3.（钦州）广西壮族自治区2013年操作指南1.docVIP

广西壮族自治区2013年 政府部门信息安全检查 操 作 指 南 二〇一三年七月 目 录 1 概述 1 1.1 检查目的 1 1.2 检查工作流程 1 2 检查工作部署 2 2.1 制定检查方案 2 2.2 成立检查工作组 2 2.3 下达检查通知 2 3 信息系统基本情况梳理 2 3.1 基本信息梳理 2 3.2 系统构成情况梳理 3 4 日常工作情况检查 5 4.1 规章制度完整性检查 5 4.2 信息安全管理情况检查 5 4.2.1 组织管理情况检查 5 4.2.2 人员管理情况检查 6 4.2.3 资产管理情况检查 7 4.2.4 采购管理情况检查 8 4.2.5 外包服务管理情况检查 8 4.2.6 经费保障情况检查 10 4.3 安全技术防护情况检查 10 4.3.1 物理环境安全情况检查 10 4.3.2 网络边界安全防护情况检查 10 4.3.3 关键设备安全防护情况检查 11 4.3.4 应用系统安全防护情况检查 12 4.3.5 终端计算机安全防护情况检查 14 4.3.6 存储介质安全防护情况检查 15 4.3.7 重要数据安全防护情况检查 16 4.4 信息安全应急工作情况检查 16 4.5 信息安全教育培训情况检查 17 5 安全技术检测 18 5.1 设备安全检测 18 5.1.1 网络设备及安全设备安全检测 18 5.1.2 服务器安全检测 18 5.1.3 终端计算机安全检测 19 5.2 应用系统安全检测 20 6 检查总结整改 20 6.1 汇总检查结果 20 6.2 分析问题隐患 20 6.3 研究整改措施 20 6.4 编写总结报告 20 7 注意事项 21 7.1 认真做好总结 21 7.2 加强风险控制 21 7.3 加强保密管理 21 附件1 信息安全检查总结报告参考格式 22 附件2 参考文献 23  广西壮族自治区2013年政府部门 信息安全检查操作指南 为指导开展信息安全检查工作，国家标准，制定本。 概述 检查目的 通过开展常态化的信息安全检查，进一步落实信息安全责任，增强人员信息安全意识，查找突出问题和薄弱环节，排查安全隐患和安全漏洞，分析评估信息安全状况和防护水平，有针对性地采取管理和技术防护措施，促进安全防范水平和安全可控能力提升，预防和减少重大信息安全事件的发生，切实保障信息安全。 检查工作流程 安全检查工作流程通常包括检查工作部署、日常工作情况检查、安全技术检测、检查总结整改等环节，如下图所示。 检查工作部署通常包括制定检查方案、成立检查工作组、下达检查通知等具体工作。 信息安全管理部门根据国家信息安全主管部门关于年度信息安全检查工作的统一安排，结合实际，制定检查方案，并报本单位信息安全主管领导批准。检查方案应信息安全管理部门制定检查方案后，应及时成立检查工作组组织工作组成员熟悉检查方案，检查内容、检查工具使用。 工作组成员通常由信息安全部门、信息化部门有关人员，相关业务部门中熟悉业务、具备信息安全知识的人员，以及本单位相关技术支撑机构业务骨干等组成。 信息安全管理部门应以书面形式部署信息安全检查工作，明确检查时间、检查范围、检查要求等事项。 相关文档访谈信息系统管理人员与工作人员，、用户、业务周期、运行高峰期上线日期定级情况表1 系统基本表 服务对象 农合 用户规模 大型 业务周期 业务主管部门 农合办 运维机构 北航冠新 系统开发商 北航冠新 系统集成商 北航冠新 上线运行及最近一次系统升级时间 8月10日 定级情况 数据集中情况 中心部署 灾备情况 表 系统基本表 服务对象 农民 用户规模 大型 业务周期 业务主管部门 农合办 运维机构 北航冠新 系统开发商 北航冠新 系统集成商 北航冠新 上线运行及最近一次系统升级时间 8月12日 定级情况 数据集中情况 中心部署 灾备情况 表 系统基本表 服务对象 村医、农民 用户规模 大型 业务周期 业务主管部门 卫生局 运维机构 北航冠新 系统开发商 北航冠新 系统集成商 北航冠新 上线运行及最近一次系统升级时间 8月15日 定级情况 数据集中情况 中心部署 灾备情况 系统构成情况梳理 主要硬件构成 重点梳理主要硬件设备类型、数量、生产商（品牌）情况，记录结果（表2）。 硬件设备类型主要有：服务器、路由器、交换机、防火墙、终端计算机、磁盘阵列、磁带库及其他主要安全设备。 表系统主要硬件记录表 浪潮 曙光 联想 方正 IBM HP DELL 数量 18 其他： 1. 品牌 ，数量 2. 品牌 ，数量 （如有更多，可另列表） 路由器