唐山市路南区2011年网络与信息
安全检查方案
为做好2011年全区网络与信息安全检查工作,依据《唐山市2011年网络与信息安全保障工作要点》和《唐山市2011年网络与信息安全检查方案》,制定本方案。
一、检查目的
以保障日常特别是重要、敏感时期网络与信息安全为重点,对我区网络与信息安全工作进行全面检查。掌握网络与信息安全总体状况,发现和解决存在的主要问题,健全工作制度,完善技术措施,提高全区网络与信息安全防护能力。
二、检查原则
1、谁主管谁负责、谁运营谁负责、谁使用谁负责。
2、统筹安排、突出重点、明确责任、注重实效。
3、涉及国家秘密的网络与信息系统保密检查工作,按照国家保密管理规定执行。
三、检查范围
全区境内公用通信网、广播电视传输网等基础信息网络、公务内网和公务外网。
重点检查各单位履行职能提供支撑的信息系统,包括自行或委托其他机构运行维护管理的办公系统、业务系统、网站系统等。
四、检查组织领导
我区成立网络与信息安全专项检查组,由区工业和信息化局牵头,会同公安、保密、电子政务等单位相关人员组成,在区信息化工作领导小组的领导下,按照《检查办法》规定的职责开展检查。
各单位根据内部组成与职责,也要成立网络与信息安全检查组,负责本单位的检查工作。
五、检查时间、方式与情况报送
对照相关标准和要求,通过听汇报、做调查、搞测试、查记录、阅文件、验台账、看现场、问情况等形式,采取自查与抽查相结合,以自查为主的方式进行。
(一)自查
由各单位根据实际情况统筹安排并组织部署。
根据2011年8月2日唐信办[2011]7号的通知,唐山市路南区人民政府网存在信息泄漏问题、开放端口过多(达到了11个),评价为存在中风险;唐山市路南区商务之窗网存在信息泄漏问题,请上述两个网站主管部门于8月20日前对上述存在问题进行整改并提交整改报告。(信息泄露,指通过信息检查,可以发现Web系统的发布平台、操作系统、数据库版本和主机数量名称等其它信息)
2011年8月20日前,重点加强对主要门户网站和重点信息网站的安全检查,排查安全漏洞和隐患,强化网站安全防护措施。
2011年9月22日前,各乡街、各部门完成网络与信息安全自查和总结评估工作,将由主报告(见附件1)和附表(见附件2)等组成的检查情况报告,报送区信息化工作领导小组办公室。
(二)抽查
区网络与信息安全专项检查组在及时跟踪、掌握各单位自查情况的基础上,组织专业技术队伍,适时进行抽查,具体安排另行通知。
区信息化工作领导小组办公室在各单位自查情况综合分析后,形成检查报告,上报市信息化工作领导小组,并视情况通报检查结果。
六、重点检查内容
(一)网络与信息安全组织领导
1、网络与信息安全领导、管理机构设立及其工作开展情况
(1)组织制定网络与信息安全工作计划或工作方案情况;
(2)组织制定并落实网络与信息安全管理规章制度情况。
2、网络与信息安全责任人确立及其工作开展情况
(1)各单位网络与信息安全责任人确定情况;
(2)信息安全责任人开展督促、检查和指导等日常工作情况。
(二)网络与信息安全日常管理
1、人员管理
(1)岗位网络与信息安全和保密责任制落实,特别是重要岗位保密协议签订情况;
(2)人员离岗离职信息安全管理情况;
(3)外部人员访问机房等重要区域管理情况;
(4)违反制度规定造成信息安全事件的责任查处情况等。
2、资产管理
(1)资产管理制度建立及落实情况,资产台账是否清晰、账物是否相符;
(2)办公软件、应用软件等安装与使用情况,是否有与工作无关的软件;
(3)计算机及相关设备维修维护、报废销毁管理情况,是否有相应的登记记录等。
3、网络与信息技术外包服务安全管理。针对当前信息技术外包服务安全风险突出的现状,重点检查系统开发、系统集成、运行维护、灾难备份、数据处理、安全检测、系统托管等外包服务的安全管理。
(1)服务机构性质与背景情况,是否由外资机构提供服务;
(2)服务合同及安全保密协议签订情况,安全责任是否清晰;
(3)人员现场服务记录情况,是否有现场服务监管措施;
