| 信阳市信息化工作领导小组办公室文件 信信化办[2012]第5号 签发人:张春茗 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 信阳市信息化工作领导小组办公室 关于开展 2012 年度政府信息系统安全检查的 通 知 各市直部门、各县(区)工业和信息化局: 为了提高政府信息安全保障能力,根据《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》(国办发〔2009〕28号,以下简称检查办法)要求,河南省信息化工作领导小组办公室决定组织开展2012年度政府信息系统安全检查。现将有关事项通知如下: 一、检查内容 重点检查内容:管理制度、网络系统安全、主机系统安全、应用系统安全、物理安全、信息安全应急管理、信息安全教育培训、信息安全监察工作落实情况。具体见《河南省政府信息系统安全检查指导方案》(豫信化办〔2011〕26号)。 二、检查方式 (一)自查。各单位根据《河南省政府信息系统安全检查指导方案》的内容认真开展信息系统安全自查工作,自查结果形成自查报告并填写《2012年信息安全检查情况报告表》(附件1)。 (二)抽查。政府信息系统安全检查抽查工作由信息化主管部门按照“统一要求,分级负责”的原则组织开展。省信息化办负责抽查省辖市、市直部门,信阳市是省信息化办今年抽查的省辖市。 三、抽查对象 市政府办、市教育局、市科技局、市发展改革委、市监察局、市公安局、市民族宗教局、市住房城乡建设局、市司法局、市民政局、市财政局、市环境保护局、市审计局、市统计局、市国土资源局、市工业和信息化局、市水利局、市农业局、市林业局、市城乡规划局、市畜牧局、市商务局、市交通运输局、市文化新闻出版局、市广电局、市旅游局、市卫生局、市城管执法局、市体育局、市粮食局、市人口计生委、市食品药品监管局、市国资委、市人力资源社会保障局、市安全监管局。 四、时间安排 (一)自查时间。2012年7月5日前完成自查并将自查报告报信阳市信息化领导小组办公室。 (二)省信息化领导小组办公室抽查时间。 2012年7月9日 至 2012年7月20日 。 (三)整改时间。各单位在接到整改通知后3个月完成整改工作。 五、检查报告 (一)报告内容和格式 检查报告的内容和格式按照《2012年信息安全检查情况报告编写参考格式》(附件2)要求撰写。根据检查结果的敏感程度确定检查报告密级,并在检查报告上明确标识。 (二)报送程序 各市直部门的自查报告,报市信息化工作领导小组办公室(以下简称市信息化办)。市信息化办根据各部门的自查情况和抽查情况,形成本地区的信息安全检查综合报告,报省信息化工作领导小组办公室(以下简称省信息化办)。信息安全专业测评机构检测的结果报省信息化办。省信息化办依据各地自查、抽查和安全检测的情况形成全省2012年度政府信息系统检查的报告,上报省政府。 (三)报送方式. 各地、各部门按照程序报送检查报告,包括纸质文档和电子文档(光盘形式)。电子文档应使用符合国家标准《中文办公软件文档格式规范》(GB/T 20916-2007)的文档格式。支持国家标准文档格式的国家软件有:金山WPS Office、永中集成Office、中标普华Office、红旗贰仟Red Office等。 各单位涉密信息系统自查情况单独报送同级保密部门。 六、要求 (一)检查、抽查、整改各项工作要分别按照《河南省政府信息系统安全检查指导方案》(豫信化办〔2011〕26号)、《河南省政府信息系统安全检查抽查规范》(豫信化办〔2011〕22号)和《河南省政府信息系统安全检查整改规范》(豫信化办〔2011〕23号)等文件的具体规定认真执行,按时完成。 (二)检查结束后,各地各单位要认真进行总结,落实整改,各级信息化主管部门要及时通报检查结果;对工作成绩突出的单位和个人进行表扬,对问题较多的单位进行批评。对于整改不力,情节严重的单位,提交相关部门追究主管领导和当事人的责任。 (三)2012年7月3日前将2012年政府信息系统安全检查工作联系人报信阳市信息化工作领导小组办公室。 联系单位:信阳市信息化工作领导小组办公室 联系电话:张 帅 0376-6366517 报送邮箱:xyppzx@163.com 附件:1.2012年信息安全检查情况报告表 2.2012年信息安全检查情况报告编写参考格式 3.2012年政府信息安全检查工作联系人 4.