关于开展年度政府信息系统安全检查的通知

关于开展2011年度政府信息系统安全检查的通知县直各有单位：现将焦作市信息化工作领导小组办公室《关于开展2011年度政府信息系统安全检查的通知》转发给你们，望你单位接通知后，高度重视，依照通知要求，认真预备相关材料，于2011年9月5日下午5点前，先将本单位信息安全系统自查报告以纸质形式一式两份，单位一把手签字盖章后上报县工业和信息化局信息科技股，电子版发于wz7232180@163.com。联系人：张丽娟联系电话：7232180

附：《焦作市信息化工作领导小组办公室关于开展2011年度政府信息系统安全检查的通知》武陟县工业和信息化局2011年9月1日焦作市信息化工作领导小组办公室关于开展2011年度政府信息系统安全检查的通知市直各部门，各县（市）区工业和信息化局，焦作新区招商局：为了提高政府信息安全保障能力，保证政府信息系统安全，依照《国务院办公厅关于印发<政府信息系统安全检查方法>的通知》（国办发〔2009〕28号，以下简称《检查方法》）精神、工业和信息化部《2011年度政府信息系统安全检查指南》（工信部协〔2011〕214号）和《河南省信息化工作领导小组办公室关于开展2011年度政府信息系统安全检查的通知》（豫信化办〔2011〕21号）的要求，焦作市信息化工作领导小组办公室（以下简称市信息化办）决定组织开展2011年度政府信息系统安全检查。现将有关事项通知如下：一、检查目的依据国家信息安全有关政策规定，对市直各部门，焦作新区，各县（市）区信息系统进行检查，发觉存在的要紧问题和薄弱环节，进一步健全信息安全治理制度，完善信息安全技术措施，提高信息安全防护能力，保障我市信息化健康进展。二、检查原则坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，统筹安排、突出重点、明确责任、注重实效。各县（市）区、焦作新区信息化主管部门负责组织本地区政府信息系统安全检查工作。市信息化办可提供必要的指导。检查工作以市直各部门、焦作新区、各县（市）区自查为主，市信息化办会同有关部门对市直各部门、焦作新区和各县（市）区统一组织抽查。自查和抽查以托付有资质的信息安全检测机构的检测报告为重要依据。三、检查范围信息系统安全检查的范围是为各部门履行政府职能提供支撑的信息系统，包括自行运行维护治理以及托付其他机构运行维护治理的办公系统、业务系统、网站系统等。涉及民生、社会安全的重要行业信息系统是本年度抽查的重点。涉及国家秘密的信息系统保密检查工作，按照国家保密治理规定执行。四、检查内容（一）信息安全组织治理1.信息安全治理机构及其工作开展情况。（1）组织制定并落实信息安全治理规章制度情况；（2）组织制定信息安全工作打算或工作方案情况；（3）组织开展信息安全教育培训和督促检查工作情况。2.信息安全员及其工作开展情况。（1）各内设机构信息安全员指定情况；（2）信息安全员开展督促、检查和指导等日常工作情况。（二）日常信息安全治理1.人员治理。查验相关文档、文件、记录等，重点检查：（1）岗位信息安全和保密责任制落实，特不是重要岗位信息安全和保密协议签订情况；（2）人员离岗离职信息安全治理情况；（3）外部人员访问机房等重要区域治理情况；（4）违反制度规定造成信息安全事件的责任查处情况等。2.资产治理。查验相关文档、台帐、记录等，重点检查：（1）资产治理制度建立及落实情况，资产台帐是否清晰、账物是否相符；（2）办公软件、应用软件等安装与使用情况；（3）计算机及相关设备维修维护、报废销毁治理情况，是否有相应的登记记录等。3.信息技术外包服务安全治理。针对当前政府部门信息技术外包服务安全风险突出的现状，重点检查系统开发、系统集成、运行维护、灾难备份、数据处理、安全检测、系统托管等外包服务的安全治理：（1）服务机构性质与背景情况；（2）服务合同及安全保密协议签订情况，安全责任是否清晰；（3）人员现场服务记录情况，是否有现场服务监管措施；（4）系统维护方式情况，重点排查远程在线服务带来的安全风险；（5）灾难备份服务情况，重点掌握灾难备份中心设立在境外的情况。