信息安全检查工作

1 / 25信息安全检查工作海林市信息化工作领导小组办公室海信办函【2016】1 号关于开展 2016 年度政府信息系统 安全检查的通知 市政府各有关部门：为贯彻落实牡丹江市信息化领导小组、牡丹江市工业和信息化委员会、牡丹江市公安局、牡丹江市国家安全局、牡丹江市国家保密局、牡丹江市国家密码管理局联合下发的关于开展政府信息系统安全检查的通知精神要求，保障建党 90 周年期间网络信息安全，根据黑龙江省政府信息系统安全检查实施办法等文件要求，决定开展全市政府信息系统安全检查。一、检查目的依据国家和省有关政策规定和技术标准，对政府各部门信息安全工作进行全面检查，及时发现存在的主要问题和薄弱环节，完善信息安全管理制度，加强安全防护措施，保2 / 25障建党 90 周年信息安全。二、检查范围检查范围主要是为政府机关履行职能提供支撑的信息系统，包括政府及政府组成部门自行运行和维护管理以及委托其他机构运行和维护管理的办公系统、业务系统、网站系统、重点新闻网站等。本年度政府信息系统安全检查以全市政府网站信息系统和面向社会提供公共服务的信息系统为重点。三、检查内容以保障建党 90 周年信息安全为重点，针对当前政府信息系统存在的薄弱环节。重点检查：信息安全制度落实情况：是否有主管领导、保密制度工作机构和管理人员；信息安全防范措施落实情况：是否网站页面能正常访问，各栏目及其子栏目及时更新，网站系统密码策略、帐户策略等技术措施是否有效；应急响应机制建设情况：是否有应急制度和应急方案；信息安全教育培训情况：是否进行安全保密意识教育，重要岗位是否考核后上岗；密码技术与产品使用情况；责任追究情况；安全隐患排查及整改情况；运3 / 25维管理情况；等级保护与风险评估情况；物理环境情况；涉密信息与设备的保密管理情况；信息技术产品和服务国产化情况。四、检查方式本次安全检查方式采取自查和抽查相结合，以自查为主。自查。为保障建党 90 周年网络信息安全，各部门务必于2016 年 7 月 26 日前完成政府信息系统安全自查，并对查找的信息安全隐患及时采取应对措施，确保网络信息系统安全稳定运行。各单位自查情况于 7 月 27 日下班之前报市工信局。抽查。市信息化工作领导小组办公室定于 7 月 27 日对重点部门进行抽查。牡丹江市拟于 7 月 30 日前对各市县进行抽查。省里 8 月 1 日8 月 5 日进行抽查。及时整改。各部门对检查清理中发现的问题要及时整改，确保信息系统安全稳定运行，确保上网信息准确、真实，4 / 25不发生失泄密问题，确保公众能够及时获取政府信息、获得便利的在线服务。对确实无力管好的网络和信息系统，要进行整合或予以关闭。五、工作要求成立领导小组。成立由市政府办、市工信局、市保密局、市公安局、市国保大队、市密码管理局组成的联合检查组，具体负责组织实施政府信息系统的安全检查工作。联合检查组组长由政府办副主任担任，成员由市工信局、市保密局、市公安局、市国保大队、市保密局、市密码管理局相关部门负责人和有关工作人员组成。严格落实责任。此次检查过程中，联合检查组将对抽查不合格的单位进行警告并责令其整改，若牡市、省联合检查组抽查再不合格，检查组将向市委、市政府主要领导、分管领导汇报，一并对责任单位通报批评，出现重大泄密事件的，交报请市委、市政府进行行政问责。材料上报时间。各部门于 7 月 26 日之前将附件表格填写完成，经分管领导签字后报市工信局。5 / 25联系人：潘德军 联系电话：7223178电子邮箱：hlsgxj附件：1、2016 年度信息安全检查情况报告表2、2016 年度政府网站安全检查专用表海林市信息化工作领导小组办公室2016 年 7 月 25 日附件 1：2016 年度信息安全检查情况报告表关于开展网络与信息安全专项检查工作实施方案为进一步加强网络与信息安全管理工作，提高网络与信息安全保护水平，根据省、市要求，决定从 年 月 6 / 25日至 月日，对全专项检查。