信息安全工作方案

信息安全工作方案信息安全工作方案信息安全工作方案一、工作目的按照《云南省工业和信息化委员会关于开展20夏年度云南省政府信息系统安全检查工作的通知》要求，根据《国务院办公厅关于加强政府信息安全和保密管理工作的通知》、《国务院办公厅关于印发政府信息系统安全检查办法的通知》以及《云南省政府办公厅关于印发政府信息系统安全检查实施办法的通知》、《20夏年度云南省政府信息系统安全检查指南》、《昆明市人民政府办公厅关于印发昆明市政府信息系统安全检查工作方案的通知》精神，坚持谁主管谁负责，谁运行谁负责、谁使用谁负责的原则，开展201X年度石林彝族自治县人民政府信息系统安全检查工作，贯彻落实国家对于信息安全工作的各项要求，在全县范围内对各乡镇、各部门信息系统安全工作进行全面检查，掌握我县党政信息系统安全状况，发现存在的主要问题和薄弱环节，完善信息安全制度，加强安全防护措施，提高信息安全水平。二、组织机构成立石林彝族自治县网络信息安全检查领导小组（以下简称领导小组）。组长：和加卫（县人民政府副县长）副组长：段圳宗（县信息产业办副主任）成员：雷振涛（县政府办副主任）第1页共18页李学（县国家保密局局长）张家友（县公安局网监大队大队长）张波（县信息产业办）领导小组下设办公室在县信息产业办，负责组织实施本次安全检查工作，由段圳宗同志兼任办公室主任，办公室工作人员从领导小组成员单位抽调。三、具体工作（一）检查范围：各乡镇人民政府，县直各部委办局在内外网运行的办公系统、业务系统、网站系统等。各乡镇、各部门的重要业务系统、门户网站是检查重点。（二）按照《政府信息系统安全检查实施办法》、《20夏年度云南省政府信息系统安全检查指南》（附件一），请各乡镇、各单位对照进行自检，并形成书面材料（附电子文档），填写《201X年石林彝族自治县人民政府信息系统安全检查报告表》（附件二、三）盖章并附电子文档，于201X年6月13日前一并报领导小组办公室。（三）针对当前政府信息系统存在的薄弱环节，按照《云南省政府信息系统安全检查实施办法》要求，重点检查以下内容：.信息安全组织机构。.日常信息安全管理。.等级保护与风险评估。.建设防范手段建设。.应急管理工作开展。.信息技术产品和信息安全产品使用。第2页共18页.信息安全服务。.信息安全教育培训。.信息安全经费保障。.安全隐患排除及整改。（四）领导小组对县重点部门的网络信息安全进行现场抽查。（五）201X年6月中下旬接受市网络信息安全检查工作组到石林检查，具体检查单位根据市检查组通知临时确定。（六）201X年9月根据我县的信息安全检查结果，对检查中发现的问题，将按照《政府信息系统安全检查办法》的规定，责令相关部门限期整改，并追究有关人员的责任。（七）自201乂年10月起，各乡镇、各单位开展201X年下半年信息安全检查工作。在上半年工作的基础上，进行自评、自查并形成书面材料（附电子文档），填写《201X年度石林彝族自治县政府信息系统安全检查报告表》（附件二、三）盖章并附电子文档，于201X年10月15日前一并报领导小组办公室。四、工作要求各乡镇、各部门要把政府信息系统安全检查工作列入重要议事日程，加强领导，明确检查责任，落实专职的检查人员和经费，保证检查工作顺利进行。要求所有参与检查的人员必须严格按照《云南省政府信息系统安全检查实施办法》和《20夏年度云南省政府信息系统安全检查指南》要求开展工作，要特别强调工作中注意信息安全和保密。涉及国家秘密的信息系统保密检查工作，按照国家保密管理规定执行。第3页共18页附件：1.20夏年度云南省政府信息系统安全检查指南201X年石林彝族自治县人民政府信息系统安全检查情况报告表201X年石林彝族自治县人民政府信息系统安全检查情况报告表附件1201X年度云南省政府信息系统安全检查指南为指导规范201X年度云南省政府信息系统安全检查工作，依据《国务院办公厅关于印发政府信息系统安全检查办法的通知》（以下简称《检查办法》）等文件，参照国家信息安全技术标准规范，总结20夏年度政府信息系统安全检查工作，制定本指南。