政府信息系统安全检查指南.doc

1、 1 陕 西省工 业 和信息化 厅 文 件陕工信发2013 286 号陕西省工业和信息化厅关于开展 2013 年重点领域信息安全检查的通知省级各部门，各设区市、杨凌示范区、韩城市工业和信息化主管部门，各有关单位：为做好 2013 年重点领域信息安全检查工作，维护公众利益和国家安全，根据国务院关于大力推进信息化发展和切实保障信息安全的若干意见（国发2012 23 号）、 国务院办公厅关于印发政府信息系统安全检查办法的通知（国办发2009 28 号）、国务院办公厅关于开展重点领域网络与信息安全检查行动的通 2 知（国办函2012 102 号）、 陕西省人民政府 办公厅关于印发陕西省政府信息系统安全

2、检查实施办法的通知（陕政办发200965 号）、 工业和信息化部关于印发2013 年重点领域信息安全检查工作方案的函（工信部协函2013259 号）等文件精神，现将2013 年重点领域信息安全检查有关事项通知如下：一、检查目的通过开展常态化的信息安全检查，进一步落实信息安全责任，增强人员信息安全意识，认真查找突出问题和薄弱环节，全面排查安全隐患和安全漏洞，分析评估信息安全状况和防护水平，有针对性地采取管理和技术防护措施，促进安全防范水平和安全可控能力提升，预防和减少重大信息安全事件的发生，切实保障信息安全。二、检查范围安全检查的范围包括政府部门，金融、能源、通信、交通、广播电视、国防军工、医疗

3、卫生、教育、水利、环境保护、民用核设施、钢铁、有色、化工、装备制造等重点行业，以及城市轨道交通、供水供气供热等市政领域。涉及国家秘密的信息系统安全检查，按照国家保密管理规定和标准执行。三、检查内容（一）信息安全管理情况。按照国家信息安全政策和标准规范要求，建立健全信息安全管理规章制度及落实情况。重点检查信息安全主管领导、管理 3 机构和工作人员履职情况，信息安全责任制落实及事故责任追究情况，人员、资产、采购、外包服务等日常安全管理情况，信息安全经费保障情况等。（二）技术防护情况。网络与信息系统防病毒、防攻击、防篡改、防瘫痪、防泄密等技术措施及有效性。重点检查事关国家安全和社会稳定，对地区、部门

4、或行业正常生产生活具有较大影响的重要网络与信息系统（含工业控制系统）的安全防护情况，包括技术防护体系建立情况；网络边界防护措施，不同网络或信息系统之间安全隔离措施，互联网接入安全防护措施，无线局域网安全防护策略等；服务器、网络设备、安全设备等安全策略配置及有效性，应用系统安全功能配置及有效性；终端计算机、移动存储介质安全防护措施；重要数据传输、存储的安全防护措施等。（三）应急工作情况。按照国家网络与信息安全事件应急预案要求，建立健全信息安全应急工作机制情况。重点检查信息安全事件应急预案制修订情况，应急预案演练情况；应急技术支撑队伍、灾难备份与恢复措施建设情况，重大信息安全事件处置及查处情况等。

5、（四）安全教育培训情况。重点检查信息安全和保密形势宣传教育、领导干部和各级人员信息安全技能培训、信息安全管理和技术人员专业培训情况等。 4 （五）安全问题整改情况。重点检查以往信息安全检查中发现问题的整改情况，包括整改措施、整改效果及复查情况，以及类似问题的排查情况等，分析安全威胁和安全风险，进一步评估总体安全状况。四、检查方式按照“谁主管 谁负责 、谁运行谁负责” 的原 则，采取自查与抽查相结合、以自查为主的方式开展。各地、各部门和有关单位在具体实施安全检查时，可采用人员访谈、文档查阅、现场核查、工具测试、人工检测等方法进行。（一）自查。1、各级工业和信息化主管部门负责本地区政府信息系统以及

6、城市轨道交通、供水供气供热等市政领域网络与信息系统自查工作。2、省级各部门负责本部门信息系统自查工作。3、有关重点行 业 主管或 监 管部 门负责组织 本行 业 自 查 工作。各行业自查工作组织部门如下表所示：重点行业信息安全主管或监管部门列表序号 重点行业 信息安全主管/监管部门1 银行 人民银行西安分行2 证劵 陕西证监局3（金融）保险 陕西保监局序号 重点行业 信息安全主管/监管部门 5 4 电力5（能源）石油石化省能源局6 交通运输（公路、航运） 省交通厅7 铁路 西安铁路局8（交通）民航 民航西北地区管理局9 广播电视 省广电局10 国防军工 省国防航空办11 医疗卫生 省卫生厅12

