市各部、委、办、局,各辖市(区)信息安全主管部门:
根据2013年度省信安办信息安全检查要求,结合我市实际,市网络与信息安全协调小组办公室(以下简称市信安办)决定开展2013年全市重点领域信息安全检查工作。
请各地各部门按照《2013年度常州市重点领域信息安全检查工作方案》要求,积极开展自查,落实各项要求,并及时按规定报送工作总结。市信安办将组织有关部门,对各地、各部门的自查情况进行抽查,并对安全检查工作进行总结和书面通报。
联系人:戴国俊,85681279,85681234(传真),13815006589@126.com。
联系地址:常州市龙城大道1280号行政中心1号楼B座2308室,邮编:213022。
附:2013年度常州市重点领域信息安全检查工作方案
2013年7月16日
2013年度常州市重点领域信息安全检查工作方案
为指导2013年度全市重点领域信息安全检查工作,按照省信安办统一部署,制定本工作方案。
一、检查原则与目的
坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,统筹安排,突出重点,明确责任,注重实效。通过开展常态化的信息安全检查,进一步落实信息安全责任,增强人员信息安全意识,认真查找突出问题和薄弱环节,全面排查安全隐患和安全漏洞,分析评估信息安全状况和防护水平,有针对性地采取管理和技术防护措施,促进安全防范水平和安全可控能力提升,预防和减少重大信息安全事件的发生,切实保障信息安全。
二、检查范围和内容
对全市各级党政机关和城市供水供气供热等市政领域信息安全工作进行全面检查。
检查内容:各级党政机关和市政领域各单位信息安全管理情况、应急工作情况和安全教育培训情况,办公系统、业务系统、网站系统、工业控制系统以及终端设备等的技术防护情况和以往检查发现问题的整改情况。
安全检查中涉及保密工作的,按照国家保密管理规定和标准执行。
三、检查组织
市级党政机关各部门信息安全检查工作由市信安办统一组织实施;
各部门直属单位的信息安全检查工作由各部门参照本工作方案,自行组织实施;
各辖市(区)参照本工作方案,组织辖市(区)范围内党政机关及市政领域信息安全检查。
四、检查形式及时间安排
此次检查采取自查与抽查相结合,以自查为主的方式开展。各地、各部门在具体实施安全检查时,采用人员访谈、文档查阅、工具检测、人工核验等方法进行。
(一)自查组织与实施
市级党政机关按照本工作方案附件1内容开展部门和直属单位信息安全自查。各辖市(区)网络与信息安全主管部门参照本工作方案附件2内容开展地方信息安全自查,参照附件1内容组织本地区党政机关信息安全自查,按照本工作方案附件3内容组织市政领域信息安全自查。
各地、各部门完成自查后,应对检查情况进行全面汇总总结,认真填写表格,梳理存在问题,评估安全风险,编写总结报告,形成自查材料(自查材料清单详见附件8)。
各地、各部门自查材料应于2013年8月30日前报送市信安办。书面材料邮寄市信安办联系人,电子文档可电子邮件至联系人,重要敏感信息应刻光盘送交联系人。
(二)抽查组织与实施
由市信安办主任、副主任单位有关人员和技术专家组成工作组开展信息安全抽查。
抽查采取现场检查与外部检测两种方式进行,重点检查自查工作组织开展情况,2012年安全检查发现问题整改情况,安全防护措施和管理制度落实情况,以及安全防护策略、配置有效性。抽查工作具体内容和安排,市信安办将结合自查情况另行发文通知相关地区和部门。
(三)检查情况通报
检查结束后,市信安办将综合分析自查与抽查情况,向各地、各部门通报检查结果,表彰先进地区和部门,并形成工作报告上报市网络与信息安全协调小组和省网络与信息安全协调小组办公室。
五、具体要求
(一)认真组织,做好总结
