济南市经信委2016年度网络安全服务项目.docVIP

济南市经信委2016年度网络安全服务项目 一、项目概述 通过网络安全监测、检查和培训服务，及时的掌握重要信息系统的安全现状，鉴别所存在的各种技术、管理的脆弱性；鉴别目前所实施的安全措施是否适当或在运营的过程中是否仍然具有相应的效力，从而确定是否需要进行相应的修正或增加其它安全措施，同时增强相关人员的网络安全意识，不断提高网络安全风险防范能力。 因此，通过持续委托专业机构开展网络安全服务，运用科学的方法和技术手段，查找信息安全隐患，及时掌握信息系统的安全状况和面临的威胁，进一步加强安全措施，有利于不断完善信息安全保障体系，提高应急处置能力，确保信息系统持续安全稳定运行。 二、项目依据 1）《国务院办公厅关于印发政府信息系统安全检查办法的通知》（国办发[2009]28号） 2）《中共中央办公厅 国务院办公厅关于转发国家信息化领导小组关于我国电子政务建设指导意见的通知》(中办发[2002]17号） 3）《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号） 4）《山东省人民政府办公厅关于印发山东省政府信息系统安全检查办法的通知》（鲁政办发[2009]40号） 5）《山东省委网络安全和信息化领导小组办公室关键信息基础设施网络安全检查工作方案》（鲁网办发[2016]4号） 6）《济南市委网络安全和信息化领导小组关于开展关键信息基础设施网络安全检查的通知》（济网发[2016]2号） 7）《济南市人民政府办公厅关于印发济南市经济和信息化委员会主要职责内设机构和人员编制规定的通知》（济政办发〔2010〕53号） 8）《重要信息系统信息安全检查规范》（DB 37/T 1886-2011） 三、项目内容 服务内容共包含协助开展网络安全检查工作和政府门户网站周期性安全检查评估，承办网络信息安全培训活动三部分。 （一）协助开展网络安全自查工作 协助济南市经济和信息化委员会制定网络安全检查工作方案，进一步梳理、分析各单位重要网络与信息系统基本情况，查找突出问题和薄弱环节，分析面临的安全威胁和风险提出重要网络与信息系统安全防护建议。 1制定自查工作流程 信息安全自查主要包括自查工作部署、基本情况自查、问题与风险分析、自查工作总结等4个环节。 2设计自查内容 包括系统基本情况检查记录表、系统特征情况分析记录表、日常安全管理制度建立和落实情况检查结果记录表、自查安全检测工具及方案等。 3问题与风险分析 对自查中发现的问题和面临的威胁风险进行分析，记录分析结果，从安全管理和技术防护两个方面，对检查中发现的主要问题及薄弱环节逐一进行研究，深入分析问题产生的直接原因以及深层次的原因，研究提出相应的改进措施。 根据安全检测发现的漏洞和隐患，分析系统存在的安全风险，判断面临的安全威胁程度以及具备的安全防护能力，评估系统总体安全状况。 4自查工作总结 汇总各有关部门的自查信息，在分析自查结果的基础上，对自查工作情况进行全面总结，对自查过程中发现的问题和薄弱环节进行认真研究，对面临的安全威胁和风险进行分析评估，对问题产生的原因进行深入剖析，阐述改进措施及整改情况，并编写形成报告。 （二）现场网络安全抽查 现场网络安全抽查范围为至少包含10个单位的重要网络与信息系统。检查内容如下： 1、网络安全责任制落实情况检查 网络安全责任制落实情况检查包括网络安全管理工作单位领导、网络安全管理工作内设机构、网络安全责任制度建设和落实情况的检查。 2网络安全日常管理情况检查 重点查验岗位网络安全责任制度文件信息资产管理制度文档和上一年度和本年度预算文件。 3、信息系统基本情况检查 对信息系统进行全面检查，及时掌握信息系统基本情况，特别是变更情况。重点查验信息系统规划设计方案、安全防护规划设计方案、网络拓扑图等相关文档，主要硬件和软件的构成情况。 4、网络安全技术防护情况检查 重点检查网络边界安全防护情况、无线网络安全防护情况、电子邮件系统安全防护情况、终端计算机安全防护情况、移动存储介质和漏洞修复情况等。 5、网络安全应急工作情况检查 重点检查应急预案文本，宣贯材料和培训记录，演练计划、方案、记录、总结，事件处置记录，应急技术支援队伍合同及安全协议、参与应急技术演练及应急响应等工作的记录文件，设备或采购协议，备份数据和备份系统等。 6、网络安全教育培训情况检查 重点检查教育宣传计划、会议通知、宣传资料等文档，机关工作人员网络安全基本防护技能掌握情况，培训通知、培训教材、结业证书等网络安全管理和技术人员专业技能培训情况。 7、技术检测及网络安全事件情况 1）渗透测试 所抽查的重要网络与信息系统进行安全检测；使用漏洞扫描等工具进行测试，检测是否存在安全漏洞；开展人工渗透测试，检查是否可以获取应用系统权限，验证网站是否可以被挂马、篡改页面、获取敏感信息等，检查系统是