承县安协办〔2013〕2号
承德县网络与信息安全协调小组办公室
关于开展2013年度信息安全检查的通知
各乡镇、县直各部门、各有关单位:
为加强全县网络与信息系统安全,按照市网络与信息安全协调小组统一部署,从即日起开展我县2013年度信息安全检查工作。请各乡镇、各部门(单位)结合自身实际,按照《承德县2013年信息安全检查实施方案》要求,制定工作计划,认真做好检查工作。
附件:承德县2013年度信息安全检查实施方案
承德县网络与信息安全协调小组办公室
2013年8月26日
附件
承德县2013年度信息安全检查实施方案
一、检查目的
通过检查进一步落实信息安全责任,增强信息安全意识,查找突出问题和薄弱环节,全面排查安全隐患和安全漏洞,分析评估信息安全状况和防护水平,有针对性地采取管理和技术防护措施,促进安全防范水平和安全可控能力提升,预防和减少重大信息安全事件的发生,切实保障信息安全。
二、检查范围
安全检查的范围包括全县各级政务部门、重要信息系统和城市供水供气供热等市政领域。重点检查事关国家安全和社会稳定,对地区、部门或行业正常生产生活具有较大影响的重要网络与信息系统(含工业控制系统)的安全防护情况。涉及国家秘密的信息系统安全检查,按照国家保密管理规定和标准执行。
三、检查内容
(一)信息安全管理情况。
按照国家信息安全政策和标准规范要求,建立健全信息安全管理规章制度及落实情况。重点检查信息安全主管领导、管理机构和工作人员履职情况,信息安全责任制落实及事故责任追究情况,人员、资产、采购、外包服务等日常安全管理情况,信息安全经费保障情况等。
(二)技术防护情况。
网络与信息系统防病毒、防攻击、防篡改、防瘫痪、防泄密等技术措施及有效性。包括技术防护体系建立情况;网络边界防护措施,不同网络或信息系统之间安全隔离措施,互联网接入安全防护措施,无线局域网安全防护策略等;服务器、网络设备、安全设备等安全策略配置及有效性,应用系统安全功能配置及有效性;终端计算机、移动存储介质安全防护措施;重要数据传输、存储的安全防护措施;采用数字证书进行系统防护的措施等。
(三)应急工作情况。
按照县网络与信息安全事件应急预案要求,建立健全信息安全应急工作机制情况。重点检查信息安全事件应急预案制修订情况,应急预案演练情况;应急技术支撑队伍、灾难备份与恢复措施建设情况,重大信息安全事件处置及查处情况等。
(四)安全教育培训情况。
重点检查信息安全和保密形势宣传教育、领导干部和各级人员信息安全技能培训、信息安全管理和技术人员专业培训情况等。
(五)安全问题整改情况。
重点检查以往信息安全检查和技术检测中发现问题的整改情况,包括整改措施、整改效果及复查情况,以及类似问题的排查情况等,分析安全威胁和安全风险,进一步评估总体安全状况。
四、检查方式
按照“谁主管谁负责、谁运行谁负责”的原则,信息安全检查工作以各乡镇、各部门(单位)自查为主,同时,县网络与信息安全协调小组办公室将对部分重点单位和重要系统进行安全抽查。
(一)安全自查
各乡镇、各部门结合实际统筹安排本单位信息安全自查工作。
1、自查内容见附表。
2、自查要求。各乡镇、各部门(单位)参照本工作方案,结合实际组织制定信息安全检查实施方案,印发检查部署文件,明确自查范围、责任部门、工作安排及工作要求等相关内容,并认真组织实施。可组织开展抽查,督促自查单位开展自查工作,了解掌握自查工作进展情况,采取技术手段深入发现安全问题和薄弱环节,并及时研究解决检查工作中遇到的重大问题。
3、总结上报。工作完成后,各乡镇、各部门(单位)要对检查情况进行全面汇总总结,填写检查结果统计表,认真梳理存在的主要问题,分析评估安全风险,撰写检查总结报告。
(二)安全抽查
县网络与信息安全协调小组办公室将组织专门人员随机对各乡镇、各部门的自查情况进行抽查。
1、现场抽查。重点检查被抽查单位自查工作组织开展情况,网络架构、安全区域划分的合理性,网络边界防护措施的完备性,服务器、网络设备、安全设备等的安全策略配置、应用系统安全功能配置及其有效性,重要数据传输、存储的安全防护措施。
2、外部检测。使用专业设备对我县党政机关网站、重点新闻网站病毒木马、信息篡改等安全问题以及安全漏洞和隐患情况进行远程检测评估。
五、时间安排
(一)自查时间安排。
检查工作自本工作方案印发之日起启动。
2013年9月6日前,各乡镇、各部门(单位)将加盖公章的检查总结报告、检查结果统计表(附件),以与之涉密程度相应的信函或人工报送至县网络与信息安全协调小组办公室。
文件及附件可从cdxwlaq@163.com邮箱下载,密码3116951。
(二)抽查时间安排。
抽查工作自9月9日起启动,10月31日前完成。
六、工作要求
(一)加强领导,落实责任。
各乡镇、各部门(单位)要把信息安全检查工作列入重要议事日程,加强组织领导,明确检查责任,建立并落实信息安全检查工作责任制,明确检查工作负责人、检查机构和检查人员,安排并落实检查工作经费,保证检查工作顺利进行。
(二)认真检查、深入学习。
各乡镇、各部门(单位)要全面细致开展检查工作,深入查找安全问题和隐患,确保检查工作不走过场、不漏环节、不留死角,要把检查工作做为检验和提升安全保障能力和水平的重要途径和手段,同时也要把检查特别是自查做为一个深入学习的过程,对照检查方案和附件内容认真研究,全面了解信息安全管理工作和技术防范内容、知识,进一步明确本乡镇、本部门信息安全工作目标和任务,有针对性的查找不足和隐患。