一、检查目的依据国家及我省有关政策规定，在201X年12月开展政府信息系统安全检查工作基础上，对各部门信息安全工作进行全面检查，了解掌握政府信息系统安全总体状况，发现存在的主要问题和薄弱环节，完善信息安全管理制度，加强安全防护措施，提高信息安全工作水平。二、检查原则坚持谁主管谁负责、谁运行谁负责、谁使用谁负责的原则，统筹安排、突出重点、明确责任、注重实效。各部门自行组织检查与工业和信息化委员会会同有关部门统一组织抽查相结合。部门管理的全国性信息系统安全检查工作，由主管部门统一组织部署。第4页共18页三、检查范围本指南所称政府信息系统安全检查，是指依据国家有关政策规定，参照国家信息安全技术标准规范，对政府信息系统安全工作进行检测评估、查找隐患、堵塞漏洞、规范管理、完善措施、落实整改、通报情况的过程，包括进行信息安全风险评估、安全检测、等级测评等。政府信息系统安全检查的范围是为各部门履行职能提供支撑的信息系统，包括自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、网站系统等。各部门的重要业务系统、门户网站是检查重点。涉及国家秘密的信息系统保密检查工作，按照国家保密管理规定执行。四、检查依据（一）政策文件.《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号）.《国务院办公厅关于印发政府信息系统安全检查办法的通知》（国办发〔201X〕28号）.《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》（国办发〔201X〕17号）.《国务院办公厅关于印发国家网络与信息安全事件应急预案的通知》（国办函〔201X〕168号）.《关于加强党政机关计算机信息系统安全和保密管理的若干规定》（国保发〔201X〕13号）第5页共18页.云南省网络与信息安全协调小组《关于印发加强党政机关信息系统安全和保密管理工作意见的通知》云信安发〔20夏〕2号.其他有关政策规定(二)技术标准.《信息安全风险评估规范》(GBT20984-201X).《信息安全风险管理指南》(GBZ24364-201X).《信息系统安全等级保护基本要求》(GBT22239-201X).《信息安全管理体系要求》(GBT22080-201X).《信息安全管理实用规则》(GBT22081-201X).《信息系统安全管理要求》(GBT20269-2006).《信息安全事件分类分级指南》(GBZ20986-201X).《信息安全事件管理指南》(GBZ20985-201X).《信息系统灾难恢复规范》(GBT20988-201X).《信息安全应急响应计划规范》(GBT24363-201X).其他有关技术标准五、重点检查内容(一)信息安全组织机构检查信息安全工作主管领导、信息安全管理机构、各内设机构信息安全员等设置情况。按照《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》要求，各部门应明确一名副职领导主管信息安全工作，应指定一个专门机构承担信息安全管理工作，各内设机构应指定一名专职或兼职信息安全员。(二)日常信息安全管理第6页共18页.人员管理。查验相关文档、文件、记录等，检查信息安全和保密责任制建立及落实情况，人员离岗离职信息安全管理情况，外部人员访问机房等重要区域管理情况，违反制度规定造成信息安全事件的责任查处情况等。.资产管理。查验相关文档、台账、记录等，检查资产管理制度建立及落实情况，办公软件、应用软件等安装与使用情况，计算机及相关设备维修维护管理、存储设备报废销毁管理情况等。.运维管理。查阅相关文档和记录，检查信息系统运营和使用权限管理、重要变更审批备案、日常运维操作管理、安全日志定期备份和分析等情况。对于委托外单位运行管理的，应查看服务合同和安全保密协议等。（三）等级保护与风险评估.等级保护。检查信息安全等级保护有关文件要求的落实情况。通过查看等级保护定级备案、等级测评报告等相关文档，检查信息系统定级、测评、整改等情况。.风险评估。