-
- 0839-3260270
为进一步加强网络与信息安全保障工作,维护公众利益和国家安全,根据四川省经济和信息化委员会《关于印发四川省贯彻落实<国务院办公厅关于开展重点领域网络与信息安全检查行动的通知>工作方案的通知》(川经信函〔2012〕975号)文件要求,现决定开展全市重点领域网络与信息安全检查工作,为确保检查行动取得实效,特制定本工作方案。
一、检查目的
通过开展重点领域网络与信息安全检查,全面掌握我市重要网络与信息系统基本情况,分析面临的安全威胁和风险,评估安全防护水平,查找突出问题和薄弱环节,以有针对性地采取防范对策和改进措施,加强网络与信息系统安全管理、技术防护和人才队伍建设,促进安全防护能力和水平提升,预防和减少重大信息安全事件的发生,切实保障网络与信息安全。
二、检查范围
此次检查的范围包括政府信息系统,金融、能源、通信、交通、广播电视、国防军工、医疗卫生、教育、水利、环境保护、民用核设施、钢铁、有色、化工、装备制造等重点行业网络与信息系统,以及城市轨道交通、供水供气供电等市政领域网络与信息系统。对事关国家安全和社会稳定,对地区、部门或行业正常生产生活具有较大影响的重要网络与信息系统(含工业控制系统),进行重点检查。
三、检查方式
此次检查按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,采取自查与抽查相结合,以自查为主的方式开展。
各自查单位要从本单位抽调熟悉业务、具备信息安全知识、技术能力较强的人员负责自查工作,同时也可委托服务机构协助开展自查工作。
四、检查工作组
按照要求,市经信委、市公众信息网、互联网管理中心,市公安局、市安全局、市保密局、市密码局组成广元市重点领域网络与信息安全检查工作组,共同完成检查工作。工作组设在市经信委 (以下简称市检查工作组)
在具体实施安全检查时,将综合采用人员访谈、文档查阅、现场核查、工具测试、人工检测、渗透测试等方法进行。
五、切实做好自查工作
(一)自查工作组织机构。
各县区政府、负责组织本地区政府信息系统,以及城市轨道交通、供水供气供电等市政领域网络与信息系统自查工作。市级各部门、相关单位负责组织金融、能源、通信、交通、广播电视、国防军工、医疗卫生、教育、水利、环境保护、民用核设施、钢铁、有色、化工、装备制造等重点行业网络与信息系统自查工作。
(二)自查工作要点。
1.自查工作实施。
(1)各自查单位可参看《重点领域网络与信息安全自查操作指南》(见附件 1)开展自查。
(2)市信息化领导小组办公室将组织市经信委、市公众信息网、互联网管理中心,市公安局、市安全局、市保密局、市密码局等相关职能部门,督促自查单位做好自查工作,了解掌握自查工作进展情况,帮助发现存在的安全问题和薄弱环节;采取技术手段,帮助发现安全漏洞和隐患,分析安全风险,评估安全防护能力。若检查力量不足,可委托符合条件的第三方专业技术机构承担相应的检查任务。
2.自查工作总结和上报。
各县区政府、市级各部门、相关单位要高度重视信息安全检查工作,认真组织,确保检查工作顺利开展并取得实效。自查工作完成后,认真研究存在的主要问题和薄弱环节,综合分析网络与信息系统面临的安全威胁和风险,评估安全防护能力和水平,总结所采取的整改措施及整改效果,认真填写检查情况报告表(重点领域网络与信息安全检查情况报告表见附件 2)。在以上工作基础上,形成自查工作总结报告(重点领域网络与信息安全自查报告参考格式见附件 3),连同检查情况报告表,按时报送市检查工作组。
(三)信息安全自查工作技术咨询。
为了做好自查工作,负责此次信息安全检查的技术机构按照分工与分区为各部门自查做好技术咨询(重点领域网络与信息安全检查技术咨询工作分工表见附件 4)
六、切实做好抽查工作
按照《检查通知》,市检查工作组所属专业技术队伍将进行安全检查抽查,查找安全漏洞和隐患,评估安全防护能力,研究提出改进和加强安全保障的措施建议。
(一)抽查范围与方式。
抽查范围是《检查通知》中明确的范围。
抽查采取现场检查与外部检测两种方式进行。现场检查时,重点检查被抽查单位的重要网络与信息系统;外部检测时,主要检测与互联网相连的网络与信息系统。
(二)抽查内容。
1.现场检查内容
(1)自查工作进展情况。重点检查:被抽查单位自查工作部署、自查方案制定、自查工作进度等情况。
(2)网络与信息系统基本情况。重点检查:重要网络与信息系统情况,包括:系统的实时性、服务对象、连接互联网情况、数据集中情况、灾备情况、系统停止运行后对主要业务的影响程度、系统遭受攻击破坏后度社会公众的影响程度,主要软硬件设备的类型、数量、生产商,信息技术外包服务类型、服务提供商、服务方式、安全保密协议等。
(3)安全防护措施及隐患情况。重点检查:网络架构、安全区域划分、网络边界安全防护措施,服务器、网络设备、安全设备等安全策略配置及有效性,应用系统安全功能配置及有效性,重要数据传输,存储的安全防护措施,工业控制系统连接互联网情况等,根据密码防护的特殊要求,检查密码设备的部署及安全策略配置情况,密码服务情况等。
使用专业技术工具,对重要设备和应用系统进行病毒木马检测,扫描安全漏洞,采用人工方式对安全漏洞的可利用性进行验证,对于检查中涉及工业控制系统的,使用终端安全检查工具或人工方式检查是否存在移动存储介质交叉使用情况。
2.外部检测内容
通过互联网对被抽查的网络与信息系统进行外部检测,重点对病毒木马、信息篡改等安全问题以及安全漏洞和隐患等情况进行检查,检验安全防护措施的有效性以及系统防病毒、防篡改、防瘫痪、防攻击、防泄漏等能力。
(三)抽查队伍。
本次负责主要检查抽查的技术机构是:四川省信息安全测评中心、四川省保密检查中心、四川省信息系统工程测评中心、国家计算机网络与信息安全管理中心四川分中心、成都市信息系统与软件测评中心(重点领域网络与信息安全检查技术机构负责人联系表见附件 5)。我市协助此次检查抽查任务的部门是:市经信委、市公众信息网、互联网管理中心,市公安局、市安全局、市保密局、市密码局。
(四)抽查对象。
抽查对象:政府信息系统包括重要的政府网站,城市轨道交通、供水供气供电等市政领域的网络与信息系统。
关于抽查工作的具体安排,市检查工作组将另行通知各相关部门和单位。抽查中涉及到的各部门对抽查工作要给予大力支持,明确专人负责抽查工作联络,加强沟通和配合,协调落实抽查队伍所需的工作条件,确保抽查工作顺利完成。
七、加强信息报送工作
(一)为便于了解掌握各县区,市级各部门、相关单位检查工作进展情况,及时沟通和交流信息,各县区政府、市级各部门、相关单位要于8月16日前将信息安全检查联络员名单(重点领域网络与信息安全检查联络员信息报送表见附件 8)发送至市检查工作组,负责同检查工作组的日常联系。
(二)请各县区政府、市级各部门、相关单位于8 月 27 日前将自查表(见附件2)和自查报告(见附件3)报送市检查工作组。
联系人:余开鑫 、 许启恒 , 联系电话:3261365,传真:3264284,邮箱:365445075@qq.com
(四)各县区政府、市级各部门、相关单位在自查中发现重大安全隐患,或出现因检查工作导致的安全问题时,要及时向检查工作组报告(重点领域网络与信息安全检查组联系表见附件 9)。
八、严格时间进度安排
