企业信息安全风险评估检查报告

企业信息安全风险评估

检查报告

文稿归稿存档编号：[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-

信息安全风险评估检查报告

【最新资料，WORD文档，可编辑修改】

信息安全风险评估检查报告

一、部门基本情况 部门名称 分管信息安全工作的领导 ①姓 名： （本部门副职领导） 信息安全管理机构 （如办公室） ②职 务： ①名 称： ②负责人： 职务： ③联系人： 电话： ①名 称： ②负责人： 电话： 信息安全专职工作处室 （如信息安全处） 二、信息系统基本情况 ①信息系统总数： 个 ②面向社会公众提供服务的信息系统数： 个 信息系统情况 ③委托社会第三方进行日常运维管理的信息系统数： 个， 其中签订运维外包服务合同的信息系统数： 个 ④本年度经过安全测评（含风险评估、等级评测）系统数： 个 信息系统定级备案数： 个，其中 第一级： 个 第二级： 个 第三级： 系统定级情况 个 第四级： 个 第五级： 个 未定级： 个

定级变动信息系统数： 个（上次检查至今） 互联网接入口总数： 个 互联网接入情况 其中：□ 联通 接入口数量： 个 接入带宽： 兆 □ 电信 接入口数量： 个 接入带宽： 兆 □ 其他 接入口数量： 个 接入带宽： 兆 最近2年开展安全测评（包括风险评估、登记测评）系统数 个 系统安全测评情况 三、日常信息安全管理情况 安全自查 信息系统安全状况自查制度：□已建立 □未建立 ①入职人员信息安全管理制度：□已建立 □未建立 ②在职人员信息安全和保密协议： □全部签订 □部分签订 □均未签订 人员管理 ③人员离岗离职安全管理规定: □已制定 □未制定 ④信息安全管理人员持证上岗: □是 □否 ⑤信息安全技术人员持证上岗: □是 □否 ⑥外部人员访问机房等重要区域管理制度：□已建立 □未建立 ①资产管理制度：□已建立 □未建立 ②信息安全设备运维管理： □已明确专人负责 □未明确 资产管理 □定期进行配置检查、日志审计等 □未进行 ③设备维修维护和报废销毁管理： □已建立管理制度，且维修维护和报废销毁记录完整 □已建立管理制度，但维修维护和报废销毁记录不完整 □尚未建立管理制度

四、信息安全防护管理情况 ①网络区域划分是否合理：□合理 □不合理 网络边界防护管理 ②网络访问控制：□有访问控制措施 □无访问控制措施 ③网络访问日志：□留存日志 □未留存日志 ④安全防护设备策略：□使用默认配置 □根据应用自主配置 ① 服务器安全防护： □已关闭不必要的应用、服务、端口 □未关闭 □账户口令满足8位，包含数字、字母或符号 □不满足 □定期更新账户口令 □未定期更新 □定期进行漏洞扫描、病毒木马检测 □未进行 ②网络设备防护： 信息系统安全管理 □安全策略配置有效 □无效 □账户口令满足8位，包含数字、字母或符号 □不满足 □定期更新账户口令 □未定期更新 □定期进行漏洞扫描、病毒木马检测 □未进行 ③信息安全设备部署及使用： □已部署有防病毒、防火墙、入侵检测、安全审计等功能的设备 □未部署 □安全策略配置有效 □无效 网站域名： IP地址： 是否申请中文域名：□ 是 □否 ① 网站是否备案：□ 是 □否 ②门户网站账户安全管理： 门户网站安全管理 □已清理无关账户 □未清理 □无空口令、弱口令和默认口令 □有 ③网页防篡改措施：□已部署 □未部署 ④网站信息发布管理： □已建立审核制度，且审核记录完整 □已建立审核制度，但审核记录不完整

□尚未建立审核制度 ①邮箱使用： □仅限有权限工作人员使用 电子邮箱安全管理 □除权限工作人员外，还有其他人员在使用 ②账户口令管理： □使用技术措施控制和管理口令强度 □无口令强度限制措施 ①终端计算机安全管理方式： □使用统一平台对终端计算机进行集中管理 □用户分散管理 ②账户口令管理：□无空口令、弱口令和默认口令 □有 ③接入互联网安全控制措施： 终端计算机安全管理 □有控制措施（如实名接入、绑定计算机IP和MAC地址等） □无控制措施 ④漏洞扫描、木马检测： □定期进行 □未进行 ⑤在非涉密信息系统和涉密信息系统间混用情况：□ 不存在 □存在 ⑥是否在使用非涉密计算机处理涉密信息情况：□ 不存在 □存在 ①存储阵列、磁带库等大容量存储介质安全防护： □外联，但采取了技术防范措施控制风险 □外联，无技术防范措施 存储介质安全管理 □无外联 ②移动存储介质管理方式： □集中管理，统一登记、配发、收回、维修、报废、销毁 □未采取集中管理方式 ③电子信息消除或销毁设备：□已配备 □未配备 五、信息安全应急管理情况 信息安全应急预案 □已制定 本年度修订情况：□修订 □未修订 □未制定

