【正文】 協(xié)議，檢測結果及報告由市公司保存。網(wǎng)絡管理平臺軟件曾使用復旦光華T_Manager網(wǎng)絡綜合管理系統(tǒng)，預計未來將采用其它新系統(tǒng)實現(xiàn)網(wǎng)絡綜合管理。其中，硬件防火墻采用中端型產(chǎn)品，品牌型號為天融信NGFWARES－VPN（S），基本滿足管理要求。五、信息安全產(chǎn)品選擇和使用情況。2008年4月份，根據(jù)企業(yè)《職業(yè)健康安全管理體系》運行的整改要求，制定了《突發(fā)信息網(wǎng)絡事件應急預案》，包括機房滲漏水應急預案、機房盜竊應急預案、機房火災應急預案、機房長時間停電應急預案、通信網(wǎng)絡故障應急預案、網(wǎng)絡病毒爆發(fā)應急預案、服務器軟件系統(tǒng)故障應急預案、核心設備硬件故障應急預案、業(yè)務數(shù)據(jù)損壞應急預案等九部分內(nèi)容，旨在加強對系統(tǒng)內(nèi)突發(fā)信息網(wǎng)絡事件的控制，迅速有效開展應急救援行動，降低危害程度。形成了具有行業(yè)標準的相關制度－《曲靖煙草商業(yè)管理（QTCM）－管理制度》，在網(wǎng)絡信息安全方面涉及很多內(nèi)容。四、管理制度建設情況。同時，通過網(wǎng)絡版殺毒軟件的安裝使用，對計算機病毒進行整體防治，另一方面，對操作終端還配置防木馬程序的軟件，以及軟件防火墻等軟件的使用，配合殺毒軟件對計算機病毒、黑客攻擊、木馬程序等進行了有效的防范。公司絕大部分業(yè)務均在內(nèi)網(wǎng)里運行，各類數(shù)據(jù)信息通過內(nèi)網(wǎng)服務器和網(wǎng)絡流轉、共享，無外網(wǎng)托管現(xiàn)象，只有極少部分業(yè)務需掛外網(wǎng)。首先，為考慮網(wǎng)絡安全，結合業(yè)務實際，在網(wǎng)絡規(guī)劃時以建設專線為重點，在全省煙草系統(tǒng)內(nèi)全部采用專線連接，實現(xiàn)互聯(lián)互通。三、信息安全設施建設情況。第二類是各項網(wǎng)絡信息安全建設規(guī)范、技術標準及方案等，主要包括有：《云南省煙草行業(yè)信息網(wǎng)絡信息系統(tǒng)技術規(guī)范》兩部分，《云南省煙草行業(yè)信息網(wǎng)絡系統(tǒng)計算機網(wǎng)絡系統(tǒng)建設技術規(guī)范》、《云南省煙草行業(yè)計算機網(wǎng)絡與信息安全系統(tǒng)建設方案》。按照本次檢查要求，備案材料主要包括三類。二、信息系統(tǒng)安全保護等級備案情況XX縣煙草專賣局（分公司）隸屬曲靖市煙草專賣局（公司）子公司，無法人資格。隨后市局公司又下發(fā)了《曲靖市煙草專賣局（公司）關于建設網(wǎng)絡安全系統(tǒng)的通知》，對各分公司的網(wǎng)絡安全建設作了具體的安排部署。其次是對行業(yè)的網(wǎng)絡安全建設高瞻遠矚、統(tǒng)一標準、規(guī)范運作、務求實效。由于網(wǎng)絡推廣應用迅速，2005年重新更設了計算機網(wǎng)絡信息中心，旨在強化對企業(yè)的網(wǎng)絡建設和網(wǎng)絡安全管理。從省公司到市公司、縣公司，領導高度重視，統(tǒng)一規(guī)劃，統(tǒng)一標準，同步實施。為進一步貫徹落實行業(yè)網(wǎng)絡與信息安全各項管理規(guī)定，嚴格規(guī)范信息安全等級保護，提高企業(yè)對信息網(wǎng)絡安全的防控能力，保障企業(yè)信息網(wǎng)絡安全，保證公司各項辦公自動化工作的正常進行，促進企業(yè)效益的穩(wěn)步提升，按照《XX縣人民政府辦公室關于開展信息網(wǎng)絡信息安全等級保護安全檢查工作的通知》要求，我司組織相關人員對系統(tǒng)內(nèi)信息網(wǎng)絡安全等級保護工作認真細致的自檢自查，現(xiàn)將自查情況報告如下。4應對系統(tǒng)相關人員進行應急預案培訓（應急預案培訓記錄）4應定期對應急預案進行演練（應急預案演練記錄）50、應對應急預案定期進行審查并更新5應具有更新的應急預案記錄、應急預案審查記錄。是否出現(xiàn)過大規(guī)模的病毒事件，如何處理3應具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 應具有變更方案評審記錄和變更過程記錄文檔。