衡水保护信息安全的执行计划.docx

衡水市2023年度信息安全检查实行方案一、检查目的通过开展长期化日勺信息安全检查，深入贯彻信息安全责任，增强人员信息安全意识，认真查找突出问题和微弱环节，全面排查安全隐患和安全漏洞，分析评估信息安全状况和防护水平，有针对性地采用管理和技术防护措施，增进安全防备水平和安全可控能力提高，防止和减少重大信息安全事件日勺发生，切实保障信息安全。二、检查范围安全检查的范围包括全市各级政务部门、重要信息系统和都市供水供气供热等市政领域。波及国家秘密的信息系统安全检查，按照国家保密管理规定和原则执行。三、检查内容（一）信息安全管理状况。按照国家信息安全政策和原则规范规定，建立健全信息安全管理规章制度及贯彻状况。重点检查信息安全主管领导、管理机构和工作人员履职状况，信息安全责任制贯彻及事故责任追究状况，人员、资产、采购、外包服务等平常安全管理状况,信息安全经费保障状况等。（二）技术防护状况。网络与信息系统防病毒、防袭击、防篡改、防瘫痪、防泄密等技术措施及有效性。重点检查事关国家安全和社会稳定，对地区、部门或行业正常生产生活具有较大影响日勺重要网络与信息系统（含工业控制系统）的安全防护状况，包括技术防护体系建立状况；网络边界防护措施，不一样网络或信息系统之间安全隔离措施，互联网接入安全防护措施，无线局域网安全防护方略等；服务器、网络设备、安全设备等安全方略配置及有效性，应用系统安全功能配置及有效性；终端计算机、移动存储介质安全防护措施；重要数据传播、存储日勺安全防护措施;采用数字证书进行系统防护的措施等。（三）应急工作状况。按照本市网络与信息安全事件应急预案规定，建立健全信息安全应急工作机制状况。重点检查信息安全事件应急预案制修订状况，应急预案演习状况；应急技术支撑队伍、劫难备份与恢复措施建设状况，重大信息安全事件处置及查处状况等。（四）安全教育培训状况。重点检查信息安全和保密形势宣传教育、领导干部和各级人员信息安全技能培训I、信息安全管理和技术人员专业培训状况等。（五）安全问题整改状况。重点检查以往信息安全检查中发现问题日勺整改状况，包括整改措施、整改效果及复查状况，以及类似问题的排查状况等,分析安全威胁和安全风险，深入评估总体安全状况。四、检查方式按照“谁主管谁负责、谁运行谁负责”的原则，信息安全检查工作以各县市区、各部门自查为主。同步，市网络与信息安全协调小组办公室将组织专业技术队伍对部分重点单位和重要系统进行安全抽查。五、安全自查各县市区结合实际统筹安排当地区政务部门以及供水供气供热等市政领域信息安全自查工作。市直各部门结合实际组织开展本部门安全自查工作。各县市区、各部门（单位）参照本工作方案，结合实际组织制定信息安全检查实行方案，印发检查布署文献，明确自查范围、责任单位、工作安排及工作规定等有关内容，并认真组织实行。可组织开展抽查，督促自查单位开展自查工作，理解掌握自查工作进展状况，采用技术手段深入发现安全问题和微弱环节，并及时研究处理检查工作中碰到日勺重大问题。自查工作完毕后，各县市区、各部门（单位）要对检查状况进行全面汇总总结，填写检查成果记录表，认真梳理存在日勺重要问题，分析评估安全风险，撰写检查总结汇报。六、安全抽查（一）技术抽测。依托省信息安全测评中心，对全市重点网站进行抽测。（二）抽查重点内容。市网络与信息安全协调小组办公室将组织专门人员随机对各县市区、各部门的自查状况进行抽查。1 .现场抽查内容。