1、
网络信息安全检查表
学习—————好资料
网络与信息安全检查项目表
类 别
检查项目
检查内容
检查要求
组织管理与规章制度
网络与信息安全管理组织
信息安全责任制落实情况
明确信息安全主管领导、责任人、信息安全管理员,制定岗位职责文件和操作规程等(要提供相应文档)
信息安全培训情况
信息安全责任人、管理员定期参加有关单位的信息安全培训。对本单位全体人员进行了信息安全培训(提供培训计划、培训内容、培训成绩、人员)
日常管理工作
信息安全管理策略情况
制定了详细的信息安全管理策略,并有专人负责,定期进行检查(要提供检查纪录)
信息安全测评
2、系统安全定级、信息安全检查和风险评估工作
有工作开展的相关文档、记录、总结
规章制度情况
网络与信息安全政策落实情况
国家有关网络与信息安全文件(计算机信息网络国际联网安全保护管理办法等)的落实情况
信息安全管理职责、信息安全情况报告制度、资产安全管理制度、系统运行安全管理制度、安全应急响应及事故管理制度等
制定了严格的规章制度,并认真落实(提供所有制度文档)。
保密承诺书
重要岗位、涉密岗位人员保密承诺书
是否签订,是否及时更新,新入岗、离岗人员均要签订保密承诺。
网络运行及关键安全设备情况
网络基本情况
网络使用情况
网络设计使用符合相关规定要求。
网络与信息
3、系统集成、设计与监理情况
集成商、设计单位、监理单位必须具备相关资质(要有资质证书复印件)
网络与信息安全产品
防火墙、入侵检测、安全审计、漏洞扫描、违规外联监控、网页防篡改、网络安全隔离网闸、病毒防范等安全产品以及密码设备
必须采用通过国家保密局涉密信息系统安全保密测评机构、国家及省级信息安全测评机构测评的测评资质证书,公安部销售许可证;密码产品及研发、生产、销售企业必须具有国家密码管理局的许可资质(各类资质要有资质证书复印件)
(续)
类 别
检查项目
检查内容
检查要求
网络与信息安全应急管理情况
数据备份情况
本地备份情况
制定了备份策略并定期进行备份(提
4、供备份记录、查看存储设备)
信息安全应急处置
网络与信息安全应急处置预案
制定详细的应急处置预案,并进行演练(提供预案文档和演练记录或总结)。
信息安全事件处置
有信息安全事件处置流程,发生事件后作相关记录,进行报告,并采取积极合理的措施进行处置(提供记录文档、报告文档、处理措施文档)
网络与信息安全技术防范措施
机房环境安全
检查机房是否在防火、防静电、温湿度、防水防潮、防雷、防电磁泄漏、防电力故障等方面达到相应标准
应满足国家标准GB50174-1993《电子计算机机房设计规范》、GB2887-2000《电子计算机机场地通用规范》、GB9361-1988《计算站场地安全要
5、求》的要求。
保密技术措施
涉密计算机网络管理
须由取得保密资质的公司承建,开通运行前须经保密部门审批(提供涉密资质证书复印件和保密部门批文)
外网和互联网上处理涉密或内部敏感信息
禁止在公务外网和互联网上处理涉密或内部敏感信息
违规外联监控
有内部用户违规外联的监控措施和管理措施
涉密存储介质
按照保密管理规定对涉密存储介质的发放、使用、销毁进行管理。移动存储介质必须专网(机)专用,严禁在内外网之间混用。
涉密计算机和人员
确定涉密计算机和人员,并进行严格管理(提供设备、人员文档)
涉密信息和敏感信息保护措施
按照保密管理规定对涉密信息和敏感信息采取了合理的保护措施
6、对于涉密文档使用基于密级标识的访问控制策略
身份认证、授权管理和访问控制
授权管理和访问控制
制定详细的授权管理和访问控制策略(提供文档)
身份鉴别措施
采取口令、智能卡、数字证书或生物识别等鉴别机制,并对口令等鉴别机制制定了详细的管理措施
主机安全
多余默认账号和无关服务
多余默认账号和无关服务必须关停
(续)
类 别
检查项目
检查内容
检查要求
网络与信息安全技术防范措施
操作系统和防病毒系统
操作系统更新和升级
定期对操作系统进行更新和升级,打漏洞补丁(检查操作系统漏洞情况)
防病毒系统
使用通过公安部及有关测评机构认证的防病毒系统,对病毒库及时升级,定期对全网进行病毒查杀。(提供测评资质复印件,病毒库是最新发布的)
其他技术措施
信息安全产品和网络产品
进行了安全配置(要有配置文档)
信息安全测试
现场技术测试
漏洞扫描测试
扫描网络设备(交换机、路由器、防火墙等)、服务器、操作系统和数据库是否存在漏洞
保密性测试
测试涉密和敏感信息传输存储中保密性
入侵防范测试
测试系统入侵防范能力
防火墙安全规则设置正确性测试
测试防火墙安全规则设置是否正确
网络结构安全性测试
测试核心交换机、核心路由器配置是否正确,网络结构是否正确
精品资料
浙ICP备2021020529号-1 | 浙B2-20240490 
