关于开展关键信息基础设施网络安全检查的通知

关于开展关键信息基础设施网络安全

检查的通知

各镇党委，县委各部门，县级国家机关各部门党委（党组、支部),各人民团体党支部：

为了贯彻落实习近平总书记关于“加快构建关键信息基础设施安全保障体系”，“全面加强网络安全检查，摸清家底，认清风险，找出漏洞，通报结果，督促整改”的重要指示精神，摸清我县关键信息基础设施底数，掌握关键信息基础设施风险和防护状况，以查“促建、促管、促改、促防”，推动建立关键信息基础设施网络安全责任制和防范体系，保障关键信息基础设施的安全稳定运行，经研究决定在全县范围开展关键信息基础设施网络安全检查工作。现将有关事项通知如下：

一、检查内容

（一）全县网络与信息系统普查。各党政机关、人民团体、企事业单位、商业运营机构等的网络与信息系统的数量、分布、运维、安全等基本情况。

（二）关键信息基础设施摸底调查。关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统，且这些系统一旦发生网络安全事故，会影响重要行业正常运行，对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。关键信息基础设施的确定方法参见《网络安全检查操作指南》（附件5）。

各单位结合网络与信息系统普查情况，核查登记关键信息基础设施的数量、分布情况、主管单位、联系方式、主要功能、服务范围、数据存储、运行环境、运维方式、网络安全管理和防护情况以及遭到破坏后的危害性等。

（三）网络安全自查。从管理与技术两个方面开展自查，参见《网络安全自查表》（附件4），重点自查本单位网络安全责任制落实、网络安全日常管理、网络与信息系统基本情况、网络安全技术防护、网络安全应急工作、网络安全教育培训、技术检测及网络安全事件、外包服务管理等八个方面内容。各单位也可结合本行业、本单位实际情况增加自查内容。

（四）网络安全抽查。在开展自查的基础上，县网信办会同公安、保密、信息办等部门及专家组成联合检查组，对有关单位进行安全抽查。

本次网络安全检查不涉及涉密网络与信息系统。

二、组织方式

（一）县网信办会同公安、保密、信息办等相关职能部门，统筹组织开展本行政区内的网络安全检查工作。

（二）党政机关、企事业单位主管的关键信息基础设施，根据党政机关、企事业单位的注册登记地，纳入所在地检查范围；各行业主管部门应指导要求本行业按照省、市（区）部署开展好本次网络安全检查工作。

（三）垂直管理部门由上级主管部门统一负责检查，不列入所在地检查范围。

（四）陕西电信、陕西移动、陕西联通、陕西广电的安全检查由省级主管部门负责，各地分公司在报送检查结果时应同时报送县网信办。

（八）县网信办会同县委督查室、县人行、县发改委、县教育局、县工信局、县公安局、县环保局、县住建局、县交通局、县水利局、县卫计委、县国资委、县广电局、县电信局等部门成立关键信息基础设施网络安全检查领导小组及办公室，负责检查工作的组织协调和指导督促，办公室设在县网信办。

三、工作安排

（一）动员部署培训（2016年7-8月）

召开关键信息基础设施网络安全检查动员部署培训会议，对2016年关键信息基础设施网络安全检查工作进行动员部署，组织县网信办、县信息办网络安全检查工作人员进行培训。

（二）摸底调查（2016年8-9月）

网络与信息系统普查范围涵盖各级党政机关、人民团体、企事业单位、商业运营机构等主管的网络与信息系统（含网站）。普查过程中，每个网络与信息系统均需填写《网络与信息系统普查表》（附件3），并根据《网络安全检查操作指南》（附件5）中的判定标准确定关键信息基础设施。

（三）网络安全检查（2016年8-10月）

1.网络安全自查

依据《网络安全检查操作指南》（附件5）进行自查，并填写《网络安全自查表》（附件4）。

2.网络安全抽查

本次安全检查的抽查重点是党政机关门户网站、县级信息化公共平台及部分关键信息基础设施。安全抽查以风险评估为主要手段，开展安全技术测试，查找安全漏洞和隐患，定位安全风险，评估安全状况，提出改进建议。抽查工作结束后，抽查评估结果反馈被抽查单位。

（四）督导评估（2016年8-10月）

建立网络安全检查工作信息报送制度，定期通报各行业检查工作进展，发现问题，总结经验，推进网络安全检查工作顺利开展。

县网信办会同县委督查室对各部门网络安全检查工作开展督导和评估。

四、总结报送

县级各部门、各人民团体应于10月31日前将网络安全检查报告（纸质版并加盖单位公章）报县网信办，包括《网络与信息系统清单》、《关键信息基础设施清单》、《网络与信息系统普查表》。各县级部门、各人民团体还应同时报送《网络安全自查表》。

