👋 欢迎来到 律咖网
连接海外本地律师与出海创业者
【始于2015 | 11年持续经营 | 经营年限全国同行前10%】
企业信用良好 | 数据来源:芝麻企业信用
合作微信:lvga2015
三亚市人民政府办公室关于印发三亚市开展重点领域网络与信息安全检查行动方案的通知
三亚市人民政府办公室关于印发三亚市开展重点领域网络与信息安全检查行动方案的通知 颁布单位:海南省三亚市人民政府办公室 | 文号:三府办2012241号 ---|--- 颁布日期:2012-08-07 | 失效日期: 效力级别:地方政府规范性文件 | 三亚市人民政府办公室关于印发三亚市开展重点领域网络与信息安全检查行动方
三亚市人民政府办公室关于印发三亚市开展重点领域网络与信息安全检查行动方案的通知
| 颁布单位:海南省三亚市人民政府办公室 | 文号:三府办[2012]241号 |
|---|---|
| 颁布日期:2012-08-07 | 失效日期: |
| 效力级别:地方政府规范性文件 |
三亚市人民政府办公室关于印发三亚市开展重点领域网络与信息安全检查行动方案的通知
三府办[2012]241号
各相关单位:
根据国务院办公厅开展重点领域网络与信息安全检查行动有关通知和《海南省信息化建设领导小组办公室关于贯彻落实开展重点领域网络与信息安全检查行动的通知》(琼信组办〔2012〕7号)要求,我市各相关部门要抓紧在本部门和主管行业重点企事业单位中部署开展网络与信息安全检查工作,通过检查发现存在的问题和薄弱环节,分析评估面临的安全威胁和风险,有针对性地采取防范对策和改进措施,切实保障网络与信息安全。为切实做好国办通知和省信息化办公室通知的贯彻落实工作,指导推进重点领域网络与信息安全检查行动,确保检查行动取得实效,经市政府同意,现将《三亚市开展重点领域网络与信息安全检查行动工作方案》印发给你们,请认真遵照执行。
三亚市人民政府办公室
2012年8月7日
三亚市开展重点领域网络与信息安全检查行动工作方案
为贯彻落实重点领域信息安全自查工作,依据国务院办公厅开展重点领域网络与信息安全检查行动有关通知(以下简称国办通知)和海南省信息化建设领导小组办公室关于贯彻落实开展重点领域网络与信息安全检查行动通知的精神,制定本方案。
本方案主要用于我市各相关部门及企事业单位。
一、自查目的
通过开展安全自查,进一步梳理、掌握我市重要网络与信息系统基本情况,查找突出问题和薄弱环节,分析面临的安全威胁和风险,评估安全防护水平,有针对性地采取防范对策和改进措施,加强网络与信息系统安全管理和技术防护,促进安全防护能力和水平提升,预防和减少重大信息安全事件的发生,切实保障我市重点网络与信息安全。
二、检查范围
按照国办及省里通知要求,结合我市实际,此次检查的范围及检查重点如下:
(一)检查范围
包括两个方面:一是政府信息系统;二是城市轨道交通、供水供气等市政领域的网络与信息系统。
(二)检查重点
重点是事关国家安全和社会稳定,对各部门或行业正常生产生活具有较大影响的重要网络与信息系统。
1.纳入检查范围的网络与信息系统从安全防护的角度应具有相对的独立性。
从安全防护的角度判断网络与信息系统独立性的方法如下:根据系统所承担业务的独立性、责任主体的独立性、网络边界的独立性、安全防护设备设施的独立性四个因素,对网络与信息系统进行全面梳理并综合分析,划分出相对独立的网络与信息系统,并形成网络与信息系统清单,以便于更好地界定检查范围。
2.关于重要网络与信息系统,可从系统特征的角度,立足本部门或本行业实际,参考以下标准进行判定:
(1)业务依赖度高。
(2)数据集中度高。
(3)实时性要求高。
(4)系统关联性强(发生重大信息安全事件后,会对其相连的其他系统造成较大影响,并产生连片连锁反应)。
(5)直接面向社会公众提供服务,用户数量庞大,覆盖范围广。
(6)灾备等级高(系统级灾备)。
三、检查方式
按照国办和省里通知要求,此次检查按照“谁主管谁负责、谁运行谁负责”的原则,采取自查与抽查相结合、以自查为主的方式开展。
抽查将采取现场检查、人员访谈、文档查阅、现场核查、工具测试、人工检测等方法进行。
四、认真做好自查工作
(一)自查工作组织机构
1.市科技工业信息化局负责组织我市的自查工作。
2.各部门负责组织本部门和主管行业重点企事业单位的自查工作。
(二)自查工作要点
在组织开展本部门自查工作时,可参照以下工作要点:
1.各部门、各单位可参考本方案,结合实际组织制定检查行动实施方案,确认自查范围和责任人,印发检查通知,明确安全检查的工作安排、具体对象、时间进度、工作要求等。
2.各部门、各单位可参照《信息安全自查操作指南》开展自查。
3.自查工作总结和上报
自查工作完成后,市各部门和单位将自查报告报送市科技工业信息化局。市科技工业信息化局负责汇总整理,并结合抽查情况,认真研究存在的主要问题和薄弱环节,综合分析本地区主要网络与信息系统面临的安全威胁和风险,评估安全防护能力和水平,做好安全判断,总结所采取的整改措施及效果,认真填写检查情况报告表。在以上工作基础上,形成本市的自查总结报告,连同检查情况报表,及时报送给省信息化建设领导小组办公室(设在省工业和信息化厅)。
五、切实做好迎接抽查工作
