××单位安全检查报告

《××单位安全检查报告》由会员分享，可在线阅读，更多相关《××单位安全检查报告（31页珍藏版）》请在装配图网上搜索。

1、X X单位信息安全检查报告省公司公司X X单位2011年9月1概述根据国务院信息化工作办公室关于对国家基础信息网络和重要信息系统开 展安全检查的通知（信安通2006 15号）、国家电力监管委员会关于对电 力行业有关单位重要信息系统开展安全检查的通知（办信息200648号）以及集团公司的文件要求，开展省公司公司（以下简称公司）范围内的信息安全检查 工作。2目标安全检查工作的主要目标是通过自评估工作， 发现公司信息系统当前面临的 主要安全问题，边检查边整改，确保公司信息网络和重要信息系统的安全。本次安全检查工作将完成以下任务：D 完成直属各单位典型系统的信息安全风险评估工作。通过检查掌握当 前公司

2、信息系统面临的主要安全问题，并在对检查结果进行分析判断 的基础上提出整改措施。2）进行公司范围内信息安全大检查， 对各单位的基础网络和重要信息系 统进行安全性自查，并将相关数据进行汇总分析，统计重大和典型信 息安全事件，及时发现和查找基础网络和重要信息系统存在的安全隐 患，边检查边整改，确保公司基础网络和重要信息系统安全、可靠运 行。3组织机构成立省公司公司X X单位信息安全检查领导小组和工作小组，组织协调局 信息安全检查工作。4检查方法安全检查工作中将采取风险评估的基本方法、 对检查范围内的工作内容按照 评估的基本框架进行，确保检查工作的出发点、过程和结果与实际情况相符。安全检查工作采用信息

3、安全风险评估的基本方法，按照“谁主管、谁负责， 谁运营、谁负责”的原则，以各单位组织自评估（自查）为主，并与上级检查和 专家指导相结合，对检查范围内的工作内容按照评估的基本框架进行，确保检查工作的出发点、过程和结果与实际情况相符。为配合检查工作的顺利开展、确保检查工作的实效，在检查实施过程中，应 采取有效的检查工具，结合人工检查，并参照相关的技术规范进行。检查工作中，按照检查列表由检查人员根据系统特点逐项检查，确保数据的 可靠和真实，人工检查要进行签字和审核，确保检查双方对结果的认可。5检查内容5.1 资产清单表附件1检查内容见附彳1资产清单表。5.2 事件清单表附件2检查事件清单见附件2事件

4、清单表5.3 检查结果表附件3检查结果见附件3检查结果表。6综合分析X X单位通过对本单位重要系统、重要网络设备、重要服务器及其安全属性 受破坏后的影响进行的识别，将一旦停止运行影响面大的系统、 关键网络节点设 备和安全设备、承载敏感数据和业务的服务器进行登记汇总，形成了重要资产清 单。通过对本单位半年内发生的较大的、 或者发生次数较多的信息安全事件（网 络故障、信息系统故障）进行了汇总记录，形成了本单位近半年内的的安全事件 清单。我局根据广电公司下发的安全缺陷检查列表包括规章制度与组织管理、关建设备和服务采购情况、网络与系统安全、网络与应用系统、安全技术管理与设备 运行状况、存储备份系统、介

5、质及物理环境安全、应急处置等进行了安全缺陷检 查，填写了安全缺陷检查结果表。对我局的信息安全状况组织了单位信息部的所有系统管理人员、专职、专责进行分析和判断，明确了这些安全事件产生的原因，提出了针对的整改措施。附件4检查结果整改措施编号安全事件事件情况简单说明（）发生日期后果处理措施1网络故障电信光缆中断，并时断时续。2006.4.252信息系统故障营销系统的数据增长迅猛，在业务繁忙 期，出现4个集群节点会随机自动宕机 现象，当日发生5号服务器宕机。2006.3.201.规章制度与组织管理（满分 110分）检查项目检查内容检查分值1组织机构（10 分）是否成立了信息安全领导机构、工作机构？ （

