網(wǎng)絡(luò)與信息安全檢查實(shí)施計(jì)劃方案

1、網(wǎng)絡(luò)與信息安全檢查實(shí)施方案為做好我市網(wǎng)絡(luò)與信息系統(tǒng)安全檢查工作，特制定本實(shí)施方案。一、工作目標(biāo)針對(duì)當(dāng)前網(wǎng)絡(luò)與信息安全工作面臨的嚴(yán)峻形勢(shì)，檢查工作組通過(guò)對(duì)重點(diǎn)單位信息安全工作的全面檢查，查找網(wǎng)絡(luò)與信息安全管理工作中存在的漏洞，進(jìn)一步落實(shí)各項(xiàng)安全措施，有效控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，提高安全防范能力，確保網(wǎng)絡(luò)與信息系統(tǒng)持續(xù)、安全、穩(wěn)定運(yùn)行。二、組織機(jī)構(gòu)三、檢查范圍1. 涉及國(guó)家秘密的網(wǎng)絡(luò)與信息系統(tǒng)；2. 衛(wèi)生、教育、國(guó)資行業(yè)的重要信息系統(tǒng)；3. 社會(huì)領(lǐng)域事關(guān)國(guó)家安全和社會(huì)穩(wěn)定，對(duì)地區(qū)、部門(mén)、行業(yè) 正常生產(chǎn)生活具有較大影響的重要網(wǎng)絡(luò)與信息系統(tǒng)。四、檢查內(nèi)容（一）人員管理。查驗(yàn)相關(guān)文檔、文件、記錄等，檢查信息安

2、全和保密責(zé)任制建立及落實(shí)情況，人員離崗離職信息安全管理 情況，外部人員訪問(wèn)機(jī)房等重要區(qū)域管理情況，違反制度規(guī)定造 成信息安全事件的責(zé)任查處情況等。（二）運(yùn)維管理。檢查運(yùn)維外包服務(wù)管理情況，查看服務(wù)合同、運(yùn)維管理制度、人員管理情況等。查閱相關(guān)文檔和記錄，檢查信息系統(tǒng)運(yùn)營(yíng)和使用權(quán)限管理、重要變更審批備案、日常運(yùn)維操作管理、安全日志定期備份和分析等情況。（三）等級(jí)保護(hù)、分級(jí)保護(hù)與安全測(cè)評(píng)：1. 等級(jí)保護(hù)和分級(jí)保護(hù)情況。檢查信息安全等級(jí)保護(hù)、分級(jí)保護(hù)有關(guān)文件要求的落實(shí)情況、定級(jí)備案、測(cè)評(píng)報(bào)告等相關(guān)文檔，檢查信息系統(tǒng)定級(jí)、測(cè)評(píng)、整改等情況，檢查是否存在未定級(jí)網(wǎng)絡(luò)與信息系統(tǒng)等。2. 安全測(cè)評(píng)情況。檢查信息

3、安全測(cè)評(píng)有關(guān)文件要求的落實(shí)情況，檢查測(cè)評(píng)報(bào)告及測(cè)評(píng)工作的開(kāi)展情況。（四）應(yīng)急預(yù)案。檢查是否制定了本部門(mén)信息安全應(yīng)急預(yù)案，是否及時(shí)修訂，是否組織開(kāi)展了相應(yīng)的應(yīng)急演練和宣貫培訓(xùn)。（五）信息安全事件應(yīng)急處置。檢查本年度發(fā)生的信息安全事件及處置情況。對(duì)于發(fā)生重大信息安全事件的，應(yīng)檢查是否進(jìn)行了及時(shí)處置，是否按照要求上報(bào)和通報(bào)等。（六）技術(shù)檢測(cè)。由信息安全專(zhuān)業(yè)技術(shù)人員對(duì)迎檢單位的信息系統(tǒng)和計(jì)算機(jī)終端進(jìn)行安全檢查。五、進(jìn)度安排（一）工作部署階段（XXX炸X月X日）。（二）自查階段（XXXX年X月X日-X月X日）。（三）現(xiàn)場(chǎng)檢查階段（XXX炸 X月X日-X月X日）（四）總結(jié)整改階段（XXXX年X月X日-X月

