2011年信息安全檢查總體情況報(bào)告模板.doc

宜賓市人力資源和社會保障局2011年信息安全檢查總體情況報(bào)告（一）信息安全狀況總體評價(jià)（二）信息安全主要工作情況（三）檢查發(fā)現(xiàn)的主要問題及整改情況（四）對信息安全工作的意見和建議信息安全檢查表（一）基本情況1.單位情況單位名稱分管信息安全工作的領(lǐng)導(dǎo)職 務(wù)信息安全管理部門負(fù)責(zé)人職 務(wù)電話信息安全檢查責(zé)任人職 務(wù)所在部門電話2.信息系統(tǒng)基本情況序號信息系統(tǒng)名稱等級保護(hù)級別是否委托第三方進(jìn)行日常運(yùn)維服務(wù)及內(nèi)容是否進(jìn)行年度測評是否進(jìn)行檢查123456（二）安全檢查情況檢查項(xiàng)目檢查內(nèi)容檢查結(jié)果具體說明1.日常安全管理安全管理制度和策略已建立日常安全管理活動(dòng)中常用的制度和管理策略等。已設(shè)立管理信息安全工作的部門，定義部門職責(zé)，設(shè)立安全管理員和安全審計(jì)員崗位，并定義了職責(zé)。已制定機(jī)房安全管理制度，對有關(guān)機(jī)房物理訪問，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理作出規(guī)定。已制定保密協(xié)議簽訂制度，規(guī)定重要崗位人員、外部人員和第三方服務(wù)單位簽訂安全責(zé)任書或保密協(xié)議等。已制定系統(tǒng)安全管理制度，對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程、日志分析等方面作出規(guī)定。已建立備份與恢復(fù)管理制度和數(shù)據(jù)備份策略，對數(shù)據(jù)備份方式、備份頻度、存儲介質(zhì)、保存期和數(shù)據(jù)恢復(fù)，以及備份設(shè)備的維護(hù)和檢測進(jìn)行規(guī)范。已制定介質(zhì)安全管理制度，對介質(zhì)的存放環(huán)境、使用、維護(hù)和報(bào)廢等作出規(guī)定。已制定網(wǎng)站信息發(fā)布管理審核制度已制定重要崗位信息安全和保密責(zé)任制度。已制定人員離崗離職時(shí)信息安全管理規(guī)定。其它管理制度補(bǔ)充如下：1.2.3.4.5.6.人員管理是否配備一定數(shù)量的網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)庫管理員，以及安全管理員和安全審計(jì)員等，其中安全管理人員是否實(shí)現(xiàn)崗位分離？人員離崗時(shí)是否在規(guī)定時(shí)間內(nèi)終止終止其所有訪問權(quán)限？是否有外部人員訪問機(jī)房等物理受控區(qū)域的審批和記錄，由專人全程陪同或監(jiān)督？外部人員訪問信息系統(tǒng)是否使用專門設(shè)置的臨時(shí)用戶，并開啟審計(jì)功能？是否建立并維護(hù)系統(tǒng)賬號的重要訪問權(quán)限列表，并由專人負(fù)責(zé)訪問權(quán)限的分配和收回？是否應(yīng)定期檢查信息系統(tǒng)訪問權(quán)限設(shè)置情況，清理無用帳號？是否對信息系統(tǒng)建設(shè)、運(yùn)行和維護(hù)工作的相關(guān)人員進(jìn)行信息安全意識教育和崗位技能培訓(xùn)，并有相關(guān)的情況記錄？資產(chǎn)管理是否建立了關(guān)鍵業(yè)務(wù)系統(tǒng)運(yùn)行相關(guān)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等資產(chǎn)的臺帳，有維修和報(bào)廢銷毀記錄？是否對機(jī)房中關(guān)鍵業(yè)務(wù)系統(tǒng)相關(guān)資產(chǎn)進(jìn)行特殊標(biāo)識標(biāo)記？物理環(huán)境管理是否配備有雙路冗余配電系統(tǒng)？是否配備機(jī)房恒溫恒濕精密空調(diào)系統(tǒng)？是否配備機(jī)房門禁控制系統(tǒng)和視頻監(jiān)控系統(tǒng)？