6、缺一项扣5分）2冈位职责（15 分）是否有专职网络管理人员（缺一项扣3分，兼 职扣1分）是否有专职应用系统管理人员（缺一项扣3 分，兼职扣1分）是否有专职系统管理人员（缺一项扣3分，兼 职扣1分）各专责的工作职责与工作范围是否有制度明 确进行界定。（否扣4分，）是否实行主、副岗备用制度（否扣 2分）3病毒管埋（12 分）是否制定了计算机病毒防治管理制度（否扣3 分）是否制定了定期升级的安全策略（否扣 3分）是否制定J病毒预警和报告机制（否扣 3分）病毒扫描策略是否规定了 1周内至少进一 次扫描？（否扣3分）4运行管理（50 分）是否建立了信息系统运行管理规程？（否扣3 分）重要操作是否实行工作

7、票制度？（检查 3个 月内的操作票，满分8分）机房出入管理制度是否上墙？近 3个月的机房进出情况是否启记录？（满分 8分）运行值班制度是否规定了普通情况下 5 * 8小 时、关键时期的7* 24小时的现场值班内容？（否扣3分）是否建立了缺陷管理制度（检查 3个月内情 况，满分8分）是否建立了统计汇报制度（检查 3个月内情 况，满分8分）是否建立了运维流程，并按照流程进行操作 （检查3个月内情况，满分8分）是否对值班人员进行了安若卜？近 3个月值班 记录内容是否详实？（满分4分）5账号与口令管 理（23分）是否制定了账号、口令管理制度？（否扣 5分）普通用户账户密码、口令长度要求是否大于6 字符

8、？管理员账户密码、口令长度是否大于8 字符？（每项/、符扣4分）半年内账户密码、口令是否进行过变更？（查 看变更相关记录、通知、文件）（否扣5分）半年内系统用户身份发生变化后是否及时对 其账户进行了变更或注销？（查看相关记录）（否扣5分）得分合计2 .关键设备和服务采购情况名称品牌数量外包服务商或运维服务情况 （注明是否为系统内单位）服务评价（好、 中、差）服务保密性要 求执行情况 （好、中、差）交换机好好好好路由器好P 好 小型机好好好好好好防火墙好好入侵检测防病用好好好好漏洞扫描网管软件好好安全监控平台风险评估、安全管理、安 全规划等咨询服务好好好r 好好好好好安全运维、安全加固、网 络优

9、化等外包服务好好好好产品安全性测试服务3 .网络与系统安全（100分）检查项目检查内容检查分值1网络架构（25）局域网核心交换设备，广域网核心路由设备是 合采取了设备冗余或准备了备用设备？（满分 10分，关键点缺一项扣2分，扣完为止）是否有/、经过防火墙的外联链路？（满分10分，后扣10分）是否有当前准确的网络拓扑结构图？（满分 5分）2网络分区（8）生产控制系统和管理信息系统之间是否吾B署了 隔离措施（满分5分）VLAN句的访问控制是否合理？（满分 3分）3网络设备（23）网络设备配置是否进行了备份？（电子、物理 介质）（满分3分）网络关键点设备是否双电源？（满分 5分）是否关闭了 HTTP

10、 FTR TFTP等服务？（满分 5分）SNMpf区用、本地用户口令是否强健（8字符， 数字、字母混杂）？（满分10分，一项/、合格 扣5分）4 IP 管理（14）是否有IP地址管理系统？（满分3分）是否有IP地址的规划方案和分配策略？（满分 8分）是否有IP地址分配记录？（满分3分）5补丁管理（13）是否有补丁管理的手段，或管理制度？（满分 5分）Windows系统主机补丁安装是含齐全？（湎分5 分）是否有补丁安装的测试记录？（满分 3分）6系统安全配置（8）是否对操作系统的安全配置进行了严格的设 置？（满分5分）是否删除了系统中不必要的服务、协议？（满 分3分）8主机备份（10）重要的系统

11、主机是否采用了双机备份？（满分 5分）是否进行过热切换，或者故障恢复的测试？（满 分5分）得分合计4 .网络服务与应用系统（100分）检查项目检查内容检查分值1 WW务（25）WW职务用户账户、口令是否健壮？（查看登录） （满分10分）信息发布是否进行了分级审核？（查看审核记录） （满分5分）外部网站是否有备份，或其他保护措施？（满分10分）2电子邮件服务（20）是否对近3个月的邮件数据进行了备份？（满分5分）是否有专门针对邮件病毒、垃圾邮件的安全措 施？（满分5分）邮件系统管理员账户/口令是否强健？邮件系统的维护、检查是否启审计记录？（满分 10分）3远程拨号访问 服务（15）是否有限制远程

