××单位安全检查报告

1、单位信息安全检查报告省公司公司单位2011 年 9 月1 概述根据国务院信息化工作办公室 关于对国家基础信息网络和重要信息系统开展安全检查的通知（信安通 200615 号） 、国家电力监管委员会关于对电力行业有关单位重要信息系统开展安全检查的通知（办信息 200648 号）以及集团公司的文件要求， 开展省公司公司 （以下简称公司） 范围内的信息安全检查工作。2 目标安全检查工作的主要目标是通过自评估工作，发现公司信息系统当前面临的主要安全问题，边检查边整改，确保公司信息网络和重要信息系统的安全。本次安全检查工作将完成以下任务：1） 完成直属各单位典型系统的信息安全风险评估工作。通过检查掌握当前

2、公司信息系统面临的主要安全问题，并在对检查结果进行分析判断的基础上提出整改措施。2） 进行公司范围内信息安全大检查，对各单位的基础网络和重要信息系统进行安全性自查，并将相关数据进行汇总分析，统计重大和典型信息安全事件， 及时发现和查找基础网络和重要信息系统存在的安全隐患，边检查边整改，确保公司基础网络和重要信息系统安全、可靠运行。3 组织机构成立省公司公司单位信息安全检查领导小组和工作小组，组织协调局信息安全检查工作。- 3 - 4检查方法安全检查工作中将采取风险评估的基本方法、对检查范围内的工作内容按照评估的基本框架进行，确保检查工作的出发点、过程和结果与实际情况相符。安全检查工作采用信息安

3、全风险评估的基本方法，按照“谁主管、谁负责，谁运营、谁负责”的原则，以各单位组织自评估（自查）为主，并与上级检查和专家指导相结合， 对检查范围内的工作内容按照评估的基本框架进行，确保检查工作的出发点、过程和结果与实际情况相符。为配合检查工作的顺利开展、 确保检查工作的实效， 在检查实施过程中， 应采取有效的检查工具，结合人工检查，并参照相关的技术规范进行。检查工作中， 按照检查列表由检查人员根据系统特点逐项检查，确保数据的可靠和真实，人工检查要进行签字和审核，确保检查双方对结果的认可。5检查内容5.1 资产清单表附件1 检查内容见 附件 1 资产清单表 。5.2 事件清单表附件2 检查事件清单

4、见 附件 2 事件清单表 。5.3 检查结果表附件3 检查结果见 附件 3 检查结果表 。6综合分析单位通过对本单位重要系统、重要网络设备、 重要服务器及其安全属性受破坏后的影响进行的识别， 将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、 承载敏感数据和业务的服务器进行登记汇总，形成了重要资产清单。通过对本单位半年内发生的较大的、或者发生次数较多的信息安全事件（网络故障、信息系统故障） 进行了汇总记录， 形成了本单位近半年内的的安全事件清单。我局根据广电公司下发的安全缺陷检查列表包括规章制度与组织管理、关建设备和服务采购情况、 网络与系统安全、 网络与应用系统、 安全技术管理与设备

5、运行状况、 存储备份系统、 介质及物理环境安全、 应急处置等进行了安全缺陷检查，填写了安全缺陷检查结果表。对我局的信息安全状况组织了单位信息部的所有系统管理人员、专职、专责进行分析和判断，明确了这些安全事件产生的原因，提出了针对的整改措施。附件 4 检查结果整改措施 。- 5 - 附件 1 资产清单表附件 2 事件清单表编号安全事件事件情况简单说明（）发生日期后果处理措施1 网络故障电信光缆中断，并时断时续。2006.4.25 2 信息系统故障营销系统的数据增长迅猛， 在业务繁忙期，出现 4 个集群节点会随机自动宕机现象，当日发生5 号服务器宕机。2006.3.20 - 7 - 附件 3 检查

6、结果表1. 规章制度与组织管理（满分110 分）检查项目检查内容检查分值1 组织机构（ 10分）是否成立了信息安全领导机构、工作机构？（缺一项扣 5 分）2 岗位职责（ 15分）是否有专职网络管理人员 ( 缺一项扣 3 分，兼职扣 1 分) 是否有专职应用系统管理人员( 缺一项扣3分，兼职扣 1 分) 是否有专职系统管理人员 ( 缺一项扣 3 分，兼职扣 1 分) 各专责的工作职责与工作范围是否有制度明确进行界定。（否扣 4 分， ）是否实行主、副岗备用制度（否扣2 分）3 病毒管理（ 12分）是否制定了计算机病毒防治管理制度 （否扣 3分）是否制定了定期升级的安全策略（否扣3 分）是否制定了

