信息系统安全检查实施细则
信息系统安全检查实施细则
目录
第二章日常例行安全检查 (1)
第三章全面常规安全检查 (1)
第四章重大专项安全检查 (3)
第五章责任追究 (3)
第六章附则 (4)
第1章日常例行安全检查
第1条日常例行安全检查指公司对自行维护管理以及委托其他机构维护管理的信息系统进行安全自查。
第2条日常例行安全检查属于日常维护检查的范畴,根据检查内容的不同,检查频次为每日、每月或每季度一次。
第3条每日例行安全检查的内容包括:
(一)机房安全检查;
(二)日志审计;
(三)系统状态检查;
(四)防病毒服务器检查等;
(五)设备运行状态检查。
第4条每月例行安全检查的内容包括:
(一)漏洞扫描;
(二)帐号安全检查;
(三)系统补丁检查;
(四)网络安全检查;
(五)终端安全检查;
(六)安全报告审核等。
第5条每季度例行安全检查的内容包括:
(一)安全基线检查;
(二)帐号安全检查;
(三)系统补丁检查;
(四)数据备份检查等。
第6条各级机构对日常例行安全检查中发现的问题应研究提出整改意见,认真落实整改,并在整改完成后及时进行复查。
第2章全面常规安全检查
第7条全面常规安全检查要进行全面的安全检查和评估,涉及各级机构所维护管理的所有设备和系统,应对系统安全风险进行全面评估,检查存在的安全隐患和漏洞,
每次检查完成后应形成安全风险评估报告。
第8条全面常规安全检查的检查频次为每半年一次。检查以各级机构自查方式为主、XX 抽查相结合的方式进行。各级机构按照统一下发的安全检查细则,制定具体的检
查方案并认真组织实施,并在自查工作完成后1个月内将检查情况及时报送
XXXX。为确保安全检查取得实效,XXXX将会同有关部门组织部署安全抽查工作。第9条全面常规安全检查的内容包括但不限于:
(一)安全制度落实情况;
(二)安全防范措施落实情况;
(三)应急响应机制建设情况;
(四)信息技术产品和服务国产化情况;
(五)安全教育培训情况;
(六)责任追究情况;
(七)安全隐患排查及整改情况;
(八)安全形势、安全风险状况等。
第10条安全制度落实情况重点检查:
(一)信息安全主管领导、管理机构和管理人员的落实情况;
(二)信息安全责任制和保密管理、密码管理、等级保护、重要部门(职位)人
员管理等制度的建立和落实情况;
(三)信息安全经费保障情况。
第11条安全防范措施落实情况重点检查:
(一)身份认证、访问控制、数据加密、安全审计、责任认定以及防篡改、防病
毒、防攻击、防瘫痪、防泄密等技术措施的有效性;
(二)计算机、移动存储设备、电子文档安全防护措施的落实情况。
第12条应急响应机制建设情况重点检查:
(一)应急预案制定、演练、落实情况;
(二)应急技术支援队伍建设情况;
(三)重大信息安全事故处置情况;
(四)重要数据和业务系统的备份情况。
第13条安全教育培训情况重点检查:
(一)工作人员参加信息安全教育培训、掌握信息安全常识和技能的情况;
(二)重点岗位持证上岗等情况。
第14条责任追究情况重点检查:
(一)对违反信息安全规定的行为和造成泄密事故、信息安全事故的查处情况;
(二)对责任人和有关负责人的责任追究以及惩处措施落实的情况。
信息系统安全自查报告
第四级:结构化保护级; 第五级:访问验证保护级”) 国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号) 关于信息安全等级保护工作的实施意见(公通字[2004]66号)定级标准 信息安全等级保护管理办法(公通字[2007]43号) 关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号) 关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号) 关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安[2010]303号) 地方及行业范例 关于加强国家电子政务工程建设项目信息安全风险评估工作的
通知(发改高技[2008]2071号) 关于进一步推进中央企业信息安全等级保护工作的通知 水利网络与信息安全体系建设基本技术要求(2010年3月) 证券期货业信息系统安全等级保护基本要求(试行) (JR/T 0060-2010) 山西省计算机信息系统安全保护条例(2009年1月)广东省计算机信息系统安全保护条例(2008年4月) 宁夏回族自治区计算机信息系统安全保护条例(2009年10月)徐州市计算机信息系统安全保护条例(2009年1月) 标准规范 十大重要标准 计算机信息系统安全等级保护划分准则(GB 17859-1999)(基础类标准) 信息系统安全等级保护实施指南(GB/T 25058-2010)(基础类标准) 信息系统安全保护等级定级指南(GB/T 22240-2008)(应用类定级标准)
信息系统安全等级保护基本要求(GB/T 22239-2008)(应用类建设标准) 信息系统通用安全技术要求(GB/T 20271-2006)(应用类建设标准) 信息系统等级保护安全设计技术要求(GB/T 25070-2010)(应用类建设标准) 信息系统安全等级保护测评要求(GB/T 28448-2012)(应用类测评标准) 信息系统安全等级保护测评过程指南(GB/T 28449-2012)(应用类测评标准) 信息系统安全管理要求(GB/T 20269-2006)(应用类管理标准) 信息系统安全工程管理要求(GB/T 20282-2006)(应用类管理标准) 其它相关标准 GB/T 21052-2007 信息安全技术信息系统物理安全技术要求 GB/T 20270-2006 信息安全技术网络基础安全技术要求
安全质量标准化达标制度及实施细则
