第一篇：信息安全等級保護專項檢查自查報告

河南省環(huán)境保護廳環(huán)境自動監(jiān)控系統(tǒng)信息安全等級保護專項檢查自查報告

為了認真貫徹落實省公安廳《關(guān)于組織開展全省2011年度信息安全等級保護專項檢查工作的通知》文件精神，為進一步做好我省環(huán)境自動監(jiān)控系統(tǒng)信息安全工作，提高環(huán)境自動監(jiān)控系統(tǒng)安全保證能力和水平，切實加強省環(huán)境監(jiān)控系統(tǒng)網(wǎng)絡(luò)信息安全，為中原經(jīng)濟區(qū)建設(shè)創(chuàng)造良好的社會和網(wǎng)絡(luò)環(huán)境。

環(huán)保部和省委、省政府領(lǐng)導(dǎo)高度重視環(huán)境自動監(jiān)控系統(tǒng)建設(shè)和應(yīng)用工作。陳新貴副廳長和易旭生副巡視員對省環(huán)境信息自動監(jiān)控系統(tǒng)信息安全等級保護專項檢查工作做出重要批示，要求認真準(zhǔn)備，做好檢查工作。

按照省環(huán)境監(jiān)控中心（以下簡稱“監(jiān)控中心”）各位領(lǐng)導(dǎo)嚴(yán)格要求，安排專門科室和人員，制定了一系列信息安全管理制度，加強日常信息安全監(jiān)測和預(yù)警，促進了中心信息安全建設(shè)和管理，營造出健康、和諧的網(wǎng)絡(luò)環(huán)境。近期，我中心進行了信息安全自查，現(xiàn)將中心信息安全自查工作情況報告如下：

一、信息安全工作的基本情況

（一）積極組織部署等級保護工作

1、專門成立等級保護協(xié)調(diào)領(lǐng)導(dǎo)機構(gòu)

成立了由分管領(lǐng)導(dǎo)、分管部門、網(wǎng)絡(luò)管理組成的信息安全等級保護協(xié)調(diào)領(lǐng)導(dǎo)小組，確保環(huán)境自動監(jiān)控系統(tǒng)高效運行、理順信息安全管理、規(guī)范信息化安全等級建設(shè)。

2、明確等級保護責(zé)任部門和工作崗位

監(jiān)控中心非常注重環(huán)境自動監(jiān)控系統(tǒng)建設(shè)，多次開會明確等級保護責(zé)任部門，做到分工明確，責(zé)任具體到人。

3、貫徹落實等級保護各項工作文件或方案

等級保護責(zé)任部門和工作人員認真貫徹落實公安部、省公安廳等級保護各項工作文件或方案，根據(jù)環(huán)境自動監(jiān)控工作的特點，制定出《河南省環(huán)境保護廳網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》、《河南省環(huán)境自動監(jiān)控系統(tǒng)機房管理制度》等一系列規(guī)章制度，落實等級保護工作。

4、召開工作動員會議，組織人員培訓(xùn)，專門部署等級保護工作

監(jiān)控中心每季度召開一次工作動員會議，定期、不定期對技術(shù)人員進行培訓(xùn)，并開展考核。技術(shù)人員認真學(xué)習(xí)貫徹有關(guān)文件精神，把信息安全等級保護工作提升到重要位置，常抓不懈。

5、有關(guān)主要領(lǐng)導(dǎo)認真聽取等級保護工作匯報并做出重要指示

省環(huán)保廳陳新貴副廳長、易旭生副巡視員分別對等級保護工作給與批示，要求認真做好有關(guān)工作。監(jiān)控中心陶冶主任、丁衛(wèi)東副主任、郭新望總工程師分別聽取等級保護工作匯報，指示責(zé)任部門做好自檢、自查，精心準(zhǔn)備，迎接公安廳專項檢查。

（二）認真落實信息安全責(zé)任制

1、高規(guī)格建設(shè)信息安全協(xié)調(diào)領(lǐng)導(dǎo)機構(gòu)

在監(jiān)控中心等級保護協(xié)調(diào)領(lǐng)導(dǎo)小組中，陶冶主任親自擔(dān)任協(xié)調(diào)領(lǐng)導(dǎo)小組組長，主管領(lǐng)導(dǎo)郭新望總工程師擔(dān)任協(xié)調(diào)領(lǐng)導(dǎo)小組常務(wù)副組長，信息管理室汪太鵬主任兼任領(lǐng)導(dǎo)小組辦公室主任。

2、成立信息安全職能部門

監(jiān)控中心成立了信息管理室作為信息安全職能部門，負責(zé)環(huán)境網(wǎng)絡(luò)建設(shè)，信息安全，日常運行管理。

3、制定信息安全責(zé)任追究制度

監(jiān)控中心制定出相應(yīng)信息安全責(zé)任追究制度，定崗到人，明確責(zé)任分工，把信息安全責(zé)任事故降低到最低。

（三）積極推進信息安全制度建設(shè)

1、加強人員安全管理制度建設(shè)

監(jiān)控中心建立了人員錄用、離崗、考核、安全保密、教育培訓(xùn)、外來人員管理等安全管理制度，對新進人員進行培訓(xùn)，加強人員安全管理，不定期開展考核。

2、嚴(yán)格執(zhí)行機房安全管理制度 監(jiān)控中心制定出《機房管理制度》，加強機房進出人員管理和日常監(jiān)控制度，嚴(yán)格實施機房安全管理條例，做好防火防盜，保證機房安全。

3、建立系統(tǒng)建設(shè)管理制度

監(jiān)控中心制訂了產(chǎn)品采購、工程實施、驗收交付、服務(wù)外包等系統(tǒng)建設(shè)管理制度，通過公開招標(biāo)，擇優(yōu)選用，大大提高了系統(tǒng)建設(shè)的質(zhì)量。

