來源:辦公室 | 日期:2013-9-17 | 點擊率:3473 |
為指導各級單位開展信息安全自查工作,依據《國務院辦公廳關于印發<政府信息系統安全檢查辦法>的通知》(國辦發?2009?28号)、《國務院關于大力推進信息化發展和切實保障信息安全的若幹意見》(國發?2012?23号)、《國務院辦公廳關于開展重點領域網絡與信息安全檢查行動的通知》(國辦發?2012?102号)等文件精神,參照《信息安全技術政府部門信息安全管理基本要求》(GB/T 29245-2012)等國家信息安全技術标準規範,制定本指南。政府信息系統安全檢查辦法>
本指南供2013年度各級政府部門開展信息安全自查工作時參考。其他單位也可參考本指南結合實際開展信息安全自查工作。
1概述
1.1自查目的
通過開展常态化的信息安全自查,進一步落實我省各地區、各部門重點領域信息安全責任,增強人員信息安全意識,認真查找突出問題和薄弱環節,全面排查安全隐患和安全漏洞,分析評估信息安全狀況和防護水平,有針對性地采取管理和技術防護措施,促進安全防範水平和安全可控能力提升,預防和減少重大信息安全事件的發生,切實保障信息安全。
1.2自查工作流程
信息安全自查工作流程通常包括自查工作部署、信息系統基本情況梳理、日常工作情況自查、安全技術檢測、自查總結整改等五個環節,如圖1所示。
圖1信息安全自查工作流程圖
1.3自查時間安排
1.自查工作部署階段:即日起~8月上旬。
2.自查工作實施及總結階段:8月中旬~9月中旬。
3.各地市及省直政府廳局總結上報階段:9月30日之前。
2自查工作部署
信息安全自查工作部署通常包括制定自查方案、成立自查工作組、下達自查通知等具體工作。
2.1制定自查方案
本單位信息安全管理部門根據國家信息安全主管部門關于2013年信息安全檢查工作的統一安排,結合工作實際,制定自查方案,并報本單位信息安全主管領導批準。
自查方案應當明确以下内容:(1)自查工作負責人、組織機構和具體實施機構;(2)自查範圍和自查重點;(3)自查内容;(4)自查工作組織開展方式;(5)自查工作時間進度安排;(6)有關工作要求。
1.關于自查範圍。自查的範圍通常包括本單位各内設機構,以及為本單位信息系統(包括辦公系統、業務系統、網站系統等)提供運行維護支撐服務的下屬單位。可根據本單位信息安全保障工作需要,将其他為本單位信息系統提供運維服務、對本單位信息系統安全可能産生重大影響的相關單位納入自查範圍。
2.關于自查重點。在對各類信息系統進行全面自查的基礎上,應突出重點,對事關國家安全和社會穩定,對地區、部門或行業正常生産生活具有較大影響的重要信息系統進行重點自查。
3.關于重要信息系統,可根據本單位實際,參考以下标準進行判定:
(1)關系國家安全和社會穩定。
(2)業務依賴度高。
(3)數據集中度高(全國或省級數據集中)。
(4)業務連續性要求高。
(5)系統關聯性強(發生重大信息安全事件後,會對與其相連的其他系統造成較大影響,并産生連片連鎖反應)。
(6)面向社會公衆提供服務,用戶數量大,覆蓋範圍廣。
(7)災備等級高(系統級災備)。
2.2成立檢查工作組
本單位信息安全管理部門制定完成自查方案後,應及時成立自查工作組;組織開展培訓,保證工作組成員熟悉自查方案,掌握自查内容、自查工具使用方法等。
工作組成員通常由信息安全管理及運維部門、信息化部門有關人員,相關業務部門中熟悉業務、具備信息安全知識的人員,以及本單位相關技術支撐機構的業務骨幹等組成。
2.3下達檢查通知
本單位信息安全管理部門應以書面形式部署信息安全自查工作,明确自查時間、自查範圍、自查内容、工作要求等具體事項。
3信息系統基本情況梳理
對信息系統進行全面梳理,目的是及時掌握本單位信息系統基本情況,特别是變更情況,以便針對性地開展信息安全管理和防護工作。
3.1基本信息梳理
查驗信息系統規劃設計方案、安全防護規劃設計方案、網絡拓撲圖等相關文檔,訪談信息系統管理人員與工作人員,了解掌握系統基本信息并記錄結果(表1),包括:
a)主要功能、部署位置、網絡拓撲結構、服務對象、用戶規模、業務周期、運行高峰期等;
b)業務主管部門、運維機構、系統開發商和集成商、上線運行及系統升級日期等;
c)定級情況、數據集中情況、災備情況等。
表1系統基本信息梳理記錄表(每個系統一張表)
編号 |
|
系統名稱 |
|
主要功能 |
|
部署位置 |
|
網絡拓撲結構 |
|
服務對象 |
|
用戶規模 |
|
業務周期 |
|
業務主管部門 |
|
運維機構 |
|
系統開發商 |
|
系統集成商 |
|
上線運行及最近一次系統升級時間 |
|
定級情況 |
|
數據集中情況 |
|
災備情況 |
3.2系統構成情況梳理
3.2.1主要硬件構成
重點梳理主要硬件設備類型、數量、生産商(品牌)情況,記錄結果(表2)。
硬件設備類型主要有:服務器、路由器、交換機、防火牆、終端計算機、磁盤陣列、磁帶庫及其他主要安全設備。
表2信息系統主要硬件構成梳理記錄表
檢查項 |
檢查結果 | |||||||||||
服務器 |
品牌 |
浪潮 |
曙光 |
聯想 |
方正 |
IBM |
HP |
DELL |
||||
數量 |
||||||||||||
其他: 1.品牌,數量 2.品牌,數量(如有更多,可另列表) | ||||||||||||
路由器 |
品牌 |
華為 |
中興 |
H3C |
Cisco |
Juniper |
||||||
數量 |
||||||||||||
其他: 1.品牌,數量 2.品牌,數量(如有更多,可另列表) | ||||||||||||
交換機 |
品牌 |
華為 |
中興 |
H3C |
Cisco |
Juniper |
||||||
數量 |
||||||||||||
