👋 欢迎来到 律咖网
连接海外本地律师与出海创业者
【始于2015 | 11年持续经营 | 经营年限全国同行前10%】
企业信用良好 | 数据来源:芝麻企业信用
合作微信:lvga2015
关于组织开展2010年度全市政府信息系统安全检查工作的通知
关于组织开展2010年度全市政府信息系统安全检查工作的通知 颁布单位:江苏省镇江市人民政府办公室 | 文号:镇政办发〔2010〕161号 ---|--- 颁布日期:2010-07-26 | 失效日期: 效力级别:地方政府规范性文件 | 关于组织开展2010年度全市政府信息系统安全检查工作的通知 镇政办发〔2010〕16
关于组织开展2010年度全市政府信息系统安全检查工作的通知
| 颁布单位:江苏省镇江市人民政府办公室 | 文号:镇政办发〔2010〕161号 |
|---|---|
| 颁布日期:2010-07-26 | 失效日期: |
| 效力级别:地方政府规范性文件 |
关于组织开展2010年度全市政府信息系统安全检查工作的通知
镇政办发〔2010〕161号
各辖市、区人民政府,镇江新区管委会,市各委办局,各直属单位、企事业单位:
依据《江苏省政府信息系统安全检查实施办法》(苏政办发〔2009〕51号)(以下简称《实施办法》)和省信安办《关于组织开展2010年度全省政府信息系统安全检查工作的通知》(苏信安办〔2010〕6号)等文件要求,经研究,决定在全市开展2010年政府信息系统安全检查工作。
现将《2010年度镇江市政府信息系统安全检查实施方案》印发给你们,请认真组织实施。
二○一○年七月二十六日
2010年度镇江市政府信息系统
安全检查实施方案
为切实做好2010年度全市政府信息系统安全检查工作,依据《江苏省政府信息系统安全检查实施办法》(苏政办发〔2009〕51号)(以下简称《实施办法》)和省信安办《关于组织开展2010年度全省政府信息系统安全检查工作的通知》(苏信安办〔2010〕6号)等文件要求,结合我市实际,制定本实施方案。
一、检查目的
依据国家和省有关政策规定和技术标准,对政府各部门信息安全工作进行全面检查,了解掌握政府信息系统安全总体状况,发现存在的主要问题和薄弱环节,完善信息安全管理制度,加强安全防护措施,提高信息安全工作水平。
二、检查原则
坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,突出重点,注重实效。各辖市(区)、各部门、各单位自查与市相关部门统一组织的抽查相结合。
三、检查依据
(一)政策文件
1.《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)
2.《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》(国办发〔2009〕28号)
3.《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》(国办发〔2008〕17号)
4.《国务院办公厅关于印发国家网络与信息安全事件应急预案的通知》(国办函〔2008〕168号)
5.《关于加强党政机关计算机信息系统安全和保密管理的若干规定》(国保发〔2007〕13号)
6.《省委办公厅省政府办公厅关于加强信息安全保障工作的意见》(苏办发〔2007〕25号)
7.《省政府办公厅关于印发〈江苏省政府信息系统安全检查实施办法〉的通知》(苏政办发〔2009〕51号)
8.其他有关政策规定
(二)技术标准
1.《信息安全风险评估规范》(GB/T20984-2007)
2.《信息安全风险管理指南》(GB/Z24364-2009)
3.《信息系统安全等级保护基本要求》(GB/T22239-2008)
4.《信息安全管理体系要求》(GB/T22080-2008)
5.《信息安全管理实用规则》(GB/T22081-2008)
6.《信息系统安全管理要求》(GB/T20269-2006)
7.《信息安全事件分类分级指南》(GB/Z20986-2007)
8.《信息安全事件管理指南》(GB/Z20985-2007)
9.《信息系统灾难恢复规范》(GB/T20988-2007)
10.《信息安全应急响应计划规范》(GB/T24363-2009)
11.其他有关技术标准
四、检查范围
为各部门履行职能提供支撑的非涉密信息系统,包括自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、网站系统等。各部门的重要业务系统、门户网站是检查重点。
五、检查内容
(一)信息安全组织机构
