2016年度22市网络安全执法检查自查表-复件课件

附件：2016年22个城市网络安全执法检查自查表表1:由行业主管部门填写一、行业主管部门的基本情况行业主管部门名称单位地址负责网络安全的领导名字职称网络安全责任部门负责部门负责人西方人名的第一个字职称办公室电话手机负责部门联系人西方人名的第一个字职称办公室电话手机传递真相电子邮件地址全行业信息系统总数四级系统的数量三级系统数量二级系统数量未分类系统的数量工业控制系统总数网站总数全行业信息系统等级评估总数四级系统的数量三级系统数量二级系统数量未评估的系统数量全行业信息系统安全施工整改总数四级系统的数量三级系统数量二级系统数量未改革系统的数量同级单位信息系统总数四级系统的数量三级系统数量二级系统数量未改革系统的数量二、行业主管部门负责网络安全工作1、组织领导行业信息安全网络安全工作(重点包括：建立行业网络安全领导机构或信息安全等级保护领导机构；行业内网络安全或信息安全等级保护的职能部门和具体职能；全行业信息安全等级保护工作部署等。)2.行业对信息安全等级保护的关注(重点包括：行业信息安全等级保护工作年度评估；行业主管部门应当组织本地对口部门或者所属企事业单位的网络安全检查；行业网络安全预算是否包括在年度预算中？行业网络安全工作经费约占行业信息化建设经费的百分比等。)3、行业网络安全问责制度实施情况(要点包括：是否建立了行业网络安全问责制？是否按照问责制度对行业内发生的网络安全事件(事故)进行跟踪等。)4、行业网络安全和信息报告工作(重点包括：是否加入国家网络和信息安全通报机制？是否建立了行业网络和信息安全通知机制？行业组织开展日常网络安全监控；行业网络和信息安全整体情况通报和预警工作等。)5.制定重要的网络安全政策和行业技术标准(重点包括：行业出台的网络安全或等级保护政策、管理措施、管理规定等规范性文件。文件的具体名称和介绍时间；行业已经发布了网络安全或等级保护的标准和规范、特定文档的名称和发布时间等。)6.行业网络安全的顶层设计和总体规划(重点包括：行业网络安全的顶层设计；制定行业网络安全的短期目标和长期计划；制定全行业的网络安全保护政策等。)7.行业数据资源保护(重点包括：行业数据中心建设；行业数据资源存储；行业数据资源的安全和保护；备灾中心建设和行业数据资源的数据备份与恢复。行业数据资源的存储和应用是否由社交第三方提供？服务提供商的具体情况等。)8、行业网络安全应急预案及演练(重点包括：是否制定了行业网络安全计划？行业网络安全计划是否已经过演练？计划是否根据演习情况进行了修改和改进等。)9、行业网络安全应急队伍建设(要点包括：该行业是否建立了网络安全应急小组？是否成立了行业网络安全专家团队？有紧急支援(重点包括：行业组织开展网络安全宣传教育；行业组织对网络安全领导干部、业务骨干和网络安全人员进行了培训。)12.工业新技术和新应用的安全防护(重点包括：工业大数据应用、云计算、物联网、工业控制系统等。是否开展等级保护工作；网络安全防护的新技术、新应用等。)表2:由信息系统操作用户填写一、信息系统运行和使用单位基本信息单位名称单位地址负责网络安全的领导名字职称网络安全责任部门负责部门负责人名字职称办公室电话手机负责部门联系人名字职称办公室电话手机单位信息系统总数四级系统的数量三级系统数量二级系统数量未分类系统的数量单位信息系统等级评估总数四级系统的数量三级系统数量二级系统数量未评估的系统数量单位信息系统安全施工整改总数四级系统的数量三级系统数量二级系统数量未改革系统的数量单位信息系统安全检查总数四级系统的数量三级系统数量二级系统数量未自检的系统数量二、信息系统运营单位网络安全工作1、组织领导本单位信息安全等级保护工作(重点包括：建立本单位网络安全领导机构或信息安全等级保护领导机构；本单位网络安全或信息安全等级保护工作的责任部门和具体职能；单位信息安全等级保护工作部署等。)2、本单位对信息安全等级保护工作的重视(重点包括：本单位信息安全等级保护工作年度考核；组织本单位开展网络安全自查；该单位的网络安全预算是否包括在年度预算中？单位网络安全工作经费约占单位信息化建设经费的百分比等。)3、单位网络安全责任制落实情况(重点包括：单位网络安全责任制是否建立？单位是否按问责制度对网络安全事件(事故)负责等。)4、单位信息系统分级归档工作(关键点包括：本单位的所有信息系统是否都进行了分级和归档？单位的制度调整是否及时做出备案变更？本单位新建的信息系统是否落实了分级归档等工作。)5、单位信息系统安全评价和安全建设整改工作(重点包括：落实单位信息系统安全检查整改资金；单位信息系统中恶意静态代码分析、渗透率测试、等级评估和风险评估的安全检测；信息系统安全建设整改方案的制定和实施；了解和掌握本单位的网络安全防护状况。)6、单位网络安全管理体系的建立和实施(重点包括：实施“同步规划、同步建设、同步运行”的单位信息系统建设和网络安全措施；人事管理、信息系统机房管理、设备管理、媒体管理、网络安全建设管理、运维管理、服务外包等管理系统的建设。