2023年浙江省重點(diǎn)領(lǐng)域網(wǎng)絡(luò)與信息安全檢查行動(dòng)指南

1：2023年浙江省重點(diǎn)領(lǐng)域網(wǎng)絡(luò)與信息安全檢查行動(dòng)指南為指導(dǎo)重點(diǎn)領(lǐng)域信息安全自查工作，依據(jù)《國(guó)務(wù)院辦公廳關(guān)于開(kāi)展重點(diǎn)領(lǐng)域網(wǎng)絡(luò)與信息安全檢查行動(dòng)的通知〔2023102號(hào)，制定本指南?！惨韵陆y(tǒng)稱自查單位〕在開(kāi)展信息安全自查具體工作參考本指南。一、自查目的絡(luò)與信息安全。二、自查工作流程4個(gè)環(huán)節(jié)〔。建議時(shí)間建議時(shí)間自查工作環(huán)節(jié)主要工作內(nèi)容①爭(zhēng)論制定自查工作方案— 自查工作部署7②自查工作發(fā)動(dòng)部署①系統(tǒng)安全根本狀況自查②安全治理狀況自查問(wèn)— 題根本狀況自查③技術(shù)防護(hù)狀況自查整④應(yīng)急處置及容災(zāi)備份情況自查改⑤安全技術(shù)檢測(cè)①主要問(wèn)題分析問(wèn)問(wèn)題與風(fēng)險(xiǎn)分析②國(guó)外依靠度分析題整8月下旬 ③主要威逼分析改－①自查工作總結(jié)自查工作總結(jié)②自查工作上報(bào)圖1 自查工作流程環(huán)節(jié)一自查工作部署一、爭(zhēng)論制定自查實(shí)施方案〔一〕自查實(shí)施方案應(yīng)當(dāng)明確的內(nèi)容〔〕自查工作負(fù)責(zé)人、組織〔2〕〔3〕自查工作的組織〔4〕自查工作時(shí)間進(jìn)度安排。要信息系統(tǒng)〔中心直屬單位、企業(yè)或分公司等信息系統(tǒng)由國(guó)家統(tǒng)一安排。包括：省、市黨政機(jī)關(guān)信息系統(tǒng)；金融〔包括銀行、證券、保險(xiǎn)等、能源〔包括電廠、通〔大路、播送電視、醫(yī)療衛(wèi)生、教育、水利、環(huán)境保護(hù)、鋼鐵、化工、裝備制造業(yè)等重點(diǎn)行業(yè)的網(wǎng)絡(luò)與信息系統(tǒng)〔含工業(yè)把握系統(tǒng)，下同；系統(tǒng)。到的信息安全綜合治理部門、信息化部門、業(yè)務(wù)部門、生產(chǎn)治理部門、財(cái)務(wù)部門、人事部門等相關(guān)部門。各單位可依據(jù)實(shí)際狀況確定具體的自查對(duì)象。也可指定特地機(jī)構(gòu)負(fù)責(zé)自查實(shí)施工作。自查工作組可由本單位信息化與信息安全部門以及相關(guān)業(yè)務(wù)部門中生疏業(yè)務(wù)、具備信息安全知息安全檢查。對(duì)于信息系統(tǒng)簡(jiǎn)潔、自查工作涉及部門多的單位，可依據(jù)需要成立自查工作領(lǐng)導(dǎo)小組，負(fù)責(zé)自查工作的組織協(xié)調(diào)與資源配置。領(lǐng)導(dǎo)小組組長(zhǎng)可由本單位信息安全主管領(lǐng)導(dǎo)擔(dān)當(dāng)，領(lǐng)導(dǎo)小組成員可包〔如辦公室主任人〔如信息中心主任，以及其他相關(guān)部門負(fù)責(zé)人〔務(wù)部門、業(yè)務(wù)部門、生產(chǎn)治理部門領(lǐng)導(dǎo)〕等。〔二〕應(yīng)當(dāng)留意的有關(guān)事項(xiàng)相對(duì)的獨(dú)立性。網(wǎng)絡(luò)與信息系統(tǒng)清單，以便于更好地界定檢查范圍。區(qū)、本部門或本行業(yè)實(shí)際，參考以下標(biāo)準(zhǔn)進(jìn)展判定：業(yè)務(wù)依靠度高。數(shù)據(jù)集中度高〔全國(guó)或省級(jí)數(shù)據(jù)集中。實(shí)時(shí)性要求高?！驳钠渌到y(tǒng)造成較大影響，并產(chǎn)生連片連鎖反響。災(zāi)備等級(jí)高〔系統(tǒng)級(jí)災(zāi)備。