網(wǎng)絡(luò)安全檢查表

網(wǎng)絡(luò)安全檢查表-標(biāo)準(zhǔn)化文件發(fā)布號(hào)：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII

附件網(wǎng)絡(luò)安全檢查表一、部門基本情況部門名稱吉安縣人民醫(yī)院分管網(wǎng)絡(luò)安全工作的領(lǐng)導(dǎo)（本部門正/副職領(lǐng)導(dǎo)）①姓名：黃寶根②職務(wù)：副院長網(wǎng)絡(luò)安全管理機(jī)構(gòu)（如辦公室）①名稱：信息科②負(fù)責(zé)人：童黎霞職務(wù)：科長③聯(lián)系人：童黎霞辦公電話:手機(jī)：網(wǎng)絡(luò)安全專職工作機(jī)構(gòu)（如信息中心）①名稱：②負(fù)責(zé)人： 辦公電話：手機(jī)：二、網(wǎng)絡(luò)安全日常管理情況人員管理①崗位網(wǎng)絡(luò)安全責(zé)任制度：口已建立J未建立②重點(diǎn)崗位人員安全保密協(xié)議：口全部簽訂口部分簽訂J均未簽訂③人員離崗離職安全管理規(guī)定：口已制定J未制定④外部人員訪問機(jī)房等重要區(qū)域?qū)徟贫龋篔已建立口未建立資產(chǎn)管理①資產(chǎn)管理制度：口已建立J未建立②設(shè)備維修維護(hù)和報(bào)廢管理：□已建立管理制度，且記錄完整口已建立管理制度，但記錄不完整J未建立管理制度三、網(wǎng)絡(luò)安全防護(hù)情況網(wǎng)絡(luò)邊界安全防護(hù)①網(wǎng)絡(luò)安全防護(hù)設(shè)備部署（可多選）：J防火墻口入侵檢測(cè)設(shè)備口安全審計(jì)設(shè)備口防病毒網(wǎng)關(guān)口抗拒絕服務(wù)攻擊設(shè)備口其它：②J設(shè)備安全策略：口使用默認(rèn)配置口根據(jù)需要配置③網(wǎng)絡(luò)訪問日志：口留存日志J未留存日志無線網(wǎng)絡(luò)安全防護(hù)①本單位使用無線路由器的數(shù)量：1個(gè)②無線路由器用途：訪問互聯(lián)網(wǎng)：個(gè)訪問業(yè)務(wù)/辦公網(wǎng)絡(luò)：1個(gè)

③安全防護(hù)策略（可多選）：J采取身份鑒別措施口采取地址過濾措施口未設(shè)置安全防護(hù)策略④無線路由器使用默認(rèn)管理地址情況：J存在口不存在⑤無線路由器使用默認(rèn)管理口令情況：J存在口不存在門戶網(wǎng)站安全防護(hù)①門戶網(wǎng)站域名：②門戶網(wǎng)站IP地址：③網(wǎng)頁防篡改措施：口采取J未采?、苈┒磼呙瑁嚎诙ㄆ趻呙瑁芷诳诓欢ㄆ贘未進(jìn)行⑤信息發(fā)布管理：口已建立審核制度，且記錄完整口已建立審核制度，但記錄不完整J未建立審核制度⑥運(yùn)維方式：自行運(yùn)維J委托第三方運(yùn)維電子郵件安全防護(hù)①建設(shè)方式：口自行建設(shè)J使用第三方服務(wù)郵件服務(wù)提供商②賬戶數(shù)量：1個(gè)③注冊(cè)管理：□須經(jīng)審批，任意注冊(cè)④口令管理：口使用技術(shù)措施控制口令強(qiáng)度V沒有采取技術(shù)措施控制口令強(qiáng)度⑤安全防護(hù)：（可多選）J采取病毒木馬防護(hù)措施口部署防火墻、入侵檢測(cè)等設(shè)備口采取反垃圾郵件措施口其他：終端計(jì)算機(jī)安全防護(hù)①安全管理方式：口集中統(tǒng)一管理（可多選）J規(guī)范軟硬件安裝口統(tǒng)一補(bǔ)丁升級(jí)口統(tǒng)一病毒防護(hù)口統(tǒng)一安排審計(jì)口對(duì)移動(dòng)存儲(chǔ)介質(zhì)接入實(shí)施控制J分散管理②接入互聯(lián)網(wǎng)安全控制措施：口有控制措施（如實(shí)名接入、綁定計(jì)算機(jī)IP和MAC地址等）J無控制措施③接入辦公系統(tǒng)安全措施措施：J有控制措施（如實(shí)名接入、綁定計(jì)算機(jī)IP和MAC地址等）口無控制措施

