开展重点领域网络与信息安全检查行动的通知〉工作方案》的实施

1、附件：贯彻落实湖南省政府办公厅关于开展重点领域网络与信息安全检查行动的通知工作方案的实施方案长沙市工业和信息化委员会二o二年八月贯彻落实湖南省政府办公厅关于开展重点领域网络与信息安全检查行动的通知工作方案的实施方案根据湖南省网络与信息安全协调小组办公室关于贯彻落实湖南省政府办公丿丁关于开展垂点领域网络与信息安全检杳行 动的通知工作方案的通知（湘网络信息安全2012） 1号）（以 下简称信息安全检查方案）耍求，为切实做好信息安全检 查方案贯彻落实工作，指导推进长沙市重点领域网络与信息安 全检查行动，确保检查行动取得实效，参照省的工作方案，结合 我市的实际情况，特制订本实施方案。一、检查目的通过开

2、展重点领域网络与信息安全检查，全面掌握我市重要 网络与信息系统的基本情况，分析面临的安全威胁和风险，评估 安全防护水平，查找突出问题和薄弱环节，以有针对性地采取防 范对策和改进措施，加强网络与信息系统安全管理、技术防护和 人才队伍建设，促进安全防护能力和水平提升，预防和减少重大 信息安全事件的发生，切实保障网络与信息安全。二、检查范围此次检查的范围及检查重点如下：（一）检查范围。包括三个方面：一是政府信息系统。二是能源（包括电力、石油天然气、石化、煤炭）、通信（包 插电信网、互联网）、交通、广播电视、医疗卫生、教育、水利、 环境保护、钢铁、有色、化工、装备制造等重点行业的网络与信 息系统（含工

3、业控制系统，以下同）。三是城市轨道交通、供水供气等市政府领域的网络与信息系 统。（二）检查重点。1、网络与信息安全基本情况。系统特征，包括系统停止运 行后对主要业务的影响程度，系统遭受攻击破坏后对社会公众的 影响程度等；系统构成，包括主要软硬件设备的类型、数量、工 产商等；信息系统外包服务，包括服务类型、服务提供商、服务 方式、安全保密协议等。2、安全管理情况。信息安全责任制建立及落实情况，包括 信息安全主管领导、信息安全管理机构、信息安全工作人员履职 以及岗位责任、事故责任追究情况等；按照等级保护国家信息安 全有关政策和标准规范建立和落实日常安全管理制度情况，包括 人员管理、资产管理、存储介

4、质管理、运行维护管理、年度教育 培训制度等；信息安全经费投入情况。3、技术防护情况。按照等级保护、密码防护等标准规范要 求，建立健全技术防护体系的情况；网络边界安全防护措施，包 括不同网络或信息系统之间安全隔离措施、接入互联网或内部网 络的安全控制措施等；服务器、网络设备、安全设备等的安全策略配置情况，应用系统安全功能配置及有效性等；重要数据传输、 存储和安全防护措施；根据密码防护的特殊要求，检查在用的密 码技术、密码设备和密码服务情况。4、应急处置及容灾备份情况。信息安全事件应急预案制定 和修订情况，预案演练情况及相关人员对预案的熟悉程度；灾难 备份与恢复措施建设情况，应急资源（技术支撑队伍

5、、备机备件 等）配备和建设情况。三、检查方式检查按照“谁主管谁负责、谁运行谁负责”的原则，采取自 查与抽查相结合、以自查为主的方式开展。四、切实做好自查工作（一）自查工作组织机构。长沙市工业和信息化委员会负责全市重点领域网络与信息 安全检查行动的组织、协调和指导工作1. 市直各单位负责本部门的政府信息系统自查工作。2. 各区县（市）、开发区工业和信息化部门负责组织本地政府 信息系统以及城市轨道交通、供水供气等市政领域网络与信息系 统自查工作。3. 有关重点行业主管或监管部门负责组织本行业口查工 作。根据信息安全检查方案，各行业自查工作组织部门如下 表所示：有关重点行业自查工作组织（信息安全主管

