2013年全区环境保护行业信息安全检查工作方案（可编辑）

2013年全区环境保护行业信息安全检查工作 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 （可编辑） 2013年全区环境保护行业信息安全检查工作方案 附件 2013年全区环境保护行业信息安全 检查工作方案 一、检查目的 通过开展常态化的信息安全检查,进一步落实信息安全责任,增强信息安全意识,认真查找突出问题和薄弱环节,全面排查安全隐患和安全漏洞,分析评估信息安全状况和防护水平,有针对性地采取管理和技术防护措施,促进安全防范水平和安全可控能力提升,预防和减少重大信息安全事件发生,切实保障信息安全。 二、检查范围 包括两个方面: 一是政府网站。包括环境保护厅,各地州市环境保护局,直属各事业单位政府网站定级备案和安全防护情况。 二是环保行业的重要网络与信息系统定级备案和安全防护情况。 三、检查内容 (一)信息安全管理情况。 按照国家信息安全政策和 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 规范要求,建立健全信息安全管理规章制度及落实情况。重点检查信息安全主管领导、管理机构和 工作人员履职情况,信息安全责任制落实及事故责任追究情况,人员、资产、采购、外包服务等日常安全管理情况,信息安全经费保障情况等。 (二)技术防护情况。 网络与信息系统防病毒、防攻击、防篡改、防瘫痪、防泄密等技术措施及有效性。重点检查事关国家安全和社会稳定,对地区、部门或行业正常生产生活具有较大影响的重要网络与信息系统(含工业控制系统)的安全防护情况,包括技术防护体系建立情况;网络边界防护措施,不同网络或信息系统之间安全隔离措施,互联网接入安全防护措施,无线局域网安全防护策略等;服务器、网络设备、安全设备等安全策略配置及有效性,应用系统安全功能配置及有效性;终端计算机、移动存储介质安全防护措施;重要数据传输、存储的安全防护措施等。 (三)应急工作情况。 按照国家网络与信息安全事件应急预案要求,建立健全信息安全应急工作机制情况。重点检查信息安全事件应急预案制修订情况,应急预案演练情况;应急技术支撑队伍、灾难备份与恢复措施建设情况,重大信息安全事件处置及查处情况等。 (四)安全教育培训情况。 重点检查信息安全和保密形势宣传教育、领导干部和各级人员信息安全技能培训、信息安全管理和技术人员专业培训情况等。 (五)安全问题整改情况。 重点检查以往信息安全检查中发现问题的整改情况,包括整改措施、整改效果及复查情况,以及类似问题的排查情况等,分析安全威胁和安全风险,进一步评估总体安全状况。 四、检查方式 按照“谁主管谁负责、谁运行谁负责”的原则,信息安全检查工作以各单位自查为主。同时,自治区经信委会同环境保护厅办公室组织专业技术队伍对部分重点单位和重要系统进行安全抽查。 五、安全自查 环境保护行业各地区、各部门参照本工作方案,结合实际组织制定信息安全检查实施方案,明确自查范围、责任单位、工作安排及工作要求等相关内容,并认真组织实施。可组织开展抽查,督促自查单位开展自查工作,了解掌握自查工作进展情况,采取技术手段深入发现安全问题和薄弱环节,并及时研究解决检查工作中遇到的重大问题。 自查工作完成后,各地州市环境保护局,厅机关各处室,直属各事业单位将要对检查情况进行全面汇总总结,填写检查结果统计表,认真梳理存在的主要问题,分析评估安全风险,编写检查总结报告。 六、安全抽查 (一)现场抽查内容。重点检查被抽查单位自查工作组织开展情况,2012年安全检查发现问题的整改情况,网络架构、安全区域划分的合理性,网络边界防护措施的完备性,服务器、网络设备、安全设备等的安全策略配置、应用系统安全功能配置及其有效性,重要数据 传输、存储的安全防护措施。专业技术队伍应对重要设备和应用系统进行安全技术检测,深入挖掘安全漏洞,采用人工方式对安全漏洞的可利用性进行验证,帮助排查安全隐患,分析评估安全风险。 (二)外部检测内容。通过互联网对被抽查的网站系统、业务系统等的安全风险状况进行外部检测,包括安全漏洞、网页篡改、恶意代码情况以及近年来安全检查中发现问题的整改情况等,验证被抽查系统安全防护措施的有效性。 七、自查时间安排 检查工作自本工作方案印发之日起启动。2013年9月20日前,各地州市环境保护局、厅机关各处室,直属各事业单位将检查总结报告连同检查结果统计表(附3、附4)报送环境保护厅办公室。 各地州市环境保护局负责本地区环保行业的检查、情况汇总和报送工作。 八、信息报送 (一)为便于了解掌握检查工作进展情况,沟通交流,各地州市环境保护局,厅机关各处室,直属各事业单位明确一名熟悉情况的干部作为联络员。自8月起,每月20日前将自查工作进展情况以邮件或传真方式发送环境保护部办公厅。 (二)各地州市环境保护局,厅机关各处室,直属各事业单位在自查中发现重大安全隐患,或出现因检查工作导致的跨地区、跨部门或跨行业安全问题时,应及时向环境保护厅办公室报告。 九、工作要求 (一)加强领导,落实责任。 要把信息安全检查工作列入重要议事日程,加强组织领导,明确检查责任,建立并落实信息安全检查工作责任制,明确检查工作负责人、检查机构和检查人员,安排并落实检查工作经费,保证检查工作顺利进行。 (二)注重源头,深入检查。 要全面细致开展检查工作,注重采用技术检测等手段,深入查找安全问题和隐患,确保检查工作不走过场、不漏环节、不留死角。要高度重视检查中发现的苗头性、趋势性问题,全面系统地分析研究解决,从源头上遏制和消除安全隐患。 (三)即查即改,确保成效。 对检查中发现的问题要及时整改,因条件不具备暂时不能整改的问题应采取临时防范措施,保证系统安全正常运行。环境保护厅办公室及时将检查中发现的问题通报给相关单位,督促相关单位组织风险研判并落实整改措施,对于逾期未进行整改的单位将予以通报。 (四)密切配合,加强指导。 环境保护厅监控与信息中心将配合办公室加强对检查工作的技术咨询和指导,不断提高检查工作的科学性和规范性。承担抽查任务的专业技术队伍和被抽查单位应加强沟通,做好配合工作。为保证抽查工作的顺利开展,请各被抽查单位积极配合,落实抽查所需的相关条件。 (五)控制风险,强化保密。 各地州市环境保护局,厅机关各处室,直属各事业单位要针对检查工作技术性强的特点,强化风险控制措施,周密制定应急预案,确保被检查信息系统的正常运行和重要数据安全。要高度重视保密工作,对检查中有关人员、相关文档和数据进行严格管理,确保检查数据和检查结果不被泄露。 (六)严格时间进度安排。 1.自查工作部署阶段。 8月10日-8月12日,工作部署,完成检查工作部署和动员工作。 2.基本情况自查阶段。 (1)8月15日前,各单位报送安全检查工作负责人和联络员名单。 (2)8月16日-9月5日,完成信息系统安全基本情况自查。 3.问题与风险分析。 9月6日-9月18日,汇总自查中发现的问题,对风险进行评估,根据发现的问题及时整改。 4.自查工作总结。 9月20日前,各单位必须上报信息安全检查结果统计表一、信息安全检查结果统计表二、自查情况总结报告和整改情况总结报告。 (七)信息上报方式。 本次检查工作各单位需提交信息安全检查结果统计表一(以 下简称表一)和信息安全检查结果统计表二(以下简称表二),表一和表二通过Word文档填写,并以电子邮件方式上报。自查总结报告和整改情况总结报告须以正式文件(函)的形式报送环境保护厅办公室,并以电子邮件方式报送电子文档;报送联络员名单电子邮件和传真方式均可。涉及秘密的信息不得通过邮件和传真的方式报送。 附件:1.信息安全自查工作进展月报告 2.环保行业信息安全自查操作指南 3.信息安全检查结果统计表一 4.信息安全检查结果统计表二 附件1 信息安全自查工作进展月报告 报送单位 (地区、部门、行业) 报送人联系方式 工作周期 月 日 ~ 月 日 一、检查工作进展情况 二、发现的重大问题及处置情况 三、其他情况 附件2 信息安全检查操作指南 二?一三年八月 目 录 1 概述 15 1.1 检查目的 15 1.2 检查工作流程 15 2 检查工作部署 16 2.1 制定检查方案 16 2.2 成立检查工作组 16 2.3 下达检查通知 16 3 信息系统基本情况梳理 16 3.1 基本信息梳理 16 3.2 系统构成情况梳理 17 4 日常工作情况检查 19 4.1 规章制度完整性检查 19 4.2 信息安全管理情况检查 19 4.2.1 组织管理情况检查 19 4.2.2 人员管理情况检查 20 4.2.3 资产管理情况检查 21 4.2.4 采购管理情况检查 22 4.2.5 外包服务管理情况检查 22 4.2.6 经费保障情况检查 24 4.3 安全技术防护情况检查 24 4.3.1 物理环境安全情况检查 24 4.3.2 网络边界安全防护情况检查 24 4.3.3 关键设备安全防护情况检查 25 4.3.4 应用系统安全防护情况检查 26 4.3.5 终端计算机安全防护情况检查 28 4.3.6 存储介质安全防护情况检查 29 4.3.7 重要数据安全防护情况检查 30 4.4 信息安全应急工作情况检查 30 4.5 信息安全教育培训情况检查 31 5 安全技术检测 31 5.1 设备安全检测 31 5.1.1 网络设备及安全设备安全检测 32 5.1.2 服务器安全检测 32 5.1.3 终端计算机安全检测 33 5.2 应用系统安全检测 33 6 检查总结整改 34 6.1 汇总检查结果 34 6.2 分析问题隐患 34 6.3 研究整改措施 34 6.4 编写总结报告 34 7 注意事项 34 7.1 认真做好总结 34 7.2 加强风险控制 34 7.3 加强保密管理 35 附1 信息安全检查总结报告参考格式 36 附2 参考文献 37 信息安全检查操作指南 为指导环境保护各部门开展信息安全检查工作,依据《国务院办 公厅关于印发政府信息系统安全检查办法的通知》(国办发?2009?28 号)、《国务院关于大力推进信息化发展和切实保障信息安全的若干意 见》(国发?2012?23号)、《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》(国办发?2012?102号)等文件精神,参照《信息安全技术 政府部门信息安全管理基本要求》(GB/T 29245-2012) 等国家信息安全技术标准规范,制定本指南。 本指南供各级环保部门开展信息安全检查(自查)工作时参考。