时间:2013-09-17 浏览量:4635
为指导各级单位开展信息安全自查工作,依据《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》(国办发﹝2009﹞28号)、《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发﹝2012﹞23号)、《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》(国办发﹝2012﹞102号)等文件精神,参照《信息安全技术政府部门信息安全管理基本要求》(GB/T 29245-2012)等国家信息安全技术标准规范,制定本指南。
本指南供2013年度各级政府部门开展信息安全自查工作时参考。其他单位也可参考本指南结合实际开展信息安全自查工作。
1概述
1.1自查目的
通过开展常态化的信息安全自查,进一步落实我省各地区、各部门重点领域信息安全责任,增强人员信息安全意识,认真查找突出问题和薄弱环节,全面排查安全隐患和安全漏洞,分析评估信息安全状况和防护水平,有针对性地采取管理和技术防护措施,促进安全防范水平和安全可控能力提升,预防和减少重大信息安全事件的发生,切实保障信息安全。
1.2自查工作流程
信息安全自查工作流程通常包括自查工作部署、信息系统基本情况梳理、日常工作情况自查、安全技术检测、自查总结整改等五个环节,如图1所示。
图1信息安全自查工作流程图
1.3自查时间安排
1.自查工作部署阶段:即日起~8月上旬。
2.自查工作实施及总结阶段:8月中旬~9月中旬。
3.各地市及省直政府厅局总结上报阶段:9月30日之前。
2自查工作部署
信息安全自查工作部署通常包括制定自查方案、成立自查工作组、下达自查通知等具体工作。
2.1制定自查方案
本单位信息安全管理部门根据国家信息安全主管部门关于2013年信息安全检查工作的统一安排,结合工作实际,制定自查方案,并报本单位信息安全主管领导批准。
自查方案应当明确以下内容:(1)自查工作负责人、组织机构和具体实施机构;(2)自查范围和自查重点;(3)自查内容;(4)自查工作组织开展方式;(5)自查工作时间进度安排;(6)有关工作要求。
1.关于自查范围。自查的范围通常包括本单位各内设机构,以及为本单位信息系统(包括办公系统、业务系统、网站系统等)提供运行维护支撑服务的下属单位。可根据本单位信息安全保障工作需要,将其他为本单位信息系统提供运维服务、对本单位信息系统安全可能产生重大影响的相关单位纳入自查范围。
2.关于自查重点。在对各类信息系统进行全面自查的基础上,应突出重点,对事关国家安全和社会稳定,对地区、部门或行业正常生产生活具有较大影响的重要信息系统进行重点自查。
3.关于重要信息系统,可根据本单位实际,参考以下标准进行判定:
(1)关系国家安全和社会稳定。
(2)业务依赖度高。
(3)数据集中度高(全国或省级数据集中)。
(4)业务连续性要求高。
(5)系统关联性强(发生重大信息安全事件后,会对与其相连的其他系统造成较大影响,并产生连片连锁反应)。
(6)面向社会公众提供服务,用户数量大,覆盖范围广。
(7)灾备等级高(系统级灾备)。
2.2成立检查工作组
本单位信息安全管理部门制定完成自查方案后,应及时成立自查工作组;组织开展培训,保证工作组成员熟悉自查方案,掌握自查内容、自查工具使用方法等。
工作组成员通常由信息安全管理及运维部门、信息化部门有关人员,相关业务部门中熟悉业务、具备信息安全知识的人员,以及本单位相关技术支撑机构的业务骨干等组成。
2.3下达检查通知
本单位信息安全管理部门应以书面形式部署信息安全自查工作,明确自查时间、自查范围、自查内容、工作要求等具体事项。
3信息系统基本情况梳理
对信息系统进行全面梳理,目的是及时掌握本单位信息系统基本情况,特别是变更情况,以便针对性地开展信息安全管理和防护工作。
3.1基本信息梳理
查验信息系统规划设计方案、安全防护规划设计方案、网络拓扑图等相关文档,访谈信息系统管理人员与工作人员,了解掌握系统基本信息并记录结果(表1),包括:
a)主要功能、部署位置、网络拓扑结构、服务对象、用户规模、业务周期、运行高峰期等;
b)业务主管部门、运维机构、系统开发商和集成商、上线运行及系统升级日期等;
c)定级情况、数据集中情况、灾备情况等。
表1系统基本信息梳理记录表(每个系统一张表)
|
编号 |
|
|
系统名称 |
|
|
主要功能 |
|
|
部署位置 |
|
|
网络拓扑结构 |
|
|
服务对象 |
|
|
用户规模 |
|
|
业务周期 |
|
|
业务主管部门 |
|
|
运维机构 |
|
|
系统开发商 |
|
|
系统集成商 |
|
|
上线运行及最近一次系统升级时间 |
|
|
定级情况 |
|
|
数据集中情况 |
|
|
灾备情况 |
3.2系统构成情况梳理
3.2.1主要硬件构成
重点梳理主要硬件设备类型、数量、生产商(品牌)情况,记录结果(表2)。
硬件设备类型主要有:服务器、路由器、交换机、防火墙、终端计算机、磁盘阵列、磁带库及其他主要安全设备。
表2信息系统主要硬件构成梳理记录表
|
检查项 |
检查结果 | |||||||||||
|
服务器 |
品牌 |
浪潮 |
曙光 |
联想 |
方正 |
IBM |
HP |
DELL |
||||
|
数量 |
||||||||||||
|
其他: 1.品牌,数量 2.品牌,数量(如有更多,可另列表) | ||||||||||||
|
路由器 |
品牌 |
华为 |
中兴 |
H3C |
Cisco |
Juniper |
||||||
|
数量 |
||||||||||||
|
其他: 1.品牌,数量 2.品牌,数量(如有更多,可另列表) | ||||||||||||
|
交换机 |
品牌 |
华为 |
中兴 |
H3C |
Cisco |
Juniper |
