网络安全检查表
- 格式:doc
- 大小:171.00 KB
- 文档页数:9
下载文档原格式
合集下载
综合性网络安全检查表
综合性网络安全检查表
---
1. 网络基础设施
- 是否存在防火墙,并且配置正确?
- 是否存在入侵检测和防御系统?
- 是否进行常规更新和维护网络设备?
---
2. 计算机安全
- 是否对计算机系统进行加密和身份验证?
- 是否安装了最新的操作系统和应用程序的更新补丁?- 是否定期备份数据并测试其可恢复性?
---
3. 网络访问和权限控制
- 是否实行强密码策略?
- 是否限制员工的访问权限,根据其职责和需要?- 是否有监控系统来跟踪网络活动并发现异常行为?
---
4. 数据安全和加密
- 是否对敏感数据进行加密?
- 是否建立了数据备份和恢复计划?
- 是否采取了措施防止数据泄露和未经授权的访问?
---
5. 员工教育和意识
- 是否有网络安全政策和流程指南?
- 是否为员工提供网络安全培训?
- 是否建立了举报和应对网络安全事件的渠道?
---
总结
综合性网络安全检查表列举了网络基础设施、计算机安全、网络访问和权限控制、数据安全和加密以及员工教育和意识等方面的检查点。
通过按照这些检查点进行评估,可以确保网络的安全性和可靠性。
请确保定期进行网络安全检查,并采取相应的措施来修复和改进网络安全状况。
网络安全 检查表
网络安全检查表网络安全检查表1. 确保操作系统和软件更新及补丁安装完整:定期检查系统和软件,确保所有安全更新和补丁都已安装,以修补已发现的漏洞并提高系统的安全性。
2. 有效的网络防火墙:配置和更新网络防火墙,确保它能够阻止潜在威胁和未经授权的访问,同时仔细检查和监控网络流量。
3. 安全的密码策略:确保所有的账户都使用强密码,并建议定期更换密码。
密码应该是至少包含八个字符的混合字母数字符号组成,以提高密码的复杂度。
4. 严格的账户访问控制:检查和管理用户账户的权限,确保只有必要的人员能够访问敏感数据和系统资源。
5. 定期进行数据备份:定期备份重要数据,以防止数据丢失和恶意勒索软件攻击。
同时,确保备份存储在一个安全的位置,并测试恢复过程的有效性。
6. 安全培训和教育:提供针对员工的网络安全培训和教育,包括如何识别和防止网络攻击、恶意链接和电子邮件欺诈等。
7. 安装和更新安全软件:安装和更新有效的安全软件,如防病毒软件、反间谍软件和防火墙,以保护系统免受恶意软件和网络攻击。
8. 监控和记录日志:配置系统和网络设备以监控和记录关键活动和安全事件,以便及时检测和应对潜在威胁。
9. 限制外部访问:限制外部人员的访问权限,确保只有授权人员能够远程访问内部网络,同时使用虚拟专用网络(VPN)等安全协议加密通信。
10. 加密敏感数据:对敏感数据进行加密,以保护数据在传输和存储过程中的安全。
11. 安全审计和漏洞扫描:定期进行安全审计和漏洞扫描,发现并解决系统中的安全漏洞和问题。
12. 应急响应计划:建立和实施应急响应计划,以便在网络安全事故发生时能够快速响应,并恢复和修复网络系统。
总结:网络安全检查表是一个有效的工具,用于提高组织的网络安全性,并确保安全措施和控制机制的有效性。
对于任何组织来说,网络安全是一个持续的挑战,需要定期检查和更新以保持系统安全。
2023修正版网络安全检查表[1]
![2023修正版网络安全检查表[1]](https://img.taocdn.com/s1/m/73a37874ce84b9d528ea81c758f5f61fb73628aa.png)
网络安全检查表网络安全检查表网络安全是现代社会中不可忽视的重要问题。
在网络爆炸式增长的背景下,网络安全问题也日益突出。
为了保护个人和组织的网络安全,进行定期的网络安全检查非常必要。
本文提供了一个网络安全检查表,帮助用户全面检查网络安全状况。
1. 网络设备安全- [ ] 所有网络设备是否添加了强密码?- [ ] 路由器和交换机的管理界面是否关闭了远程访问?- [ ] 是否安装了最新的设备固件和补丁程序?- [ ] 是否禁用了未使用的网络端口?- [ ] 是否禁用了不需要的网络服务和功能?2. 网络访问控制- [ ] 是否设置了网络防火墙?- [ ] 是否启用了入侵检测和防御系统?- [ ] 是否限制了网络访问权限?- [ ] 是否对网络流量进行了监控和记录?- [ ] 是否对网络设备进行了实时的安全监控?3. 用户账户和密码安全- [ ] 是否为每个用户账户设置了独立的用户名和密码?- [ ] 是否要求用户定期更改密码?- [ ] 是否限制了用户账户的权限和访问范围?- [ ] 是否启用了多因素身份验证方式?4. 网络通信加密- [ ] 是否启用了SSL/TLS协议进行网站加密?- [ ] 是否对敏感数据进行了端到端的加密传输?