其他: 1.品牌,數量 2.品牌,數量(如有更多,可另列表) | ||||||||||||
防火牆 |
1.品牌,數量 2.品牌,數量(如有更多,可另列表) | |||||||||||
終端計算機(含筆記本) |
品牌 |
聯想 |
方正 |
長城 |
HP |
DELL |
三星 |
索尼 |
||||
數量 |
||||||||||||
其他: 1.品牌,數量 2.品牌,數量(如有更多,可另列表) | ||||||||||||
其他 |
1.設備類型:,品牌,數量 2.設備類型:,品牌,數量 (如有更多,可另列表) | |||||||||||
3.2.2主要軟件構成
重點梳理主要軟件類型、套數、生産商(品牌)情況,記錄結果(表3)。
軟件類型主要有:操作系統、數據庫、公文處理軟件及主要業務應用系統。
表3信息系統主要軟件構成梳理記錄表
檢查項 |
檢查結果 | |||||||||||
操作系統 |
品牌 |
紅旗 |
麒麟 |
Windows |
RedHat |
HP-Unix |
AIX |
Solaris | ||||
數量 |
||||||||||||
其他: 1.品牌,數量 2.品牌,數量(如有更多,可另列表) | ||||||||||||
數據庫 |
品牌 |
金倉 |
達夢 |
Oracle |
DB2 |
SQLServer |
||||||
數量 |
||||||||||||
其他: 1.品牌,數量 2.品牌,數量(如有更多,可另列表) | ||||||||||||
公文處理軟件 |
品牌 |
|||||||||||
數量 |
||||||||||||
其他 |
1.設備類型:,品牌,數量 2.設備類型:,品牌,數量 (如有更多,可另列表) | |||||||||||
3.2.3工業控制系統類型與構成
若自查單位不涉及工業控制系統,此部分不列入自查工作範圍。
通過調閱資産清單、現場查看、上機檢查等方式,檢查工業控制系統類型和構成情況,彙總記錄檢查結果(表4)。
工業控制系統類型主要包括數據采集與監控系統、分布式控制系統、過程控制系統、可編程控制器、就地測控設備(儀表、智能電子設備、遠端設備)等。
工業控制系統軟硬件主要包括:應用服務器-工程師工作站(組态監控軟件、系統軟件、PC機/服務器)、數據服務器(數據庫軟件、系統軟件、PC機/服務器)等。
表4工業控制系統類型與構成情況檢查記錄表
檢查項 |
檢查結果 | |||
國内品牌 |
國外品牌 | |||
系統類型情況 |
數據采集與監控(SCADA)系統 |
套 |
套 | |
分布式控制系統(DCS) |
套 |
套 | ||
過程控制系統(PCS) |
套 |
套 | ||
可編程控制器(PLC) |
大型 |
台 |
台 | |
中型 |
台 |
台 | ||
小型 |
台 |
台 | ||
就地測控設備 |
儀表 |
台 |
台 | |
智能電子設備(IED) |
台 |
台 | ||
遠端設備(RTU) |
台 |
台 | ||
系統構成情況 |
應用服務器-工程師工作站 |
組态監控軟件 |
套 |
套 |
系統軟件 |
套 |
套 | ||
PC機/服務器 |
台 |
台 | ||
數據服務器 |
數據庫軟件 |
套 |
套 | |
系統軟件 |
套 |
套 | ||
PC機/服務器 |
台 |
台 | ||
通信設備 |
台 |
台 |
4日常工作情況自查
信息安全日常工作情況自查通常包括規章制度完整性、信息安全管理、安全技術防護、信息安全應急、信息安全教育培訓等方面情況的自查。
4.1規章制度完整性自查
4.1.1要求
應建立健全信息安全相關管理制度。
4.1.2自查方式
文檔查驗。
4.1.3自查方法
a)調閱信息安全管理相關制度文檔,檢查管理制度體系是否健全,即涵蓋人員管理、資産管理、采購管理、外包管理、應急管理、教育培訓等方面;
b)檢查管理制度是否以正式文件等形式發布。
4.2信息安全管理情況自查
4.2.1組織管理情況自查
4.2.1.1要求
a)應明确一名主管領導,負責本單位信息安全管理工作,根據國家法律法規有關要求,結合實際組織制定信息安全管理制度,完善技術防護措施,協調處理重大信息安全事件;
b)應指定一個機構,具體承擔信息安全管理工作,負責組織落實信息安全管理制度和信息安全技術防護措施,開展信息安全教育培訓和監督檢查等;
c)各内設機構應指定一名專職或兼職信息安全員,負責日常信息安全督促、檢查、指導工作。信息安全員應當具備較強的信息安全意識和工作責任心,掌握基本的信息安全知識和技能。
4.2.1.2自查方式
文檔查驗、人員訪談。
4.2.1.3自查方法
a)查驗領導分工等文件,檢查是否明确了信息安全主管領導;查驗信息安全相關工作批示、會議記錄等,了解主管領導履職情況;
b)查驗本單位各内設機構職責分工等文件,檢查是否指定了信息安全管理機構(如工業和信息化部指定辦公廳為信息安全管理機構);查驗工作計劃、工作方案、規章制度、監督檢查記錄、教育培訓記錄等文檔,了解管理機構履職情況;
c)查驗信息安全員列表,檢查是否每個内設機構都指定了專職或兼職信息安全員;訪談信息安全員,檢查其信息安全意識和信息安全知識、技能掌握情況;查驗工作計劃、工作報告等相關文檔,檢查信息安全員日常工作開展情況。
表5組織管理自查結果記錄表
信息安全主管領導 |
1.姓名:_______________ 2.職務:_______________(本單位正職/副職領導) 3.本年度對信息安全工作進行過批示:□是,批示次數: □否 4.本年度主持召開過信息安全專題會議:□是,會議次數: □否 |
信息安全管理機構 |
1.名稱:_______________(如辦公廳) 2.負責人:_____________職務:________________ 3.聯系人:_____________電話:________________ |
