重点领域网络与信息安全检查行动实施方案Jiangsu.docx

1、附件7中华人民共和国环境保护部办公厅环办函2013832号关于开展环境保护行业信息安全检查工作的通知各省、自治区、直辖市环境保护厅（局），新疆生产建设兵团环境保护局，辽河保护区管理局，机关各部门，各派出机构、直属单位：2012年，各单位按照国务院办公厅关于开展重点领域网络与信息安全检查行动的通知（国办函（2012102号）要求，认真组织开展信息安全检查工作，取得明显成效，有力地促进了信息安全工作。为进一步加强信息安全管理，有效应对信息安全新形势新变化，以及新技术新应用带来的安全挑战，根据工业和信息化部印发的2013年重点领域信息安全检查工作方案要求，环境保护行业作为重点领域开展信息安全自查工作

2、现将2013年环境保护行业信息安全检查工作方案印发你们。请结合实际认真组织开展好本年度信息安全检查工作，并于2013年9月30日前将安全检查情况函告环境保护部办公厅。附件：2013年环境保护行业信息安全检查工作方案追究情况，人员、资产、采购、外包服务等日常安全管理情况，信息安全经费保障情况等。（二）技术防护情况。网络与信息系统防病毒、防攻击、防篡改、防瘫痪、防泄密等技术措施及有效性。重点检查事关国家安全和社会稳定，对地区、部门或行业正常生产生活具有较大影响的重要网络与信息系统（含工业控制系统）的安全防护情况，包括技术防护体系建立情况；网络边界防护措施，不同网络或信息系统之间安全隔离措施，互联

3、网接入安全防护措施，无线局域网安全防护策略等；服务器、网络设备、安全设备等安全策略配置及有效性，应用系统安全功能配置及有效性；终端计算机、移动存储介质安全防护措施；重要数据传输、存储的安全防护措施等。（三）应急工作情况。按照国家网络与信息安全事件应急预案要求，建立健全信息安全应急工作机制情况。重点检查信息安全事件应急预案制修订情况，应急预案演练情况；应急技术支撑队伍、灾难备份与恢复措施建设情况，重大信息安全事件处置及查处情况等。（四）安全教育培训情况。重点检查信息安全和保密形势宣传教育、领导干部和各级人员信息安全技能培训、信息安全管理和技术人员专业培训情况等。（五）安全问题整改情况。重点检查以

4、往信息安全检查中发现问题的整改情况，包括整改措施、整改效果及复查情况，以及类似问题的排查情况等，分析安全威胁和安全风险，进一步评估总体安全状况。四检查方式按照“谁主管谁负责、谁运行谁负责”的原则，信息安全检查工作以各单位自查为主。同时，工业和信息化部会同环境保护部办公厅组织专业技术队伍对部分重点单位和重要系统进行安全抽查。五安全自查环境保护行业各地区、各部门参照本工作方案，结合实际组织制定信息安全检查实施方案，明确自查范围、责任单位、工作安排及工作要求等相关内容，并认真组织实施。可组织开展抽查，督促自查单位开展自查工作，了解掌握自查工作进展情况，采取技术手段深入发现安全问题和薄弱环节，并及时研

5、究解决检查工作中遇到的重大问题。自查工作完成后，各省、自治区、直辖市环境保护厅（局），新疆生产建设兵团环境保护局，辽河保护区管理局，部机关各部门，各派出机构、直属单位将要对检查情况进行全面汇总总结，填写检查结果统计表，认真梳理存在的主要问题，分析评估安全风险，编写检查总结报告。六安全抽查（一）抽查任务。公安部信息安全等级保护评估中心负责对中国环境监测总站（含24个重要地区监测点）进行抽查（以现场检查为主）。国家计算机网络应急技术处理协调中心、信息产业信息安全测评中心负责对国务院部委门户网站进行抽查（以外部检测为主）。（二）抽查重点内容。1 .现场抽查内容。重点检查被抽查单位自查工作组织开展情况