安全质量标准化达标制度及实施细则 一、安全质量标准化达标依据 (一)施工现场 1、参按照《建筑施工安全检查标准》(JGJ59)及相关法律法规、标准规范、文件,开展日、周、月、季检查(隐患排查)的情况; 2、《施工现场安全生产保证体系》(DGJ08-903)贯标情况; 3、《建设工程班组安全管理标准》贯彻执行情况; 4、危险性较大分部分项工程监控情况。 (二)建筑施工企业 1、《施工企业安全生产评价标准》(JGJ/T77)等相关标准。 2、所属施工现场达标率。“合格”率应达到100%,施工现场的“优良”率:特级、一级企业应达到90%;二级企业应达到80%;三级及其他各类施工企业应达到70%。 3、对所属施工现场检查、指导、考核和落实安全检查(隐患排查)情况。 二、管理机构 临沂市建筑业管理办公室(以下简称市建管办)负责对本市建设工程安全质量标准化考核工作实施监督管理。临沂市建设工程安全质量监督总站(以下简称市安质监督总站)负责日常具体管理工作。 施工现场由各工地的受监安监站负责具体考核;。在本市注册的特级、一级施工企业由市安质监督总站负责具体考核;在本市注册的二级及以下的施工企业、劳务分包企业由企业注册地的区、县安监站负责具体考核;外省市进鲁施工企业由各省市驻鲁办建管处负责;未设置驻鲁建管处管理的企业由市安质监总站负责。 三、安全质量标准化考核程序 (一)施工现场 1、建设单位和总包单位企业申报。建设单位在工程开工前申领施工许可证时,应向施工许可受理部门提交工程危险性较大分项分部工程(重大危险源)清单及控制和施工措施,进行备案。在工程开工后10天内, 总包单位企业应向受监安监站申报安全质量标准化考核。 2、分包单位企业增报。分包单位企业在与总包单位企业签订合同后的 10天内,向总包单位企业提出增报申请,由总包单位企业核定后在网上向受监安监站增报。 3、过程管理 每日日巡查:总包单位企业、分包单位企业专职安全管理人员每日对施工现场及施工班组的安全活动进行检查,并作好检查记录,记录中明确检查部位和隐患内容及整改情况。
银监会信息系统现场检查指南
信息系统现场检查指南(架构) 为了规范和指导信息系统现场检查工作,提高信息系统现场检查的水平,确保信息系统现场检查的质量,特制定本指南。 一、检查目的 (一)了解和掌握银行业金融机构信息系统管理组织体系、工作制和科技制度建设情况,以及从业人员有关业务、技术和安全培训情况,评价其信息科技管理组织水平; (二)了解和掌握银行业金融机构信息安全保障体系和内部控制规程,信息系统风险管理岗位责任制度和监督落实情况,评价其计算机安全管理水平; (三)了解和掌握银行业金融机构信息系统在研发过程中项目管理和变更管理情况,关注规划、需求、分析、设计、编程、测试和投产以及外包等产生风险的环节,评价其管理水平; (四)了解和掌握银行业金融机构信息系统在信息系统运行和操作制度建设和执行情况,促进银行业金融机构完善内控环境,控制和化解操作风险; (五)了解和掌握银行业.金融机构信息系统在业务持续性计划方面制度建设和执行情况,促进银行业金融机构信息系统信息科技风险管理涵盖管理、维护的每个环节。 二、检查要点 (一)检查信息系统风险管理架构、内部组织结构和工作机制、岗位职责和制度的完善性和有效性,评估信息科技规划和管理的水平,了解信息科技人才管理机制,分析业务、技术和安全培训工作的及时性和有效性,确保合理及时地防范和控制信息系统组织、规划风险。 (二)检查信息安全管理的流程情况,分析相关系统用户管理制度、密码管理制度及网络安全制度,测试系统所涉及操作系统和数据库及防火墙等安全设施的安全性,评估被检查银行是否采取有效安全的保护措施保障信息的保密性、完整性和可用性。 (三)检查分析软件及项目开发管理制度,了解信息科技部门档案管理流程,审阅外包项目涉及的软件质量验收标准,检查银行业金融机构信息系统风险管理效率及水平,评估系统开发的流程、质量及安全的管理情况。 (四)检查信息系统运行和操作管理情况,检查系统监控层面的处理流程及各类系统参数、生产环境变更的受控方式,评估系统运行和操作管理的风险状况,促进运行操作管理的科学化、制度化和规范化,确保信息系统安全可靠的运行。 (五)检查业务持续性规划的制定情况,分析其是否明确定义了管理层关于维护信息系统可用性及更新相关业务持续性计划的责任和义务,并制定了合适的负责人员。评估建设及实施关于灾难恢复的组织机构、业务流程和应对措施的合理性。 三、检查内容 (一)信息科技公司治理和组织结构 1.制度建设 (1)检查银行是否根据国家和银监会有关信息系统管理制度制定了实施细则,分析制度制定、审批、修订和发布等流程的规范性。 (2)检查信息科技相关规章制度、技术规范、操作规程建设情况。重点检查:各项制度规章是否正式发文,内容是否涵盖规划、研发、建设、运行、维护、应急、外包、保密和监控等范畴,是否明确相关人员的职责权限并实行最小授权的制约机制,是否建立制订后评价程序或机制,现有的制度是否适应组织结构、业务管理、信息安全的需要。 (3)检查实施知识产权保护情况。重点检查:正版软件版本管理情况;国产自有知识产权的软硬件的使用情况;信息化安全等级保护工作情况;自主知识产权信息化成果保护情况。
工程质量安全管理实施细则(内容)
第一章安全文明施工处罚实施细则 1.1 项目部发生安全事故,按下列标准实施经济处罚。 1.1.1发生一次因工负伤3人以上的事故,每负伤1人罚施工队6000元,另一次性处罚项目部安全责任人1000元,其他安全管理人员人均500元。 1.1.2发生一次因工重伤事故,每重伤1人罚施工队15000元,另一次性处罚项目部安全责任人2000元,其他安全管理人员人均800元。 1.1.3发生一次因工1至2人死亡事故的,每死亡1人罚施工队20000元,另一次性处罚项目部安全责任人3000元,其他安全管理人员人均1000元。 1.1.4发生一次因工死亡3人以上的重大死亡事故,每死亡1人罚施工队40000元,另一次性处罚项目部安全责任人5000元,其他安全管理人员人均2000元。 1.1.5重大经济损失事故经济处罚。发生机械设备、火灾事故,造成经济损失由责任队赔偿,并一次性处罚施工队10000—20000元,处罚安全责任人2000—3000元,其他安全管理人员人均800元。 1.1.6对各类事故的责任人的处罚比照安全责任人处罚金额的2倍处罚。 1.2 安全、文明施工 1.2.1项目部对现场安全文明施工的工作不重视,而造成严重后果的,处项目负责人罚款10000元,其他安全管理人员3000元。 1.2.2施工人员未经安全三级教育进入施工现场上班作业,按本班组人数处以50元/人次罚款。 1.2.3不戴安全帽每人次罚款100元,安全网设置不符合要求的视情况罚款300~500元,高空作业不系安全带每人次罚款100元。 1.2.4“四口”(楼梯口、电梯井口,预留洞口、通道口),五临边(尚未安装栏杆的阳台周边、无外脚手架防护的楼面与屋面周边、分层施工的楼梯与楼梯段边、井架、施工电梯或外脚手架等通向建筑物的通道的两侧边、框架结构建筑的楼层周边、上下跑道及斜道的两侧边、卸料平台的外侧边、雨篷与挑檐边、水箱与水塔边等)防护每一处不到位,罚款100元。未经许可擅自拆除四口及临边围护和其他安全防护设施每次罚500-800元。 1.2.5施工现场基坑周围必须设置栏杆防护,未做防护罚款 300元。 2.5 施工人员违章作业;特殊工种如发现无证或人证书不符上岗要求的,处100-200元/人次罚款。 1.2.6对有下列不安全行为及违反安全操作规程者,每人每次罚款100元。 1.2.6.1攀越护栏、脚手架,坐在外脚手架扶栏上休闲,在脚手架上乘凉睡觉、在脚手架上嬉戏打闹、追逐者; 1.2.6.2赤脚、赤膊、穿拖鞋、高跟鞋、易滑鞋上班作业者; 1.2.6.3高处作业任意向上或向下抛投物料工具等者; 1.2.6.4施工作业人员酒后上高空作业者(当事人100元、班长200元);