(一)部署阶段:8 月 08 日前完成工作部署。
(二)实施阶段:8 月 08 日~8 月 25 日完成自查和抽查工作。
(三)总结阶段:8 月 27 日前各县区、市级各部门、相关单位将自查表和自查报告报送市检查工作组。9 月 10 日前,配合省检查工作组完成抽查工作。
九、认真落实有关要求
(一)加强整改落实。
各县区、市级各部门、相关单位要按照《检查通知》要求,切实做好整改工作,对检查中发现的问题,要及时进行研究,采取有效措施加以整改。因条件不具备不能立即整改的,要制定整改计划、整改方案及整改时间表,并采取临时防范措施,确保网络与信息系统安全正常运行。要举一反三,在同类系统、同类设备中排查类似问题,切实提高信息系统安全防护水平。检查工作组根据检查情况,对存在突出安全隐患和薄弱环节的地区、部门或行业提出整改建议书,督促进行整改。
(二)认真做好总结。
各县区、市级各部门、相关单位要按照《检查通知》要求,对自查工作进行全面总结,认真撰写自查工作总结报告,如实填写检查情况报告表。总结报告须给出对本部门安全状况的总体判断,给出安全防护能力的判断。填写检查情况报告表时,应避免出现漏项、错项、前后不一致等情况。要根据检查报告内容的敏感程度,确定报告密级并在报告首页明确标识。
(三)加强风险控制。
各县区、市级各部门、相关单位在开展安全检查工作时,要明确相关工作纪律并严格执行。要识别检查中的安全风险,周密制定应急预案,强化风险控制措施,明确发生重大安全问题时的处置流程,确保被检查信息系统的正常运行。要对技术检测活动的安全风险,特别是现场检查中使用的自动化检测工具的安全风险进行评估,防止引入新的风险,并要求相关人员严格遵守操作规程。应对重要数据和配置进行备份,尽量避开业务高峰期进行工具测试。对工业控制系统的技术检测要慎重实施。
需委托外部检测机构进行检测的,要按照《检查通知》要求,对相关检测机构的安全可靠性及技术能力、管理水平等严格把关,明确检测机构和检测人员的安全责任。可参考以下条件选取检测机构:①机构安全可控(如事业单位);②开展信息安全检查或相关工作 2 年以上;③拥有专业安全检查人员 10 人以上,全部为机构编制内人员或与机构签订2年以上劳动合同的聘用人员;④拥有与开展安全检查相适应的安全检测设备与检测工具;⑤信息安全与保密管理、项目管理、质量管理、人员管理、教育培训等规章制度健全;⑥参与安全检查的人员无犯罪记录,并与机构签订安全保密协议。
(四)加强保密管理。
各县区、市级各部门、相关单位要高度重视保密工作,指定专人负责,对检查活动、检查实施人员以及相关文档和数据进行严格管理,确保检查工作中涉及到的国家秘密和商业秘密得到有效控制;对检查人员进行保密培训,确保检查工作中获知的信息不被泄露,检查数据和检查结果不向其他单位透露。
(五)加强工作保障。
各县区、市级各部门、相关单位要加强工作保障,认真做到人员落实、措施落实、经费落实,确保重点领域网络与信息安全检查工作顺利实施。
附件:1.重点领域网络与信息安全检查自查操作指南
2.重点领域网络与信息安全检查情况报告表
3.重点领域网络与信息安全自查报告参考格式
4.重点领域网络与信息安全检查技术咨询分工表
5.重点领域网络与信息安全检查技术机构及负责人联系表
6.广元市网络与信息安全专家组推荐名单
7.重点领域网络与信息安全自查工作进展每周报告表
8.重点领域网络与信息安全检查联络员信息报送表
9.重点领域网络与信息安全检查工作组联系表
附件1
重点领域网络与信息安全
自查操作指南
广元市重点领域网络与信息安全检查工作组
二〇一二年八月
目 录
概 述........................................... - 2 -
一、自查目的................................... - 2 -
二、自查工作流程............................... - 2 -
环节一 自查工作部署............................. - 4 -
一、研究制定自查实施方案....................... - 4 -
二、自查工作动员部署........................... - 6 -
环节二 基本情况自查............................. - 7 -
一、系统基本情况自查........................... - 7 -
二、安全管理情况自查.......................... - 13 -
三、技术防护情况自查.......................... - 18 -
四、应急处置及容灾备份情况自查................ - 20 -
五、安全技术检测.............................. - 21 -
环节三 问题与风险分析.......................... - 23 -
一、主要问题分析.............................. - 23 -
二、国外依赖度分析............................ - 23 -
三、主要威胁分析.............................. - 24 -
环节四 自查工作总结............................ - 26 -
一、自查工作总结.............................. - 26 -
二、自查情况上报.............................. - 26 -
有关工作要求.................................... - 27 -
为指导重点领域信息安全自查工作,依据《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》(国办函〔2012〕102号,以下简称《检查通知》),结合我市实际情况,制定本指南。
本指南主要用于广元市各级政府部门、大型国有企业以及其他有关单位(以下统称自查单位)在开展信息安全自查具体工作时参考。
一、自查目的
通过开展安全自查,进一步梳理、掌握本单位重要网络与信息系统基本情况,查找突出问题和薄弱环节,分析面临的安全威胁和风险,评估安全防护水平,有针对性地采取防范对策和改进措施,加强网络与信息系统安全管理和技术防护,促进安全防护能力和水平提升,预防和减少重大信息安全事件的发生,切实保障本单位网络与信息安全。
二、自查工作流程
信息安全自查主要包括自查工作部署、基本情况自查、问题与风险分析、自查工作总结等4个环节(见图1)
图1 自查工作流程
环节一 自查工作部署
一、研究制定自查实施方案
认真学习《检查通知》,深刻领会文件精神和有关要求,研究制定自查实施方案,并报主管领导批准。
(一)自查实施方案应当明确的内容
自查实施方案应当明确以下内容:(1)自查工作负责人、组织单位和实施机构。(2)自查范围和自查对象。(3)自查工作的组织方式。(4)自查工作时间进度安排。
1. 关于自查范围。此次自查范围是政府信息系统、市政领域的网络与信息系统(含工业控制系统,以下同)。检查的重点是事关国家安全和社会稳定,对本地区、部门正常生产生活具有较大影响的重要网络与信息系统。
