政府部门信息系统安全检查操作指南Word下载.docx
《政府部门信息系统安全检查操作指南Word下载.docx》由会员分享,可在线阅读,更多相关《政府部门信息系统安全检查操作指南Word下载.docx(35页珍藏版)》请在冰豆网上搜索。
2.1 制定检查方案
本单位信息安全管理部门根据国家信息安全主管部门关于年度信息安全检查工作的统一安排,结合工作实际,制定检查方案,并报本单位信息安全主管领导批准。
检查方案应当明确以下内容:
(1)检查工作负责人、组织机构和具体实施机构;
(2)检查范围和检查重点;
(3)检查内容;
(4)检查工作组织开展方式;
(5)检查工作时间进度安排;
(6)有关工作要求。
1.关于检查范围。
检查的范围通常包括本单位各内设机构,以及为本单位信息系统(包括办公系统、业务系统、网站系统等)提供运行维护支撑服务的下属单位。
可根据本单位信息安全保障工作需要,将其他为本单位信息系统提供运维服务、对本单位信息系统安全可能产生重大影响的相关单位纳入检查范围。
2.关于检查重点。
在对各类信息系统进行全面检查的基础上,应突出重点,对事关国家安全和社会稳定,对地区、部门或行业正常生产生活具有较大影响的重要信息系统进行重点检查。
3.关于重要信息系统,可根据本单位实际,参考以下标准进行判定:
(1)关系国家安全和社会稳定。
(2)业务依赖度高。
(3)数据集中度高(全国或省级数据集中)。
(4)业务连续性要求高。
(5)系统关联性强(发生重大信息安全事件后,会对与其相连的其他系统造成较大影响,并产生连片连锁反应)。
(6)面向社会公众提供服务,用户数量大,覆盖范围广。
(7)灾备等级高(系统级灾备)。
2.2 成立检查工作组
本单位信息安全管理部门制定完成检查方案后,应及时成立检查工作组;
组织开展培训,保证工作组成员熟悉检查方案,掌握检查内容、检查工具使用方法等。
工作组成员通常由信息安全管理及运维部门、信息化部门有关人员,相关业务部门中熟悉业务、具备信息安全知识的人员,以及本单位相关技术支撑机构的业务骨干等组成。
2.3 下达检查通知
本单位信息安全管理部门应以书面形式部署信息安全检查工作,明确检查时间、检查范围、检查内容、工作要求等具体事项。
3 信息系统基本情况梳理
对信息系统进行全面梳理,目的是及时掌握本单位信息系统基本情况,特别是变更情况,以便针对性地开展信息安全管理和防护工作。
3.1 基本信息梳理
查验信息系统规划设计方案、安全防护规划设计方案、网络拓扑图等相关文档,访谈信息系统管理人员与工作人员,了解掌握系统基本信息并记录结果(表1),包括:
a)主要功能、部署位置、网络拓扑结构、服务对象、用户规模、业务周期、运行高峰期等;
b)业务主管部门、运维机构、系统开发商和集成商、上线运行及系统升级日期等;
c)定级情况、数据集中情况、灾备情况等。
表1系统基本信息梳理记录表(每个系统一张表)
编号
系统名称
主要功能
部署位置
网络拓扑结构
服务对象
用户规模
业务周期
业务主管部门
运维机构
系统开发商
系统集成商
上线运行及最近一次系统升级时间
定级情况
数据集中情况
灾备情况
3.2 系统构成情况梳理
主要硬件构成
重点梳理主要硬件设备类型、数量、生产商(品牌)情况,记录结果(表2)。
硬件设备类型主要有:
服务器、路由器、交换机、防火墙、终端计算机、磁盘阵列、磁带库及其他主要安全设备。
表2信息系统主要硬件构成梳理记录表
检查项
检查结果
服务器
品牌
浪潮
曙光
联想
方正
IBM
HP
DELL
数量
其他:
1.品牌,数量
2.品牌,数量
(如有更多,可另列表)
路由器
华为
中兴
H3C
Cisco
Juniper
交换机
防火墙
终端计算机(含笔记本)
长城
三星
索尼
其他
1.设备类型:
,品牌,数量
2.设备类型:
主要软件构成
重点梳理主要软件类型、套数、生产商(品牌)情况,记录结果(表3)。
软件类型主要有:
操作系统、数据库、公文处理软件及主要业务应用系统。
表3信息系统主要软件构成梳理记录表
操作系统
红旗
麒麟
Windows
RedHat
HP-Unix
AIX
Solaris
数据库
金仓
达梦