4.信息技术产品使用治理。重点检查办公用计算机、公文处理软件、信息安全设备、服务器、网络设备等使用产品的安全可控情况，特不是本年度新采购办公用计算机、公文处理软件、信息安全设备是否满足安全可控要求。5.信息安全经费保障。重点检查信息安全防护设施建设、运行、维护、检查及治理等费用是否纳入部门年度预算，以及本年度信息安全经费实际投入情况等。（三）信息安全防护治理1.网络边界防护治理。查看系统总体网络架构、子系统分布、终端节点、区域划分及边界防护措施等，重点检查：（1）网络分区分域合理性；（2）安全防护设备策略配置有效性；（3）互联网接入情况，是否有访问互联网的安全操纵措施，是否留存互联网访问日志并定期进行分析。2.信息系统安全治理。检查信息安全风险评估、等级爱护等安全治理制度落实情况。（1）服务器安全防护。重点检查服务器上应用、服务、端口以及系统补丁等情况，是否关闭了不必要的应用，服务、端口；账户口令强度和更新情况；病毒木马防护情况，是否使用技术工具定期进行漏洞扫描、病毒木马检测。（2）网络设备防护。重点检查网络设备安全策略配置有效性；账号口令强度和更新情况；是否使用技术工具定期进行漏洞扫描。（3）信息安全设备部署及使用。重点检查防病毒、防火墙、入侵检测、安全审计等安全设备部署及使用情况，以及安全策略配置的有效性。3.门户网站安全治理。以防攻击、防挂马、防篡改、防瘫痪、防窃密为目标，对门户网站安全防护情况进行全面检查：（1）系统治理账户和口令，清理无关账户，防止出现空口令、弱口令和默认口令；（2）服务器补丁更新情况，关闭不必要的端口，停止不必要的服务和应用，删除不必要的链接和插件；（3）网站目录结构，删除临时文件，防止敏感信息泄露；（4）信息公布审核制度建立及落实情况；（5）是否使用技术工具定期进行漏洞扫描、木马检测。4.电子邮箱安全治理。重点检查：（1）邮箱使用情况，是否有非本部门人员特不是无关人员使用；（2）账户口令强度及更新情况，是否使用技术措施操纵和治理口令，口令强度是否符合要求、是否定期更新。5.终端计算机安全治理。重点检查：（1）是否采取集中安全治理措施；（2）账户口令强度和更新情况；（3）接入互联网安全操纵措施（如实名接入认证、对计算机IP和MAC地址进行绑定等）；（4）是否使用技术工具定期进行漏洞扫描、病毒木马检测；（5）在非涉密信息系统和涉密信息系统间混用情况；（6）使用非涉密计算机处理涉密信息情况。6.移动存储设备安全治理。重点检查：（1）是否采取集中安全治理措施；（2）是否配备必要的电子消磁或销毁设备；（3）在非涉密信息系统和涉密信息系统间混用情况。（四）信息安全应急治理1.应急预案。重点检查本部门信息安全应急预案制定、修订、备案及宣贯培训情况。2.应急演练。重点检查信息安全应急演练情况；已开展演练的，查看演练文档、记录（包括演练打算、演练方案、演练记录、演练总结报告等）。3.应急技术支援。重点检查是否明确了应急技术支援队伍。已明确的，检查其服务合同及安全保密协议签订情况，了解掌握应急技术支援队伍差不多情况以及开展的技术支援活动。4.灾难备份。重点检查重要数据和重要信息系统备份情况；对采纳社会第三方灾难备份服务的，检查其服务合同及安全保密协议签订情况，了解掌握灾难备份服务设施运维安全治理情况。5.信息安全事件应急处置。重点检查本年度发生的信息安全事件及处置情况；发生过重大信息安全事件的，检查是否进行了及时处置，是否按照要求上报和通报。（五）信息安全教育培训重点检查信息安全和保密形势教育及警示教育情况，领导干部和机关工作人员参加信息安全差不多技能培训情况，信息安全治理和技术人员参加信息安全专业培训情况等。（六）信息安全检查工作1.上一年度发觉问题的整改情况。重点检查：（1）制定的整改打算及采取的整改措施；（2）整改效果以及是否开展了进一步的信息安全风险评估；（3）年度检查情况报告完成情况，是否按市信息化办要求及时报送，报告是否完整准确、符合要求。2.本年度检查工作开展情况。重点检查：（1）检查工作责任制建立和检查工作经费落实情况；（2）检查工作方案制定及组织实施情况；（3）采取的安全保密和风险操纵措施，检查人员、有关文档和数据的安全保密治理情况。