重点检查被抽查单位自查工作组织开展状况，2023年安全检查发现问题的整改状况，网络架构、安全区域划分的合理性，网络边界防护措施的完备性，服务器、网络设备、安全设备等的安全方略配置、应用系统安全功能配置及其有效性，重要数据传播、存储的安全防护措施。专业技术队伍应对重要设备和应用系统进行安全技术检测，深入挖掘安全漏洞，采用人工方式对安全漏洞日勺可运用性进行验证，协助排查安全隐患，分析评估安全风险。2 .外部检测内容。通过互联网对被抽测网站系统日勺安全风险状况进行外部检测，包括安全漏洞、网页篡改、恶意代码状况以及近年来安全检查中发现问题日勺整改状况等，验证被抽查系统安全防护措施的有效性。七、时间安排（一）自查时间安排。检查工作自本工作方案印发之日起启动。2023年9月25日前，各县市区、各部门（单位）将加盖公章日勺检查总结汇报、检查成果记录表（附件2）、自查状况登记表（附件3,仅市直各单位）和自评估表（附件1,仅市直单位），以与之涉密程度对应日勺信函或等方式报送市网络与信息安全协调小组办公室。各附件可以从.gov网站日勺告知公告栏下载。（二）抽查时间安排。抽查工作自9月2日起启动，9月25日前完毕。八、信息报送（一）为便于理解掌握检查工作进展状况，分别于8月30日和9月16日前，将本县市区、本部门自查工作进展状况发至邮箱。（二）各县市区、各部门（单位）在自查中发现重大安全隐患，或出现因检查工作导致的跨地区、跨部门或跨行业安全问题时，应及时向市网络与信息安全协调小组办公室汇报。九、工作规定（一）加强领导，贯彻责任。各县市区、各部门（单位）要把信息安全检查工作列入重要议事日程，加强组织领导，明确检查责任，建立并贯彻信息安全检查工作责任制，明确检查工作负责人、检查机构和检查人员，安排并贯彻检查工作经费，保证检查工作顺利进行。（二）重视源头，深入检查。各县市区、各部门（单位）要全面细致开展检查工作，重视采用技术检测等手段，深入查找安全问题和隐患，保证检查工作不走过场、不漏环节、不留死角。要高度重视检查中发现的苗头性、趋势性问题，全面系统地分析研究处理，从源头上遏制和消除安全隐患。（三）即查即改，保证成效。各县市区、各部门（单位）对检查中发现日勺问题要及时整改，因条件不具有临时不能整改的问题应采用临时防备措施，保证系统安全正常运行。市网络与信息安全协调小组办公室将及时对检查中发现的问题通报给有关单位，督促有关单位组织风险研判并贯彻整改措施。（四）控制风险，强化保密。各县市区、各部门（单位）和承担抽查任务日勺专业技术队伍要针对检查工作技术性强的特点，强化风险控制措施，周密制定应急预案，保证被检查信息系统时正常运行和重要数据安全。要高度重视保密工作，对检查中有关人员、有关文档和数据进行严格管理，保证检查数据和检查成果不被泄露。通信地址：衡水市育才南大街918号市工业和信息化局（市网络与信息安全协调小组办公室）807室邮政编码:053000联络：2661389附件：L信息安全管理工作自评估表（试行）2 .信息安全检查成果记录表3 .信息安全自查状况登记表附件1市直单位信息安全管理工作自评估表（试行）评估指标评价要素评价原则权重（V）标性指属量化措施（P为量化值）评估得分（VxP）信息安全组织管理信息安全主管领导明确一名主管领导负责本部门信息安全工作（主管领导应为本部门正职或副职领导）。3定性已明确，本年度就信息安全工作作出指示或主持召开专题会议，P=I;已明确，本年度未就信息安全工作作出指示或主持召开专题会议，P=0.5；尚未明确，P=Oo信息安全管理机构指定一种机构详细承担信息安全管理工作（管理机构应为本部门二级机构2定性已指定，并以正式文献等形式明确其职责,P=I;未指定，P=Oo信息安全员各内设机构指定一名专职或兼职信息安全员。