2009年度广元市政府信息系统

2009年度广元市政府信息系统 乐山市教育局年信息系统安全检查 实 施 方 案 为指导和规范乐山市教育行业信息系统安全检查工作～按照•四川省人民政府办公厅关于印发†四川省政府信息系统安全检查办法‡的通知?,川办发„2009?40号,和•四川省信息产厅业、四川省公安厅、四川省国家安全厅、四川省国家保密局、四川省密码管理局关于印发†2009年度四川省政府信息系统安全检查指南‡的通知?,川信„2009?141号,要求～制定本 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 。 一、检查范围 本方案所称教育行业信息系统～是指为教育行政机关、直属单位履行职能及各级各类学校为教育教学提供支撑的信息系统～包括各县级及以上教育行政部门、直属单位和所管学校自行运行和维护管理以及委托其他机构运行和维护管理的办公系统、业务系统、网站系统。 本方案所称信息系统安全检查～是指依据国家有关政策规定～参照国家信息安全技术 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 规范～对教育信息系统安全保障工作进行检测评估、查找隐患、堵塞漏洞、规范管理、完善措施、落实整改、通报情况的过程～包括进行信息安全风险评估、安全检测等。 涉及国家秘密的信息系统保密检查工作～按照国家保密管理有关规定和标准执行。 1 二、检查原则 教育行业信息系统安全检查工作坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则～以各部门、各单位自查为主～与统一组织的安全抽查相结合。 安全检查工作应统筹安排～严密组织～突出重点～明确责任～注重实效～确保质量～切实提高教育信息系统安全保障能力～确保教育信息系统安全运行。 三、检查内容 针对教育行业信息系统存在的薄弱环节～重点检查以下内容: ,一,安全制度落实情况。信息安全主管领导、管理机构和管理人员的落实情况～信息安全责任制和保密管理、密码管理、等级保护、重要部门,部位,人员管理等制度的建立和落实情况～信息安全经费保障情况。重点检查是否明确了一名主管领导负责信息安全工作～指定了一个机构承担信息 安全管理 企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理 工作～指定了专职或兼职安全员～建立并落实了岗位信息安全和保密责任制度,是否对各重要时期信息安全保障工作进行了专门部署。 ,二,安全防范措施落实情况。身份认证、访问控制、数据加密、入侵检测、安全审计、责任认定及防篡改、防病毒、防攻击、防瘫痪、防泄密等技术措施的有效性～计算机、移动存储设备、电子文档安全防护措施的落实情况。是否对账户、口令、软件等进行定期清理～是否对重要服务器上的应用、服务、端口和链接进行定期检查。 ,三,应急响应机制建设情况。应急预案制定和应急机制建设情况～重大信息安全事故处置情况～重要数据和业务系统 2 的灾难备份情况等～是否制定有较完善的应急工作方案和工作计划。 ,四,信息技术产品和服务国产化情况。终端计算机、公文处理软件、信息安全产品、IC卡等使用国产产品情况～信息系统服务外包情况～对因特殊原因选用国外信息技术产品和信息安全服务的安全审查情况等。 ,五,密码技术与产品使用情况。采用密码技术对信息进行加密保护和安全认证的情况～尤其是违反国家密码管理规定使用密码技术与产品的情况。 ,六,安全教育培训情况。机关工作人员参加信息安全教育培训、掌握信息安全常识和技能、重点岗位持证上岗等情况。 ,七,责任追究情况。对违反信息安全规定的行为和泄密事件、信息安全事故的查处情况～对责任人和有关负责人的责任追究以及惩处措施落实情况。 ,八,安全隐患排查及整改情况。