- [ ] 是否限制了非加密协议的使用?- [ ] 是否禁止了明文传输的网络服务?5. 网络安全培训和意识普及- [ ] 是否定期进行网络安全培训和意识普及活动?- [ ] 是否告知用户网络安全政策和操作规范?- [ ] 是否提供安全工具和技术支持?- [ ] 是否建立了紧急应对机制和事件响应流程?6. 网络备份和恢复- [ ] 是否建立了定期的网络备份机制?- [ ] 是否进行了网络灾难恢复演练?- [ ] 是否保存了网络备份数据和恢复程序的安全存储副本?7. 第三方供应商和合作伙伴安全- [ ] 是否对第三方供应商和合作伙伴进行了网络安全评估?- [ ] 是否建立了网络安全监察和合规管理制度?- [ ] 是否对第三方供应商和合作伙伴进行了安全合同约束?8. 安全漏洞管理- [ ] 是否定期进行安全漏洞扫描和评估?- [ ] 是否建立了安全漏洞修复和管理流程?- [ ] 是否及时安装了补丁程序和安全更新?9. 网络应用程序安全- [ ] 是否定期进行网络应用程序安全测试?- [ ] 是否设置了合理的网络应用程序防护策略?- [ ] 是否对网络应用程序进行了访问控制和授权管理?10. 网络事件监测和响应- [ ] 是否建立了网络安全事件监测和响应系统?- [ ] 是否对网络安全事件进行了实时监控和检测?- [ ] 是否建立了网络安全事件的响应和处置机制?以上是网络安全检查表的内容,用户可以根据实际情况对每一项进行检查和评估。
网络安全检查表
网络安全检查表一、基础架构与设备1、服务器和网络设备检查服务器和网络设备的操作系统是否及时更新补丁,以修复已知的安全漏洞。
确认设备的默认用户名和密码是否已更改,避免被攻击者轻易猜测。
审查设备的访问控制列表(ACL),确保只有授权的人员能够访问。
2、防火墙检查防火墙规则是否合理,是否只允许必要的流量通过。
验证防火墙是否具备入侵检测和预防功能,并确保其正常运行。
查看防火墙的日志,是否有异常的连接尝试或攻击行为。
3、路由器检查路由器的配置,确保无线访问点(WAP)启用了加密,如WPA2 或更高级的加密方式。
确认路由器的固件是否是最新版本,以修复可能存在的安全漏洞。
二、用户账号与权限管理1、用户账号审查用户账号的创建和删除流程,确保只有经过授权的人员能够进行操作。
检查是否存在长期未使用的账号,及时进行清理或禁用。
强制用户设置复杂的密码,并定期要求更改密码。
2、权限管理确认用户的权限分配是否基于其工作职责的最小必要原则。
审查管理员账号的权限,是否存在过度授权的情况。
定期审查用户的权限,根据工作变动及时调整。
三、数据保护与备份1、数据加密检查敏感数据(如客户信息、财务数据等)是否在存储和传输过程中进行了加密。
确认加密算法的强度是否符合行业标准。
2、数据备份验证是否有定期的数据备份计划,并且备份数据是否存储在安全的位置。
测试数据恢复流程,确保在发生灾难时能够快速恢复数据。
3、数据访问控制审查谁有权访问特定类型的数据,是否有严格的访问记录。
确保数据的访问遵循“需要知道”的原则,防止数据泄露。
四、应用程序安全1、操作系统和应用软件确保操作系统和应用软件(如办公软件、数据库等)是正版,并及时更新到最新版本。
检查应用软件的配置是否安全,例如关闭不必要的服务和端口。
2、 Web 应用程序对 Web 应用程序进行漏洞扫描,查找常见的漏洞,如 SQL 注入、跨站脚本(XSS)等。
确认 Web 应用程序是否有有效的输入验证机制,防止恶意输入。
学校网络与信息安全检查表
学校网络与信息安全检查表学校网络与信息安全检查表一、网络设备与配置1.是否存在网络设备清单?2.是否制定了网络设备管理制度?3.是否有专门的负责网络设备配置的人员?4.是否对网络设备进行了定期维护和更新?二、网络访问控制1.是否对网络进行了适当的访问控制?2.是否制定了网络访问控制策略?3.是否对网络用户进行了身份验证?4.是否限制了对敏感信息的访问权限?5.是否安装了防火墙来保护网络安全?三、网络传输安全1.是否对网络通信进行了加密?2.是否采取了安全传输协议(如SSL、IPSec等)来保护数据传输安全?3.是否禁止了非法的网络传输行为(如P2P、BT等)?4.是否对网络通信进行了监控和审计?四、网站和应用程序安全1.是否存在网站和应用程序清单?2.是否对网站和应用程序进行了安全评估和漏洞扫描?3.是否制定了网站和应用程序安全管理制度?4.是否对网站和应用程序进行了定期更新和维护?五、信息安全教育与培训1.是否向师生进行了信息安全教育和培训?2.是否制定了信息安全管理制度?3.是否定期组织信息安全演练和应急演练?六、物理安全1.是否存在机房和服务器房的进出记录?2.是否采取了物理访问控制措施(如门禁系统、监控系统等)?3.是否对机房和服务器房进行了定期检查和维护?七、安全事件管理1.是否建立了安全事件管理制度?2.是否采取了安全事件监测、报告和处置机制?3.是否对安全事件进行了记录和分析?附件:1.网络设备清单2.网站和应用程序清单3.安全事件记录表法律名词及注释:1.信息安全:指对信息进行保密、完整性和可用性的保护。
