信息安全工作方案信息安全工作方案信息安全工作方案一、工作目的按照《云南省工业和信息化委员会关于开展201X年度云南省政府信息系统安全检查工作的通知》要求,根据《国务院办公厅关于加强政府信息安全和保密管理工作的通知》、《国务院办公厅关于印发政府信息系统安全检查办法的通知》以及《云南省政府办公厅关于印发政府信息系统安全检查实施办法的通知》、《201X年度云南省政府信息系统安全检查指南》、《昆明市人民政府办公厅关于印发昆明市政府信息系统安全检查工作方案的通知》精神,坚持谁主管谁负责,谁运行谁负责、谁使用谁负责的原则,开展201X年度石林彝族自治县人民政府信息系统安全检查工作,贯彻落实国家对于信息安全工作的各项要求,在全县范围内对各乡镇、各部门信息系统安全工作进行全面检查,掌握我县党政信息系统安全状况,发现存在的主要问题和薄弱环节,完善信息安全制度,加强安全防护措施,提高信息安全水平。
二、组织机构成立石林彝族自治县网络信息安全检查领导小组(以下简称领导小组)。
组长:和加卫(县人民政府副县长)副组长:段圳宗(县信息产业办副主任)成员:雷振涛(县政府办副主任)李学(县国家保密局局长)张家友(县公安局网监大队大队长)张波(县信息产业办)领导小组下设办公室在县信息产业办,负责组织实施本次安全检查工作,由段圳宗同志兼任办公室主任,办公室工作人员从领导小组成员单位抽调。
三、具体工作(一)检查范围:各乡镇人民政府,县直各部委办局在内外网运行的办公系统、业务系统、网站系统等。
各乡镇、各部门的重要业务系统、门户网站是检查重点。
(二)按照《政府信息系统安全检查实施办法》、《201X年度云南省政府信息系统安全检查指南》(附件一),请各乡镇、各单位对照进行自检,并形成书面材料(附电子文档),填写《201X年石林彝族自治县人民政府信息系统安全检查报告表》(附件二、三)盖章并附电子文档,于201X年6月13日前一并报领导小组办公室。
(三)针对当前政府信息系统存在的薄弱环节,按照《云南省政府信息系统安全检查实施办法》要求,重点检查以下内容:1.信息安全组织机构。
2.日常信息安全管理。
3.等级保护与风险评估。
4.建设防范手段建设。
5.应急管理工作开展。
6.信息技术产品和信息安全产品使用。
7.信息安全服务。
8.信息安全教育培训。
9.信息安全经费保障。
10.安全隐患排除及整改。
(四)领导小组对县重点部门的网络信息安全进行现场抽查。
(五)201X年6月中下旬接受市网络信息安全检查工作组到石林检查,具体检查单位根据市检查组通知临时确定。
(六)201X年9月根据我县的信息安全检查结果,对检查中发现的问题,将按照《政府信息系统安全检查办法》的规定,责令相关部门限期整改,并追究有关人员的责任。
(七)自201X年10月起,各乡镇、各单位开展201X年下半年信息安全检查工作。
在上半年工作的基础上,进行自评、自查并形成书面材料(附电子文档),填写《201X年度石林彝族自治县政府信息系统安全检查报告表》(附件二、三)盖章并附电子文档,于201X年10月15日前一并报领导小组办公室。
四、工作要求各乡镇、各部门要把政府信息系统安全检查工作列入重要议事日程,加强领导,明确检查责任,落实专职的检查人员和经费,保证检查工作顺利进行。
要求所有参与检查的人员必须严格按照《云南省政府信息系统安全检查实施办法》和《201X年度云南省政府信息系统安全检查指南》要求开展工作,要特别强调工作中注意信息安全和保密。
涉及国家秘密的信息系统保密检查工作,按照国家保密管理规定执行。
附件:1.201X年度云南省政府信息系统安全检查指南2.201X年石林彝族自治县人民政府信息系统安全检查情况报告表3.201X年石林彝族自治县人民政府信息系统安全检查情况报告表附件1201X年度云南省政府信息系统安全检查指南为指导规范201X年度云南省政府信息系统安全检查工作,依据《国务院办公厅关于印发政府信息系统安全检查办法的通知》(以下简称《检查办法》)等文件,参照国家信息安全技术标准规范,总结201X年度政府信息系统安全检查工作,制定本指南。
一、检查目的依据国家及我省有关政策规定,在201X年12月开展政府信息系统安全检查工作基础上,对各部门信息安全工作进行全面检查,了解掌握政府信息系统安全总体状况,发现存在的主要问题和薄弱环节,完善信息安全管理制度,加强安全防护措施,提高信息安全工作水平。
二、检查原则坚持谁主管谁负责、谁运行谁负责、谁使用谁负责的原则,统筹安排、突出重点、明确责任、注重实效。
各部门自行组织检查与工业和信息化委员会会同有关部门统一组织抽查相结合。
部门管理的全国性信息系统安全检查工作,由主管部门统一组织部署。
三、检查范围本指南所称政府信息系统安全检查,是指依据国家有关政策规定,参照国家信息安全技术标准规范,对政府信息系统安全工作进行检测评估、查找隐患、堵塞漏洞、规范管理、完善措施、落实整改、通报情况的过程,包括进行信息安全风险评估、安全检测、等级测评等。
政府信息系统安全检查的范围是为各部门履行职能提供支撑的信息系统,包括自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、网站系统等。
各部门的重要业务系统、门户网站是检查重点。
涉及国家秘密的信息系统保密检查工作,按照国家保密管理规定执行。
