信息安全检查内容自查表.docx

1、信息安全检查内容自查表二、检查项目表1、检查基本信息受检单位基本信息单位名称鄂前旗供电有限责任公司上级单位名称鄂尔多斯电业局本单位信息安全第一责任人张海峰信息安全责任部门鄂前旗供电公司安监部检查方式本单位自查 口上级单位督查 口电监会抽查 口检查时间2011年4月26日至5月10日检查范围规章制度、信息网络安全、人员管理、工程管理等检查组基本信息检查组织单位鄂前旗供电公司检查组组长刘俊毅检查组成员高耀平、刘立新、张耀军、张瑞平2、检查内容及记录2.1、信息安全规章制度序号检查项检查结果备注1信息安全管理规章制度是否健全是2有关规章制度的制定、发布、修订及执行情况由安监部制定、上公司会议研究后并

2、发布需说明信息安全规章制度的制定、发布、修订及执行的主体及相关程序。3国家有关信息安全政策、法规的落实情况按国家及上级有关信息安全政策、法规的要求执行4信息安全责任的落实情况公司成立了信通所，所长：张瑞平职责：负责正常运行维护及安全管理说明信息安全负责人、责任机构、责任人及其信息安全职责。5电力二次系统安全管理制度的制定情况电力二次系统安全管理制度健全6电力二次系统安全责任制的落实情况电力二次系统安全责任制已落实到责任部门及个人需要说明的情况结果受检方签字刘立新检查方签字刘俊毅确认日 期2011-5-4日 期2011-5-42.2、信息安全组织机构序号检查项检查结果备注l信息安全组织机构是否健

3、全是本单位及所有下属单位是否都有明确的信息安全责任机构。2信息安全职责是否明确是信息安全机构职责是否涵盖了当前信息安全工作的主要方面。3信息安全管理机构岗位设置、人员配备情况信息中心主任1名，工作人员1名4电力二次系统安全防护组织机构的建立情况电力二次系统安全防护组织机构未成立需要说明的情况结果受检方签字张瑞平检查方签字刘俊毅确认日 期2011-5-6日 期2011-5-62.3、信息安全资金保障序号检查项检查结果备注1信息安全运行维护经费落实情况未落实经费给出运维经费的数量及占信息系统总体运行维护资金的比例。2信息化项目中信息安全建设专项资金落实情况未落实经费给出数量及所占比例。需要说明的情

4、况结果受检方签字张瑞平检查方签字刘俊毅确认日 期2011-5-6日 期2011-5-62.4、人员管理序号检查项检查结果备注1人员的安全保密意识教育情况授课，全员开展形式及覆盖范围。2人员安全技能培训情况无需说明参加电监会组织的培训情况。3重点、敏感岗位人员有无内控管理措施无如有，说明具体措施。4外来人员管理情况实行登记许可制度主要针对外来开发、维护、访问人员的管理措施。需要说明的情况结果受检方签字刘立新检查方签字刘俊毅确认日 期2011-5-8日 期2011-5-82.5、信息安全策略及总体防护体系序号检查项检查结果备注1单位信息安全总体防护策略制定情况未制定“安全分区、网络专用、横向隔离、

5、纵向认证“方针的贯彻落实情况只有调度自动化系统和管理信息大区实现了隔离，3电力二次系统安全防护体系的建设情况未建立需要说明的情况结果受检方签字张瑞平检查方签字刘俊毅确认日 期2011-5-6日 期2011-5-62.6、分区防御序号检查项检查结果备注1生产控制大区和管理信息大区内部相应分区情况内部没有分区2各类系统和设备分区部署情况分两个大区：调度自动化（生产控制），管理信息系统。从网络和信息系统两个方面说明。3生产控制大区与管理信息大区网络边界横向隔离防护情况仅调度自动化系统与管理信息大区有正向物理隔离装置和防火墙重点检查正向隔离装置和反向隔离装置的部署情况，列举未升级为lbit版本的横向隔

6、离装置的部署位置和台数。4纵向加密认证装置部署情况无安全防护措施如未部署纵向加密认证装置，说明现有生产控制大区纵向网络边界安全防护措施。5生产控制大区跨单位(部门)数据采集和信息交换情况鄂尔多斯电业局，公司办公大楼，各基层供电所和变电站，与鄂尔多斯市局信息交换主要是：办公自动化系统，其余的所有数据信息列举所有跨单位链路及其管理措施。6禁止跨越生产控制大区和管理信息大区进行网络直联的落实情况调度自动化系统到管理信息系统有正向物理隔离装置和防火墙如有，列举所有通道及其管理措施。需要说明的情况结果受检方签字张瑞平检查方签字刘俊毅确认日 期2011-5-6日 期2011-5-62.7、网络安全序号检查

