公司信息安全检

《公司信息安全检》由会员分享，可在线阅读，更多相关《公司信息安全检（19页珍藏版）》请在金锄头文库上搜索。

1、附件：信息安全信息安全检查检查内容及内容及检查项检查项目表目表一、一、检查检查内容内容1、规章制度：信息安全管理规章制度是否健全，有关规章制度的制定、发布、修订及执行情况；国家有关信息安全政策、法规以及信息安全责任的落实情况；电力二次系统安全管理制度的制定和责任制的落实情况。2、组织机构：信息安全组织机构是否健全，信息安全职责是否明确；安全管理机构岗位设置、人员配备情况；电力二次系统安全防护组织机构的建立情况。3、信息安全资金保障：信息安全运行维护经费落实情况，信息化项目中信息安全建设专项资金落实情况。4、人员管理：人员的安全保密意识教育、安全技能培训情况，重点、敏感岗位人员有无内控管理措施；

2、外来人员管理情况。5、信息安全策略及总体防护体系：本单位信息安全总体防护策略制定情况；“安全分区、网络专用、横向隔离、纵向认证”方针的贯彻落实情况；电力二次系统安全防护体系的建设情况。6、分区防御：生产控制大区和管理信息大区内部相应分区情况；各类系统和设备分区部署情况；生产控制大区与管理信息大区网络边界横向隔离防护情况；纵向加密认证装置部署情况；生产控制大区跨单位(部门)数据采集和信息交换情况；禁止跨越生产控制大区和管理信息大区进行网络直联的落实情况。7、网络安全：安全域划分、边界防护、内网保护、外部设备接入控制、内外网隔离等情况；各类网络接口、互联网出口的安全监测措施；网络病毒、木马防护措施

3、。8、设备和操作系统安全：网络设备、安全设备、服务器和桌面终端的安全防护措施，操作系统的安全配置情况。9、应用系统安全：数据库的安全配置和管理情况；日常办公和业务应用系统的安全设计、配置和管理情况；对外网站的防攻击、防篡改技术防护措施；关键应用系统开发过程中的质量控制情况；关键应用系统安全测试情况；关键应用系统上线运行后的安全配置管理情况。lO、运维管理：设备、系统的维护记录情况，变更管理情况；运行环境与开发环境的分离情况；安全漏洞检测、补丁升级、安全审计、账户口令、数字证书及密码的管理情况。11、数据安全：数据访问控制措施；服务器、用户终端、数据库中关键数据是否有加密保护措施；磁盘、光盘、u

4、 盘和移动硬盘等移动存储介质管理情况；数据备份与恢复及备份介质管理情况。12、物理环境安全：生产调度区、计算机机房等重点区域的门禁、防盗门窗、监视器等安全管控设施的配置及人员出入管控情况；防灾、供电和通信系统的安全保障措施。13、关键信息资产管控：信息系统建设及基础资料归档管理情况；关键信息设备、软件系统采购时的安全性测评情况；电力系统核心数据的使用范围；电力系统核心数据的授权访问策略和安全防护情况。14、服务外包管控：服务外包协议中信息安全管控条款内容；服务期内的外包服务协议信息安全管控条款的执行情况；服务期满后的外包服务协议信息安全管控条款的执行情况；对服务机构和人员的管理情况；对服务机构

5、携带设备的管控措施；对外包服务活动的行为审计情况；对外包服务采取远程在线方式的在线监控、访问权限限定等管控措施的落实情况。15、应急响应与灾难恢复：应急组织建设情况；应急预案制定情况；应急物资准备情况；应急演练情况；系统灾难备份情况；电力二次系统安全联合防护和应急机制的建立情况；电力二次系统安全应急预案的制定和演练情况；信息安全信息通报机制的建设情况。二、二、检查项检查项目表目表1、 、检查检查基本信息基本信息单位名称杭锦旗供电有限责任公司上级单位名称鄂尔多斯电业局本单位信息安全第一责任人王治林受检单位基本信息信息安全责任部门信息中心检查方式本单位自查 上级单位督查 口电监会抽查 口检查时间2

