类别 | 检查项 | 检查标准 |
网络安全 (29) |
公共WiFi |
1、是否采购上网审计服务且在公安完成备案登记 2、是否Portal认证 3、认证界面是否有变更申请记录 |
机房环境 |
1、机房门禁系统是否完好,封闭是否完整; 2、机房访客记录、巡检记录是否如期如实登记; 3、机房是否存在其它可进入机房途径且已做安全加固; 4、网络安全制度是否上墙,制度是否完整 |
|
网络结构 |
1、是否存在非信息资源表内网络设备接入专网使用的情况; 2、是否有私自搭建的脱离总部认证系统的网络环境; 3、检查5个白名单IP设备是否与现场业务场景一致(SDWAN网络架构广场); 4、是否存在业务系统未按照集团标准建设情况 5、是否存在非集团统一业务终端且无报备私自接入 专网情况 |
|
网络终端 |
1、检查信息资源表: 接入网络的终端设备是否登记网卡MAC地址并定期更新(设备的所有网卡) 2、检查信息资源表: 网络终端设备是否登记使用人员资料并定期更新; 3、l临时终端管理登记表:临时接入的终端设备是否登记接入和迁出的时间; |
|
网络设备 |
1、网络设备是否修改默认管理密码、是否为弱密码; 2、网络设备管理是否使用默认的管理员账号; 3、运营商接入设备连接网络设备IP配置情况:是否被直接放置于公网接口; |
|
个人隐私 (8) |
隐私保护 |
1、抽查10家商户是否安装人脸识别设备、是否签署《关于禁止商户非法采集顾客信息的函》 2、是否存在其它未报备个人信息采集设备或系统 |
数据安全 (25) |
LED/LCD |
1、是否纳入商管管理系统(未纳入须有报备获批记录) 2、非商管运营显示终端未纳入管理系统须有安全责任协议 3、播放内容合规 4、多媒体互动终端是否关闭虚拟键盘 5、显示终端是否关闭蓝牙、无线网络,硬件接口是否物理封闭 |
系统权限 |
1、最近三个月离职、调岗、调动的员工的系统权限是否更新; 2、抽查7个系统(包含租赁、经分、合同结算、LED、商服等): 账号权限的配置和变更是否有OA或其他支持文件、权限配置是否正确 |
|
软件应用 |
1、检查是否安装默认开启远程控制软件 2、部署和使用内网穿透、端口对外网映射类的工具和软件 |
|
办公环境 |
共用设施设备: 检查是否有涉密的文档(包含纸质和非纸质)存放于公共区域或公共设备内: 1、纸质涉密文档是否有长时间放置于公共打印、复印、扫描等公用设备未及时取走保存的情况; 2、电子涉密文档是否有长时间放置于公用共享设备、会议电脑、公用电脑等情况; 3、是否有系统账号登录于公用共享设备、公用电脑等未及时退出的情况; |
|
数据管理 | 是否存在侦听、扫描、劫取公司数据的行为 | |
基础管理 (38) |
账号安全 |
1、明文记录账号、密码并暴露于公共区域的行为; 2、不存在系统账号外借行为或外泄风险 |
系统使用 |
1、人员离位未锁屏; 2、抽查不少于2台电脑:是否存在操作系统登录的用户无密码、或有密码设置为开机自动登录的行为; |
|
安全防护 |
1、抽查不少于2台办公电脑:是否存在访问、浏览带有不良内容网络站点的情况(反动、色情); 2、抽查不少于2个办公用邮箱:是否存在接收或打开来历不明的邮件、群发的文件的情况; |
|
安全培训 |
开展信息安全培训和警示: 1、是否每月对员工开展信息安全培训并上传系统留存; 2、及时针对影响信息安全的预警和通报。 |
|
安全记录 |
广场信息安全事件处理: 1、广场信息安全事件须及时处理并OA上报至城市公司、总部 |
|
网络安全整改报备: 1)是否存在安全整改未及时报备情况 |
||
企业网络安全处罚记录查询: 1、登录国家企业信用信息、天眼查、企信通; 2、查询单位是否有网络安全处罚记录。 |