第一篇:郵儲銀行信息安全等級保護專項檢查自查報告
郵儲銀行信息安全等級保護專項檢查自查報告
為了認真貫徹落實齊信安《##市信息安全等級保護工作領導小組關于“十八大”安保開展信息安全等級保護檢查工作的通知》文件精神,為進一步做好我行信息安全工作,保障黨的“十八大”勝利召開,提高我行基礎信息網絡和重要信息系統安全保障能力,按照縣網監大隊要求,我行于##年6月1日至7月31日,開展自查工作,現將開展情況匯報如下:
(一)積極組織部署信息等級保護工作 1.專門成立等級保護協調領導機構
成立了由分管領導、分管部門、網絡管理組成的信息安全等級保護協調領導小組,確保信息安全責任的落實、理順信息安全管理、規范信息化安全等級建設。
2.明確等級保護責任部門和工作崗位
我行高度重視等級保護工作,多次開會明確等級保護責任部門,做到分工明確,責任具體到人。
3.貫徹落實等級保護各項工作文件或方案
等級保護責任部門和工作人員認真貫徹落實公安部、省公安廳等級保護各項工作文件或方案,根據《信息安全等級保護管理辦法》《中國銀監會辦公廳關于加強信息安全保障工作的通知》
制定出我行《信息化安全運行考核管理辦法》。
4.召開工作動員會議,組織人員培訓,專門部署等級保護工作
我行積極組人人員參加縣網監大隊組織的培工作動員會議,定期、不定期對技術人員進行培訓,并開展考核。技術人員認真學習貫徹有關文件精神,把信息安全等級保護工作提升到重要位置,常抓不懈。
5.有關主要領導認真聽取等級保護工作匯報并做出重要指示
縣行行長聽取等級保護工作匯報,對等級保護工作給與批示,要求認真做好有關工作。指示責任部門做好自檢、自查,精心準備,迎接公安廳專項檢查。
(二)認真落實信息安全責任制 1.高規格建設信息安全協調領導機構
在等級保護協調領導小組中,某副行長親自擔任協調領導小組組長,各部門負責人為成員組成信息安全協調領導小組。
2.成立信息安全職能部門
我行在成立信息安全協調領導小組的基礎上,成立信息安全辦公室,設立在綜合管理部,作為信息安全職能部門,負責環境網絡建設,信息安全,日常運行管理。
3.制定信息安全責任追究制度
我行嚴格執行省、市行信息安全責任追究制度,嚴格按照信息安全責任追究制度,定崗到人,明確責任分工,把信息安全責任事故降低到最低。
(三)積極推進信息安全制度建設 1.加強人員安全管理制度建設
我行建立了人員錄用、離崗、考核、安全保密、教育培訓、外來人員管理等安全管理制度,對新進人員進行培訓,加強人員安全管理,不定期開展考核。
2.嚴格執行機房安全管理制度
我行制定出《機房管理制度》,加強機房進出人員管理和日常監控制度,嚴格實施機房安全管理條例,做好防火防盜,保證機房安全。
(四)大力加強信息系統運維 1.開展日常信息安全監測和預警
我行建立日常信息安全監測和預警機制,提高處置網絡與信息安全突發公共能力事件,加強網絡信息安全保障工作,形成科學、有效、反應迅速的應急工作機制,確保重要計算機信息系統的實體安全、運行安全和數據安全,最大限度地減輕網站網絡與信息安全突發公共事件的危害。
2.建立安全事件報告和響應處理程序
我行建立健全分級負責的應急管理體制,完善日常安全管理責任制。相關部門各司其職,做好日常管理和應急處置工作。設立安全事件報告和相應處理程序,根據安全事件分類和分級,進行不同的上報程序,開展不同的響應處理。
3.制定應急處置預案,定期演練并不斷完善
我行按照省、市行應急處置預案要求,制定了我行安全應急預案,根據預警信息,啟動相應應急程序,加強值班值守工作,做好應急處理各項準備工作。定期演練預警方案,不斷完善預警
方案可行性、可操作性。
中國郵政儲蓄銀行某縣支行
第二篇:信息安全等級保護專項檢查自查報告
河南省環境保護廳環境自動監控系統信息安全等級保護專項檢查自查報告
為了認真貫徹落實省公安廳《關于組織開展全省2011信息安全等級保護專項檢查工作的通知》文件精神,為進一步做好我省環境自動監控系統信息安全工作,提高環境自動監控系統安全保證能力和水平,切實加強省環境監控系統網絡信息安全,為中原經濟區建設創造良好的社會和網絡環境。
環保部和省委、省政府領導高度重視環境自動監控系統建設和應用工作。陳新貴副廳長和易旭生副巡視員對省環境信息自動監控系統信息安全等級保護專項檢查工作做出重要批示,要求認真準備,做好檢查工作。
