有关开展内重要信息系统和重点网站.docx
《有关开展内重要信息系统和重点网站.docx》由会员分享,可在线阅读,更多相关《有关开展内重要信息系统和重点网站.docx(23页珍藏版)》请在冰豆网上搜索。
有关开展内重要信息系统和重点网站
关于开展省内重要信息系统和重点网站
安全执法检查工作的通知
各市公安局,滨海、齐都、银山、机场公安局,济南铁路公安局:
为贯彻落实中央领导同志关于网络安全的重要指示精神,根据公安部《关于开展国家级重要信息系统和重点网站安全执法检查工作的通知》(公传发〔2015〕253号)要求,省厅决定,在全省开展为期三个月的重要信息系统和重点网站安全执法检查工作。
现将有关要求通知如下:
一、工作目标
摸清省内国家级重要信息系统、第三级以上重要信息系统和重点网站网络安全工作开展情况;排查网络安全风险和隐患,督促责任单位限期整改,堵塞网络安全漏洞;监督、指导信息安全等级保护制度的贯彻落实,提高省内国家级重要信息系统、第三级以上重要信息系统和重点网站防入侵、防窃密、防篡改的综合防护能力,坚决防止发生重大网络安全事件(事故),切实维护国家安全、社会公共安全和关键信息基础设施安全。
二、检查时间和范围
从今年5月中旬开始至8月中旬结束。
检查范围包括:
一是省内国家级重要信息系统和第三级以上重要信息系统。
二是政府部门和企事业单位的网站。
主要包括省、市、县三级党委和政府各组成部门网站;教育、卫生计生、金融机构、中央企业和国有企业、科研机构等企事业单位网站;社会团体、基金会等非政府组织(NGO)网站。
三是省、市两级大型互联网综合、搜索、新闻、电商、社交、IT、财经等门户网站。
三、检查内容
(一)国家级重要信息系统和第三级以上重要信息系统行业主管部门。
国家级重要信息系统和第三级以上重要信息系统行业主管部门对全行业网络安全工作的组织领导和责任制落实情况;制定全行业网络安全政策和技术标准规范情况;全行业网络安全顶层设计、统筹规划情况;全行业信息系统的底数掌握情况和网络安全保护状况;全行业信息安全等级保护、安全监测、网络安全信息通报、重要数据保护、灾难备份、应急演练等重点工作的部署和开展情况;全行业网络安全机构、队伍建设、网络安全宣传培训等情况。
(二)国家级重要信息系统和第三级以上重要信息系统运营使用单位。
国家级重要信息系统和第三级以上重要信息系统运营使用单位网络安全责任部门和责任人落实情况,以及网络安全责任追究制度的建立情况;单位开展信息安全等级保护工作情况,以及网络安全监测、通报预警、技术检测、风险评估、数据保护、容灾备份、应急演练等重点工作开展情况;单位网络安全经费保障和人员安全管理、岗位培训等情况;新系统规划、建设情况,新系统安全保护等级定级备案情况,新系统“同步规划、同步建设、同步运行”安全保护措施落实情况,安全建设方案制定与实施情况。
(三)国家级重要信息系统和第三级以上重要信息系统。
国家级重要信息系统和第三级以上重要信息系统设备和资产情况;信息系统建设投入和安全经费投入情况;安全保护计划和落实情况;信息系统开展等级测评和建设整改工作完成情况;信息系统网络安全管理制度和技术防范措施的建设和落实情况;信息系统重要数据的存储、应用、流转和安全保护情况;网络安全事件(事故)的发生、报告和应急处置情况;信息系统使用国外信息技术产品、服务情况和安全可控措施的落实情况;信息系统核心网络设备、操作系统、数据库、服务器等软硬件产品国产化替代工程计划和进展情况;信息系统和重要数据的运行维护单位、服务外包情况等。
(四)政府部门、企事业单位、非政府组织网站和大型互联网网站。
