网络与信息安全检查实施方案

网络与信息安全检查实施方案网络与信息安全检查实施方案 为做好我市网络与信息系统安全检查工作 特制定本实施 方案 一 工作目一 工作目标标 针对当前网络与信息安全工作面临的严峻形势 检查工作 组通过对重点单位信息安全工作的全面检查 查找网络与信息 安全管理工作中存在的漏洞 进一步落实各项安全措施 有效控 制网络安全风险 提高安全防范能力 确保网络与信息系统持续 安全 稳定运行 二 二 组织组织机构机构 三 三 检查检查范范围围 1 涉及国家秘密的网络与信息系统 2 卫生 教育 国资行业的重要信息系统 3 社会领域事关国家安全和社会稳定 对地区 部门 行业 正常生产生活具有较大影响的重要网络与信息系统 四 四 检查检查内容内容 一 人员管理 查验相关文档 文件 记录等 检查信息安 全和保密责任制建立及落实情况 人员离岗离职信息安全管理 情况 外部人员访问机房等重要区域管理情况 违反制度规定造 成信息安全事件的责任查处情况等 二 运维管理 检查运维外包服务管理情况 查看服务合同 运维管理制度 人员管理情况等 查阅相关文档和记录 检查信 息系统运营和使用权限管理 重要变更审批备案 日常运维操作 2 管理 安全日志定期备份和分析等情况 三 等级保护 分级保护与安全测评 1 等级保护和分级保护情况 检查信息安全等级保护 分级 保护有关文件要求的落实情况 定级备案 测评报告等相关文档 检查信息系统定级 测评 整改等情况 检查是否存在未定级网 络与信息系统等 2 安全测评情况 检查信息安全测评有关文件要求的落实情 况 检查测评报告及测评工作的开展情况 四 应急预案 检查是否制定了本部门信息安全应急预案 是否及时修订 是否组织开展了相应的应急演练和宣贯培训 五 信息安全事件应急处置 检查本年度发生的信息安全 事件及处置情况 对于发生重大信息安全事件的 应检查是否进 行了及时处置 是否按照要求上报和通报等 六 技术检测 由信息安全专业技术人员对迎检单位的信 息系统和计算机终端进行安全检查 五 五 进进度安排度安排 一 工作部署阶段 XXXX 年 X 月 X 日 二 自查阶段 XXXX 年 X 月 X 日 X 月 X 日 三 现场检查阶段 XXXX 年 X 月 X 日 X 月 X 日 四 总结整改阶段 XXXX 年 X 月 X 日 X 月 X 日 六 工作要求六 工作要求 一 加强组织领导 二 认真履行职责 三 认真做好总结分析 3 四 应急处置到位 附件 1 网络与信息安全检查工作报告参考格式 附件 2 信息安全检查情况报告表 附件 3 网络与信息安全检查信息报送表 附件 1 网络与信息安全检查工作报告参考格式 一 检查工作报告名称 单位 部门 网络与信息安全检查工作报告 二 检查工作报告组成 4 检查工作报告包括主报告和检查情况报告表两部分 三 主报告内容要求 一 本单位 部门网络与信息安全检查工作组织开展情况 概述此次安全检查工作组织开展情况 所检查的重要网络 与信息系统基本情况 二 本单位 部门信息安全工作情况 对照 检查通知 要求 逐项 详细描述本区县 部门 行业在 安全管理 技术防护 应急处置与容灾备份等方面工作的检查 结果 三 本单位 部门 检查发现的主要问题和面临的威胁分析 1 发现的主要问题和薄弱环节 2 面临的安全威胁和风险 3 整体安全状况的基本判断 四 改进措施及整改效果 1 改进措施 2 整改效果 五 关于加强信息安全工作的意见和建议 四 信息安全检查情况报告表 检查情况报告表应如实填写 避免出现漏项 错项 前后不 一致等情况 5 附件 2 信息安全检查情况报告表 一 信息安全组织机构情况 