信息安全检查计划

信息安全检查计划（精选10篇）

信息安全检查计划 第1篇

信息安全日常检查计划

一、检查内容：

1、防毒软件的病毒库是否及时更新升级；

2、系统补丁是否及时安装；

3、是否定期使用防毒软件查毒杀毒；

4、是否安装与工作无关软件；

5、是否定期更改电脑密码，防止非工作人员操作电脑；

6、是否正常使用计算机，防止计算机因不正常操作引起的故障。

二、检查计划；

1、定期及时更新防毒软件病毒库，确保防毒软件发挥防毒杀毒功效；

2、及时更新最新操作系统补丁，确保操作系统正常安全使用，防止因漏洞引起的系统安全问题；

3、利用防毒软件的自定义查毒杀毒功能，每天定时杀毒；

4、检查计算机是否安装游戏等跟工作无关软件，及时删除，不使用移动存储设备（U盘、移动硬盘等）；

5、每月更新电脑开机密码，不让非工作人员操作电脑；

6、正常开关机，保持计算机相关设备的干净整洁，定期清洁计算机外观，防止灰尘积累，水杯远离计算机，防止计算机进水。

三、检查目的：

通过信息安全日常检查计划，确保服务器与计算机能够正常稳定的工作，提高工作效率，保证患者的正常就医。

上海市浦东新区书院社区卫生服务中心

2014-1-1

信息安全检查计划 第2篇

通过将农户因使用机具产生的安全事故消除在萌芽状态，促使农户规范操作、平安生产，为农户驾驭现代化机械人机安全保驾护航，在巡检工作中，巡检人员做到有机具就检查，不论大小，绝不留死角，对有问题的机具，争取相应的安全处置，对陈旧老龄存在一定安全隐患的机具动员用户报废更新。到目前为止，巡检6个行政村126台机具，修复机具21台，事故隐患37台，特别严重的14台，为73位用户解答了机具难题及机具配件更换方法。在接下来的日子里，对其余8个行政村继续加大巡检力度，力争做到机具使用零事故。

为确保冬季农机安全生产，有效预防农机货运载人、违法作业，乌江镇人民政府配合甘州区农机局坚持“安全第一、预防为主”方针，多管齐下，不断加强对农机安全生产的监督管理。

一是加强农机

二是强化宣传，营造氛围。该局采取集中宣传与日常宣传相结合的方式，广泛深入、扎实有效地开展农机安全生产教育活动。先后出动宣传车80余次，印发明白纸5000余份、悬挂农机安全宣传条幅60余幅，积极营造农机安全生产氛围，使农机安全生产家喻户晓。

三是技术培训，提高技能。充分发挥市农机化学校的教学优势，采取集中与分散相结合、长班与短班相结合等培训方式，加强对拖拉机、联合收割机等农机驾驶、操作人员的理论和技能培训，进一步提高了他们的农机操作技术水平、增强了他们的安全生产意识。

四是落实《条例》，规范牌证核发。农机校进一步完善农机驾驶培训工作制度，严格按照农业部教学计划和教学大纲进行培训，保证培训课时，健全学员档案，培训结束要组织结业考试，并认真填写培训记录。农机监理站明确各岗人员职责和工作流程，实行责任倒查制和首问负责制。组织执法人员加强《条例》的学习与宣传，加深对内容的理解，严格按照农业部两个规范办理拖拉机登记和驾驶证申领业务。对不符合GB16151－2008《农业机械运行安全技术条件》和上级文件规定标准的，对未经检验或者检验不合格的拖拉机、联合收割机，特别是变形拖拉机，不准进行检验登记、办证上牌，不准办理年审合格手续；对未经培训、考试或者考试不合格的人员不准核发驾驶操作证，违者严肃追究责任。

五是联合执法，纠正违法。农机监理执法人员联合安监、公安等部门深入乡村、田间、场院等农机作业场所，开展农机安全检查。加强对上道路行驶拖拉机的动态监管，查纠无牌无证、酒后驾驶、拖拉机违法载人、拖拉机变型运输机超速超载等违法违章行为。以宣传教育为主，加强源头管理，对不听劝阻、拒不改正的严重农机违法行为要依法给予严肃处理。共出动监理车100余台次，检查拖拉机及驾驶员210人台次，排查隐患48起，纠正违规违章、无牌无证拖拉机36台，办理注册登记29台、补办年检57台，发放反光粘贴90余贴，农业机械安全生产和作业环境有效改善，事故隐患和薄弱环节得到全面治理。

信息安全检查计划 第3篇

1 信息安全概念

指保护信息及信息系统在信息存储、处理、传输过程中不被非法访问或修改, 且对合法用户不发生拒绝服务的相关理论、技术和规范。它涵盖信息、信息载体、信息环境和接触信息的人的安全。

2 信息安全保密体系

随着信息技术的发展和系统规模、功能的不断演进, 系统安全风险始终存在, 从物理安全、平台安全、网络安全、数据安全和管理安全等不同层面, 必须建立起保护、检测与响应的动态安全保障体系, 运用技术控制风险, 实现系统可用性、完整性、机密性和可审计性等安全保密服务。服务体系:主要包括技术检查、调查取证、风险管理、系统测评、应急响应和咨询培训等。技术体系:包括物理的、平台的、数据的、通信的和网络的安全保密技术5类。管理体系:涉及4方面技术、制度、资产、风险。

3 信息系统安全保密技术检查

3.1 物理安全

3.1.1 场所

遮障和伪装等防窃照措施, 监控有无盲区;传感器监控分布的合理性, 传感器或报警器有无损害;电话电磁泄漏检查;采用反窃听器材和技术检查窃听设备, 主要采用环境检查、场强测试、非线性结探测等手段实施。检测音响设备寄生振荡电磁泄漏辐射, 新购设备使用前检查一次, 以后每2~3年再查一次。

