2014自查综合利用年

中国地质郑州矿产综合利用2014年自查报告（一）信息系统的基本情况地质军装备、实现了全所网络统一出口和全所网络统一化系统、会议等均运行在此线。（二）工作情详细描述本单位××××年在 管理、技术防护、安全应急、 停止安全服务应对、数据泄漏及系统被控制应对、非涉密重要网络和信息系统中技术 产品的使用、安 、安全问题整改等面开展的工作情况。（三）自查工作组织开展情概述自查工作的开展情况。（四）自查发现的主要问题和的分发现的主要问题和薄弱环节。计算机知识匮乏及安全意思薄的安 与风险（）改进措施。整改效果。（六）关于加强工作的意见和建议四、及使用情况表、 管理工作自评估表、密码自查情况表、 检查情况汇总表等表应如实填写，不要出现漏项、错项、前后不一致等情况。附件

管管一、单位基本情况②： ②：：二、信息系统基本情况 ②网络连接情况可以通过互联网的系统数量 不能通过互联网的系统数量 ③面向社会公众提供服务的系统数量 □接入中国□接入中国电 □其他 个个接入宽带：个接入宽带：个接入宽带：第一级 第二级 第三级 第四级 第五级 ①岗位责任制度：□已建 □未建②重点岗位人员安全协议：□全部签 □部分签 □均未签③人员离岗离职安全管理规定：□已制 □未制④外部人员机房等重要区域制度：□已建 □未建 □未建②设备维修和报废管理四 防护情①防护设备部署（可多选□□检测设 □安全审计设□防网 □抗服务设②设备安全策略配置：□使用默认配 □根据需要配③网络日志：□留存日 □未留存日 □互联网 □业务/办公网络 ③安全防护策略（可多选 □采取地质过滤措 □不存 □委托第运维第运维公司名门户 ②门户IP地址③网页防篡改措施：□采 □未采 □不定 □未进□已建立审核制度，但记录不完整 □委托第运维第运维公司名 □使用第服务 ③邮箱：□须经□任□集中统一管理（可多选 □统一防 □对移动介质接入实施控□有控制措施（如实名接入、绑定计算机IP和MAC地址等□有控制措施（如实名接入、绑定计算机IP和MAC地址等□已配备信息消除和销毁设 □未配备信息消除和销毁设□本年度已开展，演练时间 □本年度未开②系统备份：采取实时备份措施的系统数量 □外部专业机 □本年度开 的次数 本年度管理和技术人员参加专业培训的人数人①总台数 ②品牌情况：国内品牌台数 台其中，使用国产CPU的台数： ①总台数 ②品牌情况：国内品牌台数 台其中，使用国产CPU的台数： ③操作系统情况：使用国产操作系统的台数 台 ②品牌情况：国内品牌台数 ②品牌情况：国内品牌台数 ①总台数 ②品牌情况：国内品牌台数 ②品牌情况：国内品牌套数 总数 品牌 数量 品牌 数量 总数 品牌 数量 品牌 数量 总数 品牌 数量 品牌 数量 总数 品牌 数量 品牌 数量 （防御总数 品牌 数量 品牌 数量 八 经费预算投入情本年度经费预算额 万上一年度经费实际投入额 万九、本年度技术检测及情 个其中，可以成功控制的系统数量： 况 个其中，存在 个其中，存在 情安全防护设备检测到的门户受次数 事门户网页篡改（含内嵌代码）次数 十 外包服务机构情况（包括参与技术检测的外部专业机构□国有单 □民营企 □企□系统集 □系统运 □风险评□安全检 □安全加 □应急支□数据□备□已签 □未签□已通过认证□国有单 □民营企 □企□系统集 □系统运 □风险评□安全检 □安全加 □应急支□数据□备□已签 □未签（2个以上外包机构，每个机构均应填写附件

量化方法（P为量化值明确一名主管领导负责本部门网络安全工作（主管应为本部门正职或副职）3已明确，本年度就工作作出批示或主持召开 ，P=；已明确，年度未就 工作作出批示或主持召开 ，P=0.；尚未明确，P0指定一个机构具体承担管理工作（管理机构2=未指定，P0员各内设机构指定一名专职或员2P=指定员的内设机构数量与内设机构总数的比率。建立管理制度体系，涵盖人员管、制度完整，P1；制度不完整，P=0.5；无制度，P=0。资产管理、采购管理、外包管理 等方面。2符合，P1；不符合，P量化方法（P为量化值量化方法（P为量化值协议络安全员等重点岗位人员（系统管理员、网络管理员、 协议人员离岗离职时，收回其相关权限，签署安网订安全2P=重点岗位人员中签 协议的比率。符合，P全2不符合，P0 外部人员机房等重要区域时采取、2符合，P=1；不符合，P0。2符合，P1；不符合，P0建立完整资产台账，统一编号、统一标识、 统符合，P1；不符合，P02符合，P1；不符合，P0 完整记录设备维修 和报废信（时间、地2记录完整，P记录基本完整，P记录不完整或无记录，P0

