政府网站安全检查指标(20170915)

一级指标二级指标三级指标权重指标细则自查表4本单位确定网站安全负责人及相关技术人员，并明确岗位责任制度。一、网站安全负责人①负责网站安全管理工作的单位领导：□已明确□未明确②姓名：_______________③职务：_______________④是否本单位主要负责同志：□是□否二、网站相关技术人员①负责网站安全工作的技术人员：□已明确□未明确系统管理员：_______________网站管理员：_______________安全管理员：_______________数据库管理员：_______________②是否本单位同志：□是□否4本单位建立健全网站安全开发、测试、运维规程，加强对网站安全风险的分析评估，定期进行风险警示，支持、协助应对网站安全风险。①是否制定网站安全开发、测试、运维规范：□是□否②是否定期网站系统进行风险评估：□是□否③风险评估周期（如有）：□每年一次□每半年一次□每季度一次□不定期，上次评估事件：________④风险评估方式：□自行测评□第三测评机构测评□信息化（电子政务）主管部门统一测评管理制度政府网站安全检查指标安全管理能力（38分）安全管理制度(14分)一级指标二级指标三级指标权重指标细则自查表2本单位指定或授权专门的部门或人员负责网站安全相关管理制度的制定。一、制定网站安全管理制度①负责制定网站安全管理制度的部门或人员：□已明确□未明确②部门名称：___________________③负责人：_____________④职务：________________二、网站安全相关管理制度请列举相关制度名称：_____________2本单位网站安全相关管理制度通过正式、有效的方式发布，并进行版本控制。①网站安全相关管理制度发布方式：□纸质传阅□OA系统发布□其它：_____②是否进行版本控制：□是□否评审和修订2本单位定期对网站安全相关管理制度的合理性和适用性进行论证和审定，对存在不足或需要改进的安全管理制度进行修订。①是否定期对网站安全相关管理制度进行评审及修订：□是□否②制度评审及修订周期（如有）：□每年一次□每半年一次□每季度一次□不定期人员录用1本单位网站相关技术人员录用后应签订保密协议。①网站相关技术人员签订保密协议：□全部签订□部分签订□均未签订人员离岗2本单位网站相关技术人员离岗后，其对应的帐号权限应进行撤销。①人员离岗离职安全管理规定：□已制定□未制定②账号权限是否及时撤销：□是□否安全意识教育和培训2本单位定期进行或参加网站安全意识教育和培训，并有培训登记表。2016年开展网站安全教育培训的次数：_____2016年参加网络安全教育培训的人数：_____占本单位总人数的比例：_____％制定和发布安全管理能力（38分）安全管理制度(14分)安全管理机构和人员（5分）一级指标二级指标三级指标权重指标细则自查表安全建设管理（4分）定级和备案4本单位网站系统有进行等保定级备案。①网站系统是否进行信息安全等级保护定级备案：□是□否②网站系统信息安全等级保护级别（如定级备案）：□二级□三级□三级第三方测评机构（如有测评）：_______________资产管理2本单位应对网站系统相关资产进行登记并定时进行资产登记与更新。①信息资产管理制度：□已建立□未建立②是否定期对网站系统相关资产进行登记和更新：□是□否漏洞和风险管理2本单位针对网站系统应进行定期巡检及漏洞修复。①网站安全巡检周期：□每年一次□每半年一次□每年季度一次□每月一次□不定期②是否对网站漏洞进行及时修复：□是□否密码管理2本单位网站系统管理员账户应具备密码复杂度、定期更换等策略限制。①系统管理员账号密码复杂度：□8位以上□8位以下□纯数字组成□数字+字母组成□纯字母组成□数字+字母+不规则符号组成②定期对账户密码进行更换（如有）：□每年一次□每半年一次□每年季度一次□每月一次□不定期暴露面识别与分析5本单位针对网站系统内外网进行暴露面识别与分析，暴露面包括服务、端口、协议等内容。①是否对网站系统内外网暴露面进行识别：□是□否②识别的暴露面包括：□端口□服务□协议□开发框架□其它____③是否对暴露面进行分析，识别是否正常暴露或过度暴露等：□是□否安全管理能力（38分）安全运维管理(15分)一级指标二级指标三级指标权重指标细则自查表业务安全评估4本单位针对网站系统业务层面进行安全评估，及时发现业务逻辑漏洞并修复。①是否对网站系统业务层面进行安全评估：□是□否②评估方式：□自行测评□第三测评机构测评□信息化（电子政务）主管部门统一测评网络安全6本单位网站系统网络架构部署了防火墙、入侵检测/防御系统、WEB防火墙等安全设备。①网络安全防护设备部署（可多选）：□防火墙□入侵检测设备□安全审计设备□防病毒网关□抗拒绝服务攻击设备□Web应用防火墙□其它②网络/安全产品是否通过安全认证和检测：□是□否③设备安全策略配置：□使用默认配置□根据需要配置④网络访问日志：□留存日志，留存时长天□未留存日志通信安全2本单位网站系统在通信过程中，采取加密的方式进行数据传输。①是否采取https方式访问网站：□是□否应用及系统安全6本单位网站系统不存在高、中危安全漏洞。