信息安全检查工作方案
为指导20XX年度全市重点领域信息安全检查工作,按照工信部和省信安办统一部署,市网络与信息安全协调小组办公室根据《江苏省政府信息系统安全检查实施办法》(苏政办发〔20XX〕51号)(以下简称《实施办法》),制定本工作方案。
一、检查原则与目的
坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,统筹安排,突出重点,明确责任,注重实效。通过开展常态化的信息安全检查,进一步落实信息安全责任,增强人员信息安全意识,认真查找突出问题和薄弱环节,全面排查安全隐患和安全漏洞,分析评估信息安全状况和防护水平,有针对性地采取管理和技术防护措施,促进安全防范水平和安全可控能力提升,预防和减少重大信息安全事件的发生,切实保障信息安全。
二、检查范围和内容
对全市各级党政机关(含依照公务员管理单位)和城市供水供气供热等市政领域信息安全工作进行全面检查,并对工业控制系统组织调查。
检查内容:各级党政机关和市政领域各单位信息安全管理情况、应急工作情况和安全教育培训情况,办公系统、业务系统、网站系统、工业控制系统以及终端设备等的技术防护情况和以往检查发现问题的整改情况。
安全检查中涉及保密工作的,按照国家保密管理规定和标准执行。
三、检查组织
市级党政机关各部门信息安全检查工作由市信安办牵头,市国家密码管理局、市经信委统一组织实施;
各部门直属单位的信息安全检查工作由各部门参照本工作方案,自行组织实施;
各县(市、区)参照本工作方案,组织辖地范围内党政机关及市政领域信息安全检查。
四、检查形式及时间安排
此次检查采取自查与抽查相结合,以自查为主的方式开展。各地、各部门在具体实施安全检查时,采用人员访谈、文档查阅、工具检测、人工核验等方法进行。
(一)自查组织与实施。
市级党政机关按照本工作方案附件1内容开展部门和直属单位信息安全自查。各县(市、区)网络与信息安全主管部门参照本工作方案附件2内容开展地方信息安全自查,参照附件1内容组织本地区党政机关信息安全自查,按照本工作方案附件3内容组织市政领域信息安全自查。
各地、各部门完成自查后,应对检查情况进行全面汇总总结,认真填写表格,梳理存在问题,评估安全风险,编写总结报告,形成自查材料(自查材料清单详见附件8)。
各地、各部门自查材料应于20XX年7月31日前报送市信安办。书面材料邮寄或送达市信安办联系人,电子文档可电子邮件至联系人,重要敏感信息应刻光盘送交联系人。
(二)抽查组织与实施。
由市信安办主任、副主任单位有关人员和技术专家组成工作组开展信息安全抽查。
抽查采取现场检查与外部检测两种方式进行,重点检查自查工作组织开展情况,20XX年安全检查发现问题整改情况,安全防护措施和管理制度落实情况,以及安全防护策略、配置有效性。抽查工作具体内容和安排,市信安办将结合自查情况另行发文通知相关地区和部门。
(三)检查情况通报。
检查结束后,市网络与信息安全协调小组将综合分析自查与抽查情况,向各地、各部门通报检查结果,表彰先进地区和部门,并形成工作报告上报市委办公室、市政府办公室和省网络与信息安全协调小组办公室。
五、具体要求
(一)认真组织,做好总结。
各地、各部门应将信息系统安全检查列入重要议事日程,切实加强组织领导,完善检查工作机制,落实检查工作经费,认真、如实撰写自查报告,确保检查工作有效开展。
(二)注重源头,深入检查。
各地、各部门要全面细致开展检查工作, 注重采用技术检测等手段,深入查找安全问题和隐患,确保检查工作不走过场、不漏环节、不留死角。要高度重视检查中发现的苗头性、趋势性问题,全面系统地分析研究解决,从源头上遏制和消除安全隐患。
(三)即查即改,务求实效。
各地、各部门应尽可能边检查边整改,尽早消除安全隐患。对检查中发现的问题及时进行研究,采取有效措施加以整改。因条件不具备不能立即整改的,要制定整改计划,明确整改方案及整改时间表,采取临时防范措施,确保信息系统安全正常运行。
(四)强化保密,控制风险。
各地、各部门开展安全检查工作时,要规避检查的安全风险,制定风险控制措施,并严格执行。信息安全风险评估工作应委托省市经信部门备案的专业机构开展(名单见附件5)。检查工作中应对检查人员进行专项保密教育,签订保密协议,专人监督,确保检查数据和检查结果不被泄露。
为指导20XX年度全市政府信息系统安全检查工作,根据《江苏省政府信息系统安全检查实施办法》(苏政办发[20XX]51号),依照工业和信息化部《20XX年度政府信息系统安全检查指南》(工信部协[20XX]214号)、省信息安全办《关于组织开展20XX年度全省政府信息系统安全检查工作的通知》(苏信安办[20XX]6号)、泰州市信息安全办《关于组织开展20XX年度全市政府信息系统安全检查工作的通知》(泰信安办[20XX]14号)要求,以及有关文件标准,制定本工作方案。
一、检查目的
依据国家和省有关政策规定,对政府各部门信息安全工作进行全面检查,了解掌握政府信息系统安全总体状况,发现存在的主要问题和薄弱环节,健全、完善信息安全管理制度,加强安全防护措施,提高信息安全工作水平。
二、检查原则
坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,统筹安排、突出重点、明确责任、注重实效。
各部门自行组织检查与市信安办会同有关部门统一组织抽查相结合。
三、检查依据
(一)政策文件
1、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[20XX]27号)
2、《国务院办公厅关于印发的通知》(国办发[20XX]28号)
3、《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》(国办发[20XX]17号)
4、《国务院办公厅关于印发国家网络与信息安全事件应急预案的通知》(国办函[20XX]168号)
5、《关于加强党政机关计算机信息系统安全和保密管理的若干规定》(国保发[20XX]13号)
6、《省委办公厅省政府办公厅关于加强信息安全保障工作的意见》(苏办发[20XX]25号)
7、《省政府办公厅关于印发的通知》(苏政办发[20XX]51号)
8、《20XX年度政府信息系统安全检查指南》(工信部协[20XX]214号)
(二)技术标准
1、《信息安全风险评估规范》(GB/T 20984-20XX)
2、《信息安全风险管理指南》(GB/Z 24364-20XX)
3、《信息系统安全等级保护基本要求》(GB/T 22239-20XX)
4、《信息安全管理体系要求》(GB/T 22080-20XX)
5、《信息安全管理实用规则》(GB/T 22081-20XX)
6、《信息系统安全管理要求》(GB/T 20269-20XX)
7、《信息安全事件分类分级指南》(GB/Z 20986-20XX)
8、《信息安全事件管理指南》(GB/Z 20985-20XX)
9、《信息系统灾难恢复规范》(GB/T 20988-20XX)
10、《信息安全应急响应计划规范》(GB/T 24363-20XX)
四、检查范围
为各部门履行政府职能提供支撑的信息系统,包括自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、网站系统等。检查的重点是各部门的重要业务系统和门户网站。
涉及国家秘密的信息系统保密检查工作,按照国家保密管理规定执行。
五、重点检查内容
(一)信息安全组织管理
1、检查信息安全管理责任落实情况,即是否明确信息安全工作分管领导、责任科室和信息安全员。
2、检查单位信息安全工作年度计划、管理制度制定与执行情况,个人信息安全制度执行是否纳入年度考核内容等情况。
(二)日常信息安全管理
1、人员管理。重点检查:(1)岗位信息安全和保密责任制度落实,重要岗位是否签订信息安全和保密协议等情况;(2)人员离岗离职安全管理情况;(3)外部人员访问机房等重要区域管理情况。
2、资产管理。重点检查:(1)信息安全设备运维管理情况,是否明确专人负责,是否定期进行配置检查、日志审计等工作;(2)计算机及相关设备维修维护、报废销毁是否有相应记录等。
3、信息技术外包服务安全管理。针对当前政府部门信息技术外包服务安全风险突出现状,重点检查系统开发、系统集成、运行维护、灾难备份、云计算、安全检测、系统托管等外包服务的安全管理:(1)服务机构性质及相关资质、资格情况;(2)是否签订服务合同及安全保密协议;(3)是否对服务机构相关操作指南、人员设备管控机制等主要管理制度进行备案;(4)人员现场服务是否有记录以及现场监管措施;(5)系统维护是否采用远程在线方式;(6)灾难备份中心是否设立在境外等。
4、信息产品使用管理。重点检查终端计算机、公文处理软件、信息安全设备、服务器、网络设备等产品的安全可控情况,特别是本年度新采购软硬件产品是否满足安全可控要求。
5、信息安全经费保障。重点检查信息安全防护设施建设、运行、维护、检查及管理等费用是否纳入部门年度预算,以及本年度信息安全经费实际投入情况等。
(三)信息安全防护管理
1、网络边界防护管理。查看系统总体网络架构、子系统分布、终端节点、区域划分及边界防护措施等,重点检查:(1)网络分区分域合理性;(2)安全防护设备策略配置有效性;(3)互联网接入情况,是否有访问互联网的安全控制措施,是否留存互联网访问日志并定期进行分析。
2、信息系统安全管理。重点检查信息安全风险评估、等级保护等安全管理制度落实情况。
(1)服务器安全防护。重点检查服务器是否关闭了不必要的应用、服务、端口;账户口令强度和更新情况;是否使用技术工具定期进行漏洞扫描、病毒木马检测。
(2)网络设备防护。重点检查网络设备安全策略配置的有效性;账户口令强度和更新情况;是否使用技术工具定期进行漏洞扫描。
(3)信息安全设备部署及使用。重点检查防病毒、防火墙、入侵检测、安全审计等设备是否部署以及安全策略配置的有效性。
3、门户网站安全管理。以防攻击、防挂马、防篡改、防瘫痪、防窃密为目标,对门户网站安全防护情况进行全面检查:(1)系统管理账户和口令,是否存在无关账户,是否有空口令、弱口令和默认口令;(2)服务器补丁更新情况,是否关闭了不必要的端口,是否存在不必要的服务、应用、链接和插件;(3)网站目录结构,删除临时文件,防止网站目录等敏感信息泄露;(4)信息发布审核制度建立及落实情况;(5)是否使用技术工具定期进行漏洞扫描、木马检测;(6)电子邮件、留言板、论坛、博客等功能的开设与安全管理情况。
4、终端计算机安全管理。重点检查:(1)是否采取集中安全管理措施;(2)账户口令强度情况;(3)接入互联网安全控制措施(如实名接入认证、对IP和MAC地址进行绑定等);(4)是否使用技术工具定期进行漏洞扫描、病毒木马检测;(5)是否有在非涉密信息系统和涉密信息系统间混用情况;(6)是否使用非涉密计算机处理涉密信息情况。
5、移动存储设备安全管理。重点检查:(1)是否采取集中安全管理措施;(2)是否有在非涉密信息系统和涉密信息系统间混用情况。
(四)信息安全应急管理
1、应急预案。重点检查信息安全应急预案是否已经制定或备案,是否已开展应急预案宣贯及相关培训,是否明确应急技术支援队伍。
2、应急演练。重点检查信息安全应急演练情况;已开展演练的,查看是否有演练文档、记录(包括演练计划、演练方案、演练记录、演练总结报告等)。
3、容灾备份。重点检查重要数据和重要信息系统备份情况;对采用社会第三方灾难备份服务的,检查服务合同及安全保密协议签订情况,了解掌握灾难备份服务设施运维安全管理情况。
4、信息安全事件应急处置。重点检查本年度发生的信息安全事件及处置情况;发生过重大信息安全事件的,检查是否进行了及时处置,是否按照要求上报和通报。
(五)信息安全教育培训
重点检查信息安全和保密形势教育及警示教育情况,领导干部和工作人员应参加信息安全基本技能培训,信息安全管理和技术人员应参加信息安全专业技能培训。
(六)信息安全检查工作
1、上一年度发现问题的整改情况。重点检查:(1)整改计划制定及落实情况;(2)整改效果以及是否开展了进一步的信息安全风险评估。
2、本年度检查工作开展情况。重点检查:(1)检查工作责任制建立和检查工作经费落实情况;(2)检查工作方案制定及组织实施情况;(3)采取的安全保密和风险控制措施,检查人员、有关文档和数据的安全保密管理情况。
3、安全技术检测。本年度对服务器、终端计算机、网络设备以及门户网站等信息系统进行安全检测情况。
六、检查工作报告与情况通报
(一)检查工作报告
各部门的自查工作报告包括主报告和附表。主报告内容应包括:本部门信息安全状况总体评价、20XX年信息安全自查工作情况及对下属单位组织抽查有关工作情况、检查发现的主要问题及整改情况、对信息安全工作的意见和建议等。报告格式可参照《20XX年度政府信息系统安全检查工作报告》(见附件2),应根据检查结果的敏感程度确定检查报告密级,并于检查报告上明确标识。报告中需附表《20XX年度政府信息系统安全自查情况报告表》(见附件3)。
(二)检查情况通报
市信安办将对各部门自查情况进行汇总分析,形成工作报告上报泰州市信安办。同时,市信安办将按照《实施办法》要求,向各部门通报检查情况。
七、检查办法
这次检查分为自查和抽查两个阶段:
(一)自查阶段
各部门要于 20XX年8月30日前完成政府信息系统安全自查和总结评估相关工作。
(二)抽查阶段
市信安办会同市有关部门,于20XX年9月份开始组织政府信息系统安全抽查(方案另发)。抽查内容:一是部门信息安全检查工作是否开展,是否按时、保质完成;二是对照《20XX年度政府信息系统安全自查情况报告表》,自查情况是否属实;三是选择1-2个重要信息系统进行现场技术检测,进行网站外部安全测试和检查安全措施部署落实情况。
八、工作要求
(一)各部门应将政府信息系统安全检查列入重要议事日程,切实加强组织领导,完善检查工作机制,落实检查工作经费,确保检查工作顺利开展。
(二)各部门对检查中发现的问题应进行分析研究并及时整改,认真撰写自查工作报告;自查工作报告请于20XX年8月30日前以纸质文档和电子文档(光盘)两种方式报送市信安办。
(三)各部门可组织所属信息中心等技术部门配合开展安全检查工作,也可委托经省或泰州市备案的风险评估、等级测评等信息安全专业服务机构协助开展技术检测工作。
(四)委托外部专业机构协助开展技术检测,应与检测机构及人员签订安全保密协议,明确安全保密责任和义务。协议中须注明以下内容:1.遵守国家有关法律法规和信息安全相关政策规定,客观、公正地提供检测服务;2.不得将检测任务分包或转包;3.如实出具检测结果,不得隐瞒检测过程中发现的问题;4.加强对检测人员的安全保密管理,严格遵守安全保密制度规定;5.不得向其他单位和个人泄露检测数据和检测结果,不得擅自留存相关资料和检测数据,不得利用检测数据谋取利益;6. 遵循安全、可控原则,所用软、硬件设备应为取得公安部销售许可或经国家信息安全强制认证的信息安全专用检测设备;7.检测过程中应主动采取有效措施,防止因技术检测引发信息安全事故。
(五)强化安全检查过程中的安全保密和风险控制,切实加强对检查活动、检查人员以及相关文档和数据的安全保密管理,确保被检查信息系统的正常运行。
为深入贯彻落实省委保密委员会和省公共信息网络安全管理领导小组的工作部署,加强我市信息安全保密工作,进一步建立和完善基础信息网络和重要信息系统的信息安全保密管理工作的长效机制,筑牢安全保密防线,严密保守国家秘密,维护计算机信息系统安全,为党的十七大胜利召开营造良好的安全保密环境,为我市信息化建设和经济的快速发展保驾护航,根据省公安厅、省保密局、省安全厅、省信息产业厅和省通信管理局五个部门有关2007年联合开展信息安全保密检查工作的总体部署,结合我市工作实际,经研究决定,对我市计算机信息系统安全保护重点单位开展信息安全保密联合检查工作。工作方案如下:
一、工作目标
要通过安全保密检查,各计算机信息系统安全管理重点单位的计算机安全保密意识得到进一步提高,信息安全保密管理措施得到进一步贯彻落实,信息安全保密长效机制得到进一步的健全和完善,计算机信息系统和涉密信息的管理得到进一步的规范和加强。
二、工作内容
(一)保密检查:计算机信息系统和信息网络安全保密管理制度以及技术措施的落实情况。
(二)信息安全检查:网络重点单位信息网络安全检查,包括安全组织成立、安全管理制度建立、安全措施落实情况。
(三)国家安全事项检查:计算机网络涉及国家安全事项。
(四)重要信息系统安全监测(包括网络安全和保密技术检测)。
(五)安全管理技术人员培训。
(六)各有关部门充分利用联合检查平台深化本部门的其他重点工作。
三、组织领导
(一)市里成立联合检查领导小组。领导小组是联合检查工作的组织协调机构,由五部门有关负责同志组成:
叶成富(**市国家保密局副局长)、陈海斌(**市公安局副局长)、揭育辉(**市国家安全局副局长)、李永良(广东省电信有限公司**市分公司,副总经理)、廖国树(**市信息产业局,副局长)。
领导小组下设工作小组和办公室,工作小组由五部门相关处室负责同志组成,负责工作的联络和实施检查。办公室设在牵头单位,负责日常工作。本年度工作由**市公安局牵头组织,下一年度工作由轮值单位牵头组织。
(二)各县(市)参照市模式成立相应机构,建立联合工作机制,有关单位落实人员开展信息安全保密检查工作。
(三)分工情况:市联合安全保密检查领导小组负责市直单位的信息安全保密检查,并组织对各县(市)工作开展情况进行督查。各县(市)检查领导小组负责本辖区内各单位的安全保密检查。
四、时间安排
(一)准备阶段:6月中旬—7月上旬。
1、召开市五部门领导小组和工作小组会议,研究、制定工作方案。
2、部署各县(市)开展安全保密检查工作。
3、市保密、公安、国家安全、信息、电信等五部门各自指导下级业务部门开展联合检查工作小组成员的培训工作。
4、编订安全保密工作检查指引。
5、确定自查对象。
(二)自查阶段:7月上旬—7月中旬。
发出通知和检查指引,要求各相关单位按照通知的要求和指引内容的提示,认真组织开展信息安全保密自查工作。
(三)抽查阶段:7月中旬—8月上旬。
市安全保密联合检查领导小组根据工作开展情况,研究确定重点抽查单位,派出工作组全面开展信息安全保密抽查工作。并督促相关单位做好准备,迎接省联合检查组的检查。
(四)总结阶段:8月中旬—8月下旬。
1、联合检查领导小组对抽查和各单位的自查情况进行总结,10月5日前将工作开展情况上报省联合检查领导小组。
2、召开五部门领导小组、工作小组会议,总结本年度的工作,初步议定明年工作计划,并对有关资料进行交接。
五、检查范围
检查的范围主要是计算机信息系统重点安全保护单位(简称:“重点单位”),包括:涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统及其单位。具体包括:
1、县级以上的国家机关、国防单位;
2、财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的单位;
3、国家及省重点科研、教育单位;
4、国有大中型企业;
5、互联单位、接入单位及重点网站;
6、向公众提供上网服务的场所。
六、检查方式
采取单位自查、汇报,检查小组组织实地检查、检测等多种方式进行。
七、人员培训
培训对象是全市各计算机信息系统重点安全保护单位的网络管理维护技术人员,参加安全保密培训和信息网络安全专业技术人员继续教育培训。各重点单位在开展自查工作中,须将本单位的自查工作情况总结和本单位从事计算机信息系统或网络管理维护的技术人员名单、联系方式7月30日前报送市联合检查领导小组的牵头组织单位(2007年牵头组织单位是**市公安局)。8月底前要分期分批完成对全市重点单位网络管理技术人员的培训工作。培训完成并通过考试后,颁发有五个部门统一发的保密培训证书和信息网络安全专业技术人员继续教育证书。培训的师资为**电视大学及其教学点。
六、工作要求
(一)高度重视,加强工作的组织领导。这次检查,是省保密委员会和省公共信息网络安全管理领导小组部署的一项重要工作,是在新时期下加强和做好信息安全保密工作的重要环节。开展信息安全保密检查工作,对及时掌握本地计算机信息管理重点单位的信息安全保密工作和管理的状况,及时发现存在的安全保密隐患和漏洞,有针对性采取有效措施加强管理,增强信息安全保密意识,提高信息安全保密防范能力具有十分重要的意义。各单位要从讲政治、讲大局出发,从构建和谐平安网络环境的高度,充分认识到信息安全保密检查工作的重要性和必要性。要切实落实工作责任,明确工作要求,加强对安全保密检查工作的组织领导,确保我市的安全保密检查工作取得实效。
(二)明确职责,加强合作。各部门要按照职责分工,充分发挥各自职能优势,齐抓共管,全面加强合作,建立、健全高效的工作协作机制,全面、深入地开展我市信息安全保密检查工作。公安机关作为今年的牵头单位,负责此项工作的协调组织和部署实施,并加强对重点单位及互联网服务单位信息网络的安全检查工作;保密部门作为保密工作的主管部门,重点检查计算机信息系统安全保密工作情况;国家安全部门重点对信息网络涉及国家安全的事项进行检查;信息化主管部门重点加强信息行业的管理和协调监督;通信管理部门重点加强对基础电信企业及互联网行业的管理和协调监督。
(三)编订指引,规范检查。各部门要根据各自职能、业务特点和工作情况,认真组织人员编订信息安全保密检查的工作指引,明确检查的项目、条款和详细内容、工作要求等,以便进一步统一和规范信息安全保密检查工作的操作环节。
七、相关的法律法规和文件
开展信息安全保密检查、培训工作的依据和参考文件、资料如下:
1、《中华人民共和国保守国家秘密法》
2、《中华人民共和国国家安全法》
3、《刑法》
4、《中共中央关于加强新形势下保密工作的决定》(中发[1997]16号)
5、中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号)
6、中办、国办《关于进一步加强互联网管理工作的意见》([2004]32号)
7、《〈关于加强信息安全保障工作中保密管理的若干意见〉的通知》(中保委发[2004]7号)
8、《互联网信息服务管理办法》
9、《计算机信息系统国际联网保密管理规定》
10、《计算机信息系统保密管理暂行规定》
11、《信息安全等级保护管理办法(试行)》
12、《涉及国家秘密的计算机信息系统分级保护管理办法》
13、《关于加强技术产品使用保密管理的通知》(国办发[2006]3号)
14、《计算机信息网络国际联网安全保护管理办法》
15、《互联网安全保护技术措施规定》
16、《广东省计算机信息系统安全保护管理规定》
17、《公安部、人事部〈关于开展信息网络安全专业技术人员继续教育工作的通知〉》(公信安[2006]526号)
18、《信息安全技术教程》
19、《信息安全管理教程》
20、《互联网信息内容安全管理教程》
21、《互联网上网服务营业场所安全管理教程》