信息安全应急演练 □本年度已开展 □本年度未开展 ①重要数据：□备份 □未备份 信息安全灾难备份 ②重要信息系统：□备份 □未备份 ③容灾备份服务：□位于境内 □位于境外 □无 应急技术支援队伍 六、信息技术产品应用情况 服务器 终端计算机 （含笔记本） 网络交换设备 （路由器、交换机等） □部门所属单位 □外部专业机构 □无 总台数： 其中， 国产台数： 使用国产CPU的服务器台数： 总台数： 其中， 国产台数： 使用国产CPU的服务器台数： 总台数： 其中， 国产台数： ①服务器操作系统情况： 安装Windows操作系统的服务器台数： 安装Linux操作系统的服务器台数： 操作系统 安装其他操作系统的服务器台数： ②终端计算机操作系统情况： 安装Windows操作系统的服务器台数： 安装Linux操作系统的服务器台数： 安装其他操作系统的服务器台数： 数据库 公文处理软件 （终端计算机安装） 总套数： 其中，国产套数： 安装国产公文处理软件的终端计算机台数： 安装国外公文处理软件的终端计算机台数： ①安装国产防病毒产品的终端计算机台数： 信息安全产品 ②防火墙（不含终端软件防火墙）台数： 其中，国产防火墙台数：

使用国产商用密码产品台（套）数 使用国外产商用密码产品台（套）数 密码 产品使用 情况 □未采用 七、信息安全教育培训情况 培训人数 本年度接受信息安全教育培训的人数： 人 占部门总人数的比例： % 本年度开展信息安全教育培训的次数： 人， 培训部门名称： 本年度信息安全管理和技术人员参加专业培训人次： 人次 □采用 使用自行研制或委托研制的密码产品台（套）数 使用互联网下载的密码产品台（套）数 使用其他密码产品台（套）数 培训次数 专业培训 八、信息系统安全建设整改 （1）是否明确主管领导、责任部门和具体负责人员 □是 □ 否 文件依据： （2）是否对信息系统安全建设整改工作进行总体部署 □是 □ 否 文件依据： □是 □ 否 □是 □ 否 信息系 （3）是否对信息系统进行安全保护现状分析 统安全 建设整 （4）是否制定信息系统安全建设整改方案 改工作 情况 （5）是否组织开展信息系统安全建设整改工作 □是 □ 否 通过何种方式开展： （6）是否组织开展信息系统安全自查工作 （7）是否对本单位安全建设整改工作进行总结上报 □是 □ 否 □是 □ 否

已开展安全建设整改的信息系统第二级系统 数量 已开展等级测评的信息系统数量 第四级系统 第二级系统 第四级系统 第三级系统 合 计 第三级系统 合 计 第三级系统 合 计 第三级系统 合 计 信息系统发生安全事件、事故数第二级系统 量 第四级系统 已达到等级保护要求的信息系统第二级系统 数量 九、本年度信息安全事件情况 病毒木马等恶意代码检测结果 第四级系统 ①进行过病毒木马等恶意代码检测的服务器台数： 其中，感染恶意代码的服务器台数： ②进行过病毒木马等恶意代码检测的终端计算机台数： 其中，感染恶意代码的终端计算机台数：

①进行过漏洞扫描的服务器台数： 其中，存在漏洞的服务器台数： 漏洞检测结果 存在高风险漏洞1的服务器台数： ②进行过漏洞扫描的终端计算机台数： 其中，存在漏洞的终端计算机台数： 存在高风险漏洞的终端计算机台数： 本年度 信息安 全事件 门户网站受攻击情况 本部门入侵检测设备检测到的门户网站受攻击次数： 1

本表所称高风险漏洞，是指计算机硬件、软件或信息系统中存在的严重安全

缺陷，利用这些缺陷可完全控制或部分控制计算机及信息系统，对计算机及信息系统实施攻击、破坏、信息窃取等行为。

统计 网页被 篡改情况 门户网站网页被篡改（含内嵌恶意代码）次数： 设备违规 使用情况 ①使用非涉密终端计算机处理涉密信息事件数： ②终端计算机在非涉密系统和涉密系统间混用事件数： ③移动存储介质在非涉密系统和涉密系统间交叉使用事件数： 十、信息技术外包服务机构情况（包括参与技术检测的外部专业机构） 机构名称 机构性质 服务内容2 外包服务机构1 普洱市方土传媒 □国有 □民营 □外资 信息安全和保密协议 □已签订 □未签订 信息安全管理 体系认证情况 机构名称 机构性质 服务内容 □已通过认证 认证机构： □未通过认证 □国有 □民营 □外资 外包服务机构 信息安全和保密协议 □已签订 □未签订 信息安全管理 体系认证情况 □已通过认证 认证机构： □未通过认证 （如有2个以上外包机构，每个机构均应填写，可另附页） 填表人： 单位： 电话：

2

服务内容主要包括：系统集成、系统运维、风险评估、安全检测、安全加

固、应急支持、数据存储等。