管理体系的监督、保证和运行等。)7.本单位重要数据的保护(重点包括：单位数据中心建设；本单位的重要数据存储和安全保护；单位重要数据的备份和恢复情况，单位重要数据的存储和应用是否由社会第三方提供？服务提供商的具体情况等。)8、单位网络安全监控与预警(重点包括：本单位开展的日常网络安全监控；高校网络安全监控技术手段的构建(要点包括：网络安全事件(事故)的发现、报告和处置流程是否清晰？在这一年中，是否发生过任何重大网络安全事件(事故)？是否与相关部门建立了网络安全应急机制等。)11.该股信息技术产品和服务的本地化(重点包括：单元操作系统、服务器、数据库、交换机等核心信息技术产品的本地化比率。)；单位网络安全设备的国产化率；本单位信息技术产品本地化和替换工作计划；本单位新建信息系统是否采用国产设备；单位信息安全服务情况等。)12、本单位网络安全宣传培训(重点包括：组织本单位开展网络安全宣传教育；组织开展网络安全岗位培训和网络安全人员培训等。)表3:国家重要信息系统自查表一、重要国家信息系统的基本信息系统名称系统安全保护级别3级4级未确定系统操作用户单元该系统携带商业信息业务类型生产作业指挥调度管理控制内部办公室公共服务其他_ _ _ _ _功能描述系统服务服务范围全国跨省(区、市)跨越_ _ _ _ _省省(区、市)跨区(市、区)跨_ _ _ _ _ _ _ _ _土地内(市、区)其他_ _ _ _ _服务对象本单位内部人员公共人员均包括其他_ _ _ _ _系统数据数据存储方法本地存储远程存储云存储其他_ _ _ _ _年存储数据量1GB10GB100GB1000 GB其他_ _ _ _ _系统网络平台作用范围局域网城域网广域网其他_ _ _网络本质私人商业网络互联网其他_ _ _ _ _系统互连与其他行业的系统连接与本行业其他单位的系统连接与机组其他系统连接其他_ _ _ _ _系统基金投资系统建设投资万元人民币；系统安全建设投资万元它什么时候投入使用在_ _ _年_ _ _月_ _ _日二、国家重要信息系统安全保护情况1设备和资产管理是否指定专人负责资产管理并明确责任人的职责？-是的-不是否建立了完整的资产分类账，并对其进行编号、识别和统一分配？-是的-不资产分类账与实际设备一致吗？-是的-不是设备维修和报废的信息(时间、地点、内容、责任人等。)完全记录？-是的-不2安全基金年度预算信息安全设施运行和维护、日常管理、教育和培训、等级评估和安全建设整改的费用是否包括在年度预算中？-是的-不网络安全所需的费用能得到保证吗？-是的-不年度网络安全基金_ _ _ _万元实施年度网络安全基金实施率：3网络安全规划和保护策略的制定有网络安全计划吗？-是的-不网络安全计划是否符合相关的国家和行业安全标准？-是的-不是否制定了网络安全保护政策？-是的-不4分级归档、分级评估、风险评估和施工整改信息系统是否按照信息安全等级保护的要求进行了分级？-是的-不信息系统是否到当地公安机关进行分级和归档？-是的-不信息系统是否每年聘请一个符合国家资质要求的评估单位对信息系统进行评估？-是的-不信息系统是否根据评估结果制定整改计划？-是的-不信息系统是否进行了风险评估？-是的-不信息系统是否完成了安全改进？-是的-不5网络安全管理系统的开发是否建立了完善的网络安全管理体系？-是的-不是否有网络安全管理操作程序？-是的-不是否监督管理体系的实施？-是的-不6网络边界管理信息系统中的安全域是否有明确的划分？-是的-不有严格的安全政策吗信息系统运行行为和设备运行状态是否有完整的日志记录？-是的-不对信息系统的运行行为和设备的运行状态是否有安全审计措施？-是的-不8恶意代码防范管理是否定期进行系统的恶意静态代码分析和清除？-是的-不信息系统防病毒软件是否定期更新？-是的-不9安全漏洞管理是否定期检查和分析系统安全漏洞？-是的-不系统中发现的安全漏洞是否得到巩固和纠正？-是的-不10终端管理系统终端安全有统一管理吗？-是的-不11数据的备份和恢复是否有本地数据备份和恢复策略？-是的-不系统备份数据是否存储在异地？-是的-不核心网络设备和关键主机设备是否有冗余备份？-是的-不有冗余链路备份吗？-是的-不重要应用程序是否有备份恢复措施？-是的-不12数据安全保护系统的重要数据是否采取加密措施？-是的-不是否采取了验证措施来确保系统中重要数据的完整性？-是的-不您是否管理系统中重要数据的应用和流通？-是的-不13安全事故的处理、报告和责任是否有处理信息系统网络安全事件(事故)的手册？-是的-不是否要求信息系统在第一时间向公安机关报告网络安全事件(事故)？-是的-不安全事故有责任制度吗？-是的-不14应急队伍建设检查是否建立了紧急联系？-是的-不是否建立了紧急技术支持团队？-是的-不是否与相关单位建立了应急协调机制？-是的-不15应