（四）大力加強信息系統(tǒng)運維

1、開展日常信息安全監(jiān)測和預(yù)警

監(jiān)控中心建立日常信息安全監(jiān)測和預(yù)警機制，提高處置網(wǎng)絡(luò)與信息安全突發(fā)公共能力事件，加強網(wǎng)絡(luò)信息安全保障工作，形成科學(xué)、有效、反應(yīng)迅速的應(yīng)急工作機制，確保重要計算機信息系統(tǒng)的實體安全、運行安全和數(shù)據(jù)安全，最大限度地減輕網(wǎng)站網(wǎng)絡(luò)與信息安全突發(fā)公共事件的危害。

2、建立安全事件報告和響應(yīng)處理程序

監(jiān)控中心建立健全分級負責(zé)的應(yīng)急管理體制，完善日常安全管理責(zé)任制。相關(guān)部門各司其職，做好日常管理和應(yīng)急處置工作。設(shè)立安全事件報告和相應(yīng)處理程序，根據(jù)安全事件分類和分級，進行不同的上報程序，開展不同的響應(yīng)處理。

3、制定應(yīng)急處置預(yù)案，定期演練并不斷完善 監(jiān)控中心制定了安全應(yīng)急預(yù)案，根據(jù)預(yù)警信息，啟動相應(yīng)應(yīng)急程序，加強值班值守工作，做好應(yīng)急處理各項準(zhǔn)備工作。定期演練預(yù)警方案，不斷完善預(yù)警方案可行性、可操作性。

二、扎實開展信息系統(tǒng)定級備案

（一）信息系統(tǒng)定級工作概況

監(jiān)控中心積極有效開展信息系統(tǒng)定級工作，認真編制安全等級保護定級報告。省環(huán)境自動監(jiān)控系統(tǒng)是通過前端自動監(jiān)控設(shè)施自動采樣、分析、獲取各污染源、環(huán)境質(zhì)量點位的監(jiān)測數(shù)據(jù)，通過VPN網(wǎng)絡(luò)上傳至省、市監(jiān)控中心，監(jiān)控中心管理人員對數(shù)據(jù)進行審核后應(yīng)用于環(huán)境管理工作。

該系統(tǒng)主要服務(wù)于省、市環(huán)保部門環(huán)境管理，同時對審核后數(shù)據(jù)通過網(wǎng)站向公眾發(fā)布。

系統(tǒng)服務(wù)受到破壞時侵害的客體是公眾利益，即社會公眾的環(huán)境知情權(quán)。

系統(tǒng)服務(wù)受到破壞后，對侵害客體的侵害是一般損害。

（二）信息系統(tǒng)備案工作情況

監(jiān)控中心按期規(guī)范開展信息系統(tǒng)備案工作。根據(jù)《信息安全等級保護管理辦法》，填寫信息系統(tǒng)安全等級保護備案表。

對單位基本情況、信息系統(tǒng)情況、信息系統(tǒng)定級情況等信息做出明確備案。

三、有效推進信息系統(tǒng)等級測評和安全建設(shè)整改工作部署和經(jīng)費保障

（一）制定等級測評工作計劃

認真制定等級測評工作計劃表，按照工作計劃表，有條不紊的開展等級測評。

（二）制定安全建設(shè)整改工作計劃

制定安全建設(shè)整改工作計劃，根據(jù)自查結(jié)果，對發(fā)現(xiàn)問題進行安全建設(shè)整改。編制整改方案，限期完成整改計劃。

（三）保證等級測評工作經(jīng)費

中心優(yōu)先保證等級測評工作經(jīng)費的劃撥、使用。

（四）落實安全建設(shè)整改工作經(jīng)費保障

中心積極落實安全建設(shè)整改工作經(jīng)費，協(xié)調(diào)財政部門保障整改經(jīng)費保障。

（五）選擇等級測評機構(gòu)

四、不斷完善等級保護自查和整改

（一）組織部署等級保護自查工作

領(lǐng)導(dǎo)協(xié)調(diào)小組開專題會議，部署等級保護自查工作。按照信息安全等級保護工作檢查表的要求，細化各項檢查指標(biāo)，落實各項指標(biāo)。

（二）按期整改存在的問題

五、認真做好三級信息系統(tǒng)等級測評和安全建設(shè)整改工作

（一）等級評測工作開展情況

（二）安全建設(shè)整改工作開展情況

第二篇：郵儲銀行信息安全等級保護專項檢查自查報告

郵儲銀行信息安全等級保護專項檢查自查報告

為了認真貫徹落實齊信安《＃＃市信息安全等級保護工作領(lǐng)導(dǎo)小組關(guān)于“十八大”安保開展信息安全等級保護檢查工作的通知》文件精神，為進一步做好我行信息安全工作，保障黨的“十八大”勝利召開，提高我行基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全保障能力，按照縣網(wǎng)監(jiān)大隊要求，我行于＃＃年6月1日至7月31日，開展自查工作，現(xiàn)將開展情況匯報如下：

（一）積極組織部署信息等級保護工作 1.專門成立等級保護協(xié)調(diào)領(lǐng)導(dǎo)機構(gòu)

成立了由分管領(lǐng)導(dǎo)、分管部門、網(wǎng)絡(luò)管理組成的信息安全等級保護協(xié)調(diào)領(lǐng)導(dǎo)小組，確保信息安全責(zé)任的落實、理順信息安全管理、規(guī)范信息化安全等級建設(shè)。

2.明確等級保護責(zé)任部門和工作崗位

我行高度重視等級保護工作，多次開會明確等級保護責(zé)任部門，做到分工明確，責(zé)任具體到人。

3.貫徹落實等級保護各項工作文件或方案

等級保護責(zé)任部門和工作人員認真貫徹落實公安部、省公安廳等級保護各項工作文件或方案，根據(jù)《信息安全等級保護管理辦法》《中國銀監(jiān)會辦公廳關(guān)于加強信息安全保障工作的通知》

制定出我行《信息化安全運行考核管理辦法》。

4.召開工作動員會議，組織人員培訓(xùn)，專門部署等級保護工作

我行積極組人人員參加縣網(wǎng)監(jiān)大隊組織的培工作動員會議，定期、不定期對技術(shù)人員進行培訓(xùn)，并開展考核。技術(shù)人員認真學(xué)習(xí)貫徹有關(guān)文件精神，把信息安全等級保護工作提升到重要位置，常抓不懈。

