3. 服务器安全防护。检查服务器上应用、服务、端口、链接以及系统补丁等情况,是否关闭了不必要的应用、服务、端口、链接;账号口令强度和更新情况;病毒木马防护措施,是否定期进行漏洞扫描、病毒木马检测等。
4. 网络设备安全防护。检查安全配置有效性;账号口令强度和更新情况;是否定期进行漏洞扫描等。
5. 终端计算机和移动存储设备(含打印机、扫描仪、照相机等具有存储功能的外部设备)安全防护。检查终端计算机是否采取集中安全管理措施;计算机账号口令强度和更新情况;终端计算机接入互联网安全控制措施(如实名接入、对计算机IP和MAC地址进行绑定、指定固定上网IP地址等);是否安装病毒防护软件,定期进行漏洞扫描、病毒木马检测;是否在非涉密和涉密信息系统间混用了计算机和移动存储设备,是否使用了非涉密计算机处理涉密信息等。
6. 门户网站安全防护。检查网站信息发布审批制度建立及落实情况;边界防护、抗拒绝服务攻击、网页防篡改等安全防护设备的部署情况,以及安全配置策略的有效性;是否定期进行漏洞扫描、木马检测等。
7. 密码技术防护。检查采用密码技术对信息系统、终端计算机、电子文档等进行保护的情况,使用的密码技术产品及含有密码技术的信息技术产品是否符合国家密码管理规定。
8. 网络信任措施。检查采用数字证书方式实现身份认证和授权管理的情况,使用的数字证书是否符合国家电子认证服务管理规定。
(五)应急管理工作开展
1. 应急预案。检查《江苏省网络与信息安全事件应急预案》落实情况,是否制定了本部门信息安全应急预案,是否及时修订,是否组织开展了相应的宣贯培训。
2. 应急演练。检查是否按照要求开展了信息安全应急演练。对于已开展演练的,应检查演练相关文档(包括演练组织单位、参与部门、演练责任人、演练时间、演练内容等)。
3. 应急技术支援队伍。检查是否按照要求明确了应急技术支援队伍。对于已明确的,应检查签订协议和安全保密条款等,掌握应急技术支援队伍的基本情况以及开展的应急技术支援活动等。
4. 灾难备份。检查是否根据实际需要对重要数据和信息系统进行了灾难备份。对于采用社会灾难备份服务的,应对其服务合同、安全保密协议以及灾备系统运维情况等进行重点检查。
5. 信息安全事件应急处置。检查本年度发生的信息安全事件及处置情况。对于发生重大信息安全事件的,应检查是否进行了及时处置,是否按照要求上报和通报等。
(六)信息技术产品和信息安全产品使用
1. 信息技术产品。检查服务器、网络设备、存储设备、终端计算机、字处理软件等使用本国产品的情况。使用捐赠或试用的服务器、网络设备、存储阵列等产品,应检查产品应用范围、签订的相关协议,以及使用前是否进行安全测评等。
2. 信息安全产品。检查防火墙、入侵检测设备、安全审计设备、VPN设备等信息安全产品使用国产产品的情况。使用捐赠或试用的信息安全产品,应检查产品应用范围、签订的相关协议,以及使用前是否进行安全测评等。
国产终端计算机、国产字处理软件、国产信息安全产品,暂按以下方法进行认定:(1)国产终端计算机应具有国内品牌,最终产品在中国境内生产,并符合法律法规和政策规定的其他条件;(2)国产字处理软件应具有国内品牌,最终产品在中国境内生产,拥有核心模块的自主知识产权和源代码,并符合法律法规和政策规定的其他条件;(3)国产信息安全产品应具有国内品牌,最终产品在中国境内生产,拥有核心模块的自主知识产权和源代码,通过国家认定的信息安全产品检测实验室的检测,并符合法律法规和政策规定的其他条件。
(七)信息安全服务
查看服务合同、安全保密协议等文件,检查信息安全服务机构的服务内容,是否具有相应的服务记录,是否有远程在线服务,是否由外资机构提供服务等。
(八)信息安全教育培训
检查领导干部和机关工作人员参加信息安全教育培训、掌握信息安全常识和基本技能情况,信息安全管理和技术人员参加信息安全专业培训情况等。
(九)信息安全经费保障
检查信息安全防护设施建设、运行、维护、检查及管理等费用是否纳入部门年度预算,以及本年度信息安全经费实际投入情况等,特别是要检查是否按照《实施办法》要求落实了安全检查工作经费。
(十)安全隐患排查及整改
检查对本年度是否开展信息系统安全自查,是否委托经省、市备案的信息安全服务机构进行安全隐患排查,是否制定了整改措施并及时进行了整改等。
六、检查报告
各辖市区、各部门报送的检查报告主要包括三方面内容:一是信息安全总体情况,包括本年度信息安全工作主要情况,安全检查工作开展情况及检查效果,对本地区、本部门信息安全状况的总体评价。二是主要问题及整改情况,包括本年度安全检查发现的主要问题和整改措施以及整改落实情况。三是经验总结及意见建议,包括本地区、本部门安全检查工作的经验总结,对市安全工作特别是安全检查工作的意见建议。检查报告应包括附件:《2010年度政府信息系统安全自查情况报告表》。
检查报告包括纸质文档和光盘(电子文档)。电子文档应使用符合国家标准《中文办公软件文档格式规范》(GB/T 20916-2007)的文档格式。(支持国家标准文档格式的国产软件有:金山WPS Office、永中集成Office、中标普华Office、红旗贰仟Red Office等)
七、检查办法
本次检查分为自查和抽查两个阶段:
(一)自查阶段
各辖市区、各部门要于2010年8月20日前完成政府信息系统安全自查。市级机关各部门、各单位请于8月28日前将检查报告及相关附件送市经信委信息安全处。各辖市区信息安全主管部门于8月28日前,将本地区检查工作总结书面报送市经信委信息安全处。联系人:朱虹;联系电话:84406296;传真:84406296;电子邮件:zjbii@126.com。
