衡水市2013年度信息安全檢查實(shí)施方案

1、衡水市2013年度信息安全檢查實(shí)施方案一、檢查目的通過(guò)開展常態(tài)化的信息安全檢查，進(jìn)一步落實(shí)信息安全責(zé)任，增強(qiáng)人員信息安全意識(shí)，認(rèn)真查找突出問(wèn)題和薄弱環(huán)節(jié)，全面排查安全隱患和安全漏洞，分析評(píng)估信息安全狀況和防護(hù)水平，有針對(duì)性地采取管理和技術(shù)防護(hù)措施，促進(jìn)安全防范水平和安全可控能力提升，預(yù)防和減少重大信息安全事件的發(fā)生，切實(shí)保障信息安全。二、檢查范圍安全檢查的范圍包括全市各級(jí)政務(wù)部門、重要信息系統(tǒng)和城市供水供氣供熱等市政領(lǐng)域。涉及國(guó)家秘密的信息系統(tǒng)安全檢查，按照國(guó)家保密管理規(guī)定和標(biāo)準(zhǔn)執(zhí)行。三、檢查內(nèi)容（一）信息安全管理情況。按照國(guó)家信息安全政策和標(biāo)準(zhǔn)規(guī)范要求，建立健全信息安全管理規(guī)章制度及落實(shí)情況

2、。重點(diǎn)檢查信息安全主管領(lǐng)導(dǎo)、管理機(jī)構(gòu)和工作人員履職情況，信息安全責(zé)任制落實(shí)及事故責(zé)任追究情況，人員、資產(chǎn)、采購(gòu)、外包服務(wù)等日常安全管理情況，信息安全經(jīng)費(fèi)保障情況等。（二）技術(shù)防護(hù)情況。網(wǎng)絡(luò)與信息系統(tǒng)防病毒、防攻擊、防篡改、防癱瘓、防泄密等技術(shù)措施及有效性。重點(diǎn)檢查事關(guān)國(guó)家安全和社會(huì)穩(wěn)定，對(duì)地區(qū)、部門或行業(yè)正常生產(chǎn)生活具有較大影響的重要網(wǎng)絡(luò)與信息系統(tǒng)（含工業(yè)控制系統(tǒng)）的安全防護(hù)情況，包括技術(shù)防護(hù)體系建立情況；網(wǎng)絡(luò)邊界防護(hù)措施，不同網(wǎng)絡(luò)或信息系統(tǒng)之間安全隔離措施，互聯(lián)網(wǎng)接入安全防護(hù)措施，無(wú)線局域網(wǎng)安全防護(hù)策略等；服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等安全策略配置及有效性，應(yīng)用系統(tǒng)安全功能配置及有效性；終端計(jì)

3、算機(jī)、移動(dòng)存儲(chǔ)介質(zhì)安全防護(hù)措施；重要數(shù)據(jù)傳輸、存儲(chǔ)的安全防護(hù)措施；采用數(shù)字證書進(jìn)行系統(tǒng)防護(hù)的措施等。（三）應(yīng)急工作情況。按照我市網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案要求，建立健全信息安全應(yīng)急工作機(jī)制情況。重點(diǎn)檢查信息安全事件應(yīng)急預(yù)案制修訂情況，應(yīng)急預(yù)案演練情況；應(yīng)急技術(shù)支撐隊(duì)伍、災(zāi)難備份與恢復(fù)措施建設(shè)情況，重大信息安全事件處置及查處情況等。（四）安全教育培訓(xùn)情況。重點(diǎn)檢查信息安全和保密形勢(shì)宣傳教育、領(lǐng)導(dǎo)干部和各級(jí)人員信息安全技能培訓(xùn)、信息安全管理和技術(shù)人員專業(yè)培訓(xùn)情況等。（五）安全問(wèn)題整改情況。重點(diǎn)檢查以往信息安全檢查中發(fā)現(xiàn)問(wèn)題的整改情況，包括整改措施、整改效果及復(fù)查情況，以及類似問(wèn)題的排查情況等，分析

4、安全威脅和安全風(fēng)險(xiǎn)，進(jìn)一步評(píng)估總體安全狀況。四、檢查方式按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)”的原則，信息安全檢查工作以各縣市區(qū)、各部門自查為主。同時(shí)，市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室將組織專業(yè)技術(shù)隊(duì)伍對(duì)部分重點(diǎn)單位和重要系統(tǒng)進(jìn)行安全抽查。五、安全自查各縣市區(qū)結(jié)合實(shí)際統(tǒng)籌安排本地區(qū)政務(wù)部門以及供水供氣供熱等市政領(lǐng)域信息安全自查工作。市直各部門結(jié)合實(shí)際組織開展本部門安全自查工作。各縣市區(qū)、各部門（單位）參照本工作方案，結(jié)合實(shí)際組織制定信息安全檢查實(shí)施方案，印發(fā)檢查部署文件，明確自查范圍、責(zé)任單位、工作安排及工作要求等相關(guān)內(nèi)容，并認(rèn)真組織實(shí)施?？山M織開展抽查，督促自查單位開展自查工作，了解掌握自查工作進(jìn)

