衡水市2013年度信息安全檢查實施方案

1、衡水市2013年度信息安全檢查實施方案一、檢查目的通過開展常態(tài)化的信息安全檢查，進(jìn)一步落實信息安全責(zé)任，增強(qiáng)人員信息安全意識，認(rèn)真查找突出問題和薄弱環(huán)節(jié)，全面排查安全隱患和安全漏洞，分析評估信息安全狀況和防護(hù)水平，有針對性地采取管理和技術(shù)防護(hù)措施，促進(jìn)安全防范水平和安全可控能力提升，預(yù)防和減少重大信息安全事件的發(fā)生，切實保障信息安全。二、檢查范圍安全檢查的范圍包括全市各級政務(wù)部門、重要信息系統(tǒng)和城市供水供氣供熱等市政領(lǐng)域。涉及國家秘密的信息系統(tǒng)安全檢查，按照國家保密管理規(guī)定和標(biāo)準(zhǔn)執(zhí)行。三、檢查內(nèi)容（一）信息安全管理情況。按照國家信息安全政策和標(biāo)準(zhǔn)規(guī)范要求，建立健全信息安全管理規(guī)章制度及落實情況

2、。重點(diǎn)檢查信息安全主管領(lǐng)導(dǎo)、管理機(jī)構(gòu)和工作人員履職情況，信息安全責(zé)任制落實及事故責(zé)任追究情況，人員、資產(chǎn)、采購、外包服務(wù)等日常安全管理情況，信息安全經(jīng)費(fèi)保障情況等。（二）技術(shù)防護(hù)情況。網(wǎng)絡(luò)與信息系統(tǒng)防病毒、防攻擊、防篡改、防癱瘓、防泄密等技術(shù)措施及有效性。重點(diǎn)檢查事關(guān)國家安全和社會穩(wěn)定，對地區(qū)、部門或行業(yè)正常生產(chǎn)生活具有較大影響的重要網(wǎng)絡(luò)與信息系統(tǒng)（含工業(yè)控制系統(tǒng)）的安全防護(hù)情況，包括技術(shù)防護(hù)體系建立情況；網(wǎng)絡(luò)邊界防護(hù)措施，不同網(wǎng)絡(luò)或信息系統(tǒng)之間安全隔離措施，互聯(lián)網(wǎng)接入安全防護(hù)措施，無線局域網(wǎng)安全防護(hù)策略等；服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等安全策略配置及有效性，應(yīng)用系統(tǒng)安全功能配置及有效性；終端計

3、算機(jī)、移動存儲介質(zhì)安全防護(hù)措施；重要數(shù)據(jù)傳輸、存儲的安全防護(hù)措施；采用數(shù)字證書進(jìn)行系統(tǒng)防護(hù)的措施等。（三）應(yīng)急工作情況。按照我市網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案要求，建立健全信息安全應(yīng)急工作機(jī)制情況。重點(diǎn)檢查信息安全事件應(yīng)急預(yù)案制修訂情況，應(yīng)急預(yù)案演練情況；應(yīng)急技術(shù)支撐隊伍、災(zāi)難備份與恢復(fù)措施建設(shè)情況，重大信息安全事件處置及查處情況等。（四）安全教育培訓(xùn)情況。重點(diǎn)檢查信息安全和保密形勢宣傳教育、領(lǐng)導(dǎo)干部和各級人員信息安全技能培訓(xùn)、信息安全管理和技術(shù)人員專業(yè)培訓(xùn)情況等。（五）安全問題整改情況。重點(diǎn)檢查以往信息安全檢查中發(fā)現(xiàn)問題的整改情況，包括整改措施、整改效果及復(fù)查情況，以及類似問題的排查情況等，分析

4、安全威脅和安全風(fēng)險，進(jìn)一步評估總體安全狀況。四、檢查方式按照“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)”的原則，信息安全檢查工作以各縣市區(qū)、各部門自查為主。同時，市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室將組織專業(yè)技術(shù)隊伍對部分重點(diǎn)單位和重要系統(tǒng)進(jìn)行安全抽查。五、安全自查各縣市區(qū)結(jié)合實際統(tǒng)籌安排本地區(qū)政務(wù)部門以及供水供氣供熱等市政領(lǐng)域信息安全自查工作。市直各部門結(jié)合實際組織開展本部門安全自查工作。各縣市區(qū)、各部門（單位）參照本工作方案，結(jié)合實際組織制定信息安全檢查實施方案，印發(fā)檢查部署文件，明確自查范圍、責(zé)任單位、工作安排及工作要求等相關(guān)內(nèi)容，并認(rèn)真組織實施?？山M織開展抽查，督促自查單位開展自查工作，了解掌握自查工作進(jìn)