具体要求参见《填报说明》（附件6）。

五、工作要求

（一）各部门要高度重视，将本次检查工作列入重要议事日程，主要负责同志要亲自抓，落实机构和人员。县网信办抽调专门力量组建检查工作办公室，承担具体工作，明确1名负责同志担任主任，确保有人负责，有机构干事；同时制定工作方案，明确时间节点和工作方式，并精心组织实施，按时完成安全检查各项工作。要组织技术专家或专业技术机构，对网络安全检查工作提供技术支撑，根据实际情况，开展安全抽查评估。

（二）各部门要密切配合，加强工作协同和信息沟通，在对行业主管的关键信息基础设施开展检查时，应会同同级行业主管部门进行。

（三）各部门要加强检查工作信息报送，发现的重大情况及时报送县网信办。

（四）检查过程中要强化风险控制，避免检查工作影响关键信息基础设施的正常运行。要高度重视保密工作，对检查活动、检查实施人员以及相关文档和数据进行严格管理，确保检查工作中涉及到的敏感信息得到有效控制，检查结果严格按照规定报送，不得擅自对外发布或提供给无关机构。检查工作不得向被检单位收取费用，不得要求被检单位购买、使用指定的产品和服务。

（五）各部门应按照《关于加强重要敏感时期党政机关网站安全防护的通知》（中网办发文〔2014〕11号）等文件要求，做好今年G20峰会等重要敏感时期的网络安全保障工作。

联系人：丁力

联系电话：029-35621421

附件：1.网络与信息系统清单

2.关键信息基础设施清单

3.网络与信息系统普查表

4.网络安全自查表

5.网络安全检查操作指南

6.填报说明

中共礼泉县委宣传部

2016年8月18日

附件1

网络与信息系统清单

附件2

关键信息基础设施清单

附件3

网络与信息系统普查表

□关键信息基础设施

附件4

网络安全自查表

附件5

网络安全检查操作指南

为指导关键信息基础设施网络安全检查工作，依据《关于开展关键信息基础设施网络安全检查的通知》（中网办发﹝2016﹞3号，以下简称《检查通知》），参照《信息安全技术 政府部门信息安全管理基本要求》（GB/T 29245-2012）等国家网络安全技术标准规范，制定本指南。

本指南主要用于各地区、各部门、各单位在开展关键信息基础设施网络安全检查工作（以下简称“检查工作”）时参考。

• 关键信息基础设施摸底
  • 关键信息基础设施定义及范围

关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统，且这些系统一旦发生网络安全事故，会影响重要行业正常运行，对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。

关键信息基础设施包括网站类，如党政机关网站、企事业单位网站、新闻网站等；平台类，如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台；生产业务类，如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。

• 确定关键信息基础设施步骤

关键信息基础设施的确定，通常包括三个步骤，一是确定关键业务，二是确定支撑关键业务的信息系统或工业控制系统，三是根据关键业务对信息系统或工业控制系统的依赖程度，以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。

（一）确定本地区、本部门、本行业的关键业务。

可参考表1，结合本地区、本部门、本行业实际梳理关键业务。关键信息基础设施涉及的关键业务包含但不限于以下行业：

表1 关键信息基础设施业务判定表

（二）确定关键业务相关的信息系统或工业控制系统。

根据关键业务，逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统，形成候选关键信息基础设施清单。如电力行业火电企业的发电机组控制系统、管理信息系统等；市政供水相关的水厂生产控制系统、供水管网监控系统等。

（三）认定关键信息基础设施。

对候选关键信息基础设施清单中的信息系统或工业控制系统，根据本地区、本部门、本行业实际，参照以下标准认定关键信息基础设施。

A.网站类

符合以下条件之一的，可认定为关键信息基础设施：

1. 县级（含）以上党政机关网站。（2016年检查中，所有党政机关网站均应填写上报登记表）
2. 重点新闻网站。（2016年检查中，所有新闻网站均应填写上报登记表）
3. 日均访问量超过100万人次的网站。
4. 一旦发生网络安全事故，可能造成以下影响之一的：

（1）影响超过100万人工作、生活；

（2）影响单个地市级行政区30%以上人口的工作、生活；

（3）造成超过100万人个人信息泄露；

（4）造成大量机构、企业敏感信息泄露；

（5）造成大量地理、人口、资源等国家基础数据泄露；

（6）严重损害政府形象、社会秩序，或危害国家安全。

5. 其他应该认定为关键信息基础设施。

B.平台类

符合以下条件之一的，可认定为关键信息基础设施：

1. 注册用户数超过1000万，或活跃用户（每日至少登陆一次）数超过100万。
2. 日均成交订单额或交易额超过1000万元。
3. 一旦发生网络安全事故，可能造成以下影响之一的：

