1、关于开展2011年度政府信息系统安全检查的通 知县直各有单位:现将焦作市信息化工作领导小组办公室关于开展2011年度政府信息系统安全检查的通知转发给你们,望你单位接通知后,高度重视,根据通知要求,认真准备相关材料,于2011年9月5日下午5点前,先将本单位信息安全系统自查报告以纸质形式一式两份,单位一把手签字盖章后上报县工业和信息化局信息科技股,电子版发于wz7232180。联 系 人:张丽娟联系电话:7232180附:焦作市信息化工作领导小组办公室关于开展2011年度政府信息系统安全检查的通知武陟县工业和信息化局2011年9月1日焦作市信息化工作领导小组办公室关于开展2011年度政府信息系统
2、安全检查的通 知市直各部门,各县(市)区工业和信息化局,焦作新区招商局:为了提高政府信息安全保障能力,保证政府信息系统安全,根据国务院办公厅关于印发的通知(国办发200928号,以下简称检查办法)精神、工业和信息化部2011年度政府信息系统安全检查指南(工信部协2011214号)和河南省信息化工作领导小组办公室关于开展2011年度政府信息系统安全检查的通知(豫信化办201121号)的要求,焦作市信息化工作领导小组办公室(以下简称市信息化办)决定组织开展2011年度政府信息系统安全检查。现将有关事项通知如下:一、检查目的依据国家信息安全有关政策规定,对市直各部门,焦作新区,各县(市)区信息系统进
3、行检查,发现存在的主要问题和薄弱环节,进一步健全信息安全管理制度,完善信息安全技术措施,提高信息安全防护能力,保障我市信息化健康发展。二、检查原则坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,统筹安排、突出重点、明确责任、注重实效。各县(市)区、焦作新区信息化主管部门负责组织本地区政府信息系统安全检查工作。市信息化办可提供必要的指导。检查工作以市直各部门、焦作新区、各县(市)区自查为主,市信息化办会同有关部门对市直各部门、焦作新区和各县(市)区统一组织抽查。自查和抽查以委托有资质的信息安全检测机构的检测报告为重要依据。三、检查范围信息系统安全检查的范围是为各部门履行政府职能提供支撑的
4、信息系统,包括自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、网站系统等。涉及民生、社会安全的重要行业信息系统是本年度抽查的重点。涉及国家秘密的信息系统保密检查工作,按照国家保密管理规定执行。四、检查内容(一)信息安全组织管理 1.信息安全管理机构及其工作开展情况。(1)组织制定并落实信息安全管理规章制度情况;(2)组织制定信息安全工作计划或工作方案情况;(3)组织开展信息安全教育培训和督促检查工作情况。2.信息安全员及其工作开展情况。(1)各内设机构信息安全员指定情况;(2)信息安全员开展督促、检查和指导等日常工作情况。(二)日常信息安全管理1.人员管理。查验相关文档、文件
5、、记录等,重点检查:(1)岗位信息安全和保密责任制落实,特别是重要岗位信息安全和保密协议签订情况;(2)人员离岗离职信息安全管理情况;(3)外部人员访问机房等重要区域管理情况;(4)违反制度规定造成信息安全事件的责任查处情况等。2.资产管理。查验相关文档、台帐、记录等,重点检查:(1)资产管理制度建立及落实情况,资产台帐是否清晰、账物是否相符;(2)办公软件、应用软件等安装与使用情况;(3)计算机及相关设备维修维护、报废销毁管理情况,是否有相应的登记记录等。3.信息技术外包服务安全管理。针对当前政府部门信息技术外包服务安全风险突出的现状,重点检查系统开发、系统集成、运行维护、灾难备份、数据处理
