信息安全工作方案

信息安全工作方案信息安全工作方案信息安全工作方案一、工作目的按照《云南省工業(yè)和信息化委員會關于開展20夏年度云南省政府信息系統(tǒng)安全檢查工作的通知》要求，根據《國務院辦公廳關于加強政府信息安全和保密管理工作的通知》、《國務院辦公廳關于印發(fā)政府信息系統(tǒng)安全檢查辦法的通知》以及《云南省政府辦公廳關于印發(fā)政府信息系統(tǒng)安全檢查實施辦法的通知》、《20夏年度云南省政府信息系統(tǒng)安全檢查指南》、《昆明市人民政府辦公廳關于印發(fā)昆明市政府信息系統(tǒng)安全檢查工作方案的通知》精神，堅持誰主管誰負責，誰運行誰負責、誰使用誰負責的原則，開展201X年度石林彝族自治縣人民政府信息系統(tǒng)安全檢查工作，貫徹落實國家對于信息安全工作的各項要求，在全縣范圍內對各鄉(xiāng)鎮(zhèn)、各部門信息系統(tǒng)安全工作進行全面檢查，掌握我縣黨政信息系統(tǒng)安全狀況，發(fā)現(xiàn)存在的主要問題和薄弱環(huán)節(jié)，完善信息安全制度，加強安全防護措施，提高信息安全水平。二、組織機構成立石林彝族自治縣網絡信息安全檢查領導小組（以下簡稱領導小組）。組長：和加衛(wèi)（縣人民政府副縣長）副組長：段圳宗（縣信息產業(yè)辦副主任）成員：雷振濤（縣政府辦副主任）第1頁共18頁李學（縣國家保密局局長）張家友（縣公安局網監(jiān)大隊大隊長）張波（縣信息產業(yè)辦）領導小組下設辦公室在縣信息產業(yè)辦，負責組織實施本次安全檢查工作，由段圳宗同志兼任辦公室主任，辦公室工作人員從領導小組成員單位抽調。三、具體工作（一）檢查范圍：各鄉(xiāng)鎮(zhèn)人民政府，縣直各部委辦局在內外網運行的辦公系統(tǒng)、業(yè)務系統(tǒng)、網站系統(tǒng)等。各鄉(xiāng)鎮(zhèn)、各部門的重要業(yè)務系統(tǒng)、門戶網站是檢查重點。（二）按照《政府信息系統(tǒng)安全檢查實施辦法》、《20夏年度云南省政府信息系統(tǒng)安全檢查指南》（附件一），請各鄉(xiāng)鎮(zhèn)、各單位對照進行自檢，并形成書面材料（附電子文檔），填寫《201X年石林彝族自治縣人民政府信息系統(tǒng)安全檢查報告表》（附件二、三）蓋章并附電子文檔，于201X年6月13日前一并報領導小組辦公室。（三）針對當前政府信息系統(tǒng)存在的薄弱環(huán)節(jié)，按照《云南省政府信息系統(tǒng)安全檢查實施辦法》要求，重點檢查以下內容：.信息安全組織機構。.日常信息安全管理。.等級保護與風險評估。.建設防范手段建設。.應急管理工作開展。.信息技術產品和信息安全產品使用。第2頁共18頁.信息安全服務。.信息安全教育培訓。.信息安全經費保障。.安全隱患排除及整改。（四）領導小組對縣重點部門的網絡信息安全進行現(xiàn)場抽查。（五）201X年6月中下旬接受市網絡信息安全檢查工作組到石林檢查，具體檢查單位根據市檢查組通知臨時確定。（六）201X年9月根據我縣的信息安全檢查結果，對檢查中發(fā)現(xiàn)的問題，將按照《政府信息系統(tǒng)安全檢查辦法》的規(guī)定，責令相關部門限期整改，并追究有關人員的責任。（七）自201乂年10月起，各鄉(xiāng)鎮(zhèn)、各單位開展201X年下半年信息安全檢查工作。在上半年工作的基礎上，進行自評、自查并形成書面材料（附電子文檔），填寫《201X年度石林彝族自治縣政府信息系統(tǒng)安全檢查報告表》（附件二、三）蓋章并附電子文檔，于201X年10月15日前一并報領導小組辦公室。