信息安全工作方案

一、工作目的

按照《雲南省工業和信息化委員會關於開展2010年度雲南省政府信息系統安全檢查工作的通知》要求，根據《國務院辦公廳關於加強政府信息安全和保密管理工作的通知》、《國務院辦公廳關於印發<政府信息系統安全檢查辦法>的通知》以及《雲南省政府辦公廳關於印發<政府信息系統安全檢查實施辦法>的通知》、《2010年度雲南省政府信息系統安全檢查指南》、《昆明市人民政府辦公廳關於印發昆明市政府信息系統安全檢查工作方案的通知》精神，堅持“誰主管誰負責，誰運行誰負責、誰使用誰負責”的原則，開展2010年度石林彝族自治縣人民政府信息系統安全檢查工作，貫徹落實國家對於信息安全工作的各項要求，在全縣範圍內對各鄉鎮、各部門信息系統安全工作進行全面檢查，掌握我縣黨政信息系統安全狀況，發現存在的主要問題和薄弱環節，完善信息安全制度，加強安全防護措施，提高信息安全水平。

二、組織機構

成立石林彝族自治縣網絡信息安全檢查領導小組（以下簡稱領導小組）。

組長：和加衞（縣人民政府副縣長）

副組長：段圳宗（縣信息產業辦副主任）

成員：雷振濤（縣政府辦副主任）

李學（縣國家保密局局長）

張家友（縣公安局網監大隊大隊長）

張波（縣信息產業辦）

領導小組下設辦公室在縣信息產業辦，負責組織實施本次安全檢查工作，由段圳宗同志兼任辦公室主任，辦公室工作人員從領導小組成員單位抽調。

三、具體工作

（一）檢查範圍：各鄉鎮人民政府，縣直各部委辦局在內外網運行的辦公系統、業務系統、網站系統等。各鄉鎮、各部門的重要業務系統、門户網站是檢查重點。

（二）按照《政府信息系統安全檢查實施辦法》、《2010年度雲南省政府信息系統安全檢查指南》（附件一），請各鄉鎮、各單位對照進行自檢，並形成書面材料（附電子文檔），填寫《2010年石林彝族自治縣人民政府信息系統安全檢查報告表》（附件二、三）蓋章並附電子文檔，於2010年6月13日前一併報領導小組辦公室。

（三）針對當前政府信息系統存在的薄弱環節，按照《雲南省政府信息系統安全檢查實施辦法》要求，重點檢查以下內容：

1．信息安全組織機構。

2．日常信息安全管理。

3．等級保護與風險評估。

4．建設防範手段建設。

5．應急管理工作開展。

6．信息技術產品和信息安全產品使用。

7．信息安全服務。

8．信息安全教育培訓。

9．信息安全經費保障。

10．安全隱患排除及整改。

（四）領導小組對縣重點部門的網絡信息安全進行現場抽查。

（五）2010年6月中下旬接受市網絡信息安全檢查工作組到石林檢查，具體檢查單位根據市檢查組通知臨時確定。

（六）2010年9月根據我縣的信息安全檢查結果，對檢查中發現的問題，將按照《政府信息系統安全檢查辦法》的規定，責令相關部門限期整改，並追究有關人員的責任。

（七）自2010年10月起，各鄉鎮、各單位開展2010年下半年信息安全檢查工作。在上半年工作的基礎上，進行自評、自查並形成書面材料（附電子文檔），填寫《2010年度石林彝族自治縣政府信息系統安全檢查報告表》（附件二、三）蓋章並附電子文檔，於2010年10月15日前一併報領導小組辦公室。

四、工作要求

各鄉鎮、各部門要把政府信息系統安全檢查工作列入重要議事日程，加強領導，明確檢查責任，落實專職的`檢查人員和經費，保證檢查工作順利進行。要求所有參與檢查的人員必須嚴格按照《雲南省政府信息系統安全檢查實施辦法》和《2010年度雲南省政府信息系統安全檢查指南》要求開展工作，要特別強調工作中注意信息安全和保密。涉及國家祕密的信息系統保密檢查工作，按照國家保密管理規定執行。

附件：1．2010年度雲南省政府信息系統安全檢查指南

2．2010年石林彝族自治縣人民政府信息系統安全檢查情況報告表

3．2010年石林彝族自治縣人民政府信息系統安全檢查情況報告表(補)