各地、各部门应将信息系统安全检查列入重要议事日程,切实加强组织领导,完善检查工作机制,落实检查工作经费,认真、如实撰写自查报告,确保检查工作有效开展。
(二)注重源头,深入检查
各地、各部门要全面细致开展检查工作, 注重采用技术检测等手段,深入查找安全问题和隐患,确保检查工作不走过场、不漏环节、不留死角。要高度重视检查中发现的苗头性、趋势性问题,全面系统地分析研究解决,从源头上遏制和消除安全隐患。
(三)即查即改,务求实效
各地、各部门应尽可能边检查边整改,尽早消除安全隐患。对检查中发现的问题及时进行研究,采取有效措施加以整改。因条件不具备不能立即整改的,要制定整改计划,明确整改方案及整改时间表,采取临时防范措施,确保信息系统安全正常运行。
(四)强化保密,控制风险
各地、各部门开展安全检查工作时,要规避检查的安全风险,制定风险控制措施,并严格执行。信息安全风险评估工作应委托省市经信部门备案的专业机构开展(名单见附件5)。检查工作中应对检查人员进行专项保密教育,签订保密协议,专人监督,确保检查数据和检查结果不被泄露。
附件1:2013年度党政机关信息安全自查表
附件2:2013年度辖市(区)信息安全保障工作检查表
附件3:2013年度市政领域信息安全自查表
附件4:2013年度**辖市(或**部、委、办、局)信息安全检查工作报告
附件5:2013年度江苏省信息安全风险检查评估备案机构及联系方式
附件6:重要信息系统情况调查表
附件7:工业控制系统情况调查表
附件8:自查材料清单
附件1:
2013年度党政机关信息安全自查表
部门名称: 总 分:
|
一、组织架构(小计3分,得 分)
|
|
分管领导
(1分)
|
姓 名:
职 务:
|
|
责任处室
(1分)
|
名 称:
负责人: 职务:
电 话:
|
|
信息安全员
(1分)
|
姓 名: 职务:
电 话:
|
|
二、日常管理(小计9分,得 分)
|
|
制度建设
(3分)
|
① 信息安全和保密责任制度: □已建立 □未建立
② 机房及重要区域管理制度: □已建立 □未建立
③ 资产管理制度: □已建立 □未建立
④ 人员安全管理制度: □已建立 □未建立
⑤ 门户网站信息发布管理制度: □已建立 □未建立
⑥ 信息系统外包服务安全管理制度:□已建立 □未建立
|
|
人员管理
(2分)
|
①重要岗位人员信息安全和保密协议:
□全部签订 □部分签订 □均未签订
②人员离岗离职手续包括:
□终止系统访问权限 □收回软硬件设备
□收回工作身份证件和门禁卡 □签订离岗离职安全承诺书
③人员离岗离职安全承诺书:□全部签订 □部分签订 □均未签订
④外部人员访问机房等重要区域登记、陪同记录:
□完整 □不完整
|
|
资产管理
(2分)
|
① 资产管理人员 : 人,姓名:
② 资产账物相符程度:□完全相符 □不完全相符 □严重不符
③ 资产管理方式: □统一编号、统一发放 □其他
④ 信息安全设备运维管理:
□已明确专人负责 □未明确
□定期进行配置检查、日志审计等 □未进行
⑤设备维修维护和报废销毁管理记录: □完整 □不完整
|
|
经费预算
(2分)
|
□有信息安全相关年度预算,本年度信息安全经费预算额: 万元,实际投入 万元。
预算主要包括:□信息安全防护设施建设 □运行维护
□安全检查 □等级测评和风险评估 □无预算
|
|
三、风险评估与等级保护(小计25分,得 分)
|
|
等级保护
(10分)
|
①定级备案:□已备案 □未备案
已定级系统 个,其中:第一级: 个 ,第二级: 个 第三级: 个,第四级: 个,第五级: 个,未定级: 个
②按照要求开展等级测评: □已测评 □未测评
③定级系统对应密码保护措施:□符合要求 □不符合要求
④定级系统密码应用备案:□已备案 □未备案