5.有關(guān)主要領(lǐng)導(dǎo)認真聽取等級保護工作匯報并做出重要指示

縣行行長聽取等級保護工作匯報，對等級保護工作給與批示，要求認真做好有關(guān)工作。指示責(zé)任部門做好自檢、自查，精心準(zhǔn)備，迎接公安廳專項檢查。

（二）認真落實信息安全責(zé)任制 1.高規(guī)格建設(shè)信息安全協(xié)調(diào)領(lǐng)導(dǎo)機構(gòu)

在等級保護協(xié)調(diào)領(lǐng)導(dǎo)小組中，某副行長親自擔(dān)任協(xié)調(diào)領(lǐng)導(dǎo)小組組長，各部門負責(zé)人為成員組成信息安全協(xié)調(diào)領(lǐng)導(dǎo)小組。

2.成立信息安全職能部門

我行在成立信息安全協(xié)調(diào)領(lǐng)導(dǎo)小組的基礎(chǔ)上，成立信息安全辦公室，設(shè)立在綜合管理部，作為信息安全職能部門，負責(zé)環(huán)境網(wǎng)絡(luò)建設(shè)，信息安全，日常運行管理。

3.制定信息安全責(zé)任追究制度

我行嚴(yán)格執(zhí)行省、市行信息安全責(zé)任追究制度，嚴(yán)格按照信息安全責(zé)任追究制度，定崗到人，明確責(zé)任分工，把信息安全責(zé)任事故降低到最低。

（三）積極推進信息安全制度建設(shè) 1.加強人員安全管理制度建設(shè)

我行建立了人員錄用、離崗、考核、安全保密、教育培訓(xùn)、外來人員管理等安全管理制度，對新進人員進行培訓(xùn)，加強人員安全管理，不定期開展考核。

2.嚴(yán)格執(zhí)行機房安全管理制度

我行制定出《機房管理制度》，加強機房進出人員管理和日常監(jiān)控制度，嚴(yán)格實施機房安全管理條例，做好防火防盜，保證機房安全。

（四）大力加強信息系統(tǒng)運維 1.開展日常信息安全監(jiān)測和預(yù)警

我行建立日常信息安全監(jiān)測和預(yù)警機制，提高處置網(wǎng)絡(luò)與信息安全突發(fā)公共能力事件，加強網(wǎng)絡(luò)信息安全保障工作，形成科學(xué)、有效、反應(yīng)迅速的應(yīng)急工作機制，確保重要計算機信息系統(tǒng)的實體安全、運行安全和數(shù)據(jù)安全，最大限度地減輕網(wǎng)站網(wǎng)絡(luò)與信息安全突發(fā)公共事件的危害。

2.建立安全事件報告和響應(yīng)處理程序

我行建立健全分級負責(zé)的應(yīng)急管理體制，完善日常安全管理責(zé)任制。相關(guān)部門各司其職，做好日常管理和應(yīng)急處置工作。設(shè)立安全事件報告和相應(yīng)處理程序，根據(jù)安全事件分類和分級，進行不同的上報程序，開展不同的響應(yīng)處理。

3.制定應(yīng)急處置預(yù)案，定期演練并不斷完善

我行按照省、市行應(yīng)急處置預(yù)案要求，制定了我行安全應(yīng)急預(yù)案，根據(jù)預(yù)警信息，啟動相應(yīng)應(yīng)急程序，加強值班值守工作，做好應(yīng)急處理各項準(zhǔn)備工作。定期演練預(yù)警方案，不斷完善預(yù)警

方案可行性、可操作性。

中國郵政儲蓄銀行某縣支行

第三篇：xx信息等級安全保護自查報告

xx區(qū)地稅局信息系統(tǒng)安全自查報告

根據(jù)xx市地稅局對我局網(wǎng)絡(luò)與終端物理隔離和安全使用檢查情況反饋意見，參照《xx省地稅局2010年稅務(wù)信息系統(tǒng)安全檢查方案》，從“安全管理檢查”、“安全技術(shù)檢查”、“終端和移動存儲介質(zhì)檢查和加固”等三大方面對xx區(qū)地稅局信息安全系統(tǒng)進行了認真地自查與整改，現(xiàn)將自查情況報告如下：

一、領(lǐng)導(dǎo)高度重視，組織、部門健全

xx區(qū)地稅局領(lǐng)導(dǎo)班子高度重視信息系統(tǒng)安全工作，本著“誰主管誰負責(zé)、誰運行誰負責(zé)、誰使用誰負責(zé)”的原則，成立了xx區(qū)地稅局信息系統(tǒng)安全領(lǐng)導(dǎo)小組，區(qū)局一把手擔(dān)任領(lǐng)導(dǎo)小組組長，分管領(lǐng)導(dǎo)為副組長，下屬各單位負責(zé)人為成員。

各基層分局設(shè)立計算機管理員崗位，分別 有責(zé)任心、取得全國計算機等級二級以上（含二級）證書、熟悉業(yè)務(wù)操作的人員擔(dān)任，負責(zé)本單位計算機軟、硬件及網(wǎng)絡(luò)安全管理。對本單位計算機出現(xiàn)的軟、硬件問題及時上報區(qū)局信息中心。區(qū)局結(jié)合本部門的信息系統(tǒng)安全管理需求，不定期地對計算機管理員開展相關(guān)業(yè)務(wù)培訓(xùn)。

二、結(jié)合安徽地稅系統(tǒng)安全自查方案，認真開展自查工作

（一）安全管理方面：區(qū)局制定了《xx區(qū)地稅局公文處理應(yīng)急預(yù)案》、《xx區(qū)地稅局內(nèi)部網(wǎng)站應(yīng)急預(yù)案》、《xx區(qū)地稅局網(wǎng)絡(luò)故障應(yīng)急預(yù)案》、《xx區(qū)地稅局計算機機房運行維護管理辦法》，并著重落實上級部門下發(fā)的信息安全政策、法規(guī)和規(guī)章制度。

