关于企业信息安全风险评估检查报告

信息安全风险评估检查报告【最新资料，WORD文档，可编辑修改】信息安全风险评估检查报告一、部门基本情况部门名称分管信息安全工作的领导（本部门副职领导）姓 名： 职 务： 信息安全管理机构（如办公室）名 称： 负责人： 职务： 联系人： 电话： 信息安全专职工作处室（如信息安全处）名 称： 负责人： 电话： 二、信息系统基本情况信息系统情况信息系统总数： 个面向社会公众提供服务的信息系统数： 个委托社会第三方进行日常运维管理的信息系统数： 个，其中签订运维外包服务合同的信息系统数： 个本年度经过安全测评（含风险评估、等级评测）系统数： 个系统定级情况信息系统定级备案数： 个，其中第一级： 个 第二级： 个 第三级： 个第四级： 个 第五级： 个 未定级： 个定级变动信息系统数： 个（上次检查至今）互联网接入情况互联网接入口总数： 个其中： 联通 接入口数量： 个 接入带宽： 兆 电信 接入口数量： 个 接入带宽： 兆 其他 接入口数量： 个 接入带宽： 兆系统安全测评情况最近2年开展安全测评（包括风险评估、登记测评）系统数 个三、日常信息安全管理情况安全自查信息系统安全状况自查制度：已建立 未建立人员管理入职人员信息安全管理制度：已建立 未建立在职人员信息安全和保密协议：全部签订 部分签订 均未签订人员离岗离职安全管理规定: 已制定 未制定信息安全管理人员持证上岗: 是 否信息安全技术人员持证上岗: 是 否外部人员访问机房等重要区域管理制度：已建立 未建立资产管理资产管理制度：已建立 未建立信息安全设备运维管理： 已明确专人负责 未明确 定期进行配置检查、日志审计等 未进行 设备维修维护和报废销毁管理：已建立管理制度，且维修维护和报废销毁记录完整已建立管理制度，但维修维护和报废销毁记录不完整尚未建立管理制度四、信息安全防护管理情况网络边界防护管理网络区域划分是否合理：合理 不合理网络访问控制：有访问控制措施 无访问控制措施网络访问日志：留存日志 未留存日志安全防护设备策略：使用默认配置 根据应用自主配置信息系统安全管理 服务器安全防护： 已关闭不必要的应用、服务、端口 未关闭 账户口令满足8位，包含数字、字母或符号 不满足 定期更新账户口令 未定期更新定期进行漏洞扫描、病毒木马检测 未进行网络设备防护：安全策略配置有效 无效账户口令满足8位，包含数字、字母或符号 不满足定期更新账户口令 未定期更新定期进行漏洞扫描、病毒木马检测 未进行信息安全设备部署及使用： 已部署有防病毒、防火墙、入侵检测、安全审计等功能的设备 未部署 安全策略配置有效 无效门户网站安全管理网站域名： IP地址： 是否申请中文域名： 是 否 网站是否备案： 是 否 门户网站账户安全管理：已清理无关账户 未清理无空口令、弱口令和默认口令 有网页防篡改措施：已部署 未部署网站信息发布管理：已建立审核制度，且审核记录完整已建立审核制度，但审核记录不完整尚未建立审核制度电子邮箱安全管理邮箱使用：仅限有权限工作人员使用除权限工作人员外，还有其他人员在使用账户口令管理：使用技术措施控制和管理口令强度无口令强度限制措施终端计算机安全管理终端计算机安全管理方式：使用统一平台对终端计算机进行集中管理 用户分散管理账户口令管理：无空口令、弱口令和默认口令 有接入互联网安全控制措施：有控制措施（如实名接入、绑定计算机IP和MAC地址等）无控制措施漏洞扫描、木马检测： 定期进行 未进行在非涉密信息系统和涉密信息系统间混用情况： 不存在 存在是否在使用非涉密计算机处理涉密信息情况： 不存在 存在存储介质安全管理存储阵列、磁带库等大容量存储介质安全防护：外联，但采取了技术防范措施控制风险外联，无技术防范措施无外联移动存储介质管理方式：集中管理，统一登记、配发、收回、维修、报废、销毁未采取集中管理方式电子信息消除或销毁设备：已配备 未配备五、信息安全应急管理情况信息安全应急预案已制定 本年度修订情况：修订 未修订未制定信息安全应急演练本年度已开展 本年度未开展信息安全灾难备份重要数据：备份 未备份重要信息系统：备份 未备份容灾备份服务：位于境内 位于境外 无应急技术支援队伍部门所属单位 外部专业机构 无六、信息技术产品应用情况服务器总台数： 其中， 国产台数： 使用国产CPU的服务器台数： 终端计算机（含笔记本）总台数： 其中， 国产台数： 使用国产CPU的服务器台数： 网络交换设备（路由器、交换机等）总台数： 其中， 国产台数： 操作系统服务器操作系统情况：安装Windows操作系统的服务器台数： 安装Linux操作系统的服务器台数： 安装其他操作系统的服务器台数： 终端计算机操作系统情况：安装Windows操作系统的服务器台数： 