信息名称:关于组织开展2012年度全市党政机关信息系统安全检查工作的通知
索 引 号:014109453/2012-00051
主题分类:其他 体裁分类:通知 组配分类:其他 市工信局:通知公告
文件编号:
产生日期:2012-05-28
发布机构:市网络与信息安全协调小组办公室
发布日期:2012-05-29
废止日期:
内容概述:组织开展2012年度全市党政机关信息系统安全检查并下发安全检查实施方案
关于组织开展2012年度全市党政机关信息系统安全检查工作的通知

关于组织开展2012年度全市党政机关

信息系统安全检查工作的通知

市各委办局、各辖市(区)信息安全主管部门:

  根据省网络与信息安全协调小组办公室《关于组织开展2012年度全省党政机关信息系统安全检查工作的通知》(苏信安办〔20129号),结合我市实际,市网络与信息安全协调小组办公室(以下简称“市信安办”)决定在全市组织开展2012年度党政机关信息系统安全检查工作。

  市级党政机关各部门和单位请按照《2012年度常州市党政机关信息系统安全检查实施方案》(以下简称为“实施方案”),积极开展自查,落实各项要求,并及时按规定上报各项工作材料(相关文件表格下载地址见市经信委网站通知公告告示栏或信息资源与安全子栏目)。

  市信安办将会同有关部门和信息安全服务机构对各辖市(区)、各部门的自查情况进行抽查,并对检查工作情况进行通报。

  市信安办联系人:舒克,电话:85681279,地址:龙城大道1280号行政中心1号楼B2308室,邮编:213022

二○一二年五月二十八日

 

附件:

2012年度党政机关信息系统

安全检查实施方案

  为加强党政机关信息系统安全检查工作,提高党政机关信息系统安全保障能力,保证党政机关信息系统和信息内容安全,根据《江苏省政府信息系统安全检查实施办法》(苏政办发〔2009〕51号)(以下简称《实施办法》)及市委信息系统安全检查工作部署,按照2012年度工信部、省信安办党政机关信息系统安全检查要求及工作相关标准规范,结合我市实际,制定本实施方案。

  一、检查目的

  通过开展信息系统安全检查,掌握全市信息安全总体态势,发现存在的主要问题和薄弱环节,推动各部门进一步健全信息安全管理制度、完善信息安全保障技术措施、提高信息安全防护能力。

  二、检查范围和内容

  对全市各级党政机关信息安全工作进行全面检查。检查内容包括:各单位自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、网站系统,以及部分终端设备等。检查重点为公共服务业务系统和门户网站。详细内容分别参见《2012年度党政机关信息系统安全自查情况报告表》(附件1)。

  涉及国家秘密的信息系统保密检查工作,按照国家保密管理规定执行。

  三、检查原则

  坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,统筹安排、突出重点、明确责任、注重实效。

  市级党政机关各部门信息系统安全检查由市信安办统一组织。

  各辖市(区)党政机关各部门信息系统安全检查由各辖市(区)信息安全主管部门组织开展。

  各部门直属单位的信息安全检查工作由各部门自行组织开展。

  四、检查依据

  (一)政策文件

  1.《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)

  2. 《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》(国办发〔200928号)

  3. 《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》(国办发〔2008〕17号)

  4. 《国务院办公厅关于印发国家网络与信息安全事件应急预案的通知》(国办函〔2008〕168号)

  5. 《关于加强党政机关计算机信息系统安全和保密管理的若干规定》(国保发〔2007〕13号)

  6. 《省委办公厅省政府办公厅关于加强信息安全保障工作的意见》(苏办发〔2007〕25号)

  7. 《省政府办公厅关于印发〈江苏省政府信息系统安全检查实施办法〉的通知》(苏政办发〔2009〕51号)

  (二)技术标准

  1. 《信息安全风险评估规范》(GB/T 20984-2007)

  2. 《信息安全风险管理指南》(GB/Z 24364-2009)

  3. 《信息系统安全等级保护基本要求》(GB/T 22239-2008)

  4. 《信息安全管理体系要求》(GB/T 22080-2008)

  5. 《信息安全管理实用规则》(GB/T 22081-2008)

  6. 《信息系统安全管理要求》(GB/T 20269-2006)

  7. 《信息安全事件分类分级指南》(GB/Z 20986-2007)

  8. 《信息安全事件管理指南》(GB/Z 20985-2007)

  9. 《信息系统灾难恢复规范》(GB/T 20988-2007)

  10. 《信息安全应急响应计划规范》(GB/T 24363-2009)

  五、检查形式及时间安排

  此次检查分为自查和抽查两个阶段:

  (一)自查阶段

  信息系统安全检查以自查为主。各级党政机关应于6月30日前完成本年度信息安全自查,并参照《2012年度信息系统安全检查工作报告》(附件2)内容和格式要求,报送工作总结。

  (二)抽查阶段

  市信安办主要成员单位将于今年7月对部分市级党政机关和各辖市(区)开展综合抽查。对市级党政机关抽查的主要内容:一是部门自查和直属单位检查工作是否开展,是否按时报送工作总结;二是按照《2012年度党政机关信息系统安全自查情况报告表》逐项检查,并核对自查准确度;三是选择1-2个重要信息系统进行现场技术检测,检查安全措施部署落实情况。对各辖市(区)的信息安全检查内容另发。

  六、检查工作总结与情况通报

  (一)检查工作总结

  各部门自查工作总结应包括《2012年度信息系统安全检查工作报告》和《2012年度党政机关信息系统安全自查情况报告表》。

  各辖市(区)的检查工作总结应包括《2012年度信息系统安全检查工作报告》和《2012年度辖市(区)信息安全保障工作检查表》(另发)。

  (二)检查情况通报

  市信安办将对各部门自查情况、各辖市(区)安全检查组织工作情况进行汇总分析,形成工作报告上报市网络与信息安全协调小组和省网络与信息安全协调小组办公室。同时,市信安办将按照《实施办法》要求,向各辖市(区)、各部门通报相关检查情况,表彰工作先进单位。

  七、工作要求

  (一)各辖市(区)、各部门应将信息系统安全检查列入重要议事日程,切实加强组织领导,完善检查工作机制,落实检查工作经费,确保检查工作顺利开展。

  (二)请各辖市(区)、各部门认真填写《江苏省重要信息系统基本情况调查表》(附件3),并于68日前报送市信安办(材料表格需盖章)。

  (三)请市级党政机关各部门于6月30日前,将自查工作总结(纸质文档和电子光盘)报送市信安办(纸质材料需盖章)。

  各辖市(区)信息安全主管部门要认真组织做好本地区党政机关信息系统安全检查工作,并于7月10日前将书面检查工作总结报送市信安办(纸质材料需盖章)。

  (四)各辖市(区)、各部门可利用自有技术力量开展安全检查工作,其中,技术检测工作应委托经省或市备案的风险评估、等级测评等信息安全专业服务机构协助开展。

  (五)委托外部专业机构协助开展技术检测,应与检测机构及人员签订安全保密协议,明确安全保密责任和义务。协议中须注明以下内容:1.遵守国家有关法律法规和信息安全相关政策规定,客观、公正地提供检测服务;2.不得将检测任务分包或转包;3.如实出具检测结果,不得隐瞒检测过程中发现的问题;4.加强对检测人员的安全保密管理,严格遵守安全保密制度规定;5.不得向其他单位和个人泄露检测数据和检测结果,不得擅自留存相关资料和检测数据,不得利用检测数据谋取利益;6. 遵循安全、可控原则,所用软、硬件设备应为取得公安部销售许可或经国家信息安全强制认证的信息安全专用检测设备;7.检测过程中应主动采取有效措施,防止因技术检测引发信息安全事故。

  (六)强化安全检查过程中的安全保密和风险控制,切实加强对检查活动、检查人员以及相关文档和数据的安全保密管理,确保被检查信息系统的正常运行。

  附件:1、2012年度党政机关信息系统安全自查情况报告表

  22012年度信息系统安全检查工作报告

  3、江苏省重要信息系统基本情况调查表

附件1:

2012年度党政机关信息系统安全自查情况报告表

部门名称:                         总分:

  一、部门信息安全管理组织架构(小计4分,得分)

分管信息安全

工作的领导

2分)

名:

务:

信息安全责任处室

1分)

称:

负责人:职务:

 话:

信息安全员

1分)

名:职务:

话:

  二、日常信息安全管理(小计10分,得分)

制度建设

4分)

  信息安全和保密责任制度:□已建立□未建立

  机房及重要区域管理制度:□已建立□未建立

  资产管理制度:□已建立□未建立

  人员安全管理制度:□已建立□未建立

  门户网站信息发布管理制度:□已建立□未建立

  信息系统外包服务安全管理制度:□已建立□未建立

  信息安全教育培训制度:□已建立□未建立

人员管理

3分)

①重要岗位人员信息安全和保密协议:

□全部签订□部分签订□均未签订

②人员离岗离职手续包括:

□终止系统访问权限□收回软硬件设备

□收回工作身份证件和门禁卡□签订离岗离职安全承诺书

③人员离岗离职安全承诺书:□全部签订 □部分签订 □均未签订

④外部人员访问机房等重要区域的现场陪同记录:□完整□不完整

资产管理

3分)

