网络安全等级保护自评调查表模板

网络安全等级保护自评调查表模板一、背景与目的网络安全等级保护（以下简称“等保”）是保障关键信息基础设施与重要业务系统安全的核心制度。自评调查作为等保合规流程的关键环节，需通过系统化的调查项，全面评估系统在安全技术与安全管理层面的合规性，为后续整改、测评提供依据。本模板结合GB/T____《信息安全技术网络安全等级保护基本要求》，针对不同等级系统的共性需求设计，企业可根据自身系统定级（二级/三级/四级）调整调查深度。二、基本信息调查（一）系统基本信息1.单位名称：________________________2.系统名称：________________________3.系统定级情况：等级：□二级□三级□四级（根据备案等级勾选）备案编号：________________________4.系统边界：物理边界（如机房位置、服务器数量）：________________________网络边界（如涉及的网段、对外接口）：________________________5.业务类型：________________________（如政务、金融、医疗、电商等）三、安全技术要求调查（一）物理安全1.物理环境安全机房是否具备防盗、防破坏措施（如门禁系统、视频监控、防盗报警装置）？□是□否机房是否采取防自然灾害措施（如消防系统、防雷装置、防水淹设施）？□是□否机房温湿度、电力供应是否符合设备运行要求？□是□否2.物理设备安全服务器、网络设备是否固定存放并采取防物理损坏措施（如机柜锁、防震支架）？□是□否设备是否有资产台账（含型号、位置、责任人）？□是□否（二）网络安全1.网络架构安全系统是否进行区域划分（如业务区、办公区、DMZ区）？□是□否区域间是否通过防火墙、网闸等设备隔离？□是□否2.网络访问控制是否对进出网络的流量进行访问控制（如ACL策略、端口限制）？□是□否远程访问（如VPN）是否采取身份认证（如密码+令牌、证书）？□是□否3.网络安全监测是否部署入侵检测/防御系统（IDS/IPS）？□是□否网络设备是否开启日志审计（记录流量、登录、配置变更）？□是□否（三）主机安全1.身份鉴别与访问控制服务器登录是否采取多因素认证（如密码+短信、密码+U盾）？□是□否账户权限是否遵循最小权限原则（如普通用户无管理员权限）？□是□否2.入侵防范与恶意代码防护服务器是否安装杀毒软件/EDR并定期更新病毒库？□是□否是否开启系统防火墙并限制不必要端口？□是□否3.安全审计与备份系统日志是否记录登录、操作、故障等事件？□是□否重要数据（如数据库、配置文件）是否定期备份（频率、存储位置）？________________________（四）应用安全1.身份鉴别与会话管理应用系统登录是否采取强认证（如密码复杂度要求、图形验证码）？□是□否会话超时后是否自动退出登录？□是□否2.数据安全与隐私保护敏感数据存储是否加密（如数据库加密、文件加密）？□是□否3.安全功能与漏洞管理应用是否通过安全测试（如渗透测试、代码审计）？□是□否是否定期扫描Web漏洞（如SQL注入、XSS）并修复？□是□否（五）数据安全1.数据备份与恢复业务数据是否异地备份（与生产环境物理隔离）？□是□否备份数据是否定期恢复演练（验证可用性）？□是□否2.数据安全管理数据导出是否有审批流程（如敏感数据脱敏、权限审批）？□是□否数据生命周期（创建、传输、存储、删除）是否有安全策略？□是□否四、安全管理要求调查（一）管理机构是否设立专门的安全管理部门/岗位？□是□否安全管理职责是否明确（如应急响应、审计监督、制度制定）？□是□否（二）人员安全管理是否开展安全意识培训（频率：□季度□半年□年度；内容：□法规□技术□应急）？□是□否人员离职/调岗时，是否回收权限、移交资产（如账号、设备、文档）？□是□否（三）安全管理制度是否制定安全管理制度（如安全策略、操作规程、应急预案）？□是□否制度是否定期评审修订（频率：□年度□重大变更后）？□是□否（四）系统建设管理系统采购/外包是否进行安全审核（如供应商资质、安全测试报告）？□是□否软件开发是否遵循安全开发流程（如SDL、代码审计）？□是□否（五）系统运维管理是否建立安全事件监控机制（如日志审计、SIEM平台）？□是□否漏洞管理是否闭环（发现→修复→验证）？□是□否应急预案是否定期演练（频率：□半年□年度；参与人员：□全员□技术团队）？□是□否五、自评结论与整改建议（一）安全现状总结1.符合项：________________________（列举主要合规点，如“网络区域划分清晰，部署防火墙隔离”）2.不符合项：________________________（列举待整改点，如“服务器未开启多因素认证”）（二）等级判定系统当前安全状态是否符合定级要求？□是□否（若否，需说明差距：________________________）（三）整改建议1.整改措施：针对不符合项，制定具体措施（如“部署双因素认证系统，要求服务器登录需密码+动态令牌”）2.时间计划：________________________（如“2024年X月前完成认证系统部署”）3.责任人：________________________六、使用说明1.适配性调整：根据系统定级（二级/三级/四级），补充或简化调查项（如四级系统需强化“异地容灾”“供应链安全”调查）。2.证据留存：调查过程中需同步收集支撑材料（如制度文档、测试报告、日志截图），以备测评机构核