按照省環境監控中心(以下簡稱“監控中心”)各位領導嚴格要求,安排專門科室和人員,制定了一系列信息安全管理制度,加強日常信息安全監測和預警,促進了中心信息安全建設和管理,營造出健康、和諧的網絡環境。近期,我中心進行了信息安全自查,現將中心信息安全自查工作情況報告如下:
一、信息安全工作的基本情況
(一)積極組織部署等級保護工作
1、專門成立等級保護協調領導機構
成立了由分管領導、分管部門、網絡管理組成的信息安全等級保護協調領導小組,確保環境自動監控系統高效運行、理順信息安全管理、規范信息化安全等級建設。
2、明確等級保護責任部門和工作崗位
監控中心非常注重環境自動監控系統建設,多次開會明確等級保護責任部門,做到分工明確,責任具體到人。
3、貫徹落實等級保護各項工作文件或方案
等級保護責任部門和工作人員認真貫徹落實公安部、省公安廳等級保護各項工作文件或方案,根據環境自動監控工作的特點,制定出《河南省環境保護廳網絡與信息安全事件應急預案》、《河南省環境自動監控系統機房管理制度》等一系列規章制度,落實等級保護工作。
4、召開工作動員會議,組織人員培訓,專門部署等級保護工作
監控中心每季度召開一次工作動員會議,定期、不定期對技術人員進行培訓,并開展考核。技術人員認真學習貫徹有關文件精神,把信息安全等級保護工作提升到重要位置,常抓不懈。
5、有關主要領導認真聽取等級保護工作匯報并做出重要指示
省環保廳陳新貴副廳長、易旭生副巡視員分別對等級保護工作給與批示,要求認真做好有關工作。監控中心陶冶主任、丁衛東副主任、郭新望總工程師分別聽取等級保護工作匯報,指示責任部門做好自檢、自查,精心準備,迎接公安廳專項檢查。
(二)認真落實信息安全責任制
1、高規格建設信息安全協調領導機構
在監控中心等級保護協調領導小組中,陶冶主任親自擔任協調領導小組組長,主管領導郭新望總工程師擔任協調領導小組常務副組長,信息管理室汪太鵬主任兼任領導小組辦公室主任。
2、成立信息安全職能部門
監控中心成立了信息管理室作為信息安全職能部門,負責環境網絡建設,信息安全,日常運行管理。
3、制定信息安全責任追究制度
監控中心制定出相應信息安全責任追究制度,定崗到人,明確責任分工,把信息安全責任事故降低到最低。
(三)積極推進信息安全制度建設
1、加強人員安全管理制度建設
監控中心建立了人員錄用、離崗、考核、安全保密、教育培訓、外來人員管理等安全管理制度,對新進人員進行培訓,加強人員安全管理,不定期開展考核。
2、嚴格執行機房安全管理制度 監控中心制定出《機房管理制度》,加強機房進出人員管理和日常監控制度,嚴格實施機房安全管理條例,做好防火防盜,保證機房安全。
3、建立系統建設管理制度
監控中心制訂了產品采購、工程實施、驗收交付、服務外包等系統建設管理制度,通過公開招標,擇優選用,大大提高了系統建設的質量。
(四)大力加強信息系統運維
1、開展日常信息安全監測和預警
監控中心建立日常信息安全監測和預警機制,提高處置網絡與信息安全突發公共能力事件,加強網絡信息安全保障工作,形成科學、有效、反應迅速的應急工作機制,確保重要計算機信息系統的實體安全、運行安全和數據安全,最大限度地減輕網站網絡與信息安全突發公共事件的危害。
2、建立安全事件報告和響應處理程序
監控中心建立健全分級負責的應急管理體制,完善日常安全管理責任制。相關部門各司其職,做好日常管理和應急處置工作。設立安全事件報告和相應處理程序,根據安全事件分類和分級,進行不同的上報程序,開展不同的響應處理。
3、制定應急處置預案,定期演練并不斷完善 監控中心制定了安全應急預案,根據預警信息,啟動相應應急程序,加強值班值守工作,做好應急處理各項準備工作。定期演練預警方案,不斷完善預警方案可行性、可操作性。
二、扎實開展信息系統定級備案
(一)信息系統定級工作概況
監控中心積極有效開展信息系統定級工作,認真編制安全等級保護定級報告。省環境自動監控系統是通過前端自動監控設施自動采樣、分析、獲取各污染源、環境質量點位的監測數據,通過VPN網絡上傳至省、市監控中心,監控中心管理人員對數據進行審核后應用于環境管理工作。
該系統主要服務于省、市環保部門環境管理,同時對審核后數據通過網站向公眾發布。
