重点领域网络与信息安全检查行动实施方案 - Jiangsu.docx

附件7中华人民共和国环境保护部办公厅环办函2013832号关于开展环境保护行业信息安全检查工作的通知各省、自治区、直辖市环境保护厅（局），新疆生产建设兵团环境保护局，辽河保护区管理局，机关各部门，各派出机构、直属单位：2012年，各单位按照国务院办公厅关于开展重点领域网络与信息安全检查行动的通知（国办函（2012102号）要求，认真组织开展信息安全检查工作，取得明显成效，有力地促进了信息安全工作。为进一步加强信息安全管理，有效应对信息安全新形势新变化，以及新技术新应用带来的安全挑战，根据工业和信息化部印发的2013年重点领域信息安全检查工作方案要求，环境保护行业作为重点领域开展信息安全自查工作，现将2013年环境保护行业信息安全检查工作方案印发你们。请结合实际认真组织开展好本年度信息安全检查工作，并于2013年9月30日前将安全检查情况函告环境保护部办公厅。附件：2013年环境保护行业信息安全检查工作方案追究情况，人员、资产、采购、外包服务等日常安全管理情况，信息安全经费保障情况等。（二）技术防护情况。网络与信息系统防病毒、防攻击、防篡改、防瘫痪、防泄密等技术措施及有效性。重点检查事关国家安全和社会稳定，对地区、部门或行业正常生产生活具有较大影响的重要网络与信息系统（含工业控制系统）的安全防护情况，包括技术防护体系建立情况；网络边界防护措施，不同网络或信息系统之间安全隔离措施，互联网接入安全防护措施，无线局域网安全防护策略等；服务器、网络设备、安全设备等安全策略配置及有效性，应用系统安全功能配置及有效性；终端计算机、移动存储介质安全防护措施；重要数据传输、存储的安全防护措施等。（三）应急工作情况。按照国家网络与信息安全事件应急预案要求，建立健全信息安全应急工作机制情况。重点检查信息安全事件应急预案制修订情况，应急预案演练情况；应急技术支撑队伍、灾难备份与恢复措施建设情况，重大信息安全事件处置及查处情况等。（四）安全教育培训情况。重点检查信息安全和保密形势宣传教育、领导干部和各级人员信息安全技能培训、信息安全管理和技术人员专业培训情况等。（五）安全问题整改情况。重点检查以往信息安全检查中发现问题的整改情况，包括整改措施、整改效果及复查情况，以及类似问题的排查情况等，分析安全威胁和安全风险，进一步评估总体安全状况。四'检查方式按照“谁主管谁负责、谁运行谁负责”的原则，信息安全检查工作以各单位自查为主。同时，工业和信息化部会同环境保护部办公厅组织专业技术队伍对部分重点单位和重要系统进行安全抽查。五'安全自查环境保护行业各地区、各部门参照本工作方案，结合实际组织制定信息安全检查实施方案，明确自查范围、责任单位、工作安排及工作要求等相关内容，并认真组织实施。可组织开展抽查，督促自查单位开展自查工作，了解掌握自查工作进展情况，采取技术手段深入发现安全问题和薄弱环节，并及时研究解决检查工作中遇到的重大问题。自查工作完成后，各省、自治区、直辖市环境保护厅（局），新疆生产建设兵团环境保护局，辽河保护区管理局，部机关各部门，各派出机构、直属单位将要对检查情况进行全面汇总总结，填写检查结果统计表，认真梳理存在的主要问题，分析评估安全风险，编写检查总结报告。六'安全抽查（一）抽查任务。公安部信息安全等级保护评估中心负责对中国环境监测总站（含24个重要地区监测点）进行抽查（以现场检查为主）。国家计算机网络应急技术处理协调中心、信息产业信息安全测评中心负责对国务院部委门户网站进行抽查（以外部检测为主）。（二）抽查重点内容。1 .现场抽查内容。重点检查被抽查单位自查工作组织开展情况，2012年安全检查发现问题的整改情况，网络架构、安全区域划分的合理性，网络边界防护措施的完备性，服务器、网络设备、安全设备等的安全策略配置、应用系统安全功能配置及其有效性，重要数据传输、存储的安全防护措施。专业技术队伍应对重要设备和应用系统进行安全技术检测，深入挖掘安全漏洞，采用人工方式对安全漏洞的可利用性进行验证，帮助排查安全隐患，分析评估安全风险。2 .外部检测内容。通过互联网对被抽查的网站系统、业务系统等的安全风险状况进行外部检测，包括安全漏洞、网页篡改、恶意代码情况以及近年来安全检查中发现问题的整改情况等，验证被抽查系统安全防护措施的有效性。七自查时间安排检查工作自本工作方案印发之日起启动。2013年9月30日前，各省、自治区、直辖市环境保护厅（局），新疆生产建设兵团环境保护局，辽河保护区管理局，部机关各部门，各派出机构、直属单位将检查总结报告连同检查结果统计表（附3、附4）报送环境保护部办公厅。八、信息报送（一）为便于了解掌握检查工作进展情况，沟通交流，各省、自治区、直辖市环境保护厅（局），新疆生产建设兵团环境保护局，辽河保护区管理局，部机关各部门，各派出机构、直属单位明确一名熟悉情况的干部作为联络员。自8月起，每月20日前将自查工作进展情况以邮件或传真方式发送环境保护部办公厅。（二）各省、自治区、直辖市环境保护厅（局），新疆生产建设兵团环境保护局，辽河保护区管理局，部机关各部门，各派出机构、直属单位在自查中发现重大安全隐患，或出现因检查工作导致的跨地区、跨部门或跨行业安全问题时，应及时向环境保护部办公厅报告。九工作要求（一）加强领导，落实责任。要把信息安全检查工作列入重要议事日程，加强组织领导，明确检查责任，建立并落实信息安全检查工作责任制，明确检查工作负责人、检查机构和检查人员，安排并落实检查工作经费，保证检查工作顺利进行。