衡水度信息安全检查实施方案.docx

衡水度信息安全检查实施方案.docx

《衡水度信息安全检查实施方案.docx》由会员分享，可在线阅读，更多相关《衡水度信息安全检查实施方案.docx（32页珍藏版）》请在冰豆网上搜索。

衡水度信息安全检查实施方案

衡水市2013年度信息安全检查实施方案

一、检查目的

通过开展常态化的信息安全检查，进一步落实信息安全责任，增强人员信息安全意识，认真查找突出问题和薄弱环节，全面排查安全隐患和安全漏洞，分析评估信息安全状况和防护水平，有针对性地采取管理和技术防护措施，促进安全防范水平和安全可控能力提升，预防和减少重大信息安全事件的发生，切实保障信息安全。

二、检查范围

安全检查的范围包括全市各级政务部门、重要信息系统和城市供水供气供热等市政领域。

涉及国家秘密的信息系统安全检查，按照国家保密管理规定和标准执行。

三、检查内容

（一）信息安全管理情况。

按照国家信息安全政策和标准规范要求，建立健全信息安全管理规章制度及落实情况。

重点检查信息安全主管领导、管理机构和工作人员履职情况，信息安全责任制落实及事故责任追究情况，人员、资产、采购、外包服务等日常安全管理情况，信息安全经费保障情况等。

（二）技术防护情况。

网络与信息系统防病毒、防攻击、防篡改、防瘫痪、防泄密等技术措施及有效性。

重点检查事关国家安全和社会稳定，对地区、部门或行业正常生产生活具有较大影响的重要网络与信息系统（含工业控制系统）的安全防护情况，包括技术防护体系建立情况；网络边界防护措施，不同网络或信息系统之间安全隔离措施，互联网接入安全防护措施，无线局域网安全防护策略等；服务器、网络设备、安全设备等安全策略配置及有效性，应用系统安全功能配置及有效性；终端计算机、移动存储介质安全防护措施；重要数据传输、存储的安全防护措施；采用数字证书进行系统防护的措施等。

（三）应急工作情况。

按照我市网络与信息安全事件应急预案要求，建立健全信息安全应急工作机制情况。

重点检查信息安全事件应急预案制修订情况，应急预案演练情况；应急技术支撑队伍、灾难备份与恢复措施建设情况，重大信息安全事件处置及查处情况等。

（四）安全教育培训情况。

重点检查信息安全和保密形势宣传教育、领导干部和各级人员信息安全技能培训、信息安全管理和技术人员专业培训情况等。

（五）安全问题整改情况。

重点检查以往信息安全检查中发现问题的整改情况，包括整改措施、整改效果及复查情况，以及类似问题的排查情况等，分析安全威胁和安全风险，进一步评估总体安全状况。

四、检查方式

按照“谁主管谁负责、谁运行谁负责”的原则，信息安全检查工作以各县市区、各部门自查为主。

同时，市网络与信息安全协调小组办公室将组织专业技术队伍对部分重点单位和重要系统进行安全抽查。

五、安全自查

各县市区结合实际统筹安排本地区政务部门以及供水供气供热等市政领域信息安全自查工作。

市直各部门结合实际组织开展本部门安全自查工作。

各县市区、各部门（单位）参照本工作方案，结合实际组织制定信息安全检查实施方案，印发检查部署文件，明确自查范围、责任单位、工作安排及工作要求等相关内容，并认真组织实施。

可组织开展抽查，督促自查单位开展自查工作，了解掌握自查工作进展情况，采取技术手段深入发现安全问题和薄弱环节，并及时研究解决检查工作中遇到的重大问题。

自查工作完成后，各县市区、各部门（单位）要对检查情况进行全面汇总总结，填写检查结果统计表，认真梳理存在的主要问题，分析评估安全风险，撰写检查总结报告。

六、安全抽查

（一）技术抽测。

依托省信息安全测评中心，对全市重点网站进行抽测。

（二）抽查重点内容。

市网络与信息安全协调小组办公室将组织专门人员随机对各县市区、各部门的自查情况进行抽查。

1.现场抽查内容。

重点检查被抽查单位自查工作组织开展情况，2012年安全检查发现问题的整改情况，网络架构、安全区域划分的合理性，网络边界防护措施的完备性，服务器、网络设备、安全设备等的安全策略配置、应用系统安全功能配置及其有效性，重要数据传输、存储的安全防护措施。