3.1.2 涉密载体

①存放的硬件设施和环境, 按照“三铁一器”要求保障场所安全, 配备保密文件柜、碎纸机等;②存放、使用和管理情况, 是否采用防盗、防复制或防复印技术措施;③销毁须严格按程序进行, 其技术手段和效果应符合相关技术标准和规定。

3.1.3 电磁信号

主要的性能测试指标包括辐射发射特性、传导发射、视频信息还原、方向性、声光报警、重复性测试等。

3.2 平台安全

3.2.1 物理硬件

查看计算机机房环境、系统 (尤指服务器系统) 、终端及外设、电缆等安全隐患, 计算机系统的管理:机房安全等级;机房周围——环境的安全性;地质可靠性;场地抗电磁干扰性;强振动源和强噪声源;建筑物的选择等;设备技术检测——应确保设备在测试环境下经72h以上单机运行和联机48h应用系统兼容性运行测试, 并顺利通过试运行阶段。

3.2.2 系统软件

查看安全技术措施有效。①主机安全扫描和漏洞弥补——检测主机系统存在的漏洞、打补丁;安装防病毒工具;判断主机是否存在安全隐患。②访问控制策略检查——为防止对计算机信息系统的未经授权的访问, 需要建立一套控制对信息系统和服务的访问权限分配程序, 实现对系统的访问控制。

3.3 数据安全

3.3.1 认证安全

通过消息认证、数字签名、数据校验等技术手段, 检测数据的完整性、保密性和可用性。

3.3.2 密钥安全

密钥管理的原则, 通常有:最小特权原则、特别分散原则、最小设备原则、不影响系统正常工作原则。密钥安全性方面:存储密钥介质严加保护并以加密形式存储;其存储方式不能被非授权人员获得;密钥分配在通信网内通过机要传递渠道或采用加密算法;密钥更换过程有正确性检查机制, 根据密钥种类、系统要求确定其更换周期。

3.3.3 数据备份与灾难恢复

策略和计划要充分考虑其完备性和机密性。设备是否足够先进, 有无泄密的可能。操作流程有无泄密环节, 操作人员有无泄密可能。

3.3.4 通信安全

通过技术手段对涉密通信设备、设施、网络、系统等技术对象和目标进行检测, 及时发现问题和漏洞, 做到情况清楚、弱点明确, 为采取技术防护措施打下良好基础。

防技术泄密:检查通信网络传输涉密信息状况, 确保通信传输线路符合标准 (线路噪声不能超标) ;铺设通信线路应采用屏蔽电缆并有露天保护或埋于地下, 以降低载波辐射;远离强电线路或强电磁场发射源, 减少干扰引起的数据错误。

防技术窃密:包括主动式和被动式。主动式可侦知窃密装置和窃密技术。被动式能接收或感知窃密手段的威胁, 但不一定能侦知窃密源。

3.5 网络安全

网络安全扫描:模拟网络攻击手段对涉密网络进行攻击, 以主机接收数据包的回应作为判断标准, 对网络上各种网络设备与主机系统等开放的端口、服务以及各种应用程序的弱点, 在对攻防效果进行评估和分析的基础上提出需要增强的防范措施等。

采用网络监控工具:分析网络流量, 捕捉和分析网络数据, 监控是否涉密信息泄露。工具分两类:①基于软件实现的网络分析监控工具, 依赖网络操作系统, 提供数据捕获、分析、发现节点、流量转向、记录、报警和利用率预测等功能;②基于硬件实现的网络监视器和网络分析仪, 实现网络监控软件的全部功能, 且不依赖网络操作系统, 具有可移动性, 较网络监视软件更有优势。

4 信息系统安全风险管理

风险是一种潜在的、尚未发生但可能发生的安全事件。安全的信息系统, 是指在实施网络评估并做出风险控制后, 仍然存在的残余风险可被接受的信息系统。风险管理体系:包括风险评估和风险控制, 评估是信息安全风险管理的起点, 控制是落脚点。涉密信息系统评估方法:从系统拥有者角度分为自我评估、委托评估和检查评估3种。涉密信息系统评估方法:从系统拥有者角度分为自我评估、委托评估和检查评估3种。

自我评估是指定本机构信息系统安全管理人员, 在信息系统运行维护中使用相应的安全风险评估工具, 按规范进行。优点是可方便地进行经常性的评估, 及时采取对策降低安全风险的一种“自查自纠”方式。一般不会因引入评估带来新的风险, 缺点是专业性和客观性稍差。

委托评估即委托具有相应资质的评估单位, 按规范独立进行。优点是专业性、公证性和客观性较强, 需注意对评估可能引入的新风险, 要加强控制。“委托评估”从保密管理的要求来看不适于部队。

检查评估是信息系统拥有者的上级机关, 国家或军队赋予信息安全管理职能机关授权的评估单位根据一定的管理权限和程序, 按规范独立进行的评估活动。优点是专业性、公证性和客观性较强, 一般不会因引入评估带来新的风险。

自我评估是涉密信息系统拥有者进行的日常评估, 因此, 在国家和军队保密局指导和相关保密标准的指引下, 军队各部门各单位对所拥有的涉密信息系统进行自我评估应成为安全风险评估的主要方式。

检查评估是国家和军队保密局授权的, 专门评估机构“国家和军队保密局涉密信息系统安全保密测评中心”实施。可在已建涉密信息系统安全改进方案设计前进行, 作为方案设计的依据;可在已建涉密信息系统安全审批运行前进行, 作为保密局审批的依据;也可在已建涉密信息系统开通运行一段时间后进行, 作为控制新的安全风险的依据。

摘要：解决信息安全保密的问题, 必须基于信息技术的特点, 实施“工程化”的可靠管理和“过程化”的反馈控制。具体表现在:建立信息安全保密体系框架、对信息安全保密实施风险管理、增强对信息系统的安全控制。

关键词：技术检查要点,风险管理,评估,系统测评

参考文献

[1]王宇, 阎慧.信息安全保密技术[M].北京:国防工业出版社, 2010.

