2019年网络安全检查自查表参考模板

附件22018年网络安全执法检查自查表表一：行业主管部门填写一、行业主管部门基本情况行业主管部门名称单位地址网络安全分管领导姓名职务/职称网络安全责任部门责任部门负责人姓名职务/职称办公电话移动电话责任部门联系人姓名职务/职称办公电话移动电话传真邮箱地址全行业信息系统总数第四级系统数第三级系统数第二级系统数未定级系统数全行业信息系统等级测评总数第四级系统数第三级系统数第二级系统数未测评系统数全行业信息系统安全建设整改总数第四级系统数第三级系统数第二级系统数未整改系统数本级单位信息系统第四级系统数第三级系统数总数第二级系统数未整改系统数、行业主管部门网络安全工作情况1、行业网络安全工作的组织领导情况（重点包括：行业网络安全领导机构或网络安全等级保护工作领导机构成立情况；行业网络安全或网络安全等级保护工作的职责部门和具体职能情况；全行业网络安全等级保护工作部署情况等。）1、网络安全领导小组成立时间、成员文件内容2、网络安全领导具体分工职能说明3、2019年现阶段网络安全等级保护工作开展情况说明，后续的等保开展计划成立了以分管厅领导为组长、厅办公室、信息中心以及厅各处室、各直属单位负责人为成员的信息安全工作领导小组，下设办公室，依托省建设信息中心，全面开展信息安全工作。在厅网站信息系统开展自查的基础上，进一步下发通知，对所有直属单位进行网络信息安全保密管理检查工作。2、行业网络安全等级保护工作保障情况（重点包括：行业网络安全等级保护工作年度考核情况；行业主管部门组织对地方对口部门或所属企事业单位网络安全检查情况；行业网络安全工作经费是否纳入年度预算?行业网络安全工作的经费约占行业信息化建设经费的百分比情况等。）一是信息安全等级保护工作已纳入省政府效能考核，同时我厅加强了对厅直属单位网络信息安全检查和指导，帮助厅直属单位提升网络信息安全水平；二是将购买安全服务纳入每年信息安全工作预算，并在信息化建设的可行性研究中专门列出信息安全测评经费，今年以来，预算专项列出信息安全经费xx用于开展网络安全服务，同时日常列出网络和信息安全维护经费用于日常运维，总体占厅信息化经费5%以上；三是召开厅长办公会议，并根据省政府电子政务云平台的要求，进一步对迁移往云平台的信息系统开展信息系统安全测评工作，并专门列出测评费用xx万元3、行业网络安全责任追究制度执行情况（重点包括：是否建立了行业网络安全责任追究制度？是否依据责任追究制度对行业发生的网络安全事件（事故）进行追责等情况。）一是按照“谁使用谁负责，谁运行谁负责”的原则，建立健全《电子政务网络与信息安全管理暂行规定》，明确相关职责责任，二是XXX厅与公安厅签订了政府网站安全责任书，同时厅机关内部相关人员都签订了保密协议、保密承诺书以及网络与信息安全责任书。4、行业网络安全与信息通报工作情况（重点包括：是否加入了国家网络与信息安全通报机制？是否建立了本行业网络与信息安全通报机制？行业组织开展日常网络安全监测情况；本行业开展网络与信息安全通报预警工作的总体情况等。）制定了电子政务网络与信息安全管理制度和日常信息安全监测和预警制度等相关制度，并严格按要求贯彻落实，明确事件报告和处置以及通报流程，直属单位日常开展信息安全监测，发现问题及时报告厅信息中心。5、行业重要网络安全政策和技术标准的制定情况（重点包括：行业出台网络安全或等级保护政策、管理办法、管理规定等规范性文件情况，具体文件名字和出台时间；行业出台网络安全或等级保护标准规范情况，具体文件名字和出台时间等情况。）《网络与信息安全事件应急处置预案》2010年9月1日《信息系统建设管理制度》2012年7月26日发布《信息安全监测和预警制度》2012年5月29日发布《信息中心机房管理制度》2012年12月18日发布《网站安全管理制度》2012年12月18日发布《保密工作暂行规定》2013年12月31日发布《关于进一步加强厅非涉密网络保密管理的通知》2015年3月6日发布《网络与信息安全管理暂行规定》2015年3月2日《关于进一步加强网络信息安全保密管理的通知》2015年7月2日发布6、行业网络安全顶层设计和统筹规划情况（重点包括：行业网络安全顶层设计情况；行业网络安全工作的短期目标和长远规划制定情况；全行业的网络安全保护策略制定情况等。）