5、展情況，采取技術(shù)手段深入發(fā)現(xiàn)安全問(wèn)題和薄弱環(huán)節(jié)，并及時(shí)研究解決檢查工作中遇到的重大問(wèn)題。自查工作完成后，各縣市區(qū)、各部門（單位）要對(duì)檢查情況進(jìn)行全面匯總總結(jié)，填寫檢查結(jié)果統(tǒng)計(jì)表，認(rèn)真梳理存在的主要問(wèn)題，分析評(píng)估安全風(fēng)險(xiǎn)，撰寫檢查總結(jié)報(bào)告。六、安全抽查（一）技術(shù)抽測(cè)。依托省信息安全測(cè)評(píng)中心，對(duì)全市重點(diǎn)網(wǎng)站進(jìn)行抽測(cè)。（二）抽查重點(diǎn)內(nèi)容。市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室將組織專門人員隨機(jī)對(duì)各縣市區(qū)、各部門的自查情況進(jìn)行抽查。1. 現(xiàn)場(chǎng)抽查內(nèi)容。重點(diǎn)檢查被抽查單位自查工作組織開展情況，2012年安全檢查發(fā)現(xiàn)問(wèn)題的整改情況，網(wǎng)絡(luò)架構(gòu)、安全區(qū)域劃分的合理性，網(wǎng)絡(luò)邊界防護(hù)措施的完備性，服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)

6、備等的安全策略配置、應(yīng)用系統(tǒng)安全功能配置及其有效性，重要數(shù)據(jù)傳輸、存儲(chǔ)的安全防護(hù)措施。專業(yè)技術(shù)隊(duì)伍應(yīng)對(duì)重要設(shè)備和應(yīng)用系統(tǒng)進(jìn)行安全技術(shù)檢測(cè)，深入挖掘安全漏洞，采用人工方式對(duì)安全漏洞的可利用性進(jìn)行驗(yàn)證，幫助排查安全隱患，分析評(píng)估安全風(fēng)險(xiǎn)。2. 外部檢測(cè)內(nèi)容。通過(guò)互聯(lián)網(wǎng)對(duì)被抽測(cè)網(wǎng)站系統(tǒng)的安全風(fēng)險(xiǎn)狀況進(jìn)行外部檢測(cè)，包括安全漏洞、網(wǎng)頁(yè)篡改、惡意代碼情況以及近年來(lái)安全檢查中發(fā)現(xiàn)問(wèn)題的整改情況等，驗(yàn)證被抽查系統(tǒng)安全防護(hù)措施的有效性。七、時(shí)間安排（一）自查時(shí)間安排。檢查工作自本工作方案印發(fā)之日起啟動(dòng)。2013年9月25日前，各縣市區(qū)、各部門（單位）將加蓋公章的檢查總結(jié)報(bào)告、檢查結(jié)果統(tǒng)計(jì)表（附件2）、自查情況登

7、記表（附件3，僅市直各單位）和自評(píng)估表（附件1，僅市直單位），以與之涉密程度相應(yīng)的信函或傳真等方式報(bào)送市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室。各附件可以從 網(wǎng)站的通知公告欄下載。（二）抽查時(shí)間安排。抽查工作自9月2日起啟動(dòng)，9月25日前完成。八、信息報(bào)送（一）為便于了解掌握檢查工作進(jìn)展情況，分別于8月30日和9月16日前，將本縣市區(qū)、本部門自查工作進(jìn)展情況發(fā)至hsxxhbgs郵箱。（二）各縣市區(qū)、各部門（單位）在自查中發(fā)現(xiàn)重大安全隱患，或出現(xiàn)因檢查工作導(dǎo)致的跨地區(qū)、跨部門或跨行業(yè)安全問(wèn)題時(shí)，應(yīng)及時(shí)向市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室報(bào)告。九、工作要求（一）加強(qiáng)領(lǐng)導(dǎo)，落實(shí)責(zé)任。各縣市區(qū)、各部門（單位）要把信

8、息安全檢查工作列入重要議事日程，加強(qiáng)組織領(lǐng)導(dǎo)，明確檢查責(zé)任，建立并落實(shí)信息安全檢查工作責(zé)任制，明確檢查工作負(fù)責(zé)人、檢查機(jī)構(gòu)和檢查人員，安排并落實(shí)檢查工作經(jīng)費(fèi)，保證檢查工作順利進(jìn)行。（二）注重源頭，深入檢查。各縣市區(qū)、各部門（單位）要全面細(xì)致開展檢查工作，注重采用技術(shù)檢測(cè)等手段，深入查找安全問(wèn)題和隱患，確保檢查工作不走過(guò)場(chǎng)、不漏環(huán)節(jié)、不留死角。要高度重視檢查中發(fā)現(xiàn)的苗頭性、趨勢(shì)性問(wèn)題，全面系統(tǒng)地分析研究解決，從源頭上遏制和消除安全隱患。（三）即查即改，確保成效。各縣市區(qū)、各部門（單位）對(duì)檢查中發(fā)現(xiàn)的問(wèn)題要及時(shí)整改，因條件不具備暫時(shí)不能整改的問(wèn)題應(yīng)采取臨時(shí)防范措施，保證系統(tǒng)安全正常運(yùn)行。市網(wǎng)絡(luò)與信

