1、衡水市 2013 年度信息安全检查实施方案一、检查目的通过开展常态化的信息安全检查,进一步落实信息安全责任,增强人员信息安全意识,认真查找突出问题和薄弱环节,全面排查安全隐患和安全漏洞,分析评估信息安全状况和防护水平,有针对性地采取管理和技术防护措施,促进安全防范水平和安全可控能力提升,预防和减少重大信息安全事件的发生,切实保障信息安全。二、检查范围安全检查的范围包括全市各级政务部门、重要信息系统和城市供水供气供热等市政领域。涉及国家秘密的信息系统安全检查,按照国家保密管理规定和标准执行。三、检查内容(一)信息安全管理情况。按照国家信息安全政策和标准规范要求,建立健全信息安全管理规章制度及落实
2、情况。重点检查信息安全主管领导、管理机构和工作人员履职情况,信息安全责任制落实及事故责任追究情况,人员、资产、采购、外包服务等日常安全管理情况,信息安全经费保障情况等。(二)技术防护情况。网络与信息系统防病毒、防攻击、防篡改、防瘫痪、防泄密等技术措施及有效性。重点检查事关国家安全和社会稳定,对地区、部门或行业正常生产生活具有较大影响的重要网络与信息系统(含工业控制系统)的安全防护情况,包括技术防护体系建立情况;网络边界防护措施,不同网络或信息系统之间安全隔离措施,互联网接入安全防护措施,无线局域网安全防护策略等;服务器、网络设备、安全设备等安全策略配置及有效性,应用系统安全功能配置及有效性;终
3、端计算机、移动存储介质安全防护措施;重要数据传输、存储的安全防护措施;采用数字证书进行系统防护的措施等。(三)应急工作情况。按照我市网络与信息安全事件应急预案要求,建立健全信息安全应急工作机制情况。重点检查信息安全事件应急预案制修订情况,应急预案演练情况;应急技术支撑队伍、灾难备份与恢复措施建设情况,重大信息安全事件处置及查处情况等。(四)安全教育培训情况。重点检查信息安全和保密形势宣传教育、领导干部和各级人员信息安全技能培训、信息安全管理和技术人员专业培训情况等。(五)安全问题整改情况。重点检查以往信息安全检查中发现问题的整改情况,包括整改措施、整改效果及复查情况,以及类似问题的排查情况等,
4、分析安全威胁和安全风险,进一步评估总体安全状况。四、检查方式按照“谁主管 谁负责 、谁运行谁负责” 的原 则,信息安全检查工作以各县市区、各部门自查为主。同时,市网络与信息安全协调小组办公室将组织专业技术队伍对部分重点单位和重要系统进行安全抽查。五、安全自查各县市区结合实际统筹安排本地区政务部门以及供水供气供热等市政领域信息安全自查工作。市直各部门结合实际组织开展本部门安全自查工作。各县市区、各部门(单位)参照本工作方案,结合实际组织制定信息安全检查实施方案,印发检查部署文件,明确自查范围、责任单位、工作安排及工作要求等相关内容,并认真组织实施。可组织开展抽查,督促自查单位开展自查工作,了解掌
5、握自查工作进展情况,采取技术手段深入发现安全问题和薄弱环节,并及时研究解决检查工作中遇到的重大问题。自查工作完成后,各县市区、各部门(单位)要对检查情况进行全面汇总总结,填写检查结果统计表,认真梳理存在的主要问题,分析评估安全风险,撰写检查总结报告。六、安全抽查(一)技术抽测。依托省信息安全测评中心,对全市重点网站进行抽测。(二)抽查重点内容。市网络与信息安全协调小组办公室将组织专门人员随机对各县市区、各部门的自查情况进行抽查。1. 现场抽查内容。重点检查被抽查单位自查工作组织开展情况,2012 年安全检查发现问题的整改情况,网络架构、安全区域划分的合理性,网络边界防护措施的完备性,服务器、网
6、络设备、安全设备等的安全策略配置、应用系统安全功能配置及其有效性,重要数据传输、存储的安全防护措施。专业技术队伍应对重要设备和应用系统进行安全技术检测,深入挖掘安全漏洞,采用人工方式对安全漏洞的可利用性进行验证,帮助排查安全隐患,分析评估安全风险。2. 外部检测内容。通过互联网对被抽测网站系统的安全风险状况进行外部检测,包括安全漏洞、网页篡改、恶意代码情况以及近年来安全检查中发现问题的整改情况等,验证被抽查系统安全防护措施的有效性。七、时间安排(一)自查时间安排。检查工作自本工作方案印发之日起启动。2013 年 9 月 25 日前,各县市区、各部门(单位)将加盖公章的检查总结报告、检查结果统计
