网络安全等级保护排查整治方案

网络安全等级保护排查整治方案一、工作总则1.1编制目的为深入落实网络安全等级保护制度，全面排查治理当前网络与信息系统存在的安全隐患和合规短板，有效防范网络安全事件发生，提升整体网络安全防护能力，保障关键信息基础设施和重要数据安全，根据国家相关法律法规和上级部门工作要求，结合实际制定本方案。1.2编制依据本方案编制严格遵循以下现行法律法规和国家标准：《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《信息安全等级保护管理办法》《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）《信息安全技术网络安全等级保护测评要求》（GB/T28448-2019）1.3工作目标通过开展全方位的等级保护排查整治，实现以下工作目标：全面摸清管辖范围内非涉密信息系统底数，准确掌握信息系统定级、备案、测评现状，纠正定级不准确、备案不及时等违规问题。深入排查技术层面和管理层面存在的安全隐患，建立问题台账，推动隐患闭环整改，消除重大安全风险。推动各单位全面落实等级保护要求，健全安全管理制度体系，完善安全防护技术措施，整体提升网络安全合规水平和防护能力。建立等级保护动态排查治理长效机制，实现网络安全风险常态化管控，防范发生重大网络安全事件，保障网络和信息系统安全稳定运行。1.4排查整治范围本次排查整治覆盖所有管辖范围内的非涉密信息系统，重点排查以下对象：第三级及以上定级的信息系统认定为关键信息基础设施的信息系统面向社会公众提供服务的门户网站、业务办理系统存储、处理国家重要数据、敏感个人信息的信息系统新建上线运行不满1年的信息系统近两年未开展等级保护测评的信息系统二、组织架构与职责分工2.1组织架构成立网络安全等级保护排查整治工作领导小组，统筹推进本次排查整治工作：组长：由分管网络安全工作的单位负责人担任副组长：由信息化管理部门、网络安全管理部门、公安保卫部门负责人担任成员：由各业务部门、下属单位分管负责人组成领导小组下设办公室，办公室设在信息化管理部门，负责日常工作协调、进度跟踪和汇总上报。2.2职责分工2.2.1领导小组职责统筹部署排查整治各项工作，研究解决排查整治过程中的重大问题，审核排查工作报告和整改方案，协调落实整改所需的人员、经费等资源，组织开展最终验收工作。2.2.2领导小组办公室职责牵头制定排查整治工作方案，组织开展政策培训和动员部署，汇总各单位上报的自查信息，组织开展重点对象抽查核查，跟踪整改进度，定期通报工作情况，整理汇总工作成果，上报工作总结。2.2.3各业务部门及下属单位职责负责梳理本部门本单位管辖的信息系统台账，对照排查要求开展全面自查，如实上报排查发现的问题，制定本单位整改方案，落实整改措施，完成问题整改，配合上级部门开展抽查验收。2.2.4技术支撑单位职责为排查整治工作提供专业技术支持，协助开展隐患排查和等级测评，对排查发现的安全隐患提供整改技术指导，参与验收评估工作，保障排查整治工作的专业性和准确性。三、排查整治重点内容3.1定级备案合规性排查重点排查等级保护基础管理工作的合规性，具体内容包括：信息系统是否按要求完成定级备案，是否存在应当定级而未定级、应当备案而未备案的信息系统。信息系统定级是否准确，是否存在核心业务系统定级偏低、不符合等级保护要求的情况。新增信息系统、变更后的信息系统是否及时办理定级或变更备案手续，停运信息系统是否及时向公安机关备案注销。定级备案材料是否真实完整，是否已取得公安机关出具的信息系统安全等级保护备案证明。第三级及以上信息系统是否按要求每年开展一次等级保护测评，第二级信息系统是否每两年开展一次测评，测评机构是否具备合法的等保测评资质。历次等级测评发现的问题是否完成整改，整改材料是否留存归档。3.2技术层面安全隐患排查3.2.1物理安全排查机房及重要设备物理放置位置是否符合安全要求，是否避开易发生自然灾害、易受干扰的区域。机房是否配备符合要求的门禁管控、视频监控、火灾报警、消防灭火、温湿度调节设施，相关设施是否正常运行，视频监控记录保存时间是否不少于6个月。核心设备、重要存储介质是否配备冗余供电措施，是否制定物理环境应急处置措施。外来人员进入机房是否履行审批登记程序，有无专人全程陪同，物理访问管控是否落实到位。