专业技术队伍应对重要设备和应用系统进行安全技术检测，深入挖掘安全漏洞，采用人工方式对安全漏洞的可利用性进行验证，帮助排查安全隐患，分析评估安全风险。

2.外部检测内容。

通过互联网对被抽测网站系统的安全风险状况进行外部检测，包括安全漏洞、网页篡改、恶意代码情况以及近年来安全检查中发现问题的整改情况等，验证被抽查系统安全防护措施的有效性。

七、时间安排

（一）自查时间安排。

检查工作自本工作方案印发之日起启动。

2013年9月25日前，各县市区、各部门（单位）将加盖公章的检查总结报告、检查结果统计表（附件2）、自查情况登记表（附件3，仅市直各单位）和自评估表（附件1，仅市直单位），以与之涉密程度相应的信函或传真等方式报送市网络与信息安全协调小组办公室。

各附件可以从网站的通知公告栏下载。

（二）抽查时间安排。

抽查工作自9月2日起启动，9月25日前完成。

八、信息报送

（一）为便于了解掌握检查工作进展情况，分别于8月30日和9月16日前，将本县市区、本部门自查工作进展情况发至hsxxhbgs@邮箱。

（二）各县市区、各部门（单位）在自查中发现重大安全隐患，或出现因检查工作导致的跨地区、跨部门或跨行业安全问题时，应及时向市网络与信息安全协调小组办公室报告。

九、工作要求

（一）加强领导，落实责任。

各县市区、各部门（单位）要把信息安全检查工作列入重要议事日程，加强组织领导，明确检查责任，建立并落实信息安全检查工作责任制，明确检查工作负责人、检查机构和检查人员，安排并落实检查工作经费，保证检查工作顺利进行。

（二）注重源头，深入检查。

各县市区、各部门（单位）要全面细致开展检查工作，注重采用技术检测等手段，深入查找安全问题和隐患，确保检查工作不走过场、不漏环节、不留死角。

要高度重视检查中发现的苗头性、趋势性问题，全面系统地分析研究解决，从源头上遏制和消除安全隐患。

（三）即查即改，确保成效。

各县市区、各部门（单位）对检查中发现的问题要及时整改，因条件不具备暂时不能整改的问题应采取临时防范措施，保证系统安全正常运行。

市网络与信息安全协调小组办公室将及时对检查中发现的问题通报给相关单位，督促相关单位组织风险研判并落实整改措施。

（四）控制风险，强化保密。

各县市区、各部门（单位）和承担抽查任务的专业技术队伍要针对检查工作技术性强的特点，强化风险控制措施，周密制定应急预案，确保被检查信息系统的正常运行和重要数据安全。

