活動方案之信息安全自查工作方案

活動方案之信息安全自查工作方案信息安全自查工作方案【篇一：2011年信息安全自查工作方案】信息安全自查工作方案為了進一步加強企業(yè)信息系統(tǒng)的安全管理，強化信息安全和保密意識，提高信息安全保障水平，按照《*****局辦公室關(guān)于對2011年度全省系統(tǒng)信息安全工作進行檢查的通知》（**辦綜[2011]146號）文件精神的要求，并結(jié)合我局計算機管理及操作的實際，經(jīng)研究，制定計算機信息系統(tǒng)安全自查工作方案如下。一、自查目的通過本次信息安全自查，查找薄弱環(huán)節(jié)的安全隱患，堵塞漏洞，完善措施，規(guī)范管理，確保企業(yè)各信息系統(tǒng)的安全。二、自查范圍信息安全組織管理、日常信息安全管理、信息安全防護管理、信息安全應(yīng)急管理、信息安全教育培訓(xùn)、信息安全檢查工作等。三、自查內(nèi)容1、信息安全組織管理自查信息安全管理機構(gòu)及信息安全員開展工作情況。2、日常信息安全管理a.人員管理。自查重要崗位人員是否簽訂了信息安全和保密協(xié)議；人員離崗離職后相關(guān)權(quán)限是否收回；外部人員進入機房等重要區(qū)域是否有完整的記錄；對違反制度規(guī)定造成信息安全事件的責(zé)任人是否進行了責(zé)任查處。b.資產(chǎn)管理。自查是否建立了資產(chǎn)管理制度，資產(chǎn)臺賬是否清晰、賬物是否相符；計算機維修和銷毀是否有完整的記錄。c.信息技術(shù)產(chǎn)品使用管理。自查終端計算機操作系統(tǒng)、公文處理軟件是否使用正版軟件；信息安全設(shè)備使用是否符合信息安全等級保護要求（見《信息安全等級保護管理辦法》第二十一條）；應(yīng)用系統(tǒng)是否有嚴(yán)格的用戶權(quán)限管理規(guī)則，用戶賬戶和口令是否有明確的口令強度和更新要求。d.信息安全經(jīng)費保障。自查信息安全防護設(shè)施的建設(shè)、運行、維護、檢查及管理等費用是否納入本單位年度預(yù)算并執(zhí)行。3、信息安全防護管理a.網(wǎng)絡(luò)邊界防護管理。自查是否嚴(yán)格執(zhí)行了內(nèi)外網(wǎng)分離要求，網(wǎng)絡(luò)架構(gòu)、區(qū)域劃分、邊界防護措施，以及安全防護設(shè)備策略配置是否符合信息安全等級保護要求（見《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》的具體條款），是否有訪問互聯(lián)網(wǎng)的安全控制措施，是否留存互聯(lián)網(wǎng)訪問日志并定期進行分析。b.信息系統(tǒng)安全管理。自查是否關(guān)閉了服務(wù)器上不必要的應(yīng)用、服務(wù)和端口，是否定期升級操作系統(tǒng)、中間件、數(shù)據(jù)庫的補??；服務(wù)器和網(wǎng)絡(luò)設(shè)備的賬戶口令強度和更新是否符合信息系統(tǒng)等級保護要求（見《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》和《信息安全技術(shù)公共基礎(chǔ)設(shè)施pki系統(tǒng)安全等級保護技術(shù)要求》的具體條款），是否使用技術(shù)工具定期進行漏洞掃描和病毒木馬檢測；防病毒、防火墻、入侵檢測、安全審計等安全設(shè)備是否處于正常工作狀態(tài)，以及安全策略配置是否有效。c.終端計算機安全管理。