系統服務受到破壞時侵害的客體是公眾利益,即社會公眾的環境知情權。
系統服務受到破壞后,對侵害客體的侵害是一般損害。
(二)信息系統備案工作情況
監控中心按期規范開展信息系統備案工作。根據《信息安全等級保護管理辦法》,填寫信息系統安全等級保護備案表。
對單位基本情況、信息系統情況、信息系統定級情況等信息做出明確備案。
三、有效推進信息系統等級測評和安全建設整改工作部署和經費保障
(一)制定等級測評工作計劃
認真制定等級測評工作計劃表,按照工作計劃表,有條不紊的開展等級測評。
(二)制定安全建設整改工作計劃
制定安全建設整改工作計劃,根據自查結果,對發現問題進行安全建設整改。編制整改方案,限期完成整改計劃。
(三)保證等級測評工作經費
中心優先保證等級測評工作經費的劃撥、使用。
(四)落實安全建設整改工作經費保障
中心積極落實安全建設整改工作經費,協調財政部門保障整改經費保障。
(五)選擇等級測評機構
四、不斷完善等級保護自查和整改
(一)組織部署等級保護自查工作
領導協調小組開專題會議,部署等級保護自查工作。按照信息安全等級保護工作檢查表的要求,細化各項檢查指標,落實各項指標。
(二)按期整改存在的問題
五、認真做好三級信息系統等級測評和安全建設整改工作
(一)等級評測工作開展情況
(二)安全建設整改工作開展情況
第三篇:xx信息等級安全保護自查報告
xx區地稅局信息系統安全自查報告
根據xx市地稅局對我局網絡與終端物理隔離和安全使用檢查情況反饋意見,參照《xx省地稅局2010年稅務信息系統安全檢查方案》,從“安全管理檢查”、“安全技術檢查”、“終端和移動存儲介質檢查和加固”等三大方面對xx區地稅局信息安全系統進行了認真地自查與整改,現將自查情況報告如下:
一、領導高度重視,組織、部門健全
xx區地稅局領導班子高度重視信息系統安全工作,本著“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則,成立了xx區地稅局信息系統安全領導小組,區局一把手擔任領導小組組長,分管領導為副組長,下屬各單位負責人為成員。
各基層分局設立計算機管理員崗位,分別 有責任心、取得全國計算機等級二級以上(含二級)證書、熟悉業務操作的人員擔任,負責本單位計算機軟、硬件及網絡安全管理。對本單位計算機出現的軟、硬件問題及時上報區局信息中心。區局結合本部門的信息系統安全管理需求,不定期地對計算機管理員開展相關業務培訓。
二、結合安徽地稅系統安全自查方案,認真開展自查工作
(一)安全管理方面:區局制定了《xx區地稅局公文處理應急預案》、《xx區地稅局內部網站應急預案》、《xx區地稅局網絡故障應急預案》、《xx區地稅局計算機機房運行維護管理辦法》,并著重落實上級部門下發的信息安全政策、法規和規章制度。
確定信息中心一名工作人員擔任信息系統安全管理員,具體處理信息系統安全的相關工作。區局中心機房于2008年建成,面積約90平方米,安裝了接地保護裝置,配備了手持式滅火器,配有兩臺柜式空調,并確保空調24小時正常運轉。加強中心機房的供電管理,配備一臺專用的10KV UPS電源專供中心機房設備使用,配備一臺專用的6KV UPS電源專供征收大廳設備使用,并定期對UPS電池性能進行相應測試。
xx區地稅局辦公網絡已于2009年元月實行內、外網物理隔離,內外網均通過2套線路和隔離卡實現內外網切換。內網分為應用服務區與辦公區,通過一臺硬件防火墻進行對外與對外的訪問控制,所有內網服務器與終端均安裝網絡版病毒防火墻。外網通過硬件防火墻、上網行為管理工和防病毒網關實行訪問控制。局機關所有計算機安裝隔離卡進行內外網物理隔離,基層分局只在分局負責人計算機上安裝隔離卡實行內外網物理隔離,其他計算機只允許上內網。
征管數據市局集中后,區局目前的重要數據庫有區局內網數據庫、公文處理數據庫、車輛稅及觸摸查詢系統數據庫,定期對上述數據庫進行備份,并將備份數據復制到文件服務器上。
(二)安全技術方面:區局的網絡通過租用聯通的專線,實現市局、區局及分局三級網絡互聯,各基層分局通過路由交換和以太網兩種方式按入區局,區局機關按股室按分VLAN。
