新建营业部信息系统现场检查工作底稿
证券公司新设营业部
信息系统现场验收工作底稿营业部名称
营业部地址
营业部负责人(签字)
信息系统负责人(签字)
验收人员(签字)
验收日期年月日
一、营业部信息系统建设情况
1.综合布线工程
布线工程是否已全部完工?□是□否如否,具体情况:
是否已提交竣工报告和相关竣工资料?□是□否如否,具体情况:
2.设备情况
所订设备是否全部到货?□是□否如否,具体情况:
已有设备运行是否正常?□是□否如否,具体情况:
关键设备(UPS、服务器、网络设备等)调试是否并出具调试报告?□是□否如否,具体情况:
关键设备技术材料是否收到并妥善保管?□是□否如否,具体情况:
营业部是否建立设备台帐,并按规范张贴固定资产标签?□是□否3、应用系统
行情分析系统采用:□钱龙□通达信□大智慧□其他□无行情及交易系统是否调试正常并经过测试?□是□否是否有测试报告?□是□否开户柜台系统是否已安装?□是□否股东开户系统是否已安装?□是□否资金和股东开户设备是否调试完成?□是□否柜台及新意开户系统是否经过测试?□是□否4、网络系统
所有通讯线路是否已连通并满足业务需求?□是□否如否,具体情况:
营业部是否屏蔽了员工办公互联网交易功能?□是□否具体描述:
卫星通讯系统有:□上海单向□深圳单向□上海双向□其他□无
卫星通讯系统是否运行正常?□是□否
如否,具体情况:
5、应急演练
是否对信息系统进行过应急演练?□是□否
应急演练手册是否完善?□是□否
6、营业部信息技术人员情况
信息技术人员姓名:
是否兼任营业部其他岗位?□是□否
如是,兼任岗位:
是否有备岗人员?□是□否
备岗人员姓名:备岗人员专职岗位:
二、基础环境
1、营业部机房建设是否符合GB9361-88《计算站场地安全要求》和GB2887-89《计算站场地技术条件》的有关规定?□是□否
2、营业部机房是否位于证券营业部场地内部?□是□否营业部场地满足的技术要求:
□具有市电双路供电□远离强震源、强磁场源和强噪声源,无无线电电磁干扰□远离产生粉尘、油烟、有害气体以及具有腐蚀性、易燃、易爆物品的工厂、仓库等场所□能够安装机房空调室外机组□符合当地抗震强度要求□未处于低洼地带
3、机房是否在建筑屋顶层、地下室、用水设备的下层或隔壁以及易漏雨、易渗水和易遭雷击的区域,或主干电力电缆穿越以及供水、消防管网经过?□是□否如是,具体情况
4、机房是否设置了设备区域和设备辅助区域?设备区域用于安放服务器、网络通信设备等设备,辅助设备区域用于安放UPS电源等设备。□是□否
5、机房设备区域和设备辅助区域地面承重是否符合要求?□是□否
6、机房是否配备了应急照明装置?□是□否
7、营业部是否采用了结构化布线系统?□是□否
8、机房机架、机柜摆放是否整齐、合理□是□否
9、配线机柜内是否配备理线架,并做到跳线整齐,跳线与配线架统一编号,标记清晰?(查看营业部配线表文档,配线机柜实际跳线情况是否时与文档一致)□是□否10、营业部机房接地系统是否完善?□是□否机房采用的接地方式是:□综合接地□独立接地
机房是否设置等电位连接? □是□否
实地测量机房零地电压,是否不高于1V?□是□否
11、机房是否安装独立空调,主用空调单独运行时温度是否符合要求?□是□否空调备份方式:□无备用□一用一备□多用一备□多用多备
12、机房机柜或机架是否配置了双回路供电,并具有一定的余量?□是□否
13、机房机柜或机架是否与机房接地系统进行了可靠连接?□是□否
14、机房及计算机设备供电系统是否设有独立的配电柜或配电箱,与一般照明及其他电路相独立?
总供电容量是否满足营业部配电规划需求,并留有一定余量?□是□否
(查看配电柜,记录开市期间总输入电流)
营业部所在大楼为营业部提供的总供电容量:千瓦。
营业部供电主干电缆线径为
15、营业部是否配备了UPS电源系统,容量及延时是否满足要求?□是□否
UPS1用途,功率,品牌,电池供电时间,主机购置时间,电池更换时间,开市期间负载率,开市期间三相电流:A相 B相 C相,是否存在过欠压、偏相情况。
UPS2用途,功率,品牌,电池供电时间,主机购置时间,电池更换时间,开市期间负载率,开市期间三相电流:A相 B相 C相,是否存在过欠压、偏相情况。
16、营业部是否配备了至少一种其他持续供电方式?□是□否供电方式:□自备发电机□租用发电机□租用发电车□其它_________________
发电机功率:,发电机品牌
功率是否满足机房设备运转和不低于25%的交易设施持续供电需要?□是□否17、配备或租用的发电机是否远离易燃易爆的物品,并安装在具有良好通风的场地内?
□是□否18、与业务无关的设备是否接入UPS电源,市电插座和UPS插座是否严格区分?
(重点检查客户室电源插座面板,应有明确的颜色标识或标签)□是□否
19、营业部计算机电源系统是否有防雷系统?□是□否
20、消防系统建设是否通过当地消防主管部门的消防安全验收?□是□否(检查机房内消防设施,消防安全验收可使用营业部的整体验收报告)
21、机房是否安装了防火防盗门和门禁系统?□是□否
22、机房是否安装了防盗报警系统?□是□否
23、机房是否安装了环境动力监控系统?□是□否
三、网络通信
1、营业部与总部中心机房或数据中心之间,是否使用了2条以上不同运营商或不同介质的满业务带宽需求的通信线路?□是□否线路用途:__________运营商:___________带宽:__________介质:__________
线路用途:__________运营商:___________带宽:__________介质:__________
线路用途:__________运营商:___________带宽:__________介质:__________
2、广域网网络通信设备是否有冗余备份,发生故障时是否能及时切换?□是□否
3、广域网线路是否做过线路切换演练,演练是否记录?□是□否(查看广域网线路切换演练记录,如无记录视为未演练)
4、营业部是否安装了无线上网路由设备?□是□否如是,是否对无线路由设备进行了有效管理?□是□否具体管理情况描述:
5、营业部互联网通信线路是否安装防火墙?□是□否线路方式:__________运营商:___________线路带宽:__________
证券营业部应采用多层网络架构,用于交易业务的核心层应部署至少两台交换机互为备份,
6、营业部局域网中,用于交易业务的核心层是否部署了至少两台交换机互为备份?