（1）造成1000万元以上的直接经济损失；

（2）直接影响超过1000万人工作、生活；

（3）造成超过100万人个人信息泄露；

（4）造成大量机构、企业敏感信息泄露；

（5）造成大量地理、人口、资源等国家基础数据泄露；

（6）严重损害社会和经济秩序，或危害国家安全。

4.其他应该认定为关键信息基础设施。

C.生产业务类

符合以下条件之一的，可认定为关键信息基础设施：

1. 地市级以上政府机关面向公众服务的业务系统，或与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的城市管理系统。
2. 规模超过1500个标准机架的数据中心。
3. 一旦发生安全事故，可能造成以下影响之一的：

（1）影响单个地市级行政区30%以上人口的工作、生活；

（2）影响10万人用水、用电、用气、用油、取暖或交通出行等；

（3）导致5人以上死亡或50人以上重伤；

（4）直接造成5000万元以上经济损失；

（5）造成超过100万人个人信息泄露；

（6）造成大量机构、企业敏感信息泄露；

（7）造成大量地理、人口、资源等国家基础数据泄露；

（8）严重损害社会和经济秩序，或危害国家安全。

4.其他应该认定为关键信息基础设施。

• 关键信息基础设施信息登记

各单位梳理确定本单位所主管的关键信息基础设施，并填写登记表。主要包括：

a）设施主管单位信息；

b）设施主要负责人、网络安全管理部门负责人、运维单位负责人联系方式；

c）设施提供服务的基本类型、功能描述、网页入口信息、发生网络安全事故后影响分析、投入情况、信息技术产品国产化率；

d）数据存储情况；

e）运行环境情况；

f）运行维护情况；

g）网络安全状况；

h）商用密码使用情况。

• 网络安全检查
  • 单位基本情况

对本单位基本情况进行登记，包括单位名称、组织机构代码、网络安全专职工作人员三方面内容。

表2 单位基本情况检查表

• 信息系统基本情况

对本单位信息系统基本情况进行梳理，主要包括信息系统数量、互联网接入情况、门户网站基本情况三方面内容。

表3 信息系统基本情况检查表

• 网络安全责任制落实情况检查

网络安全责任制落实情况检查通常包括网络安全管理工作单位领导、网络安全管理工作内设机构、网络安全责任制度建设和落实情况的检查。

2.3.1 要求

a）应明确一名主管领导，负责本单位网络安全管理工作，根据国家法律法规有关要求，结合实际组织制定网络安全管理制度，完善技术防护措施，协调处理重大网络安全事件；

b）应指定一个机构，具体承担网络安全管理工作，负责组织落实网络安全管理制度和网络安全技术防护措施，开展网络安全教育培训和监督检查等；

c）应建立健全岗位网络安全责任制度，明确岗位及人员的网络安全责任。

2.3.2 检查方式

文档查验、人员访谈。

2.3.3 检查方法

a）查验领导分工等文件，检查是否明确了网络安全主管领导；查验网络安全相关工作批示、会议记录等，了解主管领导履职情况；

b）查验本单位各内设机构职责分工等文件，检查是否指定了网络安全管理机构（如工业和信息化部指定办公厅为网络安全管理机构）；

c）查验工作计划、工作方案、规章制度、监督检查记录、教育培训记录等文档，了解管理机构履职情况；

d）查验岗位网络安全责任制度文件，检查系统管理员、网络管理员、网络安全员、一般工作人员等不同岗位的网络安全责任是否明确；

e）访谈关键岗位网络安全员，检查其网络安全意识和网络安全知识、技能掌握情况；

f）查验工作计划、工作报告等相关文档，检查网络安全员日常工作开展情况。

表4 网络安全责任制落实情况检查表

• 网络安全日常管理情况检查

2.4.1人员管理检查

2.4.1.1 要求

a）应与重点岗位的计算机使用和管理人员签订网络安全与保密协议，明确网络安全与保密要求和责任；

b）应制定并严格执行人员离岗离职网络安全管理规定，人员离岗离职时应终止信息系统访问权限，收回各种软硬件设备及身份证件、门禁卡等，并签署安全保密承诺书；

c）应建立外部人员访问机房等重要区域审批制度，外部人员须经审批后方可进入，并安排本单位工作人员现场陪同，对访问活动进行记录并留存；

d）应对网络安全责任事故进行查处，对违反网络安全管理规定的人员给予严肃处理，对造成网络安全事故的依法追究当事人和有关负责人的责任，并以适当方式通报。

2.4.1.2 检查方式

文档查验、人员访谈。

2.4.1.3 检查方法

a）查验岗位网络安全责任制度文件，检查系统管理员、网络管理员、网络安全员、一般工作人员等不同岗位的网络安全责任是否明确；检查重点岗位人员网络安全与保密协议签订情况；访谈部分重点岗位人员，抽查对网络安全责任的了解程度；