(4)系统维护方式,重点排查远程在线服务带来的安全风险;
(5)灾难备份服务情况,重点掌握境外设立灾难备份中心情况。
4、网络与信息技术产品使用管理。重点检查办公用软件、公文处理软件、信息安全设备、服务器、网络设备等使用产品的安全可控情况,特别是本年度新采购办公用计算机、公文处理软件、信息安全设备是否满足安全可控要求。
5、网络与信息安全经费保障。重点检查信息安全防护设施建设、运行、维护、检查及管理等费用是否纳入年度预算,以及本年度信息安全经费实际投入情况等。
(三)网络与信息安全防护管理
1、网络边界防护管理。查看系统总体网络架构、子系统分布、终端节点、区域划分及边界防护措施等情况。
(1)网络分区分域合理性;
(2)安全防护设备策略配置有效性;
(3)互联网接入情况,是否有访问互联网的安全控制措施,是否留存互联网访问日志并定期进行分析。
2、信息系统安全管理。
(1)服务器安全防护。重点检查服务器上应用、服务、端口以及系统补丁等情况,是否关闭了不必要的应用、服务、端口;账户口令强度和更新情况;病毒木马防护情况,是否使用技术工具定期进行漏洞扫描、病毒木马检测;
(2)网络设备防护。重点检查网络设备安全策略配置的有效性;账户口令强度和更新情况;是否使用技术工具定期进行漏洞扫描;
(3)信息安全设备部署及使用。重点检查防病毒、防火墙、入侵检测、安全审计等安全设备部署及使用情况,以及安全策略配置的有效性。
3、门户网站安全管理。以防攻击、防挂马、防篡改、防瘫痪、防窃密为目标,对门户网站安全防护情况进行全面检查。
(1)系统管理账户和口令,清理无关账户,防止出现空口令、弱口令和默认口令;
(2)服务器补丁更新情况,关闭不必要的端口,停止不必要的服务和应用,删除不必要的链接和插件;
(3)网站目录结构,删除临时文件,防止敏感信息泄露;
(4)信息发布审核制度建立及落实情况;
(5)是否使用技术工具定期进行漏洞扫描、木马检测。
4、电子邮箱安全管理。
(1)邮箱使用情况,是否有非本单位人员特别是无关人员使用;
(2)账户口令强度及更新情况,是否使用技术措施控制和管理口令,口令强度是否符合要求,是否定期更新。
5、终端计算机安全管理。
(1)是否采取集中安全管理措施;
(2)账户口令强度和更新情况;
(3)接入互联网安全控制措施(如实名接入认证、对计算机IP和MAC地址进行绑定等)
(4)是否使用技术工具定期进行漏洞扫描、病毒木马检测;
(5)在非涉密信息系统和涉密信息系统间混用情况;
(6)使用非涉密计算机处理涉密信息情况。
6、移动存储设备安全管理。
(1)是否采取集中安全管理措施;
(2)是否配备必要的电子消磁或销毁设备;
(3)在非涉密信息系统和涉密信息系统间混用情况。
7、电子签名与电子认证应用情况
(1)是否应用电子签名(含机构证书、个人证书、设备证书等);
(2)如已使用电子签名,使用数量和电子认证服务提供商情况;
(3)冀办发〔2010〕35号文件,即《中共河北省委办公厅关于印发<河北省电子认证服务管理办法(试行)>的通知》贯彻落实情况。
(四)信息安全应急管理
1、应急预案。重点检查信息安全应急预案制定、修订、备案及宣贯培训情况。
2、应急演练。重点检查信息安全应急演练情况;已开展演练的,查看演练文档、记录(包括演练计划、演练方案、演练记录、演练总结报告等)。
3、应急技术支援。重点检查是否明确了应急技术支援队伍;已明确的,检查其服务合同及安全保密协议签订情况,了解掌握应急技术支援队伍基本情况以及开展的技术支援活动。
4、灾难备份。主要检查重要数据和重要信息系统的备份情况;对采用社会第三方灾难备份服务的,检查其服务合同及安全保密协议签订情况,了解掌握灾难备份服务设施运维安全管理情况。
5、信息安全应急处置。重点检查本年度发生的信息安全事件及处置情况;发生过重大信息安全事件的,检查是否进行了及时处置,是否按照要求上报和通报。
(五)信息安全等级保护工作
1、按照《信息安全等级保护管理办法》规定开展信息安全等级保护工作情况;
