自治区2013年重点领域信息安全检查工作方案及指南.docVIP

自治区2013年重点领域信息安全检查工作方案 一、检查目的 通过开展常态化的信息安全检查，进一步落实信息安全责任，增强人员信息安全意识，认真查找突出问题和薄弱环节，全面排查安全隐患和安全漏洞，分析评估信息安全状况和防护水平，有针对性地采取管理和技术防护措施，促进安全防范水平和安全可控能力提升，预防和减少重大信息安全事件的发生，切实保障信息安全。 二、检查范围 本次安全检查的范围包括政府部门网站和信息系统，以及城市供水供气供热等市政领域的网络与信息系统。涉及国家秘密的信息系统安全检查，按照自治区保密局相关管理规定和标准执行。 三、检查内容 （一）信息安全管理情况。按照国家信息安全政策和标准规范要求，建立健全信息安全管理规章制度及落实情况。重点检查信息安全主管领导、管理机构和工作人员履职情况，信息安全责任制落实及事故责任追究情况，人员、资产、采购、外包服务等日常安全管理情况，信息安全经费保障情况等。 （二）技术防护情况。网络与信息系统防病毒、防攻击、防篡改、防瘫痪、防泄密等技术措施及有效性。重点检查事关国家安全和社会稳定，对各地区、各部门或行业正常生产生活具有较大影响的重要网络与信息系统（含工业控制系统）的安全防护情况，包括技术防护体系建立情况；网络边界防护措施，不同网络或信息系统之间安全隔离措施，互联网接入安全防护措施，无线局域网安全防护策略等；服务器、网络设备、安全设备等安全策略配置及有效性，应用系统安全功能配置及有效性；终端计算机、移动存储介质安全防护措施；重要数据传输、存储的安全防护措施等。 （三）应急工作情况。按照国家网络与信息安全事件应急预案要求，建立健全信息安全应急工作机制情况。重点检查信息安全事件应急预案制修订情况，应急预案演练情况；应急技术支撑队伍、灾难备份与恢复措施建设情况，重大信息安全事件处置及查处情况等。 （四）安全教育培训情况。重点检查信息安全和保密形势宣传教育、领导干部和各级人员信息安全技能培训、信息安全管理和技术人员专业培训情况等。 （五）安全问题整改情况。重点检查以往信息安全检查中发现问题的整改情况，包括整改措施、整改效果及复查情况，以及类似问题的排查情况等，分析安全威胁和安全风险，进一步评估总体安全状况。 四、检查方式 按照“谁主管谁负责、谁运行谁负责”的原则，信息安全检查工作以各地、各部门和各有关重点行业自查为主。同时，自治区经济和信息化委会同有关成员单位和专业技术队伍对部分重点单位和重要系统进行信息安全抽查。 五、安全自查 此次检查工作由自治区经济和信息化委牵头组织协调，并负责指导督促各市、各部门开展自查工作；自治区各部门要结合工作实际组织开展本部门信息系统自查工作；各市负责组织本地区政府网络与信息系统以及供水供气供热等市政领域网络与信息系统自查工作。 各地、各部门和有关重点行业参照本工作方案，结合实际组织制定信息安全检查实施方案，印发检查部署文件，明确自查范围、责任单位、工作安排及工作要求等相关内容，并认真组织实施。可组织开展抽查，督促自查单位开展自查工作，了解掌握自查工作进展情况，采取技术手段深入发现安全问题和薄弱环节，并及时研究解决检查工作中遇到的重大问题。自查工作完成后，要对检查情况进行全面汇总总结，认真填写信息安全检查结果统计表、信息安全管理工作自评估表等相关内容，撰写检查总结报告（见附件1），于9月25日前将纸质版和电子版一并报送自治区经济和信息化委。联系人：纪国栋、姚建军，电话：0951-603803915009562177，邮箱：jgd1110@163.com163.com。 六、安全抽查 在自查的基础上，自治区经济和信息化委组织有关成员单位及技术队伍进行安全抽查，查找安全漏洞和隐患，评估安全防护能力，研究提出改进和加强安全保障的措施建议，并及时反馈相关部门和单位。 （一）抽查范围与方式。 抽查采取现场检查与外部检测两种方式进行。现场检查时，重点检查被抽查单位的重要网络与信息系统；外部检测时，主要检测与互联网相连的网络与信息系统。 （二）抽查内容。 1、现场检查内容。 （1）自查工作进展情况。重点检查被抽查单位自查工作部署、自查方案制定、自查工作进度等情况。 （2）2012年安全检查发现问题的整改情况， （3）网络与信息系统基本情况。重点检查重要网络与信息系统情况，包括：系统的实时性、服务对象、连接互联网情况、数据集中情况、灾备情况，系统停止运行后对主要业务的影响程度、系统遭受攻击破坏后对社会公众的影响程度，主要软硬件设备的类型、数量、生产商，信息技术外包服务类型、服务提供商、服务方式、安全保密协议等。 （4）安全防护措施及隐患情况。重点检查网络架构、安全区域划分、网络边界安全防护措施，服务器、网络设备、安全设备等安全策略配置