防城港市人民政府办公室关于做好2011年防城港市人民政府信息系统安全检查工作的通知

防城港市人民政府办公室关于做好2011年防城港市人民政府信息系统安全检查工作的通知

防城港市人民政府办公室关于做好2011年防城港市人民政府信息系统安全检查工作的通知

各县（市、区）人民政府，市直、驻港各单位：

根据国务院办公厅《关于印发〈政府信息系统安全检查办法〉的通知》（国办发〔2009〕28号）、国家工业和信息化部《关于印发〈2011年政府信息系统安全检查指南〉的通知》（工信部协[2011]214号）和自治区人民政府办公厅《关于做好2011年广西壮族自治区人民政府信息系统安全检查工作的通知》要求，结合我市实际，研究制定了《2011年防城港市政府信息系统安全检查工作实施方案》（以下简称《方案》），现印发给你们，请遵照执行，并就有关事项通知如下：

一、各级各部门要把政府信息系统安全检查工作列入重要议事日程，加强组织领导，明确本部门检查负责机构、负责人、联系人以及工作职责，落实工作经费。

二、各县（市、区）政府要根据《方案》要求，结合本地实际情况制定具体的信息系统安全检查方案，并报送市政府信息系统安全检查工作领导小组办公室备案。

三、各级各部门要按照《方案》要求，认真开展政府信息系统安全自查工作，按时上报自查情况，并积极配合做好全市政府信息系统安全检查的抽查工作。各县（市、区）政府要及时将本辖区的政府信息系统安全检查情况材料报市政府信息系统安全检查工作领导小组办公室。

四、全市政府信息系统安全检查工作经费实行分级管理，由本级财政安排资金予以保障。

五、各单位可依托所属信息中心等单位开展自查工作，也可以根据需要委托外部专业机构协助开展，对自查中发现的问题要及时整改，并及时向所属政府信息系统安全检查工作领导小组办公室报告整改情况。

未尽事宜，请与市政府信息系统安全检查工作领导小组办公室联系。

联系人：谢君林

联系电话：2829249

电子邮箱：[email protected]

附件：1.2011年防城港市政府信息系统安全检查工作实施方案

2.2011年信息安全检查情况报告表

3.2011年信息安全检查情况报告编写参考格式

4.全市政府信息系统安全检查工作人员联系名单

二○一一年七月二十五日

附件1

2011年防城港市政府信息系统

安全检查工作实施方案

根据《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》（国办发〔2009〕28号，以下简称《检查办法》）、工业和信息化部《关于印发<2011年政府信息系统安全检查指南>的通知》（工信部协〔2011〕214号）、自治区人民政府办公厅《关于做好2011年广西壮族自治区人民政府信息系统安全检查工作的通知》的要求，为切实做好2011年度防城港市政府信息系统安全检查工作，制定本方案。

一、检查目的

依据国家信息安全有关政策规定，对各级各部门信息安全工作进行全面检查，掌握信息安全总体状况，发现存在的主要问题和薄弱环节，进一步健全信息安全管理制度，完善信息安全技术措施，提高信息安全防护能力。

二、检查原则

坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，统筹安排、突出重点、明确责任、注重实效。

检查工作以各单位自检为主，市工业和信息化委员会会同有关部门统一组织安全抽查。部门管理的全国性信息系统安全检查工作，由主管部门统一组织部署。

三、检查范围

各市直部门、区直各部门的政府信息系统，各县（区、市）人民政府门户网站。

政府信息系统安全检查的范围是为各部门履行政府职能提供支撑的信息系统，包括自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、网站系统等。各部门的门户网站、重要业务系统是检查重点。

涉及国家秘密的信息系统保密检查工作，按照国家保密管理规定执行。

四、检查内容

(一)信息安全组织管理

1.信息安全管理机构及其工作开展情况。（1）组织制定信息安全工作计划或工作方案情况；（2）组织制定并落实信息安全管理规章制度情况；（3）组织开展信息安全教育培训和督促检查工作情况。

