2011年政府信息系统安全自查报告表 - 图文

附件2：

2011年度政府信息系统安全自查情况报告表

（得分： 分）

一、部门基本情况（小计5分，得 分） 部门名称 分管信息安全 工作的领导 （2分） 信息安全责任处室 （1.5分） 信息安全员 （1.5分） 姓 名： 职 务： 名 称： 负责人： 职务： 电 话： 姓 名： 职务： 电 话： 二、信息系统基本情况（小计13分，得 分） 信息系统 基本情况 （3分） ①信息系统总数： 4 个 ②面向社会公众提供服务的信息系统数： 3 个 ③委托社会第三方进行日常运维管理的信息系统数： 3 个，其中签订运维外包服务合同的信息系统数： 3 个 互联网接入口总数： 3 个 互联网接入情况其中：□联通 接入口数量： 个 接入带宽： 兆 （此项为统计项，不计分1） □√电信 接入口数量： 3 个 接入带宽： 100 兆 □其他： 接入口数量： 个 接入带宽： 兆 系统定级情况 第一级： 个 第二级： 个 第三级： 个 （2分） 系统安全 测评情况 （8分） 1

第四级： 个 第五级： 个 未定级： 个 最近2年开展安全测评（含风险评估、等级测评）系统数： 个 本报告表未列明分值的选项均为统计调查项，不设分值，不计入总分。

— 1 —

三、日常信息安全管理情况（小计8分，得 分） ①岗位信息安全和保密责任制度：□√已建立 □未建立 人员管理 （5分） ②重要岗位人员信息安全和保密协议： √全部签订 □部分签订 □均未签订 □③人员离岗离职安全管理规定：□√已制定 □未制定 ④外部人员访问机房等重要区域管理制度：□√已建立 □未建立 ①信息安全设备运维管理： √已明确专人负责 □未明确 □资产管理 （3分） √定期进行配置检查、日志审计等 □未进行 □②设备维修维护和报废销毁管理： √已建立管理制度，且维修维护和报废销毁记录完整 □□已建立管理制度，但维修维护和报废销毁记录不完整 □尚未建立管理制度 四、信息安全防护管理情况（小计37分，得 分） 网络边界 防护管理 （6分） ①网络区域划分是否合理：□√合理 □不合理 ②安全防护设备策略：□√使用默认配置 □根据应用自主配置 ③互联网访问控制： □√有访问控制措施 □无访问控制措施 ④互联网访问日志： □√留存日志 □未留存日志 ①服务器安全防护： √已关闭不必要的应用、服务、端口 □未关闭 □√帐户口令满足8位，包含数字、字母或符号 □不满足 □√定期更新帐户口令 □未能定期更新 □√定期进行漏洞扫描、病毒木马检测 □未进行 □信息系统 安全管理 （6分） ②网络设备防护： √安全策略配置有效 □无效 □√帐户口令满足8位，包含数字、字母或符号 □不满足 □√定期更新帐户口令 □未能定期更新 □√定期进行漏洞扫描、病毒木马检测 □未进行 □③信息安全设备部署及使用： □已部署有防病毒、防火墙、入侵检测、安全审计等功能的设备 □未部署 □安全策略配置有效 □无效 — 2 —

网站域名：___www.jsxwcbj.gov.cn____________ IP地址：_____218.94.123.105________ 是否申请中文域名：□是_______________ □√否 门 户 网 站 管 理 （3分） ①网站是否备案：□√是 □否 ②门户网站账户安全管理： √已清理无关帐户 □未清理 □√无空口令、弱口令和默认口令 □有 □③清理网站临时文件、关闭网站目录遍历功能等情况： √已清理 口未清理 □④门户网站信息发布管理： √已建立审核制度，且审核记录完整 □□已建立审核制度，但审核记录不完整 门户网站 应用管理 （15分） ①电子邮件功能（□开设 □√未开设） □已作清理，仅限本部门或有关人员使用 □未作清理 □有技术措施用于控制和管理口令强度 □无技术措施 其 他 应 用 管 理 （4分） □无空口令、弱口令和默认口令 □有 ②留言板功能（□√开设 □未开设） √留言内容经审核后发布 □未经审核即可发布 □③论坛功能（□√开设 □未开设） √已备案2 □未备案 □√论坛内容经审核后发布 □未经审核即可发布 □④博客功能（□开设 □√未开设） □已作清理，仅限本部门或有关人员使用 □未作清理 □博客内容经审核后发布 □未经审核即可发布 □尚未建立审核制度 根据《互联网电子公告服务管理规定》，拟开展电子论坛等电子公告服务的，应当向所在地电信管理机构进行