成立XXX信息化建设领导小组，XXX任组长，其余厅领导任副组长，各处室单位负责人为成员，领导小组下设办公室，依托省建设信息中心，全面负责厅网络安全和信息化建设的推进工作。按照厅信息化顶层设计“统一规划，分步实施”的原则，厅网络架构实行分期建设，在原有网络结构的基础上，先后开展了网络升级改造一期和二期工程，升级改造网络安全设备，优化完善现有内外网网络拓扑结构，提升我厅网络性能和数据处理能力，健全网络安全保障体系，以推动XXX信息化的进一步发展，为实现XXX总体发展目标奠定基础。同时日常开展信息安全监测，定期根据安全需求对网络设备进行策略调整，进一步强化网络安全。7、行业大数据、敏感信息和公民个人信息情况（重点包括：行业数据中心建设情况；行业数据资源的采集种类、存储量等情况；行业包含的公民个人信息条数和存储情况；行业数据相关政策、标准制定情况；行业数据安全管理制度建设情况；行业数据资源安全保护情况；行业数据资源的灾备中心建设情况和数据备份恢复情况，行业数据资源存储和应用是否由社会第三方提供？提供服务单位的具体情况等）单位数据资源存储和应用由XXXX公司承包建设（本单位自主建设）单位数据备份情况介绍及数据恢复手段单位数据存储量，存储信息类别哪些相关数据存储、备份等管理制度名称我厅信息系统部署于厅机房，采用磁盘阵列的方式存储信息数据，采用Netbackup软件，每日定期开展数据备份至虚拟带库，确保数据安全；日常监测数据备份情况，确保数据备份正常有序；不定期开展数据恢复应急演练，确保数据可用。今年以来，陆续将我厅所有信息系统迁移至省政府电子政务云平台，依托云平台技术，进一步加强数据的安全性。8、行业网络安全应急预案和演练情况（重点包括：是否制定了行业网络安全预案？行业网络安全预案是否进行了演练？是否根据演练情况对预案进行了修改完善等情况）（已/未）制定了行业网络安全预案，（半年/一年）一次按照预案进行演练，并根据演练实际情况不断进行修改完善我厅制定了《厅网络和信息安全事件应急处置预案》，并特别针对网站和信息系统分别制定了应急处置预案。针对厅技术人员开展了以信息系统攻防为主题的培训，并组织了针对信息系统被木马（5口£11）注入攻击及防范为内容的信息安全演练，通过培训和演练，锻炼了厅技术人员面对应急事件的处置能力和技术水平。9、行业网络安全应急队伍建设情况（重点包括：是否建立了本行业网络安全应急队伍？是否组建了行业网络安全专家队伍？是否与社会企业签订了应急支持协议？行业应急队伍建设规划等情况。）组织信息中心及相关单位技术力量，同时委托专业信息安全公司作为本行业网络安全应急队伍，作为我厅应急技术保障支撑力量，并与其签订应急支持协议。10、行业网络安全事件（事故）的处置情况（重点包括：是否明确了行业网络安全事件（事故）发现、报告和处置流程？年内是否发生重大网络安全事件（事故）？是否与相关部门建立了网络安全应急处置机制等情况。）我厅制定了《厅网络和信息安全事件应急处置预案》，建立重大安全事件上报机制，并根据日常网络和信息系统安全巡检的结果，及时封堵漏洞进行加固整改。11、行业网络安全宣传培训情况（重点包括：行业组织开展网络安全宣传教育情况；行业组织开展网络安全领导干部培训、业务骨干培训和网络安全员培训等情况。）我厅近年来邀请了省保密局、省网安办专家来厅机关进行保密和信息安全专题讲座，厅办公室、信息中心时常开展保密和信息宣传教育活动，充分利用内网时刻提醒机关工作人员严格遵守信息安全和保密相关规定，进一步提升厅工作人员保密信息安全意识；同时信息中心领导和技术干部积极参加省网络安全交流研讨会和培训会，并邀请专业网络安全公司技术人员对信息中心网络安全技术人员开展技术培训，提升人员网络安全应急防护水平。12、行业新技术、新应用安全保护情况（重点包括：行业大数据、云计算、物联网、工业控制系统等应用情况；是否开展等级保护工作情况；新技术、新应用网络安全保护等情况。）今年以来，针对我厅迁移至省政府电子政务云平台的信息系统，邀请省网络安全测评中心对云平台信息系统开展安全测评工作。表二：信息系统运营使用单位填写信息系统运营使用单位基本情况单位名称单位地址网络安全分管领导姓名职务/职称网络安全责任部门责任部门负责人姓名职务/职称办公电话移动电话责任部门联系人姓名职务/职称办公电话移动电话

