当前位置:文档之家 › 信息系统安全检查概要

信息系统安全检查概要

  • 格式:ppt
  • 大小:1.32 MB
  • 文档页数:22

下载文档原格式

  / 22

合集下载

信息节前安全检查内容

信息节前安全检查内容

信息节前安全检查内容
信息节前安全检查内容主要包括以下几个方面:
设备安全检查:对信息设备进行安全检查,包括服务器、计算机、网络设备等,确保设备运行正常,无损坏或故障。

网络安全检查:对网络系统进行安全检查,包括防火墙、入侵检测系统等,确保网络设备安全运行,无漏洞或安全隐患。

数据安全检查:对重要数据进行安全检查,包括数据备份、数据加密等,确保数据安全无虞,防止数据泄露或损坏。

软件安全检查:对软件系统进行安全检查,包括操作系统、应用软件等,确保软件无漏洞或恶意代码,防止软件被攻击或入侵。

物理安全检查:对信息设备的物理环境进行安全检查,包括机房、电源、空调等,确保设备运行环境良好,无安全隐患。

人员安全检查:对信息人员进行安全检查,包括员工、客户等,确保人员无违规操作或恶意行为。

应急预案检查:对应急预案进行安全检查,包括应急流程、处置措施等,确保预案完善、可行。

安全管理制度检查:对信息安全管理相关制度进行检查,包括安全策略、安全责任制等,确保制度完善、有效。

在进行信息节前安全检查时,应该注重全面、细致,不留死角。

同时,还要结合实际情况进行针对性的检查,以确保信息的安全性。

信息系统风险评估总结汇报

信息系统风险评估总结汇报

信息系统风险评估总结汇报尊敬的领导和各位同事:
我很荣幸能够在这里向大家总结汇报我们团队进行的信息系统风险评估工作。

信息系统在现代企业中扮演着至关重要的角色,因此对其风险进行评估和管理显得尤为重要。

在本次风险评估中,我们团队首先对公司的信息系统进行了全面的调研和分析,包括系统的安全性、可靠性、完整性等方面。

通过对系统进行渗透测试、漏洞扫描、日志分析等手段,我们发现了一些潜在的风险和安全隐患。

这些风险可能会导致系统遭受黑客攻击、数据泄露、系统崩溃等严重后果,对公司的正常运营造成严重影响。

在识别和分析了这些风险之后,我们团队制定了相应的风险管理策略和措施。

这些措施包括加强系统的安全防护措施、定期更新和维护系统、加强员工的安全意识培训等。

通过这些措施的实施,我们可以有效地降低系统风险,保障公司信息系统的安全和稳定运行。

在未来的工作中,我们团队将继续对信息系统进行定期的风险评估和管理,及时发现和应对系统中的安全隐患,确保公司信息系统的安全和稳定运行。

同时,我们也将不断完善和提升风险评估的方法和手段,以应对日益复杂和多样化的网络安全威胁。

最后,我要感谢团队成员们在本次风险评估工作中的辛勤付出和努力,也感谢领导和各位同事对我们工作的支持和关注。

我们将继续努力,为公司的信息系统安全保驾护航。

谢谢大家!。

信息安全规范

信息安全规范

信息安全规范引言本文档旨在制定适用于我们组织的信息安全规范,以确保保护和维护组织的信息资产安全。

信息安全是我们组织的首要任务,我们将积极采取措施来保护组织的敏感信息,遵守相关法律法规,并防止信息泄露和未授权访问。

1. 信息分类和标记为了准确识别和保护我们组织的信息资产,我们将采用以下信息分类和标记标准:- 息(Public Information):无需保密和标记的信息,任何人都可以自由访问和使用。

- 受限信息(Restricted Information):包含敏感信息的数据,需要限制访问和保持机密。

此类信息应进行明确标记,并仅向有权限的人员提供访问。

- 机密信息(Confidential Information):最为敏感的信息,需要严格保密。

此类信息应进行强制标记,并确保仅授权的人员能够访问。

2. 密码安全为了保护帐户和系统的安全,我们将采取以下密码安全措施:- 密码复杂性:所有帐户密码必须包含至少8个字符,包括字母、数字和特殊字符,以提高密码的强度。

