信息系統(tǒng)安全檢查工作方案

按照上級(jí)單位的統(tǒng)一安排部署，自今年7月1日起至年底，安全檢查指南》和《信息系統(tǒng)安全檢查工作方案》,結(jié)合我單位一、檢查目的依據(jù)有關(guān)政策規(guī)定，在總結(jié)去年信息系統(tǒng)安全檢查工作的(一)信息安全組織保障年度信息安全經(jīng)費(fèi)實(shí)際投入情況等，重點(diǎn)檢查是否落實(shí)了安全檢查工作經(jīng)費(fèi)。(二)日常信息安全管理1、人員管理。檢查信息安全和保密責(zé)任制建立及落實(shí)情況，查驗(yàn)相關(guān)文檔、文件、記錄等，重點(diǎn)檢查：崗位信息安全和保密責(zé)任落實(shí)，特別是重要崗位信息安全和保密協(xié)議簽訂情況；人員離崗離職信息安全管理情況；違反制度規(guī)定造成信息安全事件的責(zé)任查處情況等。2、資產(chǎn)管理。檢查資產(chǎn)管理制度建立及落實(shí)情況，辦公軟件、應(yīng)用軟件等安裝與使用情況，計(jì)算機(jī)及相關(guān)設(shè)備維修維護(hù)管理情況，存儲(chǔ)設(shè)備報(bào)廢銷毀管理情況等。3、日常安全巡檢。檢查是否已建立日常網(wǎng)絡(luò)安全巡檢工作機(jī)制，包括PKI/PMI平臺(tái)、防范病毒、防范入侵和攻擊、漏洞掃描、違規(guī)行為監(jiān)控、邊界接入平臺(tái)等安全管理系統(tǒng)的崗位工作手冊(cè)、巡檢記錄。4、日常安全通報(bào)。檢查是否建立安全情況通報(bào)網(wǎng)站、是否發(fā)布各安全管理系統(tǒng)主要運(yùn)行情況以及對(duì)通報(bào)簽收處理情況。5、外包服務(wù)管理。檢查系統(tǒng)開發(fā)、系統(tǒng)集成、運(yùn)行維護(hù)、災(zāi)難備份、數(shù)據(jù)處理、安全檢測(cè)、系統(tǒng)托管等安全管理情況。查看服務(wù)機(jī)構(gòu)性質(zhì)與背景情況，是否由外資機(jī)構(gòu)提供服務(wù)；服務(wù)合同及安全保密協(xié)議簽訂情況，安全責(zé)任是否清晰；人員現(xiàn)場(chǎng)服務(wù)記錄情況，是否有現(xiàn)場(chǎng)服務(wù)監(jiān)管措施；系統(tǒng)維護(hù)方式情況，重點(diǎn)排查遠(yuǎn)程在線服務(wù)帶來(lái)的安全風(fēng)險(xiǎn)；災(zāi)難備份服務(wù)情況。6、信息技術(shù)產(chǎn)品使用管理。檢查辦公用計(jì)算機(jī)、公文處理軟件、信息安全設(shè)備、服務(wù)器、網(wǎng)絡(luò)設(shè)備等技術(shù)產(chǎn)品的安全可控情況，特別是本年度新采購(gòu)辦公用計(jì)算機(jī)、公文處理軟件、信息安全設(shè)備是否滿足安全可控要求。7、互聯(lián)網(wǎng)接入情況。檢查是否有訪問互聯(lián)網(wǎng)的安全控制措施，是否留存互聯(lián)網(wǎng)訪問日志并定期進(jìn)行分析。8、等級(jí)保護(hù)與風(fēng)險(xiǎn)評(píng)估。檢查信息安全等級(jí)保護(hù)有關(guān)文件要求的落實(shí)情況。通過查看等級(jí)保護(hù)定級(jí)備案、等級(jí)測(cè)評(píng)報(bào)告等相關(guān)文檔，檢查信息系統(tǒng)定級(jí)、測(cè)評(píng)、整改等情況。檢查信息安全風(fēng)險(xiǎn)評(píng)估有關(guān)文件要求的落實(shí)情況。通過查看風(fēng)險(xiǎn)評(píng)估報(bào)告等，檢查風(fēng)險(xiǎn)評(píng)估工作的開展情況。