信息安全检查报告.doc

附件1：2011年度政府信息系统安全检查工作报告一、信息安全状况总体评价概述本部门信息安全工作情况，与上一年度相比信息安全工作取得的新进展，对本部门信息安全状况的总体评价。二、2011年信息安全检查情况（一）本级机关信息安全自查情况对照2011年政府信息系统安全检查指南要求，逐项描述本部门2011年在信息安全组织管理、日常信息安全管理、信息安全防护管理、信息安全应急管理、信息安全教育培训、信息安全检查等方面开展的工作情况。（二）直属单位信息安全检查组织实施情况指导直属单位开展信息安全自查和组织抽查等有关情况。三、检查发现的主要问题及整改情况（一）存在主要问题及其原因描述本部门安全检查特别是技术检测发现的主要问题和薄弱环节，分析其存在原因。（二）下一步工作打算针对检查发现的问题提出整改计划或整改措施。四、对信息安全工作的意见和建议对信息安全工作特别是信息安全检查工作提出意见和建议，促进我市进一步提高信息安全检查工作水平。附件2：2011年度政府信息系统安全自查情况报告表（得分： 分）一、部门基本情况（小计5分，得 分）部门名称分管信息安全工作的领导（2分）姓 名： 职 务： 信息安全责任处室（1.5分）名 称： 负责人： 职务： 电 话： 信息安全员（1.5分）姓 名： 职务： 电 话： 二、信息系统基本情况（小计13分，得 分）信息系统基本情况（3分）信息系统总数： 个面向社会公众提供服务的信息系统数： 个委托社会第三方进行日常运维管理的信息系统数： 个，其中签订运维外包服务合同的信息系统数： 个互联网接入情况（此项为统计项，不计分 本报告表未列明分值的选项均为统计调查项，不设分值，不计入总分。）互联网接入口总数： 个其中：联通 接入口数量： 个 接入带宽： 兆 电信 接入口数量： 个 接入带宽： 兆 其他： 接入口数量： 个 接入带宽： 兆系统定级情况（2分）第一级： 个 第二级： 个 第三级： 个第四级： 个 第五级： 个 未定级： 个系统安全测评情况（8分）最近2年开展安全测评（含风险评估、等级测评）系统数： 个三、日常信息安全管理情况（小计8分，得 分）人员管理（5分）岗位信息安全和保密责任制度：已建立 未建立重要岗位人员信息安全和保密协议：全部签订 部分签订 均未签订人员离岗离职安全管理规定：已制定 未制定外部人员访问机房等重要区域管理制度：已建立 未建立资产管理（3分）信息安全设备运维管理：已明确专人负责 未明确定期进行配置检查、日志审计等 未进行设备维修维护和报废销毁管理：已建立管理制度，且维修维护和报废销毁记录完整已建立管理制度，但维修维护和报废销毁记录不完整尚未建立管理制度四、信息安全防护管理情况（小计37分，得 分）网络边界防护管理（6分）网络区域划分是否合理：合理 不合理安全防护设备策略：使用默认配置 根据应用自主配置互联网访问控制： 有访问控制措施 无访问控制措施互联网访问日志： 留存日志 未留存日志信息系统安全管理（6分）服务器安全防护：已关闭不必要的应用、服务、端口 未关闭帐户口令满足8位，包含数字、字母或符号 不满足定期更新帐户口令 未能定期更新定期进行漏洞扫描、病毒木马检测 未进行网络设备防护：安全策略配置有效 无效帐户口令满足8位，包含数字、字母或符号 不满足定期更新帐户口令 未能定期更新定期进行漏洞扫描、病毒木马检测 未进行信息安全设备部署及使用：已部署有防病毒、防火墙、入侵检测、安全审计等功能的设备 未部署 安全策略配置有效 无效门户网站应用管理（15分）门户网站管理（3分）网站域名：_ IP地址：_是否申请中文域名：是_ 否网站是否备案：是 否门户网站账户安全管理： 已清理无关帐户 未清理无空口令、弱口令和默认口令 有清理网站临时文件、关闭网站目录遍历功能等情况：口已清理 口未清理门户网站信息发布管理： 已建立审核制度，且审核记录完整已建立审核制度，但审核记录不完整尚未建立审核制度其他应用管理（4分）电子邮件功能（开设 未开设）已作清理，仅限本部门或有关人员使用 未作清理有技术措施用于控制和管理口令强度 无技术措施无空口令、弱口令和默认口令 有留言板功能（开设 未开设）留言内容经审核后发布 未经审核即可发布论坛功能（开设 未开设） 已备案根据互联网电子公告服务管理规定，拟开展电子论坛等电子公告服务的，应当向所在地电信管理机构进行专项备案。 未备案论坛内容经审核后发布 未经审核即可发布博客功能（开设 未开设）已作清理，仅限本部门或有关人员使用 未作清理博客内容经审核后发布 未经审核即可发布日常安全保障（8分）此项得分根据省信安办定期组织开展的政府网站外部安全检测结果和各部门是否及时有效实施安全整改等情况，由省信安办进行评分。