信息安全检查报告

附件1：2011年度政府信息系统安全检查工作报告一、信息安全状况总体评价概述本部门信息安全工作情况，与上一年度相比信息安全工作取得的新进展，对本部门信息安全状况的总体评价。二、2011年信息安全检查情况（一）本级机关信息安全自查情况对照《2011年政府信息系统安全检查指南》要求，逐项描述本部门2011年在信息安全组织管理、日常信息安全管理、信息安全防护管理、信息安全应急管理、信息安全教育培训、信息安全检查等方面开展的工作情况。（二）直属单位信息安全检查组织实施情况指导直属单位开展信息安全自查和组织抽查等有关情况。三、检查发现的主要问题及整改情况（一）存在主要问题及其原因描述本部门安全检查特别是技术检测发现的主要问题和薄弱环节，分析其存在原因。（二）下一步工作打算针对检查发现的问题提出整改计划或整改措施。四、对信息安全工作的意见和建议对信息安全工作特别是信息安全检查工作提出意见和建议，促进我市进一步提高信息安全检查工作水平。附件2：2011年度政府信息系统安全自查情况报告表（得分：分）一、部门基本情况（小计5分，得分）部门名称分管信息安全工作的领导（2分）姓名：职务：信息安全责任处室（1.5分）名称：负责人：职务：电话：信息安全员（1.5分）姓名：职务：电话：二、信息系统基本情况（小计13分，得分）信息系统基本情况（3分）①信息系统总数：个②面向社会公众提供服务的信息系统数：个③委托社会第三方进行日常运维管理的信息系统数：个，其中签订运维外包服务合同的信息系统数：个互联网接入情况（此项为统计项，不计分1）互联网接入口总数：个其中：□联通接入口数量：个接入带宽：兆□电信接入口数量：个接入带宽：兆□其他：接入口数量：个接入带宽：兆系统定级情况（2分）第一级：个第二级：个第三级：个第四级：个第五级：个未定级：个系统安全测评情况（8分）最近2年开展安全测评（含风险评估、等级测评）系统数：个1本报告表未列明分值的选项均为统计调查项，不设分值，不计入总分。三、日常信息安全管理情况（小计8分，得分）人员管理（5分）①岗位信息安全和保密责任制度：□已建立□未建立②重要岗位人员信息安全和保密协议：□全部签订□部分签订□均未签订③人员离岗离职安全管理规定：□已制定□未制定④外部人员访问机房等重要区域管理制度：□已建立□未建立资产管理（3分）①信息安全设备运维管理：□已明确专人负责□未明确□定期进行配置检查、日志审计等□未进行②设备维修维护和报废销毁管理：□已建立管理制度，且维修维护和报废销毁记录完整□已建立管理制度，但维修维护和报废销毁记录不完整□尚未建立管理制度四、信息安全防护管理情况（小计37分，得分）网络边界防护管理（6分）①网络区域划分是否合理：□合理□不合理②安全防护设备策略：□使用默认配置□根据应用自主配置③互联网访问控制：□有访问控制措施□无访问控制措施④互联网访问日志：□留存日志□未留存日志信息系统安全管理（6分）①服务器安全防护：□已关闭不必要的应用、服务、端口□未关闭□帐户口令满足8位，包含数字、字母或符号□不满足□定期更新帐户口令□未能定期更新□定期进行漏洞扫描、病毒木马检测□未进行②网络设备防护：□安全策略配置有效□无效□帐户口令满足8位，包含数字、字母或符号□不满足□定期更新帐户口令□未能定期更新□定期进行漏洞扫描、病毒木马检测□未进行③信息安全设备部署及使用：□已部署有防病毒、防火墙、入侵检测、安全审计等功能的设备□未部署□安全策略配置有效□无效门户网站应用管理（15分）门户网站管理（3分）网站域名：_______________IP地址：_____________是否申请中文域名：□是_______________□否①网站是否备案：□是□否②门户网站账户安全管理：□已清理无关帐户□未清理□无空口令、弱口令和默认口令□有③清理网站临时文件、关闭网站目录遍历功能等情况：口已清理口未清理④门户网站信息发布管理：□已建立审核制度，且审核记录完整□已建