(一)政策文件
1. 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)
2. 《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》(国办发〔2009〕28号)
3. 《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》(国办发〔2008〕17号)
4. 《国务院办公厅关于印发国家网络与信息安全事件应急预案的通知》(国办函〔2008〕168号)
5. 《关于加强党政机关计算机信息系统安全和保密管理的若干规定》(国保发〔2007〕13号)
6. 《省委办公厅省政府办公厅关于加强信息安全保障工作的意见》(苏办发〔2007〕25号)
7. 《省政府办公厅关于印发〈江苏省政府信息系统安全检查实施办法〉的通知》(苏政办发〔2009〕51号)
8. 《2011年度政府信息系统安全检查指南》(工信部协〔2011〕214号)
9.《关于组织开展2012年度全省党政机关信息系统安全检查工作的通知》(苏信安办 [2012]9号)
(二)技术标准
1. 《信息安全风险评估规范》(GB/T 20984-2007)
2. 《信息安全风险管理指南》(GB/Z 24364-2009)
3. 《信息系统安全等级保护基本要求》(GB/T 22239-2008)
4. 《信息安全管理体系要求》(GB/T 22080-2008)
5. 《信息安全管理实用规则》(GB/T 22081-2008)
6. 《信息系统安全管理要求》(GB/T 20269-2006)
7. 《信息安全事件分类分级指南》(GB/Z 20986-2007)
8. 《信息安全事件管理指南》(GB/Z 20985-2007)
9. 《信息系统灾难恢复规范》(GB/T 20988-2007)
10. 《信息安全应急响应计划规范》(GB/T 24363-2009)
七、工作要求
(一)各地、各部门要把政府信息系统安全检查列入重要议事日程,切实加强组织领导,完善检查工作机制,落实检查工作经费,开展宣传教育培训活动,确保检查工作顺利开展。
(二)各地、各部门要参照本工作方案制定具体的实施方案,并认真组织实施。建立信息安全检查责任制,明确检查责任,落实检查组织机构、参与单位及检查人员。
(三)请各地、各部门认真填写《江苏省重要信息系统基本情况调查表》(附件4),并于6月8日前报送市信安办(材料表格需盖章)。
(四)各县区信息安全主管部门要认真组织做好本地区党政机关信息系统安全检查工作,并于7月底前将书面检查工作总结报送市信安办(纸质材料需盖章)。
(五)各地、各部门可委托省信息安全测评中心等直属检测单位开展安全检查工作,也可根据需要委托经省或市备案的信息安全服务机构等外部专业机构协助开展技术检测工作。委托外部专业机构协助开展技术检测,应与检测机构及参与检测的人员签订安全保密协议,明确安全保密责任和义务。
(六)要强化安全检查过程中的安全保密和风险控制,切实加强对检查活动、检查人员以及相关文档和数据的安全保密管理,确保被检查信息系统的安全正常运行。
(七)各地、各部门要认真开展信息安全检查工作,及时上报检查报告等有关材料,不得拒报漏报或弄虚作假,如有以上情况将予以通报。
附件1:
2012年度党政机关信息系统安全自查情况报告表
部门名称: 总 分:
一、部门信息安全管理组织架构(小计4分,得 分)
|
分管信息安全
工作的领导
(2分)
| 姓 名:
职 务:
|
信息安全责任处室
(1分)
| 名 称:
负责人: 职务:
电 话:
|
信息安全员
(1分)
| 姓 名: 职务:
电 话:
|
二、日常信息安全管理(小计10分,得 分)
|
制度建设
(4分)
| ① 信息安全和保密责任制度: □已建立 □未建立
② 机房及重要区域管理制度: □已建立 □未建立
③ 资产管理制度: □已建立 □未建立
④ 人员安全管理制度: □已建立 □未建立
⑤ 门户网站信息发布管理制度: □已建立 □未建立
⑥ 信息系统外包服务安全管理制度:□已建立 □未建立
⑦ 信息安全教育培训制度: □已建立 □未建立
|
人员管理
(3分)
| ①重要岗位人员信息安全和保密协议:
□全部签订 □部分签订 □均未签订
②人员离岗离职手续包括:
□终止系统访问权限 □收回软硬件设备
□收回工作身份证件和门禁卡 □签订离岗离职安全承诺书
③人员离岗离职安全承诺书:□全部签订 □部分签订 □均未签订
④外部人员访问机房等重要区域的现场陪同记录:□完整 □不完整
|
资产管理
(3分)
| ① 资产管理人员 : 人,姓名:
② 资产账物相符程度:□完全相符 □不完全相符 □严重不符