2. 关于自查对象。主要指网络与信息系统安全管理与防护涉及到的信息安全综合管理部门、信息化部门、业务部门、生产管理部门、财务部门、人事部门等相关部门。各单位可根据实际情况确定具体的自查对象。
3. 关于自查工作组织。自查单位可成立自查工作组开展检查,也可指定专门机构负责自查实施工作。自查工作组可由本单位信息化与信息安全部门以及相关业务部门中熟悉业务、具备信息安全知识、技术能力较强的人员,以及本单位相关技术支撑机构业务骨干等组成。单位内各部门可指定人员负责协调配合和联络工作。对于有工业控制系统的单位,可考虑生产管理部门参与工业控制系统信息安全检查。
对于信息系统复杂、自查工作涉及部门多的单位,可根据需要成立自查工作领导小组,负责自查工作的组织协调与资源配置。领导小组组长可由本单位信息安全主管领导担任,领导小组成员可包括信息安全综合管理部门负责人(如办公室主任)、信息化部门负责人(如信息中心主任),以及其他相关部门负责人(如人事部门、财务部门、业务部门、生产管理部门领导)等。
(二)应当注意的有关事项
1. 纳入检查范围的网络与信息系统从安全防护的角度应具有相对的独立性。
从安全防护的角度判断网络与信息系统独立性的方法如下:根据系统所承担业务的独立性、责任主体的独立性、网络边界的独立性、安全防护设备设施的独立性四个因素,对网络与信息系统进行全面梳理并综合分析,划分出相对独立的网络与信息系统,并形成网络与信息系统清单,以便于更好地界定检查范围。
2. 关于重要网络与信息系统,可从系统特征的角度,立足本地区、本部门或本行业实际,参考以下标准进行判定:
(1)业务依赖度高。
(2)数据集中度高(省级数据集中)。
(3)实时性要求高。
(4)系统关联性强(发生重大信息安全事件后,会对与其相连的其他系统造成较大影响,并产生连片连锁反应)。
(5)直接面向社会公众提供服务,用户数量庞大,覆盖范围广。
(6)灾备等级高(系统级灾备)。
3. 关于重要工业控制系统,可从发生信息安全事件造成危害的角度,参考以下标准进行判定:
(1)发生重大信息安全事件,致使系统出现严重故障后,可能导致10人以上死亡或50人以上重伤。
(2)发生重大信息安全事件,致使系统出现严重故障后,可能导致5000万元以上直接经济损失。
(3)发生重大信息安全事件,致使系统出现严重故障后,可能影响100万人以上正常生活。
(4)发生重大信息安全事件,致使系统出现严重故障后,可能对与其相连的其他系统造成影响,并产生连片连锁反应。
(5)发生重大信息安全事件,致使系统出现严重故障后,可能对生态环境造成严重破坏。
(6)发生重大信息安全事件,致使系统出现严重故障后,可能对国家安全和社会稳定产生重大影响。
二、自查工作动员部署
自查单位可通过召开会议、下发文件等方式对自查工作进行部署,布置自查工作任务。相关人员要切实落实自查工作责任,各司其职,形成合力,共同推进自查工作。
环节二 基本情况自查
一、系统基本情况自查
(一)系统特征情况
1. 查看系统规划设计方案、安全防护规划设计方案、网络拓扑图等,核实系统的实时性、服务对象、连接互联网情况、数据集中情况、灾备情况等基本情况,记录检查结果(表1)。
表1 系统基本情况检查记录表
|
序号 |
系统名称 |
实时性 |
服务对象 |
连接互联网情况 |
数据集中情况 |
灾备情况 | |||||||
|
实时 |
非实时 |
面向社会公众 |
不面向社会公众 |
采用逻辑隔离措施连接 |
采用逻辑强隔离[1]措施连接 |
不连接 |
省级集中 |
不集中 |
系统级灾备 |
仅数据灾备 |
无灾备 | ||
|
1 |
|||||||||||||
|
2 |
|||||||||||||
|
3 |
|||||||||||||
|
… |
|||||||||||||
2. 根据上述系统基本情况核查结果,分析系统停止运行后对主要业务的影响程度、系统遭受攻击破坏后对社会公众的影响程度等安全特征,记录分析结果(表2)。
(1)关于系统停止运行后对主要业务的影响程度判定标准如下:
影响程度高:系统停止运行后,主要业务无法开展或对主要业务运行产生严重影响;
影响程度中:系统停止运行后,对主要业务运行有一定影响,可用手工等传统方式替代;
影响程度低:系统停止运行后,对主要业务运行影响较小或无影响。
(2)关于系统遭受攻击破坏后对社会公众的影响程度判定标准如下:
影响程度高:系统遭受攻击破坏,造成系统无法正常运行、被劫持、信息泄露等后果后,对社会公众正常生活、公众利益等产生严重影响;
影响程度中:系统遭受攻击破坏,造成系统无法正常运行、被劫持、信息泄露等后果后,对社会公众正常生活、公众利益等产生一定影响;
影响程度低:系统遭受攻击破坏,造成系统无法正常运行、被劫持、信息泄露等后果后,对社会公众正常生活、公众利益等影响较小或无影响。
表2 系统特征情况分析记录表
|
序 号 |
系统名称 |
系统对主要业务的 影响程度 |
系统对社会公众的 影响程度 | ||||
|
高 |
中 |
低 |
高 |
中 |
低 | ||
|
1 |
|||||||
|
2 |
|||||||
|
3 |
|||||||
|
… |
|||||||
(二)系统构成情况
1. 重点检查主要硬件设备类型、数量、生产商(品牌)情况,记录检查结果(表3)。
硬件设备类型主要有:服务器、路由器、交换机、防火墙、磁盘阵列、磁带库及其他主要安全设备。
硬件设备生产商(品牌)按国内、国外两类进行记录。其中,国内主要有浪潮、曙光、联想、方正、华为、中兴、天融信、启明星辰、绿盟、联想网御等,国外主要有IBM、HP、DELL、Cisco、Juniper、H3C等。
2. 重点检查主要软件设备类型、套数、生产商(品牌)情况,记录检查结果(表4)。
软件设备类型主要有:操作系统、数据库及主要业务应用系统。
软件设备生产商(品牌)按国内、国外两类进行记录。其中,国内主要有红旗、麒麟、金仓、达梦等,国外主要有Windows、RedHat、HP-Unix、AIX、Solaris、Oracle、DB2、SQL Server等。
(三)工业控制系统类型与构成情况
通过调阅资产清单、现场查看、上机检查等方式,检查工业控制系统类型和构成情况,汇总记录检查结果(表5)。
工业控制系统类型主要包括数据采集与监控系统、分布式控制系统、过程控制系统、可编程控制器、就地测控设备(仪表、智能电子设备、远端设备)等。
工业控制系统软硬件主要包括:应用服务器-工程师工作站(组态监控软件、系统软件、PC机/服务器)、数据服务器(数据库软件、系统软件、PC机/服务器)等。
表3 信息系统主要硬件检查记录表
|
检查项 |
检查结果 |
| ||||||
|
主 要 硬 件 |
服务器 |
国内品牌数量 |
浪潮 |
曙光 |
联想 |
方正 |
其他: 1. 品牌 ,数量 2. 品牌 ,数量 (如有更多,请另列表) | |
|
国外品牌数量 |
IBM |
HP |
DELL |
其他: 1. 品牌 ,数量 2. 品牌 ,数量 (如有更多,请另列表) | ||||
|
路由器 |
国内品牌数量 |
华为 |
中兴 |
