赣州市交通局信息系统安全检查实施方案Word下载.docx

1、从2009年9月开始至2009年12月31日止，用4个月的时间开展交通信息系统安全检查工作。（二）检查准备及自查。成立安全检查领导小组，明确检查责任人，并参照本实施方案对检查工作进行安排部署并开始自查。同时，按照要求认真填写基本信息调查表和安全状况调查表，并由主管领导签字并加盖单位公章。（三）分析总结。根据自查情况，各单位系统分析信息系统的安全状况和安全隐患，查找问题产生的原因，11月底前上报自查报告和附表1、2。（四）问题整改。对检查过程中发现的安全问题，短时间内能完成的要及时整改，不能在短时间内整改的要制订相应整改计划，在一个月内完成整改，并提交整改报告。（五）检查实施。将组织对各单位信息

2、安全检查整改工作进行抽查。重点检查安全检查领导机构是否完善，责任落实是否到位，基本信息调查表和安全状况调查表是否如实填写等。五、具体要求（一）市交通系统单位要把政府信息安全检查工作列入重要议事日程，加强组织领导，明确责任，落实人员和经费，保证检查工作顺利进行。为保证此项工作的顺利开展，市局成立“政府信息系统检查领导小组”，组长为刘昌民调研员，成员杨北林、郇为民、范华荣、苏代焕、钟卫东、王庭基。下设办公室，办公室主任为钟卫东。请各单位于2009年11月30日前按文件要求将本单位信息安全检查情况书面报送“政府信息系统检查领导小组办公室”，并提交电子文档。联系人员和方式：（二）实施安全检查的机构及人

3、员要严格遵守工作纪律，周密制订应急预案，控制安全风险，加强保密措施，保证被检查信息系统安全正常运行。检查结果除按规定报送外，不得提供给其他单位和个人。对违反信息安全和保密管理规定造成的泄密事件和信息安全事故的，要依法追究当事人和有关负责人的责任。（三）建立信息安全检查工作责任制。凡开展信息安全检查工作，要明确一位检查负责人，检查负责人必须对检查结果负责，未能及时发现问题或漏洞导致安全事故的，要承担相应的责任。附：基本信息调查表表1 安全状况调查表表2表1：基本信息调查1. 单位基本情况单位名称（公章）单位地址联系人联系电话Email填表时间信息安全主管领导（签字）职务检查工作负责人2. 硬件资

4、产情况2.1. 网络设备情况网络设备名称型号物理位置所属网络区域IP地址/掩码/网关系统软件及版本端口类型及数量主要用途是否热备重要程度2.2. 安全设备情况安全设备名称型号（软件/硬件）系统及运行平台2.3. 服务器设备情况设备名称操作系统版本/补丁安装应用系统软件名称主要业务应用涉及数据2.4. 终端设备情况终端设备名称设备数量操作系统填写说明网络设备：路由器、网关、交换机等。 安全设备：防火墙、入侵检测系统、身份鉴别等。服务器设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等。终端设备：办公计算机、移动存储设备。重要程度：依据被检查机构数据所有者认为资产对业务影响的重要性填写

5、非常重要、重要、一般。3. 软件资产情况3.1. 系统软件情况系统软件名称版本 软件厂商硬件平台涉及应用系统3.2. 应用软件情况应用系统软件名称开发商硬件/软件平台C/S或B/S模式现有用户数量主要用户角色 填写说明 系统软件：操作系统、系统服务、中间件、数据库管理系统、开发系统等。应用软件：项目管理软件、网管软件、办公软件等。4. 人员资产情况.1、信息系统人员情况岗位名称岗位描述人数兼任人数 岗位名称： 1、数据录入员；2、软件开发员；3、桌面管理员；4、系统管理员； 5、安全管理员；6、数据库管理员；7、网络管理员； 8、质量管理员。5. 文档资产情况5.1.信息系统安全文档列表 文档

6、类别文档名称信息系统文档类别：信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档。6. 信息系统情况 6.1、系统网络拓扑图 网络结构图要求：1、应该标识出网络设备、服务器设备和主要终端设备及其名称；2、应该标识出服务器设备的IP地址；3、应该标识网络区域划分等情况；4、应该标识网络与外部的连接等情况；5、应该能够对照网络结构图说明所有业务流程和系统组成。如果一张图无法表示，可以将核心部分和接入部分分别画出，或以多张图表示。6.2、信息系统承载业务情况 信息系统名称业务描述业务处理信息类别用户数量用户分布范围是否通过第三方安全测评填写说明:1、用户分布范围栏填写全国、全省、本地区、本