信息安全專職工作處室 |
1.名稱:_______________(如信息中心信息安全處) 2.負責人:_____________電話:________________ |
信息安全員 |
1.内設機構數量:_______________ 2.信息安全員數量:_____________ |
4.2.2人員管理情況自查
4.2.2.1要求
a)應建立健全崗位信息安全責任制度,明确崗位及人員的信息安全責任。應與重點崗位的計算機使用和管理人員簽訂信息安全與保密協議,明确信息安全與保密要求和責任;
b)應制定并嚴格執行人員離崗離職信息安全管理規定,人員離崗離職時應終止信息系統訪問權限,收回各種軟硬件設備及身份證件、門禁卡等,并簽署安全保密承諾書;
c)應建立外部人員訪問機房等重要區域審批制度,外部人員須經審批後方可進入,并安排本單位工作人員現場陪同,對訪問活動進行記錄并留存;
d)應對信息安全責任事故進行查處,對違反信息安全管理規定的人員給予嚴肅處理,對造成信息安全事故的依法追究當事人和有關負責人的責任,并以适當方式通報。
4.2.2.2自查方式
文檔查驗、人員訪談。
4.2.2.3自查方法
a)查驗崗位信息安全責任制度文件,檢查系統管理員、網絡管理員、信息安全員、一般工作人員等不同崗位的信息安全責任是否明确;檢查重點崗位人員信息安全與保密協議簽訂情況;訪談部分重點崗位人員,抽查對信息安全責任的了解程度;
b)查驗人員離崗離職管理制度文件,檢查是否有終止系統訪問權限、收回軟硬件設備、收回身份證件和門禁卡等要求;檢查離崗離職人員安全保密承諾書簽署情況;查驗信息系統賬戶,檢查離崗離職人員賬戶訪問權限是否已被終止;
c)查驗外部人員訪問機房等重要區域的審批制度文件,檢查是否有訪問審批、人員陪同等要求;查驗訪問審批記錄、訪問活動記錄,檢查記錄是否清晰、完整;
d)查驗安全事件記錄及安全事件責任查處等文檔,檢查是否發生過因違反制度規定造成的信息安全事件、是否對信息安全事件責任人進行了處置。
表6人員管理自查結果記錄表
人員管理 |
1.崗位信息安全責任制度:□已建立□未建立 2.重點崗位人員信息安全與保密協議: □全部簽訂□部分簽訂□均未簽訂 3.人員離崗離職安全管理規定:□已制定□未制定 4.離崗離職安全管理措施(可多選): □終止系統訪問權限 □收回軟硬件設備 □收回身份證件和門禁卡 □簽署離崗離職安全承諾書 5.離崗離職安全保密承諾書: □全部簽訂□部分簽訂□均未簽訂 6.外部人員訪問機房等重要區域審批制度: □已建立□未建立 7.外部人員訪問機房等重要區域記錄: □完整□不完整 8.本年度信息安全事故發生及處置情況: □發生過 □已做處置,其中:信息安全責任事故當事人和有關責任人_____人,已處理_____人,其中:通報批評_____人,警告_____人,記過及以上_____人 □未做處置 □未發生過 |
4.2.3資産管理情況自查
4.2.3.1要求
a)應建立并嚴格執行資産管理制度;
b)應指定專人負責資産管理;
c)應建立資産台賬(清單),統一編号、統一标識、統一發放;
d)應及時記錄資産狀态和使用情況,保證賬物相符;
e)應建立并嚴格執行設備維修維護和報廢管理制度。
4.2.3.2自查方式
文檔查驗、人員訪談。
4.2.3.3自查方法
a)查驗資産管理制度文檔,檢查資産管理制度是否建立;
b)查驗設備管理員任命及崗位分工等文件,檢查是否明确專人負責資産管理;訪談設備管理員,檢查其對資産管理制度和日常工作任務的了解程度;
c)查驗資産台賬,檢查台賬是否完整(包括設備編号、設備狀态、責任人等信息);查驗領用記錄,檢查是否做到統一編号、統一标識、統一發放;
d)随機抽取資産台賬中的部分設備登記信息,查驗是否有對應的實物;随機抽取一定數量的實物,查驗其是否納入資産台賬,同台賬是否相符;
e)查驗相關制度文檔和記錄,檢查設備維修維護和報廢管理制度建立及落實情況。
表7資産管理自查結果記錄表
資産管理 |
1.資産管理制度:□已建立□未建立 2.資産管理人員:_____人, 姓名:______________________________ 3.賬物相符程度(抽查結果): □完全相符□大部分相符□嚴重不符 4.資産管理方式: □統一編号、統一發放 □各内設機構分别管理 □其他 5.設備維修維護和報廢管理: □已建立管理制度,且維修維護和報廢信息(時間、地點、内容、責任人等)記錄完整 □已建立管理制度,但維修維護和報廢記錄不完整 □尚未建立管理制度 |
4.2.4采購管理情況自查
4.2.4.1要求
a)公文處理軟件、信息安全産品等應采購安全可控産品,信息安全産品應經過國家認證;
b)接受捐贈的信息技術産品,使用前應進行安全測評,并與捐贈方簽訂信息安全與保密協議;
c)不得采購社會第三方認證機構提供的信息安全管理體系認證服務;
d)信息系統數據中心、災備中心不得設立在境外。
4.2.4.2自查方式
文檔查驗。
4.2.4.3自查方法
a)随機抽取信息安全産品,檢查該産品是否有國家統一認證的證明材料,如中國信息安全認證中心頒發的信息安全産品認證證書;
b)對比資産台賬及采購清單,檢查台賬中是否有捐贈的信息技術産品;對于使用中的受贈信息技術産品,檢查是否有安全測評報告以及與捐贈方簽訂的信息安全與保密協議;
c)查驗開發、集成、運維等信息安全服務合同,檢查是否有非國内廠商提供信息安全服務情況,若有,進一步檢查廠商名稱及其提供的服務内容;确認未采購社會第三方認證機構提供的信息安全管理體系認證服務;
d)查驗數據中心和災備中心建設規劃文檔,檢查是否設立在境外。
表8采購管理自查結果記錄表
信息安全産品 |
1.信息安全産品認證情況: □全部通過認證□部分通過認證 未通過認證的安全産品品牌及型号:___________ _____________________________________________ |