检查信息安全工作主管领导、信息安全管理机构、各内设机构信息安全员等设置情况。按照《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》要求,各部门应明确一名副职领导主管信息安全工作,应指定一个科级内设机构承担信息安全管理工作,并指定一名专职或兼职信息安全员。
(二)日常信息安全管理
1.人员管理。查验相关文档、文件、记录等,检查信息安全和保密责任制建立及落实情况,人员离岗离职信息安全管理情况,外部人员访问机房等重要区域管理情况,违反制度规定造成信息安全事件的责任查处情况等。
2.资产管理。查验相关文档、台帐、记录等,检查资产管理制度建立及落实情况,办公软件、应用软件等安装与使用情况,计算机及相关设备维修维护管理、存储设备报废销毁管理情况等。
3.运维管理。查阅相关文档和记录,检查信息系统运营和使用权限管理、重要变更审批备案、日常运维操作管理、安全日志定期备份和分析等情况。对于委托外单位运行管理的,应查看服务合同和安全保密协议等相关资料。
(三)等级保护与风险评估
1.等级保护。检查信息安全等级保护有关文件要求的落实情况。通过查看等级保护定级表格、备案证明、测评报告等相关文档,检查信息系统定级、备案、测评及整改等情况。
2、风险评估。检查信息系统开展风险评估工作情况,查看风险评估协议、服务机构及人员资格、评估报告等相关文档,检查评估、整改及备案等情况。
(四)技术防护手段建设
1.网络边界安全防护。检查系统总体网络架构、子系统分布、终端节点、区域划分及边界防护、网络管理等情况;互联网接入情况;终端接入互联网时是否有安全信息提示措施等。
2.信息安全产品部署及使用。检查防火墙、入侵检测、安全审计、病毒防护等信息安全产品部署及使用情况,以及信息安全产品策略配置有效性等。
3.服务器安全防护。检查服务器上应用、服务、端口、链接以及系统补丁等情况,是否关闭了不必要的应用、服务、端口、链接;账号口令强度和更新情况;病毒木马防护措施,是否定期进行漏洞扫描、病毒木马检测等。
4.网络设备安全防护。检查安全配置有效性;账号口令强度和更新情况;是否定期进行漏洞扫描等。
5.终端计算机和移动存储设备(含打印机、扫描仪、照相机等具有存储功能的外部设备)安全防护。检查终端计算机是否采取集中安全管理措施;计算机账号口令强度和更新情况;终端计算机接入互联网安全控制措施(如实名接入、对计算机IP和MAC地址进行绑定、指定固定上网IP地址等);是否安装病毒防护软件,定期进行漏洞扫描、病毒木马检测;是否在非涉密和涉密信息系统间混用了计算机和移动存储设备,是否使用了非涉密计算机处理涉密信息等。
6.门户网站安全防护。检查网站信息发布审批制度建立及落实情况;边界防护、抗拒绝服务攻击、网页防篡改等安全防护设备的部署情况,以及安全配置策略的有效性;是否定期进行漏洞扫描、木马检测等。
7.密码技术防护。检查采用密码技术对信息系统、终端计算机、电子文档等进行保护的情况,使用的密码技术产品及含有密码技术的信息技术产品是否符合国家密码管理规定。
8.网络信任措施。检查采用数字证书方式实现身份认证和授权管理的情况,使用的数字证书是否符合国家电子认证服务管理规定。
(五)应急管理工作开展
1.应急预案。检查《江苏省网络与信息安全事件应急预案》落实情况,是否制定了本部门信息安全应急预案,是否及时修订,是否组织开展了相应的宣贯培训。
2.应急演练。检查是否按照要求开展了信息安全应急演练。对于已开展演练的,应检查演练相关文档(包括演练组织单位、参与部门、演练责任人、演练时间、演练内容等)。
3.应急技术支援队伍。检查是否按照要求明确了应急技术支援队伍。对于已明确的,应检查签订协议和安全保密条款等,掌握应急技术支援队伍的基本情况以及开展的应急技术支援活动等。
4.灾难备份。检查是否根据实际需要对重要数据和信息系统进行了灾难备份。对于采用社会灾难备份服务的,应对其服务合同、安全保密协议以及灾备系统运维情况等进行重点检查。
5.信息安全事件应急处置。检查本年度发生的信息安全事件及处置情况。对于发生重大信息安全事件的,应检查是否进行了及时处置,是否按照要求上报和通报等。
(六)信息技术产品和信息安全产品使用
1.信息技术产品。检查服务器、网络设备、存储设备、终端计算机、字处理软件等使用本国产品的情况。使用捐赠或试用的服务器、网络设备、存储阵列等产品,应检查产品应用范围、签订的相关协议,以及使用前是否进行安全测评等。
2.信息安全产品。检查防火墙、入侵检测设备、安全审计设备、VPN设备等信息安全产品使用国产产品的情况。使用捐赠或试用的信息安全产品,应检查产品应用范围、签订的相关协议,以及使用前是否进行安全测评等。
