信息安全自查操作指南Word格式文档下载.docx
《信息安全自查操作指南Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《信息安全自查操作指南Word格式文档下载.docx(30页珍藏版)》请在冰点文库上搜索。
(3)实时性要求高。
(4)系统关联性强(发生重大信息安全事件后,会对与其相连的其他系统造成较大影响,并产生连片连锁反应)。
(5)直接面向社会公众提供服务,用户数量庞大,覆盖范围广。
(6)灾备等级高(系统级灾备)。
3.关于重要工业控制系统,可从发生信息安全事件造成危害的角度,参考以下标准进行判定:
(1)发生重大信息安全事件,致使系统出现严重故障后,可能导致10人以上死亡或50人以上重伤。
(2)发生重大信息安全事件,致使系统出现严重故障后,可能导致5000万元以上直接经济损失。
(3)发生重大信息安全事件,致使系统出现严重故障后,可能影响100万人以上正常生活。
(4)发生重大信息安全事件,致使系统出现严重故障后,可能对与其相连的其他系统造成影响,并产生连片连锁反应。
(5)发生重大信息安全事件,致使系统出现严重故障后,可能对生态环境造成严重破坏。
(6)发生重大信息安全事件,致使系统出现严重故障后,可能对国家安全和社会稳定产生重大影响。
二、自查工作动员部署
自查单位可通过召开会议、下发文件等方式对自查工作进行部署,布置自查工作任务。
相关人员要切实落实自查工作责任,各司其职,形成合力,共同推进自查工作。
环节二基本情况自查
一、系统基本情况自查
(一)系统特征情况
1.查看系统规划设计方案、安全防护规划设计方案、网络拓扑图等,核实系统的实时性、服务对象、连接互联网情况、数据集中情况、灾备情况等基本情况,记录检查结果(表1)。
表1系统基本情况检查记录表
序号
系统名称
实时性
服务
对象
连接互联网情况
数据集中情况
灾备情况
实时
非实时
面向社会公众
不面向社会公众
采用逻辑隔离措施连接
采用逻辑强隔离措施连接
不连接
全省集中
市级集中
不集中
系统级灾备
仅数据灾备
无灾备
1
2
3
…
2.根据上述系统基本情况核查结果,分析系统停止运行后对主要业务的影响程度、系统遭受攻击破坏后对社会公众的影响程度等安全特征,记录分析结果(表2)。
(1)关于系统停止运行后对主要业务的影响程度判定标准如下:
影响程度高:
系统停止运行后,主要业务无法开展或对主要业务运行产生严重影响;
影响程度中:
系统停止运行后,对主要业务运行有一定影响,可用手工等传统方式替代;
影响程度低:
系统停止运行后,对主要业务运行影响较小或无影响。
(2)关于系统遭受攻击破坏后对社会公众的影响程度判定标准如下:
系统遭受攻击破坏,造成系统无法正常运行、被劫持、信息泄露等后果后,对社会公众正常生活、公众利益等产生严重影响;
系统遭受攻击破坏,造成系统无法正常运行、被劫持、信息泄露等后果后,对社会公众正常生活、公众利益等产生一定影响;
系统遭受攻击破坏,造成系统无法正常运行、被劫持、信息泄露等后果后,对社会公众正常生活、公众利益等影响较小或无影响。
表2系统特征情况分析记录表
序
号
系统对主要业务的
影响程度
系统对社会公众的
高
中
低
(二)系统构成情况
1.重点检查主要硬件设备类型、数量、生产商(品牌)情况,记录检查结果(表3)。
硬件设备类型主要有:
服务器、路由器、交换机、防火墙、磁盘阵列、磁带库及其他主要安全设备。
硬件设备生产商(品牌)按国内、国外两类进行记录。
其中,国内主要有浪潮、曙光、联想、方正、华为、中兴、天融信、启明星辰、绿盟、联想网御等,国外主要有IBM、HP、DELL、Cisco、Juniper、H3C等。
2.重点检查主要软件设备类型、套数、生产商(品牌)情况,记录检查结果(表4)。
