信息安全检查内容自查表讲解学习.docx
《信息安全检查内容自查表讲解学习.docx》由会员分享,可在线阅读,更多相关《信息安全检查内容自查表讲解学习.docx(25页珍藏版)》请在冰点文库上搜索。
信息安全检查内容自查表讲解学习
二、检查项目表
1、检查基本信息
受检单位
基本信息
单位名称
鄂前旗供电有限责任公司
上级单位名称
鄂尔多斯电业局
本单位信息安全
第一责任人
张海峰
信息安全责任部门
鄂前旗供电公司安监部
检查方式
本单位自查口√
上级单位督查口
电监会抽查口
检查时间
2011年4月26日至5月10日
检查范围
规章制度、信息网络安全、人员管理、工程管理等
检查组基本信息
检查组织单位
鄂前旗供电公司
检查组组长
刘俊毅
检查组成员
高耀平、刘立新、张耀军、张瑞平
2、检查内容及记录
2.1、信息安全规章制度
序号
检查项
检查结果
备注
1
信息安全管理规章
制度是否健全
是
2
有关规章制度的制
定、发布、修订及执
行情况
由安监部制定、上公司会议研究后并发布
需说明信息安
全规章制度的
制定、发布、修
订及执行的主
体及相关程序。
3
国家有关信息安全
政策、法规的落实情
况
按国家及上级有关信息安全
政策、法规的要求执行
4
信息安全责任的落
实情况
公司成立了信通所,所长:
张瑞平
职责:
负责正常运行维护及安全管理
说明信息安全
负责人、责任机
构、责任人及其
信息安全职责。
5
电力二次系统安全
管理制度的制定情
况
电力二次系统安全
管理制度健全
6
电力二次系统安全
责任制的落实情况
电力二次系统安全
责任制已落实到责任部门及个人
需要
说明
的情
况
结果
受检方签字
刘立新
检查方签字
刘俊毅
确认
日期
2011-5-4
日期
2011-5-4
2.2、信息安全组织机构
序号
检查项
检查结果
备注
l
信息安全组织机构
是否健全
是
本单位及所有
下属单位是否
都有明确的信
息安全责任机
构。
2
信息安全职责是否
明确
是
信息安全机构
职责是否涵盖
了当前信息安
全工作的主要
方面。
3
信息安全管理机构
岗位设置、人员配备
情况
信息中心主任1名,工作人员1名
4
电力二次系统安全
防护组织机构的建
立情况
电力二次系统安全
防护组织机构未成立
需要
说明
的情
况
结果
受检方签字
张瑞平
检查方签字
刘俊毅
确认
日期
2011-5-6
日期
2011-5-6
2.3、信息安全资金保障
序号
检查项
检查结果
备注
1
信息安全运行维护
经费落实情况
未落实经费
给出运维经费
的数量及占信
息系统总体运
行维护资金的
比例。
2
信息化项目中信息
安全建设专项资金
落实情况
未落实经费
给出数量及所
占比例。
需要
说明
的情
况
结果
受检方签字
张瑞平
检查方签字
刘俊毅
确认
日期
2011-5-6
日期
2011-5-6
2.4、人员管理
序号
检查项
检查结果
备注
1
人员的安全保密意
识教育情况
授课,全员
开展形式及覆
盖范围。
2
人员安全技能培训
情况
无
需说明参加电
监会组织的培
训情况。
3
重点、敏感岗位人员
有无内控管理措施
无
如有,说明具体
措施。
4
外来人员管理情况
实行登记许可制度
主要针对外来
开发、维护、访
问人员的管理
措施。
需要
说明
的情
况
结果
受检方签字
刘立新
检查方签字
刘俊毅
确认
日期
2011-5-8
日期
2011-5-8
2.5、信息安全策略及总体防护体系
序号
检查项
检查结果
备注
1
单位信息安全总体
防护策略制定情况
未制定
“安全分区、网络专
用、横向隔离、纵向
认证“方针的贯彻落
实情况
只有调度自动化系统和管理信息大区实现了隔离
,3
电力二次系统安全
防护体系的建设情况
未建立
需要
说明
的情
况
结果
受检方签字
张瑞平
检查方签字
刘俊毅
确认
日期
2011-5-6
日期
2011-5-6
2.6、分区防御
序号
检查项
检查结果
备注
1
生产控制大区和管
理信息大区内部相
应分区情况
内部没有分区
2
各类系统和设备分
区部署情况
分两个大区:
调度自动化(生产控制),管理信息系统。
从网络和信息系
统两个方面说明。
3
生产控制大区与管