2.访问控制:指限制用户或系统对资源的访问权限。
3.防火墙:用于在网络与外界之间建立安全防护的设备。
4.SSL(Secure Socket Layer):一种用于保护网络通信安全的协议。
5.IPSec(Internet Protocol Security):一种用于保护IP 数据传输安全的协议。
网络信息安全检查表【模板】
网络信息安全检查表【模板】一、物理安全1、机房环境机房温度、湿度是否在规定范围内?机房是否具备有效的防火、防水、防尘、防静电措施?机房的通风和照明是否良好?2、设备防护服务器、网络设备等是否放置在安全的机柜中,并采取了防盗措施?关键设备是否有冗余电源供应?3、访问控制机房是否有严格的人员出入管理制度,记录进出人员的身份和时间?机房钥匙是否由专人保管,是否存在多把钥匙分散管理的情况?二、网络架构安全1、网络拓扑网络拓扑结构是否清晰合理,易于维护和管理?关键网络设备是否有备份和冗余机制?2、访问控制是否划分了不同的网络区域,如内网、外网、DMZ 区等,并实施了相应的访问控制策略?网络访问是否基于最小权限原则,用户只能访问其工作所需的资源?3、防火墙和入侵检测防火墙规则是否定期审查和更新,以确保其有效性?入侵检测系统是否正常运行,是否及时处理报警信息?4、网络设备安全网络设备的登录密码是否足够复杂,并定期更改?网络设备的操作系统和软件是否及时更新补丁?三、系统安全1、操作系统服务器和客户端操作系统是否为正版软件?操作系统是否及时更新补丁,关闭不必要的服务和端口?是否设置了合理的用户账号和权限,避免出现超级用户权限滥用的情况?2、数据库数据库是否采取了加密存储措施,保护敏感数据?数据库的备份和恢复策略是否有效,备份数据是否定期测试?3、应用系统应用系统是否经过安全测试,是否存在已知的安全漏洞?应用系统的用户认证和授权机制是否健全?四、数据安全1、数据备份是否制定了定期的数据备份计划,包括全量备份和增量备份?备份数据是否存储在异地,以防止本地灾害导致数据丢失?备份数据的恢复流程是否经过测试,确保在需要时能够快速恢复数据?2、数据加密敏感数据在传输和存储过程中是否进行了加密处理?加密算法是否足够强大,密钥管理是否安全?3、数据销毁当不再需要的数据需要销毁时,是否采用了安全的销毁方法,确保数据无法恢复?五、用户管理1、用户认证用户的登录是否采用了多因素认证,如密码、令牌、指纹等?密码策略是否符合强度要求,如长度、复杂度、定期更改等?2、用户授权用户的权限分配是否基于其工作职责,避免权限过高或过低?对用户权限的变更是否有严格的审批流程和记录?3、用户培训是否定期对用户进行网络信息安全培训,提高其安全意识?培训内容是否包括密码管理、防范网络钓鱼、数据保护等方面?六、应急响应1、应急预案是否制定了详细的网络信息安全应急预案,包括事件分类、响应流程、责任分工等?应急预案是否定期演练和更新,确保其有效性?2、事件监测是否建立了有效的事件监测机制,能够及时发现网络安全事件?对事件的监测是否涵盖了网络流量、系统日志、用户行为等方面?3、事件处理在发生网络安全事件时,是否能够迅速采取措施进行遏制和恢复?是否按照规定的流程进行事件报告和记录?七、安全审计1、日志管理系统、网络设备、应用系统等是否开启了日志功能,并定期备份和保存?日志的存储时间是否符合法规和业务要求?2、审计分析是否定期对日志进行审计分析,发现潜在的安全威胁和异常行为?审计结果是否及时报告给相关人员,并采取相应的措施?3、合规性审计网络信息安全措施是否符合相关的法律法规、行业标准和内部政策要求?是否定期进行合规性审计,发现并整改不符合项?。
网络安全专项检查表
网络安全专项检查表---1. 网络设备- [ ] 检查设备的固件版本是否为最新,并进行升级。
- [ ] 检查设备的默认密码是否已经修改,并定期更改密码。
- [ ] 检查是否存在未使用的网络端口,并关闭未使用的端口。
- [ ] 检查设备的网络配置是否安全,包括网络分段、防火墙配置等。
- [ ] 检查设备是否安装了最新的安全补丁。
- [ ] 检查设备是否开启了必要的安全功能,如反向代理、入侵检测等。
2. 软件应用- [ ] 检查服务器操作系统是否为最新版本,并进行升级。
- [ ] 检查是否安装了杀毒软件,并定期更新病毒库。
- [ ] 检查是否禁用了不必要的服务和功能。
- [ ] 检查是否开启了强密码策略,并定期更换密码。
- [ ] 检查是否启用了网络访问控制列表(ACL)来限制对敏感文件和目录的访问。