3.2.2网络安全排查是否按照业务和安全需求划分安全域，安全域边界是否清晰，是否部署防火墙、入侵检测/防御系统等边界防护设备。访问控制策略是否遵循最小权限原则，是否及时清理无效的访问规则，是否开放不必要的高危端口和服务。核心网络设备、安全设备是否开启完整日志记录，日志保存时间是否符合不少于6个月的要求，是否定期对日志进行分析审计。是否定期开展网络层面漏洞扫描，发现的高危漏洞是否及时修复，是否针对公共网络暴露的资产开展常态化漏洞监测。是否部署DDoS攻击防护、流量清洗设施，是否具备抵御常见大规模网络攻击的能力。无线网络接入是否落实安全管控，是否清理未授权搭建的无线热点，远程运维访问是否采用强身份认证措施，禁止未授权访问。3.2.3主机安全排查服务器、终端操作系统是否及时安装官方安全补丁，未及时修复的高危漏洞是否采取了有效的临时防护措施。所有主机是否安装符合要求的恶意代码防护软件，病毒库是否及时更新，是否定期开展病毒查杀。主机账号管理是否规范，是否删除不必要的默认账号、共享账号，是否启用强密码策略，口令长度和复杂度是否符合要求，是否定期更换密码。特权账号是否实行专人专管，操作是否留下审计记录，是否存在多人共用特权账号的情况。远程访问服务（如远程桌面、SSH）是否限制访问来源IP，是否避免直接暴露在公共互联网，未使用的远程服务是否关闭。3.2.4应用安全排查对外提供服务的Web应用是否部署Web应用防火墙，是否定期开展渗透测试和漏洞扫描。应用系统是否存在SQL注入、跨站脚本、命令注入、越权访问等常见高危安全漏洞，发现的漏洞是否及时修复。用户身份认证机制是否符合要求，涉及敏感操作、管理员登录是否启用双因素认证。应用权限划分是否遵循最小权限和职责分离原则，是否存在越权访问的风险。应用系统是否对用户输入进行有效性验证，是否能够防范恶意代码注入攻击。应用系统是否完整记录用户操作日志，重要操作行为可追溯，日志保存时间符合要求。应用使用的第三方开源组件、商用第三方软件是否定期更新，是否及时修复组件存在的已知漏洞。3.2.5数据安全排查是否对信息系统存储处理的数据进行分类分级，是否准确识别重要数据、敏感个人信息的范围和分布。敏感数据、个人信息在传输过程中是否采用加密保护，存储在磁盘、数据库中的敏感数据是否进行加密存储。是否建立完善的数据备份恢复机制，是否定期对重要数据进行全量备份，备份数据是否存储在安全位置，是否定期开展备份恢复演练，确保数据可恢复。是否存在违规向第三方机构提供重要数据、个人信息的情况，数据共享是否履行审批和告知程序。涉及数据出境的是否按照法律法规要求完成安全评估，不存在违规数据出境行为。是否建立数据泄露监测处置机制，能够及时发现数据泄露事件并开展处置。3.3管理层面安全管控排查3.3.1安全管理制度排查是否建立覆盖物理安全、资产安全、人员安全、运维安全、应急管理等全流程的等级保护安全管理制度体系。安全管理制度是否根据国家政策要求和单位业务变化及时修订更新，不存在过期失效的制度。各项安全管理制度是否得到有效落实，是否留存相关执行记录，不存在制度挂墙、不执行的情况。3.3.2人员安全管理排查网络安全关键岗位是否落实权限分离要求，不存在一人兼任多个不相容岗位的情况。所有网络安全相关岗位人员是否签订网络安全责任书，明确安全责任。离岗人员是否及时完成工作交接，收回系统账号和访问权限，不存在离岗后仍保留权限的情况。新入职人员是否开展岗前网络安全培训，所有在岗人员是否每年至少开展一次网络安全培训和考核。3.3.3安全运维管理排查是否建立日常运维工作流程，定期对核心设备、安全设备开展巡检，留存巡检记录。系统配置变更是否履行审批程序，是否制定变更回退方案，变更后开展验证，避免变更引发安全问题。第三方人员远程或现场运维是否履行审批程序，操作过程全程监控审计，留存操作记录。是否建立网络安全监测预警机制，7×24小时监测核心系统安全状态，发现异常及时处置。3.3.4应急响应管理排查是否针对信息系统制定专项网络安全事件应急预案，应急预案是否符合实际情况，具有可操作性。是否按照要求每年至少开展一次应急演练，演练后对预案进行评估修订。是否落实应急保障资源，包括应急技术支撑队伍、备用设备、应急资金等，满足突发事件处置需求。重大活动、重要敏感时期是否制定专项安全保障方案，落实24小时值班制度。