第九師網(wǎng)絡安全執(zhí)法檢查工作方案

1、第九師網(wǎng)絡安全執(zhí)法檢查附件1、關鍵信息基礎設施基礎調(diào)查流程 2、行業(yè)部門國家關鍵信息基礎設施基礎調(diào)查表3、關鍵信息基礎設施基本情況表4、2017年重點單位網(wǎng)絡安全自查表 5、信息系統(tǒng)安全等級保護備案表附件1關鍵信息基礎設施基礎調(diào)查流程 一、關鍵信息基礎設施定義。關鍵信息基礎設施是指關系國家核心利益、人民群眾生命財產(chǎn)安全和社會生產(chǎn)生活秩序，一旦遭到破壞、喪失功能或數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生和公共利益的網(wǎng)絡基礎設施、重要業(yè)務系統(tǒng)和生產(chǎn)控制系統(tǒng)以及重要數(shù)據(jù)資源等。 二、關鍵信息基礎設施范圍。下列單位或行業(yè)運營使用的網(wǎng)絡基礎設施、重要業(yè)務系統(tǒng)和生產(chǎn)控制系統(tǒng)以及重要數(shù)據(jù)資源等，應當納入關鍵

2、信息基礎設施，并在開展網(wǎng)絡安全等級保護的基礎上，實施重點保護。原則上安全保護等級在第三級（含）以上的保護對象才能納入關鍵信息基礎設施范圍。（一）電信網(wǎng)、廣電網(wǎng)、互聯(lián)網(wǎng)等基礎信息網(wǎng)絡，以及云計算、大數(shù)據(jù)和其他大型公共網(wǎng)絡服務的運營單位;（二）能源、資源、金融、交通、公用事業(yè)、應急救援、環(huán)境保護等為社會生產(chǎn)生活提供基礎支撐的重要行業(yè)；（三）國防科工、航空航天、大型裝備、核工業(yè)、化工、食品藥品、信息技術等研制生產(chǎn)單位；（四）廣播電臺、電視臺、通訊社等新聞單位；（五）管理國家事務和提供公共服務的國家機關；（六）其他關系國家核心利益、人民群眾生命財產(chǎn)安全和社會生產(chǎn)生活秩序的單位或行業(yè)。三、關鍵信息基礎設

3、施的梳理流程（一）全面開展調(diào)查摸底。各行業(yè)、各部門要部署本行業(yè)、本部門重要信息系統(tǒng)運營使用單位全面梳理本行業(yè)、本部門網(wǎng)絡基礎設施、重要業(yè)務系統(tǒng)和生產(chǎn)控制系統(tǒng)以及重要數(shù)據(jù)資源底數(shù)，根據(jù)網(wǎng)絡安全法和國家關鍵信息基礎設施定義和范圍，在網(wǎng)絡安全等級保護制度的基礎上，結合本行業(yè)、本部門第三級（含）以上信息系統(tǒng)在公眾服務、經(jīng)濟建設、社會發(fā)展等涉及國計民生領域的重要程度以及一旦遭到破壞后的危害程度，初步梳理本行業(yè)、本部門國家關鍵信息基礎設施。（二）組織行業(yè)內(nèi)部評估。各行業(yè)主管部門要加強對本行業(yè)各重要信息系統(tǒng)運營使用單位如何梳理關鍵信息基礎設施工作的指導，及時匯總本行業(yè)各重要信息系統(tǒng)運營使用單位梳理的國家關鍵

4、信息基礎設施名單，組織行業(yè)內(nèi)部專家根據(jù)網(wǎng)絡基礎設施、重要業(yè)務系統(tǒng)和生產(chǎn)控制系統(tǒng)以及重要數(shù)據(jù)資源在本行業(yè)的重要程度，結合行業(yè)特點逐一進行評估和專家評審，梳理出本行業(yè)國家關鍵信息基礎設施。（三）公安機關加強指導。沒有明確行業(yè)主管部門的重要信息系統(tǒng)運營使用單位，由單位總部組織梳理本單位關鍵信息基礎設施，報當?shù)毓矙C關網(wǎng)安部門。公安網(wǎng)安部門要結合網(wǎng)絡安全等級保護工作情況，指導有關部門梳理關鍵信息基礎設施，組織本地網(wǎng)絡安全專家開展集中評估，形成關鍵信息基礎設施名單。（四）匯總填表上報。各行業(yè)、各部門請于5月底前梳理出本行業(yè)、本部門國家關鍵信息基礎設施名單，并填報行業(yè)部門國家關鍵信息基礎設施基礎調(diào)查表報送

