西安市互联网信息安全责任书

附件1：西安市互联网信息安全责任书根据《全国人大常委会关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等有关法律法规规定，凡是在西安市行政区域范围内的国际互联网联网单位均应履行以下法定义务：一、国际互联网联网单位应在网络正式联通后的三十日内，到西安市公安局公共信息网络安全监察支队进行备案登记；二、国际互联网联网单位应当在西安市公安局公共信息网络安全监察支队监督指导下，建立和完善计算机网络安全组织：1、成立网络安全小组，确定本单位计算机安全管理责任人和安全领导小组负责人（由单位负责人担任）；2、落实安全领导小组负责人、安全管理责任人、计算机安全员的岗位职责；3、配备1到2名计算机安全员，我市计算机安全技术人员必须经过市公安、人事部门组织的安全技术培训，考核合格后持证上岗；4、单位安全组织保持与公安机关联系渠道畅通，保证各项信息网络安全政策、法规在本单位的落实，积极接受公安机关网监部门业务监督检查；5、单位安全组织的安全负责人及安全技术人员应切实履行各项安全职责，对不依法履行职责，造成安全事故和重大损害的，由公安机关予以警告，并建议其所在单位给予纪律或经济处理；情节严重的，依法追究刑事责任；6、制定网络安全事故处置措施。三、国际互联网联网单位要落实以下网络信息安全保护管理制度：1、信息发布审核、登记制度；2、信息监控、保存、清除和备份制度；3、病毒检测和网络安全漏洞检测制度；4、违法案件报告和协助查处制度；5、电子公告系统用户登记制度；6、帐号使用登记和操作权限管理制度；7、安全教育和培训制度；8、专职人员信息审核制度；9、其他与安全保护相关的管理制度。10.建立有害信息每月汇总报告制度。四、国际互联网联网单位要建立和健全以下信息网络安全保护技术措施：1、互联网接入单位应提供网络拓扑结构和IP地址及分配使用情况。在计算机主机、网关和防火墙上建立完备的日志审计记录。日志审计系统原则上使用经公安机关检测合格的产品，各单位审计系统必须保证日志记录的完整性，日志保存的时间至少为60天。日志审计重点考虑系统时钟和操作系统日志，其技术指标主要包括：系统的启动时间、用户登陆帐号、登陆时间、用户进行的操作、关机时间等。对每一次网络连接应记录连接的源IP地址、目的机器IP地址、连接的时间、使用的协议等信息。2、具有安全审计或预警功能；3、有害信息封堵、过滤功能；4、开设邮件服务的，具有垃圾邮件清理功能；5、开设交互式信息栏目的，具有身份登记和识别确认功能；6、计算机病毒防护功能；7、关键字过滤技术；8、其他保护信息和系统网络安全的技术措施。*********************************************************************我单位承诺履行上述法定义务和责任。联系电话：电子邮件：传真：地址：责任单位：（公章）单位法人代表签字：年月日*********************************************************************附件2：西安市教育系统网络安全自查表时间：年月日被检单位名称单位地址负责人联系电话联网情况接入方式（服务商）:网络拓扑图：（附后）账号（电话）:联网主机数:IP地址:编号自查内容自查结果（请选择1：有2：无）组织制度1单位成立网络安全小组，确立安全小组负责人（单位领导任组长），确立组长负责制2落实小组人员岗位工作职责3配备1到2名计算机安全员，须持证上岗（若“有”，填写计算机安全员__人，持《信息网络安全专业技术人员继续教育证书》__人）4制定网络安全事故处置措施安全保护管理制度5计算机机房安全保护管理制度6用户登记制度和操作权限管理制度7网络安全漏洞检测和系统升级管