3應有補丁測試記錄和系統(tǒng)補丁安裝操作記錄3應對系統(tǒng)管理員用戶進行分類（比如：劃分不同的管理角色，系統(tǒng)管理權限與安全審計權限分離等）3審計員應定期對系統(tǒng)審計日志進行分析（有定期對系統(tǒng)運行日志和審計數(shù)據(jù)的分析報告）3應對員工進行基本惡意代碼防范意識的教育，如告知應及時升級軟件版本（對員工的惡意代碼防范教育的相關培訓文檔）3應指定專人對惡意代碼進行檢測，并保存記錄。2對便攜式和移動式設備的網(wǎng)絡接入應進行限制管理應具有內(nèi)部網(wǎng)絡外聯(lián)的授權批準書，應具有網(wǎng)絡違規(guī)行為（如撥號上網(wǎng)等）的檢查手段和工具。2對設備的安全配置應遵循最小服務原則，應對配置文件進行備份（具有網(wǎng)絡設備配置數(shù)據(jù)的離線備份）2系統(tǒng)網(wǎng)絡的外聯(lián)種類（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級部門網(wǎng)絡等）應都得到授權與批準，由何人/何部門批準。對保密性較高的介質銷毀前是否有領導批準）（送修記錄、帶出記錄、銷毀記錄）1應對某些重要介質實行異地存儲，異地存儲環(huán)境是否與本地環(huán)境相同（防潮、防盜、防火、防磁，專用存儲空間）1介質上應具有分類的標識或標簽1應對各類設施、設備指定專人或專門部門進行定期維護。應具有機房基礎設施的維護記錄，空調(diào)、溫濕度控制等機房設施定期維護保養(yǎng)的記錄應指定部門和人員負責機房安全管理工作應對辦公環(huán)境保密性進行管理（工作人員離開座位確保終端計算機退出登錄狀態(tài)、桌面上沒有包含敏感信息的紙檔文件）應具有資產(chǎn)清單（覆蓋資產(chǎn)責任人、所屬級別、所處位置、所處部門等方面）應指定資產(chǎn)管理的責任部門或人員應依據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標識介質存放于何種環(huán)境中，應對存放環(huán)境實施專人管理（介質存放在安全的環(huán)境（防潮、防盜、防火、防磁，專用存儲空間））應具有介質使用管理記錄，應記錄介質歸檔和使用等情況（介質存放、使用管理記錄）對介質的物理傳輸過程應要求選擇可靠傳輸人員、嚴格介質的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)的控制1應對介質的使用情況進行登記管理，并定期盤點（介質歸檔和查詢的記錄、存檔介質定期盤點的記錄）1對送出維修或銷毀的介質如何管理，銷毀前應對數(shù)據(jù)進行凈化處理。2應指定部門負責系統(tǒng)交付工作應具有與產(chǎn)品供應商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構等相關安全服務商簽訂的協(xié)議（文檔中有保密范圍、安全責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容3選定的安全服務商應提供一定的技術培訓和服務3應與安全服務商簽訂的服務合同或安全責任合同書1采購產(chǎn)品前應預先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單1應具有產(chǎn)品選型測試結果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結果文檔）1應具有軟件設計相關文檔，專人保管軟件設計的相關文檔，應具有軟件使用指南或操作手冊1對程序資源庫的修改、更新、發(fā)布應進行授權和批準1應具有程序資源庫的修改、更新、發(fā)布文檔或記錄1軟件交付前應依據(jù)開發(fā)協(xié)議的技術指標對軟件功能和性能等進行驗收檢測1軟件安裝之前應檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業(yè)產(chǎn)品1應具有軟件設計的相關文檔和使用指南1應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發(fā)文檔應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