省信息化建设领导小组办公室将组织专业技术队伍进行安全抽查。专业技术队伍由省公安厅、省工信厅、省安全厅、省国家保密局等部门相关人员组成。
(一)抽查范围
有关的市政府部门、企事业单位。
(二)抽查内容
1.现场检查内容
(1)自查工作进展情况。重点检查:被抽查单位自查工作部署、自查方案制定、自查工作进度等情况。
(2)网络与信息系统基本情况。重点检查重要网络与信息系统情况,包括:系统的实时性、服务对象、连接互联网情况、数据集中情况、灾备情况,系统停止运行后对主要业务的影响程度、系统遭受攻击破坏后对社会公众的影响程度,主要软硬件设备的类型、数量、生产商,信息技术外包服务类型、服务提供商、服务方式、安全保密协议等。
(3)安全防护措施及隐患情况。重点检查:网络架构、区域划分、网络边界安全防护措施,服务器、网络设备、安全设备等的安全策略配置及有效性,应用系统安全功能配置及有效性,重要数据传输、存储的安全防护措施,工业控制系统连接联网情况。根据密码防护的特殊要求,检查密码设备的部署及其安全策略配置情况,密码服务情况等。
使用专业技术工具,对重要设备和应用系统进行病毒木马检测,扫描安全漏洞,采用人工方式对安全漏洞的可利用性进行验证。同时检查移动存储介质交叉使用情况。
2.外部检测内容
通过互联网对被抽查的网络与信息系统进行外部检测,重点对病毒木马、信息篡改等安全问题以及安全漏洞和隐患等情况进行检查,检验安全防护措施的有效性以及系统防病毒、防篡改、防瘫痪、防攻击、防泄密等能力。
六、加强专家咨询指导
此次安全检查涉及领域多、范围广,为提高自查和检查工作成效,各单位可以邀请专家对自查和检查行动进行咨询指导,帮助分析检查工作中遇到的困难和问题,评估、研判安全自查和检查结果,提出对策建议等。
七、加强信息报送工作
为便于了解掌握各部门有关自查和检查工作进展情况,及时沟通和交流信息,各部门自8月9日起,每周五下午将自查或检查简要工作情况(格式附后)报送市科技工业信息化局。各部门、各单位要明确1名工作负责人作为联络员,负责日常工作联系,并于8月9日前将名单(格式附后)报送到市科技工业信息化局。在自查工作中发现重大安全隐患,或出现因检查工作导致跨地区、跨部门或跨行业安全问题的,要及时向市科技工业信息化局报告。
八、严格时间进度安排
(一)自查时间安排
1.部署阶段:8月13日—8月15日;
2.实施阶段:8月16日—8月31日;
3.总结上报阶段:9月1日—9月5日。
(二)抽查时间时度安排
1.现场检查实施时间:8月16日—8月31日;
2.外部检测时间:8月16日—8月31日。
(三)检查行动总结时间安排
各部门、各单位务必于9月5日前将整个工作情况报告报送到市科技工业信息化局(联系人:吴开唐,电话:18089799986)。
九、认真落实有关要求
(一)加强整改落实
各部门、各单位要切实做好整改工作,对检查中发现的问题,要及时进行研究,采取有效措施加以整改。因条件不具备不能立即整改的,要制定整改计划、整改方案及整改时间表,并采取临时防范措施,确保网络与信息系统安全正常运行。要举一反三,在同类系统、同类设备中排查类似问题,切实提高信息系统安全防护水平。国家信息安全协调办根据检查情况,对存在突出安全隐患和薄弱环节的地区、部门或行业提出整改建议书,督促进行整改。
(二)认真做好总结
各部门、各单位对自查工作进行全面总结,认真撰写自查工作总结报告(格式附后),如实填写检查情况报告表。总结报告须给出对本部门、本行业安全状况的总体判断,给出安全防护能力的判断。填写信息安全检查情况报告表(参见《信息安全自查操作指南》)时,应避免出现漏项、错项、前后不一致等情况。要根据检查报告内容的敏感程度,确定报告密级并在报告首页明确标识。
(三)加强风险控制
各部门和有关重点企事业单位在开展安全检查工作时,要明确相关工作纪律并严格执行。要识别检查中的安全风险,周密制定应急预案,强化风险控制措施,明确发生重大安全问题时的处置流程,确保被检查信息系统的正常运行。要对技术检测活动的安全风险,特别是现场检查中使用的自动化检测工具的安全风险进行评估,防止引入新的风险,并要求相关人员严格遵守操作规程。应对重要数据和配置进行备份,尽量避开业务高峰期进行工具测试。对工业控制系统的技术检测要慎重实施。
需委托外部检测机构进行检测的,对相关检测机构的安全可靠性及其技术能力、管理水平等严格把关,明确检测机构和检测人员的安全责任。可参考以下条件选取检测机构:①机构安全可控(如事业单位);②开展信息安全检查或相关工作2年以上;③拥有专业安全检查人员10人以上,全部为机构编制内人员或与机构签订2年以上劳动合同的聘用人员;④拥有与开展安全检查相适应的安全检测设备与检测工具;⑤信息安全与保密管理、项目管理、质量管理、人员管理、教育培训等规章制度健全;⑥参与安全检查的人员无犯罪记录,并与机构签订安全保密协议。
(四)加强保密管理
要高度重视保密工作,指定专人负责,对检查活动、检查实施人员、有关的邀请专家以及相关文档和数据进行严格管理,确保检查工作中涉及到的国家秘密和商业秘密得到有效控制;对检查人员进行保密培训,确保检查工作中获知的信息不被泄露,检查数据和检查结果不向其他单位透露。
信息安全自查工作进展每周报告
报送单位
报送人联系方式
工作周期月日—月日