对安全制度、防范措施、设备设施等方面存在的漏洞和薄弱环节的分析排查情况～研究制定和落实整改措施等情况。 四、时间安排 ,一,自查和现场抽查阶段,2011年3 月3日至3月24日,。市教育系统内各单位、学校要围绕信息安全保障情况～及时开展自查～报送自查报告～并做好迎接市上检查准备工作。针对检查中发现的安全漏洞和隐患～紧急采取有效措施～确保各个时期的信息安全。 市教育局将会同市级有关部门统一部署安全检查工作～对各级各部门和重点要害单位开展现场抽查。 3 ,二,整改阶段,2011年3 月31日前,。对于在自查、抽查中发现的安全问题～随发现随整改～并于3 月31日前将整改情况书面报市教育局城域网管理中心。 ,三,总结阶段,2011年4月,。市教育局城域网管理中心汇集检查,自查、抽查,情况～会同有关部门进行综合分析～并将检查结果以书面形式通报各单位,学校,。 五、检查组织 市教育系统内各单位、学校要明确本单位负责信息安全工作的负责同志为检查责任人～制定具体的安全检查方案并组织实施～可委托专业机构,含各部门内部专业机构,参与安全检查。 切实做好检查过程中的信息安全和保密工作～确保被检查信息系统安全正常运行。委托专业机构参与安全检查时～应对专业机构及检测人员进行审查～签订安全保密 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 ～明确安全和保密责任～并将参与检查的专业机构及检测人员,含各部门内部专业机构及人员,情况作为检查报告的内容上报。 六、具体要求 ,一,切实加强领导。开展信息安全检查既是对各重要信息系统安全状况的调查了解～也是促进各单位、学校加强信息系统安全工作和规范化管理的过程～要从维护全市教育系统信息安全、讲政治、讲大局的高度～充分认识其重要性～主管领导要亲自抓～按照•四川省政府信息系统安全检查办法?相关要求～认真组织和完成单位信息系统安全检查工作。 ,二,明确责任分工。市教育局城域网管理中心负责组织、协调本次检查工作,各区县教育局办公室负责同级教育行政部门、直属单位、本地学校的网络与信息安全检查的组织实施、材料上报等工作。 4 ,三,严肃工作纪律。实施安全检查的单位和人员要严格遵守检查工作纪律～控制检查风险～加强保密措施～保证被检查的信息系统安全正常运行。检查结果除按规定报送外～不得提供给其他单位和个人。对违反信息安全、保密管理规定造成泄密事件和信息安全事故的～要依法追究当事人和有关负责人的责任。 七、检查报告 检查报告主要包括检查范围、组织实施情况、检查中发现的问题及整改情况、对做好教育信息系统安全检查工作的建议等内容～以及报告附表,见附件1、2、3～附表填写时不含涉密信息系统,。各单位要将检查报告作为内部资料～妥善保管。检查报告包括纸质文件和电子文档～电子文档使用符合国家标准•中文办公软件文档格式规范?,GB/T 20916,2007,的文档格式。 八、其他事项 本方案所指国产终端计算机、国产字处理软件、国产信息安全产品～暂时按以下方法进行认定: ,一,国产终端计算机应具有国内品牌～最终产品在中国境内生产～并符合法律法规和政策规定的其他条件。 ,二,国产字处理软件应具有国内品牌～最终产品在中国境内生产～拥有核心模块的自主知识产权和源程序～并符合法律法规和政策规定的其他条件。 ,三,国产信息安全产品应具有国内品牌～最终产品在中国境内生产～拥有核心模块的自主知识产权和源程序～通过国家认定的信息安全产品检测实验室的检测～使用的密码部件和密码技术须通过国家密码管理局鉴定～并符合法律法规和政策规定的其他条件。 5 九、联系方式 联系人:市教育局城域网管理中心 万锋 联系电话:2446160～电子邮箱:wf-ctgz@126.com。 