1、信息系统安全检查信息系统安全检查 根据根据广西壮族自治区人民政府办公厅关于广西壮族自治区人民政府办公厅关于做好做好2011年广西壮族自治区人民政府信息系统年广西壮族自治区人民政府信息系统安全检查工作的通知安全检查工作的通知 一、检查目的一、检查目的 依据国家信息安全有关政策规定,对各级各部门信息安全工作进行全面检查,掌握信息安全总体状况,发现存在的主要问题和薄弱环节,进一步健全信息安全管理制度,完善信息安全技术措施,提高信息安全防护能力。文件解读文件解读v二、检查原则二、检查原则v坚持坚持“谁主管谁负责、谁运行谁负责、谁使用谁谁主管谁负责、谁运行谁负责、谁使用谁负责负责”的原则,统筹安排、突出
2、重点、明确责任、的原则,统筹安排、突出重点、明确责任、注重实效。注重实效。v检查工作以各单位自检为主,市城乡数字化办会检查工作以各单位自检为主,市城乡数字化办会同有关部门统一组织安全抽查。各部门管理的信同有关部门统一组织安全抽查。各部门管理的信息系统安全检查工作,由各部门统一组织部署。息系统安全检查工作,由各部门统一组织部署。文件解读文件解读文件解读v政府信息系统安全检查的范围是为各部门履行政府信息系统安全检查的范围是为各部门履行政府职能提供支撑的信息系统,政府职能提供支撑的信息系统,v包括自行运行维护管理以及委托其他机构运行包括自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统
3、、网站系统等维护管理的办公系统、业务系统、网站系统等v各部门的门户网站、重要业务系统是检查重点各部门的门户网站、重要业务系统是检查重点文件解读v检查内容检查内容v(一一) 信息安全组织管理信息安全组织管理v1、信息安全管理机构及其工作开展情况。、信息安全管理机构及其工作开展情况。(1)组织制定信息安全工作计划或工作方案)组织制定信息安全工作计划或工作方案情况;(情况;(2)组织制定并落实信息安全管理规)组织制定并落实信息安全管理规章制度情况;(章制度情况;(3)组织开展信息安全教育培)组织开展信息安全教育培训和督促检查工作情况。训和督促检查工作情况。v2、信息安全员及其工作开展情况。(、信息安
4、全员及其工作开展情况。(1)各)各单位信息安全员指定情况;(单位信息安全员指定情况;(2)信息安全员)信息安全员开展督促、检查和指导等日常工作情况。开展督促、检查和指导等日常工作情况。文件解读v (二二) 日常信息安全管理日常信息安全管理v 1、人员管理。查验相关文档、文件、记录等,重点、人员管理。查验相关文档、文件、记录等,重点检查:(检查:(1)岗位信息安全和保密责任制落实,特别)岗位信息安全和保密责任制落实,特别是重要岗位信息安全和保密协议签订情况;(是重要岗位信息安全和保密协议签订情况;(2)人)人员离岗离职信息安全管理情况;(员离岗离职信息安全管理情况;(3)外部人员访问)外部人员访
5、问机房等重要区域管理情况;(机房等重要区域管理情况;(4)违反制度规定造成)违反制度规定造成信息安全事件的责任查处情况等。信息安全事件的责任查处情况等。v 2、资产管理。查验相关文档、台帐、记录等,重点、资产管理。查验相关文档、台帐、记录等,重点检查:(检查:(1)资产管理制度建立及落实情况,资产台)资产管理制度建立及落实情况,资产台账是否清晰、帐物是否相符;(账是否清晰、帐物是否相符;(2)办公软件、应用)办公软件、应用软件等安装与使用情况,是否有与工作无关的软件;软件等安装与使用情况,是否有与工作无关的软件;(3)计算机及相关设备维修维护、报废销毁管理情)计算机及相关设备维修维护、报废销毁
6、管理情况,是否有相应的登记记录等。况,是否有相应的登记记录等。文件解读v3、信息技术外包服务安全管理。针对当前政府、信息技术外包服务安全管理。针对当前政府部门信息技术外包服务安全风险突出的现状,重部门信息技术外包服务安全风险突出的现状,重点检查系统开发、系统集成、运行维护、灾难备点检查系统开发、系统集成、运行维护、灾难备份、数据处理、安全检测、系统托管等外包服务份、数据处理、安全检测、系统托管等外包服务的安全管理:(的安全管理:(1)服务机构性质与背景情况,)服务机构性质与背景情况,是否由外资机构提供服务;(是否由外资机构提供服务;(2)服务合同及安)服务合同及安全保密协议签订情况,安全责任是