[2]周娜嘉.信息安全保密技术精讲 (第1版) [M].北京:金城出版社, 2006.

[3]中国人民解放军保密委员会办公室.计算机网络安全保密知识问答 (第1版) [M].金城出版社, 2002.

[4]虞金龙.保密技术检查参考 (第1版) [M].北京:金城出版社, 2001.

信息安全检查计划 第4篇

关键词：科技计划项目档案信息安全防护措施

科技计划项目是以科学技术发展规划纲要为指导，以提高科技创新能力、解决经济与社会发展中的关键性科技问题为重点，由国家科技计划安排，在一定期限内进行的科学技术研究开发项目。科技计划项目申请立项、审核、立项研究、研究过程以及验收活动等一系列过程中形成的必须归档的文件材料就是科技计划项目档案。随着我国科学技术的发展进步，国家对科技计划项目管理也日趋完善，据统计，2013年度福建省省级以上科技计划项目共计2922项，安排年度经费17亿多元。如何将科技计划项目研究成果转化为现实生产力，并为社会所用，进行科技计划项目档案信息化建设是必然选择。

一、科技计划项目档案信息化建设中的档案信息安全问题

根据国家对信息安全的定义：信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭受破坏、更改、泄露，系统连续正常地运行。在科技计划项目档案信息化实施的过程中，同样会遇到信息安全问题，应引起重视并认真研究解决。

（一）档案管理软件系统存在信息安全问题

目前，福建省科技档案馆使用的档案管理软件是科易档案管理软件，该系统是一套综合档案管理系统，遵循国家档案局制定的规范标准，并结合科技档案馆实际需求定制的。它可以实现全部档案目录数据的规范化管理和查询利用，其中文书档案实现了全文扫描件和OA系统对接的电子档案全文管理。同时也应看到，科易档案管理软件系统采用VB技术，容易遭受非法入侵者的攻击，很有可能导致档案信息资料被泄露和被篡改，这对档案信息管理的安全性造成了威胁。此外，使用该系统时，还常常会遇到突然死机、突然自动跳出系统的情况。因此，全面实现科技计划项目档案信息化仍需进行一系列升级改造，并强化档案信息安全功能。

（二）安全管理制度不完善带来信息安全问题

目前我国对文书档案进行管理的法规、标准、规范较为完备，而关于科技计划项目档案的法规、标准、规范则较少。例如，1980年，由国家经委、建委、科委、档案局四家联合制定、颁发的《科学技术档案工作条例》，至今未修订过；1992年国家档案局颁布的《科学技术研究课题档案管理规范》，也多年未修改过。

（三）开放的网络环境存在信息安全问题

科技计划项目档案信息化最后要通过档案系统与科技计划项目管理系统的无缝对接、电子文档的迁移、接收来实现的。福建省科技计划项目管理系统面向全省所辖范围内的政府、企事业单位的管理人员、科研人员，需要依靠互联网（外网）来进行彼此的建构。在互联网环境下，信息安全具有诸多不确定性，黑客的攻击和病毒的入侵都会使档案信息安全受到影响。

（四）不了解网络技术而人为忽视信息安全问题

电子档案与传统档案相比具有较大差异，档案信息化要求档案管理人员不仅要具备管理知识，还要掌握网络、电子信息技术及信息安全防护知识。目前，很多档案人员虽然懂得档案管理，但是对用计算机技术去处理信息安全问题知之甚少，甚至对在网络环境中档案信息存在哪些安全问题也不清楚，哪些环节会产生档案信息安全问题也不清楚，更不清楚如何解决安全问题。此外，部分档案人员安全意识淡薄，在相关安全问题上采取放任态度，也会使档案信息安全出现问题。

二、科技计划项目档案信息化建设中档案信息安全的有效防护措施

（一）系统方面：对档案管理软件系统进行升级改造

首先，针对科易档案管理软件系统在系统结构、数据存储、提供利用等方面的问题逐项进行研究，进行档案管理软件系统升级，升级后的系统设计应基于J2EE平台开发的B/S结构，力求系统功能齐全，可共享数据，有较高的数据独立性和易拓展性，操作方便，保证数据输入与处理的准确性和安全性。这样既符合科技计划项目管理的规律，又满足档案管理的要求。其次，对于福建省科技计划项目管理系统，除了要融合J2EE技术与数据库技术，实现科技项目网上申报、推荐、受理、评审，任务书签订，执行情况跟踪和验收等功能，特别是在局域网实现立项、经费计划、经费结转等功能以外，还应符合电子文件收集、迁移、归档的技术要求。如通过Web Service技术，在科技计划项目系统和档案管理系统中建立对接通道，实现数据的交互对接；科技计划项目管理系统中电子文件进入中间库（预归档库）之前要先进行统一的格式转换；对同一项目的科技计划项目应归档电子文件自动封装成XML封装包，将Web Service接收到的已通过检验的XML封装包自动解包迁入至档案管理系统中。除了管理系统软件的升级改造以外，档案信息安全也离不开系统硬件设备的安全。例如网络设备的安全，包括存储设备的安全、服务器的安全、操作设备的安全等。

（二）制度方面：逐步建立健全信息化档案信息安全的法律法规体系及管理制度

我国科技计划项目档案信息化建设起步较晚，虽然已经制定公布了一批有关计算机网络安全方面的相关法律，如《计算机安全保护条例》、《计算机信息网络国际联网保密管理规定》等，但尚无有关科技计划项目档案信息安全方面的专门法规。因此，要逐步建立健全信息化档案信息安全的法律法规体系。目前，据笔者所知部分省市结合相关研究和初步实践，开始制定或起草了适应科技计划项目档案管理实际需求的档案信息安全法规标准，例如福建省制定了《福建省科技厅科技计划项目档案整理办法》、《福建省科技厅科技计划项目电子文件元数据规范》和《福建省科技厅科技计划项目电子文件归档与电子档案管理办法》等。同时，还要建立健全计算机和网络系统的各项规章制度。计算机及网络硬件设施是保证数字档案信息安全存储和传递的物质基础，要制定包括网络线路、通讯设备、服务器、机房等支持档案管理机构内部档案信息管理系统运行的防火防盗制度和定期维护制度，并落实责任人，加强对口令（密码）、授权（权限）的管理。此外还要建立和完善定期备份和异质备份、异地备份管理制度。