5、屬地公安機關網(wǎng)安部門。每個梳理出的國家關鍵信息基礎設施要同時填報國家關鍵信息基礎設施基本情況表，連同電子版一并報送屬地公安機關網(wǎng)安部門。-32-附件2行業(yè)部門國家關鍵信息基礎設施基礎調(diào)查表序號單位名稱聯(lián)系人數(shù)量關鍵信息基礎設施名稱安全保護等級備案編號備案公安機關名稱姓名電話1單位1等級保護備案系統(tǒng)（網(wǎng)絡、系統(tǒng)或數(shù)據(jù)資源等）等級保護備案系統(tǒng)（網(wǎng)絡、系統(tǒng)或數(shù)據(jù)資源等）.2單位2等級保護備案系統(tǒng)（網(wǎng)絡、系統(tǒng)或數(shù)據(jù)資源等）等級保護備案系統(tǒng)（網(wǎng)絡、系統(tǒng)或數(shù)據(jù)資源等）.合計單位總數(shù)關鍵信息基礎設施總數(shù)附件3國家關鍵信息基礎設施基本情況表等級保護備案系統(tǒng)（網(wǎng)絡、系統(tǒng)或數(shù)據(jù)資源等）運營使用單位名稱單位聯(lián)系人姓

6、名固定電話手機電話安全保護等級備案編號所屬行業(yè)/領域受理備案的公安機關服務范圍服務對象關鍵信息基礎設施是否連接互聯(lián)網(wǎng)？是否（注：如果連接互聯(lián)網(wǎng)，請?zhí)顚戧P鍵信息基礎設施以下接入信息）域名域名注冊服務機構和聯(lián)系方式.cn域名的NS記錄.cn域名的A記錄主站IP地址范圍主要協(xié)議/端口操作系統(tǒng)版本接入運營商及聯(lián)系方式物理接入位置接入帶寬CDN IP地址范圍CDN 服務提供商CDN 聯(lián)系人姓名手機號附件42017年重點單位網(wǎng)絡安全自查表表一：行業(yè)主管部門填寫一、行業(yè)主管部門基本情況行業(yè)主管部門名稱單位地址網(wǎng)絡安全分管領導姓名職務/職稱網(wǎng)絡安全責任部門責任部門負責人姓名職務/職稱辦公電話移動電話責任部門聯(lián)

7、系人姓名職務/職稱辦公電話移動電話傳真郵箱地址全行業(yè)信息系統(tǒng)總數(shù)第四級系統(tǒng)數(shù)第三級系統(tǒng)數(shù)第二級系統(tǒng)數(shù)未定級系統(tǒng)數(shù)全行業(yè)信息系統(tǒng)等級測評總數(shù)第四級系統(tǒng)數(shù)第三級系統(tǒng)數(shù)第二級系統(tǒng)數(shù)未測評系統(tǒng)數(shù)全行業(yè)信息系統(tǒng)安全建設整改總數(shù)第四級系統(tǒng)數(shù)第三級系統(tǒng)數(shù)第二級系統(tǒng)數(shù)未整改系統(tǒng)數(shù)本級單位信息系統(tǒng)總數(shù)第四級系統(tǒng)數(shù)第三級系統(tǒng)數(shù)第二級系統(tǒng)數(shù)未整改系統(tǒng)數(shù)二、行業(yè)主管部門網(wǎng)絡安全工作情況1、行業(yè)網(wǎng)絡安全工作的組織領導情況（重點包括：行業(yè)網(wǎng)絡安全領導機構或網(wǎng)絡安全等級保護工作領導機構成立情況；行業(yè)網(wǎng)絡安全或網(wǎng)絡安全等級保護工作的職責部門和具體職能情況；全行業(yè)網(wǎng)絡安全等級保護工作部署情況等。）2、行業(yè)網(wǎng)絡安全等級保護工作保

8、障情況（重點包括：行業(yè)網(wǎng)絡安全等級保護工作年度考核情況；行業(yè)主管部門組織對地方對口部門或所屬企事業(yè)單位網(wǎng)絡安全檢查情況；行業(yè)網(wǎng)絡安全工作經(jīng)費是否納入年度預算?行業(yè)網(wǎng)絡安全工作的經(jīng)費約占行業(yè)信息化建設經(jīng)費的百分比情況等。）3、行業(yè)網(wǎng)絡安全責任追究制度執(zhí)行情況（重點包括：是否建立了行業(yè)網(wǎng)絡安全責任追究制度？是否依據(jù)責任追究制度對行業(yè)發(fā)生的網(wǎng)絡安全事件（事故）進行追責等情況。）4、行業(yè)網(wǎng)絡安全與信息通報工作情況（重點包括：是否加入了國家網(wǎng)絡與信息安全通報機制？是否建立了本行業(yè)網(wǎng)絡與信息安全通報機制？行業(yè)組織開展日常網(wǎng)絡安全監(jiān)測情況；本行業(yè)開展網(wǎng)絡與信息安全通報預警工作的總體情況等。）5、行業(yè)重要網(wǎng)絡