2.信息安全员及其工作开展情况。（1）各单位信息安全员指定情况；（2）信息安全员开展督促、检查和指导等日常工作情况。

(二)日常信息安全管理

1.人员管理。查验相关文档、文件、记录等，重点检查：（1）岗位信息安全和保密责任制落实，特别是重要岗位信息安全和保密协议签订情况；（2）人员离岗离职信息安全管理情况；（3）外部人员访问机房等重要区域管理情况；（4）违反制度规定造成信息安全事件的责任查处情况等。

2.资产管理。查验相关文档、台帐、记录等，重点检查：（1）资产管理制度建立及落实情况，资产台账是否清晰、帐物是否相符；（2）办公软件、应用软件等安装与使用情况，是否有与工作无关的软件；（3）计算机及相关设备维修维护、报废销毁管理情况，是否有相应的登记记录等。

3.信息技术外包服务安全管理。针对当前政府部门信息技术外包服务安全风险突出的现状，重点检查系统开发、系统集成、运行维护、灾难备份、数据处理、安全检测、系统托管等外包服务的安全管理：（1）服务机构性质与背景情况，是否由外资机构提供服务；（2）服务合同及安全保密协议签订情况，安全责任是否清晰；（3）人员现场服务记录情况，是否有现场服务监管措施；（4）系统维护方式情况，重点排查远程在线服务带来的安全风险；（5）灾难备份服务情况，重点掌握灾难备份中心设立在境外的情况。

4.信息技术产品使用管理。重点检查办公用计算机、公文处理软件、信息安全设备、服务器、网络设备等使用产品的安全可控情况，特别是本年度新采购办公用计算机、公文处理软件、信息安全设备是否满足安全可控要求。

5.信息安全经费保障。重点检查信息安全防护设施建设、运行、维护、检查及管理等费用是否纳入部门年度预算，以及本年度信息安全经费实际投入情况等。

(三)信息安全防护管理

1.网络边界防护管理。查看系统总体网络架构、子系统分布、终端节点、区域划分及边界防护措施等，重点检查：（1）网络分区分域合理性；（2）安全防护设备策略配制有效性；（3）互联网接入情况，是否有访问互联网的安全控制措施，是否留存互联网访问日志并定期进行分析。

2.信息系统安全管理。重点检查信息安全风险评估、等级保护等安全管理制度落实情况。（1）服务器安全防护。重点检查服务器上应用、服务、端口以及系统补丁等情况，是否关闭了不必要的应用、服务、端口；账户口令强度和更新情况；病毒木马防护情况，是否使用技术工具定期进行漏洞扫描、病毒木马检测。（2）网络设备防护。重点检查网络设备安全策略配置的有效性；账户口令强度和更新情况；是否使用技术工具定期进行漏洞扫描。（3）信息安全设备部署及使用。重点检查防病毒、防火墙、入侵检测、安全审计等安全设备部署及使用情况，以及安全策略配置的有效性。

3.门户网站安全管理。以防攻击、防挂马、防篡改、防瘫痪、防窃密为目标，对门户网站安全防护情况进行全面检查：（1）系统管理账户和口令，清理无关账户，防止出现空口令、弱口令和默认口令；（2）服务器补丁更新情况，关闭不必要的端口，停止不必要的服务和应用，删除不必要的链接和插件；（3）网站目录机构，删除临时文件，防止敏感信息泄露；（4）信息发布审核制度建立及落实情况；（5）是否使用技术工具定期进行漏洞扫描、木马检测。

4.电子邮箱安全管理。重点检查：（1）邮箱使用情况，是否有非本部门人员特别是无关人员使用；（2）账户口令强度及更新情况，是否使用技术措施控制和管理口令，口令强度是否符合要求、是否定期更新。

5.终端计算机安全管理。重点检查：（1）是否采取集中安全管理措施；（2）账户口令强度和更新情况；（3）接入互联网安全控制措施（如实名接入认证、对计算机IP和MAC地址进行绑定等）；（4）是否使用技术工具定期进行漏洞扫描、病毒木马检测；（5）在非涉密信息系统和涉密信息系统间混用情况；（6）使用非涉密计算机处理涉密信息情况。

