发布文号: 宁政办发[2011]96号
各市、县(区)人民政府,自治区政府各部门、直属机构:
自治区经济和信息化委《2011年度政府信息系统安全检查指南》已经自治区人民政府同意,现转发给你们,请结合各自实际,认真贯彻落实。
二〇一一年六月三日
2011年度政府信息系统安全检查指南
为指导规范2011年度全区政府信息系统安全检查工作,提高政府信息系统安全保障能力,确保政府信息系统安全稳定运行,根据《自治区人民政府办公厅关于印发自治区政府信息系统安全检查实施方案的通知》(宁政办发〔2009〕179号)和《工业和信息化部关于印发2011年政府信息系统安全检查指南的通知》(工信部协发〔2011〕214号)精神,参照国家信息安全技术标准规范,结合我区实际,制定本指南。
一、检查目的
依据国家信息安全有关政策规定,对各市、县(区)人民政府,政府各部门、单位信息安全工作进行全面检查,掌握全区信息安全总体状况,发现存在的主要问题和薄弱环节,进一步健全全区信息安全管理制度,完善信息安全技术措施,提高信息安全防护能力。
二、检查原则
(一)坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,统筹安排、突出重点、明确责任、注重实效。
(二)以各市、县(区)人民政府,自治区政府各部门、单位自查为主,自治区经济和信息化委会同有关部门抽查相结合。各部门管理的全区性信息系统安全检查工作,由各主管部门统一组织部署并落实。
三、检查范围
信息安全检查的范围是为各市、县(区)人民政府,自治区政府各部门、单位履行政府职能提供支撑的信息系统,包括自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、网站系统等。检查的重点是各市、县(区)人民政府、自治区政府各部门、单位的重要业务系统和门户网站。
涉及国家秘密的信息系统保密检查工作,按照国家保密管理规定执行。
四、重点检查内容
(一)信息安全组织管理。
1.信息安全管理机构及其工作开展情况。(1)组织制定信息安全工作计划或工作方案情况;(2)组织制定并落实信息安全管理规章制度情况;(3)组织开展信息安全教育培训和督促检查工作情况。
2.信息安全员及其工作开展情况。(1)各内设机构信息安全员指定情况;(2)信息安全员开展督促、检查和指导等日常工作情况。
(二)日常信息安全管理。
1.人员管理。查验相关文档、文件、记录等,重点检查:(1)岗位信息安全和保密责任制落实,特别是重要岗位信息安全和保密协议签订情况;(2)人员离岗离职信息安全管理情况;(3)外部人员访问机房等重要区域管理情况;(4)违反制度规定造成信息安全事件的责任查处情况等。
2.资产管理。查验相关文档、台账、记录等,重点检查:(1)资产管理制度建立及落实情况,资产台账是否清晰、账物是否相符;(2)办公软件、应用软件等安装与使用情况,是否有与工作无关的软件;(3)计算机及相关设备维修维护、报废销毁管理情况,是否有相应的登记记录等。
3.信息技术外包服务安全管理。针对当前政府部门信息技术外包服务安全风险突出的现状,重点检查系统开发、系统集成、运行维护、灾难备份、数据处理、安全检测、系统托管等外包服务的安全管理。包括:(1)服务机构性质与背景情况,是否由外资机构提供服务;(2)服务合同及安全保密协议签订情况,安全责任是否清晰;(3)人员现场服务记录情况,是否有现场服务监管措施;(4)系统维护方式情况,重点排查远程在线服务带来的安全风险;(5)灾难备份服务情况,重点掌握灾难备份中心设立在境外的情况。
4.信息技术产品使用管理。重点检查办公用计算机、公文处理软件、信息安全设备、服务器、网络设备等使用产品的安全可控情况,特别是本年度新采购办公用计算机、公文处理软件、信息安全设备是否满足安全可控要求。
5.信息安全经费保障。重点检查信息安全防护设施建设、运行、维护、检查及管理等费用是否纳入部门年度预算,以及本年度信息安全经费实际投入情况等。
(三)信息安全防护管理。
1.网络边界防护管理。查看系统总体网络架构、子系统分布、终端节点、区域划分及边界防护措施等,重点检查:(1)网络分区分域合理性;(2)安全防护设备策略配置有效性;(3)互联网接入情况,是否有访问互联网的安全控制措施,是否留存互联网访问日志并定期进行分析。
