附件：企业自查表.doc

1、 1 附件： 企业自查表 （一）信息安全组织机构与制度建设情况 指标类型 检查标准 检查结果 信息安全组织机构设置 企业应设置信息安全管理机构，明确工作职责。 是否设立了信息安全管理责任部门，明确相关责任人： 是 （需提供证明文件） 否 如是，请具体填写：责任部门名称： ，负责人： 是否以文件形式明确企业信息安全主管部门工作职责、企业其他部门的信息安全工作职责、信息安全工作考核及奖惩机制等内容的工作职责： 是 （需提供证明文件） 否 如否，请填写缺失内容： 信息安全管理人员配备 企业应配备与业务规模相适应的信息安全管理人员（例如：每接入 1 万个网站至少配备 2 名专职网络和信息安全工作人员）

2、 是否 配备了专职信息安全管理人员 ： 是 （需提供证明文件） 否 如是，请具体填写： 专职信息安全管理人员人数 ： 接入网站数量 （仅限于提供网站接入服务的企业） 信息安全管理人员 是否具备相关资质认证： 是 （需提供证明文件） 否 如是，请具体填写： 获得资质人数 ： 具备的资质 名称： 2 指标类型 检查标准 检查结果 信息安全管理制度建设情况 企业应建立健全信息安全管理制度 是否建立了包含信息安全管理责任制、信息安全评估、用户信息安全管理、违法违规互联网信息服务和违法信息巡查与处置、重大信息安全事件应急处置和报告、信息安全教育培训、用户举报和投诉处理等制度： 是 （需提供证明文件） 否

3、 如否，请填写缺失的制度名称： 3 （二） 信息安全技术手段建设和运行情况 指标类型 检查 标准 检查内容 互联网信息安全管理系统建设 互联网信息安全管理系统功能与运行可靠性（含对接）应符合相关标准要求。 互联网信息安全管理系统功能是否符合标准要求： 是 否 请填写测试指标和测试结果情况 ： 互联网信息安全管理系统与部 /省管局侧系统间是否出现连接中断情况： 是 否 如是，请填写中断情况 ： 互联网信息安全管理系统是否可以有效执行部 /省管局系统下发的指令： 是 否 请填写测试指 标和测试结果情况 ： 互联网信息安全管理系统是否支持 IPv6 数据流量的采集、分析和管理： 是 否 备注： 系统

4、功能测试要求请参照： 互联网数据中心和互联网接入服务信息安全管理系统技术要求（ YD/T 2248-2015） 互联网数据中心和互联网接入服务信息安全管理系统及接口测试方法（ YD/T 2406-2017） 4 指标类型 检查 标准 检查内容 互联网资源协作服务信息安全管理系统技术要求（ YD/T 3164-2016） 互联网资源协作服务信息安全管理系统及接口测试方法 （ YD/T 3215-2017） 内容分发网络服务信息安全管理系统技术要求（ YD/T 3165-2016） 内容分发网络服务信息安全管理系统及接口测试方法（ YD/T 3213-2017） 企业应落实互联网信息安全管理系统与

5、 IDC（含互联网资源协作服务）/ISP/CDN 业务发展同步扩容、升级或改造，确保系统对其网络和业务的全面覆盖。 是否建立业务链路扩容改造与信安系统同步配套制度： 是（需提供证明文件） 否 现有业务是否同步配套建设了信安系统，是否进行合规性评测并与部 /省管局侧系统完成对接 ： 是（需提供证明文件，例如测试报告等） 否 对于信安系统所覆盖链路，是否有扩容或扩容计划： 是 否 是否在系统扩容、升级或改造前 5 个工作日向对接系统所属电信管理机构报告： 是（需提供证明材料，如邮件截图等） 否 互联网信息安全管理系统使用情况 企业应按照有关要求，做好系统基础数据和活跃资源数据的管理、核验和上报，确

6、保数据完整、准确；按照电信管理机构的互联网信息安全管理系统采集和上报数据是否符合有关管理规定和行业标准要求： 是 否 请填写测试指标和测试结果情 况 ： 5 指标类型 检查 标准 检查内容 要求，改正与更新异常数据。 企业是否按照电信管理机构的要求，在 5 个工作日内对异常数据进行更新上报： 是（请提供相关证明材料） 否 企业应利用系统对所传输的信息进行监测，并对发现的违法信息及时处置。 互联网信息安全管理系统违法有害信息监测处置能力是否符合有关管理规定和行业标准要求： 是 否 请填写测试指标和测试结果情况 ： 本年度 企业利用互联网信息安全管理系统自主发现的违法有害信息和处置情况 ： 企业应

7、按要求执行部 /省管局系统下达的违法信息监测处置、违法网站处置的要求。 互联网信息安全管理系统是否可以有效执行部 /省管局系统下达的违法信息监测处置、违法网站处置的要求： 是 否 请填写测试指标和测试结果情况 ： 本年度 企业利用互联网信息安全管理系统执行电信主管部门违法有害信息监测处置、违法网站处置要求情况 ： 企业应按照有关法律法规、管理规定和通信行业标准要求利用 本企业系统留存访问日志，并按照电信主管部门要求做好查询使用。 互联网信息安全管理系统日志留存的时间（至少 6 个月）和内容是否满足要求： 是 否 请填写测试结果情况 ： 本年度 企业信安系统访问日志的查询使用情况 ： 互联网信息