接受捐贈的 信息技術産品 |
□無 □有 1.受贈産品品牌及型号:___________________ __________________________________________ 2.使用前安全評估:□經過測評□未經測評 3.信息安全與保密協議(與捐贈方): □全部簽訂□部分簽訂□均未簽訂 |
數據中心與 災備中心 |
1.數據中心數量:______個 2.災備中心數量:______個 3.境外設立數據中心和災備中心情況: □無 □有,境外設立位置:__________________ |
4.2.5外包服務管理情況自查
4.2.5.1要求
a)應建立并嚴格執行信息技術外包服務安全管理制度;
b)應與信息技術外包服務提供商簽訂服務合同和信息安全與保密協議,明确信息安全與保密責任,要求服務提供商不得将服務轉包,不得洩露、擴散、轉讓服務過程中獲知的敏感信息,不得占有服務過程中産生的任何資産,不得以服務為由強制要求委托方購買、使用指定産品;
c)信息技術現場服務過程中應安排專人陪同,并詳細記錄服務過程;
d)外包開發的系統、軟件上線應用前應進行安全測評,要求開發方及時提供系統、軟件的升級、漏洞等信息和相應服務;
e)信息系統運維外包不得采用遠程在線運維服務方式;
4.2.5.2自查方式
文檔查驗、人員訪談。
4.2.5.3自查方法
a)查驗相關文檔,檢查是否有外包服務安全管理制度;
b)查驗信息技術外包服務合同及信息安全與保密協議,檢查信息安全責任是否清晰;
c)查驗外包人員現場服務記錄,查驗記錄是否完整(包括服務時間、服務人員、陪同人員、工作内容等信息);
d)訪談系統管理員和工作人員,查驗安全測評報告,檢查外包開發的系統、軟件上線前是否進行過信息安全測評及其方式;
e)查驗外包服務合同及技術方案等文檔,檢查是否存在遠程在線運維服務;如确需采用遠程在線服務的,檢查是否對安全風險進行了充分評估并采取了書面審批、訪問控制、在線監測、日志審計等安全防護措施。
表9外包服務管理自查結果記錄表
外包服務管理 |
1.外包服務安全管理制度:□已制定□未制定 2.信息技術外包服務合同及信息安全與保密協議: □全部簽訂□部分簽訂□均未簽訂 3.現場服務記錄: □有詳細服務記錄□僅有現場進出記錄 □無記錄 4.外包開發系統、軟件上線應用前安全測評情況: □均經測評□部分經測評□均未測評 5.信息系統運維安全管理: □無外包服務 □外包服務商現場運維 □外包服務商遠程運維 遠程運維風險控制措施:□有□無 |
表10外包服務機構自查結果記錄表(每個機構一張表)
外包服務機構 |
機構名稱 |
|
機構性質 |
□國有單位□民營企業□外資企業 | |
服務内容 |
||
信息安全與 保密協議 |
□已簽訂□未簽訂 | |
信息安全管理體系認證情況 |
□已通過認證,認證機構:_______________ □未通過認證 |
4.2.6經費保障情況自查
4.2.6.1要求
a)應将信息安全設施運行維護、日常信息安全管理、信息安全教育培訓、信息安全檢查、信息安全風險評估、信息系統等級測評、信息安全應急處置等費用納入部門年度預算;
b)應嚴格落實信息安全經費預算,保證信息安全經費投入。
4.2.6.2自查方式
文檔查驗。
4.2.6.3自查方法
a)會同本單位财物部門人員,查驗上一年度和本年度預算文件,檢查年度預算中是否有信息安全相關費用;
b)查驗相關财務文檔和經費使用賬目,檢查上一年度信息安全經費實際投入情況、信息安全經費是否專款專用。
表11經費保障自查結果記錄表
經費保障 |
1.信息安全預算範圍(可多選): □信息安全防護設施建設費用 □運行維護費用 □日常信息安全管理費用 □教育培訓費用 □應急處置費用 □檢查評估(含風險評估、等級測評等)費用 □無相關預算 2.上一年度信息安全經費預算額:________萬元 3.上一年度信息安全經費實際投入額:_______萬元 4.本年度信息安全經費預算額:________萬元 |
4.3安全技術防護情況自查
4.3.1物理環境安全情況自查
4.3.1.1要求
物理環境安全應符合《GB 9361-1988計算機場地安全要求》中B類機房要求。
4.3.1.2自查方式
文檔查驗、現場核查。
4.3.1.3自查方法
a)查驗機房設計、改造、施工等相關文檔,檢查機房防盜竊、防破壞、防雷擊、防火、防水、防潮、防靜電等措施,并進行核查;現場檢查機房備用電源、溫濕度控制、電磁防護等安全防護設施;
b)現場檢查機房等物理訪問控制措施,确認配備門禁系統或有專人值守。
4.3.2網絡邊界安全防護情況自查
4.3.2.1要求
a)非涉密信息系統與互聯網及其他公共信息網絡應實行邏輯隔離,涉密信息系統與互聯網及其他公共信息網絡應實行物理隔離;
b)建立互聯網接入審批和登記制度,嚴格控制互聯網接入口數量,加強互聯網接入口安全管理和安全防護;
c)應采取訪問控制、安全審計、邊界完整性檢查、入侵防範、惡意代碼防範等措施,進行網絡邊界防護;
d)應根據承載業務的重要性對網絡進行分區分域管理,采取必要的技術措施對不同網絡分區進行防護、對不同安全域之間實施訪問控制;
e)應對網絡日志進行管理,定期分析,及時發現安全風險。
4.3.2.2自查方式
文檔查驗、現場核查。
4.3.2.3自查方法
a)查驗網絡拓撲圖,檢查重要設備連接情況,現場核查内部辦公系統等非涉密系統的交換機、路由器等網絡設備,确認以上設備的光纖、網線等物理線路沒有與互聯網及其他公共信息網絡直接連接,有相應的安全隔離措施;
b)查驗網絡拓撲圖,檢查接入互聯網情況,統計網絡外聯的出口個數,檢查每個出口是否均有相應的安全防護措施(互聯網接入口指内部網絡與公共互聯網邊界處的接口,如聯通、電信等提供的互聯網接口,不包括内部網絡與其他非公共網絡連接的接口);
