2017年濮阳市网络与信息安全检查
工作方案
为全面加强我市信息系统的安全工作,切实保障信息系统的安全运行,经市委网络安全和信息化领导小组同意,决定组织开展2017年濮阳市网络与信息安全检查工作,现就有关事项通知如下:
一、检查范围
市直各单位、各县(区)相关单位关键信息基础设施。主要是面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统。
涉及国家秘密的信息系统不在本次检查范围内。
二、检查内容
(一)网络与信息安全管理情况
按照国家网络安全政策和标准规范要求,建立健全网络安全管理制度及落实情况。重点检查网络安全主管领导、管理机构和工作人员履职情况,人员、资产、采购、外包服务等日常安全管理情况,网络安全经费保障情况等。
(二)信息系统基本情况
信息系统建设与运行情况,主要包括域名或IP地址、责任单位、运维单位、定级与备案、安全管理等情况。我们将根据各单位报送的信息系统情况汇总形成信息系统名录。
(三)技术防护情况
按照国家网络安全政策和标准规范要求,建立健全技术防护体系及安全防护情况。重点检查防病毒、防攻击、防篡改、防瘫痪、防泄密措施及有效性;网络边界防护措施,互联网接入安全措施,无线网络安全防护措施;服务器、网络设备、安全设备等安全策略配置,应用系统安全功能及有效性;终端计算机、移动存储介质安全防护措施;重要数据传输、存储的安全防护措施等。
(四)应急工作情况
按照国家网络与信息安全事件应急预案要求,建立健全网络安全应急工作体系情况。重点检查网络安全事件应急预案的制修订、应急演练情况;应急技术支撑队伍、灾难备份措施建设情况;重大网络安全事件处置情况等。
(五)宣传教育培训情况
重点检查网络安全宣传教育、领导干部及各级人员网络与信息安全基础培训、网络安全人员专业技术培训情况等。
(六)数据泄露及系统被控情况
重点检查数据中心及使用的云计算服务设施是否设在境外,采用系统设计开发、系统集成、运行维护、数据处理、数据备份、灾难恢复、系统委托、安全测评等外包服务过程中数据是否被提交给境外机构,系统是否被境外机构远程控制等情况。
(七)安全问题整改情况
以往、本次安全检查中涉及相关问题的整改情况和整改效果,以及涉及安全风险分析,安全状况评估等内容。
三、检查方式
本次检查采取全面自查、现场抽查、通报整改相结合的方式开展。各县(区)网信部门会同工信、公安、机要等相关职能部门,统筹开展本行政区内的网络安全检查。党政机关、企事业单位主管的关键信息基础设施,根据党政机关、企事业单位的注册登记地,纳入所在县(区)检查范围。
(一)全面自查(2017年6月)
各级各部门在开展本级、本部门、本行业网络安全检查工作时,按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,确定一名主管领导为本单位安全责任人,全面负责本单位网络安全工作。重点围绕检查工作方案、开展安全抽查和技术检测、清查本单位所属的信息系统、设备、操作系统及应用软件、梳理网络安全管理制度、应急管理、防护情况等方面深入查找安全隐患,更好地推动网络安全管理工作。同时,各单位要认真填写《网络安全自查表》(附件1),于6月20日前将网络安全自查表报送至濮阳市信息化工作办公室。
(二)现场抽查(2017年7月至8月)
市委网信办、市信息化办领导本次安全抽查工作,组织有资质的第三方信息安全服务机构,对全市范围内的关键信息基础设施开展现场抽查。
(三)通报整改(2017年9月中旬)
向被抽查的单位通报抽查结果,提出整改建议。被抽查单位于9月15日之前向检查组报告整改情况。对未按时完成自查上报、发现问题不及时进行整改的单位,将予以通报批评。
四、工作要求
(一)各单位要高度重视此次检查行动,加强领导,明确责任,保证检查工作顺利进行,并以此次检查为契机,切实提高网络与信息安全意识,夯实网络与信息保障工作。
(二)各单位要结合实际,周密制定检查实施方案,全面深入查找安全问题和安全隐患,切实做到不走过场、不漏环节、不留死角。对发现的问题要及时整改,举一反三,标本兼治,因条件不具备而暂时不能整改的应采取临时防范措施。
(三)各单位要强化风险控制,有针对性制定检查工作应急预案,确保被检查系统正常运行。要加强对检查活动、检查人员及相关文档和数据的安全保密管理。委托外部机构进行安全检测的,要对其机构背景、技术能力、服务水平、人员资质及安全保密管理措施等进行严格审查,并明确外部机构及人员的安全责任。
市委网信办联系人:田德训,联系电话:0393-4411528。
市信息化办联系人:刘晨晖,联系电话:0393-6666078。
