陕西煤业股份信息化建设情况.docx

陕西煤业股份信息化建设情况.docx

《陕西煤业股份信息化建设情况.docx》由会员分享，可在线阅读，更多相关《陕西煤业股份信息化建设情况.docx（33页珍藏版）》请在冰点文库上搜索。

陕西煤业股份信息化建设情况

陕西煤业股份信息化建设情况

调查问卷表

煤业股份经营管理部

二〇〇九年十二月

调研单位（公章）

签发人职务

填表联系人所在部门及职务

电话手机

电子邮件填表时间

填报说明

1

调查

内容

调查内容组成：

各单位组织构架、信息化基本情况，信息化基础建设，信息化应用与效果，,目前信息化存在的问题,对股份公司推进企业信息化的意见和建议。

2

调查

范围

1.基本要求

填报的数据应能反映主业和主要业务实体的情况。

除特别说明外，填报时的取数范围均按照最大的统计范围计算，即包含总部以及能实施管理控制的下属单位在内的总体数据（按新会计制度对“控制”的定义，统计到所有三级以上单位）。

3

报送

要求

1.本调查表须由各单位分管信息化的领导签发，并加盖公章。

4

填表

要求

1.除非特别说明，不得有缺项，否则将可能影响统计与分析结果。

2.如对部分问题尚不能提供准确数据或判断，请提供接近实际情况的最佳估计。

3．尽量少选择“其他”选项，如选择“其他”，必须注明具体内容，否则默认为零。

4.本表中所有数字项如果不填写，则默认为零。

第一部分、总体情况调研

组织架构

提供组织架构图（提供到3级以上）。

目前应用系统一览

序号

系统名称

应用部门

开发商

业务功能内容

是否开

发接口

1.

财务核算

2.

资金管理

3.

人力资源管理

4.

预算管理

5.

物资供应

6.

运销管理

7.

OA

8.

资产管理

9.

10.

11.

12.

13.

14.

网络拓扑图

请提供网络拓扑图，并说明。

第二部分、信息化基本情况

2.1信息化领导机构设置情况

□专门设立部门    □暂由其它部门代理其职能 ，

□部门名称：

__________________

2.2信息化工作机构设置情况

信息化工作机构名称：

_________________________    

联系人：

____________________    联系电话：

__________________

电子邮箱：

__________________________

2.3信息化管理部门的职能（可多选）：

□负责信息化规划、计划                □负责信息化资金的落实

□负责信息化项目的实施管理            □没有信息化管理部门

□其他职能（请说明）                           

2.4信息化人员配备情况

□专门设置岗位    □暂由其它岗位代理

在岗共__________ 人　　平均在岗时间 _____________ 年

信息技术专业人员_______人，具体硕士以上学历占______%，

本科学历占________%。

2.5信息化规划情况

1）信息化规划情况:

（单选）

□单列的信息化整体（或年度）规划    □分散在总体规划中  

□无成文的信息化规划

2）信息化规划制定工作属于：

（单选）

□自己完成   □委托顾问公司完成  □委托上级主管单位完成  

□其它 -----

2.6网路基础环境

网络调查

本地局域网类型

局域网

带宽

电脑接入局域网的比例

接入互联网服务提供商

接入互联网带宽

接入互联网方式

是否有控制上互联网机制

□有      

□无

内网与外网是否隔离

□是         □否

控制上互连网

原因（多选）

□无上网需求     □技术条件限制    

□工作岗位要求限制    

□单位规定限制   □其它：

电脑上互联网的比例

专用服务器主机数量

服务器用途（多选）

□Web服务器□邮件服务器□应用服务器

□数据库服务器  □其它:

2.7编码体系情况：

1）编码标准化情况：

□部门自行定义     □采用企业代码     □采用行业代码

□采用国家代码     □采用国际代码

2）编码实现程度：

□全部实现         □部分实现         □尚未着手

（说明：

单位整体编码—部门、人员、往来单位、物资设备等基础信息）

2.8未来最需要解决哪方面的问题（最多选3项）：

□ 基础设备缺乏 □ 应用软件缺乏 □ 系统整合不够 □支持与维护不足

□ 信息化专业咨询不足 □IT人员缺乏 □领导不够重视  □资金缺乏

□ 上级部门指导不够 □当地IT服务提供商服务质量不够       

□ 其它            

2.9希望信息服务机构能提供什么样的信息服务？

□信息化建设评估  □信息化建设项目监理   □指导咨询   □新技术讲座

□ 其它                                 

2.10对通过互联网提供的企业级应用或服务的获取意向

□根本不会考虑    □希望有所了解    □会考虑，但感觉不够安全

□会考虑，但供应商必须提供足够的安全措施和承诺      □积极采用

2.11认为比较适合利用互联网提供的企业级应用或服务有（可多选）？

□在线进销存 □财务核算系统  □资金管理系统  □预算管理系统 

□办公自动化系统  □人力资源管理系统□客户关系管理系统 

 □供应链管理系统 □网络语音/视频会议系统  □在线杀毒

□其它：

____________________________________________________

2.12在管理方面，目前急需解决的问题：

□市场营销   □生产管理   □物料采购  □成本控制  □辅助决策   □其他

第三部分、信息化基础建设

3.1核心网络设备采用的技术集中度情况

A、1或2种B、3或4种C、5或6种D、7种以上

3.2在用的主要数据库类型集中度情况

A、1或2种B、3或4种C、5或6种D、7种以上

3.3在用的主要服务器端操作系统集中度情况

A、1或2种B、3或4种C、5或6种D、7种以上

3.4应用模块化、松耦合、可配置的信息技术架构的情况

A、全部采用B、大部分采用C、局部采用

D、有采用计划E、无采用计划

3.5已发布的信息化标准包括（可多选）

A、信息代码标准B、数据源定义标准C、应用平台标准

D、业务流程标准E、信息系统开发标准

F、系统间信息交换接口标准G、其他，请填写

3.6以公文方式发布的信息化管理规范体系包括（可多选）

A、规划计划管理规范B、信息化建设项目绩效评价规范

C、项目招投标管理规范D、项目实施规范E、项目验收规范F、系统运行维护规范G、安全管理规范H、其他，请填写

3.7集成统一网络建设情况

1）是否建成集成统一网络

A、是B、否

2）如已建成集成统一网络，则企业内部集成统一网络覆盖的单位和业务节点（包含管理岗位和生产岗位）的比例%

3.8基础架构与应用的匹配度

A、主要基础架构基本可以满足未来3-4年的需求

B、主要基础架构基本满足未来2-3年的信息化需求

C、基础架构仅满足现在的信息化需求

D、基础设施已无法满足当前应用的需求

3.9数据中心建设情况

A、建有数据中心，统一进行建设、管理、维护和升级

B、各二级单位建有数据中心，在二级单位内部进行统一的系统建设、管理、维护和升级

C、各三级单位建有数据中心，在三级单位内部进行统一的系统建设、管理、维护和升级

D、没有建设数据中心

E、其他,请填写

第四部分、信息化应用与效果

应用系统

目前状态

建设时间

负责人

应用情况

使用单位

用户数量

使用时间

使用效果

是否与其他系统集成

财务核算

资金管理

人力资源管理

预算管理

物资供应

运销管理

OA

资产管理

说明:

目前状态包括:

建设中、使用中、停止使用。

使用效果包括：

一般（勉强满足业务需要，但仍需要重大改善）、良好（能满足主要业务需要，但仍需优化）、

优（能满足业务需要，提升和改善了业务流

第五部分、信息安全管理

5.1安全管理机构

序号

检查项

结果

备注

1

信息安全管理

机构设置

□以下发公文方式正式设置了信息安全管理工作的专门职能机构。

□设立了信息安全管理工作的职能机构，但还不是专门的职能机构。

□其它。

2

信息安全管理职责分工情况

□信息安全管理的各个方面职责有正式的书面分工，并明确具体的责任人。

□有明确的职责分工，但责任人不明确。

□其它。

3

人员配备

□配备一定数量的系统管理人员、网络管理人员、安全管理人员等;安全管理人员不能兼任网络管理员、系统管理员、数据库管理员等。

□配备一定数量的系统管理人员、网络管理人员、安全管理人员等，但安全管理人员兼任网络管理员、系统管理员、数据库管理员等。

□其它。

4

关键安全管理活动的授权和审批

□定义关键安全管理活动的列表，并有正式成文的审批程序，审批活动有完整的记录。

□有正式成文的审批程序，但审批活动没有完整的记录。

□其它。

5

与外部组织沟通合作

□与外部组织建立沟通合作机制，并形成正式文件和程序。

□与外部组织仅进行了沟通合作的口头承诺。

□其它。

6

与组织机构

内部沟通合作

□各部门之间建立沟通合作机制，并形成正式文件和程序。

□各部门之间的沟通合作基于惯例，未形成正式文件和程序。

□其它。

5.2安全管理制度

序号

检查项

结果

备注

1

信息安全策略

□明确信息安全策略，包括总体目标、范围、原则和安全框架等内容。

□包括相关文件，但内容覆盖不全面。

□其它

2

安全管理制度

□安全管理制度覆盖物理、网络、主机系统、数据、应用、建设和管理等层面的重要管理内容。

□有安全管理制度，但不全面。

□其它。

3

操作规程

□应对安全管理人员或操作人员执行的重要管理操作建立操作规程。

□有操作规程，但不全面。

□其它。

4

安全管理制度

的论证和审定

□组织相关人员进行正式的论证和审定，具备论证或审定结论。

□其它。

5

安全管理制度

的发布

□文件发布具备明确的流程、方式和对象范围。

□部分文件的发布不明确。

□其它。

6

安全管理制度

的维护

□有正式的文件进行授权专门的部门或人员负责安全管理制度的制定、保存、销毁、版本控制，并定期评审与修订。

□安全管理制度分散管理，缺乏定期修订。

□其它。

7

执行情况

□所有操作规程的执行都具备详细的记录文档。

□部分操作规程的执行都具备详细的记录文档。

□其它。

5.3人员安全管理

序号

检查项

结果

备注

1

重点、敏感岗位人员录用和审查

□为与信息安全密切相关的重点、敏感岗位人员制定特殊的录用要求。

对被录用人的身份、背景和专业资格进行审查，对技术人员的技术技能进行考核，有严格的制度规定要求。

□其它。

2

保密协议

的签署

□与从事关键岗位的人员签署保密协议，包括保密范围、保密责任、违约责任、协议的有效期限和责任人签字等内容。

□其它。

3

人员离岗

□规范人员离岗过程，有具体的离岗控制方法，及时终止离岗人员的所有访问权限并取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。