一、工作目标通过专项检查，认真查找网络与信息安全存在的隐患和漏洞，增强各单位的安全意识；全面落实安全组织、安全制度和技术防范措施，建立和完善安全防范机制，确保网络与信息安全。二、组织领导成立 牵头，县公安局、县保密局等相关部门组成，负责对全 政府网络与信息安全检查工作的督导，对重要信息系统进行现场检查，并做好检查的汇总分析和上报工作。各单位要制定具体的安全检查方案，并组织实施。三、检查范围专项检查的重点是党政机关门户网站和办公系统，以及基础信息网络和关系国计民生、国家安全、经济命脉、社会稳定的重要信息系统。7 / 25四、专项检查内容信息网络安全组织落实情况。信息安全工作职责的主管领导、专职信息安全员等设置情况。信息网络安全管理规章制度的建立和落实情况。各单位制订相关的信息网络安全管理制度，重点是信息网络系统中软环境、物理环境、运行环境、软件和数据环境等方面管理制度。机房安全、系统运行、人员管理、密码口令、网络通信安全、数据管理、信息发布审核登记、病毒检测、网络安全漏洞检测、账号使用登记和操作权限管理、安全事件倒查、领导责任追究等制度建立和执行情况。技术防范措施落实情况。各单位在实体、信息、运行、系统和网络安全等方面，是否制定安全建设规划和实施方案及应急计划。在防攻击、防病毒、防篡改、防瘫痪、防窃密方面，是否有科学、合理、有效的安全技术防范措施。党政重要系统中使用的信息产品和外包服务，是否经过国家认监委、工信部、公安、安全、密码管理等相关部门认证。执行计算机信息系统安全案件、事件报告制度情况。发生8 / 25信息安全事件，是否按照报告制度向有关部门报告。有害信息的制止和防范情况。重点对利用互联网散布政治谣言、扰乱社会秩序、宣扬邪教和封建迷信，以及传播淫秽、色情、暴力、赌博等有害信息进行检查。党政机关保密工作。重点检查保密规章制度建设、领导干部的保密工作，重大涉密活动和重要会议的各项内容事先是 - 2 -否经过保密审查审批，国家秘密文件、资料和其它物品的管理，涉密的电子设备、通信和办公自动化系统是否符合保密要求。重要信息系统等级保护工作开展情况。重点检查等级保护工作部署和组织实施情况，信息系统安全等级保护定级备案情况，信息安全设施建设情况和信息安全整改情况。五、专项检查方法与步骤本次专项检查分三个阶段进行：9 / 25自查阶段：日月日。各单位根据专项检查内容对本单位的网络与信息安全工作进行一次全面的自查，对存在的突出安全隐患进行整改，切实加强本单位网络与信息安全的防护工作。抽查阶段：日月县网络与信息安全专项检查工作组组织有关单位对部分单位进行抽查和信息安全风险测评，并提出整改意见。整改阶段：日月日。各单位对自查和抽查中查出的问题、隐患进行整改，并将整改情况于月日前报县网络与信息安全专项检查工作组，县网络与信息安全专项检查工作组汇总情况后报市网络与信息安全专项检查工作组、省网络与信息安全协调小组，并对全网络与信息安全专项检查工作进行通报。六、工作要求- 3 -10 / 25加强组织领导。各单位要充分认识信息安全及本次专项检查工作的重要性和紧迫性。要按照谁主管谁负责、谁运行谁负责的原则，明确分管领导和工作人员。认真按照网络和信息安全专项检查内容，建立健全安全组织、安全管理制度，落实安全防范措施，切实做好重要信息系统的安全建设和管理。积极配合检查。基础信息网络和重要信息系统主管单位要积极配合专项检查及明确专人协助检查组工作，并提供必要的工作条件。形成工作合力。县网络与信息安全专项检查工作组成员单位，要树立“一盘棋”思想，工作中要加强沟通、协作，确保专项检查工作顺利完成。- 4 -附件 1网络和信息安全管理工作检查内容11 / 25一、安全组织和安全管理制度建立并落实机安全组织、安全专管员制度； 信息发布审核和登记制度。 信息监测、巡查、保存、清除和备份制度。违法犯罪案件报告和协助查处制度。对计算机信息系统中发生的案件在 24 小时内向公安机关报告，同时协助公安机关进行相关调查。安全教育和培训制度。 安全管理人员岗位工作职责。内部互联网上网人员登记制度。 二、安全保护技术措施具备保存 60 天以上系统网络运行日志和用户使用日志记录功能。