- [ ] 检查是否对网站进行了漏洞扫描,并及时修复漏洞。
3. 数据安全- [ ] 检查是否有备份策略,并定期备份数据。
- [ ] 检查备份数据的完整性和可用性。
- [ ] 检查是否对备份数据进行了加密。
- [ ] 检查是否有灾难恢复计划,并进行演练。
- [ ] 检查是否建立了访问控制策略,并对敏感数据进行加密和权限控制。
- [ ] 检查是否对用户数据进行加密,尤其是涉及个人隐私信息的数据。
4. 网络监控- [ ] 检查是否安装了网络监控工具,并能够实时监测网络活动。
- [ ] 检查是否对网络流量进行了分析,以便及时发现异常行为。
- [ ] 检查是否能够追踪和记录所有的网络访问日志。
- [ ] 检查是否能够及时发现和阻止网络攻击,如DDoS攻击、入侵等。
- [ ] 检查是否有应急响应计划,并进行演练。
5. 员工教育- [ ] 检查是否有网络安全培训计划,并定期进行培训。
- [ ] 检查是否建立了安全意识教育制度,提高员工的安全意识。
- [ ] 检查是否有规范的网络使用政策,明确员工在网络上的行为规范。
- [ ] 检查是否定期对员工进行安全意识测试,以评估员工的安全水平。
学校网络与信息安全检查表(2023最新版)
学校网络与信息安全检查表学校网络与信息安全检查表⒈网络基础设施检查⑴网络拓扑图是否详细、准确,并定期更新?⑵网络设备是否按照规定位置安装且固定稳妥?⑶是否有合理的网络设备接地保护措施?⒉网络设备安全检查⑴路由器、交换机等网络设备的管理口是否设置安全口令?⑵管理口是否单独存在于安全网络段内?⑶是否定期对网络设备进行安全漏洞扫描和修复?⑷是否禁止使用默认的管理口令和弱密码?⒊网络访问控制检查⑴是否设立了合理的网络访问控制策略?⑵是否定期审查和更新网络访问控制策略?⑶是否使用防火墙等设备对外网和内网进行隔离保护?⑷是否对网络外部访问进行监控和记录?⑸是否禁止非法的网络访问以及违规的网络活动?⒋信息系统安全检查⑴是否定期对操作系统和应用软件进行安全更新补丁的安装?⑵是否禁止使用盗版软件和非法软件?⑶是否设置了合理的操作系统和应用软件访问权限?⑷是否对信息系统进行定期备份并测试恢复?⒌用户账号与密码安全检查⑴是否采用合理的账号管理制度?⑵是否禁止用户共享账号和密码?⑶是否定期审查和清理不再使用的账号?⑷是否设置了强制密码策略,要求用户定期更换密码?⒍防和防恶意软件检查⑴是否安装并定期更新防护软件?⑵是否设置扫描和自动修复功能?⑶是否定期进行扫描并记录结果?⒎网络安全事件监测与处置检查⑴是否配置了网络安全事件监测系统?⑵是否建立了网络安全事件处置预案?⑶是否定期进行网络安全事件演练?⒏数据备份与恢复检查⑴是否制定了数据备份策略并进行定期备份?⑵是否对备份数据进行加密和存储安全控制?⑶是否定期进行数据备份的恢复测试?附件:⒈网络拓扑图⒉管理口口令要求⒊网络访问控制策略表⒋操作系统和应用软件更新补丁记录⒌账号管理制度说明⒍防护软件更新记录⒎网络安全事件处置预案⒏数据备份与恢复策略法律名词及注释:⒈信息安全法:《中华人民共和国网络安全法》,简称《网络安全法》,是中华人民共和国的一部法律,旨在规范网络安全领域的行为。
网络信息安全检查表(Word)
网络信息安全检查表(Word)网络信息安全检查表一、网络设备安全检查1\路由器安全检查1\1 检查路由器是否使用了默认的管理用户名和密码。
1\2 检查路由器固件是否是最新版本。
1\3 检查路由器是否开启了防火墙功能。
1\4 检查路由器是否开启了远程管理功能。
1\5 检查路由器的无线网络是否加密,并且使用了强密码。
2\防火墙安全检查2\1 检查防火墙是否开启了所有必要的端口。
2\2 检查防火墙是否配置了入站和出站规则。
2\3 检查防火墙是否配置了 IDS/IPS 功能。
2\4 检查防火墙的日志记录是否开启。
2\5 检查防火墙是否定期更新了规则库。
3\交换机安全检查3\1 检查交换机是否开启了端口安全功能。
3\2 检查交换机是否配置了 VLAN。
3\3 检查交换机是否启用了 STP。
3\4 检查交换机是否开启了端口镜像功能。
3\5 检查交换机是否采用了安全的远程管理方式。
二、网络服务安全检查1\Web 服务器安全检查1\1 检查 Web 服务器是否使用了最新版本的软件。
1\2 检查 Web 服务器是否安装了必要的安全补丁。
1\3 检查 Web 服务器的配置文件是否安全。
1\4 检查 Web 服务器的访问日志是否开启。
1\5 检查 Web 服务器是否配置了 SSL/TLS 加密。
2\数据库服务器安全检查2\1 检查数据库服务器是否使用了最新版本的软件。
2\2 检查数据库服务器是否安装了必要的安全补丁。
2\3 检查数据库服务器是否开启了必要的认证和授权机制。