四、工作要求各鄉(xiāng)鎮(zhèn)、各部門要把政府信息系統(tǒng)安全檢查工作列入重要議事日程，加強領導，明確檢查責任，落實專職的檢查人員和經費，保證檢查工作順利進行。要求所有參與檢查的人員必須嚴格按照《云南省政府信息系統(tǒng)安全檢查實施辦法》和《20夏年度云南省政府信息系統(tǒng)安全檢查指南》要求開展工作，要特別強調工作中注意信息安全和保密。涉及國家秘密的信息系統(tǒng)保密檢查工作，按照國家保密管理規(guī)定執(zhí)行。第3頁共18頁附件：1.20夏年度云南省政府信息系統(tǒng)安全檢查指南201X年石林彝族自治縣人民政府信息系統(tǒng)安全檢查情況報告表201X年石林彝族自治縣人民政府信息系統(tǒng)安全檢查情況報告表附件1201X年度云南省政府信息系統(tǒng)安全檢查指南為指導規(guī)范201X年度云南省政府信息系統(tǒng)安全檢查工作，依據《國務院辦公廳關于印發(fā)政府信息系統(tǒng)安全檢查辦法的通知》（以下簡稱《檢查辦法》）等文件，參照國家信息安全技術標準規(guī)范，總結20夏年度政府信息系統(tǒng)安全檢查工作，制定本指南。一、檢查目的依據國家及我省有關政策規(guī)定，在201X年12月開展政府信息系統(tǒng)安全檢查工作基礎上，對各部門信息安全工作進行全面檢查，了解掌握政府信息系統(tǒng)安全總體狀況，發(fā)現(xiàn)存在的主要問題和薄弱環(huán)節(jié)，完善信息安全管理制度，加強安全防護措施，提高信息安全工作水平。二、檢查原則堅持誰主管誰負責、誰運行誰負責、誰使用誰負責的原則，統(tǒng)籌安排、突出重點、明確責任、注重實效。各部門自行組織檢查與工業(yè)和信息化委員會會同有關部門統(tǒng)一組織抽查相結合。部門管理的全國性信息系統(tǒng)安全檢查工作，由主管部門統(tǒng)一組織部署。第4頁共18頁三、檢查范圍本指南所稱政府信息系統(tǒng)安全檢查，是指依據國家有關政策規(guī)定，參照國家信息安全技術標準規(guī)范，對政府信息系統(tǒng)安全工作進行檢測評估、查找隱患、堵塞漏洞、規(guī)范管理、完善措施、落實整改、通報情況的過程，包括進行信息安全風險評估、安全檢測、等級測評等。政府信息系統(tǒng)安全檢查的范圍是為各部門履行職能提供支撐的信息系統(tǒng)，包括自行運行維護管理以及委托其他機構運行維護管理的辦公系統(tǒng)、業(yè)務系統(tǒng)、網站系統(tǒng)等。各部門的重要業(yè)務系統(tǒng)、門戶網站是檢查重點。涉及國家秘密的信息系統(tǒng)保密檢查工作，按照國家保密管理規(guī)定執(zhí)行。四、檢查依據（一）政策文件.《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)〔2003〕27號）.《國務院辦公廳關于印發(fā)政府信息系統(tǒng)安全檢查辦法的通知》（國辦發(fā)〔201X〕28號）.《國務院辦公廳關于加強政府信息系統(tǒng)安全和保密管理工作的通知》（國辦發(fā)〔201X〕17號）.《國務院辦公廳關于印發(fā)國家網絡與信息安全事件應急預案的通知》（國辦函〔201X〕168號）.《關于加強黨政機關計算機信息系統(tǒng)安全和保密管理的若干規(guī)定》（國保發(fā)〔201X〕13號）第5頁共18頁.云南省網絡與信息安全協(xié)調小組《關于印發(fā)加強黨政機關信息系統(tǒng)安全和保密管理工作意見的通知》云信安發(fā)〔20夏〕2號.其他有關政策規(guī)定(二)技術標準.《信息安全風險評估規(guī)范》(GBT20984-201X).《信息安全風險管理指南》(GBZ24364-201X).