網(wǎng)絡(luò)安全檢查表

-.z.附件網(wǎng)絡(luò)平安檢查表部門根本情況部門名稱**縣人民醫(yī)院分管網(wǎng)絡(luò)平安工作的領(lǐng)導(dǎo)〔本部門正/副職領(lǐng)導(dǎo)〕①：黃寶根②職務(wù)：副院長網(wǎng)絡(luò)平安管理機(jī)構(gòu)〔如辦公室〕①名稱：信息科②負(fù)責(zé)人：童黎霞職務(wù)：科長③聯(lián)系人：童黎霞辦公：手機(jī)：網(wǎng)絡(luò)平安專職工作機(jī)構(gòu)〔如信息中心〕①名稱：②負(fù)責(zé)人：辦公：手機(jī)：二、網(wǎng)絡(luò)平安日常管理情況人員管理①崗位網(wǎng)絡(luò)平安責(zé)任制度：□已建立√未建立②重點(diǎn)崗位人員平安**協(xié)議：□全部簽訂□局部簽訂√均未簽訂③人員離崗離職平安管理規(guī)定：□已制定√未制定④外部人員機(jī)房等重要區(qū)域?qū)徟贫龋骸桃呀ⅰ跷唇①Y產(chǎn)管理①資產(chǎn)管理制度：□已建立√未建立②設(shè)備維修維護(hù)和報(bào)廢管理：□已建立管理制度，且記錄完整□已建立管理制度，但記錄不完整√未建立管理制度三、網(wǎng)絡(luò)平安防護(hù)情況網(wǎng)絡(luò)邊界平安防護(hù)①網(wǎng)絡(luò)平安防護(hù)設(shè)備部署〔可多項(xiàng)選擇〕：√防火墻□入侵檢測設(shè)備□平安審計(jì)設(shè)備□防病毒網(wǎng)關(guān)□抗拒絕效勞攻擊設(shè)備□其它：②√設(shè)備平安策略：□使用默認(rèn)配置□根據(jù)需要配置③網(wǎng)絡(luò)日志：□留存日志√未留存日志無線網(wǎng)絡(luò)平安防護(hù)①本單位使用無線路由器的數(shù)量：1個(gè)②無線路由器用途：互聯(lián)網(wǎng)：個(gè)業(yè)務(wù)/辦公網(wǎng)絡(luò)：1個(gè)③平安防護(hù)策略〔可多項(xiàng)選擇〕：√采取身份鑒別措施□采取地址過濾措施□未設(shè)置平安防護(hù)策略④無線路由器使用默認(rèn)管理地址情況：√存在□不存在⑤無線路由器使用默認(rèn)管理口令情況：√存在□不存在門戶平安防護(hù)①門戶域名：②門戶IP地址：③網(wǎng)頁防篡改措施：□采取√未采?、苈┒磼呙瑁骸醵ㄆ趻呙瑁芷凇醪欢ㄆ凇涛催M(jìn)展⑤信息發(fā)布管理：□已建立審核制度，且記錄完整□已建立審核制度，但記錄不完整√未建立審核制度⑥運(yùn)維方式：自行運(yùn)維√委托第三方運(yùn)維電子平安防護(hù)①建立方式：□自行建立√使用第三方效勞效勞提供商②賬戶數(shù)量：1個(gè)③注冊管理：□須經(jīng)審批√任意注冊④口令管理：□使用技術(shù)措施控制口令強(qiáng)度√沒有采取技術(shù)措施控制口令強(qiáng)度⑤平安防護(hù)：〔可多項(xiàng)選擇〕√采取病毒木馬防護(hù)措施□部署防火墻、入侵檢測等設(shè)備□采取反垃圾措施□其他：終端計(jì)算機(jī)平安防護(hù)①平安管理方式：□集中統(tǒng)一管理〔可多項(xiàng)選擇〕√標(biāo)準(zhǔn)軟硬件安裝□統(tǒng)一補(bǔ)丁升級□統(tǒng)一病毒防護(hù)□統(tǒng)一安排審計(jì)□對移動存儲介質(zhì)接入實(shí)施控制√分散管理②接入互聯(lián)網(wǎng)平安控制措施：□有控制措施〔如實(shí)名接入、綁定計(jì)算機(jī)IP和MAC地址等〕√無控制措施③接入辦公系統(tǒng)平安措施措施：√有控制措施〔如實(shí)名接入、綁定計(jì)算機(jī)IP和MAC地址等〕□無控制措施移動存儲介質(zhì)平安防護(hù)①管理方式：□集中管理，統(tǒng)一登記、配發(fā)、收回、維修、報(bào)廢、銷毀√未采取集中管理方式②信息銷毀：□已配備信息消除和銷毀設(shè)備√未配備信息消防和銷毀設(shè)備四、網(wǎng)絡(luò)平安教育培訓(xùn)情況培訓(xùn)次數(shù)本年