自治区重点领域信息安全.docx

1、自治区重点领域信息安全2014年自治区重点领域信息安全检查工作方案一、 检查目的通过开展信息安全检查，以查促建、以查促管、以查促改、以查促防，增强安全意识，落实安全责任，深入分析安全风险，系统评估安全状况，全面排查安全隐患，进一步健全安全管理制度，完善安全防护措施，提升自主可控水平和安全防护能力，预防和减少网络安全事件的发生，切实保障我区重要网络与信息系统的安全稳定运行。二、检查范围信息安全检查的范围包括政府部门，金融、能源、通信、交通、广播电视、国防军工、医疗卫生、教育、水利、环境保护、钢铁、有色、化工、装备制造等重点行业，以及城市轨道交通、供水供气供热等市政领域。涉及国家秘密的信息系统安全

2、检查，按照国家保密管理规定和标准执行。三、检查内容（一）信息安全管理情况按照国家信息安全政策和标准规范要求，建立健全信息安全管理规章制度及制度落实情况。重点检查信息安全主管领导、管理机构和工作人员履职情况，信息安全责任制落实及事故责任追究情况，人员、资产、采购、外包服务等日常安全管理情况，信息安全经费保障情况等。（二）技术防护情况网络与信息系统防病毒、防攻击、防篡改、防瘫痪、防泄密等技术措施及有效性。重点检查事关国家安全和社会稳定，对地区、部门或行业正常生产生活具有较大影响的重要网络与信息系统（含工业控制系统）的安全防护情况，包括技术防护体系建立情况；网络边界防护措施，不同网络或信息系统之间安

3、全隔离措施，互联网接入安全防护措施，无线局域网安全防护策略等；服务器、网络设备、安全设备等安全策略配置及有效性，应用系统安全功能配置及有效性；终端计算机、移动存储介质安全防护措施；重要数据传输、存储的安全防护措施等。（三）应急工作情况按照自治区网络与信息安全事件应急预案要求，建立健全信息安全应急工作机制情况。重点检查信息安全事件应急预案制修订情况，应急技术支撑队伍建设情况，特别是应急预案演练情况；重大信息安全事件报告及处置情况以及重要数据和业务系统的灾备情况。（四）安全教育培训情况重点检查信息安全和保密形势宣传教育、领导干部和各级人员信息安全技能培训、信息安全管理和技术人员专业培训情况等。（五

4、）Windows XP 停止安全服务应对工作情况重点检查Windows XP 使用情况，安全保护方案制定情况，安全防护产品部署情况，采取白名单、卸载与工作无关的应用程序、关闭不必要的服务和端口等安全措施情况，推广国产操作系统与应用软件的工作落实情况等。（六）数据泄露及系统被控情况重点检查数据中心及使用的云计算服务设施是否设在境外，采用系统设计开发、系统集成、运行维护、数据处理、数据备份、灾难恢复、系统托管、安全测评等外包服务过程中数据是否被提交给境外机构，系统是否被境外机构远程控制等情况。（七）安全问题整改情况重点检查以往信息安全检查中发现问题的整改情况，包括整改措施、整改效果及复查情况，以及

5、类似问题的排查情况等，分析安全威胁和安全风险，进一步评估总体安全状况。四、检查方式按照“谁主管谁负责、谁运行谁负责”的原则，信息安全检查工作以各地、州、市、各部门、各有关重点行业自查为主。同时，自治区网络与信息安全领导小组办公室会同相关行业主管或监管部门组织专业技术队伍对部分重点单位和重要系统进行安全抽查。五、自查工作各地、州、市工业和信息化主管部门结合实际，统筹安排本地区政府部门以及城市轨道交通、供水供气供热等市政领域信息安全自查工作。自治区各部门结合实际组织开展本部门安全自查工作。有关重点行业自查工作由其行业主管或监管部门统一组织实施（重点行业信息安全主管或监管部门见附件1）。各地、州、市