《信息系統(tǒng)安全等級保護基本要求》(GBT22239-201X).《信息安全管理體系要求》(GBT22080-201X).《信息安全管理實用規(guī)則》(GBT22081-201X).《信息系統(tǒng)安全管理要求》(GBT20269-2006).《信息安全事件分類分級指南》(GBZ20986-201X).《信息安全事件管理指南》(GBZ20985-201X).《信息系統(tǒng)災難恢復規(guī)范》(GBT20988-201X).《信息安全應急響應計劃規(guī)范》(GBT24363-201X).其他有關技術標準五、重點檢查內容(一)信息安全組織機構檢查信息安全工作主管領導、信息安全管理機構、各內設機構信息安全員等設置情況。按照《國務院辦公廳關于加強政府信息系統(tǒng)安全和保密管理工作的通知》要求，各部門應明確一名副職領導主管信息安全工作，應指定一個專門機構承擔信息安全管理工作，各內設機構應指定一名專職或兼職信息安全員。(二)日常信息安全管理第6頁共18頁.人員管理。查驗相關文檔、文件、記錄等，檢查信息安全和保密責任制建立及落實情況，人員離崗離職信息安全管理情況，外部人員訪問機房等重要區(qū)域管理情況，違反制度規(guī)定造成信息安全事件的責任查處情況等。.資產管理。查驗相關文檔、臺賬、記錄等，檢查資產管理制度建立及落實情況，辦公軟件、應用軟件等安裝與使用情況，計算機及相關設備維修維護管理、存儲設備報廢銷毀管理情況等。.運維管理。查閱相關文檔和記錄，檢查信息系統(tǒng)運營和使用權限管理、重要變更審批備案、日常運維操作管理、安全日志定期備份和分析等情況。對于委托外單位運行管理的，應查看服務合同和安全保密協(xié)議等。（三）等級保護與風險評估.等級保護。檢查信息安全等級保護有關文件要求的落實情況。通過查看等級保護定級備案、等級測評報告等相關文檔，檢查信息系統(tǒng)定級、測評、整改等情況。.風險評估。檢查信息安全風險評估有關文件要求的落實情況。通過查看風險評估報告等，檢查風險評估工作的開展情況。（四）技術防護手段建設.網絡邊界安全防護。檢查系統(tǒng)總體網絡架構、子系統(tǒng)分布、終端節(jié)點、區(qū)域劃分及邊界防護、網絡管理等情況；互聯(lián)網接入情況；終端接入互聯(lián)網時是否有安全信息提示措施等。.信息安全產品部署及使用。檢查防火墻、入侵檢測、安全審計、病毒防護等信息安全產品部署及使用情況，以及信息安全產品策略配置有效性等。第7頁共18頁.服務器安全防護。檢查服務器上應用、服務、端口、鏈接以及系統(tǒng)補丁等情況，是否關閉了不必要的應用、服務、端口、鏈接；賬號口令強度和更新情況；病毒木馬防護措施，是否定期進行漏洞掃描、病毒木馬檢測等。.網絡設備安全防護。檢查安全配置有效性；賬號口令強度和更新情況；是否定期進行漏洞掃描等。.終端計算機和移動存儲設備安全防護。檢查終端計算機是否采取集中安全管理措施；計算機賬號口令強度和更新情況；終端計算機接入互聯(lián)網安全控制措施（如實名接入、對計算機IP和MAC地址進行綁定、指定固定上網IP地址等）；是否安裝病毒防護軟件，定期進行漏洞掃描、病毒木馬檢測；是否在非涉密和涉密信息系統(tǒng)間混用了計算機和移動存儲設備，是否使用了非涉密計算機處理涉密信息等。.門戶網站安全防護。檢查網站信息發(fā)布審批制度建立及落實情況；邊界防護、抗拒絕服務攻擊、網頁防篡改等安全防護設備的部署情況，以及安全配置策略的有效性；是否定期進行漏洞掃描、木馬檢測等。.密碼技術防護。檢查采用密碼技術對信息系統(tǒng)、終端計算機、電子文檔等進行保護的情況，使用的密碼技術產品及含有密碼技術的信息技術產品是否符合國家密碼管理規(guī)定。.網絡信任措施。