角度，參考以下標(biāo)準(zhǔn)進(jìn)展判定：1050人以上重傷。5000萬(wàn)元以上直接經(jīng)濟(jì)損失。100萬(wàn)人以上正常生活。能對(duì)與其相連的其他系統(tǒng)造成影響，并產(chǎn)生連片連鎖反響。能對(duì)生態(tài)環(huán)境造成嚴(yán)峻破壞。能對(duì)國(guó)家安全和社會(huì)穩(wěn)定產(chǎn)生重大影響。二、自查工作發(fā)動(dòng)部署其職，形成合力，共同推動(dòng)自查工作。環(huán)節(jié)二根本狀況自查一、系統(tǒng)根本狀況自查〔一〕系統(tǒng)特征狀況圖等，核實(shí)系統(tǒng)的實(shí)時(shí)性、效勞對(duì)象、連接互聯(lián)網(wǎng)狀況、數(shù)據(jù)集中狀況、災(zāi)備狀況等根本狀況，記錄檢查結(jié)果〔。實(shí)時(shí)性效勞對(duì)象連接互聯(lián)網(wǎng)狀況實(shí)時(shí)性效勞對(duì)象連接互聯(lián)網(wǎng)狀況狀況災(zāi)備狀況序號(hào)系統(tǒng)名稱面向?qū)嵎?社時(shí)實(shí) 時(shí) 眾不面對(duì)社會(huì)公眾承受連接承受規(guī)律強(qiáng)隔施連接不連接全省國(guó)級(jí)集集中中123…系僅不統(tǒng)數(shù)無(wú)集級(jí)據(jù)災(zāi)中災(zāi)災(zāi)備備備要業(yè)務(wù)的影響程度、系統(tǒng)患病攻擊破壞后對(duì)社會(huì)公眾的影響程度等安全特征，記錄分析結(jié)果〔。關(guān)于系統(tǒng)停頓運(yùn)行后對(duì)主要業(yè)務(wù)的影響程度判定標(biāo)準(zhǔn)如下：影響程度高：系統(tǒng)停頓運(yùn)行后，主要業(yè)務(wù)無(wú)法開(kāi)展或?qū)χ饕獦I(yè)務(wù)運(yùn)行產(chǎn)生嚴(yán)峻影響；1規(guī)律強(qiáng)隔離指使用規(guī)律強(qiáng)隔離設(shè)備〔使用正向、反向或雙向網(wǎng)閘〕進(jìn)展的網(wǎng)絡(luò)隔離?？捎檬止さ葌鹘y(tǒng)方式替代；影響。關(guān)于系統(tǒng)患病攻擊破壞后對(duì)社會(huì)公眾的影響程度判定標(biāo)準(zhǔn)如下：嚴(yán)峻影響；確定影響；較小或無(wú)影響。系統(tǒng)對(duì)主要業(yè)務(wù)的系統(tǒng)對(duì)社會(huì)公眾的序號(hào)系統(tǒng)名稱系統(tǒng)對(duì)主要業(yè)務(wù)的系統(tǒng)對(duì)社會(huì)公眾的序號(hào)系統(tǒng)名稱影響程度影響程度高中低高中低123…〔二〕系統(tǒng)構(gòu)成狀況〔品牌〕狀況，記錄檢查結(jié)果〔。盤陣列、磁帶庫(kù)及其他主要安全設(shè)備。硬件設(shè)備生產(chǎn)商〔品牌〕按國(guó)內(nèi)、國(guó)外兩類進(jìn)展記錄。其中，國(guó)內(nèi)主要有浪潮、曙光、聯(lián)想、方正、華為、中興、天融信、啟明星辰、綠盟、聯(lián)想網(wǎng)御等，國(guó)外主要有IBM、HP、DELL、Cisco、Juniper、H3C等?！财放啤碃顩r，記錄檢查結(jié)果〔。軟件設(shè)備生產(chǎn)商〔品牌〕按國(guó)內(nèi)、國(guó)外兩類進(jìn)展記錄。其中，HP-Unix、AIX、Solaris、Oracle、DB2、SQLServer等?！踩彻I(yè)把握系統(tǒng)類型與構(gòu)成狀況系統(tǒng)類型和構(gòu)成狀況，匯總記錄檢查結(jié)果〔。〔儀表、智能電子設(shè)備、遠(yuǎn)端設(shè)備〕等?！步MPC機(jī)/效勞器〔數(shù)據(jù)庫(kù)軟件、系統(tǒng)軟件、PC機(jī)/效勞器〕等。3信息系統(tǒng)主要硬件檢查記錄表檢查項(xiàng)主 要 硬