- 周期性更改:所有帐户密码必须定期更改,建议每隔三个月进行一次更改。

- 不共享密码:禁止员工与他人共享密码,每个人的帐户必须有唯一密码。

- 多因素身份验证:对于重要系统和敏感信息,我们将实施多因素身份验证,以增加安全性。

3. 网络安全我们将采取以下措施来确保网络的安全性:- 防火墙和安全设备:所有网络入口和出口必须有有效的防火墙和安全设备进行保护,以防止未经授权的访问和网络攻击。

- 网络监控和日志记录:我们将实施网络监控和日志记录机制,以及时发现和回应任何潜在的安全事件。

- 更新和补丁管理:我们将定期更新和管理所有网络设备和应用程序的补丁,以修复已知的漏洞和安全问题。

4. 数据备份和恢复为了保护我们的数据资产,我们将进行定期的数据备份和恢复操作:- 定期备份:我们将确保关键数据的定期备份,并将备份数据存储在安全的位置,以防止数据丢失。

- 恢复测试:我们将定期测试数据的恢复过程,以确保备份数据的完整性和可用性。

信息系统安全等级保护定级--备案--测评流程概要

信息系统安全等级保护定级--备案--测评流程概要

信息系统安全等级保护法规及依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下:1、《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)2、《信息安全等级保护管理办法》(公通字[2007]43号)3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。

信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

动态监控情况汇报范文

动态监控情况汇报范文

动态监控情况汇报范文
尊敬的领导:
根据公司安排,我对动态监控情况进行了汇报。

以下是最近一段时间内的监控
情况概要:
1. 网络监控情况。

我们对公司网络进行了全面监控,发现网络流量总体稳定,没有出现异常波动。

在上个季度我们进行了网络优化,目前网络速度和稳定性得到了明显提升。

唯一需要注意的是,某些部门在高峰时段使用网络过多,可能会影响其他部门的正常使用。

建议加强对网络使用的监控和管理,以确保各部门的网络需求得到平衡满足。

2. 设备监控情况。

我们对公司重要设备进行了实时监控,发现设备运行状况良好。

在上个月我们
进行了一次设备维护和检修,目前设备运行稳定,没有出现故障报警。

需要注意的是,部分设备的使用率较高,可能会存在一定的安全隐患。

建议加强对设备的定期检查和维护,以确保设备的安全稳定运行。

3. 安全监控情况。

我们对公司信息系统进行了安全监控,发现信息系统整体安全状况良好。

在最
近一次安全漏洞排查中,我们及时发现并修复了一些潜在的安全隐患,有效提升了信息系统的安全性。

需要注意的是,员工对信息安全意识的培训还需加强,以免造成不必要的安全风险。

总的来说,公司的动态监控情况整体良好,但仍需注意网络使用平衡、设备安
全维护和员工信息安全意识培训等方面的问题。

我们将继续加强监控工作,确保公司运行的安全稳定。

谢谢!。

安全生产监管信息平台概要设计方案

安全生产监管信息平台概要设计方案

安全生产监管信息平台概要设计方案.安全生产监管息平台概要设计方案1引言1.1编写目的在需求分析阶段中,已经将系统用户对本系统的需求做了详细的阐述,这些用户需求已经在上一阶段中对安全生产监督管理局的实地调研中获得,并在需求规格说明书中得到详尽得叙述及阐明。