6、、安全检测、系统托管等外包服务的安全管理:(1)服务机构性质与背景情况;(2)服务合同及安全保密协议签订情况,安全责任是否清晰;(3)人员现场服务记录情况,是否有现场服务监管措施;(4)系统维护方式情况,重点排查远程在线服务带来的安全风险;(5)灾难备份服务情况,重点掌握灾难备份中心设立在境外的情况。4.信息技术产品使用管理。重点检查办公用计算机、公文处理软件、信息安全设备、服务器、网络设备等使用产品的安全可控情况,特别是本年度新采购办公用计算机、公文处理软件、信息安全设备是否满足安全可控要求。5.信息安全经费保障。重点检查信息安全防护设施建设、运行、维护、检查及管理等费用是否纳入部门年度预算
7、,以及本年度信息安全经费实际投入情况等。(三)信息安全防护管理1.网络边界防护管理。查看系统总体网络架构、子系统分布、终端节点、区域划分及边界防护措施等,重点检查:(1)网络分区分域合理性;(2)安全防护设备策略配置有效性;(3)互联网接入情况,是否有访问互联网的安全控制措施,是否留存互联网访问日志并定期进行分析。2.信息系统安全管理。检查信息安全风险评估、等级保护等安全管理制度落实情况。(1)服务器安全防护。重点检查服务器上应用、服务、端口以及系统补丁等情况,是否关闭了不必要的应用,服务、端口;账户口令强度和更新情况;病毒木马防护情况,是否使用技术工具定期进行漏洞扫描、病毒木马检测。(2)网
8、络设备防护。重点检查网络设备安全策略配置有效性;账号口令强度和更新情况;是否使用技术工具定期进行漏洞扫描。(3)信息安全设备部署及使用。重点检查防病毒、防火墙、入侵检测、安全审计等安全设备部署及使用情况,以及安全策略配置的有效性。3.门户网站安全管理。以防攻击、防挂马、防篡改、防瘫痪、防窃密为目标,对门户网站安全防护情况进行全面检查:(1)系统管理账户和口令,清理无关账户,防止出现空口令、弱口令和默认口令;(2)服务器补丁更新情况,关闭不必要的端口,停止不必要的服务和应用,删除不必要的链接和插件;(3)网站目录结构,删除临时文件,防止敏感信息泄露;(4)信息发布审核制度建立及落实情况;(5)是
9、否使用技术工具定期进行漏洞扫描、木马检测。4.电子邮箱安全管理。重点检查:(1)邮箱使用情况,是否有非本部门人员特别是无关人员使用;(2)账户口令强度及更新情况,是否使用技术措施控制和管理口令,口令强度是否符合要求、是否定期更新。5.终端计算机安全管理。重点检查:(1)是否采取集中安全管理措施;(2)账户口令强度和更新情况;(3)接入互联网安全控制措施(如实名接入认证、对计算机IP和MAC地址进行绑定等);(4)是否使用技术工具定期进行漏洞扫描、病毒木马检测;(5)在非涉密信息系统和涉密信息系统间混用情况;(6)使用非涉密计算机处理涉密信息情况。6.移动存储设备安全管理。重点检查:(1)是否采
10、取集中安全管理措施;(2)是否配备必要的电子消磁或销毁设备;(3)在非涉密信息系统和涉密信息系统间混用情况。(四)信息安全应急管理1.应急预案。重点检查本部门信息安全应急预案制定、修订、备案及宣贯培训情况。2.应急演练。重点检查信息安全应急演练情况;已开展演练的,查看演练文档、记录(包括演练计划、演练方案、演练记录、演练总结报告等)。3.应急技术支援。重点检查是否明确了应急技术支援队伍。已明确的,检查其服务合同及安全保密协议签订情况,了解掌握应急技术支援队伍基本情况以及开展的技术支援活动。4.灾难备份。重点检查重要数据和重要信息系统备份情况;对采用社会第三方灾难备份服务的,检查其服务合同及安全