(三)信息安全防護(hù)管理信息安全防護(hù)管理包括信息系統(tǒng)、計(jì)算機(jī)終端、存儲(chǔ)介質(zhì)。1、信息系統(tǒng)安全管理。重點(diǎn)檢查信息服務(wù)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的系統(tǒng)管理賬戶和口令是否符合要求，清理無(wú)關(guān)服務(wù)器上的應(yīng)用、服務(wù)、端口以及系統(tǒng)補(bǔ)丁等情況，是否關(guān)閉了不必要的應(yīng)用、服務(wù)、端口；病毒木馬防護(hù)和技術(shù)工具定期檢測(cè)情況，服務(wù)器和網(wǎng)絡(luò)設(shè)備是否使用技術(shù)工具定期進(jìn)行漏洞掃描；防病毒、防火墻、入侵檢測(cè)、安全審計(jì)等安全設(shè)備部署、使用情況和安全策略配置的有效性。對(duì)于如下三類信息系統(tǒng)，還要重點(diǎn)(1)網(wǎng)站系統(tǒng)。重點(diǎn)檢查網(wǎng)站抗拒絕服務(wù)攻擊、網(wǎng)頁(yè)防篡改等安全防護(hù)設(shè)備的部署；刪除不必要的鏈接和插件；網(wǎng)站目錄結(jié)構(gòu)，刪除臨時(shí)文件，防止敏感信息泄露；信息發(fā)布審核制度建立及落實(shí)情況。(2)郵件系統(tǒng)。重點(diǎn)檢查電子郵箱使用情況，是否有非本部門人員特別是無(wú)關(guān)人員使用；是否使用技術(shù)措施控制和管理口(3)網(wǎng)絡(luò)邊界接入。重點(diǎn)檢查網(wǎng)絡(luò)分區(qū)分域合理性；安全防護(hù)設(shè)備策略配置有效性；邊界接入系統(tǒng)網(wǎng)絡(luò)架構(gòu)、業(yè)務(wù)系統(tǒng)接入、登記注冊(cè)、安全防護(hù)強(qiáng)度等情況；已建邊界接入平臺(tái)的建設(shè)審批、測(cè)評(píng)驗(yàn)收、業(yè)務(wù)接入、級(jí)聯(lián)上報(bào)等安全管理與運(yùn)行情況。2、計(jì)算機(jī)終端安全防護(hù)應(yīng)檢查如下內(nèi)容：是否采取集中安全管理措施；賬戶口令強(qiáng)度和更新情況；是否有設(shè)備安全提示標(biāo)簽；終端安全控制措施；是否使用技術(shù)工具定期進(jìn)行漏洞掃描、病毒木馬檢測(cè)；是否存在非涉密信息系統(tǒng)和涉密信息系統(tǒng)間混用情況；是否存在使用非涉密計(jì)算機(jī)處理涉密信息情況。3、存儲(chǔ)介質(zhì)安全防護(hù)應(yīng)檢查如下內(nèi)容：是否采取集中安全管理措施；是否配備必要的電子消磁或銷毀設(shè)備；是否存在非涉密信息系統(tǒng)和涉密信息系統(tǒng)間混用情況。(四)信息安全應(yīng)急管理1、應(yīng)急預(yù)案。重點(diǎn)檢查本部門信息安全應(yīng)急預(yù)案制定、修訂、備案及宣貫培訓(xùn)情況。2、應(yīng)急演練。重點(diǎn)檢查信息安全應(yīng)急演練情況；已開展演練的，查看演練文檔、記錄(包括演練計(jì)劃、演練方案、演練記錄、演練總結(jié)報(bào)告等)。3、應(yīng)急技術(shù)支援隊(duì)伍。重點(diǎn)檢查是否明確了應(yīng)急技術(shù)支援隊(duì)伍；已明確的，檢查其服務(wù)合同及安全保密協(xié)議簽訂情況，了解掌握應(yīng)急技術(shù)支援隊(duì)伍基本情況以及開展的技術(shù)支援情況。4、災(zāi)難備份。重點(diǎn)檢查重要數(shù)據(jù)和重要信息系統(tǒng)備份情況；對(duì)采用第三方災(zāi)難備份服務(wù)的，檢查其服務(wù)合同及安全保密協(xié)議簽訂情況，了解掌握災(zāi)難備份服務(wù)設(shè)施運(yùn)維安全管理情況。