信息系统安全检测报告
信息系统安全检测报告 我校对信息安全和保密工作十分重视,成立了专门的领导组,建立健全了信息安全保密责任制和有关规章制度,由教务处网络管理室统一管理,负责网络信息安全工作。严格落实有关网络信息安全保密方面的各项规定,采取了多种措施防范安全保密有关事件的发生,总体上看,我校网络信息安全保密工作做得比较扎实,效果也比较好,近年来未发现失泄密问题。 一、计算机涉密信息管理情况 今年以来,我校加强组织领导,强化宣传教育,落实工作责任,加强日常监督检查。对于计算机磁介质(软盘、U盘、移动硬盘等)的管理,采取专人保管、涉密文件单独存放,严禁携带存在涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件,形成了良好的安全保密环境。涉密计算机严禁接入局域网,并按照有关规定落实了保密措施,到目前为止,未发生一起计算机失密、泄密事故;其他非涉密计算机及网络使用也严格按照计算机保密信息系统管理办法落实了有关措施,确保了考试信息安全。 二、计算机和网络安全情况 一是网络安全方面。我校终端计算机均安装了防病毒软件、软件防火墙,采用了强口令密码、数据库存储备份、移动存
储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。 二是日常管理方面切实抓好局域网和应用软件管理,确保“涉密计算机不上网,上网计算机不涉密”,严格按照保密要求处理光盘、硬盘、优盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防盗和电源连接等;二是网络安全,包括网络结构、安全日志管理、密码管理、IP管理、互联网行为管理等;三是应用安全,公文传输系统、软件管理等。 三、硬件设备使用合理,软件设置规范,设备运行状况良好。我校每台终端机都安装了防病毒软件,系统相关设备的应用一直采取规范化管理,硬件设备的使用符合国家相关产品质量安全规定,单位硬件的运行环境符合要求,打印机配件、色带架等基本使用设备原装产品;防雷地线正常,对于有问题的防雷插座已进行更换,防雷设备运行基本稳定,没有出现雷击事故,局域网系统运行安全。 四,通迅设备运转正常 我校网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口是也过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。 五、严格管理、规范设备维护
信息系统网络安全检查表
信息系统网络安全检查表 时间: 年月日 系统名称 负责人联系电话 网络拓扑图: 接入方式(服务商) ____________________ (附后)账号(电话)_________________________ 联网主机数__________________________________ 联网情况IP 地址 ______________________________________ 服务内容 联网用途____________________________________ 单位成立网络安全小组,确立安全小组负责人(单位领导任组长),确立组长负责制 组长落实小组人员岗位工作职责组织制度 配备 2 到 4 名计算机安全员,须持证上岗制定网络安全事故处置措施计算机机房安全保护管理制度用户登记制度和操作权限管理制度网络安全漏洞检测和系统升级管理制度交互式栏目24 小时巡查制度安全保护电子公告系统用户登记制度管理制度信息发布审核、登记、保存、清除和备份制度,信息群发服务管理制度违法案件报告和协助查处制度备案制度具有保存60 天以上系统网络运行日志和用户使 用日志记录功能,内容包括IP 地址分配及使用情况,交互式信息发布者、主页维护者、邮箱使用者和拨号用户上网的起止时间和对应IP 地址,交 互式栏目的信息等 安全审计及预警措施安全保护网络攻击防范、追踪措施技术措施计算机病毒防
治措施身份登记和识别确认措施交互式栏目具有关键字过滤技术措施开设短信息服务的具有短信群发限制、过滤和删除等技术措施 开设邮件服务的,具有垃圾邮件清理功能 1 信息系统检查项目表 , 安全技术措施, 是否符合类别检查项目安全标准备注安全标准物理位置机房和办公场地应选择在具有防震、防的选择风和防雨等能力的建筑内。 机房出入口应安排专人值守,控制、鉴别和记录进入的人员物理访问 控制需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围应将主要设备放置在机房内 应将设备或主要部件进行固定,并设置明显的不易除去的标记; 防盗窃和应将通信线缆铺设在隐蔽处,可铺设在防破坏地下或管道中应对介质分类标识,存储在介质库或档案室中; 主机房应安装必要的防盗报警设施 机房建筑应设置避雷装置; 防雷击机房应设置交流电源地线 物理机房应设置灭火设备和火灾自动报警系防火安全统水管安装,不得穿过机房屋顶和活动地板下; 防水和防应采取措施防止雨水通过机房窗户、屋潮顶和墙壁渗透; 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透 防静电关键设备应采用必要的接地防静电措施 机房应设置温、湿度自动调节设施,使温湿度控机房温、湿度的变化在设备运行所
安全质量大检查实施方案详细版
文件编号:GD/FS-9678 (解决方案范本系列) 安全质量大检查实施方案 详细版 A Specific Measure To Solve A Certain Problem, The Process Includes Determining The Problem Object And Influence Scope, Analyzing The Problem, Cost Planning, And Finally Implementing. 编辑:_________________ 单位:_________________ 日期:_________________
