企業(yè)信息安全風險評估檢查報告

1、企業(yè)信息安全風險評估檢查報告文稿歸稿存檔編號：KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-信息安全風險評估檢查報告l=J最信息安全風險評估檢查報告一、部門基本情況部門名稱分管信息安全工作的領(lǐng)導（本部門副職領(lǐng)導）姓名：職務：信息安全管理機構(gòu)（如辦公室）名稱：負責人：職務：聯(lián)系人：電話：信息安全專職工作處室 （如信息安全處）名稱：負責人：電話：一、信息系統(tǒng)基本情況信息系統(tǒng)情況信息系統(tǒng)總數(shù)：個面向社會公眾提供服務的信息系統(tǒng)數(shù)：個委托社會第三方進行日常運維管理的信息系統(tǒng)數(shù)：個，其中簽訂運維外包服務合同的信息系統(tǒng)數(shù)：個本年度經(jīng)過安全測評（含風險評估、等級評測）系統(tǒng)數(shù)：

2、個系統(tǒng)定級情況信息系統(tǒng)定級備案數(shù)：個，其中第一級： 個 第二級： 個 第三級：個第四級：個 第五級：個 未定級：個定級變動信息系統(tǒng)數(shù)：個（上次檢查至今）互聯(lián)網(wǎng)接入情況互聯(lián)網(wǎng)接入口總數(shù)：個其中：口聯(lián)通接入口數(shù)量：個接入帶寬：兆電信接入口數(shù)量：個接入帶寬：兆其他接入口數(shù)量：個接入帶寬：兆系統(tǒng)安全測評情況最近2年開展安全測評（包括風險評估、登記測評）系統(tǒng)數(shù) 個三、日常信息安全管理情況安全自查信息系統(tǒng)安全狀況自查制度：已建立 未建立人員管理入職人員信息安全管理制度：已建立 未建立在職人員信息安全和保密協(xié)議：口全部簽訂 部分簽訂 均未簽訂人員離崗離職安全管理規(guī)定：已制定 未制定信息安全管理人員持證上崗：

3、口是否信息安全技術(shù)人員持證上崗：口是否外部人員訪問機房等重要區(qū)域管理制度：已建立 未建立資產(chǎn)管理資產(chǎn)管理制度：已建立 未建立信息安全設(shè)備運維管理：已明確專人負責未明確口定期進行配置檢查、日志審計等未進行設(shè)備維修維護和報廢銷毀管理：已建立管理制度，且維修維護和報廢銷毀記錄完整已建立管理制度，但維修維護和報廢銷毀記錄不完整口尚未建立管理制度四、信息安全防護管理情況網(wǎng)絡邊界防護管理網(wǎng)絡區(qū)域劃分是否合理：口合理不合理網(wǎng)絡訪問控制：有訪問控制措施無訪問控制措施網(wǎng)絡訪問日志：口留存日志 未留存日志安全防護設(shè)備策略：使用默認配置根據(jù)應用自主配置信息系統(tǒng)安全管理服務器安全防護：已關(guān)閉不必要的應用、服務、端口口

4、未關(guān)閉口賬戶口令滿足8位，包含數(shù)字、字母或符號不滿足口定期更新賬戶口令未定期更新定期進行漏洞掃描、病毒木馬檢測未進行網(wǎng)絡設(shè)備防護：口安全策略配置有效無效口賬戶口令滿足8位，包含數(shù)字、字母或符號不滿足口定期更新賬戶口令未定期更新定期進行漏洞掃描、病毒木馬檢測未進行信息安全設(shè)備部署及使用：已部署有防病毒、防火墻、入侵檢測、安全審計等功能的設(shè)備未部署口安全策略配置有效無效門戶網(wǎng)站安全管理網(wǎng)站域名： IP地址：是否申請中文域名：口是 否網(wǎng)站是否備案：口是否門戶網(wǎng)站賬戶安全管理：已清理無關(guān)賬戶 口未清理口無空口令、弱口令和默認口令 有網(wǎng)頁防篡改措施：己部署 未部署網(wǎng)站信息發(fā)布管理：已建立審核制度，且審核