其他: 1. 品牌 ,数量 2. 品牌 ,数量 (如有更多,请另列表) | ||||
|
国外品牌数量 |
Cisco |
Juniper |
H3C |
其他: 1. 品牌 ,数量 2. 品牌 ,数量 (如有更多,请另列表) | ||||
|
交换机 |
国内品牌数量 |
华为 |
中兴 |
其他: 1. 品牌 ,数量 2. 品牌 ,数量 (如有更多,请另列表) | ||||
|
国外品牌数量 |
Cisco |
Juniper |
H3C |
其他: 1. 品牌 ,数量 2. 品牌 ,数量 (如有更多,请另列表) | ||||
|
防火墙 |
国内 |
1. 品牌 ,数量 2. 品牌 ,数量 (如有更多,请另列表) | ||||||
|
国外 |
1. 品牌 ,数量 2. 品牌 ,数量 (如有更多,请另列表) | |||||||
|
其他 |
国内 |
1. 设备类型: ,品牌 ,数量 2. 设备类型: ,品牌 ,数量 (如有更多,请另列表) | ||||||
|
国外 |
1. 设备类型: ,品牌 ,数量 2. 设备类型: ,品牌 ,数量 (如有更多,请另列表) | |||||||
表4 信息系统主要软件检查记录表
|
检查项 |
检查结果 | |||||||
|
主 要 软 件 |
操作系统 |
国内品牌套数 |
红旗 |
麒麟 |
其他:1. 品牌 ,套数 2. 品牌 ,套数 (如有更多,请另列表) | |||
|
国外品牌套数 |
Windows |
RedHat |
HP-Unix |
AIX |
其他: 1. 品牌 ,套数 2. 品牌 ,套数 (如有更多,请另列表) | |||
|
数据库 |
国内品牌套数 |
金仓 |
达梦 |
其他: 1. 品牌 ,套数 2. 品牌 ,套数 (如有更多,请另列表) | ||||
|
国外品牌套数 |
Oracle |
DB2 |
SQLServer |
其他: 1. 品牌 ,套数 2. 品牌 ,套数 (如有更多,请另列表) | ||||
|
其他 |
国内 |
1. 设备类型: ,品牌 ,套数 2. 设备类型: ,品牌 ,套数 (如有更多,请另列表) | ||||||
|
国外 |
1. 设备类型: ,品牌 ,套数 2. 设备类型: ,品牌 ,套数 (如有更多,请另列表) | |||||||
表5 工业控制系统类型与构成情况检查记录表
|
检查项 |
检查结果 | |||
|
国内品牌 |
国外品牌 | |||
|
系统类型情况 |
数据采集与监控(SCADA)系统 |
套 |
套 | |
|
分布式控制系统(DCS) |
套 |
套 | ||
|
过程控制系统(PCS) |
套 |
套 | ||
|
可编程控制器(PLC) |
大型 |
台 |
台 | |
|
中型 |
台 |
台 | ||
|
小型 |
台 |
台 | ||
|
就地测控设备 |
仪表 |
台 |
台 | |
|
智能电子设备(IED) |
台 |
台 | ||
|
远端设备(RTU) |
台 |
台 | ||
|
系统构成情况 |
应用服务器-工程师工作站 |
组态监控软件 |
套 |
套 |
|
系统软件 |
套 |
套 | ||
|
PC机/服务器 |
台 |
台 | ||
|
数据服务器 |
数据库软件 |
套 |
套 | |
|
系统软件 |
套 |
套 | ||
|
PC机/服务器 |
台 |
台 | ||
|
通信设备 |
台 |
台 | ||
(四)信息技术外包服务情况
重点检查信息技术外包服务类型、服务提供商、服务方式、安全保密协议等,记录检查结果(表6)。
服务类型主要有系统集成、软件开发、系统运维、风险评估、安全检测、安全加固、应急支持、数据存储、规划咨询、系统托管、灾难备份等。
服务方式主要有远程在线服务和现场服务。
安全保密协议内容应包括安全责任、违约责任、协议有效期和责任人等内容。对于没有安全保密协议文本,但在外包服务合同中具有相关内容的,视同签订安全保密协议。
表6 信息技术外包服务检查结果记录表
|
检查项 |
检查结果 | |
|
外包服务机构1 |
机构名称 |
|
|
机构性质 |
□国有 □民营 □外资 | |
|
服务内容 |
||
|
服务方式 |
□远程在线服务 □现场服务 | |
|
信息安全与保密协议 |
□已签订 □未签订 | |
|
外包服务机构2 |
机构名称 |
|
|
机构性质 |
□国有 □民营 □外资 | |
|
服务内容 |
||
|
服务方式 |
□远程在线服务 □现场服务 | |
|
信息安全与保密协议 |
□已签订 □未签订 | |
|
外包服务机构3 |
机构名称 |
|
|
机构性质 |
□国有 □民营 □外资 | |
|
服务内容 |
||
|
服务方式 |
□远程在线服务 □现场服务 | |
|
信息安全与保密协议 |
□已签订 □未签订 | |
|
(如有更多,可另列表) | ||
二、安全管理情况自查
(一)信息安全责任制建立及落实情况
重点检查信息安全主管领导、信息安全管理机构、信息安全工作人员履职以及岗位责任、事故责任追究情况等,记录检查结果(表7)。
1. 信息安全主管领导明确及工作落实情况。
检查方法:调阅领导分工等文件,检查是否明确了信息安全主管领导。调阅信息安全相关工作批示和会议记录等文件,了解主管领导工作落实情况。
2. 信息安全管理机构指定及工作落实情况。
检查方法:调阅单位内各部门职责分工等文件,检查是否指定了信息安全管理机构。调阅工作计划、工作方案、管理规章制度、监督检查记录等文件,了解管理机构工作落实情况。
3. 信息安全工作人员配备及工作落实情况。
检查方法:调阅人员列表、岗位职责分工等文件,检查是否配备了信息安全工作人员。访谈信息安全工作人员,调阅工作计划、工作记录、工作报告等文件,检查信息安全工作人员的工作落实情况。
4. 岗位责任和事故责任追究情况。
检查方法:调阅安全事件记录等文件,检查是否发生过因违反制度规定造成的信息安全事故。调阅安全事件处置文件,检查是否对信息安全责任事故进行了查处。
表7 信息安全责任制建立及落实情况检查记录表
|
检查项 |
检查结果 | ||
|
|
1 |
分管信息安全工作的领导 |
①姓名:_______________ ②职务:_______________(本部门正职或副职领导) |
|
|
2 |
信息安全管理机构 |
①名称:___________________ ②负责人:_____________ 职务:________________ ③联系人:_____________ 电话:________________ |
|
|
3 |
信息安全专职工作机构 |
①名称:___________________ ②负责人:_____________ 电话:________________ |
|
|
4 |
信息安全员 |
①本单位内设机构数量:_____________ ②信息安全员数量: _____________ ③专职信息安全员数量:_____________ |
|
|
5 |
岗位责任和事故责任追究 |
①岗位信息安全责任制度: □已制定 □未制定 ②安全责任事故: □发生过:□所有事故均已查处相关责任人 □有事故未查处相关责任人 □未发生过 |