7、单位 2、业务处理信息类别一栏填写：a） 国家秘密信息；b） 非密敏感信息 （机构或公民的专有信息） ；c） 可公开信息 3、重要程度栏填写非常重要、重要、一般 4、如通过测评，请填写时间和测评机构名称。6.3、信息系统网络结构情况网络区域名称主要业务和信息描述IP网段地址服务器数量与其连接的其它网络区域网络区域边界设备责任部门填写说明：1、网络区域主要包括： 服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等；2、重要程度填写非常重要、重要、一般。6.4、外联线路及设备端口（网络边界）情况外联线路名称（边界名称）连接对象接入线路种类传输速率（带宽）线路

8、接入设备承载主要业务应用备注6.5、业务数据情况数据名称数据使用者或管理者及其访问权限数据安全性要求数据总量及日增量涉及业务应用涉及存储系统与处理设备保密完整可用注:数据安全性要求每项填写高、中、底6.6、数据备份情况备份数据名介质类型备份周期保存期是否异地保存过期处理方法所属备份系统6.7、一年来信息安全事件情况 安全事件类别特别重大事件次数重大事件次数较大事件次数一般事件次数有害程序安全事件网络攻击事件信息破坏事件信息内容安全事件设备设施故障灾害性事件 其它事件表2：安全状况调查1. 安全管理机构 安全组织体系是否健全，管理职责是否明确，安全管理机构岗位设置、人员配备是否充分合理。序号检查

9、项 结果1.信息安全管理机构设置 以下发公文方式正式设置了信息安全管理工作的专门职能机构。 设立了信息安全管理工作的职能机构，但还不是专门的职能机构。 其它。2.信息安全管理职责分工情况 信息安全管理的各个方面职责有正式的书面分工，并明确具体的责任人。 有明确的职责分工，但责任人不明确。3.人员配备 配备一定数量的系统管理人员、网络管理人员、安全管理人员等; 安全管理人员不能兼任网络管理员、系统管理员、数据库管理员等。 配备一定数量的系统管理人员、网络管理人员、安全管理人员等，但安全管理人员兼任网络管理员、系统管理员、数据库管理员等。4.关键安全管理活动的授权和审批 定义关键安全管理活动的列表

10、，并有正式成文的审批程序，审批活动有完整的记录。 有正式成文的审批程序，但审批活动没有完整的记录。5.与外部组织沟通合作 与外部组织建立沟通合作机制，并形成正式文件和程序。 与外部组织仅进行了沟通合作的口头承诺。6.与组织机构内部沟通合作 各部门之间建立沟通合作机制，并形成正式文件和程序 。 各部门之间的沟通合作基于惯例，未形成正式文件和程序。2. 安全管理制度 安全策略及管理规章制度的完善性、可行性和科学性的有关规章制度的制定、发布、修订及执行情况。检查项1信息安全策略 明确信息安全策略，包括总体目标、范围、原则和安全框架等内容。 包括相关文件，但内容覆盖不全面。 其它2安全管理制度 安全管

11、理制度覆盖物理、网络、主机系统、数据、应用、建设和管理等层面的重要管理内容。 有安全管理制度，但不全而面。3操作规程 应对安全管理人员或操作人员执行的重要管理操作建立操作规程。 有操作规程，但不全面。4的论证和审定 组织相关人员进行正式的论证和审定，具备论证或审定结论。5的发布 文件发布具备明确的流程、方式和对象范围。 部分文件的发布不明确。6的维护 有正式的文件进行授权专门的部门或人员负责安全管理制度的制定、保存、销毁、版本控制，并定期评审与修订。 安全管理制度分散管理，缺乏定期修订。7执行情况 所有操作规程的执行都具备详细的记录文档。部分操作规程的执行都具备详细的记录文档。3. 人员安全管

12、理 人员的安全和保密意识教育、安全技能培训情况，重点、敏感岗位人员有无特殊管理措施以及对外来人员的管理情况。重点、敏感岗位人员录用和审查 为与信息安全密切相关的重点、敏感岗位人员制定特殊的录用要求。对被录用人的身份、背景和专业资格进行审查，对技术人员的技术技能进行考核，有严格的制度规定要求。保密协议的签署 与从事关键岗位的人员签署保密协议，包括保密范围、保密责任、违约责任、协议的有效期限和责任人签字等内容。人员离岗 规范人员离岗过程，有具体的离岗控制方法，及时终止离岗人员的所有访问权限并取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。安全意识教育 根据岗位要求进行有针对性的信息安全意识

13、培训。 未根据岗位要求进行有针对性的信息安全意识培训，仅开展全员安全意识教育。安全技能培训 制定了有针对性的安全技能培训计划，培训内容包含信息安全基础知识、岗位操作规程等，并认真实施，而且有培训记录。 安全技能培训针对性不强，效果不显著。在岗人员考核 定期对所有人员进行安全技能及安全知识的考核，对重点、敏感岗位的人员进行全面、严格的安全审查。 仅对重点、敏感岗位的人员进行全面、严格的安全审查，未普及到全员。惩戒措施 告知人员相关的安全责任和惩戒措施，并对违反违背安全策略和规定的人员进行惩戒。 有惩戒措施，但效果不佳。8外部人员访问管理 外部人员访问受控区域前得到授权或审批，批准后由专人全程陪同