四、检查依据(一)政策文件1.《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)2.《国务院办公厅关于印发政府信息系统安全检查办法的通知》(国办发〔201X〕28号)3.《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》(国办发〔201X〕17号)4.《国务院办公厅关于印发国家网络与信息安全事件应急预案的通知》(国办函〔201X〕168号)5.《关于加强党政机关计算机信息系统安全和保密管理的若干规定》(国保发〔201X〕13号)6.云南省网络与信息安全协调小组《关于印发加强党政机关信息系统安全和保密管理工作意见的通知》云信安发〔201X〕2号7.其他有关政策规定(二)技术标准1.《信息安全风险评估规范》(GBT20984-201X)2.《信息安全风险管理指南》(GBZ24364-201X)3.《信息系统安全等级保护基本要求》(GBT22239-201X)4.《信息安全管理体系要求》(GBT22080-201X)5.《信息安全管理实用规则》(GBT22081-201X)6.《信息系统安全管理要求》(GBT20269-2006)7.《信息安全事件分类分级指南》(GBZ20986-201X)8.《信息安全事件管理指南》(GBZ20985-201X)9.《信息系统灾难恢复规范》(GBT20988-201X)10.《信息安全应急响应计划规范》(GBT24363-201X)11.其他有关技术标准五、重点检查内容(一)信息安全组织机构检查信息安全工作主管领导、信息安全管理机构、各内设机构信息安全员等设置情况。
按照《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》要求,各部门应明确一名副职领导主管信息安全工作,应指定一个专门机构承担信息安全管理工作,各内设机构应指定一名专职或兼职信息安全员。
(二)日常信息安全管理1.人员管理。
查验相关文档、文件、记录等,检查信息安全和保密责任制建立及落实情况,人员离岗离职信息安全管理情况,外部人员访问机房等重要区域管理情况,违反制度规定造成信息安全事件的责任查处情况等。
2.资产管理。
查验相关文档、台账、记录等,检查资产管理制度建立及落实情况,办公软件、应用软件等安装与使用情况,计算机及相关设备维修维护管理、存储设备报废销毁管理情况等。
3.运维管理。
查阅相关文档和记录,检查信息系统运营和使用权限管理、重要变更审批备案、日常运维操作管理、安全日志定期备份和分析等情况。
对于委托外单位运行管理的,应查看服务合同和安全保密协议等。
(三)等级保护与风险评估1.等级保护。
检查信息安全等级保护有关文件要求的落实情况。
通过查看等级保护定级备案、等级测评报告等相关文档,检查信息系统定级、测评、整改等情况。
2.风险评估。
检查信息安全风险评估有关文件要求的落实情况。
通过查看风险评估报告等,检查风险评估工作的开展情况。
(四)技术防护手段建设1.网络边界安全防护。
检查系统总体网络架构、子系统分布、终端节点、区域划分及边界防护、网络管理等情况;互联网接入情况;终端接入互联网时是否有安全信息提示措施等。
2.信息安全产品部署及使用。
检查防火墙、入侵检测、安全审计、病毒防护等信息安全产品部署及使用情况,以及信息安全产品策略配置有效性等。
3.服务器安全防护。
检查服务器上应用、服务、端口、链接以及系统补丁等情况,是否关闭了不必要的应用、服务、端口、链接;账号口令强度和更新情况;病毒木马防护措施,是否定期进行漏洞扫描、病毒木马检测等。
4.网络设备安全防护。
检查安全配置有效性;账号口令强度和更新情况;是否定期进行漏洞扫描等。
5.终端计算机和移动存储设备安全防护。
检查终端计算机是否采取集中安全管理措施;计算机账号口令强度和更新情况;终端计算机接入互联网安全控制措施(如实名接入、对计算机IP和MAC地址进行绑定、指定固定上网IP地址等);是否安装病毒防护软件,定期进行漏洞扫描、病毒木马检测;是否在非涉密和涉密信息系统间混用了计算机和移动存储设备,是否使用了非涉密计算机处理涉密信息等。
6.门户网站安全防护。
检查网站信息发布审批制度建立及落实情况;边界防护、抗拒绝服务攻击、网页防篡改等安全防护设备的部署情况,以及安全配置策略的有效性;是否定期进行漏洞扫描、木马检测等。
7.密码技术防护。
检查采用密码技术对信息系统、终端计算机、电子文档等进行保护的情况,使用的密码技术产品及含有密码技术的信息技术产品是否符合国家密码管理规定。
8.网络信任措施。
检查采用数字证书方式实现身份认证和授权管理的情况,使用的数字证书是否符合国家电子认证服务管理规定。
(五)应急管理工作开展1.应急预案。
检查《云南省网络与信息安全事件应急预案》落实情况,是否指定了本部门信息安全应急预案,是否及时修订,是否组织开展了相应的宣贯培训。
2.应急演练。
检查是否按照要求开展了信息安全应急演练。
对于已开展演练的,应检查演练相关文档(包括演练组织单位、参与部门、演练责任人、演练时间、演练内容等)。
3.应急技术支援队伍。
检查是否按照要求明确了应急技术支援队伍。
对于已明确的,应检查签订的合同和安全保密协议,掌握应急技术支援队伍的基本情况以及开展的应急技术支援活动等。
4.灾难备份。
检查是否根据实际需要对重要数据和信息系统进行了灾难备份。
对于采用社会第三方灾难备份服务的,应检查签订的合同和安全保密协议以及灾难备份服务的运维情况等。