👋 欢迎来到 律咖网
连接海外本地律师与出海创业者
【始于2015 | 11年持续经营 | 经营年限全国同行前10%】
企业信用良好 | 数据来源:芝麻企业信用
合作微信:lvga2015
关于印发吐鲁番地区政府信息系统安全检查实施方案的通知
关于印发吐鲁番地区政府信息系统安全检查实施方案的通知 颁布单位:新疆维吾尔自治区吐鲁番地区行署办公室 | 文号: ---|--- 颁布日期:2013-11-07 | 失效日期: 效力级别:地方政府规范性文件 | 关于印发吐鲁番地区政府信息系统安全检查实施方案的通知 吐地行办〔2013〕204号 各县(市)人民政府、地直
关于印发吐鲁番地区政府信息系统安全检查实施方案的通知
| 颁布单位:新疆维吾尔自治区吐鲁番地区行署办公室 | 文号: |
|---|---|
| 颁布日期:2013-11-07 | 失效日期: |
| 效力级别:地方政府规范性文件 |
关于印发吐鲁番地区政府信息系统安全检查实施方案的通知
吐地行办〔2013〕204号
各县(市)人民政府、地直各单位:
现将《吐鲁番地区政府信息系统安全检查实施方案》印发给你们,请认真组织实施。
吐鲁番地区行署办公室
2013年11月7日
吐鲁番地区政府信息系统安全检查实施方案
为规范和加强我地区政府信息系统安全工作,提高信息系统安全保障能力,保证政府信息系统和信息内容安全,根据自治区人民政府办公厅《关于印发<新疆维吾尔自治区政府信息系统安全检查实施办法>的通知》(新政办发[2013]104号)精神,结合我地区实际,制订本实施方案。
一、检查原则
(一)针对当前境外敌对势力大肆利用各种手段对我地区各级政府信息系统进行网络攻击、破坏、窃密活动的严峻形势,通过定期开展全面的安全检查,进行信息系统安全风险评估、安全测评等工作,及时掌握政府信息系统安全状况和面临的威胁,认真查找隐患,堵塞安全漏洞,落实和完善安全措施,建立健全信息安全保障机制,减少安全风险,提高应急处置能力,确保政府信息系统持续安全稳定运行。
(二)政府信息系统安全检查实行“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,采取单位自查,上级统一抽查相结合的方式进行,检查要统筹安排,突出重点,明确责任,注重效果,保证质量。
(三)地区经信委负责地区政府信息系统安全检查的协调、指导和监督工作,质监局、公安局、国家安全局、地委保密局、机要局等部门按照职责分工,负责政府信息系统安全检查的相关工作。
(四)政府信息系统安全检查中涉及保密工作的,按照国家保密法律、法规和有关规定执行;涉及密码工作的,按照国家密码管理规定执行;涉及信息安全等级保护的,按照国家信息安全等级保护管理规定执行。
二、检查范围
地委、行署、人大、政协、法院、检察院及其他各部门、各县(市)自行运行和维护管理以及委托其他机构运行和维护管理的办公系统、重要业务系统、网站系统。部门管理的全区性信息系统,由主管部门(单位)按照《实施方案》统一组织部署安全检查工作。
三、检查内容
重点检查与网络和信息系统相关的硬件、软件、服务、信息和人员的基本情况,对信息系统存在的管理和技术薄弱环节进行查找、分析归纳;对已有安全管理体系、安全措施进行核实和评价,主要包括以下内容:
(一)信息安全管理制度建立与落实。是否按照要求建立健全了信息安全责任制,做到了机构到位、人员到位、责任到位、措施到位。运维管理、保密管理、密码管理、等级保护、重要部门(重点、敏感岗位)人员管理制度建立和落实情况。
(二)信息安全防范措施。是否有明确的安全需求及解决方案,是否采取了整体的安全防护措施。重点检查身份认证、访问控制、数据加密、安全审计、责任认定以及防篡改、防病毒、防攻击、防瘫痪、防泄密等技术措施的有效性。检测信息系统是否存在安全漏洞,以及计算机、移动存储设备、电子文档的安全防护措施的落实情况。
(三)应急响应机制。应急机构是否健全,应急责任人员及措施是否到位,是否按照要求制定了应急预案,是否对预案进行了宣传贯彻和培训,是否开展了演练,是否明确了应急技术支援队伍。重大信息安全事故发生及处置情况,重要数据和业务系统采取的备份措施及备份方式情况。
(四)信息技术产品和服务。计算机、公文处理软件、信息安全产品等使用国产产品情况,重点是信息系统关键部位的服务器、路由器、交换机等使用国产产品的情况,以及信息安全服务外包情况。对因特殊原因选用国外信息安全技术产品和信息安全服务是否进行了安全审查工作,以及审查的方式。
(五)信息安全教育培训情况。是否对工作人员进行了安全和保密意识教育、安全技能培训,以及对信息安全常识和技能掌握情况进行考核。重点、敏感岗位人员是否制定了针对外包服务人员等外来人员的安全管理规定。
(六)信息安全隐患排查及整改情况。对以往开展的信息安全检查、风险评估和安全测评,发现安全隐患和问题的整改情况。
(七)运行维护管理情况。是否根据制度维护信息系统,是否存在详细设备、系统运维记录和安全日志分析报告,系统性能的监控措施及运行状况。
(八)开展风险评估、安全测评情况。是否对信息系统进行了风险评估和安全评测,开展方式是自行开展还是委托开展,委托开展是否签订了安全保密协议。
(九)信息安全经费保障情况。信息安全经费数额、信息安全经费在信息化建设经费中所占比重及信息安全经费是否按预算计划执行。
(十)物理环境。物理环境的建设是否符合国家的相关标准和规范,是否按照国家的相关规定建立机房安全管理制度,机房安全管控措施、防灾措施、供电和通信系统的保障措施是否有效。
(十一)责任追究情况。重点检查对违反信息安全规定行为和造成泄密事故、信息安全事故的查处情况,对责任人和有关负责人追究以及惩处措施的落实情况。
四、检查步骤及时间安排
(一)时间安排。原则上每年3月至5月各单位进行自查。抽查时间原则安排在7月至9月进行。2013年的自查时间为11月5日至11月25日,12月份进行抽查。
(二)检查准备及自查。各单位成立安全检查领导小组,明确检查责任人,组织制订检查工作计划和检查方案,对检查工作进行安排部署并开始自查。同时,按照要求认真填写《基本信息调查表》和《安全状况调查表》,经主管领导签字并加盖单位公章后一式两份和电子档于11月25日前交地区经信委电子信息科。
(三)分析总结。根据自查情况,各单位系统分析信息系统的安全状况和安全隐患,查找问题产生的原因,11月底前上报自查报告。
(四)检查实施。由地区经信委牵头,会同地区公安、安全、质监、保密、机要等部门对各单位信息安全自查工作进行检查。重点参照《实施方案》检查安全检查领导机构是否完善,责任落实是否到位,《基本信息调查表》和《安全状况调查表》是否如实填写等。
(五)问题整改。对检查过程中发现的安全问题,短时间内能完成的要及时整改,不能在短时间内整改的要制订相应整改计划,在一个月内完成整改,并提交整改报告。被检查单位要积极协助检查工作,不得拒绝、妨碍检查,并积极落实整改建议。
五、具体要求
(一)各县(市)、地直各部门要把政府信息安全检查工作列入重要议事日程,加强组织领导,明确责任,落实人员和经费,保证检查工作顺利进行。
(二)实施安全检查的机构及人员要严格遵守工作纪律,周密制订安全检查方案和应急预案,控制安全风险,加强保密措施,保证被检查信息系统安全正常运行。检查结果除按规定报送外,不得提供给其他单位和个人。对违反信息安全和保密管理规定造成的泄密事件和信息安全事故的,要依法追究当事人和有关负责的人的责任。
(三)建立信息安全检查工作责任制。凡开展信息安全检查工作,要明确一名检查负责人,检查负责人必须对检查结果负责,未能及时发现问题或漏洞导致安全事故的,要承担相应的责任。
附:《基本信息调查表》表1
《安全状况调查表》表2
注:《基本信息调查表》和《安全状况调查表》在吐鲁番地区经信委政务网站下载。
对表格填写内容不清楚的咨询经信委电子信息科。
联系人:艾尼瓦尔.司马义电话:8522339
Email:[email protected])。
表1:基本信息调查
表2:安全状况调查
附件【204号表1、2.doc】
延伸阅读
遵义市人民政府关于积极应对当前经济形势扶持中小企业发展的通知