衡水市2013年度信息安全檢查實施方案

1、衡水市2013年度信息安全檢查實施方案一、檢查目的通過開展常態(tài)化的信息安全檢查，進一步落實信息安全責任，增強人員信息安全意識，認真查找突出問題和薄弱環(huán)節(jié)，全面排查安全隱患和安全漏洞，分析評估信息安全狀況和防護水平，有針對性地采取管理和技術(shù)防護措施，促進安全防范水平和安全可控能力提升，預防和減少重大信息安全事件的發(fā)生，切實保障信息安全。二、檢查范圍安全檢查的范圍包括全市各級政務(wù)部門、重要信息系統(tǒng)和城市供水供氣供熱等市政領(lǐng)域。涉及國家秘密的信息系統(tǒng)安全檢查，按照國家保密管理規(guī)定和標準執(zhí)行。三、檢查內(nèi)容（一）信息安全管理情況。按照國家信息安全政策和標準規(guī)范要求，建立健全信息安全管理規(guī)章制度及落實情況

2、。重點檢查信息安全主管領(lǐng)導、管理機構(gòu)和工作人員履職情況，信息安全責任制落實及事故責任追究情況，人員、資產(chǎn)、采購、外包服務(wù)等日常安全管理情況，信息安全經(jīng)費保障情況等。（二）技術(shù)防護情況。網(wǎng)絡(luò)與信息系統(tǒng)防病毒、防攻擊、防篡改、防癱瘓、防泄密等技術(shù)措施及有效性。重點檢查事關(guān)國家安全和社會穩(wěn)定，對地區(qū)、部門或行業(yè)正常生產(chǎn)生活具有較大影響的重要網(wǎng)絡(luò)與信息系統(tǒng)（含工業(yè)控制系統(tǒng)）的安全防護情況，包括技術(shù)防護體系建立情況；網(wǎng)絡(luò)邊界防護措施，不同網(wǎng)絡(luò)或信息系統(tǒng)之間安全隔離措施，互聯(lián)網(wǎng)接入安全防護措施，無線局域網(wǎng)安全防護策略等；服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等安全策略配置及有效性，應(yīng)用系統(tǒng)安全功能配置及有效性；終端計

3、算機、移動存儲介質(zhì)安全防護措施；重要數(shù)據(jù)傳輸、存儲的安全防護措施；采用數(shù)字證書進行系統(tǒng)防護的措施等。（三）應(yīng)急工作情況。按照我市網(wǎng)絡(luò)與信息安全事件應(yīng)急預案要求，建立健全信息安全應(yīng)急工作機制情況。重點檢查信息安全事件應(yīng)急預案制修訂情況，應(yīng)急預案演練情況；應(yīng)急技術(shù)支撐隊伍、災(zāi)難備份與恢復措施建設(shè)情況，重大信息安全事件處置及查處情況等。（四）安全教育培訓情況。重點檢查信息安全和保密形勢宣傳教育、領(lǐng)導干部和各級人員信息安全技能培訓、信息安全管理和技術(shù)人員專業(yè)培訓情況等。（五）安全問題整改情況。重點檢查以往信息安全檢查中發(fā)現(xiàn)問題的整改情況，包括整改措施、整改效果及復查情況，以及類似問題的排查情況等，分析

4、安全威脅和安全風險，進一步評估總體安全狀況。四、檢查方式按照“誰主管誰負責、誰運行誰負責”的原則，信息安全檢查工作以各縣市區(qū)、各部門自查為主。同時，市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室將組織專業(yè)技術(shù)隊伍對部分重點單位和重要系統(tǒng)進行安全抽查。五、安全自查各縣市區(qū)結(jié)合實際統(tǒng)籌安排本地區(qū)政務(wù)部門以及供水供氣供熱等市政領(lǐng)域信息安全自查工作。市直各部門結(jié)合實際組織開展本部門安全自查工作。各縣市區(qū)、各部門（單位）參照本工作方案，結(jié)合實際組織制定信息安全檢查實施方案，印發(fā)檢查部署文件，明確自查范圍、責任單位、工作安排及工作要求等相關(guān)內(nèi)容，并認真組織實施?？山M織開展抽查，督促自查單位開展自查工作，了解掌握自查工作進