⑤定级系统密码测评:□已测评 □未测评
⑥定级系统密码方案审查:□已审查 □未审查
|
|
风险评估
(15分)
|
①按要求三年内已开展风险评估:□已开展 □未开展
②风险评估类型:□自评估 □检查评估
③风险评估机构:□备案机构:
□自行开展 □未备案机构:
④风险评估报告质量:□符合标准 □不符合标准
⑤评估结果使用:□已整改 □未整改
|
|
四、应急管理(小计5分,得 分)
|
|
预案制定
及备案情况
(3分)
|
□已制订,本年度修订情况:□修订 □未修订
□未制定
|
|
□已备案,报备部门、时间:
□未备案
|
|
应急技术
支援队伍
(1分)
|
□部门所属单位 □外部专业机构 □未明确
应急技术支援队伍名称:
|
|
容灾备份
(1分)
|
①重要数据: □备份 □未备份
②重要信息系统:□备份 □未备份
③容灾备份方式:□本地 □同城 □异地
|
|
五、教育培训(小计5分,得 分)
|
|
信息安全员持证上岗情况
(2分)
|
□信息安全员参加专门培训,并通过考核获得上岗证
□信息安全员参加专门培训,未通过考核
□未派员参加
|
|
组织培训情况
(3分)
|
□本年度是否组织开展信息安全教育培训,次数:
□本年度参加信息安全教育培训的人员占总人数比例为: %,
(单位总人数为: 人)
|
|
六、检查组织(小计9分,得 分)
|
|
2012年安全检查问题整改情况
(2分)
|
□已落实整改措施,完成时间:
□已制定整改工作计划
□未开展
|
|
2013年度信息安全检查工作情况
(5分)
|
检查工作和经费落实情况:
□已落实 检查负责人: 落实经费: 万元 □未落实
检查工作方案制定情况: □已制定 □未制定
安全保密和风险控制措施: □已采取 □未采取
组织开展技术检测情况: □已开展 □未开展
|
|
安全技术检测
(2分)
|
病毒木马等恶意代码[1]检测
(1分)
|
□已开展,服务器检测 台,终端检测 台,检测机构(或部门)名称: 。存在恶意代码的服务器 台,存在恶意代码的终端 台。
□未开展
|
|
漏洞检测整改
(1分)
|
□已开展,服务器检测 台,终端检测 台,检测机构(或部门)名称。存在漏洞的服务器 台,存在高风险[2]漏洞的服务器 台,存在漏洞的终端 台,存在高风险的终端 台。
□未开展
|
|
七、服务产品使用(小计6分,得 分)
|
|
外包服务
(2分)
|
①信息系统运维服务:
□无外包 □外包服务商现场运维 □外包服务商远程运维
②现场服务记录: □有详细服务过程记录 □有进出现场记录□无记录
③外包开发系统软件测评情况:
□上线前均经测评 □部分测评 □均未测评
|
|
外包服务机构(如有多个外包机构,每个机构均应填写,可另附页)
|
机构名称
|
|
|
机构性质
|
□国有 □民营 □外资
|
|
服务内容
|
□系统集成 □系统运维 □风险评估
□安全检测 □安全加固 □应急支持
□数据存储 □其他
|
|
外包服务合同
|
□已签订 □未签订
|
|
信息安全和保密协议
|
□已签订 □未签订
|
|
信息安全产品及认证情况3
(4分)
|
① 服务器和终端设备国产防病毒产品安装率: %;国产防火墙(不含终端软件防火墙)安装率: %;
②信息安全产品通过国家统一强制认证情况:
□全部通过认证
□部分通过认证,未通过认证的产品包括:
|
|
密码产品使用及资质情况
|
①是否使用密码设备:□是 □否
②实现的密码功能: □电子门禁 □安全访问路径 □身份鉴别
□访问控制 □审计记录 □程序安全 □数据传输 □数据存储
□数据安全
③密码设备取得国家密码管理局型号情况:
□全部取得
□部分取得,未取得型号的产品包括:
|
|
对外依赖度4
|
□高 □中 □低