b）查验人员离岗离职管理制度文件，检查是否有终止系统访问权限、收回软硬件设备、收回身份证件和门禁卡等要求；检查离岗离职人员安全保密承诺书签署情况；查验信息系统账户，检查离岗离职人员账户访问权限是否已被终止；

c）查验外部人员访问机房等重要区域的审批制度文件，检查是否有访问审批、人员陪同等要求；查验访问审批记录、访问活动记录，检查记录是否清晰、完整；

d）查验安全事件记录及安全事件责任查处等文档，检查是否发生过因违反制度规定造成的网络安全事件、是否对网络安全事件责任人进行了处置。

表5 人员管理检查结果记录表

2.4.2信息资产管理情况检查

2.4.2.1要求

a）应建立并严格执行信息资产管理制度；

b）应指定专人负责信息资产管理；

c）应建立信息资产台账（清单），统一编号、统一标识、统一发放；

d）应及时记录信息资产状态和使用情况，保证账物相符；

e）应建立并严格执行设备维修维护和报废管理制度。

2.4.2.2 检查方式

文档查验、人员访谈。

2.4.2.3 检查方法

a）查验信息资产管理制度文档，检查信息资产管理制度是否建立；

b）查验设备管理员任命及岗位分工等文件，检查是否明确专人负责信息资产管理；访谈设备管理员，检查其对信息资产管理制度和日常工作任务的了解程度；

c）查验信息资产台账，检查台账是否完整（包括设备编号、设备状态、责任人等信息）；查验领用记录，检查是否做到统一编号、统一标识、统一发放；

d）随机抽取台账中的部分设备登记信息，查验是否有对应的实物；随机抽取一定数量的实物，查验其是否纳入信息资产台账，同台账是否相符；

e）查验相关制度文档和记录，检查设备维修维护和报废管理制度建立及落实情况。

表6 信息资产管理检查记录表

2.4.3 经费保障情况检查

2.4.3.1 要求

a）应将网络安全设施运行维护、网络安全服务采购、日常网络安全管理、网络安全教育培训、网络安全检查、网络安全风险评估、网络安全应急处置等费用纳入部门年度预算；

b）应严格落实网络安全经费预算，保证网络安全经费投入。

2.4.3.2 检查方式

文档查验。

2.4.3.3 检查方法

a）会同本单位财物部门人员，查验上一年度和本年度预算文件，检查年度预算中是否有网络安全相关费用；

b）查验相关财务文档和经费使用账目，检查上一年度网络安全经费实际投入情况、网络安全经费是否专款专用。

表7 经费保障检查结果记录表

• 网络安全防护情况检查

2.5.1 网络边界安全防护情况检查

2.5.1.1 要求

a）非涉密信息系统与互联网及其他公共信息网络应实行逻辑隔离，涉密信息系统与互联网及其他公共信息网络应实行物理隔离；

b）建立互联网接入审批和登记制度，严格控制互联网接入口数量，加强互联网接入口安全管理和安全防护；

c）应采取访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范等措施，进行网络边界防护；

d）应根据承载业务的重要性对网络进行分区分域管理，采取必要的技术措施对不同网络分区进行防护、对不同安全域之间实施访问控制；

e）应对网络日志进行管理，定期分析，及时发现安全风险。

2.5.1.2 检查方式

文档查验、现场核查。

2.5.1.3 检查方法

a）查验网络拓扑图，检查重要设备连接情况，现场核查内部办公系统等非涉密系统的交换机、路由器等网络设备，确认以上设备的光纤、网线等物理线路没有与互联网及其他公共信息网络直接连接，有相应的安全隔离措施；

b）查验网络拓扑图，检查接入互联网情况，统计网络外联的出口个数，检查每个出口是否均有相应的安全防护措施（互联网接入口指内部网络与公共互联网边界处的接口，如联通、电信等提供的互联网接口，不包括内部网络与其他非公共网络连接的接口）；