理信息大区网络边
界横向隔离防护情
况
仅调度自动化系统与管理信息大区有正向物理隔离装置和防火墙
重点检查正向隔
离装置和反向隔
离装置的部署情
况,列举未升级为
lbit版本的横向隔
离装置的部署位
置和台数。
4
纵向加密认证装置
部署情况
无安全防护措施
如未部署纵向加
密认证装置,说明
现有生产控制大
区纵向网络边界
安全防护措施。
5
生产控制大区跨单
位(部门)数据采集
和信息交换情况
鄂尔多斯电业局,公司办公大楼,各基层供电所和变电站,与鄂尔多斯市局信息交换主要是:
办公自动化系统,其余的所有数据信息
列举所有跨单位
链路及其管理措
施。
6
禁止跨越生产控制
大区和管理信息大
区进行网络直联的
落实情况
调度自动化系统到管理信息系统有正向物理隔离装置和防火墙
如有,列举所有通
道及其管理措施。
需要
说明
的情
况
结果
受检方签字
张瑞平
检查方签字
刘俊毅
确认
日期
2011-5-6
日期
2011-5-6
2.7、网络安全
序号
检查项
检查结果
备注
l
安全域划分情况
一、调度自动化系统,
二、一体化信息系统,办公OA自动化系统,标准化作业辅助系统,公司门户网站系统,财务软件系统
说明管理信息大区
安全域划分原则,列
举所有安全域及其
内的信息系统。
2
网络边界防护情况
无设备,灭有边界防护策略
边界防护策略、安全
设备部署情况等。
3
内网保护情况
没有网管,无法控制
内网网络设备访问
控制、ARP防范、非授权网络接入管控等。
4
外部设备接入控制
情况
控制措施不严
分别说明内、外网对
外来人员设备的授权接入控制措施。
5
内外网隔离情况
个别计算机利用双网卡,同时接入内外网
这里指管理信息大
区网络隔离情况。
6
各类网络接口、互联
网出口的安全监测
措施
无
网络接口主要指局
域网/局域网、局域
网/广域网、局域网/互联网之间的接口。
7
网络病毒、木马防
护措施
无外网,内网防病毒主要以市局网络版的趋势防病毒软件
分别说明内、外网的
网络防病毒形式,内
网病毒库升级控制
措施。
需要
说明
的情
况
没有完善的桌面管理系统,内外网管理比较困难,部分终端计算机利用双网卡同时上内外网,存在严重的安全隐患。
结果
受检方签字
张瑞平
检查方签字
刘俊毅
确认
日期
2011-5-6
日期
2011-5-6
2.8、设备和操作系统安全
序号
检查项
检查结果
备注
1
网络设备的安全防
护措施
无
网络设备的网
络和物理访问
控制措施。
2
安全设备的安全防
护措施
无安全设备
安全设备的网
络和物理访问
控制措施。
3
服务器的安全防护
措施
没有物理隔离措施,网络访问比较容易
服务器的网络
和物理访问控
制措施。
4
桌面终端的安全防
护措施
网络版的趋势杀毒,经常不能升级或和主服务器失去联系
需说明是否已
对桌面终端实
施统一管理。
5
操作系统的安全配置
桌面终端:
windowsxp3
服务器:
windows2003
Linux
补丁半年升级一次,
防病毒软件主要以鄂尔多斯电业局的网络版趋势杀毒软件为主
主要说明服务
器、桌面终端、
网络设备操作
系统的版本、补
丁、用户、审计、
恶意代码防范
情况。
需要
说明
的情
况
结果
受检方签字
张瑞平
检查方签字
刘俊毅
确认
日期
2011-5-6
日期
2011-5-6
2.9、应用系统安全
序号
检查项
检查结果
备注
1
数据库的安全配置
和管理情况
一般
2
日常办公和业务应用系统的安全设计、配置和管理情况
安全设计低于标准,配置不够
3
对外网站的防攻击、防篡改技术防护措施
无
4
关键应用系统开发过程中的质量控制情况
无
5
关键应用系统安全测试情况
无
需说明安全测试要求、安全测试流程、安全测
试机构以及安全整改情况。
6
关键应用系统上线
运行后的安全配置
管理情况
安全配置不够,管理人员水平不高
需要
说明
的情
况
结果
受检方签字
张瑞平
检查方签字
刘俊毅
确认
日期
2011-5-6
日期
2011-5-6
2.10、运维管理
序号
检查项
检查结果
备注
1
设备、系统的维护记
录情况
有记录
2
设备、系统的变更管
理情况
PC终端管理不严,随意变更
3
运行环境与开发环