软件设备类型主要有:
操作系统、数据库及主要业务应用系统。
软件设备生产商(品牌)按国内、国外两类进行记录。
其中,国内主要有红旗、麒麟、金仓、达梦等,国外主要有Windows、RedHat、HP-Unix、AIX、Solaris、Oracle、DB2、SQLServer等。
(三)工业控制系统类型与构成情况
通过调阅资产清单、现场查看、上机检查等方式,检查工业控制系统类型和构成情况,汇总记录检查结果(表5)。
工业控制系统类型主要包括数据采集与监控系统、分布式控制系统、过程控制系统、可编程控制器、就地测控设备(仪表、智能电子设备、远端设备)等。
工业控制系统软硬件主要包括:
应用服务器-工程师工作站(组态监控软件、系统软件、PC机/服务器)、数据服务器(数据库软件、系统软件、PC机/服务器)等。
表3信息系统主要硬件检查记录表
检查项
检查结果
主
要
硬
件
服务器
国内品牌数量
浪潮
曙光
联想
方正
其他:
1.品牌,数量
2.品牌,数量
(如有更多,请另列表)
国外品牌数量
IBM
HP
DELL
路由器
华为
中兴
Cisco
Juniper
H3C
交换机
防火墙
国内
2.品牌,数量(如有更多,请另列表)
国外
磁盘阵列
磁带库
其他
1.设备类型:
,品牌,数量
2.设备类型:
表4信息系统主要软件检查记录表
软
操作系统
国内品牌套数
红旗
麒麟
1.品牌,套数
2.品牌,套数
国外品牌套数
Windows
RedHat
HP-Unix
AIX
数据库
金仓
达梦
Oracle
DB2
SQLServer
,品牌,套数
表5工业控制系统类型与构成情况检查记录表(选填)
国内品牌
国外品牌
系统类型情况
数据采集与监控(SCADA)系统
套
分布式控制系统(DCS)
过程控制系统(PCS)
可编程控制器(PLC)
大型
台
中型
小型
就地测控设备
仪表
智能电子设备(IED)
远端设备(RTU)
系统构成情况
应用服务器-工程师工作站
组态监控软件
系统软件
PC机/服务器
数据服务器
数据库软件
通信设备
(四)信息技术外包服务情况
重点检查信息技术外包服务类型、服务提供商、服务方式、安全保密协议等,记录检查结果(表6)。
服务类型主要有系统集成、软件开发、系统运维、风险评估、安全检测、安全加固、应急支持、数据存储、规划咨询、系统托管、灾难备份等。
服务方式主要有远程在线服务和现场服务。
安全保密协议内容应包括安全责任、违约责任、协议有效期和责任人等内容。
对于没有安全保密协议文本,但在外包服务合同中具有相关内容的,视同签订安全保密协议。
表6信息技术外包服务检查结果记录表
外包服务机构1
机构名称
机构性质
□国有□民营□外资
服务内容
服务方式
□远程在线服务□现场服务
信息安全与保密协议
□已签订□未签订
外包服务机构2
外包服务机构3
(如有更多,可另列表)
二、安全管理情况自查
(一)信息安全责任制建立及落实情况
重点检查信息安全主管领导、信息安全管理机构、信息安全工作人员履职以及岗位责任、事故责任追究情况等,记录检查结果(表7)。
1.信息安全主管领导明确及工作落实情况。
检查方法:
调阅领导分工等文件,检查是否明确了信息安全主管领导。
调阅信息安全相关工作批示和会议记录等文件,了解主管领导工作落实情况。
2.信息安全管理机构指定及工作落实情况。
调阅单位内各部门职责分工等文件,检查是否指定了信息安全管理机构。
调阅工作计划、工作方案、管理规章制度、监督检查记录等文件,了解管理机构工作落实情况。
3.信息安全工作人员配备及工作落实情况。
调阅人员列表、岗位职责分工等文件,检查是否配备了信息安全工作人员。
访谈信息安全工作人员,调阅工作计划、工作记录、工作报告等文件,检查信息安全工作人员的工作落实情况。
4.岗位责任和事故责任追究情况。