5、展情況，采取技術(shù)手段深入發(fā)現(xiàn)安全問題和薄弱環(huán)節(jié)，并及時研究解決檢查工作中遇到的重大問題。自查工作完成后，各縣市區(qū)、各部門（單位）要對檢查情況進(jìn)行全面匯總總結(jié)，填寫檢查結(jié)果統(tǒng)計表，認(rèn)真梳理存在的主要問題，分析評估安全風(fēng)險，撰寫檢查總結(jié)報告。六、安全抽查（一）技術(shù)抽測。依托省信息安全測評中心，對全市重點(diǎn)網(wǎng)站進(jìn)行抽測。（二）抽查重點(diǎn)內(nèi)容。市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室將組織專門人員隨機(jī)對各縣市區(qū)、各部門的自查情況進(jìn)行抽查。1. 現(xiàn)場抽查內(nèi)容。重點(diǎn)檢查被抽查單位自查工作組織開展情況，2012年安全檢查發(fā)現(xiàn)問題的整改情況，網(wǎng)絡(luò)架構(gòu)、安全區(qū)域劃分的合理性，網(wǎng)絡(luò)邊界防護(hù)措施的完備性，服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)

6、備等的安全策略配置、應(yīng)用系統(tǒng)安全功能配置及其有效性，重要數(shù)據(jù)傳輸、存儲的安全防護(hù)措施。專業(yè)技術(shù)隊伍應(yīng)對重要設(shè)備和應(yīng)用系統(tǒng)進(jìn)行安全技術(shù)檢測，深入挖掘安全漏洞，采用人工方式對安全漏洞的可利用性進(jìn)行驗證，幫助排查安全隱患，分析評估安全風(fēng)險。2. 外部檢測內(nèi)容。通過互聯(lián)網(wǎng)對被抽測網(wǎng)站系統(tǒng)的安全風(fēng)險狀況進(jìn)行外部檢測，包括安全漏洞、網(wǎng)頁篡改、惡意代碼情況以及近年來安全檢查中發(fā)現(xiàn)問題的整改情況等，驗證被抽查系統(tǒng)安全防護(hù)措施的有效性。七、時間安排（一）自查時間安排。檢查工作自本工作方案印發(fā)之日起啟動。2013年9月25日前，各縣市區(qū)、各部門（單位）將加蓋公章的檢查總結(jié)報告、檢查結(jié)果統(tǒng)計表（附件2）、自查情況登

7、記表（附件3，僅市直各單位）和自評估表（附件1，僅市直單位），以與之涉密程度相應(yīng)的信函或傳真等方式報送市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室。各附件可以從 網(wǎng)站的通知公告欄下載。（二）抽查時間安排。抽查工作自9月2日起啟動，9月25日前完成。八、信息報送（一）為便于了解掌握檢查工作進(jìn)展情況，分別于8月30日和9月16日前，將本縣市區(qū)、本部門自查工作進(jìn)展情況發(fā)至hsxxhbgs郵箱。（二）各縣市區(qū)、各部門（單位）在自查中發(fā)現(xiàn)重大安全隱患，或出現(xiàn)因檢查工作導(dǎo)致的跨地區(qū)、跨部門或跨行業(yè)安全問題時，應(yīng)及時向市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室報告。九、工作要求（一）加強(qiáng)領(lǐng)導(dǎo)，落實責(zé)任。各縣市區(qū)、各部門（單位）要把信

8、息安全檢查工作列入重要議事日程，加強(qiáng)組織領(lǐng)導(dǎo)，明確檢查責(zé)任，建立并落實信息安全檢查工作責(zé)任制，明確檢查工作負(fù)責(zé)人、檢查機(jī)構(gòu)和檢查人員，安排并落實檢查工作經(jīng)費(fèi)，保證檢查工作順利進(jìn)行。（二）注重源頭，深入檢查。各縣市區(qū)、各部門（單位）要全面細(xì)致開展檢查工作，注重采用技術(shù)檢測等手段，深入查找安全問題和隱患，確保檢查工作不走過場、不漏環(huán)節(jié)、不留死角。要高度重視檢查中發(fā)現(xiàn)的苗頭性、趨勢性問題，全面系統(tǒng)地分析研究解決，從源頭上遏制和消除安全隱患。（三）即查即改，確保成效。各縣市區(qū)、各部門（單位）對檢查中發(fā)現(xiàn)的問題要及時整改，因條件不具備暫時不能整改的問題應(yīng)采取臨時防范措施，保證系統(tǒng)安全正常運(yùn)行。市網(wǎng)絡(luò)與信