境的分离情况
较好
4
安全漏洞检测管理
情况
无
需说明漏洞认定程序,漏洞处理流程。
5
补丁升级管理情况
无
需说明是否有补丁测试环节。
6
安全审计管理情况
无
分主机、网络、企业级三个层
次说明。
7
账户口令管理情况
口令管理不严,比较随意
8
数字证书及密码管
理情况
管理比较乱
需要
说明
的情
况
口令管理不严:
1、在系统设计时,如营销MIS系统,收费员的口令是很关键的,但没有设计为USB-key,
2、大部分关键的岗位人员设置的密码过于简单,而且不变换。
结果
受检方签字
张瑞平
检查方签字
刘俊毅
确认
日期
2011-5-6
日期
2011-5-6
2.11、数据安全
序号
检查项
检查结果
备注
1
数据访问控制措施
数据库标准口令设置
说明整体数据
访问控制策略
和主要访问控
制措施。
2
服务器、用户终端、
数据库中关键数据
是否有加密保护措
施
无
3
磁盘、光盘、U盘和
移动硬盘等移动存
储介质管理情况
没有移动存储介质
主要包括与移
动存储介质注
册、使用、销毁
有关的管理及
技术控制措施。
4
数据备份与恢复管
理情况
数据备份比较单一,单纯靠电脑自动备份,存在隐患
5
备份介质管理情况
无
需要
说明
的情
况
结果
受检方签字
张瑞平
检查方签字
刘俊毅
确认
日期
2011-5-6
日期
2011-5-6
2.12、物理环境安全
序号
检查项
检查结果
备注
1
生产调度区、计算机
机房等重点区域的
门禁、防盗门窗、监
视器等安全管控设
施的配置情况
设备配置不够
搬到新调度大楼实施完善
2
生产调度区、计算机
机房等重点区域人
员出入管控情况
不规范,管理不严
3
防灾、供电和通信系
统的安全保障措施
不是很健全
需要
说明
的情
况
结果
受检方签字
张瑞平
检查方签字
刘俊毅
确认
日期
2011-5-6
日期
2011-5-6
2.13、关键信息资产管控
序号
检查项
检查结果
备注
1
信息系统建设及基
础资料归档管理情
况
资料有,但不是很全面
2
关键信息设备、软件
系统采购时的安全
性测评情况
无,仅依靠厂家提供的安全技术规范
需说明安全测
评要求、安全测
评流程、安全测
评机构以及国
产化设备的采
购比例。
3
电力系统核心数据
的使用范围
4
电力系统核心数据
的授权访问策略和
安全防护情况
数据库常规密码保护
需要
说明
的情
况
结果
受检方签字
张瑞平
检查方签字
刘俊毅
确认
日期
2011-5-6
日期
2011-5-6
2.14、服务外包管控
序号
检查项
检查结果
备注
1
服务外包协议中信
息安全管控条款内
容
无
含保密条款。
2
服务期内的外包服
务协议信息安全管
控条款的执行情况
3
服务期满后的外包
服务协议信息安全
管控条款的执行情
况
4
对服务机构和人员
的管理情况
重点说明相关制
度建设、机构资质
审查、服务人员管
控情况。
5
对服务机构所携带
设备的管控措施
需说明管理制度
及技术管控措施。
6
对外包服务活动的
行为审计情况
无
7
对外包服务采取远
程在线方式的在线
监控、访问权限限定
等管控措施的落实
情况
主要采用远程拨号的方式,安全管理只是鉴于对厂家的信任,无技术监控措施
重点说明通过远
程拨号访问、外网
VPN方式等对生产
监控系统和关键
信息系统进行远
程维护时,所采取
的安全管理手段
和技术监控措施。
需要
说明
的情
况
结果
受检方签字
张瑞平
检查方签字
刘俊毅
确认
日期
2011-5-6
日期
2011-5-6
2.15、应急响应和灾难恢复
序号
检查项
检查结果
备注
1
应急组织建设情况
已建立
2
应急预案制定情况
未制定
总体应急预案
及关键信息系
统的预案制定
情况。
3
应急物资准备情况
没有
4
应急演练情况
无
5
系统灾难备份情况
无
需说明异地容
灾备份系统建
设情况。
6
电力二次系统安全
联合防护和应急机
制的建立情况
未制定
7
电力二次系统安全
应急预案的制定和
演练情况
未演练无
8
信息安全信息通报
机制的建设情况
需要
说明
的情
况
结果
受检方签字
刘立新
检查方签字
刘俊毅
确认
日期
2011-5-8
日期
2011-5-8
升级会员 