网络安全检查表 docx 附文件

「【模板】2.15-1网络安全检查表.docx」
/~7cac3Y7Y4m~:/
链接：https://pan.quark.cn/s/b08da85c00e4

1

已根据您提供的内容，整理出完整的《网络安全检查评估表》。

检查指标检查要素检查标准检查结果

网络安全组织管理 网络安全主管领导明确一名主管领导负责本单位网络安全工作（主管领导应为本单位正职或副职领导）。

网络安全管理机构指定一个机构具体承担网络安全管理工作（管理机构应为本部门下属机构）。

网络安全联络员各内设机构指定一名专职或兼职网络安全员。

网络安全制度管理 规章制度制度完整性建立网络安全管理制度体系，涵盖人员管理、资产管理、采购管理、外包管理、教育培训等方面。

制度发布安全管理制度以正式文件等形式发布。

人员管理重点岗位人员签订安全保密协议重点岗位人员（系统管理员、网络管理员、网络安全员等）签订网络安全和保密协议。

人员离岗离职管理措施人员离岗离职时，收回其相关权限，签署安全保密承诺书。

网络安全日常管理 人员管理外部人员访问管理措施外部人员访问机房等重要区域时采取审批、人员陪同、进出记录等安全管理措施。

资产管理责任落实指定专人负责资产管理，并明确责任人职责。

建立台账建立完整资产台账，统一编号、统一标识、统一发放。

账物符合度资产台账和实际设备相一致。

设备维修维护和报废管理措施完整记录设备维修维护和报废信息（时间、地点、内容、责任人等）。

外包管理外包服务协议和信息技术外包服务提供商签订网络安全和保密协议，或在服务合同中明确网络安全和保密责任。

现场服务管理现场服务过程中安排专人管理，并记录服务过程。

外包开发管理外包开发的系统、软件上线前通过信息安全测评。

运维服务方式原则上不得采用远程在线方式，确需采用时采取书面审批、访问控制、在线监测、日志审计等安全防护措施。

经费保障经费预算将网络安全设施运维、日常管理、教育培训、检查评估等费用纳入年度预算。

网站内容管理网站信息发布网站信息发布前采取内容核查、审批等安全管理措施。

电子信息管理介质销毁和信息消除配备必要的电子信息消除和销毁设备，对变更用途的存储介质进行信息消除，对废弃的存储介质进行销毁。

信息安全防护管理 物理环境安全机房安全具备防盗窃、防破坏、防雷击、防火、防水、防潮、防静电及备用电力供应、温湿度控制、电磁防护等安全措施。

物理访问控制机房配备门禁系统或有专人值守。

网络边界安全访问控制网络边界部署访问控制设备，能够阻断非授权访问。

入侵检测网络边界部署入侵检测设备，定期更新检测规则库。

安全审计网络边界部署安全审计设备，对网络访问情况进行定期分析审计并记录审计情况。

互联网接入口数量各单位同一办公区域内互联网接入口不超过2个。

设备安全恶意代码防护部署防病毒网关或统一安装防病毒软件，并定期更新恶意代码库。

设备漏洞扫描定期对服务器、网络设备、安全设备等进行安全漏洞扫描。

服务器口令策略配置口令策略保证服务器口令强度和更新频率。

服务器安全审计启用安全审计功能并进行定期分析。

服务器补丁更新及时对服务器操作系统补丁和数据库管理系统补丁进行更新。

网络设备和安全设备口令策略配置口令策略保证网络设备和安全设备口令强度和更新频率。

终端计算机统一防护采取集中统一管理方式对终端进行防护，统一软件下发、安装系统补丁。

终端计算机接入控制采取技术措施（如部署集中管理系统、将IP地址和MAC地址绑定等）对接入本单位网络的终端计算机进行控制。

使用系统安全使用系统安全漏洞扫描定期对服务器、网络设备、安全设备等进行安全漏洞扫描。

门户网站防篡改措施门户网站采取网页防篡改措施。

门户网站抗拒绝服务攻击措施门户网站采取抗拒绝服务攻击措施。

电子邮件账号注册审批建立邮件账号开通审批程序，防止邮件账号任意注册使用。

电子邮箱账户口令策略置口令策略保证电子邮箱口令强度和更新频率。

邮件清理定期清理工作邮件。

数据安全数据存储保护采取技术措施（如加密、分区存储等）对存储的重要数据进行保护。

数据传输保护采取技术措施对传输的重要数据进行加密和校验。

数据和系统备份采取技术措施对重要数据和系统进行定期备份。

数据中心、灾备中心设立数据中心、灾备中心应设立在境内。

网络安全应急管理 应急预案制定网络安全事件应急预案（为部门级预案，非单个信息系统的安全应急预案），并使相关人员熟悉应急预案。

应急演练开展应急演练，并留存演练计划、方案、记录、总结等文档。

应急资源指定应急技术支援队伍，配备必要的备机、备件等应急物资。

事件处置发生网络安全事件后，及时向主管领导报告，按照预案开展处置工作；重大事件及时通报网络安全主管部门。

网络安全教育培训 意识教育面向全体人员开展网络安全形势和警示教育、基本技能培训等活动。

专业培训定期开展网络安全管理人员和技术人员专业培训。

网络安全检查 工作部署检查工作相关文件或者组织召开专题会议，对年度检查工作进行部署。

工作机制明确检查工作负责人、检查机构和检查人员。

技术检测使用技术手段进行安全检测。

