👋 欢迎来到 律咖网
连接海外本地律师与出海创业者
【始于2015 | 11年持续经营 | 经营年限全国同行前10%】
企业信用良好 | 数据来源:芝麻企业信用
合作微信:lvga2015
关于印发《塔城地区2014年重点领域信息安全检查工作方案》的通知
关于印发《塔城地区2014年重点领域信息安全检查工作方案》的通知 颁布单位:新疆维吾尔自治区塔城地区行政公署办公室 | 文号: ---|--- 颁布日期:2014-10-27 | 失效日期: 效力级别:地方政府规范性文件 | 关于印发《塔城地区2014年重点领域信息安全检查工作方案》的通知 塔行办发〔2014〕67号
关于印发《塔城地区2014年重点领域信息安全检查工作方案》的通知
| 颁布单位:新疆维吾尔自治区塔城地区行政公署办公室 | 文号: |
|---|---|
| 颁布日期:2014-10-27 | 失效日期: |
| 效力级别:地方政府规范性文件 |
关于印发《塔城地区2014年重点领域信息安全检查工作方案》的通知
塔行办发〔2014〕67号
关于印发《塔城地区2014年重点领域信息安全检查工作方案》的通知
各县(市)人民政府,巴克图辽塔新区管委会,地区各委、办、局:
《塔城地区2014年重点领域信息安全检查工作方案》已经行署同意,现印发你们,请认真贯彻落实。
各县(市)、地区各部门根据相关要求制定2014年信息安全检查工作方案,并于2014年11月5日前将信息安全检查总结报告(含信息安全检查结果报告表,详见附件1)汇总报送至地区经信委。地区近期将对各县(市)、地区各部门信息安全工作进行抽查和现场检测。请各县(市)、各部门做好自查工作。
联系人:孙文涛,联系电话:0901—6227761,18690123838;邱源培,联系电话:0901—6222795,15699018960。
2014年10月27日
塔城地区2014年重点领域信息安全
检查工作方案
一、检查目的
通过开展信息安全检查,以查促建、以查促管、以查促改、以查促防,增强安全意识,落实安全责任,深入分析安全风险,系统评估安全状况,全面排查安全隐患,进一步健全安全管理制度,完善安全防护措施,提升自主可控水平和安全防护能力,预防和减少网络安全事件的发生,切实保障我区重要网络与信息系统的安全稳定运行。
二、检查范围
信息安全检查的范围包括政府部门,金融、能源、通信、交通、广播电视、国防军工、医疗卫生、教育、水利、环境保护、钢铁、有色、化工、装备制造等重点行业,以及供水供气供热等市政领域。涉及国家秘密的信息系统安全检查,按照国家保密管理规定和标准执行。
三、检查内容
(一)信息安全管理情况
按照国家信息安全政策和标准规范要求,建立健全信息安全管理规章制度及制度落实情况。重点检查信息安全主管领导、管理机构和工作人员履职情况,信息安全责任制落实及事故责任追究情况,人员、资产、采购、外包服务等日常安全管理情况,信息安全经费保障情况等。
(二)技术防护情况
网络与信息系统防病毒、防攻击、防篡改、防瘫痪、防泄密等技术措施及有效性。重点检查事关国家安全和社会稳定,对地区、部门或行业正常生产生活具有较大影响的重要网络与信息系统(含工业控制系统)的安全防护情况,包括技术防护体系建立情况;网络边界防护措施,不同网络或信息系统之间安全隔离措施,互联网接入安全防护措施,无线局域网安全防护策略等;服务器、网络设备、安全设备等安全策略配置及有效性,应用系统安全功能配置及有效性;终端计算机、移动存储介质安全防护措施;重要数据传输、存储的安全防护措施等。
(三)应急工作情况
按照《塔城地区网络与信息安全事件应急预案》的要求,建立健全信息安全应急工作机制情况。重点检查信息安全事件应急预案制修订情况,应急技术支撑队伍建设情况,特别是应急预案演练情况;重大信息安全事件报告及处置情况以及重要数据和业务系统的灾备情况。
(四)安全教育培训情况
重点检查信息安全和保密形势宣传教育、领导干部和各级人员信息安全技能培训、信息安全管理和技术人员专业培训情况等。
(五)WindowsXP停止安全服务应对工作情况
重点检查WindowsXP使用情况,安全保护方案制定情况,安全防护产品部署情况,采取白名单、卸载与工作无关的应用程序、关闭不必要的服务和端口等安全措施情况,推广国产操作系统与应用软件的工作落实情况等。