c)查驗網絡拓撲圖,檢查是否在網絡邊界部署了訪問控制(如防火牆)、入侵檢測、安全審計以及非法外聯檢測、病毒防護等必要的安全設備;
d)分析網絡拓撲圖,檢查網絡隔離設備部署、交換機VLAN劃分情況,檢查網絡是否按重要程度劃分了安全區域,并确認不同區域間采用了正确的隔離措施;
e)查驗網絡日志(重點是互聯網訪問日志)及其分析報告,檢查日志分析周期、日志保存方式和保存時限等。
表12網絡邊界安全防護自查結果記錄表
互聯網接 入情況 |
互聯網接入口總數:_____個,其中: □聯通接入口數量:____個接入帶寬:____兆 □電信接入口數量:____個接入帶寬:____兆 □其他:_______接入口數量:_____接入帶寬:____兆 |
網絡隔離 |
1.非涉密信息系統與互聯網及其他公共信息網絡隔離情況: □物理隔離□邏輯隔離□無隔離 2.涉密信息系統與互聯網及其他公共信息網絡隔離情況: □物理隔離□邏輯隔離□無隔離 |
網絡邊界 防護措施 |
1.網絡邊界防護措施: □訪問控制□安全審計□邊界完整性檢查 □入侵防範□惡意代碼防範□無措施 2.網絡訪問日志:□留存日志□未留存日志 |
4.3.3關鍵設備安全防護情況自查
對承擔網絡與信息系統運行的關鍵設備,包括服務器、網絡設備、安全設備等的安全防護情況進行檢查,保證安全策略配置及防護的有效性。
4.3.3.1自查方式
現場核查。
4.3.3.2自查方法
a)登錄惡意代碼防護設備(如防病毒網關),檢查惡意代碼庫更新情況;
b)登錄服務器(應用系統服務器、數據庫服務器),檢查口令策略配置情況,包括口令強度和更新頻率;檢查安全審計策略配置情況,包括審計功能是否啟用、操作記錄是否留存、日志是否定期分析、是否對異常訪問和操作及時進行處置;檢查病毒防護情況,包括防病毒軟件是否安裝、病毒庫是否及時更新;檢查補丁更新情況,包括操作系統、數據庫管理系統等的補丁是否及時更新;
c)登錄網絡設備、安全設備,檢查口令策略配置情況,包括口令強度和更新頻率;檢查安全審計策略配置情況,包括審計功能是否啟用、操作記錄是否留存、日志是否定期分析、是否對異常訪問和操作及時進行處置;
表13關鍵設備安全防護情況自查結果記錄表
關鍵設備 安全防護情況 |
1.惡意代碼防護情況: □已配備防護設備(如防病毒網關) □定期更新惡意代碼庫 □未定期更新惡意代碼庫或從未更新 □未配備 2.服務器口令策略配置: 口令長度最低要求:____位 口令更新頻率:______ 口令組成(可多選):□字母□數字□特殊字符 3.服務器安全審計: □啟用安全審計功能 □定期分析,分析周期:______ □不進行分析 □未啟用安全審計功能 4.服務器補丁(操作系統和數據庫管理系統補丁)更新情況: □及時更新□更新,但不及時□從未更新 5.網絡設備口令策略配置: 口令長度最低要求:____位 口令更新頻率:______ 口令組成(可多選):□字母□數字□特殊字符 6.安全設備口令策略配置: 口令長度最低要求:____位 口令更新頻率:______ 口令組成(可多選):□字母□數字□特殊字符 |
4.3.4應用系統安全防護情況自查
4.3.4.1基本情況自查
4.3.4.1.1要求
a)應按照GB/T 20984-2007的要求,定期對信息系統面臨的安全風險和威脅、薄弱環節以及防護措施的有效性等進行分析評估;
b)應綜合考慮信息系統的重要性、涉密程度和面臨的信息安全風險等因素,按照國家信息安全等級保護相關政策和技術标準規範,對信息系統實施相應等級的安全管理;
c)應按照GB/T 22240-2008的要求,确定信息系統安全保護等級;
d)應按照GB/T 22239-2008的要求,對信息系統實施相應等級的安全建設和整改;
e)應按照信息系統安全等級保護測評相關要求,對信息系統進行等級測評。
4.3.4.1.2自查方式
文檔查驗。
4.3.4.1.3自查方法
a)查驗信息系統定級報告,檢查信息系統定級情況;
b)查驗測評報告,檢查風險評估、等級測評開展情況。
表14應用系統防護基本情況自查結果記錄表
基本情況 |
1.系統總數:________________個 2.已定級系統_______個,其中: 第一級:___個 第二級:____個第三級:___個 第四級:____個 第五級:____個 3.本年度經過風險評估、等級測評等的系統數:_____個 |
4.3.4.2門戶網站安全防護情況自查
4.3.4.2.1要求
a)網站開通前,應組織專業技術機構進行安全測評,對新增應用要進行安全評估;
b)應定期對網站鍊接進行安全性和有效性檢查;
c)應采取必要的技術措施,提高網站防篡改、防攻擊能力,加強網站敏感信息保護;
d)應建立完善網站信息發布審核制度,明确審核程序,嚴格審核流程。
4.3.4.2.2自查方式
文檔查驗、人員訪談、現場核查、人工測試。
4.3.4.2.3自查方法
a)查驗檢測報告等相關文檔,檢查網站開通或新增應用時是否進行過安全測評;
b)查驗相關記錄,訪談網站管理員,檢查是否定期對網站鍊接的安全性和有效性進行檢查;采用技術工具進行掃描,檢測網站鍊接的有效性;
c)查看防護設備部署情況,檢查是否有網頁防篡改、抗拒絕服務攻擊等功能并進行必要的配置;
d)查驗相關記錄,檢查網站信息發布時是否對内容進行核查、是否經過審批。
表15門戶網站安全防護自查結果記錄表
門戶網站 安全防護 |
1.網頁防篡改措施: □有,措施為:_____________________□無 2.網站抗拒絕服務攻擊措施: □有,措施為:_____________________□無 3.網站内容管理措施: □建立審核制度(發布前内容核查、審批),且審核記錄完整 □建立審核制度(發布前内容核查、審批),但審核記錄不完整 □無審核記錄或無制度要求 |