调阅安全事件记录等文件,检查是否发生过因违反制度规定造成的信息安全事故。
调阅安全事件处置文件,检查是否对信息安全责任事故进行了查处。
表7信息安全责任制建立及落实情况检查记录表
分管信息安全工作的领导
①姓名:
_______________
②职务:
_______________(本部门正职或副职领导)
信息安全管理机构
①名称:
___________________
②负责人:
_____________职务:
________________
③联系人:
_____________电话:
信息安全专职工作机构
4
信息安全员
①本单位内设机构数量:
_____________
②信息安全员数量:
_____________
③专职信息安全员数量:
5
岗位责任和事故责任追究
①岗位信息安全责任制度:
□已制定□未制定
②安全责任事故:
□发生过:
□所有事故均已查处相关责任人
□有事故未查处相关责任人
□未发生过
(二)日常安全管理制度建立和落实情况
重点检查人员管理、资产管理、存储介质管理、运行维护管理、年度教育培训等制度建立和落实情况,记录检查结果(表8)。
1.人员管理制度。
调阅人员管理制度等文件,检查是否有岗位信息安全责任、人员离岗离职管理、外部人员访问管理等相关规定。
调阅人员信息安全保密协议,检查系统管理员、网络管理员、信息安全员等重点岗位人员是否签订了协议。
调阅人员离岗离职记录、人员离岗离职承诺书等文件,抽查离岗离职人员信息系统访问权限终止情况,检查人员离岗离职管理落实情况。
调阅外部人员访问审批手续、访问记录等文件,检查外部人员访问管理落实情况及相关记录完整性。
2.资产管理制度
调阅资产管理制度等文件,检查是否有设备发放、使用、维修、维护和报废等相关规定。
调阅资产台账,抽取一定比例的在用设备,核查其对应的资产台账记录;
随机抽取资产台账中的设备,核查其对应的实物,检查资产台账完整性和账物符合性。
调阅设备管理员任命、岗位分工等文件,访谈设备管理员,检查是否指定了专人负责资产管理工作。
3.存储介质管理制度。
调阅存储介质管理制度等文件,检查是否有介质领用、交回、维修、报废、销毁等相关规定,调阅存储介质管理相关记录,检查存储介质管理制度落实情况。
访谈网络管理员、数据库管理员,了解存储阵列、磁带库等大容量存储介质是否外联,外联时是否有安全防护措施,是否存在远程维护。
4.运行维护管理制度。
调阅运行维护管理制度等相关文件,检查是否包含备份、应急、监控、审计、变更管理等相关内容。
调阅运维操作手册和运维相关记录,检查是否有运维操作手册、运行维护管理制度落实情况及相关记录完整性。
5.年度教育培训。
访谈网络管理员、系统管理员和工作人员,了解信息安全基本防护技能掌握情况,调阅信息安全教育培训制度、培训计划、培训记录、考核记录及试卷等相关文件,检查年度培训计划制定情况、培训记录(培训时间、培训内容、人员签到、培训讲师等内容),确认信息安全管理人员和技术人员培训内容中是否包含专业技能,确认领导干部和机关工作人员培训内容中是否包含信息安全基本技能。
表8日常安全管理制度建立和落实情况检查结果记录表
人员管理
①重要岗位人员安全保密协议:
□全部签订□部分签订□未签订
②人员离岗离职安全管理规定:
□已制定□未制定
③外部人员访问审批制度:
资产管理
①资产管理制度:
②是否指定专人进行资产管理:
□是□否
③设备维修维护和报废管理制度:
④设备维修维护和报废记录是否完整:
存储介质管理
①存储介质管理制度:
②存储介质管理记录:
□完整□不完整
③大容量存储介质:
□外联:
□采取了技术防范措施
□未采取技术防范措施
□不外联
运行维护管理
①日常运维制度:
②运维操作手册:
③运维操作记录:
年度教育培训
①年度培训计划:
②本年度接受信息安全教育培训的人数:
