政府信息系统安全检查指南.docx
- 文档编号:4971616
- 上传时间:2022-12-12
- 格式:DOCX
- 页数:15
- 大小:22.38KB
政府信息系统安全检查指南.docx
《政府信息系统安全检查指南.docx》由会员分享,可在线阅读,更多相关《政府信息系统安全检查指南.docx(15页珍藏版)》请在冰豆网上搜索。
政府信息系统安全检查指南
2011年政府信息系统安全检查指南
为指导国务院各部门2011年信息安全检查工作,依据《国务院办公厅关于印发〈政府信息系统安全检查办法〉的通知》(国办发〔2009〕28号,以下简称《检查办法》)等政策文件,参照国家信息安全技术标准,制定本指南。
一、检查目的
依据国家信息安全有关政策规定,对各部门信息系统进行检查,掌握信息安全总体状况,发现存在的主要问题和薄弱环节,进一步健全信息安全管理制度,完善信息安全技术措施,提高信息安全防护能力。
二、检查原则
坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,统筹安排、突出重点、明确责任、注重实效。
检查工作以各部门自查为主,工业和信息化部会同有关部门统一组织安全抽查。
部门管理的全国性信息系统安全检查工作,由主管部门统一组织部署。
三、检查范围
信息安全检查的范围是为各部门履行政府职能提供支撑的信息系统,包括自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、网站系统等。
检查的重点是本部门的重要业务系统和门户网站。
涉及国家秘密的信息系统保密检查工作,按照国家保密管理规定执行。
四、重点检查内容
(一)信息安全组织管理
1.信息安全管理机构及其工作开展情况。
(1)组织制定并落实信息安全管理规章制度情况;
(2)组织制定信息安全工作计划或工作方案情况;(3)组织开展信息安全教育培训和督促检查工作情况。
2.信息安全员及其工作开展情况。
(1)各内设机构信息安全员指定情况;
(2)信息安全员开展督促、检查和指导等日常工作情况。
(二)日常信息安全管理
1.人员管理。
查验相关文档、文件、记录等,重点检查:
(1)岗位信息安全和保密责任制落实,特别是重要岗位信息安全和保密协议签订情况;
(2)人员离岗离职信息安全管理情况;(3)外部人员访问机房等重要区域管理情况;(4)违反制度规定造成信息安全事件的责任查处情况等。
2.资产管理。
查验相关文档、台帐、记录等,重点检查:
(1)资产管理制度建立及落实情况,资产台帐是否清晰、账物是否相符;
(2)办公软件、应用软件等安装与使用情况;(3)计算机及相关设备维修维护、报废销毁管理情况,是否有相应的登记记录等。
3.信息技术外包服务安全管理。
针对当前政府部门信息技术外包服务安全风险突出的现状,重点检查系统开发、系统集成、运行维护、灾难备份、数据处理、安全检测、系统托管等外包服务的安全管理:
(1)服务机构性质与背景情况;
(2)服务合同及安全保密协议签订情况,安全责任是否清晰;(3)人员现场服务记录情况,是否有现场服务监管措施;(4)系统维护方式情况,重点排查远程在线服务带来的安全风险;(5)灾难备份服务情况,重点掌握灾难备份中心设立在境外的情况。
4.信息技术产品使用管理。
重点检查办公用计算机、公文处理软件、信息安全设备、服务器、网络设备等使用产品的安全可控情况,特别是本年度新采购办公用计算机、公文处理软件、信息安全设备是否满足安全可控要求。
具体规定可咨询同级工业和信息化主管部门。
5.信息安全经费保障。
重点检查信息安全防护设施建设、运行、维护、检查及管理等费用是否纳入部门年度预算,以及本年度信息安全经费实际投入情况等。
(三)信息安全防护管理
1.网络边界防护管理。
查看系统总体网络架构、子系统分布、终端节点、区域划分及边界防护措施等,重点检查:
(1)网络分区分域合理性;
(2)安全防护设备策略配置有效性;(3)互联网接入情况,是否有访问互联网的安全控制措施,是否留存互联网访问日志并定期进行分析。
2.信息系统安全管理。
检查信息安全风险评估、等级保护等安全管理制度落实情况。