如是,核心设备备份方式___________________________ □是□否
7、营业部局域网接入层设备是否不超过二级,是否还在使用HUB?□是□否
8、营业部局域网是否划分了交易网、本地行情网和办公网等安全域?□是□否
9、各安全域之间是否采取了安全措施,来实现有效隔离?□是□否技术隔离措施:□路由器访问控制列表□中间件□完全物理隔离□其它
资讯接收机隔离措施___________________________
安全域内机器操作系统补丁升级方法___________________________
10、营业部交易网是否直接接入互联网?□是□否
11、营业部用于交易业务的计算机终端是否接入互联网?□是□否
12、营业部是否按公司要求,安装了公司统一部署的防病毒系统?□是□否
13、营业部部署的防病毒系统是否能及时升级更新?□是□否(抽查部分机器,查看病毒库版本及更新日期)
四、应用系统
1、营业部是否为客户提供了两种以上的行情揭示与分析系统?□是□否采用的行情揭示与分析系统为:□钱龙□通达信□大智慧□其他
2、营业部是否配置了现场行情服务器□是□否
如是:行情服务器是否采用了双电源、双网卡等方式,提高系统可靠性?□是□否行情服务器型号,内存,磁盘,操作系统版本,购置时间,交易期间客户端连接数,CPU利用率。
3、行情、交易、资讯系统等关键硬件设备是否通过热备、冷备等手段,避免单点故障,提高系统可用性。□是□否行情服务器:□双机热备□冷备□其它□无
行情转码:□双机热备□冷备□其它□无
KCXP:□双机热备□冷备□其它□无
KDMID:□双机热备□冷备□其它□无
资讯系统:□双机热备□冷备□其它□无
期货IB:□双机热备□冷备□其它□无
其他系统:
4、营业部电话委托、自助终端是否能记录证券委托、撤单、银证转账、密码修改等操作的终端识别信息?□是□否
5、营业部是否安装使用了未经公司总部批准的与业务及技术维护无关的应用软件?(要求营业部提供营业部安装的应用软件清单,并查看)□是□否
6、营业部是否按公司总部要求,建立了天地备份系统?□是□否
7、上海双向卫星备份系统是否按规程操作?(查看操作记录)□是□否
8、是否对卫星备份系统进行了切换演练并具有演练记录?□是□否
9. 营业部是否具有可靠的行情接收与备份方式?□是□否行情接收与备份方式:□上海单向□深圳单向□上海双向□其它
五、管理制度
1、营业部是否严格执行公司信息技术相关的规章制度,并建立了营业部的信息技术管理制度? □是□否□机房管理办法□网络管理办法□设备管理办法□数据管理
□技术文档管理办法□操作流程□应急预案及应急计划
2、营业部机房管理办法、操作流程、应急预案及应急计划、营业部应急联络手册等是否张贴并及时更新?□是□否
3、机房人员进出登记表、设备进出登记表是否记录齐全?□是□否
4、营业部是否至少配备一名专职和一名兼职技术人员,配备的技术人员是否具有计算机及相关专业学历,并具有1年以上技术岗位从业经验?□是□否
5、配备的兼职技术人员能否独立运维营业部信息系统,并定期独立值班?□是□否
6、营业部是否建立了电子设备台帐,并按规范张贴固定资产标签?□是□否
7、营业部电子设备购置、使用、报废是否按公司规定办理?□是□否
8、营业部是否建立了关键设备维护档案?□是□否
9、营业部是否建立了如下技术文档? □是□否
□营业部平面布置图□供配电系统图□网络拓扑图□信息点对照表
□UPS及电源点分布表□系统维护手册□系统使用手册□应急预案
□机房运维日志□设备维护档案□信息技术管理制度
10、技术文档是否根据信息系统的变更情况进行了及时更新?□是□否
六、系统运维
1、柜台系统权限变更是否具有相关审批流程,并有完整的变更记录?□是□否
2、营业部是否建立了系统用户及柜员权限清单?□是□否
3、是否定期对系统用户及柜员权限进行检查核对,并做好记录归档?□是□否
4、查看员工岗位与系统用户及权限清单,员工是否被授予完成所承担任务所需的最小权限,重要岗位的员工之间是否形成相互制约的关系?□是□否
5、查看以往系统测试的测试计划和记录、测试结果及测试报告。测试记录、报告的内容是否详细、完整?□是□否
6、营业部在生产环境下的测试工作是否在信息技术总部的统一管理和指导下进行,且未擅自安装测试软件? □是□否
7、营业部应用系统变更是否制定了详细的变更方案和变更应急预案?□是□否
8、对于供电、通信、行情服务器、核心交换机、业务系统等关键性设备或系统的变更,营业部是否经过了严格的测试?□是□否9、营业部是否建立了包括机房值班日志、巡视记录、故障处理、变更记录、测试记录、监控记录、重要设备维护、日常操作及异常事件处理等的系统运维日志? □是□否10、营业部是否定期检查电力、空调、消防等设施,并详细记录?□是□否
□电力间隔: □空调间隔: □消防间隔:
11、是否每季度进行UPS电池的充放电测试,并详细记录?□是□否
12、行情服务器管理员用户密码是否采用不低于12位的复合密码?□是□否
七、安全保障
1、营业部是否对外互联或设立网站?□是□否
如是,是否经公司总部批准?□是□否2、是否建立台账管理计算机终端,记录网卡地址,防止非法使用?□是□否是否按照公司规定建立了计算机设备地址的相关表格?□是□否3、营业部是否为现场客户提供了上网计算机设备?□是□否
如是,如何管理现场客户的上网行为
4、是否采取有效措施,禁止客户将自备计算机接入证券营业部网络?□是□否如是,具体措施是:
5、是否采取有效措施,对客户访问互联网的管理,防止客户利用证券营业部网络访问非法网站?□是□否如是,具体措施是:
6、营业部是否按公司总部要求及时更新系统补丁?□是□否如是,具体情况是:
7、营业部是否配置了银行驻点计算机设备□是□否
如是,如何管理银行驻点计算机设备的上网及证券交易行为:
8、营业部是否按照公司的统一要求建立相应的信息系统应急预案?□是□否(查看应急预案内容是否完整,是否包含系统故障、通信和网络故障、供电系统故障、自然灾害及其他突发事件制订明确的应急处理流程)
9、营业部是否每年至少进行两次应急演练,并留存演练记录?□是□否(查看应急演练记录,演练是否全面,是否包括行情服务器、行情转码、行情接收、交易中间件、通信和网络故障、供电系统故障等)
10、营业部信息系统出现故障后,是否及时上报信息技术总部?□是□否
营业部信息系统整体情况说明及验收意见
营业部信息系统验收情况汇总表
验收人员:验收日期:
.