9、息安全協(xié)調(diào)小組辦公室將及時(shí)對(duì)檢查中發(fā)現(xiàn)的問(wèn)題通報(bào)給相關(guān)單位，督促相關(guān)單位組織風(fēng)險(xiǎn)研判并落實(shí)整改措施。（四）控制風(fēng)險(xiǎn)，強(qiáng)化保密。各縣市區(qū)、各部門（單位）和承擔(dān)抽查任務(wù)的專業(yè)技術(shù)隊(duì)伍要針對(duì)檢查工作技術(shù)性強(qiáng)的特點(diǎn)，強(qiáng)化風(fēng)險(xiǎn)控制措施，周密制定應(yīng)急預(yù)案，確保被檢查信息系統(tǒng)的正常運(yùn)行和重要數(shù)據(jù)安全。要高度重視保密工作，對(duì)檢查中有關(guān)人員、相關(guān)文檔和數(shù)據(jù)進(jìn)行嚴(yán)格管理，確保檢查數(shù)據(jù)和檢查結(jié)果不被泄露。通信地址：衡水市育才南大街918號(hào) 市工業(yè)和信息化局（市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室）807室郵政編碼：053000聯(lián)系電話：2661389附件：1. 信息安全管理工作自評(píng)估表（試行）2. 信息安全檢查結(jié)果統(tǒng)計(jì)表3

10、. 信息安全自查情況登記表附件1市直單位信息安全管理工作自評(píng)估表（試行）評(píng)估指標(biāo)評(píng)價(jià)要素評(píng)價(jià)標(biāo)準(zhǔn)權(quán)重（V）指標(biāo)屬性量化方法（P為量化值）評(píng)估得分（VP）信息安全組織管理信息安全主管領(lǐng)導(dǎo)明確一名主管領(lǐng)導(dǎo)負(fù)責(zé)本部門信息安全工作（主管領(lǐng)導(dǎo)應(yīng)為本部門正職或副職領(lǐng)導(dǎo)）。3定性已明確，本年度就信息安全工作作出批示或主持召開專題會(huì)議，P = 1；已明確，本年度未就信息安全工作作出批示或主持召開專題會(huì)議，P = 0.5；尚未明確，P = 0。信息安全管理機(jī)構(gòu)指定一個(gè)機(jī)構(gòu)具體承擔(dān)信息安全管理工作（管理機(jī)構(gòu)應(yīng)為本部門二級(jí)機(jī)構(gòu)）。2定性已指定，并以正式文件等形式明確其職責(zé)，P = 1；未指定，P = 0。信息安全員

11、各內(nèi)設(shè)機(jī)構(gòu)指定一名專職或兼職信息安全員。2定量P = 指定信息安全員的內(nèi)設(shè)機(jī)構(gòu)數(shù)量與內(nèi)設(shè)機(jī)構(gòu)總數(shù)的比率。信息安全日常管理規(guī)章制度制度完整性建立信息安全管理制度體系，涵蓋人員管理、資產(chǎn)管理、采購(gòu)管理、外包管理、教育培訓(xùn)等方面。3定性制度完整，P = 1；制度不完整，P = 0.5；無(wú)制度，P = 0。制度發(fā)布安全管理制度以正式文件等形式發(fā)布。2定性符合，P = 1；不符合，P = 0。人員管理重點(diǎn)崗位人員簽訂安全保密協(xié)議重點(diǎn)崗位人員（系統(tǒng)管理員、網(wǎng)絡(luò)管理員、信息安全員等）簽訂信息安全與保密協(xié)議。2定量P = 重點(diǎn)崗位人員中簽訂信息安全與保密協(xié)議的比率。人員離崗離職管理措施人員離崗離職時(shí)，收回其相

12、關(guān)權(quán)限，簽署安全保密承諾書。1定性符合，P = 1；不符合，P = 0。外部人員訪問(wèn)管理措施外部人員訪問(wèn)機(jī)房等重要區(qū)域時(shí)采取審批、人員陪同、進(jìn)出記錄等安全管理措施。2定性符合，P = 1；不符合，P = 0。資產(chǎn)管理責(zé)任落實(shí)指定專人負(fù)責(zé)資產(chǎn)管理，并明確責(zé)任人職責(zé)。2定性符合，P = 1；不符合，P = 0。建立臺(tái)賬建立完整資產(chǎn)臺(tái)賬，統(tǒng)一編號(hào)、統(tǒng)一標(biāo)識(shí)、統(tǒng)一發(fā)放。2定性符合，P = 1；不符合，P = 0。賬物符合度資產(chǎn)臺(tái)賬與實(shí)際設(shè)備相一致。2定性符合，P = 1；不符合，P = 0。設(shè)備維修維護(hù)和報(bào)廢管理措施完整記錄設(shè)備維修維護(hù)和報(bào)廢信息（時(shí)間、地點(diǎn)、內(nèi)容、責(zé)任人等）。2定性記錄完整，P =