要高度重视保密工作，对检查中有关人员、相关文档和数据进行严格管理，确保检查数据和检查结果不被泄露。

通信地址：

衡水市育才南大街918号市工业和信息化局（市网络与信息安全协调小组办公室）807室

邮政编码：

053000

联系电话：

2661389

附件：

1.信息安全管理工作自评估表（试行）

2.信息安全检查结果统计表

3.信息安全自查情况登记表

附件1

市直单位信息安全管理工作自评估表（试行）

评估指标

评价要素

评价标准

权重（V）

指标

属性

量化方法（P为量化值）

评估得分

（V×P）

信息安全组织管理

信息安全

主管领导

明确一名主管领导负责本部门信息安全工作（主管领导应为本部门正职或副职领导）。

3

定性

已明确，本年度就信息安全工作作出批示或主持召开专题会议，P=1；

已明确，本年度未就信息安全工作作出批示或主持召开专题会议，P=0.5；

尚未明确，P=0。

信息安全

管理机构

指定一个机构具体承担信息安全管理工作（管理机构应为本部门二级机构）。

2

定性

已指定，并以正式文件等形式明确其职责，P=1；

未指定，P=0。

信息安全员

各内设机构指定一名专职或兼职信息安全员。

2

定量

P=指定信息安全员的内设机构数量与内设机构总数的比率。

信息

安全

日常

管理

规章制度

制度完整性

建立信息安全管理制度体系，涵盖人员管理、资产管理、采购管理、外包管理、教育培训等方面。

3

定性

制度完整，P=1；

制度不完整，P=0.5；

无制度，P=0。

制度发布

安全管理制度以正式文件等形式发布。

2

定性

符合，P=1；不符合，P=0。

人员管理

重点岗位人员签订安全保密协议

重点岗位人员（系统管理员、网络管理员、信息安全员等）签订信息安全与保密协议。

2

定量

P=重点岗位人员中签订信息安全与保密协议的比率。

人员离岗离职管理措施

人员离岗离职时，收回其相关权限，签署安全保密承诺书。

1

定性

符合，P=1；

不符合，P=0。

外部人员访问管理措施

外部人员访问机房等重要区域时采取审批、人员陪同、进出记录等安全管理措施。

2

定性

符合，P=1；

不符合，P=0。

资产管理

责任落实

指定专人负责资产管理，并明确责任人职责。

2

定性

符合，P=1；不符合，P=0。

建立台账

建立完整资产台账，统一编号、统一标识、统一发放。

2

定性

符合，P=1；不符合，P=0。

账物符合度

资产台账与实际设备相一致。

2

定性

符合，P=1；不符合，P=0。

设备维修维护和报废管理措施

完整记录设备维修维护和报废信息（时间、地点、内容、责任人等）。

2

定性

记录完整，P=1；

记录基本完整，P=0.5；

记录不完整或无记录，P=0。

外包管理

外包服务协议

与信息技术外包服务提供商签订信息安全与保密协议，或在服务合同中明确信息安全与保密责任。

2

定性

符合，P=1；

不符合，P=0。

现场服务管理

现场服务过程中安排专人管理，并记录服务过程。

2

定性

记录完整，P=1；

记录不完整，P=0.5；

无记录，P=0。

外包开发管理

外包开发的系统、软件上线前通过信息安全测评。

2

定量

P=外包开发的系统、软件上线前通过信息安全测评的比率。

运维服务方式

原则上不得采用远程在线方式，确需采用时采取书面审批、访问控制、在线监测、日志审计等安全防护措施。

2

定性

符合，P=1；

不符合，P=0。

经费保障

经费预算

将信息安全设施运维、日常管理、教育培训、检查评估等费用纳入年度预算。

3

定性

符合，P=1；

不符合，P=0。

网站内容

管理

网站信息发布

网站信息发布前采取内容核查、审批等安全管理措施。

2

定性

符合，P=1；

不符合，P=0。

电子信息

管理

介质销毁和信息消除

配备必要的电子信息消除和销毁设备，对变更用途的存储介质进行信息消除，对废弃的存储介质进行销毁。

1

定性

符合，P=1；

不符合，P=0。

信息

安全

防护

管理

物理环境

安全

机房安全

具备防盗窃、防破坏、防雷击、防火、防水、防潮、防静电及备用电力供应、温湿度控制、电磁防护等安全措施。

3

定性

符合，P=1；

不符合，P=0。

物理访问控制

机房配备门禁系统或有专人值守。

1

定性

符合，P=1；不符合，P=0。

网络边界

安全

访问控制

网络边界部署访问控制设备，能够阻断非授权访问。

3

定性

符合，P=1；

有设备，但未配置策略，P=0.5；

无设备，P=0。

入侵检测

网络边界部署入侵检测设备，定期更新检测规则库。

3

定性

符合，P=1；

有设备，但未定期更新，P=0.5；

无设备，P=0。

安全审计

网络边界部署安全审计设备，对网络访问情况进行定期分析审计并记录审计情况。

3

定性

符合，P=1；

有设备，但未定期分析，P=0.5；

无设备，P=0。

互联网接入口数量

各单位同一办公区域内互联网接入口不超过2个。

2

定性

符合，P=1；

不符合，P=0。

设备安全

恶意代码防护

部署防病毒网关或统一安装防病毒软件，并定期更新恶意代码库。

2

定性