國(guó)內(nèi)浪潮品牌數(shù)量

曙光

檢查結(jié)果方正其他：品牌，數(shù)量品牌，數(shù)量件國(guó)外國(guó)外IBMHP國(guó)內(nèi)華為中興品牌路數(shù)量由器國(guó)外CiscoJuniper品牌數(shù)量國(guó)內(nèi)華為中興品牌交數(shù)量換機(jī)國(guó)外CiscoJuniper品牌數(shù)量

其他：

〔如有更多，請(qǐng)另列表〕〔如有更多，請(qǐng)另列表〕品牌，數(shù)量品牌，數(shù)量H3C 其他：

〔如有更多，請(qǐng)另列表〕〔如有更多，請(qǐng)另列表〕1.品牌，數(shù)量

其他：品牌，數(shù)量品牌，數(shù)量H3C 其他：

〔如有更多，請(qǐng)另列表〕〔如有更多，請(qǐng)另列表〕防國(guó)內(nèi)火墻國(guó)外

2.品牌，數(shù)量〔如有更多，請(qǐng)另列表〕品牌，數(shù)量品牌，數(shù)量〔如有更多，請(qǐng)另列表〕，品牌，數(shù)量國(guó)內(nèi)2.，品牌，數(shù)量其他 1.設(shè)備類型，品牌，數(shù)量國(guó)外2.，品牌，數(shù)量

〔如有更多，請(qǐng)另列表〕〔如有更多，請(qǐng)另列表〕檢查項(xiàng)檢查結(jié)果主操國(guó)內(nèi)檢查項(xiàng)檢查結(jié)果主操國(guó)內(nèi)紅旗麒麟其他：1.品牌，套數(shù)要作品牌2.品牌，套數(shù)軟 系 件 統(tǒng)

WindowsRedHat HP-UnixAIX

〔如有更多，請(qǐng)另列表〕數(shù) 套數(shù)據(jù)

金倉(cāng) 達(dá)夢(mèng) 其他：

品牌，套數(shù)品牌，套數(shù)〔如有更多，請(qǐng)另列表〕〔如有更多，請(qǐng)另列表〕庫(kù)國(guó)外

Oracle DB2 SQLServer 其他：品牌，套數(shù)品牌，套數(shù)〔如有更多，請(qǐng)另列表〕，品牌，套數(shù)國(guó)內(nèi)2.，品牌，套數(shù)其

〔如有更多，請(qǐng)另列表〕他 1.設(shè)備類型，品牌，套數(shù)國(guó)外2.，品牌，套數(shù)