5、記錄完整已建立審核制度，但審核記錄不完整口尚未建立審核制度電子郵箱安全管理郵箱使用：口僅限有權(quán)限工作人員使用除權(quán)限工作人員外，還有其他人員在使用賬戶口令管理：口使用技術(shù)措施控制和管理口令強度口無口令強度限制措施終端計算機安全管理終端計算機安全管理方式：口使用統(tǒng)一平臺對終端計算機進行集中管理 用戶分散管理賬戶口令管理：口無空口令、弱口令和默認口令 有接入互聯(lián)網(wǎng)安全控制措施：口有控制措施（如實名接入、綁定計算機IP和MAC地址等） 口無控制措施漏洞掃描、木馬檢測：口定期進行 未進行在非涉密信息系統(tǒng)和涉密信息系統(tǒng)間混用情況：口不存在 存 在是否在使用非涉密計算機處理涉密信息情況：口不存在存在存儲介質(zhì)

6、安全管理存儲陣列、磁帶庫等大容量存儲介質(zhì)安全防護：口外聯(lián)，但采取了技術(shù)防范措施控制風險口外聯(lián)，無技術(shù)防范措施口無外聯(lián)移動存儲介質(zhì)管理方式：口集中管理，統(tǒng)一登記、配發(fā)、收回、維修、報廢、銷毀未采取集中管理方式電子信息消除或銷毀設(shè)備：已配備未配備五、信息安全應急管理情況信息安全應急預案已制定本年度修訂情況：口修訂 未修訂口未制定信息安全應急演練本年度已開展本年度未開展信息安全災難備份重要數(shù)據(jù)：備份未備份重要信息系統(tǒng)：備份 未備份容災備份服務：口位于境內(nèi) 位于境外 無應急技術(shù)支援隊伍口部門所屬單位外部專業(yè)機構(gòu)無六、信息技術(shù)產(chǎn)品應用情況服務器總臺數(shù)：其中，國產(chǎn)臺數(shù)：使用國產(chǎn)CPU的服務器臺數(shù)：終端計算

7、機（含筆記本）總臺數(shù)：其中，國產(chǎn)臺數(shù)：使用國產(chǎn)CPU的服務器臺數(shù)：網(wǎng)絡交換設(shè)備（路由器、交換機等）總臺數(shù)：其中，國產(chǎn)臺數(shù)：操作系統(tǒng)服務器操作系統(tǒng)情況：安裝Windows操作系統(tǒng)的服務器臺數(shù)： 安裝Linux操作系統(tǒng)的服務器臺數(shù)： 安裝其他操作系統(tǒng)的服務器臺數(shù)：終端計算機操作系統(tǒng)情況：安裝Windows操作系統(tǒng)的服務器臺數(shù)： 安裝Linux操作系統(tǒng)的服務器臺數(shù)： 安裝其他操作系統(tǒng)的服務器臺數(shù)：數(shù)據(jù)庫總套數(shù)：其中，國產(chǎn)套數(shù)：公文處理軟件（終端計算機安裝）安裝國產(chǎn)公文處理軟件的終端計算機臺數(shù)：安裝國外公文處理軟件的終端計算機臺數(shù)：信息安全產(chǎn)品安裝國產(chǎn)防病毒產(chǎn)品的終端計算機臺數(shù)：防火墻（不含終端軟件防