12、拨号访问的管理措施？（满分 5分）用于业务系统维护的远程拨号访问是否采取了身份验证、访问操作记录等措施？（满分 10分）4应用系统（40）应用系统的角色、权限分配是否有记录? （满分 5分）用户账户的变更、修改、注销是否有记录？（查 看半年记录情况）（满分10分）关键应用系统的数据功能操作是否进行审计？审计信息是否进行了长期存储？（满分 5分）是否有针对关键应用系统的应急预案？（满分 10 分）关键应用系统管理员账户、用户账户口令是否定 期进行了变更？（满分5分）新系统上线前是否进行过安全性测试？（满分 5分）得分合计5 .安全技术管理与设备运行状况（90分）检查项目检查内容检查分值1防火墙（

13、35）网络中的防火墙部署位置是否合理？（满分10分）防护墙规则配置是否符合安全要求？（满分10分）防护墙规则配置的建立、更改是否启规范的申请、审核、审批流程？（查看半年内的记录）（满分10分）是否对防火墙日志进行了存储、备份？（满分 5分）2防病毒系统（20）防病毒系统是否覆盖所有服务器及客户端？（覆 盖率至少应大于90%）（满分5分）对服务器的防病毒客户端管理策略配置是否合理？（自动升级病毒代码、每周扫描）（满分10 分）是否有专贡人员负责维护防病毒系统，并及时发 布病母通告？（湎分5分）3入侵检测系统（15检查入侵检测系统部署是否合理、能否覆盖主要网络边界与主要服务器？（满分 5分）f是否

14、定期对审计信息进行分析？（满分 5分）是否定期更新入侵检测的规则与升级？（满分 5分）4安全技术管理 （2。是否部署了身份认证系统？（满分 3分）是否夸B署了安全管理平台？（满分 2分）是否采用了漏洞扫描系统？（满分 5分）重要系今年内是否进行了信息安全风险评估？ （满分5分）是否夸口署了针对安全设备的日志服务器？（满分5分）得分合计6 .存储备份系统（50分）检查项目检查内容检查分值1备份策略（10）是否建立了明确、合理的备份策略？是否严格按 照备份策略对系统数据进行备份？（查看备份策 略文件、查看备份记录，或查看备份工具配置）（满分10分）2恢复块菜（20）是否建立了明确的恢复预案？（查看

15、文件）（满分10分）是否定期进行恢复演练？（查看半年演练记录） （满分10分）3备份介质管理（20）检查是否建立介质的管理制度和废弃介质的处理 制度（满分10分）储存介质是否存放在安全环境（满分 5分）是否有严格的介质存取控制，是否有专人对存储 介质进行官理（满分5分）得分合计7,介质及物理环境安全（70分）检查项目检查内容检查分值1机房内部安全防护（5）主机房是否安装了门禁、监控与报警系统？（满 分5分）2机房供、配电（25）是否有详细的机房配线图？（满分 5分）机房供电系统是否将动力、照明用电与计算机系 统供电线路分开？（满分5分）机房是否配备应急照明装置？（满分 5分）是否定期对UPS的

16、运行状况进行检测？（查看半 年内检测记录）（满分10分）3机房环境防护（20）是否采用了气体防火措施？（满分 10分）空调系统是否定期进行检查？（满分 5分）机房温度是否控制在摄氏 26度以下？（满分5 分）4介质管理（20）是否后相应的介质管理规定。（否扣5分）U盘、移动硬盘等存储介质是否有资产记录和责 任人（否扣5分）磁盘、光盘等存储介质是否有专人保管？（否扣 5分）笔记本使用是否有明确的管理制度？（否扣5分）得分合计8.应急处置（30分）检查项目检查内容检查分值1应急预案（15）重要系统是否有完善的、可操作的应急预案？（满 分5分）是否对应急预案进行了定期演练？（满分 10分）2通报机制