制2應具有工程實施過程應按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案2在信息系統(tǒng)正式運行前，應委托第三方測試機構根據(jù)設計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試（第三方測試機構出示的系統(tǒng)安全性測試驗收報告）2應具有工程測試驗收方案（測試驗收方案與設計方案或合同要求內(nèi)容一致）2應具有測試驗收報告2應指定專門部門負責測試驗收工作（具有對系統(tǒng)測試驗收報告進行審定的意見）2根據(jù)交付清單對所交接的設備、文檔、軟件等進行清點（系統(tǒng)交付清單）2應具有系統(tǒng)交付時的技術培訓記錄2應具有系統(tǒng)建設文檔（如系統(tǒng)建設方案）、指導用戶進行系統(tǒng)運維的文檔（如服務器操作規(guī)程書）以及系統(tǒng)培訓手冊等文檔。應對各類人員（普通用戶、運維人員、單位領導等）進行安全教育、崗位技能和安全技術培訓。應及時終止離崗人員的所有訪問權限（離崗人員所有訪問權限終止的記錄）應及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備等（交還身份證件和設備等的登記記錄）人員離崗應辦理調(diào)離手續(xù)，是否要求關鍵崗位調(diào)離人員承諾相關保密義務后方可離開（具有按照離崗程序辦理調(diào)離手續(xù)的記錄，調(diào)離人員的簽字）對各個崗位人員應定期進行安全技能考核；具有安全技能考核記錄，考核內(nèi)容要求包含安全知識、安全技能等。審批程序：應與其它部門之間及內(nèi)部各部門管理人員定期進行溝通（信息安全領導小組或者安全管理委員會應定期召開會議）應組織內(nèi)部機構之間以及信息安全職能部門內(nèi)部的安全工作會議文件或會議記錄，定期：信息安全管理委員會或領導小組安全管理工作執(zhí)行情況的文件或工作記錄（如會議記錄/紀要，信息安全工作決策文檔等）1應與公安機關、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表）1應與供應商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機制。（應具有安全管理制度修訂記錄）三、安全管理機構應設立信息安全管理工作的職能部門應設立安全主管、安全管理各個方面的負責人應設立機房管理員、系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等重要崗位（分工明確，各司其職），數(shù)量情況（管理人員名單、崗位與人員對應關系表）安全管理員應是專職人員關鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。信息安全領導小組定期對安全管理制度體系的合理性和適用性進行審定，審定周期多長。第三篇：信息安全等級保護信息安全等級保護(二級)信息安全等級保護(二級)備注：其中黑色字體為信息安全等級保護第二級系統(tǒng)要求，藍色字體為第三級系統(tǒng)等保要求。第七十二條【軍隊】軍隊的網(wǎng)絡安全等級保護工作，按照軍隊的有關法規(guī)執(zhí)行。第七十條【法律競合處理】違反本條例規(guī)定，構成違反治安管理行為的，由公安機關依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。第六十六條【網(wǎng)絡安全服務責任】違反本條例第二十六條1保密管理和密碼管理規(guī)定的，由保密行政管理部門或者密碼管理部門按照各自職責分工責令改正，拒不改正的，給予警告，并通報向其上級主管部門，建議對其主管人員和其他直接責任人員依法給予處分。第六十四條【違反技術維護要求】網(wǎng)絡運營者違反本條例第二十九條規(guī)定，對第三級以上網(wǎng)絡實施境外遠程技術維護，未進行網(wǎng)絡安全評估、未采取風險管控措施、未記錄并留存技術維護日志的，由公安機關和相關行業(yè)主管部門依據(jù)各自職責責令改正，依照《中華人民共和國網(wǎng)絡安全法》第五十九條第一款的規(guī)定處罰。