衡水度信息安全检查实施方案Word下载.docx
- 文档编号:22501524
- 上传时间:2023-02-04
- 格式:DOCX
- 页数:32
- 大小:27.37KB
衡水度信息安全检查实施方案Word下载.docx
《衡水度信息安全检查实施方案Word下载.docx》由会员分享,可在线阅读,更多相关《衡水度信息安全检查实施方案Word下载.docx(32页珍藏版)》请在冰豆网上搜索。
2.外部检测内容。
通过互联网对被抽测网站系统的安全风险状况进行外部检测,包括安全漏洞、网页篡改、恶意代码情况以及近年来安全检查中发现问题的整改情况等,验证被抽查系统安全防护措施的有效性。
七、时间安排
(一)自查时间安排。
检查工作自本工作方案印发之日起启动。
2013年9月25日前,各县市区、各部门(单位)将加盖公章的检查总结报告、检查结果统计表(附件2)、自查情况登记表(附件3,仅市直各单位)和自评估表(附件1,仅市直单位),以与之涉密程度相应的信函或传真等方式报送市网络与信息安全协调小组办公室。
各附件可以从网站的通知公告栏下载。
(二)抽查时间安排。
抽查工作自9月2日起启动,9月25日前完成。
八、信息报送
(一)为便于了解掌握检查工作进展情况,分别于8月30日和9月16日前,将本县市区、本部门自查工作进展情况发至hsxxhbgs@邮箱。
(二)各县市区、各部门(单位)在自查中发现重大安全隐患,或出现因检查工作导致的跨地区、跨部门或跨行业安全问题时,应及时向市网络与信息安全协调小组办公室报告。
九、工作要求
(一)加强领导,落实责任。
各县市区、各部门(单位)要把信息安全检查工作列入重要议事日程,加强组织领导,明确检查责任,建立并落实信息安全检查工作责任制,明确检查工作负责人、检查机构和检查人员,安排并落实检查工作经费,保证检查工作顺利进行。
(二)注重源头,深入检查。
各县市区、各部门(单位)要全面细致开展检查工作,注重采用技术检测等手段,深入查找安全问题和隐患,确保检查工作不走过场、不漏环节、不留死角。
要高度重视检查中发现的苗头性、趋势性问题,全面系统地分析研究解决,从源头上遏制和消除安全隐患。
(三)即查即改,确保成效。
各县市区、各部门(单位)对检查中发现的问题要及时整改,因条件不具备暂时不能整改的问题应采取临时防范措施,保证系统安全正常运行。
市网络与信息安全协调小组办公室将及时对检查中发现的问题通报给相关单位,督促相关单位组织风险研判并落实整改措施。
(四)控制风险,强化保密。
各县市区、各部门(单位)和承担抽查任务的专业技术队伍要针对检查工作技术性强的特点,强化风险控制措施,周密制定应急预案,确保被检查信息系统的正常运行和重要数据安全。
要高度重视保密工作,对检查中有关人员、相关文档和数据进行严格管理,确保检查数据和检查结果不被泄露。
通信地址:
衡水市育才南大街918号市工业和信息化局(市网络与信息安全协调小组办公室)807室
邮政编码:
053000
联系电话:
2661389
附件:
1.信息安全管理工作自评估表(试行)
2.信息安全检查结果统计表
3.信息安全自查情况登记表
附件1
市直单位信息安全管理工作自评估表(试行)
评估指标
评价要素
评价标准
权重(V)
指标
属性
量化方法(P为量化值)
评估得分
(V×
P)
信息安全组织管理
信息安全
主管领导
明确一名主管领导负责本部门信息安全工作(主管领导应为本部门正职或副职领导)。
3
定性
已明确,本年度就信息安全工作作出批示或主持召开专题会议,P=1;
已明确,本年度未就信息安全工作作出批示或主持召开专题会议,P=0.5;
尚未明确,P=0。
管理机构
指定一个机构具体承担信息安全管理工作(管理机构应为本部门二级机构)。
2
已指定,并以正式文件等形式明确其职责,P=1;
