信息安全检查表

信息安全自查排查记录表一、基本信息单位名称：联系人：联系电话：电子邮箱：二、自查内容1. 信息系统安全- 是否建立并有效执行信息安全管理制度- 是否定期进行信息安全风险评估- 是否对信息系统进行安全加固- 是否定期备份重要数据2. 网络安全- 是否建立并有效执行网络安全隐患排查制度- 是否对网络设备进行定期安全检查- 是否对网络进行隔离和访问控制- 是否对网络流量进行监控和分析3. 数据安全- 是否对敏感数据进行加密存储和传输- 是否建立并有效执行数据备份和恢复策略- 是否对数据访问权限进行严格控制- 是否定期进行数据安全审计4. 应用安全- 是否对应用系统进行安全审查- 是否对应用系统进行安全加固- 是否定期进行应用系统安全漏洞扫描- 是否对应用系统进行安全测试5. 物理安全- 是否对信息系统设备进行物理隔离- 是否对信息系统设备进行定期检查和维护- 是否对信息系统设备进行安全加固- 是否对信息系统设备进行监控和报警三、自查发现的问题及整改措施请根据自查内容，详细记录发现的问题，并提出针对性的整改措施。

问题描述：整改措施：四、自查总结请对本次信息安全自查工作进行总结，并对下一步信息安全工作提出建议。

总结：建议：五、自查时间本次信息安全自查时间为____年__月__日。

六、签字单位负责人签字：信息安全负责人签字：请各相关单位按照要求认真填写本信息安全自查排查记录表，并对存在的安全隐患进行及时整改。

如在自查过程中遇到问题，请及时与我们联系。

感谢您的支持与配合！。

学校网络与信息安全检查表学校网络与信息安全检查表一、网络设备与配置1.是否存在网络设备清单？2.是否制定了网络设备管理制度？3.是否有专门的负责网络设备配置的人员？4.是否对网络设备进行了定期维护和更新？二、网络访问控制1.是否对网络进行了适当的访问控制？2.是否制定了网络访问控制策略？3.是否对网络用户进行了身份验证？4.是否限制了对敏感信息的访问权限？5.是否安装了防火墙来保护网络安全？三、网络传输安全1.是否对网络通信进行了加密？2.是否采取了安全传输协议（如SSL、IPSec等）来保护数据传输安全？3.是否禁止了非法的网络传输行为（如P2P、BT等）？4.是否对网络通信进行了监控和审计？四、网站和应用程序安全1.是否存在网站和应用程序清单？2.是否对网站和应用程序进行了安全评估和漏洞扫描？3.是否制定了网站和应用程序安全管理制度？4.是否对网站和应用程序进行了定期更新和维护？五、信息安全教育与培训1.是否向师生进行了信息安全教育和培训？2.是否制定了信息安全管理制度？3.是否定期组织信息安全演练和应急演练？六、物理安全1.是否存在机房和服务器房的进出记录？2.是否采取了物理访问控制措施（如门禁系统、监控系统等）？3.是否对机房和服务器房进行了定期检查和维护？七、安全事件管理1.是否建立了安全事件管理制度？2.是否采取了安全事件监测、报告和处置机制？3.是否对安全事件进行了记录和分析？附件：1.网络设备清单2.网站和应用程序清单3.安全事件记录表法律名词及注释：1.信息安全：指对信息进行保密、完整性和可用性的保护。

