宁夏回族自治区人民政府办公厅转发自治区经济和信息化委2010年度全区政府信息系统安全检查指南的通知
(宁政办发[2010]85号 2010年5月29日)
各市、县(区)人民政府,自治区政府各部门、直属机构:
自治区经济和信息化委《2010年度全区政府信息系统安全检查指南》已经自治区人民政府同意,现转发给你们,请结合各自实际,认真贯彻落实。
2010年度全区政府信息系统安全检查指南
为指导规范2010年度全区政府信息系统安全检查工作,提高政府信息系统安全保障能力,确保政府信息系统安全稳定运行,根据《自治区人民政府办公厅关于印发(自治区政府信息系统安全检查实施方案)的通知》(宁政办发[2009]179号)有关要求,参照国家信息安全技术标准规范,结合我区实际。制定本指南。一、检查目的
依据国家有关政策规定,在全区2009年度开展政府信息系统安全检查工作的基础上,对各市、县(区)、各部门信息安全工作进行全面检查,了解掌握全区政府信息系统安全总体状况,发现存在的主要问题和薄弱环节,完善信息安全管理制度,加强安全防护措施,提高信息安全工作水平。
二、检查原则
(一)全区政府信息系统安全检查工作坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,以各市、县(区)、各部门自查为主,统筹安排、严密组织、突出重点、明确责任、注重实效。
(二)各市、县(区)、各部门自行组织检查与自治区经济和信息化委会同有关部门统一组织抽查相结合。各部门管理的全区性信息系统安全检查工作,由各主管部门统一部署并落实。
三、检查范围
本指南所称政府信息系统安全检查,是指依据国家有关政策规定,参照国家信息安全技术标准规范,对全区政府信息系统安全工作进行检测评估、查找隐患、堵塞漏洞、规范管理、完善措施、落实整改、通报情况的过程,包括进行信息安全风险评估、安全检测、等级测评等。
全区政府信息系统安全检查的范围是为各市、县(区)、各部门履行职能提供支撑的信息系统,包括自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、网站系统等。各市、县(区)、各部门的重要业务系统、门户网站是检查重点。
涉及自治区秘密的信息系统保密检查工作,按照自治区保密管理规定执行。
四、检查依据
(一)政策文件。
1.《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
2.《自治区人民政府办公厅关于印发〈自治区政府信息系统安全检查实施方案〉的通知》(宁政办发[2009]179号)
3.《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》(同办发[2008]17号)
4.《国务院办公厅关于印发国家网络与信息安全事件应急预案的通知》(国办函[2008]168号)
5.《关于加强党政机关计算机信息系统安全和保密管理的若干规定》(国保发[2007]13号)
6.其他有关政策规定
(二)技术标准。
1.《信息安全风险评估规范》(gb/t 20984-2007)
2.《信息安全风险管理指南》(gb/z 24364-2009)
3.《信息系统安全等级保护基本要求》(gb/t 22239-2008)
4.《信息安全管理体系要求》(gb/t 22080-2008)
5.《信息安全管理实用规则》(gb/t 22081-2008)
6.《信息系统安全管理要求》(gb/t 20269-2006)
7.《信息安全事件分类分级指南》(gb/z 20986-2007)
8.《信息安全事件管理指南》(gb/z 20985-2007)
9.《信息系统灾难恢复规范》(gb/t 20988-2007)
10.《信息安全应急响应计划规范》(gb/t 24363-2009)
11.其他有关技术标准
五、检查内容
(一)信息安全组织机构。检查信息安全工作主管领导、信息安全管理机构、各内设机构信息安全员等设置情况。按照《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》(国办发[2008]17号)要求,各市、县(区)、各部门、各单位应明确一名副职领导主管信息安全工作,应指定一个厅、局级机构承担信息安全管理工作,各内设机构应指定一名专职或兼职信息安全员。
(二)日常信息安全管理。
1.人员管理。查验相关文档、文件、记录等,检查信息安全和保密责任制建立及落实情况,人员离岗离职信息安全管理情况,外部人员访问机房等重要区域管理情况,违反制度规定造成信息安全事件的责任查处情况等。
