信息安全表

网络信息安全自检自查表及报告网络信息安全自检自查表及报告1.信息资产清单1.1 硬件设备1.1.1 服务器1.1.2 路由器1.1.3 防火墙1.1.4 交换机1.1.5 存储设备1.1.6 其他设备（如打印机、摄像头等）1.2 软件应用1.2.1 操作系统1.2.2 数据库1.2.3 网络应用软件1.2.4 客户端软件2.网络架构2.1 网段划分2.2 子网掩码配置2.3 网络设备配置2.4 网络拓扑图3.访问控制3.1 用户账号管理3.2 密码策略3.3 账号权限管理3.4 访问控制列表配置3.5 安全组配置4.数据保护4.1 敏感数据分类4.2 数据备份策略4.3 数据恢复测试4.4 数据加密策略4.5 安全删除机制5.系统安全5.1 操作系统更新5.2 安全补丁管理5.3 强化系统安全配置5.4 安全审计配置5.5 系统日志监控6.网络安全6.1 防火墙配置6.2 网络隔离策略6.3 VPN配置6.4 IDS/IPS配置6.5 网络入侵检测与防护7.应用安全7.1 应用安全评估7.2 应用漏洞扫描7.3 安全开发规范7.4 安全代码审计7.5 应用安全测试8.物理环境安全8.1 机房访问控制8.2 机房环境监控8.3 电源与供电备份8.4 硬件设备防盗措施8.5 火灾与水灾预防9.员工安全意识9.1 安全培训计划9.2 安全政策知晓度9.3 安全知识测试9.4 安全事件处理流程9.5 安全风险上报机制10.漏洞管理10.1 漏洞扫描策略10.2 漏洞评估与修复10.3 漏洞跟踪与升级10.4 漏洞演练与应急演练附件：附件一：网络拓扑图附件二：访问控制列表配置文件附件三：数据备份计划法律名词及注释：1.信息资产：指企业拥有并管理的各类信息资源，包括硬件设备、软件应用及相关数据等。

2.子网掩码：用于划分IP地质的网络标识和主机标识部分的边界。

3.访问控制列表（ACL）：用于控制数据包的流动与过滤，以实现网络安全防护的一种机制。

信息安全风险评估表
精心整理
表1：基本信息调查
1.硬件资产情况
1.1.网络设备情况
网络设备名称、型号、物理位置、所属网络区域、IP地
址/掩码/网关、系统软件及版本、端口类型及数量、主要用途、是否热备、重要程度。

1.2.安全设备情况
安全设备名称、型号、软件/硬件位置、所属网络区域、
IP地址/掩码/网关、操作系统版本/补丁、安装应用系统软件名称、主要业务应用、涉及数据、是否热备。

1.3.服务器设备情况
服务器设备型号、物理位置。

1.4.终端设备情况
终端设备名称、型号、物理位置、所属网络、设备数量、IP地址/掩码/网关、操作系统版本。

2.软件资产情况
2.1.系统软件情况
系统软件名称、版本、开发商、软件厂商、硬件/软件平台、C/S或B/S模式、B/S硬件平台、涉及数据、涉及应用系统、现有用户数量、主要用户角色。

