关于在厅系统开展重要网络与信息安全检查的通知
甘水办综发〔2012〕160号
关于在厅系统开展
重要网络与信息安全检查的通知
厅属各单位、厅机关各处(室):
为加强省水利厅系统网络与信息安全保障工作,评估安全防护水平,预防重大信息安全事件的发生,根据《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》(国办函[2012]102号)、《甘肃省网络与信息安全协调小组办公室关于印发〈甘肃省2012年重点领域网络与信息安全检查行动工作方案〉的通知》(甘工信发[2012]695号)要求,决定在厅系统开展一次重要网络与信息安全检查,现将有关事项通知如下:
一、检查目的
通过开展重点领域网络与信息安全检查,全面掌握水利系统重要网络与信息系统基本情况,分析面临的安全威胁和风险,评估安全防护水平,查找突出问题和薄弱环节,以便有针对性地采取防范对策和改进措施;同时加强网络与信息系统安全管理、技术防护和人才队伍建设,促进安全防护能力和水平提升,预防和减少重大信息安全事件的发生,切实保障网络与信息安全。
二、检查组织
本次安全检查由厅信息化工作领导小组办公室(以下简称厅信息办)统一组织实施。各单位要高度重视此次检查行动,由信息安全主管部门负责落实,明确检查责任人,切实加强组织领导,制定检查方案,确保检查效果。
三、检查范围
本次重点检查厅机关、厅属单位有较大影响的重点网络与信息系统(包括自行运行维护管理以及委托其他机构运行管理的办公系统、业务应用系统、网站系统等)。检查对象主要指网络与信息系统安全管理以及防护涉及到的信息安全综合管理部门、信息化部门、业务部门等,各单位可根据实际情况确定检查对象。
四、检查内容
1、网络与信息系统基本情况。重点检查重要网络与信息系统情况,包括:系统的实时性、服务对象、连接互联网情况、数据集中情况、灾备情况,系统停止运行后对主要业务的影响程度、系统遭受攻击破坏后对社会公众的影响程度,主要软硬件设备的类型、数量、生产商,信息技术外包服务类型、服务提供商、服务方式及安全保密协议等。
2、安全防护措施及隐患情况。重点检查服务器、网络、安全等设备的安全策略配置及有效性,应用系统安全功能配置及有效性,重要数据传输、存储的安全防护措施等。
3、安全管理情况。主要包括信息安全责任制建立及落实情况、日常安全管理制度情况、信息安全经费投入情况等。
4、应急处置及容灾备份情况。主要包括信息安全事件应急预案制定及修订情况、相关人员对预案的熟悉程度、灾难备份与恢复措施建设情况、应急资源配备情况等。
五、检查方式
按照“谁主管谁负责、谁运行谁负责”的原则,采取自查与抽查相结合、以自查为主的方式开展工作,发现问题应及时整改。
自查。 各单位负责本单位的信息系统自查工作。具体参见信息系统自查工作指南(见附件1)。
抽查。 厅信息办将联合厅办公室、规计处、安监处对各单位自查情况进行抽查,抽查采取现场检查和外部检测相结 合的方式进行。
落实整改。 对检查中发现的薄弱环节和问题,要及时采取有效措施加以整改。不具备整改条件的要采取临时防范措施,确保网络与信息系统安全运行。
在实施安全检查时,可采取座谈、文档查阅、现场核查、工具测试、人工检测等方法进行。
六、检查时间
此次安全检查自通知印发之日起实施,自查工作在12月5日前结束,抽查时间为12月5日至10日,请各单位按照通知要求,抓紧进行自查并形成自查报告(参考格式见附件2)。同时请各单位填报信息安全检查结果记录及汇总表(见附件3)。自查报告与检查结果记录及汇总表务必于12月5日前加盖本单位公章报送厅信息办,同时上报电子版以便汇总上报。具体抽查时间和单位另行通知。附件请到甘肃水利网站“下载服务”或”通知公告”栏目下载。
联 系 人:厅信息办 张审问
联系电话:0931—8412772 8413319(传真) 13893460257
电子邮箱: [email protected]
附件: 1. 甘肃省水利厅信息安全自查操作指南
甘肃省水利厅办公室
2012年11月20日
公开属性:主动公开
甘肃省水利厅办公室 2012年11月20日印发
共印50份