附件1

2010年度雲南省政府信息系統安全檢查指南

為指導規範2010年度雲南省政府信息系統安全檢查工作，依據《國務院辦公廳關於印發<政府信息系統安全檢查辦法>的通知》（以下簡稱《檢查辦法》）等文件，參照國家信息安全技術標準規範，總結2009年度政府信息系統安全檢查工作，制定本指南。

一、檢查目的

依據國家及我省有關政策規定，在2009年12月開展政府信息系統安全檢查工作基礎上，對各部門信息安全工作進行全面檢查，瞭解掌握政府信息系統安全總體狀況，發現存在的主要問題和薄弱環節，完善信息安全管理制度，加強安全防護措施，提高信息安全工作水平。

二、檢查原則

堅持“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則，統籌安排、突出重點、明確責任、注重實效。

各部門自行組織檢查與工業和信息化委員會會同有關部門統一組織抽查相結合。部門管理的全國性信息系統安全檢查工作，由主管部門統一組織部署。

三、檢查範圍

本指南所稱政府信息系統安全檢查，是指依據國家有關政策規定，參照國家信息安全技術標準規範，對政府信息系統安全工作進行檢測評估、查找隱患、堵塞漏洞、規範管理、完善措施、落實整改、通報情況的過程，包括進行信息安全風險評估、安全檢測、等級測評等。

政府信息系統安全檢查的範圍是為各部門履行職能提供支撐的信息系統，包括自行運行維護管理以及委託其他機構運行維護管理的辦公系統、業務系統、網站系統等。各部門的重要業務系統、門户網站是檢查重點。

涉及國家祕密的信息系統保密檢查工作，按照國家保密管理規定執行。

四、檢查依據

（一）政策文件

1.《國家信息化領導小組關於加強信息安全保障工作的意見》（中辦發〔2003〕27號）

2.《國務院辦公廳關於印發<政府信息系統安全檢查辦法>的通知》（國辦發〔2009〕28號）

3.《國務院辦公廳關於加強政府信息系統安全和保密管理工作的通知》（國辦發〔2008〕17號）

4.《國務院辦公廳關於印發國家網絡與信息安全事件應急預案的通知》（國辦函〔2008〕168號）

5.《關於加強黨政機關計算機信息系統安全和保密管理的若干規定》（國保發〔2007〕13號）

6.雲南省網絡與信息安全協調小組《關於印發加強黨政機關信息系統安全和保密管理工作意見的通知》雲信安發〔2008〕2號

7.其他有關政策規定

（二）技術標準

1.《信息安全風險評估規範》（GB/T20984-2007）

2.《信息安全風險管理指南》（GB/Z24364-2009）

3.《信息系統安全等級保護基本要求》（GB/T22239-2008）

4.《信息安全管理體系要求》（GB/T22080-2008）

5.《信息安全管理實用規則》（GB/T22081-2008）

6.《信息系統安全管理要求》（GB/T20269-2006）

7.《信息安全事件分類分級指南》（GB/Z20986-2007）

8.《信息安全事件管理指南》（GB/Z20985-2007）

9.《信息系統災難恢復規範》（GB/T20988-2007）

10.《信息安全應急響應計劃規範》（GB/T24363-2009）

11.其他有關技術標準

五、重點檢查內容

（一）信息安全組織機構

檢查信息安全工作主管領導、信息安全管理機構、各內設機構信息安全員等設置情況。按照《國務院辦公廳關於加強政府信息系統安全和保密管理工作的通知》要求，各部門應明確一名副職領導主管信息安全工作，應指定一個專門機構承擔信息安全管理工作，各內設機構應指定一名專職或兼職信息安全員。

（二）日常信息安全管理

1.人員管理。查驗相關文檔、文件、記錄等，檢查信息安全和保密責任制建立及落實情況，人員離崗離職信息安全管理情況，外部人員訪問機房等重要區域管理情況，違反制度規定造成信息安全事件的責任查處情況等。

2.資產管理。查驗相關文檔、台賬、記錄等，檢查資產管理制度建立及落實情況，辦公軟件、應用軟件等安裝與使用情況，計算機及相關設備維修維護管理、存儲設備報廢銷燬管理情況等。

3.運維管理。查閲相關文檔和記錄，檢查信息系統運營和使用權限管理、重要變更審批備案、日常運維操作管理、安全日誌定期備份和分析等情況。對於委託外單位運行管理的，應查看服務合同和安全保密協議等。