2.访问控制：指限制用户或系统对资源的访问权限。

3.防火墙：用于在网络与外界之间建立安全防护的设备。

4.SSL（Secure Socket Layer）：一种用于保护网络通信安全的协议。

5.IPSec（Internet Protocol Security）：一种用于保护IP 数据传输安全的协议。

网络信息安全检查表【模板】一、物理安全1、机房环境机房温度、湿度是否在规定范围内？机房是否具备有效的防火、防水、防尘、防静电措施？机房的通风和照明是否良好？2、设备防护服务器、网络设备等是否放置在安全的机柜中，并采取了防盗措施？关键设备是否有冗余电源供应？3、访问控制机房是否有严格的人员出入管理制度，记录进出人员的身份和时间？机房钥匙是否由专人保管，是否存在多把钥匙分散管理的情况？二、网络架构安全1、网络拓扑网络拓扑结构是否清晰合理，易于维护和管理？关键网络设备是否有备份和冗余机制？2、访问控制是否划分了不同的网络区域，如内网、外网、DMZ 区等，并实施了相应的访问控制策略？网络访问是否基于最小权限原则，用户只能访问其工作所需的资源？3、防火墙和入侵检测防火墙规则是否定期审查和更新，以确保其有效性？入侵检测系统是否正常运行，是否及时处理报警信息？4、网络设备安全网络设备的登录密码是否足够复杂，并定期更改？网络设备的操作系统和软件是否及时更新补丁？三、系统安全1、操作系统服务器和客户端操作系统是否为正版软件？操作系统是否及时更新补丁，关闭不必要的服务和端口？是否设置了合理的用户账号和权限，避免出现超级用户权限滥用的情况？2、数据库数据库是否采取了加密存储措施，保护敏感数据？数据库的备份和恢复策略是否有效，备份数据是否定期测试？3、应用系统应用系统是否经过安全测试，是否存在已知的安全漏洞？应用系统的用户认证和授权机制是否健全？四、数据安全1、数据备份是否制定了定期的数据备份计划，包括全量备份和增量备份？备份数据是否存储在异地，以防止本地灾害导致数据丢失？备份数据的恢复流程是否经过测试，确保在需要时能够快速恢复数据？2、数据加密敏感数据在传输和存储过程中是否进行了加密处理？加密算法是否足够强大，密钥管理是否安全？3、数据销毁当不再需要的数据需要销毁时，是否采用了安全的销毁方法，确保数据无法恢复？五、用户管理1、用户认证用户的登录是否采用了多因素认证，如密码、令牌、指纹等？密码策略是否符合强度要求，如长度、复杂度、定期更改等？2、用户授权用户的权限分配是否基于其工作职责，避免权限过高或过低？对用户权限的变更是否有严格的审批流程和记录？3、用户培训是否定期对用户进行网络信息安全培训，提高其安全意识？培训内容是否包括密码管理、防范网络钓鱼、数据保护等方面？六、应急响应1、应急预案是否制定了详细的网络信息安全应急预案，包括事件分类、响应流程、责任分工等？应急预案是否定期演练和更新，确保其有效性？2、事件监测是否建立了有效的事件监测机制，能够及时发现网络安全事件？对事件的监测是否涵盖了网络流量、系统日志、用户行为等方面？3、事件处理在发生网络安全事件时，是否能够迅速采取措施进行遏制和恢复？是否按照规定的流程进行事件报告和记录？七、安全审计1、日志管理系统、网络设备、应用系统等是否开启了日志功能，并定期备份和保存？日志的存储时间是否符合法规和业务要求？2、审计分析是否定期对日志进行审计分析，发现潜在的安全威胁和异常行为？审计结果是否及时报告给相关人员，并采取相应的措施？3、合规性审计网络信息安全措施是否符合相关的法律法规、行业标准和内部政策要求？是否定期进行合规性审计，发现并整改不符合项？。

网络信息安全检查表网络信息安全检查表一、安全管理制度1·1 信息安全管理制度的建立和落实情况1·2 安全责任制度的建立和执行情况1·3 员工信息安全意识培训与教育情况1·4 外包及合作单位的信息安全管理情况1·5 安全事件管理制度的建立和运行情况二、信息系统安全2·1 信息系统设备及网络拓扑结构2·2 网络边界防护措施的配置和使用情况2·3 防火墙及入侵检测系统的配置和使用情况2·4 服务器及操作系统的安全配置情况2·5 网络设备和终端设备的安全配置情况2·6 数据备份与恢复策略的制定和执行情况2·7 安全策略和访问控制的配置情况2·8 系统漏洞和补丁管理情况2·9 安全事件的监测和响应情况2·10 合规性要求的检查与合规性报告情况三、网络通信安全3·1 网络通信加密技术的使用情况3·2 网络通信传输的加密与防篡改情况3·3 网络通信传输的可信性检测机制情况3·4 虚拟私人网络（VPN）的使用情况3·5 无线网络的安全管理情况3·6 电子邮件的安全管理情况四、应用系统安全4·1 应用系统开发过程中的安全控制情况4·2 应用系统接口的安全控制情况4·3 应用系统运行日志的监控和审计情况4·4 数据库安全控制情况4·5 业务数据的备份和恢复情况4·6 电子商务系统的安全管理情况4·7 Web应用程序的安全性评估和测试情况附件：1·安全管理制度2·安全责任制度3·员工信息安全培训资料4·外包及合作单位信息安全管理合同5·安全事件管理制度6·网络设备配置列表7·主机设备配置列表8·数据备份与恢复策略9·安全策略和访问控制配置10·系统漏洞和补丁管理记录11·安全事件监测与响应记录12·合规性要求检查与合规性报告13·网络通信加密技术使用手册14·无线网络安全管理手册15·应用系统开发安全控制手册法律名词及注释：1·信息安全管理制度：指企业或组织内部建立的规范信息安全管理的文件或制度。