附件: 1、乐山市教育局信息系统安全检查报告内容提纲 2、乐山市教育局信息系统安全检查情况报告表 3、设备使用信息调查表 6 附件1: 乐山市教育局信息系统安全检查 报 告 内 容 提 纲 一、信息安全总体情况 主要内容包括信息安全工作开展情况～信息安全检查概况～包括检查范围、部署安排、组织领导、检查进展情况以及检查效果～对信息安全状况总体评价等。 二、信息安全检查发现的主要问题及整改情况 主要内容包括安全检查中发现信息系统存在的主要安全问题～以及针对这些问题采取的整改措施～对于未能及时整改的～概要说明整改计划和整改方案。 三、对信息安全检查工作的意见和建议 主要内容包括本年度政府信息系统安全检查工作取得的经验～对信息安全检查工作的意见和建议～对2011年度信息安全检查工作的建议等。 7 附件2: 乐山市教育局信息系统安全检查 情况报告表 (一)信息系统基本情况 部门(单位)名称 负责信息安全工作的主管 职 务 领导 信息安全检查责任人 职 务 电话 日常信息安全工作联络员 电话 E-mail 信息系统总数 。其中:1.办公系统个数: 2.业务系统个数: 3.网站系统个数: 以上系统中: 1.与互联网物理隔离的信息系统个数 。 2.委托外单位进行日常运维管理的信息系统个数 。 3.本年度经过专业机构安全评估或安全测评的信息系统个数 。 4.面向社会公众提供服务的信息系统个数 。 信息系统安全等级保护定级情况 第一级个第二级个第三级个第四级个数 第五级个数 未定级个数 数 数 数 (二)安全管理情况 机构名称: ? 已明确 负 责 人: 信息安全管理 电 话: 机构 ? 未明确 8 安全员持证上岗:? 无 ? 有 是否有安全员? 全部有 证件名称: (含专职和兼? 部分有 ? 发证单位 职) ? 没有 ? 发证单位 ? 发证单位 ?已制定重要岗位信息安全和保密责任制度: ? 是 ? 否 ?已制定人员离岗离职时信息安全管理规定: 人员管理 ? 是 ? 否 ?本年度信息安全责任追究情况: 通报批评 人，警告处分 人，记过及以上 人。 ?已制定办公用计算机及软件备案 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 :?是 ?否 ?已制定存储介质的报废、销毁管理规定:?是 ?否 系统管理 ?已制定计算机及相关设备维修、维护管理规定: ? 是 ? 否 ?业务数据存储在境外:? 有 ? 无 ?信息安全应急预案: ? 有 ? 无 应急管理 ?应急技术支援队伍: ? 内部 ? 外部 ? 无 ?本年度应急演练情况:? 已开展 ? 未开展 ?年度接受信息安全教育培训的人数: 人，占总人数的比教育培训情况 例 。 ?是否存在由国外公司进行设备维修的情况: ? 是 ? 否 外包服务管理 ?是否存在由国外公司进行系统维护的情况: ? 否 ? 是 远程维护系统个数 现场维护系统个数 9 ?委托专业机构提供信息安全服务情况: ? 委托 ? 未委托 ?若委托专业机构提供信息安全服务，是否同专业机构签订安全 保密协议: ? 全部签订 ? 部分签订 ? 没有签订 ?采用社会第三方提供的网络存储服务、信息处理服务: ? 有 ? 无 ?是否将信息安全防护设施的建设、运行、维护、检查和管理费 用纳入到年度预算:? 是 ? 否 安全经费 ?年度实际投入安全防护的设施、建设、运行、维护、检查和管 理的费用 万元 (三)技术防范情况 ?互联网接入口个数: ?互联网接入口安装了防火墙 ?全部安装 ?部分安装 ? 没有 ?互联网接入口安装了入侵检测设备 ? 全部安装 ? 部分安装 ? 没有 接入互联网采取 ?留存了互联网访问日志? 全部留存 ? 部分留存 ? 的主要安全防护 没有 措施 ?终端接入互联网时安全信息提示 ? 全部有 ? 部分有 ? 没有 ?对IP、MAC地址进行绑定 ? 全部 ? 部分 ? 没有 ?计算机指定了固定上网IP地址 ? 