信息安全检查操作指南人行DOC.docx
《信息安全检查操作指南人行DOC.docx》由会员分享,可在线阅读,更多相关《信息安全检查操作指南人行DOC.docx(43页珍藏版)》请在冰点文库上搜索。
信息安全检查操作指南人行DOC
信息安全检查
操作指南
二〇一三年六月
目录
1概述1
1.1检查目的1
1.2检查工作流程1
2检查工作部署2
2.1制定检查方案2
2.2成立检查工作组2
2.3下达检查通知2
3信息系统基本情况梳理2
3.1基本信息梳理2
3.2系统构成情况梳理3
4日常工作情况检查5
4.1规章制度完整性检查5
4.2信息安全管理情况检查5
4.2.1组织管理情况检查5
4.2.2人员管理情况检查6
4.2.3资产管理情况检查7
4.2.4采购管理情况检查8
4.2.5外包服务管理情况检查9
4.2.6经费保障情况检查10
4.3安全技术防护情况检查10
4.3.1物理环境安全情况检查10
4.3.2网络边界安全防护情况检查11
4.3.3关键设备安全防护情况检查11
4.3.4应用系统安全防护情况检查12
4.3.5终端计算机安全防护情况检查14
4.3.6存储介质安全防护情况检查15
4.3.7重要数据安全防护情况检查16
4.4信息安全应急工作情况检查16
4.5信息安全教育培训情况检查17
5安全技术检测18
5.1设备安全检测18
5.1.1网络设备及安全设备安全检测18
5.1.2服务器安全检测18
5.1.3终端计算机安全检测19
5.2应用系统安全检测20
6检查总结整改20
6.1汇总检查结果20
6.2分析问题隐患20
6.3研究整改措施20
6.4编写总结报告21
7注意事项21
7.1认真做好总结21
7.2加强风险控制21
7.3加强保密管理21
附件1信息安全检查总结报告参考格式22
附件2参考文献23
政府部门信息安全检查操作指南
为指导各级政府部门开展信息安全检查工作,依据《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》(国办发﹝2009﹞28号)、《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发﹝2012﹞23号)、《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》(国办发﹝2012﹞102号)等文件精神,参照《信息安全技术政府部门信息安全管理基本要求》(GB/T29245-2012)等国家信息安全技术标准规范,制定本指南。
本指南供各级政府部门开展信息安全检查(自查)工作时参考。
其他单位也可参考本指南结合实际开展信息安全检查工作。
1 概述
1.1 检查目的
通过开展常态化的信息安全检查,进一步落实信息安全责任,增强人员信息安全意识,查找突出问题和薄弱环节,排查安全隐患和安全漏洞,分析评估信息安全状况和防护水平,有针对性地采取管理和技术防护措施,促进安全防范水平和安全可控能力提升,预防和减少重大信息安全事件的发生,切实保障信息安全。
1.2 检查工作流程
安全检查工作流程通常包括检查工作部署、信息系统基本情况梳理、日常工作情况检查、安全技术检测、检查总结整改等五个环节,如下图所示。
图1政府部门信息安全检查工作流程图
2 检查工作部署
检查工作部署通常包括制定检查方案、成立检查工作组、下达检查通知等具体工作。
2.1 制定检查方案
本单位信息安全管理部门根据国家信息安全主管部门关于年度信息安全检查工作的统一安排,结合工作实际,制定检查方案,并报本单位信息安全主管领导批准。
检查方案应当明确以下内容:
(1)检查工作负责人、组织机构和具体实施机构;
(2)检查范围和检查重点;(3)检查内容;(4)检查工作组织开展方式;(5)检查工作时间进度安排;(6)有关工作要求。
1.关于检查范围。
检查的范围通常包括本单位各内设机构,以及为本单位信息系统(包括办公系统、业务系统、网站系统等)提供运行维护支撑服务的下属单位。
可根据本单位信息安全保障工作需要,将其他为本单位信息系统提供运维服务、对本单位信息系统安全可能产生重大影响的相关单位纳入检查范围。
2.关于检查重点。
在对各类信息系统进行全面检查的基础上,应突出重点,对事关国家安全和社会稳定,对地区、部门或行业正常生产生活具有较大影响的重要信息系统进行重点检查。
