資源描述:
《信息安全自查操作指南》由會(huì)員上傳分享,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在教育資源-天天文庫�。
1、附件1:信息安全自查操作指南2012年7月—2—目錄概述1一�、自查目的1二、自查工作流程1環(huán)節(jié)一自查工作部署3一��、研究制定自查實(shí)施方案3二��、自查工作動(dòng)員部署4環(huán)節(jié)二基本情況自查6一�����、系統(tǒng)基本情況自查6二��、安全管理情況自查12三�����、技術(shù)防護(hù)情況自查17四、應(yīng)急處置及容災(zāi)備份情況自查19五���、安全技術(shù)檢測20環(huán)節(jié)三問題與風(fēng)險(xiǎn)分析22一���、主要問題分析22二、國外依賴度分析22三����、主要威脅分析23環(huán)節(jié)四自查工作總結(jié)25一、自查工作總結(jié)25二��、自查情況上報(bào)25有關(guān)工作要求26附件:(1)信息安全自查報(bào)告編寫參考格式28(2)信息安全檢查情況報(bào)告表30概述為指導(dǎo)部直屬單位信息安全自查
2�、工作,依據(jù)《國務(wù)院辦公廳關(guān)于開展重點(diǎn)領(lǐng)域網(wǎng)絡(luò)與信息安全檢查行動(dòng)的通知》(國辦函〔2012〕102號)和《關(guān)于開展部直屬單位重點(diǎn)網(wǎng)絡(luò)與信息安全檢查行動(dòng)的通知》(以下簡稱《檢查通知》)���,制定本指南。本指南主要用于部直屬單位及其下屬單位(以下統(tǒng)稱自查單位)在開展信息安全自查具體工作時(shí)參考�����。一��、自查目的通過開展安全自查���,進(jìn)一步梳理�、掌握本單位重要網(wǎng)絡(luò)與信息系統(tǒng)基本情況,查找突出問題和薄弱環(huán)節(jié)���,分析面臨的安全威脅和風(fēng)險(xiǎn)�����,評估安全防護(hù)水平���,有針對性地采取防范對策和改進(jìn)措施,加強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)安全管理和技術(shù)防護(hù)�,促進(jìn)安全防護(hù)能力和水平提升,預(yù)防和減少重大信息安全事件的發(fā)生�����,切實(shí)保障
3���、本單位網(wǎng)絡(luò)與信息安全�。二�����、自查工作流程信息安全自查主要包括自查工作部署、基本情況自查�����、問題與風(fēng)險(xiǎn)分析�����、自查工作總結(jié)等4個(gè)環(huán)節(jié)(見圖1)��?!?1—圖1自查工作流程—31—環(huán)節(jié)一自查工作部署一、研究制定自查實(shí)施方案認(rèn)真學(xué)習(xí)《檢查通知》��,深刻領(lǐng)會(huì)文件精神和有關(guān)要求��,研究制定自查實(shí)施方案���,并報(bào)主管領(lǐng)導(dǎo)批準(zhǔn)。(一)自查實(shí)施方案應(yīng)當(dāng)明確的內(nèi)容自查實(shí)施方案應(yīng)當(dāng)明確以下內(nèi)容:(1)自查工作負(fù)責(zé)人���、組織單位和實(shí)施機(jī)構(gòu)�����。(2)自查范圍和自查對象�����。(3)自查工作的組織方式���。(4)自查工作時(shí)間進(jìn)度安排�。1.關(guān)于自查范圍�。此次自查范圍是部直屬單位及其下屬單位重點(diǎn)網(wǎng)絡(luò)與信息系統(tǒng)(含工業(yè)控制系統(tǒng),
4�����、以下同)�。檢查的重點(diǎn)是事關(guān)國家安全和社會(huì)穩(wěn)定,對地區(qū)��、部門或行業(yè)正常生產(chǎn)生活具有較大影響的重要網(wǎng)絡(luò)與信息系統(tǒng)���。2.關(guān)于自查對象���。主要指網(wǎng)絡(luò)與信息系統(tǒng)安全管理與防護(hù)涉及到的信息安全綜合管理部門、信息化部門����、業(yè)務(wù)部門����、生產(chǎn)管理部門�、財(cái)務(wù)部門、人事部門等相關(guān)部門����。各單位可根據(jù)實(shí)際情況確定具體的自查對象。3.—31—關(guān)于自查工作組織�����。自查單位可成立自查工作組開展檢查����,也可指定專門機(jī)構(gòu)負(fù)責(zé)自查實(shí)施工作。自查工作組可由本單位信息化與信息安全部門以及相關(guān)業(yè)務(wù)部門中熟悉業(yè)務(wù)����、具備信息安全知識、技術(shù)能力較強(qiáng)的人員�,以及本單位相關(guān)技術(shù)支撐機(jī)構(gòu)業(yè)務(wù)骨干等組成����。單位內(nèi)各部門可指定人員負(fù)責(zé)協(xié)調(diào)
