附件
网络安全检查表
一、 部门基本情况 部门名称 分管网络安全工作的领导 (本部门正/副职领导) 吉安县人民医院 ①姓名: 黄宝根 ②职务: 副院长 ①名称: 信息科 ②负责人: 童黎霞 职 务: 科长 ③联系人: 童黎霞 办公电话: 手机: 15907066964 ①名称: ②负责人: 办公电话: 手机: 网络安全管理机构 (如办公室) 网络安全专职工作机构 (如信息中心) 二、网络安全日常管理情况 人员管理 ①岗位网络安全责任制度:□已建立 √未建立 ②重点岗位人员安全保密协议:□全部签订 □部分签订 √均未签订 ③人员离岗离职安全管理规定:□已制定 √未制定 ④外部人员访问机房等重要区域审批制度:√已建立 □未建立 ①资产管理制度:□已建立 √未建立 ②设备维修维护和报废管理: □已建立管理制度,且记录完整 □已建立管理制度,但记录不完整 √未建立管理制度 资产管理 三、网络安全防护情况 ①网络安全防护设备部署(可多选): √防火墙 □入侵检测设备 □安全审计设备 网络边界 安全防护 □防病毒网关 □抗拒绝服务攻击设备 □其它: ②√设备安全策略:□使用默认配置 □根据需要配置 ③网络访问日志:□留存日志 √未留存日志 ①本单位使用无线路由器的数量:1个 ②无线路由器用途: 访问互联网:个 访问业务/办公网络:1个 无线网络 安全防护 ③安全防护策略(可多选): √采取身份鉴别措施 □采取地址过滤措施 □未设置安全防护策略 ④无线路由器使用默认管理地址情况:√存在 □不存在 ⑤无线路由器使用默认管理口令情况:√存在 □不存在 ①门户网站域名: ②门户网站IP地址: 门户网站 安全防护 ③网页防篡改措施:□采取 √未采取 ④漏洞扫描:□定期扫描,周期 □不定期 √未进行 ⑤信息发布管理:□已建立审核制度,且记录完整 □已建立审核制度,但记录不完整 √未建立审核制度 ⑥运维方式:自行运维 √委托第三方运维 ①建设方式:□自行建设 √使用第三方服务 邮件服务提供商 ②账户数量:1个 ③注册管理:□须经审批 √任意注册 电子邮件 安全防护 ④口令管理:□使用技术措施控制口令强度 √没有采取技术措施控制口令强度 ⑤安全防护:(可多选) √采取病毒木马防护措施 □部署防火墙、入侵检测等设备 □采取反垃圾邮件措施 □其他: ①安全管理方式: □集中统一管理(可多选) √规范软硬件安装 □统一补丁升级 □统一病毒防护 □统一安排审计 □对移动存储介质接入实施控制 终端计算机 安全防护 √分散管理 ②接入互联网安全控制措施: □有控制措施(如实名接入、绑定计算机IP和MAC地址等) √无控制措施 ③接入办公系统安全措施措施: √有控制措施(如实名接入、绑定计算机IP和MAC地址等) □无控制措施 移动存储介质 安全防护 ①管理方式: □集中管理,统一登记、配发、收回、维修、报废、销毁 √未采取集中管理方式 ②信息销毁: □已配备信息消除和销毁设备 √未配备信息消防和销毁设备 四、网络安全教育培训情况 培训次数 培训人数 本年度开展网络安全教育培训的次数: 1 次 本年度接受网络安全教育培训的人数: 120 人 占本部门总人数的比例: 30 % 五、网络安全经费预算投入情况 经费预算 经费投入 网页被篡改情况 本年度网络安全经费预算额: 万元 上一年度网络安全经费实际投入额: 万元 门户网站网页被篡改(含内嵌恶意代码)次数: 六、信息技术外包服务机构情况(包括参与技术检测的外部专业机构) 机构名称 机构性质 外包服务机构1 服务内容 武汉三佳医疗信息技术有限公司 □国有单位 √民营企业 □外资企业 √系统集成 □系统运维 □风险评估 □安全检测 □安全加固 □应急支持 √数据存储 √灾难备份 □其他 网络安全保密协议 □已签订 √未签订 七、对网络安全及安全检查工作的建议 附件2
网络安全管理工作自评估表