4、X日） 六、工作要求（一）加強(qiáng)組織領(lǐng)導(dǎo)（二）認(rèn)真履行職責(zé)（三）認(rèn)真做好總結(jié)分析（四）應(yīng)急處置到位附件1：網(wǎng)絡(luò)與信息安全檢查工作報(bào)告參考格式2：信息安全檢查情況報(bào)告表附件3：網(wǎng)絡(luò)與信息安全檢查信息報(bào)送表1：網(wǎng)絡(luò)與信息安全檢查工作報(bào)告參考格式、檢查工作報(bào)告名稱(chēng)（單位、部門(mén)）網(wǎng)絡(luò)與信息安全檢查工作報(bào)告二、檢查工作報(bào)告組成檢查工作報(bào)告包括主報(bào)告和檢查情況報(bào)告表兩部分。三、主報(bào)告內(nèi)容要求（一）本單位/ 部門(mén)網(wǎng)絡(luò)與信息安全檢查工作組織開(kāi)展情況概述此次安全檢查工作組織開(kāi)展情況、所檢查的重要網(wǎng)絡(luò)與信息系統(tǒng)基本情況。（二）本單位/ 部門(mén)信息安全工作情況對(duì)照檢查通知要求，逐項(xiàng)、詳細(xì)描述本區(qū)縣/ 部門(mén) / 行業(yè)在安

5、全管理、技術(shù)防護(hù)、應(yīng)急處置與容災(zāi)備份等方面工作的檢查結(jié)果。（三）本單位/ 部門(mén) / 檢查發(fā)現(xiàn)的主要問(wèn)題和面臨的威脅分析1 發(fā)現(xiàn)的主要問(wèn)題和薄弱環(huán)節(jié)2面臨的安全威脅和風(fēng)險(xiǎn)3整體安全狀況的基本判斷（四）改進(jìn)措施及整改效果1 改進(jìn)措施2整改效果（五）關(guān)于加強(qiáng)信息安全工作的意見(jiàn)和建議四、信息安全檢查情況報(bào)告表檢查情況報(bào)告表應(yīng)如實(shí)填寫(xiě)，避免出現(xiàn)漏項(xiàng)、錯(cuò)項(xiàng)、前后不致等情況。附件2:信息安全檢查情況報(bào)告表、信息安全組織機(jī)構(gòu)情況單位名稱(chēng)分管信息安全工作的領(lǐng)導(dǎo)職務(wù)信息安全管理機(jī)構(gòu)機(jī)構(gòu)名稱(chēng)：負(fù)責(zé)人：_職務(wù)：_聯(lián)系電話：信息安全專(zhuān)職工作機(jī)構(gòu) （如信息安全處）口有機(jī)構(gòu)名稱(chēng)：聯(lián)系人：職務(wù)：電話：無(wú)信息安全員口專(zhuān)職數(shù)量：

6、 口兼職數(shù)量： 口持證人員數(shù)量： 口未設(shè)定 注：從2012年起，將逐步實(shí)行信息安全員持證上崗、培訓(xùn)等。、信息系統(tǒng)基本情況信息系統(tǒng)總數(shù)：_個(gè)信息系統(tǒng)基本情況面向社會(huì)公眾提供服務(wù)的信息系統(tǒng)數(shù)：_個(gè)運(yùn)維服務(wù)外包的信息系統(tǒng)數(shù)：_ 個(gè)三、日常信息安全管理情況重要崗位信息安全和保密責(zé)任制度：口 已建立 口未建立: 重要崗位人員安全保密協(xié)議：口 全部簽訂 口部分簽訂 口沒(méi)有簽訂 人員離崗離職信息安全管理規(guī)定：口 已制定 口未制定人員管理情況:外部人員訪問(wèn)重要區(qū)域管理規(guī)定：口 已制定 口未制定 責(zé)任書(shū)、保密協(xié)議、離崗離職記錄、到訪記錄等：口完整口不完整 口沒(méi)有r本年度信息安全事件的責(zé)任查處情況：通報(bào)批評(píng)人，警

