网络与信息安全检查表

单位名称：嘉兴市妇幼保健院一、信息安全组织机构基本情况信息安全责任部门信息科领导（如单位正/副职领导）姓名：王立中；职务：副院长；姓名：_______________；职务：_______________；信息安全管理机构（如信息中心）名称：信息科；负责人：沈碧飞；职务：科长；联系人：龚林峰；电话信息安全专职工作处室（如信息科）名称：___________________；联系人：_____________；电话：________________；信息安全责任部门职责(可附件另附)二、重要信息系统基本情况重要信息系统总数：____（请另附系统简介清单）系统定级情况第一级：____个第二级：____个第三级：____个第四级：____个第五级：____个未定级：____个等级保护测评完成等级保护测评系统的名称及对应等级：_______________________________；_______________________________；_______________________________；_______________________________；服务对象统计面向社会公众提供服务的系统数量及等级：________；非面向社会公众提供服务的系统数量及等级：________；联网情况统计通过互联网可直接访问的系统数量及等级：________；通过互联网不能直接访问的系统数量及等级：________；其中，与互联网物理隔离的系统数量及等级：________；数据集中性统计省级数据集中的系统数量及数据类型：________；市级数据集中的系统数量及数据类型：________；县级数据集中的系统数量及数据类型：________；未进行数据集中的系统数量：________；业务连续性统计可容忍RTO值小于1小时的系统数量：________；可容忍RTO值大于1小时，小于6小时的系统数量：________；可容忍RTO值大于12小时的系统数量：________；系统灾备统计定期对系统级进行灾备的系统数量：________；仅对数据库定期进行灾备的系统数量：________；无灾备措施的系统数量：________；业务应用软件系统（统计3年内数据）自主设计开发（不含二次开发）的套数：________；外包国内服务商开发的套数：________；外包国外服务商开发的套数：________；直接采购国内服务商产品的套数：________；直接采购国外服务商产品的套数：________；三、日常信息安全运维管理情况人员安全管理①重点岗位人员安全保密协议：全部签订部分签订均未签订；②人员离岗离职安全管理规定：已制定未制定；③外部人员机房访问管理制度及权限审批制度：已建立未建立；设备资产管理资产管理制度：已建立未建立；机房设备标签：全部标签合格部分标签合格无标签；设备维修维护和报废管理：已建立管理制度，且维修维护和报废记录完整；已建立管理制度，但维修维护和报废记录不完整；未建立管理制度；机房安全管理机房管理制度：已建立未建立；机房日常运维记录：完整详实部分简略无记录；人员进出机房记录：完整详实部分简略无记录；机房物理环境：达标未达标；采购预算保障年度采购方案及预算：已建立未建立；采购合同：完整部分完整；安全设备采购比例：>80%>60%<50%；外包服务管理安全审计管理网络边界安全防护无线局域网安全防护信息系统安全防护数据库安全防护网站安全防护邮箱安全防护终端计算机安全防护移动介质安全防护=1\*GB3①安全管理方式：集中管理，统一登记、杀毒、配发、收回、维修、报废、销毁；未采取集中管理方式=2\*GB3②电子信息保护：已配备信息消除和销毁设备未配备信息消除和销毁设备五、信息安全应急工作情况信息安全应急预案预案全面性及可行性：全面到位未到位年度修订评估情况：修订评估未修订评估未制定信息安全应急演练年度演练次数及时间：，年度未开展信息安全灾难备份①重要信息系统：已备份，备份周期____，不定期，异地备份，本地备份；未备份；②重要业务数据：已备份，备份周期____，不定期，异地备份，本地备份；未备份；应急技术支援队伍有应急技术团队单位所属责任部门：____________；外部专业机构名称:____________；是否取得资质：是(附件证明)，否；无六、信息安全培训及宣传教育情况信息安全培训次数年度开展信息安全培训教育的次数：_____次，时间1：___________，培训主题：______________________；时间2：___________，培训主题：______________________；时间3：___________，培训主题：______________________；信息安全培训人数年度接受信息安全培训教育的人数：_____人；占本部门总人数的比例：_____％；信息安全专业培训年度信息安全管理和技术人员专业培训：______人次；信息安全宣传教育年度面向单位及社会群体的信息安全宣传教育次数：_____次；七、信息系统技术产品应用情况单位网络架构拓扑图及安全设备产品配置：附件说明硬件软件配置路由器交换机服务器数据库操作系统磁盘阵列国产本表所称国产，是指具有国内品牌，最终产品在中国境内生产，并符合法律法规和政策规定的其他条件。