8、安全 企业应建立互联网信息 是否建立了互联网信息安全管理系统运行维护管理和故障处理机制 ： 6 指标类型 检查 标准 检查内容 管理系统运行维护 安全管理系统运行维护管理和故障处理机制，对本系统的运行和对接情况进行 7*24 小时实时监测，发现系统故障及时修复。 是（请提供相关证明材料） 否 企业是否对系统运行情况进行实时监测，并及时修复发现的系统故障： 是（请提供相关证明材料） 否 请注明发生故障的次数： 次，具体处理措施： 企业应按照有关管理规定和通信行业标准对本互联网信息安全管理系统开展网络安全防护工作。 是否具备符合要求的网络安全防护措施： 是（需提供证明文件，例如系统安全防护建设方案

9、、评测报告等） 否 企业应对互联网信息安全管理系统工作人员依法依规实施权限管理，进行系统操作日志记录与定期审计，并保 留至少 6个月的操作日志与审计记录。 是否具备符合要求的操作权限管理措施： 是（需提供证明文件） 否 日志记录时间和内容是否满足相关标准要求： 是 否 企业应对互联网信息安全管理系统开展定期巡检。 是否开展定期巡检工作： 是（需提供证明文件） 否 巡查内容是否重点围绕“硬盘空间定期清理”、“基础数据符合性检查”和“故障预判与提前报备”： 7 指标类型 检查 标准 检查内容 是（需提供证明文件） 否 互联网信息安全管理系统配套要求 企业应确立互联网信息安全管理系统的使用与运行维护

10、责任部门和责任人。 是否在相关文件中明确互 联网信息安全管理系统的使用与运行维护责任部门和责任人： 是 否 如是，请填写：责任部门 责任人 企业是否设立了系统工作联系人，并向对接系统所属电信管理机构报告： 是 否 如是，请填写：工作联系人 上述工作联系人信息发生变化的，企业是否在 5 个工作日内重新报告： 是（需提供证明文件） 否 企业应对互联网信息安全管理系统相关工作人员进行系统使用、运行维护、安全管理的培训。 是否对互联网信息安全管理系统 相关工作人员进行系统使用、运行维护、安全管理的培训： 是（需提供证明文件） 否 未经电信管理机构允许，企业不得利用本企业系统对外提供服务。 是否出现未经

11、电信管理机构允许，私自利用系统对外提供服务： 是 否 8 （三） 网络数据安全管理情况 指标类型 检查标准 检查内容 网络数据安全管理制度 企业应建立网络数据使用需求合规性评审制度， 是否在相关制度文件中明确了网络数据使用需求合规性审核制度 : 是 （需提供证明文件） 否 企业应建立网络数据收集、使用及其相关活动的工作流程和安全管理制度。 是 否在相关制度文件中明确了网络数据收集、使用及其相关活动的安全管理要求： 是 （需提供证明文件） 否 企业应根据网络数据属性和重要性，建立企业内部的网络数据分级分类管理制度。 收集的网络数据类型包括 （用户身份信息、用户使用记录等） 企业内部是否按照统一的

12、制度和方法进行网络数据分级分类管理： 是（需提供证明文件） 否 企业应建立健全用户信息保护制度。 收集、使用个人信息的，是否公开收集、使用个人信息的规则，明示收集、使用信息的目的、方 式和范围： 是 否 是否经用户同意： 是 否 用户发现收集、存储其个人信息有错误的，是否为用户提供更正渠道： 是 9 指标类型 检查标准 检查内容 否 用户终止使用相关服务时，是否停止对其个人信息的收集、使用，是否为用户提供注销号码或者账号的服务： 是 否 是否建立保密管理制度，要求对用户个人信息严格保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。 是（需提供证明文件） 否 是否建立载体管理机制，妥善保

13、管记录用户个人信息的纸介质、光介质、电磁介质等载体。 是（需提供证明文件） 否 企业应建立网 络数据安全风险评估制度，定期对数据安全状况进行风险评估，对出现的问题进行整改。 是否在相关制度文件中明确了网络数据安全风险评估及整改制度相关的安全管理要求： 是 （需提供证明文件） 否 是否每年至少开展一次网络数据安全自评估，自评估要点应涵盖个人信息保护相关组织保障、制度建设、日常管理、技术防范等重点内容。 是（需提供证明文件） 否 10 指标类型 检查标准 检查内容 企业应建立网络数据安全人员管理和培训制度。 是否建立网络数据安全教育培训制度，对网络数据安全管理人员定期举行教育培训： 是（需提供证明

14、文件） 否 培训重点是 否围绕网络数据安全和用户个人信息保护相关知识、技能和安全责任等内容。 是（需提供证明文件） 否 企业应建立网络数据安全投诉举报处理制度。 是否建立用户投诉处理机制，公布有效的联系方式，接受与网络数据安全和用户个人信息保护有关的投诉，并自接到投诉之日起十五日内答复投诉人： 是（需提供证明文件） 否 网络数据安全管理技术手段建设 企业应建立网络数据访问控制权限管理体系和技术手段，防止数据非授权访问。 是否建立了企业内部网络数据操作权限管理，对批量导出、复制、销毁信息实行审查： 是 否 是否 留存了网络数据访问权限审批日志、网络数据访问操作行为日志，并定期审计。 是 否 企业应对重要数据采取加密存储等方式，并采取必要的安全防护措施。 是否针对个人信息和重要数据采取相应的安全储存措施： 是 否 是否对储存个人信息和重要数据的信息系统实行接入审查，并采取防入侵、防病毒等措施：