13、1；記錄基本完整，P = 0.5；記錄不完整或無(wú)記錄，P = 0。外包管理外包服務(wù)協(xié)議與信息技術(shù)外包服務(wù)提供商簽訂信息安全與保密協(xié)議，或在服務(wù)合同中明確信息安全與保密責(zé)任。2定性符合，P = 1；不符合，P = 0?，F(xiàn)場(chǎng)服務(wù)管理現(xiàn)場(chǎng)服務(wù)過(guò)程中安排專人管理，并記錄服務(wù)過(guò)程。2定性記錄完整，P = 1；記錄不完整，P = 0.5；無(wú)記錄，P = 0。外包開發(fā)管理外包開發(fā)的系統(tǒng)、軟件上線前通過(guò)信息安全測(cè)評(píng)。2定量P =外包開發(fā)的系統(tǒng)、軟件上線前通過(guò)信息安全測(cè)評(píng)的比率。運(yùn)維服務(wù)方式原則上不得采用遠(yuǎn)程在線方式，確需采用時(shí)采取書面審批、訪問(wèn)控制、在線監(jiān)測(cè)、日志審計(jì)等安全防護(hù)措施。2定性符合，P = 1；不

14、符合，P = 0。經(jīng)費(fèi)保障經(jīng)費(fèi)預(yù)算將信息安全設(shè)施運(yùn)維、日常管理、教育培訓(xùn)、檢查評(píng)估等費(fèi)用納入年度預(yù)算。3定性符合，P = 1；不符合，P = 0。網(wǎng)站內(nèi)容管理網(wǎng)站信息發(fā)布網(wǎng)站信息發(fā)布前采取內(nèi)容核查、審批等安全管理措施。2定性符合，P = 1；不符合，P = 0。電子信息管理介質(zhì)銷毀和信息消除配備必要的電子信息消除和銷毀設(shè)備，對(duì)變更用途的存儲(chǔ)介質(zhì)進(jìn)行信息消除，對(duì)廢棄的存儲(chǔ)介質(zhì)進(jìn)行銷毀。1定性符合，P = 1；不符合，P = 0。信息安全防護(hù)管理物理環(huán)境安全機(jī)房安全具備防盜竊、防破壞、防雷擊、防火、防水、防潮、防靜電及備用電力供應(yīng)、溫濕度控制、電磁防護(hù)等安全措施。3定性符合，P = 1；不符合，P

15、 = 0。物理訪問(wèn)控制機(jī)房配備門禁系統(tǒng)或有專人值守。1定性符合，P = 1；不符合，P = 0。網(wǎng)絡(luò)邊界安全訪問(wèn)控制網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，能夠阻斷非授權(quán)訪問(wèn)。3定性符合，P = 1；有設(shè)備，但未配置策略，P = 0.5；無(wú)設(shè)備，P = 0。入侵檢測(cè)網(wǎng)絡(luò)邊界部署入侵檢測(cè)設(shè)備，定期更新檢測(cè)規(guī)則庫(kù)。3定性符合，P = 1；有設(shè)備，但未定期更新，P = 0.5；無(wú)設(shè)備，P = 0。安全審計(jì)網(wǎng)絡(luò)邊界部署安全審計(jì)設(shè)備，對(duì)網(wǎng)絡(luò)訪問(wèn)情況進(jìn)行定期分析審計(jì)并記錄審計(jì)情況。3定性符合，P = 1；有設(shè)備，但未定期分析，P = 0.5；無(wú)設(shè)備，P = 0?；ヂ?lián)網(wǎng)接入口數(shù)量各單位同一辦公區(qū)域內(nèi)互聯(lián)網(wǎng)接入口不超過(guò)2個(gè)

16、。2定性符合，P = 1；不符合，P = 0。設(shè)備安全惡意代碼防護(hù)部署防病毒網(wǎng)關(guān)或統(tǒng)一安裝防病毒軟件，并定期更新惡意代碼庫(kù)。2定性符合，P = 1； 不符合，P = 0。服務(wù)器口令策略配置口令策略保證服務(wù)器口令強(qiáng)度和更新頻率。2定量P = 配置了口令策略的服務(wù)器比率。服務(wù)器安全審計(jì)啟用安全審計(jì)功能并進(jìn)行定期分析。1定量P = 對(duì)安全審計(jì)日志進(jìn)行定期分析的服務(wù)器比率。服務(wù)器補(bǔ)丁更新及時(shí)對(duì)服務(wù)器操作系統(tǒng)補(bǔ)丁和數(shù)據(jù)庫(kù)管理系統(tǒng)補(bǔ)丁進(jìn)行更新。1定量P = 補(bǔ)丁得到及時(shí)更新的服務(wù)器比率。網(wǎng)絡(luò)設(shè)備和安全設(shè)備口令策略配置口令策略保證網(wǎng)絡(luò)設(shè)備和安全設(shè)備口令強(qiáng)度和更新頻率。2定量P = 網(wǎng)絡(luò)設(shè)備和安全設(shè)備（指重要

