2011年信息安全自查工作方案

信息安全自查工作方案为了进一步加强企业信息系统的安全管理，强化信息安全和保密意识，提高信息安全保障水平，按照《*****局办公室关于对2011年度全省系统信息安全工作进行检查的通知》（**办综[2011]146号）文件精神的要求，并结合我局计算机管理及操作的实际，经研究，制定计算机信息系统安全自查工作方案如下。一、自查目的通过本次信息安全自查，查找薄弱环节的安全隐患，堵塞漏洞，完善措施，规范管理，确保企业各信息系统的安全。二、自查范围信息安全组织管理、日常信息安全管理、信息安全防护管理、信息安全应急管理、信息安全教育培训、信息安全检查工作等。三、自查内容1、信息安全组织管理自查信息安全管理机构及信息安全员开展工作情况。2、日常信息安全管理a.人员管理。自查重要岗位人员是否签订了信息安全和保密协议；人员离岗离职后相关权限是否收回；外部人员进入机房等重要区域是否有完整的记录；对违反制度规定造成信息安全事件的责任人是否进行了责任查处。b.资产管理。自查是否建立了资产管理制度，资产台账是否清晰、账物是否相符；计算机维修和销毁是否有完整的记录。c.信息技术产品使用管理。自查终端计算机操作系统、公文处理软件是否使用正版软件；信息安全设备使用是否符合信息安全等级保护要求（见《信息安全等级保护管理办法》第二十一条）；应用系统是否有严格的用户权限管理规则，用户账户和口令是否有明确的口令强度和更新要求。d.信息安全经费保障。自查信息安全防护设施的建设、运行、维护、检查及管理等费用是否纳入本单位年度预算并执行。3、信息安全防护管理a.网络边界防护管理。自查是否严格执行了内外网分离要求，网络架构、区域划分、边界防护措施，以及安全防护设备策略配置是否符合信息安全等级保护要求（见《信息安全技术信息系统安全等级保护基本要求》的具体条款），是否有访问互联网的安全控制措施，是否留存互联网访问日志并定期进行分析。b.信息系统安全管理。自查是否关闭了服务器上不必要的应用、服务和端口，是否定期升级操作系统、中间件、数据库的补丁；服务器和网络设备的账户口令强度和更新是否符合信息系统等级保护要求（见《信息安全技术信息系统安全等级保护基本要求》和《信息安全技术公共基础设施PKI系统安全等级保护技术要求》的具体条款），是否使用技术工具定期进行漏洞扫描和病毒木马检测；防病毒、防火墙、入侵检测、安全审计等安全设备是否处于正常工作状态，以及安全策略配置是否有效。c.终端计算机安全管理。自查是否对终端计算机实行联网准入管理措施，是否统一安装防病毒软件并定期升级病毒库；账户口令强度和更新是否符合安全要求；是否使用技术工具定期进行漏洞扫描、病毒木马检测；是否使用非涉密计算机处理涉密信息。d.移动存储设备安全管理。检查是否采取技术措施对联网计算机使用移动存储介质实行集中安全管理；是否在非涉密信息系统和涉密信息系统间混用移动存储介质。4、信息安全应急管理应急预案和应急演练。自查是否制订（修订）了信息安全应急预案；是否明确了应急技术支援队伍；是否通过应急演练验证应急预案的可操作性；发生重大信息安全事件时是否进行了及时处理并按照要求上报和通报。5、信息安全检查工作a.自查信息安全管理制度建设情况。是否按照要求完善信息安全制度。b.自查本年度检查工作开展情况。是否制订了检查工作方案；是否对财务、人事、销售等业务部门，以及物流中心进行了信息安全检查。四、方法步骤1、学习动员组织召开会议，进行动员学习相关文件精神，让干部职工充分认识开展计算信息系统安全自查工作的重要性和具体的目标要求，增强干部职工参与计算信息系统安全自查工作的自觉性和责任感，为此项活动的开展打下良好的认知基础，促进我局计算信息系统安全自查工作的开展。2、查找问题查找问题过程是开展好自查工作的基础，也是决定自查工作能否取得实效的关键环节。负责人要对照检查内容逐条逐项分析，找出存在的突出问题，并制定切实可行的整改措施，确保查找问题工作取得实效。3、深入整改一是对查找出来的问题，认真梳理，分类排队，查明根源，深化整改工作取得实效。二是整章建制，完善机制，针对计算机信息系统安全中存在的突出问题，加强制度建设，制定行之有效的制度，建立计算机信息系统安全管理体系，对现有的各项管理制度进行修订、完善，切实发挥制度在计算机信息系统安全管理工作中的作用。三是健全安全教育培训机制，全面提升干部职工对信息安全常识和技能的了解和应用。4、总结提高在组织好自检自查的基础上，认真总结开展计算机信息系统安全管理工作对企业带来的成果，书面形成2011年度信息安全自查情况报告，迎接上级的检查。