度開展網(wǎng)絡(luò)平安教育培訓(xùn)的次數(shù)：1次培訓(xùn)人數(shù)本年度承受網(wǎng)絡(luò)平安教育培訓(xùn)的人數(shù)：120人占本部門總?cè)藬?shù)的比例：30%五、網(wǎng)絡(luò)平安經(jīng)費(fèi)預(yù)算投入情況經(jīng)費(fèi)預(yù)算本年度網(wǎng)絡(luò)平安經(jīng)費(fèi)預(yù)算額：萬元經(jīng)費(fèi)投入上一年度網(wǎng)絡(luò)平安經(jīng)費(fèi)實(shí)際投入額：萬元網(wǎng)頁被篡改情況門戶網(wǎng)頁被篡改〔含內(nèi)嵌惡意代碼〕次數(shù)：六、信息技術(shù)外包效勞機(jī)構(gòu)情況〔包括參與技術(shù)檢測的外部專業(yè)機(jī)構(gòu)〕外包效勞機(jī)構(gòu)1機(jī)構(gòu)名稱**三佳醫(yī)療信息技術(shù)**機(jī)構(gòu)性質(zhì)□國有單位√民營企業(yè)□外資企業(yè)效勞內(nèi)容√系統(tǒng)集成□系統(tǒng)運(yùn)維□風(fēng)險(xiǎn)評估□平安檢測□平安加固□應(yīng)急支持√數(shù)據(jù)存儲√災(zāi)難備份□其他網(wǎng)絡(luò)平安**協(xié)議□已簽訂√未簽訂七、對網(wǎng)絡(luò)平安及平安檢查工作的建議-.z.附件2網(wǎng)絡(luò)平安管理工作自評估表評估指私服評價(jià)要素評價(jià)標(biāo)準(zhǔn)權(quán)重〔V〕指標(biāo)屬性量化方法〔P為量化值〕評估得分〔V×P〕信息平安組織管理〔7〕信息平安主管領(lǐng)導(dǎo)明確一名主管領(lǐng)導(dǎo)負(fù)責(zé)本部門信息平安工作〔主管領(lǐng)導(dǎo)應(yīng)為本部門正職或副職領(lǐng)導(dǎo)〕3定性已明確，本年度就信息平安工作作出批示或主持召開專題會議，P=1；已明確，本年度未就信息平安工作作出批示或主持召開專題會議，P=0.5；尚未明確，P=0。0.5信息平安管理機(jī)構(gòu)指定一個(gè)機(jī)構(gòu)具體承當(dāng)信息平安管理工作〔管理機(jī)構(gòu)應(yīng)為本部門二級機(jī)構(gòu)〕。2定性已指定，并以正式文件等形式明確其職責(zé)，P=1；未指定，P=01信息平安員各內(nèi)設(shè)機(jī)構(gòu)指定一名專職或兼職信息平安員。2定性P=指定信息平安員的內(nèi)設(shè)機(jī)構(gòu)數(shù)量與內(nèi)設(shè)機(jī)構(gòu)總數(shù)的比率。1信息平安日常管理〔33〕規(guī)章制度制度完整性建立信息平安管理制度體系，包括人員管理、資產(chǎn)管理、采購管理、外包管理、教育培訓(xùn)等。3定性制定完整，P=1；制度不完整，P=0.5；無制度，P=0。0.5制度發(fā)布平安管理制度以正式文件等形式發(fā)布。2定性符合，P=1；不符合，P=0。人員管理重點(diǎn)崗位人員簽訂平安**協(xié)議重點(diǎn)崗位人員〔系統(tǒng)管理員、網(wǎng)絡(luò)管理員、信息平安員等〕簽訂信息平安與**協(xié)議。2定性P=重點(diǎn)崗位人員中簽訂信息平安與**協(xié)議的比率。人員離崗離職管理措施人員離崗離職時(shí)，收回其相關(guān)權(quán)限，簽署平安**承諾書。1定性符合，P=1；不符合，P=0。外部人員管理措施外部人員機(jī)房等重要區(qū)域時(shí)采取審批、人員陪同、進(jìn)出記錄等平安管理措施。2定性符合，P=1；不符合，P=0。1資產(chǎn)管理責(zé)任落實(shí)指定專人負(fù)責(zé)資產(chǎn)管理，并明確責(zé)任人職責(zé)。2定性符合，P=1；不符合，P=0。建立臺賬建立完整資產(chǎn)臺賬，統(tǒng)一編號、統(tǒng)一標(biāo)識、統(tǒng)一發(fā)放。2定性符合，P=1；不符合，P=0。賬物符合度資產(chǎn)臺賬與實(shí)際設(shè)備相一致。