〔如有更多，請(qǐng)另列表〕檢查項(xiàng)檢查結(jié)果國(guó)內(nèi)品牌國(guó)外品牌檢查項(xiàng)檢查結(jié)果國(guó)內(nèi)品牌國(guó)外品牌數(shù)據(jù)采集與監(jiān)控〔SCADA〕系統(tǒng)套套系統(tǒng)類型分布式把握系統(tǒng)〔DCS〕套套狀況過(guò)程把握系統(tǒng)〔PCS〕可編程把握器大型套臺(tái)套臺(tái)中型臺(tái)臺(tái)小型臺(tái)臺(tái)儀表臺(tái)臺(tái)智能電子設(shè)備〔IED〕臺(tái)臺(tái)〔RTU〕臺(tái)臺(tái)組態(tài)監(jiān)控軟件套套系統(tǒng)軟件套套PC機(jī)/效勞器臺(tái)臺(tái)數(shù)據(jù)庫(kù)軟件套套系統(tǒng)軟件套套PC機(jī)/效勞器臺(tái)臺(tái)通信設(shè)備臺(tái)臺(tái)〔PLC〔PLC〕就地測(cè)控設(shè)備應(yīng)用效勞器-工程師工作站狀況數(shù)據(jù)效勞器全保密協(xié)議等，記錄檢查結(jié)果〔。效勞類型主要有系統(tǒng)集成、軟件開(kāi)發(fā)、系統(tǒng)運(yùn)維、風(fēng)險(xiǎn)評(píng)估、災(zāi)難備份等。效勞方式主要有遠(yuǎn)程在線效勞和現(xiàn)場(chǎng)效勞。1效勞內(nèi)容1效勞內(nèi)容6信息技術(shù)外包效勞檢查結(jié)果記錄表檢查項(xiàng)檢查結(jié)果機(jī)構(gòu)名稱機(jī)構(gòu)性質(zhì)□國(guó)有□民營(yíng)□外資效勞方式□遠(yuǎn)程在線效勞□現(xiàn)場(chǎng)效勞效勞方式□遠(yuǎn)程在線效勞□現(xiàn)場(chǎng)效勞保密協(xié)議□已簽訂 □未簽訂機(jī)構(gòu)名稱機(jī)構(gòu)性質(zhì)□國(guó)有□民營(yíng)□外資外包服務(wù)機(jī)構(gòu)效勞內(nèi)容2效勞方式□遠(yuǎn)程在線效勞□現(xiàn)場(chǎng)效勞保密協(xié)議□已簽訂 □未簽訂機(jī)構(gòu)名稱機(jī)構(gòu)性質(zhì)□國(guó)有□民營(yíng)□外資外包服務(wù)機(jī)構(gòu)效勞內(nèi)容3效勞方式□遠(yuǎn)程在線效勞□現(xiàn)場(chǎng)效勞保密協(xié)議□已簽訂 □未簽訂〔如有更多，可另列表〕二、安全治理狀況自查〔一〕信息安全責(zé)任制建立及落實(shí)狀況重點(diǎn)檢查信息安全主管領(lǐng)導(dǎo)、信息安全治理機(jī)構(gòu)、信息安全工〔表7。信息安全主管領(lǐng)導(dǎo)明確及工作落實(shí)狀況。檢查方法：調(diào)閱領(lǐng)導(dǎo)分工等文件，檢查是否明確了信息安全主領(lǐng)導(dǎo)工作落實(shí)狀況。信息安全治理機(jī)構(gòu)指定及工作落實(shí)狀況。檢查方法：調(diào)閱單位內(nèi)各部門職責(zé)分工等文件，檢查是否指定了信息安全治理機(jī)構(gòu)〔如工業(yè)和信息化部指定辦公廳作為本部門信。調(diào)閱工作打算、工作方案、治理規(guī)章制度、監(jiān)視檢查記錄等文件，了解治理機(jī)構(gòu)工作落實(shí)狀況。信息安全工作人員配備及工作落實(shí)狀況。。崗位責(zé)任和事故責(zé)任追究狀況。對(duì)信息安全責(zé)任事故進(jìn)展了查處。7信息安全責(zé)任制建立及落實(shí)狀況檢查記錄表檢查項(xiàng)的領(lǐng)導(dǎo)

檢查結(jié)果①姓名： ②職務(wù)： 〔本部門正職或副職領(lǐng)導(dǎo)〕①名稱： ①名稱： 信息安全2②負(fù)責(zé)人： 職務(wù)： 治理機(jī)構(gòu)③聯(lián)系人： ： 信息安全①名稱： 3專職工作②負(fù)責(zé)人： ： 機(jī)構(gòu)①本單位內(nèi)設(shè)機(jī)構(gòu)數(shù)量： 信息安全4②信息安全員數(shù)量： 員③專職信息安全員數(shù)量： ①崗位信息安全責(zé)任制度：□已制定□未制定崗位責(zé)任②安全責(zé)任事故：□發(fā)生過(guò)：□全部事故均已查處相關(guān)責(zé)任人5和事故責(zé)□有事故未查處相關(guān)責(zé)任人任追究□未發(fā)生過(guò)〔二〕日常安全治理制度建立和落實(shí)狀況年度教育培訓(xùn)等制度建立和落實(shí)狀況，記錄檢查結(jié)果〔。人員治理制度。完整性。資產(chǎn)2治理制度否指定了專人負(fù)責(zé)資產(chǎn)治理工作。存儲(chǔ)介質(zhì)治理制度。時(shí)是否有安全防護(hù)措施，是否存在遠(yuǎn)程維護(hù)。運(yùn)行維護(hù)治理制度。本指南所稱資產(chǎn)指軟硬件設(shè)備等信息技術(shù)相關(guān)資產(chǎn)。落實(shí)狀況及相關(guān)記錄完整性。年度教育培訓(xùn)。檢查方法：訪談網(wǎng)絡(luò)治理員、系統(tǒng)治理員和工作人員，了解信息安全根本防護(hù)技能把握狀況，調(diào)閱信息安全教育培訓(xùn)制度、培訓(xùn)打算、培訓(xùn)記錄、考核記錄及試卷等相關(guān)文件，檢查年度培訓(xùn)打算制定狀況、培訓(xùn)記錄〔培訓(xùn)時(shí)間、培訓(xùn)內(nèi)容、人員簽到、培訓(xùn)講師業(yè)技能，確認(rèn)領(lǐng)導(dǎo)干部和機(jī)關(guān)工作人員培訓(xùn)內(nèi)容中是否包含信息安全根本技能。檢查項(xiàng)檢查結(jié)果①重要崗位人員安全保密協(xié)議：1人員治理檢查項(xiàng)檢查結(jié)果①重要崗位人員安全保密協(xié)議：1人員治理□全部簽訂□局部簽訂□未簽訂②人員離崗離職安全治理規(guī)定：□已制定□未制定③外部人員訪問(wèn)審批制度：□已制定□未制定①資產(chǎn)治理制度：□已制定□未制定3治理4治理5培訓(xùn)