5、展情況，采取技術(shù)手段深入發(fā)現(xiàn)安全問題和薄弱環(huán)節(jié)，并及時研究解決檢查工作中遇到的重大問題。自查工作完成后，各縣市區(qū)、各部門（單位）要對檢查情況進行全面匯總總結(jié)，填寫檢查結(jié)果統(tǒng)計表，認真梳理存在的主要問題，分析評估安全風險，撰寫檢查總結(jié)報告。六、安全抽查（一）技術(shù)抽測。依托省信息安全測評中心，對全市重點網(wǎng)站進行抽測。（二）抽查重點內(nèi)容。市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室將組織專門人員隨機對各縣市區(qū)、各部門的自查情況進行抽查。1. 現(xiàn)場抽查內(nèi)容。重點檢查被抽查單位自查工作組織開展情況，2012年安全檢查發(fā)現(xiàn)問題的整改情況，網(wǎng)絡(luò)架構(gòu)、安全區(qū)域劃分的合理性，網(wǎng)絡(luò)邊界防護措施的完備性，服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)

6、備等的安全策略配置、應(yīng)用系統(tǒng)安全功能配置及其有效性，重要數(shù)據(jù)傳輸、存儲的安全防護措施。專業(yè)技術(shù)隊伍應(yīng)對重要設(shè)備和應(yīng)用系統(tǒng)進行安全技術(shù)檢測，深入挖掘安全漏洞，采用人工方式對安全漏洞的可利用性進行驗證，幫助排查安全隱患，分析評估安全風險。2. 外部檢測內(nèi)容。通過互聯(lián)網(wǎng)對被抽測網(wǎng)站系統(tǒng)的安全風險狀況進行外部檢測，包括安全漏洞、網(wǎng)頁篡改、惡意代碼情況以及近年來安全檢查中發(fā)現(xiàn)問題的整改情況等，驗證被抽查系統(tǒng)安全防護措施的有效性。七、時間安排（一）自查時間安排。檢查工作自本工作方案印發(fā)之日起啟動。2013年9月25日前，各縣市區(qū)、各部門（單位）將加蓋公章的檢查總結(jié)報告、檢查結(jié)果統(tǒng)計表（附件2）、自查情況登

7、記表（附件3，僅市直各單位）和自評估表（附件1，僅市直單位），以與之涉密程度相應(yīng)的信函或傳真等方式報送市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室。各附件可以從 網(wǎng)站的通知公告欄下載。（二）抽查時間安排。抽查工作自9月2日起啟動，9月25日前完成。八、信息報送（一）為便于了解掌握檢查工作進展情況，分別于8月30日和9月16日前，將本縣市區(qū)、本部門自查工作進展情況發(fā)至hsxxhbgs郵箱。（二）各縣市區(qū)、各部門（單位）在自查中發(fā)現(xiàn)重大安全隱患，或出現(xiàn)因檢查工作導致的跨地區(qū)、跨部門或跨行業(yè)安全問題時，應(yīng)及時向市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室報告。九、工作要求（一）加強領(lǐng)導，落實責任。各縣市區(qū)、各部門（單位）要把信

8、息安全檢查工作列入重要議事日程，加強組織領(lǐng)導，明確檢查責任，建立并落實信息安全檢查工作責任制，明確檢查工作負責人、檢查機構(gòu)和檢查人員，安排并落實檢查工作經(jīng)費，保證檢查工作順利進行。（二）注重源頭，深入檢查。各縣市區(qū)、各部門（單位）要全面細致開展檢查工作，注重采用技術(shù)檢測等手段，深入查找安全問題和隱患，確保檢查工作不走過場、不漏環(huán)節(jié)、不留死角。要高度重視檢查中發(fā)現(xiàn)的苗頭性、趨勢性問題，全面系統(tǒng)地分析研究解決，從源頭上遏制和消除安全隱患。（三）即查即改，確保成效。各縣市區(qū)、各部門（單位）對檢查中發(fā)現(xiàn)的問題要及時整改，因條件不具備暫時不能整改的問題應(yīng)采取臨時防范措施，保證系統(tǒng)安全正常運行。市網(wǎng)絡(luò)與信