本阶段已在系统的需求分析的基础上,对化工行业安全生产监管息平台做出概要设计。

主要解决了实现该系统需求的程序模块设计问题。

包括如何把该系统划分成若干个模块、决定各个模块之间的接口、模块之间传递的息,以及数据结构、模块结构的设计等。

在以下的概要设计报告中将对在本阶段中对系统所做的所有概要设计进行详细的说明。

在下一阶段的详细设计中,程序设计员可参考此概要设计报告,在概要设计对息平台所做的模块结构设计的基础上,对系统进行详细设计。

在以后的软件测试以及软件维护阶段也可参考此说明书,以便于了解在概要设计过程中所完成的各模块设计结构,或在修改时找出在本阶段设计的不足或错误。

1.2系统使用围系统用户分为两类,第一类区应急办领导,第二类安监局工作人员,第三类企业安全生产管理人员。

第一类区应急办领导,包括开发区主要领导、应急办公室成员。

通过本平台接口与区应急管理系统随时进行数据同步,使用户随时掌握区安全生产管理息。

第二类安监局工作人员,包括安监局领导及三个办公室工作成员,通过办公子系统完成日常办公工作与企业进行数据互动。

利用应急子系统和地理息子系统等功能完成安全生产事故处置工作。

第三类企业安全生产管理人员,在安监局下属企业安装企业互动系统,企业.完成安监局日常的数据上报要求,及自身日常工作数据的管理。

亦可利用企业应急子系统完成企业安全生产事故的处置工作。

1.3术语定义泰达:天津经济技术开发区英文Tianjin Economic-TechnologicalDevelopment Area缩写TEDA的音译,文中代表天津经济技术开发区TEDA:天津经济技术开发区英文Tianjin Economic-TechnologicalDevelopment Area缩写,文中代表天津经济技术开发区GIS:地理息系统Geographic Information System1.4参考资料《化工行业安全生产监管息平台项目建议书》《化工行业安全生产监管息平台合同》《化工行业安全生产监管息平台需求分析》《化工行业安全生产监管息平台工作说明书》2任务概述2.1系统实现目标目前天津开发区和滨海新区的化工行业已具有一定规模。

信息安全管理制度检查报告

信息安全管理制度检查报告
概述
本报告主要是根据企业信息安全管理制度的要求,对其进行检查,并提出发现
的问题、改进意见和建议。

检查的内容包括企业的授权管理、网络安全、数据备份和恢复、安全防护和应急响应等方面。

现状分析
在本次检查中,我们发现企业信息安全管理方面存在以下问题:
1.授权管理: 没有对员工进行有效的授权管理,部分员工使用的账号权
限过高,没有进行足够的授权限制。

2.网络安全: 没有对网络设备进行有效的防护,没有及时更新补丁,存
在漏洞和风险隐患。

3.数据备份和恢复: 缺乏有效的数据备份和恢复机制,一旦数据丢失或
损坏,将会给企业带来损失。

4.安全防护和应急响应: 没有健全的安全防护和应急响应机制,一旦发
生安全事件,公司不具备迅速应对和处理的能力。

改进意见和建议
针对存在的问题,我们提出以下改进意见和建议:
1.对员工账号进行规范的授权管理,并及时进行权限调整和限制,并实
施定期审核和检查。

2.对网络设备实施最新的防护措施,及时进行安全补丁更新,定期进行
安全检测和漏洞扫描。

3.建立有效的数据备份和恢复机制,包括定期备份数据和恢复测试,并
建立专门的数据备份和恢复团队。

4.建立健全的安全防护和应急响应机制,包括应急响应预案、定期演练、
建立专门的安全响应团队等措施。

总结
企业信息安全是企业长期发展的重要保障,为了确保企业信息安全,我们必须
合理利用各种信息安全管理制度和技术手段,定期进行检查和监督,及时发现和处理所有信息安全隐患,保障企业信息的安全稳定。

信息安全检查总结报告模板

信息安全检查总结报告模板
1. 概述(500字)
在这个部分,总结整个信息安全检查的目的和背景,说明检查的范围和重点,并简要描述检查所采用的方法和过程。

2. 安全状况分析(800字)
描述在信息安全检查过程中发现的主要问题和安全风险,并对这些问题和风险进行详细的分析和评估。

a. 内部安全风险:
- 列举内部安全风险,如未授权访问、弱密码、未及时更新补丁等,并分析其影响和潜在风险。

b. 外部安全风险:
- 列举外部安全风险,如网络攻击、病毒传播、钓鱼等,并分析其影响和潜在风险。

c. 物理安全风险:
- 列举物理安全风险,如设备丢失、数据泄露等,并分析其影响和潜在风险。

3. 已采取的措施(600字)
说明在检查过程中,已经采取了哪些措施来弥补发现的问题和减轻安全风险,包括技术措施、管理措施、培训措施等。

4. 建议的改进措施(600字)
基于对现有安全状况的分析,提出具体的改进措施和建议,包括技术上的改进、管理上的改进、培训上的改进等,并附上实施该措施的可行性分析。