①漏洞检测周期：□每月□每季度□每年□不进行漏洞检测②2016年自行发现漏洞数量：_____个收到漏洞风险通报数量：_____个其中已得到处置的漏洞风险数量：_____个，已反馈整改情况：_____个。用户数据安全2本单位网站系统如具有收集用户信息功能应当向用户明示并取得同意。①网站系统是否有收集用户信息功能：□是□否②是否在用户注册时向用户明示并取得同意：□是□否安全管理能力（38分）安全防护能力（32分）安全运维管理(15分)通用防护安全（32分）一级指标二级指标三级指标权重指标细则自查表4网站系统服务器操作系统、数据库、中间件等软件应遵循最小安装原则，仅安装应用必需的服务和组件，并及时安装安全补丁程序。①网站系统服务器操作系统、数据库、中间件等软件是否遵循最小安装原则：□是□否②是否及时安装安全补丁程序：□是□否操作系统版本：______数据库版本：_____中间件版本：_____2网站系统前台发布页面和后台管理系统应分别部署在不同主机环境，并设置严格的访问控制策略，防止后台管理系统暴露在互联网中。①网站系统前台发布页面和后台管理系统是否部署在不同主机环境：□是□否②网站后台管理系统是否设置互联网可以访问：□是□否2网站系统应采用两种或两种以上组合的鉴别技术，确定管理员身份。①网站系统管理员登录采取哪种身份鉴别方式：□用户名+密码□用户名+密码+短信验证□用户名+密码+Ukey□其它_____4网站系统应严格设置访问和操作权限，实现系统管理、内容编辑、内容审核等用户的权限分离。①网站系统管理、内容编辑、内容审核等用户的权限是否分离：□是□否系统管理人员：_____网站内容编辑人员：_____网站内容审核人员：_____安全配置及管理安全防护能力（32分）通用防护安全（32分）一级指标二级指标三级指标权重指标细则自查表服务器放置4本单位网站系统服务器不放在境外，不使用境外机构提供的物理服务器和虚拟主机。①网站系统服务器是否放置在境外：□是□否②是否使用境外机构提供的物理服务器或虚拟主机：□是□否监控管理4本单位网站系统应部署网站监控设备或采购网站监控服务对单位的门户网站进行7*24监控。①本单位是否部署网站安全监控设备或采购网站监控服务：□是□否假冒网站管理2及时处置假冒政府网站，对监测发现或网民举报的假冒政府网站，应及时请网信部门处理。①本单位定期查看互联网是否存在假冒网站：□是□否查看频次：_____威胁发现能力6网站系统如被挂马、插入敏感关键字、恶意篡改、暗链、瘫痪、劫持、信息泄露等安全事件时，能及时发现并书面记录；2016年网站系统发生安全事件次数：_____，其中自行监测到的网站安全事件次数：_____，收到通报的网站安全事件次数：_____。其中：本单位网站系统遭受DDoS攻击次数：_____被嵌入恶意代码次数：_____服务中断次数：_____信息泄露次数：_____网页被恶意篡改次数：_____网站存在暗链次数：_____所有安全事件中已得到处置的安全事件数量：_____个，已反馈整改情况：_____个。威胁响应及处置能力2网站系统发生安全事件时，具备应急响应及处置能力。网站安全事件应急人员：_______________网站安全事件应急流程：_______________威胁事中检测（10分）安全防护能力（32分）威胁发现能力（22分）通用防护安全（32分）威胁事前预防（6分）一级指标二级指标三级指标权重指标细则自查表检测周期2本单位安全管理员应每天对网站系统进行查看和分析，并书面记录查看分析结果。①是否每日对网站系统进行查看并分析：□是□否②是否保存书面记录：□是□否日志完备性2本单位网站系统应具有系统日志信息，日志审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。①网站系统是否具备日志审计功能：□是□否②日志审计是否覆盖每个用户，对重要的用户行为和重要安全事件进行审计（如有）：□是□否日志保存期2本单位网站系统运行日志不少于6个月。①网站系统运行日志保持时间多长：□一个月□一个季度□半年□一年□一年以上异常行为分析2本单位网站系统受到安全威胁时，可对系统日志等进行分析，并形成分析报告，对威胁进行溯源。①本单位安全管理员是否有能力对网站系统日志进行分析：□是□否②是否能对高级持续性威胁攻击进行威胁溯源：□是□否应急预案4本单位制定了网站安全事件应急预案，及时处置网站安全事件、系统漏洞、网络攻击、网络入侵等安全风险。①是否已制定网站安全事件应急预案：□已制定2016年修订情况：□修订□未修订□未制定2016年应急预案启动次数：_____应急演练2本单位开展应急演练，提供对网络攻击、病毒入侵、系统故障等风险的应急能力。①是否开展应急演练并记录演练过程：□2016年已开展，演练次数：，其中实战演练数：□2016年未开展威胁事中检测（10分）威胁事后追溯（6分）制度及规范（6分）威胁发现能力（22分）应急与恢复能力（8分）一级指标二级指标三级指标权重指标细则自查表基础设施及技术支持（2分）备份与恢复管理2本单位应对网站系统采取数据备份与恢复、加密等措施。①备份和恢复管理：□已建立备份和恢复管理制度，且记录完整□已建立备份和恢复管理制度，但记录不完整□未建立备份和恢复管理制度②是否对备份数据进行加密存储：□是□否应急与恢复能力（8分）自评分政府网站安全检查指标自评分自评分自评分自评分自评分自评分自评分