天津市宝坻区人民政府
2019年12月3日星期二
转发区工信委拟定的关于开展2011年
宝坻区政府信息系统安全检查的通知
各镇人民政府、街道办事处,区政府各部门:
区工信委拟定的《关于开展2011年宝坻区政府信息系统安全检查的通知》已经区政府领导同志同意,现转发给你们,请遵照执行。
二○一一年七月二十日
关于开展2011年宝坻区政府
信息系统安全检查的通知
为切实提高政府信息系统安全保障能力,按照《关于印发〈天津市政府信息系统安全检查实施办法〉的通知》(津政办发〔2009〕137号)、《关于加强政府信息系统安全和保密管理工作的意见》(津信安组〔2008〕1号),《关于印发〈2011年政府信息系统安全检查指南〉的通知》(工信部协〔2011〕214号)要求,决定在全区开展政府信息系统安全检查。现就有关事项通知如下:
一、检查目的
依据国家信息安全有关政策规定,对信息安全工作进行全面检查,掌握信息安全总体状况,发现存在的主要问题和薄弱环节,进一步健全信息安全管理制度,完善信息安全技术措施,提高信息安全防护能力。
二、检查原则
坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,统筹安排、突出重点、明确责任、注重实效。
检查工作以各单位自查为主,区工信委会同有关部门统一组织安全抽查。
三、检查范围
本次检查的范围是为各单位履行政府职能提供支撑的信息系统,包括自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、网站系统等。检查的重点是各单位的重要业务系统和门户网站。
电信、电力、铁路、保险、金融、税务等面向社会提供服务的重要行业信息系统,按照行业主管部门要求,参照本通知进行信息安全检查。
涉及国家秘密的信息系统保密检查工作,按照国家保密管理规定执行。
四、重点检查内容
(一)信息安全组织管理
1.信息安全管理机构及其工作开展情况。(1)组织制定信息安全工作计划或工作方案情况;(2)组织制定并落实信息安全管理规章制度情况;(3)组织开展信息安全教育培训和督促检查工作情况。
2.信息安全员及其工作开展情况。(1)各单位信息安全员指定情况;(2)信息安全员开展督促、检查和指导等日常工作情况。
(二)日常信息安全管理
1.人员管理。查验相关文档、文件、记录等,重点检查:(1)岗位信息安全和保密责任制落实,特别是重要岗位信息安全和保密协议签订情况;(2)人员离岗离职信息安全管理情况;(3)外部人员访问机房等重要区域管理情况;(4)违反制度规定造成信息安全事件的责任查处情况等。
2.资产管理。查验相关文档、台账、记录等,重点检查:(1)资产管理制度建立及落实情况,资产台账是否清晰、账物是否相符;(2)办公软件、应用软件等安装与使用情况,是否有与工作无关的软件;(3)计算机及相关设备维修维护、报废销毁管理情况,是否有相应的登记记录等。
3.信息技术外包服务安全管理。针对当前政府部门信息技术外包服务安全风险突出的现状,重点检查系统开发、系统集成、运行维护、灾难备份、数据处理、安全检测、系统托管等外包服务的安全管理:(1)服务机构性质与背景情况,是否由外资机构提供服务;(2)服务合同及安全保密协议签订情况,安全责任是否清晰;(3)人员现场服务记录情况,是否有现场服务监管措施;(4)系统维护方式情况,重点排查远程在线服务带来的安全风险;(5)灾难备份服务情况,重点掌握灾难备份中心设立在境外的情况。
4.信息技术产品使用管理。重点检查办公用计算机、公文处理软件、信息安全设备、服务器、网络设备等使用产品的安全可控情况,特别是本年度新采购办公用计算机、公文处理软件、信息安全设备是否满足安全可控要求。
5.信息安全经费保障。重点检查信息安全防护设施建设、运行、维护、检查及管理等费用是否纳入部门年度预算,以及本年度信息安全经费实际投入情况等。
(三)信息安全防护管理
1.网络边界防护管理。查看系统总体网络架构、子系统分布、终端节点、区域划分及边界防护措施等,重点检查:(1)网络分区分域合理性;(2)安全防护设备策略配置有效性;(3)互联网接入情况,是否有访问互联网的安全控制措施,是否留存互联网访问日志并定期进行分析。
2.信息系统安全管理。重点检查信息安全风险评估、等级保护等安全管理制度落实情况。
