工业企业信息安全自查报告Word文件下载.docx

资源描述

工业企业信息安全自查报告Word文件下载.docx

《工业企业信息安全自查报告Word文件下载.docx》由会员分享，可在线阅读，更多相关《工业企业信息安全自查报告Word文件下载.docx（20页珍藏版）》请在冰点文库上搜索。

工业企业信息安全自查报告Word文件下载.docx

系统对主要业务的

影响程度

系统对社会公众的

高

中

低

（三）确定重要信息系统和工业控制系统

根据分析结果，确定本企业的重要信息系统和工业控制系统，并从中选取拟开展自查的重要信息系统工业控制系统，填写重要信息系统和工业控制表（表3），建议选取集团信息系统1个，子公司信息系统2个，工业控制系统3个。

表3重要信息系统和工业控制系统表

系统所在单位

宝山钢铁股份有限公司能环部

说明：

系统所在单位指具体管理该系统的子公司或分公司

二、重要信息系统基本情况

（1）重要信息系统基本情况

按前面确定的系统，逐个开展系统基本情况构成情况自查，通过调阅系统设计资料、资产清单、现场查看等方式查看信息系统基本构成情况分硬件构成和软件构成，分别进行自查并填写《重要信息系统主要软硬件检查记录表》（表4）。

本部分的内容由系统所在单位填写，如集团选定的信息系统分属于不同的下属单位，即可将表格复印，由相关下属单位填写。

表4重要信息系统主要软硬件检查记录表

系统名称：

检查项

检查结果

主

要

软

件

操作系统

国内品牌套数

红旗

麒麟

其他：

1.品牌，套数

2.品牌，套数

（如有更多，请另列表）

国外品牌套数

Windows

RedHat

Unix

AIX

数据库

金仓

达梦

Oracle

DB2

SQLServer

其他

国内

1.设备类型：

，品牌，套数

2.设备类型：

国外

硬

服务器

国内品牌数量

浪潮

曙光

联想

方正

1.品牌，数量

2.品牌，数量

国外品牌数量

IBM

DELL

路由器

华为

中兴

Cisco

Juniper

H3C

交换机

Hischmann

3COM

防火墙

2.品牌，数量（如有更多，请另列表）

，品牌，数量

本表可复印，每个系统独立填写一张表格

（二）重要工业控制系统基本情况

通过调阅系统设计资料、资产清单、现场查看等方式，查看重点工业控制系统的类型和构成情况，记录自查结果（表5）

表5工业控制系统类型与构成情况检查记录表

国内品牌

国外品牌

系统类型

数据采集与监控（SCADA）系统

WINCC（28套）

分布式控制系统（DCS）

过程控制系统（PCS）

设备情况

可编程控制器（PLC）

大型（台）

中型（台）

西门子（62台）

小型（台）

就地测控设备

仪表

智能电子设备（IED）

远端设备（RTU）

西门子（1台）

系统构成

应用服务器-工程师工作站

组态监控软件

西门子（12套）

系统软件

微软（28套）

PC机/服务器

惠普（28台）

数据服务器

数据库软件

Oracle（2套）

惠普（2台）

通信设备

Cisco（3台）

（三）信息技术服务外包

重点查看信息技术外包服务类型、服务提供商、服务方式、安全保密协议等、记录检查结果（表6）

表6信息技术外包服务检查结果记录表

外包服务机构1

机构名称

宝信软件

机构性质

■国有□民营□外资

服务内容

服务方式

□远程在线服务■现场服务

信息安全与保密协议

■已签订□未签订

外包服务机构2

□国有□民营□外资

□远程在线服务□现场服务

□已签订□未签订

外包服务机构3

（如有更多，可另列表）

本表可复印，每个系统填写一张表

服务内容主要有系统集成、软件开发、系统运维、风险评估、安全检测、安全加固、数据存贮、规划咨询、灾难备份

三、技术防护情况

技术防护自查主要针对纳入自查的重点系统、对每一个系统逐一进行自查，重点自查边界防护措施、设备安全策略配置、重要数据传输与存贮安全防护措施和密码技术使用情况，记录自查结果（表7）。

本部分的内容由系统所在单位填写。

表7技术防护情况检查记录表

网络边界防护

①安全域隔离情况：

√逻辑强隔离□逻辑隔离□无隔离

②连接互联网情况：

□连接互联网：

互联网接入总数：

_______个

其中□联通接入口数量:

____个接入带宽:

_____兆

□电信接入口数量:

□其他:

__________________接入口数量:

____个

接入带宽:

√不连接互联网

③网络边界防护措施（多选）:

√访问控制□安全审计□边界完整性检查□入侵防范

□恶意代码防范□VPN方式接入□无措施

安全防护策略

①服务器安全策略：

□使用默认配置√根据应用自主配置

□按需开放端口□最小服务配置

②网络设备安全策略：

□使用默认配置□根据应用自主配置

□按需开放端口√最小服务配置

③安全设备安全策略：

④应用系统安全功能：

□身份验证√访问控制□安全审计

重要数据防护

①传输防护：

√加密□未加密

②存储防护：

③备份：

√本地备份√异地备份□未备份

密码技术防护

√使用密码产品：

√硬件产品□软件产品

□未使用密码产品

如是工业控制系统，是否按入互联网则可理解为是否接入管理网，管理网是指与工业控网络不同的企业经营管理网络

4、安全管理情况

重点查看信息安全责任制度、信息安全经费，填写安全管理自查记录（表8），此项内是针对公司整体而言。

表8信息安全管理情况自查记录表

安全管理责任制

分管信息安全工作的领导

①姓名：

______陈刚____

②职务：

______设备助理_________（本部门正职或副职领导）

信息安全管理机构

①名称：

_____设备管理室______________

②负责人：

___刘贵峰_职务：

__主任工程师______________

③联系人：

_____刘贵峰电话：

__26641583___________

信息安全专职工作机构

___能源中心技术组________________

___方哲_______电话：

26646556_____

信息安全员

①本单位内设机构数量：

__1___________

②信息安全员数量：

__2___________

③专职信息安全员数量：

__2_________

岗位责任和事故责任追究

①岗位信息安全责任制度：

√已制定□未制定

②安全责任事故：

□发生过：

□所有事故均已查处相关责任人

□有事故未查处相关责任人

√未发生过

安全管理制度

人员管理

①重要岗位人员安全保密协议：

√全部签订□部分签订□未签订

②人员离岗离职安全管理规定：

√已制定□未制定

③外部人员访问审批制度：

资产管理

①资产管理制度：

②是否指定专人进行资产管理：

√是□否

③设备维修维护和报废管理制度：

④设备维修维护和报废记录是否完整：

存储介质管理

①存储介质管理制度：

②存储介质管理记录：

√完整□不完整

③大容量存储介质：

□外联：

□采取了技术防范措施

□未采取技术防范措施

√不外联

运行维护管理

①日常运维制度：

②运维操作手册：

③运维操作记录：

年度教育培训

①年度培训计划：

②本年度接受信息安全教育培训的人数：

_____人

占本单位总人数的比例：

_____％

③本年度开展信息安全教育培训的次数：

_____次

④本年度信息安全管理和技术人员参加专业培训：

______人次

经费投入

本年度信息安全经费预算

本年度信息安全预算：

√有，预算额：

__20_____万元

□无

上年度信息安全经费投入

上年度信息安全经费实际投入额：

____20_________万元

表中资产是指软硬件等与信息技术相关的资产。

5、应急处置及容灾备份情况

本项重点查看应急预案制修订，应急演练和灾备措施等方面的情况，记录自查结果（表9）。

表9应急处置及容灾备份情况自查结果记录表

信息安全应急预案

①应急预案：

②预案评估：

√本年度已评估□本年度未评估□从未评估

应急演练

√本年度已开展□本年度未开展□从未开展

灾难备份

①重要系统：

√全部备份□部分备份□未备份

②重要数据：

应急资源

①应急支援队伍：

√部门所属队伍□外部专业机构□无

②备机备件：

√已配备□有供应渠道□未配备

6、安全风险分析

对自查中发现的问题和面临的风险进行分析，重点分析对国外依赖程度、安全威胁程度和系统安全防护能力，记录分析结果（表10）。

表10问题和威胁分析记录表

系统对国外产品和服务的依赖程度

系统面临的

威胁程度

系统安全

防护能力

对国外依赖程度判定标准：

国外停止产品更新升级、终止技术等服务后，信息系统无法运行，为高依赖；

国外停止产品更新升级、终止技术支持

信息安全检查情况报告表

省（区、市）/部门/行业名称：

一、重要信息系统安全检查情况

基本情况

重要信息系统总数1（请另附系统清单，以下同）

（按实时性进行统计）

1.非实时运行的系统数量

2.实时运行的系统数量1

（按服务对象进行统计）

1.面向社会公众提供服务的系统数量

2.不面向社会公众提供服务的系统数量1

（按联网情况进行统计）

1.直接连接互联网的系统数量

2.同互联网强逻辑隔离的系统数量

3.与互联网物理隔离的系统数量

（按数据集中情况进行统计）

1.全国数据集中的系统数量

2.省级数据集中的系统数量

3.未进行数据集中的系统数量1

（按灾备情况进行统计）

1.进行系统级灾备的系统数量1

2.仅对数据进行灾备的系统数量

3.无灾备的系统数量

系统

构成情况

主要硬件和软件

磁盘阵列

磁带库

国内品牌数量（台/套）

国外品牌数量（台/套）

业务应用

软件系统

1.自主设计开发（不含二次开发）的数量1

2.委托国内厂商开发的数量

委托国外厂商开发的数量

3.直接采购国内厂商产品的数量

直接采购国外厂商产品的数量

信息技术外包服务

服务商名称：

宝信软件

服务商性质：

服务内容：

年度维护、系统保驾

服务方式：

安全状况分析结果

信息系统对国外产品和服务的依赖程度

主要业务

对信息系统的依赖程度

信息系统

面临的安全威胁程度

安全防护能力

信息系统名称

1.EMS

二、重要工业控制系统安全检查情况

重要工业控制系统运营单位总数：

1家

重要工业控制系统总数：

1套

系统类型情况

套

大型

台

中型

64台

小型

12台

1台

系统构成情况

应用软件

2套

2台

3台

工业控制网络

连接情况

1.直接与互联网连接的重要工业控制系统数量：

套

2.与内部网络连接的重要工业控制系统数量：

1套

3.含有无线接入方式的重要工业控制系统数量：

运行维护情况

1.采用远程方式运行维护的重要工业控制系统数量：

2.由国内厂商提供运行维护服务的重要工业控制系统数量：

3.由国外厂商提供运行维护服务的重要工业控制系统数量：

信息安全

防护情况

1.网络边界处架设网络安全设备的重要工业控制系统数量：

2.安装防病毒软件或设备的重要工业控制系统数量：

3.定期进行安全更新的重要工业控制系统数量：

4.采取加密措施传输、存储敏感数据的重要工业控制系统数量：

展开阅读全文