9、息安全協(xié)調(diào)小組辦公室將及時對檢查中發(fā)現(xiàn)的問題通報給相關(guān)單位，督促相關(guān)單位組織風(fēng)險研判并落實整改措施。（四）控制風(fēng)險，強(qiáng)化保密。各縣市區(qū)、各部門（單位）和承擔(dān)抽查任務(wù)的專業(yè)技術(shù)隊伍要針對檢查工作技術(shù)性強(qiáng)的特點(diǎn)，強(qiáng)化風(fēng)險控制措施，周密制定應(yīng)急預(yù)案，確保被檢查信息系統(tǒng)的正常運(yùn)行和重要數(shù)據(jù)安全。要高度重視保密工作，對檢查中有關(guān)人員、相關(guān)文檔和數(shù)據(jù)進(jìn)行嚴(yán)格管理，確保檢查數(shù)據(jù)和檢查結(jié)果不被泄露。通信地址：衡水市育才南大街918號 市工業(yè)和信息化局（市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室）807室郵政編碼：053000聯(lián)系電話：2661389附件：1. 信息安全管理工作自評估表（試行）2. 信息安全檢查結(jié)果統(tǒng)計表3

10、. 信息安全自查情況登記表附件1市直單位信息安全管理工作自評估表（試行）評估指標(biāo)評價要素評價標(biāo)準(zhǔn)權(quán)重（V）指標(biāo)屬性量化方法（P為量化值）評估得分（VP）信息安全組織管理信息安全主管領(lǐng)導(dǎo)明確一名主管領(lǐng)導(dǎo)負(fù)責(zé)本部門信息安全工作（主管領(lǐng)導(dǎo)應(yīng)為本部門正職或副職領(lǐng)導(dǎo)）。3定性已明確，本年度就信息安全工作作出批示或主持召開專題會議，P = 1；已明確，本年度未就信息安全工作作出批示或主持召開專題會議，P = 0.5；尚未明確，P = 0。信息安全管理機(jī)構(gòu)指定一個機(jī)構(gòu)具體承擔(dān)信息安全管理工作（管理機(jī)構(gòu)應(yīng)為本部門二級機(jī)構(gòu)）。2定性已指定，并以正式文件等形式明確其職責(zé)，P = 1；未指定，P = 0。信息安全員

11、各內(nèi)設(shè)機(jī)構(gòu)指定一名專職或兼職信息安全員。2定量P = 指定信息安全員的內(nèi)設(shè)機(jī)構(gòu)數(shù)量與內(nèi)設(shè)機(jī)構(gòu)總數(shù)的比率。信息安全日常管理規(guī)章制度制度完整性建立信息安全管理制度體系，涵蓋人員管理、資產(chǎn)管理、采購管理、外包管理、教育培訓(xùn)等方面。3定性制度完整，P = 1；制度不完整，P = 0.5；無制度，P = 0。制度發(fā)布安全管理制度以正式文件等形式發(fā)布。2定性符合，P = 1；不符合，P = 0。人員管理重點(diǎn)崗位人員簽訂安全保密協(xié)議重點(diǎn)崗位人員（系統(tǒng)管理員、網(wǎng)絡(luò)管理員、信息安全員等）簽訂信息安全與保密協(xié)議。2定量P = 重點(diǎn)崗位人員中簽訂信息安全與保密協(xié)議的比率。人員離崗離職管理措施人員離崗離職時，收回其相

12、關(guān)權(quán)限，簽署安全保密承諾書。1定性符合，P = 1；不符合，P = 0。外部人員訪問管理措施外部人員訪問機(jī)房等重要區(qū)域時采取審批、人員陪同、進(jìn)出記錄等安全管理措施。2定性符合，P = 1；不符合，P = 0。資產(chǎn)管理責(zé)任落實指定專人負(fù)責(zé)資產(chǎn)管理，并明確責(zé)任人職責(zé)。2定性符合，P = 1；不符合，P = 0。建立臺賬建立完整資產(chǎn)臺賬，統(tǒng)一編號、統(tǒng)一標(biāo)識、統(tǒng)一發(fā)放。2定性符合，P = 1；不符合，P = 0。賬物符合度資產(chǎn)臺賬與實際設(shè)備相一致。2定性符合，P = 1；不符合，P = 0。設(shè)備維修維護(hù)和報廢管理措施完整記錄設(shè)備維修維護(hù)和報廢信息（時間、地點(diǎn)、內(nèi)容、責(zé)任人等）。2定性記錄完整，P =