2.资产管理。查验相关文档、台账、记录等,检查资产管理制度建立及落实情况,办公软件、应用软件等安装与使用情况,计算机及相关设备维修维护管理、存储设备报废销毁管理情况等。
3.运维管理。查阅相关文档和记录,检查信息系统运营和使用权限管理、重要变更审批备案、日常运维操作管理、安全日志定期备份和分析等情况。对于委托外单位运行管理的,应查看服务合同和安全保密协议等。
(三)等级保护与风险评估。
1.等级保护。检查信息安全等级保护有关文件要求的落实情况。通过查看等级保护定级备案、等级测评报告等相关文档,检查信息系统定级、测评、整改等情况。
2.风险评估。检查信息安全风险评估有关文件要求的落实情况。通过查看风险评估报告等,检查风险评估工作的开展情况。
(四)技术防护手段建设。
1.网络边界安全防护。检查系统总体网络架构、子系统分布、终端节点、区域划分及边界防护、网络管理等情况;互联网接人情况;终端接人互联网时是否有安全信息提示措施等。
2.信息安全产品部署及使用。检查防火墙、入侵检测、安全审计、病毒防护等信息安全产品部署及使用情况,以及信息安全产品策略配置有效性等。
3.服务器安全防护。检查服务器上应用、服务、端口、链接以及系统补丁等情况,是否关闭了不必要的应用、服务、端口、链接;账号口令强度和更新情况;病毒木马防护措施,是否定期进行漏洞扫描、病毒木马检测等。
4.网络设备安全防护。检查安全配置有效性;账号口令强度和更新情况;是否定期进行漏洞扫描等。
5.终端计算机和移动存储设备安全防护。检查终端计算机是否采取集中安全管理措施;计算机账号口令强度和更新情况;终端计算机接人互联网安全控制措施(如实名接人、对计算机ip和mac地址进行绑定、指定固定上网ip地址等);是否安装病毒防护软件,定期进行漏洞扫描、病毒木马检测;是否在非涉密和涉密信息系统间混用了计算机和移动存储设备,是否使用了非涉密计算机处理涉密信息等。
6.门户网站安全防护。检查网站信息发布审批制度建立及落实情况;边界防护、抗拒绝服务攻击、网页防篡改等安全防护设备的部署情况,以及安全配置策略的有效性;是否定期进行漏洞扫描、木马检测等。
7.密码技术防护。检查采用密码技术对信息系统、终端计算机、电子文档等进行保护的情况,使用的密码技术产品及含有密码技术的信息技术产品是否符合国家密码管理规定。
8.网络信任措施。检查采用数字证书方式实现身份认证和授权管理的情况,使用的数字证书是否符合国家电子认证服务管理规定。
(五)应急管理工作开展。
1.应急预案。检查《自治区网络与信息安全事件应急预案》落实情况,是否制定了本地区、本部门信息安全应急预案,是否及时修订,是否组织开展了相应的宣贯培训。
2.应急演练。检查是否按照要求开展了信息安全应急演练。对于已开展演练的,应检查演练相关文档(包括演练组织单位、参与部门、演练责任人、演练时间、演练内容等)。
3.应急技术支援队伍。检查是否按照要求明确了应急技术支援队伍。对于已明确的,应检查签订的合同和安全保密协议,掌握应急技术支援队伍的基本情况以及开展的应急技术支援活动等。
4.灾难备份。检查是否根据实际需要对重要数据和信息系统进行了灾难备份。对于采用社会第三方灾难备份服务的,应检查签订的合同和安全保密协议以及灾难备份服务的运维情况等。
5.信息安全事件应急处置。检查本年度发生的信息安全事件及处置情况。对于发生重大信息安全事件的,应检查是否进行了及时处置,是否按照要求上报和通报等。(信息安全事件分级依据《自治区网络与信息安全事件应急预案》)
(六)信息技术产品和信息安全产品使用。
1.信息技术产品。检查服务器、网络设备、存储设备、终端计算机、字处理软件等使用本国产品的情况。使用捐赠的服务器、网络设备、存储阵列等产品,应检查产品应用范围、签订的相关协议,以及使用前是否进行安全测评等。
2.信息安全产品。检查防火墙、入侵检测设备、安全审计设备、vpn设备等信息安全产品使用本国产品的情况。使用捐赠的信息安全产品,应检查产品应用范围、签订的相关协议,以及使用前是否进行安全测评等。
本指南中的国产终端计算机、国产字处理软件、国产信息安全产品,暂按以下方法进行认定:(1)国产终端计算机应具有国内品牌,最终产品在中国境内生产,并符合法律法规和政策规定的其他条件;(2)国产字处理软件应具有国内品牌,最终产品在中国境内生产,拥有核心模块的自主知识产权和源代码,并符合法律法规和政策规定的其他条件;(3)国产信息安全产品应具有国内品牌,最终产品在中国境内生产,拥有核心模块的自主知识产权和源代码,通过国家认定的信息安全产品检测实验室的检测,并符合法律法规和政策规定的其他条件。