7、告人，記過(guò)及以上人。:資產(chǎn)管理制度：口已建立 口未建立資產(chǎn)管理情況計(jì)算機(jī)及相關(guān)設(shè)備維修維護(hù)管理規(guī)定：口已制定 口未制定存儲(chǔ)設(shè)備報(bào)廢銷(xiāo)毀管理規(guī)定：口已制定 口未制定資產(chǎn)臺(tái)賬和計(jì)算機(jī)、存儲(chǔ)等設(shè)備維修、報(bào)廢記錄：口完整口不完整口沒(méi)有運(yùn)維管理制度：口已建立 口未建立汪班呂理舊仇:系統(tǒng)運(yùn)維記錄：口完整口不完整口沒(méi)有公文電子件情況公文電子件審批、發(fā)布、傳輸、存儲(chǔ)制度：口有口無(wú)是否存在非涉密系統(tǒng)、介質(zhì)處理、存儲(chǔ)涉密義件：口有，起口無(wú)電子郵箱使用管理規(guī)定：口有口無(wú)甩子郵和舊況使用境外郵箱收發(fā)工作郵件：口有口無(wú) 工作郵箱開(kāi)啟了自動(dòng)轉(zhuǎn)發(fā)功能或使用外部郵箱代收了工作郵件：口 有 口無(wú)四、等級(jí)保護(hù)與安全測(cè)評(píng)情況信息系

8、統(tǒng)基本情況信息系統(tǒng)總數(shù)：個(gè)面向社會(huì)公眾提供服務(wù)的信息系統(tǒng)數(shù)：_個(gè)運(yùn)維服務(wù)外包的信息系統(tǒng)數(shù)： 個(gè) 本年度經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估（含安全測(cè)評(píng)、等級(jí)測(cè)評(píng)）的系統(tǒng)數(shù)： 個(gè)等級(jí)保護(hù)定級(jí)情況 （個(gè)數(shù)）%L級(jí)第二級(jí)第三級(jí)第四級(jí)第五級(jí)未定級(jí)等級(jí)保護(hù)備案情況 （個(gè)數(shù)）A級(jí)第二級(jí)第三級(jí)第四級(jí)第五級(jí)一一等級(jí)測(cè)評(píng)情況 （次數(shù)）A級(jí)第二級(jí)第三級(jí)第四級(jí)第五級(jí)一安全測(cè)評(píng)情況 重大信息化項(xiàng)目上線前是否進(jìn)行了驗(yàn)收測(cè)評(píng)：是 口否口尢重大項(xiàng)目 對(duì)于發(fā)生重大安全事件的系統(tǒng)是否進(jìn)行了專(zhuān)項(xiàng)測(cè)評(píng)： 是 口否 口沒(méi)發(fā) 生重大安全事件是否根據(jù)安全測(cè)評(píng)報(bào)告進(jìn)行了制定了整改方案并組織實(shí)施：口 是口否五、技術(shù)防護(hù)手段建設(shè)情況互聯(lián)網(wǎng)出口數(shù)量：個(gè)（互聯(lián)網(wǎng)出口是指

9、部門(mén)局域網(wǎng)與互聯(lián)網(wǎng)的接口）互聯(lián)網(wǎng)出口安全防護(hù)設(shè)備部署情況：口防火墻 口入侵檢測(cè)設(shè)備口安全審計(jì)設(shè)備口防病毒網(wǎng)關(guān)口負(fù)載均衡設(shè)備口其他： 網(wǎng)絡(luò)邊界安全防護(hù)互聯(lián)網(wǎng)訪問(wèn)日志：口留存 口未留存安全防護(hù)設(shè)備策略：口 使用默認(rèn)配置口根據(jù)應(yīng)用自主配置終端接入互聯(lián)網(wǎng)時(shí)安全信息提示：口有口無(wú)i=r rur-、,mrj z-i- rnr-t i-" 八、r-rA t . an/一j、，r.ZHg句儀不十枚而測(cè)、互市U仙目1史用九或M卜、峪出命寺世仃#皆夕隹.口有 口無(wú)是否關(guān)閉了不必要的應(yīng)用、服務(wù)、端口： 口是 口否系統(tǒng)補(bǔ)更新方式：口自動(dòng)更新 手動(dòng)更新服務(wù)器安全防護(hù)定期進(jìn)行漏洞掃描：口是口否定期查看系統(tǒng)日志：