单位信息系统总数第四级系统数第三级系统数第二级系统数未定级系统数单位信息系统等级测评总数第四级系统数第三级系统数第二级系统数未测评系统数单位信息系统安全建设整改总数第四级系统数第三级系统数第二级系统数未整改系统数单位信息系统安全自查总数第四级系统数第三级系统数第二级系统数未自查系统数二、信息系统运营使用单位网络安全工作情况1、单位网络安全等级保护工作的组织领导情况（重点包括：单位网络安全领导机构或网络安全等级保护工作领导机构成立情况；单位网络安全或网络安全等级保护工作的职责部门和具体职能情况；单位网络安全等级保护工作部署情况等。）成立了以分管厅领导为组长、厅办公室、信息中心以及厅各处室、各直属单位负责人为成员的信息安全工作领导小组，明确信息中心承担厅网站和信息系统安全管理，全面加强信息系统安全工作。2、单位对网络安全等级保护工作的保障情况（重点包括：单位网络安全等级保护工作年度考核情况；单位组织开展网络安全自查情况；单位网络安全工作经费是否纳入年度预算?单位网络安全工作的经费约占单位信息化建设经费的百分比情况等。）一是信息安全等级保护工作已纳入省政府效能考核，厅党组对网络和信息安全高度重视，多次做出批示，强调信息安全保密重要性，并进一步下发通知，对厅机关和直属单位进行网络信息安全保密管理检查；二是将购买安全服务纳入每年信息安全工作预算，并在信息化建设的可行性研究中专门列出信息安全测评经费，今年以来，我厅预算专项列出信息安全经费19万元用于网络安全服务，同时日常列出网络和信息安全维护经费用于日常运维，总体占厅信息化经费5%以上；三是召开厅长办公会议，并根据省政府电子政务云平台的要求，进一步对迁移往云平台的信息系统开展信息系统安全测评工作，并专门列出测评费用18万元。3、单位网络安全责任追究制度执行情况（重点包括：是否建立了单位网络安全责任追究制度？是否依据责任追究制度对单位发生的网络安全事件（事故）进行追责等情况。）一是按照“谁使用谁负责，谁运行谁负责”的原则，建立健全《电子政务网络与信息安全管理暂行规定》，明确相关职责责任，二是XXX与公安厅签订了政府网站安全责任书，厅机关相关人员都签订了保密协议、保密承诺书以及网络与信息安全责任书。4、单位信息系统定级备案工作情况（重点包括：单位信息系统是否全部定级备案？单位系统调整是否及时进行备案变更？单位新建信息系统是否落实定级备案等工作。）厅信息系统均按要求开展安全测评、定级和备案。今年以来，根据省政府电子政务云平台的要求，进一步对迁移往云平台的信息系统开展信息系统安全测评工作。5、单位信息系统安全测评和安全建设整改工作情况（重点包括：单位信息系统安全检测和整改经费落实情况；单位信息系统恶意代码扫描、渗透性测试、等级测评和风险评估的安全检测情况；信息系统安全建设整改方案制定和实施情况；单位网络安全保护状况的了解掌握等情况。）我厅信息系统上线前均按要求开展等级测评。并按整改的要求落实整改工作，今年还组织对迁移至省政府电子政务云平台的信息系统由省网络和信息安全测评中心开展安全测评，并按测评的结果开展整改工作。同时我厅还委托专业信息安全公司对部署于我厅机房的网站、信息系统和服务器进行安全评估和加固，保障了网站和系统安全：通过对网站、信息系统和服务器开展漏洞扫描、渗透测试等信息安全评估测试，并根据评估结果进行整改加固，增强服务器安全策略，如口令策略、访问共享禁止策略、容器加固策略等，通过全面的安全检查和安全加固，开展定期巡检，发现问题及时整改，进一步提升了网站、信息系统和服务器的信息安全防护能力。6、单位网络安全管理制度的制定和实施情况（重点包括：单位信息系统建设和网络安全“同步规划、同步建设、同步运行”措施的落实情况；单位人员管理，信息系统机房管理、设备管理、介质管理、网络安全建设管理、运维管理、服务外包等管理制度的建设情况；管理制度的监督保障和运行情况等。）厅信息系统上线前，都按要求开展开展信息系统安全测评和性能测评；建立了《厅保密工作暂行规定》，加强和设备保密管理，同时建立《信息中心机房管理制度》、《厅电子政务与信息安全暂行规定》、《厅网站安全管理制度》、《厅信息安全监测和预警制度》、《保密工作暂行规定》等制度，进一步加强网络信息系统安全和保密管理。7、单位重要数据的保护情况（重点包括：单位数据中心建设情况；数据加密保护情况；单位重要数据备份恢复情况等）初步建立XXX数据中心，建立全省企业、人员、项目、信用管理平台，数据均存储于厅机房，重要信息数据采取每天备份的机制进行备份，并不定期开展数据恢复演练，确保数据安全，今年以来，我厅陆续将厅所有信息系统迁移至省政府电子政务云平台，依托云平台技术，加强数据的安全性。