2013年重点领域信息安全检查培训会议材料（三）.docVIP

2013年重点领域信息安全检查培训会议材料（三） 信息安全检查操作指南 二〇一三年七月 目 录 1 概述 1 1.1 检查目的 1 1.2 检查工作流程 1 2 检查工作部署 2 2.1 制定检查方案 2 2.2 成立检查工作组 2 2.3 下达检查通知 2 3 信息系统基本情况梳理 2 3.1 基本信息梳理 2 3.2 系统构成情况梳理 3 4 日常工作情况检查 5 4.1 规章制度完整性检查 5 4.2 信息安全管理情况检查 5 4.2.1 组织管理情况检查 5 4.2.2 人员管理情况检查 6 4.2.3 资产管理情况检查 7 4.2.4 采购管理情况检查 8 4.2.5 外包服务管理情况检查 8 4.2.6 经费保障情况检查 10 4.3 安全技术防护情况检查 10 4.3.1 物理环境安全情况检查 10 4.3.2 网络边界安全防护情况检查 10 4.3.3 关键设备安全防护情况检查 11 4.3.4 应用系统安全防护情况检查 12 4.3.5 终端计算机安全防护情况检查 14 4.3.6 存储介质安全防护情况检查 15 4.3.7 重要数据安全防护情况检查 16 4.4 信息安全应急工作情况检查 16 4.5 信息安全教育培训情况检查 17 5 安全技术检测 18 5.1 设备安全检测 18 5.1.1 网络设备及安全设备安全检测 18 5.1.2 服务器安全检测 18 5.1.3 终端计算机安全检测 19 5.2 应用系统安全检测 20 6 检查总结整改 20 6.1 汇总检查结果 20 6.2 分析问题隐患 20 6.3 研究整改措施 20 6.4 编写总结报告 20 7 注意事项 21 7.1 认真做好总结 21 7.2 加强风险控制 21 7.3 加强保密管理 21 附件1 信息安全检查总结报告参考格式 22 附件2 参考文献 23  政府部门信息安全检查操作指南 为指导各级政府部门和有关单位开展信息安全检查工作，依据《国务院办公厅关于印发政府信息系统安全检查办法的通知》（国办发﹝2009﹞28号）、《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发﹝2012﹞23号）、《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》（国办发﹝2012﹞102号）等文件精神，参照《信息安全技术 政府部门信息安全管理基本要求》（GB/T 29245-2012）等国家信息安全技术标准规范，制定本指南。 本指南供各级政府部门开展信息安全检查（自查）工作时参考。其他单位也可参考本指南结合实际开展信息安全检查工作。 概述 检查目的 通过开展常态化的信息安全检查，进一步落实信息安全责任，增强人员信息安全意识，查找突出问题和薄弱环节，排查安全隐患和安全漏洞，分析评估信息安全状况和防护水平，有针对性地采取管理和技术防护措施，促进安全防范水平和安全可控能力提升，预防和减少重大信息安全事件的发生，切实保障信息安全。 检查工作流程 安全检查工作流程通常包括检查工作部署、信息系统基本情况梳理、日常工作情况检查、安全技术检测、检查总结整改等五个环节，如下图所示。 图1 政府部门信息安全检查工作流程图 检查工作部署 检查工作部署通常包括制定检查方案、成立检查工作组、下达检查通知等具体工作。 制定检查方案 本单位信息安全管理部门根据国家信息安全主管部门关于年度信息安全检查工作的统一安排，结合工作实际，制定检查方案，并报本单位信息安全主管领导批准。 检查方案应当明确以下内容：（1）检查工作负责人、组织机构和具体实施机构；（2）检查范围和检查重点；（3）检查内容；（4）检查工作组织开展方式；（5）检查工作时间进度安排；（6）有关工作要求。 1. 关于检查范围。检查的范围通常包括本单位各内设机构，以及为本单位信息系统（包括办公系统、业务系统、网站系统等）提供运行维护支撑服务的下属单位。可根据本单位信息安全保障工作需要，将其他为本单位信息系统提供运维服务、对本单位信息系统安全可能产生重大影响的相关单位纳入检查范围。 2. 关于检查重点。在对各类信息系统进行全面检查的基础上，应突出重点，对事关国家安全和社会稳定，对地区、部门或行业正常生产生活具有较大影响的重要信息系统进行重点检查。 3. 关于重要信息系统，可根据本单位实际，参考以下标准进行判定： （1）关系国家安全和社会稳定。 （2）业务依赖度高。 （3）数据集中度高（全国或省级数据集中）。 （4）业务连续性要求高。 （5）系统关联性强（发生重大信息安全事件后，会对与其相连的其他系统造成较大影响，并产生连片连锁反应）。 （6）面向社会公众提供服务，用户数量大，覆盖范围广。 （7）灾备等级高（系统级灾备）。 成立检查工作组 本单位信息安全管理部门制定完成检查方案后，应及时成