2013年全区环境保护行业信息安全检查工作方案（可编辑）.docVIP

2013年全区环境保护行业信息安全检查工作方案 附件:1.信息安全自查工作进展月报告 2.环保行业信息安全自查操作指南 3.信息安全检查结果统计表一 4.信息安全检查结果统计表二 附件1 信息安全自查工作进展月报告 报送单位 (地区、部门、行业) 报送人联系方式 工作周期 月 日 ~ 月 日 一、检查工作进展情况 二、发现的重大问题及处置情况 三、其他情况 附件2 信息安全检查操作指南 二?一三年八月 目 录 1 概述 15 1.1 检查目的 15 1.2 检查工作流程 15 2 检查工作部署 16 2.1 制定检查方案 16 2.2 成立检查工作组 16 2.3 下达检查通知 16 3 信息系统基本情况梳理 16 3.1 基本信息梳理 16 3.2 系统构成情况梳理 17 4 日常工作情况检查 19 4.1 规章制度完整性检查 19 4.2 信息安全管理情况检查 19 4.2.1 组织管理情况检查 19 4.2.2 人员管理情况检查 20 4.2.3 资产管理情况检查 21 4.2.4 采购管理情况检查 22 4.2.5 外包服务管理情况检查 22 4.2.6 经费保障情况检查 24 4.3 安全技术防护情况检查 24 4.3.1 物理环境安全情况检查 24 4.3.2 网络边界安全防护情况检查 24 4.3.3 关键设备安全防护情况检查 25 4.3.4 应用系统安全防护情况检查 26 4.3.5 终端计算机安全防护情况检查 28 4.3.6 存储介质安全防护情况检查 29 4.3.7 重要数据安全防护情况检查 30 4.4 信息安全应急工作情况检查 30 4.5 信息安全教育培训情况检查 31 5 安全技术检测 31 5.1 设备安全检测 31 5.1.1 网络设备及安全设备安全检测 32 5.1.2 服务器安全检测 32 5.1.3 终端计算机安全检测 33 5.2 应用系统安全检测 33 6 检查总结整改 34 6.1 汇总检查结果 34 6.2 分析问题隐患 34 6.3 研究整改措施 34 6.4 编写总结报告 34 7 注意事项 34 7.1 认真做好总结 34 7.2 加强风险控制 34 7.3 加强保密管理 35 附1 信息安全检查总结报告参考格式 36 附2 参考文献 37 信息安全检查操作指南 为指导环境保护各部门开展信息安全检查工作,依据《国务院办公厅关于印发政府信息系统安全检查办法的通知》(国办发?2009?28号)、《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发?2012?23号)、《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》(国办发?2012?102号)等文件精神,参照《信息安全技术 政府部门信息安全管理基本要求》(GB/T 29245-2012)等国家信息安全技术标准规范,制定本指南。 本指南供各级环保部门开展信息安全检查(自查)工作时参考。其他单位也可参考本指南结合实际开展信息安全检查工作。 概述 检查目的 通过开展常态化的信息安全检查,进一步落实信息安全责任,增强人员信息安全意识,查找突出问题和薄弱环节,排查安全隐患和安全漏洞,分析评估信息安全状况和防护水平,有针对性地采取管理和技术防护措施,促进安全防范水平和安全可控能力提升,预防和减少重大信息安全事件的发生,切实保障信息安全。 检查工作流程 安全检查工作流程通常包括检查工作部署、信息系统基本情况梳理、日常工作情况检查、安全技术检测、检查总结整改等五个环节,如下图所示。 图1信息安全检查工作流程图 检查工作部署 检查工作部署通常包括制定检查方案、成立检查工作组、下达检查通知等具体工作。 制定检查方案 环境保护各部门根据《2013年环境保护行业信息安全检查工作方案》统一安排检查工作,结合工作实际,制定检查方案,并报本单位信息安全主管领导批准。 检查方案应当明确以下内容:(1)检查工作负责人、组织机构和具体实施机构;(2)检查范围和检查重点;(3)检查内容;(4)检查工作组织开展方式;(5)检查工作时间进度安排;(6)有关工作要求。 1. 关于检查范围。检查的范围通常包括本单位各内设机构,以及为本单位信息系统(包括办公系统、业务系统、网站系统等)提供运行维护支撑服务的下属单位。可根据本单位信息安全保障工作需要,将其他为本单位信息系统提供运维服务、对本单位信息系统安全可能产生重大影响的相关单位纳入检查范围。 2. 关于检查重点。在对各类信息系统进行全面检查的基础上,应突出重点,对事关国家安全和社会稳定