立审核制度，但审核记录不完整□尚未建立审核制度其他应用管理（4分）①电子邮件功能（□开设□未开设）□已作清理，仅限本部门或有关人员使用□未作清理□有技术措施用于控制和管理口令强度□无技术措施□无空口令、弱口令和默认口令□有②留言板功能（□开设□未开设）□留言内容经审核后发布□未经审核即可发布③论坛功能（□开设□未开设）□已备案2□未备案□论坛内容经审核后发布□未经审核即可发布④博客功能（□开设□未开设）□已作清理，仅限本部门或有关人员使用□未作清理□博客内容经审核后发布□未经审核即可发布日常安全保障（8分）此项得分根据省信安办定期组织开展的政府网站外部安全检测结果和各部门是否及时有效实施安全整改等情况，由省信安办进行评分。2根据《互联网电子公告服务管理规定》，拟开展电子论坛等电子公告服务的，应当向所在地电信管理机构进行专项备案。终端计算机安全管理（6分）①终端计算机安全管理方式：□使用统一平台对终端计算机进行集中管理□用户分散管理②帐户口令管理：□无空口令、弱口令和默认口令□有③接入互联网安全控制措施：□有控制措施（如实名接入、绑定计算机IP和MAC地址等）□无控制措施④漏洞扫描、木马检测：□定期进行□未进行⑤在非涉密信息系统和涉密信息系统间混用情况：□不存在□存在⑥是否存在使用非涉密计算机处理涉密信息情况：□不存在□存在存储设备安全管理（4分）①移动存储设备管理方式：□集中管理，统一登记、配发、收回、维修、报废、销毁□未采取集中管理相关措施②在非涉密信息系统和涉密信息系统间混用情况:□不存在□存在五、信息安全应急管理情况（小计10分，得分）部门应急预案制定及备案情况（5分）□已备案□已制定但未备案□未制定应急技术支援队伍（1分）□部门所属单位□外部专业机构□未明确信息安全应急演练（2分）□本年度已开展□本年度未开展信息安全备份（2分）①重要数据：□备份□未备份②重要信息系统：□备份□未备份③容灾备份服务：□位于境内□位于境外□无六、信息技术产品使用情况（小计5分，得分）服务器总台数：，其中国产台数：使用国产CPU的服务器台数：终端计算机（含笔记本）总台数：，其中国产台数：使用国产CPU的计算机台数：网络设备总台数：，其中国产台数：操作系统①服务器操作系统情况：安装Windows操作系统的服务器台数：安装Linux操作系统的服务器台数：安装其他操作系统的服务器台数：②终端计算机操作系统情况：安装Windows操作系统的计算机台数：安装Linux操作系统的计算机台数：安装其他操作系统的计算机台数：数据库总套数：，其中国产套数：公文处理软件安装国产公文处理软件的终端计算机台数：安装国外公文处理软件的终端计算机台数：信息安全设备①安装国产防病毒产品的终端计算机台数：②防火墙（不含终端软件防火墙）台数：其中国产防火墙的台数：新购信息安全产品强制性认证情况3（5分）2011年新购信息安全产品通过国家认证的台（套）数：，占新购信息安全产品总数的百分比为：七、信息安全教育培训情况（小计5分，得分）参加培训情况（1.5分）□本年度是否派员参加信息安全主管部门组织的教育培训，人次数：，培训部门名称组织培训情况（1.5分）□本年度是否组织开展信息安全教育培训，次数：参训人员比例（2分）本年度参加信息安全教育培训的人员占总人数比例为：八、信息安全检查情况（小计12分，得分）3根据财政部、工信部等四部门下发的《关于信息安全产品实施政府安全采购的通知》（财库〔2010〕48号）要求：国家机关、事业单位和团体组织使用财政性资金采购信息安全产品的，应当采购经国家认证的信息安全产品。