2014年直属单位信息安全自查表.doc

2014年直属单位信息安全自查表检查项检查分项检查内容自查结果说明备注一、信息安全制度落实落实信息安全组织机构和人员责任应建立或修订安全管理机构，明确信息安全管理职能，按照安全管理职能制定工作计划、工作方案、规章制度及安全教育培训；划分信息安全管理机构中的安全管理专责，签署岗位责任文件和保密协议。建立或修订日常运维管理制度建立或修订信息安全管理相关制度文档并以正式文件形式发布，管理制度涵盖网络安全、用户安全、计算机房及服务器安全、信息发布、授权管理、安全审计和安全运维等方面，相关制度应有详细的执行记录。信息系统托管管理信息系统托管应符合深圳市电子政务信息安全管理试行办法第二十一条和经贸信息委关于加强电子政务公共资源安全管理的通知（深经贸信息政资字20146号）要求，选择市、区政府统一建设的数据中心托管，且托管前需通过信息系统安全等级测评。推进等级保护所有信息系统应进行等级保护备案、定级、测评及整改工作，按照网监关亍推进2 01 4年度信息安全等级保护工作的通知（深等保办(20142号)要求，二级或以上系统应在本年度9月25日前完成年度测评工作。二、安全防护工作落实季度安全自查按照2014年政府绩效评估信息安全指标考评标准操作规程和2014年深圳市政府绩效评估信息安全指标监测方案的要求，应加强对外网站、服务器和计算机终端的安全防护能力。各单位每月应做好外网站、服务器和计算机终端安全漏洞扫描和整改、落实服务器恶意代码软件的安装和更新，并对外网站安成渗透自查、网页后门和暗链分析工作。每季度的最后一月20日前应将能够通过互联网访问的所有网站及应用系统的漏洞扫描结果上报至市医学信息中心，对自查发现或上级通报的安全风险应在五个工作日内完成整改。相关原始记录、整改方案应造册管理，市医学信息中心将在现场抽查时进行核对。检查项检查分项检查内容自查结果说明备注网络安全管理措施落实强化外网接入认证措施（含有线和无线网络），必须具备身份验证和审计措施。安全设备管理内外网均需要配备必要的软硬件安全防护设备，以期达到预警、阻止和审计信息事件的能力，安全设备包括但不限于防火墙、上网审计系统、网页防篡改系统、邮件系统安全防护系统。安全审计措施落实应加强安全审计工作，部署必要的安全审计设备和启用服务器的日志记录功能，日志记录应保存6 0天以上。信息系统防篡改所有向互联网访问的信息系统应受到网页防篡改系统保护。邮件安全防护自建和管理的国际互联网邮件系统应具备安全管理功能，包括防垃圾邮件、黑白名单、关键字过漶、关闭匿名邮件等功能。关键设备安全巡检各单位应建立关键设备安全巡检制度，至少每季度一次对关键设备进行安全巡检，记录并形成必要的巡检报告。终端资产登记造册应加强对终端设备的接入管理。所有接入网络的计算机及打印机、传真机、复印机等网络终端设备必须配置固定的IP地址，并应登记其IP地址、MAC地址、物理位置、使用人信息等文档资料。内网计算机管理应对本单位的内网计算机终端的操作系统补丁和防恶意代码软件特征库进行升级。操作系统补丁更新需在补丁发布日期5个工作日内完成；防恶意代码软件特征库更新须补丁发布的1 0个工作日内完成。三、应急响应机制建设应急预案修订和演练应加强电子政务系统的信息安全应急管理，制定信息安全应急预案，每年对1个或以上重要系统组织演练（含数据备份恢复演练），并根据演练结果进一步修订完善预案。应急资源保障应建立定期备份机制，对信息系统源码和数据库文件进行备份；应建立符合实际所需的应急响应技术支援队伍，签署支持服务协议，并参与年度的应急演练工作。四、安全教育培训安全教育培训应积极参加全委信息安全意识培训，并自行组织开展本单位的信息安全意识培训工作。检查项检查分项检查内容自查结果说明备注五、责任追究责任追究应当建立健全信息安全责任追究制度，对违反信息安全