3.关于重要信息系统,可根据本单位实际,参考以下标准进行判定:
(1)关系国家安全和社会稳定。
(2)业务依赖度高。
(3)数据集中度高(全国或省级数据集中)。
(4)业务连续性要求高。
(5)系统关联性强(发生重大信息安全事件后,会对与其相连的其他系统造成较大影响,并产生连片连锁反应)。
(6)面向社会公众提供服务,用户数量大,覆盖范围广。
(7)灾备等级高(系统级灾备)。
2.2 成立检查工作组
本单位信息安全管理部门制定完成检查方案后,应及时成立检查工作组;组织开展培训,保证工作组成员熟悉检查方案,掌握检查内容、检查工具使用方法等。
工作组成员通常由信息安全管理及运维部门、信息化部门有关人员,相关业务部门中熟悉业务、具备信息安全知识的人员,以及本单位相关技术支撑机构的业务骨干等组成。
2.3 下达检查通知
本单位信息安全管理部门应以书面形式部署信息安全检查工作,明确检查时间、检查范围、检查内容、工作要求等具体事项。
3 信息系统基本情况梳理
对信息系统进行全面梳理,目的是及时掌握本单位信息系统基本情况,特别是变更情况,以便针对性地开展信息安全管理和防护工作。
3.1 基本信息梳理
查验信息系统规划设计方案、安全防护规划设计方案、网络拓扑图等相关文档,访谈信息系统管理人员与工作人员,了解掌握系统基本信息并记录结果(表1),包括:
a)主要功能、部署位置、网络拓扑结构、服务对象、用户规模、业务周期、运行高峰期等;
b)业务主管部门、运维机构、系统开发商和集成商、上线运行及系统升级日期等;
c)定级情况、数据集中情况、灾备情况等。
表1系统基本信息梳理记录表(每个系统一张表)
编号
系统名称
主要功能
部署位置
网络拓扑结构
服务对象
用户规模
业务周期
业务主管部门
运维机构
系统开发商
系统集成商
上线运行及最近一次系统升级时间
定级情况
数据集中情况
灾备情况
3.2 系统构成情况梳理
主要硬件构成
重点梳理主要硬件设备类型、数量、生产商(品牌)情况,记录结果(表2)。
硬件设备类型主要有:
服务器、路由器、交换机、防火墙、终端计算机、磁盘阵列、磁带库及其他主要安全设备。
表2信息系统主要硬件构成梳理记录表
检查项
检查结果
服务器
品牌
浪潮
曙光
联想
方正
IBM
HP
DELL
数量
其他:
1.品牌,数量
2.品牌,数量
(如有更多,可另列表)
路由器
品牌
华为
中兴
H3C
Cisco
Juniper
数量
其他:
1.品牌,数量
2.品牌,数量
(如有更多,可另列表)
交换机
品牌
华为
中兴
H3C
Cisco
Juniper
数量
其他:
1.品牌,数量
2.品牌,数量
(如有更多,可另列表)
防火墙
1.品牌,数量
2.品牌,数量
(如有更多,可另列表)
终端计算机(含笔记本)
品牌
联想
方正
长城
HP
DELL
三星
索尼
数量
其他:
1.品牌,数量
2.品牌,数量
(如有更多,可另列表)
其他
1.设备类型:
,品牌,数量
2.设备类型:
,品牌,数量
(如有更多,可另列表)
主要软件构成
重点梳理主要软件类型、套数、生产商(品牌)情况,记录结果(表3)。
软件类型主要有:
操作系统、数据库、公文处理软件及主要业务应用系统。
表3信息系统主要软件构成梳理记录表
检查项
检查结果
操作系统
品牌
红旗
麒麟
Windows
RedHat
HP-Unix
AIX
Solaris
数量
其他:
1.品牌,数量
2.品牌,数量
(如有更多,可另列表)
数据库
品牌
金仓
达梦
Oracle
DB2
SQLServer
数量
其他:
1.品牌,数量
2.品牌,数量
(如有更多,可另列表)
公文处理软件
品牌
数量
其他
1.设备类型:
,品牌,数量
2.设备类型:
,品牌,数量
(如有更多,可另列表)
4 日常工作情况检查
信息安全日常工作情况检查通常包括规章制度完整性、信息安全管理、安全技术防护、信息安全应急、信息安全教育培训等方面情况的检查。
4.1 规章制度完整性检查
要求
应建立健全信息安全相关管理制度。
检查方式
文档查验。
检查方法
a)调阅信息安全管理相关制度文档,检查管理制度体系是否健全,即涵盖人员管理、资产管理、采购管理、外包管理、应急管理、教育培训等方面;
b)检查管理制度是否以正式文件等形式发布。
4.2 信息安全管理情况检查
组织管理情况检查
要求
