疫情期間信息安全管理自查表一、前言疫情期間，遠(yuǎn)程辦公、線上業(yè)務(wù)、數(shù)字協(xié)作成為企業(yè)/機(jī)構(gòu)運(yùn)營的核心模式，同時(shí)也帶來了邊界模糊化、數(shù)據(jù)流動(dòng)加速、攻擊面擴(kuò)大等信息安全風(fēng)險(xiǎn)。例如，釣魚郵件冒充疫情防控部門竊取敏感信息、遠(yuǎn)程設(shè)備未加密導(dǎo)致數(shù)據(jù)泄露、線上系統(tǒng)漏洞被利用實(shí)施ransomware攻擊等案例頻發(fā)。為幫助企業(yè)/機(jī)構(gòu)系統(tǒng)性排查風(fēng)險(xiǎn)，本文制定疫情期間信息安全管理自查表，涵蓋組織管理、遠(yuǎn)程辦公、數(shù)據(jù)安全、系統(tǒng)網(wǎng)絡(luò)、應(yīng)急響應(yīng)五大核心領(lǐng)域，旨在通過標(biāo)準(zhǔn)化自查流程，實(shí)現(xiàn)“風(fēng)險(xiǎn)早發(fā)現(xiàn)、漏洞早修復(fù)、責(zé)任早落實(shí)”。二、自查表設(shè)計(jì)說明本自查表遵循“覆蓋關(guān)鍵場景、聚焦高風(fēng)險(xiǎn)環(huán)節(jié)、兼顧實(shí)用性與專業(yè)性”原則，采用“模塊-子項(xiàng)-檢查內(nèi)容-檢查標(biāo)準(zhǔn)-責(zé)任部門”的層級結(jié)構(gòu)，每一項(xiàng)均明確“檢查什么”“如何判斷是否達(dá)標(biāo)”及“誰來負(fù)責(zé)”，便于企業(yè)/機(jī)構(gòu)落地執(zhí)行。三、疫情期間信息安全管理自查表（一）組織管理：責(zé)任與制度保障核心目標(biāo)：建立疫情期間信息安全專項(xiàng)管理機(jī)制，明確責(zé)任分工，確保安全策略有效落地。序號檢查內(nèi)容檢查標(biāo)準(zhǔn)責(zé)任部門/人完成情況（是/否/待整改）1是否制定疫情期間信息安全專項(xiàng)制度制度應(yīng)涵蓋遠(yuǎn)程辦公、線上業(yè)務(wù)、數(shù)據(jù)處理等場景的安全要求，明確違規(guī)處罰措施信息安全部/CEO2是否明確疫情期間信息安全第一責(zé)任人責(zé)任人需具備決策權(quán)限，負(fù)責(zé)協(xié)調(diào)跨部門安全事件處置管理層3是否開展疫情相關(guān)安全培訓(xùn)培訓(xùn)內(nèi)容應(yīng)包括釣魚郵件識(shí)別、遠(yuǎn)程設(shè)備安全、敏感數(shù)據(jù)保護(hù)等，覆蓋所有員工（含外包）人力資源部/信息安全部4是否定期召開安全會(huì)議每月至少1次，分析近期安全威脅，評估防控效果信息安全部（二）遠(yuǎn)程辦公安全：邊界防護(hù)與設(shè)備管理核心目標(biāo)：防范遠(yuǎn)程辦公場景下的非法訪問、設(shè)備泄露等風(fēng)險(xiǎn)，確保“人-設(shè)備-網(wǎng)絡(luò)”鏈路安全。序號檢查內(nèi)容檢查標(biāo)準(zhǔn)責(zé)任部門/人完成情況（是/否/待整改）1遠(yuǎn)程訪問是否采用企業(yè)認(rèn)證的VPNVPN需支持多重身份驗(yàn)證（如密碼+動(dòng)態(tài)令牌/生物識(shí)別），禁止使用個(gè)人VPN或公共網(wǎng)絡(luò)直接訪問企業(yè)系統(tǒng)信息安全部/IT部2遠(yuǎn)程辦公設(shè)備是否符合安全要求1.設(shè)備需為企業(yè)配發(fā)或經(jīng)認(rèn)證的個(gè)人設(shè)備；2.開啟全盤加密（如BitLocker、FileVault）；3.安裝企業(yè)指定的殺毒軟件并定期更新行政部/信息安全部3是否限制敏感系統(tǒng)的遠(yuǎn)程訪問敏感系統(tǒng)（如財(cái)務(wù)、核心數(shù)據(jù)庫）應(yīng)僅允許特定IP或設(shè)備訪問，需二次驗(yàn)證信息安全部/系統(tǒng)管理員4是否禁止私接外部設(shè)備遠(yuǎn)程設(shè)備禁止連接未經(jīng)認(rèn)證的U盤、移動(dòng)硬盤等，防止惡意代碼傳播員工本人/部門負(fù)責(zé)人（三）數(shù)據(jù)安全：分類與全生命周期防護(hù)核心目標(biāo)：針對疫情期間激增的敏感數(shù)據(jù)（如員工健康信息、客戶行程數(shù)據(jù)、疫苗接種記錄），實(shí)現(xiàn)“分類分級、精準(zhǔn)防護(hù)”。