(六)数据泄露及系统被控情况
重点检查数据中心及使用的云计算服务设施是否设在境外,采用系统设计开发、系统集成、运行维护、数据处理、数据备份、灾难恢复、系统托管、安全测评等外包服务过程中数据是否被提交给境外机构,系统是否被境外机构远程控制等情况。
(七)安全问题整改情况
重点检查以往信息安全检查中发现问题的整改情况,包括整改措施、整改效果及复查情况,以及类似问题的排查情况等,分析安全威胁和安全风险,进一步评估总体安全状况。
四、检查方式
按照“谁主管谁负责、谁运行谁负责”的原则,信息安全检查工作以各县(市)、各部门自查为主。同时,地区网络与信息安全领导小组办公室会同相关部门组织专业技术队伍对部分重点单位和重要系统进行安全抽查。
五、自查工作
各县(市)、各部门参照本工作方案,结合实际组织制定信息安全检查实施方案,印发检查部署文件,明确自查范围、责任单位、工作安排及工作要求等相关内容,并认真组织实施本部门安全自查工作。可组织开展抽查,督促自查单位开展自查工作,了解掌握自查工作进展情况,采取技术手段深入发现安全问题和薄弱环节,并及时研究解决检查工作中遇到的重大问题。
自查工作完成后,各县(市)、各部门要对检查情况进行全面汇总总结,填写检查结果统计表,认真梳理存在的主要问题,分析评估安全风险,编写检查总结报告。
六、抽查工作
(一)抽查任务
地区网络与信息安全领导小组办公室组织相关部门及所属专业技术队伍进行抽查,查找安全漏洞和隐患,评估安全防护能力,研究提出改进和加强安全保障的措施建议。
(二)抽查重点内容
1.现场抽查内容。重点检查被抽查单位自查工作组织开展情况,2013年安全检查发现问题的整改情况,网络架构、安全区域划分的合理性,网络边界防护措施的完备性,服务器、网络设备、安全设备等的安全策略配置、应用系统安全功能配置及其有效性,重要数据传输、存储的安全防护措施。专业技术队伍应对重要设备和应用系统进行安全技术检测,深入挖掘安全漏洞,采用人工方式对安全漏洞的可利用性进行验证,帮助排查安全隐患,分析评估安全风险。
2.外部检测内容。通过互联网对被抽查的网站系统、业务系统等的安全风险状况进行外部检测,包括安全漏洞、网页篡改、恶意代码情况以及近年来安全检查中发现问题的整改情况等,验证被抽查系统安全防护措施的有效性。
七、时间安排
(一)自查时间安排
检查工作自本工作方案印发之日起启动。
各县(市)、各部门于11月5日前完成报送。各县(市)检查总结报告由本县(市)工业和信息化主管部门负责汇总报送。附件2供各县(市)、各部门开展信息安全检查(自查)工作时参考。
(二)抽查时间安排
抽查工作自11月启动。
八、信息报送
各县(市)、各部门在自查中发现重大安全隐患,或出现因检查工作导致的跨县市、跨部门安全问题时,应及时向地区网络与信息安全领导小组办公室报告。
九、有关工作要求
(一)加强领导,落实责任
各县(市)、各部门要把信息安全检查工作列入重要议事日程,加强组织领导,明确检查责任,建立并落实信息安全检查工作责任制,明确检查工作负责人、检查机构和检查人员,安排并落实检查工作经费,保证检查工作顺利进行。
(二)认真实施,确保成效
各县(市)、各部门要结合实际,周密制定检查实施方案,全面深入查找安全问题和安全隐患,切实做到不走过场、不漏环节、不留死角。对发现的问题要及时整改,举一反三,标本兼治,因条件不具备暂时不能整改的问题应采取临时防范措施。
(三)控制风险,强化保密
各县(市)、各部门要强化风险控制,有针对性地制定检查工作应急预案,确保被检查系统的正常运行。要加强对检查活动、检查人员及相关文档和数据的安全保密管理。委托外部机构进行安全检测,要对其机构背景、技术能力、服务水平、人员资质及安全保密管理措施等进行严格审查,并明确外部机构及人员的安全责任。
附件:1.信息安全检查结果报告表(报送表)
2.信息安全检查统计表(参考表)附件.doc
附件【附件.doc】http://www.xjtc.gov.cn/system/_content/download.jsp?urltype=news.DownloadAttachUrl&owner=1035719078&wbfileid=34279
延伸阅读