2．信息系统安全管理。重点检查信息安全风险评估、等级保护等安全管理制度落实情况。（1）服务器安全防护。重点检查服务器上应用、服务、端口以及系统补丁等情况，是否关闭了不必要的应用、服务、端口；账户口令强度和更新情况；病毒木马防护情况，是否使用技术工具定期进行漏洞扫描、病毒木马检测。（2）网络设备防护。重点检查网络设备安全策略配置的有效性；账户口令强度和更新情况；是否使用技术工具定期进行漏洞扫描。（3）信息安全设备部署及使用。重点检查防病毒、防火墙、入侵检测、安全审计等安全设备部署及使用情况，以及安全策略配置的有效性。

　　3．门户网站安全管理。以防攻击、防挂马、防篡改、防瘫痪、防窃密为目标，对门户网站安全防护情况进行全面检查。包括：（1）系统管理账户和口令，清理无关账户，防止出现空口令、弱口令和默认口令；（2）服务器补丁更新情况，关闭不必要的端口，停止不必要的服务和应用，删除不必要的链接和插件；（3）网站目录结构，删除临时文件，防止敏感信息泄露；（4）信息发布审核制度建立及落实情况；（5）是否使用技术工具定期进行漏洞扫描、木马检测。

　　4．电子邮箱安全管理。重点检查：（1）邮箱使用情况，是否有非本部门人员特别是无关人员使用；（2）账户口令强度及更新情况，是否使用技术措施控制和管理口令，口令强度是否符合要求、是否定期更新。

　　5．终端计算机安全管理。重点检查：（1）是否采取集中安全管理措施；（2）账户口令强度和更新情况；（3）接入互联网安全控制措施（如实名接入认证、对计算机IP和MAC地址进行绑定等）；（4）是否使用技术工具定期进行漏洞扫描、病毒木马检测；（5）在非涉密信息系统和涉密信息系统间混用情况；（6）使用非涉密计算机处理涉密信息情况。

　　6．移动存储设备安全管理。重点检查：（1）是否采取集中安全管理措施；（2）是否配备必要的电子消磁或销毁设备；（3）在非涉密信息系统和涉密信息系统间混用情况。

　　（四）信息安全应急管理。

　　1． 应急预案。重点检查本部门信息安全应急预案制定、修订、备案、宣传贯彻及培训情况。

　　2．应急演练。重点检查信息安全应急演练情况；已开展演练的，查看演练文档、记录（包括演练计划、演练方案、演练记录、演练总结报告等）。

　　3． 应急技术支援。重点检查是否明确了应急技术支援队伍；已明确的，检查其服务合同及安全保密协议签订情况，了解掌握应急技术支援队伍基本情况以及开展的技术支援活动。

第 [1] [2] [3] [4] [5] [6] 页 共[7]页