“2007福建信息安全科普咨詢服務(wù)月”預(yù)約問卷[點(diǎn)擊下載WORD文檔]
請(qǐng)貴單位協(xié)助填寫以下問卷,并于2007年11月20日前下載打印填寫并加蓋公章寄回地址:福州市湖東路78號(hào)省發(fā)改委大樓福建省信息協(xié)會(huì)信息主管(CIO)分會(huì)���,謝磊,郵編:350003�。我們將根據(jù)反饋問卷提供以下服務(wù):1、選擇30家單位免費(fèi)安排現(xiàn)場(chǎng)科普咨詢服務(wù)并出具報(bào)告���;2�����、邀請(qǐng)參加“信息安全與構(gòu)建和諧海西高峰論壇與福建CIO信息安全專題研討會(huì)�;3�����、提供《“信息安全與構(gòu)建和諧海西”高峰論壇論文集》一本�。
電話:0591-87315438 傳真:0591-87335281
E-mail:ciovip@yahoo.com.cn
|
一、單位基本情況 |
|
01 企業(yè)單位名稱:
02法人單位代碼: □□□□□□□□—□
03法人(負(fù)責(zé)人):
04 電話(含分機(jī)): |
05 企業(yè)詳細(xì)地址: 市 縣(市���、區(qū)) 街 號(hào)
06 郵政編碼: □ □ □ □ □ □
07 填表人:
08 電子郵件: |
|
請(qǐng)?jiān)谙铝懈鬟x項(xiàng)后的 □ 中打“√”
09 企業(yè)登記注冊(cè)類型
①國(guó)有企業(yè) □ ②集體企業(yè) □ ③股份合作企業(yè) □ ?���、苈?lián)營(yíng)企業(yè) □
⑤有限責(zé)任公司 □ ⑥股份有限公司 □ ⑦私營(yíng)企業(yè) □ ⑧其他內(nèi)資企業(yè) □
⑨外商及港、澳��、臺(tái)商投資企業(yè) □ ⑩上市公司 □
10 企業(yè)規(guī)模 ①特大型 □ ②大型 □ ?、壑行? □ ④小型 □
11 所在行業(yè)代碼 □□□□ 工業(yè)企業(yè)主營(yíng)產(chǎn)品: (只填一種)
12 2006年主營(yíng)業(yè)務(wù)收入 萬(wàn)元(不保留小數(shù)),信息化投入費(fèi)用 萬(wàn)元��,2006年末從業(yè)人員 人 |
|
|
|
|
(請(qǐng)?zhí)顚懀?填表人 職 務(wù)
電 話 傳 真
01 用于信息安全的費(fèi)用占全部信息化投入的比例:
①大于30% □ ②20%-30% □ ③10%-20% □ ④5%-10% □ ⑤5%以下 □
說(shuō)明:用于信息安全的費(fèi)用包含安全軟件���、硬件�、信息安全培訓(xùn)��、信息安全人力資源支出���。
02 每百人計(jì)算機(jī)擁有量(臺(tái))
計(jì)算口徑為:能夠正常運(yùn)轉(zhuǎn)的大����、中�����、小型機(jī)����、服務(wù)器和工作站,主頻75MHz以上PC機(jī)���。
03 管理信息化項(xiàng)目的應(yīng)用領(lǐng)域(可多選)
①財(cái)務(wù)管理 □ ②購(gòu)銷存管理 □ ③生產(chǎn)制造管理 □ ④分銷管理 □
⑤客戶關(guān)系管理 □ ⑥人力資源管理 □ ⑦協(xié)同辦公(OA) □ ⑧電子商務(wù) □
04 信息化工作最高領(lǐng)導(dǎo)者的地位:
(1)最高領(lǐng)導(dǎo)者是:①一把手 □ ②二把手 □ ③三把手 □ ④部門領(lǐng)導(dǎo) □
(2)首席信息官(CIO)職位設(shè)置:①設(shè)置正式CIO □ ②不設(shè)正式CIO □
05 企業(yè)業(yè)務(wù)對(duì)信息系統(tǒng)依賴程度
①業(yè)務(wù)處理流程的大部分可以通過(guò)手工方式或其他方式完成�,自動(dòng)化程度低�。 □
②業(yè)務(wù)處理流程的部分環(huán)節(jié)可以通過(guò)手工方式或其他方式替代完成,自動(dòng)化程度中�����。 □
③業(yè)務(wù)處理流程完全依賴信息系統(tǒng)��,手工方式無(wú)法完成��,自動(dòng)化程度高����。 □
06 企業(yè)信息系統(tǒng)服務(wù)范圍
①地區(qū)范圍 □ ②省級(jí)范圍 □ ③全國(guó)范圍 □
