信息安全检查内容自查表Word格式文档下载.docx
- 文档编号:17828166
- 上传时间:2022-12-11
- 格式:DOCX
- 页数:25
- 大小:20.73KB
信息安全检查内容自查表Word格式文档下载.docx
《信息安全检查内容自查表Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《信息安全检查内容自查表Word格式文档下载.docx(25页珍藏版)》请在冰豆网上搜索。
行情况
由安监部制定、上公司会议研究后并发布
需说明信息安
全规章制度的
制定、发布、修
订及执行的主
体及相关程序。
3
国家有关信息安全
政策、法规的落实情
况
按国家及上级有关信息安全
政策、法规的要求执行
4
信息安全责任的落
实情况
公司成立了信通所,所长:
张瑞平
职责:
负责正常运行维护及安全管理
说明信息安全
负责人、责任机
构、责任人及其
信息安全职责。
5
电力二次系统安全
管理制度的制定情
管理制度健全
6
责任制的落实情况
责任制已落实到责任部门及个人
需要
说明
的情
结果
受检方签字
刘立新
检查方签字
确认
日期
2011-5-4
2.2、信息安全组织机构
l
信息安全组织机构
是否健全
本单位及所有
下属单位是否
都有明确的信
息安全责任机
构。
信息安全职责是否
明确
信息安全机构
职责是否涵盖
了当前信息安
全工作的主要
方面。
信息安全管理机构
岗位设置、人员配备
情况
信息中心主任1名,工作人员1名
防护组织机构的建
立情况
防护组织机构未成立
2011-5-6
2.3、信息安全资金保障
信息安全运行维护
经费落实情况
未落实经费
给出运维经费
的数量及占信
息系统总体运
行维护资金的
比例。
信息化项目中信息
安全建设专项资金
落实情况
给出数量及所
占比例。
2.4、人员管理
人员的安全保密意
识教育情况
授课,全员
开展形式及覆
盖范围。
人员安全技能培训
无
需说明参加电
监会组织的培
训情况。
重点、敏感岗位人员
有无内控管理措施
如有,说明具体
措施。
外来人员管理情况
实行登记许可制度
主要针对外来
开发、维护、访
问人员的管理
2011-5-8
2.5、信息安全策略及总体防护体系
单位信息安全总体
防护策略制定情况
未制定
“安全分区、网络专
用、横向隔离、纵向
认证“方针的贯彻落
只有调度自动化系统和管理信息大区实现了隔离
,3
防护体系的建设情况
未建立
2.6、分区防御
生产控制大区和管
理信息大区内部相
应分区情况
内部没有分区
各类系统和设备分
区部署情况
分两个大区:
调度自动化(生产控制),管理信息系统。
从网络和信息系
统两个方面说明。
理信息大区网络边
界横向隔离防护情
仅调度自动化系统和管理信息大区有正向物理隔离装置和防火墙
重点检查正向隔
离装置和反向隔
离装置的部署情
况,列举未升级为
lbit版本的横向隔
离装置的部署位
置和台数。
纵向加密认证装置
部署情况
无安全防护措施
如未部署纵向加
密认证装置,说明
现有生产控制大
区纵向网络边界
安全防护措施。
生产控制大区跨单
位(部门)数据采集
和信息交换情况
鄂尔多斯电业局,公司办公大楼,各基层供电所和变电站,和鄂尔多斯市局信息交换主要是:
办公自动化系统,其余的所有数据信息
列举所有跨单位
链路及其管理措
施。
禁止跨越生产控制
大区和管理信息大
区进行网络直联的
调度自动化系统到管理信息系统有正向物理隔离装置和防火墙
如有,列举所有通
道及其管理措施。
2.7、网络安全
安全域划分情况
一、调度自动化系统,
二、一体化信息系统,办公OA自动化系统,标准化作业辅助系统,公司门户网站系统,财务软件系统
说明管理信息大区
安全域划分原则,列
举所有安全域及其
内的信息系统。
网络边界防护情况
无设备,灭有边界防护策略
边界防护策略、安全
设备部署情况等。
内网保护情况
没有网管,无法控制
内网网络设备访问
控制、ARP防范、非授权网络接入管控等。
外部设备接入控制
控制措施不严
分别说明内、外网对
外来人员设备的授权接入控制措施。
内外网隔离情况
个别计算机利用双网卡,同时接入内外网
这里指管理信息大
区网络隔离情况。
各类网络接口、互联
网出口的安全监测
措施
网络接口主要指局
域网/局域网、局域
网/广域网、局域网/互联网之间的接口。
7
网络病毒、木马防
护措施
无外网,内网防病毒主要以市局网络版的趋势防病毒软件