3.安全技术检测。组织技术力量，使用必要的技术工具（包括漏洞扫描工具、WEB扫描工具等），对服务器、终端计算机、网络设备以及门户网站等信息系统进行安全扫描和渗透检测，检查主机以及连接因特网的公共服务网站系统和安全相关的信息和配置，发觉危险或不合理的配置，排查病毒木马、安全漏洞等。五、检查方式（一）信息安全自查市直各部门、焦作新区、各县（市）区按照要求认真开展信息安全自查工作，将检查情况形成检查报告。（二）信息安全抽查1.抽查原则。抽查采取“统一要求，分级负责”的原则。2.抽查范围。市信息化办负责组织对沁阳市、孟州市、武陟县、博爱县、解放区、山阳区、市财政局、市人力资源社会保障局、市国土资源局、市统计局、市住房城乡建设局、市水利局、市卫生局、市城乡规划局、市国税局、市地税局、市房管中心、市住房公积金治理中心、中国联通焦作市分公司进行抽查。抽查工作按照《河南省政府信息系统安全检查抽查规范（试行）》组织实施。（三）信息安全检测由市信息化办、县（市）区工业和信息化局托付信息安全检测机构对信息系统进行安全检测。六、整改完善市信息化办、县（市）区工业和信息化局针对检查结果，下发整改通知，各部门对检查中发觉的问题，必须认真整改。市信息化办、县（市）区工业和信息化局及时跟踪整改情况，确保信息安全检查取得实效。整改工作按照《河南省信息系统安全检查整改规范》（另发）执行。七、检查报告按照《检查方法》要求，市直各部门、县（市）区在检查工作完成后及时将检查情况报市信息化办。（一）报告内容和格式检查报告包括主报告和附表。主报告内容应包括：本地、本部门信息安全状况总体评价，2011年信息安全要紧工作情况，检查发觉的要紧问题及整改情况，对信息安全工作的意见和建议等。附表指《2011年信息安全检查情况报告表》（附件1）。主报告的内容和格式按照《2011年信息安全检查情况报告编写参考格式》（附件2）要求撰写。依照检查结果的敏感程度确定检查报告密级，并在检查报告上明确标识。（二）报送程序市直各部门、焦作新区、各县（市）区的自查报告，报市信息化办。同时，依据自查、抽查和安全检测的情况形成全市2011年度政府信息系统检查的报告，上报市政府和省信息化办。（三）报送方式检查报告以市直各部门、焦作新区、县（市）区名义报送市信息化办，包括纸质文档和电子文档（光盘形式）。电子文档应使用符合国家标准《中文办公软件文档格式规范》（GB/T20916-2007）的文档格式。支持国家标准文档格式的国家软件有：金山WPSOffice、永中集成Office、中标普华Office、红旗贰仟RedOffice等。市直各部门、焦作新区、县（市）区涉密信息系统自查情况单独报送市保密局。八、时刻安排（一）信息安全自查。2011年9（二）信息安全抽查。2011年9月11日至2011年10月31日（三）信息安全检测。组织信息安全专业测评机构检测市直各部门信息系统的时刻段为：2011年8月2日至10月20日；县（市）区检测的时刻段为：2011年10月21日至10月31日。具体检测时刻另行通知。（四）整改提高。各级部门按照《河南省政府信息系统安全检查整改规范（试行）》（另发）的要求在规定时刻内完成整改。（五）复查验收。整改工作完成后，由省、市信息化办共同复查验收。复查验收时刻为2012年1月30日至2012年6月30日。九、工作要求（一）要切实加强组织领导。市直各部门，焦作新区、各县（市）区信息化主管部门，要完善检查工作机制，明确分管领导和机构及人员，具体负责信息安全检查工作，落实工作经费，确保检查工作如期顺利完成。要认真填写《2011年政府信息系统安全检查工作联系人信息表》（见附件3），并于2011年8月26日前反馈至（二）要严格按照要求开展检查工作。为保证检查质量，检查工作要严格按照《河南省信息系统安全检查指导方案（试行）》（另发）内容要求实施。（三）要按时上报检查报告。要如实、完整填写《2011年信息安全检查情况报告表》，认真撰写检查报告，并按本文所要求的时刻上报。