信息系统安全自查报告
第四级:结构化保护级; 第五级:访问验证保护级”) 国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号) 关于信息安全等级保护工作的实施意见(公通字[2004]66号)定级标准 信息安全等级保护管理办法(公通字[2007]43号) 关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号) 关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号) 关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安[2010]303号) 地方及行业范例 关于加强国家电子政务工程建设项目信息安全风险评估工作的
通知(发改高技[2008]2071号) 关于进一步推进中央企业信息安全等级保护工作的通知 水利网络与信息安全体系建设基本技术要求(2010年3月) 证券期货业信息系统安全等级保护基本要求(试行) (JR/T 0060-2010) 山西省计算机信息系统安全保护条例(2009年1月)广东省计算机信息系统安全保护条例(2008年4月) 宁夏回族自治区计算机信息系统安全保护条例(2009年10月)徐州市计算机信息系统安全保护条例(2009年1月) 标准规范 十大重要标准 计算机信息系统安全等级保护划分准则(GB 17859-1999)(基础类标准) 信息系统安全等级保护实施指南(GB/T 25058-2010)(基础类标准) 信息系统安全保护等级定级指南(GB/T 22240-2008)(应用类定级标准)
信息系统安全等级保护基本要求(GB/T 22239-2008)(应用类建设标准) 信息系统通用安全技术要求(GB/T 20271-2006)(应用类建设标准) 信息系统等级保护安全设计技术要求(GB/T 25070-2010)(应用类建设标准) 信息系统安全等级保护测评要求(GB/T 28448-2012)(应用类测评标准) 信息系统安全等级保护测评过程指南(GB/T 28449-2012)(应用类测评标准) 信息系统安全管理要求(GB/T 20269-2006)(应用类管理标准) 信息系统安全工程管理要求(GB/T 20282-2006)(应用类管理标准) 其它相关标准 GB/T 21052-2007 信息安全技术信息系统物理安全技术要求 GB/T 20270-2006 信息安全技术网络基础安全技术要求
银监会信息系统现场检查指南
信息系统现场检查指南(架构) 为了规范和指导信息系统现场检查工作,提高信息系统现场检查的水平,确保信息系统现场检查的质量,特制定本指南。 一、检查目的 (一)了解和掌握银行业金融机构信息系统管理组织体系、工作制和科技制度建设情况,以及从业人员有关业务、技术和安全培训情况,评价其信息科技管理组织水平; (二)了解和掌握银行业金融机构信息安全保障体系和内部控制规程,信息系统风险管理岗位责任制度和监督落实情况,评价其计算机安全管理水平; (三)了解和掌握银行业金融机构信息系统在研发过程中项目管理和变更管理情况,关注规划、需求、分析、设计、编程、测试和投产以及外包等产生风险的环节,评价其管理水平; (四)了解和掌握银行业金融机构信息系统在信息系统运行和操作制度建设和执行情况,促进银行业金融机构完善内控环境,控制和化解操作风险; (五)了解和掌握银行业.金融机构信息系统在业务持续性计划方面制度建设和执行情况,促进银行业金融机构信息系统信息科技风险管理涵盖管理、维护的每个环节。 二、检查要点 (一)检查信息系统风险管理架构、内部组织结构和工作机制、岗位职责和制度的完善性和有效性,评估信息科技规划和管理的水平,了解信息科技人才管理机制,分析业务、技术和安全培训工作的及时性和有效性,确保合理及时地防范和控制信息系统组织、规划风险。 (二)检查信息安全管理的流程情况,分析相关系统用户管理制度、密码管理制度及网络安全制度,测试系统所涉及操作系统和数据库及防火墙等安全设施的安全性,评估被检查银行是否采取有效安全的保护措施保障信息的保密性、完整性和可用性。 (三)检查分析软件及项目开发管理制度,了解信息科技部门档案管理流程,审阅外包项目涉及的软件质量验收标准,检查银行业金融机构信息系统风险管理效率及水平,评估系统开发的流程、质量及安全的管理情况。 (四)检查信息系统运行和操作管理情况,检查系统监控层面的处理流程及各类系统参数、生产环境变更的受控方式,评估系统运行和操作管理的风险状况,促进运行操作管理的科学化、制度化和规范化,确保信息系统安全可靠的运行。 (五)检查业务持续性规划的制定情况,分析其是否明确定义了管理层关于维护信息系统可用性及更新相关业务持续性计划的责任和义务,并制定了合适的负责人员。评估建设及实施关于灾难恢复的组织机构、业务流程和应对措施的合理性。 三、检查内容 (一)信息科技公司治理和组织结构 1.制度建设 (1)检查银行是否根据国家和银监会有关信息系统管理制度制定了实施细则,分析制度制定、审批、修订和发布等流程的规范性。 (2)检查信息科技相关规章制度、技术规范、操作规程建设情况。重点检查:各项制度规章是否正式发文,内容是否涵盖规划、研发、建设、运行、维护、应急、外包、保密和监控等范畴,是否明确相关人员的职责权限并实行最小授权的制约机制,是否建立制订后评价程序或机制,现有的制度是否适应组织结构、业务管理、信息安全的需要。 (3)检查实施知识产权保护情况。重点检查:正版软件版本管理情况;国产自有知识产权的软硬件的使用情况;信息化安全等级保护工作情况;自主知识产权信息化成果保护情况。
山东省污染源现场检查工作指南.doc
山东省污染源现场检查工作指南 ( 试行 ) 为进一步规范污染源现场检查工作,提高环境执法监管职业化水平,依据?环境行政处 罚办法? ( 环境保护部令第8 号 ) 、?环境监察办法?( 环境保护部令第21 号 ) 、?工业污染 源现场检查技术规范?(HJ606-2011) 、?山东省环境质量和污染源监督监测管理办法( 试行 ) ? ( 鲁环发, 2012? 65 号) 、?山东省环境保护厅独立调查工作规范?( 鲁环办, 2014? 2 号 ) 等有关规章制度, 制定本指南。 第一章现场检查工作程序 第一条各级环境监察机构应当根据本行政区域环境保护工作任务、污染源数量、类型、管理权限等,制定环境监察工作年度计划。 环境监察工作年度计划报同级环境保护主管部门批准后实施。县 ( 市、区 ) 级环境监察机构环境监察工作年度计划每年 1 月 10 日前抄送市级环境监察机构;市级环境监察机构环境 监察工作年度计划每年 1 月 15 日前抄送省级环境监察机构。 环境监察机构应当根据环境监察工作年度计划,组织现场检查。现场检查应当采取例行检 查和重点检查的方式进行,其中省、市两级环境监察机构应主要以独立调查的方式开展现场检 查工作。 第二条开展现场检查前,环境监察人员应明确现场检查活动计划,内容主要包括:检查目的、时间、路线、对象、重点内容等。