(1)服务器安全防护。
重点检查服务器上应用、服务、端口以及系统补丁等情况,是否关闭了不必要的应用,服务、端口;账户口令强度和更新情况;病毒木马防护情况,是否使用技术工具定期进行漏洞扫描、病毒木马检测。
(2)网络设备防护。
重点检查网络设备安全策略配置有效性;账号口令强度和更新情况;是否使用技术工具定期进行漏洞扫描。
(3)信息安全设备部署及使用。
重点检查防病毒、防火墙、入侵检测、安全审计等安全设备部署及使用情况,以及安全策略配置的有效性。
3.门户网站安全管理。
以防攻击、防挂马、防篡改、防瘫痪、防窃密为目标,对门户网站安全防护情况进行全面检查:
(1)系统管理账户和口令,清理无关账户,防止出现空口令、弱口令和默认口令;
(2)服务器补丁更新情况,关闭不必要的端口,停止不必要的服务和应用,删除不必要的链接和插件;(3)网站目录结构,删除临时文件,防止敏感信息泄露;(4)信息发布审核制度建立及落实情况;(5)是否使用技术工具定期进行漏洞扫描、木马检测。
4.电子邮箱安全管理。
重点检查:
(1)邮箱使用情况,是否有非本部门人员特别是无关人员使用;
(2)账户口令强度及更新情况,是否使用技术措施控制和管理口令,口令强度是否符合要求、是否定期更新。
5.终端计算机安全管理。
重点检查:
(1)是否采取集中安全管理措施;
(2)账户口令强度和更新情况;(3)接入互联网安全控制措施(如实名接入认证、对计算机IP和MAC地址进行绑定等);(4)是否使用技术工具定期进行漏洞扫描、病毒木马检测;(5)在非涉密信息系统和涉密信息系统间混用情况;(6)使用非涉密计算机处理涉密信息情况。
6.移动存储设备安全管理。
重点检查:
(1)是否采取集中安全管理措施;
(2)是否配备必要的电子消磁或销毁设备;(3)在非涉密信息系统和涉密信息系统间混用情况。
(四)信息安全应急管理
1.应急预案。
重点检查本部门信息安全应急预案制定、修订、备案及宣贯培训情况。
2.应急演练。
重点检查信息安全应急演练情况;已开展演练的,查看演练文档、记录(包括演练计划、演练方案、演练记录、演练总结报告等)。
3.应急技术支援。
重点检查是否明确了应急技术支援队伍。
已明确的,检查其服务合同及安全保密协议签订情况,了解掌握应急技术支援队伍基本情况以及开展的技术支援活动。
4.灾难备份。
重点检查重要数据和重要信息系统备份情况;对采用社会第三方灾难备份服务的,检查其服务合同及安全保密协议签订情况,了解掌握灾难备份服务设施运维安全管理情况。
5.信息安全事件应急处置。
重点检查本年度发生的信息安全事件及处置情况;发生过重大信息安全事件的,检查是否进行了及时处置,是否按照要求上报和通报。
(五)信息安全教育培训
重点检查信息安全和保密形势教育及警示教育情况,领导干部和机关工作人员参加信息安全基本技能培训情况,信息安全管理和技术人员参加信息安全专业培训情况等。
(六)信息安全检查工作
1.上一年度发现问题的整改情况。
重点检查:
(1)制定的整改计划及采取的整改措施;
(2)整改效果以及是否开展了进一步的信息安全风险评估;(3)年度检查情况报告完成情况,是否按国务院要求及时报送,报告是否完整准确、符合要求。
2.本年度检查工作开展情况。
重点检查:
(1)检查工作责任制建立和检查工作经费落实情况;
(2)检查工作方案制定及组织实施情况;(3)采取的安全保密和风险控制措施,检查人员、有关文档和数据的安全保密管理情况。
3.安全技术检测。
组织技术力量,使用必要的工具,对服务器、终端计算机、网络设备以及门户网站等信息系统进行安全检测,排查病毒木马、安全漏洞等。
五、检查情况报告与通报
(一)检查情况报告
按照《检查办法》要求,各部门在检查工作完成后应及时将检查情况报送工业和信息化部。
1.报告内容
检查报告包括主报告和附表。
主报告内容应包括:
本部门信息安全状况总体评价、2011年信息安全主要工作情况、检查发现的主要问题及整改情况、对信息安全工作的意见和建议等。
附表指《2011年信息安全检查情况报告表》(附件1)。
报告格式可参照《2011年信息安全检查情况报告编写参考格式》(附表2)。