（三）技术方面：运用先进技术，保障数字档案的信息安全

一是访问控制技术。访问控制是为了防止未授权的访问而对访问者的身份进行识别，控制网络以及其他资源，准许授权者浏览访问信息资源而采取的技术。访问控制技术是局域网的第一道安全防线，就像一堵墙把局域网保护在相对安全的区域内，通过对来访的请求进行控制，确认谁可以进入和谁可以走出这个受保护的环境。二是防火墙技术。用于增强局域网（内网）和互联网（外网）之间的访问控制，保护内部网络免受非法用户侵入、过滤不良信息、防止信息资源的未授权访问。防火墙把安全防范集中在内外网络连接的阻塞点上，有效管理进出网络的访问行为。三是信息加密技术。信息加密技术通过信息的变换或编码将机密敏感信息变换为难以读懂的乱码型信息，以达到保护数据安全的目的。其运作原理是对网络上传输的档案信息进行加密解密、数字签名和签名验证，确保网上传递信息的机密性与完整性。四是数字水印技术。数字水印（Digital Watermarking）技术是将一些标识信息（数字水印）直接嵌入数字载体当中（包括多媒体、文档、软件等）或是间接表示（修改特定区域的结构），且不影响原载体的使用价值，也不容易被泄露和再次修改，但可以被生产方识别和辨认。通过这些隐藏在载体中的信息，达到确认内容传递隐秘信息或者判断载体是否被篡改等目的。五是复制、打印控制技术。防止电子文件的复制粘贴、打印下载等电子文件的扩散。未经授权的文件，无论创建者还是使用者都不能打印，只有经过申请，并得到管理员审核批准后，才能打印所指定的文件。

（四）人员方面：促进档案人员对网络等相关技术的了解，加强档案信息安全意识

一方面要充实档案队伍的新生力量，将既懂得档案业务又具有计算机专业知识的人员充实到档案队伍中来，适应档案管理的需要；另一方面对现有档案人员不仅要求其具有较高的档案专业知识和能力素质，还应加大培训学习力度，使其具有较广博的现代化科学技术知识，特别是要对科技计划项目档案管理系统的相关技术知识有较为深入的了解，进而加强信息安全意识，这样才会能更好地预防档案信息安全问题的出现。

参考文献：

[1]洪源清，朱文等.福建省科技计划项目电子文件归档管理研究，课题研究报告[R]. 2013.

[2]王丽丽.国家科技计划项目档案管理现状分析及对策[J].中国市场，2015（3）：74.

信息安全检查工作 第5篇

四川省通信管理局确定了三个重点方面的工作检查，一是信息安全责任人和信息安全管理机构落实等情况，重点检查基础电信企业信息安全负责人和相关信息安全责任落实情况，专职信息安全管理部门设置和相关信息安全责任落实情况；

二是信息安全管理制度建设情况，重点检查基础电信企业新业务信息安全评估制度、信息安全事件应急处置制度、信息安全事件报告制度等落实情况，工作总结《信息安全检查工作》。

三是WAp 网关过滤系统等技术手段建设情况，重点检查WAp 网关过滤系统试点范围、建设进展、使用效果、配套制度等情况；企业IDC 接入资源监测、用户上网日志留存等技术手段建设情况。

此次专项检查为期1个月，将采取企业自查和四川省通信管理局抽查相结合的方式，对检查中发现的好的经验作法将进行推广，对存在问题将督促整改。

信息安全检查总结报告 第6篇

一、信息安全检查工作组织开展状况

按照《政府部门信息安全检查操作指南》规定，我局成立了由王军副局长担任组长的信息安全检查工作组，制发了《阿拉善盟安全生产监督管理局信息安全检查工作方案》，召开专题会议对信息安全检查工作进行安排部署，从8月1日起在单位内部开展了为期30天的信息安全自查和基本信息梳理等相关工作。

二、20信息安全主要工作状况

安全管理方面，制定了《阿拉善盟安全生产监督管理局信息安全管理制度》、《存储介质管理制度》、《人员离职离岗安全规定》等制度，重要岗位人员签订了安全保密协议。

技术防护方面，网站服务器及计算机设置防火墙，拒绝外来恶意攻击，保障网络正常运行，安装了正牌的防病毒软件，对计算机病毒、有害电子邮件采取有效防范，根据系统服务需求，按需开放端口，遵循最小服务配置原则。一旦发生网络信息安全事故应立即报告相关方面并及时进行协调处理。

应急处理方面，加强了网络管理人员应急处理相关培训教育，对突发网络信息安全事故可快速安全地处理。

教育培训方面，对全体干部职工开展了信息安全教育培训。

三、检查发现的主要问题和面临的威胁分析

1。发现的主要问题和薄弱环节

自查发现个别人员计算机安全意识不强。在以后的工作中我们将继续加强对计算机安全意识教育和防范技能训练让干部职工充分认识到计算机泄密后的严重性与可怕性。

2.面临的安全威胁与风险

无。

3.整体安全状况的基本决定

网络安全总体状况良好，未发生重大信息安全事故。

四、改善措施与整改效果

1。改善措施

为保证网络安全有效地运行，减少病毒侵入，我局就网络安全及系统安全的有关知识进行了培训。期间，大家对实际工作中遇到的计算机方面的有关问题进行了详细的咨询，并得到了满意的答复。