確定信息中心一名工作人員擔(dān)任信息系統(tǒng)安全管理員，具體處理信息系統(tǒng)安全的相關(guān)工作。區(qū)局中心機房于2008年建成，面積約90平方米，安裝了接地保護裝置，配備了手持式滅火器，配有兩臺柜式空調(diào)，并確?？照{(diào)24小時正常運轉(zhuǎn)。加強中心機房的供電管理，配備一臺專用的10KV UPS電源專供中心機房設(shè)備使用，配備一臺專用的6KV UPS電源專供征收大廳設(shè)備使用，并定期對UPS電池性能進行相應(yīng)測試。

xx區(qū)地稅局辦公網(wǎng)絡(luò)已于2009年元月實行內(nèi)、外網(wǎng)物理隔離，內(nèi)外網(wǎng)均通過2套線路和隔離卡實現(xiàn)內(nèi)外網(wǎng)切換。內(nèi)網(wǎng)分為應(yīng)用服務(wù)區(qū)與辦公區(qū)，通過一臺硬件防火墻進行對外與對外的訪問控制，所有內(nèi)網(wǎng)服務(wù)器與終端均安裝網(wǎng)絡(luò)版病毒防火墻。外網(wǎng)通過硬件防火墻、上網(wǎng)行為管理工和防病毒網(wǎng)關(guān)實行訪問控制。局機關(guān)所有計算機安裝隔離卡進行內(nèi)外網(wǎng)物理隔離，基層分局只在分局負責(zé)人計算機上安裝隔離卡實行內(nèi)外網(wǎng)物理隔離，其他計算機只允許上內(nèi)網(wǎng)。

征管數(shù)據(jù)市局集中后，區(qū)局目前的重要數(shù)據(jù)庫有區(qū)局內(nèi)網(wǎng)數(shù)據(jù)庫、公文處理數(shù)據(jù)庫、車輛稅及觸摸查詢系統(tǒng)數(shù)據(jù)庫，定期對上述數(shù)據(jù)庫進行備份，并將備份數(shù)據(jù)復(fù)制到文件服務(wù)器上。

（二）安全技術(shù)方面：區(qū)局的網(wǎng)絡(luò)通過租用聯(lián)通的專線，實現(xiàn)市局、區(qū)局及分局三級網(wǎng)絡(luò)互聯(lián)，各基層分局通過路由交換和以太網(wǎng)兩種方式按入?yún)^(qū)局，區(qū)局機關(guān)按股室按分VLAN。

區(qū)局中心機房內(nèi)網(wǎng)設(shè)備目前有1臺華為2631路由器、1臺華為3680路由器和2臺華為3552交換機為核心層，3臺華為3026交換機作為接入層。除華為3552交換機有熱備份，其他網(wǎng)絡(luò)設(shè)備沒有冷、熱備份，通過1臺東軟硬件防火墻進一步加強網(wǎng)絡(luò)安全管理。

區(qū)局中心機房外網(wǎng)設(shè)備目前有5臺華為3928交換機，1臺防病毒網(wǎng)關(guān)，1臺上網(wǎng)行為管理，1臺防火墻，另外租用網(wǎng)通地址，各基層分局以以太網(wǎng)方式接入互聯(lián)網(wǎng)。

xx區(qū)地稅局共有服務(wù)器6臺，5臺服務(wù)器的操作系統(tǒng)為Windows 2000 Server SP4,1臺服務(wù)器的操作系統(tǒng)為Windows 2003 Server，所有服務(wù)器根據(jù)賬號策略設(shè)置用戶密碼，強化安全管理。xx區(qū)地稅局所有內(nèi)外網(wǎng)中的路由器和交換機均按照省局網(wǎng)絡(luò)運行管理規(guī)范進行命名管理，并對其用戶口令進行加密。內(nèi)外網(wǎng)中的防火墻均設(shè)置訪問控制策略，提高系統(tǒng)的網(wǎng)絡(luò)安全系數(shù)。

（三）工作用臺式機、筆計本電腦和移動存儲介質(zhì)檢查和加固： 及時更新臺式機和筆計本電腦的操作系統(tǒng)和應(yīng)用程序補丁，禁用GUEST用戶組，統(tǒng)一安裝網(wǎng)絡(luò)版瑞星防病毒軟件，并通過設(shè)置自動升級和定時對計算機進行掃描，對外接的USB設(shè)備，必須進行病毒掃描。

三、存在的主要問題

通過本次自查發(fā)現(xiàn)，我局信息系統(tǒng)存在不少安全隱患問題，主要有以下幾方面：

（一）安全保護意識有待增強，各種安全保護措施有待加強，部分管理人員的安全保護意識薄弱。

（二）數(shù)據(jù)的存儲及備份機制還不夠完善，存在信息丟失的隱患，存在移動存儲介質(zhì)內(nèi)外網(wǎng)混用，個別筆記本電腦存在內(nèi)外網(wǎng)混用。

（三）因區(qū)局搬遷新辦公樓后，對區(qū)局的內(nèi)網(wǎng)進行了重新規(guī)劃，路由策略進行了了修改，核心網(wǎng)絡(luò)設(shè)備失效的路由策略未即時清理。

（四）重技術(shù)建設(shè)、輕安全保護。進行計算機信息系統(tǒng)建設(shè)規(guī)劃時，主要考慮了業(yè)務(wù)需求和系統(tǒng)技術(shù)性能要求，沒有很好地將系統(tǒng)的安全保護措施一并考慮，造成安全保護工作相對滯后。

四、加強安全保護工作的意見和建議

根據(jù)信息安全自查的情況，結(jié)合區(qū)局實際情況，現(xiàn)就加強區(qū)局信息系統(tǒng)安全工作，提出以下意見和建議：

（一）加強領(lǐng)導(dǎo)，提高對信息系統(tǒng)安全重要性和緊迫性的認識。組織相關(guān)人員認真學(xué)習(xí)與信息系統(tǒng)安全有關(guān)的管理規(guī)定，不斷增強信息系統(tǒng)安全保護意識，做到認識到位、措施到位、管理到位。