2.2.应用软件情况
应用系统软件名称、涉及数据。

3.文档资产情况
3.1.信息系统安全文档列表
信息系统文档类别、文档名称。

4.信息系统情况
4.1、系统网络拓扑图
网络结构图要求：标识网络设备、服务器设备和主要终端设备及其名称；标识服务器设备的IP地址；标识网络区域划分等情况。

学校网络与信息安全检查表学校网络与信息安全检查表一、网络设备与拓扑结构检查1、检查网络设备的数量和类型。

2、检查网络设备的配置和固件版本。

3、检查网络设备的物理连接和布局。

4、检查网络设备的访问控制列表（ACL）配置。

5、检查网络设备的用户认证和授权设置。

6、检查网络设备的日志记录和监控功能设置。

二、网络安全策略检查1、检查网络安全策略的制定和更新情况。

2、检查网络防火墙和入侵检测系统的配置。

3、检查网络访问控制列表的设置和更新情况。

4、检查网络安全域的划分和隔离情况。

5、检查网络安全策略的培训和宣传情况。

三、网络用户权限管理检查1、检查网络用户账号的创建和终止管理。

2、检查网络用户账号的权限控制和分配情况。

3、检查网络用户密码的复杂性和定期更新要求。

4、检查网络用户账号的登录日志和监控情况。

5、检查网络用户权限管理的培训和宣传情况。

四、信息安全保护检查1、检查敏感信息和个人隐私的保护措施。

2、检查敏感信息访问控制和审计跟踪措施。

3、检查数据备份和恢复策略的制定与执行情况。

4、检查网络安全事件和漏洞的监测和应对措施。

5、检查信息安全保护的培训和宣传情况。

五、网络安全事件响应检查1、检查网络安全事件的报告和记录情况。

2、检查网络安全事件的紧急响应计划和组织情况。

3、检查网络安全事件的调查和处理程序。

4、检查网络安全事件的恢复和归档情况。

六、附件1、网络设备清单2、网络安全策略文件3、用户权限管理文件4、信息安全保护文件5、网络安全事件响应文件法律名词及注释：1、网络设备：指用于实现网络连接和数据传输的硬件设备，如路由器、交换机等。

2、ACL（访问控制列表）：用于控制网络设备的数据包转发和访问策略。

3、防火墙：用于保护网络免受未经授权的访问和恶意攻击。

4、入侵检测系统：用于监测和报警异常网络活动和入侵行为。

5、用户认证和授权：用于验证用户身份并授予相应的网络访问权限。

6、日志记录和监控：用于记录网络设备和用户活动，并进行实时监控和分析。

信息安全风险评估记录表XXX信息安全风险评估记录表部门：XX部资产名称：1.台式计算机2.服务器3.笔记本4.网线5.INTEL网络服务6.路由器7.U盘8.WINDOWS XP9.源代码10.软件11.概要设计说明书12.产品数据库数据13.产品用户手册14.BUG报告15.用户培训记录重要度面临威胁脆弱性措施有效可能性风险1.台式计算机 6 10 3 3 5 302.服务器 10 10 5 3 7 703.笔记本 8 8 4 4 8 644.网线 8 8 4 4 8 645.INTEL网络服务 6 6 3 3 5 306.路由器 4 4 4 4 7 287.U盘 4 4 4 4 7 288.WINDOWS XP 10 1 1 1 4 49.源代码 10 5 5 5 9 4510.软件 6 4 4 4 8 3211.概要设计说明书 4 4 4 5 6 2412.产品数据库数据 4 4 4 4 8 3213.产品用户手册 4 4 4 4 7 2814.BUG报告 1 5 5 5 9 4515.用户培训记录 10 3 2 5 8 40存在的问题：1.台式计算机：无杀毒软件，无备份策略，无口令策略，配置被修改，无法使用。