终端计算机安全管理（6分）终端计算机安全管理方式：使用统一平台对终端计算机进行集中管理 用户分散管理帐户口令管理：无空口令、弱口令和默认口令 有接入互联网安全控制措施：有控制措施（如实名接入、绑定计算机IP和MAC地址等）无控制措施漏洞扫描、木马检测： 定期进行 未进行在非涉密信息系统和涉密信息系统间混用情况：不存在 存在是否存在使用非涉密计算机处理涉密信息情况：不存在 存在存储设备安全管理（4分）移动存储设备管理方式：集中管理，统一登记、配发、收回、维修、报废、销毁未采取集中管理相关措施在非涉密信息系统和涉密信息系统间混用情况:不存在 存在五、信息安全应急管理情况（小计10分，得 分）部门应急预案制定及备案情况（5分）已备案 已制定但未备案 未制定应急技术支援队伍（1分）部门所属单位 外部专业机构 未明确信息安全应急演练（2分）本年度已开展 本年度未开展信息安全备份（2分）重要数据： 备份 未备份重要信息系统：备份 未备份容灾备份服务：位于境内 位于境外 无六、信息技术产品使用情况（小计5分，得 分）服务器总台数： ，其中国产台数： 使用国产CPU的服务器台数： 终端计算机（含笔记本）总台数： ，其中国产台数： 使用国产CPU的计算机台数： 网络设备总台数： ，其中国产台数： 操作系统服务器操作系统情况：安装Windows操作系统的服务器台数： 安装Linux操作系统的服务器台数： 安装其他操作系统的服务器台数： 终端计算机操作系统情况：安装Windows操作系统的计算机台数： 安装Linux操作系统的计算机台数： 安装其他操作系统的计算机台数： 数据库总套数： ，其中国产套数： 公文处理软件安装国产公文处理软件的终端计算机台数： 安装国外公文处理软件的终端计算机台数： 信息安全设备安装国产防病毒产品的终端计算机台数： 防火墙（不含终端软件防火墙）台数： 其中国产防火墙的台数： 新购信息安全产品强制性认证情况 根据财政部、工信部等四部门下发的关于信息安全产品实施政府安全采购的通知（财库201048号）要求：国家机关、事业单位和团体组织使用财政性资金采购信息安全产品的，应当采购经国家认证的信息安全产品。（5分）2011年新购信息安全产品通过国家认证的台（套）数： ，占新购信息安全产品总数的百分比为： 七、信息安全教育培训情况（小计5分，得 分）参加培训情况（1.5分）本年度是否派员参加信息安全主管部门组织的教育培训，人次数： ，培训部门名称 组织培训情况（1.5分）本年度是否组织开展信息安全教育培训，次数： 参训人员比例（2分）本年度参加信息安全教育培训的人员占总人数比例为： 八、信息安全检查情况（小计12分，得 分）2010年度安全检查发现问题整改情况（4分）已落实整改内容 已制定整改工作计划 未开展2011年度信息安全检查工作情况（8分）检查工作和经费落实情况： 已落实 未落实检查工作方案制定情况： 已制定 未制定安全保密和风险控制措施： 已采取 未采取组织开展技术检测情况： 已开展 未开展九、信息安全经费预算投入情况（小计5分，得 分）经费预算（2分）本年度信息安全经费预算额： 万元实际经费投入（3分）本年度信息安全经费实际投入额： 万元十、本年度信息安全事件情况本年度安全技术检测结果病毒木马等恶意代码 本表所称恶意代码，是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。检测结果进行过病毒木马等恶意代码检测的服务器台数： 其中感染恶意代码的服务器台数： 进行过病毒木马等恶意代码检测的终端计算机台数： 其中感染恶意代码的终端计算机台数： 漏洞检测结果进行过漏洞扫描的服务器台数：_ ，其中存在漏洞的服务器台数：_ ,存在高风险漏洞 本表所称高风险漏洞，是指计算机硬件、软件或信息系统中存在的严重安全缺陷，利用这些缺陷可完全控制或部分控制计算机及信息系统，对计算机及信息系统实施攻击、破坏、信息窃取等行为。的服务器台数：_进行过漏洞扫描的终端计算机台数：_ ,其中存在漏洞的终端计算机台数：_ ,存在高风险漏洞的终端计算机台数： 本年度信息安全事件统计门户网站受攻击情况本部门入侵检测设备检测到的门户网站受攻击次数： 网页被篡改情况门户网站网页被篡改（含内嵌恶意代码）次数： 设备违规使用情况使用非涉密终端计算机处理涉密信息事件数： 终端计算机在非涉密系统和涉密系统间混用事件数： 移动存储介质在非涉密系统和涉密系统间交叉使用事件数： 十一、信息技术外包服务机构情况外包服务机构1机构名称机构性质国有 民营 外资服务内容 服务内容主要包括：系统集成、系统运维、风险评估、安