13、1；記錄基本完整，P = 0.5；記錄不完整或無記錄，P = 0。外包管理外包服務(wù)協(xié)議與信息技術(shù)外包服務(wù)提供商簽訂信息安全與保密協(xié)議，或在服務(wù)合同中明確信息安全與保密責(zé)任。2定性符合，P = 1；不符合，P = 0?，F(xiàn)場服務(wù)管理現(xiàn)場服務(wù)過程中安排專人管理，并記錄服務(wù)過程。2定性記錄完整，P = 1；記錄不完整，P = 0.5；無記錄，P = 0。外包開發(fā)管理外包開發(fā)的系統(tǒng)、軟件上線前通過信息安全測評。2定量P =外包開發(fā)的系統(tǒng)、軟件上線前通過信息安全測評的比率。運(yùn)維服務(wù)方式原則上不得采用遠(yuǎn)程在線方式，確需采用時采取書面審批、訪問控制、在線監(jiān)測、日志審計等安全防護(hù)措施。2定性符合，P = 1；不

14、符合，P = 0。經(jīng)費(fèi)保障經(jīng)費(fèi)預(yù)算將信息安全設(shè)施運(yùn)維、日常管理、教育培訓(xùn)、檢查評估等費(fèi)用納入年度預(yù)算。3定性符合，P = 1；不符合，P = 0。網(wǎng)站內(nèi)容管理網(wǎng)站信息發(fā)布網(wǎng)站信息發(fā)布前采取內(nèi)容核查、審批等安全管理措施。2定性符合，P = 1；不符合，P = 0。電子信息管理介質(zhì)銷毀和信息消除配備必要的電子信息消除和銷毀設(shè)備，對變更用途的存儲介質(zhì)進(jìn)行信息消除，對廢棄的存儲介質(zhì)進(jìn)行銷毀。1定性符合，P = 1；不符合，P = 0。信息安全防護(hù)管理物理環(huán)境安全機(jī)房安全具備防盜竊、防破壞、防雷擊、防火、防水、防潮、防靜電及備用電力供應(yīng)、溫濕度控制、電磁防護(hù)等安全措施。3定性符合，P = 1；不符合，P

15、 = 0。物理訪問控制機(jī)房配備門禁系統(tǒng)或有專人值守。1定性符合，P = 1；不符合，P = 0。網(wǎng)絡(luò)邊界安全訪問控制網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，能夠阻斷非授權(quán)訪問。3定性符合，P = 1；有設(shè)備，但未配置策略，P = 0.5；無設(shè)備，P = 0。入侵檢測網(wǎng)絡(luò)邊界部署入侵檢測設(shè)備，定期更新檢測規(guī)則庫。3定性符合，P = 1；有設(shè)備，但未定期更新，P = 0.5；無設(shè)備，P = 0。安全審計網(wǎng)絡(luò)邊界部署安全審計設(shè)備，對網(wǎng)絡(luò)訪問情況進(jìn)行定期分析審計并記錄審計情況。3定性符合，P = 1；有設(shè)備，但未定期分析，P = 0.5；無設(shè)備，P = 0?；ヂ?lián)網(wǎng)接入口數(shù)量各單位同一辦公區(qū)域內(nèi)互聯(lián)網(wǎng)接入口不超過2個

16、。2定性符合，P = 1；不符合，P = 0。設(shè)備安全惡意代碼防護(hù)部署防病毒網(wǎng)關(guān)或統(tǒng)一安裝防病毒軟件，并定期更新惡意代碼庫。2定性符合，P = 1； 不符合，P = 0。服務(wù)器口令策略配置口令策略保證服務(wù)器口令強(qiáng)度和更新頻率。2定量P = 配置了口令策略的服務(wù)器比率。服務(wù)器安全審計啟用安全審計功能并進(jìn)行定期分析。1定量P = 對安全審計日志進(jìn)行定期分析的服務(wù)器比率。服務(wù)器補(bǔ)丁更新及時對服務(wù)器操作系統(tǒng)補(bǔ)丁和數(shù)據(jù)庫管理系統(tǒng)補(bǔ)丁進(jìn)行更新。1定量P = 補(bǔ)丁得到及時更新的服務(wù)器比率。網(wǎng)絡(luò)設(shè)備和安全設(shè)備口令策略配置口令策略保證網(wǎng)絡(luò)設(shè)備和安全設(shè)備口令強(qiáng)度和更新頻率。2定量P = 網(wǎng)絡(luò)設(shè)備和安全設(shè)備（指重要

