信息安全風(fēng)險(xiǎn)評(píng)估檢查報(bào)告

1、信息安全風(fēng)險(xiǎn)評(píng)估檢查報(bào)告一、部門基本情況部門名稱分管信息安全工作的領(lǐng)導(dǎo)（本部門副職領(lǐng)導(dǎo)） 姓名： 職務(wù)：信息安全管理機(jī)構(gòu)（如辦公室） 名稱： 負(fù)責(zé)人：職務(wù)： 聯(lián)系人：電話：信息安全專職工作處室（如信息安全處） 名稱： 負(fù)責(zé)人：電話：二、信息系統(tǒng)基本情況信息系統(tǒng)情況 信息系統(tǒng)總數(shù)：個(gè) 面向社會(huì)公眾提供服務(wù)的信息系統(tǒng)數(shù)：個(gè) 委托社會(huì)第二方進(jìn)行日常運(yùn)維管理的信息系統(tǒng)數(shù)：個(gè)，其中簽訂運(yùn)維外包服務(wù)合同的信息系統(tǒng)數(shù)：個(gè) 本年度經(jīng)過安全測(cè)評(píng)（含風(fēng)險(xiǎn)評(píng)估、等級(jí)評(píng)測(cè)）系統(tǒng)數(shù)：個(gè)系統(tǒng)定級(jí)情況信息系統(tǒng)定級(jí)備案數(shù)： 個(gè)，其中第一級(jí)：個(gè)第二級(jí)：個(gè)第三級(jí)： 個(gè)第四級(jí)：個(gè)第五級(jí)：個(gè)未定級(jí)：個(gè)定級(jí)變動(dòng)信息系統(tǒng)數(shù)：個(gè)（上次檢杳

2、至今）互聯(lián)網(wǎng)接入情況互聯(lián)網(wǎng)接入口總數(shù)：個(gè)其中：聯(lián)通接入口數(shù)量：個(gè)接入帶寬：兆電信接入口數(shù)量：個(gè)接入帶寬：兆其他接入口數(shù)量： 個(gè)接入帶寬： 兆系統(tǒng)安全測(cè)評(píng)情況最近2年開展安全測(cè)評(píng)（包括風(fēng)險(xiǎn)評(píng)估、登記測(cè)評(píng)）系統(tǒng)數(shù)個(gè)三、日常信息安全管理情況安全自查信息系統(tǒng)安全狀況自查制度： 丄建立 未建立人員管理 入職人員信息安全管理制度：丄建立未建立 在職人員信息安全和保密協(xié)議：全部簽訂 部分簽訂 均未簽訂 人員離崗離職安全管理規(guī)定：已制定未制定 信息安全管理人員持證上崗：是否 信息安全技術(shù)人員持證上崗：是否 外部人員訪問機(jī)房等重要區(qū)域管理制度：丄建立 未建立資產(chǎn)管理 資產(chǎn)管理制度：丄建立未建立 信息安全設(shè)備運(yùn)維

3、管理：匚巳明確專人負(fù)責(zé)未明確定期進(jìn)行配置檢查、日志審計(jì)等未進(jìn)行 設(shè)備維修維護(hù)和報(bào)廢銷毀管理：丄建立管理制度，且維修維護(hù)和報(bào)廢銷毀記錄完整 丄建立管理制度，但維修維護(hù)和報(bào)廢銷毀記錄不完整 尚未建立管理制度四、信息安全防護(hù)管理情況網(wǎng)絡(luò)邊界防護(hù)管理 網(wǎng)絡(luò)區(qū)域劃分是否合理：合理不合理 網(wǎng)絡(luò)訪問控制：有訪問控制措施無訪問控制措施 網(wǎng)絡(luò)訪問日志：留存日志未留存日志 安全防護(hù)設(shè)備策略：使用默認(rèn)配置 根據(jù)應(yīng)用自主配置信息系統(tǒng)安全管理 服務(wù)器安全防護(hù)：丄關(guān)閉不必要的應(yīng)用、服務(wù)、端口未關(guān)閉匸賬戶口令滿足8位，包含數(shù)字、字母或符號(hào)不滿足定期更新賬戶口令未定期更新定期進(jìn)行漏洞掃描、病毒木馬檢測(cè)未進(jìn)行 網(wǎng)絡(luò)設(shè)備防護(hù)：安

4、全策略配置有效無效匸賬戶口令滿足8位，包含數(shù)字、字母或符號(hào)不滿足定期更新賬戶口令未定期更新定期進(jìn)行漏洞掃描、病毒木馬檢測(cè)未進(jìn)行信息安全設(shè)備部署及使用：丄部署有防病毒、防火墻、入侵檢測(cè)、安全審計(jì)等功能的設(shè)備未部署安全策略配置有效無效門戶網(wǎng)站安全管理網(wǎng)站域名：IP地址：是否申請(qǐng)中文域名：是否 網(wǎng)站是否備案：是否 門戶網(wǎng)站賬戶安全管理：丄清理無關(guān)賬戶未清理無空口令、弱口令和默認(rèn)口令有 網(wǎng)頁防篡改措施：丄部署未部署 網(wǎng)站信息發(fā)布管理：丄建立審核制度，且審核記錄完整丄建立審核制度，但審核記錄不完整尚未建立審核制度電子郵箱安全管理 郵箱使用：僅限有權(quán)限工作人員使用除權(quán)限工作人員外，還有其他人員在使用 賬戶

