【文章內容簡介】 程進行進度和質量控制2應具有工程實施過程應按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案2在信息系統(tǒng)正式運行前，應委托第三方測試機構根據(jù)設計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試（第三方測試機構出示的系統(tǒng)安全性測試驗收報告）2應具有工程測試驗收方案（測試驗收方案與設計方案或合同要求內容一致）2應具有測試驗收報告2應指定專門部門負責測試驗收工作（具有對系統(tǒng)測試驗收報告進行審定的意見）2根據(jù)交付清單對所交接的設備、文檔、軟件等進行清點（系統(tǒng)交付清單）2應具有系統(tǒng)交付時的技術培訓記錄2應具有系統(tǒng)建設文檔（如系統(tǒng)建設方案）、指導用戶進行系統(tǒng)運維的文檔（如服務器操作規(guī)程書）以及系統(tǒng)培訓手冊等文檔。2應指定部門負責系統(tǒng)交付工作應具有與產(chǎn)品供應商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構等相關安全服務商簽訂的協(xié)議（文檔中有保密范圍、安全責任、違約責任、協(xié)議的有效期限和責任人的簽字等內容3選定的安全服務商應提供一定的技術培訓和服務3應與安全服務商簽訂的服務合同或安全責任合同書1采購產(chǎn)品前應預先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單1應具有產(chǎn)品選型測試結果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結果文檔）1應具有軟件設計相關文檔，專人保管軟件設計的相關文檔，應具有軟件使用指南或操作手冊1對程序資源庫的修改、更新、發(fā)布應進行授權和批準1應具有程序資源庫的修改、更新、發(fā)布文檔或記錄1軟件交付前應依據(jù)開發(fā)協(xié)議的技術指標對軟件功能和性能等進行驗收檢測1軟件安裝之前應檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業(yè)產(chǎn)品1應具有軟件設計的相關文檔和使用指南1應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發(fā)文檔應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制2應具有工程實施過程應按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案2在信息系統(tǒng)正式運行前，應委托第三方測試機構根據(jù)設計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試（第三方測試機構出示的系統(tǒng)安全性測試驗收報告）2應具有工程測試驗收方案（測試驗收方案與設計方案或合同要求內容一致）2應具有測試驗收報告2應指定專門部門負責測試驗收工作（具有對系統(tǒng)測試驗收報告進行審定的意見）2根據(jù)交付清單對所交接的設備、文檔、軟件等進行清點（系統(tǒng)交付清單）2應具有系統(tǒng)交付時的技術培訓記錄2應具有系統(tǒng)建設文檔（如系統(tǒng)建設方案）、指導用戶進行系統(tǒng)運維的文檔（如服務器操作規(guī)程書）以及系統(tǒng)培訓手冊等文檔。2應指定部門負責系統(tǒng)交付工作應具有與產(chǎn)品供應商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構等相關安全服務商簽訂的協(xié)議（文檔中有保密范圍、安全責任、違約責任、協(xié)議的有效期限和責任人的簽字等內容3選定的安全服務商應提供一定的技術培訓和服務3應與安全服務商簽訂的服務合同或安全責任合同書六、系統(tǒng)運維管理應指定專人或部門對機房的基本設施（如空調、供配電設備等）進行定期維護，由何部門/何人負責。