网站安全检查记录表

1、附件 4安全检查记录表主管单位主管单位负责人运行安全责任人单位性质中文名网址服务器物理地址工信部 ICP 备案号设置的服务栏目运行单位联系联系是否加挂党政机关、事业单位标识IP 地址新闻发布政策宣传政务公开事项办理论坛留 言 版即时通信电子其他（一）安全责任制落实情况（ 1）责任制落实情况（共8 项）序检查项检查要 点结果记录备注号1是否落实了单位安全责任部门？记录安安全责任部门全责任部门名称是 否 不适用和安全责任人2落实情况是否落实了单位安全责任人？记录安全责任人、职务、联系是 否 不适用3主要领导对网是否将网络安全工作的执行情况纳入到年度考核指标？是 否 不适用络安全工作的开展网络安全工

2、作的经费是否纳入年度4重视情况预算？是 否 不适用5是否有网络安全责任制执行的工作记录或会议记录？是 否 不适用6本检查年度是否未发生过网络安全事故/单位网络安全事件？是 否 不适用7责任制落实情是否对发生的网络安全事故/ 事件有详细况记录？是 否 不适用8是否对发生的网络安全事故/ 事件按照网络安全责任制进行处理？是 否 不适用（ 2）网络安全工作保障情况（共15 项）序检查项检查要 点结果记录备注号1是否有安全管理员，并签订协议？是 否 不适用2关键岗位人员是否有容管理员，并签订协议？是 否 不适用3是否有网络管理员，并签订协议？是 否 不适用配备情况4是否有系统管理员，并签订协议？是 否

3、 不适用5是否有安全审计员，并签订协议？是 否 不适用6定级备案执行单位是否确定了安全保护等级？是 否 不适用7情况单位是否按要求到公安机关进行了备是 否 不适用案？是否从全国信息安全等级保护测评机8构推荐目录中选择测评机构开展等级是 否 不适用测评？9是否对系统定期进行安全测评？是 否 不适用10等级测评情况是否采纳并落实安全测评整改建议？是 否 不适用11对安全测评机构提供的测评服务是否满是 否 不适用意？12是否将测评机构服务评价情况反馈公安是 否 不适用机关？13的产品采购、服务外包是否按照相关管是 否 不适用理制度执行，并有相关记录？14 系统建设管理的工程实施、验收交付等建设是否按

4、照是 否 不适用相关管理制度执行，并有相关记录？执行情况是否委托第三方测试单位对系统进行安15全性测试验收，并出具安全性测试报是 否 不适用告？（二）安全管理措施落实情况（ 1）监测情况（共11 项）序检查项检查要 点结果记录备注号1是否制定事件报告和处置制度？是 否 不适用2安全事件报告是否制定事件通报流程？是 否 不适用3处置是否有完整事件处置记录？是 否 不适用4开展日常政府本单位日常安全监测是否按照机制执是 否 不适用安全监测和预行？5警情况是否有安全监测记录？是 否 不适用6本单位日常安全预警是否按照机制执是 否 不适用行？7是否有安全预警和处理记录？是 否 不适用8是否有应急预案，

5、并有相应的预案文是 否 不适用档？9应急预案的制是否有应急保障队伍，并有人员和联系是 否 不适用方式？定、演练和完是否定期应急演练，并有应急演练的文10善情况是 否 不适用档记录？11是否根据演练结果对应急预案进行完是 否 不适用善，并有应急预案的修订记录？（ 2）管理情况（共13 项）序检查项号12容管理345用户个人信息6 保护管理7机房安全管理制度执行情况8网络安全检查9 工作组织部署情况10用户实名登记情况1112 存在问题的整改工作情况13检查要 点结果记录备注是否制定容发布管理制度（含容核查、是 否 不适用审批等安全管理措施）？是否制定容发布流程？是 否 不适用是否制定信息分类分级

6、标准或制度？是 否 不适用是否制定容及完整性监控制度？是 否 不适用是否制定用户个人信息保护制度？是 否 不适用是否制定用户个人信息保护策略维护记是 否 不适用录？本单位机房进出人员管理是否按照制度是 否 不适用执行，并有详细记录？本单位机房日常监控是否按照制度执是 否 不适用行，并有监控记录？是否有系统网络安全自查工作总结报是 否 不适用告？是否要求用户登记注册时采用实名登是 否 不适用记？是否要求用户登记注册时记录（或护是 否 不适用照）？是否根据公安机关通报的整改意见进行是 否 不适用整改，并及时反馈？是否根据等级测评结果进行整改？是 否 不适用（ 3）信息巡查情况（共 6 项）序检查要