环境监察人员可通过查阅污染源调查动态数据、 排污申报登记资料、日常监管积累的资料、污染源自动监控数据、信访舆情案件等,收集污 染源信息。 第三条开展现场检查前,环境监察人员应准备必要的执法文书和检查装备,主要包括:( 一 ) 现场监察记录、调查询问笔录等执法文书; ( 二 ) 通讯器材; ( 三 ) 导航定位设备; ( 四 ) 录音、照相、摄像器材; ( 五 ) 必要的防护服及防护器材; ( 六 ) 现场采样设备; ( 七 ) 快速分析设备; ( 八 ) 便携式电脑 ( 含无线上网卡) ; ( 九 ) 打印设备; ( 十 ) 夜间照明设备; ( 十一 ) 其他必要的设备。 第四条从事现场检查工作的环境监察人员不得少于两人,检查时应出示国家环境保护 行政主管部门或地方人民政府配发的有效执法证件,并为被检查者保守商业秘密。 第五条环境监察人员进行现场检查时,有权依法采取以下措施: ( 一 ) 进入有关场所进行勘察、采样、监测、拍照、录音、录像、制作笔录; ( 二 ) 查阅、复制相关资料; ( 三 ) 约见、询问有关人员,要求说明相关事项,提供相关材料; ( 四 ) 责令停止或者纠正违法行为; ( 五 ) 适用行政处罚简易程序,当场作出行政处罚决定;
信息系统安全检测报告
信息系统安全检测报告 我校对信息安全和保密工作十分重视,成立了专门的领导组,建立健全了信息安全保密责任制和有关规章制度,由教务处网络管理室统一管理,负责网络信息安全工作。严格落实有关网络信息安全保密方面的各项规定,采取了多种措施防范安全保密有关事件的发生,总体上看,我校网络信息安全保密工作做得比较扎实,效果也比较好,近年来未发现失泄密问题。 一、计算机涉密信息管理情况 今年以来,我校加强组织领导,强化宣传教育,落实工作责任,加强日常监督检查。对于计算机磁介质(软盘、U盘、移动硬盘等)的管理,采取专人保管、涉密文件单独存放,严禁携带存在涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件,形成了良好的安全保密环境。涉密计算机严禁接入局域网,并按照有关规定落实了保密措施,到目前为止,未发生一起计算机失密、泄密事故;其他非涉密计算机及网络使用也严格按照计算机保密信息系统管理办法落实了有关措施,确保了考试信息安全。 二、计算机和网络安全情况 一是网络安全方面。我校终端计算机均安装了防病毒软件、软件防火墙,采用了强口令密码、数据库存储备份、移动存
储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。 二是日常管理方面切实抓好局域网和应用软件管理,确保“涉密计算机不上网,上网计算机不涉密”,严格按照保密要求处理光盘、硬盘、优盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防盗和电源连接等;二是网络安全,包括网络结构、安全日志管理、密码管理、IP管理、互联网行为管理等;三是应用安全,公文传输系统、软件管理等。 三、硬件设备使用合理,软件设置规范,设备运行状况良好。我校每台终端机都安装了防病毒软件,系统相关设备的应用一直采取规范化管理,硬件设备的使用符合国家相关产品质量安全规定,单位硬件的运行环境符合要求,打印机配件、色带架等基本使用设备原装产品;防雷地线正常,对于有问题的防雷插座已进行更换,防雷设备运行基本稳定,没有出现雷击事故,局域网系统运行安全。 四,通迅设备运转正常 我校网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口是也过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。 五、严格管理、规范设备维护
信息系统网络安全检查表
信息系统网络安全检查表 时间: 年月日 系统名称 负责人联系电话 网络拓扑图: 接入方式(服务商) ____________________ (附后)账号(电话)_________________________ 联网主机数__________________________________ 联网情况IP 地址 ______________________________________ 服务内容 联网用途____________________________________ 单位成立网络安全小组,确立安全小组负责人(单位领导任组长),确立组长负责制 组长落实小组人员岗位工作职责组织制度 配备 2 到 4 名计算机安全员,须持证上岗制定网络安全事故处置措施计算机机房安全保护管理制度用户登记制度和操作权限管理制度网络安全漏洞检测和系统升级管理制度交互式栏目24 小时巡查制度安全保护电子公告系统用户登记制度管理制度信息发布审核、登记、保存、清除和备份制度,信息群发服务管理制度违法案件报告和协助查处制度备案制度具有保存60 天以上系统网络运行日志和用户使 用日志记录功能,内容包括IP 地址分配及使用情况,交互式信息发布者、主页维护者、邮箱使用者和拨号用户上网的起止时间和对应IP 地址,交 互式栏目的信息等 安全审计及预警措施安全保护网络攻击防范、追踪措施技术措施计算机病毒防
治措施身份登记和识别确认措施交互式栏目具有关键字过滤技术措施开设短信息服务的具有短信群发限制、过滤和删除等技术措施 开设邮件服务的,具有垃圾邮件清理功能 1 信息系统检查项目表 , 安全技术措施, 是否符合类别检查项目安全标准备注安全标准物理位置机房和办公场地应选择在具有防震、防的选择风和防雨等能力的建筑内。 机房出入口应安排专人值守,控制、鉴别和记录进入的人员物理访问 控制需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围应将主要设备放置在机房内 应将设备或主要部件进行固定,并设置明显的不易除去的标记; 防盗窃和应将通信线缆铺设在隐蔽处,可铺设在防破坏地下或管道中应对介质分类标识,存储在介质库或档案室中; 主机房应安装必要的防盗报警设施 机房建筑应设置避雷装置; 防雷击机房应设置交流电源地线 物理机房应设置灭火设备和火灾自动报警系防火安全统水管安装,不得穿过机房屋顶和活动地板下; 防水和防应采取措施防止雨水通过机房窗户、屋潮顶和墙壁渗透; 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透 防静电关键设备应采用必要的接地防静电措施 机房应设置温、湿度自动调节设施,使温湿度控机房温、湿度的变化在设备运行所
全国现场勘查系统填写规范