6、2012年安全检查发现问题的整改情况，网络架构、安全区域划分的合理性，网络边界防护措施的完备性，服务器、网络设备、安全设备等的安全策略配置、应用系统安全功能配置及其有效性，重要数据传输、存储的安全防护措施。专业技术队伍应对重要设备和应用系统进行安全技术检测，深入挖掘安全漏洞，采用人工方式对安全漏洞的可利用性进行验证，帮助排查安全隐患，分析评估安全风险。2 .外部检测内容。通过互联网对被抽查的网站系统、业务系统等的安全风险状况进行外部检测，包括安全漏洞、网页篡改、恶意代码情况以及近年来安全检查中发现问题的整改情况等，验证被抽查系统安全防护措施的有效性。七自查时间安排检查工作自本工作方案印发之日

7、起启动。2013年9月30日前，各省、自治区、直辖市环境保护厅（局），新疆生产建设兵团环境保护局，辽河保护区管理局，部机关各部门，各派出机构、直属单位将检查总结报告连同检查结果统计表（附3、附4）报送环境保护部办公厅。八、信息报送（一）为便于了解掌握检查工作进展情况，沟通交流，各省、自治区、直辖市环境保护厅（局），新疆生产建设兵团环境保护局，辽河保护区管理局，部机关各部门，各派出机构、直属单位明确一名熟悉情况的干部作为联络员。自8月起，每月20日前将自查工作进展情况以邮件或传真方式发送环境保护部办公厅。（二）各省、自治区、直辖市环境保护厅（局），新疆生产建设兵团环境保护局，辽河保护区管理局，部

8、机关各部门，各派出机构、直属单位在自查中发现重大安全隐患，或出现因检查工作导致的跨地区、跨部门或跨行业安全问题时，应及时向环境保护部办公厅报告。九工作要求（一）加强领导，落实责任。要把信息安全检查工作列入重要议事日程，加强组织领导，明确检查责任，建立并落实信息安全检查工作责任制，明确检查工作负责人、检查机构和检查人员，安排并落实检查工作经费，保证检查工作顺利进行。（二）注重源头，深入检查。要全面细致开展检查工作，注重采用技术检测等手段，深入查找安全问题和隐患，确保检查工作不走过场、不漏环节、不留死角。要高度重视检查中发现的苗头性、趋势性问题，全面系统地分析研究解决，从源头上遏制和消除安全隐患。

9、三）即查即改，确保成效。对检查中发现的问题要及时整改，因条件不具备暂时不能整改的问题应采取临时防范措施，保证系统安全正常运行。环境保护部办公厅及时将检查中发现的问题通报给相关单位，督促相关单位组织风险研判并落实整改措施，对于逾期未进行整改的单位将予以通报。（四）密切配合，加强指导。环境保护部信息中心将配合办公厅加强对检查工作的技术咨询和指导，不断提高检查工作的科学性和规范性。承担抽查任务的专业技术队伍和被抽查单位应加强沟通，做好配合工作。为保证抽查工作的顺利开展，请各被抽查单位积极配合，落实抽查所需的相关条件。（五）控制风险，强化保密。各省、自治区、直辖市环境保护厅（局），新疆生产建设兵团环

10、境保护局，辽河保护区管理局，部机关各部门，各派出机构、直属单位要针对检查工作技术性强的特点，强化风险控制措施，周密制定应急预案，确保被检查信息系统的正常运行和重要数据安全。要高度重视保密工作，对检查中有关人员、相关文档和数据进行严格管理，确保检查数据和检查结果不被泄露。（六）严格时间进度安排。1 .自查工作部署阶段。7月29日-7月30日，工作部署，完成检查工作部署和动员工作。2 .基本情况自查阶段。（1） 7月30日前，各单位报送安全检查工作负责人和联络员名单。（2） 7月31日-9月10日，完成信息系统安全基本情况自查。3 .问题与风险分析。9月10日-9月26日，汇总自查中发现的问题，对

11、风险进行评估，根据发现的问题及时整改。4 .自查工作总结。9月30日前，各单位必须上报信息安全检查结果统计表一、信息安全检查结果统计表二、自查情况总结报告和整改情况总结报告。（七）信息上报方式。本次检查工作各单位需提交信息安全检查结果统计表一（以下简称表一）和信息安全检查结果统计表二（以下简称表二），表一和表二分别通过离线填报工具和Word文档填写，填写后通过离线填报工具生成上报数据文件（zip文件）通过电子邮件方式上报。自查总结报告和整改情况总结报告须以正式文件（函）的形式报送环境保护部办公厅，并以电子邮件方式报送电子文档；报送联络员名单电子邮件和传真方式均可。检查工作所提供的离线填报工具和

