您好,欢迎访问三七文档
当前位置:首页 > 建筑/环境 > 工程监理 > 2016年宁海县教育系统网络与信息安全检查记录表
1附件:2016年宁海县教育系统网络与信息安全检查记录表单位名称(盖章):检查日期:2016年月日一级指标二级指标指标标准指标说明分数自查得分得分依据信息安全组织管理(15分)信息安全组织明确本单位网络信息安全管理机构。明确一名领导负责本单位网络信息安全工作。指定至少一名专职或兼职网络信息安全管理员。以正式文件明确信息安全管理部门及信息安全主管领导、指定一名专职或兼职网络信息安全管理员。5人员培训面向全体教职工开展网络信息安全专题教育、组织安排网络信息安全管理人员参加有关业务培训。组织安排重要应用系统的管理员、操作员进行信息安全培训工作。每年开展一次以上网络安全专题教育及业务培训活动。培训内容包括自建及上级部门的重要应用系统(学籍系统、教务系统、人事系统、财务系统等)。5人员管理重点岗位人员离岗离职时,收回其网络信息安全管理的相关权限。涉及重要数据的相关人员签订保密协议。确保重要岗位人员离岗离职时,收回其相关权限。涉及重要数据的相关人员签订保密协议。52信息安全规章制度(5分)制度完备性制定完备的信息安全管理制度。建立信息安全管理制度体系,包括人员管理、中心机房管理、网络安全管理、设备终端管理、应用管理、数据管理、应急管理等制度。5经费保障(5分)经费预算将设备采购、信息安全设施运维、日常管理、业务培训、检查评估等费用纳入年度预算。信息安全相关经费纳入年度信息化建设预算,额度大于10%。5中心机房管理(6分)机房环境要求自建机房参考GB/T2887-2011《计算机场地通用规范》C类机房。较小学校建议使用区域IDC机房或云机房。中心机房及IDC机房、云机房必须专室专用,配备空调、UPS、防火防盗设施、防静电地板、接地措施,配有安防视频监控。2中心机房出入中心机房有专人负责管理,外人进入需责任人陪同,并做好登记。外人进入机房必须有责任人陪同并登记。2机房巡查定期对中心机房的设备进行检查。机房设备进行检查,发现问题及时修复2网络安全管理(12分)地址管理普通终端建立IP地址及MAC地址登记表,移动终端采用上网认证方式,分配地址均为城域网规划地址。建立主要网络设备、普通终端地址分配登记表。内容包含IP地址、MAC地址、用户信息等。4边界防护布署访问控制设备和入侵检测设备(上级城域网已配置,可认同)。网络边界布署访问控制设备和入侵检测设备,能够阻断非授权访问并43定期更新检测规则库。上网审计布署上网审计设备(上级城域网已配置,可认同)。网络边界布署上网审计设备,对网络访问情况进行定期分析审计并记录审计情况(审计记录日志保存不少于3个月)。4设备终端管理(16分)病毒防护布署防病毒系统。服务器、终端计算机安装防病毒软件,并定期更新恶意代码库。4设备口令管理设备终端设置口令策略。配置强口令,设置口令保管及更新策略4设备补丁更新及时更新系统补丁。及时对服务器操作系统补丁和数据库管理系统补丁进行更新。4终端计算机接入管理对接入本单位网络的终端计算机进行有效管理(上级城域网已配置,可认同)。采取技术措施对接入本单位网络的终端计算机进行控制,如采用入网WEB实名认证等方式。4网站及应用系统管理(24分)应用系统重要信息系统必须开展等级保护工作。重要系统上线前进行必要的安全检测及开展等级保护工作。6应用系统账号账户设立必须有一定的流程。权限设置上必须以最少授权为原则。离职人员的账号、测试账号及时删除。严格划分不同用户的访问权限,避免越权访问或交叉授权;以“不肯定即为否定”设计访问权限;针对内部用户和外部用户有不同的安全44策略;权限管理配置要有灵活性和可扩展性。重要系统的密码设置要符合安全策略。重要系统的密码设置,字符数要求在八位以上且不重复,字符内容应包含大写字母、小写字母、数字、符号(如#、空格等),最好将这些字符混合组合,并定期修改。4网站落实网站备案管理制度。开办网站应由上级单位主管领导审批,明确网站服务内容,了解“谁开办,谁负责”原则,网站负责人、管理人员发生变动应及时向上级单位重新备案或更新信息。4布署网站防护措施(上级城域网已配置,可认同)。网站布署入侵防御系统、WEB防火墙、防篡改等技术措施。4开展网站监测及日志分析。网站应开展日常或实时监测,日志分析。2数据管理(9分)数据备份做好网络设备、服务器、应用系统、数据库等备份工作。对重要设备的配置文件、操作系统、应用系统信息、数据库等进行备份,在出现问题时能够快速恢复。3个人信息做好个人电子信息保密工作。应用系统中涉及学生、教师等个人65电子信息,必须遵循合法、正当、必要的原则,明确信息的使用范围。跟有关公司开展业务时,根据需要签订信息数据保密协议。应急管理(8分)应急预案制定信息安全事件应急预案。内容包括对安全事件分类分级及对应的响应流程(预案启动条件、应急处理过程、系统恢复流程、事后教育和培训等)。3应急演练开展应急演练,并留存演练方案、记录、总结等文档。每年开展一次应急演练,且提供应急演练方案、演练记录(包括演练时间、参演人员、演练内容等)、演练总结报告等相关文件并保存。56
本文标题:2016年宁海县教育系统网络与信息安全检查记录表
链接地址:https://www.777doc.com/doc-2936617 .html