6、011.5.9检查范围公司机关检查组织单位检查组基本信息检查组组长检查组成员2、 、检查检查内容及内容及记录记录2.1、信息安全、信息安全规规章制度章制度序号检查项检查结果备注1信息安全管理规章制度是否健全已建立相关制度2有关规章制度的制定、发布、修订及执行情况按规章制度严格执行需说明信息安全规章制度的制定、发布、修订及执行的主体及相关程序。3国家有关信息安全政策、法规的落实情况组织学习并按要求执行4信息安全责任的落实情况成立领导小组责任落实到部门说明信息安全负责人、责任机构、责任人及其信息安全职责。5电力二次系统安全管理制度的制定情 况6电力二次系统安全责任制的落实情况需要说明的情 况结果受

7、检方签字检查方签字确认日 期日 期2.2、信息安全、信息安全组织组织机构机构序号检查项检查结果备注l信息安全组织机构是否健全成立领导小组本单位及所有下属单位是否都有明确的信息安全责任机构。2信息安全职责是否明确已明确到人信息安全机构职责是否涵盖了当前信息安 全工作的主要 方面。3信息安全管理机构岗位设置、人员配备情况4电力二次系统安全防护组织机构的建立情况需要说明的情 况结果受检方签字检查方签字确认日 期日 期2.3、信息安全、信息安全资资金保障金保障序号检查项检查结果备注1信息安全运行维护经费落实情况给出运维经费的数量及占信息系统总体运行维护资金的比例。2信息化项目中信息安全建设专项资金落实

8、情况给出数量及所占比例。需要说明的情 况结果受检方签字检查方签字确认日 期日 期2.4、人、人员员管理管理序号检查项检查结果备注1人员的安全保密意识教育情况开展形式及覆盖范围。2人员安全技能培训情况需说明参加电监会组织的培训情况。3重点、敏感岗位人员有无内控管理措施如有，说明具体措施。4外来人员管理情况主要针对外来开发、维护、访问人员的管理措施。需要说明的情 况结果受检方签字检查方签字确认日 期日 期2.5、信息安全策略及、信息安全策略及总总体防体防护护体系体系序号检查项检查结果备注1单位信息安全总体防护策略制定情况2“安全分区、网络专用、横向隔离、纵向认证“方针的贯彻落实情况只有调度自动化系

9、统和管理信息大区实现了隔离3电力二次系统安全防护体系的建设情况需要说明的情 况结果受检方签字检查方签字确认日 期日 期2.6、分区防御、分区防御序号检查项检查结果备注1生产控制大区和管理信息大区内部相应分区情况内部没有分区2各类系统和设备分区部署情况分两个大区：调度自动化（生产控制），管理信息系统。从网络和信息系统两个方面说明。3生产控制大区与管理信息大区网络边界横向隔离防护情况仅调度自动化系统与管理信息大区有正向物理隔离装置和防火墙重点检查正向隔离装置和反向隔 离装置的部署情况，列举未升级为lbit版本的横向隔 离装置的部署位 置和台数。4纵向加密认证装置部署情况无安全防护措施如未部署纵向加

10、密认证装置，说明现有生产控制大区纵向网络边界安全防护措施。5生产控制大区跨单位(部门)数据采集和信息交换情况鄂尔多斯电业局，公司办公大楼，各基层供电所和变电站，与鄂尔多斯市局信息交换主要是：办公自动化系统，其余的所有数据信息列举所有跨单位链路及其管理措施。6禁止跨越生产控制大区和管理信息大调度自动化系统到管理信息系统有正向物理隔离装置和防火墙如有，列举所有通道及其管理措施。区进行网络直联的落实情况需要说明的情 况结果受检方签字检查方签字确认日 期日 期2.7、网、网络络安全安全序号检查项检查结果备注l安全域划分情况、 调度自动化系统，、 一体化信息系统，办公OA自动化系统，标准化作业辅助系统，

11、公司门户网站系统，财务软件系统说明管理信息大区安全域划分原则，列举所有安全域及其内的信息系统。2网络边界防护情况无设备，灭有边界防护策略边界防护策略、安全设备部署情况等。3内网保护情况没有网管，无法控制内网网络设备访问控制、ARP防范、非授权网络接入管控等。4外部设备接入控制情况控制措施不严分别说明内、外网对外来人员设备的授权接入控制措施。5内外网隔离情况集抄系统计算机利用双网卡，同时接入内外网这里指管理信息大区网络隔离情况。6各类网络接口、互联网出口的安全监测措施无网络接口主要指局域网/局域网、局域 网/广域网、局域网/互联网之间的接口。7网络病毒、木马防护措施无外网，内网防病毒主要以市局网