5、口令管理：使用技術(shù)措施控制和管理口令強(qiáng)度無口令強(qiáng)度限制措施終端計(jì)算機(jī)安全管理 終端計(jì)算機(jī)安全管理方式：使用統(tǒng)一平臺(tái)對(duì)終端計(jì)算機(jī)進(jìn)行集中管理口用戶分散管理 賬戶口令管理：無空口令、弱口令和默認(rèn)口令有 接入互聯(lián)網(wǎng)安全控制措施：有控制措施（如實(shí)名接入、綁定計(jì)算機(jī) IP和MAC地址等）無控制措施 漏洞掃描、木馬檢測(cè)：定期進(jìn)行 未進(jìn)行 在非涉密信息系統(tǒng)和涉密信息系統(tǒng)間混用情況：不存在 存在 是否在使用非涉密計(jì)算機(jī)處理涉密信息情況：不存在 存在存儲(chǔ)介質(zhì)安全管理 存儲(chǔ)陣列、磁帶庫等大容量存儲(chǔ)介質(zhì)安全防護(hù)：外聯(lián)，但采取了技術(shù)防范措施控制風(fēng)險(xiǎn)外聯(lián)，無技術(shù)防范措施無外聯(lián) 移動(dòng)存儲(chǔ)介質(zhì)管理方式：集中管理，統(tǒng)一登記、

6、配發(fā)、收回、維修、報(bào)廢、銷毀未采取集中管理方式 電子信息消除或銷毀設(shè)備： 丄配備未配備五、信息安全應(yīng)急管理情況信息安全應(yīng)急預(yù)案丄制定本年度修訂情況：修訂 未修訂未制定信息安全應(yīng)急演練本年度已開展本年度未開展信息安全災(zāi)難備份 重要數(shù)據(jù)：備份未備份 重要信息系統(tǒng)：備份 未備份 容災(zāi)備份服務(wù)： m于境內(nèi)位于境外 無應(yīng)急技術(shù)支援隊(duì)伍部門所屬單位外部專業(yè)機(jī)構(gòu)無六、信息技術(shù)產(chǎn)品應(yīng)用情況服務(wù)器總臺(tái)數(shù)：其中，國產(chǎn)臺(tái)數(shù)：使用國產(chǎn)CPU的服務(wù)器臺(tái)數(shù)：終端計(jì)算機(jī)（含筆記本）總臺(tái)數(shù)：其中，國產(chǎn)臺(tái)數(shù)：使用國產(chǎn)CPU的服務(wù)器臺(tái)數(shù)：網(wǎng)絡(luò)交換設(shè)備（路由器、交換機(jī)等）總臺(tái)數(shù)：其中，國產(chǎn)臺(tái)數(shù)：操作系統(tǒng)服務(wù)器操作系統(tǒng)情況：安裝Wi

7、ndows操作系統(tǒng)的服務(wù)器臺(tái)數(shù)：安裝Linux操作系統(tǒng)的服務(wù)器臺(tái)數(shù)：安裝其他操作系統(tǒng)的服務(wù)器臺(tái)數(shù)：終端計(jì)算機(jī)操作系統(tǒng)情況： 安裝Windows操作系統(tǒng)的服務(wù)器臺(tái)數(shù)： 安裝Linux操作系統(tǒng)的服務(wù)器臺(tái)數(shù)： 安裝其他操作系統(tǒng)的服務(wù)器臺(tái)數(shù)：數(shù)據(jù)庫總套數(shù)：其中，國產(chǎn)套數(shù)：公文處理軟件（終端計(jì)算機(jī)安裝）安裝國產(chǎn)公文處理軟件的終端計(jì)算機(jī)臺(tái)數(shù)：安裝國外公文處理軟件的終端計(jì)算機(jī)臺(tái)數(shù)：信息安全產(chǎn)品 安裝國產(chǎn)防病毒產(chǎn)品的終端計(jì)算機(jī)臺(tái)數(shù)： 防火墻（不含終端軟件防火墻）臺(tái)數(shù)： 其中，國產(chǎn)防火墻臺(tái)數(shù)：密碼產(chǎn)品使用情況采用使用國產(chǎn)商用密碼產(chǎn)品臺(tái)（套）數(shù)使用國外產(chǎn)商用密碼產(chǎn)品臺(tái)（套）數(shù)使用自行研制或委托研制的密碼產(chǎn)品臺(tái)（套