區局中心機房內網設備目前有1臺華為2631路由器、1臺華為3680路由器和2臺華為3552交換機為核心層,3臺華為3026交換機作為接入層。除華為3552交換機有熱備份,其他網絡設備沒有冷、熱備份,通過1臺東軟硬件防火墻進一步加強網絡安全管理。
區局中心機房外網設備目前有5臺華為3928交換機,1臺防病毒網關,1臺上網行為管理,1臺防火墻,另外租用網通地址,各基層分局以以太網方式接入互聯網。
xx區地稅局共有服務器6臺,5臺服務器的操作系統為Windows 2000 Server SP4,1臺服務器的操作系統為Windows 2003 Server,所有服務器根據賬號策略設置用戶密碼,強化安全管理。xx區地稅局所有內外網中的路由器和交換機均按照省局網絡運行管理規范進行命名管理,并對其用戶口令進行加密。內外網中的防火墻均設置訪問控制策略,提高系統的網絡安全系數。
(三)工作用臺式機、筆計本電腦和移動存儲介質檢查和加固: 及時更新臺式機和筆計本電腦的操作系統和應用程序補丁,禁用GUEST用戶組,統一安裝網絡版瑞星防病毒軟件,并通過設置自動升級和定時對計算機進行掃描,對外接的USB設備,必須進行病毒掃描。
三、存在的主要問題
通過本次自查發現,我局信息系統存在不少安全隱患問題,主要有以下幾方面:
(一)安全保護意識有待增強,各種安全保護措施有待加強,部分管理人員的安全保護意識薄弱。
(二)數據的存儲及備份機制還不夠完善,存在信息丟失的隱患,存在移動存儲介質內外網混用,個別筆記本電腦存在內外網混用。
(三)因區局搬遷新辦公樓后,對區局的內網進行了重新規劃,路由策略進行了了修改,核心網絡設備失效的路由策略未即時清理。
(四)重技術建設、輕安全保護。進行計算機信息系統建設規劃時,主要考慮了業務需求和系統技術性能要求,沒有很好地將系統的安全保護措施一并考慮,造成安全保護工作相對滯后。
四、加強安全保護工作的意見和建議
根據信息安全自查的情況,結合區局實際情況,現就加強區局信息系統安全工作,提出以下意見和建議:
(一)加強領導,提高對信息系統安全重要性和緊迫性的認識。組織相關人員認真學習與信息系統安全有關的管理規定,不斷增強信息系統安全保護意識,做到認識到位、措施到位、管理到位。
(二)認真落實技術防范措施,著重落實以下等安全保護技術措施:
1、系統重要數據的冗余或備份措施;
2、計算機病毒防治措施;
3、網絡攻擊防范、追蹤措施;
4、研究有關內網補丁升級的措施。
(三)嚴格防范內外網移動存儲混用,加強對移動存儲的分類管理,嚴禁在外網機器處理或保存涉稅文件,嚴格執行內、外網物理隔離制度。
(四)停用內外到外網出口,瑞星防病毒托管服務器升級下掛到市局。
(五)加強網絡和安全設備管理,調整網絡和安全設備配置,嚴格網絡訪問控制策略,保護網絡安全。
(六)加強中心機房的管理工作,提高機房運行環境,保障設備安全。
第四篇:信息安全等級保護
信息安全等級保護(二級)信息安全等級保護(二級)備注:其中黑色字體為信息安全等級保護第二級系統要求,藍色字體為第三級系統等保要求。
一、物理安全
1、應具有機房和辦公場地的設計/驗收文檔(機房場地的選址說明、地線連接要求的描述、建筑材料具有相應的耐火等級說明、接地防靜電措施)
2、應具有有來訪人員進入機房的申請、審批記錄;來訪人員進入機房的登記記錄
3、應配置電子門禁系統(三級明確要求);電子門禁系統有驗收文檔或產品安全認證資質,電子門禁系統運行和維護記錄
4、主要設備或設備的主要部件上應設置明顯的不易除去的標記
5、介質有分類標識;介質分類存放在介質庫或檔案室內,磁介質、紙介質等分類存放
6、應具有攝像、傳感等監控報警系統;機房防盜報警設施的安全資質材料、安裝測試和驗收報告;機房防盜報警系統的運行記錄、定期檢查和維護記錄;
7、應具有機房監控報警設施的安全資質材料、安裝測試和驗收報告;機房監控報警系統的運行記錄、定期檢查和維護記錄
8、應具有機房建筑的避雷裝置;通過驗收或國家有關部門的技術檢測;
9、應在電源和信號線上增加有資質的防雷保安器;具有防雷檢測資質的檢測部門對防雷裝置的檢測報告
10、應具有自動檢測火情、自動報警、自動滅火的自動消防系統;自動消防系統的運行記錄、檢查和定期維護記錄;消防產品有效期合格;自動消防系統是經消防檢測部門檢測合格的產品
11、應具有除濕裝置;空調機和加濕器;溫濕度定期檢查和維護記錄