9、息安全協(xié)調(diào)小組辦公室將及時對檢查中發(fā)現(xiàn)的問題通報給相關(guān)單位，督促相關(guān)單位組織風險研判并落實整改措施。（四）控制風險，強化保密。各縣市區(qū)、各部門（單位）和承擔抽查任務(wù)的專業(yè)技術(shù)隊伍要針對檢查工作技術(shù)性強的特點，強化風險控制措施，周密制定應(yīng)急預案，確保被檢查信息系統(tǒng)的正常運行和重要數(shù)據(jù)安全。要高度重視保密工作，對檢查中有關(guān)人員、相關(guān)文檔和數(shù)據(jù)進行嚴格管理，確保檢查數(shù)據(jù)和檢查結(jié)果不被泄露。通信地址：衡水市育才南大街918號 市工業(yè)和信息化局（市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室）807室郵政編碼：053000聯(lián)系電話：2661389附件：1. 信息安全管理工作自評估表（試行）2. 信息安全檢查結(jié)果統(tǒng)計表3

10、. 信息安全自查情況登記表附件1市直單位信息安全管理工作自評估表（試行）評估指標評價要素評價標準權(quán)重（V）指標屬性量化方法（P為量化值）評估得分（VP）信息安全組織管理信息安全主管領(lǐng)導明確一名主管領(lǐng)導負責本部門信息安全工作（主管領(lǐng)導應(yīng)為本部門正職或副職領(lǐng)導）。3定性已明確，本年度就信息安全工作作出批示或主持召開專題會議，P = 1；已明確，本年度未就信息安全工作作出批示或主持召開專題會議，P = 0.5；尚未明確，P = 0。信息安全管理機構(gòu)指定一個機構(gòu)具體承擔信息安全管理工作（管理機構(gòu)應(yīng)為本部門二級機構(gòu)）。2定性已指定，并以正式文件等形式明確其職責，P = 1；未指定，P = 0。信息安全員

11、各內(nèi)設(shè)機構(gòu)指定一名專職或兼職信息安全員。2定量P = 指定信息安全員的內(nèi)設(shè)機構(gòu)數(shù)量與內(nèi)設(shè)機構(gòu)總數(shù)的比率。信息安全日常管理規(guī)章制度制度完整性建立信息安全管理制度體系，涵蓋人員管理、資產(chǎn)管理、采購管理、外包管理、教育培訓等方面。3定性制度完整，P = 1；制度不完整，P = 0.5；無制度，P = 0。制度發(fā)布安全管理制度以正式文件等形式發(fā)布。2定性符合，P = 1；不符合，P = 0。人員管理重點崗位人員簽訂安全保密協(xié)議重點崗位人員（系統(tǒng)管理員、網(wǎng)絡(luò)管理員、信息安全員等）簽訂信息安全與保密協(xié)議。2定量P = 重點崗位人員中簽訂信息安全與保密協(xié)議的比率。人員離崗離職管理措施人員離崗離職時，收回其相

12、關(guān)權(quán)限，簽署安全保密承諾書。1定性符合，P = 1；不符合，P = 0。外部人員訪問管理措施外部人員訪問機房等重要區(qū)域時采取審批、人員陪同、進出記錄等安全管理措施。2定性符合，P = 1；不符合，P = 0。資產(chǎn)管理責任落實指定專人負責資產(chǎn)管理，并明確責任人職責。2定性符合，P = 1；不符合，P = 0。建立臺賬建立完整資產(chǎn)臺賬，統(tǒng)一編號、統(tǒng)一標識、統(tǒng)一發(fā)放。2定性符合，P = 1；不符合，P = 0。賬物符合度資產(chǎn)臺賬與實際設(shè)備相一致。2定性符合，P = 1；不符合，P = 0。設(shè)備維修維護和報廢管理措施完整記錄設(shè)備維修維護和報廢信息（時間、地點、內(nèi)容、責任人等）。2定性記錄完整，P =

