政府部门如何做好网络信息安全检查工作.docxVIP

政府部门如何做好网络信息安全检查工作在政府部门信息化建设初期，由于建设经验不足，大量存在重建设、轻安全，重应用、轻安全的 问题，在建设过程中没有做到三同步，致使部分政 府部门信息系统缺乏必要的安全防护措施。同时， 网络安全制度不健全、落实不到位、网络安全意识 薄弱等问题层出不穷，因此，需要定期开展网络安 全检查，掌握网络安全总体状况，发现存在的主要 问题和薄弱环节，进一步健全网络安全管理制度， 完善网络安全技术措施，提高网络安全防护能力。安全检查工作通常包括检查工作部署、信息系 统基本情况梳理、日常工作情况检查、安全技术检 测、检查总结整改等五个环节。本单位信息系统安全可能产生重大影响的相关单位纳入检查范围。（2）关于检查重点。在对各类信息系统进行全 面检查的基础上，应突出重点，对事关国家安全和 社会稳定，对地区、部门或行业正常生产生活具有 较大影响的重要信息系统进行重点检查。（3）关于重要信息系统。可根据本单位实际， 参考七方面标准进行判定：关系国家安全和社会稳 定；业务依赖度高；数据集中度高（全国或省级数 据集中）；业务连续性要求高；系统关联性强（发 生重大信息安全事件后，会对与其相连的其他系统 造成较大影响，并产生连片连锁反应）；面向社会 公众提供服务，用户数量大，覆盖范围广；灾备等 级高（系统级灾备）。2. 成立检查工作组本 单 位 网 络 安 全 管 理 部 门 制 定 完 成 检 查 方 案 后，应及时成立检查工作组，组织开展培训，保证 工作组成员熟悉检查方案，掌握检查内容、检查工 具使用方法等。工作组成员通常由信息安全管理及 运维部门、信息化部门有关人员，相关业务部门中 熟悉业务、具备信息安全知识的人员，以及本单位 相关技术支撑机构的业务骨干等组成。3. 下达检查通知本单位网络安全管理部门应以书面形式部署网 络安全检查工作，明确检查时间、检查范围、检查 内容、工作要求等具体事项。检查工作部署检查工作部署通常包括制定检查方案、成立检查工作组、下达检查通知等。1. 制定检查方案网络安全管理部门应根据中央网络与信息化领 导小组办公室关于年度信息安全检查工作的统一安 排，结合工作实际，制定检查方案，并报本单位网 络安全主管领导批准。检 查 方 案 应 当 明 确 如 下 内 容 ： 检 查 工 作 负 责 人、组织机构和具体实施机构；检查范围和检查重 点；检查内容；检查工作组织开展方式；检查工作 时间进度安排；有关工作要求。（1）关于检查范围。检查的范围通常包括本单 位各内设机构，以及为本单位信息系统（包括办公 系统、业务系统、网站系统等）提供运行维护支撑 服务的下属单位。可根据本单位网络安全保障工作 需要，将其他为本单位信息系统提供运维服务、对信息系统基本情况梳理对信息系统进行全面梳理，目的是及时掌握本单位信息系统基本情况，特别是变更情况，以便针 信息化研究 Informatization-Research查验本单位各内设机构职责分工等文件，检查是否指定了网络安全管理机构；查验工作计划、工作 方案、规章制度、监督检查记录、教育培训记录等文 档，了解管理机构履职情况；查验网络安全员列表，检查是否每个内设机构都 指定了专职或兼职网络安全员；访谈信息安全员，检 查其网络安全意识和网络安全知识、技能掌握情况； 查验工作计划、工作报告等相关文档，检查网络安全 员日常工作开展情况。（2）人员管理情况检查 查验岗位信息安全责任制度文件，检查系统管理员、网络管理员、信息安全员、一般工作人员等不 同岗位的信息安全责任是否明确；检查重点岗位人员 信息安全与保密协议签订情况；访谈部分重点岗位人 员，抽查对信息安全责任的了解程度；查验人员离岗离职管理制度文件，检查是否有终 止系统访问权限、收回软硬件设备、收回身份证件和 门禁卡等要求；检查离岗离职人员安全保密承诺书签 署情况；查验信息系统账户，检查离岗离职人员账户 访问权限是否已被终止；查验外部人员访问机房等重要区域的审批制度文 件，检查是否有访问审批、人员陪同等要求；查验访 问审批记录、访问活动记录，检查记录是否清晰、完 整；查验安全事件记录及安全事件责任查处等文档， 检查是否发生过因违反制度规定造成的信息安全事 件、是否对信息安全事件责任人进行了处置。（3）资产管理情况检查 查验资产管理制度文档，检查资产管理制度是否建立； 查验设备管理员任命及岗位分工等文件，检查是否明确专人负责资产管理；访谈设备管理员，检查其 对资产管理制度和日常工作任务的了解程度；查验资产台账，检查台账是否完整（包括设备编 号、设备状态、责任人等信息）；查验领用记录，检 查是否做到统一编号、统一标识、统一发放；随机抽取资产台账中的部分设备登记信息，查验 是否有对应的实物；随机抽取一定数量的实物，查验 其是否纳入资产台