17、設(shè)備）中配置了口令策略的比率。終端計(jì)算機(jī)統(tǒng)一防護(hù)采取集中統(tǒng)一管理方式對(duì)終端進(jìn)行防護(hù)，統(tǒng)一軟件下發(fā)、安裝系統(tǒng)補(bǔ)丁。2定性符合，P = 1；不符合，P = 0。終端計(jì)算機(jī)接入控制采取技術(shù)措施（如部署集中管理系統(tǒng)、將IP地址與MAC地址綁定等）對(duì)接入本單位網(wǎng)絡(luò)的終端計(jì)算機(jī)進(jìn)行控制。1定性符合，P = 1；不符合，P = 0。應(yīng)用系統(tǒng)安全應(yīng)用系統(tǒng)安全漏洞掃描定期對(duì)業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)、網(wǎng)站系統(tǒng)、郵件系統(tǒng)等應(yīng)用系統(tǒng)進(jìn)行安全漏洞掃描。2定性符合，P = 1；不符合，P = 0。門戶網(wǎng)站防篡改措施門戶網(wǎng)站采取網(wǎng)頁(yè)防篡改措施。2定性符合，P = 1；不符合，P = 0。門戶網(wǎng)站抗拒絕服務(wù)攻擊措施門戶網(wǎng)站采取抗拒

18、絕服務(wù)攻擊措施。2定性符合，P = 1；不符合，P = 0。電子郵件賬號(hào)注冊(cè)審批建立郵件賬號(hào)開通審批程序，防止郵件賬號(hào)任意注冊(cè)使用。2定性符合，P = 1；不符合，P = 0。電子郵箱賬戶口令策略配置口令策略保證電子郵箱口令強(qiáng)度和更新頻率。2定性符合，P = 1；不符合，P = 0。郵件清理定期清理工作郵件。1定性符合，P = 1；不符合，P = 0。數(shù)據(jù)安全數(shù)據(jù)存儲(chǔ)保護(hù)采取技術(shù)措施（如加密、分區(qū)存儲(chǔ)等）對(duì)存儲(chǔ)的重要數(shù)據(jù)進(jìn)行保護(hù)。2定性符合，P = 1；不符合，P = 0。數(shù)據(jù)傳輸保護(hù)采取技術(shù)措施對(duì)傳輸?shù)闹匾獢?shù)據(jù)進(jìn)行加密和校驗(yàn)。2定性符合，P = 1；不符合，P = 0。數(shù)據(jù)和系統(tǒng)備份采取技術(shù)

19、措施對(duì)重要數(shù)據(jù)和系統(tǒng)進(jìn)行定期備份。2定性符合，P = 1；不符合，P = 0。數(shù)據(jù)中心、災(zāi)備中心設(shè)立數(shù)據(jù)中心、災(zāi)備中心應(yīng)設(shè)立在境內(nèi)。1定性符合，P = 1；不符合，P = 0。信息安全應(yīng)急管理應(yīng)急預(yù)案制定信息安全事件應(yīng)急預(yù)案（為部門級(jí)預(yù)案，非單個(gè)信息系統(tǒng)的安全應(yīng)急預(yù)案），并使相關(guān)人員熟悉應(yīng)急預(yù)案。2定性符合，P = 1；不符合，P = 0。應(yīng)急演練開展應(yīng)急演練，并留存演練計(jì)劃、方案、記錄、總結(jié)等文檔。2定性符合，P = 1；不符合，P = 0。應(yīng)急資源指定應(yīng)急技術(shù)支援隊(duì)伍，配備必要的備機(jī)、備件等應(yīng)急物資。1定性符合，P = 1；不符合，P = 0。事件處置發(fā)生信息安全事件后，及時(shí)向主管領(lǐng)導(dǎo)報(bào)告

20、，按照預(yù)案開展處置工作；重大事件及時(shí)通報(bào)信息安全主管部門。2定性發(fā)生過(guò)事件并按要求處置，或者未發(fā)生過(guò)安全事件，P = 1；發(fā)生過(guò)事件但未按要求處置，P = 0。信息安全教育培訓(xùn)意識(shí)教育面向全體人員開展信息安全形勢(shì)與警示教育、基本技能培訓(xùn)等活動(dòng)。2定量本年度開展活動(dòng)的次數(shù)3，P = 1；次數(shù)=2，P = 0.7；次數(shù)=1，P = 0.3；次數(shù)=0，P = 0。專業(yè)培訓(xùn)定期開展信息安全管理人員和技術(shù)人員專業(yè)培訓(xùn)。2定量P = 本年度信息安全管理和技術(shù)人員中參加專業(yè)培訓(xùn)的比率。信息安全檢查工作部署下發(fā)檢查工作相關(guān)文件或者組織召開專題會(huì)議，對(duì)年度檢查工作進(jìn)行部署。2定性符合，P = 1；不符合，P =