符合，P=1；

不符合，P=0。

服务器

口令策略

配置口令策略保证服务器口令强度和更新频率。

2

定量

P=配置了口令策略的服务器比率。

服务器

安全审计

启用安全审计功能并进行定期分析。

1

定量

P=对安全审计日志进行定期分析的服务器比率。

服务器

补丁更新

及时对服务器操作系统补丁和数据库管理系统补丁进行更新。

1

定量

P=补丁得到及时更新的服务器比率。

网络设备和安全设备口令策略

配置口令策略保证网络设备和安全设备口令强度和更新频率。

2

定量

P=网络设备和安全设备（指重要设备）中配置了口令策略的比率。

终端计算机

统一防护

采取集中统一管理方式对终端进行防护，统一软件下发、安装系统补丁。

2

定性

符合，P=1；

不符合，P=0。

终端计算机

接入控制

采取技术措施（如部署集中管理系统、将IP地址与MAC地址绑定等）对接入本单位网络的终端计算机进行控制。

1

定性

符合，P=1；

不符合，P=0。

应用系统

安全

应用系统安全漏洞扫描

定期对业务系统、办公系统、网站系统、邮件系统等应用系统进行安全漏洞扫描。

2

定性

符合，P=1；

不符合，P=0。

门户网站防

篡改措施

门户网站采取网页防篡改措施。

2

定性

符合，P=1；

不符合，P=0。

门户网站抗拒绝服务攻击措施

门户网站采取抗拒绝服务攻击措施。

2

定性

符合，P=1；

不符合，P=0。

电子邮件账号注册审批

建立邮件账号开通审批程序，防止邮件账号任意注册使用。

2

定性

符合，P=1；

不符合，P=0。

电子邮箱账户口令策略

配置口令策略保证电子邮箱口令强度和更新频率。

2

定性

符合，P=1；

不符合，P=0。

邮件清理

定期清理工作邮件。

1

定性

符合，P=1；不符合，P=0。

数据安全

数据存储保护

采取技术措施（如加密、分区存储等）对存储的重要数据进行保护。

2

定性

符合，P=1；

不符合，P=0。

数据传输保护

采取技术措施对传输的重要数据进行加密和校验。

2

定性

符合，P=1；

不符合，P=0。

数据和系统备份

采取技术措施对重要数据和系统进行定期备份。

2

定性

符合，P=1；不符合，P=0。

数据中心、灾备中心设立

数据中心、灾备中心应设立在境内。

1

定性

符合，P=1；

不符合，P=0。

信息安全应急管理

应急预案

制定信息安全事件应急预案（为部门级预案，非单个信息系统的安全应急预案），并使相关人员熟悉应急预案。

2

定性

符合，P=1；

不符合，P=0。

应急演练

开展应急演练，并留存演练计划、方案、记录、总结等文档。

2

定性

符合，P=1；

不符合，P=0。

应急资源

指定应急技术支援队伍，配备必要的备机、备件等应急物资。

1

定性

符合，P=1；

不符合，P=0。

事件处置

发生信息安全事件后，及时向主管领导报告，按照预案开展处置工作；重大事件及时通报信息安全主管部门。

2

定性

发生过事件并按要求处置，或者未发生过安全事件，P=1；

发生过事件但未按要求处置，P=0。

信息安全教育培训

意识教育

面向全体人员开展信息安全形势与警示教育、基本技能培训等活动。

2

定量

本年度开展活动的次数≥3，P=1；

次数=2，P=0.7；

次数=1，P=0.3；

次数=0，P=0。

专业培训

定期开展信息安全管理人员和技术人员专业培训。

2

定量

P=本年度信息安全管理和技术人员中参加专业培训的比率。

信息安全检查

工作部署

下发检查工作相关文件或者组织召开专题会议，对年度检查工作进行部署。

2

定性

符合，P=1；

不符合，P=0。

工作机制

明确检查工作负责人，落实检查机构和检查人员。

2

定性

符合，P=1；

不符合，P=0。

检查经费

安排并落实检查工作经费。

2

定性

符合，P=1；不符合，P=0。

附件2

信息安全检查结果统计表

设区市/部门/单位名称：

一、重要信息系统安全检查情况

基本情况

重要信息系统总数：

（请另附系统清单）

（按服务对象

进行统计）

1.面向社会公众提供服务的系统数量：

2.不面向社会公众提供服务的系统数量：

（按联网情况

进行统计）

1.通过互联网可直接访问的系统数量：

2.通过互联网不能直接访问的系统数量：

其中，与互联网物理隔离的系统数量：

（按数据集中情况进行统计）

1.全国数据集中的系统数量：

2.省级数据集中的系统数量：

3.未进行数据集中的系统数量：

（按业务连续性进行统计）

1.可容忍中断时间小于30分钟的系统数量：

2.可容忍中断时间大于30分钟、小于12小时的系统数量：

3.可容忍中断时间大于12小时的系统数量：

（按灾备情况

进行统计）

1.进行系统级灾备的系统数量：

2.仅对数据进行灾备的系统数量：

3.无灾备的系统数量：

系统

构成情况

主要硬件和软件

服务器

路由器

交换机

防火墙

磁盘阵列

磁带库

操作系统

数据库

国内品牌数量

（台/套）

国外品牌数量

（台/套）

业务应用

软件系统

（统计3年内数据）

1.自主设计开发（不含二次开发）的套数：

2.委托国内厂商开发的套数：