2\4 检查数据库服务器的访问日志是否开启。
2\5 检查数据库服务器是否配置了合理的备份策略。
3\邮件服务器安全检查3\1 检查邮件服务器是否使用了最新版本的软件。
3\2 检查邮件服务器是否安装了必要的安全补丁。
3\3 检查邮件服务器是否配置了合理的反垃圾邮件机制。
3\4 检查邮件服务器是否开启了合理的认证和授权机制。
3\5 检查邮件服务器的访问日志是否开启。
学校网络与信息安全检查表
学校网络与信息安全检查表学校网络与信息安全检查表1.背景说明本检查表旨在对学校网络和信息系统的安全措施进行全面检查,以确保学校的网络和信息系统能够有效地防范各类安全威胁,并保护学校师生的隐私和敏感信息。
2.网络基础设施安全检查2.1 网络设备2.1.1 确认网络设备的合法性及安全性2.1.1.1 网络设备采购记录是否完备,并在采购时是否进行了安全性评估2.1.1.2 确认网络设备的固件是否为最新版本,是否存在已知的安全漏洞2.1.1.3 确认网络设备的管理员账号和密码是否设置为强度足够的组合,并定期更改密码2.1.2 确认网络设备的配置安全性2.1.2.1 确认网络设备的访问控制策略是否规范,是否存在不必要的开放端口2.1.2.2 确认网络设备的防火墙设置是否合理,并能有效阻止非法访问2.1.2.3 确认网络设备的日志记录是否开启,并是否进行了定期的日志审计2.2 网络连接安全检查2.2.1 确认学校内部网络与外部网络之间的连接是否加密2.2.2 确认网络流量监控工具是否部署,是否能够及时检测和阻断网络攻击3.信息系统安全检查3.1 软件安全检查3.1.1 确认操作系统和应用软件是否为最新版本,并且及时进行安全补丁升级3.1.2 确认是否有合法的软件授权证书,并定期进行软件合规性检查3.1.3 确认是否有有效的杀毒软件和防火墙软件,并进行定期的库和软件更新3.2 访问授权与权限管理3.2.1 确认用户访问控制策略是否严格,并且进行了合理的权限分配3.2.2 确认用户账号和密码是否设置为强度足够的组合,并定期更改密码3.2.3 确认是否有定期的账号清理措施,包括离职人员账号的注销等3.3 数据备份与恢复3.3.1 确认是否有合理的数据备份策略,并进行定期的数据备份3.3.2 确认是否能够有效恢复备份数据,并进行定期的恢复测试4.教育和培训4.1 确认是否有针对师生的网络安全教育和培训计划,并进行定期的教育和培训活动4.2 确认是否有定期的网络安全演练,以检验网络安全响应和处置能力附件:________附件1:________网络设备采购记录附件2:________网络设备配置文件备份附件3:________安全补丁升级记录附件4:________用户账号和权限表附件5:________数据备份和恢复记录法律名词及注释:________1.隐私:________个人信息的保护,包括个人身份、健康、通信等各方面的隐私权利。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
√没有采取技术措施控制口令强度
⑤安全防护:(可多选)
√采取病毒木马防护措施
□部署防火墙、入侵检测等设备
□采取反垃圾邮件措施
□其他:
终端计算机
安全防护
①安全管理方式:
□集中统一管理(可多选)
√规范软硬件安装 □统一补丁升级 □统一病毒防护
□统一安排审计 □对移动存储介质接入实施控制
√分散管理
②接入互联网安全控制措施:
1
现场服务管理
现场服务过程中安排专人管理,并记录服务过程。
2
定性
记录完整,P=1;制度不完整,P=0.5;无记录,P=0。
0.5
外包开发管理
外包开发的系统、软件上线前通过信息安全测评。
3
定性
P=外包开发的系统、软件上线前通过信息安全测评的比率。
运维服务方式
原则上不得采用远程在线方式,确需采用时采取书面审批、访问控制、在线监测、日志审计等安全防护措施。
1
定性
P=网络设备和安全设备(指重要设备)中配置了口令策略的比率。
应用系统安全
应用系统安全
漏洞扫描
定期对业务系统、办公系统、网站系统、邮件系统等应用系统进行安全漏洞扫描。
2
定性
符合,P=1;不符合,P=0。
门户网站
防篡改措施
门户网站采取网页防篡改措施。
2
定性
符合,P=1;不符合,P=0。
门户网站抗拒绝
2
定性
符合,P=1;不符合,P=0。
经费保障
经费预算
将信息安全设施运维、日常管理、教育培训、检查评估等费用纳入年度预算。
3
定性
符合,P=1;不符合,P=0。
网站内容
管理
网站信息发布
网站信息发布前采取内容核查、审批等安全管理措施。
2
定性
符合,P=1;不符合,P=0。
电子信息
管理
介质销毁和
信息消除
配备必要的电子信息消除和销毁设备,对变更用途的存集介质进行信息消除,对废弃的存储介质进行销毁。