2。整改效果

经过培训教育，全体干部职工对网络信息安全有了更深入的了解，并在工作中时刻注意维护信息安全。

五、关于加强信息安全工作的意见和推荐

一是加强信息安全研究与信息安全教育，提高软硬件安全防范水平防患意识，确保信息安全。

信息安全检查总结报告 第7篇

人民银行：

按照中国人民银行办公室《关于XXXX通知》（XXXX〔2013〕1号）的要求，我行高度重视，积极开展自查工作，现将有关情况报告如下：

一、信息安全检查工作组织开展情况

为切实做好信息安全检查工作，我行成立了以主管信息科技的行领导任组长，综合部总经理、信息技术条线技术骨干为成员的分行信息安全自查工作小组。工作小组多次召开信息安全检查专题会议，认真学习和领会本次检查的要求，制定了符合分行实际情况的自查计划，并对照人民银行制定的《信息安全检查操作指南》的要求，对我行的系统运行、维护和信息安全等进行了逐条对比和梳理，做到检查不留死角，有序推进自查和风险整改工作。

二、信息安全主要工作情况

1、组织和制度建设方面

首先，为强化全行信息安全管理工作，分行成立了以行领导为组长，各部门负责人为成员的信息安全工作领导小组，组织、协调和指导全行信息安全管理工作，各部门各负其责，具体承担与本部门相关的信息安全管理任务。其次是加强制度的完善和落实，我行按照本次检查的要求，结合内外部审计发现问题的整改，梳理修订了各项规章制度，同时，认真贯彻执行各项信息科技风险管理制度，重点对网络基础设施进行了加固改造，加强了互联网使用和防止敏感信息泄漏的安全管理工作。

2、人员安全管理

健全员工信息安全责任制度，员工对使用的行内计算机设备和应用系统涉及的敏感信息负责；加强员工离岗离职交接时的安全控制，员工离职时，必须终止系统访问权限；外部人员进入计算机机房及设备间等重要区域时，须先通过审批，在行内人员陪同下方可进入，对其活动有相应的记录。

3、网络系统安全方面

按照本次检查要求，重点检查了我行核心网络系统，涉及核心网络系统设备有路由器6台，交换机2台，防火墙6台。我行网络系统实施模块化、分区化的管理，核心网络的安全性和稳定性有较高的保证。根据业务性质和类型，对vlan 和 ip地址进行了分段划分。广域网接入采用了两家通讯运营商提供的双线路，通过双线路、双路由设备冗余有效保证了网络传输的可用性。

从自查总体情况来看，我行网络系统安全运营机制较完善，日常操作和管理较规范；我行骨干网络、外联等网络系统硬件工作正常、网络运行平稳，网络带宽、设备性能满足生产运行需求；我行网络系统模块化、分区化设计的架构较为科学合理，具备较高的安全性；重要网络设备及骨干通信线路均实现了热备，冗余度、可靠性较高。

4、系统安全管理方面

我行所有生产系统均部署于总行，分行不存在系统安全管理。

三、自查发现的主要问题和面临的威胁分析 1.发现的主要问题及改进措施

运营商系统和维护管理风险，市政通信管线安全风险等影响通信安全的风险，具有外部不可控性，风险因素难以完全避免。我行位于XXXX，核心机房托管于XXXX中心机房内，外部通信接入环境存在着一定的不稳定因素。

改进措施：我行针对上述情况，将加强与建设银行、运营商、大楼物业管理等部门充分合作，如果建设银行或运营商有维护和变更，我行将提前介入，做好应急准备，保证网络系统可靠运行。

2.面临的安全威胁与风险

随着网络系统在我行的广泛应用，银行业务得到较好发展，但是安全风险也更加严重和复杂，单个安全事件可能会引起多个应用系统故障甚至瘫痪；互联网的使用提高了信息的交流和使用效率，但是如果员工的信息安全意识淡薄，就容易发生信息泄漏。我行将认真贯彻监管部门的信息安全管理规定，加强信息安全培训工作，提高全行信息安全管理水平。

四、后续工作计划

通过本次检查，进一步促进了我行信息安全的基础管理工作，我行下一步将从以下几个方面开展信息安全工作：

1、结合本次检查，积极整改发现的问题，更加有效地控制风险；同时进一步加大对整改情况的跟踪核查力度，强化对敏感信息、病毒防范与桌面安全的管理及整改责任的落实。

2、认真分析和研究问题产生的根源，从制度、流程、系统等方面采取针对性的措施。对个别确实存在客观原因不能完全整改的问题，应从实际出发，在风险可控的前提下调整风险应对措施。

信息安全检查计划 第8篇

为加强人民银行信息安全检查管理, 实现检查工作的规范化、常态化, 人民银行总行在2010年发布了《中国人民银行信息安全检查管理办法 (试行) 》, 明确了检查的目的、组织形式、对象范围等内容。为进一步规范人民银行信息安全检查工作, 提高信息安全管理水平, 人民银行总行修订并发布了《中国人民银行信息安全综合规范 (2013版) 》, 给出了基层央行开展信息安全检查工作的标准。

经过多年的实践, 基层央行已经形成了一套较完善的信息安全检查工作机制和方法。省级单位和地市一级单位每半年开展一次信息安全自查, 形成自查报告并报上一级单位科技部门;省级单位科技处每年组织进行至少覆盖40%地市级单位的信息安全现场检查, 形成检查报告通报全辖所有单位。

基层央行对信息安全检查工作一向都非常重视。省级单位科技处在做好信息安全自查的同时, 克服人员紧张等困难, 想方设法组织开展对地市级单位的信息安全检查工作。一般情况下, 省级单位科技处会成立由处领导担任组长, 科技处或地市科技部门的业务骨干作为成员的检查组。检查前, 省级单位科技处会组织检查组成员进行集中培训, 内容包括信息技术专业知识、检查技巧和检查工具的使用等。检查或为全面检查, 即对信息安全管理与技术全部内容的检查;或为专项检查, 即对信息安全管理与技术特定内容的检查。现场检查过程中, 检查组人员会调阅被检查单位的管理制度、各类审批表和记录表等资料, 也会现场上机查看设备和软件。检查结束后, 检查组编写意见书, 反馈检查中发现的问题和参考依据, 并提出整改要求和建议。信息安全检查已经成为基层央行排查安全隐患、发现运维管理漏洞的重要手段, 也是上级行掌握下级行信息安全管理水平、贯彻落实上级行要求的主要抓手。