③ 资产管理方式: □统一编号、统一发放 □其他
④ 信息安全设备运维管理:
□已明确专人负责 □未明确
□定期进行配置检查、日志审计等 □未进行
⑤设备维修维护和报废销毁管理记录: □完整 □不完整
|
三、信息安全防护管理(小计43分,得 分)
|
网络安全
防护管理
(7分)
| 互联网接入情况
(1分)
| 互联网接入口总数: 个,其中:
电信接入口数量: 个,接入带宽: 兆,年租费: 万元;
联通接入口数量: 个,接入带宽: 兆,年租费: 万元;
其他: 接入口数量: 个,接入带宽: 兆,年租费: 万元。部门IP地址包括:
|
网络隔离
(2分)
| ①非涉密信息系统与互联网及其他公共信息网络隔离情况:
□物理隔离 □逻辑隔离 □无隔离
②涉密信息系统与互联网及其他公共信息网络隔离情况:
□物理隔离 □逻辑隔离 □无隔离
|
网络边界防护
(4分)
| ①网络区域划分是否合理:□合理 □不合理
②安全防护设备策略:□使用默认配置□根据应用自主配置
③网络边界防护措施:□访问控制 □安全审计 □入侵防范
□边界完整性检查 □恶意代码防范 □无措施
④互联网访问日志: □留存日志 □未留存日志
|
信息系统
安全防护
管理
(15分)
| 信息系统基本情况
(1分)
| ① 信息系统总数: 个,面向社会公众提供服务的信息系统数: 个
② 重要信息系统: 个 □已按时填报 □未填报
③ 委托社会第三方进行日常运维管理的信息系统数: 个, 其中签订运维外包服务合同的信息系统数: 个
|
定级备案
(2分)
| ①已定级系统 个,其中:第一级: 个 ,第二级: 个 第三级: 个,第四级: 个,第五级: 个,未定级: 个
②备案情况:□已备案 □未备案
|
系统安全测评
(6分)
| 本年度 (系统)开展安全测评(含风险评估、等级测评)次数: 次, 其中,风险评估 次,评估机构名称: ,等级测评 次,测评机构名称: ;近两年安全测评报告总数: 份
|
系统安全管理
(6分)
| ①服务器安全防护:
□已关闭不必要的应用、服务、端口 □未关闭
□帐户口令满足8位,包含数字、字母或符号 □不满足
□定期更新帐户口令 □未能定期更新
□定期进行漏洞扫描、病毒木马检测 □未进行
②网络设备防护:
□安全策略配置有效 □无效
□帐户口令满足8位,包含数字、字母或符号 □不满足
□定期更新帐户口令 □未能定期更新
□定期进行漏洞扫描、病毒木马检测 □未进行
③信息安全设备部署及使用:
□已部署有防病毒、防火墙、入侵检测、安全审计等功能的设备 □未部署
□安全策略配置有效 □无效
|
门户网站
防护管理
(10分)
| 门
户
网
站
管
理
(4分)
| ①网站是否备案:□是 □否
②门户网站账户安全管理:
□已清理无关帐户 □未清理
□无空口令、弱口令和默认口令 □有
③电子邮件功能(□开设 □未开设)
□已作清理,仅限本部门或有关人员使用 □未作清理
□有技术措施用于控制和管理口令强度 □无技术措施
□无空口令、弱口令和默认口令 □有
④清理网站临时文件、关闭网站目录遍历功能等情况:
口已清理 口未清理
⑤信息发布管理审核记录: □完整 □不完整
⑥网站系统计日志管理:□留存,周期为: □不留存
⑦防篡改、防攻击技术措施:
□有,措施为 □无措施
|
日常安全保障
(6分)
| 该项根据省信安办定期组织开展的政务网站外部安全检测结果和各部门是否及时有效实施安全整改等情况,由省信安办进行评分。
|
终端计算机
安全管理
(6分)
| ①终端计算机安全管理方式:
□集中管理,方式为: □用户分散管理
②帐户口令管理:
□无空口令、弱口令和默认口令 □有
③接入互联网安全控制措施:
□有控制措施(如实名接入、绑定计算机IP和MAC地址等)
□无控制措施
④漏洞扫描、木马检测: □定期进行 □未进行
⑤在非涉密信息系统和涉密信息系统间混用情况:
□不存在 □存在
⑥是否存在使用非涉密计算机处理涉密信息情况:
□不存在 □存在
|
存储设备
安全管理
(2分)
| ①移动存储设备管理方式:
□集中管理,统一登记、配发、收回、维修、报废、销毁
□未采取集中管理相关措施
②在非涉密信息系统和涉密信息系统间混用情况:
□不存在 □存在
|
信息安全防护管理综合评分
(3分)
| 该项由各有关单位结合自查情况,对本单位信息安全防护管理情况进行综合评分。抽查时,该项由省信安办根据抽查情况对各有关单位进行综合评分。
|
四、信息安全应急管理(小计10分,得 分)
|
部门应急预案制定及备案
情况
(5分)
| □已制订,本年度修订情况:□修订 □未修订
□未制定
|
□已备案,报备部门、时间:
□未备案
|
应急技术
支援队伍
(1分)
| □部门所属单位 □外部专业机构 □未明确
应急技术支援队伍名称:
|