2016年度公安机关网络安全执法检查自查表

附表：2016年度网络安全执法检查自我调查表表1 :由行业主管部门填写一、行业主管部门的基本情况行业主管部门名称单位地址网络安全部门的领导者姓名职务/职务网络安全责任部门负责部门的负责人姓名职务/职务办公电话手机负责部门负责人姓名职务/职务办公电话手机传真机电子邮件地址整个行业的信息系统总数四级系统数第3级系统数量二级系统数未定系统数工业控制系统总数站点总数整个行业的信息系统等级评价总数四级系统数第3级系统数量二级系统数未评估系统数整个行业的信息系统安全建设整改总数四级系统数第3级系统数量二级系统数系统数量没有改变本级单位信息系统总数四级系统数第3级系统数量二级系统数系统数量没有改变二、行业主管部门网络安全工作情况一、行业信息安全网安全工作的组织指导情况(重点是以行业网络安全指导机构或信息安全等级保护工作指导机构的设立情况在内的行业网络安全和信息安全等级保护工作责任部门和具体职能状况以行业整体信息安全等级保护工作部署情况等。 中所述情节，对概念设计中的量体体积进行分析2 .业界重视保护信息安全水平的情况(重点是行业主管部门组织地方部门或所属企业的企业网络安全检查情况，包括行业信息安全等级保护工作年度审查情况在内的行业网络安全工作经费包括在年度预算中吗？ 行业网络安全工作经费占行业信息化建设经费的百分比等情况。 中所述情节，对概念设计中的量体体积进行分析3、行业网络安全责任追究制度的执行情况(重点是根据行业网络的安全责任追究制度是否确立的责任追究制度，是否追究行业发生的网络安全事件(事故)等。 中所述情节，对概念设计中的量体体积进行分析四、行业网络安全和信息通报工作情况(重点是否加入国家网络和信息安全通报机制？ 是否建立了行业网络和信息安全通报机制？ 业界组织在开展日常的网络安全监视状况的本行业，开展了网络和信息安全通报的警报业务的整体情况等。 中所述情节，对概念设计中的量体体积进行分析五、行业重要网络安全政策和技术标准制定情况(重点是行业公布网络安全和等级保护政策、管理办法、管理规定等规范文件状况，具体文件名称和发布时间；行业公布网络安全和等级保护标准状况，具体文件名称和发布时间等。 中所述情节，对概念设计中的量体体积进行分析6 .行业网络安全顶级设计和统一规划情况(重点是行业网络安全最高级别的设计情况。行业网络安全工作的短期目标和长期计划的制定情况。全行业网络安全政策的制定情况等。 中所述情节，对概念设计中的量体体积进行分析七.行业数据资源保护情况(重点是行业数据中心建设状况行业数据资源存储状况行业数据资源安全状况行业数据资源灾难恢复中心建设状况和数据备份恢复状况，行业数据资源存储和应用是否由社会第三方提供？ 提供服务的机构的具体情况等)八、行业网络安全应急方案和演习情况(重要的是行业网络安全预案是否已经制定。行业网络安全预案是否进行了演习？ 根据演习情况是否修改了预案等)九、行业网络安全应急队伍建设情况(重要的是行业网络安全应急小组是否成立了行业网络安全专家小组？ 你和社会企业签订了紧急支持合同吗？ 行业应急队伍建设计划等情况。 中所述情节，对概念设计中的量体体积进行分析十、行业网络安全事件(事故)处置情况(重要的是行业网络安全事件(事故)的检测、报告和处置过程是否明确。年内是否发生了重大的网络安全事件(事故)？ 是否与有关部门建立了网络安全应急处置机制等。 中所述情节，对概念设计中的量体体积进行分析十一、行业网络安全宣传培训情况(重点是行业组织开展网络安全宣传教育行业组织开展网络安全领导干部培训、业务骨干培训、网络安全人员培训等情况。 中所述情节，对概念设计中的量体体积进行分析12 .