  资产管理人员 :人,姓名:

  资产账物相符程度:□完全相符□不完全相符□严重不符

  资产管理方式:□统一编号、统一发放□其他        

  信息安全设备运维管理:

  □已明确专人负责□未明确

  □定期进行配置检查、日志审计等□未进行

⑤设备维修维护和报废销毁管理记录: □完整□不完整

  三、信息安全防护管理(小计43分,得分)

网络安全

防护管理

  (7分)

互联网接入情况

(1)

互联网接入口总数:个,其中:

电信接入口数量:个,接入带宽:兆,年租费:万元;

联通接入口数量:个,接入带宽:兆,年租费:万元;

其他:接入口数量:个,接入带宽:兆,年租费:万元。部门IP地址包括:

网络隔离

(2)

①非涉密信息系统与互联网及其他公共信息网络隔离情况:

□物理隔离□逻辑隔离□无隔离

②涉密信息系统与互联网及其他公共信息网络隔离情况:

□物理隔离□逻辑隔离□无隔离

网络边界防护

(4)

①网络区域划分是否合理:□合理□不合理

②安全防护设备策略:□使用默认配置□根据应用自主配置

③网络边界防护措施:□访问控制 □安全审计 □入侵防范

  □边界完整性检查□恶意代码防范 □无措施

④互联网访问日志:□留存日志□未留存日志

信息系统

安全防护

管理

15分)

信息系统基本情况

(1)

  信息系统总数:个,面向社会公众提供服务的信息系统数:个

  重要信息系统:个□已按时填报□未填报

  委托社会第三方进行日常运维管理的信息系统数:个,其中签订运维外包服务合同的信息系统数:个

定级备案

(2)

①已定级系统 个,其中:第一级:个 ,第二级:个第三级:个,第四级:个,第五级:个,未定级:个

②备案情况:□已备案□未备案

系统安全测评

(6)

本年度          (系统)开展安全测评(含风险评估、等级测评)次数:, 其中,风险评估次,评估机构名称:           ,等级测评次,测评机构名称:          ;近两年安全测评报告总数:

系统安全管理

(6)

①服务器安全防护:

□已关闭不必要的应用、服务、端口□未关闭

帐户口令满足8位,包含数字、字母或符号□不满足

□定期更新帐户口令□未能定期更新

□定期进行漏洞扫描、病毒木马检测□未进行

②网络设备防护:

□安全策略配置有效□无效

帐户口令满足8位,包含数字、字母或符号 □不满足

□定期更新帐户口令□未能定期更新

□定期进行漏洞扫描、病毒木马检测□未进行

③信息安全设备部署及使用:

□已部署有防病毒、防火墙、入侵检测、安全审计等功能的设备□未部署

□安全策略配置有效□无效

门户网站

防护管理

10分)

(4)

①网站是否备案:□是□否

②门户网站账户安全管理:

□已清理无关帐户□未清理

□无空口令、弱口令和默认口令□有

③电子邮件功能(□开设□未开设)

已作清理,仅限本部门或有关人员使用□未作清理

□有技术措施用于控制和管理口令强度□无技术措施

□无空口令、弱口令和默认口令□有

④清理网站临时文件、关闭网站目录遍历功能等情况:

口已清理口未清理

⑤信息发布管理审核记录: □完整□不完整

⑥网站系统计日志管理:□留存,周期为:□不留存

⑦防篡改、防攻击技术措施:

□有,措施为□无措施

日常安全保障

(6)

该项根据省信安办定期组织开展的政务网站外部安全检测结果和各部门是否及时有效实施安全整改等情况,由省信安办进行评分。

终端计算机

安全管理

6分)

  ①终端计算机安全管理方式:

  □集中管理,方式为:□用户分散管理

②帐户口令管理:

□无空口令、弱口令和默认口令□有

③接入互联网安全控制措施:

□有控制措施(如实名接入、绑定计算机IP和MAC地址等)

□无控制措施

④漏洞扫描、木马检测:□定期进行□未进行

⑤在非涉密信息系统和涉密信息系统间混用情况:

□不存在□存在

⑥是否存在使用非涉密计算机处理涉密信息情况:

□不存在□存在

存储设备

安全管理

2分)

①移动存储设备管理方式:

□集中管理,统一登记、配发、收回、维修、报废、销毁

□未采取集中管理相关措施

②在非涉密信息系统和涉密信息系统间混用情况:

□不存在□存在

信息安全防护管理综合评分

(3)