序號檢查內(nèi)容檢查標(biāo)準(zhǔn)責(zé)任部門/人完成情況（是/否/待整改）1是否完成數(shù)據(jù)分類分級明確敏感數(shù)據(jù)范圍（如個(gè)人健康信息、交易數(shù)據(jù)、企業(yè)核心技術(shù)文檔），標(biāo)注“機(jī)密”“內(nèi)部”“公開”等級數(shù)據(jù)管理部/信息安全部2敏感數(shù)據(jù)存儲(chǔ)是否加密敏感數(shù)據(jù)需存儲(chǔ)在加密數(shù)據(jù)庫或文件系統(tǒng)中，禁止明文存儲(chǔ)系統(tǒng)管理員/信息安全部（四）系統(tǒng)與網(wǎng)絡(luò)安全：漏洞與攻擊防范核心目標(biāo)：強(qiáng)化系統(tǒng)與網(wǎng)絡(luò)的安全防護(hù)，防范疫情期間高發(fā)的釣魚攻擊、ransomware等威脅。序號檢查內(nèi)容檢查標(biāo)準(zhǔn)責(zé)任部門/人完成情況（是/否/待整改）1是否定期進(jìn)行漏洞掃描與修復(fù)每月至少1次全系統(tǒng)漏洞掃描，高危漏洞需在24小時(shí)內(nèi)修復(fù)，中低危漏洞需在7天內(nèi)修復(fù)信息安全部/系統(tǒng)管理員2防火墻與入侵檢測系統(tǒng)（IDS）是否開啟防火墻需配置嚴(yán)格的訪問控制策略，IDS需實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)異常流量（如DDoS攻擊、端口掃描）網(wǎng)絡(luò)管理員/信息安全部3是否啟用郵件安全防護(hù)郵件系統(tǒng)需開啟spam過濾、釣魚郵件識(shí)別、附件病毒掃描功能，禁止接收來自未知發(fā)件人的可疑郵件信息安全部/IT部4是否更新殺毒軟件與補(bǔ)丁所有設(shè)備（包括遠(yuǎn)程設(shè)備）的殺毒軟件病毒庫需每日更新，操作系統(tǒng)、應(yīng)用程序補(bǔ)丁需及時(shí)安裝員工本人/IT部（五）應(yīng)急響應(yīng)：預(yù)案與演練核心目標(biāo)：確保在發(fā)生信息安全事件（如數(shù)據(jù)泄露、系統(tǒng)癱瘓）時(shí)，能夠快速響應(yīng)、減少損失。序號檢查內(nèi)容檢查標(biāo)準(zhǔn)責(zé)任部門/人完成情況（是/否/待整改）1是否更新疫情期間應(yīng)急預(yù)案預(yù)案需涵蓋遠(yuǎn)程辦公場景下的事件處置流程（如設(shè)備丟失、數(shù)據(jù)泄露），明確匯報(bào)路徑與責(zé)任分工信息安全部/管理層2是否開展應(yīng)急演練每季度至少1次演練，模擬釣魚攻擊、ransomware感染等場景，驗(yàn)證預(yù)案的有效性信息安全部/各部門3是否建立安全事件溝通機(jī)制明確事件上報(bào)渠道（如專用郵箱、電話），及時(shí)向員工、客戶、監(jiān)管部門通報(bào)事件進(jìn)展信息安全部/公關(guān)部4是否備份關(guān)鍵數(shù)據(jù)關(guān)鍵數(shù)據(jù)需定期備份（至少每日1次），備份數(shù)據(jù)存儲(chǔ)在離線或異地環(huán)境，防止ransomware加密系統(tǒng)管理員/信息安全部四、自查流程與整改要求1.計(jì)劃制定：信息安全部牽頭制定自查計(jì)劃，明確檢查范圍（如所有部門、關(guān)鍵系統(tǒng)）、時(shí)間節(jié)點(diǎn)（如每月1次）及參與人員。2.部門自查：各部門根據(jù)自查表逐項(xiàng)檢查，填寫完成情況，提交至信息安全部。3.匯總分析：信息安全部匯總自查結(jié)果，識(shí)別高風(fēng)險(xiǎn)環(huán)節(jié)（如未加密的遠(yuǎn)程設(shè)備、未修復(fù)的高危漏洞），形成風(fēng)險(xiǎn)報(bào)告。4.整改落實(shí)：針對問題制定整改措施（如安裝加密軟件、修復(fù)漏洞），明確責(zé)任人和完成時(shí)間，定期跟蹤整改進(jìn)度。5.復(fù)查驗(yàn)證：整改完成后，信息安全部進(jìn)行復(fù)查，確保問題徹底解決，形成閉環(huán)管理。五、結(jié)語疫情期間，信息安全是企業(yè)/機(jī)構(gòu)穩(wěn)定運(yùn)營的“生命線”。通過定期開展信息安全管理自查，能夠及時(shí)發(fā)現(xiàn)潛在風(fēng)險(xiǎn)，彌補(bǔ)防護(hù)漏洞，提升整體安全能力。企業(yè)/機(jī)構(gòu)應(yīng)結(jié)合自身業(yè)務(wù)特點(diǎn)，動(dòng)態(tài)調(diào)整自查內(nèi)容（如新增線上教學(xué)系統(tǒng)安全檢查、醫(yī)療數(shù)據(jù)保護(hù)檢查），