评估指私服 评价要素 评价标准 权重 (V) 指标 属性 量化方法(P为量化值) 已明确,本年度就信息安全工作作出批示或主持召开专题会议,P=1; 已明确,本年度未就信息安全工作作出批示或主持召开专题会议,P=0.5; 尚未明确,P=0。 已指定,并以正式文件等形式明确其职责,P=1;未指定,P=0 P=指定信息安全员的内设机构数量与内设机构总数的比率。 制定完整,P=1;制度不完整,P=0.5;无制度,P=0。 符合,P=1;不符合,P=0。 P=重点岗位人员中签订信息安全与保密协议的比率。 符合,P=1;不符合,P=0。 符合,P=1;不符合,P=0。 符合,P=1;不符合,P=0。 符合,P=1;不符合,P=0。 符合,P=1;不符合,P=0。 记录完整,P=1;记录基本完整,P=0.5;记录不完整或无记录,P=0。 评估得分 (V×P) 信息安全 组织管理 (7) 信息安全 主管领导 明确一名主管领导负责本部门信息安全工作(主管领导应为本部门正职或副职领导) 3 定性 0.5 信息安全 管理机构 信息安全员 制度完整性 制度发布 重点岗位人员签订安全保密协议 人员离岗离职 管理措施 外部人员访问 管理措施 责任落实 建立台账 指定一个机构具体承担信息安全管理工作(管理机构应为本部门二级机构)。 各内设机构指定一名专职或兼职信息安全员。 建立信息安全管理制度体系,包括人员管理、资产管理、采购管理、外包管理、教育培训等。 安全管理制度以正式文件等形式发布。 重点岗位人员(系统管理员、网络管理员、信息安全员等)签订信息安全与保密协议。 人员离岗离职时,收回其相关权限,签署安全保密承诺书。 外部人员访问机房等重要区域时采取审批、人员陪同、进出记录等安全管理措施。 指定专人负责资产管理,并明确责任人职责。 建立完整资产台账,统一编号、统一标识、统一发放。 资产台账与实际设备相一致。 完整记录设备维修维护和报废信息(时间、地点、内容、责任人等)。 2 2 3 2 2 1 2 2 2 1 2 定性 定性 定性 定性 定性 定性 定性 定性 定性 定性 定性 1 1 0.5 1 规章制度 信息安全日常管理(33) 人员管理 资产管理 账物符合度 设备维修维护和 报废管理措施
评估指私服 评价要素 外包服务协议 现场服务管理 评价标准 与信息技术外包服务提供商签订信息安全与保密协议,或在服务合同中明确信息安全与保密责任。 现场服务过程中安排专人管理,并记录服务过程。 外包开发的系统、软件上线前通过信息安全测评。 原则上不得采用远程在线方式,确需采用时采取书面审批、访问控制、在线监测、日志审计等安全防护措施。 将信息安全设施运维、日常管理、教育培训、检查评估等费用纳入年度预算。 网站信息发布前采取内容核查、审批等安全管理措施。 配备必要的电子信息消除和销毁设备,对变更用途的存集介质进行信息消除,对废弃的存储介质进行销毁。 具备防盗窃、防破坏、防雷击、防火、防水、防潮、防静电及备用电力供应、温湿度控制、电磁防护等安全措施。 机房配备门禁系统或有专人值守。 风络边界部署访问控制设备,能够阻断非授权访问。 风络边界部署入侵检测设备,定期更新检测规则库。 网络边界部署安全审计设备,对网络访问情况进行定期分析审计并记录审计情况。 各单位同一办公区域内互联网接入口不超过2个。 权重 (V) 3 2 3 指标 属性 定性 定性 定性 量化方法(P为量化值) 符合,P=1;不符合,P=0。 记录完整,P=1;制度不完整,P=0.5;无记录,P=0。 P=外包开发的系统、软件上线前通过信息安全测评的比率。 符合,P=1;不符合,P=0。 评估得分 (V×P) 1 0.5 外包管理 信息安全日常管理(33) 外包开发管理 运维服务方式 2 定性 定性 定性 经费保障 网站内容 管理 电子信息 管理 经费预算 网站信息发布 介质销毁和 信息消除 3 2 符合,P=1;不符合,P=0。 符合,P=1;不符合,P=0。 1 定性 符合,P=1;不符合,P=0。 物理环境 安全 信息 安全 技术 防护 (43) 机房安全 物理访问控制 访问控制 入侵检测 安全审计 互联网 接入口数量 2 1 3 3 3 2 定性 定性 定性 定性 定性 定性 符合,P=1;不符合,P=0。 符合,P=1;不符合,P=0。 符合,P=1;有设备,但未配置策略,,P=0.5;无设备,P=0。 符合,P=1;有设备,但未定期更新,P=0.5;无设备,P=0。 符合,P=1;有设备,但未定期分析,P=0.5;无设备,P=0。 符合,P=1;不符合,P=0。 1 1 0.5 1 网络边界安全
网络安全检查表 - 图文