(一) 对信息安全检查的认识不足

基层央行普遍较重视信息安全检查本身, 忽视了信息安全检查的根本目的是以查促改。检查单位希望在检查中发现更多的问题, 而被检查单位希望少出一些问题。对于如何落实整改检查中出现的问题思考得相对少, 没能将科技管理工作做细做实。

(二) 未形成检查结果分析报告和整改计划上报机制

检查单位编写的信息安全报告会反映检查中发现的问题。这些问题会按照检查的项目大类分别列出, 例如, 机房环境、网络安全、应用安全、保密技术管理、信息安全管理、安全运维等。被检查单位往往通过检查报告对检查情况形成一个感性的认识, 未能对检查结果形成定性或定量的分析报告, 也未能列出整改时间表上报上级单位科技部门或作为自身今后工作的指导方向。

(三) 未形成整改结果的反馈机制

被检查单位确认检查意见书后, 未能将部分检查结果落实情况整理成书面报告反馈上级行科技部门。这样一来, 上级行只能口头催促下级行科技部门整改落实, 具体哪些问题已经整改, 哪些问题只部分整改, 哪些问题还需要技术或设备支持才能整改, 没有文字材料的记录, 时间长了也就不了了之, 不利于信息安全的可持续化管理。

(一) 提高思想认识, 加强对信息安全检查整改落实的重视程度

基层央行科技人员应提高思想认识, 充分意识到落实整改在信息安全检查中的关键作用, 形成检查前做好准备, 检查中发现问题, 检查后深入分析、研究对策、落实整改的信息安全检查方式, 并通过制度建设规范整改, 真正达到通过信息安全检查, 提升基层央行科技管理水平的目的。

(二) 建立整改计划反馈机制

信息安全检查结束一周内, 建议被检查单位认真研读检查单位的意见书, 将部分符合和不符合项目进行分类, 并附计划完成时间表。然后, 根据分析的情况将其整理成书面材料上报上级行科技部门。

(三) 建立整改结果反馈机制

对照整改计划, 在信息安全检查进行的年度内, 建议被检查单位提交上级行整改结果报告。建议报告中列出检查中发现的部分符合和不符合项目, 然后再列出整改结果, 必要时, 可将整改后的情况拍摄成照片作为附件, 增强整改结果的真实性, 并以此督促被检查单位。同时, 检查单位可以存档被检查单位往年的整改报告, 将其整改结果作为下次信息安全检查的参考, 重点检查执行情况, 达到以查促改的目的。

参考文献

[1]周国勇, 陈磊.信息系统安全检查工作体系设计研究[J].信息网络安全, 2012 (8) :167-169.

孕前检查:“宝贝计划”第一步 第9篇

2005年3月3日,对杨文一家来说,是个灰色的日子。就在这一天,不到1岁的杨文被确诊患有重型地中海贫血。

“大夫说,要给孩子输血,输去除白细胞的红细胞悬液。还要做去铁治疗。如果条件允许,要做造血干细胞移植手术,这样才能救孩子的命。大夫还说,不做手术,最多活到5岁。”杨文的母亲一脸的茫然。

紧接着,全家进入了砸锅卖铁救治孩子的过程……

这就是网络上备受关注的“新疆男孩杨文”及其艰辛的救治过程。接受记者采访时,李教授说,其实像杨文这样的例子还有很多,我国是出生缺陷的高发国家之一,每年有80万～120万名缺陷儿出生,平均每30秒就有1名缺陷儿出生。一份关于我国出生缺陷监测和残疾儿调查显示,目前我国累计有近3000万个家庭曾生育过智障、身体结构缺陷等先天缺陷儿,约占全国家庭总数的10%。

而这其中的大部分,是完全可以避免的。说到这里,李教授顿了一下,脸上显露出一阵伤感和不甘。霎时间,记者深切地感受到一位医者的悲悯情怀。

三个“必须”理念

片刻沉默之后,李教授接着说,传统的出生缺陷预防模式往往侧重于以产前筛查和选择性终止妊娠为主要手段,而忽视了孕前夫妻身体状况不佳也有造成出生缺陷的可能。

因此,和世界卫生组织提出的出生缺陷“三级预防”策略相对应,李教授提出了 “孕前、孕期、孕后”的三个“必须”理念,即要孕育健康宝宝,必须要有正规的孕前检查做基础;要对下一代负责,必须做好孕期检查;要母子安康,孕后必须做好新生儿筛查及对母亲孕期相关并发症的观察,特别是高龄(35岁以上)孕妇,产后应做进一步的“把关”筛查。

从中我们不难发现,孕前检查是预防出生缺陷的关键一环。“万丈高楼平地起”,没有夯实的根基,一切都是空谈。

孕前检查不同于普通体检

有些育龄者认为,自己做过体检,孕前检查就是重复,完全没有必要,是不是这样呢?

