网络信息安全检查表.docVIP

网络信息安全检查表 网络信息安全检查表 PAGE / NUMPAGES 网络信息安全检查表 网络与信息安全检查项目表 类 别 检查项目 检查内容 检查要求 组织管理与规章制度  信息安全责任制落真相况 明确信息安全主管领导、 责任人、 信息安全管理员， 拟订岗位职责文件和 网络与信息安 操作规程等（要供给相应文档） 全管理组织 信息安全培训状况 信息安全责任人、 管理员按期参加有关单位的信息安全培训。 对本单位全 体人员进行了信息安全培训 （供给培训计划、 培训内容、 培训成绩、 人员） 信息安全管理策略状况 拟订了详尽的信息安全管理策略， 并有专人负责， 按期进行检查 （要供给 检查纪录） 平时管理工作 信息安全测评、 系统安全定级、 信息安全检 有工作展开的有关文档、记录、总结 查微风险评估工作 网络与信息安全政策落真相况 国家有关网络与信息安全文件 （计算机信息网络国际联网安全保护管理办 法等）的落真相况 规章制度状况 信息安全管理职责、信息安全状况报告制 度、财产安全管理制度、 系统运转安全管理 拟订了严格的规章制度，并仔细落实（供给全部制度文档） 。 制度、安全应急响应及事故管理制度等 保密承诺书 重要岗位、涉密岗位人员保密承诺书 能否签署，能否实时更新，新入岗、离岗人员均要签署保密承诺。 网络使用状况 网络设计使用切合有关规定要求。 网络基本状况 网络运转及重点安全设施情 况  网络与信息系统集成、设计与监理状况 集成商、设计单位、监理单位一定具备有关资质（要有资质证书复印件） 防火墙、入侵检测、安全审计、破绽扫描、 一定采纳经过国家保密局涉密信息系统安全保密测评机构、 国家及省级信 网络与信息安 息安全测评机构测评的测评资质证书， 公安部销售允许证； 密码产品及研 违规外联监控、 网页防窜改、 网络安全隔绝 全产品 发、生产、销售公司一定拥有国家密码管理局的允许资质 （各种资质要有 网闸、病毒防备等安全产品以及密码设施 资质证书复印件） （续） 类 别 网络与信息安全应急管理情 况 网络与信息安全技术防备措 施  检查项目 数据备份状况 信息安全应急处理 机房环境安全 保密技术举措 身份认证、 受权管理和接见控 制 主机安全  检查内容 检查要求 当地备份状况 拟订了备份策略并按期进行备份（供给备份记录、查察储存设施） 网络与信息安全应急处理方案 拟订详尽的应急处理方案，并进行操练（供给方案文档和操练记录或总 结）。 信息安全事件处理 有信息安全事件处理流程， 发惹祸件后作有关记录， 进行报告， 并采纳积 极合理的举措进行处理（供给记录文档、报告文档、办理举措文档） 检查机房能否在防火、防静电、温湿度、防 应知足国家标准 GB50174 － 1993 《电子计算机机房设计规范》 、 GB2887 水防潮、防雷、防电磁泄露、防电力故障等 － 2000《电子计算机机场所通用规范》 、GB9361 － 1988《计算站场所安全 方面达到相应标准 要求》的要求。 涉密计算机网络管理 须由获得保密资质的公司承建， 开通运转前须经保密部门审批 （供给涉密 资质证书复印件和保密部门批文） 外网和互联网上办理涉密或内部敏感信息 禁止在公事外网和互联网上办理涉密或内部敏感信息 违规外联监控 有内部用户违规外联的监控举措和管理举措 涉密储存介质 依据保密管理规定对涉密储存介质的发放、 使用、销毁进行管理。 挪动存 储介质一定专网（机）专用，禁止在内外网之间混用。 涉密计算机和人员 确立涉密计算机和人员，并进行严格管理（供给设施、人员文档） 涉密信息和敏感信息保护举措 依据保密管理规定对涉密信息和敏感信息采纳了合理的保护举措； 关于涉 密文档使用鉴于密级表记的接见控制策略 受权管理和接见控制 拟订详尽的受权管理和接见控制策略（供给文档） 身份鉴识举措 采纳口令、 智能卡、 数字证书或生物辨别等鉴识体制， 并对口令等鉴识机 制拟订了详尽的管理举措 剩余默认账号和没关服务 剩余默认账号和没关服务一定关停 （续） 类 别  检查项目 检查内容 检查要求 网络与信息安全技术防备措 施 信息安全测试  操作系统和防病毒系统 其余技术举措 现场技术测试  操作系统更新和升级 按期对操作系统进行更新和升级，打破绽补丁（检查操作系统破绽状况） 防病毒系统 使用经过公安部及有关测评机构认证的防病毒系统，对病毒库实时升级， 按期对全网进行病毒查杀。 （供给测评资质复印件， 病毒库是最新公布的） 信息安全产品和网络产品 进行了安全配置（要有配置文档） 破绽扫描测试 扫描网络设施（互换机、路由器、防火墙等） 、服务器、操作系统和数据 库能否存在破绽 保密性测试 测试涉密和敏感信息传输储存中保密性 入侵防备测试 测试系统入侵