6、、各部门和有关重点行业参照本工作方案，结合实际组织制定信息安全检查实施方案，印发检查部署文件，明确自查范围、责任单位、工作安排及工作要求等相关内容，并认真组织实施。可组织开展抽查，督促自查单位开展自查工作，了解掌握自查工作进展情况，采取技术手段深入发现安全问题和薄弱环节，并及时研究解决检查工作中遇到的重大问题。自查工作完成后，各地、州、市、各部门和有关重点行业要对检查情况进行全面汇总总结，填写检查结果统计表，认真梳理存在的主要问题，分析评估安全风险，编写检查总结报告。六、抽查工作（一）抽查任务自治区网络与信息安全领导小组办公室组织自治区经信委、公安厅、安全厅、机要局、保密局、质检局等部门及所属

7、专业技术队伍进行抽查，查找安全漏洞和隐患，评估安全防护能力，研究提出改进和加强安全保障的措施建议。（二）抽查重点内容1. 现场抽查内容。重点检查被抽查单位自查工作组织开展情况，2013年安全检查发现问题的整改情况，网络架构、安全区域划分的合理性，网络边界防护措施的完备性，服务器、网络设备、安全设备等的安全策略配置、应用系统安全功能配置及其有效性，重要数据传输、存储的安全防护措施。专业技术队伍应对重要设备和应用系统进行安全技术检测，深入挖掘安全漏洞，采用人工方式对安全漏洞的可利用性进行验证，帮助排查安全隐患，分析评估安全风险。2. 外部检测内容。通过互联网对被抽查的网站系统、业务系统等的安全风险

8、状况进行外部检测，包括安全漏洞、网页篡改、恶意代码情况以及近年来安全检查中发现问题的整改情况等，验证被抽查系统安全防护措施的有效性。七、时间安排（一）自查时间安排检查工作自本工作方案印发之日起启动。2014年10月30日前，各部门和有关重点行业将检查总结报告连同信息安全检查结果报告表（附件2）报送自治区网络与信息安全领导小组办公室,各地、州、市于11月10日前完成报送。各地区检查总结报告由该地区工业和信息化主管部门负责汇总报送；有关重点行业检查情况由行业主管或监管部门负责汇总报送。附件3供各地、州、市、各部门开展信息安全检查（自查）工作时参考。（二）抽查时间安排抽查工作自10月启动。八、信息报

9、送各地、州、市、各部门和有关重点行业在自查中发现重大安全隐患，或出现因检查工作导致的跨地区、跨部门或跨行业安全问题时，应及时向自治区网络与信息安全领导小组办公室报告。九、有关工作要求（一）加强领导，落实责任各地、州、市、各部门和有关重点行业要把信息安全检查工作列入重要议事日程，加强组织领导，明确检查责任，建立并落实信息安全检查工作责任制，明确检查工作负责人、检查机构和检查人员，安排并落实检查工作经费，保证检查工作顺利进行。（二）认真实施，确保成效各地、州、市、各部门和有关重点行业要结合实际，周密制定检查实施方案，全面深入查找安全问题和安全隐患，切实做到不走过场、不漏环节、不留死角。对发现的问题

10、要及时整改，举一反三，标本兼治，因条件不具备暂时不能整改的问题应采取临时防范措施。（三）控制风险，强化保密各部门、各单位要强化风险控制，有针对性地制定检查工作应急预案，确保被检查系统的正常运行。要加强对检查活动、检查人员及相关文档和数据的安全保密管理。委托外部机构进行安全检测，要对其机构背景、技术能力、服务水平、人员资质及安全保密管理措施等进行严格审查，并明确外部机构及人员的安全责任。附件：1. 重点行业信息安全主管或监管部门列表2. 信息安全检查结果报告表（报送表）3. 信息安全检查统计表（参考表）附件1：重点行业信息安全主管或监管部门列表序号重点行业信息安全主管/监管部门1（金融）银行人民

11、银行乌鲁木齐中心支行2证券证监局3保险保监局4（交通）交通运输（公路、航运）交通运输厅5铁路铁路局6民航民航局7广播电视广电局8医疗卫生卫生厅9教育教育厅10通信（电信网、互联网）通信管理局11水利水利厅12环境保护环保厅13石油石化经信委14电力15钢铁、有色、化工16国防军工17装备制造附件2：信息安全检查结果报告表（报送表）一、部门基本情况部门名称部门信息安全管理机构名称： 负责人： 职务： 联系人： 办公电话： 移动电话： 二、部门信息安全管理情况培训情况本年度开展的信息安全培训次数： 培训人数： 应急工作情况部门网络安全应急预案： 已建立 本年度进行过修订 未修订 未建立本年度开展部