a)应明确一名主管领导,负责本单位信息安全管理工作,根据国家法律法规有关要求,结合实际组织制定信息安全管理制度,完善技术防护措施,协调处理重大信息安全事件;
b)应指定一个机构,具体承担信息安全管理工作,负责组织落实信息安全管理制度和信息安全技术防护措施,开展信息安全教育培训和监督检查等;
c)各内设机构应指定一名专职或兼职信息安全员,负责日常信息安全督促、检查、指导工作。
信息安全员应当具备较强的信息安全意识和工作责任心,掌握基本的信息安全知识和技能。
检查方式
文档查验、人员访谈。
检查方法
a)查验领导分工等文件,检查是否明确了信息安全主管领导;查验信息安全相关工作批示、会议记录等,了解主管领导履职情况;
b)查验本单位各内设机构职责分工等文件,检查是否指定了信息安全管理机构(如工业和信息化部指定办公厅为信息安全管理机构);查验工作计划、工作方案、规章制度、监督检查记录、教育培训记录等文档,了解管理机构履职情况;
c)查验信息安全员列表,检查是否每个内设机构都指定了专职或兼职信息安全员;访谈信息安全员,检查其信息安全意识和信息安全知识、技能掌握情况;查验工作计划、工作报告等相关文档,检查信息安全员日常工作开展情况。
表4组织管理检查结果记录表
信息安全
主管领导
1.姓名:
_______________
2.职务:
_______________(本单位正职/副职领导)
3.本年度对信息安全工作进行过批示:
□是,批示次数:
□否
4.本年度主持召开过信息安全专题会议:
□是,会议次数:
□否
信息安全
管理机构
1.名称:
_______________(如办公厅)
2.负责人:
_____________职务:
________________
3.联系人:
_____________电话:
________________
信息安全专职工作处室
1.名称:
_______________(如信息中心信息安全处)
2.负责人:
_____________电话:
________________
信息安全员
1.内设机构数量:
_______________
2.信息安全员数量:
_____________
人员管理情况检查
要求
a)应建立健全岗位信息安全责任制度,明确岗位及人员的信息安全责任。
应与重点岗位的计算机使用和管理人员签订信息安全与保密协议,明确信息安全与保密要求和责任;
b)应制定并严格执行人员离岗离职信息安全管理规定,人员离岗离职时应终止信息系统访问权限,收回各种软硬件设备及身份证件、门禁卡等,并签署安全保密承诺书;
c)应建立外部人员访问机房等重要区域审批制度,外部人员须经审批后方可进入,并安排本单位工作人员现场陪同,对访问活动进行记录并留存;
d)应对信息安全责任事故进行查处,对违反信息安全管理规定的人员给予严肃处理,对造成信息安全事故的依法追究当事人和有关负责人的责任,并以适当方式通报。
检查方式
文档查验、人员访谈。
检查方法
a)查验岗位信息安全责任制度文件,检查系统管理员、网络管理员、信息安全员、一般工作人员等不同岗位的信息安全责任是否明确;检查重点岗位人员信息安全与保密协议签订情况;访谈部分重点岗位人员,抽查对信息安全责任的了解程度;
b)查验人员离岗离职管理制度文件,检查是否有终止系统访问权限、收回软硬件设备、收回身份证件和门禁卡等要求;检查离岗离职人员安全保密承诺书签署情况;查验信息系统账户,检查离岗离职人员账户访问权限是否已被终止;
c)查验外部人员访问机房等重要区域的审批制度文件,检查是否有访问审批、人员陪同等要求;查验访问审批记录、访问活动记录,检查记录是否清晰、完整;
d)查验安全事件记录及安全事件责任查处等文档,检查是否发生过因违反制度规定造成的信息安全事件、是否对信息安全事件责任人进行了处置。
表5人员管理检查结果记录表
人员管理
1.岗位信息安全责任制度:
□已建立□未建立
2.重点岗位人员信息安全与保密协议:
□全部签订□部分签订□均未签订
3.人员离岗离职安全管理规定:
□已制定□未制定
4.离岗离职安全管理措施(可多选):
□终止系统访问权限
□收回软硬件设备
□收回身份证件和门禁卡
□签署离岗离职安全承诺书
5.离岗离职安全保密承诺书:
□全部签订□部分签订□均未签订
6.外部人员访问机房等重要区域审批制度:
□已建立□未建立
7.外部人员访问机房等重要区域记录:
□完整□不完整