1
定性
符合,P=1;不符合,P=0。
评估指私服
评价要素
评价标准
权重
(V)
指标
属性
量化方法(P为量化值)
评估得分
(V×P)
信息
安全
技术
防护
(43)
数据安全
数据存储保护
采取技术措施(如加密、分区存储等)对存储的重要数据进行保护。
2
定性
符合,P=1;不符合,P=0。
1
数据存储保护
采取技术措施对传输的重要数据进行加密和校验。
④漏洞扫描:□定期扫描,周期 □不定期√未进行
⑤信息发布管理:□已建立审核制度,且记录完整
□已建立审核制度,但记录不完整√未建立审核制度
⑥运维方式:自行运维√委托第三方运维
电子邮件
安全防护
①建设方式:□自行建设
√使用第三方服务 邮件服务提供商
②账户数量:1个
③注册管理:□须经审批√任意注册
④口令管理:□使用技术措施控制口令强度
3
定性
符合,P=1;有设备,但未定期分析,P=0.5;无设备,P=0。
互联网
接入口数量
各单位同一办公区域内互联网接入口不超过2个。
2
定性
符合,P=1;不符合,P=0。
1
评估指私服
评价要素
评价标准
权重
(V)
指标
属性
量化方法(P为量化值)
评估得分
(V×P)
信息
安全
技术
防护
(43)
设备安全
恶意代码防护
部署防病毒网关或统一安装防病毒软件,并定期更新恶意代码库。
2
定性
记录完整,P=1;记录基本完整,P=0.5;记录不完整或无记录,P=0。
评估指私服
评价要素
评价标准
权重
(V)
指标
属性
量化方法(P为量化值)
评估得分
(V×P)
信息安全日常管理(33)
外包管理
外包服务协议
与信息技术外包服务提供商签订信息安全与保密协议,或在服务合同中明确信息安全与保密责任。
3
定性
符合措施。
2
定性
符合,P=1;不符合,P=0。
电子邮件账号
注册审批
建立邮件账号开通审批程序,防止邮件账号任意注册使用。
2
定性
符合,P=1;不符合,P=0。
电子邮箱账户
口令策略
配置口令策略保证电子邮箱口令强度和更新频率。
2
定性
符合,P=1;不符合,P=0。
邮件清理
定期清理工作邮件。
附件2
网络安全管理工作自评估表
评估指私服
评价要素
评价标准
权重
(V)
指标
属性
量化方法(P为量化值)
评估得分
(V×P)
信息安全
组织管理
(7)
信息安全
主管领导
明确一名主管领导负责本部门信息安全工作(主管领导应为本部门正职或副职领导)
3
定性
已明确,本年度就信息安全工作作出批示或主持召开专题会议,P=1;
已明确,本年度未就信息安全工作作出批示或主持召开专题会议,P=0.5;
规章制度
制度完整性
建立信息安全管理制度体系,包括人员管理、资产管理、采购管理、外包管理、教育培训等。
3
定性
制定完整,P=1;制度不完整,P=0.5;无制度,P=0。
0.5
制度发布
安全管理制度以正式文件等形式发布。
2
定性
符合,P=1;不符合,P=0。
人员管理
重点岗位人员签订安全保密协议
重点岗位人员(系统管理员、网络管理员、信息安全员等)签订信息安全与保密协议。
2
定性
符合,P=1;不符合,P=0。
1
应急演练
开展应急演练,并留存淀练计划、方案、记录、总结等。
2
定性
符合,P=1;不符合,P=0。
应急资源
指定应急技术动摇队伍,配备必要机、备件等应急物资。
1
定性
符合,P=1;不符合,P=0。
事件处置
发生信息安全事件后,及时向主管领导报告,按照预案开展处置工作;重大事件及时通报信息安全主管部门。
2
定性
P=重点岗位人员中签订信息安全与保密协议的比率。
人员离岗离职
管理措施
人员离岗离职时,收回其相关权限,签署安全保密承诺书。
1
定性
符合,P=1;不符合,P=0。
外部人员访问
管理措施
外部人员访问机房等重要区域时采取审批、人员陪同、进出记录等安全管理措施。
2
定性
符合,P=1;不符合,P=0。
1
资产管理
√未建立管理制度
三、网络安全防护情况
网络边界
安全防护
①网络安全防护设备部署(可多选):
√防火墙□入侵检测设备□安全审计设备
□防病毒网关□抗拒绝服务攻击设备
□其它:
②√设备安全策略:□使用默认配置 □根据需要配置
③网络访问日志:□留存日志√未留存日志
无线网络
安全防护
①本单位使用无线路由器的数量:1个
②无线路由器用途:
□有控制措施(如实名接入、绑定计算机IP和MAC地址等)
√无控制措施
③接入办公系统安全措施措施:
√有控制措施(如实名接入、绑定计算机IP和MAC地址等)
□无控制措施
移动存储介质
安全防护
①管理方式:
□集中管理,统一登记、配发、收回、维修、报废、销毁
√未采取集中管理方式
②信息销毁:
□已配备信息消除和销毁设备√未配备信息消防和销毁设备
人员管理
①岗位网络安全责任制度:□已建立√未建立