c）查验网络拓扑图，检查是否在网络边界部署了访问控制（如防火墙）、入侵检测、安全审计以及非法外联检测、病毒防护等必要的安全设备；

d）分析网络拓扑图，检查网络隔离设备部署、交换机VLAN划分情况，检查网络是否按重要程度划分了安全区域，并确认不同区域间采用了正确的隔离措施；

e）查验网络日志（重点是互联网访问日志）及其分析报告，检查日志分析周期、日志保存方式和保存时限等。

表8 网络边界安全防护检查结果记录表

2.5.2 无线网络安全防护情况检查

2.5.2.1 要求

a）采取身份鉴别、地址过滤等措施对无线网络的接入进行管理，采用白名单管理机制，防止非授权接入造成的内网渗透事件发生；

b）修改无线路由设备的默认管理地址；

c）修改无线路由管理账户默认口令，设置复杂口令，防止暴力破解后台；

d）用户接入认证加密采用WPA2及更高级别算法，防止破解接入口令。

2.5.2.2 检查方式

现场核查。

2.5.2.3 检查方法

a）登录无线设备管理页面，查看加密方认证方式是否采用WPA2以上；

b）检查用户接入认证及管理端口登录口令，包括口令强度和更新频率，查看是否登录页面采用默认地址及默认口令；

c）登录无线网络设备管理端，检查安全防护策略配置情况，包括是否设置对接入设备采取身份鉴别认证措施和地址过滤措施；

表9 无线网络安全防护情况检查结果记录表

2.5.3 电子邮件系统安全防护情况检查

2.5.3.1 要求

a）应加强电子邮件系统安全防护，采取反垃圾邮件等技术措施；

b）应规范电子邮箱的注册管理，原则上只限于本部门工作人员注册使用；

c）应严格管理邮箱账户及口令，采取技术和管理措施确保口令具有一定强度并定期更换。

2.5.3.2 检查方式

文档查验、现场核查。

2.5.3.3 检查方法

a）查验电子邮件系统采购合同或部署文档，检查电子邮件系统建设方式；

b）查验电子邮件系统管理相关规定文档，检查是否有注册审批流程要求；查验服务器上邮箱账户列表，同本单位人员名单进行核对，检查是否有非本单位人员使用；

c）查看邮箱口令策略配置界面，检查电子邮件系统是否设置了口令策略，是否对口令强度和更改周期等进行要求。

d）查验设备部署或配置情况，检查电子邮件系统是否采取了反垃圾邮件、病毒木马防护等技术安全防护措施；

表10 电子邮件系统安全防护检查结果记录表

2.5.4 终端计算机安全防护情况检查

2.5.4.1 要求

a）应采用集中统一管理方式对终端计算机进行管理，统一软件下发，统一安装系统补丁，统一实施病毒库升级和病毒查杀，统一进行漏洞扫描；

b）应规范软硬件使用，不得擅自更改软硬件配置，不得擅自安装软件；

c）应加强账户及口令管理，使用具有一定强度的口令并定期更换；

d）应对接入互联网的终端计算机采取控制措施，包括实名接入认证、IP地址与MAC地址绑定等；

e）应定期对终端计算机进行安全审计；

f）非涉密计算机不得存储和处理国家秘密信息。

2.5.4.2 检查方式

现场核查、工具检测。

2.5.4.3 检查方法

a）查看集中管理服务器，抽查终端计算机，检查是否部署了终端管理系统或采用了其他集中统一管理方式对终端计算机进行管理，包括统一软硬件安装、统一补丁升级、统一病毒防护、统一安全审计等；

b）查看终端计算机，检查是否安装有与工作无关的软件；

c）使用终端检查工具或采用人工方式，检查终端计算机是否配置了口令策略；

d）访谈网络管理员和工作人员，检查是否采取了实名接入认证、IP地址与MAC地址绑定等措施对接入本单位网络的终端计算机进行控制；将未经授权的终端计算机接入网络，测试是否能够访问互联网，验证控制措施的有效性；

e）查验审计记录，检查是否对终端计算机进行了安全审计。

表11 终端计算机安全防护检查结果记录表

2.5.5 移动存储介质检查

2.5.5.1 要求

a）应严格存储阵列、磁带库等大容量存储介质的管理，采取技术措施防范外联风险，确保存储数据安全；

b）应对移动存储介质进行集中统一管理，记录介质领用、交回、维修、报废、销毁等情况；

c）非涉密移动存储介质不得存储涉及国家秘密的信息，不得在涉密计算机上使用；

d）移动存储介质在接入本部门计算机和信息系统前，应当查杀病毒、木马等恶意代码；

e）应配备必要的电子信息消除和销毁设备，对变更用途的存储介质要消除信息，对废弃的存储介质要进行销毁。

2.5.5.2 检查方式

文档查验、人员访谈、现场核查。

2.5.5.3 检查方法

a）访谈网络管理员，检查大容量存储介质是否存在远程维护，对于有远程维护的，进一步检查是否有相应的安全风险控制措施；查看光纤、网线等物理线路连接情况，检查大容量存储介质是否在无防护措施情况下与互联网及其他公共信息网络直接连接；

