网络与信息安全检查表 单位名称:嘉兴市妇幼保健院 一、信息安全组织机构基本情况 信息安全责任部门 分管信息安全工作的领导 (如单位正/副职领导) 信息安全管理机构 (如信息中心) 信息安全专职工作处室 (如信息科) 信息安全责任部门职责 二、重要信息系统基本情况 重要信息系统总数:____ (请另附系统简介清单) 系统定级情况 第一级:____个 第二级:____个 第三级:____个 第四级:____个 第五级:____个 未定级:____个 完成等级保护测评系统的名称及对应等级: ① _______________________________; 等级保护测评 ② _______________________________; ③ _______________________________; ④ _______________________________; 服务对象统计 ① 面向社会公众提供服务的系统数量及等级:________; ② 非面向社会公众提供服务的系统数量及等级:________; ① 通过互联网可直接访问的系统数量及等级:________; 联网情况统计 ② 通过互联网不能直接访问的系统数量及等级:________; 其中,与互联网物理隔离的系统数量及等级:________; ① 省级数据集中的系统数量及数据类型:________; 数据集中性统计 ② 市级数据集中的系统数量及数据类型:________; ③ 县级数据集中的系统数量及数据类型:________; ④ 未进行数据集中的系统数量:________; ① 可容忍RTO值小于1小时的系统数量:________; 业务连续性统计 ② 可容忍RTO值大于1小时,小于6小时的系统数量:________; ③ 可容忍RTO值大于12小时的系统数量:________; 信息科 ① 姓名:王立中;职务:副院长; ② 姓名:_______________;职务:_______________; ① 名称:信息科; ② 负责人:沈碧飞;职务:科长; ③ 联系人:龚林峰;电话:0573-82098123; ① 名称:___________________; ② 联系人:_____________;电话:________________; (可附件另附) ① 定期对系统级进行灾备的系统数量:________; 系统灾备统计 ② 仅对数据库定期进行灾备的系统数量:________; ③ 无灾备措施的系统数量:________; ① 自主设计开发(不含二次开发)的套数:________; 业务应用软件系统 (统计3年内数据) ② 外包国内服务商开发的套数:________; 外包国外服务商开发的套数:________; ③ 直接采购国内服务商产品的套数:________; 直接采购国外服务商产品的套数:________; 三、日常信息安全运维管理情况 ①重点岗位人员安全保密协议:全部签订 部分签订 均未签订; 人员安全管理 ②人员离岗离职安全管理规定:已制定 未制定; ③外部人员机房访问管理制度及权限审批制度:已建立 未建立; ① 资产管理制度:已建立 未建立; ② 机房设备标签:全部标签合格 部分标签合格 无标签; 设备资产管理 ③ 设备维修维护和报废管理: 已建立管理制度,且维修维护和报废记录完整; 已建立管理制度,但维修维护和报废记录不完整; 未建立管理制度; ① 机房管理制度:已建立 未建立; 机房安全管理 ② 机房日常运维记录:完整详实 部分简略 无记录; ③ 人员进出机房记录:完整详实 部分简略 无记录; ④ 机房物理环境:达标 未达标; ① 年度采购方案及预算:已建立 未建立; 采购预算保障 ② 采购合同:完整 部分完整; ③ 安全设备采购比例:>80% >60% 〈50%; ① 外包服务商资质证书:齐全 部分齐全; 外包服务管理 ② 外包服务合同:完整 部分完整; ③ 外包服务保密条款:明确 未明确; ① 安全审计部署:已部署 未部署; 安全审计管理 专员审计 常规审计 无审计; ② 运维操作审计:已部署 未部署; 专员审计 常规审计 无审计; 四、信息安全网络防护情况 网络边界安全防护 ① 互联网接入口总数:_____个;其中: 电信接入口数量:_____个 ; 移动接入口数量:_____个; 联通接入口数量:_____个; 