2.服务器：无杀毒软件，服务器损坏无法使用。

3.笔记本：无法使用。

4.网线：无防护措施，数据泄密。

5.XXX网络服务：无管理制度。

6.路由器：操作系统存在漏洞，无访问控制，无安全备份。

7.U盘：无备份安全策略。

8.WINDOWS XP：暴露。

9.源代码：人为破环，盗窃。

10.软件：数据丢失/损坏/篡改，存储介质故障。

11.概要设计说明书：无拷贝控制，存储介质故障。

12.产品数据库数据：无备份安全策略，存储介质故障。

13.产品用户手册：无备份安全策略，存储介质故障。

14.BUG报告：存储介质故障。

15.用户培训记录：无访问控制。

措施：1.台式计算机：安装杀毒软件，制定备份策略，设置口令策略，修复配置，恢复使用。

信息安全技术交底记录表---项目概述本文档记录对于信息安全技术交底的相关内容，旨在确保参与项目的所有人员了解并遵守相关安全技术规范和要求。

---1. 信息安全政策根据公司信息安全政策，所有项目成员必须遵守以下规定：- 保护和维护项目数据的机密性、完整性和可用性；- 严格遵守相关法律法规和规章制度；- 不得未经授权将项目信息透露给第三方；- 合理使用和管理项目的安全设备和工具；---2. 数据安全控制在项目过程中，需采取以下数据安全控制措施：- 使用加密技术，确保敏感数据的保密性；- 建立权限管理机制，确保只有授权人员才能访问和修改数据；- 定期备份数据，防止数据丢失；- 监控和审计数据访问活动，发现和阻止恶意行为；---3. 系统和网络安全控制为确保系统和网络的安全，需要采取以下控制措施：- 安装并更新杀毒软件，防止恶意代码入侵；- 设置强密码策略，定期更换密码；- 禁止使用未经授权的软件；- 定期进行系统漏洞扫描和安全评估；- 建立入侵检测和响应机制，及时发现和处理安全事件；---4. 安全意识培训项目成员需要定期参加安全意识培训，以提高信息安全意识和应急处理能力。

培训内容包括但不限于：信息安全政策、数据和网络安全控制、应急响应流程等。

---5. 审核和合规定期进行信息安全检查与审计，确保项目中的安全控制措施有效。

同时，与相关法律法规保持一致，保证项目的合规性。

---6. 风险管理项目成员应意识到存在各种信息安全风险，并及时采取预防和应对措施，确保项目的安全运行。

---以上记录了信息安全技术交底的相关内容，请各位项目成员务必遵守，并及时联系信息安全管理人员，了解和解决相关问题。

长春市第一五七中学网络与信息安全检查表①重点岗位人员安全保密协议：全部签订部分签订均未签订；②人员离岗离职安全管理规定：已制定未制定；③外部人员机房访问管理制度及权限审批制度：已建立未建立；①资产管理制度：已建立未建立；②机房设备标签：全部标签合格部分标签合格无标签；③设备维修维护和报废管理：已建立管理制度，且维修维护和报废记录完整；已建立管理制度，但维修维护和报废记录不完整；未建立管理制度；①机房管理制度：已建立未建立；②机房日常运维记录：完整详实部分简略无记录；③人员进出机房记录：完整详实部分简略无记录；④机房物理环境：达标未达标；①互联网接入口总数：_____个；其中：电信接入口数量：_____个；移动接入口数量：_____个；联通接入口数量：_____个；其他： ____________ 接入口数量：_____个；②网络安全防护设备部署（可多选）：防火墙防篡改入侵检测设备安全审计设备防病毒网关抗拒绝服务攻击设备其它：________________________；③网络访问日志：留存日志周期_____ 未留存日志④安全防护设备策略：使用默认配置根据应用自主配置①网络用途：访问互联网：_____个；访问业务/办公网络：_____个；②安全防护策略（可多选）：采取身份鉴别措施：_____个；采取地址过滤措施：_____个；未设置：_____个；①入侵检测系统：已部署未部署；②防火墙技术：已部署未部署；③漏洞扫描技术：已部署未部署；④访问权限设置：有无；①数据库管理制度：完整并落实未落实无；②Root账户权限设置：分级设置未分级设置；③数据备份周期：实时，定期：周期_____，不定期；①网页防篡改措施：采用、未采用；②漏洞扫描：定期扫描，周期_____ 不定期、未进行；③信息发布管理：已建立审核制度，且审核记录完整；已建立审核制度，但审核记录不完整；未建立审核制度；④管理员口令复杂度策略：高(包含数字、大小写字母、特殊符号，8位以上 )；中 (数字、字母，6位以上)；低 (单一数字、字母，6位以下)；是否设置有效时间：是周期：_____ 否；①邮箱注册：注册邮箱账号须经审批任意注册使用；②账户口令防护：使用技术措施控制和管理口令强度；无口令强度限制技术措施；③定期删除邮件：定期周期_____ 未定期；①安全管理方式：集中统一管理（可多选）规范软硬件安装统一补丁升级统一病毒防护统一安全审计对移动存储介质接入实施控制分散管理②接入互联网安全控制措施：有控制措施（如实名接入、绑定计算机IP和MAC地址等）；无控制措施；③访问口令复杂度策略：高(包含数字、大小写字母、特殊符号，8位以上 )；中 (数字、字母，6位以上) ；低 (单一数字、字母，6位以下)；是否设置有效时间：是周期____ 否；①安全管理方式：集中管理，统一登记、杀毒、配发、收回、维修、报废、销毁；未采取集中管理方式②电子信息保护：已配备信息消除和销毁设备未配备信息消除和销毁设备预案全面性及可行性：全面到位未到位年度修订评估情况：修订评估未修订评估未制定年度演练次数及时间：，年度未开展① 重要信息系统：已备份，备份周期____，不定期，异地备份，本地备份；未备份；② 重要业务数据：已备份，备份周期____，不定期，异地备份，本地备份；未备份；有应急技术团队单位所属责任部门：____________；外部专业机构名称:____________；是否取得资质：是(附件证明)，否；无1本表所称国产，是指具有国内品牌，最终产品在中国境内生产，并符合法律法规和政策规定的其他条件。