检查信息安全风险评估有关文件要求的落实情况。通过查看风险评估报告等，检查风险评估工作的开展情况。（四）技术防护手段建设.网络边界安全防护。检查系统总体网络架构、子系统分布、终端节点、区域划分及边界防护、网络管理等情况；互联网接入情况；终端接入互联网时是否有安全信息提示措施等。.信息安全产品部署及使用。检查防火墙、入侵检测、安全审计、病毒防护等信息安全产品部署及使用情况，以及信息安全产品策略配置有效性等。第7页共18页.服务器安全防护。检查服务器上应用、服务、端口、链接以及系统补丁等情况，是否关闭了不必要的应用、服务、端口、链接；账号口令强度和更新情况；病毒木马防护措施，是否定期进行漏洞扫描、病毒木马检测等。.网络设备安全防护。检查安全配置有效性；账号口令强度和更新情况；是否定期进行漏洞扫描等。.终端计算机和移动存储设备安全防护。检查终端计算机是否采取集中安全管理措施；计算机账号口令强度和更新情况；终端计算机接入互联网安全控制措施（如实名接入、对计算机IP和MAC地址进行绑定、指定固定上网IP地址等）；是否安装病毒防护软件，定期进行漏洞扫描、病毒木马检测；是否在非涉密和涉密信息系统间混用了计算机和移动存储设备，是否使用了非涉密计算机处理涉密信息等。.门户网站安全防护。检查网站信息发布审批制度建立及落实情况；边界防护、抗拒绝服务攻击、网页防篡改等安全防护设备的部署情况，以及安全配置策略的有效性；是否定期进行漏洞扫描、木马检测等。.密码技术防护。检查采用密码技术对信息系统、终端计算机、电子文档等进行保护的情况，使用的密码技术产品及含有密码技术的信息技术产品是否符合国家密码管理规定。.网络信任措施。检查采用数字证书方式实现身份认证和授权管理的情况，使用的数字证书是否符合国家电子认证服务管理规定。（五）应急管理工作开展第8页共18页.应急预案。检查《云南省网络与信息安全事件应急预案》落实情况，是否指定了本部门信息安全应急预案，是否及时修订，是否组织开展了相应的宣贯培训。.应急演练。检查是否按照要求开展了信息安全应急演练。对于已开展演练的，应检查演练相关文档（包括演练组织单位、参与部门、演练责任人、演练时间、演练内容等）。.应急技术支援队伍。检查是否按照要求明确了应急技术支援队伍。对于已明确的，应检查签订的合同和安全保密协议，掌握应急技术支援队伍的基本情况以及开展的应急技术支援活动等。.灾难备份。检查是否根据实际需要对重要数据和信息系统进行了灾难备份。对于采用社会第三方灾难备份服务的，应检查签订的合同和安全保密协议以及灾难备份服务的运维情况等。.信息安全事件应急处置。检查本年度发生的信息安全事件及处置情况。对于发生重大信息安全事件的，应检查是否进行了及时处置，是否按照要求上报和通报等。（信息安全事件分级依据《云南省网络与信息安全事件应急预案》）（六）信息技术产品和信息安全产品使用.信息技术产品。检查服务器、网络设备、存储设备、终端计算机、字处理软件等使用本国产品的情况。使用捐赠的服务器、网络设备、存储阵列等产品，应检查产品应用范围、签订的相关协议，以及使用前是否进行安全测评等。.信息安全产品。检查防火墙、入侵检测设备、安全审计设备、VPN设备等信息安全产品使用本国产品的情况。使用捐赠的信息安全产第9页共18页品，应检查产品应用范围、签订的相关协议，以及使用前是否进行安全测评等。本指南中的国产终端计算机、国产字处理软件、国产信息安全产品，暂按以下方法进行认定：（1）国产终端计算机应具有国内品牌，最终产品在中国境内生产，并符合法律法规和政策规定的其他条件。（2）国产字处理软件应具有国内品牌，最终产品在中国境内生产，拥有核心模块的自主知识产权和源程序，并符合法律法规和政策规定的其他条件。（3）国产信息安全产品应具有国内品牌，最终产品在中国境内生产，拥有核心模块的自主知识产权和源程序，通过国家认定的信息安全产品检测实验室的检测，并符合法律法规和政策规定的其他条件。（七）信息安全服务查看服务合同、安全保密协议等文件，检查信息安全服务机构的服务内容，是否有相应的服务记录，是否有远程在线服务，是否由外资机构提供服务等。