镇江市人民政府办公室关于组织开展2010年度全市政府信息系统安全检查工作的通知
（镇政办发〔2010〕161号）

各辖市、区人民政府，镇江新区管委会，市各委办局，各直属单位、企事业单位：

　　依据《江苏省政府信息系统安全检查实施办法》（苏政办发〔2009〕51号）（以下简称《实施办法》）和省信安办《关于组织开展2010年度全省政府信息系统安全检查工作的通知》（苏信安办〔2010〕6号）等文件要求，经研究，决定在全市开展2010年政府信息系统安全检查工作。

　　现将《2010年度镇江市政府信息系统安全检查实施方案》印发给你们，请认真组织实施。



　　为切实做好2010年度全市政府信息系统安全检查工作，依据《江苏省政府信息系统安全检查实施办法》（苏政办发〔2009〕51号）（以下简称《实施办法》）和省信安办《关于组织开展2010年度全省政府信息系统安全检查工作的通知》（苏信安办〔2010〕6号）等文件要求，结合我市实际，制定本实施方案。

　　一、检查目的

　　依据国家和省有关政策规定和技术标准，对政府各部门信息安全工作进行全面检查，了解掌握政府信息系统安全总体状况，发现存在的主要问题和薄弱环节，完善信息安全管理制度，加强安全防护措施，提高信息安全工作水平。

　　二、检查原则

　　坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，突出重点，注重实效。各辖市（区）、各部门、各单位自查与市相关部门统一组织的抽查相结合。

　　三、检查依据

　　（一）政策文件

　　1.《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号）

　　2. 《国务院办公厅关于印发＜政府信息系统安全检查办法＞的通知》（国办发〔2009〕28号）

　　3. 《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》（国办发〔2008〕17号）

　　4. 《国务院办公厅关于印发国家网络与信息安全事件应急预案的通知》（国办函〔2008〕168号）

　　5. 《关于加强党政机关计算机信息系统安全和保密管理的若干规定》（国保发〔2007〕13号）

　　6. 《省委办公厅省政府办公厅关于加强信息安全保障工作的意见》（苏办发〔2007〕25号）

　　7. 《省政府办公厅关于印发〈江苏省政府信息系统安全检查实施办法〉的通知》（苏政办发〔2009〕51号）

　　8. 其他有关政策规定

　　（二）技术标准

　　1. 《信息安全风险评估规范》（GB/T 20984-2007）

　　2. 《信息安全风险管理指南》（GB/Z 24364-2009）

　　3. 《信息系统安全等级保护基本要求》（GB/T 22239-2008）

　　4. 《信息安全管理体系要求》（GB/T 22080-2008）

　　5. 《信息安全管理实用规则》（GB/T 22081-2008）

　　6. 《信息系统安全管理要求》（GB/T 20269-2006）

　　7. 《信息安全事件分类分级指南》（GB/Z 20986-2007）

　　8. 《信息安全事件管理指南》（GB/Z 20985-2007）

　　9. 《信息系统灾难恢复规范》（GB/T 20988-2007）

　　10. 《信息安全应急响应计划规范》（GB/T 24363-2009）

　　11. 其他有关技术标准

　　四、检查范围

　　为各部门履行职能提供支撑的非涉密信息系统，包括自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、网站系统等。各部门的重要业务系统、门户网站是检查重点。

　　五、检查内容

　　（一）信息安全组织机构

　　检查信息安全工作主管领导、信息安全管理机构、各内设机构信息安全员等设置情况。按照《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》要求，各部门应明确一名副职领导主管信息安全工作，应指定一个科级内设机构承担信息安全管理工作，并指定一名专职或兼职信息安全员。

　　（二）日常信息安全管理

　　1. 人员管理。查验相关文档、文件、记录等，检查信息安全和保密责任制建立及落实情况，人员离岗离职信息安全管理情况，外部人员访问机房等重要区域管理情况，违反制度规定造成信息安全事件的责任查处情况等。

　　2. 资产管理。查验相关文档、台帐、记录等，检查资产管理制度建立及落实情况，办公软件、应用软件等安装与使用情况，计算机及相关设备维修维护管理、存储设备报废销毁管理情况等。

　　3. 运维管理。查阅相关文档和记录，检查信息系统运营和使用权限管理、重要变更审批备案、日常运维操作管理、安全日志定期备份和分析等情况。对于委托外单位运行管理的，应查看服务合同和安全保密协议等相关资料。

　　（三）等级保护与风险评估

　　1. 等级保护。检查信息安全等级保护有关文件要求的落实情况。通过查看等级保护定级表格、备案证明、测评报告等相关文档，检查信息系统定级、备案、测评及整改等情况。

　　2、风险评估。检查信息系统开展风险评估工作情况，查看风险评估协议、服务机构及人员资格、评估报告等相关文档，检查评估、整改及备案等情况。

　　（四）技术防护手段建设

　　1. 网络边界安全防护。检查系统总体网络架构、子系统分布、终端节点、区域划分及边界防护、网络管理等情况；互联网接入情况；终端接入互联网时是否有安全信息提示措施等。

　　2. 信息安全产品部署及使用。检查防火墙、入侵检测、安全审计、病毒防护等信息安全产品部署及使用情况，以及信息安全产品策略配置有效性等。

第 [1] [2] [3] [4] [5] [6] [7] 页 共[8]页