Oracle
DB2
SQLServer
公文处理软件
4 日常工作情况检查
信息安全日常工作情况检查通常包括规章制度完整性、信息安全管理、安全技术防护、信息安全应急、信息安全教育培训等方面情况的检查。
4.1 规章制度完整性检查
要求
应建立健全信息安全相关管理制度。
检查方式
文档查验。
检查方法
a)调阅信息安全管理相关制度文档,检查管理制度体系是否健全,即涵盖人员管理、资产管理、采购管理、外包管理、应急管理、教育培训等方面;
b)检查管理制度是否以正式文件等形式发布。
4.2 信息安全管理情况检查
组织管理情况检查
a)应明确一名主管领导,负责本单位信息安全管理工作,根据国家法律法规有关要求,结合实际组织制定信息安全管理制度,完善技术防护措施,协调处理重大信息安全事件;
b)应指定一个机构,具体承担信息安全管理工作,负责组织落实信息安全管理制度和信息安全技术防护措施,开展信息安全教育培训和监督检查等;
c)各内设机构应指定一名专职或兼职信息安全员,负责日常信息安全督促、检查、指导工作。
信息安全员应当具备较强的信息安全意识和工作责任心,掌握基本的信息安全知识和技能。
文档查验、人员访谈。
a)查验领导分工等文件,检查是否明确了信息安全主管领导;
查验信息安全相关工作批示、会议记录等,了解主管领导履职情况;
b)查验本单位各内设机构职责分工等文件,检查是否指定了信息安全管理机构(如工业和信息化部指定办公厅为信息安全管理机构);
查验工作计划、工作方案、规章制度、监督检查记录、教育培训记录等文档,了解管理机构履职情况;
c)查验信息安全员列表,检查是否每个内设机构都指定了专职或兼职信息安全员;
访谈信息安全员,检查其信息安全意识和信息安全知识、技能掌握情况;
查验工作计划、工作报告等相关文档,检查信息安全员日常工作开展情况。
表4组织管理检查结果记录表
信息安全
主管领导
1.姓名:
_______________
2.职务:
_______________(本单位正职/副职领导)
3.本年度对信息安全工作进行过批示:
□是,批示次数:
□否
4.本年度主持召开过信息安全专题会议:
□是,会议次数:
管理机构
1.名称:
_______________(如办公厅)
2.负责人:
_____________职务:
________________
3.联系人:
_____________电话:
信息安全专职工作处室
_______________(如信息中心信息安全处)
信息安全员
1.内设机构数量:
2.信息安全员数量:
_____________
人员管理情况检查
a)应建立健全岗位信息安全责任制度,明确岗位及人员的信息安全责任。
应与重点岗位的计算机使用和管理人员签订信息安全与保密协议,明确信息安全与保密要求和责任;
b)应制定并严格执行人员离岗离职信息安全管理规定,人员离岗离职时应终止信息系统访问权限,收回各种软硬件设备及身份证件、门禁卡等,并签署安全保密承诺书;
c)应建立外部人员访问机房等重要区域审批制度,外部人员须经审批后方可进入,并安排本单位工作人员现场陪同,对访问活动进行记录并留存;
d)应对信息安全责任事故进行查处,对违反信息安全管理规定的人员给予严肃处理,对造成信息安全事故的依法追究当事人和有关负责人的责任,并以适当方式通报。
a)查验岗位信息安全责任制度文件,检查系统管理员、网络管理员、信息安全员、一般工作人员等不同岗位的信息安全责任是否明确;
检查重点岗位人员信息安全与保密协议签订情况;
访谈部分重点岗位人员,抽查对信息安全责任的了解程度;
b)查验人员离岗离职管理制度文件,检查是否有终止系统访问权限、收回软硬件设备、收回身份证件和门禁卡等要求;
检查离岗离职人员安全保密承诺书签署情况;
查验信息系统账户,检查离岗离职人员账户访问权限是否已被终止;
c)查验外部人员访问机房等重要区域的审批制度文件,检查是否有访问审批、人员陪同等要求;
查验访问审批记录、访问活动记录,检查记录是否清晰、完整;
d)查验安全事件记录及安全事件责任查处等文档,检查是否发生过因违反制度规定造成的信息安全事件、是否对信息安全事件责任人进行了处置
升级会员 