柳州市人民政府办公室关于做好2011年全市政府信息系统安全检查工作的通知
（柳政办〔2011〕121号）

各县、区人民政府，市直机关各委、办、局，各有关单位：

　　根据《广西壮族自治区人民政府办公厅关于做好全区政府信息系统年度安全检查工作的通知》（桂政办发〔2010〕145号）、工业和信息化部《关于印发〈2011年度政府信息系统安全检查指南〉的通知》（工信部协〔2011〕214号）和《广西壮族自治区人民政府办公厅关于做好2011年广西壮族自治区人民政府信息系统安全检查工作的通知》要求，经市人民政府同意，现就做好全市政府信息系统安全检查工作有关事项通知如下：

　　一、根据自治区的要求，从8月5日起至11月30日开展全市政府信息系统安全检查。检查的范围为市直各部门的政府信息系统，市政府及各县区政府门户网站。柳州市政府信息系统安全检查工作领导小组负责全市政府信息系统安全检查的指导和监督工作。

　　二、各级各部门要把政府信息系统安全检查工作列入重要议事日程，加强组织领导，明确检查责任，明确本部门、本单位的检查负责人、联系人和负责机构，落实检查人员和检查经费。

　　三、工作经费安排。全市政府信息系统安全检查工作经费分级负责。市本级经费由市工业和信息化委员会研究提出，报柳州市人民政府批准后，由市财政安排。各县区所需经费由本级财政安排。

　　四、各级各部门要按照《2011年度柳州市政府信息系统安全检查工作实施方案》要求，认真开展政府信息系统安全自查工作，按时上报自查情况，并积极配合做好全市政府信息系统安全检查的抽查工作。

　　五、各单位可依托所属信息中心等单位开展自查工作，也可根据需要委托外部专业机构协助开展，对自查中发现的问题要及时整改，并及时向所属政府信息系统安全检查工作领导小组办公室报告整改情况。