其他单位也可参考本指南结合实际开展信息安全检查工作。 概述 检查目的 通过开展常态化的信息安全检查,进一步落实信息安全责任,增强人员信息安全意识,查找突出问题和薄弱环节,排查安全隐患和安全漏洞,分析评估信息安全状况和防护水平,有针对性地采取管理和技术防护措施,促进安全防范水平和安全可控能力提升,预防和减少重大信息安全事件的发生,切实保障信息安全。 检查工作流程 安全检查工作流程通常包括检查工作部署、信息系统基本情况梳理、日常工作情况检查、安全技术检测、检查总结整改等五个环节,如下图所示。 图1信息安全检查工作流程图 检查工作部署 检查工作部署通常包括制定检查方案、成立检查工作组、下达检查通知等具体工作。 制定检查方案 环境保护各部门根据《2013年环境保护行业信息安全检查工作方案》统一安排检查工作,结合工作实际,制定检查方案,并报本单位信息安全主管领导批准。 检查方案应当明确以下内容:(1)检查工作负责人、组织机构和具体实施机构;(2)检查范围和检查重点;(3)检查内容;(4)检查工作组织开展方式;(5)检查工作时间进度安排;(6)有关工作要求。 1. 关于检查范围。检查的范围通常包括本单位各内设机构,以及为本单位信息系统(包括办公系统、业务系统、网站系统等)提供运行维护支撑服务的下属单位。可根据本单位信息安全保障工作需要,将其他为本单位信息系统提供运维服务、对本单位信息系统安全可能产生重大影响的相关单位纳入检查范围。 2. 关于检查重点。在对各类信息系统进行全面检查的基础上,应突出重点,对事关国家安全和社会稳定,对地区、部门或行业正常生产生活具有较大影响的重要信息系统进行重点检查。 3. 关于重要信息系统,可根据本单位实际,参考以下标准进行判定: (1)关系国家安全和社会稳定。 (2)业务依赖度高。 (3)数据集中度高(全国或省级数据集中)。 (4)业务连续性要求高。 (5)系统关联性强(发生重大信息安全事件后,会对与其相连的其他系统造成较大影响,并产生连片连锁反应)。 (6)面向社会公众提供服务,用户数量大,覆盖范围广。 (7)灾备等级高(系统级灾备)。 成立检查工作组 本单位信息安全管理部门制定完成检查方案后,应及时成立检查工作组;组织开展培训,保证工作组成员熟悉检查方案,掌握检查内容、检查工具使用方法等。 工作组成员通常由信息安全管理及运维部门、信息化部门有关人员,相关业务部门中熟悉业务、具备信息安全知识的人员,以及本单位相关技术支撑机构的业务骨干等组成。 下达检查通知 本单位信息安全管理部门应以书面形式部署信息安全检查工作,明确检查时间、检查范围、检查内容、工作要求等具体事项。 信息系统基本情况梳理 对信息系统进行全面梳理,目的是及时掌握本单位信息系统基本情况,特别是变更情况,以便针对性地开展信息安全管理和防护工作。 基本信息梳理 查验信息系统规划设计方案、安全防护规划设计方案、网络拓扑图等相关文档,访谈信息系统管理人员与工作人员,了解掌握系统基本信息并记录结果(表1),包括: a)主要功能、部署位置、网络拓扑结构、服务对象、用户规模、业务周期、运行高峰期等; b)业务主管部门、运维机构、系统开发商和集成商、上线运行及 系统升级日期等; c)定级情况、数据集中情况、灾备情况等。 表1 系统基本信息梳理记录表(每个系统一张表) 编号 系统名称 主要功能 部署位置 网络拓扑结构 服务对象 用户规模 业务周期 业务主管部门 运维机构 系统开发商 系统集成商 上线运行及最近一次系统升级时间 定级情况 数据集中情况 灾备情况 系统构成情况梳理 主要硬件构成 重点梳理主要硬件设备类型、数量、生产商(品牌)情况,记录结果(表2)。 硬件设备类型主要有:服务器、路由器、交换机、防火墙、终端计算机、磁盘阵列、磁带库及其他主要安全设备。 表2 信息系统主要硬件构成梳理记录表 检查项 检查结果 服务器 品牌 浪潮 曙光 联想 方正 IBM HP DELL数量 其他: 1. 品牌 ,数量 2. 品牌 ,数量(如有更多,可另列表) 路由器 品牌 华为 中兴 H3C Cisco Juniper数量 其他: 1. 品牌 ,数量 2. 品牌 ,数量(如有更多,可另列表) 交换机 品牌 华为 中兴 H3C Cisco Juniper数量 其他: 1. 品牌 ,数量 2. 品牌 ,数量(如有更多,可另列表) 防火墙 1. 品牌 ,数量 2. 品牌 ,数量(如有更多,可另列表) 终端计算机(含笔记本) 品牌 联想 方正 长城 HP DELL 三星 索尼数量 其他: 1. 品牌 ,数量 2. 品牌 ,数量(如有更多,可另列表) 其 他 1. 设备类型: ,品牌 ,数量 2. 设备类型: ,品牌 ,数量 (如有更多,可另列表) 主要软件构成 重点梳理主要软件类型、套数、生产商(品牌)情况,记录结果(表3)。 软件类型主要有:操作系统、数据库、公文处理软件及主要业务应用系统。 表3 信息系统主要软件构成梳理记录表 检查项 检查结果 操作系统 品牌 红旗 麒麟 Windows RedHat HP-Unix AIX Solaris 数量其他: 1. 品牌 ,数量 2. 品牌 ,数量(如有更多,可另列表) 数据库 品牌 金仓 达梦 Oracle DB2 SQLServer数量 其他: 1. 品牌 ,数量 2. 