2.信息系统安全管理。重点检查信息安全风险评估、等级保护等安全管理制度落实情况。(1)服务器安全防护。重点检查服务器上应用、服务、端口以及系统补丁等情况,是否关闭了不必要的应用、服务、端口;账户口令强度和更新情况;病毒木马防护情况,是否使用技术工具定期进行漏洞扫描、病毒木马检测。(2)网络设备防护。重点检查网络设备安全策略配置的有效性;账户口令强度和更新情况;是否使用技术工具定期进行漏洞扫描。(3)信息安全设备部署及使用。重点检查防病毒、防火墙、入侵检测、安全审计等安全设备部署及使用情况,以及安全策略配置的有效性。
3.门户网站安全管理。以防攻击、防挂马、防篡改、防瘫痪、防窃密为目标,对门户网站安全防护情况进行全面检查。包括:(1)系统管理账户和口令,清理无关账户,防止出现空口令、弱口令和默认口令;(2)服务器补丁更新情况,关闭不必要的端口,停止不必要的服务和应用,删除不必要的链接和插件;(3)网站目录结构,删除临时文件,防止敏感信息泄露;(4)信息发布审核制度建立及落实情况;(5)是否使用技术工具定期进行漏洞扫描、木马检测。
4.电子邮箱安全管理。重点检查:(1)邮箱使用情况,是否有非本部门人员特别是无关人员使用;(2)账户口令强度及更新情况,是否使用技术措施控制和管理口令,口令强度是否符合要求、是否定期更新。
5.终端计算机安全管理。重点检查:(1)是否采取集中安全管理措施;(2)账户口令强度和更新情况;(3)接入互联网安全控制措施(如实名接入认证、对计算机ip和mac地址进行绑定等);(4)是否使用技术工具定期进行漏洞扫描、病毒木马检测;(5)在非涉密信息系统和涉密信息系统间混用情况;(6)使用非涉密计算机处理涉密信息情况。
6.移动存储设备安全管理。重点检查:(1)是否采取集中安全管理措施;(2)是否配备必要的电子消磁或销毁设备;(3)在非涉密信息系统和涉密信息系统间混用情况。
(四)信息安全应急管理。
1. 应急预案。重点检查本部门信息安全应急预案制定、修订、备案、宣传贯彻及培训情况。
2.应急演练。重点检查信息安全应急演练情况;已开展演练的,查看演练文档、记录(包括演练计划、演练方案、演练记录、演练总结报告等)。
3. 应急技术支援。重点检查是否明确了应急技术支援队伍;已明确的,检查其服务合同及安全保密协议签订情况,了解掌握应急技术支援队伍基本情况以及开展的技术支援活动。
4.灾难备份。重点检查重要数据和重要信息系统备份情况;对采用社会第三方灾难备份服务的,检查其服务合同及安全保密协议签订情况,了解掌握灾难备份服务设施运维安全管理情况。
5.信息安全事件应急处置。重点检查本年度发生的信息安全事件及处置情况;发生过重大信息安全事件的,检查是否进行了及时处置,是否按照要求上报和通报。
(五)信息安全教育培训。
重点检查信息安全和保密形势教育及警示教育情况,领导干部和机关工作人员参加信息安全基本技能培训情况,信息安全管理和技术人员参加信息安全专业培训情况等。
(六)信息安全检查工作。
1.上一年度发现问题的整改情况。重点检查:(1)制定的整改计划及采取的整改措施;(2)整改效果以及是否开展了进一步的信息安全风险评估;(3)年度检查情况报告完成情况,是否按自治区要求及时报送,报告是否完整准确、符合要求。
2.本年度检查工作开展情况。重点检查:(1)检查工作责任制建立和检查工作经费落实情况;(2)检查工作方案制定及组织实施情况;(3)采取的安全保密和风险控制措施,检查人员、有关文档和数据的安全保密管理情况。
3.安全技术检测。组织技术力量,使用必要的技术工具,对服务器、终端计算机、网络设备以及门户网站等信息系统进行安全检测,排查病毒木马、安全漏洞等。
五、检查情况报告与通报
(一)检查情况报告。各市、县(区)、各部门在检查工作完成后应及时将检查情况报送自治区经济和信息化委。
1.报告内容。检查报告包括主报告和附表。主报告内容应包括:对本市、县(区)、本部门信息安全状况总体评价、2011年信息安全主要工作情况、检查发现的主要问题及整改情况、对信息安全工作的意见和建议等。附表指《2011年度政府信息系统安全检查情况报告表》(见附件1)。报告格式可参照《2011年度政府信息系统安全检查情况报告编写参考格式》(见附件2)。根据检查结果的敏感程度确定检查报告密级,并在检查报告上明确标识。
2.报送方式。检查报告以各市、县(区)人民政府、各部门办公室名义报送自治区经济和信息化委电子与信息安全处,包括纸质文档和电子文档(光盘形式)。
(二)检查情况通报。自治区经济和信息化委将对各市、县(区)、各部门自查情况进行汇总综合分析,形成检查报告上报工业和信息化部。同时,自治区经济和信息化委向各市、县(区)、各部门通报相关检查情况。
六、时间安排
(一)信息安全自查。各市、县(区)人民政府、自治区政府各部门、单位根据实际情况,对检查工作进行统筹安排和组织部署。2011年7月1日前,重点加强对门户网站的安全检查,排查安全漏洞和安全隐患,强化网站安全防护措施。2011年11月15日前,完成本年度信息安全自查和总结评估工作,2011年12月15日前将检查情况报告送自治区经济和信息化委电子与信息安全处,联系人:张树铭(联系电话:0951-6038039 电子信箱:zsm45678@126.com)。
(二)信息安全抽查。自治区经济和信息化委及时跟踪、掌握各市、县(区)人民政府、自治区政府各部门、单位自查情况,会同自治区公安厅、安全厅、保密局、密码局、通信管理局等部门,自2011年9月开始,对各市、县(区)人民政府、自治区政府各部门、单位进行信息系统安全抽查。具体事宜另行通知。
七、工作要求
(一)各市、县(区)人民政府、自治区政府各部门、单位要把全区政府信息系统安全检查工作列入重要议事日程,切实加强组织领导,完善检查工作机制,落实检查工作经费,开展宣传教育培训活动,确保检查工作如期顺利完成。按照自治区政府信息系统安全检查实施方案的要求,参照本指南制定具体的安全检查实施方案和工作计划,并认真组织实施。建立信息安全检查责任制,明确检查责任,落实检查组织机构、参与单位及检查人员。对检查中发现的问题应进行分析研究并及时整改,如实、完整填写《2011年度政府信息系统安全检查情况报告表》,认真撰写检查报告并按时上报。
(二)各市、县(区)人民政府、自治区政府各部门、单位可组织所属信息中心等单位开展检查工作,也可根据需要委托外部专业机构协助开展技术检测。
全面参与技术检测的外部专业机构应至少满足以下条件:
1.事业单位;2.开展信息安全检测或相关工作2年以上;3.拥有专业安全检测人员10人以上,全部为机构编制内人员或与机构签订2年以上劳动合同的聘用人员;4.拥有与开展技术检测相适应的安全检测设备与检测工具;5.信息安全和保密管理、项目管理、质量管理、人员管理、教育培训等规章制度健全;6.参与安全检测的人员均为中国公民,无犯罪记录,并与机构签订安全保密协议。
(三)委托外部专业机构协助开展技术检测,应与检测机构及人员签订安全保密协议,明确安全保密责任和义务。
应要求检测机构:1.遵守国家有关法律法规和信息安全相关政策规定,客观、公正地提供检测服务;2.不得将检测任务分包或转包;3.如实出具检测结果,不得隐瞒检测过程中发现的问题;4.加强对检测人员的安全保密管理,严格遵守安全保密制度规定;5.不得向其他单位和个人泄露检测数据和检测结果,不得擅自留存相关资料和检测数据,不得利用检测数据谋取利益;6.采取有效措施,防止因技术检测引发信息安全事故。
(四)强化安全保密和风险控制,加强对检查活动、检查人员以及相关文档和数据的安全保密管理,对重点设备的技术检测进行监督,对接入的检测设备进行风险控制,周密制定检查工作应急预案,确保被检查信息系统的正常运行。
附件:1.2011年度政府信息系统安全检查情况报告表(略)
2.2011年度政府信息系统安全检查情况报告编写参考格式
附件2
2011年度政府信息系统安全检查情况报告编写参考格式
一、检查报告名称
×××(部门名称)2011年度政府信息系统安全检查情况报告
二、检查报告组成
检查报告包括主报告和附表两部分。
三、主报告内容要求
应包括以下四个方面的内容:
(一)信息安全状况总体评价。概述本部门信息安全工作情况,与上一年度相比信息安全工作取得的新进展,对本部门信息安全状况的总体评价。
(二)2011年信息安全主要工作情况。对照《2011年度政府信息系统安全检查指南》要求,逐项描述本部门2011年在信息安全组织管理、日常信息安全管理、信息安全防护管理、信息安全应急管理、信息安全教育培训、信息安全检查等方面开展的工作情况。
(三)检查发现的主要问题及整改情况。描述本部门安全检查特别是技术检测结果,总结分析本部门在安全管理、技术防护等方面存在的主要问题和薄弱环节,以及针对这些问题的整改措施或整改计划。
(四)对信息安全工作的意见和建议。对信息安全工作特别是信息安全检查工作提出意见和建议,进一步促进提高全区信息安全检查水平。
四、附表内容要求
《2011年度政府信息系统安全检查情况报告表》各项目的填写范围均限于部门本级机关。应认真、如实、完整、正确填写,避免出现漏项、错项、数据前后不一致等情况。