未指定,P=0。
信息安全员
各内设机构指定一名专职或兼职信息安全员。
定量
P=指定信息安全员的内设机构数量与内设机构总数的比率。
信息
安全
日常
管理
规章制度
制度完整性
建立信息安全管理制度体系,涵盖人员管理、资产管理、采购管理、外包管理、教育培训等方面。
制度完整,P=1;
制度不完整,P=0.5;
无制度,P=0。
制度发布
安全管理制度以正式文件等形式发布。
符合,P=1;
不符合,P=0。
人员管理
重点岗位人员签订安全保密协议
重点岗位人员(系统管理员、网络管理员、信息安全员等)签订信息安全与保密协议。
P=重点岗位人员中签订信息安全与保密协议的比率。
人员离岗离职管理措施
人员离岗离职时,收回其相关权限,签署安全保密承诺书。
1
外部人员访问管理措施
外部人员访问机房等重要区域时采取审批、人员陪同、进出记录等安全管理措施。
资产管理
责任落实
指定专人负责资产管理,并明确责任人职责。
建立台账
建立完整资产台账,统一编号、统一标识、统一发放。
账物符合度
资产台账与实际设备相一致。
设备维修维护和报废管理措施
完整记录设备维修维护和报废信息(时间、地点、内容、责任人等)。
记录完整,P=1;
记录基本完整,P=0.5;
记录不完整或无记录,P=0。
外包管理
外包服务协议
与信息技术外包服务提供商签订信息安全与保密协议,或在服务合同中明确信息安全与保密责任。
现场服务管理
现场服务过程中安排专人管理,并记录服务过程。
记录不完整,P=0.5;
无记录,P=0。
外包开发管理
外包开发的系统、软件上线前通过信息安全测评。
P=外包开发的系统、软件上线前通过信息安全测评的比率。
运维服务方式
原则上不得采用远程在线方式,确需采用时采取书面审批、访问控制、在线监测、日志审计等安全防护措施。
经费保障
经费预算
将信息安全设施运维、日常管理、教育培训、检查评估等费用纳入年度预算。
网站内容
网站信息发布
网站信息发布前采取内容核查、审批等安全管理措施。
电子信息
介质销毁和信息消除
配备必要的电子信息消除和销毁设备,对变更用途的存储介质进行信息消除,对废弃的存储介质进行销毁。
防护
物理环境
机房安全
具备防盗窃、防破坏、防雷击、防火、防水、防潮、防静电及备用电力供应、温湿度控制、电磁防护等安全措施。
物理访问控制
机房配备门禁系统或有专人值守。
网络边界
访问控制
网络边界部署访问控制设备,能够阻断非授权访问。
有设备,但未配置策略,P=0.5;
无设备,P=0。
入侵检测
网络边界部署入侵检测设备,定期更新检测规则库。
有设备,但未定期更新,P=0.5;
安全审计
网络边界部署安全审计设备,对网络访问情况进行定期分析审计并记录审计情况。
有设备,但未定期分析,P=0.5;
互联网接入口数量
各单位同一办公区域内互联网接入口不超过2个。
设备安全
恶意代码防护
部署防病毒网关或统一安装防病毒软件,并定期更新恶意代码库。
服务器
口令策略
配置口令策略保证服务器口令强度和更新频率。
P=配置了口令策略的服务器比率。
启用安全审计功能并进行定期分析。
P=对安全审计日志进行定期分析的服务器比率。
补丁更新
及时对服务器操作系统补丁和数据库管理系统补丁进行更新。
P=补丁得到及时更新的服务器比率。
网络设备和安全设备口令策略
配置口令策略保证网络设备和安全设备口令强度和更新频率。
P=网络设备和安全设备(指重要设备)中配置了口令策略的比率。
终端计算机
统一防护
采取集中统一管理方式对终端进行防护,统一软件下发、安装系统补丁。
接入控制
采取技术措施(如部署集中管理系统、将IP地址与MAC地址绑定等)对接入本单位网络的终端计算机进行控制。
应用系统
应用系统安全漏洞扫描
定期对业务系统、办公系统、网站系统、邮件系统等应用系统进行安全漏洞扫描。