12、相关电子文档请登录网站,用户名aqjc2013,密码:aqjc2013o在文件中转站中下载。联系人：孙宇：（Olo）6655606118601185383陈煜欣：（OlO）6655607818601210899詹志明：（010）66556040传真：（OlO）66556065邮件地址：aqjc2013附：1.信息安全自查工作进展月报告2 .环保行业信息安全自查操作指南3 .信息安全检查结果统计表一4 .信息安全检查结果统计表二信息安全自查工作进展月报告报送单位（地区部门行业）报送人联系方式工作周期月.0AI0一检查工作进展情况二、发现的重大问题及处置情况三、其他情况信息安全检查操作指南二。一三

13、年七月1概述291.1 检查目的291.2 检查工作流程292检查工作部署302.1 制定检查方案302.2 成立检查工作组302.3 下达检查通知303信息系统基本情况梳理303.1 基本信息梳理303.2 系统构成情况梳理314日常工作情况检查334.1 规章制度完整性检查334.2 信息安全管理情况检查334.2.1 组织管理情况检查334.2.2 人员管理情况检查344.2.3 资产管理情况检查354.2.4 采购管理情况检查364.2.5 外包服务管理情况检查374.2.6 经费保障情况检查384.3 安全技术防护情况检查394.3.1 物理环境安全情况检查394.3.2 网络边界安

14、全防护情况检查394.3.3 关键设备安全防护情况检查404.3.4 应用系统安全防护情况检查414.3.5 终端计算机安全防护情况检查424.3.6 存储介质安全防护情况检查434.3.7 重要数据安全防护情况检查444.4 信息安全应急工作情况检查444.5 信息安全教育培训情况检查455安全技术检测465.1 设备安全检测465.1.1 网络设备及安全设备安全检测465.1.2 服务器安全检测465.1.3 终端计算机安全检测475.2 应用系统安全检测486检查总结整改486.1 汇总检查结果496.2 分析问题隐患496.3 研究整改措施496.4 编写总结报告497注意事项497.

15、1 认真做好总结497.2 加强风险控制497.3 加强保密管理49附1信息安全检查总结报告参考格式50附2参考文献51检查工作部署信息系统基本情况梳理日常工作情况检查I安全技术检测检查总结整改信息安全教育培训情况检查应用系统安全检测汇总检查结果分析问题隐患制定检查方案编写总结报告成立检查工作组下达检查通知系统基本信息梳理系统构成情况梳理规章制度完整性检毒信息安全管理情况检查安全技术防护情况检查信息安全应急工作情况检查设备安全检测研究整改措施信息安全检查操作指南为指导环境保护部各部门开展信息安全检查工作，依据国务院办公厅关于印发政府信息系统安全检查办法的通知（国办发（2009）28号）、国务院

16、关于大力推进信息化发展和切实保障信息安全的若干意见（国发（2012）23号）、国务院办公厅关于开展重点领域网络与信息安全检查行动的通知（国办发（2012）102号）等文件精神，参照信息安全技术政府部门信息安全管理基本要求（GB/T29245-2012）等国家信息安全技术标准规范，制定本指南。本指南供各级环保部门开展信息安全检查（自查）工作时参考。其他单位也可参考本指南结合实际开展信息安全检查工作。1概述1.1 检查目的通过开展常态化的信息安全检查，进一步落实信息安全责任，增强人员信息安全意识，查找突出问题和薄弱环节，排查安全隐患和安全漏洞，分析评估信息安全状况和防护水平，有针对性地采取管理和技

17、术防护措施，促进安全防范水平和安全可控能力提升，预防和减少重大信息安全事件的发生，切实保障信息安全。1.2 检查工作流程安全检查工作流程通常包括检查工作部署、信息系统基本情况梳理、日常工作情况检查、安全技术检测、检查总结整改等五个环节，如下图所示。工作流程主要工作内容图1信息安全检查工作流程图2检查工作部署检查工作部署通常包括制定检查方案、成立检查工作组、下达检查通知等具体工作。2. 1制定检查方案环境保护各部门根据2013年环境保护行业信息安全检查工作方案统一安排检查工作，结合工作实际，制定检查方案，并报本单位信息安全主管领导批准。检查方案应当明确以下内容：（1）检查工作负责人、组织机构和具