安全质量大检查实施方案详细版 提示语:本解决方案文件适合使用于对某一问题,或行业提出的一个解决问题的具体措施,过程包含确定问题对象和影响范围,分析问题,提出解决问题的办法和建议,成本规划和可行性分析,最后执行。,文档所展示内容即为所得,可在下载完成后直接进行编辑。 为认真贯彻落实集团公司《关于全面开展安全质量大检查活动的紧急通知》文件精神,认真吸取各类安全质量事故教训。进一步加强对项目部的施工监督管理,结合地铁工程当前安全生产状况及常见质量通病,切实开展安全质量大检查活动,不断提升项目部的安全质量水平,现结合我标段施工生产实际,特制定本检查方案。 一、指导思想 以科学发展观为指导,坚持“安全第一、预防为主、综合治理”的方针,贯彻落实“以人为本”、“科学发展”、“安全发展”的新理念,按照国家安全生产法律法规和标准规范为依据,进一步加大检查
监管力度,通过全面深入开展安全质量大检查活动,全面推进安全质量标准化管理工作,控制和减少施工安全质量事故的发生。 二、检查目标 通过检查,全面落实施工安全质量防范措施,提高从业人员安全质量意识和操作技能,推进安全质量管理的程序化和标准化,最大程度消除安全质量隐患和违章违规行为,进一步完善安全质量保证体系,落实安全质量管理各项规章制度和安全质量生产保障措施,彻底排查事故隐患,有效防范和坚决遏制安全质量事故发生,保证项目施工任务持续稳定进行。 三、组织领导 为了做好我部安全质量大检查工作,特成立安全质量检查领导小组,负责对项目部进行检查工作。 检查工作领导小组
信息系统安全检查的自查情况报告
---------------------------------------------------------------范文最新推荐------------------------------------------------------ 信息系统安全检查的自查情况报告 根据**市人民政府办公室《关于开展政府信息系统安全的检查的通知》(天政电[2018]52号)文件精神。我镇对本镇信息系统安全情况进行了自查,现汇报如下: 一、自查情况 (一)安全制度落实情况 1、成立了安全小组。明确了信息安全的主管领导和具体负责管护人员,安全小组为管理机构。 2、建立了信息安全责任制。按责任规定:保密小组对信息安全负首责,主管领导负总责,具体管理人负主责。 3、制定了计算机及网络的保密管理制度。镇网站的信息管护人员负责保密管理,密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。 (二)安全防范措施落实情况 1、涉密计算机经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面有效性。 2、涉密计算机都设有开机密码,由专人保管负责。同时,涉密计算机相互共享之间没有严格的身份认证和访问控制。 3、网络终端没有违规上国际互联网及其他的信息网的现象,没有 1 / 11
安装无线网络等。 4、安装了针对移动存储设备的专业杀毒软件。 (三)应急响应机制建设情况 1、制定了初步应急预案,并随着信息化程度的深入,结合我镇实际,处于不断完善阶段。 2、坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜,并商定其给予镇应急技术以最大程度的支持。 3、严格文件的收发,完善了清点、修理、编号、签收制度,并要求信息管理员每天下班前进行系统备份。 (四)信息技术产品和服务国产化情况 1、终端计算机的保密系统和防火墙、杀毒软件等,皆为国产产品。 2、公文处理软件具体使用金山软件的wps系统。 3、工资系统、年报系统等皆为市政府、市委统一指定产品系统。 (五)安全教育培训情况 1、派专人参加了市政府组织的网络系统安全知识培训,并专门负责我镇的网络安全管理和信息安全工作。 2、安全小组组织了一次对基本的信息安全常识的学习活动。 二、自查中发现的不足和整改意见 根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,同时结合我镇实际,今后要在以下几个方面进行整改。 1、安全意识不够。要继续加强对机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。
信息安全-风险评估-检查流程-操作系统安全评估检查表-HP-UNIX
HP-UX Security CheckList
目录 HP-UX SECURITY CHECKLIST (1) 1初级检查评估内容 (6) 1.1 系统信息 (6) 1.1.1 系统基本信息 (6) 1.1.2 系统网络设置 (6) 1.1.3 系统当前路由 (7) 1.1.4 检查目前系统开放的端口 (7) 1.1.5 检查当前系统网络连接情况 (8) 1.1.6 系统运行进程 (8) 1.2 物理安全检查 (9) 1.2.1 检查系统单用户运行模式中的访问控制 (9) 1.3 帐号和口令 (9) 1.3.1 检查系统中Uid相同用户情况 (9) 1.3.2 检查用户登录情况 (10) 1.3.3 检查账户登录尝试失效策略 (10) 1.3.4 检查账户登录失败时延策略 (10) 1.3.5 检查所有的系统默认帐户的登录权限 (11) 1.3.6 空口令用户检查 (11) 1.3.7 口令策略设置参数检查 (11) 1.3.8 检查root是否允许从远程登录 (12)
1.3.9 验证已经存在的Passwd强度 (12) 1.3.10 用户启动文件检查 (12) 1.3.11 用户路径环境变量检查 (13) 1.4 网络与服务 (13) 1.4.1 系统启动脚本检查 (13) 1.4.2 TCP/UDP小服务 (13) 1.4.3 login(rlogin),shell(rsh),exec(rexec) (14) 1.4.4 comsat talk uucp lp kerbd (15) 1.4.5 Sadmind Rquotad Ruser Rpc.sprayd Rpc.walld Rstatd Rexd Ttdb Cmsd Fs Cachefs Dtspcd Gssd (15) 1.4.6 远程打印服务 (16) 1.4.7 检查是否开放NFS服务 (16) 1.4.8 检查是否Enables NFS port monitoring (17) 1.4.9 检查是否存在和使用NIS ,NIS+ (17) 1.4.10 检查sendmail服务 (17) 1.4.11 Expn, vrfy (若存在sendmail进程) (18) 1.4.12 SMTP banner (19) 1.4.13 检查是否限制ftp用户权限 (19) 1.4.14 TCP_Wrapper (20) 1.4.15 信任关系 (20) 1.5 文件系统 (20) 1.5.1 suid文件 (21)