分别说明内、外网的
网络防病毒形式,内
网病毒库升级控制
没有完善的桌面管理系统,内外网管理比较困难,部分终端计算机利用双网卡同时上内外网,存在严重的安全隐患。
2.8、设备和操作系统安全
网络设备的安全防
网络设备的网
络和物理访问
控制措施。
安全设备的安全防
无安全设备
安全设备的网
服务器的安全防护
没有物理隔离措施,网络访问比较容易
服务器的网络
和物理访问控
制措施。
桌面终端的安全防
网络版的趋势杀毒,经常不能升级或和主服务器失去联系
需说明是否已
对桌面终端实
施统一管理。
操作系统的安全配置
桌面终端:
windowsxp3
服务器:
windows2003
Linux
补丁半年升级一次,
防病毒软件主要以鄂尔多斯电业局的网络版趋势杀毒软件为主
主要说明服务
器、桌面终端、
网络设备操作
系统的版本、补
丁、用户、审计、
恶意代码防范
情况。
2.9、应用系统安全
数据库的安全配置
和管理情况
一般
日常办公和业务应用系统的安全设计、配置和管理情况
安全设计低于标准,配置不够
对外网站的防攻击、防篡改技术防护措施
关键应用系统开发过程中的质量控制情况
关键应用系统安全测试情况
需说明安全测试要求、安全测试流程、安全测
试机构以及安全整改情况。
关键应用系统上线
运行后的安全配置
管理情况
安全配置不够,管理人员水平不高
2.10、运维管理
设备、系统的维护记
录情况
有记录
设备、系统的变更管
理情况
PC终端管理不严,随意变更
运行环境和开发环
境的分离情况
较好
安全漏洞检测管理
需说明漏洞认定程序,漏洞处理流程。
补丁升级管理情况
需说明是否有补丁测试环节。
安全审计管理情况
分主机、网络、企业级三个层
次说明。
账户口令管理情况
口令管理不严,比较随意
8
数字证书及密码管
管理比较乱
口令管理不严:
1、在系统设计时,如营销MIS系统,收费员的口令是很关键的,但没有设计为USB-key,
2、大部分关键的岗位人员设置的密码过于简单,而且不变换。
2.11、数据安全
数据访问控制措施
数据库标准口令设置
说明整体数据
访问控制策略
和主要访问控
服务器、用户终端、
数据库中关键数据
是否有加密保护措
施
磁盘、光盘、U盘和
移动硬盘等移动存
储介质管理情况
没有移动存储介质
主要包括和移
动存储介质注
册、使用、销毁
有关的管理及
技术控制措施。
数据备份和恢复管
数据备份比较单一,单纯靠电脑自动备份,存在隐患
备份介质管理情况
张瑞平
2.12、物理环境安全
生产调度区、计算机
机房等重点区域的
门禁、防盗门窗、监
视器等安全管控设
施的配置情况
设备配置不够
搬到新调度大楼实施完善
机房等重点区域人
员出入管控情况
不规范,管理不严
防灾、供电和通信系
统的安全保障措施
不是很健全
2.13、关键信息资产管控
信息系统建设及基
础资料归档管理情
资料有,但不是很全面
关键信息设备、软件
系统采购时的安全
性测评情况
无,仅依靠厂家提供的安全技术规范
需说明安全测
评要求、安全测
评流程、安全测
评机构以及国
产化设备的采
购比例。
电力系统核心数据
的使用范围
的授权访问策略和
安全防护情况
数据库常规密码保护
2.14、服务外包管控
服务外包协议中信
息安全管控条款内
容
含保密条款。
服务期内的外包服
务协议信息安全管
控条款的执行情况
服务期满后的外包
服务协议信息安全
管控条款的执行情
对服务机构和人员
的管理情况
重点说明相关制
度建设、机构资质
审查、服务人员管
控情况。
对服务机构所携带
设备的管控措施
需说明管理制度
及技术管控措施。
对外包服务活动的
行为审计情况
对外包服务采取远
程在线方式的在线
监控、访问权限限定
等管控措施的落实
主要采用远程拨号的方式,安全管理只是鉴于对厂家的信任,无技术监控措施
重点说明通过远
程拨号访问、外网
VPN方式等对生产
监控系统和关键
信息系统进行远
程维护时,所采取
的安全管理手段
和技术监控措施。
2.15、应急响应和灾难恢复
应急组织建设情况
已建立
应急预案制定情况
总体应急预案
及关键信息系
统的预案制定
应急物资准备情况
没有
应急演练情况
系统灾难备份情况
需说明异地容
灾备份系统建
设情况。
联合防护和应急机
制的建立情况
应急预案的制定和
演练情况
未演练无
信息安全信息通报
机制的建设情况
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全检查 内容 自查