18、体实施机构；（2）检查范围和检查重点；（3）检查内容；（4）检查工作组织开展方式；（5）检查工作时间进度安排；（6）有关工作要求。1 .关于检查范围。检查的范围通常包括本单位各内设机构，以及为本单位信息系统（包括办公系统、业务系统、网站系统等）提供运行维护支撑服务的下属单位。可根据本单位信息安全保障工作需要，将其他为本单位信息系统提供运维服务、对本单位信息系统安全可能产生重大影响的相关单位纳入检查范围。2 .关于检查重点。在对各类信息系统进行全面检查的基础上，应突出重点，对事关国家安全和社会稳定，对地区、部门或行业正常生产生活具有较大影响的重要信息系统进行重点检查。3 .关于重要信息系统，可根

19、据本单位实际，参考以下标准进行判定：（1）关系国家安全和社会稳定。（2）业务依赖度高。（3）数据集中度高（全国或省级数据集中）。（4）业务连续性要求高。（5）系统关联性强（发生重大信息安全事件后，会对与其相连的其他系统造成较大影响，并产生连片连锁反应）。（6）面向社会公众提供服务，用户数量大，覆盖范围广。（7）灾备等级高（系统级灾备）。4 .2成立检查工作组本单位信息安全管理部门制定完成检查方案后，应及时成立检查工作组；组织开展培训L保证工作组成员熟悉检查方案，掌握检查内容、检查工具使用方法等。工作组成员通常由信息安全管理及运维部门、信息化部门有关人员，相关业务部门中熟悉业务、具备信息安全知识

20、的人员，以及本单位相关技术支撑机构的业务骨干等组成。2.3下达检查通知本单位信息安全管理部门应以书面形式部署信息安全检查工作，明确检查时间、检查范围、检查内容、工作要求等具体事项。3信息系统基本情况梳理对信息系统进行全面梳理，目的是及时掌握本单位信息系统基本情况，特别是变更情况，以便针对性地开展信息安全管理和防护工作。3. 1基本信息梳理查验信息系统规划设计方案、安全防护规划设计方案、网络拓扑图等相关文档，访谈信息系统管理人员与工作人员，了解掌握系统基本信息并记录结果（表1）,包括：a）主要功能、部署位置、网络拓扑结构、服务对象、用户规模、业务周期、运行高峰期等；b）业务主管部门、运维机构、系

21、统开发商和集成商、上线运行及系统升级日期等；c）定级情况、数据集中情况、灾备情况等。表1系统基本信息梳理记录表（每个系统一张表）编号系统名称主要功能部署位置网络拓扑结构服务对象用户规模业务周期业务主管部门运维机构系统开发商系统集成商上线运行及最近一次系统升级时间定级情况数据集中情况灾备情况3.2系统构成情况梳理3. 2.1主要硬件构成重点梳理主要硬件设备类型、数量、生产商（品牌）情况，记录结果（表2）。硬件设备类型主要有：服务器、路由器、交换机、防火墙、终端计算机、磁盘阵列、磁带库及其他主要安全设备。表2信息系统主要硬件构成梳理记录表检查项检查结果服务器品牌浪潮曙光联想方正IBMHPDELL数

22、量其他：1 .品牌，数量2 .品牌,数量（如有更多，可另列表）路由器品牌华为中兴H3CCiscoJuniper数量其他：1.品牌，数量2.品牌,数量（如有更多，可另列表）交换机品牌华为中兴H3CCiscoJuniper数量其他：1 .品牌，数量2 .品牌,数量（如有更多，可另列表）防火墙1.P2.士由牌，数量（如有更多，可另列表）由牌，数量终端计算机（含笔记本）品牌联想方正长城HPDELL三星索尼数量其他：1 .品牌，数量2 .品牌,数量（如有更多，可另列表）其他1 .设备类型：，品牌，数量2 .设备类型：,品牌，数量（如有更多，可另列表）3.2.2主要软件构成重点梳理主要软件类型、套数、生产