（二）認真落實技術(shù)防范措施，著重落實以下等安全保護技術(shù)措施：

1、系統(tǒng)重要數(shù)據(jù)的冗余或備份措施；

2、計算機病毒防治措施；

3、網(wǎng)絡(luò)攻擊防范、追蹤措施；

4、研究有關(guān)內(nèi)網(wǎng)補丁升級的措施。

（三）嚴(yán)格防范內(nèi)外網(wǎng)移動存儲混用，加強對移動存儲的分類管理，嚴(yán)禁在外網(wǎng)機器處理或保存涉稅文件，嚴(yán)格執(zhí)行內(nèi)、外網(wǎng)物理隔離制度。

（四）停用內(nèi)外到外網(wǎng)出口，瑞星防病毒托管服務(wù)器升級下掛到市局。

（五）加強網(wǎng)絡(luò)和安全設(shè)備管理，調(diào)整網(wǎng)絡(luò)和安全設(shè)備配置，嚴(yán)格網(wǎng)絡(luò)訪問控制策略，保護網(wǎng)絡(luò)安全。

（六）加強中心機房的管理工作，提高機房運行環(huán)境，保障設(shè)備安全。

第四篇：信息安全等級保護

信息安全等級保護(二級)信息安全等級保護(二級)備注：其中黑色字體為信息安全等級保護第二級系統(tǒng)要求，藍色字體為第三級系統(tǒng)等保要求。

一、物理安全

1、應(yīng)具有機房和辦公場地的設(shè)計/驗收文檔（機房場地的選址說明、地線連接要求的描述、建筑材料具有相應(yīng)的耐火等級說明、接地防靜電措施）

2、應(yīng)具有有來訪人員進入機房的申請、審批記錄；來訪人員進入機房的登記記錄

3、應(yīng)配置電子門禁系統(tǒng)(三級明確要求)；電子門禁系統(tǒng)有驗收文檔或產(chǎn)品安全認證資質(zhì)，電子門禁系統(tǒng)運行和維護記錄

4、主要設(shè)備或設(shè)備的主要部件上應(yīng)設(shè)置明顯的不易除去的標(biāo)記

5、介質(zhì)有分類標(biāo)識；介質(zhì)分類存放在介質(zhì)庫或檔案室內(nèi)，磁介質(zhì)、紙介質(zhì)等分類存放

6、應(yīng)具有攝像、傳感等監(jiān)控報警系統(tǒng)；機房防盜報警設(shè)施的安全資質(zhì)材料、安裝測試和驗收報告；機房防盜報警系統(tǒng)的運行記錄、定期檢查和維護記錄；

7、應(yīng)具有機房監(jiān)控報警設(shè)施的安全資質(zhì)材料、安裝測試和驗收報告；機房監(jiān)控報警系統(tǒng)的運行記錄、定期檢查和維護記錄

8、應(yīng)具有機房建筑的避雷裝置；通過驗收或國家有關(guān)部門的技術(shù)檢測；

9、應(yīng)在電源和信號線上增加有資質(zhì)的防雷保安器；具有防雷檢測資質(zhì)的檢測部門對防雷裝置的檢測報告

10、應(yīng)具有自動檢測火情、自動報警、自動滅火的自動消防系統(tǒng)；自動消防系統(tǒng)的運行記錄、檢查和定期維護記錄；消防產(chǎn)品有效期合格；自動消防系統(tǒng)是經(jīng)消防檢測部門檢測合格的產(chǎn)品

11、應(yīng)具有除濕裝置；空調(diào)機和加濕器；溫濕度定期檢查和維護記錄

12、應(yīng)具有水敏感的檢測儀表或元件；對機房進行防水檢測和報警；防水檢測裝置的運行記錄、定期檢查和維護記錄

13、應(yīng)具有溫濕度自動調(diào)節(jié)設(shè)施；溫濕度自動調(diào)節(jié)設(shè)施的運行記錄、定期檢查和維護記錄

14、應(yīng)具有短期備用電力供應(yīng)設(shè)備（如UPS）；短期備用電力供應(yīng)設(shè)備的運行記錄、定期檢查和維護記錄

15、應(yīng)具有冗余或并行的電力電纜線路（如雙路供電方式）

16、應(yīng)具有備用供電系統(tǒng)（如備用發(fā)電機）；備用供電系統(tǒng)運行記錄、定期檢查和維護記錄

二、安全管理制度

1、應(yīng)具有對重要管理操作的操作規(guī)程，如系統(tǒng)維護手冊和用戶操作規(guī)程

2、應(yīng)具有安全管理制度的制定程序：

3、應(yīng)具有專門的部門或人員負責(zé)安全管理制度的制定（發(fā)布制度具有統(tǒng)一的格式，并進行版本控制）

4、應(yīng)對制定的安全管理制度進行論證和審定，論證和審定方式如何（如召開評審會、函審、內(nèi)部審核等），應(yīng)具有管理制度評審記錄

5、應(yīng)具有安全管理制度的收發(fā)登記記錄，收發(fā)應(yīng)通過正式、有效的方式（如正式發(fā)文、領(lǐng)導(dǎo)簽署和單位蓋章等）----安全管理制度應(yīng)注明發(fā)布范圍，并對收發(fā)文進行登記。

6、信息安全領(lǐng)導(dǎo)小組定期對安全管理制度體系的合理性和適用性進行審定，審定周期多長。（安全管理制度體系的評審記錄）

7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時應(yīng)對安全管理制度進行檢查，對需要改進的制度進行修訂。（應(yīng)具有安全管理制度修訂記錄）

三、安全管理機構(gòu)

1、應(yīng)設(shè)立信息安全管理工作的職能部門

2、應(yīng)設(shè)立安全主管、安全管理各個方面的負責(zé)人

3、應(yīng)設(shè)立機房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位（分工明確，各司其職），數(shù)量情況（管理人員名單、崗位與人員對應(yīng)關(guān)系表）

4、安全管理員應(yīng)是專職人員

5、關(guān)鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。

6、應(yīng)設(shè)立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組（最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任）

