附件:
2012年度黨政機關信息系統(tǒng)
安全檢查實施方案
為加強黨政機關信息系統(tǒng)安全檢查工作�����,提高黨政機關信息系統(tǒng)安全保障能力,保證黨政機關信息系統(tǒng)和信息內(nèi)容安全����,根據(jù)《江蘇省政府信息系統(tǒng)安全檢查實施辦法》(蘇政辦發(fā)〔2009〕51號)(以下簡稱《實施辦法》)及市委信息系統(tǒng)安全檢查工作部署,按照2012年度工信部��、省信安辦黨政機關信息系統(tǒng)安全檢查要求及工作相關標準規(guī)范�����,結(jié)合我市實際����,制定本實施方案。
一���、檢查目的
通過開展信息系統(tǒng)安全檢查,掌握全市信息安全總體態(tài)勢����,發(fā)現(xiàn)存在的主要問題和薄弱環(huán)節(jié)��,推動各部門進一步健全信息安全管理制度��、完善信息安全保障技術措施、提高信息安全防護能力���。
二�、檢查范圍和內(nèi)容
對全市各級黨政機關信息安全工作進行全面檢查����。檢查內(nèi)容包括:各單位自行運行維護管理以及委托其他機構(gòu)運行維護管理的辦公系統(tǒng)、業(yè)務系統(tǒng)����、網(wǎng)站系統(tǒng),以及部分終端設備等����。檢查重點為公共服務業(yè)務系統(tǒng)和門戶網(wǎng)站。詳細內(nèi)容分別參見《2012年度黨政機關信息系統(tǒng)安全自查情況報告表》(附件1)�����。
涉及國家秘密的信息系統(tǒng)保密檢查工作��,按照國家保密管理規(guī)定執(zhí)行���。
三����、檢查原則
堅持“誰主管誰負責�����、誰運行誰負責��、誰使用誰負責”的原則���,統(tǒng)籌安排�、突出重點�����、明確責任�����、注重實效�。
市級黨政機關各部門信息系統(tǒng)安全檢查由市信安辦統(tǒng)一組織。
各轄市(區(qū))黨政機關各部門信息系統(tǒng)安全檢查由各轄市(區(qū))信息安全主管部門組織開展�����。
各部門直屬單位的信息安全檢查工作由各部門自行組織開展。
四����、檢查依據(jù)
(一)政策文件
1.《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發(fā)〔2003〕27號)
2. 《國務院辦公廳關于印發(fā)<政府信息系統(tǒng)安全檢查辦法>的通知》(國辦發(fā)〔2009〕28號)
3. 《國務院辦公廳關于加強政府信息系統(tǒng)安全和保密管理工作的通知》(國辦發(fā)〔2008〕17號)
4. 《國務院辦公廳關于印發(fā)國家網(wǎng)絡與信息安全事件應急預案的通知》(國辦函〔2008〕168號)
5. 《關于加強黨政機關計算機信息系統(tǒng)安全和保密管理的若干規(guī)定》(國保發(fā)〔2007〕13號)
6. 《省委辦公廳省政府辦公廳關于加強信息安全保障工作的意見》(蘇辦發(fā)〔2007〕25號)
7. 《省政府辦公廳關于印發(fā)〈江蘇省政府信息系統(tǒng)安全檢查實施辦法〉的通知》(蘇政辦發(fā)〔2009〕51號)
?��。ǘ┘夹g標準
1. 《信息安全風險評估規(guī)范》(GB/T 20984-2007)
2. 《信息安全風險管理指南》(GB/Z 24364-2009)
3. 《信息系統(tǒng)安全等級保護基本要求》(GB/T 22239-2008)
4. 《信息安全管理體系要求》(GB/T 22080-2008)
5. 《信息安全管理實用規(guī)則》(GB/T 22081-2008)
6. 《信息系統(tǒng)安全管理要求》(GB/T 20269-2006)
7. 《信息安全事件分類分級指南》(GB/Z 20986-2007)
8. 《信息安全事件管理指南》(GB/Z 20985-2007)
9. 《信息系統(tǒng)災難恢復規(guī)范》(GB/T 20988-2007)