8、单位网络安全监测和预警情况（重点包括：单位开展日常网络安全监测情况；单位网络安全监测技术手段建设情况；单位网络安全预警工作情况等。）一是制定了日常信息安全监测和预警制度，定期查看IPS、WAF、预警防护系统等日志信息，及时发现可能存在的问题，并根据问题具体调整安全管理设备上的策略进行应对；二是通过厅内外网网管软件和短信平台联动，实时监测厅网站、重要信息系统、服务器和网络的在线运行状态，发现异常信息及时报警便于及时处理问题；。。。。。三是通过购买服务的方式，委托专业信息安全公司对我厅的信息系统进行安全方面的防护（包括渗透测试等），及时发现最新的问题并修复，四是通过网安办的福建省网络安全事件上报与发布系统，查看我厅的信息系统是否有未发现的安全漏洞。9、单位网络安全应急预案和演练情况（重点包括：是否制定了单位网络安全预案？单位网络安全预案是否进行了演练？是否根据演练情况对预案进行了修改完善等情况。）我厅制定了《厅网络和信息安全事件应急处置预案》，并特别针对网站和信息系统分别指定了应急处置预案。今年以来，针对厅技术人员开展了以信息系统攻防为主题的培训，并组织了系统木马注入的攻防信息安全演练，通过培训和演练，锻炼了厅技术人员面对应急事件的处置能力和技术水平10、单位网络安全事件（事故）的处置情况（重点包括：是否明确了单位网络安全事件（事故）发现、报告和处置流程？年内是否发生重大网络安全事件（事故）？是否与相关部门建立了网络安全应急处置机制等情况。）一是制定了《厅网络和信息安全事件应急处置预案》，明确了发生网络安全事件的应急处置流程，重大网络安全事件，将及时报告省网安办；二是部署了预警防护系统，建立与省网络与信息安全应急处置平台实时联动机制；三是指定专人定期访问省网安办的福建省网络安全事件上报与发布系统，查看我厅的信息系统是否有未发现的安全漏洞；四是我厅年内无重大网络安全事件发生。11、单位信息技术产品、服务国产化情况（重点包括：单位操作系统、服务器、数据库、交换机等核心信息技术产品的国产化比率情况；单位网络安全设备的国产化比率情况；单位信息技术产品国产化替换工作计划情况；单位新建信息系统是否采用国产化设备；单位信息安全服务情况等。）厅服务器操作系统采用Windows和Linux系列，品牌采用IBM品牌；网络及信息安全设备全部采用国产化产品，国产化率100%；按照省政府有关数据中心整合的方案，现有系统、新建系统以及现有服务器设备将全部迁移至省政务云平台实行统一部署。12、单位网络安全宣传培训情况（重点包括：单位组织开展网络安全宣传教育情况；单位组织开展网络安全岗位培训和网络安全员培训等情况。）我厅近年来邀请了省保密局、省网安办专家来厅机关进行保密和信息安全专题讲座，厅办公室、信息中心时常开展保密和信息宣传教育活动，充分利用内网时刻提醒机关工作人员严格遵守信息安全和保密相关规定，进一步提升厅工作人员保密信息安全意识；同时信息中心领导和技术干部积极参加省网络安全交流研讨会和培训会，并邀请专业网络安全公司技术人员对信息中心网络安全技术人员开展技术培训，提升人员网络安全应急防护水平。三、信息系统运营使用单位大数据和公民个人信息保护情况1、大数据和公民个人信息的采集、存储、传输、应用情况（重点包括：大数据和公民个人信息收集是否遵循合法、正当、必要的原则；是否收集了与其提供的服务无关的数据资源和个人信息；数据采集的方式；数据的存储情况，包括数据量级、存储方式、是否均在境内存储等；数据的传输安全保密措施，是否存在信息泄露、毁损、丢失情况；数据的应用情况，包括应用场景、应用范围、应用流程以及第三方应用等情况）单位未对与其提供的服务无关的数据资源和个人信息进行收集数据收集主要通过XXX，包括了（类别），存储量，均在境内存储数据存储加密，传输加密情况介绍2、大数据和公民个人信息的安全管理措施制定情况（重点包括：是否明确了大数据和公民个人信息的管理原则；安全管理措施制定情况，包括安全策略、数据备份、应急响应、灾难恢复、变更管理、安全培训等；是否组建了专职的安全管理团队并制定了相应的管理制度）已制定了相关数据和公民个人信息管理原则（制度名称）3、大数据和公民个人信息的安全检测、测试情况

（重点包括