6、或监管）部门表序号重点行业或领域自查工作组织部门序号重点行业或领域自查工作组织部门1电力市电业局10通信（电信网、 互联网）2石油天然气市能源局11钢铁市工信委3煤炭市煤建办12有色4公路市交通局13右化5广播电视市文广新局14装备制造6医疗卫生市卫生局157教育市教育局168水利市水务局179环境保护市环保局18（二）市直各部门自查工作要点。1. 各部门按照信息安全检查方案要求，参照信息安全 自查操作指南开展本部门的自查工作。2. 自查工作完成后，各部门要对检查中发现的问题和薄弱环 节进行认真研究，综合分析本部门面临的安全威胁和风险，评估 安全防护能力和水平，给出本部门重要网络与信息系统整体

7、安全 状况的判断，总结所采取的整改措施及整改效果，认真填写检查 情况报告表。在以上工作基础上，形成本部门自查工作总结报告,连同检查情况报告表，及时报送长沙市工业和信息化委员会。（三）区县（市）、开发区自查工作要点。1. 自查工作部署。各区县（市）、开发区工业和信息化部门按照信息安全检查 方案要求，结合区县（市）、开发区实际情况，组织制定检查行 动实施方案，确定自查范围和责任单位，重点是区县（市）、开发 区局办机关、市政领域重要系统运营单位等。明确安全检查的工 作安排、具体对象、时间进度、工作要求等。各区县（市）、开发区工业和信息化部门可根据实际，组织开 展相应的检查培训，促进提高本区县（市）、

8、开发区相关单位自查 工作能力；开展信息通报，加强本区域自查工作的信息交流。2. 自查工作实施。（1）各区县（市）、开发区自查单位，参照信息安全自查操 作指南开展口查。（2）各区县（市）、开发区工业和信息化部门会同本级公安、 安全、保密、密码等相关职能部门，成立联合督查组，督促自查 单位开展自查工作，了解掌握自查工作进展情况，帮助发现存在 的安全问题和薄弱环节；釆取技术手段，帮助发现安全漏洞和隐 患，分析安全风险，评估安全防护能力。3自查工作总结和上报。各区县（市）、开发区自查单位将自查报告报送本区县（市）、开发区工业和信息化部门。各区县（市）、开发区工业和信息化部门负责组织汇总整理本区域自查单

9、位上报的自查报告，结合督查 情况，认真研究存在的主要问题和薄弱环节，综合分析本区域重 要网络与信息系统面临的安全威胁和风险，评估安全防护能力和 水平，给出本区域重要网络与信息系统整体安全状况的判断，总 结所采取的整改措施及整改效果，认真填写检查情况报告表。在 以上工作基础上，形成本区域自查工作总结报告，连同检查情况 报告表，及时报送长沙市工业和信息化委员会。（四）各重点行业自查工作要点。1. 自查工作部署。各重点行业主管或监管部门要按照信息安全检查方案要 求，明确行业自查工作的责任部门和负责人，根据本行业实际情 况，参考本工作方案，组织制定本行业检查行动实施方案，确定 自查范围和责任单位，印发

10、检查文件或转发信息安全检查方 案，明确安全自查的工作安排、具体对象、时间进度、工作要 求等。各重点行业主管或监管部门可根据行业实际，组织开展相应 的检查培训，促进提高本行业相关单位自查工作能力；开展信息 通报，加强本行业自查工作的信息交流。2. 自查工作实施。（1 ）各重点行业自查单位可参照信息安全自查操作指南 开展自查。（2）各重点行业主管或监管部门可组织成立督查组，对自查单位进行抽查，督促自查单位开展自查工作，了解掌握自查工 作进展情况，帮助发现存在的安全问题和薄弱坏节；采取技术手 段，帮助发现安全漏洞和隐患，分析安全风险，评估安全防护能 力。若检查力量不足，可委托符合条件的第三方专业评测