品牌 ,数量(如有更多,可另列表) 公文处理软件 品牌数量 其 他 1. 设备类型: ,品牌 ,数量 2. 设备类型: ,品牌 ,数量 (如有更多,可另列表) 日常工作情况检查 信息安全日常工作情况检查通常包括规章制度完整性、信息安全管理、安全技术防护、信息安全应急、信息安全教育培训等方面情况 的检查。 规章制度完整性检查 要求 应建立健全信息安全相关 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 。 检查方式 文档查验。 检查方法 调阅信息安全管理相关制度文档,检查管理制度体系是否健全,即涵盖人员管理、资产管理、采购管理、外包管理、应急管理、教育培训等方面; 检查管理制度是否以正式文件等形式发布。 信息安全管理情况检查 组织管理情况检查 要求 应明确一名主管领导,负责本单位信息安全管理工作,根据国家法律法规有关要求,结合实际组织制定信息安全管理制度,完善技术防护措施,协调处理重大信息安全事件; 应指定一个机构,具体承担信息安全管理工作,负责组织落实信息安全管理制度和信息安全技术防护措施,开展信息安全教育培训和监督检查等; 各内设机构应指定一名专职或兼职信息安全员,负责日常信息安全督促、检查、指导工作。信息安全员应当具备较强的信息安全意识 和工作责任心,掌握基本的信息安全知识和技能。 检查方式 文档查验、人员访谈。 检查方法 查验领导分工等文件,检查是否明确了信息安全主管领导;查验信息安全相关工作批示、会议记录等,了解主管领导履职情况; 查验本单位各内设机构职责分工等文件,检查是否指定了信息安全管理机构(如工业和信息化部指定办公厅为信息安全管理机构);查验工作计划、工作方案、规章制度、监督检查记录、教育培训记录等文档,了解管理机构履职情况; 查验信息安全员列表,检查是否每个内设机构都指定了专职或兼职信息安全员;访谈信息安全员,检查其信息安全意识和信息安全知识、技能掌握情况;查验工作计划、工作报告等相关文档,检查信息安全员日常工作开展情况。 表4 组织管理检查结果记录表 信息安全 主管领导 1. 姓名:_______________ 2. 职务:_______________(本单位正职/副职领导) 3. 本年度对信息安全工作进行过批示:?是,批示次数:?否 4. 本年度主持召开过信息安全专题会议:?是,会议次数: ?否 信息安全 管理机构 1. 名称:_______________(如办公厅) 2. 负责人:_____________ 职务:________________ 3. 联系人:_____________ 电话:________________ 信息安全专职工作处室 1. 名称:_______________(如信息中心信息安全处) 2. 负责人:_____________ 电话:________________ 信息安全员 1. 内设机构数量:_______________ 2. 信息安全员数量:_____________ 人员管理情况检查 要求 应建立健全岗位信息安全责任制度,明确岗位及人员的信息安全责任。应与重点岗位的计算机使用和管理人员签订信息安全与保密协议,明确信息安全与保密要求和责任; 应制定并严格执行人员离岗离职信息安全管理规定,人员离岗离职时应终止信息系统访问权限,收回各种软硬件设备及身份证件、门禁卡等,并签署安全保密承诺书; 应建立外部人员访问机房等重要区域审批制度,外部人员须经审批后方可进入,并安排本单位工作人员现场陪同,对访问活动进行记录并留存; 应对信息安全责任事故进行查处,对违反信息安全管理规定的人员给予严肃处理,对造成信息安全事故的依法追究当事人和有关负责人的责任,并以适当方式通报。 检查方式 文档查验、人员访谈。 检查方法 查验岗位信息安全责任制度文件,检查系统管理员、网络管理员、信息安全员、一般工作人员等不同岗位的信息安全责任是否明确;检查重点岗位人员信息安全与保密协议签订情况;访谈部分重点岗位人员,抽查对信息安全责任的了解程度; 查验人员离岗离职管理制度文件,检查是否有终止系统访问权限、收回软硬件设备、收回身份证件和门禁卡等要求;检查离岗离职人员安全保密承诺书签署情况;查验信息系统账户,检查离岗离职人员账户访问权限是否已被终止; 查验外部人员访问机房等重要区域的审批制度文件,检查是否有访问审批、人员陪同等要求;查验访问审批记录、访问活动记录,检查记录是否清晰、完整; 查验安全事件记录及安全事件责任查处等文档,检查是否发生过因违反制度规定造成的信息安全事件、是否对信息安全事件责任人进行了处置。 表5 人员管理检查结果记录表 人员管理 1. 岗位信息安全责任制度:?已建立 ?未建立 2. 重点岗位人员信息安全与保密协议: ?全部签订 ?部分签订 ?均未签订 3. 人员离岗离职安全管理规定:?已制定 ?未制定 4. 离岗离职安全管理措施(可多选): ?终止系统访问权限 ?收回软硬件设备 ?收回身份证件和门禁卡 ?签署离岗离职安全承诺书 5. 离岗离职安全保密承诺书: ?全部签订 ?部分签订 ?均未签订 6. 外部人员访问机房等重要区域审批制度: ?已建立 ?未建立 7. 外部人员访问机房等重要区域记录: ?完整 ?不完整 8. 本年度信息安全事故发生及处置情况: ?