10、口是口否存在測(cè)試或不明帳戶(hù)：口是 口否存在弱口令現(xiàn)象：口是口否是否有統(tǒng)一的安全數(shù)據(jù)收集、分析和存儲(chǔ)平臺(tái)或系統(tǒng)：有匚無(wú)運(yùn)維人員情況：口專(zhuān)業(yè)人員 口兼職人員監(jiān)注與印封相況監(jiān)控?cái)?shù)據(jù)分析情況：口 實(shí)時(shí) 定期 口無(wú)有無(wú)流量控制措施確保重要應(yīng)用不覺(jué)干擾：口有口無(wú) 對(duì)于數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)，能否記錄用戶(hù)登陸、注銷(xiāo)等重要操作：口 有無(wú)辦公網(wǎng)絡(luò)、計(jì)算機(jī)終端、移動(dòng)存儲(chǔ)設(shè)備和介質(zhì)情況 辦公網(wǎng)絡(luò)接入認(rèn)證：口后接入認(rèn)證口無(wú)接入認(rèn)證辦公網(wǎng)與其他業(yè)務(wù)網(wǎng)之間訪問(wèn)控制策略：口設(shè)置 口未設(shè)置 對(duì)使用無(wú)線網(wǎng)卡、路由器是否有管理要求：口有 口無(wú) 對(duì)使用無(wú)線網(wǎng)卡、路由器是否有技術(shù)控制措施：口有 口無(wú)計(jì)算機(jī)終端管理方式：口集中統(tǒng)一管理口用戶(hù)

11、自行管理 計(jì)算機(jī)終端軟件安裝管理：口 有管理規(guī)定 口審批流程口無(wú)規(guī)定接入互聯(lián)網(wǎng)安全控制方式：口實(shí)名接入口 IP和MACfe址進(jìn)行綁定口指定固定上網(wǎng)IP地址 口無(wú)控制措施門(mén)戶(hù)網(wǎng)站安全防護(hù) 網(wǎng)站信息發(fā)布審批制度：口 已建立 口未建立部署的安全防護(hù)設(shè)備：口防火墻 口入侵檢測(cè)設(shè)備口安全審計(jì)設(shè)備 口防病毒網(wǎng)關(guān)口 負(fù)載均衡設(shè)備 口網(wǎng)貝防篡改設(shè)備 口 其他： 網(wǎng)站系統(tǒng)自身是否有審計(jì)、日志等安全功能設(shè)計(jì)：口有 口無(wú) 網(wǎng)站系統(tǒng)上線前是否進(jìn)行：口 代碼安全檢測(cè) 口綜合安全評(píng)估 口無(wú) 網(wǎng)站系統(tǒng)管理賬號(hào)是否存在弱口令：口有 口無(wú)網(wǎng)站系統(tǒng)管理登陸是否米用加密方式：口是口否數(shù)字證書(shū)使用情況口采用口向向社會(huì)公眾 服務(wù)的信息

12、 系統(tǒng)口使用自建CA口使用第二方CA服務(wù)商名稱(chēng)：口內(nèi)部信息系統(tǒng)口使用自建CA口使用第二方CA服務(wù)商名稱(chēng)：口木，、用六、應(yīng)急管理工作開(kāi)展情況信息安全應(yīng)急預(yù)案口已制定本年度修訂情況：口 修訂 口口未制定未修訂信息安全應(yīng)急演練口本年度已開(kāi)展_、次口本年度未開(kāi)展部門(mén)所屬單位口外部專(zhuān)業(yè)技術(shù)機(jī)構(gòu)口無(wú)應(yīng)總技術(shù)支援隊(duì)伍重要數(shù)據(jù)備份情況：口備份口未備份信息安全災(zāi)難備份重要信息系統(tǒng)備份情況：口備份口未備份網(wǎng)站備份情況：口備份口未備份使用外包服務(wù)情況：口使用災(zāi)備外包，一個(gè)系統(tǒng)口未使用本年度發(fā)生的信息安全事件起數(shù)：起木年度分上 的信 自行仝事件豐蘿舉型1.小于以盡大口 J 1 口忖、JA上年1 1 -LJA人+ .信

13、息安全事件 應(yīng)急處置情況口硬件故障：_起口網(wǎng)站掛馬：_|B病毒木馬:起 口數(shù)據(jù)損壞：起其 他：起口貝囿篡改：_起 口系統(tǒng)故障：_起件是否進(jìn)行了及時(shí)處置和上報(bào)、通報(bào)：口 是口否信息安全事件 應(yīng)急處置情況信息安全事 件總體情況本年度發(fā)生信息安全事件次數(shù)：=_其中：特別重大事件（I級(jí)）次數(shù)：_重大事件（n級(jí)）次數(shù)：_較大事件（出級(jí)）次數(shù)：_ _一般事件（W級(jí)）次數(shù)：_（信息安全事件分級(jí)依據(jù)北京市網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案）網(wǎng)貝被篡改 事件門(mén)戶(hù)網(wǎng)站網(wǎng)頁(yè)被篡改（含內(nèi)嵌惡意代碼）的次數(shù)：_攻擊事件網(wǎng)絡(luò)攻擊事件次數(shù)：._病毒情況感染病毒的服務(wù)器臺(tái)數(shù)：感染病毒的終端計(jì)算機(jī)臺(tái)數(shù)：_ _木馬情況存在木馬的服務(wù)器臺(tái)