一、检查工作进展情况
二、发现的重大问题及处置情况
三、其他情况
传真电话:88366096(请加盖单位公章后传真)
联系人:吴开唐,联系电话:18089799986,联系邮箱:[email protected]
信息安全检查工作联络员名单
姓名
单位
职务
电话手机
传真
邮箱
传真电话:88254312(请加盖单位公章后传真)
联系人:吴开唐,联系电话:18089799986,联系邮箱:[email protected]
信息安全检查情况报告表
部门:
一、重要信息系统安全检查情况
基本情况重要信息系统总数(请另附系统清单,以下同)
(按实时性进行统计)1.非实时运行的系统数量
2.实时运行的系统数量
(按服务对象进行统计)1.面向社会公众提供服务的系统数量
2.不面向社会公众提供服务的系统数量
(按联网情况进行统计)1.直接连接互联网的系统数量
2.同互联网强逻辑隔离的系统数量
3.与互联网物理隔离的系统数量
(按数据集中情况进行统计)1.全国数据集中的系统数量
2.省级数据集中的系统数量
3.未进行数据集中的系统数量
(按灾备情况进行统计)1.进行系统级灾备的系统数量
2.仅对数据进行灾备的系统数量
3.无灾备的系统数量
系统
构成情况主要硬件和软件服务器路由器交换机防火墙磁盘阵列磁带库操作系统数据库
国内品牌数量(台/套)
国外品牌数量(台/套)
业务应用
软件系统1.自主设计开发(不含二次开发)的数量
2.委托国内厂商开发的数量
委托国外厂商开发的数量
3.直接采购国内厂商产品的数量
直接采购国外厂商产品的数量
信息技术外包服务服务商名称:
服务商性质:□国有□民营□外资
服务内容:
服务方式:□远程在线服务□现场服务
(如有更多,请另列表)
安全状况分析结果信息系统对国外产品和服务的依赖程度主要业务
对信息系统的依赖程度信息系统
面临的安全威胁程度信息系统
安全防护能力
信息系统名称高中低高中低高中低高中低
(如有更多,请另列表)
二、重要工业控制系统安全检查情况
基本情况重要工业控制系统运营单位总数:家
重要工业控制系统总数:套
系统类型情况国内品牌国外品牌
数据采集与监控(SCADA)系统套套
分布式控制系统(DCS)套套
过程控制系统(PCS)套套
可编程控制器(PLC)大型台台
中型台台
小型台台
就地测控设备仪表台台
智能电子设备(IED)台台
远端设备(RTU)台台
系统构成情况应用服务器-工程师工作站应用软件套套
系统软件套套
PC机/服务器台台
数据服务器数据库软件套套
系统软件套套
PC机/服务器台台
通信设备台台
工业控制网络
连接情况1.直接与互联网连接的重要工业控制系统数量:套
2.与内部网络连接的重要工业控制系统数量:套
3.含有无线接入方式的重要工业控制系统数量:套
运行维护情况1.采用远程方式运行维护的重要工业控制系统数量:套
2.由国内厂商提供运行维护服务的重要工业控制系统数量:套
3.由国外厂商提供运行维护服务的重要工业控制系统数量:套
信息安全
防护情况1.网络边界处架设网络安全设备的重要工业控制系统数量:套
2.安装防病毒软件或设备的重要工业控制系统数量:套
3.定期进行安全更新的重要工业控制系统数量:套
4.采取加密措施传输、存储敏感数据的重要工业控制系统数量:套
(填表说明参见《信息安全自查操作指南》)
重点领域网络与信息安全自查工作总结报告
一、自查工作总结报告名称
XXX(各部门和各单位名称)网络与信息安全自查工作总结报告
二、自查工作总结报告组成
自查工作总结报告包括主报告和检查情况报告表两部分。
三、主报告内容要求
(一)各部门、各单位网络与信息安全自查工作组织开展情况
概述此次安全检查工作组织开展情况、所检查的重要网络与信息系统基本情况。
(二)各部门、各单位信息安全工作情况
对照我市要求,逐项、详细描述本部门、本行业在安全管理、技术防护、应急处置与容灾备份等方面工作的检查结果。
(三)本部门、本单位自查发现的主要问题和面临的威胁分析
1.发现的主要问题和薄弱环节
2.面临的安全威胁与风险
3.整体安全状况的基本判断
(四)改进措施及整改效果
1.改进措施
2.整改效果
(五)关于加强信息安全工作的意见和建议
海南省信息安全自查操作指南
二〇一二年七月
目录
概述18
一、自查目的
二、自查工作流程
环节一自查工作部署20
一、研究制定自查实施方案
二、自查工作动员部署
环节二基本情况自查23
一、系统基本情况自查
二、安全管理情况自查
三、技术防护情况自查
四、应急处置及容灾备份情况自查
五、安全技术检测
环节三问题与风险分析41
一、主要问题分析
二、国外依赖度分析
三、主要威胁分析
环节四自查工作总结44
一、自查工作总结
二、自查情况上报
有关工作要求45
概述
为指导重点领域信息安全自查工作,依据国务院办公厅开展重点领域网络与信息安全检查行动有关通知的要求(以下简称国办通知),制定本指南。
本指南主要用于我省各市政府、省直各部门和各单位(以下统称自查单位)在开展信息安全自查具体工作时参考。
一、自查目的
通过开展安全自查,进一步梳理、掌握本单位重要网络与信息系统基本情况,查找突出问题和薄弱环节,分析面临的安全威胁和风险,评估安全防护水平,有针对性地采取防范对策和改进措施,加强网络与信息系统安全管理和技术防护,促进安全防护能力和水平提升,预防和减少重大信息安全事件的发生,切实保障本单位网络与信息安全。