5. 总结(500字)
总结整个信息安全检查的过程和结果,强调检查的重要性和必要性,并对未来的安全工作提出一些建议。

以上是一个信息安全检查总结报告的模板,可以根据具体情况进行适当的调整和修改,确保报告能够准确地反映出实际的情况和解决方案。

这份报告应该能够为相关人员提供一个全面的了解信息安全状况和提出改进措施的依据,以保障组织的信息安全。

信息安全管理(第五章 信息系统安全测评)


信息系统安全等级测评要求
LOGO
测评对象是指测评实施的对象,即测评过程中 涉及到的制度文档、各类设备及其安全配置和 相关人员等。 测评方法包括: ①访谈 ②检查 ③测试
信息系统安全等级测评要求
等级测评内容
LOGO
等级测评的实施过程由单元测评和整体测评两 部分构成。 单元测评满足概念性框架的三部分内容:测评 输入、测评过程和测评输出。 整体测评主要包括安全控制点间、层面间和区 域间安全测评
3现场测评活动的输出文档任务输出文档文档内容现场测评准备会议记录确认的测评授权书更新后的测评计划和测评程序工作计划和内容安排双发人员的协调测评委托单位应提供的配合访谈技术安全和管理安全测评的测评结果记录或录音访谈记录文档审查管理安全测评的测评结果记录管理制度和管理执行过程文档的记录配置检查技术安全测评的网络主机应用测评结果记录检查内容的记录工具测试技术安全测评的网络主机应用测评结果记录工具测试完成后的电子输出记录备份的测试结果文件漏洞扫面渗透性测试性能测试入侵检测和协议分析等内容的技术测试结果实地查看技术安全测评的物理安全和管理安全测评结果记录检查内容的记录测评结果确认现场核查中发现的问题汇总证据和证据源记录测评委托单位的书面认可文件测评活动中发现的问题问题的证据和证据源每项检查活动中测评委托单位配合人员的书面认可logo信息安全等级测评
信息系统安全测评流程
信息系统安全测评包括:
LOGO
资料审查 核查测试 综合评估 测评流程如图5-2所示
被测用户提交测评申请以及相关材 料 测评机构对被测单位提供的资料进 行形式化审查
信息系统安全测评流程
LOGO
与被测单位协商,帮助用户完善 应提交的相关资料
向被测单位出具形式化审查报告

信息工程安防检查制度

信息工程安防检查制度的核心目标在于通过定期的安全检查,发现潜在的安全风险,确保信息系统的完整性、可靠性和可用性。

为此,该制度应当明确以下几个关键点:一、组织架构与责任划分制度应明确设立专门的安全管理组织,包括安全委员会、安全管理部门和专职安全员等,各司其职,形成有效的安全管理网络。

同时,各级管理人员和普通员工都应明确自己在信息安全工作中的职责和义务。

二、检查范围与周期制度需要规定安全检查的具体范围,包括但不限于硬件设施、软件系统、网络环境、操作流程等。

检查周期应根据信息系统的重要性和风险等级来设定,一般建议至少每年进行一次全面的安全检查。

三、检查内容与方法安全检查的内容应涵盖物理安全、网络安全、主机安全、应用安全等多个方面。

检查方法可以采用自检、互检、专项检查等多种方式,确保检查全面、细致。

四、风险评估与处理对检查中发现的问题,应进行风险评估,根据风险等级制定相应的处理措施。

对于高风险问题,应立即采取措施进行整改;对于中低风险问题,也应制定计划,限期解决。

五、记录与报告安全检查的过程和结果应详细记录,并形成正式的检查报告。

报告中应包括检查时间、检查人员、检查内容、发现问题、改进建议等信息,便于追踪管理和持续改进。

六、培训与提升制度还应包含对员工的定期安全培训计划,提高员工的安全意识和应对突发事件的能力。

同时,鼓励员工提出安全改进建议,不断提升整体的安全管理水平。

七、应急预案与演练制定针对各种可能的安全事件的应急预案,并定期组织应急演练,检验预案的有效性和员工的应急响应能力。

八、监督与审计建立定期的安全监督和审计机制,对安全管理工作的执行情况进行检查和评价,确保制度的有效实施。

制度应符合国家相关法律法规的要求,确保企业的信息安全管理工作合法合规。

十、持续改进信息安全是一个动态的过程,制度应根据实际情况和技术发展不断更新和完善,实现持续改进。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