2、信息系统是否定级、定级是否准确,是否向公安机关备案,是否取得备案证明等情况;
3、信息安全整改规划和方案,按照国家标准或行业标准建设安全设施,落实安全措施等情况。
4、按照《信息安全安全等级保护管理办法》规定开展等级测评,依据等级测评结果制定整改措施等情况。
(六)信息安全教育培训
重点检查信息安全和保密形势教育及警示教育情况,领导干部和机关工作人员参加信息安全基本技能培训情况,信息安全管理人员和技术人员参加信息安全专业培训情况等。
(七)信息安全检查工作
1、上一年度发现问题的整改情况。
(1)制定的整改计划及采取的整改措施;
(2)整改效果以及是否开展了进一步的信息安全风险评估;
2、本年度检查工作开展情况。
(1)检查工作责任制建立情况,检查工作经费,特别是需要经费开支较大的单位和部门的工作经费落实情况;
(2)检查工作方案制定及组织实施情况;
(3)采取的安全保密和风险控制措施,检查人员、有关文档和数据的安全保密管理情况。
3、安全技术检测。组织技术力量,使用必要的技术工具,对服务器、终端计算机、网络设备以及门户网站等信息系统进行安全检测,排查病毒木马、安全漏洞等。
七、有关要求
(一)加强组织领导
要完善检查工作机制,明确责任,落实经费,确保效果。对发现的问题,应分析研究,及时整改,如实汇报。完整准确填写《2011年网络与信息安全检查情况报告表》,认真撰写、及时上报检查报告。
(二)强化安全保密和风险控制
要加强纪律教育和执纪情况检查。加强对检查活动、检查人员以及相关文档和数据的安全保密管理,对重点设备技术检测的监督,对接入的检测设备的风险控制,周密制定检查工作应急预案,确保被检查信息系统的正常运行。
(三)加大对委托机构的监管力度
各单位可组织所属信息中心等单位协助开展检查工作,也可根据需要委托省信息安全测评中心、国家保密局安全保密测评中心河北分中心等具有相关资质的外部专业机构协助开展技术检测。对参与技术检测的外部专业机构,事先必须审核其检查资格,满足受委托技术检测机构必备条件(见附件3),并于检查前将委托机构资质等材料报区网络与信息安全领导小组办公室备案;必须与其签订工作协议明确基本义务(见附件4)和有关要求;必须与委托机构及人员签订安全保密协议明确安全保密责任和义务。
(四)准确及时报送情况
报送材料包括电子文档和加盖公章的纸质文档两种形式,报送区工业和信息化局。2011年网络与信息安全检查情况报告编写参考提纲、检查情况报告表可从www.ii.gov.cn网站 “信息安全――文件发布”子栏目下载,涉密材料按涉密要求办理。
联系方式:刘一宁 3728133传真3728132
电子邮箱:lunangongcuju@163.com
附件:1、2011年网络与信息安全检查情况报告编写参考提纲
附件1:
2011年网络与信息安全检查情况报告
编写参考提纲
一、网络与信息安全总体情况
(一)网络与信息安全状况总体评价
概述本单位网络与信息安全工作情况,与上一年度相比网络与信息安全工作取得的新进展,对本本单位网络与信息安全状况的总体评价。
(二)2011年网络与信息安全主要工作情况
对照《唐山市路南区2011年网络与信息安全检查方案》要求,逐项描述本单位2011年的在网络与信息安全组织领导、日常管理、防护管理、应急管理、等级保护、教育培训、检查督导等方面工作开展情况。
二、网络与信息安全自查发现的主要问题及整改情况
概述2010年度安全检查发现问题的整改情况。详述本年度安全检查特别是技术检测结果,总结分析本单位在安全管理、技术防护等方面存在的主要问题和薄弱环节,以及针对这些问题的整改措施或整改计划。
三、安全检查工作的经验总结和相关意见建议
本单位安全检查工作的经验体会,对我区网络与信息安全检查工作的意见,对全区网络与信息安全保障工作的建议。
本文来源:https://www.2haoxitong.net/k/doc/b9273cd23186bceb19e8bbe2.html
文档为doc格式