21、 0。工作機(jī)制明確檢查工作負(fù)責(zé)人，落實(shí)檢查機(jī)構(gòu)和檢查人員。2定性符合，P = 1；不符合，P = 0。檢查經(jīng)費(fèi)安排并落實(shí)檢查工作經(jīng)費(fèi)。2定性符合，P = 1；不符合，P = 0。附件2信息安全檢查結(jié)果統(tǒng)計(jì)表設(shè)區(qū)市/部門/單位名稱： 一、重要信息系統(tǒng)安全檢查情況基本情況重要信息系統(tǒng)總數(shù)： （請(qǐng)另附系統(tǒng)清單）（按服務(wù)對(duì)象進(jìn)行統(tǒng)計(jì)）1. 面向社會(huì)公眾提供服務(wù)的系統(tǒng)數(shù)量： 2. 不面向社會(huì)公眾提供服務(wù)的系統(tǒng)數(shù)量： （按聯(lián)網(wǎng)情況進(jìn)行統(tǒng)計(jì)）1. 通過(guò)互聯(lián)網(wǎng)可直接訪問(wèn)的系統(tǒng)數(shù)量： 2. 通過(guò)互聯(lián)網(wǎng)不能直接訪問(wèn)的系統(tǒng)數(shù)量： 其中，與互聯(lián)網(wǎng)物理隔離的系統(tǒng)數(shù)量： （按數(shù)據(jù)集中情況進(jìn)行統(tǒng)計(jì)）1. 全國(guó)數(shù)據(jù)集中的系統(tǒng)

22、數(shù)量： 2. 省級(jí)數(shù)據(jù)集中的系統(tǒng)數(shù)量： 3. 未進(jìn)行數(shù)據(jù)集中的系統(tǒng)數(shù)量： （按業(yè)務(wù)連續(xù)性進(jìn)行統(tǒng)計(jì)）1. 可容忍中斷時(shí)間小于30分鐘的系統(tǒng)數(shù)量： 2. 可容忍中斷時(shí)間大于30分鐘、小于12小時(shí)的系統(tǒng)數(shù)量： 3. 可容忍中斷時(shí)間大于12小時(shí)的系統(tǒng)數(shù)量： （按災(zāi)備情況進(jìn)行統(tǒng)計(jì)）1. 進(jìn)行系統(tǒng)級(jí)災(zāi)備的系統(tǒng)數(shù)量： 2. 僅對(duì)數(shù)據(jù)進(jìn)行災(zāi)備的系統(tǒng)數(shù)量： 3. 無(wú)災(zāi)備的系統(tǒng)數(shù)量： 系統(tǒng)構(gòu)成情況主要硬件和軟件服務(wù)器路由器交換機(jī)防火墻磁盤陣列磁帶庫(kù)操作系統(tǒng)數(shù)據(jù)庫(kù)國(guó)內(nèi)品牌數(shù)量（臺(tái)/套）國(guó)外品牌數(shù)量（臺(tái)/套）業(yè)務(wù)應(yīng)用軟件系統(tǒng)（統(tǒng)計(jì)3年內(nèi)數(shù)據(jù)）1. 自主設(shè)計(jì)開發(fā)（不含二次開發(fā)）的套數(shù)： 2. 委托國(guó)內(nèi)廠商開發(fā)的套數(shù)：

23、委托國(guó)外廠商開發(fā)的套數(shù)： 3. 直接采購(gòu)國(guó)內(nèi)廠商產(chǎn)品的套數(shù)： 直接采購(gòu)國(guó)外廠商產(chǎn)品的套數(shù)： 二、重要工業(yè)控制系統(tǒng)安全檢查情況基本情況重要工業(yè)控制系統(tǒng)運(yùn)營(yíng)單位總數(shù)： 家重要工業(yè)控制系統(tǒng)總數(shù)： 套系統(tǒng)類型情況國(guó)內(nèi)品牌國(guó)外品牌數(shù)據(jù)采集與監(jiān)控（SCADA）系統(tǒng)套套分布式控制系統(tǒng)（DCS）套套過(guò)程控制系統(tǒng)（PCS）套套可編程控制器（PLC）臺(tái)臺(tái)工業(yè)控制網(wǎng)絡(luò)連接情況1. 直接與互聯(lián)網(wǎng)連接的重要工業(yè)控制系統(tǒng)數(shù)量： 套2. 與內(nèi)部局域網(wǎng)連接的重要工業(yè)控制系統(tǒng)數(shù)量： 套3. 含有無(wú)線接入方式的重要工業(yè)控制系統(tǒng)數(shù)量： 套運(yùn)行維護(hù)情況1. 采用遠(yuǎn)程方式運(yùn)行維護(hù)的重要工業(yè)控制系統(tǒng)數(shù)量： 套2. 由國(guó)內(nèi)廠商提供運(yùn)行維護(hù)

24、服務(wù)的重要工業(yè)控制系統(tǒng)數(shù)量： 套3. 由國(guó)外廠商提供運(yùn)行維護(hù)服務(wù)的重要工業(yè)控制系統(tǒng)數(shù)量： 套信息安全防護(hù)情況1. 網(wǎng)絡(luò)邊界處架設(shè)網(wǎng)絡(luò)安全設(shè)備的重要工業(yè)控制系統(tǒng)數(shù)量： 套2. 安裝防病毒軟件或設(shè)備的重要工業(yè)控制系統(tǒng)數(shù)量： 套3. 定期進(jìn)行安全更新的重要工業(yè)控制系統(tǒng)數(shù)量： 套4. 采取加密措施傳輸、存儲(chǔ)敏感數(shù)據(jù)的重要工業(yè)控制系統(tǒng)數(shù)量： 套三、本年度信息安全事件及技術(shù)檢測(cè)情況信息安全事件 信息安全事件分級(jí)標(biāo)準(zhǔn)參見國(guó)家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案（國(guó)辦函2008168號(hào)）情況特別重大信息安全事件次數(shù)： 重大信息安全事件次數(shù)： 較大信息安全事件次數(shù)： 一般信息安全事件次數(shù)： 地區(qū)/行業(yè)統(tǒng)一組織的技術(shù)檢測(cè)情