文件解读
2、信息系统安全管理。重点检查信息安全风险评估、 等级保护等安全管理制度落实情况。(1)服务器安 全防护。重点检查服务器上应用、服务、端口以及系 统补丁等情况,是否关闭了不必要的应用、服务、端 口;账户口令强度和更新情况;病毒木马防护情况, 是否使用技术工具定期进行漏洞扫描、病毒木马检测。 (2)网络设备防护。重点检查网络设备安全策略配 置的有效性;账户口令强度和更新情况;是否使用技 术工具定期进行漏洞扫描。(3)信息安全设备部署 及使用。重点检查防病毒、防火墙、入侵检测、安全 审计等安全设备部署及使用情况,以及安全策略配置 的有效性。
文件解读
2)4、灾难备份。重点检查重要数据和重要信息
系统备份情况;对采用社会等三方灾难备份服 务的,检查其服务合同及安全保密协议签订情 况,了解掌握灾难备份服务设施运维安全管理 情况。 5、信息安全事件应急处置。重点检查本年度发 生的信息安全事件及处置情况;发生过重大信 息安全事件的,检查是否进行了及时处置,是 否按照要求上报和通报。
文件解读
(三) 信息安全防护管理 1、网络边界防护管理。查看系统总体网络架 构、子系统分布、终端节点、区域划分及边界 防护措施等,重点检查:(1)网络分区分域 合理性;(2)安全防护设备策略配制有效性; (3)互联网接入情况,是否有访问互联网的 安全控制措施,是否留存互联网访问日志并定 期进行分析。
文件解读
3、安全技术检测。组织技术力量,使用必要的技术 工具,对服务器、终端计算机、网络设备以及门 户网站等信息系统进行安全检测,排查病毒木马、 安全漏洞等。
文件解读