10. 《信息安全應急響應計劃規(guī)范》(GB/T 24363-2009)
五���、檢查形式及時間安排
此次檢查分為自查和抽查兩個階段:
(一)自查階段
信息系統(tǒng)安全檢查以自查為主�。各級黨政機關應于6月30日前完成本年度信息安全自查,并參照《2012年度信息系統(tǒng)安全檢查工作報告》(附件2)內(nèi)容和格式要求��,報送工作總結(jié)���。
?��。ǘ┏椴殡A段
市信安辦主要成員單位將于今年7月對部分市級黨政機關和各轄市(區(qū))開展綜合抽查。對市級黨政機關抽查的主要內(nèi)容:一是部門自查和直屬單位檢查工作是否開展�,是否按時報送工作總結(jié);二是按照《2012年度黨政機關信息系統(tǒng)安全自查情況報告表》逐項檢查���,并核對自查準確度�;三是選擇1-2個重要信息系統(tǒng)進行現(xiàn)場技術檢測�,檢查安全措施部署落實情況。對各轄市(區(qū))的信息安全檢查內(nèi)容另發(fā)�。
六、檢查工作總結(jié)與情況通報
?���。ㄒ唬z查工作總結(jié)
各部門自查工作總結(jié)應包括《2012年度信息系統(tǒng)安全檢查工作報告》和《2012年度黨政機關信息系統(tǒng)安全自查情況報告表》。
各轄市(區(qū))的檢查工作總結(jié)應包括《2012年度信息系統(tǒng)安全檢查工作報告》和《2012年度轄市(區(qū))信息安全保障工作檢查表》(另發(fā))����。
(二)檢查情況通報
市信安辦將對各部門自查情況��、各轄市(區(qū))安全檢查組織工作情況進行匯總分析���,形成工作報告上報市網(wǎng)絡與信息安全協(xié)調(diào)小組和省網(wǎng)絡與信息安全協(xié)調(diào)小組辦公室�。同時����,市信安辦將按照《實施辦法》要求,向各轄市(區(qū))���、各部門通報相關檢查情況����,表彰工作先進單位。
七��、工作要求
?。ㄒ唬└鬏犑校▍^(qū))、各部門應將信息系統(tǒng)安全檢查列入重要議事日程���,切實加強組織領導�����,完善檢查工作機制�����,落實檢查工作經(jīng)費�,確保檢查工作順利開展�。
(二)請各轄市(區(qū))�、各部門認真填寫《江蘇省重要信息系統(tǒng)基本情況調(diào)查表》(附件3),并于6月8日前報送市信安辦(材料表格需蓋章)��。
(三)請市級黨政機關各部門于6月30日前����,將自查工作總結(jié)(紙質(zhì)文檔和電子光盤)報送市信安辦(紙質(zhì)材料需蓋章)。
各轄市(區(qū))信息安全主管部門要認真組織做好本地區(qū)黨政機關信息系統(tǒng)安全檢查工作�����,并于7月10日前將書面檢查工作總結(jié)報送市信安辦(紙質(zhì)材料需蓋章)��。
?��。ㄋ模└鬏犑校▍^(qū))、各部門可利用自有技術力量開展安全檢查工作��,其中�����,技術檢測工作應委托經(jīng)省或市備案的風險評估�����、等級測評等信息安全專業(yè)服務機構(gòu)協(xié)助開展�。
?�。ㄎ澹┪型獠繉I(yè)機構(gòu)協(xié)助開展技術檢測��,應與檢測機構(gòu)及人員簽訂安全保密協(xié)議�,明確安全保密責任和義務�����。協(xié)議中須注明以下內(nèi)容:1.遵守國家有關法律法規(guī)和信息安全相關政策規(guī)定�����,客觀�、公正地提供檢測服務;2.不得將檢測任務分包或轉(zhuǎn)包����;3.如實出具檢測結(jié)果,不得隱瞞檢測過程中發(fā)現(xiàn)的問題�����;4.加強對檢測人員的安全保密管理���,嚴格遵守安全保密制度規(guī)定��;5.不得向其他單位和個人泄露檢測數(shù)據(jù)和檢測結(jié)果��,不得擅自留存相關資料和檢測數(shù)據(jù)��,不得利用檢測數(shù)據(jù)謀取利益��;6. 遵循安全�����、可控原則����,所用軟��、硬件設備應為取得公安部銷售許可或經(jīng)國家信息安全強制認證的信息安全專用檢測設備����;7.檢測過程中應主動采取有效措施,防止因技術檢測引發(fā)信息安全事故�����。