(信息安全标准化)全套信息检查表信息安全标准化全套信息检查表
目的
本检查表旨在帮助组织进行信息安全标准化建设，全面评估组
织安全现状，发现安全风险和问题，并提出相应的改进和优化措施。

使用方法
1. 逐一检查以下两个方面，确认组织是否已做好相应准备：
- 安全管理制度、规范、流程等是否完整、符合法律法规要求
和组织的内部要求；
- 安全技术措施是否到位，能否有效预防、检测、响应、恢复
各类安全事件和威胁。

2. 对照具体检查项目，回答相应内容是否符合标准要求，标记“√”或“×”或“N/A”表示。

3. 根据检查结果，及时采取相应的改进和优化措施。

检查项目
总结
通过使用本信息安全标准化全套信息检查表，组织能够全面了解自身安全现状，并及时发现和解决安全风险和问题，不断提升信息安全保障能力和水平，为组织发展提供保障和支持。

网站信息系统安全检查表一、物理环境安全1、机房环境机房是否具备防火、防水、防潮、防雷、防静电等设施？温度和湿度是否控制在设备正常运行的范围内？机房是否有门禁系统，限制未经授权的人员进入？2、设备设施服务器、网络设备等硬件是否放置在稳固的机柜中，防止物理损坏？电源供应是否稳定，是否有备用电源（如 UPS）以应对突发停电？二、网络安全1、网络架构网络拓扑结构是否合理，是否存在单点故障？不同区域（如内网、外网、DMZ 区）之间的访问控制策略是否得当？2、防火墙防火墙规则是否配置正确，是否能够有效阻止非法访问和攻击？防火墙是否定期进行策略更新和漏洞修复？3、入侵检测/防御系统（IDS/IPS）IDS/IPS 是否正常运行，能够及时发现和阻止入侵行为？其告警信息是否得到及时处理和分析？4、 VPN如果使用 VPN 进行远程访问，VPN 连接是否安全可靠，加密强度是否足够？用户认证和授权机制是否严格？三、系统安全1、操作系统服务器操作系统是否及时更新补丁，修复已知漏洞？系统账号和密码管理是否严格，是否存在弱密码？系统服务是否仅开启必要的服务，关闭不必要的服务？2、数据库系统数据库是否进行定期备份，备份数据是否可恢复？数据库访问权限是否合理设置，防止数据泄露？数据库是否采取加密措施，保护敏感数据？四、应用安全1、网站程序网站代码是否经过安全审计，是否存在 SQL 注入、跨站脚本（XSS）等漏洞？上传功能是否存在文件上传漏洞？验证码机制是否有效，防止暴力破解？2、中间件如 Web 服务器（Apache、Nginx 等）、应用服务器（Tomcat、JBoss 等）是否配置正确，是否存在安全漏洞？3、内容管理系统（CMS）如果使用 CMS 搭建网站，CMS 是否及时更新版本，修复安全漏洞？CMS 插件和模板是否来自官方或可信来源？五、数据安全1、数据备份数据备份策略是否制定并执行，包括全量备份和增量备份？备份数据是否存储在异地，以防止本地灾难？2、数据加密敏感数据（如用户密码、信用卡信息等）在传输和存储过程中是否加密？加密算法是否足够强度，密钥管理是否安全？3、数据销毁当不再需要的数据被删除时，是否采取安全的数据销毁方法，防止数据恢复？六、用户认证与授权1、用户注册与登录用户注册流程是否验证邮箱或手机号，防止恶意注册？登录是否采取双因素认证（如密码＋短信验证码）？2、权限管理用户权限是否根据其职责进行最小化授权？权限变更是否经过审批流程？七、安全管理制度1、安全策略是否制定了完善的网站信息系统安全策略，包括访问控制、数据保护、应急响应等？2、人员管理员工是否接受过安全培训，了解基本的安全知识和操作规范？离职员工的账号是否及时删除或禁用？3、应急响应是否制定了应急响应预案，包括数据恢复、系统恢复等措施？定期进行应急演练，检验预案的有效性？八、日志与审计1、系统日志服务器、网络设备、应用系统等是否开启日志功能，记录重要操作和事件？日志是否定期进行备份和分析？2、审计功能对关键操作（如数据修改、用户权限变更等）是否进行审计，审计记录是否完整？通过以上网站信息系统安全检查表，可以全面、系统地评估网站的安全性。