政府部门、企事业单位、非政府组织网站以及大型互联网网站落实国家信息安全等级保护制度,开展信息系统定级备案、等级测评和安全建设整改、安全自查等重要工作的落实情况;网站开办单位、运行维护单位的安全保护责任单位、责任人等安全责任的落实情况;网站安全管理制度以及防入侵、防攻击、防篡改等技术防护措施的落实情况;网站安全监测预警、备份恢复、应急处置等措施落实情况;网站安全事件(事故)处置情况。
大型互联网企业数据资源的采集、存储、传输、应用和安全保护情况,利用互联网数据资源从事大数据分析挖掘、增值服务情况等。
四、任务分工
各省直、中央驻鲁单位及重点企业第三级以上重要信息系统和重点网站运营使用单位(包括行业主管部门),由省公安厅网安总队组织开展检查。
省内13个国家级重要信息系统运营使用单位,由省公安厅网安总队和所在市公安局网安支队会同行业主管部门开展检查。
各市第三级以上信息系统运营使用单位,由市级公安机关网安部门组织开展检查。
各市、县级政府网站、企事业单位网站、非政府组织网站、大型互联网企业网站,由同级属地公安机关网安部门开展检查。
五、工作措施
采用单位自查、互联网远程技术检测和现场检查相结合的方式开展,具体措施如下:
(一)做好各项检查准备工作,全面部署安全自查。
各级公安机关要将此次专项检查工作向当地党委、政府汇报。
要组织成立检查工作领导小组,抽调公安网安部门相关人员组成检查工作组,按照检查任务要求,制定具体检查方案,明确本地检查对象和具体要求,落实各项保障。
公安机关要集中向检查对象部署开展安全自查,被检查对象要按照检查内容要求,开展自查工作,撰写自查报告,并填写《重要信息系统和重点网站安全执法检查自查表》(详见附件,空表可从下载),于6月20日前报同级公安机关网安部门。
(二)组织开展重点网站远程技术检测,加强网站遭攻击的应急处置工作。
检查期间,各级公安网安部门要利用自身技术力量和本地一切可以调动的技术支撑力量对检查范围内的网站开展远程技术检测,对发现的网站安全隐患和问题,及时督促整改,严格落实信息安全等级保护制度。
要建立本地政府网站监测技术手段,及时发现网站遭攻击篡改事件,组织力量第一时间赶赴现场,对网站采取停机整顿措施,查封相关设备,固定证据、立案侦查。
要将网站遭攻击篡改情况及时通报当地党委政府、上级主管部门和纪检监察部门,建议进行责任倒查,追究相关领导、人员的责任。
(三)组织开展现场检查工作,及时反馈检查结果。
各级公安机关要根据检查任务分工,组织对所有检查对象开展现场检查,已经配备信息安全等级保护检查工具箱的地方,要充分利用工具箱开展检查,并及时将检查数据上传《重要信息系统基础数据库管理系统》。
检查时,要通报当前网络安全形势和工作要求,听取被检查单位自查工作汇报,了解被检查单位信息安全等级保护工作情况,对检查中发现的问题,要提出整改意见和建议。
各级公安机关要汇总分析现场检查结果,及时向被检查单位书面反馈检查意见和工作建议。
对存在安全隐患的政府网站责任单位或不落实信息安全等级保护制度要求的信息系统运营使用单位,要责令其限期整改,并跟踪其整改落实情况,对暂时无法完成整改的事项,要督促相关单位落实应急保护方案和具体措施,确保网站和信息系统安全。
六、工作要求
(一)高度重视,加强领导。
各级公安机关要从维护国家安全和社会稳定的大局出发,充分认识执法检查工作的重要性和紧迫性,认真抓好工作落实。
为加强检查工作的组织领导,各级公安机关要成立由分管领导任组长的检查工作领导小组,分管领导和网安部门主要负责同志要亲自带队开展检查。
(二)加强保障,严格通报。