17、（5）是否按照集团公司的要求建立了及时的信息安全 信息通报机制？（满分5分）3故障联动机制（5）是否建立了良好的故障通讯联动机制，联合进行 防护？（满分5分）4故障抢修机制（5）是否建立了完善的信息网故障抢修机制，应急资 源是否到位？（满分5分）得分合计附件4检查结果整改措施1.规章制度与组织管理检查项目检查内容检查说明及存在问题整改措施1组织机构是否成立了信息安全领导机构、工作 机构？成立了信息化工作领导 小组（2002 4号关于 成立集团XX供电分公 司信息化工作领导小组 的通知），而X X单位 信息安全管理规范中明 确定义信息安全组织的 架构和职能，但由于人员 编制问题，目前还没有完 全

18、按照该规范执行严格按照XX 单位信息安全 管理规范和X X单位信 息安全管理实 施指南成立安 全领耳机构和 工作机构。2岗位职责是否启专职网络管理人员配备了1名专职网络管理 员。信息网络日益扩 大，1名不够。是否启专职应用系统管理人员由于信息部岗位配置不 足，存在兼职的应用系统 管理人员。不是每个系统都 府专职人员是否有专职系统管理人员配备了1名专职系统管理员。各专责的工作职责与工作范围是否有 制度明确进行界定。X X单位信息部岗位 职责有明确界定。是否实行主、副岗备用制度由于信息部岗位配置不 足，没有实行主、副岗备 用制度。在目前的岗位配 置情况卜，争取网 络管理员实行主、 副岗备用制度。3

19、病毒管理是否制定了计算机病毒防治管理制度已制定X X单位计算机 病毒防范管理制度。是否制定了定期升级的安全策略在X X单位计算机病毒 防范管理制度中有具体 的规定。而且在杭附管理 平台上已经配置了定期 升级的安全策略。在X X单位计算 机病毒防范管理 制度体现是否制定J病毒预警和报告机制病毒报告机制在XX单 位安全事件应急处理预 案中体现。完善在XX单位 计算机病毒防范 管理制度体现。病毒扫描策略是否规定了1周内至少进行一次扫描？在病毒管埋平台上已经 配置了每周的病毒扫描 策略。4运行管理是否建立了信息系统运行管理规程？按照省公司颁布的管理 信息系统建设与运行维 护管理导则，每一个信 息系统都

20、制定了运行管 理规程。重要操作是否实行工作票制度？X供电信200621号关 于修定相关信息系统管 理制度的通知之省公 司XX单位信息网络入 网工作票文件规定J重 要操作实行工作票制度。机房出入管理制度是否上墙？近 3个 月的机房进出情况是否启记录？X供电信200621号关 于修定相关信息系统管 理制度的通知之省公 司X X单位计算机专业 机房工作方知文件规定 机房管理制度必须上墙。 有近3个月的机房进出情 况记录。运行值班制度是否规定了普通情况下 5* 8小时、关键时期的7 *24小时的现场值班内容？机房运行值班制度有 规定。是否建立了缺陷管理制度（检查 3个 月内情况，）有对网络设备、业务系

21、 统、服务器进行定期巡 检，发现缺陷并进行整 改，有3个月内的记录。 但未制定相关的缺陷管 理制度。参考省公司电力 通信设备缺陷管 理办法，尽快制 定X X单位信息 系统设备缺陷管 理制度。是否建立了统计汇报制度（检查 3个 月内情况，）每月底统计汇总全地区 信息系统运行月报，上报 给局生产例会。是否建立了运维流程，并按照流程进 行操作（检查3个月内情况，）建立了运维流程，有3个 月内的运维情况记录。是否对值班人员进行了安排？近 3个 月值班记录内容是否详实？针对日常、节假日、突发 情况等类型，都对值班人 员进行了安排。有近3个 月详实值班记录内容。平 时没有值班人员，关键时 候或节假日有值班