11、保密协议签订情况,了解掌握灾难备份服务设施运维安全管理情况。5.信息安全事件应急处置。重点检查本年度发生的信息安全事件及处置情况;发生过重大信息安全事件的,检查是否进行了及时处置,是否按照要求上报和通报。(五)信息安全教育培训重点检查信息安全和保密形势教育及警示教育情况,领导干部和机关工作人员参加信息安全基本技能培训情况,信息安全管理和技术人员参加信息安全专业培训情况等。(六)信息安全检查工作1.上一年度发现问题的整改情况。重点检查:(1)制定的整改计划及采取的整改措施;(2)整改效果以及是否开展了进一步的信息安全风险评估;(3)年度检查情况报告完成情况,是否按市信息化办要求及时报送,报告是否
12、完整准确、符合要求。2.本年度检查工作开展情况。重点检查:(1)检查工作责任制建立和检查工作经费落实情况;(2)检查工作方案制定及组织实施情况;(3)采取的安全保密和风险控制措施,检查人员、有关文档和数据的安全保密管理情况。3.安全技术检测。组织技术力量,使用必要的技术工具(包括漏洞扫描工具、WEB扫描工具等),对服务器、终端计算机、网络设备以及门户网站等信息系统进行安全扫描和渗透检测,检查主机以及连接因特网的公共服务网站系统和安全相关的信息和配置,发现危险或不合理的配置,排查病毒木马、安全漏洞等。五、检查方式(一)信息安全自查市直各部门、焦作新区、各县(市)区按照要求认真开展信息安全自查工作
13、,将检查情况形成检查报告。(二)信息安全抽查1.抽查原则。抽查采取“统一要求,分级负责”的原则。2.抽查范围。市信息化办负责组织对沁阳市、孟州市、武陟县、博爱县、解放区、山阳区、市财政局、市人力资源社会保障局、市国土资源局、市统计局、市住房城乡建设局、市水利局、市卫生局、市城乡规划局、市国税局、市地税局、市房管中心、市住房公积金管理中心、中国联通焦作市分公司进行抽查。抽查工作按照河南省政府信息系统安全检查抽查规范(试行)组织实施。(三)信息安全检测由市信息化办、县(市)区工业和信息化局委托信息安全检测机构对信息系统进行安全检测。六、整改完善市信息化办、县(市)区工业和信息化局针对检查结果,下发
14、整改通知,各部门对检查中发现的问题,必须认真整改。市信息化办、县(市)区工业和信息化局及时跟踪整改情况,确保信息安全检查取得实效。整改工作按照河南省信息系统安全检查整改规范(另发)执行。七、检查报告按照检查办法要求,市直各部门、县(市)区在检查工作完成后及时将检查情况报市信息化办。(一)报告内容和格式检查报告包括主报告和附表。主报告内容应包括:本地、本部门信息安全状况总体评价,2011年信息安全主要工作情况,检查发现的主要问题及整改情况,对信息安全工作的意见和建议等。附表指2011年信息安全检查情况报告表(附件1)。主报告的内容和格式按照2011年信息安全检查情况报告编写参考格式(附件2)要求
15、撰写。根据检查结果的敏感程度确定检查报告密级,并在检查报告上明确标识。(二)报送程序市直各部门、焦作新区、各县(市)区的自查报告,报市信息化办。同时,依据自查、抽查和安全检测的情况形成全市2011年度政府信息系统检查的报告,上报市政府和省信息化办。(三)报送方式检查报告以市直各部门、焦作新区、县(市)区名义报送市信息化办,包括纸质文档和电子文档(光盘形式)。电子文档应使用符合国家标准中文办公软件文档格式规范(GB/T 20916-2007)的文档格式。支持国家标准文档格式的国家软件有:金山WPS Office、永中集成Office、中标普华Office、红旗贰仟Red Office等。市直各部