②是否指定專人進(jìn)展資產(chǎn)治理：□是□否③設(shè)備修理維護(hù)和報(bào)廢治理制度：□已制定□未制定④設(shè)備修理維護(hù)和報(bào)廢記錄是否完整：□是□否①存儲(chǔ)介質(zhì)治理制度：□已制定□未制定②存儲(chǔ)介質(zhì)治理記錄：□完整□不完整③大容量存儲(chǔ)介質(zhì)：□外聯(lián)：□實(shí)行了技術(shù)防范措施□未實(shí)行技術(shù)防范措施□不外聯(lián)①日常運(yùn)維制度：□已制定□未制定②運(yùn)維操作手冊(cè)：□已制定□未制定③運(yùn)維操作記錄：□完整□不完整①年度培訓(xùn)打算：□已制定□未制定②本年度承受信息安全教育培訓(xùn)的人數(shù)： 占本單位總?cè)藬?shù)的比例： ％③本年度開(kāi)展信息安全教育培訓(xùn)的次數(shù)： 次④本年度信息安全治理和技術(shù)人員參與專業(yè)培訓(xùn)： 人次〔三〕信息安全經(jīng)費(fèi)投入狀況〔9。本年度信息安全經(jīng)費(fèi)預(yù)算用納入了年度預(yù)算，記錄本年度信息安全經(jīng)費(fèi)預(yù)算狀況。上年度信息安全經(jīng)費(fèi)投入際投入狀況。檢查項(xiàng)檢查結(jié)果本年度信本年度信息安全預(yù)算：□有，預(yù)算額： 檢查項(xiàng)檢查結(jié)果本年度信本年度信息安全預(yù)算：□有，預(yù)算額： 萬(wàn)元1息安全經(jīng)□無(wú)費(fèi)預(yù)算上年度信2息安全經(jīng)上年度信息安全經(jīng)費(fèi)實(shí)際投入額： 萬(wàn)元費(fèi)投入三、技術(shù)防護(hù)狀況自查施等狀況，記錄檢查結(jié)果〔10。〔一〕網(wǎng)絡(luò)邊界安全防護(hù)措施檢查方法：比照網(wǎng)絡(luò)拓?fù)鋱D，檢查網(wǎng)絡(luò)實(shí)際連接狀況，確認(rèn)同網(wǎng)絡(luò)拓?fù)鋱D全都。分析網(wǎng)絡(luò)拓?fù)鋱D，查看網(wǎng)絡(luò)隔離設(shè)備部署、交換區(qū)域承受了正確的隔離措施。檢查互聯(lián)網(wǎng)連接狀況，統(tǒng)計(jì)網(wǎng)絡(luò)外聯(lián)的出口個(gè)數(shù)，檢查每個(gè)出口是否都進(jìn)展了安全把握。檢查網(wǎng)絡(luò)邊界防護(hù)設(shè)備部署狀況，確認(rèn)外部網(wǎng)絡(luò)接入內(nèi)部網(wǎng)絡(luò)承受了安全的加密傳輸方式〔如VPN〕等?！捕嘲踩呗曰虬踩δ芘渲眉坝行詸z查方法：分別登錄效勞器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備，查看安全策略配置，檢查安全策略配置是否合理，并驗(yàn)證其有效性，確認(rèn)按確認(rèn)具有身份認(rèn)證、訪問(wèn)把握、安全審計(jì)等安全功能，登錄系統(tǒng)驗(yàn)證安全功能的有效性。〔三〕重要數(shù)據(jù)傳輸、存儲(chǔ)安全防護(hù)措施本地備份還是異地備份。核查備份數(shù)據(jù)文件，確認(rèn)備份周期?！菜摹趁艽a技術(shù)和設(shè)備狀況。備、密碼技術(shù)，檢查供給商狀況、是否具有相應(yīng)資質(zhì)。10技術(shù)防護(hù)狀況檢查記錄表系統(tǒng)名稱 系統(tǒng)名稱 檢查項(xiàng)檢查結(jié)果1防護(hù)2策略3防護(hù)4防護(hù)