量本表所称国产，是指具有国内品牌，最终产品在中国境内生产，并符合法律法规和政策规定的其他条件。（台/套）非国产量（台/套）防火墙堡垒机漏洞扫描国产量（台/套）非国产量（台/套）终端计算机（含笔记本）总台数：__________，其中国产台数：___________；公文处理软件（终端计算机安装）安装国产公文处理软件的终端计算机台数：_________________；安装国外公文处理软件的终端计算机台数：_________________；信息安全设备产品防火墙等访问控制设备（不含终端软件防火墙）台数：_____；其中，国产台数：_________________；安装国产防病毒产品的设备台数：_________________；八、信息安全经费预算投入情况信息安全预算年度信息安全建设经费预算：___万元；占信息化总额比：____%；信息安全投入年度信息安全经费实际投入：___万元；占信息化实际投入额比：____%；预算投入明细信息安全经费预算及投入明细：______________；（附件说明）九、年度信息安全事件及技术检测情况信息安全事件情况门户网站受攻击情况安全防护设备检测到的门户网站受攻击次数：__________；网页被篡改情况门户网站网页被篡改（含内嵌恶意代码）次数：___________；重要系统中断情况=1\*GB3①重要系统异常中断时间：_________小时；=2\*GB3②重要系统异常中断造成的数据丢失量：_______MBGBTB；=3\*GB3③重要系统异常中断造成的影响范围：社会公众本部门部分下属单位其他技术检测情况渗透测试本部门进行过渗透测试的信息系统数量：__________；其中，可以成功控制的信息系统数量：__________；恶意代码本表所称恶意代码，是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。检测结果本表所称恶意代码，是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。①进行过病毒木马等恶意代码检测的服务器台数：___________；其中，存在恶意代码的服务器台数：___________；②进行过病毒木马等恶意代码检测的终端计算机台数_________；其中，存在恶意代码的终端计算机台数：___________；安全漏洞检测结果①进行过漏洞扫描的服务器台数：___________；其中，存在漏洞的服务器台数：___________；存在高风险漏洞本表所称高风险漏洞，是指计算机硬件、软件或信息系统中存在的严重安全缺陷，利用这些缺陷可完全控制或部分控制计算机及信息系统，对计算机及信息系统实施攻击、破坏、信息窃取等行为。的服务器台数：___________本表所称高风险漏洞，是指计算机硬件、软件或信息系统中存在的严重安全缺陷，利用这些缺陷可完全控制或部分控制计算机及信息系统，对计算机及信息系统实施攻击、破坏、信息窃取等行为。②进行过漏洞扫描的终端计算机台数：___________；其中，存在漏洞的终端计算机台数：___________；存在高风险漏洞的终端计算机台数：___________；信息安全事件信息安全事件分级标准参见《国家网络与信息安全事件应急预案》（国办函〔2008信息安全事件分级标准参见《国家网络与信息安全事件应急预案》（国办函〔2008〕168号）特别重大信息安全事件次数：___________，事件原因：___________；重大信息安全事件次数：___________，事件原因：___________；较大信息安全事件次数：___________，事件原因：___________；一般信息安全事件次数：___________，事件原因：___________；（安全事件报告附件说明）十、信息技术外包服务机构情况（包括参与技术检测的外部专业机构）外包服务机构1机构名称机构性质国有单位民营企业外资企业服务内容本表所称服务内容，主要包括系统集成、系统运维、风险评估、安全检测、安全加固、应急支持、数据存储、灾难备份等。本表所称服务内容，主要包括系统集成、系统运维、风险评估、安全