?��。娀踩珯z查過程中的安全保密和風險控制���,切實加強對檢查活動����、檢查人員以及相關文檔和數(shù)據(jù)的安全保密管理�,確保被檢查信息系統(tǒng)的正常運行。
附件:1�、2012年度黨政機關信息系統(tǒng)安全自查情況報告表
2、2012年度信息系統(tǒng)安全檢查工作報告
3�、江蘇省重要信息系統(tǒng)基本情況調(diào)查表
附件1:
2012年度黨政機關信息系統(tǒng)安全自查情況報告表
部門名稱: 總分:
|
一、部門信息安全管理組織架構(gòu)(小計4分����,得分)
|
|
分管信息安全
工作的領導
(2分)
|
姓名:
職務:
|
|
信息安全責任處室
(1分)
|
名稱:
負責人:職務:
電 話:
|
|
信息安全員
(1分)
|
姓名:職務:
電話:
|
|
二、日常信息安全管理(小計10分�����,得分)
|
|
制度建設
(4分)
|
①信息安全和保密責任制度:□已建立□未建立
②機房及重要區(qū)域管理制度:□已建立□未建立
③資產(chǎn)管理制度:□已建立□未建立
④人員安全管理制度:□已建立□未建立
⑤門戶網(wǎng)站信息發(fā)布管理制度:□已建立□未建立
⑥信息系統(tǒng)外包服務安全管理制度:□已建立□未建立
⑦信息安全教育培訓制度:□已建立□未建立
|
|
人員管理
(3分)
|
①重要崗位人員信息安全和保密協(xié)議:
□全部簽訂□部分簽訂□均未簽訂
②人員離崗離職手續(xù)包括:
□終止系統(tǒng)訪問權(quán)限□收回軟硬件設備
□收回工作身份證件和門禁卡□簽訂離崗離職安全承諾書
③人員離崗離職安全承諾書:□全部簽訂 □部分簽訂 □均未簽訂
④外部人員訪問機房等重要區(qū)域的現(xiàn)場陪同記錄:□完整□不完整
|
|
資產(chǎn)管理
(3分)
|
①資產(chǎn)管理人員 :人��,姓名:
②資產(chǎn)賬物相符程度:□完全相符□不完全相符□嚴重不符
③資產(chǎn)管理方式:□統(tǒng)一編號���、統(tǒng)一發(fā)放□其他
④信息安全設備運維管理:
□已明確專人負責□未明確
□定期進行配置檢查���、日志審計等□未進行
⑤設備維修維護和報廢銷毀管理記錄: □完整□不完整
|
|
三�、信息安全防護管理(小計43分����,得分)
|
|
網(wǎng)絡安全
防護管理
(7分)
|
互聯(lián)網(wǎng)接入情況
(1分)
|
互聯(lián)網(wǎng)接入口總數(shù):個�����,其中:
電信接入口數(shù)量:個�����,接入帶寬:兆���,年租費:萬元;
聯(lián)通接入口數(shù)量:個�,接入帶寬:兆,年租費:萬元���;
其他:接入口數(shù)量:個���,接入帶寬:兆����,年租費:萬元�。部門IP地址包括:
|
|
網(wǎng)絡隔離
(2分)
|
①非涉密信息系統(tǒng)與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡隔離情況:
□物理隔離□邏輯隔離□無隔離
②涉密信息系統(tǒng)與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡隔離情況:
□物理隔離□邏輯隔離□無隔離
|
|
網(wǎng)絡邊界防護
(4分)
|
①網(wǎng)絡區(qū)域劃分是否合理:□合理□不合理
②安全防護設備策略:□使用默認配置□根據(jù)應用自主配置
③網(wǎng)絡邊界防護措施:□訪問控制 □安全審計 □入侵防范
□邊界完整性檢查□惡意代碼防范 □無措施
④互聯(lián)網(wǎng)訪問日志:□留存日志□未留存日志
|
|
信息系統(tǒng)
安全防護
管理
(15分)
|
信息系統(tǒng)基本情況
(1分)
|
