信息系统安全检查工作方案.pdf

该【信息系统安全检查工作方案 】是由【青山代下】上传分享，文档一共【8】页，该文档可以免费在线阅读，需要了解更多关于【信息系统安全检查工作方案 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。:..信息系统安全检查工作方案按照上级单位的统一安排部署,自今年7月1日起至年底,在我单位展开年度信息系统安全检查工作,依据《年度信息系统安全检查指南》和《信息系统安全检查工作方案》,结合我单位实际,特制定如下工作方案。一、检查目的依据相关政策规定,在总结去年信息系统安全检查工作的基础上,对各部门信息安全工作实行全面检查,理解掌握信息系统安全现状,发现存有的主要问题和薄弱环节,进一步健全信息安全管理制度,完善安全防护措施,提升信息安全防护水平,提高信息安全工作水平。二、检查原则检查工作以自查和抽查相结合的形式实行,坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”原则,统筹安排、突出重点、明确责任、注重实效。三、组织领导成立信息系统安全检查领导小组,由副所长任组长,某任副组长,各部门负责人为成员。领导小组下设办公室,办公室设在,由兼任办公室主任。领导小组和办公室主要负责信息系统安:..全检查工作的组织协调;制定工作方案,提出工作内容和要求;指导展开检查工作,通报工作进展情况;组织检查工作的考评与总结等。各部门也要明确一名责任人负责本部门的检查工作。四、检查范围全面掌握信息系统安全防护情况。检查重点是重要业务系统和网站、边界接入系统、电子邮件系统、计算机终端等安全情况。全面掌握网络和信息安全管理工作展开情况。检查重点是各单位信息安全管理人员落实情况,日常安全工作机制的建立,日常安全查处机制,信息系统安全等级保护展开情况等。全面掌握年度信息系统安全检查展开情况。检查重点是年度信息系统安全检查组织部署督导情况、经费保障情况,年度安全检查所发现问题的督促整改情况。五、检查内容信息系统安全检查主要包括以下六项检查内容。(一)信息安全组织保障1、检查工作方案落实情况、组织制定并落实信息安全管理规章制度情况、展开信息安全教育培训和督促检查工作情况、安全检查队伍成立和宣传发动等情况。2、检查信息安全管理机构和信息安全员等设置情况,信息安全员展开督促、检查和指导日常工作情况。各单位要明确一名负责人主管信息安全工作,并指定一名信息安全员。3、检查信息安全经费保障情况,信息安全防护设施建设、运行、维护、检查及管理等费用是否纳入部门年度预算,以及本:..年度信息安全经费实际投入情况等,重点检查是否落实了安全检查工作经费。(二)日常信息安全管理1、人员管理。检查信息安全和保密责任制建立及落实情况,查验相关文档、文件、记录等,重点检查:岗位信息安全和保密责任落实,特别是重要岗位信息安全和保密协议签订情况;人员离岗离职信息安全管理情况;违反制度规定造成信息安全事件的责任查处情况等。2、资产管理。检查资产管理制度建立及落实情况,办公软件、应用软件等安装与使用情况,计算机及相关设备维修维护管理情况,存储设备报废销毁管理情况等。3、日常安全巡检。检查是否已建立日常网络安全巡检工作机制,包括PKI/PMI平台、防范病毒、防范入侵和攻击、***、违规行为监控、边界接入平台等安全管理系统的岗位工作手册、巡检记录。4、日常安全通报。检查是否建立安全情况通报网站、是否发布各安全管理系统主要运行情况以及对通报签收处理情况。5、外包服务管理。检查系统开发、系统集成、运行维护、灾难备份、数据处理、安全检测、系统托管等安全管理情况。查看服务机构性质与背景情况,是否由外资机构提供服务;服务合同及安全保密协议签订情况,安全责任是否清晰;人员现场服务记录情况,是否有现场服务监管措施;系统维护方式情况,重点排查远程在线服务带来的安全风险;灾难备份服务情况。:..6、信息技术产品使用管理。检查办公用计算机、公文处理软件、信息安全设备、服务器、网络设备等技术产品的安全可控情况,特别是本年度新采购办公用计算机、公文处理软件、信息安全设备是否满足安全可控要求。7、互联网接入情况。检查是否有访问互联网的安全控制措施,是否留存互联网访问日志并定期实行分析。8、等级保护与风险评估。检查信息安全等级保护相关文件要求的落实情况。通过查看等级保护定级备案、等级测评报告等相关文档,检查信息系统定级、测评、整改等情况。检查信息安全风险评估相关文件要求的落实情况。通过查看风险评估报告等,检查风险评估工作的展开情况。(三)信息安全防护管理信息安全防护管理包括信息系统、计算机终端、存储介质。1、信息系统安全管理。