二、自查工作流程
信息安全自查主要包括自查工作部署、基本情况自查、问题与风险分析、自查工作总结等4个环节(见图1)。其中时间安排依照我省工作方案规定。
图1自查工作流程
环节一自查工作部署
一、研究制定自查实施方案
认真学习国办通知,深刻领会文件精神和有关要求,研究制定自查实施方案,并报主管领导批准。
(一)自查实施方案应当明确的内容
自查实施方案应当明确以下内容:(1)自查工作负责人、组织单位和实施机构。(2)自查范围和自查对象。(3)自查工作的组织方式。(4)自查工作时间进度安排。
1.关于自查范围。此次自查范围是政府信息系统、重点行业和市政领域的网络与信息系统(含工业控制系统,以下同)。检查的重点是事关国家安全和社会稳定,对地区、部门或行业正常生产生活具有较大影响的重要网络与信息系统。
2.关于自查对象。主要指网络与信息系统安全管理与防护涉及到自查单位。各单位可根据实际情况确定具体的自查对象。
3.关于自查工作组织。自查单位可成立自查工作组开展检查,也可指定专门机构负责自查实施工作。自查工作组可由本单位信息化与信息安全部门以及相关业务部门中熟悉业务、具备信息安全知识、技术能力较强的人员,以及本单位相关技术支撑机构业务骨干等组成。单位内各部门可指定人员负责协调配合和联络工作。
对于信息系统复杂、自查工作涉及部门多的单位,可根据需要成立自查工作领导小组,负责自查工作的组织协调与资源配置。领导小组组长可由本单位信息安全主管领导担任,领导小组成员可包括信息安全综合管理部门负责人(如办公室主任)、信息化部门负责人(如信息中心主任),以及其他相关部门负责人(如人事部门、财务部门、业务部门、生产管理部门领导)等。
(二)应当注意的有关事项
1.纳入检查范围的网络与信息系统从安全防护的角度应具有相对的独立性。
从安全防护的角度判断网络与信息系统独立性的方法如下:根据系统所承担业务的独立性、责任主体的独立性、网络边界的独立性、安全防护设备设施的独立性四个因素,对网络与信息系统进行全面梳理并综合分析,划分出相对独立的网络与信息系统,并形成网络与信息系统清单,以便于更好地界定检查范围。
2.关于重要网络与信息系统,可从系统特征的角度,立足本地区、本部门或本行业实际,参考以下标准进行判定:
重点是事关国家安全和社会稳定,对地区、部门或行业正常生产生活具有较大影响的重要网络与信息系统。
1.纳入检查范围的网络与信息系统从安全防护的角度应具有相对的独立性。
从安全防护的角度判断网络与信息系统独立性的方法如下:根据系统所承担业务的独立性、责任主体的独立性、网络边界的独立性、安全防护设备设施的独立性四个因素,对网络与信息系统进行全面梳理并综合分析,划分出相对独立的网络与信息系统,并形成网络与信息系统清单,以便于更好地界定检查范围。
关于重要网络与信息系统,可从系统特征的角度,立足本市、本部门或本行业实际,参考以下标准进行判定:
业务依赖度高。
数据集中度高(省级数据集中)。
实时性要求高。
系统关联性强(发生重大信息安全事件后,会对其相连的其他系统造成较大影响,并产生连片连锁反应);
直接面向社会公众提供服务,用户数量庞大,覆盖范围广。
灾备等级高(系统级灾备)。
二、自查工作动员部署
自查单位可通过召开会议、下发文件等方式对自查工作进行部署,布置自查工作任务。相关人员要切实落实自查工作责任,各司其职,形成合力,共同推进自查工作。
环节二基本情况自查
一、系统基本情况自查
(一)系统特征情况
1.查看系统规划设计方案、安全防护规划设计方案、网络拓扑图等,核实系统的实时性、服务对象、连接互联网情况、数据集中情况、灾备情况等基本情况,记录检查结果(表1)。
表1系统基本情况检查记录表
序号系统名称实时性服务
对象连接互联网情况数据集中情况灾备情况
实时非实时面向社会公众不面向社会公众采用逻辑隔离措施连接采用逻辑强隔离措施连接不连接全国集中省级集中不集中系统级灾备仅数据灾备无灾备
1
2
3
…
2.根据上述系统基本情况核查结果,分析系统停止运行后对主要业务的影响程度、系统遭受攻击破坏后对社会公众的影响程度等安全特征,记录分析结果(表2)。
(1)关于系统停止运行后对主要业务的影响程度判定标准如下:
影响程度高:系统停止运行后,主要业务无法开展或对主要业务运行产生严重影响;
影响程度中:系统停止运行后,对主要业务运行有一定影响,可用手工等传统方式替代;
影响程度低:系统停止运行后,对主要业务运行影响较小或无影响。
(2)关于系统遭受攻击破坏后对社会公众的影响程度判定标准如下:
影响程度高:系统遭受攻击破坏,造成系统无法正常运行、被劫持、信息泄露等后果后,对社会公众正常生活、公众利益等产生严重影响;
影响程度中:系统遭受攻击破坏,造成系统无法正常运行、被劫持、信息泄露等后果后,对社会公众正常生活、公众利益等产生一定影响;
影响程度低:系统遭受攻击破坏,造成系统无法正常运行、被劫持、信息泄露等后果后,对社会公众正常生活、公众利益等影响较小或无影响。表2系统特征情况分析记录表
序
号系统名称系统对主要业务的
影响程度系统对社会公众的
