信息安全现状调查问卷.docVIP

〖信息安全现状调查表〗 评估单位信息 单位名称 单位地址 联系人 邮编 电子邮件 联系方式 传真 被测单位信息 单位名称 单位地址 联系人 邮编 电子邮件 联系方式 传真 填表信息 公司信息 公司管理层对信息安全建设的重视程度和安全建设愿景？ 公司对信息安全建设的投入 是否制定信息安全规划和安全框架 是否制定信息安全建设实施路线 是否具有全面的完整的规章制度 对已公布的规章制度回顾、修订的周期是多久 公司本部信息安全工作汇报对象是哪位领导 X区信息委今年针对信息安全进行了等级保护三级系统建设，并且对信息系统主机服务器的日志审计、数据库审计、运维安全审计进行了安全设备的加固。 X区信息委制定了信息安全管理办法、信息化安全规划管理办法和安全运维框架。 X信息委制定了信息安全建设的路线，即信息化的电子政务平台。 有完整的信息系统平台安全运维的规章制度。 安全运维工作汇报给负责安全运维管理的X，再由X汇报给上级领导（X） 信息管理部门组织结构 信息安全组织结构是否完善？ 是否成立信息安全领导机构和信息安全工作组，是否统一归口管理 公司信息部门组织架构图？ 是否具有信息安全专职岗位? 岗位安排和人员工作职责是否清晰 公司本部和子公司信息管理部门关键岗位人员是否签署必威体育官网网址协议 关键岗位是否有技能要求，是否进行岗前培训 是 没有 有 是 是（？） 有 信息安全管理制度 下面列出部分主要的二、三级文件请参照进行选择 信息安全管理制度 有 无 备注 资产分类与信息分级管理规定 无 　 计算机域用户帐号、计算机及打印机命名规范 无 　 主要信息安全岗位职责 无 　 物理安全管理规定 有 　 第三方运维安全管理规定 无 　 防止计算机病毒管理规定 有 　 信息交换安全管理规定 有 　 信息系统日志管理规定 无 　 信息系统备份管理办法 有 　 变更管理流程 无 　 互联网访问和电子邮件管理规定 无 　 系统用户和密码管理规定 无 　 信息系统开发管理规定 无 　 数据库安全管理规定 无 　 信息系统数据维护管理规定 无 　 （单个信息系统）管理信息系统运行管理规定 有 是否单个信息系统具有运行管理规定 事件管理流程 无 　 网络与信息安全专项应急预案 有 　 风险评估管理规定 无 　 网络系统设备安全配置技术规范 无 管理制度补充 　 外包服务管理 目前公司外包涉及哪些内容? 是否制定了外包管理有关制定？ 公司有哪些服务属于外包管理的范围，简单说明是否识别了外包存在的风险 并且采取了哪些防范措施 信息资产管理 对信息资产采取了哪些安全防护措施? 是否有相应的资产管理制度、制度名称是什么， 是否有资产清单（使用者、管理者、位置描述、密级）？ 是否按照信息资产数据保护要求进行分类、分级（外部公开、内部公开、秘密、机密、绝密） 针对不同的密级要求对相应资产进行全生命周期管理（创建、使用、存储、传输、更改、销毁） 有 ，《信息资产管理制度》，《信息系统硬件资产安全管理规定》 资产清单没有明确使用者、管理者、级别。 没有 没有 网络信息安全 是否有网络安全建设管理规范与技术规范？ 网络出口是否统一管理 IP地址是否统一管理 内外网是否物理隔离 网络是否采取了相应的防护措施（如防火墙、网闸、入侵防护、防毒墙、VPN等） 是否有网管软件进行管理维护 网络是否进行区划划分和隔离 是 是 是 使用了防火墙、入侵检测。 使用了运维安全审计系统 是 业务系统安全 公司本部及子公司主要有哪些重要的应用系统? 已经备案的应用系统有哪些？ 备案系统分别是几级 核心业务系统是否具备测试环境和备机？ 是否对操作系统和数据库的版本、补丁进行统一管理 系统上线之前是否在完成功能测试、压力测试和安全测试 是否定期对业务系统进行扫描和加固 已经备案的应用系统一共是15个， 2级系统15个。后面全否。 物理安全 是否是正规机房？ 是否具备防雷、防火、防水、防盗等安防措施 对企业来讲核心的信息系统（数据）是否进行分区域管理 机房日测定检记录、机房进出记录、操作审批流程是否完善，记录是否保存完整 正规机房防雷、防火、防水、防盗等安防措施具备 网络安全运维、系统应用运维等进行分区域管理 机房进出人员无登记记录、操作人员没有操作登记记录，流程有待完善。 数据安全 数据安全采取了哪些安全防护措施？ 是否有数据备份管理有关制定？ 是否定期对数据进行备份（备份清单、备份计划、备份记录、有效性测试）？ 数据是否实现容灾备份（不同机房之间的数据备份或异地备份）？ 备份介质是