行业新技术、新应用安全保护情况(重点是能否开展包括行业大数据、云计算、物联网、工业控制等应用状况在内的等级保护工作新技术、新应用网络安全等状况。 中所述情节，对概念设计中的量体体积进行分析表2 :填写信息系统运营使用单位一、信息系统运营使用单位的基本情况单位名称单位地址网络安全部门的领导者姓名职务/职务网络安全责任部门负责部门的负责人姓名职务/职务办公电话手机负责部门负责人姓名职务/职务办公电话手机单位信息系统总数四级系统数第3级系统数量二级系统数未定系统数单位信息系统等级评价总数四级系统数第3级系统数量二级系统数未评估系统数单位信息系统安全建设整改总数四级系统数第3级系统数量二级系统数系统数量没有改变单位信息系统安全自我调查总数四级系统数第3级系统数量二级系统数没有对系统数量进行自我调查二、信息系统运营利用单位网络安全工作情况一、单位信息安全等级保护工作的组织领导情况(重点包括单位网络安全指导机构或信息安全等级保护工作指导机构成立情况在内的单位网络安全或信息安全等级保护活动责任部门和具体职能情况单位信息安全等级保护工作的部署情况。 中所述情节，对概念设计中的量体体积进行分析二、机构重视保护信息安全水平的情况(重点是组织开展网络安全自我调查的单位网络安全工作经费是否包括在年度预算中，包括单位信息安全等级保护工作年度的审查情况？ 单位网络安全工作经费占单位信息化建设经费的比例等。 中所述情节，对概念设计中的量体体积进行分析3、单位网络安全责任追究制度的执行情况(重点是根据单位网络的安全责任追究制度是否确立的责任追究制度，是否追究职场发生的网络安全事件(事故)等。 中所述情节，对概念设计中的量体体积进行分析4、确定单位信息系统等级并记录工作情况(重要的是单位信息系统是否全部登录。单位系统的调整是否立即进行申请变更？ 公司是否有新的信息系统执行等级登记等工作。 中所述情节，对概念设计中的量体体积进行分析五、单位信息系统安全评价与安全建设审核工作情况(重点是包括单位信息系统的安全检查和整改经费的执行情况在内的单位信息系统的恶意代码扫描、渗透性测试、等级评价和风险评价的安全检查情况信息系统的安全建设改革方案的制定和实施情况掌握单位网络的安全情况等。 中所述情节，对概念设计中的量体体积进行分析六、单位网络安全管理制度的制定和实施情况(重点是公司人员管理、信息系统室管理、设备管理、媒体管理、网络安全建设管理、运输管理、服务外包等管理制度建设状况管理制度的监督保障和运行状况，包括单位信息系统建设和网络安全“同步规划、同步建设、同步运行”措施的执行情况。 中所述情节，对概念设计中的量体体积进行分析七.单位重要数据的保护情况(重点是单位重要数据存储和安全状况公司重要数据备份的恢复状况，包括单位数据中心的建设状况，公司重要数据存储和应用是否由社会第三方提供？ 提供服务的机构的具体情况等)八、单位网络安全监测和预警情况(重点是企业开展日常网络安全监视状况的单位网络安全监视技术手段的建设状况单位网络安全警告的工作状况等。 中所述情节，对概念设计中的量体体积进行分析9 .单位网络安全应急方案和演习情况(重要的是，是否制定了单位网络安全预案。单位网络安全预案是否受过培训？ 根据演习情况是否修改了预案等。 中所述情节，对概念设计中的量体体积进行分析十、单位网络安全事件(事故)处置情况(重要的是单位网络安全事件(事故)的发现、报告和处置过程是否明确。年内是否发生了重大的网络安全事件(事故)？ 是否与有关部门建立了网络安全应急处置机制等。 中所述情节，对概念设计中的量体体积进行分析十一、单位信息技术产品、服务国产化情况(重点是包括单位操作系统、服务器、数据库、交换机等核心信息技术产品的国产化比率状况在内的单位网络安全设备的国产化比率状况单位信息技术产品的国产化替换作业计划状况公司的新设信息系统是否采用国产化设备的单位信息安全服务等。 