(二)日常安全管理制度建立和落实情况
重点检查人员管理、资产管理、存储介质管理、运行维护管理、年度教育培训等制度建立和落实情况,记录检查结果(表8)。
1. 人员管理制度。
检查方法:调阅人员管理制度等文件,检查是否有岗位信息安全责任、人员离岗离职管理、外部人员访问管理等相关规定。调阅人员信息安全保密协议,检查系统管理员、网络管理员、信息安全员等重点岗位人员是否签订了协议。调阅人员离岗离职记录、人员离岗离职承诺书等文件,抽查离岗离职人员信息系统访问权限终止情况,检查人员离岗离职管理落实情况。调阅外部人员访问审批手续、访问记录等文件,检查外部人员访问管理落实情况及相关记录完整性。
2. 资产[2]管理制度
检查方法:调阅资产管理制度等文件,检查是否有设备发放、使用、维修、维护和报废等相关规定。调阅资产台账,抽取一定比例的在用设备,核查其对应的资产台账记录;随机抽取资产台账中的设备,核查其对应的实物,检查资产台账完整性和账物符合性。调阅设备管理员任命、岗位分工等文件,访谈设备管理员,检查是否指定了专人负责资产管理工作。
3. 存储介质管理制度。
检查方法:调阅存储介质管理制度等文件,检查是否有介质领用、交回、维修、报废、销毁等相关规定,调阅存储介质管理相关记录,检查存储介质管理制度落实情况。访谈网络管理员、数据库管理员,了解存储阵列、磁带库等大容量存储介质是否外联,外联时是否有安全防护措施,是否存在远程维护。
4. 运行维护管理制度。
检查方法:调阅运行维护管理制度等相关文件,检查是否包含备份、应急、监控、审计、变更管理等相关内容。调阅运维操作手册和运维相关记录,检查是否有运维操作手册、运行维护管理制度落实情况及相关记录完整性。
5. 年度教育培训。
检查方法:访谈网络管理员、系统管理员和工作人员,了解信息安全基本防护技能掌握情况,调阅信息安全教育培训制度、培训计划、培训记录、考核记录及试卷等相关文件,检查年度培训计划制定情况、培训记录(培训时间、培训内容、人员签到、培训讲师等内容),确认信息安全管理人员和技术人员培训内容中是否包含专业技能,确认领导干部和机关工作人员培训内容中是否包含信息安全基本技能。
表8 日常安全管理制度建立和落实情况检查结果记录表
|
检查项 |
检查结果 | |
|
1 |
人员管理 |
①重要岗位人员安全保密协议: □全部签订 □部分签订 □未签订 ②人员离岗离职安全管理规定:□已制定 □未制定 ③外部人员访问审批制度:□已制定 □未制定 |
|
2 |
资产管理 |
①资产管理制度:□已制定 □未制定 ②是否指定专人进行资产管理:□是 □否 ③设备维修维护和报废管理制度:□已制定 □未制定 ④设备维修维护和报废记录是否完整:□是 □否 |
|
3 |
存储介质管理 |
①存储介质管理制度:□已制定 □未制定 ②存储介质管理记录:□完整 □不完整 ③大容量存储介质:□外联:□采取了技术防范措施 □未采取技术防范措施 □不外联 |
|
4 |
运行维护管理 |
①日常运维制度:□已制定 □未制定 ②运维操作手册:□已制定 □未制定 ③运维操作记录:□完整 □不完整 |
|
5 |
年度教育培训 |
①年度培训计划:□已制定 □未制定 ②本年度接受信息安全教育培训的人数:_____人 占本单位总人数的比例:_____% ③本年度开展信息安全教育培训的次数:_____次 ④本年度信息安全管理和技术人员参加专业培训:______人次 |
(三)信息安全经费投入情况
重点检查信息安全经费预算和投入情况,记录检查结果(表9)。
1. 本年度信息安全经费预算
检查方法:调阅本年度经费预算文件,检查是否将信息安全防护设施建设、运行、维护以及信息安全相关检查、测评、管理等费用纳入了年度预算,记录本年度信息安全经费预算情况。
2. 上年度信息安全经费投入
检查方法:查阅相关财务文件,记录上一年度信息安全经费实际投入情况。
表9 信息安全经费投入情况表
|
检查项 |
检查结果 | |
|
1 |
本年度信息安全经费预算 |
本年度信息安全预算:□有,预算额:_______万元 □无 |
|
2 |
上年度信息安全经费投入 |
上年度信息安全经费实际投入额:_____________万元 |
三、技术防护情况自查
对纳入检查范围的每一个网络与信息系统、工业控制系统的技术防护情况逐个进行检查,重点检查技术防护体系建设、网络边界安全防护措施、设备安全策略配置、重要数据传输存储安全防护措施等情况,记录检查结果(表10)。
(一)网络边界安全防护措施
检查方法:对照网络拓扑图,检查网络实际连接情况,确认同网络拓扑图一致。分析网络拓扑图,查看网络隔离设备部署、交换机VLAN划分,检查网络是否按重要程度划分安全区域,确认不同区域采用了正确的隔离措施。检查互联网连接情况,统计网络外联的出口个数,检查每个出口是否都进行了安全控制。检查网络边界防护设备部署情况,确认外部网络接入内部网络采用了安全的加密传输方式(如VPN)等。
(二)安全策略或安全功能配置及有效性
检查方法:分别登录服务器、网络设备、安全设备,查看安全策略配置,检查安全策略配置是否合理,并验证其有效性,确认按需开放端口、符合最小服务原则。检查应用系统安全功能配置情况,确认具有身份认证、访问控制、安全审计等安全功能,登录系统验证安全功能的有效性。
(三)重要数据传输、存储安全防护措施
检查方法:登录数据库,查看重要数据,确认加密存储。采用网络嗅探工具抓取访问系统时的通信数据包,检查是否加密传输。访谈数据库管理员,检查重要数据是否进行备份,确认备份方式是本地备份还是异地备份。核查备份数据文件,确认备份周期。
(四)密码技术和设备情况。
检查方法:调阅资产台账,查看在用系统,检查在用的密码设备、密码技术,检查供应商情况、是否具有相应资质。
表10 技术防护情况检查记录表
(每个系统单独成一张表)
|
系统名称 |
_______________________________________________ | |
|
检查项 |
检查结果 | |
|
1 |
网络边界防护 |
①安全域隔离情况:□逻辑强隔离 □逻辑隔离 □无隔离 ②连接互联网情况: □连接互联网: 互联网接入总数:_______个 其中□联通 接入口数量:____个 接入带宽:_____兆 □电信 接入口数量:____个 接入带宽:_____兆 □其他:__________________接入口数量:____个 接入带宽:_____兆 □不连接互联网 ③网络边界防护措施(多选): □访问控制 □安全审计 □边界完整性检查 □入侵防范 □恶意代码防范 □VPN方式接入 □无措施 |
|
2 |
安全防护策略 |
①服务器安全策略:□使用默认配置 □根据应用自主配置 □按需开放端口 □最小服务配置 ②网络设备安全策略:□使用默认配置 □根据应用自主配置 □按需开放端口 □最小服务配置 ③安全设备安全策略:□使用默认配置 □根据应用自主配置 □按需开放端口 □最小服务配置 ④应用系统安全功能:□身份验证 □访问控制 □安全审计 |
|
3 |
重要数据防护 |
①传输防护:□加密 □未加密 ②存储防护:□加密 □未加密 ③备份:□本地备份 □异地备份 □未备份 |