发生网络安全事件是否按照要求及时上报相关主管部门和公安机关，是否留存相关证据配合调查处置。3.4隐患分级与整治要求根据隐患的严重程度和风险影响，将排查发现的隐患分为三个等级，分级落实整改要求：一般隐患：不影响系统整体安全，整改难度小，可在短期内完成整改的隐患，如个别账号弱密码、个别制度条款不完善，要求自排查发现之日起30日内完成整改。严重隐患：存在明显安全风险，可能引发一般网络安全事件，整改需要一定资源投入的隐患，如中高危漏洞未修复、访问控制规则不合理，要求自排查发现之日起15日内完成整改。重大隐患：直接威胁系统核心安全，随时可能引发重大网络安全事件，导致数据泄露、系统瘫痪的隐患，如信息系统未定级备案、第三级系统未开展测评、核心数据无备份、系统已被非法入侵控制，要求立即启动整改，无法立即整改的必须采取有效临时管控措施，暂停系统对外服务，10日内完成整改。四、排查整治实施步骤本次排查整治工作整体分为四个阶段，各阶段工作安排如下：4.1部署启动阶段本阶段工作时间为本次方案印发之日起15日内，主要工作内容包括：召开全单位等级保护排查整治动员部署会议，传达上级工作要求，明确工作目标和任务分工。组织开展等级保护政策和排查标准培训，提升参与排查工作人员的专业能力，明确排查要求和规范。各部门各单位完成管辖信息系统初步梳理，上报初步信息系统台账。4.2全面排查阶段本阶段工作时间为部署启动阶段结束后30日内，主要工作内容包括：自查自纠：各部门各单位对照本方案规定的排查内容，逐项开展自查，如实填写排查信息，建立问题隐患台账，形成自查报告，上报至排查整治工作办公室。抽查核查：排查整治工作办公室组织技术支撑单位，对各单位上报的自查情况进行抽查，抽查比例不低于30%，重点抽查第三级以上信息系统和关键信息基础设施，对自查不认真、隐瞒问题的单位，责令重新开展排查。专项测评：对重点检查对象，委托具备资质的等级保护测评机构开展专项合规测评，全面梳理安全隐患和合规差距，形成正式测评报告。4.3集中整改阶段本阶段工作时间为全面排查阶段结束后60日内，主要工作内容包括：各单位根据排查发现的问题，制定整改方案，明确整改责任、整改措施、整改时限，落实整改资源，按照隐患分级要求推进整改工作。对短期内无法完成整改的重大隐患，必须制定严格的临时防护措施，明确管控责任，安排专人24小时监测，防止发生安全事件，定期上报整改进度。排查整治工作办公室定期对各单位整改情况进行督导检查，每半个月通报一次整改进度，对整改推进缓慢的单位，约谈单位分管负责人，督促加快整改。4.4验收总结阶段本阶段工作时间为集中整改阶段结束后15日内，主要工作内容包括：验收评估：各单位完成全部隐患整改后，向排查整治工作办公室提交验收申请，办公室组织技术专家和相关部门开展现场验收，出具验收意见，验收不合格的责令限期重新整改。汇总总结：整理汇总本次排查整治工作的开展情况、隐患排查情况、整改完成情况，形成正式工作总结报告，上报上级主管部门和属地公安机关网络安全保卫部门。建立长效机制：总结排查整治工作经验，完善等级保护日常管理制度，建立每半年开展一次常态化排查、定期开展等级测评的工作机制，实现网络安全风险动态管控。五、工作要求5.1提高思想认识网络安全等级保护是国家网络安全的基本制度，开展排查整治是防范网络安全风险、落实网络安全责任的重要举措，各单位要高度重视，主要负责人亲自部署，分管负责人具体抓落实，确保各项工作任务落地见效。5.2全面覆盖不留死角所有信息系统必须全部纳入排查范围，不得隐瞒信息系统、不得漏排漏查，对故意隐瞒信息系统、不上报安全隐患的单位，将严肃追究相关人员责任。5.3坚持边查边改排查工作与整改工作同步推进，发现隐患立即落实整改，能够立即整改的绝不拖延，把安全隐患消除在萌芽状态，避免隐患演变成安全事件。5.4强化监督问责建立严格的监督问责机制，对排查工作不认真、整改不到位、导致发生网络安全事件的单位，依法依规追究相关单位和人员的责任。六、保障措施6.1人员保障各单位要明确专职人员负责等级保护排查整治工作，确保每个环节都有专人负责，建立工作联系人制度，定期报送工作信息，保障工作顺畅推进。6.2技术保障选择具备国家认可的等保测评资质、经验丰富的第三方技术支撑机构参与排查整治工作，配备专业的漏洞扫描、渗透测试、日志分析工具，提升隐患排查的准确性和整改的科学性。6.3经费保障将等级保护排查、测评、安