信息系统安全检查幻灯片.ppt

信息系统安全检查 文件解读 二、检查原则 坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，统筹安排、突出重点、明确责任、注重实效。 检查工作以各单位自检为主，市城乡数字化办会同有关部门统一组织安全抽查。各部门管理的信息系统安全检查工作，由各部门统一组织部署。 文件解读 政府信息系统安全检查的范围是为各部门履行政府职能提供支撑的信息系统， 包括自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、网站系统等 各部门的门户网站、重要业务系统是检查重点 文件解读 检查内容 (一) 信息安全组织管理 1、信息安全管理机构及其工作开展情况。（1）组织制定信息安全工作计划或工作方案情况；（2）组织制定并落实信息安全管理规章制度情况；（3）组织开展信息安全教育培训和督促检查工作情况。 2、信息安全员及其工作开展情况。（1）各单位信息安全员指定情况；（2）信息安全员开展督促、检查和指导等日常工作情况。 文件解读 (二) 日常信息安全管理 1、人员管理。查验相关文档、文件、记录等，重点检查：（1）岗位信息安全和保密责任制落实，特别是重要岗位信息安全和保密协议签订情况；（2）人员离岗离职信息安全管理情况；（3）外部人员访问机房等重要区域管理情况；（4）违反制度规定造成信息安全事件的责任查处情况等。 2、资产管理。查验相关文档、台帐、记录等，重点检查：（1）资产管理制度建立及落实情况，资产台账是否清晰、帐物是否相符；（2）办公软件、应用软件等安装与使用情况，是否有与工作无关的软件；（3）计算机及相关设备维修维护、报废销毁管理情况，是否有相应的登记记录等。 文件解读 3、信息技术外包服务安全管理。针对当前政府部门信息技术外包服务安全风险突出的现状，重点检查系统开发、系统集成、运行维护、灾难备份、数据处理、安全检测、系统托管等外包服务的安全管理：（1）服务机构性质与背景情况，是否由外资机构提供服务；（2）服务合同及安全保密协议签订情况，安全责任是否清晰；（3）人员现场服务记录情况，是否有现场服务监管措施；（4）系统维护方式情况，重点排查远程在线服务带来的安全风险；（5）灾难备份服务情况，重点掌握灾难备份中心设立在境外的情况。 4、信息技术产品使用管理。重点检查办公用计算机、公文处理软件、信息安全设备、服务器、网络设备等使用产品的安全可控情况，特别是本年度新采购办公用计算机、公文处理软件、信息安全设备是否满足安全可控要求。 5、信息安全经费保障。重点检查信息安全防护设施建设、运行、维护、检查及管理等费用是否纳入部门年度预算，以及本年度信息安全经费实际投入情况等。 文件解读 (三) 信息安全防护管理 1、网络边界防护管理。查看系统总体网络架构、子系统分布、终端节点、区域划分及边界防护措施等，重点检查：（1）网络分区分域合理性；（2）安全防护设备策略配制有效性；（3）互联网接入情况，是否有访问互联网的安全控制措施，是否留存互联网访问日志并定期进行分析。 文件解读 2、信息系统安全管理。重点检查信息安全风险评估、等级保护等安全管理制度落实情况。（1）服务器安全防护。重点检查服务器上应用、服务、端口以及系统补丁等情况，是否关闭了不必要的应用、服务、端口；账户口令强度和更新情况；病毒木马防护情况，是否使用技术工具定期进行漏洞扫描、病毒木马检测。（2）网络设备防护。重点检查网络设备安全策略配置的有效性；账户口令强度和更新情况；是否使用技术工具定期进行漏洞扫描。（3）信息安全设备部署及使用。重点检查防病毒、防火墙、入侵检测、安全审计等安全设备部署及使用情况，以及安全策略配置的有效性。 文件解读 文件解读 文件解读 (四) 信息安全应急管理 1、应急预案。重点检查本部门信息安全应急预案制定、修订、备案及宣贯培训情况。 2、应急演练。重点检查信息安全应急演练情况；已开展演练的，查看演练文档、记录（包括演练计划、演练方案、演练记录、演练总结报告等）。 3、应急技术支援。重点检查是否明确了应急技术支援队伍；已明确的，检查其服务合同及安全保密协议签订情况，了解掌握应急技术支援队伍基本情况以及开展的技术支援活动。 文件解读 2）4、灾难备份。重点检查重要数据和重要信息系统备份情况；对采用社会等三方灾难备份服务的，检查其服务合同及安全保密协议签订情况，了解掌握灾难备份服务设施运维安全管理情况。 5、信息安全事件应急处置。重点检查本年度发生的信息安全事件及处置情况；发生过重大信息安全事件的，检查是否进行了及时处置，是否按照要求上报和通报。 文件解读 (五) 信息安全教育培训 重点检查信息安全和保密形势教育及警示教育情况，领导干部和机关工作人员参加信息安全基本技能培训情况，信息安全管理和技术人员参加信息安全专业培训情况等。 文件解读 (六) 信息安全检查工