《信息安全风险评估检查报告》由会员分享,可在线阅读,更多相关《信息安全风险评估检查报告(8页珍藏版)》请在金锄头文库上搜索。
1、信息安全风险评估检查报告一、部门基本情况部门名称分管信息安全工作的领导(本部门副职领导) 姓名: 职务:信息安全管理机构(如办公室) 名称: 负责人:职务: 联系人:电话:信息安全专职工作处室(如信息安全处) 名称: 负责人:电话:二、信息系统基本情况信息系统情况 信息系统总数:个 面向社会公众提供服务的信息系统数:个 委托社会第二方进行日常运维管理的信息系统数:个,其中签订运维外包服务合同的信息系统数:个 本年度经过安全测评(含风险评估、等级评测)系统数:个系统定级情况信息系统定级备案数:个,其中第一级: 个第二级:个第三级: 个第四级:个第五级:个未定级:个定级变动信息系统数:个(上次检查
2、至今)互联网接入情况互联网接入口总数:个其中:联通接入口数量:个接入带宽:兆电信接入口数量:个接入带宽:兆其他接入口数量: 个接入带宽: 兆系统安全测评情况最近2年开展安全测评(包括风险评估、登记测评)系统数个三、日常信息安全管理情况安全自查信息系统安全状况自查制度: 丄建立 未建立人员管理 入职人员信息安全管理制度:已建立未建立 在职人员信息安全和保密协议:全部签订 部分签订 均未签订 人员离岗离职安全管理规定:已制定未制定 信息安全管理人员持证上岗:是否 信息安全技术人员持证上岗:是否 外部人员访问机房等重要区域管理制度:已建立 未建立资产管理 资产管理制度:已建立未建立 信息安全设备运维
3、管理:匚巳明确专人负责未明确定期进行配置检查、日志审计等未进行 设备维修维护和报废销毁管理:丄建立管理制度,且维修维护和报废销毁记录完整 丄建立管理制度,但维修维护和报废销毁记录不完整 尚未建立管理制度四、信息安全防护管理情况网络边界防护管理 网络区域划分是否合理:合理不合理 网络访问控制:有访问控制措施无访问控制措施 网络访问日志:留存日志未留存日志 安全防护设备策略:使用默认配置 根据应用自主配置信息系统安全管理 服务器安全防护:丄关闭不必要的应用、服务、端口未关闭匸账户口令满足8位,包含数字、字母或符号不满足定期更新账户口令未定期更新定期进行漏洞扫描、病毒木马检测未进行 网络设备防护:安
4、全策略配置有效无效匸账户口令满足8位,包含数字、字母或符号不满足定期更新账户口令未定期更新定期进行漏洞扫描、病毒木马检测未进行信息安全设备部署及使用:丄部署有防病毒、防火墙、入侵检测、安全审计等功能的设备未部署安全策略配置有效无效门户网站安全管理网站域名:IP地址:是否申请中文域名:是否 网站是否备案:是否 门户网站账户安全管理:丄清理无关账户未清理无空口令、弱口令和默认口令有 网页防篡改措施:丄部署未部署 网站信息发布管理:丄建立审核制度,且审核记录完整丄建立审核制度,但审核记录不完整尚未建立审核制度电子邮箱安全管理 邮箱使用:仅限有权限工作人员使用除权限工作人员外,还有其他人员在使用 账户
5、口令管理:使用技术措施控制和管理口令强度无口令强度限制措施终端计算机安全管理 终端计算机安全管理方式:使用统一平台对终端计算机进行集中管理用户分散管理 账户口令管理:无空口令、弱口令和默认口令有 接入互联网安全控制措施:有控制措施(如实名接入、绑定计算机 IP和MAC地址等)无控制措施 漏洞扫描、木马检测:定期进行 未进行 在非涉密信息系统和涉密信息系统间混用情况:不存在 存在 是否在使用非涉密计算机处理涉密信息情况:不存在 存在存储介质安全管理 存储阵列、磁带库等大容量存储介质安全防护:外联,但采取了技术防范措施控制风险外联,无技术防范措施无外联 移动存储介质管理方式:集中管理,统一登记、配
