2009年度云南省政府信息系统安全检查指南.doc

2009年度云南省政府信息系统安全检查指南为指导规范2009年度云南省政府信息系统安全检查工作，依据国务院办公厅(国办发200928号)及云南省政府办公厅关于印发的通知有关要求，制定本指南。一、检查范围本指南所称政府信息系统，是指为政府机关履行职能提供支撑的信息系统，包括政府及其部门自行运行和维护管理以及委托其他机构运行和维护管理的办公系统、业务系统、网站系统等。本指南所称政府信息系统安全检查，是指依据我省有关政策规定，参照国家信息安全技术标准规范，对政府信息系统安全保障工作进行检测评估、查找隐患、堵塞漏洞、规范管理、完善措施、落实整改、通报情况的过程，包括进行信息安全风险评估、安全检测、等级测评等。涉及国家秘密的信息系统保密检查工作，按照国家保密管理有关规定和标准执行。二、检查原则政府信息系统安全检查工作坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，采取各单位自查与组织抽查相结合的方式进行。安全检查工作应统筹安排，严密组织，突出重点，明确责任，注重实效，确保质量，切实提高政府信息系统安全保障能力，确保政府信息系统安全运行。三、检查内容针对当前政府信息系统存在的薄弱环节，按照云南省政府信息系统安全检查办法要求，重点检查以下内容：（一）组织机构建设情况。重点检查各级网络与信息安全协调机构建设及工作部门落实情况；各部门信息安全主管领导、管理机构和管理人员的落实情况。（二）安全制度落实情况。重点检查信息安全责任制和保密管理、密码管理、等级保护、重要部门（部位）人员管理等制度的建立和落实情况，信息安全经费保障情况。重点检查是否按照国务院办公厅关于加强政府信息系统安全和保密管理工作的通知等文件要求，明确了一名主管领导负责信息安全工作，指定了一个机构承担信息安全管理工作，指定了专职或兼职安全员，建立并落实了岗位信息安全和保密责任制度。（三）安全防范措施落实情况。身份认证、访问控制、数据加密、安全审计、责任认定以及防篡改、防病毒、防攻击、防瘫痪、防泄密等技术措施的有效性，计算机、移动存储设备、电子文档安全防护措施的落实情况。重点检查是否对账户、口令、软件等进行了清理，是否对重要服务器上的应用、服务、端口和链接进行了检查。（四）应急响应机制建设情况。应急预案制定、演练、落实情况，应急技术支撑队伍建设情况，重大信息安全事故处置情况，重要数据和业务系统的备份情况等。（五）信息技术产品和服务国产化情况。终端计算机、公文处理软件、信息安全产品、IC卡等使用国产产品情况，信息系统服务外包情况，对因特殊原因选用国外信息技术产品和信息安全服务的安全审查情况。（六）密码技术与产品使用情况。采用密码技术进行保护的情况，尤其是违反国家密码管理规定使用密码技术与产品的情况。（七）安全教育培训情况。工作，人员参加信息安全教育培训、掌握信息安全常识和技能、重点岗位持证上岗等情况。（八）责任追究情况。对违反信息安全规定行为和造成泄密事故、信息安全事故的查处情况，对责任人和有关负责人的责任追究以及惩处措施落实情况。（九）安全隐患排查及整改情况。对安全制度、防范措施、设备设施等方面存在的漏洞和薄弱环节的分析排查情况，找准产生问题和隐患的原因，研究制定和落实整改措施等情况。四、时间安排各部门、各单位根据实际情况，按照云南省政府信息系统安全检查办法，及2009年度云南省政府信息系统安全检查指南的有关要求具体进行安排部署。信息安全检查工作于2009年12月20日前完成。由市信息产业办于2009年12月30日前将全市政府信息系统安全检查情况进行汇总，并报送省工业和信息化委员会。五、检查组织各部门、各单位按照云南省政府信息系统安全检查办法的要求，参照本指南制定具体的安全检查方案，并负责组织实施。可委托专业机构(含各部门内部专业机构)参与安全检查，如需委托外部专业机构，应选择工业和信息化、公安、国家安全、保密、密码管理等部门所属的安全检测机构。切实做好检查过程中的信息安全和保密工作，确保被检查信息系统安全正常运行。委托专业机构参与安全检查时，应对专业机构及检测人员进行审查，签订安全保密协议，明确安全和保密责任，并将参与检查的专业机构及检测人员(含各部门内部专业机构及人员)情况作为检查报告的内容报省工业和信息化委员会。六、检查报告检查报告主要包括检查范围、组织实施情况、检查中发现的问题及整改情况、对做好政府信息系统安全检查工作的建议等项内容，以及附表(附表填写时不含涉密信息系统)。检查报告以部门名义报送，包括纸质文件(加盖单位公章)和电子文档。电子文档以光盘为介质，并使用符合国家标准中文办公软件文档格式规范(GBT209 1 62007)的文档格式。支持中文办公软件文档格式规范的国产字处理软件有：金山WPS Office、永中集成Office、中标普华Office、红旗贰仟Red Office等。七、安全抽查市信息产业办会同市公安局、市安全局、市保密局等部门，以及有关专家、网络与信息安全评测机构，按照云南省政府信息系统安全检查实施办法的要求，对本次抽查的有关部门和单位进行安全检查。具体事宜另行通知。八、情况通报省工业和信息化委跟踪、收集、汇总安全检查情况，会同有关部门进行综合分析和情况会商，及时通报情况。九、通信、电力、金融、交通等面向社会提供服务的重要行业信息系统和各企业、高等院校的重要信息系统，参照本指南进行信息安全检查。十、其他本指南中所指国产终端计算机、国产字处理软件、国产信息安全产品，暂时按以下方法进行认定：1、国产终端计算机应具有国内品牌，最终产品在中国境内生产并符合法律法规和政策规定的其他条件。2、国产字处理软件应具有国内品牌，最终产品在中国境内生产，