_____人
占本单位总人数的比例:
_____%
③本年度开展信息安全教育培训的次数:
_____次
④本年度信息安全管理和技术人员参加专业培训:
______人次
(三)信息安全经费投入情况
重点检查信息安全经费预算和投入情况,记录检查结果(表9)。
1.本年度信息安全经费预算
调阅本年度经费预算文件,检查是否将信息安全防护设施建设、运行、维护以及信息安全相关检查、测评、管理等费用纳入了年度预算,记录本年度信息安全经费预算情况。
2.上年度信息安全经费投入
查阅相关财务文件,记录上一年度信息安全经费实际投入情况。
表9信息安全经费投入情况表
本年度信息安全经费预算
本年度信息安全预算:
□有,预算额:
_______万元
□无
上年度信息安全经费投入
上年度信息安全经费实际投入额:
_____________万元
三、技术防护情况自查
对纳入检查范围的每一个网络与信息系统、工业控制系统的技术防护情况逐个进行检查,重点检查技术防护体系建设、网络边界安全防护措施、设备安全策略配置、重要数据传输存储安全防护措施等情况,记录检查结果(表10)。
(一)网络边界安全防护措施
对照网络拓扑图,检查网络实际连接情况,确认同网络拓扑图一致。
分析网络拓扑图,查看网络隔离设备部署、交换机VLAN划分,检查网络是否按重要程度划分安全区域,确认不同区域采用了正确的隔离措施。
检查互联网连接情况,统计网络外联的出口个数,检查每个出口是否都进行了安全控制。
检查网络边界防护设备部署情况,确认外部网络接入内部网络采用了安全的加密传输方式(如VPN)等。
(二)安全策略或安全功能配置及有效性
分别登录服务器、网络设备、安全设备,查看安全策略配置,检查安全策略配置是否合理,并验证其有效性,确认按需开放端口、符合最小服务原则。
检查应用系统安全功能配置情况,确认具有身份认证、访问控制、安全审计等安全功能,登录系统验证安全功能的有效性。
(三)重要数据传输、存储安全防护措施
登录数据库,查看重要数据,确认加密存储。
采用网络嗅探工具抓取访问系统时的通信数据包,检查是否加密传输。
访谈数据库管理员,检查重要数据是否进行备份,确认备份方式是本地备份还是异地备份。
核查备份数据文件,确认备份周期。
(四)密码技术和设备情况。
调阅资产台账,查看在用系统,检查在用的密码设备、密码技术,检查供应商情况、是否具有相应资质。
表10技术防护情况检查记录表
(每个系统单独成一张表)
_______________________________________________
网络边界防护
①安全域隔离情况:
□逻辑强隔离□逻辑隔离□无隔离
②连接互联网情况:
□连接互联网:
互联网接入总数:
_______个
其中□联通接入口数量:
____个接入带宽:
_____兆
□电信接入口数量:
□其他:
__________________接入口数量:
____个
接入带宽:
□不连接互联网
③网络边界防护措施(多选):
□访问控制□安全审计□边界完整性检查□入侵防范
□恶意代码防范□VPN方式接入□无措施
安全防护策略
①服务器安全策略:
□使用默认配置□根据应用自主配置
□按需开放端口□最小服务配置
②网络设备安全策略:
③安全设备安全策略:
④应用系统安全功能:
□身份验证□访问控制□安全审计
重要数据防护
①传输防护:
□加密□未加密
②存储防护:
③备份:
□本地备份□异地备份□未备份
密码技术防护
□使用密码产品:
□硬件产品□软件产品
□未使用密码产品
四、应急处置及容灾备份情况自查
重点检查应急预案制修订、应急演练和灾备措施情况,记录检查结果(表11)。
(一)信息安全事件应急预案制定和修订情况
调阅应急预案文本、预案年度评估记录和修订记录等文件,检查应急预案制定和修订情况。
(二)预案演练
升级会员 