【法规名称】
【颁布部门】 宁夏回族自治区政府
【发文字号】 宁政办发[2011]96号
【颁布时间】 2011-06-03
【实施时间】 2011-06-03
【效力属性】 有效
【法规编号】 558539 什么是编号?
【正 文】
第2页 宁夏回族自治区人民政府办公厅转发自治区经济和信息化委2011年度政府信息系统安全检查指南的通知
|
[接上页] (三)信息安全防护管理。 1.网络边界防护管理。查看系统总体网络架构、子系统分布、终端节点、区域划分及边界防护措施等,重点检查:(1)网络分区分域合理性;(2)安全防护设备策略配置有效性;(3)互联网接入情况,是否有访问互联网的安全控制措施,是否留存互联网访问日志并定期进行分析。 2.信息系统安全管理。重点检查信息安全风险评估、等级保护等安全管理制度落实情况。(1)服务器安全防护。重点检查服务器上应用、服务、端口以及系统补丁等情况,是否关闭了不必要的应用、服务、端口;账户口令强度和更新情况;病毒木马防护情况,是否使用技术工具定期进行漏洞扫描、病毒木马检测。(2)网络设备防护。重点检查网络设备安全策略配置的有效性;账户口令强度和更新情况;是否使用技术工具定期进行漏洞扫描。(3)信息安全设备部署及使用。重点检查防病毒、防火墙、入侵检测、安全审计等安全设备部署及使用情况,以及安全策略配置的有效性。 3.门户网站安全管理。以防攻击、防挂马、防篡改、防瘫痪、防窃密为目标,对门户网站安全防护情况进行全面检查。包括:(1)系统管理账户和口令,清理无关账户,防止出现空口令、弱口令和默认口令;(2)服务器补丁更新情况,关闭不必要的端口,停止不必要的服务和应用,删除不必要的链接和插件;(3)网站目录结构,删除临时文件,防止敏感信息泄露;(4)信息发布审核制度建立及落实情况;(5)是否使用技术工具定期进行漏洞扫描、木马检测。 4.电子邮箱安全管理。重点检查:(1)邮箱使用情况,是否有非本部门人员特别是无关人员使用;(2)账户口令强度及更新情况,是否使用技术措施控制和管理口令,口令强度是否符合要求、是否定期更新。 5.终端计算机安全管理。重点检查:(1)是否采取集中安全管理措施;(2)账户口令强度和更新情况;(3)接入互联网安全控制措施(如实名接入认证、对计算机ip和mac地址进行绑定等);(4)是否使用技术工具定期进行漏洞扫描、病毒木马检测;(5)在非涉密信息系统和涉密信息系统间混用情况;(6)使用非涉密计算机处理涉密信息情况。 6.移动存储设备安全管理。重点检查:(1)是否采取集中安全管理措施;(2)是否配备必要的电子消磁或销毁设备;(3)在非涉密信息系统和涉密信息系统间混用情况。 (四)信息安全应急管理。 1. 应急预案。重点检查本部门信息安全应急预案制定、修订、备案、宣传贯彻及培训情况。 2.应急演练。重点检查信息安全应急演练情况;已开展演练的,查看演练文档、记录(包括演练计划、演练方案、演练记录、演练总结报告等)。 3. 应急技术支援。重点检查是否明确了应急技术支援队伍;已明确的,检查其服务合同及安全保密协议签订情况,了解掌握应急技术支援队伍基本情况以及开展的技术支援活动。 4.灾难备份。重点检查重要数据和重要信息系统备份情况;对采用社会第三方灾难备份服务的,检查其服务合同及安全保密协议签订情况,了解掌握灾难备份服务设施运维安全管理情况。 5.信息安全事件应急处置。重点检查本年度发生的信息安全事件及处置情况;发生过重大信息安全事件的,检查是否进行了及时处置,是否按照要求上报和通报。 (五)信息安全教育培训。 重点检查信息安全和保密形势教育及警示教育情况,领导干部和机关工作人员参加信息安全基本技能培训情况,信息安全管理和技术人员参加信息安全专业培训情况等。 (六)信息安全检查工作。 1.上一年度发现问题的整改情况。重点检查:(1)制定的整改计划及采取的整改措施;(2)整改效果以及是否开展了进一步的信息安全风险评估;(3)年度检查情况报告完成情况,是否按自治区要求及时报送,报告是否完整准确、符合要求。 2.本年度检查工作开展情况。重点检查:(1)检查工作责任制建立和检查工作经费落实情况;(2)检查工作方案制定及组织实施情况;(3)采取的安全保密和风险控制措施,检查人员、有关文档和数据的安全保密管理情况。 3.安全技术检测。组织技术力量,使用必要的技术工具,对服务器、终端计算机、网络设备以及门户网站等信息系统进行安全检测,排查病毒木马、安全漏洞等。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!