13、1；記錄基本完整，P = 0.5；記錄不完整或無記錄，P = 0。外包管理外包服務(wù)協(xié)議與信息技術(shù)外包服務(wù)提供商簽訂信息安全與保密協(xié)議，或在服務(wù)合同中明確信息安全與保密責任。2定性符合，P = 1；不符合，P = 0?，F(xiàn)場服務(wù)管理現(xiàn)場服務(wù)過程中安排專人管理，并記錄服務(wù)過程。2定性記錄完整，P = 1；記錄不完整，P = 0.5；無記錄，P = 0。外包開發(fā)管理外包開發(fā)的系統(tǒng)、軟件上線前通過信息安全測評。2定量P =外包開發(fā)的系統(tǒng)、軟件上線前通過信息安全測評的比率。運維服務(wù)方式原則上不得采用遠程在線方式，確需采用時采取書面審批、訪問控制、在線監(jiān)測、日志審計等安全防護措施。2定性符合，P = 1；不

14、符合，P = 0。經(jīng)費保障經(jīng)費預算將信息安全設(shè)施運維、日常管理、教育培訓、檢查評估等費用納入年度預算。3定性符合，P = 1；不符合，P = 0。網(wǎng)站內(nèi)容管理網(wǎng)站信息發(fā)布網(wǎng)站信息發(fā)布前采取內(nèi)容核查、審批等安全管理措施。2定性符合，P = 1；不符合，P = 0。電子信息管理介質(zhì)銷毀和信息消除配備必要的電子信息消除和銷毀設(shè)備，對變更用途的存儲介質(zhì)進行信息消除，對廢棄的存儲介質(zhì)進行銷毀。1定性符合，P = 1；不符合，P = 0。信息安全防護管理物理環(huán)境安全機房安全具備防盜竊、防破壞、防雷擊、防火、防水、防潮、防靜電及備用電力供應(yīng)、溫濕度控制、電磁防護等安全措施。3定性符合，P = 1；不符合，P

15、 = 0。物理訪問控制機房配備門禁系統(tǒng)或有專人值守。1定性符合，P = 1；不符合，P = 0。網(wǎng)絡(luò)邊界安全訪問控制網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，能夠阻斷非授權(quán)訪問。3定性符合，P = 1；有設(shè)備，但未配置策略，P = 0.5；無設(shè)備，P = 0。入侵檢測網(wǎng)絡(luò)邊界部署入侵檢測設(shè)備，定期更新檢測規(guī)則庫。3定性符合，P = 1；有設(shè)備，但未定期更新，P = 0.5；無設(shè)備，P = 0。安全審計網(wǎng)絡(luò)邊界部署安全審計設(shè)備，對網(wǎng)絡(luò)訪問情況進行定期分析審計并記錄審計情況。3定性符合，P = 1；有設(shè)備，但未定期分析，P = 0.5；無設(shè)備，P = 0?；ヂ?lián)網(wǎng)接入口數(shù)量各單位同一辦公區(qū)域內(nèi)互聯(lián)網(wǎng)接入口不超過2個

16、。2定性符合，P = 1；不符合，P = 0。設(shè)備安全惡意代碼防護部署防病毒網(wǎng)關(guān)或統(tǒng)一安裝防病毒軟件，并定期更新惡意代碼庫。2定性符合，P = 1； 不符合，P = 0。服務(wù)器口令策略配置口令策略保證服務(wù)器口令強度和更新頻率。2定量P = 配置了口令策略的服務(wù)器比率。服務(wù)器安全審計啟用安全審計功能并進行定期分析。1定量P = 對安全審計日志進行定期分析的服務(wù)器比率。服務(wù)器補丁更新及時對服務(wù)器操作系統(tǒng)補丁和數(shù)據(jù)庫管理系統(tǒng)補丁進行更新。1定量P = 補丁得到及時更新的服務(wù)器比率。網(wǎng)絡(luò)設(shè)備和安全設(shè)備口令策略配置口令策略保證網(wǎng)絡(luò)設(shè)備和安全設(shè)備口令強度和更新頻率。2定量P = 網(wǎng)絡(luò)設(shè)備和安全設(shè)備（指重要