9、安全政策和技術標準的制定情況（重點包括：行業(yè)出臺網(wǎng)絡安全或等級保護政策、管理辦法、管理規(guī)定等規(guī)范性文件情況，具體文件名字和出臺時間；行業(yè)出臺網(wǎng)絡安全或等級保護標準規(guī)范情況，具體文件名字和出臺時間等情況。）6、行業(yè)網(wǎng)絡安全頂層設計和統(tǒng)籌規(guī)劃情況（重點包括：行業(yè)網(wǎng)絡安全頂層設計情況；行業(yè)網(wǎng)絡安全工作的短期目標和長遠規(guī)劃制定情況；全行業(yè)的網(wǎng)絡安全保護策略制定情況等。）7、行業(yè)數(shù)據(jù)資源保護情況（重點包括：行業(yè)數(shù)據(jù)中心建設情況；行業(yè)數(shù)據(jù)資源存儲情況；行業(yè)數(shù)據(jù)資源安全保護情況；行業(yè)數(shù)據(jù)資源的災備中心建設情況和數(shù)據(jù)備份恢復情況，行業(yè)數(shù)據(jù)資源存儲和應用是否由社會第三方提供？提供服務單位的具體情況等）8、行業(yè)網(wǎng)

10、絡安全應急預案和演練情況（重點包括：是否制定了行業(yè)網(wǎng)絡安全預案？行業(yè)網(wǎng)絡安全預案是否進行了演練？是否根據(jù)演練情況對預案進行了修改完善等情況）9、行業(yè)網(wǎng)絡安全應急隊伍建設情況（重點包括：是否建立了本行業(yè)網(wǎng)絡安全應急隊伍？是否組建了行業(yè)網(wǎng)絡安全專家隊伍？是否與社會企業(yè)簽訂了應急支持協(xié)議？行業(yè)應急隊伍建設規(guī)劃等情況。）10、行業(yè)網(wǎng)絡安全事件（事故）的處置情況（重點包括：是否明確了行業(yè)網(wǎng)絡安全事件（事故）發(fā)現(xiàn)、報告和處置流程？年內(nèi)是否發(fā)生重大網(wǎng)絡安全事件（事故）？是否與相關部門建立了網(wǎng)絡安全應急處置機制等情況。）11、行業(yè)網(wǎng)絡安全宣傳培訓情況（重點包括：行業(yè)組織開展網(wǎng)絡安全宣傳教育情況；行業(yè)組織開展網(wǎng)

11、絡安全領導干部培訓、業(yè)務骨干培訓和網(wǎng)絡安全員培訓等情況。）12、行業(yè)新技術、新應用安全保護情況（重點包括：行業(yè)大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等應用情況；是否開展等級保護工作情況；新技術、新應用網(wǎng)絡安全保護等情況。）表二：信息系統(tǒng)運營使用單位填寫一、信息系統(tǒng)運營使用單位基本情況單位名稱單位地址網(wǎng)絡安全分管領導姓名職務/職稱網(wǎng)絡安全責任部門責任部門負責人姓名職務/職稱辦公電話移動電話責任部門聯(lián)系人姓名職務/職稱辦公電話移動電話單位信息系統(tǒng)總數(shù)第四級系統(tǒng)數(shù)第三級系統(tǒng)數(shù)第二級系統(tǒng)數(shù)未定級系統(tǒng)數(shù)單位信息系統(tǒng)等級測評總數(shù)第四級系統(tǒng)數(shù)第三級系統(tǒng)數(shù)第二級系統(tǒng)數(shù)未測評系統(tǒng)數(shù)單位信息系統(tǒng)安全建設整改總數(shù)第四