7、病毒预警和报告机制（否扣3 分）病毒扫描策略是否规定了1 周内至少进行一次扫描？（否扣 3 分）4 运行管理（ 50分）是否建立了信息系统运行管理规程？ （否扣 3分）重要操作是否实行工作票制度？（检查3 个月内的操作票，满分8 分）机房出入管理制度是否上墙？近3 个月的机房进出情况是否有记录？（满分8 分）运行值班制度是否规定了普通情况下58小时、 关键时期的 724小时的现场值班内容？（否扣 3 分）是否建立了缺陷管理制度（检查3 个月内情况，满分 8 分）是否建立了统计汇报制度（检查3 个月内情况，满分 8 分）是否建立了运维流程，并按照流程进行操作（检查 3 个月内情况，满分8 分）是

8、否对值班人员进行了安排？近3 个月值班记录内容是否详实？（满分4 分）5 账号与口令管理（23 分）是否制定了账号、口令管理制度？（否扣5分）普通用户账户密码、 口令长度要求是否大于6字符？管理员账户密码、 口令长度是否大于8字符？（每项不符扣4 分）半年内账户密码、 口令是否进行过变更？ （查看变更相关记录、通知、文件） （否扣 5 分）半年内系统用户身份发生变化后是否及时对其账户进行了变更或注销？（查看相关记录）（否扣 5 分）得分合计- 9 - 2. 关键设备和服务采购情况名称品牌数量外包服务商或运维服务情况( 注明是否为系统内单位 ) 服务评价（好、中、差）服务保密性要求执行情况（好、

9、中、差）交换机好好好好路由器好好小型机好好好好好好防火墙好好入侵检测防病毒好好好好漏洞扫描网管软件好好安全监控平台风险评估、安全管理、安全规划等咨询服务好好好好好好好好安全运维、安全加固、网络优化等外包服务好好好好产品安全性测试服务- 11 - 3. 网络与系统安全（100 分）检查项目检查内容检查分值1 网络架构 （25）局域网核心交换设备，广域网核心路由设备是否采取了设备冗余或准备了备用设备？（满分10分，关键点缺一项扣2 分，扣完为止）是否有不经过防火墙的外联链路？（满分10分，有扣 10 分）是否有当前准确的网络拓扑结构图？（满分5分）2 网络分区（ 8）生产控制系统和管理信息系统之间

10、是否部署了隔离措施（满分 5 分）vlan 间的访问控制是否合理？（满分3 分）3 网络设备 （23）网络设备配置是否进行了备份？（电子、物理介质） （满分 3 分）网络关键点设备是否双电源？（满分5 分）是否关闭了 http 、ftp 、tftp等服务？（满分5 分）snmp 社区串、本地用户口令是否强健 （8字符，数字、字母混杂）？（满分10 分，一项不合格扣 5 分）4 ip 管理（ 14）是否有 ip 地址管理系统？（满分3 分）是否有 ip 地址的规划方案和分配策略？ （满分8 分）是否有 ip 地址分配记录？（满分3 分）5 补丁管理（13）是否有补丁管理的手段，或管理制度？（满分

11、5 分）windows系统主机补丁安装是否齐全？ （满分 5分）是否有补丁安装的测试记录？（满分3 分）6 系统安全配置（8）是否对操作系统的安全配置进行了严格的设置？（满分 5 分）是否删除了系统中不必要的服务、协议？（满分 3 分）8 主机备份（10）重要的系统主机是否采用了双机备份？（满分5 分）是否进行过热切换，或者故障恢复的测试？ （满分 5 分）得分合计4. 网络服务与应用系统（100 分）检查项目检查内容检查分值1 www 服务（ 25）www服务用户账户、口令是否健壮？（查看登录）（满分 10 分）信息发布是否进行了分级审核？ （查看审核记录）（满分 5 分）外部网站是否有备份

12、，或其他保护措施？（满分10 分）2 电子邮件服务（20）是否对近 3 个月的邮件数据进行了备份？（满分5 分）是否有专门针对邮件病毒、垃圾邮件的安全措施？（满分 5 分）邮件系统管理员账户/ 口令是否强健？邮件系统的维护、检查是否有审计记录？（满分10 分）3 远程拨号访问服务（15）是否有限制远程拨号访问的管理措施？（满分5分）用于业务系统维护的远程拨号访问是否采取了身份验证、访问操作记录等措施？（满分10 分）4 应用系统（40）应用系统的角色、权限分配是否有记录？（满分5 分）用户账户的变更、修改、注销是否有记录？（查看半年记录情况）（满分 10 分）关键应用系统的数据功能操作是否进行