||||||
|
数量 |
||||||||||||
|
其他: 1.品牌,数量 2.品牌,数量(如有更多,可另列表) | ||||||||||||
|
防火墙 |
1.品牌,数量 2.品牌,数量(如有更多,可另列表) | |||||||||||
|
终端计算机(含笔记本) |
品牌 |
联想 |
方正 |
长城 |
HP |
DELL |
三星 |
索尼 |
||||
|
数量 |
||||||||||||
|
其他: 1.品牌,数量 2.品牌,数量(如有更多,可另列表) | ||||||||||||
|
其他 |
1.设备类型:,品牌,数量 2.设备类型:,品牌,数量 (如有更多,可另列表) | |||||||||||
3.2.2主要软件构成
重点梳理主要软件类型、套数、生产商(品牌)情况,记录结果(表3)。
软件类型主要有:操作系统、数据库、公文处理软件及主要业务应用系统。
表3信息系统主要软件构成梳理记录表
|
检查项 |
检查结果 | |||||||||||
|
操作系统 |
品牌 |
红旗 |
麒麟 |
Windows |
RedHat |
HP-Unix |
AIX |
Solaris | ||||
|
数量 |
||||||||||||
|
其他: 1.品牌,数量 2.品牌,数量(如有更多,可另列表) | ||||||||||||
|
数据库 |
品牌 |
金仓 |
达梦 |
Oracle |
DB2 |
SQLServer |
||||||
|
数量 |
||||||||||||
|
其他: 1.品牌,数量 2.品牌,数量(如有更多,可另列表) | ||||||||||||
|
公文处理软件 |
品牌 |
|||||||||||
|
数量 |
||||||||||||
|
其他 |
1.设备类型:,品牌,数量 2.设备类型:,品牌,数量 (如有更多,可另列表) | |||||||||||
3.2.3工业控制系统类型与构成
若自查单位不涉及工业控制系统,此部分不列入自查工作范围。
通过调阅资产清单、现场查看、上机检查等方式,检查工业控制系统类型和构成情况,汇总记录检查结果(表4)。
工业控制系统类型主要包括数据采集与监控系统、分布式控制系统、过程控制系统、可编程控制器、就地测控设备(仪表、智能电子设备、远端设备)等。
工业控制系统软硬件主要包括:应用服务器-工程师工作站(组态监控软件、系统软件、PC机/服务器)、数据服务器(数据库软件、系统软件、PC机/服务器)等。
表4工业控制系统类型与构成情况检查记录表
|
检查项 |
检查结果 | |||
|
国内品牌 |
国外品牌 | |||
|
系统类型情况 |
数据采集与监控(SCADA)系统 |
套 |
套 | |
|
分布式控制系统(DCS) |
套 |
套 | ||
|
过程控制系统(PCS) |
套 |
套 | ||
|
可编程控制器(PLC) |
大型 |
台 |
台 | |
|
中型 |
台 |
台 | ||
|
小型 |
台 |
台 | ||
|
就地测控设备 |
仪表 |
台 |
台 | |
|
智能电子设备(IED) |
台 |
台 | ||
|
远端设备(RTU) |
台 |
台 | ||
|
系统构成情况 |
应用服务器-工程师工作站 |
组态监控软件 |
套 |
套 |
|
系统软件 |
套 |
套 | ||
|
PC机/服务器 |
台 |
台 | ||
|
数据服务器 |
数据库软件 |
套 |
套 | |
|
系统软件 |
套 |
套 | ||
|
PC机/服务器 |
台 |
台 | ||
|
通信设备 |
台 |
台 |
4日常工作情况自查
信息安全日常工作情况自查通常包括规章制度完整性、信息安全管理、安全技术防护、信息安全应急、信息安全教育培训等方面情况的自查。
4.1规章制度完整性自查
4.1.1要求
应建立健全信息安全相关管理制度。
4.1.2自查方式
文档查验。
4.1.3自查方法
a)调阅信息安全管理相关制度文档,检查管理制度体系是否健全,即涵盖人员管理、资产管理、采购管理、外包管理、应急管理、教育培训等方面;
b)检查管理制度是否以正式文件等形式发布。
4.2信息安全管理情况自查
4.2.1组织管理情况自查
4.2.1.1要求
a)应明确一名主管领导,负责本单位信息安全管理工作,根据国家法律法规有关要求,结合实际组织制定信息安全管理制度,完善技术防护措施,协调处理重大信息安全事件;
b)应指定一个机构,具体承担信息安全管理工作,负责组织落实信息安全管理制度和信息安全技术防护措施,开展信息安全教育培训和监督检查等;
c)各内设机构应指定一名专职或兼职信息安全员,负责日常信息安全督促、检查、指导工作。信息安全员应当具备较强的信息安全意识和工作责任心,掌握基本的信息安全知识和技能。
4.2.1.2自查方式
文档查验、人员访谈。
4.2.1.3自查方法
a)查验领导分工等文件,检查是否明确了信息安全主管领导;查验信息安全相关工作批示、会议记录等,了解主管领导履职情况;
b)查验本单位各内设机构职责分工等文件,检查是否指定了信息安全管理机构(如工业和信息化部指定办公厅为信息安全管理机构);查验工作计划、工作方案、规章制度、监督检查记录、教育培训记录等文档,了解管理机构履职情况;
c)查验信息安全员列表,检查是否每个内设机构都指定了专职或兼职信息安全员;访谈信息安全员,检查其信息安全意识和信息安全知识、技能掌握情况;查验工作计划、工作报告等相关文档,检查信息安全员日常工作开展情况。
表5组织管理自查结果记录表
|
信息安全主管领导 |
1.姓名:_______________ 2.职务:_______________(本单位正职/副职领导) 3.本年度对信息安全工作进行过批示:□是,批示次数: □否 4.本年度主持召开过信息安全专题会议:□是,会议次数: □否 |
|
信息安全管理机构 |