12、級系統(tǒng)數(shù)第三級系統(tǒng)數(shù)第二級系統(tǒng)數(shù)未整改系統(tǒng)數(shù)單位信息系統(tǒng)安全自查總數(shù)第四級系統(tǒng)數(shù)第三級系統(tǒng)數(shù)第二級系統(tǒng)數(shù)未自查系統(tǒng)數(shù)二、信息系統(tǒng)運營使用單位網(wǎng)絡安全工作情況1、單位網(wǎng)絡安全等級保護工作的組織領導情況（重點包括：單位網(wǎng)絡安全領導機構或網(wǎng)絡安全等級保護工作領導機構成立情況；單位網(wǎng)絡安全或網(wǎng)絡安全等級保護工作的職責部門和具體職能情況；單位網(wǎng)絡安全等級保護工作部署情況等。）2、單位對網(wǎng)絡安全等級保護工作的保障情況（重點包括：單位網(wǎng)絡安全等級保護工作年度考核情況；單位組織開展網(wǎng)絡安全自查情況；單位網(wǎng)絡安全工作經(jīng)費是否納入年度預算?單位網(wǎng)絡安全工作的經(jīng)費約占單位信息化建設經(jīng)費的百分比情況等。）3、單位網(wǎng)絡

13、安全責任追究制度執(zhí)行情況（重點包括：是否建立了單位網(wǎng)絡安全責任追究制度？是否依據(jù)責任追究制度對單位發(fā)生的網(wǎng)絡安全事件（事故）進行追責等情況。）4、單位信息系統(tǒng)定級備案工作情況（重點包括：單位信息系統(tǒng)是否全部定級備案？單位系統(tǒng)調(diào)整是否及時進行備案變更？單位新建信息系統(tǒng)是否落實定級備案等工作。）5、單位信息系統(tǒng)安全測評和安全建設整改工作情況（重點包括：單位信息系統(tǒng)安全檢測和整改經(jīng)費落實情況；單位信息系統(tǒng)惡意代碼掃描、滲透性測試、等級測評和風險評估的安全檢測情況；信息系統(tǒng)安全建設整改方案制定和實施情況；單位網(wǎng)絡安全保護狀況的了解掌握等情況。）6、單位網(wǎng)絡安全管理制度的制定和實施情況（重點包括：單位信

14、息系統(tǒng)建設和網(wǎng)絡安全“同步規(guī)劃、同步建設、同步運行”措施的落實情況；單位人員管理，信息系統(tǒng)機房管理、設備管理、介質管理、網(wǎng)絡安全建設管理、運維管理、服務外包等管理制度的建設情況；管理制度的監(jiān)督保障和運行情況等。）7、單位重要數(shù)據(jù)的保護情況（重點包括：單位數(shù)據(jù)中心建設情況；單位重要數(shù)據(jù)存儲和安全保護情況；單位重要數(shù)據(jù)備份恢復情況，單位重要數(shù)據(jù)存儲和應用是否由社會第三方提供？提供服務單位的具體情況等）8、單位網(wǎng)絡安全監(jiān)測和預警情況（重點包括：單位開展日常網(wǎng)絡安全監(jiān)測情況；單位網(wǎng)絡安全監(jiān)測技術手段建設情況；單位網(wǎng)絡安全預警工作情況等。）9、單位網(wǎng)絡安全應急預案和演練情況（重點包括：是否制定了單位網(wǎng)絡

15、安全預案？單位網(wǎng)絡安全預案是否進行了演練？是否根據(jù)演練情況對預案進行了修改完善等情況。）10、單位網(wǎng)絡安全事件（事故）的處置情況（重點包括：是否明確了單位網(wǎng)絡安全事件（事故）發(fā)現(xiàn)、報告和處置流程？年內(nèi)是否發(fā)生重大網(wǎng)絡安全事件（事故）？是否與相關部門建立了網(wǎng)絡安全應急處置機制等情況。）11、單位信息技術產(chǎn)品、服務國產(chǎn)化情況（重點包括：單位操作系統(tǒng)、服務器、數(shù)據(jù)庫、交換機等核心信息技術產(chǎn)品的國產(chǎn)化比率情況；單位網(wǎng)絡安全設備的國產(chǎn)化比率情況；單位信息技術產(chǎn)品國產(chǎn)化替換工作計劃情況；單位新建信息系統(tǒng)是否采用國產(chǎn)化設備；單位信息安全服務情況等。）12、單位網(wǎng)絡安全宣傳培訓情況（重點包括：單位組織開展網(wǎng)絡

16、安全宣傳教育情況；單位組織開展網(wǎng)絡安全崗位培訓和網(wǎng)絡安全員培訓等情況。）三、單位信息系統(tǒng)基本情況序號信息系統(tǒng)名稱是否定級是否備案是否為關鍵信息基礎設施備案編號安全保護等級1234.表三：網(wǎng)站安全情況自查表一、網(wǎng)站的基本情況網(wǎng)站中文名IP地址網(wǎng)址網(wǎng)站責任單位網(wǎng)站運行單位網(wǎng)站責任單位負責人及職務聯(lián)系電話網(wǎng)站運行安全責任人及職務聯(lián)系電話網(wǎng)站責任單位所在地工信部ICP備案號國際聯(lián)網(wǎng)備案號隸屬關系中央 省(自治區(qū)、直轄市) 地(區(qū)、市、州、盟) 縣（區(qū)、市、旗） 其他_單位類型政府機關 事業(yè)單位 國企互聯(lián)網(wǎng) 其他_行業(yè)類別如：財政（根據(jù)等級保護備案表行業(yè)分類劃分）等級保護定級備案二級 三級 四級 未定級