13、审计？审计信息是否进行了长期存储？（满分5 分）是否有针对关键应用系统的应急预案？（满分10分）关键应用系统管理员账户、用户账户口令是否定期进行了变更？（满分5 分）新系统上线前是否进行过安全性测试？（满分5分）得分合计- 13 - 5. 安全技术管理与设备运行状况（90 分）检查项目检查内容检查分值1 防火墙（ 35）网络中的防火墙部署位置是否合理？（满分10分）防护墙规则配置是否符合安全要求？（满分10分）防护墙规则配置的建立、 更改是否有规范的申请、审核、审批流程？（查看半年内的记录）（满分10 分）是否对防火墙日志进行了存储、备份？（满分5分）2防 病 毒 系 统（20）防病毒系统是否

14、覆盖所有服务器及客户端？（覆盖率至少应大于 90） （满分 5 分）对服务器的防病毒客户端管理策略配置是否合理？（自动升级病毒代码、每周扫描） （满分 10分）是否有专责人员负责维护防病毒系统，并及时发布病毒通告？（满分5 分）3 入侵检测系统（15 ）检查入侵检测系统部署是否合理、能否覆盖主要网络边界与主要服务器？（满分5 分）是否定期对审计信息进行分析？（满分5 分）是否定期更新入侵检测的规则与升级？（满分5分）4 安全技术管理（20 ）是否部署了身份认证系统？（满分3 分）是否部署了安全管理平台？（满分2 分）是否采用了漏洞扫描系统？（满分5 分）重要系统一年内是否进行了信息安全风险评估

15、？（满分 5 分）是否部署了针对安全设备的日志服务器？（满分5 分）得分合计6. 存储备份系统（50 分）检查项目检查内容检查分值1 备份策略（ 10）是否建立了明确、合理的备份策略？是否严格按照备份策略对系统数据进行备份？（查看备份策略文件、查看备份记录，或查看备份工具配置）（满分 10 分）2 恢复预案（ 20）是否建立了明确的恢复预案？ （查看文件） （满分10 分）是否定期进行恢复演练？（查看半年演练记录）（满分 10 分）3 备份介质管理（20）检查是否建立介质的管理制度和废弃介质的处理制度 （满分 10 分）储存介质是否存放在安全环境（满分5 分）是否有严格的介质存取控制，是否有专

16、人对存储介质进行管理（满分5 分）得分合计- 15 - 7. 介质及物理环境安全（70 分）检查项目检查内容检查分值1 机房内部安全防护（ 5）主机房是否安装了门禁、监控与报警系统？（满分 5 分）2 机房供、配电（25）是否有详细的机房配线图？（满分5 分）机房供电系统是否将动力、照明用电与计算机系统供电线路分开？（满分5 分）机房是否配备应急照明装置？（满分5 分）是否定期对 ups的运行状况进行检测？（查看半年内检测记录）（满分 10 分）3 机房环境防护（20）是否采用了气体防火措施？（满分10 分）空调系统是否定期进行检查？（满分5 分）机房温度是否控制在摄氏26 度以下？（满分5分

17、）4 介质管理（ 20）是否有相应的介质管理规定。 （否扣 5 分）u 盘、移动硬盘等存储介质是否有资产记录和责任人（否扣 5 分）磁盘、光盘等存储介质是否有专人保管？（否扣5 分）笔记本使用是否有明确的管理制度？ （否扣 5 分）得分合计8. 应急处置（ 30 分）检查项目检查内容检查分值1 应急预案（ 15）重要系统是否有完善的、 可操作的应急预案？（满分 5 分）是否对应急预案进行了定期演练？（满分10 分）2 通报机制（ 5）是否按照集团公司的要求建立了及时的信息安全信息通报机制？（满分5 分）3 故障联动机制（5）是否建立了良好的故障通讯联动机制，联合进行防护？（满分 5 分）4 故