12、门网络安全应急演练次数： 三、重要信息系统安全检查情况基本情况重要信息系统总数： （按服务对象进行统计）1. 面向社会公众提供服务的系统数量： 2. 不面向社会公众提供服务的系统数量： （按联网情况进行统计）1. 通过互联网可直接访问的系统数量： 2. 通过互联网不能直接访问的系统数量： 其中，与互联网物理隔离的系统数量： （按数据集中情况进行统计）1. 全国数据集中的系统数量： 2. 省级数据集中的系统数量： 3. 未进行数据集中的系统数量： （按业务连续性进行统计）1. 可容忍中断时间小于30分钟的系统数量： 2. 可容忍中断时间大于30分钟、小于12小时的系统数量： 3. 可容忍中断时间

13、大于12小时的系统数量： （按灾备情况进行统计）1. 进行系统级灾备的系统数量： 2. 仅对数据进行灾备的系统数量： 3. 无灾备的系统数量： 系统构成情况主要硬件和软件服务器路由器交换机防火墙磁盘阵列磁带库操作系统数据库国内品牌数量（台/套）国外品牌数量（台/套）在用业务应用软件系统1. 自主设计开发（不含二次开发）的套数： 2. 委托国内厂商开发的套数： 委托国外厂商开发的套数： 3. 直接采购国内厂商产品的套数： 直接采购国外厂商产品的套数： 四、本年度信息安全事件信息安全事件情况特别重大信息安全事件次数： 重大信息安全事件次数： 较大信息安全事件次数： 一般信息安全事件次数： 附件3：

14、信息安全检查统计表（参考表）一、部门基本情况部门名称分管信息安全工作的领导（本部门正/副职领导）姓名：_职务：_信息安全管理机构（如办公室）名称：_负责人：_ 职务：_联系人：_ 电话：_信息安全专职工作处室（如信息安全处）名称：_负责人：_ 电话：_二、信息系统基本情况信息系统情况信息系统总数： 个提供公共服务、开展社会管理和市场监管的系统数量： 个其中，重要系统数量： 个本年度经过风险评估（含安全测评、等级测评）的系统数量：_个系统定级情况第一级： 个 第二级： 个 第三级： 个第四级： 个 第五级： 个 未定级： 个三、日常信息安全管理情况人员管理重点岗位人员安全保密协议：全部签订 部分

15、签订 均未签订人员离岗离职安全管理规定：已制定 未制定外部人员访问机房等重要区域审批制度：已建立 未建立资产管理资产管理制度：已建立 未建立设备维修维护和报废管理： 已建立管理制度，且维修维护和报废记录完整 已建立管理制度，但维修维护和报废记录不完整 未建立管理制度四、信息安全防护情况网络边界安全防护互联网接入口总数： 个 其中：联通 接入口数量： 个 电信 接入口数量： 个 其他： 接入口数量： 个网络安全防护设备部署（可多选）： 防火墙 入侵检测设备 安全审计设备 防病毒网关 抗拒绝服务攻击设备 其它： 网络访问日志：留存日志 未留存日志安全防护设备策略：使用默认配置 根据应用自主配置无线

16、局域网安全防护办公区域无线局域网接入设备（无线路由器）数量： 个网络用途：访问互联网： 个 访问业务/办公网络： 个安全防护策略（可多选）：采取身份鉴别措施： 个 采取地址过滤措施： 个未设置： 个门户网站安全防护网页防篡改措施：采用 未采用漏洞扫描：定期扫描，周期 不定期 未进行信息发布管理：已建立审核制度，且审核记录完整 已建立审核制度，但审核记录不完整 未建立审核制度电子邮件安全防护邮箱注册：注册邮箱账号须经审批 任意注册使用账户口令防护：使用技术措施控制和管理口令强度 无口令强度限制技术措施终端计算机安全防护安全管理方式： 集中统一管理（可多选）规范软硬件安装 统一补丁升级 统一病毒防