影响程度
高中低高中低
1
2
3
…
(二)系统构成情况
1.重点检查主要硬件设备类型、数量、生产商(品牌)情况,记录检查结果(表3)。
硬件设备类型主要有:服务器、路由器、交换机、防火墙、磁盘阵列、磁带库及其他主要安全设备。
硬件设备生产商(品牌)按国内、国外两类进行记录。其中,国内主要有浪潮、曙光、联想、方正、华为、中兴、天融信、启明星辰、绿盟、联想网御等,国外主要有IBM、HP、DELL、Cisco、Juniper、H3C等。
2.重点检查主要软件设备类型、套数、生产商(品牌)情况,记录检查结果(表4)。
软件设备类型主要有:操作系统、数据库及主要业务应用系统。
软件设备生产商(品牌)按国内、国外两类进行记录。其中,国内主要有红旗、麒麟、金仓、达梦等,国外主要有Windows、RedHat、HP-Unix、AIX、Solaris、Oracle、DB2、SQLServer等。
(三)工业控制系统类型与构成情况
通过调阅资产清单、现场查看、上机检查等方式,检查工业控制系统类型和构成情况,汇总记录检查结果(表5)。
工业控制系统类型主要包括数据采集与监控系统、分布式控制系统、过程控制系统、可编程控制器、就地测控设备(仪表、智能电子设备、远端设备)等。
工业控制系统软硬件主要包括:应用服务器-工程师工作站(组态监控软件、系统软件、PC机/服务器)、数据服务器(数据库软件、系统软件、PC机/服务器)等。
表3信息系统主要硬件检查记录表
检查项检查结果
主
要
硬
件服务器国内品牌数量浪潮曙光联想方正其他:
1.品牌,数量
2.品牌,数量
(如有更多,请另列表)
国外品牌数量IBMHPDELL其他:
1.品牌,数量
2.品牌,数量
(如有更多,请另列表)
路由器国内品牌数量华为中兴其他:
1.品牌,数量
2.品牌,数量
(如有更多,请另列表)
国外品牌数量CiscoJuniperH3C其他:
1.品牌,数量
2.品牌,数量
(如有更多,请另列表)
交换机国内品牌数量华为中兴其他:
1.品牌,数量
2.品牌,数量
(如有更多,请另列表)
国外品牌数量CiscoJuniperH3C其他:
1.品牌,数量
2.品牌,数量
(如有更多,请另列表)
防火墙国内1.品牌,数量
2.品牌,数量(如有更多,请另列表)
国外1.品牌,数量
2.品牌,数量(如有更多,请另列表)
其他国内1.设备类型:,品牌,数量
2.设备类型:,品牌,数量
(如有更多,请另列表)
国外1.设备类型:,品牌,数量
2.设备类型:,品牌,数量
(如有更多,请另列表)
表4信息系统主要软件检查记录表
检查项检查结果
主
要
软
件操作系统国内品牌套数红旗麒麟其他:1.品牌,套数
2.品牌,套数
(如有更多,请另列表)
国外品牌套数WindowsRedHatHP-UnixAIX其他:
1.品牌,套数
2.品牌,套数
(如有更多,请另列表)
数据库国内品牌套数金仓达梦其他:
1.品牌,套数
2.品牌,套数
(如有更多,请另列表)
国外品牌套数OracleDB2SQLServer其他:
1.品牌,套数
2.品牌,套数
(如有更多,请另列表)
其他国内1.设备类型:,品牌,套数
2.设备类型:,品牌,套数
(如有更多,请另列表)
国外1.设备类型:,品牌,套数
2.设备类型:,品牌,套数
(如有更多,请另列表)
(四)信息技术外包服务情况
重点检查信息技术外包服务类型、服务提供商、服务方式、安全保密协议等,记录检查结果(表6)。
服务类型主要有系统集成、软件开发、系统运维、风险评估、安全检测、安全加固、应急支持、数据存储、规划咨询、系统托管、灾难备份等。
服务方式主要有远程在线服务和现场服务。
安全保密协议内容应包括安全责任、违约责任、协议有效期和责任人等内容。对于没有安全保密协议文本,但在外包服务合同中具有相关内容的,视同签订安全保密协议。
表6信息技术外包服务检查结果记录表
检查项检查结果
外包服务机构1机构名称
机构性质□国有□民营□外资
服务内容
服务方式□远程在线服务□现场服务
信息安全与保密协议□已签订□未签订
外包服务机构2机构名称
机构性质□国有□民营□外资
服务内容
服务方式□远程在线服务□现场服务
信息安全与保密协议□已签订□未签订
外包服务机构3机构名称
机构性质□国有□民营□外资
服务内容
服务方式□远程在线服务□现场服务
信息安全与保密协议□已签订□未签订
(如有更多,可另列表)
二、安全管理情况自查
(一)信息安全责任制建立及落实情况
重点检查信息安全主管领导、信息安全管理机构、信息安全工作人员履职以及岗位责任、事故责任追究情况等,记录检查结果(表7)。
1.信息安全主管领导明确及工作落实情况。
检查方法:调阅领导分工等文件,检查是否明确了信息安全主管领导。调阅信息安全相关工作批示和会议记录等文件,了解主管领导工作落实情况。
2.信息安全管理机构指定及工作落实情况。
检查方法:调阅单位内各部门职责分工等文件,检查是否指定了信息安全管理机构(如工业和信息化部指定办公厅作为本部门信息安全管理机构)。调阅工作计划、工作方案、管理规章制度、监督检查记录等文件,了解管理机构工作落实情况。
3.信息安全工作人员配备及工作落实情况。