檢查采用數字證書方式實現(xiàn)身份認證和授權管理的情況，使用的數字證書是否符合國家電子認證服務管理規(guī)定。（五）應急管理工作開展第8頁共18頁.應急預案。檢查《云南省網絡與信息安全事件應急預案》落實情況，是否指定了本部門信息安全應急預案，是否及時修訂，是否組織開展了相應的宣貫培訓。.應急演練。檢查是否按照要求開展了信息安全應急演練。對于已開展演練的，應檢查演練相關文檔（包括演練組織單位、參與部門、演練責任人、演練時間、演練內容等）。.應急技術支援隊伍。檢查是否按照要求明確了應急技術支援隊伍。對于已明確的，應檢查簽訂的合同和安全保密協(xié)議，掌握應急技術支援隊伍的基本情況以及開展的應急技術支援活動等。.災難備份。檢查是否根據實際需要對重要數據和信息系統(tǒng)進行了災難備份。對于采用社會第三方災難備份服務的，應檢查簽訂的合同和安全保密協(xié)議以及災難備份服務的運維情況等。.信息安全事件應急處置。檢查本年度發(fā)生的信息安全事件及處置情況。對于發(fā)生重大信息安全事件的，應檢查是否進行了及時處置，是否按照要求上報和通報等。（信息安全事件分級依據《云南省網絡與信息安全事件應急預案》）（六）信息技術產品和信息安全產品使用.信息技術產品。檢查服務器、網絡設備、存儲設備、終端計算機、字處理軟件等使用本國產品的情況。使用捐贈的服務器、網絡設備、存儲陣列等產品，應檢查產品應用范圍、簽訂的相關協(xié)議，以及使用前是否進行安全測評等。.信息安全產品。檢查防火墻、入侵檢測設備、安全審計設備、VPN設備等信息安全產品使用本國產品的情況。使用捐贈的信息安全產第9頁共18頁品，應檢查產品應用范圍、簽訂的相關協(xié)議，以及使用前是否進行安全測評等。本指南中的國產終端計算機、國產字處理軟件、國產信息安全產品，暫按以下方法進行認定：（1）國產終端計算機應具有國內品牌，最終產品在中國境內生產，并符合法律法規(guī)和政策規(guī)定的其他條件。（2）國產字處理軟件應具有國內品牌，最終產品在中國境內生產，擁有核心模塊的自主知識產權和源程序，并符合法律法規(guī)和政策規(guī)定的其他條件。（3）國產信息安全產品應具有國內品牌，最終產品在中國境內生產，擁有核心模塊的自主知識產權和源程序，通過國家認定的信息安全產品檢測實驗室的檢測，并符合法律法規(guī)和政策規(guī)定的其他條件。（七）信息安全服務查看服務合同、安全保密協(xié)議等文件，檢查信息安全服務機構的服務內容，是否有相應的服務記錄，是否有遠程在線服務，是否由外資機構提供服務等。（八）信息安全教育培訓檢查領導干部和機關工作人員參加信息安全教育培訓、掌握信息安全常識和基本技能情況，信息安全管理和技術人員參加信息安全專業(yè)培訓情況等。（九）信息安全經費保障檢查信息安全防護設施建設、運行、維護、檢查及管理等費用是否納入部門年度預算，以及本年度信息安全經費實際投入情況等，特別是要檢查是否按照《檢查辦法》要求落實了安全檢查工作經費。第10頁共18頁（十）安全隱患排查及整改檢查對20夏年度安全檢查中發(fā)現(xiàn)問題的整改情況，是否制定了整改措施并及時進行了整改，是否在整改后對信息安全風險和隱患作了進一步的排查和評估。六、時間安排可根據實際情況，統(tǒng)籌規(guī)劃和組織部署政府信息系統(tǒng)安全檢查工作，對安全檢查工作進行認真總結、分析和評估，并將安全檢查報告報省工業(yè)和信息化委。省工業(yè)和信息化委將及時跟蹤、掌握、匯總安全檢查情況，并將安全檢查結果報國家工業(yè)和信息化部。七、工作要求（一）各部門要把政府信息系統(tǒng)安全檢查列入重要議事日程，切實加強組織領導，完善檢查工作機制，落實檢查工作經費，開展宣傳教育培訓活動，確保檢查工作順利開展。