自查是否對終端計算機實行聯(lián)網(wǎng)準(zhǔn)入管理措施，是否統(tǒng)一安裝防病毒軟件并定期升級病毒庫；賬戶口令強度和更新是否符合安全要求；是否使用技術(shù)工具定期進行漏洞掃描、病毒木馬檢測；是否使用非涉密計算機處理涉密信息。1）保密復(fù)印機是一種特殊的復(fù)印機，除了有常規(guī)復(fù)印機的掃描、復(fù)印、雙面復(fù)印、印記復(fù)印自動分布、裝訂等文件處理功能外，它獨特的文件保密復(fù)印功能融合了一系列現(xiàn)代化涉密信息技術(shù)，有效地解決了普通復(fù)印機存在的因硬盤、內(nèi)存、網(wǎng)絡(luò)及使用管理不當(dāng)造成的失泄密隱患，是有特殊需要的個人、企業(yè)、軍隊、政府單位的安全辦公設(shè)備。如下：可使用保密復(fù)印件2)保密安全碎紙機可實現(xiàn)對辦公環(huán)境中用過或即將銷毀的無用文件徹底粉碎,保證文件不可恢復(fù)以避免文件攜帶出去。保密安全碎紙機，如圖bmty-sz3）保密u盤也稱安全u盤。采用授權(quán)管理、訪問控制數(shù)據(jù)加解密系統(tǒng)，實現(xiàn)了u盤數(shù)據(jù)的全盤數(shù)據(jù)加密保護和安全區(qū)數(shù)據(jù)開啟的口令控制。其自帶的網(wǎng)絡(luò)監(jiān)控系統(tǒng)可以隨時監(jiān)測u盤所在網(wǎng)絡(luò)的狀態(tài)，實現(xiàn)了外網(wǎng)阻斷。有效防止u盤交叉使用，阻止u盤木馬和病毒危害。從根本上杜絕了u盤泄密的途徑，凈化了u盤的使用環(huán)境。4)辦公內(nèi)部計算機使用檢查工具可實現(xiàn)對辦公內(nèi)部應(yīng)用計算機的安全檢查和保護工作?！酒宏P(guān)于開展網(wǎng)絡(luò)與信息安全專項檢查工作實施方案】關(guān)于開展網(wǎng)絡(luò)與信息安全專項檢查工作實施方案為進一步加強網(wǎng)絡(luò)與信息安全管理工作，提高網(wǎng)絡(luò)與信息安全保護水平，根據(jù)省、市要求，決定從年月日至月日，對全專項檢查。一、工作目標(biāo)通過專項檢查，認(rèn)真查找網(wǎng)絡(luò)與信息安全存在的隱患和漏洞，增強各單位的安全意識；全面落實安全組織、安全制度和技術(shù)防范措施，建立和完善安全防范機制，確保網(wǎng)絡(luò)與信息安全。二、組織領(lǐng)導(dǎo)成立牽頭，縣公安局、縣保密局等相關(guān)部門組成，負責(zé)對全政府網(wǎng)絡(luò)與信息安全檢查工作的督導(dǎo)，對重要信息系統(tǒng)進行現(xiàn)場檢查，并做好檢查的匯總分析和上報工作。各單位要制定具體的安全檢查方案，并組織實施。三、檢查范圍專項檢查的重點是黨政機關(guān)門戶網(wǎng)站和辦公系統(tǒng)，以及基礎(chǔ)信息網(wǎng)絡(luò)（公眾電信基礎(chǔ)網(wǎng)絡(luò)、廣播電視傳輸網(wǎng)）和關(guān)系國計民生、國家安全、經(jīng)濟命脈、社會穩(wěn)定的重要信息系統(tǒng)（金融、電力、交通、稅務(wù)、財政、社會保障、供電供水等）。四、專項檢查內(nèi)容（一）信息網(wǎng)絡(luò)安全組織落實情況。信息安全工作職責(zé)的主管領(lǐng)導(dǎo)、專職信息安全員等設(shè)置情況。（二）信息網(wǎng)絡(luò)安全管理規(guī)章制度的建立和落實情況。