|
4 |
密码技术防护 |
□使用密码产品:□硬件产品 □软件产品 □未使用密码产品 |
四、应急处置及容灾备份情况自查
重点检查应急预案制修订、应急演练和灾备措施情况,记录检查结果(表11)。
(一)信息安全事件应急预案制定和修订情况
检查方法:调阅应急预案文本、预案年度评估记录和修订记录等文件,检查应急预案制定和修订情况。
(二)预案演练及相关人员对预案的熟悉程度
检查方法:调阅应急预案宣传材料、预案培训记录,访谈系统管理员、网络管理员和工作人员,询问对应急预案的熟悉程度。
(三)灾难备份和恢复措施建设情况
检查方法:查看重要网络设备、通信线路和服务器连接情况,检查重要设备是否提供硬件冗余。分析网络拓扑图,检查重要业务系统是否配备本地或异地系统级热备份的功能。
(四)应急资源配备和建设情况
检查方法:调阅服务合同或服务协议,检查是否明确了应急技术支援队伍,确认应急技术支援队伍的响应时间。查看备机备件,或调阅设备生产商、代理商服务合同,检查是否已建立了明确的备机备件库或有备机备件供应渠道。
表11 应急处置及容灾备份情况检查结果记录表
|
检查项 |
检查结果 | |
|
1 |
信息安全应急预案 |
①应急预案:□已制定 □未制定 ②预案评估:□本年度已评估 □本年度未评估 □从未评估 |
|
2 |
应急演练 |
□本年度已开展 □本年度未开展 □从未开展 |
|
3 |
灾难备份 |
①重要系统:□全部备份 □部分备份 □未备份 ②重要数据:□全部备份 □部分备份 □未备份 |
|
4 |
应急资源 |
①应急支援队伍:□部门所属队伍 □外部专业机构 □无 ②备机备件:□已配备 □有供应渠道 □未配备 |
五、安全技术检测
(一)工具检测
使用检测工具检测操作系统、数据库、网络设备、安全设备、应用系统等的端口、应用、服务及补丁更新情况,检测是否关闭了不必要的端口、应用、服务,是否存在安全漏洞。
常用的检测工具有:漏洞扫描工具、密码安全检测工具、数据库安全检测工具、协议分析工具、应用安全扫描工具、SQL注入工具等。
(二)渗透测试
组织专业技术力量,采取模拟攻击方式对系统进行渗透测试,检验系统防入侵、防攻击、防泄漏、防篡改等能力。
工业控制系统检查中,要慎重使用攻击性测试手段。
环节三 问题与风险分析
对检查中发现的问题和面临的威胁风险进行分析,记录分析结果(表12)。
一、主要问题分析
1. 从安全管理和技术防护两个方面,对检查中发现的主要问题及薄弱环节逐一进行研究,深入分析问题产生的直接原因以及深层次的原因,研究提出相应的改进措施。
2. 从法律法规、政策制度、技术手段三个方面,分析制约本单位系统安全防护能力提高的主要因素,包括当前不适应安全管理工作或缺失的法律法规及政策制度,安全防护中缺少或严重不足的技术手段等,研究提出关于加强信息安全工作的意见和建议等。
二、国外依赖度分析
根据对主要软硬件设备和信息技术外包服务的检查情况,统计国外产品和服务所占的比例,分析系统对国外产品和服务的依赖程度,记录分析结果。
系统对国外产品和服务的依赖程度按以下标准判定:
1. 高依赖:国外停止产品更新升级、终止技术支持等服务后,信息系统无法运行。
2. 中依赖:国外停止产品更新升级、终止技术支持等服务后,信息系统能够运行,但系统功能、性能等受较大影响。
3. 低依赖:国外停止产品更新升级、终止技术支持等服务后,信息系统能够正常运转或受影响较小。
三、主要威胁分析
根据安全检测发现的漏洞和隐患,分析系统存在的安全风险,判断面临的安全威胁程度以及具备的安全防护能力,评估系统总体安全状况。
1. 系统面临的安全威胁程度按以下标准判定
系统具有下述特征之一的,为高安全威胁:(1)连接互联网,采用远程在线方式进行运维或对国外产品和服务高度依赖;(2)跨地区联网运行或网络规模大、用户多,采用远程在线方式进行运维或对国外产品和服务高度依赖;(3)存在其他可能导致系统中断或系统运行受严重影响、大量敏感信息泄露等的威胁。
系统具有下述特征之一的,为中安全威胁:(1)连接互联网,对国外产品和服务中度依赖;(2)跨地区联网运行或网络规模大、用户多,对国外产品和服务中度依赖;(3)存在其他可能导致系统运行受较大影响、敏感信息泄露等的威胁。
系统具有下述特征之一的,为低安全威胁:(1)连接互联网,对国外产品和服务依赖度低;(2)跨地区联网运行或网络规模大、用户多,对国外产品和服务依赖度低;(3)存在其他可能导致系统运行受影响、信息泄露等的威胁。
2. 系统安全防护能力按以下标准判定
安全防护能力高:经组织专业技术力量对系统进行攻击测试,不能通过互联网进入或控制系统。
安全防护能力中:经组织专业技术力量对系统进行攻击测试,能够通过互联网进入或控制系统,但进入或控制系统的难度较高。
安全防护能力低:经组织专业技术力量对系统进行攻击测试,能够轻易通过互联网进入或控制系统。
表12 问题和威胁分析记录表
|
序 号 |
系统名称 |
系统对国外产品和服务的依赖程度 |
系统面临的 威胁程度 |
系统安全 防护能力 | |||||||
|
高 |
中 |
低 |
高 |
中 |
低 |
高 |
中 |
低 | |||
|
1 |
|||||||||||
|
2 |
|||||||||||
|
3 |
|||||||||||
|
… |
|||||||||||
环节四 自查工作总结
一、自查工作总结
自查工作完成后,各单位应及时对自查工作情况进行全面总结,对自查过程中发现的问题和薄弱环节进行认真研究,对面临的安全威胁和风险进行分析评估,对问题产生的原因进行深入剖析,阐述改进措施及整改情况,编写形成信息安全自查报告,按照要求填写完成检查情况报告表。对于存在多个重要信息系统或工业控制系统的,在填写检查情况报告表时应附系统清单。
可组织专家对自查报告进行评估,评估自查记录是否客观,自查内容是否全面,自查结论是否合理,自查报告是否完整规范。
二、自查情况上报
各部门自查报告完成后,应及时报送市检查工作组。
有关工作要求
一、边检查边整改
自查单位要切实做好整改工作,检查中发现问题要及时采取有效措施加以整改。因条件不具备不能立即整改的,要制定整改计划及整改方案,并采取临时防范措施,确保网络与信息系统安全正常运行。要举一反三,在同类系统、同类设备中排查类似问题,切实提高信息系统安全防护水平。
二、认真做好总结
自查单位要按照《检查通知》要求,进行全面总结,认真撰写自查报告,如实填写检查情况报告表。自查报告须给出对本单位安全状况和安全防护能力的总体判断。填写检查情况报告表时,应避免出现漏项、错项、前后不一致等情况。要根据检查报告内容的敏感程度,确定报告密级并在报告首页明确标识。
三、加强风险控制与保密管理
(一)加强风险控制
在开展安全检查工作时,要明确相关工作纪律并严格执行。要识别检查中的安全风险,周密制定应急预案,强化风险控制措施,明确发生重大安全问题时的处置流程,确保被检查信息系统的正常运行。要对技术检测活动的安全风险进行评估,防止引入新的风险,并要求相关人员严格遵守操作规程。应对重要数据和配置进行备份,尽量避开业务高峰期进行技术检测。对工业控制系统的技术检测要慎重实施。