重点检查信息服务、服务器、网络设备、安全设备的系统管理账户和口令是否符合要求,清理无关账户,防止出现空口令、弱口令和默认口令,口令是否认期更新;服务器上的应用、服务、端口以及系统补丁等情况,是否关闭了不必要的应用、服务、端口;病毒木马防护和技术工具定期检测情况,服务器和网络设备是否使用技术工具定期实行***;防病毒、防火墙、入侵检测、安全审计等安全设备部署、使用情况和安全策略配置的有效性。对于如下三类信息系统,还要重点检查。(1)网站系统。重点检查网站抗拒绝服务攻击、网页防篡改等安全防护设备的部署;删除不必要的链接和插件;网站目录:..结构,删除临时文件,防止敏感信息泄露;信息发布审核制度建立及落实情况。(2)邮件系统。重点检查电子邮箱使用情况,是否有非本部门人员特别是无关人员使用;是否使用技术措施控制和管理口令。(3)网络边界接入。重点检查网络分区分域合理性;安全防护设备策略配置有效性;边界接入系统网络架构、业务系统接入、登记注册、安全防护强度等情况;已建边界接入平台的建设审批、测评验收、业务接入、级联上报等安全管理与运行情况。2、计算机终端安全防护应检查如下内容:是否采取集中安全管理措施;账户口令强度和更新情况;是否有设备安全提示标签;终端安全控制措施;是否使用技术工具定期实行***、病毒木马检测;是否存有非涉密信息系统和涉密信息系统间混用情况;是否存有使用非涉密计算机处理涉密信息情况。3、存储介质安全防护应检查如下内容:是否采取集中安全管理措施;是否配备必要的电子消磁或销毁设备;是否存有非涉密信息系统和涉密信息系统间混用情况。(四)信息安全应急管理1、应急预案。重点检查本部门信息安全应急预案制定、修订、备案及宣贯培训情况。2、应急演练。重点检查信息安全应急演练情况;已展开演练的,查看演练文档、记录(包括演练计划、演练方案、演练记录、演练总结报告等)。:..3、应急技术支援队伍。重点检查是否明确了应急技术支援队伍;已明确的,检查其服务合同及安全保密协议签订情况,了解掌握应急技术支援队伍基本情况以及展开的技术支援情况。4、灾难备份。重点检查重要数据和重要信息系统备份情况;对采用第三方灾难备份服务的,检查其服务合同及安全保密协议签订情况,理解掌握灾难备份服务设施运维安全管理情况。5、信息安全事件应急处置。重点检查本年度发生的信息安全事件及处置情况;发生过重大信息安全事件的,检查是否实行了即时处置,是否按照要求上报和通报。(五)信息安全教育培训检查信息安全和保密形势教育及警示教育情况,领导干部和相关工作人员参加信息安全基本技能培训情况,信息安全管理和技术人员参加信息安全专业培训情况等。(六)年度安全检查工作展开情况1、上一年度发现问题的整改情况。重点检查:制定的整改计划及采取的整改措施;整改效果以及是否展开了进一步的信息安全风险评估;年度检查情况报告完成情况,是否按上级单位要求即时报送、报告是否完整准确、符合要求。2、本年度检查工作展开情况。重点检查:检查工作责任制建立和检查工作经费落实情况;检查工作方案制定及组织实施情况;采取的安全保密和风险控制措施,检查人员、相关文档和数据的安全保密管理情况。3、安全技术检测。组织技术力量,使用必要的技术工具开展检查的情况。:..六、时间安排(一)部署发动阶段(7月1日-7月31日):各单位成立本单位信息系统安全检查小组,制订具体的工作措施和办法,确定检查对象范围、落实安全检查工具、展开安全检查培训,完成本年度安全检查工作的部署。(二)自查阶段(8月1日-9月30日):各单位按照《信息系统安全检查指南》和《系统安全检查工作方案》,结合本部门实际,组织展开自查工作,并完成信息系统安全检查和终端安全检查结果,以及信息安全基本情况的网上填报。自查情况上报信息系统安全检查领导小组办公室。(三)抽查阶段(10月1日-11月30日):由信息系统安全检查领导小组及办公室组织对信息系统安全检查展开情况进行抽查。同时迎接上级单位的检查。(四)总结阶段(12月1日-12月31日):对信息系统安全检查工作展开情况实行分析和总结,并予以通报。七、工作要求(一)高度重视,增强领导。每年度的系统安全检查工作是保障和增强信息安全的重要手段,各单位一定要高度重视,切实增强领导,明确责任,统筹协调解决工作中遇到的问题,认真抓好各项工作落实,确保检查工作取得预期的成效。(二)转变作风,落实责任。信息系统安全是工作的基础,是提升工作效能、推动事业发展的有效途径,各单位要发扬求真务实的作风,要认真研究检查指南内容,抓好检查工作技术培训。:..切实保证检查工作落实到位。检查中要擅长即时发现问题、解决问题,确保检查质量,确保检查效果。(三)严格督导,狠抓落实。在信息系统安全检查工作中,各单位要按照本方案并结合辖区实际落实工作。在工作展开过程中,信息系统安全检查领导小组及办公室将组织人员,采取明察暗访等方式,对各单位的展开情况组织检查督导。(四)即时总结,增强报送。在信息系统安全检查工作中,各单位务必要认真总结各阶段工作,并即时上报至信息系统安全检查领导小组办公室。今后对不能按时上报以及漏报、瞒报的单位,将予以通报批评并依照规定扣除绩效考评分数。