单位名称 分管信息安全工作的领导职 务 机构名称 负 责 人 职务 信息安全管理机构 联系电话 信息安全专职工作机构 如信息安全处 有 机构名称 联 系 人 职务 电话 无 信息安全员 专职数量 兼职数量 持证人员数量 未设定 注 从 2012 年起 将逐步实行信息安全员持证上岗 培训 等 二 信息系统基本情况 信息系统总数 个 面向社会公众提供服务的信息系统数 个信息系统基本情况 运维服务外包的信息系统数 个 三 日常信息安全管理情况 重要岗位信息安全和保密责任制度 已建立 未建立 重要岗位人员安全保密协议 全部签订 部分签订 没有签订 人员离岗离职信息安全管理规定 已制定 未制定 外部人员访问重要区域管理规定 已制定 未制定 责任书 保密协议 离岗离职记录 到访记录等 完整 不完整 没 有 人员管理情况 本年度信息安全事件的责任查处情况 通报批评 人 警告 人 记过及以上 人 资产管理制度 已建立 未建立 计算机及相关设备维修维护管理规定 已制定 未制定资产管理情况 存储设备报废销毁管理规定 已制定 未制定 资产台账和计算机 存储等设备维修 报废记录 完整 不完整 没 有 运维管理制度 已建立 未建立 运维管理情况 系统运维记录 完整 不完整 没有 公文电子件情况 公文电子件审批 发布 传输 存储制度 有 无 是否存在非涉密系统 介质处理 存储涉密文件 有 起 无 电子邮箱情况 电子邮箱使用管理规定 有 无 6 使用境外邮箱收发工作邮件 有 无 工作邮箱开启了自动转发功能或使用外部邮箱代收了工作邮件 有 无 四 等级保护与安全测评情况 信息系统总数 个 面向社会公众提供服务的信息系统数 个 运维服务外包的信息系统数 个 信息系统基本情况 本年度经过风险评估 含安全测评 等级测评 的系统数 个 第一级第二级第三级第四级第五级未定级等级保护定级情况 个数 第一级第二级第三级第四级第五级等级保护备案情况 个数 第一级第二级第三级第四级第五级等级测评情况 次数 重大信息化项目上线前是否进行了验收测评 是 否 无重大项 目 对于发生重大安全事件的系统是否进行了专项测评 是 否 没 发生重大安全事件 安全测评情况 是否根据安全测评报告进行了制定了整改方案并组织实施 是 否 五 技术防护手段建设情况 互联网出口数量 个 互联网出口是指部门局域网与互联网的接口 互联网出口安全防护设备部署情况 防火墙 入侵检测设备 安全审计设备 防病毒网关 负载均衡设备 其他 互联网访问日志 留存 未留存 安全防护设备策略 使用默认配置 根据应用自主配置 终端接入互联网时安全信息提示 有 无 网络边界安全防护 是否有技术手段监测 控制私自使用无线网卡 路由器等进行非法 外连 有 无 是否关闭了不必要的应用 服务 端口 是 否 系统补丁更新方式 自动更新 手动更新 定期进行漏洞扫描 是 否 定期查看系统日志 是 否 存在测试或不明帐户 是 否 服务器安全防护 存在弱口令现象 是 否 是否有统一的安全数据收集 分析和存储平台或系统 有 无 运维人员情况 专业人员 兼职人员监控与审计情况 监控数据分析情况 实时 定期 无 7 有无流量控制措施确保重要应用不受干扰 有 无 对于数据库 应用系统 能否记录用户登陆 注销等重要操作 有 无 办公网络接入认证 有接入认证 无接入认证 办公网与其他业务网之间访问控制策略 设置 未设置 对使用无线网卡 路由器是否有管理要求 有 无 对使用无线网卡 路由器是否有技术控制措施 有 无 计算机终端管理方式 集中统一管理 用户自行管理 计算机终端软件安装管理 有管理规定 审批流程 无规 定 办公网络 计算机终端 移动存储设备和介质情 