信息系統(tǒng)安全檢查根據(jù)《廣西壯族自治區(qū)人民政府辦公廳關(guān)于做好2011年廣西壯族自治區(qū)人民政府信息系統(tǒng)安全檢查工作的通知》

一、檢查目的依據(jù)國家信息安全有關(guān)政策規(guī)定，對各級各部門信息安全工作進行全面檢查，掌握信息安全總體狀況，發(fā)現(xiàn)存在的主要問題和薄弱環(huán)節(jié)，進一步健全信息安全管理制度，完善信息安全技術(shù)措施，提高信息安全防護能力。文件解讀二、檢查原則堅持“誰主管誰負責(zé)、誰運行誰負責(zé)、誰使用誰負責(zé)”的原則，統(tǒng)籌安排、突出重點、明確責(zé)任、注重實效。檢查工作以各單位自檢為主，市城鄉(xiāng)數(shù)字化辦會同有關(guān)部門統(tǒng)一組織安全抽查。各部門管理的信息系統(tǒng)安全檢查工作，由各部門統(tǒng)一組織部署。文件解讀文件解讀政府信息系統(tǒng)安全檢查的范圍是為各部門履行政府職能提供支撐的信息系統(tǒng)，包括自行運行維護管理以及委托其他機構(gòu)運行維護管理的辦公系統(tǒng)、業(yè)務(wù)系統(tǒng)、網(wǎng)站系統(tǒng)等各部門的門戶網(wǎng)站、重要業(yè)務(wù)系統(tǒng)是檢查重點文件解讀檢查內(nèi)容(一)信息安全組織管理1、信息安全管理機構(gòu)及其工作開展情況。（1）組織制定信息安全工作計劃或工作方案情況；（2）組織制定并落實信息安全管理規(guī)章制度情況；（3）組織開展信息安全教育培訓(xùn)和督促檢查工作情況。2、信息安全員及其工作開展情況。（1）各單位信息安全員指定情況；（2）信息安全員開展督促、檢查和指導(dǎo)等日常工作情況。文件解讀(二)日常信息安全管理1、人員管理。查驗相關(guān)文檔、文件、記錄等，重點檢查：（1）崗位信息安全和保密責(zé)任制落實，特別是重要崗位信息安全和保密協(xié)議簽訂情況；（2）人員離崗離職信息安全管理情況；（3）外部人員訪問機房等重要區(qū)域管理情況；（4）違反制度規(guī)定造成信息安全事件的責(zé)任查處情況等。2、資產(chǎn)管理。查驗相關(guān)文檔、臺帳、記錄等，重點檢查：（1）資產(chǎn)管理制度建立及落實情況，資產(chǎn)臺賬是否清晰、帳物是否相符；（2）辦公軟件、應(yīng)用軟件等安裝與使用情況，是否有與工作無關(guān)的軟件；（3）計算機及相關(guān)設(shè)備維修維護、報廢銷毀管理情況，是否有相應(yīng)的登記記錄等。文件解讀3、信息技術(shù)外包服務(wù)安全管理。針對當(dāng)前政府部門信息技術(shù)外包服務(wù)安全風(fēng)險突出的現(xiàn)狀，重點檢查系統(tǒng)開發(fā)、系統(tǒng)集成、運行維護、災(zāi)難備份、數(shù)據(jù)處理、安全檢測、系統(tǒng)托管等外包服務(wù)的安全管理：（1）服務(wù)機構(gòu)性質(zhì)與背景情況，是否由外資機構(gòu)提供服務(wù)；（2）服務(wù)合同及安全保密協(xié)議簽訂情況，安全責(zé)任是否清晰；（3）人員現(xiàn)場服務(wù)記錄情況，是否有現(xiàn)場服務(wù)監(jiān)管措施；（4）系統(tǒng)維護方式情況，重點排查遠程在線服務(wù)帶來的安全風(fēng)險；（5）災(zāi)難備份服務(wù)情況，重點掌握災(zāi)難備份中心設(shè)立在境外的情況。4、信息技術(shù)產(chǎn)品使用管理。重點檢查辦公用計算機、公文處理軟件、信息安全設(shè)備、服務(wù)器、網(wǎng)絡(luò)設(shè)備等使用產(chǎn)品的安全可控情況，特別是本年度新采購辦公用計算機、公文處理軟件、信息安全設(shè)備是否滿足安全可控要求。5、信息安全經(jīng)費保障。重點檢查信息安全防護設(shè)施建設(shè)、運行、維護、檢查及管理等費用是否納入部門年度預(yù)算，以及本年度信息安全經(jīng)費實際投入情況等。文件解讀文件解讀(三)信息安全防護管理1、網(wǎng)絡(luò)邊界防護管理。查看系統(tǒng)總體網(wǎng)絡(luò)架構(gòu)、子系統(tǒng)分布、終端節(jié)點、區(qū)域劃分及邊界防護措施等，重點檢查：（1）網(wǎng)絡(luò)分區(qū)分域合理性；（2）安全防護設(shè)備策略配制有效性；（3）互聯(lián)網(wǎng)接入情況，是否有訪問互聯(lián)網(wǎng)的安全控制措施，是否留存互聯(lián)網(wǎng)訪問日志并定期進行分析。文件解讀2、信息系統(tǒng)安全管理。重點檢查信息安全風(fēng)險評估、等級保護等安全管理制度落實情況。（1）服務(wù)器安全防護。重點檢查服務(wù)器上應(yīng)用、服務(wù)、端口以及系統(tǒng)補丁等情況，是否關(guān)閉了不必要的應(yīng)用、服務(wù)、端口；賬戶口令強度和更新情況；病毒木馬防護情況，是否使用技術(shù)工具定期進行漏洞掃描、病毒木馬檢測。（2）網(wǎng)絡(luò)設(shè)備防護。重點檢查網(wǎng)絡(luò)設(shè)備安全策略配置的有效性；賬戶口令強度和更新情況；是否使用技術(shù)工具定期進行漏洞掃描。（3）信息安全設(shè)備部署及使用。重點檢查防病毒、防火墻、入侵檢測、安全審計等安全設(shè)備部署及使用情況，以及安全策略配置的有效性。文件解讀3、門戶網(wǎng)站安全管理。以防攻擊、防掛馬、防篡改、防癱瘓、防竊密為目標，對門戶網(wǎng)站安全防護情況進行全面檢查：（1）系統(tǒng)管理賬戶和口令，清理無關(guān)賬戶，防止出現(xiàn)空口令、弱口令和默認口令；（2）服務(wù)器補丁更新情況，關(guān)閉不必要的端口，停止不必要的服務(wù)和應(yīng)用，刪除不必要的鏈接和插件；（3）網(wǎng)站目錄機構(gòu)，刪除臨時文件，防止敏感信息泄露；（4）信息發(fā)布審核制度建立及落實情況；（5）是否使用技術(shù)工具定期進行漏洞掃描、木馬檢測。4、電子郵箱安全管理。重點檢查：（1）郵箱使用情況，是否有非本部門人員特別是無關(guān)人員使用；（2）賬戶口令強度及更新情況，是否使用技術(shù)措施控制和管理口令，口令強度是否符合要求、是否定期更新。