要加快建设重点网站安全监测平台,尽快配备信息安全等级保护检查工具箱,提高安全监测能力和技术检查能力。
对不重视网络安全工作、不落实相关安全整改建议的单位,要约谈其单位责任领导、通报上级主管部门和当地党委政府,对发生重大网络安全案(事)件的,建议有关纪检监察部门追究相关领导和人员责任。
(三)认真总结,加强宣传。
检查结束后,各地要全面总结此次检查工作情况,组织召开检查工作总结会,通报检查结果。
总结报告要于8月20日前报送省公安厅和同级党委政府。
各地要充分利用报纸、广播、电视等公众媒体以及网站、微博等信息平台广泛宣传检查工作,剖析典型案例,提高全社会对网络安全工作的重视程度。
省厅将派工作组对各地检查工作进行督导、指导。
附件:
重要信息系统和重点网站安全执法检查自查表
山东省公安厅
2015年5月18日
附件:
重要信息系统和重点网站安全
执法检查自查表
表一:
行业主管部门填写
一、行业主管部门基本情况
行业主管部门名称
单位地址
网络安全分管领导
姓名
职务/职称
网络安全责任部门
责任部门负责人
姓名
职务/职称
办公电话
移动电话
责任部门联系人
姓名
职务/职称
办公电话
移动电话
全行业信息系统
总数
第四级系统数
第三级系统数
第二级系统数
未定级系统数
全行业信息系统
等级测评总数
第四级系统数
第三级系统数
第二级系统数
未定级系统数
全行业信息系统
安全建设整改总数
第四级系统数
第三级系统数
第二级系统数
未定级系统数
本单位信息系统
总数
第四级系统数
第三级系统数
第二级系统数
未定级系统数
二、行业主管部门等级保护工作情况
1、行业信息安全等级保护工作的组织领导情况
(重点包括:
行业网络安全领导机构或信息安全等级保护工作领导机构成立情况;行业网络安全或信息安全等级保护工作的职责部门和具体职能情况;全行业信息安全等级保护工作部署情况等。
)
2、行业对信息安全等级保护工作的重视情况
(重点包括:
行业信息安全等级保护工作年度考核情况;行业主管部门组织对地方对口部门或所属企事业单位网络安全检查情况;行业网络安全工作经费是否纳入年度预算?
行业网络安全工作的经费约占行业信息化建设经费的百分比情况等。
)
3、行业网络安全责任追究制度执行情况
(重点包括:
是否建立了行业网络安全责任追究制度?
是否依据责任追究制度对行业发生的网络安全事件(事故)进行追责等情况。
)
4、行业网络安全与信息通报工作情况
(重点包括:
是否加入了国家网络与信息安全通报机制?
是否建立了本行业网络与信息安全通报机制?
本行业开展网络与信息安全通报预警工作的总体情况等。
)
5、行业重要网络安全政策和技术标准的制定情况
(重点包括:
行业出台网络安全或等级保护政策、管理办法、管理规定等规范性文件情况,具体文件名字和出台时间;行业出台网络安全或等级保护标准规范情况,具体文件名字和出台时间等情况。
)
6、行业网络安全顶层设计和统筹规划情况
(重点包括:
行业网络安全顶层设计情况;行业网络安全工作的短期目标和长远规划制定情况;全行业的网络安全保护策略制定情况等。
)
7、行业数据资源保护情况
(重点包括:
行业数据中心建设情况;行业数据资源存储情况;行业数据资源安全保护情况;行业数据资源的灾备中心建设情况和数据备份恢复情况,行业数据资源存储和应用是否由社会第三方提供?
提供服务单位的具体情况等)
8、行业网络安全监测和预警情况
(重点包括:
行业组织开展日常网络安全监测情况;行业网络安全监测技术手段建设情况;行业网络安全预警体系建设情况等)
9、行业网络安全应急预案和演练情况
(重点包括:
是否制定了行业网络安全预案?