16、门、焦作新区、县(市)区涉密信息系统自查情况单独报送市保密局。八、时间安排(一)信息安全自查。2011年9月10日前完成自查并上报有关自查情况材料和检查报告。(二)信息安全抽查。2011年9月11日至2011年10月31日,市信息化办会同有关单位组织抽查。抽查工作按照河南省信息系统安全检查抽查规范(另发)执行。抽查的具体时间另行通知。(三)信息安全检测。组织信息安全专业测评机构检测市直各部门信息系统的时间段为:2011年8月2日至10月20日;县(市)区检测的时间段为:2011年10月21日至10月31日。具体检测时间另行通知。(四)整改提高。各级部门按照河南省政府信息系统安全检查整改规范(试
17、行)(另发)的要求在规定时间内完成整改。(五)复查验收。整改工作完成后,由省、市信息化办共同复查验收。复查验收时间为2012年1月30日至2012年6月30日。九、工作要求(一)要切实加强组织领导。市直各部门,焦作新区、各县(市)区信息化主管部门,要完善检查工作机制,明确分管领导和机构及人员,具体负责信息安全检查工作,落实工作经费,确保检查工作如期顺利完成。要认真填写2011年政府信息系统安全检查工作联系人信息表(见附件3),并于2011年8月26日前反馈至市信息化办。(二)要严格按照要求开展检查工作。为保证检查质量,检查工作要严格按照河南省信息系统安全检查指导方案(试行)(另发)内容要求实施
18、。(三)要按时上报检查报告。要如实、完整填写2011年信息安全检查情况报告表,认真撰写检查报告,并按本文所要求的时间上报。(四)要由符合检查条件的单位实施检查和检测工作。本次检查可以由部门所属、且具有能力的信息中心等开展检查工作,也可委托外部信息安全专业测评机构协助开展技术检测。全面参与技术检测的外部信息安全专业测评机构应至少满足如下条件:1.事业单位性质;2.开展信息安全检测或相关工作2年以上;3.拥有专业安全检测人员10人以上,全部为机构编制内人员或与机构签订2年以上劳动合同的聘用人员;4.拥有与开展技术检测相适应的安全检测设备与检测工具;5.信息安全和保密管理、项目管理、质量管理、人员管
19、理、教育培训等规章制度健全;6.参与安全检测的人员均为中国公民,无犯罪记录,并与机构签订安全保密协议。(五)要严格按照规定委托外部机构开展检测工作。委托外部信息安全专业测评机构协助开展技术检测,应与机构及人员签订安全保密协议,明确安全保密责任和义务。对检测机构作如下要求:1.遵守国家有关法律法规和信息安全相关政策规定,客观、公正地提供检测服务;2.不得将检测任务分包或转包;3.如实出具检测结果,不得隐瞒检测过程中发现的问题;4.加强对检测人员的安全保密管理,严格遵守安全保密制度规定;5.不得向其他单位和个人泄露检测数据和检测结果,不得擅自留存相关资料和检测数据,不得利用检测数据谋取利益;6.采
20、取有效措施,防止因技术检测引发信息安全事故。(六)要强化安全保密和风险控制。加强对检查活动、检查人员以及相关文档和数据的安全保密管理,对重点设备的技术检测进行监督,对接入的检测设备进行风险控制,周密制定检查工作应急预案,确保被检查信息系统的正常运行。十、总结检查结束后,市信息化办对检查情况进行总结,通报全市信息安全形势和检查结果;对工作成绩突出的单位和个人进行表扬,对问题较多的单位进行批评。对于整改不力,情节严重的单位,按照国家有关信息安全规定,提交相关部门追究主管领导和当事人责任。联系人:杨建国 张继山联系电话:3569391联系地址:焦作市人民路889号(市委、市政府办公大楼)1003室(
