信息化及网络安全检查表

信息安全检查表
HEN system office room【HEN16H-HENS2AHENS8Q8-HENH1688】
2017年瓯海区卫计系统信息安全检查表单位名称（盖章）:
指标考核细则
1、机房管理制度（上墙）
2、运维安全管理制度
管理制度3、信息化保密管理制度
4、数据备份与安全管理制度
5、信息安全应急制度
终端计算机建立终端采取统一软件下发、补丁更新、病毒查杀、漏洞扫描等措施
终端计算终端计算机必须设置登陆密码,账机安全户锁定时间为10分钟。

内网和外网重要信息系统使用的计算机必须严格控制U 盘和光盘等移动存储介质。

机房建立红外线防盗报警器或视频监控系统。

网络机房建立烟雾传感器、火灾报警器等装置、灭火消防设施。

机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

（建议机房安全值：温度夏季23±2℃，冬季20±2℃，湿度45~65％。

）防火墙、交换机、服务器等主要设备及线缆设置不易除去的标签。

定期巡检要求医院信息人员或XXX每周巡检一次；进出机房的外来人员执行进出登记。

日期:年月日
检查结果备注内网网络必须建立计算机准入控制，防止未审批的计算机接入内网网络。

学校校园网络安全管理制度一、总则1.为了保障学校校园网络的正常运行，维护学校信息资源的安全，防范网络安全风险和威胁，规范网络使用行为，提高网络安全意识和能力，制定本制度。

3.学校校园网络是指由学校信息化管理部门负责建设、运维和管理的覆盖学校各个区域和场所的有线和无线网络系统，包括但不限于教学区、办公区、宿舍区、图书馆、体育馆等。

4.学校信息化管理部门是指负责学校信息化建设和管理的部门，包括但不限于信息技术中心、网络与信息安全中心、教育技术中心等。

5.学校网络安全工作遵循“预防为主，防御为辅，综合治理”的原则，坚持“谁使用，谁负责”的责任制，实行“分级管理，层层负责”的管理制度。

二、网络使用规范违反国家宪法和法律法规的行为，如危害国家安全、泄露国家秘密、侵犯他人合法权益等；破坏网络安全的行为，如非法侵入他人计算机系统、传播计算机病毒或恶意软件、攻击或干扰网络正常运行等；干扰网络管理的行为，如未经授权擅自更改网络配置、篡改或删除网络数据、妨碍网络监管等；损害学校声誉或利益的行为，如在网络上发布或转发不实或负面的信息、诽谤或诋毁学校或相关人员等；违反社会公序良俗的行为，如在网络上发布或传播色情、暴力、恐怖、赌博等违法或不良信息等；其他违反法律法规或学校规定的行为。

长时间占用公共计算机或无线网接入点，影响他人正常使用；非法或大量影视音乐等文件，占用过多网络流量；使用非法软件或工具破解或绕过网络限制，如使用代理服务器、V PN等访问被屏蔽的网站或服务；搭建或使用私人服务器或路由器等设备，影响网络稳定性或安全性；其他影响网络资源公平分配或合理利用的行为。

将自己的网络账号和密码泄露、出借、转让或出售给他人；使用他人的网络账号和密码登录网络或使用网络服务；盗取或破解他人的网络账号和密码；其他危害网络账号安全或违反网络账号管理规定的行为。

三、网络安全管理措施9.学校信息化管理部门应建立健全网络安全管理制度，制定网络安全规范和标准，定期对校园网络进行安全检查和评估，及时发现和处理网络安全隐患和事件。

1、本单位需要填的信息系统是什么？答：（1）信息系统是指有本单位·自行发起购买或开发的信息系统·。

如：医院的HIS、PACS、LIS等，由本单位自行填写。

（2）由上级统一配发使用的，如：新农合系统、国家疾病预防控制系统、桂妇儿、广西人口计生管理服务信息平台等，由上级部门填写。

2、有什么单位或机构需要填写上报？3、为什么我填完了，导出还是不行？请确认是否填写完整，处备案表编号意外，没有则填‘0’或‘无’。

4、导出的文件在哪？在C盘---网络安全自查采集工具---export目录下。

5、信息系统运维单位表格怎么填写？请根据提示填写，提示基本结构为：执行项目+数量。

例图：6、如果没有系统或网站怎么填？7、行业主管部门表怎么填？表格的逻辑校验：8、网站表格怎么填写？无论什么性质网站，只要能通过域名访问80端口，且存在CMS（网站后台内容管理），就必须填写。