国产终端计算机、国产字处理软件、国产信息安全产品,暂按以下方法进行认定:(1)国产终端计算机应具有国内品牌,最终产品在中国境内生产,并符合法律法规和政策规定的其他条件;(2)国产字处理软件应具有国内品牌,最终产品在中国境内生产,拥有核心模块的自主知识产权和源代码,并符合法律法规和政策规定的其他条件;(3)国产信息安全产品应具有国内品牌,最终产品在中国境内生产,拥有核心模块的自主知识产权和源代码,通过国家认定的信息安全产品检测实验室的检测,并符合法律法规和政策规定的其他条件。
(七)信息安全服务
查看服务合同、安全保密协议等文件,检查信息安全服务机构的服务内容,是否具有相应的服务记录,是否有远程在线服务,是否由外资机构提供服务等。
(八)信息安全教育培训
检查领导干部和机关工作人员参加信息安全教育培训、掌握信息安全常识和基本技能情况,信息安全管理和技术人员参加信息安全专业培训情况等。
(九)信息安全经费保障
检查信息安全防护设施建设、运行、维护、检查及管理等费用是否纳入部门年度预算,以及本年度信息安全经费实际投入情况等,特别是要检查是否按照《实施办法》要求落实了安全检查工作经费。
(十)安全隐患排查及整改
检查对本年度是否开展信息系统安全自查,是否委托经省、市备案的信息安全服务机构进行安全隐患排查,是否制定了整改措施并及时进行了整改等。
六、检查报告
各辖市区、各部门报送的检查报告主要包括三方面内容:一是信息安全总体情况,包括本年度信息安全工作主要情况,安全检查工作开展情况及检查效果,对本地区、本部门信息安全状况的总体评价。二是主要问题及整改情况,包括本年度安全检查发现的主要问题和整改措施以及整改落实情况。三是经验总结及意见建议,包括本地区、本部门安全检查工作的经验总结,对市安全工作特别是安全检查工作的意见建议。检查报告应包括附件:《2010年度政府信息系统安全自查情况报告表》。
检查报告包括纸质文档和光盘(电子文档)。电子文档应使用符合国家标准《中文办公软件文档格式规范》(GB/T20916-2007)的文档格式。(支持国家标准文档格式的国产软件有:金山WPSOffice、永中集成Office、中标普华Office、红旗贰仟RedOffice等)
七、检查办法
本次检查分为自查和抽查两个阶段:
(一)自查阶段
各辖市区、各部门要于2010年8月20日前完成政府信息系统安全自查。市级机关各部门、各单位请于8月28日前将检查报告及相关附件送市经信委信息安全处。各辖市区信息安全主管部门于8月28日前,将本地区检查工作总结书面报送市经信委信息安全处。联系人:朱虹;联系电话:84406296;传真:84406296;电子邮件:[email protected]。
(二)抽查阶段
市经信委将会同市有关部门,于2010年9月上旬开始组织开展政府信息系统安全抽查(具体时间另行通知)。抽查的主要内容:一是自查工作是否按时、保质完成;二是对照《2010年度政府信息系统安全自查情况报告表》,检查自查情况是否属实;三是采用技术手段,进行网站外部安全测试和安全措施现场技术检查。对市级机关的抽查将选择该单位1-2个重要信息系统进行重点检测。对各辖市区的抽查工作,将以政府门户网站为重点,抽查2-4个政府重要信息系统。
附件:2010年度政府信息系统安全自查情况报告表
主题词:
信息安全检查通知
镇江市人民政府办公室
2010年7月26日印发
共印50份
附件
2010年度政府信息系统安全自查情况报告表
(总得分:)
一、信息安全组织机构情况(小计5分,得分)
部门名称
分管信息安全工作的领导
(2分)
姓名:
职务:
信息安全管理机构
(1分)
①机构名称:___________________
②负责人:职务:
③联系电话:___________________
信息安全员
(2分)
①(1分)□已明确专职信息安全员□已明确兼职信息安全员(0.5分)□未明确
姓名:__________职务:手机:
②(1分)□参加业务培训□未参加业务培训
二、日常信息安全管理情况(小计8分,得分)
人员管理情况
(3分)
①重要岗位信息安全和保密责任制度:(0.5分)□已建立□未建立
②重要岗位人员安全保密协议:(1分)
□已签订□未签订
③人员离岗离职信息安全管理规定:(0.5分)□已制定□未制定
④外部人员访问机房等主要区域管理规定及相关登记:(0.5分)
□已建立□未建立
⑤本年度信息安全事件的责任查处情况:(0.5分)
通报批评______人,警告______人,记过及以上______人。
资产管理情况
(3分)
①资产管理制度:(1分)□已建立□未建立
②计算机及相关设备维修维护管理规定:(1分)□已制定□未制定
③存储设备报废销毁管理规定:(1分)□已制定□未制定