7、表(附件 2)、自查情况登记表(附件 3,仅市直各单位)和自评估表(附件 1,仅市直单位),以与之涉密程度相应的信函或传真等方式报送市网络与信息安全协调小组办公室。各附件可以从 网站的通知公告栏下载。(二)抽查时间安排。抽查工作自 9 月 2 日起启动,9 月 25 日前完成。八、信息报送(一)为便于了解掌握检查工作进展情况,分别于 8 月 30日和 9 月 16 日前,将本县市区、本部门自查工作进展情况发至 邮箱。(二)各县市区、各部门(单位)在自查中发现重大安全隐患,或出现因检查工作导致的跨地区、跨部门或跨行业安全问题时,应及时向市网络与信息安全协调小组办公室报告。九、工作要求(一)加
8、强领导,落实责任。各县市区、各部门(单位)要把信息安全检查工作列入重要议事日程,加强组织领导,明确检查责任,建立并落实信息安全检查工作责任制,明确检查工作负责人、检查机构和检查人员,安排并落实检查工作经费,保证检查工作顺利进行。(二)注重源头,深入检查。各县市区、各部门(单位)要全面细致开展检查工作,注重采用技术检测等手段,深入查找安全问题和隐患,确保检查工作不走过场、不漏环节、不留死角。要高度重视检查中发现的苗头性、趋势性问题,全面系统地分析研究解决,从源头上遏制和消除安全隐患。(三)即查即改,确保成效。各县市区、各部门(单位)对检查中发现的问题要及时整改,因条件不具备暂时不能整改的问题应采
9、取临时防范措施,保证系统安全正常运行。市网络与信息安全协调小组办公室将及时对检查中发现的问题通报给相关单位,督促相关单位组织风险研判并落实整改措施。(四)控制风险,强化保密。各县市区、各部门(单位)和承担抽查任务的专业技术队伍要针对检查工作技术性强的特点,强化风险控制措施,周密制定应急预案,确保被检查信息系统的正常运行和重要数据安全。要高度重视保密工作,对检查中有关人员、相关文档和数据进行严格管理,确保检查数据和检查结果不被泄露。通信地址:衡水市育才南大街 918 号 市工业和信息化局(市网络与信息安全协调小组办公室)807 室邮政编码:053000联系电话:2661389附件:1. 信息安全
10、管理工作自评估表(试行)2. 信息安全检查结果统计表3. 信息安全自查情况登记表附件 1市直单位信息安全管理工作自评估表(试行)评估指标 评价要素 评价标准 权重(V) 指标属性 量化方法(P 为量化值) 评估得分(VP)信息安全主管领导明确一名主管领导负责本部门信息安全工作(主管领导应为本部门正职或副职领导) 。3 定性已明确,本年度就信息安全工作作出批示或主持召开专题会议,P = 1;已明确,本年度未就信息安全工作作出批示或主持召开专题会议,P = 0.5;尚未明确,P = 0。信息安全管理机构指定一个机构具体承担信息安全管理工作(管理机构应为本部门二级机构) 。 2 定性已指定,并以正式
11、文件等形式明确其职责,P = 1;未指定,P = 0。信息安全组织管理信息安全员 各内设机构指定一名专职或兼职信息安全员。 2 定量 P = 指定信息安全员的内设机构数量与内设机构总数的比率。制度完整性建立信息安全管理制度体系,涵盖人员管理、资产管理、采购管理、外包管理、教育培训等方面。3 定性制度完整,P = 1;制度不完整,P = 0.5;无制度,P = 0。规章制度制度发布 安全管理制度以正式文件等形式发布。 2 定性 符合,P = 1;不符合,P = 0。信息安全日常管理 人员管理 重点岗位人员签订安全保密协议重点岗位人员(系统管理员、网络管理员、信息安全员等)签订信息安全与保密协议。
12、2 定量 P = 重点岗位人员中签订信息安全与保密协议的比率。评估指标 评价要素 评价标准 权重(V) 指标属性 量化方法(P 为量化值) 评估得分(VP)人员离岗离职管理措施人员离岗离职时,收回其相关权限,签署安全保密承诺书。 1 定性符合,P = 1;不符合,P = 0。外部人员访问管理措施外部人员访问机房等重要区域时采取审批、人员陪同、进出记录等安全管理措施。2 定性 符合,P = 1;不符合,P = 0。责任落实 指定专人负责资产管理,并明确责任人职责。 2 定性 符合,P = 1;不符合,P = 0。建立台账 建立完整资产台账,统一编号、统一标识、统一发放。 2 定性 符合,P =