需委托外部检测机构进行检测的,要按照《检查通知》要求,对相关检测机构的安全可靠性及其技术能力、管理水平等严格把关,明确检测机构和检测人员的安全责任。可参考以下条件选取检测机构:①机构安全可控(如事业单位);②开展信息安全检查或相关工作2年以上;③拥有专业安全检查人员10人以上,全部为机构编制内人员或与机构签订2年以上劳动合同的聘用人员;④拥有与开展安全检查相适应的安全检测设备与检测工具;⑤信息安全与保密管理、项目管理、质量管理、人员管理、教育培训等规章制度健全;⑥参与安全检查的人员无犯罪记录,并与机构签订安全保密协议。
(二)加强保密管理
各县区、各部门和有关重点行业要高度重视保密工作,指定专人负责,对检查活动、检查实施人员以及相关文档和数据进行严格管理,确保检查工作中涉及到的国家秘密和商业秘密得到有效控制;对检查人员进行保密培训,确保检查工作中获知的信息不被泄露,检查数据和检查结果不向其他单位透露。
附件2
重点领域网络与信息安全检查情况报告表
|
市、县、区/部门/行业名称: |
| ||||||||||||||||||||||||||
|
一、重要信息系统安全检查情况 | |||||||||||||||||||||||||||
|
基本情况 |
重要信息系统总数 (请另附系统清单,以下同) | ||||||||||||||||||||||||||
|
(按实时性进行统计) |
1. 非实时运行的系统数量 2. 实时运行的系统数量 | ||||||||||||||||||||||||||
|
(按服务对象进行统计) |
1. 面向社会公众提供服务的系统数量 2. 不面向社会公众提供服务的系统数量 | ||||||||||||||||||||||||||
|
(按联网情况进行统计) |
1. 直接连接互联网的系统数量 2. 同互联网强逻辑隔离的系统数量 3. 与互联网物理隔离的系统数量 | ||||||||||||||||||||||||||
|
(按数据集中情况进行统计) |
1. 全国数据集中的系统数量 2. 省级数据集中的系统数量 3. 未进行数据集中的系统数量 | ||||||||||||||||||||||||||
|
(按灾备情况进行统计) |
1. 进行系统级灾备的系统数量 2. 仅对数据进行灾备的系统数量 3. 无灾备的系统数量 | ||||||||||||||||||||||||||
|
系统 构成情况 |
主要硬件和软件 |
服务器 |
路由器 |
交换机 |
防火墙 |
磁盘阵列 |
磁带库 |
操作系统 |
数据库 | ||||||||||||||||||
|
国内品牌数量(台/套) |
|||||||||||||||||||||||||||
|
国外品牌数量(台/套) |
|||||||||||||||||||||||||||
|
业务应用 软件系统 |
1. 自主设计开发(不含二次开发)的数量 2. 委托国内厂商开发的数量 委托国外厂商开发的数量 3. 直接采购国内厂商产品的数量 直接采购国外厂商产品的数量 | ||||||||||||||||||||||||||
|
信息技术外包服务 |
服务商名称:
|
服务商性质:□国有 □民营 □外资 服务内容: 服务方式:□远程在线服务 □现场服务 | |||||||||||||||||||||||||
|
(如有更多,请另列表) | |||||||||||||||||||||||||||
|
安全状况分析结果 |
信息系统对国外产品和服务的依赖程度 |
主要业务 对信息系统的依赖程度 |
信息系统 面临的安全威胁程度 |
信息系统 安全防护能力 | |||||||||||||||||||||||
|
信息系统名称 |
高 |
中 |
低 |
高 |
中 |
低 |
高 |
中 |
低 |
高 |
中 |
低 | |||||||||||||||
|
1. |
|||||||||||||||||||||||||||
|
2. |
|||||||||||||||||||||||||||
|
(如有更多,请另列表) | |||||||||||||||||||||||||||
|
二、重要工业控制系统安全检查情况 | |||||||||||||||||||||||||||
|
基本情况 |
重要工业控制系统运营单位总数: 家 重要工业控制系统总数: 套 | ||||||||||||||||||||||||||
|
系统类型情况 |
国内品牌 |
国外品牌 | |||||||||||||||||||||||||
|
数据采集与监控(SCADA)系统 |
套 |
套 | |||||||||||||||||||||||||
|
分布式控制系统(DCS) |
套 |
套 | |||||||||||||||||||||||||
|
过程控制系统(PCS) |
套 |
套 | |||||||||||||||||||||||||
|
可编程控制器(PLC) |
大型 |
台 |
台 | ||||||||||||||||||||||||
|
中型 |
台 |
台 | |||||||||||||||||||||||||
|
小型 |
台 |
台 | |||||||||||||||||||||||||
|
就地测控设备 |
仪表 |
台 |
台 | ||||||||||||||||||||||||
|
智能电子设备(IED) |
台 |
台 | |||||||||||||||||||||||||
|
远端设备(RTU) |
台 |
台 | |||||||||||||||||||||||||
|
系统构成情况 |
应用服务器-工程师工作站 |
应用软件 |
套 |
套 | |||||||||||||||||||||||
|
系统软件 |
套 |
套 | |||||||||||||||||||||||||
|
PC机/服务器 |
台 |
台 | |||||||||||||||||||||||||
|
数据服务器 |
数据库软件 |
套 |
套 | ||||||||||||||||||||||||
|
系统软件 |
套 |
套 | |||||||||||||||||||||||||
|
PC机/服务器 |
台 |
台 | |||||||||||||||||||||||||
|
通信设备 |
台 |
台 | |||||||||||||||||||||||||
|
工业控制网络 连接情况 |
1. 直接与互联网连接的重要工业控制系统数量: 套 2. 与内部网络连接的重要工业控制系统数量: 套 3. 含有无线接入方式的重要工业控制系统数量: 套 | ||||||||||||||||||||||||||
|
运行维护情况 |
1. 采用远程方式运行维护的重要工业控制系统数量: 套 2. 由国内厂商提供运行维护服务的重要工业控制系统数量: 套 3. 由国外厂商提供运行维护服务的重要工业控制系统数量: 套 | ||||||||||||||||||||||||||
|
信息安全 防护情况 |
1. 网络边界处架设网络安全设备的重要工业控制系统数量: 套 2. 安装防病毒软件或设备的重要工业控制系统数量: 套 3. 定期进行安全更新的重要工业控制系统数量: 套 4. 采取加密措施传输、存储敏感数据的重要工业控制系统数量: 套 | ||||||||||||||||||||||||||
