关于印发2011年度安徽省政府信息 系统安全检查指南的通知
(节选)
一、检查范围
为各地、各部门履行职能提供支撑的非涉密信息系统,包括自行运行和维护管理以及委托其他机构运行和维护管理的办公系统、业务系统、网站系统等。 各地、各部门的重要业务系统、门户网站是检查重点。
政府信息系统安全检查,是指依据国家、省有关政策规定,参照国家信息安全技术标准规范,对信息系统安全保障工作进行检测评估、查找隐患、规范管理、完善措施、落实整改、通报情况的过程,包括进行信息安全风险评估、安全检测、等级测评等。
涉及国家秘密的信息系统保密检查工作,按照国家保密管理规定和标准执行.
五、检查内容
主要检查信息安全有关规章制度落实情况、技术防护措
施及其有效性、2010年度信息系统安全检查中发现问题的整改情况。
(一)信息安全组织机构
信息安全工作主管领导、信息安全管理机构、信息安全专职工作机构、专职信息安全员等设置情况。按照《安徽省人民政府办公厅转发国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》(皖政办发〔2008〕21号)文件要求,各部门要明确一名领导主管信息安全工作,应指定一个内设机构承担信息安全管理工作,各内设机构指定一名专职或兼职信息安全员。
(二)日常信息安全管理
1、人员管理。查验相关文档、文件、记录等,检查信息安全和保密责任制建立及落实情况,重要岗位人员安全保密协议签订情况,人员离岗离职信息安全管理情况,外部人员访问机房等重要区域管理情况,违反制度规定造成信息安全事件的责任查处情况等。
2、资产管理。检查资产管理制度建立及落实情况,办公软件、应用软件等安装与使用情况,计算机及相关设备维修维护管理、存储设备报废销毁管理情况等。
3、运维管理。检查信息系统运营和使用权限管理、重要变更审批备案、日常运维操作管理、安全日志定期备份和分析等情况。对于委托外单位运行管理的,应查看服务合同
和安全保密协议等。
(三)等级保护与风险评估
1、等级保护。检查信息安全等级保护有关文件要求的落实情况。通过查看等级保护定级备案、等级测评报告等相关文档,检查信息系统定级、测评、整改等情况。
2、风险评估。检查信息安全风险评估有关文件要求的落实情况。通过查看风险评估报告等,检查风险评估工作的开展。
(四)技术防护手段建设
1、网络边界安全防护。检查系统总体网络架构、区域划分及边界防护、网络管理等情况;互联网接入情况;终端接入互联网时是否有安全信息提示措施等;边界防护设备部署、使用及策略配置情况。
2、信息安全产品部署及使用。提供信息系统完整的网络拓扑图,包括总体网络架构、子系统、终端节点、区域划分、边界防护设备(防火墙、入侵检测设备、防病毒网关和安全审计设备)及对外网络接口等,提供边界防护设备日志。
3、服务器安全防护。检查服务器上应用、服务、端口以及系统补丁等情况,账号口令强度及更新情况,病毒木马防护措施及漏洞扫描、病毒木马检测情况。
4、网络设备安全防护。检查安全策略配置有效性;账
号口令强度和更新情况;漏洞扫描情况。
5、终端计算机和移动存储设备安全防护。检查终端计算机是否采取集中安全管理方式,计算机账号口令强度和更新情况;终端计算机接入互联网安全控制措施(如实名接入、对计算机IP和MAC地址进行绑定、指定固定上网IP地址等);是否安装病毒防护软件,定期进行漏洞扫描、病毒木马检测;是否在非涉密和涉密信息系统间混用了计算机和移动存储设备,是否使用了非涉密计算机处理涉密信息等。
6、门户网站安全防护。检查网站信息发布审批制度建立及落实情况;边界防护、抗拒绝服务攻击、网页防篡改等安全防护设备的部署情况,以及安全配置策略的有效性;是否定期进行漏洞扫描、木马检测等。