铁路建设项目质量安全红线管理实施细则
铁路建设项目质量安全红线管理实施细则 第一章总则 第一条为全面贯彻落实党的十九大对建设质量强国、交通强国战略部署和铁路总公司“强基达标、提质增效”工作主题,牢固树立“百年大计、安全第一、质量至上”的理念,打造精品工程,切实强化铁路建设项目质量安全意识和关键环节控制,实施铁路建设项目质量安全红线管理,预防和控制质量安全违规行为,提高指挥部质量安全红线管理工作,依据中国铁路总公司《铁路建设项目质量安全红线管理规定》(铁总建设〔2017〕310号)、中国铁路上海局《铁路建设项目质量安全红线管理实施细则》(上铁建〔2018〕94号)及苏北公司《铁路建设项目质量安全黄线预控及红线管理实施细则》(苏北安〔2018〕61号)文件要求,特制订本细则。 第二条本细则适用于中铁广州工程局盐通铁路工程指挥部各部室、各分部的质量安全行为。 第三条工作原则。 1. 坚持依法合规原则。公司各有关部门要严格依据法律法规、技术标准等规定,做好红线管理检查、工作依据、处理标准、处理程序等应符合相关规定。 2. 鼓励自查自纠原则。鼓励参建单位开展自查自纠,及
时整改问题,实现过程达标。对参建单位自查发现的问题,未对建设项目造成不利影响的,由参建单位按照各自管理规定进行处理。 3. 形成强大合力原则。通过红线管理,促使参建各方切实增强质量责任意识,形成齐抓共管质量安全的强大合力,打造放心工程、精品工程。 4. 贯穿全过程原则。将红线管理作为确保项目质量安全的关键抓手之一,贯穿项目建设全过程,做到“源头有防控、过程有检查、问题有考核”,严格防范质量安全红线问题的发生,将隐患消灭在建设过程当中。 5. 预防为主原则。质量安全红线管理要以预防为主要工作任务,坚持铁路建设项目管理人员和作业人员均从思想上、行动上敬畏“红线”、远离“红线”,要从根本上预防触碰“红线”规定的各项内容。 第二章组织机构 第四条成立质量安全红线管理领导小组。 组长:总经理(娄贤龙) 副组长:冯杰花山宏孙黎庞大伟 成员:苏江波周士杰王春发张国庆王正平何雯君魏鹏王家贵蔡笃贵王林军乔飞林
信息系统安全等级保护测评过程指南
信息安全技术信息系统安全等级保护测评过程指南 引言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: ——GB/T22240-2008信息安全技术信息系统安全等级保护定级指南; ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求; ——GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南; ——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。 信息安全技术 信息系统安全等级保护测评过程指南 1范围
本标准规定了信息系统安全等级保护测评(以下简称等级测评)工作的测评过程,既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价,也适用于信息系统的运营使用单位在信息系统定级工作完成之后,对信息系统的安全保护现状进行的测试评价,获取信息系统的全面保护需求。 2规范性引用文件 下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件, 其最新版本适用于本标准。 GB/T5271.8信息技术词汇第8部分:安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》(公通字[2007]43号) 3术语和定义 GB/T5271.8、GB17859-1999、GB/TCCCC-CCCC和GB/TDDDD-DDDD确立的以及下列的术语和定义适用于本标准。 3.1
网络安全防护检查报告
编号: 网络安全防护检查报告 数据中心 测评单位: 报告日期: 目录 第1章系统概况................................................ 网络结构.................................................. 管理制度.................................................. 第2章评测方法和工具.......................................... 测试方式.................................................. 测试工具.................................................. 评分方法.................................................. 符合性评测评分方法.................................... 风险评估评分方法...................................... 第3章测试内容................................................ 测试内容概述.............................................. 扫描和渗透测试接入点...................................... 通信网络安全管理审核...................................... 第4章符合性评测结果.......................................... 业务安全..................................................