17、等級測評已開展 未開展網(wǎng)站安全責任書已簽訂 未簽訂網(wǎng)站服務欄目新聞發(fā)布 政策宣傳 事項辦理 論 壇 即時通信電子郵件 留言版 政務公開 其他_ 二、網(wǎng)站的聯(lián)網(wǎng)信息域名注冊服務機構和聯(lián)系方式.cn域名的NS記錄.cn域名的A記錄主站IP地址范圍主要協(xié)議/端口操作系統(tǒng)版本接入運營商及聯(lián)系方式物理接入位置接入帶寬CDN IP地址范圍CDN 服務提供商CDN 聯(lián)系人姓名手機號三、網(wǎng)站安全保護情況1網(wǎng)站安全責任部門和安全責任人落實情況是否落實了單位網(wǎng)站安全責任部門？是 否是否落實了單位網(wǎng)站安全責任人？是 否2主要領導對網(wǎng)站網(wǎng)絡安全工作的重視情況是否將網(wǎng)站安全工作的執(zhí)行情況納入到年度考核指標？是 否 開展

18、網(wǎng)站安全工作的經(jīng)費是否納入年度預算？是 否 3單位網(wǎng)站網(wǎng)絡安全責任制落實情況是否明確了網(wǎng)站建設單位、運維單位和內(nèi)容更新單位等部門的責任？是 否 是否對發(fā)生的網(wǎng)站安全事件（事故）按照安全責任制進行追責？是 否 4關鍵崗位人員配備情況是否有明確的安全管理員，并簽訂保密協(xié)議？是 否 是否有內(nèi)容管理員，并簽訂保密協(xié)議？是 否 5網(wǎng)站定級備案執(zhí)行情況單位網(wǎng)站是否確定了安全保護等級？是 否 單位網(wǎng)站是否按要求到公安機關進行了備案？是 否 6網(wǎng)站等級測評情況是否從全國網(wǎng)絡安全等級保護測評機構推薦目錄中選擇測評機構開展等級測評？是 否 是否對網(wǎng)站系統(tǒng)定期進行安全測評？是 否 是否對網(wǎng)站系統(tǒng)進行了外部滲透測試？

19、是 否是否根據(jù)測評和滲透測試結果對網(wǎng)站進行安全加固改造？ 是 否7安全事件報告處置是否制定網(wǎng)站安全事件（事故）報告制度？是 否發(fā)生網(wǎng)站安全事件（事故）是否向屬地公安機關報告？是 否 是否有完整網(wǎng)站安全事件處置記錄？是 否是否按照要求保留網(wǎng)站完整日志？是 否 8開展網(wǎng)站安全監(jiān)測和預警情況本單位是否開展日常網(wǎng)站安全監(jiān)測？是 否 是否有網(wǎng)站安全監(jiān)測記錄？是 否 是否有網(wǎng)站安全預警和處理記錄？是 否 9網(wǎng)站內(nèi)容管理是否制定網(wǎng)站內(nèi)容發(fā)布管理制度？是 否 是否制定網(wǎng)站內(nèi)容發(fā)布流程？是 否 10應急預案的制定、演練和完善情況是否有應急預案，并有相應的預案文檔？是 否 是否有應急保障隊伍并有人員聯(lián)系

20、方式？是 否 是否定期應急演練并有應急演練的文檔記錄？是 否 是否根據(jù)演練結果對應急預案進行完善？是 否 11機房安全管理制度執(zhí)行情況本單位機房進出人員管理是否按照制度執(zhí)行，并有詳細記錄？是 否 本單位機房日常監(jiān)控是否制度執(zhí)行并有監(jiān)控記錄？是 否 12網(wǎng)絡安全檢查情況是否有網(wǎng)站安全自查工作總結報告？是 否 13網(wǎng)站交互式欄目信息巡查情況單位網(wǎng)站是否有交互式欄目？是 否 是否有專人負責網(wǎng)站交互式欄目信息巡查？是 否 14網(wǎng)絡邊界安全防護設備情況是否部署防火墻？是 否 是否對外屏蔽了不必要的服務/端口？是 否 是否部署入侵檢測（防護）設備？是 否 是否部署防病毒網(wǎng)關？是 否 是否部署抗拒絕服務攻擊