5�、配合和聯(lián)絡(luò)工作���。對于有工業(yè)控制系統(tǒng)的單位���,可考慮生產(chǎn)管理部門參與工業(yè)控制系統(tǒng)信息安全檢查。對于信息系統(tǒng)復(fù)雜�����、自查工作涉及部門多的單位�,可根據(jù)需要成立自查工作領(lǐng)導(dǎo)小組,負(fù)責(zé)自查工作的組織協(xié)調(diào)與資源配置�����。領(lǐng)導(dǎo)小組組長可由本單位信息安全主管領(lǐng)導(dǎo)擔(dān)任��,領(lǐng)導(dǎo)小組成員可包括信息安全綜合管理部門負(fù)責(zé)人�、信息化部門負(fù)責(zé)人,以及其他相關(guān)部門負(fù)責(zé)人(如人事部門��、財(cái)務(wù)部門��、業(yè)務(wù)部門、生產(chǎn)管理部門領(lǐng)導(dǎo))等�����。(二)應(yīng)當(dāng)注意的有關(guān)事項(xiàng)1.納入檢查范圍的網(wǎng)絡(luò)與信息系統(tǒng)從安全防護(hù)的角度應(yīng)具有相對的獨(dú)立性�����。從安全防護(hù)的角度判斷網(wǎng)絡(luò)與信息系統(tǒng)獨(dú)立性的方法如下:根據(jù)系統(tǒng)所承擔(dān)業(yè)務(wù)的獨(dú)立性�����、責(zé)任主體的獨(dú)立性
6�、、網(wǎng)絡(luò)邊界的獨(dú)立性���、安全防護(hù)設(shè)備設(shè)施的獨(dú)立性四個(gè)因素����,對網(wǎng)絡(luò)與信息系統(tǒng)進(jìn)行全面梳理并綜合分析�,劃分出相對獨(dú)立的網(wǎng)絡(luò)與信息系統(tǒng),并形成網(wǎng)絡(luò)與信息系統(tǒng)清單��,以便于更好地界定檢查范圍�����。2.關(guān)于重要網(wǎng)絡(luò)與信息系統(tǒng)��,可從系統(tǒng)特征的角度��,立足本單位實(shí)際���,參考以下標(biāo)準(zhǔn)進(jìn)行判定:(1)業(yè)務(wù)依賴度高��。(2)數(shù)據(jù)集中度高(全國�����、流域數(shù)據(jù)集中)�����。(3)實(shí)時(shí)性要求高���。—31—(4)系統(tǒng)關(guān)聯(lián)性強(qiáng)(發(fā)生重大信息安全事件后��,會(huì)對與其相連的其他系統(tǒng)造成較大影響�����,并產(chǎn)生連片連鎖反應(yīng))。(5)直接面向社會(huì)公眾提供服務(wù)�����,用戶數(shù)量龐大�,覆蓋范圍廣。(6)災(zāi)備等級高(系統(tǒng)級災(zāi)備)�。3.關(guān)于重要工業(yè)控制系統(tǒng),可
7�����、從發(fā)生信息安全事件造成危害的角度���,參考以下標(biāo)準(zhǔn)進(jìn)行判定:(1)發(fā)生重大信息安全事件��,致使系統(tǒng)出現(xiàn)嚴(yán)重故障后����,可能導(dǎo)致10人以上死亡或50人以上重傷����。(2)發(fā)生重大信息安全事件����,致使系統(tǒng)出現(xiàn)嚴(yán)重故障后��,可能導(dǎo)致5000萬元以上直接經(jīng)濟(jì)損失��。(3)發(fā)生重大信息安全事件����,致使系統(tǒng)出現(xiàn)嚴(yán)重故障后����,可能影響100萬人以上正常生活。(4)發(fā)生重大信息安全事件�,致使系統(tǒng)出現(xiàn)嚴(yán)重故障后,可能對與其相連的其他系統(tǒng)造成影響�����,并產(chǎn)生連片連鎖反應(yīng)���。(5)發(fā)生重大信息安全事件�,致使系統(tǒng)出現(xiàn)嚴(yán)重故障后,可能對生態(tài)環(huán)境造成嚴(yán)重破壞���。(6)發(fā)生重大信息安全事件���,致使系統(tǒng)出現(xiàn)嚴(yán)重故障