(三)即查即改,确保实效。
各乡镇、各部门(单位)对检查中发现的问题要及时整改,因条件不具备暂时不能整改的问题应采取临时防范措施,保证系统安全正常运行。县网络与信息安全协调小组办公室将及时对检查中发现的问题通报给相关单位,督促相关单位组织风险研判并落实整改措施。
(四)控制风险,强化保密。
各乡镇、各部门(单位)和承担抽查任务的专业技术队伍要针对检查工作技术性强的特点,强化风险控制措施,周密制定应急预案,确保被检查信息系统的正常运行和重要数据安全。要高度重视保密工作,对检查中有关人员、相关文档和数据进行严格管理,确保检查数据和检查结果不被泄露。
七、联系方式:
通信地址:县工业和信息化局(县网络与信息安全协调小组办公室)
邮政编码:067000
联系电话:3116951
邮 箱:cdxgxjxxg@163.com
附件:信息安全检查结果统计表
附件
信息安全检查结果统计表(县直单位、乡镇)
乡镇/部门/单位名称: | |||||||||||||||
一、重要信息系统安全检查情况 | |||||||||||||||
基本情况 | 重要信息系统总数: (请另附系统清单) | ||||||||||||||
(按服务对象 进行统计) | 1. 面向社会公众提供服务的系统数量: 2. 不面向社会公众提供服务的系统数量: | ||||||||||||||
(按联网情况 进行统计) | 1. 通过互联网可直接访问的系统数量: 2. 通过互联网不能直接访问的系统数量: 其中,与互联网物理隔离的系统数量: | ||||||||||||||
(按数据集中情况进行统计) | 1. 全国数据集中的系统数量: 2. 省级数据集中的系统数量: 3. 未进行数据集中的系统数量: | ||||||||||||||
(按业务连续性进行统计) | 1. 可容忍中断时间小于30分钟的系统数量: 2. 可容忍中断时间大于30分钟、小于12小时的系统数量: 3. 可容忍中断时间大于12小时的系统数量: | ||||||||||||||
(按灾备情况 进行统计) | 1. 进行系统级灾备的系统数量: 2. 仅对数据进行灾备的系统数量: 3. 无灾备的系统数量: | ||||||||||||||
系统 构成情况 | 主要硬件和软件 | 服务器 | 路由器 | 交换机 | 防火墙 | 磁盘阵列 | 磁带库 | 操作系统 | 数据库 | ||||||
国内品牌数量 (台/套) | |||||||||||||||
国外品牌数量 (台/套) | |||||||||||||||
业务应用 软件系统 (统计3年内数据) | 1. 自主设计开发(不含二次开发)的套数: 2. 委托国内厂商开发的套数: 委托国外厂商开发的套数: 3. 直接采购国内厂商产品的套数: 直接采购国外厂商产品的套数: | ||||||||||||||
二、重要工业控制系统安全检查情况 | |||||||||||||||
基本情况 | 重要工业控制系统运营单位总数: 家 重要工业控制系统总数: 套 | ||||||||||||||
系统类型情况 | 国内品牌 | 国外品牌 | |||||||||||||
数据采集与监控(SCADA)系统 | 套 | 套 | |||||||||||||
分布式控制系统(DCS) | 套 | 套 | |||||||||||||
过程控制系统(PCS) | 套 | 套 | |||||||||||||
可编程控制器(PLC) | 台 | 台 | |||||||||||||
工业控制网络 连接情况 | 1. 直接与互联网连接的重要工业控制系统数量: 套 2. 与内部局域网连接的重要工业控制系统数量: 套 3. 含有无线接入方式的重要工业控制系统数量: 套 | ||||||||||||||
运行维护情况 | 1. 采用远程方式运行维护的重要工业控制系统数量: 套 2. 由国内厂商提供运行维护服务的重要工业控制系统数量: 套 3. 由国外厂商提供运行维护服务的重要工业控制系统数量: 套 | ||||||||||||||
信息安全 防护情况 | 1. 网络边界处架设网络安全设备的重要工业控制系统数量: 套 2. 安装防病毒软件或设备的重要工业控制系统数量: 套 3. 定期进行安全更新的重要工业控制系统数量: 套 4. 采取加密措施传输、存储敏感数据的重要工业控制系统数量: 套 | ||||||||||||||
三、本年度信息安全事件及技术检测情况 | |||||||||||||||
信息安全事件情况 | 特别重大信息安全事件次数: 重大信息安全事件次数: 较大信息安全事件次数: 一般信息安全事件次数: | ||||||||||||||
注: 本表所称恶意代码,是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。
本表所称高风险漏洞,是指计算机硬件、软件或信息系统中存在的严重安全缺陷,利用这些缺陷可完全控制或部分控制计算机及信息系统,对计算机及信息系统实施攻击、破坏、信息窃取等行为。
承德县网络与信息安全协调小组办公室 2013年8月26日印