发生过 ?已做处置,其中:信息安全责任事故当事人和有关责任人 _____人,已处理_____人,其中:通报批评_____人,警告_____人,记过 及以上_____人 ?未做处置 ?未发生过 资产管理情况检查 要求 应建立并严格执行资产管理制度; 应指定专人负责资产管理; 应建立资产台账(清单),统一编号、统一标识、统一发放; 应及时记录资产状态和使用情况,保证账物相符; 应建立并严格执行设备维修维护和报废管理制度。 检查方式 文档查验、人员访谈。 检查方法 查验资产管理制度文档,检查资产管理制度是否建立; 查验设备管理员任命及岗位分工等文件,检查是否明确专人负责资产管理;访谈设备管理员,检查其对资产管理制度和日常工作任务的了解程度; 查验资产台账,检查台账是否完整(包括设备编号、设备状态、责任人等信息);查验领用记录,检查是否做到统一编号、统一标识、统一发放; 随机抽取资产台账中的部分设备登记信息,查验是否有对应的实物;随机抽取一定数量的实物,查验其是否纳入资产台账,同台账是否相符; 查验相关制度文档和记录,检查设备维修维护和报废管理制度建立及落实情况。 表6 资产管理检查结果记录表 资产管理 1. 资产管理制度:?已建立 ?未建立 2. 资产管理人员:_____人,姓名:____________________ _________________________________________________ 3. 账物相符程度(抽查结果): ?完全相符 ?大部分相符 ?严重不符 4. 资产管理方式: ?统一编号、统一发放 ?各内设机构分别管理 ?其他 5. 设备维修维护和报废管理: ?已建立管理制度,且维修维护和报废信息(时间、地点、内容、责任人等)记录完整 ?已建立管理制度,但维修维护和报废记录不完整 ?尚未建立管理制度 采购管理情况检查 要求 公文处理软件、信息安全产品等应采购安全可控产品,信息安全产品应经过国家认证; 接受捐赠的信息技术产品,使用前应进行安全测评,并与捐赠方签订信息安全与保密协议; 不得采购社会第三方认证机构提供的信息安全管理体系认证服务; 信息系统数据中心、灾备中心不得设立在境外。 检查方式 文档查验。 检查方法 随机抽取信息安全产品,检查该产品是否有国家统一认证的证明材料,如中国信息安全认证中心颁发的信息安全产品认证证书; 对比资产台账及采购清单,检查台账中是否有捐赠的信息技术产品;对于使用中的受赠信息技术产品,检查是否有安全测评报告以及与捐赠方签订的信息安全与保密协议; 查验开发、集成、运维等信息安全服务 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 ,检查是否有非国内厂商提供信息安全服务情况,若有,进一步检查厂商名称及其提供的服务内容;确认未采购社会第三方认证机构提供的信息安全管理体系认证服务; 查验数据中心和灾备中心建设规划文档,检查是否设立在境外。 表7 采购管理检查结果记录表 信息安全产品 1. 信息安全产品认证情况: ?全部通过认证 ?部分通过认证 未通过认证的安全产品品牌及型号:__________________ __________________________________________________接受捐赠的 信息技术产品 ?无 ?有 1. 受赠产品品牌及型号:___________________________ __________________________________________________ 2. 使用前安全评估:?经过测评 ?未经测评 3. 信息安全与保密协议(与捐赠方): ?全部签订 ?部分签订 ?均未签订 数据中心与 灾备中心 1. 数据中心数量:______个 2. 灾备中心数量:______个 3. 境外设立数据中心和灾备中心情况: ?无 ?有,境外设立位置:__________________ 外包服务管理情况检查 要求 应建立并严格执行信息技术外包服务安全管理制度; 应与信息技术外包服务提供商签订 服务合同 环保管家服务合同免费下载技术服务合同下载技术服务合同模板下载服务合同范本档案数字化服务合同 和信息安全与保密协议,明确信息安全与保密责任,要求服务提供商不得将服务转包,不得泄露、扩散、转让服务过程中获知的敏感信息,不得占有服务过程中产生的任何资产,不得以服务为由强制要求委托方购买、使用指定产品; 信息技术现场服务过程中应安排专人陪同,并详细记录服务过程; 外包开发的系统、软件上线应用前应进行安全测评,要求开发方及时提供系统、软件的升级、漏洞等信息和相应服务; 信息系统运维外包不得采用远程在线运维服务方式; 检查方式 文档查验、人员访谈。 检查方法 查验相关文档,检查是否有外包服务安全管理制度; 查验信息技术外包服务合同及信息安全与保密协议,检查信息安全责任是否清晰; 查验外包人员现场服务记录,查验记录是否完整(包括服务时间、服务人员、陪同人员、工作内容等信息); 访谈系统管理员和工作人员,查验安全测评报告,检查外包开发的系统、软件上线前是否进行过信息安全测评及其方式; 查验外包服务合同及技术方案等文档,检查是否存在远程在线运维服务;如确需采用远程在线服务的,检查是否对安全风险进行了充分评估并采取了书面审批、访问控制、在线监测、日志审计等安全防护措施。 