|
|
八、技术安全管理(小计30分,得 分)
|
|
边界安全
管理
(6分)
|
①非涉密信息系统与互联网及其他公共信息网络隔离情况:
□物理隔离 □逻辑隔离 □无隔离
②涉密信息系统与互联网及其他公共信息网络隔离情况:
□物理隔离 □逻辑隔离 □无隔离 □无涉密信息系统
③网络区域划分是否合理:□合理 □不合理
④安全防护设备策略:□使用默认配置□根据应用自主配置
⑤网络边界防护措施:□访问控制 □安全审计 □入侵防范
□边界完整性检查 □恶意代码防范 □无措施
⑥互联网访问日志: □留存日志 □未留存日志
|
|
网站
安全管理
(10分)
|
①门户网站是否备案:□是 □否
②网站账户安全管理:
□已清理无关帐户 □未清理
□无空口令、弱口令和默认口令 □有
③电子邮件功能(□开设 □未开设)
□已作清理,仅限本部门或有关人员使用 □未作清理
□有技术措施用于控制和管理口令强度 □无技术措施
□无空口令、弱口令和默认口令 □有
④清理网站临时文件、关闭网站目录遍历功能等情况:
口已清理 口未清理
⑤信息发布管理审核记录: □完整 □不完整
⑥网站系统日志管理:□留存,周期为: □不留存
⑦防篡改、防攻击技术措施:
□有,措施为 □无措施
|
|
终端安全
管理
(6分)
|
①终端计算机安全管理方式:
□集中管理,方式为: □用户分散管理
②帐户口令管理:
□无空口令、弱口令和默认口令 □有
③接入互联网安全控制措施:
□有控制措施(如实名接入、绑定计算机IP和MAC地址等)
□无控制措施
④漏洞扫描、木马检测: □定期进行 □未进行
⑤在非涉密信息系统和涉密信息系统间混用情况:
□不存在 □存在
⑥是否存在使用非涉密计算机处理涉密信息情况:
□不存在 □存在
|
|
存储设备
安全管理
(2分)
|
①移动存储设备管理方式:
□集中管理,统一登记、配发、收回、维修、报废、销毁
□未采取集中管理相关措施
②在非涉密信息系统和涉密信息系统间混用情况:
□不存在 □存在
|
|
系统安全
管理
(6分)
|
①服务器安全防护:
□已关闭不必要的应用、服务、端口 □未关闭
□帐户口令满足8位,包含数字、字母或符号 □不满足
□定期更新帐户口令 □未能定期更新
□定期进行漏洞扫描、病毒木马检测 □未进行
②网络设备防护:
□安全策略配置有效 □无效
□帐户口令满足8位,包含数字、字母或符号 □不满足
□定期更新帐户口令 □未能定期更新
□定期进行漏洞扫描、病毒木马检测 □未进行
③信息安全设备部署及使用:
□已部署有密码设备、防病毒、防火墙、入侵检测、安全审计等功能的设备 □未部署
□安全策略配置有效 □无效
|
|
九、日常监测情况(小计8分,得 分,此项由市信安办判定)
|
填表人:_____________ 部 职 别:_______________
电 话:_____________ 填表日期:_______________
本表所称恶意代码,是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。
本表所称高风险漏洞,是指计算机硬件、软件或信息系统中存在的严重安全缺陷,利用这些缺陷可完全控制或部分控制计算机及信息系统,对计算机及信息系统实施攻击、破坏、信息窃取等行为。
根据财政部、工信部等四部门下发的《关于信息安全产品实施政府安全采购的通知》(财库〔2010〕48号)要求:国家机关、事业单位和团体组织使用财政性资金采购信息安全产品的,应当采购经国家认证的信息安全产品。
国外停止产品更新升级、终止技术支持等服务后,系统无法运行为高,系统可以运行但受较大影响为中,系统正常运转或受影响较小为低。
附件2:
2013年度辖市(区)信息安全保障工作检查表
辖市(区): 总 分:
|
一、组织机构(小计10分,得 分)
|
评分
|
|
网络与信息安全协调小组
(4分)
|
1、 成立和调整时的文件(1分)
2、 成员单位及工作职责(1分)
3、 协调小组职责履行情况(2分)
(前两项评分以正式文件为准;职责履行根据会议纪要、批示及落实、发文等评分,有一件即加1分,加满2分止)
|
|
|
协调小组办事机构
(4分)
|
1、成立和调整时的文件(1分)
2、办公室人员构成及工作职责(1分)
3、协调小组办事机构职责履行情况(2分)
(前两项评分以正式文件为准;职责履行根据会议纪要、批示及落实、发文等评分,有一件即加1分,加满2分止)
|
|
|
辖市(区)机关机制建设情况
(2分)
|
1、 辖市(区)党政机关信息安全分管领导和责任部门名单(1分)
(以提供名录为准,80%以上得1分,80%以下不得分)
2、辖市(区)党政机关信息安全员名单及联系方式(1分)
(以提供名录为准, 70%以上得0.5分,90%以上得1分)
|
|
|
二、工作落实(小计10分,得 分)
|
|
辖市(区)网络与信息安全协调小组年度工作安排
(6分)
|
1、 正式印发年度工作安排文件(2分)
(以正式文件为准)
2、 检查督促相关工作落实情况(4分)
(视主要工作的完成情况进行评分)
|
|
|
辖市(区)网络与信息安全会议制度落实情况
(2分)
|
1、 制发文件情况(0.5分)(以正式文件为准)
2、制度落实情况(1.5分)(以会议通知、会议纪要等文件为准)
|
|
|
辖市(区)网络与信息安全通报制度落实情况
(2分)
|
1、制发文件情况(0.5分)(以正式文件为准)
2、制度落实情况(1.5分)(以会议通知、会议纪要等文件为准)
|
|
|
三、风险评估(小计20分,得 分)
|
|
风险评估开展情况
(20分)
|
1、重要信息系统名录(10分)
(名录超过3家的得6分,不足3家的得3分,无名录倒扣3分。辖市(区)门户网站、财税、社保等不在名录内的,每缺少1个倒扣2分,建有重要信息系统明细台账或数据库的加4分。)
2、推动辖市(区)重要信息系统开展风险自评估情况(10分)
(查看自评估项目名单,比对评估服务机构是否为备案机构,否则按未评估计算。以1家自评估项目为标准。)
|
|
|
四、应急预案(小计10分,得 分)
|
|
辖市(区)网络与信息安全事件应急预案
(2分)
|
1、 制发文件情况(1分)
(以辖市(区)政府办或辖市(区)信安办正式发文为准,没有的不得分)
2、辖市(区)应急预案专题培训情况(1分)
(查看宣贯培训班或会议的举办情况,以其工作方案或新闻通讯为准,有即得1分)
|
|
|
应急预案基础支撑
(2分)
|
1、 明确专家队伍(1分)
(以提供专家名单、聘书复印件或正式文件为准,有即得1分)
2、 明确专门技术支撑队伍(1分)
(以应急预案、通知等正式文件上提供的名单为准,有即得1分)
|
|
|
重要信息系统应急预案建设情况
(6分)
|
1、 重要信息系统专项应急预案制定情况(3分)
(有即得1分,以重要信息系统名录为基数,制订率达40%以上得2分,80%以上得3分)
2、 重要信息系统专项应急预案培训及演练情况(3分)
(开展应急演练的,得3分;仅开展培训工作的得1.5分;未开展培训及演练的不得分)
|
|
|
五、信息安全检查(小计26分,得 分)
|
|
安全检查实施方案
(4分)
|
制发工作通知或文件(4分)
(以安全检查工作通知或工作方案正式文件为准,有得4分)
|
|
|
辖市(区)重要信息系统信息安全自查情况
(10分)
|
1、 辖市(区)党政机关报送信息安全自查报告情况(5分)
(以辖市(区)党政机关总数为基准,按报送自查报告所占比例进行评分。分值保留小数点后一位,四舍五入)