行业网络安全预案是否进行了演练?
是否根据演练情况对预案进行了修改完善等情况)
10、行业网络安全应急队伍建设情况
(重点包括:
是否建立了本行业网络安全应急队伍?
是否组建了行业网络安全专家队伍?
是否与社会企业签订了应急支持协议?
行业应急队伍建设规划等情况。
)
11、行业网络安全事件(事故)的处置情况
(重点包括:
是否明确了行业网络安全事件(事故)发现、报告和处置流程?
年内是否发生重大网络安全事件(事故)?
是否与相关部门建立了网络安全应急处置机制等情况。
)
12、行业网络安全宣传培训情况
(重点包括:
行业组织开展网络安全宣传教育情况;行业组织开展网络安全领导干部培训、业务骨干培训和网络安全员培训等情况。
)
表二:
信息系统运营使用单位填写
一、信息系统运营使用单位基本情况
单位名称
单位地址
网络安全分管领导
姓名
职务/职称
网络安全责任部门
责任部门负责人
姓名
职务/职称
办公电话
移动电话
责任部门联系人
姓名
职务/职称
办公电话
移动电话
单位信息系统
总数
第四级系统数
第三级系统数
第二级系统数
未定级系统数
单位信息系统
等级测评总数
第四级系统数
第三级系统数
第二级系统数
未定级系统数
单位信息系统
安全建设整改总数
第四级系统数
第三级系统数
第二级系统数
未定级系统数
单位信息系统
安全自查总数
第四级系统数
第三级系统数
第二级系统数
未定级系统数
二、信息系统运营使用单位等级保护工作情况
1、单位信息安全等级保护工作的组织领导情况
(重点包括:
单位网络安全领导机构或信息安全等级保护工作领导机构成立情况;单位网络安全或信息安全等级保护工作的职责部门和具体职能情况;单位信息安全等级保护工作部署情况等。
)
2、单位对信息安全等级保护工作的重视情况
(重点包括:
单位信息安全等级保护工作年度考核情况;单位组织开展网络安全自查情况;单位网络安全工作经费是否纳入年度预算?
单位网络安全工作的经费约占单位信息化建设经费的百分比情况等。
)
3、单位网络安全责任追究制度执行情况
(重点包括:
是否建立了单位网络安全责任追究制度?
是否依据责任追究制度对单位发生的网络安全事件(事故)进行追责等情况。
)
4、单位信息系统定级备案工作情况
(重点包括:
单位信息系统是否全部定级备案?
单位系统调整是否及时进行备案变更?
单位新建信息系统是否落实定级备案等工作。
)
5、单位信息系统安全测评和安全建设整改工作情况
(重点包括:
单位信息系统安全检测和整改经费落实情况;单位信息系统恶意代码扫描、渗透性测试、等级测评和风险评估的安全检测情况;信息系统安全建设整改方案制定和实施情况;单位网络安全保护状况的了解掌握等情况。
)
6、单位网络安全管理制度的制定和实施情况
(重点包括:
单位信息系统建设和网络安全“同步规划、同步建设、同步运行”措施的落实情况;单位人员管理,信息系统机房管理、设备管理、介质管理、网络安全建设管理、运维管理、服务外包等管理制度的建设情况;管理制度的监督保障和运行情况等。
)
7、单位重要数据的保护情况
(重点包括:
单位数据中心建设情况;单位重要数据存储和安全保护情况;单位重要数据备份恢复情况,单位重要数据存储和应用是否由社会第三方提供?
提供服务单位的具体情况等)
8、单位网络安全监测和预警情况
(重点包括:
单位开展日常网络安全监测情况;单位网络安全监测技术手段建设情况;单位网络安全预警工作情况等。
)
9、单位网络安全应急预案和演练情况
(重点包括:
是否制定了单位网络安全预案?
单位网络安全预案是否进行了演练?