1.名称:_______________(如办公厅) 2.负责人:_____________职务:________________ 3.联系人:_____________电话:________________ |
|
信息安全专职工作处室 |
1.名称:_______________(如信息中心信息安全处) 2.负责人:_____________电话:________________ |
|
信息安全员 |
1.内设机构数量:_______________ 2.信息安全员数量:_____________ |
4.2.2人员管理情况自查
4.2.2.1要求
a)应建立健全岗位信息安全责任制度,明确岗位及人员的信息安全责任。应与重点岗位的计算机使用和管理人员签订信息安全与保密协议,明确信息安全与保密要求和责任;
b)应制定并严格执行人员离岗离职信息安全管理规定,人员离岗离职时应终止信息系统访问权限,收回各种软硬件设备及身份证件、门禁卡等,并签署安全保密承诺书;
c)应建立外部人员访问机房等重要区域审批制度,外部人员须经审批后方可进入,并安排本单位工作人员现场陪同,对访问活动进行记录并留存;
d)应对信息安全责任事故进行查处,对违反信息安全管理规定的人员给予严肃处理,对造成信息安全事故的依法追究当事人和有关负责人的责任,并以适当方式通报。
4.2.2.2自查方式
文档查验、人员访谈。
4.2.2.3自查方法
a)查验岗位信息安全责任制度文件,检查系统管理员、网络管理员、信息安全员、一般工作人员等不同岗位的信息安全责任是否明确;检查重点岗位人员信息安全与保密协议签订情况;访谈部分重点岗位人员,抽查对信息安全责任的了解程度;
b)查验人员离岗离职管理制度文件,检查是否有终止系统访问权限、收回软硬件设备、收回身份证件和门禁卡等要求;检查离岗离职人员安全保密承诺书签署情况;查验信息系统账户,检查离岗离职人员账户访问权限是否已被终止;
c)查验外部人员访问机房等重要区域的审批制度文件,检查是否有访问审批、人员陪同等要求;查验访问审批记录、访问活动记录,检查记录是否清晰、完整;
d)查验安全事件记录及安全事件责任查处等文档,检查是否发生过因违反制度规定造成的信息安全事件、是否对信息安全事件责任人进行了处置。
表6人员管理自查结果记录表
|
人员管理 |
1.岗位信息安全责任制度:□已建立□未建立 2.重点岗位人员信息安全与保密协议: □全部签订□部分签订□均未签订 3.人员离岗离职安全管理规定:□已制定□未制定 4.离岗离职安全管理措施(可多选): □终止系统访问权限 □收回软硬件设备 □收回身份证件和门禁卡 □签署离岗离职安全承诺书 5.离岗离职安全保密承诺书: □全部签订□部分签订□均未签订 6.外部人员访问机房等重要区域审批制度: □已建立□未建立 7.外部人员访问机房等重要区域记录: □完整□不完整 8.本年度信息安全事故发生及处置情况: □发生过 □已做处置,其中:信息安全责任事故当事人和有关责任人_____人,已处理_____人,其中:通报批评_____人,警告_____人,记过及以上_____人 □未做处置 □未发生过 |
4.2.3资产管理情况自查
4.2.3.1要求
a)应建立并严格执行资产管理制度;
b)应指定专人负责资产管理;
c)应建立资产台账(清单),统一编号、统一标识、统一发放;
d)应及时记录资产状态和使用情况,保证账物相符;
e)应建立并严格执行设备维修维护和报废管理制度。
4.2.3.2自查方式
文档查验、人员访谈。
4.2.3.3自查方法
a)查验资产管理制度文档,检查资产管理制度是否建立;
b)查验设备管理员任命及岗位分工等文件,检查是否明确专人负责资产管理;访谈设备管理员,检查其对资产管理制度和日常工作任务的了解程度;
c)查验资产台账,检查台账是否完整(包括设备编号、设备状态、责任人等信息);查验领用记录,检查是否做到统一编号、统一标识、统一发放;
d)随机抽取资产台账中的部分设备登记信息,查验是否有对应的实物;随机抽取一定数量的实物,查验其是否纳入资产台账,同台账是否相符;
e)查验相关制度文档和记录,检查设备维修维护和报废管理制度建立及落实情况。
表7资产管理自查结果记录表
|
资产管理 |
1.资产管理制度:□已建立□未建立 2.资产管理人员:_____人, 姓名:______________________________ 3.账物相符程度(抽查结果): □完全相符□大部分相符□严重不符 4.资产管理方式: □统一编号、统一发放 □各内设机构分别管理 □其他 5.设备维修维护和报废管理: □已建立管理制度,且维修维护和报废信息(时间、地点、内容、责任人等)记录完整 □已建立管理制度,但维修维护和报废记录不完整 □尚未建立管理制度 |
4.2.4采购管理情况自查
4.2.4.1要求
a)公文处理软件、信息安全产品等应采购安全可控产品,信息安全产品应经过国家认证;
b)接受捐赠的信息技术产品,使用前应进行安全测评,并与捐赠方签订信息安全与保密协议;
c)不得采购社会第三方认证机构提供的信息安全管理体系认证服务;
d)信息系统数据中心、灾备中心不得设立在境外。
4.2.4.2自查方式
文档查验。
4.2.4.3自查方法
a)随机抽取信息安全产品,检查该产品是否有国家统一认证的证明材料,如中国信息安全认证中心颁发的信息安全产品认证证书;
b)对比资产台账及采购清单,检查台账中是否有捐赠的信息技术产品;对于使用中的受赠信息技术产品,检查是否有安全测评报告以及与捐赠方签订的信息安全与保密协议;
c)查验开发、集成、运维等信息安全服务合同,检查是否有非国内厂商提供信息安全服务情况,若有,进一步检查厂商名称及其提供的服务内容;确认未采购社会第三方认证机构提供的信息安全管理体系认证服务;
d)查验数据中心和灾备中心建设规划文档,检查是否设立在境外。
表8采购管理自查结果记录表
|
信息安全产品 |