23、商（品牌）情况，记录结果（表3）。软件类型主要有：操作系统、数据库、公文处理软件及主要业务应用系统。表3信息系统主要软件构成梳理记录表检查项检查结果操作系统品牌红旗麒麟WindowsRedHatHP-UnixAIXSolaris数量其他:1 .F2 .士由牌：由牌:数量数量（如有更多，可另列表）数据库品牌金仓达梦OracleDB2SQLServer数量其他：1 .品牌，数量2 .品牌,数量（如有更多，可另列表）公文处理软件品牌数量1.设备类型：，品牌，数量其他2.设备类型：，品牌，数量（如有更多，可另列表）4日常工作情况检查信息安全日常工作情况检查通常包括规章制度完整性、信息安全管理、安全技术

24、防护、信息安全应急、信息安全教育培训等方面情况的检查。4.1规章制度完整性检查4. 1.1要求应建立健全信息安全相关管理制度。4. 1.2检查方式文档查验。4. 1.3检查方法a）调阅信息安全管理相关制度文档，检查管理制度体系是否健全，即涵盖人员管理、资产管理、采购管理、外包管理、应急管理、教育培训等方面；b）检查管理制度是否以正式文件等形式发布。4.2信息安全管理情况检查4. 2.1组织管理情况检查4. 2.1.1要求a）应明确一名主管领导，负责本单位信息安全管理工作，根据国家法律法规有关要求，结合实际组织制定信息安全管理制度，完善技术防护措施，协调处理重大信息安全事件；b）应指定一个机构，

25、具体承担信息安全管理工作，负责组织落实信息安全管理制度和信息安全技术防护措施，开展信息安全教育培训和监督检查等；c）各内设机构应指定一名专职或兼职信息安全员，负责日常信息安全督促、检查、指导工作。信息安全员应当具备较强的信息安全意识和工作责任心，掌握基本的信息安全知识和技能。4. 2.1.2检查方式文档查验、人员访谈。4. 2.1.3检查方法a）查验领导分工等文件，检查是否明确了信息安全主管领导；查验信息安全相关工作批示、会议记录等，了解主管领导履职情况；b）查验本单位各内设机构职责分工等文件，检查是否指定了信息安全管理机构（如工业和信息化部指定办公厅为信息安全管理机构）；查验工作计划、工作方

26、案、规章制度、监督检查记录、教育培训记录等文档，了解管理机构履职情况；c）查验信息安全员列表，检查是否每个内设机构都指定了专职或兼职信息安全员；访谈信息安全员，检查其信息安全意识和信息安全知识、技能掌握情况；查验工作计划、工作报告等相关文档，检查信息安全员日常工作开展情况。表4组织管理检查结果记录表信息安全主管领导1 .姓名：2 .职务：（本单位正职/副职领导）3 .本年度对信息安全工作进行过批示：口是，批示次数：口否4 .本年度主持召开过信息安全专题会议：是，会议次数：一口否信息安全管理机构1 .名称：（如办公厅）2 .负责人：职务：3 .联系人：电话：信息安全专职工作处室1 .名称：（如信

27、息中心信息安全处）2 .负责人：电话：信息安全员1 .内设机构数量：2 .信息安全员数量：4.2.2人员管理情况检查4.2.2.1要求a）应建立健全岗位信息安全责任制度，明确岗位及人员的信息安全责任。应与重点岗位的计算机使用和管理人员签订信息安全与保密协议，明确信息安全与保密要求和责任；b）应制定并严格执行人员离岗离职信息安全管理规定，人员离岗离职时应终止信息系统访问权限，收回各种软硬件设备及身份证件、门禁卡等，并签署安全保密承诺书；c）应建立外部人员访问机房等重要区域审批制度，外部人员须经审批后方可进入，并安排本单位工作人员现场陪同，对访问活动进行记录并留存；d）应对信息安全责任事故进行查处

28、对违反信息安全管理规定的人员给予严肃处理，对造成信息安全事故的依法追究当事人和有关负责人的责任，并以适当方式通报。4. 2.2.2检查方式文档查验、人员访谈。5. 2.2.3检查方法a）查验岗位信息安全责任制度文件，检查系统管理员、网络管理员、信息安全员、一般工作人员等不同岗位的信息安全责任是否明确；检查重点岗位人员信息安全与保密协议签订情况；访谈部分重点岗位人员，抽查对信息安全责任的了解程度；b）查验人员离岗离职管理制度文件，检查是否有终止系统访问权限、收回软硬件设备、收回身份证件和门禁卡等要求；检查离岗离职人员安全保密承诺书签署情况；查验信息系统账户，检查离岗离职人员账户访问权限是否已被