检查方法:调阅人员列表、岗位职责分工等文件,检查是否配备了信息安全工作人员。访谈信息安全工作人员,调阅工作计划、工作记录、工作报告等文件,检查信息安全工作人员的工作落实情况。
4.岗位责任和事故责任追究情况。
检查方法:调阅安全事件记录等文件,检查是否发生过因违反制度规定造成的信息安全事故。调阅安全事件处置文件,检查是否对信息安全责任事故进行了查处。
表7信息安全责任制建立及落实情况检查记录表
检查项检查结果
1分管信息安全工作的领导①姓名:_______________
②职务:_______________(本部门正职或副职领导)
2信息安全管理机构①名称:___________________
②负责人:职务:___
③联系人:电话:___
3信息安全专职工作机构①名称:___________________
②负责人:电话:___
4信息安全员①本单位内设机构数量:_____________
②信息安全员数量:_____________
③专职信息安全员数量:_____________
5岗位责任和事故责任追究①岗位信息安全责任制度:□已制定□未制定
②安全责任事故:□发生过:□所有事故均已查处相关责任人
□有事故未查处相关责任人
□未发生过
(二)日常安全管理制度建立和落实情况
重点检查人员管理、资产管理、存储介质管理、运行维护管理、年度教育培训等制度建立和落实情况,记录检查结果(表8)。
1.人员管理制度。
检查方法:调阅人员管理制度等文件,检查是否有岗位信息安全责任、人员离岗离职管理、外部人员访问管理等相关规定。调阅人员信息安全保密协议,检查系统管理员、网络管理员、信息安全员等重点岗位人员是否签订了协议。调阅人员离岗离职记录、人员离岗离职承诺书等文件,抽查离岗离职人员信息系统访问权限终止情况,检查人员离岗离职管理落实情况。调阅外部人员访问审批手续、访问记录等文件,检查外部人员访问管理落实情况及相关记录完整性。
2.资产管理制度
检查方法:调阅资产管理制度等文件,检查是否有设备发放、使用、维修、维护和报废等相关规定。调阅资产台账,抽取一定比例的在用设备,核查其对应的资产台账记录;随机抽取资产台账中的设备,核查其对应的实物,检查资产台账完整性和账物符合性。调阅设备管理员任命、岗位分工等文件,访谈设备管理员,检查是否指定了专人负责资产管理工作。
3.存储介质管理制度。
检查方法:调阅存储介质管理制度等文件,检查是否有介质领用、交回、维修、报废、销毁等相关规定,调阅存储介质管理相关记录,检查存储介质管理制度落实情况。访谈网络管理员、数据库管理员,了解存储阵列、磁带库等大容量存储介质是否外联,外联时是否有安全防护措施,是否存在远程维护。
4.运行维护管理制度。
检查方法:调阅运行维护管理制度等相关文件,检查是否包含备份、应急、监控、审计、变更管理等相关内容。调阅运维操作手册和运维相关记录,检查是否有运维操作手册、运行维护管理制度落实情况及相关记录完整性。
5.年度教育培训。
检查方法:访谈网络管理员、系统管理员和工作人员,了解信息安全基本防护技能掌握情况,调阅信息安全教育培训制度、培训计划、培训记录、考核记录及试卷等相关文件,检查年度培训计划制定情况、培训记录(培训时间、培训内容、人员签到、培训讲师等内容),确认信息安全管理人员和技术人员培训内容中是否包含专业技能,确认领导干部和机关工作人员培训内容中是否包含信息安全基本技能。
表8日常安全管理制度建立和落实情况检查结果记录表
检查项检查结果
1人员管理①重要岗位人员安全保密协议:
□全部签订□部分签订□未签订
②人员离岗离职安全管理规定:□已制定□未制定
③外部人员访问审批制度:□已制定□未制定
2资产管理①资产管理制度:□已制定□未制定
②是否指定专人进行资产管理:□是□否
③设备维修维护和报废管理制度:□已制定□未制定
④设备维修维护和报废记录是否完整:□是□否
3存储介质管理①存储介质管理制度:□已制定□未制定
②存储介质管理记录:□完整□不完整
③大容量存储介质:□外联:□采取了技术防范措施
□未采取技术防范措施
□不外联
4运行维护管理①日常运维制度:□已制定□未制定
②运维操作手册:□已制定□未制定
③运维操作记录:□完整□不完整
5年度教育培训①年度培训计划:□已制定□未制定
②本年度接受信息安全教育培训的人数:_____人
占本单位总人数的比例:_____%
③本年度开展信息安全教育培训的次数:_____次
④本年度信息安全管理和技术人员参加专业培训:______人次
(三)信息安全经费投入情况
重点检查信息安全经费预算和投入情况,记录检查结果(表9)。
1.本年度信息安全经费预算
检查方法:调阅本年度经费预算文件,检查是否将信息安全防护设施建设、运行、维护以及信息安全相关检查、测评、管理等费用纳入了年度预算,记录本年度信息安全经费预算情况。
2.上年度信息安全经费投入
检查方法:查阅相关财务文件,记录上一年度信息安全经费实际投入情况。
表9信息安全经费投入情况表
检查项检查结果
1本年度信息安全经费预算本年度信息安全预算:□有,预算额:_______万元
□无
2上年度信息安全经费投入上年度信息安全经费实际投入额:_____________万元
三、技术防护情况自查
