信息系統(tǒng)和網(wǎng)站考核檢查

PAGEPAGE10一、基本情況1.單位基本情況單位名稱單位地址責任部門負責人職務或職稱聯(lián)系電話責任部門聯(lián)系人職務或職稱聯(lián)系電話2.信息網(wǎng)絡系統(tǒng)基本情況序號信息系統(tǒng)名稱功用介紹使用人數(shù)部署情況1口內(nèi)網(wǎng)■外網(wǎng)口內(nèi)外網(wǎng)NAT口與其他單位互聯(lián)口其他2口內(nèi)網(wǎng)■外網(wǎng)口內(nèi)外網(wǎng)NAT口與其他單位互聯(lián)口其他3■內(nèi)網(wǎng)口外網(wǎng)口內(nèi)外網(wǎng)NAT口與其他單位互聯(lián)口其他4口內(nèi)網(wǎng)■外網(wǎng)口內(nèi)外網(wǎng)NAT口與其他單位互聯(lián)口其他3.信息網(wǎng)絡系統(tǒng)主要設備、安全設備情況設備數(shù)量具體情況（設備型號、名稱、用途）信息系統(tǒng)服務器網(wǎng)絡設備（路由器等）信息網(wǎng)絡安全設備防病毒軟件防火墻入侵檢測、入侵防御VPN上網(wǎng)行為管理其他設備

二、安全自查內(nèi)容1．安全管理制度1-1機房進出人員管理制度有■無口1-2定期檢查安全保障設備制度有■無口1-3意外事故處理制度有■無口1-4重要存儲介質(zhì)維護、銷毀管理制度有■無口1-5安全事件（案件）報告制度有■無口1-6應急處置預案有■無口1-7信息從業(yè)人員保密協(xié)議/離崗承諾有■無口1-8成立信息化建設和網(wǎng)絡安全領導小組有■無口2．定期檢測升級措施2-1定期對操作系統(tǒng)的漏洞檢測有■無口2-2定期對應用軟件的漏洞檢測有■無口2-3定期對系統(tǒng)和應用軟件升級有■無口2-4定期升級信息網(wǎng)絡安全設備有■無口2-5定期升級殺毒軟件病毒庫有■無口3．日志留存、數(shù)據(jù)備份措施3-1系統(tǒng)運行日志記錄保存60日以上措施有■無口3-2用戶使用記錄保存60日以上措施有■無口3-3定期對系統(tǒng)進行備份或冗余有■無口3-4定期對重要數(shù)據(jù)進行備份有■無口3-5用戶上網(wǎng)日志保存60天以上措施有■無口4．安全審計措施4-1落實信息網(wǎng)絡安全審計措施有■無口4-2能否實現(xiàn)對登錄用戶進行審計有■無口4-3對用戶日志進行審計有■無口4-4對U盤拷貝進行管理有口無■5．有害信息過濾措施和群發(fā)信息限制措施5-1對有害信息及時進行過濾、刪除有■無口5-2限制群發(fā)不健康或有害的信息有口無■5-3限制群發(fā)大量的垃圾郵件有口無■6．已采取的防范網(wǎng)絡攻擊技術措施6-1掃描攻擊防范有■無口6-2DDoS攻擊防范有■無口6-3后門攻擊防范有■無口6-4電子欺騙防范有■無口6-5分布式拒絕服務攻擊防范有■無口6-6WEB攻擊防范有■無口6-7網(wǎng)絡追蹤有■無口7．安全管理責任人、信息管理員的任免和安全責任制度7-1明確安全管理責任人、信息管理員職責有■無口7-2信息管理員任免制度有■無口7-3信息管理員簽訂安全責任書制度有■無口7-4明確其他人員安全責任有■無口7-5重大事故責任追究制度有■無口8．信息系統(tǒng)用戶管理制度8-1信息系統(tǒng)用戶權限管理制度有■無口8-2明確信息系統(tǒng)用戶賬號使用期限有■無口8-3信息系統(tǒng)臨時賬戶管理制度有口無■8-4定期更改安全設備管理員密碼有■無口8-5依申請開通VPN賬戶并定期清理有■無口