29、终止；c）查验外部人员访问机房等重要区域的审批制度文件，检查是否有访问审批、人员陪同等要求；查验访问审批记录、访问活动记录，检查记录是否清晰、完整；d）查验安全事件记录及安全事件责任查处等文档，检查是否发生过因违反制度规定造成的信息安全事件、是否对信息安全事件责任人进行了处置。表5人员管理检查结果记录表人员管理1 .岗位信息安全责任制度：口已建立口未建立2 .重点岗位人员信息安全与保密协议：口全部签订口部分签订口均未签订3 .人员离岗离职安全管理规定：口已制定口未制定4 .离岗离职安全管理措施（可多选）：口终止系统访问权限口收回软硬件设备口收回身份证件和门禁卡口签署离岗离职安全承诺书5 .离岗

30、离职安全保密承诺书：口全部签订口部分签订口均未签订6 .外部人员访问机房等重要区域审批制度：口已建立口未建立7 .外部人员访问机房等重要区域记录：口完整口不完整8 .本年度信息安全事故发生及处置情况：口发生过口已做处置，其中：信息安全责任事故当事人和有关责任人人，已处理人，其中：通报批评人，警告人，记过及以上人口未做处置口未发生过4.2.3资产管理情况检查4.2.3.1要求a）应建立并严格执行资产管理制度；b）应指定专人负责资产管理；c）应建立资产台账（清单），统一编号、统一标识、统一发放；d）应及时记录资产状态和使用情况，保证账物相符；e）应建立并严格执行设备维修维护和报废管理制度。4.2.

31、3.2检查方式文档查验、人员访谈。4.2.3.3检查方法a）查验资产管理制度文档，检查资产管理制度是否建立；b）查验设备管理员任命及岗位分工等文件，检查是否明确专人负责资产管理；访谈设备管理员，检查其对资产管理制度和日常工作任务的了解程度；c）查验资产台账，检查台账是否完整（包括设备编号、设备状态、责任人等信息）;查验领用记录，检查是否做到统一编号、统一标识、统一发放；d）随机抽取资产台账中的部分设备登记信息，查验是否有对应的实物；随机抽取一定数量的实物，查验其是否纳入资产台账，同台账是否相符；e）查验相关制度文档和记录，检查设备维修维护和报废管理制度建立及落实情况。表8外包服务管理检查结果记

32、录表外包服务管理1 .外包服务安全管理制度：口已制定口未制定2 .信息技术外包服务合同及信息安全与保密协议：口全部签订口部分签订口均未签订3 .现场服务记录：口有详细服务记录口仅有现场进出记录无记录4 .外包开发系统、软件上线应用前安全测评情况：均经测评部分经测评均未测评5 .信息系统运维安全管理：口无外包服务外包服务商现场运维外包服务商远程运维远程运维风险控制措施：口有口无表9外包服务机构检查结果记录表（每个机构一张表）外包服务机构机构名称机构性质国有单位口民营企业外资企业服务内容信息安全与保密协议已签订口未签订信息安全管理体系认证情况口已通过认证，认证机构：口未通过认证4.2.6经费保障情

33、况检查4.2.6.1要求a）应将信息安全设施运行维护、日常信息安全管理、信息安全教育培训、信息安全检查、信息安全风险评估、信息系统等级测评、信息安全应急处置等费用纳入部门年度预算；b）应严格落实信息安全经费预算，保证信息安全经费投入。4.2.6.2检查方式文档查验。4.2.6.3检查方法a）会同本单位财物部门人员，查验上一年度和本年度预算文件，检查年度预算中是否有信息安全相关费用；b）查验相关财务文档和经费使用账目，检查上一年度信息安全经费实际投入情况、信息安全经费是否专款专用。表10经费保障检查结果记录表经费保障1 .信息安全预算范围（可多选）：信息安全防护设施建设费用口运行维护费用口日常信

34、息安全管理费用口教育培训费用口应急处置费用口检查评估（含风险评估、等级测评等）费用无相关预算电信接入口数量：一个接入带宽：一兆其他：接入口数量：接入带宽：一兆网络隔离1 .非涉密信息系统与互联网及其他公共信息网络隔离情况：物理隔离口逻辑隔离口无隔离2 .涉密信息系统与互联网及其他公共信息网络隔离情况：口物理隔离口逻辑隔离口无隔离网络边界防护措施1 .网络边界防护措施：口访问控制口安全审计口边界完整性检查口入侵防范口恶意代码防范口无措施2 .网络访问日志：口留存日志口未留存日志4.3.3关键设备安全防护情况检查对承担网络与信息系统运行的关键设备，包括服务器、网络设备、安全设备等的安全防护情况进行