2010年度安全检查发现问题整改情况（4分）□已落实整改内容□已制定整改工作计划□未开展2011年度信息安全检查工作情况（8分）检查工作和经费落实情况：□已落实□未落实检查工作方案制定情况：□已制定□未制定安全保密和风险控制措施：□已采取□未采取组织开展技术检测情况：□已开展□未开展九、信息安全经费预算投入情况（小计5分，得分）经费预算（2分）本年度信息安全经费预算额：万元实际经费投入（3分）本年度信息安全经费实际投入额：万元十、本年度信息安全事件情况本年度安全技术检测结果病毒木马等恶意代码4检测结果①进行过病毒木马等恶意代码检测的服务器台数：其中感染恶意代码的服务器台数：②进行过病毒木马等恶意代码检测的终端计算机台数：其中感染恶意代码的终端计算机台数：漏洞检测结果①进行过漏洞扫描的服务器台数：________，其中存在漏洞的服务器台数：________,存在高风险漏洞5的服务器台数：________②进行过漏洞扫描的终端计算机台数：______,其中存在漏洞的终端计算机台数：______,存在高风险漏洞的终端计算机台数：本年度信息安全事件统计门户网站受攻击情况本部门入侵检测设备检测到的门户网站受攻击次数：网页被篡改情况门户网站网页被篡改（含内嵌恶意代码）次数：设备违规使用情况①使用非涉密终端计算机处理涉密信息事件数：②终端计算机在非涉密系统和涉密系统间混用事件数：③移动存储介质在非涉密系统和涉密系统间交叉使用事件数：4本表所称恶意代码，是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。5本表所称高风险漏洞，是指计算机硬件、软件或信息系统中存在的严重安全缺陷，利用这些缺陷可完全控制或部分控制计算机及信息系统，对计算机及信息系统实施攻击、破坏、信息窃取等行为。十一、信息技术外包服务机构情况外包服务机构1机构名称机构性质□国有□民营□外资服务内容6外包服务合同□已签订□未签订信息安全和保密协议□已签订□未签订信息安全管理体系认证情况□已通过认证认证机构：□未通过认证外包服务机构2机构名称机构性质□国有□民营□外资服务内容外包服务合同□已签订□未签订信息安全和保密协议□已签订□未签订信息安全管理体系认证情况□已通过认证认证机构：□未通过认证（如有2个以上外包机构，每个机构均应填写，可另附页）填表人：_____________部职别：_______________电话：_______________16服务内容主要包括：系统集成、系统运维、风险评估、安全检测、安全加固、应急支持、数据存储等。一月二月三月产品名称数量金额利润产品名称数量金额利润产品名称数量金额利润合计合计合计四月五月六月产品名称数量金额利润产品名称数量金额利润产品名称数量金额利润合计合计合计下午13：00—17：00B．实行不定时工作制的员工，在保证完成甲方工作任务情况下，经公司同意,可自行安排工作和休息时间。3．1．2打卡制度3.1.2.1公司实行上、下班指纹录入打卡制度。全体员工都必须自觉遵守工作时间，实行不定时工作制的员工不必打卡。3.1.2.2打卡次数：一日两次，即早上上班打卡一次，下午下班打卡一次。3.1.2.3打卡时间：打卡时间为上班到岗时间和下班离岗时间；3.1.2.4因公外出不能打卡：因公外出不能打卡应填写《外勤登记表》,注明外出日期、事由、外勤起止时间。因公外出需事先申请，如因特殊情况不能事先申请，应在事毕到岗当日完成申请、审批手续，否则按旷工处理。因停电、卡钟（工卡）故障未打卡的员工，上班前、下班后要及时到部门考勤员处填写《未打卡补签申请表》，由直接主管签字证明当日的出勤状况，报部门经理、人力资源部批准后，月底由部门考勤员据此上报考勤。上述情况考勤由各部门或分公司和项目文员协助人力资源部进行管理。3.1.2.5手工考勤制度3.1.2.6手工考勤制申请：由于工作性质，员工无法正常打卡（如外围人员、出差），可由各部门提出人员名单，经主管副总批准后，报人力资源部审批备案。3.1.2.7参与手工考勤的员工，需由其主管部门的部门考勤员(文员)或部门指定人员进行考勤管理，并于每月26日前向人力资源部递交考勤报表。3.1.2.8参与手工考勤的员工如有请假情况发生，应遵守相关请、休假制度，如实填报相关表单。3.1.2.9外派员工在外派工作期间的考勤,需在外派公司打卡记录;