8、）數(shù)使用互聯(lián)網(wǎng)下載的密碼產(chǎn)品臺(tái)（套）數(shù)使用其他密碼產(chǎn)品臺(tái)（套）數(shù)未采用七、信息安全教育培訓(xùn)情況培訓(xùn)人數(shù)本年度接受信息安全教育培訓(xùn)的人數(shù)：人占部門總?cè)藬?shù)的比例：%培訓(xùn)次數(shù)本年度開展信息安全教育培訓(xùn)的次數(shù)：人，培訓(xùn)部門名稱：專業(yè)培訓(xùn)本年度信息安全管理和技術(shù)人貝參加專業(yè)培訓(xùn)人次：人次八、信息系統(tǒng)安全建設(shè)整改信息系 統(tǒng)安全 建設(shè)整 改工作 情況（1）是否明確主管領(lǐng)導(dǎo)、責(zé)任部門和具體負(fù)責(zé)人員 文件依據(jù)：是 否（2）是否對(duì)信息系統(tǒng)安全建設(shè)整改工作進(jìn)行總體部署 文件依據(jù)：是 否（3）是否對(duì)信息系統(tǒng)進(jìn)行安全保護(hù)現(xiàn)狀分析是 否（4）是否制定信息系統(tǒng)安全建設(shè)整改方案是 否（5）是否組織開展信息系統(tǒng)安全建設(shè)整改工作

9、 通過何種方式開展：是 否（6）是否組織開展信息系統(tǒng)安全自查工作是 否（7）是否對(duì)本單位安全建設(shè)整改工作進(jìn)行總結(jié)上報(bào)是 否已開展安全建設(shè)整改的信息系統(tǒng)數(shù)量第二級(jí)系統(tǒng)第三級(jí)系統(tǒng)第四級(jí)系統(tǒng)合計(jì)已開展等級(jí)測(cè)評(píng)的信息系統(tǒng)數(shù)量第二級(jí)系統(tǒng)第三級(jí)系統(tǒng)第四級(jí)系統(tǒng)合計(jì)信息系統(tǒng)發(fā)生安全事件、事故數(shù)量第二級(jí)系統(tǒng)第三級(jí)系統(tǒng)第四級(jí)系統(tǒng)合計(jì)已達(dá)到等級(jí)保護(hù)要求的信息系統(tǒng)數(shù)量第二級(jí)系統(tǒng)第三級(jí)系統(tǒng)第四級(jí)系統(tǒng)合計(jì)九、本年度信息安全事件情況病毒木馬等惡意代碼檢測(cè)結(jié)果 進(jìn)行過病毒木馬等惡意代碼檢測(cè)的服務(wù)器臺(tái)數(shù)：其中，感染惡意代碼的服務(wù)器臺(tái)數(shù)： 進(jìn)行過病毒木馬等惡意代碼檢測(cè)的終端計(jì)算機(jī)臺(tái)數(shù)：其中，感染惡意代碼的終端計(jì)算機(jī)臺(tái)數(shù)：漏洞檢測(cè)

10、結(jié)果進(jìn)行過漏洞掃描的服務(wù)器臺(tái)數(shù)： 其中，存在漏洞的服務(wù)器臺(tái)數(shù)：存在高風(fēng)險(xiǎn)漏洞1的服務(wù)器臺(tái)數(shù)：進(jìn)行過漏洞掃描的終端計(jì)算機(jī)臺(tái)數(shù)：其中，存在漏洞的終端計(jì)算機(jī)臺(tái)數(shù)：存在高風(fēng)險(xiǎn)漏洞的終端計(jì)算機(jī)臺(tái)數(shù)：本年度 信息安 全事件 統(tǒng)計(jì)門戶網(wǎng)站受攻擊情況本部門入侵檢測(cè)設(shè)備檢測(cè)到的門戶網(wǎng)站受攻擊次數(shù)：網(wǎng)頁被 篡改情況門戶網(wǎng)站網(wǎng)頁被篡改（含內(nèi)嵌惡意代碼）次數(shù)：設(shè)備違規(guī)使用情況 使用非涉密終端計(jì)算機(jī)處理涉密信息事件數(shù)： 終端計(jì)算機(jī)在非涉密系統(tǒng)和涉密系統(tǒng)間混用事件數(shù)： 移動(dòng)存儲(chǔ)介質(zhì)在非涉密系統(tǒng)和涉密系統(tǒng)間交叉使用事件數(shù)：十、信息技術(shù)外包服務(wù)機(jī)構(gòu)情況（包括參與技術(shù)檢測(cè)的外部專業(yè)機(jī)構(gòu)）外包服務(wù)機(jī)構(gòu)1機(jī)構(gòu)名稱普洱市方土傳媒機(jī)構(gòu)性質(zhì)國有 民營 外資服務(wù)內(nèi)容2信息安全和保密協(xié)議已簽訂未簽訂信息安全管理體系認(rèn)證情況已通過認(rèn)證認(rèn)證機(jī)構(gòu)：未通過認(rèn)證外包服務(wù)機(jī)構(gòu)機(jī)構(gòu)名稱機(jī)構(gòu)性質(zhì)國有 民營 外資服務(wù)內(nèi)容1本表所稱高風(fēng)險(xiǎn)漏洞，是指計(jì)算機(jī)硬件、軟件或信息系統(tǒng)中存在的嚴(yán)重安全缺陷，利用這些缺陷可完全 控制或部