表8 外包服务管理检查结果记录表 外包服务管理 1. 外包服务安全管理制度:?已制定?未制定 2. 信息技术外包服务合同及信息安全与保密协议: ?全部签订 ?部分签订 ?均未签订 3. 现场服务记录: ?有详细服务记录 ?仅有现场进出记录 ?无记录 4. 外包开发系统、软件上线应用前安全测评情况: ?均经测评 ?部分经测评 ?均未测评 5. 信息系统运维安全管理: ?无外包服务 ?外包服务商现场运维 ?外包服务商远程运维 远程运维风险控制措施:?有?无 表9 外包服务机构检查结果记录表(每个机构一张表) 外包服务机构 机构名称 机构性质 ?国有单位 ?民营企业 ?外资企业 服务内容 信息安全与 保密协议 ?已签订 ?未签订 信息安全管理体系认证情况 ?已通过认证,认证机 构:_______________ ?未通过认证 经费保障情况检查 要求 应将信息安全设施运行维护、日常信息安全管理、信息安全教育 培训、信息安全检查、信息安全风险评估、信息系统等级测评、信息 安全应急处置等费用纳入部门年度预算; 应严格落实信息安全经费预算,保证信息安全经费投入。 检查方式 文档查验。 检查方法 会同本单位财物部门人员,查验上一年度和本年度预算文件,检 查年度预算中是否有信息安全相关费用; 查验相关财务文档和经费使用账目,检查上一年度信息安全经费 实际投入情况、信息安全经费是否专款专用。 表10 经费保障检查结果记录表 经费保障 1. 信息安全预算范围(可多选): ?信息安全防护设施建设费用?运行维护费用 ?日常信息安全管理费用 ?教育培训费用 ?应急处置费用 ?检查评估(含风险评估、等级测评等)费用 ?无相关预算 2. 上一年度信息安全经费预算额:________万元 3. 上一年度信息安全经费实际投入额:_______万元 4. 本年度信息安全经费预算额:________万元 安全技术防护情况检查 物理环境安全情况检查 要求 物理环境安全应符合《GB 9361-1988 计算机场地安全要求》中 B类机房要求。 检查方式 文档查验、现场核查。 检查方法 查验机房设计、改造、施工等相关文档,检查机房防盗窃、防破坏、防雷击、防火、防水、防潮、防静电等措施,并进行核查;现场检查机房备用电源、温湿度控制、电磁防护等安全防护设施; 现场检查机房等物理访问控制措施,确认配备门禁系统或有专人值守。 网络边界安全防护情况检查 要求 非涉密信息系统与互联网及其他公共信息网络应实行逻辑隔离,涉密信息系统与互联网及其他公共信息网络应实行物理隔离; 建立互联网接入审批和登记制度,严格控制互联网接入口数量,加强互联网接入口安全管理和安全防护; 应采取访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范等措施,进行网络边界防护; 应根据承载业务的重要性对网络进行分区分域管理,采取必要的技术措施对不同网络分区进行防护、对不同安全域之间实施访问控制; 应对网络日志进行管理,定期分析,及时发现安全风险。 检查方式 文档查验、现场核查。 检查方法 查验网络拓扑图,检查重要设备连接情况,现场核查内部办公系统等非涉密系统的交换机、路由器等网络设备,确认以上设备的光纤、 网线等物理线路没有与互联网及其他公共信息网络直接连接,有相应的安全隔离措施; 查验网络拓扑图,检查接入互联网情况,统计网络外联的出口个数,检查每个出口是否均有相应的安全防护措施(互联网接入口指内部网络与公共互联网边界处的接口,如联通、电信等提供的互联网接口,不包括内部网络与其他非公共网络连接的接口); 查验网络拓扑图,检查是否在网络边界部署了访问控制(如防火墙)、入侵检测、安全审计以及非法外联检测、病毒防护等必要的安全设备; 分析网络拓扑图,检查网络隔离设备部署、交换机VLAN划分情况,检查网络是否按重要程度划分了安全区域,并确认不同区域间采用了正确的隔离措施; 查验网络日志(重点是互联网访问日志)及其分析报告,检查日志分析周期、日志保存方式和保存时限等。 表11 网络边界安全防护检查结果记录表 互联网接 入情况 互联网接入口总数:_____个,其中: ?联通 接入口数量:____个 接入带宽:____兆 ?电信 接入口数量:____个 接入带宽:____兆 ?其他:_______接入口数量:_____接入带宽:____兆 网络隔离 1. 非涉密信息系统与互联网及其他公共信息网络隔离情况: ?物理隔离 ?逻辑隔离 ?无隔离 2. 涉密信息系统与互联网及其他公共信息网络隔离情况: ?物理隔离 ?逻辑隔离 ?无隔离 网络边界 防护措施 1. 网络边界防护措施: ?访问控制 ?安全审计 ?边界完整性检查 ?入侵防范 ?恶意代码防范 ?无措施 2. 网络访问日志:?留存日志?未留存日志 关键设备安全防护情况检查 对承担网络与信息系统运行的关键设备,包括服务器、网络设备、安全设备等的安全防护情况进行检查,保证安全策略配置及防护的有效性。 检查方式 现场核查。 