该项由各有关单位结合自查情况,对本单位信息安全防护管理情况进行综合评分。抽查时,该项由省信安办根据抽查情况对各有关单位进行综合评分。

  四、信息安全应急管理(小计10分,得分)

部门应急预案制定及备案

情况

5分)

□已制订,本年度修订情况:□修订□未修订

□未制定

□已备案,报备部门、时间:

□未备案

应急技术

支援队伍

1分)

□部门所属单位□外部专业机构□未明确

应急技术支援队伍名称:


信息安全

应急演练

2分)

□本年度已开展□本年度未开展

信息安全备份

2分)

①重要数据:□备份□未备份

②重要信息系统:□备份□未备份

③容灾备份方式:□本地□同城□异地

  五、信息技术产品使用(小计4分,得分

服务器

总数:台,品牌包括:,国产化率:  %

终端计算机

(含笔记本)

总数:台,品牌包括:国产化率:%

网络设备

总数:台,国产化率:%

操作系统

服务器Windows操作系统安装率:%Linux操作系统安装率:%,其他操作系统安装率:%

终端计算机Windows操作系统安装率:%Linux操作系统安装率:%,其他操作系统安装率:%

数据库

总数:套,国产化率:%

公文处理软件

国产公文处理软件安装率:%;国外软件安装率:%

信息安全产品及认证情况[1]

4分)

  服务器和终端设备国产防病毒产品安装率:%;国产防火墙(不含终端软件防火墙)安装率:%

②信息安全产品通过国家统一强制认证情况:

□全部通过认证

□部分通过认证,未通过认证的产品包括:

  六、信息安全教育培训(小计7分,得分)

信息安全员持证上岗情况

4分)

□信息安全员参加专门培训,并通过考核获得上岗证

□信息安全员参加专门培训,未通过考核

□未派员参加


组织培训情况

3分)

□本年度是否组织开展信息安全教育培训,次数:

□本年度参加信息安全教育培训的人员占总人数比例为:%,

(单位总人数为:)

  七、信息安全检查(小计7分,得分)

2011年度安全检查发现问题整改情况

2分)

□已落实整改措施,完成时间:

□已制定整改工作计划

□未开展

2012年度信息安全检查工作情况

  (5分)

检查工作和经费落实情况:

□已落实 检查负责人:落实经费:万元□未落实

检查工作方案制定情况:□已制定□未制定

安全保密和风险控制措施:□已采取□未采取

组织开展技术检测情况:□已开展□未开展

  八、信息安全经费保障(小计4分,得分)

经费预算

2分)

□有信息安全相关年度预算,本年度信息安全经费预算额:万元

预算主要包括:□信息安全防护设施建设□运行维护

  □安全检查□等级测评和风险评估

□无预算

实际投入

2分)

本年度信息安全经费实际投入额:万元

  九、信息安全检测和事件处置(小计9分,得分)

安全技术检测

3分)

病毒木马等

恶意代码[2]检测

2分)

□已开展,服务器检测覆盖率:  %,终端覆盖率:  %,检测机构(或部门)名称:,使用工具和方法:。

□未开展

漏洞检测

整改

1分)

□已开展,服务器检测覆盖率:  %,终端覆盖率:  %,检测机构(或部门)名称:,使用工具和方法:,漏洞整改台次。

□未开展


安全事件处置

(6)

  网络与信息安全事件处置(省信安办下发通知):

□及时整改□未整改

②重大信息安全事件(含Ⅲ级及Ⅲ级以上)处置情况:

□发现并及时处置整改□发现未处置□未及时整改□未发现

  十、信息技术外包服务(小计2分,得分)

外包服务

(2)

①信息系统运维服务:

□无外包□外包服务商现场运维 □外包服务商远程运维

②现场服务记录: □有详细服务过程记录 □有进出现场记录□无记录

③外包开发系统软件测评情况:

□上线前均经测评□部分测评 □均未测评

外包服务机构

机构名称

 

机构性质

□国有□民营□外资

服务内容[3]

 

外包服务合同

□已签订□未签订

信息安全和保密协议

□已签订□未签订

信息安全管理体系

认证情况

□已通过认证

认证机构:

□未通过认证

(如有多个外包机构,每个机构均应填写,可另附页)

  十一、信息安全工作创新(最高加10分,且加分后总分不超过100分,得分)

人才培养

部门信息安全员参加CISP培训,每1人次获证者加1;参加其它国家级权威机构信息安全培训,每1人次获证者加0.5分。

创新实践

信息安全工作获国家、省级主管部门行文表彰或以文件形式批转作为试点示范推广的,国家级每项加3分,省级每项加2分。

  填表人:_____________                    部 职 别:_______________   

  电话:_______________                  填表日期:______________

附件2:

2012年度信息系统安全检查工作报告

  一、信息安全状况总体评价

  概述本市(或本部门)信息安全工作情况,与上一年度相比信息安全工作取得的新进展,对本市(或本部门)信息安全状况的总体评价。

  二、2012年信息安全检查情况

  (一)信息安全自查情况

  对照2012年度党政机关信息系统安全检查工作方案要求,逐项描述本市(或本部门)2012年在信息安全组织管理、日常管理、安全防护、应急管理、教育培训、安全检查等方面开展的工作情况。

  (二)直属单位信息安全检查组织实施情况

  指导县、区、市(或直属单位)开展信息安全自查和组织抽查等有关情况。

  三、检查发现的主要问题及整改情况

  (一)存在主要问题及其原因

  描述安全检查特别是技术检测发现的主要问题和薄弱环节,分析其存在原因。

  (二)下一步工作打算

  针对检查发现的问题提出整改计划或整改措施。

  四、对信息安全工作的意见和建议

  对信息安全工作特别是信息安全检查工作提出意见和建议。


附件3:

  江苏省重要信息系统

  基本情况调查表

  填 报 单 位:(盖章)

  填 报 数 量:

  填 报 日 期:

  江苏省网络与信息安全协调小组办公室

  二〇一二年五月


  填 表 说 明

  一、根据《江苏省政府信息系统安全检查实施办法》要求,依据《信息系统安全保护等级定级指南》等相关技术标准,制作本表。

  二、本表所称“重要信息系统”,是指政府部门、重要行业履行经济调节、市场监管、社会管理和公共服务职能的非涉密信息系统。包括但不限于以下类别:

  1、安全保护等级为3级及以上的信息系统;

  2、省、省辖市、县(区、市)政府门户网站、行政权力网上公开透明运行平台,省级机关的部门网站、行政权力网上公开透明运行系统;

  3、涉及法人和其他组织以及公民的专有信息的信息系统,如身份敏感信息、关键技术数据、科技情报、商业秘密等;

  4、受到破坏后会严重影响社会秩序或党政部门工作职能履行,可能会造成一定范围公共利益损失的信息系统;

  5、可能影响国家经济建设、涉及国家安全利益的信息系统。

  三、本表封面“填报数量”,是指填报重要信息系统的数量;内表可复印使用,每个重要信息系统填写一张。

  四、本表中有选择的地方请在选项左侧0内划“√”,如选择其它,请在其后的横线中注明详细内容。

  五、本表由江苏省网络与信息安全协调小组办公室(江苏省经济和信息化委员会)制定并负责解释。


  重要信息系统基本信息

 

  系统全称

 

系统所有权

  0本单位0其它单位

系统投资规模

 

系统建设单位

 

投入运行时间

 

联系人

 

职务/职级

 

联系电话

 

电子邮箱

 

系统业务和

范围描述

 

系统类别

0安全保护等级为3级及以上

0省、省辖市、县(区、市)政府门户网站、行政权力网上公开透明运行平台,省级机关的部门网站、行政权力网上公开透明运行系统

0涉及法人和其他组织以及公民的专有信息的信息系统0受到破坏后会严重影响社会秩序或党政部门工作职能履行,可能会造成一定范围公共利益的损失

0受到破坏后可能会影响国家经济建设与国家安全利益

系统运维情况

0自行运维0托管于信息中心0委托第三方(公司)运维

系统服务情况

服务范围

  0全国0跨省

  0全省0跨地(市、区)

  0省辖市0其它

服务对象

  0社会公众人员0单位内部人员0两者均包括

  0其它

服务用户

  050个以内050~5000500个以上

系统网络情况

网络性质

  0互联网0省政务内网0业务专网

  0局域网0其它IP地址: 

连接情况

  0与其它单位或行业系统连接0与本单位其它系统连接

  0独立系统不与其他系统连接0其它

等级保护

定级备案情况

0未备案0已备案[4](如选择已备案请填写下项)

安全保护等级

  0第一级0第二级0第三级0第四级0第五级


[1]根据财政部、工信部等四部门下发的《关于信息安全产品实施政府安全采购的通知》(财库〔2010〕48号)要求:国家机关、事业单位和团体组织使用财政性资金采购信息安全产品的,应当采购经国家认证的信息安全产品。

[2]本表所称恶意代码,是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。

  [3] 服务内容主要包括:系统集成、系统运维、风险评估、安全检测、安全加固、应急支持、数据存储等。

[4]已备案,是指信息系统主管单位已经向公安机关申请备案,并取得备案回执的情况。