信阳市2012年度政府信息系统安全检查抽查安排表 二〇一二年六月二十六日 附件 1 2012年信息安全检查情况报告表 | 一、部门基本情况 | | 部门名称 | | | 分管信息安全工作的领导 (本部门副职领导) | 1姓名: 2职务: | | 信息安全管理机构 (如办公厅) | 1名称: 2负责人: 职务: 3联系人: 电话: | | 信息安全专职工作机构 (如信息安全处) | 1名称: 2负责人: 电话: | | 二、信息系统基本情况 | | 信息系统情况 | 1信息系统总数: 个 2面向社会公众提供服务的信息系统数: 个 3委托社会第三方进行日常运维管理的信息系统数: 个 4本年度经过风险评估(含安全测评、等级测评)的系统数: 个 | | 系统定级情况 | 第一级: 个 第二级: 个 第三级: 个 第四级: 个 第五级: 个 未定级: 个 | | 互联网接入情况 | 互联网接入口总数: 个 其中: □联通 接入口数量: 个 接入带宽: 兆 □电信 接入口数量: 个 接入带宽: 兆 □其他: 接入口数量: 个 接入带宽: 兆 | | 三、日常信息安全管理情况 | | 人员管理 | 1岗位信息安全责任制度:□ 已建立 □ 未建立 2重要岗位人员信息安全和保密协议: □ 全部签订 □ 部分签订 □ 没有签订 3人员离岗离职信息安全管理规定:□ 已制定 □ 未制定 4外部人员访问机房等重要区域审批制度:□ 已建立 □ 未建立 | | 资产管理 | 1资产管理制度: □ 已建立 □ 未建立 2设备维修维护和报废管理: □ 已建立管理制度,且维修维护和报废记录完整 □ 已建立管理制度,但维修维护和报废记录不完整 □ 尚未建立管理制度 | | 四、信息安全防护管理情况 | | 网络边界防护管理 | 1网络访问控制:□ 有访问控制措施 □ 无访问控制措施 2网络访问日志:□ 留存日志 □ 未留存日志 3安全防护设备策略:□ 使用默认配置 □ 根据应用自主配置 | | 门户网站安全管理 | 1网页防篡改措施:□ 已部署 □ 未部署 2网站信息发布管理: □ 已建立审核制度,且审核记录完整 □ 已建立审核制度,但审核记录不完整 □ 尚未建立审核制度 | | 电子邮箱安全管理 | 1邮箱使用:□ 仅限本部门工作人员使用 □ 除本部门工作人员外,还有其他人员在使用 2账户口令管理:□ 使用技术措施控制和管理口令强度 □ 无口令强度限制措施 | | 终端计算机安全管理 | 1终端计算机安全管理方式: □ 使用统一平台对终端计算机进行集中管理 □ 用户分散管理 2接入互联网安全控制措施: □ 有控制措施(如实名接入、绑定计算机IP和MAC地址等) □ 无控制措施 | | 存储介质安全管理 | 1存储阵列、磁带库等大容量存储介质安全防护: □外联,但采取了技术防范措施控制风险 □外联,无技术防范措施 □不外联 2移动存储介质管理方式: □集中管理,统一登记、配发、收回、维修、报废、销毁 □未采取集中管理方式 3电子信息消除或销毁设备:□已配备 □未配备 | | 五、信息安全应急管理情况 | | 信息安全应急预案 | □ 已制定 本年度修订情况:□ 修订 □ 未修订 □ 未制定 | | 信息安全应急演练 | □ 本年度已开展 □ 本年度未开展 | | 信息安全灾难备份 | 1重要数据: □ 备份 □ 未备份 2重要信息系统: □ 备份 □ 未备份 3灾难备份中心:□ 境内 □ 境外 | | 应急技术支援队伍 | □部门所属单位 □外部专业机构 □无 | | 六、信息技术产品应用情况 | | 服务器 | 总台数: ,其中国产台数: 使用国产CPU的服务器台数: | | 终端计算机 (含笔记本) | 总台数: ,其中国产台数: 使用国产CPU的服务器台数: | | 网络交换设备 (路由器、交换机等) | 总台数: ,其中国产台数: | | 操作系统 | 1服务器操作系统情况: 安装Windows操作系统的服务器台数: 安装Linux操作系统的服务器台数: 安装其他操作系统的服务器台数: 2终端计算机操作系统情况: 安装Windows操作系统的计算机台数: 安装Linux操作系统的计算机台数: 安装其他操作系统的计算机台数: | | 数据库 | 总套数: , 其中国产套数: | | 公文处理软件 (终端计算机安装) | 安装国产公文处理软件的终端计算机台数: 安装国外公文处理软件的终端计算机台数: | | 信息安全产品 | 1安装国产防病毒产品的终端计算机台数: 2防火墙(不含终端软件防火墙)台数: 其中国产防火墙的台数: | | 七、信息安全教育培训情况 | | 培训人数 | 本年度接受信息安全教育培训的人数: 人 占本部门总人数的比例: % | | 培训次数 | 本年度开展信息安全教育培训的次数: 次 | | 专业培训 | 本部门信息安全管理和技术人员参与专业培训: 人次 | | 八、信息安全经费预算投入情况 | | 经费预算 | 本年度信息安全经费预算额: 万元 | | 经费投入 | 本年度信息安全经费投入额: 万元 (上一年度信息安全经费投入额: 万元) | | 九、信息安全经费预算投入情况 | | 本年度安全技术检测结果 | 