检查方法 登录恶意代码防护设备(如防病毒网关),检查恶意代码库更新情况; 登录服务器(应用系统服务器、数据库服务器),检查口令策略配置情况,包括口令强度和更新频率;检查安全审计策略配置情况,包括审计功能是否启用、操作记录是否留存、日志是否定期分析、是否对异常访问和操作及时进行处置;检查病毒防护情况,包括防病毒软件是否安装、病毒库是否及时更新;检查补丁更新情况,包括操作系统、数据库管理系统等的补丁是否及时更新; 登录网络设备、安全设备,检查口令策略配置情况,包括口令强度 和更新频率;检查安全审计策略配置情况,包括审计功能是否启用、操 作记录是否留存、日志是否定期分析、是否对异常访问和操作及时进 行处置; 表12 关键设备安全防护情况检查结果记录表 关键设备 安全防护情况 1. 恶意代码防护情况: ?已配备防护设备(如防病毒网关) ?定期更新恶意代码库 ?未定期更新恶意代码库或从未更新 ?未配备 2. 服务器口令策略配置: 口令长度最低要求:____位 口令更新频率:______ 口令组成(可多选):?字母 ?数字 ?特殊字符 3. 服务器安全审计: ?启用安全审计功能 ?定期分析,分析周期:______ ?不进行分析 ?未启用安全审计功能 4. 服务器补丁(操作系统和数据库管理系统补丁)更新情况: ?及时更新 ?更新,但不及时 ?从未更新 5. 网络设备口令策略配置: 口令长度最低要求:____位 口令更新频率:______ 口令组成(可多选):?字母 ?数字 ?特殊字符 6. 安全设备口令策略配置: 口令长度最低要求:____位 口令更新频率:______ 口令组成(可多选):?字母 ?数字 ?特殊字符 应用系统安全防护情况检查 基本情况检查 要求 应按照GB/T 20984-2007的要求,定期对信息系统面临的安全风险和威胁、薄弱环节以及防护措施的有效性等进行分析评估; 应综合考虑信息系统的重要性、涉密程度和面临的信息安全风险等因素,按照国家信息安全等级保护相关政策和技术标准规范,对信息系统实施相应等级的安全管理; 应按照GB/T 22240-2008的要求,确定信息系统安全保护等级; 应按照GB/T 22239-2008的要求,对信息系统实施相应等级的安全建设和整改; 应按照信息系统安全等级保护测评相关要求,对信息系统进行等级测评。 检查方式 文档查验。 检查方法 查验信息系统定级报告,检查信息系统定级情况; 查验测评报告,检查风险评估、等级测评开展情况。 表13 应用系统防护基本情况检查结果记录表 基本情况 1. 系统总数:________________个 2. 已定级系统_______个,其中: 第一级:____个 第二级:____个 第三级:____个 第四级:____个 第五级:____个 3. 本年度经过风险评估、等级测评等的系统数:_____个 门户网站安全防护情况检查 要求 网站开通前,应组织专业技术机构进行安全测评,对新增应用要进行安全评估; 应定期对网站链接进行安全性和有效性检查; 应采取必要的技术措施,提高网站防篡改、防攻击能力,加强网站敏感信息保护; 应建立完善网站信息发布审核制度,明确审核程序,严格审核流程。 检查方式 文档查验、人员访谈、现场核查、人工测试。 检查方法 查验检测报告等相关文档,检查网站开通或新增应用时是否进行过安全测评; 查验相关记录,访谈网站管理员,检查是否定期对网站链接的安全性和有效性进行检查;采用技术工具进行扫描,检测网站链接的有效性; 查看防护设备部署情况,检查是否有网页防篡改、抗拒绝服务攻击等功能并进行必要的配置; 查验相关记录,检查网站信息发布时是否对内容进行核查、是否经过审批。 表14 门户网站安全防护检查结果记录表 门户网站 安全防护 1. 网页防篡改措施: ?有,措施为:_____________________ ?无 2. 网站抗拒绝服务攻击措施: ?有,措施为:_____________________ ?无 3. 网站内容管理措施: ?建立审核制度(发布前内容核查、审批),且审核记录完整 ?建立审核制度(发布前内容核查、审批),但审核记录不完整 ?无审核记录或无制度要求 电子邮件系统安全防护情况检查 要求 应加强电子邮件系统安全防护,采取反垃圾邮件等技术措施; 应规范电子邮箱的注册管理,原则上只限于本部门工作人员注册使用; 应严格邮箱账户及口令管理,采取技术和管理措施确保口令具有一定强度并定期更换。 检查方式 文档查验、现场核查。 检查方法 查验设备部署或配置情况,检查电子邮件系统是否采取了反垃圾邮件技术措施; 查验电子邮件系统管理相关规定文档,检查是否有注册审批流程要求;查验服务器上邮箱账户列表,同本单位人员名单进行核对,检查是否有非本单位人员使用; 查看邮箱口令策略配置界面,检查电子邮件系统是否设置了口令策略,是否对口令强度和更改周期等进行要求。 表15 电子邮件系统安全防护检查结果记录表 电子邮件系统安全防护 1. 反垃圾邮件等技术措施:?有 ?无 2. 邮箱注册:?注册邮箱账户须经审批 ?随意注册使用 3. 账户口令防护: ?使用技术措施控制和管理口令强度 ?无口令强度控制技术措施 终端计算机安全防护情况检查 要求 应采用集中统一管理方式对终端计算机进行管理,统一软件下发,统一安装系统补丁,统一实施病毒库升级和病毒查杀,统一进行漏洞扫描; 应规范软硬件使用,不得擅自更改软硬件配置,不得擅自安装软 件; 应加强账户及口令管理,使用具有一定强度的口令并定期更换; 应对接入互联网的终端计算机采取控制措施,包括实名接入认证、IP地址与MAC地址绑定等; 应定期对终端计算机进行安全审计; 非涉密计算机不得存储和处理国家秘密信息。 