(1)服务器安全防护。重点检查服务器上应用、服务、端口以及系统补丁等情况,是否关闭了不必要的应用、服务、端口;账户口令强度和更新情况;病毒木马防护情况,是否使用技术工具定期进行漏洞扫描、病毒木马检测。
(2)网络设备防护。重点检查网络设备安全策略配置的有效性;账户口令强度和更新情况;是否使用技术工具定期进行漏洞扫描。
(3)信息安全设备部署及使用。重点检查防病毒、防火墙、入侵检测,安全审计等安全设备部署及使用情况,以及安全策略配置的有效性。
3.门户网站安全管理。以防攻击、防挂马、防篡改、防瘫痪、防窃密为目标,对门户网站安全防护情况进行全面检查:(1)系统管理账户和口令,清理无关账户,防止出现空口令、弱口令和默认口令;(2)服务器补丁更新情况,关闭不必要的端口,停止不必要的服务和应用,删除不必要的链接和插件;(3)网站目录结构、删除临时文件、防止敏感信息泄露;(4)信息发布审核制度建立及落实情况;(5)是否使用技术工具定期进行漏洞扫描、木马检测。
4.电子邮箱安全管理。重点检查:(1)邮箱使用情况,是否有非本部门人员特别是无关人员使用;(2)账户口令强度及更新情况,是否使用技术措施控制和管理口令,口令强度是否符合要求、是否定期更新。
5.终端计算机安全管理。重点检查:(1)是否采取集中安全管理措施;(2)账户口令强度和更新情况;(3)接入互联网安全控制措施(如实名接入认证、对计算机IP和MAC地址进行绑定等);(4)是否使用技术工具定期进行漏洞扫描、病毒木马检测;(5)在非涉密信息系统和涉密信息系统间混用情况;(6)使用非涉密计算机处理涉密信息情况。
6.移动存储设备安全管理。重点检查:(1)是否采取集中安全管理措施;(2)是否配备必要的电子消磁或销毁设备;(3)在非涉密信息系统和涉密信息系统间混用情况。
(四)信息安全应急管理
1.应急预案。重点检查本部门信息安全应急预案制定、修订、备案及宣贯培训情况。
2.应急演练。重点检查信息安全应急演练情况;已开展演练的,查看演练文档、记录(包括演练计划、演练方案、演练记录、演练总结报告等)。
3.应急技术支援。重点检查是否明确了应急技术支援队伍;已明确的,检查其服务合同及安全保密协议签订情况,了解掌握应急技术支援队伍基本情况以及开展的技术支援活动。
4.灾难备份。重点检查重要数据和重要信息系统备份情况;对采用社会第三方灾难备份服务的,检查其服务合同及安全保密协议签订情况,了解掌握灾难备份服务设施运维安全管理情况。
5.信息安全事件应急处置。重点检查本年度发生的信息安全事件及处置情况;发生过重大信息安全事件的,检查是否进行了及时处置,是否按照要求上报和通报。
(五)信息安全教育培训
重点检查信息安全和保密形势教育及警示教育情况,领导干部和机关工作人员参加信息安全基本技能培训情况,信息安全管理和技术人员参加信息安全专业培训情况等。
(六)信息安全检查工作
1.本年度检查工作开展情况。重点检查:(1)检查工作责任制建立和检查工作经费落实情况;(2)检查工作方案制定及组织实施情况;(3)采取的安全保密和风险控制措施,检查人员、有关文档和数据的安全保密管理情况。
2.安全技术检测。组织技术力量,使用必要的技术工具,对服务器、终端计算机、网络设备以及门户网站等信息系统进行安全检测,排查病毒木马、安全漏洞等。
五、检查时间安排
自查时间为7月至9月上旬。各单位按照规定内容,对本单位的网络与信息安全状况严格进行自查,如实、完整填写《2011年天津市政府信息系统安全检查情况报告表》(附件1),按照《2011年天津市信息安全检查情况报告编写参考格式》(附件2)要求形成检查报告,并于9月10日前报送区工信委。区工信委将对各部门自查情况进行汇总综合分析,形成检查报告上报市经信委。对检查中发现的安全漏洞和失泄密隐患,各单位要立即采取整改措施,予以消除。
抽查时间为9月10日至9月底。区工信委将组织有关部门对全区政府信息系统进行抽查,并根据检查结果给出整改通知,限期整改。12月20日前,存在问题的单位要完成整改,并将整改报告报送区工信委,区工信委将组织复查工作。
六、相关要求
(一)各单位要完善检查工作机制,落实检查工作经费,确保检查工作如期顺利完成。
(二)各单位可组织所属信息中心等单位开展检查工作,也可根据需要委托外部专业机构协助开展技术检测。
全面参与技术检测的外部专业机构应至少满足以下条件:
1.具有信息安全检测能力的企事业单位;
2.开展信息安全检测或相关工作2年以上;
3.拥有专业安全检测人员10人以上,全部为机构编制内人员或与机构签订2年以上劳动合同的聘用人员;
