企业信息安全综合评估问卷.doc

企业信息安全综合评估问卷一、单位基本情况01 企业单位名称： 02法人单位代码： 03法人(负责人)： 04 电话(含分机)： 05 企业详细地址： 市 县（市、区） 街 号06 邮政编码： 07 填表人： 手机： 08 电子邮件：请在下列各选项后的 处打“” 09 企业登记注册类型 国有企业 集体企业 股份合作企业 联营企业 有限责任公司 股份有限公司 私营企业 其他内资企业 外商及港、澳、台商投资企业 上市公司 10 企业规模 特大型 大型 中型 小型 11 所在行业代码 工业企业主营产品： (只填一种)12 2005年信息化投入费用 万元，2005年末从业人员 人二、企业信息安全管理综合评估指标请在下列各选项后的 中打“”（请填写） 填表人 职 务 电 话 传 真 手 机 邮 箱 01 用于信息安全的费用占全部信息化投入的比例： 大于30% 20%-30% 10%-20% 5%-10% 5%以下 说明：用于信息安全的费用包含安全软件、硬件、信息安全培训、信息安全人力资源支出。02 每百人计算机拥有量（台） 计算口径为：能够正常运转的大、中、小型机、服务器和工作站，主频75MHz以上PC机。03 管理信息化项目的应用领域（可多选）财务管理 购销存管理 生产制造管理 分销管理 客户关系管理 人力资源管理 协同办公（OA） 电子商务 04 信息化工作最高领导者的地位：（1）最高领导者是：一把手 二把手 三把手 部门领导 （2）首席信息官（CIO）职位设置：设置正式CIO 不设正式CIO 05 企业业务对信息系统依赖程度业务处理流程的大部分可以通过手工方式或其他方式完成，自动化程度低。 业务处理流程的部分环节可以通过手工方式或其他方式替代完成，自动化程度中。 业务处理流程完全依赖信息系统，手工方式无法完成，自动化程度高。 06 企业信息系统服务范围地区范围 省级范围 全国范围 07 组织可能面临来自合法用户的安全威胁(可多选)管理疏忽：由于技术手段不足或者由于没有打补丁、没有升级病毒库、没有删除临时帐户、没有设置强口令等原因导致安全事件发生的可能性 滥用授权：由于用户权限分配过大无意或有意为自己或他人非法提供了数据泄露、系统破坏等条件的可能性 行为抵赖：由于安全管理人员职业素质不高，对自己造成的事件不承认的可能性 08 组织可能面临来自非法用户的威胁（可多选）冒用身份获取信息 密码猜测 利用安全漏洞入侵 发动拒绝服务攻击 感染病毒、蠕虫、特洛伊木马等恶意代码 窃听数据 物理破坏 社会工程学（利用社交手段窃密） 09 信息安全策略与规划（可多选）由管理层批准、发布并经所有员工认可 说明管理层责任及组织管理的方法 在有安全事件、新漏洞或组织技术基础架构变更后，对策略进行及时调整 10 信息安全管理的组织建设(可多选)(1)组织内部建设领导层重视安全 设置信息安全管理部门 相关部门能够理解和配合安全工作 设置专职信息安全管理人员 (2)委托外部第三方服务（第三方包括产品提供商，软件提供商，服务商、集成商和顾问等）在委托第三方服务合同中列出安全要求 控制第三方访问权限 签署第三方保密协议 11 信息安全管理岗位与职责保障（可多选）设置了系统维护与安全管理的岗位 确定了实现和维护组织安全策略的职责 信息安全人员入职前签署保密协议 定期对安全人员进行技术或任职资格考核 12 信息安全教育与培训（可多选）对操作员工开展信息安全知识普及教育 不定期对信息技术人员进行安全培训 对第三方合作单位进行安全技术培训 定期更新组织信息安全策略和流程并提供培训 13 针对信息安全事件及故障采用的反应措施（可多选）记录并报告安全事件 报告安全的弱点或威胁 报告系统软件的故障 建立处罚程序，对员工形成威慑 计算和监控事件和故障类型、数量及成本 14 组织建立了哪些信息安全管理制度？（可多选）机房安全管理制度 核心信息及资产访问和处理的制度 灾难应急和备份制度 机密文档管理制度 病毒防范制度 建立对安全管理制度的检查与修改机制 15 信息安全物理与环境采取的措施（可多选）有机房门禁系统 保安人员管理制度 在重要位置安装监控摄像头 有机房防火、防水措施 有机房防雷措施 有专用的空调设备 设有单独配电柜 有备份电源或UPS不间断电源 有防电磁泄漏或无线保护措施 电力线缆与通讯线缆相互隔离 16 资产管理（可多选）（1）信息资产管理措施建立包含所有信息资产（包括数据、软件、硬件等）的清单 根据机密程度和商业重要程度对数据和信息进行分类 由专人定期对重要的IT设备进行保养和维护，并建立详尽维护记录 对IT设备有严格的保管、使用登记和报废方面的管理要求 （2）关键业务数据处理的措施加密存储和传输数据 建立VPN通道在公网上传输数据 使用数字签名作为原发证据 对存储、传输的数据进行完整性检查 由专人负责定期备份数据 实时备份数据 （3）工程技术资料保密管理对各种技术资料实施密级管理 专人负责对技术资料的借阅、复制进行登记管理 及时销毁已报废的工程技术资料 17 网络操作运行安全管理（1）网络安全的人员操作制度（可多选）建立了网络系统的配置和修改日志 定期对网络中重要资产进行安全审计 定期检查和管理软件的审计日志 严格使用固定终端配置网络主干路由器 制定了业务系统及重要硬件设备的规范操作流程，并严格遵循 （2）网络安全的技术软件或设备（可多选）选用网络实时监控产品，记录和发现不良信息或破坏性行为，分析故障原因 选用了入侵检测设备（IDS/IPS）以及时发现和控制系统入侵事件 采用了负载均衡设备以保证网络运行的可靠性 采取了抗拒绝服务攻击的安全措施 对关键业务数据设置了备份传输线路 定期对系统进行安全漏洞扫描、修补或加固 18 访问控制安全管理（可多选）对不同的用户建立身份认证机制 定期审查网管员的用户访问权限 对用户口令或密码进行有效管理 严格对不同的岗位划分相应的安全权限 内外网之间设有防火墙 内外网之间采用物理隔离卡或隔离网闸 采用网段或VLAN划分信息系统 对外的连接有统一的网络接口 19 防病毒与应急恢复安全管理（可多选）有专人负责计算机病毒防范工作 采用国家许可的正版防病毒软件 定期更新病毒库 制定关键业务系统的安全事件应急方案 有专职人员处理应急事件 采用第三方服务商安全服务 制定并演练了灾难恢复工作 对安全事件结果进行文字记录并