4.3.4.3電子郵件系統安全防護情況自查
4.3.4.3.1要求
a)應加強電子郵件系統安全防護,采取反垃圾郵件等技術措施;
b)應規範電子郵箱的注冊管理,原則上隻限于本部門工作人員注冊使用;
c)應嚴格郵箱賬戶及口令管理,采取技術和管理措施确保口令具有一定強度并定期更換。
4.3.4.3.2自查方式
文檔查驗、現場核查。
4.3.4.3.3自查方法
a)查驗設備部署或配置情況,檢查電子郵件系統是否采取了反垃圾郵件技術措施;
b)查驗電子郵件系統管理相關規定文檔,檢查是否有注冊審批流程要求;查驗服務器上郵箱賬戶列表,同本單位人員名單進行核對,檢查是否有非本單位人員使用;
c)查看郵箱口令策略配置界面,檢查電子郵件系統是否設置了口令策略,是否對口令強度和更改周期等進行要求。
表16電子郵件系統安全防護自查結果記錄表
電子郵件系統安全防護 |
1.反垃圾郵件等技術措施:□有□無 2.郵箱注冊:□注冊郵箱賬戶須經審批□随意注冊使用 3.賬戶口令防護: □使用技術措施控制和管理口令強度 □無口令強度控制技術措施 |
4.3.5終端計算機安全防護情況自查
4.3.5.1要求
a)應采用集中統一管理方式對終端計算機進行管理,統一軟件下發,統一安裝系統補丁,統一實施病毒庫升級和病毒查殺,統一進行漏洞掃描;
b)應規範軟硬件使用,不得擅自更改軟硬件配置,不得擅自安裝軟件;
c)應加強賬戶及口令管理,使用具有一定強度的口令并定期更換;
d)應對接入互聯網的終端計算機采取控制措施,包括實名接入認證、IP地址與MAC地址綁定等;
e)應定期對終端計算機進行安全審計;
f)非涉密計算機不得存儲和處理國家秘密信息。
4.3.5.2自查方式
現場核查、工具檢測。
4.3.5.3自查方法
a)查看集中管理服務器,抽查終端計算機,檢查是否部署了終端管理系統或采用了其他集中統一管理方式對終端計算機進行管理,包括統一軟硬件安裝、統一補丁升級、統一病毒防護、統一安全審計等;
b)查看終端計算機,檢查是否安裝有與工作無關的軟件;
c)使用終端檢查工具或采用人工方式,檢查終端計算機是否配置了口令策略。
d)訪談網絡管理員和工作人員,檢查是否采取了實名接入認證、IP地址與MAC地址綁定等措施對接入本單位網絡的終端計算機進行控制;将未經授權的終端計算機接入網絡,測試是否能夠訪問互聯網,驗證控制措施的有效性;
e)查驗審計記錄,檢查是否對終端計算機進行了安全審計。
表17終端計算機安全防護自查結果記錄表
終端計算機 安全防護 |
1.安全管理方式: □集中統一管理(可多選) □規範軟硬件安裝□統一補丁升級□統一病毒防護 □統一安全審計□對移動存儲介質接入實施控制 □分散管理 2.賬戶口令策略: □所有終端計算機均配置 □部分終端計算機配置 □均未配置 3.接入互聯網安全控制措施: □有控制措施 控制措施為:□實名接入□綁定計算機IP和MAC地址 其他:________________________ □無控制措施 4.終端計算機安全審計:□有審計□無審計 |
4.3.6存儲介質安全防護情況自查
4.3.6.1要求
a)應嚴格存儲陣列、磁帶庫等大容量存儲介質的管理,采取技術措施防範外聯風險,确保存儲數據安全;
b)應對移動存儲介質進行集中統一管理,記錄介質領用、交回、維修、報廢、銷毀等情況;
c)非涉密移動存儲介質不得存儲涉及國家秘密的信息,不得在涉密計算機上使用;
d)移動存儲介質在接入本部門計算機和信息系統前,應當查殺病毒、木馬等惡意代碼;
e)應配備必要的電子信息消除和銷毀設備,對變更用途的存儲介質要消除信息,對廢棄的存儲介質要進行銷毀。
4.3.6.2自查方式
文檔查驗、人員訪談、現場核查。
4.3.6.3自查方法
a)訪談網絡管理員,檢查大容量存儲介質是否存在遠程維護,對于有遠程維護的,進一步檢查是否有相應的安全風險控制措施;查看光纖、網線等物理線路連接情況,檢查大容量存儲介質是否在無防護措施情況下與互聯網及其他公共信息網絡直接連接;
b)查驗相關記錄,檢查是否對移動存儲介質進行統一管理,包括統一領用、交回、維修、報廢、銷毀等;
c)查看服務器和辦公終端計算機上的殺毒軟件,檢查是否開啟了移動存儲介質接入自動查殺功能;
d)查看設備台賬或實物,檢查是否配備了電子信息消除和銷毀設備。
表18存儲介質安全防護自查結果記錄表
存儲介質安全防護 |
1.存儲陣列、磁帶庫等大容量存儲介質安全防護: □不外聯 □外聯,但采取了技術防範措施控制風險 □外聯,無技術防範措施 2.移動存儲介質管理方式: □集中統一管理□未采取集中管理方式 3.移動存儲介質接入本單位系統前: □查殺病毒木馬□直接接入 4.電子信息保護: □已配備信息消除或銷毀設備 □未配備信息消除或銷毀設備 |
4.3.7重要數據安全防護情況自查
4.3.7.1要求
a)應采用技術措施(如加密、分區分域存儲等)對存儲的重要數據進行保護;
b)應采取技術措施對傳輸的重要數據進行加密和校驗。
4.3.7.2自查方式
現場核查。
4.3.7.3自查方法
a)登錄數據存儲設備、數據庫管理系統,檢查是否對重要數據進行了分區分域存儲,或者進行加密存儲;
b)查驗存儲設備是否配置了數據傳輸加密和校驗的功能。
表19重要數據安全防護自查結果記錄表
重要數據安全防護情況 |
1.存儲安全防護: □加密存儲□分區分域存儲□無防護措施 2.傳輸安全防護: □加密傳輸□數據校驗□無防護措施 |
4.4信息安全應急工作情況自查
4.4.1要求
a)應制定信息安全事件應急預案,原則上每年評估一次,并根據實際情況适時修訂;
b)應組織開展應急預案的宣貫培訓,确保相關人員熟悉應急預案;
c)每年應開展信息安全應急演練,檢驗應急預案的可操作性,并将演練情況報信息安全主管部門;
