涉及自治区秘密的信息系统保密检查工作,按照自治区保密管理规定执行。
四、检查依据
(一)政策文件。
1.《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
2.《自治区人民政府办公厅关于印发〈自治区政府信息系统安全检查实施方案〉的通知》(宁政办发[2009]179号)
3.《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》(同办发[2008]17号)
4.《国务院办公厅关于印发国家网络与信息安全事件应急预案的通知》(国办函[2008]168号)
5.《关于加强党政机关计算机信息系统安全和保密管理的若干规定》(国保发[2007]13号)
6.其他有关政策规定
(二)技术标准。
1.《信息安全风险评估规范》(GB/T 20984-2007)
2.《信息安全风险管理指南》(GB/Z 24364-2009)
3.《信息系统安全等级保护基本要求》(GB/T 22239-2008)
4.《信息安全管理体系要求》(GB/T 22080-2008)
5.《信息安全管理实用规则》(GB/T 22081-2008)
6.《信息系统安全管理要求》(GB/T 20269-2006)
7.《信息安全事件分类分级指南》(GB/Z 20986-2007)
8.《信息安全事件管理指南》(GB/Z 20985-2007)
9.《信息系统灾难恢复规范》(GB/T 20988-2007)
10.《信息安全应急响应计划规范》(GB/T 24363-2009)
11.其他有关技术标准
五、检查内容
(一)信息安全组织机构。检查信息安全工作主管领导、信息安全管理机构、各内设机构信息安全员等设置情况。按照《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》(国办发[2008]17号)要求,各市、县(区)、各部门、各单位应明确一名副职领导主管信息安全工作,应指定一个厅、局级机构承担信息安全管理工作,各内设机构应指定一名专职或兼职信息安全员。
(二)日常信息安全管理。
1.人员管理。查验相关文档、文件、记录等,检查信息安全和保密责任制建立及落实情况,人员离岗离职信息安全管理情况,外部人员访问机房等重要区域管理情况,违反制度规定造成信息安全事件的责任查处情况等。
2.资产管理。查验相关文档、台账、记录等,检查资产管理制度建立及落实情况,办公软件、应用软件等安装与使用情况,计算机及相关设备维修维护管理、存储设备报废销毁管理情况等。