18、障抢修机制（5）是否建立了完善的信息网故障抢修机制，应急资源是否到位？（满分5 分）得分合计- 17 - 附件 4 检查结果整改措施1. 规章制度与组织管理检查项目检查内容检查说明及存在问题整改措施1 组织机构是否成立了信息安全领导机构、工作机构？成立了信息化工作领导小组（ 20024 号关于成立集团供电分公司信息化工作领导小组的通知 ） ，而单位信息安全管理规范 中明确定义信息安全组织的架构和职能， 但由于人员编制问题，目前还没有完全按照该规范执行严格按照单 位 信 息 安 全管 理 规 范 和 单 位 信息 安 全 管 理 实施指南成立安全 领 导 机 构 和工作机构。2 岗位职责是否有专

19、职网络管理人员配备了 1名专职网络管理员。信息网 络日 益扩大，1 名不够。是否有专职应用系统管理人员由于信息部岗位配置不足，存在兼职的应用系统管理人员。不是每 个系 统都有专职人员是否有专职系统管理人员配备了 1名专职系统管理员。各专责的工作职责与工作范围是否有制度明确进行界定。单位信息部岗位职责有明确界定。是否实行主、副岗备用制度由于信息部岗位配置不足，没有实行主、副岗备用制度。在目前 的岗 位配置情况下，争取网络管理员实行主、副岗备用制度。3 病毒管理是否制定了计算机病毒防治管理制度已制定单位计算机病毒防范管理制度。是否制定了定期升级的安全策略在单位计算机病毒防范管理制度 中有具体的规定

20、。而且在病毒管理平台上已经配置了定期升级的安全策略。在 单位计算机病毒 防范 管理制度体现是否制定了病毒预警和报告机制病毒报告机制在 单位安全事件应急处理预案中体现。完善在单位计算机 病毒 防范管理制度体现。病毒扫描策略是否规定了1 周内至少进行一次扫描？在病毒管理平台上已经配置了每周的病毒扫描策略。4 运行管理是否建立了信息系统运行管理规程？按照省公司颁布的 管理信息系统建设与运行维护管理导则，每一个信息系统都制定了运行管理规程。- 19 - 重要操作是否实行工作票制度？供电信 2006 21 号 关于修定相关信息系统管理制度的通知之省公司单位信息网络入网工作票文件规定了重要操作实行工作票制

21、度。机房出入管理制度是否上墙？近3 个月的机房进出情况是否有记录？供电信 2006 21 号 关于修定相关信息系统管理制度的通知之省公司单位计算机专业机房工作需知 文件规定机房管理制度必须上墙。有近 3个月的机房进出情况记录。运行值班制度是否规定了普通情况下58 小时、关键时期的724 小时的现场值班内容？机房运行值班制度 有规定。是否建立了缺陷管理制度（检查3 个月内情况， ）有对网络设备、业务系统、服务器进行定期巡检，发现缺陷并进行整改，有 3 个月内的记录。但未制定相关的缺陷管理制度。参考省公司电力通信设 备缺 陷管理办法，尽快制定 单位信息系统设 备缺 陷管理制度 。是否建立了统计汇报

22、制度（检查3 个月内情况， ）每月底统计汇总全地区信息系统运行月报， 上报给局生产例会。是否建立了运维流程，并按照流程进行操作（检查 3 个月内情况，）建立了运维流程， 有 3 个月内的运维情况记录。是否对值班人员进行了安排？近3 个月值班记录内容是否详实？针对日常、节假日、突发情况等类型， 都对值班人员进行了安排。 有近 3 个月详实值班记录内容。 平时没有值班人员， 关键时候或节假日有值班人员。bs7799 ， 人员配备5 账号与口令管理是否制定了账号、口令管理制度？已制定单位帐号口令管理制度。普通用户账户密码、口令长度要求是否大于 6 字符？管理员账户密码、口令长度是否大于 8 字符？在

23、单位帐号口令管理制度中作了严格规定。半年内账户密码、口令是否进行过变更？（查看变更相关记录、通知、文件）除系统管理帐户外， 大部分普通账户密码、 口令半年内未进行过变更。局发文 要求 所有员 工 严 格 执 行 单位 帐号口令管理制度半年内系统用户身份发生变化后是否及时对其账户进行了变更或注销？系统用户身份发生变化后有及时对其账户进行变更或注销， 但没有做记录。要求系 统管 理员严格执行单位帐号 口令 管理制度- 21 - 2. 网络与系统安全检查项目检查内容检查说明及存在问题整改措施1 网络架构局域网核心交换设备，广域网核心路由设备是否采取了设备冗余或准备了备用设备？局域网、城域网核心设备共