13、1;不符合,P = 0。账物符合度 资产台账与实际设备相一致。 2 定性 符合,P = 1;不符合,P = 0。资产管理设备维修维护和报废管理措施完整记录设备维修维护和报废信息(时间、地点、内容、责任人等) 。 2 定性记录完整,P = 1;记录基本完整,P = 0.5;记录不完整或无记录,P = 0。外包服务协议与信息技术外包服务提供商签订信息安全与保密协议,或在服务合同中明确信息安全与保密责任。2 定性 符合,P = 1;不符合,P = 0。现场服务管理 现场服务过程中安排专人管理,并记录服务过程。 2 定性记录完整,P = 1;记录不完整,P = 0.5;无记录,P = 0。外包开发管理
14、 外包开发的系统、软件上线前通过信息安全测评。 2 定量 P =外包开发的系统、软件上线前通过信息安全测评的比率。外包管理运维服务方式原则上不得采用远程在线方式,确需采用时采取书面审批、访问控制、在线监测、日志审计等安全防护措施。2 定性 符合,P = 1;不符合,P = 0。评估指标 评价要素 评价标准 权重(V) 指标属性 量化方法(P 为量化值) 评估得分(VP)经费保障 经费预算 将信息安全设施运维、日常管理、教育培训、检查评估等费用纳入年度预算。 3 定性 符合,P = 1;不符合,P = 0。网站内容管理 网站信息发布网站信息发布前采取内容核查、审批等安全管理措施。 2 定性符合,
15、P = 1;不符合,P = 0。电子信息管理介质销毁和信息消除配备必要的电子信息消除和销毁设备,对变更用途的存储介质进行信息消除,对废弃的存储介质进行销毁。1 定性 符合,P = 1;不符合,P = 0。机房安全具备防盗窃、防破坏、防雷击、防火、防水、防潮、防静电及备用电力供应、温湿度控制、电磁防护等安全措施。3 定性 符合,P = 1;不符合,P = 0。物理环境安全物理访问控制 机房配备门禁系统或有专人值守。 1 定性 符合,P = 1;不符合,P = 0。访问控制 网络边界部署访问控制设备,能够阻断非授权访问。 3 定性符合,P = 1;有设备,但未配置策略,P = 0.5;无设备,P
16、= 0。入侵检测 网络边界部署入侵检测设备,定期更新检测规则库。 3 定性符合,P = 1;有设备,但未定期更新,P = 0.5;无设备,P = 0。安全审计网络边界部署安全审计设备,对网络访问情况进行定期分析审计并记录审计情况。3 定性符合,P = 1;有设备,但未定期分析,P = 0.5;无设备,P = 0。网络边界安全互联网接入口数量各单位同一办公区域内互联网接入口不超过 2 个。 2 定性符合,P = 1;不符合,P = 0。信息安全防护管理设备安全 恶意代码防护 部署防病毒网关或统一安装防病毒软件,并定期更新恶意代码库。 2 定性 符合,P = 1; 不符合,P = 0。评估指标 评
17、价要素 评价标准 权重(V) 指标属性 量化方法(P 为量化值) 评估得分(VP)服务器口令策略配置口令策略保证服务器口令强度和更新频率。 2 定量 P = 配置了口令策略的服务器比率。服务器安全审计 启用安全审计功能并进行定期分析。 1 定量P = 对安全审计日志进行定期分析的服务器比率。服务器补丁更新及时对服务器操作系统补丁和数据库管理系统补丁进行更新。 1 定量P = 补丁得到及时更新的服务器比率。网络设备和安全设备口令策略配置口令策略保证网络设备和安全设备口令强度和更新频率。 2 定量P = 网络设备和安全设备(指重要设备)中配置了口令策略的比率。终端计算机统一防护采取集中统一管理方式
18、对终端进行防护,统一软件下发、安装系统补丁。 2 定性符合,P = 1;不符合,P = 0。终端计算机接入控制采取技术措施(如部署集中管理系统、将 IP 地址与 MAC 地址绑定等)对接入本单位网络的终端计算机进行控制。1 定性 符合,P = 1;不符合,P = 0。应用系统安全漏洞扫描定期对业务系统、办公系统、网站系统、邮件系统等应用系统进行安全漏洞扫描。 2 定性 符合,P = 1;不符合,P = 0。门户网站防篡改措施 门户网站采取网页防篡改措施。 2 定性符合,P = 1;不符合,P = 0。门户网站抗拒绝服务攻击措施门户网站采取抗拒绝服务攻击措施。 2 定性 符合,P = 1;不符合,P = 0。应用系统安全电子邮件账号注册审批建立邮件账号开通审批程序,防止邮件账号任意注册使用。 2 定性符合,P = 1;不符合,P = 0。