17、設(shè)備）中配置了口令策略的比率。終端計算機統(tǒng)一防護采取集中統(tǒng)一管理方式對終端進行防護，統(tǒng)一軟件下發(fā)、安裝系統(tǒng)補丁。2定性符合，P = 1；不符合，P = 0。終端計算機接入控制采取技術(shù)措施（如部署集中管理系統(tǒng)、將IP地址與MAC地址綁定等）對接入本單位網(wǎng)絡(luò)的終端計算機進行控制。1定性符合，P = 1；不符合，P = 0。應(yīng)用系統(tǒng)安全應(yīng)用系統(tǒng)安全漏洞掃描定期對業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)、網(wǎng)站系統(tǒng)、郵件系統(tǒng)等應(yīng)用系統(tǒng)進行安全漏洞掃描。2定性符合，P = 1；不符合，P = 0。門戶網(wǎng)站防篡改措施門戶網(wǎng)站采取網(wǎng)頁防篡改措施。2定性符合，P = 1；不符合，P = 0。門戶網(wǎng)站抗拒絕服務(wù)攻擊措施門戶網(wǎng)站采取抗拒

18、絕服務(wù)攻擊措施。2定性符合，P = 1；不符合，P = 0。電子郵件賬號注冊審批建立郵件賬號開通審批程序，防止郵件賬號任意注冊使用。2定性符合，P = 1；不符合，P = 0。電子郵箱賬戶口令策略配置口令策略保證電子郵箱口令強度和更新頻率。2定性符合，P = 1；不符合，P = 0。郵件清理定期清理工作郵件。1定性符合，P = 1；不符合，P = 0。數(shù)據(jù)安全數(shù)據(jù)存儲保護采取技術(shù)措施（如加密、分區(qū)存儲等）對存儲的重要數(shù)據(jù)進行保護。2定性符合，P = 1；不符合，P = 0。數(shù)據(jù)傳輸保護采取技術(shù)措施對傳輸?shù)闹匾獢?shù)據(jù)進行加密和校驗。2定性符合，P = 1；不符合，P = 0。數(shù)據(jù)和系統(tǒng)備份采取技術(shù)

19、措施對重要數(shù)據(jù)和系統(tǒng)進行定期備份。2定性符合，P = 1；不符合，P = 0。數(shù)據(jù)中心、災(zāi)備中心設(shè)立數(shù)據(jù)中心、災(zāi)備中心應(yīng)設(shè)立在境內(nèi)。1定性符合，P = 1；不符合，P = 0。信息安全應(yīng)急管理應(yīng)急預案制定信息安全事件應(yīng)急預案（為部門級預案，非單個信息系統(tǒng)的安全應(yīng)急預案），并使相關(guān)人員熟悉應(yīng)急預案。2定性符合，P = 1；不符合，P = 0。應(yīng)急演練開展應(yīng)急演練，并留存演練計劃、方案、記錄、總結(jié)等文檔。2定性符合，P = 1；不符合，P = 0。應(yīng)急資源指定應(yīng)急技術(shù)支援隊伍，配備必要的備機、備件等應(yīng)急物資。1定性符合，P = 1；不符合，P = 0。事件處置發(fā)生信息安全事件后，及時向主管領(lǐng)導報告

20、，按照預案開展處置工作；重大事件及時通報信息安全主管部門。2定性發(fā)生過事件并按要求處置，或者未發(fā)生過安全事件，P = 1；發(fā)生過事件但未按要求處置，P = 0。信息安全教育培訓意識教育面向全體人員開展信息安全形勢與警示教育、基本技能培訓等活動。2定量本年度開展活動的次數(shù)3，P = 1；次數(shù)=2，P = 0.7；次數(shù)=1，P = 0.3；次數(shù)=0，P = 0。專業(yè)培訓定期開展信息安全管理人員和技術(shù)人員專業(yè)培訓。2定量P = 本年度信息安全管理和技術(shù)人員中參加專業(yè)培訓的比率。信息安全檢查工作部署下發(fā)檢查工作相關(guān)文件或者組織召開專題會議，對年度檢查工作進行部署。2定性符合，P = 1；不符合，P =