如果网站不为自己建设，根据表格填写要求与建设方联系获取相关信息，网站备案号可在‚ICP备案查询网‛进行查询。

9、表格内容看不到怎么办？系统版本过低导致无法识别脚本，如果安装了，还是无法查看，建议换一台机器在尝试。

10、说明怎么写？说明要注明系统、网站、工控系统的有无，附带介绍本单位信息化情况，如正在使用信息系统等，要有落款。

具体参考可咨询当地卫计局，以单位所在地区卫计局提供参考为准（因为信息会由当地卫计局上交至自治区）。

附带：《针对基层医疗卫生机构信息安全检查表问题的统一回答》下的回答内容：以下为针对基层医疗卫生机构（包括:社区卫生服务中心(站)、乡镇(街道)卫生院、村卫生室、门诊部、诊所(医务室)）1、基层医疗卫生机构需要填写的表格。

基层医疗卫生机构填写表格标准：原则上四个表格均要填写，但由于各基层医疗卫生机构的具体情况不同，需要填写的情况为：（1）如果本机构存在自行发起购买、建设的信息系统的情况，需要填写“信息系统运营使用单位”下的表格；例如：自行发起购买或建设的门诊系统(HIS)、影像系统(PACS)、实验室系统(LIS)等。

安全检查表分析及评价记录摘要本文档主要介绍了安全检查表的基础知识，并通过对安全检查表的分析和评价，为企业安全管理工作提供参考。

背景随着网络技术的飞速发展，网络安全问题日益突出。

为了保障企业信息安全，实现信息化进程，企业必须加强安全管理。

其中一项重要的安全管理措施就是安全检查。

为了规范化和标准化安全检查流程，安全检查表应运而生。

本文主要对安全检查表进行分析和评价。

安全检查表基础知识安全检查表是一种规范化的安全检查工具，可以通过列出安全检查项和标准化的评价方法，帮助企业确定安全问题和漏洞，并及时解决。

下面是安全检查表的基本要素：安全检查项安全检查项是安全检查表中最基本的元素。

它们是所有安全检查工作的基础，并且应该与企业的实际情况相符。

安全检查项通常包括以下内容：•安全设备的配置和部署•系统和应用程序的安装和配置•安全策略和流程的管理•网络和数据的备份和恢复•用户和访问控制管理•恶意代码和漏洞的防范措施•网络和系统的监控和审计安全检查评价方法安全检查表的评价方法应该是标准化的，并且应该与企业的实际情况相符。

评价方法通常包括以下内容：•评价标准和等级•评价方式和方法•评价结果和记录安全检查表分析安全检查表的组成结构安全检查表的组成结构通常包括以下几个方面：•安全检查项•评价标准和等级•评价方式和方法•评价结果和记录其中，安全检查项是最基本的元素，也是整个检查表的灵魂。

评价标准和等级是和安全检查项紧密结合的元素，根据不同的安全检查项和安全级别，制定不同的评价标准和等级。

评价方式和方法则是指在进行安全检查时应该如何评价和记录。

评价结果和记录则是检查员根据实际情况按照评价标准和等级进行评价后记录下来的结果和记录。

安全检查表的优点与缺点安全检查表的优点包括：•规范了企业安全检查流程。

•安全检查表中的安全检查项可以帮助企业快速定位安全问题并及时解决。

•安全检查表可以为企业安全管理提供量化指标，帮助企业更好地进行安全管理。

网络安全和信息化工作总结|网络安全及信息化网络安全和信息化工作总结|网络安全及信息化区级各部门、有关企事业单位：为贯彻落实习近平总书记等中央领导同志重要指示批示精神，全面摸清国家关键信息基础设施底数和安全保护状况，排查网络安全风险，堵塞网络安全漏洞，落实网络安全责任，深入实施国家网络安全等级保护制度，全面提高网络安全保障能力和防护水平，切实履行公安机关网络安全监管职责，保障党的十九大顺利召开，按照重庆市网络安全等级保护领导小组办公室的统一部署，自今年3月至9月在全区范围内开展为期7个月的网络安全执法检查工作。