4.拥有与开展技术检测相适应的安全检测设备与检测工具;
5.信息安全和保密管理、项目管理、质量管理、人员管理、教育培训等规章制度健全;
6.参与安全检测的人员均为中国公民,无犯罪记录,并与机构签订安全保密协议。
(三)各单位委托外部专业机构协助开展技术检测,应与检测机构及人员签订安全保密协议,明确安全保密责任和义务。
应要求检测机构:1.遵守国家有关法律法规和信息安全相关政策规定,客观、公正地提供检测服务;2.不得将检测任务分包或转包;3.如实出具检测结果,不得隐瞒检测过程中发现的问题;4.加强对检测人员的安全保密管理,严格遵守安全保密制度规定;5.不得向其他单位和个人泄露检测数据和检测结果,不得擅自留存相关资料和检测数据,不得利用检测数据谋取利益;6.采取有效措施,防止因技术检测引发信息安全事故。
(四)各单位要强化安全保密和风险控制,加强对检查活动、检查人员以及相关文档和数据的安全保密管理,对重点设备的技术检测进行监督,对接入的检测设备进行风险控制,周密制定检查工作应急预案,确保被检查信息系统的正常运行。
附件:
1.2011年天津市政府信息系统安全检查情况报告表
2.2011年天津市信息安全检查情况报告编写参考格式
(联系人:高辉;联系电话:29243766)
宝坻区工业和信息化委员会
二○一一年七月十日
附件1
2011年天津市政府信息系统安全检查情况报告表
|
一、部门基本情况 | |||
|
部门名称(盖章) |
|||
|
分管信息安全工作的领导 |
①姓名: | ||
|
(本部门副职领导) |
②职务: | ||
|
信息安全管理机构 |
①名称: | ||
|
(如信息处、办公室) |
②负责人:电话: | ||
|
二、信息系统基本情况 | |||
|
信息系统情况 |
①信息系统总数:个 | ||
|
②面向社会公众提供服务的信息系统数:个 | |||
|
③委托社会第三方进行日常运维管理的信息系统数:个 | |||
|
④本年度经过安全测评(含风险评估、等级测评)系统数:个 | |||
|
系统定级情况 |
第一级:个 第二级:个 第三级:个 | ||
|
第四级:个 第五级:个 未定级:个 | |||
|
互联网接入情况 |
互联网接入口总数:个 | ||
|
其中:联通 接入口数量:个 接入带宽:兆 | |||
|
电信 接入口数量:个 接入带宽:兆 | |||
|
其他:接入口数量:个 | |||
|
接入带宽:兆 | |||
|
三、日常信息安全管理情况 | |||
|
人员管理 |
①岗位信息安全责任制度:已建立 未建立 | ||
|
②重要岗位人员信息安全和保密协议: | |||
|
全部签订 部分签订 均未签订 | |||
|
③人员离岗离职安全管理规定:已制定 未制定 | |||
|
④外部人员访问机房等重要区域审批制度:已建立 未建立 | |||
|
资产管理 |
①资产管理制度:已建立 未建立 | ||
|
②设备维修维护和报废管理: | |||
|
已建立管理制度,且维修维护和报废记录完整 | |||
|
已建立管理制度,但维修维护和报废记录不完整 | |
|
尚未建立管理制度 | |
|
四、信息安全防护管理情况 | |
|
网络边界防护管理 |
①网络访问控制:有访问控制措施 无访问控制措施 |
|
②网络访问日志:留存日志 未留存日志 | |
|
③安全防护设备策略:使用默认配置 根据应用自主配置 | |
|
④防火墙:所有互联网接入口均部署了防火墙 | |
|
有未部署防火墙的互联网接入口 | |
|
⑤入侵检测(IDS):所有互联网接入口均部署了入侵检测设备 | |
|
有未部署入侵检测设备的互联网接入口 | |
|
⑥病毒防护:所有互联网接入口均部署了防病毒网关 | |
|
有未部署防病毒网关的互联网接入口 | |
|
门户网站安全管理 |
①网页防篡改措施:已部署 未部署 |
|
②网站信息发布管理:已建立审核制度,且审核记录完整 | |
|
已建立审核制度,但审核记录不完整 | |
|
尚未建立审核制度 | |
|
③抗拒绝服务攻击措施:已部署 未部署 | |
|
④网站安全防护措施: 已部署网站安全防护系统 | |
|
未部署网站安全防护系统 | |
|
⑤Web防火墙:已部署 未部署 | |
|
电子邮箱安全管理 |
①邮箱使用:仅限本部门工作人员使用 |
|