检查方式 现场核查、工具检测。 检查方法 查看集中管理服务器,抽查终端计算机,检查是否部署了终端管理系统或采用了其他集中统一管理方式对终端计算机进行管理,包括统一软硬件安装、统一补丁升级、统一病毒防护、统一安全审计等; 查看终端计算机,检查是否安装有与工作无关的软件; 使用终端检查工具或采用人工方式,检查终端计算机是否配置了口令策略。 访谈网络管理员和工作人员,检查是否采取了实名接入认证、IP地址与MAC地址绑定等措施对接入本单位网络的终端计算机进行控制;将未经授权的终端计算机接入网络,测试是否能够访问互联网,验证控制措施的有效性; 查验审计记录,检查是否对终端计算机进行了安全审计。 表16 终端计算机安全防护检查结果记录表 终端计算机 安全防护 1. 安全管理方式: ?集中统一管理(可多选) ?规范软硬件安装 ?统一补丁升级 ?统一病毒防护 ?统一安全审计 ?对移动存储介质接入实施控制 ?分散管理 2. 账户口令策略: ?所有终端计算机均配置 ?部分终端计算机配置 ?均未配置 3. 接入互联网安全控制措施: ?有控制措施 控制措施为:?实名接入 ?绑定计算机IP和MAC地址 其他:________________________ ?无控制措施 4. 终端计算机安全审计:?有审计 ?无审计 存储介质安全防护情况检查 要求 应严格存储阵列、磁带库等大容量存储介质的管理,采取技术措 施防范外联风险,确保存储数据安全; 应对移动存储介质进行集中统一管理,记录介质领用、交回、维 修、报废、销毁等情况; 非涉密移动存储介质不得存储涉及国家秘密的信息,不得在涉密 计算机上使用; 移动存储介质在接入本部门计算机和信息系统前,应当查杀病毒、木马等恶意代码; 应配备必要的电子信息消除和销毁设备,对变更用途的存储介质要消除信息,对废弃的存储介质要进行销毁。 检查方式 文档查验、人员访谈、现场核查。 检查方法 访谈网络管理员,检查大容量存储介质是否存在远程维护,对于有远程维护的,进一步检查是否有相应的安全风险控制措施;查看光纤、网线等物理线路连接情况,检查大容量存储介质是否在无防护措施情况下与互联网及其他公共信息网络直接连接; 查验相关记录,检查是否对移动存储介质进行统一管理,包括统一领用、交回、维修、报废、销毁等; 查看服务器和办公终端计算机上的杀毒软件,检查是否开启了移动存储介质接入自动查杀功能; 查看设备台账或实物,检查是否配备了电子信息消除和销毁设备。 表17 存储介质安全防护检查结果记录表 存储介质安全防护 1. 存储阵列、磁带库等大容量存储介质安全防护: ?不外联 ?外联,但采取了技术防范措施控制风险 ?外联,无技术防范措施 2. 移动存储介质管理方式:?集中统一管理 ?未采取集中管理方式 3. 移动存储介质接入本单位系统前:?查杀病毒木马 ?直接接入 4. 电子信息保护: ?已配备信息消除或销毁设备 ?未配备信息消除或销毁设备 重要数据安全防护情况检查 要求 应采用技术措施(如加密、分区分域存储等)对存储的重要数据进行保护; 应采取技术措施对传输的重要数据进行加密和校验。 检查方式 现场核查。 检查方法 登录数据存储设备、数据库管理系统,检查是否对重要数据进行了分区分域存储,或者进行加密存储; 查验存储设备是否配置了数据传输加密和校验的功能。 表18 重要数据安全防护检查结果记录表 重要数据 安全防护情况 1. 存储安全防护: ?加密存储 ?分区分域存储 ?无防护措施 2. 传输安全防护: ?加密传输 ?数据校验 ?无防护措施 信息安全应急工作情况检查 要求 应制定信息安全事件应急预案,原则上每年评估一次,并根据实际情况适时修订; 应组织开展应急预案的宣贯培训,确保相关人员熟悉应急预案; 每年应开展信息安全应急演练,检验应急预案的可操作性,并将演练情况报信息安全主管部门; 应建立信息安全事件报告和通报机制,提高预防预警能力; 应明确应急技术支援队伍,做好应急技术支援准备; 应做好信息安全应急物资保障,确保必要的备机、备件等资源到位; 应根据业务实际需要对重要数据和业务系统进行备份。 检查方式 文档查验、人员访谈。 检查方法 查验预案文本、评估记录等,检查应急预案制定和年度评估修订情况; 查验宣贯材料和培训记录,检查是否开展过预案宣贯培训;访谈 系统管理员、网络管理员和工作人员,检查其对应急预案的熟悉程度; 查验演练计划、方案、记录、总结等文档,检查本年度是否开展了应急演练; 查验事件处置记录,检查信息安全事件报告和通报机制建立情况,是否对所有信息安全事件都进行了处置; 查验应急技术支援队伍合同及安全协议、参与应急技术演练及应急响应等工作的记录文件,确认应急技术支援队伍能够发挥有效的应急技术支撑作用; 查验设备或采购协议,检查是否有信息安全应急保障物资或有供应渠道; 查验备份数据和备份系统,检查是否对重要数据和业务系统进行了备份。 表19 信息安全应急工作检查结果记录表 信息安全应急工作 1. 应急预案制修订情况: ?已制定 本年度评估修订情况:?评估并修订 ?评估但未修订 ? 未评