07 組織可能面臨來(lái)自合法用戶的安全威脅(可多選)
①管理疏忽:由于技術(shù)手段不足或者由于沒有打補(bǔ)丁、沒有升級(jí)病毒庫(kù)����、沒有刪除臨時(shí)帳戶����、沒有設(shè)置強(qiáng)口令等原因?qū)е掳踩录l(fā)生的可能性 □
②濫用授權(quán):由于用戶權(quán)限分配過(guò)大無(wú)意或有意為自己或他人非法提供了數(shù)據(jù)泄露�����、系統(tǒng)破壞等條件的可能性 □
③行為抵賴:由于安全管理人員職業(yè)素質(zhì)不高�����,對(duì)自己造成的事件不承認(rèn)的可能性 □
08 組織可能面臨來(lái)自非法用戶的威脅(可多選)
①冒用身份獲取信息 □ ②密碼猜測(cè) □ ③利用安全漏洞入侵 □
④發(fā)動(dòng)拒絕服務(wù)攻擊 □ ⑤感染病毒�、蠕蟲、特洛伊木馬等惡意代碼 □
⑥竊聽數(shù)據(jù) □ ⑦物理破壞 □ ⑧社會(huì)工程學(xué)(利用社交手段竊密) □
09 信息安全策略與規(guī)劃(可多選)
①由管理層批準(zhǔn)���、發(fā)布并經(jīng)所有員工認(rèn)可 □ ②說(shuō)明管理層責(zé)任及組織管理的方法 □
③在有安全事件�����、新漏洞或組織技術(shù)基礎(chǔ)架構(gòu)變更后�,對(duì)策略進(jìn)行及時(shí)調(diào)整 □
10 信息安全管理的組織建設(shè)(可多選)
(1)組織內(nèi)部建設(shè)
①領(lǐng)導(dǎo)層重視安全 □ ②設(shè)置信息安全管理部門 □
③相關(guān)部門能夠理解和配合安全工作 □ ④設(shè)置專職信息安全管理人員 □
(2)委托外部第三方服務(wù)(第三方包括產(chǎn)品提供商�,軟件提供商,服務(wù)商�、集成商和顧問等)
①在委托第三方服務(wù)合同中列出安全要求 □
②控制第三方訪問權(quán)限 □ ③簽署第三方保密協(xié)議 □
11 信息安全管理崗位與職責(zé)保障(可多選)
①設(shè)置了系統(tǒng)維護(hù)與安全管理的崗位 □ ②確定了實(shí)現(xiàn)和維護(hù)組織安全策略的職責(zé) □
③信息安全人員入職前簽署保密協(xié)議 □ ④定期對(duì)安全人員進(jìn)行技術(shù)或任職資格考核 □
12 信息安全教育與培訓(xùn)(可多選)
①對(duì)操作員工開展信息安全知識(shí)普及教育 □ ②不定期對(duì)信息技術(shù)人員進(jìn)行安全培訓(xùn) □
③對(duì)第三方合作單位進(jìn)行安全技術(shù)培訓(xùn) □
④所有用戶均能受到適當(dāng)?shù)男畔踩嘤?xùn)�����,并定期更新組織策略和流程 □
13 針對(duì)信息安全事件及故障采用的反應(yīng)措施(可多選)
①記錄并報(bào)告安全事件 □ ②報(bào)告安全的弱點(diǎn)或威脅 □
③報(bào)告系統(tǒng)軟件的故障 □ ④建立處罰程序,對(duì)員工形成威懾 □
⑤計(jì)算和監(jiān)控事件和故障類型����、數(shù)量及成本 □
14 組織建立了哪些信息安全管理制度?(可多選)
①機(jī)房安全管理制度 □ ②核心信息及資產(chǎn)訪問和處理的制度 □
③災(zāi)難應(yīng)急和備份制度 □ ④機(jī)密文檔管理制度 □
⑤病毒防范制度 □ ⑥建立對(duì)安全管理制度的檢查與修改機(jī)制 □
15 信息安全物理與環(huán)境采取的措施(可多選)
①有機(jī)房門禁系統(tǒng) □ ②保安人員管理制度 □ ③在重要位置安裝監(jiān)控?cái)z像頭 □
④有機(jī)房防火�����、防水措施 □ ⑤有機(jī)房防雷措施 □ ⑥有專用的空調(diào)設(shè)備 □
⑦設(shè)有單獨(dú)配電柜 □ ⑧有備份電源或UPS不間斷電源 □
⑨有防電磁泄漏或無(wú)線保護(hù)措施 □ ⑩電力線纜與通訊線纜隔離 □
16 資產(chǎn)管理(可多選)
(1)信息資產(chǎn)管理措施
①建立包含所有信息資產(chǎn)(包括數(shù)據(jù)�、軟件、硬件等)的清單 □
②根據(jù)機(jī)密程度和商業(yè)重要程度對(duì)數(shù)據(jù)和信息分類 □