（三）等級保護與風險評估

1.等級保護。檢查信息安全等級保護有關文件要求的落實情況。通過查看等級保護定級備案、等級測評報告等相關文檔，檢查信息系統定級、測評、整改等情況。

2.風險評估。檢查信息安全風險評估有關文件要求的落實情況。通過查看風險評估報告等，檢查風險評估工作的開展情況。

（四）技術防護手段建設

1.網絡邊界安全防護。檢查系統總體網絡架構、子系統分佈、終端節點、區域劃分及邊界防護、網絡管理等情況；互聯網接入情況；終端接入互聯網時是否有安全信息提示措施等。

2.信息安全產品部署及使用。檢查防火牆、入侵檢測、安全審計、病毒防護等信息安全產品部署及使用情況，以及信息安全產品策略配置有效性等。

3.服務器安全防護。檢查服務器上應用、服務、端口、鏈接以及系統補丁等情況，是否關閉了不必要的應用、服務、端口、鏈接；賬號口令強度和更新情況；病毒木馬防護措施，是否定期進行漏洞掃描、病毒木馬檢測等。

4.網絡設備安全防護。檢查安全配置有效性；賬號口令強度和更新情況；是否定期進行漏洞掃描等。

5.終端計算機和移動存儲設備安全防護。檢查終端計算機是否採取集中安全管理措施；計算機賬號口令強度和更新情況；終端計算機接入互聯網安全控制措施（如實名接入、對計算機IP和MAC地址進行綁定、指定固定上網IP地址等）；是否安裝病毒防護軟件，定期進行漏洞掃描、病毒木馬檢測；是否在非涉密和涉密信息系統間混用了計算機和移動存儲設備，是否使用了非涉密計算機處理涉密信息等。

6.門户網站安全防護。檢查網站信息發佈審批制度建立及落實情況；邊界防護、抗拒絕服務攻擊、網頁防篡改等安全防護設備的部署情況，以及安全配置策略的有效性；是否定期進行漏洞掃描、木馬檢測等。

7.密碼技術防護。檢查採用密碼技術對信息系統、終端計算機、電子文檔等進行保護的情況，使用的密碼技術產品及含有密碼技術的信息技術產品是否符合國家密碼管理規定。

8.網絡信任措施。檢查採用數字證書方式實現身份認證和授權管理的情況，使用的數字證書是否符合國家電子認證服務管理規定。

（五）應急管理工作開展

1.應急預案。檢查《雲南省網絡與信息安全事件應急預案》落實情況，是否指定了本部門信息安全應急預案，是否及時修訂，是否組織開展了相應的宣貫培訓。

2.應急演練。檢查是否按照要求開展了信息安全應急演練。對於已開展演練的，應檢查演練相關文檔（包括演練組織單位、參與部門、演練責任人、演練時間、演練內容等）。

3.應急技術支援隊伍。檢查是否按照要求明確了應急技術支援隊伍。對於已明確的，應檢查簽訂的合同和安全保密協議，掌握應急技術支援隊伍的基本情況以及開展的應急技術支援活動等。

4.災難備份。檢查是否根據實際需要對重要數據和信息系統進行了災難備份。對於採用社會第三方災難備份服務的，應檢查簽訂的合同和安全保密協議以及災難備份服務的運維情況等。

5.信息安全事件應急處置。檢查本年度發生的信息安全事件及處置情況。對於發生重大信息安全事件的，應檢查是否進行了及時處置，是否按照要求上報和通報等。（信息安全事件分級依據《雲南省網絡與信息安全事件應急預案》）

（六）信息技術產品和信息安全產品使用

1.信息技術產品。檢查服務器、網絡設備、存儲設備、終端計算機、字處理軟件等使用本國產品的情況。使用捐贈的服務器、網絡設備、存儲陣列等產品，應檢查產品應用範圍、簽訂的相關協議，以及使用前是否進行安全測評等。

2.信息安全產品。檢查防火牆、入侵檢測設備、安全審計設備、VPN設備等信息安全產品使用本國產品的情況。使用捐贈的信息安全產品，應檢查產品應用範圍、簽訂的相關協議，以及使用前是否進行安全測評等。

本指南中的國產終端計算機、國產字處理軟件、國產信息安全產品，暫按以下方法進行認定：（1）國產終端計算機應具有國內品牌，最終產品在中國境內生產，並符合法律法規和政策規定的其他條件。（2）國產字處理軟件應具有國內品牌，最終產品在中國境內生產，擁有核心模塊的自主知識產權和源程序，並符合法律法規和政策規定的其他條件。（3）國產信息安全產品應具有國內品牌，最終產品在中國境內生產，擁有核心模塊的自主知識產權和源程序，通過國家認定的信息安全產品檢測實驗室的檢測，並符合法律法規和政策規定的其他條件。

（七）信息安全服務

查看服務合同、安全保密協議等文件，檢查信息安全服務機構的服務內容，是否有相應的服務記錄，是否有遠程在線服務，是否由外資機構提供服務等。

（八）信息安全教育培訓

檢查領導幹部和機關工作人員參加信息安全教育培訓、掌握信息安全常識和基本技能情況，信息安全管理和技術人員參加信息安全專業培訓情況等。

（九）信息安全經費保障

檢查信息安全防護設施建設、運行、維護、檢查及管理等費用是否納入部門年度預算，以及本年度信息安全經費實際投入情況等，特別是要檢查是否按照《檢查辦法》要求落實了安全檢查工作經費。

（十）安全隱患排查及整改

檢查對2009年度安全檢查中發現問題的整改情況，是否制定了整改措施並及時進行了整改，是否在整改後對信息安全風險和隱患作了進一步的排查和評估。

六、時間安排

可根據實際情況，統籌規劃和組織部署政府信息系統安全檢查工作，對安全檢查工作進行認真總結、分析和評估，並將安全檢查報告報省工業和信息化委。

省工業和信息化委將及時跟蹤、掌握、彙總安全檢查情況，並將安全檢查結果報國家工業和信息化部。

七、工作要求

（一）各部門要把政府信息系統安全檢查列入重要議事日程，切實加強組織領導，完善檢查工作機制，落實檢查工作經費，開展宣傳教育培訓活動，確保檢查工作順利開展。按照《檢查辦法》的要求，參照本指南制定具體的安全檢查實施方案和工作計劃，並認真組織實施。建立信息安全檢查責任制，明確檢查責任，落實檢查組織機構、參與單位及檢查人員。

（二）可組織所屬信息中心等單位開展安全檢查工作，也可根據需要委託外部專業機構協助開展技術檢測工作。

全面參與技術檢測的外部專業機構應至少滿足以下條件：1、事業單位；2、從事信息安全檢測或相關工作兩年以上；3、專業技術檢測人員10人以上，均簽訂二年以上勞動合同；4、參與技術檢測的人員均為中國公民，無違法犯罪紀錄，並簽訂安全保密協議。

（三）委託外部專業機構協助開展技術檢測，應與檢測機構及參與檢測的人員簽訂安全保密協議，明確安全保密責任和義務。

安全保密協議應包含以下內容：1、檢測機構應遵守國家有關法律法規，客觀、公正地提供檢測服務；2、檢測機構應保證所提供相關材料的真實性；3、檢測機構不得向其他單位和個人泄露檢測數據和檢測結果，不得利用檢測數據謀取利益；4、檢測機構應採取有效安全措施，防止因技術檢測引發信息安全事件；5、檢測機構不得將檢測任務分包或轉包。

（四）強化安全檢查過程中的安全保密和風險控制，切實加強對檢查活動、檢查人員以及相關文檔和數據的安全保密管理，周密制定檢查工作應急預案，確保被檢查信息系統的安全正常運行。

八、檢查報告

（一）檢查報告內容

檢查報告主要包括三方面內容：一是信息安全總體情況。包括本年度信息安全工作主要情況，安全檢查工作開展情況及檢查效果，對本部門信息安全狀況的總體評價；二是主要問題及整改情況。包括對2009年度安全檢查發現問題的整改情況，本年度安全檢查發現的主要問題及整改措施；三是經驗總結及意見建議。包括本部門安全檢查工作的經驗總結，對我省信息安全工作特別是安全檢查工作的意見建議。

根據檢查結果填寫《2010年度政府信息系統安全檢查情況報告表》。填寫範圍限於各部門本機機關及派出機構。

根據檢查結果的敏感程度確定檢查報告密級，並在檢查報告上明確標識。

（二）報送方式

檢查報告以各部門辦公廳（室）名義報送省工業和信息化委員會辦公室，包括紙質文件（加蓋單位公章）和電子文檔（光盤）。電子文檔應使用符合國家標準《中文辦公軟件文檔格式規範》（GB/T20916—2007）的文檔格式。支持《中文辦公軟件文檔格式規範》的國產字處理軟件有：金山WPSOffice、永中集成Office、中標普華Office、紅旗貳仟RedOffice等。