信息安全自查报告编写模板与要点.docxVIP

信息安全自查报告编写模板与要点

0版本控制

版本

日期

修订人

修订内容

V1.0

YYYY-MM-DD

张三

初稿

1报告封面

字段

填写示例

报告名称

××单位202X年度信息安全自查报告

报送单位

××单位（盖章）

统一社会信用代码

XXXXMA01XXXXXX

报告日期

202X年X月X日

联系人/电话

李四XXX-0000

2目录（自动更新）

报告封面

目录

自查工作概述

自查依据与范围

组织与制度情况

技术防护情况

数据安全与隐私保护

应急与演练情况

第三方服务管理

自查发现问题汇总

整改计划与时间表

结论与承诺

附件清单

3自查工作概述

项目

内容

自查周期

202X年X月X日至X月X日

自查方式

□资料审查□现场访谈□工具检测□渗透测试□其他：____

牵头部门

信息安全工作小组/信息化办公室

参与部门

财务部、人力部、业务部、后勤部……

自查工具

漏洞扫描：Nessus10.x；基线核查：自定义脚本；日志分析：ELK8.x

简述：本次自查以《网络安全法》《数据安全法》《个人信息保护法》以及《GB/TXXX信息安全技术网络安全等级保护基本要求》为依据，采用“工具扫描+人工复核”双轮驱动方式，共核查主机312台、数据库26套、应用系统58个、网络设备45台。

4自查依据与范围

法律法规

《网络安全法》

《数据安全法》

《个人信息保护法》

《密码法》

政策文件

《信息安全技术网络安全等级保护定级指南》（GB/TXXX）

《关键信息基础设施安全保护条例》

内部制度

《××单位信息安全管理办法（202X版）》

范围边界

物理范围：总部数据中心、同城容灾机房、3个分支机构弱电机房

系统范围：财务系统（三级）、OA系统（二级）、官网（一级）、移动APP（二级）

资产范围：硬件、虚拟化平台、云平台（阿里云VPC）、外包运维团队

5组织与制度情况

维度

自查要点

状态

佐证材料索引

组织架构

是否设立“一把手”负责的网安领导小组

?是?否

附件1：红头文件

人员配备

是否配置专职安全员/网络安全负责人

?是?否

附件2：岗位说明书

制度完整

是否建立覆盖物理、网络、主机、应用、数据、应急的制度体系

?是?否

附件3：制度清单

培训教育

202X年度开展≥2次全员安全意识培训

?是?否

附件4：培训签到表

考核奖惩

是否将安全纳入绩效考核

?是?否

附件5：绩效方案

6技术防护情况（二级/三级差异化填）

控制域

自查要点

符合性

高风险例举

备注

物理环境

机房是否配备门禁、视频监控、双路市电

?符合

—

机房已备案

网络结构

是否按核心/汇聚/接入分层并划安全域

?符合

—

核心交换已冗余

边界防护

互联网出口是否部署下一代防火墙+IPS

?符合

—

品牌：FortiGate

访问控制

三级系统是否采用双因素+堡垒机运维

?符合

—

堡垒机：JumpServer

主机加固

是否关闭默认共享/弱口令/默认账户

?部分符合

3台Windows2012R2默认账户未禁用

见问题编号A01

漏洞管理

高危漏洞是否7日内修复

?不符合

财务系统存在ApacheLog4j2RCE（CVE-XXX）未修复

见问题编号A02

日志审计

是否集中留存≥6个月并审计分析

?符合

—

ELK集群

恶意代码

三级系统是否安装EDR或防病毒网关

?符合

—

火绒+EDR

7数据安全与隐私保护

数据分类分级

核心数据：财务原始凭证、薪酬明细→等级：核心/敏感

重要数据：客户订单→等级：重要

一般数据：内部新闻→等级：内部

数据生命周期管理

采集：弹窗隐私政策+用户勾选

存储：核心数据加密（AES-256）+密文落盘

使用：API最小权限+字段脱敏（掩码、哈希）

共享：对外接口须走API网关+OAuth2鉴权

销毁：硬盘消磁/物理粉碎，留存销毁记录3年

跨境流动

经评估，无跨境传输；境外云备份已停用。

个人信息

202X年累计收集135万条，已备案；尚未发生泄露事件。

8应急与演练情况

指标

说明

应急预案

《××单位网络安全事件应急预案（202X修订）》已发布并每年评审

演练次数

202X年共开展2次：①勒索病毒桌面推演②真实隔离区恢复演练

演练范围

覆盖财务、人力、客服、IT、公关共5个业务小组

演练结论

RTO=2h、RPO=15min目标达成；发现“应急通讯录不更新”问题1项，已整改

重大事件

202X年未发生等级保护定义的“重大网络安全事件”

9第三方服务管理

外包开发

3家供应商已签署《安全保密协议》《源代码托管协议》

云服务商

阿里云：已做等级保护三级备案，合同中含SLA、安全责任条款

运维外包

驻场4人，已做背景调查、保密承诺；堡垒机账号纳入双因素

第三方测评

202