22、人员。BS7799人员配备5账号与口令管 理是否制定了账号、口令管理制度？已制定X X单位帐 号口令管理制度。普通用户账户密码、口令长度要求是 否大于6字符？管埋员账户密码、口 令长度是否大于8字符？在X X单位帐号口令管 理制度中作了严格规 定。半年内账户密码、口令是否进行过变 更？（查看变更相关记录、通知、文 件）除系统管理帐户外，大部 分普通账户密码、口令半 年内未进行过父更。局发文要求所有 员工严格执行 XX单位帐号 口令管理制度半年内系统用户身份发生变化后是否 及时对其账户进行了变更或注销？系统用户身份发生变化 后后及时对其账户进行 变更或注销，但没有做记 录。要求系统管理员 严格执

23、行X X单 位帐号口令管理 制度2 .网络与系统安全检查项目检查内容检查说明及存在问题整改措施1网络架构局域网核心交换设备，广域网核心路由设备是 合采取了设备冗余或准备了备用设备？局域网、城域网核心 设备共用1台三层交 换机，使用另外1台 作为冷备06年新建城域网及局 域网项目中进行改造是含有不经过防火墙的外联链路？是否有当前准确的网络拓扑结构图？有准确的网络拓扑图2网络分区生产控制系统和管理信息系统之间是否吾B署了 隔离措施（满分5分）部署Cisco PIX防火 墙VLAN间的访问控制是否合理？VLAN间的访问根据需 求进行控制3网络设备网络设备配置是否进行了备份？（电子、物理 介质）网络设

24、备配置进行电 子介质备份，并在每 次更改都进行备份网络关键点设备是否双电源？城域网核心设备、局 域网为核心设备均为 双电源，汇聚层设备、 关键防火墙只有单电 源重要路由器、防火墙 已有一台冷备是否关闭了 HTTP FTR TFTP等服务？已关闭HTTP FTP、TFTP月艮务SNMP+区用、本地用户口令是否强健（8字符， 数字、字母混杂）？SNMP字符串长度不 够，本地用户口令较 强健06年新建城域网及局 域网项目中进行改造4 IP管理是否有IP地址管理系统？是否有IP地址的规划方案和分配策略？:有是否有IP地址分配记录？（满分3分）有5补丁管理是否有补丁管理的手段，或管理制度？安装了 WSU

25、系统Windows系统主机补丁安装是含齐全？自动下载补丁，安装 齐全是否启补丁安装的测试记录？服务器有补丁安装的 测试记录，普通客户 端无测试记录6系统安全配置是否对操作系统的安全配置进行了严格的设 置？在域控制器的组策略 里做了部份安全策略 配置07年对AD域进行改 造，加强客户端、服 务器的安全配置是否删除了系统中不必要的服务、协议？对客户端作部分服务 的限制07年对AD域进行改 造，加强对客户端、 服务器的不必要的服 务、协议进行限制8主机备份重要的系统主机是否采用了双机备份？仅对部分重要业务系 统采用双机热备07年对财务、客服系 统采用双机热备是否进行过热切换，或者故障恢复的测试？采用

26、了双机备份的系 统进行过热切换，或 者故障恢复的测试。3 .网络服务与应用系统检查项目检查内容检查说明及存在问题整改措施1 wwW 务WWW务用户账户、口令是否健壮？（查看 登录）统一由省公司提供对 外WEB艮务。信息发布是否进行了分级审核？（查看审核 记录）执行分级审核记录齐 全。外部网站是否有备份，或其他保护措施？统一由省公司提供对 外WEB艮务，有保护措 施。2电子邮件服务是否对近3个月的邮件数据进行了备份？没有提供互联网电子 邮件服务。是否后专门针对邮件9丙毒、垃圾邮件的安全 措施？没有提供互联网电子 邮件服务。邮件系统管理员账户/口令是否强健？邮件 系统的维护、检查是否启审计记录？没

27、有提供互联网电子 邮件服务。3远程拨号访问 服务是否有限制远程拨号访问的管理措施？我局已取消远程拨号 访问服务。用于业务系统维护的远程拨号访问是否采取 了身份验证、访问操作记录等措施？我局业务系统维护不 采用远程拨号访问方 式。4应用系统应用系统的角色、权限分配是否有记录,在各个应用系统运 维管理规程里明确 应用系统的角色、权 限分配，并肩详细记录。用户账户的变更、修改、注销是否有记录？ （查看半年记录情况）全局的域控制系统有 用户账户的变更、修 改、注销的记录，并且 按审批流程填写了完 整的信息业务申请 表，但其他业务系统 暂时没有实行。要求各应用系统内 用户账户的变更、修 改、注销进行详细