7、项检查结果备注l安全域划分情况一、 调度自动化系统，二、 一体化信息系统，办公OA自动化系统，标准化作业辅助系统，公司门户网站系统，财务软件系统说明管理信息大区安全域划分原则，列举所有安全域及其内的信息系统。2网络边界防护情况无设备，灭有边界防护策略边界防护策略、安全设备部署情况等。3内网保护情况没有网管，无法控制内网网络设备访问控制、ARP防范、非授权网络接入管控等。4外部设备接入控制情况控制措施不严分别说明内、外网对外来人员设备的授权接入控制措施。5内外网隔离情况个别计算机利用双网卡，同时接入内外网这里指管理信息大区网络隔离情况。6各类网络接口、互联网出口的安全监测措施无网络接口主要指局域

8、网/局域网、局域网/广域网、局域网/互联网之间的接口。7网络病毒、木马防护措施无外网，内网防病毒主要以市局网络版的趋势防病毒软件分别说明内、外网的网络防病毒形式，内网病毒库升级控制措施。需要说明的情况没有完善的桌面管理系统，内外网管理比较困难，部分终端计算机利用双网卡同时上内外网，存在严重的安全隐患。结果受检方签字张瑞平检查方签字刘俊毅确认日 期2011-5-6日 期2011-5-62.8、设备和操作系统安全序号检查项检查结果备注1网络设备的安全防护措施无网络设备的网络和物理访问控制措施。2安全设备的安全防护措施无安全设备安全设备的网络和物理访问控制措施。3服务器的安全防护措施没有物理隔离措施

9、，网络访问比较容易服务器的网络和物理访问控制措施。4桌面终端的安全防护措施网络版的趋势杀毒，经常不能升级或和主服务器失去联系需说明是否已对桌面终端实施统一管理。5操作系统的安全配置桌面终端：windows xp3 服务器：windows 2003 Linux补丁半年升级一次，防病毒软件主要以鄂尔多斯电业局的网络版趋势杀毒软件为主主要说明服务器、桌面终端、网络设备操作系统的版本、补丁、用户、审计、恶意代码防范情况。需要说明的情况结果受检方签字张瑞平检查方签字刘俊毅确认日 期2011-5-6日 期2011-5-62.9、应用系统安全序号检查项检查结果备注1数据库的安全配置和管理情况一般2日常办公和

10、业务应用系统的安全设计、配置和管理情况安全设计低于标准，配置不够3对外网站的防攻击、防篡改技术防护措施无4关键应用系统开发过程中的质量控制情况无5关键应用系统安全测试情况无需说明安全测试要求、安全测试流程、安全测试机构以及安全整改情况。6关键应用系统上线运行后的安全配置管理情况安全配置不够，管理人员水平不高需要说明的情况结果受检方签字张瑞平检查方签字刘俊毅确认日 期2011-5-6日 期2011-5-62.10、运维管理序号检查项检查结果备注1设备、系统的维护记录情况有记录2设备、系统的变更管理情况PC终端管理不严，随意变更3运行环境与开发环境的分离情况较好4安全漏洞检测管理情况无需说明漏洞认

11、定程序，漏洞处理流程。5补丁升级管理情况无需说明是否有补丁测试环节。6安全审计管理情况无分主机、网络、企业级三个层次说明。7账户口令管理情况口令管理不严，比较随意8数字证书及密码管理情况管理比较乱需要说明的情况口令管理不严：1、 在系统设计时，如营销MIS系统，收费员的口令是很关键的，但没有设计为USB-key，2、 大部分关键的岗位人员设置的密码过于简单，而且不变换。结果受检方签字张瑞平检查方签字刘俊毅确认日 期2011-5-6日 期2011-5-62.11、数据安全序号检查项检查结果备注1数据访问控制措施数据库标准口令设置说明整体数据访问控制策略和主要访问控制措施。2服务器、用户终端、数据库中关键数据是否有加密保护措施无3磁盘、光盘、U盘和移动硬盘等移动存储介质管理情况没有移动存储介质主要包括与移动存储介质注册、使用、销毁有关的管理及技术控制措施。4数据备份与恢复管理情况数据备份比较单一，单纯靠电脑自动备份，存在隐患5备份介质管理情况无需要说明的情况结果受检方签字张瑞平 检查方签字刘俊毅确认日 期2011-5-6日 期2011-5-62.12、物理环境安全序号检查项检查结果备注1生产调度区、计算机机房等重点区域的门禁、防盗门窗、监视器等安全管控设施的配置情况设备配置不够搬到新调度大楼实施完善2生