病毒木马等 恶意代码 检测结果 | 1进行过病毒木马等恶意代码检测的服务器台数: 其中感染恶意代码的服务器台数: 2进行过病毒木马等恶意代码检测的终端计算机台数: 其中感染恶意代码的终端计算机台数: | | 漏洞检测结果 | 1进行过漏洞扫描的服务器台数: 其中存在漏洞的服务器台数: 存在高风险漏洞的服务器台数: 2进行过漏洞扫描的终端计算机台数: 其中存在漏洞的终端计算机台数: 存在高风险漏洞的终端计算机台数: | | 本年度信息安全事件统计 | 门户网站受攻击情况 | 本部门入侵检测设备检测到的门户网站受攻击次数: | | 网页被篡改情况 | 门户网站网页被篡改(含内嵌恶意代码)次数: | | 设备违规使用情况 | 1使用非涉密终端计算机处理涉密信息事件数: 2终端计算机在非涉密系统和涉密系统间混用事件数: 3移动存储介质在非涉密系统和涉密系统间交叉使用事件数: | | 十、信息技术外包服务机构情况(包括参与技术检测的外部专业机构) | | 外包服务机构1 | 机构名称 | | | 机构性质 | □国有 □民营 □外资企业 | | 服务内容 | | | 信息安全和保密协议 | □已签订 □未签订 | | 信息安全管理体系认证情况 | □已通过认证 认证机构: □未通过认证 | | 外包服务机构2 | 机构名称 | | | 机构性质 | □国有 □民营 □外资企业 | | 服务内容 | | | 信息安全和保密协议 | □已签订 □未签订 | | 信息安全管理体系认证情况 | □已通过认证 认证机构: □未通过认证 | | 外包服务机构3 | 机构名称 | | | 机构性质 | □国有 □民营 □外资企业 | | 服务内容 | | | 信息安全和保密协议 | □已签订 □未签订 | | 信息安全管理体系认证情况 | □已通过认证 认证机构: □未通过认证 | | (如有3个以上外包机构,每个机构均应填写,可另附页) | | | | | | | | 填表人: 单位: 电话: 附件 2 2012年信息安全检查情况报告 编写参考格式 一、 检查报告名称 X X X(部门名称)XX年度政府信息系统安全检查情况报告 二、检查报告组成 检查报告包括主报告和附表两部分。 三、主报告内容要求 应包括以下四个方面的内容: (一)信息安全状况总体评价 概述本部门信息安全工作情况,与上一年度比信息安全工作取得的新进展,对本部门信息安全状况的总体评价。 (二)XX年信息安全主要工作情况 对照《XX年政府信息系统安全检查指南》要求,逐项描述本部门XX年在信息安全组织管理、日常信息安全管理、信息安全防护管理、信息安全应急管理、信息安全教育培训、信息安全检查等方面开展的工作情况。 (三)检查发现的主要问题及整改情况 描述本部门安全检查特别是技术检测结果,总结分析本部门在安全管理、技术防护等方面存在的主要问题和薄弱环节,以及针对这些问题的整改措施或整改计划。 (四)对信息安全工作的意见和建议 对信息安全工作特别是信息安全检查工作提出意见和建议,进一步促进提高信息安全检查水平。 四、附表内容要求 《XX年信息安全检查情况报告》各项目的填写范围均限于部门本级机关。应认真、如实、完整、正确填写,避免出现漏项、错项、数据前后不一致等情况。 附件 3 2012年政府信息安全检查工作联系人 | 单位名称 | | | 联系地址 | | | 姓名 | | 性别 | | | 所属部门 | | 职务 | | | 出生日期 | | 政治面貌 | | | 固定电话 | | 移动电话 | | | 电子邮件 | | | 个人简介 | | 附件 4 信阳市2012年度政府信息系统 安全检查抽查安排表 | 时间 | 抽查单位 | | 7月9日 | 上午:9:00安全检查启动大会 | | 下午:3:00发改委、4:30统计局 | | 7月10日 | 上午:8:30民政局、10:30监察局 | | 下午:3:00统计局、4:30安全监管局 | | 7月11日 | 上午: 8:30文化新闻出版局、10:30旅游局 | | 下午:3:00粮食局、4:30人力资源社会保障局 | | 7月12日 | 上午:8:30司法局 | | 下午:3:00国土资源局 | | 7月13日 | 上午:8:30体育局、10:30公安局 | | 下午:3:00畜牧局 | | 7月16日 | 上午:8:30科技局、10:30林业局 | | 下午:3:00商务局、4:30城管执法局 | | 7月17日 | 上午:8:30广电局 | | 下午:3:00卫生局 | | 7月18日 | 上午:8:30水利局、10:30国资委 | | 下午:3:00教育局 | | 7月19日 | 上午:8:30农业局 | | 下午:3:00财政局 | | 7月20日 | 上午9:00总结大会 | | 