学校网络与信息安全检查表XXX网络与信息安全检查表一、日常信息安全运维管理情况重点岗位人员安全保密协议：全部签订。

人员离岗离职安全管理规定：已制定。

外部人员机房访问管理制度及权限审批制度：已建立。

资产管理制度：已建立。

机房设备标签：全部标签合格。

设备维修维护和报废管理：已建立管理制度，且维修维护和报废记录完整。

机房管理制度：已建立。

机房日常运维记录：完整详实。

人员进出机房记录：完整详实。

机房物理环境：达标。

二、信息安全网络防护情况互联网接入口总数：_____个；其中：电信接入口数量：_____个；移动接入口数量：_____个；XXX接入口数量：_____个；其他：____________接入口数量：_____个；网络安全防护设备部署：防火墙、防篡改、入侵检测设备、安全审计设备、防病毒网关、抗拒绝服务攻击设备、其他：________________________。

网络访问日志：留存日志周期_____。

安全防护设备策略：根据应用自主配置。

办公区域无线局域网接入设备（无线路由器）数量：个。

网络用途：访问互联网：_____个；访问业务/办公网络：_____个。

安全防护策略：采取身份鉴别措施：_____个；采取地址过滤措施：_____个；未设置：_____个。

入侵检测系统：已部署。

防火墙技术：已部署。

漏洞扫描技术：已部署。

访问权限设置：有。

数据库管理制度：完整并落实。

Root账户权限设置：分级设置。

数据备份周期：定期：周期_____。

网页防篡改措施：采用。

漏洞扫描：定期扫描，周期_____。

信息发布管理：已建立审核制度，且审核记录完整。

已建立审核制度，但审核记录不完整。

网站安全防护方面未建立审核制度，需要进一步完善。

管理员口令复杂度策略分为高、中、低三种，建议采用高强度口令。

邮箱安全防护方面，建议设置有效时间和审批注册账号，使用技术措施控制和管理口令强度，定期删除邮件。

在安全管理方式方面，建议采用集中统一管理，规范软硬件安装，统一补丁升级，统一病毒防护，统一安全审计等措施。

网络信息安全检查表(Word)网络信息安全检查表一、背景介绍为保障网络信息安全，预防和及时处置网络安全事件，制定本网络信息安全检查表，针对网络信息安全进行全面检查，确保网络系统的安全运行。

二、网络设备检查1·路由器检查1·1 路由器是否经过密码保护1·2 路由器固件是否及时更新1·3 路由器访问控制列表(ACL)配置情况1·4 路由器接口是否进行了安全配置2·防火墙检查2·1 防火墙是否开启2·2 防火墙规则是否符合安全策略2·3 防火墙固件是否及时更新2·4 防火墙日志是否定期检查3·交换机检查3·1 交换机管理口是否进行了安全配置3·2 交换机端口安全设置是否合理3·3 交换机固件是否及时更新3·4 交换机是否开启了端口镜像进行流量监测 4·虚拟专用网(VPN)检查4·1 VPN服务器是否进行了安全配置4·2 VPN用户权限是否合理4·3 VPN传输模式是否安全三、网络服务检查1·网络身份认证服务检查1·1 身份认证服务器是否进行了安全配置1·2 身份认证方式是否安全可靠1·3 身份认证日志是否定期检查分析2·网络存储服务检查2·1 存储设备是否设置访问控制权限2·2 存储设备是否进行了加密保护2·3 存储设备备份情况是否正常2·4 存储设备是否定期进行漏洞扫描3·电子邮件服务检查3·1 邮件服务器是否配置了安全策略3·2 邮件账户权限是否控制合理3·3 邮件系统是否进行了备份3·4 邮件流量是否进行了监测和过滤四、应用系统检查1·操作系统检查1·1 操作系统是否及时进行了补丁更新1·2 操作系统的访问权限是否控制合理1·3 操作系统是否开启了安全审计1·4 操作系统是否配置了合理的日志管理策略 2·数据库系统检查2·1 数据库是否设置了强密码策略2·2 数据库账户权限是否控制合理2·3 数据库备份情况是否正常2·4 数据库是否进行了审计日志监控3·网络应用检查3·1 网络应用是否进行了安全配置3·2 网络应用的访问权限是否控制合理3·3 网络应用是否进行了漏洞扫描和修复3·4 网络应用是否定期进行安全性能测试附件：网络设备配置文件备份、防火墙日志分析报告、安全漏洞扫描报告、网络应用安全性能测试报告、网络信息安全事件处置报告。