21、 0。工作機制明確檢查工作負責人，落實檢查機構(gòu)和檢查人員。2定性符合，P = 1；不符合，P = 0。檢查經(jīng)費安排并落實檢查工作經(jīng)費。2定性符合，P = 1；不符合，P = 0。附件2信息安全檢查結(jié)果統(tǒng)計表設(shè)區(qū)市/部門/單位名稱： 一、重要信息系統(tǒng)安全檢查情況基本情況重要信息系統(tǒng)總數(shù)： （請另附系統(tǒng)清單）（按服務(wù)對象進行統(tǒng)計）1. 面向社會公眾提供服務(wù)的系統(tǒng)數(shù)量： 2. 不面向社會公眾提供服務(wù)的系統(tǒng)數(shù)量： （按聯(lián)網(wǎng)情況進行統(tǒng)計）1. 通過互聯(lián)網(wǎng)可直接訪問的系統(tǒng)數(shù)量： 2. 通過互聯(lián)網(wǎng)不能直接訪問的系統(tǒng)數(shù)量： 其中，與互聯(lián)網(wǎng)物理隔離的系統(tǒng)數(shù)量： （按數(shù)據(jù)集中情況進行統(tǒng)計）1. 全國數(shù)據(jù)集中的系統(tǒng)

22、數(shù)量： 2. 省級數(shù)據(jù)集中的系統(tǒng)數(shù)量： 3. 未進行數(shù)據(jù)集中的系統(tǒng)數(shù)量： （按業(yè)務(wù)連續(xù)性進行統(tǒng)計）1. 可容忍中斷時間小于30分鐘的系統(tǒng)數(shù)量： 2. 可容忍中斷時間大于30分鐘、小于12小時的系統(tǒng)數(shù)量： 3. 可容忍中斷時間大于12小時的系統(tǒng)數(shù)量： （按災(zāi)備情況進行統(tǒng)計）1. 進行系統(tǒng)級災(zāi)備的系統(tǒng)數(shù)量： 2. 僅對數(shù)據(jù)進行災(zāi)備的系統(tǒng)數(shù)量： 3. 無災(zāi)備的系統(tǒng)數(shù)量： 系統(tǒng)構(gòu)成情況主要硬件和軟件服務(wù)器路由器交換機防火墻磁盤陣列磁帶庫操作系統(tǒng)數(shù)據(jù)庫國內(nèi)品牌數(shù)量（臺/套）國外品牌數(shù)量（臺/套）業(yè)務(wù)應(yīng)用軟件系統(tǒng)（統(tǒng)計3年內(nèi)數(shù)據(jù)）1. 自主設(shè)計開發(fā)（不含二次開發(fā)）的套數(shù)： 2. 委托國內(nèi)廠商開發(fā)的套數(shù)：

23、委托國外廠商開發(fā)的套數(shù)： 3. 直接采購國內(nèi)廠商產(chǎn)品的套數(shù)： 直接采購國外廠商產(chǎn)品的套數(shù)： 二、重要工業(yè)控制系統(tǒng)安全檢查情況基本情況重要工業(yè)控制系統(tǒng)運營單位總數(shù)： 家重要工業(yè)控制系統(tǒng)總數(shù)： 套系統(tǒng)類型情況國內(nèi)品牌國外品牌數(shù)據(jù)采集與監(jiān)控（SCADA）系統(tǒng)套套分布式控制系統(tǒng)（DCS）套套過程控制系統(tǒng)（PCS）套套可編程控制器（PLC）臺臺工業(yè)控制網(wǎng)絡(luò)連接情況1. 直接與互聯(lián)網(wǎng)連接的重要工業(yè)控制系統(tǒng)數(shù)量： 套2. 與內(nèi)部局域網(wǎng)連接的重要工業(yè)控制系統(tǒng)數(shù)量： 套3. 含有無線接入方式的重要工業(yè)控制系統(tǒng)數(shù)量： 套運行維護情況1. 采用遠程方式運行維護的重要工業(yè)控制系統(tǒng)數(shù)量： 套2. 由國內(nèi)廠商提供運行維護