①信息系統(tǒng)總數(shù):個,面向社會公眾提供服務的信息系統(tǒng)數(shù):個
②重要信息系統(tǒng):個□已按時填報□未填報
③委托社會第三方進行日常運維管理的信息系統(tǒng)數(shù):個��,其中簽訂運維外包服務合同的信息系統(tǒng)數(shù):個
|
|
定級備案
(2分)
|
①已定級系統(tǒng) 個���,其中:第一級:個 ,第二級:個第三級:個,第四級:個,第五級:個��,未定級:個
②備案情況:□已備案□未備案
|
|
系統(tǒng)安全測評
(6分)
|
本年度 ?��。ㄏ到y(tǒng))開展安全測評(含風險評估、等級測評)次數(shù):次, 其中�����,風險評估次����,評估機構(gòu)名稱: ,等級測評次�����,測評機構(gòu)名稱: ����;近兩年安全測評報告總數(shù):份
|
|
系統(tǒng)安全管理
(6分)
|
①服務器安全防護:
□已關閉不必要的應用、服務�����、端口□未關閉
□帳戶口令滿足8位�,包含數(shù)字、字母或符號□不滿足
□定期更新帳戶口令□未能定期更新
□定期進行漏洞掃描�����、病毒木馬檢測□未進行
②網(wǎng)絡設備防護:
□安全策略配置有效□無效
□帳戶口令滿足8位�����,包含數(shù)字���、字母或符號 □不滿足
□定期更新帳戶口令□未能定期更新
□定期進行漏洞掃描、病毒木馬檢測□未進行
③信息安全設備部署及使用:
□已部署有防病毒����、防火墻�、入侵檢測��、安全審計等功能的設備□未部署
□安全策略配置有效□無效
|
|
門戶網(wǎng)站
防護管理
(10分)
|
門
戶
網(wǎng)
站
管
理
(4分)
|
①網(wǎng)站是否備案:□是□否
②門戶網(wǎng)站賬戶安全管理:
□已清理無關帳戶□未清理
□無空口令��、弱口令和默認口令□有
③電子郵件功能(□開設□未開設)
□已作清理�,僅限本部門或有關人員使用□未作清理
□有技術措施用于控制和管理口令強度□無技術措施
□無空口令、弱口令和默認口令□有
④清理網(wǎng)站臨時文件��、關閉網(wǎng)站目錄遍歷功能等情況:
口已清理口未清理
⑤信息發(fā)布管理審核記錄: □完整□不完整
⑥網(wǎng)站系統(tǒng)計日志管理:□留存��,周期為:□不留存
⑦防篡改�、防攻擊技術措施:
□有,措施為□無措施
|
|
日常安全保障
(6分)
|
該項根據(jù)省信安辦定期組織開展的政務網(wǎng)站外部安全檢測結(jié)果和各部門是否及時有效實施安全整改等情況�����,由省信安辦進行評分���。
|
|
終端計算機
安全管理
(6分)
|
?��、俳K端計算機安全管理方式:
□集中管理,方式為:□用戶分散管理
②帳戶口令管理:
□無空口令�、弱口令和默認口令□有
③接入互聯(lián)網(wǎng)安全控制措施:
□有控制措施(如實名接入、綁定計算機IP和MAC地址等)
□無控制措施
④漏洞掃描���、木馬檢測:□定期進行□未進行
⑤在非涉密信息系統(tǒng)和涉密信息系統(tǒng)間混用情況:
□不存在□存在
⑥是否存在使用非涉密計算機處理涉密信息情況:
□不存在□存在
|
|
存儲設備
安全管理
(2分)
|
①移動存儲設備管理方式:
□集中管理�,統(tǒng)一登記�����、配發(fā)���、收回、維修��、報廢�����、銷毀
□未采取集中管理相關措施
②在非涉密信息系統(tǒng)和涉密信息系統(tǒng)間混用情況:
□不存在□存在
|
|
信息安全防護管理綜合評分
(3分)
|
該項由各有關單位結(jié)合自查情況�����,對本單位信息安全防護管理情況進行綜合評分����。抽查時����,該項由省信安辦根據(jù)抽查情況對各有關單位進行綜合評分��。
|
|
四���、信息安全應急管理(小計10分,得分)
|
|
部門應急預案制定及備案
情況
(5分)
|
□已制訂�,本年度修訂情況:□修訂□未修訂
□未制定
|
|
□已備案,報備部門����、時間:
□未備案
|
|
應急技術
支援隊伍
