信息安全检查内容自查表Word下载.docx
- 文档编号:19343546
- 上传时间:2023-01-05
- 格式:DOCX
- 页数:21
- 大小:21.56KB
信息安全检查内容自查表Word下载.docx
《信息安全检查内容自查表Word下载.docx》由会员分享,可在线阅读,更多相关《信息安全检查内容自查表Word下载.docx(21页珍藏版)》请在冰豆网上搜索。
1
信息安全管理规章
制度是否健全
是
2
有关规章制度的制
定、发布、修订及执
行情况
由安监部制定、上公司会议研究后并
发布
需说明信息安
全规章制度的制定、发布、修订及执行的主体及相关程序。
3
国家有关信息安全
政策、法规的落实情
况
按国家及上级有关信息安全
政策、法规的要求执行
4
信息安全责任的落
实情况
公司成立了信通所,所长:
张瑞平
职责:
负责正常运行维护及安全管理
说明信息安全
负责人、责任机
构、责任人及其
信息安全职责。
5
电力二次系统安全
管理制度的制定情
管理制度健全
6
责任制的落实情况
责任制已落实到责任部门及个人
需要
说明
的情
结果
受检方签字
刘立新
检查方签字
确认
日期
2011-5-4
2.2、信息安全组织机构
l
信息安全组织机构
是否健全
本单位及所有下属单位是否都有明确的信息安全责任机构。
信息安全职责是否
明确
信息安全机构职责是否涵盖了当前信息安全工作的主要方面。
信息安全管理机构
岗位设置、人员配备
情况
信息中心主任1名,工作人员1名
防护组织机构的建
立情况
防护组织机构未成立
2011-5-6
2.3、信息安全资金保障
信息安全运行维护
经费落实情况
未落实经费
给出运维经费的数量及占信息系统总体运行维护资金的比例。
信息化项目中信息
安全建设专项资金
落实情况
给出数量及所
占比例。
2.4、人员管理
人员的安全保密意
识教育情况
授课,全员
开展形式及覆
盖范围。
人员安全技能培训
无
需说明参加电
监会组织的培
训情况。
重点、敏感岗位人员
有无内控管理措施
如有,说明具体
措施。
外来人员管理情况
实行登记许可制度
主要针对外来开发、维护、访问人员的管理措施。
受检方签字刘立新检查方签字刘俊毅
2.5、信息安全策略及总体防护体系
单位信息安全总体
防护策略制定情况
未制定
“安全分区、网络专
用、横向隔离、纵向
只有调度自动化系统和管理信息大区
认证“方针的贯彻落
实现了隔离
,3
防护体系的建设情况
未建立
2.6、分区防御
生产控制大区和管
理信息大区内部相
内部没有分区
应分区情况
各类系统和设备分
分两个大区:
调度自动化(生产控
从网络和信息系
区部署情况
制),管理信息系统。
统两个方面说明。
重点检查正向隔
生产控制大区与管理信息大区网络边界横向隔离防护情况
仅调度自动化系统与管理信息大区
有正向物理隔离装置和防火墙
离装置和反向隔
离装置的部署情况,列举未升级为lbit版本的横向隔离装置的部署位置和台数。
如未部署纵向加
纵向加密认证装置
部署情况
无安全防护措施
密认证装置,说明
现有生产控制大
区纵向网络边界
安全防护措施。
生产控制大区跨单
鄂尔多斯电业局,公司办公大楼,
列举所有跨单位
位(部门)数据采集
各基层供电所和变电站,与鄂尔多
链路及其管理措
和信息交换情况
斯市局信息交换主要是:
办公自动
施。
化系统,其余的所有数据信息
禁止跨越生产控制大区和管理信息大区进行网络直联的落实情况
调度自动化系统到管理信息系统有
正向物理隔离装置和防火墙
如有,列举所有通
道及其管理措施。
说明的情况
2.7、网络安全
安全域划分情况
一、调度自动化系统,
二、一体化信息系统,办公OA自
动化系统,标准化作业辅助
系统,公司门户网站系统,
财务软件系统
说明管理信息大区安全域划分原则,列举所有安全域及其内的信息系统。
网络边界防护情况
无设备,灭有边界防护策略
边界防护策略、安全
设备部署情况等。
内网保护情况
没有网管,无法控制
内网网络设备访问控制、ARP防范、非授权网络接入管控等。
外部设备接入控制
控制措施不严
分别说明内、外网对外来人员设备的授权接入控制措施。
内外网隔离情况
个别计算机利用双网卡,同时接
入内外网
这里指管理信息大
区网络隔离情况。
各类网络接口、互联
网出口的安全监测
措施
网络接口主要指局域网/局域网、局域网/广域网、局域网/互联网之间的接口。
7
网络病毒、木马防
护措施
无外网,内网防病毒主要以市局
