赣州市交通局信息系统安全检查实施方案

1赣州市交通局信息系统安全检查实施方案为规范和加强赣州市交通局信息系统安全工作，提高信息安全保障能力，保证赣州市交通局信息系统和信息内容安全，根据国务院办公厅印发的《政府信息系统安全检查办法》和《2009年度江西省政府信息系统安全检查指南》要求，结合我局实际情况，制订本实施方案。一、检查目的针对当前境外敌对势力大肆利用各种手段对我各级政府信息系统进行网络攻击、破坏、窃密活动的严峻形势，通过定期开展全面的安全检查，进行信息系统安全风险评估、安全测评等工作，及时掌握政府信息系统安全状况和面临的威胁，认真查找隐患，堵塞安全漏洞，落实和完善安全措施，建立健全信息安全保障机制，减少安全风险，提高应急处置能力，确保政府信息系统持续安全稳定运行。二、检查范围市交通局局机关及其下属企、事业单位自行运行和维护管理以及委托其他机构运行和维护管理的办公系统、重要业务系统、网站系统。三、检查内容重点检查与网络和信息系统相关的硬件、软件、服务、信息和人员的基本情况，对信息系统存在的管理和技术薄弱环节进行查找、分析归纳；对已有安全管理体系、安全措施进行核实和评价，主要包括以下内容：（一）安全管理制度建立与落实。是否按照要求建立健全了信息安全责任制，做到了机构到位、人员到位、责任到位、措施到位。运维管理、保密管理、密码管理、等级保护、重要部门（重点、敏感岗2位）人员管理制度建立和落实情况。（二）安全防范措施。是否有明确的安全需求及解决方案，是否采取了整体的安全防护措施。重点检查身份认证、访问控制、数据加密、安全审计、责任认定以及防篡改、防病毒、防攻击、防瘫痪、防泄密等技术措施的有效性。检测信息系统是否存在安全漏洞，以及计算机、移动存储设备、电子文档的安全防护措施的落实情况。（三）应急响应机制。应急机构是否健全，应急责任人员及措施是否到位，是否按照要求制定了应急预案，是否对预案进行了宣传贯彻和培训，是否开展了演练，是否明确了应急技术支援队伍。重大信息安全事故发生及处置情况，重要数据和业务系统采取的备份措施及备份方式情况。（四）信息技术产品和服务。计算机、公文处理软件、信息安全产品等使用国产产品情况，重点是信息系统关键部位的服务器、路由器、交换机等使用国产产品的情况，以及信息安全服务外包情况。对因特殊原因选用国外信息安全技术产品和信息安全服务是否进行了安全审查工作，以及审查的方式。（五）安全教育培训情况。是否对工作人员进行了安全和保密意识教育、安全技能培训，以及对信息安全常识和技能掌握情况进行考核。重点、敏感岗位人员是否制定了针对外包服务人员等外来人员的安全管理规定。（六）责任追究情况。重点检查对违反信息安全规定行为和造成泄密事故、信息安全事故的查处情况，对责任人和有关负责人追究以及惩处措施的落实情况。（七）运维管理。是否根据制度维护信息系统，是否存在详细设备、系统运维记录和安全日志分析报告，系统性能的监控措施及运行3状况。（八）开展风险评估、安全测评情况。是否对信息系统进行了风险评估和安全评测，开展方式是自行开展还是委托开展，委托开展是否签订了安全保密协议。（九）信息安全经费保障情况。信息安全经费数额、信息安全经费在信息化建设经费中所占比重及信息安全经费是否按预算计划执行。（十）物理环境。物理环境的建设是否符合国家的相关标准和规范，是否按照国家的相关规定建立机房安全管理制度，机房安全管控措施、防灾措施、供电和通信系统的保障措施是否有效。（十一）安全隐患排查及整改情况。对以往开展的信息安全检查、风险评估和安全测评，发现安全隐患和问题的整改情况。四、检查步骤及时间安排（一）时间安排。从2009年9月开始至2009年12月31日止，用4个月的时间开展交通信息系统安全检查工作。（二）检查准备及自查。成立安全检查领导小组，明确检查责任人，并参照本《实施方案》对检查工作进行安排部署并开始自查。同时，按照要求认真填写《基本信息调查表》和《安全状况调查表》，并由主管领导签字并加盖单位公章。（三）分析总结。根据自查情况，各单位系统分析信息系统的安全状况和安全隐患，查找问题产生的原因，11月底前上报自查报告和附表1、2。（四）问题整改。对检查过程中发现的安全问题，短时间内能完成的要及时整改，不能在短时间内整改的要制订相应整改计划，在一个月内完成整改，并提交整改报告。4（五）检查实施。将组织对各单位信息安全检查整改工作进行抽查。重点检查安全检查领导机构是否完善，责任落实是否到位，《基本信息调查表》和《安全状况调查表》是否如实填写等。五、具体要求（一）市交通系统单位要把政府信息安全检查工作列入重要议事日程，加强组织领导，明确责任，落实人员和经费，保证检查工作顺利进行。为保证此项工作的顺利开展，市局成立“政府信息系统检查领导小组”，组长为刘昌民调研员，成员杨北林、郇为民、范华荣、苏代焕、钟卫东、王庭基。下设办公室，办公室主任为钟卫东。请各单位于2009年11月30日前按文件要求将本单位信息安全检查情况书面报送“政府信息系统检查领导小组办公室”，并提交电子文档。联系人员和方式：周华珍：0797-8399228、刘尧源0797-8399270、传真：0797-8399279邮箱：gzjtw@163.com（二）实施安全检查的机构及人员要严格遵守工作纪律，周密制订应急预案，控制安全风险，加强保密措施，保证被检查信息系统安全正常运行。检查结果除按规定报送外，不得提供给其他单位和个人。对违反信息安全和保密管理规定造成的泄密事件和信息安全事故的，要依法追究当事人和有关负责人的责任。（三）建立信息安全检查工作责任制。凡开展信息安全检查工作，要明确一位检查负责人，检查负责人必须对检查结果负责，未能及时发现问题或漏洞导致安全事故的，要承担相应的责任。附：《基本信息调查表》表1《安全状况调查表》表25表1：基本信息调查1.单位基本情况单位名称（公章）单位地址联系人联系电话Email填表时间信息安全主管领导（签字）职务检查工作负责人（签字）职务-6-2.硬件资产情况2.1.网络设备情况网络设备名称型号物理位置所属网络区域IP地址/掩码/网关系统软件及版本端口类型及数量主要用途是否热备重要程度-7-2.2.安全设备情况安全设备名称型号(软件/硬件)物理位置所属网络区域IP地址/掩码/网关系统及运行平台端口类型及数量主要用途是否热备重要程度-8-2.3.服务器设备情况设备名称型号物理位置所属网络区域IP地址/掩码/网关操作系统版本/补丁安装应用系统软件名称主要业务应用涉及数据是否热备-9-2.4.终端设备情况终端设备名称型号物理位置所属网络区域设备数量IP地址/掩码/网关操作系统安装应用系统软件名称涉及数据主要用途填写说明网络设备：路由器、网关、交换机等。安全设备：防火墙、入侵检测系统、身份鉴别等。服务器设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等。终端设备：办公计算机、移动存储设备。重要程度：依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。-10-3.软件资产情况3.1.系统软件情况系统软件名称版本软件厂商硬件平台涉及应用系统3.2.应用软件情况应用系统软件名称开发商硬件/软件平台C/S或B/S模式涉及数据现有用户数量主要用户角色填写说明系统软件：操作系统、系统服务、中间件、数据库管理系统、开发系统等。应用软件：项目管理软件、网管软件、办公软件等。4.人员资产情况.1、信息系统人员情况岗位名称岗位描述人数兼任人数填写说明岗位名称：1、数据录入员；2、软件开发员；3、桌面管理员；4、系统管理员；5、安全管理员；6、数据库管理员；7、网络管理员；8、质量管理员。-11-5.文档资产情况5.1.信息系统安全文档列表文档类别文档名称填写说明信息系统文档类别：信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档。-12-6.信息系统情况6.1、系统网络拓扑图网络结构图要求：1、应该标识出网络设备、服务器设备和主要终端设备及其名称；2、应该标识出服务器设备的IP地址；3、应该标识网络区域划分等情况；4、应该标识网络与外部的连接等情况；5、应该能够对照网络结构图说明所有业务流程和系统组成。如果一张图无法表示，可以将核心部分和接入部分分别画出，或以多张图表示。-13-6.2、信息系统承载业务情况信息系统名称业务描述业务处理信息类别用户数量用户分布范围重要程度是否通过第三方安全测评填写说明:1、用户分布范围栏填写全国、全省、本地区、本单位2、业务处理信息类别一栏填写：a)国家秘密信息；b)非密敏感信息(机构或公民的专有信息)；c)可公开信息3、重要程度栏填写非常重要、重要、一般4、如通过测评，请填写时间和测评机构名称。6.3、信息系统网络结构情况网络区域名称主要业务和信息描述IP网段地址服务器数量与其连接的其它网络区域网络区域边界设备重要程度责任部门填写说明：1、网络区域主要包括：服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等；2、重要程度填写非常重要、重要、一般。-14-6.4、外联线路及设备端口(网络边界)情况外联线路名称(边界名称)所属网络区域连接对象接入线路种类传输速率(带宽)线路接入设备承载主要业务应用备注6.5、业务数据情况数据名称数据使用者或管理者及其访问权限数据安全性要求数据总量及日增量涉及业务应用涉及存储系统与处理设备保密完整可用注:数据安全性要求每项填写高、中、底-15-6.6、数据备份情况备份数据名介质类型备份周期保存期是否异地保存过期处理方法所属备份系统备注6.7、一年来信息安全事件情况安全事件类别特别重大事件次数重大事件次数较大事件次数一般事件次数线路接入设备承载主要业务应用备注有害程序安全事件网络攻击事件信息破坏事件信息内容安全事件设备设施故障灾害性事件其它事件注：安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》-16-表2：安全状况调查1.安全管理机构安全组织体系是否健全，管理职责是否明确，安全管理机构岗位设置、人员配备是否充分合理。序号检查项结果备注1.信息安全管理机构设置□以下发公文方式正式设置了信息安全管理工作的专门职能机构。□设立了信息安全管理工作的职能机构，但还不是专门的职能机构。□其它。2.信息安全管理职责分工情况□信息安全管理的各个方面职责有正式的书面分工，并明确具体的责任人。□有明确的职责分工，但责任人不明确。□其它。3.人员配备□配备一定数量的系统管理人员、网络管理人员、安全管理人员等;安全管理人员不能兼任网络管理员、系统管理员、数据库管理员等。□配备一定数量的系统管理人员、网络管理人员、安全管理人员等，但安全管理人员兼任网络管理员、系统管理员、数据库管理员等。□其它。4.关键安全管理活动的授权和审批□定义关键安全管理活动的列表，并有正式成文的审批程序，审批活动有完整的记录。□有正式成文的审批程序，但审批活动没有完整的记录。□其它。5.与外部组织沟通合作□与外部组织建立沟通合作机制，并形成正式文件和程序。□与外部组织仅进行了沟通合作的口头承诺。□其它。6.与组织机构内部沟通合作□各部门之间建立沟通合作机制，并形成正式文件和程序。□各部门之间的沟通合作基于惯例，未形成正式文件和程序。□其它。-17-2.安全管理制度安全策略及管理规章制度的完善性、可行性和科学性的有关规章制度的制定、发布、修订及执行情况。检查项结果备注1信息安全策略□明确信息安全策略，包括总体目标、范围、原则和安全框架等内容。□包括相关文件，但内容覆盖不全面。□其它2安全管理制度□安全管理制度覆盖物理、网络、主机系统、数据、应用、建设和管理等层面的重要管理内容。□有安全管理制度，但不全而面。□其它。3操作规程□应对安全管理人员或操作人员执行的重要管理操作建立操作规程。□有操作规程，但不全面。□其它。4安全管理制度的论证和审定□组织相关人员进行正式的论证和审定，具备论证或审定结论。□其它。5安全管理制度的发布□文件发布具备明确的流程、方式和对象范围。□部分文件的发布