12、應具有水敏感的檢測儀表或元件;對機房進行防水檢測和報警;防水檢測裝置的運行記錄、定期檢查和維護記錄
13、應具有溫濕度自動調節設施;溫濕度自動調節設施的運行記錄、定期檢查和維護記錄
14、應具有短期備用電力供應設備(如UPS);短期備用電力供應設備的運行記錄、定期檢查和維護記錄
15、應具有冗余或并行的電力電纜線路(如雙路供電方式)
16、應具有備用供電系統(如備用發電機);備用供電系統運行記錄、定期檢查和維護記錄
二、安全管理制度
1、應具有對重要管理操作的操作規程,如系統維護手冊和用戶操作規程
2、應具有安全管理制度的制定程序:
3、應具有專門的部門或人員負責安全管理制度的制定(發布制度具有統一的格式,并進行版本控制)
4、應對制定的安全管理制度進行論證和審定,論證和審定方式如何(如召開評審會、函審、內部審核等),應具有管理制度評審記錄
5、應具有安全管理制度的收發登記記錄,收發應通過正式、有效的方式(如正式發文、領導簽署和單位蓋章等)----安全管理制度應注明發布范圍,并對收發文進行登記。
6、信息安全領導小組定期對安全管理制度體系的合理性和適用性進行審定,審定周期多長。(安全管理制度體系的評審記錄)
7、系統發生重大安全事故、出現新的安全漏洞以及技術基礎結構和組織結構等發生變更時應對安全管理制度進行檢查,對需要改進的制度進行修訂。(應具有安全管理制度修訂記錄)
三、安全管理機構
1、應設立信息安全管理工作的職能部門
2、應設立安全主管、安全管理各個方面的負責人
3、應設立機房管理員、系統管理員、網絡管理員、安全管理員等重要崗位(分工明確,各司其職),數量情況(管理人員名單、崗位與人員對應關系表)
4、安全管理員應是專職人員
5、關鍵事物需要配備2人或2人以上共同管理,人員具體配備情況如何。
6、應設立指導和管理信息安全工作的委員會或領導小組(最高領導是否由單位主管領導委任或授權的人員擔任)
7、應對重要信息系統活動進行審批(如系統變更、重要操作、物理訪問和系統接入、重要管理制度的制定和發布、人員的配備和培訓、產品的采購、外部人員的訪問等),審批部門是何部門,審批人是何人。審批程序:
8、應與其它部門之間及內部各部門管理人員定期進行溝通(信息安全領導小組或者安全管理委員會應定期召開會議)
9、應組織內部機構之間以及信息安全職能部門內部的安全工作會議文件或會議記錄,定期:
10、信息安全管理委員會或領導小組安全管理工作執行情況的文件或工作記錄(如會議記錄/紀要,信息安全工作決策文檔等)
11、應與公安機關、電信公司和兄弟單位等的溝通合作(外聯單位聯系列表)
12、應與供應商、業界專家、專業的安全公司、安全組織等建立溝通、合作機制。
13、聘請信息安全專家作為常年的安全顧問(具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄)
14、應組織人員定期對信息系統進行安全檢查(查看檢查內容是否包括系統日常運行、系統漏洞和數據備份等情況)
15、應定期進行全面安全檢查(安全檢查是否包含現行技術措施有效性和管理制度執行情況等方面、具有安全檢查表格,安全檢查報告,檢查結果通告記錄)
四、人員安全管理
1、何部門/何人負責安全管理和技術人員的錄用工作(錄用過程)
2、應對被錄用人的身份、背景、專業資格和資質進行審查,對技術人員的技術技能進行考核,技能考核文檔或記錄
3、應與錄用后的技術人員簽署保密協議(協議中有保密范圍、保密責任、違約責任、協議的有效期限和責任人的簽字等內容)
4、應設定關鍵崗位,對從事關鍵崗位的人員是否從內部人員中選拔,是否要求其簽署崗位安全協議。
5、應及時終止離崗人員的所有訪問權限(離崗人員所有訪問權限終止的記錄)
6、應及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備等(交還身份證件和設備等的登記記錄)
7、人員離崗應辦理調離手續,是否要求關鍵崗位調離人員承諾相關保密義務后方可離開(具有按照離崗程序辦理調離手續的記錄,調離人員的簽字)
8、對各個崗位人員應定期進行安全技能考核;具有安全技能考核記錄,考核內容要求包含安全知識、安全技能等。