6.移动存储设备安全管理。重点检查：（1）是否采取集中安全管理措施；（2）是否配备必要的电子消磁或销毁设备；（3）在非涉密信息系统和涉密信息系统间混用情况。

(四)信息安全应急管理

1.应急预案。重点检查本部门信息安全应急预案制定、修订、备案及宣贯培训情况。

2.应急演练。重点检查信息安全应急演练情况；已开展演练的，查看演练文档、记录（包括演练计划、演练方案、演练记录、演练总结报告等）。

3.应急技术支援。重点检查是否明确了应急技术支援队伍；已明确的，检查其服务合同及安全保密协议签订情况，了解掌握应急技术支援队伍基本情况以及开展的技术支援活动。

4.灾难备份。重点检查重要数据和重要信息系统备份情况；对采用社会等三方灾难备份服务的，检查其服务合同及安全保密协议签订情况，了解掌握灾难备份服务设施运维安全管理情况。

5.信息安全事件应急处置。重点检查本年度发生的信息安全事件及处置情况；发生过重大信息安全事件的，检查是否进行了及时处置，是否按照要求上报和通报。

(五)信息安全教育培训

重点检查信息安全和保密形势教育及警示教育情况，领导干部和机关工作人员参加信息安全基本技能培训情况，信息安全管理和技术人员参加信息安全专业培训情况等。

(六)信息安全检查工作

1.上一年度发现问题的整改情况。重点检查：（1）制定的整改计划及采取的整改措施；（2）整改效果以及是否开展了进一步的信息安全风险评估；（3）年度检查情况报告完成情况，是否按国务院要求及时报送，报告是否完整准确、符合要求。

2.本年度检查工作开展情况。重点检查：（1）检查工作责任制建立和检查工作经费落实情况；（2）检查工作方案制定及组织实施情况；（3）采取的安全保密和风险控制措施，检查人员、有关文档和数据的安全保密管理情况。

3.安全技术检测。组织技术力量，使用必要的技术工具，对服务器、终端计算机、网络设备以及门户网站等信息系统进行安全检测，排查病毒木马、安全漏洞等。

五、检查情况与通报

（一）检查情况报告

按照规定要求，各级各部门在检查工作完成后应及时将检查情况报送防城港市政府信息系统安全检查工作领导小组办公室。

1.报告内容

检查报告包括主报告和附表。主报告内容应包括：信息安全状况总体评价、2011年信息安全主要工作情况、检查发现的主要问题及整改情况、对信息安全工作的意见和建设等。附表指《2011年信息安全检查情况报告表》（附件1）。

报告格式可参照《2011年信息安全检查情况报告编写参考格式》（附件2）。

2.报送方式

检查报告以各县（市、区）、市直各部门名义报送市政府信息系统安全检查工作领导小组办公室，包括纸质文档和电子文档（光盘形式）。

（二）检查情况通报

市政府信息系统安全检查工作领导小组办公室会将对各县（市、区）、各部门自查情况进行汇总综合分析，形成检查报告上报自治区政府信息系统安全检查工作领导小组办公室。

同时，将按照《检查办法》要求，向各县（市、区）、各部门通报检查情况。

六、工作分工及时间安排

（一）工作分工

防城港市政府信息系统安全检查工作领导小组办公室组织、协调、指导、监督全市政府信息系统安全检查工作的开展；市工业和信息化委员会会同公安、安全、保密、密码等有关部门开展市本级政府信息系统安全检查工作和全市政府信息系统的安全抽查工作；各县（市、区）政府信息系统安全检查工作领导小组负责组织、指导所辖县（市、区）信息安全检查工作，并积极配合做好全市抽查工作。