②重点岗位人员安全保密协议:□全部签订□部分签订√均未签订
③人员离岗离职安全管理规定:□已制定√未制定
④外部人员访问机房等重要区域审批制度:√已建立□未建立
资产管理
①资产管理制度:□已建立√未建立
②设备维修维护和报废管理:
□已建立管理制度,且记录完整
□已建立管理制度,但记录不完整
访问控制
风络边界部署访问控制设备,能够阻断非授权访问。
3
定性
符合,P=1;有设备,但未配置策略,,P=0.5;无设备,P=0。
0.5
入侵检测
风络边界部署入侵检测设备,定期更新检测规则库。
3
定性
符合,P=1;有设备,但未定期更新,P=0.5;无设备,P=0。
安全审计
网络边界部署安全审计设备,对网络访问情况进行定期分析审计并记录审计情况。
责任落实
指定专人负责资产管理,并明确责任人职责。
2
定性
符合,P=1;不符合,P=0。
建立台账
建立完整资产台账,统一编号、统一标识、统一发放。
2
定性
符合,P=1;不符合,P=0。
账物符合度
资产台账与实际设备相一致。
1
定性
符合,P=1;不符合,P=0。
设备维修维护和
报废管理措施
完整记录设备维修维护和报废信息(时间、地点、内容、责任人等)。
2
定性
符合,P=1;不符合,P=0。
附件
网络安全检查表
一、部门基本情况
部门名称
吉安县人民医院
分管网络安全工作的领导
(本部门正/副职领导)
①:黄宝根
②职务:副院长
网络安全管理机构
(如办公室)
①名称:信息科
②负责人:童黎霞职 务:科长
③联系人:童黎霞办公电话:
⑤安全防护:(可多选)
√采取病毒木马防护措施
□部署防火墙、入侵检测等设备
□采取反垃圾邮件措施
□其他:
终端计算机
安全防护
①安全管理方式:
□集中统一管理(可多选)
√规范软硬件安装 □统一补丁升级 □统一病毒防护
□统一安排审计 □对移动存储介质接入实施控制
√分散管理
②接入互联网安全控制措施:
1
现场服务管理
现场服务过程中安排专人管理,并记录服务过程。
2
定性
记录完整,P=1;制度不完整,P=0.5;无记录,P=0。
0.5
外包开发管理
外包开发的系统、软件上线前通过信息安全测评。
3
定性
P=外包开发的系统、软件上线前通过信息安全测评的比率。
运维服务方式
原则上不得采用远程在线方式,确需采用时采取书面审批、访问控制、在线监测、日志审计等安全防护措施。
1
定性
P=网络设备和安全设备(指重要设备)中配置了口令策略的比率。
应用系统安全
应用系统安全
漏洞扫描
定期对业务系统、办公系统、网站系统、邮件系统等应用系统进行安全漏洞扫描。
2
定性
符合,P=1;不符合,P=0。
门户网站
防篡改措施
门户网站采取网页防篡改措施。
2
定性
符合,P=1;不符合,P=0。
门户网站抗拒绝
2
定性
符合,P=1;不符合,P=0。
经费保障
经费预算
将信息安全设施运维、日常管理、教育培训、检查评估等费用纳入年度预算。
3
定性
符合,P=1;不符合,P=0。
网站内容
管理
网站信息发布
网站信息发布前采取内容核查、审批等安全管理措施。
2
定性
符合,P=1;不符合,P=0。
电子信息
管理
介质销毁和
信息消除
配备必要的电子信息消除和销毁设备,对变更用途的存集介质进行信息消除,对废弃的存储介质进行销毁。
1
定性
符合,P=1;不符合,P=0。
评估指私服
评价要素
评价标准
权重
(V)
指标
属性
量化方法(P为量化值)
评估得分
(V×P)
信息
安全
技术
防护
(43)
数据安全
数据存储保护
采取技术措施(如加密、分区存储等)对存储的重要数据进行保护。
2
定性
符合,P=1;不符合,P=0。
1
数据存储保护
采取技术措施对传输的重要数据进行加密和校验。
④漏洞扫描:□定期扫描,周期 □不定期√未进行
⑤信息发布管理:□已建立审核制度,且记录完整
□已建立审核制度,但记录不完整√未建立审核制度
⑥运维方式:自行运维√委托第三方运维
电子邮件
安全防护
①建设方式:□自行建设
√使用第三方服务 邮件服务提供商
②账户数量:1个
③注册管理:□须经审批√任意注册
④口令管理:□使用技术措施控制口令强度
3
定性
符合,P=1;有设备,但未定期分析,P=0.5;无设备,P=0。
互联网
接入口数量
各单位同一办公区域内互联网接入口不超过2个。
2
定性
符合,P=1;不符合,P=0。
1
评估指私服
评价要素
评价标准
权重
(V)
指标
属性
量化方法(P为量化值)
评估得分
(V×P)
信息
安全
技术
防护
(43)
设备安全
恶意代码防护
部署防病毒网关或统一安装防病毒软件,并定期更新恶意代码库。
2
定性
记录完整,P=1;记录基本完整,P=0.5;记录不完整或无记录,P=0。
评估指私服
评价要素
评价标准
权重
(V)
指标
属性
量化方法(P为量化值)
