信息安全现状调查问卷

填表信息

一、公司信息

公司管理层对信息安全建设的重视程度和安全建设愿景？

1.公司对信息安全建设的投入

2.是否制定信息安全规划和安全框架

3.是否制定信息安全建设实施路线

4.是否具有全面的完整的规章制度

5.对已公布的规章制度回顾、修订的周期是多久

6.公司本部信息安全工作汇报对象是哪位领导

1、X区信息委今年针对信息安全进行了等级保护三级系统建设，并且对信息系统主机

服务器的日志审计、数据库审计、运维安全审计进行了安全设备的加固。

2、X区信息委制定了信息安全管理办法、信息化安全规划管理办法和安全运维框架。

3、X信息委制定了信息安全建设的路线，即信息化的电子政务平台。

4、有完整的信息系统平台安全运维的规章制度。

5、

6、安全运维工作汇报给负责安全运维管理的X，再由X汇报给上级领导（X）

二、信息管理部门组织结构

信息安全组织结构是否完善？

1.是否成立信息安全领导机构和信息安全工作组，是否统一归口管理

2.公司信息部门组织架构图？

3.是否具有信息安全专职岗位?

4.岗位安排和人员工作职责是否清晰

5.公司本部和子公司信息管理部门关键岗位人员是否签署保密协议

6.关键岗位是否有技能要求，是否进行岗前培训

7、是

8、没有

9、有

10、是

11、是（？）

12、有

三、信息安全管理制度

四、外包服务管理

目前公司外包涉及哪些内容?

1.是否制定了外包管理有关制定？

2.公司有哪些服务属于外包管理的范围，简单说明是否识别了外包存在的风

险

3.并且采取了哪些防范措施

五、信息资产管理

对信息资产采取了哪些安全防护措施?

1.是否有相应的资产管理制度、制度名称是什么，

2.是否有资产清单（使用者、管理者、位置描述、密级）？

3.是否按照信息资产数据保护要求进行分类、分级（外部公开、内部公开、

秘密、机密、绝密）

4.针对不同的密级要求对相应资产进行全生命周期管理（创建、使用、存储、

传输、更改、销毁）

1、有，《信息资产管理制度》，《信息系统硬件资产安全管理规定》

2、资产清单没有明确使用者、管理者、级别。

3、没有

4、没有

六、网络信息安全

是否有网络安全建设管理规范与技术规范？

1.网络出口是否统一管理

2.IP地址是否统一管理

3.内外网是否物理隔离

4.网络是否采取了相应的防护措施（如防火墙、网闸、入侵防护、防毒墙、

VPN等）

5.是否有网管软件进行管理维护

6.网络是否进行区划划分和隔离

1、是

2、是

3、是

4、使用了防火墙、入侵检测。

5、使用了运维安全审计系统

6、是

七、业务系统安全

公司本部及子公司主要有哪些重要的应用系统?

1.已经备案的应用系统有哪些？

2.备案系统分别是几级

3.核心业务系统是否具备测试环境和备机？

4.是否对操作系统和数据库的版本、补丁进行统一管理

5.系统上线之前是否在完成功能测试、压力测试和安全测试

6.是否定期对业务系统进行扫描和加固

已经备案的应用系统一共是15个， 2级系统15个。后面全否。

八、物理安全

是否是正规机房？

1.是否具备防雷、防火、防水、防盗等安防措施

2.对企业来讲核心的信息系统（数据）是否进行分区域管理

3.机房日测定检记录、机房进出记录、操作审批流程是否完善，记录是否保

存完整

1、正规机房防雷、防火、防水、防盗等安防措施具备

2、网络安全运维、系统应用运维等进行分区域管理

3、机房进出人员无登记记录、操作人员没有操作登记记录，流程有待完善。

九、数据安全

数据安全采取了哪些安全防护措施？

1.是否有数据备份管理有关制定？

2.是否定期对数据进行备份（备份清单、备份计划、备份记录、有效性测试）？

3.数据是否实现容灾备份（不同机房之间的数据备份或异地备份）？

4.备份介质是如何进行安全管理的（例如进行不同机房、异地存放等）？

5.最近一次数据库漏扫时间

6.数据库安全加固周期

7.是否具备统一账户、口令管理

8.是否具备命令行操作审计

9.是否对信息数据进行全生命周期管理

有数据备份管理制度，主要通过一台NAS进行备份，每天进行增量备份。其它“否”具有账户口令管理功能。

十、运维管理

运维体系执行落地,重点是以下13个流程是否完善

1.操作规范化管理

2.备份恢复管理流程

3.介质管理流程

4.变更管理流程

5.风险管理流程

6.软件获取、开发与维护

7.访问控制审批流程

8.入网安评

9.信息资产报废处理流程

10.考核与评价

11.应急响应处理流程

12.重大信息安全事件上报流程

13.安全监督、检查和评审

2项没有具体的备份恢复管理流程，