①安全域隔離狀況：□規(guī)律強(qiáng)隔離□規(guī)律隔離□無(wú)隔離②連接互聯(lián)網(wǎng)狀況：□連接互聯(lián)網(wǎng)：互聯(lián)網(wǎng)接入總數(shù)： 個(gè)其中□聯(lián)通接入口數(shù)量: 個(gè)接入帶寬: 兆□電信接入口數(shù)量: 個(gè)接入帶寬: 兆□其他: 接入口數(shù)量: 接入帶寬: 兆□不連接互聯(lián)網(wǎng)③網(wǎng)絡(luò)邊界防護(hù)措施〔多項(xiàng)選擇〕:□訪問(wèn)把握□安全審計(jì)□邊界完整性檢查□入侵防范□惡意代碼防范□VPN方式接入 □無(wú)措施①效勞器安全策略：□使用默認(rèn)配置□依據(jù)應(yīng)用自主配置□按需開(kāi)放端口□最小效勞配置②網(wǎng)絡(luò)設(shè)備安全策略：□使用默認(rèn)配置□依據(jù)應(yīng)用自主配置□按需開(kāi)放端口□最小效勞配置③安全設(shè)備安全策略：□使用默認(rèn)配置□依據(jù)應(yīng)用自主配置□按需開(kāi)放端口□最小效勞配置④應(yīng)用系統(tǒng)安全功能：□身份驗(yàn)證□訪問(wèn)把握□安全審計(jì)①傳輸防護(hù)：□加密□未加密②存儲(chǔ)防護(hù)：□加密□未加密③備份：□本地備份□異地備份□未備份□使用密碼產(chǎn)品：□硬件產(chǎn)品□軟件產(chǎn)品□未使用密碼產(chǎn)品四、應(yīng)急處置及容災(zāi)備份狀況自查查結(jié)果〔1?！惨弧承畔踩笫聭?yīng)急預(yù)案制定和修訂狀況等文件，檢查應(yīng)急預(yù)案制定和修訂狀況。〔二〕預(yù)案演練及相關(guān)人員對(duì)預(yù)案的生疏程度治理員、網(wǎng)絡(luò)治理員和工作人員，詢問(wèn)對(duì)應(yīng)急預(yù)案的生疏程度。〔三〕災(zāi)難備份和恢復(fù)措施建設(shè)狀況系統(tǒng)是否配備本地或異地系統(tǒng)級(jí)熱備份的功能。〔四〕應(yīng)急資源配備和建設(shè)狀況機(jī)備件庫(kù)或有備機(jī)備件供給渠道。檢查項(xiàng)檢查結(jié)果①應(yīng)急預(yù)案：□已制定□未制定1信息安全檢查項(xiàng)檢查結(jié)果①應(yīng)急預(yù)案：□已制定□未制定1信息安全應(yīng)急預(yù)案②預(yù)案評(píng)估：□本年度已評(píng)估□本年度未評(píng)估□從未評(píng)估2應(yīng)急演練□本年度已開(kāi)展□本年度未開(kāi)展□從未開(kāi)展2應(yīng)急演練□本年度已開(kāi)展□本年度未開(kāi)展□從未開(kāi)展①重要系統(tǒng)：□全部備份□局部備份□未備份3災(zāi)難備份②重要數(shù)據(jù)：□全部備份□局部備份□未備份①應(yīng)急支援隊(duì)伍：□部門所屬隊(duì)伍□外部專業(yè)機(jī)構(gòu)□無(wú)4應(yīng)急資源②備機(jī)備件：□已配備□有供給渠道□未配備五、安全技術(shù)檢測(cè)〔一〕工具檢測(cè)不必要的端口、應(yīng)用、效勞，是否存在安全漏洞。常用的檢測(cè)工具有：漏洞掃描工具、密碼安全檢測(cè)工具、數(shù)據(jù)SQL注入工具等。〔二〕滲透測(cè)試檢驗(yàn)系統(tǒng)防入侵、防攻擊、防泄漏、防篡改等力氣。工業(yè)把握系統(tǒng)檢查中，要慎重使用攻擊性測(cè)試手段。環(huán)節(jié)三問(wèn)題與風(fēng)險(xiǎn)分析果〔12。一、主要問(wèn)題分析及薄弱環(huán)節(jié)逐一進(jìn)展?fàn)幷?