③由專人定期對(duì)重要的設(shè)備進(jìn)行保養(yǎng)和維護(hù)�����,并建立詳盡維護(hù)記錄 □
④對(duì)設(shè)備有嚴(yán)格的保管���、使用登記和報(bào)廢方面的管理要求 □
(2)關(guān)鍵業(yè)務(wù)數(shù)據(jù)處理措施
①加密存儲(chǔ)和傳輸數(shù)據(jù) □ ②建立VPN通道在公網(wǎng)上傳輸數(shù)據(jù) □
③使用數(shù)字簽名作為原發(fā)證據(jù) □ ④對(duì)存儲(chǔ)�、傳輸?shù)臄?shù)據(jù)進(jìn)行完整性檢查 □
⑤由專人負(fù)責(zé)定期備份數(shù)據(jù) □ ⑥實(shí)時(shí)備份數(shù)據(jù) □
(3)技術(shù)資料保密管理
①對(duì)各種技術(shù)資料實(shí)施密級(jí)管理 □ ②專人負(fù)責(zé)對(duì)技術(shù)資料的借閱����、復(fù)制進(jìn)行登記管理 □
③及時(shí)銷毀已報(bào)廢的技術(shù)資料 □
17 操作運(yùn)行安全管理
(1)人員操作制度(可多選)
①建立了網(wǎng)絡(luò)系統(tǒng)的配置和修改日志 □ ②定期對(duì)網(wǎng)絡(luò)中重要資產(chǎn)進(jìn)行安全審計(jì) □
③定期檢查和管理軟件的審計(jì)日志 □ ④嚴(yán)格使用固定終端配置網(wǎng)絡(luò)主干路由器 □
⑤制定了業(yè)務(wù)系統(tǒng)及重要硬件設(shè)備的規(guī)范操作流程�����,并嚴(yán)格遵循 □
(2)技術(shù)軟件或設(shè)備(可多選)
①選用網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控產(chǎn)品��,記錄和發(fā)現(xiàn)不良信息或破壞性行為����,分析故障原因 □
②選用了入侵檢測(cè)設(shè)備(IDS/IPS)以及時(shí)發(fā)現(xiàn)和控制系統(tǒng)入侵事件 □
③采用了負(fù)載均衡設(shè)備以保證網(wǎng)絡(luò)運(yùn)行的可靠性 □
④采取了抗拒絕服務(wù)安全措施 □ ⑤對(duì)關(guān)鍵業(yè)務(wù)數(shù)據(jù)設(shè)置了備份傳輸線路 □
⑥定期對(duì)系統(tǒng)進(jìn)行安全漏洞掃描����、修補(bǔ)或加固 □
18 訪問控制安全管理(可多選)
①對(duì)不同的用戶建立身份認(rèn)證機(jī)制 □ ②定期審查網(wǎng)管員的用戶訪問權(quán)限 □
③對(duì)用戶口令或密碼進(jìn)行有效管理 □ ④嚴(yán)格對(duì)不同的崗位劃分相應(yīng)的權(quán)限 □
⑤內(nèi)外網(wǎng)之間設(shè)有防火墻 □ ⑥內(nèi)外網(wǎng)之間采用物理隔離卡或隔離網(wǎng)閘 □
⑦采用網(wǎng)段或VLAN劃分信息系統(tǒng) □ ⑧對(duì)外的連接有統(tǒng)一的網(wǎng)絡(luò)接口 □
19 防病毒與應(yīng)急恢復(fù)安全管理(可多選)
①有專人負(fù)責(zé)計(jì)算機(jī)病毒防范工作 □ ②采用國(guó)家許可的正版防病毒軟件 □
③定期更新病毒庫(kù) □ ④制定關(guān)鍵業(yè)務(wù)系統(tǒng)的安全事件應(yīng)急方案 □
⑤有專職人員處理應(yīng)急事件 □ ⑥采用第三方服務(wù)商安全服務(wù) □
⑦制定并演練了災(zāi)難恢復(fù)工作 □ ⑧對(duì)安全事件結(jié)果進(jìn)行文字記錄并及時(shí)上報(bào) □
20 安全管理遵循的約束(可多選)
①組織信息系統(tǒng)的建設(shè)符合國(guó)家法律、法規(guī)要求 □
②組織信息系統(tǒng)的建設(shè)符合行業(yè)的相關(guān)規(guī)范要求 □
③采用的加密算法和強(qiáng)度遵循國(guó)家法律的規(guī)定 □
④信息系統(tǒng)的安全執(zhí)行狀況符合國(guó)家安全等級(jí)保護(hù)要求 □
是否愿意接受現(xiàn)場(chǎng)信息安全科普咨詢: 否□ 是□ 時(shí)間: 年 月 日