中所述情节，对概念设计中的量体体积进行分析12 .单位网络安全宣传培训情况(重点是组织开展网络安全宣传教育的组织开展网络安全岗位培训和网络安全人员培训等情况。 中所述情节，对概念设计中的量体体积进行分析表3 :国家一级重要信息系统的自我调查表注：本表仅填写南方电网广西分公司(广西能源管理系统)、广西地方税务局(综合征管信息系统)、大唐龙滩水电开发有限公司(水电站监控系统) 3个单位。一、国家一级重要信息系统的基本情况系统名称系统安全级别三级四级未定级系统运用使用单位系统运送业务状况业务类型生产作业指挥时间表管理控制公司内部办公室公共服务其他_功能说明系统服务状况服务范围跨越全国省(区、市) _个横跨全省(区、市)地(市、区) _ _ _ _ _ _ _ _ _ _ _ _地(市区)内其他_服务对象单位内部人员社会公众人员双方都包括在内其他_系统数据数据存储方式本地存储器异地存储器云存储器其他_年度存储数据量级别1TGB 10TGB 100TGB 1000TGB 其他_系统网络平台复盖范围lan大都会网络广域网其他_网络的性质业务专业网互联网其他.系统互连状况与其他行业系统连接与行业其他部门系统连接与本单元的其他系统连接其他_系统经费投入情况在系统建设中投入_万元在系统安全建设中投入_万元运用开始时间年_月_日二、国家一级重要信息系统的安全保护情况1设备和资产管理情况指定负责人负责资产管理，明确负责人的责任吗？是否是否制作完整的帐本，统一编号，统一标志，统一发行？是否帐簿和实际设备是否一致？是否您是否完整记录了设备维护和处置信息(时间、地点、内容、负责人等)？是否2安全经费年度预算信息安全设施的运营、日常管理、教育训练、等级评价和安全建设整改等费用包括在年度预算中吗是否您是否有确保网络安全所需的费用呢？是否年度网络安全经费状况_万元年度网络安全经费的执行情况执行比率：3网络安全规划、保护策略的制定情况网络安全计划制定好了吗？是否网络安全计划是否符合国家和行业相关的安全标准？是否是否设置了网络安全策略？是否4定级记录、等级评估、风险评估及建设整改情况信息系统是否在信息安全级别受到保护？是否信息系统是否在当地公安机关注册？是否信息系统每年采用符合国家素质要求的评估机构评估信息系统吗是否信息系统是否根据评价结果制定整改方案？是否信息系统是否实施风险评估？是否信息系统完成安全建设了吗？是否5网络安全管理制度的制定情况是否制定了完整的网络安全管理制度？是否有网络安全管理操作步骤吗？是否你监督着管理制度的贯彻吗？是否6网络边界管理信息系统是否有明确的安全域？是否系统边界是否有严格的安全策略控制？是否7日志和安全审计管理信息系统的运行状况、设备的运行状况是否完全记录？是否信息系统的运行、设备的运行状况是否有安全的审计措施？是否8恶意代码防范管理您是否定期扫描和搜索系统恶意代码？是否你定期更新信息系统的防病毒软件吗？是否9安全漏洞管理是否定期检查和分析系统安全漏洞？是否是否加强了系统发现的安全漏洞？是否10终端管理是否统一管理系统终端的安全？是否11备份和恢复数据是否有本地数据备份和恢复策略？是否系统备份数据是否存储在异地？是否核心网络设备、关键主机设备是否有冗馀备份？是否有冗馀链路备份吗？是否关键应用程序是否有备份恢复？是否12数据安全性是否加密了系统的重要数据？是否您是否对系统中的关键数据采取了验证措施以确保数据完整性？是否你管理着系统的重要数据的应用、流程等吗？是否13安全事件的处置、报告和责任状况您是否制定了信息系统网络安全事件(事故)处置手册？是否是否要求信息系统首次向公安机关报告网络安全事件(事故)的发生？是否是否制定安全事件责任制度？是否14应急队伍建设检验已经建立紧急联系方式了