17、設(shè)備）中配置了口令策略的比率。終端計算機(jī)統(tǒng)一防護(hù)采取集中統(tǒng)一管理方式對終端進(jìn)行防護(hù)，統(tǒng)一軟件下發(fā)、安裝系統(tǒng)補(bǔ)丁。2定性符合，P = 1；不符合，P = 0。終端計算機(jī)接入控制采取技術(shù)措施（如部署集中管理系統(tǒng)、將IP地址與MAC地址綁定等）對接入本單位網(wǎng)絡(luò)的終端計算機(jī)進(jìn)行控制。1定性符合，P = 1；不符合，P = 0。應(yīng)用系統(tǒng)安全應(yīng)用系統(tǒng)安全漏洞掃描定期對業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)、網(wǎng)站系統(tǒng)、郵件系統(tǒng)等應(yīng)用系統(tǒng)進(jìn)行安全漏洞掃描。2定性符合，P = 1；不符合，P = 0。門戶網(wǎng)站防篡改措施門戶網(wǎng)站采取網(wǎng)頁防篡改措施。2定性符合，P = 1；不符合，P = 0。門戶網(wǎng)站抗拒絕服務(wù)攻擊措施門戶網(wǎng)站采取抗拒

18、絕服務(wù)攻擊措施。2定性符合，P = 1；不符合，P = 0。電子郵件賬號注冊審批建立郵件賬號開通審批程序，防止郵件賬號任意注冊使用。2定性符合，P = 1；不符合，P = 0。電子郵箱賬戶口令策略配置口令策略保證電子郵箱口令強(qiáng)度和更新頻率。2定性符合，P = 1；不符合，P = 0。郵件清理定期清理工作郵件。1定性符合，P = 1；不符合，P = 0。數(shù)據(jù)安全數(shù)據(jù)存儲保護(hù)采取技術(shù)措施（如加密、分區(qū)存儲等）對存儲的重要數(shù)據(jù)進(jìn)行保護(hù)。2定性符合，P = 1；不符合，P = 0。數(shù)據(jù)傳輸保護(hù)采取技術(shù)措施對傳輸?shù)闹匾獢?shù)據(jù)進(jìn)行加密和校驗。2定性符合，P = 1；不符合，P = 0。數(shù)據(jù)和系統(tǒng)備份采取技術(shù)

19、措施對重要數(shù)據(jù)和系統(tǒng)進(jìn)行定期備份。2定性符合，P = 1；不符合，P = 0。數(shù)據(jù)中心、災(zāi)備中心設(shè)立數(shù)據(jù)中心、災(zāi)備中心應(yīng)設(shè)立在境內(nèi)。1定性符合，P = 1；不符合，P = 0。信息安全應(yīng)急管理應(yīng)急預(yù)案制定信息安全事件應(yīng)急預(yù)案（為部門級預(yù)案，非單個信息系統(tǒng)的安全應(yīng)急預(yù)案），并使相關(guān)人員熟悉應(yīng)急預(yù)案。2定性符合，P = 1；不符合，P = 0。應(yīng)急演練開展應(yīng)急演練，并留存演練計劃、方案、記錄、總結(jié)等文檔。2定性符合，P = 1；不符合，P = 0。應(yīng)急資源指定應(yīng)急技術(shù)支援隊伍，配備必要的備機(jī)、備件等應(yīng)急物資。1定性符合，P = 1；不符合，P = 0。事件處置發(fā)生信息安全事件后，及時向主管領(lǐng)導(dǎo)報告

20、，按照預(yù)案開展處置工作；重大事件及時通報信息安全主管部門。2定性發(fā)生過事件并按要求處置，或者未發(fā)生過安全事件，P = 1；發(fā)生過事件但未按要求處置，P = 0。信息安全教育培訓(xùn)意識教育面向全體人員開展信息安全形勢與警示教育、基本技能培訓(xùn)等活動。2定量本年度開展活動的次數(shù)3，P = 1；次數(shù)=2，P = 0.7；次數(shù)=1，P = 0.3；次數(shù)=0，P = 0。專業(yè)培訓(xùn)定期開展信息安全管理人員和技術(shù)人員專業(yè)培訓(xùn)。2定量P = 本年度信息安全管理和技術(shù)人員中參加專業(yè)培訓(xùn)的比率。信息安全檢查工作部署下發(fā)檢查工作相關(guān)文件或者組織召開專題會議，對年度檢查工作進(jìn)行部署。2定性符合，P = 1；不符合，P =