全部 ? 部分 ? 没有 重要服务器、网站? 重要服务器、网站已安装安全加固系统 10 安全加固、数据备? 重要服务器、网站均进行了备份 份情况 ? 部分备份 ? 未备份 ? 未采用 ?使用第三方CA 数字证书使用情?面向社会公众服务系统 ?使用自建CA 况 ? 采用 ?使用第三方CA ?内部系统 ?使用自建CA 本年度发生特别重大事件(?级)次数: 本年度发生重大事件(?级)次数: 本年度发生较大事件(?级)次数: 本年度发生一般事件(?级)次数: 本年度涉密信息系统和非涉密信息系统间混用移动存储介质的 事件数: 本年度涉密信息系统和非涉密信息系统间混用计算机的事件 数: 信息安全事件 本年度用非密信息系统处理涉密信息的事件数: 本年度检查中发现高风险漏洞的服务器台数: 本年度检查中发现高风险漏洞的终端台数: 本年度检查中发现木马的服务器台数: 本年度检查中发现木马的终端计算机台数: 没有防篡改措施的网站个数: 本年度网站网页被篡改(含挂马)的次数: (四)产品国产化情况 11 ?台 数: 服务器 ?国产化率: 终端计算机(含?台 数: 笔记本) ?国产化率: ?使用Windows操作系统的终端计算机台数: 其中使用桌面操作系统 Windows XP的台数: ?使用Linux操作系统的终端计算机台数: ?安装微软Office字处理软件的终端计算机台数: 字处理软件 ?安装国产字处理软件终端计算机台数: ?安装国产防病毒产品的终端计算机台数: ?防火墙(不含终端软件防火墙)台数: 主要信息安全产 其中:国产防火墙的台数: 品 ?其他单价在1万元以上的信息安全产品(含软件产品) 国产化率: (五)参加检查的专业机构及人员情况 参与检查的机构名称(一) 机构地址 联系人 电 话 参与检查的主要工作内容 参与检查的人员名单 序 角色(组成、组 姓 名 职称/单位职务 身份证号码 号 员) 1 2 12 3 4 5 6 7 8 9 10 参与检查的机构名称(二) 机构地址 联系人 电 话 参与检查的主要工作内容 参与检查的人员名单 序 角色(组成、组 姓名 职称/单位职务 身份证号码 号 员) 1 2 3 4 5 6 7 8 13 9 10 参与检查的机构名称(三) 机构地址 联系人 电 话 参与检查的主要工作内容 参与检查的人员名单 序 角色(组成、组 姓名 职称/单位职务 身份证号码 号 员) 1 2 3 4 5 6 7 8 9 10 注:检查情况报告表填写说明 1、负责信息安全工作的领导 14 按照《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》要求～负责信息安全工作的领导为各部门的主管领导。 2、重要信息系统 本表所称重要信息系统～包括三级以上信息系统～以及本单位认为对其业务运行具有重要影响的其它信息系统。 3、网络与信息安全事件的分级 按照《国家网络与信息安全事件应急预案》执行。 4、产品国产化情况 本表中的国产产品条件可参阅指南的“八、其他”的规定。 国产化率:国产产品占总数的百分比～如终端计算机的国产化率指国产终端计算机的台数占终端计算机总数的比例。 5、参与检查的机构及人员情况 参与检查的机构包括内部检查机构和委托的专业机构～如有多个机构同时参与检查时～每个机构均应填写表格。 15 附件3: 设备使用信息调查表 一、服务器设备 所属信息系IP地址 序号 应用 操作系统 品牌 型号 生产厂商 数据库 统 (公网地址) 16 二、网络设备 IP地址 序号 网络设备类型 品牌 型号 生产厂商 所属信息系统 (公网地址) 17 三、安全设备 序号 安全设备类型 品牌 型号 生产厂商 所属信息系统 产品资质 18 四、信息系统终端(PC机、笔记本、具存贮功能的打印、复印机) 序号 品牌 数量 生产厂商 19