d)應建立信息安全事件報告和通報機制,提高預防預警能力;
e)應明确應急技術支援隊伍,做好應急技術支援準備;
f)應做好信息安全應急物資保障,确保必要的備機、備件等資源到位;
g)應根據業務實際需要對重要數據和業務系統進行備份。
4.4.2自查方式
文檔查驗、人員訪談。
4.4.3自查方法
a)查驗預案文本、評估記錄等,檢查應急預案制定和年度評估修訂情況;
b)查驗宣貫材料和培訓記錄,檢查是否開展過預案宣貫培訓;訪談系統管理員、網絡管理員和工作人員,檢查其對應急預案的熟悉程度;
c)查驗演練計劃、方案、記錄、總結等文檔,檢查本年度是否開展了應急演練;
d)查驗事件處置記錄,檢查信息安全事件報告和通報機制建立情況,是否對所有信息安全事件都進行了處置;
e)查驗應急技術支援隊伍合同及安全協議、參與應急技術演練及應急響應等工作的記錄文件,确認應急技術支援隊伍能夠發揮有效的應急技術支撐作用;
f)查驗設備或采購協議,檢查是否有信息安全應急保障物資或有供應渠道;
g)查驗備份數據和備份系統,檢查是否對重要數據和業務系統進行了備份。
表20信息安全應急工作自查結果記錄表
信息安全應急工作 |
1.應急預案制修訂情況: □已制定 本年度評估修訂情況:□評估并修訂□評估但未修訂□未評估 □未制定 2.應急演練情況:□本年度已開展□本年度未開展 3.信息安全事件報告和通報情況: □一年内無重大信息安全事件 □一年内有重大信息安全事件,均已處置并上報 □一年内有未處置的重大信息安全事件 4.應急支援隊伍:□部門所屬單位□外部專業機構□無 5.備機備件等應急物資: □有現成物資□無現成物資但已明确供應渠道□無 6.重要數據備份: □已備份,備份周期:□實時,□日,□周,□月,□不定期 □未備份 7.重要信息系統備份: □已備份,備份周期:□實時,□日,□周,□月,□不定期 □未備份 |
4.5信息安全教育培訓情況自查
4.5.1要求
a)應加強信息安全宣傳和教育培訓工作,提高信息安全意識,增強信息安全基本防護技能;
b)應定期開展信息安全管理人員和技術人員專業技能培訓,提高信息安全工作能力和水平;
c)應記錄并保存信息安全教育培訓、考核情況和結果。
4.5.2自查方式
文檔查驗、人員訪談。
4.5.3自查方法
a)查驗教育宣傳計劃、會議通知、宣傳資料等文檔,檢查信息安全形勢和警示教育、基本防護技能培訓開展情況;
b)訪談機關工作人員,檢查信息安全基本防護技能掌握情況;
c)查驗培訓通知、培訓教材、結業證書等,檢查信息安全管理和技術人員專業技能培訓情況。
表21信息安全教育培訓自查結果記錄表
信息安全教育培訓 |
1.本年度信息安全形勢和警示教育、基本防護技能培訓情況: ①次數:_________次 ②人數:______人(占本單位總人數的比例:______%) 2.本年度信息安全管理和技術人員專業技能培訓情況: ①人次:______,②參加專業技能培訓的人員比率:_______% |
5安全技術檢測
5.1設備安全檢測
5.1.1網絡設備及安全設備安全檢測
a)根據工作實際合理安排年度檢測設備數量,每1~3年對所有網絡設備及安全設備進行一次技術檢測。重要業務系統和門戶網站系統的網絡設備及安全設備應作為檢測重點。網絡設備主要包括交換機、路由器等,安全設備主要包括訪問控制設備(如防火牆)、入侵檢測設備、安全審計産品、VPN、惡意代碼防護設備、網頁防篡改産品等。
b)使用漏洞掃描等工具檢測網絡設備及安全設備端口、應用、服務及補丁更新情況,檢測是否關閉了不必要的端口、應用、服務,是否存在安全漏洞。
表22網絡設備及安全設備檢測結果記錄表
1.網絡設備及安全設備抽查清單 | ||||
序号 |
設備名稱/編号 |
部署位置 |
主管部門 |
運維單位 |
1 |
||||
… |
||||
2.存在高風險漏洞的網絡設備及安全設備情況 | ||||
序号 |
設備名稱/編号 |
主要漏洞列舉 |
數量 | |
1 |
||||
… |
||||
5.1.2服務器安全檢測
a)可根據工作實際合理安排年度檢測的服務器數量,每1~2年對所有服務器進行一次技術檢測,重要業務系統和門戶網站系統的服務器應作為檢測重點;
b)使用漏洞掃描等工具檢測服務器操作系統、端口、應用、服務及補丁更新情況,檢測是否關閉了不必要的端口、應用、服務,是否存在安全漏洞;
c)使用病毒木馬檢測工具,檢測服務器是否感染了病毒、木馬等惡意代碼。
表23服務器安全檢測結果記錄表
1.服務器抽查清單 | ||||
序号 |
服務器名稱/編号 |
用途/承載的業務系統重要性(按等級) |
主管部門 |
運維單位 |
1 |
||||
… |
||||
2.感染病毒木馬等惡意代碼的服務器情況 | ||||
序号 |
服務器名稱/編号 |
病毒木馬等惡意代碼名稱 |
數量 | |
1 |
||||
2 |
||||
… |
||||
3.存在高風險漏洞的服務器情況 | ||||
序号 |
服務器名稱/編号 |
主要漏洞列舉 |
數量 | |
1 |
||||
… |
||||
5.1.3終端計算機安全檢測
a)可根據工作實際合理安排終端計算機的年度檢測數量,每1~3年對所有終端計算機進行一次技術檢測。抽取終端計算機時應依據使用者身份劃分,合理選擇不同級别、不同工作崗位人員的終端計算機;
b)使用漏洞掃描等工具檢測終端計算機操作系統漏洞情況以及補丁更新情況;
c)使用病毒木馬檢測工具,檢測終端計算機是否感染了病毒、木馬等惡意代碼;
d)使用計算機違規檢查和取證工具,檢查是否使用非涉密計算機處理涉密信息,是否使用了涉密移動介質。
表24終端計算機安全檢測結果記錄表
1.終端計算機抽查清單 | |||||
序号 |
終端名稱/編号 |
部門 |
使用人 |
使用人職級 | |
1 |
|||||
… |
|||||