24、服務(wù)的重要工業(yè)控制系統(tǒng)數(shù)量： 套3. 由國外廠商提供運行維護服務(wù)的重要工業(yè)控制系統(tǒng)數(shù)量： 套信息安全防護情況1. 網(wǎng)絡(luò)邊界處架設(shè)網(wǎng)絡(luò)安全設(shè)備的重要工業(yè)控制系統(tǒng)數(shù)量： 套2. 安裝防病毒軟件或設(shè)備的重要工業(yè)控制系統(tǒng)數(shù)量： 套3. 定期進行安全更新的重要工業(yè)控制系統(tǒng)數(shù)量： 套4. 采取加密措施傳輸、存儲敏感數(shù)據(jù)的重要工業(yè)控制系統(tǒng)數(shù)量： 套三、本年度信息安全事件及技術(shù)檢測情況信息安全事件 信息安全事件分級標準參見國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預案（國辦函2008168號）情況特別重大信息安全事件次數(shù)： 重大信息安全事件次數(shù)： 較大信息安全事件次數(shù)： 一般信息安全事件次數(shù)： 地區(qū)/行業(yè)統(tǒng)一組織的技術(shù)檢測情

25、況惡意代碼 本表所稱惡意代碼，是指病毒木馬等具有避開安全保護措施、竊取他人信息、損害他人計算機及信息系統(tǒng)資源、對他人計算機及信息系統(tǒng)實施遠程控制等功能的代碼或程序。檢測進行過病毒木馬等惡意代碼檢測的服務(wù)器臺數(shù)：_其中，存在惡意代碼的服務(wù)器臺數(shù)：_進行過病毒木馬等惡意代碼檢測的終端計算機臺數(shù)：_其中，存在惡意代碼的終端計算機臺數(shù)：_安全漏洞檢測進行過漏洞掃描的服務(wù)器臺數(shù)：_其中，存在漏洞的服務(wù)器臺數(shù)：_存在高風險漏洞本表所稱高風險漏洞，是指計算機硬件、軟件或信息系統(tǒng)中存在的嚴重安全缺陷，利用這些缺陷可完全控制或部分控制計算機及信息系統(tǒng)，對計算機及信息系統(tǒng)實施攻擊、破壞、信息竊取等行為。的服務(wù)器臺

26、數(shù)：_進行過漏洞掃描的終端計算機臺數(shù)：_其中，存在漏洞的終端計算機臺數(shù)：_存在高風險漏洞的終端計算機臺數(shù)：_附件3市直單位信息安全自查情況登記表一、部門（單位）基本情況部門（單位）名稱分管信息安全工作的領(lǐng)導姓名：_職務(wù)：_信息安全管理（或工作）機構(gòu)（如辦公室）名稱：_負責人：_ 職務(wù)：_聯(lián)系人：_ 電話：_二、信息系統(tǒng)基本情況信息系統(tǒng)情況信息系統(tǒng)總數(shù)：_個提供公共服務(wù)、開展社會管理和市場監(jiān)管的系統(tǒng)數(shù)量：_個其中，重要系統(tǒng)數(shù)量：_個本年度經(jīng)過風險評估（含安全測評、等級測評）的系統(tǒng)數(shù)量：_個系統(tǒng)定級情況第一級：_個 第二級：_個 第三級：_個第四級：_個 第五級：_個 未定級：_個三、日常信息安全

27、管理情況人員管理重點崗位人員安全保密協(xié)議：全部簽訂 部分簽訂 均未簽訂人員離崗離職安全管理規(guī)定：已制定 未制定外部人員訪問機房等重要區(qū)域?qū)徟贫龋阂呀?未建立資產(chǎn)管理資產(chǎn)管理制度：已建立 未建立設(shè)備維修維護和報廢管理： 已建立管理制度，且維修維護和報廢記錄完整 已建立管理制度，但維修維護和報廢記錄不完整 未建立管理制度四、信息安全防護情況網(wǎng)絡(luò)邊界安全防護互聯(lián)網(wǎng)接入口總數(shù)：_個 其中：聯(lián)通 接入口數(shù)量：_個 電信 接入口數(shù)量：_個 其他： _ 接入口數(shù)量：_個網(wǎng)絡(luò)安全防護設(shè)備部署（可多選）： 防火墻 入侵檢測設(shè)備 安全審計設(shè)備 防病毒網(wǎng)關(guān) 抗拒絕服務(wù)攻擊設(shè)備 其它：_網(wǎng)絡(luò)訪問日志：留存日志 未