是否根据演练情况对预案进行了修改完善等情况。
)
10、单位网络安全事件(事故)的处置情况
(重点包括:
是否明确了单位网络安全事件(事故)发现、报告和处置流程?
年内是否发生重大网络安全事件(事故)?
是否与相关部门建立了网络安全应急处置机制等情况。
)
11、单位信息技术产品、服务国产化情况
(重点包括:
单位操作系统、服务器、数据库、交换机等核心信息技术产品的国产化比率情况;单位网络安全设备的国产化比率情况;单位信息技术产品国产化替换工作计划情况;单位新建信息系统是否采用国产化设备;单位信息安全服务情况等。
)
12、单位网络安全宣传培训情况
(重点包括:
单位组织开展网络安全宣传教育情况;单位组织开展网络安全岗位培训和网络安全员培训等情况。
)
表三:
国家级重要信息系统自查表
一、重要信息系统基本情况
系统名称
系统安全保护等级
□三级□四级□未定级
系统运营使用单位
系统承载业务情况
业务类型
□生产作业□指挥调度□管理控制□内部办公
□公众服务□其他_____
功能描述
系统服务情况
服务范围
□全国□跨省(区、市)跨_____个
□全省(区、市)□跨地(市、区)跨_____个
□地(市、区)内
□其它_____
服务对象
□单位内部人员□社会公众人员□两者均包括
□其他_____
系统数据
数据存储方式
□本地存储□异地存储□云存储□其它_____
年存储数据量级
□1TGB□10TGB□100TGB□1000TGB□其它_____
系统网络平台
覆盖范围
□局域网□城域网□广域网□其他_____
网络性质
□业务专网□互联网□其它_____
系统互联情况
□与其他行业系统连接□与本行业其他单位系统连接
□与本单位其他系统连接□其它_____
系统经费投入情况
系统建设投入_____万元;系统安全建设投入_____万元
何时投入运行使用
______年___月___日
二、重要信息系统安全保护情况
1
设备和资产管理情况
是否指定专人负责资产管理,并明确责任人职责?
□是□否
是否建立完整资产台账,统一编号、统一标识、统一发放?
□是□否
资产台账与实际设备是否相一致?
□是□否
是否完整记录设备维修维护和报废信息(时间、地点、内容、责任人等)?
□是□否
2
安全经费年度预算
是否将信息安全设施运维、日常管理、教育培训、等级测评和安全建设整改等费用纳入年度预算?
□是□否
是否能够保障网络安全所需的费用?
□是□否
年度网络安全经费情况
_____万元
年度网络安全经费执行情况
执行比率:
3
网络安全规划、保护策略制定情况
是否制定了网络安全规划?
□是□否
网络安全规划是否遵循国家、行业相关安全标准?
□是□否
是否制定了网络安全保护策略?
□是□否
4
定级备案、等级测评、风险评估及建设整改情况
信息系统是否已按照信息安全等级保护要求进行定级?
□是□否
信息系统是否到属地公安机关定级备案?
□是□否
信息系统是否每年聘请符合国家资质要求的测评单位对信息系统进行测评?
□是□否
信息系统是否依据测评结果制定整改方案?
□是□否
信息系统是否开展了风险评估?
□是□否
信息系统是否完成安全建设整改?
□是□否
5
网络安全管理制度制定情况
是否制定了完善的网络安全管理制度?
□是□否
是否有网络安全管理操作规程?
□是□否
是否监督管理制度的贯彻落实?
□是□否
6
网络边界管理
信息系统是否有明确的安全域划分?
□是□否
是否对系统边界有严格的安全策略控制?
□是□否
7
日志及安全审计管理
是否对信息系统操作行为、设备运行状态有完善的日志记录?
□是□否
是否对信息系统操作行为、设备运行状态有安全审计措施?
□是□否
8
恶意代码防范管理
是否定期进行系统恶意代码扫描、查杀?
□是□否
是否定期进行信息系统防病毒软件进行更新?
