1、备注1信息安全管理规章制度是否健全是2有关规章制度的制定、发布、修订及执行情况由安监部制定、上公司会议研究后并发布需说明信息安全规章制度的制定、发布、修订及执行的主体及相关程序。3国家有关信息安全政策、法规的落实情况按国家及上级有关信息安全政策、法规的要求执行4信息安全责任的落实情况公司成立了信通所,所长:张瑞平职责:负责正常运行维护及安全管理说明信息安全负责人、责任机构、责任人及其信息安全职责。5电力二次系统安全管理制度的制定情管理制度健全6责任制的落实情况责任制已落实到责任部门及个人需要说明的情结果受检方签字刘立新检查方签字确认日 期2011-5-42.2、信息安全组织机构l信息安全组织机
2、构是否健全本单位及所有下属单位是否都有明确的信息安全责任机构。信息安全职责是否明确信息安全机构职责是否涵盖了当前信息安全工作的主要方面。信息安全管理机构岗位设置、人员配备情况信息中心主任1名,工作人员1名防护组织机构的建立情况防护组织机构未成立2011-5-62.3、信息安全资金保障信息安全运行维护经费落实情况未落实经费给出运维经费的数量及占信息系统总体运行维护资金的比例。信息化项目中信息安全建设专项资金落实情况给出数量及所占比例。2.4、人员管理人员的安全保密意识教育情况授课,全员开展形式及覆盖范围。人员安全技能培训无需说明参加电监会组织的培训情况。重点、敏感岗位人员有无内控管理措施如有,说
3、明具体措施。外来人员管理情况实行登记许可制度主要针对外来开发、维护、访问人员的管理2011-5-82.5、信息安全策略及总体防护体系单位信息安全总体防护策略制定情况未制定“安全分区、网络专用、横向隔离、纵向认证“方针的贯彻落只有调度自动化系统和管理信息大区实现了隔离,3防护体系的建设情况未建立2.6、分区防御生产控制大区和管理信息大区内部相应分区情况内部没有分区各类系统和设备分区部署情况分两个大区:调度自动化(生产控制),管理信息系统。从网络和信息系统两个方面说明。生产控制大区与管理信息大区网络边界横向隔离防护情仅调度自动化系统与管理信息大区有正向物理隔离装置和防火墙重点检查正向隔离装置和反向
4、隔离装置的部署情况,列举未升级为lbit版本的横向隔离装置的部署位置和台数。纵向加密认证装置部署情况无安全防护措施如未部署纵向加密认证装置,说明现有生产控制大区纵向网络边界安全防护措施。生产控制大区跨单位(部门)数据采集和信息交换情况鄂尔多斯电业局,公司办公大楼,各基层供电所和变电站,与鄂尔多斯市局信息交换主要是:办公自动化系统,其余的所有数据信息列举所有跨单位链路及其管理措施。禁止跨越生产控制大区和管理信息大区进行网络直联的调度自动化系统到管理信息系统有正向物理隔离装置和防火墙如有,列举所有通道及其管理措施。2.7、网络安全安全域划分情况一、 调度自动化系统,二、 一体化信息系统,办公OA自
5、动化系统,标准化作业辅助系统,公司门户网站系统,财务软件系统说明管理信息大区安全域划分原则,列举所有安全域及其内的信息系统。网络边界防护情况无设备,灭有边界防护策略边界防护策略、安全设备部署情况等。内网保护情况没有网管,无法控制内网网络设备访问控制、ARP防范、非授权网络接入管控等。外部设备接入控制控制措施不严分别说明内、外网对外来人员设备的授权接入控制措施。内外网隔离情况个别计算机利用双网卡,同时接入内外网这里指管理信息大区网络隔离情况。各类网络接口、互联网出口的安全监测措施网络接口主要指局域网/局域网、局域网/广域网、局域网/互联网之间的接口。7网络病毒、木马防护措施无外网,内网防病毒主要
6、以市局网络版的趋势防病毒软件分别说明内、外网的网络防病毒形式,内网病毒库升级控制没有完善的桌面管理系统,内外网管理比较困难,部分终端计算机利用双网卡同时上内外网,存在严重的安全隐患。2.8、设备和操作系统安全网络设备的安全防网络设备的网络和物理访问控制措施。安全设备的安全防无安全设备安全设备的网服务器的安全防护没有物理隔离措施,网络访问比较容易服务器的网络和物理访问控制措施。桌面终端的安全防网络版的趋势杀毒,经常不能升级或和主服务器失去联系需说明是否已对桌面终端实施统一管理。操作系统的安全配置桌面终端:windows xp3 服务器:windows 2003 Linux补丁半年升级一次,防病毒
7、软件主要以鄂尔多斯电业局的网络版趋势杀毒软件为主主要说明服务器、桌面终端、网络设备操作系统的版本、补丁、用户、审计、恶意代码防范情况。2.9、应用系统安全数据库的安全配置和管理情况一般日常办公和业务应用系统的安全设计、配置和管理情况安全设计低于标准,配置不够对外网站的防攻击、防篡改技术防护措施关键应用系统开发过程中的质量控制情况关键应用系统安全测试情况需说明安全测试要求、安全测试流程、安全测试机构以及安全整改情况。关键应用系统上线运行后的安全配置管理情况安全配置不够,管理人员水平不高2.10、运维管理设备、系统的维护记录情况有记录设备、系统的变更管理情况PC终端管理不严,随意变更运行环境与开发
8、环境的分离情况较好安全漏洞检测管理需说明漏洞认定程序,漏洞处理流程。补丁升级管理情况需说明是否有补丁测试环节。安全审计管理情况分主机、网络、企业级三个层次说明。账户口令管理情况口令管理不严,比较随意8数字证书及密码管管理比较乱口令管理不严:1、 在系统设计时,如营销MIS系统,收费员的口令是很关键的,但没有设计为USB-key,2、 大部分关键的岗位人员设置的密码过于简单,而且不变换。2.11、数据安全数据访问控制措施数据库标准口令设置说明整体数据访问控制策略和主要访问控服务器、用户终端、数据库中关键数据是否有加密保护措施磁盘、光盘、U盘和移动硬盘等移动存储介质管理情况没有移动存储介质主要包括与移动存储介质注册、使用、销毁有关的管理及技术控制措施。数据备份与恢复管数据备份比较单一,单纯靠电脑自动备份,存在隐患备份介质管理情况张瑞平 2.12、物理环境安全生产调度区、计算机机房等重点区域的门禁、防盗门窗、监视器等安全管控设施的配置情况设备配置不够搬到新调度大楼实施完善生