理制度8交互式栏目24小时巡查制度9电子公告系统用户登记制度10信息发布审核、登记、保存、清除和备份制度，信息群发服务管理制度11违法案件报告和协助查处制度安全保护技术措施12具有保存60天以上系统网络运行日志和用户使用日志记录功能，内容包括IP地址分配及使用情况，交互式信息发布者、主页维护者、邮箱使用者和拨号用户上网的起止时间和对应IP地址，交互式栏目的信息等13安全审计及预警措施14网络攻击防范、追踪措施15计算机病毒防治措施16身份登记和识别确认措施17交互式栏目具有关键字过滤技术措施18开设短信息服务的具有短信群发限制、过滤和删除等技术措施19开设邮件服务的，具有垃圾邮件清理功能注：编号12-19，自查结果若选择“1：有”，请填写具体措施附件3：西安市教育系统网站安全自查表单位名称联系人/联系电话信息安全主管领导职务网站安全第一责任人职务学校主页情况功能有/无管理人员姓名发布信息公告栏BBS留言板聊天室电子邮件个人主页防篡改安全项目内容选项自查结果1、网站名称2、网站安全等级保护级别1：四级2：三级3：二级4：未定级3、网站主机服务器运行维护管理方式1：自行管理2：委托管理4、是否建立网站安全管理制度？1：是2：否5、是否有明确的网站安全责任处罚规定？1：是2：否6、是否对安全防护措施进行了评估1：是2：否7、本年度是否开展了网站安全评估？1：自评估2：委托专业评估3：没有开展8、如果开展了安全防护措施评估，评估结果是什么？1：有效2：基本有效3：不足9、是否及时进行了下列安全检查？○SQL注入攻击隐患1：是2：否○跨站脚本攻击隐患1：是2：否○弱口令1：是2：否○操作系统补丁安装1：是2：否○网站服务系统及其他应用系统补丁安装1：是2：否○防病毒软件升级1：是2：否○网站是否被“挂马”1：是2：否○入侵检测系统升级1：是2：否3：无此系统○漏洞扫描系统升级1：是2：否3：无此系统○执行漏洞扫描1：是2：否10、是否有网页防篡改措施？1：安装了防篡改系统2：人工监看3：无防篡改措施11、是否具有边界保护措施？1：防火墙2：其他3：无12、是否有抗拒服务攻击措施？1：是2：否13、是否安装了入侵检测系统？1：是2：否14、是否安装了防病毒系统？1：是2：否15、是否保留了系统安全日志？1：是2：否16、系统安全日志查看的周期是多少？1：每月2：每周3：每天4：偶尔查看或从不查看17、是否有独立的安全审计系统？1：是2：否18、网站服务器和同一网段内其他服务器之间是否有访问控制措施？1：是2：否19、是否关闭或删除了不必要的帐户？1：是2：否20、是否关闭或删除了不必要的应用？1：是2：否21、是否关闭或删除了不必要的服务？1：是2：否22、是否关闭或删除了不必要的端口？1：是2：否23、系统管理和数据库管理的口令更换周期是多少？1：从未更换或偶尔更换2：一个月以上3：一个月4：半个月5：每周或更短24、系统管理和数据库管理的口令长度是多少？1：小于8位2：大于8位25、是否存在多台服务器或多个帐户使用同一口令的情况？1：是2：否26、对网站进行远程维护时，是否采取了加密措施？1：是2：否27、是否对自管的域名解析系统采取了安全防护措施？1：是2：否3：无自管域名解析系统28、是否与托管方签订了安全协议？1：是2：否3：未采用托管方式29、是否根据应急预案组织过应急演练？1：是2：否30、是否采取了备份措施？1：备机2：备件3：网站数据备份4：其他措施31、是否明确了技术支援队伍？1：是2：否32、是否有24小时值班制度？1：已开始值班2：拟从____年__月__日起开始实行24小时值班3：不需要进行24小时值班33、是否建立了网站发布审核制度？1：是2：否34、是否有工信部（通信管理局）备案？1：是2：否35、是否有网监支队备案？1：是2：否