b）查验相关记录，检查是否对移动存储介质进行统一管理，包括统一领用、交回、维修、报废、销毁等；

c）查看服务器和办公终端计算机上的杀毒软件，检查是否开启了移动存储介质接入自动查杀功能；

d）查看设备台账或实物，检查是否配备了电子信息消除和销毁设备。

表12 移动存储介质安全防护检查结果记录表

2.5.6 漏洞修复情况检查

2.5.6.1 要求

a）应定期对本单位主机、网络安全防护设备、信息系统进行漏洞检测，对于发现的安全漏洞及时进行修复处置；

b）重视自行监测发现与第三方漏洞通报机构告知的漏洞风险，及时处置。

2.5.6.2 检查方法

人员访谈、现场核查。

2.5.6.3 检查要求

a）查看相关漏洞扫描记录，确定扫描时间和周期；

b）查验收到的漏洞风险通报，访谈网站安全管理人员是否对漏洞风险进行及时处置；

c）查验事件处置记录，检查网络安全事件报告和通报机制建立情况，是否对所有网络安全事件都进行了处置。

表13 漏洞修复情况检查结果记录表

• 网络安全应急工作情况检查

2.6.1 要求

a）应制定网络安全事件应急预案，原则上每年评估一次，并根据实际情况适时修订；

b）应组织开展应急预案的宣贯培训，确保相关人员熟悉应急预案；

c）每年应开展网络安全应急演练，检验应急预案的可操作性，并将演练情况报网络安全主管部门；

d）应建立网络安全事件报告和通报机制，提高预防预警能力；

e）应明确应急技术支援队伍，做好应急技术支援准备；

f）应做好网络安全应急物资保障，确保必要的备机、备件等资源到位；

g）应根据业务实际需要对重要数据和业务系统进行备份。

2.6.2 检查方式

文档查验、人员访谈。

2.6.3 检查方法

a）查验应急预案文本等，检查应急预案制定和年度评估修订情况；

b）查验宣贯材料和培训记录，检查是否开展过预案宣贯培训；访谈系统管理员、网络管理员和工作人员，检查其对应急预案的熟悉程度；

c）查验演练计划、方案、记录、总结等文档，检查本年度是否开展了应急演练；

d）查验事件处置记录，检查网络安全事件报告和通报机制建立情况，是否对所有网络安全事件都进行了处置；

e）查验应急技术支援队伍合同及安全协议、参与应急技术演练及应急响应等工作的记录文件，确认应急技术支援队伍能够发挥有效的应急技术支撑作用；

f）查验设备或采购协议，检查是否有网络安全应急保障物资或有供应渠道；

g）查验备份数据和备份系统，检查是否对重要数据和业务系统进行了备份。

表14 网络安全应急工作检查结果记录表

• 网络安全教育培训情况检查

2.7.1 要求

a）应加强网络安全宣传和教育培训工作，提高网络安全意识，增强网络安全基本防护技能；

b）应定期开展网络安全管理人员和技术人员专业技能培训，提高网络安全工作能力和水平；

c）应记录并保存网络安全教育培训、考核情况和结果。

2.7.2 检查方式

文档查验、人员访谈。

2.7.3 检查方法

a）查验教育宣传计划、会议通知、宣传资料等文档，检查网络安全形势和警示教育、基本防护技能培训开展情况；

b）访谈机关工作人员，检查网络安全基本防护技能掌握情况；

c）查验培训通知、培训教材、结业证书等，检查网络安全管理和技术人员专业技能培训情况。

表15 网络安全教育培训检查结果记录表

• 技术产品使用情况检查

对本单位使用的技术产品使用情况进行全面检查，以便针对性地开展网络安全管理和防护工作。

重点梳理主要技术产品（包括服务器、终端计算机、数据库管理系统、路由器、交换机、存储设备、邮件系统等类型）的数量、生产商（品牌）情况，记录结果（表16）。

表16 信息系统主要构成梳理记录表

• 商用密码使用情况

排查本单位商用密码使用情况、包括用途、类型、使用的密码算法等。

表17 渗透测试检查结果统计表

• 本年度技术检测及网络安全事件情况

2.10.1 技术检测情况

2.10.1.1 渗透测试

a）应重点对认定为关键信息基础设施的信息系统进行安全检测；

b）使用漏洞扫描等工具测试关键信息基础设施，检测是否存在安全漏洞；

c）开展人工渗透测试，检查是否可以获取应用系统权限，验证网站是否可以被挂马、篡改页面、获取敏感信息等，检查系统是否被入侵过（存在入侵痕迹）等。

表18 渗透测试检查结果统计表

2.10.1.2 恶意代码及安全漏洞检测

a）可根据工作实际合理安排年度检测的服务器数量，每1～2年对所有服务器进行一次技术检测，重要业务系统和门户网站系统的服务器应作为检测重点；