8、火墻）臺數(shù)： 其中，國產(chǎn)防火墻臺數(shù)：密碼產(chǎn)品使用 情況口采用使用國產(chǎn)商用密碼產(chǎn)品臺（套）數(shù)使用國外產(chǎn)商用密碼產(chǎn)品臺（套）數(shù)使用自行研制或委托研制的密碼產(chǎn)品臺（套）數(shù)使用互聯(lián)網(wǎng)下載的密碼產(chǎn)品臺（套）數(shù)使用其他密碼產(chǎn)品臺（套）數(shù)口未采用七、信息安全教育培訓情況培訓人數(shù)本年度接受信息安全教育培訓的人數(shù)：人占部門總?cè)藬?shù)的比例：%培訓次數(shù)本年度開展信息安全教育培訓的次數(shù)：人，培訓部門名稱：專業(yè)培訓本年度信息安全管理和技術(shù)人員參加專業(yè)培訓人次：人次八、信息系統(tǒng)安全建設(shè)整改信息系 統(tǒng)安全 建設(shè)整 改工作 情況（1）是否明確主管領(lǐng)導、責任部門和具體負責人員文件依據(jù)：口是 否（2）是否對信息系統(tǒng)安全建設(shè)整改工作

9、進行總體部署文件依據(jù)：口是 否（3）是否對信息系統(tǒng)進行安全保護現(xiàn)狀分析口是 否（4）是否制定信息系統(tǒng)安全建設(shè)整改方案口是 否（5）是否組織開展信息系統(tǒng)安全建設(shè)整改工作通過何種方式開展：口是 否（6）是否組織開展信息系統(tǒng)安全自查工作口是 否（7）是否對本單位安全建設(shè)整改工作進行總結(jié)上報口是 否已開展安全建設(shè)整改的信息系統(tǒng) 數(shù)量第二級系統(tǒng)第三級系統(tǒng)第四級系統(tǒng)合計已開展等級測評的信息系統(tǒng)數(shù)量第二級系統(tǒng)第三級系統(tǒng)第四級系統(tǒng)合計信息系統(tǒng)發(fā)生安全事件、事故數(shù) 量第二級系統(tǒng)第三級系統(tǒng)第四級系統(tǒng)合計已達到等級保護要求的信息系統(tǒng)數(shù)量第二級系統(tǒng)第三級系統(tǒng)第四級系統(tǒng)合計九、本年度信息安全事件情況病毒木馬等惡意代碼檢

10、測結(jié) 果進行過病毒木馬等惡意代碼檢測的服務器臺數(shù)：其中，感染惡意代碼的服務器臺數(shù)：進行過病毒木馬等惡意代碼檢測的終端計算機臺數(shù)：其中，感染惡意代碼的終端計算機臺數(shù)：漏洞檢測結(jié)果進行過漏洞掃描的服務器臺數(shù)：其中，存在漏洞的服務器臺數(shù)：存在高風險漏洞1的服務器臺數(shù)：進行過漏洞掃描的終端計算機臺數(shù)：其中，存在漏洞的終端計算機臺數(shù)：存在高風險漏洞的終端計算機臺數(shù)：本年度信息安全事件門戶網(wǎng)站受攻擊情況本部門入侵檢測設(shè)備檢測到的門戶網(wǎng)站受攻擊次數(shù)：1本表所稱高風險漏洞，是指計算機硬件、軟件或信息系統(tǒng)中存在的嚴重安全 缺陷，利用這些缺陷可完全控制或部分控制計算機及信息系統(tǒng)，對計算機及信 息系統(tǒng)實施攻擊、破壞、信息竊取等行為。統(tǒng)計網(wǎng)頁被篡改情況門戶網(wǎng)站網(wǎng)頁被篡改（含內(nèi)嵌惡意代碼）次數(shù)：設(shè)備違規(guī)使用情況使用非涉密終端計算機處理涉密信息事件數(shù)：終端計算機在非涉密系統(tǒng)和涉密系統(tǒng)間混用事件數(shù)：移動存儲介質(zhì)在非涉密系統(tǒng)和涉密系統(tǒng)間交叉使用事件數(shù)：十、信息技術(shù)外包服務機構(gòu)情況（包括參與技術(shù)檢測的外部專業(yè)機構(gòu)）外包服務機構(gòu)1機構(gòu)名稱普洱市方土傳媒機構(gòu)性質(zhì)國有 民營 外資服務內(nèi)容2信息安全和保密協(xié)議已簽訂未簽訂信息安全管理體系認證情