关于本溪市政府信息系统安全检查实施办法
为提高全市政府信息系统安全保障能力,规范和加强政府信息系统安全检查工作,保障政府信息系统和信息内容安全,根据《辽宁省人民政府办公厅关于印发辽宁省政府信息系统安全检查实施办法的通知》(辽政办发〔2009〕98号)要求,结合我市实际,制定本实施办法。
一、检查原则
政府信息系统安全检查坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,统筹安排、突出重点、明确责任、注重实效、保证质量。
市经济和信息化委负责全市政府信息系统安全检查的协调、指导和监督工作,市公安、国家安全、国家保密等部门积极配合,密切协作,按照职责分工,负责政府信息系统安全检查的相关工作。安全检查中涉及保密工作的,按照国家保密管理规定和标准执行;涉及密码管理工作的,按照国家密码管理规定执行;涉及信息安全等级保护工作的,按照信息安全等级保护管理规定执行。
各县(区)信息化主管部门负责本地政府各部门自建自管及其委托管理的网络与信息系统安全检查工作的指导、协调和监督。
二、工作目标
通过定期组织开展网络和信息系统安全检查,及时掌握各级政府信息系统安全现状,发现和排除安全隐患,强化安全防范措施,降低安全风险,提高安全防护能力,确保政府信息系统安全和信息内容安全;督促各县(区)、各部门建立和完善各项安全管理规章制度,提高政府信息安全防范意识和能力。
三、检查内容
(一)安全制度落实情况。重点检查信息安全主管领导、管理机构和管理人员的落实情况,信息安全责任制和保密管理、密码管理、等级保护、重要部门(部位)人员管理等制度的建立和落实情况,信息安全经费保障情况。
(二)安全防范措施落实情况。重点检查身份认证、访问控制、数据加密、安全审计、责任认定和防篡改、防病毒、防攻击、防瘫痪、防泄密等技术措施的有效性,以及计算机、移动存储设备、电子文档安全保护措施的落实情况。
(三)应急响应机制建设情况。重点检查应急预案制定、演练、落实情况,应急技术支援队伍建设情况,重大信息安全事故处置情况,以及重要数据和业务系统的备份情况。
(四)信息技术产品和服务国产化情况。重点检查终端计算机、公文处理软件、信息安全产品等使用国产产品情况,信息安全服务外包情况,以及对因特殊原因选用国外信息技术产品和信息安全服务的安全审查情况。
(五)安全教育培训情况。重点检查工作人员参加信息安全教育培训、掌握信息安全常识和技能、重点岗位持证上岗等情况。
(六)责任追究情况。重点检查对违反信息安全规定行为和造成泄密事故、信息安全事故的查处情况,对责任人和有关负责人的责任追究以及惩处措施落实情况。
(七)安全隐患排查及整改情况。重点检查对安全制度、防范措施、设备设施等方面存在的漏洞和薄弱环节的排查情况,以及分析产生问题和隐患的原因,研究制定和落实整改措施等情况。
(八)安全形势、安全风险状况等。深入系统地分析外部安全形势和内部防范措施的有效性,全面评估信息系统的安全风险状况,提出改进意见。
四、检查方式
市政府信息系统安全检查采取抽查和自查相结合,以自查为主的方式进行。
(一)自查由各单位组织,开展本系统规划、建设和管理的网络和信息系统的安全检查,按照部门隶属关系,分级负责,层层落实,逐级汇总上报。每半年不少于一次,每次自查结束后,自查单位要将自查情况报送市经济和信息化委。
(二)抽查由市经济和信息化委会同有关部门制定抽查工作方案,提前10个以上工作日通知被抽查单位备查,并负责组织成立联合抽查组,进行现场检查,安排或委托技术检测机构进行技术检测和评估,及时向被检单位通报发现的问题,并提出整改建议。被抽查单位应积极协助抽查工作,指定工作联系机构和负责人,提供必要的条件,如实反映情况,按照有关规定提供相关资料,不得拒绝、妨碍抽查。
(三)对安全检查中发现的问题,被抽查单位要认真整改,并在检查结束3个月内落实整改措施,向市经济和信息化委报告整改情况。
五、安全检测
政府信息系统安全检查工作技术性和专业性较强,各单位或抽查部门可委托市级以上安全检测机构进行检测。
( 责任编辑: 刘长利 )
1626