21、 0。工作機(jī)制明確檢查工作負(fù)責(zé)人，落實檢查機(jī)構(gòu)和檢查人員。2定性符合，P = 1；不符合，P = 0。檢查經(jīng)費(fèi)安排并落實檢查工作經(jīng)費(fèi)。2定性符合，P = 1；不符合，P = 0。附件2信息安全檢查結(jié)果統(tǒng)計表設(shè)區(qū)市/部門/單位名稱： 一、重要信息系統(tǒng)安全檢查情況基本情況重要信息系統(tǒng)總數(shù)： （請另附系統(tǒng)清單）（按服務(wù)對象進(jìn)行統(tǒng)計）1. 面向社會公眾提供服務(wù)的系統(tǒng)數(shù)量： 2. 不面向社會公眾提供服務(wù)的系統(tǒng)數(shù)量： （按聯(lián)網(wǎng)情況進(jìn)行統(tǒng)計）1. 通過互聯(lián)網(wǎng)可直接訪問的系統(tǒng)數(shù)量： 2. 通過互聯(lián)網(wǎng)不能直接訪問的系統(tǒng)數(shù)量： 其中，與互聯(lián)網(wǎng)物理隔離的系統(tǒng)數(shù)量： （按數(shù)據(jù)集中情況進(jìn)行統(tǒng)計）1. 全國數(shù)據(jù)集中的系統(tǒng)

22、數(shù)量： 2. 省級數(shù)據(jù)集中的系統(tǒng)數(shù)量： 3. 未進(jìn)行數(shù)據(jù)集中的系統(tǒng)數(shù)量： （按業(yè)務(wù)連續(xù)性進(jìn)行統(tǒng)計）1. 可容忍中斷時間小于30分鐘的系統(tǒng)數(shù)量： 2. 可容忍中斷時間大于30分鐘、小于12小時的系統(tǒng)數(shù)量： 3. 可容忍中斷時間大于12小時的系統(tǒng)數(shù)量： （按災(zāi)備情況進(jìn)行統(tǒng)計）1. 進(jìn)行系統(tǒng)級災(zāi)備的系統(tǒng)數(shù)量： 2. 僅對數(shù)據(jù)進(jìn)行災(zāi)備的系統(tǒng)數(shù)量： 3. 無災(zāi)備的系統(tǒng)數(shù)量： 系統(tǒng)構(gòu)成情況主要硬件和軟件服務(wù)器路由器交換機(jī)防火墻磁盤陣列磁帶庫操作系統(tǒng)數(shù)據(jù)庫國內(nèi)品牌數(shù)量（臺/套）國外品牌數(shù)量（臺/套）業(yè)務(wù)應(yīng)用軟件系統(tǒng)（統(tǒng)計3年內(nèi)數(shù)據(jù)）1. 自主設(shè)計開發(fā)（不含二次開發(fā)）的套數(shù)： 2. 委托國內(nèi)廠商開發(fā)的套數(shù)：

23、委托國外廠商開發(fā)的套數(shù)： 3. 直接采購國內(nèi)廠商產(chǎn)品的套數(shù)： 直接采購國外廠商產(chǎn)品的套數(shù)： 二、重要工業(yè)控制系統(tǒng)安全檢查情況基本情況重要工業(yè)控制系統(tǒng)運(yùn)營單位總數(shù)： 家重要工業(yè)控制系統(tǒng)總數(shù)： 套系統(tǒng)類型情況國內(nèi)品牌國外品牌數(shù)據(jù)采集與監(jiān)控（SCADA）系統(tǒng)套套分布式控制系統(tǒng)（DCS）套套過程控制系統(tǒng)（PCS）套套可編程控制器（PLC）臺臺工業(yè)控制網(wǎng)絡(luò)連接情況1. 直接與互聯(lián)網(wǎng)連接的重要工業(yè)控制系統(tǒng)數(shù)量： 套2. 與內(nèi)部局域網(wǎng)連接的重要工業(yè)控制系統(tǒng)數(shù)量： 套3. 含有無線接入方式的重要工業(yè)控制系統(tǒng)數(shù)量： 套運(yùn)行維護(hù)情況1. 采用遠(yuǎn)程方式運(yùn)行維護(hù)的重要工業(yè)控制系統(tǒng)數(shù)量： 套2. 由國內(nèi)廠商提供運(yùn)行維護(hù)