7、否清晰;(全保密协议签订情况,安全责任是否清晰;(3)人员现场服务记录情况,是否有现场服务监管措人员现场服务记录情况,是否有现场服务监管措施;(施;(4)系统维护方式情况,重点排查远程在)系统维护方式情况,重点排查远程在线服务带来的安全风险;(线服务带来的安全风险;(5)灾难备份服务情)灾难备份服务情况,重点掌握灾难备份中心设立在境外的情况。况,重点掌握灾难备份中心设立在境外的情况。v4、信息技术产品使用管理。重点检查办公用、信息技术产品使用管理。重点检查办公用计算机、公文处理软件、信息安全设备、服务计算机、公文处理软件、信息安全设备、服务器、网络设备等使用产品的安全可控情况,特器、网络设备等
8、使用产品的安全可控情况,特别是本年度新采购办公用计算机、公文处理软别是本年度新采购办公用计算机、公文处理软件、信息安全设备是否满足安全可控要求。件、信息安全设备是否满足安全可控要求。v5、信息安全经费保障。重点检查信息安全防、信息安全经费保障。重点检查信息安全防护设施建设、运行、维护、检查及管理等费用护设施建设、运行、维护、检查及管理等费用是否纳入部门年度预算,以及本年度信息安全是否纳入部门年度预算,以及本年度信息安全经费实际投入情况等。经费实际投入情况等。文件解读文件解读v(三三) 信息安全防护管理信息安全防护管理v1、网络边界防护管理。查看系统总体网络架、网络边界防护管理。查看系统总体网络
9、架构、子系统分布、终端节点、区域划分及边界构、子系统分布、终端节点、区域划分及边界防护措施等,重点检查:(防护措施等,重点检查:(1)网络分区分域)网络分区分域合理性;(合理性;(2)安全防护设备策略配制有效性;)安全防护设备策略配制有效性;(3)互联网接入情况,是否有访问互联网的)互联网接入情况,是否有访问互联网的安全控制措施,是否留存互联网访问日志并定安全控制措施,是否留存互联网访问日志并定期进行分析。期进行分析。文件解读v 2、信息系统安全管理。重点检查信息安全风险评估、信息系统安全管理。重点检查信息安全风险评估、等级保护等安全管理制度落实情况。(等级保护等安全管理制度落实情况。(1)服
10、务器安)服务器安全防护。重点检查服务器上应用、服务、端口以及系全防护。重点检查服务器上应用、服务、端口以及系统补丁等情况,是否关闭了不必要的应用、服务、端统补丁等情况,是否关闭了不必要的应用、服务、端口;账户口令强度和更新情况;病毒木马防护情况,口;账户口令强度和更新情况;病毒木马防护情况,是否使用技术工具定期进行漏洞扫描、病毒木马检测。是否使用技术工具定期进行漏洞扫描、病毒木马检测。(2)网络设备防护。重点检查网络设备安全策略配)网络设备防护。重点检查网络设备安全策略配置的有效性;账户口令强度和更新情况;是否使用技置的有效性;账户口令强度和更新情况;是否使用技术工具定期进行漏洞扫描。(术工具
11、定期进行漏洞扫描。(3)信息安全设备部署)信息安全设备部署及使用。重点检查防病毒、防火墙、入侵检测、安全及使用。重点检查防病毒、防火墙、入侵检测、安全审计等安全设备部署及使用情况,以及安全策略配置审计等安全设备部署及使用情况,以及安全策略配置的有效性。的有效性。文件解读3、门户网站安全管理。以防攻击、防挂马、防篡改、防瘫痪、防窃密为、门户网站安全管理。以防攻击、防挂马、防篡改、防瘫痪、防窃密为目标,对门户网站安全防护情况进行全面检查:(目标,对门户网站安全防护情况进行全面检查:(1)系统管理账户和口)系统管理账户和口令,清理无关账户,防止出现空口令、弱口令和默认口令;(令,清理无关账户,防止出
12、现空口令、弱口令和默认口令;(2)服务器)服务器补丁更新情况,关闭不必要的端口,停止不必要的服务和应用,删除不补丁更新情况,关闭不必要的端口,停止不必要的服务和应用,删除不必要的链接和插件;(必要的链接和插件;(3)网站目录机构,删除临时文件,防止敏感信息)网站目录机构,删除临时文件,防止敏感信息泄露;(泄露;(4)信息发布审核制度建立及落实情况;()信息发布审核制度建立及落实情况;(5)是否使用技术工)是否使用技术工具定期进行漏洞扫描、木马检测。具定期进行漏洞扫描、木马检测。4、电子邮箱安全管理。重点检查:(、电子邮箱安全管理。重点检查:(1)邮箱使用情况,是否有非本部)邮箱使用情况,是否有
13、非本部门人员特别是无关人员使用;(门人员特别是无关人员使用;(2)账户口令强度及更新情况,是否使用)账户口令强度及更新情况,是否使用技术措施控制和管理口令,口令强度是否符合要求、是否定期更新。技术措施控制和管理口令,口令强度是否符合要求、是否定期更新。 5、终端计算机安全管理。重点检查:(、终端计算机安全管理。重点检查:(1)是否采取集中安全管理)是否采取集中安全管理措施;(措施;(2)账户口令强度和更新情况;()账户口令强度和更新情况;(3)接入互联网安全控制措施)接入互联网安全控制措施(如实名接入认证、对计算机(如实名接入认证、对计算机IP和和MAC地址进行绑定等);(地址进行绑定等);(