8.本年度信息安全事故发生及处置情况:
□发生过
□已做处置,其中:
信息安全责任事故当事人和有关责任人_____人,已处理_____人,其中:
通报批评_____人,警告_____人,记过及以上_____人
□未做处置
□未发生过
资产管理情况检查
要求
a)应建立并严格执行资产管理制度;
b)应指定专人负责资产管理;
c)应建立资产台账(清单),统一编号、统一标识、统一发放;
d)应及时记录资产状态和使用情况,保证账物相符;
e)应建立并严格执行设备维修维护和报废管理制度。
检查方式
文档查验、人员访谈。
检查方法
a)查验资产管理制度文档,检查资产管理制度是否建立;
b)查验设备管理员任命及岗位分工等文件,检查是否明确专人负责资产管理;访谈设备管理员,检查其对资产管理制度和日常工作任务的了解程度;
c)查验资产台账,检查台账是否完整(包括设备编号、设备状态、责任人等信息);查验领用记录,检查是否做到统一编号、统一标识、统一发放;
d)随机抽取资产台账中的部分设备登记信息,查验是否有对应的实物;随机抽取一定数量的实物,查验其是否纳入资产台账,同台账是否相符;
e)查验相关制度文档和记录,检查设备维修维护和报废管理制度建立及落实情况。
表6资产管理检查结果记录表
资产管理
1.资产管理制度:
□已建立□未建立
2.资产管理人员:
_____人,姓名:
____________________
_________________________________________________
3.账物相符程度(抽查结果):
□完全相符□大部分相符□严重不符
4.资产管理方式:
□统一编号、统一发放
□各内设机构分别管理
□其他
5.设备维修维护和报废管理:
□已建立管理制度,且维修维护和报废信息(时间、地点、内容、责任人等)记录完整
□已建立管理制度,但维修维护和报废记录不完整
□尚未建立管理制度
采购管理情况检查
要求
a)公文处理软件、信息安全产品等应采购安全可控产品,信息安全产品应经过国家认证;
b)接受捐赠的信息技术产品,使用前应进行安全测评,并与捐赠方签订信息安全与保密协议;
c)不得采购社会第三方认证机构提供的信息安全管理体系认证服务;
d)信息系统数据中心、灾备中心不得设立在境外。
检查方式
文档查验。
检查方法
a)随机抽取信息安全产品,检查该产品是否有国家统一认证的证明材料,如中国信息安全认证中心颁发的信息安全产品认证证书;
b)对比资产台账及采购清单,检查台账中是否有捐赠的信息技术产品;对于使用中的受赠信息技术产品,检查是否有安全测评报告以及与捐赠方签订的信息安全与保密协议;
c)查验开发、集成、运维等信息安全服务合同,检查是否有非国内厂商提供信息安全服务情况,若有,进一步检查厂商名称及其提供的服务内容;确认未采购社会第三方认证机构提供的信息安全管理体系认证服务;
d)查验数据中心和灾备中心建设规划文档,检查是否设立在境外。
表7采购管理检查结果记录表
信息安全产品
1.信息安全产品认证情况:
□全部通过认证□部分通过认证
未通过认证的安全产品品牌及型号:
__________________
__________________________________________________
接受捐赠的
信息技术产品
□无
□有
1.受赠产品品牌及型号:
___________________________
__________________________________________________
2.使用前安全评估:
□经过测评□未经测评
3.信息安全与保密协议(与捐赠方):
□全部签订□部分签订□均未签订
数据中心与
灾备中心
1.数据中心数量:
______个
2.灾备中心数量:
______个
3.境外设立数据中心和灾备中心情况:
□无
□有,境外设立位置:
__________________
外包服务管理情况检查
要求
a)应建立并严格执行信息技术外包服务安全管理制度;
b)应与信息技术外包服务提供商签订服务合同和信息安全与保密协议,明确信息安全与保密责任,要求服务提供商不得将服务转包,不得泄露、扩散、转让服务过程中获知的敏感信息,不得占有服务过程中产生的任何资产,不得以服务为由强制要求委托方购买、使用指定产品;
c)信息技术现场服务过程中应安排专人陪同,并详细记录服务过程;