(七)信息安全服务。查看服务合同、安全保密协议等文件,检查信息安全服务机构的服务内容,是否有相应的服务记录,是否有远程在线服务,是否由外资机构提供服务等。
(八)信息安全教育培训。检查领导干部和机关工作人员参加信息安全教育培训、掌握信息安全常识和基本技能情况,信息安全管理和技术人员参加信息安全专业培训情况等。
(九)信息安全经费保障。检查信息安全防护设施建设、运行、维护、检查及管理等费用是否纳入部门年度预算,以及本年度信息安全经费实际投入情况等,特别是要检查是否按照自治区政府信息系统安全检查实施方案要求落实了安全检查工作经费。
(十)安全隐患排查及整改。检查对2009年度自治区政府信息系统安全检查中发现问题的整改情况,是否制定了整改措施并及时进行了整改,是否在整改后对信息安全风险和隐患作了进一步的排查和评估。
六、时间安排
各市、县(区)、各部门可根据实际情况,统筹规划和组织部署自治区政府信息系统安全检查工作,并对信息安全检查工作进行认真总结、分析和评估。年度安全检查工作于2010年12月31日前完成。
各市、县(区)和各部门于2011年1月15日前将安全检查情况书面材料(包括电子版)送自治区经济和信息化委电子与信息安全处,联系人:张树铭(联系电话:0951-6038039 电子信箱:zsm45678@126.com)。
七、工作要求
(一)各市、县(区)、各部门要把全区政府信息系统安全检查工作列入重要议事日程,切实加强组织领导,完善检查工作机制,落实检查工作经费,开展宣传教育培训活动,确保检查工作顺利开展。按照自治区政府信息系统安全检查实施方案的要求,参照本指南制定具体的安全检查实施方案和工作计划,并认真组织实施。建立信息安全检查责任制,明确检查责任,落实检查组织机构、参与单位及检查人员。
(二)可组织所属信息中心等单位开展安全检查工作,也可根据需要委托专业机构协助开展技术检测工作。
全面参与技术检测的专业机构应至少满足以下条件:1.事业单位;2.从事信息安全检测或相关工作两年以上;3.专业技术检测人员10人以上,均签订二年以上劳动合同;4.参与技术检测的人员均为中国公民,无违法犯罪记录,并签订安全保密协议。
(三)委托专业机构协助开展技术检测,应与检测机构及参与检测的人员签订安全保密协议,明确安全保密责任和义务。
安全保密协议应包含以下内容:1.检测机构应遵守国家有关法律法规,客观、公正地提供检测服务;2.检测机构应保证所提供相关材料的真实性;3.检测机构不得向其他单位和个人泄露检测数据和检测结果,不得利用检测数据谋取利益;4.检测机构应采取有效安全措施,防止因技术检测引发信息安全事件;5.检测机构不得将检测任务分包或转包。
(四)强化安全检查过程中的安全保密和风险控制,切实加强对检查活动、检查人员以及相关文档和数据的安全保密管理,周密制定检查工作应急预案,确保被检查信息系统的安全正常运行。
八、检查报告
(一)检查报告内容。检查报告主要包括三方面内容:一是信息安全总体情况。包括本年度信息安全工作主要情况,安全检查工作开展情况及检查效果,对本市、县(区)、本部门信息安全状况的总体评价;二是主要问题及整改情况。包括对2009年度安全检查发现问题的整改情况,本年度安全检查发现的主要问题及整改措施;三是经验总结及意见建议。包括本市、县(区)、本部门安全检查工作的经验总结,对自治区政府信息安全工作特别是安全检查工作的意见建议。
根据检查结果填写《2010年度全区政府信息系统安全检查情况报告表》(见附件)。填写范围各市、县(区)、各部门本级机关。
(二)报送方式。检查报告以各市、县 (区)、各部门办公室名义报送自治区经济和信息化委电子与信息安全处,包括纸质文档和光盘 (电子文档)。电子文档应使用符合国家标准《中文办公软件文档格式规范》(gb/t 20916- 2007)的文档格式。支持国家标准文档格式的国产软件有:金山wps office、永中集成office、中标普华office、红旗贰仟red office等。
九、安全抽查
自治区经济和信息化委会同自治区公安厅、安全厅、保密局、密码局等部门,按照《自治区政府信息系统安全检查实施方案》的要求,自2010年10月开始,对自治区有关部门和单位进行安全抽查。具体事宜另行通知。
(一)现场安全抽查。主要抽查2009年度安全检查中发现问题的整改情况,2010年度安全检查工作开展情况,信息安全有关管理制度、技术防护措施的落实情况等。为检验安全措施的有效性,将使用专业技术手段对相关信息系统进行现场或外部的安全检测。
(二)外部安全检查。定期对各市、县(区)、各部门门户网站进行外部安全检查,重点险测网站漏洞、网页挂马等情况。(附件略)