5、信息安全事件應(yīng)急處置。重點(diǎn)檢查本年度發(fā)生的信息安全事件及處置情況；發(fā)生過重大信息安全事件的，檢查是否進(jìn)行了及時(shí)處置，是否按照要求上報(bào)和通報(bào)。(五)信息安全教育培訓(xùn)檢查信息安全和保密形勢(shì)教育及警示教育情況，領(lǐng)導(dǎo)干部和相關(guān)工作人員參加信息安全基本技能培訓(xùn)情況，信息安全管理和技術(shù)人員參加信息安全專業(yè)培訓(xùn)情況等。(六)年度安全檢查工作開展情況1、上一年度發(fā)現(xiàn)問題的整改情況。重點(diǎn)檢查：制定的整改計(jì)劃及采取的整改措施；整改效果以及是否開展了進(jìn)一步的信息安全風(fēng)險(xiǎn)評(píng)估；年度檢查情況報(bào)告完成情況，是否按上級(jí)單位要求及時(shí)報(bào)送、報(bào)告是否完整準(zhǔn)確、符合要求。2、本年度檢查工作開展情況。重點(diǎn)檢查：檢查工作責(zé)任制建立和檢查工作經(jīng)費(fèi)落實(shí)情況；檢查工作方案制定及組織實(shí)施情況；采取的安全保密和風(fēng)險(xiǎn)控制措施，檢查人員、有關(guān)文檔和數(shù)據(jù)的安全保密管理情況。3、安全技術(shù)檢測(cè)。組織技術(shù)力量，使用必要的技術(shù)工具開展檢查的情況。(一)部署發(fā)動(dòng)階段(7月1日-7月31日)：各單位成立本單位信息系統(tǒng)安全檢查小組，制訂具體的工作措施和辦法，確定檢查對(duì)象范圍、落實(shí)安全檢查工具、開展安全檢查培訓(xùn)，完成本年度安全檢查工作的部署。(二)自查階段(8月1日-9月30日)：各單位按照《信息系統(tǒng)安全檢查指南》和《系統(tǒng)安全檢查工作方案》,結(jié)合本部門實(shí)際，組織開展自查工作，并完成信息系統(tǒng)安全檢查和終端安全檢查結(jié)果，以及信息安全基本情況的網(wǎng)上填報(bào)。自查情況上報(bào)信息系統(tǒng)安全檢查領(lǐng)導(dǎo)小組辦公室。(三)抽查階段(10月1日-11月30日)：由信息系統(tǒng)安全檢查領(lǐng)導(dǎo)小組及辦公室組織對(duì)信息系統(tǒng)安全檢查開展情況進(jìn)行抽查。同時(shí)迎接上級(jí)單位的檢查。(四)總結(jié)階段(12月1日-12月31日)：對(duì)信息系統(tǒng)安全檢查工作開展情況進(jìn)行分析和總結(jié)，并予以通報(bào)。七、工作要求(一)高度重視，加強(qiáng)領(lǐng)導(dǎo)。每年度的系統(tǒng)安全檢查工作是保障和加強(qiáng)信息安全的重要手段，各單位一定要高度重視，切實(shí)加強(qiáng)領(lǐng)導(dǎo)，明確責(zé)任，統(tǒng)籌協(xié)調(diào)解決工作中遇到的問題，認(rèn)真抓好各項(xiàng)工作落實(shí)，確保檢查工作取得預(yù)期的成效。(二)轉(zhuǎn)變作風(fēng)，落實(shí)責(zé)任。信息系統(tǒng)安全是工作的基礎(chǔ)，是提升工作效能、推進(jìn)事業(yè)發(fā)展的有效途徑，各單位要發(fā)揚(yáng)求真切實(shí)保證檢查工作落實(shí)到位。檢查中要善于及時(shí)發(fā)現(xiàn)問題、解決問題，確保檢查質(zhì)量，確保檢查效果。(三)嚴(yán)格督導(dǎo)，狠抓落實(shí)。在信息系統(tǒng)安全檢查工作中，各單位要按照本方案并結(jié)合轄區(qū)實(shí)際落實(shí)工作。在工作開展過程中，信息