除本部门工作人员外,还有其他人员在使用 | |
|
②账户口令强度:使用技术措施控制和管理口令强度 | |
|
无口令强度限制措施 | |
|
③账户口令修改策略:每三个月更换账户口令 | |
|
每六个月更换账户口令 | |
|
一年内未更换账户口令 | |
|
从未更换过账户口令 | |
|
④反垃圾邮件措施:已部署 未部署 | |
|
⑤邮件内容过滤措施:已部署 未部署 | |
|
终端计算机和服务器安全管理 |
①终端计算机安全管理方式: |
|
使用统一平台对终端计算机进行集中管理 | |
|
用户分散管理 | |
|
②接入互联网安全控制措施: | |
|
有控制措施(如实名接入、绑定计算机IP和MAC地址等) | |
|
无控制措施 | |
|
③服务器主机安全: | |
|
进行过系统安全加固和防护,并安装系统最新补丁 | |
|
未进行系统安全加固和防护,未及时安装系统最新补丁 | |
|
应用技术 |
①身份识别:进行用户登录身份验证,并有登录失败处理机制 |
|
不能有效进行身份验证,或没有登录失败处理机制 | |
|
②安全配置:针对应用环境进行过系统安全配置 | |
|
针对应用环境未进行系统安全配置 | |
|
③安全审计:对用户有完备的安全审计功能 | |
|
对用户无完备的安全审计功能 | |
|
存储介质安全管理 |
①存储阵列、磁带库等大容量存储介质安全防护: |
|
外联,但采取了技术防范措施控制风险 | |
|
外联,无技术防范措施 | |
|
不外联 | |
|
②移动存储介质管理方式: | |
|
集中管理,统一登记、配发、收回、维修、报废、销毁 | |
|
未采取集中管理方式 | |
|
③介质使用情况:存在介质交叉使用 不存在介质交叉使用 | |
|
④电子信息消除或销毁设备:已配备 未配备 | |
|
五、信息安全应急管理情况 | |
|
信息安全应急预案 |
已制定 本年度修订情况:修订 未修订 |
|
未制定 | |
|
信息安全应急演练 |
本年度已开展 本年度未开展 |
|
信息安全灾难备份 |
①重要数据:备份 未备份 |
|
②重要信息系统:备份 未备份 | |
|
应急技术支援队伍 |
部门所属单位 外部专业机构 无 |
|
六、信息技术产品应用情况 | |
|
服务器 |
总台数:,其中国产台数: |
|
使用国产CPU的服务器台数: | |
|
终端计算机 |
总台数:,其中国产台数: |
|
(含笔记本) |
使用国产CPU的计算机台数: |
|
网络交换设备(路 |
总台数:,其中国产台数: |
|
由器、交换机等) | |
|
操作系统 |
①服务器操作系统情况: |
|
安装Windows操作系统的服务器台数: | |
|
安装Linux操作系统的服务器台数: | |
|
安装其他操作系统的服务器台数: | |
|
②终端计算机操作系统情况: | |
|
安装Windows操作系统的计算机台数: | |
|
安装Linux操作系统的计算机台数: | |
|
安装其他操作系统的计算机台数: | |
|
数据库 |
总套数:,其中国产套数: |
|
公文处理软件 |
安装国产公文处理软件的终端计算机台数: |
|
(终端计算机安装) |
安装国外公文处理软件的终端计算机台数: |
|
信息安全产品 |
①安装国产防病毒产品的终端计算机台数: |
|
②防火墙(不含终端软件防火墙)台数: | |
|
其中国产防火墙的台数: | |
|
七、信息安全教育培训情况 | |
|
培训人数 |
本年度接受信息安全教育培训的人数:人 |
|
占本部门总人数的比例:% | |
|
培训次数 |
本年度开展信息安全教育培训的次数:次 |
|
专业培训 |
本年度信息安全管理和技术人员参加专业培训:人次 |
|
岗位培训 |
参加过2010年市经信委组织的信息安全岗位培训:是 否 |
|
八、信息安全经费预算投入情况 | |
|
经费预算 |
本年度信息安全经费预算额:万元 |
|
经费投入 |
本年度信息安全经费投入额:万元 |
|
本年度信息安全经费投入占信息化建设总投入的比例% | |
|
(上一年度信息安全经费投入额:万元) | |
|
九、本年度信息安全事件情况 | ||||
|
本年度安全技术检测结果 |
病毒木马等恶意代码检测结果 |
①进行过病毒木马等恶意代码检测的服务器台数: | ||
|