（二）时间安排

1、信息安全自查

时间：2011年7月21日至8月1日

各单位要重点加强对门户网站的安全检查，排查安全漏洞和安全隐患，强化网站安全防护措施，按时完成本年度信息安全自查工作，并根据自查结果，填写《2011年信息安全检查情况报告表》（见附件1），同时，对安全检查工作进行认真总结、分析评估，按照2011年信息安全检查情况报告编写参考格式（见附件2）形成自查情况报告，于8月2日前以书面形式将检查情况报送防城港市政府信息系统安全检查工作领导小组办公室，同时报送电子文档（光盘)。电子文档使用国家统一配置的软件编制。

2、汇总分析

时间：2011年8月2日至8月5日

市政府信息系统安全检查工作领导小组办公室收集、整理、分析各级各部门安全自查情况后，确定抽查方案和抽查单位名单。

3、信息安全抽查

时间：2011年8月6日至8月10日

市工业和信息化委员会会同有关部门组织专业技术队伍，开展全市政府信息安全检查的抽查工作。抽查名单及其有关事项另行通知，被查单位须积极配合。

4、总结上报

时间：2011年8月11日至8月13日

市政府信息系统安全检查工作领导小组办公室将全市政府信息系统安全检查总体情况进行全面汇总和总结，形成书面报告，经市政府信息系统安全检查工作领导小组审定后，报送自治区政府信息系统安全检查工作领导小组办公室。

七、相关工作要求

（一）各级各部门应完善检查工作机制，落实检查工作经费，确保检查工作如期顺利完成。对检查中发现的问题应进行分析研究并及时整改，如实、完整填写《2011年信息安全检查情况报告表》，认真撰写检查报告并按时上报。

（二）各单位可组织所属信息中心等单位开展检查工作，也可根据需要委托外部专业机构协助开展技术检测。

全面参与技术检测的外部专业机构应至少满足以下条件：

1.事业单位；

2.开展信息安全检测或相关工作2年以上；

3.拥有专业安全检测人员10人以上，全部为机构编制内人员或与机构签订2年以上劳动合同的聘用人员；

4.拥有与开展技术检测相适应的安全检测设备与检测工具；

5.信息安全和保密管理、项目管理、质量管理、人员管理、教育培训等规章制度健全；

6.参与安全检测的人员均为中国公民，无犯罪记录，并与机构签订安全保密协议。

（三）委托外部专业机构协助开展技术检测，应与检测机构及参与检测的人员签订安全保密协议，明确安全保密责任和义务。

应要求检测机构：

1.遵守国家有关法律法规和信息安全相关政策规定，客观、公正地提供检测服务；

2.不得将检测任务分包或转包；

3.如实出具检测结果，不得隐瞒检测过程中发现的问题；

4.加强对检测人员的安全保密管理，严格遵守安全保密制度规定；

5.不得向其他单位和个人泄露检测数据和检测结果，不得擅自留存相关资料和检测数据，不得利用检测数据谋取利益；

6.采取有效措施，防止因技术检测引发信息安全事故。

（四）强化安全保密和风险控制，加强对检查活动、检查人员以及相关文档和数据的安全保密管理，对重点设备的技术检测进行监督，对接入的检测设备进行风险控制，周密制定检查工作应急预案，确保被检查信息系统的安全正常运行。