2、 辖市(区)党政机关报送自查有关数据材料的整理、汇总情况(5分)
(查看辖市(区)信安办对辖市(区)党政机关自查报告整理汇总数据项,视情评分)
|
|
|
信息安全抽查情况
(8分)
|
1、 组织对辖市(区)重要信息系统进行安全抽查(4分)
(查看安全抽查文档或有关记录,有1家单位得4分)
2、 安全抽查实施情况(如技术检测、现场点评等)(4分)
(对1家单位进行了技术检测、现场点评,得4分)
|
|
|
安全检查通报及
工作总结报送情况
(4分)
|
1、制发本辖市(区)党政机关信息系统安全检查工作情况通报等文件,包括自查、抽查相关工作(2分)
(已制发,得2分;已拟好通报文件稿,得1分)
2、向市信安办报送本辖市(区)信息安全检查工作总结情况(2分)
(按时报送工作总结得2分;未按时报送不得分)
|
|
|
六、业务培训(小计4分,得 分)
|
|
市级业务培训
参与情况
(4分)
|
市信安办组织信息安全员等业务培训参与情况(4分)
(视参加市信安办组织的业务培训情况评分。全部参加得4分,未参加不得分)
|
|
|
七、工作动态通报及信息安全事件情况(小计20分,得 分)
|
|
辖市(区)信息安全
工作动态通报情况
(4分)
|
1、本辖市(区)开展信息安全工作宣传、动态通报等情况(4分)
(查看辖市(区)信安办有关工作动态、通报等文件。有即得4分)
|
|
|
本辖市(区)信息安全事件处置情况
(16分)
|
1、 网络与信息安全事件处置(10分)
(根据市信安办下发的网络与信息安全事件处置通知,按时上报整改总结并完成整改的,得10分;否则,视情扣分)
2、重要时期信息安全保障(6分)
(按要求及时上报重要时期信息安全保障工作总结的得6分,否则不得分。)
|
|
|
|
|
|
|
|
填表人:_____________ 部 职 别:_______________
电 话:______________ 填表日期:________________
附件3:
2013年度市政领域信息安全自查表
|
单位名称:
|
|
单位业务概述:
|
|
一、日常安全管理(30分)
|
|
组织架构
(小计3分,得 分)
每缺一项扣1分
|
分管领导
|
姓名:
|
职务:
|
|
责任部门
|
名称:
|
责任人:
|
|
职务:
|
电话:
|
|
联 系 人
|
姓名:
|
职务:
|
电话:
|
|
制度建设
(小计2分,得 分)
每缺一项扣0.5分
|
☐信息安全责任制度
☐机房及重要区域管理制度
☐外包运维管理制度
☐信息安全教育培训制度
|
|
人员管理
(小计4分,得 分)
每缺一项扣1分
|
☐重要岗位签订信息安全和保密协议
☐外部人员访问重要区域记录
|
|
教育培训
(小计1分,得 分)
|
☐本年度组织开展信息安全教育培训
|
|
数据管理
(小计10分,得 分)
无国家基础数据等重要敏感数据不扣分,未采取保护措施扣10分。
|
是否存在地理、矿产、原材料等国家基础数据或其他重要敏感数据
|
|
☐是
|
☐否
|
|
是否对国家基础数据等重要敏感数据采取保护措施
|
|
☐是,采取了☐身份认证、☐权限控制、☐数据加密、☐安全审计、☐灾难备份、☐其他_______________
☐否
|
|
应急管理
(小计10分,得 分)
未制定应急预案扣6分,未落实技术队伍扣4分。
|
是否制定应急预案,明确处置流程和临机处置权限
|
|
☐是
|
☐否
|
|
是否落实应急技术支撑队伍
|
|
☐是
|
☐否
|
|
二、工控系统安全管理(70分)
|
|
连接管理
(小计20分,得 分)
未连接公共网络,不扣分;连接未登记扣5分;连接未进行安全防护扣20分;交叉使用存储介质或接入便携式计算机扣10分,扣完为止。