7、密码技术防护。检查采用密码技术对信息系统、终端计算机、电子文档等进行防护的情况,使用的密码技术产品及含有密码技术的信息技术产品是否符合国家密码管理规定。
8、网络信任措施。检查采用数字证书实现身份认证和授权管理的情况,使用的数字证书是否符合国家电子认证服务管理规定。
(五)应急管理工作开展
1、应急预案。检查《安徽省网络与信息安全事件应急预案》落实情况,重要信息系统是否制定了本部门信息安全
应急预案文本及宣贯培训记录、灾难备份工作开展情况等。
2、应急演练。检查是否按照要求开展了信息安全应急演练。对于已开展演练的,应检查演练相关文档(包括演练组织单位、参与部门、演练责任人、演练时间、演练内容等)。
3、应急技术支援队伍。检查是否按照要求明确应急技术支援队伍。对于已明确的,应检查签订的合同和安全保密协议,掌握应急技术支援队伍的基本情况以及开展的应急技术支援活动等。
4、灾难备份。检查重要业务系统和网站的数据是否进行备份,是否配备冗余的通信线路、网络设备、服务器,已进行灾难备份的应查看备份记录、检查相关冗余设备。对于采用社会第三方灾难备份服务的,应检查签订的合同和安全保密协议以及灾难备份服务的运维情况等。
5、信息安全事件应急处置。检查本年度发生的信息安全事件及处置情况。对于发生重大信息安全事件的,应检查是否进行了及时处置,是否按照要求上报和通报等。(信息安全事件分级依据《安徽省网络与信息安全事件应急预案》)。
(六)信息技术产品和信息安全产品使用
1、信息技术产品。检查服务器、网络设备、操作系统、储存设备、终端计算机、字处理软件等国产化情况。在使用捐赠服务器、网络设备、存储阵列等产品,应检查产品应用
范围、签订的相关协议,以及使用前是否进行安全测评等。
2、信息安全产品。在进行网络边界安全防护检查时,查看防火墙、入侵检测设备、安全审计设备、VPN设备等信息安全产品等国产化情况。使用捐赠的信息安全产品,应检查产品应用范围、签订的相关协议,以及使用前是否进行安全测评等。
本指南中的国产终端计算机、国产字处理软件、国产信息安全产品,暂按以下方法进行认定:(1)国产终端计算机应具有国内品牌,最终产品在中国境内生产,并符合法律法规和政策规定的其他条件;(2)国产字处理软件应具有国内品牌,最终产品在中国境内生产,拥有核心模块的自主知识产权和源代码,并符合法律法规和政策规定的其他条件;(3)国产信息安全产品应具有国内品牌,最终产品在中国境内生产,拥有核心模块的自主知识产权和源代码,通过国家认定的信息安全产品检测实验室的检测,并符合法律和政策规定的其他条件。
(七)信息安全服务
查看信息安全外包服务项目清单,包括外包服务内容、服务商名称、服务商性质(外资、非外资)、合同和安全保密协议、服务方式(远程在线服务、现场服务或其他等)。
(八)信息安全教育培训
机关工作人员参加信息安全教育培训、掌握信息安全常
识和基本技能情况,信息安全管理和技术人员参加信息安全专业培训情况、重点岗位持证上岗等情况。
(九)信息安全经费保障
检查信息安全防护设施建设、运行、维护、检查及管理等费用是否纳入单位年度预算,以及本年度信息安全经费实际投入情况等。
( 十)安全隐患排查及整改
重点检查对安全制度、防范措施、设备设施等方面存在的漏洞和薄弱环节的排查情况,以及分析产生问题的隐患的原因,研究制定和落实整改措施等情况。
六、时间安排
各地、各单位可根据实际情况,统筹规划和组织部署信息系统安全检查工作,并对安全检查工作进行认真总结、分析和评估,于2011年12月31日前将安全检查报告报送安徽省网络与信息安全协调小组办公室。
协调小组办公室将及时跟踪、掌握、汇总安全检查情况,并将安全检查结果报送工业和信息化部。
七、工作要求