是否配備機(jī)房環(huán)境監(jiān)控系統(tǒng)，提供溫濕度、空調(diào)、UPS電源、防水和消防等環(huán)境設(shè)備設(shè)施的故障報(bào)警等？是否有貨物進(jìn)出機(jī)房等物理受控區(qū)域的記錄？是否定期進(jìn)行機(jī)房防雷和接地檢測？是否定期進(jìn)行機(jī)房UPS電池壽命檢測和更新養(yǎng)護(hù)？是否定期進(jìn)行機(jī)房空調(diào)系統(tǒng)的檢測和維護(hù)？是否定期對消防設(shè)施進(jìn)行檢測和維護(hù)？是否有對機(jī)房環(huán)境系統(tǒng)進(jìn)行每日巡檢值班的記錄？保密協(xié)議簽訂重要崗位人員信息安全和保密協(xié)議簽訂情況涉及關(guān)鍵系統(tǒng)和核心信息的第三方服務(wù)單位和人員保密協(xié)議簽訂情況。系統(tǒng)運(yùn)維管理是否具有信息系統(tǒng)配置變更審批和執(zhí)行記錄？是否定期進(jìn)行日志和審計(jì)信息的分析？2.信息安全防護(hù)管理網(wǎng)絡(luò)邊界防護(hù)是否為重要信息系統(tǒng)的核心交換機(jī)和關(guān)鍵網(wǎng)絡(luò)鏈路等配置冗余結(jié)構(gòu)？是否在不同安全域之間，不同安全等級系統(tǒng)所在網(wǎng)段之間，重要網(wǎng)段和一般網(wǎng)段之間采用技術(shù)隔離或訪問控制措施？是否在網(wǎng)絡(luò)邊界部署防火墻等訪問控制設(shè)備，控制粒度為最小化IP地址段及端口級？關(guān)鍵業(yè)務(wù)系統(tǒng)所在網(wǎng)絡(luò)與互聯(lián)網(wǎng)是否采用網(wǎng)絡(luò)安全隔離措施（至少網(wǎng)閘或物理隔離）？是否進(jìn)行嚴(yán)格的訪問控制策略配置，關(guān)閉沒有必要的服務(wù)協(xié)議和端口？是否禁用對小型機(jī)、磁盤陣列等進(jìn)行遠(yuǎn)程調(diào)試的通信線路連接？是否禁止或限制通過互聯(lián)網(wǎng)對防火墻、網(wǎng)絡(luò)設(shè)備、服務(wù)器等進(jìn)行遠(yuǎn)程管理和維護(hù)？信息系統(tǒng)安全防護(hù)是否安裝實(shí)時(shí)升級、在線掃描的木馬和病毒防護(hù)軟件以保護(hù)系統(tǒng)的正常運(yùn)行？是否在互聯(lián)網(wǎng)接入邊界部署入侵防護(hù)系統(tǒng)，檢查安全策略配置的有效性？是否在互聯(lián)網(wǎng)接入邊界部署抗拒絕服務(wù)系統(tǒng)，檢查安全策略配置的有效性？是否部署漏洞掃描系統(tǒng)，檢查安全策略配置的有效性？是否部署網(wǎng)絡(luò)和數(shù)據(jù)庫安全審計(jì)系統(tǒng)，檢查安全策略配置的有效性，審計(jì)記錄至少保存6個(gè)月？是否定期（不多于3個(gè)月）進(jìn)行漏洞掃描和評估，及時(shí)進(jìn)行系統(tǒng)補(bǔ)丁修補(bǔ)和加固工作，是否保留評估掃描、加固建議和實(shí)施記錄等？檢查服務(wù)器和計(jì)算機(jī)終端是否及時(shí)進(jìn)行補(bǔ)丁更新？是否關(guān)閉服務(wù)器中不必要的應(yīng)用、服務(wù)和端口？是否定期對服務(wù)器和計(jì)算機(jī)終端進(jìn)行木馬、病毒的檢查和清理？是否定期對網(wǎng)絡(luò)設(shè)備、安全系統(tǒng)、操作系統(tǒng)、中間件、數(shù)據(jù)庫和應(yīng)用系統(tǒng)進(jìn)行口令更新？檢查網(wǎng)絡(luò)設(shè)備、安全系統(tǒng)、操作系統(tǒng)、中間件、數(shù)據(jù)庫和應(yīng)用系統(tǒng)等是否存在弱口令和缺省賬戶密碼現(xiàn)象？設(shè)備和應(yīng)用系統(tǒng)新上線或重要應(yīng)用軟件版本更新前進(jìn)行全面的系統(tǒng)安全掃描檢測？