21、設備？是 否 是否部署Web應用防火墻？是 否 是否部署設備？是 否 15網(wǎng)頁防篡改措施是否定期對網(wǎng)站文件進行檢測？是 否 是否采取網(wǎng)頁防篡改措施？是 否 16漏洞掃描措施及修復升級情況是否進行過系統(tǒng)層漏洞掃描，并有詳細記錄？是 否 是否進行過應用層漏洞掃描，并有詳細記錄？是 否 發(fā)現(xiàn)的漏洞是否及時修復？是 否 17網(wǎng)站惡意代碼防護是否有網(wǎng)頁掛馬檢測系統(tǒng)？是 否 18網(wǎng)站內(nèi)容安全防護措施內(nèi)容編輯、審核及發(fā)布權限是否分離？是 否 關鍵信息發(fā)布是否多級審核？是 否 網(wǎng)站發(fā)布內(nèi)容是否過濾？是 否 19管理終端安全防護措施是否有控制措施（如地址綁定，網(wǎng)絡接入控制等）？是 否 20網(wǎng)站后臺管理系統(tǒng)防護措

22、施是否對網(wǎng)站后臺管理系統(tǒng)的接口進行隱藏？是 否 網(wǎng)站后臺管理系統(tǒng)登錄是否采取驗證機制？是 否 是否對網(wǎng)站后臺管理系統(tǒng)的登錄失敗嘗試次數(shù)進行限制？是 否 是否對網(wǎng)站后臺管理系統(tǒng)的用戶口令復雜度進行強度限制？是 否 21主要設備可用性網(wǎng)站服務器和數(shù)據(jù)庫服務器是否雙機熱備？是 否 網(wǎng)站服務器和數(shù)據(jù)庫服務器是否采用冷備方式？是 否 22網(wǎng)站前、后臺系統(tǒng)隔離情況是否采用邏輯隔離？是 否 23網(wǎng)站應用遠程管理情況是否不允許遠程管理網(wǎng)站的應用？是 否 應用遠程管理時是否采用加密通道？是 否 24網(wǎng)站內(nèi)容遠程維護情況是否不允許遠程維護網(wǎng)站內(nèi)容？是 否 網(wǎng)站內(nèi)容遠程維護時是否采用加密通道？是 否 25網(wǎng)站服務器

23、操作系統(tǒng)安全措施網(wǎng)站服務器操作系統(tǒng)安全補丁是否及時更新？是 否 網(wǎng)站服務器操作系統(tǒng)是否存在弱口令？是 否 26網(wǎng)站服務器數(shù)據(jù)庫安全措施網(wǎng)站服務器數(shù)據(jù)庫是否存在弱口令？是 否 網(wǎng)站服務器數(shù)據(jù)庫是否共用同一管理口令？是 否 27網(wǎng)站服務器中間件安全措施網(wǎng)站服務器中間件管理界面是否允許外部訪問？是 否 網(wǎng)站服務器中間件是否存在弱口令？是 否 28網(wǎng)站安全整治專項工作情況是否完成網(wǎng)站通信管理部門備案？是 否 是否完成網(wǎng)站等級保護備案？是 否是否完成網(wǎng)站統(tǒng)一標識？是 否 附件5：信息系統(tǒng)安全等級保護定級報告模版信息系統(tǒng)安全等級保護定級報告一、XXX信息系統(tǒng)描述簡述確定該系統(tǒng)為定級對象的理由。從三方面進行

24、說明：一是描述承擔信息系統(tǒng)安全責任的相關單位或部門，說明本單位或部門對信息系統(tǒng)具有信息安全保護責任，該信息系統(tǒng)為本單位或部門的定級對象；二是該定級對象是否具有信息系統(tǒng)的基本要素，描述基本要素、系統(tǒng)網(wǎng)絡結構、系統(tǒng)邊界和邊界設備；三是該定級對象是否承載著單一或相對獨立的業(yè)務，業(yè)務情況描述。二、XXX信息系統(tǒng)安全保護等級確定（定級方法參見國家標準信息系統(tǒng)安全等級保護定級指南）（一）業(yè)務信息安全保護等級的確定1、業(yè)務信息描述描述信息系統(tǒng)處理的主要業(yè)務信息等。2、業(yè)務信息受到破壞時所侵害客體的確定說明信息受到破壞時侵害的客體是什么，即對三個客體（國家安全；社會秩序和公眾利益；公民、法人和其他組織的合法權