移動(dòng)存儲(chǔ)介質(zhì)安全防護(hù)①管理方式：口集中管理，統(tǒng)一登記、配發(fā)、收回、維修、報(bào)廢、銷毀J未采取集中管理方式②信息銷毀：口已配備信息消除和箱毀設(shè)備J未配備信息消防和銷毀設(shè)備四、網(wǎng)絡(luò)安全教育培訓(xùn)情況培訓(xùn)次數(shù)本年度開展網(wǎng)絡(luò)安全教育培訓(xùn)的次數(shù)：1次培訓(xùn)人數(shù)本年度接受網(wǎng)絡(luò)安全教育培訓(xùn)的人數(shù)：120人占本部門總?cè)藬?shù)的比例：30%五、網(wǎng)絡(luò)安全經(jīng)費(fèi)預(yù)算投入情況經(jīng)費(fèi)預(yù)算本年度網(wǎng)絡(luò)安全經(jīng)費(fèi)預(yù)算額： 萬元經(jīng)費(fèi)投入上一年度網(wǎng)絡(luò)安全經(jīng)費(fèi)實(shí)際投入額： 萬元網(wǎng)頁被篡改情況門戶網(wǎng)站網(wǎng)頁被篡改（含內(nèi)嵌惡意代碼）次數(shù)：六、信息技術(shù)外包服務(wù)機(jī)構(gòu)情況（包括參與技術(shù)檢測(cè)的外部專業(yè)機(jī)構(gòu)）外包服務(wù)機(jī)構(gòu)1機(jī)構(gòu)名稱武漢三佳醫(yī)療信息技術(shù)有限公司機(jī)構(gòu)性質(zhì)□國有單位 J民營企業(yè)口外資企業(yè)服務(wù)內(nèi)容，系統(tǒng)集成口系統(tǒng)運(yùn)維口風(fēng)險(xiǎn)評(píng)估□安全檢測(cè)口安全加固口應(yīng)急支持J數(shù)據(jù)存儲(chǔ)J災(zāi)難備份口其他網(wǎng)絡(luò)安全保密協(xié)議□已簽訂V未簽訂七、對(duì)網(wǎng)絡(luò)安全及安全檢查工作的建議附件2網(wǎng)絡(luò)安全管理工作自評(píng)估表評(píng)估指私服評(píng)價(jià)要素評(píng)價(jià)標(biāo)準(zhǔn)權(quán)重(V)指標(biāo)屬性量化方法(P為量化值)評(píng)估得分(VXP)信息安全組織管理(7)信息安全主管領(lǐng)導(dǎo)明確一名主管領(lǐng)導(dǎo)負(fù)責(zé)本部門信息安全工作(主管領(lǐng)導(dǎo)應(yīng)為本部門正職或副職領(lǐng)導(dǎo))3定性已明確，本年度就信息安全工作作出批示或主持召開專題會(huì)議，p=l;已明確，本年度未就信息安全工作作出批示或主持召開專題會(huì)議，p=;尚未明確,P=0o信息安全管理機(jī)構(gòu)指定一個(gè)機(jī)構(gòu)具體承擔(dān)信息安全管理工作(管理機(jī)構(gòu)應(yīng)為本部門二級(jí)機(jī)構(gòu))。2定性已指定，并以正式文件等形式明確其職責(zé)，p=l:未指定，P=01信息安全員各內(nèi)設(shè)機(jī)構(gòu)指定一名專職或兼職信息安全員。