28、留存日志安全防護設(shè)備策略：使用默認配置 根據(jù)應(yīng)用自主配置無線局域網(wǎng)安全防護辦公區(qū)域無線局域網(wǎng)接入設(shè)備（無線路由器）數(shù)量： 個網(wǎng)絡(luò)用途：訪問互聯(lián)網(wǎng)： 個 訪問業(yè)務(wù)/辦公網(wǎng)絡(luò)： 個安全防護策略（可多選）：采取身份鑒別措施： 個 采取地址過濾措施： 個未設(shè)置： 個門戶網(wǎng)站安全防護網(wǎng)頁防篡改措施：采用 未采用漏洞掃描：定期掃描，周期 不定期 未進行信息發(fā)布管理：已建立審核制度，且審核記錄完整 已建立審核制度，但審核記錄不完整 未建立審核制度電子郵件安全防護郵箱注冊：注冊郵箱賬號須經(jīng)審批 任意注冊使用賬戶口令防護：使用技術(shù)措施控制和管理口令強度 無口令強度限制技術(shù)措施終端計算機安全防護安全管理方式： 集

29、中統(tǒng)一管理（可多選）規(guī)范軟硬件安裝 統(tǒng)一補丁升級 統(tǒng)一病毒防護統(tǒng)一安全審計 對移動存儲介質(zhì)接入實施控制 分散管理接入互聯(lián)網(wǎng)安全控制措施： 有控制措施（如實名接入、綁定計算機IP和MAC地址等） 無控制措施移動存儲介質(zhì)安全防護安全管理方式： 集中管理，統(tǒng)一登記、配發(fā)、收回、維修、報廢、銷毀 未采取集中管理方式電子信息保護：已配備信息消除和銷毀設(shè)備 未配備信息消除和銷毀設(shè)備五、信息安全應(yīng)急工作情況信息安全應(yīng)急預案已制定 本年度修訂情況：修訂 未修訂未制定信息安全應(yīng)急演練本年度演練時間 本年度未開展信息安全災(zāi)難備份重要數(shù)據(jù)：已備份，備份周期：實時，日，周，月，不定期未備份重要信息系統(tǒng)：已備份，備份周

30、期：實時，日，周，月，不定期未備份應(yīng)急技術(shù)支援隊伍部門所屬單位 外部專業(yè)機構(gòu) 無六、信息安全教育培訓情況培訓次數(shù)本年度開展信息安全教育培訓的次數(shù)：_次培訓人數(shù)本年度接受信息安全教育培訓的人數(shù)：_人 占本部門總?cè)藬?shù)的比例：_專業(yè)培訓本年度信息安全管理和技術(shù)人員參加專業(yè)培訓：_人次七、信息技術(shù)產(chǎn)品應(yīng)用情況服務(wù)器總臺數(shù)：_，其中國產(chǎn)本表所稱國產(chǎn)，是指具有國內(nèi)品牌，最終產(chǎn)品在中國境內(nèi)生產(chǎn)，并符合法律法規(guī)和政策規(guī)定的其他條件。臺數(shù)：_終端計算機（含筆記本）總臺數(shù)：_，其中國產(chǎn)臺數(shù)：_網(wǎng)絡(luò)設(shè)備（路由器、交換機等）總臺數(shù)：_，其中國產(chǎn)臺數(shù)：_操作系統(tǒng)服務(wù)器操作系統(tǒng)情況：使用國產(chǎn)操作系統(tǒng)（如紅旗Linux、麒麟等）的服務(wù)器臺數(shù)：_使用國外操作系統(tǒng)（如Windows、HP-UNIX、Solaris、AIX等）的服務(wù)器臺數(shù)：_終端計算機操作系統(tǒng)情況：使用國產(chǎn)操作系統(tǒng)的計算機臺數(shù)：_使用Windows操作系統(tǒng)的計算機臺數(shù)：_使用其他操作系統(tǒng)的計算機臺數(shù)：_數(shù)據(jù)庫總套數(shù)：_，其中國產(chǎn)套數(shù)：_公文處理軟件（終端計算機安裝）安裝國產(chǎn)公文處理軟件的終端計算機臺數(shù)：_安裝國外公文處理軟件的終端計算機臺數(shù)：_信息安全產(chǎn)品防火墻等訪問控制設(shè)備（不含終端軟件防火墻