25、益）中的哪些客體造成侵害。3、信息受到破壞后對侵害客體的侵害程度的確定說明信息受到破壞后，會對侵害客體造成什么程度的侵害，即說明是一般損害、嚴重損害還是特別嚴重損害。4、業(yè)務信息安全等級的確定依據(jù)信息受到破壞時所侵害的客體以及侵害程度，確定業(yè)務信息安全等級。（二）系統(tǒng)服務安全保護等級的確定1、系統(tǒng)服務描述描述信息系統(tǒng)的服務范圍、服務對象等。2、系統(tǒng)服務受到破壞時所侵害客體的確定說明系統(tǒng)服務受到破壞時侵害的客體是什么，即對三個客體（國家安全；社會秩序和公眾利益；公民、法人和其他組織的合法權益）中的哪些客體造成侵害。3、系統(tǒng)服務受到破壞后對侵害客體的侵害程度的確定說明系統(tǒng)服務受到破壞后，會對侵害客

26、體造成什么程度的侵害，即說明是一般損害、嚴重損害還是特別嚴重損害。4、系統(tǒng)服務安全等級的確定依據(jù)系統(tǒng)服務受到破壞時所侵害的客體以及侵害程度確定系統(tǒng)服務安全等級。（三）安全保護等級的確定信息系統(tǒng)的安全保護等級由業(yè)務信息安全等級和系統(tǒng)服務安全等級較高者決定，最終確定XXX系統(tǒng)安全保護等級為第幾級。信息系統(tǒng)名稱安全保護等級業(yè)務信息安全等級系統(tǒng)服務安全等級XXX信息系統(tǒng)XXX備案表編號：信息系統(tǒng)安全等級保護備案表備 案 單 位： （蓋章） 備 案 日 期： 受理備案單位： （蓋章） 受 理 日 期： 中華人民共和國公安部監(jiān)制填表說明一、 制表依據(jù)。根據(jù)信息安全等級保護管理辦法（公通字200743號）之

27、規(guī)定，制作本表；二、 填表范圍。本表由第二級以上信息系統(tǒng)運營使用單位或主管部門（以下簡稱“備案單位”）填寫；本表由四張表單構成，表一為單位信息，每個填表單位填寫一張；表二為信息系統(tǒng)基本信息，表三為信息系統(tǒng)定級信息，表二、表三每個信息系統(tǒng)填寫一張；表四為第三級以上信息系統(tǒng)需要同時提交的內(nèi)容，由每個第三級以上信息系統(tǒng)填寫一張，并在完成系統(tǒng)建設、整改、測評等工作，投入運行后三十日內(nèi)向受理備案公安機關提交；表二、表三、表四可以復印使用；三、 保存方式。本表一式二份，一份由備案單位保存，一份由受理備案公安機關存檔；四、 本表中有選擇的地方請在選項左側“0”劃“”，如選擇“其他”，請在其后的橫線中注明詳細

28、內(nèi)容；五、 封面中備案表編號（由受理備案的公安機關填寫并校驗）：分兩部分共11位，第一部分6位，為受理備案公安機關代碼前六位（可參照行標GA380-2002）。第二部分5位，為受理備案的公安機關給出的備案單位的順序編號；六、 封面中備案單位：是指負責運營使用信息系統(tǒng)的法人單位全稱；七、 封面中受理備案單位：是指受理備案的公安機關公共信息網(wǎng)絡安全監(jiān)察部門名稱。此項由受理備案的公安機關負責填寫并蓋章；八、 表一04行政區(qū)劃代碼：是指備案單位所在的地(區(qū)、市、州、盟)行政區(qū)劃代碼； 九、 表一05單位負責人：是指主管本單位信息安全工作的領導；十、 表一06責任部門：是指單位內(nèi)負責信息系統(tǒng)安全工作的部

29、門；十一、 表一08隸屬關系：是指信息系統(tǒng)運營使用單位與上級行政機構的從屬關系，須按照單位隸屬關系代碼（GB/T124041997）填寫； 十二、 表二02系統(tǒng)編號：是由運營使用單位給出的本單位備案信息系統(tǒng)的編號；十三、 表二05系統(tǒng)網(wǎng)絡平臺：是指系統(tǒng)所處的網(wǎng)絡環(huán)境和網(wǎng)絡構架情況；十四、 表二07關鍵產(chǎn)品使用情況：國產(chǎn)品是指系統(tǒng)中該類產(chǎn)品的研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股，在中華人民共和國境內(nèi)具有獨立的法人資格，產(chǎn)品的核心技術、關鍵部件具有我國自主知識產(chǎn)權；十五、 表二08系統(tǒng)采用服務情況：國內(nèi)服務商是指服務機構在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外），由中國公民