應具有機房基礎設施的維護記錄，空調、溫濕度控制等機房設施定期維護保養(yǎng)的記錄應指定部門和人員負責機房安全管理工作應對辦公環(huán)境保密性進行管理（工作人員離開座位確保終端計算機退出登錄狀態(tài)、桌面上沒有包含敏感信息的紙檔文件）應具有資產(chǎn)清單（覆蓋資產(chǎn)責任人、所屬級別、所處位置、所處部門等方面）應指定資產(chǎn)管理的責任部門或人員應依據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標識介質存放于何種環(huán)境中，應對存放環(huán)境實施專人管理（介質存放在安全的環(huán)境（防潮、防盜、防火、防磁，專用存儲空間））應具有介質使用管理記錄，應記錄介質歸檔和使用等情況（介質存放、使用管理記錄）對介質的物理傳輸過程應要求選擇可靠傳輸人員、嚴格介質的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)的控制1應對介質的使用情況進行登記管理，并定期盤點（介質歸檔和查詢的記錄、存檔介質定期盤點的記錄）1對送出維修或銷毀的介質如何管理，銷毀前應對數(shù)據(jù)進行凈化處理。（對帶出工作環(huán)境的存儲介質是否進行內容加密并有領導批準。對保密性較高的介質銷毀前是否有領導批準）（送修記錄、帶出記錄、銷毀記錄）1應對某些重要介質實行異地存儲，異地存儲環(huán)境是否與本地環(huán)境相同（防潮、防盜、防火、防磁，專用存儲空間）1介質上應具有分類的標識或標簽1應對各類設施、設備指定專人或專門部門進行定期維護。1應具有設備操作手冊1應對帶離機房的信息處理設備經(jīng)過審批流程，由何人審批（審批記錄）1應監(jiān)控主機、網(wǎng)絡設備和應用系統(tǒng)的運行狀況等1應有相關網(wǎng)絡監(jiān)控系統(tǒng)或技術措施能夠對通信線路、主機、網(wǎng)絡設備和應用軟件的運行狀況、網(wǎng)絡流量、用戶行為等進行監(jiān)測和報警應具有日常運維的監(jiān)控日志記錄和運維交接日志記錄2應定期對監(jiān)控記錄進行分析、評審2應具有異?，F(xiàn)象的現(xiàn)場處理記錄和事后相關的分析報告2應建立安全管理中心，對設備狀態(tài)、惡意代碼、補丁升級、安全審計等相關事項進行集中管理2應指定專人負責維護網(wǎng)絡安全管理工作2應對網(wǎng)絡設備進行過升級，更新前應對現(xiàn)有的重要文件是否進行備份（網(wǎng)絡設備運維維護工作記錄）2應對網(wǎng)絡進行過漏洞掃描，并對發(fā)現(xiàn)的漏洞進行及時修補。2對設備的安全配置應遵循最小服務原則，應對配置文件進行備份（具有網(wǎng)絡設備配置數(shù)據(jù)的離線備份）2系統(tǒng)網(wǎng)絡的外聯(lián)種類（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級部門網(wǎng)絡等）應都得到授權與批準，由何人/何部門批準。應定期檢查違規(guī)聯(lián)網(wǎng)的行為。2對便攜式和移動式設備的網(wǎng)絡接入應進行限制管理應具有內部網(wǎng)絡外聯(lián)的授權批準書，應具有網(wǎng)絡違規(guī)行為（如撥號上網(wǎng)等）的檢查手段和工具。3在安裝系統(tǒng)補丁程序前應經(jīng)過測試，并對重要文件進行備份。3應有補丁測試記錄和系統(tǒng)補丁安裝操作記錄3應對系統(tǒng)管理員用戶進行分類（比如：劃分不同的管理角色，系統(tǒng)管理權限與安全審計權限分離等）3審計員應定期對系統(tǒng)審計日志進行分析（有定期對系統(tǒng)運行日志和審計數(shù)據(jù)的分析報告）3應對員工進行基本惡意代碼防范意識的教育，如告知應及時升級軟件版本（對員工的惡意代碼防范教育的相關培訓文檔）3應指定專人對惡意代碼進行檢測，并保存記錄。3應具有對網(wǎng)絡和主機進行惡意代碼檢測的記錄3應對惡意代碼庫的升級情況進行記錄（代碼庫的升級記錄），對各類防病毒產(chǎn)品上截獲的惡意代碼是否進行分析并匯總上報。是否出現(xiàn)過大規(guī)模的病毒事件，如何處理3應具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 應具有變更方案評審記錄和變更過程記錄文檔。