　　根据《国务院办公厅关于印发〈政府信息系统安全检查办法〉的通知》（国办发〔2009〕28号）、工业和信息化部《关于印发〈2011年度政府信息系统安全检查指南〉的通知》（工信部协〔2011〕214号）和《广西壮族自治区人民政府办公厅关于做好2011年广西壮族自治区人民政府信息系统安全检查工作的通知》的要求，为切实做好2011年度柳州市政府信息系统安全检查工作，制定本方案。
　　一、检查目的
　　依据国家信息安全有关政策规定，对各级各部门信息安全工作进行全面检查，掌握信息安全总体状况，发现存在的主要问题和薄弱环节，进一步健全信息安全管理制度，完善信息安全技术措施，提高信息安全防护能力。
　　二、检查原则
　　坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，统筹安排、突出重点、明确责任、注重实效。
　　检查工作以各单位自检为主，市工业和信息化委员会会同有关部门统一组织安全抽查，并委托符合自治区工信委要求的检测机构对被抽查单位信息系统进行现场检查检测，对相应的政府门户网站进行远程检测。
　　三、检查范围
　　市直各部门的政府信息系统，市政府、四城区政府和六县政府门户网站。
　　政府信息系统安全检查的范围是为各部门履行政府职能提供支撑的信息系统，包括自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、网站系统等。各部门的门户网站、重要业务系统是检查重点。
　　涉及国家秘密的信息系统保密检查工作，按照国家保密管理规定执行。
　　四、检查内容
　　（一） 信息安全组织管理
　　1、信息安全管理机构及其工作开展情况。（1）组织制定信息安全工作计划或工作方案情况；（2）组织制定并落实信息安全管理规章制度情况；（3）组织开展信息安全教育培训和督促检查工作情况。
　　2、信息安全员及其工作开展情况。（1）各单位信息安全员指定情况；（2）信息安全员开展督促、检查和指导等日常工作情况。
　　（二） 日常信息安全管理
　　1、人员管理。查验相关文档、文件、记录等，重点检查：（1）岗位信息安全和保密责任制落实，特别是重要岗位信息安全和保密协议签订情况；（2）人员离岗离职信息安全管理情况；（3）外部人员访问机房等重要区域管理情况；（4）违反制度规定造成信息安全事件的责任查处情况等。
　　2、资产管理。查验相关文档、台帐、记录等，重点检查：（1）资产管理制度建立及落实情况，资产台账是否清晰、帐物是否相符；（2）办公软件、应用软件等安装与使用情况，是否有与工作无关的软件；（3）计算机及相关设备维修维护、报废销毁管理情况，是否有相应的登记记录等。
　　3、信息技术外包服务安全管理。针对当前政府部门信息技术外包服务安全风险突出的现状，重点检查系统开发、系统集成、运行维护、灾难备份、数据处理、安全检测、系统托管等外包服务的安全管理：（1）服务机构性质与背景情况，是否由外资机构提供服务；（2）服务合同及安全保密协议签订情况，安全责任是否清晰；（3）人员现场服务记录情况，是否有现场服务监管措施；（4）系统维护方式情况，重点排查远程在线服务带来的安全风险；（5）灾难备份服务情况，重点掌握灾难备份中心设立在境外的情况。
　　4、信息技术产品使用管理。重点检查办公用计算机、公文处理软件、信息安全设备、服务器、网络设备等使用产品的安全可控情况，特别是本年度新采购办公用计算机、公文处理软件、信息安全设备是否满足安全可控要求。
　　5、信息安全经费保障。重点检查信息安全防护设施建设、运行、维护、检查及管理等费用是否纳入部门年度预算，以及本年度信息安全经费实际投入情况等。
　　（三） 信息安全防护管理
　　1、网络边界防护管理。查看系统总体网络架构、子系统分布、终端节点、区域划分及边界防护措施等，重点检查：（1）网络分区分域合理性；（2）安全防护设备策略配制有效性；（3）互联网接入情况，是否有访问互联网的安全控制措施，是否留存互联网访问日志并定期进行分析。
　　2、信息系统安全管理。重点检查信息安全风险评估、等级保护等安全管理制度落实情况。（1）服务器安全防护。重点检查服务器上应用、服务、端口以及系统补丁等情况，是否关闭了不必要的应用、服务、端口；账户口令强度和更新情况；病毒木马防护情况，是否使用技术工具定期进行漏洞扫描、病毒木马检测。（2）网络设备防护。重点检查网络设备安全策略配置的有效性；账户口令强度和更新情况；是否使用技术工具定期进行漏洞扫描。（3）信息安全设备部署及使用。重点检查防病毒、防火墙、入侵检测、安全审计等安全设备部署及使用情况，以及安全策略配置的有效性。