9、對關鍵崗位人員的安全審查和考核與一般崗位人員有何不同,審查內容是否包括操作行為和社會關系等。
10、應對各類人員(普通用戶、運維人員、單位領導等)進行安全教育、崗位技能和安全技術培訓。
11、應針對不同崗位制定不同的培訓計劃,并按照計劃對各個崗位人員進行安全教育和培訓(安全教育和培訓的結果記錄,記錄應與培訓計劃一致)
12、外部人員進入條件(對哪些重要區域的訪問須提出書面申請批準后方可進入),外部人員進入的訪問控制(由專人全程陪同或監督等)
13、應具有外部人員訪問重要區域的書面申請
14、應具有外部人員訪問重要區域的登記記錄(記錄描述了外部人員訪問重要區域的進入時間、離開時間、訪問區域、訪問設備或信息及陪同人等)
五、系統建設管理
1、應明確信息系統的邊界和安全保護等級(具有定級文檔,明確信息系統安全保護等級)
2、應具有系統建設/整改方案
3、應授權專門的部門對信息系統的安全建設進行總體規劃,由何部門/何人負責
4、應具有系統的安全建設工作計劃(系統安全建設工作計劃中明確了近期和遠期的安全建設計劃)
5、應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略等相關配套文件進行論證和審定(配套文件的論證評審記錄或文檔)
6、應對總體安全策略、安全技術框架、安全管理策略等相關配套文件應定期進行調整和修訂
7、應具有總體安全策略、安全技術框架、安全管理策略、總體建設規劃、詳細設計方案等相關配套文件的維護記錄或修訂版本
8、應按照國家的相關規定進行采購和使用系統信息安全產品
9、安全產品的相關憑證,如銷售許可等,應使用符合國家有關規定產品
10、應具有專門的部門負責產品的采購
11、采購產品前應預先對產品進行選型測試確定產品的候選范圍,形成候選產品清單,是否定期審定和更新候選產品名單
12、應具有產品選型測試結果記錄和候選產品名單及更新記錄(產品選型測試結果文檔)
13、應具有軟件設計相關文檔,專人保管軟件設計的相關文檔,應具有軟件使用指南或操作手冊
14、對程序資源庫的修改、更新、發布應進行授權和批準
15、應具有程序資源庫的修改、更新、發布文檔或記錄
16、軟件交付前應依據開發協議的技術指標對軟件功能和性能等進行驗收檢測
17、軟件安裝之前應檢測軟件中的惡意代碼(該軟件包的惡意代碼檢測報告),檢測工具是否是第三方的商業產品
18、應具有軟件設計的相關文檔和使用指南
19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發文檔
20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制
21、應具有工程實施過程應按照實施方案形成各種文檔,如階段性工程進程匯報報告,工程實施方案
22、在信息系統正式運行前,應委托第三方測試機構根據設計方案或合同要求對信息系統進行獨立的安全性測試(第三方測試機構出示的系統安全性測試驗收報告)
23、應具有工程測試驗收方案(測試驗收方案與設計方案或合同要求內容一致)
24、應具有測試驗收報告
25、應指定專門部門負責測試驗收工作(具有對系統測試驗收報告進行審定的意見)
26、根據交付清單對所交接的設備、文檔、軟件等進行清點(系統交付清單)
27、應具有系統交付時的技術培訓記錄
28、應具有系統建設文檔(如系統建設方案)、指導用戶進行系統運維的文檔(如服務器操作規程書)以及系統培訓手冊等文檔。
29、應指定部門負責系統交付工作
30、應具有與產品供應商、軟件開發商、系統集成商、系統運維商和等級測評機構等相關安全服務商簽訂的協議(文檔中有保密范圍、安全責任、違約責任、協議的有效期限和責任人的簽字等內容
31、選定的安全服務商應提供一定的技術培訓和服務
32、應與安全服務商簽訂的服務合同或安全責任合同書
11、采購產品前應預先對產品進行選型測試確定產品的候選范圍,形成候選產品清單,是否定期審定和更新候選產品名單
12、應具有產品選型測試結果記錄和候選產品名單及更新記錄(產品選型測試結果文檔)
13、應具有軟件設計相關文檔,專人保管軟件設計的相關文檔,應具有軟件使用指南或操作手冊
14、對程序資源庫的修改、更新、發布應進行授權和批準