□其它。

4

安全意识

教育

□根据岗位要求进行有针对性的信息安全意识培训。

□未根据岗位要求进行有针对性的信息安全意识培训，仅开展全员安全意识教育。

□其它。

5

安全技能

培训

□制定了有针对性的安全技能培训计划，培训内容包含信息安全基础知识、岗位操作规程等，并认真实施，而且有培训记录。

□安全技能培训针对性不强，效果不显著。

□其它。

6

在岗人员

考核

□定期对所有人员进行安全技能及安全知识的考核，对重点、敏感岗位的人员进行全面、严格的安全审查。

□仅对重点、敏感岗位的人员进行全面、严格的安全审查，未普及到全员。

□其它。

7

惩戒措施

□告知人员相关的安全责任和惩戒措施，并对违反违背安全策略和规定的人员进行惩戒。

□有惩戒措施，但效果不佳。

□其它。

8

外部人员访问管理

□外部人员访问受控区域前得到授权或审批，批准后由专人全程陪同或监督，并登记备案。

□外部人员访问受控区域前得到授权或审批，但不能全程陪同或监督。

□其它。

5.4物理安全

序号

检查项

结果

备注

1

物理位置选择。

机房和办公场地所在的建筑，抗拒人为破坏和自然灾害的能力。

□机房和办公场地所在的建筑周边具备防止无关人员接近的措施，并且根据当地的自然环境设置了必要的防震、防火和防水的措施。

□机房和办公场地所在的建筑具备基本的抗拒人为破坏和自然灾害的能力，但防护强度有待提高。

□其它。

2

机房出入控制情况

□设置专人和自动化技术措施，对出入机房的人员进行全面的鉴别、监控和记录。

□设置专人或自动化技术措施，对出入机房的人员进行鉴别，但没有监控和完整的记录。

□其它。

3

机房环境。

机房配备防火、防水、防雷、防静电、温度湿度调节等措施，并提供充足稳

定的电源，为机房中的设备提供良好的运行环境。

□机房环境保障完全达到相关国家标准的要求。

□少部分机房环境保障措施没有达到有关标准要求，但可以在短时间内有效整改。

□其它。

4

电磁防护。

电源线和通信线缆

应隔离铺设，避免

互相干扰。

□采用接地方式防止外界电磁干扰和设备寄生耦合干扰;电源线和通信线缆隔离，避免互相干扰。

□其它。

5.5网络安全

序号

检查项

结果

备注

1

网络拓扑结构图

□有正式的文档化的网络拓扑结构图，且完全与实际运行的网络结构相吻合。

□有文档化的网络拓扑结构图，关键部分吻合。

□其它。

2

网络冗余设计

□对关键网络设备进行了冗余设计，以增强网络的健壮性和可用性。

□对部分关键网络设备进行了冗余设计。

□其它。

3

网络安全域划分

□按照信息资源的重要程度进行了细致的安全域划分。

□按照信息资源的重要程度进行了基本的安全域划分。

□其它。

4

安全域访问控制

□根据业务需要实施了严格的访问控制措施。

□实施了访问控制措施，但访问控制粒度较粗。

□其它

5

网络准入控制。

防止未授权人员接入到网络中来，以引入安全风险。

□有网络准入控制措施，且严格执行。

□己有准入控制措施，但未严格执行。

□其它。

6

网络入侵防范

□检测网络边界处的网络攻击行为，发生严重入侵事件时提供报警，并能及时响应和处理。

□检测网络边界处的网络攻击行为，并提供报警。

□其它。

7

安全审计。

便于安全事件发生后进行溯源追踪

□配备审计设备且进行了良好配置，能够定期查看和分析审计日志。

□配备审计设备且进行了良好配置，但未能定期查看和分析审计日志。

□其它。

5.6设备和主机安全

序号

检查项

结果

备注

1

设备用户身份标识。

□每个设备的用户拥有自己唯一的身份标识。

□根据用户职责以小组为单位分配身份标识。

□其它。

2

管理员登录地址限制。

通过对管理员登录地址的限制，降低非法网络接入后取得设备使用权限的可能。

□管理员只能通过有限的、固定的IP地址和MAC地址登录。

□管理员职能在一个固定的IP地址段登录。

□其它

3

设备用户身份鉴别。

通过严格的口令设置和管理，保障身份鉴别的准确性。

□设备的登录密码复杂不易猜测、定期更换且加密存储。

□设备的登录密码复杂不易猜测且加密存储，但没有做到定期更换。

□其它。

4

登录失败处理。

采用有效措施，对于失败和异常的登录活动进行妥善处理

□采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施。

□采取结束会话、限制非法登录次数的措施。

□其它。

5

管理信息防窃听。

采用有效措施对设备的管理信息进行加密

□对所有管理通信进行了加密。

□对鉴别信息的通信进行了加密。

□其它。

5.7操作系统安全

序号

检查项

结果

备注

1

身份标识。

为操作系统和数据库系统用户建立身份标识。

□所有操作系统和数据库系统为其所有用户建立了唯一的用户标识。

□关键主机的操作系统和数据库系统为其所有用户建立了唯一的用户标识，而其它主机和终端的操作系统和数据库系统没有为其所有用户建立了唯一的用户标识。