三、等級保護自查內(nèi)容1．信息安全管理制度建立和落實情況1-1機房安全管理制度有■無口1-2網(wǎng)絡安全管理制度有■無口1-3系統(tǒng)運行維護管理有■無口1-4系統(tǒng)安全風險管理制度有■無口1-5資產(chǎn)和設備管理制度有■無口1-6數(shù)據(jù)及信息安全管理制度有■無口1-7用戶管理制度有■無口1-8備份與恢復制度有■無口1-9密碼管理等制度有■無口1-10安全責任制（系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員、安全審計員與本單位簽訂信息安全責任書）有■無口1-11安全審計管理制度、崗位和人員管理制度有口無口1-12技術測評管理制度有口無口1-13信息安全產(chǎn)品采購、使用管理制度有口無口1-14安全事件報告和處置管理制度有■無口1-15制定信息系統(tǒng)安全應急處置預案有■無口1-16定期組織開展應急處置演練有■無口1-17教育培訓制度（開展信息安全知識和技能培訓）有口無■2．信息系統(tǒng)安全等級保護定級備案情況2-1未定級備案信息系統(tǒng)（未定級系統(tǒng)數(shù)量：3個）有口無口2-2定第一級信息系統(tǒng)（定一級系統(tǒng)數(shù)量：0個）有口無■2-3信息系統(tǒng)所承載的業(yè)務、服務范圍、安全需求等是否發(fā)生變化有口無■2-4信息系統(tǒng)安全保護等級是否變更（變更系統(tǒng)數(shù)量：0個）有口無口2-5新建信息系統(tǒng)在規(guī)劃、設計階段確定安全保護等級并備案（新建信息系統(tǒng)數(shù)量：個，其中定級個，未定級個）有口無■3.信息安全設施建設情況和信息安全整改情況3-1部署和組織開展信息安全建設整改工作有口無口3-2制定本行業(yè)（部門）信息安全等級保護實施方案有口無口3-3信息安全等級保護實施方案報同級公安機關備案有口無口3-4制定信息安全建設規(guī)劃、信息系統(tǒng)安全整改方案有口無口3-5按照國家標準或行業(yè)標準建設安全設施，落實安全措施有口無口3-6部署和組織開展信息安全建設整改工作有口無口4.信息安全產(chǎn)品選擇和使用情況4-1按照《信息安全等級保護管理辦法》要求的條件選擇使用信息安全產(chǎn)品有■無口4-2要求產(chǎn)品研制、生產(chǎn)單位提供相關材料（包括營業(yè)執(zhí)照，產(chǎn)品的版權或?qū)＠C書，提供的聲明、證明材料，計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證等）有■無口4-3采用國外信息安全產(chǎn)品的，是否經(jīng)主管部門批準，并請有關單位對產(chǎn)品進行專門技術檢測未采用國外信息安全產(chǎn)品

四、網(wǎng)站安全情況自查表（僅互聯(lián)網(wǎng)網(wǎng)站，各網(wǎng)站單獨填寫）1、網(wǎng)站的基本情況網(wǎng)站中文名IP地址網(wǎng)址網(wǎng)站責任單位（科室）網(wǎng)站責任單位類型□政府機關■事業(yè)單位□協(xié)會□其他網(wǎng)站責任單位負責人及職務聯(lián)系電話網(wǎng)站開發(fā)單位網(wǎng)站內(nèi)容維護單位網(wǎng)站運行方式■自營□外包外包單位無網(wǎng)站運行安全責任人及職務聯(lián)系電話網(wǎng)站服務器所在地工信部ICP備案號國際聯(lián)網(wǎng)備案號等級保護定級備案□二級□三級□四級■未定級等級測評□已開展■未開展網(wǎng)站安全責任書■已簽訂□未簽訂網(wǎng)站服務欄目■新聞發(fā)布■政策宣傳□事項辦理□論壇□即時通信□電子郵件□留言版■政務公開□其他

