信息安全自查操作指引.DOC

信息安全自查操作指南 二〇一二年七月  目 录 概 述 1 一、自查目的 1 二、自查工作流程 1 环节一 自查工作部署 3 一、研究制定自查实施方案 3 二、自查工作动员部署 4 环节二 基本情况自查 6 一、系统基本情况自查 6 二、安全管理情况自查 12 三、技术防护情况自查 17 四、应急处置及容灾备份情况自查 19 五、安全技术检测 20 环节三 问题与风险分析 22 一、主要问题分析 22 二、国外依赖度分析 22 三、主要威胁分析 23 环节四 自查工作总结 25 一、自查工作总结 25 二、自查情况上报 25 有关工作要求 26 附件1 信息安全自查报告编写参考格式 28 附件2 信息安全检查情况报告表 30  概 述 为指导重点领域信息安全自查工作，依据《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》（国办函〔2012〕102号，以下简称《检查通知》），制定本指南。 本指南主要用于各级政府部门、大型国有企业以及其他有关单位（以下统称自查单位）在开展信息安全自查具体工作时参考。各省（区、市）网络与信息安全协调小组办事机构、有关重点行业主管或监管部门在组织制定本地区、本行业安全检查实施方案时也可参考本指南。 一、自查目的 通过开展安全自查，进一步梳理、掌握本单位重要网络与信息系统基本情况，查找突出问题和薄弱环节，分析面临的安全威胁和风险，评估安全防护水平，有针对性地采取防范对策和改进措施，加强网络与信息系统安全管理技术防护，促进安全防护能力和水平提升，预防和减少重大信息安全事件的发生，切实保障网络与信息安全。 个。  环节一 自查工作部署 一、研究制定自查实施方案 认真学习《检查通知》，深刻领会文件精神和有关要求，研究制定自查实施方案，并报主管领导批准。 （一）自查实施方案应当明确的内容 自查实施方案应当明确以下内容：（1）自查工作负责人、组织单位和实施机构政府信息系统重点行业网络与信息系统工业控制系统。事关国家安全和社会稳定，对地区、部门或行业正常生产生活具有较大影响的重要网络与信息系统。各司其职。 环节二 基本情况自查 一、系统基本情况 （一）系统特征情况 1. 查看系统规划设计方案、安全防护规划设计方案、网络拓扑图等，核实系统的实时性、服务对象、连接互联网情况、数据集中情况、灾备情况等基本情况，记录检查结果（表1）。 表1 系统基本情况检查记录表 措施连接 不连接 全国集中 省级集中 不集中 系统级灾备 仅数据灾备 无灾备 1 2 3 … 2. 根据上述系统基本情况核查结果，分析系统停止运行后对主要业务的影响程度、系统遭受攻击破坏后对社会公众的影响程度等安全特征，记录分析结果（表2）。 （1）关于系统停止运行后对主要业务的影响程度判定标准： 影响程度高：系统停止运行后主要业务无法开展或对主要业务运行产生严重影响； 影响程度中：系统停止运行后对主要业务运行有一定影响，可用手工等传统方式替代； 影响程度低：系统停止运行后对主要业务运行影响较小或无影响。 系统对社会公众的影响程度判定标准：影响程度高系统遭受攻击破坏，造成系统无法正常运行、被劫持、信息泄露等后果后，对社会公众正常生活产生严重影响；影响程度中系统遭受攻击破坏，造成系统无法正常运行、被劫持、信息泄露等后果后，对社会公众正常生活产生一定影响；影响程度低系统遭受攻击破坏，造成系统无法正常运行、被劫持、信息泄露等后果后，对社会公众正常生活影响较小或无影响。表2 系统特征情况分析记录表 系统名称主要硬件设备类型、数量、服务器、器、交换机、防火墙、磁盘阵列、磁带库设备品牌浪潮、曙光、联想、方正、华为、中兴、天融信、启明星辰、绿盟、联想网御等IBM、HP、DELL、Cisco、Juniper、H3C等。 2. 重点检查主要设备类型、、设备类型操作系统数据库设备红旗、麒麟、金仓、达梦等Windows、RedHat、HP-Unix、AIX、Solaris、Oracle、DB2、SQL Server等。 （三）工业控制系统类型与构成情况 通过调阅资产清单、现场查看、上机检查等方式，检查工业控制系统类型和构成情况，汇总记录检查结果（表5）。 工业控制系统类型主要包括数据采集与监控系统、分布式控制系统、过程控制系统、可编程控制器、就地测控设备（仪表、智能电子设备、远端设备）等。 工业控制系统软硬件主要包括：应用服务器－工程师工作站（组态监控软件、系统软件、PC机/服务器）、数据服务器（数据库软件、系统软件、PC机/服务器）等。 表3 系统主要硬件检查记录表 国内品牌数量 浪潮 曙光 联想 方正 其他：