李教授告诉记者,孕前检查和体检虽然有部分相同的检查项目,但它们却有明显不同。体检主要是针对常规人群的普通检查,即使当时体检正常,也无法保证怀孕前检测结果不出现变化。而孕前检查包括孕前保健咨询、保健状况评估和健康指导,其针对性是体检所不可比的。

通过孕前检查,能发现可能影响健康妊娠的不利因素,通过必要的治疗和干预,消除不利因素,将妇女的身心调整到最佳状态,最大程度保障母儿健康。

孕前检查包括测基础体重、血压、血常规、尿常规、血型、甲状腺功能、心电图、心脏功能检查、梅毒、艾滋病等内容。李教授说,孕前检查的内容不是一成不变的,由于存在个体差异,具体的检查项目应当咨询产科专家。

高危人群重点检查

45岁的吴君如被拍到大着肚子带4岁女儿上街,现年42岁的邱淑贞也被爆于8月秘密生下第三个女儿……其实不只是演艺圈,随着社会节奏的加快,现在高龄产妇逐渐增多,而她们,也是产科医生眼里出生缺陷的高危人群。

李教授指出,孕前所有夫妻都应该主动接受检查,下列高危人群尤其如此——

◎ 女方年龄≥35岁。

◎ 夫妇双方或一方有遗传病、家族遗传病、慢性疾病、传染病史。

◎ 有不良产史,如习惯性流产、死胎、死产或曾产下智力低下儿。

◎ 未接种过乙肝疫苗的夫妇。

◎ 夫妇双方工作生活中接触不良因素,如接触放射性物质、化学农药、有害环境等。

◎ 有不良生活习惯,如长期吸烟、酗酒、药物成瘾、偏食等。

◎ 家庭饲养宠物。

李教授解释道,年龄对怀孕的影响是不容忽视的。调查显示,孕妇年龄在20~24岁,孩子为先天愚型的几率为1/1400,但当孕妇年龄提高到40~45岁时,先天愚型的患病率可提高到1/25。

23～29岁是生育的最佳年龄段,此时女性发育完全成熟,卵子质量高,怀孕生育并发症少,分娩危险小,胎儿生长发育好,早产、畸形儿和痴呆儿的发生率最低。若过早怀孕生育,母亲生殖器官发育不完善,会带来产伤的增加。加之胎儿与发育中的母亲争夺营养,母亲年幼无育儿经验,对母儿的成长均不利。

男性没有“豁免权”

通常认为,30～35岁的男人所生育的后代是最优秀的。这是因为男性精子质量在30岁时达高峰,然后能持续5年的高质量。

然而,即使男性处于30～35岁的黄金年龄段,也不意味着他们可以在孕前检查时享受“豁免权”。丹麦学者分析发现,在过去50年间,男性精子数目降低了40%以上。我国学者的研究显示,男性精液质量正以每年1%的速度下降。而且,工业化程度越高的地区,精子质量下降速度越快。为加大各国对男性健康的关注力度,世界卫生组织将每年的10月28日确定为“世界男性健康日”。

李教授介绍道,男性孕检项目包括血尿常规、精液检查等,其中精液检查最能体现男性目前的生育状态,也是最主要的检查项目。

孕前3个月开始检查

通过孕前检查,可以避免出现包括先天愚型、地中海贫血、感染性疾病等可能出现的大部分缺陷。而最佳的孕前检查时间,应该是在准备怀孕的前3个月,这时,准备要宝宝的父母们就应当找妇产科医生咨询,做到有计划受孕。

李教授指出,计划受孕前要排除遗传和环境方面的不利因素,为新生命创造优良的小环境。李教授建议至少应做好以下防范措施:

◎ 合理营养,培养良好的饮食习惯,准备怀孕的前3个月,女性应每日补充叶酸400毫克。戒烟戒酒。

◎ 远离宠物,预防弓形虫病。

◎ 一定要在停避孕药和取避孕环6个月后再受孕,以彻底消除药物影响和调整子宫的内环境,在此期间需采用避孕套等方法避孕。

◎ 准备怀孕期间,发现类似感冒迹象,用药前一定要咨询专业医生,以免带来不利影响。

生个健康聪明的孩子,是每个家庭共同的期盼。采访最后,李教授指出,不止是国家、政府,每一对准备孕育宝宝的夫妻都应该高度重视婚检和孕前检查,这对杜绝出生缺陷、提高人口素质是非常必要的。未雨绸缪远胜亡羊补牢,只要提前预防,就可以最大限度避免不幸发生。

李力

××单位信息安全检查报告 第10篇

(管理信息系统)

××单位 二零一一年九月 概述

根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》（信安通［2006］15号）、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》（办信息[2006]48号）以及集团公司和省公司公司的文件、检查方案要求,进行××单位的信息安全检查工作。目标

通过进行本局信息安全大检查，及时发现和查找基础网络和重要信息系统存在的安全隐患，边检查边整改，确保基础网络和重要信息系统安全、可靠运行,掌握当前信息系统面临的主要安全问题，并在对检查结果进行分析判断的基础上提出整改措施。检查内容

3.1 重要资产识别检查

本局资产的统计资产清单(见附表1)，通过对重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别，将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行汇总，构成重要资产清单(见附表2)。

3.2 安全事件检查

对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录安全事件清单列表(见附表3)。

3.3 安全缺陷检查

根据下发的安全缺陷检查列表进行安全检查，检查结果见附表4。综合分析

根据对重要资产、安全事件、安全缺陷检查情况，对信息安全状况进行统计分析和判断，明确各种安全事件产生的原因，提出针对性的整改措施。

4.1 重要资产识别分析

根据重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别，将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总，构成重要资产有：二台城域网核心交换机（华为S8512交换机），二台局域网核心交换机（Cisco 6505交换机），Cisco 2600路由器，Cisco PIX525防火墙，八台数据库服务器（OA系统2台、营销系统2台、大客户系统2台、客户服务系统1台、财务系统1台）。