7、應(yīng)對重要信息系統(tǒng)活動進行審批（如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓(xùn)、產(chǎn)品的采購、外部人員的訪問等），審批部門是何部門，審批人是何人。審批程序：

8、應(yīng)與其它部門之間及內(nèi)部各部門管理人員定期進行溝通（信息安全領(lǐng)導(dǎo)小組或者安全管理委員會應(yīng)定期召開會議）

9、應(yīng)組織內(nèi)部機構(gòu)之間以及信息安全職能部門內(nèi)部的安全工作會議文件或會議記錄，定期：

10、信息安全管理委員會或領(lǐng)導(dǎo)小組安全管理工作執(zhí)行情況的文件或工作記錄（如會議記錄/紀(jì)要，信息安全工作決策文檔等）

11、應(yīng)與公安機關(guān)、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表）

12、應(yīng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機制。

13、聘請信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄）

14、應(yīng)組織人員定期對信息系統(tǒng)進行安全檢查（查看檢查內(nèi)容是否包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）

15、應(yīng)定期進行全面安全檢查（安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格，安全檢查報告，檢查結(jié)果通告記錄）

四、人員安全管理

1、何部門/何人負責(zé)安全管理和技術(shù)人員的錄用工作（錄用過程）

2、應(yīng)對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進行審查，對技術(shù)人員的技術(shù)技能進行考核，技能考核文檔或記錄

3、應(yīng)與錄用后的技術(shù)人員簽署保密協(xié)議（協(xié)議中有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容）

4、應(yīng)設(shè)定關(guān)鍵崗位，對從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議。

5、應(yīng)及時終止離崗人員的所有訪問權(quán)限（離崗人員所有訪問權(quán)限終止的記錄）

6、應(yīng)及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設(shè)備等（交還身份證件和設(shè)備等的登記記錄）

7、人員離崗應(yīng)辦理調(diào)離手續(xù)，是否要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開（具有按照離崗程序辦理調(diào)離手續(xù)的記錄，調(diào)離人員的簽字）

8、對各個崗位人員應(yīng)定期進行安全技能考核；具有安全技能考核記錄，考核內(nèi)容要求包含安全知識、安全技能等。

9、對關(guān)鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內(nèi)容是否包括操作行為和社會關(guān)系等。

10、應(yīng)對各類人員（普通用戶、運維人員、單位領(lǐng)導(dǎo)等）進行安全教育、崗位技能和安全技術(shù)培訓(xùn)。

11、應(yīng)針對不同崗位制定不同的培訓(xùn)計劃，并按照計劃對各個崗位人員進行安全教育和培訓(xùn)（安全教育和培訓(xùn)的結(jié)果記錄，記錄應(yīng)與培訓(xùn)計劃一致）

12、外部人員進入條件（對哪些重要區(qū)域的訪問須提出書面申請批準(zhǔn)后方可進入），外部人員進入的訪問控制（由專人全程陪同或監(jiān)督等）

13、應(yīng)具有外部人員訪問重要區(qū)域的書面申請

14、應(yīng)具有外部人員訪問重要區(qū)域的登記記錄（記錄描述了外部人員訪問重要區(qū)域的進入時間、離開時間、訪問區(qū)域、訪問設(shè)備或信息及陪同人等）

五、系統(tǒng)建設(shè)管理

1、應(yīng)明確信息系統(tǒng)的邊界和安全保護等級（具有定級文檔，明確信息系統(tǒng)安全保護等級）

2、應(yīng)具有系統(tǒng)建設(shè)/整改方案

3、應(yīng)授權(quán)專門的部門對信息系統(tǒng)的安全建設(shè)進行總體規(guī)劃，由何部門/何人負責(zé)

4、應(yīng)具有系統(tǒng)的安全建設(shè)工作計劃（系統(tǒng)安全建設(shè)工作計劃中明確了近期和遠期的安全建設(shè)計劃）

5、應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進行論證和審定（配套文件的論證評審記錄或文檔）

6、應(yīng)對總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件應(yīng)定期進行調(diào)整和修訂

7、應(yīng)具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件的維護記錄或修訂版本

8、應(yīng)按照國家的相關(guān)規(guī)定進行采購和使用系統(tǒng)信息安全產(chǎn)品

9、安全產(chǎn)品的相關(guān)憑證，如銷售許可等，應(yīng)使用符合國家有關(guān)規(guī)定產(chǎn)品

10、應(yīng)具有專門的部門負責(zé)產(chǎn)品的采購

11、采購產(chǎn)品前應(yīng)預(yù)先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應(yīng)具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結(jié)果文檔）

13、應(yīng)具有軟件設(shè)計相關(guān)文檔，專人保管軟件設(shè)計的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發(fā)布應(yīng)進行授權(quán)和批準(zhǔn)

15、應(yīng)具有程序資源庫的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應(yīng)檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業(yè)產(chǎn)品

18、應(yīng)具有軟件設(shè)計的相關(guān)文檔和使用指南

19、應(yīng)具有需求分析說明書、軟件設(shè)計說明書、軟件操作手冊等開發(fā)文檔

20、應(yīng)指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質(zhì)量控制

21、應(yīng)具有工程實施過程應(yīng)按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統(tǒng)正式運行前，應(yīng)委托第三方測試機構(gòu)根據(jù)設(shè)計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試（第三方測試機構(gòu)出示的系統(tǒng)安全性測試驗收報告）

23、應(yīng)具有工程測試驗收方案（測試驗收方案與設(shè)計方案或合同要求內(nèi)容一致）

24、應(yīng)具有測試驗收報告

25、應(yīng)指定專門部門負責(zé)測試驗收工作（具有對系統(tǒng)測試驗收報告進行審定的意見）

26、根據(jù)交付清單對所交接的設(shè)備、文檔、軟件等進行清點（系統(tǒng)交付清單）

27、應(yīng)具有系統(tǒng)交付時的技術(shù)培訓(xùn)記錄

28、應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進行系統(tǒng)運維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊等文檔。

29、應(yīng)指定部門負責(zé)系統(tǒng)交付工作

30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容

31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)

32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書

11、采購產(chǎn)品前應(yīng)預(yù)先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應(yīng)具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結(jié)果文檔）

