网络与信息安全状况自查表.docVIP

附件1 网络与信息安全状况自查表 1.信息安全目标 序号 检查项 自评分内容 1 服务中断 □明确本单位信息系统可接受（容忍）的服务中断时间。 □未明确本单位信息系统可接受的服务中断时间。 2 恢复能力 □明确本单位信息系统在服务中断后的恢复能力要求（时间、技术、人员、资金等）。 □未明确本单位信息系统在服务中断后的恢复能力要求。 3 数据保护 □明确本单位对数据安全事件（丢失、篡改等）发生后，数据可恢复的时间点。 □未明确本单位对数据安全事件的恢复时间点。 4 影响范围 □明确本单位信息系统安全事件造成影响（对系统本身、本单位、其他）的限定范围。 □未明确本单位信息系统安全事件造成影响的限定范围。 5 安全目标是否明确 □明确（以上4项得分≥2分） □不明确（以上4项得分＜2分） 2.安全管理机构 序号 检查项 自评分内容 1 信息安全管理机构设置 □明确了主管领导负责信息安全管理工作，指定了信息安全管理部门负责日常安全管理。 □未明确主管领导,未指定信息安全管理部门。 2 信息安全管理机构工作情况 □信息安全管理机构本年度开展了信息安全管理相关工作。 □信息安全管理机构本年度未开展信息安全管理相关工作。 3 信息安全管理职责分工情况 □分工明确，责任到人。 □分工明确，但责任人不明确。 □无明确责任分工，且责任人不明确。 4 人员配备 □账户管理、权限管理、安全管理岗位人员进行了分设。 □账户管理、权限管理、安全管理岗位人员未进行分设。 5 关键安全管理活动的授权和审批 □定义关键安全管理活动的列表，并有正式成文的审批程序，审批活动有完整的记录。 □有正式成文的审批程序，但审批活动没有完整的记录。 □无审批程序。 6 与其他部门和机构的沟通合作 □与其他部门和机构建立沟通合作机制，并形成正式文件和程序。 □与其他部门和机构沟通合作未形成正式文件和程序。 7 各部门之间的沟通合作 □各部门之间建立沟通合作机制，并形成正式文件和程序。 □各部门之间的沟通合作基于惯例，未形成正式文件和程序。 □各部门之间未建立沟通合作机制。 8 安全管理制度的论证、发布和维护 □安全管理制度发布前进行论证和审定，明确文件发布流程，并有专人负责制度的维护。 □安全管理制度发布前进行论证和审定，但无专人负责制度的维护。 □安全管理制度发布前未进行论证和审定。 3.人员安全管理 序号 检查项 自评分内容 1 重点、敏感岗位人员录用和审查 □有重点、敏感岗位人员的录用要求。对被录用人的身份、背景和专业资格进行审查。 □没有重点、敏感岗位人员的录用要求。 2 保密约束 □与服务机构和从事关键岗位的人员签署保密协议和承诺书，包括保密范围、保密责任、违约责任、协议的有效期限和责任人签字等内容。 □与服务机构和人员未签署保密协议或承诺书。 3 人员离岗 □规范人员离岗过程，及时终止离岗人员的所有访问权限并取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。 □未规范人员离岗过程。 4 教育和培训 □针对不同岗位制定了相对应的教育和培训计划。 □未针对不同岗位制定教育和培训计划。 □未制定教育和培训计划。 5 惩戒措施 □制定了相关的安全责任和惩戒措施，并对违反安全策略和规定的人员进行惩戒。 □未制定惩戒措施。 6 外部人员访问管理 □外部人员访问重要区域前进行授权或审批，有专人陪同，并进行记录。 □外部人员访问重要区域前进行授权或审批，有专人陪同，但无相关记录。 □外部人员访问未进授权或审批，访问受控区域无专人陪同。 4.系统建设管理 序号 检查项 自评分内容 1 产品采购 □全部信息安全设备和产品的采购符合国家有关规定。 □信息安全设备和产品的采购不符合国家有关规定。 2 服务机构 选择 □选择的服务机构具有相关资质，并通过内部和专家的评选。 □选择的服务机构不具有相关资质，或未通过内部和专家的评选。 3 外包管理 □所有外包服务均签署了正式协议，明确了双方的安全责任。 □外包服务安全责任不明确。 4 系统安全 方案制定 □制定了系统安全方案，并经过专家论证和审定。 □系统安全方案未经论证和审定。 5 信息系统软件开发 □根据软件开发管理制度，各类开发文档齐全，信息系统均经过软件测试，并有测试报告。 □信息系统未经过软件测试。 6 信息系统 验收 □制定验收方案，组织相关部门和人员对系统功能和安全性进行测试，进行风险评估，记录验收结果，形成验收报告。 □未组织相关部门和相关人员对系统进行测试验收。