附件3
重点领域网络与信息安全自查报告参考格式
一、自查报告名称
×××(部门/单位名称)信息安全自查报告
二、自查报告组成
自查报告包括主报告和检查情况报告表两部分。
三、主报告内容要求
(一)信息安全自查工作组织开展情况。
概述此次安全检查工作组织开展情况、所检查的重要网络与信息系统基本情况。
(二)信息安全工作情况。
对照《检查通知》要求,逐项、详细描述本部门(单位)在安全管理、技术防护、应急处置与灾备等方面工作的检查结果。
(三)自查发现的主要问题和面临的威胁分析。
1. 发现的主要问题和薄弱环节
2. 面临的安全威胁与风险
3. 整体安全状况的基本判断
(四)改进措施与整改效果。
1. 改进措施
2. 整改效果
(五)关于加强信息安全工作的意见和建议。
四、信息安全检查情况报告表要求
检查情况报告表应如实填写,不要出现漏项、错项、前后不一致等情况。
附件4
重点领域网络与信息安全检查技术咨询分工表
|
序号 |
A组 四川省信息 安全测评中心 |
B组 国家保密科技 测评中心 (四川)分中心 |
C组 四川省信息 系统工程 测评中心 |
D组 国家计算机网络与信息安全管理中心四川分中心 |
E组 成都市信息系统与软件 测评中心 |
|
1 |
市发改委 |
市公安局 |
市经信委 |
市民政局 |
市国资委 |
|
2 |
市国土局 |
广元国安局 |
市教育局 |
市水务局 |
市人力资源社会保障局 |
|
3 |
市环保局 |
市监察局 |
市科技和知识产权局 |
市农业局 |
市商务局 |
|
4 |
市规划建设和住房局 |
市司法局 |
市财政局 |
市林业园林局 |
市文体和新闻出版局 |
|
5 |
市交通运输局 |
市委外宣办 |
市卫生局 |
市人口计生委 |
市粮食局 |
|
6 |
市审计局 |
市法院 |
市工商局 |
市广电局 |
市检察院 |
|
7 |
市地税局 |
市委机要局 |
广元质监局 |
市统计局 |
市城管执法局 |
|
8 |
市国税局 |
市法制办 |
市安监局 |
市公路局 |
市防震减灾局 |
|
9 |
市旅游局 |
市人防办 |
市扶贫移民局 |
市外侨办 |
市档案局 |
|
10 |
市白龙湖管理局 |
市保密局 |
广元银监分局 |
广元电业局 |
市畜牧食品局 |
|
11 |
市宗教局 |
市煤炭管理局 |
市食品药品监管局 |
市招商引资局 |
市社科联 |
|
12 |
市信访局 |
市以工代赈办 |
市重点办 |
市住房公基金管理中心 |
市红十字会 |
|
13 |
苍溪县 |
旺苍县 |
剑阁县 |
青川县 |
利州区 |
|
14 |
朝天区 |
元坝区 |
广元经济开发区管委会 |
市天然气综合利用园区管委会 |
附件5
重点领域网络与信息安全检查技术机构及负责人联系表
|
单位 |
姓名 |
所在部门 |
职务 |
办公电话 |
手机 |
|
四川省信息安全测评中心 |
王丹琛 |
中心 |
副主任 |
028-86627719 |
13800789511 |
|
许 宁 |
中心 |
总工 |
028-86627719 |
13982056510 | |
|
国家保密科技测评中心 (四川)分中心 |
邓小晶 |
中心 |
主任 |
028-86600752 |
18602835355 |
|
莫炼森 |
中心 |
工程师 |
028-86600155 |
18615763070 | |
|
四川省信息系统工程 测评中心 |
卿立银 |
四川省电子产品监督检验所 |
副所长 |
028-84855188 |
13980076989 |
|
冯 丽 |
测评中心 |
主任 |
028-84863748 |
18980075758 | |
|
国家计算机网络与信息安全管理中心四川分中心 |
古利勇 |
技术保障处 |
高工 |
028-87019237 |
13668192337 |
|
周木军 |
技术保障处 |
工程师 |
028-87019237 |
133500877831 | |
|
成都市信息系统与软件 测评中心 |
周 军 |
测评中心 |
副主任 |
028-85123386-8088 |
18980815511 |
|
黄晓明 |
企业服务部 |
经理 |
028-86038722 |
13709009848 | |
|
陈爽 |
测评中心 |
安全工程师 |
028-85123386-8048 |
13982286665 |
附件6
广元市网络与信息安全专家组推荐名单
|
姓名 |
性别 |
职务/职称 |
专 业 |
工作单位 |
|
肖冰 |
男 |
通信工程师 |
计算机通信 |
广元市公安局 |
|
蒲建昕 |
男 |
高级工程师 |
通信工程 |
零八一电子集团有限公司四川红轮机械有限公司 |
|
唐茂华 |
男 |
通信工程师 |
光纤通信 |
四川省通信产业服务有限公司广元市分公司 |
|
李武 |
男 |
副教授 |
计算机及应用 |
四川信息职业技术学院 |
|
王居邦 |
男 |
通信工程师 |
通信工程 |
中国联通广元分公司 |
|
杨朝松 |
男 |
通信工程师 |
载波通信 |
中国移动广元分公司 |
|
何晓荣 |
男 |
计算机网络中级 |
计算机网络 |
四川广电网络广元分公司 |
|
冯艳 |
女 |
通信工程师 |
英语 |
中国电信广元分公司 |
附件7
重点领域网络与信息安全自查工作进展每周报告表
|
报送单位 (市县区、部门、行业) |
|||
|
报送人 |
联系方式 |
||
|
工作周期 |
月 日~ 月 日 | ||
|
一、检查工作进展情况 二、发现的重大问题及处置情况 三、其他情况
| |||
附件8
重点领域网络与信息安全检查联络员信息报送表
|
姓名 |
单位 |
所在 部门 |
职务 |
办公电话 |
手机 |
传真 |
邮箱 |
附件9
重点领域网络与信息安全检查工作组联系表
|
姓名 |
职务 |
工作单位 |
办公电话 |
手机 |
传真 |
|
王保志 |
副主任 |
市经信委 |
3266522 |
18908125678 |
3264284 |
|
余开鑫 |
科长 |
市经信委 |
3261365 |
13980152508 | |
|
阳俊林 |
副处长 |
市公安局 |
5201120 |
13981297168 | |
|
陆旭东 |
副处长 |
市安全局 |
3306504 |
13981258189 | |
|
薛双 |
科长 |
市保密局 |
3263953 |
13330758123 | |
|
范曦 |
科长 |
市密码局 |
3265218 |
13981260816 | |
|
彭正松 |
科长 |
市互联网管理中心 |
3266929 |
13308122045 | |
|
吴本学 |
副科长 |
市公众信息网 |
3265649 |
13330750211 |
[1] 逻辑强隔离指使用逻辑强隔离设备(使用正向、反向或双向网闸)进行的网络隔离。
[2]本指南所称资产指软硬件设备等信息技术相关资产。
关于开展2012全市网络与信息安全检查行动的工作方案.doc