2定性p=指定信息安全員的內(nèi)設(shè)機(jī)構(gòu)數(shù)量與內(nèi)設(shè)機(jī)構(gòu)總數(shù)的比率。1信息安全日常管理(33)規(guī)章制度制度完整性建立信息安全管理制度體系，包括人員管理、資產(chǎn)管理、采購管理、外包管理、教育培訓(xùn)等。3定性制定完整，p=l:制度不完整，P=；無制度,P=0o制度發(fā)布安全管理制度以正式文件等形式發(fā)布。2定性符合，P=l：不符合，P=0o人員管理重點(diǎn)崗位人員簽訂安全保密協(xié)議重點(diǎn)崗位人員(系統(tǒng)管理員、網(wǎng)絡(luò)管理員、信息安全員等)簽訂信息安全與保密協(xié)議。2定性p=重點(diǎn)崗位人員中簽訂信息安全與保密協(xié)議的比率。人員離崗離職管理措施人員離崗離職時(shí)，收回其相關(guān)權(quán)限，簽署安全保密承諾書。1定性符合,P=l：不符合,P=0o外部人員訪問管理措施外部人員訪問機(jī)房等重要區(qū)域時(shí)采取審批、人員陪同、進(jìn)出記錄等安全管理措2定性符合，P=l；不符合,P=0o1

施。資產(chǎn)管理責(zé)任落實(shí)指定專人負(fù)責(zé)資產(chǎn)管理，并明確責(zé)任人職責(zé)。2定性符合，P=l：不符合，P=0o建立臺(tái)賬建立完整資產(chǎn)臺(tái)賬，統(tǒng)一編號(hào)、統(tǒng)一標(biāo)識(shí)、統(tǒng)一發(fā)放。2定性符合，P=l：不符合，P=0o賬物符合度資產(chǎn)臺(tái)賬與實(shí)際設(shè)備相一致。1定性符合，P=l：不符合，P=0o設(shè)備維修維護(hù)和報(bào)廢管理措施完整記錄設(shè)備維修維護(hù)和報(bào)廢信息(時(shí)間、地點(diǎn)、內(nèi)容、責(zé)任人等)。2定性記錄完整，p=l;記錄基本完整，p=;記錄不完整或無記錄，P=0o評(píng)估指私服評(píng)價(jià)要素評(píng)價(jià)標(biāo)準(zhǔn)權(quán)重(V)指標(biāo)屬性量化方法(P為量化值)評(píng)估得分(VXP)信息安全日常管理(33)外包管理外包服務(wù)協(xié)議與信息技術(shù)外包服務(wù)提供商簽訂信息安全與保密協(xié)議，或在服務(wù)合同中明確信息安全與保密責(zé)任。3定性符合，P=l；不符合,P=0o1現(xiàn)場服務(wù)管理現(xiàn)場服務(wù)過程中安排專人管理，并記錄服務(wù)過程。2定性記錄完整，p=l;制度不完整，P=；無記錄，P=0o外包開發(fā)管理外包開發(fā)的系統(tǒng)、軟件上線前通過信息安全測(cè)評(píng)。3定性p=外包開發(fā)的系統(tǒng)、軟件上線前通過信息安全測(cè)評(píng)的比率。運(yùn)維服務(wù)方式原則上不得采用遠(yuǎn)程在線方式，確需采用時(shí)采取書面審批、訪問控制、在線監(jiān)測(cè)、日志審計(jì)等安全防護(hù)措施。2定性符合，P=l；不符合,P=0o經(jīng)費(fèi)保障經(jīng)費(fèi)預(yù)算將信息安全設(shè)施運(yùn)維、日常管理、教育培訓(xùn)、檢查評(píng)估等費(fèi)用納入年度預(yù)算。3定性符合，P=l；不符合,P=0o網(wǎng)站內(nèi)容管理網(wǎng)站信息發(fā)布網(wǎng)站信息發(fā)布前采取內(nèi)容核查、審批等安全管理措施。2定性符合，P=l；不符合,P=0o電子信息管理介質(zhì)銷毀和信息消除配備必要的電子信息消除和箱毀設(shè)備，對(duì)變更用途的存集介質(zhì)進(jìn)行信息消除，對(duì)廢1定性符合，P=l；不符合,P=0o