7、 教育 省教育厅13 水利 省水利厅14 环境保护15 民用核设施省环保厅16 通信（电信网、互联网） 省通信管理局17 钢铁、有色、化工18 装备制造省工信厅各地、各部门和有关重点行业要全面系统地检查所涉及网络与信息系统的安全情况，深入分析存在的隐患和问题，认真编写自查报告。自查报告内容主要包括：重要网络与信息系统基本情况，整体安全状况的基本判断，安全风险和威胁分析评估结果，发现的主要问题、薄弱环节及整改情况，关于加强网络信息安全工作的意见和建议等。（二）抽查。 6 在各地、各部门和有关重点行业认真开展自查的基础上，省工信厅会同省公安厅、省国家安全厅、省保密局、省密码管理局等部门组成联合检查

8、组，采取安全技术检测、现场核查等方式，对重要网络与信息系统进行安全抽查，查找安全漏洞和隐患，评估安全防护能力，研究提出改进和加强安全保障的措施建议并及时反馈被抽查地区、部门和单位。（三）整改落实。各地、各部门和有关单位对检查中发现的薄弱环节和问题，要及时采取有效措施加以整改，因条件不具备不能立即整改的要采取临时防范措施，确保网络与信息系统安全正常运行。五、时间安排此次安全检查行动自本通知印发之日起启动，各地、各部门和有关单位要按照本通知要求抓紧研究部署，制定自查方案并认真组织实施。（一）自查时间。2013 年 8 月 30 日前，各地、各部门和有关单位完成自查工作，并将自查总结连同检查结果统计

9、表送省工信厅。各地区自查报告由该地区工业和信息化主管部门负责报送，有关重点行业自查情况由其行业主管或监管部门汇总整理后报送。（二）抽查时间。2013 年 9 月 30 日前省工信厅会同省公安厅、省国家安全厅、省保密局、省密码管理局完成抽查，并组织专业技术队伍实施外 7 部检测和现场检查工作，编写抽查情况报告。六、信息报送（一）为便于了解掌握检查工作进展情况，各地工业和信息化主管部门、省级各部门、有关单位自收到通知起至自查工作结束止，每月 20 日前将本区、本部门、本行业自查工作进展情况告省工信厅。省工信厅汇总检查工作进展情况报工业和信息化部。（二）各地、各部门和有关行业在自查中发现重大安全隐患

10、，或出现因检查工作导致的跨地区、跨部门或跨行业安全问题时，应及时向省工信厅报告。七、有关工作要求（一）加强领导，落实责任。各区、各部门要高度重视此次检查行动，切实加强组织领导，精心部署，明确检查机构和检查人员，落实工作责任，做好培训和督促，保障工作经费，确保检查顺利实施并取得实效。省工信厅、省公安厅、省国家安全厅、省保密局、省密码管理局等有关部门要按照职责分工做好相关工作，加强沟通配合，避免重复检查。（二）注重源头，深入检查。各区、各部门和有关重点行业要全面细致开展检查工作，注重采用技术检测等手段，深入查找安全问题和隐患，确保检查工作不走过场、不漏环节、不留死角。要高度重视检查中发现的苗头性、

11、趋势性问题，全面系统地分析研究解决，从源头上遏制和 8 消除安全隐患。（三）即查即改，确保成效。各区、各部门和有关重点行业对检查中发现的问题要及时整改，因条件不具备暂时不能整改的问题应采取临时防范措施，保证系统安全正常运行。工信厅及时将检查中发现的问题通报给相关单位，督促相关单位组织风险研判并落实整改措施，对于逾期未进行整改的单位将予以通报。（四）密切配合，加强指导。加强对检查工作的技术咨询和指导，不断提高检查工作的科学性和规范性。承担抽查任务的专业技术队伍和被抽查单位应加强沟通，做好配合工作。为保证重点行业抽查工作的顺利开展，请各行业主管或监管部门积极协调被抽查单位，落实抽查所需的相关条件。（五）控制风险，强化保密。此次检查要严格执行相关工作纪律，周密制定应急预案，强化风险控制措施，确保被检查的网络与信息系统正常运行。需委托外部检测机构进行检测的，要对相关检测机构的安全可靠性及其技术能力、管理水平等严格把关，明确检测机构和检测人员的安全责任。要严格按照有关保密规定和要求，切实加强保密管理。附件：2013 年度陕西省重点领域信息安全检查指南 9 联系人: 王大江 029-87292273 13227741772寇喜坤 029-87292045 13201408077传 真: 029-87292045陕西省工业和信息化厅2013 年 6 月 21 日