25、況惡意代碼 本表所稱惡意代碼，是指病毒木馬等具有避開安全保護(hù)措施、竊取他人信息、損害他人計(jì)算機(jī)及信息系統(tǒng)資源、對(duì)他人計(jì)算機(jī)及信息系統(tǒng)實(shí)施遠(yuǎn)程控制等功能的代碼或程序。檢測(cè)進(jìn)行過(guò)病毒木馬等惡意代碼檢測(cè)的服務(wù)器臺(tái)數(shù)：_其中，存在惡意代碼的服務(wù)器臺(tái)數(shù)：_進(jìn)行過(guò)病毒木馬等惡意代碼檢測(cè)的終端計(jì)算機(jī)臺(tái)數(shù)：_其中，存在惡意代碼的終端計(jì)算機(jī)臺(tái)數(shù)：_安全漏洞檢測(cè)進(jìn)行過(guò)漏洞掃描的服務(wù)器臺(tái)數(shù)：_其中，存在漏洞的服務(wù)器臺(tái)數(shù)：_存在高風(fēng)險(xiǎn)漏洞本表所稱高風(fēng)險(xiǎn)漏洞，是指計(jì)算機(jī)硬件、軟件或信息系統(tǒng)中存在的嚴(yán)重安全缺陷，利用這些缺陷可完全控制或部分控制計(jì)算機(jī)及信息系統(tǒng)，對(duì)計(jì)算機(jī)及信息系統(tǒng)實(shí)施攻擊、破壞、信息竊取等行為。的服務(wù)器臺(tái)

26、數(shù)：_進(jìn)行過(guò)漏洞掃描的終端計(jì)算機(jī)臺(tái)數(shù)：_其中，存在漏洞的終端計(jì)算機(jī)臺(tái)數(shù)：_存在高風(fēng)險(xiǎn)漏洞的終端計(jì)算機(jī)臺(tái)數(shù)：_附件3市直單位信息安全自查情況登記表一、部門（單位）基本情況部門（單位）名稱分管信息安全工作的領(lǐng)導(dǎo)姓名：_職務(wù)：_信息安全管理（或工作）機(jī)構(gòu)（如辦公室）名稱：_負(fù)責(zé)人：_ 職務(wù)：_聯(lián)系人：_ 電話：_二、信息系統(tǒng)基本情況信息系統(tǒng)情況信息系統(tǒng)總數(shù)：_個(gè)提供公共服務(wù)、開展社會(huì)管理和市場(chǎng)監(jiān)管的系統(tǒng)數(shù)量：_個(gè)其中，重要系統(tǒng)數(shù)量：_個(gè)本年度經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估（含安全測(cè)評(píng)、等級(jí)測(cè)評(píng)）的系統(tǒng)數(shù)量：_個(gè)系統(tǒng)定級(jí)情況第一級(jí)：_個(gè) 第二級(jí)：_個(gè) 第三級(jí)：_個(gè)第四級(jí)：_個(gè) 第五級(jí)：_個(gè) 未定級(jí)：_個(gè)三、日常信息安全

27、管理情況人員管理重點(diǎn)崗位人員安全保密協(xié)議：全部簽訂 部分簽訂 均未簽訂人員離崗離職安全管理規(guī)定：已制定 未制定外部人員訪問(wèn)機(jī)房等重要區(qū)域?qū)徟贫龋阂呀?未建立資產(chǎn)管理資產(chǎn)管理制度：已建立 未建立設(shè)備維修維護(hù)和報(bào)廢管理： 已建立管理制度，且維修維護(hù)和報(bào)廢記錄完整 已建立管理制度，但維修維護(hù)和報(bào)廢記錄不完整 未建立管理制度四、信息安全防護(hù)情況網(wǎng)絡(luò)邊界安全防護(hù)互聯(lián)網(wǎng)接入口總數(shù)：_個(gè) 其中：聯(lián)通 接入口數(shù)量：_個(gè) 電信 接入口數(shù)量：_個(gè) 其他： _ 接入口數(shù)量：_個(gè)網(wǎng)絡(luò)安全防護(hù)設(shè)備部署（可多選）： 防火墻 入侵檢測(cè)設(shè)備 安全審計(jì)設(shè)備 防病毒網(wǎng)關(guān) 抗拒絕服務(wù)攻擊設(shè)備 其它：_網(wǎng)絡(luò)訪問(wèn)日志：留存日志 未