14、4)是否)是否使用技术工具定期进行漏洞扫描、病毒木马检测;(使用技术工具定期进行漏洞扫描、病毒木马检测;(5)在非涉密信息)在非涉密信息系统和涉密信息系统间混用情况;(系统和涉密信息系统间混用情况;(6)使用非涉密计算机处理涉密信)使用非涉密计算机处理涉密信息情况。息情况。6、移动存储设备安全管理。重点检查:(、移动存储设备安全管理。重点检查:(1)是否采取集中安全管理措)是否采取集中安全管理措施;(施;(2)是否配备必要的电子消磁或销毁设备;()是否配备必要的电子消磁或销毁设备;(3)在非涉密信息系)在非涉密信息系统和涉密信息系统间混用情况。统和涉密信息系统间混用情况。文件解读文件解读 v(
15、四四) 信息安全应急管理信息安全应急管理v1、应急预案。重点检查本部门信息安全应急预、应急预案。重点检查本部门信息安全应急预案制定、修订、备案及宣贯培训情况。案制定、修订、备案及宣贯培训情况。v2、应急演练。重点检查信息安全应急演练情况;、应急演练。重点检查信息安全应急演练情况;已开展演练的,查看演练文档、记录(包括演练已开展演练的,查看演练文档、记录(包括演练计划、演练方案、演练记录、演练总结报告等)。计划、演练方案、演练记录、演练总结报告等)。v3、应急技术支援。重点检查是否明确了应急技、应急技术支援。重点检查是否明确了应急技术支援队伍;已明确的,检查其服务合同及安全术支援队伍;已明确的,
16、检查其服务合同及安全保密协议签订情况,了解掌握应急技术支援队伍保密协议签订情况,了解掌握应急技术支援队伍基本情况以及开展的技术支援活动。基本情况以及开展的技术支援活动。v 2)4、灾难备份。重点检查重要数据和重要信息、灾难备份。重点检查重要数据和重要信息系统备份情况;对采用社会等三方灾难备份服系统备份情况;对采用社会等三方灾难备份服务的,检查其服务合同及安全保密协议签订情务的,检查其服务合同及安全保密协议签订情况,了解掌握灾难备份服务设施运维安全管理况,了解掌握灾难备份服务设施运维安全管理情况。情况。v5、信息安全事件应急处置。重点检查本年度发、信息安全事件应急处置。重点检查本年度发生的信息安
17、全事件及处置情况;发生过重大信生的信息安全事件及处置情况;发生过重大信息安全事件的,检查是否进行了及时处置,是息安全事件的,检查是否进行了及时处置,是否按照要求上报和通报。否按照要求上报和通报。文件解读 v(五五) 信息安全教育培训信息安全教育培训v重点检查信息安全和保密形势教育及警示教育重点检查信息安全和保密形势教育及警示教育情况,领导干部和机关工作人员参加信息安全情况,领导干部和机关工作人员参加信息安全基本技能培训情况,信息安全管理和技术人员基本技能培训情况,信息安全管理和技术人员参加信息安全专业培训情况等。参加信息安全专业培训情况等。文件解读v(六六) 信息安全检查工作信息安全检查工作v
18、1、上一年度发现问题的整改情况。重点、上一年度发现问题的整改情况。重点检查:(检查:(1)制定的整改计划及采取的整)制定的整改计划及采取的整改措施;(改措施;(2)整改效果以及是否开展了)整改效果以及是否开展了进一步的信息安全风险评估;(进一步的信息安全风险评估;(3)年度)年度检查情况报告完成情况,是否按国务院要检查情况报告完成情况,是否按国务院要求及时报送,报告是否完整准确、符合要求及时报送,报告是否完整准确、符合要求。求。v2、本年度检查工作开展情况。重点检查:、本年度检查工作开展情况。重点检查:(1)检查工作责任制建立和检查工作经)检查工作责任制建立和检查工作经费落实情况;(费落实情况;(2)检查工作方案制定及)检查工作方案制定及组织实施情况;(组织实施情况;(3)采取的安全保密和)采取的安全保密和风险控制措施,检查人员、有关文档和数风险控制措施,检查人员、有关文档和数据的安全保密管理情况。据的安全保密管理情况。文件解读3、安全技术检测。组织技术力量,使用必要的技术、安全技术检测。组织技术力量,使用必要的技术工具,对服务器、终端计算机、网络设备以及门工具,对服务器、终端计算机、网络设备以及门户网站等信息系统进行安全检测,排查病毒木马、户网站等信息系统进行安全检测,排查病毒木马、安全漏洞等。安全漏洞等。文件解读 。文件解读 。文件解读 。文件解读 。文件解读