建筑工程安全质量管理检查处罚实施细则
工程安全、质量管理检查处罚实施细则 、总则 第一条为进一步加强施工现场的安全、质量管理,严格落实安全生产、质量责任制, 严肃查处施工过程中违纪违规行为,预防安全、质量事故发生,确保施工生产顺利进行,制 订本细则。本细则适用于公司施工现场各项目部。 第二条对违反有关安全生产、质量管理法律法规,造成重大安全、质量事故,构成犯罪的,相关责任人,移交司法机关处理;对违反安全生产、质量管理规定的行为,依照本细 则执行。 第三条本细则制订和实施的依据 1 、政府部门颁发的安全生产、质量管理法律法规、条例、强制性标准和有关规定。 2 、《中华人民共和国安全生产法》、《建设工程安全生产管理条例》、《建筑施工安全检查 标准》(JGJ59-99 )、《工程建设标准强制性》条文》、《建筑工程质量验收统一标准》及《住 宅工程结构实体检验和质量分户验收实施细则》等相关规范。 3、华升建设集团有限公司《企业管理标准汇编(修订本) 》 。 华升建设集团有限公司《管理手册》、《管理体系程序汇编》。 4 、凡涉及基础管理有关内容的,一律以现场记录资料为准。 第四条集团公司工程管理部为实施本细则的职能管理部门。依照本细则履行日常检查和对违章行为处理的职能。 公司下属各分支机构和项目部履行日常检查时,可参照本细则实施处罚。 公司质安巡查组例行检查中可参照本细则实施处罚。 第五条对违反安全生产、质量管理的行为,任何人都有劝阻和控告的权利。 二、处罚形式 第六条由工程管理部开具罚单报总公司审批后,递交公司财务直接扣款或转帐的形式 收缴。 三、处罚标准 第七条安全管理违章行为处罚标准
一)施工现场有下列违章行为之一的处罚50000?100000元: 1 、公司下属各分支机构未按要求配备管理人员, 或管理人员无证上岗; 2 、公司下属各分支机构未履行安全管理职责,经公司教育、督促后,仍未履行管理职责的; 3 、公司下属各分支机构在工程开工前与项目部未签订安全生产目标责任书、综合治理及文明施工协议书; 4、公司下属各分支机构对大型机械设备未按要求验收合格后使用或验收不合格投入使用的; 5 、施工中发生安全责任事故,造成重大人员伤亡的;或发生安全责任事故后,处理不及时,在社会上造成恶劣影响的; 6 、在部、省、市级进行安全大检查中,安全未达标准要求,被停工整改并给予通报批评的; 7 、工程结束,安全生产等级被当地安全监督部门评为“不合格”的。 二)施工现场有下列违章行为之一的处罚10000?50000 1、在区、站级安全大检查中,安全不合格,被停工整改的; 2、公司季度安全生产大检查中被内部通报批评的; 3、按规定需搭设钢管架,而用毛竹搭设的; 4、施工中发生安全责任事故造成重伤且性质严重的; 5、违反国家有关安全生产技术规范中强制性条文的; 6、开工前直属项目部未与公司签订安全生产、治安管理及计划生育协议书的; 7、项目部未按要求制订安全生产责任制,层层签订安全生产目标责任书、综合治理及文明施工协议书的; 8、有分包工程的项目,项目部未及时通知公司与分包单位签定分包合同、安全管理责任书的。 三)施工现场有下列违章行为之一的处罚2000?5000 元: 1 、在安全中间验收时,安全达不到标准要求,不能一次性通过,通过整改后才符合要求的;
信息系统安全检查自查报告
信息系统安全检查自查报告 省局信息中心: 按照总局《国家税务总局关于开展税务信息系统安全检查工作的通知》(国税函…2011?397号)及《吉林省国家税务局关于开展信息安全检查的通知》(吉国税函…2011?138号)文件要求,切实加强我市国税系统网络与信息安全管理工作,严防黑客攻击、网络中断、病毒传播、信息失窃密,为税收工作创造良好的网络信息环境,现就我市国税系统信息安全自查情况汇报如下: 一、加强领导、明确职责 为进一步加强全局网络信息系统安全管理工作,市局成立了税收信息安全领导小组,主要领导亲自挂帅,主管领导具体负责,信息中心直接组织实施,其他科室配合实施。形成了主要领导亲自抓,分管领导具体抓,一级抓一级,层层抓落实的工作格局。市局同时成立信息系统安全检查组(以下简称检查组),在市局信息安全领导小组直接领导下负责此次检查工作的具体实施。 信息安全检查领导小组根据总局的检查方案,结合本局实际情况,及时研究部署,提出实施原则和指导意见,为检查组下一步分解落实检查任务,对全局各单位实施有效检查,顺利完成此次信息系统安全检查组织保证;检查组成员分工明确、责任到人,确保本局的信息安全,为本局信息系统安全建设更上一个新的台阶奠定了良好的基础。 