附件2

2011年信息安全检查情况报告表

一、部门基本情况

部门名称

分管信息安全工作的

领导（本部门副职领导）①姓名：_______________

②职务：_______________

信息安全管理机构

（如办公厅）①名称：_______________

②负责人：职务：___

③联系人：电话：___

信息安全专职工作处室

（如信息安全处）①名称：_______________

②负责人：电话：___

二、信息系统基本情况

信息系统情况①信息系统总数：________________个

②面向社会公众提供服务的信息系统数：_________个

③委托社会第三方进行日常运维管理的信息系统数：_________个

④本年度经过安全测评（含风险评估、等级测评）系统数：_____个

系统定级情况第一级：_______个第二级：_______个第三级：_______个

第四级：_______个第五级：_______个未定级：_______个

互联网接入情况互联网接入口总数：_____个

其中：□联通接入口数量：_____个接入带宽：_______兆

□电信接入口数量：_____个接入带宽：_______兆

□其他：_________________接入口数量：_____个

接入带宽：_______兆

三、日常信息安全管理情况

人员管理①岗位信息安全责任制度：□已建立□未建立

②重要岗位人员信息安全和保密协议：

□全部签订□部分签订□均未签订

③人员离岗离职安全管理规定：□已制定□未制定

④外部人员访问机房等重要区域审批制度：□已建立□未建立

资产管理①资产管理制度：□已建立□未建立

②设备维修维护和报废管理：

□已建立管理制度，且维修维护和报废记录完整

□已建立管理制度，但维修维护和报废记录不完整

□尚未建立管理制度

四、信息安全防护管理情况

网络边界防护管理①网络访问控制：□有访问控制措施□无访问控制措施

②网络访问日志：□留存日志□未留存日志

③安全防护设备策略：□使用默认配置□根据应用自主配置

门户网站安全管理①网页防篡改措施：□已部署□未部署

②网站信息发布管理：□已建立审核制度，且审核记录完整

□已建立审核制度，但审核记录不完整

□尚未建立审核制度

电子邮箱安全管理①邮箱使用：□仅限本部门工作人员使用

□除本部门工作人员外，还有其他人员在使用

②账户口令管理：□使用技术措施控制和管理口令强度

□无口令强度限制措施

终端计算机

安全管理①终端计算机安全管理方式：

□使用统一平台对终端计算机进行集中管理

□用户分散管理

②接入互联网安全控制措施：

□有控制措施（如实名接入、绑定计算机IP和MAC地址等）

□无控制措施

存储介质安全管理①存储阵列、磁带库等大容量存储介质安全防护：

□外联，但采取了技术防范措施控制风险

□外联，无技术防范措施

□不外联

②移动存储介质管理方式：

□集中管理，统一登记、配发、收回、维修、报废、销毁

□未采取集中管理方式

③电子信息消除或销毁设备：□已配备□未配备

五、信息安全应急管理情况

信息安全应急预案□已制定本年度修订情况：□修订□未修订

□未制定

信息安全应急演练□本年度已开展□本年度未开展

信息安全灾难备份①重要数据：□备份□未备份

②重要信息系统：□备份□未备份

应急技术支援队伍□部门所属单位□外部专业机构□无

六、信息技术产品应用情况

服务器总台数：________，其中国产台数：_______

使用国产CPU的服务器台数：_______

终端计算机

（含笔记本）总台数：，其中国产台数：___

使用国产CPU的计算机台数：_______

网络交换设备

（路由器、交换机等）总台数：，其中国产台数：___

操作系统①服务器操作系统情况：

安装Windows操作系统的服务器台数：________________

安装Linux操作系统的服务器台数：__________________

安装其他操作系统的服务器台数：____________________

②终端计算机操作系统情况：

安装Windows操作系统的计算机台数：________________

安装Linux操作系统的计算机台数：__________________

安装其他操作系统的计算机台数：____________________

数据库总套数：，其中国产套数：_

公文处理软件

（终端计算机安装）安装国产公文处理软件的终端计算机台数：_________________

安装国外公文处理软件的终端计算机台数：_________________

信息安全产品①安装国产防病毒产品的终端计算机台数：_________________

②防火墙（不含终端软件防火墙）台数：___________________

其中国产防火墙的台数：____________________

七、信息安全教育培训情况

培训人数本年度接受信息安全教育培训的人数：_____人

占本部门总人数的比例：_____％

培训次数本年度开展信息安全教育培训的次数：_____次

