工業(yè)企業(yè)信息安全自查報告

——10—工業(yè)企業(yè)信息安全自查手冊填寫單位〔蓋章〕2022年 月 一、確定企業(yè)重點(diǎn)自查的重點(diǎn)信息系統(tǒng)和工業(yè)掌握系統(tǒng)〔一〕了解系統(tǒng)根本特征查記錄表〔1〕實(shí)時性效勞對象連接互聯(lián)網(wǎng)狀況實(shí)時性效勞對象連接互聯(lián)網(wǎng)狀況狀況災(zāi)備狀況序號系統(tǒng)名稱實(shí)非時實(shí)時面向社會公眾不面對社會公眾承受承受規(guī)律強(qiáng)隔施連接1EMS√√2345全子系僅不公公不統(tǒng)數(shù)無連司司集級據(jù)災(zāi)接數(shù)數(shù)中災(zāi)災(zāi)備√據(jù)√據(jù)備√備1規(guī)律強(qiáng)隔離指使用規(guī)律強(qiáng)隔離設(shè)備〔使用正向、反向或雙向網(wǎng)閘〕進(jìn)展的網(wǎng)絡(luò)隔離?！捕撤治鱿到y(tǒng)重要性依據(jù)對本企業(yè)在用系統(tǒng)根本狀況核查結(jié)果，分析每一個系統(tǒng)的影響程度等安全特征，記錄分析結(jié)果〔2〕2系統(tǒng)重要性分析記錄表序序號系統(tǒng)名稱影響程度影響程度高中低高中低1EMS√√2345序系統(tǒng)名稱系統(tǒng)所在單位序系統(tǒng)名稱系統(tǒng)所在單位5信息系統(tǒng)和工業(yè)掌握表〔31個，23個。3重要信息系統(tǒng)和工業(yè)掌握系統(tǒng)表號1EMS寶山鋼鐵股份能環(huán)部234說明：系統(tǒng)所在單位指具體治理該系統(tǒng)的子公司或分公司二、重要信息系統(tǒng)根本狀況〔一〕重要信息系統(tǒng)根本狀況按前面確定的系統(tǒng)，逐個開展系統(tǒng)根本狀況構(gòu)成狀況自查，統(tǒng)根本構(gòu)成狀況分硬件構(gòu)成和軟件構(gòu)成，分別進(jìn)展自查并填寫《重要信息系統(tǒng)主要軟硬件檢查記錄表〔4單位，即可將表格復(fù)印，由相關(guān)下屬單位填寫。系統(tǒng)名稱：EMS檢查項檢查結(jié)果國內(nèi)其他：系統(tǒng)名稱：EMS檢查項檢查結(jié)果國內(nèi)其他：1.品牌，套數(shù)品牌紅旗麒麟2.品牌操套數(shù)，套數(shù)〔如有更多，請另列表〕- -作其他：系國外主1.品牌，套數(shù)RedHat Unix AIX2.品牌，套數(shù)〔如有更多，請另列表〕292-其他：金倉達(dá)夢1.品牌，套數(shù)2.品牌，套數(shù)〔如有更多，請另列表〕要統(tǒng)品牌軟件套數(shù)數(shù)國內(nèi)據(jù)品牌庫套數(shù)- -國外品牌 Oracle DB2 SQLServer套數(shù)1.設(shè)備類型：，1.設(shè)備類型：，品牌，套數(shù)2.設(shè)備類型：，品牌，套數(shù)〔如有更多，請另列表〕1.設(shè)備類型：，品牌，套數(shù)2.設(shè)備類型：，品牌，套數(shù)〔如有更多，請另列表〕國內(nèi)其他國外

其他：品牌 ，套數(shù)品牌 ，套數(shù)〔如有更多，請另列表〕國內(nèi) 浪潮 曙光 聯(lián)想 方正 其他：品牌 1.品牌 ，數(shù)量服- - - 服數(shù)量務(wù)

品牌 ，數(shù)量〔如有更多，請另列表〕器 國外品牌

IBM HP DELL 其他：品牌 ，數(shù)量主要 數(shù)量硬件國內(nèi)