21、市工业和信息化局信息化科)附件:1. 2011年信息安全检查情况报告表2. 2011年信息安全检查情况报告编写参考格式3. 2011年政府信息安全检查工作联系人信息表二一一年八月二十三日附件12011年信息安全检查情况报告一、部门基本情况部门名称分管信息安全工作的领导(本部门副职领导)姓名: 职务: 信息安全管理机构(如办公厅)名称: 负责人: 职务: 联系人: 电话: 信息安全专职工作机构(如信息安全处)名称: 负责人: 电话: 二、信息系统基本情况信息系统情况信息系统总数: 个面向社会公众提供服务的信息系统数: 个委托社会第三方进行日常运维管理的信息系统数: 个本年度经过风险评估(含安全测
22、评、等级测评)的系统数: 个系统定级情况第一级: 个 第二级: 个 第三级: 个第四级: 个 第五级: 个 未定级: 个互联网接入情况互联网接入口总数: 个其中: 联通 接入口数量: 个 接入带宽: 兆电信 接入口数量: 个 接入带宽: 兆其他: 接入口数量: 个 接入带宽: 兆三、日常信息安全管理情况人员管理岗位信息安全责任制度: 已建立 未建立重要岗位人员信息安全和保密协议: 全部签订 部分签订 没有签订人员离岗离职信息安全管理规定: 已制定 未制定外部人员访问机房等重要区域审批制度: 已建立 未建立资产管理资产管理制度: 已建立 未建立设备维修维护和报废管理: 已建立管理制度,且维修维护
23、和报废记录完整 已建立管理制度,但维修维护和报废记录不完整 尚未建立管理制度四、信息安全防护管理情况网络边界防护管理网络访问控制: 有访问控制措施 无访问控制措施网络访问日志: 留存日志 未留存日志安全防护设备策略: 使用默认配置 根据应用自主配置门户网站安全管理网页防篡改措施: 已部署 未部署网站信息发布管理: 已建立审核制度,且审核记录完整 已建立审核制度,但审核记录不完整 尚未建立审核制度电子邮箱安全管理邮箱使用: 仅限本部门工作人员使用 除本部门工作人员外,还有其他人员在使用账户口令管理: 使用技术措施控制和管理口令强度 无口令强度限制措施终端计算机安全管理终端计算机安全管理方式: 使
24、用统一平台对终端计算机进行集中管理 用户分散管理接入互联网安全控制措施: 有控制措施(如实名接入、绑定计算机IP和MAC地址等) 无控制措施存储介质安全管理存储阵列、磁带库等大容量存储介质安全防护:外联,但采取了技术防范措施控制风险外联,无技术防范措施不外联移动存储介质管理方式:集中管理,统一登记、配发、收回、维修、报废、销毁未采取集中管理方式电子信息消除或销毁设备:已配备 未配备五、信息安全应急管理情况信息安全应急预案 已制定 本年度修订情况: 修订 未修订 未制定信息安全应急演练 本年度已开展 本年度未开展信息安全灾难备份重要数据: 备份 未备份重要信息系统: 备份 未备份灾难备份中心:
25、境内 境外应急技术支援队伍部门所属单位 外部专业机构 无六、信息技术产品应用情况服务器总台数: ,其中国产台数: 使用国产CPU的服务器台数: 终端计算机(含笔记本)总台数: ,其中国产台数: 使用国产CPU的服务器台数: 网络交换设备(路由器、交换机等)总台数: ,其中国产台数: 操作系统服务器操作系统情况:安装Windows操作系统的服务器台数: 安装Linux操作系统的服务器台数: 安装其他操作系统的服务器台数: 终端计算机操作系统情况:安装Windows操作系统的计算机台数: 安装Linux操作系统的计算机台数: 安装其他操作系统的计算机台数: 数据库总套数: , 其中国产套数: 公文