其他: ____________ 接入口数量:_____个; ② 网络安全防护设备部署(可多选): 防火墙 防篡改 入侵检测设备 安全审计设备 防病毒网关 抗拒绝服务攻击设备 其它:________________________; ③ 网络访问日志:留存日志 周期_____ 未留存日志 ④ 安全防护设备策略:使用默认配置 根据应用自主配置 办公区域无线局域网接入设备(无线路由器)数量:个; ① 网络用途: 无线局域网安全防护 访问互联网:_____个; 访问业务/办公网络:_____个; ② 安全防护策略(可多选):采取身份鉴别措施:_____个; 采取地址过滤措施:_____个; 未设置:_____个; ① 入侵检测系统:已部署 未部署; 信息系统安全防护 ② 防火墙技术:已部署 未部署; ③ 漏洞扫描技术:已部署 未部署; ④ 访问权限设置:有 无; ① 数据库管理制度:完整并落实 未落实 无; 数据库安全防护 ② Root账户权限设置:分级设置 未分级设置; ③ 数据备份周期:实时,定期:周期_____, 不定期; ① 网页防篡改措施:采用、未采用; ② 漏洞扫描:定期扫描,周期_____ 不定期、未进行; ③ 信息发布管理: 已建立审核制度,且审核记录完整; 已建立审核制度,但审核记录不完整; 未建立审核制度; 网站安全防护 ④ 管理员口令复杂度策略: 高(包含数字、大小写字母、特殊符号,8位以上 ); 中 (数字、字母,6位以上); 低 (单一数字、字母,6位以下); 是否设置有效时间:是 周期:_____ 否; ① 邮箱注册:注册邮箱账号须经审批 任意注册使用; ② 账户口令防护: 使用技术措施控制和管理口令强度; 无口令强度限制技术措施; ③ 定期删除邮件:定期 周期_____ 未定期; ① 安全管理方式: 集中统一管理(可多选) 规范软硬件安装 统一补丁升级 统一病毒防护 统一安全审计 对移动存储介质接入实施控制 分散管理 邮箱安全防护 ② 接入互联网安全控制措施: 终端计算机安全防护 有控制措施(如实名接入、绑定计算机IP和MAC地址等); 无控制措施; ③ 访问口令复杂度策略: 高(包含数字、大小写字母、特殊符号,8位以上 ); 中 (数字、字母,6位以上) ; 低 (单一数字、字母,6位以下); 是否设置有效时间:是 周期____ 否; ① 安全管理方式: 集中管理,统一登记、杀毒、配发、收回、维修、报废、销毁; 移动介质安全防护 未采取集中管理方式 ② 电子信息保护: 已配备信息消除和销毁设备 未配备信息消除和销毁设备 五、信息安全应急工作情况 信息安全应急预案 信息安全应急演练 预案全面性及可行性:全面到位 未到位 年度修订评估情况:修订评估 未修订评估 未制定 年度演练次数及时间:,年度未开展 信息安全灾难备份 ① 重要信息系统: 已备份,备份周期____,不定期,异地备份,本地备份; 未备份; ② 重要业务数据: 已备份,备份周期____,不定期,异地备份,本地备份; 未备份; 有应急技术团队 应急技术支援队伍 单位所属责任部门:____________; 外部专业机构名称:____________; 是否取得资质:是(附件证明), 否; 无 六、信息安全培训及宣传教育情况 年度开展信息安全培训教育的次数:_____次, 时间1:___________,培训主题:______________________; 时间2:___________,培训主题:______________________; 时间3:___________,培训主题:______________________; 年度接受信息安全培训教育的人数:_____人; 占本部门总人数的比例:_____%; 年度信息安全管理和技术人员专业培训:______人次; 年度面向单位及社会群体的信息安全宣传教育次数:_____次; 七、信息系统技术产品应用情况 单位网络架构拓扑图及安全设备产品配置: 附件说明 硬 件 软 件 配 置 国产1量 (台/套) 非国产量 (台/套) 路由器 防火墙 交换机 堡垒机 服务器 漏洞扫描 数据库 防病毒系统 操作系统 入侵检测系统 磁盘阵列 数据备份系统 信息安全培训次数 信息安全培训人数 信息安全专业培训 信息安全宣传教育 国产量 (台/套) 非国产量 (台/套) 终端计算机 (含笔记本) 总台数:__________,其中国产台数:___________; 安装国产公文处理软件的终端计算机台数:_________________; 安装国外公文处理软件的终端计算机台数:_________________; ① 防火墙等访问控制设备(不含终端软件防火墙)台数:_____; 其中,国产台数:_________________; ② 安装国产防病毒产品的设备台数:_________________; 八、信息安全经费预算投入情况 公文处理软件 (终端计算机安装) 信息安全设备产品 信息安全预算 年度信息安全建设经费预算:___万元;占信息化总额比:____ %; 1本表所称国产,是指具有国内品牌,最终产品在中国境内生产,并符合法律法规和政策规定的其他条件。
信息安全投入 预算投入明细 年度信息安全经费实际投入:___万元;占信息化实际投入额比:____%; 信息安全经费预算及投入明细:______________;(附件说明) 九、年度信息安全事件及技术检测情况 信 息 安 全 事 件 情 况 门户网站 受攻击情况 网页被 篡改情况 重要系统 中断情况 安全防护设备检测到的门户网站受攻击次数:__________; 门户网站网页被篡改(含内嵌恶意代码)次数:___________; ① 重要系统异常中断时间:_________小时; ② 重要系统异常中断造成的数据丢失量:_______MB GB TB; ③ 重要系统异常中断造成的影响范围: 社会公众 本部门 部分下属单位 其他 渗透测试 本部门进行过渗透测试的信息系统数量:__________; 其中,可以成功控制的信息系统数量:__________; ①进行过病毒木马等恶意代码检测的服务器台数:___________; 技 术 检 测 情 况 恶意代码2检测结果 其中,存在恶意代码的服务器台数:___________; ②进行过病毒木马等恶意代码检测的终端计算机台数_________; 其中,存在恶意代码的终端计算机台数:___________; ①进行过漏洞扫描的服务器台数:___________; 其中,存在漏洞的服务器台数:___________; 安全漏洞 检测结果 存在高风险漏洞3的服务器台数:___________; ②进行过漏洞扫描的终端计算机台数:___________; 其中,存在漏洞的终端计算机台数:___________; 存在高风险漏洞的终端计算机台数:___________; 特别重大信息安全事件次数:___________,事件原因:___________; 信息安全重大信息安全事件次数:___________,事件原因:___________; 较大信息安全事件次数:___________,事件原因:___________; 事件4情况 一般信息安全事件次数:___________,事件原因:___________; (安全事件报告附件说明) 十、信息技术外包服务机构情况(包括参与技术检测的外部专业机构) 外包服务机构1 机构名称 2本表所称恶意代码,是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系
统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。
3本表所称高风险漏洞,是指计算机硬件、软件或信息系统中存在的严重安全缺陷,利用这些缺陷可完全控制或部分控制计算机及信息系统,对计算机及信息系统实施攻击、破坏、信息窃取等行为。 4信息安全事件分级标准参见《国家网络与信息安全事件应急预案》(国办函〔2008〕168号)
机构性质 服务内容5 国有单位 民营企业 外资企业 信息安全与保密协议 已签订 未签订 信息安全管理体系认已通过认证认证机构:______________________ 证情况 机构名称 机构性质 外包服务机构2 服务内容 未通过认证 国有单位 民营企业 外资企业 信息安全与保密协议 已签订 未签订 信息安全管理体系认已通过认证认证机构:______________________ 证情况 未通过认证 (如有3个以上外包机构,每个机构均应填写,可另附页)
5本表所称服务内容,主要包括系统集成、系统运维、风险评估、安全检测、安全加固、应急支持、数据
存储、灾难备份等。