4重要系統(tǒng)的變更申請書，應具有主管領導的批準4系統(tǒng)管理員、數(shù)據(jù)庫管理員和網(wǎng)絡管理員應識別需定期備份的業(yè)務信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)（備份文件記錄）4應定期執(zhí)行恢復程序，檢查和測試備份介質的有效性4應有系統(tǒng)運維過程中發(fā)現(xiàn)的安全弱點和可疑事件對應的報告或相關文檔4應對安全事件記錄分析文檔4應具有不同事件的應急預案4應具有應急響應小組，應具備應急設備并能正常工作，應急預案執(zhí)行所需資金應做過預算并能夠落實。4應對系統(tǒng)相關人員進行應急預案培訓（應急預案培訓記錄）4應定期對應急預案進行演練（應急預案演練記錄）50、應對應急預案定期進行審查并更新5應具有更新的應急預案記錄、應急預案審查記錄。第四篇：信息網(wǎng)絡安全等級保護工作自檢自查報告信息網(wǎng)絡安全等級保護工作自檢自查報告XX縣煙草專賣局（分公司）的信息網(wǎng)絡安全建設在上級部門的關心指導下，近年取得了快速的進步和發(fā)展，實效性強，網(wǎng)絡安全防控能力大大增強。為進一步貫徹落實行業(yè)網(wǎng)絡與信息安全各項管理規(guī)定，嚴格規(guī)范信息安全等級保護，提高企業(yè)對信息網(wǎng)絡安全的防控能力，保障企業(yè)信息網(wǎng)絡安全，保證公司各項辦公自動化工作的正常進行，促進企業(yè)效益的穩(wěn)步提升，按照《XX縣人民政府辦公室關于開展信息網(wǎng)絡信息安全等級保護安全檢查工作的通知》要求，我司組織相關人員對系統(tǒng)內信息網(wǎng)絡安全等級保護工作認真細致的自檢自查，現(xiàn)將自查情況報告如下。一、等級保護工作部署和組織實施情況XX縣煙草公司企業(yè)信息化建設在市局（公司）的統(tǒng)一領導下，按照“統(tǒng)一網(wǎng)絡、統(tǒng)一平臺、統(tǒng)一數(shù)據(jù)庫”的要求，以打造“數(shù)字煙草”為戰(zhàn)略目標，以“系統(tǒng)集成、資源整合、信息共享”為工作方針，取得了快速的發(fā)展，在積極推進企業(yè)信息化建設的過程中，更加重視網(wǎng)絡信息的安全建設工作。從省公司到市公司、縣公司，領導高度重視，統(tǒng)一規(guī)劃，統(tǒng)一標準，同步實施。首先是逐級成立了領導小組和職能部門，XX分公司按照上級部門要求，2000年11月成立了信息化領導小組，下設信息辦在公司辦公室，并設置了計算機系統(tǒng)管理員崗位，明確了各自的職責。由于網(wǎng)絡推廣應用迅速，2005年重新更設了計算機網(wǎng)絡信息中心，旨在強化對企業(yè)的網(wǎng)絡建設和網(wǎng)絡安全管理。在歷次的機構設置中，都明確了分公司主要領導分管信息工作，把網(wǎng)絡信息安全的建設與管理擺到了企業(yè)各項工作的重要位置中來，表明了企業(yè)對信息化建設、網(wǎng)絡安全管理的高度重視和決心。其次是對行業(yè)的網(wǎng)絡安全建設高瞻遠矚、統(tǒng)一標準、規(guī)范運作、務求實效。先后省公司下發(fā)了《云南省煙草專賣局關于建設云南省行業(yè)計算機網(wǎng)絡與信息安全系統(tǒng)的通知》，對全行業(yè)的網(wǎng)絡信息安全建設作了明確、細致的規(guī)定，制定了高效規(guī)范的《云南省煙草行業(yè)計算機網(wǎng)絡與信息安全系統(tǒng)建設方案》，統(tǒng)一在全系統(tǒng)范圍內實施。隨后市局公司又下發(fā)了《曲靖市煙草專賣局（公司）關于建設網(wǎng)絡安全系統(tǒng)的通知》，對各分公司的網(wǎng)絡安全建設作了具體的安排部署。XX縣煙草公司嚴格按照上級部門要求，主動推進網(wǎng)絡安全建設，嚴律遵循行業(yè)標準規(guī)范，組織實施信息項目，積極配合上級部門在全行業(yè)開展網(wǎng)絡安全建設工作。二、信息系統(tǒng)安全保護等級備案情況XX縣煙草專賣局（分公司）隸屬曲靖市煙草專賣局（公司）子公司，無法人資格。網(wǎng)絡信息安全建設也是依照市公司統(tǒng)一要求進行，信息安全保護等級為二級。按照本次檢查要求，備案材料主要包括三類。