根据检查结果的敏感程度确定检查报告密级,并在检查报告上明确标识。
2.报送方式
检查报告以各部门办公厅(室)名义报送工业和信息化部办公厅,包括纸质文档和电子文档(光盘形式)。
(二)检查情况通报
工业和信息化部将对各部门自查情况进行汇总综合分析,形成检查报告上报国务院。
同时,工业和信息化部将按照《检查办法》要求,向各部门通报检查情况。
六、时间安排
(一)信息安全自查
各部门根据实际情况,对检查工作进行系统统筹安排和组织部署。
2011年7月1日前,重点加强对门户网站的安全检查,排查安全漏洞和安全隐患,强化网站安全防护措施。
2011年12月31日前,完成本年度信息安全自查和总结评估工作,并于2012年1月15日前将检查情况报告送工业和信息化部。
(二)信息安全抽查
工业和信息化部及时跟踪、掌握各部门自查情况,会同有关部门组织专业技术队伍适时对有关部门进行安全抽查。
七、其他
(一)各部门应完善检查工作机制,落实检查工作经费,确保检查工作如期顺利完成。
对检查中发现的问题应进行分析研究并及时整改,如实、完整填写《2011年信息安全检查情况报告表》,认真撰写检查报告并按时上报。
(二)各部门可组织所属信息中心等单位开展检查工作,也可根据需要委托外部专业机构协助开展技术检测。
全面参与技术检测的外部专业机构至少满足以下条件:
1.事业单位;2.开展信息安全检测或相关工作2年以上;3.拥有专业安全检测人员10人以上,全部为机构编制内人员或与机构签订2年以上劳动合同的聘用人员;4.拥有与开展技术检测相适应的安全检测设备与检测工具;5.信息安全和保密管理、项目管理、质量管理、人员管理、教育培训等规章制度健全;6.参与安全检测的人员均为中国公民,无犯罪记录,并与机构签订安全保密协议。
(三)委托外部专业机构协助开展技术检测,应与检测机构及人员签订安全保密协议,明确安全保密责任和义务。
应要求检测机构:
1.遵守国家有关法律法规和信息安全相关政策规定,客观、公正地提供检测服务;2.不得将检测任务分包或转包;3.如实出具检测结果,不得隐瞒检测过程中发现的问题;4.加强对检测人员的安全保密管理,严格遵守安全保密制度规定;5.不得向其他单位和个人泄露检测数据谋取利益;6.采取有效措施,防止因技术检测引发信息安全事故。
(四)强化安全保密和风险控制,加强对检查活动、检查人员以及相关文档和数据的安全保密管理,对重点设备的技术检测进行监督,对接入的检测设备进行风险控制,周密制定检查工作应急预案,确保被检查信息系统的正常运行。
附件:
1.2011年信息安全检查情况报告表
2.2011年信息安全检查情况报告编写参考格式
附件1
2011年信息安全检查情况报告表
一、部门基本情况
部门名称
分管信息安全工作的领导
(本部门副职领导)
①姓名:
_______________
②职务:
_______________
信息安全管理机构
(如办公厅)
①名称:
_______________
②负责人:
_____________职务:
________________
③联系人:
_____________电话:
________________
信息安全专职工作处室
(如信息安全处)
①名称:
_______________
②负责人:
_____________电话:
________________
二、信息系统基本情况
信息系统情况
①信息系统总数:
________________个
②面向社会公众提供服务的信息系统数:
_________个
③委托社会第三方进行日常运维管理的信息系统数:
_________个
④本年度经过安全测评(含风险评估、等级测评)系统数:
_____个
系统定级情况
第一级:
_______个第二级:
_______个第三级:
_______个
第四级:
_______个第五级:
_______个未定级:
_______个
互联网接入情况
互联网接入口总数:
_____个
其中:
□联通接入口数量:
_____个接入带宽:
_______兆
□电信接入口数量:
_____个接入带宽:
_______兆
□其他:
_________________接入口数量:
_____个
接入带宽:
_______兆
三、日常信息安全管理情况
人员管理
①岗位信息安全责任制度:
□已建立□未建立
②重要岗位人员信息安全和保密协议:
□全部签订□部分签订□均未签订
③人员离岗离职安全管理规定:
□已制定□未制定
④外部人员访问机房等重要区域审批制度:
□已建立□未建立
资产管理
①资产管理制度:
□已建立□未建立
②设备维修维护和报废管理:
□已建立管理制度,且维修维护和报废记录完整
□已建立管理制度,但维修维护和报废记录不完整
□尚未建立管理制度
四、信息安全防护管理情况
网络边界防护管理
①网络访问控制:
□有访问控制措施□无访问控制措施
②网络访问日志:
□留存日志□未留存日志
③安全防护设备策略:
□使用默认配置□根据应用自主配置
门户网站安全管理
①网页防篡改措施:
□已部署□未部署
②网站信息发布管理:
□已建立审核制度,且审核记录完整
□已建立审核制度,但审核记录不完整
□尚未建立审核制度
电子邮箱安全管理
①邮箱使用:
□仅限本部门工作人员使用
□除本部门工作人员外,还有其他人员在使用
②账户口令管理:
□使用技术措施控制和管理口令强度
□无口令强度限制措施
终端计算机
安全管理
①终端计算机安全管理方式:
□使用统一平台对终端计算机进行集中管理
□用户分散管理
②接入互联网安全控制措施:
□有控制措施(如实名接入、绑定计算机IP和MAC地址等)
□无控制措施
存储介质安全管理
①存储阵列、磁带库等大容量存储介质安全防护:
□外联,但采取了技术防范措施控制风险
□外联,无技术防范措施
□不外联
②移动存储介质管理方式:
□集中管理,统一登记、配发、收回、维修、报废、销毁
□未采取集中管理方式
③电子信息消除或销毁设备:
□已配备□未配备
五、信息安全应急管理情况
信息安全应急预案
□已制定本年度修订情况:
□修订□未修订
□未制定
信息安全应急演练
□本年度已开展□本年度未开展
信息安全灾难备份
①重要数据:
□备份□未备份
②重要信息系统:
□备份□未备份
应急技术支援队伍
□部门所属单位□外部专业机构□无
六、信息技术产品应用情况
服务器
总台数:
________,其中国产台数:
_______
使用国产CPU的服务器台数:
_______
终端计算机
(含笔记本)
总台数:
________,其中国产台数:
___________
使用国产CPU的计算机台数:
_______
网络交换设备
(路由器、交换机等)
总台数:
________,其中国产台数:
___________
操作系统
①服务器操作系统情况:
安装Windows操作系统的服务器台数:
________________
安装Linux操作系统的服务器台数:
__________________
安装其他操作系统的服务器台数:
____________________
②终端计算机操作系统情况:
安装Windows操作系统的计算机台数:
________________
安装Linux操作系统的计算机台数:
__________________
安装其他操作系统的计算机台数:
____________________
数据库
总套数:
_______________,其中国产套数:
________________
公文处理软件
(终端计算机安装)
安装国产公文处理软件的终端计算机台数:
_________________
安装国外公文处理软件的终端计算机台数:
_________________
信息安全产品
①安装国产防病毒产品的终端计算机台数:
_________________
②防火墙(不含终端软件防火墙)台数:
___________________
其中国产防火墙的台数:
____________________
七、信息安全教育培训情况
培训人数
本年度接受信息安全教育培训的人数:
_____人
占本部门总人数的比例:
_____%
培训次数
本年度开展信息安全教育培训的次数:
_____次
专业培训
本年度信息安全管理和技术人员参加专业培训:
______人次
八、信息安全经费预算投入情况
经费预算
本年度信息安全经费预算额:
_____________万元
经费投入
本年度信息安全经费投入额:
_____________万元
(上一年度信息安全经费投入额:
_____________万元)
九、本年度信息安全事件情况
本年度安全技术检测结果
病毒木马等恶意代码检测结果
①进行过病毒木马等恶意代码检测的服务器台数:
_____________
其中感染恶意代码的服务器台数:
_____________
②进行过病毒木马等恶意代码检测的终端计算机台数:
_________
其中感染恶意代码的终端计算机台数:
_________
漏洞检测
结果
①进行过漏洞扫描的服务器台数:
___________________
其中存在漏洞的服务器台数:
_________________
存在高风险漏洞的服务器台数:
__________
②进行过漏洞扫描的终端计算机台数:
_______________
其中存在漏洞的终端计算机台数:
_____________
存在高风险漏洞的终端计算机台数:
_______
本年度信息安全事件统计
门户网站受攻击情况
本部门入侵检测设备检测到的门户网站受攻击次数:
___________
网页被篡
改情况
门户网站网页被篡改(含内嵌恶意代码)次数:
_______________
设备违规
使用情况
①使用非涉密终端计算机处理涉密信息事件数:
_______________
②终端计算机在非涉密系统和涉密系统间混用事件数:
_________
③移动存储介质在非涉密系统和涉密系统间交叉使用事件数:
___
十、信息技术外包服务机构情况(包括参与技术检测的外部专业机构)
外包服务机构1
机构名称
机构性质
□国有□民营□外资
服务内容
信息安全和保密协议
□已签订□未签订
信息安全管理体系认证情况
□已通过认证
认证机构:
______________________
□未通过认证
外包服务机构2
机构名称
机构性质
□国有单位□民营企业□外资企业
服务内容
信息安全和保密协议
□已签订□未签订
信息安全管理体系认证情况
□已通过认证
认证机构:
______________________
□未通过认证
外包服务机构3
机构名称
机构性质
□国有单位□民营企业□外资企业
服务内容
信息安全和保密协议
□已签订□未签订
信息安全管理体系认证情况
□已通过认证
认证机构:
______________________
□未通过认证
(如有3个以上外包机构,每个机构均应填写,可另附页)
填表人:
_____________单位:
_______________电话:
_______________
附件2
2011年信息安全检查情况报告
编写参考格式
一、检查报告名称
XXX(部门名称)2011年政府信息系统安全检查情况报告
二、检查报告组成
检查报告包括主报告和附表两部分。
三、主报告内容要求
(一)信息安全状况总体评价
概述本部门信息安全工作情况,与上一年度相比信息安全工作取得的新进展,对本部门信息安全状况的总体评价。
(二)2011年信息安全主要工作情况
对照《2011年政府信息系统安全检查指南》要求,逐项描述本部门2011年在信息安全组织管理、日常信息安全管理、信息安全防护管理、信息安全应急管理、信息安全教育培训、信息安全检查等方面开展的工作情况。
(三)检查发现的主要问题及整改情况
描述本部门安全检查特别是技术检测结果,总结分析本部门在安全管理、技术防护等方面存在的主要问题和薄弱环节,以及针对这些问题的整改措施或整改计划。
(四)对信息安全工作的意见和建议
对信息安全工作特别是信息安全检查工作提出意见和建议,进一步促进提高信息安全检查水平。
四、附表内容要求
《2011年信息安全检查情况报告表》各项目的填写范围均限于部门本级机关。
应认真、如实、完整、正确填写,避免出现漏项、错项、数据前后不一致等情况。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 政府 信息系统安全 检查 指南