二、实施周密、严格要求 (一)市局检查组根据信息安全检查领导小组的指导意见和总局的检查方案,拟定出本局此次信息安全检查的范围、实施步骤和方法,确立了“培训+自查+交叉检查”的检查模式; (二)市局信息中心对各单位计算机管理人员进行集中培训,使检查人员每人都掌握自查所要用到的信息技术和自查方法,为自查本单位信息安全隐患提供技术支撑和帮助; (三)市局为此次信息安全检查提出五项特别要求 一是从文件下发之日起,规定配发的U盘不得用于与办公无关的数据交换,且严禁接入互联网或与本局网络之外的计算机进行相关操作,如确因公需要对外进行数据交换,以及外单位U 盘须向本局网内计算机交换数据,在接入本局网络计算机之前须经各单位单独上互联网的计算机先进行杀毒清除木马,确保无毒无木马后方能接入局内网络计算机设备上进行相关操作; 二是移动硬盘只能用于工作上的数据备份与交换,不得接入与互联网相连的计算机上使用,且须经各单位计算机管理员检查无毒无木马后才能重新启用该设备; 三是笔记本电脑确定专人负责,且原则上不得接入市局网络,如确需因公接入,只能通过移动介质传递; 四是非市局配发的计算机类设备严禁接入本局网络使用。 五是各单位如未按上述规定使用计算机设备,由此引起的网络安全事故,按相关规定处理并承担相应责任。 三、自查到位、不留死角 一是各单位检查人员在参加市局组织的检查培训后,迅速实施对本单位的信息安全检查,在规定时间内完成本单位所有计算机设备的安全隐患排查,确保每台计算机无毒无木马程序,同时对计算机实施流行病毒、木马免疫等加固措施; 二是市局信息中心根据总局检查方案,及时完成了对机房、服务器、操作系统等事关全局性的设备、策略、口令管理进行清理、设置、加固,确保全局性的信息安全; 三是市局信息中心对全局计算机设备加强监控,发现安全隐患及时预警,及时处理,把安全隐患控制在萌芽状态; 四是完成全局计算机类设备的清查、登记工作,为我局已经实施的计算机设备“责任到人、机随人走”的管理模式提供了数据保证,同时也确保了上报数据真实可靠。
信息系统监督检查制度及巡检记录表格
某单位 信息系统监督检查制度 第一章总则 第一条为加强和规范某单位信息系统安全监督检查工作,保障系统安全稳定运行,根据国家信息安全等级保护有关规定和信息系统安全有关管理规定制定本制度。 第二条本制度适用于某单位所属计算机信息系统建设、使用和运维管理中安全工作的监督检查。 第三条安全主管部门负责组织监督检查工作。人员管理、教育相关检查由主管人事部门具体执行,安全技术相关检查由某单位网络信息中心等技术部门具体执行。某单位网络信息中心安全审计员负责信息系统日常监督审计。 第二章实施细则 第四条检查内容包括各项信息系统技术措施有效性和安全管理制度执行情况。 第五条计算机、网络和移动存储介质的专项检查应填写检查登记表,检查结果汇总后报某单位信息化工作领导小组办公室,发现问题及时整改。 第六条每年至少两次对系统进行安全性能检测,确保系统安全稳定运行。 第七条系统安全性能检测由系统管理员、安全管理员
和安全审计员共同完成。 第八条利用漏洞扫描等工具对整个系统进行安全检查,进行网络系统安全分析、应用系统安全分析、安全防护系统安全分析、用户终端安全分析,发现漏洞或安全隐患及时采取整改措施。 第九条安全检查情况和整改操作应及时登记和记录。 (一)网络设备和网络服务器安全性能检测由网络管理员负责, 并根据检测情况填写《网络系统安全性能检测表》。 (二)应用系统安全性能检测由应用系统开发管理员负责,并根据检测情况填写《应用系统安全性能检测表》。 (三)安全防护系统安全性能检测由安全管理员负责,并根据检测情况填写《安全系统安全性能检测表》。 (四)用户终端安全检测由网络管理员负责,并根据检测情况填写《终端用户安全性能检测表》。 (五)漏洞扫描安全检测由系统管理员负责,并根据检测情况填写《系统漏洞扫描安全性能检测表》。 第十条安全管理员汇总各类安全性能检测表和整改情况后上报某单位信息化工作领导小组办公室和有关领导。 第三章附则 第十一条本规定由某单位网络信息中心负责解释。 第十二条本规定自发布之日起施行。
安全生产检查实施细则
安全生产检查实施细则 第一章总则 第一条安全生产检查是企业在安全管理和施工生产过程中,发现不安全因素和存在问题的有效方法,开展安全生产检查可以实现以下安全生产管理目标: (一)督促各项安全技术措施和管理制度的实施; (二)发现存在问题、事故隐患; (三)纠正违章行为; (四)评价安全状况; (五)提出重大隐患整治的对策并督促实施。 第二章安全检查的类别及组织 第二条安全检查类别主要有: (一)项目部专职安全人员常规检查; (二)施工队和班组检查; (三)高空作业、洞室开挖、高边坡开挖和深基坑开挖等危险作业施工专项检查; (四)防汛、设备、用电、防火、交通和起重作业等专业检查; (五)综合检查。 第三条现场值班检查,每天由项目部安全主管部门组织专职安全人员到施工作业现场巡视,并做好巡视记录,重大问题及时汇报。 第四条作业队检查由队长组织,每周对作业现场和日常安全管理工作进行检查,发现隐患及时整改,并做好记录。 第五条班(组)检查由班(组)长负责组织,对当班施工作业
面和施工人员进行安全检查,并做好检查记录。 第六条危险作业施工专项检查由项目部指派专人到作业现场落实专项技术措施和按规范要求进行全过程检查与监护。 第七条专业检查由各项目组织技术、设备物资、安全等有关专业人员根据施工的需要进行安全检查。 第八条综合检查由项目安全、工程技术、设备物资、生产经营等部门人员组成,其检查期限为: 项目部每月一次; 第九条安全检查主要方式有: (一)现场察看; (二)仪器监测; (三)查阅资料、文件、记录、报表; (四)听取汇报、召开座谈会; (五)其它形式。 第三章安全检查内容