35、检查，保证安全策略配置及防护的有效性。4.3.3.1检查方式现场核查。4.3.3.2检查方法a）登录恶意代码防护设备（如防病毒网关），检查恶意代码库更新情况；b）登录服务器（应用系统服务器、数据库服务器），检查口令策略配置情况，包括口令强度和更新频率；检查安全审计策略配置情况，包括审计功能是否启用、操作记录是否留存、日志是否定期分析、是否对异常访问和操作及时进行处置；检查病毒防护情况，包括防病毒软件是否安装、病毒库是否及时更新；检查补丁更新情况，包括操作系统、数据库管理系统等的补丁是否及时更新；c）登录网络设备、安全设备，检查口令策略配置情况，包括口令强度和更新频率；检查安全审计策略配置情况，

36、包括审计功能是否启用、操作记录是否留存、日志是否定期分析、是否对异常访问和操作及时进行处置；表12关键设备安全防护情况检查结果记录表关键设备安全防护情况1 .恶意代码防护情况：口已配备防护设备（如防病毒网关）口定期更新恶意代码库口未定期更新恶意代码库或从未更新口未配备2 .服务器口令策略配置：口令长度最低要求：一位口令更新频率：口令组成（可多选）：口字母口数字口特殊字符3 .服务器安全审计：口启用安全审计功能口定期分析，分析周期：口不进行分析口未启用安全审计功能4 .服务器补丁（操作系统和数据库管理系统补丁）更新情况：及时更新口更新，但不及时口从未更新5 .网络设备口令策略配置：口令长度最低要

37、求：一位口令更新频率：口令组成（可多选）：口字母口数字口特殊字符6 .安全设备口令策略配置：口令长度最低要求：一位口令更新频率：口令组成（可多选）：口字母口数字口特殊字符4.3.4应用系统安全防护情况检查4.3,4.1基本情况检查4.3.4.1.1要求a）应按照GB/T20984-2007的要求，定期对信息系统面临的安全风险和威胁、薄弱环节以及防护措施的有效性等进行分析评估；b）应综合考虑信息系统的重要性、涉密程度和面临的信息安全风险等因素，按照国家信息安全等级保护相关政策和技术标准规范，对信息系统实施相应等级的安全管理；c）应按照GB/T22240-2008的要求，确定信息系统安全保护等级；

38、d）应按照GB/T22239-2008的要求，对信息系统实施相应等级的安全建设和整改；e）应按照信息系统安全等级保护测评相关要求，对信息系统进行等级测评。4.3.4.1.2检查方式文档查验。4.3.4.1.3检查方法a）查验信息系统定级报告，检查信息系统定级情况；b）查验测评报告，检查风险评估、等级测评开展情况。表13应用系统防护基本情况检查结果记录表基本情况1 .系统总数：个2 .已定级系统个，其中：第一级：一个第二级：一个第三级：一个第四级：一个第五级：一个3 .本年度经过风险评估、等级测评等的系统数：个4.3,4.2门户网站安全防护情况检查4.3.4.2.1要求a）网站开通前，应组织专业

39、技术机构进行安全测评，对新增应用要进行安全评估；b）应定期对网站链接进行安全性和有效性检查；c）应采取必要的技术措施，提高网站防篡改、防攻击能力，加强网站敏感信息保护；d）应建立完善网站信息发布审核制度，明确审核程序，严格审核流程。4.3.4.2.2检查方式文档查验、人员访谈、现场核查、人工测试。4.3.4.2.3检查方法a）查验检测报告等相关文档，检查网站开通或新增应用时是否进行过安全测评；b）查验相关记录，访谈网站管理员，检查是否定期对网站链接的安全性和有效性进行检查；采用技术工具进行扫描，检测网站链接的有效性；c）查看防护设备部署情况，检查是否有网页防篡改、抗拒绝服务攻击等功能并进行必要