13、應(yīng)具有軟件設(shè)計相關(guān)文檔，專人保管軟件設(shè)計的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發(fā)布應(yīng)進行授權(quán)和批準(zhǔn)

15、應(yīng)具有程序資源庫的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應(yīng)檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業(yè)產(chǎn)品

18、應(yīng)具有軟件設(shè)計的相關(guān)文檔和使用指南

19、應(yīng)具有需求分析說明書、軟件設(shè)計說明書、軟件操作手冊等開發(fā)文檔

20、應(yīng)指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質(zhì)量控制

21、應(yīng)具有工程實施過程應(yīng)按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統(tǒng)正式運行前，應(yīng)委托第三方測試機構(gòu)根據(jù)設(shè)計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試（第三方測試機構(gòu)出示的系統(tǒng)安全性測試驗收報告）

23、應(yīng)具有工程測試驗收方案（測試驗收方案與設(shè)計方案或合同要求內(nèi)容一致）

24、應(yīng)具有測試驗收報告

25、應(yīng)指定專門部門負責(zé)測試驗收工作（具有對系統(tǒng)測試驗收報告進行審定的意見）

26、根據(jù)交付清單對所交接的設(shè)備、文檔、軟件等進行清點（系統(tǒng)交付清單）

27、應(yīng)具有系統(tǒng)交付時的技術(shù)培訓(xùn)記錄

28、應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進行系統(tǒng)運維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊等文檔。

29、應(yīng)指定部門負責(zé)系統(tǒng)交付工作

30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容

31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)

32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書

六、系統(tǒng)運維管理

1、應(yīng)指定專人或部門對機房的基本設(shè)施（如空調(diào)、供配電設(shè)備等）進行定期維護，由何部門/何人負責(zé)。

2、應(yīng)具有機房基礎(chǔ)設(shè)施的維護記錄，空調(diào)、溫濕度控制等機房設(shè)施定期維護保養(yǎng)的記錄

3、應(yīng)指定部門和人員負責(zé)機房安全管理工作

4、應(yīng)對辦公環(huán)境保密性進行管理（工作人員離開座位確保終端計算機退出登錄狀態(tài)、桌面上沒有包含敏感信息的紙檔文件）

5、應(yīng)具有資產(chǎn)清單（覆蓋資產(chǎn)責(zé)任人、所屬級別、所處位置、所處部門等方面）

6、應(yīng)指定資產(chǎn)管理的責(zé)任部門或人員

7、應(yīng)依據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標(biāo)識

8、介質(zhì)存放于何種環(huán)境中，應(yīng)對存放環(huán)境實施專人管理（介質(zhì)存放在安全的環(huán)境（防潮、防盜、防火、防磁，專用存儲空間））

9、應(yīng)具有介質(zhì)使用管理記錄，應(yīng)記錄介質(zhì)歸檔和使用等情況（介質(zhì)存放、使用管理記錄）

10、對介質(zhì)的物理傳輸過程應(yīng)要求選擇可靠傳輸人員、嚴(yán)格介質(zhì)的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)的控制

11、應(yīng)對介質(zhì)的使用情況進行登記管理，并定期盤點（介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤點的記錄）

12、對送出維修或銷毀的介質(zhì)如何管理，銷毀前應(yīng)對數(shù)據(jù)進行凈化處理。（對帶出工作環(huán)境的存儲介質(zhì)是否進行內(nèi)容加密并有領(lǐng)導(dǎo)批準(zhǔn)。對保密性較高的介質(zhì)銷毀前是否有領(lǐng)導(dǎo)批準(zhǔn)）（送修記錄、帶出記錄、銷毀記錄）

13、應(yīng)對某些重要介質(zhì)實行異地存儲，異地存儲環(huán)境是否與本地環(huán)境相同（防潮、防盜、防火、防磁，專用存儲空間）

14、介質(zhì)上應(yīng)具有分類的標(biāo)識或標(biāo)簽

15、應(yīng)對各類設(shè)施、設(shè)備指定專人或?qū)ｉT部門進行定期維護。

16、應(yīng)具有設(shè)備操作手冊

17、應(yīng)對帶離機房的信息處理設(shè)備經(jīng)過審批流程，由何人審批（審批記錄）

18、應(yīng)監(jiān)控主機、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的運行狀況等

19、應(yīng)有相關(guān)網(wǎng)絡(luò)監(jiān)控系統(tǒng)或技術(shù)措施能夠?qū)νㄐ啪€路、主機、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行監(jiān)測和報警

20、應(yīng)具有日常運維的監(jiān)控日志記錄和運維交接日志記錄

21、應(yīng)定期對監(jiān)控記錄進行分析、評審

22、應(yīng)具有異?，F(xiàn)象的現(xiàn)場處理記錄和事后相關(guān)的分析報告

23、應(yīng)建立安全管理中心，對設(shè)備狀態(tài)、惡意代碼、補丁升級、安全審計等相關(guān)事項進行集中管理

24、應(yīng)指定專人負責(zé)維護網(wǎng)絡(luò)安全管理工作

25、應(yīng)對網(wǎng)絡(luò)設(shè)備進行過升級，更新前應(yīng)對現(xiàn)有的重要文件是否進行備份（網(wǎng)絡(luò)設(shè)備運維維護工作記錄）

26、應(yīng)對網(wǎng)絡(luò)進行過漏洞掃描，并對發(fā)現(xiàn)的漏洞進行及時修補。

27、對設(shè)備的安全配置應(yīng)遵循最小服務(wù)原則，應(yīng)對配置文件進行備份（具有網(wǎng)絡(luò)設(shè)備配置數(shù)據(jù)的離線備份）

28、系統(tǒng)網(wǎng)絡(luò)的外聯(lián)種類（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級部門網(wǎng)絡(luò)等）應(yīng)都得到授權(quán)與批準(zhǔn)，由何人/何部門批準(zhǔn)。應(yīng)定期檢查違規(guī)聯(lián)網(wǎng)的行為。