2、網(wǎng)站安全保護情況1網(wǎng)站安全責任部門和安全責任人落實情況是否落實了單位網(wǎng)站安全責任部門？■是□否是否落實了單位網(wǎng)站安全責任人？■是□否2主要領導對網(wǎng)站網(wǎng)絡安全工作的重視情況是否將網(wǎng)站安全工作的執(zhí)行情況納入到年度考核指標？■是□否開展網(wǎng)站安全工作的經(jīng)費是否納入年度預算？■是□否3單位網(wǎng)站網(wǎng)絡安全責任制落實情況是否明確了網(wǎng)站建設單位、運維單位和內(nèi)容更新單位等部門的責任？■是□否是否對發(fā)生的網(wǎng)站安全事件（事故）按照安全責任制進行追責？■是□否4關鍵崗位人員配備情況是否有明確的安全管理員，并簽訂保密協(xié)議？■是□否是否有內(nèi)容管理員，并簽訂保密協(xié)議？■是□否5網(wǎng)站定級備案執(zhí)行情況單位網(wǎng)站是否確定了安全保護等級？□是■否單位網(wǎng)站是否按要求到公安機關進行了備案？□是■否6網(wǎng)站等級測評情況（未定級）是否從《全國信息安全等級保護測評機構推薦目錄》中選擇測評機構開展等級測評？□是■否是否對網(wǎng)站系統(tǒng)定期進行安全測評？□是□否是否對網(wǎng)站系統(tǒng)進行了外部滲透測試？□是□否是否根據(jù)測評和滲透測試結果對網(wǎng)站進行安全加固改造？□是□否7安全事件報告處置是否制定網(wǎng)站安全事件（事故）報告制度？■是□否發(fā)生網(wǎng)站安全事件（事故）是否向?qū)俚毓矙C關報告？■是□否是否有完整網(wǎng)站安全事件處置記錄？■是□否是否按照要求保留網(wǎng)站完整日志？■是□否8開展網(wǎng)站安全監(jiān)測和預警情況本單位是否開展日常網(wǎng)站安全監(jiān)測？■是□否是否有網(wǎng)站安全監(jiān)測記錄？■是□否是否有網(wǎng)站安全預警和處理記錄？■是□否9網(wǎng)站內(nèi)容管理是否制定網(wǎng)站內(nèi)容發(fā)布管理制度？■是□否是否制定網(wǎng)站內(nèi)容發(fā)布流程？■是□否10應急預案的制定、演練和完善情況是否有應急預案，并有相應的預案文檔？■是□否是否有應急保障隊伍并有人員聯(lián)系方式？■是□否是否定期應急演練并有應急演練的文檔記錄？■是□否是否根據(jù)演練結果對應急預案進行完善？■是□否11機房安全管理制度執(zhí)行情況本單位機房進出人員管理是否按照制度執(zhí)行，并有詳細記錄？■是□否本單位機房日常監(jiān)控是否按照制度執(zhí)行，并有監(jiān)控記錄？■是□否12網(wǎng)絡安全檢查情況是否有網(wǎng)站安全自查工作總結報告？□是□否13網(wǎng)站交互式欄目信息巡查情況單位網(wǎng)站是否有交互式欄目？□是■否是否有專人負責網(wǎng)站交互式欄目信息巡查？□是■否14網(wǎng)絡邊界安全防護設備情況是否部署防火墻？■是□否是否對外屏蔽了不必要的服務/端口？■是□否是否部署入侵檢測（防護）設備？■是□否是否部署防病毒網(wǎng)關？■是□否是否部署抗拒絕服務攻擊設備？■是□否是否部署Web應用防火墻？□是□否是否部署設備？□是□否15網(wǎng)頁防篡改措施是否定期對網(wǎng)站文件進行檢測？□是□否是否采取網(wǎng)頁防篡改措施？□是□否16漏洞掃描措施及修復升級情況是否進行過系統(tǒng)層漏洞掃描，并有詳細記錄？□是□否是否進行過應用層漏洞掃描，并有詳細記錄？□是□否發(fā)現(xiàn)的漏洞是否及時修復？□是□否17網(wǎng)站惡意代碼防護是否有網(wǎng)頁掛馬檢測系統(tǒng)？■是□否18網(wǎng)站內(nèi)容安全防護措施內(nèi)容編輯、審核及發(fā)布權限是否分離？■是□否關鍵信息發(fā)布是否多級審核？■是□否網(wǎng)站發(fā)布內(nèi)容是否過濾？□是■否19管理終端安全防護措施是否有控制措施（如地址綁定，網(wǎng)絡接入控制等）？■是□否20網(wǎng)站后臺管理系統(tǒng)防護措施是否對網(wǎng)站后臺管理系統(tǒng)的接口進行隱藏？□是□否網(wǎng)站后臺管理系統(tǒng)登錄是否采取驗證機制？□是□否是否對網(wǎng)站后臺管理系統(tǒng)的登錄失敗嘗試次數(shù)進行限制？□是□否是否對網(wǎng)站后臺管理系統(tǒng)的用戶口令復雜度進行強度限制？□是□否21主要設備可用性網(wǎng)站服務器和數(shù)據(jù)庫服務器是否雙機熱備？□是■否網(wǎng)站服務器和數(shù)據(jù)庫服務器是否采用冷備方式？□是■否22網(wǎng)站前、后臺系統(tǒng)隔離情況是否采用邏輯隔離？■是□否23網(wǎng)站應用遠程管理情況是否不允許遠程管理網(wǎng)站的應用？□是■否應用遠程管理時是否采用加密通道？■是□否24網(wǎng)站內(nèi)容遠程維護情況是否不允許遠程維