检查经费安排并落实检查工作经费。

检查指标	检查要素	检查标准	检查结果
网络安全组织管理	网络安全主管领导	明确一名主管领导负责本单位网络安全工作（主管领导应为本单位正职或副职领导）。
	网络安全管理机构	指定一个机构具体承担网络安全管理工作（管理机构应为本部门下属机构）。
	网络安全联络员	各内设机构指定一名专职或兼职网络安全员。
网络安全制度管理	规章制度	制度完整性	建立网络安全管理制度体系，涵盖人员管理、资产管理、采购管理、外包管理、教育培训等方面。
		制度发布	安全管理制度以正式文件等形式发布。
	人员管理	重点岗位人员签订安全保密协议	重点岗位人员（系统管理员、网络管理员、网络安全员等）签订网络安全和保密协议。
		人员离岗离职管理措施	人员离岗离职时，收回其相关权限，签署安全保密承诺书。
网络安全日常管理	人员管理	外部人员访问管理措施	外部人员访问机房等重要区域时采取审批、人员陪同、进出记录等安全管理措施。
	资产管理	责任落实	指定专人负责资产管理，并明确责任人职责。
		建立台账	建立完整资产台账，统一编号、统一标识、统一发放。
		账物符合度	资产台账和实际设备相一致。
		设备维修维护和报废管理措施	完整记录设备维修维护和报废信息（时间、地点、内容、责任人等）。
	外包管理	外包服务协议	和信息技术外包服务提供商签订网络安全和保密协议，或在服务合同中明确网络安全和保密责任。
		现场服务管理	现场服务过程中安排专人管理，并记录服务过程。
		外包开发管理	外包开发的系统、软件上线前通过信息安全测评。
		运维服务方式	原则上不得采用远程在线方式，确需采用时采取书面审批、访问控制、在线监测、日志审计等安全防护措施。
	经费保障	经费预算	将网络安全设施运维、日常管理、教育培训、检查评估等费用纳入年度预算。
	网站内容管理	网站信息发布	网站信息发布前采取内容核查、审批等安全管理措施。
	电子信息管理	介质销毁和信息消除	配备必要的电子信息消除和销毁设备，对变更用途的存储介质进行信息消除，对废弃的存储介质进行销毁。
信息安全防护管理	物理环境安全	机房安全	具备防盗窃、防破坏、防雷击、防火、防水、防潮、防静电及备用电力供应、温湿度控制、电磁防护等安全措施。
		物理访问控制	机房配备门禁系统或有专人值守。
	网络边界安全	访问控制	网络边界部署访问控制设备，能够阻断非授权访问。
		入侵检测	网络边界部署入侵检测设备，定期更新检测规则库。
		安全审计	网络边界部署安全审计设备，对网络访问情况进行定期分析审计并记录审计情况。
		互联网接入口数量	各单位同一办公区域内互联网接入口不超过2个。
	设备安全	恶意代码防护	部署防病毒网关或统一安装防病毒软件，并定期更新恶意代码库。
		设备漏洞扫描	定期对服务器、网络设备、安全设备等进行安全漏洞扫描。
		服务器口令策略	配置口令策略保证服务器口令强度和更新频率。
		服务器安全审计	启用安全审计功能并进行定期分析。
		服务器补丁更新	及时对服务器操作系统补丁和数据库管理系统补丁进行更新。
		网络设备和安全设备口令策略	配置口令策略保证网络设备和安全设备口令强度和更新频率。
		终端计算机统一防护	采取集中统一管理方式对终端进行防护，统一软件下发、安装系统补丁。
		终端计算机接入控制	采取技术措施（如部署集中管理系统、将IP地址和MAC地址绑定等）对接入本单位网络的终端计算机进行控制。
	使用系统安全	使用系统安全漏洞扫描	定期对服务器、网络设备、安全设备等进行安全漏洞扫描。
		门户网站防篡改措施	门户网站采取网页防篡改措施。
		门户网站抗拒绝服务攻击措施	门户网站采取抗拒绝服务攻击措施。
		电子邮件账号注册审批	建立邮件账号开通审批程序，防止邮件账号任意注册使用。
		电子邮箱账户口令策略	置口令策略保证电子邮箱口令强度和更新频率。
		邮件清理	定期清理工作邮件。
	数据安全	数据存储保护	采取技术措施（如加密、分区存储等）对存储的重要数据进行保护。
		数据传输保护	采取技术措施对传输的重要数据进行加密和校验。
		数据和系统备份	采取技术措施对重要数据和系统进行定期备份。
		数据中心、灾备中心设立	数据中心、灾备中心应设立在境内。
网络安全应急管理	应急预案		制定网络安全事件应急预案（为部门级预案，非单个信息系统的安全应急预案），并使相关人员熟悉应急预案。
	应急演练		开展应急演练，并留存演练计划、方案、记录、总结等文档。
	应急资源		指定应急技术支援队伍，配备必要的备机、备件等应急物资。
	事件处置		发生网络安全事件后，及时向主管领导报告，按照预案开展处置工作；重大事件及时通报网络安全主管部门。
网络安全教育培训	意识教育		面向全体人员开展网络安全形势和警示教育、基本技能培训等活动。
	专业培训		定期开展网络安全管理人员和技术人员专业培训。
网络安全检查	工作部署		检查工作相关文件或者组织召开专题会议，对年度检查工作进行部署。
	工作机制		明确检查工作负责人、检查机构和检查人员。
	技术检测		使用技术手段进行安全检测。
	检查经费		安排并落实检查工作经费。