24、服務(wù)的重要工業(yè)控制系統(tǒng)數(shù)量： 套3. 由國外廠商提供運(yùn)行維護(hù)服務(wù)的重要工業(yè)控制系統(tǒng)數(shù)量： 套信息安全防護(hù)情況1. 網(wǎng)絡(luò)邊界處架設(shè)網(wǎng)絡(luò)安全設(shè)備的重要工業(yè)控制系統(tǒng)數(shù)量： 套2. 安裝防病毒軟件或設(shè)備的重要工業(yè)控制系統(tǒng)數(shù)量： 套3. 定期進(jìn)行安全更新的重要工業(yè)控制系統(tǒng)數(shù)量： 套4. 采取加密措施傳輸、存儲敏感數(shù)據(jù)的重要工業(yè)控制系統(tǒng)數(shù)量： 套三、本年度信息安全事件及技術(shù)檢測情況信息安全事件 信息安全事件分級標(biāo)準(zhǔn)參見國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案（國辦函2008168號）情況特別重大信息安全事件次數(shù)： 重大信息安全事件次數(shù)： 較大信息安全事件次數(shù)： 一般信息安全事件次數(shù)： 地區(qū)/行業(yè)統(tǒng)一組織的技術(shù)檢測情

25、況惡意代碼 本表所稱惡意代碼，是指病毒木馬等具有避開安全保護(hù)措施、竊取他人信息、損害他人計算機(jī)及信息系統(tǒng)資源、對他人計算機(jī)及信息系統(tǒng)實施遠(yuǎn)程控制等功能的代碼或程序。檢測進(jìn)行過病毒木馬等惡意代碼檢測的服務(wù)器臺數(shù)：_其中，存在惡意代碼的服務(wù)器臺數(shù)：_進(jìn)行過病毒木馬等惡意代碼檢測的終端計算機(jī)臺數(shù)：_其中，存在惡意代碼的終端計算機(jī)臺數(shù)：_安全漏洞檢測進(jìn)行過漏洞掃描的服務(wù)器臺數(shù)：_其中，存在漏洞的服務(wù)器臺數(shù)：_存在高風(fēng)險漏洞本表所稱高風(fēng)險漏洞，是指計算機(jī)硬件、軟件或信息系統(tǒng)中存在的嚴(yán)重安全缺陷，利用這些缺陷可完全控制或部分控制計算機(jī)及信息系統(tǒng)，對計算機(jī)及信息系統(tǒng)實施攻擊、破壞、信息竊取等行為。的服務(wù)器臺

26、數(shù)：_進(jìn)行過漏洞掃描的終端計算機(jī)臺數(shù)：_其中，存在漏洞的終端計算機(jī)臺數(shù)：_存在高風(fēng)險漏洞的終端計算機(jī)臺數(shù)：_附件3市直單位信息安全自查情況登記表一、部門（單位）基本情況部門（單位）名稱分管信息安全工作的領(lǐng)導(dǎo)姓名：_職務(wù)：_信息安全管理（或工作）機(jī)構(gòu)（如辦公室）名稱：_負(fù)責(zé)人：_ 職務(wù)：_聯(lián)系人：_ 電話：_二、信息系統(tǒng)基本情況信息系統(tǒng)情況信息系統(tǒng)總數(shù)：_個提供公共服務(wù)、開展社會管理和市場監(jiān)管的系統(tǒng)數(shù)量：_個其中，重要系統(tǒng)數(shù)量：_個本年度經(jīng)過風(fēng)險評估（含安全測評、等級測評）的系統(tǒng)數(shù)量：_個系統(tǒng)定級情況第一級：_個 第二級：_個 第三級：_個第四級：_個 第五級：_個 未定級：_個三、日常信息安全

27、管理情況人員管理重點(diǎn)崗位人員安全保密協(xié)議：全部簽訂 部分簽訂 均未簽訂人員離崗離職安全管理規(guī)定：已制定 未制定外部人員訪問機(jī)房等重要區(qū)域?qū)徟贫龋阂呀?未建立資產(chǎn)管理資產(chǎn)管理制度：已建立 未建立設(shè)備維修維護(hù)和報廢管理： 已建立管理制度，且維修維護(hù)和報廢記錄完整 已建立管理制度，但維修維護(hù)和報廢記錄不完整 未建立管理制度四、信息安全防護(hù)情況網(wǎng)絡(luò)邊界安全防護(hù)互聯(lián)網(wǎng)接入口總數(shù)：_個 其中：聯(lián)通 接入口數(shù)量：_個 電信 接入口數(shù)量：_個 其他： _ 接入口數(shù)量：_個網(wǎng)絡(luò)安全防護(hù)設(shè)備部署（可多選）： 防火墻 入侵檢測設(shè)備 安全審計設(shè)備 防病毒網(wǎng)關(guān) 抗拒絕服務(wù)攻擊設(shè)備 其它：_網(wǎng)絡(luò)訪問日志：留存日志 未