委托国外厂商开发的套数：

3.直接采购国内厂商产品的套数：

直接采购国外厂商产品的套数：

二、重要工业控制系统安全检查情况

基本情况

重要工业控制系统运营单位总数：

家

重要工业控制系统总数：

套

系统类型情况

国内品牌

国外品牌

数据采集与监控（SCADA）系统

套

套

分布式控制系统（DCS）

套

套

过程控制系统（PCS）

套

套

可编程控制器（PLC）

台

台

工业控制网络

连接情况

1.直接与互联网连接的重要工业控制系统数量：

套

2.与内部局域网连接的重要工业控制系统数量：

套

3.含有无线接入方式的重要工业控制系统数量：

套

运行维护情况

1.采用远程方式运行维护的重要工业控制系统数量：

套

2.由国内厂商提供运行维护服务的重要工业控制系统数量：

套

3.由国外厂商提供运行维护服务的重要工业控制系统数量：

套

信息安全

防护情况

1.网络边界处架设网络安全设备的重要工业控制系统数量：

套

2.安装防病毒软件或设备的重要工业控制系统数量：

套

3.定期进行安全更新的重要工业控制系统数量：

套

4.采取加密措施传输、存储敏感数据的重要工业控制系统数量：

套

三、本年度信息安全事件及技术检测情况

信息安全事件情况

特别重大信息安全事件次数：

重大信息安全事件次数：

较大信息安全事件次数：

一般信息安全事件次数：

地区/行业统一组织的技术检测情况

恶意代码检测

①进行过病毒木马等恶意代码检测的服务器台数：

___________

其中，存在恶意代码的服务器台数：

___________

②进行过病毒木马等恶意代码检测的终端计算机台数：

_________

其中，存在恶意代码的终端计算机台数：

___________

安全漏洞检测

①进行过漏洞扫描的服务器台数：

___________

其中，存在漏洞的服务器台数：

___________

存在高风险漏洞的服务器台数：

___________

②进行过漏洞扫描的终端计算机台数：

___________

其中，存在漏洞的终端计算机台数：

___________

存在高风险漏洞的终端计算机台数：

___________

附件3

市直单位信息安全自查情况登记表

一、部门（单位）基本情况

部门（单位）名称

分管信息安全工作的领导

①姓名：

_______________

②职务：

_______________

信息安全管理（或工作）机构

（如办公室）

①名称：

___________________

②负责人：

_____________职务：

________________

③联系人：

_____________电话：

________________

二、信息系统基本情况

信息系统情况

①信息系统总数：

________________个

②提供公共服务、开展社会管理和市场监管的系统数量：

_____个

其中，重要系统数量：

_______个

④本年度经过风险评估（含安全测评、等级测评）的系统数量：

_____个

系统定级情况

第一级：

_______个第二级：

_______个第三级：

_______个

第四级：

_______个第五级：

_______个未定级：

_______个

三、日常信息安全管理情况

人员管理

①重点岗位人员安全保密协议：

□全部签订□部分签订□均未签订

②人员离岗离职安全管理规定：

□已制定□未制定

③外部人员访问机房等重要区域审批制度：

□已建立□未建立

资产管理

①资产管理制度：

□已建立□未建立

②设备维修维护和报废管理：

□已建立管理制度，且维修维护和报废记录完整

□已建立管理制度，但维修维护和报废记录不完整

□未建立管理制度

四、信息安全防护情况

网络边界安全防护

①互联网接入口总数：

_____个

其中：

□联通接入口数量：

_____个

□电信接入口数量：

_____个

□其他：

____________接入口数量：

_____个

②网络安全防护设备部署（可多选）：

□防火墙□入侵检测设备□安全审计设备

□防病毒网关□抗拒绝服务攻击设备

□其它：

________________________

③网络访问日志：

□留存日志□未留存日志

④安全防护设备策略：

□使用默认配置□根据应用自主配置

无线局域网

安全防护

办公区域无线局域网接入设备（无线路由器）数量：

个

①网络用途：

□访问互联网：

个

□访问业务/办公网络：

个

②安全防护策略（可多选）：

□采取身份鉴别措施：

个□采取地址过滤措施：

个

□未设置：

个

门户网站安全防护

①网页防篡改措施：

□采用□未采用

②漏洞扫描：

□定期扫描，周期□不定期□未进行

③信息发布管理：

□已建立审核制度，且审核记录完整

□已建立审核制度，但审核记录不完整

□未建立审核制度

电子邮件安全防护

①邮箱注册：

□注册邮箱账号须经审批

□任意注册使用

②账户口令防护：

□使用技术措施控制和管理口令强度

□无口令强度限制技术措施

终端计算机

安全防护

①安全管理方式：

□集中统一管理（可多选）

□规范软硬件安装□统一补丁升级□统