1.信息安全产品认证情况: □全部通过认证□部分通过认证 未通过认证的安全产品品牌及型号:___________ _____________________________________________ |
|
接受捐赠的 信息技术产品 |
□无 □有 1.受赠产品品牌及型号:___________________ __________________________________________ 2.使用前安全评估:□经过测评□未经测评 3.信息安全与保密协议(与捐赠方): □全部签订□部分签订□均未签订 |
|
数据中心与 灾备中心 |
1.数据中心数量:______个 2.灾备中心数量:______个 3.境外设立数据中心和灾备中心情况: □无 □有,境外设立位置:__________________ |
4.2.5外包服务管理情况自查
4.2.5.1要求
a)应建立并严格执行信息技术外包服务安全管理制度;
b)应与信息技术外包服务提供商签订服务合同和信息安全与保密协议,明确信息安全与保密责任,要求服务提供商不得将服务转包,不得泄露、扩散、转让服务过程中获知的敏感信息,不得占有服务过程中产生的任何资产,不得以服务为由强制要求委托方购买、使用指定产品;
c)信息技术现场服务过程中应安排专人陪同,并详细记录服务过程;
d)外包开发的系统、软件上线应用前应进行安全测评,要求开发方及时提供系统、软件的升级、漏洞等信息和相应服务;
e)信息系统运维外包不得采用远程在线运维服务方式;
4.2.5.2自查方式
文档查验、人员访谈。
4.2.5.3自查方法
a)查验相关文档,检查是否有外包服务安全管理制度;
b)查验信息技术外包服务合同及信息安全与保密协议,检查信息安全责任是否清晰;
c)查验外包人员现场服务记录,查验记录是否完整(包括服务时间、服务人员、陪同人员、工作内容等信息);
d)访谈系统管理员和工作人员,查验安全测评报告,检查外包开发的系统、软件上线前是否进行过信息安全测评及其方式;
e)查验外包服务合同及技术方案等文档,检查是否存在远程在线运维服务;如确需采用远程在线服务的,检查是否对安全风险进行了充分评估并采取了书面审批、访问控制、在线监测、日志审计等安全防护措施。
表9外包服务管理自查结果记录表
|
外包服务管理 |
1.外包服务安全管理制度:□已制定□未制定 2.信息技术外包服务合同及信息安全与保密协议: □全部签订□部分签订□均未签订 3.现场服务记录: □有详细服务记录□仅有现场进出记录 □无记录 4.外包开发系统、软件上线应用前安全测评情况: □均经测评□部分经测评□均未测评 5.信息系统运维安全管理: □无外包服务 □外包服务商现场运维 □外包服务商远程运维 远程运维风险控制措施:□有□无 |
表10外包服务机构自查结果记录表(每个机构一张表)
|
外包服务机构 |
机构名称 |
|
|
机构性质 |
□国有单位□民营企业□外资企业 | |
|
服务内容 |
||
|
信息安全与 保密协议 |
□已签订□未签订 | |
|
信息安全管理体系认证情况 |
□已通过认证,认证机构:_______________ □未通过认证 |
4.2.6经费保障情况自查
4.2.6.1要求
a)应将信息安全设施运行维护、日常信息安全管理、信息安全教育培训、信息安全检查、信息安全风险评估、信息系统等级测评、信息安全应急处置等费用纳入部门年度预算;
b)应严格落实信息安全经费预算,保证信息安全经费投入。
4.2.6.2自查方式
文档查验。
4.2.6.3自查方法
a)会同本单位财物部门人员,查验上一年度和本年度预算文件,检查年度预算中是否有信息安全相关费用;
b)查验相关财务文档和经费使用账目,检查上一年度信息安全经费实际投入情况、信息安全经费是否专款专用。
表11经费保障自查结果记录表
|
经费保障 |
1.信息安全预算范围(可多选): □信息安全防护设施建设费用 □运行维护费用 □日常信息安全管理费用 □教育培训费用 □应急处置费用 □检查评估(含风险评估、等级测评等)费用 □无相关预算 2.上一年度信息安全经费预算额:________万元 3.上一年度信息安全经费实际投入额:_______万元 4.本年度信息安全经费预算额:________万元 |
4.3安全技术防护情况自查
4.3.1物理环境安全情况自查
4.3.1.1要求
物理环境安全应符合《GB 9361-1988计算机场地安全要求》中B类机房要求。
4.3.1.2自查方式
文档查验、现场核查。
4.3.1.3自查方法
a)查验机房设计、改造、施工等相关文档,检查机房防盗窃、防破坏、防雷击、防火、防水、防潮、防静电等措施,并进行核查;现场检查机房备用电源、温湿度控制、电磁防护等安全防护设施;
b)现场检查机房等物理访问控制措施,确认配备门禁系统或有专人值守。
4.3.2网络边界安全防护情况自查
4.3.2.1要求
a)非涉密信息系统与互联网及其他公共信息网络应实行逻辑隔离,涉密信息系统与互联网及其他公共信息网络应实行物理隔离;
b)建立互联网接入审批和登记制度,严格控制互联网接入口数量,加强互联网接入口安全管理和安全防护;
c)应采取访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范等措施,进行网络边界防护;
d)应根据承载业务的重要性对网络进行分区分域管理,采取必要的技术措施对不同网络分区进行防护、对不同安全域之间实施访问控制;
e)应对网络日志进行管理,定期分析,及时发现安全风险。
4.3.2.2自查方式
文档查验、现场核查。
4.3.2.3自查方法
a)查验网络拓扑图,检查重要设备连接情况,现场核查内部办公系统等非涉密系统的交换机、路由器等网络设备,确认以上设备的光纤、网线等物理线路没有与互联网及其他公共信息网络直接连接,有相应的安全隔离措施;