- 19 -華為 中興 其他：

品牌 ，數(shù)量〔如有更多，請另列表〕路 品牌由 數(shù)量器

品牌 ，數(shù)量- - 2.品牌 ，數(shù)量

〔如有更多，請另列表〕國外 Cisco品牌 -

Juniper-

H3C-

其他：品牌 ，數(shù)量1.品牌，數(shù)量2.品牌，數(shù)量〔如有更多，請另列表〕1.品牌，數(shù)量2.品牌，數(shù)量〔如有更多，請另列表〕1.設(shè)備類型：，品牌，數(shù)量2.設(shè)備類型：，品牌，數(shù)量〔如有更多，請另列表〕1.設(shè)備類型：，品牌，數(shù)量2.設(shè)備類型：，品牌，數(shù)量〔如有更多，請另列表〕數(shù)量2.數(shù)量2.品牌，數(shù)量〔如有更多，請另列表〕華為中興其他：國內(nèi)1.品牌，數(shù)量品牌2.品牌，數(shù)量交數(shù)量〔如有更多，請另列表〕換Hischma機(jī)國外Cisco3COM 其他：nn1.品牌，數(shù)量品牌數(shù)量3412.品牌，數(shù)量〔如有更多，請另列表〕防國內(nèi)火墻國外國內(nèi)其他國外(二〕重要工業(yè)掌握系統(tǒng)根本狀況重點(diǎn)工業(yè)掌握系統(tǒng)的類型和構(gòu)成狀況，記錄自查結(jié)果〔5)5工業(yè)掌握系統(tǒng)類型與構(gòu)成狀況檢查記錄表檢查項檢查結(jié)果國內(nèi)品牌國外品牌數(shù)據(jù)采集與監(jiān)控〔SCADA〕系統(tǒng)8套〕系統(tǒng)類型分布式掌握系統(tǒng)〔DCS〕過程掌握系統(tǒng)〔PCS〕大型〔臺〕可編程掌握器中型〔臺〕西門子〔62臺〕〔PLC〕小型〔臺〕設(shè)備狀況儀表就地測控設(shè)備 智能電子設(shè)備〔IED〕遠(yuǎn)端設(shè)備〔RTU〕西門子〔1臺〕組態(tài)監(jiān)控軟件西門子〔12套〕應(yīng)用效勞器-工系統(tǒng)軟件微軟〔28套〕程師工作站PC機(jī)/效勞器惠普〔28臺〕系統(tǒng)構(gòu)成數(shù)據(jù)庫軟件Oracle〔2〕數(shù)據(jù)效勞器 系統(tǒng)軟件Oracle〔2〕PC機(jī)/效勞器惠普〔2臺〕通信設(shè)備Cisco〔3〕〔三〕信息技術(shù)效勞外包安全保密協(xié)議等、記錄檢查結(jié)果〔6〕6信息技術(shù)外包效勞檢查結(jié)果記錄表檢查項

寶信軟件

檢查結(jié)果機(jī)構(gòu)性質(zhì) ■國有 □民營 外包服務(wù)機(jī)構(gòu)

效勞內(nèi)容效勞方式保密協(xié)議機(jī)構(gòu)名稱機(jī)構(gòu)性質(zhì)

□遠(yuǎn)程在線效勞■現(xiàn)場效勞■已簽訂 □未簽訂□國有 □民營 □外資外包服務(wù)機(jī)構(gòu)

效勞內(nèi)容效勞方式保密協(xié)議機(jī)構(gòu)名稱

□遠(yuǎn)程在線效勞□現(xiàn)場效勞□已簽訂 □未簽訂3

機(jī)構(gòu)性質(zhì)效勞內(nèi)容效勞方式

□國有 □民營 □遠(yuǎn)程在線效勞□現(xiàn)場效勞□已簽訂 □未簽訂保密協(xié)議保密協(xié)議〔如有更多，可另列表〕說明：本表可復(fù)印，每個系統(tǒng)填寫一張表固、數(shù)據(jù)存貯、規(guī)劃詢問、災(zāi)難備份三、技術(shù)防護(hù)狀況技術(shù)防護(hù)自查主要針對納入自查的重點(diǎn)系統(tǒng)、對每一個系統(tǒng)結(jié)果〔7)。本局部的內(nèi)容由系統(tǒng)所在單位填寫。7技術(shù)防護(hù)狀況檢查記錄表系統(tǒng)名稱系統(tǒng)名稱EMS檢查項檢查結(jié)果①安全域隔離狀況：√規(guī)律強(qiáng)隔離 □規(guī)律隔離 □無隔離②連接互聯(lián)網(wǎng)狀況：□連接互聯(lián)網(wǎng)：互聯(lián)網(wǎng)接入總數(shù)： 個其中□聯(lián)通 接入口數(shù)量: 個接入帶寬: 兆網(wǎng)絡(luò)邊界□電信 接入口數(shù)量: 個接入帶寬: 兆1防護(hù)□其他: 接入口數(shù)量: 個接入帶寬: 兆√不連接互聯(lián)網(wǎng)③網(wǎng)絡(luò)邊界防護(hù)措施〔多項選擇〕:√訪問掌握 □安全審計 □邊界完整性檢查 □入侵防范□惡意代碼防范 □VPN方式接入 □無措施安全防護(hù)①效勞器安全策略：□使用默認(rèn)配置 √依據(jù)應(yīng)用自主配置2策略□按需開放端口 □最小效勞配置②網(wǎng)絡(luò)設(shè)備安全策略：□使用默認(rèn)配置 □依據(jù)應(yīng)用自主配置②網(wǎng)絡(luò)設(shè)備安全策略：□使用默認(rèn)配置 □依據(jù)應(yīng)用自主配置□按需開放端口 √最小效勞配置③安全設(shè)備安全策略：□使用默認(rèn)配置 □依據(jù)應(yīng)用自主配置□按需開放端口 √最小效勞配置④應(yīng)用系統(tǒng)安全功能：□身份驗證 √訪問掌握 □安全審計①傳輸防護(hù)：√加密 □未加密重要數(shù)據(jù)3②存儲防護(hù)：√加密 □未加密防護(hù)③備份：√本地備份 √異地備份 □未備份密碼技術(shù)√使用密碼產(chǎn)品：√硬件產(chǎn)品 □軟件產(chǎn)品4防護(hù)□未使用密碼產(chǎn)品說明：如是工業(yè)掌握系統(tǒng)，是否按入互聯(lián)網(wǎng)則可理解為是否接入治理網(wǎng)，治理網(wǎng)是指與工業(yè)控網(wǎng)絡(luò)不同的企業(yè)經(jīng)營治理網(wǎng)絡(luò)四、安全治理狀況自查記錄〔8，此項內(nèi)是針對公司整體而言。8信息安全治理狀況自查記錄表檢查項檢查項檢查結(jié)果安分管信息①姓名： 陳剛 全安全工作②職務(wù)： 設(shè)備助理 〔本部門正職或副職領(lǐng)導(dǎo)〕管的領(lǐng)導(dǎo)理責(zé)任制 信息安全專職工作

