2011年信息安检查总体情况报告模板.docVIP

宜宾市人力资源和社会保障局 2011年信息安全检查总体情况报告 （一）信息安全状况总体评价 （二）信息安全主要工作情况 （三）检查发现的主要问题及整改情况 （四）对信息安全工作的意见和建议 信息安全检查表 （一）基本情况 1.单位情况 单位名称 分管信息安全工作的领导 职 务 信息安全管理部门 负责人 职 务 电话 信息安全检查责任人 职 务 所在部门 电话 2.信息系统基本情况 序号 信息系统名称 等级保护级别 是否委托第三方进行日常运维服务及内容 是否进行年度测评 是否进行检查 1 2 3 4 5 6 （二）安全检查情况 检查项目 检查内容 检查结果 具体说明 1.日常安全管理 安全管理制度和策略 已建立日常安全管理活动中常用的制度和管理策略等。 已设立管理信息安全工作的部门，定义部门职责，设立安全管理员和安全审计员岗位，并定义了职责。 已制定机房安全管理制度，对有关机房物理访问，物品带进、带出机房和机房环境安全等方面的管理作出规定。 已制定保密协议签订制度，规定重要岗位人员、外部人员和第三方服务单位签订安全责任书或保密协议等。 已制定系统安全管理制度，对系统安全策略、安全配置、日志管理和日常操作流程、日志分析等方面作出规定。 已建立备份与恢复管理制度和数据备份策略，对数据备份方式、备份频度、存储介质、保存期和数据恢复，以及备份设备的维护和检测进行规范。 已制定介质安全管理制度，对介质的存放环境、使用、维护和报废等作出规定。 已制定网站信息发布管理审核制度 已制定重要岗位信息安全和保密责任制度。 已制定人员离岗离职时信息安全管理规定。 其它管理制度补充如下： 1. 2. 3. 4. 5. 6. 人员管理 是否配备一定数量的网络、系统和数据库管理员，以及安全管理员和安全审计员等，其中安全管理人员是否实现岗位分离？ 人员离岗时是否在规定时间内终止终止其所有访问权限？ 是否有外部人员访问机房等物理受控区域的审批和记录，由专人全程陪同或监督？ 外部人员访问信息系统是否使用专门设置的临时用户，并开启审计功能？ 是否建立并维护系统账号的重要访问权限列表，并由专人负责访问权限的分配和收回？ 是否应定期检查信息系统访问权限设置情况，清理无用帐号？ 是否对信息系统建设、运行和维护工作的相关人员进行信息安全意识教育和岗位技能培训，并有相关的情况记录？ 资产管理 是否建立了关键业务系统运行相关的服务器、网络设备、安全设备等资产的台帐，有维修和报废销毁记录？ 是否对机房中关键业务系统相关资产进行特殊标识标记？ 物理环境管理 是否配备有双路冗余配电系统？ 是否配备机房恒温恒湿精密空调系统？ 是否配备机房门禁控制系统和视频监控系统？ 是否配备机房环境监控系统，提供温湿度、空调、UPS电源、防水和消防等环境设备设施的故障报警等？ 是否有货物进出机房等物理受控区域的记录？ 是否定期进行机房防雷和接地检测？ 是否定期进行机房UPS电池寿命检测和更新养护？ 是否定期进行机房空调系统的检测和维护？ 是否定期对消防设施进行检测和维护？ 是否有对机房环境系统进行每日巡检值班的记录？ 保密协议签订 重要岗位人员信息安全和保密协议签订情况 涉及关键系统和核心信息的第三方服务单位和人员保密协议签订情况。 系统运维管理 是否具有信息系统配置变更审批和执行记录？ 是否定期进行日志和审计信息的分析？ 2.信息安全防护管理 网络边界防护 是否为重要信息系统的核心交换机和关键网络链路等配置冗余结构？ 是否在不同安全域之间，不同安全等级系统所在网段之间，重要网段和一般网段之间采用技术隔离或访问控制措施？ 是否在网络边界部署防火墙等访问控制设备，控制粒度为最小化IP地址段及端口级？ 关键业务系统所在网络与互联网是否采用网络安全隔离措施（至少网闸或物理隔离）？ 是否进行严格的访问控制策略配置，关闭没有必要的服务协议和端口？ 是否禁用对小型机、磁盘阵列等进行远程调试的通信线路连接？ 是否禁止或限制通过互联网对防火墙、网络设备、服务器等进行远程管理和维护？ 信息系统安全防护 是否安装实时升级、在线扫描的木马和病毒