26、处理软件(终端计算机安装)安装国产公文处理软件的终端计算机台数: 安装国外公文处理软件的终端计算机台数: 信息安全产品安装国产防病毒产品的终端计算机台数: 防火墙(不含终端软件防火墙)台数: 其中国产防火墙的台数: 七、信息安全教育培训情况培训人数本年度接受信息安全教育培训的人数: 人占本部门总人数的比例: %培训次数本年度开展信息安全教育培训的次数: 次专业培训本部门信息安全管理和技术人员参与专业培训: 人次八、信息安全经费预算投入情况经费预算本年度信息安全经费预算额: 万元经费投入本年度信息安全经费投入额: 万元(上一年度信息安全经费投入额: 万元)九、信息安全经费预算投入情况本年度安全技
27、术检测结果病毒木马等恶意代码检测结果进行过病毒木马等恶意代码检测的服务器台数: 其中感染恶意代码的服务器台数: 进行过病毒木马等恶意代码检测的终端计算机台数: 其中感染恶意代码的终端计算机台数: 漏洞检测结果进行过漏洞扫描的服务器台数: 其中存在漏洞的服务器台数: 存在高风险漏洞的服务器台数: 进行过漏洞扫描的终端计算机台数: 其中存在漏洞的终端计算机台数: 存在高风险漏洞的终端计算机台数: 本年度信息安全事件统计门户网站受攻击情况本部门入侵检测设备检测到的门户网站受攻击次数: 网页被篡改情况门户网站网页被篡改(含内嵌恶意代码)次数: 设备违规使用情况使用非涉密终端计算机处理涉密信息事件数:
28、终端计算机在非涉密系统和涉密系统间混用事件数: 移动存储介质在非涉密系统和涉密系统间交叉使用事件数: 十、信息技术外包服务机构情况(包括参与技术检测的外部专业机构)外包服务机构1机构名称机构性质国有 民营 外资企业服务内容信息安全和保密协议已签订 未签订信息安全管理体系认证情况已通过认证认证机构: 未通过认证外包服务机构2机构名称机构性质国有 民营 外资企业服务内容信息安全和保密协议已签订 未签订信息安全管理体系认证情况已通过认证认证机构: 未通过认证外包服务机构3机构名称机构性质国有 民营 外资企业服务内容信息安全和保密协议已签订 未签订信息安全管理体系认证情况已通过认证认证机构: 未通过认
29、证(如有3个以上外包机构,每个机构均应填写,可另附页)填表人: 单位: 电话: 附件2 2011年信息安全检查情况报告编写参考格式一、检查报告名称X X X(部门名称)2011年度政府信息系统安全检查情况报告二、检查报告组成检查报告包括主报告和附表两部分。三、主报告内容要求应包括以下四个方面的内容:(一)信息安全状况总体评价概述本部门信息安全工作情况,与上一年度比信息安全工作取得的新进展,对本部门信息安全状况的总体评价。(二)2011年信息安全主要工作情况对照关于开展2011年度政府信息系统安全检查的通 知要求,逐项描述本部门2011年在信息安全组织管理、日常信息安全管理、信息安全防护管理、信
30、息安全应急管理、信息安全教育培训、信息安全检查等方面开展的工作情况。(三)检查发现的主要问题及整改情况描述本部门安全检查特别是技术检测结果,总结分析本部门在安全管理、技术防护等方面存在的主要问题和薄弱环节,以及针对这些问题的整改措施或整改计划。(四)对信息安全工作的意见和建议对信息安全工作特别是信息安全检查工作提出意见和建议,进一步促进提高信息安全检查水平。四、附表内容要求2011年信息安全检查情况报告各项目的填写范围均限于部门本级机关。应认真、如实、完整、正确填写,避免出现漏项、错项、数据前后不一致等情况。附件3 2011年政府信息系统安全检查工作联系人信息表单位名称联系地址姓名性别所属部门职务出生日期政治面貌固定电话移动电话电子邮件个人简介主题词:信息安全 检查 通知报:市信息化工作领导小组组长、副组长发:焦作市信息化工作领导小组成员单位焦作市信息化工作领导小组办公室 2011年8月19日印发
