黑龙江省2011年度政府信息系统安全检查工作方案(2)

—3—附件：黑龙江省2011年度政府信息系统安全检查工作方案为贯彻落实《中共黑龙江省委关于加强和创新社会管理的若干意见》（黑发〔2011〕5号）、《国务院办公厅关于进一步加强政府网站管理工作的通知》（国办函〔2011〕40号）精神，切实做好2011年度全省政府信息系统安全检查工作，保障建党90周年信息安全，根据国务院办公厅关于印发《政府信息系统安全检查办法》的通知（国办发〔2009〕28号）和《黑龙江省政府信息系统安全检查实施办法》（黑政办发〔2009〕54号）等文件要求，结合我省实际，制定本工作方案。一、检查目的依据国家和省有关政策规定和技术标准，对政府各部门信息安全工作进行全面检查，及时发现存在的主要问题和薄弱环节，完善信息安全管理制度，加强安全防护措施，保障建党90周年信息安全。二、检查原则坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”、属—4—地化管理的原则，突出重点，注重实效。各市（地）、县（市）、各部门、各单位自查与省有关部门组织实施的抽查相结合。三、检查依据（一）政策文件1、《国务院办公厅关于进一步加强政府网站管理工作的通知》（国办函〔2011〕40号）2、《中共黑龙江省委关于加强和创新社会管理的若干意见》（黑发〔2011〕5号）3、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号）4、《国务院办公厅关于印发政府信息系统安全检查办法的通知》（国办发〔2009〕28号）5.《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》（国办发〔2008〕17号）6、《国务院办公厅关于印发国家网络与信息安全事件应急预案的通知》（国办函〔2008〕168号）7、《关于加强党政机关计算机信息系统安全和保密管理的若干规定》（国保发〔2007〕13号）8、《省政府办公厅关于印发〈黑龙江省政府信息系统安全检查实施办法〉的通知》（黑政办发〔2009〕54号）9、其他有关政策规定—5—（二）技术标准1、《2011年政府信息系统安全检查指南》（工信部协〔2011〕214号）2、《信息安全风险评估规范》（GB/T20984-2007）3、《信息安全风险管理指南》（GB/Z24364-2009）4、《信息系统安全等级保护基本要求》（GB/T22239-2008）5、《信息安全管理体系要求》（GB/T22080-2008）6、《信息安全管理实用规则》（GB/T22081-2008）7、《信息系统安全管理要求》（GB/T20269-2006）8、《信息安全事件分类分级指南》（GB/Z20986-2007）9、《信息安全事件管理指南》（GB/Z20985-2007）10、《信息系统灾难恢复规范》（GB/T20988-2007）11、《信息安全应急响应计划规范》（GB/T24363-2009）12、其他有关技术标准四、检查范围检查范围主要是为政府机关履行职能提供支撑的信息系统，包括各县级及以上政府及其组成部门自行运行和维护管理以及委托其他机构运行和维护管理的办公系统、业务系统、网站系统、重点新闻网站等。本年度政府信息系统安全检查以全省政府网站信息系统和面向社会提供公共服务的信息系统为重点。—6—五、检查内容以保障建党90周年信息安全为重点，根据国家《2011年政府信息系统安全检查指南》要求，针对当前政府信息系统存在的薄弱环节，检查安全制度落实情况、安全防范措施落实情况、应急响应机制建设情况、信息技术产品和服务国产化情况、密码技术与产品使用情况、安全教育培训情况、责任追究情况、安全隐患排查及整改情况、运维管理情况、等级保护与风险评估情况、物理环境以及涉密信息与设备的保密管理和密码管理情况等。（一）安全制度落实情况。重点检查信息安全主管领导、管理机构和管理人员的落实情况；是否按照《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》等文件要求，明确一名主管领导负责信息安全工作、指定一个机构承担网站安全管理工作、指定专职或兼职网站维护员；信息安全责任制和保密管理、密码管理、等级保护、重要部门（单位）人员管理等制度的建立和落实情况；信息发布审核和保密审查机制是否健全；网站链接是否经过管理单位审核把关，是否存在错链和断链；是否建立并落实了岗位信息安全和保密责任制度；信息安全经费保障情况；是否对建党90周年期间信息安全保障工作进行了专门部署。（二）安全防范措施落实情况。重点检查网站页面能否正—7—常访问，各栏目及其子栏目内容是否及时更新；网站提供的各项服务和互动功能是否正常；网站系统的密码策略、帐户策略、访问控制、数据加密、安全审计、资源控制、恶意代码防范及防篡改、防攻击、防瘫痪、防泄密等技术措施的有效性；网站系统是否存在数据库注入漏洞、跨站脚本漏洞、源代码泄露等安全隐患；是否对帐户、口令、软件等进行了清理，是否对按照管理级别和管理人员的权限对帐户进行管理；是否对重要服务器上的应用、服务、端口和链接进行了检查。（三）应急响应机制建设情况。重点检查针对网站的应急机制是否健全，是否按照不同的威胁制定了针对网站的应急机制、应急响应制度和应急预案，是否针对入侵、注入、挂马等威胁对网站的应急预案进行演练，是否对网站管理的相关人员进行应急预案的培训和宣贯，应急技术支援队伍建设情况，重大信息安全事件处置情况，网站重要数据的灾难备份情况等，特别是针对建党90周年和国庆等重要时期是否制定了完善的应急方案和工作计划。（四）信息技术产品和服务国产化情况。检查网站服务器、应用软件、信息安全产品等使用国产产品情况；网站系统开发和维护外包情况；网站系统关键服务器、路由器、交换机等使用国产产品的情况；对因特殊原因选用国外信息技术产品和信息安全服务的安全审查情况等。—8—（五）密码技术与产品使用情况。检查信息系统中密码管理相关法律法规和制度的执行情况；是否制定密码安全防护措施和密码安全防护策略。采用密码设备、密码技术进行保护的情况，重点检查违反国家密码管理规定使用密码技术与产品的情况。（六）安全教育培训情况。检查网站管理人员是否参加信息安全教育培训，是否进行安全保密意识教育、安全技能培训，是否对信息安全常识和技能掌握情况进行考核；对敏感岗位人员是否制订了特殊管理措施；重点岗位是否经考核后上岗；是否针对外包服务人员制定安全管理规定。（七）责任追究情况。检查对违反信息安全规定的行为和泄密事故、信息安全事故的查处情况，对责任人和有关负责人的责任追究以及惩处措施落实情况。（八）安全隐患排查及整改情况。检查针对网站系统安全是否制定安全管理制度，是否针对注入、跨站、挂马等入侵方式对网站的安全漏洞进行防范，设备设施等方面存在的漏洞和薄弱环节是否进行分析排查；研究制定整改制度和落实整改措施等情况；是否在网站安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训，部署安全设备，制定防止再次发生的补救措施；是否应妥善保存处理和整改过程中形成的所有文件和记录。—9—（九）运维管理情况。重点检查网站管理单位和运行维护单位职责是否明确，检查是否根据制度维护网站系统，是否按照资产的重要程度对网站设备进行标识管理，是否建立外接介质安全管理制度；是否建立软硬件维护方面的管理制度，对其维护进行有效的管理，包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等；是否对通信线路、服务器、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警，形成记录并妥善保存；是否指定专人对网站网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作。（十）等级保护与风险评估情况。一是检查是否按照信息安全等级保护有关文件要求对网站系统进行等级保护的定级、备案，是否定期进行等级保护测评，查看定级、测评、整改报告等相关文档，检查是否对网站系统等级保护制定测评计划。二是检查是否按照信息安全风险评估有关文件要求对网站系统进行风险评估工作，是否定期对网站系统进行风险评估，查看相关报告等文档，检查是否对网站系统等级保护制定风险评估计划。（十一）物理环境情况。检查网站设备的物理环境设施情况，包括位置选择、物理访问控制、防火、防潮、防盗窃、防雷击、防静电、温湿度控制、电力供应、电磁防护等方面情况。—10—（十二）涉密信息与设备的保密管理情况。检查网站系统是否存在涉密信息，查看是否制定并落实政府信息上网保密审查制度；检查涉密信息系统、设备防护管理措施是否符合保密要求。六、检查方式本次安全检查方式采取自查和抽查相结合，以自查为主。（一）自查。为保障建党90周年网络信息安全，各市（地）、各部门务必于2011年6月30日前完成政府信息系统安全自查，并对查找的信息安全隐患及时采取应对措施，确保网络信息系统安全稳定运行。建党90周年庆祝期间，按照国家和省委省政府的部署，及时向同级信息化主管部门通报情况，发现重大安全隐患，或者发生信息安全事件要按照《黑龙江省网络与信息安全事件应急预案》的规定，及时有效处置信息安全事件。（二）抽查。省工信委、省公安厅、省国家安全厅、省国家保密局、省国家密码管理局将根据各市（地）和各部门自查和政府信息系统安全检查情况，拟于8月1日－9月30日，对本省政府信息系统进行抽查（被抽查的单位和具体时间另行通知）。（三）外部检查。省工信委、省公安厅、省国家安全厅、省国家保密局、省国家密码管理局将采用技术手段对各级各部门政府网站和提供公共服务的信息系统进行外部安全测试检查。—11—（四）及时整改。各市（地）、各部门对检查清理中发现的问题要及时整改，确保信息系统安全稳定运行，上网信息准确、真实，不发生失泄密问题，确保公众能够及时获取政府信息、获得便利的在线服务。对确实无力管好的网络和信息系统，要进行整合或予以关闭。七、检查报告（一）检查报告各市（地）、各县（市）、各部门报送的检查报告。检查报告应包括《2011年度信息安全检查情况报告表》和《2011年度政府网站安全检查专用表》。检查报告包括纸质文档和光盘（电子文档）。电子文档应使用符合国家标准《中文办公软件文档格式规范》（GB/T20916-2007）的文档格式。省直机关各部门、各单位、农垦总局工信委、森工总局工信委于7月30日前将检查报告及相关附件送省工信委信息安全与安全保密处。各县（市）工信委于7月30日前，将本县（市）检查工作总结书面报送上级工信委。各市（地）工信委于8月15日前将本市（地）检查总结报省工信委信息安全与安全保密处。市（地）、县（市）工信委在向上级工信委报告的同时，向本级人民政府报告检查情况。联系方式：电话：0451−8229640582620539—12—电子邮箱：xxaq@nstc.gov.cn（二）检查情况通报省工信委、省公安厅、省国家安全厅、省国家保密局、省国家密码管理局将对各部门自查情况进行汇总综合分析，形成检查报告上报省政府。同时，按照《黑龙江省政府信息系统安全检查实施办法》要求，向各部门通报检查情况。八、工作要求（一）加强组织领导。各市（地）、县（市）和各部门要加强对政府信息安全的组织实施，把网络和信息安全检查列入重要议事日程，切实加强组织，完善检查工作机制，落实检查工作经费，开展宣传教育培训活动，建立健全工作机制，明确检查责任，落实检查组织机构、参与单位及检查人员，保证各项工作有效落实。各级工业和信息化、公安、国家安全、国家保密和密码管理部门要按照《黑龙江省政府信息系统安全检查实施办法》的要求，做好各项监督检查工作。成立由省工业和信息化委员会、省公安厅、省国家安全厅、省国家保密局、省国家密码管理局参加的联合检查组，具体负责组织实施政府信息系统的安全检查工作。联合检查组组长由省工信委主管副主任担任，成员由省工信委、省公安厅、省国家安全厅、省保密局、省密码管理局相关部门处室负责人和有关工作人员组成。—13—（二）强化安全检查过程的安全保密和风险控制。切实加强对检查活动、检查人员以及相关文档和数据的安全保密管理，周密制定检查工作应急预案，确保被检查信息系统的安全正常运行。各市（地）、县（市）、各部门可组织所属信息中心等单位开展检查工作，可以委