15、應具有程序資源庫的修改、更新、發布文檔或記錄
16、軟件交付前應依據開發協議的技術指標對軟件功能和性能等進行驗收檢測
17、軟件安裝之前應檢測軟件中的惡意代碼(該軟件包的惡意代碼檢測報告),檢測工具是否是第三方的商業產品
18、應具有軟件設計的相關文檔和使用指南
19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發文檔
20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制
21、應具有工程實施過程應按照實施方案形成各種文檔,如階段性工程進程匯報報告,工程實施方案
22、在信息系統正式運行前,應委托第三方測試機構根據設計方案或合同要求對信息系統進行獨立的安全性測試(第三方測試機構出示的系統安全性測試驗收報告)
23、應具有工程測試驗收方案(測試驗收方案與設計方案或合同要求內容一致)
24、應具有測試驗收報告
25、應指定專門部門負責測試驗收工作(具有對系統測試驗收報告進行審定的意見)
26、根據交付清單對所交接的設備、文檔、軟件等進行清點(系統交付清單)
27、應具有系統交付時的技術培訓記錄
28、應具有系統建設文檔(如系統建設方案)、指導用戶進行系統運維的文檔(如服務器操作規程書)以及系統培訓手冊等文檔。
29、應指定部門負責系統交付工作
30、應具有與產品供應商、軟件開發商、系統集成商、系統運維商和等級測評機構等相關安全服務商簽訂的協議(文檔中有保密范圍、安全責任、違約責任、協議的有效期限和責任人的簽字等內容
31、選定的安全服務商應提供一定的技術培訓和服務
32、應與安全服務商簽訂的服務合同或安全責任合同書
六、系統運維管理
1、應指定專人或部門對機房的基本設施(如空調、供配電設備等)進行定期維護,由何部門/何人負責。
2、應具有機房基礎設施的維護記錄,空調、溫濕度控制等機房設施定期維護保養的記錄
3、應指定部門和人員負責機房安全管理工作
4、應對辦公環境保密性進行管理(工作人員離開座位確保終端計算機退出登錄狀態、桌面上沒有包含敏感信息的紙檔文件)
5、應具有資產清單(覆蓋資產責任人、所屬級別、所處位置、所處部門等方面)
6、應指定資產管理的責任部門或人員
7、應依據資產的重要程度對資產進行標識
8、介質存放于何種環境中,應對存放環境實施專人管理(介質存放在安全的環境(防潮、防盜、防火、防磁,專用存儲空間))
9、應具有介質使用管理記錄,應記錄介質歸檔和使用等情況(介質存放、使用管理記錄)
10、對介質的物理傳輸過程應要求選擇可靠傳輸人員、嚴格介質的打包(如采用防拆包裝置)、選擇安全的物理傳輸途徑、雙方在場交付等環節的控制
11、應對介質的使用情況進行登記管理,并定期盤點(介質歸檔和查詢的記錄、存檔介質定期盤點的記錄)
12、對送出維修或銷毀的介質如何管理,銷毀前應對數據進行凈化處理。(對帶出工作環境的存儲介質是否進行內容加密并有領導批準。對保密性較高的介質銷毀前是否有領導批準)(送修記錄、帶出記錄、銷毀記錄)
13、應對某些重要介質實行異地存儲,異地存儲環境是否與本地環境相同(防潮、防盜、防火、防磁,專用存儲空間)
14、介質上應具有分類的標識或標簽
15、應對各類設施、設備指定專人或專門部門進行定期維護。
16、應具有設備操作手冊
17、應對帶離機房的信息處理設備經過審批流程,由何人審批(審批記錄)
18、應監控主機、網絡設備和應用系統的運行狀況等
19、應有相關網絡監控系統或技術措施能夠對通信線路、主機、網絡設備和應用軟件的運行狀況、網絡流量、用戶行為等進行監測和報警
20、應具有日常運維的監控日志記錄和運維交接日志記錄
21、應定期對監控記錄進行分析、評審
22、應具有異常現象的現場處理記錄和事后相關的分析報告
23、應建立安全管理中心,對設備狀態、惡意代碼、補丁升級、安全審計等相關事項進行集中管理
24、應指定專人負責維護網絡安全管理工作
25、應對網絡設備進行過升級,更新前應對現有的重要文件是否進行備份(網絡設備運維維護工作記錄)
26、應對網絡進行過漏洞掃描,并對發現的漏洞進行及時修補。
27、對設備的安全配置應遵循最小服務原則,應對配置文件進行備份(具有網絡設備配置數據的離線備份)