24、用 1 台三层交换机，使用另外1 台作为冷备06 年新建城域网及局域网项目中进行改造是否有不经过防火墙的外联链路？是否有当前准确的网络拓扑结构图？有准确的网络拓扑图2 网络分区生产控制系统和管理信息系统之间是否部署了隔离措施（满分 5 分）部署 cisco pix防火墙vlan间的访问控制是否合理？vlan间的访问根据需求进行控制3 网络设备网络设备配置是否进行了备份？（电子、物理介质）网络设备配置进行电子介质备份，并在每次更改都进行备份网络关键点设备是否双电源？城域网核心设备、局域网为核心设备均为双电源，汇聚层设备、关键防火墙只有单电源重要路由器、防火墙已有一台冷备是否关闭了 http 、f

25、tp 、tftp等服务？已关闭http 、ftp 、tftp服务snmp 社区串、本地用户口令是否强健 （8 字符，数字、字母混杂）？snmp字 符串 长 度 不够，本地用户口令较强健06 年新建城域网及局域网项目中进行改造4 ip 管理是否有 ip 地址管理系统？是否有 ip 地址的规划方案和分配策略？有是否有 ip 地址分配记录？（满分3 分）有5补丁管理是否有补丁管理的手段，或管理制度？安装了 wsus 系统windows系统主机补丁安装是否齐全？自动下载补丁，安装齐全是否有补丁安装的测试记录？服务器有补丁安装的测试记录，普通客户端无测试记录6系统安全配置是否对操作系统的安全配置进行了严

26、格的设置？在域控制器的组策略里做了部份安全策略配置07 年对 ad域进行改造，加强客户端、服务器的安全配置是否删除了系统中不必要的服务、协议？对客户端作部分服务的限制07 年对 ad域进行改造，加强对客户端、服务器的不必要的服务、协议进行限制8主机备份重要的系统主机是否采用了双机备份？仅对部分重要业务系统采用双机热备07 年对财务、客服系统采用双机热备是否进行过热切换，或者故障恢复的测试？采用了双机备份的系统进行过热切换，或者故障恢复的测试。- 23 - 3. 网络服务与应用系统检查项目检查内容检查说明及存在问题整改措施1 www 服务www 服务用户账户、口令是否健壮？（查看登录）统 一由省

27、 公 司提供 对外 web 服务。信息发布是否进行了分级审核？（查看审核记录）执 行分 级审 核记录齐全。外部网站是否有备份，或其他保护措施？统 一由省 公 司提供 对外 web 服务，有保护措施。2 电子邮件服务是否对近 3 个月的邮件数据进行了备份？没 有提供 互 联网电 子邮件服务。是否有专门针对邮件病毒、垃圾邮件的安全措施？没 有提供 互 联网电 子邮件服务。邮件系统管理员账户/ 口令是否强健？邮件系统的维护、检查是否有审计记录？没 有提供 互 联网电 子邮件服务。3 远程拨号访问服务是否有限制远程拨号访问的管理措施？我 局已取 消 远程拨 号访问服务。用于业务系统维护的远程拨号访问是

28、否采取了身份验证、访问操作记录等措施？我 局业 务系 统维护不采 用远 程拨 号访问方式。4 应用系统应用系统的角色、权限分配是否有记录？在各个应用系统运维管理规程里明确应用系统的角色、权限分配，并有详细记录。用户账户的变更、修改、注销是否有记录？（查看半年记录情况）全 局的域 控 制系统 有用 户账户 的 变更、 修改、注销的记录，并且按 审批流 程 填写了 完整 的信 息 业务申 请表 ，但其他业务系统暂时没有实行。要求各应用系统内用户账户的变更、修改、 注销进行详细记录， 每年由相关系统管理员填写并整理归档。关键应用系统的数据功能操作是否进行审计？审计信息是否进行了长期存储？关 键应用

29、系 统的 操 作没 有完全 实 行审计 日志功能，但目前的营销系 统中涉 及 营销收 费的 关键操 作 都有对操作进行审计。新建系统要求具备对数据操作进行审计的功能。是否有针对关键应用系统的应急预案？针 对大面 积 停电已 建立信息系统针对大停电 应事故 急 处理预 案操作手册并发文，其中 包含 关键 应用系 统针 对大停 电 事故的 应急预案按照 信息系统管理规范和指南完善对其他事故预案。关键应用系统管理员账户、用户账户口令是否定期进行了变更？业 务系统 暂 时没有 实行。单位帐号口令管理制度明确规定关键应用系统管理员账户、用户账户口令定期进行变更，- 25 - 并进行详细记录，每年由相关系

