“2007福建信息安全科普咨询服务月”预约问卷[点击下载WORD文档]
请贵单位协助填写以下问卷,并于
电话:0591-87315438 传真:0591-87335281
E-mail:ciovip@yahoo.com.cn
|
一、单位基本情况 | ||
|
01 企业单位名称: 02法人单位代码: □□□□□□□□—□ 03法人(负责人): 04 电话(含分机): |
05 企业详细地址: 市 县(市、区) 街 号 06 邮政编码: □ □ □ □ □ □ 07 填表人: 08 电子邮件: | |
|
请在下列各选项后的 □ 中打“√” 09 企业登记注册类型 ①国有企业 □ ②集体企业 □ ③股份合作企业 □ ④联营企业 □ ⑤有限责任公司 □ ⑥股份有限公司 □ ⑦私营企业 □ ⑧其他内资企业 □ ⑨外商及港、澳、台商投资企业 □ ⑩上市公司 □ 10 企业规模 ①特大型 □ ②大型 □ ③中型 □ ④小型 □ 11 所在行业代码 □□□□ 工业企业主营产品: (只填一种) 12 2006年主营业务收入 万元(不保留小数),信息化投入费用 万元,2006年末从业人员 人 |
| |
二、信息化安全管理综合评估指标
请在下列各选项后的 □ 中打“√”
(请填写) 填表人 职 务
电 话 传 真
01 用于信息安全的费用占全部信息化投入的比例:
①大于30% □ ②20%-30% □ ③10%-20% □ ④5%-10% □ ⑤5%以下 □
说明:用于信息安全的费用包含安全软件、硬件、信息安全培训、信息安全人力资源支出。
02 每百人计算机拥有量(台)
计算口径为:能够正常运转的大、中、小型机、服务器和工作站,主频75MHz以上PC机。
03 管理信息化项目的应用领域(可多选)
①财务管理 □ ②购销存管理 □ ③生产制造管理 □ ④分销管理 □
⑤客户关系管理 □ ⑥人力资源管理 □ ⑦协同办公(OA) □ ⑧电子商务 □
04 信息化工作最高领导者的地位:
(1)最高领导者是:①一把手 □ ②二把手 □ ③三把手 □ ④部门领导 □
(2)首席信息官(CIO)职位设置:①设置正式CIO □ ②不设正式CIO □
05 企业业务对信息系统依赖程度
①业务处理流程的大部分可以通过手工方式或其他方式完成,自动化程度低。 □
②业务处理流程的部分环节可以通过手工方式或其他方式替代完成,自动化程度中。 □
③业务处理流程完全依赖信息系统,手工方式无法完成,自动化程度高。 □
06 企业信息系统服务范围
①地区范围 □ ②省级范围 □ ③全国范围 □
07 组织可能面临来自合法用户的安全威胁(可多选)
①管理疏忽:由于技术手段不足或者由于没有打补丁、没有升级病毒库、没有删除临时帐户、没有设置强口令等原因导致安全事件发生的可能性 □
②滥用授权:由于用户权限分配过大无意或有意为自己或他人非法提供了数据泄露、系统破坏等条件的可能性 □
③行为抵赖:由于安全管理人员职业素质不高,对自己造成的事件不承认的可能性 □
08 组织可能面临来自非法用户的威胁(可多选)
①冒用身份获取信息 □ ②密码猜测 □ ③利用安全漏洞入侵 □
④发动拒绝服务攻击 □ ⑤感染病毒、蠕虫、特洛伊木马等恶意代码 □
⑥窃听数据 □ ⑦物理破坏 □ ⑧社会工程学(利用社交手段窃密) □
09 信息安全策略与规划(可多选)
①由管理层批准、发布并经所有员工认可 □ ②说明管理层责任及组织管理的方法 □
③在有安全事件、新漏洞或组织技术基础架构变更后,对策略进行及时调整 □
10 信息安全管理的组织建设(可多选)
(1)组织内部建设
①领导层重视安全 □ ②设置信息安全管理部门 □
③相关部门能够理解和配合安全工作 □ ④设置专职信息安全管理人员 □
(2)委托外部第三方服务(第三方包括产品提供商,软件提供商,服务商、集成商和顾问等)
①在委托第三方服务合同中列出安全要求 □
②控制第三方访问权限 □ ③签署第三方保密协议 □