14、或监督，并登记备案。 外部人员访问受控区域前得到授权或审批，但不能全程陪同或监督。4. 系统建设管理 关键资产采购时是否进行了安全性测评，对服务机构和人员的保密约束情况如何，在服务提供过程中是否采取了管控措施。信息系统开发过程中设计、开发和验收的管理情况。关键资产采购时进行安全性测评相关专门部门负责产品的采购，产品的选用符合国家的有关规定。资产采购之前进行选型测试，确定产品的候选范围，具有产品选型测试结果、候选产品名单审定记录或更新的候选产品名单，经过主管信息安全领导批准。 专门部门负责产品的采购，产品的选用符合国家的有关规定。 关键资产采购未进行安全性测试或未经过主管信息安全领导批准。服务机

15、构和人员的选择 在具有资格的服务机构中进行选择，通过内部和专家的评选。对服务机构的人员，审查其所具有的资格。 对服务机构的能力进行了详细的审查。 服务机构和人员的选择未经过审查和筛选。保密约束 签订的安全责任合同书或保密协议包含服务内容、保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等。定期考察其服务质量和保密情况。 签订的安全责任合同书或保密协议明确规定各项内容。但无监督考察机制。 未签订合约或签订了安全责任合同书或保密协议，但服务范围、安全责任等未明确规定。服务管控措施 制定了详细的服务审核要求和规范。对服务提供过程中的重要操作进行审核，并要求服务机构定期提供服务的情况汇总。每

16、半年组织内部检查，审查服务机构的服务质量。 定期进行检查。但缺乏规范的检查内容和要求。 未采用任何管控措施。系统安全方案制定 根据信息系统安全保障要求，书面形式加以描述，形成能指导安全系统建设、安全产品采购和使用的详细设计方案，并经过专家论证和审定。 形成能指导安全系统建设、安全产品采购和使用的概要设计方案，内部相关部门审定。 缺乏体系化的安全方案。信息系统开发 根据软件开发管理制度，各类开发文档齐全，信息系统均经过功能、安全测试，并形成测试报告。 开发文档不全面，仅在内部进行功能测试。 无开发文档，或外包开发，没有源代码或有源代码但未经过全面的安全测试。信息系统建设实施过程进度和质量控制 制

17、定详细的实施方案，并经过审定和批准，指定或授权专门的部门或人员按照实施方案的要求控制整个过程。 制定简要实施方案，指定或授权专门的部门或人员控制整个过程。 无实施方案或无专人管理实施过程。8.信息系统验收 制定验收方案，组织相关部门和相关人员对系统测试验收报告进行审定，详细记录验收结果，形成验收报告。重要的信息系统在验收前，组织专业的第三方测评机构进行测评。 组织了验收活动，但缺乏专业人员进行全面的验收测试。 未组织验收。5. 系统运维管理 设备、系统的操作和维护记录，变更管理，安全事件分析和报告；运行环境与开发环境的分离情况；安全审计、补丁升级管理、安全漏洞检测、网管、权限管理及密码管理等情

18、况，重点检查系统性能的监控措施及运行状况。结果 环境管理 有机房安全管理制度，并配备机房安全管理人员，对机房供配电等设施、设备和人员出入机房进行严格管理。 配备机房安全管理人员，对机房供配电等设施、设备和人员出入机房进行管理。2. 资产管理 资产清单记录内容与实际使用的计算机设备及其属性内容完全一致。 资产清单内容与实际使用的计算机设备及其属性内容，在数量上一致，但在部分属性记录上有偏差。介质管理 对介质的存放环境、使用、维护和销毁等方面采取严格的控制措施。 对介质的存放环境、使用、维护和销毁等方面采取了部分控制措施。设备管理 对信息系统相关的各种设备、线路等指定专门的部门或人员定期进行维护管

19、理。 对信息系统相关的各种设备、线路等指定专门的部门或人员不定期进行维护管理。生产环境与开发环境的分离 生产环境与开发环境隔离。系统监控 对通信线路、关键服务器、网络设备和应用软件的运行情况能够实时监测，并能及时分析报警日志。 对通信线路、关键服务器、网络设备和应用软件的运行情况能够不定期监测，并能定期分析报警日志。7.变更管理 系统发生重要变更前，以书面形式向主管领导申请，审批后实施变更，并在实施后向相关人员通告，相关记录保存完好。 系统发生重要变更前，向主管领导申请，审批后实施变更，并在实施后向相关人员通告。8. 补丁管理 补丁更新及时，并能在测试环境测试后安装到运行环境。 大部分计算机设备的补丁更新及时，只有少数由于应用软件代码不兼容而导致服务器补丁更新不及时。9.安全事件管理 制定安全事件报告和处置管理制度，能及时响应安全事故，并从安全事故中学习总结。 能及时响应安全事故。