28、记 录，每年由相关系统 管理员填写并整理 归档。关键应用系统的数据功能操作是否进行审 计？审计信息是否进行了长期存储？关键应用系统的操作 没有完全实行审计日 志功能，但目前的营销 系统中涉及营销收费 的关键操作都有对操 作进行审计。新建系统要求具备 对数据操作进行审 计的功能。是否有针对关键应用系统的应急预案？针对大面积停电已建 立信息系统针对大停 电应事故急处理预案 操作手册并发文，其 中包含关键应用系统 针对人停电事故的应 急预杀按照信息系统管理 规范和指南完善对 其他事故预案。关键应用系统管理员账户、用户账户口令是 否定期进行了变更？业务系统暂时没有实 行。X X单位帐号口 令管理制度明

29、确规 定关键应用系统管 理员账户、用户账户 口令定期进行变更，并进行详细记录，每 年由相关系统管理 员整理归档。新系统上线前是否进行过安全性测试？新系统在正式投运前 都有一至三个月的试 运行期；在试运行期 内，都有进行相关的数 据库连接，业务应用等 实际操作的测试。暂时 没有针对安全性的相 应制度及专用的测试 手段了解相关测试技术， 联系技术力量好的 厂豕做技人交流4 .安全技术管理与设备运行状况检查项目检查内容检查说明及存在问题整改措施1防火墙r网络中的防火墙部署位置是否合理？部署合理防护墙规则配置是否符合安全要求？符合安全要求防护墙规则配置的建立、更改是否有规范 测申请、审核、审批流程？（

30、查看半年内 的记录）已建立X x单位网络设 备调整变更制度，其中 对设备的接入、变更以及 废弃都有详细流程规定， 但工作中还存在不依照 制度执行的情况。严格按照X X单位网络 设备调整变更制度执行是否对防火墙日志进行了存储、备份？每个季度进行巡检并对 日志进行分析、存储2防病毒系统防病毒系统是否覆盖所有服务器及客户 端？（覆盖率至少应大于90%）防病毒系统覆盖率以超 过 95%。对服务器的防病毒客户端管理策略配置是 否合理？（自动升级杭附代码、每周扫描）每天自动升级病毒代码； 配置每周对服务器进行 病毒扫描操作。是否有专贡人员负责维护防病毒系统，并 及时发布病母通告？有专贡人员负责维护防 杭附

31、系统；会/、定期的将 危害性局的病毒通过电 子邮件通知大家3入侵检测系统检查入侵检测系统部署是否合理、能否覆 盖主要网络边界与主要服务器？01年曾购置ISS入侵检 测系统，但由于升级费用在06年的IDC安全防范 项目中新建昂贵和厂家维护不到位， 现已停用。是否定期对审计信息进行分析？未进行在06年的IDC安全防范 项目中新建后执行是否定期更新入侵检测的规则与升级？未有在06年的IDC安全防范 项目中新建后执行4安全技术管理是否部署了身份认证系统？已部署PKI/CA,但未投 入使用。验收后将投入使用是否部署了安全管理平台？木印者明年部署是有采用了漏洞扫描系统？未有在06年的IDC安全防范 项目中

32、建立漏洞扫描系 统重要系今年内是否进行了信息安全风险 评估？隔年进一次信息安全 风险评估以后在每年增加信息安 全风险评估预算是否部署了针对安全设备的日志服务器？未有07年新增对安全设备的 日志管理系统5.存储备份系统检查项目检查内容检查说明及存在问题整改措施1备份策略是否建立了明确、合理的备份策略？是否 严格按照备份策略对系统数据进行备 份？（查看备份策略文件、查看备份记录， 或查看备份工具配置）已建立了明确、合理的备份 策略；并严格按照备份策略 对系统数据进行备份；每季 度由专人负责巡检。2恢复段茶是否建立了明确的恢复预案？（查看文 件）已制定数据恢复预案， 针对文件数据、业务系统的 数据库