长春市第一五七中学网络与信息安全检查表
1本表所称国产，是指具有国内品牌，最终产品在中国境内生产，并符合法律法规和政策规定的其他条件。

2本表所称恶意代码，是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。

3本表所称高风险漏洞，是指计算机硬件、软件或信息系统中存在的严重安全缺陷，利用这些缺陷可完全控制或部分控制计算机及信息系统，对计算机及信息系统实施攻击、破坏、信息窃取等行为。

4信息安全事件分级标准参见《国家网络与信息安全事件应急预案》（国办函〔2008〕168号）。

1.单位基本情况12.人员资产情况2.1人员组织架构XXX组织架构图如图所示。

（请提供本单位组织架构图）人员职责描述：本人已确认以上所填内容及结果，确认无误。

填表人：22.2信息安全人员情况表2-1 信息安全人员调查表填写说明：1.此表主要涉及与网络安全相关的人员及部门；2.岗位名称：网络管理员、系统管理员、安全管理员、运维管理员、数据库管理员等。

32.3信息安全培训情况表2-2 信息安全培训调查表43.网络资产情况3.1网络拓扑情况表3-1 网络拓扑调查表填写说明：1.此表主要是提供本单位实际的网络拓扑图2.拓扑图中需标明出口、核心架构区域，以及其他网络区域。

53.2单位外联情况表3-2 单位外联调查表填写说明：1.连接对象为外联的单位名称；2.线路类型包括：SDH、MSTP、PTN、VPN（SSL、IPsec）等；63.3网络区域划分情况表3-3 网络区域划分调查表填写说明：1.网络区域包括：服务器域、核心交换域、办公域、外联域、存储域、运维域、终端域等。

74.信息系统资产情况4.1.信息系统等保备案情况表4-1 信息系统等保备案调查表1.定级备案：等级保护一级、等级保护二级、等级保护三级、等级保护四级、等级保护五级。

84.2.信息系统基本情况表4-2 信息系统基本信息调查表1.架构：C/S、B/S；2.维保情况：维保中、已过保（说明过保原因）；3.重要程度：非常重要、重要、一般。

94.3.信息系统详细情况表4-3 信息系统详细信息调查表1.业务处理信息类别：a.国家秘密信息、b.非密敏感信息（机构或公民的专有信息）、c.可公开信息；2.用户范围：全国、全省、本地区、本单位；3.访问方式：互联网访问、专网访问、内网访问；4.信息系统的日志类型：访问日志、操作日志。

104.4.信息系统备份情况表4-4 信息系统备份调查表填写说明：1.备份周期：实时备份、非实时备份（请提供备份周期）；2.备份介质：NAS（阵列）、外置盘（U盘、硬盘）、网盘、内置硬盘、光盘等。