5、終端計算機安全管理。重點檢查：（1）是否采取集中安全管理措施；（2）賬戶口令強度和更新情況；（3）接入互聯(lián)網(wǎng)安全控制措施（如實名接入認證、對計算機IP和MAC地址進行綁定等）；（4）是否使用技術(shù)工具定期進行漏洞掃描、病毒木馬檢測；（5）在非涉密信息系統(tǒng)和涉密信息系統(tǒng)間混用情況；（6）使用非涉密計算機處理涉密信息情況。6、移動存儲設(shè)備安全管理。重點檢查：（1）是否采取集中安全管理措施；（2）是否配備必要的電子消磁或銷毀設(shè)備；（3）在非涉密信息系統(tǒng)和涉密信息系統(tǒng)間混用情況。文件解讀文件解讀

(四)信息安全應(yīng)急管理1、應(yīng)急預(yù)案。重點檢查本部門信息安全應(yīng)急預(yù)案制定、修訂、備案及宣貫培訓(xùn)情況。2、應(yīng)急演練。重點檢查信息安全應(yīng)急演練情況；已開展演練的，查看演練文檔、記錄（包括演練計劃、演練方案、演練記錄、演練總結(jié)報告等）。3、應(yīng)急技術(shù)支援。重點檢查是否明確了應(yīng)急技術(shù)支援隊伍；已明確的，檢查其服務(wù)合同及安全保密協(xié)議簽訂情況，了解掌握應(yīng)急技術(shù)支援隊伍基本情況以及開展的技術(shù)支援活動。2）4、災(zāi)難備份。重點檢查重要數(shù)據(jù)和重要信息系統(tǒng)備份情況；對