（八）信息安全教育培训检查领导干部和机关工作人员参加信息安全教育培训、掌握信息安全常识和基本技能情况，信息安全管理和技术人员参加信息安全专业培训情况等。（九）信息安全经费保障检查信息安全防护设施建设、运行、维护、检查及管理等费用是否纳入部门年度预算，以及本年度信息安全经费实际投入情况等，特别是要检查是否按照《检查办法》要求落实了安全检查工作经费。第10页共18页（十）安全隐患排查及整改检查对20夏年度安全检查中发现问题的整改情况，是否制定了整改措施并及时进行了整改，是否在整改后对信息安全风险和隐患作了进一步的排查和评估。六、时间安排可根据实际情况，统筹规划和组织部署政府信息系统安全检查工作，对安全检查工作进行认真总结、分析和评估，并将安全检查报告报省工业和信息化委。省工业和信息化委将及时跟踪、掌握、汇总安全检查情况，并将安全检查结果报国家工业和信息化部。七、工作要求（一）各部门要把政府信息系统安全检查列入重要议事日程，切实加强组织领导，完善检查工作机制，落实检查工作经费，开展宣传教育培训活动，确保检查工作顺利开展。按照《检查办法》的要求，参照本指南制定具体的安全检查实施方案和工作计划，并认真组织实施。建立信息安全检查责任制，明确检查责任，落实检查组织机构、参与单位及检查人员。（二）可组织所属信息中心等单位开展安全检查工作，也可根据需要委托外部专业机构协助开展技术检测工作。全面参与技术检测的外部专业机构应至少满足以下条件：1、事业单位；2、从事信息安全检测或相关工作两年以上；3、专业技术检测人员10人以上，均签订二年以上劳动合同；第11页共18页4、参与技术检测的人员均为中国公民，无违法犯罪纪录，并签订安全保密协议。（三）委托外部专业机构协助开展技术检测，应与检测机构及参与检测的人员签订安全保密协议，明确安全保密责任和义务。安全保密协议应包含以下内容：1、检测机构应遵守国家有关法律法规，客观、公正地提供检测服务；2、检测机构应保证所提供相关材料的真实性；3、检测机构不得向其他单位和个人泄露检测数据和检测结果，不得利用检测数据谋取利益；4、检测机构应采取有效安全措施，防止因技术检测引发信息安全事件；5、检测机构不得将检测任务分包或转包。（四）强化安全检查过程中的安全保密和风险控制，切实加强对检查活动、检查人员以及相关文档和数据的安全保密管理，周密制定检查工作应急预案，确保被检查信息系统的安全正常运行。八、检查报告（一）检查报告内容检查报告主要包括三方面内容：一是信息安全总体情况。包括本年度信息安全工作主要情况，安全检查工作开展情况及检查效果，对本部门信息安全状况的总体评价；二是主要问题及整改情况。包括对201X年度安全检查发现问题的整改情况，本年度安全检查发现的主要问题及整改措施；三是经验总结及意见建议。包括本部门安全检查工第12页共18页作的经验总结，对我省信息安全工作特别是安全检查工作的意见建议。根据检查结果填写《201X年度政府信息系统安全检查情况报告表》。填写范围限于各部门本机机关及派出机构。根据检查结果的敏感程度确定检查报告密级，并在检查报告上明确标识。（二）报送方式检查报告以各部门办公厅（室）名义报送省工业和信息化委员会办公室，包括纸质文件（加盖单位公章）和电子文档（光盘）。电子文档应使用符合国家标准《中文办公软件文档格式规范》（GBT20916201X）的文档格式。支持《中文办公软件文档格式规范》的国产字处理软件有：金山WPSOffie、永中集成Offie、中标普华Offie、红旗贰仟RedOffie等。附送：信息安全工作要求信息安全工作要求信息安全工作要求今天，人民银行组织召开金融信息安全形势座谈会。会议分析了当前我国金融信息安全面临的形势，指出了存在的问题与挑战，明确了下一阶段的工作重点。人民银行党委委员、行长助理李东荣出席会议并讲话。李东荣指出，近年来，金融业信息化程度不断提高，对金融业改革、发展、壮大发挥了重要的促进作用。同时，金融业对信息技术的依赖程第13页共18页度越来越大，信息安全保障工作的难度不断加大,互联网应用又进一步加大了信息安全风险的扩散效应。