公司信息安全检.doc

附件： 信息安全检查内容及检查项目表 一、检查内容 1、规章制度：信息安全管理规章制度是否健全，有关规章制度的制定、发布、修订及执行情况；国家有关信息安全政策、法规以及信息安全责任的落实情况；电力二次系统安全管理制度的制定和责任制的落实情况。 2、组织机构：信息安全组织机构是否健全，信息安全职责是否明确；安全管理机构岗位设置、人员配备情况；电力二次系统安全防护组织机构的建立情况。 3、信息安全资金保障：信息安全运行维护经费落实情况，信息化项目中信息安全建设专项资金落实情况。 4、人员管理：人员的安全保密意识教育、安全技能培训情况，重点、敏感岗位人员有无内控管理措施；外来人员管理情况。 5、信息安全策略及总体防护体系：本单位信息安全总体防护策略制定情况；“安全分区、网络专用、横向隔离、纵向认证”方针的贯彻落实情况；电力二次系统安全防护体系的建设情况。 6、分区防御：生产控制大区和管理信息大区内部相应分区情况；各类系统和设备分区部署情况；生产控制大区与管理信息大区网络边界横向隔离防护情况；纵向加密认证装置部署情况；生产控制大区跨单位(部门)数据采集和信息交换情况；禁止跨越生产控制大区和管理信息大区进行网络直联的落实情况。 7、网络安全：安全域划分、边界防护、内网保护、外部设备接入控制、内外网隔离等情况；各类网络接口、互联网出口的安全监测措施；网络病毒、木马防护措施。 8、设备和操作系统安全：网络设备、安全设备、服务器和桌面终端的安全防护措施，操作系统的安全配置情况。 9、应用系统安全：数据库的安全配置和管理情况；日常办公和业务应用系统的安全设计、配置和管理情况；对外网站的防攻击、防篡改技术防护措施；关键应用系统开发过程中的质量控制情况；关键应用系统安全测试情况；关键应用系统上线运行后的安全配置管理情况。 lO、运维管理：设备、系统的维护记录情况，变更管理情况；运行环境与开发环境的分离情况；安全漏洞检测、补丁升级、安全审计、账户口令、数字证书及密码的管理情况。 11、数据安全：数据访问控制措施；服务器、用户终端、数据库中关键数据是否有加密保护措施；磁盘、光盘、u盘和移动硬盘等移动存储介质管理情况；数据备份与恢复及备份介质管理情况。 12、物理环境安全：生产调度区、计算机机房等重点区域的门禁、防盗门窗、监视器等安全管控设施的配置及人员出入管控情况；防灾、供电和通信系统的安全保障措施。 13、关键信息资产管控：信息系统建设及基础资料归档管理情况；关键信息设备、软件系统采购时的安全性测评情况；电力系统核心数据的使用范围；电力系统核心数据的授权访问策略和安全防护情况。 14、服务外包管控：服务外包协议中信息安全管控条款内容；服务期内的外包服务协议信息安全管控条款的执行情况；服务期满后的外包服务协议信息安全管控条款的执行情况；对服务机构和人员的管理情况；对服务机构携带设备的管控措施；对外包服务活动的行为审计情况；对外包服务采取远程在线方式的在线监控、访问权限限定等管控措施的落实情况。 15、应急响应与灾难恢复：应急组织建设情况；应急预案制定情况；应急物资准备情况；应急演练情况；系统灾难备份情况；电力二次系统安全联合防护和应急机制的建立情况；电力二次系统安全应急预案的制定和演练情况；信息安全信息通报机制的建设情况。 二、检查项目表 1、检查基本信息 受检单位 基本信息 单位名称 杭锦旗供电有限责任公司 上级单位名称 鄂尔多斯电业局 本单位信息安全 第一责任人 王治林 信息安全责任部门 信息中心 检查方式 本单位自查 √ 上级单位督查 口 电监会抽查 口 检查时间 2011.5.9 检查范围 公司机关 检查组基本信息 检查组织单位 检查组组长 检查组成员 2、检查内容及记录 2.1、信息安全规章制度 序号 检查项 检查结果 备注 1 信息安全管理规章 制度是否健全 已建立相关制度 2 有关规章制度的制 定、发布、修订及执 行情况 按规章制度严格执行 需说明信息安 全规章制度的 制定、发布、修 订及执行的主 体及相关程序。 3 国家有关信息安全 政策、法规的落实情 况 组织学习并按要求执行 4 信息安全责任的落 实情况 成立领导小组责任落实到部门 说明信息安全 负责人、责任机 构、责任人及其 信息安全职责。 5 电力二次系统安全 管理制度的制定情 况 6 电力二次系统安全 责任制的落实情况 需要 说明 的情 况 结果 受检方签字 检查方签字 确认 日 期 日 期 2.2、信息安全组织机构 序号 检查项 检查结果 备注 l 信息安全组织机构 是否健全 成立领导小组 本单位及所有 下属单位是否 都有明确的信 息安全责任机 构。