棄的存儲(chǔ)介質(zhì)進(jìn)行銷毀。息全術(shù)護(hù)3)信安技防(4物理環(huán)境安全機(jī)房安全具備防盜竊、防破壞、防雷擊、防火、防水、防潮、防靜電及備用電力供應(yīng)、溫濕度控制、電磁防護(hù)等安全措施。2定性符合，P=l；不符合,P=0o1物理訪問控制機(jī)房配備門禁系統(tǒng)或有專人值守。1定性符合，P=l；不符合,P=0o1網(wǎng)絡(luò)邊界安全訪問控制風(fēng)絡(luò)邊界部署訪問控制設(shè)備，能夠阻斷非授權(quán)訪問。3定性符合，p=l;有設(shè)備，但未配置策略，，P=；無設(shè)備，P=0o入侵檢測(cè)風(fēng)絡(luò)邊界部署入侵檢測(cè)設(shè)備，定期更新檢測(cè)規(guī)則庫。3定性符合，p=l;有設(shè)備，但未定期更新，P=；無設(shè)備，P=0o安全審計(jì)網(wǎng)絡(luò)邊界部署安全審計(jì)設(shè)備，對(duì)網(wǎng)絡(luò)訪問情況進(jìn)行定期分析審計(jì)并記錄審計(jì)情況。3定性符合，p=l;有設(shè)備，但未定期分析，P=；無設(shè)備，P=0o互聯(lián)網(wǎng)接入口數(shù)量各單位同一辦公區(qū)域內(nèi)互聯(lián)網(wǎng)接入口不超過2個(gè)。2定性符合，P=l；不符合,P=0o1評(píng)估指私服評(píng)價(jià)要素評(píng)價(jià)標(biāo)準(zhǔn)權(quán)重(V)標(biāo)性指屬量化方法(P為量化值)評(píng)估得分(VXP)息全術(shù)護(hù)3)信安技防(4設(shè)備安全惡意代碼防護(hù)部署防病毒網(wǎng)關(guān)或統(tǒng)一安裝防病毒軟件，并定期更新惡意代碼庫。2定性符合，P=l：不符合，P=0o服務(wù)器口令策略配置口令策略保證服務(wù)器口令強(qiáng)度和更新頻率。2定性p=配置了口令策略的服務(wù)器比率。服務(wù)器安全審計(jì)啟用安全審計(jì)功能并進(jìn)行定期分析。1定性p=對(duì)安全審計(jì)日志進(jìn)行定期分析的服務(wù)器比率。服務(wù)器補(bǔ)［更新及時(shí)對(duì)服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)補(bǔ)西進(jìn)行更新。1定性p=補(bǔ)丁得到及時(shí)更新務(wù)器比率。1網(wǎng)絡(luò)設(shè)備和安全設(shè)備口令策略配置口令策略保證網(wǎng)絡(luò)和安全設(shè)備口令強(qiáng)度和更新頻率。2定性p=對(duì)安全審計(jì)日志進(jìn)行定期分析的服務(wù)器比率。終端計(jì)算機(jī)采取集中統(tǒng)一管理方式對(duì)終端進(jìn)行防護(hù)，2定性p=補(bǔ)丁得到及時(shí)更新的服務(wù)器1