运维管理情况
(2分)
自维:①运维管理规定:(0.5分)□已制定□未制定
②日常运维管理记录:(0.5分)□已建立□未建立
外维:①服务合同和安全保密协议:(0.5分)□已签订□未签订
②日常运维管理记录:(0.5分)□已建立□未建立
三、等级保护与风险评估(小计16分,得分)
等级保护情况
(8分)
①信息系统定级备案:(4分)□全部完成□部分完成(2分)
□未开展
②等级测评:(4分)□全部完成□部分完成(2分)
□未开展
风险评估情况
(8分)
①风险评估报告:(4分)□全部完成□部分完成(2分)
□未开展
②委托服务机构是否省市备案:(4分)□是□否
四、技术防护手段建设情况(小计32分,得分)
网络边界安全防护
(4分)
①系统网络拓扑图:(1分)□已提供□未提供
②互联网接入口安全防护设备部署情况:(1分)
□防火墙□入侵检测设备□网络隔离设备
□防病毒网关□内部审计设备□其他:______________
③互联网访问日志:(1分)□留存□未留存
④终端接入互联网时安全信息提示:(1分)□有□无
信息安全产品使用
(4分)
①互联网接入口安全防护设备使用情况:(2分)□正常□否
②安全防护设备策略:(2分)□默认配置□根据应用自主配置
服务器安全防护
(6分)
①服务器上不必要的应用、服务、端口、链接:(1分)
□关闭□否
②使用强度足够的口令并定期更新:(2分)□是□否
③安装补丁:(1分)□及时□否
④漏洞扫描、病毒木马检测:(2分)□定期□否
网络设备安全防护
(3分)
①网络安全配置:(1分)□有效□否
②使用强度足够的口令并按相关技术标准定期更新:(1分)
□是□否
③漏洞扫描:(1分)□定期□否
终端计算机和移动存储设备安全防护
(6分)
①终端计算机安全管理:(1分)□集中□否
②使用强度足够的口令并定期更新:(1分)□是□否
③终端计算机接入互联网安全保护措施:(1分)□有□无
④定期进行漏洞扫描、病毒木马检测:(1分)
□安装病毒防护软件□否
⑤在非涉密与涉密信息系统间混用了计算机和移动存储设备:(1分)
□有□否
⑥非涉密计算机处理涉密信息:(1分)□有□无
门户网站安全防护
(5分)
①网站信息发布审批制度:(1分)□已建立□未建立
②防火墙等边界防护措施:(1分)□已部署□未部署
③抗拒绝服务攻击措施:(1分)□已部署□未部署
④网页防篡改措施:(1分)□已部署□未部署
⑤漏洞扫描、木马检测:(1分)□定期□否
密码技术防护
(2分)
①密码技术保护:(1分)□有□无
②密码产品使用:(1分)□符合规定□否
数字证书使用情况
(2分)
□采用
(2分)
□面向社会公众服务的信息系统
□使用自建CA
□使用第三方CA
服务商名称:________________
□内部信息系统
□使用自建CA
□使用第三方CA
服务商名称:________________
□未采用
五、应急管理工作开展情况(小计6分,得分)
重要信息应急预案
(1.5分)
□已制定或修订□未制定
应急演练
(2分)
□本年度已开展□本年度未开展
应急技术支援队伍
(1分)
□部门所属单位□外部专业技术机构□无
信息安全灾难备份
(1.5分)
①重要数据备份情况:□备份□未备份
②关键设备备份情况:□备份□未备份
③重要信息系统灾难备份情况:□备份□未备份
六、信息技术产品和信息安全产品使用情况(小计4分,得分)
硬件产品国产化
(2分)
□全部□部分□无
软件产品国产化
(2分)
□全部□部分□无
七、信息安全服务情况(小计4分,得分)
信息安全服务机构
(2分)
□有外资机构参与□无外资机构参与
与信息安全服务机构签订服务合同、安全保密协议情况
(2分)
□全部签订□部分签订(1分)□没有签订
八、信息安全教育培训情况(小计5分,得分)
省信安办组织的
信息安全员培训
(2分)
□参加□未参加
本单位组织的
信息安全教育培训
(2分)
□已组织□有计划(1分)□没有
参加其他单位组织的
信息安全培训情况
(1分)
□公安机关□保密部门□密码管理部门
□其他___________________
九、信息安全经费保障(小计6分,得分)
经费预算
(3分)
本年度部门信息安全经费预算情况:
□纳入部门预算,预算额为_____________万元□未纳入预算
检查经费投入
(3分)
本年度政府信息系统安全检查工作经费投入:_____________万元
十、安全隐患排查及整改(小计12分,得分)
安全隐患排查
(2分)
通过技术手段实施安全隐患排查:□是□否
整改落实
(10分)
针对风险评估、等级测评和技术排查发现的安全隐患:
□已完成整改(10分)□部分整改(5分)□未整改
延伸阅读