专项备案。

2

— 3 —

日常安全保障 （8分） 此项得分根据省信安办定期组织开展的政府网站外部安全检测结果和各部门是否及时有效实施安全整改等情况，由省信安办进行评分。 ①终端计算机安全管理方式： √使用统一平台对终端计算机进行集中管理 □用户分散管理 □②帐户口令管理： √无空口令、弱口令和默认口令 □有 □终端计算机 安全管理 （6分） ③接入互联网安全控制措施： √有控制措施（如实名接入、绑定计算机IP和MAC地址等） □□无控制措施 ④漏洞扫描、木马检测： □√定期进行 □未进行 ⑤在非涉密信息系统和涉密信息系统间混用情况： √不存在 □存在 □⑥是否存在使用非涉密计算机处理涉密信息情况： √存在 □存在 □①移动存储设备管理方式： 存储设备 安全管理 （4分） √集中管理，统一登记、配发、收回、维修、报废、销毁 □□未采取集中管理相关措施 ②在非涉密信息系统和涉密信息系统间混用情况: √不存在 □存在 □五、信息安全应急管理情况（小计10分，得 分） 部门应急预案制定及备案 情况 （5分） 应急技术 支援队伍 （1分） 信息安全 应急演练 √本年度已开展 □本年度未开展 □√部门所属单位 □外部专业机构 □未明确 □√已备案 □已制定但未备案 □未制定 □— 4 —

（2分） 信息安全备份 （2分） ①重要数据： □√备份 □未备份 ②重要信息系统：□√备份 □未备份 ③容灾备份服务：□位于境内 □位于境外 □√无 六、信息技术产品使用情况（小计5分，得 分） 服务器 终端计算机 网络设备 总台数： 10 ，其中国产台数： 0 使用国产CPU的服务器台数： 0 总台数： 140 ，其中国产台数： 0 总台数： 4 ，其中国产台数： 0 ①服务器操作系统情况： 安装Windows操作系统的服务器台数： 6 安装Linux操作系统的服务器台数： 4 安装其他操作系统的服务器台数： 0 ②终端计算机操作系统情况： 安装Windows操作系统的计算机台数： 140 安装Linux操作系统的计算机台数： 0 安装其他操作系统的计算机台数： 0 总套数： 4 ，其中国产套数： 0 安装国产公文处理软件的终端计算机台数： 70 安装国外公文处理软件的终端计算机台数： 70 ①安装国产防病毒产品的终端计算机台数： 140 信息安全设备 ②防火墙（不含终端软件防火墙）台数： 140 其中国产防火墙的台数： 140 新购信息安全产品强制性 认证情况3 （5分） 2011年新购信息安全产品通过国家认证的台（套）数： ， 占新购信息安全产品总数的百分比为： （含笔记本） 使用国产CPU的计算机台数： 0 操作系统 数据库 公文处理软件 七、信息安全教育培训情况（小计5分，得 分） 参加培训情况 □本年度是否派员参加信息安全主管部门组织的教育培训，人次 3

根据财政部、工信部等四部门下发的《关于信息安全产品实施政府安全采购的通知》（财库〔2010〕48号）要求：国家机关、事业单位和团体组织使用财政性资金采购信息安全产品的，应当采购经国家认证的信息安全产品。

— 5 —

（1.5分） 组织培训情况 （1.5分） 参训人员比例 （2分） 数： ，培训部门名称 □本年度是否组织开展信息安全教育培训，次数： 本年度参加信息安全教育培训的人员占总人数比例为： 八、信息安全检查情况（小计12分，得 分） 2010年度安全检查发现问题整改情况 （4分） 2011年度信息安全检查工作情况 （8分） 检查工作和经费落实情况： □已落实 □未落实 检查工作方案制定情况： □已制定 □未制定 安全保密和风险控制措施： □已采取 □未采取 组织开展技术检测情况： □已开展 □未开展 □已落实整改内容 □已制定整改工作计划 □未开展 九、信息安全经费预算投入情况（小计5分，得 分） 经费预算 （2分） 实际经费投入 （3分） 本年度信息安全经费预算额： 万元 本年度信息安全经费实际投入额： 万元 十、本年度信息安全事件情况 ①进行过病毒木马等恶意代码检测的服务器台数： 病毒木马等 其中感染恶意代码的服务器台数： 恶意代码4②进行过病毒木马等恶意代码检测的终端计算机台数： 检测结果 其中感染恶意代码的终端计算机台数： ①进行过漏洞扫描的服务器台数：________ ，其中存在漏洞的服务器台数：________ ,存在高风险漏洞5的服务器台数：漏洞检测________ 结果 ②进行过漏洞扫描的终端计算机台数：______ ,其中存在漏洞的终端计算机台数：______ ,存在高风险漏洞的终端计算机台数： 本年度安全技术检测结果 本表所称恶意代码，是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。

5

本表所称高风险漏洞，是指计算机硬件、软件或信息系统中存在的严重安全缺陷，利用这些缺陷可完全控制或部分控制计算机及信息系统，对计算机及信息系统实施攻击、破坏、信息窃取等行为。