，深入分析?wèn)題產(chǎn)生的直接緣由以及深層次的緣由，爭(zhēng)論提出相應(yīng)的改進(jìn)措施。位系統(tǒng)安全防護(hù)力氣提高的主要因素，包括當(dāng)前不適應(yīng)安全治理工作或缺失的法律法規(guī)及政策制度，安全防護(hù)中缺少或嚴(yán)峻缺乏的技術(shù)手段等，爭(zhēng)論提出關(guān)于加強(qiáng)信息安全工作的意見(jiàn)和建議等。二、國(guó)外依靠度分析度，記錄分析結(jié)果。系統(tǒng)對(duì)國(guó)外產(chǎn)品和效勞的依靠程度按以下標(biāo)準(zhǔn)判定：信息系統(tǒng)無(wú)法運(yùn)行。信息系統(tǒng)能夠運(yùn)行，但系統(tǒng)功能、性能等受較大影響。信息系統(tǒng)能夠正常運(yùn)轉(zhuǎn)或受影響較小。三、主要威逼分析安全狀況。系統(tǒng)面臨的安全威逼程度按以下標(biāo)準(zhǔn)判定〔1〕連接互聯(lián)網(wǎng)，〔〕地區(qū)聯(lián)網(wǎng)運(yùn)行或網(wǎng)絡(luò)規(guī)模大、用戶多，承受遠(yuǎn)程在線方式進(jìn)展運(yùn)維〔〕存在其他可能導(dǎo)致系統(tǒng)中斷或系統(tǒng)運(yùn)行受嚴(yán)峻影響、大量敏感信息泄露等的威逼?！?〕〔2〕跨地區(qū)聯(lián)網(wǎng)運(yùn)行或網(wǎng)絡(luò)規(guī)模大、〔3〕運(yùn)行受較大影響、敏感信息泄露等的威逼。〔1〕〔2〕跨地區(qū)聯(lián)網(wǎng)運(yùn)行或網(wǎng)絡(luò)規(guī)模大、〔3〕運(yùn)行受影響、信息泄露等的威逼。系統(tǒng)安全防護(hù)力氣按以下標(biāo)準(zhǔn)判定不能通過(guò)互聯(lián)網(wǎng)進(jìn)入或把握系統(tǒng)。安全防護(hù)力氣低：經(jīng)組織專業(yè)技術(shù)力氣對(duì)系統(tǒng)進(jìn)展攻擊測(cè)試，能夠輕易通過(guò)互聯(lián)網(wǎng)進(jìn)入或把握系統(tǒng)。系統(tǒng)對(duì)國(guó)外產(chǎn)品和序號(hào)系統(tǒng)名稱效勞的依靠程度系統(tǒng)對(duì)國(guó)外產(chǎn)品和序號(hào)系統(tǒng)名稱效勞的依靠程度威逼程度系統(tǒng)安全防護(hù)力氣高 中 低 高 中 低 高 中 低123…環(huán)節(jié)四自查工作總結(jié)一、自查工作總結(jié)對(duì)自查過(guò)程中覺(jué)察的問(wèn)題和薄弱環(huán)節(jié)進(jìn)展認(rèn)真爭(zhēng)論，對(duì)面臨的安全威逼和風(fēng)險(xiǎn)進(jìn)展分析評(píng)估，對(duì)問(wèn)題產(chǎn)生的緣由進(jìn)展深入剖析，闡述改進(jìn)措施及整改狀況，編寫形成信息安全自查報(bào)告〔編寫格式參見(jiàn)〔2個(gè)重要信息系統(tǒng)或工業(yè)把握系統(tǒng)的，在填寫檢查狀況報(bào)告表時(shí)應(yīng)附系統(tǒng)清單。可組織專家對(duì)自查報(bào)告進(jìn)展評(píng)估，評(píng)估自查記錄是否客觀，自查內(nèi)容是否全面，自查結(jié)論是否合理，自查報(bào)告是否完整標(biāo)準(zhǔn)。二、自查狀況上報(bào)送本行業(yè)信息安全主管或監(jiān)管部門。有關(guān)工作要求一、邊檢查邊整改提高信息系統(tǒng)安全防護(hù)水平。