12、络版的趋势防病毒软件（已没有服务支持）及中小企业版东方微点主动防御软件分别说明内、外网的网络防病毒形式，内网病毒库升级控制措施。需要说明的情 况没有完善的桌面管理系统，内外网管理比较困难，部分终端计算机利用双网卡同时上内外网，存在严重的安全隐患。结果受检方签字检查方签字确认日 期日 期2.8、 、设备设备和操作系和操作系统统安全安全序号检查项检查结果备注1网络设备的安全防护措施无网络设备的网络和物理访问控制措施。2安全设备的安全防护措施无安全设备安全设备的网络和物理访问控制措施。3服务器的安全防护措施没有物理隔离措施，网络访问比较容易服务器的网络和物理访问控制措施。4桌面终端的安全防护措施网络

13、版的趋势杀毒，经常不能升级或和主服务器失去联系需说明是否已对桌面终端实施统一管理。5操作系统的安全配置桌面终端：windows xp3服务器：windows 2003Linux补丁半年升级一次，防病毒软件主要以鄂尔多斯电业局的网络版趋势杀毒软件为主主要说明服务器、桌面终端、网络设备操作系统的版本、补丁、用户、审计、恶意代码防范情况。需要说明的情 况结果受检方签字检查方签字确认日 期日 期2.9、 、应应用系用系统统安全安全序号检查项检查结果备注1数据库的安全配置和管理情况一般2日常办公和业务应用系统的安全设计、配置和管理情况安全设计低于标准，配置不够3对外网站的防攻击、防篡改技术防护措施无4关

14、键应用系统开发过程中的质量控制情况无5关键应用系统安全测试情况无需说明安全测试要求、安全测试流程、安全测试机构以及安全整改情况。6关键应用系统上线运行后的安全配置 管理情况安全配置不够，管理人员水平不高需要说明的情 况结果受检方签字检查方签字确认日 期日 期2.10、运、运维维管理管理序号检查项检查结果备注1设备、系统的维护记录情况有记录2设备、系统的变更管理情况PC终端管理不严，随意变更3运行环境与开发环境的分离情况较好4安全漏洞检测管理情况无需说明漏洞认定程序，漏洞处理流程。5补丁升级管理情况无需说明是否有补丁测试环节。6安全审计管理情况无分主机、网络、企业级三个层次说明。7账户口令管理情

15、况口令管理不严，比较随意8数字证书及密码管理情况管理比较乱需要说明的情 况口令管理不严：1、 在系统设计时，如营销MIS系统，收费员的口令是很关键的，但没有设计为USB-key，2、 大部分关键的岗位人员设置的密码过于简单，而且不变换。结果受检方签字检查方签字确认日 期日 期2.11、数据安全、数据安全序号检查项检查结果备注1数据访问控制措施数据库标准口令设置说明整体数据访问控制策略和主要访问控制措施。2服务器、用户终端、数据库中关键数据是否有加密保护措施无3磁盘、光盘、U盘和移动硬盘等移动存储介质管理情况没有移动存储介质主要包括与移动存储介质注册、使用、销毁有关的管理及技术控制措施。4数据备

16、份与恢复管理情况数据备份比较单一，单纯靠电脑自动备份，存在隐患5备份介质管理情况无需要说明的情 况结果受检方签字检查方签字确认日 期日 期2.12、物理、物理环环境安全境安全序号检查项检查结果备注1生产调度区、计算机机房等重点区域的门禁、防盗门窗、监视器等安全管控设施的配置情况设备配置不够搬到新调度大楼实施完善2生产调度区、计算机机房等重点区域人员出入管控情况不规范，管理不严3防灾、供电和通信系统的安全保障措施不是很健全需要说明的情 况结果受检方签字检查方签字确认日 期日 期2.13、关、关键键信息信息资产资产管控管控序号检查项检查结果备注1信息系统建设及基础资料归档管理情况资料有，但不是很全面2关键信息设备、软件系统采购时的安全性测评情况无，仅依靠厂家提供的安全技术规范需说明安全测评要求、安全测评流程、安全测评机构以及国产化设备的采购比例。3电力系统核心数据的使用范围4电力系统核心数据的授权访问策略和安全防护情