1定性符合，P=1；不符合，P=0。設(shè)備維修維護(hù)和報(bào)廢管理措施完整記錄設(shè)備維修維護(hù)和報(bào)廢信息〔時(shí)間、地點(diǎn)、內(nèi)容、責(zé)任人等〕。2定性記錄完整，P=1；記錄根本完整，P=0.5；記錄不完整或無記錄，P=0。評估指私服評價(jià)要素評價(jià)標(biāo)準(zhǔn)權(quán)重〔V〕指標(biāo)屬性量化方法〔P為量化值〕評估得分〔V×P〕信息平安日常管理〔33〕外包管理外包效勞協(xié)議與信息技術(shù)外包效勞提供商簽訂信息平安與**協(xié)議，或在效勞合同中明確信息平安與**責(zé)任。3定性符合，P=1；不符合，P=0。1現(xiàn)場效勞管理現(xiàn)場效勞過程中安排專人管理，并記錄效勞過程。2定性記錄完整，P=1；制度不完整，P=0.5；無記錄，P=0。0.5外包開發(fā)管理外包開發(fā)的系統(tǒng)、軟件上線前通過信息平安測評。3定性P=外包開發(fā)的系統(tǒng)、軟件上線前通過信息平安測評的比率。運(yùn)維效勞方式原則上不得采用遠(yuǎn)程在線方式，確需采用時(shí)采取書面審批、控制、在線監(jiān)測、日志審計(jì)等平安防護(hù)措施。2定性符合，P=1；不符合，P=0。經(jīng)費(fèi)保障經(jīng)費(fèi)預(yù)算將信息平安設(shè)施運(yùn)維、日常管理、教育培訓(xùn)、檢查評估等費(fèi)用納入年度預(yù)算。3定性符合，P=1；不符合，P=0。內(nèi)容管理信息發(fā)布信息發(fā)布前采取內(nèi)容核查、審批等平安管理措施。2定性符合，P=1；不符合，P=0。電子信息管理介質(zhì)銷毀和信息消除配備必要的電子信息消除和銷毀設(shè)備，對變更用途的存集介質(zhì)進(jìn)展信息消除，對廢棄的存儲介質(zhì)進(jìn)展銷毀。1定性符合，P=1；不符合，P=0。信息平安技術(shù)防護(hù)〔43〕物理環(huán)境平安機(jī)房平安具備防盜竊、防破壞、防雷擊、防火、防水、防潮、防靜電及備用電力供給、溫濕度控制、電磁防護(hù)等平安措施。2定性符合，P=1；不符合，P=0。1物理控制機(jī)房配備門禁系統(tǒng)或有專人值守。1定性符合，P=1；不符合，P=0。1網(wǎng)絡(luò)邊界平安控制風(fēng)絡(luò)邊界部署控制設(shè)備，能夠阻斷非授權(quán)。3定性符合，P=1；有設(shè)備，但未配置策略，，P=0.5；無設(shè)備，P=0。0.5入侵檢測風(fēng)絡(luò)邊界部署入侵檢測設(shè)備，定期更新檢測規(guī)則庫。3定性符合，P=1；有設(shè)備，但未定期更新，P=0.5；無設(shè)備，P=0。平安審計(jì)網(wǎng)絡(luò)邊界部署平安審計(jì)設(shè)備，對網(wǎng)絡(luò)情況進(jìn)展定期分析審計(jì)并記錄審計(jì)情況。3定性符合，P=1；有設(shè)備，但未定期分析，P=0.5；無設(shè)備，P=0?；ヂ?lián)網(wǎng)接入口數(shù)量各單位同一辦公區(qū)域內(nèi)互聯(lián)網(wǎng)接入口不超過2個(gè)。2定性符合，P=1；不符合，P=0。1評估指私服評價(jià)要素評價(jià)標(biāo)準(zhǔn)權(quán)重〔V〕指標(biāo)屬性量化方法〔P為量化值〕評估得分〔V×P〕信息平安技術(shù)防護(hù)〔43〕設(shè)備平安惡意代碼防護(hù)部署防病毒網(wǎng)關(guān)或統(tǒng)一安裝防病毒軟件，并定期更新惡意代碼庫。2定性符合，P=1；不符合，P=0。效勞器口令策略配置口令策略保證效勞器口令強(qiáng)度和更新頻率。2定性P=配置了口令策略的效勞器比率。效勞器平安審計(jì)啟用平安審計(jì)功能并進(jìn)展定期分析。1定性P=對平安審計(jì)日志進(jìn)展定期分析的效勞器比率。