11、机构承 担相应的检查任务。3. 自查工作总结和上报。自查工作完成后，自查单位将安全自查报告报送本行业主 管或监管部门。各重点行业主管或监管部门负责组织汇总整理本行业自查 单位上报的自查报告，结合抽查情况，认真研究存在的主要问题 和薄弱环节，综合分析本行业重要网络与信息系统面临的安全威 胁和风险，评估安全防护能力和水平，给出本行业重要网络与信 息系统整体安全状况的判断，总结所采取的整改措施及整改效 果，认真填写检查情况报告表。在以上工作基础上，形成本行业 自查工作总结报告，连同检查情况报告表，在及时报上级主管部 门的同时，抄送长沙市工业和信息化委员会。五、切实做好抽查工作长沙市工业和信息化委员会

12、将根据各区县（市）、开发区和市 直各单位口查工作的进展，组织专业技术队伍，选择部分重点单 位（企业）进行抽查，查找安全漏洞和隐患，评估安全防护能力, 研究提出改进和加强安全保障的措施建议。（一）抽查范围与方式。抽查范围是信息安全检查方案中明确的范围。抽查采取 现场检查与外部检测两种方式进行。现场检查时，重点检查被抽 查单位的重要网络与信息系统；外部检测时，主要检测与互联网 相连的网络与信息系统。(二) 抽查内容。1. 现场检查内容(1) 自查工作进展情况。重点检查：被抽查单位自查工作 部署、自查方案制定、自查工作进度等情况。(2) 网络与信息系统基本情况。重点检查重要网络与信息 系统情况，包括

13、：系统的实时性、服务对象、连接互联网情况、 数据集屮情况、灾备情况，系统停止运行后对主要业务的影响程 度、系统遭受攻击破坏后对社会公众的影响程度，主要软硬件设 备的类型、数量、生产商，信息技术外包服务类型、服务提供商、 服务方式、安全保密协议等。(3) 安全防护措施及隐患情况。重点检查：网络架构、安 全区域划分、网络边界安全防护措施，服务器、网络设备、安全 设备等的安全策略配置及有效性，应用系统安全功能配置及有效 性，重要数据传输、存储的安全防护措施，工业控制系统连接互 联网情况等。根据密码防护的特殊要求，检查密码设备的部署及 其安全策略配置情况、密码服务情况等。使用专业技术工具，对重要设备和

14、应用系统进行病毒木马检测，扫描安全漏洞，采用人工方式对安全漏洞的可利用性进行验证。对于检查中涉及工业控制系统的，使用终端安全检查工具或 人工方式检查是否存在移动存储介质交叉使用情况。2. 外部检测内容通过互联网对被抽查的网络与信息系统进行外部检测，重点 对病毒木马、信息篡改等安全问题以及安全漏洞和隐患等情况进 行检查，检验安全防护措施的有效性以及系统防病毒、防篡改、 防瘫痪、防攻击、防泄密等能力。关于抽查工作的具体安排，长沙市工业和信息化委员会将另 行发文通知各相关部门和单位。抽查中涉及到的行业主管或监管 部门、有关地方及其他相关单位对抽查工作要给予大力支持，明 确专人负责抽查工作联络，加强沟

15、通与配合，协调落实抽查队伍 所需的工作条件，确保抽查工作顺利完成。六、加强信息报送工作（-）为便于了解掌握各区县（市）、开发区、各部门、有关 重点行业检查工作进展情况，及时沟通和交流信息，各区县（市）、 开发区、市直部门、各重点行业主管或监管部门自8月23日起, 每周三将本区域、本部门、本行业自查工作进展情况以传真方式 （格式参见附件1）发送长沙市工业和信息化委员会。长沙市工 业和信息化委员会汇总个区县（市）、开发区、各部门、各重点行 业检查工作进展情况，每周四发送省网络与信息安全协调小组办 公室。各区县（市）、开发区、各市直部门、各重点行业主管或监管部门要明确一名干部作为联络员，负责同长沙市