各單位制訂相關(guān)的信息網(wǎng)絡(luò)安全管理制度，重點是信息網(wǎng)絡(luò)系統(tǒng)中軟環(huán)境、物理環(huán)境、運行環(huán)境、軟件和數(shù)據(jù)環(huán)境等方面管理制度。機房安全、系統(tǒng)運行、人員管理、密碼口令、網(wǎng)絡(luò)通信安全、數(shù)據(jù)管理、信息發(fā)布審核登記、病毒檢測、網(wǎng)絡(luò)安全漏洞檢測、賬號使用登記和操作權(quán)限管理、安全事件倒查、領(lǐng)導(dǎo)責(zé)任追究等制度建立和執(zhí)行情況。（三）技術(shù)防范措施落實情況。各單位在實體、信息、運行、系統(tǒng)和網(wǎng)絡(luò)安全等方面，是否制定安全建設(shè)規(guī)劃和實施方案及應(yīng)急計劃。在防攻擊、防病毒、防篡改、防癱瘓、防竊密方面，是否有科學(xué)、合理、有效的安全技術(shù)防范措施。黨政重要系統(tǒng)中使用的信息產(chǎn)品和外包服務(wù)，是否經(jīng)過國家認(rèn)監(jiān)委、工信部、公安、安全、密碼管理等相關(guān)部門認(rèn)證。（四）執(zhí)行計算機信息系統(tǒng)安全案件、事件報告制度情況。發(fā)生信息安全事件，是否按照報告制度向有關(guān)部門報告。（五）有害信息的制止和防范情況。重點對利用互聯(lián)網(wǎng)散布政治謠言、擾亂社會秩序、宣揚邪教和封建迷信，以及傳播淫穢、色情、暴力、賭博等有害信息進行檢查。（六）黨政機關(guān)保密工作。重點檢查保密規(guī)章制度建設(shè)、領(lǐng)導(dǎo)干部的保密工作，重大涉密活動和重要會議的各項內(nèi)容事先是-2-否經(jīng)過保密審查審批，國家秘密文件、資料和其它物品的管理，涉密的電子設(shè)備、通信和辦公自動化系統(tǒng)是否符合保密要求。（七）重要信息系統(tǒng)等級保護工作開展情況。重點檢查等級保護工作部署和組織實施情況，信息系統(tǒng)安全等級保護定級備案情況，信息安全設(shè)施建設(shè)情況和信息安全整改情況。五、專項檢查方法與步驟本次專項檢查分三個階段進行：（一）自查階段：日—月日。各單位根據(jù)專項檢查內(nèi)容對本單位的網(wǎng)絡(luò)與信息安全工作進行一次全面的自查，對存在的突出安全隱患進行整改，切實加強本單位網(wǎng)絡(luò)與信息安全的防護工作。（二）抽查階段：日—月縣網(wǎng)絡(luò)與信息安全專項檢查工作組組織有關(guān)單位對部分單位進行抽查和信息安全風(fēng)險測評，并提出整改意見。（三）整改階段：日—月日。各單位對自查和抽查中查出的問題、隱患進行整改，并將整改情況于月日前報縣網(wǎng)絡(luò)與信息安全專項檢查工作組（聯(lián)系人：聯(lián)系電話：），縣網(wǎng)絡(luò)與信息安全專項檢查工作組匯總情況后報市網(wǎng)絡(luò)與信息安全專項檢查工作組、省網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組，并對全網(wǎng)絡(luò)與信息安全專項檢查工作進行通報。六、工作要求-3-（一）加強組織領(lǐng)導(dǎo)。各單位要充分認(rèn)識信息安全及本次專項檢查工作的重要性和緊迫性。要按照誰主管誰負責(zé)、誰運行誰負責(zé)的原則，明確分管領(lǐng)導(dǎo)和工作人員。認(rèn)真按照網(wǎng)絡(luò)和信息安全專項檢查內(nèi)容，建立健全安全組織、安全管