信息安全问卷调查表目的：为进一步改善我们的信息安全管理体系，特进行本次调查，请认真填写调查问卷上的问题。

谢谢您的合作！1、你工作使用的电脑的操作系统口令和邮件口令分别是几位的，是否使用简单的口令（如生日、电话号码、身份证号码、有一定排列顺序的数字或字母组合等）？2、当你要离开座位一段时间，你对正在使用的电脑会采取什么样的操作？为什么？3、你会及时清理自己的办公桌面吗？你对自己办公桌面上的重要的资料如何处理？4、你工作使用的电脑（及你所管理的服务器）是否有安装防病毒软件？是否有定期升级？如果防病毒软件不及时升级会产生什么样的后果？5、对于来源不明、怀疑携带病毒的电子邮件附件，按照信息安全的要求，应该如何处理？6、如果你怀疑你的电脑感染病毒了，你会如何处理？7、你工作使用的电脑是什么操作系统的？会经常为操作系统打补丁吗？打补丁有什么好处？你如何确保操作系统的补丁是最新的？8、你是否会因工作原因需要远程访问公司的网络？如果有需要的话，请说明在远程访问公司的网络时，要注意哪些事项，以保护公司网络安全？9、公司很多同事使用MSN和QQ,有的是因为工作需要与客户在MSN或QQ上联络，有的是为了与朋友联络方便；MSN和QQ病毒很多，且变种速度很快，这对信息安全是一个威胁，如果你是公司的网络安全管理员，你将如何处理这个问题？10、因工作需要，我们经常要到互联网上去下载一些资料，A同事的观点是选择到大型网站下载，因为这样专业，B同事的观点是选择到经常去的小网站或BBS下载，因为这样方便。

你倾向于他们谁的观点，为什么？11、你对公司目前的信息安全管理现状有哪些好的意见或建议，请写在下面。

填写人：所在部门: 职位：填写日期:。

信息安全隐患排查表A：基础设施安全1. 网络设备安全- 服务器的防火墙设置是否合理- 路由器、交换机的管理口是否设有访问限制- 网络设备是否存在默认密码漏洞2. 数据中心安全- 数据中心是否有严格的访问控制措施- 是否有定期的设备检查和维护计划- 是否有相应的备份和容灾预案3. 通信安全- 是否使用加密通信协议- 是否采用vpn等加密技术保护远程访问- 是否有网络隔离措施4. 电力安全- 是否有稳定的电源供应- 是否有电源保护措施- 是否有定期的电力设备检查和维护计划B：应用安全1. 应用软件安全- 是否有安全漏洞扫描和修复计划- 是否有代码审查和安全测试程序- 是否有应用白名单机制2. 数据库安全- 是否有数据库备份和恢复计划- 是否有数据库权限控制机制- 是否有数据库监控和审计程序3. Web应用安全- 是否有web应用防火墙- 是否有xss、sql注入等安全漏洞检测和修复计划 - 是否采用https协议传输C：身份认证和访问控制1. 用户账号安全- 是否有账号生命周期管理制度- 是否有账号合规审核机制- 是否有多因素认证技术2. 访问控制- 是否有访问控制策略- 是否采用RBAC、ABAC等访问控制模型- 是否有访问审计机制D：安全意识和教育1. 岗位责任- 不同岗位的安全责任划分- 是否有相应的安全意识培训计划2. 员工守则- 是否有明确的安全管理规定- 是否有安全守则考核机制E：风险管理1. 安全事件响应- 是否有安全事件响应预案- 是否有紧急通报渠道- 是否有应急处置团队2. 风险评估- 是否有风险评估程序和机制- 是否有合理的风险管理措施- 是否有风险报告和分析机制F：外部合作安全1. 第三方服务- 是否有第三方服务审查和评估机制- 是否有第三方服务安全监控机制- 是否有第三方服务合规审核机制2. 供应链安全- 是否有供应链合规审计机制- 是否有供应链安全管理机制- 是否有供应链风险评估机制综上所述，信息安全意识是所有安全问题的基石。