安装Linux操作系统的服务器台数： 安装其他操作系统的服务器台数： 数据库总套数： 其中，国产套数： 公文处理软件（终端计算机安装）安装国产公文处理软件的终端计算机台数： 安装国外公文处理软件的终端计算机台数： 信息安全产品安装国产防病毒产品的终端计算机台数： 防火墙（不含终端软件防火墙）台数： 其中，国产防火墙台数： 密码产品使用情况采用使用国产商用密码产品台（套）数 使用国外产商用密码产品台（套）数 使用自行研制或委托研制的密码产品台（套）数 使用互联网下载的密码产品台（套）数 使用其他密码产品台（套）数 未采用七、信息安全教育培训情况培训人数本年度接受信息安全教育培训的人数： 人占部门总人数的比例： %培训次数本年度开展信息安全教育培训的次数： 人，培训部门名称： 专业培训本年度信息安全管理和技术人员参加专业培训人次： 人次八、信息系统安全建设整改信息系统安全建设整改工作情况（1）是否明确主管领导、责任部门和具体负责人员 文件依据： 是 否（2）是否对信息系统安全建设整改工作进行总体部署文件依据： 是 否（3）是否对信息系统进行安全保护现状分析是 否（4）是否制定信息系统安全建设整改方案是 否（5）是否组织开展信息系统安全建设整改工作 通过何种方式开展： 是 否（6）是否组织开展信息系统安全自查工作是 否（7）是否对本单位安全建设整改工作进行总结上报是 否已开展安全建设整改的信息系统数量第二级系统第三级系统第四级系统合 计已开展等级测评的信息系统数量第二级系统第三级系统第四级系统合 计信息系统发生安全事件、事故数量第二级系统第三级系统第四级系统合 计已达到等级保护要求的信息系统数量第二级系统第三级系统第四级系统合 计九、本年度信息安全事件情况病毒木马等恶意代码检测结果进行过病毒木马等恶意代码检测的服务器台数： 其中，感染恶意代码的服务器台数： 进行过病毒木马等恶意代码检测的终端计算机台数： 其中，感染恶意代码的终端计算机台数： 漏洞检测结果进行过漏洞扫描的服务器台数： 其中，存在漏洞的服务器台数： 存在高风险漏洞 本表所称高风险漏洞，是指计算机硬件、软件或信息系统中存在的严重安全缺陷，利用这些缺陷可完全控制或部分控制计算机及信息系统，对计算机及信息系统实施攻击、破坏、信息窃取等行为。的服务器台数： 进行过漏洞扫描的终端计算机台数： 其中，存在漏洞的终端计算机台数： 存在高风险漏洞的终端计算机台数： 本年度信息安全事件统计门户网站受攻击情况本部门入侵检测设备检测到的门户网站受攻击次数： 网页被篡改情况门户网站网页被篡改（含内嵌恶意代码）次数： 设备违规使用情况使用非涉密终端计算机处理涉密信息事件数： 终端计算机在非涉密系统和涉密系统间混用事件数： 移动存储介质在非涉密系统和涉密系统间交叉使用事件数： 十、信息技术外包服务机构情况（包括参与技术检测的外部专业机构）外包服务机构1机构名称普洱市方土传媒机构性质国有 民营 外资服务内容 服务内容主要包括：系统集成、系统运维、风险评估、安全检测、安全加固、应急支持、数据存储等。信息安全和保密协议已签订 未签订信息安全管理体系认证情况已通过认证认证机构： 未通过认证外包服务机构机构名称机构性质国有 民营 外资服务内容信息安全和保密协议已签订 未签订信息安全管理体系认证情况已通过认证认证机构： 未通过认证（如有2个以上外包机构，每个机构均应填写，可另附页）填表人： 单位： 电话： 出师表两汉：诸葛亮先帝创业未半而中道崩殂，今天下三分，益州疲弊，此诚危急存亡之秋也。然侍卫之臣不懈于内，忠志之士忘身于外者，盖追先帝之殊遇，欲报之于陛下也。诚宜开张圣听，以光先帝遗德，恢弘志士之气，不宜妄自菲薄，引喻失义，以塞忠谏之路也。宫中府中，俱为一体；陟罚臧否，不宜异同。若有作奸犯科及为忠善者，宜付有司论其刑赏，以昭陛下平明之理；不宜偏私，使内外异法也。侍中、侍郎郭攸之、费祎、董允等，此皆良实，志虑忠纯，是以先帝简拔以遗陛下：愚以为宫中之事，事无大小，悉以咨之，然后施行，必能裨补阙漏，有所广益。将军向宠，性行淑均，晓畅军事，试用于昔日，先帝称之曰“能”，是以众议举宠为督：愚以为营中之事，悉以咨之，必能使行阵和睦，优劣得所。亲贤臣，远小人，此先汉所以兴隆也；亲小人，远贤臣，此后汉所以倾颓也。先帝在时，每与臣论此事，未尝不叹息痛恨于桓、灵也。侍中、尚书、长史、参军，此悉贞良死节之臣，愿陛下亲之、信之，则汉室之隆，可计日而待也。臣本布衣，躬耕于南阳，苟全性命于乱世，不求闻达于诸侯。先帝不以臣卑鄙，猥自枉屈，三顾臣于草庐之中，咨臣以当世之事，由是感激，遂许先帝以驱驰。后值倾覆，受任于败军之际，奉命于危难之间，尔来二十有一年矣。先帝知臣谨慎，故临崩寄臣以大事也。受命以来，夙夜忧