d)外包开发的系统、软件上线应用前应进行安全测评,要求开发方及时提供系统、软件的升级、漏洞等信息和相应服务;
e)信息系统运维外包不得采用远程在线运维服务方式;
检查方式
文档查验、人员访谈。
检查方法
a)查验相关文档,检查是否有外包服务安全管理制度;
b)查验信息技术外包服务合同及信息安全与保密协议,检查信息安全责任是否清晰;
c)查验外包人员现场服务记录,查验记录是否完整(包括服务时间、服务人员、陪同人员、工作内容等信息);
d)访谈系统管理员和工作人员,查验安全测评报告,检查外包开发的系统、软件上线前是否进行过信息安全测评及其方式;
e)查验外包服务合同及技术方案等文档,检查是否存在远程在线运维服务;如确需采用远程在线服务的,检查是否对安全风险进行了充分评估并采取了书面审批、访问控制、在线监测、日志审计等安全防护措施。
表8外包服务管理检查结果记录表
外包服务管理
1.外包服务安全管理制度:
□已制定□未制定
2.信息技术外包服务合同及信息安全与保密协议:
□全部签订□部分签订□均未签订
3.现场服务记录:
□有详细服务记录□仅有现场进出记录
□无记录
4.外包开发系统、软件上线应用前安全测评情况:
□均经测评□部分经测评□均未测评
5.信息系统运维安全管理:
□无外包服务
□外包服务商现场运维
□外包服务商远程运维
远程运维风险控制措施:
□有□无
表9外包服务机构检查结果记录表(每个机构一张表)
外包服务机构
机构名称
机构性质
□国有单位□民营企业□外资企业
服务内容
信息安全与
保密协议
□已签订□未签订
信息安全管理体系认证情况
□已通过认证,认证机构:
_______________
□未通过认证
经费保障情况检查
要求
a)应将信息安全设施运行维护、日常信息安全管理、信息安全教育培训、信息安全检查、信息安全风险评估、信息系统等级测评、信息安全应急处置等费用纳入部门年度预算;
b)应严格落实信息安全经费预算,保证信息安全经费投入。
检查方式
文档查验。
检查方法
a)会同本单位财物部门人员,查验上一年度和本年度预算文件,检查年度预算中是否有信息安全相关费用;
b)查验相关财务文档和经费使用账目,检查上一年度信息安全经费实际投入情况、信息安全经费是否专款专用。
表10经费保障检查结果记录表
经费保障
1.信息安全预算范围(可多选):
□信息安全防护设施建设费用□运行维护费用
□日常信息安全管理费用□教育培训费用
□应急处置费用□检查评估(含风险评估、等级测评等)费用
□无相关预算
2.上一年度信息安全经费预算额:
________万元
3.上一年度信息安全经费实际投入额:
_______万元
4.本年度信息安全经费预算额:
________万元
4.3 安全技术防护情况检查
物理环境安全情况检查
要求
物理环境安全应符合《GB9361-1988计算机场地安全要求》中B类机房要求。
检查方式
文档查验、现场核查。
检查方法
a)查验机房设计、改造、施工等相关文档,检查机房防盗窃、防破坏、防雷击、防火、防水、防潮、防静电等措施,并进行核查;现场检查机房备用电源、温湿度控制、电磁防护等安全防护设施;
b)现场检查机房等物理访问控制措施,确认配备门禁系统或有专人值守。
网络边界安全防护情况检查
要求
a)非涉密信息系统与互联网及其他公共信息网络应实行逻辑隔离,涉密信息系统与互联网及其他公共信息网络应实行物理隔离;
b)建立互联网接入审批和登记制度,严格控制互联网接入口数量,加强互联网接入口安全管理和安全防护;
c)应采取访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范等措施,进行网络边界防护;
d)应根据承载业务的重要性对网络进行分区分域管理,采取必要的技术措施对不同网络分区进行防护、对不同安全域之间实施访问控制;
e)应对网络日志进行管理,定期分析,及时发现安全风险。
检查方式
文档查验、现场核查。
检查方法
a)查验网络拓扑图,检查重要设备连接情况,现场核查内部办公系统等非涉密系统的交换机、路由器等网络设备,确认以上设备的光纤、网线等物理线路没有与互联网及其他公共信息网络直接连接,有相应的安全隔离措施;
b)查验网络拓扑图,检查接入互联网情况,统计网络外联的出口个数,检查每个出口是否均有相应的安全防护措施(互联网接入口指内部网络与公共互联网边界处的接口,如联通
升级会员 