按照《檢查辦法》的要求，參照本指南制定具體的安全檢查實施方案和工作計劃，并認真組織實施。建立信息安全檢查責任制，明確檢查責任，落實檢查組織機構、參與單位及檢查人員。（二）可組織所屬信息中心等單位開展安全檢查工作，也可根據需要委托外部專業(yè)機構協(xié)助開展技術檢測工作。全面參與技術檢測的外部專業(yè)機構應至少滿足以下條件：1、事業(yè)單位；2、從事信息安全檢測或相關工作兩年以上；3、專業(yè)技術檢測人員10人以上，均簽訂二年以上勞動合同；第11頁共18頁4、參與技術檢測的人員均為中國公民，無違法犯罪紀錄，并簽訂安全保密協(xié)議。（三）委托外部專業(yè)機構協(xié)助開展技術檢測，應與檢測機構及參與檢測的人員簽訂安全保密協(xié)議，明確安全保密責任和義務。安全保密協(xié)議應包含以下內容：1、檢測機構應遵守國家有關法律法規(guī)，客觀、公正地提供檢測服務；2、檢測機構應保證所提供相關材料的真實性；3、檢測機構不得向其他單位和個人泄露檢測數據和檢測結果，不得利用檢測數據謀取利益；4、檢測機構應采取有效安全措施，防止因技術檢測引發(fā)信息安全事件；5、檢測機構不得將檢測任務分包或轉包。（四）強化安全檢查過程中的安全保密和風險控制，切實加強對檢查活動、檢查人員以及相關文檔和數據的安全保密管理，周密制定檢查工作應急預案，確保被檢查信息系統(tǒng)的安全正常運行。八、檢查報告（一）檢查報告內容檢查報告主要包括三方面內容：一是信息安全總體情況。包括本年度信息安全工作主要情況，安全檢查工作開展情況及檢查效果，對本部門信息安全狀況的總體評價；二是主要問題及整改情況。包括對201X年度安全檢查發(fā)現(xiàn)問題的整改情況，本年度安全檢查發(fā)現(xiàn)的主要問題及整改措施；三是經驗總結及意見建議。包括本部門安全檢查工第12頁共18頁作的經驗總結，對我省信息安全工作特別是安全檢查工作的意見建議。根據檢查結果填寫《201X年度政府信息系統(tǒng)安全檢查情況報告表》。填寫范圍限于各部門本機機關及派出機構。根據檢查結果的敏感程度確定檢查報告密級，并在檢查報告上明確標識。（二）報送方式檢查報告以各部門辦公廳（室）名義報送省工業(yè)和信息化委員會辦公室，包括紙質文件（加蓋單位公章）和電子文檔（光盤）。電子文檔應使用符合國家標準《中文辦公軟件文檔格式規(guī)范》（GBT20916201X）的文檔格式。支持《中文辦公軟件文檔格式規(guī)范》的國產字處理軟件有：金山WPSOffie、永中集成Offie、中標普華Offie、紅旗貳仟RedOffie等。附送：信息安全工作要求信息安全工作要求信息安全工作要求今天，人民銀行組織召開金融信息安全形勢座談會。會議分析了當前我國金融信息安全面臨的形勢，指出了存在的問題與挑戰(zhàn)，明確了下一階段的工作重點。人民銀行黨委委員、行長助理李東榮出席會議并講話。李東榮指出，近年來，金融業(yè)信息化程度不斷提高，對金融業(yè)改革、發(fā)展、壯大發(fā)揮了重要的促進作用。同時，金融業(yè)對信息技術的依賴程第13頁共18頁度越來越大，信息安全保障工作的難度不斷加大,互聯(lián)網應用又進一步加大了信息安全風險的擴散效應。國家對金融信息安全高度重視，有關領導多次作出重要指示，要求金融業(yè)切實采取措施，努力提高信息安全保障水平，堅決打擊危害金融信息安全的犯罪活動。因此，各金融機構要清醒地看到當前我國金融信息安全面臨的形勢，充分認識金融信息安全工作的重要性，未雨綢繆,勇于應對挑戰(zhàn)，進一步做好工作。李東榮強調，要從以下方面做好金融業(yè)信息安全保障工作：一是要提高金融信息安全風險防范意識。