未指定的,扣2分;查验本年度网络安全工作计划与工作方案等文件, 未制定的,扣1分;查验开展网络安全工作检查通知等文件,未开展的,扣1分;查验漏洞通报和扫描报告等文件,未对网络安全问 题及时整改的,扣1分。二网络安全日常管理情况15分4与重点岗位的计算机使用和管理人 员签订网络安全与保密协议,明确网络 安全与保密要求和责任。2分查验工作人员网络安全与保密协议,未与重点岗位 的计算机使用和管理人员签订网络安全与保密协议的, 扣
3、2分;序号自查内容分值评分方法自评得分5制定并严格执行人员离岗离职网络 安全管理规定,人员离岗离职时应终止 信息系统访问权限,收回各种软硬件设 备及身份证件、门禁卡等,并签署安全 保密承诺书。4分查验人员离岗离职网络安全管理制度,未制定的, 扣1分;抽查离岗离职人员的信息系统访问账户,人员离岗 离职时未终止信息系统访问权限的,扣1分;查验人员离岗离职交接清单等文件,人员离岗离职 时未收回各种软硬件设备及身份证件、门禁卡等的,扣 1分;查验人员离岗离职时未签署安全保密承诺书,未签 署的,扣1分。6建立外部人员访问机房等重要区域 审批制度,外部人员须经审批后方可进 入,并安排本单位工作人员现场陪同
4、, 对访问活动进行记录并留存。3分查验外部人员访问机房等重要区域审批制度,未建 立的,扣2分;查验外部人员访问机房等重要区域访问记录,未对 访问活动进行记录并留存的,扣1分。7建立并严格执行信息资产管理制 度,指定专人负责信息资产管理,建立 信息资产台账,统一标号、统一标识、 统一发放,及时记录信息资产状态和使 用情况,保证账物相符,建立并严格执 行设备维修维护和报废管理制度。3分查验信息资产管理制度,未建立的,扣1分;查验设备管理员任命及岗位分工等文件,未指定专 人负责信息资产管理的,扣1分;查验信息资产台帐与领用记录,未建立信息资产台 账,统一标号、统一标识、统一发放,及时记录信息资 产状
5、态和使用情况,保证账物相符的,扣1分。8将网络安全设施运行维护、网络安 全服务采购、日常网络安全管理、网络 安全教育培训、网络安全检查、网络安 全风险评估、网络安全应急处置等费用 纳入部门年度预算。3分查验部门年度预算文件,未将网络安全设施运行维 护、网络安全服务采购、日常网络安全管理、网络安全 教育培训、网络安全检查、网络安全风险评估、网络安 全应急处置等费用纳入部门年度预算的,扣3分。-2 -序号自查内容分值评分方法自评得分三信息系统基本情况9分9制定信息系统全生命周期管理制 度,制定信息系统安全规划设计方案, 妥善管理信息系统生命周期中所产生的 重要文档。3分查验信息系统运维管理制度,未
6、制定信息系统全生 命周期管理制度的,扣1分;查验信息系统安全设计方案,未制定信息系统安全 设计方案的,扣1分;查验信息系统相关文档,未妥善管理信息系统生命 周期中所产生的重要文档,扣1分。10落实信息系统安全等级保护制度, 做好信息系统定级、备案、测评、整改 与检查等工作。6分查验信息系统等级备案证明,未开展信息系统定级 与备案的,扣0.5-2分;查验信息系统安全测评文档,未开展信息系统安全测评的,扣0.5-2分;查验信息系统安全整改报告,未开展信息系统安全 整改的,扣0.5-2分。四网络安全技术防护情况24分11非涉密信息系统与互联网及其他公 共信息网络应实行逻辑隔离,涉密信息 系统与互联网
7、及其他公共信息网络应实 行物理隔离。2分查验整体网络拓扑图,非涉密信息系统与互联网及 其他公共信息网络未实行逻辑隔离的,扣1分;查验整体网络拓扑图,涉密信息系统与互联网及其 他公共信息网络未实行物理隔离的,扣1分。12建立互联网接入审批和登记制度, 严格控制互联网接入数量。1分查验互联网接入审批和登记制度,未建立的,扣1 分。14根据承载业务的重要性对网络进行 分区分域管理,采取必要的技术措施对 不同网络分区进行防护、对不同安全域 之间实施访问控制。2分查验整体网络拓扑图,未根据承载业务的重要性对 网络进行分区分域管理的,扣1分;查验整体网络拓扑图、交换机VLAN划分情况、安 全设备配置文档等
8、,未采取必要的技术措施对不同网络序号自查内容分值评分方法自评得分分区进行防护、对不同安全域之间实施访问控制的,扣 1分。15对网络日志进行管理,定期分析, 及时发现安全风险。2分查验网络安全设备,未记录网络安全日志的,扣2 分。16采取身份鉴别、地址过滤等措施对 无线网络的接入进行管理,采用白名单 管理机制,防止非授权接入造成的内网 渗透事件发生。2分登录无线网络设备管理端,检查安全防护策略配置 情况。未采取身份鉴别、地址过滤等措施对无线网络的 接入进行管理的,扣2分。17修改无线路由设备的默认管理地 址;修改无线路由管理账户默认口令, 设置复杂口令,防止暴力破解后台;用 户接入认证加密采用W