b）使用病毒木马检测工具，检测服务器是否感染了病毒、木马等恶意代码；

c）使用漏洞扫描等工具检测服务器操作系统、端口、应用、服务及补丁更新情况，检测是否关闭了不必要的端口、应用、服务，是否存在安全漏洞。

表19 恶意代码、安全漏洞检测结果统计表

2.10.2 网络安全事件情况

a）查看入侵检测、网络防火墙、Web应用防火墙、数据库审计设备中日志记录，统计得出检测到的攻击数；

b）查阅本年度风险评估及系统安全测评评估报告等相关记录文档，统计出网络安全事件数；

c）查阅年度收到各平台发布的网络安全风险提示数。

表20 网络安全事件检查结果表

• 外包服务管理情况检查

2.11.1 要求

a）应建立并严格执行信息技术外包服务安全管理制度；

b）应与信息技术外包服务提供商签订服务合同和网络安全与保密协议，明确网络安全与保密责任，要求服务提供商不得将服务转包，不得泄露、扩散、转让服务过程中获知的敏感信息，不得占有服务过程中产生的任何资产，不得以服务为由强制要求委托方购买、使用指定产品；

c）信息技术现场服务过程中应安排专人陪同，并详细记录服务过程；

d）外包开发的系统、软件上线应用前应进行安全测评，要求开发方及时提供系统、软件的升级、漏洞等信息和相应服务；

e）信息系统运维外包不得采用远程在线运维服务方式；

2.11.2 检查方式

文档查验、人员访谈。

2.11.3 检查方法

a）查验相关制度文档，检查是否有外包服务安全管理制度；

b）查验信息技术外包服务合同及网络安全与保密协议，检查网络安全责任是否清晰；

c）查验外包人员现场服务记录，查验记录是否完整（包括服务时间、服务人员、陪同人员、工作内容等信息）；

d）访谈系统管理员和工作人员，查验安全测评报告，检查外包开发的系统、软件上线前是否进行过网络安全测评及其方式；

e）查验外包服务合同及技术方案等文档，检查是否存在远程在线运维服务；如确需采用远程在线服务的，检查是否对安全风险进行了充分评估并采取了书面审批、访问控制、在线监测、日志审计等安全防护措施。

表21 外包服务管理检查结果记录表

• 检查总结整改
  • 汇总检查结果

检查实施完成后，检查办公室应及时对检查结果进行梳理、汇总，从安全管理、技术防护等方面对检查发现的问题和隐患进行分类整理。

• 分析问题隐患

检查办公室应对检查发现的问题和隐患逐项进行研究，深入分析产生的原因。结合年度网络安全形势，对本单位面临的网络安全威胁和风险程度、信息系统抵御网络攻击的能力进行评估。

• 研究整改措施

检查办公室在深入分析问题隐患的基础上，研究提出针对性的改进措施建议。本单位网络安全管理部门应根据检查办公室的建议，组织相关单位和人员进行整改，对于不能及时整改的，要制定整改计划和时间表，整改完成后应及时进行再评估。

• 编写总结报告

本单位网络安全管理部门应组织检查办公室对检查工作进行全面总结，编写检查报告，网络安全检查总结报告的参考格式如下：

网络安全检查总结报告参考格式

一、报告名称

×××（单位名称）×××年网络安全检查总结报告。

二、检查总结报告组成

检查总结报告包括主报告、检查结果统计表及自评估表三部分。

三、主报告内容要求

（一）网络安全检查工作组织开展情况

概述检查工作组织开展情况、所梳理的关键信息基础设施情况。

（二）关键信息基础设施确定情况

此次检查确定关键信息基础设施的数量、分布、功能等情况。

（三）×××年网络安全主要工作情况

详细描述本单位×××年在网络安全管理、技术防护、应急管理、宣传教育等方面开展的工作情况。

（四）检查发现的主要问题和面临的威胁分析

1. 发现的主要问题和薄弱环节
2. 面临的安全威胁与风险
3. 整体安全状况的基本判断

（五）改进措施与整改效果

1. 改进措施
2. 整改效果

（六）关于加强网络安全工作的意见和建议

附件6

填报说明

一、检查阶段

（一）普查阶段

1.每个信息系统填写一张《网络与信息系统普查表》；

2.普查结束后需填写《网络与信息系统清单》，在“所属区域”栏目中填写“省级部门”或“XX市”；在“单位”及“系统名称”栏目中需填写单位及系统全名，不使用缩略语；“系统名称”栏目预留的行数不足时，可自行添加行数；“是否为关键信息基础设施”栏目根据判定结果进行勾选。例如省交通厅在填写时，应按照以下格式进行：

各市（区）网信部门应将有关单位报送的《网络与信息系统清单》进行汇总上报。以西安市为例，按照以下格式汇总：

3.将本单位确定为关键信息基础设施的网络与信息系统汇总至《关键信息基础设施清单》。填写格式及各市（区）汇总方式参考《网络与信息系统普查表》填写方式。

（二）网络安全自查阶段

各单位在自查期间填写《网络安全自查表》。

（三）总结阶段

各单位根据网络安全检查的整体情况，编写本单位的《网络安全检查报告》，格式参见附件5。

二、上报方式

（一）省级部门、人员团体及其直属机构

各省级部门、各人民团体应将本单位（含直属机构）的网络安全检查报告（纸质版并加盖单位公章）报省委网信办（省属企业集团由省国资委统一报送），并将以下内容作为附件刻录光盘一同上报：

1.网络与信息系统清单；

2.关键信息基础设施清单；

3.网络与信息系统普查表（每个信息系统填写一张表）；

4.网络安全自查表；

5.网络安全检查报告。

（二）各市（区）网信部门

各市（区）网信部门应将加盖公章的市（区）网络安全检查报告报省委网信办，并将本市（区）各单位报送的以下内容汇总后作为附件刻录光盘一同上报：

1.网络与信息系统清单；

2.关键信息基础设施清单；

3.网络与信息系统普查表；

4.市（区）整体网络安全检查报告。

[1]按照《中华人民共和国行政区划代码》（GB/T 2260-2007）规定填写。

[2]无法人代表的单位可填写单位主要负责人。

[3]根据《网络安全检查操作指南》（附件5）中的关键信息基础设施判定标准进行确定。

[4]不需要用户注册的平台直接填“0”。

[5]网站和平台类填写网址；生产业务类填写用户登录入口信息；无用户登录入口，可填写后台管理系统登录入口信息。如无域名、ICP备案号，可不填写。

[6]指人口信息资源、法人单位信息资源、自然资源和空间地理信息资源、电子证照信息资源、社会信用信息资源等国家基础性信息资源。

[7]填写存储地国际长途区号，如美国为001，日本为0081

[8]如在国内，填写行政区划编码，如在国外，填写所在国国际长途区号，如美国为001，日本为0081。

[9]RPO（Recovery Point Objective）是指灾难发生后，容灾系统能把数据恢复到灾难发生前时间点的数据，是衡量灾难发生后会丢失多少生产数据的指标。可简单的描述为设施能容忍的最大数据丢失量。

[10]RTO（Recovery Time Objective）则是指灾难发生后，从关键信息基础设施宕机导致业务停顿之刻开始，到业务恢复运营所需要的时间间隔。可简单的描述为设施能容忍的恢复时间。

[11]评估方法：

一、对国外产品和服务的依赖程度

1. 高：国外停止产品更新升级、终止技术支持等服务后，关键信息基础设施无法运行。
2. 中：国外停止产品更新升级、终止技术支持等服务后，关键信息基础设施能够运行，但功能、性能等受较大影响。
3. 低：国外停止产品更新升级、终止技术支持等服务后，关键信息基础设施能够正常运转或受影响较小。

二、面临的网络安全威胁程度

1.关键信息基础设施具有下述特征之一的，为高安全威胁：

（1）连接互联网，采用远程在线方式进行运维或对国外产品和服务高度依赖；

（2）跨地区联网运行或网络规模大、用户多，采用远程在线方式进行运维或对国外产品和服务高度依赖；

（3）存在其他可能导致设施中断或运行受严重影响、大量敏感信息泄露等威胁。

2.具有下述特征之一的，为中安全威胁：

（1）连接互联网，对国外产品和服务中度依赖；

（2）跨地区联网运行或网络规模大、用户多，对国外产品和服务中度依赖；

（3）存在其他可能导致设施运行受较大影响、敏感信息泄露等威胁。

3.具有下述特征之一的，为低安全威胁：

（1）连接互联网，对国外产品和服务依赖度低；

（2）跨地区联网运行或网络规模大、用户多，对国外产品和服务依赖度低；

（3）存在其他可能导致设施运行受影响、信息泄露等威胁。

三、网络安全防护能力

1.高：经组织专业技术力量进行攻击测试，不能通过互联网进入或控制设施。

2.中：经组织专业技术力量进行攻击测试，能够通过互联网进入或控制设施，但进入或控制系统的难度较高。

3.低：经组织专业技术力量进行攻击测试，能够轻易通过互联网进入或控制设施。

1本表所称恶意代码，是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。

2 本表所称高风险漏洞，是指计算机硬件、软件或信息系统中存在的严重安全缺陷，利用这些缺陷可完全控制或部分控制计算机及信息系统，对计算机及信息系统实施攻击、破坏、信息窃取等行为。