评价要素

外包服务提供商签 保密协议，或在服务合同中明确 现场服务过程中安排专人管理，并记录服务

22

量化方法（P为量化值定 符合，P=不符合，P0记录完整，P定性记录不完整，P0.5；无记录，P=0。

外包开发的系统、软件上线前通过

P=外包开发的系统、软件上线前通过信息安定量全

原则上不得采 方式，确需采用采 控制 监测、日 审计等安全防护措施。

定 符合，P=不符合，P0

经费预 设施运维、日常管理 、检查评估

符合，P

不符合，P0 信息发布前采取内容核查、 等安全管

符合，P=1；不符合，P0。

配备必要的电子信息消除和销毁设备，对变更用途 介质进行信息消除，对废弃

定 符合，P=不符合，P0

量化方法（P为量化值

具备防 、防破坏、防雷击、防火、防水、防潮、防静电及备用电力供应、温湿度控制、211符合，P1；不符合，P03符合，P有设备，但未配置策略，P无设备，P02符合，P1；有设备，但未定期更新，P0.5；无设备，P0网络边界部署 控制设备，能够阻断非授。

定 符合，P=不符合，P0

网络边界部署 检测设备，定期更新检测规则库。安全审 网络边界部署安全审计设备，对网 情况进行定期

符合，P1；有设备，但未定期分析，P0.5；无设备，P0

析审计并记录审计情况 互联网 数各单位同一办公区域内互联网 不超

符合，P 个

定性不符合，P0部署 网关或统一安装 软件，并定期更

符合，P1；有设备，但未定期网

分析，P0.5；不符合，P0

量化方法（P为量化值

定期对服务器、网络设备、 等进行安 配置口令策略保证服务器口令强度和更新频率

定性符合，P不符合，P0定量P=P=安全审 启用安全审计功能并进行定期分析

器比率。服务 及时对服务器操作系统补丁和数据库管理系统补丁进行补丁更 新

定量P= 配置口令策略保证网络设备 口强

P=网络设备 （指重要设备）

管 终端计算

采取集中统一管理方式对终端进行防护，统一

符合，P

不符合，P0

采取技术措施（如部署集中管理系统、将IP址与MAC地址绑定等对接入本单位网络的

定 符合，P=不符合，P0

定期对服务器、网络设备 等进

量化方法（P为量化值扫描周期小于1个月，P1；扫描周期为2到3个月，P=0.5；

安

定性扫描周期为4到6个月，P=0.2；其他，P=0。

门 门 服 措施

符合，P=1；不符合，P0。符合，P=1；不符合，P0。电子邮件账号注建立邮件账号开 程序，防止邮件账

符合，P任

定性不符合，P0

配置口令策略保证电子邮箱口令强度和更新

符合，P频安 令策 率

定性不符合，P0 定性符合，P=1；不符合，P=0 数据安 数 保护采取技术措施（如加密、分 等）

符合，P=1；不符合，P0。

量化方法（P为量化值

2数据传输保护采取技术措 传输的重要数据进行加密和校2

符合，P1；不定性符合，P=0。

采取技术措施对重要数据和系统进行定期备份

定性符合，P1；不符合，P0数据中心数据中心、灾备中心应设立在境内。

符合，P=1；不符合，P0。

制定 应急预案（为部门级预案，非单个信息系统的安全应急预案），并使相关

定 符合，P=不符合，P0

符合，P=1；定性不符合，P0。

指定应急技术支援队伍，配备必要的备机、备件等应急物符合，P=

资 定性不符合，P=0发 后，及时向主 报告 发生 并按要求处置，或者未发生过 按照预案开展处置工作重大 ，P=1；发生过 求处置，P=0。（ 评估指 评价要 评价标 （ V 面向全体人员开展 形势与警示教育、基本技能培

量化方法（P为量化值本年度开展活动的次数≥3，P 1；次数=2，P=0.7