(一)各单位要把信息系统安全检查列入重要议事日程,切实加强组织领导,完善检查工作机制,落实检查工作经费,开展宣传教育培训活动,确保检查工作顺利开展。按照《安徽省政府信息系统安全检查实施办法》的要求,参照
本指南制定具体的安全检查实施方案和工作计划,并认真组织实施。建立信息安全检查责任制,明确检查责任,落实检查组织机构、参与单位及检查人员。
(二)可组织所属信息中心等单位开展安全检查工作,也可根据需要委托外部专业机构协助开展技术检测工作。
全面参与技术检测的外部专业机构应至少满足以下条件:
1、事业单位;
2、从事信息安全检测或相关工作两年以上;
3、专业技术检测人员10人以上,均签订两年以上劳动合同;
4、参与技术检测的人员均为中国公民,无违法犯罪记录,并签订安全保密协议。
(三)委托外部专业机构协助开展技术检测,应与检测机构及参与检测的人员签订安全保密协议,明确安全保密责任和义务。
安全保密协议应包括以下内容:
1、检测机构应遵守国家有关法律法规,客观、公正地提供检测服务;
2、检测机构应保证所提供相关材料的真实性;
3、检测机构不得向其他单位和个人泄露数据和检测结果,不得利用检测数据谋取利益;
4、检测机构应采取有效安全措施,防止因技术检测引发信息安全事件;
5、检测机构不得将检测任务分包或转包。
(四)强化安全检查过程的安全保密和风险控制,切实加强对检查活动、检查人员以及相关文档和数据的安全保密
管理,周密制定检查工作应急预案,确保被检查信息系统的安全正常运行。
八、检查报告
(一)检查报告内容
检查报告主要包括三方面内容:一是信息安全总体情况。包括本年度信息安全工作主要情况,安全检查工作开展情况及检查效果,对本单位信息安全状况的总体评价;二是主要问题及整改情况。三是经验总结及意见建议。包括本部门安全检查工作的经验总结,对安徽省网络与信息安全检查工作的意见建议。
根据检查结果编制检查报告,范围限于各部门本级机关及派出机构。
根据检查结果的敏感程度确定检查报告密级,并在检查报告上明确标识。
(二)报送方式
检查报告以各单位办公室名义报送安徽省网络与信息安全协调小组办公室。
九、安全抽查
按照《安徽省政府信息系统安全检查实施办法》要求,省网络与信息安全协调小组办公室会同有关单位组织开展政府信息系统安全抽查工作。抽查方式分为现场安全抽查和外部安全抽查。
(一)现场抽查。主要抽查2010年度安全检查中发现问题的整改情况,2011年度安全检查工作开展情况。相关单位应积极配合抽查工作,指定抽查工作负责人和联络员,落实所需办公场所、办公设备、网络资源等必要条件,提供抽查工作涉及的信息系统资产信息、信息系统建设运维情况、信息安全规章制度等相关文件、文档和记录。
(二)外部安全检查。定期对全省各部门、各单位门户网站进行外部检查,重点检测网站漏洞、网页挂马等情况。
附件:信息安全检查报告编制要求
附件:
信息安全检查报告编制要求
信息安全检查报告包括工作报告和技术报告,编制要求分别如下:
一、工作报告主要内容
1、概述
2、检查工作组织和实施情况。
3、检查发现的主要问题及概要统计分析。
4、被检查单位信息安全状况的总体评价。
5、主要的整改建议措施,以及对信息安全检查工作的建议。
二、技术报告主要内容
1、任务来源和检查依据。
2、检查工作开展情况。概要说明检查准备阶段、实施阶段和总结阶段所做的工作。
3、检查的信息系统基本情况,抽取的服务器、网络设备、终端计算机等相关设备情况。
4、检查结果。对照本规范中关于检查内容的要求,逐项、客观陈述检查和技术测试结果。
5、主要问题及分析。对检查中发现的问题、存在的安全漏洞和隐患进行分类汇总,对可能造成的危害与影响进行分析,对检查数据类项目进行统计(辅以图表形式),对被检查单位信息安全状况进行总体评价。
6、整改建议。针对检查中发现得问题,有针对性地提出整改措施建议。