(1分)
|
□部門所屬單位□外部專業(yè)機構(gòu)□未明確
應急技術支援隊伍名稱:
|
|
安全事件處置
(6分)
|
①網(wǎng)絡與信息安全事件處置(省信安辦下發(fā)通知):
□及時整改□未整改
②重大信息安全事件(含Ⅲ級及Ⅲ級以上)處置情況:
□發(fā)現(xiàn)并及時處置整改□發(fā)現(xiàn)未處置□未及時整改□未發(fā)現(xiàn)
|
|
十����、信息技術外包服務(小計2分�,得分)
|
|
外包服務
(2分)
|
①信息系統(tǒng)運維服務:
□無外包□外包服務商現(xiàn)場運維 □外包服務商遠程運維
②現(xiàn)場服務記錄: □有詳細服務過程記錄 □有進出現(xiàn)場記錄□無記錄
③外包開發(fā)系統(tǒng)軟件測評情況:
□上線前均經(jīng)測評□部分測評 □均未測評
|
|
外包服務機構(gòu)
|
機構(gòu)名稱
|
|
|
機構(gòu)性質(zhì)
|
□國有□民營□外資
|
|
服務內(nèi)容[3]
|
|
|
外包服務合同
|
□已簽訂□未簽訂
|
|
信息安全和保密協(xié)議
|
□已簽訂□未簽訂
|
|
信息安全管理體系
認證情況
|
□已通過認證
認證機構(gòu):
□未通過認證
|
|
(如有多個外包機構(gòu)����,每個機構(gòu)均應填寫,可另附頁)
|
|
十一����、信息安全工作創(chuàng)新(最高加10分���,且加分后總分不超過100分��,得分)
|
|
人才培養(yǎng)
|
部門信息安全員參加CISP培訓��,每1人次獲證者加1分;參加其它國家級權(quán)威機構(gòu)信息安全培訓�,每1人次獲證者加0.5分�����。
|
|
創(chuàng)新實踐
|
信息安全工作獲國家���、省級主管部門行文表彰或以文件形式批轉(zhuǎn)作為試點示范推廣的��,國家級每項加3分����,省級每項加2分。
|
填表人:_____________ 部 職 別:_______________
電話:_______________ 填表日期:______________
附件2:
2012年度信息系統(tǒng)安全檢查工作報告
一�、信息安全狀況總體評價
概述本市(或本部門)信息安全工作情況,與上一年度相比信息安全工作取得的新進展�,對本市(或本部門)信息安全狀況的總體評價。
二���、2012年信息安全檢查情況
?�。ㄒ唬┬畔踩圆榍闆r
對照2012年度黨政機關信息系統(tǒng)安全檢查工作方案要求��,逐項描述本市(或本部門)2012年在信息安全組織管理��、日常管理��、安全防護�����、應急管理����、教育培訓、安全檢查等方面開展的工作情況��。
?��。ǘ┲睂賳挝恍畔踩珯z查組織實施情況
指導縣�����、區(qū)�����、市(或直屬單位)開展信息安全自查和組織抽查等有關情況。
三���、檢查發(fā)現(xiàn)的主要問題及整改情況
?����。ㄒ唬┐嬖谥饕獑栴}及其原因
描述安全檢查特別是技術檢測發(fā)現(xiàn)的主要問題和薄弱環(huán)節(jié)��,分析其存在原因��。
?�。ǘ┫乱徊焦ぷ鞔蛩?
針對檢查發(fā)現(xiàn)的問題提出整改計劃或整改措施�。
四、對信息安全工作的意見和建議
對信息安全工作特別是信息安全檢查工作提出意見和建議�����。
一��、根據(jù)《江蘇省政府信息系統(tǒng)安全檢查實施辦法》要求�,依據(jù)《信息系統(tǒng)安全保護等級定級指南》等相關技術標準,制作本表�。
二、本表所稱“重要信息系統(tǒng)”���,是指政府部門��、重要行業(yè)履行經(jīng)濟調(diào)節(jié)����、市場監(jiān)管�、社會管理和公共服務職能的非涉密信息系統(tǒng)。包括但不限于以下類別:
三��、本表封面“填報數(shù)量”�����,是指填報重要信息系統(tǒng)的數(shù)量;內(nèi)表可復印使用�����,每個重要信息系統(tǒng)填寫一張�����。