2009年度信息系统安全检查指南.doc

2009年度阳信县政府信息系统安全检查指南 一、检查范围 本指南所称政府信息系统，是指为政府机关履行职能提供支撑的信息系统，包括政府及其部门自行运行和维护管理以及委托其他机构运行和维护管理的办公系统、业务系统、网站系统等。 本指南所称政府信息系统安全检查，是指依据我省有关政策规定，参照国家信息安全技术标准规范，对政府信息系统安全保障工作进行检测评估、查找隐患、堵塞漏洞、规范管理、完善措施、落实整改、通报情况的过程，包括进行信息安全风险评估、开展应急演练、安全检测、等级测评等。 涉及国家秘密的信息系统保密检查工作，按照国家、省、市相关保密管理规定和标准执行。 二、检查原则 政府信息系统安全检查工作坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，采取各单位自查与组织抽查相结合的方式进行。安全检查工作应统筹安排，严密组织，突出重点，明确责任，注重实效，确保质量，切实提高政府信息系统安全保障能力，确保政府信息系统安全运行。 三、检查内容 以保障新中国成立60周年国庆和第十一届全运会期间信息安全为重点，针对当前政府信息系统存在的薄弱环节，按照《山东省政府信息系统安全检查办法》要求，重点检查以下内容： （一）安全制度落实情况。重点检查信息安全主管领导、管理机构和管理人员的落实情况，信息安全责任制和保密管理、密码管理、等级保护、重要部门（部位）人员管理等制度的建立和落实情况，信息安全经费保障情况，是否建立并落实岗位信息安全和保密责任制度情况；是否对国庆60周年和全运会期间信息安全保障工作进行了专门部署。 （二）安全防范措施落实情况。重点检查身份认证、访问控制、数据加密、安全审计、责任认定以及防篡改、防病毒、防攻击、防瘫痪、防泄密等技术措施的有效性，以及计算机、移动存储设备、电子文档安全防护措施的落实情况。国庆和全运会期间要重点检查是否对账户、口令、软件等进行了清理，是否对重要服务器上的应用、服务、端口和链接进行了检查。 （三）应急响应机制建设情况。重点检查应急预案制定、演练、落实情况，应急技术支撑队伍建设情况，重大信息安全事故处置情况，以及重要数据和业务系统的备份情况等。特别是针对国庆和全运会期间是否制定完善了应急工作方案和工作计划。 （四）信息技术产品和服务国产化情况。重点检查终端计算机、公文处理软件、信息安全产品、IC卡等使用国产产品的情况，信息安全服务外包情况，以及对因特殊原因选用国外信息技术产品和信息安全服务的安全审查情况。 （五）密码技术与产品使用情况。采用密码技术进行保护的情况，尤其是违反国家密码管理规定使用密码技术与产品的情况。 （六）安全教育培训情况。重点检查工作人员参加信息安全教育培训、掌握信息安全常识和技能、重点岗位持证上岗等情况。 （七）责任追究情况。重点检查对违反信息安全规定行为和造成泄密事故、信息安全事故的查处情况，对责任人和有关负责人的责任追究以及惩处措施落实情况。 （八）安全隐患排查及整改情况。重点检查对安全制度、防范措施、设备设施、应急响应等方面存在的漏洞和薄弱环节的排查情况，以及分析产生问题和隐患的原因，研究制定和落实整改措施等情况。 四、时间安排 各部门、各单位根据实际情况，围绕保障新中国成立60周年国庆和第十一届全运会期间的信息安全，具体进行安排部署。各部门、各单位信息安全检查工作于2009年9月25日前完成，并将安全检查情况书面报县信息化领导小组办公室。 五、检查组织 各部门、各单位按照《山东省政府信息系统安全检查办法》的要求，参照本指南制定具体的安全检查方案，并负责组织本单位及本系统的信息安全检查。 可委托专业机构（含各部门内部专业机构）参与安全检查，如需委托外部专业机构，应选择信息化、公安、国家安全、保密、密码管理等主管部门所属的安全检测机构。 切实做好检查过程中的信息安全和保密工作，确保被检查信息系统安全正常运行。委托专业机构参与安全检查时，应对专业机构及检测人员进行审查，签订安全保密协议，明确安全和保密责任，并将参与检查的专业机构及检测人员（含各部门内部专业机构及人员）情况作为检查报告的内容报县信息化领导小组办公室。 六、检查报告 检查报告主要包括检查范围、组织实施情况、检查中发现的问题及整改情况、对做好政府信息系统安全检查工作的建议等项内容，以及《2009年阳信县政府信息系统安全检查情况报告表》（附件3填写时不含涉密信息系统）。 检查报告以部门名义报送，采用纸质文件并加盖单位公章。 七、抽查组织 县信息化领导小组办公室组织有关部门、专家、指定的网络与信息安全评测机构成立检查组，按照《山东省信息系统安全检查办法》和《2009年度阳信县政府信息系统安全检查指南》的要求，对县直有关部门进行安全抽查。具体事宜另行通知。 八、情况通报 县信息化领导小组办公室跟踪、收集、汇总安全检查情况，会