对纳入检查范围的每一个网络与信息系统、工业控制系统的技术防护情况逐个进行检查,重点检查技术防护体系建设、网络边界安全防护措施、设备安全策略配置、重要数据传输存储安全防护措施等情况,记录检查结果(表10)。
(一)网络边界安全防护措施
检查方法:对照网络拓扑图,检查网络实际连接情况,确认同网络拓扑图一致。分析网络拓扑图,查看网络隔离设备部署、交换机VLAN划分,检查网络是否按重要程度划分安全区域,确认不同区域采用了正确的隔离措施。检查互联网连接情况,统计网络外联的出口个数,检查每个出口是否都进行了安全控制。检查网络边界防护设备部署情况,确认外部网络接入内部网络采用了安全的加密传输方式(如VPN)等。
(二)安全策略或安全功能配置及有效性
检查方法:分别登录服务器、网络设备、安全设备,查看安全策略配置,检查安全策略配置是否合理,并验证其有效性,确认按需开放端口、符合最小服务原则。检查应用系统安全功能配置情况,确认具有身份认证、访问控制、安全审计等安全功能,登录系统验证安全功能的有效性。
(三)重要数据传输、存储安全防护措施
检查方法:登录数据库,查看重要数据,确认加密存储。采用网络嗅探工具抓取访问系统时的通信数据包,检查是否加密传输。访谈数据库管理员,检查重要数据是否进行备份,确认备份方式是本地备份还是异地备份。核查备份数据文件,确认备份周期。
(四)密码技术和设备情况。
检查方法:调阅资产台账,查看在用系统,检查在用的密码设备、密码技术,检查供应商情况、是否具有相应资质。
表10技术防护情况检查记录表
(每个系统单独成一张表)
系统名称_______________________________________________
检查项检查结果
1网络边界防护①安全域隔离情况:□逻辑强隔离□逻辑隔离□无隔离
②连接互联网情况:
□连接互联网:
互联网接入总数:_______个
其中□联通接入口数量:____个接入带宽:_____兆
□电信接入口数量:____个接入带宽:_____兆
□其他:__________________接入口数量:____个
接入带宽:_____兆
□不连接互联网
③网络边界防护措施(多选):
□访问控制□安全审计□边界完整性检查□入侵防范
□恶意代码防范□VPN方式接入□无措施
2安全防护策略①服务器安全策略:□使用默认配置□根据应用自主配置
□按需开放端口□最小服务配置
②网络设备安全策略:□使用默认配置□根据应用自主配置
□按需开放端口□最小服务配置
③安全设备安全策略:□使用默认配置□根据应用自主配置
□按需开放端口□最小服务配置
④应用系统安全功能:□身份验证□访问控制□安全审计
3重要数据防护①传输防护:□加密□未加密
②存储防护:□加密□未加密
③备份:□本地备份□异地备份□未备份
4密码技术防护□使用密码产品:□硬件产品□软件产品
□未使用密码产品
四、应急处置及容灾备份情况自查
重点检查应急预案制修订、应急演练和灾备措施情况,记录检查结果(表11)。
(一)信息安全事件应急预案制定和修订情况
检查方法:调阅应急预案文本、预案年度评估记录和修订记录等文件,检查应急预案制定和修订情况。
(二)预案演练及相关人员对预案的熟悉程度
检查方法:调阅应急预案宣传材料、预案培训记录,访谈系统管理员、网络管理员和工作人员,询问对应急预案的熟悉程度。
(三)灾难备份和恢复措施建设情况
检查方法:查看重要网络设备、通信线路和服务器连接情况,检查重要设备是否提供硬件冗余。分析网络拓扑图,检查重要业务系统是否配备本地或异地系统级热备份的功能。
(四)应急资源配备和建设情况
检查方法:调阅服务合同或服务协议,检查是否明确了应急技术支援队伍,确认应急技术支援队伍的响应时间。查看备机备件,或调阅设备生产商、代理商服务合同,检查是否已建立了明确的备机备件库或有备机备件供应渠道。
表11应急处置及容灾备份情况检查结果记录表
检查项检查结果
1信息安全应急预案①应急预案:□已制定□未制定
②预案评估:□本年度已评估□本年度未评估□从未评估
2应急演练□本年度已开展□本年度未开展□从未开展
3灾难备份①重要系统:□全部备份□部分备份□未备份
②重要数据:□全部备份□部分备份□未备份
4应急资源①应急支援队伍:□部门所属队伍□外部专业机构□无
②备机备件:□已配备□有供应渠道□未配备
五、安全技术检测
(一)工具检测
使用检测工具检测操作系统、数据库、网络设备、安全设备、应用系统等的端口、应用、服务及补丁更新情况,检测是否关闭了不必要的端口、应用、服务,是否存在安全漏洞。
常用的检测工具有:漏洞扫描工具、密码安全检测工具、数据库安全检测工具、协议分析工具、应用安全扫描工具、SQL注入工具等。
(二)渗透测试
组织专业技术力量,采取模拟攻击方式对系统进行渗透测试,检验系统防入侵、防攻击、防泄漏、防篡改等能力。
工业控制系统检查中,要慎重使用攻击性测试手段。
环节三问题与风险分析
对检查中发现的问题和面临的威胁风险进行分析,记录分析结果(表12)。
一、主要问题分析
1.从安全管理和技术防护两个方面,对检查中发现的主要问题及薄弱环节逐一进行研究,深入分析问题产生的直接原因以及深层次的原因,研究提出相应的改进措施。