1.单位基本情况12.人员资产情况2.1人员组织架构XXX组织架构图如图所示。

（请提供本单位组织架构图）人员职责描述：本人已确认以上所填内容及结果，确认无误。

填表人：22.2信息安全人员情况表2-1 信息安全人员调查表填写说明：1.此表主要涉及与网络安全相关的人员及部门；2.岗位名称：网络管理员、系统管理员、安全管理员、运维管理员、数据库管理员等。

32.3信息安全培训情况表2-2 信息安全培训调查表43.网络资产情况3.1网络拓扑情况表3-1 网络拓扑调查表填写说明：1.此表主要是提供本单位实际的网络拓扑图2.拓扑图中需标明出口、核心架构区域，以及其他网络区域。

53.2单位外联情况表3-2 单位外联调查表填写说明：1.连接对象为外联的单位名称；2.线路类型包括：SDH、MSTP、PTN、VPN（SSL、IPsec）等；63.3网络区域划分情况表3-3 网络区域划分调查表填写说明：1.网络区域包括：服务器域、核心交换域、办公域、外联域、存储域、运维域、终端域等。

74.信息系统资产情况4.1.信息系统等保备案情况表4-1 信息系统等保备案调查表1.定级备案：等级保护一级、等级保护二级、等级保护三级、等级保护四级、等级保护五级。

84.2.信息系统基本情况表4-2 信息系统基本信息调查表1.架构：C/S、B/S；2.维保情况：维保中、已过保（说明过保原因）；3.重要程度：非常重要、重要、一般。

94.3.信息系统详细情况表4-3 信息系统详细信息调查表1.业务处理信息类别：a.国家秘密信息、b.非密敏感信息（机构或公民的专有信息）、c.可公开信息；2.用户范围：全国、全省、本地区、本单位；3.访问方式：互联网访问、专网访问、内网访问；4.信息系统的日志类型：访问日志、操作日志。

104.4.信息系统备份情况表4-4 信息系统备份调查表填写说明：1.备份周期：实时备份、非实时备份（请提供备份周期）；2.备份介质：NAS（阵列）、外置盘（U盘、硬盘）、网盘、内置硬盘、光盘等。

信息安全等级保护工作检查表单位信息安全等级保护工作检查表一、备案单位基本情况单位全称等级保护工作责任部门责任部门负责人姓名职务或职称办公电话移动电话责任部门联系人姓名职务或职称办公电话移动电话本行业定级备案的信息系统数量四级系统三级系统二级系统合计本单位定级备案的信息系统数量四级系统三级系统二级系统合计二、备案单位等级保护工作开展情况（一）信息安全工作的基本情况检查内容检查内容和所需材料工作情况等级保护工作的组织部署1.1等级保护协调领导机构设置情况是否成立等级保护专门协调领导机构，检查相关文件。

1.2等级保护责任部门和岗位确定情况是否明确等级保护责任部门和工作岗位，检查相关文件。

1.3行业等级保护工作的组织部署情况是否对全行业等级保护工作进行部署，检查具体部署文件。

1.4等级保护工作文件制定情况是否制定贯彻落实等级保护各项工作文件或方案，检查2007年以来有关等级保护工作的文件、方案。

1.5等级保护工作会议、业务培训情况是否召开等级保护工作会议或组织人员培训，检查会议或培训通知。

1.6单位主要领导对等级保护工作的重视情况单位主要领导是否重视等级保护工作，检查是否有领导讲话，是否有领导批示。

1.7制定行业标准规范是否制定出台行业等级保护配套标准，检查相关文件和标准。

信息安全责任制落实情况1.8信息安全领导机构设置情况是否建立由单位主管领导任组长的信息安全协调领导机构，检查相关文件。

1.9信息安全职能部门的建立情况是否成立专门信息安全职能部门或明确信息安全责任部门，检查相关文件。

1.10信息安全责任追究制度制定情况是否制定信息安全责任追究制度，检查相关文件。

信息安全制度建设情况1.11人员安全管理制度建设情况检查是否制定了本单位人员录用、离岗、考核、安全保密、教育培训、外来人员管理等安全管理制度，查看制度文件。

1.12机房安全管理制度建设情况检查是否对本单位机房进出人员管理和对机房进行日常监控。

1.13系统建设管理制度制定情况检查是否制定了本单位产品采购、工程实施、验收交付、服务外包等系统建设相关管理制度，查看制度文件。