4

— 6 —

本年度信息安网页被篡改门户网站网页被篡改（含内嵌恶意代码）次数： 情况 全事件统计 ①使用非涉密终端计算机处理涉密信息事件数： 设备违规 ②终端计算机在非涉密系统和涉密系统间混用事件数： 使用情况 ③移动存储介质在非涉密系统和涉密系统间交叉使用事件数： 十一、信息技术外包服务机构情况 机构名称 机构性质 □国有 □民营 □外资 服务内容 外包服务机构1 外包服务合同 6门户网站受攻击 情况 本部门入侵检测设备检测到的门户网站受攻击次数： □已签订 □未签订 信息安全和保密协议 □已签订 □未签订 信息安全管理体系 认证情况 机构名称 机构性质 □已通过认证 认证机构： □未通过认证 □国有 □民营 □外资 外包服务机构2 服务内容 外包服务合同 □已签订 □未签订 信息安全和保密协议 □已签订 □未签订 6

服务内容主要包括：系统集成、系统运维、风险评估、安全检测、安全加固、应急支持、数据存储等。

— 7 —

信息安全管理体系 认证情况 □已通过认证 认证机构： □未通过认证 （如有2个以上外包机构，每个机构均应填写，可另附页）

填表人：_____________ 部职别：_______________ 电话：_______________

附件3：

2011年度省辖市信息安全保障工作自查表

（得分： 分）

省辖市： 填表日期： 一、组织机构（小计15分，得 分） 网络与信息安全协调小组 1、成立和调整时的文件 （3分） 2、成员单位及工作职责 协调小组办事机构 1、成立和调整时的文件 （3分） 2、办公室人员构成及工作职责 县（区）机构建设情况 1、县（区）组织机构建设完成率 （3分） 2、县（区）组织机构与工作职责规范化程度 市级机关机制建设情况 （6分） 1、市级机关信息安全分管领导和责任处室名单 2、市级机关信息安全员名单及联系方式 二、政策文件（小计7分，得 分） 市网络与信息安全协调 1、正式印发年度工作安排文件 小组年度工作安排 2、检查督促相关工作落实情况 （3分） 全省网络与信息安全会议1、制发文件情况 制度落实情况 2、制度落实情况 （2分） 全省网络与信息安全通报1、制发文件情况 制度落实情况 2、制度落实情况 （2分） 三、风险评估（小计20分，得 分） — 8 —

风险评估服务机构备案管理情况 （5分） 1、风险评估市级备案服务机构的资格审核与监督检查情况 2、对经省、市备案的风险评估服务机构予以公布情况 1、2011年市级重要信息系统名录 风险评估开展情况 2、推动市级重要信息系统开展风险自评估情况（不少于5家） （15分） 3、组织开展市级重要信息系统风险检查评估情况（不少于2家） 四、应急预案（小计10分，得 分） 市网络与信息安全事件应急预案 （4分） （2分） 市级重要信息系统应急预案建设情况 （4分） 安全检查实施方案 （2分） 市级机关信息安全 自查情况 （8分） 市级机关政府网站 外部安全测试 （10分） （6分） 1、制发文件情况 2、市级应急预案专题培训情况 应急预案基础支撑 1、明确专家队伍 2、明确专门技术支撑队伍 1、重要信息系统专项应急预案制定情况 2、重要信息系统专项应急预案培训及演练情况 五、信息安全检查（小计30分，得 分） □ 已制发文件 □ 未制发文件 1、市级机关报送信息安全自查报告情况 2、市级机关报送自查有关数据的整理、汇总情况 省信安办将组织对5个市级政府部门网站进行外部安全测试，根据检测结果进行评分 信息安全抽查情况 1、组织对市级机关政府信息系统进行安全抽查（不少于5家） 2、安全抽查实施情况（如技术检测、现场点评等） 安全检查通报及 1、制发本市市级机关政府信息系统安全检查工作情况通报等文工作总结报送情况 件，包括自查、抽查相关工作 （4分） 省级业务培训 参与情况 （3分） 本市业务培训 组织情况 （5分） 本市业务培训组织开展情况 省级业务培训参与情况 2、向省信安办报送本市信息安全检查工作总结情况 六、业务培训（小计8分，得 分） 七、工作动态通报及信息安全事件情况（小计10分，得 分） — 9 —

本市信息安全 1、信息安全工作动态按规定上报省信安办，被《网络与信息安全工作动态通报情况 动态》采纳情况 （5分） 本市信息安全事件监测及通报情况 2、本市开展信息安全工作宣传、动态通报等情况 按照省网络与信息安全事件应急预案要求，开展监测手段建设以及向有关部门及时通报信息安全事件情况 （5分）

填表人：_________ 部职别：____________ — 10 —

_______________`

电话：

本文来源：https://www.bwwdw.com/article/aisr.html