全国公安机关现场勘验信息系统填写规范 (征求意见稿) 为规范全国公安机关现场勘验信息系统录入工作,保证录入质量,根据《公安机关刑事案件现场勘验检查规则》、《法庭科学数字影像技术应用规范(试行)》的有关规定,制定本规范。本规范仅限于现场信息的录入和卷宗材料的打印输出。 第一部分信息采集录入 一、现场基本信息采集录入 在“全国公安机关现场勘验信息系统”的“信息采集”模块中;点击“+新增现场”,进入“新增现场信息”界面。 1、“案(事)件受理号”:人工填写项,在该项中填写所在地使用的其他刑侦系统案(事)件受理类号码。 2、“案件编号”:人工填写项,填写刑事案件立案编号。 ▼, 3、“案件类别”:该项为必填项。点击“案件类别”右侧按钮○ 在“案件类别”弹出框中字典首页选择,首页包含常用的八类命案、聚众斗殴致人死亡案件、十类案件、盗窃机动车、八类疑似命案案件。八类命案系罪名复合型案件,选择第一类罪名后,在“是否命案”项选择“是”(例:故意伤害致死案件,选择“伤害”类别,在“是否命案”选择“是”)。故意杀人案,直接选择类别“故意杀人”,在“是否命案”选择“是”。若没有对应类别,点击“树形显示”选择案件类别小类,若没有对应类别,选择小类
中的“其他案件”。 ▼, 4、“发案区划”:该项为必填项。点击“发案区划”右侧按钮○选择对应行政区划。如遇发案区划改变,及时以省厅的名义报公安部五局,由公安部统一备案后颁布新代码,在系统没有改变之前,仍使用原来所属区划,系统管理员不得自行改变代码。 5、“发案地点”:该项为必填项。由发案区划和案发的详细地址构成。市区现场,填写市所属具体街道、门牌号码(例:某(市)某(县、区)某(街道)某(路)某(弄)某(号)某(室))。乡镇现场,填写县区所属镇、乡、村、门牌号码(例:某(市)某(县、区)某(镇、乡)某(村)某(宅、大队、组)某(号))。野外现场,以标志性建筑为起始点,描述方向、距离、周围环境(例:某(市)某(县、区)某(镇、乡)某(标志性建筑)某(方向)某(距离)某地)。 6、“发案时间”:该项为必填项。填写真实或推断的案件发生起、止时间。尽量精确至“时”、“分”。 7、“是否命案”:该项为必填项。该项与“案件类别”项组合使用,命案选择“是”,其他案件均填写“否”。 8、“破案时间”:根据实际情况填写。 9、“接勘时间”:该项为必填项。填写接报勘查现场时间。注:精确至“时”、“分”。填写“接勘时间”早于“发案时间”的,则系统不让保存。 10、“接警人”:该项为必填项。填写接警人所在单位的名称和
信息系统安全检查的自查情况报告
---------------------------------------------------------------范文最新推荐------------------------------------------------------ 信息系统安全检查的自查情况报告 根据**市人民政府办公室《关于开展政府信息系统安全的检查的通知》(天政电[2018]52号)文件精神。我镇对本镇信息系统安全情况进行了自查,现汇报如下: 一、自查情况 (一)安全制度落实情况 1、成立了安全小组。明确了信息安全的主管领导和具体负责管护人员,安全小组为管理机构。 2、建立了信息安全责任制。按责任规定:保密小组对信息安全负首责,主管领导负总责,具体管理人负主责。 3、制定了计算机及网络的保密管理制度。镇网站的信息管护人员负责保密管理,密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。 (二)安全防范措施落实情况 1、涉密计算机经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面有效性。 2、涉密计算机都设有开机密码,由专人保管负责。同时,涉密计算机相互共享之间没有严格的身份认证和访问控制。 3、网络终端没有违规上国际互联网及其他的信息网的现象,没有 1 / 11
安装无线网络等。 4、安装了针对移动存储设备的专业杀毒软件。 (三)应急响应机制建设情况 1、制定了初步应急预案,并随着信息化程度的深入,结合我镇实际,处于不断完善阶段。 2、坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜,并商定其给予镇应急技术以最大程度的支持。 3、严格文件的收发,完善了清点、修理、编号、签收制度,并要求信息管理员每天下班前进行系统备份。 (四)信息技术产品和服务国产化情况 1、终端计算机的保密系统和防火墙、杀毒软件等,皆为国产产品。 2、公文处理软件具体使用金山软件的wps系统。 3、工资系统、年报系统等皆为市政府、市委统一指定产品系统。 (五)安全教育培训情况 1、派专人参加了市政府组织的网络系统安全知识培训,并专门负责我镇的网络安全管理和信息安全工作。 2、安全小组组织了一次对基本的信息安全常识的学习活动。 二、自查中发现的不足和整改意见 根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,同时结合我镇实际,今后要在以下几个方面进行整改。 1、安全意识不够。要继续加强对机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。
信息安全-风险评估-检查流程-操作系统安全评估检查表-HP-UNIX
HP-UX Security CheckList
目录 HP-UX SECURITY CHECKLIST (1) 1初级检查评估内容 (6) 1.1 系统信息 (6) 1.1.1 系统基本信息 (6) 1.1.2 系统网络设置 (6) 1.1.3 系统当前路由 (7) 1.1.4 检查目前系统开放的端口 (7) 1.1.5 检查当前系统网络连接情况 (8) 1.1.6 系统运行进程 (8) 1.2 物理安全检查 (9) 1.2.1 检查系统单用户运行模式中的访问控制 (9) 1.3 帐号和口令 (9) 1.3.1 检查系统中Uid相同用户情况 (9) 1.3.2 检查用户登录情况 (10) 1.3.3 检查账户登录尝试失效策略 (10) 1.3.4 检查账户登录失败时延策略 (10) 1.3.5 检查所有的系统默认帐户的登录权限 (11) 1.3.6 空口令用户检查 (11) 1.3.7 口令策略设置参数检查 (11) 1.3.8 检查root是否允许从远程登录 (12)
1.3.9 验证已经存在的Passwd强度 (12) 1.3.10 用户启动文件检查 (12) 1.3.11 用户路径环境变量检查 (13) 1.4 网络与服务 (13) 1.4.1 系统启动脚本检查 (13) 1.4.2 TCP/UDP小服务 (13) 1.4.3 login(rlogin),shell(rsh),exec(rexec) (14) 1.4.4 comsat talk uucp lp kerbd (15) 1.4.5 Sadmind Rquotad Ruser Rpc.sprayd Rpc.walld Rstatd Rexd Ttdb Cmsd Fs Cachefs Dtspcd Gssd (15) 1.4.6 远程打印服务 (16) 1.4.7 检查是否开放NFS服务 (16) 1.4.8 检查是否Enables NFS port monitoring (17) 1.4.9 检查是否存在和使用NIS ,NIS+ (17) 1.4.10 检查sendmail服务 (17) 1.4.11 Expn, vrfy (若存在sendmail进程) (18) 1.4.12 SMTP banner (19) 1.4.13 检查是否限制ftp用户权限 (19) 1.4.14 TCP_Wrapper (20) 1.4.15 信任关系 (20) 1.5 文件系统 (20) 1.5.1 suid文件 (21)
