關(guān)于本溪市政府信息系統(tǒng)安全檢查實(shí)施辦法
為提高全市政府信息系統(tǒng)安全保障能力�����,規(guī)范和加強(qiáng)政府信息系統(tǒng)安全檢查工作,保障政府信息系統(tǒng)和信息內(nèi)容安全���,根據(jù)《遼寧省人民政府辦公廳關(guān)于印發(fā)遼寧省政府信息系統(tǒng)安全檢查實(shí)施辦法的通知》(遼政辦發(fā)〔2009〕98號(hào))要求��,結(jié)合我市實(shí)際��,制定本實(shí)施辦法�����。
一�、檢查原則
政府信息系統(tǒng)安全檢查堅(jiān)持“誰主管誰負(fù)責(zé)����、誰運(yùn)行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則�,統(tǒng)籌安排、突出重點(diǎn)�、明確責(zé)任、注重實(shí)效����、保證質(zhì)量。
市經(jīng)濟(jì)和信息化委負(fù)責(zé)全市政府信息系統(tǒng)安全檢查的協(xié)調(diào)、指導(dǎo)和監(jiān)督工作�,市公安、國(guó)家安全��、國(guó)家保密等部門積極配合����,密切協(xié)作���,按照職責(zé)分工�,負(fù)責(zé)政府信息系統(tǒng)安全檢查的相關(guān)工作����。安全檢查中涉及保密工作的,按照國(guó)家保密管理規(guī)定和標(biāo)準(zhǔn)執(zhí)行;涉及密碼管理工作的���,按照國(guó)家密碼管理規(guī)定執(zhí)行;涉及信息安全等級(jí)保護(hù)工作的��,按照信息安全等級(jí)保護(hù)管理規(guī)定執(zhí)行��。
各縣(區(qū))信息化主管部門負(fù)責(zé)本地政府各部門自建自管及其委托管理的網(wǎng)絡(luò)與信息系統(tǒng)安全檢查工作的指導(dǎo)�、協(xié)調(diào)和監(jiān)督�����。
二、工作目標(biāo)
通過定期組織開展網(wǎng)絡(luò)和信息系統(tǒng)安全檢查�,及時(shí)掌握各級(jí)政府信息系統(tǒng)安全現(xiàn)狀,發(fā)現(xiàn)和排除安全隱患�,強(qiáng)化安全防范措施,降低安全風(fēng)險(xiǎn)�����,提高安全防護(hù)能力���,確保政府信息系統(tǒng)安全和信息內(nèi)容安全;督促各縣(區(qū))�、各部門建立和完善各項(xiàng)安全管理規(guī)章制度���,提高政府信息安全防范意識(shí)和能力����。
三����、檢查內(nèi)容
(一)安全制度落實(shí)情況。重點(diǎn)檢查信息安全主管領(lǐng)導(dǎo)���、管理機(jī)構(gòu)和管理人員的落實(shí)情況�����,信息安全責(zé)任制和保密管理���、密碼管理����、等級(jí)保護(hù)�����、重要部門(部位)人員管理等制度的建立和落實(shí)情況��,信息安全經(jīng)費(fèi)保障情況���。
(二)安全防范措施落實(shí)情況。重點(diǎn)檢查身份認(rèn)證���、訪問控制�����、數(shù)據(jù)加密�����、安全審計(jì)�����、責(zé)任認(rèn)定和防篡改�、防病毒、防攻擊�����、防癱瘓�、防泄密等技術(shù)措施的有效性,以及計(jì)算機(jī)�����、移動(dòng)存儲(chǔ)設(shè)備��、電子文檔安全保護(hù)措施的落實(shí)情況��。