网络版的趋势防病毒软件
分别说明内、外网的网络防病毒形式,内网病毒库升级控制措施。
没有完善的桌面管理系统,内外网管理比较困难,部分终端计算机利用双网卡同时上内外网,存在严重的安全隐患。
2.8、设备和操作系统安全
网络设备的安全防
网络设备的网
络和物理访问
控制措施。
安全设备的安全防
无安全设备
安全设备的网
服务器的安全防护
没有物理隔离措施,网络访问比较容
易
服务器的网络
和物理访问控
制措施。
桌面终端的安全防
网络版的趋势杀毒,经常不能升级或
和主服务器失去联系
需说明是否已
对桌面终端实
施统一管理。
操作系统的安全配置
桌面终端:
windowsxp3服务器:
windows2003Linux补丁半年升级一次,防病毒软件主要以鄂尔多斯电业局的网络版趋势杀毒软件为主
主要说明服务器、桌面终端、网络设备操作系统的版本、补丁、用户、审计、恶意代码防范情况。
2.9、应用系统安全
数据库的安全配置
和管理情况
一般
日常办公和业务应用
系统的安全设计、配
置和管理情况
安全设计低于标准,配置不够
对外网站的防攻击、
防篡改技术防护措施
关键应用系统开发过
程中的质量控制情况
关键应用系统安全测
试情况
需说明安全测试
要求、安全测试
流程、安全测试机构以及安全整改情况。
关键应用系统上线
运行后的安全配置
管理情况
安全配置不够,管理人员水平不高
2.10、运维管理
设备、系统的维护记
录情况
有记录
设备、系统的变更管
理情况
PC终端管理不严,随意变更
运行环境与开发环
境的分离情况
较好
安全漏洞检测管理
需说明漏洞认定程序,漏洞处理流程。
补丁升级管理情况
需说明是否有补丁测试环节。
分主机、网络、
安全审计管理情况
企业级三个层
次说明。
账户口令管理情况
口令管理不严,比较随意
8
数字证书及密码管
管理比较乱
口令管理不严:
1、在系统设计时,如营销MIS系统,收费员的口令是很关键的,但没有设计
为USB-key,
2、大部分关键的岗位人员设置的密码过于简单,而且不变换。
2.11、数据安全
数据访问控制措施
数据库标准口令设置
说明整体数据访问控制策略和主要访问控制措施。
服务器、用户终端、
数据库中关键数据
是否有加密保护措
施
磁盘、光盘、U盘和
移动硬盘等移动存
储介质管理情况
没有移动存储介质
主要包括与移
动存储介质注册、使用、销毁有关的管理及技术控制措施。
数据备份与恢复管
数据备份比较单一,单纯靠电脑自动
备份,存在隐患
备份介质管理情况
2.12、物理环境安全
生产调度区、计算机
机房等重点区域的门禁、防盗门窗、监视器等安全管控设施的配置情况
设备配置不够
搬到新调度大楼
实施完善
机房等重点区域人
员出入管控情况
不规范,管理不严
防灾、供电和通信系
统的安全保障措施
不是很健全
2.13、关键信息资产管控
信息系统建设及基
础资料归档管理情
资料有,但不是很全面
关键信息设备、软件
系统采购时的安全
性测评情况
无,仅依靠厂家提供的安全技术规范
需说明安全测评要求、安全测评流程、安全测评机构以及国产化设备的采
购比例。
电力系统核心数据
的使用范围
的授权访问策略和
安全防护情况
数据库常规密码保护
2.14、服务外包管控
服务外包协议中信
含保密条款。
息安全管控条款内
容
服务期内的外包服
务协议信息安全管
控条款的执行情况
服务期满后的外包服务协议信息安全管控条款的执行情况
对服务机构和人员
的管理情况
重点说明相关制度建设、机构资质审查、服务人员管控情况。
对服务机构所携带
设备的管控措施
需说明管理制度
及技术管控措施。
对外包服务活动的
行为审计情况
对外包服务采取远
程在线方式的在线监控、访问权限限定等管控措施的落实情况
主要采用远程拨号的方式,安全管理
只是鉴于对厂家的信任,无技术监控
重点说明通过远程拨号访问、外网VPN方式等对生产监控系统和关键信息系统进行远
程维护时,所采取
的安全管理手段和技术监控措施。
2.15、应急响应和灾难恢复
应急组织建设情况
已建立
应急预案制定情况
总体应急预案及关键信息系统的预案制定情况。
应急物资准备情况
没有
应急演练情况
系统灾难备份情况
需说明异地容
灾备份系统建
设情况。
联合防护和应急机
制的建立情况
应急预案的制定和
演练情况
未演练无
信息安全信息通报
机制的建设情况
2011-5-8
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全检查 内容 自查