11 信息安全管理岗位与职责保障(可多选)
①设置了系统维护与安全管理的岗位 □ ②确定了实现和维护组织安全策略的职责 □
③信息安全人员入职前签署保密协议 □ ④定期对安全人员进行技术或任职资格考核 □
12 信息安全教育与培训(可多选)
①对操作员工开展信息安全知识普及教育 □ ②不定期对信息技术人员进行安全培训 □
③对第三方合作单位进行安全技术培训 □
④所有用户均能受到适当的信息安全培训,并定期更新组织策略和流程 □
13 针对信息安全事件及故障采用的反应措施(可多选)
①记录并报告安全事件 □ ②报告安全的弱点或威胁 □
③报告系统软件的故障 □ ④建立处罚程序,对员工形成威慑 □
⑤计算和监控事件和故障类型、数量及成本 □
14 组织建立了哪些信息安全管理制度?(可多选)
①机房安全管理制度 □ ②核心信息及资产访问和处理的制度 □
③灾难应急和备份制度 □ ④机密文档管理制度 □
⑤病毒防范制度 □ ⑥建立对安全管理制度的检查与修改机制 □
15 信息安全物理与环境采取的措施(可多选)
①有机房门禁系统 □ ②保安人员管理制度 □ ③在重要位置安装监控摄像头 □
④有机房防火、防水措施 □ ⑤有机房防雷措施 □ ⑥有专用的空调设备 □
⑦设有单独配电柜 □ ⑧有备份电源或UPS不间断电源 □
⑨有防电磁泄漏或无线保护措施 □ ⑩电力线缆与通讯线缆隔离 □
16 资产管理(可多选)
(1)信息资产管理措施
①建立包含所有信息资产(包括数据、软件、硬件等)的清单 □
②根据机密程度和商业重要程度对数据和信息分类 □
③由专人定期对重要的设备进行保养和维护,并建立详尽维护记录 □
④对设备有严格的保管、使用登记和报废方面的管理要求 □
(2)关键业务数据处理措施
①加密存储和传输数据 □ ②建立VPN通道在公网上传输数据 □
③使用数字签名作为原发证据 □ ④对存储、传输的数据进行完整性检查 □
⑤由专人负责定期备份数据 □ ⑥实时备份数据 □
(3)技术资料保密管理
①对各种技术资料实施密级管理 □ ②专人负责对技术资料的借阅、复制进行登记管理 □
③及时销毁已报废的技术资料 □
17 操作运行安全管理
(1)人员操作制度(可多选)
①建立了网络系统的配置和修改日志 □ ②定期对网络中重要资产进行安全审计 □
③定期检查和管理软件的审计日志 □ ④严格使用固定终端配置网络主干路由器 □
⑤制定了业务系统及重要硬件设备的规范操作流程,并严格遵循 □
(2)技术软件或设备(可多选)
①选用网络实时监控产品,记录和发现不良信息或破坏性行为,分析故障原因 □
②选用了入侵检测设备(IDS/IPS)以及时发现和控制系统入侵事件 □
③采用了负载均衡设备以保证网络运行的可靠性 □
④采取了抗拒绝服务安全措施 □ ⑤对关键业务数据设置了备份传输线路 □
⑥定期对系统进行安全漏洞扫描、修补或加固 □
18 访问控制安全管理(可多选)
①对不同的用户建立身份认证机制 □ ②定期审查网管员的用户访问权限 □
③对用户口令或密码进行有效管理 □ ④严格对不同的岗位划分相应的权限 □
⑤内外网之间设有防火墙 □ ⑥内外网之间采用物理隔离卡或隔离网闸 □
⑦采用网段或VLAN划分信息系统 □ ⑧对外的连接有统一的网络接口 □
19 防病毒与应急恢复安全管理(可多选)
①有专人负责计算机病毒防范工作 □ ②采用国家许可的正版防病毒软件 □
③定期更新病毒库 □ ④制定关键业务系统的安全事件应急方案 □
⑤有专职人员处理应急事件 □ ⑥采用第三方服务商安全服务 □
⑦制定并演练了灾难恢复工作 □ ⑧对安全事件结果进行文字记录并及时上报 □
20 安全管理遵循的约束(可多选)
①组织信息系统的建设符合国家法律、法规要求 □
②组织信息系统的建设符合行业的相关规范要求 □
③采用的加密算法和强度遵循国家法律的规定 □
④信息系统的安全执行状况符合国家安全等级保护要求 □
是否愿意接受现场信息安全科普咨询: 否□ 是□ 时间: 年 月 日