（四）要由符合检查条件的单位实施检查和检测工作。本次检查能够由部门所属、且具有能力的信息中心等开展检查工作，也可托付外部信息安全专业测评机构协助开展技术检测。全面参与技术检测的外部信息安全专业测评机构应至少满足如下条件：1.事业单位性质；2.开展信息安全检测或相关工作2年以上；3.拥有专业安全检测人员10人以上，全部为机构编制内人员或与机构签订2年以上劳动合同的聘用人员；4.拥有与开展技术检测相适应的安全检测设备与检测工具；5.信息安全和保密治理、项目治理、质量治理、人员治理、教育培训等规章制度健全；6.参与安全检测的人员均为中国公民，无犯罪记录，并与机构签订安全保密协议。（五）要严格按照规定托付外部机构开展检测工作。托付外部信息安全专业测评机构协助开展技术检测，应与机构及人员签订安全保密协议，明确安全保密责任和义务。对检测机构作如下要求：1.遵守国家有关法律法规和信息安全相关政策规定，客观、公正地提供检测服务；2.不得将检测任务分包或转包；3.如实出具检测结果，不得隐瞒检测过程中发觉的问题；4.加强对检测人员的安全保密治理，严格遵守安全保密制度规定；5.不得向其他单位和个人泄露检测数据和检测结果，不得擅自留存相关资料和检测数据，不得利用检测数据谋取利益；6.采取有效措施，防止因技术检测引发信息安全事故。（六）要强化安全保密和风险操纵。加强对检查活动、检查人员以及相关文档和数据的安全保密治理，对重点设备的技术检测进行监督，对接入的检测设备进行风险操纵，周密制定检查工作应急预案，确保被检查信息系统的正常运行。十、总结检查结束后，市信息化办对检查情况进行总结，通报全市信息安全形势和检查结果；对工作成绩突出的单位和个人进行表扬，对问题较多的单位进行批判。关于整改不力，情节严峻的单位，按照国家有关信息安全规定，提交相关部门追究主管领导和当事人责任。联系人：杨建国张继山联系电话：3569391联系地址：焦作市人民路889号（市委、市政府办公大楼）1003室（市工业和信息化局信息化科）附件：1.2011年信息安全检查情况报告表2.2011年信息安全检查情况报告编写参考格式3.2011年政府信息安全检查工作联系人信息表二〇一一年八月附件12011年信息安全检查情况报告一、部门差不多情况部门名称分管信息安全工作的领导（本部门副职领导）eq\o\ac(○,1)姓名：eq\o\ac(○,2)职务：信息安全治理机构（如办公厅）eq\o\ac(○,1)名称：eq\o\ac(○,2)负责人：职务：eq\o\ac(○,3)联系人：电话：信息安全专职工作机构（如信息安全处）eq\o\ac(○,1)名称：eq\o\ac(○,2)负责人：电话：二、信息系统差不多情况信息系统情况eq\o\ac(○,1)信息系统总数：个eq\o\ac(○,2)面向社会公众提供服务的信息系统数：个eq\o\ac(○,3)托付社会第三方进行日常运维治理的信息系统数：个eq\o\ac(○,4)本年度通过风险评估（含安全测评、等级测评）的系统数：个系统定级情况第一级：个第二级：个第三级：个第四级：个第五级：个未定级：个互联网接入情况互联网接入口总数：个其中：□联通接入口数量：个接入带宽：兆□电信接入口数量：个接入带宽：兆□其他：接入口数量：个接入带宽：兆三、日常信息安全治理情况人员治理eq\o\ac(○,1)岗位信息安全责任制度：□已建立□未建立eq\o\ac(○,2)重要岗位人员信息安全和保密协议：□全部签订□部分签订□没有签订eq\o\ac(○,3)人员离岗离职信息安全治理规定：□已制定□未制定eq\o\ac(○,4)外部人员访问机房等重要区域审批制度：□已建立□未建立资产治理eq\o\ac(○,1)资产治理制度：□已建立□未建立eq\o\ac(○,2)设备维修维护和报废治理：□已建立治理制度，且维修维护和报废记录完整□已建立治理制度，但维修维护和报废记录不完整□尚未建立治理制度四、信息安全防护治理情况网络边界防护治理eq\o\ac(○,1)网络访问操纵：□有访问操纵措施□无访问操纵措施eq\o\ac(○,2)网络访问日志：□留存日志□未留存日志eq\o\ac(○,3)安全