2定量P=指定信息安全员日勺内设机构数量与内设机构总数的比率。信息安全平常管理规章制度制度完整性建立信息安全管理制度体系，涵盖人员管理、资产管理、采购管理、外包管理、教育培训等方面。3定性制度完整，P=1;制度不完整，P=0.5；无制度，P=Oo制度公布安全管理制度以正式文献等形式公布。2定性符合，P=I;不符合，P=Oo人员管理重点岗位人员签订安全保密协议重点岗位人员（系统管理员、网络管理员、信息安全员等）签订信息安全与保密协议。2定量P=重点岗位人员中签订信息安全与保密协议的比率。人员离岗离职管理措施人员离岗离职时，收回其有关权限，签订安全保密承诺书。1定性符合，P=1;不符合，P=Oo评估指标评价要素评价原则权重(V)标性指属量化措施(P为量化值)评估得分(VxP)外部人员访问管理措施外部人员访问机房等重要区域时采用审批、人员陪伴、进出记录等安全管理措施。2定性符合，P=I;不符合，P=Oo资产管理责任贯彻指定专人负责资产管理，并明确负责人职责。2定性符合，P=I;不符合，P=Oo建立台账建立完整资产台账，统一编号、统一标识、统一发放。2定性符合，P=1；不符合，P=Oo账物符合度资产台账与实际设备相一致。2定性符合，P=1；不符合，P=Oo设备维修维护和报废管理措施完整记录设备维修维护和报废信息(时间、地点、内容、负责人等)。2定性记录完整，P=1;记录基本完整，P=0.5；记录不完整或无记录，P=Oo外包管理外包服务协议与信息技术外包服务提供商签订信息安全与保密协议，或在服务协议中明确信息安全与保密责任。2定性符合，P=I;不符合，P=Oo现场服务管理现场服务过程中安排专人管理，并记录服务过程。2定性记录完整，P=I;记录不完整，P=0.5；无记录，P=O0外包开发管理外包开发日勺系统、软件上线前通过信息安全测评。2定量P二外包开发日勺系统、软件上线前通过信息安全测评的比率。运维服务方式原则上不得采用远程在线方式，确需采用时采用书面审批、访问控制、在线监测、日志审计等安全防护措施。2定性符合，P=I;不符合，P=Oo经费保障经费预算将信息安全设施运维、平常管理、教育培训、检查评估等费用纳入年度预算。3定性符合，P=I;不符合，P=Oo评估指标评价要素评价原则权重(V)标性指属量化措施(P为量化值)评估得分(VxP)网站内容管理网站信息公布网站信息公布前采用内容核查、审批等安全管理措施。2定性符合，P=I;不符合，P=Oo电子信息管理介质销毁和信息消除配置必要日勺电子信息消除和销毁设备，对变更用途日勺存储介质进行信息消除，对废弃日勺存储介质进行销毁。1定性符合，P=I;不符合，P=Oo息全护理信安防管物理环境安全机房安全具有防盗窃、防破坏、防雷击、防火、防水、防潮、防静电及备用电力供应、温湿度控制、电磁防护等安全措施。3定性符合，P=I;不符合，P=Oo物理访问控制机房配置门禁系统或有专人值守。1定性符合，P=1；不符合，P=Oo网络边界安全访问控制网络边界布署访问控制设备，可以阻断非授权访问。3定性符合，P=1;有设备，但未配置方略，P=0.5；无设备，P=Oo入侵检测网络边界布署入侵检测设备，定期更新检测规则库。3定性符合，P=I;有设备，但未定期更新，P=0.5；无设备，P=Oo安全审计网络边界布署安全审计设备，对网络访问状况进行定期分析审计并记录审计状况。3定性符合，P=I;有设备，但未定期分析，P=0.5；无设备，P=Oo互联网接入口数量各单位同一办公区域内互联网接入口不超过