况 接入互联网安全控制方式 实名接入 IP 和 MAC 地址进行绑定 指定固定上网 IP 地址 无控制措施 网站信息发布审批制度 已建立 未建立 部署的安全防护设备 防火墙 入侵检测设备 安全审计设备 防病毒网关 负载均衡设备 网页防篡改设备 其他 网站系统自身是否有审计 日志等安全功能设计 有 无 网站系统上线前是否进行 代码安全检测 综合安全评估 无 网站系统管理账号是否存在弱口令 有 无 门户网站安全防护 网站系统管理登陆是否采用加密方式 是 否 面向社会公 众服务的信 息系统 使用自建 CA 使用第三方 CA 服务商名称 采用 内部信息系 统 使用自建 CA 使用第三方 CA 服务商名称 数字证书使用情况 未采用 六 应急管理工作开展情况 信息安全应急预案 已制定 本年度修订情况 修订 未修订 未制定 信息安全应急演练 本年度已开展 次 本年度未开展 应急技术支援队伍 部门所属单位 外部专业技术机构 无 重要数据备份情况 备份 未备份 重要信息系统备份情况 备份 未备份 网站备份情况 备份 未备份 信息安全灾难备份 使用外包服务情况 使用灾备外包 个系统 未使用 信息安全事件 应急处置情况 本年度发生的信息安全事件起数 起 8 本年度发生的信息安全事件主要类型 硬件故障 起 网站挂马 起 页面篡改 起 病毒木马 起 数据损坏 起 系统故障 起 其 他 起 件是否进行了及时处置和上报 通报 是 否 信息安全事 件总体情况 本年度发生信息安全事件次数 其中 特别重大事件 级 次数 重大事件 级 次数 较大事件 级 次数 一般事件 级 次数 信息安全事件分级依据 北京市网络与信息安全事件应急 预案 网页被篡改 事件 门户网站网页被篡改 含内嵌恶意代码 的次数 攻击事件网络攻击事件次数 感染病毒的服务器台数 病毒情况 感染病毒的终端计算机台数 存在木马的服务器台数 木马情况 存在木马的终端计算机台数 存在漏洞的服务器台数 其中存在高风险漏洞的服务器台数 漏洞情况 存在漏洞的终端计算机台数 其中存在高风险漏洞的终端计算机台数 使用非涉密信息系统处理涉密信息的事件数 在涉密和非涉密信息系统之间混用计算机的事件数 信息安全事件 应急处置情况 非法使用设 备事件 在涉密和非涉密信息系统之间混用移动存储设备的事 件数 七 信息技术产品和信息安全产品使用情况 服务器总台数 其中国产台数 终端计算机 含笔记本 总台数 其中国产台数 路由器 含交换机 总台数 其中国产台数 存储设备总台数 其中国产台数 操作系统 服务器操作系统情况 使用 Windows 操作系统的服务器台数 使用 Linux 操作系统的服务器台数 使用其他操作系统的服务器台数 9 终端计算机操作系统情况 使用 Windows 操作系统的计算机台数 使用 Linux 操作系统的计算机台数 使用其他操作系统的计算机台数 数据库总数 其中国产数量 字处理软件 终端计算机上 使用国产字处理软件的终端计算机台数 使用国外字处理软件的终端计算机台数 安装国产防病毒软件的终端计算机台数 主要信息安全产品 信息安全产品 不含终端软件防火墙 台数 其中国产信息安全产品的台数 八 运维和信息安全服务情况 运维服务外包机构 无外包 有外包 运维外包机构数量 保密协议签署情况 全部签订 部分签订 没有签订运维服务外包机构 管理情况 运维管理制度建立情况 已建立 未建立 信息安全服务机构 有外资机构参与 无外资机构参与 与信息安全服务机构签 订安全保密协议情况 全部签订 部分签订 没有签订 九 信息安全教育培训情况 培训人数本年度接受信息安全教育培训的人数 人 占本部门总人数的比例 培训次数本年度