信息系统安全检查的自查情况报告(完整版)
报告编号:YT-FS-4198-32 信息系统安全检查的自查情况报告(完整版) After Completing The T ask According To The Original Plan, A Report Will Be Formed T o Reflect The Basic Situation Encountered, Reveal The Existing Problems And Put Forward Future Ideas. 互惠互利共同繁荣 Mutual Benefit And Common Prosperity
信息系统安全检查的自查情况报告 (完整版) 备注:该报告书文本主要按照原定计划完成任务后形成报告,并反映遇到的基本情况、实际取得 的成功和过程中取得的经验教训、揭露存在的问题以及提出今后设想。文档可根据实际情况进行 修改和使用。 根据**市人民政府办公室《关于开展政府信息系统安全的检查的通知》(天政电[2010]52号)文件精神。我镇对本镇信息系统安全情况进行了自查,现汇报如下: 一、自查情况 (一)安全制度落实情况 1、成立了安全小组。明确了信息安全的主管领导和具体负责管护人员,安全小组为管理机构。 2、建立了信息安全责任制。按责任规定:保密小组对信息安全负首责,主管领导负总责,具体管理人负主责。 3、制定了计算机及网络的保密管理制度。镇网站
的信息管护人员负责保密管理,密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。 (二)安全防范措施落实情况 1、涉密计算机经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面有效性。 2、涉密计算机都设有开机密码,由专人保管负责。同时,涉密计算机相互共享之间没有严格的身份认证和访问控制。 3、网络终端没有违规上国际互联网及其他的信息网的现象,没有安装无线网络等。 4、安装了针对移动存储设备的专业杀毒软件。 (三)应急响应机制建设情况 1、制定了初步应急预案,并随着信息化程度的深入,结合我镇实际,处于不断完善阶段。 2、坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜,并商定其给予镇应急技术以最大程
安全检查管理实施细则
安全检查管理实施细则 Company Document number:WUUT-WUUY-WBBGB-BWYTT-1982GT
湖北长江路桥三江港疏通道路项目一期项目部 安全检查管理实施细则 第一章目的 第一条安全检查是建立良好的安全环境和生产秩序、保证做好安全工作的重要手段之一,为做到安全检查、监督制度化、经常化,特制定并执行本细则。 第二章范围 第二条本规定适用于项目部所属部室及与项目部有劳务协作关系的单位或个人。 第三章职责 第三条安全部负责制定、修订本规定,负责组织项目部安全检查与监督;负责对各部室及施工队的安全检查执行情况进行检查;负责安全隐患的纠正管理、复查与考核。 第四条各部室及施工队负责组织管理本职工作范围内的安全检查,对查出的问题及时组织整改。 第四章管理内容 第五条安全检查的原则 一安全检查是安全管理的一项重要制度。安全检查就坚持检查与整改相结合,边检查边整改和检查促进整改的原则。安全检查必须落实“谁主管谁负责”、“谁检查谁负责”的责任制度。 二安全检查应有明确的目的、要求和具体计划,项目部或所属部室及施工队的安全检查应成立由各级负责人、有关人员参加的安全检查组织。 第六条安全检查的内容
一安全检查的主要内容包括安全基础工作与现场安全管理两个部分,主要是查领导、查思想、查纪律(包括劳动纪律、工艺纪律、操作纪律、工作纪律、施工纪律)、查制度、查违章、查事故隐患,尤其是要加强对关键生产区域、重点生产部位、安全死角的检查。 二基层班组及岗位的安全检查内容应突出作业环境、人机安全状况、安全操作及遵章守纪等。 第七条安全检查的频次 项目部对部室的安全检查或抽查,每月集中组织一次,安全部安全检查每天一次,生产班组每天二次,岗位工人坚持每日巡检。 第八条安全检查的方式 安全检查采取日常检查、定期检查、专业检查、不定期检查等方式进行。 一日常检查 1、生产岗位工人应严格履行交接班检查和班中巡回检查,认真作好班组维护作业的检查; 2、主管领导或专职安全监督员坚持每周对所管辖范围内进行系统的检查; 3、非生产岗位人员应根据本岗位特点和工作性质,在工作前、工作中和下班前进行检查; 4、项目部领导和各部室应经常深入现场,在各自分管业务范围内进行检查,发现问题及时督促整改; 5、安全部应加强对重点要害部位的经常性检查,各级安全监督员应加强对直接作业环节的安全检查;