7、 点结果记录备注检查项号交互式是否有专人负责单位公告栏的定时巡是 否 不适用1查？栏目信息2巡查情况是否有专人负责单位论坛的定时巡查？是 否 不适用3是否有专人负责单位聊天室的定时巡是 否 不适用查？4是否有专人负责单位留言版的定时巡是 否 不适用查？5有害信息、不是否发现出现过有害信息、不良信息及是 否 不适用其他违反国家法律法规的信息？良信息处理情6况是否保存好有关记录，并及时删除有害是 否 不适用信息？（三）安全技术措施防护情况（ 1）边界防护情况（共9 项）序检查项检查要 点结果记录备注号1互联网是否有互联网接入链路？是 否 不适用接入链路2信息技术产品是否达到网络安全产品全国产化是

8、否 不适用3是否部署防火墙？是 否 不适用4是否对外屏蔽了不必要的服务/ 端口？是 否 不适用5网络边界所部是否部署入侵检测（防护）设备？是 否 不适用6署的安全防护是否部署防病毒网关？是 否 不适用7设备是否部署抗拒绝服务攻击设备？是 否 不适用8是否部署 Web应用防火墙？是 否 不适用9是否部署其他设备？是 否 不适用（ 2）容安全防护措施（共16 项）序检查项检查要 点结果记录备注号1网页是否定期对文件进行检测？是 否 不适用2防篡改措施是否采取网页防篡改措施？是 否 不适用3是否进行过系统层漏洞扫描，并有详细是 否 不适用漏洞扫描记录？4措施及修复是否进行过应用层漏洞扫描，并有详细是

9、 否 不适用升级情况记录？5发现的漏洞是否及时修复？是 否 不适用6恶意代码防护是否有网页挂马检测系统？是 否 不适用7容安全防护措容编辑、审核及发布权限是否分离？是 否 不适用8施关键信息发布是否多级审核？是 否 不适用9发布容是否过滤？是 否 不适用管理终端安全是否有控制措施（如地址绑定，网络接是 否 不适用10入控制等）？防护措施11是否对后台管理系统的接口进行隐藏？是 否 不适用12后台管理系统登录是否采取验证机制？是 否 不适用后台管理系统是否对后台管理系统的登录失败尝试次是 否 不适用13数进行限制？防护措施14是否对后台管理系统的用户口令复杂度是 否 不适用进行强度限制？用户日志

10、留存单位用户日志是否有留存措施？是 否 不适用15措施有害信息屏蔽是否对有害信息采取屏蔽过滤措施？是 否 不适用16过滤措施（ 3）应用安全防护措施（共14 项）序检查项号1主要设备2 可用性前、后台系统3隔离情况4 应用远程管理情况56容远程维护情7况8910系统运维管理11 情况1213检查要 点结果记录备注服务器和数据库服务器是否双机热备？是 否 不适用服务器和数据库服务器是否采用冷备方是 否 不适用式？是否采用逻辑隔离？是 否 不适用是否不允许远程管理政府的应用？是 否 不适用应用远程管理时是否采用加密通道？是 否 不适用是否不允许远程维护政府容？是 否 不适用政府容远程维护时是否采用

11、加密通道？是 否 不适用是否对系统设备的运行状态进行集中管是 否 不适用理和监控 ?是否对信息系统的网络流量进行集中管是 否 不适用理和监控 ?是否对系统设备的用户行为进行集中管是 否 不适用理和监控 ?是否对信息系统的恶意代码防进行集中是 否 不适用管理和监控 ?是否对信息系统的补丁升级进行集中管是 否 不适用理和监控 ?是否对信息系统的安全审计进行集中管是 否 不适用理和监控 ?14是否对监测和报警记录进行分析？是 否 不适用（ 4）服务器安全防护措施（共8 项）序检查项号1服务器2 操作系统检查要 点结果记录备注服务器操作系统安全补丁是否及时更是 否 不适用新？服务器操作系统是否存在弱口令？是 否 不适用3456安全措施服