评估得分
(V×P)
信息安全日常管理(33)
外包管理
外包服务协议
与信息技术外包服务提供商签订信息安全与保密协议,或在服务合同中明确信息安全与保密责任。
3
定性
符合措施。
2
定性
符合,P=1;不符合,P=0。
电子邮件账号
注册审批
建立邮件账号开通审批程序,防止邮件账号任意注册使用。
2
定性
符合,P=1;不符合,P=0。
电子邮箱账户
口令策略
配置口令策略保证电子邮箱口令强度和更新频率。
2
定性
符合,P=1;不符合,P=0。
邮件清理
定期清理工作邮件。
附件2
网络安全管理工作自评估表
评估指私服
评价要素
评价标准
权重
(V)
指标
属性
量化方法(P为量化值)
评估得分
(V×P)
信息安全
组织管理
(7)
信息安全
主管领导
明确一名主管领导负责本部门信息安全工作(主管领导应为本部门正职或副职领导)
3
定性
已明确,本年度就信息安全工作作出批示或主持召开专题会议,P=1;
已明确,本年度未就信息安全工作作出批示或主持召开专题会议,P=0.5;
规章制度
制度完整性
建立信息安全管理制度体系,包括人员管理、资产管理、采购管理、外包管理、教育培训等。
3
定性
制定完整,P=1;制度不完整,P=0.5;无制度,P=0。
0.5
制度发布
安全管理制度以正式文件等形式发布。
2
定性
符合,P=1;不符合,P=0。
人员管理
重点岗位人员签订安全保密协议
重点岗位人员(系统管理员、网络管理员、信息安全员等)签订信息安全与保密协议。
2
定性
符合,P=1;不符合,P=0。
1
应急演练
开展应急演练,并留存淀练计划、方案、记录、总结等。
2
定性
符合,P=1;不符合,P=0。
应急资源
指定应急技术动摇队伍,配备必要机、备件等应急物资。
1
定性
符合,P=1;不符合,P=0。
事件处置
发生信息安全事件后,及时向主管领导报告,按照预案开展处置工作;重大事件及时通报信息安全主管部门。
2
定性
P=重点岗位人员中签订信息安全与保密协议的比率。
人员离岗离职
管理措施
人员离岗离职时,收回其相关权限,签署安全保密承诺书。
1
定性
符合,P=1;不符合,P=0。
外部人员访问
管理措施
外部人员访问机房等重要区域时采取审批、人员陪同、进出记录等安全管理措施。
2
定性
符合,P=1;不符合,P=0。
1
资产管理
√未建立管理制度
三、网络安全防护情况
网络边界
安全防护
①网络安全防护设备部署(可多选):
√防火墙□入侵检测设备□安全审计设备
□防病毒网关□抗拒绝服务攻击设备
□其它:
②√设备安全策略:□使用默认配置 □根据需要配置
③网络访问日志:□留存日志√未留存日志
无线网络
安全防护
①本单位使用无线路由器的数量:1个
②无线路由器用途:
□有控制措施(如实名接入、绑定计算机IP和MAC地址等)
√无控制措施
③接入办公系统安全措施措施:
√有控制措施(如实名接入、绑定计算机IP和MAC地址等)
□无控制措施
移动存储介质
安全防护
①管理方式:
□集中管理,统一登记、配发、收回、维修、报废、销毁
√未采取集中管理方式
②信息销毁:
□已配备信息消除和销毁设备√未配备信息消防和销毁设备
人员管理
①岗位网络安全责任制度:□已建立√未建立
②重点岗位人员安全保密协议:□全部签订□部分签订√均未签订
③人员离岗离职安全管理规定:□已制定√未制定
④外部人员访问机房等重要区域审批制度:√已建立□未建立
资产管理
①资产管理制度:□已建立√未建立
②设备维修维护和报废管理:
□已建立管理制度,且记录完整
□已建立管理制度,但记录不完整
访问控制
风络边界部署访问控制设备,能够阻断非授权访问。
3
定性
符合,P=1;有设备,但未配置策略,,P=0.5;无设备,P=0。
0.5
入侵检测
风络边界部署入侵检测设备,定期更新检测规则库。
3
定性
符合,P=1;有设备,但未定期更新,P=0.5;无设备,P=0。
安全审计
网络边界部署安全审计设备,对网络访问情况进行定期分析审计并记录审计情况。
责任落实
指定专人负责资产管理,并明确责任人职责。
2
定性
符合,P=1;不符合,P=0。
建立台账
建立完整资产台账,统一编号、统一标识、统一发放。
2
定性
符合,P=1;不符合,P=0。
账物符合度
资产台账与实际设备相一致。
1
定性
符合,P=1;不符合,P=0。
设备维修维护和
报废管理措施
完整记录设备维修维护和报废信息(时间、地点、内容、责任人等)。
2
定性
符合,P=1;不符合,P=0。
附件
网络安全检查表
一、部门基本情况
部门名称
吉安县人民医院
分管网络安全工作的领导
(本部门正/副职领导)
①:黄宝根
②职务:副院长
网络安全管理机构
(如办公室)
①名称:信息科
②负责人:童黎霞职 务:科长
③联系人:童黎霞办公电话: