自治区重点领域信息安全.docx
《自治区重点领域信息安全.docx》由会员分享,可在线阅读,更多相关《自治区重点领域信息安全.docx(17页珍藏版)》请在冰豆网上搜索。
自治区重点领域信息安全
2014年自治区重点领域信息安全
检查工作方案
一、检查目的
通过开展信息安全检查,以查促建、以查促管、以查促改、以查促防,增强安全意识,落实安全责任,深入分析安全风险,系统评估安全状况,全面排查安全隐患,进一步健全安全管理制度,完善安全防护措施,提升自主可控水平和安全防护能力,预防和减少网络安全事件的发生,切实保障我区重要网络与信息系统的安全稳定运行。
二、检查范围
信息安全检查的范围包括政府部门,金融、能源、通信、交通、广播电视、国防军工、医疗卫生、教育、水利、环境保护、钢铁、有色、化工、装备制造等重点行业,以及城市轨道交通、供水供气供热等市政领域。
涉及国家秘密的信息系统安全检查,按照国家保密管理规定和标准执行。
三、检查内容
(一)信息安全管理情况
按照国家信息安全政策和标准规范要求,建立健全信息安全管理规章制度及制度落实情况。
重点检查信息安全主管领导、管理机构和工作人员履职情况,信息安全责任制落实及事故责任追究情况,人员、资产、采购、外包服务等日常安全管理情况,信息安全经费保障情况等。
(二)技术防护情况
网络与信息系统防病毒、防攻击、防篡改、防瘫痪、防泄密等技术措施及有效性。
重点检查事关国家安全和社会稳定,对地区、部门或行业正常生产生活具有较大影响的重要网络与信息系统(含工业控制系统)的安全防护情况,包括技术防护体系建立情况;网络边界防护措施,不同网络或信息系统之间安全隔离措施,互联网接入安全防护措施,无线局域网安全防护策略等;服务器、网络设备、安全设备等安全策略配置及有效性,应用系统安全功能配置及有效性;终端计算机、移动存储介质安全防护措施;重要数据传输、存储的安全防护措施等。
(三)应急工作情况
按照《自治区网络与信息安全事件应急预案》要求,建立健全信息安全应急工作机制情况。
重点检查信息安全事件应急预案制修订情况,应急技术支撑队伍建设情况,特别是应急预案演练情况;重大信息安全事件报告及处置情况以及重要数据和业务系统的灾备情况。
(四)安全教育培训情况
重点检查信息安全和保密形势宣传教育、领导干部和各级人员信息安全技能培训、信息安全管理和技术人员专业培训情况等。
(五)WindowsXP停止安全服务应对工作情况
重点检查WindowsXP使用情况,安全保护方案制定情况,安全防护产品部署情况,采取白名单、卸载与工作无关的应用程序、关闭不必要的服务和端口等安全措施情况,推广国产操作系统与应用软件的工作落实情况等。
(六)数据泄露及系统被控情况
重点检查数据中心及使用的云计算服务设施是否设在境外,采用系统设计开发、系统集成、运行维护、数据处理、数据备份、灾难恢复、系统托管、安全测评等外包服务过程中数据是否被提交给境外机构,系统是否被境外机构远程控制等情况。
(七)安全问题整改情况
重点检查以往信息安全检查中发现问题的整改情况,包括整改措施、整改效果及复查情况,以及类似问题的排查情况等,分析安全威胁和安全风险,进一步评估总体安全状况。
四、检查方式
按照“谁主管谁负责、谁运行谁负责”的原则,信息安全检查工作以各地、州、市、各部门、各有关重点行业自查为主。
同时,自治区网络与信息安全领导小组办公室会同相关行业主管或监管部门组织专业技术队伍对部分重点单位和重要系统进行安全抽查。
五、自查工作
各地、州、市工业和信息化主管部门结合实际,统筹安排本地区政府部门以及城市轨道交通、供水供气供热等市政领域信息安全自查工作。
自治区各部门结合实际组织开展本部门安全自查工作。
有关重点行业自查工作由其行业主管或监管部门统一组织实施(重点行业信息安全主管或监管部门见附件1)。
各地、州、市、各部门和有关重点行业参照本工作方案,结合实际组织制定信息安全检查实施方案,印发检查部署文件,明确自查范围、责任单位、工作安排及工作要求等相关内容,并认真组织实施。
可组织开展抽查,督促自查单位开展自查工作,了解掌握自查工作进展情况,采取技术手段深入发现安全问题和薄弱环节,并及时研究解决检查工作中遇到的重大问题。
自查工作完成后,各地、州、市、各部门和有关重点行业要对检查情况进行全面汇总总结,填写检查结果统计表,认真梳理存在的主要问题,分析评估安全风险,编写检查总结报告。
六、抽查工作
(一)抽查任务
自治区网络与信息安全领导小组办公室组织自治区经信委、公安厅、安全厅、机要局、保密局、质检局等部门及所属专业技术队伍进行抽查,查找安全漏洞和隐患,评估安全防护能力,研究提出改进和加强安全保障的措施建议。
(二)抽查重点内容
1.现场抽查内容。
重点检查被抽查单位自查工作组织开展情况,2013年安全检查发现问题的整改情况,网络架构、安全区域划分的合理性,网络边界防护措施的完备性,服务器、网络设备、安全设备等的安全策略配置、应用系统安全功能配置及其有效性,重要数据传输、存储的安全防护措施。
专业技术队伍应对重要设备和应用系统进行安全技术检测,深入挖掘安全漏洞,采用人工方式对安全漏洞的可利用性进行验证,帮助排查安全隐患,分析评估安全风险。
2.外部检测内容。
通过互联网对被抽查的网站系统、业务系统等的安全风险状况进行外部检测,包括安全漏洞、网页篡改、恶意代码情况以及近年来安全检查中发现问题的整改情况等,验证被抽查系统安全防护措施的有效性。
七、时间安排
(一)自查时间安排
检查工作自本工作方案印发之日起启动。
2014年10月30日前,各部门和有关重点行业将检查总结报告连同信息安全检查结果报告表(附件2)报送自治区网络与信息安全领导小组办公室,各地、州、市于11月10日前完成报送。
各地区检查总结报告由该地区工业和信息化主管部门负责汇总报送;有关重点行业检查情况由行业主管或监管部门负责汇总报送。
附件3供各地、州、市、各部门开展信息安全检查(自查)工作时参考。
(二)抽查时间安排
抽查工作自10月启动。
八、信息报送
各地、州、市、各部门和有关重点行业在自查中发现重大安全隐患,或出现因检查工作导致的跨地区、跨部门或跨行业安全问题时,应及时向自治区网络与信息安全领导小组办公室报告。
九、有关工作要求
(一)加强领导,落实责任
各地、州、市、各部门和有关重点行业要把信息安全检查工作列入重要议事日程,加强组织领导,明确检查责任,建立并落实信息安全检查工作责任制,明确检查工作负责人、检查机构和检查人员,安排并落实检查工作经费,保证检查工作顺利进行。
(二)认真实施,确保成效
各地、州、市、各部门和有关重点行业要结合实际,周密制定检查实施方案,全面深入查找安全问题和安全隐患,切实做到不走过场、不漏环节、不留死角。
对发现的问题要及时整改,举一反三,标本兼治,因条件不具备暂时不能整改的问题应采取临时防范措施。
(三)控制风险,强化保密
各部门、各单位要强化风险控制,有针对性地制定检查工作应急预案,确保被检查系统的正常运行。
要加强对检查活动、检查人员及相关文档和数据的安全保密管理。
委托外部机构进行安全检测,要对其机构背景、技术能力、服务水平、人员资质及安全保密管理措施等进行严格审查,并明确外部机构及人员的安全责任。
附件:
1.重点行业信息安全主管或监管部门列表
2.信息安全检查结果报告表(报送表)
3.信息安全检查统计表(参考表)
附件1:
重点行业信息安全主管或监管部门列表
序号
重点行业
信息安全主管/监管部门
1
(金融)
银行
人民银行乌鲁木齐中心支行
2
证券
证监局
3
保险
保监局
4
(交通)
交通运输
(公路、航运)
交通运输厅
5
铁路
铁路局
6
民航
民航局
7
广播电视
广电局
8
医疗卫生
卫生厅
9
教育
教育厅
10
通信(电信网、互联网)
通信管理局
11
水利
水利厅
12
环境保护
环保厅
13
石油石化
经信委
14
电力
15
钢铁、有色、化工
16
国防军工
17
装备制造
附件2:
信息安全检查结果报告表(报送表)
一、部门基本情况
部门名称
部门信息安全管理机构
名称:
负责人:
职务:
联系人:
办公电话:
移动电话:
二、部门信息安全管理情况
培训情况
本年度开展的信息安全培训次数:
培训人数:
应急工作情况
部门网络安全应急预案:
□已建立
□本年度进行过修订
□未修订
□未建立
本年度开展部门网络安全应急演练次数:
三、重要信息系统安全检查情况
基本情况
重要信息系统总数:
(按服务对象
进行统计)
1.面向社会公众提供服务的系统数量:
2.不面向社会公众提供服务的系统数量:
(按联网情况
进行统计)
1.通过互联网可直接访问的系统数量:
2.通过互联网不能直接访问的系统数量:
其中,与互联网物理隔离的系统数量:
(按数据集中情况进行统计)
1.全国数据集中的系统数量:
2.省级数据集中的系统数量:
3.未进行数据集中的系统数量:
(按业务连续性进行统计)
1.可容忍中断时间小于30分钟的系统数量:
2.可容忍中断时间大于30分钟、小于12小时的系统数量:
3.可容忍中断时间大于12小时的系统数量:
(按灾备情况
进行统计)
1.进行系统级灾备的系统数量:
2.仅对数据进行灾备的系统数量:
3.无灾备的系统数量:
系统
构成情况
主要硬件和软件
服务器
路由器
交换机
防火墙
磁盘阵列
磁带库
操作系统
数据库
国内品牌数量
(台/套)
国外品牌数量
(台/套)
在用业务应用
软件系统
1.自主设计开发(不含二次开发)的套数:
2.委托国内厂商开发的套数:
委托国外厂商开发的套数:
3.直接采购国内厂商产品的套数:
直接采购国外厂商产品的套数:
四、本年度信息安全事件
信息安全事件情况
特别重大信息安全事件次数:
重大信息安全事件次数:
较大信息安全事件次数:
一般信息安全事件次数:
附件3:
信息安全检查统计表(参考表)
一、部门基本情况
部门名称
分管信息安全工作的领导
(本部门正/副职领导)
①姓名:
_______________
②职务:
_______________
信息安全管理机构
(如办公室)
①名称:
___________________
②负责人:
_____________职务:
________________
③联系人:
_____________电话:
________________
信息安全专职工作处室
(如信息安全处)
①名称:
___________________
②负责人:
_____________电话:
________________
二、信息系统基本情况
信息系统情况
①信息系统总数:
个
②提供公共服务、开展社会管理和市场监管的系统数量:
个
其中,重要系统数量:
个
④本年度经过风险评估(含安全测评、等级测评)的系统数量:
_____个
系统定级情况
第一级:
个第二级:
个第三级:
个
第四级:
个第五级:
个未定级:
个
三、日常信息安全管理情况
人员管理
①重点岗位人员安全保密协议:
□全部签订□部分签订□均未签订
②人员离岗离职安全管理规定:
□已制定□未制定
③外部人员访问机房等重要区域审批制度:
□已建立□未建立
资产管理
①资产管理制度:
□已建立□未建立
②设备维修维护和报废管理:
□已建立管理制度,且维修维护和报废记录完整
□已建立管理制度,但维修维护和报废记录不完整
□未建立管理制度
四、信息安全防护情况
网络边界安全防护
①互联网接入口总数:
个
其中:
□联通接入口数量:
个
□电信接入口数量:
个
□其他:
接入口数量:
个
②网络安全防护设备部署(可多选):
□防火墙□入侵检测设备□安全审计设备
□防病毒网关□抗拒绝服务攻击设备
□其它:
③网络访问日志:
□留存日志□未留存日志
④安全防护设备策略:
□使用默认配置□根据应用自主配置
无线局域网
安全防护
办公区域无线局域网接入设备(无线路由器)数量:
个
①网络用途:
□访问互联网:
个
□访问业务/办公网络:
个
②安全防护策略(可多选):
□采取身份鉴别措施:
个□采取地址过滤措施:
个
□未设置:
个
门户网站安全防护
①网页防篡改措施:
□采用□未采用
②漏洞扫描:
□定期扫描,周期□不定期□未进行
③信息发布管理:
□已建立审核制度,且审核记录完整
□已建立审核制度,但审核记录不完整
□未建立审核制度
电子邮件安全防护
①邮箱注册:
□注册邮箱账号须经审批
□任意注册使用
②账户口令防护:
□使用技术措施控制和管理口令强度
□无口令强度限制技术措施
终端计算机
安全防护
①安全管理方式:
□集中统一管理(可多选)
□规范软硬件安装□统一补丁升级□统一病毒防护
□统一安全审计□对移动存储介质接入实施控制
□分散管理
②接入互联网安全控制措施:
□有控制措施(如实名接入、绑定计算机IP和MAC地址等)
□无控制措施
移动存储介质
安全防护
①安全管理方式:
□集中管理,统一登记、配发、收回、维修、报废、销毁
□未采取集中管理方式
②电子信息保护:
□已配备信息消除和销毁设备□未配备信息消除和销毁设备
五、信息安全应急工作情况
信息安全应急预案
□已制定本年度修订情况:
□修订□未修订
□未制定
信息安全应急演练
□本年度演练时间□本年度未开展
信息安全灾难备份
①重要数据:
□已备份,备份周期:
□实时,□日,□周,□月,□不定期
□未备份
②重要信息系统:
□已备份,备份周期:
□实时,□日,□周,□月,□不定期
□未备份
应急技术支援队伍
□部门所属单位□外部专业机构□无
六、信息安全教育培训情况
培训次数
本年度开展信息安全教育培训的次数:
次
培训人数
本年度接受信息安全教育培训的人数:
人
占本部门总人数的比例:
%
专业培训
本年度信息安全管理和技术人员参加专业培训:
人次
七、信息技术产品应用情况
服务器
总台数:
,其中国产台数:
终端计算机
(含笔记本)
总台数:
,其中国产台数:
网络设备
(路由器、交换机等)
总台数:
,其中国产台数:
操作系统
①服务器操作系统情况:
使用国产操作系统(如红旗Linux、麒麟等)的服务器台数:
使用国外操作系统(如Windows、HP-UNIX、Solaris、AIX等)的服务器台数:
②终端计算机操作系统情况:
使用国产操作系统的计算机台数:
使用Windows操作系统的计算机台数:
使用其他操作系统的计算机台数:
数据库
总套数:
,其中国产套数:
公文处理软件
(终端计算机安装)
安装国产公文处理软件的终端计算机台数:
安装国外公文处理软件的终端计算机台数:
信息安全产品
①防火墙等访问控制设备(不含终端软件防火墙)台数:
其中,国产台数:
②安装国产防病毒产品的设备台数:
八、信息安全经费预算投入情况
经费预算
本年度信息安全经费预算额:
万元
经费投入
上一年度信息安全经费实际投入额:
万元
九、本年度信息安全事件及技术检测情况
信息安全事件情况
门户网站受攻击情况
本部门安全防护设备检测到的门户网站受攻击次数:
网页被篡
改情况
门户网站网页被篡改(含内嵌恶意代码)次数:
重要系统
中断情况
①重要系统异常中断时间:
小时
②重要系统异常中断造成的数据丢失量:
□MB□GB□TB
③重要系统异常中断造成的影响范围:
□社会公众□本部门□部分司局□其他
技术检测情况
渗透测试
本部门进行过渗透测试的信息系统数量:
其中,可以成功控制的信息系统数量:
恶意代码检测结果
①进行过病毒木马等恶意代码检测的服务器台数:
其中,存在恶意代码的服务器台数:
②进行过病毒木马等恶意代码检测的终端计算机台数:
其中,存在恶意代码的终端计算机台数:
安全漏洞
检测结果
①进行过漏洞扫描的服务器台数:
其中,存在漏洞的服务器台数:
存在高风险漏洞的服务器台数:
②进行过漏洞扫描的终端计算机台数:
其中,存在漏洞的终端计算机台数:
存在高风险漏洞的终端计算机台数:
十、信息技术外包服务机构情况(包括参与技术检测的外部专业机构)
外包服务机构1
机构名称
机构性质
□国有单位□民营企业□外资企业
服务内容
信息安全与保密协议
□已签订□未签订
信息安全管理体系认证情况
□已通过认证
认证机构:
□未通过认证
外包服务机构2
机构名称
机构性质
□国有单位□民营企业□外资企业
服务内容
信息安全与保密协议
□已签订□未签订
信息安全管理体系认证情况
□已通过认证
认证机构:
□未通过认证
外包服务机构3
机构名称
机构性质
□国有单位□民营企业□外资企业
服务内容
信息安全与保密协议
□已签订□未签订
信息安全管理体系认证情况
□已通过认证
认证机构:
□未通过认证
(如有3个以上外包机构,每个机构均应填写,可另附页)
升级会员 