门户网站防
篡改措施
门户网站采取网页防篡改措施。
门户网站抗拒绝服务攻击措施
门户网站采取抗拒绝服务攻击措施。
电子邮件账号注册审批
建立邮件账号开通审批程序,防止邮件账号任意注册使用。
电子邮箱账户口令策略
配置口令策略保证电子邮箱口令强度和更新频率。
邮件清理
定期清理工作邮件。
数据安全
数据存储保护
采取技术措施(如加密、分区存储等)对存储的重要数据进行保护。
数据传输保护
采取技术措施对传输的重要数据进行加密和校验。
数据和系统备份
采取技术措施对重要数据和系统进行定期备份。
数据中心、灾备中心设立
数据中心、灾备中心应设立在境内。
信息安全应急管理
应急预案
制定信息安全事件应急预案(为部门级预案,非单个信息系统的安全应急预案),并使相关人员熟悉应急预案。
应急演练
开展应急演练,并留存演练计划、方案、记录、总结等文档。
应急资源
指定应急技术支援队伍,配备必要的备机、备件等应急物资。
事件处置
发生信息安全事件后,及时向主管领导报告,按照预案开展处置工作;
重大事件及时通报信息安全主管部门。
发生过事件并按要求处置,或者未发生过安全事件,P=1;
发生过事件但未按要求处置,P=0。
信息安全教育培训
意识教育
面向全体人员开展信息安全形势与警示教育、基本技能培训等活动。
本年度开展活动的次数≥3,P=1;
次数=2,P=0.7;
次数=1,P=0.3;
次数=0,P=0。
专业培训
定期开展信息安全管理人员和技术人员专业培训。
P=本年度信息安全管理和技术人员中参加专业培训的比率。
信息安全检查
工作部署
下发检查工作相关文件或者组织召开专题会议,对年度检查工作进行部署。
工作机制
明确检查工作负责人,落实检查机构和检查人员。
检查经费
安排并落实检查工作经费。
附件2
信息安全检查结果统计表
设区市/部门/单位名称:
一、重要信息系统安全检查情况
基本情况
重要信息系统总数:
(请另附系统清单)
(按服务对象
进行统计)
1.面向社会公众提供服务的系统数量:
2.不面向社会公众提供服务的系统数量:
(按联网情况
1.通过互联网可直接访问的系统数量:
2.通过互联网不能直接访问的系统数量:
其中,与互联网物理隔离的系统数量:
(按数据集中情况进行统计)
1.全国数据集中的系统数量:
2.省级数据集中的系统数量:
3.未进行数据集中的系统数量:
(按业务连续性进行统计)
1.可容忍中断时间小于30分钟的系统数量:
2.可容忍中断时间大于30分钟、小于12小时的系统数量:
3.可容忍中断时间大于12小时的系统数量:
(按灾备情况
1.进行系统级灾备的系统数量:
2.仅对数据进行灾备的系统数量:
3.无灾备的系统数量:
系统
构成情况
主要硬件和软件
路由器
交换机
防火墙
磁盘阵列
磁带库
操作系统
数据库
国内品牌数量
(台/套)
国外品牌数量
业务应用
软件系统
(统计3年内数据)
1.自主设计开发(不含二次开发)的套数:
2.委托国内厂商开发的套数:
委托国外厂商开发的套数:
3.直接采购国内厂商产品的套数:
直接采购国外厂商产品的套数:
二、重要工业控制系统安全检查情况
重要工业控制系统运营单位总数:
家
重要工业控制系统总数:
套
系统类型情况
国内品牌
国外品牌
数据采集与监控(SCADA)系统
套
分布式控制系统(DCS)
过程控制系统(PCS)
可编程控制器(PLC)
台
工业控制网络
连接情况
1.直接与互联网连接的重要工业控制系统数量:
2.与内部局域网连接的重要工业控制系统数量:
3.含有无线接入方式的重要工业控制系统数量:
运行维护情况
1.采用远程方式运行维护的重要工业控制系统数量:
2.由国内厂商提供运行维护服务的重要工业控制系统数量:
3.由国外厂商提供运行维护服务的重要工业控制系统数量:
防护情况
1.网络边界处架设网络安全设备的重要工业控制系统数量:
2.安装防病毒软件或设备的重要工业控制系统数量:
3.定期进行安全更新的重要工业控制系统数量:
4.采取加密措施传输、存储敏感数据的重要工业控制系统数量:
三、本年度信息安全事件及技术检测情况
信息安全事件情况
特别重大信息安全事件次数:
重大信息安全事件次数:
较大信息安全事件次数:
一般信息安全事件次数:
地区/行业统一组织的技术检测情况
恶意代码检测
①进行过病毒木马等恶意代码检测的服务器台数:
___________
其中,存在恶意代码的服务器台数:
②进行过病毒木马等恶意代码检测的终端计算机台数:
_________
其中,存在恶意代码的终端计算机台数:
安全漏洞检测
①进行过漏洞扫描的服务器台数:
其中,存在漏洞的服务器台数:
存在高风险漏洞的服务器台数:
②进行过漏洞扫描的终端计算机台数:
其中,存在漏洞的终端计算机台数:
存在高风险漏洞的终端计算机台数:
附件3
市直单位信息安全自查情况登记表
一、部门(单位)基本情况
部门(单位)名称
分管信息安全工作的领导
①姓名:
_______________
②职务:
信息安全管理(或工作)机构
(如办公室)
①名称:
___________________
②负责人:
_____________职务:
________________
③联系人:
_____________电话:
二、信息系统基本情况
信息系统情况
①信息系统总数:
________________个
②提供公共服务、开展社会管理和市场监管的系统数量:
_____个
其中,重要系统数量:
_______个
④本年度经过风险评估(含安全测评、等级测评)的系统数量:
系统定级情况
第一级:
_______个第二级:
_______个第三级:
第四级:
_______个第五级:
_______个未定级:
三、日常信息安全管理情况
①重点岗位人员安全保密协议:
□全部签订□部分签订□均未签订
②人员离岗离职安全管理规定:
□已制定□未制定
③外部人员访问机房等重要区域审批制度:
□已建立□未建立
①资产管理制度:
②设备维修维护和报废管理:
□已建立管理制度,且维修维护和报废记录完整
□已建立管理制度,但维修维护和报废记录不完整
□未建立管理制度
四、信息安全防护情况
网络边界安全防护
①互联网接入口总数:
其中:
□联通接入口数量:
□电信接入口数量:
□其他:
____________接入口数量:
②网络安全防护设备部署(可多选):
□防火墙□入侵检测设备□安全审计设备
□防病毒网关□抗拒绝服务攻击设备
□其它:
________________________
③网络访问日志:
□留存日志□未留存日志
④安全防护设备策略:
□使用默认配置□根据应用自主配置
无线局域网
安全防护
办公区域无线局域网接入设备(无线路由器)数量:
个
①网络用途:
□访问互联网:
个
□访问业务/办公网络:
②安全防护策略(可多选):
□采取身份鉴别措施:
个□采取地址过滤措施:
□未设置:
门户网站安全防护
①网页防篡改措施:
□采用□未采用
②漏洞扫描:
□定期扫描,周期□不定期□未进行
③信息发布管理:
□已建立审核制度,且审核记录完整
□已建立审核制度,但审核记录不完整
□未建立审核制度
电子邮件安全防护
①邮箱注册:
□注册邮箱账号须经审批
□任意注册使用
②账户口令防护:
□使用技术措施控制和管理口令强度
□无口令强度限制技术措施
①安全管理方式:
□集中统一管理(可多选)
□规范软硬件安装□统一补丁升级□统
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 衡水 信息 安全检查 实施方案