应记录 IP 地址的分配使用情况，交互式信息发布者、主页维护者、邮箱使用者和拨号用户上网的起止时间和对应 IP 地址，交互式栏目的信息等。能在公安机关公共信息网络安全监察部门依法查询时主动予以提供。具有有害信息过滤、屏蔽功能，具有安全审计或预警12 / 25功能。开设邮件服务的，具有垃圾邮件清理功能。 开设交互式信息栏目的，具有身份登记和识别确认功能；设立个人主页服务的，须登记个人主页创办者真实身份、联系电话等，并能识别身份、上网 IP 和记录上网时间。三、日常管理要求。加强安全防范管理。要定期对网站进行监测，及时发现有害信息、及时处置；要落实信息监测人员和信息查证人员，这些人员应保证在出现紧急情况时及时到位做好查证工作；要严格执行案件、事故报告制度。发现违法信息、网络违法犯罪案件、计算机安全事故等，要及时向公安机关报告，并保存相关信息资料；要位强化技术防范措施。完善日志系统和邮件过滤措施，特别是要完善 IP 地址查证系统，要做到“拦得住、查得出”；13 / 25安全员要积极配合公安机关做好网站等信息系统的安全管理工作，重要时期和敏感时期要保持 24 小时通信畅通。 2 附件 2瓯海区 XX 年教育网络设备普查表 3 4 附件 3瓯海区中小学固定 IP 地址登记表网管员： 联系电话： 填表时间： XX 年 月 日 5 14 / 252016 年信息安全检查总结报告人民银行：按照中国人民银行办公室关于 XXXX 通知的要求，我行高度重视，积极开展自查工作，现将有关情况报告如下：一、 信息安全检查工作组织开展情况为切实做好信息安全检查工作，我行成立了以主管信息科技的行领导任组长，综合部总经理、信息技术条线技术骨干为成员的分行信息安全自查工作小组。工作小组多次召开信息安全检查专题会议，认真学习和领会本次检查的要求，制定了符合分行实际情况的自查计划，并对照人民银行制定的信息安全检查操作指南的要求，对我行的系统运行、维护和信息安全等进行了逐条对比和梳理，做到检查不留死角，有序推进自查和风险整改工作。二、 信息安全主要工作情况1、组织和制度建设方面15 / 25首先，为强化全行信息安全管理工作，分行成立了以行领导为组长，各部门负责人为成员的信息安全工作领导小组，组织、协调和指导全行信息安全管理工作，各部门各负其责，具体承担与本部门相关的信息安全管理任务。其次是加强制度的完善和落实，我行按照本次检查的要求，结合内外部审计发现问题的整改，梳理修订了各项规章制度，同时，认真贯彻执行各项信息科技风险管理制度，重点对网络基础设施进行了加固改造，加强了互联网使用和防止敏感信息泄漏的安全管理工作。2、人员安全管理健全员工信息安全责任制度，员工对使用的行内计算机设备和应用系统涉及的敏感信息负责；加强员工离岗离职交接时的安全控制，员工离职时，必须终止系统访问权限；外部人员进入计算机机房及设备间等重要区域时，须先通过审批，在行内人员陪同下方可进入，对其活动有相应的记录。16 / 253、网络系统安全方面按照本次检查要求，重点检查了我行核心网络系统，涉及核心网络系统设备有路由器 6 台，交换机 2 台，防火墙 6台。我行网络系统实施模块化、分区化的管理，核心网络的安全性和稳定性有较高的保证。根据业务性质和类型，对 vlan 和 ip 地址进行了分段划分。广域网接入采用了两家通讯运营商提供的双线路，通过双线路、双路由设备冗余有效保证了网络传输的可用性。从自查总体情况来看，我行网络系统安全运营机制较完善，日常操作和管理较规范；我行骨干网络、外联等网络系统硬件工作正常、网络运行平稳，网络带宽、设备性能满足生产运行需求；我行网络系统模块化、分区化设计的架构较为科学合理，具备较高的安全性；重要网络设备及骨干通信线路均实现了热备，冗余度、可靠性较高。4、系统安全管理方面我行所有生产系统均部署于总行，分行不存在系统安全管理。17 / 25三、自查发现的主要问题和面临的威胁分析1. 发现的主要问题及改进措施运营商系统和维护管理风险，市政通信管线安全风险等影响通信安全的风险，具有外部不可控性，风险因素难以完全避免。