4.2 安全事件分析

2006年近半年没有大的信息安全事件发生，主要是感染病毒，使个人电脑运行速度变慢,影响客户端正常使用。

从检查情况来看，计算机病毒是本局目前信息网络安全面临的首要威胁。应着重加强以下几方面工作：

1、加强信息网络安全教育和培训，增强用户安全防范意识。组织信息安全管理员不同层次的安全培训，开展广泛的、经常性的信息网络安全知识和相关法律法规知识的宣传教育。

2、开展面信息安全预警通报工作。建立信息网络安全预警和通报平台，及时向用户信息安全预警信息。

3、加快推进信息安全等级保护工作，建立健全信息安全防范体系。

4.3 安全缺陷检查分析

4.3.1 规章制度与组织管理分析

规章制度与组织管理总分100分，自评分为34分，得分率34%。得分主要是组织机构、岗位职责、病毒管理，账号与口令管理等方面，但都还需完善；运行管理方面没有制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度、没有实行工作票制度，共分50分，检查得分4分，只占8%。

需要整改有如下几方面：

1、完善信息安全组织机构，成立信息安全工作机构。

2、明确专兼职管理人员配置，根据实际情况制定专责的工作职责与工作范围，岗位设置主、副岗备用制度。

3、完善病毒预警和报告机制，制定计算机病毒防治管理制度。

4、制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、运行值班制度，实行工作票制度，记录机房进出情况。

5、制订账号与口令管理制度，完善普通用户账户与管理员账户密码、口令长度要求；对账户密码、口令变更作相关记录；及时对系统用户身份发生变化后对其账户进行变更或注销。

4.3.2 关键设备和服务采购情况分析

4.3.3 网络与系统安全分析

网络与系统安全总分100分，自评分为73分，得分率73%。网络架构、网络设备、IP管理、主机备份得分较高；网络分区、补丁管理、系统安全配置得分低。需要整改有如下几方面：

1、生产控制系统和管理信息系统之间进行分区。

2、建立IP地址管理系统，加快进行对IP地址的规划和分配。

3、完善补丁管理手段，制订相应管理制度；补缺Windows系统主机补丁安装，补丁安装前进行测试记录。

4、对操作系统的安全配置进行严格的设置，删除系统不必要的服务、协议。

4.3.4 网络服务与应用系统分析

网络服务与应用系统总分100分，自评分为20分，得分率20%。没有WWW服务，远程拨号访问没有相应管理措施，OA系统邮件数据进行一星期备份，邮件系统的维护、检查没有审计记录；营销系统的角色、权限分配有记录，其余系统没有；用户账户的变更、修改、注销没有记录；关键应用系统的数据功能操作没有进行审计；没有针对关键应用系统的应急预案；关键应用系统管理员账户、用户账户口令有定期进行变更；有些新系统上线前没有进行过安全性测试。需要整改有如下几方面：

1、按标准建设WWW服务。

2、解决OA系统趋势防病毒软件系统问题，对邮件系统的维护、检查审计进行记录。

3、远程拨号访问设置按上述标准执行。

4、记录完善系统的角色、权限分配并记录；记录半年内用户账户的变更、修改、注销；关键应用系统的数据功能操作进行审计；制定针对关键应用系统的应急预案；关键应用系统管理员账户、用户账户口令定期进行变更；新系统上线前应严格按照相关标准进行安全性测试。

4.3.5 安全技术管理与设备运行状况分析

安全技术管理与设备运行状况总分90分，自评分为26分，得分率29%。网络中的防火墙位置部署合理，防火墙规则配置符合安全要求，防火墙规则配置没有建立、更改有规范申请、审核、审批流程，没有对防火墙日志没有进行存储、备份。防病毒系统覆盖所有客户端（覆盖率大于90％），服务器端除了OA服务器有防病毒系统外其余没有；有兼责人员负责维护防病毒系统，但基本没有发布病毒通告。没有部署身份认证系统、安全管理平台，没有漏洞扫描系统。

需要整改有如下几方面：

1、防火墙规则配置的建立、更改要有规范申请、审核、审批流程，对防火墙日志应进行存储、备份。

2、实施服务器端防病毒系统，配置专责人员负责维护防病毒系统并及时发布病毒通告。

3、按标准部署、配置入侵检测系统。

4、按标准部署身份认证系统、安全管理平台、针对安全设备的日志服务器，采用漏洞扫描系统，重要系统将一年进行一次信息安全风险评估。

4.3.6 存储备份系统分析

存储备份系统总分50分，自评分为16分，得分率32%。有备份策略并严格按照备份策略对系统数据进行备份，没有建立明确的恢复预案，也没有定期进行恢复演练，没有建立介质的管理制度和废弃介质的处理制度，储存介质存放在安全环境，没有严格的介质存取控制，没有对存储介质进行定期检查。

需要整改有如下几方面：

1、完善备份策略，严格按照备份策略对系统数据进行备份。

2、建立介质管理制度和废弃介质处理制度，专人对存储介质进行定期检查。

4.3.7 介质及物理环境安全分析

介质及物理环境安全总分70分，自评分为37分，得分率53%。主机房没有安装门禁、监控系统，有消防报警系统。没有机房配线图，机房供电系统将动力、照明用电与计算机系统供电线路是分开的，机房没有配备应急照明装置，有定期对UPS的运行状况进行检测但没有检测记录，有手提干粉灭火器，没有采用气体防火措施，空调系统定期进行检查，机房温度控制在摄氏26度以下，有相应的介质管理规定，U盘、移动硬盘等存储介质有资产记录和责任人，磁盘、光盘等存储介质有专人保管，笔记本使用没有明确的管理制度。

需要整改有如下几方面：

1、主机房安装门禁、监控与报警系统。

2、补全机房配线图，定期对UPS的运行状况进行检测和记录。

3、采用气体防火措施。

4、制订笔记本使用管理制度。

4.3.8 应急处置分析

应急处置分30分，自评分为5分，得分率17%。重要系统没有完善的、可操作的应急预案，按照集团公司的要求建立及时的信息安全信息通报机制，没有建立故障通讯联动机制，没有建立信息网故障抢修机制。

需要整改有如下几方面：

1、制订重要系统完善的、可操作的应急预案并对应急预案进行定期演练。

2、按照集团公司的要求建立及时的信息安全信息通报机制。

3、建立良好的故障通讯联动机制，进行联合防护。检查结论