|
是否与公共网络连接
|
|
☐是,连接数______套
|
☐否
|
|
确实需要连接公共网络,是否进行登记
|
|
☐已登记
|
☐未登记
|
|
连接公共网络设备,是否设置防火墙、单向隔离
|
|
☐设置
|
☐未设置
|
|
是否在工控系统与公共网络间交叉使用移动存储介质,或接入便携式计算机
|
|
☐是
|
☐否
|
|
组网管理
(小计20分,得 分)
未采取通讯保护措施扣10分,无无线组网不扣分,无线组网未采取防护措施扣10分。
|
是否采取通讯保护措施
|
|
☐是,采取了☐VPN,☐线路冗余备份,☐数据加密,☐其他________技术。
☐否
|
|
是否无线组网
|
|
☐是,连接数_____套
|
☐否
|
|
无线组网是否采取防护措施
|
|
☐是,采取了☐身份认证,☐数据传输加密、☐安全监测等防护措施,☐其他_______________ ☐否
|
|
配置管理
(小计20分,得 分)
每个未实现项扣4分。
|
是否建立控制服务器等工业控制系统关键设备安全配置和审计制度。
|
|
☐是
|
☐否
|
|
是否根据工作需要分类设置账户权限
|
|
☐是
|
☐否
|
|
是否更改产品预设口令
|
|
☐是
|
☐否
|
|
是否存在空口令和弱口令
|
|
☐是
|
☐否
|
|
是否定期对账户、口令、端口、服务进行检查
|
|
☐是
|
☐否
|
|
维护管理
(小计10分,得 分)
供应商合同未明确信息安全责任和义务扣5分,未开启远程在线服务不扣分,开启远程在线服务未采取保障措施,扣5分。
|
是否在供货合同或运维合同中明确供应商承担的信息安全责任和义务
|
|
☐是
|
☐否
|
|
是否开启远程在线服务
|
|
☐是
|
☐否
|
|
远程在线服务是否有安全保障措施
|
|
☐是
|
☐否
|
|
总评分
|
|
|
填表人:_____________
|
电 话:______________
|
填表日期:______________
|
|
|
|
|
|
|
|
|
|
附件4:
2013年度 **辖市(或**部、委、办、局)信息安全检查工作报告
一、信息安全状况总体评价
概述本地区(或本部门)信息安全工作情况,与上一年度相比信息安全工作取得的新进展,对本地区(或本部门)信息安全状况的总体评价。
二、2013年信息安全检查情况
(一)信息安全自查情况
对照2013年度党政机关信息系统安全检查工作方案要求,逐项描述本地区(或本部门)2013年在信息安全组织机构、日常管理、风险评估与等级保护、应急管理、教育培训、安全检查等方面开展的工作情况。
(二)直属单位信息安全检查组织实施情况
指导乡镇、街道(或直属单位)开展信息安全自查和组织抽查等有关情况。
三、检查发现的主要问题及整改情况
(一)存在主要问题及其原因
描述安全检查特别是技术检测发现的主要问题和薄弱环节,分析其存在原因。
(二)下一步工作打算
针对检查发现的问题提出整改计划或整改措施。
四、对信息安全工作的意见和建议
对信息安全工作特别是信息安全检查工作提出意见和建议。
附件5:
2013年度江苏省信息安全风险检查评估备案机构及联系方式
江苏省信息安全测评中心
(吴兰 0510-85100442,18961815819)
江苏国瑞信安科技有限公司
(唐卫民 025-83733918,13951015587)
江苏天创科技有限公司
(许正平 025-84533270/0512-65153602,13861338588)
常州瑞新网络科技有限公司
(倪德帅 0519-89601685,13961183859)
苏州亿阳值通科技发展股份有限公司
(黄大为 0512-62565278,18015581970)
江苏金陵科技集团公司