2.从法律法规、政策制度、技术手段三个方面,分析制约本单位系统安全防护能力提高的主要因素,包括当前不适应安全管理工作或缺失的法律法规及政策制度,安全防护中缺少或严重不足的技术手段等,研究提出关于加强信息安全工作的意见和建议等。
二、国外依赖度分析
根据对主要软硬件设备和信息技术外包服务的检查情况,统计国外产品和服务所占的比例,分析系统对国外产品和服务的依赖程度,记录分析结果。
系统对国外产品和服务的依赖程度按以下标准判定:
1.高依赖:国外停止产品更新升级、终止技术支持等服务后,信息系统无法运行。
2.中依赖:国外停止产品更新升级、终止技术支持等服务后,信息系统能够运行,但系统功能、性能等受较大影响。
3.低依赖:国外停止产品更新升级、终止技术支持等服务后,信息系统能够正常运转或受影响较小。
三、主要威胁分析
根据安全检测发现的漏洞和隐患,分析系统存在的安全风险,判断面临的安全威胁程度以及具备的安全防护能力,评估系统总体安全状况。
1.系统面临的安全威胁程度按以下标准判定
系统具有下述特征之一的,为高安全威胁:(1)连接互联网,采用远程在线方式进行运维或对国外产品和服务高度依赖;(2)跨地区联网运行或网络规模大、用户多,采用远程在线方式进行运维或对国外产品和服务高度依赖;(3)存在其他可能导致系统中断或系统运行受严重影响、大量敏感信息泄露等的威胁。
系统具有下述特征之一的,为中安全威胁:(1)连接互联网,对国外产品和服务中度依赖;(2)跨地区联网运行或网络规模大、用户多,对国外产品和服务中度依赖;(3)存在其他可能导致系统运行受较大影响、敏感信息泄露等的威胁。
系统具有下述特征之一的,为低安全威胁:(1)连接互联网,对国外产品和服务依赖度低;(2)跨地区联网运行或网络规模大、用户多,对国外产品和服务依赖度低;(3)存在其他可能导致系统运行受影响、信息泄露等的威胁。
2.系统安全防护能力按以下标准判定
安全防护能力高:经组织专业技术力量对系统进行攻击测试,不能通过互联网进入或控制系统。
安全防护能力中:经组织专业技术力量对系统进行攻击测试,能够通过互联网进入或控制系统,但进入或控制系统的难度较高。
安全防护能力低:经组织专业技术力量对系统进行攻击测试,能够轻易通过互联网进入或控制系统。
表12问题和威胁分析记录表
序
号系统名称系统对国外产品和服务的依赖程度系统面临的
威胁程度系统安全
防护能力
高中低高中低高中低
1
2
3
…
环节四自查工作总结
一、自查工作总结
自查工作完成后,各单位应及时对自查工作情况进行全面总结,对自查过程中发现的问题和薄弱环节进行认真研究,对面临的安全威胁和风险进行分析评估,对问题产生的原因进行深入剖析,阐述改进措施及整改情况,编写形成信息安全自查报告(编写格式参见附件1),按照要求填写完成检查情况报告表(附件2)。对于存在多个重要信息系统或工业控制系统的,在填写检查情况报告表时应附系统清单。
可组织专家对自查报告进行评估,评估自查记录是否客观,自查内容是否全面,自查结论是否合理,自查报告是否完整规范。
二、自查情况上报
自查报告完成后应及时报送有关部门。省直各部门报送省信息化建设领导小组办公室,各市有关单位报送市科技工业信息化局。
有关工作要求
一、边检查边整改
自查单位要切实做好整改工作,检查中发现问题要及时采取有效措施加以整改。因条件不具备不能立即整改的,要制定整改计划及整改方案,并采取临时防范措施,确保网络与信息系统安全正常运行。要举一反三,在同类系统、同类设备中排查类似问题,切实提高信息系统安全防护水平。
二、认真做好总结
自查单位要按照国办通知的要求,进行全面总结,认真撰写自查报告,如实填写检查情况报告表。自查报告须给出对本单位安全状况和安全防护能力的总体判断。填写检查情况报告表时,应避免出现漏项、错项、前后不一致等情况。要根据检查报告内容的敏感程度,确定报告密级并在报告首页明确标识。
三、加强风险控制与保密管理
(一)加强风险控制
在开展安全检查工作时,要明确相关工作纪律并严格执行。要识别检查中的安全风险,周密制定应急预案,强化风险控制措施,明确发生重大安全问题时的处置流程,确保被检查信息系统的正常运行。要对技术检测活动的安全风险进行评估,防止引入新的风险,并要求相关人员严格遵守操作规程。应对重要数据和配置进行备份,尽量避开业务高峰期进行技术检测。对工业控制系统的技术检测要慎重实施。
需委托外部检测机构进行检测的,要按照国办通知要求,对相关检测机构的安全可靠性及其技术能力、管理水平等严格把关,明确检测机构和检测人员的安全责任。可参考以下条件选取检测机构:①机构安全可控(如事业单位);②开展信息安全检查或相关工作2年以上;③拥有专业安全检查人员10人以上,全部为机构编制内人员或与机构签订2年以上劳动合同的聘用人员;④拥有与开展安全检查相适应的安全检测设备与检测工具;⑤信息安全与保密管理、项目管理、质量管理、人员管理、教育培训等规章制度健全;⑥参与安全检查的人员无犯罪记录,并与机构签订安全保密协议。
(二)加强保密管理
各市和各部门要高度重视保密工作,指定专人负责,对检查活动、检查实施人员以及相关文档和数据进行严格管理,确保检查工作中涉及到的国家秘密和商业秘密得到有效控制;对检查人员进行保密培训,确保检查工作中获知的信息不被泄露,检查数据和检查结果不向其他单位透露。
延伸阅读