我行位于 XXXX，核心机房托管于 XXXX 中心机房内，外部通信接入环境存在着一定的不稳定因素。改进措施：我行针对上述情况，将加强与建设银行、运营商、大楼物业管理等部门充分合作，如果建设银行或运营商有维护和变更，我行将提前介入，做好应急准备，保证网络系统可靠运行。2.面临的安全威胁与风险随着网络系统在我行的广泛应用，银行业务得到较好发展，但是安全风险也更加严重和复杂，单个安全事件可能会引起多个应用系统故障甚至瘫痪；互联网的使用提高了信息的交流和使用效率，但是如果员工的信息安全意识淡薄，18 / 25就容易发生信息泄漏。我行将认真贯彻监管部门的信息安全管理规定，加强信息安全培训工作，提高全行信息安全管理水平。四、后续工作计划通过本次检查，进一步促进了我行信息安全的基础管理工作，我行下一步将从以下几个方面开展信息安全工作：1、 结合本次检查，积极整改发现的问题，更加有效地控制风险；同时进一步加大对整改情况的跟踪核查力度，强化对敏感信息、病毒防范与桌面安全的管理及整改责任的落实。2、 认真分析和研究问题产生的根源，从制度、流程、系统等方面采取针对性的措施。对个别确实存在客观原因不能完全整改的问题，应从实际出发，在风险可控的前提下调整风险应对措施。3、 进一步强化信息安全管理的职责分工与协作，切实发19 / 25挥信息安全管理部门的监督、检查与指导作用。加强全体员工信息安全培训及教育，提高信息安全意识和操作技能，防范信息泄露，让全体员工明白信息安全与自身息息相关，是每个员工日常工作应该遵守的规则。关于开展网络与信息安全联合检查的通知各县、市区联社：为加强网络与信息系统的安全管理和技术防护，促进安全防护能力和水平的提升，预防和减少重大信息安全事件的发生，切实保障本单位网络与信息安全。根据黑龙江省农村信用社网络与信息安全检查工作方案 ，结合我市农村信用社网络与信息安全管理实际情况，制定了齐齐哈尔市农村信用社网络与信息安全检查工作方案 。要求各县联社将信息安全管理工作高度重视起来，切实保障党的十八大胜利召开。并就检查工作相关事宜通知如下：一、工作部署市联社联合检查组由网络中心、电子银行部、信贷管理部、财务部、负债部、人力资源部组成。科技部门负责网络安20 / 25全检查，其他部门负责信息安全检查。二、工作要求各联社要高度认识此项工作，按照检查方案认真落实。切实加强组织领导，明确工作责任，确保检查工作顺利实施并收到实效。对检查工作中发现的薄弱环节和问题，要及时采取有效措施加以整改，由于客观原因不能及时整改的，要制定整改计划和方案，并采取应急防范措施，确保网络和信息系统安全稳定运行。要识别检查中的安全风险，严格执行相关工作纪律，按照有关保密要求，加强此次检查的保密管理。附件：齐齐哈尔市农村信用社网络与信息安全检查工作方案 ；关于印发黑龙江省农村信用社网络与信息安全自查工作方案的通知 。21 / 25齐齐哈尔市农村信用合作社联合社二一二年八月二十八日附件齐齐哈尔市农村信用社网络与信息安全检查工作方案为落实省联社关于印发黑龙江省农村信用社网络与信息安全检查工作方案 的通知精神，力求使本次检查工作达到预期效果，特制定本方案。一、检查目的通过开展信息安全检查，进一步梳理、掌握本单位重要网络与信息安全基本情况，查找突出的问题和薄弱环节，分析面临的安全威胁和风险，有针对性的采取防范对策和改进措施，加强网络与信息系统安全管理和技术防护，促进安全防护能力和水平提升，预防和减少重大信息安全事件22 / 25的发生。二、检查范围此次检查工作范围是辖内的网络与信息系统，检查工作按照“谁主管谁负责、谁运行谁负责”的原则开展。三、检查重点系统安全运行情况。检查各个信息系统运行情况。综合业务网络杀毒软件更新、运行情况；外网办公用计算机病毒查杀情况；操作系统和软件使用情况是否安全；是否存在内外网混用情况；终端机是否开启安全防护措施。安全管理情况。1、信息安全主管领导、信息安全管理部门、信息安全工作人员履职以及岗位责任情况等；23 / 25信息安全主管领导明确