是否對重要服務(wù)器、主干交換設(shè)備等關(guān)鍵設(shè)備按最小安全訪問原則設(shè)置了訪問控制權(quán)限，對系統(tǒng)帳戶定期進(jìn)行檢查，刪除或禁用多余的賬戶，正確分配用戶權(quán)限？關(guān)鍵業(yè)務(wù)系統(tǒng)是否采用強(qiáng)身份認(rèn)證方式，強(qiáng)身份認(rèn)證包括但不限于動(dòng)態(tài)口令、隨機(jī)口令、隨機(jī)校驗(yàn)碼和雙因素認(rèn)證等？是否關(guān)閉關(guān)鍵業(yè)務(wù)系統(tǒng)的服務(wù)器遠(yuǎn)程控制服務(wù)？門戶網(wǎng)站安全管理是否對網(wǎng)站進(jìn)行了滲透測試和補(bǔ)丁加固，關(guān)閉不必要的端口和服務(wù)，消除了跨站腳本、SQL注入、信息泄露等風(fēng)險(xiǎn)？是否進(jìn)行網(wǎng)站內(nèi)容目錄的訪問權(quán)限控制和策略配置？網(wǎng)上公共服務(wù)系統(tǒng)是否采用強(qiáng)身份認(rèn)證方式，強(qiáng)身份認(rèn)證包括但不限于動(dòng)態(tài)口令、隨機(jī)口令、隨機(jī)校驗(yàn)碼和雙因素認(rèn)證等？政府網(wǎng)站和公共服務(wù)系統(tǒng)是否部署了網(wǎng)頁防篡改系統(tǒng)或網(wǎng)站防護(hù)系統(tǒng)，有效地對重要網(wǎng)站頁面進(jìn)行保護(hù)？是否刪除不必要的鏈接、插件、網(wǎng)站目錄結(jié)構(gòu)和臨時(shí)文件。電子郵箱安全管理是否自建電子郵件系統(tǒng)？自建電子郵件系統(tǒng)中是否存在離崗、測試和無關(guān)人員郵箱？郵箱帳號口令是否具有一定復(fù)雜度和長度，并定期更新？互聯(lián)網(wǎng)郵箱中是否保存有工作敏感信息？終端計(jì)算機(jī)安全是否部署終端安全管理系統(tǒng)，提供資產(chǎn)管理、補(bǔ)丁更新和基于安全策略的防護(hù)及審計(jì)？是否對關(guān)鍵業(yè)務(wù)系統(tǒng)計(jì)算機(jī)終端進(jìn)行有效的補(bǔ)丁更新和病毒防護(hù)？關(guān)鍵業(yè)務(wù)系統(tǒng)計(jì)算機(jī)終端訪問互聯(lián)網(wǎng)是否進(jìn)行了有效的安全控制（如隔離、通過代理、綁定計(jì)算機(jī)IP和MAC地址等）？移動(dòng)存儲設(shè)備安全管理是否采用集中管理，統(tǒng)一登記、配發(fā)、收回、維修、報(bào)廢、銷毀？是否存儲有工作敏感信息，并及時(shí)進(jìn)行信息消除？3.備份恢復(fù)和應(yīng)急管理情況系統(tǒng)和數(shù)據(jù)備份關(guān)鍵業(yè)務(wù)系統(tǒng)是否建立本地?cái)?shù)據(jù)備份系統(tǒng)，每天增量、每周全量進(jìn)行數(shù)據(jù)備份，備份介質(zhì)場外存放？關(guān)鍵業(yè)務(wù)系統(tǒng)是否建立異地（同城或其他地區(qū)）數(shù)據(jù)備份功能或容災(zāi)系統(tǒng)？是否對重要主機(jī)、主干網(wǎng)絡(luò)設(shè)備和存儲設(shè)備等關(guān)鍵設(shè)備建立了冗余備份機(jī)制？是否定期執(zhí)行恢復(fù)程序，檢查和測試備份介質(zhì)的有效性，確保可以在恢復(fù)程序規(guī)定的時(shí)間內(nèi)完成備份的恢復(fù)？應(yīng)急管理是否建立了信息安全應(yīng)急預(yù)案？是否明確了應(yīng)急技術(shù)支援隊(duì)伍？是否有詳細(xì)的應(yīng)急演練計(jì)劃，并已進(jìn)行了年度演練？4.本年度信息安全事件情況本年度安全技術(shù)檢測結(jié)果病毒木馬等惡意代碼檢測結(jié)果進(jìn)行過病毒木馬等惡意代碼檢測的服務(wù)器臺數(shù)： 其中，感染惡意代碼的服務(wù)器臺數(shù)：進(jìn)行過病毒木馬等惡意代碼檢測的終端計(jì)算機(jī)臺數(shù)： 其中，感染惡意代碼的終端計(jì)算機(jī)臺數(shù)：漏洞檢測結(jié)果進(jìn)行過漏洞掃描