第七章 法律責任第六十三條【違反安全保護義務】網(wǎng)絡運營者不履行本條例第十六條，第十七條第一款，第十八條第一款、第二款，第二十條、第二十二條第一款，第二十四條，第二十五條，第二十八條第一款，第三十一條第一款，第三十二條第二款規(guī)定的網(wǎng)絡安全保護義務的，由公安機關責令改正，依照《中華人民共和國網(wǎng)絡安全法》第五十九條第一款的規(guī)定處罰。第六十一條【執(zhí)法協(xié)助】網(wǎng)絡運營者和技術支持單位應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供支持和協(xié)助。行業(yè)主管部門應當監(jiān)督管理本行業(yè)、本領域網(wǎng)絡運營者依照網(wǎng)絡安全等級保護制度和相關標準規(guī)范要求，落實網(wǎng)絡安全管理和技術保護措施，組織開展網(wǎng)絡安全防范、網(wǎng)絡安全事件應急處臵、重大活動網(wǎng)絡安全保護等工作。監(jiān)督檢查中發(fā)現(xiàn)存在安全隱患，或者違反密碼管理相關規(guī)定，或者不符合密碼相關標準規(guī)范要求的，按照國家密碼管理相關規(guī)定予以處理。第五十八條【密碼監(jiān)督管理】密碼管理部門負責對網(wǎng)絡安全等級保護工作中的密碼管理進行監(jiān)督管理，監(jiān)督檢查網(wǎng)絡運營者對網(wǎng)絡的密碼配備、使用、管理和密碼評估情況。第五十七條【保密監(jiān)督管理】保密行政管理部門負責對涉密網(wǎng)絡的安全保護工作進行監(jiān)督管理，負責對非涉密網(wǎng)絡的失泄密行為的監(jiān)管。網(wǎng)絡運營者應當配合、支持公安機關和有關部門開展事件調(diào)查和處置工作。第五十五條【事件調(diào)查】公安機關應當根據(jù)有關規(guī)定處置網(wǎng)絡安全事件，開展事件調(diào)查，認定事件責任，依法查處危害網(wǎng)絡安全的違法犯罪活動。第五十條【安全檢查】縣級以上公安機關對網(wǎng)絡運營者開展下列網(wǎng)絡安全工作情況進行監(jiān)督檢查：（一）日常網(wǎng)絡安全防范工作；（二）重大網(wǎng)絡安全風險隱患整改情況；（三）重大網(wǎng)絡安全事件應急處臵和恢復工作；（四）重大活動網(wǎng)絡安全保護工作落實情況；（五）其他網(wǎng)絡安全保護工作情況。縣級以上公安機關對同級行業(yè)主管部門依照國家法律法規(guī)規(guī)定和相關標準規(guī)范要求，組織督促本行業(yè)、本領域落實網(wǎng)絡安全等級保護制度，開展網(wǎng)絡安全防范、網(wǎng)絡安全事件應急處臵、重大活動網(wǎng)絡安全保護等工作情況，進行監(jiān)督、檢查、指導。任何單位和個人不得利用密碼從事危害國家安全、社會公共利益的活動，或者從事其他違法犯罪活動。密碼應用安全性評估結果應當報受理備案的公安機關和所在地設區(qū)市的密碼管理部門備案。第三級以上網(wǎng)絡運營者應在網(wǎng)絡規(guī)劃、建設和運行階段，按照密碼應用安全性評估管理辦法和相關標準，委托密碼應用安全性測評機構開展密碼應用安全性評估。第四十七條【非涉密網(wǎng)絡密碼保護】非涉密網(wǎng)絡應當按照國家密碼管理法律法規(guī)和標準的要求，使用密碼技術、產(chǎn)品和服務。4密碼產(chǎn)品應當經(jīng)過密碼管理部門批準，采用密碼技術的軟件系統(tǒng)、硬件設備等產(chǎn)品，應當通過密碼檢測。第四十一條【涉密網(wǎng)絡使用管理總體要求】涉密網(wǎng)絡運營者應當制定安全保密管理制度，組建相應管理機構，設臵安全保密管理人員，落實安全保密責任。絕密級網(wǎng)絡每年至少進行一次，機密級和秘密級網(wǎng)絡每兩年至少進行一次。第四十條【測評審查和風險評估】涉密網(wǎng)絡應當由國家保密行政管理部門設立或者授權的保密測評機構進行檢測評估，并經(jīng)設區(qū)的市級以上保密行政管理部門審查合格，方可投入使用。未經(jīng)允許或授權，網(wǎng)絡運營者不得收集與其提供的服務無關的數(shù)據(jù)和個人信息；不得違反法律、行政法規(guī)規(guī)定和雙方約112涉密網(wǎng)絡中使用的安全保密產(chǎn)品，應當通過國家保密行政管理部門設立的檢測機構檢測。行業(yè)主管部門應當建立健全本行業(yè)、本領域