国家对金融信息安全高度重视，有关领导多次作出重要指示，要求金融业切实采取措施，努力提高信息安全保障水平，坚决打击危害金融信息安全的犯罪活动。因此，各金融机构要清醒地看到当前我国金融信息安全面临的形势，充分认识金融信息安全工作的重要性，未雨绸缪,勇于应对挑战，进一步做好工作。李东荣强调，要从以下方面做好金融业信息安全保障工作：一是要提高金融信息安全风险防范意识。各金融机构要深刻认识信息安全风险发展的新趋势，从防范系统性金融风险的高度去认识做好金融信息安全工作的重要性和紧迫性，妥善处理数据大集中带来的风险集中以及互联网对金融机构信息安全风险的放大,采取有效措施积极应对。二是完善金融信息安全保障组织机制,加强组织领导。将金融信息安全风险管理纳入机构风险管理范畴，避免片面地将信息安全风险防范作为单一的科技工作。落实金融信息安全责任制和问责制,形成各部门有效协作、齐抓共管的工作局面。三是将金融信息安全管理各项措施落到实处，保障业务连续性。做好金融信息安全发展规划，完善金融信息安全保障体系，加强金融信息系统生命周期过程的风险管理，坚决贯彻优先恢复系统对外服务的原则，切实加强自主运维能力建设，定期进行风险的深度检测与评估，加强应急演练，不断提高应急实战能力。四是加强指导与服务，协同防范金融信息安全风险。人民银行将认真履行国家赋予的工作职责，与金融监管部门协调配合，加强对金融机第14页共18页构的指导与服务，通过明确标准规范引导、加大监督检查力度、完善协调机制建设等措施,促进金融机构共同提高我国金融信息安全保障能力。21家全国性商业银行分管科技工作的负责同志以及人民银行相关司局、直属企事业单位有关负责人参加了会议。【扩展阅读篇】格式一般分为：标题、主送机关、正文、署名四部分。标题。一般是根据工作总结的中心内容、目的要求、总结方向来定。同一事物因工作总结的方向一一侧重点不同其标题也就不同。工作总结标题有单标题，也有双标题。字迹要醒目。单标题就是只有一个题目，如《我省干部选任制度改革的一次成功尝试》。一般说，工作总结的标题由工作总结的单位名称、工作总结的时间、工作总结的内容或种类三部分组成。如“XX市化工厂1995年度生产工作总结”“XX市XX研究所1995年度工作总结”也可以省略其中一部分，如：“三季度工作总结”，省略了单位名称。毛泽东的《关于打退第二次反共高潮的总结》，其标题不仅省略了总结的单位名称，也省略了时限。双标题就是分正副标题。正标题往往是揭示主题一一即所需工作总结提炼的东西，副标题往往指明工作总结的内容、单位、时间等。例如：辛勤拼搏结硕果一一XX县氮肥厂一九九五年工作总结——前言。即写在前面的话，工作总结起始的段落。其作用在于用简炼的文字概括交代工作总结的问题;或者说明所要总结的问题、时间、地点、背景、事情的大致经过;或者将工作总结的中心内容：主要经验、成绩与效果等作概括的提示;或者将工作的过程、基本情况、突出第15页共18页的成绩作简洁的介绍。其目的在于让读者对工作总结的全貌有一个概括的了解、为阅读、理解全篇打下基础。正文。正文是工作总结的主体，一篇工作总结是否抓住了事情的本质，实事求是地反映出了成绩与问题，科学地总结出了经验与教训，文章是否中心突出，重点明确、阐述透彻、逻辑性强、使人信，全赖于主体部分的写作水平与质量。因此，一定要花大力气把立体部分的材料安排好、写好。正文的基本内容是做法和体会、成绩和缺点、经验和教训。1）成绩和经验这是工作总结的目的，是正文的关键部分，这部分材料如何安排很重要，一般写法有二。一是写出做法，成绩之后再写经验。即表述成绩、做法之后从分析成功的原因、主客观条件中得出经验教益。二是写做法、成绩的同时写出经验，“寓经验于做法之中”。也有在做法，成绩之后用“心得体会”的方式来介绍经验，这实际是前一种写法。成绩和经验是工作总结的中心和重点，是构成工作总结正文的支柱。所谓成绩是工作实践过程中所得到的物质成果和精神成果。所谓经验是指在工作中取得的优良成绩和成功的原因。在工作总结中，成绩表现为物质成果，一般运用一些准确的数字表现出来。精神成果则要用前后对比的