30、统管理员整理归档。新系统上线前是否进行过安全性测试？新 系统在 正 式投运 前都 有一至 三 个月的 试运 行期； 在 试运行 期内，都有进行相关的数据库连接，业务应用等实际操作的测试。暂时没 有针对 安 全性的 相应 制度及 专 用的测 试手段了解相关测试技术，联系技术力量好的厂家做技术交流4. 安全技术管理与设备运行状况检查项目检查内容检查说明及存在问题整改措施1 防火墙网络中的防火墙部署位置是否合理？部署合理防护墙规则配置是否符合安全要求？符合安全要求防护墙规则配置的建立、更改是否有规范测申请、审核、审批流程？（查看半年内的记录）已建立 单位网络设备调整变更制度，其中对设备的接入、变更以

31、及废弃都有详细流程规定，但工作中还存在不依照制度执行的情况。严格按照单位网络设备调整变更制度执行是否对防火墙日志进行了存储、备份？每个季度进行巡检并对日志进行分析、存储2 防病毒系统防病毒系统是否覆盖所有服务器及客户端？（覆盖率至少应大于90）防病毒系统覆盖率以超过 95。对服务器的防病毒客户端管理策略配置是否合理？（自动升级病毒代码、每周扫描）每天自动升级病毒代码；配置每周对服务器进行病毒扫描操作。是否有专责人员负责维护防病毒系统，并及时发布病毒通告？有专责人员负责维护防病毒系统；会不定期的将危害性高的病毒通过电子邮件通知大家3 入侵检测系统检查入侵检测系统部署是否合理、能否覆盖主要网络边界

32、与主要服务器？01 年曾购置 iss 入侵检测系统， 但由于升级费用在 06 年的 idc安全防范项目中新建- 27 - 昂贵和厂家维护不到位，现已停用。是否定期对审计信息进行分析？未进行在 06 年的 idc安全防范项目中新建后执行是否定期更新入侵检测的规则与升级？未有在 06 年的 idc安全防范项目中新建后执行4 安全技术管理是否部署了身份认证系统？已部署 pki/ca，但未投入使用。验收后将投入使用是否部署了安全管理平台？未部署明年部署是否采用了漏洞扫描系统？未有在 06 年的 idc安全防范项目中建立漏洞扫描系统重要系统一年内是否进行了信息安全风险评估？隔年进行一次信息安全风险评估以

33、后在每年增加信息安全风险评估预算是否部署了针对安全设备的日志服务器？未有07 年新增对安全设备的日志管理系统5. 存储备份系统检查项目检查内容检查说明及存在问题整改措施1 备份策略是否建立了明确、 合理的备份策略？是否严 格按照 备份 策略 对系 统 数据 进行 备份？ （查看备份策略文件、 查看备份记录，或查看备份工具配置）已建立了明确、合理的备份策略； 并严格按照备份策略对系统数据进行备份；每季度有专人负责巡检。2 恢复预案是否建立了明确的恢复预案？（查看文件）已制定数据恢复预案 ，针对文件数据、业务系统的数据库做了明确的技术处理恢复的解决方案，但没有经过实际的操作演练。今后每年根据业务系

34、统的重要等级及硬件平台的冗余程度，选择合适的非业务繁忙时间，与业务管理部门协商确定恢复演 练 的 方案 及具 体的 实 施操作，并严格按照数据恢复预案内的流程执行操作，积累相关经验，记录存档并不断修编完善该数据恢复预案是否定期进行恢复演练？ （查看半年演练记录）对个别业务系统进行过部分数据的恢复演练，但没有记录。今后每年根据业务系统的重要等级及硬件平台的冗余程度，选择合适的非业务繁忙时间，与业务管理部门协商确定恢复演 练 的 方案 及具 体的 实 施操作，并记录存档。3 备 份 介 质 管理检查是否建立介质的管理制度和废弃介质的处理制度已制定的 单位数据备份管理制度有关于介质的在今后介质的存取控制和废弃介质的处理时，严格执行相关- 29 - 管理和废弃介质的处理办法， 但没有形成相应的处理记录。记录并存档。储存介质是否存放在安全环境磁带存储介质目前与其他光盘、 磁盘介质存放在有恒温恒湿空调的信息专业机房的