6、发、收回、维修、报废、销毁未采取集中管理方式 电子信息消除或销毁设备:已配备未配备五、信息安全应急管理情况信息安全应急预案丄制定本年度修订情况:修订 未修订未制定信息安全应急演练本年度已开展本年度未开展信息安全灾难备份 重要数据:备份未备份 重要信息系统:&份 未备份 容灾备份服务: m于境内位于境外 无应急技术支援队伍部门所属单位外部专业机构无六、信息技术产品应用情况服务器总台数:其中,国产台数:使用国产CPU的服务器台数:终端计算机(含笔记本)总台数:其中,国产台数:使用国产CPU的服务器台数:网络交换设备(路由器、交换机等)总台数:其中,国产台数:操作系统服务器操作系统情况:安装Wind
7、ows操作系统的服务器台数:安装Linux操作系统的服务器台数:安装其他操作系统的服务器台数:终端计算机操作系统情况: 安装Windows操作系统的服务器台数: 安装Linux操作系统的服务器台数: 安装其他操作系统的服务器台数:数据库总套数:其中,国产套数:公文处理软件(终端计算机安装)安装国产公文处理软件的终端计算机台数:安装国外公文处理软件的终端计算机台数:信息安全产品 安装国产防病毒产品的终端计算机台数: 防火墙(不含终端软件防火墙)台数: 其中,国产防火墙台数:密码 产品使用情况采用使用国产商用密码产品台(套)数使用国外产商用密码产品台(套)数使用自行研制或委托研制的密码产品台(套)
8、数 使用互联网下载的密码产品台(套)数 使用其他密码产品台(套)数未采用七、信息安全教育培训情况培训人数本年度接受信息安全教育培训的人数:人占部门总人数的比例:%培训次数本年度开展信息安全教育培训的次数:人,培训部门名称:专业培训本年度信息安全管理和技术人贝参加专业培训人次:人次八、信息系统安全建设整改信息系 统安全 建设整 改工作 情况(1)是否明确主管领导、责任部门和具体负责人员文件依据:是否(2)是否对信息系统安全建设整改工作进行总体部署 文件依据:是否(3)是否对信息系统进行安全保护现状分析是否(4)是否制定信息系统安全建设整改方案是否(5)是否组织开展信息系统安全建设整改工作通过何种
9、方式开展:是否(6)是否组织开展信息系统安全自查工作是否(7)是否对本单位安全建设整改工作进行总结上报是否已开展安全建设整改的信息系统数量第二级系统第三级系统第四级系统合计已开展等级测评的信息系统数量第二级系统第三级系统第四级系统合计信息系统发生安全事件、事故数量第二级系统第三级系统第四级系统合计已达到等级保护要求的信息系统数量第二级系统第三级系统第四级系统合计九、本年度信息安全事件情况病毒木马等恶意代码检测结果 进行过病毒木马等恶意代码检测的服务器台数:其中,感染恶意代码的服务器台数: 进行过病毒木马等恶意代码检测的终端计算机台数:其中,感染恶意代码的终端计算机台数:漏洞检测结果进行过漏洞扫
10、描的服务器台数: 其中,存在漏洞的服务器台数:存在高风险漏洞1的服务器台数:进行过漏洞扫描的终端计算机台数:其中,存在漏洞的终端计算机台数: 存在高风险漏洞的终端计算机台数:本年度 信息安 全事件 统计门户网站受攻击情况本部门入侵检测设备检测到的门户网站受攻击次数:网页被 篡改情况门户网站网页被篡改(含内嵌恶意代码)次数:设备违规使用情况 使用非涉密终端计算机处理涉密信息事件数: 终端计算机在非涉密系统和涉密系统间混用事件数: 移动存储介质在非涉密系统和涉密系统间交叉使用事件数:十、信息技术外包服务机构情况(包括参与技术检测的外部专业机构)外包服务机构1机构名称普洱市方土传媒机构性质国有 民营 外资服务内容2信息安全和保密协议已签订未签订信息安全管理体系认证情况已通过认证认证机构:未通过认证外包服务机构机构名称机构性质国有 民营 外资服务内容信息安全和保密协议已签订未签订本表所称高风险漏洞,是指计算机硬件、软件或信息系统中存在的严重安全缺陷,利用这些缺陷可完全 控制或部分控制计算机及信息系统,对计算机及信息系统实施攻击、破坏、信息窃取等行为。2服务内容主要包括:系统集成、系统运维、风险评估、安全检测、安全加固、应急支持、数据存储等。信息安全管理体系认证情况已通过认证 认证机构:未通过认证(如有2个以上外包机构,每个机构均应填写,可另附页)填表人: 单位: 电话:
