34．中央网络安全和信息化领导小组办公室 2015 年国家网络安全检查工作指南 （中网办发文〔2015〕4 号） 为指导规范 2015 年网络安全检查工作，按照《中央网络安全和信息化领导小组工 作规则》、 《2015 年中央网络安全和信息化领导小组工作要点》等文件要求，制定本指南。 一、检查目的 通过开展网络安全检查，以查促建、以查促管、以查促改、以查促防，增强安全意 识，落实安全责任，深入分析安全风险，系统评估安全状况，全面排查安全隐患，进一 步健全安全管理制度，完善安全防护措施，提升自主可控水平和安全防护能力，预防和 减少网络安全事件的发生，切实保障国家重要网络与信息系统的安全稳定运行。 二、检查范围 检查范围主要包括中央和国家机关各部委、各人民团体及其直属单位，以及银行、 证券、保险、电力、石油石化、通信、铁路、民航、广播电视、医疗卫生、水利、环境 保护、民用核设施等重点行业的重要网络与信息系统。检查重点是各部门、各单位的重 要业务系统和网站系统。 涉及国家秘密的信息系统安全检查，按照国家保密管理规定执行。 三、检查内容 结合 2015 年网络安全新形势，针对历年来网络安全检查存在的薄弱环节，各部门、 各单位根据工作需要重点检查但不限于以下内容： （一）网络安全管理情况 按照国家网络安全政策和标准规范要求，建立健全网络安全管理制度及落实情况。 重点检查单位网络安全主管领导、管理机构和工作人员履职情况，网络安全责任制落实 及事故责任追究情况，人员、资产、采购、外包服务等日常安全管理情况，网络安全经 费保障情况等。 1 （二）技术防护情况 按照国家网络安全政策和标准规范要求，建立健全技术防护体系及安全防护情况。 重点检查防病毒、防攻击、防篡改、防瘫痪、防泄密措施及有效性；网络边界防护措施， 互联网接入安全措施，无线网络安全防护策略；服务器、网络设备、安全设备等安全策 略配置，应用系统安全功能及有效性；终端计算机、移动存储介质安全防护措施；重要 数据传输、存储的安全防护措施；重要网络安全漏洞修复情况等。 （三）应急工作情况 按照国家网络与信息安全事件应急预案要求，建立健全网络安全应急工作体系情 况。重点检查网络安全事件应急预案制修订情况、应急演练情况；应急技术支撑队伍、 灾难备份措施建设情况；重大网络安全事件处置情况等。 （四）宣传教育培训情况 重点检查网络安全宣传教育、领导干部及各级人员网络安全基础培训、网络安全人 员专业技术培训等情况。 （五）等级保护工作落实情况 按照国家信息安全等级保护工作标准规范和法规的要求，重点检查重要信息系统定 级备案、安全测评和安全建设整改等等级保护制度落实情况。 （六）商用密码使用情况 按照国家商用密码管理标准规范和法规的要求，重点检查重要网络和信息系统中密 码技术、产品和服务的使用情况。重点是网络设备中采用密码技术的情况；各类密码产 品的使用情况，及其安全策略配置情况；密码应用集成商、运营商的基本情况；各重要 网络与信息系统开展密码测评情况等。 （七）安全问题整改情况 上一年度各类网络安全检查（包括：2014 年国家网络安全检查、等级保护、密码设 备等检查工作）和本年度安全检查所发现问题的整改情况及整改效果。 四、工作方式 各单位参照本指南，结合实际制定本部门、本行业网络安全检查工作方案。 （一）安全自查 中央和国家机关各部委、各人民团体结合实际组织开展本单位及其直属单位的自查 工作，行业自查工作由其主管或监管部门统一组织。 2 各部门、各单位应结合年度工作制定检查实施方案，明确检查范围、工作安排和任 务要求，周密计划，精心部署，认真实施。为确保检查工作取得实效，各部门、各单位 可组织开展安全抽查和技术检测，深入挖掘安全隐患，及时整改安全问题。 为全面评价网络安全管理工作，各部门、各单位应根据《中央和国家机关网络安 全管理工作自评估表》 （附件 2），从网络安全组织管理、日常管理、防护管理、应急 管理、教育培训、安全检查等方面进行量化评估，总结成绩、查找不足，更好地推动 网络安全管理工作。 （二）安全抽查 中央网信办等部门组织国家专业技术队伍开展抽查，抽查工作另行通知，有关部门 开展抽查要加强信息共享，统筹协调开展，避免重复上门检查。 抽查工作组织单位应及时将抽查中发现的问题通报给相关单位，督促其进行核查和 整改，对不认真整改的单位予以通报批评。 五、时间安排 2015 年 7 月至 9 月，各部门、各单位组织开展安全自查工作，中央网信办对自查工 作进行跟踪、指导、督促和检查。9 月 30 日前，各部门、各单位将检查总结报告报送中 央网信办。 2015 年 9 月至 11 月，组织开展安全抽查工作。 网络安全职能部门开展专项检查，在工作结束后，于 12 月 31 日前将工作总结报告 报中央网信办。 六、工作要求 （一）加强领导，落实责任。 各部门、各单位要把网络安全检查工作列入重要议事日程，加强组织领导，明确检 查责任，落实检查机构、检查人员、检查经费及其他保障条件，确保检查工作顺利进行。 （二）认真实施，确保成效。 各部门、各单位要结合实际，周密制定检查实施方案，全面深入查找安全问题和安 全隐患，切实做到不走过场、不漏环节、不留死角。对发现的问题要及时整改，举一反 三，标本兼治，因条件不具备暂时不能整改的问题应采取临时措施，防止引发网络安全 事件。 3 （三）控制风险，强化保密。 各部门、各单位要强化风险控制，有针对性地制定检查工作应急预案，确保被检查 系统的正常运行。要加强对检查活动、检查人员及相关文档和数据的安全保密管理。委 托外部机构进行安全检测，要对其机构背景、技术能力、服务水平、人员资质及安全保 密管理措施等进行严格审查，并明确外部机构及人员的安全责任。 附件：1. 中央和国家机关网络安全检查表 2. 中央和国家机关网络安全管理工作自评估表 3. 重点行业网络安全检查结果统计表 4 附件 1 中央和国家机关网络安全检查表 一、部门基本情况 部门名称 分管网络安全工作的领导 ①姓名：_______________ （如副部长） ②职务：_______________ ①名称：___________________ 网络安全管理机构 ②负责人：_____________ 职务：________________ （如办公厅） ③联系人：_____________ 办公电话：________________ 移动电话：________________ ①名称：___________________ 网络安全专职工作处室 （如网络安全处） ②负责人：_____________ 办公电话：________________ 移动电话：________________ ①本单位网络安全从业人员总数：_______，其中有网络安全从业资 网络安全从业人员 质的人员数量：_______ ②网络安全从业人员缺口：_______ 二、信息系统基本情况 ①信息系统总数：________________ ②网络连接情况 可以通过互联网访问的系统数量：_________ 信息系统情况 不能通过互联网访问的系统数量：_________ ③面向社会公众提供服务的系统数量：_________ ④本年度经过安全测评的系统数量：_____ 互联网接入口总数：_____ 互联网接入 情况 □接入中国联通 接入口数量：_____ 接入带宽：_______MB □接入中国电信 接入口数量：_____ 接入带宽：_______MB 5 □其他：________接入口数量：_____ 系统等级 保护情况 接入带宽：_______MB 第一级：_______个 第二级：_______个 第三级：_______个 已开展年度测评_______个 测评通过率______ 第四级：_______个 已开展年度测评_______个 测评通过率______ 第五级：_______个 已开展年度测评_______个 测评通过率______ 未定级：_______个 三、网络安全日常管理情况 ①岗位网络安全责任制度：□已建立 □未建立 ②重点岗位人员安全保密协议：□全部签订 □部分签订 □均未签订 人员管理 ③人员离岗离职安全管理规定：□已制定 □未制定 ④外部人员访问机房等重要区域审批制度：□已建立 ①资产管理制度：□已建立 □未建立 □未建立 ②设备维修维护和报废管理： 资产管理 □已建立管理制度，且记录完整 □已建立管理制度，但记录不完整 □未建立管理制度 规划制定情况（单选）： □制定了部门的网络安全规划 网络安全规划 □在部门总体发展规划中涵盖了网络安全规划 □无 四、网络安全防护情况 ①网络安全防护设备部署（可多选）： □防火墙 □入侵检测设备 □安全审计设备 网络边界 □防病毒网关 □抗拒绝服务攻击设备 安全防护 □其它：________________________ ②设备安全策略配置：□使用默认配置 □根据需要配置 □未留存日志 ③网络访问日志：□留存日志 6 ①本单位使用无线路由器数量： ②无线路由器用途： □访问互联网：个 □访问业务/办公网络：个 无线网络 安全防护 ③安全防护策略（可多选）： □采取身份鉴别措施 □采取地址过滤措施 □未设置安全防护策略 ④无线路由器使用默认管理地址情况：□存在 □不存在 ⑤无线路由器使用默认管理口令情况：□存在 □不存在 ①门户网站域名： ②门户网站 IP 地址： ③本单位及其内设机构具有独立域名的网站域名： （可另附页） □未采取 ④网页防篡改措施：□采取 网站 安全防护 ⑤漏洞扫描：□定期，周期 □不定期 □未进行 ⑥信息发布管理：□已建立审核制度，且记录完整 □已建立审核制度，但记录不完整 □未建立审核制度 ⑦运维方式：□自行运维 □委托第三方运维 ⑧域名解析系统情况：□自行建设 □委托第三方： ①建设方式：□自行建设 □使用第三方服务 邮件服务提供商 ②帐户数量：个 □任意注册 电子邮件 ③注册管理：□须经审批 安全防护 ④口令管理：□使用技术措施控制口令强度 □没有采取技术措施控制口令强度 ⑤安全防护：（可多选） □采取病毒木马防护措施 7 □部署防火墙、入侵检测等设备 □采取反垃圾邮件措施 □其他： ①管理方式： □集中统一管理（可多选） □规范软硬件安装 □统一补丁升级 □统一病毒防护 □统一安全审计 □对移动存储介质接入实施控制 □统一身份管理 终端计算机 安全防护 □分散管理 ②接入互联网安全控制措施： □有控制措施（如实名接入、绑定计算机 IP