信息安全自查操作指南.docx

信息安全自查操作指南.docx

《信息安全自查操作指南.docx》由会员分享，可在线阅读，更多相关《信息安全自查操作指南.docx（30页珍藏版）》请在冰豆网上搜索。

信息安全自查操作指南

信息安全自查操作指南

青岛市网络与信息安全协调小组办公室

二o—二年八月

概述1

—、自查目的1

二自查工作流程1

环节一自査工作部署3

一、研究制定自直实施方案3

二、自查工作动员部署4

环节二基本情况自奁6

一、系统基本情况自查6

二安全管理情况自查13

三、技术防护情况自查1719

五、安全技术检测20

环节三问题与风险分析22

一、主要问题分析22

二国外依赖度分析22

三、主要威胁分析23

环节四自查工作总结25

一、自查工作总结25

二自查情况上报25

有关工作要求26

附件1信息安全自査报告编写参考格式28

附件2信息安全检查情况报告表29

为指导重点领域信息安全自查工作，依据《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》（国办函[2012]102号，以下简称《检查通知》）,制定本指南。

本指南主要用于各级政府部门、大型国有企业以及其他有关单位（以下统称自奁单位疵开展信息安全自查具体工作时参考。

各区、市网络与信息安全协调小组办事机构”市直各咅各重点行业主管或监管部门在组织制定本区市、本行业安全检查实施方案时也可参考本指南。

一、自查目的

通过开展安全自查，进一步梳理、掌握本单位重要网络与信息系统基本情况，查找突出问题和薄弱环节，分析面临的安全威胁和风险，评估安全防护水平，有针对性地采取防范对策和改进措施,加强网络与信息系统安全管理和技术防护，促进安全防护能力和水平提升，预防和减少重大信息安全事件的发生，切实保障本单位网络与信息安全。

二、自查工作流程

信息安全自查主要包括自査工作部署、基本情况自查、问题与风险分析、自查工作总结等4个环节（见图IL

建议时间

自查工作环节

主要工作内容

整改工作

8月21日

至

8月27日

自杳工作部署

1、研究制定自杳实施方案

2、自杳工作动员部署

8月28日

至

8月30日

基本情况自查

1、系统安全基本情况自杳

2、安全管理情况自杳

3、技术防护情况自杳

4、应急处置及容灾备份情

况自查

5、安全技术检测

问题整改

8月31日

至

9月5日

问题与风险分析

1、主要问题分析

2、国外依赖度分析

3、主要威胁分析

问题整改

自杳工作总结

1、自杳工作总结

2、自杳工作上报

图1自奁工作流程

环节一自查工作部署

一、研究制定自查实施方案

认真学习《检査通知》，深刻领会文件精神和有关要求，研究制定自查实施方案,并报主管领导批准。

（-）自査实施方案应当明确的内容

自査实施方案应当明确以下内容：

（1）自查工作负责人、组织单位和实施机构。

（2）自查范围和自查对象。

（3）自奁工作的组织方式。

（4）自查工作时间进度安排。

1.关于自查范围。

此次自直范围是政府信息系统、重点行业和市政领域的网络与信息系统（含工业控制系统，以下同\检查的重点是事关国家安全和社会稳定，对地区、部门或行业正常生产生活具有较大影响的重要网络与信息系统。

2.关于自查对象。

主要指网络与信息系统安全管理与防护涉及到的信息安全综合管理部门、信息化部门、业务部门、生产管理部门、财务部门、人事部门等相关部门。

各单位可根据实际情况确定具体的自査对象。

3.关于自查工作组织。

自直单位可成立自奁工作组开展检查，也可指定专门机构负责自查实施工作。

自查工作组可由本单位信息化与信息安全部门以及相关业务部门中熟悉业务、具备信息安全知识、技术能力较强的人员，以及本单位相关技术支撑机构业务骨干等组成。

单位内各部门可指定人员负责协调配合和联络工作。

对于有工业控制系统的单位，可考虑生产管理部门参与工业控制系统信息安全检査。

对于信息系统复杂、自查工作涉及部门多的单位，可根据需要成立自查工作领导小组，负责自查工作的组织协调与资源配置。

领导小组组长可由本单位信息安全主管领导担任，领导小组成员可包括信息安全综合管理部门负责人（如办公厅主任λ信息化部门负责人（如信息中心主任），以及其他相关部门负责人（如人事部门、财务部门、业务部门、生产管理部门领导）等。

（二）应当注意的有关事项

1.纳入检查范围的网络与信息系统从安全防护的角度应具有相对的独立性。

从安全防护的角度判断网络与信息系统独立性的方法如下：

根据系统所承担业务的独立性、责任主体的独立性、网络边界的独立性、安全防护设备设施的独立性四个因素，对网络与信息系统进行全面梳理并综合分析，划分出相对独立的网络与信息系统,并形成网络与信息系统清单,以便于更好地界定检查范围。