9、PA2及更高级别算 法,防止破解接入口令。4分登录无线设备管理页面,未修改无线路由设备的默 认管理地址的,扣1分;查验无线路由管理账户口令,未修改无线路由管理 账户默认口令的,扣1分;查验无线路由管理账户口令,设置复杂口令,防止 暴力破解后台的,扣1分;登录无线设备管理页面,用户接入认证加密未采用 WPA2及更高级别算法,防止破解接入口令的,扣1分。18加强电子邮件系统安全防护,采取 反垃圾邮件等技术措施;规范电子邮箱 的注册管理,原则上只限于本部门工作 人员注册使用;严格管理邮箱账户及口 令,采取技术和管理措施确保口令具有 一定强度并定期更换。2分查验设备部署或配置情况,未采取反垃圾邮件等技
10、 术措施进行防护的,扣1分;查看邮箱口令策略配置界面,未严格管理邮箱账户 及口令,并采取技术和管理措施确保口令具有一定强度 并定期更换的,扣1分。19采用集中统一管理方式对终端计算 机进行管理,统一软件下发,统一安装 系统补丁,统一实施病毒库升级和病毒 查杀,统一进行漏洞扫描,规范软硬件3分查看集中管理服务器,抽查终端计算机,未采用集 中统一管理方式对终端计算机进行管理的,扣1分;查看终端计算机,未使用具有一定强度的口令并定 期更换的,扣1分;-4 -序号自查内容分值评分方法自评得分使用,加强终端计算机账户及口令管理, 使用具有一定强度的口令并定期更换, 对接入互联网的终端计算机采取控制措 施
11、。访谈网络管理员和工作人员,接入互联网的终端计 算机未采取控制措施的,扣1分。20对移动存储介质进行集中统一 管 理,移动存储介质接入本部门计算机和 新信息系统前,应当查杀病毒、木马等 恶意代码。1分查看服务器和办公终端计算机上的杀毒软件,检查 是否开启了移动存储介质接入自动查杀功能,扣1分。21定期对本单位主机,网络安全防护 设备、信息系统进行漏洞检测;对于发 现的安全漏洞及时进行修复处置;重视 自行监测发现与第三方漏洞通报机构告 知的漏洞风险,及时处置。3分查看相关记录,未定期对本单位主机,网络安全防 护设备、信息系统进行漏洞检测的,扣1分;查验相关记录或登录主机,对于发现的安全漏洞未 及
12、时进行修复处置的,扣1分;查验漏洞风险整改报告,对自行监测发现与第三方 漏洞通报机构告知的漏洞风险,未及时处置的,扣1 分。五网络安全应急工作情况12分22制定网络安全事件应急预案,原则 上每年评估一次,并根据实际情况适时 修订。3分查验网络安全事件应急预案,未制定的,扣2分; 查验网络安全事件应急预案评估记录和修订记录, 未评估过,未根据实际情况适时修订的,扣1分。23组织开展应急预案的宣贯培训,确 保相关人员熟悉应急预案。3分查看应预案培训材料和记录,未有宣贯材料和培训 记录的,扣2分;访谈相关人员,相关人员对应急预案不熟悉的,扣 1分。24开展网络安全应急演练,检查应急 预案的可操作性,
13、并将演练情况报网络3分查验开展网络安全应急演练记录,未开展网络安全 应急演练的,扣2分。序号自查内容分值评分方法自评得分安全主管部门。查验网络安全应急演练计划、方案、记录、总结等 文档,未制定的,扣1分。25建立网络安全事件报告和通报机 制,提供预防预警能力。明确应急技术 支援队伍,做好应急技术支援准备。根 据业务实际对重要数据和业务系统进行 备份。3分查验网络与信息安全情况通报等文件,未建立网络 安全事件报告和通报机制的,扣1分;查验应急技术支援队伍合同或安全协议。未建立应 急技术支援队伍的,扣1分;查验重要数据和业务系统备份记录,未对重要数据 和业务系统进行备份的,扣1分。-i- 八网络安
14、全教育培训情况6分26加强网络安全宣传和教育培训工 作,提供网络安全意识,增强网络安全 基本防护技能。2分查验网络安全教育宣传计划、会议通知、宣传资料 等文档,没有的,扣2分。27定期开展或参加网络安全管理人员 和技术人员专业技能培训,提高网络安 全工作能力和水平。2分查验网络安全培训记录、培训通知、宣传资料、结 业证书等文档的,没有的,扣2分。28记录并保存网络安全教育培训、考 核情况和结果。2分查验网络安全教育培训、考核情况等文档,未记录 并保存的,扣2分。七技术检测及网络安全事件情况9分29重点对认定为关键信息基础设施的 信息系统进行安全检测。对网站和信息 系统开展渗透测试,漏洞扫描,配备必 要的安全设备,记录安全防护日志。9分查验网站和信息系统渗透测试报告,未开展的,扣 3分;查验网站和信息系统漏洞扫描报告,未开展的,扣3分;查验服务器安全防护日志,未配备必要的安全设 备,记录安全防护日志的,扣3分。-6 -序号自查内容分值评分方法自评得分八外包服务管理情况10分30建立并严格执行信息技术外包服务 安全管理制度。2分查验信息技术外包服务安全管理制度,未制定的, 扣2分。31与信息技术外包服务提供商签订服 务合同和网络安全与保密协议,明确网 络安全与保密责任,要求服务提供商不 得将服