(钱昊 025-83586423,18951656423)
江苏新亿迪智能科技有限公司
(周祥 0512-68119231-802,13812661176)
附件6:
重要信息系统情况调查表
|
信息系统使用单位:
|
|
信息系统名称:
(如有多个信息系统,每个信息系统单独填写)
|
|
系
统
情
况
|
是否面向社会
公众提供服务
|
☐面向社会公众提供服务
☐不面向社会公众提供服务
|
|
是否能通过
互联网访问
|
☐通过互联网可直接访问
☐通过互联网不能直接访问
☐与互联网物理隔离
|
|
是否进行
数据集中
|
☐全国数据集中
☐省级数据集中
☐未进行数据集中
|
|
系统运行
连续性要求
|
☐可容忍中断时间小于30分钟
☐可容忍中断时间大于30分钟、小于12小时
☐可容忍中断时间大于12小时的系统数量:
|
|
是否进行
灾难备份
|
☐进行系统级灾备的系统数量:
☐仅对数据进行灾备的系统数量:
☐无灾备的系统数量:
|
|
系
统
构
成
情
况
|
主要
硬件
和软
件
|
|
服
务
器
|
路
由
器
|
交
换
机
|
防
火
墙
|
磁盘
阵列
|
磁
带
库
|
操作
系统
|
数
据
库
|
密码机
|
智能密码钥匙
|
智能IC卡
|
CA证书
|
|
国内品牌数量
(台/套)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
国外品牌数量
(台/套)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
业务应用
软件系统
(统计3年内数
据)
|
1 自主设计开发(不含二次开发)的套数:
2、委托国内厂商开发的套数:
委托国外厂商开发的套数:
3、直接采购国内厂商产品的套数:
直接采购国外厂商产品的套数:
|
附件7:
工业控制系统情况调查表
|
工控系统系统使用单位:
|
|
工控系统名称:
(如有多个工控系统,每个工控系统单独填写)
|
|
系统类型情况
|
|
国内品牌
|
国外品牌
|
|
数据采集与监控(SCADA)系统
|
套
|
套
|
|
分布式控制系统(DCS)
|
套
|
套
|
|
过程控制系统(PCS)
|
套
|
套
|
|
可编程控制器(PLC)
|
台
|
台
|
|
工业控制系统网络连接情况
|
☐直接与互联网连接
☐与内部局域网连接
☐含有无线接入方式
|
|
运行维护
情况
|
☐采用远程方式运行维护
☐由国内厂商提供运行维护服务
☐由国外厂商提供运行维护服务
|
|
信息安全
防护情况
|
☐网络边界处架设网络安全设备
☐安装防病毒软件或设备
☐定期进行安全更新
☐采取加密措施传输、存储敏感数据
|
附件8:
自 查 材 料 清 单
辖市(区)信息安全主管部门:
1、2013年度辖市(区)信息安全保障工作检查表
格式见附件2,报书面版及电子版。
2、2013年度市政领域信息安全自查表
格式见附件3,报书面版及电子版。
3、2013年度**辖市(区)信息安全检查工作报告
格式见附件4,报书面版及电子版。
4、重要信息系统情况调查表(汇总)
格式见附件6,报电子版。
5、工业控制系统情况调查表(汇总)
格式见附件7,报电子版。
市级党政机关:
1、2013年度党政机关信息安全自查表
格式见附件1 ,报书面版及电子版。
2、2013年度**部、委、办、局信息安全检查工作报告
格式见附件4,报书面版及电子版。
3、重要信息系统情况调查表
格式见附件6,报电子版。
4、工业控制系统情况调查表
格式见附件7,报电子版。
注:书面版需用印盖章,电子版请至省经信委网站(www.jseic.gov.cn)/信息安全处/政策法规栏目下载表格,按说明填写。
|