14、數(shù)： 存在木馬的終端計(jì)算機(jī)臺(tái)數(shù)： 漏洞情況存在漏洞的服務(wù)器臺(tái)數(shù)：其中存在高風(fēng)險(xiǎn)漏洞的服務(wù)器臺(tái)數(shù)： 存在漏洞的終端計(jì)算機(jī)臺(tái)數(shù)： 其中存在高風(fēng)險(xiǎn)漏洞的終端計(jì)算機(jī)臺(tái)數(shù)：非法使用設(shè) 備事件使用非涉密信息系統(tǒng)處理涉密信息的事件數(shù)：在涉密和非涉密信息系統(tǒng)之間混用計(jì)算機(jī)的事件數(shù)：在涉密和非涉密信息系統(tǒng)之間混用移動(dòng)存儲(chǔ)設(shè)備的事件數(shù)：七、信息技術(shù)產(chǎn)品和信息安全產(chǎn)品使用情況服務(wù)器總臺(tái)數(shù)：_其中國(guó)產(chǎn)臺(tái)數(shù)：_終端計(jì)算機(jī)（含筆記本）總臺(tái)數(shù)：,其中國(guó)產(chǎn)臺(tái)數(shù)：路由器（含交換機(jī)）總臺(tái)數(shù)：其中國(guó)產(chǎn)臺(tái)數(shù)：存儲(chǔ)設(shè)備總臺(tái)數(shù)：其中國(guó)產(chǎn)臺(tái)數(shù)：服務(wù)器操作系統(tǒng)情況：使用Windows操作系統(tǒng)的服務(wù)器臺(tái)數(shù)：_使用Linux操作系統(tǒng)的服務(wù)器臺(tái)數(shù)

15、：操作系統(tǒng)使用其他操作系統(tǒng)的服務(wù)器臺(tái)數(shù)：終端計(jì)算機(jī)操作系統(tǒng)情況：使用Windows操作系統(tǒng)的計(jì)算機(jī)臺(tái)數(shù)：使用Linux操作系統(tǒng)的計(jì)算機(jī)臺(tái)數(shù)：使用其他操作系統(tǒng)的計(jì)算機(jī)臺(tái)數(shù)：數(shù)據(jù)庫(kù)總數(shù)：其中國(guó)產(chǎn)數(shù)量：字處理軟件使用國(guó)產(chǎn)字處理軟件的終端計(jì)算機(jī)臺(tái)數(shù)：_（終端計(jì)算機(jī)上）使用國(guó)外字處理軟件的終端計(jì)算機(jī)臺(tái)數(shù)： 安裝國(guó)產(chǎn)防病毒軟件的終端計(jì)算機(jī)臺(tái)數(shù)：主要信息安全產(chǎn)品 信息安全產(chǎn)品（不含終端軟件防火墻）臺(tái)數(shù)：其中國(guó)產(chǎn)信息安全產(chǎn)品的臺(tái)數(shù)：八、運(yùn)維和信息安全服務(wù)情況運(yùn)維服務(wù)外包機(jī)構(gòu)無(wú)外包口后外包，運(yùn)維外包機(jī)構(gòu)數(shù)量_運(yùn)維服務(wù)外包機(jī)構(gòu)保密協(xié)議簽署情況：口全部簽訂口部分簽訂口沒(méi)有簽訂管理情況運(yùn)維管理制度建立情況：口 已建立 口未建立信息安全服務(wù)機(jī)構(gòu)口有外資機(jī)構(gòu)參與口無(wú)外資機(jī)構(gòu)參與與信息安全服務(wù)機(jī)構(gòu)簽訂 安全保密協(xié)議情況口全部簽訂口部分簽訂口沒(méi)有簽訂九、信息安全教育培訓(xùn)情況培訓(xùn)人數(shù)本年度接受信息安全教育培訓(xùn)的人數(shù)：_人，占本部門(mén)