28、留存日志安全防護(hù)設(shè)備策略：使用默認(rèn)配置 根據(jù)應(yīng)用自主配置無線局域網(wǎng)安全防護(hù)辦公區(qū)域無線局域網(wǎng)接入設(shè)備（無線路由器）數(shù)量： 個網(wǎng)絡(luò)用途：訪問互聯(lián)網(wǎng)： 個 訪問業(yè)務(wù)/辦公網(wǎng)絡(luò)： 個安全防護(hù)策略（可多選）：采取身份鑒別措施： 個 采取地址過濾措施： 個未設(shè)置： 個門戶網(wǎng)站安全防護(hù)網(wǎng)頁防篡改措施：采用 未采用漏洞掃描：定期掃描，周期 不定期 未進(jìn)行信息發(fā)布管理：已建立審核制度，且審核記錄完整 已建立審核制度，但審核記錄不完整 未建立審核制度電子郵件安全防護(hù)郵箱注冊：注冊郵箱賬號須經(jīng)審批 任意注冊使用賬戶口令防護(hù)：使用技術(shù)措施控制和管理口令強(qiáng)度 無口令強(qiáng)度限制技術(shù)措施終端計算機(jī)安全防護(hù)安全管理方式： 集

29、中統(tǒng)一管理（可多選）規(guī)范軟硬件安裝 統(tǒng)一補(bǔ)丁升級 統(tǒng)一病毒防護(hù)統(tǒng)一安全審計 對移動存儲介質(zhì)接入實施控制 分散管理接入互聯(lián)網(wǎng)安全控制措施： 有控制措施（如實名接入、綁定計算機(jī)IP和MAC地址等） 無控制措施移動存儲介質(zhì)安全防護(hù)安全管理方式： 集中管理，統(tǒng)一登記、配發(fā)、收回、維修、報廢、銷毀 未采取集中管理方式電子信息保護(hù)：已配備信息消除和銷毀設(shè)備 未配備信息消除和銷毀設(shè)備五、信息安全應(yīng)急工作情況信息安全應(yīng)急預(yù)案已制定 本年度修訂情況：修訂 未修訂未制定信息安全應(yīng)急演練本年度演練時間 本年度未開展信息安全災(zāi)難備份重要數(shù)據(jù)：已備份，備份周期：實時，日，周，月，不定期未備份重要信息系統(tǒng)：已備份，備份周

30、期：實時，日，周，月，不定期未備份應(yīng)急技術(shù)支援隊伍部門所屬單位 外部專業(yè)機(jī)構(gòu) 無六、信息安全教育培訓(xùn)情況培訓(xùn)次數(shù)本年度開展信息安全教育培訓(xùn)的次數(shù)：_次培訓(xùn)人數(shù)本年度接受信息安全教育培訓(xùn)的人數(shù)：_人 占本部門總?cè)藬?shù)的比例：_專業(yè)培訓(xùn)本年度信息安全管理和技術(shù)人員參加專業(yè)培訓(xùn)：_人次七、信息技術(shù)產(chǎn)品應(yīng)用情況服務(wù)器總臺數(shù)：_，其中國產(chǎn)本表所稱國產(chǎn)，是指具有國內(nèi)品牌，最終產(chǎn)品在中國境內(nèi)生產(chǎn)，并符合法律法規(guī)和政策規(guī)定的其他條件。臺數(shù)：_終端計算機(jī)（含筆記本）總臺數(shù)：_，其中國產(chǎn)臺數(shù)：_網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)等）總臺數(shù)：_，其中國產(chǎn)臺數(shù)：_操作系統(tǒng)服務(wù)器操作系統(tǒng)情況：使用國產(chǎn)操作系統(tǒng)（如紅旗Linux、麒麟等）的服務(wù)器臺數(shù)：_使用國外操作系統(tǒng)（如Windows、HP-UNIX、Solaris、AIX等）的服務(wù)器臺數(shù)：_終端計算機(jī)操作系統(tǒng)情況：使用國產(chǎn)操作系統(tǒng)的計算機(jī)臺數(shù)：_使用Windows操作系統(tǒng)的計算機(jī)臺數(shù)：_使用其他操作系統(tǒng)的計算機(jī)臺數(shù)：_數(shù)據(jù)庫總套數(shù)：_，其中國產(chǎn)套數(shù)：_公文處理軟件（終端計算機(jī)安裝）安裝國產(chǎn)公文處理軟件的終端計算機(jī)臺數(shù)：_安裝國外公文處理軟件的終端計算機(jī)臺數(shù)：_信息安全產(chǎn)品防火墻等訪問控制設(shè)備（不含終端軟件防火墻