二、認(rèn)真做好總結(jié)感程度，確定報(bào)告密級(jí)并在報(bào)告首頁(yè)明確標(biāo)識(shí)。三、加強(qiáng)風(fēng)險(xiǎn)把握與保密治理〔一〕加強(qiáng)風(fēng)險(xiǎn)把握在開(kāi)展安全檢查工作時(shí)，要明確相關(guān)工作紀(jì)律并嚴(yán)格執(zhí)行。要識(shí)別檢查中的安全風(fēng)險(xiǎn)，周密制定應(yīng)急預(yù)案，強(qiáng)化風(fēng)險(xiǎn)把握措施，明確發(fā)生重大安全問(wèn)題時(shí)的處置流程，確保被檢查信息系統(tǒng)的正常盡量避開(kāi)業(yè)務(wù)頂峰期進(jìn)展技術(shù)檢測(cè)。對(duì)工業(yè)把握系統(tǒng)的技術(shù)檢測(cè)要慎重實(shí)施。需托付外部檢測(cè)機(jī)構(gòu)進(jìn)展檢測(cè)的，要依據(jù)《檢查通知》要求，明確檢測(cè)機(jī)構(gòu)和檢測(cè)人員的安全責(zé)任。可參考以下條件選取檢測(cè)機(jī)〔如事業(yè)單位2年以上勞動(dòng)合同的聘用人員；④擁有與開(kāi)展安全檢查相適應(yīng)的安全檢測(cè)設(shè)備與檢測(cè)工具；⑤信息安全與保密治理、工程治理、質(zhì)量治理、人員治理、教育培訓(xùn)等規(guī)章制度健全；⑥參與安全檢查的人員無(wú)犯罪記錄，并與機(jī)構(gòu)簽訂安全保密協(xié)議?！捕臣訌?qiáng)保密治理各地區(qū)、各部門和有關(guān)重點(diǎn)行業(yè)要高度重視保密工作，指定專人負(fù)責(zé)，對(duì)檢查活動(dòng)、檢查實(shí)施人員以及相關(guān)文檔和數(shù)據(jù)進(jìn)展嚴(yán)格對(duì)檢查人員進(jìn)展保密培訓(xùn)，確保檢查工作中獲知的信息不被泄露，檢查數(shù)據(jù)和檢查結(jié)果不向其他單位透露。2：信息安全自查報(bào)告參考格式一、自查報(bào)告名稱×××〔部門/單位名稱〕信息安全自查報(bào)告二、自查報(bào)告組成自查報(bào)告包括主報(bào)告和檢查狀況報(bào)告表兩局部。三、主報(bào)告內(nèi)容要求〔一〕信息安全自查工作組織開(kāi)展?fàn)顩r息系統(tǒng)根本狀況。〔二〕信息安全工作狀況〔單位〕在安全治理、技術(shù)防護(hù)、應(yīng)急處置與災(zāi)備等方面工作的檢查結(jié)果?！踩匙圆橛X(jué)察的主要問(wèn)題和面臨的威逼分析覺(jué)察的主要問(wèn)題和薄弱環(huán)節(jié)面臨的安全威逼與風(fēng)險(xiǎn)整體安全狀況的根本推斷〔四〕改進(jìn)措施與整改效果改進(jìn)措施整改效果〔五〕關(guān)于加強(qiáng)信息安全工作的意見(jiàn)和建議四、信息安全檢查狀況報(bào)告表要求等狀況。3：信息安全檢查狀況報(bào)告表)/部門/行業(yè)名稱：一、重要信息系統(tǒng)安全檢查狀況重要信息系統(tǒng)總數(shù) 〔請(qǐng)另附系統(tǒng)清單，以下同〕統(tǒng)計(jì)〕進(jìn)展統(tǒng)計(jì)〕根本 〔按聯(lián)網(wǎng)狀況進(jìn)展統(tǒng)計(jì)〕狀況〔按數(shù)據(jù)集中〕進(jìn)展統(tǒng)計(jì)〕

非實(shí)時(shí)運(yùn)行的系統(tǒng)數(shù)量實(shí)時(shí)運(yùn)行的系統(tǒng)數(shù)量面對(duì)社會(huì)公眾供給效勞的系統(tǒng)數(shù)量不面對(duì)社會(huì)公眾供給效勞的系統(tǒng)數(shù)量直接連接互聯(lián)網(wǎng)