33、做了明确的技术处 理恢复的解决方案，但没有 经过实际的操作演练。今后每年根据业务系统的重要 等级及硬件平台的冗余程度， 选择合适的非业务繁忙时间， 与业务管理部门协商确定恢复 演练的方案及具体的实施操 作，并严格按照数据恢复预 案内的流程执行操作，积累 相关经验，记录存档并不断修 编完善该数据恢复预案是否定期进行恢复演练？（查看半年演练 记录）对个别业务系统进行过部 分数据的恢复演练，但没有 记录。今后每年根据业务系统的重要 等级及硬件平台的冗余程度， 选择合适的非业务繁忙时间， 与业务管理部门协商确定恢复 演练的方案及具体的实施操 作，并记录存档。3备份介质管 理检查是否建立介质的管理制度和

34、废弃介 质的处理制度已制定的XX单位数据备 份管理制度肩关于介质的在今后介质的存取控制和废弃 介质的处理时，严格执行相关管理和废弃介质的处理办 法，但没后形成相应的处理 记录。记录并存档。储存介质是否存放在安全环境磁带存储介质目前与其他 光盘、磁盘介质存放在启恒 温恒湿空调的信息专业机 房的防潮箱内，但没有异地 存放。新的IDC机房的建设将考虑建 立存储介质安全存放环境。是否有严格的介质存取控制，是否有专人 对存储介质进行定期检查已制定的XX单位数据备 份管理制度后关于介质存 取控制及定期检查的规定， 并有专人管理，但没有形成 相应的处理记录。在今后介质的存取控制操作 时，严格执行相关记录并存

35、档。6,介质及物理环境安全检查项目检查内容检查说明及存在问题整改措施1机房内部 安全防护主机房是否安装了门禁、监控与报警系统？有门禁、监控与报警系统；2机房供、配 电是否后详细的机房配线图？有详细的机房配线图；机房供电系统是否将动力、照明用电与计算 机系统供电线路分开？有将动力、照明与计算机系 统供电线路分开；机房是否配备应急照明装置？配备；是否定期对UPS勺运行状况进行检测？（查 看半年内检测记录）有定期维护记录；3机房环境 防护是否采用了气体防火措施？采用；空调系统是否定期进行检查？有定期维护记录。机房温度是否控制在摄氏26度以下？高温天正午，精密空调偶尔 会出现接近30度的情况， 需要启

36、动备用空调。IDC数据中心建成 后可以彻底解决问 题；4介质管理是否有相应的介质管理规定。X供电信200620号关 于印发省公司公司X X单 位办公用便携式计算机及 存储介质安全管理规定（试 行）的通知U盘、移动硬盘等存储介质是否有资产记录 和责任人。没有详细的领用记录和责 任人记录。按省公司公司X X单位办公用便携 式计算机及存储介质安全管理规定 （试行）进行整 改；磁盘、光盘等存储介质是否有专人保管？有西己备专人保管笔记本使用是否有明确的管理制度？X供电信200620号关 于印发省公司公司X X单 位办公用便携式计算机及 存储介质安全管理规定（试 行）的通知7.应急处置检查项目检查内容检查

37、说明及存在问题整改措施1应急预案重要系统是否有完善的、可操作的应急预 案？在X X单位安全事件应急 处理预案中对大部分安全 事件的定义、特征以及对策 都有详细描述，但是该预案 还需要继续丰富和完善。按规范和指南是否对应急预案进行了定期演练？仅对具备测试环境的系统 进行演练。新的IDC机房建设将 考虑搭建应急预案 演练环境。2通报机制是否按照集团公司的要求建立了及时的信 息安全信息通报机制？严格执行集团公司、省公司 的信息安全信息通报制度， 并建立了相关机制。3故障联动机制是否建立了良好的故障通讯联动机制，联 合进行防护？初步建立了责任工程师、信 息主管、签约外委维护商一 体的故障通讯联动机制。0 0 0 0建立工作流程4故障抢修机制是否建立了完善的信息网故障抢修机制， 应急资源是否到位？与维护商联合制定信息网 故障抢修机制，并做了应急 资源的储备。0 0 0 0建立工作流程