现将有关要求通知如下：一、工作目标深入贯彻落实习近平总书记等中央领导同志关于网络安全工作的重要指示批示精神和《网络安全法》，紧紧围绕建设网络强国、维护国家网络主权和网络安全的总目标，以党政机关、重要行业、国有企事业单位、大型信息技术单位和互联网企业为重点保卫目标，以国家关键信息基础设施为重点保卫对象，采取自查自评、现场检查、技术检测、跟踪督办、复合检测相结合的方式，掌握重点保卫对象的网络安全状况，检测排查并督促整改网络安全重大漏洞隐患、风险和突出问题，切实提高重点行业、重要部门网络安全防护意识和关键信息基础设施综合防护能力，坚决防止发生重大网络安全事（事故），为党的十九大胜利召开创造良好的网络环境。

二、检查流程和内容（一）梳理本单位本行业关键信息基础设施。

按照《网络安全法》规定，国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。

各重点行业、部门和相关单位要依据《关键信息基础设施基础调查流程》（附1），开展关键信息基础设施梳理排查工作，全面掌握本行业、本部门关键信息基础设施基本情况，填报《行业部门国家关键信息基础设施基础调查表》（附2）和《关键信息基础设施基本情况表》（附3）。

附件1XXXXXXX网络安全检查表一、部门基本状况部门（单位）名称分管网络安全工作的领导（如副厅长）网络安全管理机构（如办公室）①姓名：②职务：①名称：②负责人：③联系人：职务：办公电话：挪动电话：网络安全专员工作处室（如信息中心、网络安全科等）网络安全从业人员①名称：②负责人：办公电话：挪动电话：①本单位网络安全从业人员总数：，此中有网络安全从业资格的人员数目：②网络安全从业人员缺口：二、信息系统基本状况①信息系统总数：②网络连结状况信息系统可以经过互联网接见的系统数目：状况不可以经过互联网接见的系统数目：③面向社会民众供给服务的系统数目：④今年度经过安全测评的系统数目：互联网接进口总数：互联网接入□接入中国联通接进口数目：状况□接入中国电信接进口数目：□其余：中国挪动接进口数目：第一级：个第二级：个第三级：个已张开年度测评系统等级第四级：个已张开年度测评保护状况第五级：个已张开年度测评不决级：个接入带宽：MB接入带宽：MB1接入带宽：8MB个测评经过率个测评经过率个测评经过率三、网络安全平时管理状况人员管理财产管理网络安全规划①岗位网络安全责任制度：□已成立□未成立②要点岗位人员安全保密协议：□所有签署□部分签署□均未签署③人员离岗辞职安全管理规定：□已制定□未制定④外面人员接见机房等重要地区审批制度：□已成立□未成立①财产管理制度：□已成立□未成立②设施维修保护和报废管理：□已成立管理制度，且记录圆满□已成立管理制度，但记录不圆满□未成立管理制度规划制定状况（单项选择）：□制定了部门（单位）的网络安全规划□在部门（单位）整体发展规划中涵盖了网络安全规划□无四、网络安全防备状况①网络安全防备设施部署（可多项选择）□防火墙□入侵检测设施□安全审计设施□防病毒网关□抗拒绝服务攻击设施网络界限□其余：安全防备②设施安全策略配置：□使用默认配置□依据需要配置③网络接见日记：□保存日记□未保存日记①本单位使用无线路由器数目：②无线路由器用途：□接见互联网：个□接见业务/办公网络：个无线网络③安全防备策略（可多项选择）：安全防备□采纳身份鉴识举措□采纳地点过滤举措□未设置安全防备策略④无线路由器使用默认管理地点状况：□存在□不存在⑤无线路由器使用默认管理口令状况：□存在□不存在①门户网站域名：②门户网站IP地点：③本单位及其内设机构拥有独立域名的网站域名：（可另附页）④网页防窜改举措：□采纳□未采纳网站⑤破绽扫描：□按期，周期□不按期□未进行安全防备⑥信息宣告管理：□已成立审查制度，且记录圆满□已成立审查制度，但记录不圆满□未成立审查制度⑦运维方式：□自行运维□拜托第三方运维⑧域名解析系统状况：□自行建设□拜托第三方：①建设方式：□自行建设□使用第三方服务邮件服务供给商②账户数目：个③注册管理：□须经审批