银监会信息系统现场检查指南设计
信息系统现场检查指南(架构) 为了规和指导信息系统现场检查工作,提高信息系统现场检查的水平,确保信息系统现场检查的质量,特制定本指南。 一、检查目的 (一)了解和掌握银行业金融机构信息系统管理组织体系、工作制和科技制度建设情况,以及从业人员有关业务、技术和安全培训情况,评价其信息科技管理组织水平; (二)了解和掌握银行业金融机构信息安全保障体系和部控制规程,信息系统风险管 理岗位责任制度和监督落实情况,评价其计算机安全管理水平; (三)了解和掌握银行业金融机构信息系统在研发过程中项目管理和变更管理情况,关注规划、需求、分析、设计、编程、测试和投产以及外包等产生风险的环节,评价其管理水平; (四)了解和掌握银行业金融机构信息系统在信息系统运行和操作制度建设和执行情况,促进银行业金融机构完善控环境,控制和化解操作风险; (五)了解和掌握银行业.金融机构信息系统在业务持续性计划方面制度建设和执行情况,促进银行业金融机构信息系统信息科技风险管理涵盖管理、维护的每个环节。 二、检查要点 (一)检查信息系统风险管理架构、部组织结构和工作机制、岗位职责和制度的完善 性和有效性,评估信息科技规划和管理的水平,了解信息科技人才管理机制,分析业务、技术和安全培训工作的及时性和有效性,确保合理及时地防和控制信息系统组织、规划风险。 (二)检查信息安全管理的流程情况,分析相关系统用户管理制度、密码管理制度及网络安全制度,测试系统所涉及操作系统和数据库及防火墙等安全设施的安全性,评估被检查银行是否采取有效安全的保护措施保障信息的性、完整性和可用性。
(三)检查分析软件及项目开发管理制度,了解信息科技部门档案管理流程,审阅外包项目涉及的软件质量验收标准,检查银行业金融机构信息系统风险管理效率及水平,评估系统开发的流程、质量及安全的管理情况。 (四)检查信息系统运行和操作管理情况,检查系统监控层面的处理流程及各类系统参数、生产环境变更的受控方式,评估系统运行和操作管理的风险状况,促进运行操作管理的科学化、制度化和规化,确保信息系统安全可靠的运行。 (五)检查业务持续性规划的制定情况,分析其是否明确定义了管理层关于维护信息系统可用性及更新相关业务持续性计划的责任和义务,并制定了合适的负责人员。评估建设及实施关于灾难恢复的组织机构、业务流程和应对措施的合理性。 三、检查容 (一)信息科技公司治理和组织结构 1.制度建设 (1)检查银行是否根据国家和银监会有关信息系统管理制度制定了实施细则,分析制度制定、审批、修订和发布等流程的规性。 (2)检查信息科技相关规章制度、技术规、操作规程建设情况。重点检查:各项制度规章是否正式发文,容是否涵盖规划、研发、建设、运行、维护、应急、外包、和 监控等畴,是否明确相关人员的职责权限并实行最小授权的制约机制,是否建立制订后评价程序或机制,现有的制度是否适应组织结构、业务管理、信息安全的需要。 (3)检查实施知识产权保护情况。重点检查:正版软件版本管理情况;国产自有知识产权的软硬件的使用情况;信息化安全等级保护工作情况;自主知识产权信息化成果保护情况。 2.组织结构
信息系统安全等级保护测评过程指南
信息安全技术信息系统安全等级保护测评过程指南 引言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: ——GB/T22240-2008信息安全技术信息系统安全等级保护定级指南; ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求; ——GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南; ——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。 信息安全技术 信息系统安全等级保护测评过程指南 1范围
本标准规定了信息系统安全等级保护测评(以下简称等级测评)工作的测评过程,既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价,也适用于信息系统的运营使用单位在信息系统定级工作完成之后,对信息系统的安全保护现状进行的测试评价,获取信息系统的全面保护需求。 2规范性引用文件 下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件, 其最新版本适用于本标准。 GB/T5271.8信息技术词汇第8部分:安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》(公通字[2007]43号) 3术语和定义 GB/T5271.8、GB17859-1999、GB/TCCCC-CCCC和GB/TDDDD-DDDD确立的以及下列的术语和定义适用于本标准。 3.1
网络安全防护检查报告
编号: 网络安全防护检查报告 数据中心 测评单位: 报告日期: 目录 第1章系统概况................................................ 网络结构.................................................. 管理制度.................................................. 第2章评测方法和工具.......................................... 测试方式.................................................. 测试工具.................................................. 评分方法.................................................. 符合性评测评分方法.................................... 风险评估评分方法...................................... 第3章测试内容................................................ 测试内容概述.............................................. 扫描和渗透测试接入点...................................... 通信网络安全管理审核...................................... 第4章符合性评测结果.......................................... 业务安全..................................................