17、护统一安全审计 对移动存储介质接入实施控制 分散管理接入互联网安全控制措施： 有控制措施（如实名接入、绑定计算机IP和MAC地址等） 无控制措施移动存储介质安全防护安全管理方式： 集中管理，统一登记、配发、收回、维修、报废、销毁 未采取集中管理方式电子信息保护：已配备信息消除和销毁设备 未配备信息消除和销毁设备五、信息安全应急工作情况信息安全应急预案已制定 本年度修订情况：修订 未修订未制定信息安全应急演练本年度演练时间 本年度未开展信息安全灾难备份重要数据：已备份，备份周期：实时，日，周，月，不定期未备份重要信息系统：已备份，备份周期：实时，日，周，月，不定期未备份应急技术支援队伍部门所属单

18、位 外部专业机构 无六、信息安全教育培训情况培训次数本年度开展信息安全教育培训的次数： 次培训人数本年度接受信息安全教育培训的人数： 人 占本部门总人数的比例： 专业培训本年度信息安全管理和技术人员参加专业培训： 人次七、信息技术产品应用情况服务器总台数： ，其中国产台数： 终端计算机（含笔记本）总台数： ，其中国产台数： 网络设备（路由器、交换机等）总台数： ，其中国产台数： 操作系统服务器操作系统情况：使用国产操作系统（如红旗Linux、麒麟等）的服务器台数： 使用国外操作系统（如Windows、HP-UNIX、Solaris、AIX等）的服务器台数： 终端计算机操作系统情况：使用国产操作

19、系统的计算机台数： 使用Windows操作系统的计算机台数： 使用其他操作系统的计算机台数： 数据库总套数： ，其中国产套数： 公文处理软件（终端计算机安装）安装国产公文处理软件的终端计算机台数： 安装国外公文处理软件的终端计算机台数： 信息安全产品防火墙等访问控制设备（不含终端软件防火墙）台数： 其中，国产台数： 安装国产防病毒产品的设备台数： 八、信息安全经费预算投入情况经费预算本年度信息安全经费预算额： 万元经费投入上一年度信息安全经费实际投入额： 万元九、本年度信息安全事件及技术检测情况信息安全事件情况门户网站受攻击情况本部门安全防护设备检测到的门户网站受攻击次数： 网页被篡改情况门户

20、网站网页被篡改（含内嵌恶意代码）次数： 重要系统中断情况重要系统异常中断时间： 小时重要系统异常中断造成的数据丢失量： MBGBTB重要系统异常中断造成的影响范围：社会公众 本部门 部分司局 其他技术检测情况渗透测试本部门进行过渗透测试的信息系统数量： 其中，可以成功控制的信息系统数量： 恶意代码检测结果进行过病毒木马等恶意代码检测的服务器台数： 其中，存在恶意代码的服务器台数： 进行过病毒木马等恶意代码检测的终端计算机台数： 其中，存在恶意代码的终端计算机台数： 安全漏洞检测结果进行过漏洞扫描的服务器台数： 其中，存在漏洞的服务器台数： 存在高风险漏洞的服务器台数： 进行过漏洞扫描的终端计算

21、机台数： 其中，存在漏洞的终端计算机台数： 存在高风险漏洞的终端计算机台数： 十、信息技术外包服务机构情况（包括参与技术检测的外部专业机构）外包服务机构1机构名称机构性质国有单位 民营企业 外资企业服务内容信息安全与保密协议已签订 未签订信息安全管理体系认证情况已通过认证认证机构： 未通过认证外包服务机构2机构名称机构性质国有单位 民营企业 外资企业服务内容信息安全与保密协议已签订 未签订信息安全管理体系认证情况已通过认证认证机构： 未通过认证外包服务机构3机构名称机构性质国有单位 民营企业 外资企业服务内容信息安全与保密协议已签订 未签订信息安全管理体系认证情况已通过认证认证机构： 未通过认证（如有3个以上外包机构，每个机构均应填写，可另附页）