30、、法人或國家投資的企事業(yè)單位；十六、 表三01、02、03項：填寫上述三項內(nèi)容，確定信息系統(tǒng)安全保護等級時可參考信息系統(tǒng)安全等級保護定級指南，信息系統(tǒng)安全保護等級由業(yè)務信息安全等級和系統(tǒng)服務安全等級較高者決定。01、02項中每一個確定的級別所對應的損害客體及損害程度可多選；十七、 表三06主管部門：是指對備案單位信息系統(tǒng)負領導責任的行政或業(yè)務主管單位或部門。部級單位此項可不填；十八、 解釋：本表由公安部公共信息網(wǎng)絡安全監(jiān)察局監(jiān)制并負責解釋，未經(jīng)允許，任何單位和個人不得對本表進行改動。表一 單位基本情況01 單位名稱 02 單位地址 省(自治區(qū)、直轄市) 地(區(qū)、市、州、盟) 縣(區(qū)、市、旗)0

31、3 郵政編碼04 行政區(qū)劃代碼05 單位負責人姓 名職務/職稱辦公電話電子郵件06 責任部門07 責任部門聯(lián)系人姓 名職務/職稱辦公電話電子郵件移動電話08 隸屬關系01中央 02省(自治區(qū)、直轄市) 0 3地(區(qū)、市、州、盟)04縣（區(qū)、市、旗） 09其他 09 單位類型01黨委機關 02政府機關 03事業(yè)單位 04企業(yè) 09其他 10 行業(yè)類別011電信 012廣電 013經(jīng)營性公眾互聯(lián)網(wǎng)021鐵路 022銀行 023海關 024稅務 025民航 026電力 027證券 028保險031國防科技工業(yè) 032公安 033人事勞動和社會保障 034財政035審計 036商業(yè)貿(mào)易 037國土資源

32、 038能源039交通 040統(tǒng)計 041工商行政管理 042郵政043教育 044文化 045衛(wèi)生 046農(nóng)業(yè) 047水利 048外交 049發(fā)展改革 050科技 051宣傳 052質量監(jiān)督檢驗檢疫099其他 11 信息系統(tǒng)總數(shù) 個12 第二級信息系統(tǒng)數(shù)個13 第三級信息系統(tǒng)數(shù)個14 第四級信息系統(tǒng)數(shù)個15 第五級信息系統(tǒng)數(shù)個表二（ / ）信息系統(tǒng)情況01 系統(tǒng)名稱02 系統(tǒng)編號03 系統(tǒng)承載業(yè)務情況業(yè)務類型01生產(chǎn)作業(yè) 02指揮調(diào)度 03管理控制 04內(nèi)部辦公 05公眾服務 09其他 業(yè)務描述 固定IP:04 系統(tǒng)服務情況服務范圍010全國 011跨省（區(qū)、市） 跨 個 020全省（區(qū)、市

33、） 021跨地（市、區(qū)） 跨 個030地（市、區(qū)）內(nèi) 099其它 服務對象01單位內(nèi)部人員 02社會公眾人員 03兩者均包括 09其他 05 系統(tǒng)網(wǎng)絡平臺覆蓋范圍01局域網(wǎng) 02城域網(wǎng) 03廣域網(wǎng) 09其他 網(wǎng)絡性質01業(yè)務專網(wǎng) 02互聯(lián)網(wǎng) 09其它 06 系統(tǒng)互聯(lián)情況01與其他行業(yè)系統(tǒng)連接 02與本行業(yè)其他單位系統(tǒng)連接03與本單位其他系統(tǒng)連接 09其它 07 關鍵產(chǎn)品使用情況序號產(chǎn)品類型數(shù)量使用國產(chǎn)品率全部使用 全部未使用部分使用及使用率 1安全專用產(chǎn)品1000 %2網(wǎng)絡產(chǎn)品1000 %3操作系統(tǒng)1000 %4數(shù)據(jù)庫000 %5服務器1000 %6其他 000 %08 系統(tǒng)采用服務情況序號服務類型服務責任方類型本行業(yè)（單位）國內(nèi)其他服務商國外服務商1等級測評0有0無R002風險評估0有0無0003災難恢復0有0無0004應急響應0有0無R005系統(tǒng)集成0有0無R006安全咨詢0有0無0007安全培訓0有0無R008其它 00009 等級測評單位名稱10 何時投入運行使用 11 系統(tǒng)是否是分系統(tǒng)0是 0否（如選擇是請?zhí)钕聝身棧?2 上級系統(tǒng)