b)查验网络拓扑图,检查接入互联网情况,统计网络外联的出口个数,检查每个出口是否均有相应的安全防护措施(互联网接入口指内部网络与公共互联网边界处的接口,如联通、电信等提供的互联网接口,不包括内部网络与其他非公共网络连接的接口);
c)查验网络拓扑图,检查是否在网络边界部署了访问控制(如防火墙)、入侵检测、安全审计以及非法外联检测、病毒防护等必要的安全设备;
d)分析网络拓扑图,检查网络隔离设备部署、交换机VLAN划分情况,检查网络是否按重要程度划分了安全区域,并确认不同区域间采用了正确的隔离措施;
e)查验网络日志(重点是互联网访问日志)及其分析报告,检查日志分析周期、日志保存方式和保存时限等。
表12网络边界安全防护自查结果记录表
|
互联网接 入情况 |
互联网接入口总数:_____个,其中: □联通接入口数量:____个接入带宽:____兆 □电信接入口数量:____个接入带宽:____兆 □其他:_______接入口数量:_____接入带宽:____兆 |
|
网络隔离 |
1.非涉密信息系统与互联网及其他公共信息网络隔离情况: □物理隔离□逻辑隔离□无隔离 2.涉密信息系统与互联网及其他公共信息网络隔离情况: □物理隔离□逻辑隔离□无隔离 |
|
网络边界 防护措施 |
1.网络边界防护措施: □访问控制□安全审计□边界完整性检查 □入侵防范□恶意代码防范□无措施 2.网络访问日志:□留存日志□未留存日志 |
4.3.3关键设备安全防护情况自查
对承担网络与信息系统运行的关键设备,包括服务器、网络设备、安全设备等的安全防护情况进行检查,保证安全策略配置及防护的有效性。
4.3.3.1自查方式
现场核查。
4.3.3.2自查方法
a)登录恶意代码防护设备(如防病毒网关),检查恶意代码库更新情况;
b)登录服务器(应用系统服务器、数据库服务器),检查口令策略配置情况,包括口令强度和更新频率;检查安全审计策略配置情况,包括审计功能是否启用、操作记录是否留存、日志是否定期分析、是否对异常访问和操作及时进行处置;检查病毒防护情况,包括防病毒软件是否安装、病毒库是否及时更新;检查补丁更新情况,包括操作系统、数据库管理系统等的补丁是否及时更新;
c)登录网络设备、安全设备,检查口令策略配置情况,包括口令强度和更新频率;检查安全审计策略配置情况,包括审计功能是否启用、操作记录是否留存、日志是否定期分析、是否对异常访问和操作及时进行处置;
表13关键设备安全防护情况自查结果记录表
|
关键设备 安全防护情况 |
1.恶意代码防护情况: □已配备防护设备(如防病毒网关) □定期更新恶意代码库 □未定期更新恶意代码库或从未更新 □未配备 2.服务器口令策略配置: 口令长度最低要求:____位 口令更新频率:______ 口令组成(可多选):□字母□数字□特殊字符 3.服务器安全审计: □启用安全审计功能 □定期分析,分析周期:______ □不进行分析 □未启用安全审计功能 4.服务器补丁(操作系统和数据库管理系统补丁)更新情况: □及时更新□更新,但不及时□从未更新 5.网络设备口令策略配置: 口令长度最低要求:____位 口令更新频率:______ 口令组成(可多选):□字母□数字□特殊字符 6.安全设备口令策略配置: 口令长度最低要求:____位 口令更新频率:______ 口令组成(可多选):□字母□数字□特殊字符 |
4.3.4应用系统安全防护情况自查
4.3.4.1基本情况自查
4.3.4.1.1要求
a)应按照GB/T 20984-2007的要求,定期对信息系统面临的安全风险和威胁、薄弱环节以及防护措施的有效性等进行分析评估;
b)应综合考虑信息系统的重要性、涉密程度和面临的信息安全风险等因素,按照国家信息安全等级保护相关政策和技术标准规范,对信息系统实施相应等级的安全管理;
c)应按照GB/T 22240-2008的要求,确定信息系统安全保护等级;
d)应按照GB/T 22239-2008的要求,对信息系统实施相应等级的安全建设和整改;
e)应按照信息系统安全等级保护测评相关要求,对信息系统进行等级测评。
4.3.4.1.2自查方式
文档查验。
4.3.4.1.3自查方法
a)查验信息系统定级报告,检查信息系统定级情况;
b)查验测评报告,检查风险评估、等级测评开展情况。
表14应用系统防护基本情况自查结果记录表
|
基本情况 |
1.系统总数:________________个 2.已定级系统_______个,其中: 第一级:___个 第二级:____个第三级:___个 第四级:____个 第五级:____个 3.本年度经过风险评估、等级测评等的系统数:_____个 |
4.3.4.2门户网站安全防护情况自查
4.3.4.2.1要求
a)网站开通前,应组织专业技术机构进行安全测评,对新增应用要进行安全评估;
b)应定期对网站链接进行安全性和有效性检查;
c)应采取必要的技术措施,提高网站防篡改、防攻击能力,加强网站敏感信息保护;
d)应建立完善网站信息发布审核制度,明确审核程序,严格审核流程。
4.3.4.2.2自查方式
文档查验、人员访谈、现场核查、人工测试。
4.3.4.2.3自查方法
a)查验检测报告等相关文档,检查网站开通或新增应用时是否进行过安全测评;
b)查验相关记录,访谈网站管理员,检查是否定期对网站链接的安全性和有效性进行检查;采用技术工具进行扫描,检测网站链接的有效性;
c)查看防护设备部署情况,检查是否有网页防篡改、抗拒绝服务攻击等功能并进行必要的配置;
d)查验相关记录,检查网站信息发布时是否对内容进行核查、是否经过审批。
表15门户网站安全防护自查结果记录表
|
门户网站 安全防护 |
1.网页防篡改措施: □有,措施为:_____________________□无 2.网站抗拒绝服务攻击措施: □有,措施为:_____________________□无 3.网站内容管理措施: □建立审核制度(发布前内容核查、审批),且审核记录完整 □建立审核制度(发布前内容核查、审批),但审核记录不完整 □无审核记录或无制度要求 |