統(tǒng)一防護(hù)統(tǒng)一軟件下發(fā)、安裝系統(tǒng)補(bǔ)丁。比率。終端計(jì)算機(jī)接入控制采取技術(shù)措施（如部署集中管理系統(tǒng)，將IP地址與MCA地址綁定等）對(duì)接入本單位的終端計(jì)算機(jī)進(jìn)行控制。1定性p=網(wǎng)絡(luò)設(shè)備和安全設(shè)備（指重要設(shè)備）中配置了口令策略的比率。應(yīng)用系統(tǒng)安全應(yīng)用系統(tǒng)安全漏洞掃描定期對(duì)業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)、網(wǎng)站系統(tǒng)、郵件系統(tǒng)等應(yīng)用系統(tǒng)進(jìn)行安全漏洞掃描。2定性符合，P=l：不符合，P=0o門戶網(wǎng)站防篡改措施門戶網(wǎng)站采取網(wǎng)頁防篡改措施。2定性符合,P=l：不符合,P=0o門戶網(wǎng)站抗拒絕服務(wù)攻擊措施門戶網(wǎng)站采取抗拒服務(wù)攻擊措施。2定性符合，P=l：不符合，P=0o電子郵件賬號(hào)注冊(cè)審批建立郵件賬號(hào)開通審批程序，防止郵件賬號(hào)任意注冊(cè)使用。2定性符合，P=l：不符合，P=0o電子郵箱賬戶口令策略配置口令策略保證電子郵箱口令強(qiáng)度和更新頻率。2定性符合,P=l：不符合,P=0o郵件清理定期清理工作郵件。1定性符合，P=l：不符合，P=0o評(píng)估指私服評(píng)價(jià)要素評(píng)價(jià)標(biāo)準(zhǔn)權(quán)重（V）指標(biāo)屬性量化方法（P為量化值）評(píng)估得分（VXP）息全術(shù)護(hù)3)信安技防(4數(shù)據(jù)安全數(shù)據(jù)存儲(chǔ)保護(hù)采取技術(shù)措施（如加密、分區(qū)存儲(chǔ)等）對(duì)存儲(chǔ)的重要數(shù)據(jù)進(jìn)行保護(hù)。2定性符合，P=l；不符合，P=0o1數(shù)據(jù)存儲(chǔ)保護(hù)采取技術(shù)措施對(duì)傳輸?shù)闹匾獢?shù)據(jù)進(jìn)行加密和校驗(yàn)。2定性符合，P=l；不符合,P=0o數(shù)據(jù)和系統(tǒng)備份采取技術(shù)措施對(duì)重要數(shù)據(jù)和系統(tǒng)進(jìn)行定期備份。2定性符合，P=l：不符合，P=0o1數(shù)據(jù)中心、災(zāi)備中心設(shè)立數(shù)據(jù)中心、災(zāi)備中心應(yīng)設(shè)立在境內(nèi)。1定性符合，P=l：不符合，P=0o

網(wǎng)絡(luò)安全應(yīng)急管理(7)應(yīng)急預(yù)案制定信息安全事件應(yīng)急預(yù)案(為部門級(jí)預(yù)案，非單個(gè)信息系統(tǒng)的安全應(yīng)急預(yù)案)，并使相關(guān)人員熟悉應(yīng)急預(yù)案02定性符合，P=l；不符合，P=0o1應(yīng)急演練開展應(yīng)急演練，并留存淀練計(jì)劃、方案、記錄、總結(jié)等。2定性符合，P=l；不符合,P=0o應(yīng)急資源指定應(yīng)急技術(shù)動(dòng)搖隊(duì)伍，配備必要機(jī)、備件等應(yīng)急物資。1定性符合，P=l；不符合，P=0o事件處置發(fā)生信息安全事件后，及時(shí)向主管領(lǐng)導(dǎo)報(bào)告，按照預(yù)案開展處置工作；重大事件及時(shí)通報(bào)信息安全主管部門。2定性發(fā)生過事件并按要求處置，或者未發(fā)生過安全事件，p=l;發(fā)生過事件但未按要求處置，P=0o1網(wǎng)絡(luò)安全教育培訓(xùn)(4)意識(shí)教育開展信息安全形勢(shì)與警示教育、基本技能培訓(xùn)等活動(dòng)。2定量本