28、系統網絡的外聯種類(互聯網、合作伙伴企業網、上級部門網絡等)應都得到授權與批準,由何人/何部門批準。應定期檢查違規聯網的行為。
29、對便攜式和移動式設備的網絡接入應進行限制管理
30、應具有內部網絡外聯的授權批準書,應具有網絡違規行為(如撥號上網等)的檢查手段和工具。
31、在安裝系統補丁程序前應經過測試,并對重要文件進行備份。
32、應有補丁測試記錄和系統補丁安裝操作記錄
33、應對系統管理員用戶進行分類(比如:劃分不同的管理角色,系統管理權限與安全審計權限分離等)
34、審計員應定期對系統審計日志進行分析(有定期對系統運行日志和審計數據的分析報告)
35、應對員工進行基本惡意代碼防范意識的教育,如告知應及時升級軟件版本(對員工的惡意代碼防范教育的相關培訓文檔)
36、應指定專人對惡意代碼進行檢測,并保存記錄。
37、應具有對網絡和主機進行惡意代碼檢測的記錄
38、應對惡意代碼庫的升級情況進行記錄(代碼庫的升級記錄),對各類防病毒產品上截獲的惡意代碼是否進行分析并匯總上報。是否出現過大規模的病毒事件,如何處理
39、應具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應具有變更方案評審記錄和變更過程記錄文檔。
41、重要系統的變更申請書,應具有主管領導的批準
42、系統管理員、數據庫管理員和網絡管理員應識別需定期備份的業務信息、系統數據及軟件系統(備份文件記錄)
43、應定期執行恢復程序,檢查和測試備份介質的有效性
44、應有系統運維過程中發現的安全弱點和可疑事件對應的報告或相關文檔
45、應對安全事件記錄分析文檔
46、應具有不同事件的應急預案
47、應具有應急響應小組,應具備應急設備并能正常工作,應急預案執行所需資金應做過預算并能夠落實。
48、應對系統相關人員進行應急預案培訓(應急預案培訓記錄)
49、應定期對應急預案進行演練(應急預案演練記錄)50、應對應急預案定期進行審查并更新
51、應具有更新的應急預案記錄、應急預案審查記錄。
第五篇:信息安全等級保護監督檢查報告
信息安全等級保護監督檢查報告
接縣公安局文件后,我單位對本單位信息安全等級保護工作進行了自查
一、等級保護工作組織開展、實施情況:嚴格按照文件精神組織開始了信息安全等級保護自查工作,主要檢查對象為本單位維護的翼城政府網;安全責任落實情況:按照“誰主管誰負責,誰運營誰負責”的原則開展工作,我單位負責人為第一責任人,對翼城政府網信息安全負直接責任,并接受信息安全監管部門對開展等級保護工作的監管;信息系統安全崗位和安全管理人員設置情況:本單位負責人主管信息系統安全工作,有安全管理員兩名。
二、按照信息安全法律法規、標準規范的要求制定具體實施方案和落實情況:遵照有關法律法規,對翼城政府網遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度,對翼城政府網信息安全保護等級進行了自主定級。
三、信息系統定級備案情況,信息系統變化及定級備案變動情況:按照《關于開展全國重要信息系統安全等級保護定級工作的通知》(公通字?2007?861號),對本單位維護網站(翼城政府網)安全保護等級級別定位第二級。
四、信息安全設施建設情況和信息安全整改情況:鑒于
網站的性質,無信息安全設施。
五、信息安全管理制度建設和落實情況:制定了翼城政府網信息安全管理制度,按照“誰主管誰負責”的原則開展工作,我單位負責人為第一責任人,對翼城政府網信息安全管理負直接責任,并接受上級單位的監管。
六、信息安全保護技術措施建設和落實情況:對翼城政府網機房實施了24小時值班,操作系統、數據庫系統、防病毒系統、網站軟件系統實時升級,發現安全隱患,第一時間由技術人員解決。
七、選擇使用信息安全產品情況:翼城政府網使用了銳捷網絡的XXX產品。
八、聘請測評機構按規范要求開展技術測評工作情況,根據測評結果開展整改情況:暫無聘請測評機構開展技術測評工作。
九、自行定期開展自查情況:每半年對翼城政府網進行一次信息系統安全保護自查。
十、開展信息安全知識和技能培訓情況:主動學習信息安全法律法規,積極參加公安機關、上級主管部門組織的信息安全知識和技能培訓。
翼城縣網絡中心
2011年8月23日
點擊咨詢 