□其它。

2

身份鉴别。

通过严格的口令设置和管理，保障对操作系统和数据库系统身份鉴别的准确性。

□所有操作系统和数据库系统的登录密码复杂不易猜测、定期更换且加密存储。

□关键主机的操作系统和数据库系统登录密码复杂不易猜测、定期更换且加密存储，而其它主机和终端的操作系统和数据库的登录密码则不够严格。

□其它。

3

访问控制。

加强服务器的用户权限管理。

□所有服务器的操作系统和数据库系统的特权用户权限分离，默认账户和口令进行了修改，无用的账户已删除。

□关键主机的操作系统和数据库系统机操作系统和数据库系统的特权用户权限分离，默认账户和口令进行了修改，无用的账户已删除；而其它主机和终端没有做到。

□其它。

4

安全审计。

为操作系统和数据库系统部署有效的审计措施。

□审计范围覆盖重要服务器操作系统和数据库的所有用户的行为、资源使用情况和重要命令的执行，以及这些活动的时间、主体标识、客体标识以及结果；审计记录被妥善保存。

□建立了针对重要服务器操作系统和数据库的审计措施，但没有达到以上所有的要求。

□无审计措施。

5

入侵防范。

通过严格的安全配置和补丁更新消除可能被入侵者利用的安全漏洞。

□操作系统仅安装了必要的组件和应用程序，仅开放了必要的服务，并且及时保持补丁更新以消除严重的安全漏洞。

□操作系统仅安装了必要应用程序，关闭了大多数无用的端口，删除了大多数无用的系统组件，进行了部分补丁更新。

□其它。

6

恶意代码防范。

通过防病毒技术措施，对恶意代码进行有效监控

□为服务器和终端安装防恶意代码软件，及时更新防恶意代码软件版本和恶意代码库；支持防恶意代码软件的统一管理。

□为服务器和终端安装防恶意代码软件，但防恶意代码软件版本和恶意代码库更新不及时；支持防恶意代码软件的统一管理，但少量服务器和终端未覆盖到。

□其它。

7

资源控制。

对用户使用操作系统资源的情况进行合理的限制。

□对重要服务器的操作系统和数据库系统通过设定终端接入方式、网络地址范围等条件限制终端登录，并当操作系统和数据库系统的服务水平降低到预先规定的最小值时，能够监测和报警。

□当操作系统和数据库系统的服务水平降低到预先规定的最小值时，能够监测和报警。

□其它。

5.8应用安全

序号

检查项

结果

备注

1

身份标识和鉴别。

采用专用的登录控制模块对登录用户进行身份标识和鉴别

□各个应用系统均采用专用的登录模块，提供用户身份标识唯一和鉴别信息复杂度检查功能，提供登录失败处理功能。

对关键应用系统中的同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。

□关键系统中采用了身份标识和鉴别，但鉴别信息复杂度检查功能不足，弱口令现象存在。

对关键应用系统中的同一用户采用一种鉴别技术实现用户身份鉴别。

□各个系统均未采用身份标识与鉴别。

2

访问控制功能

□不同帐户为完成各自承担任务所需的最小权限，严格限制默认帐户的访问权限，特权用户的权限分离，权限之间相互制约。

访问控制的粒度到数据级。

□不同帐户权限不是最小的。

访问控制的粒度到功能级。

□访问控制无限制。

3

应用系统安全审计

□应用系统提供审计功能，对用户的各类操作均进行细致的审计（例如，用户标识与鉴别、访问控制的所有操作记录、重要用户行为、系统资源的异常使用、重要系统命令的使用等），并定期对应用系统重要安全事件的审计记录进行检查，分析异常情况产生的原因。

□应用系统提供审计功能，但审计不全面，仅记录重要的事件和操作。

□对用户的操作不进行审计。

4

通信完整性。

采用密码技术保证通信过程中数据的完整性。

□对重要信息系统中的关键数据采用数据完整性校验技术。

□其它。

5

通信保密性。

通信过程中的整个报文或会话过程进行加密

□应用系统的敏感数据通信过程均采用国家有关部门要求的密码技术保证保密性。

□应用系统的敏感数据通信时采用密码技术保证保密性，但未采用国家有关部门要求的密码技术。

□未采用措施保护通信保密性。

6

应用系统业务软件容错功能

□提供数据有效性检验功能，保证输入的数据格式和长度符合系统设定要求。

重要应用系统提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复。

□提供数据有效性检验功能，但系统出现问题时不能自动恢复。

□不提供软件容错功能。

7

应用系统资源

控制能力

□对于重要的应用系统，限制单个帐户的多重并发会话，当应用系统的服务水平降低到预先设定的最小值时，系统报警。

□对于重要的应用系统，限制单个帐户的多重并发会话。

□应用系统不提供资源控制功能。

5.9数据安全

序号

检查项

结果

备注

1

业务数据完整性

□对重要业务数据在传输和存储时采取了必要的完整性保证措施。

□其它。

2

业务数据保密性

□对重要业务数据在传输和存储时采取