2.关于重要网络与信息系统,可从系统特征的角度,立足本地区、本部门或本行业实际，参考以下标准进行判定：

（1）业务依赖度高。

（2）数据集中度高（全国、省级或市级数据集中\

（3）实时性要求高。

（4）系统关联性强（发生重大信息安全事件后，会对与其

相连的其他系统造成较大影响，并产生连片连锁反应\

（5）直接面向社会公众提供服务，用户数量庞大，覆盖范围广。

（6）灾备等级高（系统级灾备L

3.关于重要工业控制系统,可从发生信息安全事件造成危害的角度,参考以下标准进行判定：

（1）发生重大信息安全事件”致使系统出现严重故障后”可能导致10人以上死亡或50人以上重伤。

（2）发生重大信息安全事件，致使系统出现严重故障后，可能导致5000万元以上直接经济损失。

（3）发生重大信息安全事件，致使系统出现严重故障后,可能影响100万人以上正常生活。

（4）发生重大信息安全事件Z致使系统出现严重故障后，可能对与其相连的其他系统造成影响Z并产生连片连锁反应。

（5）发生重大信息安全事件，致使系统出现严重故障后，可能对生态环境造成严重破坏。

（6）发生重大信息安全事件Z致使系统出现严重故障后，可能对国家安全和社会稳定产生重大影响。

二、自查工作动员部署

自查单位可通过召开会议、下发文件等方式对自奁工作进行部署,布置自查工作任务。

相关人员要切实落实自查工作责任，各司其职Z形成合力，共同推进自查工作。

一、系统基本情况自查

（-）系统特征情况

1.査看系统规划设计方案、安全防护规划设计方案、网络拓扑图等,核实系统的实时性、服务对象、连接互联网情况、数据集中情况、灾备情况等基本情况，记录检查结果（表IL

表1系统基本情况检査记录表

序号

性时实

务象服对

数据集中情况

实时2

非实时

面向社会公众

不面向社会公众

采用逻辑强隔离“措施连接

不连接

全省集中

市级集中

不集中

系统级灾备

仅数据灾备

无灾备

E

π

π

□

□

□

□

□

□

□

□

π

H

π

π

□

□

□

□

□

□

□

□

π

B

π

□

□

□

□

□

□

□

□

π

□

□

□

□

□

□

□

□

□

□

□

□

2.根据上述系统基本情况核查结果,分析系统停止运行后对主要业务的影响程度、系统遭受攻击破坏后对社会公众的影响程度等安全特征，记录分析结果（表2L

1系统是抬核心业务系统、门户网站系统及其他重要生产信息系统。

2实时信息系统是抬系统短暂停顿（政府系统为5秒内，丄控系统为I秒内）或性能拆标严重下降，会造成较大的影响或者损害单位的利益。

$非实时信息系统是抬系统短暂停顿（政府系统为5秒内，匸控系统为1秒内）或性能指标严重下降，不会造成较大的影响或者损害取位的利益。

4逻辑强隔离抬使用逻辑强隔离设备（使用正向、反向或双向网闸）进行的网络隔离。

（1）关于系统停止运行后对主要业务的影响程度判走标准

如下：

影响程度高:

系统停止运行后，主要业务无法开展或对主要业务运行产生严重影响;

影响程度中:

系统停止运行后,对主要业务运行有一定影响,可用手工等传统方式替代;

影响程度低:

系统停止运行后，对主要业务运行影响较小或无影响。

（2）关于系统遭受攻击破坏后对社会公众的影响程度判定标准如下：

影响程度高：

系统遭受攻击破坏Z造成系统无法正常运行、被劫持、信息泄露等后果后，对社会公众正常生活、公众利益等产生严重影响；

影响程度中：

系统遭受攻击破坏,造成系统无法正常运行、被劫持、信息泄露等后果后，对社会公众正常生活、公众利益等产生一定影响；

影响程度低:

系统遭受攻击破坏Z造成系统无法正常运行、被劫持、信息泄露等后果后，对社会公众正常生活、公众利益等影响较小或无影响。

表2系统特征情况分析记录表

序

α

系统名称

系统对主要业务的影响程度

系统对社会公众的影响程度

咼

中

低

咼

中

低

1

2

3

・・・

（二）系统构成情况

1.重点检查主要硬件设备类型、数量、生产商（品牌）情况，记录检查结果（表3L

硬件设备类型主要有:

服务器、路由器、交换机、防火墙、磁盘阵列、磁带库及其他主要安全设备。

硬件设备生产商（品牌）按国内、国外两类进行记录。

其中，国内主要有浪潮、曙光、联想、方正、华为、中兴、天融信、启明星辰、绿盟、联想网御、H3C等，国外主要有IBM、HP、DELL、CiSCOSJUniPer等。

2.重点检查主要软件设备类型、套数、生产商（品牌）情况，记录检查结果（表4L

软件设备类型主要有:

操作系统、数据库及主要业务应用系统。

软件设备生产商（品牌）按国内、国外两类进行记录。

其中，国内主要有红旗、麒麟、金仓、达梦等，国外主要有WindOWs、RedHatSHP-UniXSAlXSSOIariSXOraCleSDB2、SQLSerVer等。

（三）工业控制系统类型与构成情况

通过调阅资产清单、现场查看、上机检查等方式，检查工业控制系统类型和构成情况，汇总记录检查结果（表5L

工业控制系统类型主要包括数据采集与监控系统、分布式控制系统、过程控制系统、可编程控制器、就地测控设备（仪表、智能电子设备、远端设备）等。

工业控制系统软硬件主要包括：

应用服务器-工程师工作站（组态监控软件、系统软件、PC机/服务器\数据服务器（数据库软件、系统软件、PC机/服务器）等。

表3信息系统主要硬件检查记录表

检查项

检查结果

主要硬件

服

务

口口斋

国内

品牌

数量

浪潮

曙光

联想

方正

其他：

1•品牌，数量

2.品牌，数量

（如有更多,请另列表）

国外

品牌

数量

IBM

HP

DELL

其他：

1•品牌，数量

2.品牌,数量

（如有更多，请另列表）

路

由

口口斋

国内

品牌

数量

华为

中兴

H3C

其他：

1.品牌，数量

2.品牌Z数量

（如有更多，请另列表）

国外

品牌

数量

Cisco

JUliiPer

其他：

1•品牌，数量

2.品牌，数量

（如有更多，请另列表）

交

换

机

国内

品牌

数量

华为

十/\

H3C

其他：

1.品牌,数量

2.品牌，数量

（如有更多，请另列表）