银行业信息科技风险监管现场检查手册
前言 信息科技已经成为银行业金融机构实现经营战略和业务运营的基础平台以及金融创新的重要手段。银行业对信息科技的高度依赖,决定了信息系统的安全性、可靠性和有效性对维系整个银行业的安全和金融体系的稳定具有至关重要的作用。 银监会党委对信息科技风险监管工作高度重视,刘明康主席多次召开专项工作会议并做出重要批示和指示,明确要求着力推进信息科技风险监管。银监会坚持贯彻“管法人、管风险、管内控、提高透明度”的监管理念,把信息科技风险纳入银行总体风险监管框架,切实加强制度建设和风险监控,确保银行业信息系统安全稳定。 在目前信息技术革新日新月异、金融业务不断创新、银行对信息科技依赖性越来越大的新形势下,银监会坚持“风险为本”的监管原则,提出了信息科技风险功能性监管的新思路,突出“制度先行”,完善监管框架,借鉴和吸收国际先进标准及业界最佳实践,不断丰富信息科技风险监管方式方法,制定了一系列的监管规范,结合奥运保障开展现场检查,并针对性地发出有关风险提示,建立非现场监管体系和监管评级体系,从而构建了信息科技风险监管的基础框架,全面展开信息科技风险的监管工作。 按照郭利根副主席提出的“集成资源,形成信息科技风险监管合力”和“搞好规划,全面加强信息科技风险监管制度建设”要求,银监会强化机制建设、优化资源配置,整合科技人力资源,集中全国银监会系统科技骨干力量,在北京成立了信息科技监管“专项工作组”,又在上海、深圳两地分别成立信息科技风险监管工作室,按照统一调度、统一指挥、统一培训的工作原则,制度建设、奥运保障、现场检查、非现场监管及监管评级五线并举,形成了矩阵式的监管工作模式,快速锻炼了一支能战会战、能够担当重任的信息科技风险专业化监管队伍。 《手册》的编写得到了各方的大力支持。上海、湖北、安徽、山东、山西、江苏、江西、河南、内蒙古、黑龙江、青岛、福建、河北、宁夏、辽宁、吉林、浙江、四川、深圳、广东、 1
信息系统安全检查自查报告
信息系统安全检查自查报告 省局信息中心: 按照总局《国家税务总局关于开展税务信息系统安全检查工作的通知》(国税函…2011?397号)及《吉林省国家税务局关于开展信息安全检查的通知》(吉国税函…2011?138号)文件要求,切实加强我市国税系统网络与信息安全管理工作,严防黑客攻击、网络中断、病毒传播、信息失窃密,为税收工作创造良好的网络信息环境,现就我市国税系统信息安全自查情况汇报如下: 一、加强领导、明确职责 为进一步加强全局网络信息系统安全管理工作,市局成立了税收信息安全领导小组,主要领导亲自挂帅,主管领导具体负责,信息中心直接组织实施,其他科室配合实施。形成了主要领导亲自抓,分管领导具体抓,一级抓一级,层层抓落实的工作格局。市局同时成立信息系统安全检查组(以下简称检查组),在市局信息安全领导小组直接领导下负责此次检查工作的具体实施。 信息安全检查领导小组根据总局的检查方案,结合本局实际情况,及时研究部署,提出实施原则和指导意见,为检查组下一步分解落实检查任务,对全局各单位实施有效检查,顺利完成此次信息系统安全检查组织保证;检查组成员分工明确、责任到人,确保本局的信息安全,为本局信息系统安全建设更上一个新的台阶奠定了良好的基础。 二、实施周密、严格要求 (一)市局检查组根据信息安全检查领导小组的指导意见和总局的检查方案,拟定出本局此次信息安全检查的范围、实施步骤和方法,确立了“培训+自查+交叉检查”的检查模式; (二)市局信息中心对各单位计算机管理人员进行集中培训,使检查人员每人都掌握自查所要用到的信息技术和自查方法,为自查本单位信息安全隐患提供技术支撑和帮助; (三)市局为此次信息安全检查提出五项特别要求 一是从文件下发之日起,规定配发的U盘不得用于与办公无关的数据交换,且严禁接入互联网或与本局网络之外的计算机进行相关操作,如确因公需要对外进行数据交换,以及外单位U 盘须向本局网内计算机交换数据,在接入本局网络计算机之前须经各单位单独上互联网的计算机先进行杀毒清除木马,确保无毒无木马后方能接入局内网络计算机设备上进行相关操作; 二是移动硬盘只能用于工作上的数据备份与交换,不得接入与互联网相连的计算机上使用,且须经各单位计算机管理员检查无毒无木马后才能重新启用该设备; 三是笔记本电脑确定专人负责,且原则上不得接入市局网络,如确需因公接入,只能通过移动介质传递; 四是非市局配发的计算机类设备严禁接入本局网络使用。 五是各单位如未按上述规定使用计算机设备,由此引起的网络安全事故,按相关规定处理并承担相应责任。 三、自查到位、不留死角 一是各单位检查人员在参加市局组织的检查培训后,迅速实施对本单位的信息安全检查,在规定时间内完成本单位所有计算机设备的安全隐患排查,确保每台计算机无毒无木马程序,同时对计算机实施流行病毒、木马免疫等加固措施; 二是市局信息中心根据总局检查方案,及时完成了对机房、服务器、操作系统等事关全局性的设备、策略、口令管理进行清理、设置、加固,确保全局性的信息安全; 三是市局信息中心对全局计算机设备加强监控,发现安全隐患及时预警,及时处理,把安全隐患控制在萌芽状态; 四是完成全局计算机类设备的清查、登记工作,为我局已经实施的计算机设备“责任到人、机随人走”的管理模式提供了数据保证,同时也确保了上报数据真实可靠。
信息系统监督检查制度及巡检记录表格
某单位 信息系统监督检查制度 第一章总则 第一条为加强和规范某单位信息系统安全监督检查工作,保障系统安全稳定运行,根据国家信息安全等级保护有关规定和信息系统安全有关管理规定制定本制度。 第二条本制度适用于某单位所属计算机信息系统建设、使用和运维管理中安全工作的监督检查。 第三条安全主管部门负责组织监督检查工作。人员管理、教育相关检查由主管人事部门具体执行,安全技术相关检查由某单位网络信息中心等技术部门具体执行。某单位网络信息中心安全审计员负责信息系统日常监督审计。 第二章实施细则 第四条检查内容包括各项信息系统技术措施有效性和安全管理制度执行情况。 第五条计算机、网络和移动存储介质的专项检查应填写检查登记表,检查结果汇总后报某单位信息化工作领导小组办公室,发现问题及时整改。 第六条每年至少两次对系统进行安全性能检测,确保系统安全稳定运行。 第七条系统安全性能检测由系统管理员、安全管理员
和安全审计员共同完成。 第八条利用漏洞扫描等工具对整个系统进行安全检查,进行网络系统安全分析、应用系统安全分析、安全防护系统安全分析、用户终端安全分析,发现漏洞或安全隐患及时采取整改措施。 第九条安全检查情况和整改操作应及时登记和记录。 (一)网络设备和网络服务器安全性能检测由网络管理员负责, 并根据检测情况填写《网络系统安全性能检测表》。 (二)应用系统安全性能检测由应用系统开发管理员负责,并根据检测情况填写《应用系统安全性能检测表》。 (三)安全防护系统安全性能检测由安全管理员负责,并根据检测情况填写《安全系统安全性能检测表》。 (四)用户终端安全检测由网络管理员负责,并根据检测情况填写《终端用户安全性能检测表》。 (五)漏洞扫描安全检测由系统管理员负责,并根据检测情况填写《系统漏洞扫描安全性能检测表》。 第十条安全管理员汇总各类安全性能检测表和整改情况后上报某单位信息化工作领导小组办公室和有关领导。 第三章附则 第十一条本规定由某单位网络信息中心负责解释。 第十二条本规定自发布之日起施行。
商业银行信息科技风险现场检查指南
商业银行信息科技风险现场检查指南