　　3、门户网站安全管理。以防攻击、防挂马、防篡改、防瘫痪、防窃密为目标，对门户网站安全防护情况进行全面检查：（1）系统管理账户和口令，清理无关账户，防止出现空口令、弱口令和默认口令；（2）服务器补丁更新情况，关闭不必要的端口，停止不必要的服务和应用，删除不必要的链接和插件；（3）网站目录机构，删除临时文件，防止敏感信息泄露；（4）信息发布审核制度建立及落实情况；（5）是否使用技术工具定期进行漏洞扫描、木马检测。
　　4、电子邮箱安全管理。重点检查：（1）邮箱使用情况，是否有非本部门人员特别是无关人员使用；（2）账户口令强度及更新情况，是否使用技术措施控制和管理口令，口令强度是否符合要求、是否定期更新。
　　5、终端计算机安全管理。重点检查：（1）是否采取集中安全管理措施；（2）账户口令强度和更新情况；（3）接入互联网安全控制措施（如实名接入认证、对计算机IP和MAC地址进行绑定等）；（4）是否使用技术工具定期进行漏洞扫描、病毒木马检测；（5）在非涉密信息系统和涉密信息系统间混用情况；（6）使用非涉密计算机处理涉密信息情况。
　　6、移动存储设备安全管理。重点检查：（1）是否采取集中安全管理措施；（2）是否配备必要的电子消磁或销毁设备；（3）在非涉密信息系统和涉密信息系统间混用情况。
　　（四） 信息安全应急管理
　　1、应急预案。重点检查本部门信息安全应急预案制定、修订、备案及宣贯培训情况。
　　2、应急演练。重点检查信息安全应急演练情况；已开展演练的，查看演练文档、记录（包括演练计划、演练方案、演练记录、演练总结报告等）。
　　3、应急技术支援。重点检查是否明确了应急技术支援队伍；已明确的，检查其服务合同及安全保密协议签订情况，了解掌握应急技术支援队伍基本情况以及开展的技术支援活动。
　　4、灾难备份。重点检查重要数据和重要信息系统备份情况；对采用社会等三方灾难备份服务的，检查其服务合同及安全保密协议签订情况，了解掌握灾难备份服务设施运维安全管理情况。
　　5、信息安全事件应急处置。重点检查本年度发生的信息安全事件及处置情况；发生过重大信息安全事件的，检查是否进行了及时处置，是否按照要求上报和通报。
　　（五） 信息安全教育培训
　　重点检查信息安全和保密形势教育及警示教育情况，领导干部和机关工作人员参加信息安全基本技能培训情况，信息安全管理和技术人员参加信息安全专业培训情况等。
　　（六） 信息安全检查工作
　　1、上一年度发现问题的整改情况。重点检查：（1）制定的整改计划及采取的整改措施；（2）整改效果以及是否开展了进一步的信息安全风险评估；（3）年度检查情况报告完成情况，是否按国务院要求及时报送，报告是否完整准确、符合要求。
　　2、本年度检查工作开展情况。重点检查：（1）检查工作责任制建立和检查工作经费落实情况；（2）检查工作方案制定及组织实施情况；（3）采取的安全保密和风险控制措施，检查人员、有关文档和数据的安全保密管理情况。
　　3、安全技术检测。组织技术力量，使用必要的技术工具，对服务器、终端计算机、网络设备以及门户网站等信息系统进行安全检测，排查病毒木马、安全漏洞等。
　　五、工作分工及时间安排
　　（一）工作分工
　　柳州市政府信息系统安全检查工作领导小组负责组织、指导市本级、市直各部门及所辖县（区）政府信息安全检查的自查工作；柳州市工业和信息化委员会会同保密、公安等有关部门开展市本级政府信息系统安全检查工作和全市政府信息系统安全抽查工作，并积极配合做好自治区抽查工作。
　　（二）时间安排
　　1、信息安全自查
　　时间：2011年8月5日至8月13日
　　各单位要重点加强对门户网站的安全检查，排查安全漏洞和安全隐患，强化网站安全防护措施，按时完成本年度信息安全自查工作，并根据自查结果，填写《2011年信息安全检查情况报告表》（见附件1），同时，对安全检查工作进行认真总结、分析评估，按照2011年信息安全检查情况报告编写参考格式（见附件2）形成自查情况报告，于8月10日前以书面形式将检查情况报送柳州市政府信息系统安全检查工作领导小组办公室，同时报送电子文档。
　　2、汇总分析和总结上报
　　时间：2011年8月14日至8月15日
　　市政府信息系统安全检查工作领导小组办公室收集、整理、分析各级各部门安全自查情况后，确定抽查方案和抽查单位名单。
　　市政府信息系统安全检查工作领导小组办公室将全市政府信息系统安全检查总体情况进行全面汇总和总结，形成书面报告，经市政府信息系统安全检查工作领导小组审定后，报送自治区工业和信息化委员会。
　　3、全市信息安全抽查

第 [1] [2] 页 共[3]页