(三)應(yīng)急響應(yīng)機(jī)制建設(shè)情況����。重點(diǎn)檢查應(yīng)急預(yù)案制定���、演練、落實(shí)情況�����,應(yīng)急技術(shù)支援隊(duì)伍建設(shè)情況�,重大信息安全事故處置情況,以及重要數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的備份情況��。
(四)信息技術(shù)產(chǎn)品和服務(wù)國(guó)產(chǎn)化情況�。重點(diǎn)檢查終端計(jì)算機(jī)����、公文處理軟件、信息安全產(chǎn)品等使用國(guó)產(chǎn)產(chǎn)品情況�����,信息安全服務(wù)外包情況�,以及對(duì)因特殊原因選用國(guó)外信息技術(shù)產(chǎn)品和信息安全服務(wù)的安全審查情況。
(五)安全教育培訓(xùn)情況��。重點(diǎn)檢查工作人員參加信息安全教育培訓(xùn)、掌握信息安全常識(shí)和技能���、重點(diǎn)崗位持證上崗等情況�。
(六)責(zé)任追究情況��。重點(diǎn)檢查對(duì)違反信息安全規(guī)定行為和造成泄密事故���、信息安全事故的查處情況�,對(duì)責(zé)任人和有關(guān)負(fù)責(zé)人的責(zé)任追究以及懲處措施落實(shí)情況����。
(七)安全隱患排查及整改情況。重點(diǎn)檢查對(duì)安全制度�、防范措施、設(shè)備設(shè)施等方面存在的漏洞和薄弱環(huán)節(jié)的排查情況��,以及分析產(chǎn)生問題和隱患的原因�,研究制定和落實(shí)整改措施等情況。
(八)安全形勢(shì)�、安全風(fēng)險(xiǎn)狀況等。深入系統(tǒng)地分析外部安全形勢(shì)和內(nèi)部防范措施的有效性�,全面評(píng)估信息系統(tǒng)的安全風(fēng)險(xiǎn)狀況,提出改進(jìn)意見����。
四�、檢查方式
市政府信息系統(tǒng)安全檢查采取抽查和自查相結(jié)合��,以自查為主的方式進(jìn)行�。
(一)自查由各單位組織,開展本系統(tǒng)規(guī)劃����、建設(shè)和管理的網(wǎng)絡(luò)和信息系統(tǒng)的安全檢查,按照部門隸屬關(guān)系�,分級(jí)負(fù)責(zé),層層落實(shí)��,逐級(jí)匯總上報(bào)����。每半年不少于一次��,每次自查結(jié)束后����,自查單位要將自查情況報(bào)送市經(jīng)濟(jì)和信息化委。
(二)抽查由市經(jīng)濟(jì)和信息化委會(huì)同有關(guān)部門制定抽查工作方案��,提前10個(gè)以上工作日通知被抽查單位備查,并負(fù)責(zé)組織成立聯(lián)合抽查組����,進(jìn)行現(xiàn)場(chǎng)檢查,安排或委托技術(shù)檢測(cè)機(jī)構(gòu)進(jìn)行技術(shù)檢測(cè)和評(píng)估����,及時(shí)向被檢單位通報(bào)發(fā)現(xiàn)的問題,并提出整改建議�。被抽查單位應(yīng)積極協(xié)助抽查工作,指定工作聯(lián)系機(jī)構(gòu)和負(fù)責(zé)人�����,提供必要的條件���,如實(shí)反映情況�����,按照有關(guān)規(guī)定提供相關(guān)資料����,不得拒絕、妨礙抽查����。
(三)對(duì)安全檢查中發(fā)現(xiàn)的問題,被抽查單位要認(rèn)真整改���,并在檢查結(jié)束3個(gè)月內(nèi)落實(shí)整改措施�����,向市經(jīng)濟(jì)和信息化委報(bào)告整改情況���。
五、安全檢測(cè)
政府信息系統(tǒng)安全檢查工作技術(shù)性和專業(yè)性較強(qiáng)�,各單位或抽查部門可委托市級(jí)以上安全檢測(cè)機(jī)構(gòu)進(jìn)行檢測(cè)。