效勞器補(bǔ)丁更新及時(shí)對效勞器操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)補(bǔ)西進(jìn)展更新。1定性P=補(bǔ)丁得到及時(shí)更新務(wù)器比率。1網(wǎng)絡(luò)設(shè)備和平安設(shè)備口令策略配置口令策略保證網(wǎng)絡(luò)和平安設(shè)備口令強(qiáng)度和更新頻率。2定性P=對平安審計(jì)日志進(jìn)展定期分析的效勞器比率。終端計(jì)算機(jī)統(tǒng)一防護(hù)采取集中統(tǒng)一管理方式對終端進(jìn)展防護(hù)，統(tǒng)一軟件下發(fā)、安裝系統(tǒng)補(bǔ)丁。2定性P=補(bǔ)丁得到及時(shí)更新的效勞器比率。1終端計(jì)算機(jī)接入控制采取技術(shù)措施〔如部署集中管理系統(tǒng)，將IP地址與MCA地址綁定等〕對接入本單位的終端計(jì)算機(jī)進(jìn)展控制。1定性P=網(wǎng)絡(luò)設(shè)備和平安設(shè)備〔指重要設(shè)備〕中配置了口令策略的比率。應(yīng)用系統(tǒng)平安應(yīng)用系統(tǒng)平安漏洞掃描定期對業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)、系統(tǒng)、系統(tǒng)等應(yīng)用系統(tǒng)進(jìn)展平安漏洞掃描。2定性符合，P=1；不符合，P=0。門戶防篡改措施門戶采取網(wǎng)頁防篡改措施。2定性符合，P=1；不符合，P=0。門戶抗拒絕效勞攻擊措施門戶采取抗拒效勞攻擊措施。2定性符合，P=1；不符合，P=0。電子賬號注冊審批建立賬號開通審批程序，防止賬號任意注冊使用。2定性符合，P=1；不符合，P=0。電子賬戶口令策略配置口令策略保證電子口令強(qiáng)度和更新頻率。2定性符合，P=1；不符合，P=0。清理定期清理工作。1定性符合，P=1；不符合，P=0。評估指私服評價(jià)要素評價(jià)標(biāo)準(zhǔn)權(quán)重〔V〕指標(biāo)屬性量化方法〔P為量化值〕評估得分〔V×P〕信息平安技術(shù)防護(hù)〔43〕數(shù)據(jù)平安數(shù)據(jù)存儲保護(hù)采取技術(shù)措施〔如加密、分區(qū)存儲等〕對存儲的重要數(shù)據(jù)進(jìn)展保護(hù)。2定性符合，P=1；不符合，P=0。1數(shù)據(jù)存儲保護(hù)采取技術(shù)措施對傳輸?shù)闹匾獢?shù)據(jù)進(jìn)展加密和校驗(yàn)。2定性符合，P=1；不符合，P=0。數(shù)據(jù)和系統(tǒng)備份采取技術(shù)措施對重要數(shù)據(jù)和系統(tǒng)進(jìn)展定期備份。2定性符合，P=1；不符合，P=0。1數(shù)據(jù)中心、災(zāi)備中心設(shè)立數(shù)據(jù)中心、災(zāi)備中心應(yīng)設(shè)立在境內(nèi)。1定性符合，P=1；不符合，P=0。網(wǎng)絡(luò)平安應(yīng)急管理〔7〕應(yīng)急預(yù)案制定信息平安事件應(yīng)急預(yù)案〔為部門級預(yù)案，非單個(gè)信息系統(tǒng)的平安應(yīng)急預(yù)案〕，并使相關(guān)人員熟悉應(yīng)急預(yù)案。2定性符合，P=1；不符合，P=0。1應(yīng)急演練開展應(yīng)急演練，并留存淀練方案、方案、記錄、總結(jié)等。2定性符合，P=1；不符合，P=0。應(yīng)急資源指定應(yīng)急技術(shù)動搖隊(duì)伍，配備必要機(jī)、備件等應(yīng)急物資。1定性符合，P=1；不符合，P=0。事件處置發(fā)生信息平安事件后，及時(shí)向主管領(lǐng)導(dǎo)報(bào)告，按照預(yù)案開展處置工作；重大事件及時(shí)通報(bào)信息平安主管部門。2定性發(fā)生過事件并按要求處置，或者未發(fā)生過平安事件，P=1；發(fā)生過事件但未按要求處置，P=0。1網(wǎng)絡(luò)平安教育培訓(xùn)〔4〕意識教育開展信息平安形勢與警示教育、根本技能