（二）注重源头，深入检查。要全面细致开展检查工作，注重采用技术检测等手段，深入查找安全问题和隐患，确保检查工作不走过场、不漏环节、不留死角。要高度重视检查中发现的苗头性、趋势性问题，全面系统地分析研究解决，从源头上遏制和消除安全隐患。（三）即查即改，确保成效。对检查中发现的问题要及时整改，因条件不具备暂时不能整改的问题应采取临时防范措施，保证系统安全正常运行。环境保护部办公厅及时将检查中发现的问题通报给相关单位，督促相关单位组织风险研判并落实整改措施，对于逾期未进行整改的单位将予以通报。（四）密切配合，加强指导。环境保护部信息中心将配合办公厅加强对检查工作的技术咨询和指导，不断提高检查工作的科学性和规范性。承担抽查任务的专业技术队伍和被抽查单位应加强沟通，做好配合工作。为保证抽查工作的顺利开展，请各被抽查单位积极配合，落实抽查所需的相关条件。（五）控制风险，强化保密。各省、自治区、直辖市环境保护厅（局），新疆生产建设兵团环境保护局，辽河保护区管理局，部机关各部门，各派出机构、直属单位要针对检查工作技术性强的特点，强化风险控制措施，周密制定应急预案，确保被检查信息系统的正常运行和重要数据安全。要高度重视保密工作，对检查中有关人员、相关文档和数据进行严格管理，确保检查数据和检查结果不被泄露。（六）严格时间进度安排。1 .自查工作部署阶段。7月29日-7月30日，工作部署，完成检查工作部署和动员工作。2 .基本情况自查阶段。（1） 7月30日前，各单位报送安全检查工作负责人和联络员名单。（2） 7月31日-9月10日，完成信息系统安全基本情况自查。3 .问题与风险分析。9月10日-9月26日，汇总自查中发现的问题，对风险进行评估，根据发现的问题及时整改。4 .自查工作总结。9月30日前，各单位必须上报信息安全检查结果统计表一、信息安全检查结果统计表二、自查情况总结报告和整改情况总结报告。（七）信息上报方式。本次检查工作各单位需提交信息安全检查结果统计表一（以下简称表一）和信息安全检查结果统计表二（以下简称表二），表一和表二分别通过离线填报工具和Word文档填写，填写后通过离线填报工具生成上报数据文件（zip文件）通过电子邮件方式上报。自查总结报告和整改情况总结报告须以正式文件（函）的形式报送环境保护部办公厅，并以电子邮件方式报送电子文档；报送联络员名单电子邮件和传真方式均可。检查工作所提供的离线填报工具和相关电子文档请登录网站,用户名aqjc2013,密码:aqjc2013o在文件中转站中下载。联系人：孙宇：（Olo）6655606118601185383陈煜欣：（OlO）6655607818601210899詹志明：（010）66556040传真：（OlO）66556065邮件地址：aqjc2013附：1.信息安全自查工作进展月报告2 .环保行业信息安全自查操作指南3 .信息安全检查结果统计表一4 .信息安全检查结果统计表二信息安全自查工作进展月报告报送单位（地区'部门'行业）报送人联系方式工作周期月.0AI0一'检查工作进展情况二、发现的重大问题及处置情况三、其他情况信息安全检查操作指南二。一三年七月1概述291.1 检查目的291.2 检查工作流程292检查工作部署302.1 制定检查方案302.2 成立检查工作组302.3 下达检查通知303信息系统基本情况梳理303.1 基本信息梳理303.2 系统构成情况梳理314日常工作情况检查334.1 规章制度完整性检查334.2 信息安全管理情况检查334.2.1 组织管理情况检查334.2.2 人员管理情况检查344.2.3 资产管理情况检查354.2.4 采购管理情况检查364.2.5 外包服务管理情况检查374.2.6 经费保障情况检查384.3 安全技术防护情况检查394.3.1 物理环境安全情况检查394.3.2 网络边界安全防护情况检查394.3.3 关键设备安全防护情况检查404.3.4 应用系统安全防护情况检查414.3.5 终端计算机安全防护情况检查424.3.6 存储介质安全防护情况检查434.3.7 重要数据安全防护情况检查444.4 信息安全应急工作情况检查444.5 信息安全教育培训情况检查455安全技术检测465.1 设备安全检测465.1.1 网络设备及安全设备安全检测465.1.2 服务器安全检测465.1.3 终端计算机安全检测475.2 应用系统安全检测486检查总结整改486.1 汇总检查结果496.2 分析问题隐患496.3 研究整改措施496.4 编写总结报告497注意事项497.1 认真做好总结497.2 加强风险控制497.3 加强保密管理49附1信息安全检查总结报告参考格式50附2参考文献51检查工作部署信息系统基本情况梳理日常工作情况检查I安全技术检测检查总结整改信息安全教育培训情况检查应用系统安全检测汇总检查结果分析问题隐患制定检查方案编写总结报告成立检查工作组下达检查通知系统基本信息梳理系统构成情况梳理规章制度完整性检毒信息安全管理情况检查安全技术防护情况检查信息安全应急工作情况检查设备安全检测研究整改措施信息安全检查操作指南为指导环境保护部各部门开展信息安全检查工作，依据国务院办公厅关于印发政府信息系统安全检查办法的通知（国办发（2009）28号）、国务院关于大力推进信息化发展和切实保障信息安全的若干意见（国发（2012）23号）、国务院办公厅关于开展重点领域网络与信息安全检查行动的通知（国办发（2012