其中感染恶意代码的服务器台数: | ||||
|
②进行过病毒木马等恶意代码检测的终端计算机台数: | ||||
|
其中感染恶意代码的终端计算机台数: | ||||
|
漏洞检测 结果 |
①进行过漏洞扫描的服务器台数: | |||
|
其中存在漏洞的服务器台数: | ||||
|
存在高风险漏洞的服务台数: | ||||
|
②进行过漏洞扫描的终端计算机台数: | ||||
|
其中存在漏洞的终端计算机台数: | ||||
|
存在高风险漏洞的终端计算机台数: | ||||
|
信息系统安全评测 |
本年度新增信息(应用)系统个,其中进行过信息 | |||
|
安全评测的信息(应用)系统个。 | ||||
|
本年度信息安全事件统计 |
门户网站可 |
门户网站受攻击或故障引发的无法访问累计小时数: | ||
|
用性统计 | ||||
|
门户网站受 |
本部门入侵检测设备检测到的门户网站受攻击次数: | |||
|
攻击情况 | ||||
|
网页被篡 |
门户网站网页被篡改(含内嵌恶意代码)次数: | |||
|
改情况 | ||||
|
设备违规 使用情况 |
①使用非涉密终端计算机处理涉密信息事件数: | |||
|
②终端计算机在非涉密系统和涉密系统间混用事件数: | ||||
|
③移动存储介质在非涉密系统和涉密系统间交叉使用事件数: | ||||
|
十、信息技术外包服务机构情况(包括参与技术检测的外部专业机构) | ||||
|
外包服务机构1 |
机构名称 |
|||
|
机构性质 |
国有单位 民营企业 外资企业 | |||
|
服务内容 |
系统集成 系统运维 风险评估 | |||
|
安全检测 安全加固 应急支持 | ||||
|
数据存储 其他 | ||||
|
信息安全和保密协议 |
已签订 未签订 | |||
|
信息安全管理体系认 证情况 |
已通过认证 | |||
|
认证机构: | ||||
|
未通过认证 | ||||
|
外包服务机构2 |
机构名称 |
|
|
机构性质 |
国有单位 民营企业 外资企业 | |
|
服务内容 |
系统集成 系统运维 风险评估 | |
|
安全检测 安全加固 应急支持 | ||
|
数据存储 其他 | ||
|
信息安全和保密协议 |
已签订 未签订 | |
|
信息安全管理体系认 证情况 |
已通过认证, | |
|
认证机构: | ||
|
未通过认证 | ||
|
外包服务机构3 |
机构名称 |
|
|
机构性质 |
国有单位 民营企业 外资企业 | |
|
服务内容 |
系统集成 系统运维 风险评估 | |
|
安全检测 安全加固 应急支持 | ||
|
数据存储 其他 | ||
|
信息安全和保密协议 |
已签订 未签订 | |
|
信息安全管理体系认 证情况 |
已通过认证, | |
|
认证机构: | ||
|
未通过认证 | ||
|
(如有3个以上外包机构,每个机构均应填写,可另附页) | ||
填表人: 单位: 电话:
附件2
2011年天津市信息安全检查情况报告编写参考格式
一、检查报告名称
×××(部门名称)2011年度政府信息系统安全检查情况报告
二、检查报告组成
检查报告包括主报告和附表两部分。
三、主报告内容要求
应包括以下四个方面的内容:
(一)信息安全状况总体评价
概述本部门信息安全工作情况,与上一年度相比信息安全工作取得的新进展,对本部门信息安全状况的总体评价。
(二)2011年信息安全主要工作情况
对照《2011年天津市政府信息系统安全检查指南》要求,逐项描述本部门2011年在信息安全组织管理、日常信息安全管理、信息安全防护管理、信息安全应急管理、信息安全教育培训、信息安全检查等方面开展的工作情况。
(三)检查发现的主要问题及整改情况
描述本部门安全检查特别是技术检测结果,总结分析本部门在安全管理、技术防护等方面存在的主要问题和薄弱环节,以及针对这些问题的整改措施或整改计划。
(四)对信息安全工作的意见和建议
对信息安全工作特别是信息安全检查工作提出意见和建议,进一步促进提高信息安全检查水平。
四、附表内容要求
《2011年天津市政府信息系统安全检查情况报告表》各项目的填写范围均限于部门本级机关。应认真、如实、完整、正确填写,避免出现漏项、错项、数据前后不一致等情况,并加盖本单位公章或信息安全管理机构公章。
津公网安备 12011502000093号