□随意注册④口令管理：□使用技术举措控制口令强度电子邮件□没有采纳技术举措控制口令强度安全防备⑤安全防备：（可多项选择）□采纳病毒木马防备举措□部署防火墙、入侵检测等设施□采纳反垃圾邮件举措□其余：①管理方式□集中一致管理（可多项选择）□规范软硬件安装□一致补丁升级□一致病毒防备□一致安全审计□对挪动储蓄介质接入实行控制□一致身份管理终端计算机□分别管理安全防备②接入互联网安全控制举措：□有控制举措（照实名接入、绑定计算机IP和MAC地点等）□无控制举措③接入办公系统安全控制举措：□有控制举措（照实名接入、绑定计算机IP和MAC地点等）□无控制举措①管理方式：□集中管理，一致登记、配发、回收、维修、报废、销毁挪动储蓄介质□未采纳集中管理方式安全防备②信息销毁：□已装备信息除去和销毁设施□未装备信息除去和销毁设施重要破绽重要破绽办理率：办理均匀时长：修复状况五、网络安全应急工作状况□已制定今年度校订状况：□校订□未校订应急方案□未制定应急操练□今年度已张开，操练时间：□今年度未张开①数据备份□采纳备份举措，备份周期：□及时，□日，□周，□月，□不按期□未采纳备份举措灾害备份②系统备份采纳及时备份举措的系统数目：未采纳及时备份举措的系统数目：应急技术□本部门所属□外面服务机构□无队伍六、网络安全教育培训状况培训次数今年度张开网络安全教育培训的次数：今年度参加网络安全教育培训的人数：培训人数占本部门总人数的比率：%七、信息技术产品使用状况①总台数：0②品牌状况：国内品牌台数：，此中，使用国产CPU的台数：服务器外国品牌台数：③操作系统状况：使用国产操作系统的台数：使用外国操作系统的台数：①总台数：23②品牌状况：国内品牌台数：23，此中，使用国产CPU的台数：终端计算机外国品牌台数：（含笔录本）③操作系统状况：使用国产操作系统的台数：0使用外国操作系统的台数：23此中，使用WindowsXP的台数：23④安装国产文字办理软件的终端计算机台数：23⑤安装国产防病毒软件的终端计算机台数：23①总台数：路由器②品牌状况：国内品牌台数：外国品牌台数：①总台数：2互换机②品牌状况：国内品牌台数：外国品牌台数：2①总台数：0储蓄设施②品牌状况：国内品牌台数：外国品牌台数：①总套数：0数据库②品牌状况：国内品牌台数：管理系统外国品牌台数：总数：邮件系统品牌：数目：品牌：数目：总数：负载平衡设施品牌：数目：品牌：数目：总数：防火墙品牌：数目：品牌：数目：总数：入侵检测设施品牌：数目：（入侵防守）品牌：数目：总数：安全审计设施品牌：数目：品牌：数目：八、网络安全经费估计投入状况经费保障①上一年度网络安全估计：万元，实质到位状况：②今年度信息化建设总估计（含网络安全估计）：安全估计：万元万元万元，此中网络九、今年度技术检测及网络安全事件状况进行浸透测试的系统数目：浸透测试此中，可以成功控制的系统数目：①进行病毒木马等歹意代码检测的服务器台数：歹意代码1检此中，存在歹意代码的服务器台数：技术检测②进行病毒木马等歹意代码检测的终端计算机台数：测状况此中，存在歹意代码的终端计算机台数：①进行破绽扫描的服务器台数：安全破绽此中，存在高风险破绽2的服务器台数：检测结果②进行破绽扫描的终端计算机台数：此中，存在高风险破绽的终端计算机台数：门户网站受网络安安全防备设施检测到的门户网站受攻击次数：攻击状况全事件网页被窜改状况门户网站网页被窜改（含内嵌歹意代码）次数：状况十、信息技术外包服务机构状况（包含参加技术检测的外面专业机构）机构名称机构性质□国有单位□民营公司□外资公司□系统集成□系统运维□风险评估□安全检测□安全加固□应急支持服务内容□数据储蓄□灾害备份外包服务机构1□其余：网络安全保密协议□已签署□未签署□已经过认证信息安全管理系统认认证机构：证状况□未经过认证机构名称外包服务机构2机构性质□国有单位□民营公司□外资公司1本表所称歹意代码，是指病毒木马等拥有避开安全保护举措、盗取别人信息、伤害别人计算机及信息系统资源、对别人计算机及信息系统实行远程控制等功能的代码或程序。