16、工业和信息化委 员会的日常联系。（二）各区县（市）、开发区、各部门和有关重点行业在自查 中发现重大安全隐患，或出现因检查工作导致的跨区县、跨部门 或跨行业安全问题时，要及时向长沙市工业和信息化委员会报 告。七、严格时间进度安排（一）自查时间进度安排1. 部署阶段：8月23日8月25 ho8月27日前，各相关单位将联络员名单报送长沙市工业和信 息化委员会（联络员信息报送表见附件2,长沙市工业和信息化 委员会联系方式见附件3）。2. 实施阶段：8月26日9月4日。3总结上报阶段：9月5日9月7日。（二）抽查时间进度安排1. 实施时间：9月8日9月15日；2总结上报阶段：9月16日9月20日。（三）

17、检查行动总结时间安排9月20日前，提出总报告报省网络与信息安全协调小组办公 室。八、认真落实有关要求（一）加强整改落实。各区县（市）、开发区、各部门和有关单位要按照信息安全 检查方案要求，切实做好整改工作，对检查中发现的问题，要 及时进行研究，采取有效措施加以整改。因条件不具备不能立即 整改的，要制定整改计划、整改方案及整改时间表，并采取临时 防范措施，确保网络与信息系统安全止常运行。要举一反三，在 同类系统、同类设备屮排杳类似问题，切实提高信息系统安全防 护水平。市专业技术队伍根据检查情况，对存在突出安全隐患和 薄弱环节的区县（市）、开发区、部门或行业提出整改建议书，督 促进行整改。（二）认

18、真做好总结各区县（市）、开发区、各部门和有关重点行业要按照信息 安全检查方案要求，对区县（市）、本开发区、本部门、本行业 自查工作进行全面总结，认真撰写自查工作总结报告（格式参见 附件4）,如实填写检查情况报告表。总结报告须给出本区县（市）、 开发区、本部门、本行业安全状况的总体判断，给出安全防护能 力的判断。填写检查情况报告表时，应避免出现漏项、错项、前 后不一致等情况。要根据检查报告内容的敏感程度，确定报告密 级并在报告首页明确标识。（三）加强风险控制各区县（市）、开发区、各部门和有关重点行业在开展安全检查工作时，要明确相关工作纪律并严格执行。要识别检查中的安全风险，周密制定应急预案，强化

19、风险控制措施，明确发生重大安全问题时的处置流程，确保被检查信息系统的正常运行。要对 技术检测活动的安全风险进行评估，防止引入新的风险，并要求 相关人员严格遵守操作规程。应对重要数据和配置进行备份，尽 量避开业务高峰期进行工具测试。需委托外部检测机构进行检测时，要按照湖南省政府办公 丿丁关于开展重点领域网络与信息安全检查行动的通知要求，对 相关检测机构的安全可靠性及其技术能力、管理水平等严格把 关，明确检测机构和检测人员的安全责任。可参考以下条件选取 检测机构：机构安全可控（如事业单位）；开展信息安全检 查或相关工作2年以上；拥有专业安全检查人员10人以上， 全部为机构签订2年以上劳动合同的聘用人员；拥有与开展安 全检查相适应的安全检测设备与检测工具；信息安全与保密管 理、项目管理、质量管理、人员管理、教育培训等规章制度健全; 参与安全检查的人员无犯罪记录，并与机构签订安全保密协 议。（四）加强保密管理。各区县（市）、开发区、各部门和有关重点行业要高度重视保 密工作，指定皆人负责，对检查活动、检查实施人员以及相关文 档和数据进行严格管理，确保检查工作中涉及到的国家秘密和商 业秘密得到有效控制；对检查人员进行保密培训，确保检查工作 中获知的信息不被泄露，检查数据和检查结果不向其他单位透附件：1.信息安全自查工作进展每周报告（格式）2. 信息安全检查联络员信息报送表3. 长沙市工业