2015年自治区重点领域信息安全.docVIP

2014年自治区重点领域信息安全 检查工作方案 检查目的 通过开展信息安全检查，以查促建、以查促管、以查促改、以查促防，增强安全意识，落实安全责任，深入分析安全风险，系统评估安全状况，全面排查安全隐患，进一步健全安全管理制度，完善安全防护措施，提升自主可控水平和安全防护能力，预防和减少网络安全事件的发生，切实保障我区重要网络与信息系统的安全稳定运行。 二、检查范围 信息安全检查的范围包括政府部门，金融、能源、通信、交通、广播电视、国防军工、医疗卫生、教育、水利、环境保护、钢铁、有色、化工、装备制造等重点行业，以及城市轨道交通、供水供气供热等市政领域。涉及国家秘密的信息系统安全检查，按照国家保密管理规定和标准执行。 三、检查内容 （一）信息安全管理情况 按照国家信息安全政策和标准规范要求，建立健全信息安全管理规章制度及制度落实情况。重点检查信息安全主管领导、管理机构和工作人员履职情况，信息安全责任制落实及事故责任追究情况，人员、资产、采购、外包服务等日常安全管理情况，信息安全经费保障情况等。 （二）技术防护情况 网络与信息系统防病毒、防攻击、防篡改、防瘫痪、防泄密等技术措施及有效性。重点检查事关国家安全和社会稳定，对地区、部门或行业正常生产生活具有较大影响的重要网络与信息系统（含工业控制系统）的安全防护情况，包括技术防护体系建立情况；网络边界防护措施，不同网络或信息系统之间安全隔离措施，互联网接入安全防护措施，无线局域网安全防护策略等；服务器、网络设备、安全设备等安全策略配置及有效性，应用系统安全功能配置及有效性；终端计算机、移动存储介质安全防护措施；重要数据传输、存储的安全防护措施等。 （三）应急工作情况 按照《自治区网络与信息安全事件应急预案》要求，建立健全信息安全应急工作机制情况。重点检查信息安全事件应急预案制修订情况，应急技术支撑队伍建设情况，特别是应急预案演练情况；重大信息安全事件报告及处置情况以及重要数据和业务系统的灾备情况。 （四）安全教育培训情况 重点检查信息安全和保密形势宣传教育、领导干部和各级人员信息安全技能培训、信息安全管理和技术人员专业培训情况等。 （五）Windows XP 停止安全服务应对工作情况 重点检查Windows XP 使用情况，安全保护方案制定情况，安全防护产品部署情况，采取白名单、卸载与工作无关的应用程序、关闭不必要的服务和端口等安全措施情况，推广国产操作系统与应用软件的工作落实情况等。 （六）数据泄露及系统被控情况 重点检查数据中心及使用的云计算服务设施是否设在境外，采用系统设计开发、系统集成、运行维护、数据处理、数据备份、灾难恢复、系统托管、安全测评等外包服务过程中数据是否被提交给境外机构，系统是否被境外机构远程控制等情况。 （七）安全问题整改情况 重点检查以往信息安全检查中发现问题的整改情况，包括整改措施、整改效果及复查情况，以及类似问题的排查情况等，分析安全威胁和安全风险，进一步评估总体安全状况。 四、检查方式 按照“谁主管谁负责、谁运行谁负责”的原则，信息安全检查工作以各地、州、市、各部门、各有关重点行业自查为主。同时，自治区网络与信息安全领导小组办公室会同相关行业主管或监管部门组织专业技术队伍对部分重点单位和重要系统进行安全抽查。 五、自查工作 各地、州、市工业和信息化主管部门结合实际，统筹安排本地区政府部门以及城市轨道交通、供水供气供热等市政领域信息安全自查工作。自治区各部门结合实际组织开展本部门安全自查工作。有关重点行业自查工作由其行业主管或监管部门统一组织实施（重点行业信息安全主管或监管部门见附件1）。 各地、州、市、各部门和有关重点行业参照本工作方案，结合实际组织制定信息安全检查实施方案，印发检查部署文件，明确自查范围、责任单位、工作安排及工作要求等相关内容，并认真组织实施。可组织开展抽查，督促自查单位开展自查工作，了解掌握自查工作进展情况，采取技术手段深入发现安全问题和薄弱环节，并及时研究解决检查工作中遇到的重大问题。 自查工作完成后，各地、州、市、各部门和有关重点行业要对检查情况进行全面汇总总结，填写检查结果统计表，认真梳理存在的主要问题，分析评估安全风险，编写检查总结报告。 六、抽查工作 （一）抽查任务 自治区网络与信息安全领导小组办公室组织自治区经信委、公安厅、安全厅、机要局、保密局、质检局等部门及所属专业技术队伍进行抽查，查找安全漏洞和隐患，评估安全防护能力，研究提出改进和加强安全保障的措施建议。 （二）抽查重点内容 1. 现场抽查内容。重点检查被抽查单位自查工作组织开展情况，2013年安全检查发现问题的整改情况，网络架构、安全区域划分的合理性，网络边界防护措施的完备性，服务器、网络设备、安全设备等的安全策略配置、应用系统安全功能配置及其有效性，重要数据传输、