□是□否
9
安全漏洞管理
是否对系统安全漏洞定期检查、分析?
□是□否
是否对系统发现的安全漏洞进行加固整改?
□是□否
10
终端管理
是否对系统终端安全进行统一管理?
□是□否
11
数据的备份与恢复
是否具有本地数据备份与恢复策略?
□是□否
系统备份数据是否场外存放?
□是□否
核心网络设备、关键主机设备是否具有冗余备份?
□是□否
是否具有冗余链路备份?
□是□否
重要应用是否有备份恢复措施?
□是□否
12
数据安全保护
是否对系统重要数据采取加密措施?
□是□否
是否对系统重要数据采取校验措施保障数据的完整性?
□是□否
是否对系统重要数据的应用、流转等情况进行管理?
□是□否
13
安全事件处置、报告、追责情况
是否制定信息系统网络安全事件(事故)处置操作手册?
□是□否
是否要求信息系统发生网络安全事件(事故)第一时间向公安机关报告?
□是□否
是否制定安全事件责任制度?
□是□否
14
应急队伍建设检查
是否建立了应急联络方式?
□是□否
是否建立了应急技术支援队伍?
□是□否
是否与相关单位建立了应急协调机制?
□是□否
15
应急预案和演练
是否已制定了网络安全应急预案?
□是□否
本年度是否已开展了应急演练?
□是□否
系统本年度是否出现过异常中断?
□是□否
系统异常中断造成的影响范围?
□社会公众□本单位□其他_______
16
操作系统、服务器、数据库国产化情况
使用国外操作系统的比率
_____%
使用国外服务器的比率
_____%
使用国外数据库的比率
_____%
17
安全产品使用情况
使用国外信息安全产品的比率
_____%
18
国产化替代工程计划和进展情况
是否制定核心网络设备、操作系统、数据库、服务器等软硬件产品的国产化替代工程计划?
□是□否
是否落实相关国产化替代工程经费?
□是□否
19
运维服务检查
是否委托社会第三方提供日常运维管理服务?
□是□否
是否与受托单位签订了保密协议?
□是□否
受托单位是否是国外安全服务机构?
□是□否
20
信息系统和重要数据的运维情况
信息系统和重要数据是否由本单位自行维护?
□是□否
信息系统和重要数据的服务托管单位?
单位名称:
是否要求并落实了托管单位的数据安全保护责任?
□是□否
表四:
网站安全情况自查表
一、网站的基本情况
网站中文名
IP地址
网址
网站责任单位
网站运行单位
网站责任单位负责
人及职务
联系电话
网站运行安全责任人及职务
联系电话
网站责任单位
所在地
工信部ICP备案号
国际联网备案号
隶属关系
□中央□省(自治区、直辖市)□地(区、市、州、盟)
□县(区、市、旗)□其他_____
单位类型
□政府机关□事业单位□国企
□互联网□其他_____
行业类别
如:
财政(根据等级保护备案表行业分类划分)
等级保护定级备案
□二级□三级□四级□未定级
等级测评
□已开展□未开展
网站安全责任书
□已签订□未签订
网站服务栏目
□新闻发布□政策宣传□事项办理□论坛□即时通信
□电子邮件□留言版□政务公开□其他_____
二、网站安全保护情况
1
网站安全责任部门和安全责任人落实情况
是否落实了单位网站安全责任部门?
□是□否
是否落实了单位网站安全责任人?
□是□否
2
主要领导对网站网络安全工作的重视情况
是否将网站安全工作的执行情况纳入到年度考核指标?
□是□否
开展网站安全工作的经费是否纳入年度预算?
□是□否
3
单位网站网络安全责任制落实情况
是否明确了网站建设单位、运维单位和内容更新单位等部门的责任?
□是□否
是否对发生的网站安全事件(事故)按照安全责任制进行追责?
□是□否
4
关键岗位人员配备情况
是否有明确的安全管理员,并签订保密协议?
□是□
升级会员 