4.3.4.3电子邮件系统安全防护情况自查
4.3.4.3.1要求
a)应加强电子邮件系统安全防护,采取反垃圾邮件等技术措施;
b)应规范电子邮箱的注册管理,原则上只限于本部门工作人员注册使用;
c)应严格邮箱账户及口令管理,采取技术和管理措施确保口令具有一定强度并定期更换。
4.3.4.3.2自查方式
文档查验、现场核查。
4.3.4.3.3自查方法
a)查验设备部署或配置情况,检查电子邮件系统是否采取了反垃圾邮件技术措施;
b)查验电子邮件系统管理相关规定文档,检查是否有注册审批流程要求;查验服务器上邮箱账户列表,同本单位人员名单进行核对,检查是否有非本单位人员使用;
c)查看邮箱口令策略配置界面,检查电子邮件系统是否设置了口令策略,是否对口令强度和更改周期等进行要求。
表16电子邮件系统安全防护自查结果记录表
|
电子邮件系统安全防护 |
1.反垃圾邮件等技术措施:□有□无 2.邮箱注册:□注册邮箱账户须经审批□随意注册使用 3.账户口令防护: □使用技术措施控制和管理口令强度 □无口令强度控制技术措施 |
4.3.5终端计算机安全防护情况自查
4.3.5.1要求
a)应采用集中统一管理方式对终端计算机进行管理,统一软件下发,统一安装系统补丁,统一实施病毒库升级和病毒查杀,统一进行漏洞扫描;
b)应规范软硬件使用,不得擅自更改软硬件配置,不得擅自安装软件;
c)应加强账户及口令管理,使用具有一定强度的口令并定期更换;
d)应对接入互联网的终端计算机采取控制措施,包括实名接入认证、IP地址与MAC地址绑定等;
e)应定期对终端计算机进行安全审计;
f)非涉密计算机不得存储和处理国家秘密信息。
4.3.5.2自查方式
现场核查、工具检测。
4.3.5.3自查方法
a)查看集中管理服务器,抽查终端计算机,检查是否部署了终端管理系统或采用了其他集中统一管理方式对终端计算机进行管理,包括统一软硬件安装、统一补丁升级、统一病毒防护、统一安全审计等;
b)查看终端计算机,检查是否安装有与工作无关的软件;
c)使用终端检查工具或采用人工方式,检查终端计算机是否配置了口令策略。
d)访谈网络管理员和工作人员,检查是否采取了实名接入认证、IP地址与MAC地址绑定等措施对接入本单位网络的终端计算机进行控制;将未经授权的终端计算机接入网络,测试是否能够访问互联网,验证控制措施的有效性;
e)查验审计记录,检查是否对终端计算机进行了安全审计。
表17终端计算机安全防护自查结果记录表
|
终端计算机 安全防护 |
1.安全管理方式: □集中统一管理(可多选) □规范软硬件安装□统一补丁升级□统一病毒防护 □统一安全审计□对移动存储介质接入实施控制 □分散管理 2.账户口令策略: □所有终端计算机均配置 □部分终端计算机配置 □均未配置 3.接入互联网安全控制措施: □有控制措施 控制措施为:□实名接入□绑定计算机IP和MAC地址 其他:________________________ □无控制措施 4.终端计算机安全审计:□有审计□无审计 |
4.3.6存储介质安全防护情况自查
4.3.6.1要求
a)应严格存储阵列、磁带库等大容量存储介质的管理,采取技术措施防范外联风险,确保存储数据安全;
b)应对移动存储介质进行集中统一管理,记录介质领用、交回、维修、报废、销毁等情况;
c)非涉密移动存储介质不得存储涉及国家秘密的信息,不得在涉密计算机上使用;
d)移动存储介质在接入本部门计算机和信息系统前,应当查杀病毒、木马等恶意代码;
e)应配备必要的电子信息消除和销毁设备,对变更用途的存储介质要消除信息,对废弃的存储介质要进行销毁。
4.3.6.2自查方式
文档查验、人员访谈、现场核查。
4.3.6.3自查方法
a)访谈网络管理员,检查大容量存储介质是否存在远程维护,对于有远程维护的,进一步检查是否有相应的安全风险控制措施;查看光纤、网线等物理线路连接情况,检查大容量存储介质是否在无防护措施情况下与互联网及其他公共信息网络直接连接;
b)查验相关记录,检查是否对移动存储介质进行统一管理,包括统一领用、交回、维修、报废、销毁等;
c)查看服务器和办公终端计算机上的杀毒软件,检查是否开启了移动存储介质接入自动查杀功能;
d)查看设备台账或实物,检查是否配备了电子信息消除和销毁设备。
表18存储介质安全防护自查结果记录表
|
存储介质安全防护 |
1.存储阵列、磁带库等大容量存储介质安全防护: □不外联 □外联,但采取了技术防范措施控制风险 □外联,无技术防范措施 2.移动存储介质管理方式: □集中统一管理□未采取集中管理方式 3.移动存储介质接入本单位系统前: □查杀病毒木马□直接接入 4.电子信息保护: □已配备信息消除或销毁设备 □未配备信息消除或销毁设备 |
4.3.7重要数据安全防护情况自查
4.3.7.1要求
a)应采用技术措施(如加密、分区分域存储等)对存储的重要数据进行保护;
b)应采取技术措施对传输的重要数据进行加密和校验。
4.3.7.2自查方式
现场核查。
4.3.7.3自查方法
a)登录数据存储设备、数据库管理系统,检查是否对重要数据进行了分区分域存储,或者进行加密存储;
b)查验存储设备是否配置了数据传输加密和校验的功能。
表19重要数据安全防护自查结果记录表
|
重要数据安全防护情况 |
1.存储安全防护: □加密存储□分区分域存储□无防护措施 2.传输安全防护: □加密传输□数据校验□无防护措施 |
4.4信息安全应急工作情况自查
4.4.1要求
a)应制定信息安全事件应急预案,原则上每年评估一次,并根据实际情况适时修订;
b)应组织开展应急预案的宣贯培训,确保相关人员熟悉应急预案;
c)每年应开展信息安全应急演练,检验应急预案的可操作性,并将演练情况报信息安全主管部门;
d)应建立信息安全事件报告和通报机制,提高预防预警能力;
e)应明确应急技术支援队伍,做好应急技术支援准备;
f)应做好信息安全应急物资保障,确保必要的备机、备件等资源到位;
g)应根据业务实际需要对重要数据和业务系统进行备份。
4.4.2自查方式
文档查验、人员访谈。
4.4.3自查方法
a)查验预案文本、评估记录等,检查应急预案制定和年度评估修订情况;
b)查验宣贯材料和培训记录,检查是否开展过预案宣贯培训;访谈系统管理员、网络管理员和工作人员,检查其对应急预案的熟悉程度;
c)查验演练计划、方案、记录、总结等文档,检查本年度是否开展了应急演练;
d)查验事件处置记录,检查信息安全事件报告和通报机制建立情况,是否对所有信息安全事件都进行了处置;
e)查验应急技术支援队伍合同及安全协议、参与应急技术演练及应急响应等工作的记录文件,确认应急技术支援队伍能够发挥有效的应急技术支撑作用;
f)查验设备或采购协议,检查是否有信息安全应急保障物资或有供应渠道;
g)查验备份数据和备份系统,检查是否对重要数据和业务系统进行了备份。
表20信息安全应急工作自查结果记录表
|
信息安全应急工作 |
1.应急预案制修订情况: □已制定 本年度评估修订情况:□评估并修订□评估但未修订□未评估 □未制定 2.应急演练情况:□本年度已开展□本年度未开展 3.信息安全事件报告和通报情况: □一年内无重大信息安全事件 □一年内有重大信息安全事件,均已处置并上报 □一年内有未处置的重大信息安全事件 4.应急支援队伍:□部门所属单位□外部专业机构□无 5.备机备件等应急物资: □有现成物资□无现成物资但已明确供应渠道□无 6.重要数据备份: □已备份,备份周期:□实时,□日,□周,□月,□不定期 □未备份 7.重要信息系统备份: □已备份,备份周期:□实时,□日,□周,□月,□不定期 □未备份 |
4.5信息安全教育培训情况自查
4.5.1要求
a)应加强信息安全宣传和教育培训工作,提高信息安全意识,增强信息安全基本防护技能;
b)应定期开展信息安全管理人员和技术人员专业技能培训,提高信息安全工作能力和水平;
c)应记录并保存信息安全教育培训、考核情况和结果。
4.5.2自查方式
文档查验、人员访谈。
4.5.3自查方法
a)查验教育宣传计划、会议通知、宣传资料等文档,检查信息安全形势和警示教育、基本防护技能培训开展情况;
b)访谈机关工作人员,检查信息安全基本防护技能掌握情况;
c)查验培训通知、培训教材、结业证书等,检查信息安全管理和技术人员专业技能培训情况。
表21信息安全教育培训自查结果记录表
|
信息安全教育培训 |
1.本年度信息安全形势和警示教育、基本防护技能培训情况: ①次数:_________次 ②人数:______人(占本单位总人数的比例:______%) 2.本年度信息安全管理和技术人员专业技能培训情况: ①人次:______,②参加专业技能培训的人员比率:_______% |
5安全技术检测
5.1设备安全检测
5.1.1网络设备及安全设备安全检测
a)根据工作实际合理安排年度检测设备数量,每1~3年对所有网络设备及安全设备进行一次技术检测。重要业务系统和门户网站系统的网络设备及安全设备应作为检测重点。网络设备主要包括交换机、路由器等,安全设备主要包括访问控制设备(如防火墙)、入侵检测设备、安全审计产品、VPN、恶意代码防护设备、网页防篡改产品等。
b)使用漏洞扫描等工具检测网络设备及安全设备端口、应用、服务及补丁更新情况,检测是否关闭了不必要的端口、应用、服务,是否存在安全漏洞。
表22网络设备及安全设备检测结果记录表
|
1.网络设备及安全设备抽查清单 | ||||
|
序号 |
设备名称/编号 |
部署位置 |
主管部门 |
运维单位 |
|
1 |
||||
|
… |
||||
|
2.存在高风险漏洞的网络设备及安全设备情况 | ||||
|
序号 |
设备名称/编号 |
主要漏洞列举 |
数量 | |
|
1 |
||||
|
… |
||||
5.1.2服务器安全检测
a)可根据工作实际合理安排年度检测的服务器数量,每1~2年对所有服务器进行一次技术检测,重要业务系统和门户网站系统的服务器应作为检测重点;
b)使用漏洞扫描等工具检测服务器操作系统、端口、应用、服务及补丁更新情况,检测是否关闭了不必要的端口、应用、服务,是否存在安全漏洞;
c)使用病毒木马检测工具,检测服务器是否感染了病毒、木马等恶意代码。
表23服务器安全检测结果记录表
|
1.服务器抽查清单 | ||||
|
序号 |
服务器名称/编号 |
用途/承载的业务系统重要性(按等级) |
主管部门 |
运维单位 |
|
1 |
||||
|
… |
||||
|
2.感染病毒木马等恶意代码的服务器情况 | ||||
|
序号 |
服务器名称/编号 |
病毒木马等恶意代码名称 |
数量 | |
|
1 |
||||
|
2 |
||||
|
… |
||||
|
3.存在高风险漏洞的服务器情况 | ||||
|
序号 |
服务器名称/编号 |
主要漏洞列举 |
数量 | |
|
1 |
||||
|
… |
||||
5.1.3终端计算机安全检测
a)可根据工作实际合理安排终端计算机的年度检测数量,每1~3年对所有终端计算机进行一次技术检测。抽取终端计算机时应依据使用者身份划分,合理选择不同级别、不同工作岗位人员的终端计算机;
b)使用漏洞扫描等工具检测终端计算机操作系统漏洞情况以及补丁更新情况;
c)使用病毒木马检测工具,检测终端计算机是否感染了病毒、木马等恶意代码;
d)使用计算机违规检查和取证工具,检查是否使用非涉密计算机处理涉密信息,是否使用了涉密移动介质。
表24终端计算机安全检测结果记录表
|
1.终端计算机抽查清单 | |||||
|
序号 |
终端名称/编号 |
部门 |
使用人 |
使用人职级 | |
|
1 |
|||||
|
… |
|||||
|
2.感染病毒木马等恶意代码的终端计算机情况 | |||||
|
序号 |
终端名称/编号 |
病毒木马等恶意代码名称 |
数量 | ||
|
1 |
|||||
|
… |
|||||
|
3.存在高风险漏洞的终端计算机情况 | |||||
|
序号 |
终端名称/编号 |
主要漏洞列举 |
数量 | ||
|
1 |
|||||
|
… |
|||||
|
4.非涉密计算机处理涉密信息情况 | |||||
|
序号 |
终端名称/编号 |
数量 |
涉密文件名称 | ||
|
1 |
1._________________________ 2._________________________ | ||||
|
… |
|||||
|
5.非涉密计算机使用涉密移动存储介质信息情况 | |||||
|
序号 |
终端名称/编号 |
数量 |
涉密移动存储介质编号 | ||
|
1 |
1._________________________ 2._________________________ | ||||
|
… |
|||||
5.1.4应用系统安全检测
a)应对业务系统、办公系统和网站系统等相关应用系统进行安全检测,重要业务系统、门户网站至少每年进行一次检测,其他系统每1~2年进行一次检测;
b)使用漏洞扫描等工具测试重要业务系统及网站,检测是否存在安全漏洞;
c)开展渗透测试,检查是否可以获取应用系统权限,验证网站是否可以被挂马、篡改页面、获取敏感信息等,检查系统是否被入侵过(存在入侵痕迹)等。
表25应用系统安全检测结果记录表
|
1.应用系统抽查清单 | |||||
|
序号 |
系统名称 |
域名或IP |
主管部门 |
运维单位 | |
|
1 |
|||||
|
… |
|||||
|
2.存在高、中风险漏洞的应用系统情况 | |||||
|
序号 |
系统名称 |
高、中风险漏洞列举/级别 |
数量 | ||
|
1 |
|||||
|
… |
|||||
|
3.存在入侵痕迹的应用系统情况 | |||||
|
序号 |
系统名称 |
入侵痕迹列举 |
数量 | ||
|
1 |
|||||
|
… |
|||||
6自查总结整改
6.1.1汇总自查结果
自查实施完成后,自查工作组应及时对自查结果进行梳理、汇总,从安全管理、技术防护等方面对自查发现的问题和隐患进行分类整理。
6.1.2分析问题隐患
自查工作组应对自查发现的问题和隐患逐项进行研究,深入分析产生的原因。
结合年度信息安全形势,对本单位面临的信息安全威胁和风险程度、信息系统抵御网络攻击的能力进行评估。
6.1.3研究整改措施
自查工作组在深入分析问题隐患的基础上,研究提出针对性的改进措施建议。
本单位信息安全管理部门应根据自查工作组的建议,组织相关单位和人员进行整改,对于不能及时整改的,要制定整改计划和时间表,整改完成后应及时进行再评估。
6.1.4编写总结报告
本单位信息安全管理部门应组织自查工作组对自查工作进行全面总结,编写自查报告,填写部门检查结果统计表,并按要求及时报送省网络与信息安全协调小组办公室或地区/行业信息安全主管部门。
7注意事项
7.1认真做好总结
要按照2013年度信息安全自查工作的统一要求,进行全面总结,认真编写自查报告。要如实填写部门检查结果统计表,避免出现漏项、错项、前后不一致等情况。要根据自查报告内容的敏感程度,确定密级并在首页明确标识。
7.2加强风险控制
要明确相关工作纪律并严格执行。要识别自查中的安全风险,周密制定应急预案,强化风险控制措施,明确发生重大安全事件时的处置流程,确保被检查信息系统的正常运行。要对技术检测活动的安全风险进行评估,防止引入新的风险,并要求相关人员严格遵守操作规程。应对重要数据和配置进行备份,尽量避开业务高峰期进行技术检测。
需委托外部检测机构进行检测的,要对相关检测机构的安全可靠性及其技术能力、管理水平等严格把关,明确检测机构和检测人员的安全责任。可参考以下条件选取检测机构:①机构安全可控(如事业单位);②开展信息安全检查或相关工作2年以上;③拥有专业安全检查人员10人以上,全部为机构编制内人员或与机构签订2年以上劳动合同的聘用人员;④拥有与开展安全检查相适应的安全检测设备与检测工具;⑤信息安全与保密管理、项目管理、质量管理、人员管理、教育培训等规章制度健全;⑥参与安全检查的人员无犯罪记录,并与机构签订安全保密协议。
7.3加强保密管理
要高度重视保密工作,指定专人负责,对自查活动、自查实施人员以及相关文档和数据进行严格管理,确保自查工作中涉及到的敏感信息得到有效控制;对自查人员进行保密培训,确保自查工作中获知的信息不被泄露,自查数据和自查结果不向其他单位透露。
附件1
2013年度信息安全自查工作
总结报告参考格式
一、自查工作总结报告名称
XXX(地区、部门、行业名称)网络与信息安全自查工作总结报告
二、自查工作总结报告组成
自查工作总结报告包括主报告和检查情况统计表两部分。
三、主报告内容要求
(一)本地区(部门、行业)网络与信息安全自查工作组织开展情况
概述此次安全检查工作组织开展情况、所检查的重要网络与信息系统基本情况。
(二)本地区(部门、行业)信息安全工作情况
详细描述本地区(部门、行业)2013年在信息安全管理、技术防护、应急管理、教育培训等方面开展的工作情况。
(三)2012年度本地区(部门、行业)自查发现问题的整改情况
(四)2013年度本地区(部门、行业)自查发现的主要问题和面临的威胁分析
1.发现的主要问题和薄弱环节
2.面临的安全威胁与风险
3.整体安全状况的基本判断
(五)改进措施及整改效果
1.改进措施
2.整改效果
(六)关于加强信息安全工作的意见和建议
四、信息安全检查情况统计表
检查情况报告表应如实填写,避免出现漏项、错项、前后不一致等情况。(地区、行业部门使用地方/行业信息安全检查结果统计表,省市州政府各部门及各自查单位使用部门信息安全检查结果统计表)
吉公网安备 22010702000218号