2.感染病毒木馬等惡意代碼的終端計算機情況 | |||||
序号 |
終端名稱/編号 |
病毒木馬等惡意代碼名稱 |
數量 | ||
1 |
|||||
… |
|||||
3.存在高風險漏洞的終端計算機情況 | |||||
序号 |
終端名稱/編号 |
主要漏洞列舉 |
數量 | ||
1 |
|||||
… |
|||||
4.非涉密計算機處理涉密信息情況 | |||||
序号 |
終端名稱/編号 |
數量 |
涉密文件名稱 | ||
1 |
1._________________________ 2._________________________ | ||||
… |
|||||
5.非涉密計算機使用涉密移動存儲介質信息情況 | |||||
序号 |
終端名稱/編号 |
數量 |
涉密移動存儲介質編号 | ||
1 |
1._________________________ 2._________________________ | ||||
… |
|||||
5.1.4應用系統安全檢測
a)應對業務系統、辦公系統和網站系統等相關應用系統進行安全檢測,重要業務系統、門戶網站至少每年進行一次檢測,其他系統每1~2年進行一次檢測;
b)使用漏洞掃描等工具測試重要業務系統及網站,檢測是否存在安全漏洞;
c)開展滲透測試,檢查是否可以獲取應用系統權限,驗證網站是否可以被挂馬、篡改頁面、獲取敏感信息等,檢查系統是否被入侵過(存在入侵痕迹)等。
表25應用系統安全檢測結果記錄表
1.應用系統抽查清單 | |||||
序号 |
系統名稱 |
域名或IP |
主管部門 |
運維單位 | |
1 |
|||||
… |
|||||
2.存在高、中風險漏洞的應用系統情況 | |||||
序号 |
系統名稱 |
高、中風險漏洞列舉/級别 |
數量 | ||
1 |
|||||
… |
|||||
3.存在入侵痕迹的應用系統情況 | |||||
序号 |
系統名稱 |
入侵痕迹列舉 |
數量 | ||
1 |
|||||
… |
|||||
6自查總結整改
6.1.1彙總自查結果
自查實施完成後,自查工作組應及時對自查結果進行梳理、彙總,從安全管理、技術防護等方面對自查發現的問題和隐患進行分類整理。
6.1.2分析問題隐患
自查工作組應對自查發現的問題和隐患逐項進行研究,深入分析産生的原因。
結合年度信息安全形勢,對本單位面臨的信息安全威脅和風險程度、信息系統抵禦網絡攻擊的能力進行評估。
6.1.3研究整改措施
自查工作組在深入分析問題隐患的基礎上,研究提出針對性的改進措施建議。
本單位信息安全管理部門應根據自查工作組的建議,組織相關單位和人員進行整改,對于不能及時整改的,要制定整改計劃和時間表,整改完成後應及時進行再評估。
6.1.4編寫總結報告
本單位信息安全管理部門應組織自查工作組對自查工作進行全面總結,編寫自查報告,填寫部門檢查結果統計表,并按要求及時報送省網絡與信息安全協調小組辦公室或地區/行業信息安全主管部門。
7注意事項
7.1認真做好總結
要按照2013年度信息安全自查工作的統一要求,進行全面總結,認真編寫自查報告。要如實填寫部門檢查結果統計表,避免出現漏項、錯項、前後不一緻等情況。要根據自查報告内容的敏感程度,确定密級并在首頁明确标識。
7.2加強風險控制
要明确相關工作紀律并嚴格執行。要識别自查中的安全風險,周密制定應急預案,強化風險控制措施,明确發生重大安全事件時的處置流程,确保被檢查信息系統的正常運行。要對技術檢測活動的安全風險進行評估,防止引入新的風險,并要求相關人員嚴格遵守操作規程。應對重要數據和配置進行備份,盡量避開業務高峰期進行技術檢測。
需委托外部檢測機構進行檢測的,要對相關檢測機構的安全可靠性及其技術能力、管理水平等嚴格把關,明确檢測機構和檢測人員的安全責任。可參考以下條件選取檢測機構:①機構安全可控(如事業單位);②開展信息安全檢查或相關工作2年以上;③擁有專業安全檢查人員10人以上,全部為機構編制内人員或與機構簽訂2年以上勞動合同的聘用人員;④擁有與開展安全檢查相适應的安全檢測設備與檢測工具;⑤信息安全與保密管理、項目管理、質量管理、人員管理、教育培訓等規章制度健全;⑥參與安全檢查的人員無犯罪記錄,并與機構簽訂安全保密協議。
7.3加強保密管理
要高度重視保密工作,指定專人負責,對自查活動、自查實施人員以及相關文檔和數據進行嚴格管理,确保自查工作中涉及到的敏感信息得到有效控制;對自查人員進行保密培訓,确保自查工作中獲知的信息不被洩露,自查數據和自查結果不向其他單位透露。
附件1
2013年度信息安全自查工作
總結報告參考格式
一、自查工作總結報告名稱
XXX(地區、部門、行業名稱)網絡與信息安全自查工作總結報告
二、自查工作總結報告組成
自查工作總結報告包括主報告和檢查情況統計表兩部分。
三、主報告内容要求
(一)本地區(部門、行業)網絡與信息安全自查工作組織開展情況
概述此次安全檢查工作組織開展情況、所檢查的重要網絡與信息系統基本情況。
(二)本地區(部門、行業)信息安全工作情況
詳細描述本地區(部門、行業)2013年在信息安全管理、技術防護、應急管理、教育培訓等方面開展的工作情況。
(三)2012年度本地區(部門、行業)自查發現問題的整改情況
(四)2013年度本地區(部門、行業)自查發現的主要問題和面臨的威脅分析
1.發現的主要問題和薄弱環節
2.面臨的安全威脅與風險
3.整體安全狀況的基本判斷
(五)改進措施及整改效果
1.改進措施
2.整改效果
(六)關于加強信息安全工作的意見和建議
四、信息安全檢查情況統計表
檢查情況報告表應如實填寫,避免出現漏項、錯項、前後不一緻等情況。(地區、行業部門使用地方/行業信息安全檢查結果統計表,省市州政府各部門及各自查單位使用部門信息安全檢查結果統計表)