①名稱： 設(shè)備治理室 ②負(fù)責(zé)人： 劉貴峰_職務(wù)： 主任工程師 ③聯(lián)系人： 劉貴峰 ： 26641583 ①名稱： 能源中心技術(shù)組 ②負(fù)責(zé)人： 方哲 機(jī)構(gòu)

：26646556 ①本單位內(nèi)設(shè)機(jī)構(gòu)數(shù)量： 1 信息安全員

2 任追究安 全治理制 度

③專職信息安全員數(shù)量： 2 ①崗位信息安全責(zé)任制度：√已制定 □未制定②安全責(zé)任事故：□發(fā)生過：□全部事故均已查處相關(guān)責(zé)任人□有事故未查處相關(guān)責(zé)任人√未發(fā)生過①重要崗位人員安全保密協(xié)議：√全部簽訂 □局部簽訂 □未簽訂②人員離崗離職安全治理規(guī)定：√已制定 □未制定③外部人員訪問審批制度：√已制定 □未制定①資產(chǎn)治理制度：√已制定 □未制定②是否指定專人進(jìn)展資產(chǎn)治理：√是 □否③設(shè)備修理維護(hù)和報廢治理制度：√已制定 □未制定④設(shè)備修理維護(hù)和報廢記錄是否完整：√是 □否存儲介質(zhì) ①存儲介質(zhì)治理制度：√已制定 治理 ②存儲介質(zhì)治理記錄：√完整 ③大容量存儲介質(zhì)：□外聯(lián)：□實(shí)行了技術(shù)防范措施治理培訓(xùn)經(jīng) 費(fèi) 費(fèi)預(yù)算投

√不外聯(lián)①日常運(yùn)維制度：√已制定 ②運(yùn)維操作手冊：√已制定 ③運(yùn)維操作記錄：√完整 □不完整①年度培訓(xùn)打算：√已制定 □未制定②本年度承受信息安全教育培訓(xùn)的人數(shù)： 占本單位總?cè)藬?shù)的比例： ％③本年度開展信息安全教育培訓(xùn)的次數(shù)： 次④本年度信息安全治理和技術(shù)人員參與專業(yè)培訓(xùn)： 人次本年度信息安全預(yù)算：√有，預(yù)算額： 20 萬元□無入 息安全經(jīng) 上年度信息安全經(jīng)費(fèi)實(shí)際投入額： 20 費(fèi)投入說明：表中資產(chǎn)是指軟硬件等與信息技術(shù)相關(guān)的資產(chǎn)。五、應(yīng)急處置及容災(zāi)備份狀況本項重點(diǎn)查看應(yīng)急預(yù)案制修訂，應(yīng)急演練和災(zāi)備措施等方面的狀況，記錄自查結(jié)果〔9。表9 應(yīng)急處置及容災(zāi)備份狀況自查結(jié)果記錄表檢查項 檢查結(jié)果信息安全 ①應(yīng)急預(yù)案：√已制定 1應(yīng)急預(yù)案 ②預(yù)案評估：√本年度已評估 □本年度未評估 應(yīng)急演練 √本年度已開展 □本年度未開展 ①重要系統(tǒng)：√全部備份 □局部備份 □未備份

②重要數(shù)據(jù)：√全部備份 □局部備份 ①應(yīng)急支援隊伍：√部門所屬隊伍 □外部專業(yè)機(jī)構(gòu) □無②備機(jī)備