目录 第一部分概述 (12) 1. 指南说明 (13) 1.1 目的及适用范围 (13) 1.2 编写原则 (14) 1.3 指南框架 (15) 第二部分科技管理 (17) 2. 信息科技治理 (18) 2.1 董事会及高级管理层 (18) 检查项1 :董事会 (18) 检查项2 :信息科技管理委员会 (19) 检查项3 :首席信息官(CIO) (20) 2.2 信息科技部门 (21) 检查项1 :信息科技部门 (21) 检查项2 :信息科技战略规划 (23) 2.3 信息科技风险管理部门 (24) 检查项1 :信息科技风险管理部门 (24) 2.4 信息科技风险审计部门 (25) 检查项1 :信息科技风险审计部门 (25) 2.5 知识产权保护和信息披露 (26) 检查项1 :知识产权保护 (26) 检查项2 :信息披露 (26) 3. 信息科技风险管理 (28) 3.1 风险识别和评估 (28) 检查项1 :风险管理策略 (28) 检查项2 :风险识别与评估 (29) 3.2 风险防范和检测 (29) 检查项1 :风险防范措施 (29) 检查项2 :风险计量与检测 (30) 4. 信息安全管理 (32) 4.1 安全管理机制与管理组织 (32) 检查项1:信息分类和保护体系 (32) 检查项2:安全管理机制 (33) 检查项3:信息安全策略 (34) 检查项4:信息安全组织 (34) 4.2 安全管理制度 (35) 检查项1:规章制度 (35) 检查项2:制度合规 (36)
4.3 人员管理 (38) 检查项1:人员管理 (38) 4.4 安全评估报告 (39) 检查项1:安全评估报告 (39) 4.5 宣传、教育和培训 (39) 检查项1:宣传、教育和培训 (39) 5.系统开发、测试与维护 (41) 5.1开发管理 (41) 检查项1:管理架构 (41) 检查项2:制度建设 (43) 检查项3:项目控制体系 (44) 检查项4:系统开发的操作风险 (45) 检查项5:数据继承和迁移 (46) 5.2系统测试与上线 (47) 检查项1:系统测试 (47) 检查项2:系统验收 (49) 检查项3:投产上线 (49) 5.3系统下线 (50) 检查项1:系统下线 (50) 6. 系统运行管理 (52) 6.1 日常管理 (52) 检查项1:职责分离 (52) 检查项2:值班制度 (53) 检查项3:操作管理 (53) 检查项4:人员管理 (54) 6.2 访问控制策略 (55) 检查项1:物理访问控制策略 (55) 检查项2:逻辑访问控制策略 (56) 检查项3:账号及权限管理 (57) 检查项4:用户责任及终端管理 (58) 检查项5:远程接入的控制 (59) 6.3 日志管理 (60) 检查项1:审计日志检查 (60) 检查项2:日志信息的保护 (60) 检查项3:操作日志的检查 (61) 检查项4:错误日志的检查 (61) 6.4系统监控 (62) 检查项1:基础环境监控 (62) 检查项2:系统性能监控 (62) 检查项3:系统运行监控 (63) 检查项4:测评体系 (64) 6.5 事件管理 (65)
信息系统安全检查的自查情况报告(完整版)
报告编号:YT-FS-4198-32 信息系统安全检查的自查情况报告(完整版) After Completing The T ask According To The Original Plan, A Report Will Be Formed T o Reflect The Basic Situation Encountered, Reveal The Existing Problems And Put Forward Future Ideas. 互惠互利共同繁荣 Mutual Benefit And Common Prosperity
信息系统安全检查的自查情况报告 (完整版) 备注:该报告书文本主要按照原定计划完成任务后形成报告,并反映遇到的基本情况、实际取得 的成功和过程中取得的经验教训、揭露存在的问题以及提出今后设想。文档可根据实际情况进行 修改和使用。 根据**市人民政府办公室《关于开展政府信息系统安全的检查的通知》(天政电[2010]52号)文件精神。我镇对本镇信息系统安全情况进行了自查,现汇报如下: 一、自查情况 (一)安全制度落实情况 1、成立了安全小组。明确了信息安全的主管领导和具体负责管护人员,安全小组为管理机构。 2、建立了信息安全责任制。按责任规定:保密小组对信息安全负首责,主管领导负总责,具体管理人负主责。 3、制定了计算机及网络的保密管理制度。镇网站
的信息管护人员负责保密管理,密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。 (二)安全防范措施落实情况 1、涉密计算机经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面有效性。 2、涉密计算机都设有开机密码,由专人保管负责。同时,涉密计算机相互共享之间没有严格的身份认证和访问控制。 3、网络终端没有违规上国际互联网及其他的信息网的现象,没有安装无线网络等。 4、安装了针对移动存储设备的专业杀毒软件。 (三)应急响应机制建设情况 1、制定了初步应急预案,并随着信息化程度的深入,结合我镇实际,处于不断完善阶段。 2、坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜,并商定其给予镇应急技术以最大程
信息系统安全检查实施细则
信息系统安全检查实施细则
目录 第二章日常例行安全检查 (1) 第三章全面常规安全检查 (1) 第四章重大专项安全检查 (3) 第五章责任追究 (3) 第六章附则 (4)
第1章日常例行安全检查 第1条日常例行安全检查指公司对自行维护管理以及委托其他机构维护管理的信息系统进行安全自查。 第2条日常例行安全检查属于日常维护检查的范畴,根据检查内容的不同,检查频次为每日、每月或每季度一次。 第3条每日例行安全检查的内容包括: (一)机房安全检查; (二)日志审计; (三)系统状态检查; (四)防病毒服务器检查等; (五)设备运行状态检查。 第4条每月例行安全检查的内容包括: (一)漏洞扫描; (二)帐号安全检查; (三)系统补丁检查; (四)网络安全检查; (五)终端安全检查; (六)安全报告审核等。 第5条每季度例行安全检查的内容包括: (一)安全基线检查;
(二)帐号安全检查; (三)系统补丁检查; (四)数据备份检查等。 第6条各级机构对日常例行安全检查中发现的问题应研究提出整改意见,认真落实整改,并在整改完成后及时进行复查。 第2章全面常规安全检查 第7条全面常规安全检查要进行全面的安全检查和评估,涉及各级机构所维护管理的所有设备和系统,应对系统安全风险进行全面评估,检查存在的安全隐患和漏洞, 每次检查完成后应形成安全风险评估报告。 第8条全面常规安全检查的检查频次为每半年一次。检查以各级机构自查方式为主、XX 抽查相结合的方式进行。各级机构按照统一下发的安全检查细则,制定具体的检 查方案并认真组织实施,并在自查工作完成后1个月内将检查情况及时报送 XXXX。为确保安全检查取得实效,XXXX将会同有关部门组织部署安全抽查工作。第9条全面常规安全检查的内容包括但不限于: (一)安全制度落实情况; (二)安全防范措施落实情况; (三)应急响应机制建设情况; (四)信息技术产品和服务国产化情况; (五)安全教育培训情况; (六)责任追究情况; (七)安全隐患排查及整改情况;