文件解读

文件解读

文件解读

信息系统安全检查
文件解读 根据《广西壮族自治区人民政府办公厅关于 做好2011年广西壮族自治区人民政府信息系统 安全检查工作的通知》 一、检查目的 依据国家信息安全有关政策规定,对各级各 部门信息安全工作进行全面检查,掌握信息安 全总体状况,发现存在的主要问题和薄弱环节, 进一步健全信息安全管理制度,完善信息安全 技术措施,提高信息安全防护能力。
文件解读
5、终端计算机安全管理。重点检查:(1)是否采取集中安全管理 措施;(2)账户口令强度和更新情况;(3)接入互联网安全控制措施 (如实名接入认证、对计算机IP和MAC地址进行绑定等);(4)是否 使用技术工具定期进行漏洞扫描、病毒木马检测;(5)在非涉密信息 系统和涉密信息系统间混用情况;(6)使用非涉密计算机处理涉密信 息情况。 6、移动存储设备安全管理。重点检查:(1)是否采取集中安全管理措 施;(2)是否配备必要的电子消磁或销毁设备;(3)在非涉密信息系 统和涉密信息系统间混用情况负责、谁运行谁负责、谁使用谁 负责”的原则,统筹安排、突出重点、明确责任、 注重实效。 检查工作以各单位自检为主,市城乡数字化办会 同有关部门统一组织安全抽查。各部门管理的信 息系统安全检查工作,由各部门统一组织部署。
文件解读
政府信息系统安全检查的范围是为各部门履行 政府职能提供支撑的信息系统, 包括自行运行维护管理以及委托其他机构运行 维护管理的办公系统、业务系统、网站系统等 各部门的门户网站、重要业务系统是检查重点
文件解读
3、门户网站安全管理。以防攻击、防挂马、防篡改、防瘫痪、防窃密为 目标,对门户网站安全防护情况进行全面检查:(1)系统管理账户和口 令,清理无关账户,防止出现空口令、弱口令和默认口令;(2)服务器 补丁更新情况,关闭不必要的端口,停止不必要的服务和应用,删除不 必要的链接和插件;(3)网站目录机构,删除临时文件,防止敏感信息 泄露;(4)信息发布审核制度建立及落实情况;(5)是否使用技术工 具定期进行漏洞扫描、木马检测。 4、电子邮箱安全管理。重点检查:(1)邮箱使用情况,是否有非本部 门人员特别是无关人员使用;(2)账户口令强度及更新情况,是否使用 技术措施控制和管理口令,口令强度是否符合要求、是否定期更新。
文件解读
(四) 信息安全应急管理 1、应急预案。重点检查本部门信息安全应急预 案制定、修订、备案及宣贯培训情况。 2、应急演练。重点检查信息安全应急演练情况; 已开展演练的,查看演练文档、记录(包括演练 计划、演练方案、演练记录、演练总结报告等)。 3、应急技术支援。重点检查是否明确了应急技 术支援队伍;已明确的,检查其服务合同及安全 保密协议签订情况,了解掌握应急技术支援队伍 基本情况以及开展的技术支援活动。
文件解读
4、信息技术产品使用管理。重点检查办公用 计算机、公文处理软件、信息安全设备、服务 器、网络设备等使用产品的安全可控情况,特 别是本年度新采购办公用计算机、公文处理软 件、信息安全设备是否满足安全可控要求。 5、信息安全经费保障。重点检查信息安全防 护设施建设、运行、维护、检查及管理等费用 是否纳入部门年度预算,以及本年度信息安全 经费实际投入情况等。
文件解读
检查内容 (一) 信息安全组织管理 1、信息安全管理机构及其工作开展情况。 (1)组织制定信息安全工作计划或工作方案 情况;(2)组织制定并落实信息安全管理规 章制度情况;(3)组织开展信息安全教育培 训和督促检查工作情况。 2、信息安全员及其工作开展情况。(1)各 单位信息安全员指定情况;(2)信息安全员 开展督促、检查和指导等日常工作情况。
文件解读
(二) 日常信息安全管理 1、人员管理。查验相关文档、文件、记录等,重点 检查:(1)岗位信息安全和保密责任制落实,特别 是重要岗位信息安全和保密协议签订情况;(2)人 员离岗离职信息安全管理情况;(3)外部人员访问 机房等重要区域管理情况;(4)违反制度规定造成 信息安全事件的责任查处情况等。 2、资产管理。查验相关文档、台帐、记录等,重点 检查:(1)资产管理制度建立及落实情况,资产台 账是否清晰、帐物是否相符;(2)办公软件、应用 软件等安装与使用情况,是否有与工作无关的软件; (3)计算机及相关设备维修维护、报废销毁管理情 况,是否有相应的登记记录等。
文件解读
(五) 信息安全教育培训 重点检查信息安全和保密形势教育及警示教育 情况,领导干部和机关工作人员参加信息安全 基本技能培训情况,信息安全管理和技术人员 参加信息安全专业培训情况等。
文件解读 (六) 信息安全检查工作 1、上一年度发现问题的整改情况。重点 检查:(1)制定的整改计划及采取的整 改措施;(2)整改效果以及是否开展了 进一步的信息安全风险评估;(3)年度 检查情况报告完成情况,是否按国务院要 求及时报送,报告是否完整准确、符合要 求。 2、本年度检查工作开展情况。重点检查: (1)检查工作责任制建立和检查工作经 费落实情况;(2)检查工作方案制定及 组织实施情况;(3)采取的安全保密和 风险控制措施,检查人员、有关文档和数 据的安全保密管理情况。
文件解读
3、信息技术外包服务安全管理。针对当前政府 部门信息技术外包服务安全风险突出的现状,重 点检查系统开发、系统集成、运行维护、灾难备 份、数据处理、安全检测、系统托管等外包服务 的安全管理:(1)服务机构性质与背景情况, 是否由外资机构提供服务;(2)服务合同及安 全保密协议签订情况,安全责任是否清晰;(3) 人员现场服务记录情况,是否有现场服务监管措 施;(4)系统维护方式情况,重点排查远程在 线服务带来的安全风险;(5)灾难备份服务情 况,重点掌握灾难备份中心设立在境外的情况。