一是各級各部門的文件，包括有：羅煙司字［2000］48號《關于成立云南省煙草XX縣公司信息化領導小組的通知》，省公司云煙科［2000］209號《關于決舉辦云南省煙草行業(yè)計算機系統(tǒng)管理員培訓班的通知》，省公司云煙信［2003］552號《云南省煙草專賣局關于建設云南省煙草行業(yè)計算機網(wǎng)絡與信息安全系統(tǒng)的通知》，市公司云曲煙專司字［2004］35號《曲靖市煙草專賣局（公司）關于建設網(wǎng)絡安全系統(tǒng)的通知》、《曲靖煙草專賣局（公司）黨政工作部關于舉辦網(wǎng)絡信息安全培訓的通知》，市公司云曲煙辦字［2004］98號《曲靖市煙草專賣局（公司）關于建設地面專網(wǎng)的通知》等。第二類是各項網(wǎng)絡信息安全建設規(guī)范、技術標準及方案等，主要包括有：《云南省煙草行業(yè)信息網(wǎng)絡信息系統(tǒng)技術規(guī)范》兩部分，《云南省煙草行業(yè)信息網(wǎng)絡系統(tǒng)計算機網(wǎng)絡系統(tǒng)建設技術規(guī)范》、《云南省煙草行業(yè)計算機網(wǎng)絡與信息安全系統(tǒng)建設方案》。第三類是各類管理制度或規(guī)定，主要包括有：《云南省煙草行業(yè)信息網(wǎng)絡管理規(guī)范》、《云南省煙草行業(yè)計算機網(wǎng)絡與信息安全管理制度》、《信息化工作管理規(guī)定》的網(wǎng)絡與信息安全管理，《網(wǎng)絡建設及信息維護按理規(guī)定》、《計算機設備管理規(guī)定》、《計算機機房管理規(guī)定》及《突發(fā)信息網(wǎng)絡事件應急預案》等。三、信息安全設施建設情況。根據(jù)上級部門的統(tǒng)一規(guī)劃、建設要求，XX縣煙草公司積極推進各項網(wǎng)絡安全建設工作。首先，為考慮網(wǎng)絡安全，結合業(yè)務實際，在網(wǎng)絡規(guī)劃時以建設專線為重點，在全省煙草系統(tǒng)內全部采用專線連接，實現(xiàn)互聯(lián)互通。在系統(tǒng)主干網(wǎng)絡建設上，先是采用衛(wèi)星專用通道聯(lián)網(wǎng)，后改用DDN專線，隨著網(wǎng)絡技術的發(fā)展和普及，從2006年開始，全省煙草系統(tǒng)，從省公司至市公司，從市公司至分公司，從分公司至煙葉站、煙葉收購點，采用帶寬不同的SDH專線連接。公司絕大部分業(yè)務均在內網(wǎng)里運行，各類數(shù)據(jù)信息通過內網(wǎng)服務器和網(wǎng)絡流轉、共享，無外網(wǎng)托管現(xiàn)象，只有極少部分業(yè)務需掛外網(wǎng)。其次是不斷采用新技術、新手段做好網(wǎng)絡信息安全防范工作，嚴格劃分企業(yè)內網(wǎng)與外網(wǎng)，通過硬件防火墻設置，保證內外信息交互有效進行，實現(xiàn)對垃圾信息、非法訪問的有效過濾。同時，通過網(wǎng)絡版殺毒軟件的安裝使用，對計算機病毒進行整體防治，另一方面，對操作終端還配置防木馬程序的軟件，以及軟件防火墻等軟件的使用，配合殺毒軟件對計算機病毒、黑客攻擊、木馬程序等進行了有效的防范。總之，通過軟硬件技術手段的有效結合，使系統(tǒng)內網(wǎng)及每個終端計算機、系統(tǒng)內的信息、數(shù)據(jù)安全得到了有效保障，有效保證了企業(yè)各業(yè)務工作的順利開展。四、管理制度建設情況。煙草企業(yè)自2004年工商分制以來，作為一分公司，在曲靖市煙草公司的直接領導下，各項工作穩(wěn)步推進，伴隨著社會效益、企業(yè)效益的逐年攀升，曲靖煙草企業(yè)更加注重管理模式的總結與創(chuàng)新，強調管理的精細化和規(guī)范化，通過長時間的積累、總結和創(chuàng)新，對各行各業(yè)各個環(huán)節(jié)都制定了規(guī)范、有效的管理制度。形成了具有行業(yè)標準的相關制度－《曲靖煙草商業(yè)管理（QTCM）－管理制度》，在網(wǎng)絡信息安全方面涉及很多內容。制定了《計算機設備管理規(guī)定》，旨在規(guī)范煙草系統(tǒng)計算機及相關設備的管理工作，促進設備的有效管理，提高設備的綜合效率，滿足工作需求；制定了《計算機機房管理理規(guī)定》，旨在加強