28、留存日志安全防護(hù)設(shè)備策略：使用默認(rèn)配置 根據(jù)應(yīng)用自主配置無(wú)線局域網(wǎng)安全防護(hù)辦公區(qū)域無(wú)線局域網(wǎng)接入設(shè)備（無(wú)線路由器）數(shù)量： 個(gè)網(wǎng)絡(luò)用途：訪問(wèn)互聯(lián)網(wǎng)： 個(gè) 訪問(wèn)業(yè)務(wù)/辦公網(wǎng)絡(luò)： 個(gè)安全防護(hù)策略（可多選）：采取身份鑒別措施： 個(gè) 采取地址過(guò)濾措施： 個(gè)未設(shè)置： 個(gè)門戶網(wǎng)站安全防護(hù)網(wǎng)頁(yè)防篡改措施：采用 未采用漏洞掃描：定期掃描，周期 不定期 未進(jìn)行信息發(fā)布管理：已建立審核制度，且審核記錄完整 已建立審核制度，但審核記錄不完整 未建立審核制度電子郵件安全防護(hù)郵箱注冊(cè)：注冊(cè)郵箱賬號(hào)須經(jīng)審批 任意注冊(cè)使用賬戶口令防護(hù)：使用技術(shù)措施控制和管理口令強(qiáng)度 無(wú)口令強(qiáng)度限制技術(shù)措施終端計(jì)算機(jī)安全防護(hù)安全管理方式： 集

29、中統(tǒng)一管理（可多選）規(guī)范軟硬件安裝 統(tǒng)一補(bǔ)丁升級(jí) 統(tǒng)一病毒防護(hù)統(tǒng)一安全審計(jì) 對(duì)移動(dòng)存儲(chǔ)介質(zhì)接入實(shí)施控制 分散管理接入互聯(lián)網(wǎng)安全控制措施： 有控制措施（如實(shí)名接入、綁定計(jì)算機(jī)IP和MAC地址等） 無(wú)控制措施移動(dòng)存儲(chǔ)介質(zhì)安全防護(hù)安全管理方式： 集中管理，統(tǒng)一登記、配發(fā)、收回、維修、報(bào)廢、銷毀 未采取集中管理方式電子信息保護(hù)：已配備信息消除和銷毀設(shè)備 未配備信息消除和銷毀設(shè)備五、信息安全應(yīng)急工作情況信息安全應(yīng)急預(yù)案已制定 本年度修訂情況：修訂 未修訂未制定信息安全應(yīng)急演練本年度演練時(shí)間 本年度未開展信息安全災(zāi)難備份重要數(shù)據(jù)：已備份，備份周期：實(shí)時(shí)，日，周，月，不定期未備份重要信息系統(tǒng)：已備份，備份周

30、期：實(shí)時(shí)，日，周，月，不定期未備份應(yīng)急技術(shù)支援隊(duì)伍部門所屬單位 外部專業(yè)機(jī)構(gòu) 無(wú)六、信息安全教育培訓(xùn)情況培訓(xùn)次數(shù)本年度開展信息安全教育培訓(xùn)的次數(shù)：_次培訓(xùn)人數(shù)本年度接受信息安全教育培訓(xùn)的人數(shù)：_人 占本部門總?cè)藬?shù)的比例：_專業(yè)培訓(xùn)本年度信息安全管理和技術(shù)人員參加專業(yè)培訓(xùn)：_人次七、信息技術(shù)產(chǎn)品應(yīng)用情況服務(wù)器總臺(tái)數(shù)：_，其中國(guó)產(chǎn)本表所稱國(guó)產(chǎn)，是指具有國(guó)內(nèi)品牌，最終產(chǎn)品在中國(guó)境內(nèi)生產(chǎn)，并符合法律法規(guī)和政策規(guī)定的其他條件。臺(tái)數(shù)：_終端計(jì)算機(jī)（含筆記本）總臺(tái)數(shù)：_，其中國(guó)產(chǎn)臺(tái)數(shù)：_網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)等）總臺(tái)數(shù)：_，其中國(guó)產(chǎn)臺(tái)數(shù)：_操作系統(tǒng)服務(wù)器操作系統(tǒng)情況：使用國(guó)產(chǎn)操作系統(tǒng)（如紅旗Linux、麒麟等）的服務(wù)器臺(tái)數(shù)：_使用國(guó)外操作系統(tǒng)（如Windows、HP-UNIX、Solaris、AIX等）的服務(wù)器臺(tái)數(shù)：_終端計(jì)算機(jī)操作系統(tǒng)情況：使用國(guó)產(chǎn)操作系統(tǒng)的計(jì)算機(jī)臺(tái)數(shù)：_使用Windows操作系統(tǒng)的計(jì)算機(jī)臺(tái)數(shù)：_使用其他操作系統(tǒng)的計(jì)算機(jī)臺(tái)數(shù)：_數(shù)據(jù)庫(kù)總套數(shù)：_，其中國(guó)產(chǎn)套數(shù)：_公文處理軟件（終端計(jì)算機(jī)安裝）安裝國(guó)產(chǎn)公文處理軟件的終端計(jì)算機(jī)臺(tái)數(shù)：_安裝國(guó)外公文處理軟件的終端計(jì)算機(jī)臺(tái)數(shù)：_信息安全產(chǎn)品防火墻等訪問(wèn)控制設(shè)備（不含終端軟件防火墻