各金融機構要深刻認識信息安全風險發(fā)展的新趨勢，從防范系統(tǒng)性金融風險的高度去認識做好金融信息安全工作的重要性和緊迫性，妥善處理數據大集中帶來的風險集中以及互聯(lián)網對金融機構信息安全風險的放大,采取有效措施積極應對。二是完善金融信息安全保障組織機制,加強組織領導。將金融信息安全風險管理納入機構風險管理范疇，避免片面地將信息安全風險防范作為單一的科技工作。落實金融信息安全責任制和問責制,形成各部門有效協(xié)作、齊抓共管的工作局面。三是將金融信息安全管理各項措施落到實處，保障業(yè)務連續(xù)性。做好金融信息安全發(fā)展規(guī)劃，完善金融信息安全保障體系，加強金融信息系統(tǒng)生命周期過程的風險管理，堅決貫徹優(yōu)先恢復系統(tǒng)對外服務的原則，切實加強自主運維能力建設，定期進行風險的深度檢測與評估，加強應急演練，不斷提高應急實戰(zhàn)能力。四是加強指導與服務，協(xié)同防范金融信息安全風險。人民銀行將認真履行國家賦予的工作職責，與金融監(jiān)管部門協(xié)調配合，加強對金融機第14頁共18頁構的指導與服務，通過明確標準規(guī)范引導、加大監(jiān)督檢查力度、完善協(xié)調機制建設等措施,促進金融機構共同提高我國金融信息安全保障能力。21家全國性商業(yè)銀行分管科技工作的負責同志以及人民銀行相關司局、直屬企事業(yè)單位有關負責人參加了會議?！緮U展閱讀篇】格式一般分為：標題、主送機關、正文、署名四部分。標題。一般是根據工作總結的中心內容、目的要求、總結方向來定。同一事物因工作總結的方向一一側重點不同其標題也就不同。工作總結標題有單標題，也有雙標題。字跡要醒目。單標題就是只有一個題目，如《我省干部選任制度改革的一次成功嘗試》。一般說，工作總結的標題由工作總結的單位名稱、工作總結的時間、工作總結的內容或種類三部分組成。如“XX市化工廠1995年度生產工作總結”“XX市XX研究所1995年度工作總結”也可以省略其中一部分，如：“三季度工作總結”，省略了單位名稱。毛澤東的《關于打退第二次反共高潮的總結》，其標題不僅省略了總結的單位名稱，也省略了時限。雙標題就是分正副標題。正標題往往是揭示主題一一即所需工作總結提煉的東西，副標題往往指明工作總結的內容、單位、時間等。例如：辛勤拼搏結碩果一一XX縣氮肥廠一九九五年工作總結——前言。即寫在前面的話，工作總結起始的段落。其作用在于用簡煉的文字概括交代工作總結的問題;或者說明所要總結的問題、時間、地點、背景、事情的大致經過;或者將工作總結的中心內容：主要經驗、成績與效果等作概括的提示;或者將工作的過程、基本情況、突出第15頁共18頁的成績作簡潔的介紹。其目的在于讓讀者對工作總結的全貌有一個概括的了解、為閱讀、理解全篇打下基礎。正文。正文是工作總結的主體，一篇工作總結是否抓住了事情的本質，實事求是地反映出了成績與問題，科學地總結出了經驗與教訓，文章是否中心突出，重點明確、闡述透徹、邏輯性強、使人信，全賴于主體部分的寫作水平與質量。因此，一定要花大力氣把立體部分的材料安排好、寫好。正文的基本內容是做法和體會、成績和缺點、經驗和教訓。1）成績和經驗這是工作總結的目的，是正文的關鍵部分，這部分材料如何安排很重要，一般寫法有二。一是寫出做法，成績之后再寫經驗。即表述成績、做法之后從分析成功的原因、主客觀條件中得出經驗教益。二是寫做法、成績的同時寫出經驗，“寓經驗于做法之中”。也有在做法，成績之后用“心得體會”的方式來介紹經驗，這實際是前一種寫法。成績和經驗是工作總結的中心和重點，是構成工作總結正文的支柱。所謂成績是工作實踐過程中所得到的物質成果和精神成果。所謂經驗是指在工作中取得的優(yōu)良成績和成功的原因。在工作總結中，成績表現(xiàn)為物質成果，一般運用一些準確的數字表現(xiàn)出來。精神成果則要用前后對比的