40、的配置；d）查验相关记录，检查网站信息发布时是否对内容进行核查、是否经过审批。表14门户网站安全防护检查结果记录表1 .网页防篡改措施：有，措施为：_口无2.网站抗拒绝服务攻击措施：门户网站有，措施为：一口无安全防护3.网站内容管理措施：口建立审核制度（发布前内容核查、口建立审核制度（发布前内容核查、无审核记录或无制度要求审批），且审核记录完整审批），但审核记录不完整4.3.4.3电子邮件系统安全防护情况检查4.3.4.3.1要求a）应加强电子邮件系统安全防护，采取反垃圾邮件等技术措施；b）应规范电子邮箱的注册管理，原则上只限于本部门工作人员注册使用；c）应严格邮箱账户及口令管理，采取技术和管

41、理措施确保口令具有一定强度并定期更换。4.3.4.3.2检查方式文档查验、现场核查。4.3.4.3.3检查方法a）查验设备部署或配置情况，检查电子邮件系统是否采取了反垃圾邮件技术措施；b）查验电子邮件系统管理相关规定文档，检查是否有注册审批流程要求；查验服务器上邮箱账户列表，同本单位人员名单进行核对，检查是否有非本单位人员使用；c）查看邮箱口令策略配置界面，检查电子邮件系统是否设置了口令策略，是否对口令强度和更改周期等进行要求。表15电子邮件系统安全防护检查结果记录表电子邮件系统安全防护1 .反垃圾邮件等技术措施：口有口无2 .邮箱注册：注册邮箱账户须经审批口随意注册使用3 .账户口令防护：口

42、使用技术措施控制和管理口令强度口无口令强度控制技术措施4.3.5终端计算机安全防护情况检查4.3.5.1要求a）应采用集中统一管理方式对终端计算机进行管理，统一软件下发，统一安装系统补丁，统一实施病毒库升级和病毒查杀，统一进行漏洞扫描；b）应规范软硬件使用，不得擅自更改软硬件配置，不得擅自安装软件；c）应加强账户及口令管理，使用具有一定强度的口令并定期更换；d）应对接入互联网的终端计算机采取控制措施，包括实名接入认证、IP地址与MAC地址绑定等；e）应定期对终端计算机进行安全审计；f）非涉密计算机不得存储和处理国家秘密信息。4.3.5.2检查方式现场核查、工具检测。4.3.5.3检查方法a）查

43、看集中管理服务器，抽查终端计算机，检查是否部署了终端管理系统或采用了其他集中统一管理方式对终端计算机进行管理，包括统一软硬件安装、统一补丁升级、统一病毒防护、统一安全审计等；b）查看终端计算机，检查是否安装有与工作无关的软件；c）使用终端检查工具或采用人工方式，检查终端计算机是否配置了口令策略。d）访谈网络管理员和工作人员，检查是否采取了实名接入认证、IP地址与MAC地址绑定等措施对接入本单位网络的终端计算机进行控制；将未经授权的终端计算机接入网络，测试是否能够访问互联网，验证控制措施的有效性；e）查验审计记录，检查是否对终端计算机进行了安全审计。表16终端计算机安全防护检查结果记录表1 .安

44、全管理方式：口集中统一管理（可多选）口规范软硬件安装口统一补丁升级口统一病毒防护口统一安全审计口对移动存储介质接入实施控制口分散管理2 .账户口令策略：终端计算机口所有终端计算机均配置一建防护口部分终端计算机配置口均未配置3 .接入互联网安全控制措施：口有控制措施控制措施为：口实名接入口绑定计算机IP和MAC地址其他：口无控制措施4.终端计算机安全审计：有审计无审计4.4.a）应严格存储阵列、磁带库等大容量存储介质的管理，采取技术措施防范外联风险，确保存储数据安全；b）应对移动存储介质进行集中统一管理，记录介质领用、交回、维修、报废、销毁等情况；c）非涉密移动存储介质不得存储涉及国家秘密的信息，不得在涉密计算机上使用；3.6存储介质安全防护情况检查3.6.1要求d）移动存储介质在接入本部门计算机和信息系统前，应当查杀病毒、木马等恶意代码；e）应配备必要的电子信息消除和销毁设备，对变更用途的存储介质要消除信息，对废弃的存储介质要进行销毁。4.3.6.2检查方式文档查验、人员访谈、现场核查。4.3.6.3检查方法a）访谈网络管