专业培训本年度信息安全管理和技术人员参加专业培训：______人次

八、信息安全经费预算投入情况

经费预算本年度信息安全经费预算额：_____________万元

经费投入本年度信息安全经费投入额：_____________万元

（上一年度信息安全经费投入额[1]：_____________万元）

九、本年度信息安全事件情况

本年度安全技术检测结果病毒木马等恶意代码[2]检测结果①进行过病毒木马等恶意代码检测的服务器台数：_____________

其中感染恶意代码的服务器台数：_____________

②进行过病毒木马等恶意代码检测的终端计算机台数：_________

其中感染恶意代码的终端计算机台数：_________

漏洞检测

结果①进行过漏洞扫描的服务器台数：___________________

其中存在漏洞的服务器台数：_________________

存在高风险漏洞[3]的服务器台数：__________

②进行过漏洞扫描的终端计算机台数：_______________

其中存在漏洞的终端计算机台数：_____________

存在高风险漏洞的终端计算机台数：_______

本年度信息安全事件统计门户网站受攻击情况本部门入侵检测设备检测到的门户网站受攻击次数：___________

网页被篡

改情况门户网站网页被篡改（含内嵌恶意代码）次数：_______________

设备违规

使用情况①使用非涉密终端计算机处理涉密信息事件数：_______________

②终端计算机在非涉密系统和涉密系统间混用事件数：_________

③移动存储介质在非涉密系统和涉密系统间交叉使用事件数：___

十、信息技术外包服务机构情况（包括参与技术检测的外部专业机构）

外包服务机构1机构名称

机构性质□国有□民营□外资

服务内容[4]

信息安全和保密协议□已签订□未签订

信息安全管理体系认证情况□已通过认证

认证机构：______________________

□未通过认证

外包服务机构2机构名称

机构性质□国有单位□民营企业□外资企业

服务内容

信息安全和保密协议□已签订□未签订

信息安全管理体系认证情况□已通过认证

认证机构：______________________

□未通过认证

外包服务机构3机构名称

机构性质□国有单位□民营企业□外资企业

服务内容

信息安全和保密协议□已签订□未签订

信息安全管理体系认证情况□已通过认证

认证机构：______________________

□未通过认证

（如有3个以上外包机构，每个机构均应填写，可另附页）

填表人：_____________单位：电话：

附件3

2011年信息安全检查情况报告

编写参考格式

一、检查报告名称

×××（部门名称）2011年度政府信息系统安全检查情况报告

二、检查报告组成

检查报告包括主报告和附表两部分。

三、主报告内容要求

应包括以下四个方面的内容：

（一）信息安全状况总体评价

概述本部门信息安全工作情况，与上一年度相比信息安全工作取得的新进展，对本部门信息安全状况的总体评价。

（二）2011年信息安全主要工作情况

对照《2011年政府信息系统安全检查指南》要求，逐项描述本部门2011年在信息安全组织管理、日常信息安全管理、信息安全防护管理、信息安全应急管理、信息安全教育培训、信息安全检查等方面开展的工作情况。

（三）检查发现的主要问题及整改情况

描述本部门安全检查特别是技术检测结果，总结分析本部门在安全管理、技术防护等方面存在的主要问题和薄弱环节，以及针对这些问题的整改措施或整改计划。

（四）对信息安全工作的意见和建议

对信息安全工作特别是信息安全检查工作提出意见和建议，进一步促进提高信息安全检查水平。

四、附表内容要求

《2011年信息安全检查情况报告表》各项目的填写范围均限于部门本级机关。应认真、如实、完整、正确填写，避免出现漏项、错项、数据前后不一致等情况。

附件4

全市政府信息系统安全检查工作人员联系名单

市直单位、各县（市、区）名称：

姓名职务办公

电话手机传真电子

邮箱

责任人

联系人

备注：2011年7月28日前，请将此表填好发至电子邮箱：[email protected]

联系人：谢君林

联系电话：2829249

-——————————————————————————-

[1]2010年没有统计此项，为保证数据完整，补充此项

[2]本表所称恶意代码，是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。

[3]本表所称高风险漏洞，是指计算机硬件、软件或信息系统中存在的严重安全缺陷，利用这些缺陷可完全控制或部分控制计算机及信息系统，对计算机及信息系统实施攻击、破坏、信息窃取等行为。

[4]服务内容主要包括：系统集成、系统运维、风险评估、安全检测、安全加固、应急支持、数据存储等。

延伸阅读

定西市人民代表大会常务委员会联系“一府两院”暂行办法

北京市放射卫生防护管理暂行办法

北京市人民政府关于实施北京市突发公共事件总体应急预案的决定