29、對便攜式和移動式設(shè)備的網(wǎng)絡(luò)接入應(yīng)進行限制管理

30、應(yīng)具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書，應(yīng)具有網(wǎng)絡(luò)違規(guī)行為（如撥號上網(wǎng)等）的檢查手段和工具。

31、在安裝系統(tǒng)補丁程序前應(yīng)經(jīng)過測試，并對重要文件進行備份。

32、應(yīng)有補丁測試記錄和系統(tǒng)補丁安裝操作記錄

33、應(yīng)對系統(tǒng)管理員用戶進行分類（比如：劃分不同的管理角色，系統(tǒng)管理權(quán)限與安全審計權(quán)限分離等）

34、審計員應(yīng)定期對系統(tǒng)審計日志進行分析（有定期對系統(tǒng)運行日志和審計數(shù)據(jù)的分析報告）

35、應(yīng)對員工進行基本惡意代碼防范意識的教育，如告知應(yīng)及時升級軟件版本（對員工的惡意代碼防范教育的相關(guān)培訓(xùn)文檔）

36、應(yīng)指定專人對惡意代碼進行檢測，并保存記錄。

37、應(yīng)具有對網(wǎng)絡(luò)和主機進行惡意代碼檢測的記錄

38、應(yīng)對惡意代碼庫的升級情況進行記錄（代碼庫的升級記錄），對各類防病毒產(chǎn)品上截獲的惡意代碼是否進行分析并匯總上報。是否出現(xiàn)過大規(guī)模的病毒事件，如何處理

39、應(yīng)具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應(yīng)具有變更方案評審記錄和變更過程記錄文檔。

41、重要系統(tǒng)的變更申請書，應(yīng)具有主管領(lǐng)導(dǎo)的批準(zhǔn)

42、系統(tǒng)管理員、數(shù)據(jù)庫管理員和網(wǎng)絡(luò)管理員應(yīng)識別需定期備份的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)（備份文件記錄）

43、應(yīng)定期執(zhí)行恢復(fù)程序，檢查和測試備份介質(zhì)的有效性

44、應(yīng)有系統(tǒng)運維過程中發(fā)現(xiàn)的安全弱點和可疑事件對應(yīng)的報告或相關(guān)文檔

45、應(yīng)對安全事件記錄分析文檔

46、應(yīng)具有不同事件的應(yīng)急預(yù)案

47、應(yīng)具有應(yīng)急響應(yīng)小組，應(yīng)具備應(yīng)急設(shè)備并能正常工作，應(yīng)急預(yù)案執(zhí)行所需資金應(yīng)做過預(yù)算并能夠落實。

48、應(yīng)對系統(tǒng)相關(guān)人員進行應(yīng)急預(yù)案培訓(xùn)（應(yīng)急預(yù)案培訓(xùn)記錄）

49、應(yīng)定期對應(yīng)急預(yù)案進行演練（應(yīng)急預(yù)案演練記錄）50、應(yīng)對應(yīng)急預(yù)案定期進行審查并更新

51、應(yīng)具有更新的應(yīng)急預(yù)案記錄、應(yīng)急預(yù)案審查記錄。

第五篇：信息安全等級保護監(jiān)督檢查報告

信息安全等級保護監(jiān)督檢查報告

接縣公安局文件后，我單位對本單位信息安全等級保護工作進行了自查

一、等級保護工作組織開展、實施情況：嚴(yán)格按照文件精神組織開始了信息安全等級保護自查工作，主要檢查對象為本單位維護的翼城政府網(wǎng)；安全責(zé)任落實情況：按照“誰主管誰負責(zé)，誰運營誰負責(zé)”的原則開展工作，我單位負責(zé)人為第一責(zé)任人，對翼城政府網(wǎng)信息安全負直接責(zé)任，并接受信息安全監(jiān)管部門對開展等級保護工作的監(jiān)管；信息系統(tǒng)安全崗位和安全管理人員設(shè)置情況：本單位負責(zé)人主管信息系統(tǒng)安全工作，有安全管理員兩名。

二、按照信息安全法律法規(guī)、標(biāo)準(zhǔn)規(guī)范的要求制定具體實施方案和落實情況：遵照有關(guān)法律法規(guī)，對翼城政府網(wǎng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度,對翼城政府網(wǎng)信息安全保護等級進行了自主定級。

三、信息系統(tǒng)定級備案情況，信息系統(tǒng)變化及定級備案變動情況：按照《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公通字?2007?861號），對本單位維護網(wǎng)站（翼城政府網(wǎng)）安全保護等級級別定位第二級。

四、信息安全設(shè)施建設(shè)情況和信息安全整改情況：鑒于

網(wǎng)站的性質(zhì)，無信息安全設(shè)施。

五、信息安全管理制度建設(shè)和落實情況：制定了翼城政府網(wǎng)信息安全管理制度，按照“誰主管誰負責(zé)”的原則開展工作，我單位負責(zé)人為第一責(zé)任人，對翼城政府網(wǎng)信息安全管理負直接責(zé)任，并接受上級單位的監(jiān)管。

六、信息安全保護技術(shù)措施建設(shè)和落實情況：對翼城政府網(wǎng)機房實施了24小時值班，操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、防病毒系統(tǒng)、網(wǎng)站軟件系統(tǒng)實時升級，發(fā)現(xiàn)安全隱患，第一時間由技術(shù)人員解決。

七、選擇使用信息安全產(chǎn)品情況：翼城政府網(wǎng)使用了銳捷網(wǎng)絡(luò)的XXX產(chǎn)品。

八、聘請測評機構(gòu)按規(guī)范要求開展技術(shù)測評工作情況，根據(jù)測評結(jié)果開展整改情況：暫無聘請測評機構(gòu)開展技術(shù)測評工作。

九、自行定期開展自查情況：每半年對翼城政府網(wǎng)進行一次信息系統(tǒng)安全保護自查。

十、開展信息安全知識和技能培訓(xùn)情況：主動學(xué)習(xí)信息安全法律法規(guī)，積極參加公安機關(guān)、上級主管部門組織的信息安全知識和技能培訓(xùn)。

翼城縣網(wǎng)絡(luò)中心

2011年8月23日