防护设备策略：□使用默认配置□依照顾用自主配置门户网站安全治理eq\o\ac(○,1)网页防篡改措施：□已部署□未部署eq\o\ac(○,2)网站信息公布治理：□已建立审核制度，且审核记录完整□已建立审核制度，但审核记录不完整□尚未建立审核制度电子邮箱安全治理eq\o\ac(○,1)邮箱使用：□仅限本部门工作人员使用□除本部门工作人员外，还有其他人员在使用eq\o\ac(○,2)账户口令治理：□使用技术措施操纵和治理口令强度□无口令强度限制措施终端计算机安全治理eq\o\ac(○,1)终端计算机安全治理方式：□使用统一平台对终端计算机进行集中治理□用户分散治理eq\o\ac(○,2)接入互联网安全操纵措施：□有操纵措施（如实名接入、绑定计算机IP和MAC地址等）□无操纵措施存储介质安全治理eq\o\ac(○,1)存储阵列、磁带库等大容量存储介质安全防护：□外联，但采取了技术防范措施操纵风险□外联，无技术防范措施□不外联eq\o\ac(○,2)移动存储介质治理方式：□集中治理，统一登记、配发、收回、维修、报废、销毁□未采取集中治理方式eq\o\ac(○,3)电子信息消除或销毁设备：□已配备□未配备五、信息安全应急治理情况信息安全应急预案□已制定本年度修订情况：□修订□未修订□未制定信息安全应急演练□本年度已开展□本年度未开展信息安全灾难备份eq\o\ac(○,1)重要数据：□备份□未备份eq\o\ac(○,2)重要信息系统：□备份□未备份eq\o\ac(○,3)灾难备份中心：□境内□境外应急技术支援队伍□部门所属单位□外部专业机构□无六、信息技术产品应用情况服务器总台数：，其中国产台数：使用国产CPU的服务器台数：终端计算机（含笔记本）总台数：，其中国产台数：使用国产CPU的服务器台数：网络交换设备（路由器、交换机等）总台数：，其中国产台数：操作系统eq\o\ac(○,1)服务器操作系统情况：安装Windows操作系统的服务器台数：安装Linux操作系统的服务器台数：安装其他操作系统的服务器台数：eq\o\ac(○,2)终端计算机操作系统情况：安装Windows操作系统的计算机台数：安装Linux操作系统的计算机台数：安装其他操作系统的计算机台数：数据库总套数：，其中国产套数：公文处理软件（终端计算机安装）安装国产公文处理软件的终端计算机台数：安装国外公文处理软件的终端计算机台数：信息安全产品eq\o\ac(○,1)安装国产防病毒产品的终端计算机台数：eq\o\ac(○,2)防火墙（不含终端软件防火墙）台数：其中国产防火墙的台数：七、信息安全教育培训情况培训人数本年度同意信息安全教育培训的人数：人占本部门总人数的比例：%培训次数本年度开展信息安全教育培训的次数：次专业培训本部门信息安全治理和技术人员参与专业培训：人次八、信息安全经费预算投入情况经费预算本年度信息安全经费预算额：万元经费投入本年度信息安全经费投入额：万元（上一年度信息安全经费投入额：万元）九、信息安全经费预算投入情况本年度安全技术检测结果病毒木马等恶意代码检测结果eq\o\ac(○,1)进行过病毒木马等恶意代码检测的服务器台数：其中感染恶意代码的服务器台数：eq\o\ac(○,2)进行过病毒木马等恶意代码检测的终端计算机台数：其中感染恶意代码的终端计算机台数：漏洞检测结果eq\o\ac(○,1)进行过漏洞扫描的服务器台数：其中存在漏洞的服务器台数：存在高风险漏洞的服务器台数：eq\o\ac(○,2)进行过漏洞扫描的终端计算机台数：其中存在漏洞的终端计算机台数：存在高风险漏洞的终端计算机台数：本年度信息安全事件统计门户网站受攻击情况本部门入侵检测设备检测到的门户网站受攻击次数：网页被篡改情况门户网站网页被篡改（含内嵌恶意代码）次数：设备违规使用情况eq\o\ac(○,1)使用非涉密终端计算机处理涉密信息事件数：eq\o\ac(○,2)终端计算机在非涉密系统和涉密系统间混用事件数：eq\o\ac(○,3)移动存储介质在非涉密系统和涉密系统间交叉使用事件数：十、信息技术外包服务机构情况（包括参与技术检测的外部专业机构）外包服务机构1机构名